Prilikom upravljanja zahtjevima za sigurnu obradu podataka, bitno je da sve uključene strane budu svjesne utjecaja određenih odredbi lokalnog prava.
Dobro razmislite o policama osiguranja i onim policama koje imaju Vaši poslovni partneri/dobavljači!
A kada smo već kod poslovnih partnera- pročitajte na što trebate obratiti pozornost prilikom pregovaranja odredbi ugovora iz IT sektora ili onih koji se tiču AI tehnologije.
Krenimo redom od francuskog zakona i osiguranja...
Nedavno doneseni zakon u Francuskoj (Zakon br. 2023-22, u daljnjem tekstu Zakon) propisuje da ako osigurana strana ne obavijesti u roku od 72 sata lokalna tijela kaznenog progona o kibernetičkom incidentu koji je zahvatio njen sustav (a koji spada u kategoriju da ga mora prijaviti), može joj biti uskraćeno pravo na pokriće iz police kibernetičkog osiguranja. Odredbe navedenog zakona su kogentne naravi te ih se moraju pridržavati i osiguravatelji i osiguranici. One se ne mogu mijenjati ni izbjegavati odredbama ugovora ili police osiguranja.
Cilj ove mjere jest potaknuti brzo prijavljivanje kibernetičkih incidenata radi olakšavanja istrage i jačanja borbe protiv sve većeg rizika od kibernetičkih napada. Prema francuskom zakonu žrtva bi mogla tražiti odštetu samo ako prijavi nadležnom tijelu svaku neovlaštenu intervenciju ili prijevarnu aktivnost u sustavu, svaku krađu ili izmjenu elektroničkih podataka te svako narušavanje funkcioniranja sustava.
Kada počinju teći 72 sata po francuskom Zakonu
Prema istom tom Zakonu početna točka roka od 72 sata nije potpuno jasna, kao što je to slučaj u čl. 33 GDPR-a (obavijestiti nadležnog regulatora najkasnije 72 sata nakon saznanja za povredu osobnih podataka). U praksi je teško odrediti kada počinje teći rok od 72 sata jer se kibernetički napadi često otkrivaju postupno.
U smjernicama je navedeno da rok počinje teći od „otkrivanja štete uzrokovane incidentom.“ Međutim, nije određeno tko mora otkriti štetu, često je potrebno vrijeme da se utvrdi puni opseg incidenta te što se točno smatra štetom u ovom kontekstu. Obavještavanje policije u većini slučajevima nije bio prioritet prilikom otkrivanja incidenta, no to bi se sada trebalo promijeniti zbog straha od gubitka prava na osiguranje.
Međunarodni incidenti
Zakon odgovara i na pitanje kada kibernetički incident zahvati više jurisdikcija. Ako je ugovor o osiguranju podložan francuskom pravu primjenjuje se Zakon te subjekt mora podnijeti prijavu nadležnom tijelu neovisno o tome nalazi li se poslovni subjekt u Francuskoj ili ne.
No, ako je šteta nastala u stranoj zemlji prihvaća se prijava podnesena nadležnom tijelu te zemlje. Ako je ugovor podložan stranom pravu neće se primjenjivati Zakon te nema obveze za podnošenjem prijave.
Sada dolazimo do odredbi ugovora. Kao što vidite odredbe o primjeni prava pojedine zemlje mogu biti od velikog značaja i za vaše obveze. No, nisu te odredbe jedine bitne. Često se susrećemo s Ugovorima o obradi i dijeljenju podataka pa i sam temeljnim ugovorima u kojima vidimo veliki broj grešaka, posebno onih koje utječu ili mogu u većoj mjeri utjecati i na usklađenost poslovanja i obveze koje si namećete potpisom.
Niže ćemo se, u ovom blogu osvrnuti samo na dio toga na što se mora posebno obratiti pozornost kod ugovora vezanih uz IT sektor i AI sustave.
Utjecaj AI sustava na ugovore u IT sektoru
Umjetna inteligencija donosi niz izazova i pitanja koja nisu obuhvaćena uobičajenim ugovorima odnosno ugovorima koje susrećemo u praksi. AI sustavi snažno ovise o podacima, uče i razvijaju se tijekom vremena, daju nepredvidive rezultate, otvaraju etička i regulatorna pitanja.
Najčešći ugovori u kojima se pojavljuje AI su: SaaS (Software as a Service) rješenja s AI komponentama, ugovori o razvoju i integraciji AI-a, Usluge AI analize podataka. Razumijevanje ovih scenarija prvi je korak u pregovorima o IT ugovorima koji istovremeno štite poslovanje i maksimiziraju prednosti AI-a.
Ključne ugovorne odredbe na koje treba obratiti pozornost prilikom pregovaranja o IT ugovoru su:
- Vlasništvo nad podacima - potrebno je odrediti tko je vlasnik AI modela, rezultata i poboljšanja nastalih tijekom suradnje te definirati vlasništvo izvornog modela, prava na izmjene i poboljšanja, vlasništvo i pravo korištenja AI rezultata.
- Korištenje i zaštita podataka – usklađenost s propisima (ne samo s GDPR-om već i s drugom regulativom te lokalnim propisima), ograničavanje upotrebe podataka na dogovorene svrhe te definiranje što se događa s podacima po završetku ugovora.
- Odgovornost i raspodjela rizika – odrediti tko snosi posljedice netočnih AI rezultata te ograničenje odgovornosti.
- Razina usluge i standardi izvedbe, izbjegavati nerealna jamstva o točnosti, jasno postaviti očekivane pokazatelje uspješnosti te ugovoriti ponovni trening ili poboljšanje modela ako standardi nisu zadovoljeni.
- Transparentnost i objašnjivost – odrediti mora li pružatelj objasniti rad sustava i propisati dostupnu dokumentaciju radi dokazivanja usklađenosti.
- Usklađenost s AI regulativom – ugraditi obvezu usklađenosti s aktualnim zakonodavstvom te odrediti odgovornost za praćenje i poštivanje propisa.
Savjeti prilikom pregovaranja te pogreške koje treba izbjeći
Prije početka pregovora trebalo bi razumjeti što AI sustav stvarno radi (koje zadatke obavlja, razinu točnosti, rizike, koje podatke i kako zahvaća, koji je tijek podataka unutar i izvan sustava itd.), kako bi se lakše mogli ispregovarati odgovarajući uvjeti. Prilikom pregovora bi trebalo uključiti tim IT stručnjaka, službenika za zaštitu osobnih podataka te službenika za usklađivanje, sve kako bi se izbjegli nepredvidivi troškovi. S obzirom da rezultati mogu biti također nepredvidivi, potrebno je precizno definirati funkcionalnosti AI sustava. Mnogi sustavi se oslanjaju na podatke trećih strana i open-source baze podataka koji donose određene rizike (ograničenja licence, sigurnosne ranjivosti, nedostatak odgovornost za greške, netočne podatke ili neažurne podatke i sl.). Kako bi se izbjegli ti rizici potrebno je zahtijevati od pružatelja da otkrije sve komponente koje je koristio, potvrdio da je ishodio potrebne licence i da se utvrdi tko snosi rizik za probleme koji mogu nastati korištenjem ili posljedice koje mogu nastati korištenjem.
Kompanije ponekad nisu ni svjesne određenih zamki koje postoje. Jedna od češćih pogrešaka je tretiranje AI-a kao običnog softvera što dovodi do nerealnih očekivanja i lošijih rezultata pri korištenju. Često se u ugovorima ne određuje tko daje podatke za treniranje, kako se ti podaci koriste i tko je vlasnik tih podataka i unaprijeđenih AI modela. Ako se ugovorom ne uredi to područje može doći do gubljenja prednosti jer pružatelj može ponuditi unaprijeđen AI model drugim klijentima.
AI modeli moraju biti kontinuirano praćeni i nadograđivani zato što se mijenjaju s vremenom te dolazi do smanjenje preciznosti.
Ugovorom se treba odrediti dužnost praćenja i nadograđivanja od strane pružatelja kao i procedura za utvrđivanje rada performansi modela.
Budući "trendovi" IT ugovora
Gledajući unaprijed postoji nekoliko trendova koji utječu na ugovorne odnose u AI eri, a što smo naveli u ovom blogu. Kako AI napreduje u svijetu prava, moglo bi doći do ubrzanja procesa pregovora, pregleda i sastavljanja ugovora, a posljedično i do automatizacije (uz određene rizike). Još jedan trend je i korištenje i unutar blokchain transakcija, tzv. pametni ugovori s AI odlučivanjem. Sve to nosi sa sobom određene rizike kojih morate biti svjesni.
Postepeno dolazi i do standardizacije AI odredbi u standardnim predlošcima ugovora. Zakonodavstvo postepeno dostiže razvoj AI-a te regulira razvitak i budućnost ne samo AI-a, nego i ugovornih obaveza koje se tiču AI-a.
