Polityka AI w firmie to dziś nie kwestia wyboru, a konieczność regulacyjna. Od 2 lutego 2025 roku AI Act wymaga od organizacji zapewnienia kompetencji AI u pracowników, a od sierpnia 2026 wchodzą pełne obowiązki dla systemów wysokiego ryzyka. Bez formalnej polityki firma naraża się na kary do 35 mln EUR i - co gorsza - na niekontrolowane zjawisko shadow AI, które dotyka już ponad 60% organizacji.
W pracy z firmami widzę powtarzający się wzorzec - organizacje albo zakazują AI (co nie działa), albo udostępniają narzędzia bez reguł (co kończy się wyciekami). Skuteczna polityka AI to trzecia droga - kontrolowane udostępnienie z jasnymi regułami gry.
Dlaczego zakaz AI nie działa?
Firmy takie jak JPMorgan Chase, Goldman Sachs czy Deutsche Bank próbowały zakazywać ChatGPT. Badania pokazują, że ponad 3% pracowników firm z zakazem i tak wprowadzało poufne dane do narzędzi AI - to zjawisko nazywane shadow AI. Z kolei badanie opublikowane w Journal of Accounting and Economics wykazało, że analitycy objęci zakazem wydawali mniej prognoz o niższej dokładności.
Historia Samsunga jest kanonicznym przykładem - firma udostępniła ChatGPT inżynierom z ogólnikowym ostrzeżeniem, bez klasyfikacji danych i kontroli. W ciągu 20 dni doszło do trzech wycieków tajemnic handlowych, które trafiły do danych treningowych OpenAI i były nie do odzyskania. Więcej o takich incydentach AI w firmach opisuję w osobnym artykule.
Jedyną trwałą strategią jest świadome zarządzanie, nie unikanie technologii.
11 obowiązkowych modułów polityki AI
Na podstawie wymogów AI Act, RODO i standardu ISO/IEC 42001 identyfikuję 11 modułów, które każda organizacja powinna wdrożyć jako minimum.
1. Zakres stosowania
Polityka musi jasno określać, kogo obowiązuje - pracownicy etatowi, zleceniobiorcy, podwykonawcy, stażyści. Art. 26 AI Act nakłada obowiązki na podmioty wdrażające systemy AI, a art. 4 wymaga zapewnienia kompetencji u wszystkich osób mających kontakt z AI.
2. Rejestr dozwolonych narzędzi AI
Prowadzenie aktualnej listy zatwierdzonych narzędzi z podziałem na kategorie: zatwierdzone, warunkowo zatwierdzone i zabronione. Bez takiego rejestru nie ma kontroli nad tym, jakie narzędzia trafiają do firmy - a to prosta droga do wycieków danych.
3. Zabronione zastosowania
Art. 5 AI Act wprowadza katalog zabronionych praktyk obowiązujący od lutego 2025. Naruszenie grozi karą do 35 mln EUR lub 7% globalnego obrotu. Zakazy obejmują manipulację podprogową, scoring społeczny, rozpoznawanie emocji w miejscu pracy i masowe zbieranie danych biometrycznych.
4. Klasyfikacja danych wejściowych
To fundament bezpieczeństwa. Rekomendowany podział na cztery poziomy:
- Publiczne (zielony) - dozwolone we wszystkich zatwierdzonych narzędziach AI
- Wewnętrzne (żółty) - wyłącznie w narzędziach Enterprise z podpisaną umową DPA
- Poufne (pomarańczowy) - wymagana zgoda AI Officera
- Zastrzeżone (czerwony) - bezwzględny zakaz: dane osobowe szczególnych kategorii, tajemnice handlowe, klucze API, kody źródłowe
Zasada minimalizacji danych z art. 5 RODO nakazuje, by do narzędzia AI nie trafiały dane wykraczające poza to, co niezbędne. Więcej o zagrożeniach AI w miejscu pracy pisałem w kontekście praktycznych ryzyk.
5. Zasady promptowania
Prompt zawierający dane poufne to de facto transfer danych do dostawcy AI. Pracownicy powinni: nie umieszczać danych osobowych w promptach (stosować anonimizację), nie wklejać fragmentów umów czy kodu źródłowego, nie podejmować prób jailbreakingu i dokumentować prompty w procesach podlegających audytowi.
6. Nadzór ludzki (Human-in-the-Loop)
Art. 14 AI Act wymaga, aby systemy AI wysokiego ryzyka umożliwiały efektywny nadzór ludzki. Art. 22 RODO daje osobom fizycznym prawo do niepodlegania decyzjom opartym wyłącznie na automatycznym przetwarzaniu. W praktyce oznacza to, że żadna decyzja kadrowa, kredytowa czy ubezpieczeniowa nie może być podjęta wyłącznie na podstawie wyniku AI.
7. Transparentność i oznaczanie treści
Od 2 sierpnia 2026 art. 50 AI Act nakłada obowiązek oznaczania treści generowanych przez AI w formacie odczytywalnym maszynowo. Chatboty muszą informować o interakcji z AI, a obrazy i materiały audiowizualne wymagają metadanych C2PA.
8. Odpowiedzialność i accountability
Organizacja musi jasno przypisać role: AI Officer odpowiada za nadzór nad polityką, AI Owner za zgodność każdego systemu z wymogami, a pracownik korzystający z AI ponosi odpowiedzialność za weryfikację wyników. Błąd AI niezauważony przez pracownika staje się jego błędem.
9. Szkolenia pracowników
Art. 4 AI Act wymaga zapewnienia kompetencji AI u personelu - ten obowiązek obowiązuje już od lutego 2025. Rekomendowany model trzypoziomowy: podstawowy dla wszystkich (2h rocznie), zaawansowany dla power users (4-6h) i ekspercki dla zespołów technicznych (8h+). Na naszych szkoleniach AI dla firm realizujemy właśnie taki trzypoziomowy program.
10. Procedury incydentowe
Art. 26 ust. 5 AI Act zobowiązuje do informowania dostawcy o poważnych incydentach. Art. 33 RODO wymaga zgłoszenia naruszenia organowi nadzorczemu w ciągu 72 godzin. Jedynie 30% organizacji posiada formalną procedurę reagowania na incydenty AI.
11. Przegląd i aktualizacja
AI Act wchodzi w życie fazowo do sierpnia 2027, co wymaga systematycznej aktualizacji. Polityka powinna być przeglądana co 6 miesięcy lub niezwłocznie po wejściu w życie nowych przepisów, istotnym incydencie lub wdrożeniu nowej kategorii systemów AI.
Moduły dodatkowe - zależne od profilu ryzyka
Poza obowiązkowym minimum, organizacje wdrażające systemy wysokiego ryzyka powinny rozszerzyć politykę o:
- Zarządzanie dostawcami AI - weryfikacja certyfikatów (SOC 2, ISO 27001), umowy DPA, potwierdzenie że dostawca nie wykorzystuje danych do trenowania modeli
- Ochrona danych osobowych - DPIA przed wdrożeniem systemów przetwarzających dane osobowe, pseudonimizacja, privacy by design
- Własność intelektualna - treści wygenerowane wyłącznie przez AI nie podlegają ochronie prawnoautorskiej w Polsce
- Zasady sektorowe - HR (AI w rekrutacji to system wysokiego ryzyka wg AI Act), marketing (oznaczanie treści AI), obsługa klienta (obowiązek ujawnienia chatbota), finanse (wyjaśnialność decyzji kredytowych)
Jak liderzy rynku budują polityki AI?
Warto uczyć się od firm, które mają już dojrzałe programy:
Microsoft przełożył abstrakcyjne zasady na 17 konkretnych celów operacyjnych w Responsible AI Standard v2. Kluczowym wyróżnikiem jest osadzenie punktów kontrolnych bezpośrednio w procesach inżynieryjnych.
IBM stworzył wielowarstwową strukturę governance i udostępnił bezpłatnie sześć zestawów narzędzi open-source, w tym AI Fairness 360 z 70 metrykami sprawiedliwości.
Salesforce wbudował zasady w architekturę techniczną poprzez Einstein Trust Layer - warstwę realizującą zerową retencję danych, maskowanie PII i skanowanie toksyczności każdego promptu.
Bosch zdefiniował trzy poziomy nadzoru ludzkiego: Human-in-Command (AI jako narzędzie), Human-in-the-Loop (człowiek może interweniować) i Human-on-the-Loop (kontrola retrospektywna).
Od czego zacząć wdrożenie?
Rekomendowany proces w trzech krokach:
- Inwentaryzacja - zmapuj wszystkie systemy AI używane w organizacji, przypisz właścicieli biznesowych i sklasyfikuj poziom ryzyka
- Minimum compliance - wdróż 11 obowiązkowych modułów, zacznij od rejestru narzędzi i klasyfikacji danych
- Rozszerzenie - dodaj moduły sektorowe i wdróż metodę oceny ryzyka AI dopasowaną do profilu organizacji
Kluczowy termin to 2 sierpnia 2026 - wtedy większość przepisów AI Act zaczyna obowiązywać w pełni. Firmy, które zaczną budować politykę teraz, mają czas na iteracyjne doskonalenie. Te, które będą czekać, mogą nie zdążyć.
Potrzebujesz wsparcia w budowie polityki AI? Sprawdź nasze konsultacje strategiczne lub szkolenia AI dla firm, w ramach których pomagamy organizacjom przejść od chaosu do kontrolowanego wdrożenia.