Skip to content

AI Act w e-commerce – jakie są obowiązki i terminy Digital Omnibus?

Mapa powiązańEncje, fakty i zależności z tego wpisu w formie interaktywnego grafu

AI Act (rozporządzenie UE 2024/1689) wszedł w życie 1 sierpnia 2024 roku, ale jego przepisy zaczynają obowiązywać etapami – od lutego 2025 do sierpnia 2028 roku. Najbliższa ważna data to 2 sierpnia 2026 roku, kiedy zaczynają obowiązywać wymogi przejrzystości dla chatbotów i treści generowanych przez AI.

Nowelizacja Digital Omnibus, zatwierdzona przez Radę UE 29 czerwca 2026 roku, przesunęła część terminów, ale nie wszystkie. W tym artykule wyjaśniam, co te przepisy oznaczają w praktyce dla sklepów internetowych i zespołów marketingowych.

Najważniejsze informacje w pigułce:

  • AI Act (rozporządzenie UE 2024/1689) wchodzi etapami od 1 sierpnia 2024 do 2 sierpnia 2028 roku, a zakres obowiązków zależy od kategorii ryzyka systemu AI.
  • Digital Omnibus, zatwierdzony przez Radę UE 29 czerwca 2026 roku, przesunął obowiązki dla systemów wysokiego ryzyka na 2 grudnia 2027 i 2 sierpnia 2028 roku.
  • Od 2 sierpnia 2026 roku obowiązuje art. 50 – informowanie użytkowników o rozmowie z chatbotem, ujawnianie deepfake, maszynowe oznaczanie treści generowanych przez AI (ostatnie dotyczy tylko dostawców narzędzi, nie firm, które z nich korzystają).
  • Teksty marketingowe tworzone z AI i poddane kontroli redakcyjnej człowieka nie wymagają oznaczania, natomiast realistyczne deepfake – tak.
  • Kary sięgają 35 mln EUR lub 7% światowego obrotu, a w Polsce nadzór obejmie nowa komisja KRiBSI powołana ustawą o systemach sztucznej inteligencji.

Co to jest AI Act?

AI Act to rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 – pierwszy na świecie kompleksowy akt prawny regulujący sztuczną inteligencję (Gibson Dunn, 2026). Rozporządzenie obowiązuje bezpośrednio we wszystkich państwach członkowskich UE, bez konieczności wdrażania go osobnymi ustawami krajowymi (te regulują tylko kwestie nadzoru i kar).

Fundamentem AI Act jest podejście oparte na ryzyku. Im większe zagrożenie dla zdrowia, bezpieczeństwa lub praw podstawowych stwarza system AI, tym więcej obowiązków nakłada rozporządzenie. Z perspektywy sklepu internetowego to dobra wiadomość – większość narzędzi używanych w e-commerce trafia do kategorii minimalnego ryzyka.

Co istotne, przepisy dotyczą zarówno dostawców systemów AI (firm tworzących narzędzia), jak i podmiotów stosujących – czyli każdej firmy, która używa AI w swojej działalności. Sklep internetowy z chatbotem na stronie podlega pod AI Act tak samo jak twórca tego chatbota, choć w innym zakresie.

Kategorie ryzyka w AI Act

AI Act dzieli systemy sztucznej inteligencji na kategorie, od których zależy zakres obowiązków. Dla firm z branży e-commerce najważniejsze jest prawidłowe przypisanie własnych narzędzi do jednej z nich:

  • Systemy minimalnego ryzyka – np. silniki rekomendacji produktów czy filtry antyspamowe
  • Modele ogólnego przeznaczenia (GPAI) – duże modele generatywne, np. te stojące za ChatGPT czy Gemini
  • Systemy z obowiązkami przejrzystości (art. 50) – chatboty, voiceboty, generatory treści, deepfake
  • Systemy wysokiego ryzyka – m.in. AI w rekrutacji, scoringu kredytowym, edukacji, medycynie i infrastrukturze krytycznej
  • Praktyki zakazane (art. 5) – m.in. szkodliwa manipulacja, scoring społeczny, nieukierunkowany scraping wizerunków, rozpoznawanie emocji w miejscu pracy

W praktyce sklepowej wygląda to tak: system rekomendacji na karcie produktu to minimalne ryzyko, chatbot obsługujący klientów wymaga poinformowania użytkownika o rozmowie z AI, a narzędzie AI wspierające selekcję kandydatów w dziale HR to już system wysokiego ryzyka z rozbudowanymi wymogami dokumentacyjnymi. Jeśli natomiast Twoje narzędzie analizuje emocje pracowników obsługi klienta podczas rozmów – to praktyka zakazana i obowiązuje już od 2 lutego 2025 roku.

Kiedy AI Act wchodzi w życie? Harmonogram Digital Omnibus

AI Act nie zaczyna obowiązywać jednego dnia – obowiązki są rozłożone na lata od 2025 do 2028. Poniższa tabela uwzględnia już zmiany wprowadzone przez Digital Omnibus (stan na lipiec 2026 roku).

Data Co zaczyna obowiązywać Kogo dotyczy w praktyce
2 lutego 2025 Praktyki zakazane (art. 5) i kompetencje AI (art. 4) Wszystkie firmy używające AI
2 sierpnia 2025 Obowiązki dla modeli GPAI, organy nadzoru, przepisy o karach Głównie dostawcy dużych modeli
2 sierpnia 2026 Ogólne stosowanie rozporządzenia, w tym przejrzystość z art. 50 Każda firma z chatbotem lub produkująca deepfake, dostawcy systemów generujących treści
2 grudnia 2026 Koniec okresu przejściowego na maszynowe oznaczanie treści dla systemów sprzed 2.08.2026; koniec okresu przejściowego dla nowego zakazu NCII/CSAM Dostawcy systemów generujących treści
2 grudnia 2027 Samodzielne systemy wysokiego ryzyka (termin przesunięty z 2.08.2026) M.in. AI w rekrutacji i scoringu kredytowym
2 sierpnia 2028 Systemy wysokiego ryzyka wbudowane w produkty regulowane (termin przesunięty z 2.08.2027) AI np. w wyrobach medycznych, maszynach, pojazdach

Zwróć uwagę na jedno: przesunięcia dotyczą wyłącznie systemów wysokiego ryzyka. Termin 2 sierpnia 2026 roku dla obowiązków przejrzystości pozostał bez zmian – i to właśnie on dotyczy większości sklepów internetowych oraz zespołów marketingowych.

Obowiązki od 2 sierpnia 2026 – chatboty, deepfake i oznaczanie treści

Od 2 sierpnia 2026 roku obowiązuje art. 50 AI Act, czyli wymogi przejrzystości wobec użytkowników. To przepis, z którym realnie zetknie się niemal każdy sklep internetowy i każda agencja. W praktyce oznacza on trzy rzeczy:

  1. użytkownik musi wiedzieć, że rozmawia z AI – dotyczy chatbotów i voicebotów, chyba że jest to oczywiste z kontekstu
  2. treści deepfake (obrazy, audio, wideo przedstawiające istniejące osoby, miejsca lub zdarzenia w sposób zmanipulowany) muszą być ujawnione jako sztucznie wygenerowane – ten obowiązek spoczywa na firmie publikującej taką treść
  3. dostawcy systemów generatywnych muszą oznaczać wyniki w formacie nadającym się do odczytu maszynowego – to obowiązek twórcy narzędzia, nie sklepu, który z niego korzysta

Jeżeli prowadzisz sklep z chatbotem obsługującym klientów albo scenariuszami marketing automation opartymi na AI, komunikat „rozmawiasz z asystentem AI” przy pierwszej interakcji załatwia sprawę. Informacja musi być przekazana jasno, najpóźniej w momencie pierwszej interakcji (art. 50 ust. 5).

Czy trzeba oznaczać teksty blogowe i opisy produktów pisane z AI?

W większości przypadków nie. Obowiązek ujawnienia dotyczy tekstów generowanych przez AI publikowanych „w celu informowania społeczeństwa o sprawach leżących w interesie publicznym” – a i tam przewidziano wyjątek, gdy treść przeszła weryfikację człowieka lub kontrolę redakcyjną i odpowiedzialność za publikację ponosi konkretna osoba lub firma (art. 50 ust. 4). Standardowe opisy produktów, artykuły poradnikowe czy newslettery tworzone z pomocą AI i redagowane przez człowieka nie wymagają więc etykiety „wygenerowano przez AI”.

Inaczej wygląda temat grafik. Jeśli używasz generatorów obrazów AI do tworzenia realistycznych wizualizacji z udziałem prawdziwych osób (np. wizerunku znanej postaci w kampanii), wchodzisz w definicję deepfake i obowiązek ujawnienia. Zwykłe grafiki produktowe czy ilustracje blogowe bez manipulacji wizerunkiem realnych osób nie stanowią deepfake. Warto przy tym wiedzieć, jak sprawdzić, czy tekst został napisany przez AI – narzędzia detekcji rozwijają się równolegle z przepisami.

Co zmienia Digital Omnibus?

Digital Omnibus on AI to pierwsza nowelizacja AI Act, formalnie zatwierdzona przez Parlament Europejski 16 czerwca 2026 roku i przez Radę UE 29 czerwca 2026 roku. Rozporządzenie nowelizujące wchodzi w życie trzeciego dnia po publikacji w Dzienniku Urzędowym UE, spodziewanej przed 2 sierpnia 2026 roku.

Najważniejsze zmiany wprowadzone przez nowelizację:

  • przesunięcie obowiązków dla samodzielnych systemów wysokiego ryzyka (np. AI w rekrutacji) na 2 grudnia 2027 roku, a dla AI wbudowanej w produkty regulowane (np. wyroby medyczne) na 2 sierpnia 2028 roku; wykazy obu grup systemów znajdują się w załącznikach III i I do rozporządzenia
  • nowy zakaz w art. 5 – systemy AI generujące niekonsensualne treści intymne (tzw. nudifiers) oraz materiały CSAM, z okresem przejściowym do 2 grudnia 2026 roku
  • złagodzenie art. 4 – firmy mają „wspierać rozwój kompetencji AI” personelu zamiast gwarantować określony poziom wiedzy
  • okres przejściowy dla maszynowego oznaczania treści (art. 50 ust. 2) do 2 grudnia 2026 roku dla systemów wprowadzonych na rynek przed 2 sierpnia 2026 roku
  • wyłączenie z kategorii wysokiego ryzyka systemów AI pełniących w produktach wyłącznie funkcje pomocnicze, np. optymalizacji wydajności czy kontroli jakości
  • wzmocnienie uprawnień Urzędu ds. AI (AI Office), m.in. o kontrole i możliwość nakładania kar

Z mojej perspektywy najciekawszy jest kierunek tych zmian. Unia nie wycofuje się z regulacji – architektura AI Act pozostaje nienaruszona – ale przyznaje, że infrastruktura nadzoru (normy zharmonizowane, wytyczne, organy) nie powstała na czas.

Kary w AI Act

Maksymalne kary w AI Act sięgają 35 mln EUR lub 7% światowego rocznego obrotu firmy – w zależności od tego, która kwota jest wyższa (art. 99 rozporządzenia 2024/1689). Wysokość sankcji zależy od rodzaju naruszenia:

  • stosowanie praktyk zakazanych – do 35 mln EUR lub 7% obrotu
  • naruszenie pozostałych obowiązków (m.in. przejrzystości z art. 50) – do 15 mln EUR lub 3% obrotu
  • podanie organom nieprawdziwych informacji – do 7,5 mln EUR lub 1% obrotu

Dla porównania: maksymalne kary z RODO to 20 mln EUR lub 4% obrotu (art. 83 rozporządzenia 2016/679), więc unijny ustawodawca potraktował sztuczną inteligencję surowiej niż dane osobowe. Dla MŚP przewidziano niższe progi – w ich przypadku stosuje się kwotę niższą z dwóch wariantów.

AI Act w Polsce – ustawa o systemach sztucznej inteligencji

Polska ustawa wdrażająca AI Act jest na finiszu prac legislacyjnych. Sejm uchwalił ustawę o systemach sztucznej inteligencji 11 czerwca 2026 roku (421 głosów za), Senat zgłosił poprawki 25 czerwca, a po ich rozpatrzeniu dokument trafił do podpisu prezydenta (prawo.pl, cyberdefence24.pl).

Ustawa powołuje Komisję Rozwoju i Bezpieczeństwa Sztucznej Inteligencji (KRiBSI) – krajowy organ nadzoru rynku AI. KRiBSI będzie monitorować zgodność z przepisami, wydawać decyzje, prowadzić działania edukacyjne i rozpatrywać skargi obywateli na naruszenia. Przewidziano też piaskownice regulacyjne, w których firmy przetestują swoje systemy AI pod okiem regulatora, zanim wypuszczą je na rynek.

Dla sklepów internetowych oznacza to jedno: od momentu pełnego uruchomienia KRiBSI pojawia się w Polsce konkretny adresat skarg klientów na nieoznaczone chatboty czy zmanipulowane treści.

Jak przygotować sklep internetowy na AI Act?

Pracując z klientami e-commerce widzę, że narzędzia AI weszły do sklepów szeroko: chatboty, generatory opisów, silniki rekomendacji, automatyzacje mailingowe, AI w kampaniach reklamowych. Sensowne przygotowanie do AI Act sprowadza się do czterech kroków (za metodyką EY Law):

  1. spisz wszystkie narzędzia AI w firmie – także te „ukryte” w platformie sklepowej czy systemie mailingowym
  2. przypisz każde narzędzie do kategorii ryzyka – zakazane, wysokie ryzyko, obowiązki informacyjne, GPAI lub minimalne ryzyko
  3. określ rolę firmy – podmiot stosujący czy dostawca (uwaga: sprzedaż narzędzia AI pod własną marką robi z Ciebie dostawcę)
  4. wdróż wymogi wynikające z kategorii – od komunikatu przy chatbocie po dokumentację techniczną

Priorytet na teraz to obowiązki przejrzystości, bo termin 2 sierpnia 2026 roku jest tuż za rogiem. Przesunięcie wymogów dla systemów wysokiego ryzyka na grudzień 2027 roku daje oddech, ale wdrożenie dokumentacji i procedur dla takich systemów zajmuje miesiące – firmy startujące z analizą w połowie 2027 roku będą gonić termin.

Jest też druga strona medalu. Przejrzyste oznaczanie AI i uporządkowane procesy treściowe budują zaufanie – a to waluta, którą doceniają zarówno klienci, jak i wyszukiwarki. Treści tworzone z pomocą AI, ale redagowane przez ekspertów, bronią się w Google i w odpowiedziach modeli językowych, o czym pisałem w artykule o pozycjonowaniu pod LLM. Jeżeli chcesz uporządkować procesy contentowe w swoim sklepie i pogodzić skalowanie treści z nowymi przepisami, sprawdź nasz content marketing dla e-commerce albo umów konsultacje marketingowe. Przejdziemy przez Twoje narzędzia AI punkt po punkcie.

 

Źródła:

https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:32024R1689

https://www.consilium.europa.eu/en/press/press-releases/2026/06/29/artificial-intelligence-council-gives-final-green-light-to-simplify-and-streamline-rules/

https://www.gibsondunn.com/eu-ai-act-omnibus-agreement-postponed-high-risk-deadlines-and-other-key-changes/

https://www.ey.com/pl_pl/insights/law/ai-act-digital-omnibus

https://aktzgodny.pl/baza-wiedzy/ai-act-kiedy-wchodzi-w-zycie/

https://www.prawo.pl/biznes/ustawa-o-systemach-ai-przyjeta-przez-sejm,1541891.html

Rafał Kasperkowicz – Fabryka e-biznesu

Zapytaj o ofertę

Rafał Kasperkowicz

Omówimy Twoją sytuację, odpowiemy na pytania i doradzimy najlepsze rozwiązanie

– bez żadnych kosztów i zobowiązań.

Konrad Róg

Odpowiadam za planowanie mediów oraz doradztwo strategiczne — pomagam markom docierać do właściwych odbiorców we właściwym miejscu i czasie. Moją rolą jest wspieranie klientów w podejmowaniu trafnych, opartych na danych decyzji, które przekładają się na wyniki biznesowe. Marketingiem zajmuję się od 2012 roku.

Marketing e-commerce
w pigułce.

Bezpłatne porady, trendy i inspiracje do Twojej skrzynki!