Compliance

AI Act — co weszło w sierpniu 2025 i co to znaczy dla polskiej firmy

AI Act (Rozporządzenie 2024/1689) wchodzi etapowo. 2 lutego 2025 zakaz praktyk wysokiego ryzyka, 2 sierpnia 2025 — przepisy o modelach ogólnego przeznaczenia (GPAI), governance, sankcjach. Dla polskich firm 5-200 osób oznacza to konkretne obowiązki dokumentacyjne. Tłumaczymy bez prawniczego żargonu, co trzeba zrobić w III kwartale 2025.

⏱ 8 min czytania · 📅 07.08.2025 · 👁 2 020 wyświetleń

"AI Act wchodzi w sierpniu" brzmi jak temat dla działów compliance dużych banków. W rzeczywistości dotyczy też 47-osobowej firmy logistycznej która używa Claude'a do segregacji maili od kontrahentów. Co konkretnie weszło 2 sierpnia 2025, co trzeba mieć w segregatorze (lub w Confluence) i co jest na razie tylko teorią — odpowiadamy bez prawniczych hieroglifów.

Co weszło 2 sierpnia 2025

Trzy główne bloki:

  • Obowiązki dostawców GPAI (modele ogólnego przeznaczenia) — Anthropic, OpenAI, Mistral, Meta. To oni mają obowiązki dokumentacyjne, nie Wy. Ale Wy musicie mieć potwierdzenie, że Wasz dostawca to spełnia.
  • Struktura nadzoru — Komisja AI Office, ustanowione krajowe organy nadzoru. W Polsce: UODO + Ministerstwo Cyfryzacji.
  • Sankcje — kary uruchomione: do 35 mln EUR lub 7% rocznego obrotu globalnego za zakazane praktyki, do 15 mln EUR lub 3% za naruszenia GPAI.

Co NIE weszło jeszcze 2 sierpnia

Większość obowiązków dla "systemów wysokiego ryzyka" (high-risk) wchodzi 2 sierpnia 2026 — czyli za rok. To są obowiązki dla użytkowników (deployerów) systemów AI w obszarach jak rekrutacja, scoring kredytowy, biometria. Nie panikujemy w 2025, ale planujemy.

Co konkretnie powinna zrobić polska firma 5-200 osób

Cztery kroki, które każda firma korzystająca z AI powinna mieć zrobione do końca września 2025:

Krok 1: inwentaryzacja systemów AI

Lista wszystkiego, co używa AI — od ChatGPT na koncie firmowym, przez Claude w naszym wdrożeniu, po Copilot w Office 365. Dla każdego: dostawca, cel użycia, dane wprowadzane, dane wyjściowe, kto ma dostęp. Excel wystarczy. U naszych klientów lista ma średnio 7-12 pozycji.

Krok 2: klasyfikacja ryzyka

Dla każdej pozycji z listy — czy to jest "high-risk" wg AI Act? Lista wysokiego ryzyka jest w Załączniku III. W praktyce dla MŚP najczęściej dotyczy:

  • Rekrutacja (CV screening, ranking kandydatów)
  • Ocena pracownicza (algorytmiczne premie, decyzje o zwolnieniu)
  • Scoring klienta / przyznawanie kredytu kupieckiego
  • Systemy biometryczne (kontrola wejścia twarzą)

Jeśli AI u Was tylko klasyfikuje maile, generuje opisy produktów, pomaga w księgowości — najprawdopodobniej NIE jest high-risk. Ale formalna klasyfikacja musi być na piśmie.

Krok 3: polityka AI dla pracowników

Pisemny dokument: co wolno, czego nie wolno, jakie dane można wprowadzać. AI Act tego nie wymaga formalnie dla MŚP, ale UODO już to wymaga (RODO + zasada rozliczalności). Nasi klienci dostają szablon — 4 strony, do dostosowania.

Krok 4: AI literacy — szkolenie

Art. 4 AI Act: dostawca i deployer (czyli Wy) zapewniają, że osoby obsługujące AI mają wystarczającą "wiedzę o AI" proporcjonalnie do swoich zadań. To wchodzi już 2 lutego 2025 (zaczęło wcześniej). U klientów robimy to jako jednorazowy warsztat 3-godzinny + krótkie e-learningi co kwartał.

Sankcje — kto pierwszy oberwie?

Sankcje uruchomione 2 sierpnia 2025 nie są retrospektywne — dotyczą naruszeń od tej daty. Ale historia GDPR pokazuje że pierwsze kary spadają na duże podmioty, nie MŚP. Realnie w Polsce do końca 2025 spodziewamy się:

ScenariuszPrawdopodobieństwo (subiektywne)Pierwsze kary
Kara dla dużego banku za nieoznaczony AI w scoringuWysokiedo końca 2026
Kara dla startupu HR za nieoznaczone CV screeningŚrednie2026-2027
Kara dla 30-osobowej firmy za użycie ChatGPTBardzo niskienie ma takiego ryzyka

Praktyka u naszych klientów

W lipcu i sierpniu 2025 zrobiliśmy compliance review u 11 klientów. Najczęstsze braki:

  • Brak listy systemów AI — 9 z 11 nie miało.
  • Pracownicy używają ChatGPT na prywatnych kontach — w 6 firmach. Wprowadzają tam dane firmowe, brak nadzoru.
  • Brak DPA (data processing agreement) z dostawcą AI — w 7 firmach. Anthropic, OpenAI udostępniają, trzeba podpisać.
  • Brak polityki AI — w 8 firmach.

Naprawienie tych 4 punktów to średnio 2-3 tygodnie pracy (głównie nasza, klient zatwierdza). Koszt: w pakiecie wdrożenia RedAI, bo i tak jest częścią naszej standardowej procedury.

Co dalej w 2026

Sierpień 2026 to większy temat: obowiązki dla "high-risk AI" — dokumentacja techniczna, system zarządzania ryzykiem, monitoring, transparentność. To już realna robota dla firm które używają AI w rekrutacji, scoring, biometrii. Reszta — kontynuacja podstawowej dyscypliny.

Jeśli chcecie zrobić mini-audyt compliance AI w Waszej firmie (45 minut, lista 18 punktów, na koniec dostajecie raport) — umówcie rozmowę. Bez nacisku na podpisanie umowy wdrożeniowej.

Chcesz przetestować, jak AI rozwiąże to u Ciebie?

30 minut rozmowy + pokaz działającego wdrożenia u klienta. Bez NDA.

Umów demo

Może Cię też zainteresować

⚖️
Compliance

EU AI Act — 2 sierpnia 2026. Co polska firma musi zrobić TERAZ
🔐
Compliance

RODO, NIS2 i KSC a AI w firmie — checklista compliance 2026
📋
Compliance

Rejestr systemów AI w firmie — szablon i jak prowadzić
Newsletter redai

Dostawaj kolejne wpisy do skrzynki

Co dwa tygodnie: nowy case, nowe moduły AI, błędy klientów. Bez spamu.