Jak przygotować politykę korzystania z AI w firmie?

W Biurze Porad Prawnych wspieramy firmy w przygotowaniu polityk korzystania z AI, ocenie ryzyka, uporządkowaniu dokumentacji oraz wdrażaniu zasad AI Governance zgodnych z RODO i AI Act. Pomagamy również w szerszych działaniach związanych z ochroną danych, takich jak audyt RODO, analiza procesów przetwarzania, aktualizacja dokumentacji, przygotowanie procedur wewnętrznych i wsparcie przy dostosowaniu organizacji do obowiązujących przepisów. Dzięki temu polityka AI nie jest oderwanym dokumentem, ale częścią spójnego systemu bezpieczeństwa informacji i zgodności prawnej w firmie.

Dlaczego firma powinna mieć politykę korzystania z AI?

Polityka korzystania z AI nie jest dokumentem tworzonym wyłącznie „na wszelki wypadek”. Jej celem jest ograniczenie ryzyka i uporządkowanie praktyk, które w wielu firmach już istnieją. choćby o ile organizacja oficjalnie nie wdrożyła żadnego systemu AI, pracownicy mogą samodzielnie korzystać z publicznych chatbotów, generatorów treści, narzędzi do transkrypcji spotkań albo dodatków AI w poczcie, CRM czy pakietach biurowych.

Bez jasnych zasad trudno kontrolować, jakie dane trafiają do zewnętrznych narzędzi, kto odpowiada za wyniki wygenerowane przez AI i czy pracownicy rozumieją, czego nie powinni wpisywać do takich systemów. Polityka AI pomaga uniknąć przypadkowego ujawnienia danych osobowych, tajemnicy przedsiębiorstwa, informacji handlowych, dokumentów klientów albo danych kadrowych.

Od czego zacząć tworzenie polityki AI?

Przygotowanie polityki warto zacząć od sprawdzenia, jak firma faktycznie korzysta ze sztucznej inteligencji. Nie należy opierać się wyłącznie na założeniu, iż „u nas nikt tego nie używa”. W praktyce AI może być obecna w wielu działach: marketingu, sprzedaży, HR, obsłudze klienta, administracji, IT, finansach czy zarządzie.

Pierwszym krokiem powinien być krótki audyt narzędzi. Warto ustalić, z jakich aplikacji korzystają pracownicy, czy są to rozwiązania zatwierdzone przez firmę, jakie dane są do nich wprowadzane i czy dostawcy tych narzędzi zapewniają odpowiedni poziom bezpieczeństwa. Dopiero na tej podstawie można przygotować politykę dopasowaną do realnych procesów, a nie ogólny dokument oderwany od codziennej pracy.

Jakie cele powinna mieć polityka korzystania z AI?

Dobra polityka powinna jasno wyjaśniać, po co firma reguluje korzystanie z AI. Nie chodzi o blokowanie nowych technologii, ale o odpowiedzialne i bezpieczne korzystanie z nich. Dokument powinien pokazywać, iż AI może wspierać pracę, ale nie zwalnia pracowników z myślenia, weryfikowania wyników i przestrzegania zasad ochrony danych.

W polityce warto wskazać, iż jej celem jest ochrona danych osobowych, poufnych informacji firmy, praw klientów i kontrahentów oraz reputacji organizacji. Trzeba również podkreślić, iż treści wygenerowane przez AI mogą zawierać błędy, uproszczenia albo nieaktualne informacje, dlatego nie powinny być bezrefleksyjnie wykorzystywane w decyzjach biznesowych, prawnych, finansowych czy kadrowych.

Jak określić, z jakich narzędzi AI można korzystać?

Jednym z najważniejszych elementów polityki jest lista narzędzi dopuszczonych do użytku. Firma powinna zdecydować, czy pracownicy mogą korzystać tylko z określonych rozwiązań, czy także z innych narzędzi po wcześniejszej akceptacji. Warto unikać sytuacji, w której każdy dział samodzielnie wybiera aplikacje AI bez sprawdzenia regulaminów, zasad przetwarzania danych i ustawień prywatności.

Polityka może dzielić narzędzia na zatwierdzone, warunkowo dopuszczone i zabronione. Zatwierdzone to te, które firma sprawdziła i uznała za bezpieczne do określonych zastosowań. Warunkowo dopuszczone mogą być używane tylko do wybranych zadań, np. bez wprowadzania danych osobowych. Zabronione będą natomiast narzędzia, które nie dają kontroli nad danymi, wykorzystują wpisywane treści do trenowania modeli albo nie zapewniają odpowiednich informacji o przetwarzaniu.

Jakich danych nie wolno wprowadzać do AI?

To powinien być jeden z najbardziej praktycznych fragmentów całej polityki. Pracownik musi wiedzieć, czego nie może kopiować do narzędzi AI. W dokumencie warto jasno wskazać, iż bez wyraźnej zgody firmy nie wolno wprowadzać danych klientów, danych pracowników, informacji o stanie zdrowia, numerów PESEL, danych finansowych, dokumentów tożsamości, umów, ofert handlowych, haseł, kodów dostępu, danych logowania ani informacji objętych tajemnicą przedsiębiorstwa.

W wielu przypadkach ryzyko nie wynika ze złej woli pracownika, ale z braku świadomości. Ktoś chce gwałtownie streścić długiego maila od klienta albo poprawić treść umowy, więc wkleja całość do publicznego narzędzia AI. Polityka powinna zapobiegać takim sytuacjom i pokazywać bezpieczne alternatywy, np. anonimizację danych albo korzystanie z zatwierdzonych narzędzi firmowych.

Kto powinien zatwierdzać nowe narzędzia AI?

Polityka powinna określać procedurę zgłaszania nowych narzędzi. Pracownik lub dział, który chce wdrożyć konkretne rozwiązanie AI, powinien wiedzieć, do kogo się zgłosić i jakie informacje przygotować. Chodzi m.in. o nazwę narzędzia, cel użycia, rodzaj danych, dostawcę, planowaną liczbę użytkowników i potencjalny wpływ na klientów, pracowników lub kontrahentów.

W procesie oceny powinny uczestniczyć osoby odpowiedzialne za bezpieczeństwo, ochronę danych, kwestie prawne i dany obszar biznesowy. o ile w firmie działa Inspektor Ochrony Danych, powinien być włączany szczególnie wtedy, gdy AI przetwarza dane osobowe, wspiera podejmowanie decyzji dotyczących ludzi albo może powodować podwyższone ryzyko dla prywatności.

Jak opisać odpowiedzialność pracowników?

Polityka korzystania z AI powinna jasno wskazywać, iż pracownik odpowiada za sposób wykorzystania narzędzia i nie może traktować wyniku AI jako gotowej, pewnej odpowiedzi. Treści wygenerowane przez AI trzeba weryfikować, szczególnie gdy mają trafić do klienta, dokumentu prawnego, oferty, raportu, komunikacji marketingowej albo decyzji wewnętrznej.

Warto podkreślić, iż AI nie powinna samodzielnie podejmować decyzji dotyczących zatrudnienia, oceny pracownika, przyznania świadczenia, obsługi reklamacji czy sytuacji klienta, o ile firma wcześniej nie przeanalizowała takiego procesu. W takich obszarach szczególnie ważna jest kontrola człowieka, przejrzystość i ocena ryzyka.

Czy polityka AI powinna być połączona z RODO?

Tak. Polityka AI powinna być spójna z dokumentacją RODO, polityką bezpieczeństwa informacji, regulaminem pracy, procedurą obsługi incydentów i umowami z dostawcami. o ile firma dopuszcza korzystanie z narzędzi AI, powinna sprawdzić, czy wymaga to aktualizacji rejestru czynności przetwarzania, klauzul informacyjnych, umów powierzenia albo procedury naruszeń ochrony danych.

AI Governance nie powinno funkcjonować obok RODO, ale razem z nim. Dopiero wtedy firma ma pełniejszy obraz tego, jakie dane przetwarza, gdzie mogą trafiać informacje i kto odpowiada za nadzór nad technologią.

Jak wdrożyć politykę AI w praktyce?

Samo przygotowanie dokumentu nie wystarczy. Politykę trzeba zakomunikować pracownikom, omówić na szkoleniu i pokazać na przykładach. Najlepiej wyjaśnić, które działania są dozwolone, które wymagają zgody, a które są całkowicie zakazane.

Warto też regularnie aktualizować dokument, ponieważ narzędzia AI zmieniają się bardzo szybko. Polityka przygotowana raz i odłożona do folderu nie spełni swojej roli. Powinna być częścią szerszego systemu zarządzania AI w firmie.

Od czego zacząć już teraz?

Najlepiej zacząć od krótkiego audytu i rozmowy z działami, które najczęściej korzystają z nowych technologii. Następnie warto przygotować listę narzędzi AI, określić zasady ich używania, wskazać dane zakazane, ustalić procedurę akceptacji nowych rozwiązań i przeszkolić pracowników.

Dobrze przygotowana polityka korzystania z AI nie blokuje rozwoju firmy. Przeciwnie – pozwala korzystać z nowych technologii bez chaosu, przypadkowego naruszenia RODO i utraty kontroli nad danymi. Dzięki niej organizacja może wdrażać AI świadomie, bezpiecznie i w sposób dopasowany do rzeczywistych procesów biznesowych.