AI Act za 6 miesięcy — co musicie mieć zrobione DO LUTEGO

Pełne stosowanie AI Act zaczyna się 2 sierpnia 2026. Jeśli używacie AI w firmie — nawet ChatGPT do pisania ofert — to rozporządzenie Was dotyczy. Ten tekst nie jest podsumowaniem ustawy, tylko praktyczną listą rzeczy do zrobienia w lutym, żeby do sierpnia spać spokojnie.

Co musi być gotowe DO końca lutego 2026

Sześć miesięcy to nie dużo. Audyt prawny w polskiej kancelarii zajmuje 4-8 tygodni, klasyfikacja systemów AI w średniej firmie — kolejne 2-3 tygodnie, wdrożenie zmian proceduralnych — minimum miesiąc. Jeśli zaczynacie w lipcu, jest za późno.

Minimum lutego — 4 produkty

1. Rejestr systemów AI — spis wszystkich narzędzi AI używanych w firmie (od ChatGPT po RPA z modelem ML).
2. Klasyfikacja ryzyka — przypisanie każdego systemu do jednej z 4 kategorii (zakazany, wysokie ryzyko, ograniczone, minimalne).
3. Rola AI Compliance Officer — formalne wskazanie osoby odpowiedzialnej (nie musi być prawnikiem, ale musi mieć decyzyjność).
4. Polityka AI dla pracowników — dokument 4-7 stron określający, co wolno, czego nie wolno, jak zgłaszać incydenty.

Krok 1 — Rejestr systemów AI

W firmie 80-osobowej znajdziecie średnio 14 narzędzi AI. W naszym audycie u klienta produkcyjnego z Łodzi było 23: ChatGPT Plus (4 licencje), Copilot do Worda (12 licencji), DeepL Pro, Grammarly, dwa moduły AI w CRM, predykcja popytu w ERP, wykrywanie anomalii na linii produkcyjnej, czat na stronie, generator opisów produktów, screening CV, scoring leadów i osiem mniejszych skryptów Pythona z wywołaniami API.

Krok 2 — Klasyfikacja ryzyka

AI Act definiuje 4 kategorie. Większość systemów w polskich MŚP wpada w „minimalne" albo „ograniczone". Problem zaczyna się przy HR (screening CV, ocena pracownika), kredytach, ubezpieczeniach, edukacji i ochronie zdrowia — tam wpadają w „wysokie ryzyko" i wymagają pełnej procedury zgodności.

Sygnały ostrzegawcze — kiedy system jest „high-risk"

• Podejmuje decyzję wpływającą na zatrudnienie, dostęp do usług finansowych lub edukacji.
• Profiluje osoby (nawet anonimowo, ale z możliwością re-identyfikacji).
• Jest używany przez instytucje publiczne w obszarze ochrony zdrowia, sprawiedliwości lub migracji.
• Wpływa na bezpieczeństwo (medycyna, transport, infrastruktura krytyczna).

Krok 3 — AI Compliance Officer

W firmach do 50 osób tę rolę można skumulować z DPO (Inspektor Ochrony Danych). W większych — lepiej rozdzielić. Osoba musi mieć: dostęp do rejestru, prawo wstrzymania wdrożenia, raportowanie bezpośrednio do zarządu i budżet 12-30 tys. zł rocznie na audyty zewnętrzne.

Krok 4 — Polityka AI dla pracowników

Dokument musi odpowiadać na 8 pytań: czy wolno wklejać dane klientów do ChatGPT (zazwyczaj NIE), jakie narzędzia są zatwierdzone, kto wydaje zgodę na nowe, jak zgłosić incydent, jak oznaczać treści AI w komunikacji zewnętrznej, jakie są konsekwencje naruszenia, kto szkoli zespół, kiedy aktualizujemy politykę.

Co robimy u klientów RedAI

W ramach każdego nowego wdrożenia od listopada 2025 przeprowadzamy 3-godzinny warsztat compliance — bezpłatnie. Wychodzicie z gotowym rejestrem, wstępną klasyfikacją i szablonem polityki AI. Pełny audyt zewnętrzny zostawiamy zaprzyjaźnionym kancelariom — koszt 8-18 tys. zł dla firmy 30-100 osób.

Jeśli nie macie jeszcze nawet rejestru — umówcie się na rozmowę. 30 minut wystarczy, żeby zrobić wstępną inwentaryzację i powiedzieć, czy Wasza firma jest „w lekkim ryzyku" czy „pilnie potrzebuje 6 miesięcy roboty".