Klasyfikacja systemów high-risk w AI Act — przykłady z polskiego rynku
AI Act definiuje 8 kategorii systemów wysokiego ryzyka. Pokazujemy konkretne przykłady z polskich firm: który system jest „high-risk", który wygląda na taki, a który tylko ograniczonym ryzykiem. Z drzewem decyzyjnym do samodzielnej klasyfikacji i listą czerwonych flag, które wymagają konsultacji z prawnikiem.
„Czy nasz system AI jest high-risk?" To pytanie zadaje co druga firma planująca wdrożenie. W tym tekście pokazujemy 8 kategorii high-risk z AI Act z konkretnymi polskimi przykładami i drzewo decyzyjne, które pomoże Wam wstępnie sklasyfikować własne systemy.
8 kategorii high-risk z Załącznika III
AI Act w Załączniku III wymienia 8 obszarów, w których systemy AI są automatycznie klasyfikowane jako wysokiego ryzyka:
- Biometryczna identyfikacja i kategoryzacja osób.
- Zarządzanie i obsługa infrastruktury krytycznej.
- Edukacja i szkolenia zawodowe.
- Zatrudnienie, zarządzanie pracownikami, samozatrudnienie.
- Dostęp do usług prywatnych i publicznych (kredyty, ubezpieczenia, świadczenia).
- Egzekwowanie prawa.
- Migracja, azyl, kontrola granic.
- Wymiar sprawiedliwości i procesy demokratyczne.
Drzewo decyzyjne — 5 pytań
Jeśli na którekolwiek odpowiecie „TAK" — system jest high-risk lub potencjalnie high-risk:
- Czy system podejmuje decyzję wpływającą na zatrudnienie człowieka? (screening CV, ocena pracownika, decyzja o awansie)
- Czy system decyduje o dostępie do usług finansowych, ubezpieczeniowych lub publicznych? (scoring kredytowy, kalkulator składki ubezpieczeniowej, kwalifikacja do programu socjalnego)
- Czy system jest używany w edukacji do oceny ucznia/kandydata? (system rekrutacji do szkoły, ocena egzaminu, dobór ścieżki edukacyjnej)
- Czy system jest używany w ochronie zdrowia w sposób wpływający na diagnozę/leczenie? (wspomaganie diagnostyki obrazowej, triage pacjentów)
- Czy system identyfikuje osoby na podstawie cech biometrycznych? (rozpoznawanie twarzy, głosu, charakterystyki chodu)
Konkretne przykłady z polskich firm
Przykład 1 — software house, screening CV (HIGH-RISK)
Firma IT z Krakowa używa AI do przedfiltrowania CV na stanowiska programistyczne. Mimo, że ostateczną decyzję podejmuje rekruter, AI determinuje, które CV w ogóle trafia na biurko. Klasyfikacja: high-risk (kat. 4 — zatrudnienie). Wymóg: DPIA, dokumentacja techniczna, audyt biasu kwartalny.
Przykład 2 — e-commerce, scoring potencjału klienta (ograniczone)
Sklep internetowy używa AI do oceny, którzy klienci dostaną kupon promocyjny. Klasyfikacja: NIE high-risk — nie wpływa na dostęp do usługi, tylko na ofertę cenową. Wymóg: wpis do rejestru, informacja w polityce prywatności.
Przykład 3 — firma faktoringowa, ocena ryzyka faktoringu (HIGH-RISK)
Firma decyduje na podstawie AI, czy zaakceptować fakturę do faktoringu i jaką prowizję policzyć. Klasyfikacja: high-risk (kat. 5 — dostęp do usług finansowych). Wymóg: pełna dokumentacja, prawo do ludzkiej weryfikacji, audyt biasu, rejestracja w UODO.
Przykład 4 — szpital, AI w diagnostyce RTG (HIGH-RISK)
Szpital używa AI wspomagającej radiologa w opisie zdjęć RTG klatki piersiowej. Klasyfikacja: high-risk + dodatkowo MDR (urządzenie medyczne). Wymóg: certyfikacja CE jako wyrób medyczny + zgodność z AI Act.
Przykład 5 — biuro rachunkowe, kategoryzacja faktur (minimalne)
Biuro używa AI do podpowiadania konta księgowego dla faktury kosztowej. Klasyfikacja: minimalne ryzyko. Wymóg: wpis do rejestru, informacja dla klienta, że narzędzie jest używane.
| Branża / use case | Kategoria | Dokumentacja |
|---|---|---|
| Screening CV | High-risk | Pełna |
| Scoring kredytowy/faktoring | High-risk | Pełna + rejestracja |
| Diagnostyka medyczna | High-risk + MDR | Pełna + CE |
| Czat na stronie | Ograniczone | Info o AI |
| Lead scoring B2B | Minimalne | Rejestr |
| Generator opisów produktów | Minimalne | Rejestr |
| Predykcja popytu (magazyn) | Minimalne | Rejestr |
| Wsparcie programisty (IDE) | Minimalne | Polityka wewnętrzna |
Czerwone flagi — gdy potrzebujecie konsultacji
- System podejmuje decyzję automatycznie (bez weryfikacji człowieka).
- Decyzja wpływa na osobę fizyczną w sposób istotny prawnie lub finansowo.
- System analizuje dane wrażliwe (zdrowie, religia, orientacja, pochodzenie).
- System jest używany w sektorze publicznym lub regulowanym (banki, ubezpieczenia, ochrona zdrowia).
- System dotyczy osób małoletnich.
- System może być użyty do profilowania.
Co robimy w RedAI
W ramach każdego wdrożenia robimy wstępną klasyfikację bezpłatnie. Jeśli system jest high-risk — kierujemy do zaprzyjaźnionej kancelarii (3 w Warszawie, 2 w Krakowie, 1 we Wrocławiu) na pełny audyt zgodności. Sami nie świadczymy usług prawnych — robimy techniczną stronę dokumentacji.
Nie wiecie, w której kategorii jest Wasz system? Umówcie 30-minutową rozmowę — odpowiemy na 5 pytań z drzewa i powiemy wprost, czego się spodziewać.
Chcesz przetestować, jak AI rozwiąże to u Ciebie?
30 minut rozmowy + pokaz działającego wdrożenia u klienta. Bez NDA.
Umów demo