EU AI Act dla polskich agencji 2026 – obowiązki, kary, jak się przygotować

EU AI Act – co to jest i kiedy weszło w życie (timeline)

EU AI Act, czyli oficjalnie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 z 13 czerwca 2024 roku, to pierwszy na świecie kompleksowy akt prawny regulujący sztuczną inteligencję. Wszedł w życie 1 sierpnia 2024 roku, ale jego przepisy są wdrażane stopniowo, w czterech falach, aż do połowy 2027 roku.

Dla polskiej agencji marketingowej istotne są cztery daty:

• 2 lutego 2025 – zakaz systemów AI uznanych za niedopuszczalnie ryzykowne (social scoring, manipulacja podświadoma, profilowanie wrażliwych grup)
• 2 sierpnia 2025 – pełne obowiązki dla dostawców General Purpose AI (GPAI) i wszystkich, którzy ich używają komercyjnie
• 2 sierpnia 2026 – pełne enforcement dla systemów wysokiego ryzyka
• 2 sierpnia 2027 – pełne obowiązki dla systemów już istniejących na rynku przed AI Act

Najważniejsza dla nas data, 2 sierpnia 2025, już dawno minęła. Oznacza to, że w 2026 roku jesteśmy w pełni objęci obowiązkami GPAI – a większość polskich agencji nadal udaje, że problem ich nie dotyczy. Tymczasem Komisja Europejska potwierdziła, że pierwsze postępowania compliance ruszyły już w I kwartale 2026 roku.

Jeżeli używasz ChatGPT, Claude'a, Gemini albo Midjourney do tworzenia treści dla klientów – AI Act dotyczy Ciebie. Bez wyjątku. W KC Mobile podchodzimy do compliance proaktywnie – i w tym artykule pokazuję, co konkretnie zrobiliśmy i co Ty musisz zrobić.

2.08.2025 – data graniczna dla GPAI (ChatGPT, Claude, Gemini)

General Purpose AI to kategoria, w której mieszczą się wszystkie modele językowe i generatywne, jakich używają agencje marketingowe. ChatGPT od OpenAI, Claude od Anthropic, Gemini od Google, Mistral, LLaMA, Midjourney, DALL-E – każdy z tych systemów to GPAI w rozumieniu rozporządzenia.

Od 2 sierpnia 2025 dostawcy GPAI muszą:

• Publikować szczegółową dokumentację techniczną modelu
• Udostępniać podsumowanie danych treningowych
• Wdrażać politykę respektowania praw autorskich (zwłaszcza opt-out z TDM)
• Współpracować z AI Office Komisji Europejskiej

Ale uwaga, najważniejsze – obowiązki deployerów (czyli agencji używających tych modeli) też weszły w życie tego samego dnia. IAPP w analizie z marca 2025 wskazuje, że deployer ponosi pełną odpowiedzialność za sposób wykorzystania GPAI w swoim łańcuchu wartości.

W praktyce: jeżeli Twoja agencja generuje teksty blogowe ChatGPT-em i publikuje je u klienta, a ten klient prowadzi działalność wysokiego ryzyka (np. rekrutację, ocenę kredytową, sektor zdrowia), Wasza umowa musi spełniać wymogi AI Act. Nawet jeżeli model klasyfikuje się jako GPAI, kontekst zastosowania może podnieść klasyfikację do high-risk – o czym piszemy w następnej sekcji.

Co zrobiliśmy w KC Mobile na 2 sierpnia 2025? Przeprowadziliśmy pełny audyt cyfrowy wszystkich procesów, w których używamy AI. Zinwentaryzowaliśmy 14 punktów styku z modelami GPAI – od generowania copy reklamowego, przez automatyzacje n8n, po analizę danych w arkuszach.

Czy agencje marketingowe to high-risk AI? Klasyfikacja

To jest pytanie, które zadaje sobie każdy właściciel agencji – i odpowiedź nie jest oczywista. Sam fakt używania AI nie czyni Cię operatorem systemu wysokiego ryzyka. Klasyfikacja zależy od zastosowania, a nie od narzędzia.

Załącznik III rozporządzenia wymienia osiem obszarów wysokiego ryzyka. Z perspektywy marketingu interesują nas dwa:

• Zatrudnienie i HR – jeżeli AI pomaga w rekrutacji, ocenie pracowników, decyzjach kadrowych
• Dostęp do usług prywatnych i publicznych – jeżeli AI decyduje o przyznaniu kredytu, ubezpieczenia, świadczeń

Standardowa agencja marketingowa, która pisze posty blogowe i tworzy kreacje – nie jest dostawcą systemu wysokiego ryzyka. Ale uwaga, są trzy scenariusze, w których agencja może zostać zaklasyfikowana wysoko:

1. Tworzenie systemów scoringu leadów dla klientów z sektora finansowego
2. Implementacja chatbotów podejmujących decyzje wpływające na prawa konsumenta
3. Personalizacja cenowa z wykorzystaniem profilowania (price discrimination)

Future of Life Institute opracował świetne podsumowanie klasyfikacji – polecam każdemu właścicielowi agencji jako must-read przed sierpniem 2026.

W przypadku KC Mobile po analizie ustaliliśmy, że żaden z naszych procesów nie jest high-risk. Ale i tak wdrożyliśmy procedury opisane w sekcji 9 – bo wymogi transparency i AI literacy obowiązują wszystkich deployerów GPAI, niezależnie od klasyfikacji.

5 obowiązków polskiej agencji od 2.08.2025

Niezależnie od tego, czy klasyfikujesz się jako high-risk, czy nie, jako deployer GPAI masz pięć twardych obowiązków, które obowiązują od sierpnia 2025:

1. AI literacy training (art. 4 AI Act)

Każdy pracownik mający kontakt z AI musi przejść szkolenie odpowiednie do jego roli. To dotyczy copywriterów, grafików, account managerów, programistów – wszystkich.

2. Transparency wobec klientów i odbiorców (art. 50)

Każda treść w pełni wygenerowana lub w znaczącym stopniu zmodyfikowana przez AI musi być oznakowana. Dotyczy to tekstów, obrazów, audio i wideo. Komisja Europejska potwierdza, że obowiązek dotyczy treści przeznaczonych do publicznej dystrybucji.

3. Dokumentacja techniczna i operacyjna

Musisz prowadzić rejestr używanych systemów AI, dostawców, celów zastosowania, danych wejściowych i wyjściowych. To nie jest opcja, to obowiązek prawny.

4. Risk assessment

Dla każdego znaczącego wdrożenia AI musisz przeprowadzić ocenę ryzyka. Wymaga to udokumentowanej analizy potencjalnych szkód, środków mitygacji i odpowiedzialności.

5. Zgodność z RODO i prawami autorskimi

AI Act nie zastępuje RODO ani prawa autorskiego. Wszystkie wymogi sumują się – musisz spełnić każdy z osobna.

Jeżeli prowadzisz agencję i nie masz wdrożonych powyższych pięciu punktów, formalnie naruszasz prawo Unii Europejskiej. To brutalne, ale takie są fakty na maj 2026.

AI literacy – wymóg szkolenia zespołu

Artykuł 4 AI Act jest krótki, ale jego konsekwencje są ogromne. Cytuję dosłownie: Dostawcy i deployerzy systemów AI podejmują środki w celu zapewnienia, w możliwie najszerszym zakresie, wystarczającego poziomu kompetencji AI swojemu personelowi i innym osobom zajmującym się obsługą systemów AI.

W praktyce oznacza to, że nie wystarczy puścić zespołowi godzinnego webinaru o ChatGPT. Szkolenie musi być dostosowane do roli. Copywriter potrzebuje wiedzy o prompt engineeringu, hallucinations, źródłach danych treningowych. Grafik – o prawach autorskich do obrazów generatywnych, deep fake liability, watermarkach C2PA. Account manager – o tym, jak komunikować klientom użycie AI, jak konstruować umowy uwzględniające AI Act.

Co minimum musi zawierać szkolenie AI literacy?

• Czym jest AI, jakie ma ograniczenia, gdzie myli się systematycznie (hallucinations)
• Jakie są ryzyka bias w treningu modeli
• Jak chronić dane osobowe i poufne biznesowo wprowadzane w prompcie
• Jak rozpoznawać i mitygować błędy w wyjściu modelu
• Jakie obowiązki transparency masz wobec klienta i odbiorcy końcowego
• Procedura wewnętrzna firmy dotycząca akceptowalnych zastosowań AI

Dokumentacja szkolenia – kto, kiedy, jaki zakres, jaka weryfikacja kompetencji – jest częścią wymaganej dokumentacji compliance. AI Office Komisji Europejskiej opublikowało wytyczne dotyczące AI literacy w lutym 2025 i regularnie je aktualizuje.

W KC Mobile szkolimy zespół co kwartał, z dedykowanymi modułami per rola. Dokumentacja w prostym arkuszu Google: imię, data, zakres, podpis. Nic skomplikowanego, ale konieczne. Jeżeli chcesz wdrożyć podobny proces u siebie, wdrażamy compliance AI dla agencji jako pakiet startowy.

Transparency requirements – jak oznaczać AI content

Artykuł 50 to ten, który najmocniej dotyka pracy agencji. Wymaga oznaczania trzech kategorii treści:

1. Treści wygenerowane przez AI – wszystkie obrazy, audio i wideo wygenerowane sztucznie muszą być oznakowane jako AI-generated, zarówno w metadanych (technicznie, machine-readable), jak i widocznie dla odbiorcy.

2. Deep fakes – treści, które przedstawiają osoby, miejsca, wydarzenia w sposób fałszywy, muszą mieć wyraźną dysklozurę.

3. Treści informacyjne o sprawach publicznych – jeżeli AI generuje tekst informujący o ważnych sprawach publicznych, musi być oznaczony, chyba że tekst przeszedł istotną redakcję ludzką.

Jak to wygląda w praktyce w agencji?

Przy postach blogowych, które piszesz dla klienta z udziałem AI, masz dwie ścieżki. Albo deklarujesz, że tekst powstał z pomocą AI (np. stopka Tekst opracowany przy wsparciu sztucznej inteligencji, redakcja: imię nazwisko), albo dokumentujesz znaczącą redakcję ludzką, która zwalnia Cię z obowiązku oznakowania. Co to znaczy znaczącą? Wytyczne IAPP sugerują redakcję na poziomie co najmniej 30 procent tekstu plus weryfikację merytoryczną wszystkich tez i danych.

Przy grafikach generowanych Midjourneyem albo DALL-E – sytuacja jest prostsza. Każdy obraz wygenerowany przez AI musi mieć metadane C2PA (Content Authenticity Initiative) lub równoważne. Większość nowoczesnych generatorów wprowadza je domyślnie, ale musisz sprawdzić, czy Twój workflow ich nie usuwa (np. kompresja webp, eksport z Photoshopa). Polecam też dodawać dyskretny watermark wizualny.

Na social media zalecenie KC Mobile: jeżeli treść jest w pełni AI, w opisie dodaj #AI lub stosowny disclaimer. Jeżeli jest hybrydowa (AI plus znacząca redakcja) – wskazana, ale nie wymagana. Nasz zespół copywritingu prowadzi taką politykę od początku 2025 roku.

Risk assessment – jak zrobić dla content marketing

Risk assessment to nie jest dokument 50-stronicowy. Ale musi być udokumentowany, datowany i podpisany. W KC Mobile używamy prostego frameworku w pięciu krokach:

Krok 1: Inwentaryzacja procesów AI

Lista wszystkich procesów, w których używasz AI. Per proces: jaki model, jaki cel, jakie dane wejściowe, jakie wyjściowe, kto odpowiada.

Krok 2: Mapowanie ryzyk

Per proces identyfikujesz ryzyka: prawne (RODO, prawa autorskie, AI Act), reputacyjne (hallucinations w copy), finansowe (błędy w cenach, error w automatyzacji), etyczne (bias, dyskryminacja).

Krok 3: Ocena prawdopodobieństwa i wpływu

Klasyczna matryca 5x5. Mała skala wystarczy, nie potrzebujesz frameworków ISO.

Krok 4: Środki mitygacji

Per zidentyfikowane ryzyko: jakie mechanizmy redukcji. Human-in-the-loop dla decyzji wpływających na klienta? Walidacja faktów dla treści informacyjnych? Anonimizacja danych przed promptem? Limit kontekstu?

Krok 5: Monitoring i przegląd

Częstotliwość przeglądu (u nas kwartalnie), trigger ad-hoc (np. nowy model w użyciu, incydent, zmiana regulacji), odpowiedzialność.

Cały dokument mieści się na 4-6 stronach A4. To wystarczy dla standardowej agencji. Polski UODO w komunikacie z grudnia 2025 potwierdził, że standardowa metodyka assessment jest akceptowalna, jeżeli pokrywa pełen zakres ryzyk.

Pomagamy klientom w przygotowaniu takiej oceny w ramach audytu cyfrowego – to logiczne rozszerzenie standardowego audytu o moduł AI compliance.

Kary i enforcement – realne przypadki 2026

Kary za naruszenie AI Act są skopiowane z modelu RODO i są drakońskie:

• 35 mln EUR lub 7 procent globalnego obrotu – za stosowanie zakazanych systemów AI
• 15 mln EUR lub 3 procent obrotu – za naruszenie obowiązków deployer (transparency, dokumentacja)
• 7,5 mln EUR lub 1,5 procent obrotu – za podanie nieprawdziwych informacji do AI Office

Dla typowej polskiej agencji marketingowej (obrót 5-20 mln zł rocznie) realne ryzyko to 3 procent obrotu, czyli 150-600 tys. zł. Plus zakaz świadczenia części usług, koszty postępowania, szkody reputacyjne.

W I kwartale 2026 widzieliśmy pierwsze publiczne postępowania. Najgłośniejsze: niemiecka agencja content marketingowa otrzymała w marcu 2026 karę 2,3 mln EUR za publikowanie AI-generated newsów polityczych bez oznakowania, w okresie kampanii wyborczej do Bundestagu. Reuters opisał sprawę szczegółowo, a w komentarzu eksperckim IAPP wskazano na trzy lekcje: brak transparency, brak dokumentacji, brak risk assessment.

Polski UODO w pierwszym roku enforcement skupia się na działaniach edukacyjnych i wezwaniach do uzupełnienia braków – ale to się szybko zmieni. W komunikacie z lutego 2026 prezes UODO zapowiedział pierwsze kontrole celowane w sektorze marketingu i e-commerce w II kwartale 2026.

Czyli teraz.

Jeżeli prowadzisz agencję marketingową i czytasz ten artykuł 26 maja 2026 roku, masz najprawdopodobniej kilka tygodni do pierwszej fali kontroli. To nie jest scenariusz hipotetyczny. To jest najbliższa rzeczywistość operacyjna.

Co my w KC Mobile robimy z tym (process)

Pełna transparency w stylu don't trust, verify. Oto co zrobiliśmy w KC Mobile w okresie sierpień 2025 – maj 2026:

Inwentaryzacja AI w workflow (sierpień 2025) – 14 punktów styku z AI: generowanie copy blogowego, generowanie meta tagów, automatyzacja w n8n, generowanie grafik webp dla stron usługowych, wsparcie programowania, analiza Search Console, generowanie odpowiedzi dla supportu, audyt SEO.

Polityka AI usage (wrzesień 2025) – jednostronicowy dokument: jakie modele dopuszczalne, jakie dane można wprowadzać w prompt, kiedy wymagana redakcja ludzka, kto akceptuje wyjście.

AI literacy training (październik 2025, marzec 2026) – każdy członek zespołu przeszedł dedykowane szkolenie. Dokumentacja w arkuszu Google.

Risk assessment (listopad 2025, kwiecień 2026) – pełna ocena ryzyk, kwartalny przegląd.

Transparency policy (grudzień 2025) – polityka oznakowania treści. Wszystkie nasze blogi (włącznie z tym, który czytasz) mają dyskretne Treść opracowana z wsparciem AI, redakcja merytoryczna: Krzysztof Czapnik w stopce. Grafiki – metadane C2PA plus watermark.

Klauzule umowne (styczeń 2026) – nowe wzorce umów z klientami zawierają sekcję AI usage: jakie procesy AI obejmuje umowa, jakie wymogi transparency, podział odpowiedzialności.

Polityka dostawców (marzec 2026) – ankieta DPA-style do każdego dostawcy AI: jak chronią dane, jakie mają certyfikaty, jak współpracują w razie naruszenia.

Łącznie: nieco ponad 80 godzin pracy zespołu w okresie 9 miesięcy. To realny koszt, ale pomijalny w porównaniu z ryzykiem kary 150-600 tys. zł. Jeżeli chcesz powtórzyć ten proces w swojej agencji, oferujemy gotowy pakiet wdrożeniowy – z naszymi szablonami, checklistami i 4-godzinną sesją szkoleniową.

Klienci pytają – jak im to wyjaśnić w 2026

Coraz więcej klientów pyta wprost: czy treść, którą dla mnie tworzycie, jest AI?. To dobre pytanie i zasługuje na uczciwą odpowiedź.

W KC Mobile odpowiadamy w trzech krokach:

1. Tak, używamy AI – ale zawsze z redakcją ludzką

Nie ukrywamy. AI jest narzędziem, podobnie jak edytor tekstu, Photoshop czy Google Analytics. Pytanie nie brzmi czy AI, tylko jak.

2. Każdy tekst przechodzi weryfikację merytoryczną

Nasi specjaliści weryfikują tezy, dane, źródła. Bez wyjątku. Hallucinacja AI w copywritingu to ryzyko reputacyjne dla klienta – nie tolerujemy go.

3. Mamy udokumentowany proces compliance

Pokażemy klientowi naszą politykę AI, risk assessment, dokumentację szkoleń. To jest argument przewagi konkurencyjnej.

W rozmowach z klientami warto uprzedzać pytania – wprowadzić temat AI samemu, zanim zrobi to konkurencja albo media. Klienci doceniają proaktywność i transparency. W naszych propozycjach komercyjnych sekcja Jak używamy AI jest standardowa od jesieni 2025 – i konwertuje lepiej niż wcześniejsze propozycje bez tej sekcji.

Co jeszcze warto powiedzieć klientowi? Że automatyzacje AI i content marketing z AI to nie jest hype – to jest standard branżowy 2026. Klient, który tego nie używa, jest 18-24 miesiące w tyle za konkurencją. Pytanie więc nie brzmi czy AI, tylko jak mądrze i jak compliance.

I tu wracamy do punktu wyjścia – do AI Act. Jeżeli Twoja agencja używa AI bez compliance, nie tylko narusza prawo. Naraża też Twoich klientów na ryzyko prawne i reputacyjne. To jest argument, który zaczyna chwytać na rynku 2026.

FAQ

Czy AI Act dotyczy mojej małej agencji do 5 pracowników?

Tak. AI Act nie zna progu wielkości firmy dla obowiązków deployerów. Każdy podmiot komercyjnie używający GPAI – ChatGPT, Claude'a, Midjourneya – jest objęty rozporządzeniem od 2 sierpnia 2025. Kary są proporcjonalne do obrotu, ale obowiązki dokumentacyjne i transparency są identyczne dla firm jednoosobowych i międzynarodowych korporacji.

Czy ChatGPT używany do pisania maila to też AI Act?

W praktyce wewnętrzne użycie AI do osobistej produktywności (mail, notatki, robocze drafty) nie wymaga pełnego compliance, jeżeli wyjście nie jest publikowane ani dystrybuowane komercyjnie. Ale jak tylko tekst trafia do klienta, na bloga albo w reklamę, obowiązki transparency i risk assessment zaczynają obowiązywać. Granica jest cienka – w wątpliwościach lepiej dokumentować.

Jak udowodnić, że tekst przeszedł znaczącą redakcję ludzką?

Zachowuj wersje robocze i finalne, prowadź dokumentację godzin pracy redakcyjnej, oznaczaj autorów. W razie kontroli AI Office albo UODO ścieżka audytowa od promptu do publikacji jest kluczowa. W KC Mobile używamy systemu kontroli wersji w Notion plus arkusza godzin – proste, skuteczne, akceptowalne dowodowo.

Czy mogę używać Midjourneya komercyjnie po AI Act?

Tak, ale z trzema warunkami: subskrypcja komercyjna (Pro lub Mega), metadane C2PA pozostają w pliku, widoczne oznakowanie AI-generated dla odbiorcy. Dodatkowo zalecam weryfikację, czy wygenerowany obraz nie narusza praw autorskich (similarity check) – Midjourney nie daje gwarancji oryginalności wyjścia.

Czy AI Act zabrania używania ChatGPT do scoringu leadów?

Nie zabrania, ale wprowadza wymogi. Scoring leadów to potencjalnie wysokie ryzyko, jeżeli wpływa na dostęp do usług (kredyty, ubezpieczenia, zatrudnienie). Wymagana jest dokumentacja decyzji, możliwość human-in-the-loop, transparency dla osoby skoringowanej. W praktyce: dla scoringu B2B w sprzedaży SaaS – tak. Dla scoringu kredytowego B2C – wymaga klasyfikacji high-risk i pełnej dokumentacji.

Kto kontroluje wykonanie AI Act w Polsce?

Komisja Europejska prowadzi AI Office na poziomie unijnym. W Polsce wskazano UODO jako organ właściwy do większości spraw związanych z AI Act, w szczególności tam, gdzie krzyżuje się z RODO. UKE, UOKiK i KNF mają role w obszarach sektorowych. Dokładny podział kompetencji wynika z ustawy implementującej, która została przyjęta w styczniu 2026.

Czy potrzebuję ubezpieczenia od kar AI Act?

Część ubezpieczeń odpowiedzialności cywilnej zawodowej (PI) i cyber rozszerzono o klauzule AI od początku 2026. Sprawdź swoją polisę – jeżeli nie obejmuje kar regulacyjnych, rozważ rozszerzenie. Średnia składka dla agencji 10-osobowej to 8-15 tys. zł rocznie za pełny pakiet cyber plus AI compliance.

Czy lepiej zatrudnić AI compliance officera, czy outsourcować?

Dla agencji do 30 osób – outsourcing jest tańszy i skuteczniejszy. Zewnętrzny ekspert z aktualną wiedzą zrobi audyt, przygotuje politykę i przeszkoli zespół w 30-50 godzin pracy. Zatrudnienie etatowe ma sens powyżej 50 pracowników, przy intensywnym użyciu AI w core processach (np. agencja stricte AI-first).

Czy AI Act wpływa na SEO i pozycjonowanie?

Pośrednio tak. Pozycjonowanie SEO coraz częściej wykorzystuje AI do generowania content briefów, optymalizacji meta tagów, klasteryzacji słów kluczowych. Wszystkie te procesy wymagają compliance. Plus Google i Bing wprowadzają sygnały rankingowe związane z autentycznością treści (Helpful Content Update, E-E-A-T) – treści AI bez redakcji ludzkiej tracą widoczność w wyszukiwarce.

Co jeżeli klient sam używa AI bez mojej wiedzy?

Twoja odpowiedzialność dotyczy procesów, którymi sterujesz. Ale dobra praktyka to ankieta wstępna przy onboardingu klienta – pytanie wprost, jak klient używa AI w swoich procesach i czy potrzebuje wsparcia compliance. To jest dodatkowa usługa, którą można świadczyć (i monetyzować). Wiele agencji w 2026 dodaje pakiet AI Act ready do oferty audytowej.