AI Act przewiduje kary administracyjne do 35 mln EUR lub 7% całkowitego rocznego światowego obrotu przedsiębiorstwa - w zależności od tego, która kwota jest wyższa. To poziom sankcji porównywalny z RODO, a w najwyższym progu nawet od niego surowszy.

W tym przewodniku wyjaśniamy, jakie dokładnie kary przewiduje rozporządzenie, za co grożą, kogo dotyczą, kto je nakłada w Polsce i - co najważniejsze - jak się przygotować, żeby ich uniknąć.

Trzy progi kar w AI Act

Artykuł 99 AI Act przewiduje trzy podstawowe progi kar administracyjnych:

  • Do 35 mln EUR lub 7% obrotu - za stosowanie praktyk zakazanych z art. 5 (np. manipulacyjne techniki podprogowe, scoring społeczny, niedozwolone rozpoznawanie emocji w pracy i edukacji, nieukierunkowane pobieranie wizerunków do baz rozpoznawania twarzy);
  • Do 15 mln EUR lub 3% obrotu - za naruszenie pozostałych obowiązków rozporządzenia, m.in. obowiązków dostawców i podmiotów stosujących systemy wysokiego ryzyka, obowiązków przejrzystości czy obowiązków importerów i dystrybutorów;
  • Do 7,5 mln EUR lub 1% obrotu - za dostarczanie organom nieprawidłowych, niekompletnych lub wprowadzających w błąd informacji.

We wszystkich przypadkach stosuje się kwotę wyższą. Wyjątek przewidziano dla MŚP, w tym start-upów - wobec nich stosuje się kwotę niższą z dwóch możliwych. To realne złagodzenie, ale nie zwolnienie: dla małej firmy nawet dolny próg może oznaczać karę zagrażającą płynności.

Osobny reżim dotyczy dostawców modeli AI ogólnego przeznaczenia (GPAI): Komisja Europejska może nałożyć na nich kary do 15 mln EUR lub 3% obrotu (art. 101).

Za co realnie może dostać karę „zwykła" firma?

Większość organizacji w Polsce nie tworzy własnych modeli AI - korzysta z gotowych narzędzi. Czy to znaczy, że kary ich nie dotyczą? Nie. AI Act nakłada obowiązki także na podmioty stosujące AI (deployerów), a naruszenie tych obowiązków mieści się w progu do 15 mln EUR lub 3% obrotu. Pisaliśmy o tym szerzej w artykule Czy AI Act dotyczy tylko firm technologicznych?

Najbardziej praktyczne obszary ryzyka dla firm korzystających z AI to:

  • nieświadome stosowanie praktyki zakazanej - np. narzędzie analizujące emocje pracowników czy scoring oparty na danych niezwiązanych z celem;
  • używanie systemu wysokiego ryzyka bez spełnienia obowiązków deployera (art. 26) - np. AI w rekrutacji, ocenie zdolności kredytowej, edukacji;
  • brak przejrzystości (art. 50) - nieoznaczanie treści generowanych przez AI tam, gdzie jest to wymagane, chatboty bez informacji, że rozmówca ma do czynienia z AI;
  • brak AI literacy (art. 4) - obowiązek zapewnienia kompetencji AI stosuje się już od 2 lutego 2025 r.; sam w sobie nie ma odrębnej kary kwotowej, ale jego zaniedbanie obciąża firmę przy każdym incydencie i każdej kontroli.

Kto nakłada kary w Polsce i od kiedy?

Przepisy o karach stosuje się od 2 sierpnia 2025 r., ale ich egzekwowanie wymaga krajowego systemu nadzoru. Polska ustawa o systemach sztucznej inteligencji - wyznaczająca organ nadzoru i procedury - przeszła przez rządowy proces legislacyjny i trafiła do Sejmu; opisywaliśmy to w artykule o polskiej ustawie o AI w Sejmie.

Kluczowa data to 2 sierpnia 2026 r. - od tego dnia rozporządzenie stosuje się w pełni, a organizacje muszą być w stanie wykazać zgodność. Co dokładnie zmienia się tego dnia, wyjaśniamy w artykule AI Act i 2 sierpnia 2026.

Warto pamiętać, że kara finansowa to tylko część ryzyka. Organ nadzoru może też m.in. nakazać wycofanie systemu z użycia. Do tego dochodzą koszty reputacyjne, utrata przetargów i pytania klientów o zgodność - coraz częściej zadawane w umowach B2B.

Od czego zależy wysokość kary?

AI Act nakazuje, by kary były skuteczne, proporcjonalne i odstraszające. Przy ich wymierzaniu bierze się pod uwagę m.in.: charakter, wagę i czas trwania naruszenia, jego skutki, liczbę poszkodowanych, umyślność lub niedbalstwo, działania podjęte w celu ograniczenia szkody, wcześniejsze naruszenia oraz - co bardzo ważne - stopień współpracy z organem i to, czy organizacja wdrożyła środki zapobiegawcze.

To ostatnie kryterium ma ogromne znaczenie praktyczne. Firma, która ma rejestr systemów AI, politykę korzystania z AI, przeszkolonych pracowników i dowody tych działań, jest w zupełnie innej pozycji niż firma, która nie potrafi pokazać niczego. Nawet jeśli dojdzie do incydentu, udokumentowana staranność bezpośrednio wpływa na wymiar kary.

Jak się przygotować? 5 kroków przed kontrolą

1. Zinwentaryzuj AI - zbuduj rejestr narzędzi i systemów, łącznie z shadow AI.

2. Sprawdź praktyki zakazane i systemy wysokiego ryzyka - przejdź przez art. 5 i załącznik III; ustal, czy któreś z zastosowań wymaga szczególnych działań.

3. Wprowadź zasady i przeszkol pracowników - polityka AI + szkolenia AI literacy z egzaminem i certyfikatem (art. 4).

4. Zbierz dowody - akceptacje, certyfikaty, decyzje, przeglądy. To one decydują o pozycji firmy w rozmowie z organem.

5. Przetestuj gotowość - jak audytor: krok po kroku, obszar po obszarze. Jak to zrobić, opisujemy w przewodniku Audyt zgodności z AI Act krok po kroku.

Jak pomaga AI TrustCERT?

Platforma AI TrustCERT pokrywa dokładnie te obszary, które decydują o wymiarze ewentualnej kary: rejestr systemów AI, polityki i akceptacje, szkolenia z certyfikatami oraz raport gotowości z dowodami staranności - uruchamiane w 1-7 dni. Pełne zestawienie obowiązków, terminów i sankcji znajdziesz na stronie Zgodność z AI Act.

Chcesz wiedzieć, które progi kar w ogóle dotyczą Twojej organizacji? Wykonaj bezpłatny AI Ready Check - 3 minuty, bez zobowiązań.

Podsumowanie

Kary AI Act są wysokie z założenia: do 35 mln EUR lub 7% obrotu za praktyki zakazane, do 15 mln EUR lub 3% za naruszenie obowiązków, do 7,5 mln EUR lub 1% za wprowadzanie organów w błąd - z łagodniejszym mechanizmem dla MŚP.

Ale najważniejsza wiadomość jest inna: wysokość kary zależy od tego, co organizacja zrobiła zanim coś poszło nie tak. Rejestr, zasady, szkolenia i dowody to nie koszt biurokracji - to polisa, która działa dokładnie wtedy, kiedy jest potrzebna.

Źródła

  1. Rozporządzenie (UE) 2024/1689 (AI Act) - art. 99 (kary administracyjne), art. 101 (kary dla dostawców GPAI), art. 5 (praktyki zakazane), art. 26 (obowiązki deployerów), art. 50 (przejrzystość), art. 113 (terminy stosowania): eur-lex.europa.eu
  2. Komisja Europejska - ramy regulacyjne AI i harmonogram stosowania: digital-strategy.ec.europa.eu
  3. Rządowy projekt ustawy o systemach sztucznej inteligencji (przebieg prac legislacyjnych w Sejmie RP): sejm.gov.pl