ChatGPT* w firmie może być bardzo przydatnym narzędziem. Pracownicy wykorzystują sztuczną inteligencję do przygotowywania projektów wiadomości, analizowania dokumentów, tłumaczeń, tworzenia opisów produktów, porządkowania notatek, generowania pomysłów marketingowych albo wsparcia w codziennej organizacji pracy.

Problem polega na tym, że wiele firm korzysta z narzędzi AI szybciej, niż tworzy zasady ich używania. W praktyce oznacza to, że pracownik może wkleić do narzędzia AI dane klienta, treść umowy, fragment korespondencji, dane finansowe, informacje kadrowe albo know-how firmy, nie zastanawiając się nad skutkami prawnymi. Może też bez weryfikacji wykorzystać odpowiedź wygenerowaną przez AI w kontakcie z klientem, w ofercie, w reklamie albo w dokumencie wewnętrznym.

Dlatego coraz więcej przedsiębiorców zadaje sobie pytanie, jak przygotować politykę korzystania z AI przez pracowników?

Dobrze przygotowana polityka AI nie powinna blokować rozwoju firmy. Jej celem jest uporządkowanie zasad korzystania ze sztucznej inteligencji tak, aby firma mogła korzystać z nowych technologii, a jednocześnie chronić dane, tajemnicę przedsiębiorstwa, prawa autorskie, relacje z klientami i własną odpowiedzialność.

ChatGPT w firmie a ryzyka prawne

Korzystanie z ChatGPT w firmie nie jest samo w sobie zakazane. Przeciwnie, odpowiednio wdrożone narzędzia AI mogą zwiększać efektywność, przyspieszać pracę i poprawiać jakość procesów. Ryzyko pojawia się wtedy, gdy firma nie wie, kto korzysta z AI, w jakim celu, na jakich danych, z jakich narzędzi i czy wyniki pracy AI są weryfikowane przez człowieka. Najczęstsze ryzyka związane z korzystaniem z AI w pracy dotyczą ochrony danych osobowych, tajemnicy przedsiębiorstwa, poufności informacji klienta, praw autorskich, odpowiedzialności za błędne treści, cyberbezpieczeństwa oraz zgodności z umowami zawartymi z kontrahentami.

W firmach, które świadczą usługi profesjonalne, doradcze, technologiczne, marketingowe, finansowe, księgowe albo prawne, znaczenie tych ryzyk jest szczególnie duże. Pracownicy często mają dostęp do informacji wrażliwych biznesowo. Wprowadzenie takich danych do zewnętrznego narzędzia AI bez wcześniejszej analizy może naruszać obowiązki ustawowe, umowne albo organizacyjne.

Dlaczego firma powinna mieć politykę korzystania z AI

Polityka korzystania z AI w firmie jest dokumentem, który określa, w jaki sposób pracownicy i współpracownicy mogą używać narzędzi sztucznej inteligencji w ramach wykonywania obowiązków.

Nie chodzi wyłącznie o formalny regulamin. Dobra polityka AI powinna być praktyczna. Pracownik powinien po jej przeczytaniu wiedzieć, co może zrobić, czego nie wolno mu robić, kiedy potrzebuje zgody przełożonego, jakie dane może wprowadzać do narzędzia AI i kto odpowiada za końcowy efekt pracy.

Taki dokument pomaga ograniczyć chaos organizacyjny. Ułatwia również wykazanie, że firma świadomie zarządza ryzykiem technologicznym, prawnym i organizacyjnym.

Ma to znaczenie nie tylko przy kontroli, incydencie albo sporze z klientem. Coraz częściej kontrahenci pytają, czy firma korzysta z AI, czy ma zasady ochrony danych i czy zapewnia poufność informacji przekazywanych w toku współpracy. Polityka AI może więc stać się także elementem wiarygodności biznesowej.

ChatGPT a RODO

Jednym z najważniejszych obszarów jest ochrona danych osobowych. Jeżeli pracownik wprowadza do narzędzia AI dane klienta, pracownika, kontrahenta, pacjenta, użytkownika albo innej osoby fizycznej, firma powinna ustalić, czy dochodzi do przetwarzania danych osobowych, na jakiej podstawie prawnej, w jakim celu i przez kogo.

W praktyce bezpieczna polityka korzystania z AI powinna zakazywać wprowadzania do publicznych narzędzi AI danych osobowych, jeżeli firma nie przeprowadziła wcześniej odpowiedniej analizy prawnej, technicznej i organizacyjnej.

Dotyczy to nie tylko oczywistych danych, takich jak imię, nazwisko, adres e mail, numer telefonu albo PESEL. Dane osobowe mogą wynikać także z treści korespondencji, opisu sprawy, numeru zamówienia, stanowiska, historii współpracy albo kontekstu konkretnej sytuacji.

Zasada powinna być prosta. Jeżeli pracownik nie ma pewności, czy może wprowadzić określone informacje do narzędzia AI, powinien ich nie wprowadzać albo wcześniej skonsultować sprawę z osobą odpowiedzialną za ochronę danych.

Ochrona tajemnicy przedsiębiorstwa i informacji poufnych

Drugim kluczowym obszarem jest tajemnica przedsiębiorstwa. W wielu firmach największą wartością nie są same dokumenty, ale informacje zawarte w umowach, ofertach, bazach klientów, modelach cenowych, strategiach sprzedaży, projektach technologicznych, analizach finansowych albo korespondencji z partnerami.

Polityka AI powinna jasno wskazywać, że do narzędzi AI nie wolno wprowadzać informacji poufnych, tajemnicy przedsiębiorstwa, danych finansowych, dokumentów wewnętrznych, treści umów z klientami, haseł, danych dostępowych ani informacji objętych zobowiązaniem do poufności, chyba że firma dopuściła takie użycie w konkretnym zatwierdzonym środowisku.

Warto pamiętać, że problem nie dotyczy wyłącznie dużych spółek technologicznych. Również mała firma może utracić przewagę konkurencyjną, jeżeli jej dane handlowe, know-how albo projekt oferty zostaną wykorzystane poza kontrolą organizacji.

Weryfikacja odpowiedzi AI przez człowieka

ChatGPT i inne narzędzia AI mogą generować treści, które brzmią przekonująco, ale są niepełne, błędne albo niedopasowane do konkretnej sytuacji prawnej lub biznesowej. Z tego powodu polityka korzystania z AI powinna wprost wskazywać, że odpowiedzi wygenerowane przez AI nie mogą być bezrefleksyjnie kopiowane do dokumentów firmowych.

Każda treść przygotowana z pomocą AI powinna zostać zweryfikowana przez człowieka. Dotyczy to szczególnie ofert, umów, opinii, odpowiedzi na reklamacje, treści marketingowych, dokumentów HR, analiz finansowych, korespondencji z klientami oraz materiałów publikowanych na stronie internetowej.

Firma powinna określić, kto odpowiada za ostateczny materiał. W praktyce odpowiedzialność nie powinna być przenoszona na narzędzie AI. Za dokument, wiadomość albo decyzję nadal odpowiada człowiek działający w imieniu firmy.

AI Act w firmie i obowiązek kompetencji AI

AI Act wprowadza podejście oparte na ryzyku. Dla przedsiębiorców ważne jest nie tylko to, czy sami tworzą systemy sztucznej inteligencji, ale także to, czy korzystają z nich w działalności gospodarczej.

Jednym z praktycznych obowiązków jest zapewnienie odpowiedniego poziomu kompetencji AI osób, które korzystają z systemów sztucznej inteligencji w imieniu firmy. Oznacza to, że sama akceptacja regulaminu narzędzia nie wystarczy.

Pracownicy powinni rozumieć, czym jest AI, jakie są jej ograniczenia, jakie dane mogą być wprowadzane do narzędzi, jak weryfikować wyniki i kiedy nie wolno korzystać z AI bez dodatkowej zgody.

W firmach, które wykorzystują AI w HR, rekrutacji, ocenie pracowników, analizie klientów, scoringu, obsłudze reklamacji albo podejmowaniu decyzji wpływających na sytuację osób fizycznych, konieczna jest szczególnie ostrożna analiza. Takie procesy mogą wiązać się z podwyższonym ryzykiem regulacyjnym, reputacyjnym i organizacyjnym.

Co powinna zawierać polityka korzystania z AI przez pracowników

Polityka AI powinna być dostosowana do konkretnej firmy. Inne zasady będą potrzebne kancelarii, inne spółce produkcyjnej, inne agencji marketingowej, software house, placówce medycznej, firmie księgowej albo podmiotowi z branży e commerce.

Najczęściej dokument powinien obejmować kilka podstawowych obszarów.

Po pierwsze, trzeba określić, jakie narzędzia AI mogą być używane w firmie. Pracownicy nie powinni samodzielnie wybierać dowolnych aplikacji, jeżeli wiąże się to z przekazywaniem danych poza organizację.

Po drugie, należy wskazać dopuszczalne cele korzystania z AI. Może to być na przykład tworzenie roboczych wersji tekstów, porządkowanie notatek, przygotowanie pomysłów, tłumaczenia pomocnicze albo wsparcie analityczne.

Po trzecie, polityka powinna określać zakazane sposoby użycia AI. W szczególności powinno się zakazać wprowadzania danych osobowych, informacji poufnych, tajemnicy przedsiębiorstwa, danych finansowych, dokumentów klienta oraz treści objętych obowiązkiem zachowania poufności, jeżeli firma nie dopuściła takiego działania po wcześniejszej analizie.

Po czwarte, trzeba ustalić zasady weryfikacji wyników. Pracownik powinien wiedzieć, że AI jest narzędziem pomocniczym, a nie samodzielnym autorem ostatecznej decyzji lub dokumentu.

Po piąte, warto określić zasady oznaczania treści przygotowanych z pomocą AI, szczególnie gdy są wykorzystywane w komunikacji zewnętrznej, marketingu, sprzedaży albo obsłudze klienta.

Po szóste, należy przewidzieć procedurę zgłaszania incydentów. Jeżeli pracownik przypadkowo wprowadzi do narzędzia AI dane osobowe albo informacje poufne, powinien wiedzieć, komu i w jakim terminie ma to zgłosić.

ChatGPT w pracy a obowiązki pracownika

Polityka korzystania z AI powinna być powiązana z obowiązkami pracowniczymi. Pracownik ma obowiązek dbać o dobro zakładu pracy, chronić mienie pracodawcy, zachowywać tajemnicę informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę, oraz przestrzegać zasad organizacji pracy.

Jeżeli firma wprowadza politykę AI, powinna zadbać o to, aby pracownicy zostali z nią zapoznani. W praktyce warto połączyć przyjęcie dokumentu z krótkim szkoleniem. Samo przesłanie pliku może być niewystarczające, jeżeli pracownicy nie rozumieją, jak stosować zasady w codziennej pracy.

W przypadku współpracowników B2B zasady korzystania z AI powinny wynikać także z umów. Warto zweryfikować postanowienia dotyczące poufności, ochrony danych, praw autorskich, zakazu przekazywania informacji osobom trzecim oraz odpowiedzialności za naruszenie tych obowiązków.

AI a prawa autorskie

Kolejnym obszarem są prawa autorskie. Pracownik może używać AI do tworzenia projektów tekstów, grafik, prezentacji albo kodu. Firma powinna jednak wiedzieć, czy i w jakim zakresie może korzystać z takich materiałów, zwłaszcza komercyjnie.

Polityka AI powinna zakładać ostrożność przy wykorzystywaniu treści wygenerowanych przez narzędzia AI jako gotowych materiałów publikowanych na zewnątrz. Warto wprowadzić zasadę, że materiały przeznaczone do publikacji, sprzedaży, kampanii reklamowych albo przekazania klientowi wymagają weryfikacji pod kątem praw autorskich, oznaczeń, licencji i ryzyka podobieństwa do cudzych treści.

Dotyczy to również kodu źródłowego, grafik, zdjęć, sloganów reklamowych i opisów produktów.

Polityka AI a umowy z klientami i kontrahentami

Przed wdrożeniem AI w firmie warto sprawdzić także umowy z klientami. Niektóre kontrakty zawierają zakazy przekazywania danych podmiotom trzecim, ograniczenia dotyczące podwykonawców, obowiązki lokalizacji danych albo szczególne wymogi bezpieczeństwa.

Jeżeli pracownik wprowadza treść dokumentu klienta do zewnętrznego narzędzia AI, może to być oceniane nie tylko przez pryzmat RODO, ale także przez pryzmat naruszenia umowy.

Dlatego polityka AI powinna być spójna z dokumentacją kontraktową firmy. W niektórych przypadkach konieczne może być uzupełnienie wzorów umów, procedur bezpieczeństwa, dokumentacji RODO albo zasad obsługi klienta.

Jak wdrożyć politykę korzystania z AI w firmie

Wdrożenie polityki AI warto zacząć od prostego audytu. Firma powinna ustalić, czy pracownicy korzystają już z ChatGPT lub innych narzędzi AI, w jakich działach, do jakich celów i na jakich danych.

Następnie trzeba ocenić ryzyka. Inne znaczenie będzie miało korzystanie z AI do tworzenia pomysłów na wpis blogowy, a inne używanie AI do analizy danych pracowników, dokumentacji medycznej, scoringu klientów albo przygotowywania rekomendacji biznesowych na podstawie danych finansowych.

Kolejnym krokiem jest przygotowanie dokumentu, który będzie zrozumiały dla pracowników i możliwy do stosowania w praktyce. Zbyt ogólna polityka nie spełni swojej funkcji. Zbyt restrykcyjna może zostać zignorowana.

Po przyjęciu polityki warto przeprowadzić szkolenie, przygotować przykłady dozwolonego i zakazanego użycia AI oraz wyznaczyć osobę odpowiedzialną za pytania i aktualizację zasad.

*W tym tekście posługujemy się nazwą ChatGPT jako pewnym uproszczeniem, ponieważ jest ona powszechnie rozpoznawalna i często używana przez przedsiębiorców jako skrót myślowy dla narzędzi opartych na generatywne

j sztucznej inteligencji. W praktyce opisane zasady dotyczą nie tylko ChatGPT, ale również innych dużych modeli językowych i narzędzi AI wykorzystywanych w pracy, niezależnie od ich nazwy, dostawcy albo sposobu udostępnienia.