Przejdź do treści
Artykuły

AI w firmie

Polityka AI w małej firmie: proste zasady, AI Act i bezpieczna praca zespołu

W wielu małych firmach AI pojawia się oddolnie: pracownik wkleja treść umowy do asystenta, handlowiec generuje ofertę, a obsługa klienta streszcza zgłoszenie. Brak zasad nie zatrzymuje użycia — tylko odbiera firmie kontrolę.

2026-07-11 9 min czytania

Dobra polityka AI dla MŚP może zmieścić się na dwóch stronach. Powinna mówić, z jakich narzędzi wolno korzystać, jakich danych nie wolno wprowadzać, które wyniki wymagają kontroli i kto odpowiada za każdy przypadek użycia.

Definicja do cytowania

Polityka AI w małej firmie to krótka instrukcja określająca zatwierdzone narzędzia, dane zakazane, wymagany poziom kontroli wyniku i odpowiedzialność za każdy przypadek użycia sztucznej inteligencji.

Dlaczego temat jest pilny

W 2025 roku z technologii AI korzystało 20 procent przedsiębiorstw w UE zatrudniających co najmniej 10 osób, ale w Polsce tylko 8,4 procent. Jednocześnie nieformalne korzystanie z publicznych asystentów może nie być widoczne w statystykach ani w narzędziach firmowych.

Artykuł 4 AI Act dotyczący odpowiedniego poziomu kompetencji AI obowiązuje od 2 lutego 2025 roku, a nadzór i egzekwowanie przepisów rozpoczynają się w sierpniu 2026 roku. Nie oznacza to, że każda firma potrzebuje rozbudowanego programu compliance. Potrzebuje jednak zasad i szkolenia proporcjonalnych do sposobu, w jaki używa AI.

Zacznij od rejestru realnego użycia

Najpierw trzeba dowiedzieć się, gdzie AI już działa. Krótka ankieta lub warsztat powinny objąć narzędzia, rodzaj danych, cel, osoby korzystające i to, czy wynik trafia bezpośrednio do klienta albo wpływa na decyzję o człowieku.

Rejestr nie służy do karania pracowników. Ma odróżnić bezpieczny szkic wpisu od sytuacji, w której model analizuje dane pracownicze, finansowe, medyczne albo poufne informacje klienta.

  • nazwa narzędzia i właściciel biznesowy
  • cel użycia oraz osoby korzystające
  • rodzaje przekazywanych danych
  • miejsce wykorzystania wyniku i wymagany poziom kontroli
  • ustawienia retencji, region przetwarzania i umowa z dostawcą

Cztery reguły, które zespół zapamięta

Polityka, której nikt nie rozumie, nie zmienia zachowania. Dla większości zastosowań biurowych wystarczą cztery czytelne zasady: używaj zatwierdzonych narzędzi, nie wprowadzaj danych zakazanych, sprawdzaj wynik przed użyciem i nie oddawaj modelowi decyzji, za którą odpowiada człowiek.

Lista danych zakazanych powinna być konkretna. Zamiast ogólnego „nie wklejaj danych wrażliwych” lepiej wymienić dane klientów, hasła i klucze, nieopublikowane wyniki finansowe, dokumentację pracowniczą oraz informacje objęte umową poufności.

Kontrola zależy od ryzyka

Szkic wewnętrznej agendy ma inne ryzyko niż odpowiedź prawna, decyzja rekrutacyjna czy automatycznie wysłana oferta. Dlatego każdy przypadek warto przypisać do prostego poziomu: niski, podwyższony lub niedopuszczalny bez dodatkowej analizy.

Im większy wpływ na klienta, pracownika, pieniądze albo prawa osoby, tym silniejsza powinna być kontrola człowieka, dokumentacja źródeł i możliwość odtworzenia decyzji. W części procesów najlepszą decyzją będzie użycie zwykłych reguł zamiast AI.

  • niskie ryzyko: szkice, podsumowania i pomysły bez danych poufnych
  • podwyższone ryzyko: komunikacja z klientem, analiza dokumentów i rekomendacje
  • wysokie ryzyko: zatrudnienie, ocena osób, dostęp do usług lub istotne decyzje finansowe

AI literacy to praktyka, nie jednorazowy quiz

Szkolenie powinno odpowiadać roli pracownika i używanym narzędziom. Osoba tworząca treści musi rozumieć błędy i prawa autorskie, administracja — poufność danych, a właściciel procesu — odpowiedzialność, monitoring i procedurę incydentu.

Warto zachować wersję polityki, listę uczestników szkolenia i przykłady omówionych przypadków. Taka dokumentacja pomaga pokazać, że firma podjęła proporcjonalne działania, ale przede wszystkim daje zespołowi jasny sposób pracy.

Minimalny plan na pierwsze 30 dni

W pierwszym tygodniu zbierz przypadki użycia. W drugim wybierz zatwierdzone narzędzia i ustawienia. W trzecim opisz dwustronicową politykę oraz ścieżkę zgłaszania wątpliwości. W czwartym przeprowadź krótkie szkolenie na prawdziwych przykładach z firmy.

Politykę trzeba aktualizować po dodaniu nowego narzędzia, zmianie procesu albo incydencie. Nie jest dokumentem prawnym odłożonym do folderu, tylko instrukcją operacyjną dla zespołu.

FAQ

Najczęstsze pytania

Czy AI Act dotyczy małych firm?

Tak, część obowiązków może dotyczyć również MŚP korzystających z systemów AI. Zakres zależy od roli firmy i zastosowania, dlatego zasady powinny być proporcjonalne do ryzyka.

Co oznacza obowiązek AI literacy?

Firma powinna zadbać, aby osoby korzystające z AI miały wiedzę i umiejętności odpowiednie do narzędzia, kontekstu, ryzyka oraz osób, na które wynik może wpływać.

Jak długa powinna być polityka AI dla małego zespołu?

Często wystarczą dwie strony jasnych zasad, lista zatwierdzonych narzędzi, przykłady danych zakazanych i ścieżka zgłoszenia wątpliwości lub incydentu.

Następny krok

Chcesz sprawdzić, który proces warto zautomatyzować jako pierwszy?

Przyjdź z jednym ręcznym procesem albo problemem IT. W 20 minut wskażemy 3-5 usprawnień, oszacujemy odzyskany czas i powiemy, czy właściwą odpowiedzią jest automatyzacja, integracja, narzędzie wewnętrzne czy zwykła praca IT.

Umów bezpłatny audyt procesu