📚 Dodatek do książki "Wszyscy Kłamią o AI"

Checklista Bezpieczeństwa AI

40+ punktów kontrolnych. Zgodność z RODO i AI Act. Gotowe szablony polityk.

⚠️ Dlaczego to ważne?

1 sierpnia 2024 weszło w życie rozporządzenie AI Act - pierwsze na świecie prawo kompleksowo regulujące sztuczną inteligencję. Nieprzestrzeganie przepisów może skutkować karami do 35 milionów EUR lub 7% globalnego obrotu.

Ale nawet bez AI Act - wyciek danych firmowych do AI może oznaczać utratę tajemnicy handlowej, naruszenie RODO, lub po prostu przekazanie konkurencji Twoich strategii.

Ta checklista pomoże Ci wdrożyć AI bezpiecznie i zgodnie z prawem.

Twój postęp: 0 / 0 punktów

Zaznaczaj ukończone punkty - postęp zapisuje się lokalnie

1 Inwentaryzacja AI w organizacji

Zanim zaczniesz regulować - musisz wiedzieć, czego używacie. Wiele firm nie wie, że pracownicy już używają AI.

Przeprowadź audyt narzędzi AI w firmiePriorytet
Sprawdź jakich narzędzi AI używają pracownicy - oficjalnie i nieoficjalnie. ChatGPT, Claude, Copilot, Grammarly, Notion AI, Jasper, MidJourney... Każde narzędzie to potencjalny kanał wycieku danych.
Stwórz rejestr używanych systemów AI
Dla każdego narzędzia zapisz: nazwę, producenta, jakie dane przetwarza, kto używa, czy jest płatne, jakie są warunki użytkowania, czy dane są używane do treningu modeli.
Zidentyfikuj "shadow AI"
Zapytaj pracowników anonimowo, czy używają AI do pracy. Często używają prywatnych kont ChatGPT do służbowych zadań - bez wiedzy IT. To ogromne ryzyko.
Sklasyfikuj systemy AI według ryzyka (AI Act)
AI Act dzieli systemy na: zakazane, wysokiego ryzyka, ograniczonego ryzyka, minimalnego ryzyka. Sprawdź, w której kategorii są Twoje narzędzia. Wysokie ryzyko = więcej obowiązków.

2 Ochrona danych firmowych

Dane wpisane do AI mogą być używane do treningu modeli lub przechowywane na serwerach producenta. Musisz wiedzieć, co można wpisywać.

Stwórz listę danych ZABRONIONYCH do wpisywania w AIPriorytet
Dane osobowe (PESEL, imiona, adresy), dane finansowe, tajemnice handlowe, kod źródłowy, strategie, dane klientów, dokumenty poufne. Jasna lista = mniej błędów.
Sprawdź politykę prywatności każdego narzędzia AI
Czy dane są używane do treningu? Gdzie są przechowywane? Jak długo? Czy można je usunąć? ChatGPT domyślnie trenuje na Twoich rozmowach - możesz to wyłączyć.
Włącz opcje prywatności w używanych narzędziach
W ChatGPT: Settings → Data Controls → wyłącz "Improve the model for everyone". W Claude: od września 2025 użytkownicy planów konsumenckich (Free, Pro, Max) musieli aktywnie wybrać swoje preferencje dotyczące trenowania modelu. Deadline dla istniejących użytkowników upłynął 8 października 2025. Nowi użytkownicy wybierają ustawienie podczas rejestracji. Jeśli toggle "Help improve Claude" jest włączony, dane mogą być używane do treningu przez nawet 5 lat; jeśli wyłączony - obowiązuje standardowe 30-dniowe przechowywanie. Sprawdź i wyłącz w Settings → Privacy → "Help improve Claude". Sprawdź każde narzędzie osobno.
Rozważ wersje Enterprise / Business
ChatGPT Enterprise, Claude for Business - oferują lepsze gwarancje prywatności, brak treningu na danych, SLA, zgodność z regulacjami. Droższe, ale bezpieczniejsze.
Stwórz procedurę anonimizacji danych
Przed wpisaniem czegokolwiek do AI - zamień prawdziwe dane na placeholdery. "Klient ABC" zamiast prawdziwej nazwy. "Jan K." zamiast pełnego imienia i nazwiska.

🚫 Czego NIGDY nie wpisuj do publicznych narzędzi AI

Dane osobowe - imiona, nazwiska, adresy, PESEL, numery telefonów, e-maile pracowników lub klientów

Dane finansowe - przychody, zyski, budżety, wynagrodzenia, numery kont, dane kart

Tajemnice handlowe - strategie, plany produktowe, formuły, receptury, metody produkcji

Kod źródłowy - szczególnie własnościowy, z kluczami API, hasłami, tokenami

Dokumenty prawne - umowy, pozwy, dokumenty NDA

Dane medyczne - diagnozy, wyniki badań, historie chorób

Komunikację wewnętrzną - e-maile, rozmowy, notatki ze spotkań z wrażliwymi informacjami

3 Zgodność z RODO

AI nie zwalnia z RODO. Jeśli przetwarzasz dane osobowe z użyciem AI - musisz spełnić wszystkie wymagania.

Zaktualizuj Rejestr Czynności PrzetwarzaniaPriorytet
Dodaj narzędzia AI jako kategorie przetwarzania. Kto jest administratorem? Kto procesorem? Gdzie dane są przechowywane? Transfer poza EOG?
Sprawdź podstawy prawne przetwarzania
Na jakiej podstawie przetwarzasz dane w AI? Zgoda? Uzasadniony interes? Wykonanie umowy? Każda podstawa ma swoje wymagania.
Podpisz umowy powierzenia przetwarzania (DPA)
Z każdym dostawcą AI, który przetwarza dane osobowe. OpenAI, Anthropic, Google - wszyscy oferują DPA. Pobierz i podpisz.
Zaktualizuj politykę prywatności
Poinformuj klientów, że używasz AI do przetwarzania ich danych. Jakie narzędzia? W jakim celu? Gdzie dane są przechowywane?
Przeprowadź DPIA (jeśli wymagane)
Data Protection Impact Assessment - wymagane przy przetwarzaniu na dużą skalę, profilowaniu, zautomatyzowanych decyzjach. AI często to wyzwala.
Sprawdź transfer danych poza EOG
Większość narzędzi AI ma serwery w USA. To transfer poza EOG - wymaga dodatkowych zabezpieczeń (SCC, decyzja adekwatności).

4 Zgodność z AI Act

AI Act wchodzi stopniowo w życie 2024-2028. Niektóre obowiązki już obowiązują. 7 maja 2026 osiągnięto prowizoryczne porozumienie polityczne w sprawie pakietu Digital Omnibus, przesuwającego terminy dla systemów wysokiego ryzyka. Parlament Europejski formalnie zatwierdził porozumienie 16 czerwca 2026, a Rada UE dała ostateczną zgodę 29 czerwca 2026. Ustawa zostanie opublikowana w Dzienniku Urzędowym UE i wejdzie w życie trzeciego dnia po publikacji - spodziewana w lipcu 2026, przed terminem 2 sierpnia.

Sprawdź, czy nie używasz zakazanych systemów AIPriorytet
Zakazane: social scoring, manipulacja podprogowa, wykorzystywanie słabości, rozpoznawanie emocji w pracy/edukacji (z wyjątkami), zdalne rozpoznawanie biometryczne w czasie rzeczywistym.
Zidentyfikuj systemy wysokiego ryzyka
Wysokie ryzyko: rekrutacja, ocena kredytowa, dostęp do edukacji, systemy bezpieczeństwa, infrastruktura krytyczna. Wymagają: zarządzania ryzykiem, jakości danych, dokumentacji, nadzoru człowieka.
Zapewnij przejrzystość użycia AI
Użytkownicy muszą wiedzieć, że rozmawiają z AI. Chatboty, voiceboty, generowane treści - wymagane oznaczenie. "Wygenerowano przez AI".
Wyznacz osobę odpowiedzialną za AI
Kto w organizacji odpowiada za zgodność AI z przepisami? Może to być istniejąca rola (DPO) lub nowa (AI Officer).
Stwórz dokumentację techniczną
Dla systemów wysokiego ryzyka: jak działa system, na jakich danych trenowany, jakie ma ograniczenia, jak testowany, jakie środki nadzoru.

5 Weryfikacja i kontrola jakości

AI halucynuje. Błędy w odpowiedziach AI mogą mieć poważne konsekwencje. Potrzebujesz procedur weryfikacji.

Stwórz procedurę weryfikacji odpowiedzi AIPriorytet
Kiedy wymagana jest weryfikacja? Kto weryfikuje? Jak dokumentować? Szczególnie ważne dla: decyzji prawnych, finansowych, medycznych, HR.
Zdefiniuj "human in the loop"
Gdzie w procesie jest człowiek? AI sugeruje → człowiek decyduje. Nie: AI decyduje → człowiek klika OK. Prawdziwy nadzór, nie rubber-stamping.
Stwórz system zgłaszania błędów AI
Pracownicy muszą mieć gdzie zgłaszać halucynacje, błędy, problematyczne odpowiedzi. Zbieraj feedback, analizuj, poprawiaj procesy.
Testuj krytyczne use case'y
Przed wdrożeniem AI do ważnych procesów - przetestuj z przykładowymi danymi. Sprawdź edge case'y. Dokumentuj wyniki.

6 Szkolenia i świadomość

Najlepsza polityka nie pomoże, jeśli pracownicy nie wiedzą o niej lub nie rozumieją ryzyk.

Przeszkol pracowników z bezpiecznego używania AIPriorytet
Co można wpisywać, czego nie. Jak rozpoznawać halucynacje. Kiedy weryfikować. Gdzie zgłaszać problemy. Regularne szkolenia, nie jednorazowe.
Stwórz materiały pomocnicze
Cheatsheet: "Co można, czego nie można". Przykłady dobrego i złego użycia. Plakat przy stanowiskach. Dostępne, proste, czytelne.
Wyznacz "AI Champions" w zespołach
Osoby, które znają AI lepiej, mogą pomagać innym. Nie muszą być ekspertami - wystarczy, że są punktem kontaktu.
Komunikuj zmiany w polityce AI
Nowe narzędzia, nowe ograniczenia, nowe procedury - informuj jasno. Mail to za mało. Spotkania, szkolenia, potwierdzenia.

7 Dokumentacja i polityki

Wszystko na piśmie. Gdy coś pójdzie nie tak - dokumentacja to Twoja obrona.

Stwórz Politykę Użycia AIPriorytet
Oficjalny dokument: jakie narzędzia dozwolone, jakie dane można przetwarzać, procedury, odpowiedzialności. Podpisany przez zarząd, dostępny dla wszystkich.
Zaktualizuj regulaminy pracy
Dodaj zapisy o AI: zasady użycia, konsekwencje naruszeń. Pracownik musi wiedzieć, że niewłaściwe użycie AI = naruszenie regulaminu.
Stwórz procedury incydentów
Co jeśli wyciek danych do AI? Kto zgłasza, komu, w jakim czasie? Procedura naprawcza. Może wymagać zgłoszenia do UODO.
Dokumentuj decyzje podejmowane z AI
Szczególnie ważne dla decyzji wpływających na ludzi (HR, kredyty, oceny). RODO daje prawo do wyjaśnienia - musisz umieć pokazać jak podjęto decyzję.
Fragment szablonu Polityki Użycia AI
POLITYKA UŻYCIA SZTUCZNEJ INTELIGENCJI [NAZWA FIRMY] 1. CEL I ZAKRES Niniejsza polityka określa zasady korzystania z narzędzi opartych na sztucznej inteligencji przez pracowników [FIRMA]. 2. DOZWOLONE NARZĘDZIA Lista zatwierdzonych narzędzi AI: - [NARZĘDZIE 1] - do celów: [...] - [NARZĘDZIE 2] - do celów: [...] 3. DANE ZABRONIONE Bezwzględnie zabrania się wprowadzania do narzędzi AI: - Danych osobowych klientów i pracowników - Danych finansowych firmy - [...] 4. PROCEDURA WERYFIKACJI Odpowiedzi AI muszą być weryfikowane przed użyciem w: - Komunikacji zewnętrznej - Dokumentach prawnych - [...] 5. ODPOWIEDZIALNOŚĆ Za przestrzeganie polityki odpowiada każdy pracownik. Naruszenie = postępowanie dyscyplinarne. Data wejścia w życie: [DATA] Zatwierdził: [PODPIS ZARZĄDU]

💡 Darmowe zasoby do pobrania

Na blogu SukcesAI znajdziesz pełne szablony do pobrania: Polityka Użycia AI, Checklista dla menedżera, Materiały szkoleniowe.

📚 Zasoby i dalsze kroki

🇪🇺 AI Act - pełny tekst

Oficjalny tekst rozporządzenia na eur-lex.europa.eu. Wersja polska dostępna.

🔒 Wytyczne UODO

Urząd Ochrony Danych Osobowych publikuje wytyczne dotyczące AI i RODO.

📋 ISO/IEC 42001

Międzynarodowy standard zarządzania AI. Dla firm, które chcą certyfikacji.

🤖 AI Ethics Guidelines

High-Level Expert Group on AI - wytyczne etyczne dla godnej zaufania AI.

Potrzebujesz pomocy we wdrożeniu?

Oferuję konsultacje i szkolenia z bezpiecznego wdrożenia AI w firmie.

Umów się na rozmowę →