Firma technologiczna z Mazowsza wdraża system rekrutacyjny oparty na sztucznej inteligencji. Narzędzie automatycznie filtruje CV, ocenia kandydatów i generuje rekomendacje dla działu HR. Brzmi jak standardowa digitalizacja procesów. Tymczasem – pod AI Act – taki system może być systemem wysokiego ryzyka, wymagającym oceny zgodności, rejestracji w unijnej bazie danych i spełnienia dziesiątek wymogów technicznych przed wdrożeniem.
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689, znane jako AI Act, weszło w życie 1 sierpnia 2024 roku i wprowadza czterostopniową klasyfikację systemów sztucznej inteligencji. Systemy wysokiego ryzyka – zdefiniowane w Załączniku III do Rozporządzenia – podlegają obowiązkowej ocenie zgodności przed wprowadzeniem na rynek. Przepisy dotyczące tej kategorii stosuje się od 2 sierpnia 2026 roku.
Ten artykuł wyjaśnia, jak prawidłowo zakwalifikować system AI, jakie obowiązki ciążą na dostawcy i operatorze, gdzie najczęściej popełniane są błędy w procesie klasyfikacji oraz jak AI Act łączy się z RODO, DORA i innymi regulacjami unijnymi. Każda z tych kwestii ma bezpośrednie przełożenie na odpowiedzialność prawną i finansową Państwa firmy.
Czym jest system wysokiego ryzyka w rozumieniu AI Act?
AI Act dzieli systemy AI na cztery kategorie: zakazane, wysokiego ryzyka, wymagające przejrzystości oraz pozostałe. Kategoria wysokiego ryzyka jest najobszerniejsza i najdotkliwsza operacyjnie. Rozporządzenie (UE) 2024/1689 definiuje ją dwutorowo – przez zastosowanie w obszarach krytycznych (Załącznik II) oraz przez wpis do Załącznika III.
Załącznik III wymienia osiem obszarów zastosowania. Obejmują one m.in. biometryczną identyfikację osób, zarządzanie infrastrukturą krytyczną, systemy edukacyjne, rekrutację i zarządzanie pracownikami, dostęp do usług publicznych, egzekwowanie prawa, zarządzanie migracją i azylem, a także wymiar sprawiedliwości. Każdy system AI działający w tych obszarach – o ile wywiera istotny wpływ na prawa osób fizycznych – jest systemem wysokiego ryzyka. Próg „istotnego wpływu" bywa sporny, ale organy nadzoru interpretują go szeroko.
Kluczowa jest tu rola Urzędu ds. AI (AI Office) przy Komisji Europejskiej, który wydaje wytyczne interpretacyjne. W Polsce nadzór nad stosowaniem AI Act sprawować będzie wyznaczony organ krajowy – aktualnie trwają prace legislacyjne nad jego powołaniem. Do czasu ustanowienia krajowego organu nadzoru, pewne kompetencje przejściowe pozostają przy Prezesie Urzędu Ochrony Danych Osobowych (UODO), szczególnie w zakresie systemów przetwarzających dane osobowe.
Warto pamiętać o jednym wyjątku. Systemy AI, które same w sobie spełniałyby kryteria Załącznika III, ale są jedynie komponentami produktów już objętych sektorowymi regulacjami unijnymi (np. wyrobami medycznymi), podlegają przepisom tych regulacji sektorowych – z modyfikacjami wynikającymi z AI Act. To ważna distinkcja przy ocenie systemów diagnostycznych w ochronie zdrowia.
Jakie obowiązki ciążą na dostawcy i operatorze systemu wysokiego ryzyka?
AI Act rozróżnia dwie kluczowe role: dostawcę (provider) – podmiot wprowadzający system AI na rynek – oraz operatora (deployer) – podmiot używający systemu w działalności. Podział ten ma fundamentalne znaczenie dla alokacji obowiązków compliance. Dostawca ponosi odpowiedzialność za projekt i zgodność techniczną. Operator odpowiada za prawidłowe wdrożenie i nadzór w środowisku produkcyjnym. Obowiązki obu ról częściowo się nakładają.
Dostawca systemu wysokiego ryzyka musi – przed wprowadzeniem produktu na rynek UE – wykonać pełną ocenę zgodności. Obejmuje ona: analizę ryzyka i zarządzanie nim (przez cały cykl życia systemu), dokumentację techniczną, rejestrację w unijnej bazie danych AI, wdrożenie systemu zarządzania jakością oraz oznakowanie CE. Termin wdrożenia tych obowiązków to 2 sierpnia 2026 roku. Naruszenie grozi karą do 30 000 000 EUR lub 6% globalnego rocznego obrotu – w zależności od tego, która kwota jest wyższa.
Operator ma własny zestaw wymagań. Musi zapewnić: odpowiednie instrukcje obsługi, nadzór ludzki nad działaniem systemu, monitorowanie wyników i rejestrowanie zdarzeń, a w przypadku systemów wpływających na prawa osób fizycznych – przeprowadzenie oceny wpływu na prawa podstawowe. Ta ostatnia procedura jest novum w prawie unijnym i wymaga współpracy z działem prawnym oraz specjalistami ds. zgodności.
Szczególnym przypadkiem są operatorzy będący jednocześnie organami publicznymi lub podmiotami świadczącymi usługi publiczne. Dla nich AI Act przewiduje dodatkowe obowiązki rejestracyjne. Systemy AI używane przez administrację publiczną w Polsce – np. do oceny wniosków o świadczenia – muszą być zarejestrowane w unijnej bazie danych jeszcze przed uruchomieniem.
Uważamy, że bezpieczniejszym rozwiązaniem jest przyjęcie przez operatora podejścia „dostawca-plus" – stosowanie wymogów dostawcy nawet tam, gdzie prawo tego formalnie nie wymaga. Praktyka pokazuje, że organy nadzoru oceniają nie tylko literalne spełnienie przepisów, ale też ogólną kulturę zarządzania ryzykiem AI w organizacji.
Konkretna sytuacja Państwa firmy – czy jesteście dostawcą, operatorem, czy pełnicie obie role jednocześnie – determinuje zakres i koszt wdrożenia compliance. Błędna klasyfikacja roli może oznaczać nieodwracalne luki w dokumentacji. Jeśli Państwa spółka wdraża lub planuje wdrożyć system AI w obszarach wymienionych w Załączniku III – przeprowadzimy audyt klasyfikacyjny i ocenę zgodności: info@kordeckipartners.com.
Jak AI Act łączy się z RODO, DORA i innymi regulacjami?
Systemy AI wysokiego ryzyka rzadko działają w izolacji regulacyjnej. W praktyce większość z nich przetwarza dane osobowe, co natychmiast aktywuje RODO – Rozporządzenie (UE) 2016/679. Ocena wpływu na prawa podstawowe wymagana przez AI Act i ocena skutków dla ochrony danych (DPIA) z RODO to dwie odrębne procedury. Muszą być przeprowadzone osobno, choć mogą być skoordynowane. UODO jako organ nadzorczy RODO w Polsce będzie uprawniony do kontroli systemów AI pod kątem zgodności z przepisami o ochronie danych.
Dla sektora finansowego kluczowe jest nakładanie się AI Act z DORA – Rozporządzeniem (UE) 2022/2554, obowiązującym od 17 stycznia 2025 roku. Instytucje finansowe używające systemów AI do scoringu kredytowego, zarządzania ryzykiem operacyjnym czy wykrywania oszustw muszą spełnić wymagania obu aktów jednocześnie. DORA wymaga zarządzania ryzykiem ICT i raportowania incydentów do KNF. AI Act nakłada dodatkowe wymogi na systemy AI o wysokim ryzyku. Więcej o terminach i zakresie DORA znajdą Państwo w naszej analizie: DORA – kto musi wdrożyć i do kiedy.
Systemy AI używane w procesach kadrowych – rekrutacja, ocena wydajności, zarządzanie czasem pracy – są systemami wysokiego ryzyka w rozumieniu Załącznika III. Jednocześnie podlegają przepisom Kodeksu pracy i regulacjom o ochronie danych pracowniczych. Operator takiego systemu w Polsce musi uzgodnić jego wdrożenie z zakładową organizacją związkową lub poinformować pracowników – w zależności od struktury zatrudnienia.
Interesujący przypadek stanowią systemy AI w obszarze własności intelektualnej – np. narzędzia do automatycznego monitoringu naruszeń znaku towarowego lub generowania treści chronionych prawem autorskim. Choć nie wpadają automatycznie do kategorii wysokiego ryzyka, mogą podlegać obowiązkom przejrzystości z AI Act oraz regulacjom dotyczącym ochrony danych. Kancelaria IP Warszawa obsługująca klientów w tym obszarze musi łączyć kompetencje z zakresu AI Act i prawa własności intelektualnej.
Dodatkową warstwę tworzy projektowana polska ustawa o krajowym systemie cyberbezpieczeństwa (KSC), implementująca dyrektywę NIS2. Podmioty kluczowe i ważne, które używają systemów AI do zarządzania infrastrukturą, mogą podlegać jednocześnie NIS2, DORA (jeśli są instytucjami finansowymi) i AI Act. Zarządzanie tymi trzema zbiorami wymagań wymaga dedykowanego programu compliance, a nie jednorazowego audytu.
Gdzie najczęściej popełniane są błędy przy klasyfikacji systemów AI?
Błąd pierwszy – i najczęstszy – to założenie, że system nie jest systemem AI w rozumieniu Rozporządzenia. AI Act definiuje system AI szeroko: to maszynowy system zaprojektowany do działania z różnymi poziomami autonomii, który może generować wyniki takie jak prognozy, rekomendacje, decyzje lub treści wpływające na środowiska fizyczne i wirtualne. Definicja obejmuje systemy uczenia maszynowego, ale też klasyczne algorytmy decyzyjne oparte na regułach – jeśli wykazują pewien poziom autonomii.
Błąd drugi to mylenie przeznaczenia z faktycznym zastosowaniem. System zaprojektowany jako narzędzie analityczne dla HR może być faktycznie używany do automatycznego podejmowania decyzji rekrutacyjnych. AI Act ocenia rzeczywiste zastosowanie, nie deklaracje producenta. Spółka z Podkarpacia używała w 2024 roku oprogramowania do „wspomagania" decyzji o awansach – w praktyce decyzje były generowane automatycznie bez ludzkiego przeglądu. Taki scenariusz to klasyczny przypadek niezgłoszonego systemu wysokiego ryzyka.
Błąd trzeci dotyczy łańcucha dostaw. Wiele firm integruje gotowe modele AI od zewnętrznych dostawców (np. modele językowe przez API). Jeśli firma dostosowuje taki model do własnych celów i wprowadza go na rynek jako własny produkt, staje się dostawcą w rozumieniu AI Act – z pełnym zakresem obowiązków. Brak świadomości tej roli prowadzi do sytuacji, w której podmiot ponosi odpowiedzialność dostawcy, nie mając wdrożonego żadnego systemu zarządzania jakością wymaganego przez Rozporządzenie.
Błąd czwarty to niedoszacowanie kosztów oceny zgodności. Pełna dokumentacja techniczna dla systemu wysokiego ryzyka obejmuje opis architektury, dane treningowe, metryki wydajności, analizę ryzyka i plany monitorowania. Przygotowanie tej dokumentacji dla złożonego systemu może zająć od 3 do 6 miesięcy i wymagać zaangażowania zarówno zespołu technicznego, jak i prawnego. Firmy, które zaczną ten proces w lipcu 2026 roku, nie zdążą przed terminem.
Poniżej lista najczęstszych pułapek klasyfikacyjnych:
- Błędne założenie, że system jest wyłącznie „narzędziem wspomagającym" – bez analizy faktycznej autonomii decyzyjnej
- Pominięcie roli operatora przy zakupie gotowego systemu od zewnętrznego dostawcy
- Brak koordynacji między działem IT, prawnym i HR przy wdrożeniu systemów kadrowych
- Nieuwzględnienie zmian zastosowania systemu w trakcie jego eksploatacji (tzw. scope creep)
- Pomijanie obowiązków rejestracyjnych w unijnej bazie danych AI przed uruchomieniem systemu
Jak przygotować organizację do klasyfikacji i compliance AI Act?
Punkt wyjścia to inwentaryzacja systemów AI. Organizacja musi zidentyfikować wszystkie systemy AI używane lub planowane do wdrożenia – zarówno rozwiązania własne, jak i zakupione od dostawców zewnętrznych. Inwentaryzacja powinna objąć systemy produkcyjne, pilotażowe i te w fazie testowej. Doświadczenie z projektów wdrożeniowych pokazuje, że średniej wielkości firma z Małopolski ma zazwyczaj od 8 do 15 systemów spełniających definicję AI Act – z czego połowa wymaga dalszej analizy klasyfikacyjnej.
Drugi krok to ocena klasyfikacyjna każdego zidentyfikowanego systemu. Należy odpowiedzieć na cztery pytania: (1) Czy system wchodzi w zakres definicji AI z Rozporządzenia? (2) Czy zastosowanie odpowiada obszarom z Załącznika III? (3) Jaka jest rola organizacji – dostawca, operator, czy obie? (4) Czy istnieją wyłączenia lub modyfikacje wynikające z regulacji sektorowych? Wyniki tej analizy powinny być udokumentowane i regularnie aktualizowane.
Trzeci krok to budowa systemu zarządzania ryzykiem AI. Dla systemów wysokiego ryzyka Rozporządzenie wymaga ciągłego zarządzania ryzykiem – nie jednorazowego audytu. System zarządzania musi obejmować identyfikację ryzyk przez cały cykl życia, procedury testowania i walidacji, mechanizmy monitorowania po wdrożeniu oraz plany działania w razie incydentów. Warto zintegrować ten system z istniejącymi strukturami zarządzania ryzykiem IT i compliance.
Poniżej praktyczna lista kontrolna dla organizacji przygotowujących się do compliance AI Act:
- Inwentaryzacja wszystkich systemów AI (własnych i zewnętrznych) – termin: jak najszybciej, najpóźniej Q4 2025
- Ocena klasyfikacyjna każdego systemu z dokumentacją uzasadnienia
- Identyfikacja roli organizacji (dostawca/operator) dla każdego systemu
- Przegląd umów z dostawcami zewnętrznymi pod kątem alokacji obowiązków AI Act
- Wdrożenie lub aktualizacja systemu zarządzania jakością dla systemów wysokiego ryzyka
Kwestia umów z dostawcami zewnętrznymi zasługuje na osobną uwagę. AI Act wymaga, aby dostawca przekazał operatorowi kompletną dokumentację techniczną i instrukcje obsługi. Jeśli umowa z dostawcą tego nie gwarantuje, operator nie będzie w stanie spełnić własnych obowiązków compliance. Przegląd i renegocjacja umów z dostawcami systemów AI to jeden z pilniejszych zadań prawnych na 2025 rok. Analizę podatkowych aspektów transformacji cyfrowej znajdą Państwo w naszym opracowaniu: JPK_CIT – co przygotować przed terminem.
Konkretna sytuacja Państwa organizacji – liczba systemów AI, role w łańcuchu dostaw, sektory działalności – determinuje zakres i harmonogram działań compliance. Pominięcie etapu klasyfikacji przed 2 sierpnia 2026 roku zamyka drogę do legalnego utrzymania systemów wysokiego ryzyka w produkcji. Jeśli Państwa firma używa lub planuje wdrożyć systemy AI w obszarach wymienionych w Załączniku III – przeprowadzimy inwentaryzację, klasyfikację i ocenę zgodności: info@kordeckipartners.com.
Często zadawane pytania
P: Czy każdy system AI używany w firmie musi przejść ocenę zgodności?
O: Nie. AI Act przewiduje obowiązek oceny zgodności wyłącznie dla systemów wysokiego ryzyka, czyli tych objętych Załącznikiem III do Rozporządzenia (UE) 2024/1689. Systemy AI niskiego ryzyka – np. filtry spamu czy narzędzia do rekomendacji treści – podlegają jedynie obowiązkom przejrzystości lub nie podlegają żadnym szczególnym wymogom. Ocena klasyfikacyjna jest jednak obowiązkowa dla każdej organizacji, która chce ustalić, do której kategorii należą jej systemy.
P: Ile kosztuje i ile trwa wdrożenie compliance dla systemu wysokiego ryzyka?
O: Koszt i czas zależą od złożoności systemu, roli organizacji i stanu istniejącej dokumentacji technicznej. Dla systemu o średniej złożoności (np. narzędzia rekrutacyjnego) pełna ocena zgodności – obejmująca dokumentację techniczną, analizę ryzyka i rejestrację w unijnej bazie danych – zajmuje od 3 do 6 miesięcy. Organizacje, które mają już wdrożone systemy zarządzania jakością (np. ISO 9001), mogą skrócić ten czas o 30–40%. Wdrożenie należy rozpocząć nie później niż na początku 2026 roku, by zdążyć przed terminem 2 sierpnia 2026 roku.
P: Czy system AI kupiony od zewnętrznego dostawcy zwalnia operatora z obowiązków compliance?
O: To powszechne nieporozumienie. Zakup gotowego systemu AI od zewnętrznego dostawcy nie zwalnia operatora z własnych obowiązków wynikających z Rozporządzenia (UE) 2024/1689. Operator jest zobowiązany m.in. do zapewnienia nadzoru ludzkiego, prowadzenia rejestrów zdarzeń i – w przypadku organów publicznych – rejestracji systemu w unijnej bazie danych. Dostawca odpowiada za projekt i dokumentację techniczną, ale operator odpowiada za prawidłowe wdrożenie i eksploatację systemu w konkretnym środowisku organizacyjnym.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do regulacji AI Act, DORA, RODO i prawa własności intelektualnej. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.