AI Act i odpowiedzialność w 2026: Jak bezpiecznie wdrażać innowacje w MŚP i nie utonąć w przepisach

AI Act i odpowiedzialność w 2026: Jak bezpiecznie wdrażać innowacje w MŚP i nie utonąć w przepisach

AI Act – pierwsze na świecie kompleksowe rozporządzenie regulujące sztuczną inteligencję – weszło w życie w sierpniu 2024 roku i od 2025/2026 stosuje się w praktyce wobec kolejnych kategorii systemów AI. Dla małych i średnich przedsiębiorstw oznacza to realne obowiązki compliance, których niedopełnienie może skutkować poważnymi sankcjami finansowymi. MDC Partners pomaga firmom zrozumieć nowe przepisy i wdrożyć je w sposób, który nie paraliżuje działalności, lecz stanowi przewagę konkurencyjną.

Co to jest AI Act i kogo dotyczy?

AI Act (Rozporządzenie Parlamentu Europejskiego i Rady UE 2024/1689) to regulacja oparta na podejściu opartym na ryzyku (risk-based approach). Dzieli systemy AI na cztery kategorie: niedopuszczalne (zakazane), wysokiego ryzyka, ograniczonego ryzyka oraz minimalnego ryzyka. Każda firma korzystająca z systemów AI – niezależnie od tego, czy sama je tworzy, czy tylko wdraża jako dostawca lub operator – musi ocenić, do której kategorii należą jej narzędzia i jakie obowiązki z tego wynikają.

Szczególną uwagę należy zwrócić na systemy AI wysokiego ryzyka, które obejmują m.in.:

• narzędzia rekrutacyjne oceniające kandydatów,

• systemy oceny zdolności kredytowej,

• narzędzia zarządzające pracownikami i monitorujące ich wydajność,

• systemy bezpieczeństwa infrastruktury krytycznej,

• narzędzia wspierające decyzje medyczne, edukacyjne i sądownicze.

Główne obowiązki wynikające z AI Act dla MŚP

Małe i średnie przedsiębiorstwa w roli dostawcy lub operatora systemu AI wysokiego ryzyka muszą m.in. wdrożyć system zarządzania ryzykiem, prowadzić dokumentację techniczną, zapewnić nadzór ludzki nad decyzjami AI, przeprowadzać oceny zgodności i rejestrować systemy w unijnej bazie danych. Choć przepisy przewidują pewne ulgi dla MŚP (np. uproszczone procedury i wsparcie regulacyjne), to zakres obowiązków pozostaje znaczący.

Kluczowe działania wymagane w 2026 roku:

• przeprowadzenie audytu używanych systemów AI i ich klasyfikacja pod kątem ryzyka,

• wdrożenie lub aktualizacja polityki AI i dokumentacji compliance,

• szkolenie pracowników odpowiedzialnych za nadzór nad systemami AI,

• zawarcie odpowiednich klauzul w umowach z dostawcami rozwiązań AI,

• rejestracja systemów wysokiego ryzyka w unijnej bazie danych.

Odpowiedzialność za szkody wyrządzone przez AI

Równolegle z AI Act obowiązuje nowa unijna dyrektywa o odpowiedzialności za AI (AI Liability Directive), która ułatwia poszkodowanym dochodzenie roszczeń odszkodowawczych od dostawców i operatorów systemów AI. W Polsce dyrektywa ta wymaga implementacji do prawa krajowego. Już teraz jednak warto zadbać o właściwe ubezpieczenia, klauzule umowne i mechanizmy dokumentowania decyzji podejmowanych przez systemy AI.

Jak możemy pomóc?

MDC Partners oferuje kompleksowe wsparcie prawne w zakresie wdrożenia AI Act w organizacji. Nasze usługi obejmują:

• audyt prawny używanych systemów AI i ich klasyfikację ryzyka,

• opracowanie polityki AI i dokumentacji compliance,

• przygotowanie lub weryfikację umów z dostawcami AI,

• szkolenia dla zarządu i pracowników z zakresu obowiązków wynikających z AI Act,

• bieżące doradztwo w zakresie zmian regulacyjnych i ich wpływu na działalność firmy.

FAQ – najczęstsze pytania o AI Act i odpowiedzialność za AI

1. Od kiedy AI Act obowiązuje w Polsce?

AI Act obowiązuje bezpośrednio we wszystkich państwach UE od sierpnia 2024 roku. Zakazy stosowania systemów AI niedopuszczalnego ryzyka obowiązują od 2025 roku, a przepisy dotyczące systemów wysokiego ryzyka – od 2026 roku.

2. Czy MŚP ma mniejsze obowiązki w ramach AI Act?

AI Act przewiduje pewne ulgi dla MŚP i startupów, m.in. w zakresie procedur oceny zgodności i dostępu do piaskownic regulacyjnych. Nie zwalnia to jednak z podstawowych obowiązków w zakresie klasyfikacji i zarządzania ryzykiem AI.

3. Co grozi za naruszenie AI Act?

Kary za naruszenie AI Act mogą sięgać do 35 milionów euro lub 7% globalnego obrotu rocznego (dla naruszeń dotyczących zakazanych systemów AI). Niższe kary – do 15 milionów euro lub 3% obrotu – grożą za naruszenia obowiązków compliance.

4. Czy chatbot na stronie firmowej podlega AI Act?

Systemy AI o ograniczonym ryzyku, takie jak chatboty, podlegają przede wszystkim obowiązkom transparentności – użytkownik musi wiedzieć, że rozmawia z maszyną. Dodatkowe obowiązki mogą wynikać z przetwarzania danych osobowych (RODO).

5. Co to jest ocena wpływu na prawa podstawowe?

Podmioty publiczne i niektóre podmioty prywatne wdrażające systemy AI wysokiego ryzyka muszą przeprowadzić ocenę wpływu na prawa podstawowe, identyfikującą potencjalne zagrożenia dla równości, godności i prywatności.

6. Czy AI Act dotyczy systemów AI stworzonych przed jego wejściem w życie?

Systemy AI wdrożone przed datą stosowania przepisów są objęte specjalnymi przepisami przejściowymi. Niemniej jednak planowane aktualizacje i znaczące zmiany systemów będą wymagać spełnienia nowych wymagań.

7. Jak AI Act wpływa na umowy z dostawcami oprogramowania AI?

Umowy z dostawcami systemów AI powinny precyzyjnie określać podział obowiązków compliance między dostawcą a operatorem, w tym zakres dokumentacji technicznej, szkoleń i monitoringu. Warto dokonać przeglądu istniejących umów pod tym kątem.

8. Czy systemy AI do analizy CV są dozwolone?

Narzędzia rekrutacyjne oparte na AI są klasyfikowane jako systemy wysokiego ryzyka i podlegają rozbudowanym wymaganiom. Nie są zakazane, ale wymagają wdrożenia mechanizmów nadzoru ludzkiego, dokumentacji i zapewnienia niedyskryminacyjnego działania.

9. Co to jest piaskownica regulacyjna dla AI?

Piaskownice regulacyjne to specjalne środowiska testowe, w których firmy – zwłaszcza MŚP i startupy – mogą rozwijać i testować systemy AI pod nadzorem regulatora przed ich pełnym wdrożeniem na rynek, z możliwością korzystania z uproszczonych procedur.

10. Czy RODO i AI Act nakładają się na siebie?

Tak – wiele systemów AI przetwarza dane osobowe, więc jednocześnie podlegają RODO i AI Act. Obie regulacje należy stosować łącznie, a ich wymagania w wielu obszarach wzajemnie się uzupełniają i wzmacniają.

Skontaktuj się z nami

Jeśli chcesz bezpiecznie wdrożyć AI w swojej organizacji lub sprawdzić, czy korzystasz z systemów AI zgodnie z przepisami – zapraszamy do kontaktu z MDC Partners. Pomożemy Ci poruszać się w gąszczu regulacji i zamienić compliance w przewagę biznesową.