AI w umowach – zakaz użycia i ryzyka prawne

1 dzień temu

Co to jest klauzula „no-AI” i gdzie ją można spotkać

Klauzula „no-AI” w umowach to postanowienie umowne, które zakazuje albo istotnie ogranicza korzystanie z narzędzi sztucznej inteligencji przy wykonywaniu danej usługi.

Jeszcze niedawno takie zapisy mogły wydawać się czymś wyjątkowym. Dziś przestają być czymś nietypowym i coraz częściej pojawiają się w umowach o usługi kreatywne i technologiczne, od projektowania, takiego jak grafika, UX/UI, branding czy architektura, przez content, po development.

Wielu zamawiających traktuje dziś użycie AI jak „outsourcing” do zewnętrznego dostawcy: obawiają się ujawnienia tajemnicy przedsiębiorstwa, utraty kontroli nad danymi, ryzyk RODO oraz niepewności co do praw własności intelektualnej do rezultatów.

Na czym polega klauzula no-AI

Przez wyłączenie prawa do korzystania z narzędzi AI w umowach (najczęściej B2B) rozumie się postanowienia, które:

1) zakazują używania narzędzi AI (w całości albo w określonych etapach świadczenia).
2) dopuszczają AI tylko warunkowo (np. po uzyskaniu zgody zamawiającego, tylko w narzędziach wskazanych w umowie, tylko na danych niepoufnych).
3) nakładają ryzyka na wykonawcę tak, iż użycie AI staje się ekonomicznie nieopłacalne (np. rozbudowane gwarancje, kary umowne, indemnifikacja, obowiązki audytu).

AI w umowach w praktyce

W praktyce najważniejsze nie jest pytanie „zakazać czy nie”, ale jak sparametryzować zakaz/zgodę, by zapis był wykonalny, proporcjonalny i negocjacyjnie obronny.

Najbezpieczniejsze konstrukcje to zwykle modele mieszane.

Polegają one na zakazie używania AI przy pracy na danych poufnych lub danych osobowych, a jednocześnie dopuszczają korzystanie z narzędzi z białej listy. Chodzi o narzędzia spełniające określone warunki, np. dotyczące retencji danych, braku trenowania modeli na wprowadzanych treściach czy miejsca przetwarzania danych. Do tego dochodzą obowiązki ujawnienia korzystania z AI, dokumentowania tego procesu oraz odpowiedzialność wykonawcy.

Gdzie pojawia się ryzyko

W praktyce pojęcie AI w umowach obejmuje zwykle co najmniej trzy warstwy:

modele generatywne tworzące tekst, grafikę, audio lub wideo.
narzędzia wspomagające projektowanie (np. auto-layout, generowanie wariantów czy stylizacja)
narzędzia analityczne i automatyzujące (takie jak klasyfikacja czy smart search).

Im szerzej zdefiniowane jest AI w umowie, tym większe ryzyko, iż wykonawca naruszy jej postanowienia nieświadomie, np. korzystając z funkcji wbudowanych w popularne środowiska pracy.

To z kolei może prowadzić do sporów o nienależyte wykonanie zobowiązania i dochowanie należytej staranności. W polskim prawie ma to istotne znaczenie, ponieważ choć strony mają swobodę kształtowania stosunku prawnego, to sposób wykonania zobowiązania i standard staranności ocenia się zawsze w realiach konkretnego rodzaju usług.

Dlaczego to jest ważne

Właśnie dlatego w materiałach negocjacyjnych coraz większe znaczenie ma mapa AI, czyli jasne określenie, z jakich narzędzi można korzystać, przy jakich danych, z jaką retencją i gdzie dane są hostowane. W obszarach kreatywnych, zwłaszcza przy projektowaniu, dochodzi do tego jeszcze warstwa własności intelektualnej.

Zamawiający chce mieć pewność, iż rezultat nadaje się do bezpiecznego wykorzystania komercyjnego oraz iż wykonawca nie wprowadził do projektu materiału, którego pochodzenia nie da się udokumentować.

Typologia klauzul:

Zakaz całkowity

Klauzule zakazu absolutnego są najprostsze redakcyjnie („Wykonawca nie użyje AI”), ale najczęściej przegrywają z praktyką – bo nie rozróżniają danych i narzędzi oraz słabo reagują na fakt, iż wiele funkcji AI jest „wbudowanych” w standardowe oprogramowanie. Od strony egzekucyjnej, bez obowiązku dokumentowania lub audytu, taki zakaz łatwo staje się martwy.

Zakaz selektywny

Znacznie częściej spotyka się klauzule zakazu selektywnego, które:

zakazują używania AI na materiale zamawiającego (brief, pliki źródłowe, dane o produkcie, dane klientów), ale dopuszczają AI na materiale publicznym lub własnym wykonawcy;
zakazują używania AI na danych poufnych (w tym tajemnicy przedsiębiorstwa) i/lub danych osobowych;
dopuszczają stosowanie AI wyłącznie w modelu „on‑prem”/„private” lub w narzędziach, które gwarantują brak wykorzystania inputów do treningu i przewidywalną retencję.

Ten układ jest łatwiejszy do obrony, bo wiąże zakaz z konkretnymi ryzykami prawnymi: tajemnicą przedsiębiorstwa (ryzyko utraty poufności) i RODO (ryzyko naruszenia danych osobowych).

Klauzule IP-clean

W branżach kreatywnych coraz większe znaczenie mają też klauzule IP-clean. Zawierają one gwarancje i oświadczenia, iż rezultat nie narusza praw osób trzecich, iż wykonawca przenosi prawa albo udziela licencji w zakresie dopuszczalnym przez prawo oraz iż w razie roszczeń zapewni zamawiającemu ochronę, np. w formule indemnifikacji.

Tu pojawia się jednak istotny problem. Przy rezultatach wygenerowanych w dużym stopniu przez AI może powstać spór o to, czy w ogóle mamy do czynienia z utworem w rozumieniu prawa autorskiego. A jeżeli nie, to pojawia się pytanie, czy można skutecznie przenieść prawa autorskie. W praktyce bezpieczniejsze bywa więc oparcie relacji nie tylko na samym przeniesieniu praw, ale także na licencji do elementów twórczych, jeżeli one występują, oraz na odpowiedzialności kontraktowej za potencjalne naruszenie praw osób trzecich.

Klauzule transparentności i dowodu

Osobną kategorię stanowią klauzule transparentności i dowodu. Ich celem nie jest całkowity zakaz, ale zapewnienie zamawiającemu kontroli nad tym, czy i jak AI było używane. Mogą one wymagać ujawnienia korzystania z AI przed wykonaniem usługi albo po jej wykonaniu, prowadzenia rejestru używanych narzędzi, logów promptów czy śladów projektowych, oczywiście z zachowaniem zasad poufności. Czasem może pojawić się również obowiązek przedstawienia oświadczeń dotyczących pochodzenia danych treningowych.

Ryzyka i argumenty stron w negocjacjach

Ryzyka prawne i biznesowe, które zwykle stoją za klauzulami wyłączającymi AI, można ująć w cztery grupy.

1. Tajemnica przedsiębiorstwa
Jeżeli wykonawca wprowadza do narzędzia AI informacje techniczne/organizacyjne o wartości gospodarczej, organizacja może utracić argument, iż podjęła działania w celu utrzymania ich w poufności. To z kolei jest ustawowym elementem tajemnicy przedsiębiorstwa. Stąd typowy argument zamawiającego: „zakaz AI jest elementem systemu ochrony tajemnicy, podobnie jak NDA, kontrola dostępu i DLP”

2. RODO

Legalność przetwarzania, minimalizacja danych osobowych i bezpieczeństwo takich danych. Zamawiający, jako administrator, musi być w stanie wykazać zgodność z przepisami, czyli spełnić wymóg rozliczalności. Musi też ograniczyć wykorzystywane dane do niezbędnych, zapewnić ich integralność i poufność oraz przy korzystaniu z dostawców posiadać odpowiednie gwarancje i stosowne umowy powierzenia. o ile AI jest narzędziem zewnętrznym, najważniejsze staje się również pytanie o transfer danych osobowych do państw trzecich.

3. Prawo autorskie

Prawo autorskie chroni utwory jako przejawy działalności twórczej o indywidualnym charakterze. Zamawiający obawia się tu zasadniczo dwóch rzeczy. Po pierwsze, iż status rezultatu będzie sporny, czyli iż nie będzie jasne, czy mamy do czynienia z utworem, do którego można skutecznie przenieść prawa. Po drugie, iż w razie roszczeń osób trzecich, np. dotyczących podobieństwa, wykonawca nie będzie w stanie wykazać źródeł powstania utworu ani samego procesu twórczego.

4. Reputacja I ryzyko prawne

Nawet jeżeli dany przypadek nie stanowi high-risk AI w rozumieniu AI Act, rośnie ryzyko związane z oznaczaniem treści generowanych lub manipulowanych, np. deepfake’ów czy syntetycznych materiałów marketingowych. Widać to w intensywnych pracach nad kodeksem praktyk dotyczącym transparentności AI-generated content.

Wykonawcy z kolei podnoszą argument jakościowy i konkurencyjny: „bez AI nie dowieziemy terminów/budżetu”, a zakaz może obniżyć jakość iteracji lub podnieść koszty. To prowadzi do negocjacji kompensacyjnych: zamawiający dopuszcza AI, ale żąda większej odpowiedzialności, audytu, a choćby obniżenia ceny.

Orzecznictwo i stanowiska organów

W Polsce przez cały czas brakuje jednoznacznej linii orzeczniczej odnoszącej się wprost do klauzul zakazu użycia AI w umowach o projektowanie.

Prawa autorskie a twórczy wkład człowieka

W obszarze praw autorskich najważniejsze znaczenie ma unijne orzecznictwo TSUE dotyczące oryginalności i własnej twórczości intelektualnej autora. W sprawach takich jak Infopaq, Painer czy Cofemel Trybunał akcentował, iż ochrona prawnoautorska wiąże się z twórczymi wyborami i osobistym wkładem autora, zgodnie ze standardem author’s own intellectual creation.

Z perspektywy praktyki kontraktowej przekłada się to na ostrożność: jeżeli rezultat powstał w dużej mierze automatycznie, a udział człowieka był minimalny, ryzyko sporu o ochronę i zakres przenoszonych praw rośnie . choćby jeżeli w wielu przypadkach przez cały czas da się wykazać twórczy wkład wykonawcy na etapie selekcji, kompozycji, iteracji i redakcji.

Dane osobowe i korzystanie z AI

W obszarze danych osobowych i modeli AI obserwujemy z kolei szybkie przyrosty interpretacyjne. Urząd Ochrony Danych Osobowych publicznie informował o prowadzeniu sprawy dotyczącej skargi na ChatGPT oraz o zarzutach nieprzejrzystości i niezgodnego z prawem przetwarzania danych.

Równolegle Europejska Rada Ochrony Danych w opinii 28/2024 wskazała m.in., iż modele trenowane na danych osobowych nie zawsze mogą być uznane za anonimowe. Ocena ma charakter case-by-case, a ryzyka wydobycia lub regurgitacji danych powinny być brane pod uwagę.

Jest to szczególnie istotne dla klauzul dotyczących zakazu użycia AI na danych osobowych. choćby jeżeli wykonawca nie widzi danych w outputach, samo użycie danych jako inputu lub w procesie uczenia może generować ryzyko prawne i reputacyjne.

Dla klauzul kontraktowych oznacza to prostą konsekwencję. Zamawiający coraz częściej wymusza nie tyle zakaz AI, ile zakaz transferu danych poza EOG albo zakaz użycia narzędzi bez weryfikowalnych mechanizmów zgodności transferowej.

AI Act i ryzyko zmiany prawa

AI Act stopniowo wchodzi w życie. Część obowiązków już obowiązuje, a kolejne są doprecyzowywane, zwłaszcza w zakresie przejrzystości treści generowanych. (link), (link)

Dodatkowo, na dzień 27 marca 2026 r. realizowane są prace nad pakietem Digital Omnibus. Parlament Europejski popiera w nim przesunięcie części obowiązków dla systemów wysokiego ryzyka na 2 grudnia 2027 r. i 2 sierpnia 2028 r.

Jak zmniejszyć ryzyko?

Jeżeli chcesz tak przygotować umowy, aby korzystanie z AI przez wykonawców nie zwiększało ryzyka dla Twojego biznesu, możemy pomóc w:

przygotowaniu i opiniowaniu umów,
wprowadzeniu klauzul dotyczących AI w umowach, poufności, RODO i praw autorskich,
analizie ryzyk związanych z danymi i transferami,
wsparciu w negocjacjach z wykonawcami i dostawcami usług.

Wypełnij formularz kontaktowy na dole strony i umów się na bezpłatną konsultację.