Systemy AI wysokiego ryzyka w EU AI Act: Przewodnik klasyfikacji dla członków rad
Członkowie rad nadzorczych, słysząc określenie „system AI wysokiego ryzyka”, reagują na jeden z dwóch sposobów. Jedni zakładają, że klasyfikacja obejmuje każdy system AI w organizacji, i uruchamiają nieproporcjonalne wydatki na zgodność narzędzi, wobec których regulacja nie stawia żadnych wymogów. Drudzy zakładają, że systemy wysokiego ryzyka dotyczą wyłącznie organów ścigania i nadzoru biometrycznego, a nie ich oprogramowania HR ani modułu scoringu kredytowego. I nie podejmują żadnych działań.
Obie reakcje są błędne. System klasyfikacji ryzyka w EU AI Act (Rozporządzenie (UE) 2024/1689) jest precyzyjny, udokumentowany i poznawalny. Rada nadzorcza, która go rozumie, może kierować zasoby governance tam, gdzie są wymagane, i unikać marnotrawstwa tam, gdzie nie są. Rada, która go nie rozumie, wyda za dużo na zgodność systemów minimalnego ryzyka, za mało na zgodność systemów wysokiego ryzyka. Albo jedno i drugie jednocześnie. Pytanie klasyfikacyjne (które z naszych systemów AI są wysokiego ryzyka?) to pierwsze pytanie governance, na które rada musi odpowiedzieć. Wszystko inne z niego wynika.
Niniejszy artykuł wyjaśnia klasyfikację ryzyka w Rozporządzeniu o AI w sposób, z którego członkowie rad mogą korzystać bez wykształcenia prawniczego. Mapuje osiem kategorii Załącznika III dotyczących systemów wysokiego ryzyka, przedstawia praktyczne drzewo decyzyjne do klasyfikacji portfela AI organizacji i identyfikuje, jakie obowiązki na poziomie rady uruchamia klasyfikacja jako system wysokiego ryzyka. Artykuł opiera się na tekście Rozporządzenia (UE) 2024/1689 oraz na Board AI Governance Evaluation Framework opracowanym przez The Thinking Company. Szerszy obraz obowiązków rad nadzorczych wynikających z Rozporządzenia o AI przedstawia artykuł EU AI Act Board Obligations: What Directors Must Know in 2026. Pełną metodologię oceny governance zawiera Board AI Governance Decision Framework.
Cztery poziomy ryzyka
EU AI Act klasyfikuje systemy AI w czterech poziomach ryzyka (niedopuszczalne, wysokie, ograniczone i minimalne), przy czym systemy wysokiego ryzyka ujęte w kategoriach Załącznika III podlegają ocenie zgodności, zarządzaniu ryzykiem, nadzorowi ludzkiemu i wymogom przejrzystości egzekwowalnym od sierpnia 2026 roku. Poniższa tabela podsumowuje każdy poziom i jego znaczenie dla governance na poziomie rady.
| Poziom ryzyka | Regulacyjne traktowanie | Przykłady | Działanie rady |
|---|---|---|---|
| Niedopuszczalne (art. 5) | Bezwzględny zakaz | Scoring społeczny przez organy władzy publicznej; zdalna identyfikacja biometryczna w czasie rzeczywistym w przestrzeniach publicznych (z ograniczonymi wyjątkami dla organów ścigania); AI manipulująca zachowaniem poza świadomością osoby; AI wykorzystująca podatność określonych grup; rozpoznawanie emocji w miejscu pracy i placówkach edukacyjnych; nieukierunkowane pozyskiwanie obrazów twarzy | Potwierdzić, że organizacja nie prowadzi zakazanych systemów. Zakazy obowiązują od lutego 2025 roku. |
| Wysokie (art. 6-7, Załącznik III) | Pełne wymogi zgodności: zarządzanie ryzykiem, governance danych, dokumentacja, nadzór ludzki, przejrzystość, dokładność i odporność | AI w screeningu kadr, scoringu kredytowym, identyfikacji biometrycznej, zarządzaniu infrastrukturą krytyczną, ocenie w edukacji, narzędziach organów ścigania | Główny obszar governance rady. Egzekwowalny od sierpnia 2026 roku. |
| Ograniczone (art. 50, 52) | Wyłącznie obowiązki przejrzystości | Chatboty (wymóg ujawnienia interakcji z AI); treści generowane przez AI (wymóg oznaczenia); rozpoznawanie emocji (wymóg ujawnienia, jeśli nie objęte zakazem); deepfake’i (wymóg oznaczenia) | Zweryfikować istnienie i wdrożenie polityk przejrzystości. |
| Minimalne | Brak szczególnych wymogów Rozporządzenia o AI | Wewnętrzne pulpity analityczne, personalizacja marketingu, predykcyjne utrzymanie ruchu (poza infrastrukturą krytyczną), przetwarzanie dokumentów | Standardowy nadzór korporacyjny. Brak działań wymaganych przez Rozporządzenie o AI. |
[Źródło: EU AI Act, Rozporządzenie (UE) 2024/1689, art. 5-7, 50, 52, Załącznik III]
Dla rad nadzorczych ciężar operacyjny spoczywa na poziomie wysokiego ryzyka. Systemy niedopuszczalne są binarne: są zakazane i rada potwierdza, że nie istnieją w organizacji. Systemy ograniczonego ryzyka wymagają środków przejrzystości, które zarząd może wdrożyć bez architektury governance na poziomie rady. Systemy minimalnego ryzyka nie wymagają nadzoru wynikającego z Rozporządzenia o AI. To systemy wysokiego ryzyka tworzą programy zgodności, obowiązki nadzorcze rady i ekspozycję finansową za nieprzestrzeganie przepisów.
Rozróżnienie: dostawca a podmiot wdrażający
Jedno rozróżnienie rada musi zrozumieć przed przystąpieniem do klasyfikacji: Rozporządzenie o AI przypisuje odmienne obowiązki dostawcom (organizacjom, które opracowują lub wprowadzają systemy AI do obrotu) i podmiotom wdrażającym (organizacjom, które korzystają z systemów AI pod własnym nadzorem). Dostawcy podlegają wymogom oceny zgodności, oznaczenia CE, systemów zarządzania jakością i monitorowania po wprowadzeniu do obrotu na mocy art. 16-25. Podmioty wdrażające podlegają wymogom nadzoru nad zarządzaniem ryzykiem, nadzoru ludzkiego, przejrzystości i prowadzenia dokumentacji na mocy art. 26-29.
Większość rad nadzorczych w polskich spółkach segmentu średniego stoi po stronie podmiotu wdrażającego. Organizacja nabyła lub licencjonuje system AI, a nie opracowała go. Obowiązki podmiotu wdrażającego są istotne: art. 26 wymaga środków technicznych i organizacyjnych, nadzoru ludzkiego sprawowanego przez kompetentne osoby, monitorowania działania systemu i zgłaszania poważnych incydentów. Art. 27 wymaga przeprowadzenia oceny wpływu na prawa podstawowe przed wdrożeniem określonych systemów wysokiego ryzyka. Obowiązki te wymagają struktur governance. Sięgają poziomu rady nadzorczej.
W polskim kontekście warto odnotować, że Ministerstwo Cyfryzacji zostało wyznaczone jako podmiot koordynujący wdrożenie Rozporządzenia o AI na poziomie krajowym. Polskie organy nadzoru rynku (których ostateczne wyznaczenie wymaga przepisów krajowych) uzyskają uprawnienia egzekucyjne wobec dostawców i podmiotów wdrażających na terytorium Rzeczypospolitej. Niezależnie od postępów legislacji krajowej, terminy wynikające z rozporządzenia unijnego obowiązują bezpośrednio.
Załącznik III: Osiem kategorii wysokiego ryzyka
Artykuł 6(2) Rozporządzenia o AI wyznacza systemy AI działające w określonych obszarach wyszczególnionych w Załączniku III jako systemy wysokiego ryzyka. Są to samodzielne systemy AI, nie komponenty produktów objętych inną unijną legislacją dotyczącą bezpieczeństwa produktów. Dla każdej kategorii poniżej wyjaśniamy, co się kwalifikuje, jakie jest prawdopodobieństwo, że polska organizacja segmentu średniego prowadzi taki system, i na co rada powinna zwracać uwagę.
1. Identyfikacja i kategoryzacja biometryczna
Co się kwalifikuje: Systemy zdalnej identyfikacji biometrycznej (nie w czasie rzeczywistym); systemy kategoryzacji biometrycznej klasyfikujące osoby według wrażliwych atrybutów (rasa, poglądy polityczne, przynależność związkowa, przekonania religijne, życie seksualne, orientacja seksualna); systemy rozpoznawania emocji nieobjęte zakazami z art. 5.
Znaczenie dla organizacji średniej wielkości: Niskie do umiarkowanego. Większość polskich spółek segmentu średniego nie prowadzi systemów identyfikacji ani kategoryzacji biometrycznej. Wyjątki istnieją: organizacje stosujące rozpoznawanie twarzy w kontroli dostępu do obiektów, weryfikacji tożsamości pracowników lub uwierzytelnianiu klientów. Jeśli organizacja korzysta z jakiejkolwiek formy przetwarzania biometrycznego wykraczającej poza prosty odcisk palca odblokowujący urządzenie, kategoria wymaga przeglądu.
Na co uważać: Funkcje biometryczne wbudowane w systemy bezpieczeństwa lub platformy weryfikacji tożsamości od zewnętrznych dostawców, które organizacja wdraża bez rozpoznania implikacji klasyfikacyjnych. UODO w kontekście ochrony danych biometrycznych na gruncie RODO sygnalizował już szczególną ostrożność wobec takich systemów. Powiązanie z wymogami Rozporządzenia o AI wzmacnia obowiązki nadzorcze.
2. Zarządzanie infrastrukturą krytyczną
Co się kwalifikuje: Systemy AI stosowane jako elementy bezpieczeństwa w zarządzaniu i eksploatacji ruchu drogowego, zaopatrzenia w wodę, gaz, ogrzewania, zasilania elektrycznego, infrastruktury cyfrowej i powiązanych systemów krytycznych.
Znaczenie dla organizacji średniej wielkości: Niskie, chyba że wynika ze specyfiki sektorowej. Przedsiębiorstwa użyteczności publicznej, spółki energetyczne, operatorzy transportu i dostawcy infrastruktury cyfrowej mają bezpośrednią ekspozycję. Organizacje spoza tych sektorów raczej nie prowadzą systemów AI sklasyfikowanych w tej kategorii.
Na co uważać: Systemy zarządzania budynkami oparte na AI, narzędzia optymalizacji energetycznej lub platformy zarządzania siecią, które mogą się kwalifikować, jeśli organizacja zarządza infrastrukturą mieszczącą się w zdefiniowanym zakresie.
3. Edukacja i kształcenie zawodowe
Co się kwalifikuje: Systemy AI decydujące o dostępie do instytucji edukacyjnych; systemy oceniające wyniki kształcenia; systemy oceniające odpowiedni poziom edukacji, jaki dana osoba otrzyma; systemy monitorujące zachowanie studentów podczas egzaminów (np. AI do nadzoru egzaminów, tzw. proctoring).
Znaczenie dla organizacji średniej wielkości: Niskie, chyba że sektor edukacyjny. Instytucje edukacyjne, podmioty szkoleniowe i firmy EdTech mają bezpośrednią ekspozycję. Organizacje korporacyjne stosujące AI w wewnętrznych programach szkoleniowych (zautomatyzowana ocena certyfikacji pracowniczych, rekomendacje ścieżek kształcenia oparte na AI) powinny zweryfikować, czy ich systemy mieszczą się w zakresie regulacji.
Na co uważać: Systemy zarządzania nauczaniem (LMS) oparte na AI, które wykraczają poza dostarczanie treści i oceniają kompetencje lub decydują o kwalifikowalności do szkolenia.
4. Zatrudnienie i zarządzanie pracownikami
Co się kwalifikuje: Systemy AI do rekrutacji i selekcji (screening CV, filtrowanie kandydatów, ranking aplikacji); AI w decyzjach o awansie i zwolnieniu; AI do przydzielania zadań na podstawie indywidualnego zachowania, cech lub właściwości osobistych; AI do monitorowania i oceny wyników pracy.
Znaczenie dla organizacji średniej wielkości: Wysokie. To kategoria Załącznika III, która najprawdopodobniej dotyczy polskich organizacji segmentu średniego. Wysoka pewność: Większość organizacji średniej wielkości wdrażających AI w screeningu kadr, ocenie kandydatów lub analityce siły roboczej prowadzi co najmniej jeden system AI wysokiego ryzyka w ramach tej klasyfikacji. Narzędzia screeningu CV, automatyczny ranking kandydatów, platformy oceny wyników pracy oparte na AI, systemy algorytmicznego przydzielania zadań: wszystkie się kwalifikują.
Na co uważać: Funkcje AI wbudowane w szersze platformy HR (Workday, SAP SuccessFactors, BambooHR, polskie systemy kadrowe), które realizują filtrowanie kandydatów lub scoring wyników. Organizacja mogła nie kupić „systemu AI”. Kupiła oprogramowanie HR zawierające komponenty AI wysokiego ryzyka. Obowiązek podmiotu wdrażającego obowiązuje niezależnie od sposobu, w jaki nabyto tę funkcjonalność AI.
W polskim kontekście warto odnotować zbieżność z Kodeksem pracy. Artykuły dotyczące zakazu dyskryminacji w zatrudnieniu (art. 18^3a-18^3e KP) tworzą dodatkową warstwę odpowiedzialności, gdy decyzje kadrowe wspiera AI. Rada nadzorcza powinna zweryfikować, że zarząd uwzględnia zarówno wymogi Rozporządzenia o AI, jak i krajowego prawa pracy.
5. Dostęp do podstawowych usług prywatnych i publicznych
Co się kwalifikuje: Systemy AI służące ocenie zdolności kredytowej lub ustalaniu scoringu kredytowego; AI do oceny ryzyka i ustalania cen ubezpieczeń na życie i ubezpieczeń zdrowotnych; AI do oceny i klasyfikacji zgłoszeń alarmowych (priorytetyzacja dysponowania służb); AI do oceny kwalifikowalności do świadczeń publicznych, usług lub do przyznawania, zmniejszania, cofania lub odzyskiwania takich świadczeń.
Znaczenie dla organizacji średniej wielkości: Wysokie dla sektora finansowego i ubezpieczeniowego. Każda organizacja stosująca AI w decyzjach kredytowych, ocenie ryzyka kredytowego, underwritingu ubezpieczeniowym lub ustalaniu składek prowadzi system wysokiego ryzyka w tej kategorii. Organizacje spoza sektora finansowego, które stosują AI do weryfikacji zdolności kredytowej kontrahentów lub klientów, również powinny zweryfikować klasyfikację.
Na co uważać: Scoring ryzyka klientów oparty na AI, automatyczne decyzje o limitach kredytowych i dynamiczne kalkulacje składek ubezpieczeniowych. Są powszechne w sektorze finansowym i coraz częstsze w kontekstach B2B, gdzie organizacje oceniają ryzyko kontrahenta. KNF, jako organ nadzoru nad sektorem finansowym w Polsce, będzie stanowił dodatkowy punkt odniesienia regulacyjnego dla tych systemów, zwłaszcza w kontekście interakcji Rozporządzenia o AI z wymogami sektorowymi.
6. Organy ścigania
Co się kwalifikuje: AI stosowana jako narzędzia typu poligraf lub do wykrywania stanów emocjonalnych; AI do oceny ryzyka popełnienia lub ponownego popełnienia przestępstwa; AI do oceny wiarygodności dowodów; AI do profilowania osób w ramach wykrywania, ścigania lub prowadzenia postępowań karnych.
Znaczenie dla organizacji średniej wielkości: Bardzo niskie. Jeśli organizacja nie dostarcza technologii organom ścigania, kategoria raczej nie ma zastosowania. Organizacje sprzedające narzędzia AI policji, prokuraturze lub służbom wywiadowczym powinny klasyfikować swoje produkty w tej kategorii.
7. Migracja, azyl i kontrola graniczna
Co się kwalifikuje: AI do oceny ryzyka nieregularnej migracji; AI stosowana jako narzędzia typu poligraf w rozmowach migracyjnych; AI do weryfikacji dokumentów w kontekście migracyjnym; AI do rozpatrywania i oceny wniosków o azyl, wizę lub zezwolenie na pobyt.
Znaczenie dla organizacji średniej wielkości: Bardzo niskie. Kategoria dotyczy organów administracji publicznej i ich dostawców technologicznych. Polskie organizacje segmentu średniego raczej nie mają ekspozycji, chyba że świadczą usługi na rzecz Straży Granicznej lub Urzędu do Spraw Cudzoziemców.
8. Wymiar sprawiedliwości i procesy demokratyczne
Co się kwalifikuje: Systemy AI stosowane przez organy wymiaru sprawiedliwości do badania i interpretacji faktów i prawa; AI w rozstrzyganiu sporów; AI mająca na celu wpływanie na wynik wyborów lub referendów (z wyłączeniem narzędzi organizacyjnych).
Znaczenie dla organizacji średniej wielkości: Bardzo niskie. Firmy LegalTech dostarczające narzędzia AI do badań prawnych, analizy spraw lub rozstrzygania sporów mają bezpośrednią ekspozycję. Pozostałe organizacje nie.
Samoocena: Gdzie organizacja ma ekspozycję?
The Thinking Company rekomenduje radom nadzorczym klasyfikację portfela AI przed wyborem podejścia do governance, ponieważ klasyfikacja ryzyka determinuje, czy organizacja potrzebuje pełnej zgodności dla systemów wysokiego ryzyka (art. 9-15), ograniczonych środków przejrzystości (art. 50-52) czy minimalnego governance poza standardowym nadzorem.
Poniższa lista kontrolna służy identyfikacji prawdopodobnej ekspozycji na klasyfikację wysokiego ryzyka.
| Zastosowanie AI | Prawdopodobna klasyfikacja | Sprawdź, czy organizacja stosuje |
|---|---|---|
| Screening CV lub ranking kandydatów | Wysokie ryzyko (Załącznik III, Kategoria 4) | AI w procesie rekrutacyjnym |
| Automatyczna ocena wyników pracy | Wysokie ryzyko (Załącznik III, Kategoria 4) | AI scoring wyników pracowników |
| Przydzielanie zadań na podstawie cech pracownika | Wysokie ryzyko (Załącznik III, Kategoria 4) | Algorytmiczne planowanie grafików lub przydział zadań |
| Scoring kredytowy lub ocena zdolności kredytowej | Wysokie ryzyko (Załącznik III, Kategoria 5) | AI w udzielaniu kredytów lub ocenie ryzyka |
| Ocena ryzyka lub ustalanie cen ubezpieczeniowych | Wysokie ryzyko (Załącznik III, Kategoria 5) | AI w underwritingu lub kalkulacji składek |
| Identyfikacja lub weryfikacja biometryczna | Wysokie ryzyko (Załącznik III, Kategoria 1) | Rozpoznawanie twarzy, biometryczna kontrola dostępu |
| Chatbot obsługi klienta | Ograniczone ryzyko (art. 50) | Obowiązek ujawnienia interakcji z AI |
| Wewnętrzny pulpit analityczny | Minimalne ryzyko | Brak wymogów Rozporządzenia o AI |
| Silnik personalizacji marketingu | Minimalne ryzyko (chyba że kierowany do grup wrażliwych) | Weryfikacja pod kątem art. 5 przy targetowaniu wg wieku lub niepełnosprawności |
| Predykcyjne utrzymanie ruchu | Zależy od kontekstu | Wysokie ryzyko, jeśli element bezpieczeństwa infrastruktury krytycznej; minimalne ryzyko w pozostałych przypadkach |
| Przetwarzanie dokumentów / OCR | Minimalne ryzyko (chyba że w domenie wysokiego ryzyka) | Weryfikacja w kontekście prawnym, sądowym lub migracyjnym |
| Narzędzia do generowania treści przez AI | Ograniczone ryzyko (art. 50) | Obowiązek oznaczenia wyników jako wygenerowanych przez AI |
Większość polskich organizacji segmentu średniego wdrażających AI w screeningu kadr, ocenie zdolności kredytowej lub scoringu ryzyka klienta prowadzi co najmniej jeden system AI wysokiego ryzyka w rozumieniu Załącznika III. To klasyfikacja, która uruchamia obowiązki nadzorcze na poziomie rady niezależnie od tego, czy rada ustanowiła governance AI. Jeśli organizacja stosuje AI w decyzjach zatrudnieniowych lub ocenie ryzyka finansowego, pytanie nie brzmi, czy posiada system wysokiego ryzyka. Brzmi: ile ich posiada.
Drzewo decyzyjne klasyfikacji
Rada nadzorcza nie musi przeprowadzać klasyfikacji samodzielnie. Musi zweryfikować, że zarząd przeprowadził ją rzetelnie i udokumentował w sposób wystarczający do przeglądu regulacyjnego. Poniższy pięciostopniowy proces to standard, którego wykonania i raportowania rada powinna oczekiwać od zarządu.
Krok 1: Inwentaryzacja wszystkich systemów AI w użyciu. Obejmuje narzędzia od dostawców, funkcje AI wbudowane w oprogramowanie korporacyjne, wewnętrznie opracowane modele i aplikacje AI adoptowane przez pracowników (shadow AI). Inwentaryzacja pomijająca funkcje AI w ramach platform SaaS jest niekompletna. Jeśli organizacja nie jest w stanie sporządzić takiej inwentaryzacji, klasyfikacja nie może się rozpocząć. Ta luka sama w sobie stanowi ustalenie governance, którym rada musi się zająć.
Krok 2: Dla każdego systemu ustalić ścieżkę klasyfikacyjną. Dwie drogi prowadzą do klasyfikacji jako system wysokiego ryzyka:
- Art. 6(1): System AI jest elementem bezpieczeństwa produktu wymagającego oceny zgodności na mocy istniejącej unijnej legislacji dotyczącej bezpieczeństwa produktów (wyroby medyczne, lotnictwo, motoryzacja, maszyny, zabawki, wyposażenie morskie, systemy kolejowe, bezpieczeństwo lotnictwa cywilnego). Ścieżka dotyczy producentów.
- Art. 6(2) + Załącznik III: System AI działa w jednym z ośmiu obszarów Załącznika III wymienionych powyżej. Ścieżka dotyczy większości podmiotów wdrażających.
Krok 3: Jeśli system jest wysokiego ryzyka, zidentyfikować kategorię Załącznika III. Kategoria determinuje, które obowiązki mają zastosowanie z największą szczegółowością. AI w zatrudnieniu (Kategoria 4) i AI w usługach podstawowych (Kategoria 5) to najczęstsze klasyfikacje dla podmiotów wdrażających segmentu średniego.
Krok 4: Ustalić status dostawcy lub podmiotu wdrażającego. Dla każdego systemu wysokiego ryzyka określić, czy organizacja jest dostawcą (opracowała lub wprowadziła system do obrotu) czy podmiotem wdrażającym (korzysta z systemu pod własnym nadzorem). Większość polskich organizacji segmentu średniego to podmioty wdrażające. Wymogi art. 26-29 dla podmiotów wdrażających stanowią właściwy zakres obowiązków.
Krok 5: Zmapować wymogi i przypisać odpowiedzialność. Dla każdego systemu wysokiego ryzyka zmapować mające zastosowanie wymogi (patrz kolejna sekcja) i przypisać odpowiedzialność do wskazanej z imienia osoby lub funkcji. Wyniki klasyfikacji i przypisanie odpowiedzialności raportować radzie nadzorczej lub właściwemu komitetowi rady.
Co uruchamia klasyfikacja jako system wysokiego ryzyka
Gdy system AI zostaje sklasyfikowany jako wysokiego ryzyka, Rozporządzenie o AI nakłada zestaw wymogów o charakterze organizacyjnym, nie wyłącznie technicznym. Rada nadzorcza musi rozumieć, czego te wymogi dotyczą, i weryfikować, że zarząd je wdraża. Wymogi wchodzą w życie w sierpniu 2026 roku.
Dla dostawców (art. 9-15)
Organizacje, które opracowują lub wprowadzają systemy AI wysokiego ryzyka do obrotu, muszą wdrożyć:
- System zarządzania ryzykiem (art. 9): ciągły, iteracyjny proces identyfikacji i ograniczania ryzyk w całym cyklu życia systemu
- Governance danych (art. 10): zbiory danych treningowych, walidacyjnych i testowych muszą spełniać kryteria jakości; wymagana jest analiza stronniczości
- Dokumentacja techniczna (art. 11): szczegółowość wystarczająca do przeprowadzenia oceny zgodności przed wprowadzeniem systemu do obrotu
- Prowadzenie rejestrów (art. 12): automatyczne logowanie operacji systemu umożliwiające identyfikowalność
- Przejrzystość i udostępnianie informacji (art. 13): podmioty wdrażające otrzymują informacje wystarczające do interpretacji wyników systemu i odpowiedniego korzystania z niego
- Nadzór ludzki (art. 14): projektowanie umożliwiające skuteczny nadzór ludzki, w tym zdolność rozumienia, monitorowania i nadpisywania wyników systemu
- Dokładność, odporność i cyberbezpieczeństwo (art. 15): odpowiednie poziomy dokładności, odporności na błędy i ataki oraz środki bezpieczeństwa
Dla podmiotów wdrażających (art. 26-29)
Organizacje korzystające z systemów AI wysokiego ryzyka pod własnym nadzorem (kategoria, w której mieści się większość rad nadzorczych polskich spółek segmentu średniego) muszą:
- Wdrożyć środki techniczne i organizacyjne odpowiednie do systemu AI (art. 26(1))
- Zapewnić nadzór ludzki sprawowany przez osoby posiadające niezbędne kompetencje, przeszkolenie, uprawnienia i wsparcie (art. 26(2))
- Zapewnić, że dane wejściowe są adekwatne i reprezentatywne dla zamierzonego celu systemu (art. 26(4))
- Monitorować działanie systemu zgodnie z instrukcjami użytkowania od dostawcy (art. 26(5))
- Informować dostawcę i właściwe organy o poważnych incydentach (art. 26(5))
- Przeprowadzić ocenę wpływu na prawa podstawowe przed wdrożeniem określonych systemów wysokiego ryzyka, w tym AI w usługach podstawowych i zatrudnieniu (art. 27)
- Przechowywać logi generowane przez system przez okres odpowiedni do jego celu (art. 26(6))
Co to oznacza dla rady nadzorczej
Obowiązki podmiotu wdrażającego na mocy art. 26-29 to obowiązki governance. Wymagają decyzji organizacyjnych: kto sprawuje nadzór ludzki, jak jest zorganizowane monitorowanie, jakie przeszkolenie otrzymuje personel nadzoru, jak incydenty eskalują do zarządu i rady. Rada nadzorcza, która nie zweryfikowała istnienia tych struktur, nie może twierdzić, że sprawuje nadzór nad zgodnością.
Zgodnie z Board AI Governance Evaluation Framework opracowanym przez The Thinking Company, podejście compliance-first uzyskuje 4,5/5,0 na gotowości regulacyjnej na EU AI Act. To najwyższy wynik gotowości regulacyjnej spośród wszystkich czterech podejść do governance, ponieważ zespoły prawne i GRC dysponują głęboką ekspertyzą w klasyfikacji ryzyka, analizie luk i projektowaniu programów zgodności. Mapowanie wymogów opisane powyżej to obszar, w którym podejście compliance-first się wyróżnia. Rady, które potrzebują tego mapowania wykonanego rzetelnie i w warunkach presji czasowej, powinny uznać przewagę podejścia compliance-first w tym konkretnym zadaniu.
Na polskim rynku działa wiele kancelarii z silną praktyką regulacyjną, w tym specjalizujących się w prawie nowych technologii, które budują kompetencje w zakresie Rozporządzenia o AI. Praktyki regulacyjne Deloitte, PwC, EY i KPMG w Polsce również rozwijają tę ekspertyzę. Rada nadzorcza, dla której klasyfikacja systemów AI jest pilnym priorytetem, ma dostęp do odpowiednich zasobów krajowych.
[Źródło: EU AI Act, art. 9-15, 26-29; The Thinking Company Board AI Governance Evaluation Framework, v1.0]
Powszechne systemy AI w organizacjach segmentu średniego: Tabela klasyfikacyjna
Poniższa tabela mapuje powszechne zastosowania AI na klasyfikację w ramach Rozporządzenia o AI. Jest to punkt wyjścia, nie substytut formalnej klasyfikacji prawnej. Organizacje powinny walidować klasyfikacje z wykwalifikowanym doradcą prawnym.
| System AI | Klasyfikacja EU AI Act | Kategoria Załącznika III | Główny obowiązek |
|---|---|---|---|
| Screening CV / AI rekrutacyjna | Wysokie ryzyko | Kategoria 4: Zatrudnienie | Wymogi podmiotu wdrażającego art. 26-29; ocena wpływu na prawa podstawowe |
| Automatyczny ranking kandydatów | Wysokie ryzyko | Kategoria 4: Zatrudnienie | Nadzór ludzki z uprawnieniem do nadpisania |
| AI w monitorowaniu wyników pracy | Wysokie ryzyko | Kategoria 4: Zatrudnienie | Governance danych; przejrzystość wobec pracowników |
| Scoring kredytowy | Wysokie ryzyko | Kategoria 5: Usługi podstawowe | Art. 26-29; ocena wpływu na prawa podstawowe |
| AI w ustalaniu cen ubezpieczeniowych | Wysokie ryzyko | Kategoria 5: Usługi podstawowe | Przejrzystość; nadzór ludzki; jakość danych |
| Chatbot obsługi klienta | Ograniczone ryzyko | Nie dotyczy (art. 50) | Obowiązek ujawnienia interakcji z AI |
| Narzędzia do generowania treści przez AI | Ograniczone ryzyko | Nie dotyczy (art. 50) | Obowiązek oznaczenia treści wygenerowanych przez AI |
| Wewnętrzny pulpit analityczny | Minimalne ryzyko | Nie dotyczy | Brak wymogów Rozporządzenia o AI |
| Personalizacja marketingu | Minimalne ryzyko | Nie dotyczy | Weryfikacja art. 5 przy targetowaniu wg podatności |
| Predykcyjne utrzymanie ruchu (poza infrastrukturą) | Minimalne ryzyko | Nie dotyczy | Brak wymogów Rozporządzenia o AI |
| Predykcyjne utrzymanie ruchu (infrastruktura krytyczna) | Wysokie ryzyko | Kategoria 2: Infrastruktura krytyczna | Pełne wymogi dostawcy/podmiotu wdrażającego |
| Przetwarzanie dokumentów / OCR | Minimalne ryzyko | Nie dotyczy | Weryfikacja w kontekście domeny wysokiego ryzyka |
| AI do badań prawnych | Wysokie ryzyko (jeśli stosowana przez organ wymiaru sprawiedliwości) | Kategoria 8: Wymiar sprawiedliwości | Pełne wymogi w kontekście sądowym |
| AI do nadzoru egzaminów (proctoring) | Wysokie ryzyko | Kategoria 3: Edukacja | Nadzór ludzki; governance danych |
[Źródło: EU AI Act, Rozporządzenie (UE) 2024/1689, Załącznik III]
Jak podejścia do governance radzą sobie z klasyfikacją
Klasyfikacja ryzyka nie jest ćwiczeniem jednorazowym. Systemy AI się zmieniają. Pojawiają się nowe systemy. Dostawcy aktualizują produkty o nowe funkcjonalności AI. Podejście do governance, jakie wybierze rada, determinuje, jak dobrze klasyfikacja jest utrzymywana w czasie.
| Podejście do governance | Wynik gotowości EU AI Act | Jak radzi sobie z klasyfikacją |
|---|---|---|
| Compliance-First | 4,5 / 5,0 | Systematyczne, rzetelne, prawnie ugruntowane. Zespoły prawne klasyfikują systemy AI względem tekstu regulacji z precyzją. Analiza luk i dokumentacja to kluczowe kompetencje. Klasyfikacja jest utrzymywana w rytmach programu zgodności: przeglądy kwartalne, ponowna ocena roczna, przeglądy wyzwalane zmianami systemu. To główna siła tego podejścia. |
| Advisory-Led | 4,0 / 5,0 | Łączy klasyfikację z projektowaniem governance. Przekłada poziomy ryzyka na priorytety nadzorcze rady: które systemy wymagają raportowania do rady, które przeglądu przez komitet, które governance na poziomie zarządu. Nieznacznie poniżej compliance-first w granularnej interpretacji regulacyjnej, ale silniejsze w łączeniu klasyfikacji z działaniem governance. |
| Delegacja technologiczna | 1,5 / 5,0 | Zespoły techniczne potrafią inwentaryzować systemy AI i dokumentować specyfikacje techniczne. Brakuje im ekspertyzy prawnej i regulacyjnej do interpretacji kategorii Załącznika III, oceny klasyfikacji granicznych lub doradzania radzie w zakresie obowiązków podmiotu wdrażającego. Klasyfikacja, jeśli następuje, jest technicznie skoncentrowana i prawnie niekompletna. |
| Ad-Hoc | 1,0 / 5,0 | Brak procesu klasyfikacji. Organizacja nie wie, które z jej systemów AI są wysokiego ryzyka. To najczęstsza postawa w polskich organizacjach segmentu średniego, a zarazem najbardziej eksponowana. Średnia pewność: Oczekuje się, że organy nadzoru będą priorytetyzować organizacje pozbawione jakiegokolwiek procesu klasyfikacji ponad te z udokumentowaną klasyfikacją zawierającą drobne błędy. Rzetelna próba klasyfikacji jest materialnie lepsza niż jej brak. |
[Źródło: The Thinking Company Board AI Governance Evaluation Framework, v1.0]
Lista kontrolna dla rady nadzorczej
Sześć kroków dla rad, które jeszcze nie sklasyfikowały portfela AI organizacji. Kolejność wynika z zależności: każdy krok bazuje na poprzednim.
1. Zażądać od zarządu inwentaryzacji systemów AI. Zażądać kompletnej listy systemów AI, z których organizacja korzysta, obejmującej narzędzia od dostawców, wbudowane AI w oprogramowaniu korporacyjnym i aplikacje AI adoptowane przez pracowników. Doprecyzować, że „system AI” obejmuje narzędzia zautomatyzowanego podejmowania decyzji, modele uczenia maszynowego i funkcje AI w ramach szerszych platform oprogramowania. Wyznaczyć termin. Jeśli zarząd nie jest w stanie sporządzić takiej listy, sam ten fakt stanowi pierwszą lukę governance do zamknięcia.
2. Zaangażować doradcę prawnego do klasyfikacji. Klasyfikacja systemów AI na gruncie Rozporządzenia o AI wymaga ekspertyzy prawnej. Wewnętrzny dział prawny, zewnętrzne kancelarie lub praktyki regulacyjne firm doradczych mogą wykonać tę pracę. Klasyfikacja powinna zmapować każdy system względem czterech poziomów ryzyka, wskazać kategorię Załącznika III dla każdego systemu wysokiego ryzyka i ustalić, czy organizacja jest dostawcą czy podmiotem wdrażającym. Na polskim rynku kancelarie specjalizujące się w prawie nowych technologii i regulacjach UE dysponują odpowiednimi kompetencjami.
3. Przeprowadzić ocenę wpływu na prawa podstawowe. Dla systemów AI wysokiego ryzyka w zatrudnieniu (Kategoria 4) i usługach podstawowych (Kategoria 5) art. 27 wymaga od podmiotów wdrażających przeprowadzenia oceny wpływu na prawa podstawowe przed oddaniem systemu do eksploatacji. Ocena powinna być ukończona lub zaplanowana do ukończenia przed sierpniem 2026. W przypadku systemów przetwarzających dane osobowe warto rozpatrzyć łączne przeprowadzenie oceny wpływu na prawa podstawowe i oceny skutków dla ochrony danych (DPIA) wymaganej przez RODO. UODO sygnalizuje oczekiwanie spójności obu regulacji.
4. Przypisać odpowiedzialność za każdy system wysokiego ryzyka. Każdy system AI wysokiego ryzyka powinien mieć wskazaną z imienia osobę lub funkcję odpowiedzialną za bieżącą zgodność. Obejmuje to nadzór ludzki, monitorowanie, zgłaszanie incydentów i przechowywanie logów. Rada powinna wiedzieć, kim są te osoby, i otrzymywać od nich raportowanie. Na gruncie KSH (art. 382) rada nadzorcza ma prawo i obowiązek sprawowania stałego nadzoru we wszystkich dziedzinach działalności. Klasyfikacja i nadzór nad AI mieści się w tym mandacie.
5. Ustanowić cykl przeglądu klasyfikacji. Klasyfikacja nie jest ćwiczeniem jednorazowym. Nowe systemy AI, aktualizacje od dostawców, zmiany w sposobie użytkowania i wytyczne regulacyjne wpływają na klasyfikację. Ustanowić kadencję przeglądów (kwartalna jest odpowiednia dla większości organizacji) i wymagać od zarządu raportowania zmian klasyfikacji do komitetu rady odpowiedzialnego za governance AI. Ministerstwo Cyfryzacji, jako koordynator wdrożenia Rozporządzenia o AI w Polsce, może publikować wytyczne interpretacyjne wpływające na klasyfikację; monitorowanie tych wytycznych powinno wchodzić w zakres przeglądu.
6. Udokumentować wszystko. Uzasadnienie klasyfikacji, rejestry inwentaryzacyjne, przypisanie odpowiedzialności i kadencje przeglądów powinny być udokumentowane w formie dostępnej do kontroli regulacyjnej. Jeśli organ nadzoru rynku zażąda dowodów klasyfikacji, organizacja musi je dostarczyć. Nieudokumentowana klasyfikacja jest dla celów regulacyjnych równoznaczna z jej brakiem.
Co The Thinking Company Rekomenduje
Klasyfikacja portfela AI według kategorii ryzyka EU AI Act to pierwszy krok governance, który determinuje skalę wymaganej inwestycji compliance.
- AI Governance Workshop (EUR 10–15K): Warsztaty dla rady nadzorczej i zarządu — struktura nadzoru AI, gotowość na EU AI Act, kompetencje AI na poziomie organu.
- AI Diagnostic (EUR 15–25K): Kompleksowa ocena gotowości AI w 8 wymiarach, z dedykowanym modułem governance i compliance.
Powiązane artykuły
- EU AI Act Board Obligations: What Directors Must Know in 2026. Artykuł towarzyszący obejmujący pełny zakres obowiązków rad nadzorczych na gruncie EU AI Act
- AI Governance for Boards: Decision Framework. Kompletny przewodnik z oceną czterech podejść do governance w 10 czynnikach
- Best Approaches to Board AI Governance. Ranking podejść do governance z rekomendacjami
- Advisory-Led vs. Compliance-First Governance. Bezpośrednie porównanie dwóch ustrukturyzowanych podejść
- Board AI Governance Approaches Compared. Porównanie czterech podejść z rekomendacjami sytuacyjnymi
The Thinking Company to firma doradcza specjalizująca się w transformacji AI. Pomagamy radom nadzorczym i zespołom liderskim adoptować AI strategicznie, łącząc gotowość regulacyjną z integracją organizacyjną i kompetencjami AI na poziomie rady. Nasz Board AI Governance Evaluation Framework jest opublikowany w pełnej wersji w Board Buyer’s Guide. Jesteśmy transparentni co do naszej pozycji jako firmy advisory-led i adresujemy nasze strukturalne uprzedzenie poprzez publikację kompletnej metodologii scoringowej.
Analiza regulacyjna w niniejszym artykule opiera się na opublikowanym tekście Rozporządzenia (UE) 2024/1689 (EU AI Act) przyjętego w czerwcu 2024 roku. Wytyczne klasyfikacyjne powinny być zwalidowane z wykwalifikowanym doradcą prawnym w odniesieniu do konkretnego portfela AI organizacji i kontekstu jurysdykcyjnego. Wytyczne interpretacyjne ze strony Europejskiego Urzędu ds. AI i krajowych organów nadzoru, w tym stanowiska Ministerstwa Cyfryzacji, UODO i KNF, mogą wpłynąć na stosowanie poszczególnych kategorii Załącznika III. Organizacje powinny traktować niniejszy artykuł jako narzędzie orientacji governance, nie jako poradę prawną.
Ten artykuł został ostatnio zaktualizowany 2026-03-11. Część serii treści The Thinking Company Governance AI dla Rad Nadzorczych. Aby uzyskać spersonalizowaną ocenę, skontaktuj się z naszym zespołem.