Shadow AI w polskich firmach: pracownicy używają AI bez Twojej wiedzy

Pracownik europejskiego banku wkleił do darmowego ChatGPT komplet danych klienta: PESEL, salda kont, treści umów. Nikt w firmie o tym nie wiedział. Opisuje to serwis eGospodarka.pl w analizie Shadow AI w polskich firmach z 2025 roku.

Według raportu firmy AMP o Shadow AI w Polsce z 2025 roku ta scena rozgrywa się dziś w setkach polskich firm każdego tygodnia.

69% pracowników w Polsce korzysta z narzędzi AI bez wiedzy działu IT, a 72% wkleiło treści firmowe do ChatGPT lub Gemini bez oceny ryzyka. Po 10 latach prowadzenia transformacji cyfrowych w polskich firmach widzę ten sam wzorzec: technologia weszła do organizacji szybciej niż zasady, które miały ją kontrolować.

W tym tekście pokażę Ci, co Twoi ludzie naprawdę robią z ChatGPT i Claude, jakie dane przez to wyciekają, co od sierpnia 2026 zmienia AI Act i jak wdrożyć AI bezpiecznie. Po drodze nawiązuję do tekstu o generatywnej AI w firmach, gdzie pokazałam, jak Polacy realnie używają tej technologii.

Mała uwaga na start: ChatGPT i Claude pojawiają się w tym artykule wielokrotnie, ale to tylko przykłady. Wszystko, co tu opisuję, dotyczy w równym stopniu Gemini, Perplexity, Copilota i innych dużych modeli językowych (LLM) dostępnych na rynku. Mechanizm Shadow AI, ryzyka i obowiązki prawne są takie same niezależnie od marki. ChatGPT i Claude służą mi tylko jako najbardziej rozpoznawalne ilustracje.

Skala zjawiska: ilu pracowników w Polsce już używa ChataGPT bez Twojej wiedzy

Polska perspektywa: 55%, 69%, 72%

55% polskich pracowników korzystających z AI ukrywa to przed pracodawcą, prezentując wygenerowane treści jako własne. Tak wynika z raportu KPMG i University of Melbourne z 2025 roku na 1 082 osobach z Polski.

69% pracowników w Polsce używa AI bez wiedzy działu IT, a 72% wkleiło dane firmowe do publicznego ChatGPT lub Gemini bez oceny ryzyka. Te liczby pochodzą z raportu polskiej firmy AMP o Shadow AI z 2025 roku.

90% polskich pracowników nie zna przepisów dotyczących AI, jak pokazuje pełny raport KPMG AI Trust 2025. Tylko 1 na 3 polskie firmy ma formalne zasady używania AI.

Globalny kontekst dla porównania

77% pracowników wkleja wrażliwe dane firmowe, w tym numery kart i dane osobowe klientów, do narzędzi GenAI z prywatnych kont. Tak wynika z analizy LayerX Security z 2025 roku. 1 na 5 organizacji już doświadczyła incydentu związanego z nieautoryzowanym AI, a średni koszt naruszenia z udziałem Shadow AI to 4,63 mln USD - o 670 tys. wyższy niż przy niskim poziomie Shadow AI, według raportu IBM Cost of a Data Breach 2025.

Jeżeli zatrudniasz więcej niż 3 osoby pracujące z komputerem, ktoś u Ciebie używa ChatGPT lub Claude do zadań firmowych. Pytanie nie brzmi czy, tylko ile - i do czego.

Co Twoi pracownicy naprawdę robią z ChatGPT i Claude

Przez ostatnie lata, prowadząc projekty transformacji cyfrowych, zebrałam listę realnych zastosowań, na podstawie własnych obserwacji. Oto co najczęściej widziałam.

Marketing i sprzedaż

• Pisanie ofert handlowych z wklejonym cennikiem, marżami i danymi klienta

• Tłumaczenie umów z klientami zagranicznymi (pełna treść wklejona do prompta)

• Analiza konkurencji z wewnętrznym raportem sprzedaży

HR i rekrutacja

• Przeglądanie CV kandydatów (imię, nazwisko, telefon, historia pracy)

• Pisanie ocen okresowych z wewnętrznymi nazwami procesów

• Generowanie pytań rekrutacyjnych z danymi kandydata

Finanse i administracja

• Wyjaśnianie faktur i wyciągów bankowych klientów

• Tłumaczenie maili od kontrahentów wraz z numerami kont i danymi NIP

• Generowanie tabel w Excelu na podstawie wklejonych danych sprzedaży

IT i development

• Wklejanie kodu z wewnętrznych repozytoriów (klucze API, dane logowania)

• Debugowanie błędów z logami produkcyjnymi zawierającymi dane klientów

• Generowanie zapytań SQL na realnych schematach baz

Obsługa klienta i prawne

• Pisanie odpowiedzi na reklamacje z pełnymi danymi sprawy klienta

• Streszczanie pism procesowych i opinii prawnych

Każda z tych czynności sama w sobie ma sens. Problem zaczyna się w momencie wybrania narzędzia. Darmowy ChatGPT to dla firmy zupełnie inna kategoria ryzyka niż wersja Enterprise. Jeżeli chcesz przegląd alternatyw, mam dla Ciebie osobny tekst o narzędziach AI dla firm.

Co realnie się dzieje z danymi, które wklejasz do darmowego ChatGPT

Tłumaczę tę różnicę klientom w następujący sposób. Wyobraź sobie dwa pokoje.

W pierwszym wszystko, co powiesz, jest nagrywane i może zostać użyte do uczenia kolejnych pracowników. W drugim rozmowa zostaje między Tobą a Twoim partnerem. Pierwszy to darmowy ChatGPT. Drugi to ChatGPT Enterprise.

Domyślnie Twoje rozmowy trenują model

Darmowe konta ChatGPT, Plus, Go i Pro mają dane domyślnie używane do trenowania modeli. Opt-out istnieje, ale działa tylko na przyszłość - dane już użyte do treningu nie znikają. Tak opisuje to oficjalne FAQ OpenAI o kontroli danych z 2026 roku.

Konta Business, Enterprise, Edu i API nie używają danych do treningu domyślnie. Dostępna jest umowa DPA, wymagana przez RODO przy każdym przetwarzaniu danych osobowych przez podmiot trzeci, jak wynika ze strony OpenAI Enterprise Privacy. OpenAI nie oferuje DPA dla darmowego ChatGPT. Jeżeli Twój pracownik wkleja tam dane klientów, łamiesz art. 28 RODO.

Co to znaczy w praktyce

Wklejony fragment umowy z klientem może pojawić się w odpowiedzi innego użytkownika modelu za pół roku. Numery PESEL, dane medyczne i hasła trafiają na serwery poza Unią Europejską. W lipcu 2025 roku błąd w funkcji udostępniania rozmów ChatGPT spowodował indeksację tych rozmów w wyszukiwarce Google, jak pokazuje oś czasu incydentów prowadzona przez Cybersecurity For Me. W 2024 roku Group-IB znalazła ponad 225 tysięcy skradzionych loginów do OpenAI na dark webie.

Wklejasz raz. Zostaje na zawsze. Modeli nie da się odpiąć od danych, na których się uczyły.

Realne wycieki: co się stało, kiedy firma nie miała polityki AI

Pokazuję 3 udokumentowane przypadki, żeby nie straszyć Cię abstrakcją.

Samsung, kwiecień 2023: kod źródłowy do publicznego ChatGPT

W ciągu 20 dni od dopuszczenia ChatGPT inżynierowie Samsunga wkleili w 3 osobnych zdarzeniach: kod źródłowy programu pomiarowego, kod identyfikujący wadliwy sprzęt oraz transkrypcję spotkania zarządu. Konsekwencja: zakaz ChatGPT na urządzeniach służbowych i limit 1024 bajtów na prompt. Sprawę opisuje analiza CIO Dive o wycieku Samsunga.

Europejski bank, 2025: dane klienta z PESEL-em

Pracownik wkleił komplet danych klienta: PESEL, salda kont, treści umów - żeby szybciej odpowiedzieć na zapytanie. Konsekwencja: zgłoszenie do organu nadzoru i ryzyko kary z RODO. Przypadek opisany w cytowanym wcześniej raporcie AMP o Shadow AI w Polsce.

Cyberhaven, 2024: statystyka, która powinna dać Ci do myślenia

Firmy z 100 tysiącami pracowników udostępniają wrażliwe dane do ChatGPT setki razy w tygodniu, jak opisuje analiza IntuitionLabs o zapobieganiu wyciekom z ChatGPT. W mojej praktyce w polskich MŚP skala jest proporcjonalnie taka sama, tylko nikt jej nie mierzy.

Sektory zawodowe szczególnie narażone

Prawnicy ryzykują złamanie tajemnicy zawodowej i odpowiedzialność cywilną. Lekarze narażają się na sankcje izby lekarskiej. Doradcy finansowi łamią tajemnicę zawodową regulowaną przez Komisję Nadzoru Finansowego.

AI Act i RODO: co Ci grozi od 2 sierpnia 2026

To realne daty wpisane do unijnego rozporządzenia.

Trzy daty, które musisz znać

• 2 lutego 2025 zaczął obowiązywać zakaz wybranych praktyk AI oraz wymóg kompetencji zastosowania AI w firmach

• 2 sierpnia 2025 weszły obowiązki dla dostawców modeli ogólnego przeznaczenia (GPAI), czyli OpenAI, Anthropic i Google

• 2 sierpnia 2026 to pełne zastosowanie większości przepisów AI Act, w tym dla firm wykorzystujących, czyli Ciebie. Pełny harmonogram opisuje oficjalny harmonogram wdrożenia AI Act.

Co dotyczy Twojej firmy MŚP

Jeżeli używasz ChatGPT, Claude lub Gemini, jesteś wykorzystującym GPAI. Masz obowiązki dokumentacyjne, nadzoru ludzkiego i klasyfikacji ryzyka, jak opisuje ramy regulacyjne AI Komisji Europejskiej. Jeżeli używasz AI do screeningu CV lub oceny pracowników, masz system wysokiego ryzyka z dodatkowymi obowiązkami. RODO i AI Act obowiązują równolegle i nie znoszą się nawzajem.

Polski nadzór i kary

Nadzór sprawuje UODO oraz nowa Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji (KRiBSI) przy Ministerstwie Cyfryzacji. Kary sięgają 35 mln EUR lub 7% globalnego rocznego obrotu za zakazane praktyki. Dla MŚP obowiązuje zasada proporcjonalności, ale realna kara dla firmy z obrotem 50 mln zł może wynieść 500 tys. - 1,5 mln zł.

W sierpniu 2026 Twój pracownik wklejający dane klienta do darmowego ChatGPT staje się dwoma osobnymi naruszeniami: RODO i AI Act.

Jak wdrożyć AI w MŚP bezpiecznie i pod kontrolą

Po 10 latach prowadzenia transformacji cyfrowych mam jedną pewną obserwację. Zakaz ChatGPT to gwarancja jeszcze większego Shadow AI. Ludzie po prostu zaczynają używać go z prywatnego telefonu lub komputera. Jedyny realnie pomocny scenariusz to wdrożenie alternatywy, która jest bezpieczna i wystarczająco dobra, żeby zespół nie miał powodu jej obchodzić.

Pokazuję Ci framework, który stosujemy w nauczymycie.ai u klientów MŚP.

Krok 1: Audyt, czyli co i przez kogo jest już używane

Zacznij od anonimowej ankiety wśród zespołów: jakich narzędzi używają, do jakich zadań, w jakich danych. Następnie zeskanuj ruch sieciowy, żeby zobaczyć, jakie domeny AI są najczęściej odwiedzane. Ten krok w mojej praktyce zajmuje 2 tygodnie i daje konkretną mapę punktu wyjścia.

Krok 2: Polityka AI, czyli jeden dokument na 5 stron prostym językiem

Lista zatwierdzonych narzędzi (np. ChatGPT Enterprise, Microsoft 365 Copilot, Gemini for Workspace). Lista zakazanych danych (dane osobowe klientów, kod produkcyjny, dane finansowe, dane medyczne). Procedura zgłaszania nowych narzędzi. Konsekwencje naruszenia. Tyle. Zawsze powtarzam klientom prostą zasadę: polityka, której nikt nie czyta, jest gorsza od braku polityki.

Krok 3: Wybór płatnego narzędzia z DPA

To najważniejsza decyzja całego procesu. ChatGPT Business lub Enterprise, Claude, Microsoft 365 Copilot, Google Gemini for Workspace mają DPA i nie używają danych do treningu. Koszt zaczyna się od 25 USD miesięcznie (około 90 PLN) na użytkownika, czyli mniej niż godzina pracy księgowej. Warto też skonfigurować Zero Data Retention (ZDR), logi audytowe i integrację z Active Directory.

Krok 4: Szkolenie zespołu, czyli krok najczęściej pomijany

90% pracowników w Polsce nie zna przepisów AI. Polityka bez przeszkolenia nie zadziała. Sprawdza się 2-godzinny warsztat dla całego zespołu plus krótkie przypomnienia kwartalne. Pokazujemy 3 rzeczy: co wolno, co nie wolno, gdzie zgłaszać wątpliwości. Więcej o tym, jak komunikować zmianę AI w organizacji, opisałam w tekście o wdrażaniu AI w korporacji.

Krok 5: Pomiar i regularny przegląd

KPI, które monitoruję u klientów: liczba incydentów Shadow AI miesiąc do miesiąca, liczba zatwierdzonych nowych narzędzi, procent zespołu po szkoleniu. Politykę przeglądamy co 6 miesięcy, bo AI Act i narzędzia zmieniają się szybciej niż roczne procesy. Cały framework na 90 dni opisałam w tekście o AI w biznesie.

Shadow AI w polskich firmach nie zniknie przez zakaz wysłany na Slack/Teams - tylko wtedy, kiedy zaproponujesz pracownikom lepszą i bezpieczniejszą alternatywę, której nie będą musieli ukrywać.

Jak zacząć w Twojej firmie

Pierwsze 30 dni decyduje o tym, czy Shadow AI zacznie się u Ciebie kurczyć czy rosnąć.

Trzy działania na pierwszy miesiąc:

• Anonimowa ankieta wśród zespołu, żeby zobaczyć realny stan

• Wybór płatnego narzędzia AI z DPA i konfiguracja ZDR

• 2-godzinny warsztat ze wszystkimi pracownikami o tym, co wolno i czego nie wolno

Chcesz, żeby Twój zespół przestał wklejać dane firmowe do darmowego ChatGPT? W nauczymycie.ai prowadzimy szkolenia AI dla biznesu, które przeprowadzą Twoich ludzi od audytu do gotowej polityki w 4-6 tygodni.

Jeżeli chcesz uniknąć Shadow AI i wdrożyć AI w swojej firmie bezpiecznie oraz skutecznie, sprawdź pełną ofertę nauczymycie.ai i zapraszamy do kontaktu. Pomożemy Ci zaprojektować politykę AI, wybrać odpowiednie narzędzia z DPA i przeszkolić zespół, żeby AI w Twojej organizacji pracowało pod kontrolą, a nie obok niej.

Najczęściej zadawane pytania o Shadow AI w firmie

Czy darmowy ChatGPT jest legalny w polskich firmach?

Sam fakt używania nie jest zakazany, ale przetwarzanie w nim danych osobowych klientów bez umowy DPA łamie art. 28 RODO. OpenAI nie oferuje DPA dla darmowego konta.

Co to jest Shadow AI i czym różni się od Shadow IT?

Shadow IT to używanie nieautoryzowanych aplikacji w pracy. Shadow AI to ta sama logika, ale dotyczy narzędzi AI takich jak ChatGPT, Gemini czy Claude. Skala jest większa, bo każdy ma w przeglądarce dostęp do darmowego ChatGPT.

Czy ChatGPT Enterprise używa moich danych do treningu?

Nie. ChatGPT Business, Enterprise, Edu i API domyślnie nie używają danych klientów do trenowania. Możesz też włączyć Zero Data Retention, żeby dane nie były przechowywane na serwerach OpenAI dłużej niż na czas obsługi zapytania.

Jaka jest kara za wyciek danych przez ChatGPT?

Kara z RODO sięga 4% globalnego obrotu lub 20 mln EUR (około 85 mln PLN). Od sierpnia 2026 dochodzą kary z AI Act: do 35 mln EUR lub 7% obrotu. Dla polskiego MŚP z obrotem 50 mln zł realna kara to 500 tys. - 1,5 mln zł.

Czy zakaz ChatGPT w firmie ma sens?

Zakaz bez alternatywy nie działa. Ludzie zaczynają używać ChatGPT z prywatnego telefonu, co jest jeszcze gorsze, bo nie zostawia śladu. Zamiast zakazu wdróż płatną alternatywę z DPA i przeszkól zespół.

Od czego zacząć wdrożenie polityki AI w MŚP?

Zacznij od anonimowej ankiety i mapy używanych narzędzi. Potem rozpisz politykę na 5 stronach, wybierz płatne narzędzie z DPA i przeszkol cały zespół. Cały proces w średniej firmie MŚP zajmuje 4-6 tygodni.

Wdróż AI w swojej firmie bezpiecznie

Shadow AI zniknie wtedy, kiedy zaproponujesz zespołowi lepszą, bezpieczną alternatywę. Jeżeli chcesz uniknąć wycieków danych i wdrożyć AI w sposób, który realnie zmieni produktywność Twoich ludzi, zapraszam Cię do kontaktu. W nauczymycie.ai prowadzimy szkolenia dopasowane do Twojej branży, wielkości firmy i punktu startu - od pierwszego audytu po gotową politykę i przeszkolony zespół.