Rozwiązania AI są wykorzystywane przez przedsiębiorstwa od lat. Począwszy od tak prostych programów jak Jasper, ClockWise czy Zapier po złożone algorytmy służące automatyzacji całych linii technologicznych, obsługi danych firmowych czy kadrowo-księgowych wszystkie tego rodzaju aplikacje mają wspólny mianownik – wykorzystują sztuczną inteligencję. Wraz z wejściem w życie rozporządzenia AI Act pojawiły się liczne wątpliwości dotyczące zapewnienia zgodności software’u z nowymi wymaganiami. Jak opracować umowę wdrożeniową na AI software i na co zwrócić uwagę w takim kontrakcie?
W jaki sposób określić przedmiot umowy wdrożeniowej na rozwiązania AI i obowiązki stron?
W zależności od tego jaką metodyką będą przeprowadzane prace informatyczne, specyfikacja wdrożeniowa może być mniej (w przypadku praktyk agile) lub bardziej (w przypadku praktyk waterfall) dokładna. W tworzeniu algorytmów AI stosuje się niekiedy również metodykę MLOps.
W każdym przypadku trzeba jednak wskazać, czego dokładnie oczekuje zamawiający wraz ze sprecyzowaniem kluczowych funkcjonalności programu. Kolejne etapy prac należy umieścić w tzw. backlogu, dzięki czemu działanie wykonawcy będzie transparentne.
Oprócz obowiązków wykonawcy w umowie należy określić również obowiązki zamawiającego, które będą wykraczały poza zapłatę wynagrodzenia. Co jeszcze ma znaczenie? Przede wszystkim będzie to:
- odbiór prac i ich akceptacja albo zgłoszenie poprawek;
- współpraca na etapie promptowania AI oraz przygotowywania bazy wiedzy na podstawie której będzie uczył się i rozwijał algorytm;
- przekazanie informacji niezbędnych do wdrożenia oprogramowania oraz wewnętrznej integracji systemów lub migracji danych między starszym a nowszym oprogramowaniem;
- zgłaszanie błędów i awarii, które pojawiają się na etapie testów lub już po oddaniu oprogramowania do użytku.
W opisaniu przedmiotu umowy zwykle pomaga tzw. Proof of Concept, czyli „próbna wersja aplikacji” o okrojonym interfejsie, które prezentuje główne funkcje oprogramownia. Jej przygotowanie może być w przypadku algorytmów AI łatwiejsze niż opracowanie klasycznej specyfikacji technicznej.
Zamów wzory umów IT!
-
Umowa na wdrożenie systemu informatycznego [PL/EN]
599,00 zł – 799,00 zł (z VAT) -
Promocja!
Pakiet wzorów umów dla software house’u/firmy IT [PL/EN]
1199,00 zł – 1999,00 zł (z VAT)Ostatnia najniższa cena przed zastosowaniem obniżki ceny: 1199,00 zł.
Czy oprogramowanie wykorzystujące AI podlega AI Act?
Określając przedmiot umowy trzeba wskazać, jakie techniki tworzenia sztucznej inteligencji zostaną wyposażone do projektowania AI. Ma to kluczowe znaczenie dla określenia wymagań formalnoprawnych względem systemu z punktu widzenia AI Act. Unijne rozporządzenie dzieli sztuczną inteligencję na trzy segmenty:
- Limited to No Risk – najmniej ryzykowne z aplikacji do których rozporządzenie się nie odnosi;
- High Risk AI – sztuczna inteligencja wysokiego ryzyka jest silnie ograniczona przez nowe przepisy. Należy spełnić cały szereg wymagań odnoszących się m.in. do zabezpieczeń, pewności danych czy wewnętrznej integralności software’u;
- Unacceptable Risk – systemy wdrażające praktyki niedopuszczalne, np. służące biometrycznej identyfikacji czy ocenie społecznej (tzw. social scoring).
Ustalenie jakiego rodzaju AI zamawia klient ma elementarne znaczenie z punktu widzenia nowych przepisów. Może się okazać, że – jeśli zostanie ono uznane za niedopuszczalne – nigdy nie ujrzy światła dziennego, ponieważ nie przejdzie procedury certyfikacyjnej.
Oprogramowanie AI a dane osobowe
Jeżeli zamówione przez firmę oprogramowanie wykorzystuje dane osobowe (np. jest to system CMS lub ERP), należy zadbać o zastosowanie przez dostawcę odpowiednich mechanizmów ochrony tych informacji. W szczególności może być to szyfrowanie lub anonimizacja danych. Jest to szczególnie istotne w oprogramowaniu typu SaaS, ponieważ dostawca będzie w tym przypadku jedynie procesorem danych osobowych. Administratorem zawsze pozostaje zamawiający.
Często to właśnie SaaS wydaje się lepszym rozwiązaniem, ponieważ pozwala na przeniesienie obowiązków związanych z utrzymaniem software’u na wykonawcę, w przeciwieństwie do oprogramowania on-premise.
Wypada wspomnieć, że AI Act nakłada rygorystyczne ograniczenia względem przetwarzania wrażliwych danych osobowych, jak np. dane rasowe, medyczne czy biometryczne.
Który model wynagrodzenia dla wykonawcy będzie lepszym rozwiązaniem – Time & Material czy Fixed Price?
W umowach z branży IT strony zwykle decydują się na zastosowanie jednego z dwóch modeli wynagrodzenia. Fixed Price polega na wypłacie z góry uzgodnionego wynagrodzenia za cały projekt lub jego część. Z kolei Time & Material zakłada, że wykonawca otrzyma wynagrodzenie odpowiadające rzeczywistym nakładom pracy.
Model Fixed Price oznacza:
- wyraźnie sprecyzowanie wymagań;
- większą motywację dla zespołu, który ma konkretne zadania do wykonania;
- klarownie zakreślone ramy czasowe pracy.
Niestety to także mniejsza elastyczność, jak również potencjalnie wyższe koszty dla zamawiającego.
Z kolei Time & Material wyróżnia się:
- większą elastycznością i transparentnością realizacji;
- niższymi kosztami;
- lepszym dopasowaniem produktu do potrzeb rynku;
- lepszą kontrolą tak wykonawcy, jak i zamawiającego nad projektem.
Nie jest oczywiście tak, że Time & Material będzie rozwiązaniem idealnym. Pociąga za sobą większe zaangażowanie klienta oraz brak sprecyzowanych ram czasowych dla realizacji projektu. W praktyce do umów wdrożeniowych AI zwykle jednak stosuje się wynagrodzenie Time & Material, ponieważ lepiej odpowiada ono na specyfikę metodyk zwinnych stosowanych najczęściej przy złożonych, skomplikowanych projektach.
W jaki sposób ma być trenowana sztuczna inteligencja?
Trening algorytmów może odbywać się z wykorzystaniem trzech grup informacji:
- zapewnionych przez software house;
- dostarczonych przez klienta (np. dane z poszczególnych działów firmy);
- przekazywanych jako feedback przez użytkowników korzystających z aplikacji.
Jeżeli zasoby aplikacji stanowią utwór (takie ryzyko istnieje m.in. w popularnym Chat GPT czy Dall-E wykorzystujących odpowiednio tekst i obrazy) należy zawrzeć w umowie klauzulę zgodnie z którą ich wykorzystanie jest zgodne z prawem i nie prowadzi do naruszenia monopolu prawnoautorskiego osoby trzeciej.
Za co właściwie odpowiada dostawca?
Dostawca oprogramowania opartego o AI ponosi odpowiedzialność za przygotowanie software’u, który będzie spełniał wymagania określone przepisami prawa oraz realizował wytycznym przyjęte na etapie analizy przedwdrożeniowej. Im dokładniej zostanie ona przeprowadzona, tym lepiej strony będą mogły przygotować specyfikację wdrożeniową i odpowiedzieć na pytanie, czy rezultat prac jest prawidłowy.
A co z sytuacjami, kiedy wykonawca nie może zrealizować swoich obowiązków z przyczyn nieleżących po jego stronie? W umowie należy wyszczególnić listę sytuacji, które wyłączają odpowiedzialność dostawcy oprogramowania. Może być to np.:
- wykorzystanie software’u w innym celu niż pierwotnie zakładano;
- brak współpracy ze strony zamawiającego, np. niedostarczenie danych treningowych;
- brak możliwości świadczenia usługi z uwagi na siłę wyższą;
- awaria lub brak dostępności łączy telekomunikacyjnych;
- działania zamawiającego, np. podanie hasła dostępowego przez pracownika osobie trzeciej;
- działania osób trzecich za które dostawca nie ponosi odpowiedzialności, np. atak hakerski.
Czy dostarczenie gotowego oprogramowania to koniec obowiązków wykonawcy?
Trzeba pamiętać, że oddanie software’u, nawet jeżeli zamawiający nie zgłasza do niego żadnych uwag i zastrzeżeń, zwykle nie wyczerpuje jeszcze obowiązków wykonawcy. Ważne jest, aby przyjął on na siebie również ciężar utrzymania dostarczonej aplikacji. Takie utrzymanie może mieć postać:
- zapewnienia nieprzerwanego dostępu do sprawnie działającego oprogramowania w określonym wymiarze czasowym. W zasadzie przypomina to umowę utrzymaniową SLA, ponieważ strony powinny dokładnie określić parametry wymaganej dostępności;
- obowiązku regularnej konserwacji software’u w określonych dniach i godzinach;
- wdrażania aktualizacji oprogramowania, dalszego trenowania baz danych;
- świadczenia usługi helpdesku.
Krajobraz AI jest w stosunkowo niewielkim stopniu regulowany przez prawo krajowe, dlatego przedsiębiorcy, którzy planują wdrożenie rozwiązania biznesowego bazującego na sztucznej inteligencji, powinni upewnić się, że spełniają wymagania AI Act. Jeśli chcesz mieć pewność, że oprogramowanie, które zamawiasz (lub to, które wykonujesz) jest zgodne z obowiązującymi regulacjami, możemy Ci pomóc!
Umowy wdrożeniowe na rozwiązania AI – Kancelaria Linke Kulicki
Kancelaria Linke Kulicki od lat świadczy kompleksowe wsparcie prawne w obszarze nowych technologii. Łączymy doskonałe zrozumienie przepisów ze znajomością przełomowych rozwiązań technologicznych, jak AI, Big Data, kryptowaluty czy blockchain.
Potrzebujesz wsparcia prawnika IT? Napisz do mnie!
Administratorem danych osobowych jest Linke Kulicki Education sp. z o.o. z siedzibą w Warszawie, ul. Ogrodowa 31 / lok. 54, 00-893 Warszawa, NIP 1182211564, KRS 0000852943 („Administrator”). Pana/Pani dane będą przetwarzane w celach marketingowych oraz w celu przekazywania Pani/Panu informacji handlowych drogą elektroniczną. Pana/Pani dane zostaną usunięte po odwołaniu zgody lub po zakończeniu prowadzenia działań marketingowych lub wysyłki informacji handlowych przez Administratora. Pana/Pani dane będą powierzane podmiotom trzecim na podstawie stosownych umów powierzenia przetwarzania danych osobowych w celu przechowywania danych osobowych na serwerze, skrzynce pocztowej oraz korzystania z usług wsparcia IT. Podstawą przetwarzania danych jest zgoda. W związku z przetwarzaniem danych osobowych ma Pan/Pani prawo do dostępu do swoich danych, sprostowania danych osobowych, usunięcia danych osobowych, wniesienia sprzeciwu, przenoszenia danych, ograniczenia przetwarzania, odwołania zgody, dostępu do informacji jakie dane Administrator przetwarza, złożenia skargi do Prezesa Urzędu Ochrony Danych Osobowych. Przedmiotowe uprawnienia można zrealizować poprzez kontakt z Administratorem na adres e-mail: biuro@linkekulicki.pl. Pani/Pana dane będą przekazywane poza UE oraz nie będą wykorzystywane do zautomatyzowanego podejmowania decyzji ani profilowania. Administrator potrzebuje Pana/Pani Danych Osobowych aby zrealizować wskazany cel przetwarzania, podanie danych osobowych jest dobrowolne jednak w przeciwnym wypadku podane cele nie będą mogły być zrealizowane.