Techniczny dowód gotowości AI Act

Raport gotowości ClearAiDesk względem EU AI Act

Ocena techniczno-produktowa na podstawie kodu backendu i frontendu. Strona dokumentuje funkcje widoczne w kodzie, dowody techniczne, poziom pokrycia oraz luki wymagające dalszej pracy.

Zobacz macierz zgodności
Podsumowanie zarządcze

Ocena gotowości

ClearAiDesk v1.2.4 jest sensownym narzędziem do operacyjnego przygotowania organizacji do AI Act, szczególnie dla firm korzystających z narzędzi AI jako deployer/użytkownik. Kod zawiera rejestr narzędzi AI, wizard klasyfikacji AI Act, screening praktyk zakazanych, podstawowe pola dla high-risk assessment, dane ochrony danych, vendor assessment, mechanizm kampanii AI literacy, publiczną transparentność oraz raport gotowości AI Act.

Nie jest to jednak pełny system zapewniający zgodność z AI Act dla organizacji posiadających systemy wysokiego ryzyka albo występujących jako provider systemów AI. Ograniczenia zakresu dotyczą m.in. formalnego rejestru incydentów AI, pełnego workflow zatwierdzania z rolami compliance/DPO/security, dowodów i załączników, osobnego procesu FRIA, pełnych obowiązków transparentności w produkcie końcowym oraz operacyjnego monitorowania i logowania systemów wysokiego ryzyka.

Rekord oceny AI

Metadane oceny

Aplikacja
ClearAiDesk
Wersja aplikacji
v1.2.4
Zakres kodu źródłowego
api-v2.zip and spa-v2.zip
Dostawca AI
OpenAI
Model
GPT-5.5 Thinking
Wersja / rekord modelu
2026-05-05 technical assessment record
Data oceny
2026-05-05
Języki publicznej strony
Polski i angielski
Pytanie do modelu

Prompt użyty do oceny

Przygotuj raport zgodności aplikacji ClearAiDesk z wymogami EU AI Act na podstawie przesłanego kodu backendu i frontendu. Oceń funkcje widoczne w kodzie, wskaż dowody, poziom pokrycia, ryzyka, ograniczenia i rekomendacje. Nie twórz treści marketingowej; oprzyj ocenę na dowodach technicznych widocznych w kodzie.
Zakres i metodologia

Zakres analizy

Analiza obejmuje kod backendu api-v2 oraz frontendu spa-v2. Raport ocenia funkcje widoczne w kodzie, a nie konfigurację środowiska, dane produkcyjne ani praktyki operacyjne klienta. Przyjęto perspektywę typowej organizacji korzystającej z AI jako deployer, z osobnym wskazaniem ograniczeń dla high-risk AI oraz providerów.

Dowody z kodu

Elementy zidentyfikowane w kodzie aplikacji

Model rejestru AI
api-v2/src/models/ai-tool.model.js: pola AITool, aiActAssessment, dataProtection, vendorAssessment, logging, approval, highRiskAssessment.
Zaobserwowano
Klasyfikacja AI Act
api-v2/src/services/ai-tool.service.js: deriveAiActClassification(), normalizeAiActAssessment().
Zaobserwowano
Blokada zatwierdzania
api-v2/src/services/ai-tool.service.js: assertApprovalAllowed() blokuje prohibited i niekompletne high-risk.
Zaobserwowano
Kontrole high-risk
api-v2/src/services/ai-tool.service.js: computeHighRiskGaps() sprawdza instrukcje dostawcy, nadzór, input data, monitoring, incident procedure, logi, 6 miesięcy retencji, worker notification i FRIA.
Zaobserwowano
Raporty AI Act
api-v2/src/services/report.service.js: getAiActReadinessReport(), buildAiActReadinessPayload(), risks z code/severity/params.
Zaobserwowano
UI wizarda i raportu
spa-v2/src/pages/tools/ToolsPage.vue oraz spa-v2/src/pages/reports/ReportsPage.vue.
Zaobserwowano
AI literacy
api-v2/src/services/training-campaign.service.js oraz modele LiteracyChecklist / TrainingCampaign / PolicyAcknowledgement.
Zaobserwowano
Audit log
api-v2/src/models/audit-log.model.js istnieje, ale użycie jest ograniczone głównie do transparency.controller.js.
Częściowo
Macierz zgodności

Pokrycie obszarów AI Act i AI governance

Rejestr systemów/narzędzi AI
Pokrycie: wysokie
82%

Model AITool zawiera właściciela, status, ryzyko, dostawcę, dane, transparentność i klasyfikację AI Act. Brakuje historii zmian i dowodów jako załączników.

AI literacy
Pokrycie: wysokie
78%

Są checklisty, kampanie, wysyłka i potwierdzenia. Brakuje testów wiedzy, scoringu i snapshotu treści w momencie potwierdzenia.

Screening praktyk zakazanych
Pokrycie: średnio-wysokie
68%

Wizard obejmuje kilka kluczowych triggerów Article 5. Brakuje pełniejszego odwzorowania wszystkich zakazów i workflow legal review.

Klasyfikacja AI Act
Pokrycie: średnio-wysokie
74%

Jest automatyczna klasyfikacja i ręczny override. To dobre MVP, ale klasyfikacja jest regułowa, bez pełnej argumentacji prawnej i review history.

Obowiązki high-risk deployera
Pokrycie: średnio-wysokie
63%

Są pola i blokady dla instrukcji, nadzoru, danych wejściowych, monitoringu, logów i worker notification. Brakuje operacyjnego monitoringu, powiadomień provider/authority i evidence management.

Transparentność Article 50
Pokrycie: średnie
58%

Jest public disclosure page i klasyfikacja limited-risk. Brakuje wymuszonych komunikatów w produktach AI, etykietowania treści i kontroli deepfake/synthetic content.

DPIA/RODO/vendor risk
Pokrycie: średnio-wysokie
63%

Są pola DPA, DPIA, subprocessors, data residency, training opt-out. Brakuje workflow DPO, dowodów, dat przeglądu i integracji z repo dokumentów.

Raporty i eksport
Pokrycie: średnio-wysokie
72%

Jest AI Act readiness report, risk snapshot oraz download HTML. Brakuje audytowalnych raportów historycznych z wersjonowaniem.

Audit trail
Pokrycie: średnie
45%

Model AuditLog istnieje, ale nie obejmuje konsekwentnie zmian narzędzi, zatwierdzeń, klasyfikacji i high-risk assessment.

Incident management AI
Pokrycie: niskie-średnie
35%

Polityki wspominają incydenty i highRiskAssessment ma incidentProcedure, ale brak rejestru incydentów, statusów, SLA i workflow zgłoszeń.

GPAI/provider obligations
Pokrycie: niskie-średnie
40%

Wizard flaguje usesGpaiModel, ale aplikacja nie obsługuje obowiązków providerów GPAI ani technicznej dokumentacji modelu.

Mapowanie AI Act

Mapowanie do głównych wymogów AI Act

Art. 4 AI literacy
Checklisty, kampanie, wysyłka e-mail, potwierdzenia i raporty pending. Brak testów i macierzy kompetencji.
Częściowo zgodne / dobre MVP
Art. 5 zakazane praktyki
Wizard wykrywa wybrane trigger points i blokuje approved dla prohibited. Brak pełnej matrycy prawnej i legal sign-off.
Częściowo zgodne
Klasyfikacja ryzyka
Klasyfikacja regułowa + manual override + reviewRequired + raporty byClassification.
Częściowo zgodne / dobre MVP
Art. 26 deployer high-risk
Pola na instrukcje, nadzór, input data, monitoring, incident procedure, worker notification, FRIA status, log retention. Brak operacyjnego monitoringu i rejestru incydentów.
Częściowo zgodne
Art. 50 transparentność
Public disclosure page i limited-risk flagging. Brak wymuszonych notice/watermark/label controls.
Częściowo zgodne
Dokumentacja i audyt
Raporty readiness i risk snapshot; AuditLog istnieje, ale nie jest konsekwentnie używany.
Częściowo zgodne
GPAI
Flaga usesGpaiModel i klasyfikacja gpai-use. Brak obsługi obowiązków providerów GPAI.
Niskie pokrycie
Mocne strony

Mocne strony aplikacji

Dobrze zaprojektowany model rejestru AI z rozbudowanymi polami dla AI Act, danych osobowych, dostawcy, logów i high-risk assessment.
Wizard klasyfikacji obejmuje prohibited, high-risk, limited-risk, minimal-risk, gpai-use, out-of-scope i requires-review.
Backend wymusza podstawową kontrolę: prohibited nie może być zatwierdzone, a high-risk nie może być zatwierdzone przy otwartych lukach.
Raporty są neutralne językowo dzięki risk code + params, co dobrze współgra z i18n.
Frontend zawiera raport readiness, metryki i eksport HTML do pobrania.
AI literacy jest wspierane operacyjnie przez checklisty, kampanie i potwierdzenia użytkowników.
Szacunkowa gotowość
Typowy deployer AI
około 70–78%
Deployer high-risk AI
około 55–62%
Provider systemu AI
około 35–42%
Najmocniejsza część
rejestr AI, AI literacy, klasyfikacja, raporty readiness
Kontekst regulacyjny

Ocena skupia się na AI literacy, praktykach zakazanych, klasyfikacji ryzyka AI Act, obowiązkach deployera high-risk, transparentności oraz dokumentowaniu kontroli.

Art. 4: AI literacy dla providerów i deployerów.
Art. 5: zakazane praktyki AI i screening.
Art. 26: obowiązki deployerów systemów wysokiego ryzyka.
Art. 50: transparentność dla wybranych systemów AI.
GPAI i obowiązki providera są w obecnym produkcie pokryte tylko częściowo.
Wniosek końcowy

ClearAiDesk v1.2.4 można uczciwie opisywać jako narzędzie wspierające przygotowanie do AI Act w zakresie rejestru AI, klasyfikacji, AI literacy, transparentności i raportowania readiness. Kod zawiera sensowną architekturę pod dalszą rozbudowę i wyraźnie przeszedł z prostego rejestru AI do MVP platformy AI governance.

Nie należy jednak komunikować, że aplikacja sama zapewnia pełną zgodność z AI Act. W obecnym stanie produkt wspiera compliance, ale wymaga dalszych modułów dowodowych, workflow i operacyjnych, zwłaszcza dla high-risk AI oraz organizacji pełniących rolę providera.

Ograniczenie

Strona jest techniczno-produktowym zapisem przeglądu kodu. Nie jest opinią prawną, oceną zgodności, certyfikacją ani gwarancją zgodności klienta.