Od 2 sierpnia 2026 kończy się okres taryfy ulgowej: regulatorzy przestają tłumaczyć, a zaczynają egzekwować AI Act. Dla większości firm to nie powód do paniki, ale powód, żeby zrobić porządek — bo zgodność doklejana po fakcie kosztuje wielokrotnie więcej niż zaprojektowana od początku.
Dwa reżimy, które trzeba ogarnąć naraz
#RODO i AI Act to różne reżimy, które się częściowo pokrywają:
- RODO pilnuje, jak przetwarzasz dane osobowe — podstawa prawna, minimalizacja danych, prawa osób (dostęp, usunięcie), a przy ryzykownym przetwarzaniu ocena skutków (DPIA).
- AI Act pilnuje, jakim systemem AI jest Twoje rozwiązanie — klasyfikuje je według ryzyka i dokłada obowiązki: dokumentację techniczną, nadzór ludzki, rejestry, ocenę zgodności.
W Polsce nadzór nad przetwarzaniem danych przez AI realizuje UODO, a część zadań AI Act — nowa komisja przy Ministerstwie Cyfryzacji. W praktyce: jedno wdrożenie musi spełnić oba zestawy wymogów, a nie wybrać jeden.
Klasyfikacja ryzyka: gdzie jesteś?
#AI Act dzieli systemy według ryzyka. Dla większości firm liczą się dwa poziomy:
| Poziom ryzyka | Przykład | Kluczowy obowiązek |
|---|---|---|
| Ograniczone | Chatbot „w czym mogę pomóc?", generator treści | Transparentność — użytkownik wie, że to AI |
| Wysokie | Profilowanie klientów, scoring, decyzje o ludziach | Nadzór ludzki, dokumentacja, rejestry, często DPIA |
Granica jest praktyczna: chatbot, który tylko odpowiada na pytania, to zwykle ograniczone ryzyko. Ten sam chatbot, gdy zaczyna profilować, oceniać nastroje albo podejmować decyzje o kliencie, wskakuje w wysokie ryzyko i pociąga za sobą znacznie więcej obowiązków — w tym ocenę skutków (DPIA).
Cztery rzeczy, które robimy zawsze
#Niezależnie od poziomu ryzyka, te cztery elementy projektujemy w każdym wdrożeniu:
- Transparentność — asystent jasno przedstawia się jako AI i potrafi w każdej chwili przekazać rozmowę człowiekowi (human-handoff). To minimum AI Act dla systemów ograniczonego ryzyka.
- Nadzór ludzki — akcje nieodwracalne i decyzje istotne dla człowieka przechodzą przez potwierdzenie (human-gate). System nie działa „w ogóle" autonomicznie — działa autonomicznie w wąskim, opisanym zakresie.
- Ślad i rozliczalność — każdy istotny krok jest logowany, więc da się wykazać, co i dlaczego system zrobił. Bez logu nie ma rozliczalności, której wymaga i RODO, i AI Act.
- Minimalizacja i lokalizacja danych — PII maskujemy przed wyjściem do chmury, a wrażliwe ścieżki obsługujemy lokalnie. Dane wrażliwe mogą nie opuszczać kraju.
„Czy bot musi się przedstawić?" — tak
#To pytanie pada najczęściej, a odpowiedź jest prosta: tak. Systemy ograniczonego ryzyka (chatboty, asystenci, generatory treści) muszą spełnić wymóg przejrzystości — użytkownik ma wiedzieć, że komunikuje się z AI lub korzysta z treści przez nią wygenerowanych. Dlatego nasze asystenty nie udają człowieka: przedstawiają się jako AI i oferują przełączenie na człowieka. To nie ogranicza wartości — buduje zaufanie.
Kiedy potrzebujesz DPIA
#Ocena skutków dla ochrony danych (DPIA) jest wymagana, gdy przetwarzanie może powodować wysokie ryzyko dla praw osób — typowo przy profilowaniu na dużą skalę, przetwarzaniu danych wrażliwych albo automatycznych decyzjach o ludziach. W praktyce: jeśli Twój system tylko odpowiada na pytania z Waszej wiedzy, DPIA zwykle nie jest potrzebna; jeśli ocenia, profiluje albo decyduje — prawdopodobnie tak. To moment na rozmowę z prawnikiem, nie na zgadywanie.
Zgodność to projekt, nie łatka
#Najważniejsza zasada jest ta sama, co przy bezpieczeństwie: bariery i zgodność projektuje się od pierwszej linijki. Wejście filtrowane, PII maskowane, akcje bramkowane, każdy krok logowany, transparentność wbudowana. System zaprojektowany tak jest zgodny „z natury" — a nie łatany w panice przed kontrolą. To samo podejście, które czyni wdrożenie zgodnym z RODO przy self-hostingu.
Wypróbuj na żywo
#Opisz swój przypadek użycia, a model pomoże wstępnie ocenić poziom ryzyka i obowiązki — jako punkt wyjścia do rozmowy z prawnikiem, nie zamiast niej (playground: PII maskowane, zero retencji):
FAQ
#Czy mój chatbot musi informować, że jest botem?
#Tak. Od sierpnia 2026 AI Act wymaga przejrzystości dla systemów ograniczonego ryzyka — użytkownik musi wiedzieć, że rozmawia z AI, a nie z człowiekiem. Nasze asystenty przedstawiają się jako AI i potrafią przekazać rozmowę człowiekowi w każdej chwili.
Czym różni się AI Act od RODO?
#To różne reżimy. RODO reguluje przetwarzanie danych osobowych (podstawa prawna, prawa osób, DPIA). AI Act reguluje sam system AI — klasyfikuje go według ryzyka i dokłada dokumentację techniczną, nadzór ludzki i rejestry. Jedno wdrożenie musi spełnić oba, a nie wybrać jeden.
Kiedy potrzebuję DPIA przy wdrożeniu AI?
#Gdy przetwarzanie może powodować wysokie ryzyko dla praw osób — typowo przy profilowaniu na dużą skalę, danych wrażliwych albo automatycznych decyzjach o ludziach. Asystent, który tylko odpowiada na pytania z Waszej wiedzy, zwykle DPIA nie wymaga; system, który profiluje lub decyduje — prawdopodobnie tak.
Czy dane przetwarzane przez AI muszą zostać w Polsce?
#Nie muszą, ale mogą — i często powinny. Maskujemy PII przed wyjściem do chmury, a wrażliwe ścieżki obsługujemy lokalnie na własnej infrastrukturze, więc dane wrażliwe mogą nie opuszczać kraju. Lokalizację przetwarzania dobieramy pod Wasze wymogi RODO i poufności.
Czy to jest porada prawna?
#Nie. To praktyczny przewodnik, jak projektujemy zgodność technicznie. Klasyfikację ryzyka, DPIA i obowiązki formalne zawsze potwierdź z prawnikiem — my projektujemy system tak, by tę zgodność było czym wykazać.