Nieautoryzowana AI już działa w Twojej firmie

Pracownik HR otwiera ChatGPT i wkleja CV osób, które biorą udział w procesie rekrutacyjnym.  Są na nich wszystkie dane: imiona, nazwiska, wykształcenie i doświadczenie, numery telefonów, adresy e-mail. „Przeanalizuj te CV i wskaż najlepszego kandydata” – rozkazuje Chatowi. 

Kilka sekund i gotowe. Brzmi świetnie? Dla niego może i tak.  A Tobie grozi kara, która może sięgać nawet 85 milionów złotych. Dlaczego? Bo w Twojej firmie właśnie złamano przepisy RODO oraz AI Act. 

Według Deloitte już 18% pracowników w Polsce korzysta z generatywnej AI w pracy. I nic nie wskazuje na to, by ten odsetek miał spadać. Przeciwnie. Z kolei badanie KPMG pokazuje, że ponad połowa z nich robi to poza wiedzą przełożonych. W praktyce oznacza to, że w każdej firmie zatrudniającej więcej niż 50 osób co najmniej pięciu pracowników regularnie używa AI bez wiedzy pracodawcy. 

To zjawisko nosi nazwę  Shadow AI.

Pracownik często działa w myśl zasady: skoro nikt nie zabronił, to wolno. I trudno mu się dziwić, że sięga po rozwiązanie, które sprawia, że praca jest szybsza i prostsza. Ale odpowiedzialność prawna i finansowa za ten wybór spada na firmę. 

Dlaczego Shadow AI to bomba zegarowa?

RODO nie zostawia nam pola do interpretacji; dane osobowe muszą być przetwarzane bezpiecznie i pod kontrolą. Administrator danych powinien wiedzieć, gdzie i jak długo dane są przechowywane oraz kto ma do nich dostęp.

A gdy wklejamy je do publicznego ChataGPT, automatycznie tracimy nad nimi kontrolę. Łamie on od razu trzy podstawowe zasady RODO:

• narusza zasadę integralności i poufności danych (art. 5 ust. 1 lit. f),
• dane są używane do celów innych niż pierwotnie planowane (art. 5 ust. 1 lit. b),
• przekazuje więcej informacji niż konieczne (art. 5 ust. 1 lit. c).

A jeżeli były to dane wrażliwe czyli informacje o zdrowiu czy poglądach religijnych (art. 9 RODO), to sytuacja robi się jeszcze poważniejsza. Bo takie dane wymagają szczególnej ochrony czyli szyfrowania, ograniczonego dostępu i szczegółowych logów. I tego typu dane w ogóle można przetwarzać tylko za wyraźną zgodą lub w sytuacjach wyjątkowych np. gdy pojawia się zagrożenie życia albo wynika to z obowiązków prawnych.

Drugim elementem układanki jest AI Act, które weszło w życie w 2024 roku, ale jego kluczowe przepisy dotyczące systemów wysokiego ryzyka jak rekrutacja czy obsługa klienta, zaczną obowiązywać od sierpnia 2026 roku. Rozporządzenie wprowadza ramy prawne dla sztucznej inteligencji w całej Unii Europejskiej. Pracodawcy, którzy wykorzystują AI w tych obszarach, będą musieli spełnić dodatkowe obowiązki. Nie wystarczy ogólna zgoda czy wewnętrzne regulaminy. Trzeba będzie zapewnić przejrzystość działania systemu, nadzór człowieka nad procesem, a także prowadzenie rejestru użycia AI.

AI w HR – jak rekrutować skutecznie i zgodnie z prawem

Sprawdź jak skutecznie i bezboleśnie rekrutować pracowników przy użyciu narzędzi AI. Od maila, przez umawianie spotkań i nagrywanie, aż po analizę CV i wybór kandydata. Jak uniknąć pułapek AI Actu i RODO? Odpowiedzi znajdziesz w artykule autorstwa Bartosza Dobrowolskiego i Zuzanny Rożek

Przeczytaj więcej >>

Najgorszym, co można zrobić, jest udawanie, że nas problem nie dotyczy. Shadow AI nie zniknie, a regulacje są już faktem. Dlatego trzeba działać już. I przez już mam na myśli naprawdę JUŻ. 

W ciągu najbliższych 48 godzin sprawdź, jak wygląda sytuacja w Twojej firmie. Najprostsze będzie przeprowadzenie krótkiej ankiety wśród pracowników: „Czy korzystasz z AI w pracy? Jakich narzędzi używasz? Do czego?” To pozwoli szybko ocenić skalę zjawiska i wskazać miejsca największego ryzyka. Na tym etapie należy wprowadzić też tymczasowy zakaz wklejania danych kandydatów czy klientów do publicznych modeli jak ChatGPT, Claude czy Gemini.

Następnym krokiem powinno być mapowanie ryzyka. Przejrzyj wszystkie procesy w firmie i odpowiedz na pytanie: w których z nich pracownicy mogą używać AI? Największe zagrożenie czai się zwykle w trzech obszarach: rekrutacji (analiza CV), obsłudze klienta (odpowiedzi na zapytania) i marketingu (tworzenie treści). To tam najczęściej „ucieka” najwięcej danych osobowych.

Później (w ciągu najbliższych 30 dni) rozważ przejście na rozwiązania enterprise, które oferują umowy powierzenia przetwarzania danych (DPA). To prawne zabezpieczenie oznacza, że dostawca AI zobowiązuje się do ochrony Twoich danych, nieprzekazywania ich innym firmom oraz usunięcia po zakończeniu umowy. W przeciwieństwie do darmowych wersji, gdzie dane mogą być wykorzystywane do trenowania modeli. Na rynku dostępne są ChatGPT Teams (około 100 zł miesięcznie za użytkownika), Claude for Business (około 100 zł) czy AI w ramach Google Workspace (od 50 zł). To niewielka cena za spokój prawny. Równolegle wyznacz osobę odpowiedzialną za nadzór nad AI w firmie. AI Act będzie wymagał właśnie takiego „strażnika AI”. No i oczywiście zorganizuj szkolenia dla pracowników, by prosto, jasno, bez technicznego żargonu wytłumaczyć im, co wolno, czego nie wolno i dlaczego.

W ciągu trzech miesięcy firma powinna mieć gotowe dokumenty i procedury: politykę korzystania z AI, rejestr systemów, zasady informowania kandydatów czy klientów o tym, że AI wspiera procesy. 

Ile to kosztuje i dlaczego trzeba ponieść ten koszt? 

Mam dobrą i złą wiadomość. 

Zła: bezpieczne AI wymaga inwestycji. 

Dobra: rozsądne korzystanie z AI może się sprawić, że zyskasz przewagę nad konkurencją. 

Koszty dla różnych firm:

Maksymalną kara RODO wynosi 20 milionów euro, czyli około 85 milionów złotych. Dla największych firm kara może być jeszcze wyższa (4% rocznego obrotu). Chyba warto jej uniknąć. Zwłaszcza, że AI to szansa, a nie tylko problem.

Właściwie wdrożona AI może być game changerem dla Twojej firmy:

• w rekrutacji: automatyczna analiza CV skraca czas rekrutacji o 70%,
• w obsłudze klienta: chatboty obsługują 80% standardowych zapytań 24/7,
• w marketingu: AI generuje spersonalizowane treści w kilku językach, analizuje reakcje odbiorców i optymalizuje kampanie w czasie rzeczywistym.

Twoi konkurenci już to robią. Pytanie brzmi: czy robią to legalnie? Jeśli Ty zainwestujesz w bezpieczne rozwiązania, a oni będą ryzykować karami to zgadnij, kto na tym długofalowo zyska.

Czas ucieka

AI Act już wszedł w życie. Czas na przygotowania się kończy. Shadow AI działa jak bomba zegarowa: każdy dzień zwłoki zwiększa ryzyko wybuchu. Brak działania może być potraktowany jako rażące zaniedbanie i skutkować jeszcze wyższą karą. To nie jest pytanie „czy” ktoś zajrzy do Twojej firmy. To pytanie „kiedy” to zrobi.