Firma technologiczna z Mazowsza wdraża nowy system rekrutacji online. Algorytm filtruje kandydatów, ocenia ich kompetencje i rekomenduje decyzje kadrowe. Brzmi jak usprawnienie procesu. Tymczasem – w świetle AI Act – ten system może być systemem wysokiego ryzyka, wymagającym pełnej procedury zgodności przed wprowadzeniem na rynek.
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 w sprawie sztucznej inteligencji – powszechnie zwane AI Act – weszło w życie 1 sierpnia 2024 roku. Klasyfikacja systemów wysokiego ryzyka opiera się na Załączniku III do rozporządzenia i obejmuje osiem dziedzin zastosowań. Dostawcy i podmioty wdrażające takie systemy muszą spełnić szereg wymogów przed ich uruchomieniem – a czas na dostosowanie się do pełnego reżimu biegnie szybciej, niż większość firm zakłada.
Ten przewodnik wyjaśnia krok po kroku, jak ocenić, czy Twój system AI podlega klasyfikacji wysokiego ryzyka, jakie procedury są wymagane, ile to kosztuje i jakich błędów unikać. Omawiamy trzy scenariusze biznesowe – firmę produkcyjną, dostawcę IT oraz inwestora zagranicznego wchodzącego na rynek polski.
Czym jest system wysokiego ryzyka według AI Act i kogo dotyczy?
AI Act dzieli systemy sztucznej inteligencji na cztery kategorie ryzyka: niedopuszczalne, wysokie, ograniczone i minimalne. Systemy wysokiego ryzyka to te, które mogą poważnie zagrozić zdrowiu, bezpieczeństwu lub prawom podstawowym. Rozporządzenie (UE) 2024/1689 wskazuje je w dwóch miejscach: Załączniku II (produkty objęte unijnym prawem harmonizacyjnym) oraz Załączniku III (osiem dziedzin zastosowań).
Osiem dziedzin z Załącznika III obejmuje: infrastrukturę krytyczną, kształcenie i szkolenie zawodowe, zatrudnienie i zarządzanie pracownikami, dostęp do usług publicznych i prywatnych, egzekwowanie prawa, zarządzanie migracją i azylem, wymiar sprawiedliwości oraz procesy demokratyczne. W praktyce – wiele firm o tym zapomina – każdy system AI używany do selekcji kandydatów do pracy, oceny pracowników lub przyznawania kredytów bankowych automatycznie wpada w tę kategorię.
Kogo dotyczą obowiązki? Rozporządzenie rozróżnia dostawców (tych, którzy system tworzą lub wprowadzają na rynek) i podmioty wdrażające (tych, którzy system stosują we własnej działalności). Firma kupująca gotowe rozwiązanie AI od zewnętrznego dostawcy nie jest wolna od obowiązków. Jeśli dostosowuje system do własnych potrzeb albo stosuje go w obszarze wysokiego ryzyka, sama staje się podmiotem zobowiązanym. Warto tu odnotować, że PUODO – jako organ nadzorczy RODO – może być zaangażowany równolegle, gdy system przetwarza dane osobowe.
Firmy finansowe podlegają dodatkowo DORA (Rozporządzenie UE 2022/2554), które od 17 stycznia 2025 r. nakłada własne wymogi w zakresie zarządzania ryzykiem ICT. Systemy AI używane przez instytucje finansowe mogą więc podlegać jednocześnie AI Act i DORA – co podwaja zakres compliance.
Jak przeprowadzić klasyfikację krok po kroku?
Procedura klasyfikacji systemu AI jako wysokiego ryzyka składa się z pięciu etapów. Każdy etap prowadzi do konkretnej decyzji – albo potwierdzenia wysokiego ryzyka, albo wykluczenia tej kategorii. Pominięcie któregokolwiek etapu może oznaczać niedokładną ocenę i narażenie firmy na odpowiedzialność.
Etap 1 – Identyfikacja systemu AI. Czy produkt spełnia definicję systemu AI z art. 3 ust. 1 AI Act? Chodzi o system oparty na uczeniu maszynowym lub logice rozmytej, który generuje wyniki takie jak prognozy, rekomendacje lub decyzje. Systemy czysto regułowe (deterministyczne) mogą nie spełniać tej definicji.
Etap 2 – Sprawdzenie Załącznika II. Czy system jest wbudowany w produkt objęty unijnym prawem harmonizacyjnym (np. maszyny, wyroby medyczne, pojazdy)? Jeśli tak – automatycznie wysoki ryzyko.
Etap 3 – Sprawdzenie Załącznika III. Czy zastosowanie systemu mieści się w jednej z ośmiu dziedzin? Tu kluczowe jest faktyczne zastosowanie, nie deklaracja producenta. System oceniający wydajność pracowników pozostaje systemem wysokiego ryzyka nawet jeśli dostawca nazwie go „narzędziem analitycznym".
Etap 4 – Weryfikacja wyłączeń. AI Act przewiduje wyłączenie dla systemów, których wpływ na wynik jest jedynie pomocniczy lub nieznaczny. Ciężar wykazania tego wyłączenia spoczywa na dostawcy. Organy nadzorcze – w Polsce funkcja ta będzie przypisana wyznaczonemu organowi krajowemu – będą oceniać faktyczny wpływ systemu.
Etap 5 – Dokumentacja oceny. Wynik klasyfikacji należy udokumentować. Dokumentacja powinna objąć: opis systemu, analizę zastosowania, odniesienie do Załącznika II lub III, uzasadnienie wniosku. Termin: przed wprowadzeniem systemu na rynek lub do użytku.
- Opis funkcjonalny systemu AI i danych wejściowych
- Mapa zastosowań względem Załącznika II i III AI Act
- Analiza wyłączeń z uzasadnieniem
- Dokumentacja oceny ryzyka i raportu z klasyfikacji
- Procedura aktualizacji klasyfikacji przy zmianie funkcjonalności
Firma produkcyjna z Dolnego Śląska wdrożyła jesienią 2024 r. system kontroli jakości oparty na wizji komputerowej. Klasyfikacja wykazała, że system nie mieści się w Załączniku III – nie ocenia ludzi ani nie wpływa na ich prawa. Koszt przeprowadzenia analizy klasyfikacyjnej wyniósł od kilkunastu do kilkudziesięciu tysięcy złotych, zależnie od złożoności systemu. Firma uniknęła kosztownej procedury zgodności dla systemów wysokiego ryzyka.
W sprawie klasyfikacji systemów AI używanych do zarządzania personelem warto sięgnąć do zasobów dotyczących prawa pracy w Polsce – przepisy te tworzą dodatkowy kontekst regulacyjny dla systemów HR.
Konkretna sytuacja Państwa firmy wymaga indywidualnej analizy. Błędna klasyfikacja zamyka drogę do prawidłowego wdrożenia i naraża na nieodwracalne konsekwencje regulacyjne.
Jeśli Państwa spółka wdrożyła lub planuje wdrożyć system AI w obszarach HR, kredytowania lub infrastruktury krytycznej – przeprowadzimy pełną analizę klasyfikacyjną i przygotujemy dokumentację zgodności: info@kordeckipartners.com.
Jakie obowiązki nakłada AI Act na systemy wysokiego ryzyka?
Zakwalifikowanie systemu jako wysokiego ryzyka uruchamia rozbudowany reżim obowiązków. AI Act nakłada je przede wszystkim na dostawców, ale część przenosi się na podmioty wdrażające. Harmonogram wejścia w życie przepisów jest stopniowy – pełny reżim dla systemów z Załącznika III obowiązuje od 2 sierpnia 2026 roku.
Najważniejsze obowiązki dostawcy systemu wysokiego ryzyka:
- System zarządzania ryzykiem przez cały cykl życia systemu AI
- Zarządzanie danymi i danymi szkoleniowymi – jakość, reprezentatywność, brak dyskryminacji
- Dokumentacja techniczna zgodna z Załącznikiem IV AI Act
- Rejestrowanie zdarzeń (logi) umożliwiające audyt systemu
- Ocena zgodności przed wprowadzeniem na rynek lub do użytku
Podmiot wdrażający – na przykład bank stosujący zewnętrzny system scoringowy – musi zapewnić, że używa systemu zgodnie z instrukcją dostawcy, przeprowadza własną ocenę ryzyka i informuje osoby, których system dotyczy. To ostatnie łączy się bezpośrednio z RODO: art. 22 RODO daje osobom prawo do niebycia poddanym wyłącznie zautomatyzowanym decyzjom. System AI wysokiego ryzyka używany do decyzji kredytowych musi zatem uwzględniać ten przepis.
Firma IT z Krakowa sprzedająca oprogramowanie do oceny ryzyka kredytowego bankom spółdzielczym odkryła wiosną 2025 r., że jej produkt spełnia definicję systemu wysokiego ryzyka. Konieczne okazało się sporządzenie dokumentacji technicznej liczącej ponad 80 stron, wdrożenie systemu zarządzania ryzykiem i rejestracja systemu w unijnej bazie danych AI. Czas przygotowania: około 6 miesięcy. Koszt zewnętrznego wsparcia prawnego i technicznego: od 80 000 do 150 000 PLN.
Naruszenie obowiązków dotyczących systemów wysokiego ryzyka grozi karą do 15 000 000 EUR lub 3% rocznego obrotu (dla dużych przedsiębiorstw). To nie jest ryzyko hipotetyczne – Komisja Europejska zapowiedziała aktywne egzekwowanie przepisów od 2027 roku.
Jakie błędy popełniają firmy przy klasyfikacji systemów AI?
Praktyka pokazuje kilka powtarzających się błędów. Każdy z nich może prowadzić do nieodwracalnych konsekwencji – od kosztownych korekt po sankcje regulacyjne. Znajomość tych pułapek to pierwszy krok do ich uniknięcia.
Błąd 1: Poleganie wyłącznie na deklaracji dostawcy. Wielu kupujących zakłada, że jeśli dostawca nie oznaczył systemu jako wysokiego ryzyka, to tak właśnie jest. Tymczasem AI Act wyraźnie przewiduje, że podmiot wdrażający musi samodzielnie ocenić zastosowanie systemu. Zastosowanie w obszarze HR automatycznie podnosi ryzyko – niezależnie od etykiety producenta.
Błąd 2: Statyczna klasyfikacja. Firmy przeprowadzają jednorazową ocenę i nie aktualizują jej przy zmianach funkcjonalności. AI Act wymaga ciągłego zarządzania ryzykiem. Dodanie nowej funkcji – na przykład predykcji rotacji pracowników – może zmienić klasyfikację systemu.
Błąd 3: Ignorowanie wymiaru danych osobowych. System wysokiego ryzyka prawie zawsze przetwarza dane osobowe. RODO i AI Act nakładają się tu na siebie. Brak oceny skutków dla ochrony danych (DPIA) obok dokumentacji AI Act to podwójne naruszenie – zarówno wobec PUODO, jak i przyszłego organu nadzorczego AI.
Błąd 4: Mylenie zakresu podmiotowego. Zagraniczny inwestor wchodzący na rynek polski często zakłada, że AI Act dotyczy tylko europejskich firm. To błąd. Rozporządzenie stosuje się do każdego systemu AI, którego wyniki są używane w UE – niezależnie od siedziby dostawcy. Firma z USA sprzedająca system rekrutacyjny polskiemu pracodawcy podlega AI Act.
W kontekście ochrony własności intelektualnej w systemach AI warto zapoznać się z zagadnieniami dotyczącymi naruszenia znaku towarowego i środków prawnych w Polsce – szczególnie gdy system AI generuje treści lub znaki graficzne.
Błąd 5: Niedoszacowanie czasu i kosztów. Pełna procedura zgodności dla systemu wysokiego ryzyka trwa od 4 do 9 miesięcy. Firmy, które odkrywają problem na 30 dni przed planowanym wdrożeniem, stoją przed wyborem: opóźnienie produktu albo ryzyko regulacyjne. Oba scenariusze są kosztowne.
Trzy scenariusze biznesowe – jak klasyfikacja wygląda w praktyce?
Abstrakcyjne przepisy nabierają znaczenia w konkretnych sytuacjach. Poniżej trzy scenariusze – firma produkcyjna, dostawca IT i zagraniczny inwestor – które ilustrują różne ścieżki klasyfikacji i compliance.
Scenariusz 1: Firma produkcyjna. Producent maszyn z Wielkopolski integruje system AI do predykcyjnego utrzymania ruchu. System analizuje dane z czujników i przewiduje awarie. Klasyfikacja: Załącznik II (maszyny objęte dyrektywą maszynową) – automatycznie wysoki ryzyko. Obowiązki: dokumentacja techniczna, ocena zgodności przez jednostkę notyfikowaną, oznakowanie CE. Harmonogram: minimum 6 miesięcy przed wprowadzeniem na rynek. Koszt oceny przez jednostkę notyfikowaną: od 50 000 PLN wzwyż.
Scenariusz 2: Dostawca IT. Startup z Warszawy tworzy platformę do automatycznej oceny kandydatów do pracy. Klasyfikacja: Załącznik III, pkt 4 (zatrudnienie i zarządzanie pracownikami) – wysoki ryzyko. Obowiązki: pełna dokumentacja techniczna, system zarządzania ryzykiem, rejestracja w unijnej bazie danych, oznakowanie CE, instrukcja dla podmiotów wdrażających. Termin: 2 sierpnia 2026 r. Uważamy, że bezpieczniejszym rozwiązaniem dla tego startupu jest rozpoczęcie procedury zgodności nie później niż w lutym 2026 r., aby zdążyć przed terminem.
Scenariusz 3: Zagraniczny inwestor. Fundusz private equity z Niemiec nabywa polską spółkę fintech stosującą AI do scoringu kredytowego. Due diligence ujawnia brak dokumentacji AI Act. System spełnia definicję wysokiego ryzyka (Załącznik III, pkt 5 – dostęp do usług finansowych). Ryzyko: kary do 15 000 000 EUR, zakaz stosowania systemu, odpowiedzialność nabywcy za naruszenia sprzedawcy. Zalecenie: warunkowanie transakcji od przeprowadzenia pełnego audytu AI Act i wdrożenia planu naprawczego przed zamknięciem.
Konkretna sytuacja Państwa firmy – zarówno jako dostawcy, jak i podmiotu wdrażającego – wymaga oceny przed wdrożeniem systemu. Błędna klasyfikacja lub brak dokumentacji to nieodwracalne ryzyko regulacyjne i reputacyjne.
Jeśli Państwa spółka stoi przed decyzją o wdrożeniu systemu AI lub przejęciem firmy technologicznej – przeprowadzimy analizę klasyfikacyjną, przygotujemy dokumentację techniczną i wesprzemy w procedurze oceny zgodności: info@kordeckipartners.com.
Często zadawane pytania
P: Od kiedy obowiązują przepisy AI Act dotyczące systemów wysokiego ryzyka z Załącznika III?
O: Pełny reżim obowiązków dla systemów wysokiego ryzyka wymienionych w Załączniku III Rozporządzenia (UE) 2024/1689 wchodzi w życie 2 sierpnia 2026 roku. Przepisy dotyczące systemów niedopuszczalnych obowiązują już od 2 lutego 2025 roku. Firmy powinny rozpocząć procedurę klasyfikacji i zgodności co najmniej 6 do 9 miesięcy przed tym terminem – czyli nie później niż w pierwszym kwartale 2026 roku.
P: Czy firma, która tylko kupuje gotowy system AI, musi spełniać wymogi AI Act?
O: To częste nieporozumienie. Podmiot wdrażający – firma stosująca system AI we własnej działalności – ma własne obowiązki wynikające z AI Act. Obejmują one: weryfikację klasyfikacji systemu, zapewnienie zgodności z instrukcją dostawcy, przeprowadzenie własnej oceny ryzyka i informowanie osób, których system dotyczy. Kupno gotowego rozwiązania nie zwalnia z odpowiedzialności regulacyjnej.
P: Ile kosztuje procedura zgodności dla systemu wysokiego ryzyka?
O: Koszty zależą od złożoności systemu i ścieżki oceny zgodności. Dla systemów z Załącznika III, gdzie ocena może być przeprowadzona wewnętrznie (self-assessment), koszt zewnętrznego wsparcia prawnego i technicznego wynosi zazwyczaj od 50 000 do 200 000 PLN. Dla systemów wymagających oceny przez jednostkę notyfikowaną (Załącznik II) koszty są wyższe i mogą przekroczyć 300 000 PLN. Do tego należy doliczyć koszty wdrożenia systemu zarządzania ryzykiem i dokumentacji technicznej.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do regulacji AI, ochrony danych i prawa własności intelektualnej. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.