niedziela, 5 lipca 2026

Nowości

AI Act wchodzi w kolejną fazę. Co czeka polskie firmy od sierpnia

PrawoPatryk Raba29 czerwca 2026

Zaczynają obowiązywać wymogi dla modeli ogólnego przeznaczenia. Sprawdzamy, kto musi raportować, jak wygląda nadzór w Polsce i za co grożą kary.

Spis treści
  1. Harmonogram wchodzenia w życie
  2. Kto ma jakie obowiązki
  3. Nadzór i wysokość kar
  4. Praktyczne kroki dla firm

Od sierpnia unijny AI Act wchodzi w kolejną, bardziej dotkliwą fazę. Przepisy dotyczące modeli ogólnego przeznaczenia, po angielsku GPAI, formalnie obowiązują już od roku, ale to teraz stają się w pełni egzekwowalne, z realnym nadzorem i karami w tle. Równolegle rusza szersza warstwa rozporządzenia, obejmująca systemy wysokiego ryzyka. Dla firm korzystających z AI to moment, w którym teoria zamienia się w obowiązek.

Harmonogram wchodzenia w życie

Przypomnijmy, jak ułożony jest harmonogram. AI Act wszedł w życie w 2024 roku, ale jego przepisy uruchamiają się etapami, żeby dać rynkowi czas na dostosowanie. Najpierw zaczęły obowiązywać zakazy najbardziej ryzykownych zastosowań, potem wymogi wobec twórców dużych modeli, a teraz przychodzi kolej na pełny nadzór i obowiązki dla systemów uznanych za wysokiego ryzyka. To rozporządzenie, więc obowiązuje wprost, bez przepisywania na krajową ustawę.

Kto ma jakie obowiązki

Sedno tej fazy jest podwójne. Dostawcy modeli ogólnego przeznaczenia muszą udokumentować, na czym trenowali swoje modele, opisać ich możliwości i ograniczenia, przygotować streszczenie danych treningowych oraz udostępnić informacje firmom, które budują na nich własne rozwiązania. Najwięksi, których modele niosą tak zwane ryzyko systemowe, dostają dodatkowe obowiązki: ocenę ryzyka, testy odpornościowe i zgłaszanie poważnych incydentów.

Zanim ktokolwiek wpadnie w panikę, warto ustalić własną rolę. Rozporządzenie inaczej traktuje dostawcę, czyli tego, kto model tworzy i wypuszcza na rynek, a inaczej podmiot, który jedynie korzysta z gotowego narzędzia we własnym produkcie. Największy ciężar dokumentacyjny spada na twórców modeli, a nie na firmę wpinającą gotowe API do swojej aplikacji. Ale i ta druga może stać się dostawcą, jeśli mocno przerobi model albo wypuści go pod własną marką.

W praktyce najgłośniejszym punktem jest przejrzystość danych treningowych. Dostawcy mają publikować wystarczająco szczegółowe streszczenie tego, na czym uczyli model, co wprost wiąże się z prawem autorskim i możliwością sprzeciwu twórców treści. Komisja przygotowała kodeksy dobrych praktyk, które mają ułatwić spełnienie tych wymogów, choć część największych graczy podchodzi do nich z rezerwą, obawiając się ujawnienia szczegółów swojej przewagi.

Nadzór i wysokość kar

Na poziomie unijnym pieczę nad modelami ogólnego przeznaczenia sprawuje wyspecjalizowane biuro przy Komisji Europejskiej. W Polsce nadzór ma pełnić wyznaczony organ krajowy, który przyjmie zgłoszenia, będzie prowadził kontrole i nakładał kary. Wokół jego kształtu i kompetencji długo trwały prace legislacyjne, więc firmy powinny śledzić, jaka instytucja ostatecznie dostanie te uprawnienia i jak zamierza je egzekwować w pierwszych miesiącach.

Stawką są realne pieniądze, i to duże. Za stosowanie zakazanych praktyk grozi kara sięgająca kilku procent globalnego rocznego obrotu albo kilkudziesięciu milionów euro, zależnie od tego, która kwota jest wyższa. Dla dostawców modeli ogólnego przeznaczenia przewidziano osobne widełki, również liczone w procentach obrotu. Nawet podanie nieprawdziwych informacji organowi nadzoru ma swoją cenę, więc lekceważenie tematu bywa droższe niż przygotowanie.

Praktyczne kroki dla firm

Dla przeciętnej polskiej firmy praktyczny wniosek jest prozaiczny. Zacznij od inwentaryzacji: spisz wszystkie systemy AI, z których korzystasz, ustal, w której roli występujesz przy każdym z nich, i sprawdź, czy któryś nie wpada do kategorii wysokiego ryzyka, na przykład w rekrutacji, ocenie zdolności kredytowej czy obsłudze wniosków obywateli. Przypisz konkretnej osobie odpowiedzialność za zgodność, zamiast liczyć, że temat rozejdzie się po kościach.

Sierpień to nie koniec, lecz kolejny przystanek. Następne terminy, obejmujące między innymi systemy wbudowane w produkty regulowane, przypadają na 2027 rok, więc presja będzie narastać, a nie słabnąć. Najrozsądniej potraktować najbliższe tygodnie jako czas na audyt i uporządkowanie dokumentacji, a nie na czekanie, aż organ nadzoru sam się przypomni. Zgodność łatwiej zbudować spokojnie z wyprzedzeniem niż w pośpiechu, już po pierwszej kontroli.

Udostępnij: