Rejestr ryzyk AI – program UNIONAI

Dokument opracowany zgodnie z wymogami AI Act art. 9 (zarządzanie ryzykiem systemów AI). Podmiot wiodący: K0NSULT Sp. z o.o.; partner wspierający: Grassroots Lobbing (GRL). Rejestr jest dokumentem żywym – aktualizowany przy każdej istotnej zmianie zakresu programu.

Metodologia oceny ryzyka

Ryzyka klasyfikowane są według dwóch wymiarów: prawdopodobieństwo wystąpienia (niskie / średnie / wysokie) i potencjalny wpływ (niski / średni / wysoki). Poziom ryzyka rezydualnego określany jest po zastosowaniu mitygacji.

Kategorie i rejestr ryzyk

ID	Kategoria ryzyka	Opis	Poziom ryzyka brutto	Odwołanie do AI Act
R-01	Błędna klasyfikacja danych	System AI może błędnie klasyfikować dane lub obiekty, prowadząc do nieprawidłowych wniosków analitycznych.	ŚREDNI	Art. 9 ust. 2 lit. b
R-02	Niesprawiedliwość algorytmiczna	Ryzyko systematycznego nierównego traktowania grup osób w wynikach modeli AI (bias).	WYSOKI	Art. 9 ust. 2 lit. c; Art. 10
R-03	Naruszenie prywatności	Nieautoryzowane przetwarzanie lub ujawnienie danych osobowych uczestników programu lub danych badawczych.	WYSOKI	Art. 9 ust. 2 lit. a; RODO art. 5
R-04	Awaria systemu AI	Nieoczekiwana awaria platformy lub modelu AI skutkująca utratą danych badawczych lub przerwa w ciągłości programu.	ŚREDNI	Art. 9 ust. 2 lit. d
R-05	Nadmierne roszczenia (over-claiming)	Ryzyko prezentowania wyników badawczych z nadmierną pewnością bez odpowiednich dowodów – naruszenie zasady claim ≤ proof.	ŚREDNI	Art. 13 (przejrzystość)
R-06	Nieautoryzowany dostęp	Próby nieautoryzowanego dostępu do zasobów platformy UNIONAI przez zewnętrznych uczestników lub ataki na infrastrukturę.	ŚREDNI	Art. 9 ust. 2 lit. a

Kategoria ryzyka

Opis

Poziom ryzyka brutto

Odwołanie do AI Act

R-01

Błędna klasyfikacja danych

System AI może błędnie klasyfikować dane lub obiekty, prowadząc do nieprawidłowych wniosków analitycznych.

ŚREDNI

Art. 9 ust. 2 lit. b

R-02

Niesprawiedliwość algorytmiczna

Ryzyko systematycznego nierównego traktowania grup osób w wynikach modeli AI (bias).

WYSOKI

Art. 9 ust. 2 lit. c; Art. 10

R-03

Naruszenie prywatności

Nieautoryzowane przetwarzanie lub ujawnienie danych osobowych uczestników programu lub danych badawczych.

WYSOKI

Art. 9 ust. 2 lit. a; RODO art. 5

R-04

Awaria systemu AI

Nieoczekiwana awaria platformy lub modelu AI skutkująca utratą danych badawczych lub przerwa w ciągłości programu.

ŚREDNI

Art. 9 ust. 2 lit. d

R-05

Nadmierne roszczenia (over-claiming)

Ryzyko prezentowania wyników badawczych z nadmierną pewnością bez odpowiednich dowodów – naruszenie zasady claim ≤ proof.

ŚREDNI

Art. 13 (przejrzystość)

R-06

Nieautoryzowany dostęp

Próby nieautoryzowanego dostępu do zasobów platformy UNIONAI przez zewnętrznych uczestników lub ataki na infrastrukturę.

ŚREDNI

Art. 9 ust. 2 lit. a

Plan mitygacji ryzyk

ID ryzyka	Mitygacja	Odpowiedzialny	Poziom rezydualny
R-01	Walidacja krzyżowa wyników modelu; przegląd przez eksperta dziedzinowego przed publikacją.	K0NSULT (zespół badawczy)	NISKI
R-02	Audyt stronniczości (bias audit) przed każdym wdrożeniem modelu; dokumentacja danych treningowych.	K0NSULT / GRL	ŚREDNI
R-03	Polityka minimalizacji danych; pseudonimizacja danych badawczych; kontrola dostępu role-based (RBAC).	K0NSULT (DPO)	NISKI
R-04	Harmonogram backupów (codziennie); redundancja infrastruktury na Fly.io; procedura odtwarzania.	K0NSULT (DevOps)	NISKI
R-05	Obowiązkowa triada disclaimer na każdej stronie publicznej; weryfikacja źródeł przed publikacją.	K0NSULT (redaktor)	NISKI
R-06	HTTPS, uwierzytelnianie wieloskładnikowe, monitoring logów dostępowych.	K0NSULT (DevOps)	NISKI

ID ryzyka

Mitygacja

Odpowiedzialny

Poziom rezydualny

R-01

Walidacja krzyżowa wyników modelu; przegląd przez eksperta dziedzinowego przed publikacją.

K0NSULT (zespół badawczy)

NISKI

R-02

Audyt stronniczości (bias audit) przed każdym wdrożeniem modelu; dokumentacja danych treningowych.

K0NSULT / GRL

ŚREDNI

R-03

Polityka minimalizacji danych; pseudonimizacja danych badawczych; kontrola dostępu role-based (RBAC).

K0NSULT (DPO)

NISKI

R-04

Harmonogram backupów (codziennie); redundancja infrastruktury na Fly.io; procedura odtwarzania.

K0NSULT (DevOps)

NISKI

R-05

Obowiązkowa triada disclaimer na każdej stronie publicznej; weryfikacja źródeł przed publikacją.

K0NSULT (redaktor)

NISKI

R-06

HTTPS, uwierzytelnianie wieloskładnikowe, monitoring logów dostępowych.

K0NSULT (DevOps)

NISKI

Wersja rejestru: 1.0 · Data: 2026-06-06 · Następna planowana aktualizacja: przy zmianie zakresu programu lub co kwartał.