Powrót do bloga
6.07.20266 minut
Autor:Redakcja Apptivity
Polityka korzystania z AI w firmie – co musi zawierać (wzór i checklista)

Polityka korzystania z AI w firmie – co musi zawierać (wzór i checklista)

Skoro pracownicy i tak korzystają z AI (a statystyki pokazują, że korzystają), lepiej dać im jasne zasady, niż udawać, że problemu nie ma. Polityka korzystania z AI to krótki, praktyczny dokument, który mówi: z czego można korzystać, na jakich zasadach i jakie dane nigdy nie mogą trafić do narzędzi AI.

To nie jest wielki projekt prawny. Dobra polityka AI dla MŚP to zwykle 2–4 strony. Poniżej znajdziesz jej strukturę i checklistę.

Po co firmie polityka AI

  • Ogranicza ryzyko wycieku danych i naruszenia RODO.
  • Daje pracownikom pewność – wiedzą, co wolno, a czego nie.
  • Przygotowuje firmę na AI Act – rozporządzenie UE wymaga m.in. odpowiednich kompetencji AI wśród osób korzystających z takich systemów (obowiązek stosowany od lutego 2025 r.).
  • Zamienia shadow AI w kontrolowane AI – bez blokowania i odbierania przewagi.

Co musi zawierać dobra polityka AI

1. Zakres i cel

Kogo dotyczy (wszyscy pracownicy, współpracownicy), czego dotyczy (jakie narzędzia AI) i po co powstała.

2. Lista zatwierdzonych narzędzi

Z jakich narzędzi można korzystać (np. firmowy ChatGPT Team, Copilot) i na jakich kontach – tylko służbowych, nigdy prywatnych.

3. Zasady dotyczące danych

Serce dokumentu. Jasno wypisane, jakie dane nigdy nie trafiają do AI: dane osobowe klientów i pracowników, dane finansowe, medyczne, tajemnice przedsiębiorstwa, hasła, kod z konfiguracją.

4. Zasady jakości i odpowiedzialności

Człowiek zawsze weryfikuje wynik AI; pracownik odpowiada za to, co publikuje/wysyła; oznaczanie treści generowanych przez AI tam, gdzie to wymagane.

5. Zgodność i role

Kto odpowiada za politykę, jak zgłaszać wątpliwości, powiązanie z RODO (rejestr czynności, umowy powierzenia) i AI Act.

6. Reakcja na incydent

Co zrobić, gdy dane jednak trafią do AI – komu zgłosić i w jakim czasie.

Checklista: czy Twoja polityka AI jest kompletna?

  • Wskazane, z jakich narzędzi AI można korzystać
  • Wymóg kont służbowych (zakaz prywatnych)
  • Lista danych zakazanych w AI
  • Zasada „człowiek weryfikuje wynik"
  • Powiązanie z RODO (rejestr, umowy powierzenia)
  • Odniesienie do obowiązków z AI Act
  • Procedura zgłaszania incydentu
  • Krótkie szkolenie zespołu z zasad

Jeśli odhaczyłeś mniej niż połowę – masz lukę, którą warto domknąć.

Od czego zacząć

Nie pisz polityki „od zera i na wyczucie". Najpierw sprawdź, gdzie realnie są luki – inaczej stworzysz dokument oderwany od tego, co dzieje się w firmie.

Krok 0: zrób bezpłatny audyt AI. 13 pytań, wynik od ręki – pokaże Twoje najsłabsze obszary (widoczność, dane, RODO, AI Act, świadomość zespołu). Na tej podstawie napiszesz politykę, która faktycznie pasuje do Twojej firmy.

Najczęstsze pytania

Czy mała firma potrzebuje polityki AI?

Tak. Skala nie ma znaczenia – jeśli pracownicy korzystają z AI, ryzyko wycieku i naruszenia RODO istnieje niezależnie od wielkości firmy.

Ile stron powinna mieć polityka AI?

Dla MŚP zwykle 2–4 strony. Ma być czytana i stosowana, a nie leżeć w segregatorze – im prostsza, tym lepiej.

Czy polityka AI wystarczy, żeby być zgodnym z AI Act?

To ważny element, ale nie jedyny. AI Act wymaga też m.in. kompetencji AI wśród pracowników i – w zależności od zastosowań – dodatkowych obowiązków. Audyt pomoże ocenić, co dokładnie Cię dotyczy.

Źródła

  • Komisja Europejska – AI Act i obowiązek kompetencji AI (art. dot. AI literacy, stosowany od 2 lutego 2025): digital-strategy.ec.europa.eu
  • Urząd Ochrony Danych Osobowych (UODO) – materiały o RODO i nowych technologiach: uodo.gov.pl