EuroComply
Zarejestruj się
Back to blog
Rozporządzenie AI UE 6 min read

Jak sklasyfikować system AI zgodnie z Aktem o AI UE: przewodnik krok po kroku

What you need to know: Jak sklasyfikować system AI zgodnie z Aktem o AI UE: przewodnik krok po kroku

Nie masz pewności, czy Twój system AI jest wysokiego ryzyka? Przejdź przez oficjalny proces klasyfikacji z praktycznymi przykładami dla typowych narzędzi AI stosowanych w przedsiębiorstwach.

Source: EuroComply Editorial (2025-02-15)Reviewed:
EuroComply Team
EU regulatory specialistsContent reviewed against official EUR-Lex texts
EuroComply Editorial Team

Akt o AI UE dzieli systemy sztucznej inteligencji na cztery kategorie ryzyka: Zakazane, Wysokie, Ograniczone i Minimalne. Prawidłowa klasyfikacja wyznacza cały plan działań w zakresie zgodności z przepisami. Poniżej przedstawiamy, jak ją przeprowadzić.

Krok 1: Sprawdzenie zakazanych praktyk (art. 5)

W pierwszej kolejności należy zweryfikować, czy system nie wchodzi w zakres którejś z ośmiu zakazanych kategorii. Większość systemów AI stosowanych w przedsiębiorstwach nie jest nimi objęta, jednak warto to sprawdzić:

  • Czy system ocenia osoby fizyczne na podstawie ich zachowania społecznego?
  • Czy stosuje techniki manipulacji podprogowej?
  • Czy wykorzystuje podatności określonych grup?
  • Czy przeprowadza identyfikację biometryczną w czasie rzeczywistym w przestrzeni publicznej?
  • Czy rozpoznaje emocje w miejscach pracy lub placówkach edukacyjnych?

Jeśli odpowiedź na którekolwiek z powyższych pytań jest twierdząca, wdrożenie musi zostać wstrzymane. Systemu nie można uruchomić na terytorium Unii Europejskiej.

Krok 2: Sprawdzenie listy systemów wysokiego ryzyka (Załącznik III)

Załącznik III wskazuje osiem sektorów, w których AI uznawana jest za wysokiego ryzyka, gdy istotnie wpływa na osoby fizyczne:

  1. Biometria — systemy zdalnej identyfikacji
  2. Infrastruktura krytyczna — komponenty bezpieczeństwa w sektorach energetycznym i transportowym
  3. Edukacja — rekrutacja, ocenianie, monitorowanie, wykrywanie nieuczciwości
  4. Zatrudnienie — rekrutacja, przesiewanie CV, ocena wyników, decyzje o zwolnieniu
  5. Usługi podstawowe — scoringkredytowy, ustalanie cen ubezpieczeń, świadczenia społeczne
  6. Egzekwowanie prawa — ocena ryzyka, ocena dowodów, profilowanie
  7. Migracja — ocena ryzyka, weryfikacja dokumentów
  8. Procesy demokratyczne — systemy wywierania wpływu na wyborców

Kluczowe pytanie brzmi: czy system AI podejmuje lub istotnie wpływa na decyzje dotyczące osób fizycznych w którymkolwiek z tych sektorów?

Krok 3: Sprawdzenie obowiązków w zakresie przejrzystości (art. 50)

Nawet jeśli system nie należy do kategorii wysokiego ryzyka, mogą go dotyczyć obowiązki w zakresie przejrzystości:

  • Chatboty: użytkownicy muszą być poinformowani o interakcji z systemem AI
  • Generowanie treści: teksty, obrazy, pliki audio lub wideo generowane przez AI muszą być oznakowane
  • Rozpoznawanie emocji: osoby, których dane dotyczą, muszą być o tym informowane
  • Deepfake'i: muszą być wyraźnie oznakowane jako syntetyczne

Krok 4: Minimalne ryzyko

Wszystko pozostałe mieści się w tej kategorii. Nie obowiązują żadne szczególne wymagania — jedynie dobrowolne kodeksy postępowania oraz ogólny wymóg umiejętności korzystania z AI określony w art. 4.

Przykłady praktyczne

| System | Klasyfikacja | Uzasadnienie | |--------|-------------|-------------| | Chatbot obsługi klienta | OGRANICZONE | Interakcja z osobami, obowiązek przejrzystości | | Narzędzie do przesiewania CV | WYSOKIE | Sektor zatrudnienia, wpływa na decyzje rekrutacyjne | | Silnik rekomendacji treści | MINIMALNE | Brak istotnego wpływu na osoby fizyczne | | Wykrywanie oszustw przy pożyczkach | WYSOKIE | Usługi podstawowe, wpływa na dostęp do kredytu | | Generator obrazów AI | OGRANICZONE | Generuje treści syntetyczne, wymagane oznakowanie | | Czujnik konserwacji predykcyjnej | MINIMALNE | Brak wpływu na osoby fizyczne |

Co należy zrobić po klasyfikacji

W przypadku systemów wysokiego ryzyka wymagane są: system zarządzania ryzykiem, procedury zarządzania danymi, dokumentacja techniczna, automatyczne rejestrowanie zdarzeń, informacje o przejrzystości dla użytkowników, mechanizmy nadzoru ludzkiego oraz testy dokładności i odporności. Przed wdrożeniem konieczna jest również ocena zgodności.

W przypadku systemów ograniczonego ryzyka niezbędne są środki przejrzystości — poinformowanie użytkowników i oznakowanie treści.

W przypadku systemów minimalnego ryzyka zalecane jest przestrzeganie dobrowolnych kodeksów postępowania, jednak poza wymogami w zakresie umiejętności korzystania z AI nie istnieją żadne obowiązkowe zobowiązania.

Rozpocznij klasyfikację już teraz. Termin dla systemów wysokiego ryzyka upływa 2 sierpnia 2026 r., a budowa infrastruktury zapewnienia zgodności wymaga czasu.

Kluczowe wymagania dokumentacyjne według poziomu ryzyka

Zakazana AI (art. 5): Dokumentacja nie jest wymagana — systemy te muszą zostać wycofane z eksploatacji lub zaprzestane. W przypadku zidentyfikowania zakazanej praktyki w istniejącym systemie należy udokumentować ustalenia i plan naprawczy na potrzeby audytu.

AI wysokiego ryzyka (Załącznik III): Pełna dokumentacja zgodnie z art. 9–15, obejmująca system zarządzania ryzykiem, dokumentację dotyczącą zarządzania danymi, dokumentację techniczną (Załącznik IV), automatyczne rejestrowanie zdarzeń, instrukcje użytkowania oraz dowody na istnienie mechanizmów nadzoru ludzkiego. W przypadkach, gdy wymagana jest ocena zgodności przez stronę trzecią na podstawie art. 43, należy zachować deklarację zgodności UE i zarejestrować system w bazie danych UE (art. 71).

AI ograniczonego ryzyka (art. 50): Wyłącznie dokumentacja dotycząca ujawniania informacji w zakresie przejrzystości. Systemy muszą powiadamiać użytkowników o interakcji z AI. Należy prowadzić dokumentację mechanizmu ujawniania informacji oraz interfejsu użytkownika służącego do jego przekazywania.

AI minimalnego ryzyka: Brak obowiązkowej dokumentacji, jednak prowadzenie wewnętrznego rejestru systemów AI i ich celów stanowi dobrą praktykę i wspiera wypełnianie obowiązków w zakresie umiejętności korzystania z AI zgodnie z art. 4.

Najczęściej zadawane pytania

Skąd wiem, czy mój system AI podlega Załącznikowi III Aktu o AI UE?

Załącznik III wskazuje osiem konkretnych sektorów, w których AI klasyfikowana jest jako wysokiego ryzyka, gdy istotnie wpływa na osoby fizyczne: biometria, infrastruktura krytyczna, edukacja, zatrudnienie, dostęp do usług podstawowych, egzekwowanie prawa, migracja i zarządzanie granicami oraz wymiar sprawiedliwości. Kluczowym kryterium jest to, czy system podejmuje lub istotnie wpływa na decyzję dotyczącą osoby fizycznej w jednym z tych sektorów. Narzędzie do przesiewania CV w dziale HR wyraźnie wchodzi w zakres kategorii zatrudnienia. Model wykrywania oszustw stosowany przy kredytach konsumenckich podlega kategorii usług podstawowych. W przypadku wątpliwości Komisja Europejska opublikowała wytyczne dotyczące interpretacji kategorii Załącznika III. Organem nadzorczym właściwym w Polsce w sprawach związanych z Aktem o AI jest Urząd Ochrony Danych Osobowych (UODO) — w zakresie, w jakim nakładają się one z ochroną danych osobowych.

Jaka jest różnica między systemem AI wysokiego ryzyka a systemem ograniczonego ryzyka?

Systemy AI wysokiego ryzyka objęte Załącznikiem III wymagają pełnego reżimu zgodności — zarządzania ryzykiem, zarządzania danymi, dokumentacji technicznej, rejestrowania zdarzeń, nadzoru ludzkiego, oceny zgodności i rejestracji. Systemy ograniczonego ryzyka objęte art. 50 mają jedynie obowiązki w zakresie przejrzystości: użytkownicy muszą być informowani o interakcji z AI, treści generowane przez AI muszą być oznakowane, a systemy rozpoznawania emocji muszą powiadamiać osobę, której dane dotyczą. Różnica w obciążeniu związanym z zapewnieniem zgodności jest znaczna. Chatbot obsługi klienta jest typowo ograniczonego ryzyka i wymaga jedynie ujawnienia informacji dotyczących przejrzystości, podczas gdy narzędzie AI stosowane do selekcji kandydatów do pracy jest wysokiego ryzyka i wymaga pełnego procesu dokumentacji i oceny.

Czy system AI może z czasem zmienić kategorię ryzyka?

Tak. Kategoria ryzyka odnosi się do przypadku użycia i kontekstu wdrożenia systemu, a nie wyłącznie do jego architektury technicznej. Jeśli narzędzie pierwotnie wdrożone w celach minimalnego ryzyka — takie jak silnik rekomendacji treści — zostanie później dostosowane do wpływania na decyzje dotyczące dostępu do usług podstawowych, jego klasyfikacja ryzyka ulega zmianie. Dostawcy i operatorzy muszą ponownie ocenić klasyfikację za każdym razem, gdy zamierzony cel, kontekst wdrożenia lub dane wejściowe ulegają istotnej zmianie. Dlatego prowadzenie inwentarza systemów AI z udokumentowanymi przypadkami użycia jest ważne: stanowi punkt odniesienia, na podstawie którego można oceniać zmiany i rejestrować decyzje o reklasyfikacji.

Źródła

  • EUR-Lex, Rozporządzenie (UE) 2024/1689 (Akt o AI UE), Załącznik III (systemy AI wysokiego ryzyka): https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32024R1689
  • Komisja Europejska, wytyczne dotyczące klasyfikacji ryzyka AI: https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai
  • ENISA, metodologia i narzędzia oceny ryzyka AI: https://www.enisa.europa.eu/topics/artificial-intelligence

Niniejszy artykuł ma charakter wyłącznie informacyjny i nie stanowi porady prawnej. Przed podjęciem decyzji dotyczących zgodności należy skonsultować się z wykwalifikowanym doradcą prawnym.

Key takeaways: Jak sklasyfikować system AI zgodnie z Aktem o AI UE: przewodnik krok po kroku

This article covers: Krok 1: Sprawdzenie zakazanych praktyk (art. 5), Krok 2: Sprawdzenie listy systemów wysokiego ryzyka (Załącznik III), Krok 3: Sprawdzenie obowiązków w zakresie przejrzystości (art. 50).

  • Krok 1: Sprawdzenie zakazanych praktyk (art. 5)
  • Krok 2: Sprawdzenie listy systemów wysokiego ryzyka (Załącznik III)
  • Krok 3: Sprawdzenie obowiązków w zakresie przejrzystości (art. 50)
  • Krok 4: Minimalne ryzyko
  • Przykłady praktyczne
Source: EuroComply Editorial (2025-02-15)Reviewed:
EC

EuroComply Editorial Team

EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.

For informational purposes only. Consult qualified legal counsel.

Share:

Get the weekly EU compliance briefing — 2 minutes, every Thursday.

See how your site scores

Run a free EU compliance scan — no signup, 30 seconds.