FRIA – Fundamental Rights Impact Assessment. Co to jest i wzór do pobrania.

FRIA – Fundamental Rights Impact Assessment. Co to jest i wzór do pobrania.

Od 2 sierpnia 2026 (chyba że przesuną na przyszły rok...) część firm wdrażających systemy AI wysokiego ryzyka musi przeprowadzić nową ocenę – Fundamental Rights Impact Assessment, czyli FRIA. To nie jest to samo co DPIA z RODO. To jest osobny dokument który wymaga osobnej pracy. I większość firm jeszcze o nim nie słyszała.

AI Act wprowadza obowiązek o którym branża compliance w Polsce dopiero zaczyna mówić. Art. 27 rozporządzenia o sztucznej inteligencji nakłada na określone podmioty obowiązek przeprowadzenia Fundamental Rights Impact Assessment przed pierwszym wdrożeniem systemu AI wysokiego ryzyka.

Przepis jest świeży, polska doktryna dopiero się tworzy, oficjalny szablon Komisji Europejskiej dopiero się stabilizuje. Ale obowiązek nadchodzi – i firmy które poczekają z analizą do lipca 2026 obudzą się z poważnym problemem.

Czym jest FRIA i dlaczego nie jest tym samym co DPIA

Pierwsze co warto sobie ułożyć w głowie.

DPIA z art. 35 RODO ocenia wpływ przetwarzania danych osobowych na prawa i wolności osób fizycznych w kontekście ochrony danych. FRIA z art. 27 AI Act ocenia wpływ konkretnego systemu AI wysokiego ryzyka na prawa podstawowe gwarantowane Kartą Praw Podstawowych UE.

Zakres jest szerszy. FRIA nie patrzy tylko na ochronę danych. Patrzy na całe spektrum praw podstawowych – godność człowieka, niedyskryminację, ochronę przed nierównym traktowaniem, prawo do dobrej administracji, dostęp do wymiaru sprawiedliwości, ochronę konsumenta.

Te dwa dokumenty mogą się uzupełniać. AI Act wprost dopuszcza wykorzystanie elementów DPIA w ramach FRIA jeśli zakres tematyczny się pokrywa. Ale FRIA nie zastępuje DPIA i odwrotnie. To są dwa osobne obowiązki które razem składają się na pełną ocenę ryzyka systemu AI.

Kto musi przeprowadzić FRIA

Pierwsza kategoria: podmioty prawa publicznego.

Organy administracji państwowej, samorządowej, urzędy, ministerstwa, ZUS, urzędy skarbowe, gminy, starostwa. Każdy taki podmiot który wdraża system AI wysokiego ryzyka – musi przeprowadzić FRIA.

Druga kategoria: prywatne podmioty świadczące usługi publiczne.

Chodzi o podmioty prywatne ale wykonujące zadania o charakterze publicznym – placówki ochrony zdrowia, instytucje edukacyjne, podmioty świadczące usługi społeczne, niektóre spółki komunalne, prywatne uczelnie.

Granica jest często nieostra i wymaga analizy konkretnego przypadku. Prywatna przychodnia która wdraża system AI do triage pacjentów – świadczy usługę publiczną w obszarze ochrony zdrowia. Prywatna firma która używa AI do oceny zdolności kredytowej własnych klientów – nie świadczy usługi publicznej w rozumieniu art. 27.

Trzecia kategoria: deployery konkretnych systemów AI wymienionych w załączniku III AI Act.

Tu są dwa specyficzne przypadki: systemy AI używane do oceny zdolności kredytowej lub scoringu kredytowego osób fizycznych oraz systemy AI używane do oceny ryzyka i wyceny składek w ubezpieczeniach na życie i zdrowotnych.

Te dwa przypadki są wymienione wprost niezależnie od tego czy podmiot je wdrażający jest organem publicznym. Banki i ubezpieczyciele wdrażający scoring AI – FRIA jest obowiązkowa.

Czego art. 27 wymaga w FRIA – sześć obowiązkowych elementów

FRIA musi zawierać sześć konkretnych elementów. Lista jest zamknięta i każdy element jest obowiązkowy.

1. Opis procesów deployera w których system AI będzie używany.

Konkretny opis jak system będzie wdrożony w organizacji – do jakich zadań, w jakich procesach biznesowych, jak będzie zintegrowany z istniejącą infrastrukturą. Nie ogólnie "do scoringu" ale konkretnie "do oceny zdolności kredytowej klientów indywidualnych przy wnioskach o kredyt powyżej 50 tysięcy złotych w procesie X."

2. Okres używania i częstotliwość.

Kiedy system będzie używany, w jakim oknie czasowym, jak często. Czy to jest jednorazowe wdrożenie pilotażowe na trzy miesiące czy ciągłe użycie w produkcji.

3. Kategorie osób fizycznych i grup których to dotyczy.

Kto konkretnie będzie poddany decyzjom systemu AI. Klienci firmy, pracownicy, kandydaci do pracy, obywatele wnioskujący o świadczenie. Im bardziej konkretnie tym lepiej.

4. Konkretne ryzyka szkody które mogą się zmaterializować dla zidentyfikowanych grup.

To jest serce FRIA. Lista ryzyk – nie ogólnie "ryzyko dyskryminacji" ale konkretnie "ryzyko dyskryminacji ze względu na płeć w decyzjach kredytowych ze względu na sposób treningu modelu na danych historycznych w których kobiety dostawały mniejsze kredyty."

Każde ryzyko powinno być powiązane z konkretnym prawem podstawowym które może zostać naruszone – godność, niedyskryminacja, prywatność, dostęp do informacji, prawo do dobrej administracji, prawo do skutecznej ochrony sądowej.

5. Środki nadzoru ludzkiego.

Jak organizacja zapewni że system AI nie podejmuje decyzji bez realnego nadzoru człowieka. Kto, kiedy i jak weryfikuje decyzje algorytmu. Co konkretnie człowiek może zrobić jeśli nie zgadza się z decyzją systemu.

Tu szczególnie ważne jest unikanie fikcyjnego nadzoru – sytuacji gdy "człowiek zatwierdza" decyzję klikając "OK" bez realnej możliwości jej oceny. UODO i organy nadzorcze AI Act będą szczególnie patrzeć na ten element.

6. Środki podejmowane w przypadku materializacji ryzyka.

Procedury reagowania gdy zmaterializuje się któreś z ryzyk wymienionych w punkcie 4. Mechanizmy wewnętrzne. Procedura skarg. Możliwość odwołania od decyzji systemu AI. Sposób informowania osób poszkodowanych.

Jak skorzystać z gotowych szablonów

Komisja Europejska pracuje nad oficjalnym szablonem Komisji Europejskiej ale do tego czasu kilka publicznych instytucji opublikowało wzory które można wykorzystać jako punkt wyjścia.

The Danish Institute for Human Rights wydał najbardziej kompleksowy publiczny przewodnik z gotowym szablonem do pobrania:
A guide to Fundamental Rights Impact Assessments under the EU AI Act

Holenderska ICTRecht opublikowała template.

W Polsce – do czasu wydania oficjalnej polskiej wersji szablonu UODO i Komitetu AI – warto bazować na wzorach innych organów i adaptować go do własnych potrzeb.

Czego nie robić przy FRIA

Trzy najczęstsze błędy które już teraz obserwuję w pierwszych pilotażowych wdrożeniach FRIA w polskich firmach.

Pierwszy: kopiowanie DPIA i nazywanie tego FRIA.

DPIA i FRIA dotyczą różnych obszarów. Kopiowanie istniejącego DPIA i dopisywanie do tytułu "Fundamental Rights" nie wystarczy. FRIA wymaga analizy całego spektrum praw podstawowych a nie tylko ochrony danych.

Drugi: traktowanie FRIA jako dokumentu jednorazowego.

FRIA jest dokumentem żywym. Art. 27 wymaga aktualizacji gdy zmienia się sposób użycia systemu, kontekst wdrożenia albo gdy pojawiają się nowe ryzyka. FRIA z 2026 roku nie jest dokumentem na zawsze.


Powiadomienie organu nadzorczego rynku

Art. 27 ust. 3 nakłada obowiązek powiadomienia organu nadzorczego rynku o wynikach FRIA przez przesłanie wypełnionego szablonu jako część zgłoszenia.

W Polsce organem nadzorczym dla AI Act zgodnie z ustawą o systemach sztucznej inteligencji ma być Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji (KRiBSI)

Firmy które przeprowadzają FRIA już teraz – warto żeby zachowały dokumentację gotową do złożenia gdy procedura zostanie ostatecznie wdrożona.

Co zrobić dziś jeśli wiesz że Twoja firma będzie musiała przeprowadzić FRIA

Trzy kroki w kolejności.

Po pierwsze – zinwentaryzuj wszystkie systemy AI używane lub planowane do wdrożenia w organizacji. Sprawdź które z nich są systemami wysokiego ryzyka zgodnie z załącznikiem III AI Act. Sprawdź czy Twoja organizacja należy do którejkolwiek z trzech kategorii deployerów objętych obowiązkiem FRIA.

Po drugie – zacznij od jednego systemu jako pilotaż. Pobierz wzór duński, przeprowadź pilotażową FRIA. Zobacz gdzie są luki w Twojej wiedzy o systemie. Często okazuje się że FRIA wymaga informacji których dostarczyciel AI nie udostępnił domyślnie.

Po trzecie – zaplanuj zasoby. FRIA wymaga interdyscyplinarnego zespołu – IOD, compliance, prawnik, ekspert techniczny od AI, czasem etyk i ekspert od konkretnej dziedziny w której system będzie używany. Sześć obowiązkowych elementów art. 27 nie zostanie wypełnionych w godzinę przez jedną osobę.

Termin 2 sierpnia 2026 zbliża się szybciej niż większość firm zakłada. Pierwsze wdrożenia FRIA w polskich organizacjach pokazują że pełna ocena dla jednego systemu wymaga 2-4 tygodni intensywnej pracy zespołowej.

Lepiej zacząć teraz niż w lipcu.

A moja propozycja wzoru jest TUTAJ (opracowanie własne na podstawie wymogów AI Act Art. 27, KPP EU i wytycznych HLEG Ethics Guidelines for Trustworthy AI)

Czy mała firma która używa ChatGPT do obsługi klienta musi robić FRIA?

Najprawdopodobniej nie. FRIA dotyczy wyłącznie deployerów systemów AI wysokiego ryzyka określonych w załączniku III AI Act. ChatGPT używany do obsługi klienta w typowych zastosowaniach nie jest systemem wysokiego ryzyka. Wysoki poziom ryzyka mają systemy wykorzystywane w konkretnych celach – scoring kredytowy, ocena ryzyka ubezpieczeniowego, systemy używane w edukacji do oceny uczniów, systemy rekrutacyjne, systemy używane w wymiarze sprawiedliwości. Jeśli Twoja firma nie wdraża systemów w tych celach – FRIA Cię nie dotyczy. Co nie znaczy że nie masz innych obowiązków z AI Act – obowiązek transparentności wobec użytkowników i klasyfikacja systemu nadal Cię dotyczą.

Czy bank musi robić FRIA dla każdego klienta indywidualnie czy raz dla całego systemu?

Raz dla całego systemu przed pierwszym wdrożeniem. FRIA jest oceną systemu AI a nie poszczególnych decyzji. Bank wdrażający system scoringowy AI przeprowadza FRIA raz – z aktualizacjami gdy system się zmienia, gdy zmienia się sposób jego używania albo gdy zmienia się populacja klientów. Każda konkretna decyzja kredytowa nie wymaga osobnej FRIA – wymaga natomiast realnego nadzoru ludzkiego nad decyzją zgodnie z mechanizmem opisanym w FRIA.

Jakie konsekwencje grożą za niewykonanie FRIA?

AI Act przewiduje kary za naruszenia do 15 milionów euro lub 3% rocznego globalnego obrotu, w zależności która kwota jest wyższa. Niewykonanie obowiązkowej FRIA może być potraktowane jako naruszenie samodzielne albo jako okoliczność obciążająca przy ocenie innych naruszeń. Dodatkowo organ nadzorczy może nakazać wstrzymanie używania systemu do czasu przeprowadzenia oceny. Dla podmiotów publicznych konsekwencje wykraczają poza karę finansową – obejmują też ryzyko reputacyjne i potencjalne roszczenia od osób które doznały szkody w wyniku decyzji systemu. Czas pokaże jak będzie faktycznie.

Jak FRIA łączy się z DPIA i czy mogę wykorzystać istniejący DPIA jako część FRIA?

Możesz wykorzystać elementy DPIA w FRIA – AI Act wprost to dopuszcza. Ale nie możesz zastąpić FRIA przez DPIA bo zakres jest różny. DPIA koncentruje się na prawach związanych z ochroną danych. FRIA obejmuje całe spektrum praw podstawowych. Praktyczne podejście to przeprowadzenie obu dokumentów równolegle z elementami wspólnymi które adresują nakładające się obszary. Sekcja DPIA o profilowaniu i zautomatyzowanych decyzjach może być rozszerzona o analizę z perspektywy FRIA. Sekcja FRIA o ochronie prywatności może odnosić się do wniosków z DPIA bez ich powtarzania.

Kto w firmie powinien być odpowiedzialny za FRIA?

FRIA wymaga zespołu interdyscyplinarnego a nie jednej osoby. W praktyce skuteczne wdrożenia mają lidera projektu który koordynuje pracę – często jest to IOD lub compliance manager – wspartego przez ekspertów technicznych od AI, prawnika znającego prawo praw człowieka, specjalistę od konkretnej dziedziny w której system będzie używany, a w wybranych przypadkach etyka i przedstawiciela grup których system dotyczy. Sama IOD nie jest w stanie przeprowadzić wartościowej FRIA – brakuje mu wiedzy technicznej o systemie i wiedzy domenowej o kontekście wdrożenia.

Czy FRIA jest dokumentem publicznym czy poufnym?

AI Act wymaga zgłoszenia wyników FRIA do organu nadzorczego ale nie nakazuje publikacji dokumentu. Część doktryny opowiada się za transparentnością – publikowanie FRIA jako element budowania zaufania do systemów AI. Część za poufnością – ze względu na ochronę tajemnicy przedsiębiorstwa i bezpieczeństwa systemu. W każdym przypadku FRIA musi być dostępna dla organu nadzorczego i może być udostępniona w ramach kontroli lub postępowania administracyjnego.

Co jeśli FRIA wykaże wysokie ryzyko naruszenia praw podstawowych?

Wynik FRIA nie jest werdyktem zakazującym wdrożenia. Jest oceną ryzyka która wymaga reakcji. Wysokie ryzyko zidentyfikowane w FRIA oznacza obowiązek wdrożenia środków minimalizujących to ryzyko przed pierwszym użyciem systemu. Może to obejmować modyfikację samego systemu – dotrenowanie modelu na bardziej zrównoważonych danych, ograniczenie zakresu jego stosowania – ale też wdrożenie środków organizacyjnych – wzmocnienie nadzoru ludzkiego, dodatkowe procedury weryfikacji, mechanizmy szybkiej reakcji na incydenty. Jeśli ryzyko jest tak wysokie że nie da się go zmitygować do akceptowalnego poziomu – uczciwą konsekwencją jest rezygnacja z wdrożenia systemu.

Kiedy konkretnie muszę aktualizować FRIA?

Art. 27 wymaga aktualizacji gdy zmienia się którykolwiek z elementów wymienionych w ust. 1. W praktyce oznacza to konieczność aktualizacji gdy zmieniasz sposób użycia systemu, gdy rozszerzasz go o nowe grupy odbiorców, gdy zmienia się sam system AI (nowa wersja, dotrenowany model), gdy zmienia się kontekst regulacyjny lub gdy zidentyfikowane zostają nowe ryzyka których nie było w pierwotnej ocenie. Praktyczne podejście to roczny przegląd FRIA jako minimum plus aktualizacja przy każdej znaczącej zmianie w systemie. FRIA z trzech lat temu opisująca system który dziś działa inaczej – jest dokumentem martwym.

Artykuł powstał przy wsparciu AI. Weryfikacja merytoryczna i redakcja: Damian Bielecki, Typ od RODO.

Powrót do blogu

Zostaw komentarz

Damian Bielecki

Damian Bielecki "Typ od RODO"

Ekspert ds. ochrony danych osobowycgh. Człowiek który postanowił że prawo o ochronie danych nie musi być nudne. W sieci działa jako Typ od RODO – tłumaczy RODO, CyberSec i AI Act językiem który rozumie biznes a nie tylko prawnicy. Ekspert który uzyskał certyfikaty CIPP/E, CIPM i FIP. Jeśli potrzebujesz pomocy z RODO lub marką osobistą – sprawdź jak pracuję wchodząc w linki.