Polityka korzystania z AI to wewnętrzny dokument, który określa, z jakich narzędzi sztucznej inteligencji pracownicy mogą korzystać, do jakich zadań, na jakich danych i pod czyim nadzorem. To obok rejestru systemów AI drugi fundament zgodności z AI Act - i pierwszy dokument, o który zapyta audytor, klient lub organ nadzoru.

Poniżej pełna checklista tego, co polityka powinna zawierać, oraz najczęstsze błędy, które sprawiają, że dokument istnieje, ale nie działa.

Dlaczego polityka AI jest potrzebna?

Pracownicy już korzystają z AI - z polityką czy bez niej. Różnica polega na tym, czy robią to według zasad, które firma świadomie ustaliła, czy według własnego uznania, na prywatnych kontach i bez wiedzy organizacji.

AI Act nie zawiera przepisu „każda firma musi mieć politykę AI". Ale wymaga od organizacji rzeczy, których bez polityki nie da się zrobić: zapewnienia odpowiedniego poziomu kompetencji AI u pracowników (art. 4), niedopuszczania do praktyk zakazanych (art. 5), przejrzystości wobec ludzi (art. 50) i nadzoru człowieka nad systemami wysokiego ryzyka (art. 26). Polityka jest miejscem, w którym te wymagania zamieniają się w konkretne zasady dnia codziennego.

Do tego dochodzi wszystko, co z AI Act bezpośrednio nie wynika, a co potrafi zaboleć szybciej: wyciek danych klientów wklejonych do darmowego chatbota, naruszenie RODO, utrata tajemnicy przedsiębiorstwa, kod z podatnością wdrożony bez weryfikacji, treści wprowadzające klientów w błąd.

Checklista: 10 elementów dobrej polityki AI

1. Zakres i definicje. Czego dotyczy polityka (narzędzia zewnętrzne, funkcje AI w oprogramowaniu, systemy własne) i kogo obowiązuje (pracownicy, współpracownicy, podwykonawcy).

2. Lista narzędzi dopuszczonych i zakazanych. Wprost, z nazwami - powiązana z rejestrem systemów AI. Pracownik nie powinien zgadywać, czy „to konkretne narzędzie" jest OK.

3. Zasady dotyczące danych. Co wolno, a czego nie wolno wprowadzać do narzędzi AI: dane osobowe, dane klientów, tajemnica przedsiębiorstwa, kod źródłowy, dane finansowe. To najważniejszy punkt całego dokumentu.

4. Weryfikacja wyników. Kiedy wynik pracy AI wymaga sprawdzenia przez człowieka - i kto odpowiada za efekt końcowy (zasada: odpowiada człowiek, nie narzędzie).

5. Przejrzystość. Kiedy trzeba oznaczyć, że treść powstała z użyciem AI - wobec klientów, kontrahentów i wewnątrz firmy (spójnie z art. 50 AI Act).

6. Zastosowania zabronione. Katalog czerwonych linii: decyzje o ludziach bez nadzoru człowieka, analiza emocji pracowników, użycia sprzeczne z art. 5 AI Act, omijanie zabezpieczeń narzędzi.

7. Proces zgłaszania nowych narzędzi. Ścieżka: kto może zgłosić, kto ocenia, kto zatwierdza. Bez tego polityka zamraża firmę albo jest omijana.

8. Incydenty. Co zrobić, gdy coś pójdzie nie tak (wyciek danych, błędna treść u klienta, podejrzenie naruszenia) - do kogo zgłosić i w jakim czasie.

9. Szkolenia i potwierdzenia. Obowiązek odbycia szkolenia AI literacy oraz pisemne (lub systemowe) potwierdzenie zapoznania się z polityką. Bez potwierdzeń nie ma dowodów.

10. Właściciel i przegląd. Kto odpowiada za politykę i jak często jest aktualizowana. Rynek AI zmienia się co miesiąc - polityka sprzed roku bez przeglądu to fikcja.

Najczęstsze błędy przy wdrażaniu

Polityka-zakaz. Dokument, który zakazuje wszystkiego, nie eliminuje AI z firmy - eliminuje tylko wiedzę o tym, jak AI jest używana. Pracownicy przechodzą na prywatne telefony i konta, a firma traci resztkę kontroli. O skali tego zjawiska pisaliśmy w artykule o shadow AI.

Polityka-esej. Piętnaście stron ogólników o „odpowiedzialnym wykorzystaniu innowacji" bez odpowiedzi na pytanie, czy wolno wkleić umowę klienta do chatbota. Dobra polityka jest konkretna i krótka.

Polityka bez szkoleń. Dokument w intranecie, którego nikt nie przeczytał, nie chroni ani pracowników, ani firmy. Zasady działają, gdy idą w parze z kompetencjami - dlatego AI Act stawia AI literacy na pierwszym miejscu (pisaliśmy o tym w artykule AI literacy to pierwsza linia obrony).

Polityka bez dowodów. Przy kontroli lub sporze liczy się nie to, czy polityka istnieje, ale czy firma potrafi wykazać: kto ją zatwierdził, kiedy, kto się z nią zapoznał i kto przeszedł szkolenie. Brak dowodów = brak polityki.

Polityka AI a pozostałe elementy zgodności

Polityka nie działa w próżni. Pełny, minimalny zestaw zgodności wygląda tak: rejestr systemów AI (co i gdzie używamy) → polityka (na jakich zasadach) → szkolenia z certyfikatem (czy ludzie wiedzą jak) → dowody i przegląd (czy umiemy to wykazać). Ten zestaw weryfikuje się potem tak, jak zrobiłby to kontroler - opisujemy to w przewodniku Audyt zgodności z AI Act krok po kroku.

Terminy i sankcje, które czynią ten zestaw pilnym, zebraliśmy na stronie Zgodność z AI Act oraz w przewodniku po karach AI Act.

Jak pomaga AI TrustCERT?

W platformie AI TrustCERT polityka korzystania z AI jest gotowym, edytowalnym elementem systemu: wzorzec dokumentu, dystrybucja do pracowników, zbieranie potwierdzeń zapoznania się, powiązanie z rejestrem narzędzi i szkoleniami oraz raport dowodowy. Zamiast pisać dokument od zera i pilnować podpisów w mailach - organizacja dostaje działający obieg w 1-7 dni. Przykład naszych własnych zasad znajdziesz na stronie Zasady wykorzystania AI.

Nie wiesz, czy polityka to Twój pierwszy krok? Sprawdź w 3 minuty - bezpłatny AI Ready Check.

Podsumowanie

Polityka korzystania z AI odpowiada na cztery pytania: z czego wolno korzystać, na jakich danych, kto sprawdza wyniki i co robić, gdy coś pójdzie nie tak. Dziesięć elementów z checklisty powyżej wystarcza, by dokument był kompletny.

Najważniejsze jednak, żeby polityka była żywa: znana pracownikom, potwierdzona podpisami, wsparta szkoleniami i regularnie przeglądana. Taki dokument chroni firmę podwójnie - najpierw zapobiega incydentom, a jeśli mimo wszystko do nich dojdzie, stanowi dowód staranności, który bezpośrednio wpływa na ocenę organu i wymiar ewentualnej kary.

Źródła

  1. Rozporządzenie (UE) 2024/1689 (AI Act) - art. 4 (AI literacy), art. 5 (praktyki zakazane), art. 26 (nadzór człowieka u deployerów systemów wysokiego ryzyka), art. 50 (przejrzystość): eur-lex.europa.eu
  2. Komisja Europejska - AI Literacy - Questions & Answers: obowiązek zapewnienia kompetencji AI (art. 4) u dostawców i podmiotów stosujących: digital-strategy.ec.europa.eu