Skip to content

Αρθρογραφία

Home
Εταιρείες
Χρήσιμα​
Τεχνητή Νοημοσύνη & Επιχείρηση – Νομικό Πλαίσιο

Τεχνητή Νοημοσύνη & Επιχείρηση – Νομικό Πλαίσιο

Νομική υποστήριξη σε Τεχνητή Νοημοσύνη & Επιχείρηση - KSTLAW

Η χρήση συστημάτων Τεχνητής Νοημοσύνης (ΤΝ) στην επιχειρηματική πρακτική, ρυθμίζεται σήμερα από ένα πλέγμα ευρωπαϊκών και εθνικών κανόνων δικαίου, που συχνά επικαλύπτονται.

Ειδικότερα, στον Ευρωπαϊκό Χώρο ισχύουν:

Στο εσωτερικό δίκαιο, πλέον των ανωτέρω, εφαρμόζονται και 1. το άρθρο 6 του Ν. 2251/1994 (ευθύνη παραγωγού ελαττωματικού προϊόντος) και 2. ο Ν. 4624/2019 (ενσωμάτωση GDPR στην ελληνική έννομη σφαίρα).

Η Εμπορική Σύμβαση Με AI Provider — Κρίσιμα Ζητήματα

Η σύμβαση παροχής AI υπηρεσιών μέσω διεπαφής προγραμματισμού εφαρμογών (API – Application Programming Interface), λογισμικού ως υπηρεσία (SaaS – Software as a Service) ή custom ανάπτυξης, αποτελεί μικτή σύμβαση, ήτοι ενσωματώνει στοιχεία σύμβασης έργου (ΑΚ 681), σύμβασης υπηρεσιών (ΑΚ 713) και, στον βαθμό που το AI σύστημα παρέχεται ως λογισμικό, σύμβασης άδειας χρήσης.

Η υπαγωγή σε συγκεκριμένο τύπο δεν αποτελεί απλό ερμηνευτικό ζήτημα, αλλά ουσιαστικό καθώς από αυτό εξαρτάται το εφαρμοστέο νομικό πλαίσιο.

Αδειοδότηση και Κυριότητα Αποτελεσμάτων ΤΝ («AI Outputs»)

Οι όροι χρήσης των κυριότερων AI providers (λ.χ. OpenAI, Google, Anthropic κλπ) κατά κανόνα ορίζουν ότι η κυριότητα των αποτελεσμάτων (outputs) ανήκει στον χρήστη, με ταυτόχρονη παραχώρηση, από τον χρήστη στον provider, ευρείας υπο-άδειας («sub-license») για σκοπούς βελτίωσης του μοντέλου.

Η παρακολούθηση αυτής της ρήτρας έχει ιδιαίτερη σημασία στις επιχειρηματικές (B2B) συμβάσεις.

Τούτο διότι, εφόσον τα δεδομένα εισόδου (inputs) της επιχείρησης (πχ ερωτήματα, δεδομένα, έγγραφα κλπ) τροφοδοτούν την εκπαίδευση του μοντέλου, αυτά είναι δυνατόν να αποτελέσουν αντικείμενο αξίωσης τρίτου που διεκδικεί πνευματικά δικαιώματα επί του εκπαιδευτικού υλικού.

Στο Ελληνικό δίκαιο, η πνευματική ιδιοκτησία ενός AI-generated κειμένου ή άλλου δημιουργήματος εξαρτάται από την ύπαρξη πρωτότυπης ανθρώπινης δημιουργικής συνεισφοράς, κατά το άρθρο 1 παρ. 1 Ν. 2121/1993.

Επομένως, αμιγώς AI-generated αποτελέσματα, χωρίς επεξεργασία ή καθοδήγηση που συνιστά πρωτότυπη επιλογή, δεν προστατεύονται υπέρ του χρήστη.

Ωστόσο, το ζήτημα παραμένει ανοιχτό προς ρύθμιση τόσο σε ελληνικό όσο σε ευρωπαϊκό επίπεδο (βλ. αναλυτικά για την πνευματική ιδιοκτησία λογισμικού και για τη νομολογία του Αρείου Πάγου επί πνευματικής ιδιοκτησίας).

Εμπιστευτικότητα Δεδομένων Εισόδου και Προστασία Δεδομένων

Κάθε πληροφορία που εισάγεται ως εντολή («prompt») σε σύστημα AI (πχ στρατηγικά δεδομένα, νομικά κείμενα, οικονομικά στοιχεία) αποτελεί δυνητικά εμπορικό απόρρητο κατά την Οδηγία 2016/943/ΕΕ.

Η αδιάκριτη χρήση δημόσιων AI εργαλείων χωρίς εταιρική συμφωνία (enterprise-tier agreement) δημιουργεί σοβαρά ζητήματα νομικής συμμόρφωσης για την επιχείρηση.

Τούτο διότι, εφόσον τα δεδομένα εισόδου περιλαμβάνουν προσωπικά δεδομένα τρίτων, η διαβίβασή τους προς τον AI provider προϋποθέτει: (i) νόμιμη βάση επεξεργασίας κατά το άρθρο 6 GDPR, (ii) σύναψη σύμβασης επεξεργαστή (Data Processing Agreement, DPA) κατά το άρθρο 28 GDPR και (iii) έλεγχο του τόπου επεξεργασίας όταν ο διακομιστής (server) εδρεύει εκτός ΕΟΧ, καθώς διαβιβάσεις προς τρίτες χώρες ρυθμίζονται από τα άρθρα 44–49 GDPR.

Αποζημίωση & Αποκλεισμός Ευθύνης

Οι τυπικοί όροι χρήσης των AI providers περιλαμβάνουν ρήτρες αποποίησης εγγυήσεων («disclaimer of warranties») και περιορισμού ευθύνης («limitation of liability») που αναπαράγουν τις νομοθετικές προβλέψεις του αμερικανικού δικαίου.

Σε πολλές περιπτώσεις, οι παραπάνω ρήτρες προσκρούουν στην Οδηγία 93/13/ΕΟΚ (αθέμιτες ρήτρες) και στο άρθρο 332 ΑΚ που απαγορεύει τον εκ των προτέρων αποκλεισμό ευθύνης.

Ενδεικτικά, η απεριόριστη ρήτρα «no warranty» σε B2B σύμβαση, ελέγχεται ως προς τη νομιμότητα και καταχρηστικότητά της, ήτοι ως αντίθετη με τις γενικές αρχές του ελληνικού Αστικού Δικαίου.

Τέλος, ιδιαίτερη σημασία έχει η ρήτρα αποζημίωσης για ζητήματα πνευματικής ιδιοκτησίας («IP indemnification»).

Τούτο διότι, η επιχείρηση θα πρέπει να διασφαλίζει ότι ο AI provider αναλαμβάνει να αποζημιώσει τον deployer σε περίπτωση που τα AI outputs αποτελέσουν αντικείμενο αξιώσεων τρίτων για παραβίαση πνευματικών δικαιωμάτων. Η ρήτρα αυτή έχει ήδη υιοθετηθεί από ορισμένους providers (πχ Microsoft Copilot Copyright Commitment) αλλά με σημαντικές συμβατικές προϋποθέσεις που χρειάζεται να ελέγχονται στα πλαίσια της οριοθέτησης της ευθύνης (πχ API licensing).

Αστική Ευθύνη Από Συστήματα ΤΝ
Εξωσυμβατική Ευθύνη

Η αδικοπρακτική ευθύνη, κατά το άρθρο 914 ΑΚ αλλά και την πάγια νομολογία (ενδεικτικά: ΑΠ 1261/2025), προϋποθέτει τα εξής:

  • α) παράνομη πράξη ή παράλειψη,
  • β) υπαιτιότητα,
  • γ) ζημία και
  • δ) αιτιώδη σύνδεσμο μεταξύ πράξης και ζημίας.

Η εφαρμογή των παραπάνω σε ζημίες από AI δημιουργεί συγκεκριμένα ερμηνευτικά ζητήματα. Ειδικότερα:

Ως προς το παράνομο της πράξης: Ζήτημα ανακύπτει εάν η έκδοση λανθασμένου ή παραπλανητικού αποτελέσματος ΤΝ αποτελεί παράνομη πράξη. Σύμφωνα με την AI Act, οι deployers υποχρεούνται να εξασφαλίζουν «επαρκή ανθρώπινη εποπτεία». Επομένως η μη εφαρμογή της εποπτείας αυτής μπορεί να στοιχειοθετήσει αμέλεια.

Ως προς τον αιτιώδη σύνδεσμο: Τα deep learning μοντέλα λειτουργούν ως «μαύρα κουτιά» (black-box). Επομένως η πρόσβαση στους εσωτερικούς τους μηχανισμούς για αποδεικτικούς σκοπούς είναι πρακτικά αδύνατη και, κατά συνέπεια, το ίδιο αδύνατη είναι και η απόδειξη της υπαιτιότητας.

Συμβατική Ευθύνη

Κατά το άρθρο 330 ΑΚ, ο οφειλέτης ενέχεται, αν δεν ορίστηκε κάτι άλλο, για κάθε αθέτηση της υποχρέωσής του από δόλο ή αμέλεια, δική του ή των νόμιμων αντιπροσώπων του. Αμέλεια υπάρχει όταν δεν καταβάλλεται η επιμέλεια που απαιτείται στις συναλλαγές.

Περαιτέρω, ο οφειλέτης απαλλάσσεται αν αποδείξει ότι η αδυναμία οφείλεται σε λόγους ανωτέρας βίας. Κατά πάγια νομολογία, δε, ως ανωτέρα βία νοείται κάθε αντικειμενικά απρόβλεπτο και αναπότρεπτο γεγονός.

Στην περίπτωση του AI deployer που παρέχει υπηρεσίες με ενσωματωμένη χρήση ΤΝ, η αστοχία του AI αποτελεί αστοχία του ίδιου και όχι τρίτου. Ο deployer επιλέγει, ενσωματώνει και ελέγχει το AI σύστημα, ασκώντας έλεγχο επί της σφαίρας εκτέλεσης της παροχής. Επομένως, η επίκληση αστοχίας του AI ως λόγος ανωτέρας βίας είναι, ερμηνευτικά, απαράδεκτη.

Η Νέα Οδηγία 2024/2853/ΕΕ για την Ευθύνη Προϊόντων

Η Οδηγία 2024/2853/ΕΕ, που εκδόθηκε τον Οκτώβριο 2024 και αντικαθιστά την Οδηγία 85/374/ΕΟΚ, εισάγει ρητά το λογισμικό και τα συστήματα ΤΝ στην έννοια του «προϊόντος», λύνοντας, με τον τρόπο αυτό, την αμφισβήτηση περί υπαγωγής του λογισμικού στο ευρωπαϊκό καθεστώς ευθύνης παραγωγού.

Οι κρίσιμες καινοτομίες που αφορούν ειδικά τα AI συστήματα, αφορούν:

Αντιστροφή βάρους απόδειξης

Σε περίπτωση όπου ο ζημιωθείς αποδείξει ότι η πρόσβαση στα τεχνικά στοιχεία λειτουργίας του συστήματος είναι αδύνατη ή δυσανάλογα δυσχερής, τεκμαίρεται η ύπαρξη ελαττώματος. Η ρύθμιση αυτή αντιμετωπίζει άμεσα το πρόβλημα του «μαύρου κουτιού».

Ευθύνης για ενημερώσεις/αναβαθμίσεις (updates)

Εφόσον λογισμικό ή AI μοντέλο τροποποιείται μετά τη διάθεσή του, το ελάττωμα που προέκυψε λόγω της τροποποίησης, αποδίδεται στον κάτοχο του ελέγχου του συστήματος.

Διεύρυνση υποκείμενων ευθύνης

Έχει προβλεφθεί ότι ευθύνεται και ο deployer όταν τροποποιεί το σύστημα ή όταν θέτει αυτό σε κυκλοφορία με τη δική του επωνυμία.

GDPR Και Αυτοματοποιημένη Λήψη Αποφάσεων

Το άρθρο 22 GDPR παρέχει στα φυσικά πρόσωπα το δικαίωμα να μην υπόκεινται σε αποφάσεις που βασίζονται αποκλειστικά σε αυτοματοποιημένη επεξεργασία.

Η παραπάνω διάταξη δεν αφορά αποκλειστικά μεγάλες εταιρείες αλλά, αντίθετα, εμπίπτει στο πεδίο εφαρμογής οποιαδήποτε επιχείρηση χρησιμοποιεί AI σύστημα (πχ για αξιολόγηση αιτήσεων εργαζομένων, αυτοματοποιημένη τιμολόγηση κλπ).

Εξαιρέσεις, σύμφωνα και με τις Κατευθυντήριες Γραμμές EDPB για αυτοματοποιημένη λήψη αποφάσεων, επιτρέπονται:

  • όταν η αυτοματοποιημένη απόφαση είναι αναγκαία για σύμβαση,
  • όταν βασίζεται σε ρητή συγκατάθεση και
  • όταν επιτρέπεται από εθνικό ή ενωσιακό δίκαιο.

Ωστόσο, και στις παραπάνω περιπτώσεις απαιτείται από τον υπεύθυνο επεξεργασίας να λαμβάνει τα αναγκαία μέτρα για ανθρώπινη επανεξέταση και να παρέχει στο υποκείμενο τη δυνατότητα άσκησης του δικαιώματος της αντίρρησης.

Η AI Act ενισχύει τις απαιτήσεις διαφάνειας, υποχρεώνοντας τους deployers να ενημερώνουν ρητά τα φυσικά πρόσωπα για τη χρήση αυτοματοποιημένου συστήματος και τους τρόπους ανθρώπινης εποπτείας. Η συγκεκριμένη ρύθμιση απλώς συμπληρώνει τις υποχρεώσεις ενημέρωσης των άρθρων 13 και 14 GDPR.

Πνευματικά Δικαιώματα Και Αποτελέσματα ΤΝ

Κατά την κρατούσα ευρωπαϊκή ερμηνεία, η νομική προστασία βάσει πνευματικής ιδιοκτησίας (Οδηγία 2001/29/ΕΚ) προϋποθέτει δημιούργημα που αποτελεί πρωτότυπη πνευματική δημιουργία του ανθρώπου – δημιουργού.

Τα παραπάνω προκύπτουν από την νομολογία του ΔΕΕ (C-5/08, Infopaq International A/S κατά Danske Dagblades Forening), η οποία τονίζει τον ανθρώπινο χαρακτήρα της δημιουργίας ως αναγκαία προϋπόθεση.

Επομένως, αμιγώς AI-generated προϊόν (κείμενο, έργο ή εικόνα), χωρίς καθοριστική ανθρώπινη επιλογή κατά τη διαδικασία δημιουργίας, ΔΕΝ θεμελιώνει προστασία πνευματικής ιδιοκτησίας.

Ο αντίστροφος κίνδυνος (δλδ η παραβίαση πνευματικών δικαιωμάτων τρίτων μέσω AI outputs) αντιμετωπίζεται αντιστοίχως. Δεδομένου ότι τα AI μοντέλα εκπαιδεύτηκαν σε τεράστια δεδομένα πνευματικώς προστατευόμενου υλικού, η νομιμότητα της εκπαίδευσης αυτής αποτελεί ήδη αντικείμενο εκκρεμών νομικών ερίδων παγκοσμίως.

Σημειωτέον ότι η Οδηγία 2019/790/ΕΕ, εισάγει εξαίρεση για εξόρυξη κειμένου και δεδομένων (text and data mining, TDM), αλλά με δυνατότητα εξαίρεσης (opt-out) από τους κατόχους δικαιωμάτων.

Επομένως, για εταιρείες και επιχειρήσεις, τούτο σημαίνει ότι η αξιοποίηση AI-generated outputs μπορεί να εγείρει «κρυφές» αξιώσεις τρίτων, οι οποίες είναι πρακτικά αδύνατον να εντοπιστούν εκ των προτέρων.

Πρακτικές Επισημάνσεις & Checklist
Για Επιχειρήσεις – Χρήστες AI (Deployers)

Συμβατικός έλεγχος: Πριν από κάθε χρήση AI εργαλείου, πρέπει να μελετηθούν οι όροι παροχής υπηρεσίας ως προς την κυριότητα των outputs, την εμπιστευτικότητα αυτών, τα DPA κατά GDPR και τα IP indemnification.

AI Inventory: Πρέπει να υπάρχει πλήρης καταγραφή AI συστημάτων της επιχείρησης και, μάλιστα, να κατηγοριοποιηθούν αυτά βάσει κινδύνου AI Act.

Ανθρώπινη εποπτεία: Εταιρείες και επιχειρήσεις οφείλουν να διαμορφώσουν εσωτερική πολιτική επανεξέτασης AI outputs πριν από κρίσιμες αποφάσεις, κυρίως στα πεδία πρόσληψης, πιστοδότησης, νομικής ή φορολογικής ανάλυσης και εφαρμογής.

Άρθρο 22 GDPR: Πριν τη αξιοποίηση AI εφαρμογών για αποφάσεις που αφορούν φυσικά πρόσωπα, πρέπει να προηγηθεί έλεγχος για την υπαγωγή στο άρθρο 22, ως επίσης και ποια τυχόν εξαίρεση εφαρμόζεται, καθώς και αν έχει παρασχεθεί η απαιτούμενη ενημέρωση.

Τεκμηρίωση: Βέλτιστη πρακτική αποτελεί η διατήρηση αρχείου των AI-generated αποτελεσμάτων που αξιοποιήθηκαν για επιχειρηματικές αποφάσεις.

Για AI Providers και Startups

Τεχνική τεκμηρίωση: Συνίσταται η κατάρτιση λεπτομερούς τεκμηρίωσης τόσο του ίδιου του μοντέλου, όσο και των δεδομένων εκπαίδευσης και των περιορισμών αυτού, πριν από τη διάθεσή του.

Ορισμός σκοπού χρήσης «(intended use»): Οι όροι χρήσης της υπηρεσίας πρέπει να ορίζουν ρητά το σκοπό της χρήσης αυτή. Η χρήση εκτός σκοπού μεταθέτει την ευθύνη στον deployer κατά το άρθρο 25 AI Act και, επομένως, καλύπτει νομικά τον Provider.

Αποζημιώσεις IP B2B: Οι εμπορικές συμβάσεις οφείλουν να προβλέπουν το ποιος φέρει το κόστος αξιώσεων πνευματικής ιδιοκτησίας τρίτων, που προκλήθηκαν από outputs του μοντέλου.

Νέα PLD compliance: Έλεγχος αν το μοντέλο που χρησιμοποιείται εμπίπτει στην Οδηγία 2024/2853 και ποιες υποχρεώσεις τυχόν αντιστρέφουν το βάρος απόδειξης.

Το Δικηγορικό μας Γραφείο, για περισσότερα από 15 χρόνια εξειδικεύεται στο Εταιρικό και Εμπορικό Δίκαιο. Επικοινωνήστε μαζί μας για σας καθοδηγήσουμε και να σας συμβουλεύσουμε σε κάθε θέμα σχετικά με την Τεχνητή Νοημοσύνη στην Επιχείρηση.