Biuro Porad Prawnych

ul. Żwirki i Wigury 33/43
26-600 Radom

NIP: 7962987711

600 784 526

o.zacharski@bppz.pl

+48 600 784 526

Shadow AI w firmie. Jak ograniczyć ryzyko naruszenia RODO?

Strona główna / Blog / Shadow AI w firmie. Jak ograniczyć ryzyko naruszenia RODO?
Shadow AI

W Biurze Porad Prawnych Zacharski coraz częściej wspieramy firmy nie tylko przy klasycznych wdrożeniach RODO, ale także przy porządkowaniu zasad korzystania z narzędzi AI w organizacji. Powód jest prosty: pracownicy bardzo szybko sięgają po generatywną AI do pisania maili, analizy dokumentów, tworzenia ofert, podsumowań spotkań czy materiałów HR, a biznes często dowiaduje się o tym dopiero wtedy, gdy pojawia się incydent, nieprawidłowy transfer danych albo pytanie, czy ktoś właśnie nie wkleił do zewnętrznego narzędzia informacji objętych poufnością. Równolegle UODO przypomina, że sztuczna inteligencja korzysta z danych osobowych i właśnie dlatego jej użycie trzeba oceniać także przez pryzmat ochrony danych1. To właśnie ten obszar nazywa się dziś zwykle Shadow AI.

Chodzi o sytuację, w której w firmie używa się narzędzi AI poza ustalonym obiegiem zgód, procedur, analizy ryzyka i nadzoru. Nie musi to oznaczać złej woli pracownika. Częściej oznacza pośpiech, chęć usprawnienia pracy albo przekonanie, że „to tylko szybkie streszczenie dokumentu”. Z perspektywy organizacji problem jest jednak poważny, bo taki skrót potrafi oznaczać jednocześnie ryzyko dla danych osobowych, know-how, tajemnicy przedsiębiorstwa i zgodności z AI Act. AI Act jest już w mocy, opiera się na podejściu opartym na ryzyku, a od 2 lutego 2025 obowiązuje już m.in. wymóg zapewnienia odpowiedniego poziomu AI literacy dla personelu po stronie dostawców i podmiotów stosujących narzędzia AI.

Czym w praktyce jest Shadow AI?

W praktyce mówimy o nim wtedy, gdy pracownik albo współpracownik korzysta z AI bez realnej kontroli organizacji. Przykładów jest dużo: wklejenie treści umowy do publicznego chatbota, wrzucenie CV kandydatów do narzędzia robiącego ocenę kandydatów, generowanie odpowiedzi dla klientów na podstawie historii zgłoszeń, tworzenie raportów z użyciem danych sprzedażowych albo kopiowanie wewnętrznych procedur do generatora tekstu. Samo użycie AI nie jest automatycznie naruszeniem. Problem zaczyna się wtedy, gdy firma nie wie, jakie dane trafiają do narzędzia, na jakiej podstawie są przetwarzane, gdzie są przechowywane, kto ma do nich dostęp i czy nie dochodzi do dalszego wykorzystania tych treści. To właśnie w takich sytuacjach nasze wsparcie zwykle zaczyna się od prostego pytania: z jakich narzędzi ludzie już korzystają, zanim jeszcze spiszemy pierwszą politykę.

Zapraszamy do współpracy

Szczegółowe informacje o ofercie i warunkach współpracy można uzyskać telefonicznie lub wysyłając zapytanie za pomocą formularza kontaktowego.

BPPZ – Biuro Porad Prawnych Zacharski
Zadzwoń Napisz wiadomość

Dlaczego Shadow AI uderza w RODO?

RODO nie zabrania korzystania z AI jako takiej. Wymaga jednak, aby przetwarzanie danych osobowych było zgodne z podstawowymi zasadami: miało podstawę prawną, było ograniczone do celu, adekwatne i bezpieczne. Komisja Europejska przypomina też, że „data protection by design and by default” oznacza wdrażanie środków technicznych i organizacyjnych już na etapie projektowania procesu oraz przetwarzanie domyślnie tylko tych danych, które są niezbędne, przy ograniczonej dostępności i możliwie krótkim okresie przechowywania2. Z kolei EROD w Opinii 28/224 wskazała, że przy rozwoju i wdrażaniu modeli AI trzeba oceniać m.in. możliwość uznania modelu za anonimowy, podstawę prawną przetwarzania danych oraz skutki wcześniejszego niezgodnego z prawem wykorzystania danych osobowych.3

W realiach Shadow AI największy problem polega na tym, że te zasady są omijane „na skróty”. Pracownik wkleja dane do narzędzia, bo chce szybciej wykonać zadanie, ale nikt wcześniej nie sprawdził, czy w ogóle powinien tam trafiać numer telefonu klienta, treść reklamacji, dane zdrowotne, dane pracownika albo niepubliczne informacje o transakcji. Z punktu widzenia firmy to może oznaczać naruszenie zasady minimalizacji, poufności, ograniczenia celu, a czasem także problem z legalnością samego udostępnienia danych do zewnętrznego dostawcy. Dlatego w Biurze Porad Prawnych Zacharski nie zaczynamy od abstrakcyjnych zakazów, tylko od mapowania procesów i sprawdzenia, gdzie AI już styka się z danymi osobowymi.

Shadow AI
Do narzędzia AI mogą trafić nie tylko dane osobowe, ale także cenniki, marże, warunki negocjacyjne, wzory dokumentów, baza klientów, opisy procesów, know-how, briefy produktowe, strategie marketingowe, kod źródłowy albo treści umów z kontrahentami

Gdzie pojawia się ryzyko dla tajemnicy przedsiębiorstwa?

W polskim prawie tajemnica przedsiębiorstwa to co do zasady informacje techniczne, technologiczne, organizacyjne przedsiębiorstwa lub inne informacje mające wartość gospodarczą, które nie są powszechnie znane albo łatwo dostępne dla osób zwykle zajmujących się tym rodzajem informacji, o ile uprawniony podjął – przy zachowaniu należytej staranności – działania w celu utrzymania ich w poufności. Ujawnienie, wykorzystanie lub pozyskanie takich informacji może stanowić czyn nieuczciwej konkurencji.4

To oznacza, że do narzędzia AI mogą trafić nie tylko dane osobowe, ale także cenniki, marże, warunki negocjacyjne, wzory dokumentów, baza klientów, opisy procesów, know-how, briefy produktowe, strategie marketingowe, kod źródłowy albo treści umów z kontrahentami. Z punktu widzenia przedsiębiorcy problem jest podwójny. Po pierwsze, takie dane mogą opuścić kontrolowane środowisko firmy. Po drugie, później trudniej wykazać, że organizacja rzeczywiście podjęła „niezbędne działania” dla zachowania poufności, skoro pracownicy swobodnie wklejali treści do niezatwierdzonych narzędzi. Właśnie dlatego przy Shadow AI mówimy nie tylko o compliance, ale też o ochronie przewagi konkurencyjnej.

Dlaczego sam zakaz korzystania z AI zwykle nie wystarcza?

Zakaz korzystania z AI zwykle nie wystarcza, ponieważ problem nie polega na samej technologii, tylko na braku ładu organizacyjnego. Komisja Europejska wyjaśnia, że art. 4 AI Act nakłada na dostawców oraz podmioty stosujące systemy AI obowiązek zapewnienia odpowiedniego poziomu kompetencji w zakresie AI (AI literacy) personelu i innych osób działających w ich imieniu.5 Co ważne, Komisja zaznacza też, że nie ma jednego sztywnego modelu szkolenia, ale organizacja powinna umieć wykazać, że podjęła odpowiednie środki, a sam instruktaż „przeczytaj instrukcję narzędzia” może być niewystarczający.

To prowadzi do bardzo praktycznego wniosku: firma, która chce ograniczyć Shadow AI, powinna łączyć polityki, szkolenia, nadzór i ocenę ryzyka. W Biurze Porad Prawnych Zacharski właśnie w tym miejscu najczęściej pomagamy: przygotowujemy zasady dopuszczalnego użycia AI, porządkujemy role w organizacji, wskazujemy kiedy potrzebna jest analiza ryzyka lub głębsza ocena skutków, a kiedy wystarczy prostszy model zarządzania. Zamiast tworzyć dokument „do szuflady”, lepiej zbudować zasady, które pracownicy rzeczywiście zrozumieją i będą umieli stosować.

Jak ograniczyć ryzyko Shadow AI w firmie?

Najpierw trzeba ustalić, gdzie problem rzeczywiście występuje. W praktyce oznacza to audyt używanych narzędzi, działów i typów danych. Bez tego organizacja zwykle nie wie, czy AI jest używana tylko do redakcji neutralnych tekstów, czy już do analizy CV, dokumentów kadrowych, reklamacji klientów albo projektów umów. Dopiero potem można sensownie zaprojektować dalsze kroki.

W praktyce ograniczanie ryzyka Shadow AI powinno obejmować:

  • rozpoznanie narzędzi AI już używanych w firmie, także tych wykorzystywanych nieformalnie przez pracowników,
  • ustalenie, jakie dane trafiają do tych narzędzi, w tym czy są to dane osobowe, dane wrażliwe lub informacje poufne,
  • podział przypadków użycia na dozwolone, warunkowo dozwolone i niedozwolone,
  • weryfikację dostawców narzędzi AI, w tym zasad przechowywania danych, transferów poza EOG i możliwości dalszego wykorzystywania treści,
  • wdrożenie jasnych zasad dla pracowników, tak aby wiedzieli, czego nie wolno wpisywać do zewnętrznych systemów,
  • przeprowadzenie szkoleń i działań podnoszących AI literacy, dopasowanych do roli i poziomu ryzyka,
  • ustalenie procedury reagowania na incydenty, gdy do narzędzia AI trafią dane, które nie powinny zostać ujawnione.

Kolejny etap to podział narzędzi i przypadków użycia na trzy grupy: dozwolone, dozwolone warunkowo i niedozwolone. W praktyce bardzo dobrze działa prosta zasada: bez odrębnej zgody i oceny nie wklejamy do zewnętrznych narzędzi AI danych klientów, danych pracowników, danych szczególnych kategorii, dokumentów objętych tajemnicą przedsiębiorstwa, materiałów kontraktowych ani informacji, które nie powinny opuszczać środowiska firmy.

Co powinno znaleźć się w firmowej polityce AI?

Dobra polityka AI nie powinna być zbiorem ogólników. Powinna odpowiadać na pytania, które pracownik ma naprawdę w głowie: z jakich narzędzi mogę korzystać, czego nie wolno tam wpisywać, kto zatwierdza nowe przypadki użycia, jak ocenić ryzyko, co robić przy danych klientów, jak zgłosić wątpliwość i co zrobić, gdy do narzędzia trafiło już coś, co nie powinno było tam trafić.

Dobrze przygotowana polityka AI powinna zawierać co najmniej:

  • listę dopuszczonych narzędzi AI oraz zasady korzystania z nich w firmie,
  • określenie kategorii danych i informacji, których nie wolno wprowadzać do systemów AI,
  • zasady oceny ryzyka przed wdrożeniem nowego zastosowania AI,
  • podział odpowiedzialności, czyli wskazanie, kto zatwierdza użycie narzędzia i kto nadzoruje zgodność,
  • wytyczne dotyczące danych osobowych, poufnych dokumentów i tajemnicy przedsiębiorstwa,
  • zasady współpracy z dostawcami AI, w tym wymogi umowne i kwestie transferów danych,
  • procedurę zgłaszania incydentów oraz nieprawidłowego użycia AI,
  • reguły szkolenia pracowników i potwierdzania znajomości zasad.

W wielu firmach potrzebna jest też osobna część dotycząca tajemnicy przedsiębiorstwa: jakie informacje są w organizacji poufne, kto decyduje o ich użyciu, jak wygląda klasyfikacja dokumentów, jakich kategorii treści nie wolno przetwarzać w publicznych modelach i jakie są konsekwencje obchodzenia zasad. Jeżeli przedsiębiorca chce skutecznie chronić swoją tajemnicę, musi umieć pokazać, że rzeczywiście wdrożył działania służące zachowaniu poufności.

Shadow AI

Kiedy trzeba reagować natychmiast?

Natychmiastowej reakcji wymaga sytuacja, w której pracownik wkleił do narzędzia AI dane osobowe, dane wrażliwe, treści umów, zestawienia finansowe, dokumentację HR, informacje o klientach, kod źródłowy albo inne informacje o wartości gospodarczej. Wtedy nie wystarczy „usunąć prompt”. Trzeba sprawdzić, jakie dane ujawniono, w jakim narzędziu, na jakich warunkach, czy doszło do naruszenia ochrony danych, czy trzeba uruchomić procedurę incydentową i jakie działania ograniczające należy wdrożyć. RODO wymaga bowiem odpowiednich środków bezpieczeństwa, a przy naruszeniach liczy się nie tylko sam fakt zdarzenia, ale też sposób reakcji organizacji.

To właśnie w takich momentach wsparcie prawne powinno być szybkie i praktyczne. W Biurze Porad Prawnych Zacharski pomagamy firmom ocenić, czy zdarzenie ma charakter naruszenia, jak je udokumentować, czy i kiedy rozważyć zgłoszenie do UODO, jak ograniczyć skutki biznesowe incydentu oraz jak poprawić procedury, żeby podobna sytuacja się nie powtórzyła. Shadow AI nie jest dziś marginalnym eksperymentem pracowników. To realny obszar ryzyka, który łączy ochronę danych, poufność informacji i coraz bardziej konkretne obowiązki w obszarze AI governance. AI Act już teraz wymaga działań w zakresie AI literacy, a dalsze obowiązki będą narastać wraz z kolejnymi etapami stosowania rozporządzenia.

Shadow AI da się uporządkować

Najgorsze, co firma może dziś zrobić, to udawać, że problemu nie ma. Lepsze od całkowitego zakazu jest świadome zarządzanie użyciem AI: wiedzieć, jakie narzędzia są używane, jakie dane do nich trafiają, kto za to odpowiada i gdzie kończy się wygoda, a zaczyna ryzyko prawne i biznesowe. RODO wymaga bezpieczeństwa, minimalizacji i właściwego zaprojektowania procesu, a ochrona tajemnicy przedsiębiorstwa wymaga realnych działań na rzecz poufności. Shadow AI uderza dokładnie w te dwa obszary naraz.

Dlatego ten temat warto potraktować nie jako modę, ale jako element zarządzania ryzykiem. W Biurze Porad Prawnych Zacharski pomagamy firmom przejść przez ten proces od strony praktycznej: od rozpoznania rzeczywistych użyć AI, przez analizę ryzyka i dokumentację, po zasady dla pracowników, umowy z dostawcami i procedury reagowania na incydenty. Dobrze ułożone zasady nie mają blokować AI. Mają sprawić, żeby firma korzystała z niej świadomie, bez niepotrzebnego ryzyka dla RODO, tajemnicy przedsiębiorstwa i reputacji.

  1. UODO Sztuczna inteligencja
  2. Komisja Europejska What does data protection 'by design’ and 'by default’ mean?
  3. EROD / EDPB, Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models
  4. ISAP Ustawa o zwalczaniu nieuczciwej konkurencji
  5. Komisja Europejska AI Literacy Q&A
Roboty humanoidalne wspierają biznes

Roboty humanoidalne wspierają biznes

7 pytań, które musi zadać sobie firma korzystająca z AI

7 pytań, które musi zadać sobie firma korzystająca z AI

Czy AI może analizować CV? Co wolno w rekrutacji po AI ACT?

Czy AI może analizować CV? Co wolno w rekrutacji po AI ACT?

zobacz więcej

Najważniejsze informacje

  • Shadow AI to używanie narzędzi AI (np. ChatGPT) poza oficjalnymi procedurami firmy, bez oceny ryzyka i zgody działu bezpieczeństwa lub prawnego.
  • Pracownicy korzystający z shadow AI mogą nieświadomie przekazywać zewnętrznym systemom dane osobowe klientów, pracowników lub inne dane wrażliwe.
  • Poza naruszeniem RODO, shadow AI stwarza ryzyko ujawnienia tajemnic handlowych: cenników, kontraktów, strategii i kodu źródłowego.
  • Organizacja powinna przeprowadzić audyt używanych narzędzi AI i sklasyfikować dane jako dopuszczalne, warunkowo dopuszczalne lub zakazane do wpisywania w AI.
  • Polityka AI w firmie powinna jasno wskazywać, które narzędzia są zatwierdzone, jakich danych nie wolno wprowadzać i jak zgłaszać incydenty.
  • Szkolenia z zakresu świadomości AI, dostosowane do roli i poziomu ryzyka pracownika, są kluczowym elementem zarządzania ryzykiem shadow AI.

Zobacz również

Gemini vs ChatGPT. Czy Google zaczyna wygrywać wyścig AI?

Gemini vs ChatGPT. Czy Google zaczyna wygrywać wyścig AI?

Jak powinna wyglądać Polityka Prywatności w 2026 roku?

Jak powinna wyglądać Polityka Prywatności w 2026 roku?

Jakie są najczęstsze błędy popełniane podczas szkoleń RODO?

Jakie są najczęstsze błędy popełniane podczas szkoleń RODO?

Sklep zarządzany przez AI. Sztuczna inteligencja prowadzi butik w USA.

Sklep zarządzany przez AI. Sztuczna inteligencja prowadzi butik w USA.

Obowiązek informacyjny RODO. Bezpłatny wzór klauzuli RODO

Obowiązek informacyjny RODO. Bezpłatny wzór klauzuli RODO

Skontaktuj się

Masz pytania dotyczące ochrony danych osobowych lub wdrożenia RODO? Skontaktuj się z nami już dziś!

Nasi specjaliści z zakresu ochrony danych osobowych są gotowi, aby pomóc Ci w rozwiązaniu wszelkich problemów związanych z RODO. Niezależnie od tego, czy potrzebujesz porady prawnej, audytu RODO, czy pełnej obsługi wdrożeniowej, jesteśmy tutaj, aby wspierać Twoją firmę na każdym etapie.

Zalety współpracy z nami:

  • Profesjonalna pomoc prawna dostosowana do indywidualnych potrzeb Twojej firmy.
  • Kompleksowe wsparcie w zakresie ochrony danych osobowych i RODO.
  • Indywidualne podejście i szybka reakcja na Twoje zapytania.
  • Pełne bezpieczeństwo danych.
Formularz kontaktowy
Administratorem Twoich danych osobowych jest Oskar Zacharski działający pod firmą Biuro Porad Prawnych Oskar Zacharski, z siedzibą w Radomiu przy ul. Żwirki i Wigury 33/43, (26-600 Radom). Twoje dane osobowe tj. imię i nazwisko, adres email oraz dane osobowe podane w formularzu kontaktowym przetwarzane są w celu udzielenia odpowiedzi na Twoje zapytania. Więcej informacji o przetwarzaniu danych osobowych, w tym o przysługujących Ci prawach, możesz znaleźć w Polityce Prywatności BPPZ