Wróć do bloga
rodoai actochrona danychchatgptprawo ai

RODO i AI — jak legalnie używać ChatGPT w polskiej firmie

Czy wolno wrzucać dane klientów do ChatGPT? Jak prawnie korzystać z AI w firmie? Kompletny przewodnik po RODO, AI Act i praktycznych wdrożeniach 2026.

Zespół VITA

Używasz ChatGPT albo Claude w firmie? W 2026 roku obowiązuje nowy AI Act Unii Europejskiej plus zaktualizowane wytyczne RODO w kontekście AI. Jeśli nie dostosujesz procesów, ryzykujesz kary do 4% globalnego obrotu (RODO) albo 7% obrotu (AI Act). Ten przewodnik pokaże Ci, jak korzystać z AI legalnie i bezpiecznie.

Dlaczego RODO ma znaczenie dla AI?

AI przetwarza ogromne ilości danych — często danych osobowych, nawet jeśli o tym nie wiemy. Przykłady:

  • Wrzucasz umowę z nazwiskiem klienta — to dane osobowe
  • Tłumaczysz CV kandydata — dane osobowe
  • Streszczasz maila od klienta — dane osobowe
  • Analizujesz rozmowę sprzedażową — dane osobowe
  • Generujesz odpowiedź do reklamacji — dane osobowe

RODO mówi jasno: każde przetwarzanie danych osobowych wymaga podstawy prawnej i odpowiednich środków bezpieczeństwa.

AI Act — co się zmieniło w 2025–2026?

AI Act UE wszedł w życie etapami:

  • Luty 2025: zakaz praktyk zakazanych (np. social scoring, manipulacja)
  • Sierpień 2025: obowiązki dla dostawców modeli ogólnego przeznaczenia (GPT-4, Claude)
  • Sierpień 2026: pełne stosowanie — obowiązki dla firm używających AI wysokiego ryzyka

Kategorie ryzyka AI Act

  • Ryzyko niedopuszczalne — zakazane (np. rozpoznawanie emocji w pracy)
  • Ryzyko wysokie — HR, edukacja, usługi publiczne, medycyna → ścisłe obowiązki
  • Ryzyko ograniczone — chatboty, deepfake → obowiązek transparentności
  • Ryzyko minimalne — większość zastosowań → kodeksy dobrej praktyki

5 zasad korzystania z AI zgodnie z RODO

1. Podstawa prawna przetwarzania

Zanim wrzucisz jakiekolwiek dane do AI, musisz mieć jedną z podstaw:

  • Zgoda osoby — wyraźna, dobrowolna, odwołalna
  • Umowa — gdy przetwarzanie jest niezbędne do wykonania umowy
  • Obowiązek prawny — gdy przepis wymaga przetwarzania
  • Uzasadniony interes — po teście proporcjonalności

W praktyce: najczęściej "uzasadniony interes" albo "wykonanie umowy".

2. Umowa powierzenia (DPA) z dostawcą AI

Dostawca AI (OpenAI, Anthropic, Google) przetwarza dane w Twoim imieniu = jest procesorem. Musisz mieć z nim umowę DPA.

Co zawiera DPA:

  • Zakres i cel przetwarzania
  • Środki bezpieczeństwa
  • Obowiązki informacyjne w razie wycieku
  • Prawo kontroli
  • Miejsce przetwarzania (czy dane nie wychodzą z UE?)

Gdzie znaleźć:

  • ChatGPT Enterprise/Team: automatyczny DPA dostępny w panelu
  • Claude for Enterprise: standardowy DPA OpenAI/Anthropic
  • Plany darmowe/Plus: brak DPA = nie wolno wrzucać danych klientów

3. Minimalizacja danych

Zasada: wrzucasz tylko te dane, które są niezbędne do zadania. Jeśli AI ma przeanalizować umowę, nie wrzucaj wszystkich załączników "na wszelki wypadek".

Techniki minimalizacji:

  • Pseudonimizacja (Jan Kowalski → Klient A)
  • Anonimizacja (usunięcie wszystkich danych identyfikujących)
  • Redakcja (zamazywanie adresów, numerów)

4. Informacja dla osoby, której dane dotyczą

Jeśli przetwarzasz dane klienta z użyciem AI, musisz go o tym poinformować. Zwykle w polityce prywatności / umowie:

"W celu realizacji usługi przetwarzamy Państwa dane z użyciem narzędzi AI (OpenAI, Anthropic). Dane nie są używane do trenowania modeli i są przetwarzane w UE/USA zgodnie z Tarczą Danych UE-USA."

5. Rejestr czynności przetwarzania

Dopisz AI do rejestru:

  • Kategoria danych (umowy, maile, CV)
  • Cel przetwarzania (analiza, tłumaczenie, streszczenie)
  • Kategorie odbiorców (OpenAI, Anthropic)
  • Okres przechowywania
  • Środki bezpieczeństwa

Ocena skutków (DPIA) — kiedy obowiązkowa?

DPIA (Data Protection Impact Assessment) jest obowiązkowa, gdy:

  • Przetwarzasz dane wrażliwe (zdrowie, pochodzenie, przekonania)
  • Monitorujesz zachowania użytkowników na dużą skalę
  • Używasz AI do automatycznych decyzji dotyczących osób (np. rekrutacja)
  • Łączysz dane z wielu źródeł

DPIA to dokument analizujący:

  • Jakie dane przetwarzasz i po co
  • Jakie ryzyka wiążą się z przetwarzaniem
  • Jakie środki stosujesz, żeby zminimalizować ryzyka
  • Decyzję o kontynuowaniu/zmianie

Praktyczne reguły dla firmy

Co wolno:

  • Używać AI do zadań nieobejmujących danych osobowych (research, pisanie artykułów, brainstorming)
  • Używać AI z anonimizowanymi danymi
  • Używać AI z prawdziwymi danymi — jeśli masz DPA, informujesz klientów i przestrzegasz RODO
  • Korzystać z lokalnych modeli (Ollama, LM Studio) bez wysyłania danych w chmurę

Czego nie wolno:

  • Wrzucać dane klientów do darmowego ChatGPT
  • Używać AI do decyzji o ludziach bez nadzoru człowieka (np. automatyczny scoring kandydatów)
  • Ignorować wniosków o usunięcie danych
  • Trenować własny model na danych klientów bez ich zgody
  • Używać deepfake bez oznaczenia

Kary w 2026

Kary RODO: do 4% globalnego obrotu albo 20 mln euro — wyższa kwota wygrywa. Kary AI Act: do 7% globalnego obrotu za praktyki zakazane.

Przykłady kar w Polsce 2024–2025:

  • Bank 2 mln zł — wyciek danych klientów
  • E-commerce 1,5 mln zł — brak zabezpieczeń
  • Agencja marketingowa 250 000 zł — brak zgody na newsletter

Jak wdrożyć AI w firmie krok po kroku?

  1. Audyt — gdzie i jak używacie AI teraz (często więcej niż myślicie)
  2. Wybór planów biznesowych — ChatGPT Team/Enterprise, Claude for Teams
  3. Podpisanie DPA z dostawcami
  4. Aktualizacja polityki prywatności i regulaminu
  5. DPIA jeśli wymagana
  6. Szkolenie pracowników — co wolno, czego nie
  7. Wewnętrzna polityka AI — dokument dla zespołu
  8. Monitoring i audyt co pół roku

FAQ

Czy mogę używać darmowego ChatGPT do pracy? Tylko do zadań nieobejmujących danych osobowych. Nigdy do umów, maili, CV klientów. Do research i pisania artykułów — tak.

Czy lokalne modele (Ollama) rozwiązują problem RODO? Tak, prawie całkowicie — dane nigdy nie opuszczają Twojej infrastruktury. Nadal musisz mieć jednak podstawę prawną przetwarzania.

Czy AI wymaga zgody RODO zawsze? Nie. Jeśli masz inną podstawę (umowa, uzasadniony interes), zgoda nie jest wymagana. Ale musisz to prawidłowo udokumentować.

Co z prawem do bycia zapomnianym? Jeśli ktoś żąda usunięcia — musisz usunąć dane też z systemów AI. Trudno to wyegzekwować u dostawców chmurowych, więc minimalizuj wrzucane dane.

Czy RODO dotyczy AI do wewnętrznego użytku? Tak, jeśli przetwarzasz dane pracowników. Pracownik jest tak samo chroniony jak klient.

Podsumowanie

RODO i AI Act w 2026 wymagają systematycznego podejścia — ale nie są przeszkodą. Większość firm korzysta z AI legalnie dzięki planom biznesowym z DPA i prostym politykom wewnętrznym. Jeśli chcesz systematycznie poznać zasady wdrażania AI zgodnie z RODO i AI Act, sprawdź kurs RODO i AI: Ochrona Danych w Erze AI z praktycznymi szablonami.

Udostępnij artykuł

FacebookTwitter / XLinkedIn

Powiązane artykuły

50 promptów ChatGPT dla firm — gotowe do użycia

Nie wiesz, od czego zacząć z ChatGPT w firmie? Oto 50 gotowych promptów do marketingu, HR, sprzedaży, księgowości i obsługi klienta.

Lokalne LLM w firmie — jak zacząć z Ollama w 2026

Twoje dane nigdy nie opuszczają serwera. Ollama + Llama 3 / Mistral / Bielik — praktyczny przewodnik po lokalnym AI w polskiej firmie.

DPIA dla AI — kiedy obowiązkowa i jak ją zrobić w 2026

Używasz AI w firmie? Część systemów wymaga Oceny Skutków (DPIA) — bez niej kara do 20 mln euro. Sprawdź, kiedy DPIA jest obowiązkowa i jak ją wykonać.

Polecane kursy

Umowy gospodarcze w praktyce

Praktyczny kurs przygotowywania i negocjowania umów gospodarczych z gotowymi szablonami i przykładami dla przedsiębiorców.

Prawo gospodarcze publiczne

Kompleksowy kurs o regulacjach prawnych w działalności gospodarczej - koncesje, zezwolenia, kontrole i relacje z administracją.

Python - Analiza Danych z Pandas

Praktyczna analiza danych w Python z biblioteką Pandas. Import, czyszczenie, transformacja i wizualizacja danych.