Vasara – metas, kai darbuotojai skuba greičiau užbaigti darbus ir neretai pasitelkia viešai prieinamus dirbtinio intelekto (DI) įrankius, tokius kaip „ChatGPT” ar „Gemini”. Tačiau ši „nematoma“ praktika, kai DI naudojamas neoficialiai, be darbdavio žinios ar aiškių taisyklių, kelia realią grėsmę verslui – nuo konfidencialios informacijos nutekėjimo iki teisinių ginčų.
Vasara – metas, kai darbuotojai skuba greičiau užbaigti darbus ir neretai pasitelkia viešai prieinamus dirbtinio intelekto (DI) įrankius, tokius kaip „ChatGPT” ar „Gemini”. Tačiau ši „nematoma“ praktika, kai DI naudojamas neoficialiai, be darbdavio žinios ar aiškių taisyklių, kelia realią grėsmę verslui – nuo konfidencialios informacijos nutekėjimo iki teisinių ginčų.
Asociatyvi DI sugenetuota „Pixabay“ nuotr.
Pasak Jovitos Valatkaitės, advokatų kontoros COBALT asocijuotos partnerės, dauguma įmonių teigia DI nenaudojančios, tačiau realybė – kitokia: „Darbuotojai, taupydami laiką, savarankiškai įtraukia DI į kasdienes užduotis – rengiant tekstus, apibendrinant duomenis ar bendraujant su klientais. Tai dažnai daroma be jokių taisyklių, o darbdaviai apie tai net nežino.“
Šešėlinis DI naudojimas tampa ypač pavojingas, kai atveriami įmonės ar jos partnerių komerciniai duomenys – finansinė informacija, asmens duomenys, klientų kontaktai ar net vidiniai algoritmai. Tokie duomenys gali būti įkeliami į DI sistemas netyčia arba per nepakankamai saugius įrankius, o jų kontrolė prarandama iš karto.
Atsekti – beveik neįmanoma
„Vienas pagrindinių pavojų – tai, kad darbuotojas, įkeldamas informaciją į atvirus DI įrankius, faktiškai praranda jos kontrolę. Nors duomenys nėra viešinami tiesiogiai, jie gali būti naudojami algoritmo mokymui ir vėliau panaudoti atsakant į kito naudotojo užklausą. Tai reiškia, kad konfidenciali informacija tampa prieinama netiesiogiai – ir jos atsekamumas beveik neįmanomas”, – pabrėžia J. Valatkaitė.
Simona Liuimienė, advokatų kontoros COBALT vadovaujanti teisininkė, atkreipia dėmesį į dar vieną silpnąją vietą – aiškumo stoką įmonių vidaus politikoje: „Tokia rizika tampa ypač pavojinga, kai įmonėje nėra aiškiai apibrėžta, kas laikoma komercine paslaptimi, kokiais įrankiais darbuotojai gali naudotis ir kokių duomenų jokiu būdu negalima kelti į DI platformas. Neretai darbuotojai nežino, kad net trumpas tekstas ar lentelė gali pažeisti konfidencialumo reikalavimus.”
Komercinės paslaptys ir teisinė atsakomybė
S. Liuimienė taip pat akcentuoja, kad kiekviena įmonė gali skirtingai interpretuoti, kas laikytina komercine paslaptimi – vieniems tai klientų duomenys, kitiems technologijų, inovacijų ar kainodaros informacija. „Kadangi nėra vieningo standarto, labai svarbu, kad įmonės aiškiai apibrėžtų, kokia informacija laikoma konfidencialia. Tik turint aiškiai nustatytas taisykles galima tikėtis, kad darbuotojai gebės tinkamai elgtis su jautriais duomenimis.“
Jei toks sąrašas neegzistuoja, darbuotojams sunku žinoti, ką galima perduoti DI įrankiui, o ko – ne. Tuo atveju, kai dėl šių spragų nuteka tiek įmonės, tiek jos partnerių komercinės paslaptys, žala gali būti ne tik reputacinė, bet ir teisinė – įmonės rizikuoja susilaukti partnerių ieškinių dėl nuostolių atlyginimo.
Dar griežtesnės pasekmės gresia, jei nutekinama asmens duomenų. Tokie atvejai vertinami kaip BDAR pažeidimai, kurie gali lemti administracines nuobaudas ar net baudžiamąją atsakomybę. Jeigu darbuotojas pažeidžia konfidencialumo sutartį ir dėl to padaroma reikšminga turtinė žala, atsakomybė gali peraugti į baudžiamąją – už tokius veiksmus numatyti ir laisvės atėmimo bausmės iki dvejų metų.
Žinių trūkumas vadovų lygmenyje
Jevgenij Abdulajev, Baltijos kompiuterių akademijos vadovas, sako, kad viena pagrindinių priežasčių, kodėl įmonėms nepavyksta suvaldyti DI rizikų – žinių stygius vadovybės lygmenyje: „Tyrimai rodo, kad 97 proc. darbdavių planuoja diegti DI, bet vos keli procentai tikrai supranta, kaip tai padaryti saugiai. Darbuotojai dažnai naudojasi įrankiais, apie kurių patikimumą nežino nieko – parsisiunčia nemokamas programėles, kurios gali būti nesaugios, nereguliuojamos.“
Vadovai, siekdami greitai įgyvendinti atitiktį, dažnai renkasi vienkartinius paviršutiniškus mokymus, kurie nesuteikia darbuotojams nei praktinių įgūdžių, nei rizikų suvokimo. Be aiškių vidinių gairių darbuotojai improvizuoja – tai padidina ne tik duomenų nutekėjimo, bet ir kibernetinių incidentų tikimybę. Nereguliuojami DI įrankiai gali tapti silpnąja grandimi, per kurią atveriama prieiga prie įmonės vidinių sistemų, o netinkamai naudojamos DI pokalbių programos – klaidinančios ar net žalingos informacijos šaltiniu klientams.
DI raštingumas – nebe pasirinkimas
2024 m. rugpjūčio 2 d. įsigaliojęs Europos Sąjungos Dirbtinio intelekto aktas buvo pirmasis tokio masto teisės aktas pasaulyje, reglamentuojantis DI naudojimą. Nors didžioji dalis nuostatų įsigalios palaipsniui, nuo 2025 m. pradžios jau galioja pareiga užtikrinti darbuotojų dirbtinio intelekto raštingumą.
„Ši pareiga reiškia ne tik techninius gebėjimus naudotis įrankiais, bet ir supratimą, kokios rizikos slypi jų naudojime – nuo duomenų nutekėjimo iki algoritmų šališkumo ar neteisingos informacijos, kuri gali būti pateikta klientams ar vartotojams. Įmonės, kurios šio raštingumo neužtikrina, rizikuoja ne tik teisinėmis pasekmėmis, bet ir klientų pasitikėjimo praradimu“, – komentuoja S. Liuimienė.
Jei įmonė laiku neįgyvendins nustatytų reikalavimų, priežiūros institucija – Lietuvoje tikėtina, kad tai bus Ryšių reguliavimo tarnyba – galės skirti baudą iki 15 mln. eurų arba iki 3 proc. metinių pasaulinių pajamų, pažymi advokatų kontoros COBALT vadovaujanti teisininkė.
Ekspertai pabrėžia, kad DI naudojimas turi būti aiškiai apibrėžtas kiekvienoje organizacijoje – nuo leidžiamų įrankių iki duomenų, kuriuos galima ar negalima jiems pateikti. Tik aiški politika ir nuoseklus darbuotojų mokymas gali apsaugoti verslą nuo duomenų nutekėjimo, teisinių pasekmių ar ilgalaikės žalos reputacijai.
