# SZABLON OCENY SKUTKÓW DLA PRAW PODSTAWOWYCH (FRIA)
## Fundamental Rights Impact Assessment — Art. 27 EU AI Act

**Wersja:** v1.0
**Data wydania:** 2026-05-16
**Podstawa prawna:** Art. 27 EU AI Act (Rozporządzenie (UE) 2024/1689)
**Status:** SZABLON — do wypełnienia przez klienta audytowanego (deployera high-risk)
**Klasyfikacja:** dokument metodyczny k0nsult / regulator-grade
**Dostawca szablonu:** k0nsult — niezależne usługi audytowe systemów AI (operator: Tomasz Obara, JDG; lobbysta MSWiA nr 00168)
**Hash dokumentu:** `<placeholder-for-self-hash>` (SHA-256 — wyliczany przy zatwierdzeniu wersji)

---

## SEKCJA META — JAK UŻYWAĆ TEGO SZABLONU

### M.1. Status k0nsult a FRIA

**k0nsult sam NIE ma obowiązku sporządzenia FRIA** — nie jest organem prawa publicznego ani podmiotem świadczącym usługi powszechne w rozumieniu Art. 27 ust. 1; system AI wykorzystywany operacyjnie przez k0nsult (Anthropic Claude) jest klasy **LIMITED RISK**, nie high-risk z Załącznika III.

**k0nsult dostarcza ten szablon klientom audytowanym** (banki, instytucje publiczne, podmioty stosujące systemy high-risk z Załącznika III) jako element usługi audytowej — wsparcie metodyczne w realizacji ich własnego obowiązku z Art. 27. Odpowiedzialność za treść wypełnionej FRIA i jej zgodność z prawem spoczywa na **deployerze** (kliencie).

### M.2. Kiedy FRIA jest WYMAGANA — Art. 27 ust. 1

FRIA musi przeprowadzić **podmiot stosujący (deployer) system high-risk** przed pierwszym użyciem, jeżeli należy do jednej z kategorii:

- **(i)** podmioty stosujące będące **podmiotami prawa publicznego** lub **podmiotami prywatnymi świadczącymi usługi publiczne** (Art. 27 ust. 1) — w odniesieniu do systemów high-risk z **Załącznika III** (z wyjątkiem pkt 2 — infrastruktura krytyczna);
- **(ii)** podmioty stosujące systemy high-risk z **Załącznika III pkt 5 lit. b** — ocena zdolności kredytowej / scoring kredytowy osób fizycznych;
- **(iii)** podmioty stosujące systemy high-risk z **Załącznika III pkt 5 lit. c** — ocena ryzyka i ustalanie cen w ubezpieczeniach na życie i zdrowotnych wobec osób fizycznych.

Przykłady klientów objętych: **banki** (scoring kredytowy — 5(b)), **zakłady ubezpieczeń** (life/health pricing — 5(c)), **instytucje publiczne / podmioty świadczące usługi publiczne** (np. systemy oceny uprawnień do świadczeń, edukacja, zatrudnienie w sektorze publicznym).

### M.3. Kiedy FRIA NIE jest wymagana

- System AI **nie jest high-risk** (limited / minimal risk) — FRIA nie dotyczy.
- System high-risk z **Załącznika III pkt 2** (infrastruktura krytyczna) — wyłączony z zakresu Art. 27 ust. 1.
- Deployer **nie jest** podmiotem publicznym / świadczącym usługi publiczne i **nie stosuje** systemu z 5(b)/5(c) — obowiązek FRIA nie powstaje (pozostają inne obowiązki deployera z Art. 26).
- **Powtarzalność:** jeżeli FRIA została już przeprowadzona dla podobnego użycia, deployer może opierać się na wcześniejszej ocenie, aktualizując ją w razie zmiany istotnych elementów (Art. 27 ust. 2 — aktualizacja zamiast pełnego powtórzenia).

### M.4. Relacja FRIA ↔ DPIA — Art. 27 ust. 4

> **Art. 27 ust. 4 AI Act:** jeżeli którykolwiek z obowiązków określonych w Art. 27 jest już spełniony w wyniku **oceny skutków dla ochrony danych (DPIA)** przeprowadzonej na podstawie **Art. 35 RODO**, FRIA **uzupełnia** tę DPIA.

Praktyka: FRIA i DPIA są komplementarne, nie zastępcze. DPIA koncentruje się na ochronie danych osobowych; FRIA obejmuje szerszy katalog praw podstawowych (godność, niedyskryminacja, dostęp do usług, środki ochrony prawnej). Zaleca się prowadzenie obu jako powiązanych dokumentów z odsyłaczami krzyżowymi.

### M.5. Notyfikacja do organu — Art. 27 ust. 3

> **Art. 27 ust. 3 AI Act:** po przeprowadzeniu FRIA podmiot stosujący **powiadamia organ nadzoru rynku** o jej wynikach, przedkładając wypełniony **szablon** (template przygotowywany przez AI Office / Komisję — gdy dostępny, ma pierwszeństwo nad układem niniejszego dokumentu). Organ może w wyjątkowych okolicznościach zwolnić z notyfikacji.

Notyfikacja: do **organu nadzoru rynku** właściwego dla deployera (w Polsce — organ wskazany w krajowej ustawie wdrażającej AI Act). Deployer ustala adresata i tryb zgłoszenia przed pierwszym użyciem systemu.

### M.6. Konwencja wypełniania

- Pola do wypełnienia oznaczone `[___]` — zastąpić treścią właściwą dla deployera i konkretnego systemu.
- Sekcje A–F odpowiadają literom **Art. 27 ust. 1 lit. a–f** AI Act.
- Fragment ilustracyjny (sekcja „PRZYKŁAD") — wyłącznie poglądowy, NIE stanowi treści wiążącej; usunąć z finalnej FRIA.
- Każda FRIA podpisana przez osobę odpowiedzialną u deployera + data + wersja.

---

## CZĘŚĆ 1 — METRYCZKA DEPLOYERA I SYSTEMU

| Pole | Wartość |
|------|---------|
| Nazwa deployera (podmiotu stosującego) | `[___]` |
| Forma prawna / NIP / REGON | `[___]` |
| Status wg Art. 27 ust. 1 (publiczny / usługi publiczne / 5(b) scoring kredytowy / 5(c) ubezpieczenia) | `[___]` |
| Osoba odpowiedzialna za FRIA (imię, stanowisko, kontakt) | `[___]` |
| Nazwa systemu AI high-risk | `[___]` |
| Dostawca systemu (provider) | `[___]` |
| Kategoria Załącznika III (pkt + litera) | `[___]` |
| Data planowanego pierwszego użycia | `[___]` |
| Powiązana DPIA (sygnatura/data, jeśli istnieje) | `[___]` |
| Organ nadzoru rynku (adresat notyfikacji Art. 27 ust. 3) | `[___]` |

---

## CZĘŚĆ 2 — TREŚĆ FRIA wg Art. 27 ust. 1 lit. a–f

### SEKCJA A — Opis procesów deployera, w których system high-risk będzie używany *(Art. 27 ust. 1 lit. a)*

> Opis procesów podmiotu stosującego, w których system AI wysokiego ryzyka będzie wykorzystywany zgodnie z przeznaczeniem.

`[Opisz proces biznesowy/administracyjny, miejsce systemu AI w procesie, dane wejściowe i wyjściowe, decyzje wspierane lub podejmowane, integrację z procesem decyzyjnym człowieka.]`

`[___]`

---

### SEKCJA B — Okres i częstotliwość użycia *(Art. 27 ust. 1 lit. b)*

> Wskazanie okresu, w którym system high-risk ma być używany, oraz częstotliwości użycia.

| Element | Wartość |
|---------|---------|
| Okres użycia (od / do / bezterminowo) | `[___]` |
| Częstotliwość (ciągła / wsadowa / na żądanie) | `[___]` |
| Szacowany wolumen (liczba spraw/osób / okres) | `[___]` |

---

### SEKCJA C — Kategorie osób fizycznych i grup, na które system oddziałuje *(Art. 27 ust. 1 lit. c)*

> Kategorie osób fizycznych i grup osób, których może dotyczyć użycie systemu w danym kontekście.

`[Wymień kategorie: np. wnioskodawcy kredytowi, ubezpieczeni, beneficjenci świadczeń, kandydaci do pracy, uczniowie/studenci. Wskaż grupy szczególnie wrażliwe: osoby o niskim dochodzie, osoby z niepełnosprawnościami, mniejszości, osoby starsze, dzieci.]`

`[___]`

---

### SEKCJA D — Konkretne ryzyka szkody dla wskazanych grup *(Art. 27 ust. 1 lit. d)*

> Konkretne ryzyka szkody mogące wpłynąć na kategorie/grupy zidentyfikowane w sekcji C, **z uwzględnieniem informacji przekazanych przez dostawcę zgodnie z Art. 13** (instrukcja użytkowania).

| # | Prawo podstawowe zagrożone | Opis ryzyka szkody | Grupa dotknięta | Prawdopodobieństwo (N/Ś/W/K) | Dotkliwość (N/Ś/W/K) | Źródło info dostawcy (Art. 13) |
|---|----------------------------|--------------------|-----------------|------------------------------|----------------------|--------------------------------|
| 1 | `[np. niedyskryminacja]` | `[___]` | `[___]` | `[___]` | `[___]` | `[___]` |
| 2 | `[np. ochrona danych]` | `[___]` | `[___]` | `[___]` | `[___]` | `[___]` |
| 3 | `[np. dostęp do usług / godność]` | `[___]` | `[___]` | `[___]` | `[___]` | `[___]` |
| … | `[___]` | `[___]` | `[___]` | `[___]` | `[___]` | `[___]` |

Skala: **N** niskie (1) / **Ś** średnie (2) / **W** wysokie (3) / **K** krytyczne (4).

---

### SEKCJA E — Środki nadzoru ludzkiego *(Art. 27 ust. 1 lit. e)*

> Opis wdrożenia środków nadzoru ludzkiego zgodnie z instrukcją użytkowania (powiązanie z **Art. 14** AI Act).

| Środek nadzoru | Opis wdrożenia u deployera |
|----------------|----------------------------|
| Osoby sprawujące nadzór (rola, kompetencje, szkolenie Art. 4) | `[___]` |
| Punkt interwencji ludzkiej w procesie | `[___]` |
| Możliwość odstąpienia od wyniku / nadpisania decyzji AI | `[___]` |
| Mechanizm zatrzymania (stop / kill-switch) | `[___]` |
| Przeciwdziałanie automation bias | `[___]` |

---

### SEKCJA F — Środki w razie materializacji ryzyka *(Art. 27 ust. 1 lit. f)*

> Środki, które zostaną podjęte w przypadku urzeczywistnienia się ryzyk — w tym ustalenia dotyczące **zarządzania wewnętrznego (governance)**, mechanizmów **skarg (complaint)** i **środków ochrony prawnej / naprawczych (redress)**.

| Element | Opis |
|---------|------|
| Governance wewnętrzny (kto odpowiada, ścieżka eskalacji) | `[___]` |
| Mechanizm skarg dla osób dotkniętych (kanał, termin rozpatrzenia) | `[___]` |
| Środki ochrony prawnej / odwołania (Art. 86 AI Act — prawo do wyjaśnienia indywidualnych decyzji) | `[___]` |
| Działania korygujące przy stwierdzeniu szkody | `[___]` |
| Powiadomienie organu nadzoru rynku (Art. 27 ust. 3) — data i forma | `[___]` |
| Aktualizacja FRIA przy zmianie istotnych elementów (Art. 27 ust. 2) | `[___]` |

---

## CZĘŚĆ 3 — PRZYKŁAD ILUSTRACYJNY (do usunięcia z finalnej FRIA)

> Fragment poglądowy dla **Sekcji D** — bank stosujący system high-risk do scoringu kredytowego osób fizycznych (Załącznik III pkt 5 lit. b). Wartości fikcyjne, wyłącznie metodyczne.

| # | Prawo podstawowe | Opis ryzyka szkody | Grupa dotknięta | Prawdopod. | Dotkliwość | Źródło info dostawcy (Art. 13) |
|---|------------------|--------------------|-----------------|-----------|-----------|--------------------------------|
| 1 | Niedyskryminacja (art. 21 KPP UE) | Model może systematycznie zaniżać scoring wnioskodawców z dzielnic o niższym statusie socjoekonomicznym wskutek korelacji cechy lokalizacyjnej z chronionym proxy (pośrednia dyskryminacja) | Wnioskodawcy o niskim dochodzie, mieszkańcy określonych kodów pocztowych | Ś (2) | W (3) | Instrukcja Art. 13 — sekcja „znane ograniczenia": dokładność spada dla podgrup niedoreprezentowanych w danych treningowych |
| 2 | Ochrona danych osobowych (art. 8 KPP UE) | Zautomatyzowana decyzja kredytowa bez wystarczającej interwencji ludzkiej — ryzyko naruszenia Art. 22 RODO | Wszyscy wnioskodawcy indywidualni | Ś (2) | W (3) | Instrukcja Art. 13 — wskazany wymóg human review przed decyzją odmowną |

Przykład **Sekcji E** (środki nadzoru ludzkiego) dla powyższego: każda decyzja odmowna przechodzi przegląd analityka kredytowego przeszkolonego zgodnie z Art. 4; analityk ma uprawnienie do nadpisania scoringu z uzasadnieniem pisemnym; kwartalny audyt rozkładu odmów wg grup wrażliwych; kill-switch — zawieszenie modelu i przejście na proces manualny przy wykryciu dryfu dyskryminacyjnego > próg.

---

## CZĘŚĆ 4 — ZATWIERDZENIE FRIA (po stronie deployera)

| Sygnatariusz | Rola u deployera | Podpis | Data |
|--------------|------------------|--------|------|
| `[imię nazwisko]` | `[osoba odpowiedzialna za AI compliance]` | `[___]` | `[____-__-__]` |
| `[imię nazwisko]` | `[DPO / inspektor ochrony danych]` | `[___]` | `[____-__-__]` |

**Notyfikacja Art. 27 ust. 3:** przekazano organowi nadzoru rynku dnia `[____-__-__]`, forma: `[___]`, nr referencyjny: `[___]`.

---

*Szablon metodyczny dostarczony przez k0nsult w ramach niezależnej usługi audytu systemów AI (pilotaż bezpłatny do 31.12.2026). Wersja angielska: `FRIA_TEMPLATE_K0NSULT_v1_EN.md`.*
*Podstawa: EU AI Act (Reg. (UE) 2024/1689) Art. 27. Odpowiedzialność za treść wypełnionej FRIA spoczywa na deployerze. K0NSULT © 2026.*