AI w pracy: kto odpowiada za błędy algorytmu wobec klienta

Przez
Danuta Jasiński
-
0
25
5/5 - (1 vote)

Nawigacja:

Dlaczego pytanie „kto odpowiada za błędy AI?” jest dziś kluczowe

AI stało się zwykłym narzędziem pracy – i właśnie dlatego jest niebezpieczne

Jeszcze niedawno systemy sztucznej inteligencji były ciekawostką technologiczną. Dziś są osadzone w codziennej pracy: odpowiadają na maile klientów, proponują decyzje kredytowe, dobierają leki, pomagają w rekrutacji, optymalizują ceny w sklepach internetowych. Często działają „w tle”, tak że klient nawet nie wie, że decyzję podjął algorytm, a nie człowiek.

Gdy wszystko działa dobrze, AI przyspiesza procesy, obniża koszty i poprawia doświadczenia klientów. Problem pojawia się w momencie, gdy algorytm popełnia błąd: wylicza złą cenę, odrzuca wniosek, ujawnia dane osobowe, generuje nieprawdziwe informacje. Klientowi nie wystarczy wtedy tłumaczenie: „to wina systemu”. On ma konkretną szkodę i szuka podmiotu, od którego może skutecznie dochodzić roszczeń.

„To wina algorytmu” kontra rzeczywistość prawna

Intuicyjnie łatwo zrzucić odpowiedzialność na „czarną skrzynkę”. Algorytm „źle zrozumiał”, „pomylił się”, „tak się nauczył na danych”. Z perspektywy prawa nie ma to jednak znaczenia. Algorytm nie jest osobą, nie ma majątku, nie podpisuje umów i nie może odpowiadać przed sądem. Odpowiedzialność za błędy AI zawsze ostatecznie ponosi człowiek albo organizacja, która z niej korzysta lub ją wytworzyła.

Stwierdzenie „algorytm zawinił” jest więc co najwyżej opisem technicznym. Prawnie pytanie brzmi: czyja decyzja, zaniedbanie lub organizacja pracy doprowadziły do tego, że błąd algorytmu wyrządził szkodę klientowi. Odpowiedź będzie zależeć od tego, kto wdrożył rozwiązanie, jak było skonfigurowane, jakie były umowy z dostawcą i jakie procedury obowiązywały pracowników.

Skutki błędów AI: nie tylko odszkodowanie

Błąd sztucznej inteligencji w firmie uderza w co najmniej trzech obszarach:

  • finansowym – od konieczności wypłaty odszkodowania lub zadośćuczynienia po koszty naprawy błędów, obsługę reklamacji, przestoje w pracy czy kary administracyjne, np. za naruszenie RODO;
  • wizerunkowym – utrata zaufania klientów, negatywne publikacje w mediach, efekt „śnieżnej kuli” w social mediach, szczególnie gdy błąd ma charakter dyskryminacyjny lub dotyczy danych wrażliwych;
  • organizacyjnym – konieczność pilnych zmian w procedurach, zamrożenie projektów AI, presja regulatorów, konflikty wewnętrzne (kto zawinił: IT, dostawca, biznes?).

Dobrze zaprojektowana odpowiedzialność za błędy AI to więc nie jest sucha kwestia prawna. To element zarządzania ryzykiem, który decyduje o tym, czy firma po poważnym incydencie utrzyma zaufanie rynku i da radę kontynuować działalność bez paraliżu.

Odpowiedzialność moralna a odpowiedzialność prawna

Pojawia się jeszcze jedno napięcie: między postrzeganiem „winnego” w sensie etycznym a zakresem odpowiedzialności prawnej. Z moralnego punktu widzenia wina może leżeć po stronie:

  • twórców modelu, którzy nie zadbali o jego rzetelność lub uprzedzenia;
  • menedżerów, którzy wdrożyli system mimo ostrzeżeń;
  • pracowników, którzy korzystali z AI bez minimalnej weryfikacji wyników;
  • dostawcy zewnętrznego, który obiecywał więcej, niż mógł dostarczyć.

System prawny musi natomiast działać według jasnych zasad: kto ma zobowiązanie wobec klienta, kto zawarł z nim umowę, czyje działanie pozostaje w związku przyczynowym z powstałą szkodą. Dlatego tak ważne jest świadome ułożenie umów, regulaminów i procedur pracy z AI – żeby odpowiedzialność moralna i prawna nie rozjeżdżały się w sposób całkowicie nieprzewidywalny.

Jak działa AI używana w pracy i gdzie powstaje błąd

Proste spojrzenie na działanie algorytmów

Systemy AI, z których korzystają dziś firmy, najczęściej bazują na uczeniu maszynowym. W praktyce oznacza to, że:

  • otrzymują dane wejściowe (np. tekst zapytania klienta, historię transakcji, wyniki badań);
  • przepuszczają je przez model nauczony wcześniej na dużych zbiorach danych (sieć neuronowa, model językowy, model scoringowy);
  • generują wynik: odpowiedź tekstową, rekomendację, klasyfikację, ocenę punktową.

Model nie „rozumie” treści jak człowiek i nie ma intencji. Szuka wzorców statystycznych, które wcześniej zobaczył, i próbuje dopasować do nich nową sytuację. Kiedy sytuacja jest podobna do tych z treningu, działa dobrze. Gdy jest nietypowa, niejednoznaczna albo dane wejściowe są kiepskiej jakości – ryzyko błędu gwałtownie rośnie.

Typowe źródła błędów: dane, kontekst, architektura

Błąd sztucznej inteligencji rzadko bierze się z jednego powodu. Częściej to efekt kilku czynników naraz. Praktycznie można wskazać kilka gorących punktów:

  • Złe lub niepełne dane treningowe – model uczy się na danych historycznych, które mogą być uprzedzone (np. dyskryminować pewne grupy), nieaktualne lub reprezentować tylko część rzeczywistości;
  • Błędne dane wejściowe – system scoringowy dostaje nieprawidłowe dane z innego systemu (np. błędny dochód, źle zmapowane kody) i produkuje prawidłową odpowiedź na fałszywych przesłankach;
  • Zły kontekst zadania – pracownik zadaje modelowi pytania bez przekazania pełnej informacji albo w niewłaściwym języku biznesowym; wynik jest logiczny, ale nieadekwatny;
  • Ograniczenia samego modelu – model językowy „halucynuje”, czyli wypełnia luki zmyślonymi informacjami, które brzmią przekonująco, ale są nieprawdziwe;
  • Błędy implementacji i integracji – algorytm jest poprawny, ale błąd pojawia się w kodzie łączącym go z innymi systemami (np. źle zaimplementowana logika progowa, odwrotnie odczytane wyniki).

W każdym z tych miejsc powstaje potencjalny „punkt zapalny” odpowiedzialności. Inny po stronie dostawcy technologii, inny po stronie firmy wdrażającej, a jeszcze inny – po stronie użytkownika końcowego, który korzysta z AI w pracy.

Przykład: chatbot bankowy z błędną informacją o opłatach

Wyobraźmy sobie bank, który wprowadza chatbot obsługujący klientów na stronie www i w aplikacji. Chatbot odpowiada m.in. na pytania o opłaty za kartę, prowizje za wypłaty z bankomatu czy warunki korzystania z kredytu.

Klient pyta: „Czy za wypłatę w bankomacie za granicą jest prowizja?”. Bot, w oparciu o nieaktualny cennik w bazie wiedzy, odpowiada: „Nie, wypłata jest bezpłatna”. Klient wyjeżdża, wypłaca gotówkę kilka razy, a na jego koncie pojawia się seria prowizji. Czuje się wprowadzony w błąd.

Technicznie błąd pojawił się w kilku miejscach:

  • niezaktualizowana baza wiedzy (odpowiedzialność organizacyjna banku),
  • brak mechanizmu oznaczania odpowiedzi jako orientacyjne w przypadkach wątpliwych (projekt interakcji),
  • brak prostej ścieżki „eskalacji do człowieka” przy pytaniach o wysokim ryzyku finansowym.

Z punktu widzenia klienta nie interesuje, czy „to wina zespołu IT, biznesu czy dostawcy AI”. Kontrahentem jest bank – i to on, jako organizacja, odpowiada wobec klienta za prawdziwość swoich informacji. Kto dalej poniesie koszty wewnątrz łańcucha (np. czy bank obciąży dostawcę na podstawie umowy), to już odrębna historia.

Przykład: algorytm scoringowy a odmowa kredytu

Drugi przykład to algorytm oceny zdolności kredytowej. Bank lub firma pożyczkowa korzysta z modelu, który przydziela punktację na podstawie wielu zmiennych: historii spłat, dochodu, wieku, źródeł przychodu, regionu zamieszkania. Model jest zasilany danymi z zewnętrznych baz.

Klient składa wniosek o kredyt. Jeden z rejestrów błędnie przypisuje mu zaległe zobowiązanie, którego nigdy nie miał. Algorytm, opierając się na tych danych, obniża jego scoring poniżej progu akceptacji. Wniosek zostaje automatycznie odrzucony.

Skutki dla klienta mogą być poważne: brak możliwości finansowania zakupu, utrata okazji inwestycyjnej, poczucie niesprawiedliwości. Powstaje pytanie: kto odpowiada za tę odmowę? Bank, który zaufał modelowi? Dostawca algorytmu? Podmiot utrzymujący rejestr błędnych danych? Odpowiedź – jak zwykle – zależy od umów, regulacji sektorowych i tego, jak wyglądał proces decyzyjny (czy była ludzka weryfikacja, czy była możliwość odwołania, czy klient został poinformowany o zautomatyzowanym podejmowaniu decyzji).

Stara maszyna do pisania z kartką z napisem AI Ethics
Źródło: Pexels | Autor: Markus Winkler

Podstawy prawne: jak prawo patrzy na AI (UE i Polska)

Brak osobowości prawnej AI: odpowiedzialny jest człowiek lub organizacja

Prawo polskie i unijne na dziś traktuje systemy AI tak samo jak inne narzędzia techniczne: jako element infrastruktury, a nie podmiot. Sztuczna inteligencja nie ma osobowości prawnej. Nie może odpowiadać ani cywilnie, ani karnie, ani administracyjnie. Nie może też zawierać umów.

Odpowiedzialność za błędy AI jest więc zawsze „przypięta” do:

  • podmiotów, które wytworzyły narzędzie (producenci, dostawcy, integratorzy),
  • podmiotów, które wdrożyły i używają go w kontaktach z klientami (firmy, instytucje),
  • osób fizycznych, które podjęły konkretne działania lub zaniechały nadzoru (menedżerowie, administratorzy danych, pracownicy).

To, kto odpowie konkretnie, zależy od reżimu odpowiedzialności, w którym mieści się dana relacja i od tego, jak ułożone są umowy między zainteresowanymi stronami.

Główne reżimy odpowiedzialności: umowna, deliktowa, administracyjna, karna

W praktyce wykorzystania AI w pracy najczęściej wchodzą w grę cztery typy odpowiedzialności:

  • Odpowiedzialność umowna – wynika z niewykonania lub nienależytego wykonania umowy (np. umowy z klientem o świadczenie usług bankowych, sprzedaży online, usług medycznych);
  • Odpowiedzialność deliktowa (za czyn niedozwolony) – dotyczy szkody wyrządzonej poza umową, np. naruszenia dóbr osobistych, dyskryminacji, bezprawnego ujawnienia danych, szkody osobowej;
  • Odpowiedzialność administracyjna – w szczególności na gruncie RODO za naruszenie zasad przetwarzania danych, przejrzystości, praw osób, których dane dotyczą, oraz (wkrótce) na podstawie regulacji sektorowych dotyczących AI (np. unijny AI Act);
  • Odpowiedzialność karna – rzadziej, ale może wchodzić w grę przy poważnych naruszeniach, np. świadomym fałszowaniu danych, manipulowaniu systemami w sposób narażający klientów na poważną szkodę, czy rażącym zaniedbaniu bezpieczeństwa skutkującym katastrofalnymi konsekwencjami.

W relacjach firma–klient najczęściej pierwsze skrzypce gra odpowiedzialność umowna, wspierana przepisami prawa konsumenckiego, a w tle – RODO i ewentualne przepisy sektorowe (np. prawo bankowe, medyczne, telekomunikacyjne).

Najważniejsze akty prawne w kontekście błędów AI

W polskim i unijnym porządku prawnym dla odpowiedzialności za błędy algorytmu wobec klienta kluczowe znaczenie mają m.in.:

  • Kodeks cywilny – reguluje zasady odpowiedzialności umownej i deliktowej, ogólne przesłanki odpowiedzialności za szkodę, zasady wykonywania zobowiązań, odpowiedzialność za podwykonawców;
  • Prawo konsumenckie (ustawa o prawach konsumenta, przepisy o rękojmi za wady towaru i usługi cyfrowej, ustawa o przeciwdziałaniu nieuczciwym praktykom rynkowym) – zapewnia dodatkową ochronę dla klientów będących konsumentami, ogranicza możliwość wyłączania odpowiedzialności;
  • RODO (GDPR) – wprowadza zasady zautomatyzowanego podejmowania decyzji, profilowania, obowiązki informacyjne, zasady minimalizacji i poprawności danych, odpowiedzialność za naruszenia i potencjalne wysokie kary finansowe;
  • Przepisy sektorowe – np. prawo bankowe (ostrożnościowe regulacje dotyczące modeli ryzyka), prawo medyczne (zasady udzielania świadczeń zdrowotnych, odpowiedzialność lekarzy i placówek), prawo usług płatniczych;

    • Unijny AI Act i inne nowe regulacje

    Na poziomie UE pojawia się coraz więcej przepisów pisanych już „z myślą o AI”, a nie tylko „obok niej”. Najgłośniejszy jest AI Act – rozporządzenie ustanawiające zasady wprowadzania na rynek i używania systemów AI w Unii. Choć przez jakiś czas będzie wchodził w życie stopniowo, już teraz warto rozumieć jego logikę.

    AI Act nie tworzy nowego typu odpowiedzialności odszkodowawczej wobec klientów, ale w praktyce podnosi standard należytej staranności. Czyli: jeśli firma ignoruje wymogi tej regulacji, potem dużo trudniej będzie jej bronić się przed zarzutem, że „zrobiła wszystko, co rozsądne, aby uniknąć szkody”.

    Kluczowe założenia AI Act, które przekładają się na spory z klientami:

  • Klasyfikacja ryzyka systemów AI – od systemów „minimalnego ryzyka” (np. filtry spamu), przez „ograniczone ryzyko” (np. chatboty z obowiązkiem informowania, że są botami), po „wysokie ryzyko” (m.in. systemy oceny zdolności kredytowej, rekrutacyjne, niektóre systemy w ochronie zdrowia);
  • Obowiązki dla systemów wysokiego ryzyka – dokumentacja, ocena ryzyka, nadzór człowieka, jakość danych, rejestrowanie działania systemu (logi) i przejrzystość wobec użytkowników;
  • Odpowiedzialność różnych ról – innych obowiązków można oczekiwać od „dostawcy systemu” (producenta), innych od „użytkownika” (firmy, która stosuje AI przy obsłudze klienta);
  • Wymóg przejrzystości – w wielu zastosowaniach klient ma prawo wiedzieć, że rozmawia z botem lub że jego sprawę ocenia system AI.

Jeżeli np. bank używa systemu scoringowego jako narzędzia „wysokiego ryzyka”, a nie prowadzi odpowiedniego nadzoru, nie dba o jakość danych ani logi decyzji, to przy sporze z klientem łatwo będzie wykazać naruszenie standardów. Efektem mogą być nie tylko kary administracyjne, lecz także przesunięcie ciężaru dowodu w sporze cywilnym: to firma będzie musiała wykazać, że nie zawiniła.

RODO a zautomatyzowane decyzje i profilowanie

AI w pracy bardzo często „dotyka” danych osobowych. Wtedy uruchamia się cały mechanizm RODO – w szczególności tam, gdzie chodzi o zautomatyzowane podejmowanie decyzji i profilowanie.

RODO nie zakazuje używania AI, ale nakłada na administratora danych kilka obowiązków, które są kluczowe w razie błędu wobec klienta:

  • Prawo do informacji – klient powinien wiedzieć, że jego dane są używane do profilowania lub zautomatyzowanej oceny (np. scoring kredytowy), oraz jakie są główne zasady tego procesu;
  • Prawo do „ludzkiej ingerencji” – przy decyzjach wywołujących istotne skutki (np. odmowa kredytu) osoba może zażądać, by decyzję zweryfikował człowiek oraz by mogła przedstawić swoje stanowisko;
  • Obowiązek dbałości o poprawność danych – jeżeli decyzja jest oparta na błędnych danych (np. cudze zobowiązanie w rejestrze), administrator ponosi odpowiedzialność za niedochowanie staranności w ich weryfikacji i aktualizacji;
  • Ocena skutków (DPIA) – dla systemów generujących wysokie ryzyko dla praw i wolności osób (np. masowe profilowanie klientów) administrator powinien przeprowadzić analizę skutków i wprowadzić środki ograniczające ryzyko.

Gdy klient podważa decyzję podjętą „przez algorytm”, często sięga właśnie po RODO: wskazuje na brak informacji, brak ścieżki odwoławczej albo oparcie decyzji na nieprawidłowych danych. W praktyce jest to jedna z najskuteczniejszych dróg dochodzenia swoich praw.

Odpowiedzialność firmy wobec klienta: gdzie kończy się „błąd algorytmu”, a zaczyna błąd organizacji

Firma jako adresat roszczeń klienta

Z punktu widzenia klienta sytuacja jest prosta: zawiera umowę z firmą (bankiem, sklepem internetowym, placówką medyczną), a nie z dostawcą algorytmu. To firma jest pierwszym adresatem roszczeń, nawet jeśli błąd technicznie powstał w zewnętrznym systemie.

W praktyce oznacza to, że:

  • firma nie może „uciec od odpowiedzialności” tłumaczeniem, że „to wina algorytmu”,
  • jeżeli AI jest elementem usługi (np. rekomenduje produkty ubezpieczeniowe), to za jej wynik odpowiada usługodawca, tak jak za pracę własnych pracowników czy podwykonawców,
  • wewnętrzne rozliczenia z dostawcą AI (regres, kary umowne) to osobny temat, niewidoczny z perspektywy klienta.

Prawo cywilne od dawna zna zasadę odpowiedzialności za podwykonawców. Zastosowanie systemu AI w relacji z klientem w gruncie rzeczy wpisuje się w tę logikę – system jest elementem organizacji świadczącej usługę.

Należyta staranność przy wyborze i nadzorze systemu AI

O tym, czy firma ponosi odpowiedzialność, decyduje nie tylko sam fakt powstania szkody, lecz także to, czy da się jej zarzucić brak należytej staranności. W przypadku AI tę staranność można rozłożyć na kilka etapów.

Przy wyborze, wdrożeniu i używaniu systemu AI organizacja powinna zadbać co najmniej o:

  • Ocena ryzyka biznesowego i prawnego – czy funkcja, którą ma pełnić AI (np. przyznawanie kredytu, rekomendacja terapii, wycena ubezpieczenia) nie rodzi wysokiego ryzyka dla klientów bez dodatkowych zabezpieczeń;
  • Testy przedprodukcyjne – sprawdzenie, jak model zachowuje się na danych zbliżonych do prawdziwych, czy nie dyskryminuje pewnych grup, czy nie „halucynuje” krytycznych danych;
  • Procedury aktualizacji i kontroli – kto odpowiada za aktualność bazy wiedzy, parametrów modelu, progów decyzyjnych; w jakiej częstotliwości system jest audytowany;
  • Monitoring po wdrożeniu – reagowanie na sygnały od klientów (reklamacje, nietypowe wyniki), zbieranie danych o incydentach, korekty działania systemu;
  • Przejrzystość wobec klienta – jasne komunikaty, kiedy odpowiedzi są orientacyjne, kiedy decyzja ma charakter wstępny, a kiedy ostateczny, oraz jak można ją zakwestionować.

Jeśli tych elementów zabraknie, łatwo wykazać, że błąd nie był „nieunikniony”, tylko wynikał z zaniedbań organizacyjnych. Wtedy „błąd algorytmu” staje się w sądowej narracji błędem systemu zarządzania po stronie firmy.

Organizacja procesu: człowiek w pętli czy pełna automatyzacja

Jedno z kluczowych pytań brzmi: czy decyzje wobec klienta są w pełni automatyczne, czy też człowiek ma realny wpływ na ich kształt. To rozróżnienie jest istotne zarówno z perspektywy RODO, jak i odpowiedzialności cywilnej.

Można wyróżnić kilka modeli:

  • AI jako wsparcie doradcze – system podpowiada konsultantowi opcje, ale ostateczną odpowiedź lub decyzję podejmuje człowiek (np. doradca kredytowy, lekarz);
  • AI jako filtr wstępny – system automatycznie „odsiewa” część wniosków czy zgłoszeń, a resztę przekazuje do człowieka; człowiek nie widzi tego, co zostało odrzucone;
  • Pełna automatyzacja – decyzja wobec klienta zapada bez udziału człowieka, a rola pracowników ogranicza się do obsługi wyjątków lub reklamacji.

Im większy stopień automatyzacji, tym większe wymagania co do jakości danych, dokumentacji i możliwości audytu. Brak realnego nadzoru człowieka w obszarach wysokiego ryzyka (np. odmowa kredytu, rozwiązanie umowy, odcięcie dostępu do usługi) zwiększa szanse na przypisanie firmie odpowiedzialności za każdą systemową wadę algorytmu.

Kiedy firma może obronić się przed odpowiedzialnością wobec klienta

Nie każdy błąd AI automatycznie prowadzi do odpowiedzialności finansowej. Firma ma pole do obrony, jeśli:

  • pokaże, że wdrożyła adekwatne środki ostrożności: testy, audyty, procedury reagowania, szkolenia pracowników;
  • wykaże, że szkoda powstała z przyczyn całkowicie zewnętrznych (np. masowa awaria infrastruktury telekomunikacyjnej, cyberatak, za który odpowiada inny podmiot), a ona sama zareagowała zgodnie z dobrymi praktykami;
  • udowodni, że klient naruszył własne obowiązki (np. podał nieprawdziwe informacje, zataił istotne dane, zignorował wyraźne ostrzeżenia w interfejsie).

Ochrona ta ma jednak granice, szczególnie w relacjach z konsumentami. Klauzule całkowicie wyłączające odpowiedzialność za działanie AI są w dużej mierze nieważne z mocy prawa, jeśli naruszają równowagę stron i standard ochrony konsumenta.

Stara maszyna do pisania na dworze z kartką z napisem AI ethics
Źródło: Pexels | Autor: Markus Winkler

Odpowiedzialność pracownika korzystającego z AI w pracy

AI jako narzędzie pracy, nie „drugi pracownik”

Dla wielu osób AI jest dziś po prostu kolejnym narzędziem codziennej pracy: wspiera przy tworzeniu dokumentów, analizie danych, odpowiadaniu klientom czy generowaniu kodu. Z punktu widzenia prawa pracy AI jest elementem warsztatu, podobnie jak komputer czy system CRM.

To oznacza, że pracownik:

  • nadal odpowiada za swoje czynności służbowe, nawet jeśli korzystał z AI,
  • ma obowiązek przestrzegać polityk firmy dotyczących używania narzędzi AI (np. zakazu wprowadzania danych osobowych do publicznych chatbotów),
  • powinien zachować krytyczne myślenie wobec wyników modelu, zwłaszcza w obszarach ryzykownych dla klienta.

Użycie AI nie przenosi odpowiedzialności na „system”. Jeżeli pracownik przepisze bezrefleksyjnie błędną odpowiedź modelu do maila wysłanego klientowi, w dokumentacji to on będzie autorem komunikatu, a nie algorytm.

Granice odpowiedzialności pracownika wobec pracodawcy

W polskim prawie pracy pracownik co do zasady nie odpowiada bezpośrednio wobec klienta za szkody wyrządzone przy wykonywaniu obowiązków. Odpowiada wobec pracodawcy – na zasadach określonych w Kodeksie pracy. Klient pozywa firmę, a nie konsultanta z infolinii.

Pracownik może jednak ponosić odpowiedzialność materialną wobec pracodawcy, jeśli:

  • naruszył obowiązki pracownicze (np. zignorował procedurę weryfikacji odpowiedzi AI, zatwierdził decyzję bez wymaganej konsultacji),
  • działał umyślnie lub w sposób rażąco niedbały (np. świadomie pominął ostrzeżenie systemu, wprowadził do AI poufne dane mimo wyraźnego zakazu),
  • spowodował szkodę, którą da się wycenić (np. błędne naliczenie opłat, nieuprawniona wypłata środków, ujawnienie danych).

Wysokość tej odpowiedzialności jest jednak ograniczona. Przy winie nieumyślnej pracownik odpowiada maksymalnie do trzykrotności swojego wynagrodzenia. Dopiero przy działaniu umyślnym te ograniczenia znikają.

Standard staranności pracownika korzystającego z AI

Ocena, czy pracownik „zawinił”, sprowadza się zwykle do pytania, czy zachował się tak, jak można oczekiwać od rozsądnej osoby na jego stanowisku. W przypadku AI ten standard obejmuje m.in.:

  • Sprawdzanie odpowiedzi w krytycznych sprawach – np. konsultant nie powinien bez weryfikacji przeklejać odpowiedzi bota dotyczącą rozwiązania umowy, prawa do odstąpienia czy wysokich opłat;
  • Korzystanie z autoryzowanych narzędzi – jeżeli organizacja udostępniła bezpieczny, wewnętrzny system AI, używanie publicznego chatbota do danych klientów może być poważnym naruszeniem obowiązków;
  • Reagowanie na „czerwone flagi” – gdy wynik modelu jest oczywiście niespójny z doświadczeniem lub procedurą (np. system odrzuca wszystkie wnioski z danego regionu), pracownik powinien zgłosić problem, a nie „zamieść go pod dywan”.

W praktyce bardzo dużo zależy od tego, czy pracodawca zapewnił szkolenia i jasne procedury. Trudno oczekiwać od szeregowego pracownika, że samodzielnie oceni ryzyko prawnicze działania algorytmu, jeśli nigdy nie został w tym przeszkolony.

„Shadow AI” – prywatne użycie narzędzi przez pracowników

Coraz częściej pracownicy, chcąc przyspieszyć pracę, korzystają z własnej inicjatywy z publicznych narzędzi AI (chatbotów, generatorów treści), nawet jeśli firma nie ma oficjalnej polityki w tym zakresie. To zjawisko bywa określane jako „shadow AI” – analogicznie do „shadow IT”.

Konsekwencje takiego działania mogą być poważne:

Konsekwencje „shadow AI” dla odpowiedzialności wobec klienta

Gdy pracownik korzysta z nieautoryzowanego narzędzia AI i dojdzie do szkody klienta, na pierwszy plan i tak wysuwa się odpowiedzialność firmy. To ona występuje na zewnątrz jako kontrahent i to ona musi rozliczyć się z błędnej decyzji, naruszenia danych czy wprowadzenia w błąd.

Z perspektywy klienta niewiele zmienia to, czy konsultant użył oficjalnego systemu AI, czy prywatnego chatbota w przeglądarce. Jeżeli w wyniku działania pracownika klient poniósł szkodę, roszczenia kierowane są do firmy. Natomiast „shadow AI” znacząco komplikuje rozliczenia wewnętrzne:

  • pracownik może odpowiadać wobec pracodawcy za umyślne naruszenie procedur, np. gdy korzystał z zakazanych narzędzi mimo szkoleń i jasnych komunikatów;
  • pracodawca może mieć problem z udowodnieniem należytej staranności wobec klienta, jeśli nie kontrolował realnie użycia zewnętrznych systemów;
  • w razie wycieku danych trudno wskazać winnego po stronie dostawcy publicznej AI, bo regulaminy zwykle skutecznie przerzucają odpowiedzialność za treści użytkownika.

Dla organizacji oznacza to konieczność podjęcia kroków wyprzedzających. Same zakazy w regulaminie pracy nie wystarczą, jeśli jednocześnie pracownicy nie mają bezpiecznych alternatyw. Tam, gdzie AI realnie przyspiesza zadania, ludzie i tak znajdą sposób, by ją włączyć do swojego dnia – z lub bez zgody szefostwa.

Dlatego minimalny pakiet zarządzania „shadow AI” obejmuje zwykle:

  • udostępnienie zweryfikowanych, firmowych narzędzi AI do typowych zadań (streszczanie, tłumaczenia, pomoc w kodzie),
  • jasne wytyczne, jakich danych nie wolno wprowadzać do żadnego zewnętrznego systemu (np. dane osobowe, poufne informacje biznesowe),
  • cykliczne przypomnienia i krótkie szkolenia, najlepiej oparte na konkretnych przykładach incydentów, a nie na ogólnikach.

Im lepiej uporządkowane te obszary, tym łatwiej firmie pokazać, że ewentualna szkoda wynikła z indywidualnego, świadomego naruszenia zasad przez pracownika, a nie z braku organizacji po stronie pracodawcy.

Pracownik jako „czujnik” problemów z AI

Osoba korzystająca z AI na pierwszej linii kontaktu z klientem jest często pierwszym, kto zauważa, że system „robi coś dziwnego”: zaczyna udzielać sprzecznych odpowiedzi, odrzuca całe grupy wniosków albo pomija ważne wyjątki. W takim momencie pracownik przestaje być tylko użytkownikiem, a staje się swoistym czujnikiem problemów.

To ma znaczenie dla odpowiedzialności. Jeżeli organizacja stworzyła kanały zgłaszania nieprawidłowości (np. przycisk „zgłoś błąd”, prosty formularz w intranecie, mail do zespołu ds. ryzyka), a pracownik ignoruje oczywiste sygnały, łatwiej przypisać mu winę za brak reakcji. Z drugiej strony, jeśli takich kanałów nie ma, trudno oczekiwać, że pojedynczy konsultant sam „naprawi” system.

Dobrą praktyką jest wprowadzenie zasady: „jeśli wynik AI cię zaskakuje – zatrzymaj proces i zgłoś temat”. W wielu branżach już dziś funkcjonują analogiczne procedury przy nietypowych zleceniach czy transakcjach. AI nie jest tu wyjątkiem, tylko kolejnym źródłem potencjalnych anomalii.

Odpowiedzialność dostawcy systemu AI i relacja B2B

Dlaczego klient końcowy zwykle nie pozywa dostawcy AI

W relacji z konsumentem czy firmą-korzystającą z usługi, dostawca systemu AI najczęściej pozostaje w tle. Klient zawiera umowę z bankiem, ubezpieczycielem, sklepem internetowym czy kliniką – a nie z producentem modelu scoringowego, silnika rekomendacji czy chatbota.

Z tego powodu klient końcowy, który doznał szkody, kieruje swoje roszczenia do podmiotu, z którym zawarł umowę. To ta firma odpowiada za wybór narzędzia, sposób jego użycia i nadzór nad procesem, a ewentualne rozliczenia z dostawcą systemu AI dzieją się później – już wyłącznie na gruncie relacji B2B.

Wyjątki są rzadkie i dotyczą zwykle sytuacji, gdy dostawca systemu AI sam występuje wobec użytkownika jako usługodawca (np. publiczny chatbot oferowany klientom biznesowym w modelu subskrypcyjnym) albo gdy produkt AI stanowi samodzielne urządzenie w rozumieniu przepisów o wadliwości rzeczy (np. robot medyczny sprzedawany szpitalowi).

Umowa wdrożeniowa i utrzymaniowa: jak kształtuje odpowiedzialność

Kluczowe znaczenie ma treść umowy między firmą a dostawcą AI. To tam strony ustalają, kto za co odpowiada w razie błędów, przerw w działaniu czy szkód wywołanych przez nieprawidłowe decyzje systemu. W praktyce można spotkać kilka typowych rozwiązań.

Po pierwsze, wiele kontraktów zawiera ograniczenie odpowiedzialności dostawcy do określonej kwoty (np. wysokości rocznego wynagrodzenia z umowy) oraz wyłączenie odpowiedzialności za utracone korzyści. Dla firmy-korzystającej oznacza to, że jeśli z powodu błędu AI poniesie ogromne straty, nie odzyska ich w pełni od dostawcy, nawet jeśli wina leży po jego stronie.

Po drugie, umowy zwykle precyzują podział obowiązków:

  • dostawca odpowiada za działanie samego oprogramowania (błędy techniczne, awarie, zgodność z dokumentacją),
  • klient biznesowy bierze na siebie konfigurację i sposób użycia (dobór parametrów, reguł biznesowych, progów decyzyjnych, danych wejściowych),
  • strony ustalają, kto odpowiada za uczenie modelu na danych klienta i skutki ewentualnych błędów w tych danych (np. błędne etykiety w zbiorze treningowym).

Jeżeli kontrakt nakłada na klienta obowiązek zapewnienia „poprawnych, kompletnych danych” i „właściwej konfiguracji”, a ta konfiguracja faktycznie jest po jego stronie, dostawca może się skutecznie bronić przed odpowiedzialnością za błędne decyzje wobec klientów końcowych.

Gwarancje, SLA i „due diligence” techniczne

Poza samą odpowiedzialnością odszkodowawczą, ważną rolę odgrywają klauzule gwarancyjne i SLA (Service Level Agreement – umowa określająca parametry jakości usługi). W przypadku systemów AI obejmują one często:

  • czas dostępności (uptime) systemu i maksymalny czas reakcji na awarie,
  • częstotliwość aktualizacji i poprawek,
  • standardy bezpieczeństwa i szyfrowania danych,
  • czas usunięcia istotnych błędów po ich zgłoszeniu.

Choć SLA nie gwarantuje, że algorytm nigdy się nie pomyli, jest dowodem, że dostawca stosuje określone standardy staranności technicznej. Dla firmy korzystającej może to być argument, że dołożyła starań przy wyborze partnera technologicznego – co ma znaczenie, gdy klienci zarzucają jej „lekkomyślny dobór” narzędzia.

Obowiązek tzw. „due diligence” po stronie firmy korzystającej z AI polega nie tylko na sprawdzeniu referencji dostawcy, ale także na:

  • analizie specyfikacji technicznej i ograniczeń systemu (np. w jakich scenariuszach model nie powinien być używany),
  • przeglądzie polityki bezpieczeństwa informacji dostawcy,
  • weryfikacji zgodności z przepisami, zwłaszcza w kontekście przetwarzania danych osobowych i wymogów regulacyjnych branży.

Im lepiej udokumentowany ten proces, tym mniejsze ryzyko, że organizacji zarzuci się wybór „pierwszego lepszego” narzędzia bez refleksji nad konsekwencjami.

Wady algorytmu jako „wada produktu”

W niektórych przypadkach system AI można traktować jak produkt w rozumieniu prawa konsumenckiego lub przepisów o odpowiedzialności za produkt niebezpieczny. Dzieje się tak zwłaszcza wtedy, gdy AI jest wbudowana w fizyczne urządzenie (np. autonomiczny robot, sprzęt medyczny) albo stanowi gotowe rozwiązanie sprzedawane wielu odbiorcom w identycznej konfiguracji.

Jeżeli wada algorytmu powoduje, że produkt staje się niebezpieczny (np. błędnie klasyfikuje stany zagrażające życiu), możliwe jest przypisanie odpowiedzialności producentowi na zasadach zbliżonych do odpowiedzialności za produkt niebezpieczny. W takim modelu nie trzeba wykazywać klasycznej winy w sensie niedbalstwa, wystarczy wykazać, że produkt był wadliwy i spowodował szkodę.

W praktyce jednak wiele systemów biznesowych AI jest silnie konfigurowanych i trenowanych na danych konkretnego klienta. Wtedy granica między „wadą produktu” a „wadą wdrożenia” się zaciera, a sądy mogą przerzucać część odpowiedzialności na firmę, która system adaptowała do swoich procesów.

Klauzule „as is” i próby wyłączenia odpowiedzialności dostawcy

W umowach SaaS i narzędzi AI spotyka się często formułę, że usługa jest dostarczana „as is” – „w stanie, w jakim jest”, bez gwarancji braku błędów i pełnej przydatności do określonego celu. Dla dostawcy to sposób ograniczenia ryzyka, zwłaszcza przy innowacyjnych technologiach.

Takie zastrzeżenia mają jednak swoje granice. Po pierwsze, nie zwalniają z odpowiedzialności za rażące zaniedbania (np. brak podstawowych testów bezpieczeństwa, ignorowanie znanych luk). Po drugie, w relacjach z konsumentami klauzule wyłączające odpowiedzialność za szkody mogą być uznane za klauzule abuzywne, a więc niewiążące.

W relacjach B2B większa swoboda kontraktowa jest dopuszczalna, ale druga strona – firma kupująca usługę AI – musi liczyć się z tym, że przy zbyt szerokim akceptowaniu klauzul „as is” przejmuje na siebie znaczną część ryzyka. To później komplikuje regres wobec dostawcy po wypłacie odszkodowań klientom końcowym.

Podział ryzyka AI w łańcuchu dostaw

Nowoczesny system AI rzadko jest tworzony w całości przez jedną firmę. Dostawca korzysta z modeli bazowych innych podmiotów, bibliotek open source, usług chmurowych i dodatkowych komponentów. Powstaje cały łańcuch dostaw AI, w którym każdy element może zawierać własne błędy.

Z perspektywy firmy korzystającej ważne jest, aby w umowie znaleźć odpowiedź na kilka pytań:

  • kto odpowiada za błędy komponentów zewnętrznych (np. modelu udostępnianego przez dużego dostawcę chmury),
  • czy dostawca główny bierze pełną odpowiedzialność wobec klienta, a sam dochodzi roszczeń regresowych wobec poddostawców,
  • jakie są granice odpowiedzialności w razie problemów wynikających z bibliotek open source, które nie mają klasycznego producenta z gwarancją.

Brak jasnych postanowień w tym zakresie utrudnia później przypisanie winy konkretnemu podmiotowi, a w efekcie może pozostawić firmę-korzystającą z AI z odpowiedzialnością wobec klientów, ale bez realnej możliwości odzyskania kosztów od dostawców technologii.

Rola audytów zewnętrznych i certyfikacji

Aby zrównoważyć asymetrię informacji między dostawcą AI a firmą, która go kupuje, coraz częściej pojawia się postulat niezależnych audytów i certyfikacji systemów. Chodzi o potwierdzenie, że model spełnia określone standardy jakości, bezpieczeństwa i niedyskryminacji.

Z perspektywy odpowiedzialności cywilnej taki audyt może pełnić podwójną funkcję:

  • dostawca, który uzyskał certyfikat, może pokazać, że działa zgodnie z aktualnym stanem wiedzy i branżowymi standardami – co utrudnia przypisanie mu niedbalstwa,
  • firma kupująca rozwiązanie może wykazać, że przeprowadziła należyte badanie rynku i wybrała dostawcę pozytywnie zweryfikowanego przez stronę trzecią.

Certyfikat czy audyt nie eliminują jednak całkowicie ryzyka błędów. Stanowią raczej dodatkową warstwę ochrony, która może zmniejszyć skalę roszczeń lub przesunąć akcent odpowiedzialności na sposób wykorzystania systemu, a nie na samą technologię.

Najczęściej zadawane pytania (FAQ)

Kto formalnie odpowiada za błędy AI wobec klienta?

Odpowiada zawsze człowiek lub organizacja, nigdy „algorytm”. AI nie ma osobowości prawnej, nie zawiera umów i nie występuje przed sądem, więc nie może być stroną sporu. Dla klienta liczy się podmiot, z którym zawarł umowę lub który występuje na zewnątrz jako dostawca usługi.

W praktyce najczęściej odpowiedzialne są: firma, która wdrożyła AI w swoim procesie (np. bank, sklep internetowy, przychodnia), ewentualnie wspólnie z dostawcą technologii – jeśli tak ułożono umowy. To, czy błąd wynikał z działania IT, biznesu czy zewnętrznego dostawcy, rozstrzyga się już „wewnątrz” łańcucha, a nie w relacji z klientem.

Czy mogę „zrzucić winę” na algorytm w odpowiedzi na reklamację klienta?

Nie. Tłumaczenie „to wina systemu” nie ma znaczenia prawnego. Z punktu widzenia odpowiedzialności liczy się to, że klient doznał szkody w związku z działaniem Twojej usługi lub produktu. Jeśli chatbot podał złą informację, a klient poniósł koszt, adresatem roszczeń będzie firma, a nie programiści czy sam model AI.

W korespondencji z klientem można wyjaśniać, że przyczyną była awaria czy błąd algorytmu, ale nie zwalnia to z obowiązku naprawienia szkody ani z korekty procesu, który do niej doprowadził. To raczej element transparentnej komunikacji niż linia obrony przed odpowiedzialnością.

Jak prawo patrzy na odpowiedzialność za decyzje podjęte przez AI?

Prawo nie widzi „magicznej” decyzji algorytmu, tylko ciąg działań konkretnych podmiotów. Analizuje się: kto zawarł umowę z klientem, kto organizuje proces, kto podjął decyzję o wdrożeniu AI i jakie procedury kontroli wyników wprowadzono. Na tej podstawie ocenia się związek przyczynowy między zaniedbaniem a szkodą.

Istotne są także regulacje sektorowe (np. bankowe, medyczne) oraz przepisy o ochronie danych osobowych. Naruszenie RODO przez system AI może skutkować nie tylko roszczeniami klientów, lecz także karami administracyjnymi, nawet gdy technicznie „zawinił” dostawca rozwiązania.

Jakie szkody może spowodować błąd algorytmu w firmie?

Skutki błędów AI rozchodzą się szeroko. Najbardziej oczywisty jest wymiar finansowy: od odszkodowań i zadośćuczynień dla klientów po koszty obsługi reklamacji, poprawiania danych, przestojów systemów czy ewentualnych kar od regulatorów.

Drugi obszar to reputacja. Jedna nagłośniona wpadka chatbota, który podaje nieprawdziwe informacje lub dyskryminuje określone grupy, może szybko zamienić się w kryzys w social mediach. Trzeci wymiar jest organizacyjny: nagłe „gaszenie pożaru”, wstrzymywanie projektów AI, wewnętrzne spory o to, kto ponosi winę za incydent.

Czym różni się odpowiedzialność prawna od moralnej przy błędach AI?

Odpowiedzialność moralna dotyczy tego, kto „zawinił” w sensie etycznym: twórcy modelu, którzy przymknęli oko na uprzedzone dane, menedżerowie forsujący wdrożenie mimo ostrzeżeń, czy pracownicy, którzy bezrefleksyjnie ufają wynikom AI. To dyskusja o sumieniu, profesjonalizmie i kulturze organizacyjnej.

Odpowiedzialność prawna opiera się na innych kryteriach: kto ma zobowiązanie wobec klienta, kto jest stroną umowy, jaki czyn lub zaniechanie był w bezpośrednim związku przyczynowym ze szkodą. Dlatego tak ważne jest, by umowy, regulaminy i procedury pracy z AI jasno określały role i podział ryzyka – inaczej to, co oczywiste etycznie, może być zupełnie nieoczywiste w sądzie.

Jak ograniczyć ryzyko odpowiedzialności za błędy AI w kontaktach z klientem?

Najskuteczniejsze podejście łączy technikę, organizację i prawo. Po pierwsze, potrzebne są procedury: aktualizacja baz wiedzy, przeglądy modeli, testy jakości danych, jasne zasady, kiedy decyzja AI musi być zweryfikowana przez człowieka (np. przy wysokich kwotach lub decyzjach wrażliwych). Przykład: pytania o opłaty czy warunki kredytu można oznaczać jako „wysokiego ryzyka” i kierować do konsultanta.

Po drugie, ważne są umowy z dostawcami technologii, które regulują odpowiedzialność za błędy modeli, parametry jakości (SLA) i obowiązki aktualizacji. Po trzecie, potrzebne jest szkolenie pracowników – tak, by rozumieli ograniczenia AI, potrafili wychwytywać oczywiste absurdy w odpowiedziach i wiedzieli, kiedy „zaciągnąć hamulec ręczny” i przerzucić sprawę do eksperta.

Czy klient musi być informowany, że decyzję podjęła AI, a nie człowiek?

Coraz częściej tak, zwłaszcza w obszarach regulowanych i przy decyzjach o poważnych skutkach dla klienta (np. odmowa kredytu, decyzja ubezpieczeniowa, selekcja w rekrutacji). Wiele projektowanych regulacji, w tym unijnych, zakłada obowiązek informowania o wykorzystaniu systemów AI oraz zapewnienia możliwości odwołania się do „ludzkiej” weryfikacji decyzji.

Nawet tam, gdzie prawo nie mówi tego wprost, jawność zwykle działa na korzyść firmy. Jasna informacja, że odpowiedź pochodzi od systemu, plus łatwo dostępna ścieżka kontaktu z człowiekiem, zmniejszają poczucie bezradności klienta i ryzyko eskalacji sporu, gdy coś pójdzie nie tak.

Sprawdź też te teksty: