INSTRUKCJA WYPEŁNIENIA

Do czego służy: To lista kontrolna dla zamawiającego (urzędu, jednostki publicznej), który kupuje system sztucznej inteligencji w przetargu. Pomaga sprawdzić, czy dany system i jego dostawca spełniają wymagania unijnego rozporządzenia o sztucznej inteligencji (AI Act). Wypełnia ją komisja przetargowa wspólnie z inspektorem ochrony danych.

Kiedy się go używa: Na etapie badania i oceny ofert w postępowaniu o udzielenie zamówienia publicznego, którego przedmiotem jest system AI lub usługa z elementem AI - przed wyborem najkorzystniejszej oferty i przed podpisaniem umowy. Checklistę warto też zaktualizować przy każdym istotnym aneksie do umowy.

Podstawa prawna:

• Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 z 13 czerwca 2024 r. w sprawie sztucznej inteligencji (AI Act) - w szczególności art. 5 (praktyki zakazane), art. 6 i załącznik III (systemy wysokiego ryzyka), art. 9-15 (wymogi dla systemów wysokiego ryzyka), art. 11 i załącznik IV (dokumentacja techniczna), art. 16-21 (obowiązki dostawców), art. 43 (ocena zgodności), art. 47-48 (deklaracja zgodności UE), art. 48-49 (oznakowanie CE), art. 50 (obowiązki przejrzystości), art. 72 (monitorowanie po wprowadzeniu do obrotu), art. 73 (zgłaszanie poważnych incydentów).
• Rozporządzenie (UE) 2016/679 (RODO) - art. 28 (podmiot przetwarzający), art. 32 (bezpieczeństwo przetwarzania).
• Ustawa z 11 września 2019 r. - Prawo zamówień publicznych (t.j. Dz.U. 2024 poz. 1320 ze zm.).

Uwaga: AI Act stosuje się etapami. Zakazy z art. 5 obowiązują od 2 lutego 2025 r., obowiązki dla systemów wysokiego ryzyka co do zasady od 2 sierpnia 2026 r. (część przepisów od 2 sierpnia 2027 r.). Numery artykułów w checkliście podano według tekstu rozporządzenia 2024/1689; jeśli źródło powoływało starsze numery (np. art. 19, 49, 52, 61, 62 z projektu), zostały one zaktualizowane.

Jak wypełnić - krok po kroku:

1. Nazwa systemu / produktu - wpisz pełną handlową nazwę oferowanego systemu AI i numer wersji (jeśli dostawca go podaje).
2. Dostawca / wykonawca - wpisz pełną nazwę firmy zgodnie z ofertą (KRS/CEIDG), z adresem siedziby i NIP.
3. Numer postępowania / ID zamówienia - wpisz numer nadany w ogłoszeniu o zamówieniu (np. numer z BZP lub Dz.U. UE).
4. Przeznaczenie systemu - opisz w 1-2 zdaniach, do czego system będzie używany w jednostce (np. wspomaganie decyzji, obsługa wniosków, analiza dokumentów).
5. Klasyfikacja ryzyka - zaznacz jedną kategorię. To kluczowa decyzja: jeśli system wpada w katalog praktyk zakazanych (art. 5), postępowanie należy unieważnić; jeśli to system wysokiego ryzyka (art. 6 i załącznik III - m.in. systemy w administracji publicznej dotyczące dostępu do świadczeń, rekrutacji, oceny osób), wypełnij sekcje od III do VI. Przy wątpliwościach skonsultuj się z radcą prawnym.
6. Tabela dokumentacji (sekcja III) - dla każdej pozycji wpisz znak potwierdzenia (V) albo braku (X) oraz w ostatniej kolumnie nazwę pliku/załącznika oferty, w którym dany dokument się znajduje. Brak dokumentu przy systemie wysokiego ryzyka to podstawa do wezwania do wyjaśnień lub odrzucenia oferty.
7. Warunki umowne (sekcja IV) - zaznacz, czy projekt umowy zawiera każdą z wymienionych klauzul. Jeśli któraś jest pominięta, zgłoś to do uwzględnienia w istotnych postanowieniach umowy (IPU) jeszcze przed publikacją SWZ.
8. Ocena zgodności (sekcja V) - zaznacz odpowiedzi i wpisz nazwę raportu z oceny zgodności. W polu “Wynik oceny” zaznacz jedną z opcji: zgodny / warunkowo zgodny / niezgodny.
9. Ścieżka audytu (sekcja VI) - wpisz imię i nazwisko oraz stanowisko osoby odpowiedzialnej za przechowywanie dokumentacji oraz dokładną lokalizację repozytorium (np. system EZD, ścieżka na serwerze).
10. Podpisy (sekcja VIII) - dokument podpisują: przewodniczący komisji przetargowej, inspektor ochrony danych i kierownik jednostki, każdy z datą w formacie DD-MM-RRRR.

Na co uważać / typowe błędy:

• Klasyfikacja ryzyka decyduje o wszystkim - błędne uznanie systemu wysokiego ryzyka za “ograniczone ryzyko” naraża jednostkę na odpowiedzialność. W razie wątpliwości traktuj system jako wysokiego ryzyka.
• Checklista jest dokumentem wewnętrznym komisji - dołącz ją do protokołu postępowania, nie do ogłoszenia.
• Wymóg dokumentacji i klauzul umownych musi wynikać z SWZ/IPU. Nie da się ich wyegzekwować po fakcie, jeśli nie było ich w warunkach zamówienia.
• Dokumentację przechowuj zgodnie z instrukcją kancelaryjną jednostki i wymogami AI Act (dostawca ma obowiązek przechowywać dokumentację techniczną co do zasady 10 lat - art. 18 rozporządzenia 2024/1689).
• Sprawdź, czy umowa powierzenia danych (art. 28 RODO) jest spójna z warunkami AI Act, gdy system przetwarza dane osobowe.

WZÓR

CHECKLISTA ZGODNOŚCI AI ACT DLA ZAMÓWIEŃ PUBLICZNYCH

Wprowadzenie

Celem niniejszej checklisty jest wsparcie zamawiających w weryfikacji zgodności systemów sztucznej inteligencji (AI) z wymaganiami rozporządzenia (UE) 2024/1689 (AI Act) na etapie udzielania zamówień publicznych. Dokument umożliwia uporządkowaną ocenę dostawców, dokumentacji technicznej oraz warunków kontraktowych.

I. Informacje podstawowe o systemie AI

• Nazwa systemu / produktu: [ ……………….. ] (wpisz: pełna nazwa handlowa systemu AI i numer wersji)
• Dostawca / wykonawca: [ ……………….. ] (wpisz: pełna nazwa firmy zgodnie z KRS/CEIDG, adres, NIP)
• Numer postępowania / ID zamówienia: [ ……………….. ] (wpisz: numer postępowania z ogłoszenia o zamówieniu)
• Przeznaczenie systemu w jednostce: [ ……………….. ] (wpisz: krótki opis, do czego system będzie wykorzystywany)

II. Klasyfikacja ryzyka (art. 5, 6 i załącznik III AI Act)

Zaznacz właściwą kategorię ryzyka zgodnie z AI Act (zaznacz jedną):

• Minimalne ryzyko - brak szczególnych obowiązków na gruncie AI Act
• Ograniczone ryzyko (art. 50) - obowiązek przejrzystości (informowanie, że użytkownik ma kontakt z AI / treścią generowaną przez AI)
• Wysokie ryzyko (art. 6 i załącznik III) - konieczna ocena zgodności, dokumentacja techniczna, system zarządzania ryzykiem
• System zakazany (art. 5) - postępowanie należy unieważnić

Jeśli wybrano kategorię “wysokie ryzyko”, wypełnij sekcje III-VI.

III. Dokumentacja dostarczona przez dostawcę (art. 9-15, 11, 47-49 AI Act)

IV. Warunki umowne i due diligence

• Klauzula o prawie do audytu i dostępu do modelu/dokumentacji w zakresie oceny zgodności
• Wymóg aktualizacji dokumentacji technicznej co najmniej raz na 12 miesięcy
• SLA dotyczące dokładności, dostępności, czasu reakcji oraz wskaźników dryfu modelu
• Zobowiązanie do zgłaszania poważnych incydentów w terminie 24 godzin od wykrycia
• Klauzula o odpowiedzialności wykonawcy za niezgodność z AI Act
• Postanowienia dotyczące powierzenia przetwarzania danych osobowych (art. 28 RODO)

V. Ocena zgodności i certyfikacja (art. 43 AI Act)

• Czy dostawca przeprowadził ocenę zgodności (wewnętrzną - art. 43 ust. 2)?
• Czy zaangażowano jednostkę notyfikowaną (wymagane dla wybranych systemów wysokiego ryzyka)?
• Raport z oceny zgodności załączony: [ ……………….. ] (wpisz: nazwa i numer dokumentu/załącznika)
• Wynik oceny: [ ] zgodny [ ] warunkowo zgodny [ ] niezgodny

VI. Ścieżka audytu i archiwizacja

• Pełna dokumentacja przechowywana zgodnie z art. 18 AI Act (co do zasady 10 lat)
• Osoba odpowiedzialna za przechowywanie: [ ……………….. ] (wpisz: imię, nazwisko, stanowisko)
• Lokalizacja repozytorium dokumentów: [ ……………….. ] (wpisz: system/ścieżka, np. EZD, dysk sieciowy)

VII. Podstawa prawna

• Rozporządzenie (UE) 2024/1689 w sprawie sztucznej inteligencji (AI Act) - art. 5, 6, 9-21, 43, 47-50, 72, 73 oraz załączniki III i IV.
• Rozporządzenie (UE) 2016/679 (RODO) - art. 28, 32.
• Ustawa z 11 września 2019 r. - Prawo zamówień publicznych (t.j. Dz.U. 2024 poz. 1320 ze zm.).
• Wytyczne i wzorcowe klauzule Komisji Europejskiej dotyczące zamówień publicznych na systemy AI (o ile zostały wydane i mają zastosowanie).

VIII. Podpisy

Przewodniczący komisji przetargowej: [ ……………….. ] (wpisz: imię, nazwisko, podpis) Data: [ ……… ] (wpisz: DD-MM-RRRR)

Inspektor ochrony danych: [ ……………….. ] (wpisz: imię, nazwisko, podpis) Data: [ ……… ] (wpisz: DD-MM-RRRR)

Kierownik jednostki: [ ……………….. ] (wpisz: imię, nazwisko, podpis) Data: [ ……… ] (wpisz: DD-MM-RRRR)