AI Act 2026 — checklista gotowości dla zarządu

Pełne egzekwowanie AI Act zaczyna się 2 sierpnia 2026. Obowiązki dotyczą także firm, które „tylko używają” gotowych narzędzi AI. Poniżej dziesięć pytań, na które zarząd powinien umieć odpowiedzieć — i co zrobić z każdym „nie wiem”.

1. Co i gdzie w firmie używa AI?

Zacznij od inwentaryzacji: systemy produkcyjne, integracje, ale też prywatne konta ChatGPT i wtyczki, których IT nie widzi („shadow AI”). Bez tej listy żadna klasyfikacja ryzyka nie ma sensu.

2. Które systemy są „wysokiego ryzyka”?

AI Act klasyfikuje systemy według ryzyka. Większość zastosowań biznesowych to ryzyko ograniczone lub minimalne, ale rekrutacja, scoring czy systemy wpływające na bezpieczeństwo bywają „wysokiego ryzyka” — z pełną dokumentacją i nadzorem.

3. Czy pracownicy mają wymagane kompetencje AI?

Artykuł 4 wymaga zapewnienia „AI literacy”. To nie szkolenie z promptów, lecz praktyczne zrozumienie, gdzie AI pomaga, gdzie halucynuje i jak nadzorować jej wyniki.

4. Czy na pewno nie stosujemy praktyk zakazanych?

Część zakazów obowiązuje już od lutego 2025 r. (art. 5): m.in. scoring społeczny, techniki manipulacyjne czy rozpoznawanie emocji w pracy i szkole. To pytanie zamknij najpierw — zakazu nie da się „udokumentować”, trzeba go po prostu nie łamać.

5. Czy ludzie wiedzą, że rozmawiają z AI?

Artykuł 50 wymaga przejrzystości: użytkownik musi wiedzieć, że rozmawia z chatbotem, a treści generowane przez AI (w tym deepfake) muszą być oznaczone. Sprawdź każdy punkt styku z klientem — to zwykle najtańsza zgodność do wdrożenia.

6. Kto nadzoruje system i może go zatrzymać?

Dla zastosowań wyższego ryzyka AI Act wymaga realnego nadzoru człowieka (art. 14) — nie przycisku-atrapy. Musi istnieć osoba, która rozumie wynik modelu, może go zakwestionować i wyłączyć system, zanim zrobi szkodę.

7. Skąd pochodzą dane i co trafia do modeli?

Jakość i pochodzenie danych decydują o zgodności i o tym, czy model nikogo nie dyskryminuje. Druga strona medalu: pilnuj, co pracownicy wklejają do publicznych modeli — dane osobowe i tajemnice firmy nie powinny opuszczać organizacji bez kontroli (tu AI Act spotyka RODO).

8. Na jakich modelach (GPAI) stoją nasze narzędzia?

Większość firm używa AI przez modele ogólnego przeznaczenia (GPT, Gemini, Llama). Część obowiązków leży po stronie ich dostawców, ale to Ty odpowiadasz za to, jak ich używasz. Musisz wiedzieć, jaki model stoi pod każdym narzędziem i na jakich warunkach.

9. Czy przejdziemy kontrolę — i co robimy, gdy AI zawiedzie?

Dla systemów wysokiego ryzyka potrzebne są dokumentacja techniczna i logi działania (art. 11–12). Niezależnie od poziomu ryzyka warto mieć prostą procedurę: kto reaguje, gdy model się myli, i jak zgłaszamy poważny incydent. Zgodność to proces, nie segregator.

10. Kto w firmie odpowiada za AI?

Wskaż właściciela: osobę lub rolę odpowiedzialną za nadzór nad AI, decyzje i kontakt z regulatorem. Sprawdź też umowy z dostawcami — kto bierze na siebie którą część zgodności. Bez jasnej odpowiedzialności każdy z powyższych punktów zostaje niczyj.

Co dalej

Audyt zgodności zamyka temat inwentaryzacji i klasyfikacji w kilka tygodni i od razu daje plan działań. To dokument roboczy, nie ozdobny segregator.