AI w firmie – o jakich kwestiach prawnych trzeba pamiętać?

9 godzin temu

Wkroczyliśmy w erę, gdy sztuczna inteligencja nie jest już tylko nowinką techniczną czy skomplikowanym eksperymentem, na które mogą sobie pozwolić tylko największe firmy. Narzędzia AI wspierają dziś podstawowe aspekty prowadzenia biznesu, jak sprzedaż, marketing, HR, obsługę klienta, analizę dokumentów czy automatyzację procesów.

Widać jednocześnie, iż przechodzimy od fazy fascynacji i optymizmu związanych ze sztuczną inteligencją do etapu weryfikacji biznesowej jej wdrożenia. Coraz więcej firm „ma” AI, ale wciąż kilka z nich potrafi przekuć te narzędzia w konkretny sukces rynkowy. Wdrożenia nie są łatwe, a cyfrowa transformacja nie powinna przebiegać samoczynnie – potrzebny jest plan i stosowanie się do dobrych praktyk. Wynika to nie tylko z wymagań prawnych, nakładanych przez unijny AI Act, ale także doświadczeń ostatnich lat.

Najpierw ustal cen biznesowy

Najważniejsza zasada skutecznego wdrożenia brzmi: AI powinna rozwiązywać konkretny problem biznesowy, a nie być modnym dodatkiem. Zatem najpierw cel, potem narzędzie.

Jest to jedna z najprostszych zasad, o której jednak bardzo często się zapomina. Inaczej wybiera się rozwiązanie do marketingu, inaczej do wewnętrznego wyszukiwania wiedzy, inaczej do HR, a jeszcze inaczej do obsługi klienta czy oceny ryzyka. o ile organizacja nie potrafi odpowiedzieć, jakie dane będą trafiały do systemu, kto będzie korzystał z narzędzia, jaki ma być rezultat i jakie skutki może wywołać błędna odpowiedź modelu, to znaczy, iż jest za wcześnie na wybór dostawcy.

AI Act

Powyższe kwestie wynikają nie tylko z dobrych praktyk, ale stanowią odpowiedź na wymogi obowiązujących przepisów. Wejście w życie 1 sierpnia 2024 r. unijnego Aktu o Sztucznej Inteligencji (AI Act) zmusiło firmy do przejścia od fazy nieograniczonego eksperymentowania do zarządzania zgodnością (compliance).

AI przyjmuje podejście oparte na ryzyku, które kategoryzuje systemy w zależności od ich wpływu na społeczeństwo i jednostkę. Przede wszystkim przedsiębiorcy powinni dokonać inwentaryzacji stosowanych narzędzi i przypisać je do jednej z czterech kategorii ryzyka, co determinuje zakres obowiązków prawnych i operacyjnych.

Systemy wysokiego ryzyka stanowią najbardziej wymagający obszar dla przedsiębiorców. Zgodnie z Załącznikiem III do Aktu AI, obejmują one narzędzia wykorzystywane w tak wrażliwych sektorach jak zatrudnienie, gdzie algorytmy mogą nieświadomie utrwalać uprzedzenia (bias) w procesach selekcji pracowników. Dostawcy i podmioty wdrażające (deployers) takie systemy muszą nie tylko zapewnić wysoką jakość danych treningowych, ale także wdrożyć ciągły system zarządzania ryzykiem, który identyfikuje i łagodzi potencjalne zagrożenia przez cały cykl życia oprogramowania.

Dla firm szczególnie ważna jest data 2 sierpnia 2026 r., gdy zacznie być stosowana główna część przepisów AI Act dotyczących systemów AI i przejrzystości wobec użytkowników.

Ochrona danych firmowych i poufności

Jednym z najpoważniejszych wyzwań wdrożeniowych jest ryzyko naruszenia tajemnicy przedsiębiorstwa oraz wycieku danych wrażliwych do publicznych modeli językowych. Dane wprowadzone do standardowych, bezpłatnych wersji narzędzi takich jak ChatGPT są domyślnie wykorzystywane przez dostawców do trenowania przyszłych iteracji modelu, co sprawia, iż poufne informacje finansowe, kod źródłowy czy strategie marketingowe mogą stać się częścią globalnej bazy wiedzy dostępnej dla osób trzecich, w tym konkurencji.

Przedsiębiorstwa dążące do zachowania kontroli nad swoimi danymi i ich poufności powinny kategorycznie unikać korzystania z wersji konsumenckich na rzecz rozwiązań klasy „Enterprise”. Droższe, wyższe wersje oferują inne podejście do prywatności i bezpieczeństwa, co jest najważniejsze dla zachowania zgodności z RODO oraz ochrony wartości niematerialnych firmy.

Nienadzorowane wykorzystywanie przez pracowników darmowych narzędzi

Poważnym zagrożeniem jest zjawisko tzw. Shadow AI, w którym pracownicy samodzielnie, bez jakiegokolwiek nadzoru czy wiedzy pracodawcy korzystają z darmowych narzędzi AI. Szacunki wskazują, iż w ten sposób dochodzi do 20% wszystkich incydentów naruszenia bezpieczeństwa danych w firmach, a 11% informacji wklejanych do modeli AI zawiera dane poufne.

Odpowiadając na te zagrożenia, organizacje muszą wdrożyć wewnętrzną Politykę AI (AI Policy), która definiuje klasyfikację danych i dozwolone scenariusze użycia. Przedsiębiorca musi upewnić się, iż przed wprowadzeniem jakichkolwiek informacji do modelu – zwłaszcza tego darmowego, zostaną one poddane procesowi anonimizacji lub pseudonimizacji, zwłaszcza w kontekście danych osobowych klientów i pracowników.

Dlatego firma powinna jasno określić, jakich danych do AI wprowadzać nie wolno, jakie narzędzia są dopuszczone i kiedy wynik modelu musi zostać sprawdzony przez człowieka.

Wybór – chmura, ON-Premises czy architektura hybrydowa

Przedsiębiorcy powinni zastanowić się, jakie środowisko pracy AI będzie dla nich optymalne. Usługi chmurowe są dziś najczęstszym punktem wejścia dla biznesu. Oznacza to szybki start, skalowalność, stosunkowo niskie koszty, ale z drugiej strony – konieczność sprawdzenia dostawcy, subprocesorów, lokalizacji danych, standardów bezpieczeństwa, zasad retencji danych, możliwości przeprowadzania audytu i procedur wyjścia z usługi. Przeniesienie systemu do chmury nie przenosi odpowiedzialności za bezpieczeństwo i prywatność poza organizację.

Jeżeli w chmurze dochodzi do przetwarzania danych osobowych przez dostawcę działającego jako procesor, organizacja przez cały czas musi mieć odpowiednią umowę oraz — przy transferach poza EOG — podstawę transferową zgodną z RODO. Przy transferach do państw trzecich trzeba równolegle zadbać o podstawę przetwarzania, minimalizację danych, środki bezpieczeństwa i adekwatny instrument transferowy, np. odpowiednie zabezpieczenia kontraktowe.

Model on-premises albo prywatne środowisko daje zwykle większą kontrolę nad danymi, integracją i konfiguracją bezpieczeństwa, co bywa najważniejsze przy tajemnicach przedsiębiorstwa, kodzie źródłowym, danych HR czy informacjach objętych tajemnicą zawodową. Ceną są jednak koszty infrastruktury, potrzeba własnych kompetencji, odpowiedzialność za aktualizacje i monitoring oraz większy ciężar operacyjny po stronie firmy.

W praktyce bardzo rozsądny bywa model hybrydowy: mniej wrażliwe zastosowania w chmurze, a dane szczególnie wrażliwe lub krytyczne procesy w środowisku lokalnym albo prywatnym. Kluczowa zasada jest jednak jeszcze prostsza: najpierw cel, potem architektura.

Mechanizmy nadzoru ludzkiego (human-in-the-loop)

Jednym z najbardziej rygorystycznych wymagań AI Act jest obowiązek zapewnienia nadzoru ludzkiego nad systemami wysokiego ryzyka (Artykuł 14). Mechanizm ten ma na celu zapobieganie błędom algorytmicznym, minimalizację ryzyka dla praw podstawowych oraz przeciwdziałanie zjawisku „halucynacji”, czyli generowaniu przez AI nieprawdziwych, ale brzmiących wiarygodnie informacji.

W praktyce sprowadza się to do trzech poziomów, zależnych od procesu, w którym używana jest sztuczna inteligencja:

  • Human-in-the-Loop (HITL): standard w procesach rekrutacyjnych i medycznych. Człowiek musi zatwierdzić każdą decyzję wygenerowaną przez system, zanim wywoła ona jakikolwiek skutek zewnętrzny.
  • Human-on-the-Loop (HOTL): zwykle dotyczy monitorowania infrastruktury krytycznej. Człowiek monitoruje system w czasie rzeczywistym i ma możliwość interwencji, gdy zauważy nieprawidłowości.
  • Human-out-of-the-Loop (HOOTL): zgodnie z AI Act, ten model jest niedopuszczalny dla systemów wysokiego ryzyka – system działa autonomicznie, a człowiek przeprowadza jedynie okresowe audyty wyników.

Nadzór ludzki nie może być tylko formalnością. Osoby wyznaczone do tej roli muszą posiadać kompetencje niezbędne do zrozumienia ograniczeń systemu, w tym świadomość tendencji do bezkrytycznego ufania rekomendacjom algorytmu. System musi być zaprojektowany tak, aby umożliwiał nadzorcy zignorowanie, nadpisanie lub całkowite i skuteczne odwrócenie decyzji AI, a także posiadał funkcjonalność natychmiastowego zatrzymania (przycisk bezpieczeństwa).

Ten wymóg koresponduje także z RODO – zgodnie z art. 22 RODO, zakazane jest podejmowanie decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, jeżeli wywołują one skutki prawne wobec osób fizycznych. Wdrożenie AI w procesie kończącym się decyzją wobec drugiej osoby (np. ocena zdolności kredytowej, wydanie decyzji o ubezpieczeniu) wymaga więc zapewnienia realnej ścieżki odwoławczej do człowieka, który samodzielnie dokona merytorycznej rewizji przypadku.

AI może wspierać decyzję, ale nie powinna samodzielnie rozstrzygać sprawy tam, gdzie decyduje się o sytuacji drugiego człowieka.

Biegłość w AI – AI Literacy

Artykuł 4 AI Act wprowadza obowiązek budowania kompetencji w zakresie sztucznej inteligencji (AI Literacy) wśród personelu i osób działających w imieniu firmy. Zapewnienie odpowiednich kompetencji technologicznych staje się wymaganym elementem compliance, niezależnie od poziomu ryzyka używanego systemu.

Przedsiębiorca musi dostosować programy szkoleniowe do wiedzy technicznej, doświadczenia i roli pracowników. Szkolenia powinny obejmować co najmniej:

  • Zrozumienie mechanizmów AI – rozróżnienie między tradycyjnym oprogramowaniem opartym na regułach a modelami uczącymi się na danych.
  • Identyfikację ryzyka i etyka – umiejętność rozpoznania stronniczości algorytmicznej (bias), deepfake’ów oraz naruszeń prywatności.
  • Krytyczną ocena wyników, czyli zdolność do samodzielnej weryfikacji wiarygodności generowanych treści i świadomość potencjalnych szkód, jakie AI może wyrządzić organizacji lub klientom.

Zgodnie z art. 100 Kodeksu pracy, pracownicy zobowiązani są wykonywać pracę sumiennie, dbając o zachowanie tajemnicy. Nauka obsługi nowych narzędzi wdrożonych w firmie staje się więc częścią obowiązków pracowniczych. Pracodawca nie może jednak obciążać pracowników kosztami tych szkoleń, a ich dokumentowanie (rejestry szkoleń, materiały edukacyjne) spoczywa na pracodawcy, który musi być w stanie rozliczyć się z tego obowiązku przed organami nadzoru rynku.

Gdy algorytm zawodzi – zawsze odpowiedzialny jest człowiek

Odpowiedzialność za błędy sztucznej inteligencji jest zawsze przypisywana człowiekowi lub osobie prawnej (firmie), niezależnie od zawartych z klientami umów, postanowień regulaminów czy warunków świadczenia usług. W relacjach z klientami, każdy błąd AI (np. błędna informacja od chatbota skutkująca dodatkową zniżką) obciąża przedsiębiorcę.

Mapa drogowa

Proces wdrożenia sztucznej inteligencji w firmie powinien być ustrukturyzowany i oparty na zasadzie „bezpieczeństwo przez projektowanie”. Zbierając powyższe, warto już dziś:

  1. Przeprowadzić audyt i inwentaryzację zasobów: zidentyfikowanie wszystkich wykorzystywanych już narzędzi AI (wewnętrznych, SaaS, API) i ich klasyfikacja według poziomów ryzyka.
  2. Ustanowić AI Governance: powołanie zespołu (np. AI Office) łączącego kompetencje IT, prawne i HR, odpowiedzialnego za monitorowanie zgodności i etyki wykorzystywania systemów.
  3. Wdrożyć Politykę AI i klasyfikację danych: opracowanie regulaminów korzystania z AI przez pracowników, ze szczególnym uwzględnieniem ochrony tajemnicy przedsiębiorstwa i bezpieczeństwa danych osobowych.
  4. Wdrożyć nadzór ludzki (HITL): zaprojektowanie interfejsów i procedur pozwalających zachować realną kontrolę nad wynikami algorytmów i możliwość ingerencji człowieka.
  5. Realizować obowiązek AI literacy: przeprowadzenie i udokumentowanie szkoleń dla personelu, dostosowanych do ich specyficznych ról zawodowych.
  6. Dostosować umowy z dostawcami: rewizja zawartych umów z dostawcami narzędzi AI pod kątem odpowiedzialności za błędy, ochrony własności intelektualnej i dostępu do dokumentacji technicznej niezbędnej do przygotowania dokumentacji wymaganej przez RODO i AI Act.

Podsumowanie

Największą przeszkodą we wdrożeniu AI zwykle nie jest technologia, ale brak zasad. Bez polityki korzystania z AI firma tak naprawdę nie wdraża sztucznej inteligencji, tylko toleruje shadow AI.

Potrzebne są więc proste, ale konkretne reguły: lista zatwierdzonych narzędzi, klasyfikacja wykorzystywanych danych, szkolenia użytkowników, procedura oceny nowych use case’ów, przegląd dostawcy, testy jakości i bezpieczeństwa, a także ścieżka zgłaszania incydentów. Takie podejście pozwala wykorzystać AI jako realne wsparcie biznesu, a nie źródło kosztownych problemów prawnych, organizacyjnych i reputacyjnych.

W razie pytań, a także pomysłów tematów na kolejne wydania Newsletter’a zapraszamy do kontaktu:

[email protected]

Idź do oryginalnego materiału
  1. Strona główna
  2. Pracy
  3. AI w firmie – o jakich kwestiach prawnych trzeba pamiętać?

Powiązane

Umowa zlecenie w wakacje: ile można dorobić bez utraty świadczeń

Umowa zlecenie w wakacje: ile można dorobić bez utraty świad...

1 godzina temu
Przypomnienie o wykorzystaniu zaległych urlopów w 2026 roku

Przypomnienie o wykorzystaniu zaległych urlopów w 2026 roku

4 godzin temu
Rzecznik MŚP postuluje wprowadzenie maksymalnej ceny detalicznej dla LPG

Rzecznik MŚP postuluje wprowadzenie maksymalnej ceny detalic...

6 godzin temu
MF poprawia KSeF, ale nie odpuści zwolnionym z VAT. Są nowe wyjaśnienia i zmiany

MF poprawia KSeF, ale nie odpuści zwolnionym z VAT. Są nowe ...

6 godzin temu
Pracowała w życiu tylko 1 miesiąc na zleceniu. Ile emerytury z ZUS dostaje?

Pracowała w życiu tylko 1 miesiąc na zleceniu. Ile emerytury...

7 godzin temu
Ponad 12 tys. zł pensji minimalnej od lipca 2026. Setki tysięcy osób dostaną podwyżki

Ponad 12 tys. zł pensji minimalnej od lipca 2026. Setki tysi...

7 godzin temu
5 błędów w umowach między przedsiębiorcami, które mogą drogo kosztować

5 błędów w umowach między przedsiębiorcami, które mogą drogo...

9 godzin temu
Koniec z opóźnianiem wypłat za zlecenia. Firmy będą miały maksymalnie 10 dni na przelew i zapłacą do 60 tys. zł kary

Koniec z opóźnianiem wypłat za zlecenia. Firmy będą miały ma...

9 godzin temu