AI Act 2026 - co naprawdę zmienia dla polskiej firmy (i co z RODO)

Wokół AI Act (rozporządzenie UE 2024/1689) narosło dużo niepokoju i jeszcze więcej mitów. Część firm jest przekonana, że przepisy wymagają audytów wartych setki tysięcy złotych już dziś. Inne uznały, że „to dotyczy tylko OpenAI i Google". Obie skrajności są błędne.

W praktyce dla typowej polskiej firmy - e-commerce, gastronomii, SaaS, usług B2B - AI Act sprowadza się w 2026 roku do kilku konkretnych obowiązków, z których najważniejszy zaczyna obowiązywać 2 sierpnia 2026. Poniżej rozkładamy to na czynniki pierwsze: co, kiedy, kogo dotyczy i jak spina się z RODO.

Uwaga: ten artykuł to wyjaśnienie stanu prawnego (czerwiec 2026), a nie porada prawna. Część zmian (tzw. Digital Omnibus) była w maju 2026 na etapie porozumienia politycznego i wchodzi w życie dopiero po publikacji w Dzienniku Urzędowym UE.

Kalendarz: co i kiedy zaczyna obowiązywać

AI Act wszedł w życie 1 sierpnia 2024, ale przepisy uruchamiają się etapami:

• 2 lutego 2025 - zakaz praktyk niedopuszczalnych (art. 5) oraz obowiązek zapewnienia personelowi kompetencji w zakresie AI (art. 4, tzw. AI literacy). To obowiązuje już teraz.
• 2 sierpnia 2025 - zasady dla modeli ogólnego przeznaczenia (GPAI - jak GPT czy Claude), struktury nadzoru i część przepisów o karach.
• 2 sierpnia 2026 - obowiązki transparentności (art. 50). To jest data, która dotyczy zdecydowanej większości zwykłych firm.
• 2 grudnia 2027 / 2 sierpnia 2028 - obowiązki dla systemów wysokiego ryzyka (po przesunięciu przez Digital Omnibus, o czym niżej).

Co zmienił Digital Omnibus

W maju 2026 UE uzgodniła pakiet upraszczający (tzw. AI Act Omnibus / Digital Omnibus). Najważniejsze: obowiązki dla samodzielnych systemów wysokiego ryzyka z Załącznika III przesunięto na 2 grudnia 2027, a dla AI wbudowanej w produkty regulowane (Załącznik I) na 2 sierpnia 2028.

Kluczowe jednak: obowiązki transparentności z art. 50 NIE zostały przesunięte - obowiązują od 2 sierpnia 2026 bez zmian. Jeśli więc używasz chatbota albo generujesz treści przez AI, harmonogram Cię nie ominął.

Cztery poziomy ryzyka - gdzie jest Twoja firma

AI Act dzieli systemy AI według ryzyka, a nie według tego, jak „zaawansowane" są:

1. Ryzyko niedopuszczalne - zakazane (patrz niżej).
2. Wysokie ryzyko - np. AI w rekrutacji, ocenie zdolności kredytowej, dostępie do usług publicznych. Twarde obowiązki (dokumentacja, nadzór człowieka, zarządzanie ryzykiem) - ale z terminem dopiero 2027/2028.
3. Ograniczone ryzyko - chatboty, asystenci, treści generowane przez AI. Obowiązek transparentności od sierpnia 2026. Tu jest większość firm.
4. Minimalne ryzyko - filtry antyspamowe, rekomendacje produktów. Bez dodatkowych obowiązków.

Druga ważna rzecz: rola. Najczęściej firma jest podmiotem stosującym (deployer) gotowe narzędzie AI, a nie jego dostawcą (provider). Obowiązki dostawcy (np. twórcy modelu) są znacznie cięższe - ale zwykle nie spadają na Ciebie, jeśli tylko korzystasz z cudzego narzędzia.

Praktyki zakazane - sprawdź, czy przypadkiem nie używasz

Od lutego 2025 zakazane jest m.in.:

• techniki manipulacyjne i podprogowe wpływające na decyzje w sposób wyrządzający szkodę,
• wykorzystywanie słabości grup wrażliwych (wiek, niepełnosprawność, sytuacja ekonomiczna),
• scoring społeczny obywateli,
• scraping zdjęć twarzy z internetu/monitoringu do budowy baz rozpoznawania,
• rozpoznawanie emocji w miejscu pracy i w edukacji (poza wyjątkami medycznymi/bezpieczeństwa).

Brzmi odlegle, ale warto sprawdzić narzędzia HR i marketing automation - to tam najczęściej pojawia się scoring lub rozpoznawanie emocji „w pakiecie".

Chatbot AI na stronie - obowiązek informowania od sierpnia 2026

To najczęstszy punkt styku zwykłej firmy z AI Act. Art. 50 wymaga, by:

• klient był poinformowany, że rozmawia z systemem AI (chyba że jest to oczywiste z kontekstu),
• treści generowane przez AI (tekst, obraz, audio, wideo) były oznaczone - w tym deepfake i syntetyczne publikacje,
• oznaczenie treści było odczytywalne maszynowo (watermarking). Dla systemów gen-AI już obecnych na rynku przewidziano czas na dostosowanie do 2 grudnia 2026.

W praktyce, jeśli masz na stronie czat AI, od 2 sierpnia 2026 powinien on jasno komunikować, że jest asystentem AI, a przejście do człowieka powinno być możliwe. To kilka zdań w interfejsie i w polityce prywatności - nie projekt na pół roku.

Nasz enuchat.com ma to wbudowane: czat przedstawia się jako asystent AI, a trudniejsze sprawy eskaluje do operatora. Dane rozmów są szyfrowane, hosting jest w EOG, a retencja konfigurowalna - czyli warstwa transparentności AI Act i warstwa RODO są domknięte w jednym narzędziu.

AI Act + RODO: jedna checklista, nie dwie

AI Act nie zastępuje RODO - nakłada się na nie. Gdy AI przetwarza dane osobowe (a chatbot obsługujący klientów zwykle przetwarza), obowiązują oba reżimy naraz. W praktyce to jedna spójna lista:

• Inwentaryzacja AI - spisz, gdzie w firmie używacie AI (czat, marketing, HR, generowanie treści) i w jakiej roli (dostawca / podmiot stosujący).
• Klasyfikacja ryzyka - przypisz każdemu zastosowaniu poziom (zakazane / wysokie / ograniczone / minimalne).
• Transparentność (art. 50) - oznacz chatboty i treści generowane przez AI.
• Podstawa prawna i RODO - aktualizacja polityki prywatności o wykorzystanie AI, podpisanie umów powierzenia z dostawcami (procesorami), weryfikacja transferów poza EOG.
• Nadzór człowieka - możliwość przejęcia rozmowy/decyzji przez człowieka.
• Kompetencje AI (art. 4) - krótkie przeszkolenie zespołu korzystającego z narzędzi AI.
• Rejestr i retencja - kto, jak długo i po co przechowuje dane z interakcji AI.

Kary - skala, o której warto wiedzieć

AI Act przewiduje kary wyższe niż samo RODO:

• do 35 mln EUR lub 7% światowego obrotu - za praktyki zakazane,
• do 15 mln EUR lub 3% - za naruszenie pozostałych obowiązków (w tym transparentności),
• do 7,5 mln EUR lub 1% - za podanie nieprawdziwych informacji organom.

Dla MŚP kwoty są miarkowane, ale ryzyko reputacyjne i tak jest realne - zwłaszcza że chatbot bez informacji „rozmawiasz z AI" to naruszenie widoczne gołym okiem dla każdego klienta i konkurenta.

Co zrobić w 30 dni

Nie trzeba wielkiego projektu. Sensowne minimum przed sierpniem 2026:

1. Tydzień 1. Inwentaryzacja - gdzie używacie AI i w jakiej roli.
2. Tydzień 2. Klasyfikacja ryzyka i odsianie ewentualnych praktyk z listy zakazanych.
3. Tydzień 3. Transparentność - oznaczenie chatbota i treści AI, aktualizacja polityki prywatności.
4. Tydzień 4. RODO - umowy powierzenia, retencja, transfery, krótkie szkolenie zespołu (AI literacy).

Następny krok

Jeśli używacie chatbota albo narzędzi generujących treści, sierpniowy termin dotyczy Was wprost. Umówcie bezpłatną rozmowę - w 30 minut powiemy, czy wystarczy domknąć transparentność i RODO, czy potrzebny jest szerszy audyt RODO ukierunkowany na AI.

Część techniczną - czat AI, który od pierwszego dnia spełnia wymóg transparentności i działa zgodnie z RODO - realizujemy przez enuchat.com.

Powiązane: ChatGPT i Copilot a RODO, Audyt RODO krok po kroku oraz Obsługa klienta bez infolinii.