AI Act & Compliance

Wersja 1.0 · Aktualizacja: 12 maja 2026

Ta strona opisuje, jak AI Pro Consulting podchodzi do regulacji AI w swojej pracy oraz jak pomagamy klientom dostosować się do AI Act 2026. To nie jest porada prawna — to opis naszej praktyki i metodyki.

1. Co to jest AI Act i kogo dotyczy

AI Act (Rozporządzenie UE 2024/1689) to pierwsze na świecie kompleksowe prawo regulujące sztuczną inteligencję. Weszło w życie 1 sierpnia 2024 roku. Kluczowy punkt kontrolny dla większości firm: 2 sierpnia 2026 roku — od tej daty szerzej stosowane będą obowiązki dotyczące systemów wysokiego ryzyka i kar administracyjnych.

AI Act dotyczy Twojej firmy, jeśli:

Używasz systemów AI do oceny pracowników (HR, scoring wydajności, screening CV).
Wykorzystujesz AI w scoringu kontrahentów (kredytowy, ryzyka, anti-fraud).
Stosujesz AI w logistyce krytycznej (zarządzanie infrastrukturą, transport).
Oferujesz klientom chatboty albo asystentów (obowiązek informowania, że rozmawiają z AI).
Twórczo używasz AI generatywnej (treści, obrazy) — obowiązek oznaczania.

2. Cztery poziomy ryzyka według AI Act

Niedopuszczalne ryzyko

Zakazane

Social scoring, manipulacja behawioralna, masowa identyfikacja biometryczna.

Wysokie ryzyko

Pełna regulacja

HR, scoring kredytowy, edukacja, infrastruktura krytyczna. Wymagana dokumentacja, audyty, nadzór człowieka.

Ograniczone ryzyko

Obowiązek informacyjny

Chatboty, deepfake, generatywna AI. Użytkownik musi wiedzieć, że ma do czynienia z AI.

Minimalne ryzyko

Bez ograniczeń

Filtry antyspamowe, AI w grach, większość zastosowań biurowych. Bez dodatkowych obowiązków.

3. Jak my pracujemy z AI Act

3.1 W naszej firmie

Inwentaryzacja narzędzi AI — wiemy, jakie modele i platformy używamy w swojej pracy (Claude, ChatGPT, Microsoft Copilot, Gemini, n8n, Make).
Polityka użycia AI — wewnętrzny dokument określający, do czego można i nie można używać publicznych modeli AI.
Klasyfikacja zadań — żadne zadanie z danymi wrażliwymi klienta nie trafia do publicznych modeli bez zgody.
Środowiska Enterprise — w pracy z danymi klienta używamy płatnych instancji z gwarancją braku treningu modelu na naszych danych.
Human-in-the-loop — każdy output AI w komunikacji z klientem przechodzi weryfikację człowieka.

3.2 W projektach klientów

Każde wdrożenie AI u klienta zaczynamy od oceny zgodności:

Klasyfikacja ryzyka — do której kategorii AI Act wpada wdrożenie?
Mapowanie obowiązków — co konkretnie musi zostać udokumentowane, oznaczone, monitorowane?
Procedura nadzoru człowieka — kto, kiedy i jak weryfikuje decyzje algorytmu?
Dokumentacja techniczna — opis modelu, danych treningowych, ograniczeń, znanych ryzyk.
Plan monitoringu — jak wykryjemy model drift, halucynacje, bias po wdrożeniu?

4. Shadow AI — najczęściej ignorowane ryzyko

Według dostępnych raportów rynkowych, około 68% pracowników używa AI poza formalnym nadzorem firmy. W praktyce oznacza to pracę na prywatnych kontach, niezatwierdzonych narzędziach i środowiskach, w których firma nie ma pewności, gdzie dane są przetwarzane, przechowywane i kto ma do nich dostęp.

To jest ryzyko na trzech poziomach:

Wyciek danych — know-how, cenniki, dane klientów trafiają do publicznych modeli i mogą zostać użyte do treningu.
Brak kontroli jakości — halucynacje AI trafiają w komunikacji do klientów bez weryfikacji.
Niezgodność z AI Act — przepisy wymagają udokumentowanego nadzoru. Shadow AI go nie ma.

W ramach audytu (krok 1 naszej współpracy) zawsze inwentaryzujemy Shadow AI w firmie klienta i wdrażamy politykę użycia + zamknięte środowisko Enterprise / lokalny RAG.

5. RODO a AI Act — relacja

AI Act nie zastępuje RODO. Obie regulacje obowiązują równolegle. Jeśli system AI przetwarza dane osobowe, musi spełniać oba zestawy wymagań.

RODO reguluje przetwarzanie danych osobowych — podstawę prawną, cel, czas, prawa osoby.
AI Act reguluje sam system — dokumentację, transparentność, nadzór człowieka, monitoring.

W projektach z danymi osobowymi pracujemy z radcą prawnym (dr hab. Monika Przybylska) — to nie dodatek, to standardowy element wdrożenia.

6. Sankcje — co realnie grozi

Niedopuszczalne praktyki (zakazane systemy): kara do 35 mln EUR lub 7% globalnego obrotu (wyższa z kwot).
Naruszenia dot. systemów wysokiego ryzyka: do 15 mln EUR lub 3% obrotu.
Podanie nieprawdziwych informacji organom nadzorczym: do 7.5 mln EUR lub 1% obrotu.

Kary są wymierzane administracyjnie, nie sądowo. Brak należytej staranności zarządu w nadzorze nad AI może też skutkować osobistą odpowiedzialnością członków zarządu (art. 293 KSH dla spółek z o.o., art. 483 KSH dla S.A.).

7. Co możesz zrobić już teraz (bez nas)

Zrób inwentaryzację: jakie narzędzia AI używają Twoi pracownicy i do czego.
Zidentyfikuj systemy AI, które mogą wymagać klasyfikacji wysokiego ryzyka, szczególnie w HR, rekrutacji, ocenie pracowników, bezpieczeństwie lub decyzjach wpływających na ludzi.
Wprowadź minimalną politykę: czego nie wolno wprowadzać do publicznych modeli (dane osobowe, dane wrażliwe, dane klienta).
Wyznacz osobę odpowiedzialną za AI w firmie (nawet jeśli na pół etatu) — własną albo zewnętrzną.
Jeśli używasz chatbotów — sprawdź, czy informują użytkownika, że to AI.

8. Kiedy potrzebujesz nas

Możemy pomóc, jeśli:

Nie wiesz, gdzie zacząć i potrzebujesz audytu w 14 dni z konkretną decyzją GO/NO-GO.
Twoja firma używa systemów AI w HR, rekrutacji, ocenie pracowników, bezpieczeństwie lub decyzjach wpływających na ludzi i nie masz dokumentacji.
Chcesz wdrożyć AI bezpiecznie — od strony danych, prawa i adopcji zespołów jednocześnie.
Potrzebujesz zewnętrznego AI Lead, który raportuje do zarządu i odpowiada za zgodność.

→ Umów bezpłatną rozmowę

9. Zastrzeżenie

Ten dokument nie jest poradą prawną. Opisuje naszą metodykę i ogólny krajobraz regulacyjny. Konkretne obowiązki Twojej firmy zależą od skali, branży, używanych systemów i danych. W projektach klientów pracujemy z radcą prawnym specjalizującym się w prawie nowych technologii — każdy projekt ma indywidualną analizę zgodności.

Aktualnym oficjalnym źródłem jest pełny tekst rozporządzenia: Rozporządzenie UE 2024/1689 (eur-lex.europa.eu).