Outsourcing / AI8 marca 2026

Jak wdrożyć politykę AI w firmie: RODO, bezpieczeństwo, regulamin

Polityka AI w firmie: klasyfikacja danych, RODO, regulamin korzystania z AI. Checklist i szablon polityki.

#polityka ai#rodo ai#bezpieczeństwo ai#regulamin ai#wdrożenie ai#dane osobowe ai
Polityka AI w firmie - RODO i bezpieczeństwo

Sztuczna inteligencja weszła do firm tylnymi drzwiami. Pracownicy korzystają z ChatGPT, Claude, Gemini — często bez wiedzy przełożonych, wklejając w promptach dane klientów, fragmenty umów czy wewnętrzne raporty finansowe. Brak polityki AI w firmie to nie kwestia innowacyjności — to realne ryzyko prawne i wizerunkowe. W tym artykule pokazujemy, jak stworzyć wewnętrzną politykę korzystania z AI, która chroni firmę, spełnia wymogi RODO i jednocześnie nie blokuje rozwoju.

Dlaczego każda firma potrzebuje polityki AI

Badania pokazują, że ponad 70% pracowników biurowych korzysta z narzędzi AI w pracy, ale tylko ułamek firm ma jakiekolwiek zasady regulujące to użycie. To tworzy sytuację, w której:

  • Dane osobowe klientów trafiają do zewnętrznych modeli AI bez podstawy prawnej
  • Poufne informacje biznesowe (strategie, dane finansowe, kod źródłowy) są przetwarzane przez serwery zagranicznych firm
  • Nikt nie kontroluje, jakie dane wychodzą z organizacji
  • W razie wycieku firma nie jest w stanie nawet zidentyfikować, co zostało ujawnione

Polityka AI to nie biurokratyczny dokument — to praktyczny zbiór zasad, który mówi pracownikom: "z tego możesz korzystać, w ten sposób, a tego nie rób".

Klasyfikacja danych — co może trafić do AI, a co nie

Pierwszym krokiem jest kategoryzacja danych firmowych pod kątem wrażliwości. Proponujemy trzy poziomy:

Poziom zielony — dane publiczne

Informacje, które i tak są dostępne publicznie lub nie mają wartości biznesowej:

  • Treści ze strony internetowej firmy
  • Ogólna wiedza branżowa
  • Publicznie dostępne regulaminy i cenniki
  • Pytania o technologie i narzędzia open source

Te dane można swobodnie wprowadzać do narzędzi AI.

Poziom żółty — dane wewnętrzne

Informacje, które nie są tajne, ale nie powinny wychodzić poza firmę bez kontroli:

  • Wewnętrzne procedury i procesy
  • Anonimizowane statystyki sprzedażowe
  • Ogólne opisy projektów (bez danych klientów)
  • Szablony dokumentów

Te dane można używać w narzędziach AI z planem Enterprise (bez trenowania na danych użytkownika), po usunięciu identyfikujących szczegółów.

Poziom czerwony — dane zastrzeżone

Informacje, których nigdy nie wolno wprowadzać do zewnętrznych narzędzi AI:

  • Dane osobowe klientów i pracowników (imiona, nazwiska, PESEL, adresy)
  • Dane finansowe (numery kont, wynagrodzenia, szczegóły faktur z danymi kontrahentów)
  • Kod źródłowy produktów komercyjnych
  • Umowy i dokumenty prawne
  • Dane medyczne, kadrowe, dyscyplinarne
  • Hasła, klucze API, tokeny dostępu

Ta klasyfikacja powinna być częścią szkolenia onboardingowego i dostępna jako prosty, jednostronicowy dokument.

RODO i EU AI Act a narzędzia AI

Rozporządzenie o Ochronie Danych Osobowych (RODO) ma bezpośredni wpływ na korzystanie z AI w firmie. Dodatkowo, od 2 sierpnia 2026 roku zaczynają obowiązywać kluczowe przepisy unijnego rozporządzenia o sztucznej inteligencji (EU AI Act), które nakładają nowe obowiązki na firmy korzystające z systemów AI. Kluczowe kwestie:

Podstawa prawna przetwarzania

Wklejenie danych osobowych klienta do ChatGPT to przetwarzanie danych osobowych. Wymaga podstawy prawnej — a "bo było wygodniej" nią nie jest. Jeśli firma chce używać AI do analizy danych klientów, potrzebuje:

  • Zgody osoby, której dane dotyczą (trudne w praktyce)
  • Uzasadnionego interesu administratora (wymaga testu równowagi)
  • Umowy powierzenia przetwarzania danych z dostawcą AI

Umowa powierzenia przetwarzania (DPA)

Dostawcy enterprise'owych wersji narzędzi AI (OpenAI, Anthropic, Google) oferują umowy DPA zgodne z RODO. Darmowe wersje tych narzędzi zazwyczaj nie zapewniają takiej ochrony. To fundamentalna różnica:

  • Plan darmowy/osobisty: dane mogą być wykorzystywane do trenowania modeli, brak DPA, brak gwarancji lokalizacji danych
  • Plan Enterprise/Business: dane nie są używane do treningu, DPA dostępne, logi audytowe, SSO, kontrola uprawnień

Jeśli firma przetwarza dane osobowe klientów z UE, korzystanie z darmowych wersji narzędzi AI do tych danych jest praktycznie niemożliwe do pogodzenia z RODO.

Prawo do bycia zapomnianym

Jeśli dane osobowe trafią do modelu AI (szczególnie w wersji, która trenuje na danych), usunięcie ich może być technicznie niemożliwe. To poważne ryzyko w kontekście prawa do usunięcia danych z art. 17 RODO.

EU AI Act — nowe obowiązki od sierpnia 2026

Unijne rozporządzenie o sztucznej inteligencji (EU AI Act) wprowadza obowiązki zależne od poziomu ryzyka systemu AI:

  • Zakazane praktyki AI (obowiązują od lutego 2025) — np. systemy punktacji społecznej, manipulacja podprogowa, wykorzystywanie słabości osób
  • Systemy AI wysokiego ryzyka (od 2 sierpnia 2026) — systemy używane m.in. w rekrutacji, ocenie kredytowej, edukacji czy zarządzaniu infrastrukturą krytyczną wymagają oceny zgodności, dokumentacji technicznej i rejestracji w unijnej bazie danych
  • Obowiązki przejrzystości (od 2 sierpnia 2026) — użytkownicy muszą być informowani, gdy wchodzą w interakcję z systemem AI (np. chatbotem)
  • Kary — do 35 mln EUR lub 7% globalnego obrotu za naruszenie zakazanych praktyk

Każda firma powinna do sierpnia 2026 sklasyfikować swoje systemy AI pod kątem kategorii ryzyka i ocenić, czy podlegają obowiązkom EU AI Act. To powinno być częścią polityki AI w firmie.

Plany Enterprise vs darmowe — co się różni

Warto jasno zakomunikować pracownikom różnicę między darmowym a firmowym dostępem do AI:

Darmowe/osobiste konta:

  • Dane domyślnie mogą być wykorzystywane do trenowania modelu (np. Anthropic od września 2025 domyślnie trenuje na danych użytkowników planów Free, Pro i Max — z możliwością rezygnacji)
  • OpenAI również domyślnie wykorzystuje dane z darmowych kont do treningu
  • Brak umowy powierzenia przetwarzania
  • Brak logów i audytu
  • Brak kontroli przez administratora IT
  • Dane przetwarzane na serwerach poza UE (zazwyczaj USA)

Plany firmowe/Enterprise:

  • Dane nie są używane do trenowania modeli (gwarantowane umową — dotyczy m.in. ChatGPT Enterprise, Claude for Work/Team, API obu dostawców)
  • DPA zgodne z RODO
  • Logi użycia i audyt
  • SSO i zarządzanie dostępem
  • Opcje lokalizacji danych (niektórzy dostawcy oferują serwery w UE)
  • Dedykowany support i SLA

Inwestycja w plan Enterprise to nie koszt — to fundament bezpiecznego korzystania z AI w firmie.

Jak napisać wewnętrzną politykę AI

Dobra polityka AI jest krótka, konkretna i napisana językiem zrozumiałym dla każdego pracownika. Powinna zawierać:

Zakres i cel

  • Kogo dotyczy (wszyscy pracownicy, współpracownicy, stażyści)
  • Jakie narzędzia obejmuje (ChatGPT, Claude, Gemini, Midjourney, lokalne modele)
  • Dlaczego firma wprowadza politykę

Dozwolone użycia

  • Lista zatwierdzonych narzędzi AI i ich wersji (np. "Claude Enterprise przez firmowe konto")
  • Scenariusze, w których AI może być używane (pisanie maili, analiza danych publicznych, generowanie kodu)
  • Wymagania dotyczące weryfikacji wyników AI przez człowieka

Zabronione działania

  • Wprowadzanie danych osobowych do niezatwierdzonych narzędzi
  • Korzystanie z prywatnych kont AI do zadań służbowych
  • Publikowanie treści wygenerowanych przez AI bez weryfikacji
  • Używanie AI do podejmowania decyzji kadrowych bez nadzoru ludzkiego

Procedura zgłaszania incydentów

  • Co robić, gdy ktoś przypadkiem wklei dane osobowe do AI
  • Kogo powiadomić (IOD, przełożony, IT)
  • Dokumentowanie incydentu

Odpowiedzialność

  • Pracownik ponosi odpowiedzialność za dane, które wprowadza do AI
  • Firma zapewnia szkolenia i narzędzia do bezpiecznego korzystania

Szkolenie pracowników

Polityka bez szkolenia to martwy dokument. Skuteczne szkolenie z bezpiecznego korzystania z AI powinno obejmować:

  • Praktyczne warsztaty — nie prezentacje, a ćwiczenia na realnych scenariuszach
  • Przykłady dobrych i złych promptów — co jest bezpieczne, a co narusza politykę
  • Anonimizacja danych — jak usunąć dane osobowe przed wklejeniem do AI
  • Weryfikacja wyników — AI halucynuje, podaje nieprawdziwe informacje, wymyśla źródła
  • Regularne przypomnienia — nie jednorazowe szkolenie, ale cykliczne aktualizacje

Szkolenie powinno być obowiązkowe dla nowych pracowników i odświeżane co najmniej raz w roku.

Monitoring i zgodność

Wdrożenie polityki to dopiero początek. Potrzebny jest monitoring:

  • Logi użycia — plany Enterprise oferują panel administracyjny z historią zapytań
  • Regularne audyty — kwartalne przeglądy zgodności z polityką
  • Aktualizacja polityki — technologia AI zmienia się szybko, polityka musi nadążać (szczególnie w kontekście EU AI Act, którego kolejne przepisy wchodzą w życie w 2026)
  • Zbieranie feedbacku — pracownicy mogą wskazać luki w polityce lub nieżyciowe zasady
  • Metryki — ile osób korzysta z AI, do jakich zadań, z jaką skutecznością

Najczęstsze błędy

Całkowity zakaz korzystania z AI

Firmowy ban na AI nie działa. Pracownicy i tak będą korzystać — tylko na prywatnych kontach, na prywatnych telefonach, bez żadnej kontroli. Zamiast zabraniać, lepiej dać bezpieczne narzędzia i jasne zasady.

Brak jakiejkolwiek polityki

Przeciwna skrajność — ignorowanie tematu. "U nas nikt nie korzysta z AI" to w 2026 roku stwierdzenie, które nie wytrzymuje konfrontacji z rzeczywistością. Brak polityki oznacza brak kontroli.

Polityka oderwana od rzeczywistości

Dokument napisany przez prawnika, który nigdy nie używał ChatGPT, będzie zbyt restrykcyjny lub zbyt ogólnikowy. Politykę AI powinien współtworzyć zespół: prawnik, IOD, IT i przedstawiciele działów, które faktycznie używają AI.

Jednorazowe wdrożenie

Polityka AI to żywy dokument. Nowe narzędzia, nowe regulacje, nowe zagrożenia — wymaga regularnych aktualizacji. Ustal harmonogram przeglądów (np. co kwartał).

Podsumowanie

Wdrożenie polityki AI w firmie to zadanie, które łączy prawo, technologię i kulturę organizacyjną. Nie musi być skomplikowane — wystarczy klasyfikacja danych, wybór zatwierdzonych narzędzi z planami Enterprise, jasne zasady dla pracowników i regularne szkolenia. Firmy, które zrobią to teraz, unikną problemów z RODO, wyciekami danych i chaosem organizacyjnym, który pojawia się, gdy AI jest używane bez kontroli.

Potrzebujesz pomocy przy wdrożeniu polityki AI i bezpiecznych narzędzi w swojej firmie? Pomagamy od audytu, przez napisanie polityki, po szkolenia pracowników.

Wdrożenie AI w firmie →

Powiązane artykuły

Logitech MX Vertical i MX Keys
Outsourcing

Logitech MX Vertical + MX Keys (2025): Po 2 latach Testów Na 3 Komputerach

Recenzja Logitech MX Vertical i MX Keys po 2 latach użytkowania na 3 komputerach. Pionowa mysz ergonomiczna z Flow i klawiatura mechaniczna - czy warto?

Ergonomiczne stanowisko pracy przy komputerze
Outsourcing

Ergonomia Pracy Przy Komputerze: Prosty Przewodnik Dla Twojego Zdrowia

Praktyczny przewodnik po ergonomii pracy przy komputerze. Ustawienie biurka, monitora, krzesła i ćwiczenia dla zdrowego kręgosłupa i nadgarstków.

Web Scraping w Python
Outsourcing

Web Scraping w 2025: Od Podstaw do Zaawansowanych Technik

Kompletny przewodnik po web scrapingu w Python 2025. BeautifulSoup, Scrapy, Selenium i narzędzia no-code. Techniki omijania CAPTCHA i skalowanie.

Powiązana usługa

Outsourcing IT

Informatyk na abonament, Microsoft 365, serwery, migracja do chmury i więcej

Potrzebujesz pomocy IT?

Skontaktuj się z nami i dowiedz się, jak możemy pomóc Twojemu biznesowi

Napisz do nas