Sztuczna inteligencja weszła do firm szybciej niż governance. Zazwyczaj zaczyna się niewinnie: ktoś w marketingu używa chatu do draftów, ktoś w sprzedaży uruchamia bota, ktoś w IT testuje narzędzie do automatyzacji kodu. Na tym etapie rzadko pojawia się „problem prawny”. Pojawia się natomiast coś znacznie groźniejszego: chaos decyzyjny – brak zasad, brak właściciela, brak świadomości, gdzie i do czego AI jest używana.

W tym właśnie miejscu trzeba postawić kluczową tezę: AI Act nie pyta, czy używasz AI. Pyta, czy wiesz, gdzie ona podejmuje decyzje za ciebie. To jest regulacja o ryzyku i odpowiedzialności, a nie o samej technologii.

AI Act to nie „kolejne RODO”

W wielu polskich organizacjach AI Act traktowany jest jako powtórka z RODO: kolejna fala dokumentów, kolejna „zgodność” do odhaczenia, kolejny projekt compliance. To intuicja zrozumiała, ale błędna.

RODO było przede wszystkim regulacją o danych: kto, kiedy i na jakiej podstawie je przetwarza. AI Act idzie inną drogą. Traktuje systemy AI jak produkty, które działają w określonym kontekście i mogą powodować realne szkody. Dlatego język AI Act przypomina regulacje znane z obszaru produktów wysokiego ryzyka: cykl życia systemu, zarządzanie ryzykiem, nadzór człowieka, dokumentacja techniczna, monitoring po wdrożeniu. To nie są „papiery dla urzędu”. To mechanizmy kontroli narzędzia, które może wpływać na ludzi, ich zdrowie, prawa czy sytuację finansową.

W praktyce oznacza to, że organizacje nie mogą pytać wyłącznie: „czy używamy AI?”. Muszą pytać: do czego jej używamy, kogo to dotyka i co się stanie, jeśli AI się pomyli.

Risk-based approach: to kontekst użycia wyznacza obowiązki

Najbardziej użyteczną częścią AI Act jest to, że dzieli zastosowania AI na „koszyki ryzyka”. I to jest moment, w którym prawo przestaje być abstrakcją, a staje się narzędziem decyzyjnym.

W uproszczeniu:

  • Zakazane praktyki – „czerwona linia”. AI nie może być używana do ukrytej manipulacji, wykorzystywania wrażliwości czy wpływania na autonomię człowieka w sposób, którego użytkownik nie rozumie. Tu nie ma dyskusji – to obszar „nie wchodzimy”.
  • High-risk AI – najważniejszy koszyk z perspektywy biznesu. High-risk nie oznacza „mocnej AI”, tylko AI używaną w kontekstach, gdzie błąd może mieć poważne konsekwencje: zdrowie, praca, dostęp do usług, pieniądze, prawa. Tu pojawiają się twardsze obowiązki: zarządzanie ryzykiem, testowanie, nadzór człowieka, monitoring, dokumentowanie decyzji.
  • Limited risk – sytuacje interakcji człowieka z AI (chatboty, voiceboty, generowane treści). Kluczowym obowiązkiem jest transparentność: użytkownik ma wiedzieć, że rozmawia z AI lub czyta treść wygenerowaną przez AI.
  • Minimal/low risk – zastosowania pomocnicze: marketing, drafty, wsparcie wewnętrzne. AI Act praktycznie się tu nie wtrąca, bo ryzyko systemowe jest niskie.

Koszyki ryzyka nie są równoznaczne z etykietą firmy. Jedna organizacja może działać równolegle w kilku koszykach – w zależności od procesu i danych. I właśnie to jest najczęstsze źródło problemu: firma ocenia siebie jako „low-risk”, bo AI używa w marketingu, a w tym samym czasie w innym dziale AI zaczyna wpływać na decyzje o cenach, dostępności usług albo – co gorsza – na obszar zdrowia.

To samo prawo, trzy różne profile ryzyka z AI Act

Żeby zobaczyć, o co chodzi w AI Act, warto spojrzeć na trzy archetypowe przypadki z praktyki.

1) Biuro tłumaczeń

Na poziomie marketingu i korespondencji wewnętrznej ryzyko jest niskie. Problem zaczyna się wtedy, gdy ktoś wklei do narzędzia AI fragment dokumentu klienta: umowę, akt urzędowy, dokumentację medyczną. Wtedy ryzyko nie jest „technologiczne”, tylko organizacyjne: poufność, dane osobowe, reputacja.

W AI Act to zwykle obszar minimal/low risk (marketing) plus limited risk (jeśli jest chatbot/voicebot). Ale prawdziwy ciężar ryzyka często pochodzi z równoległych reżimów – RODO i poufności. Wniosek jest prosty: nie trzeba budować ciężkiej machiny compliance. Trzeba wdrożyć „BHP do AI”: zasady danych (czego nie wklejamy), rejestr narzędzi i procesów oraz zasadę „AI = draft, człowiek = final”. Chodzi o bardzo prostą zasadę decyzyjną: AI może przygotować propozycję, analizę lub rekomendację, ale ostateczna decyzja – zwłaszcza taka, która ma skutki prawne, finansowe lub reputacyjne – musi należeć do człowieka. W praktyce oznacza to, że wynik działania AI nie powinien automatycznie „przechodzić dalej” w procesie bez świadomej weryfikacji i akceptacji przez osobę odpowiedzialną. To właśnie ta granica – między wsparciem a zastępowaniem decyzji – decyduje o poziomie ryzyka w rozumieniu AI Act.

2) Firma eventowa generująca oferty

Klient wchodzi na stronę, wybiera lokalizację i parametry konferencji, a AI generuje ofertę; dodatkowo klient może zadzwonić i rozmawiać z voicebotem dopasowującym potrzeby. To typowy koszyk limited risk: AI w interakcji z klientem i generowanie treści/ofert. Ryzyko nie polega na „halucynacji” jako takiej, tylko na tym, że AI zaczyna realnie kształtować warunki biznesowe: cenę, dostępność, zobowiązania. Tu firma potrzebuje transparentności (klient ma wiedzieć, że rozmawia z AI), ale też granic decyzyjnych: AI nie powinna składać wiążących ofert bez zatwierdzenia przez człowieka, a proces musi mieć właściciela.

3) Start-up z obszaru medycyny estetycznej

Tu zmienia się wszystko, bo zmienia się kontekst: zdrowie, dane wrażliwe, potencjalne konsekwencje błędu. Nawet jeśli AI „tylko rekomenduje”, a decyzję podejmuje lekarz, to w praktyce system może wpływać na wybór procedury, ścieżkę pacjenta czy kwalifikację. To obszar, w którym bardzo łatwo zahaczyć o high-risk, a więc twardsze obowiązki: formalne zarządzanie ryzykiem, testowanie, monitoring po wdrożeniu, realny nadzór człowieka i możliwość zatrzymania procesu.

Te trzy przykłady pokazują sedno AI Act: ta sama technologia w innym kontekście generuje inne obowiązki.

Co już teraz powinny zrobić polskie firmy

Największym błędem jest czekanie do 2 sierpnia 2026 r. z założeniem, że „jeszcze nie obowiązuje”. Bo największy koszt nie powstaje w dniu wejścia w życie przepisów, tylko w momencie, gdy organizacja nie potrafi odpowiedzieć na podstawowe pytania: gdzie używa AI, kto za to odpowiada i jakie dane tam trafiają. Jeśli firma nie buduje tych kompetencji dziś, to zapłaci w czasie, chaosie i nerwowych „wdrożeniach na szybko”.

Pięć zasad AI w firmie, które warto wdrożyć już teraz

  • Zmapuj zastosowania AI (rejestr AI)

Nie zaczynaj od dokumentów, zacznij od faktów. Lista narzędzi, procesów i właścicieli. Bez tego nie ma zarządzania.

  • Ustal granice danych („czego nie wolno wklejać”)

W większości firm największe ryzyko bierze się z danych: poufnych, osobowych, wrażliwych. Prosta zasada danych rozwiązuje 80 proc. problemów.

  • Wprowadź human oversight jako proces, nie hasło

Gdzie AI jest draftem, a gdzie wpływa na decyzję? Kto weryfikuje? Kto może zatrzymać proces? To muszą być konkretne kroki, nie ogólne deklaracje.

  • Wymuś transparentność w kontaktach z klientem

Jeśli są chatbot/voicebot lub generowane treści – użytkownik musi o tym wiedzieć. To prosty obowiązek, a często pomijany.

  • Oddziel niskie ryzyko od wysokiego – nie „gasząc innowacji”

AI Act nie mówi „nie używaj AI”. Mówi: dopasuj kontrolę do ryzyka. Dopuść AI szeroko w obszarach minimal risk, ale ustaw hamulce tam, gdzie konsekwencje błędu są realne.

Jak rozpoznać moment, w którym AI Act zaczyna mieć znaczenie

W praktyce wystarczą trzy pytania kontrolne. Jeśli na którekolwiek odpowiadasz „tak”, to znaczy, że AI Act zaczyna mieć znaczenie dla twojej organizacji:

1. Czy AI wpływa na zdrowie, pieniądze, dostęp do usług albo prawa?

2. Czy AI wchodzi w bezpośrednią interakcję z klientem i zbiera dane?

3. Czy bez AI ten proces wyglądałby istotnie inaczej – szybciej, taniej, ale też bardziej ryzykownie?

Jeśli odpowiedź jest pozytywna, nie znaczy to, że firma robi coś złego. Znaczy tylko tyle, że czas przestać myśleć o AI jak o narzędziu, a zacząć myśleć o niej jak o źródle decyzji. I dokładnie do tego AI Act został zaprojektowany: nie po to, by zatrzymać innowacje, ale po to, by je ucywilizować. ©℗