EuroComply
Sign up
Back to blog
Poradniki 11 min read

Lista zgodności z przepisami UE dla startupów tech w 2026 roku

What you need to know: Lista zgodności z przepisami UE dla startupów tech w 2026 roku

Uruchamiasz lub rozwijasz działalność w UE? Ta lista obejmuje obowiązki wynikające z RODO, aktu o AI, dyrektywy NIS2, CRA i DSA według etapów rozwoju firmy — abyś wiedział, co priorytetyzować i kiedy.

Source: EuroComply Editorial (2026-04-14)Reviewed:
EuroComply Team
EU regulatory specialistsContent reviewed against official EUR-Lex texts
EuroComply Editorial Team

Obowiązki regulacyjne UE dla firm technologicznych nie są jednakowe dla wszystkich. To, co dotyczy Twojego startupu, zależy od trzech czynników: co robi Twój produkt, komu go sprzedajesz i jak duża jest Twoja firma. Nie wszystkie przepisy obowiązują od pierwszego dnia — ich mieszanie prowadzi do marnowania zasobów compliance na nieistotne kwestie przy jednoczesnym pozostawianiu rzeczywistych luk.

Lista ta jest uporządkowana według etapów rozwoju firmy. Przejdź przez etap odpowiadający Twojej obecnej sytuacji, a następnie zapoznaj się z kolejnym.


Przed uruchomieniem / Faza MVP

Pierwszy obowiązek z zakresu compliance UE to nie długi proces certyfikacji — chodzi o zrozumienie przepływów danych osobowych i stworzenie podstawowych fundamentów RODO, zanim zaczniesz przetwarzać dane użytkowników z UE.

Podmiot prawny i reprezentacja

  • Jeśli nie posiadasz podmiotu prawnego w UE, wyznacz przedstawiciela UE na podstawie art. 27 RODO przed zbieraniem danych od mieszkańców UE. Przedstawiciel UE to imiennie wskazana osoba prawna lub fizyczna w UE, z którą organy nadzorcze mogą się kontaktować w Twoim imieniu.
  • Jeśli na dużą skalę przetwarzasz szczególne kategorie danych (dane zdrowotne, biometryczne, genetyczne, przekonania religijne, poglądy polityczne, orientacja seksualna), oceń, czy musisz wyznaczyć Inspektora Ochrony Danych (IOD, art. 37). Większość startupów we wczesnej fazie nie spełnia warunków obowiązkowego wyznaczenia IOD, ale udokumentuj tę ocenę.

Podstawy zarządzania danymi

  • Opracuj politykę prywatności zgodną z art. 13–14 RODO: podstawa prawna dla każdej czynności przetwarzania, prawa osób, których dane dotyczą, okresy przechowywania, wskazani podprzetwarzający
  • Opracuj politykę plików cookie obejmującą wymogi zgody wynikające z dyrektywy ePrivacy — pliki cookie analityczne i reklamowe wymagają zgody opt-in; ściśle niezbędne pliki cookie nie wymagają
  • Utwórz Rejestr Czynności Przetwarzania (RCP) (art. 30) — rejestr danych osobowych, które zbierasz, w jakim celu, na jakiej podstawie prawnej, kto ma do nich dostęp i jak długo je przechowujesz. Zacznij teraz, nawet w formie prostego arkusza kalkulacyjnego
  • Zidentyfikuj i udokumentuj podstawę prawną każdej czynności przetwarzania przed rozpoczęciem przetwarzania

Funkcje AI

  • Jeśli Twój MVP zawiera jakąkolwiek funkcję AI, sprawdź, czy podpada ona pod zakazane praktyki aktu o AI UE (obowiązujące od sierpnia 2025 r.). Ocenianie społeczne, manipulacja podprogowa oraz rozpoznawanie emocji w miejscu pracy są bezwzględnie zakazane niezależnie od wielkości firmy.
  • Wdróż praktyki umiejętności korzystania z AI dla wszystkich pracowników korzystających z narzędzi AI (art. 4, w życie od lutego 2025 r.) — nawet nieformalnie na tym etapie; udokumentuj używane narzędzia AI i zapoznaj zespół z ich ograniczeniami.

Po uruchomieniu / Faza wzrostu (do 50 pracowników)

Gdy masz już użytkowników z UE i działający produkt, zakres compliance ulega rozszerzeniu.

Bezpieczeństwo RODO i gotowość na incydenty

  • Przeprowadź przegląd bezpieczeństwa na podstawie art. 32 RODO — udokumentuj techniczne i organizacyjne środki ochrony danych osobowych (kontrola dostępu, szyfrowanie danych w spoczynku i podczas transmisji, kopie zapasowe i przywracanie, logi dostępu)
  • Opracuj procedurę zgłaszania naruszeń ochrony danych: kto jest powiadamiany wewnętrznie, kto zgłasza incydent organowi nadzorczemu (UODO) w ciągu 72 godzin, i kto powiadamia osoby, których dane dotyczą, jeśli naruszenie stwarza wysokie ryzyko
  • Zawrzyj umowy powierzenia przetwarzania (art. 28) ze wszystkimi podmiotami przetwarzającymi dane osobowe z UE w Twoim imieniu — obejmuje to dostawców chmury, narzędzia analityczne, platformy obsługi klienta i dostawców usług e-mail

Akt o AI UE (jeśli posiadasz funkcje AI)

  • Oceń każdą funkcję AI pod kątem załącznika III aktu o AI UE, aby ustalić, czy kwalifikuje się jako system wysokiego ryzyka. Lista obejmuje: weryfikację CV, ocenę zdolności kredytowej, komponenty infrastruktury krytycznej, systemy rekrutacyjne, narzędzia organów ścigania, ocenę ryzyka migracyjnego oraz narzędzia wpływu wyborczego.
  • Jeśli żadna funkcja nie jest wysokiego ryzyka, udokumentuj tę ocenę — regulatorzy będą o nią pytać. Większość wczesnych narzędzi B2B SaaS nie posiada systemów AI wysokiego ryzyka, ale ocena musi zostać przeprowadzona i udokumentowana.
  • Jeśli posiadasz funkcje AI wysokiego ryzyka, rozpocznij teraz dokumentację compliance: system zarządzania ryzykiem, zarządzanie danymi treningowymi, dokumentacja techniczna (załącznik IV), projekt nadzoru ludzkiego. Termin compliance to 2 sierpnia 2026 r. — czas realizacji wynosi zazwyczaj 9–18 miesięcy.
  • Wdróż szkolenia z zakresu umiejętności korzystania z AI (art. 4) dla wszystkich pracowników korzystających z systemów AI — wystarczy ustrukturyzowane szkolenie lub moduł e-learningowy; udokumentuj ukończenie.

DSA (jeśli prowadzisz platformę z treściami tworzonymi przez użytkowników)

  • Przejrzyj podstawowe obowiązki DSA: regulamin zgodny z art. 14, jeden punkt kontaktowy dla organów (art. 11), raport przejrzystości przy moderowaniu treści (art. 15)
  • Jeśli użytkownicy mogą publikować treści, wdróż mechanizm zgłaszania i działania w przypadku nielegalnych treści (art. 16)

Faza skalowania (50–250 pracowników)

Na tym etapie możesz przekraczać progi, które wprowadzają w zakres NIS2, bardziej wymagające obowiązki wynikające z aktu o AI lub CRA.

NIS2 (infrastruktura cyfrowa i usługi)

  • Oceń, czy Twoja firma kwalifikuje się jako podmiot objęty regulacją NIS2. Sprawdź załącznik II do NIS2: dostawcy usług zarządzanych, dostawcy chmury, centra danych, dostawcy CDN, dostawcy usług DNS, rejestratorzy domen, rynki internetowe i wyszukiwarki są objęte, jeśli jesteś podmiotem średnim (≥50 pracowników lub >10 mln euro obrotu) lub dużym.
  • Jeśli NIS2 ma zastosowanie: zarejestruj się u krajowego organu ds. NIS, wdróż 10 kategorii środków bezpieczeństwa z art. 21 (analiza ryzyka, obsługa incydentów, ciągłość działania, bezpieczeństwo łańcucha dostaw, kontrola dostępu, MFA, kryptografia, szkolenia, obsługa podatności, bezpieczeństwo HR) i ustanów dwuetapową procedurę zgłaszania incydentów (wczesne ostrzeżenie w ciągu 24 h; zgłoszenie incydentu do CSIRT w ciągu 72 h).
  • Zapewnij odpowiedzialność organu zarządzającego — art. 20 NIS2 wymaga, aby kierownictwo zatwierdzało środki bezpieczeństwa i ponosiło osobistą odpowiedzialność za brak zgodności.

Akt o AI UE (systemy wysokiego ryzyka)

  • Jeśli zidentyfikowałeś systemy AI wysokiego ryzyka i nie zakończyłeś jeszcze procesu compliance: termin 2 sierpnia 2026 r. jest wiążący. Zakończ ocenę zgodności, zarejestruj system w bazie danych UE (dla systemów w obszarach załącznika III podlegających wykorzystaniu przez organy publiczne lub znaczącemu ryzyku wobec stron trzecich) i przygotuj deklarację zgodności UE.
  • Jeśli jesteś dostawcą modelu GPAI (tworzysz model AI ogólnego przeznaczenia): obowiązki GPAI obowiązują od 2 sierpnia 2025 r. Obejmują dokumentację techniczną, politykę dotyczącą praw autorskich i zestawienia danych treningowych. Modele o ryzyku systemowym podlegają testowaniu adversarialnemu i obowiązkom zgłaszania incydentów.

CRA (jeśli sprzedajesz oprogramowanie lub podłączone produkty w UE)

  • Oceń, czy którykolwiek z Twoich produktów stanowi produkt z elementami cyfrowymi w rozumieniu CRA. Oprogramowanie sprzedawane na rynku UE — w tym SaaS z lokalnymi komponentami, aplikacje mobilne, oprogramowanie układowe — jest objęte zakresem.
  • Sklasyfikuj każdy produkt (Domyślny, Ważny klasa I/II, Krytyczny) zgodnie z załącznikami III i IV do CRA.
  • Rozpocznij analizę luk z załącznika I: przeprowadź audyt każdego produktu pod kątem zasadniczych wymagań cyberbezpieczeństwa (bezpieczny domyślnie, brak znanych exploitów przy wprowadzeniu na rynek, minimalna powierzchnia ataku, kontrola dostępu, integralność, logowanie).
  • Zbuduj procesy obsługi podatności (skoordynowana polityka ujawniania, 24-godzinne zgłaszanie wykorzystywanych podatności do ENISA/CSIRT) — wymagane od września 2026 r.
  • Zaplanuj ocenę zgodności dla produktów ważnych klasy I/II — jednostki notyfikowane mają ograniczone możliwości; zacznij wcześnie.

Matryca priorytetów: które przepisy kiedy obowiązują

| Regulacja | Przed uruchomieniem/MVP | Wzrost (≤50 pracowników) | Skalowanie (50–250 pracowników) | |-----------|------------------------|--------------------------|----------------------------------| | RODO | Obowiązuje (podstawy wymagane przed pierwszym użytkownikiem UE) | Obowiązuje (pełna zgodność wymagana) | Obowiązuje (pełna zgodność wymagana) | | Akt o AI UE (zakazane praktyki) | Obowiązuje (od sierp. 2025) | Obowiązuje | Obowiązuje | | Akt o AI UE (systemy wysokiego ryzyka) | Tylko ocena | Ocena + dokumentacja | Zgodność do sierp. 2026 | | NIS2 | Jeszcze nie | Jeszcze nie (poniżej progu) | Obowiązuje w objętym sektorze | | CRA | Jeszcze nie (przed rynkiem) | Ocenić przy sprzedaży produktów | Zgodność (zgłaszanie od wrz. 2026; pełne od grud. 2027) | | DSA | Poziom podstawowy przy hostingu treści użytkowników | Poziom podstawowy/platformy | Poziom platformy lub VLOP zależnie od liczby użytkowników |


Częste błędy

Zakładanie, że RODO obejmuje wszystko. RODO reguluje dane osobowe. Nie obejmuje bezpieczeństwa operacyjnego Twoich sieci (NIS2), właściwości bezpieczeństwa Twoich produktów (CRA) ani bezpieczeństwa Twoich systemów AI (akt o AI UE). Są to odrębne ramy prawne z odrębnymi obowiązkami.

Ignorowanie aktu o AI UE, bo „używamy tylko API". Korzystanie z zewnętrznego API AI nie czyni Cię dostawcą — ale czyni Cię podmiotem stosującym (ang. deployer). Podmioty stosujące mają realne obowiązki wynikające z aktu o AI, w tym nadzór ludzki nad systemami wysokiego ryzyka i umiejętności korzystania z AI dla pracowników. Akt obowiązuje w odniesieniu do sposobu, w jaki integrujesz i używasz AI, nie tylko do tych, którzy budują bazowy model.

Przeoczenie CRA, bo oprogramowanie wydaje się niematerialne. CRA wprost obejmuje produkty programowe. Oprogramowanie układowe, aplikacje mobilne, aplikacje desktopowe i komponenty oprogramowania przetwarzające dane lokalnie wchodzą w zakres, jeśli spełniają definicję „produktu z elementami cyfrowymi". Powszechne przekonanie, że CRA dotyczy wyłącznie sprzętu, jest nieprawidłowe.


Zacznij tutaj: trzy natychmiastowe działania dla każdego startupu tech w UE

Niezależnie od etapu, te trzy działania należy podjąć przed wszystkim innym:

  1. Przeprowadź inwentaryzację przepływów danych — wypisz każdą kategorię danych osobowych, które zbierasz, zmapuj miejsca ich przepływu, zidentyfikuj podprzetwarzających i udokumentuj podstawę prawną dla każdego celu przetwarzania. To fundament zarówno zgodności z RODO, jak i każdej oceny wynikającej z aktu o AI.

  2. Udokumentuj swoje systemy AI — dla każdego narzędzia AI, które używasz lub budujesz, zapisz: co robi, jakie dane przetwarza, na temat kogo podejmuje decyzje i czy któraś z tych decyzji wywiera znaczący wpływ na osoby. Ten inwentarz to punkt wyjścia do klasyfikacji na podstawie aktu o AI UE.

  3. Przypisz odpowiedzialność za compliance — ktoś w Twojej organizacji musi odpowiadać za każdą regulację. W przypadku startupu we wczesnej fazie jest to zazwyczaj CTO lub starszy inżynier. Compliance bez właściciela produkuje jedynie papier pozbawiony treści.


Ostatnia aktualizacja: kwiecień 2026. Wyłącznie w celach informacyjnych — nie stanowi porady prawnej.

Najczęściej zadawane pytania

Jakie przepisy UE obowiązują startup zatrudniający mniej niż 50 pracowników?

RODO obowiązuje od pierwszego użytkownika z UE, niezależnie od wielkości firmy — nie ma progu opartego na liczbie pracowników. Zakazane praktyki aktu o AI UE (artykuł 5) i obowiązek zapewnienia umiejętności korzystania z AI (artykuł 4) obowiązują wszystkich podmiotów stosujących niezależnie od rozmiaru. Obowiązki wynikające z systemów wysokiego ryzyka aktu o AI UE mają zastosowanie, jeśli Twój produkt zawiera system AI wysokiego ryzyka; wielkość firmy nie jest kryterium zwolnienia. NIS2 i CRA generalnie wymagają co najmniej 50 pracowników lub 10 milionów euro obrotu, aby wejść w zakres (z wąskimi wyjątkami dla jedynych dostawców usług krytycznych). Podstawowe obowiązki DSA obowiązują, jeśli hostujesz treści tworzone przez użytkowników, również niezależnie od rozmiaru.

Jaki jest pierwszy krok compliance UE dla nowego startupu tech?

Przed przetworzeniem jakichkolwiek danych osobowych z UE zmapuj swoje przepływy danych: zidentyfikuj każdą kategorię danych osobowych, które zbierasz, cel ich zbierania, podstawę prawną na podstawie artykułu 6 RODO, kto ma do nich dostęp i którzy podprzetwarzający są zaangażowani. Ta mapa przepływów danych stanowi podstawę dla Rejestru Czynności Przetwarzania (artykuł 30 RODO), polityki prywatności (artykuły 13–14), umów powierzenia przetwarzania (artykuł 28) oraz wszelkich obowiązków w zakresie oceny skutków dla ochrony danych (DPIA/DSFA, artykuł 35). Dostarcza również danych wejściowych potrzebnych do oceny zastosowania aktu o AI UE, jeśli Twój produkt posiada funkcje AI.

Czy istnieją wyłączenia z compliance UE dla startupów lub MŚP?

RODO nie przewiduje wyłączeń dla MŚP w zakresie podstawowych obowiązków, choć artykuł 30 ust. 5 zwalnia organizacje zatrudniające mniej niż 250 pracowników z obowiązku prowadzenia rejestru czynności przetwarzania, chyba że przetwarzanie nie jest okazjonalne, obejmuje szczególne kategorie danych lub może powodować ryzyko dla praw osób. NIS2 generalnie wyklucza mikroprzedsiębiorstwa i małe firmy (mniej niż 50 pracowników i mniej niż 10 milionów euro obrotu), chyba że są jedynym dostawcą usługi krytycznej. Akt o AI UE nie zwalnia MŚP z zakazanych praktyk ani z obowiązków dotyczących systemów wysokiego ryzyka, ale artykuł 55 zobowiązuje państwa członkowskie do tworzenia piaskownic regulacyjnych i wsparcia dla MŚP oraz startupów w celu obniżenia barier compliance.

Źródła

Niniejszy artykuł ma charakter wyłącznie informacyjny i nie stanowi porady prawnej. Przed podjęciem decyzji dotyczących zgodności należy skonsultować się z wykwalifikowanym doradcą prawnym.

Key takeaways: Lista zgodności z przepisami UE dla startupów tech w 2026 roku

This article covers: Przed uruchomieniem / Faza MVP, Po uruchomieniu / Faza wzrostu (do 50 pracowników), Faza skalowania (50–250 pracowników).

  • Przed uruchomieniem / Faza MVP
  • Po uruchomieniu / Faza wzrostu (do 50 pracowników)
  • Faza skalowania (50–250 pracowników)
  • Matryca priorytetów: które przepisy kiedy obowiązują
  • Częste błędy
Source: EuroComply Editorial (2026-04-14)Reviewed:
EC

EuroComply Editorial Team

EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.

For informational purposes only. Consult qualified legal counsel.

Share:

Get the weekly EU compliance briefing — 2 minutes, every Thursday.

See how your site scores

Run a free EU compliance scan — no signup, 30 seconds.