Kancelaria Radcy Prawnego Tomasz Derwich | Poznań | Kalisz | Prawo Spółek | Umowy Gospodarcze
Kancelaria Radcy Prawnego Tomasz Derwich | Poznań | Kalisz | Prawo Spółek | Umowy Gospodarcze

COMPLIANCE

Ostatnie publikacje 

Zdalne zgromadzenie wspólników w spółce z o. o.
Umowa deweloperska w branży GameDev. Jak się zabezpieczyć w relacji z wydawcą?
Asystentka i higienistka stomatologiczna jako nowe zawody medyczne

autor artykułu

Tomasz Derwich

radca prawny

Polityka AI w firmie – jak ją wdrożyć, żeby ograniczyć ryzyko i odpowiedzialność

a computer chip with the letter a on top of it

Śledź mnie na:

Tomasz Derwich | radca prawny - profil na LinkedIn
Tomasz Derwich | radca prawny - profil na Instagramie
Tomasz Derwich | radca prawny - profil na Facebook'u
31 grudnia 2025

Wyobraź sobie taki scenariusz - w firmie „wszyscy już używają AI”, tylko nikt nie potrafi powiedzieć kto, do czego, na jakich danych i z jakim skutkiem. Jeden handlowiec wrzuca do narzędzia fragment umowy „żeby poprawić styl”, ktoś z HR prosi model o przygotowanie odpowiedzi do kandydata i kopiuje w prompt wrażliwe informacje, a programista „dla wygody” podsyła kawałek kodu z repozytorium. Brzmi znajomo?

 

 

Działa? Działa. Do czasu. Bo to jest dokładnie ten typ praktyki, który przy pierwszym incydencie (albo przy due diligence inwestora/kontrahenta) zamienia się w pytania: gdzie są zasady, kto nad tym panuje, jak minimalizujecie wyciek danych i jak dokumentujecie decyzje?

 

Polityka AI nie jest po to, żeby „zakazać ChatGPT”. Jest po to, żeby AI w firmie było przewidywalne, kontrolowalne i audytowalne – oraz żebyś w razie problemu mógł pokazać: mieliśmy zasady, wdrożyliśmy je, szkoliliśmy ludzi, a incydent obsłużyliśmy procedurą.

 

Poniżej przedstawiam praktyczny model wdrożenia polityki AI w firmie – z naciskiem nie tylko na RODO, ale też na wyciek danych poufnych (w tym tajemnicy przedsiębiorstwa), odpowiedzialność zarządczą i compliance.

 

 

Po co firmie polityka AI – realny problem compliance?

 

Z perspektywy compliance najczęściej chodzi o cztery obszary ryzyk:

 

  1. Dane osobowe (RODO) – bo AI bywa wykorzystywane do przetwarzania danych klientów, pracowników, pacjentów, kandydatów. PUODO wprost wskazuje na nakładanie się w praktyce AI i RODO (w tym w kontekście usług takich jak ChatGPT).

  2. Dane poufne / tajemnica przedsiębiorstwa – bo do narzędzi AI trafiają: warunki handlowe, marże, roadmapy, opisy technologii, wewnętrzne procedury, a nawet „zwykłe” maile, które w zestawieniu mają wartość. Ustawa o zwalczaniu nieuczciwej konkurencji definiuje tajemnicę przedsiębiorstwa m.in. jako informacje mające wartość gospodarczą, niepowszechnie znane i objęte działaniami w celu zachowania poufności.

  3. Bezpieczeństwo informacji i cyber – bo AI to często usługa zewnętrzna: ryzyko nieautoryzowanego ujawnienia, błędnej konfiguracji, „wklejania” danych w niewłaściwe miejsce, a także ryzyko socjotechniki (np. generowanie wiadomości podszywających się pod firmę).

  4. Regulacje AI (AI Act) i oczekiwania rynku – bo od 2025–2027 kolejne elementy AI Act stają się stosowane, a kontrahenci coraz częściej pytają o governance AI (zwłaszcza w branżach regulowanych i przy projektach enterprise). AI Act ma harmonogram stosowania (m.in. wybrane przepisy od 2 lutego 2025 r., kolejne od 2 sierpnia 2025 r., zasadniczo od 2 sierpnia 2026 r.).

 

Polityka AI jest więc „łącznikiem” między tymi obszarami: ustala zasady używania, role, kontrolę, dokumentowanie i reakcję na incydenty.

 

 

Czym jest „polityka AI” w praktyce (a czym nie jest)

 

Polityka AI to nie akademicki dokument o „etyce” ani slajd czy wpis w bazie wiedzy w intranecie. W praktyce to zestaw spójnych reguł, które:

  • mówią kiedy wolno używać AI i do jakich zadań,

  • definiują jakich narzędzi wolno używać (i na jakich ustawieniach),

  • ustawiają „czerwone linie” – czego nie wolno wprowadzać do AI,

  • wprowadzają role i odpowiedzialności (biznes, IT, security, DPO/compliance),

  • opisują proces akceptacji nowych use case’ów,

  • nakładają minimalne wymogi bezpieczeństwa i logowania,

  • określają obsługę incydentów i zasady raportowania,

  • są wdrożone w praktyce: szkolenia, komunikacja, audyt wewnętrzny.

 

Jeżeli dokument nie zmienia lub nie dostosowuje zachowań w firmie, to nie jest polityką – to jest po prostu zbędny „papier”, na który niepotrzebnie poświęcono zasoby.

 

 

 

AI Act – dlaczego warto to uwzględnić już dziś

 

Nawet jeśli Twoja firma nie jest „dostawcą AI”, tylko jej użytkownikiem (deployerem), to AI Act zmienia oczekiwania: governance, transparentność, ocena ryzyk, dokumentacja. Harmonogram stosowania jest rozłożony w czasie: rozporządzenie stosuje się zasadniczo od 2 sierpnia 2026 r., z wyjątkami (m.in. część przepisów od 2 lutego 2025 r. i 2 sierpnia 2025 r.).

 

Dodatkowo, jeśli w organizacji używacie lub wdrażacie rozwiązania oparte o modele ogólnego przeznaczenia (GPAI), warto rozumieć, że AI Act nakłada określone obowiązki na dostawców takich modeli – a pośrednio wpływa to na Wasze zakupy, umowy i due diligence. Komisja Europejska wskazuje m.in. obowiązki dotyczące dokumentacji technicznej, polityki copyright i publikowania podsumowania treści treningowych, a dla modeli o „systemic risk” także m.in. ocenę ryzyka, raportowanie incydentów i zabezpieczenia cyber; obowiązki te wchodzą do stosowania 2 sierpnia 2025 r.

 

Dla compliance to jest sygnał: umowy z dostawcami i wewnętrzne zasady użycia AI muszą być spójne z tym, jak rynek będzie audytował AI w 2026+.

 

polika ai

 

 

Ryzyko wycieku danych poufnych: dlaczego „RODO to nie wszystko”

 

W praktyce najdroższe incydenty związane z AI to często nie kary administracyjne, tylko:

  • ujawnienie strategii cenowej/warunków handlowych konkurencji,

  • ujawnienie elementów technologii (know-how),

  • naruszenie NDA z klientem,

  • utrata przewagi w negocjacjach,

  • spór o prawa do IP, gdy ktoś „nakarmił” model treściami chronionymi.

 

Wyciek danych poufnych bywa trudniejszy do „odwrócenia” niż naruszenie RODO, bo nie zawsze masz klasyczną ścieżkę notyfikacji/naprawy – a szkoda biznesowa potrafi żyć latami.

 

Kluczowe jest też to, że „tajemnica przedsiębiorstwa” wymaga realnych działań ochronnych. Definicja ustawowa wprost odwołuje się do tego, czy uprawniony podjął działania w celu utrzymania poufności.


Polityka AI jest jednym z tych działań – i bywa mocnym argumentem dowodowym, że firma traktowała poufność serio.

 

 

Najczęstsze błędy firm przy wdrażaniu AI (z perspektywy compliance)?

 

  1. Brak rozróżnienia narzędzi: publiczne vs. firmowe/enterprise vs. on-prem. Wszystko wrzucane do jednego worka „AI”.

  2. Zakaz zamiast procesu: „nie wolno używać AI” – a potem i tak wszyscy używają, tylko poza kontrolą (shadow AI).

  3. Brak klasyfikacji informacji: pracownik nie wie, czy dane w mailu to „już poufne”, czy jeszcze nie.

  4. Brak właściciela: nie wiadomo, czy AI jest po stronie IT, security, legal, czy biznesu.

  5. Brak wdrożenia operacyjnego: polityka jest, ale nie ma szkoleń, kontroli, logów, ani reakcji na incydenty.

  6. Brak śladu decyzyjnego: nie ma rejestru use case’ów, oceny ryzyk, ani uzasadnień.

 

 

Wdrożenie polityki AI krok po kroku (model praktyczny)

 

Poniżej przedstawiam Ci ogólny proces, który działa w większości organizacji – od startupu po spółkę z rozproszonymi zespołami.

 

Krok 1: Ustal zakres – „do czego AI jest u nas”

Na start odpowiedz sobie (i opisz w polityce) na trzy pytania:

  • Czy AI ma być narzędziem produktywności (pisanie, streszczenia, analiza), czy też elementem produktu/usługi dla klientów?

  • Czy dopuszczasz użycie AI w procesach, które dotyczą ludzi (HR, scoring, ocena, selekcja, profilowanie)?

  • Czy dopuszczasz AI na danych klienta/pacjenta/kontrahenta – czy tylko na danych „wewnętrznych i bezpiecznych”?

To determinuje resztę (w tym ryzyka AI Act/RODO).

 

Krok 2: Zrób inwentaryzację i „mapę przepływu danych”

Minimum, które rekomenduję:

  • lista narzędzi AI używanych w organizacji (w tym wtyczki, rozszerzenia, „AI wbudowane” w narzędzia SaaS),

  • typowe use case’y (marketing, sprzedaż, HR, prawo, IT),

  • jakie dane trafiają do narzędzia (kategorie: publiczne / wewnętrzne / poufne / dane osobowe),

  • gdzie jest przetwarzanie (UE/poza UE, chmura dostawcy, urządzenie lokalne),

  • jakie są uprawnienia (kto może używać, jak jest logowanie, czy są konta firmowe).

Bez tego polityka będzie teoretyczna.

 

Krok 3: Ustal „czerwone linie” – czego nie wolno wprowadzać do AI

To jest serce dokumentu. Zwykle stosuję zasadę: zakaz wprowadzania do narzędzi AI wszystkiego, czego ujawnienie na zewnątrz realnie szkodzi firmie lub narusza umowę/prawo.

Przykładowe kategorie zakazane (dobrze działają jako checklista):

  • dane osobowe szczególnych kategorii, dane zdrowotne, dane dzieci (w zależności od branży),

  • dane uwierzytelniające i bezpieczeństwa (hasła, tokeny, klucze API, konfiguracje),

  • treści objęte NDA / tajemnicą klienta,

  • informacje stanowiące tajemnicę przedsiębiorstwa (know-how, marże, roadmapy, plany kampanii, warunki umów),

  • nieopublikowany kod źródłowy i fragmenty repo, jeśli nie masz pewności co do reżimu umownego i ustawień narzędzia,

  • dane finansowe niepubliczne i raporty zarządcze,

  • dokumentacja wewnętrzna, która ułatwia obejście kontroli (procedury bezpieczeństwa „od kuchni”).

 

W polityce warto dodać prostą regułę dla użytkownika (minimum ostrożności):
Jeśli nie wysłałbyś tego mailem do zewnętrznego kontrahenta bez NDA – nie wrzucaj tego do AI.

 

Krok 4: Zdefiniuj dozwolone narzędzia i tryby użycia

Tu najczęściej wchodzi podział:

  • Dozwolone narzędzia firmowe (konta enterprise, SSO, logowanie, ograniczenia, umowa),

  • Dozwolone narzędzia publiczne – ale tylko do danych publicznych/niepoufnych,

  • Zakazane narzędzia / rozszerzenia (np. nieautoryzowane wtyczki do przeglądarki, „darmowe” generatory dokumentów).

Dobrą praktyką jest wprowadzenie zasady: AI tylko przez konto firmowe (a nie prywatne), bo inaczej nie masz kontroli, audytu i egzekwowalności.

 

Krok 5: Governance – role i odpowiedzialności

W compliance największy problem to „wszyscy i nikt”. W polityce wpisz jasno:

  • Właściciel polityki (np. Compliance/Legal wspólnie z CISO/IT),

  • Owner rejestru use case’ów (kto akceptuje nowe zastosowania),

  • DPO / osoba od RODO – kiedy musi być włączona (np. gdy wchodzą dane osobowe, profilowanie, automatyzacja decyzji),

  • Security – minimalne wymogi techniczne (DLP, SSO, blokady),

  • Biznes – odpowiedzialność za sensowność i jakość danych wejściowych.

I koniecznie: kto podejmuje decyzję o dopuszczeniu narzędzia oraz kto podpisuje umowę z dostawcą po stronie biznesu.

 

Krok 6: Rejestr use case’ów + szybka ocena ryzyka (lekki proces)

Nie każ firmie pisać 30-stronicowych analiz. Zrób formularz „AI Use Case Card” na 1–2 strony, z polami:

  • cel i opis procesu,

  • narzędzie i dostawca,

  • kategorie danych (publiczne/wewnętrzne/poufne/osobowe),

  • czy output wpływa na ludzi (HR, scoring, decyzje),

  • ryzyka (RODO, poufność, IP, reputacja),

  • zabezpieczenia (anonimizacja/pseudonimizacja, maskowanie, ograniczenia dostępu),

  • decyzja: dopuszczone / dopuszczone warunkowo / niedopuszczone,

  • właściciel biznesowy + data przeglądu (np. co 6–12 miesięcy).

To daje Ci dwa efekty compliance: kontrolę i dowód staranności.

 

Krok 7: Zabezpieczenia techniczne (minimum, które realnie pomaga)

Polityka bez techniki bywa nieskuteczna. Typowe „quick wins”:

  • SSO/MFA dla narzędzi AI,

  • blokady lub alerty na przesyłanie określonych typów danych (DLP – nawet w prostym wariancie),

  • ograniczenia instalacji wtyczek/rozszerzeń,

  • logowanie użycia narzędzi (kto, kiedy, jakie narzędzie),

  • osobne środowiska dla danych wrażliwych (np. analiza lokalna/on-prem lub narzędzia z dedykowanymi gwarancjami umownymi),

  • wzorce „maskowania” danych (np. zastępowanie identyfikatorów danymi testowymi).

Tu nie chodzi o perfekcję, tylko o sensowną barierę przed najczęstszymi błędami użytkowników.

 

Krok 8: Zasady dla pracowników – proste, operacyjne, do skanowania

W praktyce najlepiej działają krótkie reguły w stylu „Do / Don’t”. Przykład:

Do:

  • używaj AI do streszczania, formatowania i redakcji treści niepoufnych,

  • korzystaj z zatwierdzonych narzędzi i kont firmowych,

  • w razie wątpliwości klasyfikuj dane „w górę” (bardziej restrykcyjnie),

  • weryfikuj output (AI może halucynować).

Don’t:

  • nie wklejaj do promptów danych poufnych i objętych NDA,

  • nie wprowadzaj danych osobowych, jeśli use case nie jest dopuszczony i nie ma podstawy prawnej,

  • nie używaj AI jako „autopilota” w komunikacji z klientem bez weryfikacji,

  • nie traktuj AI jako źródła prawdy (zwłaszcza w sprawach prawnych/medycznych).

 

Krok 9: Umowy z dostawcami AI i klauzule „AI w łańcuchu dostaw”

Jeśli firma kupuje narzędzia AI (lub narzędzia z modułami AI), compliance powinno dopilnować:

  • gdzie są przetwarzane dane i jakie są podprocesory,

  • zasady retencji i dostępu do danych,

  • gwarancje poufności oraz ograniczenia użycia danych do celów własnych dostawcy,

  • audytowalność i wsparcie w razie incydentu,

  • wątek RODO (jeśli dane osobowe) oraz bezpieczeństwa (minimum techniczne).

Równolegle warto dodać do swoich umów z klientami/kontrahentami dwie rzeczy:

  • czy i kiedy dopuszczasz użycie AI przy realizacji usługi,

  • jakie masz zabezpieczenia (żeby nie wpaść w konflikt z NDA „no subcontracting/no AI”).

 

Krok 10: Szkolenia, komunikacja i egzekwowanie (czyli „wdrożenie”)

Wdrażanie polityki AI bez szkoleń kończy się zwykle tym, że politykę zna… compliance. Minimum:

  • szkolenie startowe dla wszystkich (30–45 min, konkretne przykłady),

  • szkolenia pogłębione dla HR/IT/sprzedaży/prawników,

  • krótkie „one-pagery” i FAQ,

  • kanał do pytań („czy mogę to wrzucić do AI?”),

  • cykliczny przegląd i aktualizacja (np. co 6 miesięcy).

 

Krok 11: Incydenty AI – jak raportować i co robić

Polityka powinna jasno mówić:

  • czym jest incydent (np. wklejenie poufnych danych do niezatwierdzonego narzędzia),

  • komu zgłosić (security/compliance/DPO),

  • jakie są pierwsze kroki (zabezpieczenie konta, ustalenie zakresu, kontakt z dostawcą, ocena obowiązków notyfikacyjnych),

  • jak dokumentujecie zdarzenie.

 

Tu wraca praktyka regulatorów: PUODO zwraca uwagę na realne działania wobec operatorów systemów AI w kontekście obowiązków wynikających z RODO.

 

Element „strategiczny”: polityka AI jako tarcza w due diligence i w odpowiedzialności zarządczej

 

Jeżeli planujesz:

  • sprzedaż udziałów,

  • wejście inwestora,

  • duży kontrakt enterprise,

  • certyfikacje bezpieczeństwa / audyty,

to polityka AI działa jak „evidence pack” compliance. Inwestor czy kontrahent przeważnie nie oczekuje, że wyeliminujesz ryzyko do zera. Oczekuje, że:

  • rozumiesz ryzyko,

  • masz proces zarządzania,

  • potrafisz wykazać staranność.

 

W tle jest też odpowiedzialność zarządcza „klasyczna”: za organizację, nadzór, ochronę interesu spółki. Polityka AI (wdrożona, a nie tylko napisana) jest jednym z narzędzi, które tę staranność materializują.

 

 

chat gpt ai

 

 

Checklista: co powinno znaleźć się w polityce AI (sensowne minimum)?

 

Jeśli chcesz to zebrać w jedną listę, to polityka AI powinna zawierać co najmniej:

  1. definicje (AI, narzędzie zatwierdzone, dane poufne, dane osobowe),

  2. zakres (kogo dotyczy, jakie procesy),

  3. klasyfikacja informacji + czerwone linie,

  4. lista dozwolonych narzędzi i zasad kont firmowych,

  5. role i odpowiedzialności (governance),

  6. rejestr use case’ów + szybka ocena ryzyka,

  7. zasady bezpieczeństwa (SSO/MFA, DLP, logowanie, wtyczki),

  8. zasady korzystania przez pracowników (Do/Don’t),

  9. zasady kontraktowe i zakupy (vendor management),

  10. procedura incydentowa + dokumentowanie,

  11. szkolenia i przeglądy okresowe.

 

 

Podsumowanie

 

Polityka AI w firmie nie jest luksusem ani „modnym dokumentem”. To praktyczny mechanizm compliance, który:

  • ogranicza ryzyko RODO, ale przede wszystkim ryzyko wycieku danych poufnych,

  • porządkuje użycie AI (żeby nie było shadow AI),

  • daje governance i ślad decyzyjny,

  • wzmacnia pozycję firmy w negocjacjach i due diligence,

  • pomaga bronić się w razie incydentu: mieliśmy zasady, wdrożyliśmy je i egzekwowaliśmy.

 

Jeżeli jesteś w sytuacji, w której AI „już działa” w firmie, ale brakuje zasad, rejestru use case’ów i kontroli nad danymi – to jest dobry moment, żeby wdrożyć politykę AI zanim zrobi to za Was incydent albo audyt kontrahenta.

 

 

Powyższe informacje mają charakter ogólny i edukacyjny – nie stanowią porady prawnej w konkretnej sprawie. Każde wdrożenie polityki AI wymaga analizy sposobu działania organizacji, przepływów danych, umów oraz stosowanych narzędzi. Jeżeli chcesz sprawdzić, jak wdrożyć politykę AI w Twojej firmie i jak ograniczyć ryzyko (w tym wyciek danych poufnych), rozważ konsultację indywidualną.

Ostatnie publikacje

Zdalne zgromadzenie wspólników w spółce z o. o.
19 maja 2025
Czytaj więcej ›
Umowa deweloperska w branży GameDev. Jak się zabezpieczyć w relacji z wydawcą?
27 marca 2024
Czytaj więcej ›
Asystentka i higienistka stomatologiczna jako nowe zawody medyczne
14 marca 2024
Czytaj więcej ›
Sankcja kredytu darmowego
07 marca 2024
Czytaj więcej ›

Artykuł to jednak za mało?

r. pr. Tomasz Derwich

Formularz kontaktowy

Zadzwoń, napisz lub wyślij formularz.

Jeśli masz jeszcze pytania, skontaktuj się ze mną w celu umówienia bezpłatnej konsultacji Twojej sprawy.

 

Podczas tego pierwszego kontaktu dowiem się dokładnie jakie są Twoje potrzeby i wyjaśnię jak mogę Ci pomóc.

Administratorem Twoich danych osobowych jest Kancelaria Radcy Prawnego Tomasz Derwich. Dane będą przetwarzane w celu udzielenia odpowiedzi lub kontaktu zgodnie z polityką prywatności.

Imię
Nazwisko
Twój e-mail:
telefon
Treść wiadomości:
Wyślij
Wyślij
Formularz został wysłany.
Niebawem się z Tobą skontaktuję.
Proszę wypełnić wszystkie wymagane pola!

branża kreatywna

prawo medyczne

it & nowe technologie

blog

kontakt

o mnie

polityka cookies

regulamin serwisu

polityka prywatności

fuzje i przejęcia

prawo umów

prawo spółek

Obserwuj mnie

Informacje prawne

Specjalizacje

Na skróty

Kancelaria Radcy Prawnego

Tomasz Derwich

 

ul. I. Paderewskiego 6/5

61-770 Poznań

 

NIP: 6182057887

REGON: 361662365

 

Zadzwoń lub napisz do mnie w celu umówienia bezpłatnej konsultacji wstępnej Twojej sprawy - w formie rozmowy telefonicznej lub wideokonferencji online.