Pitanje više nije koristi li se umjetna inteligencija u vašoj tvrtki, nego po kojim pravilima. Ugovor zalijepljen u ChatGPT radi sažetka, dio izvornog koda u Copilotu, zapisnik sa sastanka u online prevoditelju: sve se to već događa, s pravilima ili bez njih. Politika korištenja umjetne inteligencije dokument je koji tu stvarnost stavlja pod kontrolu, a od 2025. godine za većinu tvrtki više nije stvar izbora.
Zaposlenici već koriste AI, znali vi to ili ne
Kad upravu pitate koriste li njezini zaposlenici AI alate, odgovor je često "poneki, povremeno". Kad se napravi snimka stanja, slika je drugačija: alati se koriste svakodnevno, najčešće kroz privatne račune i bez ikakvog traga. Ta pojava ima i ime, shadow AI. Problem nije u samoj upotrebi, jer alati stvarno štede vrijeme, nego u tome što bez pravila nitko ne zna koji podaci odlaze iz tvrtke. Javni AI alati uneseni sadržaj, ovisno o alatu i postavkama, mogu koristiti za poboljšavanje svoje usluge, a zaposlenik koji lijepi ugovor u chat o tome u pravilu ne razmišlja.
Što od vas traže propisi
AI Act: AI pismenost od 2. veljače 2025.
Europski AI Act (Uredba (EU) 2024/1689) u članku 4 traži da svi koji razvijaju ili koriste AI sustave osiguraju dovoljnu razinu AI pismenosti svog osoblja. Ta obveza primjenjuje se od 2. veljače 2025. i ne ovisi o veličini tvrtke: čim zaposlenici u poslu koriste AI alate, tvrtka mora moći pokazati da razumiju što alat smije, što ne smije i koje podatke u njega ne unose. Politika korištenja umjetne inteligencije i evidentirana provjera znanja najizravniji su način da se ta obveza ispuni i dokaže.
GDPR: osobni podaci ne idu u javni chat
Unos osobnih podataka u javni AI alat je obrada osobnih podataka, sa svime što uz to ide: pravna osnova, informiranje ispitanika i odgovarajuće mjere zaštite iz članka 32. GDPR-a. Tvrtka koja nema pravila o tome što zaposlenici smiju unositi u AI alate teško može tvrditi da je poduzela odgovarajuće organizacijske mjere. Kod povrede podataka to je jedno od prvih pitanja, a kako pravila postaviti znaju i naši DPO stručnjaci.
Poslovna tajna i ugovorne obveze
Uz propise stoje i ugovori. Većina tvrtki potpisala je obveze povjerljivosti prema klijentima i partnerima, a te obveze ne nestaju time što je dokument u AI alat unio zaposlenik u dobroj namjeri. Cijena ponude, izvorni kod ili tehnička dokumentacija u krivom alatu mogu značiti kršenje ugovora i prije nego što se itko sjeti GDPR-a. Tvrtke koje umjetnom inteligencijom žele upravljati sustavno okvir za sve to nalaze u normi ISO/IEC 42001, prvoj certifikacijskoj normi za sustave upravljanja umjetnom inteligencijom.
Što dobra politika korištenja umjetne inteligencije sadrži
Dobra politika stane na nekoliko stranica i odgovara na pitanja koja si zaposlenici stvarno postavljaju. Prvo, koji su alati dopušteni i za koje namjene, uz službene račune tvrtke umjesto privatnih. Drugo, koji podaci u alate smiju, a koji ne: osobni podaci, ugovori, poslovne tajne i izvorni kod u javne alate u pravilu ne idu. Treće, tko odgovara za rezultat: AI izlaz se uvijek provjerava prije nego što ode klijentu, jer alati uvjerljivo griješe. Četvrto, kada se AI sadržaj označava, prema klijentima i javnosti. I peto, što napraviti kad nešto krene po zlu: kome se prijavljuje da su povjerljivi podaci završili u alatu i kako se traži odobrenje za alat kojeg nema na popisu.
Politika na papiru nije dovoljna
Najslabija točka svake politike je pretpostavka da su je zaposlenici pročitali i razumjeli. Obveza AI pismenosti iz AI Acta ne ispunjava se dokumentom u ladici, nego edukacijom i provjerom znanja, o čemu smo detaljno pisali u članku o svjesnosti zaposlenika. U praksi to znači da se iz politike izradi banka pitanja, zaposlenici polažu ispit, a rezultati se evidentiraju, primjerice kroz naš Portal svjesnosti. Politika se uz to revidira barem jednom godišnje, jer se alati i propisi brzo mijenjaju. A tvrtke koje s osjetljivim podacima žele raditi bez straha od javnih alata imaju i treću opciju: privatnu umjetnu inteligenciju na vlastitoj infrastrukturi, gdje podaci ne napuštaju tvrtku.
U Zadar ICT d.o.o. izrađujemo politiku korištenja umjetne inteligencije po mjeri tvrtke, od snimke stanja do edukacije i provjere svjesnosti. Ako ne znate ni koje alate zaposlenici trenutno koriste, to je najbolje mjesto za početak: javite nam se za besplatnu procjenu.
Često postavljana pitanja
Trebamo li politiku ako zaposlenici AI koriste tek povremeno?
Da. Obveza AI pismenosti iz članka 4 AI Acta vrijedi čim se AI sustavi koriste u poslu, bez obzira na učestalost. Upravo povremeni korisnici najčešće ne znaju koje podatke ne smiju unijeti u alat.
Smiju li zaposlenici unositi podatke klijenata u AI alate?
Samo ako politika to izričito dopušta za konkretan alat i vrstu podataka. Osobni podaci i povjerljivi dokumenti ne idu u javne AI alate bez provjere postavki obrade i pravne osnove, jer se uneseni sadržaj, ovisno o alatu i postavkama, može koristiti za poboljšavanje usluge.
Što je shadow AI?
Korištenje AI alata mimo znanja i pravila tvrtke, najčešće kroz privatne račune zaposlenika. Opasan je jer podaci odlaze iz tvrtke bez ikakvog traga, pa uprava ne može ispuniti obveze koje za korištenje umjetne inteligencije propisuju AI Act i GDPR.
Kakva je veza politike korištenja i norme ISO 42001?
ISO/IEC 42001 je norma za sustav upravljanja umjetnom inteligencijom, a politika korištenja njegov je sastavni dio. Tvrtka koja ne ide na certifikaciju može imati samostalnu politiku, a ona koja gradi cijeli sustav politiku dobiva kroz implementaciju norme.
Tko u tvrtki odgovara za politiku korištenja umjetne inteligencije?
Uprava, jer ona odobrava politiku i odgovara za njezinu provedbu. Izradu tipično vodi IT uz pravnu podršku ili vanjski stručnjak. Važno je da politika ne ostane interni IT dokument, nego da je poznaju svi koji AI alate koriste.


