Informacja o Przejrzystości AI — Attestia.eu
Wersją wiążącą jest wersja polska. / The Polish version is legally binding.
Wersja / Version: 1.0 Data wejścia w życie / Effective date: 2026-04-22 Ostatnia aktualizacja / Last updated: 2026-04-22 URL publikacji / Published at: attestia.eu/transparency Dokumenty powiązane / Related documents:
- Regulamin § 7 (Wykorzystanie sztucznej inteligencji) — attestia.eu/terms
- Polityka Prywatności sekcja 13 (Informacja o wykorzystaniu AI) — attestia.eu/privacy
- Lista podprocesorów — attestia.eu/subprocessors
1. Kontekst regulacyjny i cel dokumentu
Niniejsza Informacja o Przejrzystości AI (dalej: „Informacja") wypełnia obowiązki przejrzystości wynikające z art. 50 rozporządzenia (UE) 2024/1689 (EU AI Act) oraz stanowi rozwinięcie § 7 Regulaminu świadczenia usług Attestia.eu i sekcji 13 Polityki Prywatności. Określenia pisane wielką literą, jeżeli nie zostały tu zdefiniowane, mają znaczenie nadane im w Regulaminie (Platforma, Użytkownik, Organizacja, System AI, Klasyfikacja Ryzyka, Dokumenty Compliance, EU AI Act, RODO).
Art. 50 EU AI Act wchodzi w życie 2 sierpnia 2026 r. i nakłada obowiązki przejrzystości na dostawców (providers) i podmioty wdrażające (deployers) systemów AI, które generują syntetyczne treści, interakcję z człowiekiem lub deepfakes. Niniejsza Informacja jest proaktywną implementacją tych obowiązków na miesiąc przed ich formalnym wejściem w życie.
2. Rola Attestia w łańcuchu AI
Attestia pełni dwie role w rozumieniu EU AI Act:
| Rola | Względem czego | Podstawa |
|---|---|---|
| Deployer (podmiot wdrażający) | Model Azure OpenAI GPT-5.4 (dostarczany przez Microsoft) | Attestia wdraża gotowy system AI do swoich usług — art. 3 pkt 4 EU AI Act |
| Provider (dostawca) | Usługa Attestia jako system wspomagania decyzji compliance | Attestia integruje Azure OpenAI w swój produkt i udostępnia go Organizacjom pod marką „Attestia" — art. 3 pkt 3 EU AI Act |
Każda z tych ról pociąga za sobą obowiązki przejrzystości — realizowane w ramach niniejszej Informacji.
3. Jakiej sztucznej inteligencji używamy
| Element | Szczegóły |
|---|---|
| Model | OpenAI GPT-5.4 oraz GPT-5.4-mini |
| Dostawca modelu | Microsoft Corporation (usługa Azure OpenAI) |
| Warstwa integracji | Vercel AI SDK 6 + @ai-sdk/azure |
| Region przetwarzania | UE — Sweden Central (swedencentral) |
| Miejsce danych | W granicach EU/EOG — brak transferu poza EOG |
| Wykorzystanie danych do trenowania | ZAKAZANE — zgodnie z warunkami Azure OpenAI Enterprise Agreement |
| Przechowywanie po stronie dostawcy | Transient processing — brak retencji po zakończeniu przetwarzania |
| Human-in-the-loop | Obowiązkowy — potrójna weryfikacja (sekcja 6) |
4. Co AI ROBI na Platformie
Platforma wykorzystuje sztuczną inteligencję w następujących obszarach:
- Rekomendacja Klasyfikacji Ryzyka — analiza opisu Systemu AI wprowadzonego przez Użytkownika i propozycja kategorii ryzyka zgodnie z EU AI Act (zakazane / wysokie / ograniczone / minimalne). Wynik zawiera:
- proponowaną kategorię,
- uzasadnienie odwołujące się do konkretnych artykułów EU AI Act,
- poziom pewności (confidence score) wyrażony w procentach.
- Generowanie projektów Dokumentów Compliance — tworzenie draftów dokumentacji wymaganej przez EU AI Act (m.in. Annex IV, FRIA, deklaracje zgodności, notyfikacje Art. 50) na podstawie Danych Organizacji.
- Wyjaśnienia regulacyjne — generowanie opisów wymogów, definicji i komentarzy ułatwiających Użytkownikom zrozumienie obowiązków wynikających z EU AI Act.
- Analiza przypadków granicznych (grey areas) — identyfikacja sytuacji, w których klasyfikacja nie jest jednoznaczna, i flagowanie ich do obligatoryjnego przeglądu eksperckiego.
5. Co AI NIE ROBI
Jasne rozgraniczenie — AI na Platformie NIE:
- nie podejmuje wiążącej decyzji prawnej — każda Klasyfikacja Ryzyka jest rekomendacją; ostateczna decyzja należy do Organizacji (§ 4 ust. 2 Regulaminu);
- nie udziela porad prawnych — Attestia nie jest kancelarią prawną i nie zastępuje profesjonalnego doradztwa prawnego (§ 4 ust. 1 Regulaminu);
- nie certyfikuje zgodności — Platforma nie zastępuje oceny zgodności dokonywanej przez jednostki notyfikowane (notified bodies) dla Systemów AI wysokiego ryzyka (§ 4 ust. 4 Regulaminu);
- nie generuje deepfakes ani treści wprowadzających w błąd — AI jest wykorzystywana wyłącznie do analizy i generowania dokumentacji compliance;
- nie dokonuje rozpoznawania emocji ani kategoryzacji biometrycznej — art. 50 ust. 3 EU AI Act nie ma zastosowania;
- nie podejmuje decyzji wywołujących skutki prawne wobec osób fizycznych w sposób w pełni zautomatyzowany — w rozumieniu art. 22 RODO zawsze wymagane jest zatwierdzenie człowieka.
6. Nadzór ludzki — mechanizm potrójnej weryfikacji
Platforma stosuje trzystopniowy proces weryfikacji każdej Klasyfikacji Ryzyka (§ 7 ust. 3 Regulaminu):
| Krok | Mechanizm | Rodzaj analizy |
|---|---|---|
| 1 | Silnik reguł (deterministyczny) | Analiza na podstawie zakodowanych przepisów EU AI Act (Art. 5, Annex III, Art. 50). Wynik w pełni wyjaśnialny (explainable). |
| 2 | Rekomendacja AI | Analiza kontekstowa z wykorzystaniem modelu językowego GPT-5.4. Uzupełnia silnik reguł o interpretację przypadków granicznych. |
| 3 | Przegląd i zatwierdzenie przez Użytkownika | Ostateczna decyzja — Użytkownik może przyjąć, zmodyfikować lub odrzucić rekomendację AI. |
Prawo do nadpisania (override): Użytkownik może odrzucić lub skorygować rekomendację AI na każdym etapie. Każda akcja jest zapisywana w niezmiennym Dzienniku audytu (hash-chained, SHA-256) z podaniem, kto podjął decyzję i kiedy.
7. Dokładność, ograniczenia i wyświetlanie pewności
Rekomendacje AI mają charakter probabilistyczny i mogą zawierać błędy. Platforma minimalizuje to ryzyko poprzez:
- Wyświetlanie poziomu pewności (confidence score) przy każdej Klasyfikacji Ryzyka — wartość procentowa z uzasadnieniem.
- Flagowanie przypadków granicznych — Klasyfikacje o niskim poziomie pewności (poniżej ustalonego progu) oraz dotyczące obszarów spornych (grey areas) są oznaczane jako wymagające obligatoryjnego przeglądu przez eksperta (§ 7 ust. 4 Regulaminu).
- Wersjonowanie modelu — utrzymujemy ewidencję wersji modelu AI użytej przy każdej Klasyfikacji. Zmiana modelu generuje notyfikację w Dzienniku audytu.
- Regresy dokładności — planujemy okresowe testy regresyjne na zestawie wzorcowych przypadków. Istotny spadek dokładności skutkuje wycofaniem wersji modelu.
Interpretacja EU AI Act jest dynamiczna i ewoluująca — normy zharmonizowane, wytyczne Komisji Europejskiej, krajowe implementacje i orzecznictwo mogą wpływać na prawidłową wykładnię. Attestia nie gwarantuje kompletności ani aktualności informacji regulacyjnych (§ 4 ust. 6 Regulaminu).
8. Jak rozpoznać treści generowane przez AI
Implementacja art. 50 ust. 2 EU AI Act (oznaczanie syntetycznych treści):
| Miejsce | Oznaczenie |
|---|---|
| Rekomendacja Klasyfikacji Ryzyka w UI | Badge „Wspomagane przez AI" / „AI-assisted" obok każdej rekomendacji, z ikoną (niebieska gwiazdka lub ikona AI) |
| Dokumenty wygenerowane (PDF, DOCX) | Nota w stopce dokumentu: „Dokument wygenerowany z wykorzystaniem sztucznej inteligencji przez Attestia.eu. Wymaga przeglądu przez wykwalifikowanego specjalistę." |
| Wyjaśnienia i analizy | Każdy blok tekstu generowany przez AI jest oznaczony etykietą „AI-generated" i wizualnie odseparowany od statycznej treści |
| Eksport danych (JSON/CSV) | Pole ai_generated: true oraz ai_model_version dla każdego rekordu zawierającego treść AI |
| API | Nagłówek X-Attestia-AI-Generated: true w odpowiedziach zawierających treść AI (gdy API zostanie udostępnione) |
Technologia oznaczania metadanych (C2PA / watermarking) — zgodnie z art. 50 ust. 2 zdanie drugie EU AI Act planujemy wdrożenie technicznych oznaczeń zgodnych ze standardem C2PA po ich stabilizacji przez branżę. Obecnie standard jest w fazie adopcji; Attestia monitoruje rozwój i wdroży go w ramach aktualizacji Platformy [ROADMAP].
9. Dane a prywatność w kontekście AI
Kluczowe zasady ochrony danych przy przetwarzaniu AI (spójne z § 7 ust. 5 Regulaminu i sekcją 4.3 Polityki Prywatności):
- Pseudonimizacja przed wysyłką — opisy Systemów AI wysyłane do Azure OpenAI są pozbawione: nazwy Organizacji, danych osobowych Użytkowników, danych rozliczeniowych, identyfikatorów Konta.
- Lokalizacja w UE — przetwarzanie odbywa się wyłącznie w regionie Sweden Central (Azure). Brak transferu poza EOG.
- Brak trenowania modeli — dane Organizacji nie są wykorzystywane przez Microsoft ani OpenAI do trenowania modeli AI (Azure OpenAI Enterprise Agreement).
- Transient processing — dane nie są przechowywane po stronie Azure OpenAI po zakończeniu przetwarzania zapytania.
- Szyfrowanie w tranzycie — komunikacja z Azure OpenAI via TLS 1.3.
- Audit trail — każde wywołanie AI zapisuje: znacznik czasu, wersję modelu, długość promptu, długość odpowiedzi, ID Użytkownika. NIE zapisujemy treści promptu ani odpowiedzi w formie umożliwiającej re-identyfikację danych Organizacji.
Szczegóły przetwarzania danych — zob. Polityka Prywatności sekcje 3–8 i 13.
10. Mapowanie na wymogi art. 50 EU AI Act
| Przepis | Zakres | Stosowalność wobec Attestia | Implementacja |
|---|---|---|---|
| Art. 50 ust. 1 | Providers systemów AI wchodzących w interakcję z osobami fizycznymi (obowiązek informowania o interakcji z AI) | ✅ Dotyczy Platformy (wyjaśnienia i analizy regulacyjne generowane przez AI są widoczne dla Użytkowników) | Jasne oznaczenia „AI-assisted" w UI (sekcja 8) + treść niniejszej Informacji |
| Art. 50 ust. 2 | Providers generujących syntetic content (audio/image/video/text) — obowiązek oznaczania metadanych w formie odczytywalnej maszynowo | ✅ Dotyczy (Dokumenty Compliance to generowany tekst) | Oznaczenia wizualne + adnotacje w PDF/DOCX + ai_generated: true w eksportach + planowane C2PA |
| Art. 50 ust. 3 | Deployers systemów rozpoznawania emocji / kategoryzacji biometrycznej | ❌ Nie dotyczy — Platforma nie używa takich funkcji | Brak wymaganej implementacji |
| Art. 50 ust. 4 | Deployers generujących deepfakes lub AI-generated text informujący opinię publiczną | ⚠️ Częściowo dotyczy — Dokumenty Compliance mogą być przeznaczone dla organów nadzoru (informing public) | Stopka „AI-generated" w dokumentach eksportowanych + obowiązek przeglądu przez wykwalifikowanego specjalistę (§ 4 ust. 3 Regulaminu) |
| Art. 50 ust. 5 | Sposób udostępniania informacji — jasny, rozróżnialny, najpóźniej przy pierwszej interakcji | ✅ Dotyczy | Niniejsza Informacja + onboarding Użytkownika + stały dostęp pod /transparency |
11. Prawa Użytkownika związane z AI
- Prawo do wyjaśnienia (explanation) — każda Klasyfikacja Ryzyka jest wyświetlana wraz z uzasadnieniem (silnik reguł — odwołania do artykułów EU AI Act; AI — narracyjne wyjaśnienie).
- Prawo do nadpisania rekomendacji AI — na każdym etapie.
- Prawo do niepodlegania decyzji opartej wyłącznie na AI (art. 22 RODO) — w pełni zautomatyzowane decyzje nie są podejmowane (sekcja 5).
- Prawo dostępu do Dziennika audytu — Użytkownik (w zależności od roli) może przeglądać historię decyzji AI i człowieka w swojej Organizacji.
- Prawo wniesienia skargi — na przetwarzanie AI niezgodne z EU AI Act: do krajowego organu ds. AI (w Polsce: do organu wskazanego w ustawie implementującej EU AI Act, po jej wejściu w życie). Ponadto — na podstawie RODO — do Prezesa UODO (ul. Stawki 2, 00-193 Warszawa).
Realizacja praw: privacy@attestia.eu (dla RODO) lub contact@attestia.eu (kwestie ogólne AI).
12. Zmiany Informacji
O istotnych zmianach Informacji (np. zmiana modelu AI, zmiana dostawcy, rozszerzenie zakresu użycia AI) poinformujemy z co najmniej 30-dniowym wyprzedzeniem (spójnie z § 14 Regulaminu):
- drogą elektroniczną na adres Właściciela Konta,
- poprzez powiadomienie w Platformie,
- poprzez aktualizację niniejszej strony.
Aktualna wersja publikowana jest pod adresem attestia.eu/transparency. Poprzednie wersje archiwizujemy i udostępniamy na żądanie.
13. Kontakt
| Pytania ogólne ws. AI | contact@attestia.eu |
| Sprawy ochrony danych | privacy@attestia.eu |
| Zgłoszenia bezpieczeństwa | privacy@attestia.eu (docelowo: security@attestia.eu) |
| Adres pocztowy | Trimalert sp. z o.o., ul. Przasnyska 7/319, 01-756 Warszawa, Polska |