W jednym zdaniu. AI Act (rozporządzenie UE 2024/1689) to pierwsza na świecie kompleksowa regulacja sztucznej inteligencji — klasyfikuje systemy według poziomu ryzyka, zakazuje praktyk niedopuszczalnych od lutego 2025 r., a najcięższe obowiązki dla systemów wysokiego ryzyka nakłada od sierpnia 2026 r.
AI Act wszedł w życie 1 sierpnia 2024 r. i — podobnie jak RODO — jest rozporządzeniem stosowanym bezpośrednio we wszystkich państwach członkowskich, w tym w Polsce. Nie zastępuje RODO: gdy system AI przetwarza dane osobowe, oba akty obowiązują równolegle. Poniżej wyjaśniam piramidę ryzyka, harmonogram wchodzenia obowiązków w życie, podział ról między dostawcą a podmiotem stosującym oraz stan prac nad polską ustawą wykonawczą.
Najważniejsze punkty
- AI Act to rozporządzenie 2024/1689, obowiązujące od 1 sierpnia 2024 r., stosowane etapami.
- System klasyfikuje się według czterech poziomów ryzyka: niedopuszczalne, wysokie, ograniczone, minimalne.
- Praktyki zakazane obowiązują od 2 lutego 2025 r.
- Obowiązki dla modeli GPAI — od 2 sierpnia 2025 r.
- Obowiązki dla systemów wysokiego ryzyka (załącznik III) — od 2 sierpnia 2026 r.
- AI Act nie zastępuje RODO — oba akty stosuje się łącznie do AI przetwarzającej dane osobowe.
Piramida ryzyka: cztery poziomy
AI Act nie reguluje “sztucznej inteligencji” jako jednej kategorii, lecz różnicuje obowiązki według ryzyka, jakie system stwarza dla praw podstawowych. To fundament całej konstrukcji.
Ryzyko niedopuszczalne (zakazane). Praktyki uznane za sprzeczne z wartościami UE — m.in. scoring społeczny prowadzony przez władze publiczne, techniki manipulacji podprogowej, nieukierunkowane pozyskiwanie wizerunków twarzy do budowy baz rozpoznawania oraz — z wąskimi wyjątkami — zdalna identyfikacja biometryczna w czasie rzeczywistym w przestrzeni publicznej do celów egzekwowania prawa. Te praktyki są po prostu zabronione.
Ryzyko wysokie. Systemy wymienione w załączniku III oraz systemy będące elementem bezpieczeństwa produktów regulowanych. To tu koncentruje się większość obowiązków dostawcy — od systemu zarządzania ryzykiem po dokumentację techniczną i nadzór człowieka. Tej kategorii poświęcam osobny tekst o systemach wysokiego ryzyka w AI Act.
Ryzyko ograniczone. Systemy, które wchodzą w interakcję z ludźmi (chatboty) lub generują treści (deepfake). Główny obowiązek to transparentność — użytkownik musi wiedzieć, że rozmawia z maszyną lub ogląda treść wygenerowaną przez AI.
Ryzyko minimalne. Zdecydowana większość systemów — filtry antyspamowe, rekomendacje, gry. AI Act nie nakłada tu obowiązków, choć zachęca do dobrowolnych kodeksów.
Harmonogram: co i kiedy zaczyna obowiązywać
Obowiązki wchodzą etapami, co daje organizacjom czas na dostosowanie — ale też oznacza, że część reguł już działa.
| Data | Co zaczyna obowiązywać |
|---|---|
| 1 sierpnia 2024 | wejście w życie rozporządzenia |
| 2 lutego 2025 | zakaz praktyk niedopuszczalnych + obowiązek kompetencji AI |
| 2 sierpnia 2025 | obowiązki dostawców modeli GPAI, przepisy o organach |
| 2 sierpnia 2026 | pełne obowiązki dla systemów wysokiego ryzyka z załącznika III |
| 2 sierpnia 2027 | systemy wysokiego ryzyka wbudowane w produkty regulowane |
Sierpień 2026 to data krytyczna dla firm wdrażających AI w rekrutacji, ocenie zdolności kredytowej czy edukacji — od tego momentu muszą one spełniać pełen zestaw wymogów. Warto zacząć od inwentaryzacji: które z używanych systemów w ogóle mieszczą się w załączniku III. W praktyce wiele organizacji odkrywa, że korzysta z systemów wysokiego ryzyka, nie zdając sobie z tego sprawy — bo narzędzie do przesiewania CV, scoringu klientów czy oceny pracowników kupiono jako “zwykły software”, a nie jako regulowany system AI. Bez rzetelnej inwentaryzacji nie da się ocenić, ile pracy dzieli firmę od zgodności na sierpień 2026 r.
Dodatkowo AI Act przewiduje surowe sankcje: za stosowanie praktyk zakazanych kary sięgają 35 mln EUR lub 7% światowego obrotu, a za naruszenie obowiązków dotyczących systemów wysokiego ryzyka — do 15 mln EUR lub 3% obrotu. To pułapy wyższe niż w RODO, co dobrze oddaje wagę, jaką prawodawca przypisał tej regulacji.
Role: dostawca kontra podmiot stosujący
AI Act rozkłada obowiązki między dwie główne role, których nie wolno mylić.
Dostawca (provider) to podmiot, który tworzy system AI lub zleca jego stworzenie i wprowadza go na rynek pod własną nazwą. Na dostawcy systemu wysokiego ryzyka spoczywa gros obowiązków: ustanowienie systemu zarządzania ryzykiem, zapewnienie jakości danych, sporządzenie dokumentacji technicznej, zapewnienie nadzoru człowieka, przeprowadzenie oceny zgodności i oznakowanie CE.
Podmiot stosujący (deployer) to organizacja, która używa systemu AI w ramach swojej działalności — np. firma kupująca narzędzie AI do rekrutacji. Jego obowiązki są węższe, ale realne: używanie systemu zgodnie z instrukcją, zapewnienie nadzoru człowieka po swojej stronie, monitorowanie działania i — co istotne dla RODO — poinformowanie osób oraz często przeprowadzenie oceny skutków.
Uwaga praktyczna: firma może stać się dostawcą nawet jeśli sama nie zbudowała modelu — wystarczy, że wprowadzi system pod własną marką lub istotnie go zmodyfikuje. To najczęściej niedoceniane ryzyko przy integracji gotowych modeli. Polska firma, która bierze open-source’owy model, dostraja go na własnych danych i oferuje jako produkt pod swoją marką, przejmuje odpowiedzialność dostawcy — z całym ciężarem dokumentacji i oceny zgodności. Dlatego przed wdrożeniem AI warto najpierw ustalić rolę, bo od niej zależy cała mapa obowiązków.
Obok tych dwóch ról AI Act wyróżnia jeszcze importera i dystrybutora, istotnych zwłaszcza dla systemów sprowadzanych spoza UE. Każde ogniwo łańcucha ma własne, choć węższe obowiązki weryfikacyjne — sprawdzenia oznakowania CE, dokumentacji i zgodności — zanim system trafi do użytkownika końcowego.
AI Act a RODO: dwa reżimy naraz
Gdy system AI przetwarza dane osobowe, AI Act i RODO obowiązują równolegle — żaden nie wypiera drugiego. Dostawca musi mieć zgodną z AI Act dokumentację techniczną, ale przetwarzanie danych treningowych i produkcyjnych nadal wymaga podstawy prawnej z art. 6 RODO oraz poszanowania zasad z art. 5 RODO — minimalizacji, ograniczenia celu, przejrzystości.
W praktyce oba obowiązki się zazębiają: dla systemu wysokiego ryzyka przetwarzającego dane osobowe na dużą skalę zwykle konieczna jest ocena skutków dla ochrony danych (DPIA), a AI Act dokłada własną ocenę wpływu na prawa podstawowe dla części podmiotów stosujących. Rozsądnie jest prowadzić je spójnie, a nie jako dwa oderwane dokumenty. Szersze ujęcie zgodności organizacji opisuję w przewodniku po zgodności z RODO na 2026.
Kontekst polski: ustawa i organ nadzoru
AI Act stosuje się bezpośrednio, ale wymaga krajowych przepisów o nadzorze i sankcjach oraz wyznaczenia właściwych organów. W Polsce trwają prace nad ustawą o systemach sztucznej inteligencji, która ma wskazać krajowy organ nadzoru rynku odpowiedzialny za egzekwowanie AI Act oraz doprecyzować procedury. Stan tych prac legislacyjnych w 2026 r. warto zweryfikować u źródła, bo projekt ewoluuje. Do czasu ustanowienia pełnej struktury krajowej rolę punktu odniesienia w zakresie przetwarzania danych przez AI pełni UODO. Organizacje, które chcą uporządkować inwentaryzację systemów AI, klasyfikację ryzyka i dokumentację, coraz częściej wspierają się dedykowanym oprogramowaniem do zgodności z AI Act i platformami compliance, takimi jak Legiscope, zamiast rozpraszać te dane po arkuszach.
FAQ
Czy AI Act zastępuje RODO?
Nie. To dwa odrębne, równolegle obowiązujące akty. AI Act reguluje bezpieczeństwo i zgodność samych systemów AI, a RODO — przetwarzanie danych osobowych. Gdy system AI przetwarza dane osobowe (np. narzędzie rekrutacyjne), organizacja musi spełnić wymogi obu regulacji jednocześnie.
Od kiedy AI Act realnie obowiązuje polskie firmy?
Etapami. Zakaz praktyk niedopuszczalnych i obowiązek kompetencji AI działają od 2 lutego 2025 r., obowiązki dla modeli GPAI od 2 sierpnia 2025 r., a pełne wymogi dla systemów wysokiego ryzyka z załącznika III — od 2 sierpnia 2026 r. Część firm już dziś podlega pierwszym obowiązkom.
Czy moja firma jest dostawcą czy podmiotem stosującym?
Zależy od roli. Jeśli tworzysz system AI lub wprowadzasz go na rynek pod własną nazwą — jesteś dostawcą i ciąży na tobie większość obowiązków. Jeśli tylko używasz gotowego narzędzia — jesteś podmiotem stosującym. Uwaga: istotna modyfikacja lub rebranding cudzego systemu może uczynić cię dostawcą.
Źródła: Rozporządzenie 2024/1689 (AI Act) w EUR-Lex (CELEX 32024R1689) · UODO · EDPB
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial