RODO a AI w firmie: co wolno, czego się strzec, jak się zabezpieczyć

10 min czytaniaMateusz Sawka

“A co z RODO?” To pytanie słyszę przy każdej rozmowie o wdrażaniu AI w firmie. I słusznie. Ochrona danych osobowych to nie tylko wymóg prawny. To realne ryzyko biznesowe: kary sięgające 20 milionów euro lub 4% rocznego obrotu.

Ale strach przed RODO nie powinien paraliżować. Można legalnie i bezpiecznie używać AI w firmie. Trzeba tylko wiedzieć, jak. Ten artykuł tłumaczy to bez prawniczego żargonu, w języku właściciela firmy.

Dlaczego właściciele firm boją się AI i RODO (i mają częściowo rację)

Strach ma trzy źródła:

  • Niepewność prawna. RODO powstało w 2018, kiedy ChatGPT nie istniał. Regulacje dopiero nadganiają technologię. Unijny AI Act wszedł w życie w 2024, ale pełne przepisy wdrażane są stopniowo do 2027.
  • Głośne kary. Włochy zablokowały ChatGPT w 2023. Google dostał karę 50 mln euro od CNIL. To budzi lęk.
  • Brak jasnych wytycznych. UODO (polski urząd ochrony danych) nie wydał jeszcze szczegółowych wytycznych dotyczących użycia AI w firmach MŚP.

Ale brak wytycznych nie oznacza zakazu. Oznacza, że musisz działać rozsądnie, dokumentować decyzje i stosować istniejące zasady RODO do nowego narzędzia.

Co się dzieje z Twoimi danymi w ChatGPT, Gemini i Copilot

Zanim przejdziemy do zasad, musisz zrozumieć, jak te narzędzia działają “od kuchni”. Po ludzku:

ChatGPT (darmowy i Plus)

  • Domyślnie: Twoje rozmowy mogą być użyte do treningu modelu
  • Możesz to wyłączyć w ustawieniach (Data Controls → Improve the model → Off)
  • Nawet po wyłączeniu, dane są przechowywane przez 30 dni “ze względów bezpieczeństwa”
  • Serwery w USA. Dane opuszczają UE.

ChatGPT Team / Enterprise

  • Dane NIE są używane do treningu modelu
  • Izolacja danych między organizacjami
  • SOC 2 Type II compliance
  • Możliwość DPA (Data Processing Agreement, umowa powierzenia przetwarzania)
  • Wciąż serwery w USA, ale z odpowiednimi zabezpieczeniami prawnymi

Microsoft 365 Copilot

  • Dane przetwarzane w ramach Twojej organizacji Microsoft 365
  • Serwery UE (jeśli tak skonfigurowałeś M365)
  • Dane nie opuszczają Twojej instancji M365
  • DPA już wbudowane w umowę Microsoft
  • Najlepsza opcja pod kątem RODO dla firm już używających Microsoft

Google Gemini (Workspace)

  • W wersji Workspace: dane nie są używane do treningu
  • Dane w UE (jeśli region ustawiony na Europę)
  • DPA dostępne w ramach umowy Google Workspace

Czego ABSOLUTNIE nie wpisywać do narzędzi AI

To najważniejsza sekcja tego artykułu. Niezależnie od tego, jakiego narzędzia używasz, nigdy nie wpisuj:

  • Numerów PESEL, NIP, REGON klientów (chyba że masz DPA z dostawcą)
  • Danych osobowych klientów (imię, nazwisko, adres, telefon, email w kontekście identyfikowalnym)
  • Danych medycznych (wyniki badań, diagnozy, historia leczenia)
  • Danych finansowych (numery kont, karty kredytowe, salda)
  • Tajemnic handlowych (receptury, strategie cenowe, umowy z kluczowymi klientami)
  • Haseł i danych logowania

Co MOżESZ bezpiecznie wpisywać:

  • Teksty marketingowe, drafty maili (bez danych osobowych)
  • Ogólne pytania o procesy biznesowe
  • Prośby o podsumowanie treści (po usunięciu danych osobowych)
  • Generowanie szablonów dokumentów
  • Analizy trendów rynkowych
  • Drafty prezentacji

Jak legalnie wdrożyć AI z poszanowaniem RODO: 7 kroków

Krok 1: Wybierz narzędzie z odpowiednim poziomem bezpieczeństwa

Nie każde narzędzie AI jest równe. Dla firmy przetwarzającej dane osobowe minimalne wymaganie to ChatGPT Team, Microsoft 365 Copilot lub Google Gemini Workspace. Wersja darmowa ChatGPT NIE nadaje się do pracy z danymi klientów.

Krok 2: Podpisz umowę powierzenia przetwarzania (DPA)

DPA to dokument wymagany przez RODO, gdy zewnętrzny podmiot przetwarza dane osobowe w Twoim imieniu. Dobre narzędzia AI (ChatGPT Enterprise, M365 Copilot) oferują DPA standardowo. Sprawdź, czy masz ją podpisaną.

Krok 3: Określ podstawę prawną przetwarzania

RODO wymaga, żebyś miał podstawę prawną do przetwarzania danych. W kontekście AI najczęściej to:

  • Prawnie uzasadniony interes (art. 6 ust. 1 lit. f). Automatyzacja obsługi klienta, usprawnienie wewnętrznych procesów.
  • Wykonanie umowy (art. 6 ust. 1 lit. b). Jeśli AI pomaga Ci realizować usługę dla klienta.
  • Zgoda (art. 6 ust. 1 lit. a). Jeśli klient wyraźnie zgadza się na przetwarzanie jego danych przez AI (np. chatbot na stronie).

Krok 4: Stwórz wewnętrzną politykę użycia AI

Dokument (5-10 stron) dla Twoich pracowników opisujący:

  • Jakie narzędzia AI są dozwolone w firmie
  • Jakie dane można, a jakich nie można przetwarzać
  • Procedura anonimizacji danych przed wpisaniem do AI
  • Kto jest odpowiedzialny za nadzór nad użyciem AI
  • Procedura zgłaszania incydentów

Krok 5: Przeszkol zespół

Polityka bez szkolenia to papier. Każdy pracownik używający AI musi wiedzieć, czego nie wpisywać. Szkolenie nie musi być długie: 30-60 minut z przykładami i ćwiczeniami.

Krok 6: Przeprowadź ocenę ryzyka (DPIA)

Jeśli przetwarzasz dane osobowe na dużą skalę lub dane wrażliwe, RODO wymaga Data Protection Impact Assessment (DPIA). Dla małej firmy używającej ChatGPT Team do draftingów maili: DPIA najprawdopodobniej nie jest wymagane. Dla firmy przetwarzającej dane medyczne pacjentów: tak, jest.

Krok 7: Dokumentuj wszystko

RODO działa na zasadzie “accountability” (rozliczalności). Musisz umieć udowodnić, że podjąłeś rozsądne kroki. Dokumentuj: jakie narzędzia używasz, dlaczego, jakie zabezpieczenia stosujęsz, kiedy przeszkoliłeś zespół.

Narzędzia AI przyjazne RODO dla polskich firm

NarzędzieDPADane w UENie trenuje na danychDla firmy z
ChatGPT EnterpriseTakNie (USA)Tak50+ pracowników
ChatGPT TeamTakNie (USA)Tak5-50 pracowników
Microsoft 365 CopilotTak (w umowie M365)Tak (region UE)TakKażda (jeśli używa M365)
Google Gemini WorkspaceTak (w umowie GW)Tak (region UE)TakKażda (jeśli używa Google)
Claude (Anthropic) TeamTakNie (USA)Tak10+ pracowników

5 pytań do konsultanta AI o RODO

Jeśli rozważasz zatrudnienie konsultanta AI, zadaj mu te pytania:

  1. “Gdzie będą przetwarzane moje dane?” Dobra odpowiedź: konkretna lokalizacja serwerów. Zła: “w chmurze”.
  2. “Czy moje dane będą używane do treningu modeli AI?” Jedyna akceptowalna odpowiedź: “nie”.
  3. “Czy zapewniacie umowę powierzenia przetwarzania?” Jeśli konsultant nie wie, co to DPA, szukaj dalej.
  4. “Jak wygląda procedura usunięcia danych?” RODO daje Twoim klientom prawo do usunięcia danych. Konsultant musi wiedzieć, jak to zrealizować.
  5. “Czy pomożecie stworzyć wewnętrzną politykę użycia AI?” Dobre wdrożenie AI = narzędzia + procesy + dokumentacja. Nie tylko technologia.

Czego się NIE bać

Na koniec, kilka rzeczy, które brzmią strasznie, ale nie są:

  • “AI ukradnie moje dane”. Narzędzia klasy biznesowej (Team/Enterprise) nie używają Twoich danych do treningu. To zapis umowny, nie obietnica.
  • “UODO mnie ukarze za użycie ChatGPT”. UODO karze za brak zabezpieczeń i dokumentacji, nie za używanie narzędzi. Jeśli masz DPA, politykę i szkolenia, jesteś bezpieczny.
  • “Muszę mieć prawnika specjalizującego się w AI”. Dla MŚP: nie. Wystarczy rozsądne podejście, DPA z dostawcą i wewnętrzna polityka. Prawnik potrzebny, jeśli przetwarzasz dane wrażliwe (medyczne, finansowe).

Podsumowanie

RODO i AI nie są sprzeczne. Można legalnie i bezpiecznie wdrażać sztuczną inteligencję w firmie. Klucz to:

  1. Używaj narzędzi klasy biznesowej (nie darmowego ChatGPT do danych klientów)
  2. Podpisz DPA z dostawcą
  3. Stwórz i egzekwuj wewnętrzną politykę użycia AI
  4. Przeszkol zespół
  5. Dokumentuj decyzje

Nie pozwól, żeby strach przed RODO zatrzymał Cię przed wdrożeniem AI. Firmy, które nic nie robią, też ryzykują: ryzykują utratę konkurencyjności.

Przeczytaj też: Ile kosztuje wdrożenie AI w firmie? oraz Wdrożenie AI w firmie: praktyczny przewodnik.

Chcesz wdrożyć AI w swojej firmie?

Umów darmową 30-minutową konsultację. Powiem Ci, od czego zacząć i ile to będzie kosztować.

Umów darmową konsultację

Przeczytaj też

Ile kosztuje wdrożenie AI w firmie? Transparentny cennikWdrożenie AI w firmie: praktyczny przewodnikRODO a AI w firmie: co wolno, czego się strzec