ChatGPT w urzędzie? Tak, ale już nie „na własną rękę”
To nie jest temat tylko dla Warszawy, ministerstw i wielkich miast. Od 3 kwietnia 2026 roku zaczyna obowiązywać nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa, a wraz z nią nowe obowiązki dla podmiotów publicznych i kierownictwa instytucji. W praktyce oznacza to, że temat może dotyczyć także naszych samorządów, ich jednostek, bibliotek, ośrodków czy spółek komunalnych — a nawet tego, jak urzędnicy korzystają dziś z narzędzi AI.
Od 3 kwietnia 2026 roku zaczyna obowiązywać nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa. Ministerstwo Cyfryzacji podkreśla, że od tego dnia rusza harmonogram nowych obowiązków dla podmiotów objętych przepisami, a celem zmian jest lepsza ochrona danych, usług i systemów, z których korzystają mieszkańcy każdego dnia.
I to nie jest sprawa „gdzieś wysoko”, daleko od naszego regionu. Ustawa obejmuje sektor podmiotów publicznych, a w załączniku wymienia m.in. samorządowe jednostki budżetowe, samorządowe instytucje kultury oraz spółki wykonujące zadania użyteczności publicznej. To znaczy, że w praktyce temat może dotyczyć nie tylko urzędów gmin i miast, ale także części jednostek podległych samorządom — także w takich miejscach jak Jordanów, gmina Jordanów czy gmina Bystra-Sidzina.
Najmocniejsza zmiana jest taka, że odpowiedzialność przestaje być anonimowa. Nowe przepisy wprowadzają odpowiedzialność kierowników za realizację zadań z zakresu cyberbezpieczeństwa, a w przypadku podmiotów publicznych kara pieniężna dla kierownika może sięgnąć do 100 proc. jego wynagrodzenia, liczonego według zasad ekwiwalentu za urlop. Równocześnie Ministerstwo Cyfryzacji zaznacza, że w przypadku większości obowiązków administracyjne kary pieniężne będą mogły być nakładane dopiero po 3 kwietnia 2028 roku, więc jest czas na przygotowanie, ale nie na udawanie, że problem nie istnieje.
Ważne są też terminy. Do 3 października 2026 roku podmioty kluczowe i ważne mają czas na złożenie wniosku o wpis do wykazu. Do 3 kwietnia 2027 roku muszą wdrożyć obowiązki wynikające z nowych przepisów, a do 3 kwietnia 2028 roku podmioty kluczowe mają przeprowadzić pierwszy obowiązkowy audyt cyberbezpieczeństwa. Ustawa przewiduje też bardzo krótkie terminy raportowania incydentów — nawet 24 godziny na wczesne ostrzeżenie i 72 godziny na zgłoszenie incydentu poważnego w przypadkach, w których przepisy tego wymagają.
Ale dziś największy problem często nie wygląda jak filmowy atak hakera. Czasem zaczyna się dużo prościej: ktoś chce szybciej napisać pismo, skrócić notatkę, poprawić odpowiedź do mieszkańca albo streścić dokument. I wtedy pojawia się pokusa, by wrzucić treść do publicznego narzędzia AI. ChatGPT, Microsoft Copilot, Gemini, Claude, Perplexity, NotebookLM, DeepL Write czy Canva Magic Write są łatwo dostępne i kuszą wygodą. Same w sobie nie są problemem. Problem zaczyna się wtedy, gdy ktoś używa ich bez zasad, z prywatnego konta i z danymi, które nie powinny tam trafić.
I właśnie dlatego pojęcie „shadow AI” brzmi dziś tak poważnie. Chodzi o sytuację, w której pracownik korzysta z AI poza oficjalnymi procedurami — niby po to, żeby ułatwić sobie pracę, ale w praktyce może narazić urząd, bibliotekę, OPS czy inną jednostkę na wyciek danych, błąd proceduralny albo problem z rozliczeniem incydentu. To nie musi być zła wola. Czasem wystarczy pośpiech, rutyna i brak jasnych zasad. A z tym, jak pokazują najnowsze badania NASK, administracja nadal ma problem.
Z jednej strony urzędnicy już korzystają z AI i widzą w nim realną pomoc. Według raportu NASK niemal połowa badanych pracowników administracji używała narzędzi generatywnej AI zawodowo w ostatnich sześciu miesiącach, a wśród pracowników urzędów samorządowych było to 50 proc. Najbardziej pożądane zastosowania to praca z dokumentami i wyszukiwanie informacji w dokumentach urzędowych. Z drugiej strony jednymi z najczęściej wskazywanych barier są brak regulacji prawnych oraz brak albo niejasność wewnętrznych procedur dotyczących korzystania z AI w urzędach.
To pokazuje jedną prostą rzecz: AI w urzędzie nie jest już pieśnią przyszłości. Ono tam już jest. Pytanie nie brzmi więc, czy pracownicy będą korzystać z takich narzędzi, tylko czy gmina, miasto albo jednostka zrobią to mądrze. Czy będą szkolenia. Czy pojawią się jasne wytyczne. Czy ktoś powie wprost, czego nie wolno wklejać do zewnętrznego systemu. Czy będą bezpieczne, zatwierdzone narzędzia i odpowiedzialność po stronie kierownictwa.
Dobra wiadomość jest taka, że samorządy i instytucje nie są z tym same. Ministerstwo Cyfryzacji i partnerzy prowadzą szkolenia dla kadr podmiotów krajowego systemu cyberbezpieczeństwa — od cyberhigieny dla wszystkich pracowników po zajęcia dla kadry zarządzającej i specjalistów IT. W harmonogramie są również szkolenia dotyczące zagrożeń związanych ze stosowaniem narzędzi AI. Dostępne są też materiały, poradniki i wsparcie publikowane w rządowych serwisach poświęconych cyberbezpieczeństwu.
Dla mieszkańców najważniejsze jest jednak co innego. Ta ustawa nie dotyczy tylko komputerów, haseł i informatyków. Ona dotyczy zaufania. Tego, czy nasze dane są bezpieczne. Czy urząd umie zareagować na atak. Czy biblioteka, ośrodek, szkoła albo spółka komunalna nie staną nagle z powodu jednego kliknięcia. I czy sztuczna inteligencja będzie dla samorządu wsparciem, czy tykającym problemem schowanym pod biurkiem.
Źródła: NASK, PAP, Dziennik Ustaw. Opracowanie własne.
