AI w firmie bez wiedzy szefa. Kto za to odpowiada?
Firmy deklarują, że nie korzystają z AI, ale pracownicy robią to na własną rękę. Zjawisko shadow AI rośnie szybciej niż procedury. A wraz z nim rośnie ryzyko naruszeń RODO i odpowiedzialności, której nie da się uniknąć tłumaczeniem „nie wiedzieliśmy”.
Deklaracje o „niekorzystaniu ze sztucznej inteligencji” w organizacji coraz częściej mają charakter wyłącznie oficjalny. W rzeczywistości narzędzia oparte na AI mogą już funkcjonować w strukturach wielu przedsiębiorstw, jednak nierzadko poza wiedzą przełożonych oraz niezgodnie z przyjętymi w firmie procedurami. Taką rozbieżność pomiędzy stanem oficjalnym a rzeczywistymi praktykami pracowników nazywa się w debacie mianem shadow AI i może ona prowadzić do negatywnych konsekwencji.
Nazwa zjawiska nawiązuje do kategorii shadow IT i oznacza korzystanie z narzędzi opartych na sztucznej inteligencji poza formalnymi mechanizmami zarządzania i kontroli w danej organizacji. Można więc w ten sposób nazwać na przykład sytuacje, w których pracownicy wykorzystują narzędzia AI bez uprzedniej weryfikacji dostawcy, oceny ryzyka lub uwzględnienia tych działań w przyjętej polityce wewnętrznej.
Z perspektywy ochrony danych osobowych nie jest to problem całkowicie nowy. Kluczowe znaczenie zachowują podstawowe konstrukcje RODO, w szczególności definicja przetwarzania danych osobowych oraz zasada rozliczalności. Nowy może być natomiast kontekst wykorzystania narzędzi sztucznej inteligencji, łatwość ich dostępności oraz ograniczona przejrzystość lub przewidywalność procesów przetwarzania realizowanych przez dostawców.
Shadow AI jako możliwa forma przetwarzania danych osobowych
Punktem wyjścia dla stwierdzenia zastosowania w konkretnym przypadku przepisów RODO pozostaje ustalenie, czy w ramach korzystania z narzędzi AI dochodzi do przetwarzania danych osobowych. Zgodnie z definicją RODO przez przetwarzanie rozumie się m.in. zbieranie, utrwalanie, organizowanie, analizowanie czy modyfikowanie danych osobowych. Zakres tej definicji jest szeroki i obejmuje większość operacji wykonywanych przy użyciu systemów informatycznych.
Oznacza to, że na przykład wprowadzenie danych klienta do modelu językowego, analiza dokumentów zawierających dane osobowe czy sporządzanie podsumowań przy użyciu AI z dużym prawdopodobieństwem będzie wyczerpywać znamiona przetwarzania danych osobowych. Okoliczność, że czynności te mają charakter nieformalny, nie wpływa na ich kwalifikację prawną. W konsekwencji przedsiębiorstwo może ponosić odpowiedzialność za takie operacje, w szczególności w sytuacji, gdy brak nadzoru nad wykorzystywanymi narzędziami wynika z niewystarczających środków organizacyjnych lub braku polityki zarządzania ryzykiem.
Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone.
Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A. Kup licencję.