Kolejne obowiązki AI Act: 2 sierpnia 2026 r. (art. 113 Rozporządzenia (UE) 2024/1689). Do terminu: 15 dni.

Systemy wysokiego ryzyka w AI Act (załącznik III): kto podlega i od kiedy

Obowiązki Opublikowano: 16 lipca 2026 Stan prawny na: 16 lipca 2026 r. Autor: Maciej Wiśniewski
Systemy wysokiego ryzyka w AI Act (załącznik III): kto podlega i od kiedy

Systemy wysokiego ryzyka to kategoria, wokół której obraca się większość obowiązków w AI Act. To nie są systemy zakazane, tylko takie, które wolno stosować, ale pod warunkiem spełnienia szczegółowych wymogów. Dla wielu firm najważniejsze pytanie brzmi: czy moje narzędzie w ogóle należy do tej kategorii, a jeśli tak, to od kiedy.

W tym artykule tłumaczymy po polsku, jak AI Act wyznacza wysokie ryzyko, co wymienia załącznik III i jakie terminy obowiązują po nowelizacji. Opisujemy zasady, a nie oceniamy konkretnych systemów, bo kwalifikacja zależy od szczegółów zastosowania.

Dwie drogi do wysokiego ryzyka

AI Act wyznacza wysokie ryzyko na dwa sposoby, opisane w art. 6:

Obszary z załącznika III

Załącznik III wymienia obszary, w których samodzielne systemy uznaje się co do zasady za wysokiego ryzyka. Są to:

Dla typowej firmy dwa najczęstsze punkty styku to rekrutacja i ocena zdolności kredytowej. O pierwszym piszemy szerzej w artykule o AI w rekrutacji.

Wyjątek: nie każdy system z załącznika III jest wysokiego ryzyka

Art. 6 ust. 3 przewiduje istotny wyjątek. System działający w obszarze załącznika III może nie być uznany za wysokiego ryzyka, jeśli nie stwarza istotnego ryzyka dla zdrowia, bezpieczeństwa lub praw, na przykład gdy wykonuje wąskie zadanie proceduralne albo jedynie usprawnia wynik wcześniejszej pracy człowieka. Jest jednak ważne zastrzeżenie: jeśli system profiluje osoby, zawsze traktuje się go jako wysokiego ryzyka. Dostawca, który uznaje, że wyjątek ma zastosowanie, powinien tę ocenę udokumentować.

Jakie obowiązki wiążą się z wysokim ryzykiem

Dla systemów wysokiego ryzyka AI Act przewiduje zestaw wymogów po stronie dostawcy (art. 8 do 15): system zarządzania ryzykiem, jakość i zarządzanie danymi, dokumentację techniczną, rejestrowanie zdarzeń, przejrzystość wobec podmiotu stosującego, nadzór człowieka oraz odpowiednią dokładność, solidność i cyberbezpieczeństwo. Podmiot stosujący ma z kolei obowiązki z art. 26, między innymi używać systemu zgodnie z instrukcją, zapewnić nadzór człowieka i monitorować działanie. Część podmiotów przeprowadza dodatkowo ocenę skutków dla praw podstawowych.

Od kiedy obowiązują terminy

To ważna zmiana po nowelizacji. Digital Omnibus przesunął obowiązki dla samodzielnych systemów wysokiego ryzyka z załącznika III z 2 sierpnia 2026 r. na 2 grudnia 2027 r., a dla systemów z załącznika I na 2 sierpnia 2028 r. To dodatkowy czas, ale nie powód do zwłoki: wdrożenie wymogów zajmuje miesiące, więc inwentaryzację systemów i rozmowę z dostawcami warto zacząć już teraz.

Nie wiesz, czy Twój system to wysokie ryzyko, czy tylko obowiązek przejrzystości? Darmowy skan strony pokazuje publiczne sygnały ryzyka w 2 minuty, a pełny audyt z raportem przypisuje kategorię i terminy do konkretnych narzędzi.

Najczęstsze pytania (FAQ)

Skąd wiem, czy mój system jest wysokiego ryzyka?

Punktem wyjścia jest art. 6 i załącznik III. Jeśli system działa w jednym z wymienionych tam obszarów, na przykład w rekrutacji lub ocenie zdolności kredytowej, co do zasady traktuje się go jako wysokiego ryzyka, chyba że zastosowanie ma wyjątek z art. 6 ust. 3. Ostateczna kwalifikacja zależy od szczegółów i bywa przedmiotem indywidualnej analizy.

Od kiedy trzeba spełnić obowiązki dla wysokiego ryzyka?

Dla samodzielnych systemów z załącznika III termin to 2 grudnia 2027 r. po przesunięciu przez Digital Omnibus, a dla systemów z załącznika I to 2 sierpnia 2028 r.

Czy rekrutacja z pomocą AI to zawsze wysokie ryzyko?

Systemy do rekrutacji i selekcji są wprost wymienione w załączniku III, więc co do zasady należą do wysokiego ryzyka. Wyjątek z art. 6 ust. 3 bywa trudny do zastosowania, gdy system ocenia lub profiluje kandydatów. To temat, który warto rozstrzygnąć indywidualnie.

Kto odpowiada za obowiązki: dostawca czy moja firma?

Część wymogów spoczywa na dostawcy systemu (art. 8 do 15), a część na podmiocie stosującym, czyli często na Twojej firmie (art. 26). Rozróżnienie ról opisujemy w artykule o tym, kogo dotyczy AI Act.

Źródła

Sprawdź swoją firmę pod AI Act

Bezpłatny skan strony: 3 publiczne sygnały ryzyka w 2 minuty, bez rejestracji.

Zrób darmowy skan

Ten artykuł to analiza edukacyjna, przygotowana z pomocą AI pod nadzorem człowieka, nie porada prawna. Sporne przypadki wymagają konsultacji z radcą prawnym.