Dwa sierpnia 2026 roku to data, która może kosztować firmy miliony euro: Akt o Sztucznej Inteligencji Unii Europejskiej wchodzi w pełni w życie i zaczyna penalizować podmioty, które nie dostosowały swoich systemów AI do unijnego prawa – a kary sięgają 35 milionów euro lub 7% globalnych obrotów, cokolwiek jest wyższe.
Co to jest EU AI Act i dlaczego zmienia wszystko?
Akt o Sztucznej Inteligencji – formalnie Rozporządzenie (UE) 2024/1689 – stał się prawem 1 sierpnia 2024 roku, ale jego przepisy wdrażano etapami. Pierwsze zakazy praktyk AI obowiązują od 2 lutego 2025 roku. Przepisy dotyczące dostawców modeli ogólnego przeznaczenia (GPAI) – takich jak GPT, Claude czy Gemini – stosuje się od 2 sierpnia 2025 roku. Kary finansowe za naruszenia GPAI będą jednak naliczane dopiero od 2 sierpnia 2026 roku.
To przełomowy moment. AI Act jako pierwsze na świecie kompleksowe prawo AI dzieli systemy na cztery kategorie ryzyka: niedopuszczalne (absolutny zakaz), wysokie (ścisłe wymogi), ograniczone (przejrzystość) i minimalne (brak obowiązków). Logika jest prosta: im większy potencjał szkody dla ludzi, tym surowsze wymogi.
AI Act obejmuje każdą firmę, która udostępnia lub wdraża systemy AI na terenie Unii Europejskiej – niezależnie od tego, gdzie firma ma siedzibę. Oznacza to, że regulacja dotyczy zarówno europejskich startupów jak i globalnych gigantów technologicznych. Dla polskich firm MŚP oznacza to konkretne pytanie: czy nasze narzędzia AI – rekrutacyjne, creditowe, diagnostyczne, monitorujące pracowników – spełniają wymogi? Możliwy link wewnętrzny: które systemy AI podlegają EU AI Act – lista kategorii ryzyka
Kategorie zakazów i kar: co grozi i za co?
Struktura kar EU AI Act jest trójpoziomowa i przewyższa skalą nawet kary GDPR.
Poziom 1 – Zakazane praktyki AI (art. 5 AI Act): kary do €35 mln lub 7% globalnego obrotu. Zakaz obejmuje: systemy AI manipulujące decyzjami użytkowników poniżej progu ich świadomości, wykorzystywanie podatności grup wrażliwych (dzieci, osoby starsze), social scoring przez władze publiczne, biometryczną identyfikację osób w przestrzeni publicznej (z wyjątkami dla bezpieczeństwa), systemy przewidujące cechy osobowe i emocje na podstawie biometrii. Włochy pierwszym europejskim krajem przyjęły w 2025 roku dodatkowo kodeks karny – nowe przestępstwo tworzenia deepfake’ów karze więzieniem od 1 do 5 lat.
Poziom 2 – Naruszenia dotyczące systemów wysokiego ryzyka (art. 16 i in.): kary do €15 mln lub 3% obrotu. High-risk AI obejmuje: systemy rekrutacyjne i zarządzania zatrudnieniem, AI w kredytach i ubezpieczeniach, AI w edukacji, AI w migracji i kontroli granicznej, AI w wymiarze sprawiedliwości. Każdy z tych systemów musi mieć dokumentację techniczną, system zarządzania ryzykiem, regularny audyt i możliwość nadzoru ludzkiego.
Poziom 3 – Błędy formalne i GPAI providers (art. 101): kary do €15 mln lub 3% obrotu. Dostawcy modeli jak OpenAI, Anthropic i Google muszą zapewnić Komisji Europejskiej dostęp do modeli, dostarczać rzetelne informacje i przestrzegać Kodeksu Praktyk GPAI. Możliwy link wewnętrzny: jak przygotować dokumentację high-risk AI system dla UE
Eksperci i firmy: jak wygląda rzeczywistość compliance?
Stephenson Harwood, londyńska kancelaria prawna, wskazuje na paradoks: przepisy dotyczące GPAI weszły w życie w sierpniu 2025 roku, ale kary będą naliczane dopiero od sierpnia 2026 roku. Dla wielu firm był to sygnał do odłożenia compliance na później. Teraz czas się kończy.
Firma doradcza Legalnodes w analizie z marca 2026 roku ostrzega: wiele organizacji nadal nie wie, czy używane przez nie narzędzia AI kwalifikują się jako systemy wysokiego ryzyka. Problem jest realny: czy chatbot obsługi klienta banku to system wysokiego ryzyka? Zależy od tego, czy podejmuje decyzje kredytowe. Czy AI do analizy CV to high-risk? Tak, jeśli wpływa na decyzje o zatrudnieniu.
Kluczowe obowiązki deployer – czyli firmy, która wdraża cudzą AI we własnej działalności – obejmują cztery elementy: monitoring systemu po wdrożeniu, informowanie dostawcy o incydentach, prowadzenie rejestru wdrożeń high-risk AI i zapewnienie ludzki nadzór nad decyzjami. Wiele firm nie ma żadnego z tych procesów.
Europejski Urząd ds. AI (EU AI Office) – organ powołany do nadzoru GPAI – przeprowadza w 2026 roku pierwsze audyty. Microsoft, Google i Anthropic są pod obserwacją. Pierwsze decyzje o wszczęciu postępowania spodziewane są jesienią 2026 roku.
Co to oznacza dla polskich firm i obywateli?
Polska jako państwo UE stosuje EU AI Act bezpośrednio – bez konieczności implementacji krajowej. Polskie firmy, które importują, dystrybuują lub wdrażają systemy AI, stają się podmiotami regulacji. Urząd Ochrony Danych Osobowych (UODO) wskazany jest jako jeden z potencjalnych organów nadzorczych dla niektórych kategorii AI.
Dla polskich firm w sektorze HR i rekrutacji AI Act jest szczególnie istotny. Narzędzia do selekcji CV, analityki zachowań kandydatów czy monitorowania pracowników to systemy wysokiego ryzyka. Każda polska firma korzystająca z tego rodzaju AI powinna do 2 sierpnia 2026 roku posiadać: dokumentację systemu, ocenę ryzyka, rejestr incydentów i procedurę nadzoru ludzkiego.
Koszty compliance nie są trywialne. Małe firmy mogą nie mieć zasobów na pełne wdrożenie dokumentacji. Komisja Europejska opublikowała uproszczone wytyczne dla MŚP – ale eksperci są zgodni, że skala regulacji jest znacznie większa niż przy wdrożeniu GDPR w 2018 roku. Dla polskich konsumentów AI Act to realna ochrona: zakaz deepfake’ów politycznych, zakaz manipulacyjnej AI reklamowej i zakaz scoringu społecznego. Pierwsze skargi do krajowych organów można będzie składać od 2 sierpnia 2026 roku. Możliwy link wewnętrzny: UODO i AI Act Polska – kto nadzoruje sztuczną inteligencję
Podsumowanie
- 2 sierpnia 2026 roku wchodzą w życie pełne kary EU AI Act – do €35 mln lub 7% globalnego obrotu za zakazane praktyki AI (manipulacja, social scoring, biometria)
- Trzy poziomy kar: zakazane AI (€35 mln/7%), high-risk AI (€15 mln/3%) i GPAI/błędy formalne (€15 mln/3%) – systemy rekrutacyjne, kredytowe i edukacyjne to high-risk
- Polskie firmy HR używające AI do selekcji CV muszą mieć dokumentację, audyt ryzyka i nadzór ludzki – brak compliance to realne ryzyko kary od jesieni 2026 roku
- Dla konsumentów: AI Act zakazuje deepfake’ów politycznych, manipulacyjnej AI i scoringu społecznego – pierwsze skargi możliwe od 2 sierpnia 2026 roku
📌 Źródła
- The EU AI Act: Enforcement Overview – Stephenson Harwood
- EU AI Act 2026 Updates: Compliance Requirements and Business Risks – LegalNodes
- EU AI Obligations for GPAI Providers: Enforcement Deadlines 2025–2027 – MediaLaws.eu
- EU AI Act Timeline, Enforcement & Fines – Spektr
- AI in the Workplace: How to Avoid Penalties – TGC Legal
