Pracownicy w większości firm już korzystają z narzędzi AI. Generatywne asystenty, chatboty oparte na dużych modelach językowych, narzędzia do pisania, analizy i podsumowywania dokumentów — sztuczna inteligencja weszła do codziennej pracy tak szybko, że procedury i polityki ochrony danych osobowych nie nadążyły za rzeczywistością.

Efekt? W wielu organizacjach pracownicy wklejają do publicznych narzędzi AI dane klientów, treści umów, numery PESEL czy wyniki badań — nie zdając sobie sprawy, że mogą w ten sposób naruszać RODO i ujawniać tajemnice przedsiębiorstwa.

W tym artykule wyjaśniamy:

• dlaczego wklejanie danych osobowych do zewnętrznych narzędzi AI jest ryzykowne z perspektywy RODO,
• jak dostawcy narzędzi AI traktują dane wprowadzane przez użytkowników,
• jakie obowiązki ma administrator danych,
• oraz jak w praktyce wprowadzić politykę AI w organizacji.

Dlaczego generatywna AI i RODO to temat, który dotyczy każdej firmy

Generatywne narzędzia AI działają w chmurze. Każde zapytanie — prompt — jest wysyłane na serwery dostawcy. W przypadku publicznych wersji tych narzędzi dane wprowadzone przez użytkownika mogą być wykorzystywane do dalszego trenowania modelu lub przetwarzane przez podmiot z siedzibą poza Europejskim Obszarem Gospodarczym.

RODO ma zastosowanie zawsze wtedy, gdy w prompcie pojawiają się dane umożliwiające identyfikację osoby fizycznej. Mogą to być: imię i nazwisko klienta, adres e-mail, numer telefonu, PESEL, dane zdrowotne, wyniki oceny pracowniczej, dane z umowy — lista jest długa i obejmuje znacznie więcej, niż większość użytkowników instynktownie zakłada.

Europejska Rada Ochrony Danych (EROD) powołała specjalną grupę zadaniową ds. generatywnych narzędzi AI, której celem jest skoordynowanie działań organów ochrony danych w całej UE wobec dostawców takich systemów. W 2025 roku EROD rozszerzyła jej mandat o egzekwowanie przepisów dotyczących sztucznej inteligencji ogólnie. Europejskie organy nadzorcze są zgodne: korzystanie z zewnętrznych narzędzi AI do przetwarzania danych osobowych bez odpowiedniej podstawy prawnej i umowy jest naruszeniem RODO.

Kto jest administratorem, kto podmiotem przetwarzającym?

To jedno z kluczowych pytań, które musi zadać sobie każda organizacja korzystająca z zewnętrznych narzędzi AI.

Gdy pracownik firmy korzysta z publicznego narzędzia AI i wkleja dane osobowe, firma staje się administratorem tych danych — i odpowiada za to, że dane trafiły do systemu zewnętrznego. Dostawca narzędzia AI może być w takim scenariuszu traktowany jako podmiot przetwarzający, co oznacza, że między organizacją a dostawcą powinna być zawarta umowa powierzenia przetwarzania danych. Bez niej przetwarzanie jest niezgodne z art. 28 RODO.

Część dostawców narzędzi AI oferuje organizacjom umowę powierzenia jako element warunków korzystania z usług dla firm — szczególnie w wersjach biznesowych i enterprise. Wersje konsumenckie, darmowe lub konta prywatne najczęściej takiej umowy nie zawierają. To istotna różnica, którą każda organizacja powinna zweryfikować przed dopuszczeniem pracowników do korzystania z danego narzędzia w celach służbowych.

Niezależnie od narzędzia — administrator danych musi wiedzieć, jakie dane tam trafiają, w jakim celu i na jakiej podstawie prawnej.

Czego nie wolno wklejać do zewnętrznych narzędzi AI

Poniższe kategorie danych nigdy nie powinny trafiać do publicznych narzędzi AI bez wcześniejszego zawarcia odpowiedniej umowy i weryfikacji polityki prywatności dostawcy:

Dane identyfikacyjne osób fizycznych — imię, nazwisko, PESEL, numer dowodu, adres zamieszkania klientów lub pracowników.

Dane kontaktowe — adresy e-mail, numery telefonów powiązane z konkretną osobą.

Dane szczególnych kategorii — informacje o stanie zdrowia, wyniki badań, dane biometryczne, przynależność do związków zawodowych, przekonania religijne czy polityczne.

Dane z umów i postępowań — treści umów z klientami zawierające dane stron, informacje z postępowań HR, dane z rekrutacji.

Dane finansowe — numery kont, historia transakcji powiązana z osobą fizyczną.

Praktyczna zasada: jeśli po usunięciu danych osobowych prompt nadal ma sens i jest użyteczny — należy je usunąć przed wysłaniem. Jeśli narzędzie musi znać te dane, żeby wykonać zadanie — należy zatrzymać się i ocenić, czy istnieje odpowiednia podstawa prawna i umowa z dostawcą.

Obowiązki organizacji jako administratora danych

Dopuszczenie pracowników do korzystania z zewnętrznych narzędzi AI bez żadnych regulacji to naruszenie zasady rozliczalności z art. 5 RODO. Administrator jest zobowiązany do aktywnego zarządzania ryzykiem — nie tylko reagowania po fakcie.

W praktyce oznacza to kilka konkretnych działań:

Aktualizacja rejestru czynności przetwarzania. Jeśli w organizacji używane są narzędzia AI do przetwarzania danych osobowych, te czynności powinny być odnotowane w rejestrze z określoną podstawą prawną, celem i ewentualnymi odbiorcami danych, w tym podmiotami spoza EOG.

Weryfikacja umów z dostawcami. Dla każdego narzędzia AI używanego w kontekście danych osobowych należy sprawdzić, czy istnieje umowa powierzenia przetwarzania. Jeśli dostawca jej nie oferuje — korzystanie z narzędzia do przetwarzania danych osobowych jest niezgodne z RODO.

Ocena ryzyka. Przed wdrożeniem narzędzia AI do procesów, w których pojawiają się dane osobowe, należy przeprowadzić analizę ryzyka, a w uzasadnionych przypadkach — pełną ocenę skutków dla ochrony danych (DPIA).

Transfer danych poza EOG. Jeśli serwery dostawcy narzędzia AI znajdują się poza Europejskim Obszarem Gospodarczym, transfer danych wymaga odpowiednich zabezpieczeń — takich jak standardowe klauzule umowne (SCC).

Polityka AI w organizacji — od czego zacząć

Brak polityki korzystania z zewnętrznych narzędzi AI to najczęstszy błąd organizacyjny w tym obszarze. Pracownicy korzystają z tych narzędzi, bo są wygodne i nie mają żadnych wytycznych — nie dlatego, że chcą naruszyć RODO.

Dobra polityka AI powinna odpowiadać na kilka podstawowych pytań:

• Które narzędzia AI są dopuszczone do użytku służbowego?
• Jakich kategorii danych nie wolno wprowadzać do żadnych zewnętrznych narzędzi AI?
• Które narzędzia mają zawartą umowę powierzenia z organizacją i mogą być używane do pracy z danymi osobowymi?
• Kto zatwierdza wdrożenie nowego narzędzia AI w procesach biznesowych?
• Jak szkolić pracowników w tym zakresie?

Polityka nie musi być długim dokumentem. Kluczowe jest, żeby była zrozumiała, dostępna dla pracowników i regularnie aktualizowana — bo krajobraz narzędzi AI zmienia się szybciej niż większość procedur organizacyjnych.

AI Act a RODO — co się zmienia

Rozporządzenie w sprawie sztucznej inteligencji (AI Act) weszło w życie w sierpniu 2024 roku. Od 2 sierpnia 2025 roku zaczęły obowiązywać przepisy dotyczące modeli AI ogólnego przeznaczenia — a więc dokładnie tych, które leżą u podstaw większości popularnych narzędzi generatywnej AI.

AI Act i RODO działają równolegle i się uzupełniają. RODO reguluje to, co dzieje się z danymi osobowymi — niezależnie od tego, czy są przetwarzane przez system AI czy nie. AI Act nakłada dodatkowe obowiązki na dostawców systemów AI: przejrzystość, dokumentację, zarządzanie ryzykiem. Dla organizacji korzystających z gotowych narzędzi AI najważniejsze pozostają obowiązki wynikające z RODO — a AI Act wzmacnia argumenty za tym, żeby traktować je poważnie.

Podsumowanie

Korzystanie z narzędzi AI w firmie nie jest zakazane — ale wymaga świadomości i odpowiednich procedur. RODO nie zabrania używania zewnętrznych systemów AI, ale nakłada na administratora obowiązek zapewnienia, że dane osobowe są przetwarzane zgodnie z prawem, na odpowiedniej podstawie i z właściwymi zabezpieczeniami.

Kluczowe zasady:

• dane osobowe nie powinny trafiać do zewnętrznych narzędzi AI bez weryfikacji umowy powierzenia z dostawcą,
• organizacja jako administrator odpowiada za to, co pracownicy wklejają do narzędzi AI służbowo,
• narzędzia AI używane do przetwarzania danych osobowych powinny znaleźć się w rejestrze czynności przetwarzania,
• transfer danych do dostawców spoza EOG wymaga odpowiednich zabezpieczeń,
• polityka korzystania z AI powinna być częścią dokumentacji RODO w organizacji.

Jeśli w Twojej organizacji nie ma jeszcze procedur w tym zakresie — to dobry moment, żeby zacząć od przeglądu, które narzędzia AI są faktycznie używane i czy mają odpowiednie umowy z dostawcami.