Jesteśmy gotowi. Przechodzimy do polityki zarządzania AI. Jak określić po co i w jakim zakresie to robimy?
Michał Nowakowski · 18 lipca 2026
Przeanalizowaliśmy "za i przeciw", złapaliśmy sponsora projektu i mamy zielone światło od zarządu na budowanie odpowiedzialnego podejścia do AI. Czas na politykę.
Przeanalizowaliśmy "za i przeciw", złapaliśmy sponsora projektu i mamy zielone światło od zarządu na budowanie lepszego i bardziej odpowiedzialnego podejścia do AI. Jednym słowem zrobiliśmy wszystko, o czym pisałem w tej edycji newslettera. Dobrze, mamy więc solidne fundamenty, żeby przejść dalej.
To dalej to już konkrety. Czas, abyśmy stworzyli własną gwiazdę polarną - politykę, która da ludziom jasny sygnał i wytyczne jak podchodzić do projektów AI & Data. Jak robić to w sposób nie tylko efektywny biznesowo, ale także bezpieczny. Pozwoli zarządzić ryzykami prawnymi, reputacyjnymi i operacyjnymi. Pod warunkiem, że zrobimy to rozsądnie.
Zanim jednak przejdziemy do tematu, kilka nowości na stronie legalarchitect.pl:
zostały dwa miejsca na drugi termin (21 lipca) na szkolenie "AI Governance Officer" - cały dzień praktycznej wiedzy i dodatkowo w pakiecie kilka szablonów dokumentów, na stronie powstał kokpit, który pozwala na personalizację dostępu do strony - wybieracie rolę i dostajecie sugestie co do tego jak z niej korzystać, znajdziecie nową grę RPG poświęconą incydentom cyberbezpieczeństwa, kompas modeli open source doznał aktualizacji.
Wracamy jednak do tematu przewodniego, czyli naszej polityki. Często politykę postrzegamy wyłącznie przez pryzmat dokumentu, a więc strony formalnej, która ma nas ochronić przed ewentualnymi konsekwencjami - ma pokazać naszą należytą staranność. I z audytowego czy regulacyjnego punktu widzenia to oczywiście istotne, ale my patrzymy na politykę jako na solidną instrukcję tego jak:
projektować rozwiązania AI z uwzględnieniem eksperymentalnego podejścia, rozwijać je w sposób zgodny z określonymi zasadami i dobrymi praktykami, w tym w zakresie Software Development Life-cycle (SDLC), wdrażać w sposób zapewniający, że integracja będzie efektywna i bezpieczna, stosować rozwiązania AI, w tym na nasze potrzeby wewnętrzne, ale także w konktekście konkretnych procesów biznesowych.
Fragment Polityki AI przygotowany w oparciu o bazę wiedzy Michała oraz przy wsparciu Fable5 Stąd też musimy się przyłożyć do pierwszego etapu jakim jest określenie celu i zakresu polityki. Oczywiście jednym z elementów będzie zapewne upewnienie się, że jesteśmy zgodni z AI Act (o ile uważamy, że możemy się tutaj znaleźć jako adresat), ISO 42001/5 (standard zarządzania AI) czy RODO oraz ustawą o krajowym systemie cyberbezpieczeństwa i Cyberresilience Act (wymogi dla aplikacji i innych produktów z elementami cyfrowymi). Innymi słowy - zgodność i bezpieczeństwo. To ważne aspekty naszej polityki, ale nie jedyne.
Naszym celem będzie zapewne zmiana myślenia o technologii. Nakierujemy naszych pracowników do tego, aby myśleli w kategorii rozwiązywania problemów biznesowych, a nie stosowania technologii ze względu na to, że jest fajną błyskotką. Będziemy chcieli budować naszą przewagę konkurencyjną, a to wymaga strategicznej zmiany. Zmiany także w myśleniu, a to skłoni nas do uznania, że celem jest też budowanie świadomości i zapewnienie kompetencji wszystkim zainteresowanym.
Czy to wszystko? Nie, będziemy chcieli, aby nasza polityka "upewniła nas" w przekonaniu, że dobrze zarządzamy ryzykami. W kontekście projektów AI & Data ma to szczególne znaczenie, bo:
często korzystamy z rozwiązań dostarczanych przez podmioty trzecie, np. w modelu SaaS, a to wymaga od nas due diligence dostawcy, o czym pisałem tutaj, rozwiązania AI, w tym duże modele językowe, generują dodatkowe i specyficzne problemy dotyczące chociażby cyberbezpieczeństwa, ale także w zakresie potencjalnych uprzedzeń i dyskryminacji, poziom wiedzy i kompetencji w zakresie AI zazwyczaj jest na umiarkowany, jeżeli nie niski, co wymaga od nas szczególnego podejścia i monitorowania w trybie ciągłym rozwiązań.
No i na koniec chodzi też o budowanie wartości, prawda? AI ma więc wspierać realizację celów biznesowych, a nie je blokować. To będzie od nas wymagało także bardziej zorganizowanego podejścia do strategii w naszej organizacji. Trudny temat wymagający zaangażowania wielu interesariuszy i budowania leadership.
Mamy więc cele, które chcielibyśmy osiągnąć, a co dalej? Musimy zastanowić się nad zakresem polityki i nie jest to coś co powinniśmy zignorować, bo konsekwencje są znaczące.
Myślą o zakresie naszej polityki musimy mieć na uwadze, że zbyt wąskie zakreślenie (w tym poprzez zastosowanie wyłączeń) spowoduje, że wiele z rozwiązań nie będzie podlegało szczególnym zasadom tam określonym i "wyślizgną się" ze szczególnej opieki. Z kolei zbyt szerokie zakreślenie spowoduje, że niektóre inicjatywy zamiast być zrealizowane "od razu" trafią do ścieżki, która wydłuży ten czas. I jedna, i druga opcja nie jest więc pożądana. Musimy znaleźć stosowny balans.
W zakresie warto więc wskazać, że obejmujemy polityką m.in.:
funkcje AI wbudowane w oprogramowanie, z którego Organizacja już korzysta (np. asystenci AI w pakietach biurowych, ERP, CRM), co jest szczególnie istotne wobec faktu, że niektóre nowe funkcjonalności mogą stać się w pewnym sensie "shadow AI" i być aktywowane bez wiedzy IT i nieuwzględnione w rejestrze zasobów, narzędzia wykorzystujące GenAI, w tym czaty AI i generatory treści, także te, które w organizacji możemy mieć już pointegrowane, modele budowane samodzielnie lub dostrajane (fine-tuning) przez organizację oraz rozwiązania łączące AI z automatyzacją procesów, co będzie od nas wymagało także aktywnej współpracy z jednostkami odpowiedzialnymi za zarządzanie modelami, inicjatywy open source, które mogą wymagać bardziej szczegółowego zaopiekowania.
Od razu nasuwa się tutaj kolejne zagadnienie - rejestr zasobów, który jest mapowany na inicjatywy AI.
Przygotowane w oparciu o bazę wiedzy Michała oraz przy wsparciu Fable5
Wydawać się może to mało istotne, ale z perspektywy realizacji polityki i działania AI Governance Officera to szalenie istotna kwestia. Musimy zapewnić, że inicjatywy, które objęte będą polityką bezwzględnie zostaną uwzględnione w rejestrze. Temat jest na tyle szeroki, że wrócę do niego przy okazji odrębnego felietonu. Będziemy też o tym rozmawiać przy okazji szkolenia 21 lipca.
Wracając jednak do kwestii zakresu powinniśmy wskazać, że sama polityka dotyczy zarówno pracowników, jak i osób z nami współpracującymi, ale także - na odrębnych i odpowiednich zasadach określonych m.in. w polityce zakupowej - naszych dostawców rozwiązań AI, w tym rozwiązań bazujących na open source.
Musimy także wskazać, że polityka wprawdzie nie dotyczy osobistego wykorzystywania AI, ale jednocześnie nie dozwala na zjawisko shadow AI.
Kolejnym elementem są zasady, które nie mają charakteru deklaratywnego, ale są rzeczywiście stosowanym podejściem do projektów AI & Data. O tej kwestii opowiem jednak w jednej z kolejnych części, bo chciałbym podkreślić rolę zasad w całym procesie.
Dzisiaj to tyle z mojej strony. Daj znać czy macie jakieś konkretne potrzeby, chcielibyście się jeszcze czegoś dowiedzieć, coś Was boli, uwiera w kontekście AI Governance. Jestem tutaj, żeby pomóc ; )