AI Act 2026: co musi zrobić wydawca i startup przed 2 sierpnia?

AI Act w 2026 roku przestaje być tematem „na później”. Dla wielu firm, redakcji, wydawców internetowych, startupów technologicznych, agencji, marketplace’ów i dostawców narzędzi cyfrowych 2 sierpnia 2026 roku jest datą graniczną, od której unijne przepisy o sztucznej inteligencji zaczynają realnie wpływać na codzienną pracę z systemami AI. Nie chodzi już tylko o duże laboratoria tworzące modele językowe. AI Act obejmuje także firmy, które korzystają z gotowych narzędzi AI w rekrutacji, obsłudze klienta, personalizacji treści, moderacji komentarzy, analizie użytkowników, automatyzacji decyzji lub generowaniu materiałów publikowanych online.

Rozporządzenie weszło w życie 1 sierpnia 2024 roku, a Komisja Europejska wskazuje, że zasadniczo będzie w pełni stosowane od 2 sierpnia 2026 roku, z wyjątkami dotyczącymi m.in. zakazanych praktyk, obowiązku kompetencji AI oraz części systemów wysokiego ryzyka osadzonych w regulowanych produktach. Dla wydawcy najważniejsze pytanie brzmi: czy AI jest tylko narzędziem pomocniczym, czy wpływa na użytkownika, treść, decyzję, rekomendację albo proces biznesowy? Dla startupu pytanie jest jeszcze ostrzejsze: czy firma tylko używa AI, czy dostarcza system AI innym podmiotom i bierze odpowiedzialność za jego zgodność z prawem?

Ten poradnik pokazuje praktycznie, co trzeba zrobić przed 2 sierpnia 2026 roku, aby nie obudzić się z „AI governance” dopiero wtedy, gdy regulator, partner biznesowy, klient enterprise albo inwestor zapyta o dokumentację, klasyfikację ryzyka, logi, nadzór ludzki i zasady oznaczania treści syntetycznych.

AI Act 2026 – dlaczego 2 sierpnia jest tak ważną datą dla firm?

AI Act jest pierwszym kompleksowym rozporządzeniem Unii Europejskiej regulującym sztuczną inteligencję w modelu opartym na ryzyku. Oznacza to, że nie każda aplikacja AI podlega takim samym obowiązkom. Inaczej traktowany jest filtr antyspamowy, inaczej chatbot obsługi klienta, inaczej generator obrazów, inaczej system oceniający kandydatów do pracy, a jeszcze inaczej narzędzie wykorzystywane w medycynie, edukacji, kredytach, biometrii albo infrastrukturze krytycznej. Komisja Europejska wskazuje, że systemy wysokiego ryzyka obejmują m.in. narzędzia AI stosowane w zatrudnieniu, dostępie do podstawowych usług prywatnych i publicznych, identyfikacji biometrycznej, egzekwowaniu prawa, migracji, wymiarze sprawiedliwości i procesach demokratycznych.

AI Act zaczyna działać etapami. Zakazane praktyki i obowiązek kompetencji AI zaczęły obowiązywać wcześniej, od 2 lutego 2025 roku, natomiast zasady dotyczące modeli ogólnego przeznaczenia zaczęły obowiązywać od 2 sierpnia 2025 roku. Największy praktyczny ciężar dla wielu firm pojawia się jednak 2 sierpnia 2026 roku, kiedy wchodzą w życie m.in. obowiązki przejrzystości oraz istotna część obowiązków dotyczących systemów wysokiego ryzyka. Komisja Europejska podaje, że przepisy o przejrzystości AI zaczną obowiązywać w sierpniu 2026 roku, a reguły dla systemów wysokiego ryzyka w sierpniu 2026 i sierpniu 2027 roku, zależnie od kategorii systemu.

Dla biznesu to oznacza jedną rzecz: nie wystarczy kupić licencji na narzędzie AI i uznać, że cała odpowiedzialność leży po stronie dostawcy. Wydawca, redakcja, portal, agencja lub firma korzystająca z systemu AI może być w rozumieniu przepisów podmiotem stosującym, czyli „deployerem”. Startup tworzący własne rozwiązanie AI może być natomiast dostawcą, czyli „providerem”. Te role nie są kosmetyczne. Od nich zależy zakres dokumentacji, obowiązek informowania użytkowników, nadzór nad działaniem systemu, obowiązki wobec pracowników, przechowywanie logów, ocena zgodności, oznakowanie CE, rejestracja systemu i odpowiedzialność za błędy.

Największy błąd firm przed 2 sierpnia 2026 roku polega na traktowaniu AI Act jak problemu działu prawnego. To nie jest tylko regulamin, polityka prywatności i checkbox. To projekt operacyjny, który dotyczy produktu, redakcji, marketingu, HR, sprzedaży, obsługi klienta, IT, cyberbezpieczeństwa, danych, compliance i zarządu. Jeśli firma wykorzystuje AI w procesach mających wpływ na człowieka, decyzję, treść publiczną lub ocenę użytkownika, powinna mieć nie tylko świadomość prawną, ale też praktyczną mapę systemów AI.

AI Act a role w firmie: wydawca jako podmiot stosujący, startup jako dostawca

AI Act rozróżnia role podmiotów w łańcuchu wartości AI. Dla uproszczenia: dostawca to podmiot, który opracowuje system AI albo zleca jego opracowanie i wprowadza go na rynek lub oddaje do użytku pod własną nazwą. Podmiot stosujący to firma, organizacja lub instytucja, która używa systemu AI pod własną kontrolą w działalności zawodowej. W praktyce wydawca internetowy najczęściej będzie podmiotem stosującym, ale nie zawsze. Startup najczęściej będzie dostawcą, ale również nie zawsze.

AI Act jest szczególnie ważny dla wydawców, bo media, portale i serwisy internetowe coraz częściej wykorzystują AI w miejscach, które są widoczne dla użytkownika albo wpływają na to, co użytkownik widzi. Może to być chatbot odpowiadający na pytania czytelników, system personalizacji artykułów, generator streszczeń, automatyczna moderacja komentarzy, narzędzie do tworzenia grafik, system rekomendacji treści, automatyczne tłumaczenia, scoring użytkowników, analiza zachowań czy wsparcie procesów rekrutacyjnych w redakcji. Część takich zastosowań będzie niskiego ryzyka, ale część uruchomi obowiązki przejrzystości, a niektóre — szczególnie w HR — mogą wejść w kategorię wysokiego ryzyka.

AI Act dla startupu oznacza jeszcze większą odpowiedzialność, jeśli startup tworzy, rozwija, trenuje, integruje lub sprzedaje system AI innym firmom. Jeżeli rozwiązanie startupu służy np. do oceny kandydatów, automatycznej klasyfikacji uczniów, oceny zdolności kredytowej, biometrii, podejmowania decyzji w sektorze zdrowia, ubezpieczeń, administracji albo innych wrażliwych obszarach, może zostać uznane za system wysokiego ryzyka. Komisja Europejska wskazuje, że systemy wysokiego ryzyka podlegają surowym obowiązkom przed wprowadzeniem na rynek, w tym ocenie i ograniczaniu ryzyka, wymogom jakości danych, logowaniu, dokumentacji, informacjom dla podmiotu stosującego, nadzorowi ludzkiemu, odporności, cyberbezpieczeństwu i dokładności.

Najbardziej praktyczna zasada brzmi: firma nie powinna zaczynać od pytania „czy używamy ChatGPT?”, tylko od pytania „gdzie AI wpływa na człowieka, treść, decyzję, ranking, rekomendację, ocenę, dostęp do usługi lub wynik procesu?” Dopiero wtedy da się ustalić, czy mamy zwykłe narzędzie pomocnicze, system wymagający przejrzystości, system wysokiego ryzyka, czy produkt, dla którego startup jako dostawca musi przygotować pełną ścieżkę zgodności.

AI Act – pierwszy krok przed 2 sierpnia: inwentaryzacja wszystkich systemów AI

AI Act w praktyce zaczyna się od katalogu systemów AI. Bez niego firma nie wie, co ma klasyfikować, jakie ryzyka oceniać, kogo informować i jakie obowiązki wdrożyć. Wydawca powinien spisać nie tylko narzędzia widoczne na stronie, ale też systemy używane wewnętrznie: redakcyjne, marketingowe, reklamowe, analityczne, HR-owe, sprzedażowe i obsługowe. Startup powinien zrobić jeszcze dokładniejszą mapę: produkt, modele, komponenty zewnętrzne, dane treningowe, integracje, API, dashboardy, funkcje automatyzacji, dokumentację dla klientów i środowiska wdrożeniowe.

AI Act wymaga myślenia procesowego, dlatego inwentaryzacja nie może ograniczać się do listy aplikacji. Sama nazwa narzędzia niewiele mówi. Ważne jest, do czego system jest używany, kto go kontroluje, jakie dane przetwarza, jaki wynik generuje, czy wynik trafia do człowieka, czy ma wpływ na decyzję, czy jest publikowany, czy użytkownik wie o użyciu AI i czy człowiek może ten wynik zweryfikować. Ten sam model językowy użyty do poprawy literówek w artykule będzie miał inny profil ryzyka niż ten sam model użyty do automatycznej selekcji kandydatów do pracy.

Wydawca powinien w katalogu uwzględnić co najmniej: generowanie tekstów, streszczeń i nagłówków, tworzenie grafik, automatyczne tłumaczenia, moderację komentarzy, systemy rekomendacji, personalizację newslettera, chatboty, scoring leadów, segmentację użytkowników, automatyczne odpowiedzi w social media, narzędzia reklamowe oparte na AI oraz systemy używane w rekrutacji. Startup powinien dopisać: model bazowy, dostawców zewnętrznych, źródła danych, funkcje uczenia lub dostrajania, parametry kontroli jakości, logowanie, audytowalność, wersjonowanie modelu, instrukcje dla klienta, możliwość eksportu logów i procedurę reagowania na incydenty.

Praktyczny minimalny katalog systemów AI powinien zawierać:

• nazwę systemu i dostawcę,
• właściciela biznesowego w firmie,
• cel użycia,
• kategorię użytkowników lub osób, których dotyczy system,
• rodzaj danych wejściowych i wyjściowych,
• informację, czy wynik jest publikowany lub wpływa na decyzję,
• ocenę, czy system może podlegać obowiązkom przejrzystości,
• ocenę, czy system może być wysokiego ryzyka,
• informację, czy system działa zgodnie z instrukcją dostawcy,
• sposób nadzoru człowieka,
• sposób przechowywania logów,
• datę ostatniej weryfikacji.

To może brzmieć administracyjnie, ale w praktyce jest fundamentem bezpieczeństwa. Bez katalogu AI firma działa na ślepo. A przy AI Act „nie wiedzieliśmy, że ten system był używany w HR” będzie bardzo słabą linią obrony.

AI Act i klasyfikacja ryzyka: co jest niskim ryzykiem, a co może być wysokiego ryzyka?

AI Act opiera się na modelu ryzyka. Większość zwykłych narzędzi AI używanych w firmach nie będzie systemami wysokiego ryzyka, ale część z nich może uruchamiać obowiązki informacyjne. Komisja Europejska wskazuje, że przy minimalnym lub żadnym ryzyku rozporządzenie nie wprowadza nowych reguł dla większości systemów AI, takich jak gry wykorzystujące AI czy filtry antyspamowe. Nie oznacza to jednak, że każda automatyzacja w wydawnictwie lub startupie jest bezpieczna regulacyjnie.

AI Act powinien być analizowany przez pryzmat konkretnego zastosowania. Wydawca używający AI do korekty tekstu prawdopodobnie będzie w zupełnie innej sytuacji niż wydawca używający AI do personalizowania informacji politycznych, automatycznego profilowania użytkowników lub podejmowania decyzji o zatrudnieniu. Startup oferujący prosty generator opisów produktów będzie w innej pozycji niż startup tworzący system do oceny zdolności kredytowej, selekcji kandydatów, diagnostyki medycznej lub identyfikacji biometrycznej. Liczy się nie sama etykieta „AI”, ale konsekwencja użycia systemu.

Największą uwagę trzeba poświęcić obszarom, które mogą wejść do kategorii wysokiego ryzyka. W praktyce dla wydawców i startupów szczególnie ważne będą: HR i rekrutacja, ocena pracowników, scoring użytkowników, dostęp do usług, edukacja, kredyty, ubezpieczenia, zdrowie, biometria, bezpieczeństwo, moderacja wpływająca na prawa użytkownika oraz systemy wykorzystywane w procesach demokratycznych lub informacyjnych. Komisja Europejska wymienia m.in. oprogramowanie do sortowania CV w rekrutacji, scoring kredytowy, systemy biometryczne oraz AI w wymiarze sprawiedliwości jako przykłady obszarów wysokiego ryzyka.

Dla wydawcy praktyczny scenariusz jest prosty: jeśli AI pomaga redaktorowi znaleźć literówkę, ryzyko jest niewielkie. Jeśli AI automatycznie generuje tekst publikowany jako informacyjny, trzeba myśleć o oznaczeniu i procedurach redakcyjnych. Jeśli AI decyduje, który kandydat do pracy przechodzi dalej, wchodzimy w zupełnie inną kategorię odpowiedzialności. Jeśli chatbot udaje człowieka albo użytkownik nie wie, że rozmawia z maszyną, pojawia się obowiązek przejrzystości. Jeśli grafika, wideo lub audio są syntetyczne i mogą wprowadzać odbiorcę w błąd, trzeba wprowadzić jasne oznaczenia.

AI Act dla wydawcy: co musi zrobić redakcja, portal lub serwis internetowy?

AI Act dla wydawcy to przede wszystkim trzy obszary: przejrzystość wobec użytkownika, kontrola redakcyjna nad treściami generowanymi przez AI oraz bezpieczne korzystanie z systemów, które mogą wpływać na ludzi. Wydawca nie musi od razu budować działu compliance jak bank, ale powinien wiedzieć, gdzie AI pojawia się w procesie tworzenia, selekcji, publikacji i dystrybucji treści.

AI Act w art. 50 wprowadza obowiązki przejrzystości dla określonych systemów AI. Zgodnie z tym podejściem użytkownik powinien być informowany, że wchodzi w interakcję z systemem AI, chyba że jest to oczywiste z okoliczności. Systemy generujące syntetyczne treści audio, obraz, wideo lub tekst powinny zapewniać oznaczenie wyników w formacie możliwym do odczytu maszynowego i wykrywalnym jako sztucznie wygenerowane lub zmanipulowane, w zakresie technicznie możliwym. Dla portalu internetowego oznacza to konieczność opracowania jasnej polityki: kiedy treści AI są tylko wsparciem redakcji, a kiedy wymagają oznaczenia dla odbiorcy.

Wydawca powinien przed 2 sierpnia 2026 roku zrobić audyt redakcyjnego użycia AI. Trzeba odpowiedzieć na pytania: czy AI pisze całe artykuły, czy tylko pomaga w researchu? Czy AI tworzy leady, tytuły, meta opisy, grafiki, streszczenia, tłumaczenia, transkrypcje lub podcasty? Czy użytkownik widzi treść, która została wygenerowana lub istotnie zmieniona przez AI? Czy redaktor sprawdza fakty? Czy w CMS jest informacja o udziale AI? Czy treści syntetyczne są oznaczane? Czy istnieje polityka deepfake’ów, grafik ilustracyjnych i materiałów sponsorowanych tworzonych z pomocą AI?

Najbardziej praktyczne wdrożenie dla wydawcy to wewnętrzna polityka AI w redakcji. Powinna określać, że AI może wspierać research, korektę, strukturę tekstu, analizę dokumentów i propozycje nagłówków, ale publikacja materiału informacyjnego wymaga odpowiedzialności człowieka. Warto też wprowadzić oznaczenia dla treści syntetycznych: np. „grafika wygenerowana przy użyciu AI”, „materiał zawiera elementy wygenerowane przez AI”, „streszczenie przygotowane automatycznie i zweryfikowane przez redakcję”. Nie każde użycie AI musi być eksponowane jak alarm przeciwpożarowy, ale brak przejrzystości przy treściach, które mogą wpływać na odbiorcę, jest coraz większym ryzykiem prawnym i reputacyjnym.

Wydawca powinien też przejrzeć narzędzia zewnętrzne: system rekomendacji treści, chatbot, automatyczną moderację, narzędzia reklamowe, system mailingowy, CRM, system HR i analitykę. Jeśli któryś z tych systemów podejmuje decyzje lub działa na użytkowniku w sposób trudny do zauważenia, trzeba sprawdzić instrukcję dostawcy, ustawienia, logi, możliwość wyłączenia automatyzacji, sposób informowania użytkownika i procedurę reagowania na skargi.

AI Act dla startupu: obowiązki dostawcy systemu AI przed 2 sierpnia 2026 roku

AI Act dla startupu jest szczególnie wymagający, jeśli firma tworzy system AI wysokiego ryzyka albo oferuje rozwiązanie, które może zostać użyte w obszarze regulowanym. Dostawca systemu wysokiego ryzyka musi zapewnić zgodność systemu z wymaganiami, wdrożyć system zarządzania jakością, przechowywać dokumentację, prowadzić logi, przeprowadzić ocenę zgodności, zarejestrować system, oznaczyć go znakiem CE i współpracować z organami nadzoru. Obowiązki dostawców systemów wysokiego ryzyka zostały ujęte m.in. w art. 16 AI Act.

AI Act wymaga od startupu myślenia jak od dojrzałego producenta technologii, nawet jeśli firma ma mały zespół i działa szybko. To trudne, bo kultura startupowa opiera się na iteracji, eksperymentach, MVP i szybkim wejściu na rynek. Tymczasem w systemach wysokiego ryzyka nie wystarczy powiedzieć, że „model działa dobrze w testach”. Trzeba pokazać, jak działa, na jakich danych, z jakimi ograniczeniami, jak jest monitorowany, jakie ma zabezpieczenia, jak można wykryć błąd, kto odpowiada za nadzór i co dzieje się po incydencie.

Startup powinien przed 2 sierpnia 2026 roku przygotować co najmniej pięć warstw zgodności. Pierwsza to klasyfikacja: czy produkt jest systemem AI i czy może być wysokiego ryzyka. Druga to dokumentacja techniczna: opis architektury, danych, funkcji, ograniczeń, metryk, testów i wersji. Trzecia to zarządzanie jakością i ryzykiem: proces wykrywania błędów, biasu, driftu modelu, incydentów, cyberzagrożeń i problemów z danymi. Czwarta to dokumentacja dla klienta: instrukcje użycia, ograniczenia, wymagany nadzór człowieka, sposób konfiguracji, logi i obowiązki podmiotu stosującego. Piąta to formalna zgodność: ocena zgodności, deklaracja zgodności UE, oznakowanie CE i ewentualna rejestracja w bazie danych UE.

Największe ryzyko dla startupu polega na sprzedaży rozwiązania jako „uniwersalnego AI do wszystkiego”. Im mniej precyzyjnie opisany cel systemu, tym trudniej kontrolować ryzyko. AI Act premiuje jasne przeznaczenie systemu, dobrze opisane ograniczenia i przewidywalny sposób użycia. Jeśli startup wie, że jego narzędzie może być używane w HR, edukacji, finansach lub zdrowiu, powinien bardzo ostrożnie opisać zakres zastosowania i nie zostawiać klienta z komunikatem „używajcie jak chcecie”. Taka swoboda może wrócić jak bumerang przy audycie, sporze z klientem albo kontroli regulatora.

AI Act i przejrzystość: chatboty, deepfake’i, grafiki, wideo i treści syntetyczne

AI Act mocno akcentuje przejrzystość, bo wiele systemów AI nie musi od razu być wysokiego ryzyka, aby wpływać na zaufanie użytkownika. Artykuł 50 obejmuje m.in. systemy przeznaczone do bezpośredniej interakcji z ludźmi, systemy generujące syntetyczne treści oraz określone przypadki publikowania treści sztucznie wygenerowanych lub zmanipulowanych. Przepisy dotyczące art. 50 mają wejść w życie 2 sierpnia 2026 roku.

AI Act w praktyce dotknie więc chatbotów, voicebotów, wirtualnych asystentów, automatycznych konsultantów, generatorów obrazów, narzędzi tworzących wideo, syntetycznych lektorów, deepfake’ów i tekstów generowanych na potrzeby informacji publicznej. Dla wydawcy szczególnie ważne są trzy sytuacje. Pierwsza: użytkownik rozmawia z chatbotem i powinien wiedzieć, że nie rozmawia z człowiekiem. Druga: publikowany materiał zawiera obraz, dźwięk lub wideo wygenerowane albo istotnie zmanipulowane przez AI. Trzecia: tekst wygenerowany przez AI jest publikowany w celu informowania opinii publicznej o sprawach publicznych.

Nie oznacza to, że każdy szkic roboczy przygotowany z pomocą AI musi być oznaczony wielkim czerwonym banerem. Trzeba jednak odróżnić wewnętrzną pomoc redakcyjną od publicznego efektu działania AI. Jeśli AI pomaga redaktorowi uporządkować notatki, a człowiek pisze, sprawdza i podpisuje materiał, ryzyko jest mniejsze. Jeśli system automatycznie publikuje streszczenia, generuje grafiki stylizowane na realne zdjęcia, tworzy syntetyczne wypowiedzi albo odpowiada użytkownikowi jako „redakcja”, potrzebne są jasne komunikaty.

Dobre oznaczenie nie powinno być napisane prawniczym szyfrem. Użytkownik ma zrozumieć, z czym ma kontakt. Przykłady praktycznych komunikatów:

„Rozmawiasz z asystentem AI. Odpowiedzi mogą wymagać weryfikacji przez redakcję.”

„Grafika ilustracyjna została wygenerowana przy użyciu narzędzi AI.”

„Ten materiał zawiera syntetyczne elementy obrazu stworzone na potrzeby ilustracyjne.”

„Automatyczne streszczenie artykułu zostało przygotowane z użyciem AI i zweryfikowane przez redakcję.”

Dla startupu obowiązek przejrzystości oznacza konieczność zaprojektowania funkcji zgodności już w produkcie. Jeśli narzędzie generuje obrazy, wideo, audio lub tekst, warto przewidzieć metadane, watermarking, oznaczenia, eksport informacji o wygenerowaniu treści, panel konfiguracji i dokumentację dla klienta. Compliance nie powinien być naklejką dodaną dzień przed wdrożeniem. Powinien być funkcją produktu.

AI Act i systemy wysokiego ryzyka: dokumentacja, logi, nadzór ludzki i dane

AI Act dla systemów wysokiego ryzyka oznacza najwyższy poziom obowiązków. Komisja Europejska wskazuje, że takie systemy muszą spełniać wymogi dotyczące oceny i ograniczania ryzyka, jakości danych, logowania aktywności, dokumentacji, informacji dla podmiotu stosującego, nadzoru człowieka, odporności, cyberbezpieczeństwa i dokładności. To są wymagania, które trzeba przełożyć na konkretne procesy, a nie tylko wpisać do polityki.

AI Act wymusza dokumentowanie tego, co w wielu firmach do tej pory było nieformalne. Jeśli startup tworzy system wysokiego ryzyka, musi mieć dokumentację techniczną. Jeśli wydawca lub inna firma używa systemu wysokiego ryzyka, musi korzystać z niego zgodnie z instrukcją, zapewnić nadzór człowieka, monitorować działanie, reagować na ryzyka, informować o poważnych incydentach i przechowywać logi, jeśli są pod jego kontrolą. Art. 26 wskazuje m.in., że podmioty stosujące systemy wysokiego ryzyka mają używać ich zgodnie z instrukcją, wyznaczać osoby do nadzoru posiadające kompetencje, szkolenie i uprawnienia, monitorować działanie systemu oraz przechowywać logi przez okres odpowiedni do celu, co najmniej sześć miesięcy, jeśli logi są pod ich kontrolą.

Dla wydawcy najbardziej prawdopodobnym obszarem wysokiego ryzyka będzie HR, czyli rekrutacja i zarządzanie pracownikami. Jeśli redakcja lub grupa medialna korzysta z narzędzia AI do selekcji CV, oceny kandydatów, rankingowania aplikacji albo analizy pracowników, nie można traktować tego jak zwykłego „ułatwienia pracy”. Przed użyciem takiego systemu trzeba sprawdzić, czy jest zarejestrowany, jakie ma instrukcje, jakie daje logi, jak działa nadzór człowieka, czy pracownicy lub kandydaci są informowani, kto odpowiada za decyzję i czy człowiek może ją realnie zmienić.

Dla startupu system wysokiego ryzyka to konieczność zbudowania całej dokumentacyjnej infrastruktury. Minimalny zestaw powinien obejmować: opis przeznaczenia systemu, architekturę, dane wejściowe, dane treningowe i walidacyjne, ograniczenia, metryki skuteczności, testy biasu, testy odporności, cyberbezpieczeństwo, instrukcję dla użytkownika, procedurę aktualizacji, post-market monitoring, procedurę incydentową i historię wersji. Brzmi ciężko, ale dla startupu sprzedającego AI do enterprise może to być przewaga konkurencyjna. Klient biznesowy coraz częściej nie kupi narzędzia AI, którego nie da się audytować.

AI Act i AI literacy: szkolenie pracowników to nie prezentacja na 20 minut

AI Act wprowadził obowiązek kompetencji w zakresie AI, często określany jako AI literacy. Komisja Europejska wskazuje, że zakazane praktyki oraz obowiązki dotyczące kompetencji AI zaczęły mieć zastosowanie od 2 lutego 2025 roku. To oznacza, że do 2 sierpnia 2026 roku firma nie powinna dopiero planować pierwszego szkolenia, ale mieć już sensowny standard korzystania z AI.

AI Act w tym obszarze jest bardzo praktyczny: ludzie, którzy korzystają z systemów AI, powinni rozumieć ich możliwości, ograniczenia i ryzyka. Wydawca powinien przeszkolić redaktorów, wydawców, social media managerów, handlowców, moderatorów, specjalistów SEO, dział reklamy i osoby rekrutujące. Startup powinien przeszkolić product managerów, developerów, data scientistów, sprzedaż, customer success, support, marketing i zarząd. Szkolenie nie może sprowadzać się do „AI jest super, ale sprawdzajcie fakty”. To za mało.

Dobre szkolenie AI literacy powinno obejmować: czym jest system AI w rozumieniu organizacji, jakie narzędzia są dopuszczone, czego nie wolno wpisywać do promptów, jak traktować dane osobowe, tajemnice przedsiębiorstwa i dane klientów, jak oznaczać treści syntetyczne, kiedy potrzebna jest weryfikacja człowieka, jak zgłaszać błędy, jak dokumentować użycie AI w procesach wrażliwych i gdzie kończy się pomoc narzędzia, a zaczyna odpowiedzialność człowieka.

Dla redakcji szczególnie ważne są halucynacje, fałszywe cytaty, nieistniejące źródła, nieaktualne dane, naruszenia praw autorskich i generowanie treści brzmiących wiarygodnie, ale nieprawdziwych. Dla startupu ważne są ograniczenia modelu, drift, błędy klasyfikacji, bias, bezpieczeństwo promptów, prompt injection, nadużycia klientów i sposób komunikowania ograniczeń produktu. AI literacy nie jest miękkim dodatkiem. To warunek tego, żeby firma w ogóle potrafiła korzystać z AI bez produkowania ryzyka.

Czytaj również: AI literacy obowiązek – czy firmy muszą szkolić pracowników z AI?

AI Act w praktyce: plan działania dla wydawcy przed 2 sierpnia 2026 roku

AI Act dla wydawcy najlepiej wdrożyć jako projekt redakcyjno-technologiczny. Nie trzeba od razu tworzyć korporacyjnego molocha, ale trzeba zbudować minimum kontroli. Pierwszy krok to spisanie wszystkich miejsc, w których redakcja, portal lub grupa medialna korzysta z AI. Drugi krok to przypisanie właściciela: kto odpowiada za chatbot, kto za narzędzia redakcyjne, kto za grafiki, kto za rekomendacje, kto za HR, kto za reklamy i kto za analitykę.

AI Act powinien przełożyć się na konkretne zasady publikacyjne. Wydawca powinien ustalić, czy AI może tworzyć teksty newsowe, czy tylko wspierać redaktora; czy można publikować grafiki AI jako ilustracje; jak oznaczać syntetyczne zdjęcia; czy AI może generować wypowiedzi osób publicznych w formie symulacji; czy automatyczne streszczenia muszą być weryfikowane; czy chatbot może udzielać porad; czy AI może odpowiadać w imieniu redakcji; czy AI może moderować komentarze bez odwołania do człowieka.

Przed 2 sierpnia 2026 roku wydawca powinien mieć gotowe co najmniej:

• katalog narzędzi AI używanych w redakcji i biznesie,
• politykę użycia AI w redakcji,
• zasady oznaczania treści generowanych lub istotnie zmienionych przez AI,
• komunikat dla chatbotów i automatycznych asystentów,
• procedurę weryfikacji treści wygenerowanych z pomocą AI,
• zakaz wpisywania do narzędzi AI danych wrażliwych, poufnych i niepotrzebnych,
• procedurę korzystania z AI w HR,
• listę dostawców AI i ich dokumentacji,
• proces zgłaszania błędów i incydentów,
• szkolenie AI literacy dla redakcji i zespołu biznesowego.

Największą wartość ma prosta zasada redakcyjna: człowiek odpowiada za publikację, nawet jeśli AI pomagała ją przygotować. To powinno być wpisane w proces, a nie tylko powiedziane na spotkaniu. W CMS można dodać pole „udział AI”, wewnętrzną etykietę dla grafik syntetycznych, checklistę przed publikacją materiału AI oraz osobną procedurę dla treści sponsorowanych. W praktyce takie rozwiązania są tańsze i szybsze niż gaszenie kryzysu po publikacji fałszywej informacji wygenerowanej przez model.

AI Act w praktyce: plan działania dla startupu przed 2 sierpnia 2026 roku

AI Act dla startupu powinien stać się częścią roadmapy produktu. Jeśli startup buduje narzędzie AI, musi umieć odpowiedzieć na pytanie klienta: „jakie obowiązki mamy jako podmiot stosujący i jak wasz produkt pomaga nam je spełnić?”. To pytanie będzie coraz częstsze, zwłaszcza w sprzedaży B2B, sektorze publicznym, finansach, HR, edukacji, zdrowiu, mediach i dużych organizacjach.

AI Act oznacza, że startup powinien przygotować „compliance layer”, czyli warstwę zgodności produktu. Nie chodzi tylko o dokument PDF. Chodzi o funkcje i procesy: logi, eksport danych, role użytkowników, wyjaśnialność, historia decyzji, ograniczenia zastosowania, komunikaty przejrzystości, panel ustawień, tryb nadzoru człowieka, zabezpieczenia przed nadużyciem, monitoring jakości i procedurę incydentową. Jeśli produkt ma działać w obszarze wysokiego ryzyka, ta warstwa jest krytyczna.

Startup przed 2 sierpnia 2026 roku powinien wykonać następujące działania:

1. Ustalić, czy produkt jest systemem AI w rozumieniu rozporządzenia.
2. Opisać zamierzone zastosowanie produktu.
3. Sprawdzić, czy produkt może być systemem wysokiego ryzyka.
4. Zidentyfikować role: dostawca, podmiot stosujący, integrator, dystrybutor.
5. Przygotować dokumentację techniczną.
6. Wdrożyć system zarządzania ryzykiem i jakością.
7. Udokumentować dane, testy, ograniczenia i metryki działania.
8. Przygotować instrukcję dla klientów.
9. Zaprojektować funkcje logowania, monitoringu i nadzoru człowieka.
10. Ustalić zasady oznaczania treści syntetycznych.
11. Przygotować proces oceny zgodności, jeśli produkt jest wysokiego ryzyka.
12. Przejrzeć umowy, regulaminy i materiały sprzedażowe pod kątem rzeczywistego zakresu odpowiedzialności.

Startup powinien też bardzo uważać na marketing. Deklaracje typu „nasza AI podejmuje decyzje automatycznie”, „zastępuje rekrutera”, „samodzielnie diagnozuje”, „bezbłędnie ocenia ryzyko” mogą wyglądać efektownie w pitch decku, ale z perspektywy regulacyjnej są zaproszeniem do kłopotów. Lepiej mówić precyzyjnie: system wspiera decyzję, wymaga nadzoru człowieka, ma określone ograniczenia, działa w opisanym celu i zapewnia dokumentację potrzebną klientowi.

AI Act a umowy z dostawcami: czego wydawca i startup muszą wymagać od partnerów?

AI Act nie działa w próżni. Wiele firm będzie korzystać z rozwiązań zewnętrznych: modeli językowych, generatorów obrazów, systemów reklamowych, CRM, narzędzi HR, chatbotów, voicebotów, automatycznej moderacji i narzędzi analitycznych. Dlatego jednym z najważniejszych zadań przed 2 sierpnia 2026 roku jest przegląd dostawców i umów.

AI Act powinien zmienić sposób kupowania narzędzi AI. Wydawca nie powinien pytać tylko o cenę, funkcje i integrację z WordPressem, CMS-em, CRM-em czy systemem mailingowym. Powinien pytać także o dokumentację, klasyfikację ryzyka, instrukcję użycia, logi, lokalizację danych, zabezpieczenia, możliwość audytu, oznaczanie treści syntetycznych, tryb nadzoru człowieka, procedury incydentowe i zgodność z wymogami AI Act. Startup z kolei powinien przygotować takie odpowiedzi dla swoich klientów, zanim klient enterprise sam je wymusi.

W umowie lub dokumentacji zakupowej warto uwzględnić: cel użycia systemu, ograniczenia zastosowania, role stron, odpowiedzialność za konfigurację, obowiązki informacyjne, dostęp do logów, wsparcie przy incydentach, aktualizacje modelu, informowanie o istotnych zmianach, zasady podpowierzania danych, prawa do treści wygenerowanych przez AI, mechanizmy oznaczania treści i możliwość zakończenia korzystania z systemu, jeśli dostawca nie spełnia wymogów zgodności.

Dla wydawcy szczególnie ważne jest, aby nie korzystać z narzędzi AI w newralgicznych procesach bez dokumentacji. Jeśli system rekomenduje kandydatów, moderuje komentarze, personalizuje treści informacyjne albo generuje materiały publiczne, firma powinna mieć jasność, jak działa system i jakie są jego ograniczenia. Dla startupu ważne jest natomiast, aby klient nie używał produktu w sposób wykraczający poza przeznaczenie. Dobra instrukcja użycia i dobrze napisany zakres zastosowania mogą ograniczyć ryzyko po obu stronach.

AI Act i kary: dlaczego nie warto odkładać zgodności na ostatni moment?

AI Act przewiduje wysokie kary finansowe, ale największym ryzykiem dla wielu firm nie będzie sama kara. Będzie nim utrata zaufania, problemy z klientami, blokada sprzedaży do dużych organizacji, negatywny audyt inwestorski, konflikt z partnerem biznesowym albo konieczność przebudowy produktu pod presją czasu. Art. 99 przewiduje, że naruszenia zakazanych praktyk AI mogą skutkować administracyjnymi karami do 35 mln euro lub 7% całkowitego rocznego światowego obrotu przedsiębiorstwa, a inne naruszenia obowiązków operatorów mogą oznaczać kary do 15 mln euro lub 3% obrotu.

AI Act uwzględnia interesy MŚP i startupów, a kary mają być skuteczne, proporcjonalne i odstraszające. To ważne, ale nie oznacza bezkarności dla mniejszych firm. Startup nie powinien zakładać, że „jesteśmy mali, więc nas to nie dotyczy”. W praktyce mniejsza firma może szybciej ucierpieć przez utratę klienta, konieczność wstrzymania produktu lub brak dokumentacji wymaganej w procesie zakupowym.

Dla wydawcy ryzyko jest także reputacyjne. Nieoznaczone treści syntetyczne, chatbot udający człowieka, fałszywe grafiki, automatyczne publikacje bez weryfikacji albo AI wykorzystywana w rekrutacji bez nadzoru mogą uderzyć w wiarygodność marki. Media i portale żyją z zaufania. Jeśli odbiorca odkryje, że został wprowadzony w błąd przez treść wygenerowaną lub zmanipulowaną przez AI, problem nie kończy się na regulaminie. Zaczyna się kryzys zaufania.

Najgorsza strategia to czekanie do lipca 2026 roku. Wdrożenie AI Act wymaga mapowania procesów, rozmów z dostawcami, szkoleń, zmian w produkcie, procedur oznaczania treści, konfiguracji logów i czasem przebudowy umów. To nie jest zadanie na jeden piątek. Firmy, które zaczną wcześniej, potraktują zgodność nie jako koszt, ale jako element jakości i przewagi konkurencyjnej.

AI Act – checklista przed 2 sierpnia 2026 dla wydawcy i startupu

AI Act można sprowadzić do praktycznej checklisty, ale pod warunkiem, że nie będzie ona traktowana jak formalność. Każdy punkt powinien mieć właściciela, termin i dowód wykonania. Dla wydawcy dowodem może być polityka redakcyjna, screen oznaczenia treści AI, rejestr narzędzi, potwierdzenie szkolenia, instrukcja dla moderatorów albo procedura publikacji grafik syntetycznych. Dla startupu dowodem będzie dokumentacja techniczna, analiza ryzyka, instrukcja dla klientów, logi, testy, rejestr wersji, deklaracja zgodności albo plan monitoringu.

AI Act przed 2 sierpnia 2026 roku wymaga od wydawcy przede wszystkim uporządkowania użycia AI. Trzeba wiedzieć, gdzie AI pomaga, gdzie publikuje, gdzie rozmawia z użytkownikiem, gdzie przetwarza dane, gdzie może wpływać na decyzję i gdzie wymaga oznaczenia. Redakcja powinna mieć jasne zasady: co wolno generować, co trzeba sprawdzać, czego nie wolno publikować bez oznaczenia, kto zatwierdza materiały AI i jak reagować na błąd.

Dla startupu checklista jest bardziej produktowa. Trzeba wiedzieć, czy system może być wysokiego ryzyka, jakie obowiązki ma dostawca, jakie obowiązki będzie miał klient, jakie informacje trzeba mu przekazać i czy produkt technicznie umożliwia zgodne użycie. Startup powinien mieć gotową odpowiedź na pytanie: „co dokładnie dostaje klient, aby spełnić swoje obowiązki jako podmiot stosujący?”

Najważniejsza wspólna checklista wygląda tak:

• zrób katalog wszystkich systemów AI,
• przypisz właścicieli biznesowych i technicznych,
• określ cel użycia każdego systemu,
• wykonaj klasyfikację ryzyka,
• sprawdź obowiązki przejrzystości,
• zidentyfikuj potencjalne systemy wysokiego ryzyka,
• przygotuj zasady nadzoru człowieka,
• sprawdź logi i możliwość ich przechowywania,
• przejrzyj umowy z dostawcami,
• przygotuj politykę oznaczania treści syntetycznych,
• przeszkol pracowników,
• przygotuj procedurę incydentową,
• udokumentuj wszystko w sposób możliwy do pokazania audytorowi, klientowi lub organowi.

To jest minimum. Nie zastępuje analizy prawnej, ale daje firmie praktyczny szkielet. AI Act nie wymaga od każdej firmy bycia laboratorium badawczym. Wymaga jednak odpowiedzialności, przejrzystości i kontroli nad tym, gdzie AI wpływa na ludzi.

Podsumowanie: AI Act 2026 to nie zakaz AI, tylko koniec dzikiego wdrażania

AI Act nie oznacza końca innowacji, automatyzacji ani generatywnej sztucznej inteligencji. Oznacza raczej koniec etapu, w którym firmy mogły wdrażać AI bez mapy, bez właściciela, bez oznaczeń, bez instrukcji, bez logów i bez refleksji nad wpływem na użytkownika. Od 2 sierpnia 2026 roku coraz trudniej będzie tłumaczyć, że system „po prostu działał w tle”, „był tylko narzędziem” albo „dostawca na pewno o wszystko zadbał”.

Dla wydawcy najważniejsze są przejrzystość, odpowiedzialność redakcyjna i kontrola nad treściami syntetycznymi. Portal powinien wiedzieć, kiedy AI wspiera redakcję, kiedy tworzy materiał widoczny dla odbiorcy, kiedy użytkownik rozmawia z maszyną i kiedy konieczne jest oznaczenie. Wydawca powinien też szczególnie uważać na AI w HR, moderacji, personalizacji i rekomendacjach.

Dla startupu najważniejsze są klasyfikacja produktu, dokumentacja, zarządzanie ryzykiem, instrukcje dla klientów, logi, ocena zgodności i funkcje pomagające klientom spełniać obowiązki. Startup, który potraktuje AI Act wyłącznie jako przeszkodę, będzie gonił regulacje. Startup, który potraktuje zgodność jako cechę produktu, może zyskać przewagę w sprzedaży do większych klientów.

Najlepszy moment na wdrożenie AI Act był wczoraj. Drugi najlepszy jest teraz. Przed 2 sierpnia 2026 roku firmy powinny mieć nie tylko świadomość przepisów, ale gotowy, działający system: katalog AI, klasyfikację ryzyka, polityki użycia, oznaczenia, szkolenia, dokumentację, logi i procedury nadzoru. W świecie po AI Act przewagę będą miały nie te organizacje, które najgłośniej mówią o sztucznej inteligencji, ale te, które potrafią pokazać, że używają jej odpowiedzialnie.