przejdź
przejdź
  2. Serwis Biznesu
  3. Cyberbezpieczeństwo
  4. Bezpieczne korzystanie z narzędzi AI w firmie a cyberbezpieczeństwo

Bezpieczne korzystanie z narzędzi AI w firmie a cyberbezpieczeństwo

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Rozwój technologii przyspiesza wiele procedur w przedsiębiorstwach, jednak bezpieczne korzystanie z narzędzi AI wymaga pełnej świadomości pojawiających się zagrożeń. Należy pamiętać o ryzyku wynikającym z przetwarzania informacji przez publiczne chatboty. Niezmiennie kluczowe w organizacji pozostają zasady związane z higieną cyfrową oraz ochroną danych osobowych, co pokazują realne incydenty z zakresu ujawniania poufnych dokumentów przez sztuczną inteligencję.

Świadomość zagrożeń a korzystanie z narzędzi AI

Podstawowym problemem podczas korzystania z chatbotów opartych na dużych modelach językowych jest korzystanie z nich poza świadomością organizacji. Mowa tu o tzw. shadow IT, które oznacza użytkowanie narzędzi przez pracowników bez wiedzy i zgody działu IT.

Przykładem takich zachowań może być:

  • przesyłanie firmowych danych za pomocą prywatnych komunikatorów;
  • korzystanie z internetowych narzędzi do obróbki plików w formacie PDF;
  • używanie prywatnych nośników USB.

Pojawienie się łatwo dostępnych chatbotów pokazało kolejne zagrożenie, jakim jest możliwość przypadkowego lub świadomego ujawnienia poufnych danych z firmy. Mowa tu nie tylko o danych osobowych, lecz również o m.in. know-how czy tajemnicach przedsiębiorstwa.

Przykłady realnych incydentów

W ciągu ostatnich lat doszło do kilku poważnych incydentów, które ukazują rolę rozważnego korzystania z AI w firmach. 20 marca 2023 roku OpenAI (odpowiedzialne za ChatGPT) poinformowało o błędzie w oprogramowaniu, który skutkował możliwością podejrzenia m.in. tytułów konwersacji innych użytkowników. Nie wykluczono również możliwości pojawienia się pierwszej wiadomości konwersacji innej osoby.

W maju 2023 roku Forbes poinformował o wdrożeniu zakazu korzystania z ChatGPT przez pracowników Samsunga, co miało być spowodowane przekazaniem „wrażliwego i wewnętrznego” kodu źródłowego do chatbota. Na podobne kroki miał zdecydować się m.in. Amazon czy JPMorgan Chase.

Ochrona danych osobowych

Europejska Rada Ochrony Danych (EROD) w „Opinii 28/2024 w sprawie niektórych aspektów ochrony danych związanych z przetwarzaniem danych osobowych w kontekście modeli AI” podkreśliła artykuł 35 unijnego Ogólnego Rozporządzenia o Ochronie Danych (RODO), zobowiązujący administratorów do dokonania oceny skutków dla ochrony danych.

Ponadto EROD zaznaczyła, że jeśli administrator nie jest w stanie wykazać przed organem nadzorczym (w Polsce – Urzędem Ochrony Danych Osobowych) zastosowania skutecznych środków zmierzających do anonimizacji modelu AI, możliwe jest naruszenie art. 5 ust. 2 RODO, dotyczącego rozliczalności zgodności z zasadami przetwarzania.

W tym kontekście kluczowa pozostaje decyzja Prezesa Urzędu Ochrony Danych Osobowych (UODO) z listopada 2024 roku (DKN.5130.2415.2020), gdzie podkreślono, że to właśnie administrator ponosi odpowiedzialność za wybór podmiotu przetwarzającego dane. Obowiązek wynika z art. 28 ust. 1 RODO, który podkreśla konieczność doboru organizacji „zapewniającego gwarancje wdrożenia odpowiednich środków”.

Praktyczne korzystanie z narzędzi AI

Zarówno bezpłatne, jak i płatne wersje narzędzi AI mogą uczyć się na danych przekazywanych przez użytkowników, choć oczywiście zależy to od konkretnego modelu. W poradniku „Pułapki związane z wykorzystywaniem sztucznej inteligencji – jak unikać zagrożeń?” w witrynie gov.pl podkreślono, że treści przekazane do modeli AI należy traktować tak, jakby informacja mogła pojawić się w Internecie.

NASK w poradniku „Zasady bezpieczeństwa i dobre praktyki w pracy z narzędziami LLM” rekomenduje m.in. anonimizację danych. Jako przykład podano wykorzystanie fikcyjnych informacji oraz tzw. zaślepek w formie: „[nazwisko]”.

Najwięcej zagrożeń związanych z wykorzystaniem AI w firmie wynika z faktu, że wielu użytkowników domyślnie wykorzystuje publicznie dostępne chatboty (np. ChatGPT, Gemini), przez co dostawcy otrzymują wiele nadmiarowych informacji. Odpowiedzią na ten problem może być uruchomienie lokalnego modelu AI, dzięki czemu dane będą przetwarzane pod kontrolą organizacji. Jednocześnie nie wolno pomijać tego zagadnienia w analizie ryzyka.

W dokumencie „Do czego AI nie służy” autorstwa Ministerstwa Edukacji Narodowej podkreślono, że w przypadku lokalnych modeli wciąż istnieje ryzyko wycieku danych, co wiąże się z koniecznością kontroli systemu pod kątem wykrywania prób nieuprawnionego dostępu.

W przypadku firm kluczowe może okazać się dobranie odpowiedniego modelu do potrzeb danej organizacji. Warto jednak podkreślić, że polskie modele (PLLuM oraz Bielik) mogą okazać się lepsze w pracy z dokumentami w naszym języku. Bielik oparty jest o licencję Apache 2.0, która pozwala m.in. na komercyjne wykorzystanie. Dobór odpowiedniego modelu powinien zależeć w dużej mierze od posiadanych zasobów oraz celu wykorzystywania AI.

UODO o lokalnych modelach

W biuletynie UODO za okres od grudnia 2024 do stycznia 2025 roku podkreślono, że lokalne modele pozwalają na ograniczenie przesyłania danych do chmury, co umożliwia poprawę prywatności. Organ nadzorczy podkreślił również konieczność stosowania silnych haseł oraz szyfrowania, aby dane nie stały się „łatwiejszym celem dla atakujących”.

Regulamin określający korzystanie z narzędzi AI w firmie

Narzędzia sztucznej inteligencji mogą znacznie wspomóc pracowników w ich codziennych zadaniach. Sformalizowanie polityki korzystania z narzędzi AI może okazać się konieczne dla firmy – szczególnie w przypadku przetwarzania danych osobowych czy pracy na poufnych dokumentach.

W Internecie dostępne są regulaminy stosowania dużych modeli językowych. Na bazie m.in. dokumentów opracowanych przez Sygnity i RGIS możemy wyróżnić kilka ważnych zasad, które powinny zostać wdrożone w firmach:

  • ocena ryzyka wobec naruszenia praw i wolności osób fizycznych (art. 35 RODO);
  • korzystanie jedynie z narzędzi zatwierdzonych przez dział IT;
  • zakaz integrowania narzędzi AI z zewnętrznymi programami bez wiedzy administratora;
  • uwzględnienie monitorowania korzystania z narzędzi AI;
  • tworzenie kultury organizacyjnej umożliwiającej komfortowe zgłaszanie incydentów przez pracowników;
  • ograniczenie dostępu do danych.

Odpowiedzialność i decyzyjność

W „Regulaminie stosowania rozwiązań sztucznej inteligencji w Wojskowej Akademii Technicznej” z lipca 2025 roku zamieszczono ważne zalecenie, które może być kluczowe w codziennej pracy m.in. działów HR. W dokumencie zabrania się przykładowo podejmowania automatycznych decyzji wobec pracowników i studentów uczelni oraz korzystania z rozwiązań AI mogących prowadzić do inwigilacji.

Regulacja dobrze pokazuje, że LLM-y nie mogą samodzielnie podejmować kluczowych decyzji. Jest to zgodne z myślą IBM z 1979 roku: „komputer nigdy nie może wziąć odpowiedzialności, dlatego nie powinien nigdy zarządzać”.

We wrześniu 2025 r. Prezes UODO podpisał „Oświadczenie w sprawie zarządzania danymi i rozwoju AI” podczas międzynarodowej konferencji w Seulu. W dokumencie wskazano m.in. możliwość dyskryminacji przez modele AI jako jedno z potencjalnych zagrożeń.

Podsumowanie

Kluczowe aspekty rozsądnego korzystania z narzędzi sztucznej inteligencji w przedsiębiorstwie obejmują przede wszystkim świadomość organizacji w zakresie rozwiązań stosowanych przez pracowników. Uniknięcie tzw. shadow IT pozwala zapobiec wielu potencjalnym zagrożeniom.

Należy również mieć na uwadze, że samo sporządzenie dokumentu dotyczącego użytkowania AI w firmie nie zapewnia stosowania go w praktyce. W decyzjach Prezesa UODO (DKN.5131.22.2021) można znaleźć stwierdzenie, że doraźne „testowanie, mierzenie i ocenianie skuteczności wdrożonych środków” jest niewystarczające.

Z punktu przedsiębiorstwa, szczególnie MŚP, ważny powinien być aspekt realnego wdrożenia narzędzi sztucznej inteligencji w ramach codziennych operacji. Warto rozważyć zasadność i cel takiego działania, które może m.in. przyspieszyć powtarzalne procesy. Nie można również pomijać przy tym nowych zagrożeń, które powinny zostać opisane w analizie ryzyka.

Przykład 1.

Pracownik postanawia automatycznie rozpoznawać tekst w dokumentach w formie papierowej. Z racji na dane osobowe czy inne informacje ważne dla firmy takie działanie może zostać oparte o lokalny model. Wymagana jest również kontrola dostępu do plików źródłowych oraz otrzymanego tekstu.

Przykład 2.

Pracownik postanawia poprosić chatbota AI o pomoc w odpisaniu na maila w obcym języku pod kątem sprawdzenia gramatyki i interpunkcji. W takiej sytuacji powinien usunąć jakiekolwiek dane osobowe czy inne informacje ważne dla organizacji – informacje nigdy nie powinny znaleźć się w tzw. prompcie (zapytaniu). Zasady korzystania z takich rozwiązań powinien określić administrator, wraz z ewentualnym zawarciem umowy powierzenia przetwarzania danych osobowych z wybranym dostawcą.

Polecamy:

Roczna składka zdrowotna - zasady wyliczania

Jak w praktyce wdrożyć szyfrowanie danych w firmie...
Kwiecień 2026
30
Czwartek
  • Dzień ustawowo wolny od pracy
  • ZUS (spółki akcyjne, spółki z o.o., spółdzielnie, stowarzyszenia, fundacje)
  • Podatek dochodowy
  • PIT 4
  • PIT 8A
  • ZUS (jednoosobowa działalność gospodarcza, spółki: cywilne, jawne, partnerskie, kamandytowe, komandytowo-akcyjne)
  • VAT 7
  • VAT 7K
  • VAT UE (elektroniczna)
  • PIT 28
  • PIT 36
  • PIT 36L
Wyświetl artykuły z tego dnia
Zobacz wszystkie

Najchętniej czytane

  1. System Zarządzania Bezpieczeństwem Informacji (SZBI) w praktyce
  2. Anonimizacja danych – jak poprawnie zabezpieczyć dokumenty firmowe?
  3. NIS2 i KSC2 w Polsce: Sprawdź w kilka minut czy Twoja firma podlega ustawom
  4. Jak wygląda procedura reagowania na incydenty według dyrektywy NIS 2?
  5. Monitoring wizyjny: RODO, cyberbezpieczeństwo i ochrona danych
Zobacz wszystkie

Kalkulatory

Zobacz wszystkie kalkulatory

Wzory dokumentów

Zobacz wszystkie wzory

Cyberbezpieczeństwo

Jak w praktyce wdrożyć szyfrowanie danych w firmie?

Kalkulatory Wzory umów Wskaźniki Porady online

Patronaty

SEO Vibes Summit ’26 już w maju – ruszyła promocja Last Call na wszystkie bilety!
semKRK#24 BIG już 3 czerwca! Bądź z nami w Starej Zajezdni
Między faktem a fałszem: jak weryfikować rzeczywistość w cyfrowym świecie? XXVI Kongres Public Relations w Rzeszowie
Handel pod presją kosztów, regulacji i technologii. Przed nami 8. Kongres Nowoczesnej Dystrybucji
CTRL+GROW wraca do Warszawy – 9 kwietnia odbędzie się 7. edycja eventu z branży SEO × AI × Biznes Zobacz wszystkie
Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów