AI w biznesie

Prawa AI (EU AI Act) – co musi wiedzieć polska firma?

EU AI Act wprowadza obowiązki zależne od ryzyka: większość firm wdrażających AI w procesach będzie podpadać pod wymagania dla systemów o „wysokim ryzyku”, jeśli AI wpływa na decyzje o pracownikach, dostępie do edukacji, usługach publicznych lub kluczowych usługach finansowych. Kluczowy próg to „zakaz” praktyk niektórych kategorii ryzyka oraz obowiązki dokumentacyjne i zarządcze dla dostawców i użytkowników. W praktyce: przygotowanie polityk, danych, testów i audytowalności trwa najczęściej 3–6 miesięcy, a pełne wdrożenie procesów zgodności kosztuje zwykle 50 000–250 000 PLN.

EU AI Act: czego dotyczy i jak czytać to „z perspektywy firmy”?

EU AI Act to unijne rozporządzenie regulujące systemy sztucznej inteligencji w całym cyklu: od wprowadzania na rynek, przez udostępnianie, po używanie w organizacjach. Dla polskiej firmy liczy się nie tylko to, czy „robi AI” jak produkt, ale czy używa AI jako elementu procesów biznesowych (np. w CRM, dziale sprzedaży, w obszarze rekrutacji, w logistyce, w automatyzacji obsługi reklamacji).

Najważniejsze jest podejście oparte na poziomach ryzyka. AI dzieli się na kategorie: od rozwiązań o niskim ryzyku po systemy o wysokim ryzyku (oraz praktyki szczególnie nieakceptowalne). Dla decyzji zarządczych ważniejsze są nie same etykiety, tylko konsekwencje: wymagania dokumentacyjne, testy, nadzór człowieka, jakość danych, obowiązki w zakresie przejrzystości i zarządzania incydentami.

W projektach, które analizowałem, najczęstszy błąd polega na tym, że firma klasyfikuje AI „na oko” i dopiero po audycie prawno-technicznym okazuje się, że system wpływa na decyzje podlegające szczególnym rygorom. Wtedy zmienia się zakres testów, rola człowieka w procesie oraz sposób gromadzenia dowodów zgodności.

Jaka kategoria ryzyka może dotyczyć polskiej firmy i kiedy obowiązki rosną?

Dla przedsiębiorstwa kluczowe jest zmapowanie przypadków użycia. Z praktycznego punktu widzenia, obowiązki rosną, gdy AI:

  • wpływa na decyzje dotyczące zatrudnienia (np. rekomendacje w rekrutacji, ocena kandydatów, dopasowanie do ofert, scoring w procesach HR),
  • steruje lub znacząco oddziałuje na dostęp do usług podstawowych lub kluczowych usług,
  • jest używane jako element systemów, które wymagają wysokiej kontrolowalności (np. automatyczne wnioski, decyzje w procedurach zgodności, weryfikacja uprawnień),
  • opiera się na podejściach mogących generować nieprzewidywalne skutki (np. modele generatywne w obszarach decyzji o wysokiej stawce).

Jeśli firma wdraża AI w typowych zastosowaniach „wsparcia”, obowiązki mogą być lżejsze, ale nadal trzeba zapewnić przejrzystość (użytkownicy muszą wiedzieć, że system generuje treści lub rekomendacje) oraz mechanizmy kontroli. Jeżeli natomiast AI przejmuje rolę decyzyjną (lub jest decyzyjnie wykorzystywane), wchodzą wymagania bliższe reżimowi „wysokiego ryzyka”.

Warto też pamiętać o zależności: nawet jeśli dostawca oprogramowania dostarcza deklaracje, to użytkownik ma swoje obowiązki organizacyjne. W praktyce liczy się to, jak integrujesz system, jakie dane podajesz i jak wykorzystujesz wynik.

Obowiązki: co dokładnie musi zrobić firma, która używa AI?

EU AI Act nie jest „jednym formularzem”. To zestaw obowiązków rozciągniętych na role: dostawca, importer, dystrybutor i użytkownik. Dla polskiej firmy najczęściej dotyczy to trzech obszarów: governance, dane i testy, audytowalność.

1) Zarządzanie zgodnością (compliance) i odpowiedzialnością

Firma powinna wprowadzić proces decyzyjny: które zastosowania AI mogą być uruchamiane, kto zatwierdza, jaki jest poziom ryzyka i jak wygląda nadzór człowieka. Dla organizacji z IT i biznesem oznacza to zwykle:

  • politykę użycia AI (zakres, wykluczenia, zasady weryfikacji),
  • rejestr systemów AI wraz z opisem celu i wpływu na decyzje,
  • procedury oceny ryzyka przed uruchomieniem,
  • mapę interesariuszy (IT, prawnik, bezpieczeństwo, HR, właściciele procesów).

2) Dane, testy i jakość wyników

Dokumentacja i dowody testów to nie „papier dla papieru”. Jeśli AI wpływa na proces biznesowy, firma musi mieć podstawy do stwierdzenia, że system jest odpowiedni do przeznaczenia, a wyniki są kontrolowane. W praktyce obejmuje to m.in.:

  • walidację danych wejściowych (jeśli model ma stronniczość lub drift danych, wyniki się psują),
  • testy przypadków brzegowych,
  • mechanizmy eskalacji, gdy wynik jest nieakceptowalny (np. odrzucenie rekomendacji, decyzja operatora),
  • plan monitorowania po wdrożeniu (czyli nie kończysz na testach przed go-live).

3) Przejrzystość i informowanie użytkowników

W obszarach, gdzie AI generuje treści lub dostarcza rekomendacje, wymagane jest zapewnienie użytkownikom informacji o roli systemu. Dla działów obsługi klienta i sprzedaży oznacza to konkretne procedury: jak oznaczać treści wspomagane, jak prowadzić komunikację, jak dokumentować odwołania i korekty.

Kontrolowana niedoskonałość: w wielu firmach zaczyna się od „szybkich” integracji AI z istniejącymi narzędziami. Problem nie leży w samej integracji, tylko w braku ścieżki dowodowej po wdrożeniu – a audyt wymaga, żeby ta ścieżka istniała.

System A vs. System B: jak porównać rozwiązania pod kątem zgodności?

Porównanie nie powinno ograniczać się do „czy ma model i czy jest w chmurze”. Dla zgodności liczą się: poziom ryzyka, możliwość wyjaśnienia działania, sposób aktualizacji modeli, kontrola danych i umowy (odpowiedzialność, audyt, dostarczenie dokumentacji).

Kryterium System A: AI wbudowane w produkt (SaaS) dostawcy System B: AI jako element wewnętrznej platformy (on-prem lub hybryda)
Odpowiedzialność za zgodność Duża część po stronie dostawcy, ale użytkownik odpowiada za sposób użycia Więcej po stronie firmy (konfiguracja, dane, wdrożenia, monitorowanie)
Dokumentacja techniczna Zwykle dostarczana: karta systemu, wyniki testów dostawcy Wymagasz dokumentacji we własnym zakresie (pipeline danych, walidacje)
Ryzyko „driftu” po aktualizacjach Może być ukryte w cyklu zmian dostawcy Kontrolujesz aktualizacje, ale musisz testować każdą zmianę
Kontrola nad danymi Sprawdź transfery, retencję, logowanie, zakres przetwarzania Sprawdź bezpieczeństwo, dostępność, zgodność z politykami danych
Oś czasu wdrożenia zgodności Często szybsze: 6–12 tygodni na mapowanie i procedury Zwykle dłuższe: 12–20 tygodni na testy i governance

W praktyce decyzje zakupowe warto opierać na „pakiecie zgodności”: jakie dowody daje dostawca, jakie dowody musisz wytworzyć Ty oraz kto aktualizuje system w trakcie trwania umowy. To redukuje vendor lock-in (uzależnienie od dostawcy poprzez brak możliwości weryfikacji/zmiany modelu).

Cloud czy on-prem? Modele licencji a wymagania audytowe

Wybór środowiska nie znosi obowiązków AI Act, ale zmienia sposób ich realizacji. W chmurze typowo masz:

  • mniej odpowiedzialności infrastrukturalnej,
  • większą zależność od cykli aktualizacji dostawcy,
  • konieczność weryfikacji, co dzieje się z danymi wejściowymi i wynikami (logowanie, retencja, uprawnienia).

On-prem lub hybryda z kolei przenosi ciężar na Twoją architekturę: musisz zapewnić środowisko testowe, mechanizmy wersjonowania modelu i konfiguracji oraz proces walidacji przed wdrożeniem.

Jeśli chodzi o licencje: w praktyce wymagaj w umowie zapisów o tym, że dostawca dostarczy materiał do oceny zgodności (karta systemu, informacje o ryzykach, ograniczeniach, procedury aktualizacji). Dobrze działa podejście „zgodność jako deliverable”: część wdrożenia jest traktowana jako przekazanie artefaktów audytowych, a nie tylko dostęp do funkcji.

Typowe błędy wdrożeniowe i na co uważać przed go-live

Najwięcej problemów powstaje nie przy wyborze technologii, tylko przy braku przygotowania procesu. Oto pułapki, które najczęściej widzę w firmach:

  • Brak rejestru przypadków użycia: firma wdraża AI w kilku działach, ale nie ma spójnej listy, do czego służy, jakie dane obsługuje i kto zatwierdza decyzje. Po czasie „nie da się już ustalić”, co było włączone i kiedy.
  • Mylenie wsparcia z decyzją: rekomendacja od AI staje się de facto decyzją, bo użytkownicy operują wyłącznie wynikiem systemu. EU AI Act wymaga realnej roli nadzoru człowieka i mechanizmów korygujących.
  • Brak planu dla aktualizacji modeli: dostawca zmienia model, a firma nie aktualizuje testów i procedur. Efekt to regresja jakości i brak spójnych dowodów w audycie.
  • Ignorowanie danych: model działa „dobrze” na małej próbie, ale w produkcji dostajesz inny rozkład danych (drift). To uderza w zgodność szybciej niż brak dokumentów.

Mniej oczywista wskazówka nr 1: przygotuj matrycę dowodów (kto dostarcza jaki artefakt: testy, wyniki walidacji, logi, instrukcje dla użytkowników). Bez tego nawet dobra praca techniczna nie przełoży się na audytowalność.

Mniej oczywista wskazówka nr 2: zaplanuj „ścieżkę odwołania” dla przypadków, gdy użytkownik kwestionuje wynik AI. To nie musi być rozbudowane narzędzie—ale musi być procedura i logowanie działań.

Koszty, czas, jak zacząć: realistyczny plan dla polskiej firmy

Realny harmonogram zależy od tego, czy firma ma już dojrzałe procesy bezpieczeństwa informacji, jakości danych i zarządzania zmianą w IT. Typowo start wygląda tak:

1) Diagnoza (2–6 tygodni)

Mapowanie systemów AI i ich zastosowań: identyfikacja procesów, klasyfikacja ryzyka, przegląd umów z dostawcami, wstępny przegląd danych. Na tym etapie powstaje rejestr przypadków użycia oraz lista luk do zamknięcia.

2) Projekt zgodności (6–12 tygodni)

Budujesz procedury: governance, ocena ryzyka, wymagania dla danych i testów, mechanizmy nadzoru człowieka, wymagania audytowe, modelowanie odpowiedzialności (RACI: kto za co odpowiada). Jeśli system jest już w produkcji, dochodzi plan „remediacji” (naprawy) i sposób wdrożenia zmian.

3) Wdrożenie i testy (6–12 tygodni)

Testy jakości i bezpieczeństwa, walidacje, przygotowanie środowisk testowych, logowanie i monitorowanie, szkolenia użytkowników biznesowych (zwłaszcza tam, gdzie AI podsuwa rekomendacje).

Przykładowe widełki kosztów (dla organizacji średniej wielkości):

  • 20 000–60 000 PLN – jeśli robisz samą diagnozę i podstawowy rejestr wraz z mapą ryzyka (bez głębokiej przebudowy procesów),
  • 50 000–250 000 PLN – jeśli tworzysz pełny pakiet procedur, matrycę dowodów, narzędzia monitorowania i przeprowadzasz testy w scenariuszach krytycznych,
  • 250 000–600 000 PLN – gdy dochodzi do tego przebudowa architektury, migracje danych lub rozbudowa mechanizmów kontroli i eskalacji.

Dla porównania: koszt „braku zgodności” w audycie lub przy incydencie może być wielokrotnie wyższy niż koszt wdrożenia procesów. W praktyce wchodzi też koszt przestojów: od momentu decyzji o remediacji po ponowne testy i go-live mija często 10–20 tygodni.

Wskazówki zakupowe: jak rozmawiać z dostawcą

Podczas negocjacji dostawcy żądaj konkretnych odpowiedzi:

  • Jak dostawca wersjonuje model i co dokładnie się zmienia przy aktualizacjach?
  • Jakie artefakty zgodności może dostarczyć (wyniki testów, opis ograniczeń, procedury walidacji)?
  • Jak rozwiązano przejrzystość i informowanie użytkowników?
  • Jak wygląda wsparcie w przypadku wykrycia regresji jakości po wdrożeniu?

Warto też policzyć liczbę użytkowników systemu AI w organizacji. Dla wielu firm to nie „10 osób z IT”, tylko 50–300 użytkowników operacyjnych w różnych zespołach—i to oni muszą znać zasady nadzoru, poprawnej interpretacji wyniku oraz procedurę odwołania.

Podsumowanie i CTA: zanim zdecydujesz się na wdrożenie

EU AI Act to nie tylko temat prawny. Dla polskiej firmy to projekt organizacyjno-techniczny: klasyfikacja przypadków użycia, procedury nadzoru człowieka, kontrola jakości danych, dowody do audytu i monitorowanie po go-live. Jeśli zrobisz to dobrze, zyskujesz przewidywalność kosztów (TCO – całkowity koszt posiadania) i redukujesz ryzyko przestojów w momencie aktualizacji modeli.

Zanim zdecydujesz się na wdrożenie lub rozbudowę systemu AI, sprawdź trzy rzeczy: (1) czy masz rejestr wszystkich przypadków użycia AI i ich wpływu na decyzje, (2) czy potrafisz wskazać, kto jest „człowiekiem w pętli” i jak działa eskalacja, (3) czy dysponujesz artefaktami dowodowymi od dostawcy i własnymi testami, które przeżyją audyt.

Jeżeli chcesz, przygotuję dla Twojej organizacji szablon rejestru przypadków użycia AI oraz listę wymagań do umów z dostawcami (w stylu „compliance by design”) pod realia ERP/CRM/HRM i procesów operacyjnych. Napisz, jaki masz zakres: liczba użytkowników, branża i gdzie AI jest już używane.

Related Articles:

Znacznik
redakcja polfirmy.pl

Jesteśmy wyjątkowym zespołem łączącym świat akademicki z realiami biznesu. Nasza redakcja to unikalne połączenie. Łączymy głęboką wiedzę akademicką z praktycznym doświadczeniem, oferując naszym czytelnikom unikalne spojrzenie na świat systemów ERP. Naszą misją jest dostarczanie treści, które nie tylko informują, ale inspirują do innowacji i doskonalenia procesów biznesowych.

zobacz wszystkie wpisy

Powiązane wpisy

Opublikuj komentarz

Mogłeś ominąć