Checklisty i Szablony

10 pytań o AI governance – checklist dla zarządu

Czy Twoja firma jest gotowa na wdrożenie AI? Sprawdź 10 kluczowych pytań, które powinien zadać sobie każdy zarząd.

Redakcja · 7 lipca 2026
Business professionals engaging in a collaborative meeting with charts and documents.
Fot. Yan Krukau / Pexels · Pexels License

Przed wdrożeniem sztucznej inteligencji w firmie zarząd powinien odpowiedzieć na 10 kluczowych pytań dotyczących compliance, bezpieczeństwa i zarządzania – każde “nie” lub “w trakcie” wskazuje obszar wymagający działań regulacyjnych.

Wdrażanie AI to nie tylko kwestia technologii, ale przede wszystkim zarządzania ryzykiem prawnym, bezpieczeństwa danych i odpowiedzialności organizacyjnej. Nowe przepisy, zwłaszcza AI Act, nakładają na firmy konkretne obowiązki niezależnie od ich wielkości. Dla małych przedsiębiorstw, które często działają z ograniczonymi zasobami, brak przygotowania może oznaczać nie tylko kary regulacyjne, ale także utratę zaufania klientów i pracowników.

Czy znasz wszystkie systemy AI w swojej organizacji?

Pierwsze pytanie brzmi prosto, ale odpowiedź bywa skomplikowana. Wiele firm nie ma pełnego przeglądu narzędzi AI, które faktycznie wykorzystują. Dotyczy to zarówno rozwiązań wdrożonych formalnie (chatboty obsługi klienta, systemy rekrutacyjne, narzędzia scoringowe) jak i tych mniej widocznych – Copilot w Microsoft 365, ChatGPT Enterprise używany przez pracowników, wtyczki AI w CRM czy narzędziach analitycznych.

Bez pełnego inventarza systemów AI nie można ocenić ryzyka compliance ani bezpieczeństwa. Rekomendacja: przeprowadź audyt wewnętrzny, zapytaj działy o narzędzia, które wykorzystują, i stwórz centralny rejestr wszystkich systemów AI.

Jakie praktyki AI są zakazane i które systemy mają wysokie ryzyko?

AI Act wyraźnie zakazuje wybranych praktyk, niezależnie od kontekstu:

  • Social scoring – ocena obywateli na podstawie zachowania społecznego
  • Rozpoznawanie emocji w pracy i edukacji
  • Biometryczna kategoryzacja danych wrażliwych
  • Nieukierunkowane pozyskiwanie wizerunków z internetu

Obok zakazów, AI Act definiuje systemy wysokiego ryzyka, które wymagają oceny zgodności przed wdrożeniem lub dalszym stosowaniem:

Kategoria systemuPrzykładyWymogi
HR i rekrutacjaSystemy oceny kandydatów, monitorowanie pracownikówOcena wpływu, dokumentacja, audyt
Scoring kredytowyOcena zdolności kredytowej, decyzje o udzieleniu kredytuPrzejrzystość, prawo do wyjaśnienia
BiometriaIdentyfikacja twarzy, rozpoznawanie głosuZgodność z RODO, wysokie standardy bezpieczeństwa
Dostęp do usługSystemy decydujące o dostępie do edukacji, opieki zdrowotnejPrzejrzystość, nadzór ludzi

Co to oznacza: Jeśli używasz systemu wysokiego ryzyka, musisz być w stanie wykazać, że został oceniony, że spełnia wymogi bezpieczeństwa i przejrzystości, oraz że masz procedury nadzoru.

Kto odpowiada za AI governance w Twojej organizacji?

AI Act nakłada na organizacje obowiązki nadzoru i kompetencji, które w praktyce wymagają jasnego przypisania ról i odpowiedzialności. Brak formalnego przypisania odpowiedzialności za AI governance to słabość, którą organy nadzoru mogą uwzględniać przy ocenie zgodności.

Rekomendacja: Wyznacz osobę z zarządu lub C-suite, która będzie odpowiadać za AI governance. Jej zadania powinny obejmować:

  • Nadzór nad wszystkimi systemami AI w organizacji
  • Zapewnienie compliance z AI Act i RODO
  • Zarządzanie ryzykiem związanym z AI
  • Komunikacja z organami nadzoru

Czy pracownicy mają wystarczającą wiedzę o AI?

AI Act zobowiązuje dostawców i podmioty stosujące AI do zapewnienia odpowiedniego poziomu kompetencji AI (AI literacy) u osób zajmujących się obsługą i użytkowaniem systemów. Wymaga to szkoleń dostosowanych do roli, wiedzy technicznej i kontekstu wykorzystania AI.

Pracownik, który nie wie, że wpisuje dane klientów do publicznego LLM, nie rozumie zagrożeń cyberbezpieczeństwa czy nie zna polityki użytkowania AI, to potencjalne zagrożenie dla całej organizacji. Szkolenia powinny obejmować:

  • Podstawy AI i jak działa w konkretnych narzędziach
  • Ryzyka związane z przetwarzaniem danych
  • Polityka użytkowania AI w firmie
  • Praktyczne przykłady z branży

Czy informujesz pracowników i klientów o AI?

AI Act nakłada obowiązek transparentności – użytkownicy powinni wiedzieć, że wchodzą w interakcję z systemem AI. RODO wymaga zaktualizowanych klauzul informacyjnych o przetwarzaniu danych w kontekście AI. Brak informacji oznacza podwójne ryzyko regulacyjne: naruszenie AI Act i RODO jednocześnie.

Co najmniej powinno być jasne:

  • Że system jest zasilany AI
  • Jakie dane są przetwarzane
  • Do jakich celów
  • Jak długo są przechowywane

Czy masz politykę użytkowania AI dla pracowników?

To jedno z najczęstszych zagrożeń w małych firmach. Pracownik wpisujący dane klientów do publicznego ChatGPT, aby przyspieszyć pracę, naraża organizację na:

  • Naruszenie RODO (ujawnienie danych osobowych)
  • Ujawnienie tajemnic przedsiębiorstwa
  • Odpowiedzialność kontraktową wobec klientów
  • Potencjalne kary od organów nadzoru

Polityka użytkowania AI powinna zawierać:

  • Jakie narzędzia AI mogą być używane
  • Jakie dane mogą być do nich wprowadzane (i jakie absolutnie nie)
  • Procedury zatwierdzania nowych narzędzi
  • Konsekwencje naruszenia polityki

Jakie ryzyka cyberbezpieczeństwa niesie AI?

AI wprowadza nowe wektory ataku nieobecne w standardowych analizach ryzyka ICT:

  • Prompt injection – wstrzyknięcie złośliwych poleceń do systemu AI w celu zmiany jego zachowania
  • Data poisoning – zatruwanie danych treningowych w celu zniekształcenia wyników modelu
  • Model inversion – odtworzenie danych treningowych na podstawie wyników modelu
  • Jailbreaking – obejście zabezpieczeń systemu AI

Brak uwzględnienia AI w ocenie ryzyka ICT może być zakwestionowany przez organ nadzoru. Rekomendacja: Przeprowadź ocenę ryzyka specyficzną dla AI, uwzględniającą te nowe wektory ataku.

Czy umowy z dostawcami zawierają wymagane klauzule?

Standardowe warunki świadczenia usług (ToS) dostawców AI często nie spełniają wymogów:

  • Umowy powierzenia z art. 28 RODO (przetwarzanie danych)
  • Obowiązków operatora według AI Act
  • Gwarancji bezpieczeństwa i audytu
  • Odpowiedzialności za naruszenia

Akceptacja standardowych ToS bez negocjacji oznacza, że ryzyko spada na Ciebie jako zamawiającego. Wynegocjuj klauzule dotyczące:

  • Powierzenia danych (RODO art. 28)
  • Audytów i inspekcji
  • Bezpieczeństwa danych
  • Odpowiedzialności za incydenty
  • Prawa do usunięcia danych

Czy jesteś gotów wykazać zgodność w razie kontroli?

Organy nadzoru mogą przeprowadzić audyt lub kontrolę w związku z incydentem. Aby wykazać compliance, powinieneś mieć:

  • Dokumentację wszystkich systemów AI
  • Oceny ryzyka dla systemów wysokiego ryzyka
  • Logi decyzji AI (szczególnie dla systemów wpływających na prawa ludzi)
  • Dowody szkoleń pracowników
  • Kopie umów z dostawcami
  • Raporty z audytów bezpieczeństwa
  • Procedury zarządzania incydentami

Brak dokumentacji oznacza brak możliwości obrony. Nawet jeśli Twoja praktyka była słuszna, bez dowodów nie będziesz w stanie tego wykazać.

Praktyczne kroki do podjęcia teraz

Jeśli odpowiedziałeś “nie” lub “w trakcie” na więcej niż jedno pytanie, oto co powinieneś zrobić:

  1. Przeprowadź audyt AI – stwórz pełny rejestr systemów AI w organizacji
  2. Ocen ryzyko – zidentyfikuj zakazane praktyki i systemy wysokiego ryzyka
  3. Wyznacz odpowiedzialnego – ktoś z zarządu musi nadzorować AI governance
  4. Przygotuj politykę – zasady użytkowania AI dla pracowników
  5. Wynegocjuj umowy – zaktualizuj umowy z dostawcami
  6. Przeszkolić pracowników – zapewnij odpowiedni poziom AI literacy
  7. Dokumentuj wszystko – zbierz dowody compliance

Compliance z AI Act nie jest jednorazowym projektem, ale bieżącym procesem zarządzania. Dla małych firm, które działają z ograniczonymi zasobami, warto zacząć od listy kontrolnej i systematycznie wypełniać luki.

Najczęstsze pytania

Co to jest AI governance i dlaczego jest ważne dla małej firmy?

AI governance to system zarządzania, nadzoru i odpowiedzialności za systemy sztucznej inteligencji w organizacji. Dla małych firm jest kluczowe, ponieważ AI Act nakłada obowiązki compliance niezależnie od wielkości firmy – brak governance grozi karami do 35 mln euro lub 7 proc. obrotu.

Jakie praktyki AI są zakazane przez AI Act?

AI Act bezwzględnie zakazuje: social scoring, rozpoznawania emocji w pracy i edukacji, biometrycznej kategoryzacji danych wrażliwych oraz nieukierunkowanego pozyskiwania wizerunków z internetu. Każde zastosowanie tych praktyk narusza prawo.

Czy mogę używać ChatGPT do obsługi danych klientów?

Nie bez polityki i zabezpieczeń. Wpisanie danych klientów do publicznego LLM naraża firmę na naruszenie RODO, ujawnienie tajemnic przedsiębiorstwa i odpowiedzialność wobec klientów. Potrzebujesz jasnych zasad użytkowania AI dla pracowników.

Czy mała firma musi mieć osobę odpowiedzialną za AI?

Tak. AI Act wymaga przypisania formalnej odpowiedzialności za AI governance na poziomie zarządu lub C-suite. Brak takiego przypisania stanowi słabość, którą organy nadzoru mogą uwzględniać przy ocenie zgodności.

Co zrobić, jeśli nie mam umowy z dostawcą AI?

Natychmiast wynegocjuj umowę zawierającą klauzule wymagane przez RODO (art. 28 – powierzenie danych) i AI Act (odpowiedzialność operatora, audyty, dokumentacja). Standardowe warunki dostawców ich nie zawierają.

Na podstawie: Gazeta Prawna. Tekst opracowany redakcyjnie.