Podczas gdy większość polskich twórców cyfrowych zastanawiała się, czy ChatGPT napisze za nich maila lepiej niż oni sami, Unia Europejska cicho i metodycznie budowała najbardziej kompleksowy system regulacji AI na świecie — i część tych przepisów obowiązuje już od ponad 16 miesięcy.
EU AI Act wszedł w życie 1 sierpnia 2024 roku. Nie jest to projekt, nie jest konsultacja, nie jest „planowany". To prawo. I jego pierwsze fale już dawno uderzyły w brzeg — pytanie tylko, czy byłeś na brzegu, czy wciąż pluskałeś się w morzu ignorancji.
Harmonogram, który powinieneś znać na pamięć
AI Act działa fazowo — to jego największa zaleta i jednocześnie źródło największego zamieszania. Różne przepisy wchodzą w życie w różnych terminach, a Omnibus z maja 2026 roku kilka z nich przesunął. Poniżej pełna mapa stanu na czerwiec 2026:
| Data | Co wchodzi w życie | Status |
|---|---|---|
| 2 lutego 2025 | Zakaz praktyk zabronionych (Art. 5), obowiązek AI literacy | Aktywne od 16+ miesięcy |
| 2 sierpnia 2025 | Obowiązki dla modeli GPAI (GPT, Claude, Gemini itp.) | Aktywne od ~10 miesięcy |
| 2 sierpnia 2026 | Transparentność chatbotów i deepfake'ów (Art. 50), rejestracja systemów wysokiego ryzyka | Za 7 tygodni |
| 2 grudnia 2026 | Watermarking treści AI (Art. 50 ust. 2) — przesunięty przez Omnibus | Przesunięty |
| 2 grudnia 2027 | Pełna zgodność systemów wysokiego ryzyka Annex III (screening CV, scoring kredytowy) — przesunięty przez Omnibus | Przesunięty |
| 2 sierpnia 2028 | Systemy AI wbudowane w produkty regulowane (urządzenia medyczne itp.) — przesunięty przez Omnibus | Przesunięty |
Omnibus — prowizoryczne porozumienie polityczne z 7 maja 2026 roku — przesunął kilka kluczowych terminów, ale nie tknął transparentności chatbotów i deepfake'ów. Tu termin 2 sierpnia 2026 obowiązuje bez zmian. Masz 7 tygodni.
Co jest już zakazane — i dlaczego to ważniejsze niż myślisz
Artykuł 5 AI Act wymienia osiem kategorii praktyk całkowicie zakazanych. Od 2 lutego 2025 roku. Bez vacatio legis, bez okresu przejściowego. Lista wygląda jak scenariusz z Black Mirror, ale każda pozycja ma realne implikacje dla twórców i firm technologicznych:
- Techniki podprogowe i manipulacyjne — systemy AI wywierające wpływ na decyzje użytkownika w sposób, którego nie jest świadomy, prowadząc do znaczącej szkody. Twój funnel sprzedażowy oparty na „AI-powered persuasion" może być tu w szarej strefie.
- Eksploatacja podatności — kierowanie reklam lub treści do osób starszych, niepełnosprawnych czy dzieci w sposób, który je krzywdzi. Targetowanie demograficzne oparte na AI wymaga audytu.
- Social scoring przez organy publiczne — ocenianie obywateli na podstawie zachowań społecznych. To akurat nie dotyczy prywatnych firm, ale warto wiedzieć, dlaczego Chiny służą tu za antyprzykład w każdym uzasadnieniu unijnym.
- Biometryczna identyfikacja w czasie rzeczywistym w przestrzeni publicznej przez służby porządkowe — z wąskimi wyjątkami. Kamery z rozpoznawaniem twarzy na evencie? Sprawdź prawnika.
- Predykcyjne policjowanie oparte wyłącznie na profilowaniu — bez dodatkowych przesłanek faktycznych.
- Masowe zbieranie zdjęć twarzy ze stron internetowych lub nagrań CCTV do budowania baz biometrycznych. Scraperzy danych — to bezpośrednio was.
- Wykrywanie emocji w miejscu pracy i szkołach — narzędzia HR analizujące „zaangażowanie pracownika" przez kamerę są de facto zakazane.
- Biometryczna kategoryzacja w celu wnioskowania o poglądach politycznych, orientacji seksualnej, rasie, religii. Zero tolerancji, zero wyjątków.
Komisja Europejska opublikowała wytyczne dotyczące zakazanych praktyk 4 lutego 2025 roku — dwa dni po wejściu zakazów w życie. Jeśli ich nie czytałeś, teraz jest dobry moment. A jeśli twój produkt choćby otarł się o któryś z tych punktów — potrzebujesz prawnika specjalizującego się w AI, nie bloga.
Nowe zakazy z Omnibus 2026
Porozumienie z maja 2026 doda do listy zakazów jedną nową kategorię: systemy AI generujące niechciane intymne obrazy (NCII) i materiały seksualne z udziałem dzieci (CSAM) — w tym tzw. „nudifiers". Nie jest to jeszcze formalnie uchwalone jako prawo, ale kierunek jest jednoznaczny i bezdyskusyjny.
AI Literacy — obowiązek, który już obowiązuje, a 99% firm ignoruje
Artykuł 4 AI Act nakłada na wszystkich dostawców i wdrażających systemy AI obowiązek zapewnienia odpowiedniej znajomości AI wśród pracowników. Ten przepis jest w mocy od 2 lutego 2025 roku.
Co to oznacza w praktyce? Jeśli twoja firma (nawet jednoosobowa JDG) używa narzędzi AI — GPT do copywritingu, Midjourney do grafik, AI-powered CRM do zarządzania klientami — powinieneś być w stanie wykazać, że osoby obsługujące te narzędzia rozumieją ich możliwości, ograniczenia i ryzyko.
Nikt nie wymaga certyfikatu. Nikt nie wymaga kursu za 5000 zł. Ale jeśli KRiBSI (polska komisja nadzorcza, o której za chwilę) zapuka z kontrolą, dokumentacja szkolenia wewnętrznego lub ukończonego kursu online będzie pierwszą rzeczą, o którą zapytają. Rozmawiamy tu o minimalnym buforze ochronnym — zrób to, zanim będziesz musiał udowadniać, że to zrobiłeś.
GPAI — kiedy ty jesteś pośrednikiem, ale i tak masz obowiązki
Od 2 sierpnia 2025 roku obowiązują przepisy dotyczące modeli GPAI (General-Purpose AI) — czyli takich jak GPT-4o, Claude, Gemini, Llama. Bezpośrednio dotyczą dostawców tych modeli, nie użytkowników końcowych. Ale jest haczyk: jeśli budujesz produkt oparty o API GPAI i dystrybuujesz go dalej, masz obowiązki wobec swoich użytkowników końcowych.
Kluczowe dla polskich twórców i firm integrujących GPAI:
- Transparentność wobec użytkowników — musisz informować, że treści generuje AI. Nie w regulaminie pisanym rozmiarem 6pt, ale w sposób rzeczywiście widoczny.
- Zgodność z prawem autorskim UE — modele GPAI mają obowiązek dokumentowania danych treningowych i przestrzegania dyrektywy o prawie autorskim. Jeśli twój produkt generuje treści na bazie GPAI, nie możesz udawać, że ta kwestia cię nie dotyczy.
- GPAI Code of Practice — opublikowany w lipcu 2025 roku przez niezależnych ekspertów, to de facto główny dokument wdrożeniowy dla firm integrujących GPAI. Nie jest obowiązkowy, ale przestrzeganie go będzie traktowane jako dowód dobrej wiary przy ewentualnych kontrolach.
Od 2 sierpnia 2026 roku AI Office (Europejski Urząd ds. AI, działający pod Komisją Europejską) zyska pełne uprawnienia do nakładania kar na dostawców GPAI. Nie na użytkowników, ale dostawcy prawdopodobnie zaczną agresywniej egzekwować swoje ToS od integratorów.
Transparentność — deadline za 7 tygodni
Artykuł 50 AI Act, który wchodzi w życie 2 sierpnia 2026 roku, nakłada konkretne obowiązki:
Chatboty muszą się przyznać
Każdy system AI, który prowadzi rozmowę z użytkownikiem, musi wyraźnie informować, że rozmawia z AI — chyba że użytkownik sam to wie i wyraził zgodę. Twój bot obsługi klienta, wirtualny asystent, AI-powered live chat — od 2 sierpnia 2026 roku muszą się przedstawić jako AI w sposób, który jest „oczywisty dla rozsądnie poinformowanej osoby".
Deepfake'i i syntetyczne treści — obowiązkowy label
Treści audio-wizualne wygenerowane lub zmanipulowane przez AI (deepfake'i, syntetyczne głosy, generowane wideo) muszą być oznaczone jako AI-generated. Jeśli tworzysz content marketing, wideo z AI-avatarami lub podcasty z syntetycznymi głosami — od 2 sierpnia 2026 musisz to oznaczać.
Watermarking techniczny (Art. 50 ust. 2) — cyfrowe znakowanie plików w sposób wykrywalny maszynowo — został przesunięty przez Omnibus na 2 grudnia 2026 roku. Ale obowiązek widzialnego oznaczenia „to jest AI" pozostaje bez zmian na sierpień.
Systemy wysokiego ryzyka — dobre wieści (jeśli to w ogóle dobre wieści)
Omnibus z maja 2026 roku przesunął termin pełnej zgodności dla systemów AI wysokiego ryzyka z Annex III (niezintegrowanych z produktami regulowanymi) z 2 sierpnia 2026 na 2 grudnia 2027 roku. To 16 miesięcy oddechu.
Co należy do tej kategorii? Między innymi:
- Narzędzia do screeningu CV i rekrutacji
- Systemy scoringowe do oceny zdolności kredytowej
- Systemy biometryczne do weryfikacji tożsamości
- AI podejmujące decyzje o dostępie do świadczeń publicznych
Jeśli budujesz lub używasz któregoś z powyższych — masz czas do grudnia 2027. Ale „masz czas" nie oznacza „zapomnij". Analiza luk (gap analysis) powinna ruszyć teraz, bo pełna zgodność z Annex III wymaga certyfikacji, dokumentacji technicznej i rejestracji w unijnej bazie systemów AI — co zajmuje miesiące, nie tygodnie.
Kary — liczby, które robią wrażenie
AI Act przewiduje trójstopniowy system kar (Art. 99):
| Naruszenie | Maksymalna kara | Alternatywnie |
|---|---|---|
| Zakazane praktyki (Art. 5) | 35 mln EUR | 7% globalnych obrotów rocznych — stosuje się wyższą kwotę |
| Niezgodność systemów wysokiego ryzyka, naruszenie obowiązków GPAI | 15 mln EUR | 3% globalnych obrotów rocznych — stosuje się wyższą kwotę |
| Podawanie nieprawdziwych informacji organom nadzoru | 7,5 mln EUR | 1% globalnych obrotów rocznych — stosuje się wyższą kwotę |
Dla dużych firm obowiązuje zasada „wyższej kwoty". Dla MŚP i startupów — zasada odwrotna: niższa z dwóch kwot. To nie jest zapis symboliczny — to realna ochrona małego biznesu przed karami, które by go unicestwiły.
Kary muszą być „skuteczne, proporcjonalne i odstraszające" i uwzględniać sytuację ekonomiczną MŚP. W praktyce: pierwsza kontrola KRiBSI wobec polskiego solopreneurera skończy się raczej upomnieniem i nakazem naprawy niż siedmiocyfrową karą — ale tylko jeśli będziesz działał w dobrej wierze i będziesz mieć jakąkolwiek dokumentację swoich działań.
Polska — KRiBSI i co to oznacza dla ciebie
Polska jest jednym z dwóch krajów UE (obok Litwy), które wyznaczył jedną centralną instytucję nadzorczą dla całego AI Act: KRiBSI — Komisja ds. Rozwoju i Bezpieczeństwa Sztucznej Inteligencji. Na początku 2026 roku tylko 9 z 27 państw UE oficjalnie wyznaczyło swoje organy nadzorcze. Polska jest wśród tych 9.
Ustawa o systemach SI (polska implementacja AI Act) jest oczekiwana w 2025/2026 roku. To ważne: bez krajowej ustawy KRiBSI ma ograniczone narzędzia egzekucyjne. Ale to się zmieni — i zmieni się szybciej niż myślisz.
Scentralizowany model polskiego nadzoru ma jedną praktyczną konsekwencję dla MŚP: zamiast negocjować z kilkoma różnymi urzędami (jak w Niemczech czy Francji), masz jednego rozmówcę. To może być prostsze — albo bardziej przewidywalne.
Podsumowanie praktyczne — co robisz w ciągu najbliższych tygodni
Poniżej lista konkretnych działań dla polskich twórców i firm korzystających z AI, w kolejności pilności:
Natychmiast (już za późno, ale lepiej późno niż wcale)
- Sprawdź, czy twoje produkty lub usługi nie naruszają Art. 5 — zakazane praktyki obowiązują od lutego 2025. Jeśli jest choćby cień wątpliwości, skonsultuj z prawnikiem specjalizującym się w AI.
- Udokumentuj AI literacy w swoim teamie lub jako solopreneur — zrób screenshot ukończonego kursu online, sporządź notatkę wewnętrzną. Cokolwiek, co pokazuje świadomość zagadnienia.
- Nie buduj baz biometrycznych ze scrapowanych zdjęć. Punkt. Brak tutaj szarej strefy.
Do 2 sierpnia 2026 (za 7 tygodni)
- Jeśli masz chatbota — dodaj wyraźną informację, że to AI. Nie w stopce, nie w regulaminie. Na początku rozmowy lub w oczywistym miejscu interfejsu.
- Jeśli produkujesz deepfake'i, syntetyczne głosy, AI-generated video — zacznij oznaczać jako „wygenerowane przez AI". Format nie jest jeszcze technologicznie ustandaryzowany (watermarking przesuwa się na grudzień 2026), ale widoczny label jest wymagany od sierpnia.
- Sprawdź, czy twoje systemy wysokiego ryzyka (jeśli je masz) są zgłoszone do unijnej bazy danych.
Do końca 2026 roku
- Zaimplementuj watermarking techniczny dla treści AI-generated — termin 2 grudnia 2026.
- Jeśli integrujesz GPAI przez API i dystrybuujesz produkty na rynek UE — przejrzyj GPAI Code of Practice i oceń, które punkty dotyczą twojego modelu biznesowego.
Na 2027 rok
- Jeśli tworzysz lub planujesz tworzyć narzędzia do screeningu CV, scoringu kredytowego, biometryki — zacznij gap analysis teraz. Pełna zgodność Annex III wymagana od 2 grudnia 2027, ale droga do niej jest długa.
EU AI Act nie jest kolejną unijną regulacją, którą można zignorować przez dekadę licząc, że egzekucja nigdy nie dotrze do małych graczy. Infrastruktura nadzorcza — AI Office na poziomie europejskim, KRiBSI w Polsce — jest już budowana. Kary są realne. A część przepisów obowiązuje od ponad roku.
Dobre wieści są takie, że lista wymagań dla typowego polskiego twórcy lub solopreneurera jest krótka i wykonalna: nie używaj zakazanych technik, oznaczaj chatboty jako AI, labeluj AI-generated content. Złe wieści? Większość rynku tego nie robi — i będzie się tłumaczyć ignorancją prawa, która jak wiadomo nie jest okolicznością łagodzącą.
