Rejestr systemów AI to uporządkowany spis wszystkich narzędzi i systemów sztucznej inteligencji używanych w organizacji - wraz z informacją, kto ich używa, do czego, na jakich danych i z jakim ryzykiem. To pierwszy praktyczny krok do zgodności z AI Act i fundament każdego systemu AI Governance.
W tym przewodniku wyjaśniamy, dlaczego rejestr jest potrzebny, co dokładnie powinien zawierać, kto powinien go prowadzić i jak zbudować go krok po kroku.
Czy AI Act wymaga rejestru narzędzi AI?
Warto zacząć od uczciwego postawienia sprawy. AI Act nie zawiera jednego przepisu zatytułowanego „każda firma musi prowadzić rejestr narzędzi AI".
Rozporządzenie przewiduje formalną rejestrację w unijnej bazie danych dla systemów wysokiego ryzyka (art. 49 i 71 AI Act) - dotyczy to dostawców takich systemów oraz części podmiotów je stosujących, m.in. organów publicznych.
Ale to nie znaczy, że pozostałe organizacje mogą temat pominąć. Jest dokładnie odwrotnie - i wynika to z prostej logiki obowiązków, które AI Act nakłada na każdego, kto stosuje AI:
- obowiązek zapewnienia AI literacy pracownikom (art. 4) - nie da się go spełnić, nie wiedząc, kto i z czego korzysta;
- zakaz stosowania praktyk niedopuszczalnych (art. 5) - nie da się go zweryfikować bez wiedzy, jakie systemy działają w firmie;
- obowiązki przejrzystości (art. 50) - trzeba wiedzieć, gdzie AI wchodzi w interakcję z ludźmi lub generuje treści;
- obowiązki podmiotów stosujących systemy wysokiego ryzyka (art. 26) - najpierw trzeba ustalić, czy w ogóle takie systemy się posiada.
Innymi słowy: inwentaryzacja i rejestr to warunek wstępny każdego innego obowiązku. Organizacja, która nie wie, jakich narzędzi AI używa, nie jest w stanie wykazać zgodności z żadnym przepisem AI Act - ani odpowiedzieć na pytania organu nadzoru, klienta czy audytora.
O tym, jak duża potrafi być luka między tym, co firma „wie", a tym, czego pracownicy faktycznie używają, pisaliśmy w artykule o Shadow AI - największej luce w przygotowaniu firm do AI Act.
Co powinien zawierać rejestr systemów AI? (wzór pól)
Dobry rejestr nie musi być skomplikowany. Musi być kompletny i aktualny. W praktyce sprawdza się następujący zestaw pól dla każdego narzędzia lub systemu:
- Nazwa narzędzia/systemu - np. ChatGPT, Claude, Copilot, Gemini, wewnętrzny model, funkcja AI w CRM;
- Dostawca - kto dostarcza narzędzie i na jakich warunkach (licencja, regulamin, umowa powierzenia);
- Wersja / plan - darmowy czy firmowy, jaki model, czy dane trafiają do treningu;
- Działy i użytkownicy - kto korzysta i w jakiej roli;
- Cel użycia - do jakich zadań narzędzie jest dopuszczone (np. szkice tekstów, analiza dokumentów, kod);
- Dane wejściowe - jakie kategorie danych mogą trafiać do narzędzia (i jakie są zakazane, np. dane osobowe klientów);
- Klasyfikacja ryzyka - wstępna ocena: czy zastosowanie może być wysokiego ryzyka albo podlegać obowiązkom przejrzystości;
- Osoba odpowiedzialna - właściciel biznesowy narzędzia w organizacji;
- Status akceptacji - zatwierdzone / testowane / zakazane;
- Data przeglądu - kiedy wpis był ostatnio weryfikowany.
Te dziesięć pól wystarcza, by odpowiedzieć na pytania, które padają w każdej rozmowie o zgodności: czego używamy, kto, po co, na jakich danych i kto za to odpowiada.
Jak zbudować rejestr krok po kroku
Krok 1: Inwentaryzacja. Zbierz informacje o faktycznym użyciu AI - ankieta wśród pracowników, przegląd zakupów i subskrypcji, rozmowy z działami. Celem jest wykrycie także narzędzi używanych nieformalnie.
Krok 2: Ocena i klasyfikacja. Dla każdego narzędzia ustal dostawcę, warunki, rodzaj danych i wstępne ryzyko. Na tym etapie warto zadać dostawcom pytania o zgodność - listę pytań znajdziesz w artykule o pytaniach do dostawcy o zgodność, dane i ryzyka.
Krok 3: Decyzje. Zarząd lub osoba odpowiedzialna zatwierdza narzędzia dopuszczone, warunkowe i zakazane. To moment, w którym rejestr przestaje być spisem, a staje się narzędziem zarządzania.
Krok 4: Zasady i komunikacja. Rejestr łączy się z polityką korzystania z AI - pracownicy muszą wiedzieć, z czego wolno korzystać i na jakich zasadach, oraz potwierdzić zapoznanie się z nimi.
Krok 5: Utrzymanie. Rejestr żyje: nowe narzędzia, zmiany modeli, zmiany warunków dostawców (przykład: nagła blokada i powrót Claude Fable 5). Ustal cykliczny przegląd - np. kwartalny - i osobę odpowiedzialną.
Najczęstsze błędy
Po pierwsze, rejestr „na papierze" - stworzony raz, nieaktualizowany, bez właściciela. Po drugie, rejestr bez shadow AI - obejmujący tylko narzędzia kupione oficjalnie, podczas gdy pracownicy używają prywatnych kont. Po trzecie, rejestr bez powiązania z zasadami - spis istnieje, ale nie wynika z niego, co wolno, a czego nie. Po czwarte, brak dowodów - organ nadzoru i audytor pytają nie tylko „czy macie rejestr", ale „od kiedy, kto zatwierdził i jak jest utrzymywany".
Rejestr a terminy AI Act
Obowiązki AI Act wchodzą etapami: zakazy i AI literacy stosuje się od 2 lutego 2025 r., obowiązki dla modeli ogólnego przeznaczenia od 2 sierpnia 2025 r., a od 2 sierpnia 2026 r. rozporządzenie stosuje się w pełni - wraz z krajowym systemem nadzoru i kar. Szczegóły terminów i sankcji opisujemy na stronie Zgodność z AI Act oraz w przewodniku po karach i sankcjach AI Act.
W praktyce oznacza to, że rejestr trzeba mieć zbudowany wcześniej - bo jest podstawą dowodową dla wszystkich pozostałych działań.
Jak pomaga AI TrustCERT?
W systemie AI Governance AI TrustCERT rejestr narzędzi AI jest gotowym modułem: inwentaryzacja, pola opisane wyżej, statusy akceptacji, właściciele, historia zmian i raport gotowości - wszystko w jednym miejscu, z dowodami na potrzeby audytu. Zamiast budować arkusze od zera, organizacja dostaje działający standard uruchomiony w 1-7 dni.
Nie wiesz, od czego zacząć? Bezpłatny AI Ready Check w 3 minuty pokaże, które obowiązki AI Act dotyczą Twojej organizacji - w tym, czy rejestr jest u Ciebie priorytetem numer jeden.
Podsumowanie
Rejestr systemów AI nie jest biurokratycznym dodatkiem. To warunek wstępny zgodności z AI Act i jedyny sposób, by organizacja realnie wiedziała, gdzie używa sztucznej inteligencji.
Dobry rejestr jest prosty: dziesięć pól, jasny właściciel, cykliczny przegląd i powiązanie z zasadami korzystania z AI. Zbudowany raz, porządkuje wszystkie kolejne kroki - od szkoleń, przez ocenę ryzyka, po dowody staranności.
A firma, która go nie ma, nie zarządza AI. Ona tylko zakłada, że pracownicy używają jej rozsądnie.
Źródła
- Rozporządzenie (UE) 2024/1689 (AI Act) - art. 4 (AI literacy), art. 5 (praktyki zakazane), art. 26 (obowiązki podmiotów stosujących systemy wysokiego ryzyka), art. 49 i 71 (rejestracja systemów wysokiego ryzyka w bazie UE), art. 50 (przejrzystość): eur-lex.europa.eu
- Komisja Europejska - AI Literacy - Questions & Answers: wyjaśnienie obowiązku kompetencji AI z art. 4 AI Act: digital-strategy.ec.europa.eu
- Komisja Europejska - harmonogram stosowania AI Act (AI Act application timeline): digital-strategy.ec.europa.eu