EU AI Act 2026 - co firmy mylą i jak sprawdzić czy naprawdę cię dotyczy

Większość artykułów o EU AI Act straszy. "Sierpień 2026, kary do 35 milionów, twoja firma musi być gotowa."

Część z tego to prawda. Część to uproszczenie które może cię kosztować więcej niż sama regulacja.

Co jest faktem

2 sierpnia 2026 większość przepisów AI Act zaczyna mieć zastosowanie, w tym obowiązki dla systemów wysokiego ryzyka (z wyjątkami i możliwymi zmianami legislacyjnymi). To binding law, nie propozycja.

Regulacja wchodziła etapami:

Sierpień 2024: AI Act wchodzi w życie jako prawo
Luty 2025: zakaz zabronionych praktyk AI (social scoring, manipulacja podprogowa, masowy biometryczny nadzór)
Sierpień 2025: obowiązki dla dostawców dużych modeli AI (GPAI)
Sierpień 2026: planowane wejście w życie obowiązków dla systemów wysokiego ryzyka (Annex III)
Sierpień 2027: systemy AI wbudowane w regulowane produkty (urządzenia medyczne, samochody)

Co to nie jest

Nie jest to regulacja dla każdej firmy która używa AI.

High-risk to konkretna lista w Aneksie III. Obejmuje:

Systemy do rekrutacji i selekcji pracowników które podejmują lub istotnie wpływają na decyzje o zatrudnieniu
Scoring kredytowy i ocenę zdolności finansowej
AI w diagnostyce i leczeniu w ochronie zdrowia
Systemy biometryczne i rozpoznawania twarzy w przestrzeni publicznej
Narzędzia dla organów ścigania, sądów, zarządzania migracją i granicami
Infrastruktura krytyczna: energetyka, transport, woda

Lead scoring w CRM, personalizacja reklam, chatbot na stronie, analityka sprzedażowa - to nie jest domyślnie high-risk. To domyślnie low-risk lub minimal-risk.

Gdzie zaczynają się niuanse

Klasyfikacja zależy nie tylko od nazwy systemu, ale od tego jak działa.

System AI do rekrutacji który podpowiada HR kogo warto zaprosić na rozmowę - może nie być high-risk, jeśli nie wpływa istotnie na decyzję i jest pod realnym nadzorem człowieka.

System AI do rekrutacji który automatycznie odrzuca kandydatów bez możliwości odwołania i bez nadzoru człowieka - prawdopodobnie jest.

Pytanie nie brzmi "czy używamy AI w HR", tylko "czy ten system podejmuje decyzje z realnym skutkiem dla praw i szans konkretnych ludzi, bez wystarczającego nadzoru ludzkiego".

Kilka faktów które rzadko się pojawiają

Grandfathering: systemy AI już wdrożone i niezmieniane istotnie przed 2 sierpnia 2026 nie muszą od razu spełniać wymogów. Obowiązek compliance pojawia się przy "znaczącej zmianie" systemu. Brak oficjalnej definicji co jest "znaczącą zmianą" - to obszar niepewności prawnej.

Digital Omnibus: w listopadzie 2025 Komisja Europejska zaproponowała przesunięcie deadlinów dla Annex III do grudnia 2027. To propozycja, nie prawo. Trwa proces legislacyjny. Nie planuj na przesunięcie zanim nie zostanie uchwalone.

Enforcement: historycznie w podobnych regulacjach (np. GDPR) pierwsza faza skupia się na interpretacji i wytycznych, a nie natychmiastowych karach. Mechanizmy karne są realne i będą używane - ale nie od pierwszego dnia w pełnej skali.

Jak sprawdzić czy cię to dotyczy

Krok 1: Zinwentaryzuj systemy AI w firmie. Nie tylko te które kupiłeś jako "AI" - też te które mają silniki rekomendacyjne, scoring, automatyczną klasyfikację.

Krok 2: Sprawdź Aneks III regulacji. To 8 kategorii, każda opisana konkretnie. Tekst jest publicznie dostępny na artificialintelligenceact.eu.

Krok 3: Dla każdego systemu który może pasować - oceń czy podejmuje decyzje czy rekomenduje. Czy są mechanizmy nadzoru ludzkiego. Czy decyzje mają realny skutek dla praw ludzi.

Krok 4: Jeśli znajdziesz system w zakresie - wtedy rozmawiaj z prawnikiem o compliance. Nie wcześniej.

Większość firm które używają AI do marketingu, sprzedaży i obsługi klienta prawdopodobnie nie wchodzi w zakres high-risk.

Ale "prawdopodobnie" warto zamienić na "wiem na pewno". To jeden dzień pracy, nie program compliance.