+48 792 911 906 | kancelaria@cenkier.pl
Joanna Cenkier Radca Prawny
Strona główna
O kancelarii
Specjalizacje
Obsługa firm Nowoczesne technologie Kredyty frankowe Prawo gospodarcze Windykacja Prawo budowlane
Branże
Firmy IT i software houses E-commerce i sklepy online Startupy i scale-upy AI i automatyzacja SaaS i platformy cyfrowe Agencje marketingowe Deweloperzy nieruchomości Firmy budowlane Podwykonawcy budowlani Inwestorzy indywidualni Spółki handlowe Produkcja i przemysł Handel hurtowy i dystrybucja Franczyza Transport i spedycja
Artykuły
Kalkulatory
FAQ
Kontakt
Konsultacja
Strona główna
O kancelarii
Specjalizacje
Obsługa firm Nowoczesne technologie Kredyty frankowe Prawo gospodarcze Windykacja Prawo budowlane
Branże
Firmy IT i software houses E-commerce i sklepy online Startupy i scale-upy AI i automatyzacja SaaS i platformy cyfrowe Agencje marketingowe Deweloperzy nieruchomości Firmy budowlane Podwykonawcy budowlani Inwestorzy indywidualni Spółki handlowe Produkcja i przemysł Handel hurtowy i dystrybucja Franczyza Transport i spedycja
Artykuły
Kalkulatory
FAQ
Kontakt
Konsultacja
Powrót do artykułów Nowoczesne technologie

Polska ustawa o systemach AI uchwalona — co to oznacza dla Twojej firmy?

11 czerwca 2026 9 min czytania
Polska ustawa o systemach AI uchwalona — co to oznacza dla Twojej firmy?

11 czerwca 2026 r. Sejm RP uchwalił ustawę o systemach sztucznej inteligencji stosunkiem głosów 421 do 3, przy 18 wstrzymujących się. Polska dołączyła do grona państw, które stworzyły krajowe ramy egzekwowania unijnych przepisów o AI. Ustawa trafia teraz do Senatu — ale obowiązki dla firm już istnieją.

W artykule omawiamy dwie warstwy prawne, które przedsiębiorca musi dziś rozumieć: polską ustawę krajową — nową, uchwaloną dziś — oraz unijne Rozporządzenie 2024/1689 (AI Act), które stosuje się bezpośrednio od 2024 r. i stanowi podstawę materialną polskiej ustawy.

Polska ustawa: co nowego?

Polska ustawa o systemach sztucznej inteligencji nie tworzy nowych zakazów ani nowych obowiązków merytorycznych dla firm — te wynikają bezpośrednio z AI Act jako rozporządzenia unijnego. Rola ustawy krajowej jest inna: powołuje organ nadzoru, ustala procedury krajowe i określa, kto i jak będzie egzekwował prawo w Polsce.

Przepisy ustawy krajowej wejdą w życie 14 dni od ogłoszenia w Dzienniku Ustaw — co nastąpi po uchwaleniu przez Senat i podpisaniu przez Prezydenta RP.

KRiBSI — Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji

Centralnym elementem ustawy jest powołanie Komisji Rozwoju i Bezpieczeństwa Sztucznej Inteligencji (KRiBSI) — krajowego organu nadzoru rynku AI i jedynego punktu kontaktowego z instytucjami unijnymi, w tym z EU AI Office.

Przewodniczący KRiBSI jest powoływany przez Sejm za zgodą Senatu na pięcioletnią kadencję. W składzie Komisji znajdą się przedstawiciele kluczowych organów regulacyjnych: UOKiK (Urząd Ochrony Konkurencji i Konsumentów), KNF (Komisja Nadzoru Finansowego), KRRiT (Krajowa Rada Radiofonii i Telewizji) oraz UKE (Urząd Komunikacji Elektronicznej).

Uprawnienia KRiBSI:

  • Kontroluje przestrzeganie unijnych i krajowych przepisów dotyczących systemów AI
  • Wszczyna postępowania administracyjne z urzędu lub na skutek skargi
  • Wydaje decyzje nakazowe i postanowienia
  • Nakłada kary finansowe wynikające z AI Act
  • Może nakazać natychmiastowe wycofanie systemu AI z rynku — bez wyroku sądu, z natychmiastową wykonalnością
  • Prowadzi rejestr skarg obywateli i przedsiębiorców
  • Wydaje wiążące opinie indywidualne dla przedsiębiorców w konkretnych sprawach
  • Tworzy piaskownice regulacyjne (regulatory sandboxes)

Społeczna Rada ds. Sztucznej Inteligencji

Przy KRiBSI powstanie Społeczna Rada ds. Sztucznej Inteligencji — organ opiniodawczo-doradczy liczący od 9 do 15 członków. Rada będzie opiniować kluczowe decyzje Komisji i reprezentować perspektywę obywateli oraz środowisk eksperckich.

Piaskownice regulacyjne — warunki i opłaty

Ustawa wprowadza piaskownice regulacyjne (regulatory sandboxes) — kontrolowane środowiska testowania innowacyjnych systemów AI pod nadzorem KRiBSI, z częściowym zawieszeniem pełnych wymogów compliance.

  • Mikro, małe i średnie przedsiębiorstwa — udział bezpłatny
  • Większe podmioty — jednorazowa opłata równowartości trzykrotności minimalnego wynagrodzenia miesięcznego

Piaskownica umożliwia uzyskanie od regulatora wiążącej opinii przed pełnym wdrożeniem — bez ryzyka kary. Zgodnie z wstępnym porozumieniem w sprawie Digital AI Omnibus (7 maja 2026 r.), termin uruchomienia krajowych piaskownic może zostać przesunięty do 2 sierpnia 2027 r.

Unijna podstawa materialna: AI Act (Rozporządzenie 2024/1689)

Polska ustawa jest przepisem wykonawczym — materialną treść obowiązków dla firm wyznacza Rozporządzenie (UE) 2024/1689 z 13 czerwca 2024 r. Poniżej omawiamy kluczowe obowiązki, które już dziś dotyczą polskich przedsiębiorców.

Obowiązek powszechny: kompetencje AI (art. 4) — od 2 lutego 2025 r.

Art. 4 AI Act nakłada na dostawców i podmioty stosujące AI obowiązek podejmowania działań mających na celu zapewnienie — w możliwie najszerszym zakresie — wystarczającego poziomu kompetencji w dziedzinie AI u pracowników i innych osób obsługujących systemy AI w ich imieniu. Przepis obowiązuje od 2 lutego 2025 r.

Użycie formuły „w możliwie najszerszym zakresie" (to their best extent) oznacza obowiązek starannego działania, nie gwarancji rezultatu. Kluczowe jest dokumentowanie podjętych działań szkoleniowych — KRiBSI może ich wymagać w ramach kontroli.

Zakazane praktyki AI (art. 5) — zakazy obowiązują od 2 lutego 2025 r.

AI Act zakazuje ośmiu kategorii systemów i praktyk AI. Zakazy obowiązują od 2 lutego 2025 r. i są egzekwowalne od 2 sierpnia 2025 r. KRiBSI będzie je teraz egzekwował w Polsce.

Katalog zakazów z art. 5 AI Act:

  • (a) Manipulacja podprogowa i deceptywna — systemy AI stosujące techniki oddziałujące poniżej progu świadomości lub celowo wprowadzające w błąd, skutkujące wyrządzeniem poważnej szkody.
  • (b) Wykorzystanie podatności grup wrażliwych — systemy eksploatujące podatności osób ze względu na wiek, niepełnosprawność lub sytuację społeczno-ekonomiczną.
  • (c) Systemy oceny społecznej (social scoring) — ocenianie osób na podstawie zachowania społecznego, prowadzące do nieuzasadnionego traktowania.
  • (d) Profilowanie kryminalne — ocena ryzyka popełnienia przestępstwa wyłącznie na podstawie profilowania, bez oparcia w obiektywnych faktach.
  • (e) Scraping baz danych biometrycznych — tworzenie baz rozpoznawania twarzy przez masowe pobieranie wizerunków z Internetu lub nagrań CCTV.
  • (f) Rozpoznawanie emocji w miejscu pracy i szkołach — zakaz systemów inferowania stanów emocjonalnych pracowników i uczniów (z wyjątkami medycznymi i bezpieczeństwa).
  • (g) Biometryczna kategoryzacja — systemy klasyfikujące osoby według rasy, orientacji seksualnej, poglądów politycznych, przynależności do związków zawodowych lub przekonań religijnych.
  • (h) Masowe rozpoznawanie twarzy w czasie rzeczywistym — zakaz dla podmiotów prywatnych (wyjątki dla organów ścigania wyłącznie za zezwoleniem sądu).
  • (nowy — Digital AI Omnibus 2026) — systemy generujące nielegalne materiały seksualne z udziałem dzieci oraz tzw. nudifiers. Dla istniejących systemów okres przejściowy do 2 grudnia 2026 r.

Systemy wysokiego ryzyka (Załącznik III AI Act)

Załącznik III AI Act wyznacza osiem kategorii systemów wysokiego ryzyka. Wstępne porozumienie w sprawie Digital AI Omnibus (7 maja 2026 r.) przesuwa termin pełnych obowiązków dla tych systemów z 2 sierpnia 2026 r. na 2 grudnia 2027 r. (dla systemów AI wbudowanych w produkty regulowane z Załącznika I: 2 sierpnia 2028 r.). Do czasu formalnej publikacji Omnibus w Dzienniku Urzędowym UE formalnie obowiązuje termin sierpniowy.

  • 1. Biometria — zdalna identyfikacja biometryczna, kategoryzacja biometryczna według wrażliwych atrybutów, rozpoznawanie emocji. Wyjątek: systemy weryfikacji potwierdzające wyłącznie tożsamość konkretnej osoby.
  • 2. Infrastruktura krytyczna — systemy zarządzające sieciami energetycznymi, wodnymi, transportowymi i cyfrowymi.
  • 3. Edukacja — systemy decydujące o przyjęciu do placówek edukacyjnych, ocenianiu uczniów i studentów, monitorowaniu zachowania podczas testów.
  • 4. Zatrudnienie i zarządzanie pracownikami — selekcja kandydatów, rekrutacja, decyzje o awansach i zwolnieniach, monitorowanie wydajności. Narzędzia ATS z AI-rankingiem kandydatów wpisują się w tę kategorię.
  • 5. Usługi podstawowe i świadczenia — scoring kredytowy i ocena zdolności kredytowej (z wyjątkiem fraud detection), ocena ryzyka w ubezpieczeniach na życie i zdrowotnych, ocena uprawnień do pomocy publicznej.
  • 6. Ściganie i wymiar sprawiedliwości — systemy oceny ryzyka recydywy, wiarygodności dowodów, profilowania; systemy wspierające orzekanie sądowe.
  • 7. Migracja i kontrola graniczna — ocena ryzyka osób ubiegających się o wizę lub azyl, identyfikacja na granicach.
  • 8. Sprawiedliwość i procesy demokratyczne — systemy wspierające decyzje sądowe, systemy mogące wpływać na wyniki wyborów.

Obowiązki dla podmiotów stosujących systemy wysokiego ryzyka

  • System zarządzania ryzykiem (art. 9) — udokumentowany i aktualizowany przez cały cykl życia systemu.
  • Dokumentacja techniczna (art. 11) — szczegółowy opis systemu: architektura, dane treningowe, cele, ograniczenia. Dostępna dla KRiBSI na żądanie.
  • Rejestry logów (art. 12 i art. 26 ust. 6) — logi przechowywane przez co najmniej 6 miesięcy od daty każdego wpisu (przepisy sektorowe mogą wydłużać ten okres).
  • Przejrzystość wobec użytkowników (art. 13) — osoby, wobec których AI uczestniczy w podejmowaniu decyzji, muszą być o tym poinformowane.
  • Nadzór człowieka — human-in-the-loop (art. 14) — pracownik musi mieć realne możliwości interwencji, korekty lub odrzucenia wyników AI.
  • Ocena zgodności przed wdrożeniem (art. 43) — w większości przypadków możliwe samodzielne deklarowanie zgodności (self-assessment).
  • Rejestracja w EU AI Office (art. 49) — obowiązek rejestracji w unijnej bazie danych przed wprowadzeniem do użytku.

Kary (art. 99 AI Act)

Kary za naruszenia AI Act nakłada KRiBSI jako krajowy organ nadzoru. Kary za zakazane praktyki są surowsze niż analogiczne sankcje z RODO:

Naruszenie Duże firmy (wyższa kwota) MŚP i startupy (niższa kwota)
Zakazane praktyki AI (art. 5) 35 mln EUR lub 7% obrotu do 35 mln EUR lub 7% obrotu
Naruszenia wymogów dla systemów wysokiego ryzyka 15 mln EUR lub 3% obrotu do 15 mln EUR lub 3% obrotu
Podanie nieprawdziwych informacji organowi nadzoru 7,5 mln EUR lub 1% obrotu do 7,5 mln EUR lub 1% obrotu

Dla dużych firm stosuje się wyższą z obu kwot. Dla MŚP i startupów — kwotę niższą. Startup z przychodem 500 tys. EUR za naruszenie dotyczące systemu wysokiego ryzyka zapłaci maksymalnie 15 000 EUR (3% obrotu), nie 15 mln EUR. KRiBSI może nakładać kary bez uprzedniego wyroku sądu.

Co zrobić — zalecenia dla przedsiębiorcy

Przesunięcie terminów przez Digital Omnibus daje więcej czasu na compliance dla systemów wysokiego ryzyka. Nie zwalnia jednak z obowiązków już egzekwowalnych: zakazów z art. 5 (od 2 lutego 2025 r.) i obowiązku kompetencji z art. 4 (od 2 lutego 2025 r.). Powołanie KRiBSI oznacza, że oba przepisy będą teraz aktywnie egzekwowane w Polsce.

Zalecane działania:

  1. Audyt systemów AI — rejestr wszystkich narzędzi AI w firmie: własnych i zewnętrznych (SaaS, API, platformy dostawców). Dla każdego systemu: jaki dział, jakie decyzje, jakie dane.
  2. Weryfikacja zakazów (art. 5) — ocena, czy żaden system nie narusza zakazów obowiązujących od 2025 r. Szczególna uwaga: narzędzia HR z analizą emocji, systemy scoringowe, narzędzia marketingowe z personalizacją behawioralną.
  3. Kategoryzacja pod Załącznik III — ustalenie, które systemy wpisują się w kategorie wysokiego ryzyka. Ocena powinna uwzględniać faktyczny sposób użycia, nie tylko deklaracje dostawcy.
  4. Weryfikacja dostawców — zażądanie dokumentacji zgodności z AI Act. Odpowiedzialność wobec KRiBSI może dotyczyć zarówno producenta, jak i podmiotu wdrażającego system.
  5. Szkolenia pracowników (art. 4) — zaplanowanie i udokumentowanie szkoleń z zakresu kompetencji AI dla każdego pracownika mającego kontakt z systemami AI.
  6. Procedury dla systemów wysokiego ryzyka — wdrożenie systemu zarządzania ryzykiem, dokumentacji technicznej, procedury logowania i mechanizmu human-in-the-loop.
  7. Opinia indywidualna lub piaskownica regulacyjna — w przypadku wątpliwości co do kwalifikacji systemu AI, możliwe jest zwrócenie się do KRiBSI o wiążącą opinię indywidualną.

Kancelaria cenkier.pl oferuje wsparcie prawne na każdym etapie dostosowania działalności do wymogów AI Act i polskiej ustawy o systemach AI: od audytu compliance, przez przygotowanie dokumentacji technicznej i procedur, po reprezentację przed KRiBSI.

Skontaktuj się z nami

Podstawa prawna: Rozporządzenie (UE) 2024/1689 z 13 czerwca 2024 r. (AI Act); Ustawa o systemach sztucznej inteligencji, Sejm RP, 11 czerwca 2026 r. (Druk nr 2443); wstępne porozumienie polityczne w sprawie Digital AI Omnibus, Rada UE i Parlament Europejski, 7 maja 2026 r.

Powiązane strony

Specjalizacja: Nowoczesne technologie · Więcej artykułów: Nowoczesne technologie
Umów konsultację
Joanna Cenkier Radca Prawny

Kancelaria Radcy Prawnego specjalizująca się w obsłudze przedsiębiorstw, prawie gospodarczym oraz sprawach frankowych. Ponad 10 lat doświadczenia w ochronie interesów Klientów.

Specjalizacje

  • Wszystkie specjalizacje
  • Obsługa firm
  • Nowoczesne technologie
  • Kredyty frankowe
  • Prawo gospodarcze
  • Windykacja
  • Prawo budowlane

Szybkie linki

  • O kancelarii
  • Branże
  • Kalkulatory
  • Wszystkie artykuły
  • Artykuły — Kredyty frankowe
  • Artykuły — Prawo gospodarcze
  • Artykuły — Nowoczesne technologie
  • Artykuły — Obsługa firm
  • Artykuły — Prawo budowlane
  • Artykuły — Windykacja
  • FAQ
  • Polityka prywatności

Kontakt

  • +48 792 911 906
  • kancelaria@cenkier.pl
  • ul. Krótka 4/3

    20-077 Lublin

© 2026 Kancelaria Radcy Prawnego Joanna Cenkier. Wszelkie prawa zastrzeżone.

NIP: 7123053374 | REGON: 386450770