W jednym z badań rynkowych przeprowadzonych w 2024 wśród pracowników biurowych w Wielkiej Brytanii okazało się, że zdecydowana większość z nich korzysta z narzędzi sztucznej inteligencji w pracy. Coraz częściej pojawia się jednak zjawisko shadow ai, czyli używania sztucznej inteligencji bez wiedzy działu IT czy pracodawcy. Bez wiedzy pracodawcy, poza oficjalnymi systemami i często na prywatnych kontach. Co istotne, ponad połowa robiła to regularnie. Dla wielu zarządów była to zaskakująca informacja. Dla praktyków prawa nowych technologii już nie.
Skala zjawiska AI, jego powszechność, niewielki (bądź żaden) koszt dostępu sprawia, że o AI można mówić w kontekście zjawiska “przezroczystości”. Z perspektywy prawnika, stratega biznesowego czy osoby odpowiedzialnej za organizację funkcji legal i compliance oznacza to konieczność zasadniczej zmiany myślenia.
Z tego artykułu dowiesz się:
- czym są Shadow AI, BYOS i BYOD,
- dlaczego zakazy korzystania z AI w firmie nie działają,
- jakie ryzyka prawne tworzy niekontrolowane AI,
- jak uporządkować korzystanie z AI w organizacji,
- jaka jest rola działu prawnego, compliance i zarządu w walce z Shadow AI,
- dlaczego warto uregulować AI także w relacjach z kontrahentami.
AI jako środowisko, a nie narzędzie. Shadow AI
Żeby zrozumieć następujące zmiany, warto sięgnąć do szerszego kontekstu. AI, podobnie jak wcześniej internet czy chmura obliczeniowa, rozprzestrzenia się szybko, tanieje i staje się dostępna na poziomie pojedynczego pracownika, a nie wyłącznie wielkich organizacji. Trudno oprzeć się wrażeniu, że rację ma Mustafa Suleyman autor książki “Nadchodząca Fala”. Opisując sztuczną inteligencję jako technologię, która nie będzie kolejnym systemem wdrażanym w organizacji, lecz warstwą infrastrukturalną otaczającą praktycznie każdą aktywność gospodarczą.
To fundamentalnie zmienia punkt ciężkości. Jeżeli technologia jest powszechnie dostępna, popularna, łatwa w użyciu i daje natychmiastowy efekt produktywności, nie będzie czekała na formalne wdrożenie czy przyzwolenia kierownictwa firm. Będzie wykorzystywana oddolnie. Dokładnie to obserwujemy dziś w niemal każdej organizacji.
Zjawisko to określane jest jako Shadow AI i oznacza korzystanie z narzędzi sztucznej inteligencji poza oficjalnymi procesami organizacji. Nie jest to nadużycie w klasycznym rozumieniu. W większości przypadków pracownicy działają racjonalnie i w dobrej wierze – próbują pracować szybciej, lepiej i efektywniej, nie oglądając się na to, co udostępnia pracodawca.
Pracownicy działają zwykle w środowisku presji efektywności. Jednocześnie mają dostęp do narzędzi, które w ciągu kilku sekund są w stanie przygotować projekt umowy, przeanalizować dane, wygenerować raport czy stworzyć treści marketingowe. W sytuacji, w której organizacja nie dostarcza oficjalnych rozwiązań, decyzja o skorzystaniu z dostępnego narzędzia jest naturalna.
BYOS i BYOD, czyli AI poza kontrolą organizacji
Zjawisko to jest dodatkowo wzmacniane przez model BYOS (z ang. Bring Your Own Software), czyli korzystanie z prywatnych aplikacji, często w modelu SaaS, które nie są objęte żadnym nadzorem organizacji. W praktyce oznacza to brak kontroli nad tym, jakie dane są przetwarzane, gdzie są przechowywane i w jaki sposób mogą być dalej wykorzystywane.
Jeżeli do tego dodać model BYOD (z ang. Bring Your Own Device), czyli korzystanie z urządzeń działających na bazie AI, takich jak notatniki czy dyktafony, które są w stanie na podstawie rozmowy stworzyć inteligentne notatki bądź raportyorganizacja traci nie tylko kontrolę, ale również widoczność zjawiska. AI przestaje być elementem firmowego systemu IT, a staje się częścią indywidualnego środowiska pracy.
Ryzyka związane z Shadow AI
Najczęstszym błędem obserwowanym w praktyce jest traktowanie Shadow AI jako problemu technologicznego, podczas, gdy Shadow AI uderza w wiele kluczowych obszarów regulacyjnych. W pierwszej kolejności pojawia się problem ochrony danych osobowych. Wprowadzenie danych do modelu AI bardzo często oznacza ich udostępnienie podmiotowi trzeciemu. W zależności od narzędzia może to prowadzić do przekazania danych poza Europejski Obszar Gospodarczy, bez odpowiednich zabezpieczeń i podstawy prawnej.
Drugim obszarem jest tajemnica przedsiębiorstwa. Pracownicy wprowadzają do narzędzi AI dokumenty, analizy, dane klientów i informacje strategiczne. W wielu przypadkach nie mają świadomości, że dane te mogą być dalej wykorzystywane przez dostawcę narzędzia.
Trzecim obszarem jest własność intelektualna. Powstają pytania o prawa do treści generowanych przez AI, ale również o legalność wykorzystania danych wejściowych. Problem ten ma szczególne znaczenie w działach prawnych, marketingu i IT.
Nie można pominąć odpowiedzialności kontraktowej. Jeżeli organizacja wykorzystuje AI do tworzenia analiz, dokumentów lub podejmowania decyzji, pojawia się ryzyko błędu, który może skutkować odpowiedzialnością wobec kontrahentów.
Wreszcie mamy do czynienia z ryzykiem cyberbezpieczeństwa i szeroko rozumianego compliance. Narzędzia wykorzystywane poza systemem organizacji omijają standardowe mechanizmy kontroli i audytu.
Jak wygląda dojrzałe zarządzanie AI w organizacji?
W odpowiedzi na te ryzyka wiele organizacji próbuje wprowadzać zakazy korzystania z AI lub blokować dostęp do wybranych narzędzi. Z perspektywy praktycznej jest to działanie niezalecane i zwykle nieskuteczne. Żaden zakaz nie eliminuje bowiem potrzeby korzystania z AI. Powoduje jedynie, że korzystanie to przenosi się do sfery prywatnej i niewidocznej dla pracodawcy. Pracownicy zaczynają korzystać z własnych urządzeń, indywidualnych kont i narzędzi dostępnych przez przeglądarki lub aplikacje mobilne. Organizacja traci kontrolę całkowicie.
Dlatego kluczowa zmiana polega na odejściu od myślenia w kategoriach eliminacji zjawiska. Shadow AI nie da się wyeliminować. Można go natomiast oswajać i nim zarządzać.
Od zakazów do systemu zarządzania ryzykiem
Może w tym pomóc Polityka Stosowania AI, ale w praktyce skuteczne zarządzanie AI nie polega na stworzeniu jednego dokumentu, lecz na zbudowaniu spójnego mechanizmu działania. Punktem wyjścia jest zwykle uzyskanie wiedzy o rzeczywistym wykorzystaniu AI w organizacji. W wielu przypadkach dopiero audyt ujawnia, jak szeroko narzędzia te są stosowane i w jakich procesach.
Kolejnym krokiem jest rozróżnienie poziomów ryzyka. Generowanie treści marketingowych nie niesie takich samych konsekwencji jak analiza danych klientów czy wykorzystanie AI w procesach HR. Brak takiego rozróżnienia prowadzi albo do nadmiernych ograniczeń, albo do całkowitego braku kontroli.
Następnie konieczne jest stworzenie zasad korzystania z AI, które są konkretne i operacyjne. Muszą one określać, jakie narzędzia są dopuszczalne, jakie zastosowania są niedozwolone oraz jakie dane mogą być przekazywane do modeli. Kluczowe znaczenie ma jasne uregulowanie kwestii danych osobowych i informacji poufnych.
Równolegle powinna funkcjonować procedura oceny nowych narzędzi, obejmująca aspekt prawny, compliance i bezpieczeństwo informacji. Bez niej organizacja działa w sposób przypadkowy.
Nie można pominąć roli edukacji. W praktyce to świadomość pracowników jest najskuteczniejszym mechanizmem ograniczania ryzyka. Brak wiedzy jest jednym z głównych powodów powstawania Shadow AI.
Z punktu widzenia odpowiedzialności członków zarządu istotne jest rozróżnienie między samym korzystaniem z AI a brakiem zarządzania tym zjawiskiem. AI jako narzędzie nie generuje automatycznie odpowiedzialności. Ryzyko pojawia się w momencie, w którym organizacja nie podjęła realnych działań zarządczych. Najsilniejszą ochroną zarządu nie jest zakaz korzystania z AI, lecz udokumentowany i funkcjonujący system zarządzania ryzykiem AI.
Wniosek strategiczny
Shadow AI wymusza zmianę roli działów prawnych i compliance. Model reaktywny, oparty na opiniowaniu pojedynczych rozwiązań, przestaje być wystarczający. Prawnicy in-house oraz pracownicy działu Compliance coraz częściej muszą działać jak architekci systemu zarządzania ryzykiem. Oznacza to zaangażowanie w identyfikację zjawiska, tworzenie zasad, klasyfikację ryzyk oraz współpracę z IT i biznesem. Z perspektywy organizacyjnej jest to przesunięcie z poziomu opiniowania do poziomu współzarządzania. Shadow AI jest zjawiskiem przekrojowym i nie może być zarządzane w silosach.
Analizując kierunek rozwoju AI, trudno zakładać, że znaczenie Shadow AI będzie malało. Wręcz przeciwnie. Prognozy wskazują na gwałtowny wzrost rynku AI w najbliższej dekadzie, a jednocześnie na istotny wpływ tej technologii na strukturę pracy i modele biznesowe. W praktyce oznacza to, że AI stanie się standardowym narzędziem pracy wiedzy, a nie przewagą konkurencyjną samą w sobie. Jednocześnie zmienia się charakter pracy. Coraz większa część zadań będzie wykonywana przy wsparciu systemów AI, co zwiększy presję na szybkość działania i jakość rezultatów. W takich warunkach korzystanie z AI przestaje być wyborem, a staje się koniecznością. A to prowadzi do istotnej konsekwencji dla organizacji. Problem ShadowAI nie zniknie wraz z wdrożeniem oficjalnych narzędzi. Będzie trwałym elementem funkcjonowania firmy, wymagającym ciągłego zarządzania.
Co więcej, AI to nie tylko trwały element Twojej firmy – to także element towarzyszący Twoim kontrahentom. Czy nie warto zadbać o bezpieczne przetwarzanie Twoich danych także w systemach AI pracowników firm zewnętrznych? Pomyśleć o klauzulach kontraktowych, które będą ograniczać niekontrolowany transfer wiedzy w promptach? A może zatroszczyć się o zobowiązanie dostawców do właściwego zarządzenia problemem Shadow AI w ich własnych organizacjach, szczególnie w stosunku do informacji o Twojej firmie?
Podsumowanie
Shadow AI i BYOS nie są anomalią. Są naturalnym efektem upowszechnienia technologii, która daje natychmiastową wartość biznesową i jest dostępna na poziomie pojedynczego pracownika.
Z perspektywy prawa i zarządzania oznacza to konieczność odejścia od modelu opartego na zakazach i przejścia do modelu świadomego zarządzania ryzykiem. Organizacje, które tego nie zrobią, będą funkcjonowały w stanie niekontrolowanego ryzyka regulacyjnego.
Z kolei te, które połączą adopcję AI z dojrzałym systemem zarządzania, zyskają nie tylko bezpieczeństwo prawne, ale również realną przewagę konkurencyjną.
Potrzebujesz uporządkować korzystanie z AI w organizacji?
Shadow AI najczęściej nie zaczyna się od dużego projektu technologicznego, ale od codziennych decyzji pracowników. Wklejenia fragmentu umowy do narzędzia AI, wygenerowania analizy na prywatnym koncie albo użycia aplikacji do automatycznego podsumowania spotkania.
Dlatego Kancelaria Prawna ANSWER pomaga firmom przejść od intuicyjnego korzystania z AI do świadomego i bezpiecznego modelu zarządzania tym obszarem. Wspieramy organizacje w audycie aktualnych praktyk, przygotowaniu Polityki Stosowania AI, zasad korzystania z narzędzi AI, procedur oceny nowych rozwiązań, klauzul kontraktowych oraz szkoleń dla pracowników i kadry zarządzającej.
Jeżeli chcesz sprawdzić, czy Twoja organizacja ma kontrolę nad wykorzystaniem AI, skontaktuj się z nami. Pomożemy zidentyfikować ryzyka i zaproponować rozwiązania dopasowane do skali działalności, branży oraz poziomu dojrzałości organizacji.
Obserwuj nas również na LinkedIn, gdzie publikujemy praktyczne i angażujące treści z zakresu prawa biznesu oraz komentujemy najważniejsze zmiany istotne dla przedsiębiorców.
