.
Wprowadzenie systemów sztucznej inteligencji do środowiska pracy to już nie kwestia przyszłości, lecz teraźniejszości, która wymaga przemyślanej organizacji i pragmatyzmu. AI Act (rozporządzenie 2024/1689), które weszło w życie 2 sierpnia 2024 r., nakłada nowe obowiązki na firmy, jednak kluczowe wyzwania leżą w codziennej praktyce. Prawo pracy nie reguluje wprost użycia narzędzi AI, lecz zasady ogólne nakładają na pracodawcę obowiązek zachowania należytej staranności (art. 94 kodeksu pracy) oraz zapewnienia bezpiecznych warunków pracy. W dobie cyfryzacji oznacza to również konieczność zarządzania ryzykiem technologicznym.
AI Shadow
Problem, z którym mierzy się wiele organizacji, to zjawisko „AI Shadow” (cienia AI) – pracownicy, chcąc przyspieszyć swoją pracę, korzystają z prywatnych, darmowych narzędzi AI bez wiedzy przełożonych i bez weryfikacji bezpieczeństwa danych. Dlatego kluczowym celem regulacji wewnętrznych nie powinno być „blokowanie innowacji”, lecz wyprowadzenie AI z cienia i nadanie jej bezpiecznych ram.
Choć AI Act będzie stosowany stopniowo, jego skutki są już odczuwalne. Dla systemów AI wysokiego ryzyka (np. stosowanych w rekrutacji czy ocenie wyników) pracodawca jako podmiot stosujący (zgodnie z art. 26 AI Act) musi zapewnić monitorowanie ich działania i nadzór człowieka (human oversight). Jednak nawet w przypadku prostszych narzędzi pracodawca musi wykazać się aktywnością. Brak kontroli nad tym, jak dział marketingu generuje treści, a księgowość analizuje faktury, może prowadzić do ujawnienia danych klientów lub błędów finansowych, za które odpowiedzialność spadnie na firmę.
Zamiast tworzyć jeden opasły dokument dla całej firmy, rekomenduje się podejście oparte na prostocie i specyfice działowej. Inne ryzyka generuje programista używający asystenta kodu (ryzyko wklejenia kodu źródłowego firmy), a inne pracownik HR (ryzyko wklejenia danych osobowych kandydata). „Prompt-policies” powinny być zwięzłe i zrozumiałe. Muszą precyzować:
∑ listę narzędzi dozwolonych i zakazanych (tzw. biała i czarna lista),
∑ zasady „Health & Safety” danych – np. bezwzględny zakaz wpisywania danych osobowych, haseł i tajemnic handlowych do publicznych modeli AI,
∑ wymóg weryfikacji – zasada, że to człowiek, a nie AI, odpowiada za ostateczny wynik pracy.
Dane i tajemnica
W kontekście ochrony danych i tajemnic przedsiębiorstwa odpowiedzialność pracodawcy jest kluczowa. Zgodnie z RODO i ustawą o zwalczaniu nieuczciwej konkurencji niedopuszczalne jest „karmienie” modeli AI danymi wrażliwymi. Praktyka compliance powinna sprowadzać się do prostego komunikatu: traktuj prompt jak publiczny post w mediach społecznościowych – nie wpisuj tam nic, czego nie ujawniłbyś publicznie.
Aby te zasady były egzekwowalne, pracodawca może monitorować sposób korzystania z narzędzi służbowych. Należy jednak pamiętać, że monitoring poczty czy aktywności w systemach AI musi odbywać się zgodnie z art. 22³ kodeksu pracy. Oznacza to obowiązek poinformowania pracowników o celu, zakresie i sposobie monitoringu nie później niż dwa tygodnie przed jego uruchomieniem. Jest to wymóg bezwzględny – nie można monitorować pracowników „z ukrycia”, nawet w słusznej wierze.
Kwestia odpowiedzialności jest podzielona. Pracownik może odpowiadać materialnie za szkody wyrządzone pracodawcy (np. poprzez wyciek danych do modelu AI) do trzykrotności wynagrodzenia w przypadku winy nieumyślnej. Jednak to pracodawca ponosi pełną odpowiedzialność wobec osób trzecich (klientów, kontrahentów) za błędy swojego personelu. Dlatego regulaminy muszą kłaść nacisk na zasadę „human in the loop” – każda decyzja, rekomendacja czy treść wygenerowana przez AI musi zostać sprawdzona i zatwierdzona przez kompetentnego pracownika. Wszelkie odniesienia do dyrektywy AI Liability należy na razie traktować jako koncepcję przyszłościową, gdyż prace nad nią uległy znacznemu spowolnieniu.
Ważny jest regulamin
Istotnym aspektem są prawa autorskie. AI nie jest twórcą w rozumieniu prawa. Ochrona prawna przysługuje tylko wtedy, gdy w procesie powstania utworu dominujący jest twórczy wkład człowieka. Ponieważ prawo nie jest tu jednoznaczne, regulaminy powinny zabezpieczać interes pracodawcy. W przypadku utworów ogólnych (teksty, grafiki) prawa majątkowe przechodzą na pracodawcę na mocy art. 12 ustawy o prawie autorskim (z chwilą przyjęcia utworu), a w przypadku programów komputerowych – na mocy art. 74 ustawy. Warto jednak wprowadzić do umów lub regulaminów dodatkowe klauzule cesji praw, zabezpieczające firmę, na wypadek gdyby udział pracownika w „promptowaniu” został uznany za niewystarczający do powstania utworu pracowniczego.
Podsumowując, wdrożenie zasad korzystania z AI nie wymaga rewolucji, lecz ewolucji dotychczasowych zasad bezpieczeństwa. Podejście zdroworozsądkowe – oparte na szkoleniach, jasnej liście narzędzi i prostych instrukcjach dla poszczególnych zespołów – jest najlepszą formą realizacji obowiązku należytej staranności. Dokumentacja wdrożenia tych prostych zasad oraz potwierdzenie ich znajomości przez pracowników stanowią dowód, że pracodawca zarządza ryzykiem świadomie i zgodnie z prawem.
Miłosława Strzelec-Gwóźdź
radca prawny, GP Kancelaria, Radcowie Prani i Adwokaci, Strzelec-Gwóźdź S.K.A.
