Jak zbudować rejestr AI w 90 minut (akt w sprawie sztucznej inteligencji)
Pięciostopniowa budowa w 90 minut: rejestr AI, którego potrzebują europejskie MŚP na gruncie art. 26 aktu w sprawie sztucznej inteligencji i wytycznych ICO. Kolumny startowe, pułapki, zasady własności.

Większość europejskich MŚP traktuje rejestr AI jako ciężki produkt, który wytworzy się, gdy egzekwowanie aktu w sprawie sztucznej inteligencji da się we znaki. To błąd kategorii. Działająca wersja v1 zajmuje dziewięćdziesiąt minut, jeśli ująć ją jako inwentaryzację po stronie podmiotu stosującego, a nie jako artefakt zgodności. Poniżej przedstawiamy pięciostopniową budowę, którą prowadzimy z menedżerami operacyjnymi w naszych audytach — tę samą, która do piątkowego popołudnia układa na jednej stronie obraz ryzyka z załącznika III i daje przestrzeń, by spokojniej wykonać wolniejszą pracę później.
Szybka odpowiedź. Rejestr AI to inwentaryzacja po stronie podmiotu stosującego, obejmująca każdy system AI w organizacji; zakłada ją logika obowiązków podmiotu stosującego z art. 26 aktu w sprawie sztucznej inteligencji [1] i pozostaje zgodna z wytycznymi ICO na gruncie UK GDPR [2]. Działająca wersja v1 zajmuje dziewięćdziesiąt minut dla MŚP zatrudniających do 200 osób: 15 minut na sporządzenie listy, 20 na przypisanie poziomu ryzyka względem załącznika III, 25 na wypełnienie podstawowych kolumn i 30 na wyznaczenie właścicieli oraz wyrywkową kontrolę nadzoru.
Czym jest rejestr AI?
Rejestr AI jest dla obowiązków podmiotu stosującego z art. 26 tym, czym rejestr czynności przetwarzania (ROPA) dla art. 30 UK GDPR: żywą inwentaryzacją, która nazywa każdy system, klasyfikuje jego poziom ryzyka i przypisuje osobę odpowiedzialną. To dokument, o który najpierw poprosi prowadzący postępowanie z ramienia ICO, dział zakupów albo zespół bezpieczeństwa dostawców u Państwa klienta korporacyjnego.
Akt w sprawie sztucznej inteligencji nie określa formatu rejestru w tekście rozporządzenia. Art. 26 ust. 5 wymaga, by podmioty stosujące systemy wysokiego ryzyka zapewniły nadzór ze strony człowieka sprawowany przez wyznaczoną, kompetentną osobę; art. 26 ust. 6 wymaga przechowywania rejestrów zdarzeń dla zastosowań wysokiego ryzyka przez co najmniej sześć miesięcy [1]. Rejestr AI to operacyjne podłoże, które uwidacznia obie te kwestie. ICO od 2023 r. jasno wskazuje, że AI przetwarzające dane osobowe na gruncie UK GDPR uruchamia dyscyplinę oceny skutków dla ochrony danych (DPIA) oraz obowiązki w zakresie rozliczalności [2], a zestaw narzędzi ICO do audytu AI wylicza rodzaje uporządkowanych zapisów, których MŚP będzie potrzebować [3]. Żaden organ nie nakazuje konkretnego narzędzia. Arkusz kalkulacyjny, który nazywa właściwe kolumny i przypisuje właściwych właścicieli, przechodzi ten test.
Dlaczego dziewięćdziesiąt minut wystarcza (i czego za to nie kupimy)
Rejestr nie jest celem. Jest mapą. Dziewięćdziesiąt minut wystarcza, by uwidocznić, jakie AI jest w użyciu, sklasyfikować jego poziom ryzyka i przypisać odpowiedzialność — trójcę faktów, które każdy podmiot stosujący musi wykazać, zanim zapyta o nie organ, klient czy zarząd. Czego dziewięćdziesiąt minut nie kupi: oceny skutków dla praw podstawowych (FRIA) z art. 27 dla każdego systemu z załącznika III, programu kompetencji w zakresie AI z art. 4 proporcjonalnego do roli, pakietu należytej staranności (due diligence) dostawców obejmującego umowy powierzenia i karty modeli ani w pełni spisanego protokołu nadzoru ze strony człowieka [1]. To są dalsze strumienie prac, zakreślone względem tego, co uwidoczni rejestr.
Dyscyplina ograniczenia czasowego znaczy więcej niż dopracowanie. W naszych audytach MŚP, które traktują rejestr jako wielotygodniowy projekt, zwykle go nie tworzą; MŚP, które ograniczają v1 do dziewięćdziesięciu minut, mają rejestr już pierwszego dnia, a potem go iterują. Obowiązki z art. 26 mają charakter ciągły, a nie jednorazowy — dlatego wersja v1, którą można aktualizować, jest warta zdecydowanie więcej niż wersja v3, której nie zaczęto.
Jak przebiega 90-minutowy proces budowy rejestru AI?
Krok 1 — Sporządzenie listy wszystkich używanych systemów AI (15 minut)
Trzy źródła pokrywają większość tego, co da się znaleźć. Płatne subskrypcje SaaS proszę pobrać z ewidencji finansowej lub karty wydatków — na liście powinien znaleźć się każdy dostawca z „AI", „ML", „Copilot", „Assistant" czy „Insight" w nazwie produktu. AI wbudowane proszę pobrać z istniejących platform — Microsoft 365 Copilot, funkcje Gemini w Google Workspace, Salesforce Einstein, HubSpot Breeze, automatyczne odpowiedzi w Outlooku, podsumowania spotkań w Teams; wszystko to jest objęte zakresem, płatne czy nie. Ukryte AI proszę pobrać z jednoakapitowej wiadomości do całego zespołu, pytając, z jakich narzędzi AI personel korzysta na co dzień, w tym z nieopłaconych kont konsumenckich.
Ukryte AI należy potraktować jako objęte zakresem. Pracownik wklejający CV do bezpłatnego konta ChatGPT czyni z MŚP podmiot stosujący system AI wysokiego ryzyka na gruncie przepisów aktu w sprawie sztucznej inteligencji dotyczących zatrudnienia [1], a dane opuszczają Państwa środowisko w rozumieniu UK GDPR [2]. Zadaniem rejestru jest to uwidocznić, a nie pilnować. Pilnowanie przychodzi w kroku 4, gdy wiadomo już, co jest w użyciu.
Krok 2 — Przypisanie poziomu ryzyka każdemu systemowi względem załącznika III (20 minut)
Załącznik III do aktu w sprawie SI wylicza osiem domen wysokiego ryzyka [1]: identyfikację biometryczną, infrastrukturę krytyczną, kształcenie i szkolenie zawodowe, zatrudnienie i zarządzanie pracownikami, dostęp do usług podstawowych, ściganie przestępstw, migrację i kontrolę graniczną oraz sprawowanie wymiaru sprawiedliwości. W MŚP żywymi wyzwalaczami są zwykle zatrudnienie (selekcja CV, ranking wyników, automatyczne grafiki), dostęp do usług (decyzje kredytowe, wycena ubezpieczeń) oraz edukacja (oceny szkoleń, certyfikacje).
Każdy system z listy proszę oznaczyć jako jeden z: wysokiego ryzyka (odpowiada załącznikowi III), ograniczonego ryzyka (obowiązki w zakresie przejrzystości z art. 50), minimalnego ryzyka (brak szczególnych obowiązków poza kompetencjami w zakresie AI z art. 4) albo podmiot stosujący model AI ogólnego przeznaczenia (wykorzystanie modelu AI ogólnego przeznaczenia jako rdzenia chatbota lub asystenta) [1]. Większość zestawów technologii w MŚP rozkłada się na dwa lub trzy poziomy. Klasyfikacja należy do podmiotu stosującego; nie można jej przekazać dostawcy i nie zależy ona od wielkości firmy.
Krok 3 — Wypełnienie dziesięciu podstawowych kolumn (25 minut)
Kolumny, które zasługują na miejsce w rejestrze podmiotu stosującego:
- Nazwa systemu — tak, jak nazywa go na co dzień personel.
- Dostawca — podmiot prawny stojący za produktem.
- Model lub wersja — jeśli znane (np. GPT-4o, Claude 3.5, Gemini 1.5, rozwiązanie własne).
- Zastosowanie — jedno zdanie opisujące, co system rozstrzyga lub generuje.
- Poziom ryzyka — wysokie / ograniczone / minimalne / podmiot stosujący model AI ogólnego przeznaczenia.
- Czy przetwarzane są dane osobowe — T/N, plus kategorie w rozumieniu UK GDPR.
- Podstawa prawna — podstawa z art. 6 UK GDPR (prawnie uzasadniony interes, umowa, zgoda itd.).
- Osoba odpowiedzialna — wyznaczona osoba fizyczna, nie zespół ani rola.
- Rejestry zdarzeń z art. 26 ust. 6 — T/N/nie dotyczy dla wdrożeń wysokiego ryzyka.
- Data wdrożenia — co najmniej miesiąc i rok.
Arkusz kalkulacyjny z tymi dziesięcioma kolumnami odpowiada na pierwsze pytanie, które zada każdy organ, klient czy członek zarządu. Cokolwiek ponad to jest pracą iteracyjną, nie pracą nad v1. Proszę oprzeć się pokusie dodawania kolumn, dopóki nie wypełnią Państwo wszystkich dziesięciu w każdym wierszu.
Krok 4 — Wyznaczenie osoby odpowiedzialnej dla każdego systemu (15 minut)
Art. 26 ust. 5 wymaga, by podmioty stosujące systemy wysokiego ryzyka zapewniły nadzór ze strony człowieka sprawowany przez kompetentną, odpowiedzialną osobę uprawnioną do wstrzymania lub unieważnienia działania systemu [1]. Proszę przełożyć to na rejestr, wpisując przy każdym wierszu z załącznika III konkretną osobę fizyczną — a nie rolę w rodzaju „lider IT" czy „szef operacji". Osoba odpowiedzialna potrzebuje trzech właściwości: potrafi odczytać wyniki systemu, ma uprawnienia, by go wyłączyć, oraz jest dostępna z imienia i nazwiska w rejestrze.
Dla systemów spoza załącznika III i tak proszę wyznaczyć właściciela. Formalny obowiązek jest lżejszy; dyscyplina pozostaje taka sama. Naturalnymi właścicielami w większości MŚP są menedżerowie operacyjni i kadra wyższego szczebla; CTO ani CDO nie jest wymagany.
Krok 5 — Wyrywkowa kontrola nadzoru ze strony człowieka na jednym systemie wysokiego ryzyka (15 minut)
Dla wiersza o najwyższym ryzyku z załącznika III proszę przejść przez trzy pytania: czy człowiek przegląda wynik AI, zanim wpłynie on na osobę (test udziału człowieka w pętli); czy ten człowiek może w praktyce unieważnić decyzję AI (test uprawnień); czy otrzymał szkolenie odpowiednie do roli na gruncie art. 4 (test kompetencji) [1]? Odpowiedzi trafiają do dowolnotekstowej kolumny „uwagi o nadzorze ze strony człowieka", sąsiadującej z dziesięcioma podstawowymi kolumnami.
Protokołu nadzoru ze strony człowieka nie da się ukończyć w piętnaście minut. Celem jest uwidocznienie, gdzie jest luka, a nie jej zamknięcie. Wiersz brzmiący „brak przeglądu przez człowieka przy selekcji CV; lukę usunąć w ciągu 30 dni" jest dokładnie właściwym rezultatem. Zadaniem rejestru jest uczynić lukę widoczną; jej zamknięcie to osobny strumień prac i osobny budżet.

Które pięć pułapek zabija rejestr AI w wersji v1?
- Traktowanie rejestru jako jednorazowego dokumentu. Obowiązki z art. 26 są ciągłe; rejestr to żywy artefakt przeglądany co najmniej raz na kwartał i odświeżany za każdym razem, gdy wdrożono nowy system AI lub gdy dostawca wprowadził istotną zmianę modelu.
- Pominięcie ukrytego AI. Nieopłacone konta konsumenckie i prywatne sesje Copilota to kategoria o najwyższej liczbie incydentów i najniższej widoczności. Jeśli rejestr ich nie uwidacznia, kłamie.
- Zakup „narzędzia do zgodności" przed sporządzeniem listy. Oprogramowanie dostawcy do zarządzania zgodnością nie sklasyfikuje Państwa zastosowań — potrafi to tylko Państwa zespół. Najpierw arkusz, narzędzie później (albo nigdy; dla MŚP zatrudniających do 200 osób utrzymywany arkusz wystarczy).
- Przypisanie roli zamiast osoby. „Zespołu IT" nie da się wezwać. Konkretną osobę z numerem telefonu — tak. Art. 26 ust. 5 zakłada to drugie [1].
- Całkowite pominięcie kompetencji w zakresie AI z art. 4. Art. 4 obowiązuje od 2 lutego 2025 r. wobec każdego pracownika korzystającego z AI, proporcjonalnie do jego roli [1]. To nie jest poziom ryzyka — każdy system rodzi obowiązek z art. 4. Proszę odnotować to w rejestrze nawet wtedy, gdy sam program szkoleniowy jest pracą dalszego etapu.
Co zrobić po tych dziewięćdziesięciu minutach
Rejestr to warstwa odkrywania. Zwykle wyrastają z niego trzy dalsze strumienie prac:
- Zakreślenie FRIA dla każdego wiersza z załącznika III, na podstawie art. 27 aktu w sprawie SI [1] — osobny, głębszy dokument, który kolumna poziomu ryzyka w rejestrze inicjuje, a nie zastępuje.
- Program kompetencji w zakresie AI z art. 4 — proporcjonalny do roli, zakreślony względem kolumny osoby odpowiedzialnej w rejestrze, a nie względem liczby etatów.
- Pakiet należytej staranności (due diligence) dostawców — umowy powierzenia, karty modeli, pochodzenie modeli AI ogólnego przeznaczenia; zakreślony względem kolumny dostawcy w rejestrze i odświeżany przy odnowieniu zakupu.
To strumienie prac, które podejście zaprojektowane z góry pokrywa w naszej praktyce w mniej więcej dwanaście tygodni za 18 000–32 000 GBP, a te same strumienie podejście doraźne pokrywa w sześć ściśniętych tygodni za 85 000–145 000 GBP — mnożnik spójny z danymi MIT Sloan z okresu po wejściu RODO, gdy firmy w UE pod presją egzekwowania ograniczyły przechowywane dane o 26% i moc obliczeniową o 15% [4]. Rejestr to najtańszy możliwy pierwszy ruch wobec tej arytmetyki.
Podsumowanie
AI Register in 90 Minutes — a deployer-side inventory │ ├─ The five-step build │ ├─ List (15m) — paid, embedded, and shadow AI in scope │ ├─ Risk-tier (20m) — match each system to Annex III │ ├─ Ten columns (25m) — the audit-ready floor, no more │ ├─ Name owners (15m) — a person per system, not a team │ └─ Spot-check (15m) — surface the oversight gap, don't close it │ ├─ Why timebox v1 │ ├─ A living map — Article 26 duties are continuous │ └─ v1 you update beats v3 you never start │ └─ What it doesn't buy └─ Downstream — FRIA, Article 4 literacy, vendor due diligence
Powiązane materiały
- AI Governance From Day One: SMB Cost of Retrofitting Compliance — filar, który wspiera ten przewodnik. Warto przeczytać dla arytmetyki kosztów, przypadku Northbridge i siedmiu artefaktów ładu od pierwszego dnia.
- Your SMB Doesn't Need More AI Tools. It Needs an AI Strategy.EN — wcześniejszy tekst o tym, dlaczego usankcjonowana lista AI znaczy więcej niż jakakolwiek pojedyncza subskrypcja, oraz o sekwencji audytu i konsolidacji, która taką listę tworzy.
Ostatnia aktualizacja: maj 2026. Wersja 1.0.
Frequently Asked Questions
Czy rejestr AI zastępuje rejestr czynności przetwarzania (RODO)?
Nasz personel korzysta z bezpłatnego ChatGPT i konsumenckiego Copilota. Czy to liczy się do rejestru?
Nasze MŚP ma siedzibę poza UE. Czy akt w sprawie sztucznej inteligencji dotyczy naszego rejestru?
Kto w MŚP bez CTO powinien odpowiadać za rejestr AI?
Jak często należy odświeżać rejestr?
Czy wystarczy arkusz kalkulacyjny, czy potrzebne jest dedykowane narzędzie GRC?
Sources
- 1.Regulation (EU) 2024/1689 — Artificial Intelligence Act — European Parliament and of the Council · 2024
- 2.Guidance on AI and Data Protection — Information Commissioner's Office (ICO) · 2023
- 3.AI and Data Protection Risk Toolkit / AI Auditing Framework — Information Commissioner's Office (ICO) · 2023
- 4.GDPR's Effects on Firm Data and Computation Use (Bessen, Janßen, Peukert, Seamans) — MIT Sloan · 2022
Want this run on your business?
AI Foundation Audit — a structured assessment of your AI footprint: integration risks, governance gaps, ROI opportunities. Delivered as a comprehensive report you can act on.
You receive your Executive Report and Implementation Brief — tailored to your business and delivered immediately.