AI w firmie
Polityka AI w małej firmie: proste zasady, AI Act i bezpieczna praca zespołu
W wielu małych firmach AI pojawia się oddolnie: pracownik wkleja treść umowy do asystenta, handlowiec generuje ofertę, a obsługa klienta streszcza zgłoszenie. Brak zasad nie zatrzymuje użycia — tylko odbiera firmie kontrolę.
Dobra polityka AI dla MŚP może zmieścić się na dwóch stronach. Powinna mówić, z jakich narzędzi wolno korzystać, jakich danych nie wolno wprowadzać, które wyniki wymagają kontroli i kto odpowiada za każdy przypadek użycia.
Definicja do cytowania
Polityka AI w małej firmie to krótka instrukcja określająca zatwierdzone narzędzia, dane zakazane, wymagany poziom kontroli wyniku i odpowiedzialność za każdy przypadek użycia sztucznej inteligencji.
Dlaczego temat jest pilny
W 2025 roku z technologii AI korzystało 20 procent przedsiębiorstw w UE zatrudniających co najmniej 10 osób, ale w Polsce tylko 8,4 procent. Jednocześnie nieformalne korzystanie z publicznych asystentów może nie być widoczne w statystykach ani w narzędziach firmowych.
Artykuł 4 AI Act dotyczący odpowiedniego poziomu kompetencji AI obowiązuje od 2 lutego 2025 roku, a nadzór i egzekwowanie przepisów rozpoczynają się w sierpniu 2026 roku. Nie oznacza to, że każda firma potrzebuje rozbudowanego programu compliance. Potrzebuje jednak zasad i szkolenia proporcjonalnych do sposobu, w jaki używa AI.
Zacznij od rejestru realnego użycia
Najpierw trzeba dowiedzieć się, gdzie AI już działa. Krótka ankieta lub warsztat powinny objąć narzędzia, rodzaj danych, cel, osoby korzystające i to, czy wynik trafia bezpośrednio do klienta albo wpływa na decyzję o człowieku.
Rejestr nie służy do karania pracowników. Ma odróżnić bezpieczny szkic wpisu od sytuacji, w której model analizuje dane pracownicze, finansowe, medyczne albo poufne informacje klienta.
- nazwa narzędzia i właściciel biznesowy
- cel użycia oraz osoby korzystające
- rodzaje przekazywanych danych
- miejsce wykorzystania wyniku i wymagany poziom kontroli
- ustawienia retencji, region przetwarzania i umowa z dostawcą
Cztery reguły, które zespół zapamięta
Polityka, której nikt nie rozumie, nie zmienia zachowania. Dla większości zastosowań biurowych wystarczą cztery czytelne zasady: używaj zatwierdzonych narzędzi, nie wprowadzaj danych zakazanych, sprawdzaj wynik przed użyciem i nie oddawaj modelowi decyzji, za którą odpowiada człowiek.
Lista danych zakazanych powinna być konkretna. Zamiast ogólnego „nie wklejaj danych wrażliwych” lepiej wymienić dane klientów, hasła i klucze, nieopublikowane wyniki finansowe, dokumentację pracowniczą oraz informacje objęte umową poufności.
Kontrola zależy od ryzyka
Szkic wewnętrznej agendy ma inne ryzyko niż odpowiedź prawna, decyzja rekrutacyjna czy automatycznie wysłana oferta. Dlatego każdy przypadek warto przypisać do prostego poziomu: niski, podwyższony lub niedopuszczalny bez dodatkowej analizy.
Im większy wpływ na klienta, pracownika, pieniądze albo prawa osoby, tym silniejsza powinna być kontrola człowieka, dokumentacja źródeł i możliwość odtworzenia decyzji. W części procesów najlepszą decyzją będzie użycie zwykłych reguł zamiast AI.
- niskie ryzyko: szkice, podsumowania i pomysły bez danych poufnych
- podwyższone ryzyko: komunikacja z klientem, analiza dokumentów i rekomendacje
- wysokie ryzyko: zatrudnienie, ocena osób, dostęp do usług lub istotne decyzje finansowe
AI literacy to praktyka, nie jednorazowy quiz
Szkolenie powinno odpowiadać roli pracownika i używanym narzędziom. Osoba tworząca treści musi rozumieć błędy i prawa autorskie, administracja — poufność danych, a właściciel procesu — odpowiedzialność, monitoring i procedurę incydentu.
Warto zachować wersję polityki, listę uczestników szkolenia i przykłady omówionych przypadków. Taka dokumentacja pomaga pokazać, że firma podjęła proporcjonalne działania, ale przede wszystkim daje zespołowi jasny sposób pracy.
Minimalny plan na pierwsze 30 dni
W pierwszym tygodniu zbierz przypadki użycia. W drugim wybierz zatwierdzone narzędzia i ustawienia. W trzecim opisz dwustronicową politykę oraz ścieżkę zgłaszania wątpliwości. W czwartym przeprowadź krótkie szkolenie na prawdziwych przykładach z firmy.
Politykę trzeba aktualizować po dodaniu nowego narzędzia, zmianie procesu albo incydencie. Nie jest dokumentem prawnym odłożonym do folderu, tylko instrukcją operacyjną dla zespołu.
FAQ
Najczęstsze pytania
Czy AI Act dotyczy małych firm?
Tak, część obowiązków może dotyczyć również MŚP korzystających z systemów AI. Zakres zależy od roli firmy i zastosowania, dlatego zasady powinny być proporcjonalne do ryzyka.
Co oznacza obowiązek AI literacy?
Firma powinna zadbać, aby osoby korzystające z AI miały wiedzę i umiejętności odpowiednie do narzędzia, kontekstu, ryzyka oraz osób, na które wynik może wpływać.
Jak długa powinna być polityka AI dla małego zespołu?
Często wystarczą dwie strony jasnych zasad, lista zatwierdzonych narzędzi, przykłady danych zakazanych i ścieżka zgłoszenia wątpliwości lub incydentu.
Następny krok
Chcesz sprawdzić, który proces warto zautomatyzować jako pierwszy?
Przyjdź z jednym ręcznym procesem albo problemem IT. W 20 minut wskażemy 3-5 usprawnień, oszacujemy odzyskany czas i powiemy, czy właściwą odpowiedzią jest automatyzacja, integracja, narzędzie wewnętrzne czy zwykła praca IT.
Umów bezpłatny audyt procesu