Blog

Bądź na bieżąco z nowościami ze świata nowych technologii.

AI w praktyce. Co oznacza AI ACT dla Twojej organizacji?

Dla części organizacji sztuczna inteligencja jest już codziennym narzędziem pracy. Dla innych fundamentem modelu biznesowego. AI wspiera dziś rekrutację, marketing, sprzedaż, obsługę klienta, analizę dokumentów, zarządzanie procesami, medycynę, budownictwo, rolnictwo czy usługi finansowe. W praktyce może stać się motorem rozwoju niemal każdej branży, pod warunkiem, że jest wykorzystywana świadomie, bezpiecznie i zgodnie z prawem.

Wraz z rosnącą popularnością narzędzi AI pojawiają się jednak nie tylko nowe możliwości, ale również nowe obowiązki. Ich głównym źródłem jest AI Act, czyli unijne rozporządzenie dotyczące sztucznej inteligencji. AI Act wszedł w życie 1 sierpnia 2024 r., a jego przepisy są stosowane etapami. Część regulacji, w tym dotyczących zakazanych praktyk AI oraz kompetencji w zakresie AI, stosuje się już od 2 lutego 2025 r.

Jednocześnie część obowiązków, które pierwotnie miały być stosowane już w tym roku, została przesunięta. Obowiązki dotyczące systemów AI wysokiego ryzyka będą w większości stosowane od 2 grudnia 2027 r. Nie warto jednak traktować tej daty jako odległego terminu ani powodu do odkładania przygotowań.

Przesunięcie terminu pokazuje, że dostosowanie się do nowych regulacji jest procesem złożonym i wymaga czasu. Należy ustalić, gdzie i w jaki sposób organizacja korzysta z AI, jakie dane trafiają do narzędzi AI, kto odpowiada za ich użycie, czy wykorzystywane systemy mogą być systemami wysokiego ryzyka oraz czy pracownicy wiedzą, jak korzystać z AI bezpiecznie i zgodnie z prawem.

To ważne również dla tych organizacji, które nie tworzą własnych systemów sztucznej inteligencji, lecz korzystają z gotowych rozwiązań dostępnych na rynku. One także mogą podlegać obowiązkom wynikającym z AI Act.

Dlatego dla organizacji wykorzystujących AI lub planujących jej wdrożenie obecny moment warto potraktować jako czas na holistyczne zaopiekowanie tych kwestii, z odpowiednim zapasem, a nie pod presją zbliżającego się terminu.

1. Jakie obowiązki wynikają z AI Act dla organizacji korzystających z AI?

AI Act przewiduje obowiązki dla różnych grup podmiotów, w tym dostawców, importerów, dystrybutorów oraz podmiotów stosujących systemy AI. W praktyce wiele organizacji, które używają gotowych narzędzi AI w swojej działalności zawodowej lub gospodarczej, będzie występować właśnie jako podmiot stosujący system AI.

Dotyczy to chociażby organizacji, które wykorzystują AI w HR, marketingu, sprzedaży, obsłudze klienta, analizie danych, przygotowywaniu dokumentów, automatyzacji procesów albo wspieraniu decyzji biznesowych.

Zakres obowiązków zależy od tego, jakiego systemu AI organizacja używa i w jakim celu. Szczególne znaczenie mają systemy AI wysokiego ryzyka. W ich przypadku podmiot stosujący powinien między innymi:

  • zapewnić odpowiedni poziom kompetencji osobom korzystającym z systemów AI (AI literacy);
  • używać systemu zgodnie z instrukcją dostawcy;
  • zapewnić odpowiedni nadzór człowieka;
  • monitorować działanie systemu i reagować na nieprawidłowości;
  • zapewnić, aby dane wejściowe były adekwatne i wystarczająco reprezentatywne, jeżeli ma kontrolę nad tymi danymi;
  • przechowywać logi, jeżeli znajdują się pod jego kontrolą;
  • w określonych przypadkach informować osoby, których dotyczy wykorzystanie AI.

W przypadku wykorzystania systemu AI wysokiego ryzyka w miejscu pracy istotne mogą być również obowiązki informacyjne wobec przedstawicieli pracowników i zainteresowanych pracowników.

Rozszerzenie obowiązków podmiotu stosującego

Warto pamiętać, że organizacja może przejąć obowiązki dostawcy nie tylko wtedy, gdy sama tworzy system AI od podstaw. Ryzyko pojawia się również wtedy, gdy korzysta z gotowego rozwiązania, ale oznacza je własną nazwą lub znakiem towarowym, dokonuje jego istotnej modyfikacji, zmienia jego przewidziane zastosowanie albo oferuje je klientom jako własną usługę, na przykład w modelu white-label. Innymi słowy, samo korzystanie z zewnętrznego narzędzia AI nie zwalnia organizacji z odpowiedzialności. Kluczowe jest to, jak system jest wykorzystywany, w jakim procesie, na jakich danych i z jakim wpływem na klientów, pracowników, kontrahentów lub inne osoby fizyczne.

2. Co powinna zrobić każda organizacja korzystająca z AI?

Każda organizacja korzystająca z AI powinna uporządkować podstawowe kwestie związane z jej wykorzystywaniem. Nie zawsze musi to oznaczać kompleksowe wdrożenie rozbudowanego systemu compliance. W wielu przypadkach pierwszym krokiem powinno być ustalenie, gdzie AI jest faktycznie używana i jakie ryzyka się z tym wiążą.

Po pierwsze, organizacja powinna sprawdzić, czy nie korzysta z zakazanych praktyk AI. Zakazane praktyki obejmują między innymi określone formy szkodliwej manipulacji czy social scoringu.

Po drugie, należy zapewnić odpowiedni poziom kompetencji w zakresie AI osobom, które korzystają z systemów AI lub zajmują się ich działaniem w imieniu organizacji. Obowiązek ten nie powinien być rozumiany jako jednorazowe, ogólne szkolenie. Kompetencje AI powinny być dostosowane do roli pracownika, jego doświadczenia, zakresu obowiązków oraz kontekstu, w jakim wykorzystuje AI. Działania w zakresie AI literacy powinny obejmować między innymi zrozumienie, czym jest AI, jak działa, jakie systemy są używane w organizacji, jakie tworzą szanse i zagrożenia oraz jaka jest rola organizacji wobec tych systemów.

Po trzecie, organizacja powinna ocenić, czy używane przez nią systemy AI mogą być systemami wysokiego ryzyka. Szczególnej uwagi wymagają takie obszary jak HR, rekrutacja, ocena pracowników, edukacja, ochrona zdrowia, dostęp do usług, scoring, usługi finansowe czy procesy, w których AI może wpływać na sytuację osoby fizycznej.

Po czwarte, należy ustalić, czy w konkretnych przypadkach występują obowiązki informacyjne. Może to dotyczyć sytuacji, w której klient rozmawia z chatbotem, użytkownik ma kontakt z treścią wygenerowaną przez AI albo AI jest wykorzystywana w procesie, który wpływa na decyzję dotyczącą osoby fizycznej.

Po piąte, warto przygotować albo zaktualizować wewnętrzną politykę korzystania z AI. Taki dokument powinien być praktyczny, zrozumiały i dostosowany do rzeczywistego sposobu pracy organizacji. Powinien odpowiadać na pytania:

  • z jakich narzędzi wolno korzystać;
  • jakich danych nie wolno wprowadzać do AI;
  • kiedy wynik wymaga weryfikacji człowieka;
  • kto zatwierdza nowe narzędzia oraz
  • kto odpowiada za decyzje podejmowane przy wsparciu AI.

3. Jakie pytania musisz sobie zadać, zarządzając organizacją wykorzystującą AI?

Wdrażanie i wykorzystywanie AI w organizacji nie powinno zaczynać się od wyboru narzędzia. Powinno zaczynać się od zrozumienia procesu, w którym AI ma być wykorzystywana oraz ryzyk, które mogą się z tym wiązać.

Pierwsze pytanie brzmi: czy wiesz, gdzie w Twojej organizacji wykorzystywana jest AI?

W praktyce AI często pojawia się oddolnie. Pracownicy korzystają z narzędzi generatywnych do tworzenia treści, podsumowywania dokumentów, przygotowywania prezentacji, tłumaczeń, researchu, analizy danych, transkrypcji spotkań czy obsługi korespondencji. Często dzieje się to zanim organizacja formalnie dopuści takie narzędzia do użytku.

Brak tej wiedzy oznacza, że organizacja nie jest w stanie realnie ocenić ryzyka. Nie wiadomo, jakie dane są przetwarzane, czy wyniki AI są weryfikowane, czy narzędzia spełniają wymagania bezpieczeństwa i czy ich użycie nie narusza umów z klientami, obowiązków poufności albo przepisów o ochronie danych.

Drugie pytanie dotyczy kompetencji: czy pracownicy wiedzą, jak bezpiecznie korzystać z AI?

Nie wystarczy kupić dostęp do narzędzia i udostępnić go zespołowi. Organizacja powinna upewnić się, że pracownicy rozumieją, kiedy mogą korzystać z AI, jakich danych nie mogą wprowadzać do narzędzia, kiedy powinni zweryfikować wynik i do kogo zgłosić wątpliwości. Inne ryzyka występują w HR, inne w marketingu, inne w sprzedaży, inne w obsłudze klienta, a jeszcze inne w dziale prawnym lub IT.

Trzecie pytanie brzmi: kto odpowiada za korzystanie z AI?

AI nie powinna być wyłącznie tematem działu IT. Jeżeli wpływa na sposób pracy, dane klientów, procesy decyzyjne, komunikację z użytkownikami albo obowiązki prawne organizacji, powinna być zarządzana interdyscyplinarnie. Warto ustalić, kto odpowiada za dopuszczanie nowych narzędzi do użytku, ocenę ryzyka, ochronę danych, bezpieczeństwo informacji, zgodność z AI Act, szkolenia, kontakt z dostawcami oraz reagowanie na incydenty.

Czwarte pytanie dotyczy danych: jakie dane i informacje trafiają do narzędzi AI?

AI może przetwarzać dane osobowe, informacje poufne, tajemnice przedsiębiorstwa, dane klientów, dokumenty kontraktowe, informacje finansowe, dane pracowników, know-how, materiały objęte prawami autorskimi czy innymi prawami ochronnymi. Organizacja powinna jasno określić, czego nie można wprowadzać do narzędzi AI, które narzędzia są dopuszczone do pracy z określonymi kategoriami danych oraz jakie zabezpieczenia muszą zostać spełnione przed wykorzystaniem AI w procesach biznesowych.

Piąte pytanie brzmi: czy używane systemy AI mogą być systemami wysokiego ryzyka?

Nie każde narzędzie AI będzie systemem wysokiego ryzyka. Organizacja nie powinna jednak zakładać, że problem jej nie dotyczy tylko dlatego, że korzysta z gotowego rozwiązania od zewnętrznego dostawcy. Szczególnej analizy wymagają systemy wspierające selekcję CV, ocenę kandydatów, ocenę pracowników, przydzielanie zadań, monitorowanie efektywności, ocenę zdolności kredytowej, ustalanie dostępu do usług, obsługę reklamacji czy rekomendowanie decyzji dotyczących osób fizycznych.

Im większy wpływ AI na sytuację człowieka, tym większe znaczenie mają transparentność, nadzór człowieka, jakość danych wejściowych, możliwość zakwestionowania wyniku oraz dokumentowanie decyzji.

Szóste pytanie dotyczy dostawców: czy umowy z dostawcami AI zabezpieczają Twoją organizację?

Jeżeli organizacja korzysta z narzędzi AI dostarczanych przez zewnętrznych dostawców, powinna sprawdzić nie tylko funkcjonalności narzędzia, ale także warunki prawne jego używania. Warto ustalić, kto jest dostawcą systemu, gdzie przetwarzane są dane, czy dane są wykorzystywane do trenowania modeli, czy możliwe jest wyłączenie trenowania na danych organizacji, jakie są zasady poufności, jak wygląda odpowiedzialność dostawcy, czy możliwe jest zawarcie umowy powierzenia przetwarzania danych oraz czy organizacja otrzymuje dokumentację potrzebną do oceny zgodności.

Ostatnie pytanie brzmi: czy potrafisz wykazać, że organizacja zarządza AI świadomie?

W razie kontroli, incydentu bezpieczeństwa, sporu z klientem albo zarzutu naruszenia praw osoby fizycznej organizacja powinna być w stanie pokazać, że wie, z jakich narzędzi korzysta, jakie ryzyka się z tym wiążą i jakie środki wdrożyła, aby tymi ryzykami zarządzać.

W praktyce warto dokumentować listę wykorzystywanych narzędzi AI, procesy, w których AI jest używana, ocenę ryzyka, decyzje o dopuszczeniu narzędzi do użytku, zasady korzystania z AI, szkolenia pracowników, weryfikację umów z dostawcami, incydenty oraz działania naprawcze.

Nie chodzi o tworzenie nadmiernej biurokracji. Chodzi o możliwość wykazania, że organizacja działała świadomie.

4. Jakie pytania musisz sobie zadać jako pracownik wykorzystujący AI?

AI zmienia codzienną pracę pracowników. Nie chodzi jednak o to, aby zakazać korzystania z nowych narzędzi albo narzucać ich używanie bez zrozumienia, jak działają. Chodzi o to, aby korzystać z nich świadomie.

Jeżeli wykorzystujesz AI w pracy, zadaj sobie przede wszystkim pytanie: czy w ogóle mogę użyć tego narzędzia do danego zadania?

Nie każde narzędzie AI jest dopuszczone przez organizację. Nie każde może być używane do pracy z dokumentami klientów, danymi osobowymi, informacjami poufnymi albo materiałami objętymi prawami autorskimi.

Drugie pytanie brzmi: jakie dane zamierzam wprowadzić do AI?

Do otwartych narzędzi AI nie powinny trafiać informacje, które są poufne lub objęte ograniczeniami wynikającymi z przepisów prawa lub wewnętrznych polityk organizacji. Dotyczy to w szczególności danych osobowych, danych klientów, dokumentów kontraktowych, tajemnicy przedsiębiorstwa, informacji finansowych czy niepublicznych materiałów biznesowych.

Trzecie pytanie dotyczy celu: czy mogę wykorzystać AI do stworzenia dokumentu, analizy, oferty albo treści dla klienta?

Wynik wygenerowany przez AI może być pomocny, ale nie powinien być traktowany automatycznie jako prawidłowy. AI może generować odpowiedzi, które wyglądają przekonująco, ale są błędne, niepełne, nieaktualne albo oparte na nieprawidłowych założeniach.

Czwarte pytanie brzmi: czy wynik AI wymaga weryfikacji?

Im większe znaczenie ma dana treść lub decyzja, tym większa powinna być kontrola człowieka. Szczególnej weryfikacji wymagają wyniki, które trafiają do klienta, wpływają na decyzję biznesową, dotyczą osoby fizycznej, są wykorzystywane w dokumencie prawnym lub finansowym, odnoszą się do danych osobowych albo mogą prowadzić do nierównego traktowania.

Piąte pytanie dotyczy transparentności: czy trzeba oznaczyć, że treść powstała z pomocą AI albo poinformować kogoś o użyciu AI?

W niektórych sytuacjach klient, użytkownik albo pracownik powinien wiedzieć, że ma kontakt z AI albo że dana treść została wygenerowana lub zmodyfikowana przez AI. Transparentność nie jest wyłącznie obowiązkiem formalnym. Jest także elementem zaufania do organizacji.

Ostatnie pytanie brzmi: do kogo zgłosić wątpliwości?

Pracownik nie powinien samodzielnie rozstrzygać wszystkich ryzyk związanych z AI. Organizacja powinna wskazać osobę lub zespół, do którego można zgłaszać pytania dotyczące użycia narzędzi AI, danych, poufności, praw autorskich, ochrony danych osobowych czy obowiązków informacyjnych.

5. Jak możemy Ci pomóc przygotować się do wymogów AI Act i wdrożenia AI w Twojej organizacji?

Przygotowanie organizacji do wymogów AI Act powinno być praktyczne. Nie chodzi o tworzenie dokumentów oderwanych od rzeczywistości, ale o uporządkowanie tego, jak organizacja faktycznie korzysta z AI. Dlatego na co dzień:

  • pomagamy w przygotowaniu dokumentacji potwierdzającej świadome zarządzanie AI, w tym rejestru narzędzi, oceny ryzyka, zasad korzystania z AI, materiałów szkoleniowych, procedur zatwierdzania narzędzi oraz wzorów komunikatów informacyjnych.
  • pomagamy w przeprowadzeniu inwentaryzacji narzędzi AI, czyli ustaleniu, z jakich systemów korzysta organizacja, w jakich procesach są one używane, kto ma do nich dostęp i jakie dane są w nich przetwarzane;
  • wspieramy ocenę ryzyka oraz kwalifikację systemów AI, w tym analizę, czy konkretne zastosowanie może być objęte obowiązkami dotyczącymi systemów wysokiego ryzyka albo obowiązkami transparentności;
  • pomagamy przygotować politykę korzystania z AI, dostosowaną do organizacji i jej procesów, obejmującą m.in. dopuszczone narzędzia, zakazane sposoby użycia, zasady pracy z danymi, wymogi weryfikacji wyników AI, procedurę akceptacji nowych narzędzi oraz zakres odpowiedzialności;
  • wspieramy w weryfikacji umów z dostawcami AI, w szczególności pod kątem ochrony danych, poufności, odpowiedzialności, wykorzystania danych do trenowania modeli, ochrony własności intelektualnej, dokumentacji oraz zasad aktualizacji systemu;
  • przygotowujemy i prowadzimy szkolenia z AI literacy, dopasowane do realnych zadań pracowników i specyfiki działów (zarząd, HR, marketing, sprzedaż, dział prawny, IT, obsługa klienta), oparte na praktycznych scenariuszach;

6. Czy Twoje działania są zgodne z AI Act?

AI Act nie zakazuje korzystania ze sztucznej inteligencji. Wymaga jednak, aby organizacje wiedziały, jak z niej korzystają, jakie ryzyka się z tym wiążą i kto ponosi odpowiedzialność za jej użycie.

Największy błąd polega na traktowaniu AI jak zwykłego narzędzia biurowego. Zakup popularnego narzędzia nie gwarantuje jego bezpieczeństwa. Nie wystarczy również przyjąć, że AI jest wyłącznie tematem działu IT.

Dla osób zarządzających organizacją AI oznacza konieczność spojrzenia na technologię z perspektywy odpowiedzialności. Inaczej należy ocenić wykorzystanie AI do poprawienia stylistyki maila, a inaczej system, który wspiera chociażby rekrutację.

Przed 2 sierpnia 2026 r. warto zadać sobie kilka podstawowych pytań:

  • czy wiemy, gdzie w organizacji używana jest AI;
  • czy mamy zasady korzystania z AI;
  • czy pracownicy wiedzą, czego nie wolno wpisywać do narzędzi AI;
  • czy potrafimy ocenić ryzyko;
  • czy weryfikujemy umowy z dostawcami;
  • czy wyniki AI są kontrolowane przez człowieka;
  • czy potrafimy wykazać, że korzystamy z AI w sposób świadomy.

AI może przyspieszać pracę, poprawiać jakość analiz i wspierać automatyzację powtarzalnych zadań. Żeby jednak przynosiła korzyści, musi być wdrażana i wykorzystywana w sposób przemyślany.

Jeżeli chcesz sprawdzić, czy Twoja organizacja korzysta z AI zgodnie z AI Act, albo przygotować ją do nowych obowiązków, skontaktuj się z nami. Pomożemy Ci przejść od niepewności do konkretnych, praktycznych działań.

Zobacz inne …