This article is also available in Czech.
Are people in your company using artificial intelligence? Because AI use has skyrocketed recently, we can assume they are: it seems everyone is following the trend. BUT…
Do you have any idea which of them is using which AI tool, and how? Quite possibly, everything is being left up to individual employees’ initiative to decide which AI tool to use, and they may do so typically via their own personal private accounts, without any oversight over which confidential or perhaps even sensitive company data is being shared with AI tools. When team members hand over a completed task to a supervisor, do they disclose whether they used artificial intelligence to complete it (draft an email, prepare that presentation, summarize long documents, translate something)? Has your organization introduced strict internal policies requiring detailed personal reviews of all AI output?
In 2024, the European Union adopted the world's first comprehensive regulation of artificial intelligence, Regulation (EU) 2024/1689, the Artificial Intelligence Act (or the AI Act). This regulation has direct effect in member states, including the Czech Republic. It mostly concerns requirements for AI systems themselves and the obligations of entities who develop them, known as “providers”. However, there is also a key provision relating to ordinary users, or AI “deployers" which means those already using developed AI systems for their professional/commercial activities: the obligation to be AI literate (Article 4 of the AI Act). Here it should be noted that a substantial softening of this obligation is under consideration as part of proposed wide-ranging reforms to EU regulations in this area, the "Digital Omnibus", which may affect, for example, the GDPR. We will continue to monitor developments in this area.
In its current form the provision states the steps one must take to ensure, to the greatest extent possible, a sufficient level of AI literacy among employees but also any others involved in the operation and use of AI systems on their behalf (such as contractual partners - self-employed individuals). This to be done in accordance with their technical knowledge, experience, education, and training, in accordance with the environment in which the AI systems are to be used, while keeping in mind the individuals or groups on whom the AI systems are to be used.
So, while there’s no need for each employee to become an AI “guru”, everyone needs to know in what situations they are allowed to use AI, which AI tools are permitted, what data can be shared with AI, but also that they must carefully review everything, and report the use of AI internally if any outputs are transferred or shared for further use. It must be understood that failure to comply constitutes a violation of internal regulations and can result in specific negative consequences, including liability for damages.
As a law firm, we already have such internal regulations in place, specifically formatted to the day-to-day circumstances of providing legal services and to legal requirements for doing so. Similarly, but tailored to your specific needs, we stand ready to help you with the creation and implementation of your own internal regulations. In general, this can be done in three steps:
- Situation Assessment – how AI is being used currently, which internal regulations are already in place if any, the specific nature of your industry and your company in particular, consultation, and recommendations,
- Creation and formal announcement of an “AI policy/guidelines” in the format of the employer’s legally binding internal regulations for employees,
- We will run mandatory training sessions for your employees to familiarize them with the new guidelines.
This is not regulation for regulation’s sake, nor is about formally submitting to “yet another legal obligation from Brussels.” This is about establishing rules and processes that minimize risks: the risks of serious material or reputational damage, using mistakes in AI outputs, or uncontrolled data leaks of internal confidential or client information. Also, the risk of getting fined by the regulator. The risk that your company’s statutory body will be held liable for failing to ensure employees’ AI literacy. The risk that an employee who causes damage through clearly unprofessional use of AI will not be held liable due to a lack of internal regulations or policy. While the amendment to the provision as currently proposed may soften the obligation to ensure AI literacy and reword it to “the obligation of the EU Commission and Member States to promote AI literacy among providers and users” (rather than their direct obligation to ensure it). However, as the use of AI in day-to-day business operations becomes more widespread, the duty to ensure staff AI literacy will remain part of management’s general obligation to establish reasonable and effective internal processes to minimize and manage risks arising from artificial intelligence use.
Povinnost zajistit „gramotnost“ v oblasti AI
Používáte ve Vaší společnosti umělou inteligenci? Předpokládáme, že odpověď zní ano, využití AI v posledních letech raketově roste a snad každý již tento trend následuje. ALE…
Víte ale, kdo přesně, jakou AI a jak využívá? Není to náhodou tak, že vše je ponecháno na soukromé iniciativě jednotlivých zaměstnanců, kteří si sami vybírají, jaký AI nástroj použijí, přistupují k němu typicky prostřednictvím svého soukromého, osobního účtu a není zde žádná kontrola nad tím, jaké citlivé nebo potenciálně citlivé firemní údaje zadávají? Pokud podřízený předává nadřízenému splněný pracovní úkol, sděluje mu zároveň, že při jeho plnění (psaní návrhu emailu, tvorbě prezentace, vytvoření souhrnu delšího dokumentu, provedení překladu) využil umělou inteligenci? Vyžaduje se ve Vaší organizací důsledně, podle závazných interních předpisů, podrobná osobní kontrola veškerých výstupů AI?
V roce 2024 přijala Evropská unie celosvětově první komplexní úpravu umělé inteligence, Nařízení 2024/1689, akt o umělé inteligenci (tzv. AI Act). Nařízení má v členských státech tedy i v České republice přímou účinnost. Většina právních pravidel se týká požadavků na systémy AI samotné a povinností osob, které je vyvíjejí, tzv. poskytovatelů. Je zde však i jedno klíčové ustanovení týkající se běžných uživatelských subjektů, tzv. „osob zavádějících AI“, tedy osob, které již vyvinuté systémy AI používají v rámci své běžné hospodářské činnosti: požadavek na gramotnost v oblasti AI (anglicky „AI literacy“, čl. 4 AI Actu). Už na tomto místě je nutno upozornit, že v rámci navrhované rozsáhlé reformy předpisů EU v této oblasti, tzv. „Digital Omnibus“, která má zasáhnout např. i GDPR, se momentálně navrhuje podstatné změkčení této povinnosti; vývoj situace monitorujeme.
Ustanovení v aktuální podobě vyžaduje přijetí opatření, aby byla v co největší možné míře zajištěna dostatečná úroveň gramotnosti v oblasti AI u zaměstnanců i u všech dalších osob, které se jejich jménem zabývají provozem a používáním systémů AI (např. smluvní partneři – OSVČ), s přihlédnutím k jejich technickým znalostem, zkušenostem, vzdělání a odborné přípravě a prostředí, v němž mají být systémy AI používány, a s ohledem na osoby nebo skupiny osob, na kterých mají být systémy AI používány.
Ano, takže není potřeba, aby se z každého zaměstnance stal „AI guru“, ale každý by měl vědět, kdy smí AI použít, které AI nástroje jsou povolené, jaké údaje je s nimi možno sdílet, že je nutno vše pečlivě překontrolovat a o využití AI interně informovat, je-li výstup předáván nebo sdílen k dalšímu využití. A že nerespektování těchto pravidel představuje porušení interních předpisů a může tedy vyústit v konkrétní negativní důsledky, jako např. odpovědnost za škodu.
Jako advokátní kancelář máme tato pravidla interně zavedena, v podobě specificky odrážející faktické okolnosti poskytování právních služeb i právní požadavky na něj. A právě takto, na míru Vašim potřebám, jsme připraveni pomoci i Vám s vytvořením a zavedením Vašich interních pravidel. Zpravidla by se mělo postupovat ve třech krocích:
- Analýza situace – jak se AI již využívá, zda již nějaká pravidla interně platí, specifika Vašeho oboru a Vaší konkrétní společnosti, diskuse a doporučení
- Vytvoření a formální vyhlášení „AI politiky/směrnice“ jako vnitřního závazného předpisu zaměstnavatele pro zaměstnance
- Uspořádáme povinné školení pro zaměstnance, abychom je s novou směrnicí seznámili
Nejde o regulaci pro regulaci. O formální vyhovění další právní povinnosti „z Bruselu“. Jde o nastavení pravidel a procesů, které minimalizují riziko vzniku zásadní věcné nebo reputační škody, použití chybného výstupu AI nebo nekontrolovaného úniku interních důvěrných dat nebo údajů klientů. Riziko pokuty ze strany regulátora. Riziko, že statutární orgán Vaší společnosti bude shledán odpovědným za nezajištění povinnosti AI gramotnosti zaměstnanců. Riziko, že zaměstnanec, který jasně neodborným postupem při využití AI způsobí škodu, nebude odpovědný kvůli chybějícímu nastavení interních pravidel. V současnosti navrhovaná změna ustanovení by představovala podstatné změkčení povinnosti zajistit AI gramotnost, protože by došlo k přeformulaci na „povinnost Komise EU a členských států podporovat AI gramotnost u poskytovatelů a uživatelů“ (místo jejich přímé povinnosti to zajistit). S tím, jak se použití AI v běžném chodu podniku stává stále rozšířenější, však bude i nadále platit, že zajištění AI gramotnosti personálu představuje součást širší povinnosti managementu zajistit rozumné, efektivní nastavení interních procesů tak, aby byla minimalizována a řízena rizika vyplývající z použití umělé inteligence.
