AI wchodzi do firm jak burza – chatboty na stronach, analiza CV w rekrutacji, rekomendacje produktów. Super! Ale co z danymi osobowymi? AI Act (od 2025) i RODO idą ręka w rękę: nowe regulacje klasyfikują AI na ryzyko niskie/wysokie/zakazane, a RODO wymaga podstaw prawnych, DPIA i privacy by design. Nie musisz być gigantem tech – wystarczy ChatGPT na stronie. Odpowiadamy na 7 kluczowych pytań, żebyś nie dostał kary od UODO.
1. Czy mój chatbot to „wysokie ryzyko” pod AI Act?
Chatbot na stronie pytający „w czym mogę pomóc?” to zazwyczaj niskie ryzyko – odpowiada na proste pytania, nie analizuje ani nie podejmuje decyzji. Ale jeśli Twój bot profiluje klientów (np. „kupisz ten produkt?”), analizuje rozmowy pod sprzedażą, nastroje czy dane wrażliwe – wskakuje na wysokie ryzyko i wymaga DPIA (Ocena Skutków dla Ochrony Danych).
Jak sprawdzić ryzyko Twojego chatbota?
AI Act klasyfikuje systemy (obowiązuje od 2025):
- Niskie ryzyko (większość chatbotów): proste FAQ, obsługa zapytań → tylko transparentność („ten bot używa AI”).
- Wysokie ryzyko: HR screening (analiza CV), scoring kredytowy, biometria, systemy decyzyjne → DPIA + rejestr + testy.
- Zakazane: scoring socjalny, manipulacja (np. deepfakes w reklamie).
Przykłady z życia:
- Chatbot sprzedażowy analizujący historię zakupów → wysokie ryzyko (profilowanie).
- Bot medyczny pytający o objawy → bardzo wysokie (dane zdrowotne = wrażliwe).
- ChatGPT na stronie (OpenAI) → zgłoś jako procesor, sprawdź, czy dane idą do USA.
Co zrobić krok po kroku?
- Sprawdź funkcje: Czy bot decyduje (np. „odrzucam kredyt”), profiluje czy przetwarza dane wrażliwe?
- DPIA (jeśli wysokie ryzyko): ryzyka → środki (pseudonimizacja zapytań) → konsultacja IOD.
- Umowa powierzenia z dostawcą (OpenAI, Tidio): art. 28 RODO + SCC dla USA.
- Informacja dla użytkownika: „Chatbot przetwarza pytania do pomocy (art. 6.1f RODO)”.
- Logi: Zachowaj 30 dni na wypadek incydentu.
Prawda: 90% chatbotów to niskie ryzyko, ale zawsze zgłoś dostawcę jako procesor. Zrób szybki test – niskie czy wysokie?
Zapraszamy do współpracy
Szczegółowe informacje o ofercie i warunkach współpracy można uzyskać telefonicznie lub wysyłając zapytanie za pomocą formularza kontaktowego.
2. Jaka podstawa prawna dla danych w AI?
Nie zgoda! Użyj umowy (art. 6.1b RODO) lub uzasadnionego interesu (art. 6.1f). Np. analiza zachowań klientów do personalizacji – interes firmy, z prawem sprzeciwu. Dokumentuj w RCP: „AI przetwarza dane do rekomendacji, podstawa art. 6.1f”.
3. Czy dane do trenowania AI muszą być zanonimizowane?
Dane używane do trenowania AI powinny być maksymalnie odpersonalizowane, tak aby nie dało się z nich rozpoznać konkretnej osoby. Jeśli jednak da się „cofnąć” ten proces (np. masz klucz, którym po numerze ID wracasz do nazwiska), to nie jest to anonimizacja, tylko pseudonimizacja – a wtedy RODO nadal obowiązuje.
Pseudonimizacja polega np. na zamianie imienia i nazwiska na identyfikator klienta, ale gdzieś w systemie wciąż istnieje tabela, która pozwala powiązać ten identyfikator z konkretną osobą. W takim scenariuszu trzeba mieć podstawę prawną, zadbać o prawa osób (sprzeciw, dostęp, usunięcie) i uwzględnić ten proces w rejestrze czynności.
Najbezpieczniej jest trenować modele na danych syntetycznych (sztucznie wygenerowanych) lub na danych zagregowanych (np. zbiory statystyczne, bez pojedynczych rekordów). Organy nadzorcze zwracają uwagę, że jeśli z kombinacji informacji (np. lokalizacja, czas, historia zachowań) AI w praktyce może „domyślić się”, o kogo chodzi, to nadal mamy do czynienia z danymi osobowymi i trzeba stosować zasady RODO.
4. DPIA – kiedy obowiązkowe przy AI?
DPIA to Ocena Skutków dla Ochrony Danych – obowiązkowy dokument, w którym opisujesz ryzyka dla danych osobowych w projekcie i pokazujesz, jak je zminimalizujesz. Przy AI nie zawsze trzeba, ale w wielu przypadkach koniec świata bez DPIA – UODO sprawdza pierwsze. Robi się go przed startem projektu, jak biznesplan dla danych.
Kiedy DPIA jest obowiązkowe przy AI? Jedna prosta lista przypadków:
- Profilowanie klientów – AI analizuje zakupy/nastroje, by polecać produkty lub dawać zniżki („Kupisz? Jesteś naszym VIP-em!”).
- Rekrutacja automatyczna – bot ocenia CV, odrzuca kandydatów lub proponuje pensję na podstawie danych.
- Dane wrażliwe – AI medyczne (objawy, diagnozy), HR (zdrowie, orientacja seksualna z social mediów).
- Biometria – rozpoznawanie twarzy w kontroli dostępu, odciski palców w punktach sprzedaży.
- Duża skala – AI przetwarza dane tysięcy osób (np. analiza ruchu na e-sklepie z ID użytkowników).
- Wysokie ryzyko z AI Act – scoring kredytowy, systemy decyzyjne w służbie zdrowia, manipulacja zachowaniami.
- Transfer poza EOG – dane do USA (OpenAI, Google) bez SCC lub zgody.
Jak zrobić DPIA? 4 proste kroki (szablon w 1h):
- Opisz projekt: Co robi AI? Jakie dane bierze? (np. „Chatbot analizuje zapytania klientów”).
- Zidentyfikuj ryzyka: Co się stanie przy wycieku? (profilowanie → dyskryminacja, wyciek → kradzież tożsamości).
- Środki ochronne: Pseudonimizacja, szyfrowanie, minimalizacja danych, prawo sprzeciwu.
- Konsultacja IOD: „OK?” → dokument gotowy, dołącz do RCP.
Szablon DPIA:
| Ryzyko | Prawdopodobieństwo | Środki | Pozostałe ryzyko |
| Wyciek zapytań | Średnie | Szyfrowanie + DPA | Niskie |
5. Co z danymi poza EOG (USA, Indie)?
AI dostawcy jak Google/OpenAI trzymają dane w USA. Potrzebujesz standardowych klauzul umownych (SCC) lub adequacy decision. Umowa powierzenia + zapis: „Dane nie do trenowania modeli bez zgody”.
6. Jak dokumentować proces trenowania modeli?
W rejestrze przetwarzania danych (RCP) po prostu dodaj opis, np.: „Model AI 'Rekomendacje’ trenowany na zanonimizowanych danych zakupowych klientów, data: 15.10.2025, podstawa prawna: uzasadniony interes”. Zapisz też decyzje: dlaczego wybrałeś akurat te dane i jak zmniejszyłeś ryzyka (np. usunąłeś imiona, użyłeś syntetycznych rekordów).
Jeśli AI Act uzna Twój model za wysokie ryzyko, dołącz dodatkowo rejestr systemu i wyniki testów (czy działa poprawnie, bez błędów). Wszystko przejrzyste i gotowe do sprawdzenia.
7. Co jeśli AI popełni błąd z danymi?
Wyobraź sobie chatbot na stronie odpowiada klientowi, ale przez błąd w konfiguracji podaje dane innej osoby. Albo AI w rekrutacji źle oceni CV i odrzuci kandydata z powodu błędu w profilowaniu. To nie science-fiction – to incydent z danymi osobowymi, traktowany jak każdy wyciek czy naruszenie. Musisz zareagować w 72 godziny: zgłoś do UODO (jeśli wysokie ryzyko dla praw osób), poinformuj poszkodowanych i udokumentuj w rejestrze incydentów.
W praktyce wygląda to tak: najpierw zatrzymaj proces (wyłącz AI, zmień konfigurację), potem sprawdź skalę – ile osób dotkniętych? Jakie dane? (np. imiona, adresy, historia zakupów). Jeśli ryzyko wysokie (np. dyskryminacja w HR, wyciek wrażliwych danych), pisz do UODO z opisem: co się stało, dlaczego, co robisz. Klienci? List/mail z przeprosinami i instrukcją (np. „usuń dane z bazy”). Przechowuj logi 6 miesięcy na wypadek kontroli.
Przykład z życia: Meta w 2025 dostała 91 mln euro kary za błędne profilowanie w reklamach – AI „pomyliło” dane użytkowników, co UODO uznał za naruszenie art. 5 RODO (dokładność danych).
Jak się przygotować? Testuj od startu:
Testuj od początku: Uruchom symulacje – np. „co jeśli AI wyśle dane Kowalskiemu zamiast Nowaka?”. Sprawdź, czy system reaguje poprawnie.
W umowie z dostawcą (OpenAI, Google): Zapisz jasno – biorą odpowiedzialność za błędy, dają logi przez 30 dni i natychmiast Cię powiadamiają o problemie.
Twój playbook (prosty, 3 kroki):
- Wyłącz AI – natychmiast zatrzymaj problematyczną funkcję.
- Sprawdź bazę – zobacz, ile osób dotkniętych, jakie dane.
- Zgłoś UODO online (mają na to 72 godziny formularz).
Prawda: Błędy AI zdarzają się każdemu, ale z gotowym planem reagujesz błyskawicznie. Raz w roku zrób próbny test – dużo lepiej niż niespodziewany telefon z UODO.
