Brak zasad korzystania z AI działa na niekorzyść pracodawcy

Dopiero jasno zakomunikowane wytyczne w zakresie wykorzystywania rozwiązań opartych na sztucznej inteligencji przez zatrudnionych pozwalają na skuteczną ochronę przed ryzykiem prawnym. Uporządkowanie tych reguł stanowi warunek zabezpieczenia danych i informacji poufnych, a także możliwości przypisania pracownikowi odpowiedzialności za naruszenie jego obowiązków.

Motywacja pracowników jest zrozumiała. Chcą pracować szybciej, efektywniej i lepiej. Problem w tym, że w pogoni za wydajnością często nie zdają sobie sprawy, że każde zapytanie wprowadzone do narzędzia wykorzystującego AI może oznaczać przekazanie danych firmowych na zewnątrz – poza kontrolę pracodawcy. A takie dane mogą obejmować chociażby informacje objęte tajemnicą przedsiębiorstwa pracodawcy lub jego kontrahentów, dane osobowe, lub inne poufne informacje.

Niestety wiele osób nadal nie uświadamia sobie, że wprowadzenie np. fragmentu umowy, bazy klientów, zgłoszenia sygnalisty, opisu incydentu bezpieczeństwa czy danych kadrowych do publicznego chatbota jest równoznaczne z udostępnieniem tych informacji podmiotowi trzeciemu i przetwarzaniem ich w środowisku, na które pracodawca nie ma wpływu.

Dyscyplinarne zwolnienie za korzystanie z chatgpt?

Pracodawcy coraz częściej pytają, czy wprowadzenie firmowych danych do narzędzia generatywnej AI może zostać uznane za ciężkie naruszenie podstawowych obowiązków pracowniczych i stanowić podstawę do rozwiązania umowy o pracę w trybie dyscyplinarnym.

Odpowiedź nie jest jednoznaczna. Dla zakwalifikowania danego zachowania jako ciężkiego naruszenia podstawowych obowiązków pracowniczych nie wystarcza sam fakt korzystania przez pracownika z narzędzi AI bez wiedzy pracodawcy – konieczne jest łączne wystąpienie trzech przesłanek: bezprawności, zagrożenia interesów pracodawcy oraz winy pracownika.

Świadomość

Decydujące znaczenie ma tu element świadomości. Warunkiem ciężkiego naruszenia jest to, czy w konkretnym przypadku pracownik wiedział albo co najmniej mógł i powinien przewidywać, że korzystając w określony sposób z narzędzi AI bez wiedzy i zgody pracodawcy narusza swoje podstawowe obowiązki i jednocześnie naraża organizację na konsekwencje prawne, finansowe lub reputacyjne.

Jeżeli więc wprowadzał do narzędzia Gen AI dane poufne, osobowe lub informacje objęte tajemnicą przedsiębiorstwa pracodawcy, wiedząc – albo przy zachowaniu elementarnej staranności, gdy powinien wiedzieć – że są to dane, których nie wolno mu udostępniać na zewnątrz, można mówić o rażącym niedbalstwie, a nawet winie umyślnej. [przykład]

Przykład

Ujawnienie danych firmowych

Pracownik działu HR wprowadza do ChatGPT, korzystając z podstawowego konta, dane osobowe kandydatów do pracy w celu przygotowania zestawienia ich kompetencji. W takiej sytuacji dochodzi do przekazania danych osobowych chronionych przepisami RODO do zewnętrznego systemu. Również specjalista ds. marketingu, który wkleja do narzędzia generatywnej AI strategię produktową zawierającą informacje o planowanych kampaniach oraz budżetach, ujawnia dane mające potencjalnie charakter tajemnicy przedsiębiorstwa.

Inne skutki złamania ustaleń

Nawet jeśli zachowanie pracownika nie uzasadnia natychmiastowego zwolnienia, katalog możliwych konsekwencji jest szeroki. Pracodawca może zastosować kary porządkowe, wypowiedzieć umowę o pracę w zwykłym trybie, a w razie doznania szkody – dochodzić odszkodowania na podstawie przepisów o odpowiedzialności materialnej pracownika.

To nie koniec. Jeżeli doszło do ujawnienia danych osobowych lub tajemnicy przedsiębiorstwa, odpowiedzialność może wykraczać poza regulacje prawa pracy i wkraczać w sferę prawa karnego. Zgodnie z ustawą o zwalczaniu nieuczciwej konkurencji niezgodne z przepisami lub przyjętym zobowiązaniem (np. wynikającym z regulaminu pracy lub podpisanego oświadczenia o zachowaniu poufności) ujawnienie innej osobie informacji stanowiących tajemnicę przedsiębiorstwa jest zagrożone grzywną, ograniczenia albo pozbawienia wolności do dwóch lat.

Podobnie w przypadku naruszenia RODO – przetwarzanie danych osobowych z naruszeniem przepisów skutkować może dla pracownika grzywną, karą ograniczenia albo pozbawienia wolności do trzech lat.

Odpowiedzialność pracodawcy

W organizacjach często się zakłada, że skoro AI coś wygenerowało, to można tego użyć. To jednak duże uproszczenie. Co do zasady pracodawca nabywa autorskie prawa majątkowe do utworów, które pracownik stworzył w wyniku wykonywania swoich obowiązków pracowniczych. Nie rozwiązuje to jednak problemu, czy końcowy materiał w ogóle jest utworem (który wymaga twórczości człowieka) i czy nie narusza cudzych praw.

Po drugie, ryzyko naruszenia może powstać zarówno przy karmieniu narzędzia AI fragmentami utworów innych osób (np. materiałów licencjonowanych), jak i przy publikacji outputu, który jest łudząco podobny do chronionych treści.

Niezależnie od konsekwencji wewnętrznych wyciek danych lub poufnych informacji, naruszenie autorskich praw majątkowych innych osób, może skutkować roszczeniami klientów, kontrahentów czy pracowników (np. przy naruszeniu danych osobowych).

Zgodnie z kodeksem pracy, jeśli pracownik przy wykonywaniu swoich obowiązków pracowniczych wyrządzi szkodę osobie trzeciej (np. narusza jej autorskie prawa osobiste do utworu, który wykorzystał AI), zobowiązany do naprawienia szkody będzie wyłącznie pracodawca. Dopiero kiedy firma naprawi szkodę osobie trzeciej (chociażby wypłacając odszkodowanie za naruszenie autorskich praw majątkowych) może dochodzić od pracownika, który dopuścił się takiego naruszenia, zwrotu tej kwoty – w ramach tzw. regresu. Tutaj jednak zastosowanie znajdą przepisy dotyczące odpowiedzialności materialnej pracownika (co do zasady do trzykrotności wynagrodzenia).

To kolejny argument, aby organizacje potraktowały zasady korzystania z AI jako element zarządzania ryzykiem przedsiębiorstwa, a nie wyłącznie kwestię narzędzia ułatwiającego i przyspieszającego pracę.

Istotne wewnętrzne procedury

Aktualna i szczegółowa polityka korzystania z narzędzi AI ma kluczowe znaczenie z kilku powodów:

może stanowić dowód dochowania przez pracodawcę należytej staranności w zakresie ochrony danych oraz tajemnicy przedsiębiorstwa. Okoliczność ta ma istotne znaczenie w ewentualnych postępowaniach prowadzonych przed organami nadzorczymi;
zwiększa zakres odpowiedzialności pracownika. Decydujące znaczenie ma wówczas ocena, czy zachowanie pracownika służyło wykonywaniu obowiązków pracowniczych oraz czy mieściło się w granicach praktyk akceptowanych przez pracodawcę i ukształtowanych realiami organizacji pracy. W sytuacji gdy pracodawca wprowadził wyraźne zakazy korzystania z nieautoryzowanych narzędzi AI, a pracownik je naruszył, wykazanie winy pracownika staje się istotnie łatwiejsze;
pełni funkcję ochronną w sporach sądowych. W ewentualnym sporze pracownik może bowiem podnosić, że jego działania służyły wykonywaniu obowiązków pracowniczych i stanowiły akceptowaną przez pracodawcę praktykę, nawet jeśli formalnie obowiązywały w tym zakresie wewnętrzne procedury, które nie były w organizacji powszechnie przestrzegane.

Ważne

Brak polityk AI, szkoleń oraz jasno określonych reguł przez pracodawcę istotnie osłabia podstawy rozwiązania umowy o pracę w trybie dyscyplinarnym. Trudno bowiem uznać za bezprawne zachowanie pracownika polegające na wykonywaniu obowiązków służbowych przy braku jednoznacznie określonego przez pracodawcę sposobu organizacji pracy z wykorzystaniem narzędzi AI. ©℗

Naruszenie RODO

Pracodawca jako administrator danych osobowych odpowiada za zapewnienie ich bezpieczeństwa. Zgodnie z art. 32 RODO jego obowiązkiem jest wdrożenie odpowiednich środków technicznych i organizacyjnych, by zapewnić stopień bezpieczeństwa odpowiadający ryzyku. Pod pojęciem takich środków niewątpliwie powinniśmy rozumieć chociażby jasno określone i zakomunikowane pracownikom zasady korzystania z narzędzi AI.

Firmy coraz częściej wdrażają polityki AI, które wyjaśniają, w jaki sposób, w jakich celach i przy użyciu jakich zabezpieczeń pracownicy mogą korzystać z określonych narzędzi AI. Praktyczne problemy są jednak następujące:

takie dokumenty nie są aktualizowane odpowiednio często w stosunku do zmian, jakie zachodzą w rozwiązaniach sztucznej inteligencji,
pracownicy – poza przeczytaniem samego dokumentu, którego niejednokrotnie nie rozumieją – nie przechodzą odpowiednich praktycznych szkoleń, które pomagają w bezpiecznym korzystaniu z tej technologii.

Jeśli pracownik wprowadzi dane osobowe klientów, kontrahentów czy innych pracowników do zewnętrznego narzędzia AI, może dojść do naruszenia bezpieczeństwa ich danych osobowych. Pracodawca może wówczas odpowiadać np. za brak odpowiednich środków technicznych i organizacyjnych zabezpieczających dane lub ich ujawnienie bez podstawy prawnej. To zaś może się wiązać z sankcjami administracyjnymi, jakie może nałożyć na organizację Prezes Urzędu Ochrony Danych Osobowych.

Utrata tajemnicy przedsiębiorstwa

Wprowadzenie informacji, które stanowią tajemnicę przedsiębiorstwa, do publicznie dostępnych narzędzi AI może skutkować utratą statusu prawnego takich informacji jako tajemnicy. Wprowadzenie takich informacji do systemów AI, które mogą je wykorzystywać do trenowania modeli lub – w zależności od ustawień – udostępniać innym użytkownikom, może oznaczać utratę ochrony prawnej. A to z kolei może prowadzić do utraty przewagi konkurencyjnej organizacji, której odbudowanie będzie niemożliwe lub niezwykle kosztowne.

Weryfikacja przed pociągnięciem pracownika do odpowiedzialności

W toku oceny czy pracownik, który korzystał z narzędzi AI niezapewnionych przez organizację, bez jej wiedzy i zgody, warto zweryfikować, z jakiej wersji danego narzędzia faktycznie korzystał. Różne wersje np. ChatGPT oferują odmienne zabezpieczenia danych. Poza tym warto sprawdzić, czy w ustawieniach systemu była włączona opcja pozwalająca na wykorzystywanie danych do trenowania modelu oraz czy była włączona opcja zapamiętywania rozmów oraz czy używał wersji przeznaczonej do wykorzystania biznesowego.

To istotne rozróżnienie. Przywołany ChatGPT w wersji darmowej domyślnie wykorzystuje wprowadzone dane do trenowania modelu, chyba że użytkownik wyłączy tę opcję w ustawieniach. Wersja płatna oferuje większą kontrolę nad danymi, a wersje biznesowe – ChatGPT Enterprise czy ChatGPT Team – zapewniają znacznie wyższy poziom bezpieczeństwa i nie wykorzystują danych klientów do trenowania modeli.

Pracodawcy powinni również zwrócić uwagę na:

rodzaj wprowadzonych danych – czy były to dane osobowe, tajemnica przedsiębiorstwa, informacje poufne;
skalę naruszenia – ile danych zostało wprowadzonych, jak często;
cel działania pracownika – czy służył wykonywaniu obowiązków służbowych, czy celom prywatnym;
skutki naruszenia – czy doszło do rzeczywistej szkody, czy tylko do zagrożenia. ©℗

Podstawa prawna

rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U.UE.L. z 2016 r. poz. 119 str. 1)

ustawy z 26 czerwca 1974 r. – Kodeks pracy (t.j. Dz.U. z 2025 r. poz. 277; ost.zm. Dz.U. z 2026 r. poz. 25)