AI Act: ostatnie cztery tygodnie na uporządkowanie firmy

10 godzin temu
Zdjęcie: Unia Europejska, Komisja Europejska, ai act


Za kilka tygodni przedsiębiorstwa korzystające ze sztucznej inteligencji wejdą w nowy etap odpowiedzialności. Nie dlatego, iż jednego dnia zmieni się cały rynek AI, ale dlatego, iż od 2 sierpnia 2026 r. znacznie trudniej będzie tłumaczyć, iż organizacja nie wie, gdzie używa sztucznej inteligencji, kto za nią odpowiada i jakie ryzyka wiążą się z jej zastosowaniem.

AI Act nie jest już abstrakcyjną regulacją z Brukseli ani tematem odłożonym na przyszłość. Dla wielu firm staje się praktycznym testem dojrzałości operacyjnej. W ostatnich tygodniach przed kluczową datą nie chodzi o to, aby w pośpiechu zbudować idealny system zgodności. Chodzi o to, aby uporządkować najbardziej ryzykowne obszary i pokazać, iż firma świadomie zarządza AI.

AI Act zaczyna się od organizacji, nie od prawa

Największym błędem byłoby potraktowanie AI Act wyłącznie jako zadania dla działu prawnego. Oczywiście, przepisy, definicje i obowiązki mają znaczenie. Jednak pierwsze pytanie, które powinno dziś paść w firmie, jest znacznie prostsze: gdzie adekwatnie używamy AI?

W wielu organizacjach odpowiedź nie jest oczywista. Marketing korzysta z narzędzi do generowania treści, sprzedaż z systemów wspierających analizę klientów, HR z aplikacji do selekcji kandydatów, dział finansowy z modeli scoringowych, a pracownicy samodzielnie testują publiczne narzędzia generatywne. Część tych rozwiązań została wdrożona formalnie. Część funkcjonuje jako dodatek do już używanych systemów. Część istnieje poza wiedzą IT.

To właśnie dlatego ostatnie tygodnie przed 2 sierpnia powinny zacząć się od inwentaryzacji. Nie od wielostronicowej polityki, nie od zakupu kolejnej platformy compliance i nie od blokowania wszystkim dostępu do narzędzi AI. Najpierw firma musi wiedzieć, jakie systemy wykorzystuje, w jakich procesach, na jakich danych i z jakim wpływem na klientów, pracowników lub decyzje biznesowe.

Bez tej wiedzy nie da się sensownie ocenić ryzyka. Nie da się też odpowiedzieć na pytanie, które systemy mogą zostać uznane za wysokiego ryzyka, a które pozostają w obszarze niższych obowiązków. AI Act nie traktuje wszystkich zastosowań sztucznej inteligencji tak samo. Inne znaczenie ma chatbot odpowiadający na pytania o produkt, a inne system wspierający rekrutację, ocenę pracownika, dostęp do kredytu lub decyzje ubezpieczeniowe.

Najważniejszą decyzją jest wskazanie właściciela AI

Drugim krokiem powinno być ustalenie odpowiedzialności. W praktyce to jeden z najbardziej niedocenianych problemów. AI w firmie często znajduje się pomiędzy działami. IT odpowiada za infrastrukturę, biznes za proces, dział prawny za ryzyka regulacyjne, compliance za procedury, a security za bezpieczeństwo danych. W efekcie wszyscy są zaangażowani, ale nikt nie jest właścicielem całości.

AI Act wzmacnia potrzebę jasnego podziału ról. Firma powinna wiedzieć, czy w danym przypadku jest dostawcą systemu AI, podmiotem wdrażającym, importerem, dystrybutorem czy użytkownikiem rozwiązania dostarczonego przez zewnętrznego partnera. To nie jest formalność. Od tej kwalifikacji zależy zakres obowiązków, dokumentacji i odpowiedzialności.

Dlatego zarząd powinien zadać dziś bardzo konkretne pytanie: kto w organizacji ma mandat do podejmowania decyzji o AI? Nie chodzi o stworzenie nowego stanowiska dla samego stanowiska. Chodzi o proces, w którym nowe wdrożenia AI nie przechodzą już przypadkowo przez firmę, ale są oceniane pod kątem danych, ryzyka, dostawcy, celu użycia i wpływu na użytkownika.

W mniejszych firmach rolę koordynatora może pełnić właściciel, dyrektor operacyjny lub osoba odpowiedzialna za IT. W większych organizacjach potrzebny będzie zespół łączący technologię, prawo, bezpieczeństwo, HR i biznes. najważniejsze jest jednak jedno: odpowiedzialność za AI nie może rozpływać się pomiędzy departamentami.

Nie każda sztuczna inteligencja oznacza wysokie ryzyko

Wokół AI Act narosło sporo nieporozumień. Jednym z nich jest przekonanie, iż każda firma korzystająca z AI staje się automatycznie organizacją wysokiego ryzyka. To nieprawda. Regulacja jest oparta na klasyfikacji ryzyka i różnicuje obowiązki w zależności od zastosowania technologii.

Dla biznesu najważniejsze są dziś te obszary, w których AI wpływa na sytuację człowieka. Rekrutacja, ocena pracowników, edukacja, scoring kredytowy, dostęp do usług, bezpieczeństwo, zdrowie czy egzekwowanie prawa to kategorie, w których ryzyko regulacyjne rośnie znacząco. Firma korzystająca z AI do prostego wsparcia pracy biurowej znajduje się w innej sytuacji niż organizacja, która używa algorytmów do preselekcji kandydatów lub automatycznej oceny klientów.

W ostatnich tygodniach przed kluczową datą nie ma sensu traktować wszystkich narzędzi identycznie. Priorytet powinny mieć systemy, które podejmują decyzje, rekomendują decyzje albo realnie wpływają na człowieka. To one wymagają najdokładniejszego opisu, dokumentacji, nadzoru i oceny ryzyka.

Dobrym minimum jest rejestr systemów AI. Powinien zawierać nazwę rozwiązania, dostawcę, właściciela biznesowego, cel użycia, rodzaj przetwarzanych danych, grupę użytkowników, ocenę ryzyka i informację, czy system wpływa na decyzje dotyczące ludzi. Taki dokument nie rozwiązuje wszystkich problemów, ale tworzy punkt wyjścia do dalszego zarządzania.

Najbliższe tygodnie powinny uporządkować sposób zarządzania AI

Cztery tygodnie to za mało, aby zbudować kompletny model AI governance w dużej organizacji. Wystarczy jednak, aby ograniczyć najbardziej oczywiste ryzyka. Firma może sprawdzić, gdzie używa AI, przypisać właścicieli systemów, zidentyfikować zastosowania potencjalnie wysokiego ryzyka, przejrzeć umowy z dostawcami i przygotować podstawową dokumentację.

Szczególną uwagę warto poświęcić dostawcom. Wiele organizacji korzysta z AI wbudowanej w narzędzia, które już wcześniej były częścią środowiska IT: CRM, systemy HR, platformy marketingowe, rozwiązania analityczne czy pakiety biurowe. To wygodne, ale może tworzyć złudzenie, iż odpowiedzialność spoczywa wyłącznie na producencie oprogramowania. Tymczasem firma wdrażająca system przez cały czas musi wiedzieć, do czego go używa, jakie dane przetwarza i jakie decyzje wspiera.

Drugim obszarem jest edukacja pracowników. AI literacy nie powinna być potraktowana jako formalne szkolenie do odhaczenia. Pracownicy muszą rozumieć, czego nie wolno robić z narzędziami AI: wprowadzać poufnych danych do publicznych systemów, generować treści bez kontroli, automatyzować decyzji dotyczących ludzi bez nadzoru czy używać narzędzi poza przyjętymi zasadami organizacji. W praktyce to jeden z najprostszych sposobów ograniczenia ryzyka.

Trzecim elementem jest dokumentacja. Nie musi od razu oznaczać setek stron procedur. W pierwszym kroku wystarczy zestaw podstawowych informacji: rejestr systemów, klasyfikacja ryzyka, właściciele, zasady nadzoru, procedura zgłaszania incydentów, polityka korzystania z generatywnej AI i potwierdzenie przeszkolenia osób mających kontakt z systemami AI.

Czego nie robić w ostatnim miesiącu

W pośpiechu łatwo podjąć złe decyzje. Najgorszą z nich byłoby potraktowanie AI Act jako powodu do zatrzymania wszystkich projektów AI. Regulacja nie ma blokować innowacji, ale wymusić większą przejrzystość i odpowiedzialność. Firma, która po prostu zakazuje używania AI, nie rozwiązuje problemu. Często tylko wypycha go do szarej strefy.

Równie ryzykowne jest kupowanie narzędzi oznaczonych jako „zgodne z AI Act” bez zrozumienia własnych procesów. Żadne rozwiązanie technologiczne nie zastąpi decyzji organizacyjnej. o ile firma nie wie, kto używa AI, w jakim celu i na jakich danych, choćby najlepsza platforma compliance nie uporządkuje odpowiedzialności.

Nie warto też czekać na wszystkie interpretacje i akty wykonawcze. Praktyka regulacyjna będzie rozwijać się jeszcze długo, ale podstawowe pytania są już znane. Czy mamy rejestr systemów? Czy znamy zastosowania wysokiego ryzyka? Czy wiemy, kto odpowiada za AI? Czy pracownicy rozumieją zasady? Czy umiemy pokazać regulatorowi, iż zarządzamy ryzykiem?

AI Act nie kończy pracy nad AI. On ją dopiero porządkuje

2 sierpnia 2026 r. nie będzie datą końca wdrożenia AI Act. Będzie raczej początkiem nowego standardu zarządzania sztuczną inteligencją w firmach. W kolejnych miesiącach pojawią się interpretacje, praktyka organów, kolejne wytyczne, normy i wymagania kontraktowe ze strony klientów oraz partnerów.

Dlatego największą przewagą nie będzie idealna dokumentacja przygotowana w ostatniej chwili. Będzie nią zdolność organizacji do stałego zarządzania AI: od pomysłu na wdrożenie, przez ocenę ryzyka, po monitoring działania systemu i reagowanie na incydenty.

Firmy, które potraktują AI Act wyłącznie jako obowiązek prawny, najpewniej będą widzieć w nim koszt. Te, które potraktują go jako impuls do uporządkowania odpowiedzialności za AI, mogą zyskać coś więcej: większą kontrolę nad technologią, lepsze zaufanie klientów i dojrzalszy sposób podejmowania decyzji o automatyzacji.

W najbliższych tygodniach nie trzeba więc odpowiadać na wszystkie pytania o przyszłość sztucznej inteligencji. Trzeba odpowiedzieć na kilka najważniejszych pytań o własną organizację. Gdzie działa AI? Kto za nią odpowiada? Jakie decyzje wspiera? Jakie dane przetwarza? I czy firma potrafi to udokumentować?

To może być najważniejszy test przed 2 sierpnia.

Idź do oryginalnego materiału