Skip to main content

Kary EU AI Act 2026: ile kosztuje naruszenie?

Art. 99 EU AI Act przewiduje trzy progi kar: do 35 mln EUR za zakazane praktyki AI, do 15 mln EUR za brak dokumentacji systemów wysokiego ryzyka, do 7,5 mln EUR za fałszywe dane. Pełna tabela z przykładowymi obliczeniami dla MŚP.

Sprawdzenie zgodności z EU AI ActBezpłatny Wito Digital Audit (WDA)

Kary według EU AI Act: o co właściwie chodzi?

EU AI Act (rozporządzenie (UE) 2024/1689 z 13 czerwca 2024 r.) to pierwsza na świecie kompleksowa regulacja prawna sztucznej inteligencji. Artykuł 99 ustanawia reżim sankcji — trzy progi kar zróżnicowane według rodzaju i wagi naruszenia. Decydująca jest przy tym zawsze wyższa z dwóch wartości: bezwzględna kwota w EUR albo procentowy udział w światowym obrocie rocznym. Według Komisji Europejskiej (przegląd EU AI Act 2024) wysokość sankcji celowo ustalono powyżej poziomu DSGVO, aby stworzyć silniejszą zachętę do zgodności.

Trzy progi kar wyjaśnione (art. 99 EU AI Act)

Próg 1: Zakazane praktyki AI (art. 5) — do 35 mln EUR lub 7%

Najwyższy próg sankcji obowiązuje przy naruszeniach zakazów z art. 5 EU AI Act. Zakazy te obowiązują od 2 lutego 2025 r. i dotyczą praktyk AI uznanych za sprzeczne z prawami podstawowymi: podprogowej manipulacji, wykorzystywania słabości, rozpoznawania emocji w miejscu pracy czy biometrycznego skanowania w czasie rzeczywistym w przestrzeni publicznej przez podmioty państwowe. Wysokość kary wynosi zgodnie z art. 99 ust. 1 EU AI Act do 35 000 000 EUR lub — w przypadku przedsiębiorstwa — 7% całkowitego światowego obrotu rocznego za poprzedni rok obrotowy, w zależności od tego, która kwota jest wyższa.

Dla firmy średniej wielkości z obrotem rocznym 25 mln EUR oznacza to: kara może wynieść nawet 1,75 mln EUR (7% × 25 mln EUR). Ponieważ wartość ta jest niższa niż 35 mln EUR, obowiązuje stawka procentowa. Dla firmy z obrotem 600 mln EUR zadziałałaby natomiast kwota bezwzględna 35 mln EUR, ponieważ 7% × 600 mln EUR = 42 mln EUR — a obowiązuje wartość wyższa. Fundacja im. Heinricha Bölla (analiza EU AI Act 2024) zwraca uwagę, że logika sankcji jest celowo nakierowana na to, by odstraszać również wielkie korporacje.

Próg 2: Obowiązki dotyczące wysokiego ryzyka i wymogi ogólne — do 15 mln EUR lub 3%

Średni próg obowiązuje przy naruszeniach wymogów dla systemów AI wysokiego ryzyka (art. 6–55 EU AI Act) oraz obowiązków ogólnych, takich jak transparentność, ocena zgodności, rejestracja i obowiązki zgłoszeniowe. Tutaj kara wynosi zgodnie z art. 99 ust. 3 EU AI Act do 15 000 000 EUR lub 3% światowego obrotu rocznego — ponownie obowiązuje wartość wyższa. To właśnie ten próg jest najbardziej bezpośrednio istotny dla większości MŚP: kto stosuje systemy AI w obszarze HR, przy udzielaniu kredytów lub w edukacji i nie posiada wymaganej dokumentacji, naraża się na te sankcje.

Według przewodnika Bitkom po sankcjach EU AI Act 2024 brak systemów zarządzania ryzykiem, niekompletna dokumentacja techniczna i niespełnione obowiązki transparentności to najczęstsze braki w zakresie zgodności w niemieckich MŚP — wszystkie sankcjonowane na progu 2.

Próg 3: Fałszywe dane wobec organów — do 7,5 mln EUR lub 1,5%

Najniższy, lecz bynajmniej nie pomijalny próg dotyczy wprowadzających w błąd, niekompletnych lub fałszywych informacji przekazywanych właściwym organom krajowym lub Komisji Europejskiej, w szczególności w ramach oceny zgodności lub postępowań urzędowych. Kara wynosi zgodnie z art. 99 ust. 4 EU AI Act do 7 500 000 EUR lub 1,5% światowego obrotu rocznego — ponownie wartość wyższa. Przykład: kto w odpowiedzi na zapytanie urzędu o stosowaną AI wysokiego ryzyka składa niekompletne lub celowo wprowadzające w błąd dokumenty, podlega temu progowi.

Zasada „obowiązuje wartość wyższa” to centralny element konstrukcyjny reżimu sankcji: zapobiega ona temu, by wielkie korporacje o wysokim obrocie ograniczały pułapy procentowe, powołując się na granice bezwzględne — a jednocześnie temu, by małe firmy wpadały w nieproporcjonalne kary przez samą kwotę bezwzględną, gdy stawka procentowa jest niższa.

35 Mio. EUR

Maximum — Art. 99 Abs. 1 EU AI Act

Quelle: EU Verordnung 2024/1689, 2024
7%

globaler Jahresumsatz — Art. 99 Abs. 1

Quelle: EU Verordnung 2024/1689, 2024
4%

DSGVO-Vergleich — Art. 83 DSGVO

Quelle: EU Verordnung 2016/679, 2016
9

Sanktionsstufen-Faktoren — Art. 99 Abs. 7

Quelle: EU Verordnung 2024/1689, 2024

Co liczy się jako „światowy obrót roczny”? Konsolidacja grupowa i powiązania

Pytanie, co dokładnie należy rozumieć przez „całkowity światowy obrót roczny” w rozumieniu art. 99 EU AI Act, ma istotne znaczenie praktyczne — zwłaszcza dla firm będących częścią grupy kapitałowej lub posiadających spółki zależne. Komisja Europejska (FAQ do EU AI Act 2024) opublikowała w tej sprawie pierwsze wskazówki interpretacyjne.

Zasada podstawowa: miarodajny jest skonsolidowany obrót całkowity całego przedsiębiorstwa w sensie gospodarczym za poprzedni rok obrotowy. Oznacza to: dla spółki zależnej będącej częścią większej grupy uwzględnia się nie tylko jej własny obrót, lecz skonsolidowany obrót całej grupy. Regulacja ta wynika z utrwalonej w europejskim prawie konkurencji i ochrony danych praktyki grupowej (por. art. 83 DSGVO oraz prawo antymonopolowe, art. 101/102 TFUE).

Dla MŚP powiązanych z grupą: kto w 25% lub więcej należy do dużego przedsiębiorstwa, nie jest już — zgodnie z unijną definicją MŚP — samodzielnym MŚP. W takim przypadku przy wymiarze kary jako podstawę przyjmuje się skonsolidowany obrót grupy macierzystej — a nie tylko obrót spółki zależnej. Może to znacznie podnieść maksymalną możliwą wysokość sankcji.

Co do pytania o obrót netto vs. brutto: rozporządzenie EU AI Act odsyła do „obrotu całkowitego” bez wyraźnego doprecyzowania. Przez analogię do praktyki interpretacyjnej DSGVO oraz według dokumentu ramowego BMWK w sprawie wdrożenia EU AI Act 2024 należy przyjąć, że podstawą obliczeń jest obrót netto przed opodatkowaniem (bez VAT) — zgodnie z handlową definicją obrotu netto. Ostatecznie rozstrzygną o tym krajowy organ nadzoru oraz TSUE.

Wskazówka praktyczna dla MŚP: jeśli Twoja firma jest częścią grupy kapitałowej, maksymalne kwoty sankcji powinieneś kalkulować na podstawie skonsolidowanego obrotu grupy — a nie na podstawie własnego obrotu jednostkowego. Może to istotnie zmienić rzeczywistą skalę ryzyka.

Verstöße gegen Art. 5 werden mit Geldbußen von bis zu 35.000.000 EUR oder, im Falle eines Unternehmens, von bis zu 7% seines weltweiten Gesamtumsatzes des vorangegangenen Geschäftsjahres geahndet, je nachdem, welcher Betrag höher ist.
Europäisches Parlament und Rat der Europäischen Union, Verordnung (EU) 2024/1689 — EU AI Act, Art. 99 Abs. 1, EUR-Lex / Amtsblatt der Europäischen Union, 2024

Czynniki wymiaru kary: kiedy więcej, kiedy mniej? (art. 99 ust. 7)

Art. 99 ust. 7 EU AI Act wymienia dziewięć czynników, które organ krajowy musi uwzględnić przy ustalaniu konkretnej wysokości kary. Czynniki te mogą zarówno podnosić, jak i obniżać karę — tworzą margines oceny, który ma być wykonywany w interesie proporcjonalności. Według przewodnika Bitkom po sankcjach EU AI Act 2024 organy w praktyce szczególnie pozytywnie zareagują na współpracę i samodzielne zgłoszenie naruszenia.

Czynniki podnoszące karę

  • Waga i czas trwania naruszenia: im dłużej działa zakazany system i im dalej sięga naruszenie, tym wyższa kara. System AI rozpoznający emocje, który działał latami bez wyłączenia, zostanie ukarany surowiej niż krótkotrwałe zastosowanie wstrzymane natychmiast po otrzymaniu sygnału.
  • Umyślność lub rażące niedbalstwo: kto świadomie narusza zakazy albo systematycznie ignoruje wymogi zgodności, musi liczyć się z górnym przedziałem widełek kary. Udowodniona umyślność jest najsilniejszą przesłanką zaostrzenia.
  • Udział rynkowy przedsiębiorstwa: kto ma duży udział w rynku, wyrządza przy naruszeniach większą szkodę — organ może uznać to za czynnik obciążający.
  • Naruszenia powtórne: kto był już raz ukarany za naruszenia EU AI Act lub porównywalnych przepisów dotyczących AI i narusza ponownie, naraża się na znacznie wyższe kary.

Czynniki obniżające karę

  • Współpraca z organem: aktywna, proaktywna współpraca z krajowym organem nadzoru — w tym transparentne ujawnienie wszystkich istotnych informacji i niezwłoczne zaprzestanie naruszeń — to najważniejsza przesłanka łagodząca. FAQ Komisji Europejskiej 2024 wyraźnie to podkreśla.
  • Niewielka waga i krótki czas trwania: krótkotrwałe, niezamierzone naruszenie z szybką samokorektą jest karane łagodniej.
  • Odpowiedzialne działanie po naruszeniu: kto po stwierdzeniu naruszenia niezwłocznie wdraża środki naprawcze, informuje osoby, których to dotyczy, i wykazuje środki prewencyjne na przyszłość, znacząco poprawia swoją pozycję w postępowaniu o karę.
  • Stopień odpowiedzialności: kto sam nie spowodował naruszenia, lecz na przykład jako podmiot stosujący polegał na błędnych danych dostawcy AI, ponosi zmniejszoną odpowiedzialność — o ile obowiązki weryfikacyjne wypełnił zgodnie z najlepszą wiedzą.

Reguła szczególna dla MŚP

Art. 99 ust. 6 EU AI Act wyraźnie przewiduje, że przy wymiarze kary dla MŚP i startupów obowiązuje niższy z dwóch progów. Oznacza to: MŚP z obrotem 5 mln EUR zapłaci w przypadku wysokiego ryzyka maksymalnie 3% × 5 mln EUR = 150 000 EUR — a nie bezwzględną kwotę maksymalną 15 mln EUR. Regulacja ta chroni przed nieproporcjonalnymi karami, lecz nie jest przepustką do bezkarności: również 150 000 EUR zagraża istnieniu małej firmy.

Przykładowe obliczenia: ile konkretnie kosztuje naruszenie MŚP?

Abstrakcyjne widełki kar stają się bardziej namacalne, gdy przełożymy je na realistyczne scenariusze średnich firm. Poniższe trzy przykłady ilustrują, jak zasada „obowiązuje wartość wyższa” działa w praktyce — i dlaczego nawet małe MŚP ponoszą istotne ryzyko.

Przykład 1: Próg 1 — MŚP z obrotem 25 mln EUR

Średniej wielkości firma usług kadrowych z obrotem rocznym 25 mln EUR stosuje system AI do automatycznej preselekcji kandydatów, który niepostrzeżenie dyskryminuje kandydatów ze względu na pochodzenie etniczne — naruszenie art. 5 (zakazana kategoryzacja biometryczna według cech chronionych). Obliczenie kary: 7% × 25 mln EUR = 1,75 mln EUR. Ponieważ 1,75 mln EUR jest niższe niż bezwzględny pułap 35 mln EUR, obowiązuje wartość procentowa. Nawet ze wszystkimi czynnikami łagodzącymi realna jest kara w przedziale sześciocyfrowym.

Przykład 2: Próg 2 — mikroprzedsiębiorstwo z obrotem 5 mln EUR

Kancelaria adwokacka z obrotem rocznym 5 mln EUR stosuje system AI do prognozowania ryzyka procesowego, nie posiadając wymaganej dokumentacji technicznej ani systemu zarządzania ryzykiem zgodnie z art. 9 EU AI Act — naruszenie wymogów dotyczących wysokiego ryzyka (próg 2). Obliczenie kary: 3% × 5 mln EUR = 150 000 EUR. Bezwzględny pułap 15 mln EUR nie działa, ponieważ wartość procentowa (150 000 EUR) jest niższa. Dzięki regule szczególnej dla MŚP obowiązuje tu wartość niższa. Mimo to: 150 000 EUR ma istotne znaczenie dla istnienia średniej kancelarii.

Przykład 3: Próg 1 — firma z obrotem 100 mln EUR

Firma handlowa z obrotem rocznym 100 mln EUR prowadzi system AI do wpływania na zachowania w reklamie, który celowo wykorzystuje słabości psychiczne starszych grup docelowych — wyraźne naruszenie art. 5 ust. 1 lit. b EU AI Act. Obliczenie kary: 7% × 100 mln EUR = 7 mln EUR. Ponieważ 7 mln EUR jest niższe niż 35 mln EUR, obowiązuje wartość procentowa. Do tego dochodzi możliwe roszczenie cywilne o odszkodowanie na podstawie art. 82 DSGVO oraz planowanej dyrektywy UE o odpowiedzialności za AI (EU AI Liability Act).

Porównanie z karami DSGVO

Dla porównania: najwyższa kara DSGVO według art. 83 ust. 5 DSGVO wynosi maksymalnie 4% światowego obrotu rocznego lub 20 mln EUR — wartość wyższa. EU AI Act z 7% dla progu 1 jest zatem o 75% wyższy niż maksymalna kara DSGVO. Według Fundacji im. Heinricha Bölla (analiza EU AI Act 2024) to przewyższenie wybrano świadomie, aby odzwierciedlić większy potencjał zagrożeń ze strony niekontrolowanej AI w porównaniu z tradycyjnym przetwarzaniem danych.

Kto nakłada kary? Struktura organów w Niemczech

Egzekwowanie EU AI Act należy do krajowych organów nadzoru rynku, które każde państwo członkowskie musi samodzielnie wyznaczyć. W Niemczech podział kompetencji nie jest jeszcze ostatecznie uregulowany — według dokumentu ramowego BMWK w sprawie wdrożenia EU AI Act 2024 planowana jest jednak następująca struktura:

  • Federalna Agencja ds. Sieci (Bundesnetzagentur, BNetzA): wiodący krajowy organ nadzoru rynku dla EU AI Act w Niemczech. Ma sprawować nadrzędny nadzór, przyjmować skargi i wszczynać postępowania o nałożenie kar.
  • Federalny Pełnomocnik ds. Ochrony Danych i Wolności Informacji (BfDI): właściwy dla naruszeń EU AI Act, które jednocześnie mają implikacje w zakresie ochrony danych (art. 74 ust. 8 EU AI Act).
  • EU AI Office: dla spraw transgranicznych, dostawców GPAI (modeli AI ogólnego przeznaczenia) i ryzyk systemowych właściwe jest powołane na poziomie UE AI Office Komisji Europejskiej. Koordynuje ono współpracę organów krajowych i w dużych sprawach może działać samodzielnie.

Drogi odwoławcze: od decyzji o nałożeniu kary przedsiębiorstwa mogą wnieść sprzeciw, a następnie skorzystać z drogi sądowoadministracyjnej. Na poziomie UE właściwy jest TSUE. Postępowania mogą ciągnąć się przez wiele lat — co jednak nie oznacza, że kara zostaje zawieszona do ich zakończenia.

Najczęstsze pytania o kary EU AI Act

Kary za naruszenia zakazanych praktyk AI (art. 5 EU AI Act, próg 1) obowiązują od 2 lutego 2025 r. Kary za brak zgodności w obszarze wysokiego ryzyka oraz za naruszenie obowiązków transparentności (progi 2 i 3) zaczynają obowiązywać od 2 sierpnia 2026 r., gdy w pełni zaczną obowiązywać wszystkie wymogi dotyczące wysokiego ryzyka. Krajowe organy nadzoru rynku staną się operacyjne od sierpnia 2025 r. Pierwszych kar w Niemczech należy się spodziewać w latach 2026/2027.
Art. 99 ust. 6 EU AI Act przewiduje regułę szczególną dla MŚP i startupów: obowiązuje zawsze niższa z dwóch wartości (bezwzględna kwota w EUR albo wartość procentowa obrotu). MŚP z obrotem 5 mln EUR zapłaci w przypadku wysokiego ryzyka maksymalnie 3% × 5 mln EUR = 150 000 EUR — a nie bezwzględną granicę 15 mln EUR. Reguła ta chroni przed nieproporcjonalnymi sankcjami, lecz nie jest przepustką do bezkarności: 150 000 EUR zagraża istnieniu małej firmy.
Tak. Art. 99 ust. 7 EU AI Act wyraźnie wymienia współpracę z organem jako czynnik obniżający karę. Kto proaktywnie zgłasza naruszenie, transparentnie ujawnia wszystkie informacje, niezwłocznie zaprzestaje naruszenia i wykazuje środki naprawcze, może uzyskać znaczne obniżenie wysokości kary. FAQ Komisji Europejskiej 2024 zaleca firmom, by przy wykrytych lukach w zgodności wcześnie nawiązywały dialog z organem — zamiast czekać na wykrycie z zewnątrz.
Zgodnie z dokumentem ramowym BMWK 2024 jako wiodący krajowy organ nadzoru rynku przewidziana jest Federalna Agencja ds. Sieci (Bundesnetzagentur, BNetzA). Przy nakładaniu się kwestii ochrony danych należy włączyć Federalnego Pełnomocnika ds. Ochrony Danych (BfDI). W sprawach transgranicznych i wobec dostawców GPAI właściwe jest EU AI Office Komisji Europejskiej. Ostateczna regulacja ustawowa niemieckiej struktury nadzoru wciąż jest w toku (stan: maj 2026).
Wszystko na to wskazuje — ale z fazą rozruchu. Doświadczenie z DSGVO pokazuje, że organy krajowe początkowo stawiają na doradztwo i nakazy naprawcze, a kary nakładają przy naruszeniach powtórnych lub poważnych. Pierwszych kar EU AI Act w Niemczech realnie należy się spodziewać od 2027 r. Firmy, które nie potrafią wykazać żadnych starań o zgodność, ponoszą znacznie wyższe ryzyko niż te, które aktywnie pracują nad wdrożeniem.
DSGVO przewiduje zgodnie z art. 83 ust. 5 za poważne naruszenia maksymalnie 4% światowego obrotu rocznego lub 20 mln EUR — w zależności od tego, która kwota jest wyższa. EU AI Act dla zakazanych praktyk (próg 1) sięga 7% lub 35 mln EUR — czyli o 75% więcej niż maksymalna kara DSGVO. Dla naruszeń wysokiego ryzyka (próg 2, 3% lub 15 mln EUR) poziom jest porównywalny ze średnimi karami DSGVO według art. 83 ust. 4.
Zasada ta oznacza: dla każdej kary istnieje bezwzględny pułap w EUR oraz pułap procentowy odniesiony do światowego obrotu rocznego. Obowiązuje zawsze wyższa z dwóch obliczonych kwot. Przykład: próg 1 (7% lub 35 mln EUR). Dla firmy z obrotem 20 mln EUR: 7% × 20 mln = 1,4 mln EUR — mniej niż 35 mln, więc obowiązuje 1,4 mln EUR. Przy obrocie 600 mln EUR: 7% × 600 mln = 42 mln EUR — więcej niż 35 mln, więc działa ograniczenie do 35 mln EUR.
Tak. Od decyzji o nałożeniu kary przysługuje pełna droga sądowoadministracyjna: najpierw sprzeciw do organu wydającego decyzję, następnie skarga do właściwego sądu administracyjnego, aż po Federalny Sąd Administracyjny, a w kwestiach prawa UE — do TSUE. W toku środków odwoławczych wykonanie kary może zostać w pewnych okolicznościach wstrzymane w ramach tymczasowej ochrony prawnej. W praktyce przy decyzjach o karze zaleca się natychmiastowe włączenie prawnika wyspecjalizowanego w prawie AI.

Sprawdzenie zgodności z EU AI Act — zminimalizuj ryzyko kar

Wito AI analizuje Twoje systemy AI według progów ryzyka EU AI Act, identyfikuje luki w zgodności i tworzy priorytetową listę działań. Poznaj ryzyko kar i celowo je redukuj — zanim zapyta organ.

Zamów sprawdzenie zgodności z EU AI ActBezpłatny Wito Digital Audit (WDA)
  • Klasyfikacja ryzyka wszystkich systemów AI
  • Zamknięcie luk w zgodności przed terminem 2026
  • Wykazalne obniżenie ryzyka kar

Kary EU AI Act 2026: ile kosztuje naruszenie? Pełna tabela

Ressource

KI-Tools Vergleich

→ Jetzt lesen
Ressource

Fördermittel-Kompass

→ Jetzt lesen
Ressource

ROI-Calculator

→ Jetzt lesen
Assessment

KI-Reifegrad-Check

→ Jetzt lesen