Audyt AI Act dla firmy: sprawdź, gdzie używacie AI i co trzeba uporządkować

Firmy coraz częściej korzystają z AI, ale rzadko mają nad tym pełną kontrolę. ChatGPT w zespole, Copilot w Excelu, chatbot na stronie, scoring w HR, funkcje AI u dostawcy — każde z tych narzędzi może oznaczać inne obowiązki.

▸z jakich systemów AI faktycznie korzysta firma,
▸które z nich mogą podlegać obowiązkom AI Act,
▸gdzie AI łączy się z RODO, bezpieczeństwem i ryzykiem operacyjnym,
▸co trzeba poprawić teraz, a co można zaplanować później.

Na końcu dostajesz nie „raport do szuflady”, tylko rejestr systemów AI, mapę ryzyka i plan działań.

Umów konsultację 30 min

Po rozmowie przygotujemy zakres i wycenę audytu w 48h.

Czy AI Act dotyczy Twojej firmy?

Prawdopodobnie tak, jeśli choć jeden z tych punktów brzmi znajomo:

✓pracownicy używają ChatGPT, Copilota, Gemini lub podobnych narzędzi bez jasnych zasad,
✓na stronie działa chatbot albo wirtualny asystent,
✓AI wspiera rekrutację, ocenę pracowników, scoring klientów lub analizę ryzyka,
✓korzystacie z systemów SaaS, które mają „funkcje AI”, ale nie wiecie, jak działają,
✓w firmie nie ma listy narzędzi AI ani osoby odpowiedzialnej za ich nadzór,
✓dane firmowe lub osobowe trafiają do narzędzi AI bez jasnej kontroli.

AI Act nie dotyczy tylko firm, które tworzą własne modele. Obowiązki mogą mieć też organizacje, które korzystają z systemów AI jako użytkownicy biznesowi.

Co sprawdzamy w audycie AI Act

Audyt AI Act to uporządkowany przegląd systemów AI używanych w firmie — własnych, wdrożonych przez dostawców i używanych oddolnie przez pracowników. Sprawdzamy trzy warstwy:

Warstwa	Co sprawdzamy	Po co
Organizacyjna	kto używa AI, w jakich procesach i na jakich zasadach	żeby firma wiedziała, co ma pod kontrolą, a czego nie
Prawna	obowiązki z AI Act, RODO, przejrzystość, dokumentacja, nadzór człowieka	żeby ustalić luki i priorytety działań
Techniczna	integracje, przepływy danych, Shadow AI, dostawcy, bezpieczeństwo	żeby ograniczyć ryzyko wycieku danych i błędnego użycia AI

Audyt zgodności to nie to samo co ocena zgodności systemu

Audyt AI Act dla organizacji sprawdza, jakie systemy AI są używane w firmie, jakie mają ryzyko i czego brakuje w procedurach, dokumentacji oraz zabezpieczeniach.

Ocena zgodności pojedynczego systemu wysokiego ryzyka to osobna, formalna procedura dotycząca konkretnego systemu AI. Może być kolejnym krokiem po audycie, jeśli okaże się potrzebna.

Dlatego zaczynamy od inwentaryzacji i klasyfikacji. Bez tego trudno ocenić, czy firma rzeczywiście ma system wysokiego ryzyka, czy tylko narzędzie wymagające prostszych działań organizacyjnych.

Dlaczego warto zrobić to teraz

W AI Act część obowiązków już obowiązuje, a część wchodzi etapami. Jednocześnie terminy dla systemów wysokiego ryzyka są przedmiotem zmian legislacyjnych, dlatego lepiej nie opierać decyzji na samym haśle „przesunięto terminy”. Najbezpieczniejsze podejście: najpierw sprawdzić, co firma faktycznie ma uruchomione.

Obszar	Status
Zakazane praktyki AI	obowiązują od 2 lutego 2025
Kompetencje AI / AI literacy	obowiązują od 2 lutego 2025
Obowiązki dla modeli ogólnego przeznaczenia (GPAI)	obowiązują od 2 sierpnia 2025
Obowiązki przejrzystości, np. chatboty i treści AI	co do zasady od 2 sierpnia 2026
Systemy wysokiego ryzyka z Annex III	pierwotnie 2 sierpnia 2026; procedowane przesunięcie na 2 grudnia 2027
Systemy wysokiego ryzyka w produktach regulowanych	pierwotnie 2 sierpnia 2027; procedowane przesunięcie na 2 sierpnia 2028

Największe kary, do 35 mln EUR albo 7% rocznego światowego obrotu, dotyczą naruszenia zakazanych praktyk AI. Inne naruszenia mogą oznaczać kary do 15 mln EUR albo 3% obrotu. Sama wysokość kary zależy od rodzaju naruszenia, skali, okoliczności i statusu firmy.

Audyt nie służy straszeniu karami. Służy temu, żeby firma wiedziała, gdzie ma realne ryzyko i co zrobić w pierwszej kolejności.

Dla kogo jest ten audyt

Audyt jest dla firm 50–500 osób, które wdrożyły AI albo zaczęły z niego korzystać, ale nie mają jeszcze uporządkowanych zasad, rejestru i odpowiedzialności. Audyt ma szczególny sens, jeśli AI pojawia się w:

▸HR i rekrutacji

▸ocenie pracowników

▸scoringu klientów lub kontrahentów

▸obsłudze klienta

▸analizie dokumentów

▸przetwarzaniu danych osobowych

▸systemach dostawców, na których opiera się ważny proces biznesowy

Co dostajesz po audycie

1. Rejestr systemów AI

Lista narzędzi i systemów AI używanych w firmie: gdzie są używane, kto z nich korzysta, jakie dane trafiają do systemu, jaki wynik generuje AI oraz czy system jest własny, zewnętrzny czy używany oddolnie.

2. Mapa ryzyka AI Act

Klasyfikacja systemów według poziomu ryzyka: zakazane praktyki, wysokie ryzyko, ograniczone ryzyko, minimalne ryzyko. Przy każdym wskazujemy, co oznacza dana klasyfikacja i jakie działania warto podjąć.

3. Analiza RODO × AI Act

Punkty styku AI Act z ochroną danych: czy system przetwarza dane osobowe, kto jest administratorem lub procesorem, czy dane trafiają poza EOG, czy potrzebna może być pogłębiona analiza (np. DPIA).

4. Lista luk i priorytetów

Konkretne luki, nie ogólnik „trzeba się dostosować”: brak polityki używania AI, brak rejestru, brak zasad dla narzędzi publicznych, brak obowiązków informacyjnych, brak nadzoru człowieka, ryzyka po stronie dostawców.

5. Plan remediacji

Działania podzielone według priorytetów: co zrobić od razu, co zaplanować, co wymaga decyzji zarządu, co można wdrożyć technicznie, a co wymaga dokumentacji lub szkolenia.

6. Rekomendacje techniczne

Gdzie wystarczy uporządkować zasady, a gdzie potrzebna jest zmiana techniczna: ograniczenie dostępu do publicznych narzędzi AI, bezpieczniejsza praca z danymi, konfiguracja SaaS, rozwiązanie self-hosted, podejście Zero-Trust AI.

Jak wygląda proces

1
Krok 1 — Konsultacja i zakres
Na 30-minutowej rozmowie sprawdzamy, jak firma korzysta z AI i czy audyt ma sens w proponowanym zakresie. Po rozmowie przygotowujemy zakres i wycenę.
2
Krok 2 — Inwentaryzacja systemów AI
Zbieramy informacje o systemach AI używanych oficjalnie i nieoficjalnie: narzędziach SaaS, chatbotach, integracjach, automatyzacjach i funkcjach AI u dostawców.
3
Krok 3 — Klasyfikacja ryzyka
Każdy system przypisujemy do odpowiedniej kategorii ryzyka i sprawdzamy, jakie obowiązki mogą dotyczyć firmy.
4
Krok 4 — Analiza prawna i techniczna
Łączymy perspektywę compliance z perspektywą wdrożeniową. Sprawdzamy nie tylko dokumenty, ale też realne użycie systemów i przepływ danych.
5
Krok 5 — Raport i warsztat decyzyjny
Przekazujemy rejestr, mapę ryzyka i plan remediacji. Następnie omawiamy wyniki z osobami decyzyjnymi, żeby ustalić kolejność działań.

Orientacyjny czas audytu: 2–3 tygodnie, zależnie od liczby systemów i dostępności informacji po stronie firmy.

Dlaczego Dokodu

AI Act jest regulacją prawną, ale problem w firmach zwykle zaczyna się technicznie: nikt nie wie, jakie narzędzia są używane, gdzie trafiają dane i kto odpowiada za wynik systemu. Dlatego audyt robimy interdyscyplinarnie.

Warstwa techniczna — Kacper Sieradziński (CEO, inżynier)

Sprawdzamy realne wdrożenia, integracje, przepływy danych, Shadow AI i możliwe sposoby remediacji.

Warstwa prawna — Alina Sieradzińska (legal: RODO / AI Act / IP)

Klasyfikujemy ryzyka, sprawdzamy styki z AI Act i RODO oraz wskazujemy, jakie działania formalne trzeba uzupełnić.

Warstwa wdrożeniowa

Nie kończymy na diagnozie. Jeśli trzeba, pomagamy wdrożyć bezpieczniejsze procesy, polityki, narzędzia i konfiguracje.

To szczególnie ważne, jeśli firma nie chce tylko „odhaczyć compliance”, ale naprawdę uporządkować korzystanie z AI.

4 ukryte ryzyka AI, o których warto wiedzieć

To najczęstsze problemy, które wychodzą podczas audytu.

Chatbot może „wyśpiewać” firmowe tajemnice

Darmowe wersje narzędzi (jak ChatGPT) często uczą się na tym, co im wpiszesz. Wklejona umowa klienta albo kod źródłowy mogą wypłynąć u kogoś innego. Audyt wskazuje, które narzędzia są bezpieczne, a gdzie pojawia się Shadow AI.

Kto jest właścicielem tego, co stworzy AI?

W świetle obecnego prawa treści wygenerowane w 100% przez AI mogą nie podlegać ochronie autorskiej — konkurencja może je skopiować. Pomagamy zabezpieczyć własność intelektualną.

AI halucynuje — kto za to płaci?

Jeśli chatbot obieca klientowi zniżkę, której nie ma, albo udzieli błędnej porady, odpowiedzialność ponosi Twoja firma. Weryfikujemy mechanizmy nadzoru człowieka nad AI.

AI Act — czy to mnie dotyczy?

UE wprowadza rygorystyczne wymogi, a kary mogą sięgać milionów euro. Nawet używanie AI w HR czy scoringu klientów może podlegać pod kategorię „wysokiego ryzyka”.

Poznaj ekspertów

Za każdym projektem stoją doświadczeni specjaliści łączący technologię z prawem

Kacper Sieradziński

CEO & Head of AI

Architekt systemów AI. Łączy wizję biznesową z kodem, który działa. Odpowiada za technologiczną jakość wdrożeń.

Obszary Ekspertyzy

AI & AutomatyzacjaPython DevelopmentArchitektura Systemówn8n & Integracje

Alina Sieradzińska

COO & Legal Expert

Specjalistka ds. AI Act i RODO. Dba o to, by każda linijka kodu była zgodna z prawem. Mediatorka łącząca świat IT z biznesem.

Obszary Ekspertyzy

RODO & ComplianceAI ActWłasność IntelektualnaAI Governance

Najczęstsze pytania

Czy AI Act dotyczy firmy, która tylko używa ChatGPT albo Copilota?+

Może dotyczyć. AI Act obejmuje nie tylko twórców systemów AI, ale też organizacje, które używają systemów AI w działalności biznesowej. Zakres obowiązków zależy od tego, jakiego narzędzia używacie, w jakim procesie i na jakich danych.

Czy musimy przestać korzystać z AI na czas audytu?+

Nie. Audyt nie blokuje pracy. Jego celem jest sprawdzenie, gdzie AI jest używane i jak ograniczyć ryzyko bez zatrzymywania sensownych wdrożeń.

Czym audyt AI Act różni się od audytu RODO?+

RODO dotyczy ochrony danych osobowych. AI Act reguluje systemy AI według ryzyka i nakłada obowiązki m.in. w zakresie przejrzystości, nadzoru człowieka, dokumentacji i zakazanych praktyk. W praktyce te obszary często się łączą, dlatego analizujemy je razem.

Co to jest Shadow AI?+

Shadow AI to narzędzia AI używane przez pracowników bez wiedzy lub zgody firmy. Przykład: pracownik wkleja dane klienta, dokument ofertowy albo fragment umowy do publicznego narzędzia AI, bo chce szybciej wykonać zadanie. To jedno z najczęstszych źródeł ryzyka.

Czy audyt pokaże, czy mamy system wysokiego ryzyka?+

Tak. Celem audytu jest wstępna klasyfikacja systemów AI i wskazanie, które z nich mogą wymagać głębszej analizy lub osobnej procedury zgodności.

Ile trwa audyt?+

Najczęściej 2–3 tygodnie. Czas zależy od liczby systemów, liczby działów i tego, jak szybko można zebrać informacje od zespołu i dostawców.

Ile kosztuje audyt AI Act?+

Wyceniamy go indywidualnie po krótkiej konsultacji. Cena zależy od liczby systemów, liczby procesów i tego, czy audyt obejmuje tylko diagnozę, czy także plan remediacji i wsparcie wdrożeniowe. Po konsultacji przygotowujemy wycenę w 48h.

Jakie kary grożą za brak zgodności z AI Act?+

Najwyższe kary, do 35 mln EUR albo 7% rocznego światowego obrotu, dotyczą naruszenia zakazanych praktyk AI. Inne naruszenia mogą oznaczać kary do 15 mln EUR albo 3% obrotu. Wysokość kary zależy od rodzaju naruszenia, skali, okoliczności i statusu firmy.

Więcej o AI Act i compliance

Sprawdź, gdzie Twoja firma używa AI i co trzeba uporządkować

Podczas 30-minutowej konsultacji ustalimy, czy audyt AI Act ma sens w Twojej firmie, które obszary sprawdzić jako pierwsze i jaki zakres będzie wystarczający. Po rozmowie przygotujemy wycenę w 48h.

Formularz kontaktowy

Nasze dane kontaktowe

Adres

ul. Kosynierów 76/22, 84-230 Rumia, Polska

Telefon

+48 508 106 046

Email

biuro@dokodu.it

Godziny pracy

Poniedziałek-Piątek: 09:00-17:00

Nota prawna. Treści na stronie mają charakter informacyjny i nie stanowią porady prawnej ani opinii prawnej. Zakres audytu, kwalifikacja systemów AI oraz rekomendacje są ustalane indywidualnie po analizie konkretnego stanu faktycznego, sposobu użycia systemów AI i dokumentów przekazanych przez klienta.