top of page
Search

Odpowiedzialność zarządu za wdrożenie AI – kto odpowiada, gdy coś pójdzie nie tak?

  • Apr 2
  • 5 min read

Wdrożenie sztucznej inteligencji w firmie to dziś decyzja zarządcza z pełnymi konsekwencjami prawnymi. Odpowiedzialność zarządu za AI wynika wprost z przepisów AI Act, RODO oraz prawa cywilnego – i nie można jej delegować na dział IT ani zewnętrznego dostawcę. W tym artykule wyjaśniamy, co konkretnie spoczywa na barkach zarządu, jakie ryzyka prawne niesie brak procedur i co zrobić, zanim kolejne narzędzie AI trafi do organizacji.


 

Dlaczego wdrożenie AI to decyzja zarządcza, nie technologiczna

Sztuczna inteligencja przestała być tematem konferencji technologicznych. Stała się narzędziem operacyjnym, które funkcjonuje w setkach polskich firm – często bez formalnej decyzji zarządu, bez polityki wewnętrznej i bez umów regulujących odpowiedzialność. Jednocześnie otoczenie regulacyjne zmieniło się fundamentalnie.

AI Act – pierwsze na świecie kompleksowe rozporządzenie dotyczące sztucznej inteligencji – obowiązuje w całej Unii Europejskiej. Nakłada konkretne obowiązki na organizacje wdrażające systemy AI. Do tego dochodzi RODO, prawo cywilne i przepisy prawa autorskiego. Łącznie tworzą one system, w którym decyzja o wdrożeniu AI niesie ze sobą realne konsekwencje prawne.


Kluczowa zasada jest prosta: kiedy firma korzysta z systemu AI, to ona – nie producent narzędzia, nie vendor, nie software house – jest podmiotem odpowiedzialnym za skutki jego działania wobec klientów, pracowników i organów regulacyjnych. Tak stanowi prawo cywilne. Tak stanowi AI Act. Tak działa RODO.


Co oznacza odpowiedzialność zarządu za AI w praktyce?

Zarząd ponosi odpowiedzialność za wdrożenie AI nie dlatego, że rozumie architekturę modeli językowych. Ponosi ją dlatego, że to zarząd podejmuje decyzje o kierunku działania organizacji i odpowiada za sposób, w jaki firma zarządza ryzykiem.

Trzy konkretne przykłady ilustrują ten mechanizm:

•       Jeśli system rekrutacyjny oparty na AI dyskryminuje kandydatów ze względu na wiek lub płeć – odpowiada firma, która go wdrożyła, nie jego twórca.

•       Jeśli algorytm podejmuje decyzje dotyczące klientów na podstawie danych osobowych, bez właściwej podstawy prawnej – odpowiada administrator danych, czyli firma.

•       Jeśli narzędzie generuje treści naruszające prawa autorskie i firma je publikuje – odpowiada firma.

 

AI Act i ryzyko prawne – co zarząd musi wiedzieć


AI Act klasyfikuje systemy sztucznej inteligencji według poziomów ryzyka. Systemy wysokiego ryzyka – obejmujące m.in. AI w rekrutacji, ocenie zdolności kredytowej, edukacji czy zarządzaniu infrastrukturą krytyczną – podlegają szczególnym obowiązkom compliance.

Obowiązki organizacji korzystającej z AI wysokiego ryzyka

•       Dokumentowanie systemu AI i procesu jego wdrożenia.

•       Testowanie systemu przed wdrożeniem i w trakcie eksploatacji.

•       Zapewnienie nadzoru ludzkiego nad decyzjami systemu.

•       Spełnienie określonych wymogów technicznych i organizacyjnych.

•       Klasyfikacja systemu na gruncie AI Act – po stronie firmy, nie dostawcy.

 

Ważna zasada: to firma korzystająca z systemu AI – nie jego producent – ocenia, do której kategorii ryzyka należy dane narzędzie. Brak tej oceny, brak dokumentacji i brak procedur wewnętrznych może skutkować karami finansowymi sięgającymi kilku procent rocznego globalnego obrotu firmy.

Ryzyko reputacyjne – równie poważne jak finansowe

Obok sankcji finansowych istnieje ryzyko, którego nie widać w spreadsheetach. Firma, której algorytm podejmuje błędne, krzywdzące albo dyskryminujące decyzje, traci zaufanie klientów. Zaufanie buduje się latami i traci w tygodniach.


Praktyczny scenariusz: jak wdrożenie AI może obrócić się przeciwko firmie

Firma zatrudniająca kilkaset osób wdraża narzędzie AI do obsługi klienta. Chatbot przejmuje część pierwszego kontaktu – odpowiada na pytania, obsługuje reklamacje, pomaga w procesie zakupowym. Umowa z dostawcą jest standardowa, podpisana przez dział zakupów, bez szczegółowego przeglądu prawnego.

Po kilku miesiącach klient składa skargę do Prezesa UODO. Twierdzi, że w trakcie rozmowy z chatbotem ujawnił dane wrażliwe, a firma nie poinformowała go o tym, że rozmawia z systemem automatycznym. Urząd wszczyna postępowanie. Firma sprawdza umowę z dostawcą – okazuje się, że ten zabezpieczył się klauzulami wyłączającymi jego odpowiedzialność. Firma zostaje z problemem sama.

Taki scenariusz zdarza się. I będzie zdarzał się coraz częściej – nie dlatego, że firmy są niedbałe, ale dlatego, że wdrożenia AI wyprzedziły procedury zarządcze, które powinny je poprzedzać.


Najczęstszy błąd zarządów przy wdrożeniu AI

Największy błąd, który popełniają organizacje, to traktowanie wdrożenia AI jako projektu technologicznego, a nie jako zmiany operacyjnej z pełnymi konsekwencjami prawnymi.

Schemat jest zazwyczaj ten sam: zarząd zatwierdza budżet, IT wybiera narzędzie, dział zakupów podpisuje umowę. Wszyscy zakładają, że skoro vendor jest dużą, rozpoznawalną firmą, to wszystko musi być w porządku. To założenie jest błędne.

Duże firmy technologiczne chronią przede wszystkim siebie. Ich standardowe umowy są pisane przez ich prawników, w ich interesie. Odpowiedzialność za compliance – za zgodność z RODO, za klasyfikację systemu na gruncie AI Act, za procedury wewnętrzne – zostaje po stronie klienta.

Zarząd, który nie zadaje pytań o ryzyko prawne przed wdrożeniem, nie zleca audytu, nie buduje dokumentacji i nie weryfikuje umów – nie jest chroniony przez brak wiedzy. Jest odpowiedzialny za brak należytej staranności.


Ryzyka prawne wdrożenia AI – lista dla zarządu

Przed podjęciem decyzji o wdrożeniu nowego systemu AI zarząd powinien ocenić ryzyko w czterech kluczowych obszarach:

1.     AI Act – klasyfikacja ryzyka systemu, obowiązki compliance, dokumentacja.

2.     RODO – podstawa prawna przetwarzania danych osobowych przez system AI, umowy powierzenia, oceny skutków (DPIA).

3.     Prawa autorskie – kwestia własności danych treningowych, prawa do outputów systemu AI.

4.     Odpowiedzialność kontraktowa – zapisy w umowie z dostawcą dotyczące podziału odpowiedzialności za błędy systemu.

 

Co zarząd powinien wdrożyć przed kolejnym projektem AI

Pięć działań, które zmniejszają ryzyko prawne i budują odpowiedzialną organizację:

1. Audyt przed wdrożeniem

Każdy nowy system AI powinien przejść przez ocenę ryzyka: klasyfikację na gruncie AI Act, analizę RODO, ocenę ryzyka związanego z prawami autorskimi danych treningowych. To element procesu decyzyjnego zarządu, nie jednorazowe zadanie działu prawnego.

2. Polityka AI dla organizacji

Dokument określający, z jakich narzędzi firma może korzystać, w jakim celu, na jakich zasadach i kto za to odpowiada wewnętrznie. Bez polityki AI pracownicy korzystają z narzędzi według własnego uznania, często wprowadzając do systemów zewnętrznych dane klientów i informacje poufne.

3. Weryfikacja umów z dostawcami

Standardowe umowy vendorów AI rzadko chronią interesy klienta. Przed podpisaniem należy zadbać o klauzule dotyczące praw autorskich, poufności danych, podziału odpowiedzialności i zasad przetwarzania danych osobowych.

4. Nadzór ludzki

AI Act wymaga nadzoru ludzkiego dla systemów wysokiego ryzyka. Ale nawet poza tą kategorią żaden system AI nie powinien działać w firmie bez realnego mechanizmu monitorowania wyników i możliwości interwencji człowieka.

5. Szkolenie pracowników

Pracownicy korzystający z narzędzi AI muszą wiedzieć, co wolno, czego nie wolno i dlaczego. Polityka AI bez edukacji jest dokumentem, który leży w folderze i nie spełnia żadnej funkcji ochronnej.


Najważniejsze wnioski dla zarządu

• Wdrożenie AI to decyzja zarządcza z pełnymi konsekwencjami prawnymi – nie projekt IT.

• Odpowiedzialność spoczywa na firmie wdrażającej, nie na dostawcy narzędzia.

• AI Act, RODO i prawo cywilne tworzą trójwarstwowy system odpowiedzialności, który działa jednocześnie.

• Brak należytej staranności (audyt, polityka AI, weryfikacja umów) to ryzyko kar finansowych i reputacyjnych.

• Firmy, które zarządzają ryzykiem AI proaktywnie, budują bezpieczniejszą i efektywniejszą organizację.

 

Podsumowanie

Sztuczna inteligencja to dziś jedno z najpotężniejszych narzędzi, jakie firma może mieć do dyspozycji. Ale jak każde narzędzie – wymaga, żeby ktoś rozumiał zasady jego użycia i brał za nie odpowiedzialność. W spółce tym podmiotem jest zarząd. Nie chodzi o to, żeby zarząd rozumiał architekturę modeli językowych. Chodzi o to, żeby rozumiał, że wdrożenie AI to decyzja z konsekwencjami prawnymi, które mogą dotknąć firmy, jej klientów i jej właścicieli. Zarządzanie tym ryzykiem – tak samo jak zarządzanie ryzykiem finansowym czy operacyjnym – jest obowiązkiem, a nie opcją.

 
 
 

Comments

skontaktuj się ze mną 
cegielska.law

bądź na bieżąco
z moimi
najnowszymi wpisami

Kancelaria Radcy Prawnego

Alicja Cegielska-Rola

Jedności Narodowej 232/65

50-301, Wrocław

contact@cegielska.law

Podając swój adres mailowy zgadzasz się na otrzymywanie ode mnie newslettera. Zgodę możesz wycofać w każdej chwili. Administratorem Twoich danych jest Kancelaria Radcy Prawnego Alicja Cegielska-Rola. Więcej informacji o przetwarzaniu danych osobowych znajdziesz w polityce prywatności.

+ 48 794 025 342

  • Facebook
  • LinkedIn
  • Instagram
bottom of page