AI Act (rozporządzenie UE 2024/1689) już obowiązuje i dotyczy każdej firmy używającej sztucznej inteligencji – niezależnie od wielkości zatrudnienia. Dla mikrofirm z 5 osobami kluczowe są uproszczone obowiązki: inwentaryzacja narzędzi AI, szkolenia pracowników, polityka AI i nadzór człowieka. Pełna aplikacja regulacji wchodzi 2 sierpnia 2026 roku – to czas, gdy czekają kary do 35 mln EUR dla firm niezgodnych.
Art. 55 AI Act i uproszczone obowiązki dla firm z mniej niż 10 pracownikami
Wielu przedsiębiorców mylnie wierzy, że AI Act dotyczy tylko korporacji. To błąd: regulacja nie rozróżnia firm po wielkości zatrudnienia. Liczy się fakt korzystania z AI, nie skala działalności. Firma zatrudniająca 5 osób, która używa ChatGPT do przetwarzania danych klientów, podlega tym samym wymogom co korporacja z 5000 pracowników.
Jednakże dla mikrofirm istnieją praktyczne uproszczenia w implementacji:
- Szkolenia mogą być dostosowane do stanowisk – nie wymagają 50-stronicowych materiałów
- Polityka AI może być krótka – wystarczy jasny dokument odpowiadający na 4 pytania: co wolno, czego nie, kto odpowiada, co robić gdy coś pójdzie nie tak
- Osobą nadzorującą AI może być właściciel – w firmach do 50 osób nie trzeba zatrudniać nowej osoby
- Rejestr systemów AI może być arkuszem kalkulacyjnym – nie wymagany jest skomplikowany system
Konkretna ścieżka: 6 kroków dla firmy z 5 osobami
Jeśli masz 5 pracowników w firmie i używasz AI (ChatGPT, Copilot, narzędzia do automatyzacji), przejdź przez tę ścieżkę:
Krok 1: Inwentaryzacja narzędzi AI (tydzień 1-2)
Przejdź przez całą firmę i spisz każde narzędzie AI:
- Wyślij ankietę: „Z jakich narzędzi AI korzystasz w pracy?”
- Sprawdź subskrypcje – czy ktoś rozlicza ChatGPT Plus jako koszt firmowy
- Zidentyfikuj systemy AI wbudowane w CRM, ERP, narzędzia marketingowe
- Stwórz rejestr w arkuszu: nazwa narzędzia, kto używa, do czego, jakie dane przetwarza
Przykład dla firmy 5-osobowej: marketing używa Jasper do treści, księgowość testuje automatyczne rozpoznawanie faktur, handlowcy wklejają notatki do Claude.
Krok 2: Klasyfikacja ryzyka (tydzień 3)
Dla każdego narzędzia określ kategorię ryzyka według AI Act:
| Kategoria ryzyka | Co to oznacza | Wymagania dla MŚP |
|---|---|---|
| Niedopuszczalne | Systemy zakazane (scoring społeczny, manipulacja) | Natychmiastowe wyłączenie |
| Wysokie ryzyko | AI w rekrutacji, kredyty, zdrowie, edukacja | Pełna dokumentacja, nadzór człowieka |
| Ograniczone ryzyko | Chatboty, generatory treści | Przejrzystość – klient musi wiedzieć, że rozmawia z AI |
| Minimalne ryzyko | Filtry spamu, optymalizacja procesów | Minimalne wymogi formalne |
Większość MŚP operuje w obszarze ograniczonego i minimalnego ryzyka.
Krok 3: Szkolenia pracowników (tydzień 4-5)
Obowiązek szkoleń obowiązuje już od 2 lutego 2025 – jeśli jeszcze tego nie zrobiłeś, masz zaległość:
- Zarząd – świadomość regulacyjna, odpowiedzialność, strategia AI
- Pracownicy operacyjni – bezpieczne korzystanie, ochrona danych, rozpoznawanie błędów AI
- IT – aspekty techniczne, monitoring systemów, reagowanie na incydenty
- Dokumentuj szkolenia: lista obecności, zakres, data, potwierdzenie zrozumienia
Szkolenie musi być adekwatne do kontekstu zastosowania – pracownik obsługi reklamacji musi rozumieć inne ryzyka niż ten generujący raporty finansowe.
Krok 4: Polityka AI (tydzień 5-6)
Opracuj wewnętrzny dokument „Polityka korzystania z AI w firmie”:
- Co wolno? – lista dozwolonych zastosowań AI
- Czego nie wolno? – twarde zakazy (dane osobowe, decyzje kadrowe bez nadzoru)
- Kto odpowiada? – wyznaczona osoba nadzorująca systemy AI (w firmie 5-osobowej: właściciel)
- Co robić gdy coś pójdzie nie tak? – procedura zgłaszania incydentów
Dla firm formalnie do 10 osób polityka nie jest rygorystycznie wymagana, ale bez niej firma ponosi pełną odpowiedzialność za błędy pracowników używających AI.
Krok 5: Nadzór człowieka i zabezpieczenia techniczne (tydzień 6-8)
AI nie może podejmować decyzji samodzielnie w kluczowych obszarach – musi być „human in the loop”:
- Skonfiguruj narzędzia AI zgodnie z zasadą minimalizacji danych
- Włącz logi i audit trail – musisz wykazać, co AI robiło i na podstawie jakich danych
- Rozważ lokalne modele AI (on-premise) – żeby dane nie opuszczały infrastruktury firmy
- Ustaw alerty na próby przetwarzania danych wrażliwych
Krok 6: Przegląd kwartalny
Zgodność z AI Act to proces ciągły, nie jednorazowy projekt:
- Czy pojawiły się nowe narzędzia AI? Zaktualizuj rejestr
- Czy były incydenty? Przeanalizuj i popraw procedury
- Czy pracownicy pamiętają zasady? Organizuj odświeżające szkolenia
Lokalne modele AI – rozwiązanie dla polskich MŚP
Lokalne modele AI (on-premise) dają firmie pełną kontrolę nad danymi bez opłat abonamentowych i zapewniają, że dane nie opuszczają infrastruktury. To kluczowe dla zgodności z AI Act i RODO.
Dlaczego lokalne AI dla MŚP?
- Prywatność danych – dane nie trafiają na serwery w USA, co chroni przed naruszeniem RODO
- Koszty – brak opłat abonamentowych po zakupie sprzętu
- Dostosowanie (fine-tuning) – możesz dostosować model na specyficznych danych firmowych
- Zgodność z przepisami – spełnia wymóg AI Act o minimalizacji danych
Popularne lokalne modele dla MŚP (2026)
| Model | Wielkość | Sprzęt | Jakość |
|---|---|---|---|
| Llama 3.1 | 3B-70B | PC z GPU | Bardzo dobry |
| DeepSeek V3 | 671B MoE | Serwer multi-GPU | Bardzo dobry |
| Bielik (polski) | lokalny | PC/Serwer | Dobry w kontekście polskim |
| PLLuM (polski) | 24B | PC/Serwer | Dobry w języku polskim |
Bielik to lokalna alternatywa trenowana według polskiego kontekstu, z możliwością działania lokalnie, bez dostępu do sieci. PLLuM to polski model językowy NASK zbudowany całkowicie w oparciu o polskie źródła danych.
Jak zacząć z lokalnym AI – 6 kroków
- Zdefiniuj cel – wybierz jedno zadanie (np. redagowanie e-maili)
- Oceń sprzęt – sprawdź, czy serwer/PC może uruchomić model; zaplanuj zakup karty GPU
- Pobierz Ollama – narzędzie do lokalnego uruchamiania modeli (ollama.com)
- Dodaj model – np. ollama pull llama3.2
- Przeprowadź pilotaż – udostępnij 2-3 pracownikom, zbierz feedback przez 3-4 tygodnie
- Skaluj i integruj – rozszerz dostęp, rozważ integrację z dokumentami (RAG)
Uruchomienie serwera z llama.cpp:
llama-server -m models/my-model.gguf -c 4096 --host 0.0.0.0 --port 8080Kary i realne scenariusze dla MŚP
Kary za naruszenie AI Act sięgają do 35 mln EUR (lub 7% rocznego obrotu). Dla firmy z obrotem 10 mln PLN rocznie ekspozycja łączna (AI Act + RODO + NIS2) może wynosić ~1,3 mln PLN.
Scenariusz 1: Wyciek danych przez ChatGPT
Pracownik wkleja do ChatGPT listę klientów z danymi kontaktowymi. Dane trafiają na serwery w USA. Klient składa skargę do UODO. Firma odpowiada za naruszenie RODO (transfer) i AI Act (brak szkolenia, brak polityki) – podwójna kara.
Scenariusz 2: Decyzja kadrowa oparta na AI
HR używa AI do preselekcji CV. System odrzuca kandydatów po imieniu (dyskryminacja algorytmiczna). Odrzucony kandydat składa pozew. Firma nie wykazuje nadzoru człowieka – naruszenie wymogów dla systemów wysokiego ryzyka.
Scenariusz 3: Kontrola organu nadzorczego
Organ pyta o rejestr systemów AI, dokumentację szkoleniową, politykę AI. Firma nie ma żadnego z tych dokumentów – sam brak dokumentacji to podstawa do kary administracyjnej.
Kiedy AI Act zaczyna obowiązywać – kluczowe daty
| Data | Co obowiązuje |
|---|---|
| 2 lutego 2025 | Zakaz niedozwolonych systemów + obowiązek szkoleń |
| 2 sierpnia 2025 | Wymogi dla modeli GPAI (AI ogólnego przeznaczenia) |
| 2 sierpnia 2026 | Pełna aplikacja AI Act – wszystkie przepisy wchodzą w życie |
| 2 sierpnia 2027 | Wymogi dla systemów wbudowanych w produkty |
To teraz – czerwca 2026 – jest czas, gdy „za rok będzie za późno”.
Podsumowanie: co zrobić już dziś dla firmy 5-osobowej
- W tygodniu 1-2: Wyślij ankietę o narzędzia AI i stwórz rejestr w arkuszu
- W tygodniu 3: Klasyfikuj ryzyko każdego narzędzia
- W tygodniu 4-5: Przeprowadź szkolenia dostosowane do stanowisk
- W tygodniu 5-6: Stwórz krótką politykę AI (4 pytania)
- W tygodniu 6-8: Skonfiguruj zabezpieczenia, rozważ lokalne AI
- Co kwartał: Przeglądaj rejestr i procedury
Zgodność z AI Act to nie koszt – to inwestycja w bezpieczeństwo firmy. Firmy wdrażające się wcześniej zyskują przewagę konkurencyjną i zaufanie klientów.
Źródła
- AI Act 2024/1689 — przewodnik dla firm – Legal Geek
- AI Act 2026 – co musisz zrobić zanim przyjdą kary | AI SUIT Blog
- Lokalne modele AI w firmie – prywatność, koszty i jak zacząć
- Made in Poland: AI that knows its stuff – FOCUS ON Business
- Polish AI & Tech Industry Roundup – January 31, 2026
