Nadchodzą gigantyczne kary w Polsce. Musisz podać powód albo zapłacisz

Masz wrażenie, że Twój wniosek kredytowy zniknął w próżni? Wysłałeś CV i dostałeś automatyczną odpowiedź „dziękujemy, ale nie”? Szanse są coraz większe, że decyzję podjął nie człowiek – ale algorytm. I do tej pory firma ani bank nie miały obowiązku powiedzieć Ci o tym ani słowa. 2 sierpnia 2026 roku to się zmienia. Unijne Rozporządzenie w sprawie sztucznej inteligencji – AI Act (Rozporządzenie Parlamentu Europejskiego i Rady UE nr 2024/1689) – wchodzi w życie w najważniejszej części swoich przepisów. Firmy używające algorytmów do oceny kredytów, selekcji CV i zarządzania pracownikami wchodzą w reżim kar sięgających 35 mln euro. A Polacy nadal w większości nie wiedzą, że te narzędzia już teraz decydują o ich życiu.

Dwie minuty. Tyle zajmuje algorytmowi odrzucenie Twojej aplikacji

Raport ManpowerGroup z 2024 roku ujawnił, że 39 proc. organizacji w Polsce korzysta z rozwiązań AI w rekrutacji, a kolejne 21 proc. deklaruje gotowość do wdrożenia w ciągu roku. Liczby te nie mówią tego, co najważniejsze: większość kandydatów nie wie, że na etapie preselekcji ich CV nigdy nie trafia do człowieka. Zamiast tego ląduje w systemie ATS – Applicant Tracking System – który skanuje dokument pod kątem słów-kluczy, dopasowania profilu do wzorca i dziesiątek innych zmiennych. System przypisuje wynik: „82 punkty, strong fit” albo „41 punktów, weak fit”. Kandydat dostaje lakoniczne „dziękujemy za udział w procesie”. Pod spodem dzieje się czysto matematyczna operacja.

Najsłynniejszy przypadek dyskryminacji algorytmicznej w rekrutacji pochodzi z Amazonu. Firma przez lata używała systemu AI do oceny kandydatów – aż do momentu, gdy wewnętrzny audyt ujawnił, że algorytm systematycznie niżej oceniał CV kobiet aplikujących na stanowiska techniczne. Powód: dane treningowe opierały się na historycznych rekrutacjach zdominowanych przez mężczyzn, więc model „nauczył się”, że płeć żeńska jest negatywnym predyktorem sukcesu. Amazon wyłączył system. Nikt z odrzuconych kandydatek nigdy nie dowiedział się, że algorytm zadziałał przeciwko nim. W Polsce nie ma publicznie znanych równie głośnych przypadków – ale to dlatego, że nikt dotąd nie miał obowiązku informować o stosowaniu takich narzędzi.

Scoring kredytowy to podobna historia. Banki i instytucje finansowe od lat używają algorytmów do oceny zdolności kredytowej. System analizuje historię rachunku, wzorce transakcji, regularność dochodów, miejsce zamieszkania i setki innych zmiennych. W ciągu kilkudziesięciu sekund model wyrzuca decyzję. Klientowi przekazuje się wynik: „odmowa”. Powód: „nie spełnia wymagań”. Żadnej konkretnej informacji o tym, który czynnik zadecydował, jaką wagę mu przypisano ani – co kluczowe – że w ogóle była to decyzja maszyny, a nie człowieka.

Czym jest system wysokiego ryzyka i dlaczego to dotyczy każdego

AI Act dzieli systemy sztucznej inteligencji na 4 kategorie: zakazane, wysokiego ryzyka, ograniczonego ryzyka i minimalnego ryzyka. Systemy zakazane – jak scoring społeczny na wzór chiński, masowe rozpoznawanie twarzy w przestrzeni publicznej czy manipulacja podprogowa – nie mogą istnieć w UE w ogóle. Te zakazy obowiązują już od 2 lutego 2025 roku.

Systemy wysokiego ryzyka to inna kategoria: dozwolone, ale obwarowane surowymi wymogami. AI Act wymienia je wprost w Załączniku III do rozporządzenia. Na liście znajdziemy m.in.: systemy AI używane w rekrutacji i zarządzaniu pracownikami (preselekcja CV, ranking kandydatów, ocena wydajności, decyzje o zwolnieniu), systemy scoringu kredytowego i oceny wiarygodności klientów oraz systemy służące do wyceny ubezpieczeń na życie i zdrowotnych. Ale też systemy w edukacji, opiece zdrowotnej, infrastrukturze krytycznej i wymiarze sprawiedliwości.

Kluczowy jest fakt, który wiele firm pomija: AI Act obejmuje nie tylko twórców systemów, ale też firmy, które je kupują i wdrażają. Oznacza to, że firma HR używająca gotowego narzędzia do preselekcji CV – niezależnie od tego, czy budowała je sama – wchodzi w reżim przepisów dla systemów wysokiego ryzyka, jeśli ten system ma realny wpływ na decyzje o zatrudnieniu. Nie trzeba mieć własnego działu AI ani rozumieć, jak działa model. Wystarczy go używać w sposób, który wpływa na życie ludzi.

Co firma będzie musiała zrobić od 2 sierpnia – i czego nie będzie mogła już ukryć

Dla każdego, kto szuka pracy lub kredytu, lista obowiązków nałożonych na firmy przez AI Act ma konkretne przełożenie na codzienność. Pracodawcy i banki używające systemów AI wysokiego ryzyka będą od 2 sierpnia zobowiązani do:

Informowania o tym, że AI uczestniczy w procesie decyzyjnym. Kandydat składający CV musi wiedzieć, że jego aplikacja będzie oceniana przez algorytm. Klient banku składający wniosek kredytowy musi wiedzieć, że scoring jest zautomatyzowany. To nie jest „dobra praktyka” – to obowiązek prawny, którego naruszenie podlega karze.

Zapewnienia nadzoru człowieka nad decyzjami. Żadna kluczowa decyzja – odrzucenie kandydata, odmowa kredytu, zwolnienie pracownika – nie może zapadać wyłącznie automatycznie. Algorytm może rekomendować, ale za ostateczny werdykt musi odpowiadać człowiek z odpowiednimi kompetencjami. System AI „high-risk” musi być zaprojektowany tak, żeby operator mógł go zrozumieć, zakwestionować i w razie potrzeby zignorować jego wynik.

Prowadzenia dokumentacji technicznej i logów. System musi być audytowalny – organy nadzoru muszą mieć możliwość sprawdzenia, jak działał algorytm w konkretnej sprawie. Firma musi przechowywać dokumentację pozwalającą odtworzyć, dlaczego system podjął daną decyzję.

Rejestracji w unijnej bazie danych systemów AI. Każdy system wysokiego ryzyka musi być zarejestrowany w publicznej bazie prowadzonej przez Komisję Europejską. Organy nadzoru mogą sprawdzić brak wpisu bez żadnych specjalnych audytów – baza jest jawna. Brak rejestracji grozi karą do 15 mln euro lub 3 proc. globalnego obrotu.

Regularnych audytów pod kątem dyskryminacji. Firma musi aktywnie sprawdzać, czy jej algorytm nie dyskryminuje na podstawie płci, wieku, miejsca zamieszkania czy innych chronionych kategorii. Jeśli wykryje problem – musi go naprawić. Wzorzec znany z Amazonu: dane treningowe z przeszłości kodują historyczne uprzedzenia i algorytm je powiela, nawet jeśli te zmienne nie są wprost wpisane w model.

Amazon nauczył się odrzucać kobiety. W Polsce nikt by tego nie wiedział

Mechanizm dyskryminacji algorytmicznej działa subtelnie i dlatego jest trudny do wykrycia bez audytów. Wyobraźmy sobie firmę w Polsce, która przez ostatnią dekadę zatrudniała na stanowiska programistyczne głównie mężczyzn – nie dlatego, że oficjalnie to planowała, ale dlatego, że takie były historyczne realia rynku. Teraz wprowadza system AI do preselekcji CV. System uczy się na historycznych danych: „udane rekrutacje” to przeważnie mężczyźni, 26-35 lat, absolwenci kilku konkretnych uczelni. Algorytm wyciąga wniosek: te cechy korelują z „dobrym kandydatem”. Kobieta po przerwie macierzyńskiej, absolwentka innej uczelni, dostaje niski wynik – nie dlatego, że jest mniej kompetentna, ale dlatego, że nie pasuje do wzorca zakodowanego w danych.

Ona dostaje automat „dziękujemy”. Firma nie wie, że jej system działa w ten sposób. Nikt nie przeprowadzał audytu. Nikt nie sprawdzał, jaka jest dystrybucja odrzuconych CV według płci i wieku. Zgodnie z Kodeksem Pracy i przepisami o równym traktowaniu to jest dyskryminacja – nawet jeśli nieumyślna, nawet jeśli zakodowana w algorytmie, a nie w głowie rekrutera. AI Act ten problem systemowo ogranicza, nakładając obowiązek testowania pod kątem uprzedzeń i regularnych audytów jako warunek konieczny, a nie opcję.

Twoje prawa: jak je egzekwować już teraz i po 2 sierpnia

Jeszcze przed AI Act istnieje jedno potężne narzędzie, o którym większość Polaków nie wie: art. 22 Rozporządzenia RODO. Stanowi on, że każda osoba ma prawo nie podlegać decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu, jeżeli wywołuje ona wobec niej skutki prawne lub w podobny sposób istotnie na nią wpływa. Odrzucenie wniosku kredytowego spełnia ten warunek. Odrzucenie aplikacji o pracę – również.

Jeśli bank lub pracodawca odrzucił Twój wniosek lub CV, masz prawo już teraz – bez czekania na sierpień – złożyć pisemne żądanie obejmujące: informację, czy decyzja była wyłącznie zautomatyzowana; żądanie interwencji człowieka i ponownego rozpatrzenia sprawy; wyjaśnienia dotyczące zasad działania algorytmu i kryteriów oceny. Firma ma 30 dni na odpowiedź. Jeśli odmówi lub zignoruje żądanie – możesz złożyć skargę do Urzędu Ochrony Danych Osobowych. UODO może nałożyć karę – maksymalnie do 20 mln euro lub 4 proc. globalnego obrotu – już na gruncie samego RODO, bez czekania na AI Act.

Od 2 sierpnia te prawa zostają wzmocnione. AI Act dokłada do tego obowiązek rejestracji systemu, dokumentacji, audytów i – co istotne – możliwość skargi do nowo powstałego polskiego organu nadzoru KRiBSI (Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji). Rząd przyjął projekt ustawy o systemach AI 31 marca 2026 roku – projekt trafił do Sejmu, a KRiBSI ma być instytucją, która dosłownie „zajrzy pod maskę” systemu bankowego i sprawdzi, czy Twoja odmowa kredytu była zgodna z prawem.

35 milionów euro kary. I dlaczego firmy mogą to zignorować do grudnia 2027

Tu pojawia się komplikacja, którą uczciwie trzeba opisać. Równolegle z AI Act toczy się na poziomie unijnym procedura legislacyjna pakietu Digital Omnibus – propozycji Komisji Europejskiej mającej uprościć cyfrowe regulacje. Parlament Europejski zatwierdził jej kluczowe założenia 26 marca 2026 roku. Propozycja zakłada m.in. odroczenie pełnego stosowania wymogów dla systemów wysokiego ryzyka – nawet o 16 miesięcy, uzależniając ich wejście w życie od gotowości zharmonizowanych standardów technicznych. Jeśli negocjacje między Parlamentem, Radą i Komisją zakończą się sukcesem, część obowiązków może nie wejść w życie 2 sierpnia 2026, lecz nawet w grudniu 2027.

To nie oznacza jednak wakacji od prawa. Digital Omnibus to propozycja, nie prawo. AI Act jako rozporządzenie UE stosuje się bezpośrednio w Polsce niezależnie od stanu krajowej legislacji. Zakazy absolutne obowiązują od lutego 2025, obowiązki rejestracyjne i wymogi przejrzystości – od 2 sierpnia 2026. Firmy, które będą czekać na ostateczny kształt Digital Omnibus i w tym czasie nie przeprowadzą żadnych przygotowań, ryzykują podwójnie: raz – że przepisy wejdą jednak zgodnie z oryginalnym harmonogramem, drugi raz – że nawet jeśli termin zostanie przesunięty, to prawnicy i regulatorzy będą oczekiwać, że firma jest świadoma swoich obowiązków.

Kary przewidziane w art. 99 AI Act nie mają odpowiednika w dotychczasowych regulacjach cyfrowych. Za stosowanie zakazanych praktyk (art. 5): do 35 mln euro lub 7 proc. globalnego obrotu – wyższa z kwot. Za naruszenia obowiązków systemów wysokiego ryzyka: do 15 mln euro lub 3 proc. obrotu. Za przekazanie organom nieprawdziwych informacji: do 7,5 mln euro lub 1 proc. obrotu. Dla porównania – maksymalna kara z RODO to 20 mln euro lub 4 proc. obrotu. AI Act idzie dalej.

Co to oznacza dla Ciebie? Poradnik kandydata i kredytobiorcy na najbliższe miesiące

Jeśli szukasz pracy i podejrzewasz, że Twoje CV trafia do systemu automatycznej selekcji, masz konkretne narzędzia już teraz. Gdy dostaniesz odmowę bez podania przyczyn, napisz do firmy z żądaniem na podstawie art. 22 RODO – zapytaj wprost, czy decyzja była wyłącznie zautomatyzowana i zażądaj interwencji człowieka. Firma ma 30 dni na odpowiedź. Jeśli milczy lub odmawia – zgłoś to do UODO. Formularz skargi jest dostępny na stronie uodo.gov.pl, postępowanie jest bezpłatne.

Zoptymalizuj CV pod algorytmy – nie jest to kapitulacja, lecz pragmatyzm. Systemy ATS skanują pod kątem słów-kluczy z opisu stanowiska. Używaj języka z ogłoszenia. Unikaj grafik, ramek i tabel, bo większość systemów je pomija lub błędnie interpretuje. Proste formatowanie, standardowe czcionki, brak „kreatywnych” układów – paradoksalnie zwiększa szansę na dotarcie do żywego rekrutera.

Jeśli bank odrzucił Twój wniosek kredytowy, masz takie same prawa jak kandydat. Złóż pisemne żądanie wyjaśnienia, na jakich podstawach podjęto decyzję, czy była wyłącznie zautomatyzowana i jakie czynniki zdecydowały o wyniku. Bank musi zapewnić Ci prawo do interwencji człowieka. Jeśli tego nie robi – narusza art. 22 RODO już teraz. Skarga do UODO lub do Rzecznika Finansowego (rzecznik.gov.pl) jest bezpłatna i ma konkretne skutki.

Po 2 sierpnia dochodzi możliwość skargi do KRiBSI – pod warunkiem, że ustawa zostanie przez Sejm uchwalona przed tą datą. Komisja ma mieć uprawnienia do wglądu w systemy bankowe i rekrutacyjne, nakładania kar i wydawania decyzji nakazujących zmianę algorytmu. Po raz pierwszy w historii polskiego prawa obywatel będzie mógł powiedzieć: „algorytm skrzywdził mnie – i chcę, żeby ktoś to sprawdził”. Pytanie, czy KRiBSI w pierwszych miesiącach swojego istnienia będzie miała faktyczny potencjał operacyjny do obsługi setek skarg – to otwarta kwestia. Ale sam fakt, że taka instytucja ma powstać, jest zmianą strukturalną.

Jedno jest pewne: algorytmy już teraz decydują o kredytach i pracy milionów Polaków. Przez lata robiły to w cieniu – bez obowiązku informowania, bez audytów, bez skargi, którą można by złożyć. Sierpień 2026 tego nie zmieni jednym ruchem – prawo zmienia się wolniej niż technologia. Ale po raz pierwszy będziesz miał prawnie zagwarantowane narzędzia, żeby zapytać: kto albo co podjął tę decyzję i dlaczego.