AI Act dla firm 2026 - przewodnik compliance

Q: Czy potrzebuję certyfikatu AI Act?

Formalny certyfikat AI Act compliance nie istnieje. Art. 4 wymaga udokumentowanych kompetencji - plan szkoleniowy, materiały, lista obecności i zaświadczenie o ukończeniu szkolenia. Kluczowe jest doświadczenie prowadzącego i jakość dokumentacji.

Jeśli Twoi pracownicy używają ChatGPT do pisania maili, Gemini do analizy danych albo Copilota w Excelu - od lutego 2025 roku podlegasz przepisom AI Act. Nie ma znaczenia, czy masz 3 osoby w firmie czy 300.

Większość właścicieli małych firm w Polsce nie wie o tym obowiązku. A egzekwowanie kar zaczyna się już w sierpniu 2026. Ten artykuł wyjaśnia co musisz zrobić, ile masz czasu i jak się przygotować - bez prawniczego żargonu.

Ważne: Ten artykuł ma charakter informacyjny i nie stanowi porady prawnej. W kwestiach szczegółowych skonsultuj się z prawnikiem specjalizującym się w prawie nowych technologii.

Co to jest AI Act i dlaczego Cię dotyczy

AI Act (Rozporządzenie PE 2024/1689) to pierwsze na świecie kompleksowe prawo regulujące sztuczną inteligencję. Uchwalił je Parlament Europejski w marcu 2024 roku. Obowiązuje we wszystkich krajach UE - w tym w Polsce.

Przepis nie dotyczy wyłącznie firm, które tworzą systemy AI. Dotyczy każdego podmiotu, który z AI korzysta. Jeśli Twój pracownik używa narzędzia AI w pracy - nawet darmowego ChatGPT - Twoja firma jest „podmiotem wdrażającym" w rozumieniu AI Act.

To oznacza konkretne obowiązki. Najważniejszy z nich dla małych firm to art. 4 - obowiązek zapewnienia kompetencji AI wśród osób, które z tych narzędzi korzystają.

Art. 4 - obowiązek AI Literacy

Artykuł 4 AI Act mówi wprost: dostawcy i podmioty wdrażające systemy AI muszą zapewnić „wystarczający poziom znajomości zagadnień AI" (AI Literacy) u osób obsługujących te systemy lub z nich korzystających.

W praktyce oznacza to, że:

Musisz wiedzieć, jakie narzędzia AI są używane w Twojej firmie - nawet te, które pracownicy zainstalowali samodzielnie (Shadow AI).
Każda osoba korzystająca z AI powinna rozumieć podstawy działania tych narzędzi, ich ograniczenia i potencjalne ryzyka.
Powinieneś to udokumentować - nie wystarczy powiedzieć „no wiedzą". Potrzebujesz dowodów: szkolenia, materiałów, list obecności.

Kluczowe: AI Literacy nie oznacza, że każdy pracownik musi zostać ekspertem od AI. Chodzi o to, żeby osoby korzystające z AI w pracy rozumiały co robią, jakie są ograniczenia narzędzia i kiedy wynik wymaga weryfikacji przez człowieka.

Art. 4 nie wymaga akredytacji prowadzącego - wymaga udokumentowanych kompetencji zespołu i jakości szkolenia. Liczy się praktyczna wiedza, kompletna dokumentacja i realne przygotowanie pracowników do pracy z AI.

Co konkretnie musisz zrobić

Przygotowanie do wymogów art. 4 AI Act składa się z trzech kroków.

Krok 1: Audyt narzędzi AI w firmie

Zrób listę wszystkich narzędzi AI, z których korzysta Twoja firma. Nie tylko tych oficjalnych - sprawdź też co pracownicy zainstalowali sami. Typowe miejsca, gdzie „ukrywa się" AI:

ChatGPT, Claude, Gemini - do pisania maili, ofert, treści
Microsoft Copilot - wbudowany w Office 365
Canva AI, Adobe Firefly - do grafik
Grammarly, DeepL - do tłumaczeń i korekty
Narzędzia CRM z funkcjami AI (np. HubSpot, Salesforce Einstein)
Wtyczki przeglądarki z AI

Przy każdym narzędziu zapisz: kto go używa, do czego, jakie dane przetwarza. To będzie podstawa do określenia zakresu szkolenia. Audyt narzędzi to też dobry moment, żeby zaplanować automatyzację procesów AI -- które z tych narzędzi można połączyć w spójny workflow.

Krok 2: Szkolenie pracowników

Szkolenie powinno obejmować:

Podstawy działania AI - czym jest model językowy, dlaczego „halucynuje", co to prompt
Ograniczenia narzędzi - kiedy AI się myli, jakie dane można podawać, a jakich nie
Bezpieczeństwo danych - co się dzieje z danymi wpisanymi do ChatGPT, różnica między wersją darmową a płatną
Praktyczne zastosowania - jak efektywnie promptować, jak weryfikować wyniki, kiedy nie ufać AI
Kontekst prawny - podstawowe informacje o AI Act i obowiązkach firmy

Szkolenie nie musi trwać tygodnia. Dla większości małych firm wystarczy warsztat jednodniowy dopasowany do branży i narzędzi, które faktycznie używacie. Sprawdź też, czy kwalifikujesz się na dofinansowanie szkoleń AI z KFS lub BUR -- pokrywa do 80% kosztów.

Krok 3: Dokumentacja

Po szkoleniu powinieneś mieć:

Plan szkoleniowy - program dopasowany do ról w firmie (inne szkolenie dla sprzedawcy, inne dla księgowej)
Materiały szkoleniowe - prezentacja, ćwiczenia, checklisty
Lista obecności - kto uczestniczył, kiedy
Zaświadczenie o ukończeniu szkolenia - dla każdego uczestnika
Raport po szkoleniu - wnioski, rekomendacje, plan follow-up

Ta dokumentacja jest Twoim dowodem zgodności z art. 4. W razie kontroli pokazujesz konkretne pliki, nie obietnice.

Harmonogram wejścia w życie

AI Act nie wchodzi w życie jednego dnia. Poszczególne przepisy mają różne terminy:

2 lutego 2025

Art. 4 - AI Literacy. Obowiązek zapewnienia kompetencji AI. Formalnie obowiązuje od tego dnia.
2 sierpnia 2025

Zakazane praktyki AI. Zakaz systemów scoringu społecznego, manipulacji podprogowej, rozpoznawania emocji w pracy.
2 sierpnia 2026

Egzekwowanie kar. Organy nadzoru mogą nakładać kary finansowe za brak zgodności. To ten termin, na który musisz się przygotować.
2 sierpnia 2027

Systemy AI wysokiego ryzyka. Pełne wymogi dla systemów AI w rekrutacji, kredytach, opiece zdrowotnej.

Praktycznie: Masz czas do sierpnia 2026, żeby mieć dokumentację w porządku. To mniej niż 5 miesięcy od daty publikacji tego artykułu. Nie odkładaj na ostatnią chwilę - przygotowanie audytu, szkolenia i dokumentacji wymaga kilku tygodni.

Kary za brak zgodności

AI Act przewiduje trzy poziomy kar:

Zakazane praktyki AI: do 35 mln euro lub 7% rocznego obrotu
Systemy wysokiego ryzyka i art. 4 (AI Literacy): do 15 mln euro lub 3% rocznego obrotu
Podanie nieprawdziwych informacji organom nadzoru: do 7,5 mln euro lub 1% rocznego obrotu

Dla małej firmy te kwoty wydają się abstrakcyjne. Ale rozporządzenie mówi o „proporcjonalnych karach" - czyli organ nadzoru weźmie pod uwagę wielkość firmy, wagę naruszenia i czy podjąłeś jakiekolwiek działania naprawcze.

Najgorsza sytuacja to nie zrobić nic. Firma, która wykaże plan szkoleniowy, dokumentację i zaświadczenia - nawet jeśli nie jest idealna - jest w dużo lepszej pozycji niż firma, która nie wie o obowiązku.

ChatGPT a RODO - czy Twoja firma narusza prawo

Wpisując dane osobowe (nazwiska klientów, NIP, dane kadrowe, treść maili) do ChatGPT w wersji konsumenckiej naruszasz RODO. ChatGPT, Gemini i Claude w darmowych wersjach używają Twoich promptów do treningu modeli, co kwalifikuje się jako transfer danych poza EOG i przetwarzanie bez podstawy prawnej. Rozwiązanie: wersje "Team/Enterprise" wyłączają trening lub wybierz narzędzia z opcją "data privacy".

Najczęstszy błąd właściciela firmy: pracownik wkleja do ChatGPT mail od klienta z prośbą "napisz uprzejmiejszą odpowiedź". W mailu są imię, nazwisko, adres e-mail, czasem numer telefonu. To dane osobowe w rozumieniu RODO. ChatGPT (Free, Plus konsumencki) zapisuje je i może użyć do trenowania modelu. Narusza to art. 6 RODO (brak podstawy prawnej do przetwarzania) oraz art. 44-49 (transfer danych poza Europejski Obszar Gospodarczy bez gwarancji).

3 najczęstsze wycieki danych przez ChatGPT w polskich firmach

Listy klientów do analizy: "Pomóż mi pogrupować tych klientów" + arkusz z imionami, telefonami, adresami. Cały arkusz trafia do treningu modelu.
Treść maili biznesowych: "Napisz odpowiedź na ten mail" + wklejona wiadomość z danymi nadawcy. Imię, e-mail, podpis z firmą - wszystko idzie do OpenAI.
Dokumenty kadrowe: "Streść mi tę umowę o pracę". Imię, nazwisko, PESEL, adres pracownika - całość w prompcie, całość w treningu.

Skala problemu: badanie Cyberhaven z 2024 wykazało, że 11% danych wklejanych do ChatGPT przez pracowników to dane wrażliwe (klienci, finanse, kadrowe). W przeciętnej polskiej firmie 30-osobowej oznacza to kilka wycieków tygodniowo - całkowicie nieumyślnych.

Co zrobić, żeby używać ChatGPT zgodnie z RODO

Wybierz wersję biznesową: ChatGPT Team/Enterprise, Claude Team, Gemini Business. Te wersje mają domyślnie wyłączone trenowanie na Twoich danych oraz umowy powierzenia DPA. Koszt: od ok. 100 PLN/użytkownik/mies.
Stwórz politykę AI dla pracowników: jedna strona A4. Co wolno wpisywać (treść anonimowa, kod, koncepty). Czego nie (dane osobowe klientów, dokumenty kadrowe, dane finansowe, hasła). Pracownik podpisuje, że zapoznał się z polityką.
Przeprowadź szkolenie z bezpiecznego użycia AI: 90% wycieków to nie atak hakerski, tylko nieświadomość pracownika. Szkolenie + checklist + konkretne przykłady "tak/nie" = redukcja ryzyka o 80%.

Compliance z RODO i AI Act idą w parze. Art. 4 AI Act wymaga przeszkolenia pracowników z używania AI - to samo szkolenie pokrywa kwestie RODO. Zobacz nasze szkolenia AI dla małych firm - obejmują obie regulacje w jednym warsztacie.

Jak 30Elevate może pomóc

Łączymy praktyczną wiedzę o AI z potrzebami małych firm. Nasze szkolenia z AI obejmują zarówno umiejętności praktyczne, jak i przygotowanie dokumentacji pod art. 4 AI Act.

Co dostajesz po warsztacie:

Plan szkoleniowy dopasowany do Twojej branży i ról w firmie
Materiały szkoleniowe (prezentacja + checklisty)
Praktyczne ćwiczenia z narzędzi AI, których używacie
Lista obecności i zaświadczenia o ukończeniu szkolenia
Raport po szkoleniu z rekomendacjami

Jeden warsztat - i masz kompetencje zespołu podniesione i dokumentację uporządkowaną. Nie obiecujemy „certyfikatu AI Act compliance" (bo taki formalnie nie istnieje), ale dajemy Ci wszystko, czego wymaga art. 4.

Prowadzący posiada certyfikaty Google AI i doświadczenie we wdrażaniu systemów AI w firmach. Szkolenie prowadzone jest w języku zrozumiałym dla właściciela firmy - nie dla programisty.

Najczęstsze pytania

Czy AI Act dotyczy mojej małej firmy?

Tak. Jeśli Twoi pracownicy używają jakichkolwiek narzędzi AI - nawet ChatGPT do pisania maili - art. 4 AI Act nakłada na Ciebie obowiązek zapewnienia odpowiednich kompetencji. Nie ma znaczenia wielkość firmy ani branża.

Jakie kary grożą za brak AI Literacy?

Za naruszenie art. 4 AI Act grożą kary do 15 milionów euro lub 3% rocznego obrotu (wyższa kwota). Dla małej firmy proporcjonalnie mniej, ale nadal bardzo dotkliwe. Kary można nakładać od sierpnia 2026.

Czy potrzebuję certyfikatu AI Act?

Formalny „certyfikat AI Act compliance" nie istnieje. Art. 4 wymaga udokumentowanych kompetencji - plan szkoleniowy, materiały, lista obecności i zaświadczenie o ukończeniu szkolenia. Kluczowe jest doświadczenie prowadzącego i jakość dokumentacji.

Od kiedy egzekwują AI Act w Polsce?

Art. 4 (AI Literacy) obowiązuje formalnie od 2 lutego 2025. Egzekwowanie kar rozpocznie się od sierpnia 2026. To daje firmom czas na przygotowanie, ale warto zacząć jak najszybciej.

Co to jest obowiązek AI Literacy z art. 4?

Art. 4 AI Act wymaga, aby każda osoba obsługująca system AI w firmie posiadała wystarczający poziom kompetencji. Obejmuje to wiedzę o działaniu narzędzi AI, rozpoznawanie ograniczeń i ryzyk oraz umiejętność krytycznej oceny wyników. Obowiązek dotyczy zarówno pracowników, jak i właściciela.

Jak przeprowadzić audyt narzędzi AI w firmie?

Zrób listę wszystkich narzędzi AI używanych w firmie - od ChatGPT przez Canva AI po automatyzacje w CRM. Dla każdego zapisz: kto używa, do czego, jakie dane przetwarza i jaką kategorię ryzyka ma według AI Act. Większość narzędzi małych firm to kategoria minimalna lub ograniczona.

Jaką dokumentację AI musi prowadzić firma?

Art. 4 wymaga udokumentowania: listy narzędzi AI w firmie, planu szkoleniowego z zakresem i harmonogramem, materiałów szkoleniowych, listy obecności ze szkoleń oraz zaświadczeń o ukończeniu. Prosty folder z tymi elementami wystarczy na wypadek kontroli.

Przygotuj firmę na AI Act

Warsztat AI Literacy dla Twojego zespołu - praktyczne umiejętności i kompletna dokumentacja pod art. 4 AI Act. Sprawdź szczegóły szkolenia lub napisz do nas.

Umów szkolenie