Korzystasz z Azure OpenAI? Microsoft odpowiada za infrastrukturę chmurową. Ty odpowiadasz za dane, aplikacje i zgodność z RODO oraz AI Act. Poniżej znajdziesz podział odpowiedzialności, ograniczenia po stronie Microsoftu i konkretne obowiązki, które musisz spełnić jako użytkownik.
Jak omówiliśmy w poprzednim artykule, korzystanie z tej technologii wiąże się z odpowiedzialnością prawną, której nie można zignorować.
Czym są zasady odpowiedzialności Azure OpenAI?
Zasady odpowiedzialności w Azure OpenAI wynikają z modelu współodpowiedzialności między Microsoftem a użytkownikiem. Microsoft zapewnia bezpieczeństwo infrastruktury chmurowej. Odpowiedzialność za sposób wykorzystania technologii i przetwarzane dane spoczywa na Tobie.
Twoja firma musi zapewnić zgodność z RODO i AI Act – odpowiadasz za to, jak wykorzystujesz modele AI, jak chronisz prywatność i jak monitorujesz generowane treści.
Model współodpowiedzialności – kto za co odpowiada
Współodpowiedzialność opiera się na trzech warstwach:
- Warstwa platformy AI – odpowiedzialność Microsoftu. Obejmuje infrastrukturę chmurową, szyfrowanie danych w trakcie transmisji i przechowywania oraz mechanizmy ochrony na poziomie platformy.
- Warstwa aplikacji AI – odpowiedzialność użytkownika. Obejmuje sposób zastosowania AI w Twoich aplikacjach, zarządzanie danymi przetwarzanymi przez modele OpenAI oraz zabezpieczenia na poziomie aplikacji.
- Warstwa użytkowania AI – odpowiedzialność organizacji. Obejmuje faktyczne wykorzystywanie technologii, monitorowanie zgodności z RODO i AI Act oraz procedury wewnętrzne.
Obie strony współpracują w zakresie ochrony danych, zapobiegania nadużyciom i odpowiedniego użytkowania systemów AI.
Odpowiedzialność za dane i bezpieczeństwo
Microsoft zapewnia szyfrowanie danych w trakcie transmisji i przechowywania. Ale to Ty odpowiadasz za dodatkowe zabezpieczenia w swoich aplikacjach – szczególnie gdy przetwarzasz dane osobowe lub wrażliwe informacje.
Co musisz zrobić w kontekście RODO
- Zapewnij odpowiednie zgody na przetwarzanie danych osobowych.
- Realizuj prawa osób, których dane dotyczą – prawo dostępu, prawo do usunięcia, prawo do sprostowania.
- Regularnie audytuj i aktualizuj procedury bezpieczeństwa danych.
- Wybierz odpowiednią lokalizację przetwarzania danych (np. region w UE) – ma to znaczenie przy transferze danych poza EOG.
Co musisz zabezpieczyć po swojej stronie
- Ochronę aplikacji i systemów integrujących modele AI przed cyberatakami i złośliwym oprogramowaniem.
- Procedury szybkiego reagowania na incydenty bezpieczeństwa.
- Mechanizmy zapobiegające naruszeniu danych na poziomie Twojej organizacji.
Monitoring nadużyć i filtrowanie treści
Microsoft wbudował w platformę mechanizmy wykrywania i ograniczania nielegalnego lub nieetycznego wykorzystywania usługi. System analizuje zachowania użytkowników i treści generowane przez modele AI w czasie rzeczywistym – wykrywa dezinformację, mowę nienawiści, przemoc i inne materiały niezgodne z regulacjami.
Jak działa weryfikacja treści
- System automatycznie wykrywa potencjalne nadużycia i weryfikuje próbki danych (prompty i odpowiedzi).
- Próbki trafiają do analizy przez automatyczny system AI.
- W razie potrzeby – dodatkowa ocena przez ludzi.
Opcja zmodyfikowanego monitorowania
Jeśli przetwarzasz dane poufne lub wrażliwe (np. medyczne, finansowe), możesz skorzystać z opcji zmodyfikowanego monitorowania nadużyć. Pozwala ona wyłączyć możliwość przeglądania przez ludzi treści generowanych przez modele AI. Dzięki temu Twoje dane nie będą analizowane przez osoby trzecie.
Pamiętaj: Niezależnie od mechanizmów Microsoftu, Ty odpowiadasz za to, jak korzystasz z usługi i jakie treści generujesz. Wprowadź wewnętrzne procedury kontroli, zanim uruchomisz produkcyjne wdrożenie.
Ograniczenia odpowiedzialności Microsoftu
Zanim wdrożysz Azure OpenAI, sprawdź, jakich ryzyk Microsoft na siebie nie bierze:
- Szkody pośrednie – Microsoft nie odpowiada za utratę zysków, danych, reputacji ani inne straty pośrednie wynikające z korzystania z usługi.
- Limit finansowy – odpowiedzialność Microsoftu ograniczona jest do 5000 USD i obejmuje wyłącznie bezpośrednie szkody związane z działaniem usługi.
- Naruszenie Kodeksu postępowania Microsoft Generative AI – jeśli nie przestrzegasz zasad etycznego wykorzystywania AI, Microsoft może zawiesić lub zakończyć Twój dostęp do usługi.
- Zmiana warunków – Microsoft zastrzega sobie prawo do wstrzymania dostępu lub modyfikacji warunków korzystania z usługi w przypadku zmiany przepisów prawnych dotyczących AI.
To oznacza jedno: ryzyko biznesowe związane z błędami, przerwami w dostępności i konsekwencjami wdrożenia leży po Twojej stronie.
Zgodność z przepisami – AI Act i RODO
AI Act – co obowiązuje już teraz
AI Act (Akt o sztucznej inteligencji) – rozporządzenie UE regulujące wykorzystanie technologii AI – jest już stosowanym prawem:
- Od lutego 2025 r. – obowiązują przepisy dotyczące zakazanych praktyk AI.
- Od sierpnia 2025 r. – obowiązują zasady dotyczące modeli AI ogólnego przeznaczenia (GPAI).
Jeśli wdrażasz Azure OpenAI, sprawdź, czy Twoje zastosowanie spełnia wymagania AI Act:
- Informuj użytkowników o zastosowaniu AI w Twoich produktach i usługach.
- Wprowadź mechanizmy zapobiegające szkodliwym skutkom (dezinformacja, dyskryminacja).
- Przeprowadź ocenę ryzyka w kontekście wykorzystania AI.
- Zapewnij, że systemy AI umożliwiają nadzór ludzki.
RODO – podział ról i obowiązki
W modelu Azure OpenAI role rozkładają się tak:
- Microsoft – procesor danych (przetwarza dane na Twoje zlecenie).
- Ty – administrator danych (odpowiadasz za legalność przetwarzania, zgody, realizację praw osób).
Twoje obowiązki jako administratora:
- Zapewnij podstawę prawną przetwarzania danych osobowych.
- Realizuj prawa osób – dostęp, sprostowanie, usunięcie.
- Przeprowadź ocenę skutków dla ochrony danych (DPIA), jeśli stosujesz AI do przetwarzania danych osobowych.
- Wybierz lokalizację przechowywania danych w UE – Azure OpenAI daje taką możliwość, a RODO ogranicza transfer danych poza EOG.
Podsumowanie – co zrobić teraz
Azure OpenAI daje duże możliwości, ale wiąże się z konkretnymi obowiązkami prawnymi. RODO i AI Act już obowiązują – przygotowanie organizacji pod względem prawnym i proceduralnym to dziś wymóg prawa, nie dobra praktyka.
Jeśli korzystasz z Azure OpenAI lub planujesz wdrożenie, zrób te rzeczy w pierwszej kolejności:
- Zidentyfikuj, jakie dane przetwarzasz przez modele AI i na jakiej podstawie prawnej.
- Przeprowadź ocenę ryzyka zgodnie z AI Act.
- Sprawdź lokalizację przechowywania danych i ustaw region w UE.
- Wprowadź procedury monitoringu treści generowanych przez AI.
- Zaktualizuj dokumentację – umowy, regulaminy, polityki przetwarzania danych.
- Przeprowadź DPIA, jeśli przetwarzasz dane osobowe z użyciem AI.
W Sawaryn i Partnerzy pomagamy w przygotowaniu dokumentacji (umowy licencyjne, regulaminy), analizie ryzyk związanych z przetwarzaniem danych oraz przygotowaniu do zgodności z AI Act i RODO. Wspieramy też w zarządzaniu odpowiedzialnością za dane w organizacjach wdrażających rozwiązania AI.
Q&A – Zasady odpowiedzialności w Azure OpenAI
-
Co oznacza model współodpowiedzialności w Azure OpenAI? Model współodpowiedzialności oznacza, że Microsoft odpowiada za bezpieczeństwo infrastruktury chmurowej, a użytkownik za aplikacje i dane, które przetwarza w tej chmurze.
-
Jakie zabezpieczenia Microsoft oferuje w zakresie danych? Microsoft zapewnia szyfrowanie danych oraz systemy filtrowania treści, ale użytkownik jest odpowiedzialny za dodatkowe zabezpieczenia danych we własnych aplikacjach.
-
Jakie narzędzia Microsoft oferuje do monitorowania nadużyć? Microsoft oferuje mechanizmy do wykrywania i ograniczania nadużyć, a także opcję zmodyfikowanego monitorowania, które umożliwia użytkownikom pełną kontrolę nad przechowywaniem danych.
-
Jakie przepisy prawne są związane z korzystaniem z Azure OpenAI? Korzystanie z Azure OpenAI wymaga zgodności z regulacjami takimi jak RODO oraz AI Act, które aktualnie obowiązują i nakładają odpowiedzialność na użytkowników za przetwarzanie danych i przestrzeganie zasad odpowiedzialnego użytkowania AI.