O czym jest ta analiza
Wewnętrzna polityka AI nie jest biurokratycznym odruchem. Tworzy porządek, zanim pojedyncze narzędzia, prompty, dane i automatyzacje w sposób niekontrolowany przenikną do procesów biznesowych. Dla zarządu kluczowe jest, kto może stosować AI, w jakim celu, z jakimi danymi, na jakich zatwierdzeniach i z jaką dokumentacją.
- Korzystanie z AI w firmie to nie tylko IT, lecz ład korporacyjny.
- Polityka AI powinna regulować kompetencje, dozwolone narzędzia, klasy danych, zatwierdzenia, dokumentację i zakazy.
- Ochrona danych, tajemnice przedsiębiorstwa, prawo autorskie, rada zakładowa, odpowiedzialność i AI Act mogą stać się istotne w zależności od sposobu użycia.
- Od 2 lutego 2025 r. obowiązują, według przedstawienia Komisji Europejskiej, m.in. obowiązki AI Literacy oraz zakazy określonych praktyk AI.
- Po politycznym porozumieniu z 7 maja 2026 r. dla niektórych obszarów wysokiego ryzyka obowiązują nowe późniejsze terminy stosowania. Stan należy ponownie sprawdzić przed publikacją.
- Tekst stanowi ogólną analizę i nie zastępuje badania konkretnego przypadku.
Treść
Dlaczego dla Lutza Färbera AI nie jest tematem narzędziowym
Lutz Färber nie postrzega AI w firmie przede wszystkim jako kwestii technologicznej.
Technologię wprowadza się szybko. Konto powstaje w kilka minut. Prompt pisze się szybko. Plik wgrywa się szybko. Odpowiedź wygląda przekonująco. I właśnie to czyni AI tak kuszącą.
Ale odpowiedzialność firmy nie zaczyna się tam, gdzie narzędzie błyszczy. Zaczyna się tam, gdzie ktoś pyta: jakie dane wprowadzamy? Które wyniki wykorzystujemy? Kto je sprawdza? Kto odpowiada za błędy? Co może wprowadzić pracownik? Co pozostaje poufne? Co należy udokumentować? I czego w firmie w ogóle robić nie wolno?
Z perspektywy Lutza AI nie potrzebuje histerii. Ale potrzebuje porządku.
Nie dlatego, że każda firma od razu potrzebuje rozbudowanego systemu compliance AI. Lecz dlatego, że nieuregulowane korzystanie z AI może bardzo szybko mieć skutki prawne, organizacyjne i ekonomiczne.
Dlaczego korzystanie z AI często już dawno się zaczęło
Wiele firm sądzi, że musi dopiero wprowadzić AI. W rzeczywistości AI często już dawno tam jest.
Pracownik korzysta z ChatGPT do napisania e-maila. Menedżer każe sobie ustrukturyzować prezentację. Dział sprzedaży testuje narzędzie AI do ofert. HR formułuje ogłoszenia o pracę z pomocą AI. Marketing tworzy teksty i obrazy. Controlling każe podsumować dane. Zespoły projektowe korzystają z transkrypcji. Pojedyncze działy eksperymentują z automatyzacjami.
To zrozumiałe. AI jest praktyczna. Szybka. Kusząco prosta.
Ale właśnie tu powstaje problem. Gdy firma nie ma reguł, każdy decyduje sam: z jakich narzędzi korzystać, jakie dane wprowadzać, które wyniki przejmować, które źródła sprawdzać i jakie ryzyka akceptować.
Wtedy nie powstaje strategia AI. Powstaje shadow AI (AI w cieniu). A shadow AI rzadko jest złą wolą. Najczęściej jest tylko próbą lepszego wykonywania pracy, zanim firma zdecydowała, co w ogóle wolno nazwać lepszym.
1. AI to ład korporacyjny, nie tylko IT
AI często umiejscawia się w IT. To zbyt wąskie ujęcie.
IT może sprawdzać narzędzia, zarządzać dostępami, oceniać bezpieczeństwo i ustalać wymogi techniczne. Ale AI dotyczy więcej: zarządu, ochrony danych, compliance, HR, rady zakładowej, działów merytorycznych, sprzedaży, marketingu, zakupów, prawa i strategii firmy.
AI zmienia nie tylko narzędzia. AI zmienia ścieżki decyzyjne, jakość informacji, odpowiedzialność i kontrolę. Do wyjaśnienia są w szczególności:
- Kto decyduje o zastosowaniu narzędzi AI?
- Które narzędzia są dozwolone?
- Które narzędzia są zakazane?
- Jakie dane można wprowadzać?
- Jakich danych nie wolno nigdy wprowadzać?
- Kto sprawdza wyniki AI?
- Kto dokumentuje użycie?
- Które procesy mogą być wspierane przez AI?
- Których decyzji nie wolno automatyzować?
- Kiedy wymagane jest zatwierdzenie przez kierownictwo, ochronę danych, IT, dział prawny lub radę zakładową?
- Kto ponosi odpowiedzialność, gdy wynik AI jest błędny?
AI jest sprawą zarządu nie dlatego, że zarząd musi rozumieć każde zastosowanie. AI jest sprawą zarządu, ponieważ zarząd musi stworzyć porządek, w którym inni mogą pracować odpowiedzialnie.
2. AI Act i nowa regulacja
Unijny AI Act tworzy oparte na ryzyku ramy prawne dla AI.
Rozporządzenie (UE) 2024/1689 zostało przyjęte 13 czerwca 2024 r. i weszło w życie 1 sierpnia 2024 r. Według przedstawienia Komisji Europejskiej niektóre części już obowiązują: zakazy określonych praktyk AI oraz obowiązki AI Literacy od 2 lutego 2025 r., reguły dotyczące ładu i obowiązki dla modeli AI ogólnego przeznaczenia (general-purpose AI) od 2 sierpnia 2025 r.
Komisja Europejska wskazuje ponadto, że AI Act co do zasady ma być stosowany od 2 sierpnia 2026 r., z wyjątkami. Po politycznym porozumieniu z 7 maja 2026 r. w ramach AI Omnibus reguły dla niektórych obszarów wysokiego ryzyka — w tym biometrii, infrastruktury krytycznej, edukacji, zatrudnienia, migracji, azylu i kontroli granicznej — mają obowiązywać od 2 grudnia 2027 r. Dla systemów AI w niektórych produktach istotny ma stać się 2 sierpnia 2028 r.
Ważne: ten stan należy ponownie sprawdzić przed publikacją wobec oficjalnych źródeł UE, ponieważ formalne przyjęcie zmiany pozostaje jeszcze do potwierdzenia.
Dla firm nie oznacza to, że każde korzystanie z AI jest od razu systemem wysokiego ryzyka. Oznacza jednak: firmy powinny wiedzieć, jakie systemy AI stosują, do czego są używane, jaką rolę pełni firma i jakie ryzyka powstają.
- Jakie systemy AI są już używane?
- Kto jest dostawcą, operatorem, użytkownikiem lub integratorem?
- Chodzi o samo wsparcie tekstowe, analizę, przygotowanie decyzji czy decyzję zautomatyzowaną?
- Czy systemy AI są stosowane w HR, rekrutacji, ocenie wydajności, weryfikacji klientów, kredytach, compliance lub bezpieczeństwie?
- Czy istotne są obowiązki przejrzystości?
- Czy wymogi AI Literacy są wdrożone organizacyjnie?
- Czy występują zakazane zastosowania?
- Czy istnieje dokumentacja i odpowiedzialności?
- Kto obserwuje dalszy rozwój AI Act?
AI Act nie jest powodem do paraliżu. Ale jest wyraźną wskazówką: korzystanie z AI bez inwentaryzacji, odpowiedzialności i reguł nie jest już na czasie.
Źródła: Rozporządzenie (UE) 2024/1689, harmonogram AI Act Komisji Europejskiej, Rada UE w sprawie politycznego porozumienia z 7 maja 2026 r.
3. Ochrona danych i dane osobowe
Wiele ryzyk AI zaczyna się od pozornie nieszkodliwego uploadu.
Lista klientów. Profil kandydata. Protokół. Notatka kadrowa. Umowa. E-mail. Wyciąg z CRM. Informacja o zdrowiu lub wydajności. Zrzut ekranu. Nagranie rozmowy.
Gdy tylko przetwarzane są dane osobowe, należy zbadać ochronę danych. W zależności od narzędzia i zastosowania istotne mogą stać się m.in. podstawa prawna, ograniczenie celu, minimalizacja danych, obowiązki informacyjne, powierzenie przetwarzania, transfer do państw trzecich, usuwanie, bezpieczeństwo i kontrola dostępu.
Art. 28 RODO dotyczy powierzenia przetwarzania. Art. 32 RODO dotyczy bezpieczeństwa przetwarzania. W zależności od konfiguracji istotne mogą stać się również inne wymogi RODO. Polityka AI powinna więc jasno określać klasy danych:
- informacje dostępne publicznie
- informacje wewnętrzne
- informacje poufne
- dane osobowe
- szczególne kategorie danych osobowych
- dane kandydatów i pracowników
- dane klientów i dostawców
- dane umowne
- dane o zdrowiu
- tajemnice przedsiębiorstwa
Prosta zasada brzmi: czego nie powinno być w obcym systemie, tego nie powinno być też w oknie AI. Brzmi banalnie. W praktyce właśnie ta banalność często zapobiega pierwszemu dużemu błędowi.
Źródła: RODO, w szczególności art. 28 i art. 32 RODO
4. Tajemnice przedsiębiorstwa i informacje poufne
Narzędzia AI są często karmione dokładnie tymi informacjami, które firma powinna chronić.
Dokumenty strategiczne. Kalkulacje. Oferty. Kod źródłowy. Pomysły produktowe. Rysunki techniczne. Dane klientów. Stany negocjacji. Analizy wewnętrzne. Dokumenty M&A. Informacje wspólników.
Zgodnie z § 2 GeschGehG (niemiecka ustawa o tajemnicy przedsiębiorstwa) tajemnicą przedsiębiorstwa jest m.in. informacja, która jest poufna, ma wartość gospodarczą, jest przedmiotem odpowiednich środków zachowania poufności i przy której istnieje uzasadniony interes w zachowaniu poufności.
Jest to kluczowe dla korzystania z AI. Bo jeśli pracownicy wprowadzają poufne informacje do zewnętrznych narzędzi AI w sposób niekontrolowany, może to dotykać ochrony tajemnic przedsiębiorstwa, obowiązków poufności i relacji umownych.
- Które informacje uznaje się za poufne?
- Które informacje uznaje się za tajemnice przedsiębiorstwa?
- Których informacji nie wolno wprowadzać do publicznych narzędzi AI?
- Które narzędzia są zatwierdzone dla informacji poufnych?
- Jakie istnieją techniczne środki ochrony?
- Jakie istnieją umowne środki ochrony?
- Jak szkoleni są pracownicy?
- Jak traktowane są naruszenia?
- Jak dokumentuje się, że istnieją odpowiednie środki zachowania poufności?
Tajemnice przedsiębiorstwa nie tracą ochrony dopiero wtedy, gdy ktoś je złośliwie zdradzi. Czasem wystarczy dobrze pomyślany prompt z niewłaściwą treścią.
Źródło: § 2 GeschGehG (prawo niemieckie)
5. Prawo autorskie, treści i wyniki pracy
AI jest często używana do tekstów, obrazów, prezentacji, kodu, tłumaczeń, opisów produktów, koncepcji lub analiz.
Pojawiają się przy tym pytania z zakresu prawa autorskiego i praw użytkowania. Nie każdy wynik AI jest automatycznie wolny od praw osób trzecich. Nie każde dane wejściowe wolno wykorzystać do opracowania. Nie każdy wynik wolno bez sprawdzenia opublikować, sprzedać lub przekazać klientom.
- Jakie treści są wprowadzane do narzędzi AI?
- Czy istnieją prawa osób trzecich do tych treści?
- Czy firma może zlecić przetwarzanie tych treści?
- Jakie warunki korzystania obowiązują dla narzędzia AI?
- Kto może zatwierdzać treści wygenerowane przez AI?
- Czy źródła, cytaty lub fakty zostały sprawdzone?
- Czy istnieją obowiązki oznaczania?
- Kto odpowiada za błędne lub naruszające prawo treści?
- Jakie reguły obowiązują dla kodu, obrazów, znaków towarowych, sloganów i tekstów fachowych?
AI może przyspieszyć powstawanie treści. Nie zastępuje jednak odpowiedzialności za ich wykorzystanie. Tekst nie staje się prawnie czysty przez to, że brzmi płynnie.
6. Pracownicy, rada zakładowa i organizacja pracy
AI zmienia procesy pracy. Dlatego istotne może stać się również prawo pracy.
Pracodawcy powinni uregulować, czy i jak pracownicy mogą korzystać z AI. Dotyczy to dozwolonych narzędzi, danych, obowiązków kontroli, oznaczania, odpowiedzialności i zakazów.
Jeśli istnieje rada zakładowa, istotne mogą stać się prawa współdecydowania. § 87 ust. 1 nr 6 BetrVG dotyczy wprowadzania i stosowania urządzeń technicznych przeznaczonych do monitorowania zachowania lub wydajności pracowników. W zależności od narzędzia AI, rejestrowania, analizy, monitoringu lub powiązania z wydajnością należy to wcześnie zbadać.
Ważne są również szkolenia i kwalifikacje. AI Act zawiera wymogi dotyczące AI Literacy. Firmy powinny więc sprawdzić, jak pracownicy są odpowiednio uwrażliwiani i szkoleni w zakresie korzystania z AI.
- Czy pracownicy mogą korzystać z narzędzi AI?
- Które narzędzia są zatwierdzone?
- Które cele są dozwolone?
- Które cele są zakazane?
- Czy wyniki AI muszą być oznaczane?
- Czy wyniki AI muszą być sprawdzane merytorycznie?
- Kto ponosi odpowiedzialność za wyniki pracy?
- Czy zbierane są dane o użyciu lub dane o wydajności?
- Czy należy włączyć radę zakładową?
- Jakie szkolenia są wymagane?
- Jak traktowane jest nadużycie?
Polityki AI nie powinny ubezwłasnowolniać pracowników. Powinny dawać im niezawodne bariery ochronne. Bo nic nie jest mniej produktywne niż firma, w której wszyscy korzystają z AI, ale nikt nie wie, czy to dozwolone.
Źródła: § 87 BetrVG, AI Act w zakresie AI Literacy
7. Wybór narzędzi, umowy i powierzenie przetwarzania
Nie każde narzędzie AI nadaje się do użytku firmowego.
Przed wprowadzeniem firmy powinny sprawdzić, jakie warunki umowne obowiązują, gdzie przetwarzane są dane, czy dane wejściowe są wykorzystywane do treningu, jakie istnieją standardy bezpieczeństwa, czy stosowani są podwykonawcy i jakie prawa istnieją do wyników.
W niektórych konfiguracjach istotne może stać się powierzenie przetwarzania zgodnie z art. 28 RODO. Wtedy umowa lub inny instrument prawny musi regulować przetwarzanie.
- Kto jest dostawcą narzędzia AI?
- W jakim celu wykorzystywane jest narzędzie?
- Jakie dane są przetwarzane?
- Czy dane wejściowe są wykorzystywane do treningu?
- Gdzie przechowywane są dane?
- Czy występują transfery do państw trzecich?
- Czy istnieje umowa powierzenia przetwarzania?
- Jacy istnieją podwykonawcy?
- Jakie obowiązują terminy usuwania?
- Jakie istnieją środki bezpieczeństwa?
- Jakie istnieją prawa audytu lub kontroli?
- Jakie prawa użytkowania wyników są uregulowane?
- Jakie ograniczenia odpowiedzialności zawiera umowa?
Narzędzie AI nie staje się przydatne dla firmy przez to, że dostarcza imponujących odpowiedzi. Przydatne dla firmy staje się dopiero wtedy, gdy umowa, dane, bezpieczeństwo i odpowiedzialność do siebie pasują.
8. Odpowiedzialność, kontrola i dokumentacja
Wyniki AI mogą być błędne, niekompletne, zniekształcone, nieaktualne lub problematyczne prawnie.
Dlatego korzystanie z AI w firmie wymaga jasnych reguł kontroli.
- Które wyniki AI muszą być sprawdzane?
- Kto sprawdza poprawność merytoryczną?
- Kto sprawdza ryzyka prawne lub regulacyjne?
- Których wyników nie wolno używać bez sprawdzenia?
- Czy AI wolno wykorzystywać do decyzji dotyczących ludzi?
- Jak sprawdzane są źródła?
- Jak dokumentowane są prompty i wyniki?
- Kiedy wymagane jest zatwierdzenie przez człowieka?
- Jakie istnieją procesy obsługi błędów lub eskalacji?
- Jakie kwestie odpowiedzialności mogą powstać wobec klientów, pracowników lub osób trzecich?
AI może ułatwić pracę. Ale nie podpisuje się. Nie odpowiada. Nie siedzi w rozmowie z klientem, gdy coś pójdzie nie tak. Odpowiedzialna pozostaje firma.
9. Co powinna regulować wewnętrzna polityka AI
Dobra polityka AI nie jest 80-stronicowym dziełem, którego nikt nie czyta. Musi być zrozumiała, konkretna i użyteczna.
Powinna regulować co najmniej następujące punkty:
- cel polityki AI
- zakres obowiązywania
- dozwolone narzędzia AI
- zakazane narzędzia AI
- dozwolone przypadki użycia
- zakazane przypadki użycia
- klasy danych
- reguły dla danych osobowych
- reguły dla tajemnic przedsiębiorstwa
- reguły dla danych klientów i danych umownych
- reguły dla danych kandydatów i pracowników
- obowiązki kontroli wyników AI
- obowiązki oznaczania
- procesy zatwierdzania
- dokumentacja
- kwestie rady zakładowej
- proces zatwierdzania narzędzi
- szkolenia i AI Literacy
- postępowanie z błędami
- sankcje za naruszenia
- regularna aktualizacja
Polityka AI nie musi wszystkiego zakazywać. Musi zapobiec temu, by każdy wymyślał własny stan prawny.
10. Typowe błędy przy AI w firmie
Z perspektywy adwokackiej przy stosowaniu AI w firmach powtarzają się określone wzorce.
AI jest używana, zanim firma oficjalnie to uregulowała.
Zarząd uważa AI za czysty temat IT.
Pracownicy wprowadzają dane osobowe do niezatwierdzonych narzędzi.
Poufne informacje i tajemnice przedsiębiorstwa są przetwarzane w sposób niekontrolowany.
Warunki korzystania z narzędzi nie są sprawdzane.
Powierzenie przetwarzania i transfer do państw trzecich są pomijane.
Rada zakładowa jest włączana zbyt późno.
Wyniki AI są przejmowane bez sprawdzenia.
Treści wygenerowane przez AI są publikowane bez sprawdzenia praw i faktów.
Nie ma jasnej odpowiedzialności za zatwierdzanie narzędzi.
Szkolenia i AI Literacy są niedoceniane.
Polityka AI jest albo zbyt ogólna, albo tak skomplikowana, że nikt z niej nie korzysta.
Ostatni błąd jest zaskakująco częsty. Firmy piszą reguły, których nikt nie chce czytać, a potem dziwią się, że wszyscy improwizują. Dobry ład nie zaczyna się od papieru. Zaczyna się od zrozumiałości.
Analiza autorstwa
Lutz Färber
Adwokat (Rechtsanwalt) i Senior Legal Advisor
Z mojej perspektywy AI w firmie nie jest tematem do histerii. Ale też nie do naiwności.
Największe niebezpieczeństwo nie polega na tym, że firma korzysta z AI. Większe niebezpieczeństwo polega na tym, że AI jest już dawno używana, choć nikt nie przejął za to odpowiedzialności.
Pracownik wgrywa umowę. Menedżer każe sformułować notatkę kadrową. Sprzedaż wykorzystuje dane klientów do analizy. Marketing publikuje treści AI. HR sprawdza aplikacje z pomocą AI. Każdy ma dobre intencje. I właśnie tak czasem powstaje problem. Nie złośliwie. Nie dramatycznie. Po prostu w nieładzie.
Wewnętrzna polityka AI nie jest więc hamulcem innowacji. Jest barierą ochronną. Nie mówi: nie używajcie AI. Mówi: używajcie AI tak, by dane, ludzie, prawa, tajemnice przedsiębiorstwa i odpowiedzialność pozostały chronione.
Dla mnie to sprawa zarządu. Nie dlatego, że zarząd ma zatwierdzać każdy prompt. Lecz dlatego, że musi zdecydować, jaki porządek obowiązuje w firmie.
AI nie potrzebuje więcej hałasu. Potrzebuje odpowiedzialności.
Lista kontrolna dla zarządu
Podsumowanie
AI w firmie to już nie przyszłość. To codzienność pracy.
Właśnie dlatego potrzebuje reguł. Nie jako hamulec innowacji. Nie jako ćwiczenie z biurokracji. Lecz jako ochrona zdolności do działania. Firmy muszą wiedzieć, jakie narzędzia są używane, jakie dane można wprowadzać, kto sprawdza wyniki, jakie zatwierdzenia są potrzebne, jaką rolę odgrywają ochrona danych, rada zakładowa, tajemnice przedsiębiorstwa, prawo autorskie i AI Act oraz kto ponosi odpowiedzialność.
Z perspektywy adwokackiej kluczowe pytanie nie brzmi: czy korzystamy z AI? Pytanie brzmi: czy korzystamy z AI tak, by firma także jutro mogła jeszcze wyjaśnić, co zrobiła dziś?
To jest sedno. Nie strach przed technologią. Lecz porządek przed skutkiem.
Ten tekst stanowi ogólną analizę. To, czy i jakie wymogi prawne istnieją w konkretnym przypadku, zależy w szczególności od zastosowanych systemów AI, celów użycia, kategorii danych, powiązania z pracownikami, umów na narzędzia, struktury rady zakładowej, regulacji branżowej, klasy ryzyka według AI Act oraz wdrożenia operacyjnego. Ostateczna ocena wymaga badania konkretnego przypadku.
Najczęstsze pytania
O autorze
Lutz Färber
Adwokat (Rechtsanwalt) i Senior Legal Advisor
Lutz Färber wspiera przedsiębiorców, firmy, wspólników, członków zarządu i organy kierownicze w kwestiach prawnych i strategicznych. Jego specjalizacja leży na styku prawa gospodarczego, decyzji biznesowej i odpowiedzialności.
Źródła i punkty odniesienia
- EUR-Lex - Rozporządzenie (UE) 2024/1689, Artificial Intelligence Act
- Komisja Europejska - AI Act, harmonogram stosowania
- Rada UE - polityczne porozumienie AI Omnibus, 7 maja 2026
- EUR-Lex - RODO (UE) 2016/679
- § 87 BetrVG - prawa współdecydowania (prawo niemieckie)
- § 2 GeschGehG - definicje (niemiecka ustawa o tajemnicy przedsiębiorstwa)
- Niemiecka ustawa o prawie autorskim (UrhG)