Publiczne mapowanie obowiązków dostawcy systemu AI wysokiego ryzyka (EU AI Act art. 9–15, 72, 73) na moduły K0NSULT Sp. z o.o. Status dokumentu: DRAFT ROBOCZY · claim ≤ proof
Niniejszy dokument nie stanowi opinii prawnej ani certyfikacji zgodności. Nie jest wydany przez certyfikowane ciało oceny zgodności ani przez organ notyfikowany. Nie stanowi oficjalnego dokumentu piaskownicy regulacyjnej. Nie jest zatwierdzony ani zweryfikowany przez Ministerstwo Cyfryzacji ani żaden inny organ nadzoru.
Mapowanie ma charakter roboczy i wewnętrzny — służy wyłącznie celom gap analysis i samooceny. Statusy (GOOD / PARTIAL / DRAFT) opierają się wyłącznie na zweryfikowanych artefaktach dostępnych na dzień publikacji (claim ≤ proof). Interpretacja obowiązków prawnych wymaga potwierdzenia przez właściwy organ lub uprawnionego prawnika.
| Art. | Obowiązek | Co jest wymagane | Moduł K0NSULT | Status | GAP / Uwagi |
|---|---|---|---|---|---|
| Art. 9 | Zarządzanie ryzykiem | Identyfikacja, ocena, mitygacja i dokumentacja systemu zarządzania ryzykiem przez cały cykl życia systemu AI | risk register / scoring (evidence pack, scoreboard /api/scores) |
PARTIAL | Brak formalnej walidacji procedury zarządzania ryzykiem przez niezależną stronę; metodologia scoring nie opublikowana jako dokument normatywny |
| Art. 10 | Zarządzanie danymi | Jakość danych treningowych/testowych/walidacyjnych — relevance, completeness, freedom from errors; odpowiednie praktyki data governance | data matrix (rejestr źródeł, ENVOIS 3.0 dataset inventory) |
PARTIAL | Brak DPIA (art. 35 RODO); brak udokumentowanego procesu walidacji kompletności i poprawności danych |
| Art. 11 | Dokumentacja techniczna | Kompletna dokumentacja techniczna przed wprowadzeniem na rynek, aktualizowana przez cały cykl życia systemu AI; format zgodny z Załącznikiem IV EU AI Act | evidence pack (dossier FACTDNA, CPS v0.1, manifest agentów) |
PARTIAL | Brak finalnego formatu wg Załącznika IV; obecne artefakty nie pokrywają wszystkich wymaganych sekcji |
| Art. 12 | Rejestrowanie zdarzeń (logging) | Automatyczne logowanie zdarzeń przez cały czas działania systemu AI; umożliwienie ex-post weryfikacji działania systemu | audit trail (/api/messages okno ~100, chat POST /api/send logi) |
PARTIAL | Brak polityki retencji logów; okno ~100 wiadomości niewystarczające dla art. 12 ust. 1; brak integracji z trwałym magazynem logów |
| Art. 13 | Przejrzystość i informowanie użytkowników | Opis przeznaczenia, ograniczeń, poziomu dokładności, charakteru interakcji człowiek-AI; informacje dostępne dla użytkowników | report metadata (k0nsult.cloud, strony AI Truth, metadane agentów /api/agents) |
GOOD | Notices user-facing wdrożone. Zalecane rozszerzenie o komunikaty inline przy każdym output AI |
| Art. 14 | Nadzór ludzki (human oversight) | Środki umożliwiające osobom nadzorującym zrozumienie, monitorowanie i interwencję; kill-switch; SOP dla operatora | operator gates (GOK workflow, OPERATOR_PASSWORD, approve pending, gating workflow) |
PARTIAL | Brak formalnego SOP (Standard Operating Procedure) dla operatora; brak pisemnej procedury interwencji; approve-flow bez ścieżki eskalacji |
| Art. 15 | Dokładność, solidność, cyberbezpieczeństwo | Wymagane poziomy dokładności; odporność na błędy i ataki; środki bezpieczeństwa; formalny pentest przez niezależny podmiot | security baseline (security pass: SSRF+leaks naprawione; 3× HIGH open: admin/operator bez auth, CORS, CSP) |
PARTIAL | P0-KRYTYCZNE: 3 otwarte HIGH security issues (admin/operator bez auth, CORS, CSP); brak niezależnego pentestów; brak udokumentowanego poziomu dokładności |
| Art. 72 | Monitorowanie po wprowadzeniu na rynek | Aktywne zbieranie i analizowanie danych po wdrożeniu; formalny plan monitorowania; zdefiniowane KPI i progi alarmowe; procedura raportowania wyników | monitor plan (CronCreate */5 heartbeat, ENVOIS 3.0 drift monitoring, KOWAL drift tracking) |
DRAFT | Plan monitorowania nie istnieje jako formalny dokument; brak KPI/thresholds; brak procedury raportowania do organu nadzoru |
| Art. 73 | Poważne incydenty — zgłaszanie | Obowiązek zgłaszania poważnych incydentów i nieprawidłowego funkcjonowania do organów nadzoru rynku; formalny kanał zgłoszeń; szablon incydentu | incident register (CASE-DZIELO-0904 jako precedens, CASE-001 FACTDNA evidence review) |
DRAFT | Brak formalnego kanału zgłoszeń do organu; brak zidentyfikowanego organu właściwego PL dla EU AI Act; brak szablonu zgłoszenia; rejestr ad-hoc |
Żaden artykuł nie ma statusu MISSING — wszystkie obowiązki są co najmniej adresowane na poziomie modułu. Jednak PARTIAL i DRAFT oznaczają istotne luki niedomkniętych wymagań produkcyjnych.
| Priorytet | Art. | Opis luki | Blokuje |
|---|---|---|---|
| P0 — Krytyczne | Art. 15 | 3 otwarte HIGH security issues: admin/operator bez auth, CORS, CSP — blokują jakiekolwiek twierdzenia o cyberbezpieczeństwie | Każde twierdzenie o bezpieczeństwie systemu |
| P1 — Wysokie | Art. 10 | DPIA (ocena skutków dla ochrony danych, art. 35 RODO) — wymagana przed przetwarzaniem danych osobowych w systemie AI | Przetwarzanie danych osobowych, zgłoszenie do organu |
| P1 — Wysokie | Art. 11 | Format dokumentacji technicznej zgodny z Załącznikiem IV EU AI Act — wymagany przed wprowadzeniem na rynek | Wprowadzenie systemu na rynek / zgłoszenie |
| P2 — Średnie | Art. 12 | Polityka retencji logów + trwały magazyn logów — wymóg ciągłości zapisów ex-post | Audyt i weryfikacja działania systemu |
| P2 — Średnie | Art. 14 | SOP dla operatora + pisemna procedura interwencji + ścieżka eskalacji | Formalny nadzór człowieka |
| P3 — Planowe | Art. 72 | Formalizacja planu monitorowania po wdrożeniu, KPI, progi, procedura raportowania do organu | Post-market compliance |
| P3 — Planowe | Art. 73 | Kanał zgłaszania incydentów, identyfikacja właściwego organu PL, szablon zgłoszenia, systematyczna procedura | Obowiązek zgłoszeń incydentów do nadzoru rynku |
| Status | Znaczenie |
|---|---|
| GOOD | Moduł wdrożony, artefakty zweryfikowane (claim ≤ proof), luki marginalne |
| PARTIAL | Moduł istnieje, artefakty częściowe, zidentyfikowane istotne luki wymagające działania przed wdrożeniem produkcyjnym |
| DRAFT | Moduł w fazie projektowej, brak wdrożonych artefaktów produkcyjnych — nie spełnia wymagań art. high-risk |
| MISSING | Brak modułu, nie zidentyfikowano żadnych artefaktów (0 artykułów w tej kategorii) |
| Pole | Wartość |
|---|---|
| Dokument | MC-IMPL F4 MC-4.2 (checklista publiczna) |
| Podmiot | K0NSULT Sp. z o.o. — KRS 0001239441, NIP 5253089872 |
| Data publikacji | 2026-06-10 |
| Źródło regulacyjne | Rozporządzenie (UE) 2024/1689 (EU AI Act), Dz.U. UE L 2024/1689 |
| Zakres artykułów | Art. 9, 10, 11, 12, 13, 14, 15, 72, 73 |
| Metodologia | claim ≤ proof — Standard CPS v0.1 (każdy status oparty na zweryfikowanych artefaktach) |
| Następna rewizja | Po zamknięciu GAP P0/P1 lub nie później niż 2026-07-10 |
| Encoding | UTF-8 |
| Powiązany dokument | MC-IMPL F4 MC-4.1 — HIGH_RISK_REQUIREMENTS_TO_K0NSULT_MODULES (wewnętrzny) |
Niniejsza checklista nie stanowi opinii prawnej ani certyfikacji zgodności z EU AI Act. Nie jest wydana przez certyfikowane ani notyfikowane ciało oceny zgodności. Nie stanowi oficjalnej piaskownicy regulacyjnej ani zatwierdzenia przez Ministerstwo Cyfryzacji lub jakikolwiek inny organ nadzoru. Interpretacja obowiązków wynikających z rozporządzenia (UE) 2024/1689 wymaga potwierdzenia przez właściwy organ lub uprawnionego prawnika.
Statusy PARTIAL / GAP / GOOD odzwierciedlają stan wiedzy i dostępnych artefaktów na dzień publikacji (claim ≤ proof). K0NSULT Sp. z o.o. nie składa żadnych oświadczeń o pełnej zgodności (full compliance) z EU AI Act na podstawie tego dokumentu.