A munkáltatók életében a mesterséges intelligencia használata már nem a jövő kihívása, hanem elmondható: aki még meg sem kezdte vele az ismerkedést, az lemaradt. Természetesen a munkavállalók mindennapjaiba is bekúszott, akár a munkájuk kapcsán, akár a magáncélú használat miatt. Így munkáltatóként nem tehetünk mást, mint megpróbáljuk szabályok közé szorítani a munkahelyi használatát. De hogyan álljunk neki? Hiszen ez még finoman szólva sem egy kiforrott terület, minimális mintával, fogódzkodóval… – Adatvédelmi szakértői jótanácsok Gyurkovics Szabolcs tollából!
Induljunk onnan, miért szükséges szabályozni a munkahelyi mesterséges intelligencia használatot.
Ennek a kérdésnek a megválaszolásához két fogalmat szükséges mindenképp ismerni:
- Shadow IT: olyan informatikai eszközök és IT szolgáltatások használatát jelenti, amelyeket az adott szervezet managementje és/vagy IT biztonsági osztálya nem hagyott jóvá, például egy munkavállaló saját maga telepít és használ egy szoftvert vagy vesz licencet a munkahelyi számítógépére, telefonjára.
- Shadow AI: azokat az AI megoldásokat takarja, amelyeket a munkavállalók önállóan használnak, anélkül, hogy a szervezet tudomást szerezne róluk, például egy munkavállaló önállóan AI-t használ az adatok elemzésére, például prediktív modellek készítésére, a szervezet adatkezelési és kiberbiztonsági szabályainak figyelmen kívül hagyásával.
Mindkét esetben egy sor kockázat merül fel a szervezetre nézve. Először is
a nem ellenőrzött szoftverek, AI megoldások kiberbiztonsági szempontból sebezhetőségeket hozhatnak létre a szervezet informatikai rendszerében.
Továbbá
olyan szoftverek, AI megoldások jogi (pl. adatvédelmi, fogyasztóvédelmi) megfelelőségéről nem tud a szervezet gondoskodni – és így természetesen felelősséget vállalni sem – ami felett nincs kontrollja (rosszabb esetben még tudomása sem).
A nagyobb problémák azonban ott kezdődnek igazán, amikor a munkavállalók akár a saját eszközükre engedély nélkül letöltött, akár online elérhető AI megoldásokba elkezdenek olyan dokumentumokat feltölteni vagy csak akár olyan promptokat bevinni, amik a szervezet üzleti titkai, know-how-ja, ügyfeleire, más munkavállalóira, üzleti partnereire vonatkozó adatokat tartalmaznak. Ilyen esetekben teljesen bizonytalan, hogy a felsorolt adatoknak mi lesz a sorsuk, hol tárolódnak, kinek a kezébe kerülnek. Amennyiben esetleg utóbbi ki is derül, a szervezetnek általában nincs semmi jogalapja visszakövetelni vagy megsemmisítteteni azokat. Továbbá ez esetben is érvényesek a fentiek, miszerint nagyon nem szerencsés, ha efelett a szervezetnek nincs kontrollja, rosszabb esetben pedig nem is tud a problémáról.
| Az online bárki számára elérhető AI megoldások ingyenes verziói pont azért ingyenesek, mert az ingyenes felületeken bevitt adatokat felhasználják a saját rendszerük további tanításához. A fizetős csomagok – többek között – azzal is tudnak többet, hogy a bevitt adatok a saját birtokunkban maradnak. (Azért a biztonság kedvéért olvassuk el a felhasználási feltételeket és az adatkezelési tájékoztatót, hogy tényleg így van-e.) |
Kezdeti lépések
Első lépésként le kell ülni a szervezet managementjével és tisztázni, hogy pontosan mit szeretne szabályozni, mennyire legyünk szigorúak vagy megengedőek. (Ne feledjük, a cél a szabályozott használat, nem a tiltás!)
- A szabályzat scopejába csak a munkavállalók AI használatára vonatkozó normák tartozzanak, vagy terjedjen ki a szervezetnél történő AI megoldások bevezetésére, esetleg – ahol ehhez rendelkezésre áll megfelelő szakértelem – a fejlesztésre is?
- Csak a munkahelyi eszközökre telepített AI megoldásokra terjedjen ki vagy az online elérhető, licenc ellenében használhatókra is?
- A szervezet által használt AI megoldásokon kívül minden essen tiltás alá vagy legyenek kivételek? Ki és milyen módon tartja majd nyilván, hogy mik azok, amik megengedettek? Ha engedünk kivételeket, a munkavállalók honnan fogják tudni, melyek azok?
Amit pedig semmiképpen nem lehet figyelmen kívül hagyni: mivel ez egy napról napra változó, fejlődő technológia, ezért nem szabad túl sarkos, túl merev szabályokat alkotni. Jogászként nehéz feladat átállítani a gondolkodásunk arra, hogy a gumifogalmakat nem kerülni, hanem sokszor egyenesen keresni kell.
Mire használjunk a munkahelyen AI-t?
A szervezet managementje – nagyon leegyszerűsítve – azt várja, hogy az AI hatékonyabbá tegye a szervezet működését. Egy ilyen szabályzat jó helyet és alkalmat biztosít arra, hogy a szervezet megjelenítse bennük
- mi a management elvárása, mire kell a munkavállalóknak használni az AI-megoldásokat, például kutatómunka, elemzés, tartalmak generálása stb;
- mit vár a management az AI-megoldások használatától, például munkafolyamatok gyorsabbá tételét, magasabb minőségű munkavégzést és eredménytermékeket.
Tehát mondjuk meg, mire kell használni, mit várunk tőle! A szakértő nem tartja jó megoldásnak, ha tetszőleges fejezeteken, pontokon keresztül kizárólag azt taglaljuk, mire nem szabad használni vagy mit nem szabad betáplálni az AI-ba, hiszen az lenne a cél, hogy a munkavállalók szívesen nyúljanak ilyen megoldásokhoz, szabályozott keretek között. Azonban a tiltásokról és a felelősségről a következő részben bővebben értekezünk.