# POST-MARKET MONITORING PLAN ## Federacja UnionAI / Platforma K0NSULT ## Plan ciągłego monitoringu po wdrożeniu (Article 72 EU AI Act) **Wersja:** v1.0 **Data wydania:** 2026-05-11 **Podstawa prawna:** Art. 72 EU AI Act (Rozporządzenie 2024/1689) + Art. 9 (Risk Management) + Art. 12 (Record-Keeping) **Status:** APPROVED — RATIFIED **Data zatwierdzenia:** 2026-05-11 (sesja walna wspólników Grass Roots Lobbing Sp. z o.o.) **Klasyfikacja:** dokument urzędowy / regulator-grade **Hash dokumentu:** `sha256:2552420131c60c5d8eb347b54b66c8b69c7a1e3042dc8fdd0a42bda3221381d4` (SHA-256) **Hash-method:** SHA-256 całego pliku z dwiema liniami HASH (sekcja meta powyżej oraz stopka pod sekcją IX) zastąpionymi literałem `` (self-verifying — audytor odtwarza: pobierz plik, znormalizuj obie linie HASH do placeholderu, policz `sha256sum`). --- ## I. CEL Niniejszy Plan ustanawia system **ciągłego monitoringu po wdrożeniu** (post-market monitoring, PMM) dla wszystkich workflow klasyfikowanych jako **HIGH** lub **RESTRICTED** w Risk Registry K0NSULT v1.0. Cel zgodnie z Art. 72 ust. 1 EU AI Act: > „Dostawcy systemów AI wysokiego ryzyka ustanawiają i dokumentują system monitorowania po wprowadzeniu do obrotu w sposób proporcjonalny do charakteru technologii AI i ryzyk." System PMM K0NSULT zapewnia: 1. Wczesne wykrycie degradacji modelu (drift) 2. Szybką reakcję na incydenty (P0 < 1h) 3. Ewidencję dla regulatorów (UODO, EU AI Office) 4. Pętlę poprawy (continuous improvement) --- ## II. ZAKRES Plan obejmuje wszystkie workflow z Risk Registry K0NSULT v1.0 zaklasyfikowane jako: - **HIGH:** R-003, R-005, R-006, R-008, R-010, R-011, R-012, R-013 - **RESTRICTED (BANNED):** R-007, R-016, R-017 Workflow LIMITED i MINIMAL podlegają monitoringowi pasywnemu (logi, raporty miesięczne). --- ## III. METRYKI MONITOROWANE | # | Metryka | Cel (target) | Próg alarmu | Pomiar | |---|---------|--------------|-------------|--------| | M-1 | **Decision chain accuracy** | ≥ 99,5% | < 99,0% | comparison vs HUMAN T0 sign-off | | M-2 | **Hash integrity continuity** | 100% (zero złamań) | jakiekolwiek złamanie | hourly cron `audit_chain_check.py` | | M-3 | **Agent silence flags** | < 5% delegatów | > 10% w 24h | heartbeat 30 min | | M-4 | **Incident response time** | P0 < 1h, P1 < 4h, P2 < 24h | przekroczenie SLA | ticket lifecycle tracking | | M-5 | **Operator approval latency** | < 5 min (P50) | > 30 min (P95) | timestamp delta | | M-6 | **Drift detection** | model behavior ≈ baseline (±2%) | drift > 10% | weekly comparison test set | | M-7 | **Hallucination rate** (per agent class) | < 1% T0–T2, < 3% T3–T4 | > 5% | dual-agent verification + HUMAN sample | | M-8 | **API spend per agent** | < 100 USD/dzień | > 200 USD/dzień | budget circuit breaker | | M-9 | **TLS / cert health** | 100% endpoints valid | cert < 14 dni do expiry | monitor `/health/cert` | | M-10 | **RODO request fulfillment** | 100% w 30 dni | > 30 dni | RODO_DELETE_REGISTRY tracker | --- ## IV. CZĘSTOTLIWOŚĆ RAPORTOWANIA | Tryb | Częstotliwość | Odbiorca | Forma | |------|---------------|----------|-------| | **Real-time alerts** | natychmiast | Operator (e-mail + Telegram) | webhook + push | | **Weekly summary** | piątek 18:00 | Operator + META Council | dashboard `/admin/incidents.html` + email | | **Monthly report** | 1. dnia miesiąca | Operator (0n40i4) + Wspólnicy (Tomasz Obara, Konrad Rycerz) | PDF + forum board | | **Quarterly compliance report** | Q+15 dni | UODO + EU AI Office | pismo + załącznik PDF (Art. 72 AI Act) | | **Annual conformity reassessment** | 31.12 / 1.07 | EU AI Office | pełen audyt + DPIA refresh | --- ## V. TRIGGERS ESKALACJI Następujące zdarzenia uruchamiają **eskalację natychmiastową**: 1. **>3 incydenty P0 w tygodniu** → emergency Council meeting w 24h + workflow review 2. **>10% drift detected** w pojedynczym workflow → workflow lockdown + RCA w 72h 3. **Hash chain break** → immediate audit + RCA + raport UODO w 72h (RODO Art. 33) 4. **DID forgery confirmed** (R-003) → lockout DID + alert EU AI Office + audit forensic 5. **Restricted action attempted** (R-007, R-016, R-017) → permanent block + raport zarządczy + przegląd polityki 6. **Cert expiry imminent** (< 7 dni) → DevOps mobilization + manual rotation 7. **>5% hallucination rate** w agencie produkcyjnym → degradacja klasy (T1→T2→quarantine) + retrain --- ## VI. KANAŁY KOMUNIKACJI 1. **E-mail:** `operator@k0nsult.cloud`, `dpo@k0nsult.cloud`, `compliance@k0nsult.cloud` 2. **EU AI Office:** notyfikacje przez oficjalny portal (Art. 73) 3. **UODO:** e-mail urzędowy + pismo (Art. 33 RODO dla naruszeń danych osobowych) 4. **Forum board** „Spotkania z Radą" — agenda Council, decyzje, follow-up 5. **Dashboard `/admin/incidents.html`** — live status incydentów, P0/P1/P2 6. **Dashboard `/admin/audit-trace.html`** — przegląd hash chain, integrity health 7. **Telegram delegate** — heartbeat 30 min, alerty push do operatora HUMAN T0 --- ## VII. IMPROVEMENT LOOP Co kwartał Operator + META Council przeprowadzają **przegląd PMM** według sekwencji: 1. **Review** — analiza wszystkich incydentów P0/P1 z kwartału 2. **Root Cause Analysis** — kategoryzacja: techniczne / proceduralne / ludzkie / model 3. **Action items** — lista konkretnych zmian (kod, polityka, training, retencja) 4. **Implement** — przypisanie owner + deadline (typowo 30 dni) 5. **Verify** — pomiar metryk po zmianie (A/B / before-after) 6. **Document** — aktualizacja Risk Registry + Post-market Monitoring Plan (vX.Y+1) 7. **Communicate** — informacja na forum + raport do EU AI Office (jeśli high-risk) Wymóg: każda nowa wersja PMM publikowana w `/downloads/` z hash SHA-256 i sygnaturą wspólników. --- ## VIII. STATUS **APPROVED — RATIFIED 2026-05-11** Plan został zatwierdzony w sesji walnej wspólników Grass Roots Lobbing Sp. z o.o. dnia 2026-05-11. Harmonogram wdrożenia operacyjnego: 1. Implementacja techniczna metryk M-1 do M-10 w `src/monitoring/` 2. Konfiguracja webhooków + Telegram delegate 3. Pierwszy weekly summary: piątek 2026-05-15 4. Pierwszy quarterly report do UODO/EU AI Office: 2026-08-15 5. Pierwszy annual reassessment: 2026-12-31 --- ## IX. SYGNATARIUSZE | Sygnatariusz | Rola | DID / Identyfikator | Data | |--------------|------|---------------------|------| | **0n40i4** | Operator HUMAN T0 | `did:k0nsult:human:0n40i4` | 2026-05-11 | | **Tomasz Obara** | Wspólnik / sygnatariusz | `did:k0nsult:human:tomasz-obara` | 2026-05-11 | | **Konrad Rycerz** | Wspólnik / sygnatariusz | `did:k0nsult:human:konrad-rycerz` | 2026-05-11 | Spółka: **Grass Roots Lobbing Sp. z o.o.** (spółka z ograniczoną odpowiedzialnością prawa polskiego) **Hash dokumentu (SHA-256):** `sha256:2552420131c60c5d8eb347b54b66c8b69c7a1e3042dc8fdd0a42bda3221381d4` --- *Dokument wydany pod parasolem federacji **UnionAI**.* *DID protokołu: `did:k0nsult:cnc:unionai-1.0`* *K0NSULT © 2026 — Grass Roots Lobbing Sp. z o.o.*