AI Act dla małej firmy — co naprawdę musisz zrobić przed sierpniem 2026
Gdzieś między nagłówkami "UE zakazała AI" a doradcami sprzedającymi programy zgodności za 200 000 zł leży nudna prawda: jeśli prowadzisz małą firmę, która używa narzędzi AI, AI Act prosi Cię o trzy skromne rzeczy — a jedna z nich ma termin 2 sierpnia 2026.
Audytuję wykorzystanie AI w małych firmach zawodowo. Oto wersja AI Act, z którą możesz coś zrobić w jedno popołudnie — ze standardowym zastrzeżeniem: to przewodnik praktyka, nie porada prawna.
Najpierw: który kapelusz masz na głowie?
AI Act dzieli świat na role, a Twoje obowiązki zależą prawie wyłącznie od tego, którą zajmujesz:
- Dostawca — budujesz lub sprzedajesz systemy AI pod własną marką. Ciężkie obowiązki przy systemach wysokiego ryzyka: ocena zgodności, dokumentacja, rejestracja.
- Podmiot stosujący — używasz AI w swojej firmie. Obowiązki dużo lżejsze: głównie przejrzystość i nadzór.
Typowa mała firma — chatbot na stronie, warstwa AI czytająca przychodzące zamówienia, ChatGPT do tekstów marketingowych, może narzędzie HR wstępnie sortujące CV — to podmiot stosujący. Ten jeden fakt usuwa z rozporządzenia jakieś 80% straszności.
Niuans wart znajomości: jeśli masz oprogramowanie AI zbudowane dla Ciebie i oferujesz je pod własną marką, kapelusz dostawcy może zsunąć się na Twoją głowę. Warto to sprawdzić przy okazji oceny gotowości AI.
Cztery poziomy ryzyka, po ludzku
Każde zastosowanie AI w Twojej firmie ląduje w dokładnie jednym koszyku:
1. Zakazane (obowiązuje od lutego 2025). Scoring społeczny, rozpoznawanie emocji w miejscu pracy, techniki manipulacyjne wyrządzające szkodę. Jeśli jakieś Twoje narzędzie to robi — przestań go używać. Dla normalnej hurtowni, handlu czy usług ten koszyk jest pusty.
2. Wysokie ryzyko (termin: 2 sierpnia 2026). Terytorium załącznika III: AI podejmujące lub istotnie wpływające na decyzje o zatrudnieniu (selekcja CV, awanse, zwolnienia), kredycie, edukacji, usługach kluczowych. Od 2 sierpnia 2026 systemy wysokiego ryzyka muszą działać z zarządzaniem ryzykiem, logowaniem, nadzorem człowieka i zarządzaniem danymi — a podmioty stosujące mają realne obowiązki: używać systemu zgodnie z instrukcją, zapewnić nadzór człowieka, trzymać logi, informować osoby, których decyzje dotyczą.
Tłumaczenie na język MŚP: najczęstsza pułapka wysokiego ryzyka to HR. Jeśli narzędzie rankuje albo filtruje kandydatów przez AI, jesteś podmiotem stosującym system wysokiego ryzyka. Albo wyłącz ranking AI, albo upewnij się, że dostawca jest zgodny, a decyzje realnie przegląda konkretny człowiek.
3. Ograniczone ryzyko — przejrzystość. Chatboty i treści generowane. Ludzie muszą wiedzieć, że rozmawiają z maszyną, a treści syntetyczne muszą być rozpoznawalne. Linijka informacji w okienku czatu załatwia większość tematu.
4. Minimalne ryzyko — cała reszta. Filtry spamu, prognozowanie popytu, optymalizacja tras, asystenci kodu, asystent parsujący zamówienia, którego wynik zatwierdza człowiek. Brak szczególnych obowiązków.
Jest jeszcze jeden poziomy obowiązek, który dotyczy wszystkich już od lutego 2025: kompetencje AI (art. 4). Pracownicy używający narzędzi AI muszą rozumieć, co te narzędzia robią i gdzie się mylą. Półdniowe szkolenie wewnętrzne z listą obecności to proporcjonalna odpowiedź w małej firmie.
Audyt na jedno popołudnie: pięć kroków
Sekwencja, którą przechodzę z klientami, w skrócie:
- Inwentaryzacja. Spisz każdy punkt styku z AI — oficjalny i nieoficjalny. ChatGPT używany "po cichu" przez dział sprzedaży to część Twojej powierzchni ryzyka. Typowa lista w MŚP: 5–15 pozycji.
- Klasyfikacja. Każda pozycja do jednego z czterech koszyków. Przy narzędziach HR bądź ze sobą szczery.
- Domknięcie luk. Informacja przy chatbocie (godzina pracy). Człowiek w pętli przy wszystkim, co dotyka decyzji o zatrudnieniu. Jednostronicowa polityka używania AI: które narzędzia są zatwierdzone, jakich danych nie wolno do nich wklejać, kto zatwierdza nowe.
- Szkolenie z kompetencji AI. Pół dnia, wszyscy dotykający narzędzi AI, lista obecności do segregatora.
- Udokumentuj, że zrobiłeś 1–4. Nie dlatego, że jutro przyjdzie kontrola — dlatego, że dokumentacja to różnica między "jesteśmy zgodni" a "umiemy pokazać, że jesteśmy zgodni". Polski nadzór nad AI Act dopiero się układa, ale obowiązki stosują się niezależnie od tego.
I to naprawdę tyle dla większości małych firm. Żadnych ocen zgodności, jednostek notyfikowanych, programów za 200 tysięcy.
Dlaczego i tak zrobiłbym to przed sierpniem
Trzy powody, żaden oparty na strachu:
- Termin jest realny dla jednego konkretnego obszaru. Jeśli AI dotyka Twojej rekrutacji, 2 sierpnia 2026 to Twoja data. Cała reszta albo już obowiązuje, albo Cię nie dotyczy.
- Twoi klienci B2B zaczynają pytać. Więksi spychają zgodność w dół łańcucha dostaw. "Czy przetwarzacie nasze dane przez AI i pod jaką kontrolą?" pojawia się w ankietach dostawców. Jednostronicowa odpowiedź po cichu wygrywa kontrakty.
- Inwentaryzacja zwraca się sama. Za każdym razem, gdy ją robię, znajdujemy coś lepszego niż lukę w zgodności: proces, w którym AI oszczędziłoby realne godziny, albo narzędzie opłacane podwójnie. Zgodność to pretekst; mapa to wartość.
Gdzie to się mieści w audycie gotowości AI
Klasyfikację pod AI Act wkładam w każdy audyt gotowości AI, który dostarczam: dostajesz inwentaryzację, klasyfikację ryzyka, listę luk z wyceną nakładu i szablon polityki używania AI — obok właściwego celu audytu, czyli znalezienia miejsc, gdzie AI zarabia dla Twojej firmy pieniądze. Zgodność jako produkt uboczny strategii, nie osobny projekt.
Więcej pytań? Jest FAQ o tym, jak pracuję.
Chcesz mieć inwentaryzację, klasyfikację i listę luk zrobioną dla swojej firmy — plus mapę miejsc, gdzie AI realnie się opłaca? To jest Audyt Gotowości AI: stała cena, dwa tygodnie.
Porozmawiajmy o Twoim projekcie
Bezpłatna 30-minutowa konsultacja. Sprawdzimy, czy i jak mogę pomóc.



