• wpml-ls-flag

Standardy kodowania przy pomocy AI

W Sailing Byte zwracamy szczególną uwagę na narzędzia, z których korzystamy. Jesteśmy świadomi postępu technologicznego, ale też zawsze bierzemy pod uwagę bezpieczeństwo danych klientów oraz aspekty biznesowe. Tylko takie podejście jest spójne z naszą filozofią partnerstwa w projektach. Z coraz szerszym wprowadzaniem AI na rynku postanowiliśmy wprowadzić spójne zasady co do jego wykorzystania w Sailing Byte.

Podstawowe zasady kodowania

  1. Proponujemy naszym Klientom AI tylko tam, gdzie ma to sens strategiczny lub biznesowy lub stanowi faktyczną wartość dla użytkownika. Jeśli w Twoim projekcie zastosowanie AI nie ma sensu, powiemy Ci o tym. (po wprowadzeniu tagów AI do sekcji case studies: „Zobacz jak zastosowaliśmy AI u naszych obecnych klientów i jaką to dało im wartość”)
  2. Używamy wyłącznie narzędzi AI, co do których nie ma wątpliwości, że zachowujemy prawa do „wejścia” i do „wyjścia” tego, co jest przekazywane do modeli. Tylko takie podejście gwarantuje, że możemy bezpiecznie przekazywać wszelkie autorskie prawa majątkowe do całego kodu naszym Klientom zgodnie z zapisami w umowie.
  3. Używamy wyłącznie narzędzi AI, które nie uczą się na przekazywanym kodzie i danych. Tylko takie podejście zapewnia pełną własność kodu i ograniczenie jego potencjalnego wykorzystania przez third-party.
  4. Nie przekazujemy żadnych danych użytkowników do AI w procesie programowania. Należy jednak rozróżnić to od przekazywania danych użytkowników do AI w zaimplementowanych funkcjonalnościach na systemach produkcyjnych.
  5. Używamy wyłącznie dostawców spełniających standardy GDPR. To pokrywa standardy prywatności danych zarówno w EU jak i w USA.
  6. To my – Sailing Byte – odpowiadamy za błędy wygenerowanego kodu przez AI, ponieważ jesteśmy specjalistami, i to na nas spoczywa obowiązek zachowania należytej staranności w tym zakresie. Nie zrzucimy na Ciebie – jako Klienta – odpowiedzialności za wyniki współpracy z narzędziami AI, które sami wybraliśmy.
  7. We wszystkich wycenach i propozycjach uwzględnione jest już wykorzystanie narzędzi AI do programowania. Wiemy które narzędzia oraz w jaki sposób mogą pomóc w wykonaniu Twojego projektu.
  8. Tam, gdzie prywatność kodu lub wykorzystanie szczególnego lokalnego modelu jest kluczowe, mamy możliwość uruchomienia dedykowanego prywatnego modelu tylko dla Ciebie. Jednak w takim wypadku koszt utrzymania tego narzędzia pokrywasz Ty i zostanie on doliczony do faktury.
  9. Tam, gdzie zachowanie modelu musi być konkretnie ukierunkowane, mamy możliwość wytrenowania modelu dla Ciebie. W tym celu będziemy potrzebować znaczącej ilości danych, ale takie podejście znacznie poprawia wyniki modelu. Jeśli jesteś zainteresowany tym rozwiązaniem, daj nam znać.
  10. Powyższe punkty i osobne ustalenia mogą być wymagane, jeśli Ty – jako nasz Klient – sam wybierasz narzędzia AI z którymi mamy współpracować. W takim wypadku żaden z powyższych punktów może nie mieć zastosowania, a Ty – jako nasz Klient – odpowiadasz za wybrane narzędzie AI.

Przygotowaliśmy zestawienie dostawców rozwiązań opartych na sztucznej inteligencji oraz ich zgodności z przepisami, aby pomóc zarówno Państwu, jak i nam dostrzec różnice między poszczególnymi dostawcami.

Przekazywanie danych do AI

Poziom 0 — dane nieosobowe – GDPR nie dotyczy – stosujemy providerów spełniających TYLKO powyższe wymagania, i preferowany ZDR. Nie wymaga się żadnych dodatkowych zgód w celu użycia AI. Przykładowe dane:

  • Kod źródłowy, architektura systemów
  • Dokumenty techniczne, logi bez identyfikatorów
  • Dane finansowe firmy (np. przychody, koszty na poziomie spółki)
  • Dane publiczne firmy (KRS, NIP, adres siedziby)
  • Umowy B2B gdzie stroną jest firma, nie osoba fizyczna
  • Wewnętrzne strategie, prezentacje bez danych osobowych

Poziom 1 — dane osobowe „zwykłe” (Art. 6 GDPR) – nie wysyłamy. Będziemy przetwarzać tylko za wyraźną zgodą i chęcią Klienta (na przykład jako część systemu). Wymaga DPA z każdym procesorem (bramkami, balancerami, dostawcami modeli). Znaczenie ma miejsce przetwarzania. Przykładowe zalecane opcje: OpenRouter Enterprise z EU Lock, lub Cortecs, lub Eden AI

Kryterium: dane, które identyfikują lub mogą zidentyfikować osobę fizyczną. Przykładowe dane:

  • Imię + nazwisko pracownika, email służbowy
  • Dane kontaktowe klientów (osoby fizyczne, B2C)
  • Logi z IP użytkowników, treść maili, ticketów supportu z danymi klienta
  • Faktury wystawione osobom fizycznym (B2C)
  • CV, dane kadrowe pracowników

Poziom 2 — dane wrażliwe „szczególne kategorie” (Art. 9 GDPR) – nie wysyłamy. Będziemy przetwarzać tylko za wyraźną zgodą i chęcią Klienta oraz wyłącznie w uzasadnionych przypadkach (na przykład jako część systemu). Wymaga dodatkowych ustaleń odnośnie providera oraz dodaktowych dokumentów. Co do zasady zakaz przetwarzania bez wyraźnej podstawy prawnej. Przykładowy zalecany stack to LiteLLM + dostawca z hostingiem stricte w EU (np. AWS Bedrock In Region, OVH, Azure Data Zone). Wymagany DPIA (Data Protection Impact Assessment).

  • Stan zdrowia, choroby, wyniki badań
  • PESEL, numer dowodu osobistego
  • Przynależność polityczna, religijna, związkowa
  • Dane o karalności
  • Dane genetyczne