Systemy wysokiego ryzyka w AI Act (załącznik III): kto podlega i od kiedy
Systemy wysokiego ryzyka to kategoria, wokół której obraca się większość obowiązków w AI Act. To nie są systemy zakazane, tylko takie, które wolno stosować, ale pod warunkiem spełnienia szczegółowych wymogów. Dla wielu firm najważniejsze pytanie brzmi: czy moje narzędzie w ogóle należy do tej kategorii, a jeśli tak, to od kiedy.
W tym artykule tłumaczymy po polsku, jak AI Act wyznacza wysokie ryzyko, co wymienia załącznik III i jakie terminy obowiązują po nowelizacji. Opisujemy zasady, a nie oceniamy konkretnych systemów, bo kwalifikacja zależy od szczegółów zastosowania.
Dwie drogi do wysokiego ryzyka
AI Act wyznacza wysokie ryzyko na dwa sposoby, opisane w art. 6:
- Element bezpieczeństwa produktu regulowanego (art. 6 ust. 1). System jest wysokiego ryzyka, gdy pełni funkcję bezpieczeństwa w produkcie objętym unijnym prawodawstwem harmonizacyjnym z załącznika I, na przykład w maszynach, wyrobach medycznych czy zabawkach.
- Samodzielny system z obszaru załącznika III (art. 6 ust. 2). System jest wysokiego ryzyka, gdy działa w jednym z wrażliwych obszarów wymienionych w załączniku III.
Obszary z załącznika III
Załącznik III wymienia obszary, w których samodzielne systemy uznaje się co do zasady za wysokiego ryzyka. Są to:
- biometria w dozwolonym zakresie,
- infrastruktura krytyczna,
- edukacja i szkolenie zawodowe,
- zatrudnienie i zarządzanie pracownikami, w tym rekrutacja i selekcja,
- dostęp do podstawowych usług, w tym ocena zdolności kredytowej oraz ryzyko i ceny w ubezpieczeniach,
- ściganie przestępstw,
- migracja, azyl i kontrola graniczna,
- wymiar sprawiedliwości i procesy demokratyczne.
Dla typowej firmy dwa najczęstsze punkty styku to rekrutacja i ocena zdolności kredytowej. O pierwszym piszemy szerzej w artykule o AI w rekrutacji.
Wyjątek: nie każdy system z załącznika III jest wysokiego ryzyka
Art. 6 ust. 3 przewiduje istotny wyjątek. System działający w obszarze załącznika III może nie być uznany za wysokiego ryzyka, jeśli nie stwarza istotnego ryzyka dla zdrowia, bezpieczeństwa lub praw, na przykład gdy wykonuje wąskie zadanie proceduralne albo jedynie usprawnia wynik wcześniejszej pracy człowieka. Jest jednak ważne zastrzeżenie: jeśli system profiluje osoby, zawsze traktuje się go jako wysokiego ryzyka. Dostawca, który uznaje, że wyjątek ma zastosowanie, powinien tę ocenę udokumentować.
Jakie obowiązki wiążą się z wysokim ryzykiem
Dla systemów wysokiego ryzyka AI Act przewiduje zestaw wymogów po stronie dostawcy (art. 8 do 15): system zarządzania ryzykiem, jakość i zarządzanie danymi, dokumentację techniczną, rejestrowanie zdarzeń, przejrzystość wobec podmiotu stosującego, nadzór człowieka oraz odpowiednią dokładność, solidność i cyberbezpieczeństwo. Podmiot stosujący ma z kolei obowiązki z art. 26, między innymi używać systemu zgodnie z instrukcją, zapewnić nadzór człowieka i monitorować działanie. Część podmiotów przeprowadza dodatkowo ocenę skutków dla praw podstawowych.
Od kiedy obowiązują terminy
To ważna zmiana po nowelizacji. Digital Omnibus przesunął obowiązki dla samodzielnych systemów wysokiego ryzyka z załącznika III z 2 sierpnia 2026 r. na 2 grudnia 2027 r., a dla systemów z załącznika I na 2 sierpnia 2028 r. To dodatkowy czas, ale nie powód do zwłoki: wdrożenie wymogów zajmuje miesiące, więc inwentaryzację systemów i rozmowę z dostawcami warto zacząć już teraz.
Nie wiesz, czy Twój system to wysokie ryzyko, czy tylko obowiązek przejrzystości? Darmowy skan strony pokazuje publiczne sygnały ryzyka w 2 minuty, a pełny audyt z raportem przypisuje kategorię i terminy do konkretnych narzędzi.
Najczęstsze pytania (FAQ)
Skąd wiem, czy mój system jest wysokiego ryzyka?
Punktem wyjścia jest art. 6 i załącznik III. Jeśli system działa w jednym z wymienionych tam obszarów, na przykład w rekrutacji lub ocenie zdolności kredytowej, co do zasady traktuje się go jako wysokiego ryzyka, chyba że zastosowanie ma wyjątek z art. 6 ust. 3. Ostateczna kwalifikacja zależy od szczegółów i bywa przedmiotem indywidualnej analizy.
Od kiedy trzeba spełnić obowiązki dla wysokiego ryzyka?
Dla samodzielnych systemów z załącznika III termin to 2 grudnia 2027 r. po przesunięciu przez Digital Omnibus, a dla systemów z załącznika I to 2 sierpnia 2028 r.
Czy rekrutacja z pomocą AI to zawsze wysokie ryzyko?
Systemy do rekrutacji i selekcji są wprost wymienione w załączniku III, więc co do zasady należą do wysokiego ryzyka. Wyjątek z art. 6 ust. 3 bywa trudny do zastosowania, gdy system ocenia lub profiluje kandydatów. To temat, który warto rozstrzygnąć indywidualnie.
Kto odpowiada za obowiązki: dostawca czy moja firma?
Część wymogów spoczywa na dostawcy systemu (art. 8 do 15), a część na podmiocie stosującym, czyli często na Twojej firmie (art. 26). Rozróżnienie ról opisujemy w artykule o tym, kogo dotyczy AI Act.
Źródła
- Rozporządzenie (UE) 2024/1689 (AI Act), art. 6 i załącznik III (systemy wysokiego ryzyka) – EUR-Lex
- Przesunięcie terminów wysokiego ryzyka po nowelizacji: Gibson Dunn, EY Polska
Sprawdź swoją firmę pod AI Act
Bezpłatny skan strony: 3 publiczne sygnały ryzyka w 2 minuty, bez rejestracji.
Zrób darmowy skanTen artykuł to analiza edukacyjna, przygotowana z pomocą AI pod nadzorem człowieka, nie porada prawna. Sporne przypadki wymagają konsultacji z radcą prawnym.