Zakupiliśmy narzędzie AI do naszego działu prawnego. Zanim zaczniemy z niego korzystać powinniśmy stworzyć ramy bezpieczeństwa, które pozwolą korzystać z AI w sposób zgodny z prawem, etyką zawodową i wewnętrznymi standardami organizacji.
W praktyce oznacza to konieczność opracowania konkretnych dokumentów i procedur jeszcze przed rozpoczęciem operacyjnego użycia AI.
Oto kolejny odcinek newslettera, w którym opisujemy proces wdrożenia narzędzia AI wspomagającego pracę prawniczek i prawników.
DPIA
Wykorzystanie AI w dziale prawnym wiąże się zazwyczaj z przetwarzaniem danych osobowych. Jednocześnie podmioty danych mają ograniczoną wiedzę o takim przetwarzaniu, a przez to realizacji swoich praw. Ponadto dział prawny często ma dostęp do danych wrażliwych pracowników. Aktualnie AI w pracy prawnika bez wątpienia stanowi innowacyjne wykorzystanie rozwiązań technologicznych lub organizacyjnych. Mamy więc potencjalnie spełnione trzy przesłanki z publikowanego przez Prezesa Urzędu Ochrony Danych Osobowych wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony.
Dlatego pierwszym krokiem powinno być przeprowadzenie oceny skutków dla ochrony danych (DPIA). DPIA pozwala nie tylko spełnić obowiązki wynikające z RODO, ale także zidentyfikować realne ryzyka: nieuprawnione ujawnienie danych, ich dalsze trenowanie przez dostawcę narzędzia czy brak kontroli nad miejscem przetwarzania.
W kontekście AI DPIA powinna uwzględniać m.in.:
- możliwość wykorzystania danych przez dostawcę,
- zasady retencji danych,
- możliwość audytu dostawcy,
- mechanizmy minimalizacji danych.
Dobrą praktyką jest również dokumentowanie przyjętych założeń dotyczących dopuszczalnych przypadków użycia AI w pracy prawników, o czym poniżej.
Środki bezpieczeństwa
DPIA powinno nam wskazać największe ryzyka i środki ich przeciwdziałania.
Jeżeli kupujemy narzędzie to główny ciężar zapewnienia środków bezpieczeństwa spoczywa na dostawcy rozwiązania.
Jednak po naszej stronie warto zadbać o dwuskładnikową weryfikację przy logowaniu do narzędzia. W narzędziu AI będziemy przetwarzać wiele plików zawierających wrażliwe informacje, dlatego uzyskanie do niego dostępu przez osoby trzecie jest istotnym ryzykiem, które powinniśmy zaadresować.
Niektóre narzędzia pozwalają również ustawić okres retencji danych – warto skorzystać z takiej możliwości. Z jednej strony nie chcemy utracić dostępu do naszych danych, z drugiej nie powinniśmy przechowywać nadmiernej liczby informacji w zewnętrznym narzędziu.
Polityka korzystania z AI
Kolejnym kluczowym dokumentem jest wewnętrzna polityka korzystania z AI. Jej celem nie jest blokowanie innowacji, lecz wyznaczenie jasnych granic. Polityka powinna odpowiadać na pytania:
1 kto może korzystać z narzędzi AI,
2 z jakich narzędzi może korzystać,
3 do jakich celów,
4 przy użyciu jakich danych,
5 z jakimi obowiązkami po stronie użytkownika.
Z perspektywy działu prawnego szczególnie istotne jest jednoznaczne wskazanie, że AI nie zastępuje profesjonalnej oceny prawnej, a wygenerowane treści wymagają każdorazowo weryfikacji.
Polityka powinna również regulować zakaz wprowadzania do narzędzi AI określonych informacji. Dla przykładu, możemy dopuścić wprowadzanie informacji objętych tajemnicą zawodową pod warunkiem, że spełnione są określone warunki bezpieczeństwa, ale nigdy nie dopuszczamy wprowadzania informacji niejawnych w rozumieniu ustawy o ochronie informacji niejawnych.
Procedura zarządzania incydentami związanymi z AI
Istotnym elementem, rekomendowanym również przez Krajową Izbę Radców Prawnych, jest procedura zarządzania incydentami związanymi z AI.
Incydentem może być nie tylko naruszenie ochrony danych osobowych, ale również wykorzystanie błędnej analizy prawnej wygenerowanej przez AI, ujawnienie informacji poufnej w wyniku korzystania z AI czy nieautoryzowane użycie narzędzia przez pracownika.
Procedura powinna określać sposób zgłaszania incydentów, osoby odpowiedzialne za ich analizę oraz kryteria oceny skutków. Ważne jest także powiązanie jej z istniejącymi procedurami bezpieczeństwa informacji i compliance. Dzięki temu dział prawny jest przygotowany nie tylko na korzystanie z AI, ale również na reagowanie, gdy technologia zawiedzie.
Jasna komunikacja zasad korzystania z AI
Wszelkie procedury i zalecenia muszą być prawidłowo komunikowane do zespołu i użytkowników narzędzi AI.
Dobrą praktyką jest określenie i udostępnienie podstawowych zasad, swojego rodzaju przykazań określających co wolno, a czego nie wolno korzystając z AI.
Ponadto warto prowadzić szkolenia zarówno z zakresu zasad korzystania, ale także w zakresie korzystania z AI pod kątem unikania ryzyk, jakie niesie – przede wszystkim halucynacji i nadmiernej zależności od oceny dokonywanej przez AI.
Podsumowanie
Wdrożenie AI w dziale prawnym to proces, który wymaga świadomych decyzji organizacyjnych i prawnych jeszcze zanim narzędzie realnie zacznie wspierać codzienną pracę zespołu.
DPIA, odpowiednio dobrane środki bezpieczeństwa, polityka korzystania z AI oraz procedura zarządzania incydentami nie są formalnością, lecz fundamentem bezpiecznego i odpowiedzialnego użycia technologii, która coraz silniej wpływa na pracę prawników.
Jeżeli rozważają Państwo wdrożenie AI w swoim dziale prawnym albo chcą uporządkować już funkcjonujące rozwiązania – warto podejść do tego procesu systemowo. Zapraszamy do kontaktu i rozmowy o praktycznych aspektach przygotowania DPIA, polityk wewnętrznych oraz procedur, które realnie działają w środowisku prawniczym.
Kontakt
Zapraszamy do kontaktu z naszym zespołem specjalizującym się w prawie nowych technologii, jeśli:
- chcą Państwo omówić konkretne zastosowania AI w Państwa organizacji;
- potrzebują Państwo wsparcia w zaprojektowaniu lub skontrolowaniu systemu AI literacy zgodnego z AI Act;
- chcą Państwo bezpiecznie wdrożyć AI w dziale prawnym.
Michał Pietrzyk – radca prawny, Senior Associate w zespole IP/IT, Digital Transformation and Automation Lead