Firma technologiczna z Mazowsza wdraża narzędzie do automatycznej oceny kandydatów do pracy. System analizuje CV, rekomenduje odrzucenie lub zaproszenie na rozmowę i w 90% przypadków decyduje o dalszym losie aplikacji. Brzmi jak zwykłe oprogramowanie HR. W świetle Rozporządzenia (UE) 2024/1689 – czyli AI Act – jest to system wysokiego ryzyka, który wymaga oceny zgodności, dokumentacji technicznej i nadzoru ludzkiego przed pierwszym uruchomieniem.
AI Act wprowadza obowiązkową klasyfikację systemów sztucznej inteligencji według poziomu ryzyka. Systemy wysokiego ryzyka – zdefiniowane w Załączniku III do rozporządzenia – podlegają rygorystycznym wymogom: ocenie zgodności, rejestracji w unijnej bazie danych oraz ciągłemu monitorowaniu po wdrożeniu. Rozporządzenie weszło w życie 1 sierpnia 2024 roku, a przepisy dotyczące systemów wysokiego ryzyka stosuje się w pełni od 2 sierpnia 2026 roku.
Ten artykuł wyjaśnia, jak przebiega klasyfikacja systemów wysokiego ryzyka, jakie obowiązki nakłada AI Act na dostawców i wdrażających działających w Polsce, gdzie czyhają praktyczne pułapki oraz co zrobić, zanim uregulujesz sytuację prawną swojego systemu AI.
Co to jest system wysokiego ryzyka według AI Act?
Rozporządzenie (UE) 2024/1689 definiuje system AI jako system wysokiego ryzyka, gdy spełnia łącznie dwa warunki. Po pierwsze – należy do kategorii wymienionych w Załączniku III. Po drugie – stanowi samodzielny produkt lub komponent bezpieczeństwa produktu objętego unijnym prawodawstwem harmonizacyjnym. Każdy z tych warunków wymaga osobnej analizy.
Załącznik III wymienia osiem obszarów. Obejmują one infrastrukturę krytyczną, edukację, zatrudnienie i zarządzanie pracownikami, dostęp do usług prywatnych i publicznych, egzekwowanie prawa, zarządzanie migracją i azylem, wymiar sprawiedliwości oraz procesy demokratyczne. Systemy AI stosowane w rekrutacji, scoringu kredytowym, biometrii czy klasyfikacji wniosków wizowych trafiają do tej kategorii niemal automatycznie.
Urząd Ochrony Danych Osobowych (UODO) jako organ nadzorczy RODO współpracuje z przyszłym krajowym organem nadzoru AI. Warto pamiętać, że RODO i AI Act nakładają się na siebie – system wysokiego ryzyka przetwarzający dane osobowe musi spełniać wymogi obu aktów jednocześnie. To podwójny reżim zgodności, który wiele firm w Polsce bagatelizuje.
W praktyce – wiele firm o tym zapomina – klasyfikacja nie jest jednorazową czynnością. Zmiana funkcjonalności systemu, rozszerzenie jego zastosowania lub zmiana kontekstu wdrożenia może przenieść system z kategorii niskiego ryzyka do wysokiego. Regulacja wyprzedza rynek i nie czeka na aktualizację Twojej dokumentacji.
Jakie obowiązki nakłada AI Act na dostawców i wdrażających w Polsce?
Dostawca systemu wysokiego ryzyka musi przeprowadzić ocenę zgodności przed wprowadzeniem systemu do obrotu. Ocena obejmuje dokumentację techniczną, system zarządzania ryzykiem, dane treningowe, przejrzystość oraz nadzór ludzki. Termin na spełnienie wymogów to 2 sierpnia 2026 roku – do tego czasu systemy już działające muszą osiągnąć pełną zgodność.
Obowiązki dzielą się między dwie role: dostawcę (provider) i wdrażającego (deployer). Dostawca odpowiada za projekt systemu, dokumentację i certyfikację. Wdrażający – czyli firma, która kupuje gotowe rozwiązanie i stosuje je wobec swoich klientów lub pracowników – odpowiada za kontekst użycia, monitorowanie i informowanie pracowników o zastosowaniu AI.
Kluczowe obowiązki dostawcy obejmują pięć elementów:
- System zarządzania ryzykiem aktualizowany przez cały cykl życia produktu
- Dokumentacja techniczna zgodna z Załącznikiem IV do AI Act
- Automatyczne rejestrowanie zdarzeń (logi) umożliwiające audyt
- Rejestracja systemu w unijnej bazie danych EU AI przed wdrożeniem
- Oznakowanie CE w przypadku systemów objętych prawodawstwem harmonizacyjnym
Wdrażający musi z kolei zapewnić nadzór ludzki, nie używać systemu w sposób wykraczający poza jego przeznaczenie oraz informować pracowników, gdy system AI podejmuje decyzje dotyczące ich zatrudnienia. Ten ostatni obowiązek bezpośrednio łączy się z prawem pracy i RODO. Firma z Trójmiasta, która jesienią 2024 roku wdrożyła system scoringowy dla działu HR bez poinformowania pracowników, stanęłaby dziś przed ryzykiem podwójnej odpowiedzialności – na podstawie AI Act i art. 94(3) k.p. dotyczącego mobbingu i ochrony pracowników.
Aby uzyskać ocenę zgodności Państwa systemu AI z wymogami AI Act, napisz do info@kordeckipartners.com.
Konkretna sytuacja Państwa firmy – szczególnie gdy system jest już wdrożony i nie posiada dokumentacji technicznej – wymaga natychmiastowej analizy. Brak zgodności do 2 sierpnia 2026 roku zamyka drogę do legalnego stosowania systemu na rynku UE i może skutkować karami do 30 000 000 EUR lub 6% rocznego obrotu globalnego.
Jeśli Państwa spółka stosuje lub planuje wdrożyć system AI w obszarze HR, scoringu kredytowego lub biometrii – przeprowadzimy klasyfikację ryzyka, audyt dokumentacji i przygotujemy plan zgodności: info@kordeckipartners.com.
Gdzie leżą największe pułapki klasyfikacji systemów AI?
Pierwsza pułapka to błędne założenie, że gotowy produkt kupiony od dostawcy zewnętrznego zwalnia firmę z obowiązków. Tak nie jest. Wdrażający ponosi własną odpowiedzialność za kontekst użycia. Jeśli kupujesz system AI do oceny wniosków kredytowych i stosujesz go wobec klientów detalicznych, jesteś wdrażającym systemu wysokiego ryzyka – niezależnie od tego, co napisano w umowie z dostawcą.
Druga pułapka dotyczy systemów ogólnego przeznaczenia (GPAI). Modele takie jak duże modele językowe mogą być dostawcą systemu wysokiego ryzyka, gdy są integrowane w aplikacjach spełniających kryteria Załącznika III. Firma integrująca model GPAI w systemie rekrutacyjnym staje się de facto dostawcą systemu wysokiego ryzyka i przejmuje pełne obowiązki z tym związane.
Trzecia pułapka – szczególnie istotna dla sektora finansowego – to krzyżowanie się AI Act z DORA (Rozporządzenie UE 2022/2554), które obowiązuje od 17 stycznia 2025 roku. Instytucje finansowe nadzorowane przez KNF muszą zarządzać ryzykiem ICT zgodnie z DORA, a jednocześnie klasyfikować swoje systemy AI zgodnie z AI Act. Jeśli system AI jest jednocześnie krytycznym systemem ICT, obowiązki dokumentacyjne i raportowe nakładają się podwójnie.
Czwarta pułapka to błędna kwalifikacja systemu jako „narzędzia pomocniczego". Prawo patrzy na funkcję, nie na nazwę produktu. System, który „sugeruje" decyzję i jest w praktyce zawsze akceptowany przez człowieka, może być traktowany jako system podejmujący autonomiczne decyzje. Sąd lub organ nadzorczy oceni rzeczywisty przepływ decyzji, nie opis w dokumentacji.
Pułapka piąta dotyczy znaku towarowego i ochrony danych w kontekście systemów generatywnej AI. Firma z Małopolski, która wiosną 2025 roku zintegrowała model generatywny w swoim narzędziu do tworzenia materiałów marketingowych, może nieświadomie naruszać prawa własności intelektualnej osób trzecich. To odrębna kwestia od klasyfikacji ryzyka AI Act, ale często ujawnia się właśnie podczas audytu zgodności.
Jak AI Act wpływa na firmy z perspektywy transgranicznej?
AI Act obowiązuje na terenie całej Unii Europejskiej. Dostawca spoza UE, który wprowadza system AI na rynek unijny lub którego system wywołuje skutki wobec osób w UE, podlega rozporządzeniu w takim samym zakresie jak podmiot europejski. To ważne dla polskich firm korzystających z systemów AI dostarczanych przez podmioty z USA, Izraela lub Chin.
Dla niemieckiego inwestora wchodzącego na rynek polski z systemem AI stosowanym w procesach decyzyjnych – na przykład w zarządzaniu magazynem lub selekcji dostawców – konieczne jest sprawdzenie, czy system nie trafia do Załącznika III. Zarządzanie infrastrukturą krytyczną, w tym logistyka, może podpadać pod tę kategorię w zależności od kontekstu.
Polskie kancelaria IP Warszawa coraz częściej obsługuje mandaty transgraniczne, w których dostawca systemu AI jest zarejestrowany w jednym państwie UE, a wdrożenie następuje w kilku krajach jednocześnie. W takim przypadku organem właściwym jest organ nadzorczy państwa, w którym dostawca ma siedzibę. Dla spółek z siedzibą w Polsce będzie to krajowy organ nadzoru AI, którego powołanie jest wymagane przepisami rozporządzenia.
Warto też pamiętać o RODO. Systemy AI klasyfikowane jako wysokiego ryzyka, które przetwarzają dane osobowe, wymagają oceny skutków dla ochrony danych (DPIA) zgodnie z art. 35 RODO. Audyt RODO przeprowadzony przed wdrożeniem systemu AI pozwala zidentyfikować luki, które – jeśli zostaną odkryte przez UODO lub organ AI – mogą skutkować sankcjami z obu reżimów jednocześnie. Więcej o typowych lukach w polskich firmach znajdziesz w naszym audycie RODO – najczęstsze luki w polskich firmach.
Odrębną kwestią jest sytuacja spółek w restrukturyzacji lub postępowaniu upadłościowym, które posiadają systemy AI sklasyfikowane jako wysokiego ryzyka. Prawa i obowiązki związane z tymi systemami wchodzą do masy upadłości lub są przedmiotem negocjacji z wierzycielami. Praktyczne aspekty tych procedur opisujemy szczegółowo w artykule o postępowaniu upadłościowym – etapach od wniosku do zakończenia.
Lista kontrolna: co przygotować przed audytem zgodności AI Act?
Dobra dokumentacja to fundament zgodności. Firmy, które przystępują do audytu bez przygotowania, odkrywają, że zebranie wymaganej dokumentacji zajmuje od 3 do 6 miesięcy – a termin 2 sierpnia 2026 roku nie przesuwa się dla nikogo.
Przygotuj następujące elementy przed pierwszą rozmową z doradcą prawnym:
- Mapa systemów AI stosowanych w firmie z opisem ich funkcji i kontekstu użycia
- Umowy z dostawcami systemów AI – ze szczególnym uwzględnieniem podziału ról dostawca/wdrażający
- Dokumentacja danych treningowych lub opis danych używanych przez system
- Polityki nadzoru ludzkiego nad decyzjami podejmowanymi z udziałem AI
- Istniejące oceny DPIA dla systemów przetwarzających dane osobowe
Trzy scenariusze biznesowe pokazują, jak różnie wygląda punkt startowy. Firma produkcyjna stosująca AI do predykcji awarii maszyn działa prawdopodobnie poza Załącznikiem III – jej obowiązki są minimalne. Firma IT dostarczająca system do scoringu kredytowego bankom jest dostawcą systemu wysokiego ryzyka i musi przeprowadzić pełną ocenę zgodności. Zagraniczny inwestor wdrażający system biometrii w polskim oddziale musi sprawdzić, czy zakaz stosowania biometrii w przestrzeni publicznej z art. 5 AI Act go nie dotyczy.
Uważamy, że bezpieczniejszym rozwiązaniem jest przeprowadzenie wstępnej klasyfikacji ryzyka już teraz – przed formalnym audytem – żeby nie odkrywać w ostatniej chwili, że system wymaga gruntownej przebudowy. 12 miesięcy to za mało, jeśli zaczyna się od zera.
Konkretna sytuacja Państwa firmy wymaga oceny, zanim nieodwracalne decyzje techniczne i kontraktowe zostaną podjęte. Brak klasyfikacji systemu AI przed wdrożeniem zamyka drogę do certyfikacji i uniemożliwia legalne stosowanie systemu po 2 sierpnia 2026 roku.
Jeśli Państwa spółka wdrożyła lub planuje wdrożyć system AI w obszarze zatrudnienia, finansów lub infrastruktury krytycznej – przeprowadzimy klasyfikację ryzyka, przygotujemy dokumentację techniczną i opracujemy plan zgodności z AI Act i RODO: info@kordeckipartners.com.
Często zadawane pytania
P: Czy każdy system AI stosowany w firmie jest systemem wysokiego ryzyka?
O: Nie. Rozporządzenie (UE) 2024/1689 przewiduje cztery poziomy ryzyka: niedopuszczalne (zakaz stosowania), wysokie, ograniczone i minimalne. Większość narzędzi AI stosowanych w biznesie – chatboty obsługi klienta, systemy rekomendacji produktów, narzędzia do analizy danych – należy do kategorii niskiego lub ograniczonego ryzyka. Systemy wysokiego ryzyka to te wymienione w Załączniku III, obejmującym zatrudnienie, scoring kredytowy, biometrię i kilka innych obszarów. Konieczna jest indywidualna ocena każdego systemu.
P: Ile kosztuje i jak długo trwa audyt zgodności z AI Act dla systemu wysokiego ryzyka?
O: Czas i koszt zależą od stopnia złożoności systemu oraz stanu istniejącej dokumentacji. Wstępna klasyfikacja ryzyka zajmuje zazwyczaj 2–4 tygodnie. Pełna ocena zgodności dla systemu wysokiego ryzyka, obejmująca dokumentację techniczną, analizę danych treningowych i opracowanie systemu zarządzania ryzykiem, trwa od 3 do 6 miesięcy. Firmy, które dysponują aktualną oceną skutków dla ochrony danych (DPIA) zgodną z RODO, skracają ten czas o około 30%. Warto zacząć jak najwcześniej – termin 2 sierpnia 2026 roku jest nieprzekraczalny.
P: Czy kupując gotowy system AI od zewnętrznego dostawcy, firma jest zwolniona z obowiązków AI Act?
O: To częste nieporozumienie. Zakup gotowego rozwiązania nie zwalnia wdrażającego z własnych obowiązków wynikających z artykułu 26 AI Act. Wdrażający odpowiada za kontekst użycia systemu, zapewnienie nadzoru ludzkiego, informowanie pracowników i nieprzekraczanie przeznaczenia systemu określonego przez dostawcę. Umowa z dostawcą powinna precyzyjnie regulować podział obowiązków i gwarancje zgodności – bez takich postanowień wdrażający ryzykuje pełną odpowiedzialnością w przypadku kontroli.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do regulacji AI, ochrony danych i prawa własności intelektualnej. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Autor: Jakub Górski specjalizuje się w prawie własności intelektualnej, technologiach i regulacjach AI.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.