Niezależnie od tego, czy dana organizacja dopuszcza możliwość korzystania z systemów sztucznej inteligencji czy też nie, warto rozważyć obowiązek wdrożenia procedur AI w celu zabezpieczenia danych przedsiębiorstwa, zgodnego z prawem przetwarzania danych osobowych, a także ochrony tajemnicy przedsiębiorstwa.
Procedury AI w organizacji – czemu mają służyć?
Coraz więcej przedsiębiorców zaczyna zastanawiać się, czy i w jakim zakresie mogą wprowadzić procedury AI w swoich organizacjach. Założenie, że brak procedury AI wiąże się z brakiem zgody na korzystanie z systemów AI, może okazać się niewystarczające.
Co prawda, obowiązujące przepisy prawa na tę chwilę nie przewidują powszechnego obowiązku wprowadzenia procedur dot. sztucznej inteligencji dla przedsiębiorców. Obecnie obowiązki te zostały nałożone głównie na dostawców systemów AI wysokiego ryzyka rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2024/1689 z dnia 13 czerwca 2024 r. w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji oraz zmiany rozporządzeń (WE) nr 300/2008, (UE) nr 167/2013, (UE) nr 168/2013, (UE) 2018/858, (UE) 2018/1139 i (UE) 2019/2144 oraz dyrektyw 2014/90/UE, (UE) 2016/797 i (UE) 2020/1828 (akt w sprawie sztucznej inteligencji) (dalej: AI Act), o którym pisaliśmy już wcześniej. Jednak pośrednio obowiązki wdrożenia procedur AI wynikają m.in. z Ustawy o krajowym systemie cyberbezpieczeństwa, wdrażającej dyrektywę NIS 2, nakładającej na podmioty kluczowe i ważne obowiązek wdrożenia systemu zarządzania bezpieczeństwem informacji w systemie informacyjnym, czy też RODO, w zakresie konieczności zapewnienia bezpieczeństwa przetwarzanych danych osobowych przez administratora danych osobowych. Ponadto, uregulowanie w organizacji zasad korzystania ze sztucznej inteligencji jest również ważne z perspektywy zarządzania ryzykiem, m.in. w zakresie wykorzystywania systemów sztucznej inteligencji poza zakres udzielonej licencji i związanych z tym roszczeń.
Skontaktuj się z nami!
KontaktObecnie coraz więcej osób korzysta ze sztucznej inteligencji. Zdarza się, że podwładni nie informują przełożonych o fakcie, że do wykonywania swoich obowiązków w całości lub częściowo wykorzystują sztuczną inteligencję. Pomijając obowiązek ustawowy przewidziany dla poszczególnych podmiotów w zakresie wdrożenia odpowiednich polityk i procedur, zważywszy na ryzyko z tym związane, wskazać należy, że osoby zarządzające powinny zabezpieczyć się przed ewentualnymi negatywnymi skutkami tzw. „cichego przyzwolenia” na korzystanie z narzędzi AI (nierzadko darmowych w ramach użytku prywatnego). Z uwagi na różny zakres zabezpieczeń danych wprowadzanych do tego typu narzędzi, korzystanie z nich, wiąże się z ryzykiem dla przedsiębiorstwa. Zwłaszcza jeśli podwładni mają dostęp do danych wrażliwych. Prośba o zredagowanie maila do klienta w darmowym czacie może wiązać się z szeregiem negatywnych konsekwencji dla przedsiębiorstwa i osób zarządzających.
W związku z powyższym powstaje pytanie -jak zabezpieczyć się przed nieuprawnionym wykorzystywaniem systemów sztucznej inteligencji przez pracowników i podmioty świadczące usługi na rzecz danej organizacji.
Czy pracodawca może zakazać korzystania z AI w pracy?
Zasadniczo, stosunek pracy ma charakter podporządkowania pracowniczego. Pracownik wykonuje pracę pod kierownictwem przełożonego (pracodawcy) w miejscu i czasie wyznaczonym przez pracodawcę. Pracownik ma obowiązek stosować się do poleceń pracodawcy, o ile nie są sprzeczne z przepisami prawa lub umową o pracę. To obejmuje także polecenia i zakazy dotyczące korzystania z określonych narzędzi (np. AI) przy pracy.
Do decyzji pracodawcy pozostaje, czy w ramach organizacji umożliwi pracownikom korzystanie z systemów AI czy też ich zabroni. Pracodawca może m.in. zakazać korzystania z systemów sztucznej inteligencji na służbowym sprzęcie, w sieci organizacji czy też w ramach wykonywania zadań służbowych.
Zakaz nie może naruszać dóbr osobistych ani wykraczać poza sferę podporządkowania pracowniczego (czyli „kontrolować” życia prywatnego pracownika).
Korzystanie z AI a kwestia danych osobowych
Wpisanie danych klienta do systemu sztucznej inteligencji (np. Chatu GPT albo innego modelu generatywnego) stanowi przetwarzanie danych osobowych w rozumieniu RODO.
Zatem przetwarzanie danych musi odbywać się zgodnie z rozporządzeniem. W szczególności administrator i podmiot przetwarzający muszą wdrożyć odpowiednie środki bezpieczeństwa (szyfrowanie, kontrola dostępu, audyty, certyfikacje, procedury incydentowe). Z uwagi na wysokie ryzyko związane z wykorzystywaniem sztucznej inteligencji do przetwarzania danych osobowych należy rozważyć również przeprowadzenie oceny skutków dla ochrony danych (DPIA).
Jak wdrożyć procedury AI w organizacji?
W pierwszej kolejności należy zastanowić się, czy w ramach funkcjonowania organizacji dopuszcza się możliwość wykorzystywania narzędzi AI lub opartych o AI, a jeśli tak – w jakim zakresie.
Warto w tym zakresie
1. Określić cele korzystania z AI w organizacji i zakres, tj. określenie, w jakich obszarach dopuszcza się wykorzystywanie systemów AI a także, do jakich działań/ zadań nie dopuszcza się możliwości wykorzystywania AI;
2. Zastanowić się nad tym, jakie narzędzia są oficjalnie i nieoficjalnie wykorzystywane w organizacji, jakie narzędzia mogą być wykorzystywane;
3. Opracować wewnętrzny dokument, regulujący zasady korzystania z narzędzi AI w ramach organizacji.
Procedura AI w organizacji – co powinna zawierać?
Zważywszy na charakter procedury, zaleca się, aby w jej treści uwzględnić m.in.:
- Zakres i cel wdrożenia procedury – w szczególności kogo dotyczy (pracownicy, zleceniobiorcy, współpracownicy, dostawcy – w zakresie dostępu do systemów firmy);
- Listę narzędzi AI – dopuszczonych do wykorzystywania, dopuszczonych do wykorzystywania w określonym zakresie oraz zakazanych do wykorzystywania;
- Zasady korzystania z narzędzi AI, w tym w szczególności wprowadzania danych do AI;
- Przypisane w organizacji role i odpowiedzialność;
- Ocenę nowego narzędzia AI do wdrożenia w organizacji;
- Zasady bezpieczeństwa informacji i cyberbezpieczeństwa;
- Zasady wdrożenia procedury, w tym częstotliwość szkoleń i zapoznania pracowników i współpracowników z procedurą;
- Monitoring, przegląd i formę aktualizacji procedury.
Zakres procedury w każdej organizacji powinien zostać ustalony indywidualnie w oparciu o potrzeby danego podmiotu, jego struktury, rozmiar, liczbę kontrahentów, liczbę pracowników i dokonaną wcześniej ocenę ryzyka.
W razie dodatkowych pytań, zachęcamy do kontaktu.
Więcej informacji znajduje się w zakładce Prawo Nowych Technologii.
Radca prawny
