Czy polskie prawo nadąża za rozwojem sztucznej inteligencji i automatyzacji?
AI nie działa już w próżni prawnej
Jeszcze niedawno można było powiedzieć, że technologia rozwija się szybciej niż przepisy, a państwo i regulatorzy głównie obserwują sytuację z boku. W 2026 roku to już nie jest pełny obraz. W przypadku sztucznej inteligencji nie mamy dziś do czynienia z brakiem prawa, tylko raczej z prawem wielowarstwowym, które częściowo już obowiązuje, częściowo wchodzi etapami, a częściowo dopiero buduje się w praktyce. Najważniejsza zmiana polega na tym, że AI została objęta nie tylko ogólnymi zasadami z RODO, prawa pracy, prawa konsumenckiego czy odpowiedzialności cywilnej, ale również osobnym, bardzo rozbudowanym reżimem unijnym w postaci AI Act.
Dlatego najuczciwsza odpowiedź brzmi: polskie prawo częściowo nadąża, ale raczej dzięki impulsowi z Unii Europejskiej niż dlatego, że krajowy porządek prawny już domknął wszystkie najważniejsze kwestie. Mówiąc jeszcze prościej: nie ma już prawnej pustki, ale nadal nie ma też pełnej stabilności i prostoty, których oczekiwałyby firmy wdrażające AI i automatyzację.
Unia Europejska przeszła od dyskusji do realnych obowiązków
AI Act zmienił punkt wyjścia
Największy zwrot nastąpił na poziomie unijnym. Komisja Europejska wskazuje, że AI Act wszedł w życie 1 sierpnia 2024 r., a jego pełna stosowalność co do zasady przypada na 2 sierpnia 2026 r., ale część przepisów zaczęła działać wcześniej. Od 2 lutego 2025 r. obowiązują już przepisy dotyczące zakazanych praktyk AI, definicji systemu AI i obowiązków związanych z AI literacy, czyli zapewnieniem odpowiednich kompetencji osobom pracującym z systemami AI. Od 2 sierpnia 2025 r. stosuje się także reguły dotyczące nadzoru i obowiązki dla modeli ogólnego przeznaczenia, czyli GPAI.
To ma bardzo praktyczne znaczenie. Prawo nie czeka już, aż AI „jeszcze bardziej dojrzeje”, tylko zaczęło stawiać konkretne granice: pewne zastosowania są zakazane, część modeli i systemów podlega obowiązkom przejrzystości, a organizacje wdrażające AI mają obowiązek budować kompetencje ludzi, którzy z niej korzystają. To nie jest symboliczna deklaracja, tylko realna zmiana sposobu patrzenia na technologię.
Ale ten system nadal wdrażany jest etapami
Jednocześnie trzeba powiedzieć jasno: nawet na poziomie UE ten porządek nie jest jeszcze całkowicie „zamknięty”. Komisja Europejska sama wskazuje, że zasady dla high-risk AI mają wejść szerzej w życie w sierpniu 2026 r., a dla części systemów wysokiego ryzyka osadzonych w regulowanych produktach dopiero 2 sierpnia 2027 r. Komisja przyznaje też, że standardy techniczne dla high-risk AI nie były gotowe w zakładanym terminie, a w listopadzie 2025 r. zaproponowano uproszczenia i korekty harmonogramu, ponieważ przygotowanie standardów i krajowych organów nadzoru nie postępowało wystarczająco szybko.
To bardzo ważne dla oceny całego systemu. Nie można dziś uczciwie powiedzieć, że prawo „w pełni nadążyło”, skoro samo otoczenie wdrożeniowe nadal się dopina. Można natomiast powiedzieć, że Europa jest już znacznie dalej niż w fazie ogólnych deklaracji i że regulatorzy zaczęli budować rzeczywisty model odpowiedzialności za AI.
W Polsce największym problemem nie jest już brak kierunku, ale niedokończone wdrożenie
Polska opiera się dziś głównie na prawie unijnym
W polskim kontekście kluczowe jest to, że AI Act jako rozporządzenie unijne działa bezpośrednio, więc część zasad obowiązuje niezależnie od tego, czy Polska zdążyła już przyjąć własną ustawę wdrożeniową. Ministerstwo Cyfryzacji przypominało już przy wejściu pierwszych przepisów, że regulacje z rozdziału I i II AI Act, w tym zakazane praktyki i AI literacy, obowiązują wprost i nie wymagają osobnej implementacji krajowej.
To oznacza, że twierdzenie „w Polsce nie ma jeszcze prawa o AI” byłoby dziś po prostu nieprawdziwe. Prawo jest. Problem polega na tym, że dla praktyki firm i instytucji samo istnienie unijnego rozporządzenia nie wystarcza. Potrzebne są jeszcze krajowe organy, procedury, ścieżki skarg, kompetencje nadzorcze i sensowna architektura wdrożenia. I właśnie tutaj widać, że Polska nadal jest bardziej w fazie porządkowania systemu niż w fazie pełnej stabilizacji.
Krajowa ustawa nadal pozostaje projektem
Z oficjalnych materiałów rządowych wynika, że projekt ustawy o systemach sztucznej inteligencji nadal pozostaje projektem. Ministerstwo Cyfryzacji informowało, że po zakończeniu konsultacji, w których wpłynęło ponad 2000 uwag od 110 podmiotów, nowa wersja projektu ma zostać opublikowana po analizie zgłoszeń. Z kolei strona KPRM dla tego projektu wskazuje planowany termin przyjęcia przez Radę Ministrów na I kwartał 2026 r., a nie jako akt już uchwalony i obowiązujący.
To jest jeden z najmocniejszych argumentów za tezą, że polskie prawo nie nadąża w pełni tempem krajowym, mimo że nadrabia dzięki regulacji unijnej. Fundament europejski już działa, ale krajowy mechanizm organizacyjny i proceduralny wciąż jest układany. To ma znaczenie praktyczne, bo przedsiębiorca czy instytucja publiczna potrzebują nie tylko samej normy prawnej, lecz także wiedzy, kto dokładnie nadzoruje rynek, do kogo zgłasza się incydent, gdzie trafia skarga i według jakiej procedury oceniane są systemy wysokiego ryzyka.
Polska buduje dopiero własną architekturę nadzoru
Projekt krajowej ustawy pokazuje zresztą, że państwo dopiero tworzy własną konstrukcję instytucjonalną. Zgodnie z opisem projektu planowane jest powołanie nowego organu nadzoru rynku dla modeli i systemów AI — Komisji Rozwoju i Bezpieczeństwa Sztucznej Inteligencji — która miałaby m.in. rozpatrywać skargi, zgłoszenia poważnych incydentów, wnioski dotyczące dopuszczenia do użycia systemów wysokiego ryzyka oraz nadzorować piaskownice regulacyjne. Projekt przewiduje również współpracę z UODO i innymi organami właściwymi.
Sam ten fakt jest podwójnie wymowny. Z jednej strony pokazuje, że Polska traktuje temat poważnie i nie zamierza zostawiać AI bez nadzoru. Z drugiej — potwierdza, że krajowy system dopiero się organizuje, a więc trudno mówić o pełnym nadążaniu prawa, skoro kluczowe instytucje dopiero mają zostać uruchomione albo doprecyzowane.
Obecne prawo już dziś obejmuje więcej niż sam AI Act
RODO nadal pozostaje jednym z najważniejszych hamulców i filtrów
W debacie o AI często zapomina się, że wiele najbardziej ryzykownych zastosowań sztucznej inteligencji nie wpada wyłącznie pod AI Act, ale również pod RODO. Europejska Rada Ochrony Danych w opinii z grudnia 2024 r. przypomniała, że w kontekście modeli AI mogą mieć zastosowanie przepisy dotyczące zautomatyzowanego podejmowania decyzji z art. 22 RODO, a więc tam, gdzie wynik systemu wpływa na osobę w sposób prawny lub podobnie istotny. UODO podkreśla z kolei, że na różnych etapach tworzenia lub wdrażania systemu AI może być konieczne przeprowadzenie oceny skutków dla ochrony danych.
To oznacza, że nawet jeśli firma nie wpada jeszcze w najostrzejszy reżim high-risk AI, nie może zakładać pełnej swobody. Jeżeli system analizuje dane pracowników, kandydatów, klientów albo pacjentów, wchodzi w sferę, która już dziś jest prawnie obudowana obowiązkami związanymi z legalnością przetwarzania, minimalizacją danych, przejrzystością, oceną ryzyka i ograniczeniami automatycznego decydowania.
Automatyzacja w pracy też jest coraz mocniej regulowana
Podobnie wygląda sytuacja w obszarze pracy i zarządzania algorytmicznego. Unijna dyrektywa o pracy platformowej z października 2024 r. wprost mówi o ochronie osób wykonujących pracę platformową w kontekście algorithmic management, zwiększeniu przejrzystości, wymogu human oversight i prawie do wyjaśnienia decyzji podejmowanych lub wspieranych przez systemy automatyczne. Państwa członkowskie mają wdrożyć te przepisy do 2 grudnia 2026 r.
To kolejny dowód na to, że prawo nie stoi w miejscu. Ono rozszerza się na kolejne obszary, w których automatyzacja może wpływać na ludzi — nie tylko jako konsumentów czy użytkowników usług, ale także jako pracowników. Jednocześnie dla Polski oznacza to, że oprócz AI Act czeka ją jeszcze kolejny etap dostosowywania przepisów tam, gdzie decyzje algorytmiczne zaczynają współkształtować warunki zatrudnienia i pracy.
Cyberbezpieczeństwo też pozostaje częścią tej układanki
W praktyce rozwój AI i automatyzacji wzmacnia również znaczenie przepisów o cyberbezpieczeństwie. Polski projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, wdrażającej dyrektywę NIS2, na dzień aktualizacji serwisu legislacyjnego z 25 lutego 2026 r. nadal miał status otwarty. To ważne, bo nowoczesne systemy AI i automatyzacji nie są tylko problemem „etyki algorytmów”, ale też odporności systemów, bezpieczeństwa infrastruktury i zarządzania incydentami.
To pokazuje szerszy wzorzec. W Polsce regulacja nowych technologii nie opiera się na jednym wielkim akcie, który załatwia wszystko. Składa się raczej z kilku równoległych porządków: AI Act, RODO, cyberbezpieczeństwa, prawa pracy, prawa konsumenckiego i sektorowych wymogów bezpieczeństwa. To daje pewną ochronę, ale zarazem zwiększa złożoność i utrudnia prostą odpowiedź na pytanie „jakie dokładnie mamy dziś reguły”.
Gdzie prawo nie nadąża w pełni
Największy problem to praktyka, nie sam brak przepisów
Największa luka nie polega dziś na tym, że nie ma żadnych norm. Polega raczej na tym, że organizacje bardzo często nie wiedzą, jak te normy zastosować w codziennych wdrożeniach. Komisja Europejska sama przyznaje, że standardy dla high-risk AI nadal są opracowywane, a narzędzia wdrożeniowe nie były gotowe w pierwotnym harmonogramie. UODO z kolei opublikował w 2026 r. wyniki badania pokazującego, że tylko 17% badanych organizacji korzysta już ze sztucznej inteligencji, a wiele innych dopiero testuje rozwiązania albo planuje ich wdrożenie; raport wskazuje też na potrzeby edukacyjne, bariery i ryzyka związane z relacją AI–RODO.
To jest bardzo istotne: tempo rozwoju technologii jest dziś nie tylko wyzwaniem dla ustawodawcy, ale także dla firm, administracji i samych regulatorów. Prawo zaczyna nadążać na poziomie zasad, ale często nie nadąża jeszcze na poziomie operacyjnym — czyli tam, gdzie trzeba rozstrzygnąć, czy dany system jest high-risk, jak ustawić nadzór człowieka, jak udokumentować zgodność, jak przeprowadzić DPIA i jak pogodzić automatyzację z prawem pracownika lub klienta do wyjaśnienia decyzji.
Technologia jest już masowa, a prawo dopiero uczy się skali
Dobrze pokazuje to także fakt, że część narzędzi wsparcia dla rynku ma charakter miękki: wytyczne, kody postępowania, FAQ, standardy, piaskownice regulacyjne. Komisja Europejska potwierdziła np. kodeks postępowania dla modeli GPAI jako dobrowolne narzędzie pomagające wykazać zgodność z obowiązkami dotyczącymi przejrzystości, prawa autorskiego oraz bezpieczeństwa i ochrony. To użyteczne, ale jednocześnie pokazuje, że sam system nadal intensywnie się „dociera”.
Inaczej mówiąc: prawo nadąża kierunkowo, ale jeszcze nie zawsze praktycznie. Daje coraz więcej reguł, ale nie zawsze daje równie prostą mapę działania dla mniejszych organizacji, które chcą wdrażać AI bez wielkiego działu compliance.
Najuczciwsza odpowiedź brzmi: częściowo tak, ale jeszcze nie w pełni
Poniżej ten obraz da się streścić bardzo prosto:
| Obszar | Co już działa | Gdzie widać niedokończenie |
|---|---|---|
| AI Act | zakazane praktyki, AI literacy, obowiązki dla GPAI już obowiązują etapami | pełna praktyka dla high-risk AI nadal się dopina |
| Polska ustawa o AI | istnieje projekt i kierunek instytucjonalny | ustawa nadal pozostaje na etapie projektu |
| RODO | już dziś ogranicza część zastosowań AI, profilowanie i decyzje automatyczne | firmy często nie mają jasności, jak to stosować w konkretnych wdrożeniach |
| Prawo pracy i automatyzacja | UE już reguluje algorithmic management w pracy platformowej | transpozycja do prawa krajowego dopiero przed państwami członkowskimi |
| Cyberbezpieczeństwo | kierunek unijny jest jasny | polskie wdrożenie NIS2 nadal pozostaje w toku |
Właśnie dlatego odpowiedź na pytanie z tytułu nie powinna być ani alarmistyczna, ani zbyt uspokajająca. Polskie prawo nie pozostaje już bezradne wobec AI i automatyzacji, bo działa silny parasol unijny, a część obowiązków jest już realna tu i teraz. Ale jednocześnie trudno uznać, że system jest już w pełni gotowy, skoro krajowa ustawa nadal jest projektowana, standardy techniczne w UE nadal się dopracowuje, a równoległe reżimy — od RODO po cyberbezpieczeństwo i prawo pracy — dopiero układają się w spójną praktykę.
Najkrócej: prawo zaczęło doganiać AI, ale jeszcze jej nie wyprzedza. I to właśnie będzie najważniejsze napięcie najbliższych lat — nie między „brakiem regulacji” a „pełną kontrolą”, tylko między coraz szybszą automatyzacją a coraz bardziej złożonym systemem obowiązków, który dopiero uczy się działać w praktyce.
Opublikuj komentarz
Musisz się zalogować, aby móc dodać komentarz.