EU AI Act — 2 sierpnia 2026. Co polska firma musi zrobić TERAZ

2 sierpnia 2026 to data, którą każdy CIO i CFO w polskiej firmie powinien już mieć w kalendarzu. To dzień, kiedy wchodzi w życie większość AI Actu — z wyjątkiem artykułu 6 (klasyfikacja systemów wysokiego ryzyka), który zacznie być stosowany później. Dla większości firm to oznacza koniec "okresu przygotowawczego" i początek egzekwowania.

Co dokładnie wchodzi 2 sierpnia 2026

• Obowiązki operatorów systemów wysokiego ryzyka (Annex III) — czyli HR scoring, oceny pracowników, scoring kandydatów, decyzje kredytowe, dostęp do usług publicznych, dystrybucja świadczeń, klasyfikacja w edukacji.
• Krajowe sandboxy — każde państwo członkowskie musi mieć uruchomiony co najmniej jeden sandbox regulacyjny na 2 sierpnia 2026.
• Wymagania dla GPAI (General Purpose AI) — wchodziły wcześniej (2 sierpnia 2025), ale do 2026 ma być pełna egzekucja.

To, co nie wchodzi 2 sierpnia 2026: artykuł 6 (klasyfikacja "high-risk") — Komisja UE ma do tej daty wydać wytyczne praktyczne, a obowiązki egzekucji są przesunięte.

Co to znaczy dla typowej polskiej firmy 50–500 osób

Nie każdy "wdrożony chatbot" to system wysokiego ryzyka. Spokojnie — większość zastosowań w MŚP nie wpada w Annex III. Ale są wyjątki:

• Rekrutacja — jeśli AI ocenia CV lub przesiewa kandydatów (scoring, ranking) — to high-risk. Trzeba mieć dokumentację, DPIA, audyt.
• Ocena pracowników — jeśli AI analizuje performance, ostrzega o "ryzyku odejścia", scoringuje rozmowy 1:1 — to high-risk.
• Decyzje kredytowe — fintechy, leasing, faktoring — to oczywiste high-risk.
• Asystent sprzedaży — sam w sobie nie. Ale jeśli "scoringuje" leadów (np. "ten klient zapłaci, ten nie") — może wpaść w gray zone, jeśli decyzja ma wpływ na dostęp do usługi.

Co konkretnie zrobić TERAZ — checklist

Krok 1: Audyt obecnego AI w firmie (do końca maja 2026)

Trzeba mieć listę. Każde użycie AI: kto, do czego, jaki model, czyje dane, jakie decyzje są podejmowane. Często firmy mają 8–12 narzędzi AI używanych przez różne działy bez wiedzy IT i compliance (Shadow AI). To trzeba rozjaśnić.

Krok 2: Klasyfikacja ryzyka (do połowy czerwca 2026)

Dla każdego użycia — czy to wpada w Annex III? Jeśli tak: DPIA + dokumentacja zgodna z art. 27 AI Actu + audyt dostawcy modelu. Jeśli "limited risk" (chatbot rozmawiający z klientem): wystarczy informowanie użytkownika, że rozmawia z AI.

Krok 3: Klauzule w umowach z dostawcami AI (do końca czerwca 2026)

Polskie firmy często używają OpenAI, Anthropic, Google bez specjalnych klauzul. AI Act wymaga, żeby dostawca GPAI był po Twojej stronie w razie audytu. Sprawdź swoje umowy — w wersji enterprise są klauzule transparentności i ochrony, w wersji konsumenckiej często nie.

Krok 4: Człowiek w pętli (do 2 sierpnia 2026)

Dla wszystkich high-risk systemów — udokumentowana procedura human oversight. Kto, kiedy, jak interweniuje. Nie wystarczy "może uzasadnić" — musi to być proces.

Krok 5: Logowanie i ślad audytowy

Trzymanie logów decyzji AI przez minimum 6 miesięcy (dłużej, jeśli RODO tego wymaga). Bez tego nie udowodnisz nikomu, co dokładnie AI zrobiło i kiedy.

Czego NIE robić

• Nie panikuj i nie wyrzucaj AI z firmy — większość zastosowań to "limited risk" (informowanie użytkownika wystarcza) lub "minimal risk" (zero obowiązków).
• Nie kupuj "AI Act compliance toolkit" za 50k zł od byle agencji — pierwsza wersja narzędzi jest słaba, lepiej zrobić to ręcznie z DPO i dobrym prawnikiem.
• Nie czekaj na 2 sierpnia — kary za niezgodność idą do 35 mln EUR lub 7% obrotu globalnego. UODO i Komisja UE deklarują, że pierwszy rok będzie "edukacyjny", ale rażące przypadki będą karane.

Polski sandbox AI

Do 2 sierpnia 2026 Polska musi uruchomić co najmniej jeden sandbox regulacyjny. Stan na maj 2026: w trakcie organizacji przez Ministerstwo Cyfryzacji, prawdopodobnie hostowany przez NASK lub Centralny Ośrodek Informatyki. Sandbox to miejsce, gdzie startupy i MŚP mogą testować "high-risk" AI z czasowym zwolnieniem z części obowiązków — w zamian za feedback do regulatorów.

Pomożemy w audycie AI w Waszej firmie i przygotowaniu na 2 sierpnia. Krótkie spotkanie + ankieta — w 2-3 tygodnie macie listę zadań i klasyfikację ryzyka.