Kiedy systemy AI wysokiego ryzyka maja zastosowanie i co zrobic dalej

Systemy AI wysokiego ryzyka maja zastosowanie, gdy zespol SaaS buduje, sprzedaje, osadza, konfiguruje lub uzywa systemu AI, ktory wchodzi w jedna ze sciezek high-risk EU AI Act. Pytanie nie brzmi, czy firma gdzies uzywa AI. Pytanie brzmi, czy konkretny system z konkretnym celem jest w kontekscie produktu regulowanego albo w wrazliwym przypadku Annex III.

Dla SaaS odpowiedz zalezy od celu produktu, konfiguracji klienta, osob dotknietych, danych, roli vendora, human review, rynku i uzycia outputu.

Dwie glowne sciezki

Pierwsza sciezka dotyczy produktow regulowanych. System AI moze byc high-risk, gdy jest komponentem bezpieczenstwa produktu albo samym produktem, objety jest przepisami Annex I i wymaga third-party conformity assessment. To wazne dla SaaS przy medical devices, machinery, transport, aviation, radio equipment, toys, przemysle lub robotics.

Druga sciezka to Annex III: biometrics, critical infrastructure, education, employment, worker management, essential services, law enforcement, migration, justice i democratic processes. Dla SaaS to czesto bardziej widoczne. Hiring, ranking kandydatow, worker evaluation, student assessment, credit eligibility lub access decisions moga wymagac glebszego review.

Kiedy uruchomic review

Uruchom review, gdy system AI moze wplywac na osoby w istotnym kontekscie. Typowe triggery: nowy AI feature, nowy model lub vendor, nowy cel, nowa konfiguracja klienta, HR, education, healthcare, essential services, credit lub insurance, biometria, automated ranking, mniej human review, wejscie na rynek UE lub pytania klienta.

Konfiguracja klienta jest kluczowa. Platforma horyzontalna moze domyslnie nie byc high-risk, ale stac sie wrazliwa, gdy klient uzywa jej do oceny pracownikow, rankingu kandydatow, scoringu eligibility lub decyzji publicznych.

Kiedy moze nie miec zastosowania

Nie kazda funkcja SaaS z AI jest high-risk. Wewnetrzny drafting assistant, code helper, analytics assistant, podsumowanie ticketow lub knowledge search moze byc poza sciezka, jesli nie dziala w Annex III, nie jest komponentem bezpieczenstwa produktu regulowanego i nie wspiera istotnych decyzji o osobach.

Moze jednak nadal wymagac AI inventory, privacy review, security review, vendor assessment, prohibited-practice screening, customer disclosure lub zwyklych kontroli AI governance.

Co zrobic najpierw

Zacznij od krotkiego intake: nazwa systemu, owner, business purpose, user journey, osoby dotkniete, geografia, dane, model lub vendor, hipoteza roli AI Act, output, human review, konfiguracja klienta i zwiazek z produktami regulowanymi lub Annex III.

Nastepnie wyznacz sciezke. Jasne przypadki no-high-risk ida do zwyklej governance. Kandydaci high-risk ida do glebszego legal i compliance review. Niejasne przypadki dostaja reviewera, deadline i minimalne dowody.

Dowody do zachowania

Zachowaj AI inventory, intake, opis produktu lub vendora, data flow, analize osob dotknietych, intended purpose, screening Annex I lub Annex III, role analysis, wniosek, reviewer, date, rationale, decyzje launch, aktywowane kontrole i re-review trigger.

Dla systemow wewnetrznych zachowaj architecture notes, model documentation, testy, logging design, human oversight i monitoring plan. Przy vendorach zachowaj AI documentation, instructions for use, zobowiazania umowne, security answers i materialy audit lub certification.

Scenariusze SaaS

Support assistant podsumowujacy tickety moze byc poza high-risk, jesli agenci sprawdzaja output i system nie szereguje, punktuje ani nie decyduje o dostepie osob.

Funkcja HR filtrujaca aplikacje, rankujaca kandydatow lub oceniajaca performance jest inna. Employment i worker management sa obszarami Annex III.

Workflow healthcare dla triage, diagnostics lub medical-device functionality moze uruchomic Annex III oraz pytania o produkt regulowany.

FAQ

Jaki jest praktyczny cel?

Rozpoznanie systemow, ktore potrzebuja surowszej governance, mocniejszych dowodow, lifecycle controls i jasnego ownership.

Kiedy dotyczy zespolow SaaS?

Gdy buduja, sprzedaja, osadzaja, konfiguruja lub uzywaja AI jako komponentu bezpieczenstwa produktu regulowanego, jako produktu regulowanego lub dla przypadku Annex III.

Co dokumentowac najpierw?

AI inventory, high-risk intake, role analysis, intended purpose, analiza osob dotknietych, decyzja klasyfikacyjna, owner, miejsce dowodow, launch gate i re-review trigger.

Sources

• Regulation (EU) 2024/1689 laying down harmonised rules on artificial intelligence.
• European Commission guidance for providers and deployers of high-risk AI systems.
• European Commission AI Act FAQ.
• AI Act Service Desk guidance on Annex III high-risk AI systems.