Gazeta Prawna
AI

Czy korzystanie z AI w firmie narusza RODO? Praktyczny przewodnik po ryzykach i obowiązkach

AI i RODO
Wykorzystanie narzędzi sztucznej inteligencji w działalności gospodarczej nie jest samo w sobie niezgodne z RODO.GazetaPrawna.pl / Gazeta Prawna
Adrianna Glapiak
Adrianna Glapiak
dzisiaj, 15:43

Wykorzystanie narzędzi sztucznej inteligencji w działalności gospodarczej nie jest samo w sobie niezgodne z RODO. Ryzyko naruszenia przepisów pojawia się jednak wtedy, gdy AI przetwarza dane osobowe bez spełnienia podstawowych wymogów wynikających z rozporządzenia, w szczególności w zakresie legalności przetwarzania, minimalizacji danych oraz bezpieczeństwa.

Skrót artykułu

W praktyce oznacza to, że każde użycie AI w marketingu, obsłudze klienta, analizie danych czy automatyzacji procesów należy ocenić przez pryzmat zasad RODO, a nie samej technologii. Brak procedur, brak kontroli nad danymi wejściowymi oraz nieświadome przekazywanie informacji do zewnętrznych systemów AI może prowadzić do naruszeń, nawet jeśli intencją przedsiębiorcy jest wyłącznie usprawnienie pracy.

Niniejszy mini przewodnik pokazuje, kiedy korzystanie z AI pozostaje zgodne z RODO, gdzie pojawiają się typowe ryzyka oraz jakie działania należy wdrożyć, aby bezpiecznie wykorzystywać sztuczną inteligencję w firmie.

AI Act a ochrona danych osobowych

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 z dnia 13 czerwca 2024 r., ustanawiające zharmonizowane przepisy dotyczące sztucznej inteligencji (dalej: AI Act), ma kluczowe znaczenie dla firm wykorzystujących AI w działalności gospodarczej. Choć AI Act oraz RODO regulują odmienne obszary pierwszy koncentruje się na bezpieczeństwie, przejrzystości i zarządzaniu systemami AI, a drugi na ochronie danych osobowych - w praktyce ich stosowanie często się przenika.

Z perspektywy przedsiębiorcy oznacza to konieczność równoległego stosowania obu reżimów prawnych. Zrozumienie, w jaki sposób AI Act uzupełnia obowiązki wynikające z RODO, jest kluczowe dla ograniczenia ryzyka naruszeń i prawidłowego wdrażania rozwiązań opartych na sztucznej inteligencji. Co więcej, na poziomie ogólnych założeń AI Act wyraźnie wskazuje, że nie zastępuje regulacji wynikających z RODO, lecz funkcjonuje obok nich.

Najważniejsze przepisy AI Act dotyczące danych osobowych

Kluczowe znaczenie mają jednak konkretne przepisy i motywy rozporządzenia, które doprecyzowują tę relację w praktyce, zwłaszcza w kontekście przetwarzania danych osobowych w systemach AI.

Najważniejsze motywy:

  • Motyw 10: Wyraźnie stwierdza, że prawo do ochrony danych osobowych jest chronione przez RODO, a Akt o AI nie ma na celu wpływania na stosowanie istniejącego prawa UE w tym zakresie. Podkreśla, że organy nadzorcze (np. UODO) zachowują swoje uprawnienia.
  • Motyw 14: Wskazuje, że pojęcie „danych biometrycznych” musi być interpretowane zgodnie z definicją zawartą w art. 4 pkt 14 RODO.
  • Motyw 69: Przypomina, że zasady minimalizacji danych oraz ochrony danych w fazie projektowania (by design) i domyślnej ochrony danych (by default) muszą być gwarantowane przez cały cykl życia systemu AI.
  • Motyw 157: Potwierdza, że rozporządzenie pozostaje bez uszczerbku dla kompetencji organów ochrony danych.
  • Motyw 180: Wspomina o przeprowadzonych konsultacjach z Europejskim Inspektorem Ochrony Danych (EIOD) oraz Europejską Radą Ochrony Danych (EROD).

Kluczowe przepisy AI Act:

  • Art. 2 ust. 7: Fundamentalny przepis, który mówi, że Akt o AI nie narusza przepisów RODO (2016/679), dyrektywy 2016/680 ani przepisów o prywatności w łączności elektronicznej (e-Privacy).
  • Art. 10 ust. 5: Pozwala dostawcom systemów AI wysokiego ryzyka na wyjątkowe przetwarzanie szczególnych kategorii danych osobowych (danych wrażliwych) w celu wykrywania i korygowania uprzedzeń (bias), o ile spełnione są rygorystyczne warunki (np. brak możliwości użycia danych syntetycznych, zastosowanie pseudonimizacji).
  • Art. 19 ust. 1: Nakłada obowiązek przechowywania logów (dzienników zdarzeń) przez co najmniej 6 miesięcy, chyba że inne przepisy prawa UE (w tym o ochronie danych) stanowią inaczej.
  • Art. 27 ust. 4: Wskazuje na synergię z RODO – jeśli wdrażający (deployer) przeprowadził już ocenę skutków dla ochrony danych (DPIA na podstawie art. 35 RODO), elementy tej oceny mogą zostać wykorzystane w ramach oceny skutków dla praw podstawowych wymaganej przez Akt o AI.
  • Art. 59: Określa warunki dalszego przetwarzania danych osobowych zebranych w innych celach, jeżeli odbywa się to w piaskownicy regulacyjnej (sandbox) w celu rozwoju systemów AI służących istotnemu interesowi publicznemu (np. zdrowiu publicznemu czy ochronie środowiska).
  • Art. 77: Zobowiązuje organy nadzorcze stosujące Akt o AI do zachowania poufności danych osobowych i tajemnic handlowych uzyskanych w toku kontroli.
  • Art. 86: Wprowadza prawo do wyjaśnienia, które uzupełnia znane z RODO prawa osób, których dane dotyczą, w przypadku gdy system AI wysokiego ryzyka podejmuje decyzje wywołujące skutki prawne dla danej osoby.

Obowiązki firmy korzystającej z AI

Wdrożenie sztucznej inteligencji w firmie wymaga równoległego stosowania Aktu o AI oraz RODO, ponieważ oba rozporządzenia nakładają na przedsiębiorców (występujących najczęściej w roli wdrażających - deployers) konkretne i uzupełniające się obowiązki.

Oto kluczowe aspekty tej relacji w kontekście biznesowym:

Niezależność obowiązków RODO

  • prymat ochrony danych: Akt o AI nie zwalnia firmy z żadnego obowiązku wynikającego z RODO. Jeśli system AI przetwarza dane osobowe (np. dane pracowników, klientów), firma musi nadal posiadać podstawę prawną przetwarzania (art. 6 lub 9 RODO) i realizować obowiązki informacyjne
  • rola firmy: Firma korzystająca z AI jest zazwyczaj administratorem danych w rozumieniu RODO, co oznacza pełną odpowiedzialność za bezpieczeństwo i celowość przetwarzania danych wewnątrz systemu

Nowe obowiązki firmy jako wdrażającego (Deployer)

Akt o AI wprowadza specyficzne wymogi dla firm korzystających z systemów AI, zwłaszcza tych wysokiego ryzyka:

  • nadzór ludzki: Firma musi zapewnić, że nad systemem AI czuwają osoby o odpowiednich kompetencjach, szkoleniu i uprawnieniach
  • monitorowanie i logi: Należy monitorować działanie systemu zgodnie z instrukcjami dostawcy i przechowywać automatycznie generowane logi (dzienniki zdarzeń) przez okres co najmniej 6 miesięcy
  • kontrola danych wejściowych: Jeśli firma ma kontrolę nad danymi wprowadzanymi do systemu (input data), musi zadbać, aby były one relewantne i reprezentatywne dla celu, w jakim system jest używany

Ocena skutków (DPIA i FRIA)

Dla systemów wysokiego ryzyka firma może być zobowiązana do przeprowadzenia dwóch rodzajów analiz:

  • DPIA (RODO): Ocena skutków dla ochrony danych, jeśli przetwarzanie wiąże się z wysokim ryzykiem dla prywatności
  • FRIA (Akt o AI): Ocena skutków dla praw podstawowych (Fundamental Rights Impact Assessment).

Przejrzystość wobec pracowników i klientów

  • informowanie o AI: Firma musi poinformować osoby fizyczne (np. klientów w call center), że wchodzą w interakcję z systemem AI, chyba że jest to oczywiste.
  • AI w kadrach: Systemy AI używane do rekrutacji, oceny pracowników czy przydzielania zadań są uznawane za wysokie ryzyko. Pracownicy muszą być informowani o ich stosowaniu, a związki zawodowe powinny być konsultowane zgodnie z prawem krajowym.

Wyjątek: Wykrywanie uprzedzeń (Bias)

  • przetwarzanie danych wrażliwych: Wyjątkowo, jeśli jest to absolutnie niezbędne do wykrycia i skorygowania błędów (uprzedzeń) w systemie AI wysokiego ryzyka, firma (dostawca) może przetwarzać dane wrażliwe (np. o pochodzeniu etnicznym), pod warunkiem zastosowania ścisłych zabezpieczeń, takich jak pseudonimizacja

Jak wdrożyć AI w firmie zgodnie z prawem?

Aby ograniczyć ryzyko sankcji, które na gruncie AI Act mogą sięgać nawet 35 mln euro lub 7% globalnego obrotu, konieczne jest wdrożenie uporządkowanego podejścia do wykorzystania sztucznej inteligencji w organizacji.

Obowiązki firmy korzystającej z AI

Wdrożenie AI wymaga równoległego stosowania RODO oraz AI Act, ponieważ przedsiębiorca (najczęściej jako deployer) podlega obowiązkom wynikającym z obu reżimów.

Niezależność obowiązków RODO

  • AI Act nie zwalnia z obowiązków RODO - nadal wymagane są podstawy prawne (art. 6 lub 9 RODO) oraz realizacja obowiązków informacyjnych
  • Firma korzystająca z AI pozostaje administratorem danych i ponosi pełną odpowiedzialność za ich przetwarzanie

Nowe obowiązki wynikające z AI Act

  • Nadzór ludzki - zapewnienie kontroli nad działaniem systemu przez osoby kompetentne
  • Monitorowanie i logi - analiza działania systemu i przechowywanie logów przez co najmniej 6 miesięcy
  • Kontrola danych wejściowych - zapewnienie, że dane wejściowe są adekwatne i zgodne z celem przetwarzania

Ocena skutków (DPIA i FRIA)

  • DPIA (RODO) - ocena ryzyka dla ochrony danych osobowych
  • FRIA (AI Act) - ocena skutków dla praw podstawowych

Oba dokumenty mogą być łączone w jedną analizę.

Przejrzystość wobec osób

• Obowiązek informowania o wykorzystaniu AI w kontaktach z użytkownikami, jeśli nie jest to oczywiste

• Systemy AI w HR (rekrutacja, ocena pracowników) wymagają szczególnej transparentności i często konsultacji z przedstawicielami pracowników

Wyjątek - wykrywanie uprzedzeń

• Dopuszczalne jest przetwarzanie danych wrażliwych w ograniczonym zakresie, jeśli jest to niezbędne do identyfikacji i korekty biasu, przy zachowaniu odpowiednich zabezpieczeń

Jak korzystać z AI zgodnie z RODO?

Korzystanie z narzędzi opartych na sztucznej inteligencji w działalności gospodarczej wymaga uwzględnienia zarówno obowiązków wynikających z RODO, jak i regulacji przewidzianych w AI Act. W praktyce oznacza to konieczność podejścia procesowego obejmującego analizę danych, wdrożenie odpowiednich zabezpieczeń oraz uregulowanie relacji z dostawcami technologii.

Poniższe zestawienie przedstawia najważniejsze obszary, które należy uwzględnić przy wdrażaniu AI w firmie, wraz z odpowiadającymi im obowiązkami prawnymi.

OBSZAR

CO TRZEBA ZROBIĆ?

PODSTAWA PRAWNA

DANE OSOBOWE

Wyznaczyć podstawę prawną i spełnić obowiązek informacyjny.

RODO

SYSTEMY WYSOKIEGO RYZYKA

PRACOWNICY

Zapewnić nadzór ludzki i monitorować logi (min. 6 m-cy).

Akt o AI

PRACOWNICY

Poinformować o korzystaniu z AI w procesach kadrowych.

Akt o AI i Kodeks Pracy

RELACJE Z DOSTAWCĄ

Zawrzeć umowę określającą wsparcie techniczne i wymianę informacji.

Akt o AI

Kiedy AI narusza RODO? Najczęstsze błędy firm

Większość incydentów nie wynika ze złej woli, ale z braku procedur. Oto „najcięższe grzechy” firmowej codzienności:

KARMIENIE AI DANYMI KLIENTÓW - Najczęstszy błąd to kopiowanie maili, baz danych czy zapytań ofertowych do darmowych chatbotów.

  • ryzyko - jeśli nie korzystasz z wersji Enterprise, Twoje dane mogą posłużyć do trenowania publicznego modelu. To klasyczny wyciek danych poza kontrolę administratora
  • zgodność - zgodnie z art. 2 ust. 7 AI Act, nowe przepisy nie uchylają RODO. Każde wprowadzenie danych osobowych do AI wymaga podstawy prawnej (art. 6 RODO)

BRAK NADZORU LUDZKIEGO - firmy często bezkrytycznie ufają wynikom generowanym przez AI, np. przy ocenie pracowników czy selekcji CV

  • ryzyko: art. 22 RODO zabrania podejmowania decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, jeśli wywołują one skutki prawne.
  • zgodność: art. 14 AI Act wprost nakazuje, aby systemy wysokiego ryzyka miały zapewniony nadzór ludzki, który rozumie ograniczenia systemu.

Odpowiedzialność za naruszenia RODO przy użyciu AI

Korzystanie z AI w firmie nie przenosi odpowiedzialności za zgodność z RODO na narzędzie ani jego dostawcę.

W szczególności:

  • ADMINISTRATOR DANYCH (FIRMA) - ponosi pełną odpowiedzialność za zgodność przetwarzania z RODO
  • RYZYKO NARUSZEŃ - np. nieuprawnione ujawnienie danych, brak podstawy prawnej, naruszenie zasady minimalizacji obciąża organizację korzystającą z AI
  • KARY ADMINISTRACYJNE - mogą być nakładane bezpośrednio na firmę jako administratora
  • ODPOWIEDZIALNOŚĆ WOBEC KLIENTÓW I OSÓB TRZECICH – taka odpowiedzialność spoczywa na podmiocie, który zdecydował o przetwarzaniu danych

Podsumowanie

Wykorzystanie sztucznej inteligencji w przetwarzaniu danych osobowych wymaga takiego samego poziomu zgodności jak każdy inny system IT. Najważniejsze wnioski są następujące:

  • AI może przetwarzać dane osobowe, jeśli zostaną do niego wprowadzone,
  • obowiązki z RODO nie znikają - nadal obowiązuje administrator danych,
  • odpowiedzialność za naruszenia nie przechodzi na dostawcę.

W praktyce oznacza to konieczność wdrożenia procedur kontroli danych, polityk bezpieczeństwa oraz jasnych zasad korzystania z narzędzi AI w organizacji firmy.

Autopromocja
381453mega.png
381455mega.png
381223mega.png
Źródło: gazetaprawna.pl

Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone.

Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A. Kup licencję.

RODOAIfirma

Powiązane

dane osobowe
Prawo internetu i ochrony danychRaport: w 2025 r. padły rekordowe kary za naruszenia RODO. Najwyższa? Za głośną aferę sprzed sześciu lat
choroba serca, pacjent, lekarz
PrawnikPrezes UODO: przetwarzanie danych osobowych w celu zaproszenia na badania, zgodne z RODO
pies spacer
Prawo cywilneCzy dane o zwierzętach podlegają RODO? Kiedy dane psa stają się danymi osobowymi