AI Act inventory
Rejestr systemów AI: minimalny zakres danych dla zarządu
To nie jest porada prawna. To memo decyzyjne o systemach, danych, ryzyku wdrożeniowym i pytaniach, które warto zabrać do zarządu, prawnika albo dostawcy.
Krótka odpowiedź
Rejestr systemów AI dla zarządu to nie to samo co formalna rejestracja w unijnej bazie danych. Zarządczy rejestr ma dać firmie kontrolę nad tym, gdzie AI działa, kto odpowiada, jakie dane są dotykane i które użycia wymagają transparentności, klasyfikacji albo dodatkowych kontroli.
Największy błąd to zacząć wyłącznie od systemów “wysokiego ryzyka”. Dobra lista obejmuje także narzędzia niskiego lub niejasnego ryzyka, bo shadow AI, dane osobowe i vendor lock-in zwykle pojawiają się wcześniej niż formalna klasyfikacja.
Kiedy to ma znaczenie
Rejestr jest potrzebny, gdy firma ma więcej niż kilka narzędzi AI, kilka zespołów kupujących software albo dostawców wpinających AI w istniejące procesy. Bez rejestru zarząd często nie wie, czy rozmawia o produkcie, funkcji w SaaS, automatyzacji wewnętrznej, eksperymencie, czy systemie wpływającym na decyzję wobec ludzi.
Test decyzyjny
| Pole w rejestrze | Po co zarządowi | Minimalny standard |
|---|---|---|
| Owner biznesowy | Żeby decyzja nie została w IT albo u dostawcy. | Imię roli, zespół, rytm review. |
| Dostawca i rola AI Act | Żeby odróżnić własne użycie od zależności vendorowej. | Provider/deployer wstępnie opisany, z lukami do sprawdzenia. |
| Use case i decyzja | Żeby zobaczyć wpływ na ludzi, pieniądze lub ryzyko. | Jedno zdanie: do czego system służy i co zmienia. |
| Dane wejściowe i output | Żeby ocenić ekspozycję danych i jakość wyniku. | Typy danych, dane osobowe, output, reviewer. |
| Transparentność i kontrola | Żeby uniknąć wdrożeń niewidocznych dla użytkownika. | Article 50 flag, human review, fallback, logging. |
Dowody do zebrania
- Lista aktywnych systemów, funkcji AI w SaaS, automatyzacji i pilotaży.
- Dla każdego systemu: owner, dostawca, umowa, status, cel biznesowy i użytkownicy.
- Dane wejściowe, dane wyjściowe, dane osobowe lub szczególne kategorie danych, jeśli występują.
- Wstępna klasa ryzyka i uzasadnienie, z oddzieleniem niepewności od decyzji.
- Ekran Article 5, Article 50 i obowiązków informacyjnych.
- Human oversight, monitoring, fallback, incydenty, review date i warunki zatrzymania.
Czerwone flagi
- Rejestr jest prowadzony tylko przez IT, bez właścicieli biznesowych.
- Narzędzia “asystenckie” nie są wpisywane, bo nie podejmują formalnych decyzji.
- Ten sam dostawca występuje w kilku procesach, ale nikt nie widzi skumulowanej ekspozycji.
- Zespół nie rozróżnia rejestru zarządczego od obowiązku wpisu do unijnej bazy.
- Każdy system ma status “low risk” bez uzasadnienia i daty review.
Czego nie wyciągać jako wniosku
Rejestr zarządczy nie oznacza, że firma publicznie ujawnia wszystkie systemy AI. Nie oznacza też, że minimal risk kończy temat governance. To narzędzie decyzyjne: pokazuje, gdzie są systemy, gdzie są luki dowodowe i które rozmowy wymagają prawnika, dostawcy albo właściciela procesu.