Czy korzystanie z ChatGPT może naruszać NDA?

Jak chronić informacje poufne w dobie sztucznej inteligencji

Sztuczna inteligencja wkracza do codziennej pracy przedsiębiorstw – pomaga analizować dane, tworzyć raporty, redagować dokumenty czy opracowywać treści marketingowe.

Jednak wraz z tym pojawia się nowe pytanie: czy korzystanie z ChatGPT lub innych modeli AI może naruszać umowę o zachowaniu poufności (NDA) zawartą z kontrahentem lub partnerem biznesowym?

Odpowiedź brzmi: tak – w określonych okolicznościach może.
A kluczowe znaczenie ma to, w jaki sposób przetwarzane są dane oraz co na to pozwala Twoja umowa NDA.

1. Czym jest NDA i co oznacza „ujawnienie informacji”?

Umowa o zachowaniu poufności (NDA – Non-Disclosure Agreement) zobowiązuje strony do nieujawniania informacji objętych tajemnicą.

Najczęściej wprowadza zakaz przekazywania takich danych osobom trzecim – czyli każdemu podmiotowi innemu niż strony umowy, ich pracownicy lub podwykonawcy działający w ramach jasno określonego celu.

W praktyce wiele NDA formułowanych jest bardzo szeroko.

Jeżeli w treści umowy nie przewidziano wyjątków dotyczących przekazywania danych do systemów informatycznych lub zewnętrznych narzędzi, wprowadzenie ich do ChatGPT może zostać uznane za ujawnienie informacji osobie trzeciej – nawet jeśli intencją było wyłącznie uzyskanie analizy lub podpowiedzi językowej.

2. ChatGPT – jak naprawdę działa?

Warto rozumieć techniczne tło. ChatGPT, w swojej podstawowej wersji, to usługa chmurowa obsługiwana przez firmę OpenAI. Dane przesyłane przez użytkownika trafiają na serwery podmiotu trzeciego – i tam są przetwarzane, aby wygenerować odpowiedź.

W planach indywidualnych (bezpłatnych lub Plus) dane mogą być wykorzystywane do dalszego szkolenia modeli językowych.

W planach biznesowych (ChatGPT Team, ChatGPT Enterprise) – dane klientów nie są używane do trenowania modeli i nie są udostępniane innym użytkownikom.

To oznacza, że z punktu widzenia poufności:

• wersje indywidualne mogą stanowić ryzyko ujawnienia informacji osobie trzeciej,

• wersje biznesowe dają większe bezpieczeństwo, ale nadal nie eliminują całkowicie ryzyka (np. błędnego wprowadzenia danych przez użytkownika).

3. Dlaczego serwer to też osoba trzecia

W polskim i europejskim prawie nie ma znaczenia, że „rozmawiasz z maszyną”.
Dane, które przesyłasz do ChatGPT, są przetwarzane przez konkretny podmiot – dostawcę usługi, a więc osobę trzecią w rozumieniu większości umów NDA.

W konsekwencji:

• jeśli NDA zakazuje udostępniania danych osobom trzecim,

• a Ty przesyłasz te dane do ChatGPT,
  to formalnie dochodzi do ujawnienia informacji – nawet jeśli dane nie „opuszczają” systemu w sensie potocznym.

Ten sam problem może dotyczyć korzystania z innych narzędzi AI, np. Copilot, Gemini, Claude czy Perplexity.

4. Potencjalne konsekwencje naruszenia NDA

W zależności od brzmienia umowy i charakteru ujawnionych informacji, naruszenie NDA może prowadzić do:

• kar umownych – jeśli przewidziano je w kontrakcie,

• odpowiedzialności odszkodowawczej – za realną szkodę wynikającą z ujawnienia,

• utraty statusu informacji poufnych – jeśli informacja przestaje być chroniona w sensie faktycznym,

• naruszenia tajemnicy przedsiębiorstwa,

• a w przypadku zawodów zaufania publicznego (np. prawników, doradców podatkowych) – także do odpowiedzialności dyscyplinarnej.

5. Jak zabezpieczyć się przed naruszeniem poufności przy korzystaniu z AI?

W praktyce rekomendujemy kilka działań, które pozwalają korzystać z narzędzi AI w sposób zgodny z prawem i umowami poufności:

a) Weryfikuj brzmienie umów NDA

Upewnij się, że umowa dopuszcza korzystanie z narzędzi informatycznych lub usług chmurowych, o ile zapewniają odpowiedni poziom bezpieczeństwa danych.
Warto rozważyć dodanie klauzuli w rodzaju:

„Strony dopuszczają przetwarzanie informacji poufnych przy użyciu narzędzi opartych na sztucznej inteligencji, pod warunkiem że dostawca usługi zapewnia brak wykorzystania danych do celów treningowych oraz stosuje środki ochrony równoważne obowiązkom strony.”

b) Korzystaj z planów biznesowych narzędzi AI

ChatGPT Team lub Enterprise gwarantują, że dane użytkowników nie są wykorzystywane do trenowania modeli.

c) Opracuj politykę korzystania z AI w organizacji

Zdefiniuj, jakie narzędzia można stosować, jakie dane mogą być wprowadzane i jakie zabezpieczenia są wymagane.

d) Szkol pracowników

Świadomość tego, że „wrzucenie do AI” to ujawnienie danych osobie trzeciej, powinna być podstawowym elementem kultury compliance w firmie.

6. Podsumowanie

ChatGPT to narzędzie, które może znacznie usprawnić pracę, ale nie jest wolne od ryzyk prawnych.
Z prawnego punktu widzenia, serwer AI jest osobą trzecią, a więc ujawnienie danych może naruszyć obowiązek poufności wynikający z NDA.

Kluczem jest odpowiednie uregulowanie tego w umowach i politykach wewnętrznych.
Firmy, które świadomie dopuszczą użycie narzędzi AI w swoich procesach – z zachowaniem bezpieczeństwa i kontroli – będą mogły korzystać z innowacji bez ryzyka utraty zaufania kontrahentów czy naruszenia przepisów.