Compliance

Polityka zarządzania cyfrowymi modelami sztucznej inteligencji

Polityka zarządzania cyklem życia modeli AI w organizacji – od projektowania, przez wdrożenie, po monitoring i wycofanie. Zgodna z AI Act.

DOCX aktualizacja: 17 maja 2026 Wymaga konta
Dla kogo Compliance officer, zarząd, działy prawne
Zakres Compliance

INSTRUKCJA WYPEŁNIENIA

Do czego służy: To wewnętrzny dokument firmy (organizacji), który ustala zasady zarządzania modelami sztucznej inteligencji przez cały ich cykl życia: od planowania, przez budowę, wdrożenie i monitoring, aż po wycofanie. Określa rejestr modeli, kryteria jakości, przeglądy i role odpowiedzialne. Pomaga spełnić wymogi AI Act i RODO oraz ograniczyć ryzyko.

Kiedy się go używa: Wdraża się ją uchwałą zarządu i stosuje na stałe wobec wszystkich modeli AI (budowanych wewnętrznie i kupowanych od dostawców). Przeglądy modeli przeprowadza się co najmniej raz na 12 miesięcy lub po zdarzeniu krytycznym. Politykę aktualizuje się przy zmianie przepisów lub technologii.

Podstawa prawna:

  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 z 13 czerwca 2024 r. (AI Act), w szczególności art. 9 (system zarządzania ryzykiem), art. 10 (zarządzanie danymi i ich jakość), art. 11-12 (dokumentacja techniczna i rejestrowanie zdarzeń), art. 14 (nadzór ze strony człowieka), art. 15 (dokładność, solidność, cyberbezpieczeństwo), art. 72-73 (monitorowanie po wprowadzeniu do obrotu i zgłaszanie incydentów).
  • Rozporządzenie (UE) 2016/679 (RODO) - art. 5, art. 22 (zautomatyzowane decyzje), art. 25, art. 32 oraz art. 35 (ocena skutków dla ochrony danych).
  • Ustawa z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz.U. 2024 poz. 1077 ze zm.).
  • ISO/IEC 42001:2023 oraz ISO/IEC 22989:2022 (normy referencyjne).
  • Stan prawny na 2025/2026 r.

Uwaga: AI Act jest stosowany etapami - obowiązki dla systemów wysokiego ryzyka co do zasady od 2 sierpnia 2026 r. Numery artykułów podano według tekstu rozporządzenia 2024/1689; jeśli źródło powoływało art. 18 jako “cykl życia”, odwołania doprecyzowano (art. 9-15, 72).

Jak wypełnić - krok po kroku:

  1. Nazwa organizacji - w całym dokumencie zastąp słowo “Organizacja” pełną nazwą firmy zgodnie z KRS/CEIDG (lub zostaw, jeśli wzór ma być uniwersalny - decyzja wdrażającego).
  2. Role i odpowiedzialności (sekcja VII) - przypisz wymienione role (Sponsor Biznesowy, Właściciel Modelu, Zespół AI/Data Science, DevOps AI, DPO/inspektor ochrony danych, CISO, Komitet Sterujący AI) do konkretnych stanowisk lub osób. Jeśli organizacja nie ma którejś z funkcji (np. CISO), wskaż osobę pełniącą równoważną rolę.
  3. Tabele cyklu życia i kryteriów jakości (sekcje II i IV) - dostosuj progi akceptacji (np. dryf statystyczny, próg dokładności, dopuszczalna różnica dla grup chronionych) do specyfiki organizacji i konkretnych modeli; wartości we wzorze są przykładowe.
  4. System rejestru (sekcja III pkt 1) - wpisz nazwę faktycznie używanego systemu rejestru modeli lub opisz sposób prowadzenia rejestru.
  5. Okresy przeglądów i audytów (sekcje V, VI, VIII) - sprawdź, czy okresy (12 miesięcy, 36 miesięcy, przechowywanie 5-6 lat) są zgodne z wewnętrznymi zasadami i wymogami AI Act dla systemów wysokiego ryzyka; dostosuj w razie potrzeby.
  6. Data wejścia w życie (sekcja X pkt 1) - wpisz datę zatwierdzenia Polityki przez zarząd w formacie DD-MM-RRRR.
  7. Adres kontaktowy (sekcja X pkt 3) - wpisz rzeczywisty adres e-mail do zapytań o interpretację Polityki (zamiast przykładowego).

Na co uważać / typowe błędy:

  • Politykę musi formalnie zatwierdzić zarząd; bez daty wejścia w życie dokument nie obowiązuje.
  • Klasyfikacja ryzyka modelu według AI Act (sekcja III pkt 2 ppkt 6) jest kluczowa - dla systemów wysokiego ryzyka obowiązują dodatkowe wymogi (m.in. dokumentacja, nadzór człowieka, ocena zgodności).
  • Modele wykorzystujące dane osobowe lub podejmujące zautomatyzowane decyzje wobec osób mogą wymagać oceny skutków dla ochrony danych (art. 35 RODO) i spełnienia art. 22 RODO - uwzględnij to przy planowaniu.
  • Progi jakości (dokładność, dryf, bias) muszą być realne i mierzalne; mechaniczne przepisanie wartości ze wzoru bez analizy jest błędem.
  • Zapewnij rozliczalność: role muszą być przypisane realnym osobom, a rejestr modeli faktycznie prowadzony i aktualizowany przy każdym wdrożeniu i wycofaniu.
  • Okresy przechowywania artefaktów i raportów dostosuj do wymogów AI Act i wewnętrznych zasad retencji.

WZÓR

POLITYKA ZARZĄDZANIA CYFROWYMI MODELAMI SZTUCZNEJ INTELIGENCJI (AI)

Wprowadzenie

Celem niniejszej Polityki jest ustanowienie spójnych i przejrzystych zasad dotyczących cyklu życia cyfrowych modeli sztucznej inteligencji (AI) w Organizacji. Dokument określa wymogi w zakresie rejestru modeli, kryteriów jakości, przeglądów oraz procedury wycofania modelu, zapewniając jednocześnie zgodność z przepisami prawa oraz najlepszymi praktykami branżowymi.

I. Postanowienia ogólne

  1. Zakres podmiotowy - Polityka obowiązuje wszystkich pracowników, współpracowników, podwykonawców oraz partnerów Organizacji, którzy projektują, rozwijają, wdrażają lub utrzymują modele AI.
  2. Zakres przedmiotowy - Dokument dotyczy wszystkich modeli sztucznej inteligencji, zarówno rozwijanych wewnętrznie, jak i nabywanych od dostawców zewnętrznych, wykorzystywanych w procesach organizacyjnych.
  3. Cel nadrzędny - Zapewnienie nadzoru nad cyklem życia modeli AI w sposób bezpieczny, etyczny i spełniający wymogi regulacyjne, z uwzględnieniem efektywności kosztowej.

Definicje kluczowe:

  1. Model AI - artefakt programistyczny lub matematyczny zdolny do generowania wyników na podstawie danych wejściowych (np. model uczenia maszynowego, sieć neuronowa, duży model językowy).
  2. Rejestr Modeli - centralny katalog metadanych opisujących modele AI, ich wersje, właścicieli, statusy, daty publikacji, parametry i wskaźniki wydajności.
  3. Kryteria Jakości - zestaw wymagań technicznych, funkcjonalnych i etycznych, które model musi spełniać przed produkcyjnym wdrożeniem.
  4. Przegląd Okresowy - formalny proces oceny modelu pod kątem jakości predykcji, zgodności prawnej i bezpieczeństwa cybernetycznego.
  5. Wycofanie modelu - trwałe zakończenie użytkowania modelu AI oraz jego archiwizacja lub zniszczenie.

II. Ramy zarządzania cyklem życia modelu

Faza Kamienie milowe Dokumentacja wymagana Odpowiedzialność
1. Planowanie Definicja celu biznesowego; identyfikacja ryzyka Business case, ocena skutków dla ochrony danych (jeśli dotyczy) Sponsor Biznesowy, DPO
2. Projektowanie i rozwój Przygotowanie danych; trening; wstępna walidacja Opis danych, karta modelu, logi treningu Zespół AI
3. Walidacja Testy niezależne, ocena biasu, ocena solidności Raport walidacyjny Zespół Audytu AI
4. Wdrożenie Publikacja w Rejestrze Modeli; kontrola zmian Plan wdrożenia, instrukcja operacyjna DevOps AI
5. Monitoring Ciągły pomiar wskaźników, dryf danych, alarmy Pulpit monitoringu (dashboard) Zespół AI Ops
6. Przegląd okresowy Audyt roczny lub doraźny; ocena kryteriów jakości Raport przeglądu Komitet Sterujący AI
7. Wycofanie Decyzja o wycofaniu; archiwizacja artefaktów Protokół wycofania Właściciel Modelu, CISO

III. Rejestr modeli AI

  1. Rejestr prowadzony jest w systemie [ ……………….. ] (wpisz: nazwa systemu rejestru modeli lub opis sposobu prowadzenia rejestru) z kontrolą dostępu opartą na rolach (RBAC).
  2. Minimalny zestaw metadanych:
    1. identyfikator oraz nazwa modelu / wersji;
    2. cel biznesowy i proces, w którym model jest używany;
    3. Właściciel Modelu (Business Owner) oraz Właściciel Techniczny;
    4. data wprowadzenia do produkcji i data ostatniego przeglądu;
    5. metryki wydajności (np. precision, recall, F1, AUROC);
    6. poziom ryzyka według klasyfikacji AI Act.
  3. Każde wdrożenie lub wycofanie modelu skutkuje automatyczną aktualizacją rejestru oraz powiadomieniem DPO i CISO.

IV. Kryteria jakości modelu

Kategoria Próg akceptacji Metoda weryfikacji
Dokładność predykcji Co najmniej minimalny wskaźnik określony w business case Test na zbiorze walidacyjnym
Stabilność / dryf Dryf statystyczny poniżej progu przyjętego przez organizację Monitoring w produkcji
Transparentność Karta modelu i opis danych Przegląd dokumentacji
Etyka i bias Brak istotnego biasu (różnica dla grup chronionych poniżej przyjętego progu) Test fairness (np. Equal Opportunity)
Bezpieczeństwo Ocena podatności; brak krytycznych luk Testy bezpieczeństwa (PenTest / SAST)
Zgodność prawna Spełnienie wymogów RODO (m.in. art. 22) oraz AI Act (art. 9-15) Audyt DPO

Model niespełniający któregokolwiek z kryteriów nie może zostać wdrożony lub musi zostać wycofany.

V. Przeglądy i monitoring

  1. Cykliczność - co najmniej raz na 12 miesięcy lub w przypadku zdarzenia krytycznego (incydent bezpieczeństwa, istotny dryf, zmiana przepisów).
  2. Zakres przeglądu:
    1. aktualne metryki względem wartości bazowej;
    2. weryfikacja dryfu danych i konceptu;
    3. ponowna ocena ryzyka prawnego i reputacyjnego.
  3. Metryki monitoringu produkcyjnego: dokładność, wskaźnik dryfu, opóźnienie (latency), dostępność (uptime), liczba odrzuconych predykcji.
  4. Raport przeglądu przekazywany jest do Komitetu Sterującego AI i przechowywany przez minimum 5 lat.

VI. Wycofanie modelu

  1. Kryteria wycofania:
    1. spadek wydajności poniżej krytycznego progu przez co najmniej 2 kolejne miesiące;
    2. zmiana procesu biznesowego powodująca nieprzydatność modelu;
    3. nieusuwalny bias lub naruszenie prawa.
  2. Procedura:
    1. rekomendacja Właściciela Modelu;
    2. decyzja Komitetu Sterującego AI;
    3. eksport logów i artefaktów do archiwum;
    4. aktualizacja Rejestru Modeli (status “wycofany”);
    5. powiadomienie interesariuszy oraz, jeśli wymagane, organów nadzorczych.
  3. Archiwizacja - artefakty przechowywane są przez minimum 6 lat w środowisku izolowanym (air-gapped).

VII. Role i odpowiedzialności

  1. Sponsor Biznesowy - uzasadnia biznesowo wdrożenie modelu, alokuje budżet.
  2. Właściciel Modelu (Business Owner) - zarządza cyklem życia modelu, inicjuje przeglądy.
  3. Zespół AI / Data Science - rozwija i utrzymuje modele, monitoruje wskaźniki.
  4. DevOps AI - automatyzuje pipeline CI/CD, zapewnia infrastrukturę.
  5. Inspektor ochrony danych (DPO) - nadzoruje zgodność z RODO, prowadzi ocenę skutków dla ochrony danych.
  6. CISO - monitoruje bezpieczeństwo cybernetyczne modeli.
  7. Komitet Sterujący AI - organ decyzyjny w zakresie wdrożeń i wycofań modeli.

VIII. Nadzór i audyt

  1. Audyt wewnętrzny - co 12 miesięcy; zakres: rejestr modeli, zgodność z kryteriami jakości, integralność logów.
  2. Audyt zewnętrzny - co 36 miesięcy lub zgodnie z wymogami AI Act dla systemów wysokiego ryzyka.
  3. Naruszenia raportowane są Zarządowi oraz właściwym organom nadzorczym (m.in. Prezes UODO, jeśli dotyczy).

IX. Podstawa prawna

Niniejsza Polityka została opracowana w oparciu o:

  1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 w sprawie zharmonizowanych przepisów dotyczących sztucznej inteligencji (AI Act), w szczególności art. 9 (system zarządzania ryzykiem), art. 10 (zarządzanie danymi i ich jakość), art. 11-12 (dokumentacja techniczna i rejestrowanie zdarzeń), art. 14-15 oraz art. 72-73.
  2. Rozporządzenie (UE) 2016/679 (RODO) - art. 5, art. 22, art. 25, art. 32 oraz art. 35.
  3. Ustawa z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz.U. 2024 poz. 1077 ze zm.).
  4. ISO/IEC 42001:2023 “Artificial Intelligence Management System” (norma referencyjna).
  5. ISO/IEC 22989:2022 “Artificial Intelligence - Concepts and Terminology” (norma referencyjna).

X. Postanowienia końcowe

  1. Polityka wchodzi w życie z dniem [ ……… ] (wpisz: data zatwierdzenia przez Zarząd, format DD-MM-RRRR) po zatwierdzeniu przez Zarząd.
  2. Aktualizacja Polityki następuje co najmniej raz na 24 miesiące lub wcześniej, jeśli zajdą zmiany prawne lub technologiczne.
  3. Zapytania dotyczące interpretacji Polityki należy kierować na adres: [ ……………….. ] (wpisz: rzeczywisty adres e-mail do zapytań).

Organizacja zastrzega sobie prawo do wprowadzania zmian w Polityce w zakresie niezbędnym do zachowania zgodności z nowymi przepisami prawa lub standardami branżowymi.

🔒
Czytaj dalej po zalogowaniu

Pełny dostęp do dokumentu jest bezpłatny dla zarejestrowanych użytkowników BizNews Academy.

Zaloguj się lub załóż konto

Rejestracja jest bezpłatna i zajmuje 30 sekund.

Bezpłatny dla konta BizNews
Zaloguj się, aby pobrać Zapytaj o szczegóły

Dokumenty premium są bezpłatne dla zalogowanych użytkowników.

BizNews Academy · Biblioteka premium · biznewsacademy.pl
Fedaris sp. z o.o. · ul. Długa 29, 00-238 Warszawa