Artykuł 27 — Ocena skutków dla praw podstawowych w przypadku systemów AI wysokiego ryzyka (Akt o AI UE)

Artykuł 27 Rozporządzenia (UE) 2024/1689 — Ocena skutków dla praw podstawowych w przypadku systemów AI wysokiego ryzyka. Tekst oficjalny, interpretacja praktyczna, kluczowe obowiązki i implikacje dla zgodności.

Streszczenie tekstu oficjalnego

Artykuł 27 Rozporządzenia (UE) 2024/1689 ustanawia obowiązek dla określonych podmiotów stosujących systemy AI wysokiego ryzyka przeprowadzenia oceny skutków dla praw podstawowych (FRIA) przed oddaniem takich systemów do użytku. Obowiązek ma zastosowanie do podmiotów stosujących, które są podmiotami prawa publicznego określonymi w Dyrektywie 2014/24/UE, oraz do podmiotów stosujących będących podmiotami prywatnymi świadczącymi usługi o charakterze publicznym — w szczególności w obszarach bankowości, ubezpieczeń, opieki zdrowotnej, edukacji i kształcenia zawodowego, zarządzania zatrudnieniem i pracownikami oraz zarządzania infrastrukturą krytyczną.

Ocena musi zostać przeprowadzona przed wdrożeniem i musi obejmować następujące elementy: opis procesów podmiotu stosującego, w których będzie używany system AI wysokiego ryzyka, oraz ich cel; kategorie osób fizycznych i grup, które mogą być dotknięte; konkretne zagrożenia dla praw podstawowych, które mogą wynikać z użytkowania; konkretne środki, które podmiot stosujący zamierza wdrożyć w celu ograniczenia tych ryzyk; wskazanie, czy istnieją mechanizmy składania skarg lub odwoławcze; oraz, w stosownych przypadkach, opis wpływu na dzieci.

Podmioty stosujące objęte obowiązkiem muszą również powiadomić właściwy organ nadzoru rynku przed wdrożeniem określonych kategorii systemów AI wysokiego ryzyka wymienionych w Załączniku III. Ocena musi opierać się na informacjach dostarczonych przez dostawcę zgodnie z Artykułem 13 i musi być udokumentowana oraz przechowywana do dyspozycji właściwych organów.

Co to oznacza w praktyce

Dla organizacji objętych zakresem, Artykuł 27 wymaga ustrukturyzowanego, udokumentowanego procesu przed uruchomieniem jakiegokolwiek systemu AI wysokiego ryzyka. Nie jest to jednorazowe ćwiczenie formalności — FRIA musi odzwierciedlać rzeczywisty kontekst wdrożenia i być weryfikowana, gdy ten kontekst ulega istotnej zmianie.

Publiczny szpital wdrażający system diagnostyki lub triage wspomagany przez AI musi ocenić, które grupy pacjentów mogą być nieproporcjonalnie dotknięte, jakie prawa są zagrożone (godność, niedyskryminacja, dostęp do opieki zdrowotnej) oraz jakie zabezpieczenia istnieją, jeśli system wydaje nieprawidłowe zalecenia. Samorząd lokalny korzystający z systemu AI do weryfikacji uprawnień do świadczeń musi zidentyfikować zagrożenia dla prawa do ochrony socjalnej i należytego procesu, oraz udokumentować, jak w praktyce będzie funkcjonować nadzór ludzki.

Prywatne podmioty świadczące publiczne usługi finansowe — takie jak platformy do oceny zdolności kredytowej lub ubezpieczeniowe — wchodzą w zakres stosowania, jeśli kwalifikują się jako podmioty stosujące systemy wysokiego ryzyka z Załącznika III. Firma fintech używająca modelu AI do oceny wniosków kredytowych musi zmapować grupy demograficzne narażone na decyzje algorytmiczne, ocenić ryzyko dyskryminacyjnych wyników i ustanowić udokumentowaną ścieżkę odwoławczą.

W praktyce podmioty stosujące powinny włączyć FRIA do istniejących procesów oceny skutków dla ochrony danych (DPIA) na mocy RODO, gdzie jest to istotne, ponieważ Artykuł 27(4) wyraźnie zezwala na łączne przeprowadzenie obu ocen. Organizacje powinny wyznaczyć odpowiedzialnego właściciela oceny, wykorzystywać dokumentację techniczną i instrukcje użytkowania dostawcy jako dane wejściowe oraz tworzyć wersjonowane rejestry, które można przedstawić organom nadzorczym na żądanie.

Kluczowe obowiązki

Przeprowadzić ocenę skutków dla praw podstawowych przed wdrożeniem dowolnego systemu AI wysokiego ryzyka w zakresie podmiotu stosującego, obejmującą zamierzone użytkowanie, dotknięte osoby, zidentyfikowane ryzyka i planowane środki zaradcze.
Udokumentować ocenę na piśmie i przechowywać ją do wglądu przez właściwe organy i organy nadzoru rynku na żądanie.
Powiadomić właściwy organ nadzoru rynku przed wdrożeniem, gdy jest to wymagane przez określoną kategorię systemu AI wysokiego ryzyka wymienioną w Załączniku III.
Korzystać z informacji i instrukcji użytkowania dostarczonych przez dostawcę systemu AI na mocy Artykułu 13 jako obowiązkowych danych wejściowych do oceny.
Aktualizować ocenę, gdy kontekst wdrożenia zmieni się znacząco, w tym zmiany w kategoriach dotknięcych osób, celu użytkowania lub profilu ryzyka systemu.
Tam, gdzie wymagana jest również ocena skutków dla ochrony danych na mocy Artykułu 35 RODO, obie oceny mogą być przeprowadzane łącznie w celu zmniejszenia obciążenia administracyjnego, pod warunkiem że wszystkie elementy obu są uwzględnione.

Związek z innymi artykułami

Artykuł 27 znajduje się w Rozdziale 3 Tytułu III, który rozdziela obowiązki między dostawcami a podmiotami stosującymi. Należy go czytać łącznie z Artykułem 26 (obowiązki podmiotów stosujących ogólnie), który ustanawia szerszy obowiązek podmiotów stosujących do używania systemów wysokiego ryzyka zgodnie z instrukcjami dostawcy i wdrażania nadzoru ludzkiego. FRIA opiera się bezpośrednio na informacjach, które dostawca jest zobowiązany dostarczyć na mocy Artykułu 13 (przejrzystość i dostarczanie informacji podmiotom stosującym) i Artykułu 16(d) (obowiązek dostawcy do sporządzenia dokumentacji technicznej).

Artykuł 27(4) tworzy bezpośredni proceduralny związek z RODO: gdzie wymagana jest również DPIA na mocy Artykułu 35 Rozporządzenia (UE) 2016/679, obie oceny mogą zostać scalone. To powiązanie jest szczególnie istotne dla podmiotów stosujących przetwarzających dane osobowe, co będzie miało miejsce w większości regulowanych kontekstów objętych Załącznikiem III.

Artykuł 27 łączy się również z Artykułem 72 (nadzór rynku) i Artykułem 74 (dostęp do danych), ponieważ ukończona ocena musi być dostępna dla właściwych organów wykonujących funkcje nadzorcze.

Harmonogram zgodności

Akt o AI UE wszedł w życie 1 sierpnia 2024 r. (dwadzieścia dni po publikacji w Dzienniku Urzędowym 12 lipca 2024 r.). Jego przepisy mają zastosowanie etapowo:

2 lutego 2025 r. — Zakazy dotyczące praktyk AI z niedopuszczalnym ryzykiem (Artykuł 5) stały się stosowane.
2 sierpnia 2025 r. — Obowiązki dotyczące modeli AI ogólnego przeznaczenia (Tytuł VIII, Rozdział 2) i przepisy dotyczące zarządzania stały się stosowane.
2 grudnia 2026 r. — Obowiązki dotyczące systemów AI wysokiego ryzyka wymienionych w Załączniku I (przepisy dotyczące bezpieczeństwa produktów) stają się stosowane.
2 sierpnia 2027 r. — Obowiązki dotyczące systemów AI wysokiego ryzyka wymienionych w Załączniku III (samodzielne systemy wysokiego ryzyka, w tym te, które najprawdopodobniej uruchomią FRIA na mocy Artykułu 27 w obszarach takich jak zatrudnienie, edukacja, identyfikacja biometryczna i dostęp do usług publicznych) stają się stosowane.

Artykuł 27 mieści się w ramach obowiązków podmiotów stosujących systemy wysokiego ryzyka i dlatego staje się wykonalny 2 sierpnia 2027 r. dla systemów z Załącznika III i 2 grudnia 2026 r. dla systemów z Załącznika I. Podmioty stosujące nie powinny czekać do tych terminów: budowanie procesów FRIA już teraz pozwala organizacjom identyfikować i naprawiać zagrożenia dla praw podstawowych przed rozpoczęciem egzekwowania i dostosowywać oceny do bieżących programów DPIA na mocy RODO.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-23 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

Kto jest zobowiązany do przeprowadzenia oceny skutków dla praw podstawowych na mocy Artykułu 27?

Artykuł 27 ma zastosowanie w szczególności do podmiotów stosujących systemy AI wysokiego ryzyka, które są podmiotami prawa publicznego określonymi w Dyrektywie 2014/24/UE, lub podmiotami prywatnymi świadczącymi usługi o charakterze publicznym, takie jak bankowość, ubezpieczenia, opieka zdrowotna lub edukacja. Nie wszyscy podmioty stosujące są objęci — prywatne firmy działające wyłącznie w kontekstach komercyjnych bez wymiaru usługi publicznej zazwyczaj pozostają poza zakresem tego konkretnego obowiązku, choć nadal podlegają innym obowiązkom podmiotów stosujących wynikającym z Aktu o AI.

Kiedy ocena skutków dla praw podstawowych musi zostać zakończona?

Ocena musi zostać przeprowadzona przed wdrożeniem systemu AI wysokiego ryzyka. Jest to obowiązek przedwdrożeniowy, co oznacza, że podmiot stosujący musi przeprowadzić i udokumentować ocenę przed oddaniem systemu do użytku. Ocena powinna być aktualizowana w przypadku istotnych zmian w kontekście wdrożenia lub sposobie użytkowania systemu.

Jaka jest różnica między FRIA na mocy Artykułu 27 a oceną zgodności na mocy Artykułu 43?

Ocena zgodności na mocy Artykułu 43 jest przeprowadzana przez dostawcę lub w jego imieniu w celu weryfikacji, że system AI spełnia wymagania techniczne Rozdziału 2 przed wprowadzeniem na rynek. FRIA na mocy Artykułu 27 jest przeprowadzana przez podmiot stosujący w celu oceny konkretnego wpływu na prawa podstawowe w specyficznym kontekście wdrożenia. Są one komplementarne: ocena zgodności dotyczy wewnętrznej zgodności systemu, podczas gdy FRIA dotyczy rzeczywistego wpływu na osoby fizyczne w danym przypadku użycia.

Czy Artykuł 27 wymaga zewnętrznych audytorów, czy ocena może zostać przeprowadzona wewnętrznie?

Artykuł 27 nie nakazuje wyraźnie zewnętrznego audytu. Ocena może zostać przeprowadzona wewnętrznie przez podmiot stosujący. Podmioty stosujące muszą jednak w określonych przypadkach powiadomić właściwy organ nadzoru rynku przed wdrożeniem, a udokumentowana ocena musi być udostępniana właściwym organom na żądanie. Angażowanie zewnętrznych ekspertów jest najlepszą praktyką, szczególnie w przypadku złożonych lub wrażliwych kontekstów wdrożenia.

Jakich informacji od dostawcy podmiot stosujący musi użyć podczas przeprowadzania FRIA?

Podmioty stosujące muszą korzystać z informacji udostępnionych przez dostawcę na mocy Artykułu 13 (przejrzystość i dostarczanie informacji) oraz instrukcji użytkowania. Dostawcy są zobowiązani do dostarczenia wystarczających informacji o zamierzonym celu, możliwościach, ograniczeniach i ryzykach systemu, aby umożliwić podmiotom stosującym przeprowadzenie znaczącej oceny skutków dla praw podstawowych.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.