k0nsult.cloud / ai-truth / piaskownica · metodologia · evidence-index

Piaskownica regulacyjna AI Act

Czym jest piaskownica regulacyjna wg rozporządzenia UE 2024/1689, na jakim etapie przygotowania do zgłoszenia jesteśmy i jakie dowody zgromadziliśmy. Status nadrzędny: W PRZYGOTOWANIU / WKRÓTCE.

STATUS: internal pre-sandbox / controlled readiness environment. This is not an official regulatory sandbox established by a public authority.

⚠ Stan faktyczny (claim ≤ proof): K0NSULT nie jest obecnie uczestnikiem żadnej piaskownicy regulacyjnej AI. Strona opisuje wyłącznie (a) czym jest piaskownica wg prawa UE, (b) nasz stan przygotowania do zgłoszenia oraz (c) zgromadzone dowody. Żadne sformułowanie na tej stronie nie powinno być rozumiane jako deklaracja uczestnictwa, przyjęcia, akredytacji ani nadzoru sprawowanego przez organ. Status zmieni się dopiero po formalnym przyjęciu zgłoszenia przez właściwy organ.

✅ Czym JEST nasza piaskownica

Kontrolowane środowisko testowe izolowane od produkcji (Fly.io fra)
Wewnętrzny program badawczy z audytem ciągłym i human-in-loop
Dokumentowanie zgodności na potrzeby przyszłego zgłoszenia do organu
Zbiór dowodów dialogu z administracją (16 pism, 11 odpowiedzi, 7 UPO)
Środowisko o staranności zbliżonej do wymagań art. 57–60 AI Act

🚫 Czym NIE JEST

Nie jest oficjalną piaskownicą regulacyjną powołaną przez organ publiczny
Nie daje statusu uczestnika piaskownicy AI Act
Nie stanowi certyfikacji ani oceny jednostki notyfikowanej
Nie zwalnia z obowiązków wynikających z AI Act ani RODO
Nie gwarantuje przyjęcia do oficjalnej piaskownicy w przyszłości

Legenda statusów: LIVE potwierdzone dowodem · DANE oparte o udokumentowany zbiór · WKRÓTCE w przygotowaniu / planowane. Zasada: brak dowodu = GAP, nie fakt. Stosujemy claim ≤ proof — nie twierdzimy więcej, niż możemy wykazać.

1. Czym jest piaskownica regulacyjna AI (UE 2024/1689)

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 (AI Act) wprowadza instytucję piaskownic regulacyjnych AI (AI regulatory sandboxes). W ramach przepisów wspierających innowacje rozporządzenie przewiduje, że każde państwo członkowskie ustanawia co najmniej jedną krajową piaskownicę regulacyjną AI.

Cel: kontrolowane środowisko, w którym dostawca lub potencjalny dostawca systemu AI może rozwijać, trenować, testować i walidować innowacyjny system przed wprowadzeniem do obrotu — pod nadzorem właściwego organu, przez ograniczony czas, wg uzgodnionego planu.
Nadzór organu: piaskownica działa pod kontrolą wyznaczonego organu krajowego; nie zwalnia z obowiązków wynikających z prawa, lecz pozwala je realizować w warunkach dialogu z regulatorem.
Ślad i raportowanie: uczestnictwo wiąże się z dokumentowaniem przebiegu, raportowaniem oraz wnioskami końcowymi (exit report), które mogą wspierać dalszą zgodność.
Charakter dobrowolny i ograniczony: przyjęcie do piaskownicy wymaga zgłoszenia i akceptacji organu; nie jest automatyczne i nie stanowi certyfikacji systemu.

Powyższe to ogólny opis instytucji prawnej. Odniesienia do konkretnych artykułów (przepisy o piaskownicach regulacyjnych AI) należy każdorazowo weryfikować w aktualnym tekście rozporządzenia UE 2024/1689 oraz w krajowych przepisach wykonawczych.

2. Nasz stan przygotowania do zgłoszenia

K0NSULT prowadzi prace przygotowawcze nastawione na przyszłe zgłoszenie do krajowej piaskownicy regulacyjnej AI. Etap obecny to budowa pakietu zgłoszeniowego i bazy dowodowej, nie udział w piaskownicy.

Etap 1 — Rozeznanie DANE

Kontakt z administracją publiczną i mapowanie organów właściwych. Udokumentowana korespondencja (sekcja 3).

Etap 2 — Pakiet zgłoszeniowy W PRZYGOTOWANIU

Kompletowanie dokumentacji wymaganej do zgłoszenia (sekcja 4). Kroki:

Opis systemu AI (cel / funkcje / architektura / granice) — DRAFT
DPIA — zakres / kategorie danych / środki ochrony — W TOKU
Rejestr dostawców modeli (model cards: Claude/Groq/Gemini) — W TOKU
Plan testowania — metodologia / hipotezy / KPI — W TOKU
Deklaracja zgodności (DoC) — szkielet gotowy, brak podpisu
Zebranie dowodów dialogu z administracją — DONE (sekcja 3)

Etap 3 — Zgłoszenie BLOKOWANE (Etap 2)

Złożenie wniosku do właściwego organu krajowego. Nie nastąpiło. Kolejność po domknięciu pakietu:

Złożenie wniosku + pakietu do wyznaczonego organu
Ocena wstępna przez organ — termin ustawowy 30 dni
Uzgodnienie planu testów z organem
Testy w piaskownicy — maks. 12 miesięcy (art. 60 AI Act)
Raport końcowy (exit report) + wnioski do DoC

Status uczestnika aktualizowany wyłącznie po formalnym przyjęciu przez organ.

3. Dowody kontaktu z administracją

Fundamentem gotowości do zgłoszenia jest udokumentowany, realny dialog z administracją publiczną w sprawach związanych z AI Act. Poniższe liczby pochodzą ze zbioru korespondencji programu.

16pism wysłanych

11odpowiedzi instytucji

7UPO e-Doręczeń

Instytucje, które odpowiedziały (11): CERT.PL, Ministerstwo Cyfryzacji, Ministerstwo Finansów, MEN, MRiPS, MS, MSWiA, MSpr, MZ, RCL/DPNT, Comarch.

Pozycja dowodowa	Liczba	Status
Pisma wysłane do administracji	16	DANE
Odpowiedzi merytoryczne instytucji	11	DANE
UPO — urzędowe potwierdzenia odbioru (e-Doręczenia)	7	DANE

Te liczby stanowią fundament gotowości do zgłoszenia. Pełny indeks dowodów programu: /evidence-index.

4. Pakiet zgłoszeniowy (w budowie)

Checklist dokumentacji przygotowywanej pod przyszłe zgłoszenie. Większość pozycji ma status WKRÓTCE — to deklaracja zakresu prac, nie gotowego pakietu.

Element pakietu	Opis	Status
Opis systemu	UNIONAI: orkiestracja modeli LLM (Claude/Groq/Gemini) w kontrolowanym środowisku badawczym. Zakres: federacja agentów AI, audyt ciągły, human-in-loop (Art. 26). Granica: research, nie deployment komercyjny. → /ai-act	DRAFT
Role	Dostawca: K0NSULT Sp. z o.o. · Operator: Tomasz Obara · Użytkownicy: badacze i partnerzy programu UNIONAI. Grassroots Lobbing: partner wspierający (nie dostawca AI).	DANE
Ocena ryzyka	Klasyfikacja wstępna: GPAI + Art. 50 (transparentność). Systemy badawcze — wyłączenie Art. 2 ust. 6. Narzędzie do samoklasyfikacji: /ai-truth/ocena	DRAFT
Nadzór człowieka	Human-in-the-loop: operator zatwierdza każde działanie agenta poza piaskownicą. OPERATOR_KEY gated endpoints. Audyt logów per sesja. Mechanizm kill-switch przez flyctl.	DRAFT
Plan testów	Środowisko: Fly.io (fra), izolowane od prod. Metodologia: (1) hipotezy zgodności per komponent SYS-1..SYS-7, (2) testy regresji po każdym commicie (tsc+smoke), (3) smoke anon→401 (auth gate), (4) /production-gate — 3 podpisy operatora. KPI: claim_proven/claim_total ≥ 95%, zero autonomicznych doręczeń, zero CRIT open. Harmonogram: po domknięciu pakietu → organ → maks. 12 mies. → procedury	W PRZYGOTOWANIU
DPIA	Ocena skutków dla ochrony danych (art. 35 RODO + art. 59 AI Act) — w toku. Zakres: logi sesji (hash, nie treść), scoring agentów (DID pseudonimowy), korespondencja z administracją (dane nadawcy). Kategorie danych: brak danych wrażliwych art. 9 RODO w fazie research. Środki: szyfrowanie TLS, dostęp operatorski gated (OPERATOR_KEY), retencja 90 dni. RODO administrator: K0NSULT Sp. z o.o. Szkielet DPIA: → procedury.	W PRZYGOTOWANIU
Dane podmiotu	K0NSULT Sp. z o.o. — KRS, NIP, reprezentacja, kanał e-Doręczeń.	DANE
Dowody dialogu z administracją	Korespondencja, odpowiedzi, UPO (sekcja 3).	DANE

5. Art. 57 — piaskownica formalna vs nasze pre-sandbox

Dla jasności, co odróżnia formalną krajową piaskownicę regulacyjną (art. 57 AI Act, ustanawianą przez właściwy organ) od naszego wewnętrznego pre-sandbox:

Wymóg (art. 57)	Piaskownica formalna	K0NSULT pre-sandbox	Status
Organ publiczny	wymagany (właściwy organ)	brak — środowisko wewnętrzne	GAP
Plan piaskownicy	wymagany, zatwierdzony przez organ	draft test plan (wewnętrzny)	PARTIAL
Nadzór	nadzór organu	operator / human-in-command	PARTIAL
Raport wyjścia	wymagany	szablon (wewnętrzny)	PARTIAL
Testy w warunkach rzeczywistych	osobne warunki + podstawa prawna	nie wykonujemy bez decyzji i podstawy	HOLD

Wniosek: K0NSULT prowadzi internal pre-sandbox / readiness, nie formalną piaskownicę. Formalna piaskownica wymaga właściwego organu publicznego i procedury przewidzianej prawem — do potwierdzenia przez organ.

6. Chcesz potwierdzić metodykę?

Jeśli reprezentujesz organ, partnera lub prowadzisz program AI Act:

› Zgłoś chęć walidacji metodyki (evidence layer / claim ≤ proof)
› Wskaż właściwą ścieżkę formalną — szukamy potwierdzenia organu
› Dołącz do controlled pilot (badawczo-techniczny)

To nie jest zaproszenie do oficjalnej piaskownicy regulacyjnej. To zaproszenie do współpracy badawczo-technicznej i do wskazania nam właściwej ścieżki formalnej.

7. Dowody i statusy (claim ≤ proof)

Każde twierdzenie o gotowości musi być poparte dowodem. Poniżej 15 kluczowych twierdzeń z kategoryzacją statusu:

Legenda chipów: PROOF dowód istnieje i weryfikowalny · PARTIAL częściowy / DRAFT · GAP brak dowodu · NEEDS_OPERATOR wymaga decyzji operatora

Twierdzenie / Claim	Dowód (Evidence)	Status	GAP / Uwaga
System AI opisany i ograniczony zakresem	agents table w unionai-core + /ai-act-readiness	PARTIAL	Opis systemu = DRAFT, nie złożony do organu
Role: dostawca / operator zidentyfikowani	K0NSULT Sp. z o.o. + Tomasz Obara w docs/piaskownica/	PARTIAL	Rola prawna = DRAFT, nie potwierdzona przez organ
Klasyfikacja ryzyka agentów (art.6 AI Act)	/api/agents/risk-summary: minimal=161 limited=79 N/A=3	PROOF	rule-based; legal_review=true dla 79 limited (do weryfikacji)
Human-in-the-loop gate wdrożony	OPERATOR_KEY gated endpoints, /api/audit anon→403	PROOF	Smoke PROOF. Brak formalnej dokumentacji HiL dla organu.
Art.50 — disclosure AI identity (GPAI)	Każdy agent ma did:k0nsult:* + label AI widoczny w /chat	PROOF	LIVE. Brak formalnej DoC podpisanej.
Logi zdarzeń agentów (art.12 AI Act)	agent_history table + /api/agent/history/:did LIVE	PROOF	Retencja 90 dni — DRAFT (nie automate)
Nadzór człowieka zdarzeń (art.14)	POST /api/agent/oversight (approve/freeze/incident) LIVE	PROOF	oversight_score per agent LIVE
CORS bezpieczeństwo (nie wildcard)	k0nsult-chat CORS allowlist: evil.com=blocked, k0nsult.cloud=pass	PROOF	Smoke 5/5 PASS. Deploy 2026-06-10.
CSP header wdrożony	k0nsult-chat: default-src 'self'; frame-ancestors 'none'	PROOF	Smoke PROOF. Brak Report-URI (planowane).
DPIA Art.35 GDPR + Art.59 AI Act	docs/piaskownica/ZALACZNIK_RODO_DPIA.md EXISTS (szkielet)	PARTIAL	Szkielet gotowy. Treść merytoryczna = NEEDS_OPERATOR (prawnik)
Polityka retencji danych	Tabela retencji DRAFT (T3.3): 30/90 dni logi/agent_history	PARTIAL	GAP: brak auto-prune job + brak DPA z Anthropic/Groq
Szablon raportu wyjścia (exit report)	docs/piaskownica/EXIT_REPORT_TEMPLATE.md EXISTS	PARTIAL	Szablon, nie wypełniony (brak uczestnictwa w piaskownicy)
Pismo do Min.Cyfryzacji / UODO	docs/piaskownica/PISMO_DO_ORGANU_DRAFT.md EXISTS	NEEDS_OPERATOR	Draft gotowy. Wysłanie = decyzja operatora.
Izolacja środowiska od produkcji	Fly.io fra, osobna subdomain chat.k0nsult.cloud vs k0nsult.cloud	PROOF	Infrastrukturalnie izolowane. Brak formalnego opisu izolacji dla organu.
Kontakt z administracją — udokumentowany dialog	16 pism / 11 odpowiedzi / 7 UPO (sekcja 3)	PROOF	Dowody w indeksie /evidence-index

8. Dokumenty robocze (dostęp wewnętrzny)

Poniższe dokumenty są artefaktami roboczymi programu. Nie są złożone do organu. Część wymaga uzupełnienia przez operatora.

SANDBOX_APPLICATION_DRAFT_PL — PARTIAL szkielet wniosku
AI_ACT_ROLE_MATRIX — PROOF klasyfikacja ryzyka 243 agentów
TEST_PLAN_SANDBOX — PARTIAL hipotezy SYS-1..SYS-7
HUMAN_OVERSIGHT_PLAN — PARTIAL OPERATOR_KEY + kill-switch
ORGANY_5_PLASZCZYZN_MATRYCA — PARTIAL Min.Cyfryzacji/UODO/UOKiK/CERT/KNF
DPIA_PRECHECK_AI_TRUTH_SANDBOX — NEEDS_OPERATOR wymaga prawnika

9. Powiązane

› AI Truth & Governance Portal — strona główna portalu jawności
› Procesy i procedury — jak weryfikujemy dowód (claim ≤ proof)
› Indeks dowodów — pełna baza proof-packów

Zastrzeżenie. Strona ma charakter informacyjno-badawczy i opisuje stan przygotowania, nie uczestnictwo. Nie stanowi certyfikacji, nie jest opinią jednostki notyfikowanej ani konkluzją prawną (not a certification · not a notified body · not a legal conclusion). Status i liczby odzwierciedlają stan wiedzy na dzień publikacji i podlegają aktualizacji.