Bank który używa agenta do udzielania odpowiedzi na pytania kredytowe musi przestrzegać tych samych regulacji co doradca ludzki. Ubezpieczyciel który używa agenta do oceny ryzyka musi dokumentować podstawę tej oceny tak samo jak ekspert ludzki. Lekarz który deleguje diagnozę agentowi — nie deleguje odpowiedzialności.
Compliance nie znika gdy akcję wykonuje agent. Przesuwa się na operatora systemu agentowego.
Czym jest agent compliance
Agent compliance to zapewnienie że agenty AI działające w organizacji spełniają wszystkie obowiązujące regulacje prawne, branżowe i wewnętrzne — obejmujące zgodność z AI Act UE (wymagania dla systemów wysokiego ryzyka), GDPR (przetwarzanie danych osobowych), regulacjami branżowymi (KNF dla finansów, NFZ dla zdrowia) i wewnętrznymi politykami firmy — z dokumentacją i audytowalnym śladem działań agenta.
AI Act a agenty enterprise
AI Act UE (stosowany od 2025-2026 w fazach) definiuje systemy AI wysokiego ryzyka — w tym systemy używane do decyzji kredytowych, rekrutacji, oceny ryzyka ubezpieczeniowego, diagnostyki medycznej. Agenty które podejmują lub wpływają na takie decyzje są systemami wysokiego ryzyka z konkretnymi wymaganiami.
Wymagania dla systemów wysokiego ryzyka: rejestracja w bazie danych EU AI (od Marca 2026), dokumentacja techniczna, system zarządzania ryzykiem, dane treningowe pod kontrolą, audit trail każdej decyzji, ludzki nadzór (human-in-the-loop), transparentność wobec osób których decyzja dotyczy.
GDPR compliance dla agentów
Gdy agent przetwarza dane osobowe — jest podmiotem przetwarzającym lub administratorem w rozumieniu GDPR. Firma która wdrożyła agenta jest administratorem. OpenAI/Microsoft jako provider modelu jest procesorem.
Umowa powierzenia przetwarzania (DPA) z providerem modelu jest obowiązkowa. Microsoft oferuje DPA dla Azure OpenAI Service. OpenAI ma DPA dla enterprise klientów. Bez DPA — firma narusza GDPR używając API OpenAI do przetwarzania danych osobowych klientów.
Branżowe regulacje
Sektor finansowy (bankowość, ubezpieczenia): EBA Guidelines on AI, rekomendacje KNF, MiFID II dla doradztwa inwestycyjnego. Agent udzielający porad finansowych musi być traktowany jak system objęty tymi regulacjami.
Healthcare: RODO dla danych medycznych (szczególna kategoria), regulacje MDR dla wyrobów medycznych jeśli agent wpływa na diagnozę, wymogi NFZ. Agent który sugeruje diagnozę lub leczenie wchodzi w obszar regulowanego wyrobu medycznego.
Prawo pracy: agent używany do rekrutacji, oceny pracowników lub zwolnień — AI Act wysokiego ryzyka, zakaz dyskryminacyjnych decyzji, wymóg transparentności wobec pracownika.