- Strategia oparta o dane i cele biznesowe.
- Rekomendacje UX, integracji i automatyzacji.
- Plan wdrożeń i wsparcie zespołu.
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 — czyli EU AI Act — weszło w życie 1 sierpnia 2024 roku. Ale samo wejście w życie to nie to samo co obowiązywanie konkretnych przepisów. AI Act jest wdrażany etapami, a część kluczowych wymagań zacznie obowiązywać 2 sierpnia 2026 roku. Dla właścicieli sklepów i firm używających AI — to data, którą warto znać i warto się do niej przygotować.
Ten artykuł wyjaśnia co AI Act oznacza konkretnie dla Twojego e-commerce lub firmy usługowej: które systemy AI podlegają regulacji, co musisz zrobić jako firma używająca AI, i od kiedy obowiązują poszczególne przepisy. Oparliśmy go na oficjalnych dokumentach Komisji Europejskiej i tekście rozporządzenia.
Potrzebujesz pomocy z oceną systemów AI w firmie pod kątem AI Act?
Harmonogram AI Act — co już obowiązuje, co wejdzie w 2026
AI Act wdraża przepisy etapami — nie wszystko obowiązuje od razu. Oto kluczowe daty potwierdzone przez Komisję Europejską:
1 sierpnia 2024 — AI Act wchodzi w życie (opublikowany w Dzienniku Urzędowym UE). Żadne konkretne obowiązki dla firm jeszcze nie obowiązują.
2 lutego 2025 — obowiązują zakazy stosowania zabronionych praktyk AI oraz obowiązek AI literacy (zapewnienia personelowi podstawowej wiedzy o AI). To najwcześniej obowiązujące przepisy — jeśli Twoja firma używa systemów AI, pracownicy powinni rozumieć z czym mają do czynienia.
2 sierpnia 2025 — obowiązują przepisy dotyczące modeli AI ogólnego przeznaczenia (GPAI — General Purpose AI Models), w tym modeli takich jak GPT-4, Claude czy Gemini gdy są wdrożone jako usługi. Dla firm korzystających z API tych modeli — obowiązki przechodzą głównie na dostawców modeli, ale firmy muszą rozumieć jakie modele używają.
2 sierpnia 2026 — pełne obowiązywanie AI Act, w tym przepisy dotyczące systemów AI wysokiego ryzyka. To data, która dotyczy większości firm używających AI w procesach biznesowych.
2 sierpnia 2027 — rozszerzone wymagania dla systemów wysokiego ryzyka wbudowanych w produkty objęte innymi regulacjami unijnymi (np. urządzenia medyczne, pojazdy).
Czy mój sklep lub firma podlega AI Act?
AI Act dotyczy każdej organizacji, która wprowadza na rynek UE lub używa systemów AI na terenie UE — niezależnie od tego, czy firma ma siedzibę w Unii. To oznacza że polskie sklepy internetowe i firmy usługowe używające AI podlegają temu rozporządzeniu.
W AI Act wyróżnia się kilka ról. Provider to firma, która tworzy i wprowadza na rynek system AI (np. OpenAI dla ChatGPT). Deployer to firma, która używa gotowego systemu AI w swojej działalności — i to właśnie ta kategoria dotyczy większości sklepów i firm usługowych. Jeśli używasz chatbota opartego na AI, systemu rekomendacji produktów, narzędzi do analizy klientów czy automatyzacji marketingu — jesteś deployerem.
Obowiązki deployera są mniejsze niż providera, ale istnieją. Kluczowe: zapewnienie nadzoru ludzkiego nad decyzjami AI, monitorowanie działania systemu, zgłaszanie poważnych incydentów i — w przypadku systemów wysokiego ryzyka — prowadzenie dokumentacji technicznej.
Nie wiesz czy systemy AI w Twojej firmie podlegają AI Act i co powinieneś zrobić? Pomożemy ocenić sytuację i wdrożyć wymagane zmiany.
Wysokie ryzyko vs. minimalne ryzyko — jak sklasyfikować AI który używasz
AI Act dzieli systemy AI na kategorie ryzyka. Dla większości firm e-commerce i usługowych dobra wiadomość jest taka, że typowe narzędzia AI których używają sklepy internetowe — chatboty obsługi klienta, systemy rekomendacji produktów, personalizacja treści, generowanie opisów — generalnie nie są klasyfikowane jako systemy wysokiego ryzyka.
Systemy AI zakazane (niedopuszczalne ryzyko) — obowiązują od 2 lutego 2025. Obejmują m.in. systemy social scoringu, manipulacji podprogowej, masowego rozpoznawania twarzy w przestrzeni publicznej. Dla e-commerce: praktycznie żaden typowy system nie wchodzi w tę kategorię.
Systemy wysokiego ryzyka — obowiązują od 2 sierpnia 2026. Według Załącznika III do rozporządzenia, do systemów wysokiego ryzyka należą m.in.: systemy AI używane w rekrutacji i zarządzaniu pracownikami, systemy oceny creditworthiness (zdolności kredytowej), systemy zarządzające krytyczną infrastrukturą, systemy w edukacji oceniające uczniów. Dla e-commerce: standardowy chatbot, silnik rekomendacji czy system personalizacji reklam NIE jest systemem wysokiego ryzyka.
Systemy ograniczonego ryzyka — główne wymaganie to transparentność. Jeśli Twój sklep używa chatbota AI w obsłudze klienta, musisz poinformować użytkowników że rozmawiają z AI — nie z człowiekiem. To obowiązek, który obowiązuje od 2 sierpnia 2026 i jest łatwy do wdrożenia przez odpowiednią etykietę interfejsu.
Minimalne ryzyko — filtry spamu, rekomendacje treści, większość narzędzi do analizy danych. Brak specjalnych wymagań, poza ogólnymi przepisami RODO.
Chatboty, rekomendacje produktów, personalizacja — co to konkretnie oznacza
Przejdźmy przez najczęstsze zastosowania AI w e-commerce i firmach usługowych pod kątem AI Act:
Chatbot obsługi klienta (AI): system ograniczonego ryzyka. Główny obowiązek: wyraźne oznaczenie że klient rozmawia z AI, nie z człowiekiem. Obowiązuje od 2 sierpnia 2026. Wdrożenie proste — etykieta „Asystent AI” lub podobna w interfejsie chatbota.
System rekomendacji produktów: zazwyczaj minimalne ryzyko. Jeśli rekomendacje są oparte wyłącznie na danych zakupowych i behawioralnych bez profilowania wrażliwych kategorii — brak specjalnych wymagań AI Act. Obowiązuje RODO (podstawa prawna przetwarzania, polityka prywatności). Warto sprawdzić czy dostawca narzędzia (np. Nosto, Klevu, Recombee) zaktualizował warunki umowy w związku z AI Act.
Personalizacja treści i reklam: minimalne lub ograniczone ryzyko zależnie od implementacji. Jeśli system personalizacji wpływa na ceny per użytkownik (dynamic pricing) — warto skonsultować klasyfikację ryzyka, bo może wchodzić w obszar regulowany przez inne przepisy (nieuczciwe praktyki handlowe).
Scoring klientów i ocena zdolności płatniczej (np. przy płatnościach ratalnych): wysokie ryzyko. Systemy oceniające zdolność kredytową klientów podlegają pełnym wymaganiom AI Act — dokumentacja techniczna, nadzór ludzki, możliwość odwołania. Jeśli Twój sklep oferuje własne płatności ratalne z oceną ryzyka — to wymaga przeglądu.
AI do rekrutacji lub oceny pracowników: wysokie ryzyko. Jeśli używasz AI do przetwarzania CV, oceny kandydatów lub monitorowania wydajności pracowników — pełne wymagania AI Act od 2 sierpnia 2026.
Potrzebujesz przeglądu systemów AI w swojej firmie pod kątem AI Act? Pomożemy zidentyfikować wymagania i zaplanować wdrożenie zmian.
Obowiązki deployera — co konkretnie musi zrobić firma używająca AI
Nawet jeśli nie tworzysz systemów AI, a tylko z nich korzystasz, masz obowiązki jako deployer. Oto co konkretnie wymagają przepisy dla deployerów systemów AI:
AI literacy (od 2 lutego 2025): zapewnij personelowi obsługującemu systemy AI podstawową wiedzę o tym jak te systemy działają, jakie mają ograniczenia i jak weryfikować ich wyniki. Nie chodzi o szkolenia techniczne — chodzi o świadomość że AI może się mylić i że decyzje AI wymagają nadzoru.
Nadzór ludzki: dla systemów AI wpływających na istotne decyzje (dotyczące klientów, pracowników, finansów) musi istnieć mechanizm weryfikacji i możliwość interwencji człowieka. AI nie może być jedynym „sędzią” w ważnych decyzjach biznesowych bez możliwości odwołania.
Transparentność wobec użytkowników: gdy AI wpływa na decyzje dotyczące użytkownika lub gdy użytkownik wchodzi w interakcję z AI — musi o tym wiedzieć. Dotyczy to chatbotów (oznaczenie jako AI) oraz systemów decyzyjnych (np. odmowa kredytu przez AI powinna informować o możliwości ludzkiej weryfikacji).
Dokumentacja i monitoring: dla systemów wysokiego ryzyka — prowadzenie dokumentacji technicznej, rejestrów działania systemu i mechanizm zgłaszania poważnych incydentów do organu nadzorczego. W Polsce organem nadzorczym nad AI Act będzie Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji (KRiBSI).
Kary i nadzór — KRiBSI w Polsce
AI Act przewiduje kary finansowe za naruszenia, zróżnicowane w zależności od wagi naruszenia. Za stosowanie zakazanych praktyk AI: do 35 mln EUR lub 7% globalnego rocznego obrotu (wyższa kwota). Za naruszenie wymagań dla systemów wysokiego ryzyka: do 15 mln EUR lub 3% obrotu. Za podanie błędnych informacji organom nadzorczym: do 7,5 mln EUR lub 1% obrotu. Dla MŚP i startupów przepisy przewidują proporcjonalne kary — górna granica odnosi się do mniejszej kwoty.
W Polsce nadzór nad AI Act sprawować będzie Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji (KRiBSI) — nowy organ, którego szczegółowe kompetencje i procedury są w trakcie legislacji krajowej. Polska ustawa implementująca AI Act jest w przygotowaniu. Warto śledzić komunikaty Ministerstwa Cyfryzacji w tym zakresie.
Praktyczny checklist dla sklepu i firmy usługowej — co zrobić przed 2 sierpnia 2026
1. Zinwentaryzuj systemy AI których używasz. Wypisz wszystkie narzędzia AI w firmie: chatboty, systemy rekomendacji, narzędzia do generowania treści, systemy analityczne, narzędzia HR. Dla każdego zidentyfikuj: kto jest providerem (dostawcą), w jakich procesach jest używany, czy wpływa na decyzje dotyczące klientów lub pracowników.
2. Oceń kategorię ryzyka każdego systemu. Dla większości e-commerce: chatboty → ograniczone ryzyko (oznaczenie AI), rekomendacje → minimalne ryzyko, scoring kredytowy → wysokie ryzyko. Jeśli masz wątpliwości — skonsultuj z prawnikiem specjalizującym się w prawie cyfrowym lub agencją IT która śledzi regulacje.
3. Wdróż AI literacy dla zespołu. Obowiązuje od 2 lutego 2025. Wystarczy wewnętrzne szkolenie lub materiały edukacyjne wyjaśniające jak działają narzędzia AI w firmie i jak weryfikować ich wyniki.
4. Oznacz chatboty i asystentów AI. Dodaj wyraźną informację w interfejsie że użytkownik rozmawia z AI. To proste technicznie i chroni przed zarzutami o dezinformację.
5. Sprawdź umowy z dostawcami AI. Upewnij się że dostawca narzędzi AI których używasz zaktualizował warunki umowy o zapisy dotyczące AI Act — szczególnie podział odpowiedzialności między providerem a deployerem. Brak takich zapisów to ryzyko prawne.
6. Przygotuj dokumentację. Dla systemów wysokiego ryzyka — zacznij gromadzić dokumentację techniczną: jak system działa, na jakich danych był trenowany (jeśli wiesz), jak są monitorowane wyniki, jak wygląda nadzór ludzki. Dla pozostałych systemów — podstawowa dokumentacja „co mamy i do czego służy” jest dobrą praktyką.
Przygotowanie do AI Act nie musi być rewolucją. Dla większości sklepów i firm usługowych to kilka konkretnych kroków, które jednocześnie wzmacniają zaufanie klientów i porządkują governance AI w organizacji. Jeśli potrzebujesz pomocy z oceną systemów AI w swojej firmie lub wdrożeniem wymaganych zmian — skontaktuj się z nami.
