Niemal każdy zespół już używa AI - tylko nie zawsze świadomie i nie zawsze legalnie. Dział HR wkleja CV do ChatGPT, żeby je streścić. Sprzedaż prosi Copilota o przepisanie maila do klienta. Księgowa wrzuca skan faktury, żeby "wyciągnąć dane do tabelki". Każda z tych operacji to przetwarzanie danych osobowych w rozumieniu RODO - z konkretnymi obowiązkami, których brak kosztuje od kilku tysięcy do milionów złotych.

W 2026 r. dochodzi do tego pełne egzekwowanie AI Act. Poniżej praktyczny przewodnik, co wolno, czego nie wolno i co skonfigurować w 30 minut, żeby firma korzystała z AI bez ryzyka kary UODO.

Co się dzieje, gdy wklejasz dane do ChatGPT

Każde słowo, które wpiszesz do czatu AI, trafia do dostawcy modelu (OpenAI, Microsoft, Anthropic, Google) - jest przetwarzane, przechowywane przez określony czas i w wariancie darmowym może być użyte do trenowania kolejnej wersji modelu. Z perspektywy RODO oznacza to dwie rzeczy:

  1. Stajesz się administratorem, który powierza dane procesorowi - często w USA lub innym kraju trzecim.
  2. Bez umowy powierzenia (art. 28 RODO) i bez właściwej podstawy prawnej - przetwarzanie jest nielegalne, nawet jeśli sam model odpowiedział poprawnie.

Polski organ (UODO) i europejskie odpowiedniki (włoska Garante, francuski CNIL) wydały już pierwsze decyzje dotyczące ChatGPT - od ograniczeń przetwarzania po wielomilionowe kary. Sprawa nie jest hipotetyczna.

5 najczęstszych scenariuszy AI w firmie

1. Rekrutacja - streszczenie CV przez ChatGPT

Co się dzieje: rekruter wkleja CV (imię, nazwisko, PESEL, historia zatrudnienia, zdjęcie) i prosi o krótkie streszczenie albo punktową ocenę kandydata.

Ryzyko: przetwarzanie szerokiego zakresu danych osobowych bez podstawy prawnej, dane wychodzą poza EOG, kandydat o tym nie wie. Jeśli AI pomaga w decyzji rekrutacyjnej (np. ranking), wchodzimy dodatkowo w art. 22 RODO - zautomatyzowane przetwarzanie z istotnym skutkiem prawnym.

Co zrobić: używać wersji enterprise z DPA i hostingiem w UE, zanonimizować CV przed wklejeniem (usunąć imię, nazwisko, dane kontaktowe, zdjęcie - zostawić doświadczenie i umiejętności), uwzględnić AI w klauzuli informacyjnej dla kandydatów, a w rankingowaniu - zachować decyzyjność człowieka.

2. Marketing - generowanie treści z bazą klientów

Co się dzieje: zespół marketingu wkleja listę klientów albo segmenty bazy mailingowej i prosi AI o spersonalizowane teksty.

Ryzyko: zgoda marketingowa nie pokrywa "udostępnienia danych do USA na potrzeby AI". To dodatkowy cel przetwarzania, który wymaga osobnej podstawy prawnej.

Co zrobić: przed wklejeniem zastąpić dane osobowe pseudonimami ("klient A", "segment X"), a personalizację łączyć dopiero po stronie wewnętrznego systemu mailingowego. Generuj szablony, nie gotowe wiadomości z danymi.

3. Obsługa klienta - AI w czacie i mailach

Co się dzieje: team supportu używa Copilota albo ChatGPT do redagowania odpowiedzi, w tle przepuszczając pełną historię korespondencji z klientem.

Ryzyko: dane klientów (e-maile, nazwiska, adresy, numery zamówień, czasem dane wrażliwe) trafiają do narzędzia, którego klient nie zaakceptował. Brak informacji w klauzuli = naruszenie art. 13 RODO.

Co zrobić: ograniczyć do narzędzi działających w infrastrukturze firmy (enterprise tier z hostingiem EOG, dedykowany asystent z bazą wiedzy klienta - jak w naszym enuchat.com), zaktualizować politykę prywatności o wykorzystanie AI w obsłudze klienta.

4. Kod i dane produkcyjne

Co się dzieje: programista wkleja fragment kodu z prawdziwymi danymi testowymi (e-maile użytkowników, klucze API, hasła do baz). Albo Copilot proponuje kod oparty o kontekst całego repozytorium.

Ryzyko: wyciek danych osobowych użytkowników aplikacji oraz tajemnic firmy (secret-leakage). Drugi problem to shadow training - kod z firmowych repo trafia do publicznego modelu.

Co zrobić: narzędzia anonimizujące dane przed wysłaniem do AI, Copilot Enterprise z opt-out z trainingu, polityka jasno zakazująca wklejania kluczy i haseł. Środowiska dev i prod oddzielone na poziomie sekretów.

5. Księgowość - skany faktur i umów

Co się dzieje: "wrzucam skan faktury / umowy, niech AI wyciągnie dane".

Ryzyko: umowy zawierają dane drugiej strony (NIP, adres, czasem dane osób fizycznych prowadzących działalność), faktury - dane kontrahentów. Każdy wgrany dokument to powierzenie procesorowi w USA bez umowy.

Co zrobić: narzędzia OCR / AI z hostingiem w UE i podpisanym DPA (Azure AI Document Intelligence, lokalne modele), dla narzędzi cloud-only - wcześniejsza anonimizacja albo wybór wariantu enterprise z gwarancjami.

Podstawa prawna - co pasuje, czego brak

Przetwarzanie danych przez AI wymaga jednej z sześciu podstaw z art. 6 RODO. W praktyce sensowne są trzy:

  • Zgoda (art. 6 ust. 1 lit. a) - sztywna, łatwo cofnąć, nie pasuje do procesów wewnętrznych (rekrutacja, support).
  • Umowa (art. 6 ust. 1 lit. b) - pasuje, jeśli AI jest niezbędne do wykonania umowy z klientem. Streszczanie CV "dla wygody" się nie kwalifikuje.
  • Prawnie uzasadniony interes (art. 6 ust. 1 lit. f) - najczęstsza podstawa dla AI wewnętrznego. Wymaga testu równowagi udokumentowanego na piśmie: interes firmy vs. prawa osoby, której dane dotyczą.

Brak udokumentowanej podstawy = naruszenie zasady rozliczalności (art. 5 ust. 2 RODO). UODO konsekwentnie karze nie za sam fakt przetwarzania, ale za brak dokumentacji wykazującej, że przetwarzanie było zgodne z prawem.

Kiedy AI wymaga DPIA

DPIA (ocena skutków dla ochrony danych, art. 35 RODO) jest obowiązkowa, gdy przetwarzanie "z dużym prawdopodobieństwem może powodować wysokie ryzyko" dla osób. Dla AI w firmie obowiązek występuje praktycznie w trzech przypadkach:

  • profilowanie i automatyzowane decyzje (rekrutacja z rankingiem, scoring klientów),
  • przetwarzanie danych wrażliwych (zdrowie, biometria, dane szczególnych kategorii),
  • systematyczne monitorowanie (AI analizujące komunikację pracowników, czas pracy, produktywność).

DPIA to nie biurokracja - to kilka stron opisu: cel, dane, ryzyka, środki techniczne, ocena. Zrobiona raz, aktualizowana co rok lub przy istotnej zmianie procesu.

Konfiguracja techniczna - co ustawić w 30 minut

Jeśli używasz oficjalnych planów enterprise, możesz w godzinę dojść do stanu zgodnego z RODO:

  • ChatGPT Team / Enterprise - opt-out z treningu domyślny, DPA do podpisu z panelu, region UE dostępny.
  • Microsoft 365 Copilot - dane pozostają w tenancie klienta, DPA jest częścią Microsoft Products and Services Agreement, region przetwarzania konfigurowalny.
  • Anthropic Claude for Work - opt-out z treningu domyślny, DPA dostępne, retencja konfigurowalna.
  • Google Workspace + Gemini - opt-out z treningu dostępny, DPA standardowe, regiony EOG.

Wszystkie cztery są akceptowalnym minimum. Wersje darmowe i konsumenckie - z reguły nie.

AI Act 2026 - co zmienia

AI Act uzupełnia RODO o obowiązki techniczne i organizacyjne - klasyfikuje systemy AI według ryzyka, wymaga oznaczania treści generowanych przez AI, transparentności i nadzoru ludzkiego. Dla typowej firmy oznacza to:

  • Inwentaryzacja systemów AI w użyciu (Copilot, ChatGPT, asystenci wbudowani w SaaS).
  • Klasyfikacja ryzyka - większość firmowych zastosowań to "ryzyko ograniczone", ale rekrutacja, scoring klientów i monitorowanie pracowników to często "ryzyko wysokie" z dodatkowymi obowiązkami.
  • Transparentność wobec użytkownika - oznaczanie chatbotów, deepfake'ów, treści wygenerowanych przez AI.
  • Nadzór ludzki nad decyzjami systemu.

Kary za naruszenie AI Act sięgają 35 mln EUR lub 7% obrotu rocznego - wyższy z dwóch progów. Jeśli RODO uznawane było za "drogą sprawę", AI Act jest jeszcze surowszy.

Polityka AI w firmie - jednostronicowy szablon

Najszybsza odpowiedź na większość ryzyk to jednostronicowy dokument, który zna każdy pracownik. Powinien zawierać:

  1. Listę narzędzi dozwolonych (z konkretnymi planami: "Microsoft 365 Copilot - tak; ChatGPT Free - nie").
  2. Kategorie danych, których nie wolno wklejać (dane klientów, dane wrażliwe, klucze, hasła, dane finansowe spoza firmy).
  3. Wymóg anonimizacji przed wklejeniem przykładów.
  4. Procedurę zgłoszenia incydentu (np. ktoś wkleił dane omyłkowo).
  5. Punkt kontaktu (IOD lub osoba odpowiedzialna).

Polityka działa wyłącznie, jeśli zostanie podpisana przez pracowników i przypomniana raz na pół roku.

Checklista do sprawdzenia w 30 minut

  • Inwentaryzacja narzędzi AI w użyciu (kto, co, na jakim planie).
  • Wszystkie narzędzia mają podpisane DPA lub akceptację Data Processing Addendum z panelu.
  • Wersje konsumenckie (free, personal) wycofane z procesów biznesowych.
  • Klauzula informacyjna i polityka prywatności wymieniają AI jako dostawcę przetwarzającego dane.
  • DPIA dla rekrutacji, scoringu i monitoringu - przeprowadzona i udokumentowana.
  • Polityka AI w firmie - podpisana przez pracowników.
  • Test "na sucho" - co się dzieje, gdy ktoś omyłkowo wkleił dane osobowe.

Podsumowanie

AI w firmie nie jest "ryzykiem do uniknięcia" - jest ryzykiem do zarządzenia. Ramy prawne (RODO + AI Act) nie zakazują używania ChatGPT czy Copilota; wymagają, żeby było to świadome, udokumentowane i z odpowiednim narzędziem.

Większość polskich firm w 2026 r. zaczyna od inwentaryzacji - sprawdzamy, kto czego używa, na jakich planach i z jakimi danymi. To pierwsza godzina audytu, a wyniki zwykle zaskakują.

Jeśli ten temat jest aktualny u Was, umów bezpłatną rozmowę - w 30 minut powiemy, czy potrzebujecie pełnego audytu RODO ukierunkowanego na AI, czy wystarczy domknąć kilka konkretnych obszarów. Powiązane: audyt RODO krok po kroku i 7 najczęstszych błędów RODO w e-commerce. Część techniczną (wewnętrzni asystenci AI z bazą wiedzy klienta, jak enuchat.com) prowadzimy razem z analizą prawną - bo bez tego drugiego nawet najlepsze narzędzie zostawia firmę w szarej strefie.