K0NSULT // ai-truth/procedury
k0nsult.cloud / ai-truth / procedury

Procesy i procedury — gotowość AI Act

Hub procedur compliance dla systemów AI w administracji i biznesie. Każda procedura opisana jako proces krok po kroku, z podstawą prawną i statusem dowodowym. Materiał operacyjny, nie konkluzja prawna.

Procedura bez śladu dowodowego nie istnieje.

Sześć powiązanych procesów tworzy spójną ścieżkę gotowości: od inwentaryzacji systemu, przez klasyfikację ryzyka i ocenę skutków, po nadzór człowieka, audytowalność i regres. Zasada wiążąca: claim ≤ proof — nie twierdzimy więcej, niż możemy wykazać.

Statusy dowodowe: LIVE potwierdzone dowodem · DANE oparte o udokumentowany zbiór · WKRÓTCE w przygotowaniu. Brak dowodu = GAP, nie fakt. Status zestawu procedur: DANE.

1Rejestracja systemu AI DANE

Cel: kompletny rejestr systemów AI używanych w organizacji, z przypisanym właścicielem i opisem. Podstawa: AI Act UE 2024/1689 (role operatorów, transparentność).

  1. Inwentaryzacja — zidentyfikuj wszystkie systemy i komponenty AI (w tym chatboty, modele wbudowane w narzędzia zewnętrzne, automatyzacje).
  2. Opis systemu — przeznaczenie, dane wejściowe/wyjściowe, dostawca, wersja, środowisko.
  3. Wskazanie właściciela — osoba/komórka odpowiedzialna merytorycznie i organizacyjnie.
  4. Wpis do rejestru — jednolity rejestr systemów AI z identyfikatorem, datą, statusem.
  5. Cykl przeglądu — ustal częstotliwość aktualizacji wpisu i wyzwalacze (nowa wersja, nowe ryzyko).

GAP, gdy: system działa „w cieniu" bez wpisu, brak przypisanego właściciela lub brak wersjonowania.

2Klasyfikacja ryzyka AI Act DANE

Cel: przypisanie systemu do kategorii ryzyka wg AI Act UE 2024/1689 i wybór adekwatnych obowiązków.

  1. Test zakazu — sprawdź, czy zastosowanie nie należy do praktyk zakazanych (np. social scoring, manipulacja, niedozwolona identyfikacja biometryczna). Jeśli tak — STOP.
  2. Test wysokiego ryzyka — czy system wpływa na decyzje wobec osób (dostęp do usług, zatrudnienie, świadczenia, egzekwowanie prawa, infrastruktura krytyczna)? → wysokiego ryzyka.
  3. Test ograniczonego ryzyka — czy system wchodzi w interakcję z człowiekiem lub generuje treści (chatbot, deepfake)? → obowiązek transparentności.
  4. Pozostałe — system minimalnego ryzyka: dobre praktyki dobrowolne.
  5. Dokumentacja klasyfikacji — zapisz kryterium, uzasadnienie i datę; powiąż z rejestrem (proc. 1).

Kryteria: kategoria wynika z zastosowania, nie z technologii. Klasyfikacja wysokiego ryzyka uruchamia obowiązki dot. zarządzania ryzykiem, danych, logów i nadzoru człowieka.

3Ocena ryzyka i DPIA DANE

Cel: ocena skutków dla praw i wolności osób. Podstawa: RODO art. 35 (DPIA) oraz zasada rozliczalności.

  1. Test przesłanek — czy przetwarzanie może powodować wysokie ryzyko (profilowanie, ocena, dane na dużą skalę, monitoring)? Jeśli tak — DPIA wymagana.
  2. Opis operacji — cel, zakres, kontekst i charakter przetwarzania, kategorie danych i osób.
  3. Ocena konieczności i proporcjonalności — czy AI jest niezbędne i adekwatne do celu.
  4. Identyfikacja ryzyk — błędna decyzja, dyskryminacja, brak wyjaśnialności, wyciek danych.
  5. Środki minimalizujące — techniczne i organizacyjne (w tym nadzór człowieka — proc. 4).
  6. Konsultacja i zatwierdzenie — udział IOD; w razie potrzeby konsultacja z organem nadzorczym.

GAP, gdy: brak DPIA dla systemu wysokiego ryzyka lub DPIA bez identyfikacji środków minimalizujących.

4Nadzór ludzki (human oversight) DANE

Cel: zapewnienie skutecznej kontroli człowieka nad systemem. Podstawa: AI Act (nadzór człowieka), KPA (ograniczenie automatyzacji rozstrzygnięć). Szerzej: /human-oversight.

  1. Punkty kontroli — wyznacz momenty, w których człowiek zatwierdza, koryguje lub odrzuca wynik.
  2. Bramki zatwierdzeń — żadne działanie o skutku prawnym nie następuje bez zatwierdzenia operatora.
  3. Kill-switch — mechanizm natychmiastowego wstrzymania systemu i procedura jego użycia.
  4. Zasada claim ≤ proof — system nie może twierdzić więcej, niż wykazuje dowodem.
  5. Kompetencje operatora — przeszkolenie i uprawnienia osoby sprawującej nadzór.
  6. Rejestr interwencji — log każdej akceptacji, korekty i zatrzymania (powiązanie z proc. 5).

GAP, gdy: decyzja wobec osoby zapada w pełni automatycznie bez bramki zatwierdzeń lub bez sprawnego kill-switcha.

5Łańcuch dowodowy / audytowalność DANE

Cel: pełna, weryfikowalna ścieżka działań systemu i operatorów. Powiązane: /audytowalnosc, /evidence-index.

  1. Rejestrowanie działań — logi wejść, wyjść, decyzji modelu i interwencji człowieka.
  2. Wersjonowanie — wersje modelu, danych, promptów i konfiguracji; powiązanie ze zdarzeniem.
  3. Integralność — zabezpieczenie logów przed modyfikacją (niezmienialność, znaczniki czasu).
  4. Retencja — okres przechowywania spójny z RODO i wymogami AI Act dla wysokiego ryzyka.
  5. Indeksowanie dowodów — proof-packi powiązane z systemem w indeksie dowodów.
  6. Odtwarzalność — możliwość odtworzenia, jak i na jakiej podstawie zapadł dany wynik.

GAP, gdy: brak logów, logi modyfikowalne lub brak powiązania wyniku z wersją modelu/danych.

6Ścieżka odwołania / regres DANE

Cel: zapewnienie osobie prawa do wyjaśnienia i ścieżki kwestionowania wyniku. Podstawa: RODO (przejrzystość, rozliczalność), KPA, AI Act (transparentność).

  1. Prawo do wyjaśnienia — udostępnienie zrozumiałej informacji o roli AI w danym wyniku.
  2. Kanał odwołania — jasna ścieżka zakwestionowania wyniku przez osobę, której dotyczy.
  3. Weryfikacja przez człowieka — ponowna ocena z nadzorem operatora (proc. 4).
  4. Ustalenie odpowiedzialności — na podstawie łańcucha dowodowego (proc. 5), bez przypisywania winy bez dowodu.
  5. Rejestr spraw — ewidencja odwołań, rozstrzygnięć i wyciągniętych wniosków.
  6. Pętla zwrotna — wnioski zasilają korektę systemu i aktualizację oceny ryzyka (proc. 3).

Zasada: odpowiedzialność ustala się z dowodu. Brak dowodu winy = GAP, nie domniemanie winy.

Podstawy prawne DANE

Źródło: zbiór ranking_jst_kas.json (klucz podstawy_prawne). Stan aktów do weryfikacji na dzień użycia.

Akt / podstawaZnaczenie dla audytuURL
AI Act UE 2024/1689 Ramy horyzontalne dla systemów AI; role operatorów, ryzyka, zakazy, systemy wysokiego ryzyka, transparentność. eur-lex.europa.eu/eli/reg/2024/1689
Projekt ustawy PL o systemach sztucznej inteligencji (UC71) Projekt krajowy służący stosowaniu rozporządzenia UE 2024/1689; stan do weryfikacji na dzień użycia. gov.pl/web/premier — projekt ustawy o AI
RODO Legalność, rzetelność, przejrzystość, minimalizacja danych, rozliczalność, bezpieczeństwo; kluczowe dla promptów i logów AI. eur-lex.europa.eu — CELEX 32016R0679
Przewodnik MC dla administracji publicznej Praktyczne wskazówki wdrażania AI w urzędach; guidance, nie certyfikacja. ai.gov.pl — przewodnik dla administracji
Plan informatyzacji KAS 2024-2028 Źródło dla e-usług KAS, w tym chatbota e-Urzędu Skarbowego. gov.pl/web/kas — plany wdrożenia e-usług
Ustawa o samorządzie gminnym / powiatowym / województwa Podstawa organizacyjna zarządzeń kierowników urzędów i zadań JST. isap.sejm.gov.pl
KPA Ograniczenie automatyzacji rozstrzygnięć; AI jako wsparcie nie powinno zastępować organu przy decyzjach. isap.sejm.gov.pl
Ustawa o KAS / Ordynacja podatkowa Podstawa działania organów skarbowych; przy AI potrzebna ocena przetwarzania danych i profilowania. isap.sejm.gov.pl

Powiązania

Zastrzeżenie. Materiał ma charakter informacyjno-operacyjny i badawczy. Nie stanowi certyfikacji, nie jest opinią jednostki notyfikowanej ani konkluzją prawną (not a certification · not a notified body · not a legal conclusion). Procedury wymagają dostosowania do konkretnego kontekstu organizacji i weryfikacji prawnej. Szczegóły: /legal/not-certification.