Rozporządzenie (UE) 2024/1689 w sprawie sztucznej inteligencji (AI Act): jak OpenKBS zapewnia zgodność dla przedsiębiorstw

Rozporządzenie (UE) 2024/1689 Parlamentu Europejskiego i Rady (AI Act) jest pierwszym na świecie aktem prawnym regulującym systemy sztucznej inteligencji. Rozporządzenie weszło w życie 1 sierpnia 2024 r. i jest stosowane etapowo, z pełnym stosowaniem od 2 sierpnia 2026 r.

Jako rozporządzenie UE, AI Act stosuje się bezpośrednio we wszystkich państwach członkowskich Unii Europejskiej, w tym w Polsce, bez konieczności transpozycji krajowej.

Obowiązek w zakresie kompetencji AI zgodnie z art. 4 Rozporządzenia obowiązuje od 2 lutego 2025 r. Organizacje korzystające z systemów AI są już zobowiązane do zapewnienia wystarczającego poziomu kompetencji AI swoich pracowników.

Wbudowany audyt zgodności w OpenKBS Studio

OpenKBS Studio zawiera wbudowany AI Act Compliance Skill, który automatycznie audytuje projekt i generuje ustrukturyzowany raport zgodności. Skill analizuje, jakie modele AI są używane, klasyfikuje je według kategorii ryzyka zgodnie z Załącznikiem III, weryfikuje obecność mechanizmów nadzoru ludzkiego, środków identyfikowalności i przejrzystości, oraz tworzy udokumentowany raport gotowy do przedstawienia organom regulacyjnym lub audytu wewnętrznego. Proces uruchamia się jedną instrukcją dla agenta AI i nie wymaga dodatkowej konfiguracji.

Etapowe stosowanie

DataCo wchodzi w życie
1 sierpnia 2024 r.Rozporządzenie wchodzi w życie
2 lutego 2025 r.Zakazane praktyki AI (art. 5) i obowiązek kompetencji AI (art. 4)
2 sierpnia 2025 r.Przepisy dotyczące modeli AI ogólnego przeznaczenia (GPAI)
2 sierpnia 2026 r.Pełne stosowanie: systemy AI wysokiego ryzyka, ocena zgodności, sankcje
2 sierpnia 2027 r.Systemy wysokiego ryzyka z Załącznika I (AI wysokiego ryzyka wbudowana w produkty: wyroby medyczne, maszyny, zabawki)

Obowiązek w zakresie kompetencji AI (art. 4)

Art. 4 Rozporządzenia (UE) 2024/1689 zobowiązuje dostawców i podmioty wdrażające systemy AI do podjęcia środków zapewniających wystarczający poziom kompetencji AI ich personelu oraz osób obsługujących systemy AI w ich imieniu.

Kogo dotyczy

Obowiązek obejmuje:

  • pracowników korzystających z narzędzi AI w codziennej pracy;
  • kadrę zarządzającą podejmującą decyzje na podstawie wyników AI;
  • zespoły odpowiedzialne za wybór dostawców i technologii;
  • podwykonawców i personel zewnętrzny obsługujący systemy AI w imieniu organizacji;
  • organy kierownicze pełniące funkcje nadzorcze nad systemami AI.

Co jest wymagane

Rozporządzenie nie określa konkretnego formatu, czasu trwania ani programu szkolenia. Standard to adekwatność w odniesieniu do roli, z uwzględnieniem wiedzy technicznej, doświadczenia, wykształcenia i kontekstu użycia systemu AI.

Ogólne (generyczne) szkolenia, które nie odnoszą się do konkretnych systemów AI stosowanych w organizacji, uznaje się za niewystarczające. Szkolenie musi obejmować:

  • możliwości i ograniczenia konkretnych systemów AI;
  • ryzyka związane z ich użyciem;
  • krytyczną ocenę wyników AI;
  • rozważania etyczne, w tym uprzedzenia i sprawiedliwość;
  • procedury zgłaszania incydentów.

Jak wykazać zgodność

Organizacje muszą prowadzić:

  • politykę dopuszczalnego użycia AI (AI Acceptable Use Policy);
  • politykę kompetencji AI (struktura szkolenia, odpowiedzialności, cykl aktualizacji);
  • rejestry przeprowadzonych szkoleń z datami, uczestnikami i treścią;
  • wyniki ocen potwierdzające zrozumienie (nie tylko obecność);
  • dziennik aktualizacji programu.

Sankcje

AI Act nie przewiduje bezpośredniej kary finansowej na poziomie UE za nieprzestrzeganie obowiązków z art. 4. Trzy poziomy kar z art. 99 dotyczą innych naruszeń: do 35 mln EUR lub 7% globalnego rocznego obrotu za zakazane praktyki (art. 5), do 15 mln EUR lub 3% za obowiązki podmiotów wdrażających (art. 26), do 7,5 mln EUR lub 1% za podanie fałszywych informacji. Państwa członkowskie mogą ustalić własne sankcje za naruszenia art. 4.

Zakazane praktyki AI (art. 5)

Od 2 lutego 2025 r. zakazane jest osiem kategorii praktyk AI:

  1. Manipulacyjne techniki AI powodujące szkodę;
  2. Wykorzystywanie podatności (wiek, niepełnosprawność, sytuacja społeczno-ekonomiczna);
  3. Punktacja społeczna (social scoring);
  4. Przewidywanie indywidualnego ryzyka popełnienia przestępstwa;
  5. Nieukierunkowane zbieranie wizerunków twarzy z Internetu lub z monitoringu wideo;
  6. Rozpoznawanie emocji w miejscu pracy i w edukacji;
  7. Kategoryzacja biometryczna na podstawie cech chronionych;
  8. Identyfikacja biometryczna w czasie rzeczywistym w przestrzeniach publicznych (z ograniczonymi wyjątkami dla organów ścigania).

Punkt 6 ma bezpośrednie zastosowanie do każdej organizacji korzystającej z AI w zarządzaniu zasobami ludzkimi.

Systemy AI wysokiego ryzyka (Załącznik III)

Załącznik III Rozporządzenia określa osiem obszarów, w których systemy AI klasyfikowane są jako systemy wysokiego ryzyka:

ObszarPrzykłady
BiometriaZdalna identyfikacja biometryczna, rozpoznawanie emocji
Infrastruktura krytycznaZarządzanie sieciami energetycznymi, transport, zaopatrzenie w wodę
EdukacjaRekrutacja, ocenianie, przydzielanie do grup
Zatrudnienie i zarządzanie pracownikamiSelekcja kandydatów, screening CV, ocena wyników, decyzje o awansie lub zwolnieniu
Dostęp do podstawowych usługScoring kredytowy, ubezpieczenia, pomoc społeczna
Egzekwowanie prawaOcena dowodów, policja predykcyjna
Migracja i kontrola granicznaOcena wniosków wizowych, nadzór granic
Wymiar sprawiedliwościAnaliza prawna, narzędzia predykcyjne dla orzeczeń sądowych

Obowiązki podmiotów wdrażających systemy wysokiego ryzyka (art. 26)

Organizacje wdrażające systemy AI wysokiego ryzyka są zobowiązane do:

  • używania systemów zgodnie z instrukcjami dostawcy;
  • zapewnienia nadzoru ludzkiego przez kompetentne osoby;
  • zagwarantowania, że dane wejściowe są odpowiednie i reprezentatywne;
  • monitorowania działania systemu i zgłaszania poważnych incydentów;
  • przechowywania automatycznie generowanych logów przez co najmniej 6 miesięcy;
  • informowania przedstawicieli pracowników i pracowników, których to dotyczy, przed wdrożeniem;
  • w przypadku systemów w obszarze zatrudnienia — informowania kandydatów o udziale AI w procesie rekrutacji.

Jak OpenKBS adresuje wymagania AI Act

Identyfikowalność operacji AI (art. 12, art. 26)

OpenKBS obsługuje całą infrastrukturę AI swoich klientów enterprise na platformie, w tym zunifikowane proxy AI dla dostępu do wielu modeli AI (OpenAI, Anthropic, Google).

Każde wywołanie modelu AI przechodzi przez proxy, które rejestruje:

  • jaki model AI został użyty i jaka wersja;
  • znacznik czasu żądania;
  • liczbę tokenów wejściowych i wyjściowych;
  • identyfikator projektu.

Dane te są przechowywane w infrastrukturze klienta i dostępne do audytu. Adresują wymagania dotyczące identyfikowalności wyników (art. 12) oraz przechowywania logów (art. 26, ust. 6).

Nadzór ludzki by design (art. 14, art. 26)

Architektura OpenKBS jest zaprojektowana w taki sposób, że wyniki AI nie są wykonywane automatycznie bez interwencji człowieka. Dla klientów enterprise:

  • systemy AI działają w zarządzanym środowisku z kontrolowanym dostępem;
  • dla decyzji krytycznych (HR, finanse, operacje) stosowany jest workflow zatwierdzania — AI generuje rekomendację, osoba upoważniona ją potwierdza lub odrzuca;
  • każda nowa wersja rozwiązania przechodzi przez strukturalny proces przeglądu bezpieczeństwa przed wdrożeniem na środowisko produkcyjne.

Przejrzystość i oznaczanie treści AI (art. 50)

OpenKBS udostępnia klientom enterprise narzędzia do oznaczania treści generowanych przez AI:

  • metadane pochodzenia — każda odpowiedź AI może zawierać informacje o modelu, wersji i dacie wygenerowania;
  • komponent ujawniania (AI Disclosure) — gotowy do integracji w aplikacjach klienta, informujący użytkowników końcowych, że wchodzą w interakcję z AI lub że treść została wygenerowana przez AI.

Kompetencje AI (art. 4)

OpenKBS udostępnia klientom enterprise dokumentację i konsultacje w zakresie:

  • możliwości i ograniczeń modeli AI dostępnych za pośrednictwem platformy;
  • ryzyk w różnych kategoriach użycia;
  • najlepszych praktyk krytycznej oceny wyników AI;
  • procedur zgłaszania incydentów.

Dokumentacja ta może służyć jako podstawa wewnętrznego programu kompetencji AI organizacji.

Raport zgodności (art. 11, art. 26)

OpenKBS udostępnia klientom enterprise wyspecjalizowany skill do automatycznego generowania raportów zgodności z AI Act. Skill jest instalowany w OpenKBS Studio jednym kliknięciem z sekcji Skills i jest aktywowany poprzez instrukcję dla agenta AI (np. "wygeneruj raport zgodności z AI Act"). Agent zbiera dane z logów proxy AI, analizuje kod projektu i generuje strukturalny raport zawierający:

Inwentaryzację systemów AI:

  • pełną listę modeli AI wykorzystywanych w projekcie (np. Claude Sonnet 4.6, GPT-4.1, Gemini 2.5 Flash);
  • wersje modeli i dostawców;
  • liczbę wywołań na model za wybrany okres;
  • łączne zużycie tokenów wejściowych i wyjściowych.

Klasyfikację ryzyka:

  • automatyczną ocenę kategorii ryzyka według Załącznika III (wysokie ryzyko, ograniczone, minimalne);
  • identyfikację obszarów wchodzących w zakres systemów wysokiego ryzyka (zatrudnienie, finanse, edukacja);
  • rekomendacje dodatkowych środków w przypadku AI wysokiego ryzyka.

Status środków zapewniania zgodności:

  • obecność AI Act Compliance Skill w projekcie;
  • status mechanizmów nadzoru ludzkiego (workflow zatwierdzania);
  • obecność i kompletność logów identyfikowalności;
  • status komponentu AI Disclosure;
  • obecność AI Acceptable Use Policy i polityki kompetencji AI.

Wygenerowany artefakt: Raport jest generowany jako dokument strukturalny (PDF/JSON), gotowy do przedstawienia organom regulacyjnym, wewnętrznym komitetom audytu lub do archiwizacji jako artefakt zgodności. Okresowe generowanie (np. kwartalne) zapewnia udokumentowaną historię użycia AI w organizacji.

Zakazane praktyki i AI Act Compliance Skill

OpenKBS integruje w projektach enterprise wyspecjalizowany skill zgodności — zestaw reguł, które agent AI ładuje automatycznie. Reguły te obejmują:

Zakazane operacje:

  • rozpoznawanie emocji w kontekście zatrudnienia lub edukacji;
  • punktacja społeczna osób fizycznych;
  • kategoryzacja biometryczna na podstawie cech chronionych;
  • techniki manipulacyjne wykorzystujące podatności.

Obowiązkowe procedury:

  • logowanie każdej decyzji AI z danymi wejściowymi, danymi wyjściowymi, modelem i znacznikiem czasu;
  • w przypadku decyzji w obszarach zatrudnienia, finansów i edukacji — wstrzymanie i zażądanie potwierdzenia od osoby upoważnionej;
  • dodawanie metadanych o pochodzeniu AI do generowanych treści;
  • generowanie oceny ryzyka przy wdrażaniu nowych funkcjonalności AI.

Konsolidacja łańcucha dostaw AI

Organizacja korzystająca z modeli AI od wielu dostawców (OpenAI, Anthropic, Google) musi zarządzać zgodnością dla każdego z osobna — różne warunki użytkowania, różne polityki dotyczące danych, różne poziomy przejrzystości.

OpenKBS konsoliduje dostęp do wielu modeli AI za pośrednictwem zunifikowanego proxy, działającego w infrastrukturze UE platformy. Klient współpracuje z jednym dostawcą (OpenKBS), który zarządza integracją z dostawcami AI.

To zmniejsza:

  • liczbę dostawców podlegających oddzielnej ocenie;
  • złożoność zarządzania różnymi politykami dotyczącymi danych;
  • obciążenie administracyjne przy dokumentowaniu łańcucha dostaw AI.

Bezpieczeństwo infrastruktury

AI Act nie funkcjonuje w izolacji — organizacje wchodzące w zakres Dyrektywy (UE) 2022/2555 (NIS2) muszą zapewnić zgodność z obydwoma aktami jednocześnie. OpenKBS adresuje oba ramy regulacyjne poprzez:

  • Wydzielone konto AWS dla każdego klienta enterprise — pełna izolacja i możliwość przeniesienia;
  • EU Data Residency — dane są hostowane w regionie AWS eu-central-1 (Frankfurt, Niemcy);
  • Architektura serverless — zmniejszona powierzchnia ataku, automatyczne aktualizacje bezpieczeństwa;
  • Szyfrowanie — TLS 1.2+ w tranzycie, AES-256 w spoczynku;
  • Dziennik audytu — śledzenie wszystkich działań administracyjnych.

Szczegółowy opis pokrycia NIS2 jest dostępny w publikacji dotyczącej Dyrektywy (UE) 2022/2555.

Podsumowanie: pokrycie kluczowych wymagań

Wymaganie AI ActJak OpenKBS je adresuje
Kompetencje AI (art. 4)Dokumentacja, konsultacje i materiały do programu kompetencji AI
Zakazane praktyki (art. 5)AI Act Compliance Skill z wbudowanymi zakazami
Identyfikowalność (art. 12)Logi proxy AI: model, wersja, znacznik czasu, projekt
Nadzór ludzki (art. 14, 26)Workflow zatwierdzania dla decyzji wysokiego ryzyka
Przejrzystość (art. 50)Komponent AI Disclosure i metadane pochodzenia
Logowanie (art. 26, ust. 6)Automatyczne przechowywanie logów w infrastrukturze klienta
Dokumentacja techniczna (art. 11)Automatyczny raport zgodności na projekt
Informowanie pracowników (art. 26, ust. 7)Konsultacje w zakresie procedur powiadamiania
Zarządzanie łańcuchem dostawSkonsolidowane proxy AI — jeden dostawca zamiast wielu
NIS2 + AI Act wspólnieZunifikowana infrastruktura pokrywająca oba akty

Następny krok

Jeśli Twoja organizacja korzysta z systemów AI i musi zapewnić zgodność z Rozporządzeniem (UE) 2024/1689, skontaktuj się z nami w sprawie konsultacji dotyczącej:

  • oceny bieżącego użycia AI w odniesieniu do wymagań Rozporządzenia;
  • klasyfikacji systemów AI według kategorii ryzyka;
  • wdrożenia AI Act Compliance Skill w zarządzanym środowisku;
  • wygenerowania raportu zgodności dla organów regulacyjnych lub audytu wewnętrznego;
  • programu kompetencji AI dla pracowników.

Opisane usługi w zakresie zgodności z AI Act — compliance skill, audyt użycia AI, workflow nadzoru ludzkiego i raport zgodności — stanowią część planu Enterprise OpenKBS.

Niniejsza publikacja ma charakter wyłącznie informacyjny i nie stanowi porady prawnej. W przypadku szczegółowych pytań dotyczących stosowania Rozporządzenia (UE) 2024/1689 należy skonsultować się z wykwalifikowanym doradcą prawnym.

Book a Strategy Call
Rozporządzenie AIAI Actkompetencje AIAI wysokiego ryzykazgodnośćAWSenterpriseOpenKBS