AI Act przez długi czas brzmiał dla wielu firm jak coś odległego: unijne rozporządzenie, przyszłe obowiązki, temat dla prawników, technologów i dużych korporacji.
Ten etap się kończy.
Polski projekt ustawy o systemach sztucznej inteligencji trafił do Sejmu. To ważny moment, bo AI Act przestaje być wyłącznie europejską regulacją „gdzieś z Brukseli", a zaczyna być przekładany na krajowy system nadzoru, procedur i odpowiedzialności.
Dla firm oznacza to jedno: czas ogólnych deklaracji powoli się kończy. Zaczyna się czas konkretnych pytań.
- Czy wiemy, gdzie w naszej organizacji używana jest sztuczna inteligencja?
- Czy pracownicy rozumieją zasady bezpiecznego korzystania z AI?
- Czy mamy politykę AI?
- Czy wiemy, które narzędzia są oficjalnie dopuszczone, a które działają poza wiedzą organizacji?
- Czy potrafimy pokazać dowody, że firma faktycznie zajęła się tym tematem?
Co właściwie zmienia polska ustawa?
AI Act jako rozporządzenie unijne obowiązuje bezpośrednio, ale część jego stosowania wymaga uzupełnienia na poziomie krajowym. I właśnie temu służy polski projekt ustawy o systemach sztucznej inteligencji.
Projekt nie tworzy AI Act od nowa. Ma raczej zbudować polską infrastrukturę nadzoru: wskazać organ odpowiedzialny za kontrolę rynku AI, określić procedury, tryb postępowań, zasady zgłaszania naruszeń oraz mechanizmy wspierające innowacje.
Według informacji rządowych centralną rolę ma pełnić Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji. To ona ma odpowiadać za kontrolę tego, czy systemy AI spełniają wymagania bezpieczeństwa i prawa. Projekt zakłada również możliwość ograniczania używania systemów AI albo wycofywania ich z rynku, jeśli nie będą spełniać wymagań.
To ważna zmiana w myśleniu o AI.
Sztuczna inteligencja przestaje być traktowana wyłącznie jako narzędzie produktywności. Coraz wyraźniej staje się obszarem zarządzania ryzykiem, podobnie jak cyberbezpieczeństwo, ochrona danych osobowych czy compliance.
Dlaczego firmy nie powinny czekać na pierwszą kontrolę?
Wielu przedsiębiorców reaguje na nowe regulacje dopiero wtedy, gdy pojawia się realna groźba sankcji, audytu albo pytania od klienta. W przypadku AI może to być zbyt późno.
Problem polega na tym, że przygotowania do AI Act nie da się zrobić w jeden dzień.
Nie wystarczy napisać krótkiego regulaminu i wysłać go pracownikom mailem. Nie wystarczy też deklaracja zarządu, że firma korzysta z AI odpowiedzialnie.
Jeżeli organizacja chce być wiarygodnie przygotowana, musi wiedzieć, jak AI jest faktycznie używane w jej codziennej pracy. A to często nie jest oczywiste.
AI może pojawiać się w marketingu, sprzedaży, HR, obsłudze klienta, administracji, analizie dokumentów, tworzeniu ofert, tłumaczeniach, notatkach ze spotkań, raportach, prezentacjach, a nawet w narzędziach, które firma już wcześniej posiadała, ale które dopiero teraz dostały funkcje AI.
Część tych zastosowań jest niskiego ryzyka. Część może wymagać jasnych zasad. Część powinna zostać ograniczona. A część może być niedopuszczalna w danym procesie.
Nie da się tego ocenić bez pierwszego porządku.
Największe ryzyko: firma nie wie, że używa AI
W praktyce wiele organizacji nie zaczyna od problemu „mamy zbyt dużo dokumentacji". Zaczyna od problemu dużo prostszego i dużo groźniejszego: nie wie, gdzie AI już działa.
Pracownicy korzystają z narzędzi generatywnych, bo są szybkie i wygodne. Poprawiają teksty, streszczają dokumenty, tworzą szkice ofert, analizują dane, przygotowują komunikację do klientów.
Często robią to w dobrej wierze. Chcą pracować lepiej i szybciej.
Ale z perspektywy organizacji pojawiają się pytania: czy do narzędzia trafiły dane osobowe? Czy pojawiły się informacje poufne? Czy wynik AI został sprawdzony? Czy użycie AI wpływało na decyzję dotyczącą klienta, pracownika albo kandydata? Czy firma potrafi wskazać, kto odpowiada za to zastosowanie?
To właśnie tutaj zaczyna się realne przygotowanie do AI Act.
Nie od wielkiej strategii. Od ustalenia faktów.
Co firma powinna mieć przygotowane?
Pierwszy poziom gotowości nie musi oznaczać skomplikowanego systemu compliance. Powinien jednak dawać odpowiedź na kilka podstawowych pytań.
Po pierwsze: jakie narzędzia AI są używane w organizacji. Zarówno oficjalnie kupione, jak i testowane, nieformalne albo wbudowane w inne systemy.
Po drugie: w jakich procesach pojawia się AI. Samo narzędzie niewiele mówi bez kontekstu. Inne ryzyko niesie użycie AI do korekty tekstu, inne do analizy CV, obsługi reklamacji, oceny klienta albo pracy na dokumentach zawierających dane osobowe.
Po trzecie: jakie zasady obowiązują pracowników. Muszą wiedzieć, czego nie wolno wpisywać do narzędzi AI, kiedy trzeba zweryfikować wynik, kiedy zgłosić wątpliwości i z jakich narzędzi można korzystać.
Po czwarte: czy firma ma dowody działań. Kto został przeszkolony? Kto zaakceptował zasady? Kiedy odbyło się szkolenie? Jakie obszary ryzyka zostały rozpoznane? Czy istnieje raport gotowości?
To ostatnie będzie miało coraz większe znaczenie. W regulacjach nie liczy się tylko to, że „coś zrobiliśmy". Liczy się również to, czy potrafimy to wykazać.
AI literacy to nie dodatek. To pierwszy obowiązek
Jednym z najczęściej lekceważonych elementów AI Act jest AI literacy, czyli kompetencje w zakresie AI.
To nie oznacza, że każdy pracownik ma zostać ekspertem od modeli językowych. Chodzi o coś bardziej praktycznego: pracownik powinien rozumieć, jak bezpiecznie korzystać z AI w swojej roli.
Powinien wiedzieć, że nie wolno bezrefleksyjnie wklejać do narzędzi AI danych klientów, umów, dokumentów rekrutacyjnych czy informacji poufnych. Powinien wiedzieć, że AI potrafi generować błędy. Powinien umieć rozpoznać sytuację, w której wynik trzeba zweryfikować. Powinien rozumieć, że odpowiedzialność za użycie AI nie znika tylko dlatego, że „tak podpowiedziało narzędzie".
To najtańszy i najprostszy krok do uporządkowania tematu. A jednocześnie jeden z najbardziej praktycznych.
Polska ustawa przyspieszy rozmowę o odpowiedzialności
Dopóki AI Act funkcjonował głównie jako hasło, łatwo było odłożyć temat na później. Polski projekt ustawy zmienia perspektywę. Pokazuje, że powstaje krajowy system nadzoru, procedur i odpowiedzialności.
Dla firm nie oznacza to, że każda organizacja natychmiast stanie się podmiotem wysokiego ryzyka. Oznacza jednak, że pytania o AI będą coraz bardziej konkretne.
Klienci mogą pytać, czy firma ma zasady używania AI. Partnerzy biznesowi mogą pytać, czy dane są bezpieczne. Zarząd może oczekiwać raportu. Audyt może sprawdzić, czy pracownicy zostali przeszkoleni. A organ nadzoru, w określonych przypadkach, może oczekiwać dowodów zgodności.
Dlatego przygotowanie do AI Act nie powinno być traktowane jako projekt prawny oderwany od biznesu.
To projekt zarządczy.
Dotyczy sposobu, w jaki firma korzysta z technologii, danych, wiedzy pracowników i narzędzi zewnętrznych.
Gdzie pomaga AI TrustCERT?
AI TrustCERT powstał właśnie po to, żeby pomóc firmom przejść od ogólnego zainteresowania AI do uporządkowanego, udokumentowanego procesu.
Nie chodzi tylko o szkolenie. Chodzi o zbudowanie podstawowej gotowości organizacji: świadomości pracowników, zasad korzystania z AI, rejestru narzędzi, akceptacji, identyfikacji ryzyk i raportu gotowości.
Dzięki temu firma może przestać działać w trybie domysłów.
Zamiast mówić „wydaje nam się, że mamy temat pod kontrolą", może pokazać, co zostało zrobione: kto przeszedł szkolenie, jakie zasady przyjęto, jakie narzędzia zidentyfikowano i jakie obszary wymagają dalszego działania.
To szczególnie ważne, bo AI Act nie będzie wyłącznie pytaniem o technologię. Będzie pytaniem o odpowiedzialność.
Podsumowanie
Polska ustawa o systemach sztucznej inteligencji to sygnał, że etap „poczekamy, zobaczymy" powoli się kończy.
Firmy nie muszą panikować. Nie muszą też od razu budować rozbudowanych struktur compliance. Ale powinny zacząć od podstaw: sprawdzić, gdzie używają AI, przeszkolić pracowników, ustalić zasady, uporządkować narzędzia i zebrać dowody działań.
Bo największym problemem przy AI Act nie będzie samo pytanie: „czy korzystacie z AI?"
Najtrudniejsze może być kolejne pytanie:
„Pokażcie, jak nad tym panujecie."
AI TrustCERT pomaga przygotować się właśnie na ten moment - zanim ktoś zapyta o dowody.
Źródła
- Rada Ministrów przyjęła projekt ustawy o systemach sztucznej inteligencji 31 marca 2026 r.; projekt ma stworzyć w Polsce system nadzoru nad AI, w tym Komisję Rozwoju i Bezpieczeństwa Sztucznej Inteligencji.
- Projekt ustawy został skierowany do Sejmu 8 kwietnia 2026 r.; dokumenty projektu opublikowano w serwisie KPRM.
- Ministerstwo Cyfryzacji informowało, że projekt ma zapewnić stosowanie AI Act w Polsce oraz ustanowić procedury nadzoru, bezpieczeństwa i wsparcia innowacji.
- W Sejmie 29 kwietnia 2026 r. odbyło się pierwsze czytanie rządowego projektu ustawy o systemach sztucznej inteligencji, druk nr 2443.