1. Kluczowe elementy Wewnętrznej Polityki AI
Wewnętrzna polityka AI powinna opisywać własne zasady i konkretne przypadki korzystania z tej technologii w organizacji. Tak aby każdy kto w firmie korzysta z AI wiedział co wolno a czego nie i dlaczego. Jej zadaniem jest pomagać korzystającym ze sztucznej inteligencji w codziennej pracy i wyznaczać ramy, w których mogą się bezpiecznie poruszać.
Dlatego w pierwszej kolejności trzeba zadać sobie pytanie: Czy pracownicy, współpracownicy czy podwykonawcy w ogóle mogą korzystać z GenAI w swojej pracy? Jest to podstawowa kwestia, od której trzeba wyjść. A jeśli już stwierdzicie, że narzędzia generatywnej sztucznej inteligencji będą „dozwolone”, to trzeba będzie cały proces korzystania z nich opisać właśnie w polityce AI.
Co zatem powinno się znaleźć w tym dokumencie?
1.1. Zakres stosowania GenAI w organizacji
W tym artykule skupiam się na aspektach dotyczących korzystania z GenAI. Ale jeżeli w firmie używacie rozwiązań bardziej tradycyjnej AI (do klasyfikacji lub predykcji opartej na danych historycznych a nie generowania nowych danych jako takich), to również zasady korzystania z nich powinny zostać ujęte w tym dokumencie.
1.1.1. Co?
Osoby zatrudnione w organizacji muszą wiedzieć z jakich konkretnie narzędzi wolno im korzystać a z jakich nie. I dotyczy to zarówno:
- rozwiązań rozwijanych wewnętrznie,
- licencjonowanych narzędzi pochodzących od zewnętrznych dostawców,
- publicznie dostępnych rozwiązań (np. ChatGPT).
Zwłaszcza w kontekście tych ostatnich ważne jest określenie np. że dozwolone jest korzystanie tylko z narzędzi objętych zakupioną licencją i udostępnionych przez firmę a zabronione korzystanie z wersji dla użytkowników prywatnych. Chodzi tutaj głównie o kwestie bezpieczeństwa informacji, o czym więcej poniżej.
1.1.2. Kto?
W polityce powinny się znaleźć również informacje: kto może korzystać z narzędzi GenAI i w jakim zakresie. Zasady te mogą być różnie określone w zależności od tego czy mamy do czynienia z pracownikiem czy zewnętrznym podwykonawcą.
1.1.3. Jak?
Kolejnym krokiem jest określenie do jakich rodzajów zadań można używać określonych narzędzi (m.in.: research, tzw. burza mózgów, tworzenie roboczych wersji dokumentów, wsparcie w programowaniu). Ta część powinna odzwierciedlać jak rzeczywiście AI będzie używane w organizacji oraz jak ocenia użyteczność konkretnych modeli AI pod kątem biznesowym.
Dlaczego ma to tak ogromne znaczenie? Sposób określenia zakresu polityki ma bezpośredni wpływ na skuteczność w zarządzaniu zjawiskiem „shadow AI”. Jest to sytuacja, w której pracownicy czy podwykonawcy używają niezatwierdzonych, najczęściej publicznych narzędzi AI bez wiedzy organizacji. To z kolei wiąże się z ryzykiem wycieku poufnych, istotnych danych na zewnątrz. Dlatego określenie zakresu korzystania z GenAI (szerszy/węższy) okazuje się być decyzją strategiczną dla zarządzania ryzykiem związanym z „shadow AI”.
1.2. Powiązania z innymi wewnętrznymi dokumentami
Polityka AI nie jest dokumentem istniejącym w próżni. W związku z tym warto opisać w jaki sposób jest skorelowana z innymi regulacjami wewnętrznymi np. polityką ochrony danych, własności intelektualnej czy bezpieczeństwa IT. Pomóc w tym może również wprowadzenie odpowiedniego słowniczka, który będzie zawierał definicje związane z AI, ale również te wskazane w innych dokumentach firmowych.
1.3. Działania zabronione
Określenie, które obszary działania są kategorycznie wyłączone z użycia AI jest jednym z najważniejszych elementów wewnętrznej polityki. Od niej zależy nie tylko to czy dane organizacji zostaną odpowiednio zabezpieczone, ale również w jaki sposób będzie możliwe wyciągnięcie konsekwencji od pracownika w razie jej naruszenia.
Przykładowe działania zakazane to:
- wprowadzenie danych wrażliwych (objętych tajemnicą przedsiębiorstwa, know-how) czy danych osobowych do narzędzi niezatwierdzonych, z których pracownik korzysta prywatnie,
- używanie AI do obchodzenia środków bezpieczeństwa organizacji,
- generowanie treści naruszających prawa autorskie lub inne prawa własności intelektualnej,
- wprowadzanie w błąd poprzez zatajenie użycia GenAI do wygenerowania materiałów,
- generowanie szkodliwych lub obraźliwych treści.
Warto również wyjaśnić z jakich powodów (prawne, biznesowe, techniczne) działania te są zabronione oraz jakie ryzyka się z tym wiążą.
1.4. Zarządzanie danymi
Gdy wprowadzamy do systemów AI dane osobowe musimy standardowo określić w jaki sposób będzie się to odbywać. Wytyczne muszą się opierać na przepisach dot. ochrony danych osobowych, co wymusza to na administratorze danych dostosowanie się do konkretnych regulacji.
I tutaj pojawia się pierwsze wyzwanie w postaci obowiązku zachowania transparentności. Osoby fizyczne muszą być informowane o tym jakie dane są przetwarzane, w jaki sposób i w jakim celu (art. 13 i 14 RODO). A w przypadku systemów AI pojawia się problem tzw. „czarnej skrzynki”, czyli sytuacji, w której działanie AI jest trudne do wytłumaczenia. Kolejne wyzwanie to możliwość skorzystania z tzw. prawa do bycia zapomnianym (art. 17 ust. 1 RODO). W niektórych wypadkach, ze względów technicznych może być to zwyczajnie niemożliwe.
Wyzwania te pokazują, że zarówno aspekty techniczne jak i prawne mają kluczowe znaczenie nie tylko przy tworzeniu polityki, ale przede wszystkim budowaniu procesów korzystania z AI w organizacji. Ostatecznie to na barkach przedsiębiorcy spoczywa odpowiedzialność za działania pracowników i to on poniesie (np. jako administrator danych) wszelkie konsekwencje z tym związane.
1.5. Własność intelektualna treści generowanych przez AI
Kolejnym istotnym punktem jest oczywiście kwestia praw własności intelektualnej, w tym praw autorskich do wygenerowanych treści. Polityka AI powinna określać m.in.:
- jakie materiały mogą posłużyć jako input (dane wejściowe) – jest to kluczowa, kwestia, ponieważ jeżeli korzystamy np. z treści objętych licencją, musi ona obejmować zgodę na wprowadzanie utworu do modelu AI,
- w jaki sposób treści będą weryfikowane i przez kogo,
- kto odpowiada za output (dane wyjściowe),
- czy i jak można wykorzystywać wizerunek konkretnych osób.
1.6. Struktura zarządzania i wdrażania AI w organizacji
Ten punkt powinien określać kto będzie wdrażać i nadzorować korzystanie z GenAI w organizacji. Konkretne role i obowiązki powinny zostać przydzielone w taki sposób, aby proces decyzyjny i mechanizmy rozliczalności nie rodziły wątpliwości.
1.7. Aktualizacje polityki
Wewnętrzna polityka powinna określać jakie sytuacje skutkują koniecznością jej przeglądu i aktualizacji. Nie muszą być to tylko nowelizacje przepisów. Również zmiany w otoczeniu biznesowym czy w samej organizacji powinny być impulsem do zmiany (np. pojawienie się nowego modelu lub znalezienie nowego zastosowania narzędzia, z którego pracownicy już korzystają). To pozwoli zachować aktualność dokumentu a przede wszystkim jego użyteczność dla korzystających z GenAI w organizacji.
2. Dlaczego warto?
Dobrze opracowana i wdrożona wewnętrzna polityka AI jest wartościowym dokumentem z wielu powodów, m.in.:
- pomaga identyfikować, oceniać i łagodzić ryzyka (prawne – np. niezgodność z AI Act czy RODO; finansowe – kary za naruszenia; operacyjne – błędy systemów AI; reputacyjne). Chroni w ten sposób organizację przed negatywnymi konsekwencjami;
- pomaga w spełnianiu obowiązków dot. ochrony danych, przejrzystości i etycznego wykorzystania tej technologii (compliance);
- dostarcza pracownikom jasnych wytycznych, zmniejszając niepewność i ułatwiając podejmowanie decyzji;
- buduje zaufanie i profesjonalizm w oczach klientów i partnerów biznesowych;
- tworzy formalną strukturę zarządzania AI w organizacji (nadzór, role, odpowiedzialność, procesy decyzyjne).
Jednak polityka sama w sobie nie jest wystarczającym elementem wdrażania AI w organizacji. Kluczowe jest odpowiednie przeszkolenie pracowników z naciskiem na praktyczne zastosowanie. Innego rodzaju zasady będą obejmować osoby nadzorujące cały proces korzystania czy wdrażania AI, a inne będą dotyczyć pracowników niższego szczebla i podwykonawców. Co pokazuje, że dokument ten jest fundamentem odpowiedzialnego i strategicznego wykorzystywania sztucznej inteligencji w organizacji.
