Polityka AI w firmie jest obecnie równie istotna jak regulamin pracy

Wraz z rosnącym znaczeniem sztucznej inteligencji w codziennych operacjach biznesowych pracodawcy muszą zadbać o jasne i spójne zasady korzystania z narzędzi AI przez pracowników. Wdrożenie polityki AI w organizacji przynosi wiele korzyści.

Ochrona danych osobowych

Przede wszystkim polityka AI pomaga pracodawcy w określeniu zasad ochrony danych osobowych, tajemnicy przedsiębiorstwa oraz innych informacji poufnych. Dzięki ustaleniu jasnych reguł organizacja zmniejsza ryzyko naruszenia prawa. Zdefiniowanie wytycznych dotyczących korzystania z narzędzi sztucznej inteligencji pozwala też przypisać odpowiedzialność pracownikom za ewentualne naruszenia, takie jak udostępnienie danych za pośrednictwem narzędzi AI bez zgody pracodawcy.

W przypadku braku wytycznych pracodawca może mieć trudności w egzekwowaniu odpowiedzialności pracownika, który nieświadomie lub celowo naruszy zasady ochrony danych. Wprowadzenie polityki umożliwia jednoznaczne określenie, jakie działania są akceptowane, a jakie stanowią naruszenie obowiązków pracowniczych.

Firmowe narzędzia

Polityka AI umożliwia pracownikom bezpieczne i efektywne korzystanie z firmowych narzędzi, co może przyczynić się do poprawy wydajności w organizacji.

Dobrze skrojona polityka AI wspomaga zarządzanie ryzykiem prawnym. Może stanowić dowód dochowania przez pracodawcę należytej staranności w zakresie ochrony danych oraz tajemnicy przedsiębiorstwa, co ma istotne znaczenie w ewentualnych postępowaniach prowadzonych przed organami nadzorczymi. Posiadanie udokumentowanych procedur i szkoleń może być okolicznością łagodzącą w przypadku incydentów oraz dowodem profesjonalnego podejścia do zarządzania bezpieczeństwem informacji.

Jeśli bowiem pracownik wprowadzi dane osobowe klientów, kontrahentów czy innych pracowników do zewnętrznego narzędzia AI, może dojść do naruszenia bezpieczeństwa ich danych osobowych, a pracodawca może wówczas odpowiadać m.in. za brak odpowiednich środków technicznych i organizacyjnych zabezpieczających dane lub ich ujawnienie bez podstawy prawnej, co może się wiązać z sankcjami administracyjnymi, jakie może nałożyć na organizację prezes Urzędu Ochrony Danych Osobowych.

Ochrona tajemnicy przedsiębiorstwa

Wprowadzenie informacji, które stanowią tajemnicę przedsiębiorstwa, do publicznie dostępnych narzędzi AI może skutkować utratą statusu prawnego takich informacji jako tajemnicy. Jeśli systemy AI wykorzystają te informacje do trenowania modeli lub – w zależności od ustawień – udostępnią je innym użytkownikom, może to oznaczać utratę ochrony prawnej i prowadzić do utraty przewagi konkurencyjnej organizacji, której odbudowanie będzie niemożliwe lub niezwykle kosztowne.

Rola działów HR

Działy HR odgrywają istotną rolę we wdrażaniu i przestrzeganiu polityki AI w organizacji. To właśnie HR odpowiada za komunikowanie zasad pracownikom i zapewnienie im odpowiednich szkoleń. Ważne jest, aby ten dział monitorował przestrzeganie polityki AI przez pracowników, a także współpracował z IT i inspektorem ochrony danych osobowych oraz Compliance Officerem w zakresie zapewnienia odpowiednich zabezpieczeń.

Niezbędny nadzór…

Rola HR w tym procesie to także nadzór nad odpowiedzialnością pracowników, zarówno w zakresie przestrzegania polityki, jak i ewentualnych konsekwencji jej naruszenia. HR musi współpracować w tym zakresie z działem prawnym, aby ustalić, jakie konsekwencje mogą wynikać z nieprzestrzegania polityki AI, w tym możliwe sankcje i procedury dyscyplinarne.

…i aktualizacja

Ze względu na dynamiczny rozwój technologii AI działy HR – we współpracy z działami IT i prawnym – powinny zapewnić regularną aktualizację polityki. Zmiany w dostępnych narzędziach, ich funkcjonalnościach oraz zagrożeniach wymagają ciągłego dostosowywania regulacji wewnętrznych.

Ryzyka i konsekwencje braku polityki AI

Brak polityki AI naraża pracodawcę na liczne ryzyka, które mogą prowadzić do poważnych konsekwencji prawnych i finansowych. Jednym z najpoważniejszych zagrożeń jest utrata danych osobowych lub tajemnicy przedsiębiorstwa. Wprowadzenie poufnych informacji do publicznych narzędzi AI, takich jak darmowe wersje ChatGPT, może prowadzić do ich wycieku, co z kolei naraża organizację na sankcje administracyjne, w tym grzywny i inne kary.

Pracodawca jako administrator danych osobowych odpowiada za zapewnienie ich bezpieczeństwa, a zgodnie z art. 32 RODO jego obowiązkiem jest wdrożenie odpowiednich środków technicznych i organizacyjnych, by zapewnić stopień bezpieczeństwa odpowiadający ryzyku. Pod pojęciem takich środków niewątpliwie powinniśmy rozumieć chociażby jasno określone i zakomunikowane pracownikom zasady korzystania z narzędzi AI.

Brak odpowiednich regulacji wewnętrznych w zakresie wykorzystywania AI może być interpretowany jako niedopełnienie obowiązków administratora danych, co naraża organizację na sankcje ze strony organów nadzorczych, w tym prezesa Urzędu Ochrony Danych Osobowych.

Nieautoryzowane przetwarzanie

Kolejnym ryzykiem jest odpowiedzialność prawna za nieautoryzowane przetwarzanie danych lub naruszenie tajemnicy przedsiębiorstwa. Pracodawcy, którzy nie wprowadzą odpowiednich zasad, mogą napotkać trudności w przypisaniu odpowiedzialności pracownikom za takie naruszenia, a także w obronie przed roszczeniami ze strony osób trzecich – klientów, kontrahentów.

Brak polityk AI, szkoleń oraz jasno określonych reguł przez pracodawcę istotnie osłabia też podstawy rozwiązania umowy o pracę w trybie dyscyplinarnym. Trudno bowiem uznać za bezprawne zachowanie pracownika polegające na wykonywaniu obowiązków służbowych przy braku jednoznacznie określonego przez pracodawcę sposobu organizacji pracy z wykorzystaniem narzędzi AI.

Niezależnie od konsekwencji wewnętrznych wyciek danych lub poufnych informacji, naruszenie autorskich praw majątkowych innych osób mogą skutkować roszczeniami klientów, kontrahentów czy pracowników, na przykład przy naruszeniu danych osobowych. Konsekwencje wizerunkowe i reputacyjne takiego incydentu mogą przewyższać bezpośrednie straty finansowe, prowadząc do utraty kontraktów, obniżenia wartości marki i trudności w pozyskiwaniu nowych klientów.

Nie opcja, ale konieczność

Organizacje powinny potraktować zasady korzystania z AI jako element zarządzania ryzykiem przedsiębiorstwa, a nie wyłącznie kwestię narzędzia ułatwiającego i przyspieszającego pracę. Polityka AI to fundament proaktywnego podejścia do zarządzania ryzykiem. Pozwala na identyfikację, ocenę i mitygację zagrożeń, które wiążą się z wykorzystywaniem technologii AI w codziennych procesach biznesowych.

W obliczu rosnącej roli sztucznej inteligencji w biznesie pracodawcy nie mogą sobie pozwolić na brak takich regulacji. Wdrożenie polityki AI, której zasady są zgodne z przepisami prawa, pozwala nie tylko chronić organizację przed ryzykiem prawnym, ale również budować zaufanie wśród pracowników i partnerów biznesowych, pokazując, że firma podchodzi odpowiedzialnie do kwestii ochrony danych i poufności.

• listę danych bezwzględnie zakazanych do wprowadzania (m.in. dane osobowe, tajemnica przedsiębiorstwa, informacje objęte klauzulami poufności);
• dane wymagające specjalnej autoryzacji (informacje wewnętrzne, dane biznesowe niestanowiące tajemnicy);
• dane dopuszczone do przetwarzania przez narzędzia AI (informacje publicznie dostępne, ogólne zapytania merytoryczne).