# SAMOOCENA ZGODNOŚCI / CONFORMITY SELF-ASSESSMENT — K0NSULT.CLOUD
# MACIERZ KONTROLI / CONTROL MATRIX (AI Act Reg. (EU) 2024/1689 + RODO)

**Wersja / Version:** v1.0
**Status:** DO ZŁOŻENIA AUDYTOROM / FOR SUBMISSION TO AUDITORS (oraz, na żądanie, organowi nadzoru / and, on request, to the supervisory authority)
**Data / Date:** 2026-05-16
**Klasyfikacja / Classification:** RESTRICTED — audytor / regulator
**System / System:** `k0nsult.cloud` — wyłącznie niezależne usługi audytowe systemów AI; pilotaż bezpłatny do 31.12.2026
**Operator:** 0n40i4 (Tomasz Obara), JDG Polska — lobbysta nr 00168 (rejestr MSWiA, art. 11 ust. 1 ustawy z 7.07.2005 r., Dz.U. 2005 nr 169 poz. 1414)
**Komponenty AI / AI components:** Anthropic Claude — Lyra Haiku (bot triage, klasyfikacja zgłoszeń); Claude Opus (wsparcie audytora, zawsze human-reviewed)
**Powiązanie / Linkage:** [[ai-act-deployment-plan-20260515]] · [[COI_POLICY_K0NSULT_v1]] (ORG.2)

> **Cel dokumentu / Purpose.** Samoocena zgodności (self-assessment) mapująca artykuły AI Act i RODO na konkretne kontrole, status wdrożenia, dowód oraz lukę z terminem. Dokument NIE jest deklaracją zgodności w rozumieniu art. 47 AI Act (system nie jest wysokiego ryzyka — patrz sekcja „Klasyfikacja ryzyka”). / Self-assessment mapping AI Act and GDPR articles to concrete controls, implementation status, evidence and gap with deadline. This is NOT an EU declaration of conformity under Art. 47 AI Act (the system is not high-risk — see "Risk classification").

---

## 1. KLASYFIKACJA RYZYKA / RISK CLASSIFICATION

**Wynik klasyfikacji / Classification result:** **OGRANICZONE RYZYKO / LIMITED RISK** — obowiązki przejrzystości z art. 50 AI Act. **NIE wysokie ryzyko** w rozumieniu Załącznika III AI Act.

### Uzasadnienie (dlaczego NIE Annex III) / Rationale (why NOT Annex III)

| Kryterium / Criterion | Ocena / Assessment |
|---|---|
| **Art. 5 — praktyki zakazane / prohibited practices** | NIE WYSTĘPUJĄ. System nie stosuje scoringu społecznego, manipulacji podprogowej, biometrii zdalnej ani rozpoznawania emocji. / NONE. No social scoring, subliminal manipulation, remote biometrics or emotion recognition. |
| **Załącznik III pkt 1 — biometria** | N/D. System nie przetwarza danych biometrycznych. / N/A. No biometric data. |
| **Załącznik III pkt 2 — infrastruktura krytyczna** | N/D. System nie steruje infrastrukturą krytyczną. / N/A. Not a safety component of critical infrastructure. |
| **Załącznik III pkt 3 — edukacja** | N/D. Brak oceny uczniów / dostępu do edukacji. / N/A. |
| **Załącznik III pkt 4 — zatrudnienie** | N/D. System nie służy rekrutacji ani ocenie pracowników. / N/A. Not used for recruitment or worker evaluation. |
| **Załącznik III pkt 5 — usługi podstawowe / scoring kredytowy** | N/D. Brak oceny zdolności kredytowej, świadczeń socjalnych, priorytetyzacji służb ratunkowych. / N/A. |
| **Załącznik III pkt 6–8 — ściganie, migracja, wymiar sprawiedliwości** | N/D. Brak zastosowań w organach ścigania / migracji / sądownictwie. / N/A. |
| **Rola w łańcuchu / role** | K0nsult jest **deployerem** (Art. 26) modeli Claude jako narzędzia wspomagającego, oraz **dostawcą** usługi limited-risk z interakcją z osobą fizyczną (Art. 50). System NIE podejmuje decyzji wywołujących skutki prawne ani istotnie wpływających na osoby — produkt audytu to dokument przygotowany i zatwierdzony przez człowieka. / K0nsult is a **deployer** (Art. 26) of Claude as an assistive tool and a **provider** of a limited-risk service interacting with natural persons (Art. 50). The system does not take legally/significantly affecting decisions — audit deliverables are human-prepared and human-approved. |

**Wniosek / Conclusion:** system mieści się w kategorii **limited risk**. Obowiązki: art. 50 (przejrzystość interakcji z AI i oznaczanie treści generowanych przez AI), obowiązki deployera art. 26, dobrowolny kodeks postępowania art. 95. Klasyfikacja podlega ponownej ocenie przy każdej istotnej zmianie zakresu funkcjonalnego oraz po wydaniu wytycznych Komisji/AI Office.

---

## 2. MACIERZ KONTROLI / CONTROL MATRIX

Legenda statusu / Status legend: **LIVE** = wdrożone i działa w produkcji · **PARTIAL** = częściowo wdrożone · **PLANNED** = zaplanowane z terminem · **N/A** = nie dotyczy z uzasadnieniem.

| Art. AI Act | Kontrola / Control | Status | Dowód / Evidence (endpoint / plik / migracja) | Luka + termin / Gap + deadline |
|---|---|---|---|---|
| **Art. 4** — AI literacy (kompetencje w zakresie AI) | Personel zaangażowany w obsługę systemu posiada wiedzę o możliwościach, ograniczeniach i ryzykach AI; klienci pilotażu otrzymują materiał wyjaśniający rolę AI w audycie. | **PARTIAL** | Operator (1-osobowa JDG) posiada wiedzę dziedzinową AI/compliance. Materiał dla klienta: `/ai-disclosure.html` + sekcja 0 `privacy.html`. Brak sformalizowanego, datowanego programu szkolenia. | **GAP:** brak udokumentowanego programu AI literacy (treść + rejestr ukończenia). **Termin: Q3 2026** (do 30.09.2026) — dokument `AI_LITERACY_PROGRAM_v1` + log szkolenia. |
| **Art. 9** — system zarządzania ryzykiem (risk management) | Iteracyjny proces identyfikacji, analizy, oceny i mitygacji ryzyk systemu przez cały cykl życia. | **PARTIAL** | Rejestr ryzyk: `/downloads/RISK_REGISTRY_K0NSULT_v1.md`. Monitorowanie poaudytowe: `/downloads/POST_MARKET_MONITORING_v1.md`. Plan reakcji: `/downloads/INCIDENT_RESPONSE_PLAN_K0NSULT_v1.md`. | **GAP:** brak formalnego, periodycznego cyklu przeglądu ryzyk z datami przeglądów oraz metryk skuteczności mitygacji. **Termin: Q3 2026** — wprowadzenie kwartalnego review z zapisem w `audit_log`. |
| **Art. 10** — data governance (zarządzanie danymi) | Adekwatne praktyki dot. danych: minimalizacja, jakość, pochodzenie, brak treningu na danych klienta. | **PARTIAL / LIVE** | Anthropic nie trenuje na danych klienta (umowa podprzetwarzania, `privacy.html` §8). Minimalizacja danych: serwer-side logi z anonimizacją IP (ostatni oktet usuwany). Retencja audytu 7 lat (`privacy.html` §5a). Rejestr inwentarza AI: tabela `ai_inventory`. | **GAP:** brak udokumentowanej procedury oceny jakości i pochodzenia (provenance) artefaktów audytowanego systemu dostarczanych przez klienta. **Termin: Q3 2026** — `DATA_GOVERNANCE_PROC_v1`. |
| **Art. 12** — rejestrowanie zdarzeń (record-keeping / logging) | Automatyczne, niezmienialne rejestrowanie zdarzeń przez cykl życia, umożliwiające identyfikowalność. | **LIVE** | Łańcuch skrótów **SHA-256** wymuszany **triggerem PostgreSQL** przy każdym zapisie (każdy wpis linkuje `prev_hash`→`current_hash`). Endpoint weryfikacji `/api/audit/verify-chain` (nightly cron 03:00 UTC). **Backfill 1055 wpisów historycznych** włączonych do łańcucha. Tabele: `audit_log`, `audit_traces`, `system_log`. Rejestr inwentarza: `ai_inventory`. | **GAP:** brak okresowego, podpisanego raportu z wynikiem `verify-chain` udostępnianego klientowi/audytorowi. **Termin: Q3 2026** — automatyczny miesięczny attestation report. |
| **Art. 13** — przejrzystość wobec deployerów (transparency to deployers) | Instrukcje użytkowania: przeznaczenie, ograniczenia, znane ryzyka, nadzór ludzki. | **LIVE / PARTIAL** | Dokumentacja: `/docs/operations_manual.html`, `/governance.html`, `/methodology.html`, polityka governance `/downloads/AI_GOVERNANCE_POLICY_K0NSULT_v1.md`. Pakiet compliance `/downloads/AI_COMPLIANCE_PACK_K0NSULT_v1.md`. | **GAP:** brak skonsolidowanej, wersjonowanej „Instrukcji użytkowania” (single source) z jawnymi ograniczeniami modeli (Haiku/Opus) i znanymi trybami awarii. **Termin: Q3 2026** — `INSTRUCTIONS_FOR_USE_v1`. |
| **Art. 14** — nadzór ludzki (human oversight) | Skuteczny nadzór człowieka; możliwość interwencji i zatrzymania (kill-switch); brak w pełni zautomatyzowanych decyzji. | **LIVE** | Human-in-the-loop: każdy produkt audytu i każda decyzja zatwierdzane przez człowieka (operator). Lyra Haiku wyłącznie triage/klasyfikacja, bez decyzji. Claude Opus — wsparcie audytora, zawsze human-reviewed. Veto/kill-switch T0_HUMAN (`AI_GOVERNANCE_POLICY_K0NSULT_v1.md` §IV.4, §IX). Spójne z art. 22 RODO + `privacy.html` §0. | **GAP:** brak udokumentowanego, testowanego runbooku kill-switch (procedura + dowód testu). **Termin: Q2 2026** — `KILLSWITCH_RUNBOOK_v1` + zapis testu. |
| **Art. 15** — dokładność, odporność, cyberbezpieczeństwo (accuracy / robustness / cybersecurity) | Adekwatny poziom dokładności, odporności i odporności cyber przez cykl życia. | **PARTIAL / LIVE** | Cyber: HSTS, CSP, rate-limit, TLS (Let's Encrypt), anti-anonymity (`AI_GOVERNANCE_POLICY_K0NSULT_v1.md` §IX), polityka bezpieczeństwa `/downloads/SECURITY_POLICY_K0NSULT_v1.md`, plan reakcji `/downloads/INCIDENT_RESPONSE_PLAN_K0NSULT_v1.md`. Integralność danych: hash chain SHA-256. | **GAP:** brak metryk dokładności klasyfikatora triage (Lyra) i niezależnego pen-testu. **Termin: pen-test Q2 2026**; metryki accuracy triage **Q3 2026**. |
| **Art. 26** — obowiązki deployera (deployer obligations) | Użycie zgodnie z instrukcją, monitorowanie działania, nadzór ludzki przez kompetentne osoby, przechowywanie logów. | **LIVE / PARTIAL** | K0nsult jako deployer Claude: nadzór ludzki (Art. 14), logi (Art. 12 hash chain), monitorowanie poaudytowe `/downloads/POST_MARKET_MONITORING_v1.md`, inwentarz `ai_inventory`. Umowa podprzetwarzania z Anthropic (`privacy.html` §8/§14). | **GAP:** brak formalnej oceny skutków dla praw podstawowych (FRIA) tam, gdzie wymagana, i procedury informowania osób narażonych. **Termin: Q3 2026** — ocena potrzeby FRIA + ewentualny `FRIA_v1`. |
| **Art. 50** — przejrzystość wobec użytkowników (transparency to users) | Osoba informowana, że wchodzi w interakcję z AI; treści generowane przez AI oznaczone. | **LIVE** | Strona ujawnienia AI: `/ai-disclosure.html` (oraz `/pl/ai-disclosure.html`). Oznaczanie treści „🤖 AI-generated" (`privacy.html` §0). Bot triage Lyra ujawnia, że jest AI. | **GAP:** brak automatycznego, maszynowo-czytelnego znacznika (np. metadane / oznaczenie deepfake-style) — niska istotność dla tekstu. **Termin: Q4 2026** (review) — ocena potrzeby znacznika maszynowego. |
| **RODO art. 22** — brak decyzji wyłącznie zautomatyzowanej | Żadna decyzja wywołująca skutki prawne / istotnie wpływająca nie jest podejmowana wyłącznie automatycznie. | **LIVE** | `privacy.html` §0 (highlight-box, art. 22 RODO + art. 14 AI Act). HITL operacyjny. | Brak luki materialnej. Przegląd przy zmianie zakresu. |
| **RODO art. 30 / 35** — rejestr czynności / DPIA | Rejestr czynności przetwarzania; ocena skutków dla ochrony danych. | **PARTIAL** | DPIA: `/downloads/DPIA_K0NSULT_UNIONAI_v1.md`. Podstawy prawne i kategorie danych: `privacy.html` §4, §5a. | **GAP:** DPIA wymaga aktualizacji pod kątem modelu „wyłącznie audyt" i danych pilotażu. **Termin: Q3 2026** — `DPIA_K0NSULT_v2`. |

---

## 3. UCZCIWE UJAWNIENIE — CZEGO JESZCZE NIE ZROBIONO / HONEST DISCLOSURE — WHAT IS NOT YET DONE

W duchu rzetelności audytowej K0nsult jawnie deklaruje braki, których nie należy interpretować jako spełnione. / In the spirit of audit integrity, K0nsult openly declares the following gaps, which must not be read as satisfied:

1. **Brak certyfikatów ISO/SOC 2 po stronie K0nsult.** K0nsult **NIE posiada** własnych certyfikatów ISO/IEC 27001, ISO/IEC 42001 ani raportu SOC 2 Type II. Certyfikaty SOC 2 / ISO posiadają wyłącznie podprzetwarzający (Fly.io, Anthropic, Stripe — patrz `privacy.html`). ISO/IEC 42001 jest planowane jako foundation, audyt celowany **Q4 2026** (bez gwarancji uzyskania). / K0nsult **does NOT hold** its own ISO 27001, ISO 42001 or SOC 2 Type II. Only sub-processors hold such certifications. ISO 42001 targeted Q4 2026 (no guarantee of attainment).
2. **AI literacy (Art. 4) — szkolenie niewdrożone.** Brak sformalizowanego, datowanego programu szkoleniowego i rejestru ukończenia. Termin: **Q3 2026**. / No formal AI literacy training program yet. Deadline Q3 2026.
3. **Polityka konfliktu interesów jest świeża.** `COI_POLICY_K0NSULT_v1` zatwierdzona 2026-05-16 — nieprzetestowana jeszcze w rzeczywistym przypadku konfliktu; rejestr `COI_DISCLOSED` na razie pusty (brak zdarzeń = brak dowodu działania w praktyce). / The COI policy is brand-new (approved 2026-05-16), untested against a real conflict; the `COI_DISCLOSED` register is currently empty.
4. **Pen-test zaplanowany na Q2 2026.** Niezależny test penetracyjny **NIE został jeszcze przeprowadzony**. Kontrole cyber (HSTS/CSP/rate-limit) wdrożone, lecz niezweryfikowane niezależnie. / Independent penetration test **not yet performed**; scheduled Q2 2026.
5. **Brak metryk dokładności klasyfikatora triage (Lyra).** Skuteczność klasyfikacji 5-tagowej nie jest mierzona ilościowo (precision/recall). Termin Q3 2026. / No quantitative accuracy metrics for the Lyra triage classifier yet.
6. **DPIA wymaga aktualizacji** pod model „wyłącznie audyt". Obecna DPIA dotyczy szerszego zakresu (K0NSULT/UnionAI). Termin Q3 2026. / The DPIA needs updating to the "audit-only" model.
7. **Kill-switch nie ma udokumentowanego testu.** Mechanizm veto T0_HUMAN istnieje w polityce governance, lecz brak runbooku z dowodem przeprowadzonego testu. Termin Q2 2026. / The kill-switch lacks a documented, tested runbook.
8. **Samoocena ≠ ocena niezależna.** Niniejszy dokument to **samoocena (self-assessment)**, nie niezależna certyfikacja. Statusy oparte są na deklaracji operatora i dostępnych dowodach technicznych; podlegają weryfikacji przez audytora zewnętrznego. / This is a **self-assessment**, not independent certification.

---

## 4. PODSUMOWANIE LUK Z TERMINAMI / GAP SUMMARY WITH DEADLINES

| ID | Luka / Gap | Termin / Deadline | Priorytet |
|---|---|---|---|
| G-01 | Runbook + test kill-switch (Art. 14) | Q2 2026 | Wysoki / High |
| G-02 | Niezależny pen-test (Art. 15) | Q2 2026 | Wysoki / High |
| G-03 | Program AI literacy + rejestr (Art. 4) | Q3 2026 | Średni / Medium |
| G-04 | Kwartalny cykl przeglądu ryzyk (Art. 9) | Q3 2026 | Średni / Medium |
| G-05 | Procedura data governance / provenance (Art. 10) | Q3 2026 | Średni / Medium |
| G-06 | Miesięczny attestation report `verify-chain` (Art. 12) | Q3 2026 | Średni / Medium |
| G-07 | Skonsolidowana Instrukcja użytkowania (Art. 13) | Q3 2026 | Średni / Medium |
| G-08 | Ocena potrzeby FRIA + ewentualny FRIA (Art. 26) | Q3 2026 | Średni / Medium |
| G-09 | Metryki accuracy klasyfikatora triage (Art. 15) | Q3 2026 | Średni / Medium |
| G-10 | Aktualizacja DPIA do modelu „audyt-only" (RODO 35) | Q3 2026 | Średni / Medium |
| G-11 | Ocena potrzeby maszynowo-czytelnego znacznika treści AI (Art. 50) | Q4 2026 | Niski / Low |
| G-12 | Foundation ISO/IEC 42001 (audyt celowany) | Q4 2026 | Niski / Low |

---

*Dokument samooceny. Powiązany z [[ai-act-deployment-plan-20260515]] i [[COI_POLICY_K0NSULT_v1]] (ORG.2). NIE jest deklaracją zgodności art. 47 AI Act. / Self-assessment document. Linked to [[ai-act-deployment-plan-20260515]] and [[COI_POLICY_K0NSULT_v1]] (ORG.2). NOT an Art. 47 AI Act declaration of conformity.*
*K0nsult CNC / 0n40i4 (Tomasz Obara), JDG Polska — Lobbysta nr 00168 (rejestr MSWiA, art. 11 ust. 1 ustawy z 7.07.2005 r. o działalności lobbingowej, Dz.U. 2005 nr 169 poz. 1414)*