Polityka korzystania z AI w mikrofirmie: proste zasady, które chronią klientów i Ciebie

Generatywne AI może skrócić przygotowanie oferty, maila czy szkicu artykułu z godzin do minut. W mikrofirmie ryzyko jest jednak większe niż w dużej organizacji: jedna pomyłka potrafi ujawnić dane klienta albo wypuścić w świat treść, której nikt nie sprawdził. Dlatego warto mieć krótką politykę AI – taką, którą da się stosować na co dzień, bez „korporacyjnej papierologii”.

Trzy zasady, które powinny stać się nawykiem

Jeśli chcesz zacząć minimalistycznie, trzy reguły robią największą robotę. Po pierwsze: AI to narzędzie, a odpowiedzialność za efekt zawsze bierze człowiek. Po drugie: do AI nie trafiają dane poufne bez anonimizacji. Po trzecie: wszystko, co idzie do klienta lub do publikacji, przechodzi weryfikację faktów i języka.

Klasyfikacja informacji: co wolno wkleić do AI

W praktyce wystarczą trzy poziomy informacji. Dzięki nim nikt nie zgaduje „czy mogę to wkleić”, tylko działa według prostego schematu:

• Publiczne – to, co może znaleźć się na stronie lub w ofercie (np. ogólny opis usługi, cennik, case bez danych wrażliwych).
• Wewnętrzne – procedury i szablony firmy (np. lista kroków, harmonogram), ale bez danych klientów.
• Poufne – dane osobowe, treści umów, dane z CRM, numery zamówień/spraw, informacje finansowe klienta, loginy, hasła, klucze API, dane pracowników.

Zasada operacyjna: publiczne i wewnętrzne możesz podawać do AI, a poufne – tylko po anonimizacji albo w zatwierdzonym narzędziu firmowym, które masz świadomie dopuszczone do takiej pracy.

Anonimizacja „na szybko” i higiena promptów

Anonimizacja ma być praktyczna. Zanim wkleisz fragment do AI, usuń elementy, po których da się zidentyfikować osobę lub firmę: imię i nazwisko, e-mail, telefon, adres, NIP, numery spraw i zamówień, identyfikatory z systemów. Nazwy własne zamień na role („Klient A”, „Dostawca B”). Zostaw tylko to, co jest potrzebne do zadania.

W polityce zapisz też twardy zakaz: nie wklejamy do AI haseł, tokenów, kluczy API i innych danych dostępowych. Bez wyjątków.

Dozwolone narzędzia i zakaz „losowych wtyczek”

Ustal listę zatwierdzonych narzędzi AI (nawet 1–2) i trzymaj się jej. Najwięcej wycieków w małych firmach wynika nie z samego AI, tylko z dodatków do przeglądarki i integracji, które „czytają” strony, pocztę lub dokumenty. Dlatego dopisz prostą regułę: nie instalujemy wtyczek i rozszerzeń związanych z AI bez zgody właściciela firmy.

Jakość i prawa autorskie: co wolno wysyłać klientowi

AI bywa kreatywne, ale bywa też zbyt pewne siebie. Dlatego treści wychodzące na zewnątrz muszą być redagowane i dopasowane do kontekstu. W polityce warto dopisać dwa krótkie wymagania jakości:

• Nie wysyłamy klientowi materiałów „w ciemno” – zawsze sprawdzamy fakty, liczby, nazwy, daty i zgodność z ustaleniami.
• Nie kopiujemy długich fragmentów bez redakcji – zmieniamy strukturę, język i przykładamy własną wiedzę, żeby uniknąć wtórności.

Weryfikacja faktów: gdzie AI nie może być „źródłem prawdy”

Wprowadź obowiązkową weryfikację w obszarach, gdzie błąd jest najdroższy: prawo, podatki, zdrowie i bezpieczeństwo, kalkulacje finansowe, parametry techniczne. Wystarczy krótki zapis: AI może sugerować, ale nie rozstrzyga. Decyzję i komunikat bierze człowiek, a jeśli czegoś nie da się zweryfikować – nie publikujemy i nie wysyłamy.

Co robisz, gdy wydarzy się błąd

Mała firma potrzebuje prostego planu. W razie wysłania błędnej treści lub ujawnienia danych stosujemy trzy kroki: zatrzymujemy dalsze udostępnianie, opisujemy zdarzenie (co, kiedy, komu), a następnie wprowadzamy poprawkę w procesie (np. checklistę anonimizacji lub dodatkową kontrolę przed wysyłką). To ogranicza szkody i uczy zespół właściwych nawyków.

Minimalny „ślad” pracy z AI bez biurokracji

Nie musisz archiwizować każdego promptu. Wystarczy prosty zwyczaj: w zadaniu/projekcie zaznaczasz, że powstał szkic z użyciem AI, kto go przygotował i gdzie jest wersja końcowa po weryfikacji. Przy wrażliwych tematach dopisz krótką notatkę, na podstawie czego zweryfikowano informacje (np. dokument klienta, oficjalna dokumentacja, konsultacja ze specjalistą). To pomaga utrzymać jakość i porządek, a w razie sporu pokazuje, że firma działała rozsądnie.

Wdrożenie w 30–60 minut

Ustal listę zatwierdzonych narzędzi, dopisz trzy poziomy informacji, wprowadź zakaz wklejania danych dostępowych i poufnych oraz jeden obowiązkowy krok „weryfikacja przed wysyłką”. Na koniec wyślij politykę do zespołu/podwykonawców i wpisz ją do onboardingu. To małe kroki, ale w mikrofirmie zwykle wystarczają, żeby korzystać z AI szybciej i bezpieczniej.

Mini-szablon polityki AI do wklejenia

• Używamy wyłącznie zatwierdzonych narzędzi AI: [wpisz nazwy].
• Nie wklejamy danych poufnych do AI bez anonimizacji. Zakaz dotyczy w szczególności danych osobowych, treści umów, danych z CRM, haseł, kluczy API.
• Wszystko, co idzie do klienta lub do publikacji, musi być zweryfikowane przez człowieka.
• Odpowiedzialność za wynik zawsze ponosi osoba wykonująca zadanie.
• W razie błędu lub podejrzenia wycieku zgłaszamy to niezwłocznie do: [właściciel / osoba odpowiedzialna].

Źródła:

• https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/artificial-intelligence/guidance-on-ai-and-data-protection/ – wytyczne ICO o AI i ochronie danych: zasady, ryzyka, praktyki.
• https://www.edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-282024-certain-data-protection-aspects_en – opinia EDPB o aspektach ochrony danych w kontekście modeli AI.
• https://ai-act-service-desk.ec.europa.eu/en/ai-act/article-50 – obowiązki przejrzystości w AI Act (interakcja z AI, oznaczanie treści generowanych).
• https://nvlpubs.nist.gov/nistpubs/ai/nist.ai.100-1.pdf – NIST AI RMF 1.0: ramy zarządzania ryzykiem AI.