Kodeks praktyk (Code of Practice) w AI Act: GPAI i oznaczanie treści AI
W dyskusji o AI Act coraz częściej pojawia się pojęcie kodeks praktyk, po angielsku code of practice. To nie jest osobne prawo ani dodatkowy obowiązek, tylko dobrowolne narzędzie, które pomaga wykazać, że firma spełnia wymogi rozporządzenia. Warto je znać, bo dla części obowiązków, zwłaszcza przejrzystości treści AI, kodeks jest najbardziej praktyczną instrukcją, jaką dziś mamy.
W tym artykule wyjaśniamy po polsku, czym jest kodeks praktyk, jakie dwa kodeksy są istotne i który z nich dotyczy zwykłej firmy.
Czym jest kodeks praktyk
Kodeks praktyk to zbiór wytycznych opracowany przy udziale Komisji Europejskiej i Urzędu do spraw AI, który przekłada ogólne obowiązki AI Act na konkretne rozwiązania. Kluczowa zasada: przystąpienie do kodeksu jest dobrowolne, ale obowiązki, których kodeks dotyczy, są prawnie wiążące. Innymi słowy, kodeks nie tworzy nowych wymogów, tylko pokazuje uznaną drogę do spełnienia tych, które już wynikają z rozporządzenia. Stosowanie się do kodeksu traktuje się jako dowód należytej staranności.
Kodeks praktyk dla modeli ogólnego przeznaczenia (GPAI)
Pierwszy kodeks dotyczy dostawców modeli ogólnego przeznaczenia, czyli na przykład dużych modeli językowych. Jego finalna wersja jest już gotowa i obejmuje trzy obszary: przejrzystość, prawo autorskie oraz bezpieczeństwo. Odnosi się do obowiązków dla modeli GPAI, które stosuje się od 2 sierpnia 2025 r. Dla większości polskich firm to raczej kontekst niż codzienny obowiązek, bo one zwykle korzystają z gotowych modeli, a nie je dostarczają. Znajomość tego kodeksu przydaje się jednak przy wyborze dostawcy narzędzia.
Kodeks praktyk dotyczący oznaczania treści AI
Drugi kodeks jest znacznie bliższy zwykłej firmie, bo dotyczy przejrzystości z art. 50. To Kodeks praktyk dotyczący oznaczania i etykietowania treści generowanych przez AI. Komisja opublikowała jego finalną wersję 10 czerwca 2026 r., po dwóch projektach z 17 grudnia 2025 r. i 3 marca 2026 r. Kodeks wspiera obowiązki przejrzystości, które stają się stosowane 2 sierpnia 2026 r., i dzieli się na dwie części:
- Dostawcy: oznaczanie maszynowe treści generowanych lub zmanipulowanych przez AI oraz umożliwienie ich wykrywania.
- Podmioty stosujące: etykietowanie deepfake’ów oraz tekstów generowanych przez AI publikowanych w celu informowania opinii publicznej.
Praktyczny wniosek: jeśli publikujesz treści tworzone z pomocą AI albo masz na stronie chatbota, ten kodeks jest gotową listą tego, jak spełnić art. 50. Więcej o samym oznaczaniu piszemy w artykule o oznaczaniu treści AI.
Czy kodeks jest obowiązkowy
Nie, samo przystąpienie do kodeksu jest dobrowolne. Wiążące są natomiast obowiązki z art. 50, które kodeks pomaga wypełnić. Komisja i Rada do spraw AI potwierdziły, że kodeks stanowi odpowiednie dobrowolne narzędzie do wykazania zgodności. W praktyce oznacza to, że firma, która działa zgodnie z kodeksem, ma mocny argument, że spełnia wymogi przejrzystości. Warto też pamiętać, że sam termin 2 sierpnia 2026 r. nie zmienił się mimo nowelizacji, o czym piszemy w artykule o Digital Omnibus.
Chcesz sprawdzić, czy Twoja strona spełnia sygnały przejrzystości z art. 50? Darmowy skan strony w 2 minuty pokazuje 3 publiczne sygnały ryzyka, a pełny audyt z raportem mówi, co poprawić, zanim wejdzie termin. Krok po kroku podpowiada też artykuł o gotowości na AI Act.
Najczęstsze pytania (FAQ)
Czym jest kodeks praktyk w AI Act?
To dobrowolny zbiór wytycznych opracowany przy udziale Komisji i Urzędu do spraw AI, który pokazuje, jak spełnić konkretne obowiązki AI Act. Przystąpienie jest dobrowolne, ale same obowiązki, na przykład przejrzystość z art. 50, są prawnie wiążące.
Czy muszę stosować kodeks praktyk?
Nie musisz do niego przystępować, ale musisz spełnić obowiązki, których dotyczy. Kodeks jest uznanym sposobem wykazania zgodności, więc jego stosowanie ułatwia udowodnienie, że firma działa prawidłowo.
Kiedy opublikowano kodeks o oznaczaniu treści AI?
Finalną wersję Kodeksu praktyk dotyczącego oznaczania i etykietowania treści generowanych przez AI opublikowano 10 czerwca 2026 r. Wcześniej ukazały się dwa projekty, 17 grudnia 2025 r. i 3 marca 2026 r. Kodeks wspiera obowiązki z art. 50 stosowane od 2 sierpnia 2026 r.
Czy kodeks GPAI dotyczy mojej firmy?
Zwykle nie bezpośrednio. Kodeks dla modeli ogólnego przeznaczenia dotyczy dostawców takich modeli, a większość firm jedynie z nich korzysta. Bliższy zwykłej firmie jest kodeks dotyczący oznaczania treści AI, powiązany z art. 50.
Źródła
AI Act a RODO: gdzie się nakładają i czym się różnią
Wiele firm pyta, czy skoro mają wdrożone RODO, to AI Act ich nie dotyczy albo jest tym samym w nowym opakowaniu. To dwa różne akty, które stosuje się równolegle. RODO chroni dane osobowe, a AI Act reguluje systemy sztucznej inteligencji i podchodzi do nich jak do produktu, którego bezpieczeństwo trzeba zapewnić. Zgodność z jednym nie oznacza automatycznie zgodności z drugim.
W tym artykule wyjaśniamy po polsku, gdzie oba akty się nakładają, a gdzie różnią, i co z tego wynika dla firmy, która używa AI do przetwarzania danych ludzi.
Dwa różne cele
RODO, czyli rozporządzenie (UE) 2016/679, chroni osoby fizyczne w związku z przetwarzaniem ich danych osobowych. Punktem odniesienia jest dana osobowa i prawa człowieka, którego ona dotyczy. AI Act, czyli rozporządzenie (UE) 2024/1689, to regulacja oparta na ryzyku, która dotyczy systemów AI niezależnie od tego, czy akurat przetwarzają dane osobowe. Punktem odniesienia jest tu system i ryzyko, jakie stwarza. Dlatego oba akty mogą obowiązywać jednocześnie, ale odpowiadają na inne pytania.
Gdzie się nakładają
Nakładanie pojawia się wtedy, gdy system AI przetwarza dane osobowe, a to bardzo częsty przypadek, na przykład w rekrutacji, obsłudze klienta czy ocenie wniosków. Wówczas:
- z RODO wynika obowiązek posiadania podstawy prawnej przetwarzania, minimalizacji danych, poszanowania praw osób i, w razie wysokiego ryzyka dla osób, przeprowadzenia oceny skutków dla ochrony danych (DPIA),
- z AI Act wynikają wymogi dotyczące jakości i zarządzania danymi, nadzoru człowieka, przejrzystości, a dla systemów wysokiego ryzyka także oceny skutków dla praw podstawowych.
W praktyce te obowiązki się uzupełniają: RODO pilnuje danych, AI Act pilnuje sposobu działania systemu.
DPIA a FRIA: dwie różne oceny
Łatwo pomylić dwie oceny skutków. DPIA z art. 35 RODO dotyczy ryzyka dla ochrony danych osobowych. FRIA, czyli ocena skutków dla praw podstawowych z art. 27 AI Act, dotyczy szerszego wpływu systemu wysokiego ryzyka na prawa osób i wykonują ją niektóre podmioty stosujące. To osobne narzędzia, choć mogą się zazębiać. AI Act przewiduje, że jeśli firma i tak ma obowiązek wykonać DPIA, ocena z AI Act może ją uzupełniać, zamiast dublować pracę.
Dane wrażliwe i decyzje automatyczne
Dwa punkty warto znać. Po pierwsze, AI Act w art. 10 dopuszcza w ograniczonym zakresie przetwarzanie szczególnych kategorii danych po to, by wykrywać i korygować stronniczość systemów wysokiego ryzyka, ale z zabezpieczeniami, co trzeba czytać razem z art. 9 RODO. Po drugie, RODO w art. 22 daje osobie prawo, by co do zasady nie podlegać decyzji opartej wyłącznie na automatycznym przetwarzaniu, jeśli wywołuje ona istotne skutki. AI Act dokłada do tego wymóg nadzoru człowieka nad systemami wysokiego ryzyka. Te reguły działają obok siebie.
Inne akty, inne organy
Różne są też organy. Nad RODO w Polsce czuwa Prezes Urzędu Ochrony Danych Osobowych (UODO). Nad AI Act ma czuwać nowy urząd, o którym piszemy w artykule o ustawie o systemach sztucznej inteligencji i KRiBSI. Praktyczny wniosek: przygotowanie do AI Act warto powiązać z istniejącymi procesami RODO, na przykład włączyć je do polityki AI w firmie, ale nie można założyć, że jedno załatwia drugie.
Chcesz zobaczyć, gdzie u Ciebie AI i dane osobowe spotykają się najmocniej? Darmowy skan strony pokazuje publiczne sygnały ryzyka w 2 minuty, a pełny audyt z raportem porządkuje obowiązki z obu obszarów.
Najczęstsze pytania (FAQ)
Czy zgodność z RODO wystarczy, żeby spełnić AI Act?
Nie. To dwa różne akty o różnych celach. RODO chroni dane osobowe, a AI Act reguluje systemy AI i ich ryzyko. System zgodny z RODO może nadal nie spełniać wymogów AI Act, na przykład w zakresie nadzoru człowieka, przejrzystości czy jakości danych.
Czym różni się DPIA od FRIA?
DPIA z RODO ocenia ryzyko dla ochrony danych osobowych, a FRIA z AI Act ocenia wpływ systemu wysokiego ryzyka na prawa podstawowe. To osobne oceny, które mogą się uzupełniać, gdy firma i tak wykonuje DPIA.
Czy AI Act dotyczy tylko systemów przetwarzających dane osobowe?
Nie. AI Act dotyczy systemów AI niezależnie od tego, czy przetwarzają dane osobowe. RODO wchodzi do gry dopiero wtedy, gdy w grę wchodzą dane osobowe, ale AI Act może obowiązywać także bez nich.
Który organ zajmuje się AI Act, a który RODO?
W Polsce nad RODO czuwa UODO, a nad AI Act ma czuwać Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji (KRiBSI) powoływana przez ustawę o systemach sztucznej inteligencji.
Źródła
- Rozporządzenie (UE) 2024/1689 (AI Act), m.in. art. 10, art. 26 i art. 27 – EUR-Lex
- Rozporządzenie (UE) 2016/679 (RODO), m.in. art. 22 i art. 35 – EUR-Lex
Systemy wysokiego ryzyka w AI Act (załącznik III): kto podlega i od kiedy
Systemy wysokiego ryzyka to kategoria, wokół której obraca się większość obowiązków w AI Act. To nie są systemy zakazane, tylko takie, które wolno stosować, ale pod warunkiem spełnienia szczegółowych wymogów. Dla wielu firm najważniejsze pytanie brzmi: czy moje narzędzie w ogóle należy do tej kategorii, a jeśli tak, to od kiedy.
W tym artykule tłumaczymy po polsku, jak AI Act wyznacza wysokie ryzyko, co wymienia załącznik III i jakie terminy obowiązują po nowelizacji. Opisujemy zasady, a nie oceniamy konkretnych systemów, bo kwalifikacja zależy od szczegółów zastosowania.
Dwie drogi do wysokiego ryzyka
AI Act wyznacza wysokie ryzyko na dwa sposoby, opisane w art. 6:
- Element bezpieczeństwa produktu regulowanego (art. 6 ust. 1). System jest wysokiego ryzyka, gdy pełni funkcję bezpieczeństwa w produkcie objętym unijnym prawodawstwem harmonizacyjnym z załącznika I, na przykład w maszynach, wyrobach medycznych czy zabawkach.
- Samodzielny system z obszaru załącznika III (art. 6 ust. 2). System jest wysokiego ryzyka, gdy działa w jednym z wrażliwych obszarów wymienionych w załączniku III.
Obszary z załącznika III
Załącznik III wymienia obszary, w których samodzielne systemy uznaje się co do zasady za wysokiego ryzyka. Są to:
- biometria w dozwolonym zakresie,
- infrastruktura krytyczna,
- edukacja i szkolenie zawodowe,
- zatrudnienie i zarządzanie pracownikami, w tym rekrutacja i selekcja,
- dostęp do podstawowych usług, w tym ocena zdolności kredytowej oraz ryzyko i ceny w ubezpieczeniach,
- ściganie przestępstw,
- migracja, azyl i kontrola graniczna,
- wymiar sprawiedliwości i procesy demokratyczne.
Dla typowej firmy dwa najczęstsze punkty styku to rekrutacja i ocena zdolności kredytowej. O pierwszym piszemy szerzej w artykule o AI w rekrutacji.
Wyjątek: nie każdy system z załącznika III jest wysokiego ryzyka
Art. 6 ust. 3 przewiduje istotny wyjątek. System działający w obszarze załącznika III może nie być uznany za wysokiego ryzyka, jeśli nie stwarza istotnego ryzyka dla zdrowia, bezpieczeństwa lub praw, na przykład gdy wykonuje wąskie zadanie proceduralne albo jedynie usprawnia wynik wcześniejszej pracy człowieka. Jest jednak ważne zastrzeżenie: jeśli system profiluje osoby, zawsze traktuje się go jako wysokiego ryzyka. Dostawca, który uznaje, że wyjątek ma zastosowanie, powinien tę ocenę udokumentować.
Jakie obowiązki wiążą się z wysokim ryzykiem
Dla systemów wysokiego ryzyka AI Act przewiduje zestaw wymogów po stronie dostawcy (art. 8 do 15): system zarządzania ryzykiem, jakość i zarządzanie danymi, dokumentację techniczną, rejestrowanie zdarzeń, przejrzystość wobec podmiotu stosującego, nadzór człowieka oraz odpowiednią dokładność, solidność i cyberbezpieczeństwo. Podmiot stosujący ma z kolei obowiązki z art. 26, między innymi używać systemu zgodnie z instrukcją, zapewnić nadzór człowieka i monitorować działanie. Część podmiotów przeprowadza dodatkowo ocenę skutków dla praw podstawowych.
Od kiedy obowiązują terminy
To ważna zmiana po nowelizacji. Digital Omnibus przesunął obowiązki dla samodzielnych systemów wysokiego ryzyka z załącznika III z 2 sierpnia 2026 r. na 2 grudnia 2027 r., a dla systemów z załącznika I na 2 sierpnia 2028 r. To dodatkowy czas, ale nie powód do zwłoki: wdrożenie wymogów zajmuje miesiące, więc inwentaryzację systemów i rozmowę z dostawcami warto zacząć już teraz.
Nie wiesz, czy Twój system to wysokie ryzyko, czy tylko obowiązek przejrzystości? Darmowy skan strony pokazuje publiczne sygnały ryzyka w 2 minuty, a pełny audyt z raportem przypisuje kategorię i terminy do konkretnych narzędzi.
Najczęstsze pytania (FAQ)
Skąd wiem, czy mój system jest wysokiego ryzyka?
Punktem wyjścia jest art. 6 i załącznik III. Jeśli system działa w jednym z wymienionych tam obszarów, na przykład w rekrutacji lub ocenie zdolności kredytowej, co do zasady traktuje się go jako wysokiego ryzyka, chyba że zastosowanie ma wyjątek z art. 6 ust. 3. Ostateczna kwalifikacja zależy od szczegółów i bywa przedmiotem indywidualnej analizy.
Od kiedy trzeba spełnić obowiązki dla wysokiego ryzyka?
Dla samodzielnych systemów z załącznika III termin to 2 grudnia 2027 r. po przesunięciu przez Digital Omnibus, a dla systemów z załącznika I to 2 sierpnia 2028 r.
Czy rekrutacja z pomocą AI to zawsze wysokie ryzyko?
Systemy do rekrutacji i selekcji są wprost wymienione w załączniku III, więc co do zasady należą do wysokiego ryzyka. Wyjątek z art. 6 ust. 3 bywa trudny do zastosowania, gdy system ocenia lub profiluje kandydatów. To temat, który warto rozstrzygnąć indywidualnie.
Kto odpowiada za obowiązki: dostawca czy moja firma?
Część wymogów spoczywa na dostawcy systemu (art. 8 do 15), a część na podmiocie stosującym, czyli często na Twojej firmie (art. 26). Rozróżnienie ról opisujemy w artykule o tym, kogo dotyczy AI Act.
Źródła
- Rozporządzenie (UE) 2024/1689 (AI Act), art. 6 i załącznik III (systemy wysokiego ryzyka) – EUR-Lex
- Przesunięcie terminów wysokiego ryzyka po nowelizacji: Gibson Dunn, EY Polska
Zakazane praktyki AI (art. 5): czego nie wolno od 2 lutego 2025 r.
Większość obowiązków w AI Act dotyczy tego, jak wolno używać systemów AI. Art. 5 działa inaczej: wymienia praktyki, które są zakazane bez względu na okoliczności. To najostrzejsza część rozporządzenia i jedyna, która obowiązuje już od 2 lutego 2025 r., a jej naruszenie zagrożone jest najwyższą karą.
W tym artykule opisujemy po polsku, czego dotyczą te zakazy i dlaczego dla większości firm to raczej lista ostrzegawcza niż codzienne ryzyko. Opisujemy przepisy, nie oceniamy konkretnych systemów, bo taka kwalifikacja zależy od szczegółów wdrożenia.
Czego zakazuje art. 5
Art. 5 zakazuje między innymi następujących praktyk:
- stosowania technik podprogowych lub celowo manipulacyjnych, które istotnie zniekształcają zachowanie i mogą wyrządzić poważną szkodę,
- wykorzystywania słabości wynikających z wieku, niepełnosprawności lub trudnej sytuacji społeczno-ekonomicznej,
- oceny lub klasyfikowania osób na podstawie zachowania społecznego (tzw. scoring społeczny), gdy prowadzi to do krzywdzącego lub nieproporcjonalnego traktowania,
- oceny ryzyka popełnienia przestępstwa wyłącznie na podstawie profilowania lub cech osobowości,
- tworzenia lub rozbudowy baz rozpoznawania twarzy przez nieukierunkowane pobieranie wizerunków z internetu lub z monitoringu,
- rozpoznawania emocji w miejscu pracy i w placówkach edukacyjnych, poza wyjątkami związanymi ze zdrowiem lub bezpieczeństwem,
- kategoryzacji biometrycznej, która ma wnioskować o cechach wrażliwych, takich jak pochodzenie, poglądy czy orientacja,
- zdalnej identyfikacji biometrycznej w czasie rzeczywistym w przestrzeni publicznej do celów ścigania, poza wąskimi, ściśle określonymi wyjątkami.
Cechą wspólną tych praktyk jest wysoki potencjał szkody dla praw i wolności osób. Dlatego ustawodawca nie pozwala ich stosować nawet za zgodą czy pod nadzorem.
Nowy zakaz po nowelizacji
Nowelizacja Digital Omnibus rozszerza katalog zakazów o praktyki związane z określonymi treściami o charakterze NCII oraz CSAM, czyli intymnymi wizerunkami rozpowszechnianymi bez zgody oraz materiałami przedstawiającymi seksualne wykorzystywanie dzieci. Dla tego nowego zakazu przewidziano okres przejściowy do 2 grudnia 2026 r. Szczegółowe brzmienie warto śledzić w tekście rozporządzenia po nowelizacji.
Co to znaczy dla zwykłej firmy
Dla typowej małej lub średniej firmy art. 5 rzadko jest realnym ryzykiem, bo wymienione praktyki to działania skrajne, a nie codzienne korzystanie z narzędzi AI. Marketing oparty na personalizacji, chatbot obsługi klienta czy generator opisów produktów co do zasady nie mieszczą się w tych kategoriach. Warto jednak znać granicę, zwłaszcza gdy firma rozważa mechanizmy oceniające ludzi, na przykład automatyczne typowanie klientów czy pracowników, bo tam pojawia się pole do wątpliwości.
W praktyce najczęściej dotyczą Cię nie zakazy z art. 5, tylko obowiązki przejrzystości z art. 50 oraz ewentualnie reguły dla systemów wysokiego ryzyka. Jeśli nie masz pewności, po której stronie granicy jesteś, lepiej to sprawdzić, niż zgadywać.
Kary za naruszenie zakazu
Naruszenie art. 5 zagrożone jest najwyższą karą w całym rozporządzeniu: do 35 mln euro lub 7 procent całkowitego rocznego światowego obrotu, w zależności od tego, która wartość jest wyższa. Dla mniejszych firm obowiązuje łagodniejsza zasada liczenia, którą opisujemy w artykule o karach w AI Act.
Chcesz sprawdzić, czy Twoje systemy nie zbliżają się do zakazanych praktyk albo obowiązków wysokiego ryzyka? Darmowy skan strony pokazuje publiczne sygnały ryzyka w 2 minuty, a pełny audyt z raportem analizuje to dla konkretnych narzędzi.
Najczęstsze pytania (FAQ)
Od kiedy obowiązują zakazy z art. 5?
Praktyki zakazane z art. 5 obowiązują od 2 lutego 2025 r. To najwcześniejszy termin stosowania spośród wszystkich części AI Act. Nowy zakaz dotyczący treści NCII i CSAM, dodany nowelizacją, ma okres przejściowy do 2 grudnia 2026 r.
Czy scoring klientów w mojej firmie jest zakazany?
Nie każde ocenianie klientów jest zakazane. Art. 5 celuje w scoring społeczny prowadzący do krzywdzącego lub nieproporcjonalnego traktowania osób na podstawie ich zachowania lub cech. Ocena, czy konkretny mechanizm mieści się w zakazie, zależy od szczegółów i wymaga indywidualnej analizy, a w spornych przypadkach konsultacji z prawnikiem.
Czy zakazy dotyczą też małych firm?
Tak, zakazy z art. 5 obowiązują wszystkich, niezależnie od wielkości. W praktyce jednak wymienione praktyki są skrajne i rzadko pojawiają się w codziennym korzystaniu z narzędzi AI przez MŚP.
Jaka kara grozi za złamanie zakazu?
Najwyższa w rozporządzeniu: do 35 mln euro lub 7 procent światowego obrotu, zależnie od tego, co jest wyższe. Dla MŚP i startupów stosuje się łagodniejszą zasadę liczenia górnej granicy.
Źródła
- Rozporządzenie (UE) 2024/1689 (AI Act), art. 5 (praktyki zakazane) i art. 99 (kary) – EUR-Lex
- Zmiany w katalogu zakazów po nowelizacji: Gibson Dunn, EY Polska
Kary w AI Act: do 35 mln euro lub 7% obrotu i miarkowanie dla MŚP
Kary w AI Act to jeden z powodów, dla których temat trafił na zarządy, a nie tylko do działów IT. Rozporządzenie (UE) 2024/1689 przewiduje trzy poziomy administracyjnych kar pieniężnych, a ich górne granice są wysokie: do 35 mln euro lub 7 procent światowego obrotu. Ważny jest jednak nie tylko sufit, ale też to, że dla małych i średnich firm obowiązuje odrębna, łagodniejsza zasada liczenia kary.
Poniżej tłumaczymy po polsku, ile wynoszą kary, za co grożą, kto je nakłada i jak działa miarkowanie dla MŚP. Kwoty podajemy za art. 99 i art. 101 rozporządzenia.
Trzy poziomy kar
AI Act wiąże wysokość kary z wagą naruszenia. Górna granica to zawsze wyższa z dwóch wartości: kwota w euro albo procent całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego.
| Rodzaj naruszenia |
Górna granica kary |
Podstawa |
| Naruszenie zakazanych praktyk z art. 5 |
do 35 mln euro lub 7% obrotu |
art. 99 ust. 3 |
| Niezgodność z innymi obowiązkami (m.in. dostawcy, importerzy, dystrybutorzy, podmioty stosujące) |
do 15 mln euro lub 3% obrotu |
art. 99 ust. 4 |
| Podanie nieprawidłowych, niekompletnych lub wprowadzających w błąd informacji organom lub jednostkom notyfikowanym |
do 7,5 mln euro lub 1% obrotu |
art. 99 ust. 5 |
Najwyższy próg dotyczy praktyk bezwzględnie zakazanych, opisanych w artykule o zakazanych praktykach AI. Środkowy próg obejmuje większość typowych obowiązków, na przykład dla systemów wysokiego ryzyka albo dla przejrzystości.
Miarkowanie kar dla MŚP i startupów
To zapis, który łatwo przeoczyć, a jest korzystny dla mniejszych firm. Zgodnie z art. 99 ust. 6 dla małych i średnich przedsiębiorstw oraz startupów górną granicą kary jest niższa z dwóch wartości, czyli albo wskazany procent obrotu, albo kwota w euro, zależnie od tego, co wypada niżej. W praktyce oznacza to, że mniejsza firma nie zapłaci teoretycznego maksimum liczonego jak dla wielkiej korporacji.
Przy ustalaniu konkretnej kary organ bierze też pod uwagę okoliczności sprawy, między innymi charakter i wagę naruszenia, jego skutki, a także wielkość i sytuację rynkową podmiotu. Kara ma być skuteczna, proporcjonalna i odstraszająca, a nie automatycznie maksymalna.
Osobne zasady dla modeli ogólnego przeznaczenia
Dostawcy modeli ogólnego przeznaczenia (GPAI), na przykład dużych modeli językowych, podlegają odrębnemu reżimowi. Zgodnie z art. 101 kary dla nich, do 15 mln euro lub 3 procent obrotu, nakłada bezpośrednio Komisja Europejska. To ważne rozróżnienie: większość firm w Polsce jest podmiotem stosującym gotowe narzędzia, a nie dostawcą modelu, więc dotyczą jej progi z art. 99, a nie z art. 101.
Kto nakłada kary i od kiedy
Przepisy o nadzorze i karach stosuje się od 2 sierpnia 2025 r. Kary nakładają organy krajowe wyznaczone przez każde państwo. W Polsce tę rolę ma pełnić nowy urząd, o którym piszemy w artykule o ustawie o systemach sztucznej inteligencji i KRiBSI. Wysokość realnie nakładanych kar będzie się kształtować w praktyce organów i orzecznictwie.
Chcesz zawczasu zobaczyć, gdzie Twoja firma jest najbardziej narażona? Darmowy skan strony wskazuje publiczne sygnały ryzyka w 2 minuty, a pełny audyt z raportem porządkuje obowiązki, zanim zrobi to organ.
Najczęstsze pytania (FAQ)
Ile wynosi maksymalna kara w AI Act?
Najwyższy próg to do 35 mln euro lub 7 procent całkowitego rocznego światowego obrotu, w zależności od tego, która wartość jest wyższa. Dotyczy on naruszenia zakazanych praktyk z art. 5.
Czy mała firma może dostać karę 35 mln euro?
Dla małych i średnich przedsiębiorstw oraz startupów górną granicą jest niższa z dwóch wartości, czyli procent obrotu albo kwota w euro, zależnie od tego, co wypada niżej. Organ dodatkowo uwzględnia okoliczności i wielkość podmiotu, a kara ma być proporcjonalna.
Za co grożą najniższe kary?
Próg do 7,5 mln euro lub 1 procent obrotu dotyczy podania organom lub jednostkom notyfikowanym informacji nieprawidłowych, niekompletnych albo wprowadzających w błąd.
Kto w Polsce będzie nakładał kary?
Kary mają nakładać organy krajowe. W Polsce tę funkcję ma pełnić Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji (KRiBSI) powoływana przez ustawę o systemach sztucznej inteligencji. Kary za naruszenia przez dostawców modeli ogólnego przeznaczenia nakłada natomiast Komisja Europejska.
Źródła
- Rozporządzenie (UE) 2024/1689 (AI Act), art. 99 (kary) i art. 101 (kary dla dostawców GPAI) – EUR-Lex
- Krajowy nadzór i kary w Polsce: rp.pl
Oznaczanie treści z AI: kto i co musi oznaczać według art. 50 AI Act
Generowanie treści to dziś najpowszechniejsze firmowe zastosowanie AI, a od 2 sierpnia 2026 r. część takich treści trzeba oznaczać. Art. 50 AI Act rozdziela obowiązki na dwa poziomy: co innego musi zrobić dostawca narzędzia generującego treści, a co innego firma, która te treści publikuje. Zrozumienie tego podziału oszczędza i nerwy, i nadgorliwość: nie każdy post z pomocą AI wymaga etykiety.
Poziom 1: dostawca narzędzia (oznaczanie maszynowe)
Dostawcy systemów generujących teksty, obrazy, audio i wideo mają zapewnić, żeby wyniki były oznaczone w formacie nadającym się do odczytu maszynowego jako wygenerowane lub zmanipulowane przez AI (art. 50 ust. 2), np. przez metadane czy znaki wodne. Ważny szczegół z nowelizacji Digital Omnibus: dla systemów istniejących przed 2 sierpnia 2026 r. przewidziano okres przejściowy do 2 grudnia 2026 r. Jeśli tylko korzystacie z cudzych narzędzi, ten obowiązek leży po stronie ich producentów.
Poziom 2: firma publikująca treści (ujawnianie)
Dla podmiotów stosujących kluczowe są dwie sytuacje (art. 50 ust. 4). Pierwsza: deepfake. Treść obrazowa, dźwiękowa lub wideo, która przedstawia istniejące osoby, miejsca lub zdarzenia w sposób mogący zmylić, że są autentyczne, wymaga ujawnienia, że została sztucznie wygenerowana lub zmanipulowana. Druga: teksty informujące opinię publiczną o sprawach leżących w interesie publicznym: tu również trzeba ujawnić użycie AI, przy czym przewidziano wyjątek, gdy tekst przeszedł weryfikację człowieka, a odpowiedzialność redakcyjną ponosi konkretna osoba lub podmiot.
Co NIE wymaga etykiety
Zwykłe firmowe użycie AI jako narzędzia: opis produktu dopracowany z pomocą asystenta, wpis na bloga napisany z AI i zredagowany przez człowieka, wewnętrzne dokumenty, grafika ilustracyjna niebędąca deepfakiem. Rozporządzenie celuje w ryzyko wprowadzenia w błąd (fałszywa autentyczność, podszywanie się), a nie w sam fakt użycia technologii. Uwaga jednak na dwie rzeczy: metadanych z poziomu 1 nie należy celowo usuwać, a wewnętrzne zasady (kto weryfikuje treści przed publikacją) powinna porządkować polityka AI.
Praktyczne zasady dla zespołu
Po pierwsze: każda treść z AI przechodzi przez człowieka przed publikacją (to jednocześnie warunek wyjątku dla tekstów). Po drugie: realistyczne wizerunki i głosy tylko za zgodą i z ujawnieniem, granica deepfake’u jest bliżej, niż się wydaje. Po trzecie: jedno miejsce z zasadami (polityka AI) zamiast plemiennej wiedzy w głowach. Po czwarte: przy kampaniach z syntetycznymi twarzami czy klonowaniem głosu skonsultujcie formę ujawnienia z prawnikiem, zanim kampania wystartuje.
Terminy
Obowiązki z art. 50 stosuje się od 2 sierpnia 2026 r. (Digital Omnibus nie przesunął tej daty). Okres przejściowy do 2 grudnia 2026 r. dotyczy wyłącznie maszynowego oznaczania (ust. 2) w systemach istniejących przed 2 sierpnia 2026 r. Pełny kalendarz: AI Act: kiedy wchodzi w życie?, a całość obowiązków przejrzystości: Art. 50 AI Act.
Najczęstsze pytania (FAQ)
Czy każdy tekst napisany z pomocą AI muszę oznaczać?
Nie. Obowiązek ujawnienia dotyczy tekstów publikowanych w celu informowania opinii publicznej o sprawach interesu publicznego, i nawet tam jest wyjątek przy weryfikacji człowieka i odpowiedzialności redakcyjnej. Zwykłe treści firmowe i marketingowe nie wymagają etykiety, choć rzetelność wobec odbiorców to dobra praktyka.
Co dokładnie jest deepfakiem według AI Act?
Treść obrazowa, dźwiękowa lub wideo wygenerowana albo zmanipulowana przez AI, która przedstawia istniejące osoby, przedmioty, miejsca lub zdarzenia i mogłaby błędnie uchodzić za autentyczną. Taka treść wymaga ujawnienia, że jest sztuczna.
Generujemy grafiki w zewnętrznym narzędziu. Czy musimy dodawać znaki wodne?
Oznaczanie maszynowe (metadane, znaki wodne) to obowiązek dostawcy narzędzia. Wasza rola: nie usuwać celowo takich oznaczeń i ujawniać treści, które są deepfakiem.
Od kiedy to wszystko obowiązuje?
Od 2 sierpnia 2026 r. Wyjątek: maszynowe oznaczanie w systemach istniejących przed tą datą ma okres przejściowy do 2 grudnia 2026 r. (zmiana z nowelizacji Digital Omnibus).
Czy oznaczenie „wygenerowane przez AI” psuje odbiór treści?
Badania rynkowe bywają różne, ale trend regulacyjny jest jednoznaczny, a zaufanie traci się raz: przy treściach z ryzykiem pomyłki co do autentyczności uczciwe ujawnienie to tańsza opcja niż kryzys wizerunkowy.
Źródła
Powiązane artykuły
Chatbot na stronie a AI Act: jak spełnić obowiązek informacyjny z art. 50
Chatbot to najczęstszy pierwszy kontakt polskich firm z AI Act. Zasada z art. 50 rozporządzenia jest prosta: osoba wchodząca w interakcję z systemem AI ma być poinformowana, że rozmawia z AI, chyba że jest to oczywiste z punktu widzenia rozsądnie poinformowanego użytkownika. Obowiązek stosuje się od 2 sierpnia 2026 r. i obejmuje także zwykły sklep internetowy czy firmę usługową z botem od zewnętrznego dostawcy.
Co dokładnie trzeba zrobić
Użytkownik ma otrzymać jasną informację najpóźniej przy pierwszej interakcji: zanim wciągnie się w rozmowę, powinien wiedzieć, że po drugiej stronie nie ma człowieka. W praktyce sprawdzają się trzy elementy naraz: etykieta w oknie czatu (np. „Asystent AI”), pierwsza wiadomość bota przedstawiająca go wprost („Jestem wirtualnym asystentem…”) oraz nazwa, która nie udaje człowieka. Antywzorzec: bot o imieniu „Kasia” ze zdjęciem stockowej twarzy i dymkiem „Kasia pisze…”, bez słowa o AI.
Wyjątek „oczywistości”: pułapka, nie furtka
Przepis zwalnia z informowania, gdy sztuczność rozmówcy jest oczywista. Problem w tym, że „oczywiste dla rozsądnie poinformowanej osoby” to ocena, którą w razie sporu przeprowadzi organ nadzoru, a nie Wy. Współczesne boty piszą płynnie i naturalnie, więc coraz trudniej bronić tezy, że każdy pozna bota po stylu. Jasna etykieta kosztuje 15 minut pracy i zamyka temat: to najtańsze ubezpieczenie w całym AI Act.
Chatbot a inne przepisy: o czym pamiętać przy okazji
Po pierwsze, dane klientów: jeśli bot zbiera dane osobowe albo rozmowy trafiają do zewnętrznego dostawcy, potrzebujecie porządku w RODO (informacja, podstawa, umowa powierzenia). Po drugie, zasady wewnętrzne: kto odpowiada za treści podpowiadane przez bota i co bot może obiecać klientowi. Oba tematy powinna porządkować polityka AI w firmie. Po trzecie, granice: bot nie może stosować technik manipulacyjnych z listy praktyk zakazanych (art. 5, obowiązuje od 2 lutego 2025 r.).
Czy chatbot to system wysokiego ryzyka?
Typowy chatbot obsługi klienta: nie. Wysokie ryzyko z załącznika III dotyczy innych zastosowań (m.in. rekrutacja, scoring, oceny pracownicze), z obowiązkami od 2 grudnia 2027 r. Dla zwykłego bota kluczowy jest art. 50 i data 2 sierpnia 2026 r. Ostrożności wymaga dopiero bot, który realnie podejmuje decyzje wobec klientów (np. ocenia wiarygodność): wtedy warto sprawdzić kwalifikację z pomocą prawnika.
Jak sprawdzić swoją stronę
Darmowy skan strony sprawdza w 2 minuty publiczne sygnały ryzyka Twojej witryny, m.in. obecność chatbota bez widocznej informacji o AI. Pełny audyt z raportem przypisze obowiązki do wszystkich Waszych systemów i da plan wdrożenia z terminami: harmonogram opisujemy w artykule AI Act: kiedy wchodzi w życie?
Najczęstsze pytania (FAQ)
Od kiedy chatbot musi informować, że jest AI?
Obowiązki przejrzystości z art. 50 stosuje się od 2 sierpnia 2026 r. Nowelizacja Digital Omnibus nie przesunęła tego terminu.
Chatbot dostarcza nam zewnętrzna firma. Kto odpowiada za informację?
Dostawca odpowiada za zaprojektowanie systemu zgodnie z przepisami, ale to na Waszej stronie klient prowadzi rozmowę: w praktyce za widoczną etykietę i komunikat powitalny odpowiadacie Wy. Najlepiej ustalić to z dostawcą wprost.
Czy wystarczy wzmianka w regulaminie strony?
Nie. Informacja ma dotrzeć do użytkownika przy interakcji z botem, a nie być ukryta w dokumencie, którego nikt nie czyta. Standard to etykieta w oknie czatu i przedstawienie się bota w pierwszej wiadomości.
Mamy voicebota na infolinii. Czy zasady są te same?
Tak, art. 50 dotyczy interakcji z systemem AI niezależnie od kanału: głosowy bot powinien przedstawić się jako automat na początku rozmowy.
Co grozi za brak informacji?
Kary za naruszenie obowiązków rozporządzenia sięgają 15 mln euro lub 3 procent światowego obrotu (z miarkowaniem dla MŚP: niższa z kwot). W praktyce pierwszym kosztem bywa utrata zaufania klientów, którzy odkryją, że „konsultant” był botem.
Źródła
Powiązane artykuły
Art. 4 AI Act: kompetencje AI w firmie. Co wymaga przepis i co zmienia Digital Omnibus
Art. 4 AI Act, czyli przepis o kompetencjach AI (ang. AI literacy), stosuje się już od 2 lutego 2025 r. To najczęściej przeoczany obowiązek rozporządzenia: firmy patrzą na daty 2026-2027, a przepis o kompetencjach personelu obowiązuje razem z zakazami z art. 5 od ponad roku. Dotyczy zarówno dostawców systemów AI, jak i podmiotów stosujących, czyli praktycznie każdej firmy, w której pracownicy korzystają z narzędzi sztucznej inteligencji.
Co mówi art. 4
W pierwotnym brzmieniu art. 4 wymaga od dostawców i podmiotów stosujących podjęcia środków, które zapewnią wystarczający poziom kompetencji AI u personelu i innych osób działających w ich imieniu przy obsłudze systemów AI. Przepis każe uwzględnić wiedzę techniczną, doświadczenie, wykształcenie i kontekst, w jakim systemy są używane. Nie ma tu listy konkretnych szkoleń ani certyfikatów: miarą jest adekwatność do tego, kto i do czego używa AI w Waszej firmie.
Digital Omnibus: co się zmienia w art. 4
Nowelizacja AI Act znana jako Digital Omnibus (porozumienie polityczne Rady i Parlamentu potwierdzone 13 maja 2026 r., formalna publikacja w Dzienniku Urzędowym UE spodziewana przed 2 sierpnia 2026 r.) łagodzi brzmienie przepisu: zamiast „zapewnienia wystarczającego poziomu” firma ma „wspierać rozwój kompetencji AI” personelu. Trzy rzeczy warto z tego zapamiętać. Po pierwsze: data się nie zmienia, art. 4 stosuje się od 2 lutego 2025 r. Po drugie: obowiązek nie znika, zmienia się jego natężenie. Po trzecie: sensowne szkolenie i zasady pracy z AI nadal są najprostszym sposobem wykazania, że firma ten obowiązek realizuje. Omnibus przesunął też inne terminy: obowiązki dla systemów wysokiego ryzyka z załącznika III wejdą 2 grudnia 2027 r., a przejrzystość z art. 50 pozostaje na 2 sierpnia 2026 r.
Co to znaczy w praktyce
Kompetencje AI to nie jeden uniwersalny kurs, tylko dopasowanie do ról. Inne potrzeby ma zespół marketingu korzystający z generatora treści (ryzyka: błędy merytoryczne, prawa autorskie, oznaczanie treści), inne dział HR rozważający system do selekcji kandydatów (to obszar wysokiego ryzyka z załącznika III), a jeszcze inne obsługa klienta pracująca z chatbotem. W praktyce sprawdzają się: krótkie szkolenie wewnętrzne z przykładami z Waszych narzędzi, instrukcje przy konkretnych systemach, zasady spisane w polityce AI i moduł o AI w onboardingu nowych osób. Kluczowe jest dokumentowanie: data, agenda i lista uczestników szkolenia to dowód, że temat został potraktowany poważnie.
Czy za brak kompetencji AI grozi kara?
W katalogu kar administracyjnych AI Act (art. 99) nie wskazano odrębnej kary wprost za naruszenie art. 4. Nie znaczy to, że przepis można zignorować: poziom kompetencji personelu może być badany przy okazji innych naruszeń, a błędy niedoszkolonego zespołu (np. brak informacji przy chatbocie, publikacja nieoznaczonego deepfake’a) prowadzą do naruszeń, za które kary już są przewidziane. Do tego dochodzi zwykła odpowiedzialność za szkody wyrządzone klientom.
Art. 4 w systemie: polityka, szkolenie, rejestr
Kompetencje AI najlepiej działają jako część spójnej układanki: polityka AI spisuje zasady, szkolenie przekazuje je zespołowi, a prosty rejestr systemów AI dokumentuje, czego te zasady dotyczą. Razem dają firmie dowód staranności, którego żaden z tych elementów osobno nie zapewnia. Od tego zestawu zaczyna się też porządkowanie pozostałych obowiązków: od przejrzystości z art. 50 po przygotowanie do terminów z załącznika III.
Co zrobić w tym tygodniu
Trzy kroki na start. Pierwszy: lista narzędzi AI używanych w firmie i osób, które z nich korzystają. Drugi: godzinne spotkanie z zespołem o zasadach (co wolno, czego nie wolno, kto zatwierdza wyniki), z listą obecności. Trzeci: zapisanie zasad w krótkiej polityce AI. A jeśli chcesz najpierw sprawdzić, które obowiązki AI Act w ogóle Was dotyczą: darmowy skan strony zajmie 2 minuty, a pełny audyt z raportem da plan wdrożenia dopasowany do Waszych systemów. Podstawy rozporządzenia wyjaśniamy w artykule AI Act: co to jest?
Najczęstsze pytania (FAQ)
Od kiedy obowiązuje art. 4 AI Act?
Od 2 lutego 2025 r., razem z zakazami z art. 5. Nowelizacja Digital Omnibus nie zmienia tej daty.
Czy Digital Omnibus uchyla obowiązek kompetencji AI?
Nie. Łagodzi brzmienie przepisu (ze „zapewnienia wystarczającego poziomu” na „wspieranie rozwoju kompetencji AI”), ale obowiązek pozostaje. Stan na 13 lipca 2026 r.: porozumienie polityczne potwierdzone, publikacja nowelizacji w Dzienniku Urzędowym UE spodziewana przed 2 sierpnia 2026 r.
Czy pracownicy muszą mieć certyfikaty ze szkoleń AI?
Nie, przepis nie wymaga żadnej konkretnej formy ani certyfikatu. Liczy się adekwatność działań do ról i używanych systemów oraz udokumentowanie tego, co firma zrobiła.
Kogo trzeba objąć działaniami z art. 4?
Personel oraz inne osoby działające w imieniu firmy przy obsłudze systemów AI, czyli także np. stałych współpracowników B2B czy podwykonawców korzystających z Waszych narzędzi.
Używamy tylko ChatGPT. Czy art. 4 nas dotyczy?
Tak: firma korzystająca z narzędzi AI jest podmiotem stosującym. Skala działań może być skromna (krótkie szkolenie, proste zasady), ale temat trzeba zaadresować.
Źródła
Powiązane artykuły
Polityka AI w firmie: co powinna zawierać i jak ją wdrożyć
Polityka AI to wewnętrzny dokument, który porządkuje korzystanie ze sztucznej inteligencji w firmie: jakie narzędzia są dozwolone, jakich danych nie wolno do nich wprowadzać, kto odpowiada za wyniki i jak oznaczać treści wygenerowane przez AI. AI Act nie nakazuje wprost posiadania takiego dokumentu, ale to najprostszy sposób, żeby zrealizować obowiązki, które z rozporządzenia wynikają: wspieranie kompetencji AI personelu (art. 4, stosowany od 2 lutego 2025 r.) i przejrzystość wobec odbiorców (art. 50, od 2 sierpnia 2026 r.).
Po co firmie polityka AI
W większości firm pracownicy już korzystają z narzędzi AI, często bez wiedzy przełożonych. To zjawisko ma nazwę: shadow AI. Bez ustalonych zasad łatwo o wpadkę, która kosztuje więcej niż całe wdrożenie polityki: wklejenie danych klienta lub tajemnicy przedsiębiorstwa do publicznego chatbota, publikacja niesprawdzonego tekstu z błędem merytorycznym albo brak wymaganej informacji, że klient rozmawia z botem. Polityka AI załatwia trzy rzeczy naraz: zmniejsza ryzyko, daje pracownikom jasność (co wolno, a czego nie), a w razie kontroli lub sporu jest dowodem staranności firmy.
8 elementów, które powinna zawierać polityka AI
| # |
Element |
Co reguluje |
| 1 |
Zakres i definicje |
Czym jest narzędzie AI w rozumieniu dokumentu i kogo dokument obejmuje (pracownicy, współpracownicy, podwykonawcy) |
| 2 |
Lista narzędzi |
Narzędzia dozwolone, warunkowo dozwolone i zakazane + ścieżka zgłaszania nowych |
| 3 |
Zasady danych |
Czego nie wolno wprowadzać do narzędzi AI: dane osobowe, tajemnica przedsiębiorstwa, dane klientów (styk z RODO) |
| 4 |
Oznaczanie treści |
Kiedy i jak informować, że treść lub rozmowa pochodzi od AI (obowiązki z art. 50 AI Act) |
| 5 |
Nadzór człowieka |
Kto sprawdza i zatwierdza wynik pracy AI, zanim trafi do klienta lub do publikacji |
| 6 |
Kompetencje i szkolenia |
Jak firma wspiera rozwój kompetencji AI personelu (art. 4 AI Act), adekwatnie do ról |
| 7 |
Rejestr systemów AI |
Prosta ewidencja: jakie systemy, do czego, kto odpowiada (dobra praktyka, bezcenna przy kontroli) |
| 8 |
Incydenty i przegląd |
Co robić, gdy coś pójdzie nie tak + kto i jak często aktualizuje dokument |
Wdrożenie w 5 krokach
Krok 1: inwentaryzacja. Zbierz listę narzędzi AI faktycznie używanych w firmie (ankieta wśród zespołu daje zwykle zaskakujące wyniki). Krok 2: ocena ryzyka. Dla każdego narzędzia ustal, jakie dane do niego trafiają i czy dotyka obszarów wrażliwych (rekrutacja, oceny pracowników, decyzje wobec klientów). Krok 3: spisanie zasad. Dokument na 2-4 strony wystarczy w większości MŚP: liczy się konkret, nie objętość. Krok 4: szkolenie. Krótkie spotkanie z zespołem, na którym omawiasz zasady i pokazujesz przykłady, plus potwierdzenie zapoznania się z dokumentem. Krok 5: przegląd. Wyznacz właściciela dokumentu i termin przeglądu (co 6-12 miesięcy oraz po każdej istotnej zmianie prawa).
Najczęstsze błędy
Pierwszy: gotowiec z internetu bez inwentaryzacji. Polityka opisująca narzędzia, których nikt w firmie nie używa, i pomijająca te faktycznie używane, nie chroni przed niczym. Drugi: totalny zakaz AI. Pracownicy nie przestaną korzystać, tylko przestaną się przyznawać, a shadow AI to najgorszy scenariusz. Trzeci: brak właściciela. Dokument bez osoby odpowiedzialnej za aktualizację dezaktualizuje się w kilka miesięcy. Czwarty: brak reakcji na zmiany prawa. Świeży przykład: nowelizacja Digital Omnibus przesunęła obowiązki dla systemów wysokiego ryzyka z załącznika III na 2 grudnia 2027 r. i złagodziła brzmienie art. 4. Polityka pisana rok temu może podawać nieaktualne terminy.
Polityka AI a obowiązki z AI Act
Warto rozdzielić dwie rzeczy. Obowiązki prawne wynikają wprost z rozporządzenia: od 2 lutego 2025 r. zakazy z art. 5 i wspieranie kompetencji AI z art. 4, a od 2 sierpnia 2026 r. przejrzystość z art. 50 (informacja przy chatbotach, oznaczanie treści syntetycznych i deepfake’ów). Polityka AI jest narzędziem: dokumentuje, jak firma te obowiązki realizuje. Piszemy o nich szerzej w artykułach: Art. 4 AI Act: kompetencje AI w firmie oraz Art. 50 AI Act: obowiązki przejrzystości. Zasadę stosujemy też u siebie: nasza polityka użycia AI jest publicznie dostępna.
Od czego zacząć
Jeśli nie wiesz, które obowiązki AI Act w ogóle dotyczą Twojej firmy, zacznij od diagnozy, nie od pisania dokumentu. Darmowy skan strony sprawdzi w 2 minuty publiczne sygnały ryzyka (m.in. chatbot bez informacji dla użytkownika), a pełny audyt z raportem wskaże obowiązki dopasowane do Waszych systemów i gotowy plan wdrożenia, w tym elementy polityki AI. Szczegóły na stronie głównej aktzgodny.pl.
Najczęstsze pytania (FAQ)
Czy AI Act wymaga posiadania polityki AI?
Nie wprost: rozporządzenie nie nakazuje stworzenia dokumentu o tej nazwie. Wymaga za to konkretnych zachowań (art. 4: wspieranie kompetencji AI personelu, art. 50: przejrzystość wobec odbiorców), a polityka AI jest najprostszym sposobem, żeby je uporządkować i udokumentować.
Od kiedy obowiązują przepisy, które polityka porządkuje?
Zakazy z art. 5 i kompetencje AI z art. 4 stosuje się od 2 lutego 2025 r. Obowiązki przejrzystości z art. 50 wchodzą 2 sierpnia 2026 r. Obowiązki dla systemów wysokiego ryzyka z załącznika III, po nowelizacji Digital Omnibus, od 2 grudnia 2027 r.
Czy mała firma też potrzebuje polityki AI?
Tak, ale proporcjonalnie do skali: w kilkuosobowej firmie wystarczą 2-3 strony konkretów. Ryzyko wycieku danych do publicznego chatbota nie zależy od wielkości firmy.
Jak często aktualizować politykę AI?
Rozsądny rytm to przegląd co 6-12 miesięcy oraz po każdej istotnej zmianie prawa lub narzędzi. Nowelizacja Digital Omnibus z 2026 r. to dobry przykład zmiany, która wymaga aktualizacji terminów w dokumencie.
Czy mogę skorzystać z gotowego wzoru z internetu?
Wzór może być punktem wyjścia, ale dokument musi odzwierciedlać narzędzia i procesy Waszej firmy: bez własnej inwentaryzacji polityka jest tylko ozdobą. Elementy wymagające oceny prawnej (np. klauzule wobec klientów) warto skonsultować z prawnikiem.
Źródła
Powiązane artykuły
Art. 50 AI Act: kiedy trzeba informować, że działa AI (chatboty, deepfake, treści)
Art. 50 rozporządzenia 2024/1689 (AI Act) nakłada obowiązki przejrzystości: człowiek ma wiedzieć, kiedy rozmawia z AI i kiedy patrzy na treść wytworzoną przez AI. Te obowiązki zaczynają być stosowane 2 sierpnia 2026 r. i – inaczej niż obowiązki dla systemów wysokiego ryzyka – nie zostały przesunięte przez Digital Omnibus. Dla większości polskich MŚP to właśnie art. 50 jest pierwszym przepisem AI Act, który realnie dotknie ich strony internetowej.
Cztery obowiązki z art. 50 – kto i co musi zrobić
| Przepis |
Kogo obciąża |
Obowiązek w praktyce |
| art. 50 ust. 1 |
dostawca systemu |
system wchodzący w interakcję z człowiekiem (np. chatbot) informuje, że jest AI – chyba że to oczywiste dla przeciętnego odbiorcy |
| art. 50 ust. 2 |
dostawca systemu generatywnego |
treści syntetyczne (tekst, obraz, audio, wideo) oznaczone maszynowo (format nadający się do odczytu maszynowego, tzw. watermarking) |
| art. 50 ust. 3 |
podmiot stosujący |
informowanie osób o działaniu systemu rozpoznawania emocji albo kategoryzacji biometrycznej |
| art. 50 ust. 4 |
podmiot stosujący |
ujawnienie, że treść to deepfake; oznaczenie tekstu generowanego przez AI publikowanego w celu informowania o sprawach interesu publicznego |
Uwaga na role: jeśli kupujesz chatbota jako usługę, obowiązek z ust. 1 formalnie ciąży na dostawcy – ale to Twoja strona i Twój klient, więc w praktyce to Ty dobierasz narzędzie, które pozwala ten obowiązek spełnić, i odpowiadasz za wdrożenie u siebie.
Chatbot na stronie: co konkretnie zrobić przed 2 sierpnia 2026
Po pierwsze, czytelna informacja przy starcie rozmowy – np. „Rozmawiasz z asystentem AI” w oknie czatu, zanim użytkownik zada pierwsze pytanie. Po drugie, informacja ma być podana najpóźniej przy pierwszej interakcji, jasno i wyraźnie – schowana w regulaminie nie wystarczy. Po trzecie, wyjątek „oczywistości” traktuj ostrożnie: to, co oczywiste dla Ciebie, nie musi być oczywiste dla przeciętnego klienta. Nazwa „Asystent” z ikonką robota to za mało, jeśli bot pisze jak człowiek i przedstawia się imieniem.
Co zmienił (a czego nie zmienił) Digital Omnibus
Nowelizacja z 2026 r. przesunęła obowiązki dla systemów wysokiego ryzyka z załącznika III na 2 grudnia 2027 r. – ale art. 50 zostawiła na 2 sierpnia 2026 r. Jedno ustępstwo dotyczy maszynowego oznaczania treści (ust. 2): systemy istniejące przed 2 sierpnia 2026 r. dostały okres przejściowy do 2 grudnia 2026 r. Obowiązek informowania o chatbocie i deepfake’ach startuje bez odroczenia.
Kary
Naruszenie obowiązków z art. 50 podlega karom do 15 mln euro albo 3% całkowitego rocznego światowego obrotu (art. 99), przy czym dla MŚP stosuje się niższą z tych kwot. W Polsce nadzór organizuje ustawa o systemach sztucznej inteligencji (po pracach parlamentarnych, przed podpisem Prezydenta – stan na 13 lipca 2026 r.), która powołuje KRiBSI jako krajowy organ nadzoru.
Najczęstsze pytania (FAQ)
Czy każdy chatbot musi mieć etykietę „AI”?
Każdy, przy którym przeciętny użytkownik mógłby sądzić, że pisze z człowiekiem. Prosty widget FAQ z sztywnymi odpowiedziami może korzystać z wyjątku oczywistości; bot konwersacyjny na LLM – praktycznie nigdy.
Czy stopka „powered by AI” na dole strony wystarczy?
Nie. Informacja ma towarzyszyć interakcji z systemem – użytkownik ma ją dostać przy rozmowie, nie szukać jej w stopce.
Czy maile albo oferty pisane z pomocą AI trzeba oznaczać?
Zwykła korespondencja firmowa redagowana z pomocą AI i wysyłana pod nadzorem człowieka nie jest celem art. 50. Obowiązek oznaczania dotyczy treści syntetycznych (ust. 2, po stronie dostawcy narzędzia) oraz tekstów publikowanych w celu informowania o sprawach interesu publicznego (ust. 4).
Czy opisy produktów generowane przez AI w sklepie podlegają oznaczeniu?
Maszynowe oznaczenie treści syntetycznych to obowiązek dostawcy narzędzia (ust. 2). Po Twojej stronie zostaje przejrzystość wobec klientów tam, gdzie treść mogłaby wprowadzać w błąd – dobrą praktyką jest polityka AI opisująca, gdzie używasz generatorów.
Chcesz sprawdzić, czy Twoja strona wysyła sygnały ryzyka z art. 50? Darmowy skan domeny sprawdza dokładnie te 3 sygnały w 2 minuty, bez rejestracji.
Źródła
Powiązane artykuły