Gazeta Prawna
AI

AI Act coraz bliżej firm. Największe ryzyko nie jest w IT, tylko w HR, finansach i ubezpieczeniach

AI Act coraz bliżej firm
AI Act coraz bliżej firmShutterstock
Dominik Kulig
Dominik Kulig
dzisiaj, 11:15
aktualizacja 33 minut temu

Firmy, które korzystają ze sztucznej inteligencji przy rekrutacji, ocenie klientów, scoringu kredytowym albo wycenie ryzyka ubezpieczeniowego, powinny już sprawdzać, czy nie wchodzą w reżim systemów wysokiego ryzyka. Oficjalny unijny harmonogram nadal wskazuje 2 sierpnia 2026 r. jako kluczową datę dla większości przepisów AI Act, choć równolegle w UE trwają prace nad Digital Omnibus, który może zmienić część terminów.

Skrót artykułu

AI Act przestaje być tematem wyłącznie dla działów prawnych dużych firm technologicznych. W praktyce nowe obowiązki mogą dotknąć także przedsiębiorstwa, które nie tworzą własnych modeli sztucznej inteligencji, ale korzystają z gotowych narzędzi w procesach biznesowych. Chodzi zwłaszcza o te zastosowania, które wpływają na sytuację człowieka: zatrudnienie, dostęp do usług finansowych, ocenę ryzyka albo warunki ubezpieczenia.

Z oficjalnej osi czasu Komisji Europejskiej wynika, że AI Act jest stosowany etapami. Od 2 lutego 2025 r. obowiązują m.in. przepisy ogólne, wymogi dotyczące kompetencji w zakresie AI oraz zakazy wybranych praktyk. Od 2 sierpnia 2025 r. stosowane są reguły dotyczące modeli ogólnego przeznaczenia i unijnego systemu zarządzania. Natomiast 2 sierpnia 2026 r. ma rozpocząć się stosowanie większości przepisów, w tym zasad dla systemów wysokiego ryzyka z załącznika III oraz wymogów przejrzystości z art. 50. Pełne wdrożenie przewidziano na 2 sierpnia 2027 r.

Ważne

AI Act nie dotyczy wyłącznie producentów sztucznej inteligencji. Obowiązki mogą mieć także firmy, które korzystają z gotowych narzędzi AI, zwłaszcza gdy system wpływa na decyzje dotyczące pracowników, kandydatów do pracy, klientów albo dostępu do usług finansowych.

Nie branża, lecz zastosowanie

Najważniejsza zmiana w myśleniu o AI Act polega na tym, że sama przynależność do konkretnej branży nie przesądza jeszcze o obowiązkach. Kluczowe jest to, do czego system AI jest używany. Firma może więc nie być dostawcą technologii, a mimo to wejść w obszar regulacji, jeżeli wykorzystuje AI w procesach, które AI Act uznaje za szczególnie wrażliwe.

W załączniku III (EUR-Lex) do rozporządzenia jako systemy wysokiego ryzyka wskazano m.in. narzędzia używane w zatrudnieniu i zarządzaniu pracownikami. Chodzi na przykład o systemy służące do rekrutacji, selekcji kandydatów, analizy i filtrowania aplikacji czy oceny osób ubiegających się o pracę. W tej samej grupie mieszczą się także rozwiązania wpływające na awans, zakończenie stosunku pracy, przydział zadań albo monitorowanie i ocenę pracownika.

To oznacza, że dział HR korzystający z narzędzia do automatycznej preselekcji CV nie może zakładać, że AI Act dotyczy wyłącznie producenta oprogramowania. W wielu przypadkach znaczenie będzie miało także to, jak narzędzie jest wdrożone, kto podejmuje ostateczną decyzję, jakie dane są przetwarzane i czy firma potrafi wykazać kontrolę nad procesem.

Ważne

Dla oceny obowiązków z AI Act kluczowe jest zastosowanie systemu. To, że firma nie działa w branży technologicznej, nie oznacza automatycznie, że przepisy jej nie dotyczą. System używany w HR, kredytach, ubezpieczeniach albo usługach podstawowych może wejść w kategorię wysokiego ryzyka.

Banki, fintechy i ubezpieczyciele pod szczególną obserwacją

Drugim obszarem wysokiego ryzyka są usługi, które mają istotne znaczenie dla sytuacji życiowej lub finansowej obywateli. AI Act obejmuje m.in. systemy służące do oceny zdolności kredytowej osób fizycznych albo ustalania ich scoringu kredytowego, z wyjątkiem narzędzi wykorzystywanych do wykrywania oszustw finansowych. Rozporządzenie wskazuje, że takie systemy mogą przesądzać o dostępie do zasobów finansowych lub usług podstawowych, takich jak mieszkanie, energia czy telekomunikacja.

Wysokim ryzykiem mogą być objęte również systemy używane do oceny ryzyka i ustalania cen w ubezpieczeniach na życie i zdrowotnych. Unijny prawodawca podkreśla, że błędnie zaprojektowane lub źle używane narzędzia tego typu mogą prowadzić do dyskryminacji, wykluczenia finansowego albo innych poważnych skutków dla klientów.

Dla banków, fintechów i ubezpieczycieli oznacza to konieczność przejrzenia nie tylko systemów bezpośrednio podejmujących decyzje, ale także narzędzi wspierających analityków, underwriterów, doradców czy konsultantów. W praktyce granica między „systemem pomocniczym” a rozwiązaniem realnie wpływającym na decyzję wobec klienta może być jednym z najważniejszych punktów spornych.

Ważne

Banki, firmy pożyczkowe, fintechy i ubezpieczyciele powinny sprawdzić nie tylko systemy, które automatycznie podejmują decyzje. Ryzykowne mogą być także narzędzia wspierające analityków, doradców, underwriterów lub konsultantów, jeśli wpływają na ocenę klienta.

Sierpień 2026 r. pozostaje datą graniczną, ale kalendarz może się zmienić

Na dziś oficjalna oś czasu Komisji Europejskiej nadal wskazuje 2 sierpnia 2026 r. jako moment, od którego mają być stosowane m.in. przepisy dotyczące systemów wysokiego ryzyka z załącznika III. Jednocześnie Komisja zaznacza, że w ramach pakietu Digital Omnibus zaproponowano powiązanie stosowania przepisów o systemach wysokiego ryzyka z dostępnością narzędzi wsparcia, w tym odpowiednich norm zharmonizowanych.

Digital Omnibus został opublikowany przez Komisję 19 listopada 2025 r. jako pakiet ukierunkowanych uproszczeń mających zapewnić sprawniejsze i bardziej proporcjonalne stosowanie części przepisów AI Act. Rada UE przyjęła swoje stanowisko 13 marca 2026 r., a w Parlamencie Europejskim komisje IMCO i LIBE przyjęły wspólne sprawozdanie 18 marca 2026 r., dokumentacja Parlamentu wskazuje, że propozycja dotyczy m.in. opóźnień w normach, wytycznych i narzędziach zgodności dla wymogów wysokiego ryzyka.

Dla przedsiębiorców oznacza to niepewność, ale nie powód do bezczynności. Jeżeli termin zostanie przesunięty, firmy zyskają dodatkowy czas na dostosowanie. Jeżeli nie, brak wcześniejszej inwentaryzacji systemów AI może stać się problemem organizacyjnym, prawnym i reputacyjnym.

Polska buduje nadzór nad sztuczną inteligencją

Równolegle trwają prace nad krajowymi przepisami dotyczącymi systemów sztucznej inteligencji. Rada Ministrów przyjęła projekt ustawy 31 marca 2026 r. Jak informuje KPRM, za kontrolę technologii AI oraz wspieranie ich rozwoju ma odpowiadać nowa instytucja - Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji. Projekt ma służyć stosowaniu unijnego aktu o sztucznej inteligencji w Polsce.

Zgodnie z rządową informacją KRiBSI ma być niezależną jednostką obsługiwaną organizacyjnie przez Ministerstwo Cyfryzacji. W jej skład mają wejść m.in. przedstawiciele wskazani przez prezesa UOKiK, prezesa UKE, Komisję Nadzoru Finansowego oraz KRRiT. Komisja ma mieć możliwość sprawdzania, czy systemy AI spełniają wymagania prawa i bezpieczeństwa, a w razie naruszeń, ograniczania ich używania albo wycofywania z rynku.

To ważne dla firm, bo AI Act jako rozporządzenie unijne jest stosowany bezpośrednio, ale krajowa ustawa ma zbudować praktyczny system nadzoru, procedur i instytucji. Innymi słowy: nawet jeżeli wiele szczegółów organizacyjnych w Polsce jest jeszcze w toku, kierunek regulacyjny jest już wyznaczony.

Kary mogą być wyższe niż typowe sankcje administracyjne

AI Act przewiduje sankcje, które mają być skuteczne, proporcjonalne i odstraszające. Zgodnie z art. 99 rozporządzenia za naruszenia dotyczące zakazanych praktyk AI maksymalna kara może wynieść do 35 mln euro albo do 7 proc. całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego, w zależności od tego, która kwota jest wyższa. Za inne naruszenia, w tym dotyczące obowiązków operatorów systemów wysokiego ryzyka lub wymogów przejrzystości, limit wynosi do 15 mln euro albo 3 proc. obrotu. Za przekazanie organom nieprawidłowych, niepełnych lub wprowadzających w błąd informacji sankcja może sięgnąć 7,5 mln euro albo 1 proc. obrotu.

Od czego firma powinna zacząć

Pierwszym krokiem powinna być inwentaryzacja narzędzi AI używanych w organizacji. Nie chodzi tylko o duże systemy analityczne czy własne modele. Na liście powinny znaleźć się także narzędzia kupione od dostawców, funkcje AI w systemach HR, rozwiązania do obsługi klienta, automatyzacji dokumentów, scoringu, marketingu, windykacji, fraud detection czy analizy ryzyka.

Drugim krokiem jest ustalenie realnego zastosowania systemu. Sama deklaracja dostawcy, że narzędzie „wspiera efektywność” albo „automatyzuje analizę”, nie wystarczy. Trzeba sprawdzić, czy system wpływa na decyzje dotyczące osób fizycznych, czy jest używany w rekrutacji, zatrudnieniu, kredytach, ubezpieczeniach, usługach publicznych lub innych obszarach wymienionych w AI Act.

Trzecim krokiem powinno być przypisanie odpowiedzialności. Firma powinna wiedzieć, kto zatwierdza użycie danego systemu, kto nadzoruje jego działanie, kto ocenia ryzyko, kto kontaktuje się z dostawcą i kto dokumentuje sposób użycia narzędzia. Bez takiej mapy organizacyjnej trudno będzie wykazać, że AI jest używana w sposób kontrolowany.

Checklista: jak firma powinna przygotować się do AI Act

  1. Sprawdź, gdzie firma używa AI
    Zrób listę narzędzi AI wykorzystywanych w organizacji. Uwzględnij nie tylko duże systemy analityczne, ale także funkcje AI w programach HR, CRM, systemach obsługi klienta, marketingu, windykacji, finansach, compliance i ubezpieczeniach.
  2. Ustal, do czego służy każdy system
    Nie wystarczy wiedzieć, że firma „ma AI”. Trzeba określić, czy system analizuje dane, klasyfikuje osoby, podpowiada decyzje, generuje scoring, filtruje kandydatów, tworzy rekomendacje albo wpływa na obsługę klienta.
  3. Sprawdź, czy AI wpływa na ludzi
    Najważniejsze pytanie brzmi: czy system wpływa na sytuację osoby fizycznej? Dotyczy to kandydatów do pracy, pracowników, klientów, kredytobiorców, ubezpieczonych, pacjentów, uczniów lub odbiorców usług publicznych.
  4. Oceń, czy system może być wysokiego ryzyka
    Porównaj zastosowania systemu z kategoriami wskazanymi w AI Act. Szczególną uwagę zwróć na rekrutację, ocenę pracowników, scoring kredytowy, dostęp do usług podstawowych oraz ubezpieczenia na życie i zdrowotne.
  5. Sprawdź umowy z dostawcami
    Ustal, kto odpowiada za dokumentację techniczną, aktualizacje, bezpieczeństwo, jakość danych, wyniki działania systemu i informacje potrzebne do oceny zgodności. Sama deklaracja dostawcy, że narzędzie jest „zgodne z AI Act”, może nie wystarczyć.
  6. Uporządkuj dokumentację
    Firma powinna wiedzieć, kiedy system został wdrożony, kto go zatwierdził, w jakim celu jest używany, jakie dane przetwarza, kto ma do niego dostęp i jakie decyzje wspiera. Bez dokumentacji trudno będzie wykazać kontrolę nad AI.
  7. Wyznacz osoby odpowiedzialne
    AI Act nie powinien być wyłącznie projektem IT. W przygotowaniach powinny uczestniczyć działy prawne, compliance, HR, bezpieczeństwa, ryzyka, zakupów, ochrony danych i jednostki biznesowe korzystające z danego systemu.
  8. Zadbaj o nadzór człowieka
    Sprawdź, czy pracownicy wiedzą, jak korzystać z systemu, kiedy mogą zakwestionować jego wynik i kto odpowiada za decyzję końcową. Nadzór człowieka powinien być realny, a nie tylko formalny.
  9. Oceń ryzyko dyskryminacji i błędów
    Systemy używane w HR, finansach i ubezpieczeniach mogą prowadzić do nierównego traktowania, jeśli opierają się na wadliwych danych albo źle dobranych kryteriach. Firma powinna regularnie sprawdzać, czy wyniki działania AI nie prowadzą do nieuzasadnionych różnic.
  10. Monitoruj zmiany w harmonogramie
    Śledź prace nad Digital Omnibus i krajową ustawą o systemach sztucznej inteligencji. Nawet jeśli część terminów zostanie przesunięta, obowiązki nie znikną. Dodatkowy czas warto wykorzystać na przygotowanie procedur i dokumentacji.

Największy błąd: „to tylko narzędzie pomocnicze”

Najbardziej ryzykowne może okazać się założenie, że skoro ostateczną decyzję podejmuje człowiek, to AI Act nie ma znaczenia. W praktyce system, który podpowiada, filtruje, szereguje kandydatów, wylicza scoring albo oznacza klienta jako bardziej ryzykownego, może silnie wpływać na decyzję człowieka. To właśnie takie zastosowania będą wymagały szczególnej uwagi.

Dlatego firmy powinny przygotowywać się nie tylko na pytanie: „Czy mamy AI?”, ale przede wszystkim: „Gdzie AI wpływa na ludzi?”. W rekrutacji, bankowości, ubezpieczeniach i usługach podstawowych odpowiedź na to pytanie może przesądzić o całym reżimie obowiązków.

Wniosek dla biznesu

AI Act nie obejmie automatycznie każdej firmy w Polsce. Nie jest też wyłącznie regulacją dla Big Techu. Największe znaczenie będzie miało konkretne zastosowanie sztucznej inteligencji. Jeżeli system pomaga wybierać kandydatów do pracy, ocenia klienta, wpływa na dostęp do kredytu albo na warunki ubezpieczenia, firma powinna już teraz sprawdzić, czy nie ma do czynienia z systemem wysokiego ryzyka.

Niepewność wokół Digital Omnibus może zmienić kalendarz, ale nie zmienia kierunku regulacji. Sztuczna inteligencja w biznesie będzie musiała być możliwa do opisania, nadzorowania i udokumentowania.

Źródła

Komisja Europejska: AI Act Service Desk – Timeline for the Implementation of the EU AI Act;
EUR-Lex: Regulation (EU) 2024/1689, w szczególności załącznik III i art. 99;
Komisja Europejska: Digital Omnibus on AI Regulation Proposal;
Kancelaria Prezesa Rady Ministrów: Projekt ustawy o systemach sztucznej inteligencji.

Autopromocja
381453mega.png
381455mega.png
381148mega.png
Źródło: gazetaprawna.pl

Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone.

Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A. Kup licencję.

AI ActKomisja EuropejskaUnia Europejska

Powiązane

PITRemont mieszkania osoba z niepełnosprawnością może odliczyć w PIT. Fiskus wyjaśnia co i w jakim zakresie nadaje się do odliczenia
smartfon, pieniądze
Finanse i gospodarkaStary telefon może obniżyć cenę nowego. Uważaj jednak na jeden warunek
Czy płyta na podczerwień obniża rachunki za prąd?
Nowe technologieNowa płyta na podczerwień a rachunki za prąd. Czy nowa technologia rzeczywiście pozwala płacić mniej?
Nowe świadczenie dla seniorów. Minister zdrowia podaje kwoty i terminy
KrajBon senioralny: Miliard złotych na wsparcie osób starszych. Minister ujawnia szczegóły
pracodawca może zwolnić pracownika w okresie przed emeryturą zwolnienie
Prawo pracyPracodawca może zwolnić pracownika w okresie ochronnym przed emeryturą. Oto 4 możliwości
senior, DPS, dom pomocy społecznej, gmina, majątek, umowa dożywocia, rząd
KrajKoniec z pozbawianiem seniorów całych majątków i umieszczaniem ich w DPS-ach na koszt gmin. Rząd usuwa niemoralną lukę prawną