Jak bezpiecznie korzystać ze sztucznej inteligencji w firmie: praktyczny przewodnik dla początkujących

Przez
Julia Rutkowski
-
0
1
Rate this post

Spis Treści:

Dlaczego firmy tak chętnie sięgają po AI – i gdzie tu haczyk

Korzyści z AI w codziennej pracy zespołu

Sztuczna inteligencja w firmie kusi przede wszystkim jednym: pozwala robić szybciej to, co dotąd zajmowało mnóstwo czasu. Generowanie treści marketingowych, pisanie podsumowań spotkań, streszczanie długich maili, tworzenie pierwszych szkiców ofert, tłumaczenia, a nawet wstępne analizy danych – to wszystko można dziś „zlecić” narzędziom AI. Nie chodzi tylko o oszczędność godzin, ale o to, że część zadań, których nikt nie lubi (żmudne przepisywanie, formatowanie, poprawki stylistyczne), da się w dużej mierze zautomatyzować.

Dla wielu firm AI staje się też źródłem inspiracji. Menedżer marketingu może w kilka minut dostać 10 propozycji nagłówków kampanii, handlowiec – szkic maila follow-up, a rekruter – listę pytań do kandydata. Narzędzia nie zastępują jeszcze strategii ani relacji z klientem, ale skutecznie pomagają pokonać „pustą kartkę” i rozpocząć pracę od sensownego szkicu, a nie od zera.

Równocześnie pojawia się automatyzacja całych mini-procesów. Boty oparte na AI mogą odpowiadać na powtarzalne pytania klientów, modele językowe – porządkować i tagować zgłoszenia w helpdesku, a systemy oparte na analizie obrazu – pomagać w kontroli jakości w produkcji czy logistyce. Dla małych firm to szczególnie atrakcyjne: bez budowania wielkiego działu IT można zyskać funkcje, które jeszcze niedawno były dostępne głównie dla korporacji.

Magiczny gadżet kontra narzędzie pracy z procesem

Pojawia się jednak kluczowa różnica: czy traktujesz AI jak zabawkę, czy jak narzędzie wpisane w procesy. Gdy jest tylko „magicznym gadżetem”, ludzie testują je chaotycznie, każdy po swojemu. Raz używają publicznego chatbota, innym razem wtyczki do przeglądarki, czasem darmowej aplikacji z niejasnym regulaminem. Efekt? Trudno kontrolować przepływ danych, nikt nie wie, co faktycznie wychodzi na zewnątrz, a poziom jakości odpowiedzi bardzo się waha.

Jeżeli natomiast AI jest potraktowana jak zwykłe narzędzie pracy – jak CRM czy system fakturowania – zaczynają się pojawiać zasady. Kto może czego używać, do jakich zadań, jakie dane wolno wprowadzać, a jakie są zakazane. Dochodzą proste procedury: kto sprawdza treści wygenerowane przez AI, kto zatwierdza ich publikację, gdzie są przechowywane logi. Brzmi „biurokratycznie”, ale w praktyce właśnie to oddziela odpowiedzialne korzystanie od ryzykownego eksperymentowania.

Najpopularniejsze zastosowania AI w firmach

Większość początkujących firm zaczyna od najbardziej „namacalnych” zastosowań, czyli tam, gdzie łatwo zobaczyć efekt. Najczęściej są to:

  • Teksty i komunikacja – opisy produktów, posty na social media, szkice ofert, maile sprzedażowe, krótkie scenariusze wideo, notatki ze spotkań.
  • Analizy i raporty – porządkowanie danych z arkuszy, tworzenie prostych raportów, wyciąganie wniosków z długich dokumentów, generowanie podsumowań KPI.
  • Grafika i multimedia – proste grafiki do social media, warianty banerów, ikony, czasem edycja zdjęć czy generowanie ilustracji koncepcyjnych.
  • Kod i zadania techniczne – pisanie prostych skryptów, generowanie fragmentów kodu, testów jednostkowych, a nawet instrukcji konfiguracji sprzętu czy aplikacji.

Firmy często zaczynają od marketingu i obsługi klienta, bo tam ROI widać szybko: krótszy czas przygotowania kampanii, szybsze odpowiedzi na maile, mniej powtarzalnej pracy dla zespołu. Do dokumentów, umów czy poważnych analiz finansowych wiele organizacji podchodzi ostrożniej, co zwykle dobrze im służy na początku przygody z AI.

Pierwsze ryzyka: dane, błędy i ślepa wiara w AI

Pierwszy haczyk to niejawne dane w promptach. Wystarczy jeden pracownik, który skopiuje do narzędzia AI pełną umowę z klientem, listę klientów z danymi kontaktowymi czy opis incydentu bezpieczeństwa, aby naruszyć tajemnicę przedsiębiorstwa lub przepisy o ochronie danych. Nawet jeśli narzędzie deklaruje, że nie wykorzystuje tych informacji do trenowania modeli, nadal wchodzą one do systemu podmiotu trzeciego – i trzeba to umieć ocenić z punktu widzenia RODO oraz umów z klientami.

Drugie ryzyko to błędy merytoryczne. Modele generatywne potrafią pisać bardzo przekonująco, ale niekoniecznie prawdziwie. Wymyślają cytaty, zmyślają źródła, upraszczają skomplikowane kwestie prawne czy finansowe. Jeśli pracownik bezkrytycznie skopiuje taki tekst do prezentacji dla klienta czy regulaminu usługi, wpadka jest tylko kwestią czasu.

Trzecie zagrożenie to zbyt duża ufność. Gdy AI „nigdy się nie męczy” i zawsze odpowiada pewnym tonem, łatwo zapomnieć, że nie jest ekspertem ani prawnikiem. Bezkrytyczne przyjmowanie rekomendacji narzędzi AI może prowadzić do złych decyzji biznesowych, a w skrajnych przypadkach – do sporów prawnych czy kar regulatora. Bez prostych mechanizmów kontroli jakości i zdrowej dawki sceptycyzmu firmie grozi, że zacznie działać na podstawie iluzji wiedzy.

Podstawy, które trzeba ogarnąć: czym jest AI używana w firmie

Generatywna AI „po ludzku”, bez żargonu

Generatywna AI to taki system, który na podstawie ogromnej liczby przykładów uczy się, jak „powinien wyglądać” tekst, obraz, kod czy dźwięk. Gdy prosisz model o stworzenie opisu produktu albo grafiki z psem w okularach, on nie „wie”, czym jest pies czy okulary. Rozpoznaje tylko wzorce w danych, na których był trenowany, i na tej podstawie przewiduje, co powinno pojawić się jako następny fragment odpowiedzi.

Można to porównać do bardzo oczytanego stażysty, który przeczytał miliony tekstów i widział tysiące obrazów, ale nie ma własnego doświadczenia czy rozumienia świata. Świetnie powtarza style, schematy argumentacji, typowe układy dokumentów. Natomiast bywa bezradny, gdy prosisz o coś kompletnie nowego, wymagającego aktualnej wiedzy, głębokiego rozumienia kontekstu prawnego albo etycznego.

Publiczny chatbot vs rozwiązanie firmowe

Druga kluczowa sprawa: nie każda AI działa w ten sam sposób od strony biznesowej. Najprościej można wyróżnić dwa typy rozwiązań:

  • Narzędzia publiczne – ogólne chatboty dostępne z poziomu strony WWW czy aplikacji. Rejestrujesz konto, logujesz się, wpisujesz co chcesz. Często mają darmowe wersje z ograniczeniami. W regulaminie zwykle jest opisane, na jakich zasadach przetwarzane są dane użytkownika.
  • Rozwiązania firmowe – systemy AI wdrożone na potrzeby organizacji, czasem instalowane on-premise (na własnych serwerach), czasem jako usługa w chmurze, ale z wyraźnymi ustawieniami dotyczącymi bezpieczeństwa, prywatności i integracji z innymi narzędziami w firmie.

Publiczny chatbot jest dobry do nauki i prostych, niejawnych zadań, ale nie nadaje się do pracy z wrażliwymi danymi biznesowymi, jeśli nie ma jasno ustawionej polityki „no training” i odpowiednich umów. Rozwiązanie firmowe zwykle daje administratorowi większą kontrolę: może wyłączyć zapisywanie historii rozmów, ograniczyć korzystanie z narzędzia do godzin pracy, zintegrować je z firmowym SSO (logowanie jednym kontem) i zdefiniować poziomy dostępu.

Co dzieje się z danymi wpisywanymi do modelu

Każda interakcja z AI to przesłanie danych do infrastruktury dostawcy. Z technicznego punktu widzenia wygląda to tak, że Twój prompt (zapytanie) jest wysyłany na serwer, tam przetwarzany przez model, a odpowiedź wraca do Ciebie. Po drodze mogą dziać się różne rzeczy, w zależności od polityki konkretnego narzędzia:

  • Dane mogą być zapisywane w logach – np. po to, by dostawca wykrywał błędy, nadużycia czy optymalizował działanie systemu.
  • Mogą być wykorzystywane do trenowania modeli – jeśli użytkownik na to wyraził zgodę (lub nie wyłączył domyślnej opcji).
  • Mogą być udostępniane podwykonawcom – np. firmie, która utrzymuje infrastrukturę lub świadczy usługi bezpieczeństwa.
  • Mogą być przechowywane przez określony czas (np. 30 dni, 1 rok) albo usuwane natychmiast po przetworzeniu.

Kluczowe pojęcia: model, dane treningowe, prompt, kontekst

Żeby sensownie rozmawiać o bezpieczeństwie, przydaje się kilka prostych pojęć:

Bez przeczytania polityki prywatności oraz umowy powierzenia przetwarzania danych (DPA) trudno stwierdzić, co dokładnie dzieje się z przekazanymi informacjami. W praktyce przedsiębiorstwo, które chce bezpiecznie korzystać z AI, musi traktować każdy prompt jako potencjalne ujawnienie danych do zewnętrznego podmiotu. Dla osób, które chcą zgłębić techniczne podstawy, serwis Geosfera udostępnia sporo przyjaznych materiałów typu więcej o informatyka, które pomagają poukładać sobie podstawy pracy z nowymi technologiami.

  • Model językowy – „mózg” systemu AI. Zbiór wzorów i zależności nauczonych z ogromnych ilości tekstów. To on przewiduje, jakie słowo (lub fragment) powinno pojawić się dalej w odpowiedzi.
  • Dane treningowe – teksty, kody, obrazy, na których model uczył się wcześniej. Na tym etapie powstaje jego „intuicja” na temat języka i świata. W pracy firmowej interesuje nas głównie to, czy nasze dane są lub nie są używane jako dodatkowe dane treningowe.
  • Prompt – Twoje polecenie lub pytanie do modelu. To, jak je sformułujesz, ma ogromny wpływ na jakość i bezpieczeństwo odpowiedzi.
  • Kontekst – wszystko, co model „widzi” w danym momencie rozmowy: bieżący prompt, poprzednie wiadomości, wgrane dokumenty. Bez kontekstu odpowiedzi są ogólne i płytkie, z dobrym kontekstem – znacznie bardziej użyteczne.

Da się to porównać do współpracy z nowym pracownikiem. Model językowy to jego „pamięć wzorców”, dane treningowe – wszystkie książki i dokumenty, które przeczytał, prompt – Twoje zadanie, a kontekst – materiały, które mu podsyłasz „na teraz”. Im sensowniej podasz zadanie i im lepiej dobierzesz kontekst, tym większa szansa, że wynik będzie wartościowy i bezpieczny.

Jakie dane można podawać AI, a jakich lepiej pilnować jak oka w głowie

Prosta klasyfikacja danych firmowych

Bezpieczne korzystanie z AI w firmie zaczyna się od jednego, bardzo przyziemnego kroku: podziału danych na kategorie. Nawet prosta, czterostopniowa klasyfikacja robi ogromną różnicę:

  • Publiczne – informacje, które i tak publikujesz: treści na stronie WWW, cenniki, ogólne opisy produktów, materiały promocyjne.
  • Wewnętrzne – dane, które nie są publiczne, ale ich ujawnienie nie zrujnuje firmy: procedury, wewnętrzne instrukcje, szablony dokumentów.
  • Poufne – dane, których ujawnienie może zaszkodzić: listy klientów, szczegóły ofert, parametry finansowe, dane pracowników.
  • Ściśle poufne – kluczowe tajemnice: know-how technologiczne, szczegóły negocjacji, projekty umów strategicznych, dane wrażliwe.

Dla początkującej firmy w zupełności wystarczy, jeśli każdemu pracownikowi wyjaśni się, że publiczne i część wewnętrznych danych można – przy zachowaniu ostrożności – wprowadzać do narzędzi AI, ale poufne i ściśle poufne są poza dyskusją, chyba że korzysta się z dedykowanego, bezpiecznego rozwiązania firmowego, objętego umowami i kontrolą IT.

Przykłady bezpiecznych i ryzykownych zastosowań

Żeby uniknąć szarej strefy, warto posłużyć się przykładami. Oto proste zestawienie typowych scenariuszy:

ScenariuszRodzaj danychOcena bezpieczeństwa (z narzędziem publicznym)
Prośba o 10 pomysłów na posty w social media o nowym produkciePubliczneCo do zasady bezpieczne
Streszczenie ogólnej oferty publikowanej na stronie WWWPubliczneBezpieczne
Analiza treści indywidualnej umowy z kluczowym klientemŚciśle poufneRyzykowne / zakazane
Przygotowanie szkicu maila do klienta na podstawie ogólnych informacjiWewnętrzneUmiarkowanie bezpieczne (po anonimizacji)
Wrzucenie listy klientów z danymi kontaktowymi do analizyPoufne / dane osoboweRyzykowne /

Wrzucenie listy klientów z danymi kontaktowymi do analizyPoufne / dane osoboweRyzykowne / zakazane bez specjalnych zabezpieczeń i umów
Poproszenie AI o poprawę stylu wewnętrznej procedury (bez danych osobowych i kwot)WewnętrzneAkceptowalne przy narzędziu firmowym lub po anonimizacji
Analiza danych HR z informacją o zdrowiu pracownikówDane wrażliwe (szczególna kategoria)Zakazane w narzędziach publicznych
Poproszenie o wzór umowy NDA (bez wklejania konkretnej, podpisanej umowy)Publiczne / wzorcoweBezpieczne

Dobrym nawykiem jest proste pytanie zadawane samemu sobie przed każdym promptem: „Czy byłbym spokojny, gdyby to, co wklejam, trafiło do zewnętrznej firmy?”. Jeśli odpowiedź brzmi „nie” albo „nie jestem pewien”, lepiej się zatrzymać.

Anonimizacja i pseudonimizacja w praktyce

Praca z AI nie musi oznaczać rezygnacji z bezpieczeństwa. Często wystarcza kilka prostych trików, by znacząco zmniejszyć ryzyko. Kluczem jest oddzielenie treści merytorycznej od identyfikatorów konkretnych osób czy firm.

W codziennej pracy da się to robić w miarę „z marszu”:

  • Zamiana imion i nazwisk na neutralne oznaczenia: „Jan Kowalski” → „Pracownik A”, „Anna Nowak” → „Klientka B”.
  • Usuwanie danych kontaktowych: telefonów, maili, adresów, numerów kont.
  • Maskowanie kwot i szczegółowych wartości: „123 456 zł” → „[kwota umowna]”, „8%” → „[procent rabatu]”.
  • Usuwanie numerów identyfikacyjnych: PESEL, NIP, numerów umów, faktur, zamówień.

Efekt? Model nadal widzi strukturę tekstu, rozumie ciąg przyczynowo-skutkowy, potrafi zaproponować poprawki czy podsumowanie – ale nie dostaje pełnego „pakietu” danych wrażliwych. To jak konsultacja z prawnikiem, któremu opowiadasz o sprawie w ogólnych kategoriach, bez ujawniania nazwisk i kwot.

Jeśli ktoś w zespole ma wątpliwości, czy dany fragment jest dostatecznie zanonimizowany, rozsądnie jest przyjąć prostą zasadę: gdyby ten tekst wyciekł na zewnątrz, czy da się po nim jednoznacznie zidentyfikować osobę albo konkretną firmę? Jeżeli tak – anonimizacja jest niewystarczająca.

Dane osobowe i dane wrażliwe – czerwona linia

Dane osobowe to każdy element, po którym da się zidentyfikować konkretną osobę: czasem wystarczy imię i stanowisko w małym zespole. Kłopot rośnie, gdy w grę wchodzą tzw. dane szczególnej kategorii (wrażliwe): informacje o zdrowiu, poglądach, przynależności związkowej, wyznaniu, pochodzeniu etnicznym.

Takie dane są jak szkło w fabryce – niby można je przenosić, ale trzeba mieć specjalne rękawice i procedury. Publiczny chatbot, bez dedykowanych umów i ustawień, nie jest takim miejscem. W praktyce oznacza to m.in.:

  • Brak zgody na wklejanie zwolnień lekarskich, opisów chorób, orzeczeń o niepełnosprawności.
  • Zakaz przesyłania opisów konfliktów z pracownikami, zawierających dane pozwalające na identyfikację osób.
  • Brak zgody na analizy ankiet pracowniczych, jeśli można po nich odgadnąć, kto co napisał.

Jeżeli firma chce analizować takie dane za pomocą AI (np. do badania nastrojów pracowników), powinna to robić wyłącznie w ramach kontrolowanych, firmowych rozwiązań, z udziałem działu prawnego i IT.

Zespół pracowników omawia projekt z użyciem laptopów i notatek
Źródło: Pexels | Autor: Thirdman

AI a prawo: RODO, tajemnica przedsiębiorstwa i prawa autorskie w praktyce

RODO: kiedy AI staje się „przetwarzaniem danych osobowych”

RODO nie zawiera osobnego rozdziału o sztucznej inteligencji. Dla przepisów nie ma większego znaczenia, czy dane są analizowane przez excela, człowieka czy model językowy – ważne jest, co dzieje się z danymi i w jakim celu.

Jeżeli wklejasz do AI:

  • listę klientów z mailami,
  • opis sprawy pracowniczej z imionami,
  • skan CV z historią zatrudnienia,

to z punktu widzenia RODO dokonujesz przekazania danych osobowych do podmiotu zewnętrznego. Taki podmiot – dostawca narzędzia AI – staje się wtedy procesorem (podmiotem przetwarzającym) i musi być objęty umową powierzenia przetwarzania danych.

Minimalny zestaw pytań, które firma powinna sobie zadać:

  • Czy mamy podpisaną umowę powierzenia przetwarzania danych (DPA) z dostawcą narzędzia?
  • Gdzie fizycznie są przetwarzane dane (UE, EOG, inne kraje)?
  • Czy dane z promptów są używane do trenowania modeli?
  • Jak długo są przechowywane logi i czy da się je usunąć na żądanie?

Bez odpowiedzi na te pytania, korzystanie z danych osobowych w narzędziach AI to chodzenie po cienkim lodzie. Na początku bywa spokojnie, ale problem pojawia się przy pierwszej kontroli lub incydencie.

Tajemnica przedsiębiorstwa a AI

Tajemnica przedsiębiorstwa to nie tylko „sekretny algorytm”. To także:

  • szczegółowe cenniki i marże,
  • strategie negocjacyjne,
  • listy kluczowych klientów,
  • mapa planowanych inwestycji, przejęć, działań marketingowych.

Żeby coś było prawnie chronione jako tajemnica przedsiębiorstwa, firma musi wykazać, że realnie stara się to chronić: ma polityki, ograniczenia dostępu, procedury. Wrzucanie takich informacji do przypadkowego czatu AI, bez jakichkolwiek zabezpieczeń, może podważyć tę ochronę. Konkurent, który wejdzie w posiadanie takich danych, z łatwością udowodni, że firma nie traktowała ich jak „tajemnicy”.

Rozsądny sposób działania przypomina podejście do zewnętrznych konsultantów. Gdy zapraszasz do firmy doradcę strategicznego, najpierw podpisujesz NDA i umowę. Z dostawcą AI warto działać podobnie: umowa, zakres odpowiedzialności, zasady poufności. Dopiero potem – praca na poufnych danych.

Prawa autorskie do treści generowanych przez AI

Druga duża grupa pytań dotyczy tego, kto ma prawa do tekstów, grafik czy kodu wygenerowanego przez AI. Odpowiedź brzmi: „to zależy”. I niestety, zależy od trzech rzeczy naraz:

  • prawa lokalnego (w różnych krajach są nieco inne podejścia),
  • regulaminu konkretnego narzędzia,
  • zakresu wkładu człowieka w powstałe dzieło.

W większości europejskich porządków prawnych za utwór chroniony prawem autorskim uznaje się przejaw działalności twórczej człowieka. Samodzielne „dzieło” modelu może być prawnie „niczyje”, ale już tekst, który człowiek: zaplanował, opisał, zredagował, poprawił, uzupełnił przykładami – często będzie traktowany jak jego utwór.

Z perspektywy firmy praktyczne są cztery zasady:

  1. Ustalić w regulaminie pracy, komu przysługują prawa do materiałów powstałych przy użyciu AI (np. firmie, jako pracodawcy).
  2. Unikać bezrefleksyjnego kopiowania grafik z generatywnych narzędzi do zastosowań, gdzie ryzyko sporu jest wysokie (np. logotypy, kluczowe elementy identyfikacji wizualnej).
  3. Traktować treści AI jako szkic, który pracownik przetwarza i dostosowuje – wtedy łatwiej wykazać ludzki wkład.
  4. Sprawdzać regulaminy – część narzędzi przyznaje użytkownikowi szerokie prawa do wygenerowanych treści, inne nakładają ograniczenia w pewnych branżach.

W praktyce dobrze działa model, w którym AI staje się „roboczym notatnikiem”, a nie samodzielnym autorem. To człowiek podejmuje decyzje, co z odpowiedzią zrobić, jak ją przeredagować i czy w ogóle nadaje się do publikacji.

Ryzyko plagiatu i podobieństwa do cudzych treści

Modele generatywne są trenowane na ogromnych zbiorach danych. Nie „kopiują” konkretnych artykułów linijka po linijce, ale zdarza się, że szczególnie w wąskich tematach tworzą teksty bardzo podobne do istniejących treści. To trochę jak uczeń, który na tyle dobrze „nasiąknął” stylem ulubionego autora, że jego wypracowania zaczynają brzmieć podejrzanie znajomo.

Przy treściach z obszaru komunikacji marketingowej ryzyko prawne jest zwykle niższe (choć nadal warto zachować rozsądek). Natomiast przy:

  • tekstach naukowych,
  • raportach branżowych,
  • opisach specjalistycznych technologii czy procedur,

bezpieczniej jest wdrożyć prostą ścieżkę kontroli: wygenerowany tekst przechodzi przez osobę merytoryczną, a w razie wątpliwości – przez narzędzie do wykrywania podobieństw lub szybki research w wyszukiwarce. AI może pomóc „ruszyć z miejsca”, ale ostateczny kształt dokumentu powinien być efektem pracy eksperta.

Wybór narzędzi AI dla firmy: kryteria, pytania, czerwone flagi

Od „fajnego gadżetu” do narzędzia biznesowego

Publiczny chatbot do prywatnego użycia wybiera się jak aplikację pogodową – ważne, żeby działał i był w miarę wygodny. W firmie poprzeczka leży wyżej. Narzędzie AI staje się elementem infrastruktury, która dotyka danych klientów, pracowników, finansów.

Dobrym pierwszym krokiem jest spisanie trzech rzeczy na kartce (albo w prostym dokumencie):

  • Po co potrzebne jest narzędzie AI (konkretne zastosowania, nie hasła typu „bo inni już mają”).
  • Jakie dane będzie przetwarzać (publiczne, wewnętrzne, poufne, dane osobowe?).
  • Kto będzie z niego korzystał (cała firma, wybrane działy, tylko zarząd?).

Dopiero na tym tle sensownie widać, czy wystarczy „zwykły” chatbot z ustawieniem no-training, czy trzeba sięgnąć po rozwiązanie firmowe, z integracją z systemem logowania i DPA.

Jeśli interesują Cię konkrety i przykłady, rzuć okiem na: Czym jest zero trust w sieci i jak zacząć wdrożenie bez rewolucji?.

Najważniejsze kryteria wyboru

Podczas rozmów z dostawcami czy przeglądania ofert warto skupić się na kilku obszarach, które na co dzień najmocniej wpływają na bezpieczeństwo i wygodę:

  1. Bezpieczeństwo i prywatność
  • Czy dostawca oferuje tryb „no training” (brak użycia danych klienta do trenowania modeli)?
  • Czy możliwe jest wyłączenie logowania historii rozmów lub ograniczenie ich retencji?
  • Czy dane są szyfrowane „w spoczynku” i „w tranzycie” (at rest, in transit)?
  • Czy firma ma certyfikaty typu ISO 27001, SOC 2?
  1. Lokalizacja i przepływy danych
  • W jakich krajach są serwery?
  • Czy dane mogą być przekazywane poza EOG i na jakiej podstawie prawnej?
  • Czy istnieje opcja wyboru regionu danych (np. tylko UE)?
  1. Możliwość integracji z istniejącą infrastrukturą
  • Czy narzędzie można zintegrować z single sign-on (SSO)?
  • Czy obsługuje role i uprawnienia (kto co widzi i co może robić)?
  • Czy ma API, które pozwala dopiąć je do już używanych systemów (CRM, intranet, system ticketowy)?
  1. Transparentność i wsparcie
  • Czy dokumentacja jest zrozumiała dla nietechnicznych użytkowników?
  • Czy jest osoba lub zespół po stronie dostawcy, z którym można porozmawiać o bezpieczeństwie, a nie tylko o funkcjach marketingowych?
  • Czy dostawca jasno opisuje ograniczenia narzędzia (np. brak odpowiedzialności za błędy merytoryczne)?

Pytania, które warto zadać dostawcy

Podczas pierwszej rozmowy z dostawcą można czuć się przytłoczonym żargonem. Pomaga przygotowanie kilku prostych, ale konkretnych pytań. Przykładowo:

  • „Czy dane, które wpisują nasi pracownicy, będą wykorzystywane do trenowania modeli? Jeśli tak – czy możemy to wyłączyć w naszej instancji?”
  • „Jak długo przechowujecie logi rozmów i czy można ustawić krótszy okres lub natychmiastowe czyszczenie?”
  • „Czy macie gotową umowę powierzenia przetwarzania danych osobowych zgodną z RODO?”

    • Dodatkowe sygnały ostrzegawcze przy wyborze dostawcy

    Przy rozwiązaniach AI często „sprzedaje” nas entuzjazm zespołu. Tymczasem kilka detali potrafi wskazać, że przed firmą raczej więcej problemów niż korzyści. Czasem wystarczy rzut oka na ofertę, by włączyć tryb ostrożności.

    Niepokoić powinny zwłaszcza takie sytuacje:

  • Brak jasnych informacji o tym, z jakich modeli AI korzysta dostawca (wszystko jest „magiczne” i „tajne”).
  • Obietnice stuprocentowej poprawności, zgodności z prawem czy „braku błędów” – to w AI po prostu nierealne.
  • Regulamin, w którym dostawca zrzuca z siebie całą odpowiedzialność, a jednocześnie przyznaje sobie bardzo szerokie prawa do waszych danych.
  • Brak osoby technicznej/bezpieczeństwa do rozmowy – jest tylko sprzedawca z prezentacją w PowerPoincie.
  • Brak opcji audytu lub chociaż wglądu w logi bezpieczeństwa po stronie klienta biznesowego.

Jeśli w kilku z tych punktów zapala się czerwona lampka, lepiej potraktować to narzędzie jako poligon doświadczalny na danych testowych, a nie fundament pracy całej firmy.

Testy pilotażowe zamiast „wielkiego wdrożenia”

Zamiast kupować od razu drogi pakiet dla całej organizacji, rozsądniej podejść do tematu jak do nowego systemu ERP: najpierw pilotaż, dopiero potem skala. Pomaga prosty schemat:

  1. Wybrać 1–2 konkretne zastosowania (np. podsumowanie spotkań i szkice maili sprzedażowych).
  2. Ustalić mały zespół testowy (kilka–kilkanaście osób z różnych działów).
  3. Spisać, co mierzycie: oszczędzony czas, jakość odpowiedzi, zgłaszane problemy.
  4. Po 4–6 tygodniach zebrać wnioski i dopiero wtedy decydować o rozszerzeniu.

W takim pilotażu wychodzą na jaw nie tylko kwestie techniczne, ale też bardzo przyziemne rzeczy: czy ludzie rozumieją ograniczenia narzędzia, czy tworzy się „szara strefa” użycia prywatnych kont, gdzie brakuje szkoleń. Lepiej to zauważyć na małej grupie niż po otwarciu drzwi całej firmie.

Zasady korzystania z AI w firmie: jak zbudować prostą politykę i zasady gry

Po co firmie spisana polityka AI

„Przecież wszyscy są dorośli, poradzą sobie” – to najczęstszy argument, żeby nie tworzyć żadnych zasad. Tymczasem brak reguł działa jak brak znaków drogowych w mieście: przez chwilę jest szybciej, ale wypadek to tylko kwestia czasu.

Polityka korzystania z AI nie musi być ciężkim, 40-stronicowym regulaminem. Dla większości małych i średnich firm wystarczy dokument na kilka stron, który:

  • wyjaśnia, do czego AI można używać w pracy,
  • jasno mówi, czego nie wolno wprowadzać do narzędzi (np. danych klientów, tajemnic projektowych),
  • określa, kto zatwierdza nowe narzędzia i integracje,
  • opisuje odpowiedzialność pracowników i przełożonych.

Chodzi o to, żeby każdy pracownik miał odpowiedź na dwa proste pytania: „z czego mogę korzystać?” i „czy te dane mogę tu wkleić?”. Jeśli musi za każdym razem zgadywać, zaczynają się ryzyka.

Pięć filarów prostej polityki AI

Najwygodniej podejść do tematu jak do regulaminu korzystania z samochodu służbowego. Są obszary, które trzeba wyraźnie nazwać, bo inaczej każdy rozumie je po swojemu.

  1. Dopuszczone narzędzia

Spisane w jednym miejscu narzędzia, które są „oficjalnie wspierane” przez firmę. Wskazane jest:

  • podanie konkretnych nazw i wersji (np. „ChatGPT Enterprise”, a nie ogólnie „chatboty”),
  • oznaczenie, które narzędzia są do danych poufnych, a które tylko do treści publicznych,
  • wskazanie, kto może dodawać nowe narzędzia do tej listy.
  1. Zakres dozwolonych danych

Tu zwykle przydaje się prosta tabela z trzema kolumnami: „wolno”, „wolno warunkowo”, „nie wolno”. Przykładowo:

  • „Wolno” – publiczne treści marketingowe, ogólne pytania merytoryczne, analiza własnych notatek bez danych klientów.
  • „Wolno warunkowo” – dokumenty wewnętrzne po anonimizacji, dane liczbowe bez identyfikatorów, szkice umów (w kontrolowanym narzędziu z DPA).
  • „Nie wolno” – dane osobowe klientów/pracowników w narzędziach bez DPA, tajemnice przedsiębiorstwa w publicznych chatbotach, hasła i dane dostępowe.
  1. Zasady jakości i weryfikacji

AI kusi, żeby „kopiować i wklejać” odpowiedzi bez zastanowienia. Żeby tego uniknąć, polityka powinna jasno mówić, że:

  • pracownik jest odpowiedzialny za treść, którą wysyła dalej – niezależnie, czy tworzył ją sam, czy pomagała AI,
  • przy krytycznych decyzjach (prawo, finanse, medycyna, bezpieczeństwo) odpowiedzi AI zawsze wymagają dodatkowej weryfikacji eksperta,
  • nie można powoływać się na AI jako „autorytet” wobec klienta (np. „system tak policzył, więc tak musi być”).
  1. Bezpieczeństwo i poufność

W tym fragmencie można zebrać zasady, które wcześniej przewinęły się w rozmowach o RODO czy tajemnicy przedsiębiorstwa, i zapisać je prostym językiem. Dobrze działają formuły typu:

  • „Nie wklejaj do AI niczego, czego nie pokazałbyś obcej osobie na konferencji – chyba że używasz narzędzia oznaczonego jako ‘bezpieczne dla danych poufnych’.”
  • „Jeśli masz wątpliwość, czy dane są ‘wrażliwe’, skonsultuj się z przełożonym lub osobą ds. bezpieczeństwa zamiast ryzykować.”
  1. Procedura zgłaszania incydentów

Błędy się zdarzają – ktoś wklei nie ten fragment, ktoś udostępni zły zrzut ekranu. Kluczowe jest, żeby ludzie wiedzieli, co zrobić „5 minut po” takim zdarzeniu, zamiast liczyć, że nikt nie zauważy. W polityce powinno być jasno:

  • do kogo zgłaszać potencjalne wycieki (konkretna rola, a nie ogólne „do IT”),
  • jakie podstawowe kroki podjąć od razu (np. usunięcie historii, zmiana haseł, zgłoszenie do działu prawnego),
  • że za szybkie zgłoszenie nie grożą sankcje – celem jest naprawa szkody, nie „polowanie na winnych”.

Jak wprowadzić zasady w życie, żeby nie zostały w szufladzie

Każdy, kto kiedyś pisał procedury, wie, że największym wyzwaniem nie jest ich stworzenie, ale sprawienie, by ktoś je czytał. W przypadku AI przydaje się podejście „praktyczne, a nie papierowe”.

  • Krótka wersja dla wszystkich – jedna strona z najważniejszymi zasadami, np. w formie grafiki, którą można wrzucić na intranet lub jako tapetę w Teamsach.
  • Szkolenie startowe – proste, godzinne spotkanie (online lub na żywo), podczas którego ludzie mogą zadawać pytania i pokazać swoje pomysły na użycie AI.
  • Przykłady z życia firmy – zamiast suchych zakazów, pokazanie 2–3 historii: „tak użyliśmy AI i było super” oraz „tu coś poszło nie tak i co z tego wynikło”.
  • Aktualizacja co kilka miesięcy – AI zmienia się szybko, więc lepiej od razu założyć, że polityka będzie ewoluować. Wersja „1.0” jest po to, by zacząć, nie po to, by obowiązywała przez 5 lat bez zmian.

Dobrze działa też prosty gest: jeśli zarząd i menedżerowie faktycznie korzystają z AI zgodnie z zasadami i o tym mówią, reszta zespołu traktuje politykę poważniej. Gdy szef na zebraniach chwali się „co wygenerował mu ChatGPT na prywatnym koncie”, nie pomoże żaden regulamin.

Jak mądrze „rozmawiać” z AI: dobre praktyki promptowania dla biznesu

Dlaczego sposób zadawania pytań ma takie znaczenie

Rozmowa z AI bardziej przypomina współpracę z młodszym stażem niż z „wszechwiedzącym oraklem”. Gdy dasz mało kontekstu, dostaniesz ogólniki. Gdy wyjaśnisz, w jakiej roli AI ma pomóc i czego dokładnie potrzebujesz, efekty skaczą o kilka poziomów.

Można spojrzeć na prompt jak na krótkie zlecenie dla podwykonawcy: im lepiej je opiszesz, tym mniej poprawek i straconego czasu.

Podstawowy szablon dobrego promptu

Nie trzeba być „prompt inżynierem”, żeby pisać sensowne zapytania. Wystarczy prosty schemat, który da się stosować w większości sytuacji:

  • Rola – „Działaj jak analityk sprzedaży w firmie B2B”, „Zachowuj się jak doświadczony specjalista ds. HR”.
  • Cel – „Twoim zadaniem jest pomóc mi przygotować…”, „Potrzebuję przejrzystego wyjaśnienia…”.
  • Kontekst – kilka zdań o firmie, branży, typie klienta, ograniczeniach.
  • Format – „Zapisz to jako listę kroków”, „Przygotuj mail do klienta w tonie profesjonalnym, ale prostym”.
  • Ograniczenia – „Nie wymyślaj danych”, „Jeśli czegoś nie wiesz, napisz wprost”.

Przykład: zamiast „Napisz maila do klienta o ofercie”, można użyć: „Działaj jak handlowiec B2B. Napisz krótki, konkretny mail do klienta z branży budowlanej, który zna już nasz produkt, ale waha się z decyzją. Celem maila jest umówienie rozmowy telefonicznej. Ton: profesjonalny, bez przesady w zachwalaniu. Maksymalnie 8 zdań.”

Iteracyjne podejście: jedna rozmowa zamiast 20 od zera

Wielu użytkowników traktuje AI jak wyszukiwarkę – jedno pytanie, jedna odpowiedź, koniec. Tymczasem dużo lepiej działa dialog przypominający pracę z asystentem: doprecyzowanie, dopytanie, poprawki.

Można przyjąć prosty rytm:

Do kompletu polecam jeszcze: Chmura obliczeniowa bez tajemnic: czym jest i jak zacząć korzystać — znajdziesz tam dodatkowe wskazówki.

  1. Poprosić o szybki, roboczy szkic zamiast „idealnej odpowiedzi”.
  2. Zaznaczyć, co jest dobre, a co nie trafia w punkt („to zachowaj, ale skróć o połowę”, „część o ryzykach rozwiń”).
  3. Na końcu poprosić o podsumowanie lub o wersję „gotową do wysłania klientowi”, zgodnie z uwagami.

AI „uczy się” w ramach jednej rozmowy – kolejne odpowiedzi uwzględniają wcześniejsze wskazówki. To ogromna przewaga nad wyszukiwarką, z której warto korzystać na co dzień.

Praca na własnych materiałach bez ryzyka wycieku

Jedną z największych korzyści dla firmy jest używanie AI do pracy na własnych dokumentach: procedurach, ofertach, regulaminach. Tu jednak łatwo przekroczyć granicę bezpieczeństwa. Dobrą praktyką jest rozróżnienie dwóch trybów pracy:

  • Tryb otwarty – publiczne chatboty, gdzie pracujemy tylko na treściach niepoufnych (np. przeredagowanie artykułu blogowego, tłumaczenie ogólnej oferty).
  • Tryb kontrolowany – firmowe narzędzie z DPA i odpowiednią konfiguracją, gdzie można wrzucać wewnętrzne dokumenty, analizy danych czy raporty.

W tym drugim trybie przydają się proste nawyki:

  • Jeśli dokument zawiera dane osobowe, przed wysłaniem można poprosić AI o instrukcję anonimizacji, a samą anonimizację wykonać ręcznie lub w odrębnym narzędziu.
  • Przy wrażliwych treściach lepiej wysłać krótkie fragmenty lub streszczenia niż cały plik „hurtowo”.
  • W promptach nie używać pełnych nazw klientów czy pracowników, jeśli nie jest to konieczne.

Jak prosić AI o krytyczne myślenie, a nie ślepy optymizm

Modele językowe mają skłonność do „brzmienia pewnie”, nawet gdy się mylą. Dlatego przy zadaniach decyzyjnych warto je od razu ustawić w trybie „adwokata diabła”. Kilka prostych przykładów:

  • „Wymień nie tylko korzyści, ale też 5 największych ryzyk związanych z tym rozwiązaniem.”
  • „Zachowuj się jak sceptyczny prawnik. Zamiast pisać, że coś jest na pewno zgodne z prawem, wskaż, jakie dodatkowe analizy byłyby potrzebne.”
  • „Podaj źródła lub typy dokumentów, które człowiek powinien sprawdzić, zanim podejmie decyzję na podstawie tej analizy.”

Najczęściej zadawane pytania (FAQ)

Jak bezpiecznie korzystać z ChatGPT i innych chatbotów AI w firmie?

Podstawowa zasada brzmi: do publicznych chatbotów nie wklejamy treści, których nie pokazalibyśmy obcej firmie. Umowy, dane klientów, raporty z incydentów bezpieczeństwa, dane finansowe – to wszystko zostaje w systemie dostawcy, nawet jeśli jest „anonimizowane”. W praktyce oznacza to, że do narzędzi publicznych nadają się zadania typu: pomysły na nagłówki, poprawa stylu tekstu, ogólne maile, szkice postów.

Dla pracy z wrażliwymi danymi lepiej używać rozwiązań firmowych (np. wdrożonych przez dział IT, z umową powierzenia danych i wyłączonym trenowaniem na treściach użytkowników). Dobrym nawykiem jest też „odszczegóławianie” treści: zamiast wklejać pełną umowę z danymi, opisujesz jej strukturę i problem, który chcesz rozwiązać.

Jakie dane mogę bezpiecznie wpisywać do narzędzi AI w pracy?

Bezpieczną bazą są dane jawne: treści, które i tak publikujesz (np. opisy produktów z WWW), materiały marketingowe, ogólne procedury czy szablony dokumentów bez konkretnych nazw, numerów czy kwot. AI świetnie nadaje się do porządkowania takich treści, skracania, dopieszczania stylistyki albo tworzenia wariantów.

Jako dane ryzykowne traktuj:

  • dane osobowe klientów i pracowników (nazwiska, maile, numery telefonów, PESEL itd.),
  • tajemnice przedsiębiorstwa (know-how, warunki handlowe, strategie, wyceny),
  • informacje o incydentach bezpieczeństwa czy wewnętrznych sporach.

    • Jeśli nie masz pewności, czy coś podpada pod „wrażliwe”, przyjmij, że tak jest – i albo zanonimizuj treść, albo skorzystaj z firmowego, zabezpieczonego rozwiązania AI.

Od czego zacząć wdrażanie AI w małej firmie?

Najrozsądniej wystartować tam, gdzie szybko widać efekt i nie dotykasz newralgicznych danych. Dla wielu firm są to zadania marketingowe i obsługa klienta: szkice postów na social media, pierwsze wersje ofert, odpowiedzi na typowe zapytania mailowe, podsumowania spotkań czy uporządkowanie notatek.

Dobrze działa też prosty, trzyetapowy schemat: najpierw testujesz narzędzia na bezpiecznych przykładach, potem wybierasz 1–2 główne zastosowania „na produkcji”, a na końcu spisujesz kilka krótkich zasad dla zespołu (co wolno, czego nie, kto akceptuje treści przed wysyłką do klienta). Dzięki temu AI szybko zaczyna pomagać, a nie wprowadza chaosu.

Jak uniknąć błędów merytorycznych w treściach generowanych przez AI?

Modele generatywne potrafią pisać bardzo pewnym tonem, ale mylą fakty, wymyślają cytaty i źródła. Dlatego traktuj je jak bardzo sprawnego stażystę: zrobi pierwszy szkic, ale ktoś doświadczony musi to przeczytać, poprawić i wziąć odpowiedzialność. Szczególnie dotyczy to obszarów: prawo, podatki, finanse, medycyna czy regulaminy.

Pomaga kilka prostych zasad:

  • każdy tekst idący do klienta przechodzi przez „ludzką” weryfikację,
  • AI nie jest jedynym źródłem wiedzy – kluczowe fakty sprawdzasz w dokumentach, przepisach czy u eksperta,
  • prosisz model o podanie źródeł, a potem samodzielnie je weryfikujesz.

    • Jeśli czujesz, że tekst jest „za ładny, żeby był prawdziwy”, to zwykle dobry sygnał, by go jeszcze prześwietlić.

Czym różni się publiczny chatbot AI od firmowego rozwiązania i które wybrać?

Publiczny chatbot (np. dostępny z przeglądarki dla każdego) jest prosty do uruchomienia i świetny do nauki, eksperymentów oraz zadań bez poufnych danych. Zwykle jednak masz ograniczony wpływ na to, co dzieje się z wpisywanymi treściami: są logi, mogą być podwykonawcy, czasem domyślnie włączone trenowanie na danych użytkowników.

Rozwiązanie firmowe daje większą kontrolę: administrator może wyłączyć użycie danych do trenowania, ograniczyć dostęp tylko do pracowników, zintegrować logowanie z firmowym SSO, ustawić poziomy uprawnień. W praktyce coraz częściej firmy stosują miks: publiczne narzędzia do zadań „lekkich” (np. pomysły kreatywne), a firmowe instancje modeli – do pracy na dokumentach czy danych biznesowych.

Jakie proste zasady korzystania z AI w firmie warto wprowadzić na start?

Nie trzeba od razu tworzyć 20-stronicowej polityki. Na początek wystarczy kilka jasnych reguł, z którymi każdy pracownik się zapozna. Na przykład:

  • zakaz wklejania danych osobowych i poufnych informacji do publicznych chatbotów,
  • obowiązek oznaczania treści, które w dużej mierze powstały przy użyciu AI (np. w stopce dokumentu wewnętrznego),
  • konieczność weryfikacji merytorycznej przez człowieka przy wszystkich materiałach zewnętrznych,
  • lista zadań, do których AI jest szczególnie zalecana (np. podsumowania spotkań, szkice maili), i tych, do których na razie jest zakazana (np. projekty umów).

    • Dobrze działa też wyznaczenie jednej osoby kontaktowej (niekoniecznie z IT), która zbiera pytania, pomaga dobrać narzędzia i aktualizuje zasady, gdy firma nabiera doświadczenia.

Jak pogodzić korzystanie z AI z wymaganiami RODO?

Z punktu widzenia RODO narzędzie AI jest po prostu kolejnym procesorem danych – tak jak system mailingowy czy CRM. Jeśli przekazujesz do niego dane osobowe (choćby adresy mailowe, imiona, identyfikatory klientów), potrzebujesz podstawy prawnej, umowy powierzenia przetwarzania oraz jasnego opisu, co się z tymi danymi dzieje po stronie dostawcy.

Bezpiecznym podejściem jest: ograniczenie danych osobowych przesyłanych do AI do absolutnego minimum, korzystanie z dostawców, którzy udostępniają dokumentację RODO (m.in. miejsce przetwarzania, podwykonawcy, zasady retencji danych), a w większych organizacjach – konsultacja z Inspektorem Ochrony Danych. Czasem szybciej jest zanonimizować dane (np. „Klient A, wartość zamówienia X”) i w takiej formie poprosić AI o pomoc w analizie.

Nie kończ na tym – czytaj dalej:

Poprzedni artykułĆwiczenia z taśmą oporową zalecone przez fizjoterapeutę na wzmocnienie stawów ramiennych
Julia Rutkowski
Julia Rutkowski
Fizjoterapeutka i redaktorka specjalizująca się w profilaktyce bólu stawów oraz rehabilitacji po urazach. Na OdmładzanieStawow.pl łączy wiedzę kliniczną z praktycznymi wskazówkami, które można wdrożyć w codziennym życiu. Każdy tekst opiera na aktualnych wytycznych medycznych, badaniach naukowych i własnym doświadczeniu pracy z pacjentami. Szczególną uwagę zwraca na bezpieczeństwo ćwiczeń, prosty język i rzetelne wyjaśnianie złożonych zagadnień. Jej celem jest pomaganie czytelnikom w zrozumieniu przyczyn bólu i świadomym dbaniu o sprawność stawów.