# Polityka bezpieczeństwa AI w firmie — szablon > Skopiuj, uzupełnij `[POLA]`, podpisz. Krótki dokument, który załatwia 90% sytuacji w MŚP. > Dla firm > 250 osób → potrzebny prawnik + DPIA. --- # Polityka użycia AI w [NAZWA FIRMY] **Data wprowadzenia:** [DATA] **Wersja:** 1.0 **Właściciel dokumentu:** [STANOWISKO — np. CTO, COO] --- ## 1. Cel Polityka określa, w jaki sposób pracownicy [NAZWA FIRMY] mogą korzystać z narzędzi AI (ChatGPT, Claude, Gemini, Perplexity, Copilot itp.) w pracy zawodowej, tak aby: - Wspierać produktywność zespołu. - Chronić dane klientów i firmy. - Spełniać RODO oraz **AI Act** (wchodzi w pełni 2026-08). - Unikać sytuacji, w których AI wpływa na decyzje wpływające na klientów bez kontroli człowieka. --- ## 2. Co MOŻNA bez ograniczeń - Pisanie/poprawianie maili wewnętrznych. - Generowanie pomysłów, brainstorming. - Tłumaczenia tekstów publicznych. - Pisanie kodu (z review przed mergowaniem). - Streszczanie dokumentów publicznych. - Nauka, szkolenia. --- ## 3. Co MOŻNA, ale ostrożnie (z dodatkowymi krokami) | Zastosowanie | Wymagane zabezpieczenia | |---|---| | Treści marketingowe, social media | Review przez team lead przed publikacją | | Analiza danych nie-osobowych klientów | Dane zanonimizowane (firmy → „Firma A, B, C") | | Szkic umów, NDA | Review prawny przed wysyłką | | Komunikacja z klientami | Człowiek zatwierdza KAŻDĄ wiadomość przed wysyłką (L1 autonomy) | | Decyzje rekrutacyjne | AI tylko jako narzędzie wspierające, decyzję podejmuje człowiek | --- ## 4. Czego NIE WOLNO - ❌ Wklejać do publicznych modeli AI (ChatGPT, Claude.ai, Gemini bez konta firmowego): - Danych osobowych klientów (PESEL, adres, imię + nazwisko + cokolwiek wrażliwego). - Numerów kart, dokumentów tożsamości, danych zdrowotnych. - Wewnętrznych dokumentów oznaczonych jako „poufne" lub „wewnętrzne". - Kodu źródłowego z naszych proprietary systemów. - Strategii biznesowej, planów M&A, danych finansowych nieopublikowanych. - ❌ Używać AI do podejmowania decyzji wpływających na klienta bez kontroli człowieka (AI Act, art. 22 RODO). - ❌ Generować deepfake'i (audio/video osób bez ich zgody). - ❌ Wykorzystywać AI do nadzoru nad pracownikami bez ich poinformowania. --- ## 5. Bezpieczne narzędzia (whitelisted) W naszej firmie używamy: | Narzędzie | Plan | Dane treningowe | Status | |---|---|---|---| | **ChatGPT Enterprise** lub **Plus** z wyłączonym treningiem | [konkretny plan] | NIE używają naszych danych | ✅ | | **Claude Pro** z opcją „Don't train on my data" | Pro | NIE używają (Anthropic ma to domyślnie) | ✅ | | **Microsoft Copilot for M365** | Enterprise | NIE wychodzą poza nasz tenant | ✅ | | **Perplexity Pro** | Pro | NIE używają | ✅ | | **GitHub Copilot Business** | Business | NIE używają | ✅ | | **Gemini Workspace** | Business+ | NIE używają | ✅ | ❌ NIE WOLNO używać: - Darmowego ChatGPT (logi mogą być używane do treningu) - Modeli niesprawdzonych (HuggingFace runtime, randomowe API) - Narzędzi wykorzystujących modele chińskie/rosyjskie bez akceptacji [STANOWISKO] --- ## 6. Czerwone flagi — eskaluj do [OSOBA / DZIAŁ] - AI „halucynuje" coś, co potem trafiło do klienta jako prawda. - AI sugerowało dyskryminujące decyzje (rekrutacja, kredyty, pricing). - Wyciek danych osobowych przez błąd człowieka (wklejenie do publicznego ChatGPT). - Skarga klienta dot. „odpowiedzi AI" (np. chatbot powiedział coś błędnego). - Atak prompt-injection (klient próbował zmusić nasz chatbot do złamania zasad). **Procedura eskalacji:** 1. Email do `[ai-incidents@firma.pl]` w ciągu 24h. 2. Spisanie incydentu (data, opis, użyte narzędzie, wpływ). 3. [Stanowisko] decyduje o dalszych krokach (notyfikacja UODO jeśli RODO, etc.). --- ## 7. Wdrażanie agentów (autonomicznych) Każdy agent AI uruchomiony w produkcji w naszej firmie wymaga: ### 7.1 Dokumentacji (1-stronicowy „pasport agenta") - Co robi (1 zdanie). - Jakie dane przetwarza. - Jakie ma narzędzia (whitelist). - Poziom autonomii (L1-L5 — patrz cheatsheet). - Kto jest właścicielem. - Jak mierzymy sukces/porażkę. - Co spowoduje wyłączenie. ### 7.2 Guardrails (zawsze): - `max_steps` (limit kroków jednego zadania) - `max_cost` (limit kosztu API/mc) - Whitelist narzędzi - Log każdej akcji (90 dni retencji minimum) - Human-in-loop dla akcji krytycznych (definicja per agent) ### 7.3 Tydzień obserwacji: Przed pełnym uruchomieniem (L3-L5) → tydzień w trybie L1 (asystent) lub L2 (z review). ### 7.4 Audyt: Co kwartał — review wszystkich aktywnych agentów: czy nadal sensowne, czy nie generują problemów, czy logi czyste. --- ## 8. Szkolenia - Każdy nowy pracownik: szkolenie wprowadzające „AI w naszej firmie" (1h, online lub stacjonarnie). - Każdy pracownik: roczne odświeżenie (technologia szybko się zmienia). - Lider zespołu: dodatkowe szkolenie z guardrails. --- ## 9. Aktualizacja polityki - Min. raz na 6 miesięcy. - Ad-hoc po każdym istotnym incydencie. - Po wprowadzeniu nowego narzędzia AI w firmie. - Po zmianach legislacyjnych (RODO, AI Act). --- ## 10. Kontakt - Pytania ogólne: `[ai-questions@firma.pl]` - Incydenty: `[ai-incidents@firma.pl]` - Wniosek o nowe narzędzie: `[ai-tools-request@firma.pl]` --- **Akceptacja:** Pracownicy [NAZWA FIRMY] potwierdzają zapoznanie się z polityką poprzez `[mechanizm — np. checkbox w HR systemie / podpis w intranecie / mail powitalny]`. Niezgodność z polityką = naruszenie regulaminu pracy → konsekwencje wg [KODEKS / REGULAMIN]. --- *AI Master · Dzień 4 · szablon polityki AI dla MŚP · 28.04.2026 · Konsultuj z prawnikiem przed wdrożeniem*