Brak zasad korzystania ze sztucznej inteligencji szybko kończy się wyciekiem danych, chaosem decyzyjnym i ryzykiem naruszeń prawa. Polityka AI w firmie to dziś nie opcja, lecz wymóg operacyjny i prawny — AI Act porządkuje ten obszar, ale nie zastępuje praktycznych procedur i codziennej dyscypliny zespołu.
Jeśli Twoja firma potrzebuje gotowego rozwiązania, sprawdź naszą usługę wdrożenia AI Act i polityki AI w firmie.
Dlaczego temat jest „tu i teraz”
W większości organizacji AI już działa w tle: pracownicy streszczają dokumenty, poprawiają oferty, analizują pliki, przygotowują komunikację z klientami, automatyzują raporty. Problem zaczyna się wtedy, gdy firma nie kontroluje, jakie narzędzia są używane, do jakich danych mają dostęp i kto odpowiada za jakość wyników.
AI Act (unijne rozporządzenie o sztucznej inteligencji) wprowadza podejście oparte na ryzyku. Nie zakazuje AI jako takiej. Ustawia zasady dla dostawców i użytkowników (w AI Act: „deployers”, najczęściej po polsku „podmioty stosujące”), a część obowiązków dotyczy także zwykłych firm korzystających z narzędzi AI w procesach.
Dobrze zaprojektowana polityka korzystania z AI sprawia, że organizacja może bezpiecznie używać narzędzi generatywnych i automatyzacji, a jednocześnie ograniczać ryzyka prawne, reputacyjne i operacyjne.
Co w praktyce oznacza AI Act dla firmy korzystającej z AI
Podejście oparte na ryzyku
AI Act dzieli zastosowania na kategorie ryzyka, a obowiązki rosną wraz z ryzykiem dla ludzi i procesów:
- Praktyki zakazane (unacceptable risk): nie wolno ich stosować.
- Wysokie ryzyko (high-risk): można stosować, ale pod ścisłymi warunkami (zarządzanie ryzykiem, dokumentacja, nadzór, jakość danych, testy, rejestry, procedury).
- Ograniczone ryzyko (limited risk): głównie obowiązki przejrzystości (np. informowanie, że treść jest generowana przez AI, albo że rozmowa odbywa się z chatbotem).
- Minimalne ryzyko: brak specjalnych obowiązków z AI Act, ale nadal obowiązują inne przepisy (RODO, prawo autorskie, tajemnice przedsiębiorstwa, regulacje branżowe).
Harmonogram wdrażania przepisów, który ma znaczenie dla zarządu
AI Act wszedł w życie 1 sierpnia 2024 r., a pełne stosowanie zasadniczej części przepisów następuje 2 sierpnia 2026 r., z wyjątkami istotnymi dla firm. Już wcześniej zaczęły obowiązywać m.in. zakazy określonych praktyk oraz obowiązek dbania o kompetencje w zakresie AI (AI literacy), a od 2 sierpnia 2025 r. weszły w zastosowanie obowiązki dotyczące modeli ogólnego przeznaczenia (GPAI). W lutym 2026 r. firma powinna zakładać, że „okres przejściowy” nie jest czasem na luźne eksperymenty, tylko na uporządkowanie zasad, zanim dojdą pełne obowiązki dla wielu systemów.
W praktyce oznacza to, że polityka AI i rejestr zastosowań powinny działać już teraz, bo pozwalają wykazać „należytą staranność” i minimalizować ryzyka jeszcze przed pełną egzekucją części wymogów.
Czy firma może legalnie używać ChatGPT i podobnych narzędzi
Używanie narzędzi generatywnych w firmie jest co do zasady legalne, pod warunkiem spełnienia trzech warstw wymagań:
- Wymagania AI Act zależne od ryzyka i roli firmy
Firma zwykle jest „podmiotem stosującym” (deployer). Jeśli tworzy własne rozwiązanie lub modyfikuje je w sposób istotny, może wejść w rolę dostawcy i mieć więcej obowiązków. - Zasady ochrony danych i poufności
RODO i tajemnice przedsiębiorstwa obowiązują niezależnie od AI Act. Nie wolno wklejać do publicznych narzędzi danych, których firma nie powinna ujawniać, ani danych osobowych bez podstawy prawnej i kontroli. - Wewnętrzna polityka i procedury
Nawet najlepsze narzędzie jest ryzykiem, jeśli organizacja nie ma jasnych zasad: dozwolone zastosowania, dozwolone dane, akceptowane modele, proces akceptacji, kontrola jakości, logowanie i reakcja na incydenty.
W praktyce polityka AI w firmie integruje wszystkie te trzy warstwy w jeden spójny system zarządzania ryzykiem.
Elementy polityki AI w firmie, które realnie chronią organizację
Poniżej znajduje się sprawdzony szkielet polityki AI dla organizacji, która chce działać zgodnie z AI Act i jednocześnie umożliwić zespołom produktywne wykorzystanie AI.
Pełną dokumentację compliance, procedury nadzoru i scenariusze pracy wdrażamy w ramach kompleksowego projektu Wdrożenie AI Act w firmie — w połączeniu z bezpieczeństwem prawnym Mariański Group.
1) Rejestr zastosowań AI w firmie
Polityka zaczyna się od widoczności. Rejestr to prosta lista przypadków użycia, obejmująca:
- nazwa procesu i cel (np. „streszczanie korespondencji”, „klasyfikacja zgłoszeń”, „generowanie projektów ofert”)
- narzędzie/model (dostawca, wersja, integracje)
- rodzaje danych wejściowych i wyjściowych
- wpływ na ludzi (klient, pracownik, obywatel) oraz konsekwencje błędu
- poziom ryzyka (robocza klasyfikacja: minimalne/ograniczone/wysokie/zakazane)
- właściciel biznesowy i IT, data przeglądu
Taki rejestr jest podstawą do wykazania kontroli i do priorytetyzacji działań zgodnościowych.
2) Zasady danych: co wolno, a czego nie wolno wprowadzać do AI
Najczęstsze źródło problemów to dane. Polityka powinna wprost określać:
- zakaz wprowadzania do narzędzi zewnętrznych danych poufnych, tajemnic przedsiębiorstwa, danych objętych NDA oraz danych osobowych, jeśli narzędzie i proces nie są zatwierdzone
- kategorie danych dopuszczalnych (np. dane publiczne, anonimizowane, syntetyczne, wewnętrzne „bezpieczne”)
- zasady anonimizacji/pseudonimizacji
- minimalizację danych, retencję, zasady logowania
- wymagania dla dostawców (lokalizacja przetwarzania, brak trenowania na danych klienta, opcje wyłączenia retencji, umowy powierzenia, audytowalność)
W projektach szkoleniowych, które realizujemy, ta sekcja przynosi najszybszy efekt, bo ogranicza niekontrolowane „wklejanie” wrażliwych treści do narzędzi.
3) Standard przejrzystości i komunikacji
Dla części zastosowań AI Act wymaga przejrzystości. W praktyce warto wdrożyć firmowy standard:
- oznaczanie treści generowanych przez AI w komunikacji wewnętrznej, a w określonych przypadkach również zewnętrznej
- informowanie, że klient rozmawia z chatbotem, jeśli to chatbot obsługuje kontakt
- zasady używania syntetycznych obrazów/wideo/głosu i minimalny standard weryfikacji, aby unikać wprowadzania w błąd
To ogranicza ryzyko reklamacyjne, reputacyjne i konflikt z działem prawnym lub compliance.
4) Kontrola jakości: człowiek odpowiada za wynik
Polityka musi jasno stwierdzać, że:
- AI jest narzędziem wspierającym, a nie „autorem odpowiedzialnym”
- w procesach o istotnych skutkach (np. decyzje kadrowe, kredytowe, świadczenia, ocena pracownika) wymagany jest nadzór człowieka, a krytyczne elementy decyzji nie mogą opierać się wyłącznie na generacji lub niezweryfikowanej rekomendacji
- obowiązują minimalne standardy weryfikacji: sprawdzenie faktów, źródeł, liczb, spójności z dokumentami firmowymi
W praktyce warto wprowadzić proste checklisty dla działów: sprzedaży, HR, finansów, administracji, obsługi klienta.
5) Klasyfikacja ryzyka i ścieżka akceptacji
Firma potrzebuje prostej ścieżki „od pomysłu do wdrożenia”:
- zastosowania minimalnego ryzyka: dopuszczone na podstawie zasad ogólnych
- zastosowania ograniczonego ryzyka: wymagają oznaczeń i standardu przejrzystości
- potencjalnie wysokiego ryzyka: wymagają oceny prawnej i technicznej, dokumentacji, testów, monitoringu, procedury incydentów
- zastosowania niedopuszczalne: zakazane w polityce z krótkim opisem przykładów
Dzięki temu biznes ma jasność, co wolno uruchamiać szybko, a co wymaga projektu wdrożeniowego.
6) Bezpieczeństwo: dostęp, tożsamość, logi, integracje
Polityka AI powinna być spójna z cyberbezpieczeństwem:
- SSO/MFA dla narzędzi AI, kontrola kont i ról
- logowanie użycia i dostępów w systemach firmowych
- zasady wtyczek, rozszerzeń i integracji, które mogą „wyciągać” dane z poczty, CRM, dysków
- testy podatności i ocena ryzyka dostawcy dla narzędzi wdrażanych szeroko
7) AI literacy: kompetencje pracowników jako wymóg, a nie benefit
AI Act wprost wskazuje na konieczność zapewnienia „wystarczającego poziomu kompetencji AI” dla osób używających systemów AI w organizacji. W praktyce firmowej warto zdefiniować:
- minimalny program dla wszystkich: zasady danych, poufność, typowe błędy modeli, weryfikacja, odpowiedzialność
- programy dla ról: administracja, HR, sprzedaż, analityka, IT, zarząd
- wewnętrzne materiały referencyjne: krótkie standardy, przykłady poprawnych i błędnych użyć
Z doświadczeń organizacji wynika, że samo wprowadzenie narzędzia bez szkolenia zwiększa liczbę incydentów oraz obniża jakość dokumentów, mimo pozornego wzrostu szybkości.
Najczęstsze błędy przy wdrażaniu polityki AI w firmie
- Polityka jako dokument „na półkę”
Polityka działa wtedy, gdy jest wsparta rejestrem zastosowań, procesem akceptacji i krótkimi instrukcjami dla działów.
W naszym modelu wdrożenia AI Act polityka jest zawsze połączona z audytem operacyjnym, scenariuszami pracy i szkoleniem zespołów — dzięki temu nie zostaje „na półce”, tylko zaczyna chronić firmę od pierwszego dnia. - Jedna zasada dla wszystkich narzędzi
Inne ryzyko ma publiczny chatbot, inne narzędzie w wersji firmowej z umową i wyłączonym trenowaniem na danych, a jeszcze inne własny model uruchomiony lokalnie. - Brak właściciela biznesowego
Każde zastosowanie AI potrzebuje właściciela procesu, który odpowiada za cel, jakość i zgodność. - Brak standardu weryfikacji
Jeśli firma nie uczy weryfikacji wyników, rośnie ryzyko błędów, które trafiają do klientów, urzędów lub do decyzji wewnętrznych.
Podsumowanie
Legalne używanie AI w firmie jest możliwe i w wielu branżach staje się standardem operacyjnym. AI Act nie blokuje innowacji, tylko wymusza zarządzanie ryzykiem, przejrzystość i kompetencje. Najbezpieczniejsza droga to połączenie dwóch elementów: zrozumienia wymagań AI Act oraz wdrożenia polityki AI w firmie, która reguluje narzędzia, dane, odpowiedzialność, jakość i bezpieczeństwo
W firmach, które wdrażają AI w sposób uporządkowany, polityka nie hamuje pracy. Ułatwia skalowanie dobrych praktyk, przyspiesza akceptację nowych zastosowań i chroni organizację przed kosztownymi incydentami.
Chcesz przejść od teorii do wdrożenia?
Sprawdź nasz kompleksowy program Wdrożenie AI Act w firmie — audyt compliance, polityka AI, szkolenia i wsparcie powdrożeniowe w jednym pakiecie. Umów bezpłatną konsultację.
