AI Act dla małych firm: 5 pułapek, które musisz znać
Jak mała firma powinna przygotować się do AI Act? Poznaj obowiązki prawne, terminy wdrażania i praktyczne kroki, aby uniknąć kar do 35 mln euro.
Mała firma musi przygotować się do AI Act, bo przepisy dotyczą wszystkich przedsiębiorstw, niezależnie od wielkości — a obowiązki zaczynają się już w 2025 roku. Regulacja wprowadza konkretne terminy, wymaga dokumentacji i grozi karami, ale dla MŚP przewidziano wsparcie i niższe sankcje. Czego dokładnie powinna się bać mała firma i co zrobić już teraz?
Pułapka 1: Pracownicy używają AI bez wiedzy szefa
Najczęstszy problem powstaje poza oficjalnymi zakupami. Pracownicy zakładają konta w publicznych generatorach tekstu, tworzą grafiki, podsumowują umowy, odpowiadają na wiadomości i analizują arkusze — a właściciel firmy może w ogóle o tym nie wiedzieć. Wtyczki AI pojawiają się także w programach biurowych, systemach sprzedażowych i aplikacjach do rekrutacji.
Rozwiązanie: Zacznij od krótkiego rejestru narzędzi. Inwentaryzacja powinna wskazać nazwę każdego narzędzia, dostawcę, użytkowników, cel, kategorie przetwarzanych danych, rodzaj generowanych wyników i to, czy wynik wpływa na decyzję dotyczącą człowieka. To nie musi być rozbudowana dokumentacja — wystarczy prosty spis, który będziesz aktualizować.
Pułapka 2: Chatbot nie informuje, że to AI
Od 2 sierpnia 2026 r. użytkownik powinien zostać poinformowany, że bezpośrednio komunikuje się z systemem AI — chyba że jest to oczywiste. Obowiązek dotyczy chatbota w małym sklepie internetowym, voicebota umawiającego wizyty w salonie, wirtualnego doradcy odpowiadającego klientom biura rachunkowego czy bota odpowiadającego na pytania na profilu informacyjnym.
Co ważne: nie wystarczy ukryć informację w regulaminie. Powinna pojawić się najpóźniej przy pierwszej interakcji i być czytelna oraz dostępna — na przykład w postaci wyraźnego komunikatu “Rozmawiasz z botem AI”.
Pułapka 3: Rozpoznawanie emocji pracowników
Rozpoznawanie emocji w miejscu pracy i podczas rekrutacji jest zakazane od 2 lutego 2025 r. — to już niedługo. Wyjątkami są wyłącznie wąskie zastosowania medyczne i bezpieczeństwa. Mała firma nie może używać programu analizującego mimikę lub głos kandydata w celu ustalenia pewności siebie tylko dlatego, że dostawca oferuje funkcję w tanim abonamencie. Dostępność produktu nie przesądza o legalności.
Analogicznie narzędzia filtrujące CV, punktujące kandydatów, przydzielające zadania i oceniające wydajność mogą należeć do systemów wysokiego ryzyka. Szczegółowe obowiązki tej kategorii mają być stosowane od 2 grudnia 2027 r., ale już teraz obowiązują przepisy prawa pracy, RODO i zakaz dyskryminacji.
Pułapka 4: Pracownik wkleja dane klienta do ChatGPT
Ryzyko wykracza poza AI Act. Pracownik może wkleić do generatora dane klienta, projekt umowy, kod źródłowy lub nieopublikowany cennik — co narusza RODO, tajemnicę przedsiębiorstwa, obowiązek poufności oraz prawa autorskie.
Rozwiązanie: Firma potrzebuje jasnych zasad określających dozwolone narzędzia, rodzaje danych, sposób anonimizacji i przypadki wymagające akceptacji. Zakaz używania wszystkich publicznych modeli bywa trudny do egzekwowania, jeśli przedsiębiorstwo nie zapewnia bezpiecznej alternatywy. Skuteczna polityka powinna łączyć ograniczenia z praktycznym szkoleniem i kontrolą konfiguracji.
Pułapka 5: Brak dokumentacji i szkolenia
Obowiązek zapewniania odpowiednich kompetencji w zakresie AI obowiązuje od 2 lutego 2025 r. i dotyczy także mniejszych organizacji. Zakres szkolenia powinien odpowiadać ryzyku i zadaniom personelu.
Co robić: Firma nie potrzebuje rozbudowanego komitetu, jeśli używa dwóch prostych narzędzi. Potrzebuje jednak dowodów, że świadomie oceniła ryzyko. Krótka, aktualizowana dokumentacja, jasne uprawnienia i szkolenie personelu są bardziej użyteczne niż obszerny regulamin, którego nikt nie stosuje.
Harmonogram obowiązków dla małych firm
| Data | Obowiązek |
|---|---|
| 2 lutego 2025 r. | Szkolenie personelu w zakresie AI; zakaz rozpoznawania emocji |
| 2 sierpnia 2026 r. | Informowanie użytkowników o komunikacji z AI (chatboty, voiceboty) |
| 2 grudnia 2027 r. | Pełne obowiązki dla systemów wysokiego ryzyka (rekrutacja, ocena wydajności) |
Co to oznacza dla Twojej firmy
Małe firmy mają mniej czasu niż się wydaje. Jeśli używasz chatbota, wirtualnego doradcy lub narzędzi do rekrutacji, musisz działać już teraz. Zacznij od inwentaryzacji, przygotuj komunikaty dla użytkowników, przeszkolisz zespół i udokumentujesz decyzje.
Dobrą wiadomością jest, że regulacja przewiduje wsparcie dla MŚP: priorytetowy dostęp do piaskownic regulacyjnych, działań informacyjnych, specjalnych kanałów komunikacji i odpowiedniego wsparcia. Opłaty za ocenę zgodności mają uwzględniać wielkość firmy, aby nie tworzyć nieproporcjonalnych barier.
Kary dla MŚP są niższe niż dla dużych firm — maksymalnie 35 mln euro lub 7% obrotu za zakazane praktyki — ale i tak mogą być dotkliwe dla małego przedsiębiorstwa. Dlatego warto działać proaktywnie: przygotuj rejestr narzędzi, wyznacz osobę odpowiedzialną, przeszkolisz pracowników i przejrzyj umowy z dostawcami. To zajmie ci kilka dni, a zaoszczędzi potencjalne problemy prawne.
Najczęstsze pytania
Czy mała firma musi się dostosowywać do AI Act?
Tak. AI Act dotyczy wszystkich przedsiębiorstw, w tym MŚP i start-upów. Obowiązki są jednak zróżnicowane — przepisy o informowaniu klientów zaczynają obowiązywać od 2 sierpnia 2026 r., a o szkoleniu personelu od 2 lutego 2025 r.
Jakie są kary za niezgodność z AI Act dla małych firm?
Maksymalne kary dla MŚP wynoszą: 35 mln euro lub 7% obrotu za zakazane praktyki, 15 mln euro lub 3% za brak dokumentacji, oraz 7,5 mln euro lub 1% za inne naruszenia. Zawsze wybiera się niższą z dwóch kwot.
Od kiedy chatbot musi informować, że to AI?
Od 2 sierpnia 2026 r. każdy chatbot, voicebot czy wirtualny doradca musi wyraźnie poinformować użytkownika o komunikacji z systemem AI przy pierwszej interakcji — ukrycie tego w regulaminie nie wystarczy.
Czy mogę zakazać pracownikom używania ChatGPT?
Możesz, ale zakaz będzie skuteczny tylko wtedy, gdy zapewnisz bezpieczną alternatywę i przeszkolisz zespół. Sama restrykcja bez praktycznych rozwiązań jest trudna do egzekwowania.
Co zrobić, jeśli pracownik wklei dane klienta do ChatGPT?
To naruszenie RODO, tajemnicy przedsiębiorstwa i poufności — niezależnie od AI Act. Firma powinna mieć jasne zasady określające dozwolone narzędzia, rodzaje danych i procedury akceptacji.
Na podstawie: Dziennik.pl. Tekst opracowany redakcyjnie.