Legalne używanie AI w firmie: jak działać zgodnie z AI Act i wewnętrzną polityką AI

Brak zasad korzystania z AI w firmie szybko kończy się wyciekiem danych, chaosem decyzyjnym i ryzykiem naruszeń prawa. Regulacja AI Act porządkuje ten obszar, ale nie zastępuje praktycznej polityki firmowej i codziennych procedur.

Dlaczego temat jest „tu i teraz”

W większości organizacji AI już działa w tle: pracownicy streszczają dokumenty, poprawiają oferty, analizują pliki, przygotowują komunikację z klientami, automatyzują raporty. Problem zaczyna się wtedy, gdy firma nie kontroluje, jakie narzędzia są używane, do jakich danych mają dostęp i kto odpowiada za jakość wyników.

AI Act (unijne rozporządzenie o sztucznej inteligencji) wprowadza podejście oparte na ryzyku. Nie zakazuje AI jako takiej. Ustawia zasady dla dostawców i użytkowników (w AI Act: „deployers”, najczęściej po polsku „podmioty stosujące”), a część obowiązków dotyczy także zwykłych firm korzystających z narzędzi AI w procesach.

Dobrze zaprojektowana polityka korzystania z AI sprawia, że organizacja może bezpiecznie używać narzędzi generatywnych i automatyzacji, a jednocześnie ograniczać ryzyka prawne, reputacyjne i operacyjne.

Co w praktyce oznacza AI Act dla firmy korzystającej z AI

Podejście oparte na ryzyku

AI Act dzieli zastosowania na kategorie ryzyka, a obowiązki rosną wraz z ryzykiem dla ludzi i procesów:

• Praktyki zakazane (unacceptable risk): nie wolno ich stosować.
• Wysokie ryzyko (high-risk): można stosować, ale pod ścisłymi warunkami (zarządzanie ryzykiem, dokumentacja, nadzór, jakość danych, testy, rejestry, procedury).
• Ograniczone ryzyko (limited risk): głównie obowiązki przejrzystości (np. informowanie, że treść jest generowana przez AI, albo że rozmowa odbywa się z chatbotem).
• Minimalne ryzyko: brak specjalnych obowiązków z AI Act, ale nadal obowiązują inne przepisy (RODO, prawo autorskie, tajemnice przedsiębiorstwa, regulacje branżowe).

Harmonogram wdrażania przepisów, który ma znaczenie dla zarządu

AI Act wszedł w życie 1 sierpnia 2024 r., a pełne stosowanie zasadniczej części przepisów następuje 2 sierpnia 2026 r., z wyjątkami istotnymi dla firm. Już wcześniej zaczęły obowiązywać m.in. zakazy określonych praktyk oraz obowiązek dbania o kompetencje w zakresie AI (AI literacy), a od 2 sierpnia 2025 r. weszły w zastosowanie obowiązki dotyczące modeli ogólnego przeznaczenia (GPAI). W lutym 2026 r. firma powinna zakładać, że „okres przejściowy” nie jest czasem na luźne eksperymenty, tylko na uporządkowanie zasad, zanim dojdą pełne obowiązki dla wielu systemów.

W praktyce oznacza to, że polityka AI i rejestr zastosowań powinny działać już teraz, bo pozwalają wykazać „należytą staranność” i minimalizować ryzyka jeszcze przed pełną egzekucją części wymogów.

Czy firma może legalnie używać ChatGPT i podobnych narzędzi

Używanie narzędzi generatywnych w firmie jest co do zasady legalne, pod warunkiem spełnienia trzech warstw wymagań:

1. Wymagania AI Act zależne od ryzyka i roli firmy
   Firma zwykle jest „podmiotem stosującym” (deployer). Jeśli tworzy własne rozwiązanie lub modyfikuje je w sposób istotny, może wejść w rolę dostawcy i mieć więcej obowiązków.
2. Zasady ochrony danych i poufności
   RODO i tajemnice przedsiębiorstwa obowiązują niezależnie od AI Act. Nie wolno wklejać do publicznych narzędzi danych, których firma nie powinna ujawniać, ani danych osobowych bez podstawy prawnej i kontroli.
3. Wewnętrzna polityka i procedury
   Nawet najlepsze narzędzie jest ryzykiem, jeśli organizacja nie ma jasnych zasad: dozwolone zastosowania, dozwolone dane, akceptowane modele, proces akceptacji, kontrola jakości, logowanie i reakcja na incydenty.

Elementy polityki korzystania z AI, które realnie chronią firmę

Poniżej znajduje się sprawdzony szkielet polityki AI dla organizacji, która chce działać zgodnie z AI Act i jednocześnie umożliwić zespołom produktywne wykorzystanie AI.

1) Rejestr zastosowań AI w firmie

Polityka zaczyna się od widoczności. Rejestr to prosta lista przypadków użycia, obejmująca:

• nazwa procesu i cel (np. „streszczanie korespondencji”, „klasyfikacja zgłoszeń”, „generowanie projektów ofert”)
• narzędzie/model (dostawca, wersja, integracje)
• rodzaje danych wejściowych i wyjściowych
• wpływ na ludzi (klient, pracownik, obywatel) oraz konsekwencje błędu
• poziom ryzyka (robocza klasyfikacja: minimalne/ograniczone/wysokie/zakazane)
• właściciel biznesowy i IT, data przeglądu

Taki rejestr jest podstawą do wykazania kontroli i do priorytetyzacji działań zgodnościowych.

2) Zasady danych: co wolno, a czego nie wolno wprowadzać do AI

Najczęstsze źródło problemów to dane. Polityka powinna wprost określać:

• zakaz wprowadzania do narzędzi zewnętrznych danych poufnych, tajemnic przedsiębiorstwa, danych objętych NDA oraz danych osobowych, jeśli narzędzie i proces nie są zatwierdzone
• kategorie danych dopuszczalnych (np. dane publiczne, anonimizowane, syntetyczne, wewnętrzne „bezpieczne”)
• zasady anonimizacji/pseudonimizacji
• minimalizację danych, retencję, zasady logowania
• wymagania dla dostawców (lokalizacja przetwarzania, brak trenowania na danych klienta, opcje wyłączenia retencji, umowy powierzenia, audytowalność)

W projektach szkoleniowych, które realizujemy, ta sekcja przynosi najszybszy efekt, bo ogranicza niekontrolowane „wklejanie” wrażliwych treści do narzędzi.

3) Standard przejrzystości i komunikacji

Dla części zastosowań AI Act wymaga przejrzystości. W praktyce warto wdrożyć firmowy standard:

• oznaczanie treści generowanych przez AI w komunikacji wewnętrznej, a w określonych przypadkach również zewnętrznej
• informowanie, że klient rozmawia z chatbotem, jeśli to chatbot obsługuje kontakt
• zasady używania syntetycznych obrazów/wideo/głosu i minimalny standard weryfikacji, aby unikać wprowadzania w błąd

To ogranicza ryzyko reklamacyjne, reputacyjne i konflikt z działem prawnym lub compliance.

4) Kontrola jakości: człowiek odpowiada za wynik

Polityka musi jasno stwierdzać, że:

• AI jest narzędziem wspierającym, a nie „autorem odpowiedzialnym”
• w procesach o istotnych skutkach (np. decyzje kadrowe, kredytowe, świadczenia, ocena pracownika) wymagany jest nadzór człowieka, a krytyczne elementy decyzji nie mogą opierać się wyłącznie na generacji lub niezweryfikowanej rekomendacji
• obowiązują minimalne standardy weryfikacji: sprawdzenie faktów, źródeł, liczb, spójności z dokumentami firmowymi

W praktyce warto wprowadzić proste checklisty dla działów: sprzedaży, HR, finansów, administracji, obsługi klienta.

5) Klasyfikacja ryzyka i ścieżka akceptacji

Firma potrzebuje prostej ścieżki „od pomysłu do wdrożenia”:

• zastosowania minimalnego ryzyka: dopuszczone na podstawie zasad ogólnych
• zastosowania ograniczonego ryzyka: wymagają oznaczeń i standardu przejrzystości
• potencjalnie wysokiego ryzyka: wymagają oceny prawnej i technicznej, dokumentacji, testów, monitoringu, procedury incydentów
• zastosowania niedopuszczalne: zakazane w polityce z krótkim opisem przykładów

Dzięki temu biznes ma jasność, co wolno uruchamiać szybko, a co wymaga projektu wdrożeniowego.

6) Bezpieczeństwo: dostęp, tożsamość, logi, integracje

Polityka AI powinna być spójna z cyberbezpieczeństwem:

• SSO/MFA dla narzędzi AI, kontrola kont i ról
• logowanie użycia i dostępów w systemach firmowych
• zasady wtyczek, rozszerzeń i integracji, które mogą „wyciągać” dane z poczty, CRM, dysków
• testy podatności i ocena ryzyka dostawcy dla narzędzi wdrażanych szeroko

7) AI literacy: kompetencje pracowników jako wymóg, a nie benefit

AI Act wprost wskazuje na konieczność zapewnienia „wystarczającego poziomu kompetencji AI” dla osób używających systemów AI w organizacji. W praktyce firmowej warto zdefiniować:

• minimalny program dla wszystkich: zasady danych, poufność, typowe błędy modeli, weryfikacja, odpowiedzialność
• programy dla ról: administracja, HR, sprzedaż, analityka, IT, zarząd
• wewnętrzne materiały referencyjne: krótkie standardy, przykłady poprawnych i błędnych użyć

Z doświadczeń organizacji wynika, że samo wprowadzenie narzędzia bez szkolenia zwiększa liczbę incydentów oraz obniża jakość dokumentów, mimo pozornego wzrostu szybkości.

Najczęstsze błędy firm przy wdrażaniu AI i jak ich uniknąć

• Polityka jako dokument „na półkę”
  Polityka działa wtedy, gdy jest wsparta rejestrem zastosowań, procesem akceptacji i krótkimi instrukcjami dla działów.
• Jedna zasada dla wszystkich narzędzi
  Inne ryzyko ma publiczny chatbot, inne narzędzie w wersji firmowej z umową i wyłączonym trenowaniem na danych, a jeszcze inne własny model uruchomiony lokalnie.
• Brak właściciela biznesowego
  Każde zastosowanie AI potrzebuje właściciela procesu, który odpowiada za cel, jakość i zgodność.
• Brak standardu weryfikacji
  Jeśli firma nie uczy weryfikacji wyników, rośnie ryzyko błędów, które trafiają do klientów, urzędów lub do decyzji wewnętrznych.

Podsumowanie

Legalne używanie AI w firmie jest możliwe i w wielu branżach staje się standardem operacyjnym. AI Act nie blokuje innowacji, tylko wymusza zarządzanie ryzykiem, przejrzystość i kompetencje. Najbezpieczniejsza droga to połączenie dwóch elementów: zrozumienia wymagań AI Act oraz wdrożenia praktycznej polityki AI, która reguluje narzędzia, dane, odpowiedzialność, jakość i bezpieczeństwo.

W firmach, które wdrażają AI w sposób uporządkowany, polityka nie hamuje pracy. Ułatwia skalowanie dobrych praktyk, przyspiesza akceptację nowych zastosowań i chroni organizację przed kosztownymi incydentami.