Aktualność · AI Act i nadzór nad AI w Polsce · ok. 6 min czytania

Sejm uchwalił ustawę o AI. Powstał egzekutor, nie nowe zakazy

11 czerwca 2026 roku Sejm przyjął ustawę o systemach sztucznej inteligencji: 421 głosów za, trzy przeciw, osiemnaście wstrzymujących. Komunikaty mówią o zmianie większej niż RODO. Warto jednak rozdzielić dwie rzeczy, bo od tego zależy, jak przygotować organizację: co ta ustawa naprawdę wprowadza, a co tylko powtarza za prawem, które działa od dawna.

Aktualne na 2026-06-11. To nie nowy katalog zakazów. To krajowy aparat egzekwowania prawa, które obowiązuje w Polsce od ponad roku.

Co ta ustawa naprawdę robi

Ustawa nie wprowadza nowych zakazów dotyczących sztucznej inteligencji. Zakazy praktyk niedopuszczalnych, ochrona przed manipulacją podprogową, regulacja deepfake'ów czy ochrona dzieci wynikają wprost z unijnego AI Act, czyli rozporządzenia 2024/1689. Rozporządzenie obowiązuje w Polsce bezpośrednio, bez potrzeby krajowej ustawy. Zakazy z artykułu 5 AI Act stosują się u nas od 2 lutego 2025 roku, ponad rok przed głosowaniem w Sejmie.

Polska ustawa robi coś innego, choć nie mniej istotnego. Buduje aparat egzekwowania tych przepisów: wyznacza organ nadzoru rynku, określa procedury kontrolne, tryb nakładania kar, zasady akredytacji jednostek oceniających zgodność oraz ramy piaskownic regulacyjnych. Bez tego AI Act pozostawał w Polsce normą bez egzekutora. I tak właśnie było przez ponad rok, bo artykuł 113 AI Act wymagał wyznaczenia organów nadzoru do 2 sierpnia 2025 roku. Polska zrobiła to z ponad siedmiomiesięcznym opóźnieniem.

Nowy organ: Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji

Ustawa powołuje Komisję Rozwoju i Bezpieczeństwa Sztucznej Inteligencji, w skrócie KRiBSI. To jedyny organ nadzoru rynku AI w Polsce. Model scentralizowany ma swoje uzasadnienie: oznacza spójną politykę egzekwowania prawa i jeden punkt kontaktu dla przedsiębiorcy. Alternatywą był model rozproszony między kilkanaście organów sektorowych, przyjęty na przykład w Finlandii i Słowenii.

Komisja liczy siedmiu członków. Przewodniczącego powołuje Sejm za zgodą Senatu na pięcioletnią kadencję, z ograniczeniem do dwóch kadencji. Tryb parlamentarny wzmacnia niezależność organu i jest krokiem w dobrą stronę. W składzie zasiadają też dwaj zastępcy oraz przedstawiciele UOKiK, UKE, KNF i KRRiT.

Tu pojawia się strukturalne pęknięcie. Wymóg wyróżniającej wiedzy i dorobku w zakresie sztucznej inteligencji dotyczy wyłącznie przewodniczącego i jego dwóch zastępców. Pozostałej czwórki delegatów ustawa nie obejmuje żadnym wymogiem kompetencji w obszarze systemów AI. Komisja podejmuje uchwały zwykłą większością przy quorum pięciu osób. Oznacza to, że organ nadzorujący jedną z kluczowych technologii może podejmować wiążące decyzje bez gwarancji, że głosująca większość rozumie regulowaną materię. Na tę słabość zwraca uwagę między innymi analiza Polskiego Towarzystwa Informatycznego.

Co realnie zmienia się dla podmiotów regulowanych

Dla firm i instytucji konkret jest w narzędziach, którymi Komisja będzie dysponować.

Kontrola. Zasadą jest kontrola zdalna. Kontrola w siedzibie wymaga odrębnego postanowienia uzasadnionego ryzykiem dla życia, zdrowia lub praw podstawowych. Kontroler musi okazać imienny dokument i pisemne upoważnienie, a także zachować poufność, w tym tajemnice przedsiębiorstwa. Kontrolowany ma 14 dni na podpisanie protokołu lub złożenie zastrzeżeń.

Wiążące opinie indywidualne. Podmiot planujący wdrożenie systemu AI może wystąpić do KRiBSI o wiążącą interpretację swojej sytuacji prawnej. Opinia wydawana jest w 30 dni, w sprawach szczególnie skomplikowanych w 60 dni, za opłatą 150 złotych. Jeśli Komisja nie odpowie w terminie, wniosek uznaje się za uwzględniony zgodnie ze stanowiskiem wnioskodawcy. Mechanizm wzorowany jest na interpretacjach podatkowych. Ma jedną granicę: opinia wiąże organy krajowe, ale nie AI Office ani Komisję Europejską.

Układ łagodzący sankcje. Podmiot, który naruszył przepisy, może negocjować obniżkę kary o 20 do 70 procent w zamian za współpracę i usunięcie skutków. Przy dobrowolnym ujawnieniu naruszenia obniżka sięga nawet 90 procent.

Kary. Ustawa odsyła do rozdziału XII AI Act, który przewiduje kary liczone jako procent globalnego obrotu: do 35 milionów euro lub 7 procent obrotu za naruszenie zakazów z artykułu 5, do 15 milionów euro lub 3 procent za inne naruszenia. To model proporcjonalny, znany z RODO.

Piaskownica regulacyjna. Środowisko testowe pod nadzorem Komisji, z częściowym zwolnieniem z wymogów AI Act, przydatne dla startupów i podmiotów testujących nowe rozwiązania. AI Act wymaga uruchomienia co najmniej jednej piaskownicy do 2 sierpnia 2026 roku.

Pięć luk, których ustawa nie domyka

  1. Systemy wysokiego ryzyka bez organu. Ustawa nie wyznacza nadzoru dla systemów z załączników I i III AI Act, czyli tych stosowanych w rekrutacji, ochronie zdrowia, infrastrukturze krytycznej czy wymiarze sprawiedliwości. To one są objęte najcięższymi obowiązkami. Projektodawca odsyła do prac nad Digital Omnibus on AI, którego kształtu nie znamy.
  2. Relacja KRiBSI z UODO. Większość systemów wysokiego ryzyka przetwarza dane osobowe, więc będzie naruszać jednocześnie AI Act i RODO. Ustawa przewiduje jednozdaniowy obowiązek współpracy obu organów, bez podziału kompetencji i bez mechanizmu rozstrzygania sporów. Podmiot kontrolowany może nie wiedzieć, kto prowadzi jego sprawę i na jakiej podstawie.
  3. Luka kontrolna. Kontroler ma prawo do dokumentacji, danych i wyjaśnień, ale nie do żądania uruchomienia działającego systemu i przeprowadzenia testów funkcjonalnych. Ocena systemu uczenia maszynowego wyłącznie z dokumentacji przypomina ocenę leku z samej ulotki.
  4. Brak terminu piaskownicy. Ustawa nakazuje Komisji ustanowić piaskownicę, ale nie określa, do kiedy. Przy realnym harmonogramie powołania Komisji termin z AI Act jest zagrożony.
  5. Społeczna Rada bez wynagrodzenia. Organ doradczy liczący od 9 do 15 osób ma działać bez wynagrodzenia. Efekt selekcji jest przewidywalny i nie sprzyja pozyskaniu najwyższych kompetencji.

To dopiero etap sejmowy

Uchwalenie przez Sejm nie oznacza, że ustawa obowiązuje. Przed nią Senat, podpis Prezydenta, publikacja i vacatio legis. Sam AI Act stosuje się etapami: większość przepisów od sierpnia 2026 roku, pełne obowiązywanie w 2027 roku.

W chwili publikacji oficjalna strona przebiegu procesu na sejm.gov.pl pokazuje prace do II czytania z 10 czerwca i skierowanie projektu ponownie do komisji. To typowe opóźnienie aktualizacji Systemu Informacyjnego Sejmu. Wynik głosowania końcowego z 11 czerwca raportują RMF24 i PAP.

Co to znaczy w praktyce

Pytanie przestaje brzmieć „czy używamy AI". Zaczyna brzmieć „czy potrafimy wykazać zgodność". A to znaczy: rejestr systemów AI, klasyfikacja ryzyka, przypisana odpowiedzialność i dokumentacja pozwalająca odtworzyć, jak system działał. Dla systemów wysokiego ryzyka AI Act wymaga wprost rejestrowania zdarzeń, czyli logów z całego cyklu życia systemu (artykuł 12).

Dla sektora regulowanego, kancelarii i podmiotów związanych tajemnicą zawodową dochodzi drugi wymiar. Kontroler KRiBSI ma wprawdzie obowiązek zachować tajemnicę przedsiębiorstwa, ale systemy AI przetwarzające dane wrażliwe trafiają jednocześnie pod nadzór KRiBSI i UODO. Im bardziej dane są poufne, tym ważniejsze staje się jedno pytanie: czy potrafimy odtworzyć, na jakiej podstawie system podjął decyzję, i czy ten ślad da się pokazać organowi.

Werdykt

Organizacje, które zaczną teraz od inwentaryzacji swoich systemów AI i przypisania za nie odpowiedzialności, potraktują tę ustawę jako kolejny etap. Reszta dowie się o niej przy pierwszej kontroli. Nie zmienia tego fakt, że to dopiero Sejm, a nie koniec drogi legislacyjnej. Aparat egzekwowania powstaje, a wraz z nim adresat pytania, na które dotąd nie było komu odpowiadać.

Co MateMatic wnosi

Wykazanie zgodności to dowód, nie deklaracja

Pomagamy zbudować to, czego szuka nadzór: rejestr systemów AI, klasyfikację ryzyka, przypisaną odpowiedzialność i audytowalny ślad każdego istotnego wyniku. Na konkretnym obiegu dokumentów kancelarii, nie na slajdzie.

Skontaktuj się →
Wiesław Mazur - MateMatic
Bezpieczna architektura AI dla kancelarii · matematicsolutions.com
#ustawa-o-AI #AI-Act #KRiBSI #nadzor-AI #AI-governance #RODO #systemy-wysokiego-ryzyka #tajemnica-zawodowa #LegalTech #druk-2443

Źródła

  • Sejm RP, rządowy projekt ustawy o systemach sztucznej inteligencji, druk nr 2443, oraz przebieg procesu legislacyjnego (X kadencja): sejm.gov.pl (druk 2443)
  • Sprawozdania Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii: druk nr 2614 (2 czerwca 2026) i druk nr 2614-A (10 czerwca 2026).
  • Relacja z głosowania końcowego 11 czerwca 2026 (421 za, 3 przeciw, 18 wstrzymujących): RMF FM / RMF24, za PAP.
  • Analiza projektu, Karolina Wilamowska, Polskie Towarzystwo Informatyczne: pti.org.pl
  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 (AI Act) - art. 5, art. 12, art. 113, rozdział XII: eur-lex.europa.eu (CELEX 32024R1689)

Oceny w tej aktualności są stanowiskiem MateMatic, nie zastępują doradztwa prawnego i nie stanowią stanowiska PUODO, NRA ani KRRP. Na dzień publikacji ustawa jest na etapie sejmowym: czeka ją Senat, podpis Prezydenta, publikacja i vacatio legis, a treść może się jeszcze zmienić. Wynik głosowania końcowego przytaczamy za relacjami medialnymi (RMF24, PAP); oficjalny zapis na sejm.gov.pl w chwili publikacji nie obejmował jeszcze III czytania.