Jak ustalić w firmie zasady korzystania z AI?

Dlaczego polityka AI jest potrzebna, zanim cokolwiek się stanie

Większość firm zaczyna myśleć o zasadach dopiero po pierwszym incydencie. A incydenty w obszarze AI mają specyficzną cechę: często trudno je odwrócić. Jeśli ktoś wkleił do narzędzia dane klienta albo poufny dokument, nie da się „cofnąć” tego ruchu tak łatwo, jak wysłania maila do złej osoby. Jeśli ktoś wygenerował treść niezgodną z faktami i poszła w świat, firma traci wiarygodność. Jeśli ktoś użył AI do stworzenia grafiki, która narusza prawa, konsekwencje mogą przyjść po czasie.

➡️ Polityka AI daje trzy rzeczy:

1. jasne granice: czego nie wolno robić i dlaczego
2. odpowiedzialność: kto zatwierdza, kto sprawdza, kto bierze ryzyko
3. powtarzalność: jak korzystać z AI w pracy, żeby wynik był bezpieczny i jakościowy

Najczęstsze problemy, gdy AI używa się „na dziko”

➡️ Żeby polityka miała sens, musi odpowiadać na realne sytuacje, które dzieją się w firmach. Najczęstsze problemy to:

• wklejanie do narzędzi AI danych poufnych, danych klientów lub danych pracowników
• generowanie treści z błędami merytorycznymi, które ktoś publikuje bez weryfikacji
• chaos narzędziowy: każdy używa innego rozwiązania, bez kontroli i bez standardów
• „podmienianie” pracy specjalistycznej: AI pisze, a nikt nie bierze odpowiedzialności za poprawność
• ryzyko praw autorskich: grafiki, teksty i fragmenty kodu bez jasnej licencji lub pochodzenia
• wyciek know-how: wklejanie strategii, ofert, procedur i materiałów szkoleniowych do zewnętrznych modeli
• rozjazd tonu marki: AI tworzy komunikaty niezgodne z językiem i standardami firmy

To są dokładnie te obszary, które polityka AI powinna uporządkować w sposób prosty i praktyczny.

Od czego zacząć: inwentaryzacja użycia AI w firmie

➡️ Zanim napiszesz zasady, musisz wiedzieć, co faktycznie się dzieje. Najlepszy start to krótka inwentaryzacja:

• jakie zespoły używają AI i do czego (marketing, sprzedaż, HR, obsługa klienta, IT)
• z jakich narzędzi korzystają (ChatGPT, Copilot, Gemini, narzędzia do grafiki, transkrypcji, automatyzacji)
• jakie dane są wprowadzane do narzędzi (czy pojawiają się dane klientów, umowy, pliki)
• gdzie wynik trafia dalej (do klienta, na stronę, do oferty, do kampanii, do raportu)

W wielu firmach już sama inwentaryzacja ujawnia, że AI jest używane szerzej, niż zakładał management.

Co powinna zawierać polityka AI, żeby była użyteczna

Polityka AI powinna być krótka, konkretna i oparta na przykładach. Jeśli będzie miała 30 stron, ludzie jej nie przeczytają. W praktyce najlepiej działają dokumenty, które mają kilka jasnych bloków.

Definicje i zakres

• co w firmie uznajemy za narzędzia AI (w tym generowanie tekstu, obrazu, kodu, automatyzacje)
• kogo polityka dotyczy (pracownicy, freelancerzy, podwykonawcy)
• jakie obszary są wrażliwe (klienci, dane finansowe, dokumenty prawne)

Lista dozwolonych zastosowań

Dobrze działa prosta lista: co wolno, a co wolno pod warunkiem. Przykłady:

• wolno: generowanie roboczych wersji tekstów, pomysłów, streszczeń ogólnych, planów
• wolno warunkowo: treści publikowane, odpowiedzi do klientów, dokumenty wewnętrzne – tylko po weryfikacji i zgodnie ze standardem
• nie wolno: wklejanie danych poufnych i danych osobowych, umów, danych klientów, haseł, danych finansowych

Zasady dotyczące danych i poufności

To najważniejsza część. Powinna zawierać:

• jakie kategorie danych są zakazane do wprowadzania do narzędzi zewnętrznych
• jak postępować z danymi klientów i danymi pracowników
• co robić, gdy pracownik nie jest pewien, czy dane są wrażliwe
• czy firma dopuszcza użycie narzędzi w wersji enterprise, z dodatkowymi zabezpieczeniami

Weryfikacja i odpowiedzialność

AI może pomóc, ale nie może być „autorem odpowiedzialności”. Tu warto jasno zapisać:

• kto odpowiada za treść wysyłaną do klienta lub publikowaną
• jakie materiały muszą przejść weryfikację specjalisty (prawne, finansowe, medyczne, techniczne)
• zasada podpisu: ktoś musi być właścicielem wyniku, niezależnie od tego, że powstał z AI

Standardy jakości i stylu

Jeśli AI jest używane w marketingu i komunikacji, warto dodać:

• zasady tonu marki i języka
• zakaz wprowadzania „faktów”, jeśli nie ma źródła
• standard sprawdzania liczb, cytatów i nazw własnych
• obowiązek używania źródeł w materiałach eksperckich

Prawa autorskie i licencje

W tej części warto ustalić:

• zasady korzystania z grafik i materiałów generowanych przez AI
• jak sprawdzać, czy wynik nie narusza cudzych praw
• czy firma wymaga oznaczania treści wygenerowanych przez AI (wewnętrznie lub publicznie)
• jak podchodzić do kodu: kiedy wolno użyć, a kiedy trzeba przepisać i zweryfikować licencję

Lista narzędzi i zasady dopuszczenia nowych

Bez tego polityka szybko staje się martwa. Dobrze działa prosty proces:

• lista zatwierdzonych narzędzi (np. konkretne konta i wersje)
• zasady, jak zgłosić nowe narzędzie do oceny (IT / bezpieczeństwo / prawnik)
• minimalne wymogi: logowanie firmowe, brak treningu na danych użytkownika, audyt dostawcy, zgody

Jak ustalić poziomy dostępu i przypadki użycia

➡️ W praktyce w firmie nie wszyscy powinni mieć ten sam zakres. Najprostszy model to 3 poziomy:

1. poziom podstawowy: użycie do pomysłów, szkiców, roboczych materiałów bez danych wrażliwych
2. poziom rozszerzony: użycie do tworzenia materiałów, które trafią do klientów, ale z obowiązkową weryfikacją
3. poziom kontrolowany: użycie do pracy na danych firmowych (jeśli firma ma narzędzia enterprise i procedury)

Należy też przygotować listę typowych przypadków użycia (use cases) dla działów: marketing, sprzedaż, HR, obsługa klienta, analityka. Ludzie chętniej przestrzegają zasad, jeśli widzą, jak je zastosować w swojej pracy.

Jak wdrożyć politykę, żeby była przestrzegana

Najczęstsza porażka polityk firmowych polega na tym, że dokument powstaje, jest wysłany mailem i znika. W przypadku AI to nie zadziała, bo ludzie korzystają z narzędzi codziennie i szybko.

➡️ Skuteczniejsze podejście:

• krótki dokument + skrócona wersja „do kieszeni” (checklista)
• 30–60 minut szkolenia dla zespołów: co wolno, czego nie wolno i dlaczego
• jedna osoba lub mały zespół jako punkt kontaktu (AI owner / bezpieczeństwo)
• regularny przegląd co 3 miesiące: narzędzia się zmieniają, zasady też muszą
• proste zgłaszanie incydentów bez strachu: lepiej wiedzieć wcześniej niż po fakcie

Sygnały, że polityka AI powinna powstać natychmiast

➡️ Jeśli w firmie występuje choć jeden z tych sygnałów, polityka AI powinna powstać jak najszybciej:

• AI jest używane w komunikacji z klientem lub w materiałach publikowanych
• pracownicy wklejają do AI fragmenty dokumentów i nie ma jasnych zasad
• firma ma wrażliwe dane, a nie ma kontroli narzędzi
• powstają treści, które wyglądają „jak z AI” i psują spójność marki
• dział prawny lub IT dowiaduje się o użyciu narzędzi po fakcie

Podsumowanie artykułu

Polityka AI w firmie nie jest dokumentem dla bezpieczeństwa, tylko narzędziem do bezpiecznego korzystania z technologii, która już jest w użyciu. Najważniejsze elementy to zasady dotyczące danych i poufności, odpowiedzialność za wynik, standardy jakości oraz lista dopuszczonych narzędzi. Jeśli polityka jest krótka, oparta na przykładach i wdrożona przez szkolenie oraz prostą checklistę, ogranicza ryzyko i jednocześnie pozwala zespołom korzystać z AI bez blokad i chaosu.