# PLAN SZKOLENIA AI LITERACY + REJESTR UKOŃCZENIA — K0NSULT **Wersja:** v1.0 **Data wydania:** 2026-05-16 **Podstawa prawna:** Art. 4 EU AI Act (Rozporządzenie (UE) 2024/1689) — *AI literacy* — **obowiązuje od 2 lutego 2025** **Status:** DRAFT — do zatwierdzenia przez operatora (NIE deployed) **Klasyfikacja:** dokument wewnętrzny compliance / regulator-grade **Powiązanie:** [[ai-act-deployment-plan-20260515]] poz. **ORG.1** (AI Literacy) **Hash dokumentu:** `` (SHA-256 — wyliczany przy zatwierdzeniu wersji) --- ## 0. KONTEKST PRAWNY — DLACZEGO TEN DOKUMENT **Art. 4 EU AI Act (Reg. (UE) 2024/1689) — AI literacy:** > *„Dostawcy i podmioty stosujące systemy AI podejmują środki w celu zapewnienia, w możliwie najlepszym zakresie, wystarczającego poziomu kompetencji w zakresie AI (AI literacy) swojego personelu oraz innych osób zajmujących się działaniem i wykorzystywaniem systemów AI w ich imieniu, z uwzględnieniem ich wiedzy technicznej, doświadczenia, wykształcenia i wyszkolenia oraz kontekstu, w którym systemy AI mają być wykorzystywane, a także biorąc pod uwagę osoby lub grupy osób, wobec których systemy AI mają być wykorzystywane."* Definicja AI literacy — **Art. 3 pkt 56 AI Act**: umiejętności, wiedza i zrozumienie pozwalające dostawcom, podmiotom stosującym i osobom, których to dotyczy, na świadome wdrażanie systemów AI oraz uzyskanie wiedzy o szansach i ryzykach AI oraz możliwych szkodach. **Status czasowy:** Art. 4 **obowiązuje od 2.02.2025** (Art. 113 lit. a AI Act — pierwsza tura przepisów wraz z Rozdziałem I i II). Nie ma okresu przejściowego — obowiązek jest aktywny **teraz**. **Status k0nsult wobec Art. 4:** - k0nsult występuje jako **deployer (podmiot stosujący)** systemu AI Anthropic Claude w ramach świadczenia własnych usług audytowych. - W zakresie narzędzi/raportów dostarczanych klientom k0nsult może wystąpić również jako **dostawca** komponentów AI — co także objęte Art. 4. - System wykorzystywany przez k0nsult: **Anthropic Claude** (API). Klasyfikacja ryzyka systemu wykorzystywanego operacyjnie: **LIMITED RISK** (limited-risk — transparency obligations Art. 50). Nie jest to system high-risk z Załącznika III. - Obowiązek Art. 4 dotyczy: **operatora** oraz **wszystkich osób działających w imieniu k0nsult** mających dostęp do systemów AI (podwykonawcy/freelancerzy z dostępem do Claude API, audytorzy współpracujący). --- ## I. ZAKRES — KTO PODLEGA SZKOLENIU | Rola | Osoba / kategoria | Dostęp do AI | Obowiązek Art. 4 | Poziom wymagany | |------|-------------------|--------------|------------------|-----------------| | **Operator / właściciel** | Tomasz Obara (0n40i4), JDG; lobbysta wpisany do rejestru MSWiA (Ministerstwo Spraw Wewnętrznych i Administracji) nr **00168** | pełny (Claude API, konfiguracja, klucze) | TAK — poziom zaawansowany | Moduły 1–8, test ≥ 80% | | **Podwykonawca / freelancer techniczny** | osoby współpracujące z dostępem do Claude API / systemów AI k0nsult | operacyjny (Claude API w zakresie zleconym) | TAK — działa „w imieniu" deployera | Moduły 1–8, test ≥ 80% | | **Audytor współpracujący** | osoba realizująca część audytu systemów AI klienta | pośredni (analiza systemów AI, narzędzia AI wspierające audyt) | TAK — działa „w imieniu" k0nsult | Moduły 1–8, test ≥ 80% | | **Klient (audytowany)** | personel klienta — POZA zakresem tego planu | n/d | obowiązek po stronie klienta jako odrębnego deployera | k0nsult dostarcza materiał pomocniczy w ramach usługi | **Zasada:** żadna osoba nie uzyskuje dostępu do systemów AI używanych przez k0nsult (Claude API, konfiguracja, dane klienta przetwarzane przez AI) **przed** ukończeniem szkolenia wstępnego i zaliczeniem testu (sekcja IV). **Konflikt interesów (COI) — specyfika k0nsult:** operator jest jednocześnie **lobbystą zawodowym (rej. MSWiA nr 00168)** oraz **audytorem systemów AI**. Moduł 8 obejmuje obowiązkową świadomość tego COI: rozdzielenie roli rzecznictwa od roli niezależnej weryfikacji, deklaracja COI w każdym raporcie audytowym, zakaz audytowania systemu, w którego sprawie operator prowadzi czynności lobbingowe. --- ## II. PROGRAM SZKOLENIA — MODUŁY Forma: **self-study** (samokształcenie) + materiały źródłowe + **test sprawdzający**. Czas szacunkowy: ~6–8 h łącznie (wstępne). ### Moduł 1 — Czym jest system AI wg AI Act - Definicja **Art. 3 pkt 1 AI Act**: „system AI" oznacza system maszynowy zaprojektowany do działania z różnym poziomem autonomii, który może wykazywać zdolność adaptacji po wdrożeniu i który — dla wyraźnych lub dorozumianych celów — wnioskuje na podstawie otrzymanych danych wejściowych, jak generować wyniki (predykcje, treści, rekomendacje, decyzje) mogące wpływać na środowiska fizyczne lub wirtualne. - Rozgraniczenie: model AI vs. system AI vs. zwykłe oprogramowanie deterministyczne. - Pojęcie general-purpose AI model (GPAI) — **Art. 3 pkt 63**, Rozdział V AI Act (kontekst: Claude jako GPAI dostawcy Anthropic). ### Moduł 2 — Klasyfikacja ryzyka + Załącznik III - Cztery poziomy: **prohibited** (Art. 5), **high-risk** (Art. 6 + **Załącznik III**), **limited risk** (Art. 50 — transparency), **minimal risk** (brak obowiązków szczególnych). - Praktyki zakazane — przegląd Art. 5 (m.in. social scoring, manipulacja podprogowa, scraping wizerunków twarzy, biometria emocji w pracy/edukacji). - **Załącznik III** — 8 obszarów high-risk (biometria; infrastruktura krytyczna; edukacja; zatrudnienie i HR; dostęp do usług prywatnych i publicznych świadczeń, w tym scoring kredytowy 5(b) i ubezpieczenia 5(c); ściganie przestępstw; migracja/azyl/kontrola graniczna; wymiar sprawiedliwości i procesy demokratyczne). - Ćwiczenie: zaklasyfikuj 5 przykładowych systemów klienta do właściwego poziomu. ### Moduł 3 — Obowiązki deployera (Art. 26) i dostawcy (Art. 16) - **Art. 26** (obowiązki podmiotu stosującego high-risk): użycie zgodnie z instrukcją, nadzór ludzki przez kompetentne osoby, monitoring działania, logi, informowanie osób, współpraca z organem. - **Art. 16** (obowiązki dostawcy high-risk): system zarządzania ryzykiem, data governance, dokumentacja techniczna (Załącznik IV), rejestrowanie zdarzeń, transparentność, nadzór ludzki, dokładność/odporność/cyberbezpieczeństwo, ocena zgodności, oznakowanie CE, rejestracja w bazie UE. - Mapowanie: które obowiązki dotyczą k0nsult jako deployera Claude (limited risk → węższy zakres), a które k0nsult ma weryfikować u klienta high-risk. ### Moduł 4 — Transparentność (Art. 50 + Art. 13) - **Art. 50** — obowiązki przejrzystości dla określonych systemów: informowanie osoby, że wchodzi w interakcję z AI; oznaczanie treści generowanych/zmanipulowanych przez AI (w tym deepfake); oznaczanie tekstu publikowanego w celu informowania opinii publicznej. - **Art. 13** — transparentność i udostępnianie informacji podmiotom stosującym (instrukcja użytkowania systemu high-risk: tożsamość dostawcy, charakterystyka, ograniczenia, środki nadzoru ludzkiego). - Praktyka k0nsult: ujawnianie użycia Claude w komunikacji z klientem i w raportach generowanych z udziałem AI. ### Moduł 5 — Nadzór ludzki (Art. 14) - **Art. 14** — systemy high-risk projektowane tak, aby mogły być skutecznie nadzorowane przez osoby fizyczne w okresie używania. - Środki nadzoru: zrozumienie zdolności/ograniczeń systemu, świadomość ryzyka *automation bias*, prawidłowa interpretacja wyników, możliwość odstąpienia od użycia wyniku, możliwość **interwencji lub zatrzymania (stop / kill-switch)**. - Praktyka k0nsult: każdy raport audytowy i każda rekomendacja generowana z udziałem Claude przechodzi przegląd ludzki przed wydaniem klientowi (Human-in-the-Loop). ### Moduł 6 — RODO + AI - **Art. 22 RODO** — prawo do niepodlegania decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu wywołującej skutki prawne / istotnie wpływającej; wyjątki i zabezpieczenia (prawo do interwencji ludzkiej, wyrażenia stanowiska, zakwestionowania). - **DPIA** (Art. 35 RODO) — kiedy wymagana; relacja DPIA ↔ FRIA (zob. Dokument FRIA — Art. 27 ust. 4 AI Act: FRIA może uzupełniać istniejącą DPIA). - Minimalizacja danych przekazywanych do Claude API; zakaz przekazywania danych szczególnych kategorii (Art. 9 RODO) bez odrębnej podstawy i oceny. ### Moduł 7 — Incydenty (Art. 73 AI Act) - **Art. 73** — zgłaszanie **poważnych incydentów** (serious incidents) przez dostawców systemów high-risk. - Definicja poważnego incydentu — **Art. 3 pkt 49**: zdarzenie prowadzące (bezpośrednio lub pośrednio) do śmierci/poważnego uszczerbku na zdrowiu, poważnego i nieodwracalnego zakłócenia infrastruktury krytycznej, naruszenia prawa UE chroniącego prawa podstawowe, poważnej szkody dla mienia lub środowiska. - **Komu i kiedy:** zgłoszenie do **organu nadzoru rynku** państwa członkowskiego, w którym incydent wystąpił, niezwłocznie po ustaleniu związku przyczynowego — nie później niż w terminach z Art. 73 ust. 2–4 (zasadniczo do 15 dni; krótsze terminy dla zdarzeń ze skutkiem śmiertelnym i zagrożeń szeroko zakrojonych). - **Organ nadzoru rynku w Polsce:** zgodnie z krajową ustawą wdrażającą AI Act / wyznaczeniem organu właściwego (w razie braku ostatecznego wyznaczenia — eskalacja do operatora i ustalenie organu przed zgłoszeniem). Adres kontaktowy ujęty w *Incident Response Plan* k0nsult. - Praktyka k0nsult: nawet jako deployer limited-risk k0nsult prowadzi wewnętrzny rejestr incydentów i wspiera klientów high-risk w realizacji ich obowiązku z Art. 73. ### Moduł 8 — Specyfika k0nsult - **Hash chain audit** — łańcuch SHA-256 wiążący każdą decyzję/wpis z poprzednim (immutable, tamper-evident). - **`ai_inventory`** — rejestr systemów AI używanych przez k0nsult i audytowanych u klienta (model, dostawca, wersja, klasa ryzyka, podstawa prawna). - **Kill-switch** — zdolność natychmiastowego odcięcia/wstrzymania użycia systemu AI (powiązanie z Art. 14 — human oversight). - **COI lobbysta + audytor** — operator jest lobbystą (rej. MSWiA nr 00168) oraz audytorem; obowiązkowa deklaracja COI, rozdzielenie ról, zakaz audytu w sprawie objętej czynnościami lobbingowymi operatora. - Pilotaż bezpłatny do **31.12.2026** — zakres usługi i ograniczenia odpowiedzialności komunikowane klientowi na piśmie. --- ## III. MATERIAŁY ŹRÓDŁOWE (obowiązkowe) 1. **Tekst EU AI Act** — Rozporządzenie (UE) 2024/1689, wersja skonsolidowana (EUR-Lex). Priorytet: art. 3, 4, 5, 6, 13, 14, 16, 26, 27, 50, 72, 73 + Załącznik III. 2. **EU AI Office** — wytyczne i materiały dot. AI literacy (Komisja Europejska, DG CNECT / AI Office). 3. **ENISA** — materiały dot. cyberbezpieczeństwa systemów AI. 4. **Tekst RODO** — Rozporządzenie (UE) 2016/679, art. 22, 35. 5. **Wewnętrzne dokumenty k0nsult:** AI Governance Policy, DPIA, Incident Response Plan, Risk Registry, FRIA Template, niniejszy plan. 6. **Anthropic** — dokumentacja Claude (Usage Policies, model cards) — w zakresie ograniczeń i bezpiecznego użycia. --- ## IV. TEST SPRAWDZAJĄCY - **Forma:** test wiedzy obejmujący moduły 1–8 (pytania zamknięte + min. 2 zadania klasyfikacyjne: zaklasyfikuj system do poziomu ryzyka, wskaż obowiązek deployera vs. dostawcy). - **Próg zaliczenia:** **≥ 80%** poprawnych odpowiedzi. - **Wynik niezaliczony:** brak dostępu do systemów AI; powtórne podejście po ponownym przerobieniu materiału. - **Dokumentacja:** wynik wpisywany do rejestru (sekcja VI). Pytania testowe wersjonowane i przechowywane łącznie z planem. --- ## V. CZĘSTOTLIWOŚĆ I AKTUALIZACJA | Zdarzenie | Działanie | |-----------|-----------| | Przed pierwszym dostępem do systemów AI | szkolenie **wstępne** + test (obowiązkowe, blokujące dostęp) | | Co **12 miesięcy** | szkolenie **odświeżające** (refresh) + ponowny test | | Istotna zmiana AI Act / wytycznych AI Office | szkolenie **ad-hoc** w terminie ≤ 30 dni od publikacji | | Zmiana zakresu systemów AI używanych przez k0nsult (nowy model/dostawca, zmiana klasy ryzyka) | aktualizacja modułu 8 + komunikat do wszystkich osób z dostępem | | Incydent (Art. 73) z udziałem czynnika ludzkiego | szkolenie naprawcze dla osób zaangażowanych | Plan podlega przeglądowi co najmniej raz na 12 miesięcy; każda zmiana = nowa wersja `v` + przeliczenie hash. --- ## VI. SZABLON REJESTRU UKOŃCZENIA — *AI Literacy Training Record* > Rejestr stanowi dowód realizacji obowiązku z Art. 4 AI Act. Wypełniany dla każdej osoby z dostępem do systemów AI. Przechowywany przez okres współpracy + 7 lat (zgodność z retencją audytową k0nsult). Pole „Podpis" = podpis odręczny / kwalifikowany / potwierdzenie e-mail z DID. | # | Imię i nazwisko | Rola | DID / identyfikator | Data szkolenia wstępnego | Moduły ukończone | Wynik testu (%) | Zaliczony (T/N) | Data refresh (planowana) | Data refresh (wykonana) | Podpis / potwierdzenie | |---|-----------------|------|---------------------|--------------------------|------------------|-----------------|-----------------|--------------------------|-------------------------|------------------------| | 1 | Tomasz Obara | Operator / właściciel (JDG); lobbysta MSWiA nr 00168 | `did:k0nsult:human:0n40i4` | [____-__-__] | [1–8] | [___] | [ ] | [____-__-__] | [____-__-__] | [_______] | | 2 | [imię nazwisko] | Podwykonawca techniczny | [did / e-mail] | [____-__-__] | [_____] | [___] | [ ] | [____-__-__] | [____-__-__] | [_______] | | 3 | [imię nazwisko] | Audytor współpracujący | [did / e-mail] | [____-__-__] | [_____] | [___] | [ ] | [____-__-__] | [____-__-__] | [_______] | | 4 | [imię nazwisko] | [rola] | [did / e-mail] | [____-__-__] | [_____] | [___] | [ ] | [____-__-__] | [____-__-__] | [_______] | | … | … | … | … | … | … | … | … | … | … | … | **Adnotacje:** - Kolumna „Moduły ukończone" — wpisać numery modułów (np. `1–8` lub `1,2,3,5,8` przy szkoleniu częściowym ad-hoc). - Brak wiersza = brak dostępu. Audytor zewnętrzny weryfikuje 1:1 listę osób z dostępem do Claude API względem rejestru. - Każdy wpis odświeżający (refresh) dodawany jako nowy wiersz z adnotacją „REFRESH" — historia niezmienialna (append-only). --- ## VII. AI LITERACY PROGRAMME — EXECUTIVE SUMMARY (EN) **Legal basis:** Article 4 of the EU AI Act (Regulation (EU) 2024/1689), in force since **2 February 2025**, requires providers and deployers to ensure, to their best extent, a **sufficient level of AI literacy** of their staff and other persons operating and using AI systems on their behalf, taking into account their technical knowledge, experience, education and training, and the context of use. **Scope:** k0nsult acts as a **deployer** of Anthropic Claude (LIMITED-RISK system; transparency obligations under Art. 50) when delivering independent AI-system audit services, and may act as a **provider** of AI-assisted audit tooling delivered to clients. The obligation covers the **operator** (Tomasz Obara, sole proprietorship; registered lobbyist, Polish Ministry of Interior and Administration register no. 00168) and **every person acting on k0nsult's behalf** with access to AI systems (technical subcontractors/freelancers with Claude API access, collaborating auditors). **Programme structure:** Self-study with mandatory source materials (EU AI Act text, EU AI Office guidance, ENISA, GDPR) plus an **assessment test (pass mark ≥ 80%)**. Eight modules: (1) what an AI system is — Art. 3(1); (2) risk classification prohibited/high/limited/minimal + Annex III; (3) deployer obligations Art. 26 and provider obligations Art. 16; (4) transparency Art. 50 + Art. 13; (5) human oversight Art. 14; (6) GDPR & AI — Art. 22 automated decision-making, DPIA; (7) incidents Art. 73 — when and to whom (market surveillance authority); (8) k0nsult specifics — hash-chain audit, `ai_inventory`, kill-switch, lobbyist/auditor conflict of interest. **Frequency:** Initial training is **mandatory and access-blocking** before any access to AI systems; **refresh every 12 months**; ad-hoc training within 30 days of material regulatory changes. **Record-keeping:** A completion register (Section VI) is maintained as evidence of Art. 4 compliance, retained for the duration of cooperation plus 7 years, append-only, and reconcilable 1:1 against the list of persons holding AI-system access. **Conflict of interest:** The operator is simultaneously a registered lobbyist (register no. 00168) and an AI-system auditor. Module 8 mandates COI awareness: separation of advocacy and independent-verification roles, COI declaration in every audit report, and a prohibition on auditing any system that is subject to the operator's lobbying activity. --- ## VIII. STATUS I SYGNATARIUSZE **Status:** DRAFT — oczekuje na zatwierdzenie operatora. **NIE wdrożony (not deployed).** | Sygnatariusz | Rola | DID / identyfikator | Data | |--------------|------|---------------------|------| | 0n40i4 / Tomasz Obara | Operator HUMAN T0 / właściciel JDG | `did:k0nsult:human:0n40i4` | [____-__-__] | **Podmiot:** Tomasz Obara — jednoosobowa działalność gospodarcza (JDG); lobbysta wpisany do rejestru MSWiA (Ministerstwo Spraw Wewnętrznych i Administracji) nr **00168**. **Powiązanie:** [[ai-act-deployment-plan-20260515]] poz. **ORG.1** (AI Literacy). **Hash dokumentu (SHA-256):** `` — wyliczany przy zatwierdzeniu wersji v1.0. --- *Dokument compliance k0nsult — niezależne usługi audytowe systemów AI. Pilotaż bezpłatny do 31.12.2026.* *Podstawa: EU AI Act (Reg. (UE) 2024/1689) Art. 4. K0NSULT © 2026.*