Wzorzec polityki AI w czterdziestu sześciu stronach. Co polska kancelaria bierze, a co musi dopisać sama.

Polski adwokat coraz częściej dostaje pytanie, którego rok temu jeszcze nie było. Klient korporacyjny prosi o pomoc w napisaniu wewnętrznej polityki AI - bo zarząd zażyczył sobie, bo ubezpieczyciel pyta, bo audytor unijny zagląda w listopadzie. Druga sytuacja jest jeszcze ciekawsza: ten sam adwokat zdaje sobie sprawę, że jego własna kancelaria, która wpuszcza Copilota do Outlooka i ChatGPT do researchu wstępnego, nie ma własnej polityki AI. Na obu biurkach leży to samo pytanie - od czego zacząć.

Responsible AI Institute publikuje pierwszy draft AI Policy Template w czerwcu 2024 roku. Czterdzieści sześć stron, czternaście rozdziałów, aneks, strony do podpisu sygnatariuszy. Recenzja MateMatic czyta to nie jako pracę akademicką, tylko jako narzędzie operacyjne - co bierzemy w całości, co przepisujemy pod polski kontekst, czego brakuje i kto musi to dopisać.

O czym jest ten materiał

Template jest zbudowany jak korporacyjny dokument zgodności - każda klauzula ma puste pola [organization name] __________ do wpisania danych organizacji, a w przypisach są referencje do konkretnych klauzul ISO/IEC 42001 i konkretnych funkcji NIST AI RMF (MAP, MEASURE, MANAGE, GOVERN). To nie jest esej o tym, jak myśleć o AI - to jest wzorzec do podpisu zarządu.

Czternaście rozdziałów grupuje się w cztery warstwy:

• Warstwa fundamentu - I. Purpose and Scope, II. AI Principles, III. AI Objectives and Strategy. Definicja AI w organizacji, zasady etyczne (przejrzystość, sprawiedliwość, kontrola człowieka, bezpieczeństwo), strategia z mierzalnymi KPI.
• Warstwa operacyjna - IV. Governance, V. Data Management, VI. Risk Management. Struktura komitetów (Steering + Operational), zarządzanie zbiorami danych, metodyka oceny ryzyka oparta o AI Impact Assessment (AIIA).
• Warstwa cyklu życia - VII. Project Management, VIII. Stakeholder Management, IX. Workforce Management, X. Regulatory Compliance, XI. AI Procurement. Bramki zatwierdzeń (governance gates), konsultacje z interesariuszami, kompetencje pracowników, zgodność regulacyjna, zakup AI od dostawców.
• Warstwa zamknięcia - XII. Documentation Management, XIII. Review and Enforcement, XIV. Conclusion. Inwentarze (AI system inventory, IIR database), proces przeglądu polityki, strony sygnatur.

Każda klauzula jest zapisana językiem normatywnym - "shall be established", "shall convene every", "shall document". To język polityki, nie poradnika. Adwokat polski rozpozna ten styl natychmiast - to jest dokument, którego klauzule będą egzekwowane.

Recenzja właściwa

Najmocniejsza warstwa - Governance (rozdział IV)

RAII rozdziela władzę nad AI w organizacji na dwa komitety. Steering Committee spotyka się co dwa miesiące, ustala strategię AI, definiuje ryzyko-tolerancję organizacji, alokuje budżet i zasoby, planuje kompetencje. Operational Committee spotyka się co dwa tygodnie, zatwierdza progresję poszczególnych systemów AI przez bramki rozwoju, zarządza inwentarzami systemów i incydentów, prowadzi szkolenia. Skład Operational Committee to "Head of Information Security, Head of Procurement, Legal, Head of HR" - czyli przekrój funkcyjny, nie tylko technologiczny.

Dla 200-osobowej kancelarii lub średniego klienta korporacyjnego ten model działa wprost. Dla 10-osobowej kancelarii adwokackiej trzeba go zwinąć - jeden zespół roboczy raz w miesiącu, partner zarządzający + IT + osoba odpowiedzialna za RODO. Ale sam pomysł rozdzielenia strategii od egzekucji jest obowiązkowy nawet w małej organizacji. Bez tego polityka AI staje się dokumentem w segregatorze, którego nikt nie czyta po podpisie.

Najmocniejsza klauzula operacyjna - AI Impact Assessment (rozdział VI)

RAII buduje cały rozdział VI wokół AIIA - oceny wpływu, która jest analogonem DPIA z RODO, ale obejmuje też ryzyka niefinansowe i niezwiązane z danymi osobowymi. AIIA wymaga, żeby organizacja zdefiniowała własną impact taxonomy z severity score, łączyła wpływy organizacyjne z wpływami na osoby, grupy i społeczeństwa, i prowadziła AIIA "at the inception of an AI initiative and continuously updated throughout the AI life cycle".

To jest punkt, w którym polski adwokat rozpoznaje swoją pracę. AIIA z template'u RAII nakłada się na DPIA z art. 35 RODO tam, gdzie system AI przetwarza dane osobowe, i na FRIA (Fundamental Rights Impact Assessment) z art. 27 AI Act dla systemów wysokiego ryzyka. Template wprost dopuszcza możliwość, żeby AIIA była komplementarna z innymi ocenami, "compatible with, but distinct from, other existing impact or risk assessments". Polski klient korporacyjny dostaje od kancelarii jedną zintegrowaną ocenę - AIIA + DPIA + FRIA - opartą o wzorzec RAII, ale z polskim kontekstem.

Najmocniejsza klauzula procesowa - AI Procurement (rozdział XI)

Rozdział XI jest dla kancelarii praktycznym złotem. RAII wymaga, żeby procurement team prowadził Responsible Supplier Assessment dla każdego dostawcy AI, zbierał wystarczające informacje do przeprowadzenia Low-Touch AI Impact Assessment, ustalał progi maturity i ryzyka, dla których relacja jest dopuszczalna, i negocjował warunki zawierające: "delineation of liability and responsibility for corrective action in downstream impacts; data sharing, deletion, and privacy agreements; PII processor or controller role; force majeure clause; termination clause".

To jest dokładnie checklist'a, którą kancelaria może postawić przed klientem przy negocjacji umowy z dostawcą LegalTech albo SaaS z AI w środku. Tom BW/037 (Michaels/Saeri/Slattery, MIT AIRI Navigator) i tomy o audycie LegalTech (BW/034 Kumaran, BW/035 Laban) dostarczają warstwy diagnostycznej - czego szukać; rozdział XI RAII dostarcza warstwy umownej - jak to zapisać w kontrakcie.

Najmocniejsza klauzula dokumentacyjna - inwentarze (rozdział XII)

RAII wymaga prowadzenia kilku inwentarzy: AI system inventory, data inventory, project inventory, AI Incident, Impact, and Risk (IIR) database. Każdy system w organizacji ma być wpisany z metadanymi: rola organizacji (Provider, Deployer, Importer, Distributor - to zresztą terminologia AI Act), zakres zastosowania, target audience, business value, intended purpose. Dla każdego incydentu - data, opis, severity, akcja korygująca.

Ten rozdział to jest fundament obrony pozycji prawnej organizacji w razie skargi do UODO, kontroli sektorowej KNF/UKE albo sporu sądowego. Bez inwentarza kancelaria reprezentująca klienta nie ma na czym budować argumentacji. Z inwentarzem ma listę systemów, listę ocen, listę incydentów i listę akcji korygujących - dokumenty, które sąd akceptuje.

Czego brakuje - i kto musi to dopisać

Template RAII jest amerykański. To nie jest wada - to fakt, który polski adwokat musi rozpoznać i nadrobić. Cztery brakujące warstwy:

Brak warstwy RODO. Rozdział V (Data Management) opisuje provenance, jakość, security i procurement zbiorów danych, ale traktuje dane osobowe jako jeden z typów ("includes sensitive personal identifiable information (PII)"). Polska polityka AI musi mieć osobny rozdział - Dane osobowe i AI - oparty o art. 5, 6, 9, 22, 25, 32, 35 RODO i wytyczne EROD. Bez tego dokument nie pójdzie pod podpis polskiego DPO.

Brak warstwy AI Act. Template wspomina AI Act jednym zdaniem w rozdziale o roli organizacji (Provider/Deployer), ale nie operacjonalizuje wymagań - klasyfikacja systemów na zakazane / wysokiego ryzyka / ograniczonego ryzyka / minimalnego ryzyka, obowiązki Providers (art. 16 AI Act), obowiązki Deployers (art. 26), FRIA (art. 27), rejestracja w bazie EU (art. 71), AI literacy (art. 4), kary. Polska polityka AI w 2026 roku musi mieć osobny rozdział mapowania na AI Act z timelinem zastosowania - 2 lutego 2025 (zakazy), 2 sierpnia 2026 (większość przepisów), 2 sierpnia 2027 (high-risk AI w produktach regulowanych).

Brak warstwy zawodowej. Kancelaria adwokacka i radcowska podlega rygorom, których RAII nie zna. Tajemnica adwokacka z art. 6 Prawa o adwokaturze i radcowskiej z art. 3 ustawy o radcach prawnych zakazuje przekazywania informacji klienta osobom trzecim - co ma fundamentalne implikacje dla każdego dostawcy AI w stacku kancelarii (czy dane treningowe? czy log promptu? czy modele zapamiętują?). Kodeks Etyki Adwokackiej i Kodeks Etyki Radcy Prawnego nakładają na prawnika obowiązek osobistej staranności, którego nie da się delegować na model. Polska polityka AI w kancelarii ma rozdział, który w template'cie RAII nie istnieje - Tajemnica zawodowa i AI.

Brak warstwy sektorowej. RAII nie zna polskich wytycznych UODO o przetwarzaniu danych przez systemy AI, rekomendacji KNF dla sektora finansowego, wytycznych UKE dla sektora telekomunikacyjnego, standardów Ministerstwa Cyfryzacji dla zamówień publicznych z AI. Polska polityka kancelarii reprezentującej klienta z regulowanego sektora dopisuje warstwę sektorową jako osobny aneks.

Komu polecam, komu odradzam

Kancelaria, która ma klienta korporacyjnego potrzebującego polityki AI - bierze RAII Template jako szkielet, dopisuje cztery brakujące warstwy (RODO, AI Act, zawodowa nie ich dotyczy, sektorowa). Praca po stronie adwokata: 30-50% objętości dokumentu finalnego. RAII daje strukturę i dyscyplinę normatywną, polski kontekst musi dojść z zewnątrz.

Kancelaria, która sama potrzebuje polityki AI - bierze rozdziały IV, VI, XI, XII (Governance, Risk Management, Procurement, Documentation) i kompresuje resztę. Dopisuje rozdział "Tajemnica zawodowa i AI" jako osobny pierwszy rozdział, a nie jako klauzulę gdzieś w środku. Wynik: 15-25 stron polityki AI dla 10-50-osobowej kancelarii.

Klient na własną rękę bez kancelarii - odradzam wprost. Template wymaga adaptacji w wielu miejscach, a fail-points są ukryte w odsyłaczach do ISO 42001 i NIST AI RMF (każda klauzula ma footnote z numerem paragrafu standardu). Bez kogoś, kto zna te standardy operacyjnie, organizacja podpisuje dokument, który nie jest w pełni spójny ze standardem, którego się wiedzy operacyjnie nie zna. To jest dokładnie sytuacja, w której klauzule AI Act o "appropriate technical and organizational measures" stają się ryzykiem, nie tarczą.

Powiązanie z innymi tomami Bazy Wiedzy

RAII Template jest komplementarny z kilkoma tomami BW. BW/008 (Bird & Bird AI Act Guide) i BW/013 (FAQ AI Act Service Desk) dostarczają warstwy AI Act, której RAII nie ma. BW/029 (CoE CDDH Handbook) dostarcza warstwy praw człowieka i EKPC, której RAII nie pokrywa. BW/030 (ENISA Security Playbook) dostarcza warstwy ISO 27001 i security klauzul kontraktowych, które template ma w wersji ogólnej. BW/037 (MIT AIRI Navigator) dostarcza diagnostycznej bazy ryzyk dla rozdziału VI. BW/034 (Kumaran) i BW/035 (Laban) dostarczają konkretnych pytań audytowych do dostawców AI, którymi można uzupełnić Responsible Supplier Assessment z rozdziału XI.

Innymi słowy: kto ma BW jako bibliotekę referencyjną, ma wszystkie elementy potrzebne do napisania polskiej polityki AI dla klienta korporacyjnego. RAII Template porządkuje je w jeden dokument-szkielet, na którym te elementy się zaczepiają.