Kolejne obowiązki AI Act: 2 sierpnia 2026 r. (art. 113 Rozporządzenia (UE) 2024/1689). Do terminu: 15 dni.

Polityka AI w firmie: co powinna zawierać i jak ją wdrożyć

Obowiązki Opublikowano: 13 lipca 2026 Zaktualizowano: 16 lipca 2026 Stan prawny na: 13 lipca 2026 r. Autor: Maciej Wiśniewski
Polityka AI w firmie: co powinna zawierać i jak ją wdrożyć

Polityka AI to wewnętrzny dokument, który porządkuje korzystanie ze sztucznej inteligencji w firmie: jakie narzędzia są dozwolone, jakich danych nie wolno do nich wprowadzać, kto odpowiada za wyniki i jak oznaczać treści wygenerowane przez AI. AI Act nie nakazuje wprost posiadania takiego dokumentu, ale to najprostszy sposób, żeby zrealizować obowiązki, które z rozporządzenia wynikają: wspieranie kompetencji AI personelu (art. 4, stosowany od 2 lutego 2025 r.) i przejrzystość wobec odbiorców (art. 50, od 2 sierpnia 2026 r.).

Po co firmie polityka AI

W większości firm pracownicy już korzystają z narzędzi AI, często bez wiedzy przełożonych. To zjawisko ma nazwę: shadow AI. Bez ustalonych zasad łatwo o wpadkę, która kosztuje więcej niż całe wdrożenie polityki: wklejenie danych klienta lub tajemnicy przedsiębiorstwa do publicznego chatbota, publikacja niesprawdzonego tekstu z błędem merytorycznym albo brak wymaganej informacji, że klient rozmawia z botem. Polityka AI załatwia trzy rzeczy naraz: zmniejsza ryzyko, daje pracownikom jasność (co wolno, a czego nie), a w razie kontroli lub sporu jest dowodem staranności firmy.

8 elementów, które powinna zawierać polityka AI

# Element Co reguluje
1 Zakres i definicje Czym jest narzędzie AI w rozumieniu dokumentu i kogo dokument obejmuje (pracownicy, współpracownicy, podwykonawcy)
2 Lista narzędzi Narzędzia dozwolone, warunkowo dozwolone i zakazane + ścieżka zgłaszania nowych
3 Zasady danych Czego nie wolno wprowadzać do narzędzi AI: dane osobowe, tajemnica przedsiębiorstwa, dane klientów (styk z RODO)
4 Oznaczanie treści Kiedy i jak informować, że treść lub rozmowa pochodzi od AI (obowiązki z art. 50 AI Act)
5 Nadzór człowieka Kto sprawdza i zatwierdza wynik pracy AI, zanim trafi do klienta lub do publikacji
6 Kompetencje i szkolenia Jak firma wspiera rozwój kompetencji AI personelu (art. 4 AI Act), adekwatnie do ról
7 Rejestr systemów AI Prosta ewidencja: jakie systemy, do czego, kto odpowiada (dobra praktyka, bezcenna przy kontroli)
8 Incydenty i przegląd Co robić, gdy coś pójdzie nie tak + kto i jak często aktualizuje dokument

Wdrożenie w 5 krokach

Krok 1: inwentaryzacja. Zbierz listę narzędzi AI faktycznie używanych w firmie (ankieta wśród zespołu daje zwykle zaskakujące wyniki). Krok 2: ocena ryzyka. Dla każdego narzędzia ustal, jakie dane do niego trafiają i czy dotyka obszarów wrażliwych (rekrutacja, oceny pracowników, decyzje wobec klientów). Krok 3: spisanie zasad. Dokument na 2-4 strony wystarczy w większości MŚP: liczy się konkret, nie objętość. Krok 4: szkolenie. Krótkie spotkanie z zespołem, na którym omawiasz zasady i pokazujesz przykłady, plus potwierdzenie zapoznania się z dokumentem. Krok 5: przegląd. Wyznacz właściciela dokumentu i termin przeglądu (co 6-12 miesięcy oraz po każdej istotnej zmianie prawa).

Najczęstsze błędy

Pierwszy: gotowiec z internetu bez inwentaryzacji. Polityka opisująca narzędzia, których nikt w firmie nie używa, i pomijająca te faktycznie używane, nie chroni przed niczym. Drugi: totalny zakaz AI. Pracownicy nie przestaną korzystać, tylko przestaną się przyznawać, a shadow AI to najgorszy scenariusz. Trzeci: brak właściciela. Dokument bez osoby odpowiedzialnej za aktualizację dezaktualizuje się w kilka miesięcy. Czwarty: brak reakcji na zmiany prawa. Świeży przykład: nowelizacja Digital Omnibus przesunęła obowiązki dla systemów wysokiego ryzyka z załącznika III na 2 grudnia 2027 r. i złagodziła brzmienie art. 4. Polityka pisana rok temu może podawać nieaktualne terminy.

Polityka AI a obowiązki z AI Act

Warto rozdzielić dwie rzeczy. Obowiązki prawne wynikają wprost z rozporządzenia: od 2 lutego 2025 r. zakazy z art. 5 i wspieranie kompetencji AI z art. 4, a od 2 sierpnia 2026 r. przejrzystość z art. 50 (informacja przy chatbotach, oznaczanie treści syntetycznych i deepfake’ów). Polityka AI jest narzędziem: dokumentuje, jak firma te obowiązki realizuje. Piszemy o nich szerzej w artykułach: Art. 4 AI Act: kompetencje AI w firmie oraz Art. 50 AI Act: obowiązki przejrzystości. Zasadę stosujemy też u siebie: nasza polityka użycia AI jest publicznie dostępna.

Od czego zacząć

Jeśli nie wiesz, które obowiązki AI Act w ogóle dotyczą Twojej firmy, zacznij od diagnozy, nie od pisania dokumentu. Darmowy skan strony sprawdzi w 2 minuty publiczne sygnały ryzyka (m.in. chatbot bez informacji dla użytkownika), a pełny audyt z raportem wskaże obowiązki dopasowane do Waszych systemów i gotowy plan wdrożenia, w tym elementy polityki AI. Szczegóły na stronie głównej aktzgodny.pl.

Najczęstsze pytania (FAQ)

Czy AI Act wymaga posiadania polityki AI?

Nie wprost: rozporządzenie nie nakazuje stworzenia dokumentu o tej nazwie. Wymaga za to konkretnych zachowań (art. 4: wspieranie kompetencji AI personelu, art. 50: przejrzystość wobec odbiorców), a polityka AI jest najprostszym sposobem, żeby je uporządkować i udokumentować.

Od kiedy obowiązują przepisy, które polityka porządkuje?

Zakazy z art. 5 i kompetencje AI z art. 4 stosuje się od 2 lutego 2025 r. Obowiązki przejrzystości z art. 50 wchodzą 2 sierpnia 2026 r. Obowiązki dla systemów wysokiego ryzyka z załącznika III, po nowelizacji Digital Omnibus, od 2 grudnia 2027 r.

Czy mała firma też potrzebuje polityki AI?

Tak, ale proporcjonalnie do skali: w kilkuosobowej firmie wystarczą 2-3 strony konkretów. Ryzyko wycieku danych do publicznego chatbota nie zależy od wielkości firmy.

Jak często aktualizować politykę AI?

Rozsądny rytm to przegląd co 6-12 miesięcy oraz po każdej istotnej zmianie prawa lub narzędzi. Nowelizacja Digital Omnibus z 2026 r. to dobry przykład zmiany, która wymaga aktualizacji terminów w dokumencie.

Czy mogę skorzystać z gotowego wzoru z internetu?

Wzór może być punktem wyjścia, ale dokument musi odzwierciedlać narzędzia i procesy Waszej firmy: bez własnej inwentaryzacji polityka jest tylko ozdobą. Elementy wymagające oceny prawnej (np. klauzule wobec klientów) warto skonsultować z prawnikiem.

Źródła

Powiązane artykuły

Sprawdź swoją firmę pod AI Act

Bezpłatny skan strony: 3 publiczne sygnały ryzyka w 2 minuty, bez rejestracji.

Zrób darmowy skan

Ten artykuł to analiza edukacyjna, przygotowana z pomocą AI pod nadzorem człowieka, nie porada prawna. Sporne przypadki wymagają konsultacji z radcą prawnym.