Tło strzałki Strzałka
przejdź
przejdź
0 0
dni
0 0
godz
0 0
min
0 0
sek
Skorzystaj z promocji!
  2. Serwis Prawny
  3. Ochrona danych
  4. Shadow AI, czyli pracownik wykorzystujący ChatGPT w pracy a RODO i prywatność

Shadow AI, czyli pracownik wykorzystujący ChatGPT w pracy a RODO i prywatność

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Shadow AI w skrócie polega na wprowadzeniu do pracy jako narzędzia sztucznej inteligencji bez autoryzacji i zgody działów IT oraz działów odpowiadających za bezpieczeństwo danych organizacji/instytucji. Jest to wykorzystywanie sztucznej inteligencji jako narzędzia pracy. W jaki sposób dane osobowe są chronione w sytuacji korzystania przez pracownika ze sztucznej inteligencji? Czy dane takie mogą liczyć na ochronę? Odpowiedź poniżej.

Co to jest shadow AI?

Shadow AI to termin odnoszący się do sztucznej inteligencji, która jest używana w organizacjach lub firmach bez oficjalnego nadzoru, kontroli lub akceptacji ze strony działów IT, zarządzających bezpieczeństwem lub innymi odpowiedzialnymi za zarządzanie technologią. Zwykle chodzi o przypadki, w których pracownicy lub zespoły wdrażają i korzystają z narzędzi opartych na AI, takich jak oprogramowanie do analizy danych, automatyzacji procesów czy chatboty, bez wcześniejszego zatwierdzenia przez odpowiednie osoby lub zespoły zarządzające.

W skrócie – shadow AI oznacza sytuację, w której AI działa w tle w firmie, ale nie jest oficjalnie kontrolowane ani monitorowane przez centralne struktury organizacji. Może to rodzić różne wyzwania związane z bezpieczeństwem, prywatnością, zgodnością z regulacjami oraz efektywnością zarządzania technologią.

Jednym z narzędzi AI jest ChatGPT – skrót od sformułowania Generative pre-trained transformer. Jest to narzędzie w formie aplikacji on-line służące do komunikacji z wykorzystaniem sztucznej inteligencji.

Shadow AI a RODO?

Shadow AI a RODO (Rozporządzenie o Ochronie Danych Osobowych) to temat, który budzi poważne obawy, ponieważ korzystanie z shadow AI może prowadzić do nieświadomego naruszenia przepisów dotyczących ochrony danych osobowych. Główne problemy związane z używaniem shadow AI w kontekście RODO to:

  1. brak zgody i nadzoru nad przetwarzaniem danych osobowych – w przypadku shadow AI, kiedy narzędzia AI są wykorzystywane bez zgody lub nadzoru działu IT, może dochodzić do przetwarzania danych osobowych w sposób niezgodny z RODO. Organizacje mają obowiązek zapewnienia, że dane osobowe są przetwarzane zgodnie z prawem, z zachowaniem odpowiednich zasad przejrzystości, zgody oraz ochrony prywatności;
  2. niewłaściwe zarządzanie danymi osobowymi – narzędzia AI mogą przechowywać, przetwarzać lub analizować dane osobowe (np. dane pracowników, klientów), co w kontekście shadow IT może prowadzić do gromadzenia danych bez odpowiednich zabezpieczeń. Brak kontroli nad tym, kto i jak uzyskuje dostęp do tych danych, może stanowić naruszenie zasad bezpieczeństwa określonych w RODO (np. zasada integralności i poufności danych);
  3. nieautoryzowane przesyłanie danych poza organizację – shadow AI może wykorzystywać narzędzia lub usługi chmurowe spoza organizacji, co może prowadzić do nieautoryzowanego przesyłania danych osobowych do podmiotów trzecich, w tym poza Unię Europejską. Zgodnie z RODO przekazywanie danych osobowych do krajów spoza UE może odbywać się tylko wtedy, gdy kraj ten zapewnia odpowiedni poziom ochrony danych;
  4. brak audytów i ścisłej dokumentacji przetwarzania danych – RODO nakłada obowiązek prowadzenia rejestru czynności przetwarzania danych oraz umożliwienia audytów w zakresie tego przetwarzania. Korzystanie z shadow AI może sprawić, że organizacja nie będzie miała pełnej wiedzy na temat tego, jakie dane są przetwarzane, przez kogo i w jakim celu, co utrudnia zachowanie zgodności z przepisami;
  5. brak zabezpieczeń i kontroli dostępu – korzystanie z AI w sposób niekontrolowany może prowadzić do wykorzystania narzędzi, które nie spełniają wymogów RODO dotyczących ochrony danych, takich jak odpowiednie zabezpieczenia techniczne i organizacyjne. W związku z tym mogą wystąpić luki w ochronie danych osobowych;
  6. zwiększone ryzyko cyberataków – pracownicy korzystający z AI mogą przy użyciu sztucznej inteligencji stworzyć kod / złośliwe oprogramowanie, które ułatwi ataki na system informatyczny firmy czy instytucji, tworząc lukę.

Jakie są potencjalne konsekwencje?

Organizacje mogą stanąć w obliczu poważnych konsekwencji związanych z naruszeniem RODO, takich jak:

  1. kary finansowe – zgodnie z RODO naruszenia przepisów mogą skutkować karami finansowymi do 20 milionów euro lub 4% rocznego obrotu firmy;
  2. utrata reputacji – nieprzestrzeganie zasad ochrony danych osobowych może zaszkodzić reputacji organizacji, szczególnie jeśli dochodzi do wycieku danych lub innych naruszeń;
  3. odpowiedzialność cywilna – osoby, których dane osobowe zostały naruszone, mogą domagać się odszkodowania.

Jakie środki zaradcze powinny podjąć organizacje/instytucje, aby zabezpieczyć dane?

Aby uniknąć problemów związanych z shadow AI w kontekście RODO, organizacje powinny:

  1. zwiększyć świadomość – edukować pracowników na temat zagrożeń związanych z shadow AI oraz zasad ochrony danych osobowych;
  2. zrealizować politykę kontroli technologii – wprowadzić polityki, które pozwolą kontrolować wdrażanie narzędzi AI i zapewnią ich zgodność z przepisami RODO;
  3. zrealizować audyty – regularnie przeprowadzać audyty technologiczne, aby sprawdzić, czy wszystkie używane narzędzia są zgodne z regulacjami;
  4. zabezpieczyć dane osobowe – zastosować odpowiednie środki techniczne i organizacyjne, aby zapewnić bezpieczeństwo danych osobowych w trakcie ich przetwarzania przez AI.

Warto wskazać, że 1 sierpnia 2024 roku w życie wszedł Akt o AI – pierwsza w skali świata kompleksowa regulacja prawna dla systemów i modeli sztucznej inteligencji. Jest to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 z dnia 13 czerwca 2024 roku w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji oraz zmiany rozporządzeń (WE) nr 300/2008, (UE) nr 167/2013, (UE) nr 168/2013, (UE) 2018/858, (UE) 2018/1139 i (UE) 2019/2144 oraz dyrektyw 2014/90/UE, (UE) 2016/797 i (UE) 2020/1828 (akt w sprawie sztucznej inteligencji; tekst mający znaczenie dla EOG). Jest to pierwsza w skali świata kompleksowa regulacja prawna dla systemów i modeli sztucznej inteligencji, co stanowi nie tylko fundament dla innowacji, lecz przede wszystkim gwarantuje bezpieczeństwo i poszanowanie praw człowieka w obliczu szybko rozwijającej się technologii.

Z powyższego wynika, że używanie AI w pracy może być bardzo ryzykowne nie tylko pod kątem ochrony danych osobowych pracowników, klientów, lecz także z punktu widzenia kontrahentów czy też ich bezpieczeństwa informacji.

Polecamy:

Rok składkowy w aspekcie rozliczania składki zdrowotnej

Skrzynka e-mail byłego pracownika a RODO - czy pra...
Luty 2025
20
Czwartek
  • ZUS (spółki akcyjne, spółki z o.o., spółdzielnie, stowarzyszenia, fundacje)
  • Podatek dochodowy
  • PIT 4
  • PIT 8A
  • ZUS (jednoosobowa działalność gospodarcza, spółki: cywilne, jawne, partnerskie, kamandytowe, komandytowo-akcyjne)
  • VAT 7
  • VAT UE (elektroniczna)
  • PIT 11
Wyświetl artykuły z tego dnia
Zobacz wszystkie

Najchętniej czytane

  1. Zaświadczenie o niekaralności - jak je uzyskać i ile kosztuje?
  2. Monitoring pracowników - jakie formalności, żeby zamontować kamery w firmie?
  3. RODO - czyli jakie dane podlegają ochronie danych osobowych?
  4. 7 zasad, które warto znać, jak zaliczyć wpłatę otrzymaną od kontrahenta
  5. Wymeldowanie z pobytu stałego - jak wymeldować siebie lub inną osobę?
Zobacz wszystkie

Kalkulatory

Zobacz wszystkie kalkulatory

Wzory dokumentów

Zobacz wszystkie wzory

Ochrona danych

Skrzynka e-mail byłego pracownika a RODO - czy pracodawca może mieć…

Kalkulatory Wzory umów Wskaźniki Porady online

Patronaty

Ecommerce Event 3.0 – największa konferencja dla sklepów internetowych już 13 marca w Warszawie
IV OGÓLNOPOLSKA KONFERENCJA PRAWA RYNKU KAPITAŁOWEGO “ENERGIA KAPITAŁU”
KONFERENCJA PRAWO PRACY 2025 - zmiany w przepisach, najnowsze orzecznictwo, interpretacje oraz wyjaśnienie wątpliwości
Kongres HR 2025: HR jako strategiczny partner: budowanie bezpiecznego, efektywnego i przyszłościowego środowiska pracy
Mobile Trends Conference 2025 – najważniejsze wydarzenie dla branży technologicznej już w marcu! Zobacz wszystkie
Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów