Firma IT z Mazowsza – dostawca oprogramowania do analizy CV dla działów HR – dowiedziała się o AI Act przypadkowo. Prawnik zewnętrzny, przeglądając nową umowę z kontrahentem z Niemiec, zauważył klauzulę compliance dotyczącą Rozporządzenia (UE) 2024/1689. Zarząd nie wiedział, że ich system kwalifikuje się jako system wysokiego ryzyka. Mieli sześć tygodni do przekroczenia kolejnego progu wdrożeniowego.
AI Act – Rozporządzenie (UE) 2024/1689 – wszedł w życie 1 sierpnia 2024 roku i wprowadza fazowy harmonogram obowiązków dla dostawców oraz użytkowników systemów sztucznej inteligencji. Systemy wysokiego ryzyka stosowane w rekrutacji wymagają oceny zgodności, dokumentacji technicznej i rejestracji. Terminy są nieprzekraczalne, a naruszenia grożą karami do 30 milionów euro lub 6% globalnego obrotu.
Poniżej opisujemy, jak ta konkretna firma – i inne polskie przedsiębiorstwa – mogą przejść przez harmonogram wdrożenia AI Act bez utraty kontraktów i bez odpowiedzialności regulacyjnej. Omawiamy tło sprawy, strategię działania, przebieg procesu oraz wnioski możliwe do zastosowania w każdej organizacji.
Tło sprawy: co firma robiła i dlaczego AI Act ją dotyczy?
Spółka z Mazowsza tworzyła oprogramowanie SaaS do wstępnej selekcji kandydatów. System oceniał CV według zdefiniowanych parametrów i przypisywał kandydatom punktację. Klienci – działy HR w firmach produkcyjnych i usługowych – używali tej punktacji jako podstawy do zaproszenia na rozmowę lub odrzucenia aplikacji. Z perspektywy AI Act to klasyczny przypadek: system AI stosowany w procesie rekrutacji, bezpośrednio wpływający na dostęp do zatrudnienia.
Zgodnie z AI Act, systemy AI stosowane w rekrutacji i selekcji pracowników należą do kategorii wysokiego ryzyka. Obowiązek oceny zgodności spoczywa na dostawcy – w tym przypadku na polskiej spółce. Użytkownicy systemu (firmy HR) mają odrębne obowiązki wdrożeniowe, ale to dostawca odpowiada za dokumentację techniczną, rejestr systemu i zgodność z wymogami przejrzystości.
Firma nie miała świadomości tych obowiązków. Brak wewnętrznej osoby odpowiedzialnej za compliance technologiczny, brak procedur ochrony danych zintegrowanych z systemem AI, brak dokumentacji technicznej wymaganej przez rozporządzenie. Sytuacja była poważna – tym bardziej, że kontrakt z kontrahentem z Niemiec przewidywał klauzulę gwarancji zgodności z AI Act.
Dodatkowym czynnikiem ryzyka było RODO – Rozporządzenie (UE) 2016/679. System przetwarzał dane osobowe kandydatów. Inspektor Ochrony Danych nie był zaangażowany na etapie projektowania systemu. PUODO, jako krajowy organ nadzorczy, mógł wszcząć postępowanie niezależnie od organów AI Act. Dwa reżimy regulacyjne nakładały się na siebie.
Jaką strategię wdrożenia AI Act przyjęto w tej sprawie?
Strategia opierała się na trzech filarach: klasyfikacji ryzyka, mapowaniu luk compliance i sekwencjonowaniu działań według harmonogramu AI Act. Nie próbowaliśmy robić wszystkiego naraz. Priorytetem było zamknięcie luk krytycznych przed terminem kontraktowym – 6 tygodni – a następnie systematyczne uzupełnianie dokumentacji w ciągu kolejnych 90 dni.
Pierwszym krokiem była formalna klasyfikacja systemu. AI Act przewiduje cztery poziomy ryzyka: niedopuszczalne, wysokie, ograniczone i minimalne. System rekrutacyjny spółki spełniał kryteria ryzyka wysokiego na podstawie Załącznika III do rozporządzenia. To determinowało cały dalszy harmonogram i zakres obowiązków. Bez tej klasyfikacji firma działałaby w próżni regulacyjnej.
Drugim filarem było mapowanie luk. Porównaliśmy stan faktyczny z wymogami AI Act dla systemów wysokiego ryzyka: dokumentacja techniczna, system zarządzania jakością, rejestracja w bazie EU, procedury nadzoru człowieka, ocena wpływu na prawa podstawowe. Luki były znaczące – szczególnie w zakresie dokumentacji technicznej i procedur nadzoru. Każdej luce przypisano właściciela i termin zamknięcia.
Trzeci filar to sekwencjonowanie. Harmonogram AI Act nie jest jednorodny. Zakaz systemów niedopuszczalnych obowiązuje od 2 lutego 2025 roku. Obowiązki dla systemów wysokiego ryzyka – w tym rejestracja i ocena zgodności – wchodzą w życie 2 sierpnia 2026 roku. Firma miała czas, ale wymagał on struktury. Powiązaliśmy harmonogram AI Act z terminami kontraktowymi i wewnętrznym kalendarzem wdrożeń IT. Uwzględniliśmy też wymogi ochrony oprogramowania – kwestia własności intelektualnej modelu AI była odrębnym zagadnieniem wymagającym uregulowania.
Jak przebiegał proces wdrożenia i jakie były jego etapy?
Proces wdrożenia podzielono na cztery etapy, rozłożone na 120 dni. Każdy etap kończył się konkretnym deliverable – nie raportem, lecz wdrożonym mechanizmem lub gotowym dokumentem. To odróżnia skuteczne wdrożenie AI Act od projektów compliance, które produkują stosy papierów bez realnej zmiany w systemie.
Etap pierwszy – 30 dni – obejmował dokumentację techniczną. AI Act wymaga szczegółowego opisu systemu: architektury, danych treningowych, parametrów oceny, ograniczeń systemu. Firma nie miała tej dokumentacji w wymaganym formacie. Pracowaliśmy z zespołem technicznym, aby przetłumaczyć istniejącą dokumentację deweloperską na język wymagań rozporządzenia. Równolegle przygotowaliśmy ocenę wpływu na prawa podstawowe – wymaganą dla systemów HR.
Etap drugi – dni 31–60 – dotyczył ochrony danych i RODO. System przetwarzał dane osobowe kandydatów w sposób automatyczny. Konieczna była ocena skutków dla ochrony danych (DPIA) zgodnie z RODO. Zaangażowaliśmy IOD spółki – wcześniej nieobecnego w procesie projektowania systemu. Zidentyfikowaliśmy trzy obszary niezgodności: brak podstawy prawnej dla profilowania, niewystarczające informacje w klauzuli informacyjnej, brak mechanizmu sprzeciwu wobec decyzji automatycznej. Każdy z nich wymagał korekty zarówno w systemie, jak i w umowach z użytkownikami końcowymi. Przy okazji sprawdziliśmy też, czy model integracji z systemami fakturowania klientów nie generuje dodatkowych ryzyk – zagadnienie zbliżone do problemów opisywanych przy samofakturowaniu w systemie KSeF.
Etap trzeci – dni 61–90 – to procedury nadzoru człowieka. AI Act wymaga, aby systemy wysokiego ryzyka umożliwiały efektywny nadzór człowieka nad decyzjami systemu. W praktyce oznaczało to zmianę interfejsu użytkownika: punktacja kandydatów przestała być wynikiem ostatecznym, stała się rekomendacją wymagającą zatwierdzenia przez rekrutera. Dodano mechanizm override i log decyzji. Zmiana była technicznie prosta, ale wymagała negocjacji z klientami, którzy korzystali z automatyzacji jako kluczowej funkcji produktu.
Etap czwarty – dni 91–120 – obejmował system zarządzania jakością i przygotowanie do rejestracji. AI Act wymaga od dostawców systemów wysokiego ryzyka wdrożenia systemu zarządzania jakością obejmującego cykl życia systemu AI. Przygotowaliśmy framework QMS dostosowany do skali firmy – nie korporacyjny moloch, lecz praktyczny zestaw procedur: zarządzanie wersjami modelu, monitorowanie dryfu, procedura obsługi incydentów, ścieżka aktualizacji dokumentacji.
Jakie wnioski z tej sprawy można przenieść na inne polskie firmy?
Najważniejszy wniosek jest prosty: AI Act dotyczy więcej polskich firm, niż te firmy przypuszczają. Dostawcy oprogramowania HR, systemów scoringowych, narzędzi do analizy zachowań klientów, systemów diagnostyki medycznej – wszystkie te kategorie mogą kwalifikować się jako systemy wysokiego ryzyka. Brak świadomości nie jest obroną przed odpowiedzialnością regulacyjną.
Drugi wniosek dotyczy harmonogramu. Kluczowe daty to: 2 lutego 2025 roku – zakaz systemów niedopuszczalnych; 2 sierpnia 2025 roku – obowiązki dla modeli ogólnego przeznaczenia (GPAI); 2 sierpnia 2026 roku – pełne obowiązki dla systemów wysokiego ryzyka. Firmy, które zaczną wdrożenie w lipcu 2026 roku, nie zdążą. Ocena zgodności, dokumentacja techniczna i rejestracja w bazie EU wymagają minimum 3–4 miesięcy przy dobrze zorganizowanym procesie.
Trzeci wniosek: AI Act nie działa w izolacji. RODO, DORA – Rozporządzenie (UE) 2022/2554 dla sektora finansowego – i przepisy o ochronie znaku towarowego oraz własności intelektualnej modeli AI tworzą sieć wzajemnych zależności. Firma, która wdroży AI Act bez uwzględnienia RODO, nadal jest narażona na postępowanie PUODO. Firma z sektora finansowego musi jednocześnie spełnić wymogi DORA dotyczące zarządzania ryzykiem ICT. Wdrożenie musi być zintegrowane.
- Przeprowadź klasyfikację ryzyka wszystkich systemów AI – zanim zrobi to organ regulacyjny.
- Zaangażuj IOD i dział prawny już na etapie projektowania systemu, nie po fakcie.
- Dokumentacja techniczna wymagana przez AI Act to inny dokument niż dokumentacja deweloperska – wymaga tłumaczenia.
- Mechanizm nadzoru człowieka musi być realny, nie dekoracyjny – organy będą to weryfikować.
- Harmonogram wdrożenia powiąż z terminami kontraktowymi – klienci zagraniczni będą wymagać zgodności wcześniej niż organy krajowe.
Warto też pamiętać o kancelarii IP Warszawa jako partnerze w procesie wdrożenia – kwestie ochrony danych, prawa autorskiego do modelu AI i compliance regulacyjnego wymagają zintegrowanego doradztwa. Regulacja wyprzedza rynek, ale firmy, które działają teraz, zyskują przewagę konkurencyjną nad tymi, które zaczekają do ostatniej chwili.
Konkretna sytuacja Państwa firmy wymaga oceny, zanim harmonogram AI Act zamknie możliwość działania bez sankcji. Każdy miesiąc zwłoki skraca czas na wdrożenie i zwiększa ryzyko nieodwracalnych konsekwencji – zarówno regulacyjnych, jak i kontraktowych wobec partnerów zagranicznych.
Jeśli Państwa spółka dostarcza lub używa systemów AI w obszarach HR, scoringu, diagnostyki lub automatycznej analizy treści – przeprowadzimy klasyfikację ryzyka, mapowanie luk i harmonogram wdrożenia dostosowany do Państwa skali: info@kordeckipartners.com.
Często zadawane pytania
P: Od kiedy dokładnie obowiązują wymogi AI Act dla systemów wysokiego ryzyka?
O: Pełne obowiązki dla systemów wysokiego ryzyka – w tym ocena zgodności, dokumentacja techniczna i rejestracja w unijnej bazie danych – wchodzą w życie 2 sierpnia 2026 roku. Zakaz systemów o niedopuszczalnym ryzyku obowiązuje już od 2 lutego 2025 roku. Przygotowanie dokumentacji i oceny zgodności zajmuje minimum 3–4 miesiące, więc proces należy rozpocząć najpóźniej na początku 2026 roku.
P: Czy polska firma używająca gotowego systemu AI od zagranicznego dostawcy musi samodzielnie spełniać wymogi AI Act?
O: To częste nieporozumienie. Użytkownik systemu AI (w języku rozporządzenia: deployer) ma własne obowiązki niezależne od obowiązków dostawcy. Obejmują one między innymi zapewnienie nadzoru człowieka, prowadzenie logów działania systemu i informowanie pracowników o stosowaniu AI. Odpowiedzialność dostawcy za dokumentację techniczną nie zwalnia użytkownika z jego własnych obowiązków compliance.
P: Jakie są kary za naruszenie przepisów AI Act i kto je nakłada w Polsce?
O: AI Act przewiduje kary do 35 milionów euro lub 7% globalnego rocznego obrotu za naruszenia zakazów dotyczących systemów niedopuszczalnych, do 15 milionów euro lub 3% obrotu za naruszenia innych obowiązków oraz do 7,5 miliona euro za podanie nieprawdziwych informacji organom. W Polsce organem nadzoru będzie podmiot wyznaczony przez ustawodawcę krajowego – projekt ustawy implementacyjnej jest w toku. Do czasu jego uchwalenia warto monitorować prace legislacyjne i działać prewencyjnie.
O kancelarii: KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do wdrożeń AI Act, RODO i regulacji technologicznych. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.