AI Act: Co nadal zmienia się 2 sierpnia 2026 — i jak odpowiedzieć na wezwanie dotyczące zgodności

Krótka odpowiedź: 2 sierpnia 2026 pozostaje kluczową datą zgodności z AI Act, ale jego dokładny skutek zależy teraz od Digital Omnibus w sprawie AI. Zgodnie z pierwotnym AI Act (rozporządzenie (UE) 2024/1689) tego dnia stawała się stosowana większość pozostałych przepisów, w tym obowiązki wobec systemów AI wysokiego ryzyka oraz ramy sankcji. Wstępne porozumienie polityczne UE z 7 maja 2026 przesunęłoby jednak obowiązki wobec samodzielnych systemów wysokiego ryzyka z załącznika III na 2 grudnia 2027, a wobec AI wbudowanej w produkty regulowane — na 2 sierpnia 2028. Kilka obowiązków w zakresie przejrzystości oraz przepisy egzekucyjne nadal czynią 2 sierpnia 2026 datą ważną dla wielu organizacji.

AI Act to pierwsze na świecie kompleksowe rozporządzenie dotyczące sztucznej inteligencji i jest stosowany etapami przez kilka lat, a nie naraz. Kamień milowy 2 sierpnia 2026 długo opisywano jako najważniejszą datę zgodności dla większości firm. Digital Omnibus nie usuwa tej daty, ale zmienia to, co tego dnia nadchodzi.

Jeśli tworzysz, wdrażasz, sprzedajesz lub choćby nabywasz systemy AI dotyczące osób w UE, nadal Cię to dotyczy. Podobnie jak fakt, że skargi, zapytania organów i pytania partnerów w ramach due diligence o zgodność z AI już napływają — i wymagają jasnej, udokumentowanej, formalnej odpowiedzi.

Ten przewodnik to informacja ogólna, nie porada prawna. AI Act jest złożony, a jego części są obecnie zmieniane przez Digital Omnibus, który w chwili pisania był porozumieniem wstępnym, jeszcze formalnie nieprzyjętym. Zawsze sprawdzaj aktualny tekst rozporządzenia (UE) 2024/1689 i w swojej konkretnej sprawie zasięgnij wykwalifikowanej porady prawnej.

2 sierpnia 2026 pozostaje ważną datą AI Act, ale nie wszystko, co pierwotnie zaplanowano na ten dzień, nadejdzie teraz w tym samym czasie. Oto, co nadal obowiązuje.

Większość rozporządzenia staje się stosowana. Artykuł 113 rozporządzenia (UE) 2024/1689 stanowi, że rozporządzenie stosuje się od 2 sierpnia 2026, z wcześniejszymi i późniejszymi wyjątkami. Tej ogólnej daty stosowania Digital Omnibus nie uchyla.

Wiele obowiązków w zakresie przejrzystości pozostaje na torze 2026. Szereg obowiązków przejrzystości z art. 50 — na przykład obowiązki podmiotów stosujących dotyczące ujawniania określonego wykorzystania AI — nadal ma być stosowanych od 2 sierpnia 2026. Jeden ważny wyjątek: obowiązek dostawców z art. 50 ust. 2 dotyczący oznaczania treści generowanych przez AI lub syntetycznych został przesunięty (zob. oś czasu poniżej).

Zaczynają obowiązywać uprawnienia nadzorcze i egzekucyjne wobec GPAI. Uprawnienia nadzorcze i egzekucyjne Komisji Europejskiej wobec dostawców modeli AI ogólnego przeznaczenia (GPAI) wchodzą w życie 2 sierpnia 2026. Same obowiązki GPAI obowiązują od 2 sierpnia 2025.

Ramy sankcji działają dla przepisów już obowiązujących. Kary za praktyki zakazane i za naruszenia GPAI są aktywne. To, co się przesuwa, to stosowanie obowiązków wobec systemów wysokiego ryzyka — a więc praktyczna dotkliwość kar powiązanych właśnie z nimi.

7 maja 2026 Rada UE i Parlament Europejski osiągnęły wstępne porozumienie polityczne w sprawie Digital Omnibus dotyczącego AI — pierwszego zestawu ukierunkowanych zmian w AI Act od jego przyjęcia. Bodźcem był fakt, że normy i narzędzia zgodności potrzebne dla systemów wysokiego ryzyka miały opóźnienia. Zmiany te nabierają mocy prawnej dopiero po formalnym przyjęciu i publikacji w Dzienniku Urzędowym, co musi jeszcze nastąpić, zanim staną się wiążące.

Najważniejsze zmiany:

• Przesunięcie obowiązków wysokiego ryzyka. Samodzielne systemy wysokiego ryzyka z załącznika III przeszłyby z 2 sierpnia 2026 na 2 grudnia 2027. AI wysokiego ryzyka wbudowana w produkty regulowane (załącznik I) przeszłaby na 2 sierpnia 2028.
• Skrócony, a potem przesunięty okres na oznaczanie. Obowiązek dostawców z art. 50 ust. 2 dotyczący oznaczania treści generowanych przez AI i syntetycznych miałby obowiązywać od 2 grudnia 2026 (okres przejściowy trzech, a nie pierwotnie rozważanych sześciu miesięcy). Pozostałe obowiązki przejrzystości z art. 50, w tym wobec podmiotów stosujących, nadal obowiązywałyby od 2 sierpnia 2026.
• Nowa praktyka zakazana. Porozumienie dodaje do zakazów z art. 5 zakaz generowanych przez AI niekonsensualnych treści intymnych (tzw. „nudifiers") oraz generowania materiałów przedstawiających seksualne wykorzystywanie dzieci.

Dwa zastrzeżenia. Po pierwsze, daty te są warunkowe: do czasu formalnego przyjęcia i publikacji pierwotny harmonogram mógłby nadal obowiązywać, jeśli procedura nie zostanie ukończona na czas. Po drugie, podstawowa architektura rozporządzenia — poziomy ryzyka, system oceny zgodności, ścieżka GPAI i rola Urzędu ds. AI — nie zmienia się. Przesunięcie daje czas na przygotowania; nie znosi obowiązków.

Rozporządzenie weszło w życie 1 sierpnia 2024 i jest stosowane etapami w sposób opisany poniżej. Daty 2027-2028 odzwierciedlają wstępne porozumienie w sprawie Digital Omnibus i są warunkowe, zależne od formalnego przyjęcia.

• 2 lutego 2025 — praktyki zakazane stały się egzekwowalne, a obowiązki dotyczące kompetencji w zakresie AI zaczęły obowiązywać.
• 2 sierpnia 2025 — zaczęły być stosowane obowiązki wobec modeli GPAI. Struktury zarządzania, w tym Urząd ds. AI, stały się operacyjne, a państwa członkowskie musiały wprowadzić swoje przepisy o karach.
• 2 sierpnia 2026 — główna data stosowania według pierwotnego rozporządzenia (art. 113). Obowiązki przejrzystości z art. 50 pozostają istotne, zaczynają obowiązywać uprawnienia nadzorcze i egzekucyjne wobec GPAI, a ramy sankcji są aktywne dla przepisów już obowiązujących. Obowiązki wysokiego ryzyka były pierwotnie zaplanowane na ten dzień, lecz Digital Omnibus by je przesunął.
• 2 grudnia 2026 — proponowana nowa data dla obowiązku dostawców z art. 50 ust. 2 dotyczącego oznaczania treści generowanych przez AI i syntetycznych, jeśli Digital Omnibus zostanie przyjęty.
• 2 grudnia 2027 — proponowana nowa data stosowania dla samodzielnych systemów wysokiego ryzyka z załącznika III, jeśli Digital Omnibus zostanie przyjęty.
• 2 sierpnia 2028 — proponowana nowa data stosowania dla systemów wysokiego ryzyka wbudowanych w produkty regulowane (załącznik I), jeśli Digital Omnibus zostanie przyjęty.

Rozporządzenie przypisuje obowiązki według roli w łańcuchu wartości AI. Główne role to:

• Dostawca — organizacja, która opracowuje system AI lub zleca jego opracowanie i wprowadza go do obrotu albo oddaje do użytku pod własną nazwą. Dostawcy mają najcięższe obowiązki.
• Podmiot stosujący — organizacja, która korzysta z systemu AI we własnym imieniu w kontekście zawodowym. Ma własne obowiązki, zwłaszcza w zakresie nadzoru ze strony człowieka i korzystania zgodnie z instrukcją.
• Importer i dystrybutor — organizacje, które wprowadzają systemy AI spoza UE do obrotu lub je udostępniają, z obowiązkami weryfikacji i prowadzenia dokumentacji.

Co istotne, rozporządzenie ma zasięg eksterytorialny, a Digital Omnibus tego nie zmienia. Jeśli Twój system AI lub jego wynik jest wykorzystywany w Unii Europejskiej, rozporządzenie może Cię obejmować niezależnie od tego, gdzie ma siedzibę Twoja firma. Dostawca w USA, Wielkiej Brytanii czy gdziekolwiek indziej nie jest poza zakresem tylko dlatego, że nie ma oddziału w UE. Liczy się to, czy system dotyczy osób w UE.

Kategoria wysokiego ryzyka to ta, której termin przesunąłby Digital Omnibus, więc warto być precyzyjnym.

Z grubsza do klasyfikacji jako wysokie ryzyko prowadzą dwie drogi. Pierwsza to AI używana jako element bezpieczeństwa produktu już regulowanego prawem UE o bezpieczeństwie produktów (załącznik I) — ta droga jest teraz przewidziana na 2 sierpnia 2028. Druga to lista samodzielnych zastosowań wysokiego ryzyka z załącznika III — teraz przewidziana na 2 grudnia 2027 — obejmująca m.in. obszary:

• zatrudnienie, rekrutacja i zarządzanie pracownikami (np. narzędzia do selekcji CV lub rekrutacji),
• dostęp do podstawowych usług prywatnych i publicznych, w tym ocena zdolności kredytowej i scoring kredytowy,
• biometria i kategoryzacja biometryczna,
• edukacja i szkolenie zawodowe (np. ocenianie egzaminów lub decyzje o przyjęciu),
• infrastruktura krytyczna, ściganie przestępstw, migracja i sprawowanie wymiaru sprawiedliwości.

Przesunięcie odzwierciedla fakt, że zharmonizowane normy i narzędzia wsparcia potrzebne do spełnienia tych wymogów są wciąż finalizowane. To czas na przygotowania, nie zwolnienie z obowiązków: obowiązki merytoryczne pozostają bez zmian.

Rozporządzenie stosuje stopniowaną strukturę kar, a kwoty są celowo wysokie.

Najpoważniejszy próg dotyczy naruszeń przepisów o praktykach zakazanych: kary do 35 mln EUR lub 7% całkowitego rocznego światowego obrotu, w zależności od tego, która kwota jest wyższa.

Drugi próg obejmuje wiele innych naruszeń — w tym obowiązki dostawców, podmiotów stosujących, importerów, dystrybutorów i jednostek notyfikowanych oraz obowiązki przejrzystości z art. 50: kary do 15 mln EUR lub 3% całkowitego rocznego światowego obrotu, w zależności od tego, która kwota jest wyższa.

Przekazywanie organom nieprawidłowych, niekompletnych lub wprowadzających w błąd informacji ma własny, niższy próg. W miarę przesuwania obowiązków wysokiego ryzyka na lata 2027-2028 kary powiązane konkretnie z nimi przesuwają się wraz z obowiązkami merytorycznymi, ale kary za praktyki zakazane i GPAI są już aktywne.

Wreszcie AI Act nie zastępuje RODO. Gdy system AI przetwarza dane osobowe, oba reżimy obowiązują jednocześnie, a organy ochrony danych zachowują jurysdykcję nad aspektami dotyczącymi danych osobowych.

Nawet mimo przesunięcia formalne zapytania mnożą się. Możesz je otrzymać od krajowego organu nadzoru rynku, od Urzędu ds. AI UE (w sprawach GPAI), od klienta lub dostawcy na dalszym etapie w ramach due diligence albo w ramach skargi złożonej przeciwko Tobie. Słaba lub spóźniona odpowiedź może przerodzić rutynowe zapytanie w postępowanie.

Mocne pismo z odpowiedzią jest uporządkowane, rzeczowe i łatwe do zweryfikowania. Zastosuj tę strukturę:

1. Precyzyjnie określ zapytanie

Jasno podaj, na co odpowiadasz: datę zapytania, nadawcę, ewentualny numer referencyjny i dokładnie to, o co zapytano. Pokazuje to, że uważnie je przeczytałeś, i tworzy czystą dokumentację.

2. Określ swoją rolę zgodnie z rozporządzeniem

Jasno wskaż, czy odpowiadasz jako dostawca, podmiot stosujący, importer czy dystrybutor danego systemu, i dokładnie go określ. Twoje obowiązki wynikają z tej roli.

3. Odpowiedz na konkretne pytania, punkt po punkcie

Odnieś się do każdego zadanego pytania po kolei, faktami. Tam, gdzie rozporządzenie wymaga dokumentacji — dokumentacja techniczna, zapisy zarządzania ryzykiem, środki zarządzania danymi, rozwiązania w zakresie nadzoru człowieka — opisz, co posiadasz, i powołaj się na załączane dokumenty.

4. Bądź szczery co do braków i naprawy

Jeśli czegoś jeszcze nie ma, nie ukrywaj tego. Powiedz, czego brakuje, co robisz i do kiedy. Organy reagują znacznie lepiej na udokumentowany plan naprawczy niż na milczenie czy zaprzeczanie.

5. Zakończ jasnym kontaktem i kolejnym krokiem

Wskaż osobę odpowiedzialną do kontaktu, potwierdź gotowość do udzielenia dalszych informacji i zaproponuj konkretny kolejny krok lub harmonogram. Wypisz załączniki.

DocuGov.ai generuje dostosowane do jurysdykcji pisma zgodnościowe i odpowiedzi w sprawie AI Act oparte na tej strukturze — zamieniając stresujące zapytanie organu w jasny, profesjonalny dokument w kilka minut. Zacznij od naszej strony pisma zgodnościowe AI Act.

Rozporządzenie dotyczy nie tylko obowiązków firm. Wzmacnia też pozycję osób, których dotyczą systemy AI, a te prawa warto znać.

Jeśli sądzisz, że system stosuje praktykę zakazaną — na przykład scoring społeczny, pewne formy nadzoru emocji lub biometrii albo nowo dodany zakaz generowanych przez AI niekonsensualnych treści intymnych — możesz to zgłosić. Zobacz nasz przewodnik o skardze na zakazaną praktykę AI.

Odrębnie, na mocy RODO, masz prawa, gdy decyzja w Twojej sprawie jest podejmowana wyłącznie automatycznie. Możesz sprzeciwić się takiej decyzji i zażądać interwencji człowieka — sprzeciw na podstawie art. 22 RODO — oraz poprosić o rzeczowe wyjaśnienie, jak algorytm podjął dotyczącą Cię decyzję, składając wniosek o wyjaśnienie.

Te pisma działają najlepiej, gdy są konkretne: wskaż decyzję, system (jeśli znany), datę i dokładnie to, o co prosisz organizację.

Traktowanie przesunięcia jak anulowania. Digital Omnibus daje czas; nie usuwa obowiązków wysokiego ryzyka. Daty przesunięto na 2 grudnia 2027 i 2 sierpnia 2028 — nie zniknęły.

Zakładanie, że bycie poza UE oznacza bycie poza zakresem. Zasięg eksterytorialny oznacza, że testem jest to, czy system dotyczy UE, a nie gdzie masz siedzibę.

Poleganie na nowych datach, zanim staną się prawem. W chwili pisania Omnibus był porozumieniem wstępnym. Do czasu formalnego przyjęcia i publikacji planuj z uwzględnieniem możliwości, że nadal obowiązuje pierwotny harmonogram.

Mylenie reguł GPAI z regułami wysokiego ryzyka. Obowiązki wobec modeli GPAI obowiązują od sierpnia 2025; reżim wysokiego ryzyka to odrębna warstwa z własnymi (teraz przesuniętymi) datami.

Ignorowanie zapytania organu lub odpowiadanie nieformalnie. E-mail bez struktury i bez dokumentów zaprasza do dalszych pytań. Formalna, udokumentowana odpowiedź zamyka sprawę.

Zapominanie o RODO. Jeśli w grę wchodzą dane osobowe, zarządzasz dwoma reżimami jednocześnie, nie jednym.

• 2 sierpnia 2026 wciąż jest główną datą stosowania rozporządzenia (art. 113), z obowiązkami przejrzystości z art. 50, uprawnieniami nadzorczymi i egzekucyjnymi wobec GPAI i aktywnymi ramami sankcji.
• Digital Omnibus w sprawie AI (porozumienie wstępne z 7 maja 2026) przesunąłby obowiązki wysokiego ryzyka: 2 grudnia 2027 dla samodzielnych systemów z załącznika III, 2 sierpnia 2028 dla AI wbudowanej w produkty regulowane.
• Obowiązek dostawców dotyczący oznaczania treści z art. 50 ust. 2 przesunąłby się na 2 grudnia 2026; pozostałe obowiązki z art. 50 zostają na 2 sierpnia 2026.
• Nowe daty są warunkowe, zależne od formalnego przyjęcia i publikacji Omnibusa.
• Rozporządzenie obowiązuje niezależnie od siedziby firmy, jeśli system AI jest wykorzystywany w UE.
• Kary sięgają 35 mln EUR lub 7% światowego obrotu za najpoważniejsze naruszenia i 15 mln EUR lub 3% za wiele innych.
• Otrzymując wezwanie dotyczące zgodności, odpowiadaj formalnie, punkt po punkcie, z dokumentacją. DocuGov.ai może wygenerować to pismo za Ciebie.