Jakie polityki i zapisy do dokumentów wewnętrznych muszę wprowadzić, wdrażając narzędzia AI do swojej organizacji?

Polityka korzystania ze sztucznej inteligencji oraz procedury i klauzule umowne

Kiedy organizacja decyduje się na wdrożenie narzędzia AI, często pierwszym krokiem jest zakup licencji i takie wdrożenie techniczne, technologiczne, ale realnie często okazuje się, że to nie to stanowi największe wyzwanie, ale to, w jaki sposób ta sztuczna inteligencja ma być stosowana w organizacji tak, aby to było legalne, bezpieczne i aby podlegało odpowiedniej kontroli. Oznacza to przede wszystkim stworzenie pewnych polityk, procedur, zasad, ale nie tylko, bo również aktualizacji zapisów w istniejących już dokumentach wewnętrznych.

Różnice między polityką, procedurami a klauzulami umownymi

Warto na początek uporządkować sobie tą dokumentację wewnętrzną według takich trzech kryteriów: - jeżeli chcemy wprowadzić zasady ogólne, które obowiązują wszystkich, to zazwyczaj mówimy o polityce, - jeśli chodzi o drugą warstwę, to będą procedury i standardy opisujące jak coś konkretnie robimy, często też w jakichś dedykowanych zespołach lub działach, - no i wreszcie trzecia warstwa to klauzule w umowach. Tutaj będzie bardzo szeroki zakres w zależności od tego, czego umowa dotyczy. Będą to kwestie przetwarzania danych osobowych na przykład na potrzeby uczenia modeli AI, ale także kwestie ochrony praw własności intelektualnej.

Czyli pierwszym takim niezbędnym dokumentem jest polityka korzystania ze sztucznej inteligencji wraz właśnie z tymi ewentualnymi procedurami uzupełniającymi już szczegółowo regulującymi poszczególne kwestie opisane w polityce. Taka polityka powinna jasno określać, z jakich narzędzi można korzystać, do jakich celów, a czego absolutnie nie można robić.

Dozwolone i zakazane zastosowania AI w organizacji

Warto tam dodać taką listę przykładów, katalog dozwolonych zastosowań - na przykład możemy robić streszczenia, możemy projekty zanonimizowanych dokumentów próbować tam generować, robić analizy trendów czy jakiś ogólny research. Ale jednocześnie trzeba wskazać czerwone linie, czyli takie zastosowania, których nie możemy w organizacji dopuszczać, takie jak decyzje kadrowe podejmowane wyłącznie przez AI, czy też wprowadzanie poufnych danych do narzędzi sztucznej inteligencji.

Oznaczanie treści generowanych przez AI

Polityka powinna oczywiście wskazywać, kiedy treści generowane za pomocą sztucznej inteligencji należy oznaczać, w jaki sposób i kto ostatecznie ponosi odpowiedzialność za ich publikację. W organizacjach pracujących w dużej mierze z generatywną sztuczną inteligencją warto uregulować kwestie związane z prawem własności intelektualnej, czyli będzie to z jakich promptów można korzystać, jakie materiały chronione prawem, na przykład prawem autorskim, mogą być wykorzystywane. Wreszcie, trzeba zdefiniować oczekiwane rezultaty w zakresie praw do wyniku, czyli musimy się koniecznie zapoznać z warunkami świadczenia usług oferowanymi przez dostawcę narzędzia, aby wiedzieć, co możemy z takim wynikiem zrobić, czy w ogóle możemy go komercyjnie wykorzystać.

Dokumentacja RODO a wykorzystanie AI

Poza nowymi dokumentami trzeba zaktualizować te istniejące, jak już wspomniałam, i tu szczególnie istotna będzie dokumentacja związana z ochroną danych osobowych. W większości przypadków przetwarzanie danych szeroko pojętych, przez sztuczną inteligencję wiąże się również z przetwarzaniem danych osobowych, a zatem przede wszystkim musimy przeprowadzić ocenę skutków dla ochrony danych i zobaczyć jakie wynikają z niej wnioski. Być może będziemy musieli wprowadzić dodatkowe zabezpieczenia, stworzyć dodatkową dokumentację, stosować jako podstawę prawną przetwarzania prawnie uzasadniony interes administratora.

Czym jest LIA i kiedy należy go sporządzić

Trzeba też pamiętać o takim dokumencie jak LIA, z angielskiego Legitimate Interest Assessment, czyli ocena tego prawnie uzasadnionego interesu - czy on istnieje, czy rzeczywiście jest prawnie uzasadniony i czy nie przeważa czy przeważa właśnie nad prawami i wolnościami osób fizycznych.

Aktualizacja polityki bezpieczeństwa informacji

Wreszcie, trzeba zaktualizować politykę ochrony danych wymaganą przez RODO, no bo mogą się pojawić nowe cele przetwarzania, nowe podstawy, nowe sposoby zabezpieczenia danych, nowi odbiorcy danych a także z pewnością pojawią się inne niż dotąd terminy retencji danych. No i wreszcie, jeśli prowadzimy rejestr czynności przetwarzania, a pewnie w większości organizacji powinno się taki rejestr prowadzić, to również trzeba go uzupełnić o nowe procesy. Jeżeli w organizacji funkcjonuje polityka bezpieczeństwa informacji, a pewnie w organizacjach które wdrażają ISO bądź już wdrożyły, to taka polityka funkcjonuje, należy dodać dedykowany rozdział dotyczący sztucznej inteligencji, w szczególności charakteru i stopnia poufności danych przetwarzanych w takim systemie.

Zapisy o AI w regulaminie pracy

Ale to nie wszystko, bo mamy jeszcze pracowników zazwyczaj i jeżeli tacy funkcjonują w organizacji, to należy też zmienić regulamin pracy. Warto wprowadzić tam zapisy dotyczące zasad korzystania z narzędzi AI. No i jeżeli zamierzamy monitorować pracowników za pomocą narzędzi AI, a tak coraz częściej się dzieje, to koniecznie trzeba zachować procedurę postępowania przewidzianą w kodeksie pracy. Chodzi tutaj w szczególności o przepis artykułu 22 (3) par. 4 dotyczący monitoringu innego niż wizyjnej poczty elektronicznej. Taki monitoring może być wprowadzony jeżeli jest to niezbędne dla zapewnienia dobrej organizacji pracy, wykorzystania pełnego czasu pracy i właściwego użytkowania narzędzi udostępnionych pracownikom.

Obowiązki dokumentacyjne wynikające z AI Act

Jeśli zaś w grę wchodzi opracowanie i wdrożenie w organizacji systemu sztucznej inteligencji, który można zakwalifikować jako system wysokiego ryzyka w rozumieniu AI Act, no to pojawią się dodatkowe i często bardzo szerokie obowiązki dokumentacyjne. W szczególności, jeśli nasza organizacja jest dostawcą systemu AI, czyli opracowuje taki system i wprowadza go na rynek pod własną marką, to będzie musiała prowadzić dokumentację zarządzania ryzykiem, prowadzić polityki zarządzania danymi, sporządzić i aktualizować szczegółową dokumentację techniczną takiego systemu, sporządzić i posiadać ,również aktualizować w razie potrzeby, instrukcje obsługi dla podmiotów stosujących, posiadać dokumentację zgodności. Tutaj w szczególności konieczne będzie zrobienie deklaracji zgodności Unii Europejskiej. no i udokumentować i to bardzo szeroko. W AI Act są wymienione poszczególne elementy takiej dokumentacji, system zarządzania jakością.

Dodatkowe wymagania w sektorach regulowanych

Dodatkowo w sektorach regulowanych, takich jak finanse, medycyna, energetyka, warto zaangażować specjalistów do spraw zgodności z przepisami sektorowymi, bo tutaj margines błędu jest dużo mniejszy i dokumentacja dotycząca AI musi być zgodna właśnie z wymogami w zakresie zarządzania ryzykiem wynikającymi z tych przepisów branżowych.