AI Act 2026: co musi zrobić Twoja firma przed 2 sierpnia
MarekAI Solutions Strategist | CEO
Za pięć tygodni, 2 sierpnia 2026, wchodzi w życie Artykuł 50 rozporządzenia EU AI Act. Większość polskich firm nie wie, że ich dotyczy. Tymczasem kara za naruszenie sięga do 7% rocznego globalnego obrotu lub 35 milionów euro. Dla MŚP to mniejsze kwoty, ale kontrole będą realne i zaczną się właśnie od 2 sierpnia.
Ten artykuł pokazuje konkretnie: które systemy AI podlegają obowiązkowi, co trzeba wdrożyć i ile to realnie zajmuje. Jeśli zaczniesz dzisiaj, spokojnie zdążysz przed deadlinem.
Zanim zaczniesz: których przepisów to dotyczy
EU AI Act nie wchodzi w życie jednorazowo. Przepisy pojawiały się etapami.
Zakazy dotyczące systemów o niedopuszczalnym ryzyku (między innymi social scoring obywateli) obowiązują od lutego 2025. Obowiązki dla systemów wysokiego ryzyka wchodzą właśnie w sierpniu 2026 i to te dotyczą większości polskich firm, które wdrożyły AI. Przepisy o modelach ogólnego przeznaczenia, jak GPT-4 czy Claude, weszły w czerwcu 2025 i odnoszą się do dostawców modeli, nie do firm, które z nich korzystają.
Co zmienia się 2 sierpnia? Artykuł 50 rozporządzenia (pełny tekst w języku polskim) nakłada trzy obowiązki. Każdy system AI wchodzący w bezpośredni kontakt z człowiekiem musi wyraźnie informować tę osobę, że rozmawia z AI. Firma musi prowadzić dziennik operacji przez minimum 6 miesięcy. Dla systemów klasyfikowanych jako wysokiego ryzyka wymagana jest możliwość wyjaśnienia decyzji konkretnemu człowiekowi na żądanie.
Zakres tych przepisów jest szerszy niż większość firm zakłada.
Krok 1: Sprawdź jakie systemy AI działają w Twojej firmie
Zanim cokolwiek zmienisz, zrób szybką inwentaryzację. Cztery pytania wystarczą na start.
Czy na Twojej stronie lub w obsłudze klienta działa chatbot? Czy AI pomaga oceniać lub selekcjonować kandydatów do pracy? Czy jakikolwiek algorytm decyduje o tym, co konkretny klient widzi lub co otrzymuje? Czy pracownicy są monitorowani przez system analizujący ich produktywność lub wyniki?
Jeśli odpowiedź na którekolwiek pytanie brzmi "tak", wchodzisz w zakres Art. 50 lub Załącznika III rozporządzenia.
Z naszego doświadczenia podczas audytów w Daplo: prawie każda firma jest zaskoczona tym, ile systemów AI już u siebie ma. Narzędzie do wstępnej selekcji CV? System AI. Chatbot na stronie? System AI. Algorytm rekomendujący produkty, który uczy się na zachowaniu użytkownika? W większości przypadków też AI.
Sprawdź też dostawców zewnętrznych. Jeśli korzystasz z narzędzia, które ma wbudowane "AI insights" lub "smart features", przeczytaj ich dokumentację dotyczącą wymogów prawnych. Często dostawca zapewnia zgodność po swojej stronie, ale obowiązek informacyjny wobec użytkownika końcowego spada na Ciebie.
Krok 2: Wdróż obowiązek informacyjny
Artykuł 50 jest precyzyjny: system musi "w jasny i czytelny sposób poinformować osobę fizyczną, że wchodzi w interakcję z systemem AI". Informacja pojawia się najpóźniej na początku pierwszej interakcji.
Jak to wygląda w praktyce? Chatbot na stronie wyświetla przed pierwszą wiadomością zdanie informujące, że użytkownik rozmawia z asystentem AI. Nie wystarczy etykieta "Wirtualny Asystent" ani drobny dopisek w stopce. System rekrutacyjny informuje kandydata w formularzu aplikacyjnym, że CV będzie oceniane z udziałem AI, i że kandydat może poprosić o ocenę przez człowieka. System monitorowania pracowników wymaga pisemnego poinformowania zespołu przed uruchomieniem.
Co nie spełnia wymogu: ukrycie informacji w regulaminie na stronie 12, użycie słów "Bot" lub "Asystent" bez wyraźnego słowa "AI", brak możliwości kontaktu z człowiekiem po rozmowie z chatbotem.
Technicznie to zazwyczaj prosta zmiana. Edycja wiadomości powitalnej chatbota zajmuje 30 minut. Dodanie pola informacyjnego w formularzu rekrutacyjnym to jeden dzień roboczy. Kara za pominięcie tego kroku: do 15 milionów euro lub 3% obrotu.
Krok 3: Uruchom dziennik operacji
Drugi obowiązek z Art. 50: prowadzenie dziennika operacji systemu AI przez minimum 6 miesięcy. Dla wielu firm to nowość.
Co musi zawierać taki dziennik? Kiedy system działał, jakie typy danych przetwarzał (bez danych osobowych), jakie decyzje wspomagał i czy człowiek interweniował w proces.
Platformy w modelu subskrypcyjnym mają tę funkcję zazwyczaj wbudowaną. Intercom, Tidio, Zendesk AI prowadzą logi automatycznie. Trzeba je tylko włączyć i ustawić przechowywanie danych na 6 miesięcy.
Dla firm używających własnych rozwiązań na dużych modelach językowych, na przykład n8n z połączeniem do Claude lub GPT-4, konieczne jest własne logowanie. Standardowe podejście: zapis każdego wywołania w bazie danych z datą, identyfikatorem sesji i typem akcji, bez treści rozmów, bo to naruszyłoby RODO.
Dla systemów wysokiego ryzyka wymagania są ostrzejsze: zapis uzasadnienia decyzji i możliwość wyjaśnienia konkretnego wyniku na żądanie. Tu warto skonsultować się z dostawcą systemu lub prawnikiem przed sierpniem.
Najczęstsze błędy przy wdrażaniu wymogów AI Act
Trzy błędy powtarzają się w firmach, które przeprowadzamy przez ten proces.
Pierwsza pułapka: założenie, że dostawca narzędzia "zadbał o zgodność z przepisami". Dostawca odpowiada za swoją część systemu. Twój obowiązek informacyjny wobec użytkownika końcowego to Twoja odpowiedzialność, niezależnie od tego, jak skonfigurowany jest backend.
Druga pułapka: skupianie się tylko na systemach AI kupionych celowo. W wielu firmach AI weszło przez tylne drzwi: CRM z wbudowanym scoringiem, narzędzie do marketingu mailowego z generowaniem treści, analityka zachowań użytkowników na stronie. Każde z nich może podpadać pod regulację.
Trzecia pułapka: odkładanie na koniec lipca. 2 sierpnia to data, od której organ nadzorczy może przeprowadzić kontrolę i nałożyć karę natychmiast. Firmy, które zaczną od nowa w ostatnim tygodniu lipca, po prostu nie zdążą.
Podobne wyzwania dotyczą firm zatrudniających pracowników przez systemy AI: obowiązki agencji rekrutacyjnych wynikające z EU AI Act opisujemy osobno, bo tam regulacja jest jeszcze bardziej rygorystyczna.
Ile czasu i ile kosztuje wdrożenie
Inwentaryzacja systemów AI w firmie 20-50 osób: 4 do 8 godzin roboczych. Wdrożenie obowiązku informacyjnego w chatbocie: 1-2 dni. Konfiguracja dziennika operacji w gotowym narzędziu: pół dnia. Wdrożenie logowania dla własnego systemu na dużym modelu językowym: 2 do 5 dni roboczych.
Łącznie: od kilku dni do maksymalnie dwóch tygodni dla firm bez skomplikowanej architektury AI. Budżet zewnętrzny: w wielu przypadkach zero, jeśli masz techniczny zespół. Dla firm bez zasobów technicznych: jeden sprint z dostawcą, zazwyczaj poniżej 5 000 zł.
Raport EY z 2026 roku pokazuje, że polskie firmy, które przeprowadziły audyt AI przed regulacyjnymi terminami, oszczędziły średnio 40% kosztów dostosowania do przepisów w porównaniu do firm, które reagowały dopiero na żądanie organu nadzorczego (źródło).
Podsumowanie
2 sierpnia to termin, który da się ogarnąć w pięć tygodni. Dla większości firm sprowadza się do trzech kroków: inwentaryzacja systemów AI, dodanie informacji w interfejsach i uruchomienie dziennika operacji.
Nie wymaga dużego budżetu. Nie wymaga prawnika przy każdym kroku. Wymaga kilku godzin pracy z kimś, kto rozumie zarówno przepisy, jak i technologię.
Sprawdź, które procesy w Twojej firmie wymagają działania przed 2 sierpnia. Bezpłatny AI Audit na daplo.agency.