EU AI Act – co zmienia dla małych i średnich firm w Polsce?

Metanati Brak komentarzy do EU AI Act – co zmienia dla małych i średnich firm w Polsce?

Unijne rozporządzenie o sztucznej inteligencji, znane jako EU AI Act, to najszerzej zakrojona regulacja AI na świecie. Weszła w życie 1 sierpnia 2024 roku i stopniowo obejmuje kolejne obszary działalności firm – w tym małych i średnich przedsiębiorstw. Jeśli Twoja firma korzysta z jakiegokolwiek systemu opartego na AI – chatbota, narzędzia do analizy danych, oprogramowania do rekrutacji czy rekomendacji produktowych – ten artykuł jest dla Ciebie.

Dowiesz się: czym dokładnie jest EU AI Act, które firmy muszą dostosować swoje procesy, jak klasyfikować używane przez siebie systemy AI i co konkretnie zrobić, żeby być po właściwej stronie przepisów.

Czym jest EU AI Act i dlaczego dotyczy też Twojej firmy

EU AI Act (oficjalnie: Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689) to pierwsza na świecie kompleksowa regulacja prawna dotycząca sztucznej inteligencji. Jej celem jest zapewnienie, że systemy AI stosowane w Unii Europejskiej są bezpieczne, transparentne i przestrzegają praw podstawowych.

Kluczowy błąd, który popełniają właściciele firm, brzmi tak: „To dotyczy tylko dużych korporacji i firm technologicznych.” Nic bardziej mylnego. EU AI Act obejmuje każdego, kto w ramach działalności zawodowej wdraża lub używa systemu AI – niezależnie od wielkości przedsiębiorstwa.

Kto musi przestrzegać regulacji?

Regulacja rozróżnia kilka kategorii podmiotów:

  • Dostawcy – firmy, które tworzą i wprowadzają na rynek systemy AI (np. startupy AI, software house’y)
  • Wdrażający (deployers) – firmy, które używają gotowych systemów AI w swojej działalności biznesowej
  • Importerzy i dystrybutorzy – podmioty wprowadzające systemy AI z krajów trzecich

Większość polskich MŚP należy do kategorii wdrażających – kupują lub subskrybują narzędzia AI od zewnętrznych dostawców i używają ich do obsługi klientów, analizy sprzedaży czy automatyzacji procesów. I właśnie ta kategoria ma konkretne obowiązki wynikające z EU AI Act.

Kiedy przepisy wchodzą w życie? Harmonogram dla MŚP

EU AI Act wdraża się etapami – co jest dobrą wiadomością dla małych firm, bo daje czas na przygotowanie:

DataCo wchodzi w życie
2 lutego 2025Zakaz systemów AI o niedopuszczalnym ryzyku
2 sierpnia 2025Przepisy dot. modeli ogólnego przeznaczenia (GPAI)
2 sierpnia 2026Pełne obowiązki dla systemów wysokiego ryzyka (Aneks III)
2 sierpnia 2027Systemy wysokiego ryzyka w produktach regulowanych (Aneks I)

Czyli już teraz – od lutego 2025 roku – część systemów AI jest bezwzględnie zakazana. Pozostałe przepisy wchodzą w życie sukcesywnie, ale przygotowania warto zacząć już dziś.

Klasyfikacja ryzyka – jak EU AI Act ocenia systemy AI w firmie

Sercem regulacji jest podejście oparte na ryzyku. Im wyższe potencjalne zagrożenie dla praw człowieka i bezpieczeństwa, tym surowsze wymagania. Dla właściciela firmy kluczowe pytanie brzmi: do której kategorii należą narzędzia AI, z których korzystam?

Systemy zakazane – kategoria niedopuszczalnego ryzyka

To AI, których stosowanie jest całkowicie zakazane od 2 lutego 2025. Dotyczą głównie dużych graczy i instytucji, ale warto je znać:

  • systemy masowego nadzoru biometrycznego w przestrzeni publicznej
  • AI manipulujące zachowaniem ludzi bez ich wiedzy (np. techniki podprogowe)
  • scoring społeczny obywateli przez władze publiczne
  • AI przewidujące zachowania przestępcze wyłącznie na podstawie cech osobowości

Dla typowego MŚP ta kategoria raczej nie jest problemem.

Systemy wysokiego ryzyka – tu MŚP muszą być czujne

To kategoria, która realnie dotyczy wielu polskich firm. Systemy wysokiego ryzyka to m.in.:

  • Oprogramowanie rekrutacyjne i HR – AI do selekcji CV, oceny kandydatów, monitorowania pracowników
  • Systemy oceny zdolności kredytowej – AI decydujące o przyznaniu kredytu, pożyczki, ubezpieczenia
  • AI w edukacji – narzędzia oceniające uczniów lub decydujące o ich ścieżce kształcenia
  • AI w ochronie zdrowia – systemy wspomagające diagnozę lub leczenie

Jeśli Twoja firma używa, na przykład, narzędzia HR opartego na AI do oceny pracowników lub platformy scoringowej dla klientów – masz do czynienia z systemem wysokiego ryzyka i musisz spełnić konkretne wymogi.

Systemy ograniczonego i minimalnego ryzyka – większość narzędzi MŚP

Tu trafia zdecydowana większość narzędzi używanych przez małe i średnie firmy:

  • chatboty obsługi klienta (obowiązek informowania, że rozmówca to AI)
  • narzędzia generatywne (teksty, grafiki – obowiązek oznaczania treści jako AI-generated)
  • systemy rekomendacji produktów w e-commerce
  • analityka sprzedażowa i prognozowanie popytu

W tej kategorii obowiązki są znacznie lżejsze – głównie przejrzystość wobec użytkownika.

EU AI Act a dane w firmie – co musisz wiedzieć

EU AI Act stawia bardzo wysokie wymagania dotyczące jakości i zarządzania danymi. Ma to bezpośredni wpływ na to, jak firma przechowuje i przetwarza informacje.

Każda firma wdrażająca system AI wysokiego ryzyka musi zapewnić, że:

  • baza danych używana do trenowania lub zasilania systemu AI jest reprezentatywna, aktualna i pozbawiona błędów
  • dane osobowe są przetwarzane zgodnie z RODO – EU AI Act nie zastępuje RODO, ale nakłada dodatkowe wymagania
  • istnieje dokumentacja dotycząca źródeł danych i sposobu ich przetwarzania

Dla MŚP oznacza to w praktyce: nie wystarczy „mieć bazę danych”. Trzeba wiedzieć, co się w niej znajduje, skąd pochodzi i jak wpływa na działanie systemu AI. To wymóg audytowalności, który dla wielu firm będzie nowy i wymagający.

Warto też pamiętać, że EU AI Act i RODO nakładają się na siebie – szczególnie tam, gdzie AI przetwarza dane osobowe klientów lub pracowników.

Organizacja procesów w firmie pod nowym prawem

EU AI Act to nie tylko kwestia techniczna – to przede wszystkim reorganizacja procesów zarządzania AI w firmie. Wdrażający systemy wysokiego ryzyka muszą:

  1. Wyznaczyć osobę odpowiedzialną za nadzór nad systemami AI (nie musi być to osobny etat – może to być np. pełnomocnik ds. compliance)
  2. Prowadzić rejestr systemów AI stosowanych w firmie
  3. Zapewnić możliwość interwencji ludzkiej – systemy AI nie mogą podejmować w pełni autonomicznych decyzji w obszarach wysokiego ryzyka
  4. Szkolić pracowników korzystających z narzędzi AI – muszą rozumieć ich ograniczenia i ryzyka
  5. Dokumentować incydenty – każde poważne zdarzenie związane z błędnym działaniem AI musi być odnotowane i raportowane

Dla firm, które do tej pory wdrażały AI bez dokumentacji i procedur, to spora zmiana w organizacji procesów. Warto potraktować ją jako okazję do porządkowania chaosu, nie tylko jako obowiązek.

Optymalizacja i oszczędności vs. koszty compliance

Jednym z najpowszechniejszych pytań właścicieli MŚP jest: czy EU AI Act to dodatkowy koszt, czy inwestycja? Odpowiedź jest bardziej złożona niż „jedno albo drugie.”

Koszty po stronie firm:

  • audyt używanych systemów AI i ich klasyfikacja (jednorazowo)
  • ewentualne wdrożenie procedur dokumentacyjnych
  • szkolenia pracowników
  • doradztwo prawne lub techniczne (szczególnie przy systemach wysokiego ryzyka)

Gdzie AI nadal generuje oszczędności i wzrost:

  • optymalizacja i oszczędności w obsłudze klienta (chatboty, automatyczna kategoryzacja zapytań)
  • automatyzacja powtarzalnych procesów back-office
  • lepsza analityka danych sprzedażowych – szybsze decyzje biznesowe
  • redukcja błędów ludzkich w procesach opartych na danych

Kluczowy wniosek: koszty compliance dla MŚP używających systemów niskiego lub ograniczonego ryzyka są relatywnie niskie. Natomiast firmy korzystające z AI wysokiego ryzyka muszą się liczyć z realnym nakładem zasobów – ale też z tym, że nierespektowanie przepisów może kosztować znacznie więcej.

Kary za naruszenie EU AI Act:

  • do 35 mln euro lub 7% globalnego obrotu – za stosowanie zakazanych systemów AI
  • do 15 mln euro lub 3% obrotu – za naruszenie innych wymogów
  • do 7,5 mln euro lub 1,5% obrotu – za dostarczenie błędnych informacji organom nadzorczym

Jak EU AI Act wpływa na zwiększanie sprzedaży w firmie

Wielu przedsiębiorców słusznie pyta: czy nowe regulacje zahamują możliwości AI w sprzedaży? Nie – pod warunkiem, że narzędzia są stosowane transparentnie.

Systemy rekomendacyjne, personalizacja ofert, dynamiczne wyceny czy chatboty sprzedażowe należą generalnie do kategorii minimalnego lub ograniczonego ryzyka. To oznacza, że:

  • można ich nadal używać bez większych formalności
  • jedynym wymogiem dla chatbotów jest informowanie użytkownika, że rozmawia z AI (jeśli klient pyta)
  • treści generowane przez AI (np. opisy produktów, mailingi) powinny być oznaczone jako stworzone przez AI

Zwiększanie sprzedaży w firmie przy użyciu AI jest więc w pełni legalne i możliwe – EU AI Act nie blokuje tych możliwości, tylko porządkuje zasady gry.

Jak przygotować MŚP do EU AI Act – krok po kroku

Poniżej praktyczny plan działania dla właściciela małej lub średniej firmy:

Krok 1: Zinwentaryzuj systemy AI w firmie Sporządź listę wszystkich narzędzi opartych na AI, które używasz – od CRM z rekomendacjami, przez chatboty, po narzędzia HR.

Krok 2: Określ kategorię ryzyka każdego systemu Sprawdź, czy dane narzędzie należy do kategorii wysokiego ryzyka (lista w Aneksie III do rozporządzenia). W razie wątpliwości – skonsultuj z prawnikiem specjalizującym się w prawie technologicznym.

Krok 3: Sprawdź, co deklaruje dostawca narzędzia Odpowiedzialni dostawcy AI powinni dostarczyć dokumentację techniczną i deklaracje zgodności. Jeśli tego nie robią – to sygnał ostrzegawczy.

Krok 4: Wdroż minimum dokumentacyjne Nawet dla systemów niskiego ryzyka warto mieć krótki dokument opisujący: do czego służy dane narzędzie AI, kto za nie odpowiada, jak jest nadzorowane.

Krok 5: Zadbaj o jakość danych Przejrzyj, jakie dane zasilają Twoje systemy AI. Czy baza danych jest aktualna? Czy nie zawiera danych, które nie powinny być przetwarzane?

Krok 6: Przeszkol kluczowych pracowników Osoby korzystające z narzędzi AI powinny rozumieć ich ograniczenia i wiedzieć, kiedy decyzja AI wymaga weryfikacji człowieka.

Najczęstsze błędy firm przy wdrażaniu EU AI Act

  • „To dotyczy tylko firm technologicznych” – błąd. Każda firma używająca AI jest objęta regulacją.
  • Brak inwentaryzacji narzędzi AI – wiele firm nie wie, ile i jakich systemów AI faktycznie używa.
  • Ignorowanie RODO w kontekście AI – EU AI Act i RODO nakładają się; trzeba spełnić oba.
  • Brak dokumentacji – nawet przy systemach niskiego ryzyka brak jakiejkolwiek dokumentacji to ryzyko przy ewentualnej kontroli.
  • Kupowanie „compliance na papierze” – samo posiadanie dokumentów bez rzeczywistego wdrożenia procedur nie wystarczy.
  • Odkładanie na ostatnią chwilę – część przepisów już obowiązuje; czekanie do 2026 roku może być za późno.

Podsumowanie: EU AI Act to nie zagrożenie, lecz porządkowanie reguł gry

EU AI Act zmienia warunki funkcjonowania firm w Polsce – ale dla zdecydowanej większości MŚP nie jest to rewolucja, lecz ewolucja. Firmy korzystające z narzędzi AI niskiego ryzyka (chatboty, analityka, rekomendacje) mają stosunkowo niewiele nowych obowiązków. Większa praca czeka tych, którzy używają AI w obszarach wysokiego ryzyka – szczególnie HR, finanse i ochrona zdrowia.

Najważniejsza rada: zacznij od inwentaryzacji i edukacji, nie od paniki. Wiedza o tym, jakie systemy AI działają w Twojej firmie, to fundament każdego dalszego kroku. Organizacja procesów, jakość danych i transparentność wobec klientów – to filary, które EU AI Act tylko formalizuje. A firmy, które je zbudują, zyskają nie tylko zgodność z prawem, ale i przewagę konkurencyjną w świecie, w którym AI staje się standardem.

Dodaj komentarz

To top