Twoja firma używa AI. Czy wiesz, że może za to odpowiadać prawnie — i co zrobić, zanim to się stanie?
ChatGPT do pisania ofert. Copilot do analizy umów. AI do selekcji CV, oceny zdolności kredytowej, rekomendacji produktów, wyceny ubezpieczeń. Polska gospodarka używa sztucznej inteligencji na masową skalę — często bez świadomości, że od sierpnia 2024 roku obowiązuje w UE regulacja, która czyni to użycie prawnie odpowiedzialnym. EU AI Act to nie jest przyszłość. To jest dziś. A większość firm jeszcze tego nie wie.
EU AI Act: co to jest i kogo dotyczy naprawdę
Rozporządzenie o sztucznej inteligencji (EU AI Act) weszło w życie w sierpniu 2024 roku i jest pierwszym na świecie kompleksowym prawem regulującym stosowanie AI w organizacjach. Nie dotyczy tylko firm technologicznych tworzonych modele. Dotyczy każdej organizacji, która AI używa w procesach biznesowych — zwłaszcza tam, gdzie decyzje AI wpływają na ludzi: pracowników, klientów, partnerow.
Kary za naruszenia: do 35 milionów euro lub 7% globalnego obrotu rocznego. Kategorie ryzyka: od minimalnego po zakazane. W środku — tzw. systemy wysokiego ryzyka, do których zalicza się m.in. AI w rekrutacji, zarządzaniu pracownikami, ocenie zdolności kredytowej i usługach edukacyjnych. Jeśli Twoja firma robi chociaż jedno z tych, a AI jest częścią procesu — przepisy dotyczą Ciebie.
ISO 42001: międzynarodowy standard zarządzania AI
W grudniu 2023 roku ISO opublikowało normę ISO 42001 — pierwszy międzynarodowy standard systemu zarządzania sztuczną inteligencją. Norma definiuje, jak organizacja powinna planować, wdrażać, nadzorować i doskonalić swoje działania z udziałem AI w sposób odpowiedzialny, przejrzysty i zgodny z przepisami prawa.
ISO 42001 to nie jest dokument dla naukowców ani inżynierów ML. To framework zarządczy — na tym samym poziomie abstrakcji co ISO 9001 dla jakości czy ISO 27001 dla bezpieczeństwa informacji. Odpowiada na pytania: Kto w organizacji jest odpowiedzialny za decyzje podejmowane przez AI? Jak oceniamy ryzyko związane z konkretnymi zastosowaniami? Jak reagujemy, gdy system AI działa niezgodnie z założeniami? Jak dokumentujemy, że nasze użycie AI jest legalne i etyczne?
Dlaczego to dotyczy firm, które „tylko używają” AI
Popularne przekonanie brzmi: skoro nie tworzymy modelu AI, tylko kupujemy gotowe narzędzie (ChatGPT, Copilot, system HR), to odpowiedzialność leży po stronie dostawcy. EU AI Act to przekonanie obala.
Prawo rozróżnia tworzenie AI od wdrażania AI. Firma, która włącza narzędzie AI do swojego procesu biznesowego — staje się „wdrażającym” (ang. deployer) i ponosi określone obowiązki: przeprowadzenia oceny ryzyka, zapewnienia nadzoru ludzkiego, informowania osób dotkniętych decyzjami AI, prowadzenia dokumentacji. Brzmi znajomo? To dlatego, że to dokładnie ta sama logika co RODO — i tak samo będzie egzekwowana.
Trzy pytania, które każda firma powinna zadać sobie dziś
1. Gdzie w naszych procesach podejmowane są decyzje z udziałem AI? Rekrutacja, scoring klientów, cennik dynamiczny, analiza ryzyka, obsługa reklamacji przez bota — to wszystko może być systemem AI w rozumieniu nowej regulacji.
2. Czy mamy dokumentację tych zastosowań? EU AI Act wymaga rejestrów, ocen ryzyka i procedur nadzoru. Ich brak to nie „brak przygotowania” — to naruszenie prawa.
3. Kto jest odpowiedzialny? RODO wymusiło stanowisko IOD. AI Act wymusi podobny mechanizm nadzoru nad AI. W większości polskich firm ta rola dziś nie istnieje.
AI Act a ISO 42001: jak się uzupełniają
Unijne rozporządzenie definiuje co trzeba zrobić. ISO 42001 mówi jak. To naturalne połączenie: norma dostarcza framework operacyjny, który pozwala firmom nie tylko spełnić wymogi prawne, ale również zbudować powtarzalny, audytowalny system zarządzania AI — taki, który działa niezależnie od tego, kto aktualnie pełni daną rolę w organizacji.
Certyfikacja ISO 42001 staje się w tym kontekście tym, czym ISO 27001 stało się po RODO: dowodem wobec klientów, partnerów i organów nadzoru, że organizacja traktuje swoje obowiązki poważnie. Nie deklaratywnie — weryfikowalnie.
Kto zyska przewagę — i kiedy
Historia standardów zarządzania pokazuje powtarzalny wzór: najpierw przepisy, potem przetargi publiczne i wymagania korporacyjnych klientów, potem standard rynkowy. ISO 9001 przeszedł tę drogę przez dekadę. ISO 27001 przez pięć lat. ISO 42001 — przy tempie regulacji AI — prawdopodobnie przez dwa do trzech lat.
Firmy, które wdrożą system zarządzania AI dziś — nie czekając na moment, gdy stanie się to wymogiem przetargowym — będą miały certyfikat, doświadczenie i procesy gotowe wtedy, gdy konkurencja będzie dopiero zaczynać. W biznesie B2B to może oznaczać różnicę między wygraniem a przegraniem kontraktu.
Co zrobić jako pierwszy krok?
Nie trzeba zaczynać od pełnego wdrożenia. Wystarczy zacząć od odpowiedzi na trzy pytania powyżej. Następnie: zidentyfikować zastosowania AI w organizacji, ocenić ich kategorię ryzyka według AI Act i sprawdzić, które wymagają pilnej uwagi. Konsultacja ze specjalistą certyfikującym — zarówno od strony normy ISO 42001, jak i interpretacji AI Act — pozwoli określić realny zakres prac i harmonogram.
Jednego można być pewnym: AI w firmach nie zniknie. Regulacje zostaną. A różnica między firmą, która zarządza AI świadomie, a firmą, która AI po prostu używa — będzie coraz wyraźniej widać.