Firma fintech z Warszawy wdraża system scoringu kredytowego oparty na uczeniu maszynowym. Prawnik zewnętrzny sygnalizuje, że produkt może podlegać AI Act. Zespół techniczny jest przekonany, że to tylko „narzędzie analityczne". Tymczasem Rozporządzenie (UE) 2024/1689 weszło w życie 1 sierpnia 2024 r. – i nie czeka na wewnętrzne klasyfikacje.
AI Act – Rozporządzenie (UE) 2024/1689 – wprowadza obowiązkową klasyfikację systemów sztucznej inteligencji według poziomu ryzyka. Systemy wysokiego ryzyka podlegają ocenie zgodności przed wprowadzeniem na rynek. Dla zastosowań w sektorze finansowym i kadrowym przepisy zaczęły obowiązywać od 2 sierpnia 2025 roku, a pełne stosowanie obejmuje rok 2026 i 2027.
Poniższy przewodnik omawia: jak prawidłowo sklasyfikować system AI, jakie obowiązki nakłada klasyfikacja wysokiego ryzyka, gdzie najczęściej popełnia się błędy – i co zrobić, zanim regulator zacznie pytać. Omawiamy też przecięcia z DORA, RODO oraz polskim prawem własności intelektualnej.
Jak działa klasyfikacja ryzyka w AI Act?
AI Act dzieli systemy AI na cztery poziomy: niedopuszczalne, wysokie ryzyko, ograniczone ryzyko i minimalne ryzyko. Systemy zakazane – takie jak social scoring przez władze publiczne – są wykluczone z rynku UE bezwarunkowo. Wszystkie pozostałe mogą funkcjonować, ale każdy poziom niesie inne obowiązki.
Systemy wysokiego ryzyka wymienione są w Załączniku III do rozporządzenia. Lista obejmuje osiem obszarów: infrastrukturę krytyczną, edukację, zatrudnienie i zarządzanie pracownikami, dostęp do usług publicznych i prywatnych, egzekwowanie prawa, zarządzanie migracją i granicami, wymiar sprawiedliwości oraz demokratyczne procesy. W praktyce – wiele firm o tym zapomina – AI używane przy rekrutacji pracowników lub przy ocenie zdolności kredytowej wchodzi właśnie w ten zakres.
Organ nadzorczy w Polsce to KNF dla sektora finansowego i UODO w zakresie ochrony danych. Krajowy system nadzoru nad AI dopiero się kształtuje, ale Komisja Europejska nie czeka na krajowe struktury. Pierwsze decyzje egzekucyjne mogą pojawić się już w 2026 r.
Kluczowy test klasyfikacyjny to pytanie o przeznaczenie. Nie liczy się nazwa produktu ani wewnętrzna etykieta. Liczy się funkcja: czy system podejmuje lub istotnie wpływa na decyzje dotyczące osób fizycznych w obszarach z Załącznika III? Jeśli tak – klasyfikacja wysokiego ryzyka jest niemal pewna.
Które systemy AI są systemami wysokiego ryzyka w Polsce?
Polska gospodarka intensywnie wdraża AI w trzech obszarach szczególnie wrażliwych z perspektywy AI Act: fintech (scoring, fraud detection), HR (systemy rekrutacyjne, monitoring pracowniczy) oraz sektor publiczny (automatyzacja decyzji administracyjnych). Każdy z tych obszarów generuje własne ryzyka klasyfikacyjne.
W sektorze finansowym system scoringu kredytowego automatyzujący lub istotnie wspomagający decyzję o przyznaniu kredytu konsumenckiego spełnia definicję systemu wysokiego ryzyka. Dotyczy to zarówno dostawców technologii, jak i instytucji finansowych wdrażających gotowe rozwiązania. Warto pamiętać, że DORA – Rozporządzenie (UE) 2022/2554, obowiązujące od 17 stycznia 2025 r. – nakłada równoległe obowiązki w zakresie zarządzania ryzykiem ICT, w tym ryzykiem modeli AI.
Przykład z praktyki: spółka HR-tech z Trójmiasta wdrożyła wiosną 2025 r. narzędzie do automatycznego rankingowania CV. Narzędzie zostało sklasyfikowane przez doradcę jako system wysokiego ryzyka. Klient musiał przeprowadzić pełną ocenę zgodności w ciągu 90 dni od uruchomienia – zamiast planowanych 30. Koszt opóźnienia: wstrzymanie sprzedaży licencji na 3 miesiące.
W obszarze HR szczególnie ryzykowne są: systemy automatycznego odrzucania kandydatów, narzędzia do oceny wydajności pracowników oraz monitoring biometryczny. Każde z tych zastosowań trafia bezpośrednio do Załącznika III pkt 4 rozporządzenia. Pracodawca wdrażający takie rozwiązanie jest operatorem systemu wysokiego ryzyka – niezależnie od tego, kto jest jego dostawcą.
Jakie obowiązki nakłada klasyfikacja wysokiego ryzyka?
Klasyfikacja jako system wysokiego ryzyka uruchamia sześć kluczowych obowiązków. Dostawca musi wdrożyć system zarządzania ryzykiem, zapewnić wysoką jakość danych treningowych, prowadzić dokumentację techniczną, zapewnić przejrzystość i możliwość nadzoru ludzkiego, wdrożyć środki cyberbezpieczeństwa oraz przeprowadzić ocenę zgodności. Rejestracja w unijnej bazie danych AI jest obowiązkowa przed wprowadzeniem systemu na rynek.
Ocena zgodności może mieć dwie ścieżki. Pierwsza – samoocena (self-assessment) – jest dostępna dla większości systemów z Załącznika III. Druga – ocena przez jednostkę notyfikowaną – jest wymagana dla systemów biometrycznych i wybranych zastosowań infrastruktury krytycznej. Dla polskich firm technologicznych pierwsza ścieżka jest najczęściej dostępna, ale wymaga rzetelnej dokumentacji.
RODO – Rozporządzenie (UE) 2016/679 – krzyżuje się z AI Act w kilku punktach. Ocena skutków dla ochrony danych (DPIA) wymagana przez RODO i ocena zgodności AI Act muszą być ze sobą spójne. UODO jako organ nadzorczy RODO może badać systemy AI przetwarzające dane osobowe. W praktyce – jeden system może podlegać dwóm równoległym postępowaniom nadzorczym.
Terminy są nieelastyczne. Dla systemów wysokiego ryzyka w sektorze zatrudnienia i zarządzania pracownikami pełne obowiązki obowiązują od 2 sierpnia 2025 r. Dla pozostałych systemów z Załącznika III – od 2 sierpnia 2026 r. Kary za naruszenia mogą sięgać 30 000 000 EUR lub 6% globalnego obrotu rocznego – zależnie od tego, która kwota jest wyższa.
Gdzie przedsiębiorcy popełniają błędy przy klasyfikacji?
Błąd pierwszy: mylenie przeznaczenia z funkcją. Firma deklaruje, że jej system AI „wspiera" decyzję, a nie ją podejmuje. AI Act nie wymaga pełnej automatyzacji. Wystarczy, że system „istotnie wpływa" na wynik decyzji dotyczącej osoby fizycznej. Granica jest celowo rozmyta – i organy nadzorcze będą ją interpretować szeroko.
Błąd drugi: ignorowanie roli operatora. Wielu klientów zakłada, że odpowiedzialność spoczywa wyłącznie na dostawcy systemu. Tymczasem AI Act rozróżnia dostawcę (provider) i operatora (deployer). Operator wdrażający gotowy system AI w kontekście wysokiego ryzyka przejmuje własne obowiązki – w tym obowiązek przeprowadzenia oceny wpływu na prawa podstawowe przed wdrożeniem.
Przykład z praktyki: producent z Małopolski wdrożył latem 2025 r. gotowy system AI do planowania harmonogramów pracy. Dostawca zapewniał, że produkt jest „certyfikowany". Certyfikacja obejmowała jednak wyłącznie standard ISO, nie ocenę zgodności z AI Act. Operator musiał samodzielnie przeprowadzić ocenę – co zajęło 6 tygodni i opóźniło wdrożenie systemu w czterech zakładach.
Błąd trzeci: brak dokumentacji. AI Act wymaga prowadzenia dokumentacji technicznej przez cały cykl życia systemu. Firmy, które nie mają procedur zarządzania wersjami modeli AI ani rejestrów decyzji treningowych, nie będą w stanie wykazać zgodności. To zamyka drogę do legalnej sprzedaży na rynku UE.
Błąd czwarty: pomijanie łańcucha dostaw. System AI może być zbudowany z kilku komponentów różnych dostawców. Każdy komponent może samodzielnie podlegać klasyfikacji. Integracja komponentów nie „rozmywa" odpowiedzialności – przeciwnie, może ją multiplikować.
Jak AI Act przecina się z DORA, RODO i prawem własności intelektualnej?
Dla instytucji finansowych AI Act i DORA nakładają się na siebie bezpośrednio. DORA wymaga zarządzania ryzykiem ICT, w tym ryzykiem systemów AI, od 17 stycznia 2025 r. Jednocześnie AI Act nakłada własne wymagania dotyczące zarządzania ryzykiem modeli. Firmy z sektora finansowego muszą zbudować jeden zintegrowany system zarządzania ryzykiem, który spełni oba rozporządzenia. KNF oczekuje raportowania incydentów ICT – w tym tych związanych z błędami modeli AI.
RODO i AI Act tworzą obowiązek podwójnej dokumentacji przy każdym systemie przetwarzającym dane osobowe. DPIA pod RODO i ocena zgodności pod AI Act to dwa odrębne dokumenty. Mogą się jednak wzajemnie zasilać – dobrze przygotowana DPIA znacznie skraca czas oceny zgodności AI Act. UODO może żądać obu dokumentów jednocześnie.
Prawo własności intelektualnej jest często pomijane w dyskusjach o AI Act. Tymczasem ochrona oprogramowania – w tym modeli AI – podlega prawu autorskiemu. Szczegółowe omówienie zasad ochrony kodu i algorytmów w polskim prawie znajdą Państwo w artykule ochrona oprogramowania – prawa autorskie w polskim prawie. Znak towarowy i ochrona danych mogą być równie istotne, gdy firma buduje markę wokół systemu AI.
Dla zagranicznych inwestorów wchodzących na rynek polski kwestia klasyfikacji jest szczególnie złożona. System AI opracowany poza UE, ale wdrożony w Polsce, podlega AI Act w pełnym zakresie. Dostawca spoza UE musi wyznaczyć upoważnionego przedstawiciela w Unii. Brak przedstawiciela to samodzielne naruszenie – niezależnie od kwestii klasyfikacji.
Przedsiębiorcy rozważający restrukturyzację spółki technologicznej powinni uwzględnić klasyfikację systemów AI jako element oceny aktywów. Zagadnienia restrukturyzacji i dostępnych trybów postępowania omawia artykuł restrukturyzacja zapobiegawcza – cztery dostępne tryby. Systemy wysokiego ryzyka wymagające kosztownej oceny zgodności mogą istotnie wpłynąć na wycenę spółki w procesie restrukturyzacji lub sprzedaży.
Checklista zgodności: co przygotować przed oceną AI Act?
Ocena zgodności z AI Act wymaga dokumentacji, której zebranie zajmuje od 4 do 12 tygodni. Im wcześniej firma rozpocznie ten proces, tym mniejsze ryzyko opóźnienia w komercjalizacji produktu. Poniższa lista obejmuje minimum wymagane dla systemów wysokiego ryzyka.
- Dokumentacja techniczna systemu AI – opis architektury, danych treningowych, metryk wydajności i limitów systemu zgodnie z Załącznikiem IV do AI Act.
- Rejestr zarządzania ryzykiem – udokumentowany proces identyfikacji, oceny i mitygacji ryzyk przez cały cykl życia systemu.
- Procedura nadzoru ludzkiego – opis mechanizmów umożliwiających operatorowi interwencję, korektę lub wyłączenie systemu.
- DPIA (jeśli system przetwarza dane osobowe) – spójna z oceną zgodności AI Act, zatwierdzona przez IOD lub zewnętrznego doradcę RODO.
- Rejestracja w unijnej bazie AI – wpis w bazie prowadzonej przez Komisję Europejską przed wprowadzeniem systemu na rynek lub do użytku.
Firmy, które klasyfikują system AI po raz pierwszy, często odkrywają luki w dokumentacji istniejących procesów. Luka w dokumentacji danych treningowych to jeden z najczęstszych powodów, dla których ocena zgodności trwa dłużej niż planowano. Warto zacząć od audytu wewnętrznego, zanim zaangażuje się zewnętrznych doradców.
Decyzja o trybie oceny – samoocena czy jednostka notyfikowana – powinna być podjęta na etapie projektowania produktu. Zmiana trybu w trakcie procesu wydłuża go o minimum 6–8 tygodni i generuje dodatkowe koszty dokumentacyjne.
Konkretna sytuacja Państwa firmy – rodzaj systemu AI, rola w łańcuchu wartości (dostawca czy operator), sektor zastosowania – determinuje zakres obowiązków w sposób nieodwracalny od momentu wdrożenia. Opóźnienie w klasyfikacji nie zawiesza biegu terminów regulacyjnych.
Jeśli Państwa spółka wdraża lub planuje wdrożyć system AI w obszarach objętych Załącznikiem III AI Act – przeprowadzimy klasyfikację ryzyka, przegląd dokumentacji technicznej i ocenę zgodności z AI Act, DORA i RODO: info@kordeckipartners.com.
Często zadawane pytania
P: Czy każdy system AI używany w firmie wymaga oceny zgodności z AI Act?
O: Nie. Ocena zgodności jest obowiązkowa wyłącznie dla systemów wysokiego ryzyka wymienionych w Załączniku III do Rozporządzenia (UE) 2024/1689 oraz dla systemów ogólnego przeznaczenia o dużej mocy obliczeniowej (GPAI). Systemy o minimalnym ryzyku – na przykład filtry spamu czy proste automatyzacje – nie wymagają formalnej oceny. Granicą jest funkcja systemu i obszar jego zastosowania, nie technologia ani etykieta handlowa.
P: Ile kosztuje ocena zgodności systemu wysokiego ryzyka i jak długo trwa?
O: Czas trwania oceny zgodności metodą samooceny wynosi od 6 do 16 tygodni, zależnie od kompletności istniejącej dokumentacji. Koszt zewnętrznego wsparcia prawno-technicznego dla typowego systemu HR lub finansowego mieści się w przedziale od 20 000 do 80 000 PLN. Ocena przez jednostkę notyfikowaną (wymagana dla systemów biometrycznych) jest droższa i trwa dłużej – zwykle powyżej 6 miesięcy. Warto planować ten proces równolegle z rozwojem produktu, nie po jego zakończeniu.
P: Czy firma, która kupuje gotowy system AI od zewnętrznego dostawcy, jest zwolniona z obowiązków AI Act?
O: To jeden z najczęstszych błędów. Operator (deployer) wdrażający gotowy system AI w kontekście wysokiego ryzyka ma własne obowiązki niezależne od dostawcy. Obejmują one między innymi obowiązek przeprowadzenia oceny wpływu na prawa podstawowe, monitorowania systemu w trakcie użytkowania oraz zgłaszania poważnych incydentów. Certyfikat dostawcy nie zwalnia operatora z odpowiedzialności regulacyjnej.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do regulacji AI, prawa własności intelektualnej i technologii. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Autorem artykułu jest Jakub Górski, adwokat specjalizujący się w prawie własności intelektualnej, technologiach i regulacjach AI Act.
Data publikacji: 23.02.2026
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.