Akt o AI UE: harmonogram i obowiązki dla MŚP 2025–2027
What you need to know: Akt o AI UE: harmonogram i obowiązki dla MŚP 2025–2027
Akt o AI UE jest wdrażany etapami. Oto dokładnie, co już obowiązuje, co wkrótce wejdzie w życie i których terminów Twoja firma nie może przegapić.
Akt o AI UE (rozporządzenie 2024/1689) wszedł w życie 1 sierpnia 2024 roku, jednak jego egzekwowanie przebiega etapami przez trzy lata. Dla MŚP wdrażających systemy AI zrozumienie tych dat jest kluczowe — część obowiązków jest już prawnie wiążąca, a niedotrzymanie terminu w sierpniu 2026 roku grozi karami do 35 milionów euro lub 7% globalnego rocznego obrotu.
Niniejszy przewodnik omawia każdą kluczową datę, co każdy etap faktycznie wymaga oraz co MŚP powinny robić już teraz.
Co już obowiązuje
2 lutego 2025 r. — Wiedza o AI (artykuł 4)
Pierwszy etap egzekwowania minął 2 lutego 2025 roku. Każda organizacja, która dostarcza lub wdraża systemy AI, musi zapewnić swoim pracownikom „wystarczającą wiedzę o AI". Nie jest to zalecenie — to prawnie wiążący obowiązek wynikający z artykułu 4.
W praktyce wiedza o AI oznacza, że pracownicy powinni rozumieć:
- Jakie systemy AI wykorzystuje Twoja organizacja i w jakich procesach
- Jak te systemy działają na wysokim poziomie — jakie mają wejścia, wyjścia i logikę
- Ich znane ograniczenia, możliwe błędy i potencjał do stronniczości
- Ryzyka specyficzne dla kontekstu wdrożenia
- Jak eskalować zastrzeżenia lub anomalie
Nie musisz szkolić każdego pracownika z architektury sieci neuronowych. Jednak menedżerowie, którzy polegają na wynikach generowanych przez AI przy podejmowaniu decyzji dotyczących ludzi — rekomendacjach rekrutacyjnych, ocenach zdolności kredytowej, ocenach wyników — potrzebują gruntownej wiedzy, nie tylko formalnego zaliczenia szkolenia.
Europejskie Biuro ds. AI nie wydało jeszcze szczegółowych wytycznych dotyczących tego, co stanowi „wystarczającą" wiedzę, ale praktyczny standard brzmi: czy pracownik potrafiłby zidentyfikować błąd systemu AI i wiedzieć, co z tym zrobić?
2 lutego 2025 r. — Zakazane praktyki AI (artykuł 5)
Osiem kategorii AI jest obecnie bezwzględnie zakazanych w całej UE:
- Manipulacja podprogowa — AI wykorzystująca techniki poniżej progu świadomości w celu wpływania na zachowanie w sposób szkodliwy
- Wykorzystywanie podatności — AI kierowana do osób ze względu na wiek, niepełnosprawność lub sytuację społeczno-ekonomiczną w celu zniekształcenia ich zachowania
- Social scoring przez organy publiczne — ocenianie osób fizycznych na podstawie ich zachowań społecznych lub cech osobistych na potrzeby ogólnej oceny społecznej
- Zdalna identyfikacja biometryczna w czasie rzeczywistym w przestrzeniach publicznych przez organy ścigania (z wąskimi, ograniczonymi czasowo wyjątkami dla określonych przestępstw)
- Kategoryzacja biometryczna wnioskująca o wrażliwych atrybutach (rasie, poglądach politycznych, przekonaniach religijnych, orientacji seksualnej) z danych biometrycznych
- Rozpoznawanie emocji w miejscach pracy i instytucjach edukacyjnych
- Nieukierunkowane pozyskiwanie zdjęć twarzy z internetu lub telewizji przemysłowej w celu tworzenia baz danych biometrycznych
- Predykcyjne profilowanie ukierunkowane na osoby fizyczne na podstawie profilowania lub cech osobowości
Dla większości MŚP kluczowym zakazem do sprawdzenia jest rozpoznawanie emocji w miejscu pracy (zakaz 6). Jeśli korzystacie z narzędzi analitycznych HR, oprogramowania do spotkań lub narzędzi produktywności, które twierdzą, że wnioskują o nastroju lub stanie emocjonalnym pracowników na podstawie wideo, dźwięku lub zachowania, ten przypadek użycia jest obecnie zakazany.
Co obowiązuje od sierpnia 2025 r.
2 sierpnia 2025 r. — Obowiązki dotyczące modeli AI ogólnego przeznaczenia (rozdział V)
Od sierpnia 2025 roku dostawcy modeli AI ogólnego przeznaczenia (GPAI) muszą spełniać wymogi dotyczące przejrzystości i dokumentacji. Dotyczy to firm, które opracowują i udostępniają modele podstawowe — nie firm, które korzystają z nich za pośrednictwem API.
Jeśli korzystasz z GPT-4, Claude, Gemini lub Mistral przez API, jesteś podmiotem stosującym, nie dostawcą GPAI. Obowiązki te spoczywają odpowiednio na OpenAI, Anthropic, Google i Mistral. Jednak jeśli dostrajasz model podstawowy i udostępniasz go zewnętrznie, możesz stać się dostawcą GPAI podlegającym tym przepisom.
Dostawcy GPAI muszą tworzyć dokumentację techniczną, przestrzegać zasad dotyczących praw autorskich i publikować podsumowania danych treningowych. Modele uznane za stwarzające „ryzyko systemowe" (te wytrenowane przy użyciu ponad 10^25 FLOP) podlegają dodatkowym wymogom: testom adversarialnym, środkom cyberbezpieczeństwa i zgłaszaniu incydentów do Europejskiego Biura ds. AI.
Kluczowy termin: 2 sierpnia 2026 r.
Systemy AI wysokiego ryzyka (załącznik III)
To najważniejszy termin dla większości organizacji stosujących AI. Od 2 sierpnia 2026 roku każdy system AI objęty załącznikiem III, używany do podejmowania lub istotnego wpływania na decyzje dotyczące osób, musi spełniać pełen zestaw obowiązków dla systemów wysokiego ryzyka.
Kategorie z załącznika III:
- Identyfikacja biometryczna i kategoryzacja
- Infrastruktura krytyczna (energia, woda, transport, sieci cyfrowe)
- Edukacja i kształcenie zawodowe (dostęp, ocena, ewaluacja)
- Zatrudnienie (rekrutacja, selekcja, awans, wypowiedzenie, monitorowanie)
- Dostęp do podstawowych usług (kredyt, ubezpieczenie, świadczenia społeczne, służby ratownicze)
- Egzekwowanie prawa
- Migracja i azyl
- Wymiar sprawiedliwości i procesy demokratyczne
Większość MŚP nie będzie bezpośrednio stosować AI w egzekwowaniu prawa ani w obszarze migracji. Jednak zatrudnienie i dostęp do usług są istotne dla szerokiego grona przedsiębiorstw:
- Narzędzia do wstępnej selekcji CV lub rankingowania kandydatów z pomocą AI
- Oprogramowanie do monitorowania wyników wpływające na decyzje kadrowe
- Narzędzia do oceny ryzyka kredytowego lub ubezpieczeniowego
- Chatboty warunkujące dostęp do usług publicznych lub świadczeń
Czego wymaga pełna zgodność dla systemów AI wysokiego ryzyka:
- System zarządzania ryzykiem (artykuł 9): udokumentowany, ciągły proces identyfikacji i ograniczania ryzyk przez cały cykl życia
- Dane i zarządzanie danymi (artykuł 10): dane treningowe, walidacyjne i testowe muszą być trafne, reprezentatywne i wolne od błędów
- Dokumentacja techniczna (artykuł 11): szczegółowa dokumentacja celu, projektu, wydajności i znanych ograniczeń systemu
- Prowadzenie rejestrów / logowanie (artykuł 12): automatyczne rejestrowanie operacji, w szczególności w egzekwowaniu prawa i infrastrukturze krytycznej
- Przejrzystość wobec podmiotów stosujących (artykuł 13): dostawcy muszą dostarczać instrukcje użytkowania, w tym zamierzony cel i ograniczenia
- Nadzór ludzki (artykuł 14): skuteczne środki nadzoru, obejmujące możliwość interwencji, nadpisania lub wyłączenia systemu przez człowieka
- Dokładność, odporność i cyberbezpieczeństwo (artykuł 15): określone metryki wydajności i środki cyberbezpieczeństwa przez cały cykl życia
- Ocena zgodności (artykuł 43): ocena przez stronę trzecią dla określonych kategorii wysokiego ryzyka lub samoocena z rejestracją u jednostki notyfikowanej
Sama ocena zgodności może zająć od trzech do sześciu miesięcy. Organizacje, które zaczekają do początku 2026 roku, mogą mieć trudności z jej ukończeniem na czas.
2 sierpnia 2027 r. — Pełne egzekwowanie
Ostatni etap obejmuje systemy AI wbudowane w produkty już regulowane na mocy zharmonizowanego prawa UE: wyroby medyczne, diagnostykę in vitro, lotnictwo cywilne, wyposażenie morskie, kolej, pojazdy silnikowe, maszyny rolnicze i zabawki. Produkty te muszą być zgodne z przepisami do sierpnia 2027 roku.
Dotyczy to producentów produktów fizycznych zawierających AI — np. urządzenia monitorującego z diagnostyką opartą na uczeniu maszynowym, systemu bezpieczeństwa pojazdu czy inteligentnej zabawki. Obowiązki wynikające z Aktu o AI nakładają się na istniejące przepisy dotyczące bezpieczeństwa produktów.
Co MŚP powinny robić już teraz
Krok 1: Wiedza o AI (już wymagana). Przeprowadź udokumentowane szkolenie obejmujące używane narzędzia AI, ich ograniczenia i procedury eskalacji. Przechowuj dokumentację — właściwe organy krajowe będą prosić o dowody.
Krok 2: Zbuduj inwentarz AI. Sporządź listę wszystkich systemów AI używanych przez organizację, w tym narzędzi zewnętrznych z wbudowaną AI. Udokumentuj cel, dostawcę, dane wejściowe i osoby korzystające z wyników.
Krok 3: Sklasyfikuj każdy system według poziomu ryzyka. Przeanalizuj kategorie z załącznika III dla każdego systemu w inwentarzu. Drzewo decyzyjne: czy ten system AI działa w wymienionym sektorze? Czy podejmuje lub istotnie wpływa na decyzje dotyczące osób? Jeśli na oba pytania odpowiedź brzmi tak, jest to system wysokiego ryzyka.
Krok 4: Sprawdź załącznik I w przypadku AI wbudowanej w produkty. Jeśli produkujesz wyroby, zweryfikuj, czy komponenty AI podlegają zharmonizowanym przepisom objętym terminem 2027 roku.
Krok 5: Dla każdego systemu wysokiego ryzyka przeprowadź analizę luk. Porównaj bieżącą dokumentację i procesy z dziewięcioma wymogami z artykułów 9–15. Opracuj plan naprawczy. Jeśli wymagana jest ocena zgodności przez stronę trzecią, zidentyfikuj jednostkę notyfikowaną i nawiąż kontakt już teraz — możliwości są szybko zapełniane.
Często zadawane pytania
Korzystamy z narzędzi AI od dostawców — jesteśmy „podmiotem stosującym" czy „dostawcą"? Jeśli korzystasz z AI innych firm za pośrednictwem API lub SaaS i wdrażasz ją w swoich procesach biznesowych, jesteś podmiotem stosującym. Dostawcy (firmy, które zbudowały i dostarczyły system AI) ponoszą podstawowe obowiązki. Jednak podmioty stosujące mają własne obowiązki wynikające z artykułu 26, w tym zapewnienie, że system jest używany zgodnie z zamierzonym celem oraz że nadzór ludzki jest wdrożony dla systemów wysokiego ryzyka.
Co jeśli nasz system AI nie podlega załącznikowi III? Systemy spoza załącznika III nie są systemami wysokiego ryzyka. Mogą jednak podlegać ograniczonym obowiązkom dotyczącym przejrzystości (artykuł 50 — dla chatbotów i deepfake'ów), ale nie wymagają ocen zgodności ani pełnego reżimu dokumentacyjnego. Nadal musisz spełniać obowiązek dotyczący wiedzy o AI (artykuł 4) i unikać zakazanych praktyk (artykuł 5).
Czy termin sierpień 2026 r. jest wiążący? Tak. Etapowe daty stosowania są zapisane w artykule 113 rozporządzenia. Nie ma wskazań na przedłużenie, a Europejskie Biuro ds. AI aktywnie buduje zdolności egzekucyjne. Właściwe organy krajowe zostały wyznaczone we wszystkich państwach członkowskich UE.
Jakie kary grożą za niedotrzymanie terminu dla systemów wysokiego ryzyka? Nieprzestrzeganie obowiązków dotyczących systemów wysokiego ryzyka (artykuły 9–15) grozi karami do 15 milionów euro lub 3% globalnego rocznego obrotu, w zależności od tego, która kwota jest wyższa. Zakazane praktyki (artykuł 5) grożą karami do 35 milionów euro lub 7%. Dostarczanie organom nadzorczym nieprawidłowych informacji grozi karami do 7,5 miliona euro lub 1,5%.
Źródła
- EUR-Lex, rozporządzenie (UE) 2024/1689 (Akt o AI UE), artykuł 113 (daty stosowania): https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32024R1689
- Europejskie Biuro ds. AI, harmonogram wdrożenia i wytyczne: https://digital-strategy.ec.europa.eu/en/policies/european-ai-office
- ENISA, mapa drogowa zgodności AI i wytyczne dla operatorów: https://www.enisa.europa.eu/topics/artificial-intelligence
Niniejszy artykuł ma charakter wyłącznie informacyjny i nie stanowi porady prawnej. Przed podjęciem decyzji dotyczących zgodności należy skonsultować się z wykwalifikowanym doradcą prawnym.
Key takeaways: Akt o AI UE: harmonogram i obowiązki dla MŚP 2025–2027
This article covers: Co już obowiązuje, Co obowiązuje od sierpnia 2025 r., Kluczowy termin: 2 sierpnia 2026 r..
- Co już obowiązuje
- Co obowiązuje od sierpnia 2025 r.
- Kluczowy termin: 2 sierpnia 2026 r.
- 2 sierpnia 2027 r. — Pełne egzekwowanie
- Co MŚP powinny robić już teraz
EuroComply Editorial Team
EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.
For informational purposes only. Consult qualified legal counsel.
Get the weekly EU compliance briefing — 2 minutes, every Thursday.