DAGO.ADVISORY VOL.01 · Q0.2026 METODYKA v1.0 POLSKI MID-MARKET · 50–500 MLN PLN NAJBLIŻSZY DAGO INDEX · 2026.05.04 PL EN · soon
§ Perspektywa regulacyjna Kwiecień 2026 · 9 min

Dlaczego większość polskich polityk AI jest 18 miesięcy za EU AI Act

Osiem miesięcy po starcie etapowego egzekwowania EU AI Act w polskim mid-markecie widać prawidłowość. Polityki, które miały dobrze wyglądać w pakiecie dla zarządu, nie zostały zaktualizowane pod to, co naprawdę weszło w życie.

Autor Michał Skwarczyński Dago Advisory

Po ośmiu miesiącach etapowego stosowania EU AI Act w polskim mid-markecie widać prawidłowość: większość wewnętrznych polityk dotyczących AI nie została zaktualizowana do obowiązujących już wymogów. W materiałach dla zarządu nadal wyglądają na aktualne. W audycie już nie wyglądają — a audyty są bliżej, niż większość zarządów to sobie wyobraża.

Co się stało

Między końcem 2024 a początkiem 2025 roku mniej więcej dwie trzecie polskich spółek mid-cap z GPW przyjęło „politykę AI" albo „ramy ładu AI". Te dokumenty były na ogół starannie napisane. Powoływały się na rozporządzenie. Mówiły o legalności, sprawiedliwości, przejrzystości, nadzorze człowieka i rozliczalności. Komitet zarządu je zatwierdził. Dział komunikacji je ogłosił.

Tyle że niemal wszystkie pisano pod wyobrażenie Aktu z połowy 2024 roku — jako rozporządzenia zasad — a nie pod Akt, który ostatecznie zaczął obowiązywać w 2025 i 2026: szczegółowy, artykuł po artykule, instrument z konkretnymi obowiązkami dla konkretnych kategorii ryzyka, konkretnymi wymogami testowania i konkretną dokumentacją, której może zażądać właściwy organ.

Polityki opisywały właściwe wartości. Nie opisywały realiów operacyjnych, których wymaga dziś Akt. To jest właśnie ta luka 18 miesięcy.

Trzy konkretne luki

01 · Integracja modeli GPAI sprowadzana do decyzji zakupowej

Od sierpnia 2025 roku dostawcy modeli ogólnego przeznaczenia podlegają szczegółowym obowiązkom dotyczącym dokumentacji, przejrzystości i ryzyk systemowych — artykuły 53–55. Istotne jest, że po stronie podmiotu stosującego — czyli w praktyce większości polskich firm średniej skali korzystających z GPT-4, Gemini, Claude albo dowolnego innego GPAI — pojawiają się własne obowiązki zgodności. Muszą trzymać dokumentację, która pozwala wyjaśnić, co robi zintegrowany model, jakie dane do niego trafiają, które zastosowania przekraczają próg „wysokiego ryzyka" i jaki proces nadzoru człowieka go obejmuje.

Nie widzieliśmy jeszcze polskiej polityki w mid-markecie, która przekładałaby to na konkretne procedury operacyjne. Większość traktuje „korzystanie z OpenAI" jak decyzję zakupową udokumentowaną przez dział zakupów, a nie jako regulowaną integrację objętą AI Act. To jest najczęstsze niedopasowanie, jakie spotykamy: polityka, która przechodzi przez zarząd, ale nie instruuje zakupów, danych ani działu produktu w sposób, który przeżyje wniosek o udostępnienie dokumentów.

02 · Klasyfikacja ryzyka wykonana raz i później nieaktualizowana

Artykuł 6 i Załącznik III precyzyjnie definiują kategorię „wysokiego ryzyka". Większość polityk klasyfikuje zastosowania AI w firmie raz — zwykle na warsztacie z partnerem z Big 4 — i już do tej klasyfikacji nigdy nie wraca. To niebezpieczna postawa.

Dlaczego: granica się przesuwa. System personalizacji marketingowej, który w 2024 roku był ewidentnie w kategorii ograniczonego ryzyka, w 2026 niebezpiecznie zbliża się do granic profilowania z Załącznika III, jeżeli zbiór danych wchłonął atrybuty chronione albo dołożono do niego nowe zastosowanie. Firmy, których klasyfikacja ryzyka żyje wyłącznie w załączniku do memo dla zarządu, nie mają mechanizmu, który zauważy moment, w którym system po cichu przekracza granicę. To drugie niedopasowanie: polityki, które nie mają stałego trybu przeklasyfikacji.

03 · Praktyki zakazane spychane do regulaminów dostawców

Artykuł 5 zakazuje konkretnych praktyk — zdalnej identyfikacji biometrycznej w przestrzeni publicznej (z wąskimi wyjątkami), wnioskowania o emocjach w zatrudnieniu i edukacji, scoringu społecznego oraz określonych technik manipulacji poznawczej. Większość polskich polityk cytuje artykuł 5 dosłownie i przechodzi dalej.

Czego nie robi: nie przegląda całego łańcucha dostawców. Gotowe platformy HR z modułem „analizy sentymentu", systemy analityki handlu detalicznego z biometrycznym pomiarem natężenia ruchu klientów, narzędzia scoringu ubezpieczeniowego oparte na nieprzejrzystym zestawie cech — niemało z nich na pierwszy rzut oka ociera się o artykuł 5. Polityka, która granice praktyk zakazanych deleguje do regulaminu dostawcy, w praktyce nie deleguje ich do nikogo. To trzecie niedopasowanie i to ono najpewniej doprowadzi do pierwszej fali publicznych decyzji organów nadzoru.

Dlaczego teraz

Sierpień 2026 to moment, w którym obowiązki dla systemów wysokiego ryzyka z Rozdziału III Aktu zaczynają obowiązywać w całości. Do tej daty polska firma operująca systemem wysokiego ryzyka musi mieć działający system zarządzania ryzykiem (art. 9), ład danych (art. 10), dokumentację techniczną (art. 11), rejestry zdarzeń (art. 12), przejrzystość wobec podmiotów stosujących (art. 13), nadzór człowieka (art. 14) oraz dokładność, odporność i cyberbezpieczeństwo (art. 15) — z każdego trzeba mieć dowody, nie deklaracje.

Polityka przyjęta na początku 2025 roku, która od tamtej pory nie była odświeżana, takich dowodów na żądanie nie zgromadzi. Rejestry muszą być prowadzone od dawna, a nie dopiero zaczynane. To presja terminu, której większość zarządów jeszcze nie przyjęła do wiadomości: okno audytu otwiera się za cztery miesiące, a ślad musi sięgać wstecz.

Co zarząd powinien zrobić w najbliższych 90 dniach

Trzy ruchy, w tej kolejności.

  1. Zlecić porównanie polityki z rzeczywistością. Nie kolejne memo prawne. Krótki projekt, który przyłoży waszą obowiązującą politykę do aktualnie obowiązującego Aktu i właściwych oczekiwań nadzorczych, pokaże każdą lukę na poziomie konkretnego artykułu i ułoży je według prawdopodobieństwa egzekwowania i kosztu zamknięcia.
  2. Wyznaczyć imienną osobę odpowiedzialną wewnątrz zarządu. Nie komitet. Konkretna osoba, której zakres obowiązków obejmuje rytm przeklasyfikacji ryzyka i która podpisuje każdą istotną decyzję zakupową w temacie AI.
  3. Zacząć gromadzić materiał dowodowy, którego wymaga Akt — już teraz, także dla systemów, które wejdą w zakres regulacji dopiero w 2027. Kultury prowadzenia rejestrów się nie włącza. One narastają. Firma, która zacznie w kwietniu 2026, jest w sierpniu 2026 w zupełnie innej klasie gotowości niż ta, która zacznie w lipcu.

Wszystko inne — strategia, portfolio zastosowań, wybór modeli, racjonalizacja dostawców — leży niżej. Zarządy, które zrobią te trzy ruchy teraz, za dwanaście miesięcy będą miały pozycję, którą da się obronić. Te, które ich nie zrobią, na własnej skórze odkryją, że polityka leżąca w szufladzie nie jest polityką.

Autor

Michał Skwarczyński jest założycielem Dago Advisory. Dago Advisory to butikowa firma doradcza w temacie dojrzałości AI dla polskiego mid-marketu, oparta na kwartalnym Dago Index.

Zleć porównanie polityki z rzeczywistością → michal@dagoadvisory.com
§ Więcej z Dago Advisory Wszystkie analizy →
Ramy diagnostyczne

Pięć pytań, które każdy polski zarząd powinien zadać przed zatwierdzeniem budżetu na AI

Wkrótce
Komentarz do Indeksu

Co Dago Index Q2 2026 mówi CFO polskich banków o najbliższych 18 miesiącach

Wkrótce
Studium przypadku

Jak polski przemysłowy mid-cap przeszedł w Dago Index z 34 na 67 w dziewięć miesięcy

Wkrótce
enplde