AI Act – klasyfikacja systemów wysokiego ryzyka

Firma technologiczna z Mazowsza wdraża narzędzie do automatycznej oceny CV kandydatów. System działa sprawnie, skraca rekrutację o połowę i wszyscy są zadowoleni – do momentu, gdy dział prawny zadaje jedno pytanie: czy to jest system wysokiego ryzyka w rozumieniu AI Act? Cisza. Nikt nie wie. A czas na dostosowanie się do nowych wymogów biegnie.

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 – znane jako AI Act – weszło w życie 1 sierpnia 2024 roku i wprowadza czterostopniową klasyfikację systemów sztucznej inteligencji. Systemy wysokiego ryzyka podlegają najsurowszym wymogom: ocenie zgodności, dokumentacji technicznej i rejestracji w unijnej bazie danych. Obowiązki dla dostawców i podmiotów wdrażających systemy wysokiego ryzyka stosowane są od 2 sierpnia 2026 roku.

Ten przewodnik pokazuje, jak krok po kroku ustalić, czy Państwa system AI podlega klasyfikacji wysokiego ryzyka. Omawia procedurę oceny, koszty dostosowania, trzy scenariusze biznesowe oraz najczęstsze błędy popełniane przez polskie firmy. Regulacja wyprzedza rynek – a luka między świadomością a obowiązkiem prawnym potrafi kosztować więcej niż samo wdrożenie.

Jak działa czterostopniowa klasyfikacja w AI Act?

AI Act dzieli systemy AI na cztery kategorie: niedopuszczalne (zakazane), wysokiego ryzyka, ograniczonego ryzyka oraz minimalne ryzyko. Systemy zakazane – takie jak scoring społeczny prowadzony przez władze publiczne czy manipulacja podprogowa – są całkowicie wykluczone z rynku UE od 2 lutego 2025 roku. Pozostałe kategorie podlegają wymogom proporcjonalnym do poziomu ryzyka.

Klasyfikacja wysokiego ryzyka opiera się na dwóch filarach. Pierwszy filar obejmuje systemy AI będące produktami objętymi unijnym prawodawstwem harmonizacyjnym – wymienionymi w Załączniku I do rozporządzenia. Chodzi tu o maszyny, urządzenia medyczne, pojazdy, zabawki i podobne kategorie. Jeśli AI jest wbudowana w taki produkt, automatycznie trafia do kategorii wysokiego ryzyka.

Drugi filar – i tutaj kryje się najwięcej pytań ze strony klientów – to Załącznik III. Wymienia on osiem sektorów, w których systemy AI zostają zakwalifikowane jako wysokiego ryzyka niezależnie od tego, w jakim produkcie są zawarte. Wśród nich są: biometria, infrastruktura krytyczna, edukacja, zatrudnienie, dostęp do usług publicznych i prywatnych, egzekwowanie prawa, zarządzanie migracją oraz wymiar sprawiedliwości.

Warto zwrócić uwagę na jeden szczegół, który w praktyce bywa pomijany. UODO – odpowiednik unijnego organu nadzorczego w zakresie RODO – będzie jednym z organów nadzorujących stosowanie AI Act w Polsce, szczególnie w obszarach przetwarzania danych biometrycznych. Oznacza to, że systemy wysokiego ryzyka operujące na danych osobowych podlegają jednocześnie wymogom AI Act i Rozporządzenia (UE) 2016/679.

Które systemy AI podlegają wymogom wysokiego ryzyka?

Załącznik III do AI Act wymienia konkretne zastosowania. W sektorze zatrudnienia – i tu wracamy do scenariusza z początku – systemy AI używane do rekrutacji, selekcji kandydatów, oceny wydajności pracowników lub podejmowania decyzji o awansie są systemami wysokiego ryzyka. Dotyczy to zarówno dostawców takich narzędzi, jak i firm, które je wdrażają. Termin dostosowania: 2 sierpnia 2026 roku.

W sektorze finansowym pojawia się nakładanie się regulacji. System AI służący do oceny zdolności kredytowej – czy scoringowy – jest systemem wysokiego ryzyka na gruncie AI Act. Jednocześnie podmioty finansowe objęte są wymogami Rozporządzenia (UE) 2022/2554 – DORA – dotyczącego odporności operacyjnej w zakresie ICT. Stosowanie AI w procesach decyzyjnych banku może zatem generować podwójne obowiązki dokumentacyjne i raportowe.

Trzy scenariusze, które najczęściej pojawiają się w praktyce polskich firm:

• Producent maszyn przemysłowych z Wielkopolski integruje AI w systemie wizyjnym kontroli jakości – automatycznie trafia do Załącznika I, bo maszyna podlega unijnej dyrektywie maszynowej.
• Startup HR z Trójmiasta sprzedaje SaaS do analizy rozmów rekrutacyjnych – Załącznik III, sektor zatrudnienia, obowiązki jako dostawca systemu wysokiego ryzyka.
• Firma ubezpieczeniowa z Krakowa wdraża AI do oceny ryzyka szkodowego – Załącznik III, sektor usług finansowych, podwójne wymogi z DORA.

Istnieje jednak istotny wyjątek. Art. 6 ust. 3 AI Act wprowadza możliwość wyłączenia z kategorii wysokiego ryzyka, jeśli system AI nie stwarza znaczącego ryzyka dla zdrowia, bezpieczeństwa lub praw podstawowych. Warunkiem jest przeprowadzenie oceny i udokumentowanie jej wyniku. Samo przekonanie, że ryzyko jest niskie, bez dokumentacji nie wystarczy.

W kontekście ochrony danych osobowych – kluczowym przy systemach biometrycznych – przypominamy, że zasady przetwarzania danych w systemach AI muszą być zgodne z RODO. Naruszenie obu regulacji jednocześnie grozi podwójnymi sankcjami ze strony różnych organów nadzorczych.

Jeśli Państwa firma wdraża systemy AI w obszarach HR lub finansów i nie przeprowadziła jeszcze analizy klasyfikacyjnej, ryzyko nieświadomego naruszenia przepisów rośnie z każdym miesiącem. Konkretna sytuacja Państwa przedsiębiorstwa wymaga oceny, zanim obowiązki staną się wymagalne – niepodjęcie działań teraz może zamknąć drogę do łagodniejszego reżimu nadzorczego.

Jeśli Państwa spółka wdraża lub dostarcza systemy AI w sektorach wymienionych w Załączniku III – przeprowadzimy wstępną analizę klasyfikacyjną i wskażemy konkretne obowiązki: info@kordeckipartners.com.

Jak przeprowadzić ocenę zgodności krok po kroku?

Ocena zgodności systemu wysokiego ryzyka to proces sformalizowany. AI Act przewiduje dwa tryby: ocenę wewnętrzną (self-assessment) prowadzoną przez dostawcę oraz ocenę przez jednostkę notyfikowaną (notified body). Dla większości systemów z Załącznika III możliwa jest ocena wewnętrzna – z wyjątkiem systemów biometrycznych i systemów związanych z infrastrukturą krytyczną, gdzie wymagana jest jednostka zewnętrzna.

Procedura krok po kroku dla systemu HR-AI wdrażanego przez polską spółkę:

• Krok 1 – Identyfikacja roli: Ustal, czy jesteś dostawcą (provider), podmiotem wdrażającym (deployer) czy importerem. Każda rola wiąże się z innym zestawem obowiązków.
• Krok 2 – Klasyfikacja: Sprawdź Załącznik I i Załącznik III. Udokumentuj wynik analizy w formie pisemnej – to element dokumentacji technicznej.
• Krok 3 – Dokumentacja techniczna: Przygotuj dokumentację zgodnie z Załącznikiem IV do AI Act – opis systemu, dane treningowe, architektura, metryki wydajności, ograniczenia.
• Krok 4 – System zarządzania ryzykiem: Wdróż proces ciągłej identyfikacji i mitygacji ryzyk przez cały cykl życia systemu.
• Krok 5 – Rejestracja w bazie UE: Przed wprowadzeniem na rynek zarejestruj system w unijnej bazie danych AI – termin upływa wraz z wdrożeniem systemu.

Koszty dostosowania różnią się znacznie w zależności od złożoności systemu. Dla małego startupu HR przygotowanie kompletnej dokumentacji technicznej i systemu zarządzania ryzykiem to koszt rzędu kilkudziesięciu tysięcy złotych. Dla dużego integratora systemów AI w sektorze finansowym – gdzie nakładają się wymogi AI Act i DORA – budżet dostosowawczy może przekraczać 500 000 PLN, uwzględniając audyty, dokumentację i ewentualne modyfikacje systemu.

Szczególną uwagę należy poświęcić kwestii znaku towarowego i własności intelektualnej. Jeśli dokumentacja techniczna systemu AI zawiera elementy chronione prawem własności intelektualnej – algorytmy, kod źródłowy, dane treningowe – ujawnienie tych informacji organom nadzorczym wymaga ostrożnego uregulowania umownego. Kancelaria IP Warszawa z doświadczeniem w prawie technologicznym może pomóc zabezpieczyć te interesy na etapie przygotowania dokumentacji. Więcej o ochronie oprogramowania w polskim prawie znajdą Państwo w naszym artykule o ochronie oprogramowania i prawach autorskich.

Jakie błędy popełniają polskie firmy przy klasyfikacji systemów AI?

Błąd pierwszy – i najczęstszy – to założenie, że skoro firma kupuje gotowe narzędzie AI od zewnętrznego dostawcy, nie ma żadnych własnych obowiązków. To nieprawda. Podmiot wdrażający (deployer) ma odrębne obowiązki: musi m.in. wdrożyć środki nadzoru ludzkiego, prowadzić logi z użytkowania systemu przez co najmniej 6 miesięcy oraz informować pracowników o stosowaniu systemów AI w procesach ich dotyczących.

Błąd drugi – błędna klasyfikacja przez analogię. Firma widzi, że jej system nie jest identyczny z przykładem z Załącznika III, i dochodzi do wniosku, że nie jest systemem wysokiego ryzyka. Tymczasem AI Act posługuje się szeroką definicją „przeznaczenia". Jeśli system może być używany do celów wymienionych w Załączniku III – nawet jeśli nie jest to jego jedyne zastosowanie – klasyfikacja może objąć całe narzędzie.

Błąd trzeci – odkładanie oceny na moment tuż przed terminem. Startup z Trójmiasta, który zaczął budować dokumentację techniczną na dwa miesiące przed 2 sierpnia 2026 roku, ryzykuje wejście na rynek z niekompletną dokumentacją. To otwiera drogę do kar finansowych – AI Act przewiduje sankcje do 30 000 000 EUR lub 6% globalnego rocznego obrotu dla dostawców, którzy wprowadzają na rynek systemy wysokiego ryzyka bez oceny zgodności.

Błąd czwarty – ignorowanie wymiaru pracowniczego. Systemy AI stosowane wobec pracowników – monitoring, ocena wydajności, planowanie zmian – mogą rodzić obowiązki nie tylko z AI Act, ale i z prawa pracy. Pracodawca wdrażający AI w zarządzaniu zasobami ludzkimi powinien równolegle sprawdzić obowiązki wynikające z Kodeksu pracy, w tym przepisy dotyczące mobbingu i ochrony godności pracownika. Pomocny kontekst znajdą Państwo w naszym opracowaniu o mobbingu w miejscu pracy i obowiązkach pracodawcy.

Uważamy, że bezpieczniejszym rozwiązaniem jest przeprowadzenie pełnej analizy klasyfikacyjnej z wyprzedzeniem co najmniej 12 miesięcy przed planowanym wdrożeniem systemu. Daje to czas na ewentualne modyfikacje architektury – co jest znacznie tańsze niż przebudowa gotowego produktu.

Konkretna sytuacja Państwa firmy – szczególnie gdy system AI jest już w fazie pilotażu lub produkcji – wymaga natychmiastowej analizy. Niepodjęcie działań teraz może nieodwracalnie ograniczyć opcje dostosowawcze i narazić Państwa spółkę na postępowanie nadzorcze.

Jeśli Państwa spółka wdrożyła lub planuje wdrożyć system AI w obszarze HR, finansów lub infrastruktury krytycznej – przeprowadzimy pełną ocenę klasyfikacyjną i przygotujemy mapę obowiązków regulacyjnych: info@kordeckipartners.com.

Często zadawane pytania

P: Kiedy dokładnie zaczynają obowiązywać wymogi dla systemów wysokiego ryzyka z Załącznika III?

O: Wymogi dla systemów wysokiego ryzyka wymienionych w Załączniku III do rozporządzenia (UE) 2024/1689 zaczynają obowiązywać 2 sierpnia 2026 roku. Dotyczy to zarówno dostawców, jak i podmiotów wdrażających. Systemy AI objęte unijnym prawodawstwem harmonizacyjnym z Załącznika I podlegają tym samym terminom, jednak mogą wymagać wcześniejszych działań, jeśli podlegają równolegle innym regulacjom sektorowym, takim jak dyrektywa maszynowa czy rozporządzenie o urządzeniach medycznych.

P: Czy firma kupująca gotowe narzędzie AI od zagranicznego dostawcy ma własne obowiązki z AI Act?

O: Tak – i to częsty błąd w praktyce. Podmiot wdrażający (deployer) ma odrębne obowiązki niezależnie od tego, kto jest dostawcą systemu. Obejmują one m.in. wdrożenie środków nadzoru ludzkiego, prowadzenie logów z użytkowania przez co najmniej 6 miesięcy, a w przypadku systemów stosowanych wobec pracowników – informowanie ich o stosowaniu AI w procesach ich dotyczących. Zakup gotowego narzędzia nie zwalnia z tych obowiązków. Dobrą praktyką jest uregulowanie podziału obowiązków między dostawcą a wdrażającym w umowie.

P: Czy system AI używany wyłącznie wewnętrznie – bez sprzedaży na zewnątrz – też podlega AI Act?

O: To powszechne nieporozumienie. AI Act stosuje się nie tylko do systemów wprowadzanych na rynek, ale również do systemów oddanych do użytku (put into service) – w tym systemów używanych wyłącznie przez ich twórcę na własne potrzeby. Firma, która samodzielnie opracowała i wdraża system AI do rekrutacji lub oceny pracowników, jest jednocześnie dostawcą i podmiotem wdrażającym. Oznacza to pełny zakres obowiązków z obu ról, w tym konieczność przygotowania dokumentacji technicznej zgodnej z Załącznikiem IV do rozporządzenia.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do regulacji AI, prawa własności intelektualnej i technologii. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Data publikacji: 07.04.2026

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.