Gazeta Prawna
AI

AI Act coraz bliżej firm. Największe ryzyko nie jest w IT, tylko w HR, finansach i ubezpieczeniach

AI Act coraz bliżej firm
AI Act coraz bliżej firmShutterstock
Dominik Kulig
Dominik Kulig
2 maja, 11:15
aktualizacja 2 maja, 15:35

Firmy, które korzystają ze sztucznej inteligencji przy rekrutacji, ocenie klientów, scoringu kredytowym albo wycenie ryzyka ubezpieczeniowego, powinny już sprawdzać, czy nie wchodzą w reżim systemów wysokiego ryzyka. Oficjalny unijny harmonogram nadal wskazuje 2 sierpnia 2026 r. jako kluczową datę dla większości przepisów AI Act, choć równolegle w UE trwają prace nad Digital Omnibus, który może zmienić część terminów.

Skrót artykułu

AI Act przestaje być tematem wyłącznie dla działów prawnych dużych firm technologicznych. W praktyce nowe obowiązki mogą dotknąć także przedsiębiorstwa, które nie tworzą własnych modeli sztucznej inteligencji, ale korzystają z gotowych narzędzi w procesach biznesowych. Chodzi zwłaszcza o te zastosowania, które wpływają na sytuację człowieka: zatrudnienie, dostęp do usług finansowych, ocenę ryzyka albo warunki ubezpieczenia.

Z oficjalnej osi czasu Komisji Europejskiej wynika, że AI Act jest stosowany etapami. Od 2 lutego 2025 r. obowiązują m.in. przepisy ogólne, wymogi dotyczące kompetencji w zakresie AI oraz zakazy wybranych praktyk. Od 2 sierpnia 2025 r. stosowane są reguły dotyczące modeli ogólnego przeznaczenia i unijnego systemu zarządzania. Natomiast 2 sierpnia 2026 r. ma rozpocząć się stosowanie większości przepisów, w tym zasad dla systemów wysokiego ryzyka z załącznika III oraz wymogów przejrzystości z art. 50. Pełne wdrożenie przewidziano na 2 sierpnia 2027 r.

Ważne

AI Act nie dotyczy wyłącznie producentów sztucznej inteligencji. Obowiązki mogą mieć także firmy, które korzystają z gotowych narzędzi AI, zwłaszcza gdy system wpływa na decyzje dotyczące pracowników, kandydatów do pracy, klientów albo dostępu do usług finansowych.

Nie branża, lecz zastosowanie

Najważniejsza zmiana w myśleniu o AI Act polega na tym, że sama przynależność do konkretnej branży nie przesądza jeszcze o obowiązkach. Kluczowe jest to, do czego system AI jest używany. Firma może więc nie być dostawcą technologii, a mimo to wejść w obszar regulacji, jeżeli wykorzystuje AI w procesach, które AI Act uznaje za szczególnie wrażliwe.

W załączniku III (EUR-Lex) do rozporządzenia jako systemy wysokiego ryzyka wskazano m.in. narzędzia używane w zatrudnieniu i zarządzaniu pracownikami. Chodzi na przykład o systemy służące do rekrutacji, selekcji kandydatów, analizy i filtrowania aplikacji czy oceny osób ubiegających się o pracę. W tej samej grupie mieszczą się także rozwiązania wpływające na awans, zakończenie stosunku pracy, przydział zadań albo monitorowanie i ocenę pracownika.

To oznacza, że dział HR korzystający z narzędzia do automatycznej preselekcji CV nie może zakładać, że AI Act dotyczy wyłącznie producenta oprogramowania. W wielu przypadkach znaczenie będzie miało także to, jak narzędzie jest wdrożone, kto podejmuje ostateczną decyzję, jakie dane są przetwarzane i czy firma potrafi wykazać kontrolę nad procesem.

Ważne

Dla oceny obowiązków z AI Act kluczowe jest zastosowanie systemu. To, że firma nie działa w branży technologicznej, nie oznacza automatycznie, że przepisy jej nie dotyczą. System używany w HR, kredytach, ubezpieczeniach albo usługach podstawowych może wejść w kategorię wysokiego ryzyka.

Banki, fintechy i ubezpieczyciele pod szczególną obserwacją

Drugim obszarem wysokiego ryzyka są usługi, które mają istotne znaczenie dla sytuacji życiowej lub finansowej obywateli. AI Act obejmuje m.in. systemy służące do oceny zdolności kredytowej osób fizycznych albo ustalania ich scoringu kredytowego, z wyjątkiem narzędzi wykorzystywanych do wykrywania oszustw finansowych. Rozporządzenie wskazuje, że takie systemy mogą przesądzać o dostępie do zasobów finansowych lub usług podstawowych, takich jak mieszkanie, energia czy telekomunikacja.

Wysokim ryzykiem mogą być objęte również systemy używane do oceny ryzyka i ustalania cen w ubezpieczeniach na życie i zdrowotnych. Unijny prawodawca podkreśla, że błędnie zaprojektowane lub źle używane narzędzia tego typu mogą prowadzić do dyskryminacji, wykluczenia finansowego albo innych poważnych skutków dla klientów.

Dla banków, fintechów i ubezpieczycieli oznacza to konieczność przejrzenia nie tylko systemów bezpośrednio podejmujących decyzje, ale także narzędzi wspierających analityków, underwriterów, doradców czy konsultantów. W praktyce granica między „systemem pomocniczym” a rozwiązaniem realnie wpływającym na decyzję wobec klienta może być jednym z najważniejszych punktów spornych.

Ważne

Banki, firmy pożyczkowe, fintechy i ubezpieczyciele powinny sprawdzić nie tylko systemy, które automatycznie podejmują decyzje. Ryzykowne mogą być także narzędzia wspierające analityków, doradców, underwriterów lub konsultantów, jeśli wpływają na ocenę klienta.

Sierpień 2026 r. pozostaje datą graniczną, ale kalendarz może się zmienić

Na dziś oficjalna oś czasu Komisji Europejskiej nadal wskazuje 2 sierpnia 2026 r. jako moment, od którego mają być stosowane m.in. przepisy dotyczące systemów wysokiego ryzyka z załącznika III. Jednocześnie Komisja zaznacza, że w ramach pakietu Digital Omnibus zaproponowano powiązanie stosowania przepisów o systemach wysokiego ryzyka z dostępnością narzędzi wsparcia, w tym odpowiednich norm zharmonizowanych.

Digital Omnibus został opublikowany przez Komisję 19 listopada 2025 r. jako pakiet ukierunkowanych uproszczeń mających zapewnić sprawniejsze i bardziej proporcjonalne stosowanie części przepisów AI Act. Rada UE przyjęła swoje stanowisko 13 marca 2026 r., a w Parlamencie Europejskim komisje IMCO i LIBE przyjęły wspólne sprawozdanie 18 marca 2026 r., dokumentacja Parlamentu wskazuje, że propozycja dotyczy m.in. opóźnień w normach, wytycznych i narzędziach zgodności dla wymogów wysokiego ryzyka.

Dla przedsiębiorców oznacza to niepewność, ale nie powód do bezczynności. Jeżeli termin zostanie przesunięty, firmy zyskają dodatkowy czas na dostosowanie. Jeżeli nie, brak wcześniejszej inwentaryzacji systemów AI może stać się problemem organizacyjnym, prawnym i reputacyjnym.

Polska buduje nadzór nad sztuczną inteligencją

Równolegle trwają prace nad krajowymi przepisami dotyczącymi systemów sztucznej inteligencji. Rada Ministrów przyjęła projekt ustawy 31 marca 2026 r. Jak informuje KPRM, za kontrolę technologii AI oraz wspieranie ich rozwoju ma odpowiadać nowa instytucja - Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji. Projekt ma służyć stosowaniu unijnego aktu o sztucznej inteligencji w Polsce.

Zgodnie z rządową informacją KRiBSI ma być niezależną jednostką obsługiwaną organizacyjnie przez Ministerstwo Cyfryzacji. W jej skład mają wejść m.in. przedstawiciele wskazani przez prezesa UOKiK, prezesa UKE, Komisję Nadzoru Finansowego oraz KRRiT. Komisja ma mieć możliwość sprawdzania, czy systemy AI spełniają wymagania prawa i bezpieczeństwa, a w razie naruszeń, ograniczania ich używania albo wycofywania z rynku.

To ważne dla firm, bo AI Act jako rozporządzenie unijne jest stosowany bezpośrednio, ale krajowa ustawa ma zbudować praktyczny system nadzoru, procedur i instytucji. Innymi słowy: nawet jeżeli wiele szczegółów organizacyjnych w Polsce jest jeszcze w toku, kierunek regulacyjny jest już wyznaczony.

Kary mogą być wyższe niż typowe sankcje administracyjne

AI Act przewiduje sankcje, które mają być skuteczne, proporcjonalne i odstraszające. Zgodnie z art. 99 rozporządzenia za naruszenia dotyczące zakazanych praktyk AI maksymalna kara może wynieść do 35 mln euro albo do 7 proc. całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego, w zależności od tego, która kwota jest wyższa. Za inne naruszenia, w tym dotyczące obowiązków operatorów systemów wysokiego ryzyka lub wymogów przejrzystości, limit wynosi do 15 mln euro albo 3 proc. obrotu. Za przekazanie organom nieprawidłowych, niepełnych lub wprowadzających w błąd informacji sankcja może sięgnąć 7,5 mln euro albo 1 proc. obrotu.

Od czego firma powinna zacząć

Pierwszym krokiem powinna być inwentaryzacja narzędzi AI używanych w organizacji. Nie chodzi tylko o duże systemy analityczne czy własne modele. Na liście powinny znaleźć się także narzędzia kupione od dostawców, funkcje AI w systemach HR, rozwiązania do obsługi klienta, automatyzacji dokumentów, scoringu, marketingu, windykacji, fraud detection czy analizy ryzyka.

Drugim krokiem jest ustalenie realnego zastosowania systemu. Sama deklaracja dostawcy, że narzędzie „wspiera efektywność” albo „automatyzuje analizę”, nie wystarczy. Trzeba sprawdzić, czy system wpływa na decyzje dotyczące osób fizycznych, czy jest używany w rekrutacji, zatrudnieniu, kredytach, ubezpieczeniach, usługach publicznych lub innych obszarach wymienionych w AI Act.

Trzecim krokiem powinno być przypisanie odpowiedzialności. Firma powinna wiedzieć, kto zatwierdza użycie danego systemu, kto nadzoruje jego działanie, kto ocenia ryzyko, kto kontaktuje się z dostawcą i kto dokumentuje sposób użycia narzędzia. Bez takiej mapy organizacyjnej trudno będzie wykazać, że AI jest używana w sposób kontrolowany.

Checklista: jak firma powinna przygotować się do AI Act

  1. Sprawdź, gdzie firma używa AI
    Zrób listę narzędzi AI wykorzystywanych w organizacji. Uwzględnij nie tylko duże systemy analityczne, ale także funkcje AI w programach HR, CRM, systemach obsługi klienta, marketingu, windykacji, finansach, compliance i ubezpieczeniach.
  2. Ustal, do czego służy każdy system
    Nie wystarczy wiedzieć, że firma „ma AI”. Trzeba określić, czy system analizuje dane, klasyfikuje osoby, podpowiada decyzje, generuje scoring, filtruje kandydatów, tworzy rekomendacje albo wpływa na obsługę klienta.
  3. Sprawdź, czy AI wpływa na ludzi
    Najważniejsze pytanie brzmi: czy system wpływa na sytuację osoby fizycznej? Dotyczy to kandydatów do pracy, pracowników, klientów, kredytobiorców, ubezpieczonych, pacjentów, uczniów lub odbiorców usług publicznych.
  4. Oceń, czy system może być wysokiego ryzyka
    Porównaj zastosowania systemu z kategoriami wskazanymi w AI Act. Szczególną uwagę zwróć na rekrutację, ocenę pracowników, scoring kredytowy, dostęp do usług podstawowych oraz ubezpieczenia na życie i zdrowotne.
  5. Sprawdź umowy z dostawcami
    Ustal, kto odpowiada za dokumentację techniczną, aktualizacje, bezpieczeństwo, jakość danych, wyniki działania systemu i informacje potrzebne do oceny zgodności. Sama deklaracja dostawcy, że narzędzie jest „zgodne z AI Act”, może nie wystarczyć.
  6. Uporządkuj dokumentację
    Firma powinna wiedzieć, kiedy system został wdrożony, kto go zatwierdził, w jakim celu jest używany, jakie dane przetwarza, kto ma do niego dostęp i jakie decyzje wspiera. Bez dokumentacji trudno będzie wykazać kontrolę nad AI.
  7. Wyznacz osoby odpowiedzialne
    AI Act nie powinien być wyłącznie projektem IT. W przygotowaniach powinny uczestniczyć działy prawne, compliance, HR, bezpieczeństwa, ryzyka, zakupów, ochrony danych i jednostki biznesowe korzystające z danego systemu.
  8. Zadbaj o nadzór człowieka
    Sprawdź, czy pracownicy wiedzą, jak korzystać z systemu, kiedy mogą zakwestionować jego wynik i kto odpowiada za decyzję końcową. Nadzór człowieka powinien być realny, a nie tylko formalny.
  9. Oceń ryzyko dyskryminacji i błędów
    Systemy używane w HR, finansach i ubezpieczeniach mogą prowadzić do nierównego traktowania, jeśli opierają się na wadliwych danych albo źle dobranych kryteriach. Firma powinna regularnie sprawdzać, czy wyniki działania AI nie prowadzą do nieuzasadnionych różnic.
  10. Monitoruj zmiany w harmonogramie
    Śledź prace nad Digital Omnibus i krajową ustawą o systemach sztucznej inteligencji. Nawet jeśli część terminów zostanie przesunięta, obowiązki nie znikną. Dodatkowy czas warto wykorzystać na przygotowanie procedur i dokumentacji.

Największy błąd: „to tylko narzędzie pomocnicze”

Najbardziej ryzykowne może okazać się założenie, że skoro ostateczną decyzję podejmuje człowiek, to AI Act nie ma znaczenia. W praktyce system, który podpowiada, filtruje, szereguje kandydatów, wylicza scoring albo oznacza klienta jako bardziej ryzykownego, może silnie wpływać na decyzję człowieka. To właśnie takie zastosowania będą wymagały szczególnej uwagi.

Dlatego firmy powinny przygotowywać się nie tylko na pytanie: „Czy mamy AI?”, ale przede wszystkim: „Gdzie AI wpływa na ludzi?”. W rekrutacji, bankowości, ubezpieczeniach i usługach podstawowych odpowiedź na to pytanie może przesądzić o całym reżimie obowiązków.

Wniosek dla biznesu

AI Act nie obejmie automatycznie każdej firmy w Polsce. Nie jest też wyłącznie regulacją dla Big Techu. Największe znaczenie będzie miało konkretne zastosowanie sztucznej inteligencji. Jeżeli system pomaga wybierać kandydatów do pracy, ocenia klienta, wpływa na dostęp do kredytu albo na warunki ubezpieczenia, firma powinna już teraz sprawdzić, czy nie ma do czynienia z systemem wysokiego ryzyka.

Niepewność wokół Digital Omnibus może zmienić kalendarz, ale nie zmienia kierunku regulacji. Sztuczna inteligencja w biznesie będzie musiała być możliwa do opisania, nadzorowania i udokumentowania.

Słowniczek: najważniejsze pojęcia z AI Act

AI Act

Unijne rozporządzenie regulujące stosowanie systemów sztucznej inteligencji. Wprowadza m.in. zakazy niektórych praktyk AI, obowiązki dla systemów wysokiego ryzyka, wymogi przejrzystości oraz zasady dotyczące modeli ogólnego przeznaczenia.

System AI

System oparty na technikach sztucznej inteligencji, który na podstawie danych wejściowych generuje wyniki, takie jak rekomendacje, prognozy, klasyfikacje, decyzje, treści albo oceny. W praktyce może to być np. narzędzie do scoringu klienta, filtrowania CV albo analizy ryzyka.

System wysokiego ryzyka

System AI używany w obszarach, w których jego działanie może istotnie wpływać na prawa, bezpieczeństwo lub sytuację życiową człowieka. AI Act wymienia takie obszary m.in. w załączniku III. Należą do nich m.in. zatrudnienie, edukacja, dostęp do usług podstawowych, kredyty oraz wybrane ubezpieczenia.

Dostawca systemu AI

Podmiot, który opracowuje system AI albo zleca jego opracowanie i wprowadza go do obrotu lub oddaje do używania pod własną nazwą lub znakiem towarowym. Dostawcą może być producent oprogramowania, ale w określonych sytuacjach także firma, która istotnie modyfikuje system lub oferuje go jako własny.

Podmiot stosujący AI

Firma lub instytucja, która używa systemu AI w swojej działalności. Może to być np. pracodawca wykorzystujący narzędzie do preselekcji kandydatów, bank używający scoringu kredytowego albo ubezpieczyciel korzystający z systemu oceny ryzyka.

Model ogólnego przeznaczenia

Model AI, który może być wykorzystywany do wielu różnych zadań i zastosowań, np. generowania tekstu, kodu, obrazów, analizowania danych albo tworzenia podsumowań. Takie modele mogą być integrowane z wieloma usługami i produktami.

Scoring kredytowy

Ocena klienta pod kątem jego zdolności lub wiarygodności kredytowej. Jeżeli scoring jest wspierany przez AI i wpływa na dostęp osoby fizycznej do finansowania, może wejść w obszar szczególnego zainteresowania AI Act.

Przejrzystość systemu AI

Obowiązek zapewnienia, aby użytkownicy lub osoby, których dotyczy działanie systemu, otrzymywały odpowiednie informacje o użyciu AI. W zależności od zastosowania może chodzić np. o informację, że dana osoba wchodzi w interakcję z systemem AI albo że treść została wygenerowana sztucznie.

Nadzór człowieka

Rozwiązania organizacyjne i techniczne, które mają zapewnić, że człowiek może kontrolować działanie systemu AI, rozumieć jego wpływ na proces i w razie potrzeby interweniować. Sam formalny udział człowieka w procesie nie zawsze wystarczy.

Digital Omnibus

Pakiet zmian i uproszczeń proponowanych na poziomie Unii Europejskiej, który może wpłynąć na część zasad stosowania regulacji cyfrowych, w tym AI Act. Z punktu widzenia firm najważniejsze jest to, czy i jak Digital Omnibus zmieni terminy lub obowiązki związane z systemami wysokiego ryzyka.

FAQ: AI Act i obowiązki firm

Kiedy AI Act zacznie obowiązywać firmy?

Czy AI Act dotyczy tylko firm technologicznych?

Kiedy system AI może być uznany za system wysokiego ryzyka?

Czy narzędzie do selekcji CV może podlegać AI Act?

Czy AI Act obejmie banki i firmy pożyczkowe?

Czy ubezpieczyciele też muszą przygotować się do AI Act?

Czy człowiek podejmujący ostateczną decyzję wyłącza obowiązki z AI Act?

Co firma powinna zrobić w pierwszej kolejności?

Jakie kary przewiduje AI Act?

Czy firmy powinny czekać na ostateczne rozstrzygnięcia w sprawie Digital Omnibus?

Źródła

Komisja Europejska: AI Act Service Desk – Timeline for the Implementation of the EU AI Act;
EUR-Lex: Regulation (EU) 2024/1689, w szczególności załącznik III i art. 99;
Komisja Europejska: Digital Omnibus on AI Regulation Proposal;
Kancelaria Prezesa Rady Ministrów: Projekt ustawy o systemach sztucznej inteligencji.

Autopromocja
381453mega.png
381455mega.png
381223mega.png
Źródło: gazetaprawna.pl

Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone.

Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A. Kup licencję.

AI ActKomisja EuropejskaUnia Europejska

Powiązane

PITRemont mieszkania dla osoby z niepełnosprawnością może odliczyć w PIT. Skarbówka potwierdza co i w jakim zakresie nadaje się do odliczenia
smartfon, pieniądze
Finanse i gospodarkaStary telefon może obniżyć cenę nowego. Uważaj jednak na jeden warunek
Czy płyta na podczerwień obniża rachunki za prąd?
Nowe technologieNowa płyta a rachunki za prąd? Ile można zaoszczędzić
Nowe świadczenie dla seniorów. Minister zdrowia podaje kwoty i terminy
KrajBon senioralny: Miliard złotych na wsparcie osób starszych. Minister ujawnia szczegóły
pracodawca może zwolnić pracownika w okresie przed emeryturą zwolnienie
Prawo pracySposoby na zwolnienie pracownika w okresie ochronnym przed emeryturą. Pracodawca nie zostaje bez ochrony
senior, DPS, dom pomocy społecznej, gmina, majątek, umowa dożywocia, rząd
KrajKoniec z pozbawianiem seniorów całych majątków i umieszczaniem ich w DPS-ach na koszt gmin? W rządzie trwają prace nad projektem usuwającym niemoralną lukę prawną