Firma technologiczna z Mazowsza wdrożyła system scoringowy do oceny kandydatów do pracy. Narzędzie działa od miesięcy. Nikt nie sprawdził, czy podlega obowiązkowej ocenie zgodności z AI Act. Tymczasem rozporządzenie weszło w życie 1 sierpnia 2024 r. – i pierwsze twarde terminy już obowiązują. Błędna klasyfikacja systemu AI to nie problem techniczny. To ryzyko prawne, które zamyka drogę do legalnej eksploatacji produktu na rynku UE.

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 – AI Act – wprowadza czterostopniową klasyfikację ryzyka systemów sztucznej inteligencji. Systemy wysokiego ryzyka wymagają obowiązkowej oceny zgodności przed wprowadzeniem na rynek. Obowiązek ten dotyczy m.in. systemów rekrutacyjnych, scoringowych i biometrycznych. Kary za naruszenia sięgają 30 mln EUR lub 6% globalnego obrotu rocznego.

Poniżej wyjaśniamy, co się zmieniło, kogo dotyczą nowe obowiązki i jakie działania należy podjąć natychmiast – zanim organy nadzoru zaczną egzekwować przepisy.

Co zmieniło AI Act i jakie terminy już obowiązują?

AI Act wszedł w życie 1 sierpnia 2024 r. Stosowanie przepisów jest rozłożone w czasie – ale część obowiązków już obowiązuje. Zakaz stosowania systemów AI niedopuszczalnego ryzyka (np. social scoring przez władze publiczne) obowiązuje od 2 lutego 2025 r. Przepisy dotyczące systemów wysokiego ryzyka z Załącznika III stosuje się od 2 sierpnia 2026 r. To mniej niż 18 miesięcy od dziś.

Klasyfikacja ryzyka w AI Act opiera się na czterech poziomach: niedopuszczalny, wysoki, ograniczony i minimalny. Systemy wysokiego ryzyka podzielono na dwie kategorie. Pierwsza obejmuje produkty objęte unijnym prawodawstwem harmonizacyjnym (np. urządzenia medyczne, maszyny). Druga – systemy wymienione wprost w Załączniku III rozporządzenia.

Załącznik III wskazuje osiem obszarów wysokiego ryzyka. Są to m.in.: infrastruktura krytyczna, edukacja, zatrudnienie i zarządzanie pracownikami, dostęp do usług publicznych i prywatnych, egzekwowanie prawa, zarządzanie migracją i granicami oraz wymiar sprawiedliwości. Każdy przedsiębiorca wdrażający AI w tych obszarach musi przeprowadzić ocenę, czy jego system kwalifikuje się do tej kategorii.

Urząd Ochrony Danych Osobowych (UODO) jako organ nadzorczy ds. RODO będzie współpracował z przyszłym krajowym organem nadzoru AI. Komisja Europejska prowadzi rejestr systemów wysokiego ryzyka. Przedsiębiorcy powinni założyć, że organy nadzoru – w tym KNF w odniesieniu do sektora finansowego objętego DORA – będą weryfikować zgodność systemów AI z nowym reżimem.

Kogo dotyczy klasyfikacja systemów wysokiego ryzyka?

Obowiązki z AI Act dotyczą dostawców, wdrażających, importerów i dystrybutorów systemów AI. Dostawca to podmiot wprowadzający system na rynek UE lub oddający go do użytku. Wdrażający – podmiot używający systemu w ramach własnej działalności zawodowej. Oba podmioty mają odrębne obowiązki i żaden nie może zasłaniać się niewiedzą drugiego.

W praktyce – wiele firm o tym zapomina – wdrażający system AI zakupiony od zewnętrznego dostawcy nadal ponosi odpowiedzialność za jego zgodne z prawem stosowanie. Jeśli dział HR używa systemu do selekcji CV kandydatów, firma jest wdrażającym systemem wysokiego ryzyka. Obowiązki obejmują m.in. przeprowadzenie oceny wpływu na prawa podstawowe, prowadzenie rejestru logów i zapewnienie nadzoru ludzkiego.

Spółka IT z Małopolski sprzedała w 2024 r. narzędzie do oceny wydajności pracowników kilku klientom korporacyjnym. Po analizie przepisów okazało się, że narzędzie kwalifikuje się jako system wysokiego ryzyka w obszarze zatrudnienia. Konieczna była retrospektywna dokumentacja techniczna i aktualizacja umów z klientami – co zajęło ponad dwa miesiące.

Szczególną uwagę powinny zwrócić firmy działające w sektorach objętych jednocześnie przez AI Act i DORA. Instytucje finansowe stosujące AI do oceny zdolności kredytowej lub wykrywania oszustw muszą spełnić wymagania obu rozporządzeń. Wymagania te nie są identyczne – ich nakładanie się wymaga osobnej analizy prawnej i technicznej.

Warto też pamiętać o RODO. Systemy AI przetwarzające dane osobowe podlegają równolegle przepisom o ochronie danych. Ocena zgodności z AI Act nie zastępuje oceny skutków dla ochrony danych (DPIA) wymaganej przez RODO. Obydwa dokumenty muszą istnieć niezależnie. Firmy zatrudniające cudzoziemców i używające AI do zarządzania ich dokumentacją powinny zapoznać się z procedurami zatrudniania cudzoziemców w Polsce, gdzie kwestie przetwarzania danych osobowych są szczególnie wrażliwe.

Jakie działania podjąć natychmiast?

Złożoność klasyfikacji AI Act polega na tym, że nie wystarczy przeczytać Załącznik III. Kwalifikacja systemu zależy od jego konkretnego zastosowania, kontekstu wdrożenia i wpływu na prawa osób fizycznych. Ten sam algorytm może być systemem wysokiego ryzyka w jednym zastosowaniu i systemem minimalnego ryzyka w innym.

Firma fintech z Trójmiasta odkryła wiosną 2025 r., że jej system scoringowy – klasyfikowany wewnętrznie jako narzędzie analityczne – spełnia definicję systemu wysokiego ryzyka w obszarze dostępu do usług finansowych. Konieczna była natychmiastowa rewizja dokumentacji technicznej i wstrzymanie nowych wdrożeń do czasu zakończenia oceny zgodności. Projekt opóźnił się o cztery miesiące. Podmioty działające w obszarze kryptoaktywów powinny równolegle śledzić regulacje MiCA w Polsce, które nakładają dodatkowe wymogi na systemy AI stosowane w tym sektorze.

Lista działań, które należy podjąć przed 2 sierpnia 2026 r.:

  • Przeprowadzić inwentaryzację wszystkich systemów AI używanych lub oferowanych przez firmę.
  • Dla każdego systemu ocenić, czy kwalifikuje się do kategorii wysokiego ryzyka zgodnie z Załącznikiem III AI Act.
  • Przygotować dokumentację techniczną zgodną z wymaganiami rozporządzenia (art. 11 AI Act).
  • Wdrożyć system zarządzania ryzykiem i prowadzenia logów dla systemów wysokiego ryzyka.
  • Zweryfikować umowy z dostawcami AI pod kątem podziału obowiązków compliance.

Klasyfikacja systemu jako niskiego ryzyka bez formalnej analizy to decyzja, która może okazać się nieodwracalna w razie kontroli. Organy nadzoru będą weryfikować nie tylko wynik klasyfikacji, ale też proces, który do niej doprowadził. Brak udokumentowanej metodologii to samodzielna podstawa do stwierdzenia naruszenia.

Ochrona znaku towarowego i własności intelektualnej systemu AI to osobna kwestia – ale warto ją rozwiązać równolegle z oceną zgodności. Kancelaria IP Warszawa z doświadczeniem w prawie technologicznym może połączyć oba procesy w jednym projekcie.

Konkretna sytuacja Państwa firmy – liczba systemów AI, sektory wdrożeń, rola prawna (dostawca czy wdrażający) – determinuje zakres obowiązków i harmonogram działań. Błędna ocena na tym etapie zamyka drogę do legalnego działania na rynku UE od sierpnia 2026 r. Skutki są nieodwracalne: wycofanie systemu z rynku, kary finansowe i odpowiedzialność osobista zarządu.

Jeśli Państwa spółka wdraża lub oferuje systemy AI w obszarach zatrudnienia, finansów, infrastruktury lub usług publicznych – przeprowadzimy klasyfikację ryzyka, przygotujemy dokumentację techniczną i ocenimy zgodność z AI Act, DORA i RODO: info@kordeckipartners.com.

Często zadawane pytania

P: Czy każdy system AI używany w firmie wymaga oceny zgodności z AI Act?

O: Nie. Obowiązkowa ocena zgodności dotyczy wyłącznie systemów zakwalifikowanych jako wysokiego ryzyka zgodnie z Załącznikiem I lub Załącznikiem III rozporządzenia (UE) 2024/1689. Systemy minimalnego i ograniczonego ryzyka podlegają łagodniejszym wymogom – głównie obowiązkom informacyjnym. Każda firma powinna jednak przeprowadzić formalną inwentaryzację i klasyfikację, zanim uzna, że jej systemy nie wymagają oceny zgodności.

P: Kiedy dokładnie zaczną obowiązywać kary za naruszenia przepisów o systemach wysokiego ryzyka?

O: Przepisy dotyczące systemów wysokiego ryzyka z Załącznika III stosuje się od 2 sierpnia 2026 roku. Kary za naruszenia – do 30 milionów EUR lub 6% globalnego rocznego obrotu – będą mogły być nakładane po tej dacie. Jednak dokumentacja techniczna i procesy zarządzania ryzykiem powinny być gotowe przed tym terminem, ponieważ organy nadzoru będą weryfikować cały proces wdrożenia, nie tylko stan na dzień kontroli.

P: Czy firma używająca systemu AI kupionego od zewnętrznego dostawcy jest zwolniona z obowiązków AI Act?

O: Nie. Wdrażający system AI – czyli podmiot używający go w ramach własnej działalności zawodowej – ma odrębne obowiązki wynikające z artykułu 26 rozporządzenia (UE) 2024/1689. Obejmują one m.in. nadzór ludzki, prowadzenie rejestru logów i przeprowadzenie oceny wpływu na prawa podstawowe. Zakup systemu od zewnętrznego dostawcy nie przenosi odpowiedzialności za zgodne z prawem stosowanie systemu na tego dostawcę.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do regulacji technologicznych, AI Act, DORA i ochrony danych. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.