6 lipca 2026
Bezpieczny PoC AI w 30 dni: plan wdrożenia krok po kroku
Bezpieczny PoC AI w 30 dni to sposób, by sprawdzić jeden proces na realnym wycinku danych — bez wchodzenia na produkcję, z ograniczoną ekspozycją danych i budżetu. Wybierasz jeden proces, spisujesz shadow AI, przygotowujesz mały zbiór danych, budujesz dowód działania na wycinku, mierzysz jakość ewaluacjami, dodajesz guardrails i logi, a na koniec podejmujesz świadomą decyzję go/no-go. To wpis wdrożeniowy, nie kolejny tekst o AI Act: pokazuje, co powstaje którego dnia, kto za to odpowiada i jakie ryzyko domykasz.
Po co PoC, a nie od razu wdrożenie
PoC (proof of concept) to najtańszy moment, by dowiedzieć się, czy AI faktycznie pomoże w Twoim procesie — zanim wydasz budżet wdrożeniowy. Audyt gotowości AI ustala, co warto wdrożyć; PoC udowadnia to na jednym, dobrze wybranym wycinku i pokazuje jak to działa na Twoich danych. Jeszcze przed dniem 1 sklasyfikuj ryzyko procesu — większość obowiązków AI Act zaczyna obowiązywać od 2 sierpnia 2026 — żeby PoC od początku miał właściwe kontrole, a przypadek, który do PoC się nie nadaje, świadomie odłożyć.
Plan 30 dni: co powstaje, kto odpowiada, jakie ryzyko
To ramowy plan, nie sztywny harmonogram — zakres jednego procesu i stan danych przesuwają daty. „Właściciel” to rola po Twojej stronie plus konsultant; solo konsultant nie zastępuje Twojego właściciela procesu ani IT.
| Dni | Artefakt | Właściciel | Ryzyko, które domykasz |
|---|---|---|---|
| 1–5 | Wybór procesu + rejestr shadow AI | Właściciel procesu + konsultant | Zły wybór przypadku; dane wyciekające przez prywatne narzędzia |
| 6–10 | Wycinek danych z uprawnieniami | Właściciel danych + IT/bezpieczeństwo | Dane wrażliwe, brak podstawy przetwarzania, złe źródło prawdy |
| 11–20 | PoC na wycinku + zestaw referencyjny (golden set) | Konsultant + właściciel procesu | „Działa” oparte na przeczuciu zamiast na pomiarze |
| 21–25 | Ewaluacje + guardrails + logi | Konsultant + IT | Halucynacje, brak audytowalności, brak granic działania |
| 26–30 | Koszt jednostkowy + decyzja go/no-go | Zarząd + IT + konsultant | Wejście w produkcję bez kryteriów i bez kosztu |
Tydzień 1: wybór procesu i audyt shadow AI
Wybierz jeden proces powtarzalny, z mierzalnym efektem i danymi, które wolno użyć — obsługa zapytań, wyszukiwanie wiedzy, praca na dokumentach. Równolegle spisz shadow AI: narzędzia AI używane poza wiedzą IT. Bez tego rejestru ani bezpieczeństwo danych, ani zgodność nie są policzalne. Zrób to jako konkretny artefakt, nie sekcję o strachu — prosta tabela wystarczy:
| Narzędzie | Kto używa | Jakie dane wychodzą | Decyzja |
|---|---|---|---|
| Publiczny chatbot | Dział handlowy | Fragmenty ofert, dane klientów | Zastąpić wersją firmową / ograniczyć |
| Wtyczka do notatek | Zespół produktu | Notatki ze spotkań | Sprawdzić warunki, ustalić granicę |
| Prywatne konto AI | Pojedyncze osoby | Nieznane | Zinwentaryzować, uregulować polityką |
Zakres trzech poziomów współpracy — audyt, wdrożenie, retainer — opisujemy na stronie usług.
Tydzień 2: dane na wycinku, nie na całości
PoC na jednym, uporządkowanym zbiorze powie Ci więcej niż indeks wszystkiego naraz. Weź mały, reprezentatywny wycinek: kilkadziesiąt do kilkuset dokumentów, które naprawdę odpowiadają na pytania z wybranego procesu. Sprawdź źródła, uprawnienia, jakość i aktualność — pełną checklistę opisaliśmy w gotowości danych do RAG. Jeśli dane są brudne na wycinku, będą brudne na całości — i lepiej wiedzieć to teraz. Jak budujemy odpowiedzi ze źródłem na firmowych dokumentach, pokazujemy na stronie RAG / bazy wiedzy.
Tydzień 3: PoC, ewaluacje i guardrails
Dopiero teraz budujesz dowód działania — celowo późno, bo bez danych i kryteriów PoC nic nie znaczy. Ułóż zestaw referencyjny (golden set): realne pytania, oczekiwane odpowiedzi i źródła. Zmierz jakość: trafność wyszukiwania, ugruntowanie odpowiedzi w źródłach, poprawność cytowań i kontrolę halucynacji — pięć metryk i metodę opisujemy osobno. Dodaj guardrails (granice tematu, filtrowanie danych wrażliwych, poprawna odmowa „nie wiem”) i logi każdej odpowiedzi ze źródłem. Na etapie PoC trzymaj system w trybie tylko do odczytu — agenci, którzy działają w systemach, to osobny, późniejszy etap z własnym nadzorem.
Tydzień 4: logi, koszt i decyzja go/no-go
Policz koszt jednostkowy (koszt jednej odpowiedzi/operacji) na realnych danych, nie z cennika. Potem podejmij decyzję — i potraktuj ją poważnie. Go/no-go to prawdziwa decyzja, nie happy end: no-go jest tanim sukcesem, bo kosztuje ułamek nieudanego wdrożenia. Zapisz kryteria odrzucenia z góry:
- ewaluacje poniżej progu (np. za dużo błędnych cytowań lub halucynacji),
- dane zbyt brudne, by je uporządkować w rozsądnym budżecie,
- koszt jednostkowy wyższy niż wartość, jaką proces przynosi.
To, że taka dyscyplina — ewaluacje, guardrails, logi — działa w produkcji, wiemy z własnego systemu: w mojApteczce ekstrakcja danych z opakowania leku kosztuje 0,0006 USD za skan przy 100% skuteczności na zbiorze walidacyjnym (n=200), a produkcyjna baza wiedzy liczy 302 516 rekordów. Te liczby nie wzięły się z promptu, tylko z tej samej dyscypliny, którą PoC ma sprawdzić — co naprawdę kosztuje GenAI na produkcji.
Czego PoC nie załatwia
Udany PoC to dowód, że warto wdrażać — nie sama zgodność i nie produkcja. Klasy ryzyka, dokumentacji i nadzoru wymaganych przez AI Act nie zastąpi prototyp; domyka się je dopiero wdrożeniem. PoC daje za to podstawę świadomej decyzji: wiesz, co działa, po jakim koszcie i czego jeszcze brakuje do produkcji.
Najczęstsze pytania
Czy PoC AI musi używać danych produkcyjnych?
Nie musi używać pełnej produkcji — wystarczy mały, reprezentatywny wycinek realnych danych z odwzorowanymi uprawnieniami. Dane syntetyczne bywają pomocne na start, ale nie pokażą prawdziwej jakości ani ryzyka; realny wycinek pokaże jedno i drugie przy ograniczonej ekspozycji.
Jak ograniczyć shadow AI?
Zacznij od rejestru: narzędzie, kto używa, jakie dane wychodzą. Dopiero z tym obrazem podejmujesz decyzje — zastąpić wersją firmową, ograniczyć zakres danych albo uregulować polityką. Bez rejestru zakaz jest pozorny, a dane i tak wyciekają.
Kiedy PoC powinien przejść do produkcji?
Gdy ewaluacje są powtarzalnie powyżej progu, koszt jednostkowy jest niższy niż wartość procesu, a guardrails i logi działają. Jeśli którykolwiek warunek nie jest spełniony, produkcją jest domknięcie tego warunku, nie skalowanie wątpliwego PoC.
Jak mierzyć jakość RAG?
Pięcioma miarami: trafność wyszukiwania, ugruntowanie odpowiedzi w źródłach, poprawność cytowań, kontrola halucynacji i poprawna odmowa. Podstawą jest zestaw referencyjny — metodę opisujemy tutaj.
Czy PoC wystarczy do AI Act?
Nie. PoC może pokazać, że system da się zbudować zgodnie z wymogami, ale klasyfikacji ryzyka, dokumentacji i nadzoru wymaganych przez AI Act nie zastępuje — te obowiązki domyka się na etapie wdrożenia.
Co dalej
Jak prowadzimy audyt, wdrożenie i utrzymanie — trzy poziomy współpracy — opisujemy na stronie usług. Chcesz przejść ten plan na swoim procesie? Napisz do nas — odpowiadamy w jeden dzień roboczy.