Firma technologiczna z Mazowsza wdrożyła narzędzie do automatycznej selekcji CV jesienią 2024 roku. Zarząd był przekonany, że skoro system „tylko wspomaga" rekrutera, żadne szczególne regulacje nie mają zastosowania. Kilka miesięcy później okazało się, że AI Act klasyfikuje takie rozwiązanie jako system wysokiego ryzyka – z pełnym reżimem oceny zgodności, dokumentacji technicznej i nadzoru człowieka.
AI Act – Rozporządzenie UE 2024/1689 – wszedł w życie 1 sierpnia 2024 roku i wprowadza stopniowany harmonogram obowiązków dla firm stosujących systemy sztucznej inteligencji. Pierwsze zakazy obowiązują od 2 lutego 2025 roku. Systemy wysokiego ryzyka muszą spełniać wymogi zgodności do 2 sierpnia 2026 roku. Niedostosowanie grozi karami do 35 milionów euro lub 7% globalnego obrotu rocznego.
Ten materiał pokazuje, jak firma z sektora HR-tech przeszła przez analizę ryzyka, klasyfikację systemów i pierwsze kroki wdrożeniowe – oraz jakie wnioski z tego procesu są przydatne dla innych polskich przedsiębiorstw.
Jak wyglądało tło sprawy i co poszło nie tak na początku?
Spółka z ograniczoną odpowiedzialnością działająca w branży HR-tech zatrudniała około 80 osób. Od jesieni 2024 roku korzystała z zewnętrznego narzędzia SaaS do wstępnej oceny kandydatów. Narzędzie analizowało CV, przypisywało punktację i rekomendowało, których kandydatów zaprosić na rozmowę. Dostawca oprogramowania zapewniał, że system „nie podejmuje decyzji" – jedynie generuje sugestie.
To klasyczny błąd interpretacyjny. AI Act nie pyta, czy system formalnie „decyduje". Pyta, czy wpływa na wyniki w obszarach wymienionych w załączniku III Rozporządzenia. Rekrutacja i selekcja pracowników są tam wprost wymienione jako kategoria wysokiego ryzyka. Nadzór nad systemem sprawował jeden rekruter, który w praktyce akceptował rekomendacje algorytmu bez pogłębionej weryfikacji.
Dodatkowym problemem była kwestia RODO. System przetwarzał dane osobowe kandydatów – Rozporządzenie UE 2016/679 nakładało obowiązek oceny skutków dla ochrony danych (DPIA). Spółka tej oceny nie przeprowadziła. Urząd Ochrony Danych Osobowych – UODO – mógłby wszcząć postępowanie niezależnie od AI Act.
Jaką strategię przyjęto i jak przebiegał proces wdrożenia?
Pierwszym krokiem była inwentaryzacja systemów AI w całej organizacji. Okazało się, że firma korzystała z czterech narzędzi opartych na algorytmach uczenia maszynowego: systemu rekrutacyjnego, narzędzia do analizy sentymentu w komunikacji wewnętrznej, chatbota obsługi klienta i modułu prognozowania fluktuacji kadr. Każdy z nich wymagał odrębnej klasyfikacji ryzyka.
Klasyfikacja wykazała zróżnicowany obraz. System rekrutacyjny – wysokie ryzyko. Chatbot obsługi klienta – ryzyko ograniczone, wymogi dotyczą głównie transparentności (użytkownik musi wiedzieć, że rozmawia z AI). Narzędzie do analizy sentymentu – ryzyko ograniczone, ale z istotnymi pytaniami o RODO. Moduł prognozowania fluktuacji – minimalny poziom ryzyka.
Dla systemu wysokiego ryzyka kancelaria przygotowała dokumentację techniczną zgodną z wymogami AI Act, zaktualizowała umowę z dostawcą SaaS (dostawca jako „dostawca systemu AI" ponosi własne obowiązki, ale to spółka jako „podmiot stosujący" odpowiada za wdrożenie), wdrożyła procedurę nadzoru człowieka i przeprowadziła DPIA. Całość procesu zajęła 11 tygodni. Koszty zewnętrznej obsługi prawnej zamknęły się w przedziale kilkudziesięciu tysięcy złotych – ułamek potencjalnej kary.
Warto zaznaczyć rolę DORA w tym kontekście. Spółka nie była podmiotem finansowym, więc Rozporządzenie UE 2022/2554 nie miało bezpośredniego zastosowania. Jednak jej klient – towarzystwo ubezpieczeniowe – podlegał DORA od 17 stycznia 2025 roku i wymagał od dostawców IT potwierdzenia odporności operacyjnej. To wymusiło dodatkowy audyt bezpieczeństwa ICT, który firma przeprowadziła równolegle z wdrożeniem AI Act. Szczegóły dotyczące obowiązków wynikających z DORA opisujemy w osobnym materiale: DORA – kto musi wdrożyć i do kiedy.
Jakie wnioski można przenieść na inne polskie firmy?
Harmonogram AI Act jest konkretny i nieprzekraczalny. Zakazy dotyczące systemów niedopuszczalnego ryzyka – takich jak scoring społeczny czy manipulacja podprogowa – obowiązują od 2 lutego 2025 roku. Systemy wysokiego ryzyka wymienione w załączniku III muszą spełniać pełne wymogi do 2 sierpnia 2026 roku. Obowiązki dotyczące modeli ogólnego przeznaczenia (GPAI) weszły w życie 2 sierpnia 2025 roku.
Trzy wnioski z opisanej sprawy są szczególnie przydatne. Po pierwsze, klasyfikacja ryzyka musi poprzedzać wdrożenie – nie następować po nim. Po drugie, odpowiedzialność podmiotu stosującego (deployer) jest realna nawet wtedy, gdy system pochodzi od zewnętrznego dostawcy. Po trzecie, AI Act i RODO nakładają się na siebie – ocena zgodności z jednym rozporządzeniem nie zwalnia z obowiązków wynikających z drugiego.
Dla firm z sektora finansowego dochodzi jeszcze warstwa DORA. Dla firm przetwarzających dane pracownicze – pytania o znak towarowy i ochronę danych w kontekście własności intelektualnej generowanej przez AI. Kancelaria IP Warszawa coraz częściej doradza w sprawach, gdzie AI Act krzyżuje się z prawem własności intelektualnej i ochroną marki. Jeśli Państwa firma planuje harmonogram wdrożeń AI, warto też zapoznać się z naszym materiałem o zarządzaniu terminami administracyjnymi: zezwolenie na pobyt czasowy – harmonogram i wymagania.
Praktyczna lista kontrolna na start wdrożenia AI Act obejmuje:
- inwentaryzację wszystkich systemów AI używanych w organizacji (w tym narzędzi SaaS dostawców zewnętrznych),
- klasyfikację każdego systemu według kategorii ryzyka z AI Act,
- ocenę skutków dla ochrony danych (DPIA) tam, gdzie system przetwarza dane osobowe,
- aktualizację umów z dostawcami AI w zakresie podziału obowiązków compliance,
- wdrożenie procedury nadzoru człowieka dla systemów wysokiego ryzyka.
Konkretna sytuacja Państwa firmy może różnić się od opisanego przypadku. Jeden błąd w klasyfikacji systemu – zakwalifikowanie go jako niskiego ryzyka zamiast wysokiego – może prowadzić do nieodwracalnych skutków: kary finansowej, zakazu stosowania systemu i odpowiedzialności wobec osób, których dane były przetwarzane.
Jeśli Państwa spółka stosuje systemy AI w rekrutacji, ocenie kredytowej, biometrii lub innym obszarze wymienionym w załączniku III AI Act – przeprowadzimy klasyfikację ryzyka, przygotujemy dokumentację techniczną i zaktualizujemy umowy z dostawcami: info@kordeckipartners.com.
Często zadawane pytania
P: Od kiedy dokładnie obowiązują przepisy AI Act dotyczące systemów wysokiego ryzyka?
O: Rozporządzenie UE 2024/1689 weszło w życie 1 sierpnia 2024 roku. Zakazy dotyczące systemów niedopuszczalnego ryzyka obowiązują od 2 lutego 2025 roku. Pełne wymogi dla systemów wysokiego ryzyka wymienionych w załączniku III – takich jak narzędzia rekrutacyjne, systemy scoringu kredytowego czy biometria – muszą być spełnione do 2 sierpnia 2026 roku. Kary za naruszenia mogą sięgnąć 35 milionów euro lub 7% globalnego obrotu rocznego.
P: Czy firma używająca zewnętrznego narzędzia AI (SaaS) musi samodzielnie zapewnić zgodność z AI Act?
O: Tak – AI Act rozróżnia „dostawcę" systemu AI i „podmiot stosujący" (deployer). Nawet jeśli narzędzie pochodzi od zewnętrznego dostawcy, podmiot stosujący ponosi własne obowiązki: wdrożenie procedury nadzoru człowieka, przeprowadzenie oceny skutków dla ochrony danych i zapewnienie odpowiedniej dokumentacji. Umowa z dostawcą powinna precyzyjnie określać podział tych obowiązków – brak takich postanowień jest częstym błędem.
P: Czy AI Act i RODO to dwa odrębne reżimy compliance, czy można je obsłużyć łącznie?
O: To dwa odrębne akty prawne z różnymi organami nadzoru – AI Act będzie egzekwowany przez krajowy organ nadzoru rynku, RODO przez UODO. Jednak w praktyce ocena skutków dla ochrony danych (DPIA) wymagana przez Rozporządzenie UE 2016/679 i dokumentacja techniczna wymagana przez AI Act nakładają się na siebie. Efektywnym podejściem jest przeprowadzenie obu analiz równolegle, co redukuje czas i koszty o około jedną trzecią w porównaniu z podejściem sekwencyjnym.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do prawa własności intelektualnej, technologii i regulacji AI. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.