Polityka AI w firmie: wzór i regulamin używania AI przez pracowników 2026
Szukasz wzoru polityki AI w firmie? Skopiowany szablon to dokładnie to, co zawodzi. Działająca polityka jest krótka, opisuje Twoje realne narzędzia i dane, i jest egzekwowana. Pracownicy i tak już używają AI, zwykle na prywatnych kontach, więc samo „zakazujemy” robi to niewidzialnym. Zobacz, co naprawdę musi zawierać regulamin.
Polityka AI w firmie to krótki, egzekwowalny dokument, który mówi pracownikom, których narzędzi AI wolno używać, na jakich kontach i z jakimi danymi. Skopiowany wzór zawodzi, bo wartość leży w zmapowaniu zasad na Twoje realne narzędzia i dane, a nie w długości szablonu. Zaczynasz od faktu, że ludzie już używają AI, i porządkujesz to, zamiast zakazywać.
Szybka odpowiedź
Googlujesz „polityka AI w firmie wzór”, bo chcesz gotowca do podpisania. Uczciwie: gotowy szablon jest najsłabszą wersją tego dokumentu. Skopiowana polityka zwykle zakazuje rzeczy, których nikt nie robi, i milczy o tym, co ludzie robią naprawdę, więc daje zgodność na papierze i zero zgodności w praktyce.
Działająca polityka AI ma trzy cechy: jest krótka (mieści się na dwóch stronach, więc ktoś ją przeczyta), jest konkretna dla Twojej firmy (nazywa Twoje narzędzia, Twoje dane, Twoje procesy), i jest egzekwowana (ma właściciela, datę przeglądu i ścieżkę zgłaszania). Dlatego nie publikujemy tu wzoru do wypełnienia: wartość powstaje w mapowaniu na konkretną firmę, a generyczny szablon tworzy fałszywe poczucie bezpieczeństwa. Ten tekst jest materiałem wejściowym do Twojej dokumentacji, nie poradą prawną.
Dlaczego skopiowany wzór nie zadziała (i co to jest shadow AI)
Zacznij od faktu, którego większość polityk nie chce przyjąć: pracownicy już używają AI. Zwykle na prywatnych kontach, w przeglądarce, do szkiców maili, tłumaczeń, podsumowań i kodu. Kiedy jedyną zasadą jest „zakazujemy”, używanie nie znika, tylko schodzi do podziemia. To właśnie jest shadow AI: narzędzia AI używane w pracy poza wiedzą i kontrolą firmy.
Shadow AI jest gorsze niż jawne używanie, bo dane firmy trafiają do narzędzi, których nikt nie zatwierdził, bez umowy powierzenia, bez planu biznesowego i bez żadnego śladu. Zakaz nie zmniejsza ryzyka, tylko czyni je niewidzialnym. Dlatego zadaniem polityki nie jest udawać, że AI nie ma. Jest nim uczynić bezpieczne użycie łatwiejszym niż użycie niebezpieczne: dać zatwierdzone narzędzie na firmowym koncie, jasno powiedzieć, czego nie wolno w nie wpisywać, i zdjąć z pracownika ciężar zgadywania.
Skopiowany wzór tego nie zrobi, bo nie zna Twoich narzędzi ani danych. Polityka napisana pod firmę B2B usługową będzie inna niż pod przychodnię czy software house, bo inne są dane wrażliwe i inne procesy.
Co naprawdę zawiera działająca polityka AI
To jest kręgosłup dokumentu. Siedem elementów, każdy w jednym, dwóch zdaniach, bo krótsza polityka jest czytana, a czytana polityka jest egzekwowana.
- Które narzędzia są zatwierdzone i na jakich kontach. Wskaż konkretne narzędzia i wymagaj kont firmowych na planach biznesowych, nie prywatnych, bo tylko plan biznesowy daje kontrolę nad tym, czy treści są używane do trenowania modelu i gdzie są przechowywane. Prywatne konto to brak umowy i brak kontroli.
- Które klasy danych wolno wpisać do modelu, a których nigdy. Rozdziel dane publiczne i wewnętrzne od danych klientów, danych osobowych i tajemnic przedsiębiorstwa. To jest sedno polityki i rozwijamy je w tabeli niżej.
- Zasady ujawniania. Ustal, kiedy odbiorca ma wiedzieć, że treść przygotował model: zwykle przy komunikacji zewnętrznej, materiałach dla klienta i treściach, które wyglądają na ludzką rozmowę. Od 2 sierpnia 2026 AI Act wprowadza obowiązki przejrzystości, w tym oznaczanie interakcji i treści generowanych przez AI. To fakt do zaplanowania, nie powód do paniki.
- Przegląd człowieka dla wszystkiego, co wychodzi lub wiąże. Nic, co idzie do klienta, do urzędu albo tworzy zobowiązanie, nie wychodzi bez człowieka, który to sprawdził i bierze odpowiedzialność. Model przygotowuje wersję roboczą, człowiek zatwierdza.
- Ścieżka incydentu. Napisz wprost, co pracownik zgłasza i komu, jeśli wklei coś, czego nie powinien, dostanie błędny wynik użyty w decyzji albo zauważy wyciek. Bez jasnej, bezkarnej ścieżki ludzie ukrywają błędy, a ukryty incydent jest najdroższy.
- Powiązanie ze szkoleniem i dokumentacją. Polityka odsyła do szkolenia, bo art. 4 AI Act (kompetencje w zakresie AI) obowiązuje od 2 lutego 2025 i wymaga, by osoby używające systemów AI rozumiały, co robią. Zapis „przeszkoliliśmy zespół” bez dokumentacji jest pusty.
- Właściciel i data przeglądu. Wskaż osobę odpowiedzialną za dokument i datę następnego przeglądu, bo narzędzia i modele zmieniają się co kwartał. Polityka bez właściciela jest martwa w dniu podpisania.
Które dane wolno wpisać do modelu, a których nie
To jest tabela, którą pracownik czyta najczęściej. Klasyfikacja jest przykładowa: własne klasy danych ustalasz pod swoją firmę, bo to one, a nie nazwa narzędzia, decydują o ryzyku.
| Klasa danych | Wolno / Nie wolno | Dlaczego |
|---|---|---|
| Dane publiczne (materiały marketingowe, treści z Waszej strony) | Wolno | Już jawne, brak dodatkowego ryzyka. |
| Dane wewnętrzne bez tajemnicy (szkice, ogólne notatki, robocze teksty) | Wolno, tylko na zatwierdzonym koncie firmowym | Ryzyko niskie, ale konto prywatne to brak kontroli i umowy. |
| Dane osobowe klientów i pracowników | Nie wolno bez podstawy prawnej i umowy powierzenia | RODO wymaga podstawy i DPA z dostawcą; przypadkowe wklejenie to naruszenie. |
| Tajemnice przedsiębiorstwa, kod, niepubliczne dane finansowe | Nie wolno na kontach prywatnych; tylko środowiska zatwierdzone | Utrata tajemnicy i ryzyko wycieku poza kontrolę firmy. |
| Dane powierzone przez klienta lub objęte NDA | Nie wolno bez zgody właściciela danych | Zobowiązania umowne wiążą niezależnie od narzędzia. |
Gdzie masz wątpliwość, zasada domyślna jest prosta: jeśli nie wpisałbyś tego w publiczny formularz, nie wpisuj tego do modelu na niezatwierdzonym koncie. Więcej o stronie RODO i umowie powierzenia przy wdrożeniach AI jest w tekście o RODO i DPA przy wdrożeniu AI.
Czy pracownicy mogą używać ChatGPT w pracy?
Tak, na właściwym planie i z właściwymi zasadami dla danych. Ryzyko nie leży w narzędziu, tylko w koncie i w danych. To rozróżnienie jest całą polityką w jednym zdaniu.
Konto prywatne oznacza, że nie masz umowy z dostawcą, nie kontrolujesz, czy treści są używane do trenowania modelu, i nie masz śladu, co zostało wpisane. Konto firmowe na planie biznesowym zamyka większość tych luk. Dlatego dobra polityka nie brzmi „zakazujemy ChatGPT”, tylko „używaj zatwierdzonego narzędzia na koncie firmowym i nie wpisuj danych z czerwonej listy”. Zakaz bez alternatywy zwykle tylko przenosi używanie na prywatne konta, czyli produkuje shadow AI.
To samo dotyczy innych narzędzi: Claude, Copilot, narzędzia do transkrypcji spotkań. Reguła jest ta sama: zatwierdzone narzędzie, konto firmowe, jasna lista danych, których nie wolno.
Kiedy NIE pisać rozbudowanej polityki
Uczciwie: nie każda firma potrzebuje osobnego, rozbudowanego dokumentu, a przerost formy bywa gorszy niż jej brak.
- Bardzo mały zespół bez danych wrażliwych. Jeśli jest was kilka osób i nie dotykacie danych osobowych klientów ani tajemnic, wystarczy jednostronicowa lista zatwierdzonych narzędzi i czerwona lista danych. Dziesięciostronicowy regulamin nikt nie przeczyta.
- Nie masz jeszcze zatwierdzonych narzędzi. Polityka, która reguluje narzędzia, których nie wdrożyłeś, jest fikcją. Najpierw zdecyduj, czego zespół faktycznie używa, potem to opisz.
- Chcesz dokumentu na pokaz przed audytem. Polityka, której nikt nie egzekwuje i nie zna, jest gorsza niż jej brak, bo daje fałszywe poczucie bezpieczeństwa i przy pierwszym incydencie pokazuje, że wiedzieliście i nie zrobiliście nic. Lepiej mieć krótki, żywy dokument niż długi, martwy.
Jeśli któryś z tych punktów pasuje do Ciebie, powiemy to wprost: czasem właściwą odpowiedzią jest jedna strona i godzina szkolenia, nie projekt na kwartał.
FAQ
Czy pracownicy mogą używać ChatGPT w pracy? Tak, na właściwym planie i z właściwymi zasadami dla danych. Ryzyko nie leży w narzędziu, tylko w koncie i w danych. Praca na prywatnym koncie oznacza brak kontroli nad tym, gdzie trafiają treści, więc firma powinna wskazać zatwierdzony plan biznesowy i napisać, których danych nie wolno wpisywać. Zakaz bez alternatywy zwykle tylko przenosi używanie AI na prywatne konta, poza zasięg firmy.
Czym jest shadow AI? To używanie narzędzi AI w pracy poza wiedzą i kontrolą firmy, najczęściej na prywatnych kontach pracowników. Problem nie polega na tym, że ludzie używają AI, tylko na tym, że robią to niewidzialnie: dane firmy trafiają do narzędzi, których nikt nie zatwierdził, bez umów i bez śladu. Polityka AI ma to ujawnić i skierować w bezpieczne, zatwierdzone tory.
Czy potrzebuję gotowego wzoru polityki AI? Gotowy wzór daje fałszywe poczucie bezpieczeństwa. Wartość polityki leży w zmapowaniu jej na Twoje realne narzędzia, dane i procesy, a tego szablon nie zrobi. Skopiowana polityka zwykle zakazuje rzeczy, których nikt nie robi, i milczy o tym, co ludzie robią naprawdę. Lepszy jest krótki dokument napisany pod konkretną firmę niż długi, który nie pasuje do niczego.
Co musi zawierać regulamin używania AI przez pracowników? Siedem rzeczy: które narzędzia są zatwierdzone i na jakich kontach, które klasy danych wolno i których nie wolno wpisywać do modelu, kiedy trzeba ujawnić, że treść pisał model, zasady przeglądu człowieka dla wszystkiego wychodzącego i wiążącego, ścieżkę zgłoszenia incydentu, powiązanie ze szkoleniem i dokumentacją (art. 4 AI Act), oraz właściciela dokumentu z datą przeglądu. Bez właściciela polityka jest martwa.
Czy AI Act wymaga polityki AI w firmie? AI Act nie wymaga wprost jednego dokumentu „polityka AI”, ale nakłada obowiązki, które taka polityka porządkuje. Art. 4 (kompetencje w zakresie AI) obowiązuje od 2 lutego 2025 i wymaga, by osoby używające systemów AI miały odpowiednią wiedzę. Obowiązki przejrzystości, w tym oznaczanie treści i interakcji generowanych przez AI, wchodzą 2 sierpnia 2026. To nie jest porada prawna; ten tekst jest materiałem wejściowym do własnej dokumentacji firmy.
Jak zacząć
Najtańszy sensowny pierwszy krok to spisać, czego zespół już używa, a nie kupić szablon.
- Umów bezpłatny skan procesów i pokaż, w których procesach zespół już sięga po AI.
- Przygotuj: jakich narzędzi ludzie używają dzisiaj, na jakich kontach, jakie dane przez to przechodzą i gdzie pojawia się ryzyko.
- Po rozmowie dostaniesz rekomendację: krótka polityka pod Wasze narzędzia i dane, szkolenie zespołu z dokumentacją pod art. 4 albo uczciwe „na razie wystarczy jedna strona”.
Polityka bez umiejętności jest martwym papierem, dlatego łączymy ją ze szkoleniem zespołowym, które kończy się dokumentacją pod art. 4 AI Act.
Umów bezpłatny skan procesów | Szkolenia zespołowe