monaltro . pl
← Dziennik
Sztuczna Inteligencja 12 cze 2026 · 10 min czytania · Zespół Monaltro

Polska ustawa o AI uchwalona — co KRiBSI oznacza dla MŚP i jak skorzystać z piaskownicy regulacyjnej

11 czerwca 2026 Sejm uchwalił polską ustawę o systemach AI. Powołuje ona KRiBSI — nowy organ nadzoru nad sztuczną inteligencją — i wprowadza bezpłatne piaskownice regulacyjne dla MŚP. Wyjaśniamy, co to oznacza w praktyce.

11 czerwca 2026 Sejm uchwalił polską ustawę o systemach AI. Powołuje ona KRiBSI — nowy organ nadzoru nad sztuczną inteligencją — i wprowadza bezpłatne piaskownice regulacyjne dla MŚP. Wyjaśniamy, co to oznacza w praktyce.

11 czerwca 2026 roku Sejm RP uchwalił ustawę o systemach sztucznej inteligencji (druk nr 2443). Wynik głosowania: 421 posłów za, 3 przeciw, 18 wstrzymało się. Ustawa trafiła do Senatu i wkrótce stanie się polskim prawem.

Dla właściciela małej czy średniej firmy brzmi to jak odległa abstrakcja. Ale to nie jest kolejny unijny dokument, który wpłynie za rok i na który „ktoś inny” musi zareagować. Ustawa powołuje konkretny polski organ nadzoru nad AI, daje MŚP bezpłatne narzędzia testowania swoich wdrożeń i — co ważniejsze — zaczyna egzekwować przepisy unijnego AI Act, który i tak obowiązuje od 2 sierpnia 2026 roku.

Jeśli używasz chatbota, narzędzia do analizy CV, systemów rekomendacji dla klientów albo automatyzujesz obsługę faktur przez AI — ustawa dotyczy Twojej firmy. Pokażemy, co konkretnie zmienia i od czego zacząć.

Dlaczego polska ustawa o AI to nie tylko formalność

Unijny akt o sztucznej inteligencji — rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 z dnia 13 czerwca 2024 r. — obowiązuje bezpośrednio we wszystkich krajach UE. Szczegółowy opis, czym jest system wysokiego ryzyka i jakie obowiązki nałożył AI Act na firmy, opisaliśmy wcześniej w poradniku dla MŚP przed sierpniem 2026. Nie potrzebuje polskiej implementacji, żeby mieć moc prawną. Jego kluczowe przepisy dotyczące systemów wysokiego ryzyka wchodzą w życie 2 sierpnia 2026 r. Zakazy najbardziej niebezpiecznych zastosowań AI obowiązują od 2 lutego 2025 r.

Problem był jeden: do tej pory Polska nie miała wyznaczonego organu, który pilnuje stosowania tych przepisów w kraju. Kto odbierał skargi? Kto nakładał kary? Kto wydawał interpretacje? W praktyce nikt — bo krajowy organ nadzoru dopiero powstawał.

Ustawa z 11 czerwca 2026 r. to właśnie wypełnienie tej luki. Polska tworzy KRiBSI i nadaje mu kompetencje wynikające z art. 70 i nast. AI Act: nadzór rynkowy, postępowania administracyjne, sankcje, skargi obywateli. Teraz wiadomo, do kogo iść z pytaniem i do kogo trafi kontrola.

Ostrzeżenie: Polska ustawa nie zmienia treści obowiązków z unijnego AI Act — zmienia tylko to, kto je egzekwuje na poziomie krajowym. Jeśli Twoja firma już powinna była przygotować się do AI Act, ta ustawa nie daje nowych odroczenia.

Czym jest KRiBSI i co robi dla Twojej firmy

Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji to niezależna, kolegialna instytucja powoływana przez polskie prawo. Nie jest ministerstwem ani urzędem centralnym — jest specjalizowanym regulatorem, podobnie jak UOKiK dla konkurencji czy KNF dla rynków finansowych.

Skład i niezależność

Przewodniczący KRiBSI będzie powoływany przez Sejm za zgodą Senatu na pięcioletnią kadencję. To ważne: nie premiera, nie ministra — Sejmu. Oznacza to instytucjonalną niezależność od rządu, podobną do modelu znanych niezależnych regulatorów.

W skład Komisji wchodzą także delegaci kluczowych instytucji regulacyjnych:

  • UOKiK — sprawy ochrony konsumentów i reguł konkurencji w kontekście AI
  • UKE — telekomunikacja i sieci
  • KNF — AI w sektorze finansowym (kredyty, ubezpieczenia, scoring)
  • KRRiT — AI w mediach i treściach audiowizualnych

Obsługę organizacyjną i techniczną KRiBSI zapewnia ministerstwo właściwe ds. informatyzacji (Ministerstwo Cyfryzacji). To oznacza, że Komisja ma zaplecze instytucjonalne od pierwszego dnia działania.

Co KRiBSI robi w praktyce

Dla właściciela firmy KRiBSI to przede wszystkim cztery rodzaje kontaktu:

1. Nadzór i kontrole — Komisja może przeprowadzać kontrole firm stosujących lub dostarczających systemy AI. Może żądać dokumentacji, dostępu do systemów, raportów z oceny ryzyka. Jeśli Twoja firma używa AI w obszarach wysokiego ryzyka (np. rekrutacja, scoring kredytowy), powinieneś mieć tę dokumentację gotową.

2. Sankcje administracyjne — KRiBSI będzie nakładać kary za naruszenia AI Act. Unijne przepisy przewidują sankcje do 35 mln EUR lub 7% rocznego obrotu za naruszenia dotyczące zakazanych systemów AI, do 15 mln EUR lub 3% obrotu za inne naruszenia obowiązków. Dla MŚP działa mechanizm proporcjonalności: dla firmy z obrotem 2 mln zł rocznie kara 3% obrotu to ok. 60 tys. zł — zdecydowanie poniżej limitu kwotowego, ale nadal dotkliwa. AI Act wprost nakazuje, żeby kary były proporcjonalne do skali przedsiębiorstwa i nie prowadziły do nieproporcjonalnego obciążenia MŚP.

3. Skargi obywateli — każdy, kto uzna, że system AI działający w jakiejś firmie naruszył jego prawa (np. dyskryminował go przy ocenie wniosku kredytowego lub rekrutacji), może wnieść skargę do KRiBSI. Komisja rozpatruje ją i może wszcząć postępowanie wobec firmy. Jeśli używasz AI do podejmowania decyzji wobec osób — to bezpośrednie ryzyko.

4. Opinie indywidualne — to nowość i duże ułatwienie. Firma może zapytać KRiBSI, czy planowane przez nią wdrożenie AI jest zgodne z przepisami, zanim je uruchomi. Komisja potwierdza legalność działania lub wskazuje, co zmienić. To odpowiednik interpretacji podatkowej — tylko dla AI. Dla MŚP to zmiana gry: zamiast wdrażać i czekać na kontrolę, możesz uzyskać pewność prawną z góry.

Społeczna Rada ds. Sztucznej Inteligencji

Przy KRiBSI powstaje też Społeczna Rada ds. Sztucznej Inteligencji — organ opiniodawczo-doradczy z udziałem m.in. środowisk akademickich, biznesowych i organizacji pozarządowych. Rada opiniuje projekty aktów prawnych dotyczących AI i wydaje rekomendacje. Dla firm to kanał do artykułowania potrzeb branżowych wobec regulatora.

Piaskownica regulacyjna — bezpłatna dla MŚP

Piaskownica regulacyjna (ang. regulatory sandbox) to kontrolowane środowisko, w którym firma może testować i rozwijać innowacyjny system AI pod okiem regulatora — z możliwością uzyskania czasowych odstępstw od niektórych wymogów prawnych.

Analogia z budownictwa: strefa specjalna, gdzie możesz próbować nowych technologii bez pełnych wymagań dla gotowego produktu — ale pod nadzorem inspektora, który widzi, co robisz i może interweniować.

Kto może skorzystać

Piaskownica jest przeznaczona przede wszystkim dla firm rozwijających własne systemy AI — startupów technologicznych, firm wdrożeniowych, dostawców narzędzi AI dla konkretnej branży. Jeśli Twoja firma tylko używa gotowych narzędzi AI (np. ChatGPT, Copilot, gotowy chatbot od dostawcy), piaskownica nie jest dla Ciebie — tu obowiązki spoczywają na dostawcy.

Ale jeśli budujesz własne rozwiązanie AI: klasyfikator dokumentów, system oceny wniosków, chatbota szytego na miarę dla klientów, narzędzie do analizy danych kadrowych — piaskownica może drastycznie ułatwić walidację zgodności.

Warunki uczestnictwa

Polskie prawo realizuje tu bezpośrednio wymóg z unijnego AI Act, który nakazuje krajowym organom nadzoru oferować piaskownice dla MŚP. Kluczowe zasady:

  • MŚP i startupy: udział bezpłatny — to twarda zasada wynikająca z ustawy.
  • Duże firmy: jednorazowa opłata w wysokości trzykrotności minimalnego wynagrodzenia za pracę (ok. 14–15 tys. zł przy aktualnych stawkach).
  • Czas trwania: piaskownica to środowisko tymczasowe, ograniczone do okresu testowania systemu przed rynkowym wdrożeniem.
  • Odstępstwa od przepisów: nie wszystkie, ale Komisja może zezwolić na testowanie w warunkach, które normalnie byłyby niedozwolone lub wymagałyby spełnienia dodatkowych wymogów.

Ostrzeżenie: uczestnictwo w piaskownicy regulacyjnej nie zwalnia firmy z odpowiedzialności cywilnej ani karnej za szkody wyrządzone osobom trzecim podczas testów. Jeśli Twój system AI w trakcie testów podejmie błędną decyzję z realnym skutkiem dla człowieka, możesz ponosić odpowiedzialność niezależnie od faktu bycia w piaskownicy.

Jak aplikować

KRiBSI dopiero startuje — szczegóły procesu aplikacji (formularz, kryteria kwalifikacji, harmonogram) zostaną opublikowane przez Komisję po jej formalnym powołaniu. Do 31 marca każdego roku KRiBSI ma publikować raport z informacjami o dobrych praktykach i działaniu piaskownic. Warto obserwować portal Ministerstwa Cyfryzacji i stronę KRiBSI, gdy pojawi się w sieci.

Dostawca czy podmiot stosujący? To rozróżnienie decyduje o Twoich obowiązkach

Zanim ocenisz, czy i jak AI Act dotyczy Twojej firmy, musisz zrozumieć jedno kluczowe rozróżnienie z rozporządzenia (UE) 2024/1689:

Dostawca (provider) — firma lub osoba fizyczna, która opracowuje system AI lub zleca jego opracowanie i wprowadza go do obrotu lub oddaje do użytku pod własną nazwą handlową. To startupy AI, firmy softwarowe tworzące produkty AI, dostawcy SaaS opartych na modelach językowych.

Podmiot stosujący (deployer) — firma lub osoba fizyczna, która używa systemu AI w ramach swojej działalności zawodowej lub gospodarczej. To restauracja używająca chatbota do zamówień, biuro rachunkowe korzystające z narzędzia OCR do faktur, sklep używający silnika rekomendacji.

Większość MŚP to podmioty stosujące — co oznacza mniejszy zakres obowiązków. Jako podmiot stosujący:

  • Nie musisz prowadzić pełnej dokumentacji technicznej systemu (to obowiązek dostawcy)
  • Nie musisz rejestrować systemu w unijnej bazie danych (to obowiązek dostawcy)
  • Ale musisz: używać systemu zgodnie z jego przeznaczeniem i instrukcjami, informować ludzi, kiedy wchodzą w interakcję z AI, nie używać systemu do celów zakazanych, zapewnić nadzór ludzki nad systemami wysokiego ryzyka

Granica rozmywa się, gdy firma modyfikuje gotowy system AI lub trenuje go na własnych danych — wtedy może stać się dostawcą dla celów AI Act. Jeśli masz wątpliwości, opinia indywidualna KRiBSI to właśnie narzędzie do ich rozwiania.

Kilka typowych scenariuszy, z którymi MŚP trafia do kategorii podmiotu stosującego (mniejsze obowiązki):

ScenariuszRola firmyKluczowy obowiązek
Sklep korzysta z rekomendacji Shopify AIPodmiot stosującyPoinformuj klientów, że rekomendacje są generowane przez AI
Biuro rachunkowe używa OCR od vendoraPodmiot stosującyZapewnij nadzór człowieka nad wynikami
Firma HR używa gotowego rankerka CVPodmiot stosującyOcena ryzyka + nadzór, brak dyskryminacji
Startup buduje własny chatbot AIDostawcaPełna dokumentacja techniczna, rejestracja w bazie UE

Co MŚP powinno zrobić teraz — lista kroków

Ustawa jest w Senacie i za kilka tygodni stanie się prawem. Ale kluczowy termin to nie podpisanie przez Prezydenta, lecz 2 sierpnia 2026 r. — wtedy wchodzi w życie większość przepisów unijnego AI Act, które KRiBSI będzie egzekwować.

1. Zrób inwentaryzację narzędzi AI w firmie

Wypisz, jakich systemów AI używasz lub planujesz używać. Zwykłe aplikacje biurowe (Word, Excel) nie wchodzą w zakres AI Act — ale systemy generujące treść, podejmujące decyzje lub analizujące ludzkie zachowanie już tak. Przykłady z codzienności MŚP:

  • ChatGPT / Copilot w pracy biurowej (generowanie treści, podsumowania dokumentów)
  • Chatbot na stronie obsługujący pytania klientów
  • Narzędzie do selekcji CV lub ranking kandydatów w rekrutacji
  • OCR z klasyfikacją do automatycznego przetwarzania faktur i dokumentów
  • Silnik rekomendacji w sklepie online (które produkty pokazać danemu użytkownikowi)
  • Narzędzie do scoringu klientów (np. ocena wypłacalności, priorytety obsługi)
  • Automatyczna moderacja treści lub opinii na platformie
  • Narzędzie do transkrypcji i podsumowań spotkań (Copilot Teams, Fireflies, tl;dv)

Lista często zaskakuje właścicieli firm — AI jest już wszędzie, tylko pod różnymi nazwami handlowymi.

2. Sprawdź, czy używasz systemów wysokiego ryzyka

Unijny AI Act wymienia w Załączniku III kategorie systemów wysokiego ryzyka. Dla MŚP szczególnie istotne to:

  • Systemy AI w rekrutacji i zarządzaniu pracownikami (selekcja CV, ocena kandydatów)
  • Systemy AI przy udzielaniu kredytów lub ubezpieczeń
  • Systemy AI w e-commerce wpływające na prawa konsumentów
  • Systemy AI używane w edukacji (egzaminy, ocena uczniów)

Jeśli Twoja firma używa AI w tych obszarach, obowiązki są poważniejsze i wymagają konkretnych dokumentów: oceny ryzyka, dokumentacji zgodności, procedury nadzoru człowieka. Dobra wiadomość: jako podmiot stosujący (nie dostawca) większość tej dokumentacji dostaniesz od vendora narzędzia — Twoja rola to uzupełnienie jej o specyficzny kontekst wdrożenia i zapewnienie nadzoru ludzkiego nad decyzjami.

3. Zadbaj o AI literacy w zespole (wymóg Art. 4 AI Act)

Art. 4 unijnego AI Act nakłada na dostawców i podmioty stosujące obowiązek zapewnienia umiejętności w zakresie AI (AI literacy) pracownikom, którzy mają do czynienia z systemami AI. Nie chodzi o szkolenie informatyczne — chodzi o rozumienie podstawowych możliwości i ograniczeń narzędzi, z których pracownicy korzystają.

W praktyce wygląda to tak: jeśli Twój pracownik działu HR używa narzędzia AI do preselekcji CV, musi rozumieć, że system może faworyzować pewne profile i że jego decyzja jest tylko sugestią — nie wyrokiem. Jeśli księgowa używa AI do kategoryzacji faktur, musi wiedzieć, kiedy sprawdzić wynik ręcznie.

Minimalne wymagania dla dokumentacji szkoleniowej:

  • Tematy objęte szkoleniem i data jego przeprowadzenia
  • Lista pracowników, którzy ukończyli szkolenie
  • Krótki opis zakresu i materiałów

Szkolenie kilkugodzinne (2–4 godziny na narzędzie), przeprowadzone przed wdrożeniem lub przy onboardingu nowego pracownika, spełnia wymogi regulatora. Koszt dla MŚP: czas wewnętrzny lub gotowe kursy online (większość platform: kilkaset złotych rocznie na pracownika).

4. Obserwuj KRiBSI po starcie

Gdy Komisja formalnie zacznie działać, pojawi się jej strona z wytycznymi, rekomendacjami i informacjami o piaskownicach regulacyjnych. Szczególnie warto śledzić:

  • Pierwsze decyzje i interpretacje Komisji (kształtują praktykę)
  • Raport roczny do 31 marca (dobra praktyki z piaskownic)
  • Ścieżkę aplikacji do piaskownicy jeśli budujesz własne rozwiązanie AI

5. Rozważ opinię indywidualną przy nowych wdrożeniach

Jeśli planujesz wdrożyć narzędzie AI do procesu, który może dotyczyć praw Twoich klientów lub pracowników — opinia indywidualna KRiBSI to tania polisa. Zamiast zgadywać, czy Twój system kwalifikuje się jako wysokiego ryzyka, zapytaj regulatora wprost.

Podsumowanie

Polska ustawa o systemach AI to nie biurokratyczna formalność — to infrastruktura egzekucyjna dla unijnego AI Act, który obowiązuje już od 2 sierpnia 2026 r. KRiBSI dostaje realne narzędzia: kontrole, sankcje, rozpatrywanie skarg.

Dla MŚP w praktyce oznacza to trzy rzeczy. Po pierwsze, przestaje być bezkarnie ignorować AI Act — jest organ, który go egzekwuje. Po drugie, pojawia się bezpłatna piaskownica regulacyjna dla tych, którzy budują własne systemy AI. Po trzecie, jest opinia indywidualna — możliwość uzyskania pewności prawnej przed wdrożeniem.

Wskazówka: Zanim zaczniesz się martwić KRiBSI, zrób jedną prostą rzecz — wylistuj systemy AI, których Twoja firma używa. Większość MŚP zdziwi się, jak długa ta lista jest. Dopiero z tym obrazem możesz ocenić, gdzie rzeczywiście leży ryzyko regulacyjne. To ćwiczenie zajmuje godzinę i daje więcej niż pół dnia czytania przepisów.

Jeśli chcesz sprawdzić, czy Twoje wdrożenia AI są skonfigurowane zgodnie z nadchodzącymi wymogami, chętnie przeprowadzimy taki przegląd.

§ Zaczynamy

Napisz. Odpiszemy.

Umów 30 minut →