1. Strona główna
  2. AI, RODO, EU Data Act, Cyberbezpieczeństwo, Kryptowaluty, E-handel
  3. RODO i Bezpieczeństwo Informacji
  4. RODO
  5. Sztuczna inteligencja a RODO w firmie – jak legalnie trenować i wdrażać AI
Wyszukiwanie...
Data publikacji: 04.02.2026

Sztuczna inteligencja a RODO w firmie – jak legalnie trenować i wdrażać AI

Spis treści

Rozwój sztucznej inteligencji (AI) niesie ogromne korzyści dla biznesu – od automatyzacji obsługi klienta, po analizę danych i wspieranie rekrutacji. Jednak każda organizacja, która korzysta z AI, musi pamiętać, że dane wykorzystywane do trenowania i obsługi modeli mogą być danymi osobowymi, a wtedy w grę wchodzi pełne stosowanie RODO.

Błędy w tym zakresie mogą skutkować karami finansowymi (do 20 mln EUR lub 4% obrotu), ale także utratą zaufania klientów. Dlatego w tym poradniku krok po kroku omawiam, jak zgodnie z RODO i AI Act budować i stosować AI – od wyboru podstawy prawnej, przez obowiązki informacyjne, po analizę ryzyk i przykłady praktyczne.

Podstawowe pytania: kiedy RODO ma zastosowanie?

Czy trenowanie lub używanie AI to przetwarzanie danych osobowych?

  • Tak, jeśli: model AI jest trenowany na danych zawierających informacje o osobach fizycznych (np. CV, dane klientów, opinie w internecie).
  • Nie, jeśli: model korzysta wyłącznie z danych w pełni anonimowych.

🔎 Kluczowe rozróżnienie:
EROD wskazuje, że modele trenowane na danych osobowych nie mogą być automatycznie uznane za „anonimowe”. Organy nadzorcze powinny sprawdzać:

  1. Czy istnieje ryzyko wydobycia danych treningowych z modelu.
  2. Czy dane można uzyskać, stosując odpowiednie prompty.

Wniosek: tylko jeśli oba te ryzyka są nieistotne, można mówić o modelu „anonimowym”.

Na czym oprzeć przetwarzanie? Podstawy prawne

1. Trenowanie modeli AI

Najczęściej stosuje się uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO).
Aby z niego skorzystać, trzeba przejść test trójstopniowy:

  • Cel: interes musi być zgodny z prawem i konkretny (np. rozwój wirtualnego doradcy, wykrywanie oszustw).
  • Niezbędność: brak mniej ingerencyjnej alternatywy (np. użycia zbiorów bez danych osobowych).
  • Ważenie interesów: czy prawa i wolności osób nie przeważają nad interesem administratora.

2. Stosowanie AI w codziennej działalności

Na etapie obsługi klienta, rekrutacji czy analizy danych również zwykle stosuje się uzasadniony interes. Jednak trzeba ocenić:

  • czy AI nie wpływa nadmiernie na sytuację osoby (np. decyzje o zatrudnieniu, kredycie),
  • czy nie są przetwarzane dane wrażliwe (zdrowie, poglądy).

3. Dane wrażliwe i systemy wysokiego ryzyka (AI Act)

AI Act dopuszcza wyjątkowo przetwarzanie danych szczególnych kategorii, jeśli jest to absolutnie konieczne do wykrywania i korygowania uprzedzeń w systemach wysokiego ryzyka – pod warunkiem zastosowania odpowiednich zabezpieczeń.

Transparentność i obowiązek informacyjny

RODO (art. 13 i 14) nakłada obowiązek poinformowania osoby o:

  • celach i podstawach przetwarzania,
  • kategoriach danych,
  • odbiorcach,
  • okresie przechowywania,
  • prawach osoby.

👉 W przypadku AI organy podkreślają, że zakres informacji może być szerszy – np. należy opisać logikę działania modelu, źródła danych czy potencjalne skutki korzystania.

⚠️ Wyjątki od obowiązku informacyjnego (np. „niewspółmierny wysiłek”) interpretujemy bardzo wąsko. Sama trudność techniczna nie wystarcza.

DPIA – ocena skutków dla ochrony danych (art. 35 RODO)

„Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków…” – art. 35 ust. 1 RODO.

📌 Przykłady sytuacji, gdy DPIA będzie konieczna:

  • przetwarzanie danych wrażliwych,
  • duża skala,
  • łączenie różnych zbiorów danych,
  • nowatorskie zastosowanie technologii.

Przykład praktyczny (e-commerce)

Firma: Sklep internetowy „ModaNova” wdraża chatbota AI do obsługi klientów.
Dane: historia zakupów, dane konta, zwroty.
Podstawa prawna: uzasadniony interes (lepsza obsługa klienta).
Transparentność: klauzula informacyjna + komunikat „rozmawiasz z asystentem AI”.
DPIA: obowiązkowa (profilowanie klientów, duża skala).
Bezpieczeństwo: dane szyfrowane, audyty dostawcy, testy stronniczości modelu.

Zautomatyzowane decyzje i prawa osób wobec AI

Zakaz w pełni zautomatyzowanego podejmowania decyzji

RODO (art. 22) mówi jasno:

👉 Osoba ma prawo nie podlegać decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, jeżeli decyzja wywołuje skutki prawne lub w podobny sposób istotnie na nią wpływa.

Wyjątki (art. 22 ust. 2 RODO):

  • niezbędność do wykonania umowy,
  • dopuszczalność na podstawie prawa UE/krajowego (z odpowiednimi zabezpieczeniami),
  • wyraźna zgoda osoby.

🔑 W każdym przypadku trzeba zapewnić dodatkowe gwarancje: możliwość interwencji człowieka, wyjaśnienie decyzji i prawo do zakwestionowania.

Prawo do wyjaśnienia (AI Act)

AI Act idzie krok dalej – w art. 86 daje osobie, wobec której zastosowano system AI wysokiego ryzyka, prawo do uzyskania jasnego i merytorycznego wyjaśnienia:

  • jaka była rola systemu w podejmowaniu decyzji,
  • jakie były główne elementy decyzji,
  • jakie konsekwencje wynikają z użycia systemu.

📌 To oznacza, że organizacja nie może zasłaniać się „black box” – musi przygotować procedury, które pozwolą wytłumaczyć, jak model działał w danym przypadku.

Przykład praktyczny (HR i rekrutacja)

Firma: Spółka technologiczna „BitLuma” wdraża system preselekcji CV.
Cel: AI sortuje aplikacje i wskazuje kandydatów do rozmowy.
Dane: CV i listy motywacyjne (system automatycznie maskuje zdjęcia, usuwa dane o stanie cywilnym czy zdrowiu).

Podstawa prawna: uzasadniony interes – usprawnienie rekrutacji.
Zakaz decyzji w pełni zautomatyzowanych: decyzję podejmuje rekruter, a nie system → zakaz z art. 22 nie naruszony.
Transparentność: kandydat otrzymuje informację w ogłoszeniu i klauzuli, że wykorzystywane jest narzędzie AI.
DPIA: tak – bo to proces wpływający istotnie na przyszłość zawodową.
Minimalizacja ryzyka: testy stronniczości modelu, audyty, szkolenia rekruterów.

Obowiązek ujawnienia interakcji z AI (AI Act)

Art. 50 ust. 1 AI Act:
„Systemy AI przeznaczone do wchodzenia w bezpośrednią interakcję z osobami fizycznymi muszą być projektowane i rozwijane tak, aby zainteresowane osoby były informowane, że prowadzą interakcję z AI, chyba że jest to oczywiste.”

📌 W praktyce – przy chatbotach, asystentach czy botach głosowych – trzeba jasno wskazać, że po drugiej stronie nie ma człowieka.

Ryzyka „natywne” dla AI (wg EROD) i jak je ograniczać

  1. Brak przejrzystości działania modelu
    → twórz dokumentację: karta systemu, opis datasetów, wyjaśnialność wyników.
  2. Utrata poufności, integralności i dostępności danych
    → szyfrowanie, testy penetracyjne, audyty dostawcy, umowy powierzenia.
  3. Stronniczość i brak kontroli nad procesem uczenia
    → walidacja zbiorów, testy biasu, nadzór eksperta, szkolenia.
  4. Ryzyko błędów wynikających z braku czynnika ludzkiego
    → procedury human-in-the-loop, obowiązkowa eskalacja w trudnych przypadkach.
  5. Naruszenie prawa do informacji (kto przetwarza dane, gdzie trafiają)
    → pełne klauzule, mapy przepływów danych, procedury odpowiedzi na żądania osób.

Prawa osób, których dane dotyczą – praktyka organów i orzecznictwa

  • Prawo dostępu: zgodnie z wyrokiem TSUE (C-154/21 Österreichische Post AG) trzeba wskazać dokładną tożsamość odbiorców, a nie tylko „kategorie”.
  • Prawo sprzeciwu: przy uzasadnionym interesie osoba musi wykazać szczególną sytuację, która uzasadnia sprzeciw (nie jest to automatyczne).
  • Prawo do usunięcia/sprostowania: musi być zapewniona także wobec dostawców usług chmurowych lub zagranicznych procesorów.
  • Prawo do informacji: wyjątki („niemożliwość”, „niewspółmierny wysiłek”) mają bardzo wąską interpretację – organy (PUODO, WSA) konsekwentnie wymagają dowodów, że faktycznie nie było możliwości powiadomienia.

Procedury, checklisty i praktyczne wdrożenia

Checklista wdrożenia AI zgodnego z RODO i AI Act

📋 Kroki, które przedsiębiorca powinien odhaczyć przed uruchomieniem systemu AI:

  1. Mapowanie procesu przetwarzania danych
    • określenie kategorii danych,
    • identyfikacja źródeł (wewnętrzne, zewnętrzne, publiczne),
    • wskazanie administratora i podmiotów przetwarzających,
    • analiza transferów poza EOG.
  2. Wybór podstawy prawnej
    • najczęściej: uzasadniony interes (art. 6 ust. 1 lit. f RODO),
    • weryfikacja konieczności i ważenia interesów,
    • rozważenie art. 10 AI Act przy systemach wysokiego ryzyka.
  3. Transparentność i klauzule informacyjne
    • przygotowanie klauzul art. 13/14 RODO,
    • rozszerzenie o elementy AI (logika działania, źródła danych, skutki),
    • oznaczenie interfejsu zgodnie z art. 50 AI Act („rozmawiasz z AI”).
  4. Ocena skutków (DPIA)
    • przeprowadzenie art. 35 RODO,
    • analiza zagrożeń (poufność, integralność, bias, brak kontroli),
    • plan redukcji ryzyka.
  5. Human-in-the-loop
    • unikanie pełnej automatyzacji decyzji,
    • zapewnienie prawa do wyjaśnienia (art. 86 AI Act),
    • procedura odwoławcza dla osób.
  6. Umowy z dostawcami
    • powierzenie przetwarzania (art. 28 RODO),
    • wymagania dot. audytów i testów bezpieczeństwa,
    • weryfikacja lokalizacji danych i retencji.
  7. Zarządzanie danymi treningowymi
    • minimalizacja zbiorów,
    • pseudonimizacja,
    • stosowanie datasetów wolnych od danych osobowych, gdzie to możliwe.
  8. Prawa osób, których dane dotyczą
    • przygotowanie procedur DSAR (dostęp, usunięcie, sprzeciw, sprostowanie),
    • wskazywanie konkretnych odbiorców (TSUE C-154/21).
  9. Rejestr modeli i dokumentacja techniczna
    • karta systemu AI (opis funkcji, datasetów, ograniczeń),
    • dokumentowanie wersji i zmian,
    • wyniki testów bias/robustness.
  10. Szkolenia zespołu
  • operatorzy AI,
  • product ownerzy,
  • dział prawny i bezpieczeństwa.

Podstawa prawna (najważniejsze przepisy i orzecznictwo)

  • RODO:
    • art. 6 ust. 1 lit. f – uzasadniony interes,
    • art. 13–14 – obowiązki informacyjne,
    • art. 22 – decyzje zautomatyzowane,
    • art. 35 – DPIA.
  • AI Act:
    • art. 10 – przetwarzanie danych wrażliwych w systemach wysokiego ryzyka,
    • art. 50 – obowiązek ujawnienia interakcji z AI,
    • art. 86 – prawo do wyjaśnienia decyzji.
  • TSUE, C-154/21 (Österreichische Post AG): obowiązek wskazania konkretnych odbiorców danych.
  • Stanowiska EROD (opinia 28/2024): kwalifikacja modeli, test uzasadnionego interesu, obowiązki informacyjne w AI.
  • Decyzje PUODO i orzecznictwo WSA: wąska interpretacja wyjątków od obowiązku informacyjnego.

Tematy porad zawartych w poradniku

  • zgodność AI z RODO
  • DPIA dla sztucznej inteligencji
  • uzasadniony interes trening AI
  • automatyczne decyzje a AI Act
  • klauzule informacyjne dla AI

Oficjalne źródła i przydatne adresy

Powiązane porady:
Czy ta porada była dla Ciebie pomocna?
Yes No

Zobacz również: