AI Act art. 50, checklista dla voicebotów

Od 2 sierpnia 2026 r. każdy voicebot w UE musi się przedstawić jako system AI. Inaczej organ może nałożyć karę do 15 mln EUR. Ten raport pokazuje treść komunikatu, podział odpowiedzialności provider/deployer i dowód operacyjny, który zadziała w razie kontroli. Audyt zgodności wdrożenia pod art. 50 dla pojedynczego scenariusza zajmuje 2–3 godziny.

11 min czytaniapublikacja 2026-04-23aktualizacja 2026-05-14wydawca Syntalith sp. z o.o.
raport · AI Act11 min
trzy zdania
TL;DR · 012 sierpnia 2026 r. art. 50 AI Act staje się stosowalny. Komunikat o interakcji z AI musi być w pierwszej rozmowie, nie w polityce prywatności na stronie. Art. 50 ust. 1 nakłada obowiązek na providera (zaprojektowanie systemu informującego rozmówcę), deployer odpowiada operacyjnie za to, że komunikat realnie pojawia się w produkcji.
TL;DR · 02Kara: do 15 mln EUR / 3% obrotu (art. 99 AI Act). Dla zakazanych praktyk do 35 mln EUR / 7%. W Polsce projekt ustawy (przyjęty przez RM 31 marca 2026 r.) ustanawia Komisję Rozwoju i Bezpieczeństwa Sztucznej Inteligencji (KRiBSI) jako organ właściwy. UODO i UKE zachowują kompetencje w obszarach styku z RODO i telekomunikacją.
TL;DR · 03Dowód operacyjny: log wersji scenariusza, próbki nagrań testowych, zapis akceptacji, przegląd 1–3% rozmów, AI literacy zespołu (art. 4 AI Act, już od 2 lutego 2025 r.).
publikacja · 2026-04-23
Stosowalność
2 sierpnia 2026 r.

Art. 50 (transparency) + większość pozostałych przepisów. Obowiązki dla samodzielnych systemów wysokiego ryzyka (Załącznik III, klasyfikacja przez art. 6 ust. 2): pierwotnie 2 sierpnia 2026 r., Digital Omnibus (porozumienie trilogowe z 7 maja 2026 r.) przesuwa na 2 grudnia 2027 r. Dla AI jako komponentu bezpieczeństwa produktu (Załącznik I, art. 6 ust. 1): pierwotnie 2 sierpnia 2027 r., Omnibus przesuwa na 2 sierpnia 2028 r.

Kara
do 15 mln EUR / 3%

Art. 99 AI Act. Większe z dwóch. Naruszenie zakazanych praktyk: 35 mln EUR / 7%.

Forma
jasny komunikat w rozmowie

Na początku, nie w polityce prywatności. Bez ukrycia faktu automatyzacji.

Dowód
log + próbki + przegląd

Wersja scenariusza, sampling rozmów, AI literacy zespołu (art. 4).

Code of Practice
czerwiec 2026 r.

Finalna wersja KE wytycznych ws. oznaczania syntetycznej treści.

Trzy zdania, jeśli nie masz czasu

  1. 012 sierpnia 2026 r. art. 50 AI Act staje się stosowalny. Komunikat o interakcji z AI musi być w pierwszej rozmowie, nie w polityce prywatności na stronie. Art. 50 ust. 1 nakłada obowiązek na providera (zaprojektowanie systemu informującego rozmówcę), deployer odpowiada operacyjnie za to, że komunikat realnie pojawia się w produkcji.
  2. 02Kara: do 15 mln EUR / 3% obrotu (art. 99 AI Act). Dla zakazanych praktyk do 35 mln EUR / 7%. W Polsce projekt ustawy (przyjęty przez RM 31 marca 2026 r.) ustanawia Komisję Rozwoju i Bezpieczeństwa Sztucznej Inteligencji (KRiBSI) jako organ właściwy. UODO i UKE zachowują kompetencje w obszarach styku z RODO i telekomunikacją.
  3. 03Dowód operacyjny: log wersji scenariusza, próbki nagrań testowych, zapis akceptacji, przegląd 1–3% rozmów, AI literacy zespołu (art. 4 AI Act, już od 2 lutego 2025 r.).

01

Co dokładnie wchodzi 2 sierpnia 2026 r.

  1. 2 lutego 2025 r.

    Art. 4 AI literacy + Rozdział II zakazane praktyki

    Już stosowalne. Art. 4 wymaga, by personel deployera miał wystarczający poziom kompetencji AI.

  2. sierpień 2025 r.

    Obowiązki dla GPAI providerów, reżim sankcji aktywny

    Kary za zakazane praktyki już realne (do 35 mln EUR / 7% obrotu).

  3. 17 grudnia 2025 r.

    Pierwszy projekt Code of Practice ws. oznaczania syntetycznej treści

    Komisja Europejska publikuje wstępne wytyczne dla providerów i deployerów.

  4. marzec 2026 r.

    Drugi projekt Code of Practice

    Po konsultacjach. Doprecyzowanie schematów watermarkingu i dyspozycji art. 50(2).

  5. 8 maja 2026 r.

    Projekt wytycznych KE ws. art. 50 (transparency)

    Komisja Europejska publikuje Draft Guidelines on AI Transparency under the EU AI Act, doprecyzowujący przesłankę „oczywistości z kontekstu”, formy ujawnienia w różnych kanałach (głos, tekst, multi-modal), zakres obowiązków providera vs deployera. Otwarte konsultacje publiczne do 3 czerwca 2026 r.

  6. czerwiec 2026 r.

    Finalna wersja Code of Practice

    Punkt referencyjny dla regulatorów i sądów przy ocenie zgodności po sierpniu. KE deklaruje publikację „przed sierpniem 2026 r.”, termin czerwcowy jest projektowy.

  7. 2 sierpnia 2026 r.

    Art. 50 staje się stosowalny dla wszystkich

    Providerzy + deployerzy AI w UE. Wymagania transparentności w pełnym wymiarze. Kara do 15 mln EUR / 3% obrotu.

  8. 2 grudnia 2026 r.

    Art. 50(2) watermarking, deadline po Omnibus

    Porozumienie trilogowe Digital Omnibus z 7 maja 2026 r. przesuwa stosowalność obowiązku oznaczania syntetycznej treści (audio, obraz, wideo, tekst) w sposób maszynowo czytelny z 2.08.2026 na 2 grudnia 2026 r. Daje to providerom dodatkowe 4 miesiące na wdrożenie schematów watermarkingu zgodnych z Code of Practice.

  9. 2 grudnia 2027 r.

    Załącznik III high-risk (samodzielne systemy)

    Po Omnibus z 7 maja 2026 r. Biometria, zatrudnienie, edukacja, ścig. karne, infrastruktura krytyczna. Conformity assessment (ocena zgodności), post-market monitoring (monitorowanie po wprowadzeniu na rynek).

  10. 2 sierpnia 2028 r.

    Załącznik I high-risk (AI jako komponent bezpieczeństwa produktu)

    Po Omnibus. Maszyny, urządzenia medyczne, zabawki i inne produkty objęte zharmonizowanym prawem UE.

02

Treść komunikatu na początku rozmowy

Komunikat ma być w pierwszej rozmowie i w jej trakcie. Pojawienie się informacji „używamy AI” w polityce prywatności na stronie internetowej nie spełnia art. 50. Rozmówca telefoniczny nigdy tej polityki nie czyta.

Nie wolno udawać człowieka. Praktyka rynkowa, której trzymamy się w odbierze.ai: sztuczne imię (np. „Mówi Anna z recepcji”) jest dopuszczalne, ale w pierwszych sekundach musi pojawić się informacja, że to system AI. Rekomendowana sekwencja: pozdrowienie + identyfikacja firmy + komunikat AI + zaproszenie do dalszej rozmowy. To interpretacja agencyjna, art. 50 nie reguluje samego imienia, tylko obowiązek ujawnienia natury rozmówcy.

W rozmowie wychodzącej (outbound) komunikat powinien być w pierwszych 5–10 sekundach, zanim padnie pytanie merytoryczne. „Dzień dobry, dzwonię z [firma], mówi głosowy agent AI…”

Wewnętrzne testy systemu z pracownikami poinformowanymi w procedurze HR mogą spełniać przesłankę „oczywistości z kontekstu” z art. 50 ust. 1 in fine AI Act (carve-out znajduje się w tym samym zdaniu, nie w osobnym ustępie). Komunikat dla audytu zewnętrznego (kontrole, organy) wymagany w pełni.

03

Provider vs Deployer, kto za co odpowiada

Podział odpowiedzialności art. 50, rola, definicja, obowiązki praktyczne

Provider

Definicja AI Act
Podmiot, który wytwarza system AI i wprowadza go na rynek UE.
Odpowiedzialność za art. 50
Statutowy adresat art. 50 ust. 1: zaprojektować system tak, by rozmówca wiedział, że ma do czynienia z AI. Dodatkowo: art. 50(2) maszynowe oznaczanie syntetycznej treści, dokumentacja techniczna, zgodność modelu.

Deployer

Definicja AI Act
Podmiot, który profesjonalnie używa systemu AI.
Odpowiedzialność za art. 50
Operacyjnie: realnie podawać komunikat w produkcji, prowadzić log, szkolić personel (AI literacy art. 4), aktualizować scenariusz po zmianie modelu. Art. 50(3) i 50(4) (emocje/biometria, deepfake) obciążają deployera bezpośrednio. Deployer, który istotnie modyfikuje system, może stać się „downstream providerem” w rozumieniu art. 25.

Klient (np. klinika używająca voicebota)

Definicja AI Act
Deployer w rozumieniu AI Act.
Odpowiedzialność za art. 50
Komunikat w pierwszej rozmowie, log wersji, eskalacja, AI literacy zespołu, akceptacja każdej zmiany scenariusza przez dział compliance.

Agencja (np. odbierze.ai)

Definicja AI Act
Może być providerem (jeśli buduje na własnej platformie) lub współdeployerem (jeśli konfiguruje na zewnętrznej infrastrukturze).
Odpowiedzialność za art. 50
Dokumentacja techniczna, scenariusze, próbki testowe, audyt logu, opis do umowy powierzenia, asysta przy AI literacy klienta.

W praktyce w odbierze.ai pełnimy rolę współdeployera dla większości klientów, z elementem providera tam, gdzie używamy własnych komponentów scenariuszowych. Dokładny podział wpisany jest w umowę powierzenia + DPA.

04

Watermarking i oznaczanie syntetycznego dźwięku

Art. 50(2) wymaga, żeby treść AI była rozpoznawalna w sposób maszynowo czytelny tam, gdzie technicznie wykonalne. Dla głosu w czasie rzeczywistym standardy watermarkingu audio są jeszcze rozwijane. Drugi projekt Code of Practice z 5 marca 2026 r. dopuszcza alternatywy: fingerprinting, logging i sygnatura w metadanych nagrania. Realnym minimum na sierpień 2026 r. jest komunikat głosowy + zapis w logu rozmowy + identyfikacja w metadanych.

Code of Practice (pierwszy projekt z 17 grudnia 2025 r., drugi z 5 marca 2026 r.) zaleca konkretne formaty: C2PA (Coalition for Content Provenance and Authenticity) dla obrazów i wideo. Audio realtime, w tym voicebot, ma własną ścieżkę i nie wymaga watermarkingu inaudible jako warunku zgodności.

Wyjątki w art. 50(2) są wąskie: systemy AI pełniące funkcję wspomagającą standardową edycję, systemy które nie zmieniają istotnie danych wejściowych ani ich semantyki, oraz zastosowania uprawnione na podstawie prawa do wykrywania, zapobiegania, prowadzenia śledztw lub ścigania przestępstw. Osobny carve-out artystyczny (treści ewidentnie artystyczne, kreatywne, satyryczne, fikcyjne) jest w art. 50(4), nie 50(2), i dotyczy obowiązku ujawniania deepfake'ów w sposób nieutrudniający odbioru utworu. Voicebot komercyjny w klinice nie mieści się w żadnym z tych wyjątków.

Na maj 2026 r. nikt nie został jeszcze ukarany na podstawie art. 50 (stosowalny dopiero od sierpnia). Pierwsze decyzje krajowych organów spodziewane w 2027 r. Polski projekt ustawy o systemach AI (przyjęty przez Radę Ministrów 31 marca 2026 r.) ustanawia Komisję Rozwoju i Bezpieczeństwa Sztucznej Inteligencji (KRiBSI) jako organ właściwy dla większości spraw związanych z AI. UODO zachowuje rolę doradczą i kompetencje w sprawach styku AI z RODO. UKE w obszarze telekomunikacji.

05

Eskalacja, deepfake, przypadki brzegowe

  1. 01

    Wprost wyrażone żądanie rozmowy z człowiekiem

    Natychmiastowa eskalacja. Nie pytaj „dlaczego”.

  2. 02

    Reklamacja, sprawa medyczna, konflikt

    Eskalacja + zachowanie kontekstu rozmowy dla człowieka.

  3. 03

    Emocje, kryzys, podejrzenie zagrożenia

    Eskalacja + (dla zdrowia) numer alarmowy. Voicebot nie jest pierwszą linią dla 112.

  4. 04

    Niska pewność modelu (confidence < próg)

    Eskalacja zamiast halucynacji. Próg ustalany w briefie technicznym.

  5. 05

    Dziecko jako rozmówca

    Eskalacja + reżim ścisły dla danych dzieci (RODO + AI Act).

  6. 06

    Próba klonowania głosu rozmówcy

    Niedopuszczalna. Scenariusz natychmiast zatrzymuje proces.

  7. 07

    Próba podszycia się (głos rozmówcy budzi podejrzenia)

    Scenariusz weryfikacji tożsamości + eskalacja do człowieka. Uwaga: art. 50(4) AI Act reguluje obowiązki deployera generującego deepfake'i, a nie reakcję na próbę spoofingu po stronie rozmówcy. Obrona przed podszyciem to standardowy reżim oszustwa i procedur weryfikacji klienta, nie art. 50.

06

Dowód operacyjny: co trzeba mieć w razie kontroli

  1. 01

    Log wersji scenariusza

    Timestamp, autor, diff. Niezbędny przy zmianach komunikatu po zmianie modelu lub TTS.

  2. 02

    Próbki nagrań testowych

    Po jednej dla każdego komunikatu otwierającego, zachowane zawsze, niezależnie od retencji nagrań produkcyjnych.

  3. 03

    Zapis w procedurze wdrożeniowej

    Kto akceptował komunikat (specjalista ds. compliance, IOD, dyrektor), kiedy, na jakiej podstawie.

  4. 04

    Przegląd 1–3% rozmów miesięcznie

    Dziennik ustaleń. Nie sam fakt przeglądu, lecz konkretne wnioski i poprawki.

  5. 05

    Procedura aktualizacji komunikatu

    Jak postępować po zmianie modelu, TTS, struktury scenariusza.

  6. 06

    Lista osób z dostępem do produkcji

    Zasada minimum (need to know). Aktualizacja co 6 mies.

  7. 07

    Klauzula art. 50 w umowie z klientem

    Dokładny podział odpowiedzialności provider/deployer/klient/agencja.

  8. 08

    Procedura testów konfiguracji

    Co, jeśli komunikat zniknął po deployu? Test smoke przed produkcją.

  9. 09

    AI literacy art. 4 dla zespołu klienta

    Szkolenie + dokument procedury eskalacji. 1-godzinne minimum, zarejestrowane.

07

Kary, kto egzekwuje, jak

Maksymalne kary i ich podstawa, AI Act + RODO

Zakazane praktyki (art. 5)

Maks. kara
35 mln EUR / 7% obrotu
Egzekwujący
KE + krajowe organy
Praktyka
Stosowalne od 2 lutego 2025 r.

Wymagania dla high-risk (art. 8–15)

Maks. kara
15 mln EUR / 3% obrotu
Egzekwujący
krajowe organy
Praktyka
Kary stosowalne od 2.08.2026. Obowiązki materialne dla Załącznika III: pierwotnie 2.08.2026, Omnibus (porozumienie z 7.05.2026) przesuwa na 2.12.2027. Załącznik I (AI w produktach): pierwotnie 2.08.2027, Omnibus na 2.08.2028.

Art. 50 (transparency)

Maks. kara
15 mln EUR / 3% obrotu
Egzekwujący
krajowe organy
Praktyka
Od 2 sierpnia 2026 r.

Nieprawidłowe info do organów (art. 99 ust. 5)

Maks. kara
7,5 mln EUR / 1% obrotu
Egzekwujący
wszyscy
Praktyka
Od 2 sierpnia 2026 r.

RODO (równolegle)

Maks. kara
20 mln EUR / 4% obrotu
Egzekwujący
UODO (PL)
Praktyka
Już dziś, niezależnie od AI Act

SME (mała i średnia firma, w tym start-up) zgodnie z art. 99 ust. 6 płaci niższą z dwóch wartości (kwota lub procent), nie wyższą; przeciwnie niż w przypadku dużych firm. Wysokość kary uwzględnia też wielkość, charakter naruszenia i poziom współpracy ([art. 99 ust. 7 AI Act](https://ai-act-service-desk.ec.europa.eu/en/ai-act/article-99)). Kary RODO i AI Act są niezależne i mogą być nałożone równolegle. UWAGA interpretacyjna: konsensus komentarzy prawnych (Pearl Cohen, Kennedys, Jones Day) lokuje naruszenia art. 50 w pułapie art. 99 ust. 4 (15 mln EUR / 3%). Art. 99 ust. 5 (7,5 mln EUR / 1%) dotyczy wyłącznie podawania błędnych/niepełnych informacji organom nadzoru lub jednostkom notyfikowanym, nie samego naruszenia obowiązku z art. 50.

08

AI Act art. 4 (AI literacy) vs art. 50

Art. 4 AI Act, stosowalny od 2 lutego 2025 r., wymaga, żeby providerzy i deployerzy zapewnili wystarczający poziom kompetencji AI u personelu obsługującego system. Dla kliniki z voicebotem to: szkolenie zespołu, jak działa, gdzie są limity, jak eskalować, kiedy alarmować.

Art. 50 dotyczy odbiorcy (rozmówcy). Art. 4 dotyczy zespołu deployera. Obu nie wolno mylić, każdy ma osobny dowód: dla art. 4 to lista uczestników szkolenia + materiały + test; dla art. 50 to log scenariusza + próbki nagrań + akceptacja.

W praktyce 1-godzinne szkolenie + jeden dokument z procedurą eskalacji wystarczy w przypadku małych zespołów. Dla większych deployerów (kilkudziesięciu lub setek pracowników) szkolenie powinno mieć element online + test + odświeżanie roczne.

Po stronie odbierze.ai wsparcie obejmuje: scenariusz szkolenia (gotowy do dostarczenia), opcjonalny webinar dla zespołu klienta, materiały do procedury i checklist dla nowych pracowników. To w cenie pakietu GROWTH i ENTERPRISE.

09

Metodyka i dziennik aktualizacji

Treść raportu pochodzi z analizy AI Act 2024/1689 (EUR-Lex), wytycznych KE z 17 grudnia 2025 r. (Code of Practice ws. oznaczania syntetycznej treści), interpretacji prawniczych z 2026 r. (Pearl Cohen, Jones Day, Kennedys Law, Truescreen), planu wdrożenia AI Act (Resemble AI, Legal Nodes, EU AI Compass). Kary i terminy stosowalności wzięte bezpośrednio z art. 99 i art. 113 AI Act. Polski egzekutor będzie wskazany w ustawie krajowej (prace w toku 2026), prawdopodobnie UODO + UKE.

Dziennik aktualizacji

  1. 2026-04-23Pierwsza wersja raportu
  2. 2026-05-06Pełna restrukturyzacja: timeline 2025–2027, podział provider/deployer w tabeli, dowód operacyjny w 9 punktach, kary porównane z RODO, art. 4 vs art. 50
  3. 2026-05-14Fact-check pass: rozdzielenie Załącznika III (art. 6 ust. 2, pierwotnie 2.08.2026, Omnibus → 2.12.2027) od Załącznika I (art. 6 ust. 1, pierwotnie 2.08.2027, Omnibus → 2.08.2028). Aktualizacja polskiego egzekutora: KRiBSI (projekt RM z 31.03.2026) zamiast nieaktualnego UODO+UKE. Doprecyzowanie roli watermarkingu audio na podstawie drugiego projektu Code of Practice z 5.03.2026. Skrócony lede z konkretną bolączką klienta, oznaczenie interpretacji agencyjnych.

11

FAQ

01pyt · raport

Co jeśli klient nie zauważy komunikatu, choć jest podany?

odp.

Art. 50 wymaga, żeby informacja była podana. Nie wymaga, żeby klient ją usłyszał i pamiętał. Dowód po stronie podmiotu stosującego to log + próbka nagrania. W odbierze.ai standardowo stosujemy pauzę 0,5–1 sek po komunikacie, żeby dać moment percepcji. To best practice, nie wymóg z art. 50.

02pyt · raport

Czy nagrywanie rozmowy bez zgody narusza art. 50?

odp.

Art. 50 nie reguluje samego nagrywania. Reguluje to RODO (zgoda lub inna podstawa) i Prawo komunikacji elektronicznej (PKE, obowiązujące od 10 listopada 2024 r.). Voicebot, który informuje „rozmowa może być nagrywana w celach jakościowych”, spełnia obowiązek informacyjny RODO; art. 50 wymaga osobnej informacji „rozmawia Pani z systemem AI”.

03pyt · raport

Czy każda zmiana komunikatu wymaga nowego deploya?

odp.

Każda zmiana treści komunikatu wymaga zapisu w logu wersji. Deploy techniczny zależy od architektury (rolling vs full). W odbierze.ai zmiany komunikatu są deployowane atomowo i po teście smoke, z zapisem w dzienniku zmian.

04pyt · raport

Co z firmami spoza UE, które obsługują polskich klientów?

odp.

AI Act ma zasadę ekstraterytorialną podobną do RODO. Jeśli system AI wpływa na osoby w UE, firma spoza UE podlega obowiązkom. W praktyce to oznacza, że deployer w PL używający platformy z USA i tak musi zapewnić komunikat zgodny z art. 50.

05pyt · raport

Czy art. 50 dotyczy tylko głosu, czy też SMS, e-mail od AI?

odp.

Art. 50 dotyczy każdego systemu AI w bezpośredniej interakcji z osobą fizyczną. Tekst (chatbot, e-mail, SMS) tak samo. Wymóg „jasnego, oczywistego komunikatu” jest niezależny od kanału.

06pyt · raport

Czy art. 50 dotyczy firm, które używają voicebota tylko wewnętrznie?

odp.

Art. 50 dotyczy systemów wchodzących w interakcję z osobami fizycznymi. Pracownicy poinformowani, że firma używa voicebota wewnętrznie, są poza zakresem (informacja podana raz w procedurze HR jest wystarczająca). Goście, klienci, kontrahenci wchodzący w interakcję wymagają komunikatu w pierwszej rozmowie.

07pyt · raport

Czy mogę użyć imienia ludzkiego dla bota?

odp.

Tak, ale w pierwszych 10 sekundach musi pojawić się informacja, że to system AI. „Mówi Anna z recepcji [firma], jestem głosowym agentem AI…” to akceptowalna forma. „Mówi Anna z recepcji” bez wzmianki o AI nie spełnia obowiązku.

Biblioteka R

Dalej w bibliotece odbierze.ai.

04 / 05
Wszystkie raporty