Sztuczna inteligencja wchodzi do polskich firm szybciej, niż ktokolwiek przewidywał. Według raportu PARP z końca 2025 roku, już 34% małych i średnich przedsiębiorstw w Polsce korzysta z narzędzi AI - choćby do obsługi klienta, generowania treści czy analizy danych. Problem w tym, że większość z nich robi to bez żadnej strategii bezpieczeństwa.
Tymczasem regulacje się zmieniają. AI Act, czyli unijne rozporządzenie o sztucznej inteligencji, zaczyna obowiązywać etapami od lutego 2025 roku. Do sierpnia 2026 wejdą w życie przepisy dotyczące systemów wysokiego ryzyka. Dla wielu polskich firm to nie jest odległa przyszłość - to kalendarz, w którym trzeba już teraz zaplanować konkretne działania.
W tym artykule pokazuję, co realnie zmienia się w podejściu do bezpieczeństwa AI i co możesz zrobić jako właściciel lub manager w polskiej firmie, żeby nie dać się zaskoczyć.
Co AI Act oznacza w praktyce dla polskiej firmy
AI Act dzieli systemy sztucznej inteligencji na cztery kategorie ryzyka: minimalne, ograniczone, wysokie i niedopuszczalne. Większość narzędzi, z których korzystają małe firmy - ChatGPT, Claude, Midjourney, automatyzacje marketingowe - wpada w kategorię ograniczonego ryzyka. To dobra wiadomość, bo wymogi są tu stosunkowo lekkie.
Ale jest haczyk. Jeśli używasz AI do:
- oceny kandydatów w rekrutacji (np. automatyczne filtrowanie CV),
- scoringu kredytowego lub oceny wiarygodności klientów,
- podejmowania decyzji wpływających na dostęp do usług publicznych,
- monitoringu pracowników z wykorzystaniem rozpoznawania emocji,
to Twój system może zostać zakwalifikowany jako wysokiego ryzyka. A to oznacza obowiązek dokumentacji technicznej, oceny ryzyka, nadzoru ludzkiego i rejestracji w unijnej bazie danych. Kary za nieprzestrzeganie sięgają 35 milionów euro lub 7% rocznego obrotu - w zależności od tego, która kwota jest wyższa.
W praktyce polskie MŚP powinny zrobić jedną prostą rzecz na start: inwentaryzację wszystkich narzędzi AI, z których korzystają. Brzmi banalnie, ale z mojego doświadczenia wynika, że w firmie zatrudniającej 20-50 osób nikt nie ma pełnego obrazu, ile i jakich narzędzi AI używa zespół. Pracownicy sami instalują wtyczki do przeglądarki, korzystają z darmowych wersji generatorów tekstu, wrzucają dane firmowe do różnych chatbotów.
Bezpieczeństwo danych - gdzie polskie firmy popełniają błędy
Najczęstszy problem, jaki widzę u klientów, to beztroskie wklejanie danych firmowych do narzędzi AI. Oferty handlowe, dane klientów, wewnętrzne raporty finansowe - wszystko ląduje w oknie czatu z ChatGPT lub innym modelem. I choć OpenAI deklaruje, że nie trenuje modeli na danych z płatnych kont biznesowych (ChatGPT Team i Enterprise), to darmowe wersje takiej gwarancji nie dają.
Konkretny przykład: firma produkcyjna z Wielkopolski (35 pracowników) korzystała z darmowego ChatGPT do analizy reklamacji klientów. Wklejali pełne dane kontrahentów - nazwy firm, kwoty, opisy wad produktów. Gdy ich audytor RODO zobaczył ten obieg pracy, firma musiała zgłosić potencjalne naruszenie ochrony danych do UODO.
Co zrobić zamiast tego:
- Wykup plan biznesowy - ChatGPT Team (25 USD/miesiąc za osobę) albo Claude Team (30 USD/miesiąc za osobę) dają gwarancję, że dane nie są używane do treningu modeli.
- Anonimizuj dane przed wklejeniem - zamień nazwy firm na "Klient A", usuń kwoty, zastąp dane osobowe placeholderami.
- Ustal politykę korzystania z AI - prosty dokument na jedną stronę: co wolno, czego nie wolno, jakie narzędzia są dopuszczone.
Trzy kroki, które warto zrobić do końca 2026 roku
Nie trzeba od razu zatrudniać specjalisty od compliance AI. Dla firmy zatrudniającej do 100 osób wystarczy systematyczne podejście w trzech krokach.
Krok 1: Inwentaryzacja (1-2 tygodnie). Zrób listę wszystkich narzędzi AI używanych w firmie. Nie tylko tych oficjalnie zakupionych - zapytaj zespół, z czego korzystają na co dzień. Sprawdź wtyczki w przeglądarkach, aplikacje na telefonach służbowych, integracje w CRM-ie. Przy każdym narzędziu zapisz: jakie dane firmowe do niego trafiają i czy jest płatna wersja z gwarancjami bezpieczeństwa.
Krok 2: Polityka AI (1 tydzień). Napisz prostą politykę korzystania ze sztucznej inteligencji. Wystarczy jeden dokument A4 z odpowiedziami na pytania: jakie narzędzia są dozwolone, jakich danych nie wolno wklejać, kto odpowiada za nadzór, co robić w razie incydentu. Szablon takiej polityki dla MŚP można znaleźć na stronie Polskiego Instytutu Ekonomicznego.
Krok 3: Szkolenie zespołu (pół dnia). Nie chodzi o wykład z AI Act. Chodzi o praktyczne warsztaty: pokaz, jak anonimizować dane przed wklejeniem do czatu, jak sprawdzić, czy odpowiedź AI jest poprawna, jak korzystać z narzędzi w sposób bezpieczny. Z doświadczenia wiem, że 90% problemów z bezpieczeństwem AI w małych firmach wynika nie ze złych intencji, ale z braku świadomości.
Na co zwrócić uwagę przy wyborze dostawcy AI
Rynek narzędzi AI dla biznesu rośnie w tempie 40% rocznie. Pojawia się mnóstwo rozwiązań - od polskich startupów po globalne platformy. Przy wyborze dostawcy warto sprawdzić kilka rzeczy:
- Gdzie przechowywane są dane - czy serwery stoją w UE (wymóg RODO), czy dane lecą do USA lub Azji.
- Certyfikaty bezpieczeństwa - SOC 2, ISO 27001 to minimum dla narzędzi przetwarzających dane firmowe.
- Warunki przetwarzania danych - czy dostawca jasno deklaruje, że nie używa Twoich danych do treningu modeli.
- Możliwość usunięcia danych - czy po zakończeniu współpracy możesz wymazać wszystkie dane z systemu dostawcy.
Microsoft (Azure OpenAI), Google (Vertex AI) i Anthropic (Claude) oferują wersje biznesowe z przetwarzaniem danych w europejskich centrach danych. To bezpieczniejsza opcja niż korzystanie z darmowych wersji konsumenckich, nawet jeśli kosztuje kilkaset złotych miesięcznie.
Bezpieczeństwo AI to nie koszt - to przewaga
Firmy, które wcześnie wdrożą dobre praktyki bezpieczeństwa AI, zyskają przewagę konkurencyjną. Nie dlatego, że regulacje to wymuszą - choć wymuszą. Przede wszystkim dlatego, że klienci B2B coraz częściej pytają o politykę AI swoich dostawców. W przetargach publicznych i u dużych korporacji pytanie "jak zabezpieczacie dane przetwarzane przez AI?" staje się standardem.
Polskie firmy mają tu szansę. Jesteśmy w momencie, gdy reguły gry dopiero się ustalają. Kto teraz poświęci kilka dni na uporządkowanie tematu bezpieczeństwa AI, ten za rok będzie miał gotową dokumentację, przeszkolony zespół i spokojną głowę. A kto zignoruje temat - ten będzie gasił pożary pod presją czasu i regulatora.
Zachęcam do działania. Nie za kwartał, nie po wakacjach. Zacznij od inwentaryzacji narzędzi AI w swojej firmie - dziś.
Źródło: EU AI Act - European Commission