Rejestr systemów AI w firmie — szablon i jak prowadzić

„Rejestr systemów AI" brzmi biurokratycznie, ale w praktyce to jeden plik (Excel, Notion lub Sharepoint), który ratuje Was przed grzywną. Pokazujemy konkretny szablon z 14 polami, doświadczenie z 11 audytów u klientów i listę czerwonych flag, które audytor sprawdzi w pierwszej kolejności.

Po co rejestr

AI Act (art. 26) i RODO (art. 30 — rejestr czynności przetwarzania) razem wymagają, żeby firma wiedziała, jakich systemów AI używa, do czego, jakie dane przetwarza i kto za to odpowiada. Bez rejestru nie da się prowadzić audytu, ani odpowiedzieć na inspekcję UODO/PIP.

14 pól, które muszą być w rejestrze

1. Nazwa systemu — np. „Asystent rekrutacyjny" lub „ChatGPT Plus dla marketingu".
2. Dostawca — Anthropic, OpenAI, własne wdrożenie, RedAI, itd.
3. Cel biznesowy — krótki opis (1-2 zdania).
4. Dział korzystający — HR, marketing, prawnicy, itd.
5. Liczba użytkowników — ile osób ma dostęp.
6. Kategoria ryzyka AI Act — zakazany / wysokie / ograniczone / minimalne.
7. Dane wejściowe — czy są dane osobowe, czy wrażliwe, czy poufne biznesowo.
8. Lokalizacja przetwarzania — UE, USA, prywatna instancja.
9. Podstawa prawna — zgoda, umowa, prawnie uzasadniony interes.
10. DPIA — czy zrobione, link do dokumentu.
11. Właściciel biznesowy — osoba odpowiedzialna w firmie.
12. Data wdrożenia — kiedy uruchomione.
13. Data ostatniego audytu — kiedy ostatnio sprawdzane.
14. Status — aktywny / wyłączony / w testach.

Kto prowadzi rejestr

W firmach do 50 osób — DPO (jeśli jest) albo AI Compliance Officer (jeśli powołany), realnie jedna osoba. W większych firmach — proces rozproszony: każdy dział wprowadza własne systemy, central (compliance) konsoliduje. Zalecamy „single source of truth" w jednym narzędziu, nawet jeśli wprowadzanie jest rozproszone.

Jak często aktualizować

• Natychmiast — gdy uruchamiacie nowy system albo wyłączacie istniejący.
• Co kwartał — pełny przegląd, weryfikacja liczby użytkowników i statusu.
• Co rok — pełny audyt z odświeżeniem klasyfikacji ryzyka (przepisy się zmieniają).

Przykładowy wiersz rejestru

5 błędów, które widzimy w 80% rejestrów

1. Brak shadow AI — w rejestrze tylko „oficjalne" wdrożenia, ChatGPT Plus na karcie firmowej pracownika pominięty. To największy „blind spot" — pracownicy używają AI bez wiedzy compliance.
2. Klasyfikacja „na czuja" — wpisane „minimalne" bez uzasadnienia. Audytor będzie pytał, dlaczego.
3. Stary właściciel — osoba, która wdrożyła system, zmieniła pracę 6 miesięcy temu. Nikt nie aktualizuje.
4. Brak linku do DPIA — nawet jeśli DPIA jest, nikt nie wie, gdzie leży.
5. Pomieszane wdrożenia z testami — pilot z 3 użytkownikami sprzed roku, niewyłączony, nadal w rejestrze jako „aktywny".

Co audytor sprawdzi w pierwszej kolejności

• Czy rejestr istnieje (i jest aktualny — sprawdzi datę ostatniej zmiany).
• Czy systemy „high-risk" mają DPIA z prawidłową treścią.
• Czy liczba systemów wpisanych w rejestrze pokrywa się z faktyczną (kross-check przez audyt wydatków na licencje AI w księgowości).
• Czy są procedury reagowania na incydenty AI.
• Czy pracownicy wiedzą, do kogo zgłaszać nowe systemy.

Narzędzia, które rekomendujemy

Firmy 5-30 osób: Excel albo Google Sheets z dedykowaną zakładką. Firmy 30-100: Notion albo Airtable z relacjami do innych baz. Firmy 100+: dedykowany moduł w GRC tool (np. polskie Trusty, ProGRC) albo customowy moduł w wewnętrznym systemie.

Pomożemy zainwentaryzować Wasze systemy AI w 2-godzinnym warsztacie — napiszcie. Wychodzicie z gotowym rejestrem do importu w Wasz system docelowy.