AI Transparency Notice — Attestia.eu

[WYMAGA REVIEW PRAWNIKA / REQUIRES LEGAL REVIEW] Niniejszy dokument stanowi draft roboczy. Przed publikacją wymaga obowiązkowego przeglądu przez kwalifikowanego prawnika — najlepiej razem z Regulaminem (§ 7) i Polityką Prywatności (sekcja 13), z którymi jest ściśle powiązany.

Wersją wiążącą jest wersja polska. / The Polish version is legally binding.

Wersja / Version: 1.0 Data wejścia w życie / Effective date: 2026-04-01 Ostatnia aktualizacja / Last updated: 2026-04-01 URL publikacji / Published at: attestia.eu/transparency Dokumenty powiązane / Related documents:

• Regulamin § 7 (Wykorzystanie sztucznej inteligencji) — attestia.eu/terms
• Polityka Prywatności sekcja 13 (Informacja o wykorzystaniu AI) — attestia.eu/privacy
• Lista podprocesorów — attestia.eu/subprocessors

Wersja polska (wiążąca)

1. Kontekst regulacyjny i cel dokumentu

Niniejsza Informacja o Przejrzystości AI (dalej: „Informacja") wypełnia obowiązki przejrzystości wynikające z art. 50 rozporządzenia (UE) 2024/1689 (EU AI Act) oraz stanowi rozwinięcie § 7 Regulaminu świadczenia usług Attestia.eu i sekcji 13 Polityki Prywatności. Określenia pisane wielką literą, jeżeli nie zostały tu zdefiniowane, mają znaczenie nadane im w Regulaminie (Platforma, Użytkownik, Organizacja, System AI, Klasyfikacja Ryzyka, Dokumenty Compliance, EU AI Act, RODO).

Art. 50 EU AI Act wchodzi w życie 2 sierpnia 2026 r. i nakłada obowiązki przejrzystości na dostawców (providers) i podmioty wdrażające (deployers) systemów AI, które generują syntetyczne treści, interakcję z człowiekiem lub deepfakes. Niniejsza Informacja jest proaktywną implementacją tych obowiązków na miesiąc przed ich formalnym wejściem w życie.

2. Rola Attestia w łańcuchu AI

Attestia pełni dwie role w rozumieniu EU AI Act:

| Rola | Względem czego | Podstawa | |---|---|---| | Deployer (podmiot wdrażający) | Model Azure OpenAI GPT-5.4 (dostarczany przez Microsoft) | Attestia wdraża gotowy system AI do swoich usług — art. 3 pkt 4 EU AI Act | | Provider (dostawca) | Usługa Attestia jako system wspomagania decyzji compliance | Attestia integruje Azure OpenAI w swój produkt i udostępnia go Organizacjom pod marką „Attestia" — art. 3 pkt 3 EU AI Act |

Każda z tych ról pociąga za sobą obowiązki przejrzystości — realizowane w ramach niniejszej Informacji.

3. Jakiej sztucznej inteligencji używamy

| Element | Szczegóły | |---|---| | Model | OpenAI GPT-5.4 oraz GPT-5.4-mini | | Dostawca modelu | Microsoft Corporation (usługa Azure OpenAI) | | Warstwa integracji | Vercel AI SDK 6 + @ai-sdk/azure | | Region przetwarzania | UE — Sweden Central (swedencentral) | | Miejsce danych | W granicach EU/EOG — brak transferu poza EOG | | Wykorzystanie danych do trenowania | ZAKAZANE — zgodnie z warunkami Azure OpenAI Enterprise Agreement | | Przechowywanie po stronie dostawcy | Transient processing — brak retencji po zakończeniu przetwarzania | | Human-in-the-loop | Obowiązkowy — potrójna weryfikacja (sekcja 6) |

4. Co AI ROBI na Platformie

Platforma wykorzystuje sztuczną inteligencję w następujących obszarach:

1. Rekomendacja Klasyfikacji Ryzyka — analiza opisu Systemu AI wprowadzonego przez Użytkownika i propozycja kategorii ryzyka zgodnie z EU AI Act (zakazane / wysokie / ograniczone / minimalne). Wynik zawiera:
   • proponowaną kategorię,
   • uzasadnienie odwołujące się do konkretnych artykułów EU AI Act,
   • poziom pewności (confidence score) wyrażony w procentach.
2. Generowanie projektów Dokumentów Compliance — tworzenie draftów dokumentacji wymaganej przez EU AI Act (m.in. Annex IV, FRIA, deklaracje zgodności, notyfikacje Art. 50) na podstawie Danych Organizacji.
3. Wyjaśnienia regulacyjne — generowanie opisów wymogów, definicji i komentarzy ułatwiających Użytkownikom zrozumienie obowiązków wynikających z EU AI Act.
4. Analiza przypadków granicznych (grey areas) — identyfikacja sytuacji, w których klasyfikacja nie jest jednoznaczna, i flagowanie ich do obligatoryjnego przeglądu eksperckiego.

5. Co AI NIE ROBI

Jasne rozgraniczenie — AI na Platformie NIE:

• nie podejmuje wiążącej decyzji prawnej — każda Klasyfikacja Ryzyka jest rekomendacją; ostateczna decyzja należy do Organizacji (§ 4 ust. 2 Regulaminu);
• nie udziela porad prawnych — Attestia nie jest kancelarią prawną i nie zastępuje profesjonalnego doradztwa prawnego (§ 4 ust. 1 Regulaminu);
• nie certyfikuje zgodności — Platforma nie zastępuje oceny zgodności dokonywanej przez jednostki notyfikowane (notified bodies) dla Systemów AI wysokiego ryzyka (§ 4 ust. 4 Regulaminu);
• nie generuje deepfakes ani treści wprowadzających w błąd — AI jest wykorzystywana wyłącznie do analizy i generowania dokumentacji compliance;
• nie dokonuje rozpoznawania emocji ani kategoryzacji biometrycznej — art. 50 ust. 3 EU AI Act nie ma zastosowania;
• nie podejmuje decyzji wywołujących skutki prawne wobec osób fizycznych w sposób w pełni zautomatyzowany — w rozumieniu art. 22 RODO zawsze wymagane jest zatwierdzenie człowieka.

6. Nadzór ludzki — mechanizm potrójnej weryfikacji

Platforma stosuje trzystopniowy proces weryfikacji każdej Klasyfikacji Ryzyka (§ 7 ust. 3 Regulaminu):

| Krok | Mechanizm | Rodzaj analizy | |---|---|---| | 1 | Silnik reguł (deterministyczny) | Analiza na podstawie zakodowanych przepisów EU AI Act (Art. 5, Annex III, Art. 50). Wynik w pełni wyjaśnialny (explainable). | | 2 | Rekomendacja AI | Analiza kontekstowa z wykorzystaniem modelu językowego GPT-5.4. Uzupełnia silnik reguł o interpretację przypadków granicznych. | | 3 | Przegląd i zatwierdzenie przez Użytkownika | Ostateczna decyzja — Użytkownik może przyjąć, zmodyfikować lub odrzucić rekomendację AI. |

Prawo do nadpisania (override): Użytkownik może odrzucić lub skorygować rekomendację AI na każdym etapie. Każda akcja jest zapisywana w niezmiennym Dzienniku audytu (hash-chained, SHA-256) z podaniem, kto podjął decyzję i kiedy.

7. Dokładność, ograniczenia i wyświetlanie pewności

Rekomendacje AI mają charakter probabilistyczny i mogą zawierać błędy. Platforma minimalizuje to ryzyko poprzez:

1. Wyświetlanie poziomu pewności (confidence score) przy każdej Klasyfikacji Ryzyka — wartość procentowa z uzasadnieniem.
2. Flagowanie przypadków granicznych — Klasyfikacje o niskim poziomie pewności (poniżej ustalonego progu) oraz dotyczące obszarów spornych (grey areas) są oznaczane jako wymagające obligatoryjnego przeglądu przez eksperta (§ 7 ust. 4 Regulaminu).
3. Wersjonowanie modelu — utrzymujemy ewidencję wersji modelu AI użytej przy każdej Klasyfikacji. Zmiana modelu generuje notyfikację w Dzienniku audytu.
4. Regresy dokładności — planujemy okresowe testy regresyjne na zestawie wzorcowych przypadków. Istotny spadek dokładności skutkuje wycofaniem wersji modelu.

Interpretacja EU AI Act jest dynamiczna i ewoluująca — normy zharmonizowane, wytyczne Komisji Europejskiej, krajowe implementacje i orzecznictwo mogą wpływać na prawidłową wykładnię. Attestia nie gwarantuje kompletności ani aktualności informacji regulacyjnych (§ 4 ust. 6 Regulaminu).

8. Jak rozpoznać treści generowane przez AI

Implementacja art. 50 ust. 2 EU AI Act (oznaczanie syntetycznych treści):

| Miejsce | Oznaczenie | |---|---| | Rekomendacja Klasyfikacji Ryzyka w UI | Badge „Wspomagane przez AI" / „AI-assisted" obok każdej rekomendacji, z ikoną (niebieska gwiazdka lub ikona AI) | | Dokumenty wygenerowane (PDF, DOCX) | Nota w stopce dokumentu: „Dokument wygenerowany z wykorzystaniem sztucznej inteligencji przez Attestia.eu. Wymaga przeglądu przez wykwalifikowanego specjalistę." | | Wyjaśnienia i analizy | Każdy blok tekstu generowany przez AI jest oznaczony etykietą „AI-generated" i wizualnie odseparowany od statycznej treści | | Eksport danych (JSON/CSV) | Pole ai_generated: true oraz ai_model_version dla każdego rekordu zawierającego treść AI | | API | Nagłówek X-Attestia-AI-Generated: true w odpowiedziach zawierających treść AI (gdy API zostanie udostępnione) |

Technologia oznaczania metadanych (C2PA / watermarking) — zgodnie z art. 50 ust. 2 zdanie drugie EU AI Act planujemy wdrożenie technicznych oznaczeń zgodnych ze standardem C2PA po ich stabilizacji przez branżę. Obecnie standard jest w fazie adopcji; Attestia monitoruje rozwój i wdroży go w ramach aktualizacji Platformy [ROADMAP].

9. Dane a prywatność w kontekście AI

Kluczowe zasady ochrony danych przy przetwarzaniu AI (spójne z § 7 ust. 5 Regulaminu i sekcją 4.3 Polityki Prywatności):

1. Pseudonimizacja przed wysyłką — opisy Systemów AI wysyłane do Azure OpenAI są pozbawione: nazwy Organizacji, danych osobowych Użytkowników, danych rozliczeniowych, identyfikatorów Konta.
2. Lokalizacja w UE — przetwarzanie odbywa się wyłącznie w regionie Sweden Central (Azure). Brak transferu poza EOG.
3. Brak trenowania modeli — dane Organizacji nie są wykorzystywane przez Microsoft ani OpenAI do trenowania modeli AI (Azure OpenAI Enterprise Agreement).
4. Transient processing — dane nie są przechowywane po stronie Azure OpenAI po zakończeniu przetwarzania zapytania.
5. Szyfrowanie w tranzycie — komunikacja z Azure OpenAI via TLS 1.3.
6. Audit trail — każde wywołanie AI zapisuje: znacznik czasu, wersję modelu, długość promptu, długość odpowiedzi, ID Użytkownika. NIE zapisujemy treści promptu ani odpowiedzi w formie umożliwiającej re-identyfikację danych Organizacji.

Szczegóły przetwarzania danych — zob. Polityka Prywatności sekcje 3–8 i 13.

10. Mapowanie na wymogi art. 50 EU AI Act

| Przepis | Zakres | Stosowalność wobec Attestia | Implementacja | |---|---|---|---| | Art. 50 ust. 1 | Providers systemów AI wchodzących w interakcję z osobami fizycznymi (obowiązek informowania o interakcji z AI) | ✅ Dotyczy Platformy (wyjaśnienia i analizy regulacyjne generowane przez AI są widoczne dla Użytkowników) | Jasne oznaczenia „AI-assisted" w UI (sekcja 8) + treść niniejszej Informacji | | Art. 50 ust. 2 | Providers generujących syntetic content (audio/image/video/text) — obowiązek oznaczania metadanych w formie odczytywalnej maszynowo | ✅ Dotyczy (Dokumenty Compliance to generowany tekst) | Oznaczenia wizualne + adnotacje w PDF/DOCX + ai_generated: true w eksportach + planowane C2PA | | Art. 50 ust. 3 | Deployers systemów rozpoznawania emocji / kategoryzacji biometrycznej | ❌ Nie dotyczy — Platforma nie używa takich funkcji | Brak wymaganej implementacji | | Art. 50 ust. 4 | Deployers generujących deepfakes lub AI-generated text informujący opinię publiczną | ⚠️ Częściowo dotyczy — Dokumenty Compliance mogą być przeznaczone dla organów nadzoru (informing public) | Stopka „AI-generated" w dokumentach eksportowanych + obowiązek przeglądu przez wykwalifikowanego specjalistę (§ 4 ust. 3 Regulaminu) | | Art. 50 ust. 5 | Sposób udostępniania informacji — jasny, rozróżnialny, najpóźniej przy pierwszej interakcji | ✅ Dotyczy | Niniejsza Informacja + onboarding Użytkownika + stały dostęp pod /transparency |

11. Prawa Użytkownika związane z AI

1. Prawo do wyjaśnienia (explanation) — każda Klasyfikacja Ryzyka jest wyświetlana wraz z uzasadnieniem (silnik reguł — odwołania do artykułów EU AI Act; AI — narracyjne wyjaśnienie).
2. Prawo do nadpisania rekomendacji AI — na każdym etapie.
3. Prawo do niepodlegania decyzji opartej wyłącznie na AI (art. 22 RODO) — w pełni zautomatyzowane decyzje nie są podejmowane (sekcja 5).
4. Prawo dostępu do Dziennika audytu — Użytkownik (w zależności od roli) może przeglądać historię decyzji AI i człowieka w swojej Organizacji.
5. Prawo wniesienia skargi — na przetwarzanie AI niezgodne z EU AI Act: do krajowego organu ds. AI (w Polsce: do organu wskazanego w ustawie implementującej EU AI Act, po jej wejściu w życie). Ponadto — na podstawie RODO — do Prezesa UODO (ul. Stawki 2, 00-193 Warszawa).

Realizacja praw: privacy@attestia.eu (dla RODO) lub kontakt@attestia.eu (kwestie ogólne AI).

12. Zmiany Informacji

O istotnych zmianach Informacji (np. zmiana modelu AI, zmiana dostawcy, rozszerzenie zakresu użycia AI) poinformujemy z co najmniej 30-dniowym wyprzedzeniem (spójnie z § 14 Regulaminu):

• drogą elektroniczną na adres Właściciela Konta,
• poprzez powiadomienie w Platformie,
• poprzez aktualizację niniejszej strony.

Aktualna wersja publikowana jest pod adresem attestia.eu/transparency. Poprzednie wersje archiwizujemy i udostępniamy na żądanie.

13. Kontakt

| | | |---|---| | Pytania ogólne ws. AI | kontakt@attestia.eu | | Sprawy ochrony danych | privacy@attestia.eu | | Zgłoszenia bezpieczeństwa | privacy@attestia.eu (docelowo: security@attestia.eu) | | Adres pocztowy | Trimalert sp. z o.o., ul. Przasnyska 7/319, 01-756 Warszawa, Polska |

English version (for information)

In case of any discrepancy between the Polish and English versions, the Polish version shall prevail.

1. Regulatory context and purpose

This AI Transparency Notice (the "Notice") fulfils transparency obligations under Article 50 of Regulation (EU) 2024/1689 (EU AI Act) and expands on § 7 of the Attestia Terms of Service and section 13 of the Privacy Policy. Capitalised terms have the meaning given in the Terms (Platform, User, Organisation, AI System, Risk Classification, Compliance Documents, EU AI Act, GDPR).

Article 50 EU AI Act enters into application on 2 August 2026, imposing transparency obligations on providers and deployers of AI systems that generate synthetic content, interact with humans or produce deepfakes. This Notice is a proactive implementation of those obligations one month ahead of the formal deadline.

2. Attestia's role in the AI chain

Attestia performs two roles under the EU AI Act:

| Role | With respect to | Basis | |---|---|---| | Deployer | Azure OpenAI GPT-5.4 model (provided by Microsoft) | Attestia deploys a ready-made AI system into its services — Art. 3(4) EU AI Act | | Provider | The Attestia service as a compliance decision-support system | Attestia integrates Azure OpenAI into its product and offers it to Organisations under the "Attestia" brand — Art. 3(3) EU AI Act |

3. The AI we use

| Item | Details | |---|---| | Model | OpenAI GPT-5.4 and GPT-5.4-mini | | Model provider | Microsoft Corporation (Azure OpenAI service) | | Integration layer | Vercel AI SDK 6 + @ai-sdk/azure | | Processing region | EU — Sweden Central (swedencentral) | | Data location | Within EU/EEA — no transfers outside EEA | | Use of data for training | PROHIBITED — per Azure OpenAI Enterprise Agreement terms | | Provider-side retention | Transient processing — no retention after processing | | Human-in-the-loop | Mandatory — triple verification (section 6) |

4. What AI DOES on the Platform

1. Risk Classification recommendation — analysis of the AI System description submitted by the User and a suggested risk category per the EU AI Act (prohibited / high / limited / minimal). Output includes:
   • suggested category,
   • justification referencing EU AI Act articles,
   • confidence score (percentage).
2. Compliance Document drafting — generating drafts of documents required by the EU AI Act (e.g. Annex IV, FRIA, declarations of conformity, Art. 50 notices) based on Organisation Data.
3. Regulatory explanations — generating descriptions of requirements, definitions and commentary helping Users understand their EU AI Act obligations.
4. Edge-case analysis — identifying grey areas where classification is not unambiguous and flagging them for mandatory expert review.

5. What AI DOES NOT do

The AI on the Platform does NOT:

• make binding legal decisions — every Risk Classification is a recommendation; the final decision rests with the Organisation (§ 4(2) of the Terms);
• provide legal advice — Attestia is not a law firm and does not replace professional legal counsel (§ 4(1));
• certify compliance — the Platform does not replace conformity assessment by notified bodies for high-risk AI Systems (§ 4(4));
• generate deepfakes or misleading content — AI is used solely for analysis and drafting of compliance documentation;
• perform emotion recognition or biometric categorisation — Art. 50(3) EU AI Act does not apply;
• make fully automated decisions producing legal effects on natural persons — Art. 22 GDPR is respected; human approval is always required.

6. Human oversight — triple verification

The Platform applies a three-step verification process for every Risk Classification (§ 7(3) of the Terms):

| Step | Mechanism | Type of analysis | |---|---|---| | 1 | Rules engine (deterministic) | Analysis based on codified EU AI Act provisions (Art. 5, Annex III, Art. 50). Fully explainable. | | 2 | AI recommendation | Contextual analysis using GPT-5.4. Supplements the rules engine in grey areas. | | 3 | User review and approval | Final decision — User may accept, modify or reject the AI recommendation. |

Right to override: Users may reject or correct AI recommendations at any stage. Every action is recorded in an immutable Audit Log (hash-chained, SHA-256) including who decided and when.

7. Accuracy, limitations and confidence display

AI recommendations are probabilistic and may contain errors. The Platform mitigates this via:

1. Confidence score display — percentage value with justification for each Risk Classification.
2. Grey-area flagging — Classifications with low confidence or covering disputed areas are flagged as requiring mandatory expert review (§ 7(4) of the Terms).
3. Model versioning — each Classification is logged with the model version used. Model change triggers an Audit Log notification.
4. Accuracy regression — we plan periodic regression tests on a benchmark set. A material accuracy drop triggers rollback of the model version.

EU AI Act interpretation is dynamic and evolving — harmonised standards, Commission guidance, national implementations and case law may affect the correct reading. Attestia does not guarantee completeness or currency of regulatory information (§ 4(6) of the Terms).

8. How to identify AI-generated content

Implementation of Art. 50(2) EU AI Act (synthetic content labelling):

| Location | Label | |---|---| | Risk Classification recommendation in UI | "AI-assisted" badge next to every recommendation, with an icon | | Generated documents (PDF, DOCX) | Footer note: "Document generated using artificial intelligence by Attestia.eu. Requires review by a qualified specialist." | | Explanations and analyses | Every AI-generated text block is labelled "AI-generated" and visually separated from static content | | Data export (JSON/CSV) | Field ai_generated: true and ai_model_version for every record containing AI content | | API | X-Attestia-AI-Generated: true header in responses containing AI content (once the API is exposed) |

Metadata labelling (C2PA / watermarking) — per Art. 50(2) second sentence we plan to implement C2PA-compliant technical marks once the industry standard stabilises. Currently the standard is in adoption phase; Attestia monitors progress and will implement it in a Platform update [ROADMAP].

9. Data and privacy in the AI context

Key data-protection principles (consistent with § 7(5) of the Terms and section 4.3 of the Privacy Policy):

1. Pseudonymisation before dispatch — AI System descriptions sent to Azure OpenAI are stripped of: Organisation name, User personal data, billing data, Account identifiers.
2. EU location — processing in Sweden Central only. No transfer outside the EEA.
3. No model training — Organisation Data is not used by Microsoft or OpenAI to train AI models (Azure OpenAI Enterprise Agreement).
4. Transient processing — no retention at Azure OpenAI after request processing ends.
5. Encryption in transit — communication with Azure OpenAI via TLS 1.3.
6. Audit trail — every AI call logs: timestamp, model version, prompt length, response length, User ID. We do NOT log prompt or response content in a form enabling re-identification of Organisation Data.

For processing details see Privacy Policy sections 3–8 and 13.

10. Mapping to Article 50 EU AI Act requirements

| Provision | Scope | Applicability to Attestia | Implementation | |---|---|---|---| | Art. 50(1) | Providers of AI systems interacting with natural persons (duty to inform about AI interaction) | ✅ Applies (AI-generated regulatory explanations are visible to Users) | Clear "AI-assisted" labelling in UI (section 8) + content of this Notice | | Art. 50(2) | Providers generating synthetic content — duty to mark machine-readable metadata | ✅ Applies (Compliance Documents are generated text) | Visual labels + PDF/DOCX notes + ai_generated: true in exports + planned C2PA | | Art. 50(3) | Deployers of emotion recognition / biometric categorisation | ❌ Does not apply — Platform does not use such features | No implementation required | | Art. 50(4) | Deployers producing deepfakes or AI-generated text informing the public | ⚠️ Partly applies — Compliance Documents may be filed with supervisory authorities (informing public) | "AI-generated" footer in exported documents + mandatory qualified review (§ 4(3) of the Terms) | | Art. 50(5) | Manner of disclosure — clear, distinguishable, at first interaction at the latest | ✅ Applies | This Notice + User onboarding + permanent access at /transparency |

11. User rights in connection with AI

1. Right to explanation — every Risk Classification is displayed with justification (rules engine — references to EU AI Act articles; AI — narrative explanation).
2. Right to override AI — at any stage.
3. Right not to be subject to a decision based solely on AI (Art. 22 GDPR) — fully automated decisions are not made (section 5).
4. Right of access to the Audit Log — Users (depending on role) may review AI and human decision history within their Organisation.
5. Right to lodge a complaint — regarding AI processing inconsistent with the EU AI Act: to the national AI authority (in Poland: to the authority designated under the Polish EU AI Act implementation law, once in force). Also — under the GDPR — to the President of UODO (ul. Stawki 2, 00-193 Warsaw).

Exercise of rights: privacy@attestia.eu (GDPR matters) or kontakt@attestia.eu (general AI matters).

12. Changes to this Notice

We will notify you of material changes to this Notice (e.g. AI model change, provider change, expansion of AI use) with at least 30 days' notice (aligned with § 14 of the Terms):

• via email to the Account Owner,
• via in-app notification,
• via update to this page.

The current version is published at attestia.eu/transparency. Previous versions are archived and available on request.

13. Contact

| | | |---|---| | General AI questions | kontakt@attestia.eu | | Data protection matters | privacy@attestia.eu | | Security reports | privacy@attestia.eu (future: security@attestia.eu) | | Postal address | Trimalert sp. z o.o., ul. Przasnyska 7/319, 01-756 Warsaw, Poland |