Informacja o Przejrzystości AI — Attestia.eu

Wersją wiążącą jest wersja polska. / The Polish version is legally binding.

Wersja / Version: 1.0 Data wejścia w życie / Effective date: 2026-04-22 Ostatnia aktualizacja / Last updated: 2026-04-22 URL publikacji / Published at: attestia.eu/transparency Dokumenty powiązane / Related documents:


1. Kontekst regulacyjny i cel dokumentu

Niniejsza Informacja o Przejrzystości AI (dalej: „Informacja") wypełnia obowiązki przejrzystości wynikające z art. 50 rozporządzenia (UE) 2024/1689 (EU AI Act) oraz stanowi rozwinięcie § 7 Regulaminu świadczenia usług Attestia.eu i sekcji 13 Polityki Prywatności. Określenia pisane wielką literą, jeżeli nie zostały tu zdefiniowane, mają znaczenie nadane im w Regulaminie (Platforma, Użytkownik, Organizacja, System AI, Klasyfikacja Ryzyka, Dokumenty Compliance, EU AI Act, RODO).

Art. 50 EU AI Act wchodzi w życie 2 sierpnia 2026 r. i nakłada obowiązki przejrzystości na dostawców (providers) i podmioty wdrażające (deployers) systemów AI, które generują syntetyczne treści, interakcję z człowiekiem lub deepfakes. Niniejsza Informacja jest proaktywną implementacją tych obowiązków na miesiąc przed ich formalnym wejściem w życie.


2. Rola Attestia w łańcuchu AI

Attestia pełni dwie role w rozumieniu EU AI Act:

RolaWzględem czegoPodstawa
Deployer (podmiot wdrażający)Model Azure OpenAI GPT-5.4 (dostarczany przez Microsoft)Attestia wdraża gotowy system AI do swoich usług — art. 3 pkt 4 EU AI Act
Provider (dostawca)Usługa Attestia jako system wspomagania decyzji complianceAttestia integruje Azure OpenAI w swój produkt i udostępnia go Organizacjom pod marką „Attestia" — art. 3 pkt 3 EU AI Act

Każda z tych ról pociąga za sobą obowiązki przejrzystości — realizowane w ramach niniejszej Informacji.


3. Jakiej sztucznej inteligencji używamy

ElementSzczegóły
ModelOpenAI GPT-5.4 oraz GPT-5.4-mini
Dostawca modeluMicrosoft Corporation (usługa Azure OpenAI)
Warstwa integracjiVercel AI SDK 6 + @ai-sdk/azure
Region przetwarzaniaUE — Sweden Central (swedencentral)
Miejsce danychW granicach EU/EOG — brak transferu poza EOG
Wykorzystanie danych do trenowaniaZAKAZANE — zgodnie z warunkami Azure OpenAI Enterprise Agreement
Przechowywanie po stronie dostawcyTransient processing — brak retencji po zakończeniu przetwarzania
Human-in-the-loopObowiązkowy — potrójna weryfikacja (sekcja 6)

4. Co AI ROBI na Platformie

Platforma wykorzystuje sztuczną inteligencję w następujących obszarach:

  1. Rekomendacja Klasyfikacji Ryzyka — analiza opisu Systemu AI wprowadzonego przez Użytkownika i propozycja kategorii ryzyka zgodnie z EU AI Act (zakazane / wysokie / ograniczone / minimalne). Wynik zawiera:
    • proponowaną kategorię,
    • uzasadnienie odwołujące się do konkretnych artykułów EU AI Act,
    • poziom pewności (confidence score) wyrażony w procentach.
  2. Generowanie projektów Dokumentów Compliance — tworzenie draftów dokumentacji wymaganej przez EU AI Act (m.in. Annex IV, FRIA, deklaracje zgodności, notyfikacje Art. 50) na podstawie Danych Organizacji.
  3. Wyjaśnienia regulacyjne — generowanie opisów wymogów, definicji i komentarzy ułatwiających Użytkownikom zrozumienie obowiązków wynikających z EU AI Act.
  4. Analiza przypadków granicznych (grey areas) — identyfikacja sytuacji, w których klasyfikacja nie jest jednoznaczna, i flagowanie ich do obligatoryjnego przeglądu eksperckiego.

5. Co AI NIE ROBI

Jasne rozgraniczenie — AI na Platformie NIE:

  • nie podejmuje wiążącej decyzji prawnej — każda Klasyfikacja Ryzyka jest rekomendacją; ostateczna decyzja należy do Organizacji (§ 4 ust. 2 Regulaminu);
  • nie udziela porad prawnych — Attestia nie jest kancelarią prawną i nie zastępuje profesjonalnego doradztwa prawnego (§ 4 ust. 1 Regulaminu);
  • nie certyfikuje zgodności — Platforma nie zastępuje oceny zgodności dokonywanej przez jednostki notyfikowane (notified bodies) dla Systemów AI wysokiego ryzyka (§ 4 ust. 4 Regulaminu);
  • nie generuje deepfakes ani treści wprowadzających w błąd — AI jest wykorzystywana wyłącznie do analizy i generowania dokumentacji compliance;
  • nie dokonuje rozpoznawania emocji ani kategoryzacji biometrycznej — art. 50 ust. 3 EU AI Act nie ma zastosowania;
  • nie podejmuje decyzji wywołujących skutki prawne wobec osób fizycznych w sposób w pełni zautomatyzowany — w rozumieniu art. 22 RODO zawsze wymagane jest zatwierdzenie człowieka.

6. Nadzór ludzki — mechanizm potrójnej weryfikacji

Platforma stosuje trzystopniowy proces weryfikacji każdej Klasyfikacji Ryzyka (§ 7 ust. 3 Regulaminu):

KrokMechanizmRodzaj analizy
1Silnik reguł (deterministyczny)Analiza na podstawie zakodowanych przepisów EU AI Act (Art. 5, Annex III, Art. 50). Wynik w pełni wyjaśnialny (explainable).
2Rekomendacja AIAnaliza kontekstowa z wykorzystaniem modelu językowego GPT-5.4. Uzupełnia silnik reguł o interpretację przypadków granicznych.
3Przegląd i zatwierdzenie przez UżytkownikaOstateczna decyzja — Użytkownik może przyjąć, zmodyfikować lub odrzucić rekomendację AI.

Prawo do nadpisania (override): Użytkownik może odrzucić lub skorygować rekomendację AI na każdym etapie. Każda akcja jest zapisywana w niezmiennym Dzienniku audytu (hash-chained, SHA-256) z podaniem, kto podjął decyzję i kiedy.


7. Dokładność, ograniczenia i wyświetlanie pewności

Rekomendacje AI mają charakter probabilistyczny i mogą zawierać błędy. Platforma minimalizuje to ryzyko poprzez:

  1. Wyświetlanie poziomu pewności (confidence score) przy każdej Klasyfikacji Ryzyka — wartość procentowa z uzasadnieniem.
  2. Flagowanie przypadków granicznych — Klasyfikacje o niskim poziomie pewności (poniżej ustalonego progu) oraz dotyczące obszarów spornych (grey areas) są oznaczane jako wymagające obligatoryjnego przeglądu przez eksperta (§ 7 ust. 4 Regulaminu).
  3. Wersjonowanie modelu — utrzymujemy ewidencję wersji modelu AI użytej przy każdej Klasyfikacji. Zmiana modelu generuje notyfikację w Dzienniku audytu.
  4. Regresy dokładności — planujemy okresowe testy regresyjne na zestawie wzorcowych przypadków. Istotny spadek dokładności skutkuje wycofaniem wersji modelu.

Interpretacja EU AI Act jest dynamiczna i ewoluująca — normy zharmonizowane, wytyczne Komisji Europejskiej, krajowe implementacje i orzecznictwo mogą wpływać na prawidłową wykładnię. Attestia nie gwarantuje kompletności ani aktualności informacji regulacyjnych (§ 4 ust. 6 Regulaminu).


8. Jak rozpoznać treści generowane przez AI

Implementacja art. 50 ust. 2 EU AI Act (oznaczanie syntetycznych treści):

MiejsceOznaczenie
Rekomendacja Klasyfikacji Ryzyka w UIBadge „Wspomagane przez AI" / „AI-assisted" obok każdej rekomendacji, z ikoną (niebieska gwiazdka lub ikona AI)
Dokumenty wygenerowane (PDF, DOCX)Nota w stopce dokumentu: „Dokument wygenerowany z wykorzystaniem sztucznej inteligencji przez Attestia.eu. Wymaga przeglądu przez wykwalifikowanego specjalistę."
Wyjaśnienia i analizyKażdy blok tekstu generowany przez AI jest oznaczony etykietą „AI-generated" i wizualnie odseparowany od statycznej treści
Eksport danych (JSON/CSV)Pole ai_generated: true oraz ai_model_version dla każdego rekordu zawierającego treść AI
APINagłówek X-Attestia-AI-Generated: true w odpowiedziach zawierających treść AI (gdy API zostanie udostępnione)

Technologia oznaczania metadanych (C2PA / watermarking) — zgodnie z art. 50 ust. 2 zdanie drugie EU AI Act planujemy wdrożenie technicznych oznaczeń zgodnych ze standardem C2PA po ich stabilizacji przez branżę. Obecnie standard jest w fazie adopcji; Attestia monitoruje rozwój i wdroży go w ramach aktualizacji Platformy [ROADMAP].


9. Dane a prywatność w kontekście AI

Kluczowe zasady ochrony danych przy przetwarzaniu AI (spójne z § 7 ust. 5 Regulaminu i sekcją 4.3 Polityki Prywatności):

  1. Pseudonimizacja przed wysyłką — opisy Systemów AI wysyłane do Azure OpenAI są pozbawione: nazwy Organizacji, danych osobowych Użytkowników, danych rozliczeniowych, identyfikatorów Konta.
  2. Lokalizacja w UE — przetwarzanie odbywa się wyłącznie w regionie Sweden Central (Azure). Brak transferu poza EOG.
  3. Brak trenowania modeli — dane Organizacji nie są wykorzystywane przez Microsoft ani OpenAI do trenowania modeli AI (Azure OpenAI Enterprise Agreement).
  4. Transient processing — dane nie są przechowywane po stronie Azure OpenAI po zakończeniu przetwarzania zapytania.
  5. Szyfrowanie w tranzycie — komunikacja z Azure OpenAI via TLS 1.3.
  6. Audit trail — każde wywołanie AI zapisuje: znacznik czasu, wersję modelu, długość promptu, długość odpowiedzi, ID Użytkownika. NIE zapisujemy treści promptu ani odpowiedzi w formie umożliwiającej re-identyfikację danych Organizacji.

Szczegóły przetwarzania danych — zob. Polityka Prywatności sekcje 3–8 i 13.


10. Mapowanie na wymogi art. 50 EU AI Act

PrzepisZakresStosowalność wobec AttestiaImplementacja
Art. 50 ust. 1Providers systemów AI wchodzących w interakcję z osobami fizycznymi (obowiązek informowania o interakcji z AI)✅ Dotyczy Platformy (wyjaśnienia i analizy regulacyjne generowane przez AI są widoczne dla Użytkowników)Jasne oznaczenia „AI-assisted" w UI (sekcja 8) + treść niniejszej Informacji
Art. 50 ust. 2Providers generujących syntetic content (audio/image/video/text) — obowiązek oznaczania metadanych w formie odczytywalnej maszynowo✅ Dotyczy (Dokumenty Compliance to generowany tekst)Oznaczenia wizualne + adnotacje w PDF/DOCX + ai_generated: true w eksportach + planowane C2PA
Art. 50 ust. 3Deployers systemów rozpoznawania emocji / kategoryzacji biometrycznej❌ Nie dotyczy — Platforma nie używa takich funkcjiBrak wymaganej implementacji
Art. 50 ust. 4Deployers generujących deepfakes lub AI-generated text informujący opinię publiczną⚠️ Częściowo dotyczy — Dokumenty Compliance mogą być przeznaczone dla organów nadzoru (informing public)Stopka „AI-generated" w dokumentach eksportowanych + obowiązek przeglądu przez wykwalifikowanego specjalistę (§ 4 ust. 3 Regulaminu)
Art. 50 ust. 5Sposób udostępniania informacji — jasny, rozróżnialny, najpóźniej przy pierwszej interakcji✅ DotyczyNiniejsza Informacja + onboarding Użytkownika + stały dostęp pod /transparency

11. Prawa Użytkownika związane z AI

  1. Prawo do wyjaśnienia (explanation) — każda Klasyfikacja Ryzyka jest wyświetlana wraz z uzasadnieniem (silnik reguł — odwołania do artykułów EU AI Act; AI — narracyjne wyjaśnienie).
  2. Prawo do nadpisania rekomendacji AI — na każdym etapie.
  3. Prawo do niepodlegania decyzji opartej wyłącznie na AI (art. 22 RODO) — w pełni zautomatyzowane decyzje nie są podejmowane (sekcja 5).
  4. Prawo dostępu do Dziennika audytu — Użytkownik (w zależności od roli) może przeglądać historię decyzji AI i człowieka w swojej Organizacji.
  5. Prawo wniesienia skargi — na przetwarzanie AI niezgodne z EU AI Act: do krajowego organu ds. AI (w Polsce: do organu wskazanego w ustawie implementującej EU AI Act, po jej wejściu w życie). Ponadto — na podstawie RODO — do Prezesa UODO (ul. Stawki 2, 00-193 Warszawa).

Realizacja praw: privacy@attestia.eu (dla RODO) lub contact@attestia.eu (kwestie ogólne AI).


12. Zmiany Informacji

O istotnych zmianach Informacji (np. zmiana modelu AI, zmiana dostawcy, rozszerzenie zakresu użycia AI) poinformujemy z co najmniej 30-dniowym wyprzedzeniem (spójnie z § 14 Regulaminu):

  • drogą elektroniczną na adres Właściciela Konta,
  • poprzez powiadomienie w Platformie,
  • poprzez aktualizację niniejszej strony.

Aktualna wersja publikowana jest pod adresem attestia.eu/transparency. Poprzednie wersje archiwizujemy i udostępniamy na żądanie.


13. Kontakt

Pytania ogólne ws. AIcontact@attestia.eu
Sprawy ochrony danychprivacy@attestia.eu
Zgłoszenia bezpieczeństwaprivacy@attestia.eu (docelowo: security@attestia.eu)
Adres pocztowyTrimalert sp. z o.o., ul. Przasnyska 7/319, 01-756 Warszawa, Polska