AI Act – nowe obowiązki dla przedsiębiorców w dobie rewolucji AI

Struktura AI Act – jak wdrażać?

AI Act uzależnia zakres obowiązków względem systemów AI od ich kategoryzacji oraz od określenia roli podmiotu. Poniżej prezentujemy skrót dotyczący kategorii systemów.

• Praktyki zakazane – m.in. szkodliwa manipulacja i wprowadzanie w błąd, scoring społeczny, untargeted scraping czy kategoryzacja biometryczna. 
• Systemy wysokiego ryzyka – m.in. AI wykorzystywana w infrastrukturze krytycznej, edukacji, rekrutacji, medycynie, finansach czy wymiarze sprawiedliwości. Przewidziano dla nich rozbudowane wymogi dotyczące bezpieczeństwa, zarządzania danymi, dokumentacji technicznej, przejrzystości, nadzoru ludzkiego, jakości danych, monitorowania i raportowania incydentów. 
• Systemy z obowiązkami informacyjnymi – np. chatboty czy asystenci głosowi. Organizacje muszą informować użytkowników, że ci mają do czynienia z AI.
• GPAI (General-Purpose AI) – modele sztucznej inteligencji ogólnego przeznaczenia, które wykazują znaczną ogólność i są zdolne do kompetentnego wykonywania szerokiego zakresu różnych zadań i mogą być integrowane w różnorodne systemy lub aplikacje. Typowym przykładem są duże modele generatywne (np. tekst, obrazy, audio, wideo). Obowiązki związane z systemami GPAI dotyczą m.in. dokumentacji technicznej, transparentności i publicznego streszczania treści treningowych. 
• Pozostałe systemy AI – nieobjęte szczególnymi wymogami, lecz nadal podlegające ogólnym zasadom odpowiedzialności oraz przepisom o ochronie konsumentów i danych osobowych.

Kogo dotyczą przepisy?

Obowiązki wynikające z AI Act dotyczą zarówno dostawców, jak i podmiotów wdrażających rozwiązania AI w działalności własnej – niezależnie od lokalizacji siedziby, jeśli systemy są oferowane lub stosowane na rynku UE. Należy też pamiętać, że podmiot stosujący AI zostaje uznany za dostawcę w szczególnych przypadkach, kiedy np. system jest oznaczony jego nazwą czy znakiem towarowym.

Digital Omnibus – czym jest i jaki ma wpływ na przepisy AI Act?

Digital Omnibus to zbiorcza inicjatywa legislacyjna (wniosek ustawodawczy) Komisji Europejskiej, mająca na celu skoordynowanie i skonsolidowanie przepisów dotyczących gospodarki cyfrowej w UE, m.in. AI Act, Data Act, Data Governance Act, DSA (Digital Services Act), DMA (Digital Markets Act) oraz innych aktów dotyczących nowych technologii.

Status prac: Digital Omnibus jest dopiero na wczesnym etapie opracowania. W dalszej kolejności zostanie przekazany do Rady i Parlamentu, gdzie prawdopodobnie będą ustalane dalsze poprawki, co oznacza, że spodziewane jest posiedzenie trójstronne (negocjacje międzyinstytucjonalne gromadzące przedstawicieli Parlamentu Europejskiego, Rady Unii Europejskiej i Komisji Europejskiej).

W ramach Digital Omnibus w kontekście AI Act planowane są m.in.:

• Wydłużenie terminów stosowania wymogów dla systemów wysokiego ryzyka – zgodnie z obecnym kształtem AI Act przepisy dotyczące systemów AI wysokiego ryzyka będą miały zastosowanie od sierpnia 2026 r. lub sierpnia 2027 r. (dla systemów wysokiego ryzyka wykorzystywanych jako elementy związane z bezpieczeństwem produktów objętych unijnym ustawodawstwem harmonizacyjnym). Propozycja w ramach projektu Digital Omnibus zmierza do opóźnienia daty stosowania tych wymogów. Ich wejście w życie uzależnia od gotowości odpowiednich norm zharmonizowanych, wspólnych specyfikacji lub wytycznych. Przepisy te zaczną jednak obowiązywać nie później niż podane long-stop dates (część przepisów musi wejść najpóźniej w grudniu 2027 r., a kolejne nie później niż w sierpniu 2028 r.).
• Dodatkowe okresy przejściowe dla istniejących systemów AI – m.in. sześciomiesięczny czas na dostosowanie generatywnych systemów AI do wymogów transparentności (np. oznaczanie treści generowanych przez AI).
• Dodatkowe ułatwienia dla MŚP – uproszczone wymogi dokumentacyjne, proporcjonalne systemy zarządzania jakością, limity kar.
• Centralizacja nadzoru i koordynacja egzekwowania przepisów – powierzenie kompetencji nowemu AI Office Komisji Europejskiej w odniesieniu do wybranych systemów (np. opartych na modelach ogólnego przeznaczenia czy stanowiących VLOP/VLOSE w rozumieniu Digital Services Act), przy zachowaniu roli krajowych organów dla produktów objętych unijnym ustawodawstwem harmonizacyjnym. 

Dodatkowe nowości ze świata AI compliance: AI Act Whistleblower Tool

W listopadzie 2025 r. Komisja Europejska uruchomiła nowe narzędzie: AI Act Whistleblower Tool, którego zadaniem jest zapewnienie bezpiecznego i poufnego kanału do zgłaszania podejrzeń naruszeń AI Act bezpośrednio do EU AI Office.

Zgodnie z zapewnieniami Komisji narzędzie:

• umożliwia zgłaszanie w dowolnym języku urzędowym UE i w różnych formatach, 
• gwarantuje najwyższy poziom poufności i ochrony danych dzięki certyfikowanym mechanizmom szyfrowania, 
• umożliwia śledzenie postępów zgłoszenia i odpowiadanie na dodatkowe pytania (bez utraty anonimowości).

Dla przedsiębiorców to znak, że Komisja wprowadza w życie narzędzie, które w praktyce ma pomóc w egzekwowaniu przepisów AI Act.

AI Act w Polsce

AI Act stosuje się bezpośrednio w państwach członkowskich, wymaga jednak ustanowienia krajowych przepisów wykonawczych w zakresie wyznaczenia organów nadzoru, sankcji, procedur administracyjnych oraz szczegółowych mechanizmów kontroli.

W Polsce od drugiej połowy 2024 r. trwają prace nad ustawą o systemach AI, mającą określić:

• organ krajowy odpowiedzialny za nadzór nad wdrażaniem AI Act (najczęściej wskazywane są Urząd Ochrony Danych Osobowych, Urząd Komunikacji Elektronicznej lub nowa wyspecjalizowana agencja ds. AI), 
• procedury zgłaszania i rozpatrywania incydentów oraz naruszeń przepisów AI Act, 
• zakres i wysokość kar administracyjnych za naruszenia przepisów, 
• mechanizmy wsparcia dla przedsiębiorców wdrażających AI (np. wytyczne, sandboxy regulacyjne, wsparcie techniczne).

Status prac: Na dzień sporządzenia niniejszego przewodnika projekt ustawy o systemach sztucznej inteligencji jest na etapie prac rządowych i konsultacji. Przewiduje się, że ustawa zostanie uchwalona w pierwszej połowie 2026 r., aby zapewnić pełną gotowość polskiego systemu prawnego do egzekwowania i wspierania wdrożenia AI Act.

Krajowa ustawa wykonawcza będzie kluczowa dla praktycznego stosowania AI Act w Polsce. W praktyce organizacje będą musiały uwzględnić zarówno wymogi AI Act, jak i krajowe procedury nadzorcze oraz sprawozdawcze. Już teraz warto monitorować postęp prac legislacyjnych oraz przygotować struktury compliance na nowe obowiązki i wymagania formalne.

Artykuł pochodzi z publikacji "Przewodnik Prawny EY Law: Praktycznie o prawie 2026".