„Wyślijcie umowę do prawników” – to pierwsza instrukcja, jaka pojawia się, gdy wpadnie umowa na system wykorzystujący genAI. Czy to jest na pewno pierwszy krok, który należy podjąć? Odpowiedź znajdziecie w tym artykule.
W wielu firmach słyszę, że działy prawne, ochrony danych i zgodności, są zasypywane pomysłami na nowe projekty i aplikacje z generatywną sztuczną inteligencją, i proszone o szybką ocenę umów w tym zakresie. W niektórych przypadkach oczywiste jest, co należy zrobić. W przypadku korzystania z usług dostawcy i przyznawania mu dostępu do danych osobowych wymagana jest umowa o przetwarzaniu danych – tak jak we wszystkich przypadkach, w których wykorzystywane są podmioty przetwarzające dane.
Stawka jest wysoka, a wybór odpowiedniego dostawcy może wynieść organizację na nowe wyżyny, podczas gdy błąd może prowadzić do kosztownych niepowodzeń. Od bezpieczeństwa danych, poufności po prawa własności intelektualnej, od struktur cenowych po kwestie niezgodności.
O czym zatem warto pamiętać?
- 1. AI, to przede wszystkim strategia i analiza ryzyka, a nie umowa z dostawcą.
Opracowanie strategii to pierwszy krok, jaki organizacja powinna podjąć w wątku AI – najlepiej jeszcze zanim przystąpi do zawierania umów z dostawcami AI. Takie ustandaryzowane podejście może obejmować:
- przeprowadzenie analizy due diligence potencjalnych dostawców oraz samej technologii AI, a także
- określenie wymaganych zabezpieczeń umownych.
- 2. Największy mit: AI to AI Act.
AI to nie tylko AI Act. Oprogramowanie pracujące na różnych zbiorach danych dotyka też tematów z rozmaitych dziedzin prawa (m. in. RODO, Data Act, NIS 2, Kodeks cywilny, Ustawa o zwalczaniu nieuczciwej konkurencji, przepisy prawa pracy). Sprawdzenie pod kątem wymogów AI Act, to tylko jeden z aspektów analizy prawnej.
- 3. Największe niedopatrzenie: AI już od dawna jest w twojej firmie.
Twoi pracownicy z działu HR pewnie już piszą odpowiedzi dla kandydatów z wykorzystaniem ChataGPT, marketing generuje w nim posty, administracja korzysta z tłumacza deepl, a programiści kodują z Copilota. Może być tak, że rozmaite dane z twoich systemów są już w obiegu. Warto się temu przyjrzeć i ogarnąć to od strony procesów. Zachowania i nawyki użytkowników będą miały duży wpływ na korzystanie z kolejnych narzędzi AI, które zaimplementuje twoja firma.
- 4. Trzy obszary potencjalnych problemów.
Input, Prompt, Output, czyli dane wejściowe, dane wprowadzane w podpowiedziach w trakcie korzystania z systemu oraz wyniki generowane przez model AI. To trzy sfery, na które warto zwrócić szczególną uwagę w umowach z dostawcami AI, choć oczywiście niejedyne. Pod tymi nazwami kryje się szereg zagadnień prawnych wartych usystematyzowania i przemyślenia.
- 5. AI w twojej firmie to proces.
Współpraca z vendorami AI to proces, podobnie, jak bezpieczeństwo twoich danych, czy kontrola jakości w systemach ISO. Wymaga audytowania nie tylko umów, ale i procesów. Nie wystarczy raz napisać umowę i zamknąć temat. W miarę zdobywania nowych danych bądź gotów odrzucić pierwotne założenia albo je zmodyfikować, tak w obszarze umów z dostawcami, jak i w ramach wewnętrznych procesów tych umów dotyczących.
Jeśli potrzebujesz checklisty do umów z dostawcami systemów AI, konkretnych klauzul w tych kontraktach albo chcesz przeaudytować swoje procesy w tym zakresie, skontaktuj się ze mną.
Renata W. Lewicka, radca prawny, Partner w Kancelarii Gorazda, Świstuń, Wątroba i Partnerzy Adwokaci i Radcowie Prawni.