Umów rozmowę
regulacyjna · 10 min czytania ·

AI Act — kalendarz wdrożenia 2025-2027 i co kiedy obowiązuje polskie MŚP

Rozporządzenie 2024/1689 (AI Act) wchodzi w życie fazami 2025-2027. Mapa terminów per artykuł — zakazane praktyki, GPAI, high-risk systemy, kary do 35 mln EUR. Co kiedy zaczyna obowiązywać i jak to wpływa na MŚP.

Rozporządzenie, które weszło fazami — nie jednym dniem

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 z dnia 13 czerwca 2024 r. — w skrócie AI Act — zostało opublikowane w Dzienniku Urzędowym UE 12 lipca 2024 r. i weszło w życie 1 sierpnia 2024 r. To dwadzieścia dni po publikacji, zgodnie z art. 113 rozporządzenia.

Wejście w życie nie oznacza jednak natychmiastowego obowiązywania wszystkich przepisów. AI Act ma jedną z najbardziej rozbudowanych map fazowych w historii prawa unijnego — różne grupy obowiązków startują w czterech różnych terminach pomiędzy lutym 2025 a sierpniem 2027. Dla polskiego MŚP, które chce wiedzieć, kiedy konkretnie musi być gotowe, ta mapa jest punktem startu każdego planu compliance.

W tym artykule rozkładamy kalendarz na cztery fazy, łączymy każdą z konkretnymi artykułami rozporządzenia i pokazujemy, czego dotyczy każdy z terminów w praktyce operacyjnej.

Faza 1 — 2 lutego 2025: zakazane praktyki

Pierwsza grupa obowiązków zaczęła obowiązywać 2 lutego 2025 r. — sześć miesięcy po wejściu rozporządzenia w życie, zgodnie z art. 113 lit. a. Dotyczy ona art. 5, czyli katalogu praktyk AI zakazanych w całej Unii.

Lista zakazanych praktyk z art. 5 obejmuje:

  • techniki podprogowe lub manipulacyjne wpływające na zachowanie osoby w sposób powodujący szkodę (lit. a);
  • wykorzystywanie podatności wynikającej z wieku, niepełnosprawności lub sytuacji społeczno-ekonomicznej (lit. b);
  • scoring społeczny przez podmioty publiczne lub prywatne, prowadzący do nieuzasadnionego niekorzystnego traktowania (lit. c);
  • ocenę ryzyka popełnienia przestępstwa wyłącznie na podstawie profilowania osoby (lit. d);
  • masowe zbieranie wizerunków twarzy z internetu lub CCTV w celu budowy baz rozpoznawania twarzy (lit. e);
  • rozpoznawanie emocji w miejscu pracy i w instytucjach edukacyjnych — z wąskimi wyjątkami medycznymi i bezpieczeństwa (lit. f);
  • biometryczną kategoryzację osób w celu wnioskowania o rasie, poglądach politycznych, przekonaniach religijnych, orientacji seksualnej (lit. g);
  • zdalną identyfikację biometryczną w czasie rzeczywistym w przestrzeni publicznie dostępnej do celów ścigania prawa — z bardzo wąskimi wyjątkami (lit. h).

Dla MŚP istotne są przede wszystkim pozycje lit. f i lit. g — bo dotyczą one rozwiązań coraz częściej pojawiających się w produktach SaaS dla HR, marketingu i call center. Jeśli używasz narzędzia, które „wykrywa nastrój klienta” lub „klasyfikuje pracownika po cechach głosu” — to obszar wymagający natychmiastowej weryfikacji.

Kary za naruszenie art. 5 są najwyższe w całym rozporządzeniu — patrz sekcja o art. 99 poniżej.

Faza 2 — 2 sierpnia 2025: GPAI i governance

Druga fala obowiązków zaczęła obowiązywać 2 sierpnia 2025 r. — dwanaście miesięcy po wejściu rozporządzenia w życie. Obejmuje trzy obszary:

  • rozdział V — obowiązki dostawców modeli AI ogólnego przeznaczenia (General-Purpose AI, art. 51-55);
  • rozdział VII — governance na poziomie UE i państw członkowskich (AI Office, krajowe organy nadzorcze);
  • rozdział XII — kary (art. 99-101) — w zakresie dotyczącym zakazanych praktyk i GPAI.

GPAI to modele bazowe — w praktyce dotyczy to dostawców takich jak OpenAI, Anthropic, Google, Mistral, Meta. Polskie MŚP rzadko są dostawcami GPAI — najczęściej są ich klientami przez API lub osadzony produkt. Ale art. 53 nakłada na dostawcę GPAI obowiązki w zakresie:

  • dokumentacji technicznej modelu (art. 53 ust. 1 lit. a);
  • informacji dla dostawców downstream — czyli dla Twojej firmy, jeśli budujesz na ich modelu (lit. b);
  • przestrzegania prawa autorskiego (lit. c);
  • publikacji streszczenia danych treningowych (lit. d).

Z punktu widzenia MŚP-deployera oznacza to jedną praktyczną rzecz — od sierpnia 2025 dostawcy GPAI muszą udostępniać dokumentację, której wcześniej nie udostępniali. To otwiera realną możliwość audytu third-party AI w stacku.

Krajowy organ nadzorczy w Polsce — zgodnie z art. 70 — musi zostać wyznaczony przez państwo członkowskie. Na dzień publikacji tego artykułu trwa proces legislacyjny ustawy implementującej w sejmie.

Faza 3 — 2 sierpnia 2026: high-risk i większość rozporządzenia

To najważniejszy termin w całej mapie. 2 sierpnia 2026 r. — dwadzieścia cztery miesiące po wejściu w życie — zaczyna obowiązywać większość rozporządzenia, w tym najbardziej rozbudowany rozdział III dotyczący systemów wysokiego ryzyka (high-risk AI systems).

Systemy wysokiego ryzyka są wyliczone w art. 6 oraz w Aneksie III, który wymienia osiem obszarów:

  • biometria (kategoryzacja, rozpoznawanie emocji poza obszarami zakazanymi);
  • krytyczna infrastruktura (zarządzanie ruchem, energetyka, woda);
  • edukacja i szkolenie zawodowe (admission, scoring, monitoring egzaminów);
  • zatrudnienie i HR (rekrutacja, oceny, alokacja zadań);
  • dostęp do podstawowych usług publicznych i prywatnych (scoring kredytowy, ubezpieczenia, świadczenia społeczne, klasyfikacja zgłoszeń alarmowych);
  • ściganie prawa;
  • migracja, azyl, kontrola graniczna;
  • wymiar sprawiedliwości i procesy demokratyczne.

Dla polskiego MŚP oznacza to obowiązki z art. 8-22 — w tym system zarządzania ryzykiem (art. 9), data governance (art. 10), dokumentację techniczną (art. 11), logging (art. 12), przejrzystość wobec deployera (art. 13), nadzór człowieka (art. 14), dokładność i odporność (art. 15) oraz conformity assessment (art. 43).

Szczegółowe omówienie kategorii high-risk znajdziesz w osobnym artykule AI Act — kiedy polskie MŚP staje się dostawcą high-risk AI system.

Faza 4 — 2 sierpnia 2027: pozostałe

Ostatni termin — 2 sierpnia 2027 r. — dotyczy systemów wysokiego ryzyka, które są komponentami bezpieczeństwa produktów objętych już istniejącym prawodawstwem harmonizacyjnym UE (np. dyrektywa maszynowa, wyroby medyczne, lotnictwo). Lista tych aktów znajduje się w Aneksie I AI Act.

Dla tej grupy dostawców rozporządzenie daje dodatkowy rok na dostosowanie — ze względu na to, że ich produkty już teraz przechodzą procedury certyfikacyjne (CE marking) i muszą zostać zintegrowane z nowymi wymogami AI Act. Większość polskich MŚP nie wpada w tę kategorię — chyba że produkuje sprzęt medyczny, maszynowy lub elektroniczny z komponentem AI.

Kary — art. 99

Sankcje finansowe za naruszenia AI Act są progresywne. Art. 99 ust. 3-5 definiuje trzy progi:

NaruszenieMaksymalna kara
Zakazane praktyki (art. 5)35 mln EUR lub 7% rocznego światowego obrotu — zależnie od tego, która kwota jest wyższa
Naruszenie obowiązków dotyczących systemów high-risk i GPAI15 mln EUR lub 3% obrotu
Dostarczanie nieprawidłowych, niekompletnych lub mylących informacji organom nadzorczym7,5 mln EUR lub 1% obrotu

Dla MŚP art. 99 ust. 6 wprowadza dodatkowo zasadę proporcjonalności — kara dla MŚP i startupów wynosi kwotę niższą z dwóch wartości (procent obrotu albo kwota stała), a nie wyższą. To istotna różnica, ale nie zwolnienie z odpowiedzialności.

Trzy rzeczy do zrobienia w 2026 w MŚP

Z perspektywy CTO i Zarządu polskiego MŚP — niezależnie od branży — kalendarz 2025-2027 sprowadza się do trzech działań operacyjnych w bieżącym roku:

Po pierwsze — sprawdź, czy nie korzystasz z zakazanych praktyk. Faza 1 już obowiązuje. Jeśli Twoje narzędzie HR ma funkcję „emotion detection podczas rozmowy rekrutacyjnej” albo Twój system CRM klasyfikuje klientów po cechach biometrycznych — to potencjalne ryzyko art. 5 już dziś. Inwentaryzacja AI w stacku to pierwszy krok.

Po drugie — klasyfikuj systemy AI per Aneks III. Sierpień 2026 jest bliżej niż się wydaje. Każdy system AI w organizacji powinien zostać przypisany do jednej z trzech kategorii — zakazany, high-risk, ograniczone ryzyko/minimalne ryzyko. Klasyfikacja decyduje o zakresie obowiązków per system.

Po trzecie — zacznij od mapowania, nie od narzędzi. Większość MŚP nie potrzebuje platformy GRC za sześciocyfrowe kwoty. Potrzebuje rejestru systemów AI, rejestru ryzyka i procedury klasyfikacji nowych systemów na etapie zakupu. Te trzy artefakty można utrzymać w arkuszu i Confluence przez pierwsze dwanaście miesięcy — z migracją do dedykowanego narzędzia dopiero wtedy, gdy skala tego wymaga.

QA10 — gdzie to sprawdzamy

W ramach Audytu AiP mapujemy stack AI klienta przeciwko kalendarzowi 2025-2027 i wskazujemy, które systemy wymagają działania przed sierpniem 2026. To nie raport prawny — to operacyjna lista zadań dla CTO i Compliance.

Co dalej // przeczytałeś artykuł · może czas na rozmowę?

Czy te zagadnienia dotyczą Twojej firmy?

30 minut z CEO. Bez handlowca. Sprawdzimy razem czy to, co przeczytałeś, ma zastosowanie u Ciebie.

Umów rozmowę z CEO Sprawdź kalkulator ROI
Paleta poleceń
  • Strona główna/
  • Audyt AiP/audyt-aip/
  • Venture Projects/projekty/
  • dlaNGO MVP demo/projekty/#dlango-mvp
  • Kalkulator Dig.IT/kalkulator/
  • Engineering Lab/engineering-lab/
  • Baza wiedzy/baza-wiedzy/
  • O nas/o-nas/
  • LSO:ATOM/o-nas/#lso-atom
  • Kontakt/kontakt/
  • FAQ /projekty//projekty/#faq
CtrlK|Esc|Enter11