AI Act a rola dostawcy systemu AI

‍

AI Act to unijne rozporządzenie, które wprowadza horyzontalne zasady dotyczące sztucznej inteligencji. Z perspektywy przedsiębiorców jednym z kluczowych zagadnień jest ustalenie, czy dana firma występuje jako dostawca systemu AI podlegającym pod to rozporządzenie. W ocenie obowiązków regulacyjnych pomocna może być kancelaria prawna Warszawa, zwłaszcza gdy projekt AI wymaga analizy prawnej, technicznej i organizacyjnej.

‍

Nie chodzi wyłącznie o podmiot, który samodzielnie programuje system od podstaw. Dostawcą może być również podmiot, który zleca opracowanie systemu AI, a następnie wprowadza go do obrotu lub oddaje do użytku pod własną nazwą lub znakiem towarowym. W praktyce oznacza to, że obowiązki dostawców AI mogą dotyczyć nie tylko firm technologicznych, ale także przedsiębiorców wdrażających rozwiązania AI jako element własnego produktu lub usługi.

‍

Dla firm kluczowe jest więc nie samo pytanie, czy używają sztucznej inteligencji, lecz pytanie, jaką pełnią rolę w łańcuchu wartości AI. Inne obowiązki będzie miał dostawca systemu AI wysokiego ryzyka, inne importer, dystrybutor, podmiot stosujący, a jeszcze inne dostawca modelu AI ogólnego przeznaczenia.

‍

Dlaczego status dostawcy ma znaczenie

‍

Status dostawcy ma zasadnicze znaczenie dla AI Act compliance. To dostawca odpowiada za wiele obowiązków, które muszą zostać spełnione jeszcze przed wprowadzeniem systemu AI na rynek albo przed oddaniem go do użytku.

‍

W przypadku systemów AI wysokiego ryzyka ciężar regulacyjny spoczywa przede wszystkim na dostawcy. To on powinien zapewnić zgodność systemu z wymaganiami AI Act, przygotować dokumentację techniczną, przeprowadzić odpowiednią procedurę oceny zgodności, zapewnić system zarządzania ryzykiem, wdrożyć system zarządzania jakością oraz prowadzić monitorowanie po wprowadzeniu systemu na rynek.

‍

Regulacje AI dostawcy traktują jako podmiot odpowiedzialny za projekt, przeznaczenie i warunki działania systemu. Z tego powodu nie wystarczy ograniczyć się do oceny własnej i deklaracji, że narzędzie jest „bezpieczne” albo „zgodne z prawem”. AI Act wymaga wykazania zgodności w sposób udokumentowany.

‍

Pierwszy krok - czy rozwiązanie jest systemem AI

‍

Przed analizą obowiązków należy ustalić, czy dane rozwiązanie spełnia definicję systemu AI. AI Act nie obejmuje każdego oprogramowania. System AI według tego rozporządzenia to system maszynowy zaprojektowany do działania z różnym poziomem autonomii, który może wykazywać zdolność adaptacji po wdrożeniu i który, dla wyraźnych lub dorozumianych celów, wnioskuje na podstawie otrzymanych danych wejściowych, jak generować wyniki, takie jak predykcje, treści, zalecenia lub decyzje mogące wpływać na środowisko fizyczne lub wirtualne.

‍

W praktyce analiza powinna obejmować między innymi:

• sposób działania systemu;
• poziom autonomii;
• rodzaj danych wejściowych;
• rodzaj generowanych wyników;
• przeznaczenie systemu;
• wpływ wyników systemu na użytkowników, klientów, pracowników lub inne osoby fizyczne.

‍

Nie każde narzędzie automatyzujące proces biznesowy będzie systemem AI. Jednocześnie wiele systemów wykorzystujących uczenie maszynowe, modele predykcyjne, systemy rekomendacyjne lub generatywną AI będzie wymagało dalszej analizy pod kątem AI Act.

‍

Drugi krok - klasyfikacja ryzyka

‍

AI Act opiera się na podejściu opartym na ryzyku. Oznacza to, że zakres obowiązków zależy przede wszystkim od kategorii systemu AI.

‍

Z perspektywy dostawcy najważniejsze kategorie to:

• systemy AI objęte zakazanymi praktykami;
• systemy AI wysokiego ryzyka;
• systemy AI podlegające obowiązkowi przejrzystości (art. 50 AI Act);
• modele AI ogólnego przeznaczenia.

‍

Największe znaczenie praktyczne mają systemy AI wysokiego ryzyka. To właśnie w ich przypadku wymogi AI Act są najbardziej rozbudowane i wymagają realnego wdrożenia procesów compliance, technicznych zabezpieczeń oraz dokumentacji.

‍

Więcej o tym znajdziesz w tym artykule:  AI Act - klasyfikacja ryzyka systemów AI

‍

Obowiązki dostawcy systemu AI wysokiego ryzyka

Dostawca systemu AI wysokiego ryzyka musi zapewnić, aby system spełniał wymagania określone w AI Act. Nie jest to pojedynczy obowiązek, ale cały pakiet wymogów obejmujących cykl życia systemu.

‍

Do najważniejszych obowiązków dostawcy należą:

System zarządzania ryzykiem

‍

Dostawca powinien ustanowić, wdrożyć, dokumentować i utrzymywać system zarządzania ryzykiem. Taki system powinien obejmować identyfikację, analizę, ocenę i ograniczanie ryzyk związanych z systemem AI.

‍

W praktyce oznacza to konieczność odpowiedzi na pytania:

• jakie szkody może wywołać system;
• kto może być dotknięty jego działaniem;
• jakie błędy są racjonalnie przewidywalne;
• jakie środki ograniczające ryzyko zostały wdrożone;
• jak ryzyka będą monitorowane po wdrożeniu.

‍

System zarządzania ryzykiem nie powinien być dokumentem tworzonym wyłącznie na potrzeby audytu. Powinien być częścią rzeczywistego procesu projektowania, testowania i utrzymywania systemu AI.

‍

Jakość danych i zarządzanie danymi

‍

Jeżeli system AI wysokiego ryzyka jest trenowany, walidowany lub testowany z wykorzystaniem danych, dostawca musi zadbać o odpowiednie praktyki zarządzania danymi. Obejmuje to między innymi adekwatność, reprezentatywność, kompletność i odpowiednią jakość danych.

‍

Ten obowiązek ma szczególne znaczenie w systemach stosowanych w rekrutacji, edukacji, kredytowaniu, ubezpieczeniach, ochronie zdrowia lub dostępie do usług publicznych. Wadliwe dane mogą prowadzić do dyskryminacji, błędnych decyzji lub naruszenia praw podstawowych.

‍

Dokumentacja techniczna

‍

Dostawca powinien sporządzić dokumentację techniczną przed wprowadzeniem systemu do obrotu lub oddaniem go do użytku. Dokumentacja ma wykazywać, że system spełnia wymogi AI Act i przepisy dotyczące systemów wysokiego ryzyka.

‍

Dokumentacja techniczna powinna opisywać między innymi:

• ogólne cechy systemu;
• jego przeznaczenie;
• architekturę i sposób działania;
• dane wykorzystywane w procesie trenowania, walidacji i testowania;
• mechanizmy nadzoru człowieka;
• środki zarządzania ryzykiem;
• cyberbezpieczeństwo;
• testy i walidację;
• monitorowanie po wprowadzeniu do obrotu.

‍

Brak dokumentacji technicznej może być jednym z najpoważniejszych problemów w razie kontroli organu nadzoru lub sporu z klientem. Na tym etapie przydatny może być także prawnik AI, jeżeli firma potrzebuje oceny obowiązków związanych z wdrożeniem lub rozwojem systemu sztucznej inteligencji.

‍

Rejestrowanie zdarzeń

‍

System AI wysokiego ryzyka powinien umożliwiać automatyczne rejestrowanie zdarzeń, czyli logowanie działania systemu. Celem jest zapewnienie identyfikowalności działania systemu, ułatwienie nadzoru i umożliwienie analizy incydentów.

‍

Logi mogą mieć kluczowe znaczenie, gdy trzeba ustalić, dlaczego system wygenerował określoną rekomendację, decyzję lub wynik. Z perspektywy dostawcy jest to także element ochrony dowodowej.

‍

Przejrzystość i instrukcje używania

‍

Dostawca musi przygotować instrukcje używania systemu. Powinny być one jasne, kompletne i zrozumiałe dla podmiotu stosującego system AI.

‍

Instrukcje powinny obejmować między innymi:

• przeznaczenie systemu;
• warunki prawidłowego używania;
• ograniczenia systemu;
• przewidywalne ryzyka;
• wymagania dotyczące danych wejściowych;
• informacje o wynikach działania systemu;
• środki nadzoru człowieka;
• parametry dokładności, odporności i cyberbezpieczeństwa.

‍

To szczególnie ważne, ponieważ błędne opisanie przeznaczenia systemu może prowadzić do błędnej klasyfikacji ryzyka. Jeżeli materiały sprzedażowe, instrukcje lub dokumentacja sugerują zastosowanie w obszarze wysokiego ryzyka, system może zostać zakwalifikowany jako system wysokiego ryzyka.

‍

Nadzór człowieka

‍

Dostawca powinien zaprojektować system AI wysokiego ryzyka w taki sposób, aby możliwy był skuteczny nadzór człowieka. Nie chodzi o pozorną obecność człowieka w procesie, ale o realną możliwość zrozumienia, monitorowania i - w razie potrzeby - przerwania lub zakwestionowania działania systemu.

‍

Nadzór człowieka powinien być adekwatny do ryzyka, przeznaczenia systemu i potencjalnego wpływu na osoby fizyczne.

‍

Dokładność, odporność i cyberbezpieczeństwo

‍

Wymogi AI Act obejmują również zapewnienie odpowiedniego poziomu dokładności, odporności i cyberbezpieczeństwa. Dostawca powinien określić parametry działania systemu oraz monitorować, czy system utrzymuje wymagany poziom jakości w czasie.

‍

W praktyce oznacza to konieczność testowania systemu nie tylko przed wdrożeniem, ale także po jego aktualizacjach, zmianach danych, zmianach środowiska operacyjnego lub zmianach sposobu używania systemu.

‍

System zarządzania jakością

‍

Dostawca systemu AI wysokiego ryzyka powinien wdrożyć system zarządzania jakością. Taki system powinien obejmować procedury, zasady i odpowiedzialności wewnętrzne dotyczące zgodności z AI Act.

‍

System zarządzania jakością powinien regulować między innymi:

• strategię zgodności z AI Act;
• projektowanie i rozwój systemu;
• testowanie i walidację;
• zarządzanie danymi;
• zarządzanie ryzykiem;
• kontrolę zmian;
• dokumentację;
• monitorowanie po wprowadzeniu na rynek;
• zgłaszanie incydentów;
• komunikację z organami nadzoru.

‍

Dla wielu firm będzie to jeden z najważniejszych elementów AI Act compliance.

‍

Ocena zgodności i oznakowanie CE

‍

Przed wprowadzeniem systemu AI wysokiego ryzyka do obrotu lub oddaniem go do użytku dostawca musi przeprowadzić właściwą procedurę oceny zgodności. W zależności od rodzaju systemu może to być ocena wewnętrzna albo procedura z udziałem jednostki notyfikowanej.

‍

Po pozytywnej ocenie zgodności dostawca powinien sporządzić deklarację zgodności UE i - tam, gdzie ma to zastosowanie - umieścić oznakowanie CE.

‍

Rejestracja w unijnej bazie danych

‍

Niektóre systemy AI wysokiego ryzyka wymagają rejestracji przed ich wprowadzeniem do obrotu lub oddaniem do użytku. Dotyczy to przede wszystkim systemów wysokiego ryzyka wskazanych w załączniku III AI Act, z zastrzeżeniem wyjątków, w tym systemów z załącznika III pkt 2, które podlegają rejestracji na poziomie krajowym.

‍

Rejestracja ma zwiększać przejrzystość i identyfikowalność systemów AI wysokiego ryzyka oraz ułatwiać nadzór nad ich zgodnością z AI Act. W określonych przypadkach informacje w bazie danych UE są publicznie dostępne, natomiast część rejestracji, zwłaszcza w obszarach ścigania przestępstw, migracji, azylu i kontroli granic, trafia do bezpiecznej, niepublicznej sekcji bazy.

‍

Monitorowanie po wprowadzeniu na rynek

‍

Obowiązki dostawcy nie kończą się w chwili sprzedaży lub wdrożenia systemu. Dostawca powinien prowadzić monitorowanie po wprowadzeniu systemu na rynek. Celem jest zbieranie informacji o działaniu systemu w rzeczywistych warunkach i reagowanie na nowe ryzyka.

‍

Monitorowanie po wprowadzeniu na rynek powinno obejmować między innymi analizę skarg, błędów, incydentów, zmian parametrów działania oraz informacji od podmiotów stosujących system.

‍

Zgłaszanie poważnych incydentów

‍

Dostawcy systemów AI wysokiego ryzyka mają obowiązki związane ze zgłaszaniem poważnych incydentów właściwym organom nadzoru rynku. Poważny incydent może obejmować między innymi śmierć osoby, poważną szkodę dla zdrowia, poważne i nieodwracalne zakłócenie infrastruktury krytycznej, naruszenie obowiązków prawa UE chroniących prawa podstawowe albo poważną szkodę dla mienia lub środowiska.

‍

Ten obowiązek wymaga posiadania procedury wewnętrznej. Firma powinna wiedzieć, kto identyfikuje incydent, kto ocenia jego kwalifikację, kto kontaktuje się z organem oraz jakie dane należy zabezpieczyć.

‍

Obowiązki dostawców z art. 50 AI Act

‍

Odrębne znaczenie mają obowiązki dostawców wynikające z art. 50 AI Act. Nie dotyczą one wyłącznie systemów AI wysokiego ryzyka, ale są odrębną kategorią AI Act. Są to obowiązki przejrzystości, które mogą obejmować także systemy niższego ryzyka, w szczególności chatboty, wirtualnych asystentów oraz systemy generujące treści syntetyczne.

‍

Po pierwsze, dostawcy systemów AI przeznaczonych do bezpośredniej interakcji z osobami fizycznymi muszą zapewnić, aby system był zaprojektowany i opracowany w taki sposób, że dana osoba zostanie poinformowana, iż wchodzi w interakcję z systemem AI. Obowiązek ten nie będzie miał zastosowania, jeżeli z okoliczności i kontekstu użycia jest to oczywiste dla osoby fizycznej należycie poinformowanej, uważnej i rozsądnej.

‍

Po drugie, dostawcy systemów AI, w tym systemów AI ogólnego przeznaczenia, które generują syntetyczne treści audio, obrazy, wideo lub tekst, muszą zapewnić, aby wyniki działania systemu były oznaczone w formacie nadającym się do odczytu maszynowego oraz wykrywalne jako sztucznie wygenerowane lub zmanipulowane.

‍

Trzeba odróżnić obowiązki dostawców od obowiązków podmiotów stosujących. Dostawca ma przede wszystkim zaprojektować system i jego funkcjonalności tak, aby umożliwić przejrzystość i wykrywalność treści. Podmiot stosujący może mieć natomiast własne obowiązki ujawniania, na przykład przy publikacji deepfake'ów lub tekstów wygenerowanych przez AI w celu informowania społeczeństwa o sprawach leżących w interesie publicznym.

‍

Obowiązki dostawców AI wynikające z art. 50 AI Act powinny być traktowane jako osobna część wdrożenia AI Act, obok klasyfikacji ryzyka, obowiązków dla systemów wysokiego ryzyka i obowiązków dotyczących modeli AI ogólnego przeznaczenia.

‍

Dostawcy modeli AI ogólnego przeznaczenia

‍

Odrębną kategorię stanowią dostawcy modeli AI ogólnego przeznaczenia, czyli modeli, które mogą być wykorzystywane w wielu różnych zastosowaniach. Obowiązki takich dostawców różnią się od obowiązków dostawców klasycznych systemów AI.

‍

W zależności od rodzaju modelu dostawca może być zobowiązany między innymi do:

• sporządzenia i aktualizowania dokumentacji technicznej modelu;
• udostępniania informacji dostawcom systemów AI, którzy integrują model w swoich rozwiązaniach;
• wdrożenia polityki zgodności z prawem autorskim UE;
• publikowania odpowiedniego streszczenia treści wykorzystanych do trenowania modelu.

‍

Jeżeli model AI ogólnego przeznaczenia zostanie uznany za model stwarzający ryzyko systemowe, obowiązki są dalej idące. Mogą obejmować ocenę modelu, ograniczanie ryzyk systemowych, dokumentowanie poważnych incydentów i zgłaszanie ich do właściwych organów.

‍

Kiedy dystrybutor, importer lub użytkownik może stać się dostawcą

‍

AI Act przewiduje sytuacje, w których inny podmiot może zostać potraktowany jak dostawca systemu AI wysokiego ryzyka. Może to dotyczyć między innymi dystrybutora, importera, podmiotu stosującego lub innej osoby trzeciej.

‍

Taki skutek może powstać w szczególności, gdy podmiot:

• umieszcza własną nazwę lub znak towarowy na systemie AI wysokiego ryzyka;
• dokonuje istotnej zmiany systemu AI wysokiego ryzyka;
• zmienia przeznaczenie systemu w taki sposób, że system staje się systemem wysokiego ryzyka.

‍

To istotne dla firm, które kupują gotowe rozwiązania AI, a następnie oferują je klientom pod własną marką albo modyfikują ich funkcje. W takim scenariuszu firma może przejąć część obowiązków typowych dla dostawcy.

‍

AI Act compliance jako proces, a nie jednorazowy dokument

‍

AI Act compliance nie powinien być traktowany jako jednorazowe przygotowanie polityki AI. W przypadku dostawców systemów AI zgodność wymaga procesu obejmującego projektowanie, rozwój, testowanie, wdrożenie, monitorowanie, aktualizacje i reagowanie na incydenty.

‍

W praktyce wdrożenie powinno obejmować co najmniej:

• mapowanie systemów AI;
• ustalenie roli firmy w łańcuchu wartości AI;
• klasyfikację ryzyka;
• analizę przeznaczenia systemu;
• analizę danych;
• ocenę obowiązków technicznych;
• przygotowanie dokumentacji;
• wdrożenie procedur zarządzania ryzykiem;
• wdrożenie procedur nadzoru człowieka;
• przygotowanie procesu obsługi incydentów;
• aktualizację umów z klientami, dostawcami i integratorami.

‍

Dobrze przygotowana firma powinna być w stanie wykazać, dlaczego zakwalifikowała system do określonej kategorii ryzyka i jakie środki wdrożyła, aby spełnić wymogi AI Act. Przy projektach obejmujących wdrożenie, rozwój lub komercjalizację systemów AI istotna może być również obsługa prawna projektów AI.

‍

Najczęstsze błędy dostawców systemów AI

‍

W praktyce największe ryzyka prawne wynikają zwykle nie z samego używania AI, lecz z braku uporządkowanego procesu zgodności.

‍

Do najczęstszych błędów należą:

• brak ustalenia, czy rozwiązanie spełnia definicję systemu AI;
• brak określenia przeznaczenia systemu;
• zbyt ogólne materiały marketingowe sugerujące szerokie zastosowania, także w obszarach wysokiego ryzyka;
• brak dokumentacji technicznej;
• brak procedury zarządzania ryzykiem;
• brak testów jakości danych;
• pozorny nadzór człowieka;
• brak procedury zgłaszania incydentów;
• nieuwzględnienie AI Act w umowach z klientami i partnerami technologicznymi;
• traktowanie zgodności z AI Act wyłącznie jako zadania działu prawnego.

‍

Tymczasem przepisy AI Act projektują regulację łączącą prawo, technologię, zarządzanie ryzykiem, cyberbezpieczeństwo, dokumentację i odpowiedzialność organizacyjną.

‍

Podsumowanie

‍

Obowiązki dostawców AI należą do najważniejszych elementów AI Act. Dostawca nie odpowiada wyłącznie za stworzenie technologii, ale także za jej zgodność regulacyjną, dokumentację, bezpieczeństwo, przejrzystość, zarządzanie ryzykiem i monitorowanie po wdrożeniu.

‍

Dla przedsiębiorców oznacza to konieczność przejścia od podejścia „budujemy narzędzie AI” do podejścia „budujemy system AI zgodny z prawem, bezpieczny i możliwy do audytu”. Im wcześniej firma ustali swoją rolę, kategorię ryzyka systemu i właściwe wymogi AI Act, tym łatwiej ograniczy ryzyka prawne, kontraktowe i reputacyjne.

‍

Jak przygotować firmę do zgodności z AI Act

‍

AI Act to unijne rozporządzenie, które wprowadza jednolite zasady projektowania, wprowadzania do obrotu, oddawania do użytku i wykorzystywania systemów sztucznej inteligencji w Unii Europejskiej. Dla przedsiębiorców oznacza to konieczność sprawdzenia, czy wykorzystywane lub tworzone narzędzia AI podlegają pod nowe obowiązki regulacyjne. W ocenie obowiązków regulacyjnych i ryzyk związanych ze sztuczną inteligencją pomocny może być prawnik AI.

‍

W praktyce zgodność z przepisami AI Act nie zaczyna się od pisania polityk wewnętrznych. Pierwszym krokiem powinno być ustalenie, jakie systemy AI firma faktycznie posiada, do czego są używane, kto nimi zarządza oraz czy i jak wpływają one na osoby fizyczne, klientów, pracowników, kandydatów, kontrahentów lub użytkowników końcowych.

‍

Poniżej przedstawiamy praktyczną checklistę dla firm, które chcą uporządkować AI Act compliance i przygotować organizację do nowych obowiązków.

‍

1. Ustal, czy firma korzysta z systemów AI

‍

Pierwszym etapem jest inwentaryzacja narzędzi. Nie chodzi wyłącznie o własne modele AI budowane przez dział technologiczny. W wielu firmach sztuczna inteligencja jest już obecna w narzędziach HR, systemach CRM, rozwiązaniach marketingowych, chatbotach, systemach analitycznych, narzędziach cyberbezpieczeństwa, oprogramowaniu do scoringu, systemach monitoringu lub aplikacjach wspierających obsługę klienta.

‍

Firma powinna ustalić:

• jakie narzędzia AI są używane w organizacji;
• kto jest odpowiedzialny za wdrożenie lub rozwój danego narzędzia;
• kto ma dostęp do systemu;
• jakie dane są przetwarzane;
• jakie wyniki, w tym decyzje lub rekomendacje, generuje system;
• czy wynik działania systemu wpływa na ludzi.

To podstawowy etap - brak rejestru systemów AI uniemożliwia ocenę ryzyka i przypisanie obowiązków.

‍

2. Sprawdź, czy zastosowanie AI nie mieści się w wyłączeniu dla badań naukowych i rozwoju

‍

AI Act przewiduje szczególne wyłączenia dotyczące badań naukowych, testowania i rozwoju systemów AI oraz modeli AI. Nie oznacza to jednak, że każde użycie AI w dziale R&D automatycznie wypada poza AI Act.

‍

Wyłączenie może mieć znaczenie przede wszystkim wtedy, gdy system AI lub model AI został specjalnie opracowany i oddany do użytku wyłącznie w celu badań naukowych i rozwoju. AI Act nie obejmuje również działalności badawczej, testowej lub rozwojowej dotyczącej systemów AI lub modeli AI przed ich wprowadzeniem do obrotu albo oddaniem do użytku.

‍

3. Sprawdź, czy dane narzędzie jest systemem AI w rozumieniu AI Act

‍

Nie każde oprogramowanie automatyzujące proces biznesowy będzie systemem AI. AI Act obejmuje systemy maszynowe, które działają z różnym poziomem autonomii i wnioskują z otrzymanych danych wejściowych, jak generować wyniki, takie jak predykcje, treści, rekomendacje lub decyzje.

‍

W praktyce należy sprawdzić, czy narzędzie:

• działa na podstawie danych wejściowych;
• generuje predykcje, rekomendacje, treści lub decyzje;
• posiada pewien poziom autonomii;
• wpływa lub może wpływać na środowisko fizyczne albo cyfrowe;
• nie jest wyłącznie prostą automatyzacją opartą na sztywnych regułach określonych przez człowieka.

‍

Ten etap jest kluczowy, ponieważ AI Act wymagania dla firm dotyczą tylko tych rozwiązań, które mieszczą się w zakresie rozporządzenia.

‍

AI Act obejmuje również modele generalnego przeznaczenia, ale w tym artykule skupiamy się tylko na systemach AI. 

‍

4. Określ rolę firmy - dostawca, podmiot stosujący, importer, dystrybutor

‍

Obowiązki przedsiębiorców  w kontekście AI Act zależą od roli, jaką firma pełni wobec danego systemu AI. Ta sama firma może być dostawcą jednego systemu i podmiotem stosującym inny system.

‍

Firma może być w szczególności:

• dostawcą, jeżeli rozwija system AI albo zleca jego rozwój i wprowadza go do obrotu lub oddaje do użytku pod własną nazwą lub znakiem towarowym;
• podmiotem stosującym, jeżeli wykorzystuje system AI pod swoją kontrolą w działalności zawodowej;
• importerem, jeżeli wprowadza na rynek UE system AI od dostawcy spoza Unii;
• dystrybutorem, jeżeli udostępnia system AI na rynku UE;
• producentem produktu, jeżeli system AI jest elementem produktu objętego unijnymi przepisami harmonizacyjnymi.

‍

Błędne przypisanie roli jest jednym z najczęstszych ryzyk compliance. Szczególnej uwagi wymaga sytuacja, w której firma umieszcza własny znak towarowy na systemie AI wysokiego ryzyka, istotnie modyfikuje taki system albo zmienia jego przeznaczenie. W określonych przypadkach może to prowadzić do przejęcia obowiązków dostawcy.

‍

5. Ustal przeznaczenie systemu AI

‍

W AI Act bardzo duże znaczenie ma przeznaczenie systemu. Chodzi o użycie, dla którego system został przewidziany przez dostawcę, w tym kontekst i warunki używania wskazane w instrukcjach, dokumentacji technicznej, materiałach sprzedażowych, promocyjnych lub oświadczeniach.

‍

Firma powinna ustalić:

• do czego system został zaprojektowany;
• w jakich procesach ma być używany;
• jakie osoby będą z niego korzystać;
• jakie decyzje lub działania będzie wspierał;
• czy jego użycie może wykroczyć poza pierwotne przeznaczenie;
• czy możliwe jest racjonalnie przewidywalne niewłaściwe użycie.

‍

To ważne zwłaszcza przy systemach ogólnego zastosowania oraz narzędziach, które mogą być wykorzystywane w wielu działach firmy. Inne ryzyko ma chatbot do ogólnej obsługi klienta, inne system wspierający rekrutację, a jeszcze inne narzędzie oceniające zdolność kredytową osoby fizycznej.

‍

6. Sprawdź, czy system nie należy do praktyk zakazanych

‍

Najwyższy poziom ryzyka w AI Act obejmuje praktyki zakazane. Firma powinna sprawdzić, czy nie projektuje, nie kupuje ani nie wykorzystuje systemów AI, które mogą mieścić się w katalogu zakazów.

‍

W szczególności należy zweryfikować, czy system nie służy do:

• szkodliwej manipulacji lub stosowania technik podprogowych;
• wykorzystywania podatności osób ze względu na wiek, niepełnosprawność lub sytuację społeczno-ekonomiczną;
• niedopuszczalnego scoringu społecznego;
• oceny ryzyka popełnienia przestępstwa wyłącznie na podstawie profilowania lub cech osobowości;
• tworzenia lub rozszerzania baz rozpoznawania twarzy przez nieukierunkowane pozyskiwanie obrazów z internetu lub CCTV;
• rozpoznawania emocji w miejscu pracy lub instytucjach edukacyjnych, poza wyjątkami przewidzianymi w AI Act;
• biometrycznej kategoryzacji w celu wnioskowania o szczególnie chronionych cechach;
• zdalnej identyfikacji biometrycznej w czasie rzeczywistym w przestrzeni publicznej do celów ścigania, poza ściśle określonymi wyjątkami.

‍

Powyższe wyliczenie jest bardzo uproszczonym podejście do niedozwolonych praktyk AI. Niemniej jednak, etap ten powinien być wykonany przed wdrożeniem systemu. Jeżeli firma korzysta już z narzędzia, które może mieścić się w praktykach zakazanych, konieczna jest pilna analiza prawna i techniczna.

‍

7. Oceń, czy system jest systemem wysokiego ryzyka

‍

Systemy wysokiego ryzyka są centralnym elementem AI Act compliance. Ich użycie nie jest zakazane, ale wiąże się z rozbudowanymi obowiązkami prawnymi, technicznymi i organizacyjnymi.

‍

System może być wysokiego ryzyka zasadniczo w dwóch sytuacjach.

‍

Po pierwsze, jeżeli jest produktem albo elementem bezpieczeństwa produktu objętego określonym unijnym prawodawstwem harmonizacyjnym i produkt wymaga oceny zgodności z udziałem strony trzeciej.

‍

Po drugie, jeżeli mieści się w jednym z przypadków wskazanych w załączniku III AI Act. Dotyczy to m.in. wybranych zastosowań w obszarach takich jak:

• biometria;
• infrastruktura krytyczna;
• edukacja i szkolenia zawodowe;
• zatrudnienie, zarządzanie pracownikami i dostęp do samozatrudnienia;
• dostęp do podstawowych usług prywatnych oraz usług i świadczeń publicznych;
• ściganie przestępstw;
• migracja, azyl i kontrola granic;
• wymiar sprawiedliwości i procesy demokratyczne.

‍

Przykładowo, podwyższone ryzyko może dotyczyć systemów AI używanych do selekcji kandydatów do pracy, oceny wyników nauczania, scoringu kredytowego osób fizycznych, ustalania ceny w ubezpieczeniach na życie i zdrowie, priorytetyzacji zgłoszeń alarmowych albo wspierania decyzji w obszarze wymiaru sprawiedliwości.

‍

Pamiętaj - tzw. human in the loop nie wyłącza kwalifikacji systemu AI jako systemu wysokiego ryzyka.

‍

8. Sprawdź, czy możliwe jest wyłączenie z klasyfikacji wysokiego ryzyka

‍

AI Act przewiduje mechanizm, który w określonych przypadkach pozwala uznać, że system mieszczący się formalnie w załączniku III nie jest systemem wysokiego ryzyka, jeżeli nie stwarza znaczącego ryzyka szkody dla zdrowia, bezpieczeństwa lub praw podstawowych.

‍

Może to dotyczyć systemów, które wykonują jedynie wąskie zadanie proceduralne, poprawiają wynik wcześniej zakończonej czynności człowieka, wykrywają wzorce decyzyjne lub odstępstwa od wcześniejszych wzorców bez zastępowania oceny człowieka, albo wykonują zadanie przygotowawcze do właściwej oceny.

‍

Nie jest to jednak automatyczne zwolnienie. Wymaga udokumentowanej samooceny. Co istotne, system wykonujący profilowanie co do zasady nie korzysta z tego mechanizmu i nadal może być traktowany jako wysokiego ryzyka.

‍

9. Przygotuj dokumentację zgodności

‍

Zgodność z przepisami AI Act wymaga dokumentacji. Dla firm oznacza to konieczność stworzenia uporządkowanego zestawu dokumentów, który pozwoli wykazać, że system został oceniony, sklasyfikowany i wdrożony zgodnie z właściwymi wymaganiami.

‍

W praktyce dokumentacja powinna obejmować co najmniej:

• rejestr systemów AI używanych w firmie;
• opis przeznaczenia każdego systemu;
• wskazanie roli firmy;
• klasyfikację ryzyka;
• ocenę, czy system podlega zakazom;
• ocenę, czy system jest wysokiego ryzyka;
• opis danych wejściowych i wyników generowanych przez system;
• opis kontroli ludzkiej;
• zasady nadzoru nad systemem;
• procedurę reagowania na błędy, incydenty i skargi;
• zasady korzystania z generatywnej AI przez pracowników;
• instrukcje dla użytkowników wewnętrznych;
• dowody szkoleń z kompetencji w zakresie AI.

‍

Dla systemów wysokiego ryzyka dokumentacja będzie znacznie bardziej rozbudowana i powinna być powiązana z zarządzaniem ryzykiem, jakością, danymi, cyberbezpieczeństwem, monitorowaniem działania systemu i obowiązkami po wprowadzeniu systemu do obrotu lub oddaniu go do użytku. Przy bardziej złożonych wdrożeniach przydatna może być także obsługa prawna projektów AI, obejmująca analizę prawną, techniczną i organizacyjną projektu.

‍

10. Wprowadź zasady kompetencji w zakresie AI

‍

AI Act nakłada obowiązek podejmowania środków zapewniających odpowiedni poziom kompetencji w zakresie AI. W praktyce firma powinna zadbać, aby osoby korzystające z systemów AI rozumiały ich możliwości, ograniczenia, ryzyka i zasady bezpiecznego używania. Jest to tzw. AI Literacy.

‍

Szkolenia powinny być dostosowane do ról. Innej wiedzy potrzebuje zarząd, innej dział HR, innej dział marketingu, innej dział IT, a jeszcze innej osoby odpowiedzialne za compliance, ochronę danych i cyberbezpieczeństwo.

‍

Minimalny program szkoleniowy powinien obejmować:

• czym jest system AI w rozumieniu AI Act;
• jakie są kategorie ryzyka;
• czego firma nie może robić z AI;
• kiedy system może być wysokiego ryzyka;
• jak korzystać z generatywnej AI;
• jak chronić dane osobowe, tajemnice przedsiębiorstwa i informacje poufne;
• kiedy wynik AI wymaga weryfikacji przez człowieka;
• jak zgłaszać błędy, incydenty i nieprawidłowości.

‍

11. Ustal zasady przejrzystości wobec ludzi

‍

Niektóre systemy AI wymagają spełnienia obowiązków informacyjnych. Dotyczy to m.in. systemów wchodzących w interakcję z człowiekiem, systemów generujących treści syntetyczne, systemów rozpoznawania emocji, kategoryzacji biometrycznej oraz deepfake'ów.

‍

Firma powinna sprawdzić:

• czy użytkownik wie, że rozmawia z systemem AI;
• czy treści generowane lub manipulowane przez AI są właściwie oznaczane;
• czy osoby fizyczne otrzymują wymagane informacje;
• czy oznaczenia są zrozumiałe, widoczne i dostosowane do kanału komunikacji;
• czy obowiązki przejrzystości są uwzględnione w procesach marketingowych, sprzedażowych i obsługi klienta.

‍

W praktyce dotyczy to np. chatbotów, voicebotów, generatorów grafiki, systemów tworzących teksty publikowane w imieniu firmy, narzędzi do automatycznego generowania materiałów reklamowych oraz systemów wykorzystywanych do tworzenia realistycznych obrazów, nagrań audio lub wideo.

‍

12. Połącz AI Act z RODO, cyberbezpieczeństwem i prawem pracy

‍

AI Act nie zastępuje RODO, przepisów konsumenckich, prawa pracy, regulacji sektorowych ani zasad odpowiedzialności za produkt. Firma powinna traktować AI Act compliance jako część szerszego systemu zgodności.

‍

W praktyce należy sprawdzić:

• czy system przetwarza dane osobowe;
• jaka jest podstawa prawna przetwarzania;
• czy konieczna jest ocena skutków dla ochrony danych;
• czy występuje zautomatyzowane podejmowanie decyzji;
• czy system wpływa na pracowników lub kandydatów;
• czy system spełnia wymagania cyberbezpieczeństwa;
• czy dostawca zapewnia odpowiednie gwarancje umowne;
• czy firma ma prawo korzystać z danych używanych w systemie;
• czy wyniki AI mogą naruszać prawa autorskie lub tajemnice przedsiębiorstwa.

‍

Dobrze przygotowane wdrożenie AI Act w firmie powinno łączyć analizę prawną, techniczną, organizacyjną i biznesową.

‍

13. Zweryfikuj umowy z dostawcami AI

‍

Wiele firm nie buduje własnych systemów AI, lecz korzysta z rozwiązań zewnętrznych. Nie zwalnia to jednak organizacji z obowiązku oceny ryzyka i właściwego korzystania z systemu.

‍

Umowy z dostawcami powinny regulować w szczególności:

• opis systemu i jego przeznaczenia;
• rolę dostawcy i rolę klienta;
• zakres dokumentacji przekazywanej firmie;
• zasady aktualizacji systemu;
• odpowiedzialność za istotne zmiany;
• zasady monitorowania działania systemu;
• obowiązki dotyczące bezpieczeństwa;
• obowiązki dotyczące danych osobowych;
• wsparcie w razie incydentu;
• zasady audytu;
• ograniczenia w używaniu danych firmy do trenowania modeli;
• procedurę zakończenia współpracy.

‍

W przypadku systemów wysokiego ryzyka umowa powinna być znacznie bardziej szczegółowa. Sama deklaracja dostawcy, że system jest zgodny z AI Act, nie wystarczy.

‍

14. Przygotuj procedurę reagowania na incydenty

‍

Firmy korzystające z AI powinny mieć procedurę wykrywania, oceny i obsługi nieprawidłowości. Szczególne znaczenie ma to w przypadku systemów wysokiego ryzyka, gdzie AI Act przewiduje obowiązki związane z poważnymi incydentami.

‍

Procedura powinna określać:

• kto przyjmuje zgłoszenia;
• jak klasyfikowane są błędy i incydenty;
• kiedy sprawa trafia do działu prawnego, compliance, IT, bezpieczeństwa lub zarządu;
• jak zabezpiecza się logi i dowody;
• kiedy należy powiadomić dostawcę;
• kiedy konieczne jest zgłoszenie do organu;
• jak dokumentowane są działania naprawcze;
• jak aktualizowana jest ocena ryzyka.

‍

Dla firmy istotne jest nie tylko to, czy system działa, ale również czy można wykazać, że jego działanie jest monitorowane i kontrolowane.

‍

15. Stwórz wewnętrzną politykę korzystania z AI

‍

Każda firma korzystająca z AI powinna posiadać wewnętrzne zasady używania takich narzędzi. Polityka nie powinna być ogólnym dokumentem deklaracyjnym. Powinna realnie odpowiadać na to, jak pracownicy korzystają z AI w codziennej pracy.

‍

Polityka AI powinna określać:

• jakie narzędzia są dopuszczone;
• jakie narzędzia są zakazane;
• jakich danych nie wolno wprowadzać do systemów AI;
• kiedy wymagany jest przegląd wyniku przez człowieka;
• kto odpowiada za wdrożenie nowego narzędzia AI;
• jak zgłaszać nowe przypadki użycia AI;
• jak oceniać ryzyko;
• jakie zasady obowiązują przy tworzeniu treści;
• jakie zasady obowiązują przy korzystaniu z AI w HR, sprzedaży, marketingu, finansach i obsłudze klienta.

‍

To jeden z najważniejszych dokumentów operacyjnych w ramach AI Act compliance.

‍

16. Monitoruj zmiany systemów AI

‍

System AI może zmieniać się w czasie. Zmiana modelu, danych, funkcji, sposobu użycia lub przeznaczenia może wpływać na klasyfikację ryzyka i zakres obowiązków.

‍

Firma powinna monitorować:

• aktualizacje systemu;
• zmiany dostawcy;
• nowe funkcjonalności;
• zmianę działu korzystającego z systemu;
• zmianę kategorii danych;
• rozszerzenie użycia na nowe kraje lub grupy użytkowników;
• zmianę wpływu systemu na decyzje dotyczące osób fizycznych.

‍

Realizacja i wdrożenie AI Act w firmie powinna traktować jako proces ciągły, a nie jednorazowy projekt dokumentacyjny.

‍

17. Checklista AI Act dla zarządu

‍

Zarząd powinien uzyskać odpowiedzi na następujące pytania:

1. Czy wiemy, z jakich systemów AI korzysta firma?
2. Czy mamy rejestr systemów AI?
3. Czy każdy system ma właściciela biznesowego?
4. Czy ustaliliśmy rolę firmy wobec każdego systemu?
5. Czy sprawdziliśmy, które systemy mogą być zakazane?
6. Czy oceniliśmy, które systemy mogą być wysokiego ryzyka?
7. Czy mamy procedurę zatwierdzania nowych narzędzi AI?
8. Czy mamy politykę korzystania z generatywnej AI?
9. Czy pracownicy wiedzą, jakich danych nie wolno wpisywać do narzędzi AI?
10. Czy mamy procedurę reagowania na incydenty?
11. Czy umowy z dostawcami AI zabezpieczają interes firmy?
12. Czy AI Act jest powiązany z RODO, cyberbezpieczeństwem i compliance?
13. Czy osoby korzystające z AI zostały przeszkolone?
14. Czy monitorujemy zmiany w systemach AI?
15. Czy możemy wykazać AI Act zgodność z przepisami w razie kontroli?

Podsumowanie

‍

Wymagania dla firm w kontekście AI Act będą zależeć od tego, jakie systemy AI są używane, w jakim celu, przez kogo i z jakim wpływem na ludzi. Nie każda firma będzie miała systemy wysokiego ryzyka, ale każda organizacja korzystająca zawodowo z AI powinna przeprowadzić co najmniej podstawową inwentaryzację, klasyfikację i ocenę ryzyka.

‍

AI Act compliance wymaga połączenia prawa, technologii, zarządzania ryzykiem, ochrony danych, cyberbezpieczeństwa i odpowiedzialności biznesowej. Największym błędem jest traktowanie AI Act wyłącznie jako kolejnej polityki do podpisu. Prawidłowe wdrożenie AI Act w firmie powinno prowadzić do realnej kontroli nad tym, gdzie, jak i po co organizacja korzysta ze sztucznej inteligencji.

‍

Dla przedsiębiorców kluczowe jest jedno w kontekście AI Act: obowiązki przedsiębiorców należy analizować nie abstrakcyjnie, lecz przez konkretne przypadki użycia AI w organizacji.

‍

W branży technologicznej marka często powstaje szybciej niż sama świadomość, że warto ją chronić, dlatego odpowiednia obsługa prawna IT powinna być brana pod uwagę już od samego początku. Startup wybiera nazwę aplikacji, software house projektuje logo, spółka uruchamia nową platformę, a zespół produktowy zaczyna komunikację pod chwytliwym hasłem. Na początku najważniejsze wydają się sprzedaż, rozwój produktu i pozyskanie klientów. Dopiero później pojawia się pytanie: czy ktoś inny może używać podobnej nazwy? Czy nasza marka rzeczywiście należy do nas? I co zrobić, gdy konkurencja zaczyna korzystać z oznaczenia łudząco podobnego do naszego?

‍

Właśnie tutaj spotykają się dwa światy: branding w IT oraz znaki towarowe w IT. Pierwszy odpowiada za rozpoznawalność, zaufanie i pozycjonowanie firmy na rynku. Drugi daje narzędzia prawne, które pomagają tę rozpoznawalność chronić.

Dlaczego branding technologiczny wymaga wsparcia prawnego?

Branding technologiczny to nie tylko estetyczne logo, kolorystyka strony internetowej czy nazwa produktu. W sektorze IT marka bardzo często staje się jednym z kluczowych aktywów firmy. Klienci kojarzą ją z jakością kodu, bezpieczeństwem danych, stabilnością systemu, UX, wsparciem technicznym i wiarygodnością całego zespołu.

‍

Problem polega na tym, że sama obecność marki na rynku nie zawsze wystarcza do skutecznej ochrony. Firma może mieć domenę, profile w mediach społecznościowych, materiały marketingowe i bazę klientów, ale nadal nie mieć zarejestrowanego znaku towarowego. To oznacza, że w razie sporu trzeba będzie wykazywać, od kiedy oznaczenie było używane, na jakim terytorium, dla jakich usług oraz czy odbiorcy rzeczywiście kojarzą je z konkretną firmą.

‍

Z tego powodu proces tworzenia marki w IT powinien uwzględniać nie tylko strategię marketingową, ale również analizę prawną. Dobra nazwa powinna być atrakcyjna dla klientów, możliwa do komunikowania na rynku i jednocześnie możliwa do ochrony jako znak towarowy.

Czym są znaki towarowe w IT?

Znaki towarowe w IT to oznaczenia, które pozwalają odróżniać produkty lub usługi jednej firmy technologicznej od produktów lub usług innych podmiotów. Może to być między innymi nazwa software house’u, logo aplikacji, nazwa systemu SaaS, oznaczenie platformy e-commerce, nazwa narzędzia AI, hasło reklamowe albo charakterystyczny element identyfikacji wizualnej.

‍

W praktyce znak towarowy ma pomóc klientowi odpowiedzieć na proste pytanie: od kogo pochodzi dana usługa lub produkt? Jeżeli użytkownik widzi nazwę aplikacji i od razu kojarzy ją z konkretnym dostawcą, mamy do czynienia z funkcją odróżniającą marki.

‍

Nie każde oznaczenie będzie jednak dobrym kandydatem do rejestracji. Zbyt opisowe nazwy, takie jak proste określenia funkcji programu, mogą być problematyczne. Jeżeli firma tworzy aplikację do fakturowania i chce zarejestrować nazwę, która jedynie opisuje „szybkie faktury online”, urząd może uznać, że takie oznaczenie nie odróżnia jednego przedsiębiorcy od innych. Dlatego już na etapie wyboru nazwy warto sprawdzić, czy marka ma dostatecznie indywidualny charakter.

Jak zarejestrować znak towarowy dla firmy IT?

W pierwszej kolejności warto ustalić, co dokładnie ma być chronione. Inaczej wygląda ochrona nazwy spółki, inaczej logo, a jeszcze inaczej nazwy konkretnego produktu cyfrowego. W wielu przypadkach zasadne jest zgłoszenie kilku oznaczeń, na przykład nazwy firmy oraz nazwy flagowego rozwiązania.

‍

Następnie należy określić zakres towarów i usług. W branży IT może chodzić między innymi o oprogramowanie, usługi programistyczne, hosting, cyberbezpieczeństwo, doradztwo technologiczne, rozwiązania chmurowe, aplikacje mobilne, platformy internetowe albo usługi wdrożeniowe. Ten etap jest bardzo ważny, ponieważ ochrona znaku towarowego nie działa abstrakcyjnie „na wszystko”. Jest związana z konkretnymi kategoriami działalności.

‍

Kolejnym krokiem jest badanie dostępności oznaczenia. Warto sprawdzić, czy identyczne albo podobne znaki nie zostały już zgłoszone lub zarejestrowane przez inne podmioty. W branży technologicznej ryzyko kolizji jest realne, szczególnie gdy nazwy są krótkie, anglojęzyczne albo oparte na popularnych słowach związanych z automatyzacją, chmurą, danymi, AI lub bezpieczeństwem.

‍

Dopiero po takiej analizie można przygotować zgłoszenie. W zależności od strategii biznesowej firma może rozważyć ochronę w Polsce, w Unii Europejskiej albo na wybranych rynkach zagranicznych. Dla firm IT, które od początku działają online i kierują usługi do klientów z różnych państw, zakres terytorialny ochrony ma szczególne znaczenie. W prawidłowym i bezpiecznym przejściu przez te procedury doradzić może doświadczona kancelaria prawna w Warszawie.

Prawo znaków towarowych w IT a codzienna działalność firmy

Prawo znaków towarowych w IT nie jest tematem zarezerwowanym wyłącznie dla dużych spółek technologicznych. Dotyczy również startupów, software house’ów, agencji UX/UI, firm wdrożeniowych, twórców aplikacji, dostawców SaaS i freelancerów budujących własne produkty.

‍

W codziennej działalności znak towarowy może mieć znaczenie przy sprzedaży licencji, rozmowach z inwestorem, wejściu na nowy rynek, podpisywaniu umów partnerskich, tworzeniu sieci resellerów albo przygotowaniu firmy do transakcji M&A. Inwestor lub nabywca może zapytać, czy marka jest rzeczywiście zabezpieczona. Brak rejestracji nie zawsze przekreśla rozmowy, ale może obniżać komfort prawny i biznesowy.

‍

Ochrona prawna znaków towarowych pomaga również w reagowaniu na naruszenie znaków towarowych. Jeżeli konkurent używa podobnej nazwy aplikacji, rejestruje podobną domenę albo prowadzi kampanię reklamową wykorzystującą oznaczenie zbliżone do naszej marki, zarejestrowany znak towarowy daje mocniejszą podstawę do działania.

Rejestracja marki w technologii a strategia rozwoju

Rejestracja marki w technologii powinna być powiązana z planem rozwoju firmy. Inne potrzeby będzie miał lokalny software house świadczący usługi głównie w Polsce, a inne spółka SaaS sprzedająca subskrypcje klientom z całej Unii Europejskiej. Jeszcze inaczej należy podejść do marki aplikacji, która ma być skalowana globalnie.

‍

Warto zadać sobie kilka pytań: gdzie firma faktycznie sprzedaje swoje usługi? Gdzie planuje ekspansję? Czy marka będzie używana tylko jako nazwa przedsiębiorstwa, czy również jako nazwa produktu? Czy spółka przewiduje model franczyzowy, partnerski lub licencyjny? Czy możliwe jest pozyskanie inwestora, który będzie oczekiwał uporządkowanej własności intelektualnej?

‍

Odpowiedzi na te pytania pomagają dobrać właściwą strategię ochrony. Zgłoszenie znaku wyłącznie w Polsce może być wystarczające dla części firm. Dla innych bardziej uzasadniona będzie ochrona unijna albo międzynarodowa. Najważniejsze, aby decyzja nie była przypadkowa.

Umowy licencyjne na znaki towarowe w sektorze IT

W branży technologicznej marka często jest wykorzystywana przez więcej niż jeden podmiot. Może pojawić się partner wdrożeniowy, reseller, dystrybutor, spółka zależna, franczyzobiorca albo integrator systemu. W takich sytuacjach ważne są umowy licencyjne na znaki towarowe.

‍

Umowa powinna jasno określać, kto może używać marki, w jakim zakresie, na jakim terytorium, przez jaki czas i w jakich materiałach. Dobrze przygotowana licencja wskazuje również standardy używania logo, zasady akceptacji materiałów marketingowych oraz konsekwencje naruszenia warunków współpracy.

‍

To szczególnie istotne w IT, gdzie jedna marka może pojawiać się na stronie internetowej, w panelu użytkownika, dokumentacji technicznej, marketplace, prezentacjach sprzedażowych, materiałach dla inwestorów i repozytoriach. Brak jasnych zasad może prowadzić do chaosu komunikacyjnego, a w skrajnych przypadkach do osłabienia marki.

Ochrona znaków towarowych i brandingu w sektorze IT

Ochrona znaków towarowych i brandingu w sektorze IT nie kończy się na samym zgłoszeniu. Po rejestracji warto monitorować rynek i reagować na oznaczenia podobne do własnej marki. Dotyczy to zarówno rejestrów znaków towarowych, jak i domen internetowych, reklam w wyszukiwarkach, marketplace’ów, sklepów z aplikacjami oraz mediów społecznościowych.

‍

Wizerunek marki technologicznej może ucierpieć nie tylko wtedy, gdy ktoś kopiuje nazwę. Ryzykiem jest również używanie oznaczenia w sposób, który wywołuje wrażenie powiązania biznesowego, partnerstwa albo oficjalnej autoryzacji. Dla klientów różnice między dostawcami bywają nieczytelne, szczególnie gdy usługi są podobne, a komunikacja opiera się na tych samych technologiach i hasłach.

‍

Dlatego ochrona marki powinna obejmować zarówno działania prawne, jak i organizacyjne. Warto mieć wewnętrzne zasady używania logo, kontrolować dostęp do plików źródłowych identyfikacji wizualnej, pilnować spójności komunikacji oraz dokumentować używanie znaku na rynku. Takie działania mogą mieć znaczenie dowodowe w razie sporu.

Najczęstsze błędy firm IT

Jednym z najczęstszych błędów jest odkładanie ochrony marki na później. Firma zakłada, że rejestracja będzie potrzebna dopiero wtedy, gdy produkt osiągnie dużą skalę. Tymczasem im bardziej rozpoznawalna staje się marka, tym bardziej bolesny może być spór o jej używanie.

‍

Drugim błędem jest wybór nazwy zbyt opisowej. Taka nazwa może wydawać się korzystna marketingowo, bo od razu mówi klientowi, czym zajmuje się produkt. Z prawnego punktu widzenia może być jednak trudniejsza do ochrony.

‍

Trzecim błędem jest brak sprawdzenia podobnych oznaczeń. W IT wiele firm korzysta z podobnych skojarzeń: cloud, data, smart, cyber, code, dev, flow, AI, bot, tech. To zwiększa ryzyko, że wybrana nazwa będzie zbliżona do oznaczenia używanego już przez inny podmiot.

‍

Czwartym błędem jest brak kontroli nad tym, jak partnerzy używają marki. Jeżeli logo jest modyfikowane, stosowane w nieaktualnych wersjach albo zestawiane z nieautoryzowanymi komunikatami, może to osłabiać spójność marki i wprowadzać klientów w błąd.

Podsumowanie - Strategia ochrony marki w IT

Branding w IT i znaki towarowe w IT powinny być traktowane jako element jednej strategii. Marka technologiczna ma budować zaufanie, wyróżniać firmę na rynku i wspierać sprzedaż. Znak towarowy ma natomiast pomagać w ochronie tej wartości przed nieuprawnionym wykorzystaniem przez inne podmioty.

‍

Dobrze zaprojektowana marka powinna być nie tylko atrakcyjna wizualnie i komunikacyjnie, ale również możliwa do ochrony prawnej. Dlatego firmy technologiczne powinny myśleć o znakach towarowych już na etapie tworzenia nazwy, projektowania logo i planowania ekspansji.

‍

W sektorze IT przewagę konkurencyjną buduje się nie tylko kodem, funkcjonalnościami i zespołem. Coraz częściej buduje się ją również rozpoznawalną, bezpieczną i prawnie uporządkowaną marką.

‍

ChatGPT coraz częściej pojawia się w codziennej pracy firm: pomaga pisać e-maile, przygotowywać oferty, streszczać dokumenty czy tworzyć treści marketingowe. Nic dziwnego, że przedsiębiorcy pytają, czy korzystanie z takiego narzędzia jest zgodne z przepisami o ochronie danych osobowych. W takich sytuacjach z pomocą przychodzi sprawdzony prawnik AI.

‍

Odpowiedź nie jest zero-jedynkowa. Samo używanie ChatGPT w firmie nie musi naruszać RODO. Ryzyko pojawia się wtedy, gdy pracownicy wpisują do narzędzia dane klientów, pracowników, kandydatów do pracy lub kontrahentów bez jasnych zasad, podstawy prawnej i odpowiednich zabezpieczeń.

ChatGPT a RODO - gdzie leży problem?

Najważniejsze pytanie brzmi: czy do ChatGPT trafiają dane osobowe? Jeżeli pracownik wpisuje wyłącznie ogólne polecenie, np. „przygotuj szkic regulaminu sklepu internetowego”, ryzyko jest ograniczone. Inaczej wygląda sytuacja, gdy do narzędzia trafia treść reklamacji klienta, umowa z kontrahentem, CV kandydata albo korespondencja z pracownikiem. W takich kwestiach kompleksowo doradzić może kancelaria prawna w Warszawie.

‍

Wtedy może dojść do przetwarzania danych osobowych. A skoro pojawia się przetwarzanie danych przez AI, firma powinna ocenić, czy ma do tego podstawę prawną, czy dane są odpowiednio zabezpieczone i czy osoba, której dane dotyczą, została prawidłowo poinformowana.

Sztuczna inteligencja RODO - o czym musi pamiętać firma?

Hasło sztuczna inteligencja RODO warto rozumieć praktycznie. Firma nie powinna zakładać, że skoro narzędzie jest powszechnie dostępne, można wprowadzać do niego dowolne informacje. RODO wymaga m.in. minimalizacji danych, przejrzystości, ograniczenia celu oraz zapewnienia bezpieczeństwa.

‍

W praktyce oznacza to, że do ChatGPT nie należy wpisywać danych osobowych, jeżeli nie jest to konieczne. Zamiast podawać imię, nazwisko, adres e-mail, numer sprawy czy szczegóły konkretnej umowy, lepiej posługiwać się neutralnymi oznaczeniami, np. „Klient A”, „Pracownik B” albo „Kontrahent C”.

‍

To prosta zasada, ale w wielu przypadkach znacząco ogranicza ryzyko.

Bezpieczeństwo danych w ChatGPT - czy dane są bezpieczne?

Bezpieczeństwo danych w ChatGPT zależy od tego, z jakiej wersji narzędzia korzysta firma, jakie ma ustawienia, jakie dane są wprowadzane i czy przedsiębiorca zawarł odpowiednie umowy z dostawcą. Inaczej należy oceniać prywatne konto pracownika, a inaczej rozwiązanie firmowe z kontrolą administracyjną i dodatkowymi zabezpieczeniami.

‍

Najbardziej ryzykowny scenariusz to sytuacja, w której pracownicy używają prywatnych kont do zadań służbowych i wklejają do narzędzia dokumenty firmowe albo dane klientów. W takim przypadku pracodawca może nie mieć realnej kontroli nad tym, co dzieje się z danymi.

Ochrona danych osobowych AI - jakie zasady wdrożyć?

Ochrona danych osobowych AI powinna zacząć się od prostych, wewnętrznych reguł. Firma powinna jasno wskazać, do czego można używać ChatGPT, jakich danych nie wolno wpisywać i kto odpowiada za ocenę bardziej ryzykownych zastosowań.

‍

Warto wdrożyć zwłaszcza następujące zasady:

• nie wpisywać danych osobowych, jeżeli nie jest to konieczne,
• anonimizować lub pseudonimizować informacje przed użyciem narzędzia,
• nie korzystać z prywatnych kont pracowników do celów służbowych,
• sprawdzić warunki korzystania z narzędzia i politykę prywatności,
• przeszkolić pracowników,
• uregulować korzystanie z AI w wewnętrznej procedurze,
• przeprowadzić analizę ryzyka RODO,
• w razie potrzeby wykonać ocenę skutków dla ochrony danych.

Czy potrzebna jest zgoda klienta?

Nie zawsze. Zgoda na przetwarzanie nie jest jedyną podstawą prawną. W zależności od sytuacji podstawą może być np. wykonanie umowy, obowiązek prawny albo prawnie uzasadniony interes administratora danych.

‍

Nie oznacza to jednak pełnej dowolności. Jeżeli firma chce wykorzystywać ChatGPT do pracy na danych klienta, musi ocenić, czy jest to niezbędne, proporcjonalne i bezpieczne. W wielu przypadkach lepszym rozwiązaniem będzie korzystanie z danych zanonimizowanych.

ChatGPT w HR i danych pracowników

Szczególnej ostrożności wymagają dane pracowników oraz kandydatów do pracy. Wprowadzanie do ChatGPT CV, ocen okresowych, informacji o wynagrodzeniu, nieobecnościach, konfliktach w zespole czy stanie zdrowia może wiązać się z wysokim ryzykiem prawnym.

‍

Pracodawca powinien unikać używania AI do analizy danych kadrowych bez wcześniejszej oceny zgodności z RODO. W tym obszarze znaczenie mają nie tylko przepisy o ochronie danych, ale także zasady prawa pracy i obowiązek poszanowania prywatności pracownika.

Czy ChatGPT Enterprise rozwiązuje problem RODO?

Wersje biznesowe lub Enterprise mogą oferować lepsze zabezpieczenia niż zwykłe konto konsumenckie, np. większą kontrolę administracyjną, zarządzanie dostępem czy korzystniejsze zasady dotyczące danych firmowych. Nie oznacza to jednak, że samo wykupienie takiej usługi automatycznie zapewnia zgodność z RODO.

‍

Nadal trzeba sprawdzić dokumentację, ustalić role stron, ocenić podstawy prawne przetwarzania, zaktualizować procedury i przeszkolić pracowników.

Jak przygotować firmę do legalnego korzystania z ChatGPT?

Przed wdrożeniem ChatGPT w firmie warto odpowiedzieć na kilka pytań:

• kto może korzystać z narzędzia,
• do jakich celów można go używać,
• czy wolno wpisywać dane osobowe,
• jakie dane są zakazane,
• czy potrzebna jest umowa powierzenia przetwarzania,
• czy trzeba zaktualizować politykę prywatności,
• kto odpowiada za kontrolę korzystania z AI,
• jak firma reaguje na przypadkowe ujawnienie danych.

Dobrze przygotowana procedura nie musi być długa. Powinna być przede wszystkim zrozumiała dla pracowników i dopasowana do realnych procesów w firmie.

Podsumowanie - Bezpieczne wdrażanie sztucznej inteligencji w biznesie

Korzystanie z ChatGPT w firmie nie jest automatycznie niezgodne z RODO. Może jednak prowadzić do naruszeń, jeżeli firma pozwala pracownikom wpisywać dane osobowe do narzędzia bez żadnych zasad i kontroli.

‍

Najbezpieczniejsze podejście to ograniczanie danych, anonimizacja, korzystanie z firmowych kont, analiza ryzyka, szkolenie pracowników i jasna procedura używania AI. Dzięki temu generatywna AI może wspierać biznes, nie narażając firmy na niepotrzebne ryzyka prawne.

‍