Każde narzędzie AI – czy to ChatGPT, systemy tłumaczeń, boty głosowe czy rozwiązania analityczne – może przetwarzać dane osobowe. Przetwarzanie to obejmuje nie tylko dane użytkowników końcowych (np. pracowników, klientów), ale też wszystkie informacje wprowadzane do systemu – nawet te zawarte w przesyłanych dokumentach lub podczas rozmów online.
Ważne: Nawet jeżeli nie wiesz, czy system był trenowany na danych osobowych, liczy się fakt, czy przetwarza takie dane podczas Twojego użytkowania.
Przykład 1:
Firma Veritas Solutions korzysta z płatnego narzędzia AI do generowania notatek ze spotkań online. Podczas wideokonferencji narzędzie automatycznie tworzy podsumowania, przetwarzając dane uczestników (imię, nazwisko, głos, stanowisko). Dane te są przesyłane na serwery dostawcy spoza EOG – np. w USA. Mimo że firma nie przekazuje celowo danych osobowych, narzędzie je rejestruje i przesyła.
Konsekwencja: Firma musi spełnić obowiązki wynikające z RODO, zwłaszcza dotyczące transferu danych poza EOG oraz informowania uczestników o tym procesie.
Przykład 2:
Biuro tłumaczeń LinguaPro używa aplikacji do tłumaczenia dokumentów z funkcją AI. Klient przesyła dokument, który zawiera dane osobowe pracowników (np. listę płac). System tłumaczący przetwarza te dane w chmurze.
Konsekwencja: Biuro tłumaczeń staje się administratorem danych osobowych tych osób i musi zapewnić ich ochronę zgodnie z RODO, nawet jeśli nie wie, czy system był trenowany na takich danych.
Kiedy korzystanie z AI oznacza transfer danych poza EOG?
W praktyce wiele popularnych narzędzi AI (np. Zoom, ChatGPT, DeepL) przetwarza i przechowuje dane na serwerach poza Europejskim Obszarem Gospodarczym (EOG), najczęściej w USA. Firmy często przyznają to w swojej polityce prywatności – a transfer danych wymaga szczególnej podstawy prawnej.
Co to oznacza dla Twojej firmy?
- Musisz poinformować użytkowników (np. pracowników, klientów) o tym, gdzie i jak ich dane są przetwarzane.
- Podstawą prawną transferu mogą być decyzje o adekwatności Komisji Europejskiej (np. Data Privacy Framework) lub tzw. standardowe klauzule umowne.
- Brak spełnienia tych obowiązków grozi poważnymi sankcjami (w tym wysokimi karami finansowymi).
Przykład 3:
Firma EcoTech korzysta z systemu rekrutacyjnego opartego na AI, który analizuje profile kandydatów i podpowiada najlepsze dopasowania. Dane kandydatów są przetwarzane na serwerach w USA.
Co musi zrobić firma?
- Upewnić się, że transfer jest legalny (np. poprzez Data Privacy Framework),
- Poinformować kandydatów o transferze,
- Zadbać o klauzule informacyjne oraz właściwe zapisy w polityce prywatności.
Czy zawsze trzeba zawierać umowę powierzenia z dostawcą AI?
Nie zawsze. Kluczowa jest rola podmiotów w procesie przetwarzania danych:
- Administrator danych: to podmiot, który decyduje o celach i sposobach przetwarzania danych (np. firma, która korzysta z narzędzia AI).
- Podmiot przetwarzający: działa w imieniu administratora, np. dostawca narzędzia AI, jeśli przetwarza dane wyłącznie według instrukcji administratora.
W przypadku popularnych narzędzi (np. ChatGPT), dostawca często sam określa cele i sposoby przetwarzania danych – czyli występuje jako administrator danych osobowych. Wówczas umowa powierzenia nie jest możliwa ani wymagana.
Przykład 4:
Firma FinSolve wykorzystuje płatną wersję ChatGPT do przygotowywania projektów umów, przesyłając do analizy dokumenty z danymi osobowymi.
W praktyce: OpenAI (dostawca ChatGPT) uznaje się za administratora danych – nie podpisze więc umowy powierzenia. Firma FinSolve również jest administratorem danych i ponosi odpowiedzialność za prawidłowość przetwarzania tych danych.
Na co zwrócić uwagę, wdrażając AI w swojej firmie?
- Informowanie użytkowników i przejrzystość
Zawsze jasno informuj osoby, których dane dotyczą, o tym, że ich dane będą przetwarzane przez AI (np. w polityce prywatności, zgodnie z art. 13 i 14 RODO). - Test nadrzędności (interesu administratora nad interesem osoby)
Jeśli przetwarzasz dane na podstawie uzasadnionego interesu (art. 6 ust. 1 lit. f RODO), musisz przeprowadzić test równowagi – czy Twój interes nie przeważa nad prawami osoby. - Ocena ryzyka
Przed wdrożeniem AI przeprowadź ocenę ryzyka związanego z przetwarzaniem danych osobowych (DPIA). - Zgoda i jej wycofanie
Jeżeli podstawą przetwarzania jest zgoda, umożliw osobom jej wycofanie. Pamiętaj jednak: jeśli model AI był trenowany na danych na podstawie zgody, wycofanie zgody działa tylko na przyszłość. - Przetwarzanie danych szczególnej kategorii
Uważaj na dane szczególnej kategorii (np. zdrowotne, biometryczne) – wymagają one szczególnej ochrony i jasno określonej podstawy prawnej.
Najczęstsze błędy przy wdrażaniu AI a ochrona danych osobowych
W praktyce przedsiębiorcy i organizacje często popełniają te same błędy, które mogą prowadzić do naruszenia przepisów RODO, a także do poważnych konsekwencji finansowych i wizerunkowych.
Typowe błędy:
1. Brak weryfikacji, gdzie i jak przetwarzane są dane
Często firmy nie sprawdzają, czy system AI przetwarza dane na terenie EOG, czy poza nim. Wielu dostawców (szczególnie amerykańskich) przechowuje dane poza UE – wymaga to podjęcia dodatkowych środków prawnych.
2. Automatyczne udostępnianie danych osobowych narzędziom AI
Wysyłanie dokumentów, które zawierają dane osobowe klientów, pracowników czy kontrahentów bez anonimizacji, bez zgody lub odpowiednich zabezpieczeń, to poważne naruszenie RODO.
3. Założenie, że korzystanie z narzędzi „bezpiecznych” lub płatnych zawsze jest legalne
Nie można przyjąć, że wersja płatna narzędzia AI gwarantuje wyższy poziom ochrony danych lub inne warunki przetwarzania. Kluczowe jest to, jak dostawca traktuje Twoje dane i jaka jest jego rola w tym procesie.
4. Brak spełnienia obowiązków informacyjnych
Firmy często ograniczają się do wrzucenia klauzuli w regulaminie lub polityce prywatności, bez aktywnego informowania użytkowników o przetwarzaniu danych przez AI czy o transferze danych poza EOG.
5. Nieprawidłowe rozpoznanie ról (administrator/podmiot przetwarzający)
Wielu przedsiębiorców mylnie zakłada, że zawsze są administratorem, a dostawca AI to podmiot przetwarzający, podczas gdy często obie strony mogą być administratorami (tzw. „współadministratorzy” lub niezależni administratorzy).
Praktyczne wskazówki: jak wdrażać AI zgodnie z RODO?
✔ 1. Sprawdź politykę prywatności i umowy dostawcy narzędzia AI
Zawsze dowiedz się, czy dane osobowe będą przetwarzane poza EOG, jakie są podstawy transferu oraz czy dostawca uznaje się za administratora, czy przetwarzającego.
✔ 2. Stwórz jasne procedury informowania użytkowników
Przygotuj klauzule informacyjne, które wyjaśnią, w jakim zakresie dane będą przetwarzane przez AI, gdzie trafią i jakie prawa mają osoby, których dane dotyczą.
✔ 3. Przeprowadzaj ocenę skutków dla ochrony danych (DPIA)
Szczególnie jeśli AI ma analizować duże zbiory danych osobowych lub dane wrażliwe – to wymóg z art. 35 RODO.
✔ 4. Ograniczaj zakres danych osobowych przekazywanych do AI
Anonimizuj dane wszędzie tam, gdzie to możliwe. Nie wprowadzaj do narzędzi AI więcej danych osobowych niż to konieczne do realizacji celu.
✔ 5. Ustal, na jakiej podstawie prawnej przetwarzasz dane
Najczęściej będzie to:
- Zgoda osoby (art. 6 ust. 1 lit. a RODO),
- Wykonanie umowy (art. 6 ust. 1 lit. b RODO),
- Uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO) – po przeprowadzeniu testu równowagi.
✔ 6. Przygotuj się na wycofanie zgody przez użytkownika
Zadbaj o procedurę umożliwiającą osobom wycofanie zgody na przetwarzanie danych przez AI – i poinformuj, że wycofanie działa tylko na przyszłość.
Przykłady zastosowań i problemów praktycznych (nowe, unikalne scenariusze)
Przykład A: Automatyczna transkrypcja spotkań
Firma Projekt.IT wdrożyła narzędzie do automatycznej transkrypcji spotkań z klientami, które rozpoznaje głosy i tworzy notatki. Narzędzie oferuje zarówno wersję płatną, jak i darmową – obie przetwarzają dane na serwerach w USA.
Ryzyko: Firma przesyła nagrania rozmów, które mogą zawierać dane wrażliwe (np. informacje o stanie zdrowia klientów). Jeśli nie poinformuje o tym klientów, ani nie zapewni odpowiednich podstaw prawnych dla transferu, narusza RODO.
Działanie zgodne z prawem:
- W klauzuli informacyjnej (w polityce prywatności) jasno wskazuje, że transkrypcja jest realizowana przez system AI i że dane mogą być transferowane poza EOG.
- Przed rozpoczęciem nagrywania i transkrypcji informuje rozmówców o przetwarzaniu ich danych osobowych.
Przykład B: Używanie AI w procesach rekrutacyjnych
Firma HR Smart Solutions korzysta z narzędzia AI, które automatycznie analizuje profile kandydatów i sugeruje najlepszych. Kandydaci są informowani o przetwarzaniu ich danych osobowych, ale nie wiedzą, że decyzje podejmuje również system AI.
Ryzyko: Jeśli system automatycznie odrzuca kandydatów bez udziału człowieka, może dojść do tzw. „automatycznego podejmowania decyzji”, co wymaga spełnienia dodatkowych wymogów RODO (art. 22).
Działanie zgodne z prawem:
- System jest tylko narzędziem wspierającym rekrutera – ostateczną decyzję podejmuje człowiek.
- Kandydaci są informowani o wykorzystaniu AI oraz mają możliwość odwołania się od decyzji.
Przykład C: Wysyłanie dokumentów do tłumaczenia przez AI
Firma Lexica zajmuje się tłumaczeniem dokumentów prawniczych i korzysta z systemu AI (np. DeepL). Pracownik przesłał przez narzędzie umowę zawierającą dane osobowe i wrażliwe.
Ryzyko: Dane mogą być przechowywane i przetwarzane na serwerach poza EOG, a firma nie zanonimizowała dokumentów ani nie zabezpieczyła transferu.
Działanie zgodne z prawem:
- Wprowadzenie procedury anonimizacji dokumentów przed tłumaczeniem.
- Sprawdzenie, czy dostawca narzędzia zapewnia zgodność transferu z RODO (np. Data Privacy Framework).
- Informowanie klientów o przetwarzaniu danych przez zewnętrzne narzędzia AI.
Podsumowanie: Kluczowe wnioski i rekomendacje
- Nie każde użycie AI to naruszenie RODO, ale każde użycie AI wymaga świadomego i odpowiedzialnego podejścia do przetwarzania danych osobowych.
- Sprawdź, kto jest administratorem, a kto podmiotem przetwarzającym dane w ramach korzystania z narzędzi AI.
- Informuj użytkowników o zakresie, celu i miejscu przetwarzania ich danych.
- Ogranicz zakres danych do niezbędnego minimum i anonimizuj je, jeśli to możliwe.
- Sprawdź, czy dane są transferowane poza EOG – i na jakiej podstawie prawnej.
- Przeprowadzaj ocenę skutków dla ochrony danych oraz test nadrzędności interesów.
Podstawa prawna
- art. 4 pkt 7, art. 5, art. 6 ust. 1, art. 13, art. 14, art. 22, art. 35 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, RODO).
Tematy porad zawartych w poradniku
- sztuczna inteligencja a RODO w firmie
- przetwarzanie danych osobowych przez AI
- transfer danych poza EOG a AI
- ChatGPT a ochrona danych osobowych
- jak bezpiecznie wdrażać AI w przedsiębiorstwie