Bezpieczeństwo informacji w erze generatywnej AI, czyli o ochronie danych wpisywanych do promptu słów kilka

Generatywna sztuczna inteligencja (AI) na dobre zadomowiła się w marketingu. Pomaga pisać opisy inwestycji, analizować konkurencję, planować kampanie. Jednak wraz z produktywnością pojawia się pytanie: czy dane, które wpisujemy do AI, naprawdę są bezpieczne? Na to pytanie odpowiadają prawnicy z kancelarii Creativa Legal: radca prawny Katarzyna Świerkot-Chromik oraz adwokat Arkadiusz Szczudło.
‍

Co dzieje się z danymi po wpisaniu promptu?

Każda interakcja z AI zaczyna się od promptu – polecenia, które może zawierać dane firmowe lub wrażliwe informacje o klientach. Modele generatywne tworzą odpowiedzi na podstawie danych, na których zostały wytrenowane. W efekcie dane wprowadzone przez użytkownika mogą zostać przetworzone, a nawet ujawnione. Dodatkowo większość narzędzi działa w chmurze, więc treść promptu trafia na zewnętrzne serwery. To rodzi trzy główne ryzyka prawne:

• naruszenie ochrony danych osobowych, jeśli zawarte są dane klientów lub pracowników,
• naruszenie tajemnicy przedsiębiorstwa, gdy ujawnione zostaną np. strategie cenowe czy plany marketingowe,
• ujawnienie własności intelektualnej, np. projektów lub materiałów graficznych.

W branży deweloperskiej, operującej danymi o wysokiej wartości – listami klientów, harmonogramami inwestycji, analizami konkurencji – utrata kontroli nad informacjami może oznaczać nie tylko kary finansowe, ale też utratę przewagi konkurencyjnej.

Dane osobowe w prompcie a RODO

Wprowadzenie danych osobowych do narzędzia AI to forma ich przetwarzania w rozumieniu RODO. Oznacza to, że:

• administrator danych (użytkownik lub jego firma) musi mieć podstawę prawną do przetwarzania tych danych i ich przekazania do podmiotu trzeciego;
• podmiot przetwarzający (dostawca AI) powinien gwarantować odpowiednie zabezpieczenia, np. poprzez umowę powierzenia przetwarzania danych (DPA) lub standardowe klauzule umowne przy transferze poza EOG.

Brak tych elementów to naruszenie przepisów RODO, wiążące się z ryzykiem finansowym i wizerunkowym.

Tajemnica przedsiębiorstwa

Tajemnicą przedsiębiorstwa jest każda informacja o wartości gospodarczej, która nie jest publicznie dostępna i którą właściciel chroni. Czasem zawarte umowy o zachowanie poufności mogą ten katalog rozszerzać również o inne informacje. W marketingu dla branży deweloperskiej to m.in. strategie cenowe, plany premier, listy klientów, budżety kampanii czy wyniki sprzedaży. Wprowadzenie takich danych do promptu może być uznane za ich niekontrolowane ujawnienie i może skutkować utratą ich ochrony i poważnymi konsekwencjami biznesowymi.

‍

Własność intelektualna

W kontekście sztucznej inteligencji najczęściej mówi się o prawach autorskich do treści wygenerowanych przez AI. W praktyce równie istotne a często pomijane jest to, co wprowadzamy do promptu. 

Wiele firm deweloperskich i agencji marketingowych używa AI do pisania ofert, analiz rynkowych czy projektów kampanii. W tym procesie do promptów trafiają materiały, które same w sobie są chronione prawem autorskim – np. teksty reklamowe, opisy inwestycji, zdjęcia, hasła, slogany czy wizualizacje. Wklejenie ich do AI, oznacza przekazanie ich dostawcy narzędzia (na co może nie być wyrażonej zgody od autora) a w przypadku, gdy narzędzie uczy się na danych wejściowych – dalsze wykorzystanie tego utworu w ramach treningu oraz generowania materiałów na rzecz innych podmiotów. Z punktu widzenia prawa autorskiego może to prowadzić do utraty kontroli nad tymi materiałami oraz do naruszenia praw autorskich. 

Zaś wklejając do promptu cudze materiały w celu ich „przeredagowania przez AI”, może dojść do naruszenia cudzych praw autorskich. W szczególności, jeżeli trening danych nie jest wyłączony to mogą one zostać rozpowszechnione, co jest dalszym naruszeniem praw.

Pamiętaj również, że wygenerowany rezultat nie jest utworem, o ile nie zostanie twórczo przez człowieka przerobiony. Do bezpośredniego efektu działania AI nie przysługują użytkownikowi prawa autorskie, a tylko te, które wskazuje regulamin korzystania z narzędzia. Nie należy również zapominać, że AI może pomóc, ale odpowiedzialność za legalność zarówno danych wejściowych, jak i końcowego efektu spoczywa wyłącznie na użytkowniku.

‍

Najczęstsze błędy przy promptowaniu

Najczęściej pojawiającymi się błędami jest: bezrefleksyjne wprowadzanie do narzędzia danych, które zawierają dane osobowe, czy tajemnicę przedsiębiorstwa oraz korzystanie z niezweryfikowanych narzędzi. Na przykład może to być:

• kopiowanie surowych danych klientów do analizy lub segmentacji.
• udostępnianie plików wewnętrznych (raporty, prezentacje, budżety) w celu „podsumowania przez AI”.
• przekazywanie danych finansowych projektów, np. „Przygotuj analizę rentowności na podstawie: [tabela z kosztami]”.
• opisywanie szczegółowych planów marketingowych.

Każdy z tych przypadków może naruszać bezpieczeństwo tych informacji.

‍

Zasady bezpiecznego promptowania

Na szczęście, to ryzyko można zminimalizować, wprowadzając w życie kilka zasad:
‍

1. Weryfikuj narzędzie, z którego korzystasz.

Sprawdź, czy narzędzie, z którego korzystasz daje dostateczną gwarancję ochrony danych (nie tylko osobowych), m.in.:

• sprawdź, kto jest jego dostawcą, gdzie trafiają dane i czy spełnia wymogi RODO, 
• zapoznaj się z polityką prywatności i warunkami powierzenia danych (DPA), 
• wybieraj raczej płatne lub biznesowe wersje narzędzi, które oferują większą kontrolę. 
• upewnij się, że prompty nie są wykorzystywane do dalszego treningu modeli (wiele narzędzi zawiera opcję wyłączenia zgody na taki trening).
  ‍

2. Określ zasady korzystania z AI w firmie.

Wprowadź politykę AI określającą co najmniej:

• dopuszczone narzędzia i sposób ich aktualizacji,
• zakaz wprowadzania danych osobowych, tajemnic przedsiębiorstwa i cudzych utworów,
• wymóg używania kont firmowych;
• procedurę reagowania na incydenty;
• obowiązek weryfikacji wyników generowanych przez AI.

Taka polityka nie tylko zabezpiecza dane, ale też buduje kulturę odpowiedzialnego korzystania z AI w firmie.
‍

3. Myśl o tym, co dajesz AI.

Dziel się z AI danymi z głową:

• przekazuj wyłącznie dane niezbędne do uzyskania odpowiedzi,
• unikaj przekazywania danych osobowych i poufnych – stosuj anonimizację (np. „inwestycja X”) lub generalizację,
• zanim przekażesz dane, upewnij się, że masz prawo to zrobić i nie naruszasz czyichś praw lub wiążących Cię umów o poufności (NDA).

W erze generatywnej AI bezpieczeństwo informacji staje się nie tylko obowiązkiem prawnym, ale i przewagą konkurencyjną. Warto korzystać z innowacji odpowiedzialnie – z poszanowaniem danych, praw i tajemnic, które budują wartość Twojej firmy. 

‍

--
‍

Autorzy publikacji:

‍

Katarzyna Świerkot-Chromik - Radczyni prawna i Starsza prawniczka w Creativa Legal

Specjalizuję się w kompleksowej obsłudze klienta z branży kreatywnej: agencji marketingowych, influencerów i innych podmiotów. Zajmuję się analizą i sporządzaniem umów, regulaminów i polityk oraz wspieram Klientów w zagadnieniach związanych z prawami autorskimi, ochroną dóbr osobistych czy prawem konkurencji. Pomagam również w walce z naruszeniami, również w ramach postępowań sądowych oraz rejestruję znaki towarowe na poziomie krajowym i międzynarodowym.

‍

Arkadiusz Szczudło - adwokat, CEO Creativa Legal, mentor i twórca internetowy

Specjalizuję się w prawie nowych technologii oraz prawnym wsparciu biznesu ze szczególnym naciskiem na aplikacje internetowe, e-commerce i biznesy online. Pomagam przedsiębiorcom w rozwoju ich biznesów, skalowaniu czy ekspansji na rynki zagraniczne. A także przy zabezpieczaniu się i konstruowaniu dobrych umów, regulaminów sklepów i aplikacji, ochronie danych osobowych i własności intelektualnej oraz w kwestiach związanych z prawem reklamy i mediów czy ochroną marki.  

‍

‍

‍

‍