K0NSULT // ai-truth/ipIII
k0nsult.cloud / ai-truth / ipIII / compliance

Compliance & raportowanie

Legal/Compliance Engine (Moduł 6) i Faza 5 łańcucha reagowania. Silnik przekłada sklasyfikowany incydent na obowiązki regulacyjne, generuje szablony raportów do organów z zachowaniem terminów ustawowych i utrzymuje audytowalny rejestr decyzji. Doktryna: claim ≤ proof — żaden raport nie wychodzi bez powiązanego łańcucha dowodowego.

Zastrzeżenie. Szablony i mapowania są ramowe i edukacyjne — nie stanowią certyfikacji, audytu ani opinii prawnej. Wspierają przygotowanie zgłoszenia, ale nie zastępują decyzji DPO/prawnika, oceny organu właściwego ani oficjalnego kanału notyfikacji (PUODO / CSIRT / organ nadzoru rynku). Ostateczna kwalifikacja i wysyłka należą do uprawnionych osób.
Faza 5 w łańcuchu: ZGŁOSZENIEDOWÓDSTATUSKLASYFIKACJARYZYKOPLAYBOOKDZIAŁANIEWALIDACJARAPORT ▸ODPORNOŚĆ
Compliance nie jest osobnym procesem — jest funkcją stanu dowodowego incydentu.

Silnik czyta flagi prawne ustawione przez Classification Engine, mapuje je na reżimy (AI Act / NIS2 / KSC / RODO / DORA), wylicza terminy od momentu wykrycia i podpowiada właściwy organ. Operator decyduje o wysyłce — system dostarcza kompletny, spójny materiał.

1. Flagi prawne — słownik

Classification Engine ustawia poniższe flagi boolean na rekordzie incydentu. Każda flaga aktywna uruchamia odpowiedni szablon raportu i zegar terminu.

FlagaDefinicja operacyjnaReżim / podstawaSkutek
AI_ACT_RELEVANTIncydent dotyczy systemu AI w rozumieniu Rozporządzenia (UE) 2024/1689 (dostawca/wdrażający).AI ActOcena ryzyka + obowiązki transparentności (art. 50).
AI_HIGH_RISKSystem należy do wysokiego ryzyka wg Aneksu III (m.in. scoring kredytowy, biometria, HR).AI Act, Aneks IIIZaostrzone obowiązki nadzoru i logowania.
AI_SERIOUS_INCIDENTPoważny incydent AI: śmierć/uszczerbek, poważna szkoda infrastruktury krytycznej, naruszenie praw podstawowych, szkoda mienia/środowiska.AI Act, art. 73Zgłoszenie do organu nadzoru rynku.
GDPR_PERSONAL_DATAW incydencie występują dane osobowe (klienci, pracownicy, beneficjenci).RODO (UE) 2016/679Ocena, czy doszło do naruszenia.
GDPR_BREACHNaruszenie ochrony danych: utrata poufności/integralności/dostępności danych osobowych.RODO art. 33/34Zgłoszenie do PUODO ≤72h; ew. zawiadomienie osób.
NIS2_RELEVANTPodmiot kluczowy/ważny objęty dyrektywą NIS2; incydent istotny dla ciągłości usługi.Dyrektywa (UE) 2022/2555Ścieżka 24h / 72h / raport końcowy.
KSC_RELEVANTPodmiot/incydent objęty krajowym systemem cyberbezpieczeństwa (implementacja NIS2 w PL).Ustawa o KSCZgłoszenie do właściwego CSIRT.
CRITICAL_INFRADotyczy infrastruktury krytycznej (finanse, energia, zdrowie, transport, woda).Sektorowa + NIS2Podwyższony priorytet i eskalacja.
LAW_ENFORCEMENTPodejrzenie przestępstwa; zasadność zawiadomienia organów ścigania.k.k. / k.p.k.Zabezpieczenie dowodów, zawiadomienie.

RAMKA/NORMA Powyższe to interpretacja obowiązków na podstawie publicznie znanej treści regulacji — nie porada prawna dla konkretnego stanu faktycznego.

2. Szablony raportów do organów

2.1 AI Act art. 73 — poważny incydent (serious incident)

Wyzwalacz: AI_SERIOUS_INCIDENT = true. Dostawca systemu AI wysokiego ryzyka zgłasza poważny incydent organowi nadzoru rynku państwa, w którym incydent wystąpił.
Pole raportuŹródło w systemie
Identyfikator systemu AI, wersja, rola (dostawca/wdrażający)Rejestr agentów / metadane incydentu
Opis incydentu i charakter poważnej szkodyIncident Intake + Evidence Layer
Łańcuch przyczynowo-skutkowy (o ile ustalony)Analiza / trace działań
Środki naprawcze i korygującePlaybook Engine — log działań
Dowody (hash, timestamp, chain-of-custody)Evidence Board

RAMKA/NORMA AI Act przewiduje niezwłoczne zgłoszenie po ustaleniu związku przyczynowego (lub jego rozsądnego prawdopodobieństwa), z terminami zależnymi od skali skutku. System nie zastępuje oceny prawnej dostawcy.

2.2 NIS2 — trójstopniowa ścieżka zgłoszeniowa

EtapTerminZawartośćAdresat
Wczesne ostrzeżenie (early warning)≤ 24h od wykrycia incydentu istotnegoWstępny sygnał: czy podejrzenie działania bezprawnego/złośliwego, możliwy wpływ transgraniczny.Właściwy CSIRT / organ
Zgłoszenie właściwe (incident notification)≤ 72h od wykryciaAktualizacja early warning: ocena istotności, wskaźniki kompromitacji (IoC), wstępna klasyfikacja.Właściwy CSIRT / organ
Raport końcowy (final report)≤ 1 miesiąc od zgłoszenia właściwegoSzczegółowy opis, przyczyna źródłowa, zastosowane środki, skutki transgraniczne.Właściwy CSIRT / organ

RAMKA/NORMA Ścieżka 24h/72h/1 mies. odwzorowuje reżim art. 23 NIS2. W trakcie trwania incydentu możliwe raporty pośrednie na żądanie organu.

2.3 RODO art. 33 / 34 — naruszenie ochrony danych

art. 33 — zgłoszenie do PUODO

≤ 72h od stwierdzenia naruszenia, chyba że jest mało prawdopodobne, by skutkowało ryzykiem dla praw i wolności.

Zawiera: charakter naruszenia, kategorie i przybliżoną liczbę osób/rekordów, możliwe konsekwencje, zastosowane środki.

art. 34 — zawiadomienie osób

Gdy naruszenie może powodować wysokie ryzyko dla praw i wolności — bez zbędnej zwłoki, prostym i jasnym językiem.

Wyjątki: skuteczne szyfrowanie danych, środki eliminujące wysokie ryzyko, nieproporcjonalny wysiłek (komunikat publiczny).

3. Workflow DPO / Legal

  1. Trigger: incydent otrzymuje flagę GDPR_PERSONAL_DATA → automatyczne przypisanie roli Legal/DPO.
  2. Ocena naruszenia: DPO decyduje, czy zdarzenie to GDPR_BREACH (utrata poufności/integralności/dostępności). Decyzja + uzasadnienie zapisane w rejestrze.
  3. Zegar 72h: od stwierdzenia naruszenia system odlicza termin art. 33; widoczny licznik na Legal Board.
  4. Ocena ryzyka dla osób: jeśli wysokie ryzyko → uruchomienie ścieżki art. 34.
  5. Draft + wysyłka: szablon wypełniony danymi z Evidence Layer; DPO zatwierdza, Operator wysyła.
  6. Zamknięcie: potwierdzenie doręczenia + numer sprawy organu dopięte do rekordu.

4. Rejestr decyzji human-in-the-loop

Każda decyzja wpływająca na reżim prawny lub działanie wysokiego ryzyka jest logowana weryfikowalnie (kto, kiedy, na jakiej podstawie dowodowej). To fundament audytowalności wobec KNF, PUODO, organu nadzoru rynku AI.

IDDecyzjaRolaPodstawa dowodowaStatusZnacznik
HITL-0417Uznanie zdarzenia za GDPR_BREACHLegal/DPOEV-2211 (log dostępu)SYMULACJA2026-07-04 09:12Z
HITL-0418Zatwierdzenie zgłoszenia NIS2 24hOperatorEV-2212, EV-2213SYMULACJA2026-07-04 09:40Z
HITL-0419Odmowa autonomicznego blokowania rachunków przez agentaAI Safety OfficerTRACE-8890SYMULACJA2026-07-04 10:05Z

Powyższe wiersze to SYMULACJA — dane demonstracyjne ilustrujące strukturę rejestru, nie rzeczywiste decyzje.

5. Eksport dowodowy

Silnik generuje paczkę dowodową dołączaną do każdego raportu. Integralność zapewnia hash łańcuchowy (chain-of-custody), tak by materiał był użyteczny w postępowaniu przed organem lub sądem.

POST /api/incidents/:id/export
{
  "format": "evidence-bundle",     // pdf-signed | json-manifest | evidence-bundle
  "include": ["timeline","evidence","classification","decisions","report"],
  "seal": "sha256-chain",          // hash każdego artefaktu + hash zbiorczy
  "recipient": "CSIRT | PUODO | market-surveillance"
}
--> 200 { "bundle_id":"EXB-0091", "sealed_hash":"…", "artifacts": 14 }
Zasada: eksport zawiera wyłącznie artefakty z potwierdzonym statusem dowodowym. Elementy GAP są jawnie oznaczone jako brak dowodu — nigdy nie są prezentowane jako fakt.

6. Kalendarz terminów (ramki norm)

24h
NIS2 — wczesne ostrzeżenie
od wykrycia incydentu istotnego
72h
NIS2 zgłoszenie / RODO art. 33
od wykrycia / stwierdzenia
1 mies.
NIS2 — raport końcowy
od zgłoszenia właściwego
niezwł.
AI Act art. 73 / RODO art. 34
po ustaleniu / przy wysokim ryzyku

RAMKA/NORMA Kalendarz odwzorowuje terminy ustawowe, nie odnosi się do żadnego rzeczywistego incydentu. Zegary uruchamiają się dopiero po sklasyfikowaniu realnego zdarzenia.

7. Kontekst AI Act — harmonogram obowiązywania

ObowiązekDataStatus
Zakazane praktyki AI + obowiązki wiedzy o AI (AI literacy)2.02.2025OBOWIĄZUJE
Modele ogólnego przeznaczenia (GPAI)2.08.2025OBOWIĄZUJE
Art. 50 — transparentność (oznaczanie treści/interakcji AI, deepfake)2.08.2026WCHODZI
Systemy wysokiego ryzyka — Aneks III (scoring, HR, biometria)2.02.2026 → 2.12.2027ODROCZONE (Digital Omnibus)
Uwaga o statusie: odroczenie obowiązków dla systemów wysokiego ryzyka z Aneksu III (m.in. scoring kredytowy istotny dla banków) z 2.02.2026 na 2.12.2027 wynika z pakietu Digital Omnibus. Ramy art. 50 (transparentność) obowiązują od 2.08.2026 bez zmian. Śledź komunikaty Komisji Europejskiej — daty mogą ulec dalszej korekcie. MEDIA SIGNAL dla samego faktu odroczenia; treść art. 50 — PUBLIC CLAIM na podstawie tekstu rozporządzenia.

8. Definicja ukończenia v1.0 (Legal/Compliance Engine)

  1. Słownik 9 flag prawnych z definicjami operacyjnymi — GOTOWE.
  2. Mapowanie flaga → reżim → termin → organ — GOTOWE.
  3. Szablon AI Act art. 73 (serious incident) — GOTOWE.
  4. Ścieżka NIS2 24h / 72h / raport końcowy — GOTOWE.
  5. Szablony RODO art. 33 (PUODO) i art. 34 (osoby) — GOTOWE.
  6. Workflow DPO z zegarem 72h — GOTOWE.
  7. Rejestr decyzji human-in-the-loop (weryfikowalny) — GOTOWE.
  8. Eksport dowodowy z chain-of-custody (hash łańcuchowy) — GOTOWE.
  9. Kalendarz terminów jako ramki norm (nie incydenty) — GOTOWE.
  10. Integracja z Classification Engine (odczyt flag) — DO WPIĘCIA (interfejs zdefiniowany).
  11. Integracja z Evidence Board (źródło artefaktów) — DO WPIĘCIA.
  12. Kontekst AI Act (art. 50 / Aneks III odroczenie) udokumentowany — GOTOWE.
  13. Doktryna claim ≤ proof egzekwowana w eksporcie — GOTOWE.
Zastrzeżenie: ta strona to referencyjny szkielet compliance, nie porada prawna. Szablony i terminy opisują publicznie znaną treść regulacji (AI Act, NIS2, RODO, ustawa o KSC). Ocena konkretnego stanu faktycznego należy do DPO / radcy prawnego podmiotu. Wszelkie wiersze rejestrów oznaczone SYMULACJA to dane demonstracyjne.

Powiązane: Legal Board · Classification Engine · Evidence Board · Playbook AI Act · Playbook wyciek danych · Demo bankowe