%253A%2520czym%2520jest%2520i%2520jak%2520dzia%25C5%2582a%26category%3DAI%26type%3Dkb&w=3840&q=75&dpl=dpl_HsQZGYmMGCrZSd9Qrkeyoz1AiP1h)
Quick Answer
AI Act (akt w sprawie sztucznej inteligencji), formalnie rozporządzenie (UE) 2024/1689, to pierwsze na świecie kompleksowe prawo regulujące AI. Wszedł w życie 1 sierpnia 2024 r. i obowiązuje etapowo. EU AI Act dzieli systemy AI na cztery poziomy ryzyka, nakłada osobne obowiązki na modele ogólnego przeznaczenia (GPAI) i obejmuje także dostawców spoza UE działających na rynek UE. Informacja ogólna o charakterze edukacyjnym, nie stanowi porady prawnej. Stan na czerwiec 2026 r.; harmonogram AI Act podlega zmianom. Czym jest EU AI Act? EU AI Act to rozporządzenie Unii Europejskiej, które ustanawia jednolite zasady wprowadzania na rynek i stosowania systemów AI w całej UE. Jako rozporządzenie obowiązuje bezpośrednio we wszystkich państwach członkowskich, bez konieczności wdrażania do prawa krajowego. Celem AI Act jest zapewnienie, aby AI używana w Europie była bezpieczna, zgodna z prawami podstawowymi i godna zaufania, przy jednoczesnym wspieraniu innowacji. Akt opiera się na podejściu opartym na ryzyku : im większe potencjalne zagrożenie dla zdrowia, bezpieczeństwa lub praw podstawowych, tym surowsze obowiązki.
AI Act (akt w sprawie sztucznej inteligencji), formalnie rozporządzenie (UE) 2024/1689, to pierwsze na świecie kompleksowe prawo regulujące AI. Wszedł w życie 1 sierpnia 2024 r. i obowiązuje etapowo. EU AI Act dzieli systemy AI na cztery poziomy ryzyka, nakłada osobne obowiązki na modele ogólnego przeznaczenia (GPAI) i obejmuje także dostawców spoza UE działających na rynek UE.
Informacja ogólna o charakterze edukacyjnym, nie stanowi porady prawnej. Stan na czerwiec 2026 r.; harmonogram AI Act podlega zmianom.
Czym jest EU AI Act?
EU AI Act to rozporządzenie Unii Europejskiej, które ustanawia jednolite zasady wprowadzania na rynek i stosowania systemów AI w całej UE. Jako rozporządzenie obowiązuje bezpośrednio we wszystkich państwach członkowskich, bez konieczności wdrażania do prawa krajowego. Celem AI Act jest zapewnienie, aby AI używana w Europie była bezpieczna, zgodna z prawami podstawowymi i godna zaufania, przy jednoczesnym wspieraniu innowacji.
Akt opiera się na podejściu opartym na ryzyku: im większe potencjalne zagrożenie dla zdrowia, bezpieczeństwa lub praw podstawowych, tym surowsze obowiązki. Większość codziennych zastosowań AI podlega minimalnym wymogom lub w ogóle nie jest objęta nowymi obowiązkami.
Dlaczego UE przyjęła osobne prawo dla AI?
Wcześniejsze przepisy (RODO, prawo produktowe, prawo konsumenckie) nie obejmowały w pełni specyficznych zagrożeń związanych z autonomicznymi i uczącymi się systemami: nieprzejrzystości decyzji, ryzyka dyskryminacji czy braku nadzoru człowieka. AI Act uzupełnia tę lukę, tworząc wspólny standard dla całego rynku wewnętrznego.
Cztery poziomy ryzyka w AI Act
EU AI Act klasyfikuje systemy AI według czterech kategorii ryzyka, które decydują o zakresie obowiązków.
- Ryzyko niedopuszczalne (praktyki zakazane). Systemy uznane za sprzeczne z wartościami UE są całkowicie zakazane. Należą do nich m.in. scoring społeczny przez władze publiczne, manipulacja podprogowa wyrządzająca szkodę, wykorzystywanie słabości osób wrażliwych, nieukierunkowane pozyskiwanie wizerunków twarzy z internetu w celu tworzenia baz rozpoznawania twarzy oraz ocena ryzyka popełnienia przestępstwa wyłącznie na podstawie profilowania.
- Wysokie ryzyko. Systemy, które mogą istotnie wpływać na bezpieczeństwo lub prawa podstawowe, np. AI w rekrutacji, ocenie zdolności kredytowej, edukacji, infrastrukturze krytycznej, wymiarze sprawiedliwości czy jako element regulowanych produktów (urządzenia medyczne, maszyny). Podlegają najszerszym wymogom: zarządzaniu ryzykiem, jakości danych, dokumentacji technicznej, nadzorowi człowieka i ocenie zgodności.
- Ograniczone ryzyko (obowiązki przejrzystości). Systemy wchodzące w interakcję z ludźmi lub generujące treści, np. chatboty oraz treści syntetyczne (deepfake). Wymagana jest przejrzystość: użytkownik musi wiedzieć, że ma do czynienia z AI, a treści wygenerowane lub zmanipulowane przez AI muszą być odpowiednio oznaczone.
- Ryzyko minimalne. Zdecydowana większość systemów, np. filtry antyspamowe czy AI w grach. AI Act nie nakłada na nie dodatkowych obowiązków prawnych, choć zachęca do dobrowolnych kodeksów postępowania.
Jak ustalić, do której kategorii należy system?
Klasyfikacja zależy od przeznaczenia i kontekstu użycia, a nie od samej technologii. Ten sam model może być minimalnego ryzyka w jednym zastosowaniu i wysokiego ryzyka w innym. Punktem wyjścia jest sprawdzenie, czy zastosowanie nie figuruje na liście praktyk zakazanych (art. 5), a następnie czy mieści się w wykazach wysokiego ryzyka (załącznik I oraz załącznik III).
Potrzebujesz pomocy z cloud?
Zarezerwuj bezpłatne 30-minutowe spotkanie z jednym z naszych specjalistów od cloud. Przeanalizujemy Twoje potrzeby i przedstawimy konkretne rekomendacje — bez zobowiązań.
Kogo dotyczy AI Act, w tym podmiotów spoza UE
AI Act rozróżnia kilka ról, przede wszystkim dostawcę (kto rozwija system lub model AI i wprowadza go na rynek pod własną nazwą) oraz podmiot stosujący (kto wykorzystuje system AI w ramach swojej działalności). Większe obowiązki spoczywają na dostawcach, ale podmioty stosujące systemy wysokiego ryzyka także mają konkretne powinności, np. zapewnienie nadzoru człowieka.
Zasięg eksterytorialny. Rozporządzenie ma szeroki zasięg terytorialny. Obejmuje także dostawców i podmioty stosujące mające siedzibę poza UE, jeżeli wynik działania systemu AI jest wykorzystywany w Unii albo gdy wprowadzają oni system na rynek UE. W praktyce firma z USA, Wielkiej Brytanii czy Azji, która oferuje usługi AI klientom w UE, może podlegać AI Act, nawet jeśli nie ma w Europie żadnej jednostki.
Etapowy harmonogram stosowania EU AI Act
AI Act nie wszedł w życie naraz. Obowiązki uruchamiają się etapami. Stan na czerwiec 2026 r. (harmonogram może ulec dalszym zmianom):
| Data | Co zaczyna obowiązywać |
|---|---|
| 1 sierpnia 2024 | Wejście w życie rozporządzenia (UE) 2024/1689 |
| 2 lutego 2025 | Praktyki zakazane (niedopuszczalne ryzyko) oraz obowiązek kompetencji w zakresie AI |
| 2 sierpnia 2025 | Obowiązki dla modeli ogólnego przeznaczenia (GPAI), zasady zarządzania i kary |
| 2 grudnia 2027 (proponowana) | Większość obowiązków dla systemów wysokiego ryzyka z załącznika III, po przesunięciu w ramach pakietu upraszczającego |
| 2 sierpnia 2028 (proponowana) | Systemy wysokiego ryzyka wbudowane w produkty regulowane z załącznika I |
Ważna zmiana z 2026 r. W maju 2026 r. instytucje UE osiągnęły wstępne porozumienie w sprawie tzw. cyfrowego pakietu omnibus (Digital Omnibus), który przesuwa kluczowe terminy dla wysokiego ryzyka i upraszcza część wymogów. Pierwotnie większość obowiązków wysokiego ryzyka miała obowiązywać od 2 sierpnia 2026 r. Zgodnie z porozumieniem terminy te zostają przesunięte: załącznik III na 2 grudnia 2027 r., a załącznik I na 2 sierpnia 2028 r. Na czerwiec 2026 r. pakiet nie został jeszcze formalnie przyjęty (oczekuje na głosowanie Parlamentu, decyzję Rady i publikację w Dzienniku Urzędowym). Jeżeli nie zostanie przyjęty przed 2 sierpnia 2026 r., zastosowanie znajdą pierwotne daty. Dlatego nie należy traktować żadnej przyszłej daty wysokiego ryzyka jako ostatecznie pewnej.
Osobne obowiązki dla modeli AI ogólnego przeznaczenia (GPAI)
EU AI Act tworzy odrębny reżim dla modeli ogólnego przeznaczenia, czyli modeli (takich jak duże modele językowe), które mogą być wykorzystywane w wielu różniących się zastosowaniach. Dostawcy GPAI muszą m.in. przygotować dokumentację techniczną, udostępniać informacje podmiotom budującym na ich modelach, przestrzegać prawa autorskiego oraz publikować wystarczająco szczegółowe streszczenie danych użytych do trenowania.
Dla modeli o tzw. ryzyku systemowym (najbardziej wydajnych) obowiązują dodatkowe wymogi: ocena modelu, testy kontradyktoryjne (red-teaming), ocena i ograniczanie ryzyka oraz zgłaszanie poważnych incydentów. Obowiązki GPAI zaczęły obowiązywać 2 sierpnia 2025 r.
Kary za naruszenie AI Act
EU AI Act przewiduje dotkliwe sankcje finansowe, wzorowane na podejściu znanym z RODO. Najwyższy próg dotyczy stosowania praktyk zakazanych: kara do 35 mln EUR lub 7% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku, w zależności od tego, która kwota jest wyższa. Za naruszenie innych obowiązków (np. dla wysokiego ryzyka) grozi kara do 15 mln EUR lub 3% obrotu, a za podanie nieprawdziwych informacji organom do 7,5 mln EUR lub 1% obrotu. Dla MŚP i startupów przewidziano niższe z odpowiednich progów.
Relacja AI Act do RODO
AI Act i RODO obowiązują równolegle i wzajemnie się uzupełniają, lecz regulują różne kwestie. RODO chroni dane osobowe i określa, jak wolno je przetwarzać. AI Act dotyczy bezpieczeństwa i zgodności samych systemów AI, niezależnie od tego, czy przetwarzają dane osobowe. Jeżeli system AI przetwarza dane osobowe, firma musi spełnić oba zestawy wymogów jednocześnie: np. mieć podstawę prawną i ocenę skutków dla ochrony danych z RODO, a także nadzór człowieka i dokumentację techniczną z AI Act. AI Act wprost zaznacza, że nie narusza stosowania RODO.
Od czego zacząć przygotowania?
Praktyczny pierwszy krok to inwentaryzacja systemów AI w organizacji, ustalenie roli (dostawca czy podmiot stosujący) i klasyfikacja ryzyka. Szczegółową ścieżkę krok po kroku opisuje nasza lista kontrolna zgodności z EU AI Act. Jako partner chmurowo-AI z certyfikatem ISO 27001, Opsio wspiera firmy w zarządzanym wsparciu AI oraz w strategii i wdrażaniu rozwiązań AI zgodnie z wymogami regulacyjnymi.
Najczęściej zadawane pytania
Od kiedy obowiązuje EU AI Act?
Rozporządzenie weszło w życie 1 sierpnia 2024 r., a obowiązki uruchamiają się etapami. Praktyki zakazane obowiązują od 2 lutego 2025 r., obowiązki GPAI od 2 sierpnia 2025 r. Większość wymogów dla wysokiego ryzyka została (w ramach pakietu upraszczającego z 2026 r.) przesunięta na 2 grudnia 2027 r. (załącznik III) i 2 sierpnia 2028 r. (załącznik I). Daty wysokiego ryzyka należy zweryfikować, bo na czerwiec 2026 r. zmiana nie była jeszcze formalnie przyjęta.
Czy AI Act dotyczy mojej firmy, także spoza UE?
Prawdopodobnie tak, jeśli oferujesz lub stosujesz systemy AI na rynku UE albo wynik działania Twojego systemu jest wykorzystywany w Unii. Zasięg eksterytorialny obejmuje dostawców i podmioty stosujące spoza UE, nawet bez siedziby w Europie. Realny zakres obowiązków zależy od roli i poziomu ryzyka systemu.
Czym różni się EU AI Act od RODO?
RODO reguluje ochronę danych osobowych, natomiast EU AI Act reguluje bezpieczeństwo i zgodność systemów AI niezależnie od danych. Oba akty obowiązują równolegle. Jeśli system AI przetwarza dane osobowe, trzeba spełnić wymogi obu jednocześnie.
Jakie są kary za naruszenie AI Act?
Za stosowanie praktyk zakazanych grozi kara do 35 mln EUR lub 7% całkowitego rocznego światowego obrotu, w zależności od tego, która kwota jest wyższa. Za inne naruszenia przewidziano niższe progi (do 15 mln EUR lub 3% obrotu oraz do 7,5 mln EUR lub 1% za nieprawdziwe informacje).
Powyższy materiał ma charakter informacyjny i nie stanowi porady prawnej. W sprawie konkretnej sytuacji skonsultuj się z wykwalifikowanym prawnikiem.
Written By
Country Manager, Indie
Praveena kieruje działalnością Opsio w Indiach, wnosząc ponad 17 lat doświadczenia w wielu branżach, obejmującego AI, produkcję, DevOps i usługi zarządzane.
Editorial standards: Ten artykuł został napisany przez praktyków chmury i sprawdzony przez nasz zespół inżynierów. Treści aktualizujemy co kwartał dla dokładności technicznej. Opsio zachowuje niezależność redakcyjną.