Firma technologiczna z Mazowsza wdrożyła narzędzie do automatycznej selekcji kandydatów do pracy. System oceniał CV, przypisywał punktację i rekomendował rozmowy kwalifikacyjne. Brzmi niewinnie – aż do momentu, gdy zewnętrzny audytor wskazał, że narzędzie spełnia definicję systemu wysokiego ryzyka z Załącznika III do AI Act. Konsekwencja? Obowiązek przeprowadzenia oceny zgodności przed dalszym używaniem.
AI Act – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 – weszło w życie 1 sierpnia 2024 roku. Klasyfikacja systemu jako wysokiego ryzyka uruchamia szereg obowiązków: ocenę zgodności, dokumentację techniczną i rejestrację w unijnej bazie danych. Pierwsze przepisy dotyczące systemów wysokiego ryzyka stosuje się od 2 sierpnia 2026 roku.
Ten materiał opisuje anonimizowane postępowanie kwalifikacyjne prowadzone przez KORDECKI & Partners na rzecz polskiej spółki technologicznej. Pokazuje, jak przebiega analiza klasyfikacyjna, jakie pułapki czyhają na dostawców i użytkowników systemów AI oraz jakie wnioski można wyciągnąć dla własnej organizacji.
Tło sprawy – dlaczego klasyfikacja okazała się problemem?
Klient prowadził działalność rekrutacyjną jako dostawca oprogramowania SaaS dla działów HR. System rankingował kandydatów na podstawie analizy tekstów CV i nagrań wideo z rozmów. Dostawca zakwalifikował narzędzie jako system niskiego ryzyka. Tymczasem Załącznik III do AI Act wymienia wprost systemy AI stosowane w rekrutacji i selekcji pracowników jako kategorię wysokiego ryzyka.
Problem polegał na tym, że spółka działała jednocześnie jako dostawca i jako podmiot stosujący własne narzędzie wewnętrznie. Ta podwójna rola – dostawca i deployer w rozumieniu AI Act – oznacza kumulację obowiązków. Urząd Ochrony Danych Osobowych (UODO) jako jeden z organów nadzorczych RODO pozostaje zaangażowany równolegle, bo system przetwarzał dane biometryczne i wrażliwe dane o kandydatach.
Klient zgłosił się do kancelarii w lutym 2025 roku. Miał przed sobą mniej niż 18 miesięcy do wejścia w życie przepisów o systemach wysokiego ryzyka. Czas działał przeciwko zarządowi – każdy miesiąc zwłoki skracał okno na wdrożenie dokumentacji i testów.
Jak przebiegała analiza klasyfikacyjna?
Pierwszym krokiem była weryfikacja, czy system faktycznie mieści się w Załączniku III. AI Act wskazuje trzy warunki kumulatywne: system musi być systemem AI w rozumieniu art. 3 rozporządzenia, musi należeć do jednej z wymienionych kategorii oraz musi być stosowany w określonym kontekście. Wszystkie trzy warunki zostały spełnione.
Następnie zbadano, czy nie zachodzą przesłanki wyłączenia. AI Act przewiduje, że system nie jest wysokiego ryzyka, jeśli służy wyłącznie do wspomagania decyzji bez istotnego wpływu na jej wynik. W analizowanym przypadku system generował ranking, który – jak wykazała dokumentacja klienta – w ponad 80% przypadków był przyjmowany przez rekruterów bez modyfikacji. To wykluczyło zastosowanie wyłączenia.
Równolegle przeprowadzono analizę powiązań z DORA – Rozporządzeniem (UE) 2022/2554. Klient świadczył usługi dla podmiotów finansowych. DORA nakłada na dostawców ICT dla sektora finansowego obowiązki dotyczące zarządzania ryzykiem ICT. System AI mógł być traktowany jako krytyczne narzędzie ICT w rozumieniu DORA, co rodziło dodatkowe wymagania dotyczące testów odporności. Przepisy DORA stosuje się od 17 stycznia 2025 roku.
- Weryfikacja definicji systemu AI z art. 3 AI Act
- Sprawdzenie Załącznika III – lista kategorii wysokiego ryzyka
- Ocena przesłanek wyłączenia z art. 6 ust. 3 AI Act
- Analiza krzyżowa z RODO i DORA
- Ustalenie roli klienta: dostawca, importer czy deployer
Uważamy, że najtrudniejszym elementem analizy jest właśnie ustalenie roli. W praktyce – wiele firm o tym zapomina – ta sama organizacja może być jednocześnie dostawcą wobec swoich klientów i deployerem wobec własnych pracowników.
Jakie działania naprawcze zostały podjęte?
Po potwierdzeniu klasyfikacji sporządzono mapę obowiązków. Dla dostawcy systemu wysokiego ryzyka AI Act wymaga: systemu zarządzania ryzykiem, dokumentacji technicznej zgodnej z Załącznikiem IV, mechanizmów nadzoru przez człowieka oraz rejestracji w unijnej bazie danych EU AI Act Database przed wprowadzeniem na rynek.
Dokumentację techniczną przygotowano w ciągu 10 tygodni. Obejmowała ona opis architektury modelu, dane treningowe, metryki wydajności i procedury testowania. Kluczowym elementem był opis mechanizmu nadzoru przez człowieka – czyli konkretna procedura, która wymaga od rekrutera aktywnego zatwierdzenia każdej rekomendacji systemu, nie tylko jej biernego przyjęcia.
Spółka wdrożyła również politykę przejrzystości wobec kandydatów – zgodnie z wymogami RODO dotyczącymi zautomatyzowanego podejmowania decyzji. Kandydaci otrzymali prawo do uzyskania wyjaśnienia logiki systemu oraz prawo do żądania oceny przez człowieka. To działanie adresowało jednocześnie wymogi AI Act i art. 22 RODO.
Koszt wdrożenia dokumentacji i procedur zamknął się w przedziale 60–90 tys. PLN. Alternatywą było ryzyko kary administracyjnej – AI Act przewiduje sankcje do 30 mln EUR lub 6% globalnego rocznego obrotu dla naruszeń dotyczących systemów wysokiego ryzyka. Rachunek był oczywisty.
Jakie wnioski wynikają z tej sprawy?
Ta sprawa pokazuje trzy powtarzające się błędy, które obserwujemy u polskich dostawców AI. Pierwszy to samodzielna klasyfikacja bez analizy prawnej – firmy zakładają, że ich system jest niskiego ryzyka, bo nie podejmuje decyzji autonomicznie. AI Act nie wymaga pełnej autonomii. Wystarczy, że system wspiera decyzję w obszarze wymienionym w Załączniku III.
Drugi błąd to pominięcie podwójnej roli. Spółka, która sama używa własnego systemu rekrutacyjnego, jest jednocześnie dostawcą i deployerem. Obowiązki się kumulują, nie wykluczają. Trzeci błąd to odkładanie analizy do momentu, gdy termin jest bliski. Dla systemów wysokiego ryzyka ocena zgodności musi być zakończona przed wprowadzeniem systemu do obrotu lub oddaniem do użytku.
Firmy z sektora finansowego powinny pamiętać o dodatkowej warstwie – DORA. Jeśli system AI jest elementem infrastruktury ICT świadczonej dla banku lub ubezpieczyciela, wymagania DORA nakładają się na AI Act. Więcej o harmonogramie wdrożenia AI Act dla polskich przedsiębiorstw można przeczytać w naszym przewodniku: AI Act – harmonogram wdrożenia dla polskich firm.
Warto też odnotować, że klasyfikacja systemu AI nie jest decyzją jednorazową. Zmiana funkcjonalności, modelu lub kontekstu wdrożenia może zmienić kategorię ryzyka. Kancelaria rekomenduje przegląd klasyfikacji co 12 miesięcy lub przy każdej istotnej zmianie systemu. Analogiczne podejście do regularnych przeglądów stosuje się w procesach budowlanych – jak opisujemy w kontekście pozwoleń na budowę i zmian proceduralnych od 2025 roku.
Każda spółka technologiczna powinna przeprowadzić wstępny screening swojego portfolio produktowego pod kątem Załącznika III. To nie musi być kosztowne – ale musi być zrobione przed 2 sierpnia 2026 roku.
Często zadawane pytania
P: Jak szybko można przeprowadzić klasyfikację systemu AI pod kątem AI Act?
O: Wstępna analiza klasyfikacyjna dla jednego systemu zajmuje od 2 do 4 tygodni, w zależności od złożoności architektury i dostępności dokumentacji technicznej. Jeśli system okaże się wysokiego ryzyka, przygotowanie pełnej dokumentacji wymaganej przez Załącznik IV do AI Act zajmuje zwykle od 8 do 12 tygodni. Warto zacząć jak najwcześniej – termin 2 sierpnia 2026 roku nie jest odległy.
P: Czy mały dostawca oprogramowania AI w Polsce musi rejestrować system w unijnej bazie danych?
O: Tak, jeśli system jest klasyfikowany jako wysokiego ryzyka w rozumieniu Załącznika III do AI Act. Obowiązek rejestracji w unijnej bazie danych EU AI Act Database dotyczy dostawców niezależnie od wielkości firmy. Mikroprzedsiębiorcy i MŚP podlegają tym samym wymogom co duże korporacje, choć AI Act przewiduje pewne uproszczenia w zakresie wsparcia technicznego dla małych podmiotów.
P: Czy RODO i AI Act nakładają się na siebie w przypadku systemów rekrutacyjnych?
O: Tak, i to w sposób istotny. Systemy AI stosowane w rekrutacji przetwarzają dane osobowe kandydatów, co automatycznie uruchamia przepisy Rozporządzenia (UE) 2016/679. Artykuł 22 RODO reguluje prawa kandydatów wobec zautomatyzowanego podejmowania decyzji. AI Act dodaje do tego wymogi dotyczące przejrzystości i nadzoru przez człowieka. Obie regulacje muszą być spełnione łącznie – spełnienie jednej nie zwalnia z obowiązków wynikających z drugiej.
Konkretna sytuacja Państwa firmy wymaga indywidualnej oceny – zwłaszcza gdy system AI obsługuje procesy kadrowe, finansowe lub decyzyjne. Błędna klasyfikacja może prowadzić do nieodwracalnych konsekwencji: kar administracyjnych, zakazu stosowania systemu i odpowiedzialności wobec użytkowników końcowych.
Jeśli Państwa spółka wdrożyła lub planuje wdrożyć system AI i nie ma pewności co do jego klasyfikacji pod AI Act – przeprowadzimy analizę klasyfikacyjną, przegląd dokumentacji technicznej i ocenę powiązań z RODO oraz DORA: info@kordeckipartners.com.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do regulacji AI, własności intelektualnej i technologii. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Data publikacji: 04.05.2026
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.