Polityka AI w firmie: co powinna zawierać i jak ją wdrożyć
Polityka AI to wewnętrzny dokument, który porządkuje korzystanie ze sztucznej inteligencji w firmie: jakie narzędzia są dozwolone, jakich danych nie wolno do nich wprowadzać, kto odpowiada za wyniki i jak oznaczać treści wygenerowane przez AI. AI Act nie nakazuje wprost posiadania takiego dokumentu, ale to najprostszy sposób, żeby zrealizować obowiązki, które z rozporządzenia wynikają: wspieranie kompetencji AI personelu (art. 4, stosowany od 2 lutego 2025 r.) i przejrzystość wobec odbiorców (art. 50, od 2 sierpnia 2026 r.).
Po co firmie polityka AI
W większości firm pracownicy już korzystają z narzędzi AI, często bez wiedzy przełożonych. To zjawisko ma nazwę: shadow AI. Bez ustalonych zasad łatwo o wpadkę, która kosztuje więcej niż całe wdrożenie polityki: wklejenie danych klienta lub tajemnicy przedsiębiorstwa do publicznego chatbota, publikacja niesprawdzonego tekstu z błędem merytorycznym albo brak wymaganej informacji, że klient rozmawia z botem. Polityka AI załatwia trzy rzeczy naraz: zmniejsza ryzyko, daje pracownikom jasność (co wolno, a czego nie), a w razie kontroli lub sporu jest dowodem staranności firmy.
8 elementów, które powinna zawierać polityka AI
| # | Element | Co reguluje |
|---|---|---|
| 1 | Zakres i definicje | Czym jest narzędzie AI w rozumieniu dokumentu i kogo dokument obejmuje (pracownicy, współpracownicy, podwykonawcy) |
| 2 | Lista narzędzi | Narzędzia dozwolone, warunkowo dozwolone i zakazane + ścieżka zgłaszania nowych |
| 3 | Zasady danych | Czego nie wolno wprowadzać do narzędzi AI: dane osobowe, tajemnica przedsiębiorstwa, dane klientów (styk z RODO) |
| 4 | Oznaczanie treści | Kiedy i jak informować, że treść lub rozmowa pochodzi od AI (obowiązki z art. 50 AI Act) |
| 5 | Nadzór człowieka | Kto sprawdza i zatwierdza wynik pracy AI, zanim trafi do klienta lub do publikacji |
| 6 | Kompetencje i szkolenia | Jak firma wspiera rozwój kompetencji AI personelu (art. 4 AI Act), adekwatnie do ról |
| 7 | Rejestr systemów AI | Prosta ewidencja: jakie systemy, do czego, kto odpowiada (dobra praktyka, bezcenna przy kontroli) |
| 8 | Incydenty i przegląd | Co robić, gdy coś pójdzie nie tak + kto i jak często aktualizuje dokument |
Wdrożenie w 5 krokach
Krok 1: inwentaryzacja. Zbierz listę narzędzi AI faktycznie używanych w firmie (ankieta wśród zespołu daje zwykle zaskakujące wyniki). Krok 2: ocena ryzyka. Dla każdego narzędzia ustal, jakie dane do niego trafiają i czy dotyka obszarów wrażliwych (rekrutacja, oceny pracowników, decyzje wobec klientów). Krok 3: spisanie zasad. Dokument na 2-4 strony wystarczy w większości MŚP: liczy się konkret, nie objętość. Krok 4: szkolenie. Krótkie spotkanie z zespołem, na którym omawiasz zasady i pokazujesz przykłady, plus potwierdzenie zapoznania się z dokumentem. Krok 5: przegląd. Wyznacz właściciela dokumentu i termin przeglądu (co 6-12 miesięcy oraz po każdej istotnej zmianie prawa).
Najczęstsze błędy
Pierwszy: gotowiec z internetu bez inwentaryzacji. Polityka opisująca narzędzia, których nikt w firmie nie używa, i pomijająca te faktycznie używane, nie chroni przed niczym. Drugi: totalny zakaz AI. Pracownicy nie przestaną korzystać, tylko przestaną się przyznawać, a shadow AI to najgorszy scenariusz. Trzeci: brak właściciela. Dokument bez osoby odpowiedzialnej za aktualizację dezaktualizuje się w kilka miesięcy. Czwarty: brak reakcji na zmiany prawa. Świeży przykład: nowelizacja Digital Omnibus przesunęła obowiązki dla systemów wysokiego ryzyka z załącznika III na 2 grudnia 2027 r. i złagodziła brzmienie art. 4. Polityka pisana rok temu może podawać nieaktualne terminy.
Polityka AI a obowiązki z AI Act
Warto rozdzielić dwie rzeczy. Obowiązki prawne wynikają wprost z rozporządzenia: od 2 lutego 2025 r. zakazy z art. 5 i wspieranie kompetencji AI z art. 4, a od 2 sierpnia 2026 r. przejrzystość z art. 50 (informacja przy chatbotach, oznaczanie treści syntetycznych i deepfake’ów). Polityka AI jest narzędziem: dokumentuje, jak firma te obowiązki realizuje. Piszemy o nich szerzej w artykułach: Art. 4 AI Act: kompetencje AI w firmie oraz Art. 50 AI Act: obowiązki przejrzystości. Zasadę stosujemy też u siebie: nasza polityka użycia AI jest publicznie dostępna.
Od czego zacząć
Jeśli nie wiesz, które obowiązki AI Act w ogóle dotyczą Twojej firmy, zacznij od diagnozy, nie od pisania dokumentu. Darmowy skan strony sprawdzi w 2 minuty publiczne sygnały ryzyka (m.in. chatbot bez informacji dla użytkownika), a pełny audyt z raportem wskaże obowiązki dopasowane do Waszych systemów i gotowy plan wdrożenia, w tym elementy polityki AI. Szczegóły na stronie głównej aktzgodny.pl.
Najczęstsze pytania (FAQ)
Czy AI Act wymaga posiadania polityki AI?
Nie wprost: rozporządzenie nie nakazuje stworzenia dokumentu o tej nazwie. Wymaga za to konkretnych zachowań (art. 4: wspieranie kompetencji AI personelu, art. 50: przejrzystość wobec odbiorców), a polityka AI jest najprostszym sposobem, żeby je uporządkować i udokumentować.
Od kiedy obowiązują przepisy, które polityka porządkuje?
Zakazy z art. 5 i kompetencje AI z art. 4 stosuje się od 2 lutego 2025 r. Obowiązki przejrzystości z art. 50 wchodzą 2 sierpnia 2026 r. Obowiązki dla systemów wysokiego ryzyka z załącznika III, po nowelizacji Digital Omnibus, od 2 grudnia 2027 r.
Czy mała firma też potrzebuje polityki AI?
Tak, ale proporcjonalnie do skali: w kilkuosobowej firmie wystarczą 2-3 strony konkretów. Ryzyko wycieku danych do publicznego chatbota nie zależy od wielkości firmy.
Jak często aktualizować politykę AI?
Rozsądny rytm to przegląd co 6-12 miesięcy oraz po każdej istotnej zmianie prawa lub narzędzi. Nowelizacja Digital Omnibus z 2026 r. to dobry przykład zmiany, która wymaga aktualizacji terminów w dokumencie.
Czy mogę skorzystać z gotowego wzoru z internetu?
Wzór może być punktem wyjścia, ale dokument musi odzwierciedlać narzędzia i procesy Waszej firmy: bez własnej inwentaryzacji polityka jest tylko ozdobą. Elementy wymagające oceny prawnej (np. klauzule wobec klientów) warto skonsultować z prawnikiem.
Źródła
- Rozporządzenie (UE) 2024/1689 (AI Act), art. 4, 5 i 50 (EUR-Lex)
- Komisja Europejska: ramy regulacyjne AI (digital-strategy.ec.europa.eu)
- EY Polska: Digital Omnibus a AI Act (zmiany terminów)
Powiązane artykuły
Sprawdź swoją firmę pod AI Act
Bezpłatny skan strony: 3 publiczne sygnały ryzyka w 2 minuty, bez rejestracji.
Zrób darmowy skanTen artykuł to analiza edukacyjna, przygotowana z pomocą AI pod nadzorem człowieka, nie porada prawna. Sporne przypadki wymagają konsultacji z radcą prawnym.