Odpowiedzialność D&O a AI: Co powinni wiedzieć europejscy dyrektorzy
Członkowie rad nadzorczych ponoszą osobistą odpowiedzialność za brak governance AI na gruncie KSH art. 293 i art. 483, niezależnie od tego, czy delegowali nadzór do CTO. Delegowanie pracy nie deleguje odpowiedzialności prawnej. W miarę jak EU AI Act wchodzi w fazę egzekwowania, a ubezpieczyciele D&O włączają pytania o governance AI do ocen ryzyka, rady bez udokumentowanych ram nadzoru AI budują ekspozycję powierniczą, która dotyczy każdego członka z osobna.
Polska spółka z segmentu mid-market wdraża system rekrutacyjny oparty na AI. System przetwarza 4 000 aplikacji w ciągu osiemnastu miesięcy. Dostawca renomowany, konfiguracja przeprowadzona przez dział IT, zatwierdzenie przez CTO. Rada nadzorcza nie była informowana o logice decyzyjnej systemu. Zarząd nie ustanowił ram governance obejmujących wdrożenia AI.
Kandydat składa skargę do Państwowej Inspekcji Pracy, powołując się na dyskryminację w procesie rekrutacji na gruncie art. 183a Kodeksu pracy, który zakazuje nierównego traktowania w zatrudnieniu ze względu na cechy chronione. Rzecznik Praw Obywatelskich wszczyna postępowanie wyjaśniające. Analiza wykazuje, że system systematycznie obniżał oceny kandydatów z określonych grup demograficznych. Regulator otwiera równoległe postępowanie na gruncie Rozporządzenia w sprawie AI (EU AI Act), które klasyfikuje screening kadrowy jako system AI wysokiego ryzyka. Kary na gruncie EU AI Act mogą sięgać 35 mln EUR lub 7% globalnego rocznego obrotu firmy. [Źródło: EU AI Act, art. 99, 2024] Spółka stoi przed karami finansowymi, szkodą reputacyjną i sporami sądowymi.
Wówczas pytania docierają na posiedzenie rady nadzorczej. Jaki governance ustanowiła rada nad systemami AI? Jaki nadzór sprawowali członkowie rady nad wdrożeniami wysokiego ryzyka? Jakie decyzje podjęła rada w sprawie tego systemu? Jakie dowody istnieją, że rada wypełniła obowiązek należytej staranności w odniesieniu do AI?
CTO wyjaśnia, że rada oddelegowała decyzje dotyczące AI do funkcji technologicznej. Zewnętrzny radca prawny spółki przekazuje radzie stanowisko, z którym nikt nie chce się zmierzyć: delegowanie pracy nie jest równoznaczne z delegowaniem odpowiedzialności prawnej. Obowiązki powiernicze pozostają przy każdym członku rady indywidualnie. Na gruncie KSH art. 293 członkowie zarządu ponoszą odpowiedzialność za szkodę wyrządzoną spółce działaniem lub zaniechaniem sprzecznym z prawem lub postanowieniami statutu. Na gruncie KSH art. 483 ten sam standard dotyczy członków rady nadzorczej. Spółka może ponieść kary regulacyjne. Członkowie rady ponoszą odpowiedzialność osobistą. Nie problem spółki jako takiej. Problem każdego członka rady z osobna. [Źródło: KSH art. 293, art. 483; Dz.U. 2000 nr 94 poz. 1037]
Obowiązki powiernicze w kontekście AI
Europejscy członkowie rad działają w ramach obowiązków powierniczych, które poprzedzają sztuczną inteligencję o stulecia. Obowiązek staranności wymaga od członków rady działania z należytą starannością, wymaganą od rozsądnego uczestnika obrotu gospodarczego. Obowiązek lojalności wymaga działania w interesie spółki, nie we własnym. Te obowiązki są ustanowione w krajowych kodeksach prawa handlowego na terenie Europy, w tym w polskim Kodeksie spółek handlowych (KSH), niemieckiej Ustawie o spółkach akcyjnych (AktG) i brytyjskiej Ustawie o spółkach z 2006 roku (Companies Act 2006).
AI nie zmieniła tych obowiązków. Zmieniła to, czego wymagają w praktyce.
Obowiązek staranności a nadzór nad AI
Obowiązek staranności zobowiązuje członków rady do dochowania rozsądnej staranności w nadzorowaniu działalności spółki. „Rozsądna” to standard zmienny, ewoluujący wraz z praktyką obrotu gospodarczego. Dwadzieścia lat temu rozsądna staranność nie wymagała nadzoru rady nad cyberbezpieczeństwem. Dziś wymaga. Ta sama zmiana następuje w odniesieniu do AI.
Obowiązek staranności członka rady wobec AI obejmuje obecnie rozumienie portfolio AI organizacji, ustanowienie governance proporcjonalnego do ryzyka AI oraz podejmowanie świadomych decyzji dotyczących wdrożeń AI o istotnym ryzyku. Na gruncie KSH art. 293 (zarząd) i art. 483 (rada nadzorcza) członkowie organów ponoszą odpowiedzialność za szkodę wyrządzoną spółce działaniem lub zaniechaniem sprzecznym z prawem lub postanowieniami statutu. Zaniechanie ustanowienia governance AI, gdy portfolio AI organizacji tego wymaga, może stanowić takie zaniechanie. Na gruncie art. 382 KSH rada nadzorcza sprawuje stały nadzór nad działalnością spółki we wszystkich dziedzinach jej działalności, co w dzisiejszych warunkach obejmuje nadzór nad wdrożeniami AI o materialnym wpływie na spółkę. [Źródło: KSH art. 382, Dz.U. 2000 nr 94 poz. 1037]
Według badania KPMG z 2025 roku 78% europejskich organizacji planowało zwiększyć inwestycje w AI w ciągu najbliższych dwóch lat, co oznacza, że ekspozycja rad na ryzyko związane z AI rośnie proporcjonalnie do tempa adopcji. [Źródło: KPMG CEO Outlook, 2025]
Standard nie wymaga doskonałości. Członkowie rady nie muszą rozumieć algorytmów uczenia maszynowego. Muszą zadawać świadome pytania, zapewniać istnienie struktur governance i podejmować decyzje na podstawie adekwatnej informacji. Zasada osądu biznesowego (business judgment rule), uznawana w europejskich jurysdykcjach w zróżnicowanych formach, chroni członków rady, którzy podejmują świadome, działające w dobrej wierze decyzje, które okazują się nietrafne. Kluczowe jest słowo „świadome”. Rada, która nie potrafi określić, jakie systemy AI organizacja eksploatuje, jakie ryzyka te systemy generują ani jaki governance je obejmuje, nie może powołać się na świadomy osąd w kwestiach dotyczących AI. Dobre Praktyki Spółek Notowanych na GPW 2021 (zasada 3.1) oczekują od rady nadzorczej prowadzenia nadzoru nad ryzykiem i systemami kontroli wewnętrznej, co obejmuje nowe kategorie ryzyka technologicznego. [Źródło: Dobre Praktyki GPW 2021, zasada 3.1; GPW, 2021]
Polskie sądy rozwijają własne standardy oceny staranności członków organów spółek w kontekście nowych technologii. Choć orzecznictwo dotyczące AI jest na wczesnym etapie, dotychczasowe linie orzecznicze w zakresie odpowiedzialności członków zarządu za zaniechania nadzorcze wskazują kierunek, w którym sądy będą oceniać brak governance AI jako potencjalne naruszenie obowiązku staranności. [Źródło: KSH art. 293, art. 382, art. 483; ocena ekspercka oparta na europejskich zasadach corporate governance i orzecznictwie polskim]
Obowiązek lojalności a unikanie governance AI
Obowiązek lojalności wymaga od członków rady działania w interesie spółki. To zobowiązanie rozciąga się na decyzje dotyczące architektury governance.
Gdy rada unika governance AI, ponieważ temat jest złożony lub nieznany, to unikanie może służyć wygodzie rady, nie interesowi spółki. Rada, która deleguje nadzór nad AI do CTO, aby nie angażować się w trudny temat, dokonuje wyboru governance, który przedkłada komfort rady nad potrzebę spółki w zakresie uporządkowanego nadzoru. Tam, gdzie wdrożenie AI niesie istotne ryzyko (ekspozycja regulacyjna na gruncie EU AI Act, odpowiedzialność z tytułu dyskryminacji, szkoda reputacyjna), obowiązek lojalności może wymagać od rady bezpośredniego zaangażowania, nawet gdy temat wykracza poza dotychczasowe kompetencje członków rady. W polskim kontekście UODO wielokrotnie podkreślał znaczenie proaktywnego podejścia do ochrony danych w systemach zautomatyzowanego przetwarzania, co wzmacnia argument za zaangażowaniem rady w nadzór nad AI przetwarzającą dane osobowe. [Źródło: UODO, stanowiska w sprawie art. 22 RODO, 2023-2025]
Nie oznacza to, że każda rada musi stać się biegła technicznie. Oznacza, że rady muszą zapewnić istnienie kompetentnego nadzoru i mieć zdolność oceny, czy ten nadzór funkcjonuje prawidłowo. Różnica między delegowaniem zadania z zachowaniem nadzoru a abdykacją z odpowiedzialności bez nadzoru to granica między lojalnością wobec interesu spółki a lojalnością wobec komfortu rady. [Źródło: Ocena ekspercka oparta na europejskich standardach corporate governance]
Zasada osądu biznesowego a kompetencje AI rady
Zasada osądu biznesowego (business judgment rule) chroni członków rady w przypadku decyzji podejmowanych w dobrej wierze, na podstawie adekwatnej informacji i w uczciwym przekonaniu, że decyzja służy spółce. Sądy stosujące ten standard badają proces, nie wynik. Czy członkowie rady uzyskali adekwatną informację? Czy przeprowadzili naradę? Czy działali bez konfliktów interesów?
W przypadku decyzji dotyczących AI wymóg „adekwatnej informacji” tworzy praktyczny próg: kompetencje AI rady. Rada, która nie odbyła szkolenia z zakresu AI, nie przeprowadziła oceny portfolio AI organizacji i nie ustanowiła ram governance, ma słabe podstawy do twierdzenia, że decyzje dotyczące AI były podejmowane na świadomej podstawie. Ramowy Model Oceny Governance AI dla Rad Nadzorczych opracowany przez The Thinking Company ocenia governance doradcze na 4,5/5,0 w zakresie kompetencji AI rady, ponieważ buduje ono świadomą podstawę wymaganą przez zasadę osądu biznesowego. Podejście compliance-first uzyskuje 2,0 na tym samym czynniku, odzwierciedlając briefingi regulacyjne, które nie budują strategicznego rozumienia. Podejście delegacji technologicznej uzyskuje 1,5, odzwierciedlając celowy brak edukacji rady, który definiuje model delegacji. [Źródło: The Thinking Company Board AI Governance Evaluation Framework, v1.0]
Pułapka delegacji
To jest centralny argument artykułu. Dotyczy postawy governance, która generuje największe osobiste ryzyko dla indywidualnych członków rady: delegacji technologicznej.
Gdy rada deleguje AI do CTO, deleguje pracę. Nie deleguje odpowiedzialności. To rozróżnienie jest ustanowione w prawie spółek w europejskich jurysdykcjach. Na gruncie unijnych standardów governance i polskiego prawa spółek rady nie mogą outsourcować obowiązków powierniczych. Obowiązek nadzorczy rady nadzorczej z art. 382 KSH trwa niezależnie od wewnętrznych ustaleń delegacyjnych. Odpowiedzialność członka zarządu na gruncie KSH art. 293 ma charakter osobisty i nie może być przeniesiona umownie na podwładnego.
Ramowy Model Oceny Governance AI dla Rad Nadzorczych opracowany przez The Thinking Company ocenia delegację technologiczną na 1,5/5,0 w zakresie odpowiedzialności powierniczej, co stanowi najniższy wynik wśród ustrukturyzowanych podejść, ponieważ delegowanie nadzoru nad AI do CTO przenosi pracę bez przeniesienia odpowiedzialności prawnej, która pozostaje przy indywidualnych członkach rady.
Zagrożenie ma charakter strukturalny. Rada w modelu delegacji technologicznej wierzy, że zaadresowała governance AI. „Mamy osobę, która się tym zajmuje” to domyślne założenie. CTO jest kompetentny. Zespół technologiczny sprawny. Rada oddelegowała do wykwalifikowanych ludzi. Pod względem operacyjnym to rozumowanie jest sensowne. Pod względem prawnym jest bez znaczenia. Powierniczy obowiązek nadzoru nie przenosi się przez hierarchię organizacyjną.
Rozważmy, co dzieje się, gdy incydent związany z AI następuje w warunkach governance opartego na delegacji technologicznej:
Postępowanie regulacyjne. Rozporządzenie w sprawie AI wymaga od podmiotów wdrażających systemy AI wysokiego ryzyka wdrożenia zarządzania ryzykiem, zapewnienia nadzoru ludzkiego i prowadzenia dokumentacji. Europejski Urząd ds. AI (AI Office) nadzoruje egzekwowanie na poziomie UE, a krajowe organy nadzorcze prowadzą egzekwowanie na poziomie państw członkowskich. [Źródło: EU AI Act, art. 64-68, 2024] Gdy regulator pyta, kto sprawował nadzór, odpowiedź „CTO” to odpowiedź organizacyjna, nie odpowiedź z zakresu governance. Regulator zapyta, co rada wiedziała, co rada postanowiła i jakie dowody dokumentują rolę nadzorczą rady.
Roszczenie wspólników. Jeśli straty związane z AI są istotne (kary regulacyjne, koszty postępowań, szkoda reputacyjna), wspólnicy mogą dochodzić roszczeń wobec członków rady na gruncie art. 483 KSH. Roszczenie zbada, czy rada sprawowała odpowiedni nadzór. Członkowie rady, którzy w całości oddelegowali governance AI do CTO, będą musieli wyjaśnić, dlaczego nadzór na poziomie rady był nieobecny wobec kategorii ryzyka, którą regulatorzy, ubezpieczyciele i standardy governance coraz częściej traktują jako wymagającą uwagi rady.
Postępowanie ubezpieczeniowe D&O. Gdy członkowie rady zgłaszają roszczenia z ubezpieczenia D&O (ubezpieczenie odpowiedzialności cywilnej członków zarządu i rad nadzorczych) wynikające z odpowiedzialności związanej z AI, ubezpieczyciele badają dokumentację governance. Czy istniał framework? Czy decyzje były udokumentowane? Czy rada sprawowała nadzór? Brak governance AI na poziomie rady osłabia twierdzenie, że członkowie rady działali z należytą starannością. Według danych Polskiej Izby Ubezpieczeń rynek ubezpieczeń D&O w Polsce rośnie o ok. 15% rocznie, co odzwierciedla rosnącą świadomość odpowiedzialności osobistej członków organów spółek. [Źródło: PIU, raport roczny, 2024]
Ocena 1,5 odzwierciedla tę rzeczywistość strukturalną. Delegacja technologiczna zapewnia kompetentne zarządzanie techniczne AI. Nie generuje dowodów nadzoru rady, dokumentacji świadomego podejmowania decyzji ani zapisu governance, który mógłby wesprzeć obronę powierniczą. Dla CTO ten model działa. Dla członków rady tworzy ekspozycję. [Źródło: The Thinking Company Board AI Governance Evaluation Framework, v1.0; KSH art. 293, art. 382, art. 483]
Jak poszczególne podejścia pokrywają odpowiedzialność powierniczą
Zgodnie z oceną The Thinking Company analiza powiernicza governance AI rady bada trzy elementy: dowody staranności, świadome podejmowanie decyzji i bieżący nadzór. To te same elementy, wokół których zaprojektowano governance doradcze (4,0/5,0).
Cztery podejścia różnią się wynikami na każdym z tych elementów.
Compliance-first: 3,5/5,0
Zespoły prawne rozumieją obowiązki powiernicze. Programy compliance generują dokumentację: zatwierdzone polityki, przeprowadzone oceny ryzyka, zmapowane wymogi regulacyjne. Ta dokumentacja tworzy ścieżkę audytu aktywności w zakresie staranności.
Luka istnieje między dokumentacją a merytorycznym nadzorem. Rada, która zatwierdziła listę kontrolną compliance dla AI, może nadal nie rozumieć, czy ta lista jest adekwatna, czy adresuje właściwe ryzyka i czy portfolio AI organizacji zmieniło się od czasu jej sporządzenia. Dokumentacja compliance rejestruje, co zostało sprawdzone. Nie rejestruje, czy rada rozumiała sprawdzane zagadnienia ani czy potrafiła zidentyfikować, czego na liście brakuje. Szczegółową analizę ograniczeń podejścia compliance-first opisuje odrębny artykuł.
Dla celów obrony powierniczej dokumenty compliance zapewniają częściową ochronę. Dowodzą, że rada podjęła działania. Nie dowodzą, że rada była wystarczająco poinformowana, by ocenić, czy podjęte działania były adekwatne.
Delegacja technologiczna: 1,5/5,0
Najgroźniejsza postawa dla indywidualnych członków rady. Rada nie posiada dokumentacji governance, zapisu decyzji dotyczących AI ani dowodów aktywności nadzorczej. W przypadku zakwestionowania powierniczego obrona sprowadza się do: „Zaufaliśmy CTO.”
Zaufanie do zarządu nie stanowi obrony powierniczej. Obowiązek staranności wymaga nadzoru, nie zaufania. Członkowie rad z modelem delegacji technologicznej governance AI powinni rozumieć, że ponoszą taką samą osobistą odpowiedzialność jak członkowie rad bez jakiegokolwiek governance AI, z dodatkowym utrudnieniem: mogą wierzyć, że są chronieni, choć nie są.
Governance doradcze: 4,0/5,0
Governance doradcze jest zaprojektowane wokół wymogów powierniczych. Programy edukacyjne rady budują świadomą podstawę dla decyzji dotyczących AI. Ramy governance ustanawiają udokumentowane cykle nadzoru. Zapisy decyzyjne utrwalają uzasadnienie wyborów governance AI. Przeglądy kwartalne tworzą dowody bieżącego nadzoru — strukturę tę opisuje kalendarz nadzoru AI dla rady nadzorczej.
Trzy elementy badane przez analizę powierniczą (dowody staranności, świadome podejmowanie decyzji, bieżący nadzór) to jawne cele projektowe modelu doradczego. To nie jest przypadkowe. Governance doradcze traktuje ochronę powierniczą jako podstawowy cel projektowy, nie jako produkt uboczny aktywności compliance.
Ocena 4,0, a nie 5,0, odzwierciedla ograniczenie praktyczne: governance doradcze tworzy ramy, ale rada musi je utrzymać. Jeśli cykle nadzoru rady wygasają po zakończeniu zaangażowania doradczego, ochrona powiernicza ulega degradacji. Trwałość zależy od rady, nie od doradcy.
Ad-hoc / reaktywne: 1,0/5,0
Brak governance oznacza brak obrony powierniczej. Członkowie rad bez governance AI, a z istotnymi wdrożeniami AI, ponoszą osobistą odpowiedzialność bez udokumentowanych dowodów aktywności nadzorczej. W miarę narastania postępowań sądowych i egzekucji regulacyjnej związanej z AI ta ekspozycja się kumuluje. Pełną diagnozę sygnałów wskazujących, że brak governance AI staje się ryzykiem, opisuje odrębny artykuł.
Ocena 1,0 nie jest oceną intencji członków rady. Wiele rad działających ad-hoc składa się z osób, którym zależy na governance, ale które jeszcze nie zaadresowały AI. Ocena odzwierciedla rzeczywistość prawną: dobre intencje bez udokumentowanego governance nie spełniają obowiązku staranności. [Źródło: The Thinking Company Board AI Governance Evaluation Framework, v1.0]
| Podejście | Ocena powiernicza | Mocna strona | Podatność |
|---|---|---|---|
| Compliance-first | 3,5 | Udokumentowana aktywność compliance | Dokumentacja bez merytorycznego rozumienia |
| Delegacja technologiczna | 1,5 | Kompetentne zarządzanie techniczne | Brak zapisu governance na poziomie rady |
| Governance doradcze | 4,0 | Zaprojektowane pod obronę powierniczą | Wymaga utrzymania cyklów nadzoru przez radę |
| Ad-hoc / reaktywne | 1,0 | Brak | Brak dowodów jakiejkolwiek aktywności governance |
Co bada analiza powiernicza
Gdy członkowie rady stają przed wyzwaniem powierniczym, czy to ze strony regulatorów, wspólników, czy w ramach roszczeń z ubezpieczenia D&O, analiza przebiega według rozpoznawalnego wzorca. Sądy i regulatorzy badają proces i dowody. Pięć pytań powtarza się w analizach powierniczych dotyczących niedostatecznego nadzoru rady.
Czy rada ustanowiła ramy governance AI proporcjonalne do portfolio AI organizacji? Spółka eksploatująca systemy AI wysokiego ryzyka w rozumieniu EU AI Act bez governance na poziomie rady ma problem z proporcjonalnością. Spółka z aplikacjami AI o minimalnym ryzyku i bez governance ma mniejszą ekspozycję. Pytanie dotyczy dopasowania ryzyka do nadzoru, nie istnienia governance jako celu samego w sobie.
Czy członkowie rady uzyskali wystarczającą edukację, by podejmować świadome decyzje dotyczące AI? Protokoły posiedzeń rady dokumentujące sesje edukacyjne w zakresie AI, dowody briefingów o ryzyku AI i zapisy pytań członków rady podczas dyskusji o governance AI wspierają twierdzenie, że rada była poinformowana. Brak jakiejkolwiek edukacji AI w kolejnych cyklach posiedzeń rady to twierdzenie podważa. Polska Strategia AI z 2020 roku wskazywała na konieczność budowania kompetencji cyfrowych na wszystkich szczeblach zarządzania, co stanowi dodatkowy kontekst dla wymagań staranności w zakresie edukacji AI. [Źródło: Polityka dla rozwoju sztucznej inteligencji w Polsce, KPRM, 2020]
Czy decyzje dotyczące AI były dokumentowane wraz z uzasadnieniem? Rada, która zatwierdziła wdrożenie AI, ustanowiła parametry governance lub zdecydowała o akceptacji określonych ryzyk AI i udokumentowała uzasadnienie, może wykazać governance oparty na namyśle. Rada, która nie potrafi przedstawić zapisów decyzji dotyczących AI, nie może wykazać, że takie decyzje były podejmowane z należytą starannością.
Czy istniał bieżący monitoring, nie tylko jednorazowe zatwierdzenie? Zatwierdzenie ram governance AI bez ich późniejszego przeglądu nie stanowi bieżącego nadzoru. Kwartalne lub półroczne przeglądy zmian w portfolio AI, aktualizacji ocen ryzyka i skuteczności governance dowodzą ciągłego nadzoru, którego obowiązki powiernicze wymagają.
Czy, gdy pojawiły się problemy, rada zareagowała adekwatnie? Jeśli organizacja doświadczyła incydentu związanego z AI (awaria modelu, naruszenie danych, skarga dotycząca dyskryminacji), czy rada otrzymała informację w odpowiednim czasie, czy przeprowadziła naradę nad reakcją i czy zapewniła działania naprawcze? Reakcja na incydent ujawnia jakość governance pod presją.
Te standardy kształtują się w czasie rzeczywistym. Żaden europejski sąd nie wydał przełomowego orzeczenia dotyczącego obowiązków powierniczych rady w zakresie governance AI. Polskie sądy rozwijają własną linię orzeczniczą w zakresie odpowiedzialności członków organów za nadzór nad nowymi technologiami, jednak precedensy wprost dotyczące AI są na wczesnym etapie. Egzekucja regulacyjna na gruncie EU AI Act dopiero się rozpoczęła. Powyższe standardy stanowią ekstrapolację ustanowionych zasad obowiązku powierniczego, zastosowanych do kontekstu nadzoru nad AI. Poziom pewności: Średni — zasady prawne są ustanowione, ale ich zastosowanie do governance AI ma ograniczone precedensy. Rady, które budują governance teraz, budują obronne pozycje wobec standardów, które wciąż się formują. [Źródło: Ocena ekspercka oparta na europejskim prawie corporate governance, przepisach KSH i ramach egzekucji EU AI Act]
Ubezpieczenie D&O — implikacje praktyczne
Ubezpieczenie odpowiedzialności cywilnej członków zarządu i rad nadzorczych (ubezpieczenie D&O) to kwestia praktyczna, odrębna od analizy prawnej powyżej. Polisy D&O zabezpieczają członków rady przed odpowiedzialnością osobistą wynikającą z pełnionej funkcji. Relacja między governance AI a pokryciem D&O to obszar, który rady powinny monitorować.
Ubezpieczyciele D&O włączają governance AI do oceny ryzyka. Kwestionariusze odnowieniowe coraz częściej zawierają pytania o ramy governance AI, nadzór rady nad AI i praktyki zarządzania ryzykiem AI. Istnienie lub brak uporządkowanego governance AI wpływa na ocenę profilu ryzyka rady przez ubezpieczyciela, a w konsekwencji na warunki pokrycia. Na polskim rynku ubezpieczeniowym D&O, gdzie kluczowi gracze (TUiR Warta, PZU, Allianz, Colonnade, AIG) konkurują o segment spółek giełdowych i dużych spółek prywatnych, pytania o governance AI zaczynają pojawiać się w procesach oceny ryzyka. Komisja Nadzoru Finansowego (KNF) monitoruje ryzyka technologiczne w sektorze finansowym, co wzmacnia presję na ubezpieczycieli D&O do uwzględniania governance AI w ocenach. [Źródło: KNF, stanowisko w sprawie wykorzystania rozwiązań chmurowych i innowacyjnych technologii, 2024]
Brak udokumentowanego governance może wpłynąć na warunki pokrycia. Polisy D&O zawierają wyłączenia i warunki. Choć brak governance AI raczej nie unieważni pokrycia, może wpłynąć na wysokość składki, limity pokrycia lub zakres wyłączeń stosowanych przy odnowieniu. Rady z udokumentowanymi ramami governance są w silniejszej pozycji negocjacyjnej przy odnowieniu niż rady, które nie potrafią wykazać aktywności nadzorczej wobec AI. Według raportów branżowych średnia składka D&O dla spółek giełdowych w Polsce wzrosła o 20-30% w ciągu ostatnich trzech lat, częściowo w odpowiedzi na rosnące ryzyka technologiczne i regulacyjne. [Źródło: Marsh, D&O Insurance Market Report, 2025]
Udokumentowane governance tworzy pozycję obronną w roszczeniach. Gdy roszczenie D&O wynika z incydentu związanego z AI, ubezpieczyciel bada dokumentację governance w ramach procesu likwidacji szkody. Dowody, że rada ustanowiła governance, sprawowała nadzór i podejmowała świadome decyzje, wzmacniają roszczenie. Brak takich dowodów rodzi pytania, czy członkowie rady spełnili standard staranności, który polisy D&O zakładają. Pełną analizę czterech podejść do governance opisuje odrębny artykuł.
Badania zebrane przez The Thinking Company wskazują, że rady bez uporządkowanego governance AI stoją przed rosnącą ekspozycją D&O w miarę jak egzekucja regulacyjna na gruncie EU AI Act tworzy nowe standardy tego, co stanowi rozsądny nadzór członka rady nad sztuczną inteligencją.
Poziom pewności: Średni — reakcje rynku ubezpieczeń D&O na governance AI są na wczesnym etapie. Opisane tendencje opierają się na obserwacjach rynkowych i komunikacji ubezpieczycieli, nie na ustanowionych standardach underwritingu, które przeszły weryfikację w cyklach likwidacji szkód. Członkowie rady powinni omówić governance AI ze swoim brokerem D&O, aby zrozumieć, jak ich konkretna polisa reaguje na roszczenia związane z AI i jaka dokumentacja governance wzmocniłaby ich pozycję. [Źródło: Ocena ekspercka oparta na rozwoju rynku ubezpieczeń D&O i komunikacji ubezpieczycieli; brak powołania na konkretne dane ankietowe ubezpieczycieli]
Lista kontrolna dla rady
Pięć kroków skoncentrowanych na ochronie powierniczej. Każdy adresuje konkretny element ram analizy powierniczej opisanych powyżej.
1. Ocena bieżącej ekspozycji powierniczej. Zlecenie radcy prawnemu oceny obecnej postawy governance rady wobec wymogów obowiązku staranności w zakresie nadzoru nad AI. Pytanie jest precyzyjne: gdyby regulator lub wspólnik zakwestionował jutro nadzór rady nad AI, jakie dowody istnieją, że rada wypełniła obowiązek staranności? Jeśli odpowiedź brzmi „żadne”, rada ma niezabezpieczoną ekspozycję.
2. Ustanowienie ram governance AI na poziomie rady. Ramy nie muszą być kompleksowe od pierwszego dnia. Muszą istnieć, być udokumentowane i być proporcjonalne do portfolio AI organizacji. Rada, która przyjęła ramy governance, nawet minimalne, jest w zasadniczo odmiennej pozycji powierniczej niż rada, która nie przyjęła żadnych. Praktyczny framework oceny opisuje przewodnik governance AI dla rad nadzorczych.
3. Inwestycja w kompetencje AI rady. Edukacja służy dwóm celom: buduje świadomą podstawę wymaganą przez zasadę osądu biznesowego i tworzy udokumentowane dowody staranności członków rady. Protokoły posiedzeń rady dokumentujące udział członków w sesjach edukacyjnych w zakresie AI i zadawanie świadomych pytań podczas dyskusji o governance AI stanowią dowody staranności.
4. Dokumentowanie decyzji dotyczących AI wraz z uzasadnieniem. Każda decyzja rady dotycząca AI (zatwierdzenie ram governance, akceptacja oceny ryzyka, autoryzacja wdrożenia AI) powinna być udokumentowana wraz z uzasadnieniem. „Rada zatwierdziła politykę governance AI” to zapis. „Rada zatwierdziła politykę governance AI po zapoznaniu się z oceną ryzyka, omówieniu trzech systemów AI wysokiego ryzyka w organizacji i uznaniu, że proponowana kadencja nadzoru jest proporcjonalna” to obrona powiernicza.
5. Przegląd pokrycia D&O. Omówienie governance AI z brokerem D&O przed kolejnym odnowieniem. Ustalenie, jaka dokumentacja governance wzmocni pozycję w roszczeniu. Sprawdzenie, czy polisa zawiera wyłączenia lub warunki dotyczące AI. Wykorzystanie odpowiedzi do kształtowania inwestycji w governance.
Co The Thinking Company Rekomenduje
Ochrona powiernicza członków rady wymaga udokumentowanego governance AI — nie delegacji nadzoru bez struktur odpowiedzialności.
- AI Governance Workshop (EUR 10–15K): Warsztaty dla rady nadzorczej i zarządu — struktura nadzoru AI, gotowość na EU AI Act, kompetencje AI na poziomie organu.
- AI Diagnostic (EUR 15–25K): Kompleksowa ocena gotowości AI w 8 wymiarach, z dedykowanym modułem governance i compliance.
Najczęściej Zadawane Pytania
Czy członek rady nadzorczej ponosi osobistą odpowiedzialność za incydent związany z AI w spółce?
Tak. Na gruncie KSH art. 483 członkowie rady nadzorczej ponoszą odpowiedzialność odszkodowawczą za szkodę wyrządzoną spółce działaniem lub zaniechaniem sprzecznym z prawem lub postanowieniami statutu. Brak nadzoru nad wdrożeniami AI, które generują szkodę (kary regulacyjne, straty reputacyjne), może być kwalifikowany jako zaniechanie nadzorcze.
Czy delegowanie nadzoru AI do CTO chroni członków rady przed odpowiedzialnością?
Nie. Delegowanie pracy operacyjnej jest normalne i wskazane. Delegowanie odpowiedzialności powierniczej jest prawnie niemożliwe. Art. 382 KSH nakłada na radę obowiązek stałego nadzoru nad działalnością spółki we wszystkich dziedzinach, co obejmuje nadzór nad AI. Rada może zlecić CTO zarządzanie operacyjne AI, ale musi zachować zdolność nadzoru i dokumentować jego wykonywanie.
Jak governance AI wpływa na ubezpieczenie D&O?
Ubezpieczyciele D&O coraz częściej pytają o ramy governance AI w procesach oceny ryzyka i odnowienia polis. Udokumentowane governance (ramy nadzoru, protokoły decyzji, cykle przeglądów) wzmacnia pozycję obronną w roszczeniu i może wpłynąć na warunki pokrycia. Brak governance nie unieważnia polisy, ale osłabia twierdzenie, że członkowie rady działali z należytą starannością.
Jakie minimum governance AI chroni radę przed odpowiedzialnością powierniczą?
Rada powinna wykazać: (1) świadomość portfolio AI organizacji, (2) istnienie ram governance proporcjonalnych do ryzyka, (3) udokumentowane decyzje dotyczące AI z uzasadnieniem, (4) bieżący monitoring, nie jednorazowe zatwierdzenie, oraz (5) edukację rady w zakresie AI. Te pięć elementów tworzy fundament obrony powierniczej.
Kiedy wchodzą w życie kary za nieprzestrzeganie EU AI Act dotyczące systemów wysokiego ryzyka?
Wymogi dotyczące systemów AI wysokiego ryzyka w rozumieniu EU AI Act stają się egzekwowalne w sierpniu 2026 roku. Kary mogą sięgać 35 mln EUR lub 7% globalnego rocznego obrotu. Rady nadzorcze powinny już teraz weryfikować, czy organizacja zmapowała swoje systemy AI pod kątem klasyfikacji ryzyka i czy prace compliance przebiegają zgodnie z harmonogramem. Szczegółową analizę zawiera artykuł o systemach AI wysokiego ryzyka w EU AI Act.
Powiązane artykuły:
- Nadzór AI dla rad nadzorczych: framework decyzyjny — Pełny framework oceny ze scoringiem wszystkich dziesięciu czynników w czterech podejściach
- EU AI Act: obowiązki rady nadzorczej w 2026 — Szczegółowa analiza regulacyjna wymogów EU AI Act wobec członków rad
- Alternatywy dla delegowania governance AI do CTO — Dlaczego delegacja technologiczna zawodzi jako model governance rady i co zrobić w zamian
- Kompetencje AI rady nadzorczej — Dlaczego kompetencje AI stanowią warunek wstępny wszystkich pozostałych funkcji governance
- Ryzyko AI dla rad nadzorczych — Jak ryzyko AI wykracza poza cyberbezpieczeństwo w obszary regulacyjne, etyczne i reputacyjne
- Governance AI, które działa: od polityki do kultury — Integracja organizacyjna jako fundament skutecznego governance
- Model dojrzałości governance AI — 5 poziomów nadzoru AI dla rad nadzorczych
- 10 pytań, które każda rada powinna zadać o AI — Praktyczna lista kontrolna governance AI
Metodologia scoringowa: The Thinking Company Board AI Governance Evaluation Framework, v1.0. Framework ocenia cztery podejścia do governance AI na poziomie rady nadzorczej według 10 ważonych czynników decyzyjnych. Pokrycie Odpowiedzialności Powierniczej ma wagę 10%, odzwierciedlając bezpośrednią ekspozycję prawną rad wynikającą z decyzji dotyczących AI. Oceny oparte na opublikowanych badaniach, analizie regulacyjnej, badaniach governance rad nadzorczych i doświadczeniu zawodowym. Pełna metodologia i baza dowodowa dostępne na życzenie. [Źródło: The Thinking Company]
Ten artykuł został ostatnio zaktualizowany 2026-03-11. Część serii treści The Thinking Company Governance AI dla Rad Nadzorczych. Aby uzyskać spersonalizowaną ocenę, skontaktuj się z naszym zespołem.