Rozporządzenie o sztucznej inteligencji weszło w życie 1 sierpnia 2024 roku. Dla wielu polskich firm oznacza to jedno: czas na klasyfikację własnych systemów AI skończył się szybciej, niż się spodziewały. Jeśli Twoja spółka wdraża, dystrybuuje lub importuje systemy AI – obowiązki zależą od kategorii ryzyka, a pominięcie etapu klasyfikacji zamyka drogę do legalnego wdrożenia.
AI Act (Rozporządzenie UE 2024/1689) wprowadza czterostopniową klasyfikację systemów sztucznej inteligencji według poziomu ryzyka: niedopuszczalne, wysokie, ograniczone i minimalne. Systemy wysokiego ryzyka – stosowane m.in. w rekrutacji, scoringu kredytowym i biometrii – wymagają obowiązkowej oceny zgodności przed wprowadzeniem na rynek. Kluczowe terminy dla tej kategorii biegną od 2 sierpnia 2026 roku.
Poniżej wyjaśniamy, które systemy trafiają do kategorii wysokiego ryzyka, kogo dotyczą obowiązki i jakie działania należy podjąć już teraz – zanim okno na przygotowanie się zamknie.
Które systemy AI trafiają do kategorii wysokiego ryzyka?
AI Act definiuje systemy wysokiego ryzyka w Załączniku III rozporządzenia. Klasyfikacja opiera się na obszarze zastosowania, a nie na samej technologii. To ważna różnica – ten sam model uczenia maszynowego może być systemem wysokiego ryzyka w jednym kontekście i systemem minimalnego ryzyka w innym.
Obszary objęte Załącznikiem III obejmują osiem kategorii. Najczęściej spotykane w polskich firmach to:
- systemy rekrutacyjne i oceny pracowników (selekcja CV, ranking kandydatów),
- scoring kredytowy i ocena zdolności do spłaty zobowiązań,
- biometryczna identyfikacja i weryfikacja tożsamości,
- systemy zarządzania infrastrukturą krytyczną (energetyka, transport),
- AI w edukacji – ocenianie wyników i dostęp do szkoleń.
Firmy z sektora finansowego powinny pamiętać, że systemy scoringowe objęte są jednocześnie wymogami DORA (Rozporządzenie UE 2022/2554), które weszło w życie 17 stycznia 2025 roku. Nakładanie się regulacji oznacza podwójny reżim zgodności. W praktyce – wiele firm o tym zapomina – ocena zgodności AI Act nie zastępuje audytu ICT wymaganego przez DORA.
Odrębną kwestią jest przetwarzanie danych biometrycznych. Każdy system AI operujący na takich danych podlega równolegle RODO (Rozporządzenie UE 2016/679) nadzorowanemu przez UODO. Naruszenie zasad minimalizacji danych przy wdrożeniu systemu wysokiego ryzyka to podwójne ryzyko: kara z AI Act i kara z RODO.
Kogo dotyczą obowiązki i jakie terminy są nieodwracalne?
AI Act rozróżnia cztery role rynkowe: dostawca (provider), podmiot stosujący (deployer), importer i dystrybutor. Najszersze obowiązki spoczywają na dostawcach – firmach, które opracowują lub zlecają opracowanie systemu AI pod własną marką. Podmioty stosujące (np. pracodawca używający zewnętrznego narzędzia do rekrutacji) odpowiadają za zgodność z wymogami operacyjnymi.
Harmonogram wdrożenia AI Act jest fazowy. Zakaz systemów niedopuszczalnego ryzyka obowiązuje od 2 lutego 2025 roku – ten termin już minął. Obowiązki dla systemów wysokiego ryzyka z Załącznika III wchodzą w życie 2 sierpnia 2026 roku. Oznacza to, że na ocenę zgodności, dokumentację techniczną i rejestrację w unijnej bazie danych pozostało mniej niż 18 miesięcy.
Ocena zgodności dla systemów wysokiego ryzyka obejmuje cztery elementy. Każdy musi być udokumentowany przed wprowadzeniem systemu na rynek:
- system zarządzania ryzykiem (art. 9 AI Act),
- dokumentacja techniczna i logi systemowe,
- przejrzystość i instrukcja dla użytkownika,
- nadzór ludzki nad decyzjami systemu.
Dla firm korzystających z systemów AI w procesach HR warto sprawdzić, czy dostawca oprogramowania posiada już dokumentację zgodności. Brak takiej dokumentacji po stronie dostawcy przesuwa część odpowiedzialności na podmiot stosujący. To luka, która może kosztować utratę możliwości legalnego korzystania z narzędzia po sierpniu 2026 roku.
Firmy ubiegające się o finansowanie z funduszy UE powinny dodatkowo uwzględnić wymogi zgodności AI w dokumentacji projektowej – więcej o powiązanych obowiązkach compliance w kontekście wymogów KPO i RRF.
Konkretna sytuacja Państwa firmy – jako dostawcy, importera lub podmiotu stosującego system AI – wymaga indywidualnej oceny klasyfikacji i zakresu obowiązków. Pominięcie etapu klasyfikacji przed sierpniem 2026 roku może nieodwracalnie zamknąć drogę do legalnego wdrożenia lub dystrybucji systemu na rynku UE.
Jeśli Państwa spółka wdraża lub planuje wdrożenie systemu AI w obszarach rekrutacji, scoringu lub biometrii – przeprowadzimy klasyfikację ryzyka, ocenę zgodności i przygotujemy dokumentację techniczną: info@kordeckipartners.com.
Często zadawane pytania
P: Czy każdy system AI używany w firmie wymaga oceny zgodności z AI Act?
O: Nie. Obowiązek oceny zgodności dotyczy wyłącznie systemów wysokiego ryzyka wymienionych w Załączniku III rozporządzenia oraz systemów objętych zakazem. Systemy o minimalnym lub ograniczonym ryzyku podlegają jedynie obowiązkom przejrzystości – na przykład informowaniu użytkownika, że komunikuje się z AI. Większość chatbotów obsługi klienta trafia do tej łagodniejszej kategorii.
P: Kiedy dokładnie zaczną obowiązywać kary za naruszenia przepisów o systemach wysokiego ryzyka?
O: Przepisy o systemach wysokiego ryzyka z Załącznika III stosuje się od 2 sierpnia 2026 roku. Kary za naruszenia mogą sięgać 15 milionów euro lub 3% globalnego rocznego obrotu (wyższa kwota). Organy nadzorcze w poszczególnych państwach członkowskich muszą być wyznaczone do 2 sierpnia 2025 roku – w Polsce trwają prace nad wskazaniem właściwego organu.
P: Czy firma używająca zewnętrznego narzędzia AI do rekrutacji odpowiada za jego zgodność z AI Act?
O: Tak, częściowo. Podmiot stosujący (deployer) odpowiada za przestrzeganie wymogów operacyjnych: nadzór ludzki nad decyzjami, zgodność z instrukcją dostawcy i ochronę danych osobowych kandydatów zgodnie z RODO. Dostawca odpowiada za dokumentację techniczną i ocenę zgodności przed wprowadzeniem systemu na rynek. Umowa z dostawcą powinna precyzyjnie określać podział tych obowiązków – brak takich zapisów to typowy błąd kontraktowy.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do prawa własności intelektualnej, technologii i regulacji AI. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.