Kluczowe ustalenia

  • Rozporządzenie (UE) 2024/1689 (AI Act) weszło w życie 1 sierpnia 2024 r. i jest wdrażane etapowo.
  • 2 lutego 2025 r. zaczęły obowiązywać zakazy praktyk niedozwolonych (art. 5) oraz obowiązek AI literacy (art. 4).
  • 2 sierpnia 2025 r. zaczęły obowiązywać przepisy dotyczące modeli ogólnego przeznaczenia (GPAI) oraz struktury zarządzania.
  • 2 sierpnia 2026 r. — zgodnie z pierwotnym harmonogramem — mają wejść w stosowanie: obowiązki dla systemów wysokiego ryzyka z Załącznika III, wymogi transparentności z art. 50, środki wsparcia innowacji (w tym piaskownice regulacyjne).
  • 2 sierpnia 2027 r. ma nastąpić pełne stosowanie przepisów dla systemów wysokiego ryzyka powiązanych z harmonizacją sektorową.
  • 19 listopada 2025 r. Komisja Europejska przedstawiła projekt Digital Omnibus on AI, a Parlament Europejski przyjął swoje stanowisko 26 marca 2026 r. Trwają negocjacje trilogowe.
  • Komisja proponuje warunkowe opóźnienie obowiązków dla Annex III — z terminem granicznym nie później niż 2 grudnia 2027 r.
  • Maksymalne sankcje przewidziane w AI Act: 35 mln EUR lub 7% globalnego rocznego obrotu.

Kontekst i tło

AI Act jest rozporządzeniem UE o bezpośrednim stosowaniu, ale jego przepisy wchodzą falami. Pierwsza fala — zakazy praktyk manipulacyjnych, scoringu społecznego i określonych zastosowań biometrycznych, połączona z obowiązkiem budowania kompetencji AI literacy w organizacjach — jest aktywna od lutego 2025 r. Druga fala, obejmująca modele ogólnego przeznaczenia (GPAI), obowiązuje od sierpnia 2025 r.

Od jesieni 2025 r. kluczowy stał się jednak równoległy wątek legislacyjny. 19 listopada 2025 r. Komisja Europejska opublikowała projekt pakietu Digital Omnibus on AI — zbiorczej inicjatywy upraszczającej i modyfikującej wybrane rozwiązania AI Act. Powodem jest m.in. opóźnienie prac nad zharmonizowanymi normami technicznymi, wytycznymi oraz gotowością krajowych organów nadzoru.

26 marca 2026 r. Parlament Europejski przyjął wspólne stanowisko negocjacyjne w sprawie pakietu, otwierając drogę do rozmów trilogowych z Radą i Komisją. Na 18 kwietnia 2026 r. proces legislacyjny jest więc w toku — pierwotny tekst AI Act pozostaje formalnie wiążący, ale firmy muszą monitorować zmiany.

Szczegółowa analiza

Harmonogram — co pewne, co w grze

Obowiązuje już:

  • zakazy praktyk AI (art. 5) — od 02.02.2025,
  • obowiązek AI literacy (art. 4) — od 02.02.2025,
  • przepisy dla modeli GPAI oraz governance — od 02.08.2025.

Zgodnie z pierwotnym prawem ma obowiązywać od 02.08.2026:

  • obowiązki dla systemów wysokiego ryzyka z Załącznika III,
  • obowiązki transparentności z art. 50 (m.in. oznaczanie deepfake'ów, informowanie o interakcji z chatbotem),
  • środki wspierające innowacje, w tym uruchomienie co najmniej jednej regulacyjnej piaskownicy AI w każdym państwie członkowskim.

Propozycje zmian w Digital Omnibus (w negocjacjach):

  • warunkowe odroczenie obowiązków dla Annex III — stosowanie rozpoczynałoby się 6 miesięcy po potwierdzeniu przez KE gotowości środków wsparcia compliance, ale nie później niż 2 grudnia 2027 r.,
  • złagodzenie obowiązku AI literacy z art. 4 — propozycja przeniesienia ciężaru z dostawców i wdrożeniowców na Komisję i państwa członkowskie.

Kategorie systemów wysokiego ryzyka z Załącznika III

Kluczowe obszary obejmują:

  • zatrudnienie i HR: systemy do rekrutacji, oceny kandydatów, decyzji o awansie i zwolnieniu,
  • usługi finansowe: scoring kredytowy i ocena zdolności kredytowej osób fizycznych,
  • ubezpieczenia: ocena ryzyka i kalkulacja składek w ubezpieczeniach na życie i zdrowotnych,
  • edukacja: systemy oceniania, przydziału uczniów, proctoringu,
  • biometria: zdalna identyfikacja, kategoryzacja biometryczna, rozpoznawanie emocji (w zakresie dozwolonym prawem),
  • infrastruktura krytyczna, wymiar sprawiedliwości, egzekwowanie prawa, migracja.

Obowiązki według ról rynkowych

AI Act rozdziela obowiązki między providerów (dostawców), deployerów (wdrożeniowców, użytkowników profesjonalnych), importerów i dystrybutorów.

Provider systemu wysokiego ryzyka musi:

  • wdrożyć system zarządzania ryzykiem obejmujący cały cykl życia systemu (art. 9),
  • spełnić wymogi data governance — jakość, reprezentatywność i udokumentowanie danych treningowych, walidacyjnych i testowych,
  • przygotować dokumentację techniczną umożliwiającą ocenę zgodności,
  • zaprojektować system tak, by rejestrował zdarzenia w logach,
  • umożliwić skuteczny nadzór ludzki,
  • zapewnić odpowiedni poziom dokładności, odporności i cyberbezpieczeństwa,
  • przeprowadzić ocenę zgodności przed wprowadzeniem na rynek,
  • sporządzić deklarację zgodności UE i umieścić oznakowanie CE,
  • prowadzić monitoring po wprowadzeniu na rynek i zgłaszać poważne incydenty organom.

Deployer (użytkownik profesjonalny):

  • używa systemu zgodnie z instrukcją i przeznaczeniem wskazanym przez providera,
  • zapewnia nadzór ludzki realizowany przez odpowiednio przeszkolony personel,
  • monitoruje działanie systemu i zgłasza poważne incydenty lub ryzyka,
  • w określonych przypadkach (m.in. podmioty publiczne, niektóre usługi prywatne) przeprowadza ocenę wpływu na prawa podstawowe (FRIA) przed wdrożeniem.

Importer weryfikuje, czy dostawca spoza UE przeprowadził ocenę zgodności, sporządził dokumentację i oznaczył system CE. Dystrybutor sprawdza obecność oznaczeń, deklaracji zgodności i instrukcji obsługi. Zarówno importer, jak i dystrybutor staje się providerem, jeśli wprowadza system pod własną marką, dokonuje istotnej modyfikacji lub zmienia jego przeznaczenie — i wówczas przechodzą na nich pełne obowiązki dostawcy.

Obowiązki państw członkowskich

Państwa członkowskie muszą:

  • wyznaczyć krajowe organy nadzoru rynku,
  • uruchomić co najmniej jedną regulacyjną piaskownicę AI,
  • określić krajowe przepisy o sankcjach i notyfikować je Komisji.

W Polsce projekt ustawy implementacyjnej przewiduje powierzenie roli krajowego organu nadzoru Komisji Rozwoju i Bezpieczeństwa Sztucznej Inteligencji (KRiBSI).

Sankcje

Za najpoważniejsze naruszenia — m.in. stosowanie praktyk zakazanych — AI Act przewiduje kary sięgające 35 mln EUR lub 7% globalnego rocznego obrotu, w zależności od tego, która kwota jest wyższa. Niższe progi dotyczą naruszeń obowiązków compliance oraz podawania niepoprawnych informacji organom.

Relacje z innymi reżimami

AI Act nie zastępuje RODO — oba akty mają być stosowane równolegle. W praktyce oznacza to m.in., że elementy oceny wpływu na prawa podstawowe (FRIA) mogą nakładać się na obowiązkową ocenę skutków dla ochrony danych (DPIA) z RODO, a firmy mogą łączyć oba procesy. Wymogi cyberbezpieczeństwa z AI Act wchodzą natomiast w interakcje z obowiązkami z dyrektywy NIS2, wdrożonej w Polsce przez ustawę o krajowym systemie cyberbezpieczeństwa.

Podsumowanie

Na 18 kwietnia 2026 r. firmy działające w UE muszą stosować się do dwóch fal AI Act, które już obowiązują: zakazów praktyk AI oraz obowiązków AI literacy (od lutego 2025 r.), a także przepisów dla modeli ogólnego przeznaczenia (od sierpnia 2025 r.). Trzecia, największa fala — obowiązki dla systemów wysokiego ryzyka z Załącznika III, transparentność i piaskownice regulacyjne — miała wejść w życie 2 sierpnia 2026 r. Równolegle trwają jednak negocjacje nad pakietem Digital Omnibus on AI: Komisja zaproponowała go w listopadzie 2025 r., Parlament przyjął stanowisko w marcu 2026 r., a propozycja zakłada warunkowe przesunięcie obowiązków dla Annex III maksymalnie do 2 grudnia 2027 r. oraz złagodzenie obowiązku AI literacy. Do czasu formalnego przyjęcia nowelizacji pierwotny harmonogram pozostaje prawnie wiążący, dlatego firmy powinny kontynuować przygotowania do obowiązków providerów i deployerów — zarządzania ryzykiem, dokumentacji technicznej, oceny zgodności, nadzoru ludzkiego i zgłaszania incydentów — mając świadomość, że sankcje mogą sięgać 35 mln EUR lub 7% globalnego obrotu.