Firma z Warszawy wdraża narzędzie do automatycznej oceny CV kandydatów. Dział IT zapewnia, że to „tylko algorytm filtrujący". Dział prawny milczy. Tymczasem AI Act kwalifikuje dokładnie taki system jako wysokiego ryzyka – z obowiązkiem oceny zgodności przed wdrożeniem, nie po. Konsekwencje przeoczenia tego obowiązku są nieodwracalne: system musi zostać wycofany lub zablokowany przez organ nadzoru.
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 – AI Act – weszło w życie 1 sierpnia 2024 roku i wprowadza czterostopniową klasyfikację systemów sztucznej inteligencji według poziomu ryzyka. Systemy wysokiego ryzyka podlegają obowiązkowej ocenie zgodności przed wprowadzeniem na rynek. Kary za naruszenia sięgają 30 milionów euro lub 6% globalnego obrotu rocznego.
Ten alert wyjaśnia, które systemy AI trafiają do kategorii wysokiego ryzyka, kogo dotyczą terminy stosowania i jakie działania należy podjąć teraz – zanim organ nadzoru zapuka pierwszy.
Które systemy AI podlegają klasyfikacji wysokiego ryzyka?
AI Act dzieli systemy AI na cztery poziomy: niedopuszczalne, wysokiego ryzyka, ograniczonego ryzyka i minimalne ryzyko. Systemy niedopuszczalne – jak scoring społeczny czy manipulacja podprogowa – są zakazane od 2 lutego 2025 roku. Systemy wysokiego ryzyka to kategoria, która dotyczy największej liczby polskich przedsiębiorstw.
Rozporządzenie wskazuje dwa źródła klasyfikacji wysokiego ryzyka. Pierwsze to Załącznik I – systemy AI wbudowane w produkty objęte unijnym prawodawstwem sektorowym (np. urządzenia medyczne, maszyny, pojazdy). Drugie to Załącznik III – lista ośmiu obszarów zastosowań:
- biometryczna identyfikacja i kategoryzacja osób
- zarządzanie infrastrukturą krytyczną (energetyka, wodociągi, transport)
- kształcenie i szkolenie zawodowe (ocena uczniów, rekrutacja)
- zatrudnienie – rekrutacja, ocena pracownicza, awanse, zwolnienia
- dostęp do usług publicznych i prywatnych (scoring kredytowy, ocena zdolności)
- egzekwowanie prawa i ocena ryzyka recydywy
- zarządzanie migracją i kontrola graniczna
- wymiar sprawiedliwości i procesy demokratyczne
W praktyce – wiele firm o tym zapomina – scoring kredytowy stosowany przez banki i fintechy to klasyczny przykład z Załącznika III. Podobnie systemy HR do automatycznej selekcji CV, które wdrożyło już kilkaset polskich pracodawców. Każdy z tych systemów wymaga dokumentacji technicznej, rejestru logów i oceny zgodności przed uruchomieniem. Brak tych elementów to nie uchybienie formalne – to podstawa do nakazu wycofania systemu z rynku.
Warto tu wskazać powiązanie z RODO (Rozporządzenie UE 2016/679): systemy wysokiego ryzyka przetwarzające dane osobowe wymagają równoległej oceny skutków dla ochrony danych (DPIA). Organ nadzoru – w Polsce PUODO – może wszcząć postępowanie niezależnie od działań unijnego regulatora AI. Dwie procedury, dwa ryzyka, jeden system.
Kogo dotyczą obowiązki i jakie są terminy?
AI Act rozróżnia trzy role: dostawca (provider), podmiot stosujący (deployer) i importer. Obowiązki są różne – ale odpowiedzialność za klasyfikację spoczywa na każdym z nich. Polskie firmy najczęściej działają jako deployer: kupują gotowe rozwiązanie AI i wdrażają je w swojej organizacji.
Deployer systemu wysokiego ryzyka musi przed wdrożeniem: przeprowadzić ocenę zgodności lub zweryfikować dokumentację dostawcy, wdrożyć nadzór ludzki (human oversight), prowadzić logi operacyjne przez co najmniej 6 miesięcy oraz poinformować pracowników o stosowaniu AI w decyzjach ich dotyczących. Ten ostatni obowiązek bezpośrednio nakłada się na przepisy Kodeksu pracy i RODO.
Harmonogram stosowania AI Act jest fazowy. Zakazy dotyczące systemów niedopuszczalnych – od 2 lutego 2025 roku. Obowiązki dla systemów wysokiego ryzyka z Załącznika III – od 2 sierpnia 2026 roku. Systemy wysokiego ryzyka z Załącznika I (produkty sektorowe) – od 2 sierpnia 2027 roku. Przepisy dotyczące modeli ogólnego przeznaczenia (GPAI) – od 2 sierpnia 2025 roku.
Spółka z branży finansowej wdrożyła wiosną 2025 roku system scoringowy oparty na modelu ML. Dostawca zapewnił, że dokumentacja jest „zgodna z AI Act". Analiza prawna wykazała brak oceny zgodności dla Załącznika III i nieaktualne logi. Koszty naprawcze przekroczyły 200 000 PLN – znacznie więcej niż koszt audytu przed wdrożeniem. Podobna sytuacja spotkała firmę rekrutacyjną z Trójmiasta latem 2024 roku, gdy PUODO wszczął postępowanie dotyczące automatycznego odrzucania kandydatów bez możliwości odwołania.
Dla podmiotów objętych DORA (Rozporządzenie UE 2022/2554) – banków, ubezpieczycieli, firm inwestycyjnych – obowiązki AI Act nakładają się na wymogi zarządzania ryzykiem ICT. Od 17 stycznia 2025 roku KNF oczekuje od tych podmiotów udokumentowanego podejścia do ryzyka systemów AI jako elementu odporności operacyjnej. Dwie regulacje, jeden audyt – ale tylko jeśli jest zaplanowany.
Co zrobić teraz – lista działań priorytetowych
Czas do 2 sierpnia 2026 roku wydaje się długi. Nie jest. Ocena zgodności systemu wysokiego ryzyka trwa od 3 do 6 miesięcy przy sprawnej organizacji. Firmy, które zaczną w pierwszym kwartale 2026 roku, nie zdążą na termin. Działania należy podjąć już teraz.
Priorytetowa lista działań dla Państwa organizacji:
- Przeprowadzić inwentaryzację wszystkich systemów AI używanych w firmie – w tym narzędzi SaaS z elementami automatycznego podejmowania decyzji
- Dla każdego systemu ustalić rolę organizacji (dostawca / deployer / importer) i przypisać właściciela procesu zgodności
- Sprawdzić, czy system kwalifikuje się do Załącznika I lub III – jeśli tak, zlecić ocenę zgodności lub zweryfikować dokumentację dostawcy
- Zidentyfikować systemy wymagające równoległej DPIA zgodnie z RODO i zgłosić je do rejestru czynności przetwarzania
- Wdrożyć procedury nadzoru ludzkiego i logowania decyzji AI z zachowaniem 6-miesięcznego okresu retencji
Firmy działające w obszarze własności intelektualnej i technologii powinny dodatkowo sprawdzić, czy ich systemy AI generujące treści nie naruszają praw autorskich lub ochrony znaku towarowego w kontekście kontroli UOKiK. To osobna ścieżka ryzyka, która często pojawia się równolegle z klasyfikacją AI Act.
Organizacje, które już prowadzą audyty RODO, mają przewagę startową. Metodologia DPIA jest zbliżona do oceny zgodności AI Act dla systemów wysokiego ryzyka. Jeśli Państwa firma nie przeprowadzała jeszcze audytu ochrony danych, warto zapoznać się z najczęstszymi lukami w audytach RODO w polskich firmach – wiele z nich pokrywa się z wymaganiami AI Act.
Regulacja AI Act wyprzedza rynek. Większość polskich firm nie ma jeszcze wdrożonych procedur klasyfikacji systemów AI. To oznacza, że pierwsze postępowania nadzorcze – gdy ruszyć mają od 2027 roku – trafią w organizacje, które przez dwa lata miały czas na przygotowanie, ale go nie wykorzystały. Odpowiedzialność osobista zarządu za brak wdrożenia procedur compliance w tym zakresie jest realnym ryzykiem, szczególnie w spółkach z o.o., gdzie art. 293 § 1 k.s.h. obejmuje szkody wynikające z zaniechania.
Konkretna sytuacja Państwa firmy – liczba systemów AI, role w łańcuchu dostaw, branża regulowana – determinuje zakres i pilność działań. Zaniechanie klasyfikacji przed terminem zamyka drogę do dobrowolnej korekty i otwiera postępowanie z urzędu.
Jeśli Państwa spółka stosuje systemy AI w obszarach HR, scoringu, infrastruktury lub usług publicznych i nie przeprowadziła jeszcze klasyfikacji zgodnie z AI Act – przeprowadzimy przegląd portfela systemów, ocenę roli prawnej organizacji i mapowanie obowiązków z harmonogramem wdrożenia: info@kordeckipartners.com.
Często zadawane pytania
P: Czy mała firma używająca narzędzia AI do rekrutacji musi przeprowadzić pełną ocenę zgodności?
O: Tak, jeśli narzędzie podejmuje lub istotnie wpływa na decyzje o zatrudnieniu – jest to system wysokiego ryzyka z Załącznika III niezależnie od wielkości firmy. Obowiązek oceny zgodności spoczywa na deployerze. Mikroprzedsiębiorcy mogą skorzystać z uproszczonej ścieżki dokumentacyjnej, ale nie są zwolnieni z obowiązku nadzoru ludzkiego i prowadzenia logów przez co najmniej 6 miesięcy.
P: Kiedy dokładnie wchodzą w życie kary za naruszenia AI Act?
O: Przepisy dotyczące sankcji stosuje się od 2 sierpnia 2026 roku dla systemów wysokiego ryzyka z Załącznika III. Maksymalna kara wynosi 30 milionów euro lub 6% globalnego rocznego obrotu – w zależności od tego, która kwota jest wyższa. Dla systemów z Załącznika I termin to 2 sierpnia 2027 roku. Zakazy dotyczące systemów niedopuszczalnych obowiązują już od 2 lutego 2025 roku.
P: Czy dokumentacja dostawcy systemu AI zwalnia deployer z odpowiedzialności?
O: Nie. Deployer odpowiada samodzielnie za wdrożenie nadzoru ludzkiego, prowadzenie logów i poinformowanie pracowników o stosowaniu AI w decyzjach ich dotyczących. Dokumentacja dostawcy jest punktem wyjścia do weryfikacji, nie dowodem zgodności po stronie deployera. Uważamy, że bezpieczniejszym rozwiązaniem jest niezależna weryfikacja prawna dokumentacji dostawcy przed każdym wdrożeniem systemu wysokiego ryzyka.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do regulacji technologicznych, AI Act, DORA i ochrony danych. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.