Firma technologiczna z Mazowsza – dostawca narzędzia do automatycznego scoringu kandydatów – dowiedziała się o wymaganiach AI Act dopiero podczas audytu klienta korporacyjnego. Klient zażądał dokumentacji zgodności przed podpisaniem kontraktu. Termin: 14 dni. Firma nie miała żadnej dokumentacji przejrzystości.
Rozporządzenie (UE) 2024/1689 – AI Act – nakłada na dostawców systemów AI szereg obowiązków przejrzystości, które weszły w życie 2 sierpnia 2024 roku, a których pełne stosowanie przebiega etapami do 2027 roku. Systemy wysokiego ryzyka, takie jak narzędzia rekrutacyjne, wymagają oceny zgodności przed wprowadzeniem na rynek. Brak dokumentacji zamyka drogę do kontraktów z podmiotami regulowanymi.
Poniżej przedstawiamy anonimizowaną sprawę klienta, który w ciągu sześciu tygodni przeszedł od zera do pełnej dokumentacji zgodności. Omawiamy tło sprawy, przyjętą strategię, przebieg procesu i wnioski, które można zastosować w każdej polskiej firmie AI.
Tło sprawy – jak firma znalazła się pod presją czasu?
Klient prowadził działalność jako dostawca oprogramowania SaaS dla działów HR. Jego algorytm oceniał kandydatów na podstawie danych z CV i kwestionariuszy online. Z perspektywy AI Act system ten kwalifikuje się jako system wysokiego ryzyka – AI Act wprost wymienia rekrutację i selekcję pracowników w Załączniku III.
Problem był wielowarstwowy. Firma nie prowadziła dokumentacji technicznej wymaganej przez AI Act. Nie wdrożyła mechanizmu nadzoru ludzkiego. Użytkownicy końcowi – kandydaci – nie otrzymywali żadnej informacji o tym, że ich ocena odbywa się z udziałem systemu AI. To naruszało jednocześnie przepisy AI Act i RODO (Rozporządzenie UE 2016/679) w zakresie zautomatyzowanego podejmowania decyzji.
Klient korporacyjny, który zażądał dokumentacji, sam podlegał wymogom DORA (Rozporządzenie UE 2022/2554) jako instytucja finansowa. Dla niego ryzyko dostawcy AI było ryzykiem operacyjnym. Brak zgodności dostawcy oznaczał dla niego naruszenie własnych obowiązków wobec KNF. Stawką był kontrakt roczny o wartości przekraczającej 800 000 PLN.
Jaką strategię przyjęto wobec obowiązków przejrzystości AI Act?
Obowiązki przejrzystości dla dostawców systemów wysokiego ryzyka wynikają z art. 13 AI Act. Przepis wymaga, aby systemy były zaprojektowane i opracowane w sposób umożliwiający użytkownikom zrozumienie działania systemu. Dokumentacja musi obejmować: cel systemu, dane treningowe, metryki dokładności i ograniczenia systemu.
Przyjęliśmy trzytorową strategię. Po pierwsze – szybka dokumentacja techniczna oparta na tym, co firma faktycznie miała. Po drugie – wdrożenie minimalnych mechanizmów nadzoru ludzkiego, które można było udokumentować w ciągu dwóch tygodni. Po trzecie – przygotowanie klauzul umownych dla kontraktów z klientami, które przenosiły część obowiązków informacyjnych na operatora systemu.
Strategia uwzględniała też kontekst GDPR Poland – czyli RODO stosowane przez UODO. Kandydaci oceniani przez algorytm mieli prawo do wyjaśnienia logiki decyzji na podstawie art. 22 RODO. Firma nie miała procedury obsługi takich wniosków. Uzupełnienie tej luki było warunkiem koniecznym dla uzyskania akceptacji klienta korporacyjnego.
Przy okazji zidentyfikowaliśmy kwestię ochrony samego algorytmu. Firma nie rejestrowała swojego rozwiązania jako IP. Przy wdrażaniu dokumentacji technicznej wymaganej przez AI Act – dokumentacji, która opisuje architekturę systemu – ujawnienie tej dokumentacji klientom mogło stanowić ryzyko dla know-how. Rozwiązaniem było połączenie obowiązków przejrzystości z odpowiednimi klauzulami NDA i strategią ochrony IP, o której szerzej piszemy przy omawianiu strategii ochrony IP dla firm technologicznych działających w Polsce.
Jak przebiegał proces wdrożenia zgodności w 6 tygodniach?
Tydzień pierwszy i drugi to inwentaryzacja. Zebraliśmy istniejącą dokumentację techniczną, opisy algorytmu i dane dotyczące testowania systemu. Firma dysponowała wewnętrznymi materiałami onboardingowymi – to był punkt wyjścia do budowy dokumentacji technicznej w rozumieniu AI Act.
Tydzień trzeci to projekt dokumentacji. Przygotowaliśmy kartę systemu AI obejmującą: opis przeznaczenia, dane wejściowe, logikę scoringu, ograniczenia i poziom dokładności na zbiorze testowym. Osobno przygotowaliśmy instrukcję dla operatorów – czyli klientów firmy – opisującą obowiązki nadzoru ludzkiego. To kluczowy element: AI Act nakłada obowiązki nie tylko na dostawcę, ale też na operatora systemu.
Tydzień czwarty to wdrożenie mechanizmów operacyjnych. Firma dodała do swojego systemu panel dla rekruterów z ostrzeżeniem, że decyzja algorytmu ma charakter pomocniczy. Każdy wynik scoringu musiał być zatwierdzony przez człowieka przed przekazaniem kandydatowi. To spełniało wymóg nadzoru ludzkiego z art. 14 AI Act.
- Dokumentacja techniczna systemu (art. 11 AI Act) – gotowa w tygodniu trzecim
- Instrukcja dla operatorów z zakresem nadzoru ludzkiego – tydzień czwarty
- Procedura obsługi wniosków RODO (art. 22) – tydzień czwarty
- Klauzule umowne dla kontraktów B2B – tydzień piąty
- Rejestr ryzyk systemu AI – tydzień szósty
Tydzień piąty i szósty to finalizacja kontraktu. Klient korporacyjny otrzymał pakiet dokumentacji wraz z klauzulami umownymi regulującymi podział obowiązków między dostawcą a operatorem. Kontrakt podpisano w 43. dniu od pierwszego kontaktu.
Warto odnotować, że przy okazji wdrożenia zgodności z AI Act firma uporządkowała też kwestie związane z transferem danych. Jeden z jej klientów działał w strukturze holdingowej z podmiotem z ZEA. Mechanizmy transferu danych do państw trzecich – w tym do ZEA – opisujemy szczegółowo w analizie poświęconej transferowi danych z Polski do ZEA. Dla firmy SaaS każdy klient z podmiotem poza EOG to potencjalny obowiązek stosowania odpowiednich mechanizmów transferu.
Jakie wnioski wynikają z tej sprawy dla innych dostawców AI w Polsce?
Pierwsza lekcja: zgodność z AI Act to dziś argument handlowy, nie tylko regulacyjny. Firmy podlegające DORA – banki, ubezpieczyciele, firmy inwestycyjne nadzorowane przez KNF – wymagają od dostawców AI dokumentacji zgodności jako elementu due diligence dostawcy. Brak tej dokumentacji eliminuje firmę z przetargu, zanim rozmowy o cenie się zaczną.
Druga lekcja: obowiązki przejrzystości AI Act nakładają się na obowiązki wynikające z RODO. Firma, która wdraża AI Act w izolacji od RODO, robi połowę roboty. Systemy podejmujące zautomatyzowane decyzje o osobach fizycznych muszą spełniać jednocześnie wymogi obu regulacji. Pominięcie procedury art. 22 RODO to luka, którą UODO może wykryć niezależnie od AI Act.
Trzecia lekcja: dokumentacja techniczna AI Act może być źródłem ryzyka IP. Opis architektury systemu, danych treningowych i logiki algorytmu to informacje, które firma powinna chronić. Każde ujawnienie dokumentacji klientowi powinno być poprzedzone analizą, co można ujawnić bez szkody dla know-how. Przy strukturyzowaniu spółek technologicznych z aktywami IP warto też rozważyć optymalizację podatkową – zagadnienie cen transferowych przy IP omawiamy w kontekście bezpiecznych przystani cen transferowych w prawie polskim.
Czwarta lekcja: termin nie jest wymówką. Sześć tygodni wystarczyło, żeby firma bez żadnej wcześniejszej dokumentacji osiągnęła poziom zgodności akceptowalny dla klienta korporacyjnego podlegającego DORA. Kluczem było skupienie się na dokumentacji minimalnej, ale spójnej – zamiast próby osiągnięcia perfekcji w każdym obszarze jednocześnie.
Polska firma AI, która nie ma dziś żadnej dokumentacji przejrzystości, nie jest w sytuacji bez wyjścia. Jest w sytuacji, w której każdy dzień zwłoki zawęża okno na zawarcie kontraktów z regulowanymi klientami. To stracona szansa – i to jest nieodwracalne, bo konkurencja nie czeka.
Konkretna sytuacja Państwa firmy wymaga oceny, który poziom dokumentacji jest minimalnie wystarczający dla Państwa klientów docelowych. Brak tej oceny oznacza ryzyko eliminacji z przetargów, zanim w ogóle dojdzie do rozmów merytorycznych – a to konsekwencja, której nie da się cofnąć.
Jeśli Państwa firma dostarcza systemy AI klientom korporacyjnym lub regulowanym i nie posiada dokumentacji technicznej wymaganej przez AI Act – przeprowadzimy inwentaryzację, przygotujemy kartę systemu i klauzule umowne: info@kordeckipartners.com.
Często zadawane pytania
P: Czy każdy system AI wymaga dokumentacji przejrzystości na podstawie AI Act?
O: Nie każdy. Rozporządzenie (UE) 2024/1689 różnicuje obowiązki w zależności od klasyfikacji ryzyka. Systemy minimalnego ryzyka – jak filtry spamu – nie podlegają obowiązkom dokumentacyjnym. Systemy wysokiego ryzyka, wymienione w Załączniku III AI Act, muszą spełniać pełne wymogi artykułu 11 i 13. Pierwsze pytanie dla każdego dostawcy to klasyfikacja jego systemu – i to od niej zależy zakres obowiązków.
P: Kiedy dokładnie wchodzą w życie kary za naruszenie AI Act w Polsce?
O: AI Act wszedł w życie 2 sierpnia 2024 roku, ale jego stosowanie jest etapowe. Zakaz systemów niedopuszczalnego ryzyka obowiązuje od 2 lutego 2025 roku. Obowiązki dla systemów wysokiego ryzyka z Załącznika III stosuje się od 2 sierpnia 2026 roku. Maksymalna kara za naruszenie obowiązków dostawcy systemu wysokiego ryzyka wynosi 30 000 000 EUR lub 6% globalnego obrotu rocznego. Organ nadzorczy w Polsce nie został jeszcze formalnie wyznaczony – trwają prace legislacyjne.
P: Czy obowiązki przejrzystości AI Act dotyczą tylko firm, które same tworzą algorytmy, czy też firm, które integrują gotowe modele?
O: To częste nieporozumienie. AI Act rozróżnia dostawcę, operatora i importera. Firma, która integruje gotowy model AI (np. API zewnętrznego dostawcy) i udostępnia go klientom jako własny produkt, może zostać uznana za dostawcę w rozumieniu artykułu 3 AI Act. Decyduje faktyczna rola w łańcuchu wartości, nie nazwa umowna. Firma integrująca powinna sprawdzić, czy jej kontrakt z dostawcą modelu właściwie reguluje podział obowiązków zgodności.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do regulacji AI, ochrony danych i prawa własności intelektualnej. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.