Firma technologiczna z Mazowsza wdraża system rekrutacyjny oparty na algorytmach. Nikt w dziale prawnym nie sprawdził, czy narzędzie kwalifikuje się jako system wysokiego ryzyka w rozumieniu AI Act. Konsekwencje tego przeoczenia mogą być poważne – od zakazu stosowania systemu po kary sięgające kilkudziesięciu milionów euro.

Rozporządzenie (UE) 2024/1689, znane jako AI Act, weszło w życie 1 sierpnia 2024 roku. Systemy wysokiego ryzyka podlegają obowiązkowej ocenie zgodności przed wprowadzeniem na rynek. Przepisy dotyczące tej kategorii systemów stosuje się w pełni od 2 sierpnia 2026 roku – do tego terminu firmy muszą zakończyć klasyfikację i wdrożyć wymagane procedury.

Ten alert wyjaśnia, które systemy AI trafiają do kategorii wysokiego ryzyka, kogo dotyczą nowe obowiązki i co należy zrobić już teraz. Regulacja wyprzedza rynek – wiele polskich firm jeszcze nie przeprowadziło podstawowej inwentaryzacji swoich narzędzi AI.

Co zmienił AI Act i kiedy przepisy zaczęły obowiązywać?

AI Act tworzy czterostopniową hierarchię ryzyka: systemy zakazane, wysokiego ryzyka, ograniczonego ryzyka i minimalne ryzyko. Kategoria wysokiego ryzyka pociąga za sobą najszerszy katalog obowiązków. Dostawca lub podmiot wdrażający taki system musi przeprowadzić ocenę zgodności, prowadzić dokumentację techniczną i zapewnić nadzór ludzki.

Harmonogram wdrożenia jest rozłożony na kilka etapów. Zakazy dotyczące systemów niedopuszczalnych obowiązują od 2 lutego 2025 roku. Przepisy o systemach wysokiego ryzyka z Załącznika III wchodzą w życie 2 sierpnia 2026 roku. Firmy, które nie zakończyły klasyfikacji do tego terminu, narażają się na sankcje finansowe i nakazy wstrzymania działalności.

Polskie organy nadzorcze – w tym Urząd Ochrony Danych Osobowych (UODO) jako organ właściwy dla systemów przetwarzających dane osobowe – będą współpracować z wyznaczonym organem krajowym ds. AI. Warto pamiętać, że RODO (Rozporządzenie UE 2016/679) i AI Act nakładają się na siebie: system AI przetwarzający dane biometryczne podlega jednocześnie obu reżimom. Więcej o harmonogramie wdrożenia AI Act dla polskich firm można znaleźć w naszej analizie poświęconej temu zagadnieniu.

Które systemy AI trafiają do kategorii wysokiego ryzyka?

Załącznik III do AI Act wymienia osiem obszarów zastosowań objętych kategorią wysokiego ryzyka. Każda firma korzystająca z AI powinna sprawdzić, czy jej narzędzia mieszczą się w którymkolwiek z tych obszarów. Klasyfikacja zależy od funkcji systemu, nie od jego nazwy handlowej.

Obszary wysokiego ryzyka obejmują między innymi:

  • systemy rekrutacyjne i oceny pracowników (selekcja CV, scoring kandydatów, ocena wydajności)
  • systemy scoringu kredytowego i oceny zdolności kredytowej
  • systemy biometryczne do identyfikacji i kategoryzacji osób
  • systemy zarządzania infrastrukturą krytyczną (energetyka, transport, woda)
  • systemy wspomagające decyzje w edukacji, wymiarze sprawiedliwości i ochronie zdrowia

Firma produkcyjna z Dolnego Śląska wdrożyła wiosną 2025 roku system monitorowania wydajności pracowników oparty na analizie wideo. System ten kwalifikuje się jako wysokiego ryzyka – łączy biometrię z oceną pracowniczą. Podmiot wdrażający musi w takim przypadku przeprowadzić pełną ocenę zgodności i zarejestrować system w unijnej bazie danych AI. Analogiczne obowiązki dotyczą instytucji finansowych stosujących AI do scoringu – tutaj nakłada się dodatkowo DORA (Rozporządzenie UE 2022/2554), wymagające zarządzania ryzykiem ICT.

Warto też pamiętać o kontekście własności intelektualnej. Systemy generatywne AI tworzące treści mogą naruszać znak towarowy lub prawa autorskie. To oddzielna warstwa ryzyka, którą kancelaria IP Warszawa powinna ocenić równolegle z klasyfikacją na gruncie AI Act. Zagadnienia struktury korporacyjnej, w ramach której wdrażane są systemy AI, omawia nasz artykuł o polskiej strukturze holdingowej.

Co zrobić teraz – lista działań przed 2 sierpnia 2026 roku?

Czas do wejścia w życie przepisów o systemach wysokiego ryzyka jest krótki. Firmy, które jeszcze nie rozpoczęły prac, tracą okno na spokojne wdrożenie. Każdy miesiąc zwłoki skraca czas na przeprowadzenie oceny zgodności, przeszkolenie personelu i dostosowanie dokumentacji technicznej.

Lista działań do wykonania przed 2 sierpnia 2026 roku:

  • przeprowadzić inwentaryzację wszystkich systemów AI używanych lub wdrażanych w organizacji
  • przypisać każdy system do kategorii ryzyka według kryteriów AI Act i Załącznika III
  • dla systemów wysokiego ryzyka: sporządzić dokumentację techniczną i wdrożyć system zarządzania ryzykiem
  • zapewnić mechanizmy nadzoru ludzkiego i rejestrowanie zdarzeń (logi)
  • zarejestrować systemy wysokiego ryzyka w unijnej bazie danych EU AI Office

Startup IT z Krakowa działający w obszarze HR-tech odkrył latem 2025 roku, że jego flagowy produkt do analizy aplikacji rekrutacyjnych wymaga pełnej oceny zgodności. Proces trwał trzy miesiące i kosztował kilkadziesiąt tysięcy złotych – ale firma zdążyła przed terminem. Firmy, które zaczną po lipcu 2026 roku, mogą nie zdążyć i trafić na celownik organów nadzorczych już w pierwszych tygodniach stosowania przepisów.

Konkretna sytuacja Państwa firmy wymaga indywidualnej oceny – klasyfikacja systemu AI jako wysokiego ryzyka zamyka drogę do jego stosowania bez uprzedniej oceny zgodności. Konsekwencje błędnej klasyfikacji są nieodwracalne: organ nadzorczy może nakazać natychmiastowe wstrzymanie systemu.

Jeśli Państwa firma stosuje lub planuje wdrożyć systemy AI w obszarach rekrutacji, scoringu, biometrii lub infrastruktury krytycznej – przeprowadzimy klasyfikację, ocenę zgodności i przygotujemy wymaganą dokumentację: info@kordeckipartners.com.

Często zadawane pytania

P: Czy każda firma używająca AI musi przeprowadzić ocenę zgodności?

O: Nie – obowiązek oceny zgodności dotyczy wyłącznie systemów zakwalifikowanych jako wysokiego ryzyka zgodnie z Załącznikiem III do Rozporządzenia (UE) 2024/1689. Systemy o minimalnym lub ograniczonym ryzyku podlegają łagodniejszym wymaganiom – głównie obowiązkom przejrzystości. Pierwszym krokiem jest zawsze przeprowadzenie klasyfikacji, która pozwala ustalić, do której kategorii należy dany system.

P: Ile kosztuje i jak długo trwa ocena zgodności systemu wysokiego ryzyka?

O: Czas i koszt zależą od złożoności systemu i dostępności dokumentacji technicznej. W praktyce proces trwa od 6 do 16 tygodni i wymaga zaangażowania zarówno prawników, jak i specjalistów technicznych. Firmy, które nie zaczną przed majem 2026 roku, mogą nie zdążyć przed terminem 2 sierpnia 2026 roku.

P: Czy AI Act zastępuje RODO w zakresie systemów przetwarzających dane osobowe?

O: Nie – oba reżimy stosuje się równolegle. Rozporządzenie (UE) 2016/679 (RODO) reguluje ochronę danych osobowych niezależnie od AI Act. System biometryczny wysokiego ryzyka musi spełniać wymagania obu aktów jednocześnie. W praktyce oznacza to konieczność przeprowadzenia zarówno oceny zgodności z AI Act, jak i oceny skutków dla ochrony danych (DPIA) wymaganej przez RODO.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do regulacji AI, własności intelektualnej i technologii. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.