AI Act: 7 obowiązków dla SaaS, HR-tech i fintech

2 sierpnia 2026 r. wchodzą w życie kluczowe przepisy AI Act dla systemów wysokiego ryzyka. To data, której nie powinien przegapić żaden software house budujący narzędzia HR, żaden SaaS scoringowy, żaden fintech używający AI w ocenie kredytowej i żadna firma stosująca biometrię. Kara: do 35 mln EUR lub 7% globalnego obrotu. Poniżej znajdziesz 7 obowiązków, które konkretnie dotyczą polskich firm technologicznych - rozpisane na role provider, deployer i framework decyzyjny.

AI Act dla firm technologicznych w 30 sekund

• 2 sierpnia 2026 r. zaczynają być stosowane przepisy AI Act dla systemów AI wysokiego ryzyka (HRAI).
• Dotyczy to każdej firmy w Polsce, która buduje lub wdraża AI w obszarach z Załącznika III: rekrutacja, ocena pracowników, scoring kredytowy, ubezpieczenia, edukacja, biometria, infrastruktura krytyczna.
• AI Act rozróżnia dwie role: provider (twórca systemu AI) i deployer (firma wdrażająca system u siebie). Każda rola ma inne obowiązki.
• Jeśli korzystasz z OpenAI, Anthropic czy Google AI w produkcie SaaS służącym do decyzji o ludziach, jesteś deployerem systemu wysokiego ryzyka i masz własne obowiązki compliance.
• Kary: do 35 mln EUR lub 7% obrotu za zakazane praktyki, do 15 mln EUR lub 3% obrotu za naruszenie wymagań HRAI.
• Zakazy z Art. 5 (manipulacja, social scoring, rozpoznawanie emocji w pracy) już obowiązują od 2 lutego 2025 r.
• Obowiązek AI literacy (przeszkolenie zespołu) obowiązuje od 2 lutego 2025 r. - jeśli używasz AI w firmie, już jesteś spóźniony.

Artykuł opracowany przez Łukasza Gębczyka – prawnika Lexable, który na co dzień buduje dokumentację prawną dla SaaS’ów, marketplace’ów i startupów technologicznych.

Czy AI Act dotyczy mojej firmy?Test 4 pytań.

AI Act dotyczy każdej firmy, która wprowadza system AI na rynek UE lub używa AI w decyzjach o osobach przebywających w UE. Siedziba w Polsce, USA czy Singapurze nie ma znaczenia. Liczy się rynek docelowy.

Odpowiedz ,,tak’’ na którekolwiek pytanie - jesteś objęty AI Act:

1. Czy budujesz system, który automatyzuje decyzje o ludziach? (rekrutacja, ocena ryzyka, scoring, kategoryzacja klientów, dopasowanie ofert)
2. Czy wdrażasz w swojej firmie zewnętrzne narzędzie AI w obszarach z Załącznika III? (Workday z AI matching, system HR z scoring CV, system oceny pracowników)
3. Czy oferujesz produkt SaaS klientom w UE, który zawiera komponent AI?
4. Czy używasz AI w jakimkolwiek procesie wewnętrznym w firmie? (nawet ChatGPT do podsumowań - obowiązuje AI literacy)

Jeśli odpowiedziałeś ,,tak’’ przynajmniej raz, przejdź do następnej sekcji.

Czym jest AI Act i kogo dotyczy w Polsce?

AI Act to rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 z 13 czerwca 2024 r. - pierwszy na świecie akt regulujący systemy sztucznej inteligencji. Weszło w życie 1 sierpnia 2024 r. i jest stosowane etapami.

To rozporządzenie, nie dyrektywa. Stosuje się wprost - bez konieczności implementacji w polskim prawie. Polska ustawa wyznaczająca krajowy organ nadzorczy (planowana Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji - KRiBSI) na maj 2026 r. wciąż nie została uchwalona, ale brak ustawy nie zwalnia firm z obowiązków wynikających z AI Act.

Trzy role w AI Act, które musisz znać

Provider (dostawca) - to ty, jeśli budujesz system AI i wprowadzasz go na rynek pod swoją marką. Software house tworzący narzędzie HR z AI matching = provider. SaaS scoringowy z własnym modelem ML = provider.

Deployer (podmiot stosujący) - to ty, jeśli używasz cudzego systemu AI w swojej działalności. Agencja rekrutacyjna kupująca system AI do screeningu CV = deployer. Bank używający zewnętrznego scoringu = deployer.

Importer/dystrybutor - to ty, jeśli sprowadzasz lub dystrybuujesz w UE system AI od dostawcy spoza Unii.

Możesz być jednocześnie deployerem ChatGPT i providerem własnego SaaS - i wtedy masz dwa zestawy obowiązków równolegle.

Co już obowiązuje od 2 lutego 2025 r.

Trzy rzeczy weszły w życie 2 lutego 2025 r. i są egzekwowane już teraz. Jeśli Twoja firma ich nie wdrożyła, już jest opóźniona.

1. Zakazane praktyki AI (Art. 5)

Zero wyjątków. Nawet w celach badawczych. Lista praktyk całkowicie zakazanych:

• Manipulacja podprogowa i eksploatacja podatności - systemy AI wpływające na zachowanie ludzi poniżej progu świadomości lub wykorzystujące słabości (wiek, niepełnosprawność, sytuacja ekonomiczna). Dotyczy też agresywnych systemów rekomendacyjnych w e-commerce.
• Social scoring - ocenianie osób na podstawie zachowań społecznych przez podmioty publiczne lub prywatne.
• Rozpoznawanie emocji w pracy i edukacji - jeśli Twoja firma testuje narzędzia ,,analizy zaangażowania’’ pracowników przez kamerę, mikrofon lub inną biometrię - to jest nielegalne od lutego 2025.
• Biometryczna kategoryzacja - wnioskowanie o rasie, orientacji seksualnej, poglądach politycznych, przynależności związkowej na podstawie biometrii.
• Scraping zdjęć twarzy z internetu lub CCTV w celu tworzenia baz rozpoznawania twarzy (sprawa Clearview AI).
• Predykcja przestępczości - systemy AI oceniające prawdopodobieństwo popełnienia przestępstwa wyłącznie na podstawie profilowania.
• Wyciąganie wniosków o emocjach w miejscu pracy poza wyjątkami medycznymi/bezpieczeństwa.

Kara: do 35 mln EUR lub 7% globalnego obrotu - najwyższa w całym AI Act.

2. AI literacy (Art. 4)

Każda firma używająca AI musi zapewnić, że jej personel ma odpowiednie kompetencje do świadomego korzystania z tych narzędzi. To dotyczy nawet zwykłego ChatGPT używanego przez marketing.

Co konkretnie trzeba zrobić:

• udokumentowany program szkoleniowy dopasowany do roli pracownika,
• szkolenie z ryzyk konkretnych narzędzi AI używanych w organizacji,
• zasady bezpiecznego korzystania (co można wprowadzać do prompta, czego nie),
• okresowe odświeżanie wiedzy.

To nie jest wymóg certyfikacyjny, ale musi być udokumentowany. UOKiK i przyszły KRiBSI mogą wymagać dowodów.

3. Obowiązki dla modeli AI ogólnego przeznaczenia

Dotyczy dostawców dużych modeli (OpenAI, Anthropic, Google, Meta). Polskich firm dotyczy pośrednio - jeśli budujesz produkt na bazie GPT-4 czy Claude, korzystasz z compliance dostawcy, ale w niektórych przypadkach przejmujesz status providera (patrz sekcja "Pułapka fine-tuning" niżej).

2 sierpnia 2026: systemy AI wysokiego ryzyka pod lupą

To data, na którą musisz być gotowy. Od 2 sierpnia 2026 r. egzekwowane są wymagania dla systemów AI wysokiego ryzyka (HRAI - high-risk AI systems). Załącznik III rozporządzenia 2024/1689 wymienia 8 kategorii. Dla polskich firm technologicznych krytyczne są cztery:

Kategoria 1: Zatrudnienie, HR i ocena pracowników

Każdy system AI używany w obszarze HR jest co do zasady systemem wysokiego ryzyka. Konkretnie:

• AI do selekcji CV i rankingu kandydatów (popularne narzędzia HR-tech z ,,AI matching’’),
• AI do oceny rozmowy kwalifikacyjnej (analiza nagrania, transkrypcji, odpowiedzi),
• AI do oceny wydajności pracowników, decyzji o awansach, premiach,
• AI do podejmowania decyzji o zwolnieniach lub zmianie warunków pracy,
• AI do monitorowania pracowników i wpływania na ich zachowanie.

Polskie software house'y oferujące moduły HR z AI matching: jesteście providerami systemów wysokiego ryzyka. Pełen pakiet obowiązków od sierpnia 2026.

Polskie agencje rekrutacyjne i działy HR używające zewnętrznych narzędzi AI: jesteście deployerami systemów wysokiego ryzyka. Macie obowiązek żądać dokumentacji od dostawcy i zapewnić nadzór ludzki.

Kategoria 2: Scoring kredytowy, ubezpieczenia, fintech

• AI w scoringu kredytowym osób fizycznych lub ustalaniu zdolności kredytowej,
• AI w ocenie ryzyka i ustalaniu cen ubezpieczeń zdrowotnych i na życie,
• AI w wykrywaniu oszustw finansowych (jeśli decyzja AI ma realny wpływ na klienta),
• Chatboty decyzyjne w bankach i instytucjach finansowych.

Wyjątek: scoring kredytowy w celu wykrywania oszustw finansowych (czysta walka z fraudem) jest wyłączony - ale tylko jeśli decyzja nie ma znaczącego wpływu na osobę fizyczną.

Kategoria 3: Edukacja i certyfikacja

• AI decydujące o przyjęciach do szkół i uczelni,
• AI oceniające egzaminy i kwalifikacje zawodowe,
• AI w platformach e-learningowych z certyfikacją, gdy AI wpływa na ocenę końcową,
• AI wykrywające ściąganie podczas testów (to jest expressly w Załączniku III).

Kategoria 4: Biometria

• Zdalna identyfikacja biometryczna (rozpoznawanie twarzy z monitoringu),
• Kategoryzacja biometryczna wg wrażliwych atrybutów,
• Rozpoznawanie emocji poza zakazami z Art. 5.

Uwaga praktyczna: standardowe logowanie biometryczne (Touch ID, Face ID, klucz USB) - to nie jest system wysokiego ryzyka. Rozporządzenie wyraźnie wyłącza weryfikację biometryczną, której jedynym celem jest potwierdzenie tożsamości użytkownika.

Pozostałe 4 kategorie (krócej)

Dla kompletności: Załącznik III obejmuje też (5) infrastrukturę krytyczną, (6) dostęp do usług publicznych i świadczeń socjalnych, (7) ściganie przestępstw, (8) migrację i kontrolę graniczną oraz wymiar sprawiedliwości. Mniej istotne dla typowej firmy SaaS lub agencji.

7 obowiązków dla providerów systemów wysokiego ryzyka

Jeśli budujesz system AI wpadający w Załącznik III - to jest Twoja lista zadań do 2 sierpnia 2026 r.

Obowiązek 1: System zarządzania ryzykiem AI

Udokumentowany proces identyfikacji, analizy i ograniczania ryzyk związanych z używaniem systemu w trakcie całego cyklu życia. To nie jest jednorazowy dokument - to żywy proces, w tym:

• mapa ryzyk (dla zdrowia, bezpieczeństwa, praw podstawowych),
• środki zarządzania ryzykiem (techniczne i organizacyjne),
• regularne testowanie skuteczności środków,
• procedura aktualizacji po wykryciu nowych ryzyk.

Obowiązek 2: Zarządzanie danymi treningowymi

Dane używane do trenowania modelu muszą być reprezentatywne, wysokiej jakości i wolne od błędów. Konkretnie:

• udokumentowane praktyki gromadzenia danych,
• ocena dostępności, ilości i adekwatności zestawu danych,
• kontrola pod kątem biasu (np. dyskryminacji ze względu na płeć, wiek, pochodzenie),
• uwzględnienie cech kontekstu geograficznego i behawioralnego.

Obowiązek 3: Dokumentacja techniczna

Pełna dokumentacja musi być sporządzona przed wprowadzeniem systemu na rynek i przechowywana 10 lat. Załącznik IV rozporządzenia wymaga w szczególności:

• ogólny opis systemu i jego przeznaczenia,
• elementy systemu i proces jego rozwoju,
• monitorowanie, funkcjonowanie i kontrolę,
• ocenę zgodności,
• szczegółowe informacje o danych treningowych.

Obowiązek 4: Logi systemu

System musi automatycznie rejestrować zdarzenia w trakcie działania. Logi muszą umożliwiać identyfikację sytuacji, w których system mógł stwarzać ryzyko, oraz monitorowanie po wprowadzeniu na rynek.

Obowiązek 5: Przejrzystość i instrukcja dla deployera

Deployer musi otrzymać jasną instrukcję obsługi, w tym:

• przeznaczenie systemu,
• znane ograniczenia i ryzyka,
• charakterystyka danych wejściowych,
• środki nadzoru ludzkiego,
• okres używania i utrzymania.

Obowiązek 6: Nadzór ludzki

System musi być zaprojektowany tak, aby człowiek mógł realnie nadzorować jego działanie, w tym:

• zrozumieć wynik AI i jego ograniczenia,
• wykryć anomalie i błędy,
• zignorować, nadpisać lub odwrócić decyzję AI,
• wyłączyć system "stopem".

To kluczowy punkt dla SaaS-ów HR. Ranking kandydatów przez AI to nie jest decyzja AI - decyzję podejmuje rekruter, AI tylko sortuje. Tak musi to być zaprojektowane.

Obowiązek 7: Rejestracja w bazie EU

Każdy system wysokiego ryzyka musi być zarejestrowany w unijnej bazie danych AI prowadzonej przez Komisję Europejską. Baza jest publicznie dostępna. Brak rejestracji = naruszenie wymagań HRAI = kara do 15 mln EUR lub 3% obrotu.

Obowiązki deployerów: co musisz zrobić, jeśli wdrażasz system AI

Deployer ma mniej obowiązków niż provider, ale wcale nie znikome.

• Stosuj system zgodnie z instrukcją dostawcy. Użycie poza zakresem przeznaczenia może skutkować przejęciem statusu providera.
• Zapewnij nadzór ludzki - wyznacz konkretne osoby z wiedzą i umocowaniem.
• Monitoruj działanie systemu i zgłaszaj poważne incydenty providerowi i organowi nadzoru.
• Prowadź rejestr (logi) działania systemu przez minimum 6 miesięcy.
• Informuj pracowników przed wdrożeniem AI w miejscu pracy (obowiązek konsultacji).
• Informuj osoby fizyczne, które są przedmiotem decyzji AI wysokiego ryzyka.
• Przeprowadź ocenę skutków dla praw podstawowych (FRIA - Fundamental Rights Impact Assessment), jeśli jesteś podmiotem publicznym lub stosujesz AI w obszarze usług publicznych albo scoringu kredytowego.

Pułapka fine-tuningu: kiedy deployer staje się providerem

Klasyczna sytuacja w polskich SaaS-ach. Bierzesz GPT-4 lub Claude przez API, robisz fine-tuning na danych klienta, sprzedajesz pod własną marką jako narzędzie HR.

Z perspektywy AI Act: jeśli wprowadzasz na rynek system pod własną nazwą lub znakiem towarowym, lub w istotny sposób modyfikujesz cudzy system AI, lub zmieniasz jego przeznaczenie - stajesz się providerem ze wszystkimi obowiązkami z poprzedniej sekcji.

To znaczy: nie wystarczy compliance OpenAI. Musisz mieć własny system zarządzania ryzykiem, własną dokumentację techniczną, własną rejestrację w bazie EU.

FAQ: AI Act dla firm w Polsce 2026

Czy AI Act dotyczy małych firm i startupów?

Tak. AI Act dotyczy każdej firmy bez względu na wielkość, jeśli buduje lub wdraża systemy AI dla użytkowników w UE. Dla MŚP i startupów przewidziano łagodniejsze obliczanie kar (niższa z dwóch wartości - procent obrotu lub kwota stała). Niektóre wymagania są też proporcjonalne do skali działalności. Ale obowiązki compliance są takie same.

Czy korzystanie z ChatGPT lub Claude w firmie podlega AI Act?

Częściowo tak. Używanie ChatGPT lub Claude przez pracowników do zadań pomocniczych (pisanie, podsumowania, analiza) zazwyczaj nie kwalifikuje się jako system wysokiego ryzyka. Ale musisz spełnić obowiązek AI literacy (Art. 4) - przeszkolić zespół, udokumentować zasady. Jeśli zintegrujesz API tych modeli we własnym produkcie służącym do decyzji o ludziach (rekrutacja, scoring) - stajesz się deployerem systemu wysokiego ryzyka z pełnym pakietem obowiązków.

Czy mój SaaS rekrutacyjny z AI matching to system wysokiego ryzyka?

Najprawdopodobniej tak. Załącznik III pkt 4 lit. a wymienia ,,systemy AI przeznaczone do stosowania do celów rekrutacji lub wyboru osób fizycznych, w szczególności do umieszczania ukierunkowanych ogłoszeń o pracę, analizowania i filtrowania podań o pracę oraz oceny kandydatów’’. Każdy system, który ranguje, filtruje lub ocenia CV, łapie się na tę kategorię.

Czy używanie OpenAI API przez polski software house wymaga compliance OpenAI czy moich własnych?

Obu. OpenAI jako provider modelu GPAI ma własne obowiązki wobec Komisji Europejskiej. Ty jako podmiot integrujący ich API w produkcie SaaS jesteś deployerem - z własnymi obowiązkami dostosowanymi do Twojej roli. Jeśli fine-tuningujesz model lub istotnie modyfikujesz jego przeznaczenie, stajesz się providerem z pełnym pakietem.

Co grozi za brak rejestracji systemu wysokiego ryzyka w bazie EU?

Do 15 mln EUR lub 3% globalnego obrotu rocznego (niższa z dwóch wartości dla MŚP, wyższa dla korporacji). Baza EU jest publicznie dostępna - organy nadzoru mogą sprawdzić brak wpisu bez specjalnego audytu, po prostu sprawdzając rejestr.

Czy muszę wdrożyć AI Act, jeśli moja firma jest poza UE?

Tak, jeśli Twoi klienci są w UE lub jeśli wyniki działania systemu AI są wykorzystywane w UE. AI Act stosuje terytorialnie szeroki zakres - liczy się rynek docelowy, nie siedziba dostawcy.

Co to są ,,piaskownice regulacyjne’’ AI w Polsce?

Piaskownice regulacyjne (regulatory sandboxes) to środowiska testowe, w których firmy mogą rozwijać i testować innowacyjne systemy AI pod nadzorem organu regulacyjnego, ze wsparciem prawnym i bez pełnej odpowiedzialności za naruszenia. Polska musi uruchomić co najmniej jedną piaskownicę do 2 sierpnia 2026 r. Mają być szczególnie korzystne dla MŚP i startupów.

Podsumowanie: 4 zasady do zapamiętania

Zasada 1. Sprawdź, czy używasz AI - większość firm tak. Jeśli tak, masz minimum AI literacy do wdrożenia od zaraz.

Zasada 2. Jeśli budujesz lub wdrażasz AI w obszarach z Załącznika III (HR, scoring, edukacja, biometria) - jesteś objęty pełnym reżimem HRAI od 2 sierpnia 2026 r.

Zasada 3. Provider i deployer to różne role z różnymi obowiązkami. Możesz być jednym, drugim, lub obu naraz. Fine-tuning modelu cudzego = ryzyko przejęcia statusu providera.

Zasada 4. Polska ustawa jeszcze nie istnieje, ale to nieistotne. AI Act stosuje się wprost. Brak polskiego organu nadzoru nie zwalnia z obowiązków.

Cztery miesiące do sierpnia 2026 r. Wystarczy na audyt, klasyfikację, wdrożenie podstaw i rozpoczęcie dokumentacji. Nie wystarczy na zbudowanie wszystkiego od zera. Firmy, które zaczną teraz, będą miały przewagę nad konkurencją, która zostawi to na lipiec.

Chcesz przygotować swoją firmę technologiczną na AI Act 2026?

Rozpocznij teraz i wybierz jedną z opcji:

• zamów audyt AI w Lexable - mapujemy systemy AI w Twojej firmie, klasyfikujemy ryzyko, wskazujemy obowiązki dla każdego z nich,
• zamów politykę AI literacy i pakiet dokumentacji wewnętrznej dla zespołu (zgodnie z Art. 4 AI Act),
• prześlij umowy z dostawcami AI do przeglądu - sprawdzimy, czy compliance jest odpowiednio rozdzielone między Tobą a providerem.

Wolisz mailowo? Napisz: contact@lexable.pl.