Polskie firmy wchodzą w fazę, w której wdrażanie AI nie jest już eksperymentem, lecz zadaniem compliance, bezpieczeństwa i architektury systemowej. Raport EY pokazuje, że ponad 70% średnich i dużych firm w Polsce podejmuje dziś działania związane z AI Act, a jednocześnie rośnie zainteresowanie rozwiązaniami, które można uruchamiać lokalnie, na własnej infrastrukturze.
Kluczowe liczby z badania
Trzecia edycja badania EY obejmuje 497 firm w Polsce i pokazuje wyraźne przyspieszenie przygotowań do nowych regulacji. 31% firm rozpoczęło wdrożenie AI Act, 40% jest w trakcie prac, a tylko 8% odkłada temat na później; to oznacza, że ponad 70% organizacji ma już temat regulacji w toku. EY wskazuje też, że odsetek firm, które rozpoczęły wdrożenia, wzrósł z 29% do 31%, a tych będących w trakcie prac z 29% do 40%, co razem daje wzrost o 13 punktów procentowych rok do roku.
Po stronie barier 32% organizacji wskazuje compliance jako czynnik utrudniający wdrożenie AI, a 34% uważa, że pełne dostosowanie do AI Act będzie pracochłonne i wymusi zmiany w procesach wewnętrznych oraz biznesowych. W szerszym raporcie EY firmy najczęściej wskazują także bezpieczeństwo danych i cyberbezpieczeństwo, które razem z trudnościami technologicznymi oraz deficytem kompetencji tworzą główną listę przeszkód dla skalowania AI. To właśnie ten zestaw problemów sprawia, że część organizacji zaczyna szukać większej niezależności w modelach open-source i wdrożeniach lokalnych.
Najbardziej zaawansowane branże
W badaniu EY najwięcej wdrożeń AI pojawia się w obszarze IT, a znacznie rzadziej w działach compliance i procesach prawno-proceduralnych, gdzie odsetek wynosił jedynie 8%. To ważna różnica, bo pokazuje, że technologia szybciej trafia do obszarów operacyjnych niż do funkcji odpowiedzialnych za kontrolę ryzyka. W praktyce oznacza to, że wiele firm rozwija AI szybciej niż własne mechanizmy zarządzania zgodnością.
Sektory regulowane, takie jak finanse i produkcja, mają szczególnie dobre warunki do wdrażania lokalnego AI. W tych branżach decyzje biznesowe często zależą od kontroli nad danymi, ścieżką ich przetwarzania i możliwością audytu całego procesu, a to łatwiej osiągnąć przy hostingu on-premise niż w publicznej chmurze. Własny serwer upraszcza też dopasowanie architektury do wymogów bezpieczeństwa, retencji i segmentacji danych.
W branżach o wysokiej wrażliwości danych model lokalny nie jest modą technologiczną, ale sposobem na ograniczenie ekspozycji informacji poza organizację.
To szczególnie istotne tam, gdzie AI wspiera analizę dokumentów, kontrolę jakości, klasyfikację zgłoszeń albo automatyzację procesów decyzyjnych. Im bardziej regulowany sektor, tym większa wartość z pełnej kontroli nad modelem, logami i integracjami z systemami źródłowymi.
Najczęstsze błędy compliance
Najpoważniejszym błędem jest traktowanie AI jak zwykłego narzędzia IT bez analizy skutków prawnych i organizacyjnych. EY podkreśla, że organizacje muszą przeglądać używane rozwiązania, klasyfikować je, wdrażać polityki i procedury zarządzania ryzykiem oraz nadzoru, a nie tylko kupować dostęp do modelu lub uruchamiać kolejne piloty. Brak tej warstwy prowadzi do sytuacji, w której technologia działa, ale organizacja nie ma nad nią pełnej kontroli.
Drugi błąd dotyczy przesyłania danych wrażliwych do zewnętrznych API. Jeśli dział HR wysyła dane kandydatów, oceny okresowe albo dane dyscyplinarne do usług takich jak OpenAI czy Gemini, firma zwiększa ryzyko naruszenia tajemnicy, zasad minimalizacji danych i obowiązków wynikających z przepisów o ochronie danych. W praktyce problemem nie jest sam model, lecz to, że dane opuszczają kontrolowane środowisko organizacji.
Trzeci błąd to mit, że lokalne uruchomienie modelu automatycznie rozwiązuje problem zgodności. Tak nie jest: jeśli system jest używany do zadań wysokiego ryzyka, na przykład do oceny CV, rankingowania kandydatów albo wspierania decyzji kadrowych, organizacja nadal staje się wdrażającym i musi spełnić obowiązki wynikające z AI Act. Obejmuje to ocenę wpływu na prawa podstawowe, czyli FRIA, oraz wprowadzenie skutecznego nadzoru ludzkiego, niezależnie od tego, czy model stoi w chmurze, czy na serwerze w firmowej serwerowni.
RODO i AI Act razem
AI Act i RODO nie zastępują się nawzajem, tylko działają równolegle. W systemach wysokiego ryzyka AI Act wymaga technicznej możliwości automatycznego rejestrowania zdarzeń przez cały cykl życia systemu, a rejestry mają wspierać identyfikację ryzyka, monitorowanie po wdrożeniu i nadzór nad działaniem systemu. Jednocześnie RODO wymaga ograniczania zakresu danych do niezbędnego minimum, więc firmy muszą znaleźć równowagę między audytowalnością a minimalizacją.
To właśnie tutaj lokalny hosting daje przewagę organizacyjną. Gdy firma kontroluje własny serwer, może lepiej projektować pseudonimizację logów, ustawiać krótszą i uzasadnioną retencję oraz ograniczać dostęp do zapisów zdarzeń tylko do uprawnionych osób. Przy modelach działających u zewnętrznych gigantów technologicznych taka kontrola jest trudniejsza, bo organizacja nie zarządza pełnym stosem technicznym ani polityką przetwarzania po stronie dostawcy.
| Obszar | Wymóg / ryzyko | Znaczenie dla lokalnego AI |
|---|---|---|
| AI Act | Rejestrowanie zdarzeń w systemach wysokiego ryzyka | Łatwiejszy dostęp do logów i pełna kontrola nad ich strukturą |
| RODO | Minimalizacja danych i ograniczenie retencji | Prostsza pseudonimizacja oraz krótszy, kontrolowany czas przechowywania |
| Compliance | Audyt, nadzór, ścieżka odpowiedzialności | Łatwiejsze przypisanie odpowiedzialności w środowisku on-premise |
Lokalne modele w praktyce
Lokalny model open-source, taki jak Llama 3, nie rozwiązuje wszystkich problemów, ale porządkuje najważniejsze warstwy ryzyka. Daje większą przewidywalność kosztową, mniejszą zależność od zewnętrznych dostawców i lepszą kontrolę nad przepływem danych. W wielu organizacjach to wystarczający powód, by przynajmniej część zastosowań przenieść z publicznych API do środowiska wewnętrznego.
Najlepiej sprawdza się to w zadaniach, w których dane są poufne, a model nie musi korzystać z internetu ani ciągłych aktualizacji z chmury. Dotyczy to na przykład klasyfikacji dokumentów, analizy wewnętrznych procedur, wyszukiwania wiedzy w repozytoriach firmowych czy wsparcia pracowników w bezpiecznym środowisku. W takich scenariuszach lokalny AI łączy korzyści operacyjne z większą kontrolą nad zgodnością.
Wnioski dla firm
Raport EY pokazuje, że polski rynek wszedł w etap regulacyjnej mobilizacji, a nie tylko testów technologicznych. Firmy widzą korzyści z AI, ale równolegle rosną koszty zgodności, presja na bezpieczeństwo danych i potrzeba uporządkowania procesów wewnętrznych. W tym kontekście lokalne wdrożenia open-source nie są ucieczką od AI Act, lecz sposobem na lepsze przygotowanie się do jego wymagań.
Najbardziej racjonalna strategia to rozdzielenie przypadków użycia: mniej wrażliwe zadania można kierować do usług zewnętrznych, a procesy krytyczne dla danych, zgodności i tajemnicy przedsiębiorstwa przenosić do infrastruktury własnej. Taki model nie eliminuje obowiązków prawnych, ale daje firmie większą kontrolę nad tym, jak te obowiązki realizuje.
Źródła
- Firmy w Polsce przyspieszają w dostosowaniu się do AI Act – EY
- Raport EY: Jak polskie firmy wdrażają AI | EY – Polska
- AI Act Service Desk – Artykuł 12: Rejestrowanie zdarzeń
- Article 12: Record-Keeping | EU Artificial Intelligence Act
