AI Literacy i Polityka AI – jak uporządkować korzystanie ze sztucznej inteligencji w MŚP część I

Sztuczna inteligencja stała się powszechnym narzędziem pracy, dlatego zgodnie z AI Act każda organizacja korzystająca z AI powinna rozwijać kompetencje pracowników (AI Literacy) oraz wdrożyć zasady bezpiecznego korzystania z tych narzędzi. Kluczowe jest rozpoznanie, jakie systemy AI są używane w firmie, ocena związanych z nimi ryzyk oraz dostosowanie szkoleń do ról i obowiązków pracowników. Ważnym elementem jest także opracowanie Polityki AI, która pomaga ograniczyć zagrożenia, takie jak wyciek danych, naruszenia RODO czy bezkrytyczne wykorzystywanie błędnych odpowiedzi generowanych przez AI, a jednocześnie stanowi dowód realizacji obowiązków wynikających z przepisów.

AI Literacy i Polityka AI – jak uporządkować korzystanie ze sztucznej inteligencji w MŚP część I
Spis treści
Heading 2

Sztuczna inteligencja przestała być ciekawostką technologiczną, stała się codziennym narzędziem pracy w tysiącach polskich firm, niezależnie od ich wielkości i branży. Dziś z AI korzysta recepcjonistka generująca odpowiedzi e-mail, handlowiec tworzący oferty za pomocą ChataGPT i księgowa automatyzująca kategoryzację dokumentów. Niestety, bardzo często korzystanie z narzędzi AI odbywa się bez żadnych zasad, wytycznych ani świadomości ryzyk prawnych.  Tymczasem dwa filary, które każdy przedsiębiorca powinien dziś znać to kompetencje w zakresie AI (AI Literacy) oraz wewnętrzna Polityka AI. W tym artykule przybliżam co nakazuje prawo, co zmienia głośny Digital Omnibus on AI i jak krok po kroku uporządkować AI w organizacji. 

Punktem wyjścia jest artykuł 4 AI Act, czyli rozporządzenia UE 2024/1689. Nakłada on na dostawców i podmioty stosujące obowiązek podejmowania środków wspierających rozwój kompetencji w zakresie AI (patrz ,,Ważna uwaga’’ poniżej) wśród personelu oraz innych osób działających w ich imieniu. Definicja jest celowo szeroka: chodzi o „umiejętności, wiedzę i zrozumienie", które pozwalają świadomie wdrażać AI oraz rozumieć jej szanse, ryzyka i możliwe szkody. Przepis obejmuje nie tylko programistów i specjalistów IT, ale każdego pracownika, który w codziennej pracy korzysta z systemów opartych na sztucznej inteligencji, a aktualnie dotyczy to coraz większej części zatrudnionych w każdej firmie.

Co najistotniejsze, obowiązek w zakresie AI Literacy obowiązuje już od 2 lutego 2025 r. 

Ważna uwaga: Digital Omnibus on AI (PE-CONS 30/26) został przyjęty przez Parlament Europejski 16 czerwca 2026 r. i zatwierdzony przez Radę UE 29 czerwca 2026 r. (na dzień 1 lipca 2026 r. dokument oczekuje na publikację w Dzienniku Urzędowym UE i wejdzie w życie trzeciego dnia po jej dokonaniu) i zmienia treść art. 4 AI Act. Nowe brzmienie przepisu zastępuje obowiązek „zapewnienia wystarczającego poziomu kompetencji” obowiązkiem „podejmowania środków wspierających rozwój kompetencji”. Dodatkowo dodano art. 4 ust. 2, który zobowiązuje Komisję Europejską i państwa członkowskie do wspierania dostawców i podmiotów stosujących AI przez publikowanie praktycznych przykładów i wytycznych oraz art. 4 ust. 3, który przewiduje, że Rada przyjmie rekomendacje określające wspólne cele w zakresie AI Literacy.

Kogo dokładnie dotyczy obowiązek AI Literacy?

Zanim przejdziemy do tego, co konkretnie powinna zrobić organizacja, warto precyzyjnie wskazać kogo obowiązek z art. 4 AI Act w ogóle obejmuje.

Akt w sprawie sztucznej inteligencji, o czym wspominałam w poprzednich publikacjach, ma charakter bezpośrednio obowiązującego prawa unijnego, zatem stosowany jest we wszystkich państwach UE. Co więcej, AI Act obejmuje również firmy spoza Unii Europejskiej, jeżeli ich system AI jest udostępniany lub używany na terenie UE albo jego skutki dotykają osób przebywających w Unii. Innymi słowy, siedziba firmy nie ma znaczenia, liczy się to, gdzie system działa i kogo dotyczy.

Logika całego rozporządzenia oparta jest na ryzyku, zatem im większe potencjalne zagrożenie dla praw człowieka i bezpieczeństwa, tym surowsze wymogi. Spektrum obowiązków rozciąga się od bezwzględnych zakazów stosowania określonych praktyk AI (obowiązujących od 2 lutego 2025 r.), przez rozbudowane wymogi dla systemów wysokiego ryzyka, po obowiązki przejrzystości dotyczące powszechnych narzędzi AI chatbotów, deepfake'ów i treści generowanych przez AI. Wiele z tych kwestii poruszałam już w swoich poprzednich artykułach. 

Dwie kluczowe role – dostawca i podmiot stosujący

Na potrzeby niniejszego artykułu wystarczające jest omówienie dwóch podstawowych ról, w których najczęściej występują polskie MŚP. Pierwsza, to dostawca (provider), czyli podmiot, który tworzy lub zleca stworzenie systemu AI i wprowadza go na rynek pod własną nazwą lub marką. Druga to podmiot stosujący (deployer), czyli podmiot, który używa systemu AI w ramach swojej działalności zawodowej lub gospodarczej. AI Act wymienia więcej kategorii uczestników rynku (m.in. importerów i dystrybutorów), jednak dla zdecydowanej większości MŚP kluczowe jest właśnie to rozróżnienie.

Aktualnie, zdecydowana większość polskich małych i średnich firm to podmioty stosujące, które korzystają z gotowych narzędzi AI, takich jak ChatGPT, Microsoft Copilot, Gemini, Claude, narzędzia HR, systemy marketingowe czy platformy do obsługi klienta. Rzadziej pełnią rolę dostawców, choć i to się zdarza na przykład, gdy firma IT tworzy własny system AI i udostępnia go klientom pod swoją marką.

Rozróżnienie to ma fundamentalne znaczenie, ponieważ wyznacza zakres obowiązków wynikający z AI Act, dostawcy podlegają znacznie bardziej rozbudowanym wymogom niż podmioty stosujące. Dlatego pierwszym krokiem każdego przedsiębiorcy powinno być precyzyjne ustalenie, jaką rolę pełni w stosunku do używanych lub tworzonych systemów AI. 

Co istotne, obowiązujący już obowiązek z AI Literacy dotyczy zarówno dostawców jak i podmiotów stosujących. 

Zatem jak zrealizować AI Literacy?

AI Office (Urząd ds. Sztucznej Inteligencji działający przy Komisji Europejskiej) nie narzucił jednego obowiązkowego formatu szkoleń ani minimalnej liczby godzin. Zamiast tego zaproponował czterostopniowy schemat analityczny, który organizacja powinna przeprowadzić, zanim zdecyduje o konkretnych działaniach. Co ważne, schemat ten można zrealizować własnymi siłami, nawet w małej firmie, bez angażowania zewnętrznych konsultantów. 

Krok 1: Zbuduj ogólne rozumienie AI w organizacji 

Punktem wyjścia jest odpowiedź na podstawowe pytania: czym w ogóle jest sztuczna inteligencja, jak działają systemy AI stosowane w firmie, jakie szanse tworzą i jakie zagrożenia ze sobą niosą. To fundament, bez którego dalsze działania tracą sens, ponieważ pracownik, który nie rozumie, czym jest model językowy ani dlaczego może generować błędne informacje (tzw. halucynacje), nie będzie w stanie świadomie i odpowiedzialnie korzystać z narzędzia. 

Na tym etapie warto sporządzić inwentaryzację wszystkich narzędzi AI używanych w firmie, oficjalnie wdrożonych i tych, z których pracownicy korzystają na własną rękę. Doświadczenie pokazuje, że w wielu firmach skala tzw. Shadow AI, czyli nieoficjalnego używania narzędzi AI, jest znacznie większa niż zakładają właściciele i menedżerowie.

Krok 2: Określ rolę firmy

Czyli to co omawiałam w poprzedniej części artykułu, firma powinna precyzyjnie odpowiedzieć sobie na pytanie czy jest podmiotem stosującym czy dostawcą. Od tej odpowiedzi zależy zakres obowiązków wynikających z AI Act, w tym poziom szczegółowości wymaganej wiedzy pracowników. Podmiot stosujący powinien zapewnić, że pracownicy rozumieją narzędzia, z których korzystają. Dostawca musi sięgnąć głębiej, jego pracownicy powinni rozumieć cały cykl życia systemu AI, w tym kwestie danych treningowych, mechanizmów oceny ryzyka i wymogów dokumentacyjnych.

Krok 3: Oceń ryzyko stosowanych narzędzi

Trzeci krok to analiza poziomu ryzyka każdego ze zidentyfikowanych systemów AI. Firma powinna dla każdego narzędzia zadać sobie pytanie: co pracownik musi wiedzieć o tym systemie, żeby korzystać z niego świadomie i odpowiedzialnie? Jakie ryzyka mu towarzyszą, np. błędne wyniki, przetwarzanie danych osobowych, stronniczość algorytmu, brak transparentności działania? I przede wszystkim: jak te ryzyka ograniczyć? 

Odpowiedzi będą różne w zależności od kategorii systemu. Inne wymogi dotyczą prostego generatora tekstu używanego w dziale marketingu, a inne systemu wspomagającego rekrutację, który AI Act klasyfikuje jako system wysokiego ryzyka. Im wyższe ryzyko tym głębsza musi być wiedza pracowników bezpośrednio obsługujących dany system.

Krok 4: Dopasuj działania do ludzi i kontekstu

Ostatni krok to przełożenie powyższej analizy na konkretne działania szkoleniowe dopasowane do wiedzy, doświadczenia i roli poszczególnych pracowników. Art. 4 AI Act wprost wskazuje, że poziom kompetencji należy oceniać z uwzględnieniem wykształcenia, doświadczenia i kontekstu stosowania systemu. Co istotne w świetle Digital Omnibus on AI, znowelizowany art. 4 nie wymaga zagwarantowania określonego poziomu kompetencji u poszczególnych osób, wystarczy podejmowanie realnych, udokumentowanych działań wspierających ich rozwój.

W praktyce jednak warto wyróżnić co najmniej kilka grup z odmiennymi potrzebami szkoleniowymi. Zarząd i kadra zarządzająca powinny rozumieć ryzyka regulacyjne i strategiczne implikacje AI. Dział IT i deweloperzy potrzebują wiedzy technicznej i znajomości wymogów AI Act. Marketing, HR i obsługa klienta, praktycznej wiedzy o konkretnych narzędziach, które stosują na co dzień, w tym o ryzyku halucynacji, ochronie danych i zasadach weryfikacji wyników generowanych przez AI. Kontrahenci i podwykonawcy obsługujący systemy AI w imieniu firmy powinni przejść szkolenie adekwatne do zakresu, w jakim wchodzą w interakcję z systemami.

Zakres szkoleń powinien być też dostosowany do sektora i celu, w jakim AI jest stosowana, inne wymogi będą obowiązywać firmę medyczną korzystającą z AI w procesie diagnostycznym, a inne agencję reklamową używająca generatora grafik. 

Shadow AI, RODO i halucynacje – pułapki, które pojawiają się najczęściej 

Aktualnie, najwięcej codziennych ryzyk, wynika z codziennego, niekontrolowanego użycia popularnych oraz dostępnych bezpłatnie narzędzi. Zjawisko to określa się jako Shadow AI, a polega na tym, że pracownicy korzystają z darmowych modeli generatywnych na prywatnych kontach, poza wiedzą firmy, bez jakichkolwiek wewnętrznych zasad i często bez świadomości, jakie dane w ten sposób udostępniają.

Skutki dla przedsiębiorstwa bywają poważne. Pracownicy wprowadzają do publicznych narzędzi AI, (które nierzadko wykorzystują przesłane dane do trenowania swoich modeli) dane osobowe klientów i kontrahentów, treści umów objętych klauzulami poufności, dane finansowe, a także informacje stanowiące tajemnicę handlową lub tajemnicę przedsiębiorstwa. 

Warto wyraźnie podkreślić, że AI Act i RODO to dwa odrębne reżimy prawne, które stosowane są jednocześnie i wzajemnie się uzupełniają. Jeżeli narzędzie AI przetwarza dane osobowe, a w praktyce dzieje się tak często, w szczególności gdy do modelu trafiają jakiekolwiek informacje pozwalające zidentyfikować daną osobę, przedsiębiorca musi spełnić wymogi wynikające z RODO.

Kolejną poważną pułapką jest nadmierne zaufanie do wyników generowanych przez AI. Modele generatywne potrafią z pełnym przekonaniem podawać nieprawdziwe informacje, a zjawisko to nosi nazwę halucynacji i jest cechą obecnych modeli językowych. Model może bezbłędnie sformułować zdanie, które jest merytorycznie fałszywe, np. podać nieistniejące orzeczenia sądowe, błędne przepisy podatkowe, nieprawidłowe dane finansowe lub fikcyjne źródła naukowe.

W zawodach opartych na wiedzy, doradztwie, księgowości, prawie, ofertowaniu, przygotowywaniu dokumentacji technicznej czy obsłudze reklamacji bezkrytyczne użycie takich treści stanowi poważne ryzyko błędu merytorycznego, naruszenia interesów klienta i w efekcie może prowadzić do odpowiedzialności odszkodowawczej przedsiębiorstwa. Zasada weryfikacji wyniku AI przez kompetentnego człowieka powinna być traktowana nie jako zalecenie, lecz jako bezwzględny standard operacyjny, wpisany wprost do Polityki AI firmy i komunikowany pracownikom na każdym szkoleniu.

Polityka AI 

Powstaje, więc pytanie jak uchwycić cały proces AI Literacy w jednym miejscu i co może być pomocne w jego wdrożeniu? Odpowiedzią jest Polityka AI.

Dobrze napisana i rzeczywiście stosowana Polityka AI operacjonalizuje kompetencje pracowników i stanowi udokumentowany dowód działań wymaganych przez art. 4 AI Act. Samo posiadanie dokumentu jednak nie wystarczy, ponieważ przepis wymaga podejmowania rzeczywistych działań wspierających rozwój kompetencji. Właściwa kolejność to najpierw szkolenie i budowanie świadomości, a następnie polityka jako ich utrwalenie i formalizacja.

Polityka AI porządkuje oddolne, chaotyczne korzystanie z AI, ogranicza ryzyka wynikające z RODO i wycieku danych oraz stanowi dowód realizacji AI Literacy możliwy do przedstawienia w razie kontroli. Nie musi być obszerna, kilka dobrze napisanych stron wystarczy, pod warunkiem, że pracownicy rzeczywiście ją znają i stosują. Co dokładnie powinna zawierać Polityka AI i jak ją napisać? O tym w kolejnym artykule.

Źródła:

https://digital-strategy.ec.europa.eu/en/faqs/ai-literacy-questions-answers 

https://data.consilium.europa.eu/doc/document/PE-30-2026-INIT/en/pdf 

https://eur-lex.europa.eu/eli/reg/2024/1689/oj/eng 

Sprawdź profil eksperta