PRZEDSIĘBIORCZA

STRONA PRAWA

Dzień dobry,


kto podejmie pilną decyzję, gdy członek zarządu jest na urlopie? Które treści przygotowane z pomocą AI trzeba będzie oznaczać od 2 sierpnia? Co powinien zrobić zespół, gdy wykryje podatność w produkcie?

W lipcowym newsletterze odpowiadamy na trzy pytania, które wymagają konkretnych ustaleń w firmie:

  • jak przygotować zastępstwa na czas urlopów;

  • co sprawdzić przed kolejnym etapem stosowania AI Actu;

  • jak przygotować się do raportowania podatności i incydentów na podstawie Cyber Resilience Act.

Na końcu wracamy również do zmian dotyczących PIP.


Zapraszamy do czytania!

Okres urlopowy szybko pokazuje, które procesy są zależne od jednej osoby.


Kto podpisze pilny aneks, gdy członek zarządu jest niedostępny? Kto odbierze zgłoszenie sygnalisty? Do kogo trafi informacja o wycieku danych albo podatności w produkcie? Czy zastępca ma dostęp do potrzebnych dokumentów i może podjąć decyzję?


Samo wskazanie nazwiska w autoresponderze nie rozwiązuje sprawy. Zastępca musi wiedzieć:

  • z jakimi sprawami nie można czekać;

  • gdzie znajdują się potrzebne informacje;

  • jakie ma uprawnienia;

  • z kim powinien skonsultować decyzję;

  • ile czasu zostało na działanie.

Jeżeli firma zatrzymuje się wraz z nieobecnością jednej osoby, macie problem ze sposobem rozkładania odpowiedzialności. Chcecie to sprawdzić, ale nie macie pojęcia od czego zacząć? Pomoże Wam w tym przygotowany przez nas poradnik.

2 sierpnia zacznie obowiązywać kolejna część AI Actu, w tym przepisy dotyczące informowania o interakcji z AI oraz oznaczania określonych treści wygenerowanych lub zmodyfikowanych przy jego użyciu.

Nie oznacza to, że każdą grafikę albo wiadomość przygotowaną z pomocą AI trzeba będzie opatrzyć dużą czerwoną etykietą. Obowiązki zależą od rodzaju systemu, treści i sposobu jej wykorzystania. Dotyczą między innymi:

  • chatbotów,

  • deepfake’ów

  • oraz określonych publikacji poświęconych sprawom interesu publicznego.


Zanim jednak zaczniecie ustalać sposób oznaczania treści, potrzebujecie odpowiedzi na bardziej podstawowe pytanie:


Gdzie w Waszej firmie Zespół już wykorzystuje AI, tworząc materiały, które trafiają na zewnątrz?


Może odpowiadać klientom na stronie. Może tworzyć opisy produktów, grafiki do kampanii albo artykuły eksperckie. Może analizować CV, podsumowywać rozmowy sprzedażowe lub przygotowywać rekomendacje dla pracowników.


Dopiero po zebraniu tych zastosowań można ustalić:

  • gdzie potrzebna jest informacja o wykorzystaniu AI;

  • które materiały wymagają oznaczenia;

  • czy do narzędzi trafiają dane osobowe albo informacje poufne;

  • kto sprawdza rezultat przed publikacją lub przekazaniem klientowi;

  • kto podejmuje decyzję o wdrożeniu kolejnego narzędzia.


Jeżeli nie macie jeszcze pełnej listy systemów używanych przez zespoły, zacznijcie właśnie od niej. Bez tej wiedzy nawet najlepsza polityka AI będzie opisywała tylko wyidealizowaną część rzeczywistości. Pomoże wam w tym nasza matryca.

11 września zaczną obowiązywać pierwsze wymogi raportowe wynikające z Cyber Resilience Act. Obejmą producentów określonych produktów z elementami cyfrowymi, w tym oprogramowania i urządzeń połączonych.


W przypadku aktywnie wykorzystywanej podatności albo poważnego incydentu pierwsze ostrzeżenie może być wymagane w ciągu 24 godzin od uzyskania informacji o zdarzeniu. Na pełniejsze zgłoszenie przewidziano 72 godziny.


To mało czasu, jeśli wiadomość od zespołu technicznego najpierw trafia do project managera, później do CTO, następnie do osoby odpowiedzialnej za compliance, a dopiero na końcu do zarządu lub działu prawnego.


Dlatego przed wrześniem przeprowadźcie prostą symulację.


Developer wykrywa podatność w piątek po południu.

  • Gdzie ją zgłasza?

  • Kto ocenia jej znaczenie?

  • Kto może zdecydować o zawiadomieniu?

  • Co się dzieje, jeśli jedna z tych osób jest niedostępna?


Jeżeli odpowiedzi trzeba dopiero szukać, firma nie ma jeszcze gotowego procesu, nawet jeśli dokument opisujący incydenty znajduje się na dysku.


Sprawdźcie również umowy z podwykonawcami. Firma nie zgłosi na czas zdarzenia, o którym jej dostawca poinformuje ją po kilku dniach.

Przypominamy, że od 8 lipca Państwowa Inspekcja Pracy ma szersze możliwości sprawdzania, czy umowy cywilnoprawne i kontrakty B2B nie zastępują w praktyce zatrudnienia na etacie.


Zmieniły się możliwości PIP w zakresie wykrywania i kwestionowania nieprawidłowości.

Dobrze napisana umowa może nie wystarczyć.


Jeżeli chcecie sprawdzić swój model współpracy, nie zaczynajcie od kolejnej zmiany wzoru kontraktu. Najpierw porozmawiajcie z osobami, które na co dzień zarządzają kontraktorami.


Zapytajcie:

  • Czy kontraktor może sam ustalić, kiedy wykona zadanie?

  • Czy rozliczacie efekt jego pracy, czy liczbę przepracowanych godzin?

  • Czy informuje o nieobecności, czy musi uzyskać na nią zgodę?

  • Czy może odmówić przyjęcia zadania?

  • Czy manager kontroluje rezultat, czy również sposób wykonywania pracy?

  • Czy kontraktorzy i pracownicy funkcjonują w zespole dokładnie tak samo?


To właśnie odpowiedzi na te pytania pokażą, czy umowa zgadza się z praktyką

Jeśli widzisz wartość informacji w naszym kancelaryjnym Newsletterze, to możemy bezpłatnie wspierać Twoich znajomych czy zaprzyjaźnione firmy. Wyślij im link i zaproś do nas https://sawaryn.com/zapis-newsletter/

Jeśli chcesz przeczytać więcej treści i nowinek prawnych, zajrzyj na naszego bloga TUTAJ lub skontaktuj się ze mną bezpośrednio, jeśli potrzebujesz porady prawnej.



Do następnego razu!

Mateusz Sawaryn


Wysłano dzięki:
GetResponse