Loading

Chat GPT. Ryzyka prawne dla Twojej firmy.

Spis treści

  1. Zalety gotowych narzędzi AI
  2. Kluczowe  ryzyka prawne 
  3. Informacje poufne – wprowadzenie
  4. Warunki korzystania z usług AI – przykład OpenAI 
  5. Chat GPT – ryzyka prawne dla informacji poufnych
  6. Jak minimalizować ryzyka?

Potrzebujesz doradcy?

Skontaktuj się z naszym ekspertem.

Kontakt
Tomasz Sowa

Artykuł powstał na bazie wystąpienia adw. Tomasza Sowy, LL.M. na konferencji AIUPMEETING w Toruniu. 

Dynamiczny rozwój technologii sztucznej inteligencji (AI) sprawia, że coraz więcej przedsiębiorców decyduje się na wdrażanie gotowych narzędzi AI, takich jak ChatGPT, Google NotebookLM, Copilot i in. Gotowe rozwiązania pozwalają firmom zaoszczędzić czas, obniżyć koszty i korzystać z najnowszych osiągnięć technologicznych bez konieczności posiadania rozbudowanych zespołów specjalistów. Należy jednak pamiętać, że wraz z korzyściami pojawiają się także ryzyka prawne, których świadomość jest kluczowa dla bezpiecznego prowadzenia biznesu.

Zalety gotowych narzędzi AI

Gotowe rozwiązania AI charakteryzują się szybkim wdrożeniem oraz możliwością integracji z istniejącymi systemami. Przedsiębiorstwa mogą natychmiast zacząć korzystać z zaawansowanych technologii bez długotrwałych prac wdrożeniowych. Ponadto, brak konieczności samodzielnego rozwoju technologii znacznie redukuje koszty. Elastyczność tych rozwiązań pozwala na łatwe dostosowanie do zmieniających się potrzeb biznesowych, co sprzyja skalowalności projektów.

Polecane: System AI lub model AI na licencji open source – jakie obowiązki prawne ma startup (i nie tylko) zgodnie z aktem o sztucznej inteligencji (AI Act)?

Kluczowe ryzyka prawne

Wbrew obiegowej opinii podstawowe ryzyka prawne dla przedsiębiorców, którzy decydują się na gotowe narzędzia AI nie wynikają z Rozporządzenia AI ACT. Znacznie bardziej powszechne i doniosłe ryzyka prawne polegają na problemach związanych z potencjalnym naruszeniem poufności informacji, naruszeniem przepisów o ochronie danych osobowych, czy ochroną własności intelektualnej. 

 To z jakimi ryzykami prawnymi trzeba się mierzyć jest zależne przede wszystkim od tego w jaki sposób użytkownik korzysta z gotowych narzędzi AI (tj. co użytkownik wprowadza do systemu).

W tym wpisie skupimy się na ryzykach prawnych związanych z wprowadzaniem danych do systemu. Omówimy krótko podstawowe ryzyka związane z poufnością informacji w kontekście warunków korzystania z gotowych narzędzi AI (tu: ChatGPT od OpenAI), które – jak wskazuje nasza praktyka – są bardzo niedoceniane przez przedsiębiorców. Problemy związane z ochroną danych osobowych i prawami własności intelektualnej będziemy omawiać w kolejnych wpisach.  

Informacje poufne – wprowadzenie

W toku prowadzenia działalności gospodarczej przedsiębiorcy spotykają się z różnymi rodzajami informacji, które można uznać za informacje prawnie chronione. Grafika przedstawia subiektywny wybór najważniejszych z nich.

Kategoria, do której możemy zaliczyć daną informację rzutuje na ochronę prawną, z której ta informacja korzysta. Ważne jest, aby pamiętać, że nie istnieje jednolity system ochrony informacji poufnych, ale że każda informacja – w zależności od kategorii – jest chroniona w inny sposób. Naruszenie może skutkować sankcjami ustawowymi, umownymi lub w przypadku co najmniej części tajemnic zawodowych sankcjami dyscyplinarnymi wymierzanymi przez właściwe organy samorządów zawodowych.

Wszystko to powoduje, że dla każdej z kategorii informacji poufnych będą występować nieco inne ryzyka prawne związane z wprowadzaniem ich do gotowych narzędzi AI.

Warunki korzystania z usług AI – przykład OpenAI.

Możemy teraz przejść do tego jak różne informacje poufne zachowują się w zderzeniu z warunkami korzystania z gotowych systemów AI. Doskonałym materiałem szkoleniowym są tu warunki korzystania z usług OpenAI (np. ChatGPT). Niniejszy tekst nie ma charakteru porady prawnej, ani nie zmierza do reklamowania lub krytykowania usług OpenAI. Cel tekstu ma wyłącznie charakter edukacyjny, jako że podobne rozwiązania do rozwiązań przyjętych w regulaminach OpenAI można znaleźć także w innych gotowych systemach.

Obecnie OpenAI oferuje 5 planów subskrypcyjnych. 3 dla użytkowników indywidualnych i 2 dla użytkowników biznesowych.

To co jest istotne, to wykupienie licencji „PRO” nie czyni z licencjobiorcy użytkownika biznesowego. Ma to bardzo doniosłe konsekwencje.

OpenAI istotne różnicuje bowiem sytuację prawną użytkowników indywidualnych i użytkowników biznesowych. Największe różnice polegają na tym co OpenAI może zrobić z danymi użytkowników, które są wprowadzone do systemu (np. ChatGPT). Poniżej znajduje się jedynie kilka różnic, które występują na tle warunków korzystania z usługi.

I tak, przykładowo w przypadku użytkowników indywidualnych:

  1. OpenAI może wykorzystywać treści do świadczenia, utrzymywania, rozwijania i ulepszania usług, przestrzegania obowiązującego prawa, egzekwowania warunków i zasad oraz zapewniania bezpieczeństwa usług.
  2. OpenAI może wykorzystywać dane wprowadzone do systemu przez użytkownika do szkolenia swoich modeli, ale użytkownicy mogą sprzeciwić się takiemu korzystaniu z danych (model opt-out), 
  3. Dane są przechowywane tak długo jak to konieczne dla świadczenia usług, lub realizacji innych prawnie uzasadnionych interesów. Można wyłączyć (opt-out) historię czata, co spowoduje że w historii czata nie będą zapisywać się konwersacje, a OpenAI usunie te dane ze swoich serwerów po 30 dniach,

podczas gdy w przypadku użytkowników biznesowych:

  1. OpenAI będzie przetwarzać i przechowywać Treści Klienta i wykorzystywać je wyłącznie w zakresie niezbędnym do świadczenia usług, przestrzegania obowiązującego prawa i egzekwowania zasad OpenAI. Treści Klienta nie będą wykorzystywane do rozwoju ani ulepszania Usług.
  2. Dane biznesowe nie są domyślnie wykorzystywane do szkolenia modeli. Wymagana jest wyraźna zgoda na udostępnianie danych w celu ulepszenia usług (model opt-in).
  3. Administratorzy obszaru roboczego kontrolują, jak długo dane są przechowywane. Usunięte rozmowy są usuwane z systemów w ciągu 30 dni, chyba że istnieje prawny obowiązek ich przechowywania.

CHAT GPT – ryzyka prawne dla informacji poufnych

Różnic pomiędzy planami indywidualnymi i biznesowymi jest znacznie więcej. Już tylko powyższe różnice mają bardzo istotne znaczenie dla ryzyk prawnych związanych z przetwarzaniem informacji poufnych. Jakie to ryzyka?

W przypadku informacji chronionych NDA będzie to najczęściej ryzyko narażenia się na zapłatę kar umownych na rzecz drugiej strony umowy. Dlaczego? Zwykle umowy NDA przewidują zakaz udostępniania informacji poufnych jakimkolwiek osobom trzecim pod rygorem zapłaty kary umownej w określonej wysokości.

Tymczasem, dostawca systemu (np. OpenAI) jest właśnie taką osobą trzecią, która zgodnie z warunkami korzystania z usług dla planów indywidualnych może rozwijać swoje usługi w oparciu o wprowadzone dane, czy szkolić swoje modele na wprowadzonych danych (z ewentualnym opt-out). OpenAI może też przeglądać manualnie wprowadzone treści do systemu i będzie co do zasady przechowywać te dane tak długo jak to konieczne dla świadczenia usług, lub realizacji innych prawnie uzasadnionych interesów (z możliwością wyłączenia historii czata, co spowoduje usunięcie danych po 30 dniach). Oczywiście, wszystko zależy od treści konkretnego NDA, jako że strony mogą ukształtować odmiennie zarówno zakres informacji chronionych, podmioty uprawnione do ich przetwarzania oraz sankcje. Obraz przedstawia jedynie przykład NDA

Jeżeli chcesz dowiedzieć się podstawowych informacji na temat NDA zajrzyj do naszego wpisu pod LINKIEM.

Inne problemy wystąpią na tle tajemnicy przedsiębiorstwa.

W naszym przekonaniu brak podjęcia należytej staranności w celu ochrony informacji mogących stanowić tajemnicę przedsiębiorstwa, poprzez umożliwienie pracownikom korzystania z narzędzi, które wykorzystują te informacje do generowania nowych treści może potencjalnie skutkować uznaniem, że te informacje w ogóle nie stanowią tajemnicy przedsiębiorstwa. Przedsiębiorca poprzez brak odpowiednich zabezpieczeń może zatem utracić istotną ochronę dla swoich informacji. Jakkolwiek taka sytuacja nie była jeszcze rozstrzygana przez polskie sądy to biorąc pod uwagę przesłanki uznania informacji za tajemnicę przedsiębiorstwa takie stanowisko sądu nie byłoby wykluczone (zob. niżej). Z drugiej strony, nawet jeżeli uznamy, że dana informacja stanowi tajemnicę przedsiębiorstwa, ale została wrzucona do systemu i posłużyła do wytrenowania modelu, to trudno będzie poczynić zarzut drugiemu przedsiębiorcy, że dokonuje czynu nieuczciwej konkurencji, jeżeli pozyskuje ją na skutek wpisania odpowiedniego promptu w narzędzie generatywne do którego ma dostęp nieograniczona ilość osób.   

Wyrok NSA z 9.01.2025 r., III OSK 6340/21, LEX nr 3821124.

Utrzymanie danych informacji jako tajemnicy wymaga więc podjęcia przez przedsiębiorcę działań zmierzających do wyeliminowania możliwości dotarcia do nich przez osoby trzecie w normalnym toku zdarzeń, bez konieczności podejmowania szczególnych starań. Ustawodawca nie przesądził przy tym, jakie to mają być działania, lecz w doktrynie i orzecznictwie przyjmuje się, że chodzi o każdy sposób działania, który wskazuje, że określone informacje są traktowane jako poufne. Jednocześnie nie są tajemnicą przedsiębiorstwa informacje, z którymi można się bez przeszkód zapoznać.

Postanowienie SN z 19.09.2024 r., I PSK 128/23, LEX nr 3767408.

Informacja nie jest poufna (nie jest tajemnicą), jeżeli przy dołożeniu nieznacznego wysiłku każdy zainteresowany może ją pozyskać, a także gdy jest łatwo dostępna dla osób zwykle zajmujących się tym rodzajem informacji. Informacja posiada przymiot tajemnicy przedsiębiorstwa tak długo, jak pozostaje poufna, tj. tak długo, jak posiada wartość gospodarczą, a przedsiębiorca dokłada należytej staranności w celu utrzymania jej w tajemnicy.

Inne ryzyka wystąpią w przypadku tajemnicy adwokackiej lub radcowskiej, gdzie zachodzi ryzyko udostępnienia informacji nieupoważnionym do ich przetwarzania osobom trzecim (np. OpenAI). Wprowadzenie danych do systemu na planie indywidualnym może skutkować odpowiedzialnością dyscyplinarną adwokata lub radcy prawnego, lub nawet odpowiedzialnością odszkodowawczą.

Plany biznesowe zapewniają szersze gwarancje ochrony danych. Dane biznesowe nie są domyślnie wykorzystywane do szkolenia modeli AI (model opt-in), co oznacza, że przedsiębiorstwo musi wyraźnie zgodzić się na takie działanie. Wersje biznesowe oferują także lepsze środki bezpieczeństwa, takie jak audyty bezpieczeństwa zgodne z SOC 2 oraz szyfrowanie danych zarówno w spoczynku, jak i podczas przesyłania. Niestety i te plany nie są doskonałe i korzystanie z nich może wiązać się z ryzykiem prawnym (szczególnie w zakresie ochrony danych osobowych, o czym mowa w kolejnym wpisie). Niemniej jednak trzeba przyznać, że te plany usuwają istotną część ryzyk związanych z przetwarzaniem informacji poufnych.

Jak minimalizować ryzyka?

Świadome wdrożenie AI wymaga kompleksowego podejścia, obejmującego analizę warunków korzystania z systemów, wdrożenie wewnętrznych polityk bezpieczeństwa, regularne szkolenia dla pracowników oraz współpracę z ekspertami prawnymi specjalizującymi się w nowych technologiach. Z reguły, przedsiębiorca nie ma możliwości negocjacji warunków korzystania z gotowych narzędzi AI. W tym kontekście ważne jest, aby ryzyka, które wynikają dla przedsiębiorcy z tych warunków były odpowiednio zaopiekowane poprzez przemyślaną politykę używania tych narzędzi i szkolenia pracowników.

Podsumowanie

Wprowadzenie gotowych systemów AI do przedsiębiorstwa niesie ze sobą liczne korzyści, ale także poważne ryzyka prawne. Świadomość tych zagrożeń oraz odpowiednia ich minimalizacja są kluczem do efektywnego i bezpiecznego wykorzystywania sztucznej inteligencji w biznesie. Dzięki odpowiedniemu przygotowaniu firmy mogą uniknąć potencjalnych problemów prawnych, jednocześnie korzystając z zaawansowanych technologii do dynamicznego rozwoju swojej działalności. Pomagamy przedsiębiorcom na ścieżce do wdrożenia nowych rozwiązaniach w ich firmach.

Umowa o zachowaniu poufności – Podstawowe informacje
Mediacja – alternatywna metoda rozwiązywania sporu