Projekt NOWEFIO · 2026–2028 · Blok 5

Bezpieczeństwo
AI i RODO

Świadomie, legalnie, bez strachu

Materiał do prowadzenia 3-dniowego zjazdu. RODO, AI Act i audyt — zamieniamy lęk w gotową politykę AI organizacji.

NOWE FIONIW-CRSOKomitet ds. Pożytku PublicznegoSGM
Ilustracja AI: bezpieczeństwo i ochrona danych
O tym bloku

Wyjdź z trzema gotowymi dokumentami

  • Polityka AI organizacji
  • Procedura bezpieczeństwa danych
  • Model corocznego audytu cyfrowego
🎯 To wprost wskaźniki projektu: 60 NGO z polityką AI, 60 z procedurą bezpieczeństwa, 40 z modelem audytu. Dziś je tworzymy.
Beskidy o świcie
Plan

Trzy dni: od zasad do dokumentów

01
Dzień 1

RODO + AI

Co wolno, czego nie. Dane w modelach. Transfer poza UE. UODO.

02
Dzień 2

AI Act

Harmonogram, klasyfikacja ryzyka, obowiązki, audyt zgodności.

03
Dzień 3

Polityka i audyt

Polityka AI, procedura bezpieczeństwa, model audytu, plan 30 dni.

Każdy dzień: ~30% teorii, 70% praktyki. Trzy ćwiczenia po ~45 minut.

Dlaczego ten blok

Strach przed RODO blokuje, a AI Act już obowiązuje

62%
NGO obawia się RODO, praw autorskich i poufności
2.02.
2025
już obowiązuje Art. 4 AI Act: kompetencje AI personelu
2.08.
2026
obowiązki dla systemów wysokiego ryzyka
3
dokumenty, z którymi wyjdziesz z tego zjazdu
Dobra wiadomość: większość zastosowań AI w NGO to ryzyko minimalne/ograniczone — bez ciężkich obowiązków. Wystarczy świadomość i kilka dokumentów.

Źródła: diagnoza wniosku ADAIwpop; AI Act (rozp. UE 2024/1689); UODO. Liczby orientacyjne.

UODO — sztuczna inteligencja a ochrona danych
Dzień pierwszy

01 · RODO + AI

RODO nie zakazuje AI. Wymaga świadomego używania.

Fundament

RODO + AI: 5 zasad

  • Podstawa prawna — czy wolno przetwarzać te dane?
  • Minimalizacja — tylko tyle, ile trzeba
  • Nadzór człowieka — model nie decyduje sam
  • Transparentność — informuj o użyciu AI
  • Ocena ryzyka (DPIA) — przy ryzykownych zastosowaniach
Złota zasada

Nie wklejaj danych osobowych beneficjentów, darczyńców i pracowników do publicznych modeli AI bez podstawy prawnej i umowy. Anonimizuj.

Konkret

Co wolno wrzucać, czego nie

✅ Zwykle OK

  • Teksty publiczne i jawne
  • Dane zanonimizowane / zagregowane
  • Własne szkice i pomysły

⛔ Ostrożnie / NIE

  • Dane osobowe (beneficjenci, darczyńcy, zespół)
  • Dane wrażliwe (zdrowie, sytuacja socjalna)
  • Poufne dokumenty i umowy
🌍 Większość narzędzi przetwarza dane w USA — transfer poza UE wymaga podstaw (standardowe klauzule umowne). Płatne plany biznesowe często oferują tryb bez treningu na danych.
UODO — AI a ochrona danych
Polski nadzór

UODO i Ministerstwo Cyfryzacji

  • UODO czuwa nad AI w kontekście danych osobowych
  • Grupa robocza ds. AI + zapowiedziane wytyczne
  • To tam szukaj oficjalnych wskazówek dla NGO
uodo.gov.pl/pl/p/sztuczna-inteligencja
🛠 Ćwiczenie 1 · ~45 min

Audyt „co wrzucamy do AI"

  • 1. Wypisz, do czego Twoja organizacja używa (lub chce używać) AI
  • 2. Przy każdym zaznacz: czy pojawiają się dane osobowe?
  • 3. Oznacz: ✅ OK / ⚠️ wymaga anonimizacji / ⛔ nie wolno
  • 4. Zaproponuj poprawkę dla każdego ⚠️ i ⛔
  • 5. Podziel się: gdzie było największe ryzyko?
Beskidy — krajobraz
Dzień drugi

02 · AI Act

Pierwsze prawo UE o AI — i co realnie oznacza dla NGO.

Prawo, które już działa

AI Act — harmonogram

1.08.2024Wejście w życie (obowiązuje wprost, bez ustawy krajowej)
2.02.2025Zakaz systemów o niedopuszczalnym ryzyku + Art. 4: kompetencje AI personelu
2.08.2026Obowiązki dla systemów wysokiego ryzyka
Kary najcięższe: do €35 mln / 7% obrotu. Nadzór w Polsce: UODO + Ministerstwo Cyfryzacji.
Cztery poziomy

Klasyfikacja ryzyka AI

PoziomPrzykładyObowiązki
NiedopuszczalneScoring społeczny, manipulacjaZakazane
WysokieRekrutacja, ocena w edukacjiŚcisłe wymogi
OgraniczoneChatboty, treści generowaneObowiązek oznaczenia
MinimalnePisanie, grafika, automatyzacjaBez obowiązków
Większość zastosowań NGO = minimalne lub ograniczone. Główny obowiązek: oznaczać treści AI i mieć kompetencje (Art. 4).
Jak się sprawdzić

Audyt zgodności — co przejrzeć

  • Inwentaryzacja — jakie systemy AI używamy?
  • Klasyfikacja ryzyka każdego z nich
  • Dokumentacja i rejestr (kto, do czego)
  • Nadzór człowieka w decyzjach
  • Oznaczanie treści AI
  • Kompetencje zespołu (szkolenia)
Dla NGO to nie korporacyjny audyt — to prosta lista kontrolna, którą przechodzicie raz w roku.
🛠 Ćwiczenie 2 · ~45 min

Klasyfikacja ryzyka Twoich zastosowań

  • 1. Weź listę zastosowań AI z Ćwiczenia 1
  • 2. Przypisz każdemu poziom ryzyka (4 poziomy)
  • 3. Dla „ograniczonych" zapisz, jak oznaczysz treści AI
  • 4. Sprawdź Art. 4: czy zespół ma kompetencje? co dokształcić?
  • 5. Podziel się: czy coś jest wyższego ryzyka, niż myśleliście?
Spokój, zaufanie, trwałość
Dzień trzeci

03 · Polityka i audyt

Trzy dokumenty, które zostają z organizacją na lata.

Dokument 1

Polityka AI organizacji

  • Dozwolone narzędzia
  • Jakie dane wolno / nie wolno
  • Oznaczanie treści AI
  • Weryfikacja faktów przed publikacją
  • Odpowiedzialność — kto zatwierdza
  • Prawa autorskie / licencje
  • Prywatność — opt-out z treningu
  • Szkolenia (AI Act art. 4)
1–2 strony, dokument żywy. Wskaźnik: 60 NGO z polityką AI. Możesz poprosić AI o pierwszą wersję!
Dokument 2

Procedura bezpieczeństwa danych

  • Gdzie trzymamy dane i kto ma dostęp
  • Hasła + 2FA, konta organizacyjne (nie prywatne)
  • Opt-out z treningu w ustawieniach narzędzi AI
  • Reakcja na incydent — co robimy, gdy coś wycieknie
Wskaźnik: 60 NGO z procedurą bezpieczeństwa danych. Małe nawyki, duża ochrona.
Dokument 3

Model corocznego audytu cyfrowego

Raz w roku, prosta checklista: co używamy, jakie ryzyko, czy dane bezpieczne, czego dokształcić.

Roczna checklista
  • Inwentaryzacja narzędzi AI
  • Klasyfikacja ryzyka
  • Przegląd zgód i danych
  • Stan kompetencji zespołu
  • Plan poprawek na kolejny rok
Wskaźnik: 40 NGO z modelem corocznego audytu cyfrowego. Trwałość projektu w jednym dokumencie.
Od wiedzy do działania

Plan wdrożenia w 30 dni

ElementPrzykład
Dokument 1Polityka AI — 1 strona, zatwierdzona przez zarząd
Dokument 2Procedura bezpieczeństwa + włączone 2FA i opt-out
Dokument 3Szablon audytu + data pierwszego przeglądu
Osobaopiekun AI/danych w organizacji
Przeglądza 30 dni z mentorem
Zacznij od polityki AI — reszta z niej wynika.
🛠 Ćwiczenie 3 · ~45 min

Szkic polityki AI + procedury + audytu

  • A. Napisz jednostronicową politykę AI (możesz użyć AI do szkicu)
  • B. Dopisz procedurę bezpieczeństwa (dane, dostępy, 2FA, incydent)
  • C. Ustal harmonogram audytu i jego checklistę
  • D. Zapisz 3 pytania do mentora i wyznacz opiekuna AI
Po zjeździe

Co dalej w programie

Sprawdź wiedzę

Post-test

Porównamy z pre-testem — mierzymy przyrost wiedzy.

Wsparcie 1:1

Mentoring

~3 h online — dopracujemy Wasze dokumenty.

Zasoby

Narzędziownik AI

Szablony polityki AI, procedury i audytu — gotowe do adaptacji.

📜 Certyfikat po pełnym udziale. To finałowy blok programu — gratulacje!
Zapamiętaj

5 rzeczy do zabrania ze sobą

  • RODO nie zakazuje AI — wymaga świadomości
  • Anonimizuj — dane osobowe nie idą do publicznych modeli
  • Większość zastosowań NGO = ryzyko minimalne (ale oznaczaj treści AI)
  • Art. 4 obowiązuje — kompetencje zespołu się liczą
  • Polityka + procedura + audyt = spokój i trwałość
Rzetelność

Źródła

  • AI Act — rozporządzenie UE 2024/1689 (harmonogram, klasyfikacja ryzyka)
  • UODO — sztuczna inteligencja a ochrona danych · uodo.gov.pl
  • RODO + praktyki audytu zgodności i governance AI (2026)

Materiał edukacyjny, nie stanowi porady prawnej. W razie wątpliwości skonsultuj IOD/prawnika. Screeny: strony instytucji (2026). Ilustracje tytułowe: model FLUX.1 (Hugging Face).

Dziękujemy

Algorytmy Dobra

Bezpieczeństwo AI i RODO

Pytania? Mentoring? kontakt@mediagroup.org.pl
Koordynator: Piotr Czarnojańczyk · 606 227 437

NOWE FIONIW-CRSOKomitet ds. Pożytku PublicznegoGodło RPSGM
1 / 24
Strzałki / spacja · N notatki trenera · F pełny ekran
Algorytmy Dobra · Blok 5 — Bezpieczeństwo AI i RODO Dofinansowano ze środków NIW-CRSO w ramach NOWEFIO 2021–2030