Wróć do artykułów
7 min czytania

RODO a sztuczna inteligencja - obowiązki i pułapki prawne

Jak RODO reguluje sztuczną inteligencję w firmach. Art. 22, DPIA, minimalizacja danych, wytyczne EROD dot. ChatGPT i polskie regulacje AI.

RODO sztuczna inteligencja ochrona danych AI w biznesie compliance
RODO a sztuczna inteligencja - obowiązki i pułapki prawne

RODO a sztuczna inteligencja to połączenie, które sprawia firmom coraz więcej problemów. Podczas gdy uwaga skupia się na AI Act, to właśnie RODO pozostaje głównym źródłem kar za nieprawidłowe wdrożenia AI - kara 290 mln EUR dla Ubera, 15 mln EUR dla OpenAI, 2,5 mln EUR dla Deliveroo. Wszystkie te przypadki dotyczyły naruszenia RODO, nie AI Act.

W pracy z firmami obserwuję, że wiele organizacji traktuje RODO i AI jako osobne tematy. To błąd - systemy AI przetwarzają dane osobowe na masową skalę, a RODO nakłada na to konkretne obowiązki, które istnieją niezależnie od AI Act i muszą być spełnione równolegle.

Art. 22 RODO - zakaz zautomatyzowanych decyzji

Art. 22 ust. 1 RODO ustanawia prawo osoby do niepodlegania decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu, jeśli wywołuje skutki prawne lub istotnie na nią wpływa. Europejska Rada Ochrony Danych (EROD) interpretuje to nie jako prawo wymagające powołania się, ale jako ogólny zakaz.

Kiedy zakaz nie obowiązuje?

Zakaz ma trzy wyjątki: gdy decyzja jest niezbędna do zawarcia lub wykonania umowy, gdy jest dozwolona prawem UE lub krajowym (np. monitorowanie oszustw) lub gdy opiera się na wyraźnej zgodzie osoby. W każdym z tych przypadków administrator musi zapewnić prawo do interwencji ludzkiej, wyrażenia stanowiska i zakwestionowania decyzji.

Problem “gumowych pieczątek”

Kluczowa kwestia to znaczący udział człowieka. EROD podkreśla, że samo posiadanie osoby teoretycznie zdolnej do zmiany decyzji nie wystarcza, jeśli w praktyce decyzje AI są automatycznie akceptowane. “Gumowe pieczątki” nie są uznawane za wystarczający nadzór - osoba nadzorująca musi mieć realne uprawnienia i kompetencje do zmiany decyzji algorytmu.

To ma bezpośrednie przełożenie na firmy korzystające z AI w HR, finansach czy obsłudze klienta. Jeśli pracownik jedynie “klika OK” na rekomendacji algorytmu, firma narusza art. 22. Więcej o praktycznych konsekwencjach tego problemu opisuję w artykule o zagrożeniach AI w miejscu pracy.

DPIA - ocena skutków obowiązkowa przed wdrożeniem AI

Art. 35 RODO wymaga przeprowadzenia oceny skutków dla ochrony danych (DPIA) przed rozpoczęciem przetwarzania, które może powodować wysokie ryzyko dla praw osób fizycznych. Trzy automatyczne przesłanki wymagające DPIA to:

  1. Systematyczna ocena aspektów osobistych oparta na zautomatyzowanym przetwarzaniu, na podstawie której podejmowane są decyzje ze skutkami prawnymi
  2. Przetwarzanie na dużą skalę danych szczególnych kategorii
  3. Systematyczne monitorowanie miejsc publicznych na dużą skalę

EROD wskazuje, że DPIA powinna być przeprowadzona, gdy spełnione są co najmniej dwa z dziewięciu kryteriów - obejmujących m.in. scoring, zautomatyzowane decyzje i przetwarzanie innowacyjne technologicznie. W praktyce niemal każdy system AI przetwarzający dane osobowe wymaga DPIA.

Co musi zawierać DPIA?

  • Opis operacji przetwarzania i ich celów
  • Ocena konieczności i proporcjonalności
  • Ocena ryzyk dla osób, których dane dotyczą
  • Środki zaradcze

W kontekście AI należy dodatkowo uwzględnić ryzyko stronniczości (bias), halucynacji i automatyzacji decyzji. Wynik DPIA powinien być zatwierdzony przez IOD (DPO) we współpracy z AI Ownerem.

DPIA a AI Act - dwa osobne obowiązki

Art. 27 AI Act wprowadza odrębną ocenę skutków dla praw podstawowych (FRIA). Obie oceny mogą być przeprowadzone łącznie, ale wzajemnie się nie zastępują. W praktyce firma wdrażająca system AI wysokiego ryzyka przetwarzający dane osobowe musi przeprowadzić zarówno DPIA (RODO), jak i FRIA (AI Act).

Minimalizacja danych vs trenowanie modeli AI

Zasada minimalizacji danych (art. 5 ust. 1 lit. c RODO) wymaga, by dane osobowe były ograniczone do tego, co niezbędne. To stwarza napięcie z potrzebami AI - modele uczenia głębokiego wymagają ogromnych zbiorów danych.

Francuski CNIL wyjaśnił, że minimalizacja nie zabrania trenowania na bardzo dużych wolumenach danych, lecz wymaga rozumienia, dlaczego dane są potrzebne, oraz wyboru technik minimalizujących użycie danych osobowych. Praktyczne środki zaradcze to anonimizacja, pseudonimizacja, dane syntetyczne, uczenie federacyjne i prywatność różnicowa.

Dodatkowe wyzwanie stanowi prawo do usunięcia danych - gdy dane osobowe są zaszyfrowane w parametrach wytrenowanego modelu, ich izolacja i usunięcie staje się praktycznie niemożliwe. To jeden z powodów, dla których polityka AI powinna zawierać jasną klasyfikację danych wejściowych - lepiej zapobiegać niż próbować usuwać dane z modelu.

Wytyczne EROD dotyczące ChatGPT

W maju 2024 EROD opublikowała raport grupy zadaniowej ds. ChatGPT, a w grudniu 2024 opinię 28/2024 o modelach AI i danych osobowych. Kluczowe ustalenia:

  • OpenAI powoływało się na uzasadniony interes jako podstawę web scrapingu
  • Sama dostępność publiczna danych nie oznacza, że osoba “wyraźnie je upubliczniła”
  • ChatGPT musi informować o probabilistycznym charakterze wyników
  • Samo ostrzeżenie o potencjalnej niedokładności nie jest wystarczające do spełnienia zasady rzetelności
  • Modele AI trenowane na danych osobowych nie mogą być automatycznie uznane za anonimowe

Ta ostatnia kwestia jest szczególnie istotna - firma nie może argumentować, że “model jest anonimowy, bo przetwarza dane statystycznie”. Jeśli model był trenowany na danych osobowych, RODO nadal się stosuje.

Prawo do wyjaśnienia decyzji algorytmicznych

Motyw 71 RODO mówi o prawie do uzyskania wyjaśnienia podjętej decyzji i jej zakwestionowania. Status prawny jest dyskutowany - motywy nie są prawnie wiążące - ale wiążące obowiązki transparentności wynikają z art. 13-15, wymagających podania informacji o logice zautomatyzowanego przetwarzania.

AI Act wzmacnia tę ochronę - art. 86 wprowadza wiążące prawo do wyjaśnienia indywidualnych decyzji. W praktyce oznacza to, że firma musi być w stanie wytłumaczyć klientowi lub pracownikowi, dlaczego algorytm podjął taką, a nie inną decyzję.

To ma konsekwencje dla wyboru modeli AI - tzw. “czarne skrzynki” (black box models) mogą być problematyczne z perspektywy compliance, jeśli nie da się wytłumaczyć ich decyzji w zrozumiały sposób.

Polskie regulacje i rola UODO

UODO prowadzi dedykowaną sekcję o sztucznej inteligencji na swojej stronie i aktywnie przygotowuje się do roli w systemie nadzoru AI. W 2025 roku uruchomiło ankietę dotyczącą wykorzystania AI w organizacjach, której wyniki posłużą do opracowania szczegółowych wytycznych.

Ministerstwo Cyfryzacji pracuje nad ustawą o systemach sztucznej inteligencji, która przewiduje powołanie Komisji Rozwoju i Bezpieczeństwa Sztucznej Inteligencji (KRiBSI). UODO ma pełnić rolę dodatkowego organu nadzorczego w obszarach wymiaru sprawiedliwości i policji.

Warto zwrócić uwagę na polskie inicjatywy branżowe - Fundacja Digital Poland prowadzi programy szkoleniowe, a Fundacja Panoptykon aktywnie uczestniczy w konsultacjach, zwracając uwagę na prawa obywateli wobec algorytmów.

RODO + AI Act - podwójna zgodność

Oba akty prawne stosuje się równolegle. Szacuje się, że ok. 90% sytuacji z systemami AI wysokiego ryzyka wymaga podwójnej zgodności. Nakładają się w obszarach:

  • Oceny skutków - DPIA (RODO) i FRIA (AI Act)
  • Transparentność - art. 12-14 RODO i art. 13, 50 AI Act
  • Nadzór ludzki - art. 22 RODO i art. 14 AI Act
  • Zarządzanie danymi - art. 5 RODO i art. 10 AI Act
  • Przeciwdziałanie dyskryminacji - motyw 71 RODO i zakazy AI Act

Kluczowa różnica: RODO stosuje się do przetwarzania danych osobowych, AI Act - do wszystkich systemów AI na rynku UE, niezależnie od tego, czy przetwarzają dane osobowe.

Jak zabezpieczyć firmę przed ryzykiem RODO w kontekście AI?

Na podstawie doświadczeń z wdrożeń - pięć konkretnych kroków:

  1. Przeprowadź DPIA przed każdym wdrożeniem AI przetwarzającego dane osobowe - nie po incydencie
  2. Zapewnij realny nadzór ludzki - nie “gumowe pieczątki”, ale osoby z kompetencjami i uprawnieniami do zmiany decyzji AI
  3. Wdróż klasyfikację danych wejściowych - jasno określ, jakie dane mogą trafiać do narzędzi AI. Czterostopniowy model opisuję w artykule o budowie polityki AI
  4. Monitoruj wytyczne EROD i UODO - regulatorzy aktywnie interpretują RODO w kontekście AI, a ich wytyczne mają realny wpływ na praktykę egzekwowania
  5. Szkol pracowników - shadow AI to nie tylko problem bezpieczeństwa, ale też RODO. Pracownik wklejający dane osobowe klientów do ChatGPT narusza zasadę minimalizacji danych

Potrzebujesz wsparcia w zapewnieniu zgodności AI z RODO? Sprawdź nasze konsultacje strategiczne lub szkolenia AI dla firm, w których omawiamy praktyczne aspekty compliance.

Tworzę polityki AI dla firm

Generator Polityki AI tworzy gotowy dokument dostosowany do branży i skali firmy - za darmo, bez rejestracji.

Generator Polityki AI Umów konsultację