Przejdź do treści
W K
EU AI Act: Niskie ryzyko

Agent monitorowania zgodności HR

Ciągły monitoring zgodności HR w czasie rzeczywistym: stały Equal-Pay-Index, platforma sygnalistów wg Dyrektywy 2019/1937, nadzór łańcucha dostaw (CSDDD) oraz alerty z Kodeksu Pracy i RODO. Zdarzeniowe przygotowanie audytu (IDW PS 980, dowody dla inspekcji pracy) prowadzi Agent Audytu Zgodności HR.

Real-Time monitoring zgodności HR: ciągły Equal-Pay-Index, platforma sygnalistów (Dyrektywa 2019/1937), nadzór łańcucha dostaw HR, alerty Kodeks Pracy art. 94-3 i RODO art. 88.

Przeanalizować proces

Wybór spośród ponad 5 000 projektów w 25 latach tworzenia oprogramowania

Airbus Volkswagen Shell Renault Evonik Vattenfall Philips KPMG

Monitoring zgodności HR, który łączy pięć regulacji w jednej kontroli

Agent deterministycznie wyprowadza obowiązki compliance HR ze stanowiska, działu, sektora i wielkości firmy - od kanału sygnalistów przy ponad 50 osobach, przez rejestr czynności przetwarzania i oceny DPIA, po AML dla instytucji obowiązanych i due diligence łańcucha dostaw od 2027. Regułowo klasyfikuje odchylenia (informacja, ostrzeżenie, krytyczne, eskalacja), audytuje AI w HR pod kątem uprzedzeń, prowadzi workflow DPIA i FRIA z konsultacją Rady Pracowników oraz kieruje eskalacje do właściwego organu. Człowiek decyduje przy interpretacji prawnej, ocenie FRIA dla AI wysokiego ryzyka i zgłoszeniach do nadzoru.

Wynik: W polskich firmach średniej wielkości (500-5000 pracowników w sektorach finansowym, IT, FMCG, energetycznym, farmaceutycznym, produkcyjnym, BPO/SSC) daje to audytowalną ścieżkę compliance zamiast rocznego audytu w Excelu. Powstaje pełna dokumentacja dla PIP (do 30 000 zł), UODO (do 4% obrotu lub 20 mln EUR), AAI (do 60 000 zł za brak kanału sygnalistów), GIIF (do 5 mln EUR lub 10% obrotu), AI Act (do 35 mln EUR lub 7%) i KNF (do 21 312 000 zł), a luki są wychwytywane z oknem korekty 30, 60 lub 90 dni. Tarcza zarządu z KSH art. 233 wymaga udokumentowanego procesu, którego dowodem jest certyfikacja ISO 37301.

34% Silnik reguł
33% Agent AI
33% Człowiek

Cały monitoring zgodności HR rozkłada się na 15 etapów, z których każdy jest deterministycznie odtwarzalny - i właśnie dlatego maszynowo audytowalny przez PIP, UODO, AAI, GIIF, CBA, KNF, Sąd Pracy i EU AI Office:

Wrzesień 2024: Sygnaliści, AI Act i RODO - kary >35 mln EUR za jeden compliance gap

Polski oddział międzynarodowej grupy farmaceutycznej w Warszawie 27 września 2024 otrzymuje pierwsze zgłoszenie sygnalisty przez nowo wdrożony kanał EQS Group: anonimowo, z 14-stronicową dokumentacją dyskryminacji wynagrodzeniowej w Quality Assurance, dowodami z dwóch lat. Compliance Officer wprowadza sprawę do ServiceNow GRC. Termin Ustawy z 14.06.2024 nieubłagany: 7 dni na potwierdzenie, 3 miesiące na raport zwrotny. Równocześnie dział AI wdraża nowy system rekrutacyjny - bez FRIA, bez zgłoszenia do EU AI Office, bez DPIA. PIP zapowiada kontrolę w październiku, UODO przysłał pytania o RAT dla systemów AI. Sąd Pracy w Warszawie ma już dwa pozwy o mobbing z odwróconym ciężarem dowodu. AAI sprawdza, czy kanał spełnia kryteria Ustawy.

Pięć regulacji uderza naraz: Kodeks Pracy, RODO, sygnaliści, AI Act i AML

Kodeks Pracy łączy bezwzględny zakaz dyskryminacji (art. 18-3a) z obowiązkiem przeciwdziałania mobbingowi (art. 94-3) i ochroną danych pracowniczych (art. 22-1 - katalog zamknięty, dane biometryczne tylko za zgodą). Naruszenie generuje roszczenie min. minimalnego wynagrodzenia (4 666 zł brutto/mc 2025) za każdy miesiąc dyskryminacji i odpowiedzialność subsydiarną zarządu (KSH art. 233).

RODO uzupełnia te obowiązki o trójkąt ochrony: art. 30 (RAT obowiązkowy >250 osób), art. 32 (środki techniczne - pseudonimizacja, szyfrowanie, kontrola dostępu), art. 35 (DPIA obowiązkowa dla AI w HR, monitoringu, biometryki, profilowania). Sankcje art. 83 RODO: do 4% obrotu globalnego lub 20 mln EUR.

Ustawa o ochronie sygnalistów z 14.06.2024 wprowadza obowiązkowy kanał zgłoszeń dla pracodawców powyżej 50 osób od 25.09.2024 - anonimowy, szyfrowany E2E, dostępny całą dobę, w języku polskim i językach pracowników, z 7-dniowym potwierdzeniem i 3-miesięcznym raportem zwrotnym. Ochrona przed działaniami odwetowymi (art. 12-15) obejmuje odszkodowanie nie niższe niż 12-krotność minimalnego wynagrodzenia (2025: 55 992 zł). Rejestr i kontrole prowadzi AAI, a sankcje sięgają 60 000 zł wraz z odpowiedzialnością subsydiarną zarządu.

EU AI Act 2024/1689 wprowadza klasyfikację ryzyka. Annex III pkt 4 obejmuje workforce management jako wysokie ryzyko: rekrutacja, ocena pracownicza, awanse, zwolnienia, monitoring wydajności. Article 26 nakłada obowiązki użytkownika: monitoring, audyt, ludzki nadzór, transparentność, FRIA. Sankcje art. 99: do 35 mln EUR/7% obrotu globalnego za prohibited (zakazane od 2.08.2025), do 15 mln EUR/3% za high-risk (od 2.08.2026).

Ustawa AML z 1.03.2018 nakłada obowiązki na instytucje obowiązane - ocena ryzyka, identyfikacja beneficjenta rzeczywistego (CRBR), monitoring transakcji, zgłoszenie do GIIF w 2 dni robocze, archiwizacja 5 lat. Sankcje do 5 mln EUR lub 10% obrotu rocznego.

Czego nie pokażą arkusze Excel - granularność wymagana przez 5 regulacji równocześnie

W większości działów HR praca wygląda tak: raz w roku audyt RODO ad hoc, raz w roku przegląd polityki antymobbingowej, sporadyczne zgłoszenia sygnalistów do skrzynki mailowej, AI deployowane bez FRIA bo “to tylko narzędzie rekrutacyjne”, dane AML w innym systemie księgowym. Nikt nie ma całego obrazu - każdy specjalista pilnuje swojego silosa, zarząd ufa, że “ktoś to robi”. Po 25.09.2024 i 2.08.2026 ten model umiera: sygnalista ma 3 miesiące na raport zwrotny, AI Act wymaga FRIA przed wdrożeniem, RODO wymaga DPIA dla każdej nowej operacji wysokiego ryzyka.

Dla średniej firmy 1500 pracowników z 80 stanowiskami daje to: 1 polityka compliance (ISO 37301), 5-15 systemów AI w HR do klasyfikacji, 20-50 operacji DPIA, 1 kanał sygnalistów z anonimizacją, 1 polityka AML (jeśli instytucja obowiązana), 200-500 dostawców do due diligence (CSDDD od 2027), 4 obowiązkowe szkolenia rocznie (RODO, anty-mobbing, AML, BHP). Excel skaluje do 50 pracowników, przy 500 gubi sens, przy 5000 staje się ryzykiem prawnym.

Co zmienia agent

Agent nie rozwiązuje problemu przez lepsze checklisty. Rozwiązuje go przez inną architekturę.

Macierz reguł z wersjonowaniem. Silnik reguł wyprowadza z liczby pracowników, formy prawnej, sektora i kategorii AI Act pełną macierz obowiązków: kanał sygnalistów powyżej 50 osób, rejestr czynności przetwarzania powyżej 250 osób, oceny DPIA dla AI i monitoringu, AML dla instytucji obowiązanych, FRIA dla AI wysokiego ryzyka oraz due diligence łańcucha dostaw od 2027. Przekład regulacji na maszynowo weryfikowalne reguły z numerem wersji walidują Compliance Officer, Inspektor Ochrony Danych, radca prawny i AML Officer. AI wspiera jedynie jako parser tekstów ustaw, a walidacja prawna pozostaje przy człowieku zgodnie z Decision Layer.

Klasyfikacja AI w HR i FRIA. Każdy system AI używany w HR jest klasyfikowany według AI Act: zakazany (rozpoznawanie emocji w pracy - zabronione od 2.08.2025), wysokiego ryzyka z Annex III (rekrutacja, ocena, awanse, zwolnienia), ograniczonego ryzyka (chatboty) lub minimalnego ryzyka. Dla systemów wysokiego ryzyka agent generuje workflow FRIA: kwestionariusze ryzyk dla praw podstawowych (Kodeks Pracy art. 18-3a, Konstytucja art. 47 prywatność i art. 30 godność), identyfikację kategorii dotkniętych osób, ocenę środków minimalizacji i dokumentację konsultacji z Radą Pracowników. Decyzję końcową podejmują zarząd, CHRO, Compliance Officer i Inspektor Ochrony Danych.

Workflow DPIA i rejestr czynności przetwarzania zgodny z RODO. Ocena DPIA powstaje dla wszystkich operacji wysokiego ryzyka z listy UODO: AI w HR, monitoring elektroniczny (Kodeks Pracy art. 22-1), dane biometryczne, profilowanie i automatyczne decyzje. Workflow obejmuje pięć kroków: opis operacji, ocenę niezbędności, ocenę ryzyka, środki minimalizacji i konsultację z Inspektorem Ochrony Danych oraz Radą Pracowników. Rejestr czynności przetwarzania prowadzony jest automatycznie, z mapowaniem na podstawy prawne RODO (art. 6 oraz art. 9).

Kanał sygnalistów, audyt uprzedzeń AI i AML. Kanał sygnalistów zintegrowany z platformami EQS Group, WhistleB, NAVEX lub OneTrust działa anonimowo, szyfrowany E2E, całą dobę, z automatycznym potwierdzeniem w 7 dni, generatorem raportów zwrotnych w 3 miesiące i eskalacją do AAI przy braku reakcji. Kwartalny audyt uprzedzeń AI mierzy demographic parity, equal opportunity i predictive parity wobec progów akceptowalności i raportuje do EU AI Office. Monitoring AML śledzi transakcje w czasie rzeczywistym, alarmuje na progach (powyżej 15 000 EUR) i kieruje zgłoszenia EFE do GIIF.

Klasyfikacja odchyleń i eskalacja z konsekwencją. Macierz istotności jest deterministyczna i przypisuje odchyleniu jeden z poziomów: informacja, ostrzeżenie, krytyczne lub eskalacja (obowiązek zgłoszenia do PIP, UODO, AAI, GIIF, CBA lub EU AI Office). Reguły eskalacji wyznaczają terminy: zgłoszenie do UODO w 72 godziny (RODO art. 33), do GIIF w 2 dni (AML), do AAI w 7 dni (sygnaliści). Zarząd jest zawsze informowany przy ryzyku powyżej 100 000 zł (KSH art. 233). Naprawę śledzi się z ponowną weryfikacją po 30, 60 i 90 dniach.

Integracja z polskim ekosystemem compliance i GRC

Logika agenta integruje się z polskimi systemami przez API. Po stronie ERP/HR z modułem compliance: Comarch ERP HR jako lider w MŚP, Symfonia ERP HR (Sage - z oceną DPIA dla RODO), enova365 Kadry i Płace (Soneta - przemysł) oraz Asseco WAPRO HR - każdy z modułem compliance. Dla polskich oddziałów grup międzynarodowych: SAP SuccessFactors Polska Compliance z SAP GRC (Volkswagen Poznań, Stellantis Tychy, BMW Wrocław, Bosch Wrocław, Procter & Gamble - polski moduł AI Act, RODO i FRIA), Workday HCM z modułem Risk Management oraz Personio Polska Compliance. Po stronie dedykowanych platform GRC: ServiceNow GRC Polska (lider audytowy) oraz RSA Archer, MetricStream i LogicGate w segmencie enterprise. Po stronie kanałów sygnalistów zgodnych z Ustawą z 14.06.2024: EQS Group Polska, WhistleB Polska, Convercus oraz NAVEX EthicsPoint Polska. Po stronie ochrony prywatności i AI Governance: OneTrust Polska. Po stronie szkoleń: KnowBe4 Polska. Po stronie polskich startupów: Trafika Bezpieczeństwa, Cybea i Sealed Compliance Polska.

Mapowanie danych jest dwukierunkowe: zmiana polityki compliance w GRC propaguje do macierzy reguł, nowe orzecznictwo SN i wytyczne UODO odświeżają katalogi obowiązków, a raporty CSRD ESRS S1-16, S1-17 i G1 powstają z danych incydentów z anonimizacją statystyczną (k-anonymity, min. 5 osób). Dla PIP (do 30 000 zł, art. 281 KP), UODO (do 4% obrotu lub 20 mln EUR), AAI (do 60 000 zł wraz z odszkodowaniem sygnalisty), GIIF (do 5 mln EUR lub 10% obrotu), CBA (art. 296 KK), KNF (do 21 312 000 zł), EU AI Office (do 35 mln EUR lub 7%) oraz Sądu Pracy (odwrócony ciężar dowodu, KP art. 94-3) pakiet dowodowy jest gotowy w 4 godziny zamiast 3 tygodni.

Infrastruktura, która niesie dalej niż compliance

Silnik monitoringu compliance - macierz reguł, klasyfikacja systemów AI, workflow DPIA i FRIA, kanał sygnalistów, AI Bias Audit, AML monitoring, eskalacja z konsekwencją, śledzenie naprawy - to nie izolowany moduł. Ten sam wzorzec architektoniczny zasila Compensation Benchmarking Agent, Promotion Process Agent, Performance Review Documentation Agent oraz Candidate Screening Agent. Każdy z tych agentów polega na ramach compliance ustanowionych przez Compliance Monitoring Agent: udokumentowanym RAT, aktualnych DPIA, sklasyfikowanych systemach AI z FRIA, polityce antymobbingowej, kanale sygnalistów.

Przez setki cykli compliance powstaje obraz danych, którego żadne checklisty nie dostarczą: które obszary systematycznie generują zgłoszenia sygnalistów, które systemy AI przekraczają progi bias, które departamenty mają chronicznie wyższe wskaźniki incydentów mobbingu, gdzie historyczne wdrożenia sprzed AI Act stwarzają ryzyko regulacyjne. Dla zarządu (tarcza z KSH art. 233) i biegłego rewidenta CSRD raport ESRS S1-16, S1-17 i G1 jest gotowy do badania, z certyfikacją ISO 37301 jako dowodem należytej staranności i audytami TÜV, Bureau Veritas lub DEKRA co 3 lata - bez 3-tygodniowego pośpiechu i bez ryzyka kar PIP do 30 000 zł, sankcji UODO do 4% obrotu, kar AAI do 60 000 zł, kar GIIF do 5 mln EUR czy kar AI Act do 35 mln EUR lub 7%. Pytanie nie brzmi, czy firmy muszą zbudować compliance HR zgodne z 5 regulacjami równocześnie - terminy są ustalone na 25.09.2024 (sygnaliści), 2.08.2025 (AI Act prohibited), 2.08.2026 (AI Act high-risk), 2027 (CSDDD). Pytanie brzmi, czy w momencie kontroli PIP/UODO/AAI/GIIF/EU AI Office dane będą wiarygodne, audytowalne i zgodne z polskim prawem pracy oraz prawem unijnym.

Tabela mikrodecyzji

Kto decyduje w tym agencie?

15 kroków decyzyjnych, podział według decydenta

34%(5/15)
Silnik reguł
deterministyczne
33%(5/15)
Agent AI
modelowe z poziomem pewności
33%(5/15)
Człowiek
jawnie przypisane
Człowiek
Silnik reguł
Agent AI
Każdy wiersz to decyzja. Rozwiń, aby zobaczyć protokół decyzyjny i możliwość sprzeciwu.
Wyprowadzenie obowiązków compliance z wielkości, sektora i formy prawnej firmy Czy silnik reguł wyprowadza pełną macierz obowiązków compliance (Kanał sygnaliści >50 osób, RAT RODO art. 30 >250 osób, DPIA dla AI/monitoringu, AML dla instytucji obowiązanych, KSH art. 378 dla SA, EBA/GL/2021/04 dla banków, CSDDD od 2027, ESRS dla CSRD)? Silnik reguł Audytor

Macierz reguł deterministyczna oparta na liczbie pracowników, formie prawnej (Sp. z o.o., SA, ASI, oddział), sektorze i klasyfikacji EU AI Act; wyprowadzanie regułowe nie ML dla pełnej audytowalności - nie powinno być miejsca na uznaniowość

Protokół decyzyjny

ID reguły i numer wersji
Dane wejściowe które uruchomiły regułę
Wynik obliczenia i zastosowana formuła

Możliwość sprzeciwu: Tak - zastosowanie reguły weryfikowalne. Sprzeciw przy błędnych danych lub złej wersji reguły.

Możliwość sprzeciwu: Audytor

Przekład regulacji na maszynowo weryfikowalne reguły z wersjonowaniem Czy każda regulacja (Kodeks Pracy, RODO, Ustawa o sygnalistach, AI Act, AML, CSDDD, ESRS, ISO 37301) jest przełożona na sprawdzalne reguły z numerem wersji, okresem obowiązywania i źródłem prawnym? Człowiek Audytor

Przekład regulacji na reguły walidują Compliance Officer, radca prawny i Inspektor Ochrony Danych, bo błąd interpretacyjny zafałszowuje cały system. AI wspiera jedynie jako parser tekstów ustaw - walidacja prawna pozostaje przy człowieku.

Protokół decyzyjny

ID decydenta i rola
Uzasadnienie decyzji
Znacznik czasu i kontekst

Możliwość sprzeciwu: Tak - przez przełożonego, radę zakładową lub formalny sprzeciw.

Możliwość sprzeciwu: Audytor

Klasyfikacja systemów AI w organizacji według EU AI Act Annex III Czy każdy system AI używany w HR (rekrutacja, ocena pracownicza, monitoring, awanse, zwolnienia) jest sklasyfikowany jako: prohibited (zakazany - emotion recognition, social scoring), high-risk (Annex III - rekrutacja/ocena), limited-risk (chatboty - obowiązek transparentności) lub minimal-risk? Agent AI Audytor

Klasyfikację wspiera AI na podstawie opisów systemów i przypadków użycia, ale ostateczna decyzja należy do Compliance Officera i Inspektora Ochrony Danych. Systemy wysokiego ryzyka wymagają rejestracji w bazie EU, oceny FRIA, nadzoru ludzkiego i audytu zgodności.

Protokół decyzyjny

Wersja modelu i wynik pewności
Dane wejściowe i wynik klasyfikacji
Uzasadnienie decyzji (wyjaśnialność)
Ścieżka audytu z pełną identyfikowalnością

Możliwość sprzeciwu: Tak - w pełni udokumentowane, weryfikowalne przez ludzi, sprzeciw przez formalny proces.

Możliwość sprzeciwu: Audytor

FRIA - Fundamental Rights Impact Assessment dla systemów AI wysokiego ryzyka Czy dla każdego systemu AI wysokiego ryzyka (Annex III HR) przeprowadzona jest ocena wpływu na prawa podstawowe: dyskryminacja (art. 18-3a KP, Konstytucja art. 32), prywatność (art. 47 Konstytucji, RODO), godność (art. 30 Konstytucji), z konsultacją Rady Pracowników i Związków Zawodowych? Człowiek Pracownik

AI Act art. 27 wymaga oceny FRIA dla systemów wysokiego ryzyka - przygotowuje ją wieloosobowy zespół (Compliance Officer, Inspektor Ochrony Danych, radca prawny, przedstawiciel pracowników, ekspert AI), a decyzję końcową podejmuje zarząd lub CHRO przed wdrożeniem i przy istotnej zmianie systemu.

Protokół decyzyjny

ID decydenta i rola
Uzasadnienie decyzji
Znacznik czasu i kontekst

Możliwość sprzeciwu: Tak - przez przełożonego, radę zakładową lub formalny sprzeciw.

Możliwość sprzeciwu: Pracownik

DPIA - Ocena Skutków dla Ochrony Danych zgodna z RODO art. 35 Czy DPIA jest przeprowadzona dla wszystkich operacji wysokiego ryzyka: AI w HR, monitoring elektroniczny (art. 22-1 KP), dane biometryczne, profilowanie pracowników, scoring kandydatów, detection emotion (zakazane przez AI Act od 2.08.2025)? Agent AI Audytor

Workflow DPIA wspiera agent (kwestionariusze, identyfikacja ryzyk, ocena środków), a całość waliduje Inspektor Ochrony Danych; przy utrzymującym się wysokim ryzyku konieczna jest konsultacja z UODO (art. 36). Raport DPIA opatrzony jest znacznikiem czasu i podpisami.

Protokół decyzyjny

Wersja modelu i wynik pewności
Dane wejściowe i wynik klasyfikacji
Uzasadnienie decyzji (wyjaśnialność)
Ścieżka audytu z pełną identyfikowalnością

Możliwość sprzeciwu: Tak - w pełni udokumentowane, weryfikowalne przez ludzi, sprzeciw przez formalny proces.

Możliwość sprzeciwu: Audytor

Konfiguracja kanału sygnalistów zgodnego z Ustawą z 14.06.2024 Czy wewnętrzny kanał zgłoszeń jest skonfigurowany: anonimowy, szyfrowany E2E, dostępny 24/7, w języku polskim + językach pracowników, rejestrujący wszystkie zgłoszenia, z 7-dniowym potwierdzeniem i 3-miesięcznym raportem zwrotnym, ochrona przed działaniami odwetowymi (art. 12-15 Ustawy)? Człowiek Pracownik

Konfiguracja kanału wymaga konsultacji z Radą Pracowników (Ustawa z 7.04.2006) i związkami zawodowymi (Ustawa z 23.05.1991) - obowiązkowo dla pracodawców powyżej 50 osób. Wybór platformy (EQS, WhistleB, NAVEX, OneTrust, Convercus) należy do Compliance Officera i zarządu, a brak kanału grozi karą do 60 000 zł i kontrolą AAI.

Protokół decyzyjny

ID decydenta i rola
Uzasadnienie decyzji
Znacznik czasu i kontekst

Możliwość sprzeciwu: Tak - przez przełożonego, radę zakładową lub formalny sprzeciw.

Możliwość sprzeciwu: Pracownik

Ocena ryzyka AML dla instytucji obowiązanych zgodna z Ustawą z 1.03.2018 Czy ocena ryzyka prania pieniędzy jest aktualna (>1x rocznie), zawiera identyfikację beneficjenta rzeczywistego (CRBR), klasyfikację klientów wg ryzyka (low/medium/high), monitoring transakcji podejrzanych z eskalacją do GIIF w 2 dni robocze? Silnik reguł Audytor

Wymagania Ustawy AML deterministyczne dla instytucji obowiązanych (banki, ubezpieczyciele, doradcy podatkowi, kancelarie, biegli rewidenci, pośrednicy nieruchomości); reguły progi transakcji (>15 000 EUR, >1 000 EUR cyfrowe), enchanced due diligence dla high-risk; sankcje do 5 mln EUR/10% obrotu

Protokół decyzyjny

ID reguły i numer wersji
Dane wejściowe które uruchomiły regułę
Wynik obliczenia i zastosowana formuła

Możliwość sprzeciwu: Tak - zastosowanie reguły weryfikowalne. Sprzeciw przy błędnych danych lub złej wersji reguły.

Możliwość sprzeciwu: Audytor

AI Bias Audit dla systemów rekrutacyjnych i oceny pracowniczej Czy systemy AI w HR są audytowane na bias względem chronionych cech (płeć, wiek, niepełnosprawność, narodowość, religia, orientacja - art. 18-3a KP) z metrykami statystycznymi (demographic parity, equal opportunity, predictive parity) i progami akceptowalności? Agent AI Pracownik

AI Act art. 10 wymaga reprezentatywności danych treningowych i monitoringu uprzedzeń. Agent generuje kwartalny raport z testami statystycznymi, a decyzję o korekcie lub wycofaniu modelu podejmują AI Steering Committee, Inspektor Ochrony Danych i Compliance Officer. Wynik audytu trzeba udokumentować dla EU AI Office.

Protokół decyzyjny

Wersja modelu i wynik pewności
Dane wejściowe i wynik klasyfikacji
Uzasadnienie decyzji (wyjaśnialność)
Ścieżka audytu z pełną identyfikowalnością

Możliwość sprzeciwu: Tak - w pełni udokumentowane, weryfikowalne przez ludzi, sprzeciw przez formalny proces.

Możliwość sprzeciwu: Pracownik

Monitoring polityki antymobbingowej i antydyskryminacyjnej (art. 94-3 KP) Czy wewnętrzna polityka antymobbingowa jest aktualna, zaszkolono wszystkich pracowników (rejestr szkoleń art. 226-2 KP), istnieje procedura wyjaśniająca z 30-dniowym terminem, monitorowane są wskaźniki incydentów per departament i kategoria pracownicza? Silnik reguł Pracownik

Kodeks Pracy art. 94-3 wymaga przeciwdziałania mobbingowi, a orzecznictwo SN (II PK 13/19) nakłada ten obowiązek na pracodawcę nawet bez konkretnego zgłoszenia. Reguły obejmują co najmniej jedno szkolenie rocznie, anonimowy kanał, ankiety klimatu i raport ESRS S1-16. Naruszenie grozi postępowaniem przed sądem pracy i odszkodowaniem nie niższym niż minimalne wynagrodzenie za każdy miesiąc dyskryminacji.

Protokół decyzyjny

ID reguły i numer wersji
Dane wejściowe które uruchomiły regułę
Wynik obliczenia i zastosowana formuła

Możliwość sprzeciwu: Tak - zastosowanie reguły weryfikowalne. Sprzeciw przy błędnych danych lub złej wersji reguły.

Możliwość sprzeciwu: Pracownik

Klasyfikacja odchyleń wg matrycy istotności Czy odchylenie jest klasyfikowane: informacja (1 osoba, sporadyczne) / ostrzeżenie (powtarzające się u 1 osoby) / krytyczne (systemowe w dziale, naruszenie KP/RODO/AML) / eskalacja (obowiązek zgłoszenia do PIP/UODO/GIIF/AAI/CBA), z przypisanym terminem reakcji i rolą odpowiedzialną? Silnik reguł Audytor

Macierz istotności deterministyczna, oparta na typie naruszenia, liczbie dotkniętych osób, częstości, ryzyku regulacyjnym; reguły bez AI dla audytowalności; rozróżnienie kluczowe dla kategorii sankcji: PIP do 30 000 zł vs UODO do 4% obrotu vs AML do 5 mln EUR vs AI Act do 35 mln EUR

Protokół decyzyjny

ID reguły i numer wersji
Dane wejściowe które uruchomiły regułę
Wynik obliczenia i zastosowana formuła

Możliwość sprzeciwu: Tak - zastosowanie reguły weryfikowalne. Sprzeciw przy błędnych danych lub złej wersji reguły.

Możliwość sprzeciwu: Audytor

Eskalacja zgłoszenia z konsekwencją do właściwych instytucji Czy odchylenie krytyczne lub eskalacja jest routowane do właściwej kombinacji odbiorców (Compliance Officer, DPO, AML Officer, HR Business Partner, zarząd i Rada Pracowników, a w razie potrzeby PIP, UODO, GIIF, AAI lub CBA) ze znacznikiem czasu i potwierdzeniem odbioru? Silnik reguł Audytor

Reguły eskalacji z matrycy compliance: RODO art. 33 - zgłoszenie UODO w 72h, AML - GIIF w 2 dni, sygnaliści - AAI w 7 dni, AI Act - EU AI Office; zarząd zawsze informowany przy ryzyku >100 000 zł lub reputacyjnym (art. 233 KSH); audit trail z hashem dokumentu

Protokół decyzyjny

ID reguły i numer wersji
Dane wejściowe które uruchomiły regułę
Wynik obliczenia i zastosowana formuła

Możliwość sprzeciwu: Tak - zastosowanie reguły weryfikowalne. Sprzeciw przy błędnych danych lub złej wersji reguły.

Możliwość sprzeciwu: Audytor

Due Diligence łańcucha dostaw zgodnie z CSDDD (od 2027) Czy dla dostawców zidentyfikowano ryzyka praw człowieka i środowiska (praca przymusowa, dzieci, dyskryminacja, BHP, naruszenia środowiska), wprowadzono klauzule kontraktowe, monitoring (audyty SA8000, SMETA, BSCI), procedury naprawy? Człowiek Audytor

CSDDD od 2027 (firmy powyżej 5000 osób lub 1500 mln EUR obrotu) wymaga ludzkiej oceny ryzyka geograficznego (kraje wysokiego ryzyka, m.in. Bangladesz, Kambodża, Mjanma, Erytrea), kontekstowej oceny dostawców oraz decyzji o kontraktowaniu lub zerwaniu współpracy. Agent dostarcza dane (sourcing, audyty, raporty), a decyzję podejmują CFO, Procurement Director i Compliance.

Protokół decyzyjny

ID decydenta i rola
Uzasadnienie decyzji
Znacznik czasu i kontekst

Możliwość sprzeciwu: Tak - przez przełożonego, radę zakładową lub formalny sprzeciw.

Możliwość sprzeciwu: Audytor

Śledzenie naprawy z weryfikacją efektywności Czy działania korygujące (zmiana polityki, szkolenia, korekta procesu, zwolnienie odpowiedzialnego, zgłoszenie do organów) są monitorowane z terminami, ponowna weryfikacja po 30/60/90 dni, dokumentacja dowodów zamknięcia? Agent AI Audytor

Workflow tracking automatyczny, alarmy przy przekroczeniu terminu, ponowna weryfikacja regułowa (re-test); ostateczne zamknięcie incydentu wymaga walidacji Compliance Officer/HR Business Partner; zachowanie pełnego logu zmian dla audit trail

Protokół decyzyjny

Wersja modelu i wynik pewności
Dane wejściowe i wynik klasyfikacji
Uzasadnienie decyzji (wyjaśnialność)
Ścieżka audytu z pełną identyfikowalnością

Możliwość sprzeciwu: Tak - w pełni udokumentowane, weryfikowalne przez ludzi, sprzeciw przez formalny proces.

Możliwość sprzeciwu: Audytor

Pakiet dowodowy dla kontroli PIP, UODO, AAI, GIIF, CBA, KNF, Sąd Pracy, EU AI Office Czy zachowany jest kompletny rekord dla każdego incydentu/audytu: zgłoszenie, klasyfikacja, eskalacja, działania, weryfikacja efektywności, podpisy odpowiedzialnych, znacznik czasu, hash dokumentów źródłowych? Agent AI Audytor

Pakiet dowodowy obsługuje wszystkie organy: PIP (do 30 000 zł, art. 281 KP), UODO (do 4% obrotu lub 20 mln EUR), AAI (do 60 000 zł wraz z odszkodowaniem), GIIF (do 5 mln EUR lub 10% obrotu), CBA (do 10 lat, art. 296 KK), KNF (do 21 mln zł) i AI Act (do 35 mln EUR lub 7%). Tarcza zarządu z KSH art. 233 wymaga udokumentowanego procesu.

Protokół decyzyjny

Wersja modelu i wynik pewności
Dane wejściowe i wynik klasyfikacji
Uzasadnienie decyzji (wyjaśnialność)
Ścieżka audytu z pełną identyfikowalnością

Możliwość sprzeciwu: Tak - w pełni udokumentowane, weryfikowalne przez ludzi, sprzeciw przez formalny proces.

Możliwość sprzeciwu: Audytor

Aktualizacja katalogu obowiązków przy zmianie regulacji i certyfikacja ISO 37301 Czy nowe wymagania regulacyjne (transpozycja AI Act 2.08.2026, CSDDD 2027, zmiany ESRS, nowe orzecznictwo SN) są wdrażane w macierzy reguł, przeprowadzane są kwartalne przeglądy zarządcze ISO 37301, zewnętrzny audit certyfikacyjny co 3 lata? Człowiek Audytor

Nowe wymagania walidują Compliance Officer, Inspektor Ochrony Danych, radca prawny i AI Officer, a następnie propagują je do macierzy reguł i uruchamiają aktualizację polityki. ISO 37301 jest ramą należytej staranności zarządu (KSH art. 233), a audyt zewnętrzny TÜV, Bureau Veritas lub DEKRA dostarcza dowód compliance dla kontroli organów.

Protokół decyzyjny

ID decydenta i rola
Uzasadnienie decyzji
Znacznik czasu i kontekst

Możliwość sprzeciwu: Tak - przez przełożonego, radę zakładową lub formalny sprzeciw.

Możliwość sprzeciwu: Audytor

Protokół decyzyjny i prawo do sprzeciwu

Każda decyzja, którą ten agent podejmuje lub przygotowuje, jest dokumentowana w pełnym protokole decyzyjnym. Dotknięci pracownicy mogą przeglądać, rozumieć i kwestionować każdą pojedynczą decyzję.

Jaka reguła w jakiej wersji została zastosowana?
Na jakich danych oparto decyzję?
Kto (człowiek, silnik reguł czy AI) zdecydował - i dlaczego?
Jak osoba dotknięta może złożyć sprzeciw?
Jak Decision Layer wymusza to architektonicznie →

Czy ten agent pasuje do Twojego procesu?

Analizujemy Twój konkretny proces i pokazujemy, jak ten agent wpisuje się w Twój krajobraz systemowy. 30 minut, bez przygotowania.

Przeanalizować proces

Uwagi dotyczące governance

EU AI Act: Niskie ryzyko

Agent nie jest systemem wysokiego ryzyka w rozumieniu EU AI Act - monitoruje zgodność procesów, nie zachowanie pracowników. Granica między monitoringiem procesów (limity czasu pracy, workflow zatwierdzeń, reguły retencji) a nadzorem pracowniczym (śledzenie aktywności, profilowanie, wydajność) musi być jasno wyznaczona i utrzymana. Wprowadzenie systemów monitoringu wymaga konsultacji z Radą Pracowników (Ustawa z 7.04.2006) i związkami zawodowymi (Ustawa z 23.05.1991), a zakres, sposób obsługi odchyleń i adresat alertów dokumentuje się w porozumieniu.

RODO ma pełne zastosowanie - dane compliance HR (zgłoszenia mobbingu, dyskryminacji, naruszeń, audyty uprzedzeń AI) są szczególnie wrażliwe (RODO art. 9). Wymagana jest podstawa prawna: obowiązek prawny dla raportowania (art. 6 ust. 1 lit. c) albo prawnie uzasadniony interes pracodawcy z testem proporcjonalności (lit. f). Rejestr czynności przetwarzania (art. 30) jest obowiązkowy, a ocena DPIA (art. 35) konieczna dla AI w HR, monitoringu i danych biometrycznych. Anonimizacja w raportach grupowych musi spełniać k-anonymity (min. 5 osób). UODO sięga 4% obrotu globalnego lub 20 mln EUR.

Ustawa o ochronie sygnalistów z 14.06.2024 jest bezwzględna dla pracodawców powyżej 50 osób: obowiązkowy kanał wewnętrzny od 25.09.2024, ochrona przed działaniami odwetowymi (art. 12-15 - zwolnienie, zmiana warunków pracy, mobbing, dyskryminacja, znieważanie skutkują nieważnością czynności i odszkodowaniem min. 12-krotności minimalnego wynagrodzenia), kary do 60 000 zł oraz odpowiedzialność subsydiarna zarządu. Rejestr i kontrole prowadzi Niezależny Organ Ochrony Sygnalistów (AAI).

EU AI Act 2024/1689 wprowadza klasyfikację ryzyka i obowiązki użytkownika (art. 26): wewnętrzny zarząd, monitoring, audyt, nadzór ludzki, transparentność oraz FRIA dla systemów wysokiego ryzyka. Annex III obejmuje rekrutację, ocenę pracowniczą, awanse i zwolnienia jako wysokie ryzyko - wymaga rejestracji w bazie EU, oznakowania CE, monitoringu po wprowadzeniu na rynek i raportowania incydentów. Sankcje (art. 99): do 35 mln EUR lub 7% obrotu globalnego za praktyki zakazane (od 2.08.2025), do 15 mln EUR lub 3% za naruszenia przy systemach wysokiego ryzyka (od 2.08.2026).

Wymogi governance są znaczne (governance score 55-62) - agent buduje fundament audytowalności dla wszystkich agentów wysokiego ryzyka (Candidate Screening, Performance Review, People Analytics, Promotion). Decyzje compliance pozostają przy Compliance Officerze, Inspektorze Ochrony Danych, AML Officerze, AI Officerze i zarządzie, a agent dostarcza analizę, klasyfikację, eskalację i dokumentację. Tarcza zarządu z KSH art. 233 wymaga udokumentowanego procesu decyzyjnego, którego dowodem jest certyfikacja ISO 37301 oraz audyty TÜV, Bureau Veritas lub DEKRA co 3 lata.

Panel wyników

Agent Readiness 64-71%
Governance Complexity 51-58%
Economic Impact 58-65%
Lighthouse Effect 41-48%
Implementation Complexity 44-51%
Wolumen transakcji Codziennie

Wymagania wstępne

  • Polityka compliance zatwierdzona przez zarząd (KSH art. 233) z mapowaniem na ISO 37301 + ISO 37001 + ISO 27001 + ISO 45001, regulamin pracy (art. 94 KP >50 osób), polityka antymobbingowa (art. 94-3 KP), polityka równego traktowania (art. 18-3a KP)
  • Rejestr Czynności Przetwarzania (RAT) zgodny z RODO art. 30 + Ustawą z 10.05.2018, prowadzony przez DPO (Inspektor Ochrony Danych - obowiązkowy dla podmiotów publicznych i przy systematycznym przetwarzaniu danych pracowniczych)
  • Wewnętrzny kanał zgłoszeń sygnalistów zgodny z Ustawą z 14.06.2024 (anonimowy, szyfrowany E2E, 24/7, polski + języki pracowników, 7-dniowe potwierdzenie, 3-miesięczny raport zwrotny, ochrona przed działaniami odwetowymi)
  • Klasyfikacja systemów AI używanych w HR według EU AI Act (prohibited/high-risk Annex III/limited-risk/minimal-risk) z FRIA dla wszystkich high-risk systemów
  • DPIA dla wszystkich operacji wysokiego ryzyka (RODO art. 35): AI w HR, monitoring elektroniczny art. 22-1 KP, dane biometryczne, profilowanie, scoring kandydatów, automatyczne decyzje (RODO art. 22)
  • Polityka AML dla instytucji obowiązanych zgodna z Ustawą z 1.03.2018: ocena ryzyka, identyfikacja beneficjenta rzeczywistego (CRBR), monitoring transakcji, AML Officer, szkolenia obowiązkowe
  • Wewnętrzne dane operacyjne z systemów HR (Comarch ERP HR, Symfonia, enova365, WAPRO, SAP SuccessFactors, Workday, Personio) z anonimizacją zgodną z RODO art. 32
  • Procedura konsultacji z Radą Pracowników (Ustawa z 7.04.2006) i Związkami Zawodowymi (Ustawa z 23.05.1991) dla wprowadzania monitoringu, polityki AI, FRIA
  • Polityka retencji dokumentów compliance: akta osobowe 10 lat (po 1.01.2019), księgi rachunkowe 5 lat, RAT/DPIA bezterminowo do zakończenia operacji, sygnaliści min. 5 lat zgodnie z Ustawą, AML 5 lat
  • Integracja z Compensation Benchmarking Agent (luka płacowa), Promotion Process Agent, Performance Review Documentation Agent, Candidate Screening Agent (struktura compliance jako fundament wszystkich procesów HR)

Co zawiera ta ocena: 9 slajdów dla Twojego zespołu kierowniczego

Spersonalizowana z Twoimi danymi. Wygenerowana w 2 minuty w przeglądarce. Bez przesyłania, bez logowania.

  1. 1

    Strona tytułowa - Nazwa procesu, punkty decyzyjne, potencjał automatyzacji

  2. 2

    Podsumowanie - Uwolnione FTE, koszt na transakcję, data progu rentowności

  3. 3

    Stan obecny - Wolumen transakcji, koszty błędów, scenariusz wzrostu

  4. 4

    Architektura rozwiązania - Człowiek - silnik reguł - agent AI

  5. 5

    Governance - EU AI Act, rada zakładowa/GoBD, ścieżka audytu

  6. 6

    Analiza ryzyka - 5 ryzyk z prawdopodobieństwem i środkami zaradczymi

  7. 7

    Mapa drogowa - Plan 3-fazowy z konkretnymi datami

  8. 8

    Business case - Porównanie 3 scenariuszy plus matryca wrażliwości

  9. 9

    Propozycja dyskusji - Konkretne kolejne kroki

Zawiera: porównanie 3 scenariuszy

Brak działania vs. nowe zatrudnienie vs. automatyzacja - z Twoim poziomem wynagrodzeń, Twoją stopą błędów i Twoim planem wzrostu.

Pokaż metodologię obliczeń

Hourly rate: Annual salary (your input) × 1.3 employer burden ÷ 1,720 annual work hours

Savings: Transactions × 12 × automation rate × minutes/transaction × hourly rate × economic factor

Quality ROI: Error reduction × transactions × 12 × EUR 260/error (APQC Open Standards Benchmarking)

FTE: Saved hours ÷ 1,720 annual work hours

Break-Even: Benchmark investment ÷ monthly combined savings (efficiency + quality)

New hire: Annual salary × 1.3 + EUR 12,000 recruiting per FTE

Wszystkie dane pozostają w Twojej przeglądarce. Nic nie jest przesyłane na serwer.

Agent monitorowania zgodności HR

Initial assessment for your leadership team

A thorough initial assessment in 2 minutes - with your numbers, your risk profile and industry benchmarks. No vendor logo, no sales pitch.

All data stays in your browser. Nothing is transmitted.

Agent Blueprint dostępny

Dostępny jest pełny blueprint Agent monitorowania zgodności HR z rozkładem mikrodecyzji, wariantami branżowymi i szczegółami implementacji.

Zobacz blueprint

Powiązani agenci

Employee Relations Case Agent

Postępowania dyscyplinarne, mobbing i sygnaliści - dokumentacja odporna na art. 264 KP.

W D
Readiness: 40-47%
Economic: 42-49%
Governance: 78-85%
Mikrodecyzje: 15
Tygodniowo

Policy Document Agent

Z 60 wersji PDF do jednego źródła prawdy: centralne polityki HR z konsultacją Rady Pracowników, weryfikacją zgodności z RODO i Ustawą o sygnalistach oraz audytowalnym śladem dla biegłego rewidenta.

D K
Readiness: 68-75%
Economic: 46-53%
Governance: 44-51%
Mikrodecyzje: 15
Tygodniowo

Works Council Coordination Agent

Strukturyzacja dialogu z Radą Zakładową - terminy dotrzymane, dokumentacja kompletna.

D W
Readiness: 56-63%
Economic: 38-45%
Governance: 61-68%
Mikrodecyzje: 8
Miesięcznie

Często zadawane pytania

Co konkretnie zmienia Ustawa o ochronie sygnalistów z 14.06.2024 dla polskich pracodawców?

Ustawa transponuje Dyrektywę UE 2019/1937 i wprowadza pięć fundamentalnych obowiązków. Po pierwsze: pracodawcy zatrudniający >=50 osób muszą prowadzić wewnętrzny kanał zgłoszeń od 25.09.2024 - anonimowy lub poufny, dostępny 24/7 w języku polskim oraz językach pracowników, szyfrowany E2E, z 7-dniowym potwierdzeniem zgłoszenia i 3-miesięcznym raportem zwrotnym o podjętych działaniach. Po drugie: ochrona przed działaniami odwetowymi (art. 12-15) - zakaz zwolnienia, zmiany warunków pracy, mobbingu, dyskryminacji, znieważania, ujawnienia tożsamości sygnalisty; czynności prawne odwetowe są nieważne, sygnalista ma prawo do odszkodowania min. 12-krotność minimalnego wynagrodzenia (2025: 55 992 zł). Po trzecie: zewnętrzny kanał AAI (Niezależna Autoritate Ochrony Sygnalistów), do którego sygnalista może zgłosić naruszenia bez wykorzystywania kanału wewnętrznego, jeśli ten nie istnieje lub jest nieskuteczny. Po czwarte: zakres przedmiotowy obejmuje naruszenia prawa: zamówienia publiczne, usługi finansowe, bezpieczeństwo produktów, transport, środowisko, zdrowie publiczne, prywatność i dane osobowe, bezpieczeństwo sieci i systemów informatycznych, podatki, ochrona finansowych interesów UE, rynek wewnętrzny, prawa pracownicze. Po piąte: sankcje - kary do 60 000 zł za brak kanału lub utrudnianie zgłoszeń, odpowiedzialność subsydiarna zarządu (KSH art. 233), zwolnienie z pracy w odwecie nullifikowane przez Sąd Pracy. Agent automatyzuje konfigurację kanału, anonimizację, terminy potwierdzeń, eskalacje do AAI, raportowanie.

Jak agent klasyfikuje systemy AI według EU AI Act i obsługuje FRIA?

EU AI Act 2024/1689 dzieli systemy na cztery kategorie ryzyka, z których dla HR kluczowe są dwie: praktyki zakazane (od 2.08.2025 - m.in. rozpoznawanie emocji w pracy, scoring społeczny) oraz wysokie ryzyko z Annex III pkt 4 (od 2.08.2026 - rekrutacja, ocena pracownicza, awanse, zwolnienia, monitoring wydajności). Dla systemów wysokiego ryzyka pracodawca jako deployer ma obowiązki z art. 26: nadzór człowieka, reprezentatywność danych, dokumentację techniczną, monitoring po wprowadzeniu na rynek, raportowanie incydentów oraz ocenę wpływu na prawa podstawowe FRIA (art. 27) przed wdrożeniem i przy każdej istotnej zmianie. FRIA odpowiada na pytania o zagrożone prawa podstawowe (równość z art. 18-3a KP i Konstytucji art. 32, prywatność z art. 47), kategorie dotkniętych osób, okres użytkowania, środki minimalizacji ryzyka oraz sposób konsultacji z przedstawicielami pracowników. Sankcje sięgają 35 mln EUR lub 7 procent obrotu globalnego za praktyki zakazane oraz 15 mln EUR lub 3 procent za naruszenia przy systemach wysokiego ryzyka. Agent prowadzi workflow FRIA (kwestionariusze, identyfikacja ryzyk, ocena środków, dokumentacja konsultacji), a decyzję końcową podejmuje zarząd wspólnie z CHRO, Compliance Officerem, DPO i radcą prawnym.

Jak agent obsługuje DPIA zgodnie z RODO art. 35 dla operacji HR?

DPIA (Ocena Skutków dla Ochrony Danych) jest obowiązkowa zgodnie z RODO art. 35 dla operacji wysokiego ryzyka. UODO publikuje listę operacji wymagających DPIA: monitoring elektroniczny pracowników (art. 22-1 KP - GPS, kamery, monitoring poczty/Internetu), dane biometryczne (linie papilarne, rozpoznawanie twarzy - tylko za zgodą lub dla kontroli dostępu), profilowanie pracowników i kandydatów, automatyczne decyzje wpływające na pracownika (RODO art. 22 - rekrutacja, awanse, zwolnienia bez ludzkiego udziału), AI w HR (rekrutacja, ocena, monitoring), dane szczególnie wrażliwe (zdrowie, religia, orientacja seksualna, członkostwo związkowe), big data analiza pracowników, rozpoznawanie emocji (zakazane przez AI Act od 2.08.2025), systemy oceny lojalności, dane biometryczne wykorzystywane do identyfikacji. Workflow DPIA: (1) opis operacji - cel, podstawa prawna, kategorie danych, kategorie osób, odbiorcy, transfery, retencja, środki bezpieczeństwa; (2) ocena niezbędności i proporcjonalności - czy cel można osiągnąć mniej inwazyjnym środkiem; (3) ocena ryzyka dla praw i wolności - prawdopodobieństwo i waga, scenariusze naruszenia (utrata poufności, integralności, dostępności); (4) środki minimalizacji ryzyka - techniczne (szyfrowanie, pseudonimizacja, kontrola dostępu), organizacyjne (polityki, szkolenia, audyt); (5) konsultacja z DPO + Radą Pracowników + Związkami Zawodowymi; (6) decyzja - akceptacja ryzyka lub konsultacja z UODO (art. 36 - residual high risk). Agent automatyzuje kwestionariusze, identyfikuje ryzyka, sugeruje środki, dokumentuje proces, generuje raport DPIA gotowy dla UODO; ostateczna walidacja przy DPO.

Jakie obowiązki AML mają polskie firmy zgodnie z Ustawą z 1.03.2018 i jak agent je wspiera?

Ustawa o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu z 1.03.2018 nakłada obowiązki na 'instytucje obowiązane' (art. 2): banki, SKOK, ubezpieczyciele, TFI, domy maklerskie, kantory, doradcy podatkowi, biegli rewidenci, księgowi, kancelarie prawne, pośrednicy nieruchomości, dealerzy luksusu, kasyna, fundacje rodzinne, dostawcy usług wirtualnych walut. Główne obowiązki: (1) ocena ryzyka prania pieniędzy - aktualizowana minimum rocznie, klasyfikuje klientów na low/medium/high risk; (2) identyfikacja klienta i beneficjenta rzeczywistego (CRBR - Centralny Rejestr Beneficjentów Rzeczywistych prowadzony przez MF) - wszystkie spółki muszą zgłaszać swoich beneficjentów rzeczywistych, kary za brak zgłoszenia do 1 mln zł; (3) due diligence kontekstowy: standard (>15 000 EUR transakcje, każdy klient), enhanced (high-risk - PEPs, kraje wysokiego ryzyka, transakcje skomplikowane); (4) monitoring transakcji w czasie rzeczywistym - alarmy na progach (>15 000 EUR, >1 000 EUR cyfrowe, >10 000 EUR gotówka); (5) zgłoszenie transakcji podejrzanej do GIIF w ciągu 2 dni roboczych przez system EFE; (6) archiwizacja 5 lat dla wszystkich danych klienta, transakcji, dokumentów due diligence; (7) wewnętrzny system kontroli - AML Officer obowiązkowy, polityka AML, szkolenia obowiązkowe, niezależne audyty; (8) ochrona zgłaszającego (whistleblower) zgodnie z Ustawą z 14.06.2024. Sankcje: do 5 mln EUR lub 10% obrotu rocznego za naruszenia administracyjne, do 5 lat pozbawienia wolności za udział w praniu pieniędzy (Kodeks Karny art. 299), zakaz prowadzenia działalności. Agent automatyzuje ocenę ryzyka, monitoring transakcji z regułami progowymi, generowanie raportów EFE do GIIF, dokumentację due diligence, alarmy compliance dla AML Officera; integracja z bankowymi systemami (Comarch ERP, Symfonia, KSeF).

Jak agent przygotowuje firmę na CSDDD (Corporate Sustainability Due Diligence Directive) od 2027?

EU CSDDD (Dyrektywa 2024/1760) zobowiązuje duże firmy do due diligence praw człowieka i środowiska w łańcuchu dostaw, pod rygorem kar do 5 procent obrotu netto, odpowiedzialności cywilnej i wykluczenia z zamówień publicznych. Obowiązuje stopniowo: od 2027 firmy powyżej 5000 pracowników lub 1500 mln EUR obrotu, od 2028 powyżej 3000 osób lub 900 mln, od 2029 powyżej 1000 osób lub 450 mln. Istota obowiązku to identyfikacja rzeczywistych i potencjalnych negatywnych skutków we własnych operacjach oraz u dostawców bezpośrednich i pośrednich, ich zapobieganie i łagodzenie (plany działań, klauzule kontraktowe, monitoring), naprawa skutków rzeczywistych aż po zerwanie współpracy w ostateczności, mechanizm skarg dla osób dotkniętych oraz roczny raport publiczny zintegrowany z CSRD. Zakres obejmuje prawa człowieka (praca przymusowa, praca dzieci, dyskryminacja, BHP, wolność zrzeszania) oraz środowisko. Agent buduje rejestr dostawców z mapowaniem ryzyka geograficznego (kraje wysokiego ryzyka), klauzulami kontraktowymi i audytami (SA8000, SMETA, BSCI), a mechanizm skarg integruje z kanałem sygnalistów z Ustawy z 14.06.2024 i raportowaniem CSRD ESRS G1 oraz S1-16; decyzja o kontraktowaniu lub zerwaniu współpracy pozostaje przy CFO, Procurement Directorze, Compliance Officerze i zarządzie.

Jak agent integruje się z polskimi systemami compliance (Comarch, Symfonia, EQS, ServiceNow GRC, OneTrust)?

Agent integruje się z polskim ekosystemem compliance przez API, łącząc kilka warstw narzędzi. Po stronie ERP/HR z modułem compliance są to systemy Comarch, Symfonia (z oceną DPIA dla RODO), enova365 (ewidencja zgód i kanały sygnalistów) oraz Asseco WAPRO. Polskie oddziały grup międzynarodowych korzystają z SAP SuccessFactors Compliance wraz z SAP GRC (m.in. Volkswagen Poznań, Stellantis Tychy, BMW Wrocław - z modułem AI Act, RODO i FRIA), Workday Risk Management oraz Personio. Dedykowane platformy GRC to ServiceNow GRC jako lider audytowy (automatyzacja DPIA, FRIA, rejestr ryzyk AI Act) oraz RSA Archer, MetricStream i LogicGate w segmencie enterprise. Kanały sygnalistów zgodne z Ustawą z 14.06.2024 zapewniają EQS Group, WhistleB, Convercus i NAVEX EthicsPoint, ochronę prywatności i AI Governance - OneTrust, a szkolenia compliance - KnowBe4; uzupełniają je polskie startupy (Trafika Bezpieczeństwa, Cybea, Sealed Compliance). Mapowanie danych jest dwukierunkowe: zmiana polityki w GRC propaguje do macierzy reguł agenta, a nowe orzecznictwo SN, wytyczne UODO i aktualizacje AI Act odświeżają katalogi obowiązków; raporty CSRD ESRS S1-16, S1-17 i G1 powstają z danych incydentów z anonimizacją statystyczną (k-anonymity, min. 5 osób). Pakiet dowodowy dla organów jest gotowy w 4 godziny zamiast 3 tygodni.

Co dalej?

1

30 minut

Pierwsza rozmowa

Analizujemy Twój proces i identyfikujemy optymalny punkt startowy.

2

1 tydzień

Discover

Mapowanie logiki decyzyjnej. Reguły udokumentowane, Decision Layer zaprojektowany.

3

3-4 tygodnie

Build

Produkcyjny agent w Twojej infrastrukturze. Governance, audit trail, cert-ready od dnia 1.

4

12-18 miesięcy

Samodzielność

Pełny dostęp do kodu źródłowego, promptów i wersji reguł. Bez vendor lock-in.

Wdrożyć tego agenta?

Oceniamy Twój krajobraz procesowy i pokazujemy, jak ten agent pasuje do Twojej infrastruktury.