Your employees are already using AI. ChatGPT for drafting supplier emails. Claude for reviewing contracts. Copilot for summarising meeting notes. It started quietly, one person at a time, and now it's everywhere.

The question is not whether your procurement team uses AI. The question is whether they're using it safely — and whether you'd know if they weren't.

"We'll write the policy later" is the most common reason AI governance fails. Later never comes. And when something goes wrong — a supplier's confidential pricing data in a public AI tool, a contract summarised incorrectly — the absence of any guidance is the first thing everyone notices.

This guide is about writing something practical. Not a legal framework. Not a compliance exercise. Something your team will actually read and use.

The one-page version vs. the full framework

Most organisations need two things, not one.

The employee guide is 2–3 pages. Plain language. Covers what you can and can't do today. Which tools are approved. What data stays out. Who to ask when you're not sure. Most people only need this.

The management framework is the full formal document. Risk classification. Governance roles. Compliance mapping against EU AI Act, ISO 42001:2023, GDPR. Audit procedures. This is what legal and compliance want on file. You need it by end of 2026.

Start with the employee guide. Get it to people now. Build the framework in parallel — but don't let the complexity of the framework delay the guide by three months. The guide is what changes behaviour.

Practical split
Employee guide: write it this week, one afternoon, use the template below. Management framework: schedule it as a project for Q2–Q3 2026 with legal and IT involved.

The 5 sections your policy must have

Whether you write one page or ten, these five things need to be in it.

1. Data classification — the traffic light

Most people don't know what data they're allowed to put into an AI tool. Give them a simple colour code.

Classification Examples AI tools allowed?
Green Public supplier information, published price lists, general market research, your own drafts without sensitive data Yes — approved tools only
Yellow Internal process documents, aggregated spend reports (no supplier names), general contract templates, anonymised RFQ data Yes — with caution, approved tools only, no external sharing
Red Specific supplier pricing, commercial terms under NDA, personal data (contacts, salaries), customer data, M&A related information No — never in public AI tools

This table takes ten minutes to build. It saves your team from guessing. Put it on page one.

2. Approved tools list

A short table. Tool name, approved use cases, data classification allowed, who approved it. Update it when something changes. The point is not to restrict everything — it's to remove ambiguity.

Common approved tools in procurement: Microsoft Copilot (if your org has it deployed), Claude for business, ChatGPT Enterprise. Common restrictions: free consumer versions of the same tools, because they use your inputs for training by default.

3. Five red flags

Tell people when to stop and ask. These five situations should always trigger a check before proceeding:

  • You're about to paste a document marked Confidential or Restricted into any AI tool
  • The AI output will be sent directly to a supplier or external party without human review
  • You're using AI to make a supplier selection or exclusion decision without documenting why
  • A supplier is asking whether AI was used in your sourcing process or evaluation
  • You found a new AI tool you'd like to use that isn't on the approved list

4. Decision flowchart — "Can I put this in AI?"

Some people prefer a logic tree to a table. Give them both.

Can I put this in AI?
Q1
Does the document contain personal data, NDA-protected information, or supplier-specific pricing?
If yes → Do not use AI. Go to step 5 (who to ask).
If no → Continue to Q2.
Q2
Is the tool you're using on the approved tools list?
If no → Do not use. Request approval through IT/Legal.
If yes → Continue to Q3.
Q3
Will the output be used to make a decision that affects a supplier (selection, exclusion, scoring)?
If yes → Human review required before acting on the output. Document your reasoning.
If no → Proceed. Keep a copy of the output for 90 days.
Q4
Not sure?
Ask [name/role]. Response within 24 hours.

5. Who to call

Name a person. Not a department. Not a mailbox. A person. This is the most underrated part of any policy. When people have a specific question and no one to ask, they skip the check.

In most procurement teams, this is either the procurement manager, the IT business partner, or someone from legal. Whoever it is, they need to be prepared to answer in 24 hours — otherwise people stop asking.

EU AI Act — what procurement teams actually need to know

The EU AI Act (Regulation 2024/1689) starts applying in August 2026. It covers AI systems by risk level — and some of what procurement teams use sits in the high-risk category. Specifically: AI used in supplier selection, creditworthiness assessment of suppliers, or evaluation in competitive procurement processes. If you're using AI to score suppliers or shortlist vendors, the regulation applies to you.

The practical implication is not panic — it's documentation. You need to know which AI tools you're using, what decisions they influence, and whether the vendor can explain how the system works. Procurement teams should add "AI Act compliance" to their vendor due diligence checklist. If a supplier of AI tools can't tell you whether their system qualifies as high-risk under the regulation, that's a red flag in itself. The Act is also the reason to build your management framework now rather than late 2026 under pressure.

Regulatory stack (for the management framework)
EU AI Act (Regulation 2024/1689, Aug 2026) · GDPR (data in AI inputs) · UK ICO AI Guidance · NIST AI RMF 1.0 · ISO 42001:2023 · Korean AI Basic Act. For most procurement teams, EU AI Act + GDPR is the minimum to address explicitly.

The 3 most common policy mistakes

1

Writing it for lawyers, not for buyers

A 30-page policy with section references and legal definitions will not change anyone's behaviour. The people who need to read it are buyers, category managers, and sourcing specialists — people who are busy, not looking for a compliance exercise. If they can't find the answer to "can I paste this contract into Claude?" in under 30 seconds, the policy has failed.

2

No approved tools list — just a list of banned ones

Telling people what they can't use without telling them what they can use creates a vacuum. They'll keep using whatever they were using before, just more quietly. The approved list is what drives the behaviour you actually want.

3

Treating it as a one-time document

AI tools change faster than policy review cycles. A policy written in January 2026 may already be outdated by June. Build in a quarterly check — not a full rewrite, just: has anything changed in the approved tools list? Has a new regulatory requirement kicked in? Is the contact person still correct? Twenty minutes, once a quarter.

The real cost of no policy
One procurement manager pastes a shortlisted supplier's full commercial offer into a free AI tool to get a summary. That offer contained confidential pricing your supplier shared under NDA. You now have a potential breach. No policy means no defence — and no clear process for what happens next.

Get the free template

The templates below cover both versions — the employee-facing guide and the full management framework. They're built around the five sections above and already mapped to EU AI Act, GDPR, and ISO 42001 requirements. Edit them to fit your organisation. Both versions are available in English and Czech.

Vaši zaměstnanci AI už používají. ChatGPT na psaní e-mailů dodavatelům. Claude na kontrolu smluv. Copilot na shrnutí zápisů z meetingů. Začalo to potichu, jeden člověk po druhém, a teď je to všude.

Otázka není, jestli váš nákupní tým AI používá. Otázka je, jestli ji používá bezpečně — a jestli byste věděli, kdyby ne.

„Politiku napíšeme později" je nejčastější důvod, proč řízení AI selhává. Později nikdy nepřijde. A když se něco pokazí — důvěrné cenové informace dodavatele v veřejném AI nástroji, chybně shrnutá smlouva — absence jakéhokoli návodu je první věc, které si všichni všimnou.

Tento průvodce je o napsání něčeho praktického. Není to právní rámec ani compliance cvičení. Je to něco, co váš tým skutečně přečte a použije.

Jednostránková verze vs. plný rámec

Většina organizací potřebuje dvě věci, ne jednu.

Průvodce pro zaměstnance má 2–3 strany. Srozumitelný jazyk. Pokrývá, co dnes smíte a nesmíte dělat. Které nástroje jsou schváleny. Jaká data nesmí ven. Na koho se obrátit, když si nejste jisti. Většina lidí potřebuje jen tohle.

Manažerský rámec je plný formální dokument. Klasifikace rizik. Role v řízení. Mapování na EU AI Act, ISO 42001:2023, GDPR. Auditní postupy. To je to, co chce mít na stole právní oddělení a compliance. Potřebujete ho do konce roku 2026.

Začněte průvodcem pro zaměstnance. Dejte ho lidem teď. Rámec budujte paralelně — ale nenechte jeho složitost odložit průvodce o tři měsíce. Průvodce je to, co mění chování.

Praktické rozdělení
Průvodce pro zaměstnance: napište tento týden, jedno odpoledne, použijte šablonu níže. Manažerský rámec: naplánujte jako projekt na Q2–Q3 2026 s právním oddělením a IT.

5 sekcí, které vaše politika musí mít

Ať napíšete jednu stránku nebo deset, tyto pět věcí v ní být musí.

1. Klasifikace dat — semafor

Většina lidí neví, jaká data smí vložit do AI nástroje. Dejte jim jednoduchý barevný kód.

Klasifikace Příklady AI nástroje povoleny?
Zelená Veřejné informace o dodavatelích, zveřejněné ceníky, obecný průzkum trhu, vaše vlastní návrhy bez citlivých dat Ano — pouze schválené nástroje
Žlutá Interní procesní dokumenty, agregované výkazy výdajů (bez názvů dodavatelů), obecné šablony smluv, anonymizovaná data z RFQ Ano — opatrně, pouze schválené nástroje, bez sdílení ven
Červená Konkrétní ceny dodavatelů, obchodní podmínky pod NDA, osobní údaje (kontakty, mzdy), zákaznická data, informace týkající se M&A Ne — nikdy do veřejných AI nástrojů

Tato tabulka zabere deset minut. Ušetří vašemu týmu dohady. Dejte ji na první stránku.

2. Seznam schválených nástrojů

Krátká tabulka. Název nástroje, schválené případy použití, povolená klasifikace dat, kdo ho schválil. Aktualizujte, když se něco změní. Cílem není omezit vše — ale odstranit nejasnosti.

Běžné schválené nástroje v nákupu: Microsoft Copilot (pokud ho vaše organizace nasadila), Claude for Business, ChatGPT Enterprise. Běžná omezení: bezplatné spotřebitelské verze stejných nástrojů — ty standardně používají vaše vstupy k trénování.

3. Pět červených vlajek

Řekněte lidem, kdy zastavit a zeptat se. Těchto pět situací by vždy mělo spustit ověření před pokračováním:

  • Chystáte se vložit do AI nástroje dokument označený jako Důvěrné nebo Omezené
  • Výstup AI bude odeslán přímo dodavateli nebo externímu subjektu bez lidské kontroly
  • Používáte AI k rozhodnutí o výběru nebo vyřazení dodavatele bez dokumentace důvodů
  • Dodavatel se ptá, zda byl AI použit ve vašem sourcingového procesu nebo hodnocení
  • Našli jste nový AI nástroj, který chcete použít a který není na schváleném seznamu

4. Rozhodovací diagram — „Mohu to vložit do AI?"

Někteří lidé preferují logický strom před tabulkou. Dejte jim obojí.

Mohu to vložit do AI?
Q1
Obsahuje dokument osobní údaje, informace chráněné NDA nebo konkrétní ceny dodavatelů?
Pokud ano → AI nepoužívejte. Přejděte ke kroku 5 (na koho se obrátit).
Pokud ne → Pokračujte na Q2.
Q2
Je nástroj, který používáte, na seznamu schválených nástrojů?
Pokud ne → Nepoužívejte. Požádejte o schválení přes IT/Legal.
Pokud ano → Pokračujte na Q3.
Q3
Bude výstup použit k rozhodnutí, které ovlivňuje dodavatele (výběr, vyřazení, hodnocení)?
Pokud ano → Před jednáním na základě výstupu je nutná lidská kontrola. Zdokumentujte své důvody.
Pokud ne → Pokračujte. Uchovejte kopii výstupu po dobu 90 dní.
Q4
Nejste si jisti?
Zeptejte se [jméno/role]. Odpověď do 24 hodin.

5. Na koho se obrátit

Jmenujte osobu. Ne oddělení. Ne schránku. Osobu. Toto je nejpodceňovanější část každé politiky. Když mají lidé konkrétní otázku a nemají se na koho obrátit, kontrolu přeskočí.

Ve většině nákupních týmů to bude vedoucí nákupu, IT business partner nebo někdo z právního oddělení. Ať je to kdokoli, musí být připraven odpovědět do 24 hodin — jinak lidé přestanou ptát.

EU AI Act — co nákupní týmy skutečně potřebují vědět

EU AI Act (Nařízení 2024/1689) začíná platit v srpnu 2026. Pokrývá AI systémy podle úrovně rizika — a část toho, co nákupní týmy používají, spadá do kategorie vysokého rizika. Konkrétně: AI používaná při výběru dodavatelů, hodnocení jejich bonity nebo hodnocení v soutěžních nákupních procesech. Pokud pomocí AI hodnotíte dodavatele nebo sestavujete krátký seznam, nařízení se na vás vztahuje.

Praktickým dopadem není panika — je to dokumentace. Musíte vědět, které AI nástroje používáte, jaká rozhodnutí ovlivňují a zda vám dodavatel umí vysvětlit, jak systém funguje. Nákupní týmy by měly přidat „soulad s AI Act" do checklistu due diligence při výběru dodavatelů AI nástrojů. Pokud vám dodavatel AI nástrojů nedokáže říct, zda jeho systém splňuje podmínky vysokého rizika podle nařízení, je to samo o sobě červená vlajka. Zákon je také důvodem, proč budovat manažerský rámec nyní — ne na konci roku 2026 pod tlakem.

Regulatorní zásobník (pro manažerský rámec)
EU AI Act (Nařízení 2024/1689, srpen 2026) · GDPR (data ve vstupech AI) · UK ICO AI Guidance · NIST AI RMF 1.0 · ISO 42001:2023 · Korejský AI Basic Act. Pro většinu nákupních týmů je minimum EU AI Act + GDPR.

3 nejčastější chyby v AI politikách

1

Psát pro právníky, ne pro nákupčí

Třicetistránková politika s odkazovanými paragrafy a právními definicemi nikoho chování nezmění. Lidé, kteří ji potřebují číst, jsou nákupčí, category manažeři a specialisté na sourcing — lidé zaneprázdnění, ne hledající compliance cvičení. Pokud nenajdou odpověď na „mohu tuto smlouvu vložit do Claudu?" do 30 sekund, politika selhala.

2

Žádný seznam schválených nástrojů — jen seznam zakázaných

Říkat lidem, co nemohou používat, aniž byste jim řekli, co mohou, vytváří vakuum. Budou dál používat to, co používali předtím, jen potichu. Seznam schválených nástrojů je to, co řídí chování, které skutečně chcete.

3

Zacházet s ní jako s jednorázovým dokumentem

AI nástroje se mění rychleji než cykly revize politik. Politika napsaná v lednu 2026 může být do června zastaralá. Zaveďte čtvrtletní kontrolu — ne kompletní přepis, jen: změnilo se něco v seznamu schválených nástrojů? Vstoupil v platnost nový regulatorní požadavek? Je kontaktní osoba stále správná? Dvacet minut jednou za čtvrtletí.

Skutečná cena absence politiky
Jeden nákupní manažer vloží do bezplatného AI nástroje kompletní komerční nabídku dodavatele ze shortlistu, aby získal shrnutí. Nabídka obsahovala důvěrné ceny, které dodavatel sdílel pod NDA. Nyní máte potenciální porušení. Žádná politika znamená žádnou obhajobu — a žádný jasný postup pro to, co se děje dál.

Získejte šablonu zdarma

Šablony níže pokrývají obě verze — průvodce pro zaměstnance i plný manažerský rámec. Jsou postaveny na pěti sekcích výše a jsou již namapovány na požadavky EU AI Act, GDPR a ISO 42001. Upravte je pro vaši organizaci. Obě verze jsou k dispozici v angličtině a češtině.

Free AI Policy Template — EN + CZ Šablona AI politiky zdarma — EN + CZ

Two versions: the 2-page employee guide and the full management framework. Pre-filled with data classification tables, approved tools structure, red flags, and EU AI Act mapping. Ready to edit in Word or Google Docs. Dvě verze: 2stránkový průvodce pro zaměstnance a plný manažerský rámec. Předvyplněno tabulkami klasifikace dat, strukturou schválených nástrojů, červenými vlajkami a mapováním EU AI Act. Připraveno k úpravě ve Wordu nebo Google Docs.

Get English template Anglická šablona Get Czech template Česká šablona