Wyobraź sobie sytuację, którą widujemy częściej, niż powinniśmy: pracownik wkleja do darmowego chatbota arkusz z imionami, telefonami i historią zamówień klientów, bo „niech AI napisze maile z ofertą”. W tej jednej chwili firma oddaje cudze dane osobowe podmiotowi z drugiego końca świata, bez podstawy prawnej i bez umowy. Temat RODO a AI nie jest abstrakcją dla prawników – to konkretne ryzyko, które rozliczasz Ty jako administrator danych. Poniżej pokazujemy, kiedy sztuczna inteligencja w ogóle przetwarza dane osobowe, jak dobrać narzędzie, którego można używać legalnie, i co wpisać do dokumentacji, żeby spać spokojnie.
Piszemy z perspektywy agencji, która codziennie używa AI do treści, raportów i obsługi zapytań – i która musi to robić tak, żeby dane klientów i ich odbiorców były bezpieczne. To nie poradnik „jak się bać AI”. To instrukcja, jak korzystać z niej rozsądnie i bez wpadki.
Spis treści
- Kiedy AI w ogóle przetwarza dane osobowe?
- Publiczny chatbot a wersja firmowa – gdzie ucieka ryzyko
- Umowa powierzenia – czego szukać w narzędziu AI
- Kiedy potrzebujesz zgody, a kiedy wystarczy inna podstawa
- Jak opisać AI w dokumentacji RODO
- AI Act a RODO – dwa reżimy, jeden obowiązek
- Checklista: AI zgodnie z prawem w 7 krokach
- Najczęściej zadawane pytania
Kiedy AI w ogóle przetwarza dane osobowe?
Pierwsze nieporozumienie brzmi tak: „przecież ja tylko piszę z chatbotem, nie zbieram żadnych danych”. Tymczasem temat AI a dane osobowe zaczyna się w momencie, w którym do narzędzia trafia jakakolwiek informacja pozwalająca zidentyfikować żywą osobę. Imię i nazwisko, adres e-mail, numer telefonu, NIP osoby fizycznej, nagranie głosu, zdjęcie twarzy, treść wiadomości od klienta – to wszystko dane osobowe.
RODO nie interesuje, czy używasz Excela, czy modelu językowego. Liczy się to, że przetwarzanie danych przez AI to nadal przetwarzanie w rozumieniu przepisów – z całym bagażem obowiązków administratora. Jeśli wklejasz prompt typu „napisz odpowiedź dla pani Anny Kowalskiej, która reklamuje zamówienie nr 4821”, właśnie przekazałeś dane osobowe zewnętrznemu dostawcy.
Z naszej praktyki najczęstsze sytuacje, w których firma nieświadomie karmi AI danymi, to:
- generowanie spersonalizowanych maili i ofert z imienną listą odbiorców,
- wklejanie transkrypcji rozmów z klientami do podsumowania,
- „wyczyść mi ten plik” z bazą kontaktów albo arkuszem sprzedaży,
- analiza CV kandydatów w rekrutacji,
- wrzucanie zdjęć osób do narzędzi graficznych AI.
Zanim wkleisz cokolwiek do AI, zadaj sobie jedno pytanie: czy po tym tekście da się rozpoznać konkretną osobę? Jeśli tak, traktuj to jak przekazanie danych na zewnątrz, a nie jak „rozmowę z komputerem”. Najprostsza ochrona to anonimizacja – zamień „Anna Kowalska, tel. 600…” na „Klientka, zamówienie X”.
Publiczny chatbot a wersja firmowa – gdzie ucieka ryzyko
Tu jest sedno problemu, który spina cały temat RODO a sztuczna inteligencja. Nie chodzi o to, że „AI jest nielegalne”. Chodzi o to, w jakiej wersji narzędzia i na jakich warunkach przekazujesz dane.
Darmowe, konsumenckie wersje popularnych chatbotów z reguły zastrzegają sobie prawo do wykorzystania wpisywanych treści do dalszego trenowania modeli. To, co tam wkleisz, może wzmocnić model i teoretycznie wypłynąć w odpowiedzi dla kogoś innego. Dla prywatnego „napisz mi wierszyk na urodziny” to żaden problem. Dla bazy klientów to scenariusz, którego nie chcesz tłumaczyć ani klientowi, ani urzędowi.
Kwestia ChatGPT a RODO rozbija się więc nie o samo narzędzie, ale o jego wariant. Wersje biznesowe (firmowe, zespołowe, dostęp przez API) zwykle oferują dwie kluczowe rzeczy, których brakuje w darmowym koncie: deklarację, że dane nie są używane do trenowania modelu, oraz możliwość zawarcia umowy powierzenia przetwarzania. To te dwa elementy przesuwają korzystanie z AI z szarej strefy do obszaru, w którym da się to legalnie udokumentować.
| Kryterium | Darmowy chatbot konsumencki | Wersja firmowa / API |
|---|---|---|
| Dane do trenowania modelu | Często tak (domyślnie) | Z reguły wyłączone |
| Umowa powierzenia (DPA) | Brak | Dostępna do podpisania |
| Kontrola nad retencją danych | Ograniczona | Konfigurowalna |
| Nadaje się do danych klientów | Nie | Tak, po dopełnieniu formalności |
Granica jest prosta: do burzy mózgów, nauki i tekstów ogólnych spokojnie wystarczy zwykłe konto. Do czegokolwiek, co dotyka realnych ludzi, przechodzisz na wersję biznesową i porządkujesz formalności. Jeśli planujesz używać AI w obsłudze zgłoszeń, warto najpierw przeczytać, jak rozsądnie ułożyć AI w obsłudze klienta, żeby technologia pomagała, a nie tworzyła ryzyko.
Umowa powierzenia – czego szukać w narzędziu AI
Skoro przekazujesz dane swoich klientów zewnętrznemu dostawcy AI, on staje się Twoim podmiotem przetwarzającym, a Ty pozostajesz administratorem. RODO wymaga w takiej relacji umowy powierzenia przetwarzania danych (po angielsku DPA – Data Processing Agreement). Bez niej nawet najlepsze narzędzie nie jest używane zgodnie z prawem.
Nie musisz znać przepisów na pamięć, ale przed wdrożeniem AI warto sprawdzić u dostawcy kilka konkretnych rzeczy:
- Czy w ogóle udostępnia umowę powierzenia (DPA) i czy obejmuje ona Twój plan abonamentowy.
- Gdzie fizycznie są przetwarzane dane – czy poza Europejskim Obszarem Gospodarczym, a jeśli tak, na jakiej podstawie (np. standardowe klauzule umowne).
- Czy dane są używane do trenowania modelu – dla danych firmowych odpowiedź musi brzmieć „nie”.
- Jak długo dane są przechowywane i czy można skrócić ten okres albo wyłączyć logowanie historii.
- Lista podwykonawców (subprocessorów), którym dostawca dalej powierza dane.
Potraktuj narzędzie AI dokładnie tak samo jak hosting, system mailingowy czy CRM. Z każdym z nich podpisujesz powierzenie i wpisujesz go na listę podmiotów przetwarzających. AI nie jest tu wyjątkiem – jest po prostu kolejnym dostawcą, który dotyka danych Twoich klientów.
W praktyce u nas wygląda to tak, że zanim jakiekolwiek narzędzie wejdzie do obiegu w pracy z danymi klienta, ląduje na liście „sprawdzone – jest DPA, dane nie idą do treningu”. Pozostałe trzymamy do zadań, w których nie ma żadnych danych osobowych. To prosta higiena, która oszczędza nieprzyjemnych rozmów.
Kiedy potrzebujesz zgody, a kiedy wystarczy inna podstawa
Częsty mit: „skoro używam AI, muszę mieć od każdego osobną zgodę”. Niekoniecznie. Zgoda to tylko jedna z kilku podstaw przetwarzania w RODO i wcale nie zawsze najwygodniejsza – bo można ją w każdej chwili cofnąć.
W większości sytuacji marketingowych i obsługowych podstawą nie jest zgoda, lecz umowa z klientem albo prawnie uzasadniony interes administratora. Jeśli odpowiadasz klientowi na reklamację z pomocą AI, działasz w ramach realizacji umowy. Jeśli AI pomaga przygotować ofertę dla istniejącego kontaktu – zwykle opierasz się na uzasadnionym interesie. Kluczowe jest to, że cel przetwarzania się nie zmienia tylko dlatego, że w środku procesu pojawiło się narzędzie AI.
Są jednak sytuacje, w których robi się poważniej i sama zgoda lub uzasadniony interes to za mało:
- Dane szczególnej kategorii (zdrowie, dane biometryczne, przekonania) – tu wymagania są dużo ostrzejsze. Nie wrzucaj dokumentacji medycznej ani zdjęć do rozpoznawania twarzy do zwykłego chatbota.
- Automatyczne decyzje wywołujące skutki prawne – jeśli AI samodzielnie odrzuca wnioski, ocenia zdolność czy wybiera kandydatów bez udziału człowieka, RODO przyznaje osobie dodatkowe prawa, w tym prawo do interwencji człowieka.
- Profilowanie marketingowe na dużą skalę – tu często potrzebna jest ocena skutków dla ochrony danych (DPIA).
Najprostsza zasada brzmi: AI ma wspierać człowieka, a nie podejmować za niego wiążące decyzje o ludziach. Dopóki na końcu procesu jest człowiek, który patrzy i zatwierdza, ryzyko jest dużo mniejsze.
Jak opisać AI w dokumentacji RODO
To etap, który najczęściej jest pomijany, a decyduje o tym, czy w razie kontroli wyjdziesz z twarzą. Używanie AI legalnie to nie tylko dobre narzędzie – to także papier, który to potwierdza. Trzy dokumenty, które warto zaktualizować:
Rejestr czynności przetwarzania. Dopisz tam czynności, w których uczestniczy AI, i wskaż dostawcę jako podmiot przetwarzający. To kręgosłup całej dokumentacji – jeśli AI tam nie ma, formalnie „nie istnieje”.
Polityka ochrony danych i wewnętrzna instrukcja dla zespołu. Tu wpisujesz proste, ludzkie zasady: których narzędzi wolno używać, czego nie wolno wklejać (np. pełnych baz, danych wrażliwych), kiedy anonimizować. Z naszego doświadczenia jedna kartka jasnych reguł dla pracowników działa lepiej niż dziesięć stron prawniczego języka, których nikt nie czyta.
Klauzula informacyjna. Jeśli AI realnie uczestniczy w przetwarzaniu danych klientów albo w zautomatyzowanym podejmowaniu decyzji, poinformuj o tym osoby, których dane dotyczą. Transparentność jest jednym z filarów RODO – i, szczerze mówiąc, buduje też zaufanie do marki.
Nie tłumacz pracownikom RODO przez paragrafy. Daj im trzy proste reguły: 1) nie wklejaj pełnych baz danych, 2) anonimizuj imiona i numery, 3) używaj tylko narzędzi z firmowej listy. Te trzy zdania chronią firmę bardziej niż najgrubsza polityka w szufladzie.
Jeśli AI ma u Ciebie ruszyć szerzej – w treściach, raportach czy automatyzacji – dobrze poukładać to procesowo od początku, najlepiej razem z osobą, która ogarnia stronę prawną. My przy wdrożeniach AI w marketingu pilnujemy tej części u siebie, a całość naszego podejścia opisujemy na stronie usług agencji.
AI Act a RODO – dwa reżimy, jeden obowiązek
Do RODO doszedł europejski AI Act, czyli rozporządzenie o sztucznej inteligencji. Łatwo je pomylić, więc rozdzielmy to jasno. RODO chroni dane osobowe. AI Act reguluje same systemy AI – dzieli je według poziomu ryzyka i nakłada obowiązki w zależności od tego, jak ryzykowne jest dane zastosowanie.
AI Act wszedł w życie i jest stosowany etapami. Najwcześniej zaczęły obowiązywać zakazy najbardziej ryzykownych praktyk (np. niektóre formy scoringu społecznego), później dochodzą obowiązki dla modeli ogólnego przeznaczenia i dla systemów wysokiego ryzyka. Dla typowej firmy z sektora MŚP, która używa AI do treści, obsługi i marketingu, większość zastosowań mieści się w kategorii niskiego ryzyka – ale dochodzi obowiązek przejrzystości.
W praktyce oznacza to dwie rzeczy: po pierwsze, gdy treść jest generowana przez AI w sposób, który może wprowadzać w błąd, warto to oznaczać. Po drugie, te dwa reżimy się nie wykluczają – RODO i sztuczna inteligencja idą w parze z AI Actem i musisz spełnić oba zestawy wymagań naraz. Dobra wiadomość jest taka, że jeśli porządnie ogarniesz RODO, większość pracy pod AI Act masz już za sobą.
Checklista: AI zgodnie z prawem w 7 krokach
Zebraliśmy w jedno miejsce to, od czego zaczynamy, gdy wdrażamy AI w pracy z danymi. Każdy z tych kroków da się odhaczyć w jedno popołudnie, a razem pozwalają używać AI zgodnie z prawem bez ciągłego stresu, że coś wyciekło.
- Zinwentaryzuj narzędzia. Wypisz, z jakich modeli i aplikacji AI faktycznie korzysta zespół – często jest ich więcej, niż myślisz.
- Przejdź na wersje biznesowe wszędzie tam, gdzie do AI trafiają realne dane osobowe.
- Podpisz umowy powierzenia z dostawcami i sprawdź, gdzie przetwarzane są dane.
- Ustal podstawę przetwarzania dla każdego zastosowania – umowa, uzasadniony interes czy zgoda.
- Wprowadź zasadę anonimizacji – domyślnie nie wklejamy imion, numerów i pełnych baz.
- Zaktualizuj dokumentację – rejestr czynności, politykę, klauzulę informacyjną.
- Przeszkol zespół – trzy proste reguły, które każdy zapamięta.
Jeśli zależy Ci, żeby zrobić to dobrze za pierwszym razem, zajrzyj też do naszego przewodnika po AI w marketingu oraz do tekstu o tym, jak bezpiecznie korzystać z ChatGPT w małej firmie. A jeśli chcesz dobrze formułować polecenia tak, by nie przekazywać niepotrzebnych danych, pomoże poradnik o pisaniu promptów dla firm.
Temat RODO a AI sprowadza się do jednej zasady: AI to nie magia poza prawem, tylko kolejny dostawca i kolejne narzędzie, które trzeba ucywilizować formalnie. Dobierz wersję biznesową, podpisz powierzenie, ustal podstawę, opisz to w dokumentacji – i możesz korzystać z całej mocy AI bez ryzyka, że jeden wklejony arkusz wywróci Ci firmę.
Jako certyfikowany partner Google i zespół, który na co dzień łączy AI z marketingiem dla firm z MŚP, w Social Plan wdrażamy narzędzia AI z pełną świadomością tych zasad – od treści, przez obsługę zapytań, po automatyzacje. Jeśli chcesz wprowadzić AI w swojej firmie tak, żeby pomagała i była bezpieczna, napisz do nas – podpowiemy, od czego zacząć i czego unikać.
Najczęściej zadawane pytania
Czy używanie ChatGPT w firmie jest zgodne z RODO?
Tak, pod warunkiem, że robisz to w odpowiedniej wersji i na właściwych zasadach. Do danych osobowych klientów używaj wersji biznesowej lub dostępu przez API, podpisz umowę powierzenia i upewnij się, że dane nie są wykorzystywane do trenowania modelu. Darmowe konto konsumenckie nadaje się do tekstów ogólnych, ale nie do bazy klientów.
Czy mogę wkleić listę klientów do chatbota, żeby napisał maile?
Nie do darmowego, publicznego chatbota – to przekazanie danych osobowych bez podstawy i bez umowy. Jeśli musisz pracować na realnych danych, użyj narzędzia z umową powierzenia i wyłączonym trenowaniem. Najbezpieczniej jednak zanonimizować dane: zamiast imion i numerów zostaw oznaczenia typu „klient 1”, a personalizację dorób po stronie własnego systemu.
Czy muszę informować klientów, że korzystam z AI?
Jeśli AI realnie uczestniczy w przetwarzaniu ich danych albo w automatycznym podejmowaniu decyzji, które ich dotyczą – tak, należy to ująć w klauzuli informacyjnej. Przy zwykłym wsparciu w pisaniu treści, gdzie nie ma danych osobowych, obowiązek informacyjny zwykle nie powstaje, ale przejrzystość zawsze działa na korzyść marki.
Czym różni się AI Act od RODO?
RODO chroni dane osobowe, a AI Act reguluje same systemy sztucznej inteligencji według poziomu ryzyka. To dwa osobne reżimy, które obowiązują równolegle. Dla większości firm z MŚP zastosowania AI są niskiego ryzyka, ale dochodzi obowiązek przejrzystości, np. oznaczania treści generowanych przez AI tam, gdzie mogłyby wprowadzać w błąd.
Co grozi za nieprawidłowe używanie AI z danymi osobowymi?
Konsekwencje są takie same jak przy innych naruszeniach RODO – od ryzyka kary administracyjnej, przez roszczenia osób, których dane dotyczą, po realny cios w zaufanie klientów. W praktyce najczęstszym kosztem jest właśnie utrata zaufania po wycieku. Dlatego taniej i prościej jest poukładać to z góry niż gasić pożar później.
