AI Act 2026: dlaczego działy HR, banki i duże firmy powinny już dziś szykować się na nowe obowiązki

ai act 2026
Aktualności

AI Act 2026: dlaczego działy HR, banki i duże firmy powinny już dziś szykować się na nowe obowiązki

Jeszcze niedawno wiele firm traktowało AI Act jak unijny projekt z odległej przyszłości. Coś, co „kiedyś” zacznie mieć znaczenie, ale dziś nie wymaga jeszcze większej uwagi. Tyle że ten etap już się skończył. Rozporządzenie weszło w życie 1 sierpnia 2024 r., część jego przepisów zaczęła obowiązywać 2 lutego 2025 r., kolejne obowiązki weszły 2 sierpnia 2025 r., a 2 sierpnia 2026 r. staje się kluczową datą dla zasadniczej stosowalności aktu w praktyce biznesowej. Dłuższy okres przejściowy przewidziano tylko dla części systemów wysokiego ryzyka osadzonych w określonych regulowanych produktach.

To oznacza jedno: 2026 nie będzie rokiem eksperymentów, tylko rokiem rozliczania dojrzałości organizacyjnej firm. Największy błąd popełniają dziś te organizacje, które zakładają, że AI Act dotyczy wyłącznie producentów modeli, wielkich firm technologicznych albo podmiotów tworzących własne systemy od zera. Tymczasem rozporządzenie obejmuje nie tylko dostawcę technologii, lecz także deployer’a, czyli podmiot, który po prostu używa systemu AI w swojej działalności. A to oznacza, że firma kupująca gotowe narzędzie rekrutacyjne, scoringowe, analityczne albo monitoringowe również wchodzi w obszar bardzo konkretnych obowiązków.

AI Act nie zaczyna się dopiero w 2026 roku

W debacie publicznej często mówi się o sierpniu 2026 r. tak, jakby dopiero wtedy wszystko miało ruszyć. To uproszczenie. Już wcześniej zaczęły obowiązywać zakazy określonych praktyk AI oraz obowiązek zapewnienia odpowiedniego poziomu AI literacy, czyli kompetencji po stronie osób korzystających z systemów AI w organizacji.

To ważny i wciąż niedoceniany punkt. W praktyce oznacza on, że firma nie może zasłaniać się niewiedzą swoich pracowników, menedżerów czy działów operacyjnych. Jeżeli organizacja wdraża narzędzia AI, powinna zadbać o to, aby osoby korzystające z tych systemów rozumiały ich działanie, ograniczenia, ryzyka, możliwe błędy oraz wpływ na ludzi, których dane narzędzie dotyczy. Szkolenie z AI przestaje być dodatkiem do employer brandingu, a staje się elementem zgodności regulacyjnej.

Dlatego 2026 rok nie jest punktem startowym, lecz raczej momentem, w którym wiele firm może odkryć, że przez poprzednie miesiące zbudowały sobie spory dług zgodności. Dotyczy to zwłaszcza organizacji, które bardzo szybko wdrażały generatywną AI, narzędzia oceny kandydatów, systemy scoringowe lub algorytmy wspierające decyzje finansowe, nie tworząc przy tym jasnych procedur, mapy ryzyk i nadzoru człowieka.

Dlaczego HR jest dziś w samym centrum AI Act

Obszar zatrudnienia, zarządzania pracownikami i dostępu do samozatrudnienia został w AI Act potraktowany wyjątkowo poważnie. Nie bez powodu. To właśnie tutaj systemy AI mogą realnie wpływać na karierę, wynagrodzenie, awans, utratę pracy albo dostęp do zatrudnienia.

Rekrutacja i selekcja kandydatów

AI Act traktuje jako systemy wysokiego ryzyka między innymi narzędzia przeznaczone do:

  • rekrutacji i selekcji kandydatów,
  • targetowania ofert pracy,
  • analizowania i filtrowania aplikacji,
  • oceniania kandydatów.

To oznacza, że bardzo wiele narzędzi, które dziś są sprzedawane jako „inteligentne wsparcie HR”, może w rzeczywistości wpadać w kategorię high-risk. Dotyczy to nie tylko spektakularnych systemów opartych na zaawansowanych modelach, ale również tych rozwiązań, które pozornie wydają się „pomocnicze” — na przykład automatycznie sortują CV, układają ranking kandydatów, sugerują shortlistę albo oceniają odpowiedzi w formularzach.

I tu pojawia się bardzo ważna rzecz: to, że człowiek formalnie podejmuje ostateczną decyzję, nie oznacza jeszcze, że ryzyko regulacyjne znika. Jeżeli system AI realnie wpływa na proces oceny, porządkowania lub rekomendowania kandydatów, firma nie może traktować go jak neutralnego filtra technicznego.

Ocena pracowników, awanse i monitoring

Wysokim ryzykiem mogą być objęte także systemy służące do:

  • wspierania decyzji dotyczących warunków zatrudnienia,
  • awansów,
  • zakończenia relacji pracowniczej,
  • przydzielania zadań,
  • monitorowania i oceny wyników pracy,
  • analizowania zachowań pracowników.

To ma ogromne znaczenie dla dużych organizacji, które wdrażają narzędzia do people analytics, przewidywania rotacji, oceny wydajności czy identyfikacji „talentów wysokiego potencjału”. Z perspektywy prawa nie są to już wyłącznie modne systemy wspierające zarządzanie zasobami ludzkimi. To mogą być systemy wpływające na prawa podstawowe pracownika.

Zakazana granica: rozpoznawanie emocji w miejscu pracy

Jednym z najbardziej konkretnych i jednocześnie najmocniej przemawiających do wyobraźni punktów AI Act jest zakaz używania systemów AI do wnioskowania o emocjach osób w miejscu pracy, poza bardzo wąskimi wyjątkami związanymi z medycyną lub bezpieczeństwem.

To oznacza, że wszelkie obietnice typu: system wykryje stres, zaangażowanie, frustrację, zmęczenie, nastawienie emocjonalne czy poziom motywacji pracownika, trzeba traktować z ogromną ostrożnością. W tym obszarze AI Act stawia bardzo twardą granicę. Dla pracodawców to sygnał, że nie każda efektownie sprzedawana „innowacja HR” jest jeszcze legalnym lub bezpiecznym wdrożeniem.

Obowiązki pracodawcy jako użytkownika systemu

Dla działów HR szczególnie ważne jest to, że obowiązki nie kończą się na dostawcy technologii. Firma używająca systemu wysokiego ryzyka musi zadbać między innymi o:

  • stosowanie systemu zgodnie z instrukcją użycia,
  • zapewnienie nadzoru człowieka,
  • właściwą kontrolę danych wejściowych, jeśli ma na nie wpływ,
  • monitorowanie działania systemu,
  • prowadzenie odpowiednich zapisów i reagowanie na incydenty,
  • poinformowanie przedstawicieli pracowników oraz samych pracowników, że będą objęci działaniem takiego systemu.

To właśnie tutaj AI Act styka się bezpośrednio z prawem pracy, compliance, governance i polityką wewnętrzną firmy. Dla HR nie jest to temat „dla działu IT”. To temat operacyjny, prawny i reputacyjny jednocześnie.

Banki i ubezpieczyciele również są w grupie najwyższego ryzyka

Jeżeli HR dotyczy życiowych szans w obszarze pracy, to sektor finansowy dotyczy życiowych szans w obszarze pieniędzy, kredytu, mieszkania, bezpieczeństwa finansowego i dostępu do podstawowych usług. Dlatego AI Act bardzo wyraźnie wskazuje, że ocena zdolności kredytowej osób fizycznych oraz ustalanie ich credit score należą do zastosowań wysokiego ryzyka.

Scoring kredytowy i ocena zdolności kredytowej

Dla banków, fintechów i instytucji pożyczkowych to kluczowa informacja. Jeżeli system AI pomaga oceniać, czy klient dostanie kredyt, jaki limit otrzyma, na jakich warunkach lub z jakim poziomem ryzyka zostanie sklasyfikowany, organizacja nie może patrzeć na to wyłącznie jak na wygodne narzędzie analityczne. To obszar, który AI Act uznaje za szczególnie wrażliwy z perspektywy praw jednostki.

Powód jest prosty: taka decyzja wpływa nie tylko na samą umowę kredytową, ale bardzo często na szerszy dostęp do zasobów finansowych i usług niezbędnych do normalnego życia. Z perspektywy prawa nie chodzi więc tylko o skuteczność modelu, lecz także o jego wpływ na człowieka.

Ubezpieczenia na życie i zdrowotne

Podobnie wygląda sytuacja w przypadku systemów AI używanych do oceny ryzyka i ustalania ceny w ubezpieczeniach na życie i zdrowotnych. Dla firm ubezpieczeniowych i dużych grup finansowych to oznacza, że algorytmiczna segmentacja klientów, wycena ryzyka i automatyzacja decyzji nie są już wyłącznie domeną actuarial science czy data science. Stają się również obszarem bezpośredniego zainteresowania prawa unijnego.

Fundamental rights impact assessment

W przypadku części zastosowań z obszaru finansowego AI Act idzie jeszcze dalej. Niektóre podmioty wdrażające takie systemy muszą przeprowadzić ocenę wpływu na prawa podstawowe jeszcze przed użyciem systemu.

To bardzo istotny sygnał. W praktyce oznacza on, że organizacja powinna zadać sobie nie tylko pytanie, czy model działa poprawnie i czy daje satysfakcjonujące wyniki biznesowe, ale również:

  • na kogo wpływa system,
  • jakie grupy osób mogą być nim dotknięte,
  • jakie ryzyka dla praw jednostki może on tworzyć,
  • jakie środki naprawcze i zabezpieczenia trzeba wdrożyć,
  • jak wygląda procedura skarg, odwołań i wyjaśnień.

Dla banków oraz dużych instytucji finansowych to oznacza konieczność połączenia kilku światów naraz: model governance, compliance, ryzyka operacyjnego, ochrony danych i praw podstawowych. I właśnie to może być największym wyzwaniem wdrożeniowym.

Duże firmy nie mogą schować się za dostawcą technologii

W praktyce korporacyjnej bardzo często pojawia się argument: „to nie nasz system, tylko rozwiązanie zewnętrznego vendor’a”. Taki komfort w AI Act jest mocno ograniczony.

Owszem, dostawca ma własne obowiązki. Ale firma używająca systemu również ponosi odpowiedzialność za sposób jego wdrożenia i użycia. Co więcej, rozporządzenie przewiduje sytuacje, w których podmiot korzystający z systemu może zostać potraktowany bardziej jak dostawca niż zwykły użytkownik — na przykład wtedy, gdy istotnie modyfikuje system, zmienia jego przeznaczenie albo wprowadza go pod własną marką.

To szczególnie ważne dla dużych organizacji, które:

  • kupują zewnętrzne rozwiązania,
  • dokładają do nich własne warstwy decyzyjne,
  • łączą je z własnymi bazami danych,
  • zmieniają ich zastosowanie w praktyce operacyjnej.

W takiej sytuacji firma może niepostrzeżenie wejść na poziom odpowiedzialności znacznie większy, niż zakładała na etapie zakupu licencji. Największe ryzyko nie leży więc tylko w technologii, ale w sposobie jej adaptacji wewnątrz organizacji.

Najbardziej niedoceniany obowiązek: kompetencje AI w organizacji

Wielu menedżerów nadal sądzi, że wystarczy, by zespół „umiał obsłużyć narzędzie”. Tymczasem AI Act idzie dalej. Chodzi nie tylko o techniczne użycie systemu, lecz o realne zrozumienie:

  • czym system jest,
  • jakie ma ograniczenia,
  • kiedy jego wynik może być mylący,
  • gdzie pojawia się ryzyko automation bias, czyli bezrefleksyjnego zaufania wynikowi AI,
  • jakie konsekwencje ponosi człowiek, którego dotyka decyzja oparta na tym systemie.

To szczególnie ważne w HR, bankowości i dużych korporacjach, bo właśnie tam decyzja wsparta przez AI może w praktyce oznaczać: brak zatrudnienia, brak awansu, odmowę kredytu, gorsze warunki ubezpieczenia albo niekorzystną klasyfikację klienta. Szkolenie z AI bez komponentu prawnego, etycznego i decyzyjnego może być po prostu za słabe.

Co firmy powinny zrobić już teraz

Najrozsądniejsze organizacje nie zaczynają od tworzenia ozdobnej polityki AI na kilkadziesiąt stron. Zaczynają od prostego, ale bardzo niewygodnego pytania: gdzie dokładnie używamy AI i do czego?

Dopiero potem przychodzi etap porządkowania. W praktyce warto zrobić co najmniej sześć rzeczy.

  • Zmapować wszystkie systemy AI używane w firmie, także te kupione jako gotowe usługi SaaS.
  • Sprawdzić ich klasyfikację ryzyka, zamiast ufać wyłącznie marketingowi dostawcy.
  • Ustalić właścicieli procesów: kto odpowiada za legal, kto za dane, kto za bezpieczeństwo, kto za biznes, a kto za nadzór człowieka.
  • Przejrzeć umowy z dostawcami, zwłaszcza w zakresie instrukcji użycia, odpowiedzialności za modyfikacje, incydenty, logi i wyjaśnialność.
  • Połączyć AI compliance z RODO, prawem pracy i governance, zamiast prowadzić trzy osobne światy dokumentacyjne.
  • Przeszkolić osoby korzystające z AI, ale nie tylko z obsługi narzędzia — również z ryzyk, granic użycia i odpowiedzialności.

To jest właśnie moment, w którym przewagę zyskają firmy bardziej uporządkowane, a nie tylko bardziej „innowacyjne”. W 2026 roku nie wygrają ci, którzy mają najwięcej wdrożeń AI, tylko ci, którzy potrafią pokazać, że używają jej w sposób kontrolowany, obronny prawnie i organizacyjnie dojrzały.

Co naprawdę zmieni sierpień 2026

Dla wielu firm 2 sierpnia 2026 r. będzie pierwszym momentem, w którym AI Act przestanie być tematem konferencji, a stanie się tematem audytu, zarządu, compliance i wewnętrznych procedur. Wtedy szczególnego znaczenia nabiorą nie tylko zasady dotyczące systemów wysokiego ryzyka, ale także wymogi przejrzystości dla części zastosowań AI.

To oznacza, że temat nie kończy się na HR i bankowości. Wchodzi też w obszar:

  • chatbotów,
  • systemów komunikacji z klientem,
  • treści generowanych przez AI,
  • oznaczania materiałów syntetycznych,
  • wewnętrznych procesów decyzyjnych wspieranych przez modele.

Firmy, które do sierpnia 2026 r. nie zbudują sensownej mapy użycia AI, polityki odpowiedzialności i realnego nadzoru człowieka, mogą wejść w nowy etap z dużym chaosem organizacyjnym. A to zwykle oznacza nie tylko ryzyko prawne, lecz także ryzyko reputacyjne, procesowe i operacyjne.

AI Act to nie jest tylko regulacja technologiczna

Najważniejsze w całym AI Act jest to, że nie pyta on wyłącznie o technologię. Pyta o dojrzałość organizacji. O to, czy firma potrafi nazwać system, określić jego przeznaczenie, ocenić wpływ na człowieka, przeszkolić personel, zorganizować nadzór, prowadzić dokumentację i obronić proces decyzyjny przed kandydatem, pracownikiem, klientem, organem nadzorczym albo sądem.

I właśnie dlatego dziś szykować powinny się przede wszystkim działy HR, banki i duże firmy. Nie dlatego, że „Bruksela znowu coś wymyśliła”, ale dlatego, że AI przestała być dodatkiem do biznesu. Stała się elementem realnych decyzji dotyczących pracy, pieniędzy i życiowych szans ludzi. A tam, gdzie algorytm zaczyna wpływać na człowieka, prawo zawsze wchodzi do gry.

Źródła

  • Komisja Europejska, Shaping Europe’s Digital Future — AI Act: oficjalna oś czasu wdrażania AI Act, w tym daty 1 sierpnia 2024 r., 2 lutego 2025 r., 2 sierpnia 2025 r. i 2 sierpnia 2026 r.
  • EUR-Lex, Regulation (EU) 2024/1689: pełny tekst AI Act, w tym definicje, zakres aktu, kategorie high-risk oraz przepisy o obowiązkach podmiotów.
  • EUR-Lex, Annex III do AI Act: wskazanie systemów wysokiego ryzyka w obszarze rekrutacji, selekcji kandydatów, zarządzania pracownikami, oceny zdolności kredytowej oraz pricingu w ubezpieczeniach na życie i zdrowotnych.
  • EUR-Lex, art. 5 AI Act: zakaz używania systemów AI do wnioskowania o emocjach osób w miejscu pracy i w instytucjach edukacyjnych, poza wyjątkami medycznymi i bezpieczeństwa.
  • AI Act Service Desk, art. 26: obowiązki deployerów systemów wysokiego ryzyka, w tym nadzór człowieka, użycie zgodne z instrukcją, monitoring, logi i informowanie pracowników.
  • EUR-Lex, art. 27 i motywy AI Act: ocena wpływu na prawa podstawowe dla wybranych wdrożeń high-risk, w tym określonych zastosowań w bankowości i ubezpieczeniach.
  • AI Act Service Desk FAQ: wyjaśnienia Komisji dotyczące podejścia opartego na ryzyku, transparency rules, AI literacy oraz obowiązków wobec systemów high-risk.

Redakcja Barometr Prawa
Latest posts by Redakcja Barometr Prawa (see all)

Powiązane wpisy:

Brak powiązanych wpisów.

Powiązane artykuły

Opublikuj komentarz