230
0
RODO

Sztuczna inteligencja a RODO – wyzwania i obowiązki podmiotów stosujących systemy AI

Patrycja Myśliwiec
Patrycja Myśliwiec
10 lutego, 2026 · 5 min read
230
0

Systemy sztucznej inteligencji trwale wpisały się w funkcjonowanie współczesnych organizacji, wspierając liczne procesy biznesowe — od wyboru najlepszego kandydata w ramach procesów rekrutacyjnych, przez analizy finansowe, aż po ocenę przetwarzanych danych. Aby rozwiązania te mogły stanowić realne wsparcie dla działalności organizacji, w większości przypadków wymagają one zasilania danymi, które niejednokrotnie mają charakter danych osobowych. Powstaje zatem pytanie, w jaki sposób administratorzy danych powinni przygotować zarówno organizację, jak i jej pracowników do korzystania z systemów sztucznej inteligencji w sposób zgodny z wymogami RODO.

Zasada privacy by design i zasada privacy by default

Każde wdrożenie systemu informatycznego, w szczególności systemu wykorzystującego rozwiązania oparte na sztucznej inteligencji, powinno być poprzedzone analizą, o której mowa w art. 25 ust. 1 RODO. Wskazana tam zasada privacy by design nakłada na administratora danych już na etapie projektowania oraz doboru sposobów przetwarzania obowiązek uwzględnienia takich czynników jak stan wiedzy technicznej, koszty wdrożenia, charakter, zakres, kontekst i cele przetwarzania, a także poziom ryzyka naruszenia praw lub wolności osób fizycznych. W konsekwencji administrator powinien wdrożyć odpowiednie środki techniczne i organizacyjne, w tym m.in. mechanizmy ograniczające zakres przetwarzanych danych oraz środki zwiększające ich bezpieczeństwo, tak aby zapewnić zgodność przetwarzania z wymogami RODO oraz skuteczną ochronę praw osób, których dane dotyczą. Działania te powinny zostać podjęte jeszcze przed rozpoczęciem faktycznego przetwarzania danych osobowych.

Porozmawiaj z ekspertem 🎯

Borykasz się z zagadnieniem, które tutaj poruszyłem? Skontaktuj się ze mną! Wspólnie znajdziemy najlepsze rozwiązanie dla Twojego biznesu.

Bezpłatna konsultacja

Z kolei zasada privacy by default, o której mowa w art.25 ust. 2 RODO wymaga od administratora zapewnienia stosowania odpowiednich środków technicznych i organizacyjnych tak, aby domyślnie były przetwarzane wyłącznie te dane osobowe, które są niezbędne do do osiągnięcia określonego, jasno sformułowanego celu przetwarzania. System sztucznej inteligencji powinien być zatem w taki sposób skonfigurowany, aby zapisane w systemie ustawienia nie umożliwiały przetwarzania danych nadmiarowych lub, aby przechowywane były dłużej, nie dłużej niż jest to konieczne. Przykładowo logi systemowe oraz dane wykorzystywane do testowania i walidacji modelu AI nie powinny  zawierać danych umożliwiających bezpośrednią identyfikację osoby fizycznej lub powinny być poddawane pseudonimizacji.

Ustalenie roli w procesie przetwarzania danych osobowych w ramach systemu sztucznej inteligencji

Organizacje decydujące się na korzystanie z systemów sztucznej inteligencji powinny w pierwszej kolejności dokonać analizy swojej roli w procesie przetwarzania danych osobowych. Kluczowe znaczenie ma w tym zakresie ustalenie, który podmiot decyduje o celach i sposobach przetwarzania danych osobowych. W praktyce, w większości przypadków rolę administratora danych pełni organizacja wykorzystująca system AI, która poprzez wewnętrzne procedury, regulacje oraz działania podnoszące świadomość i wiedzę pracowników w zakresie stosowania AI określa zasady korzystania z konkretnych narzędzi oraz zakres danych, jakimi poszczególne systemy mogą być zasilane.

Najczęściej dostawca narzędzia AI występuje w roli podmiotu przetwarzającego dane osobowe w imieniu i na rzecz administratora. W takim przypadku niezbędne jest uprzednie przeanalizowanie dokumentacji przygotowanej przez dostawcę, w tym w szczególności weryfikacja treści umowy powierzenia przetwarzania danych osobowych i analiza środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych, która – zgodnie z art. 28 RODO – stanowi obligatoryjny element współpracy między stronami.

Nie jest to jednak jedyny możliwy model relacji prawnej. W zależności od konkretnych okoliczności faktycznych podmiot korzystający z systemu sztucznej inteligencji może zostać uznany nie tylko za administratora danych, lecz także za współadministratora, jeżeli wspólnie z innym podmiotem ustala cele i sposoby przetwarzania danych w rozumieniu art. 26 RODO. Przykładowo za współadministratora może zostać uznana uczelnia wyższa, która wspólnie z firmą zewnętrzną dokonuje oceny wyników nauki studentów – jeśli wspólnie ustalają, które dane będą przetwarzane i w jakim celu (np. ocena skuteczności kursów).

Na marginesie należy wskazać, że na etapie opracowywania systemu AI, jego testowania oraz trenowania modelu – jeszcze przed oddaniem go do użytku – dostawca oprogramowania samodzielnie pełni rolę administratora danych osobowych w rozumieniu art. 4 pkt 7 RODO, ponieważ na tym etapie tworzenia systemu to on decyduje o celach i sposobach przetwarzania danych wykorzystywanych w tych procesach.

Podstawa prawna przetwarzania danych osobowych w ramach systemów sztucznej inteligencji

Podstawy prawne przetwarzania danych osobowych w ramach systemów sztucznej inteligencji zależą od konkretnych okoliczności faktycznych i celu przetwarzania. Przykładowo, gdy system AI ma służyć nagraniu wypowiedzi, głosu lub wizerunku osoby oraz ich przetłumaczeniu na inny język, najczęściej stosowaną podstawą prawną będzie zgoda osoby, której dane dotyczą (art.6 ust.1 lit. a RODO). Zgoda taka musi być dobrowolna, świadoma, konkretna i możliwa do wycofania, co w konsekwencji powinno skutkować usunięciem danych osobowych z systemu. Podstawą prawną przetwarzania danych w systemach AI może być również art. 6 ust. 1 lit. b RODO, np. w przypadku tworzenia baz danych treningowych, gdy pomiędzy dostawcą systemu a podmiotem stosującym system zostanie zawarta odpowiednia umowa, określająca cel i sposób przetwarzania danych. Najczęściej stosowaną podstawą prawną będzie jednak prawnie uzasadniony interes administratora lub strony trzeciej, o którym mowa art. 6 ust. 1 lit. f RODO. W takim przypadku przed rozpoczęciem przetwarzania danych należy przeprowadzić tzw. test równowagi , w ramach którego administrator powinien wykazać, że jego interesy są uzasadnione, a prawa i wolności osób, których dane dotyczą, nie mają pierwszeństwa przed realizacją tych interesów (np.przy wykorzystaniu systemu AI do monitorowania bezpieczeństwa sieci telekomunikacyjnej).

Analiza ryzyka

Przed rozpoczęciem korzystania z systemu sztucznej inteligencji organizacja powinna dokonać uprzedniej analizy ryzyka dla praw i wolności osób, których dane dotyczą, zgodnie z art. 24 RODO. Analiza ta pozwala zidentyfikować potencjalne zagrożenia wynikające z przetwarzania danych osobowych w systemie AI oraz określić środki techniczne i organizacyjne niezbędne do ich ograniczenia.

Ocena skutków dla ochrony danych

Podmioty stosujące systemy sztucznej inteligencji często zastanawiają się, czy ich wykorzystanie w ramach realizacji zadań organizacji wymaga przeprowadzenia kwalifikowanej analizy ryzyka, zwanej oceną skutków dla ochrony danych (Data Protection Impact Assessment – DPIA). Odpowiedź brzmi: nie w każdym przypadku. Obowiązek przeprowadzenia takiej oceny dotyczy wyłącznie tych operacji przetwarzania, które – ze względu na swój charakter, zakres, kontekst lub cele – wiążą się z wysokim ryzykiem dla praw i wolności osób, których dane dotyczą. Każdorazowo ocenę skutków dla ochrony danych przetwarzanych w systemach wysokiego ryzyka, które m.in. wprowadzają rozwiązania służące do zdalnej identyfikacji biometrycznej lub rozpoznawania emocji, systemy wykorzystywane w infrastrukturze krytycznej, narzędzia wspierające podejmowanie decyzji w obszarze edukacji, które mogą istotnie wpływać na losy uczniów lub studentów.

Przekazywanie danych osobowych poza EOG

Decydując się na korzystanie z systemów sztucznej inteligencji, organizacja powinna dokładnie zapoznać się z dokumentacją systemu opracowaną przez dostawcę oraz ustalić, czy dane osobowe przetwarzane w ramach systemu są przekazywane poza obszar Europejskiego Obszaru Gospodarczego (EOG), a jeśli tak – na jakiej podstawie prawnej. W praktyce należy sprawdzić, czy dla państwa, do którego dane są transferowane, Komisja Europejska wydała decyzję stwierdzającą odpowiedni poziom ochrony danych (art. 45 RODO). Jeżeli taka decyzja nie została wydana, konieczne jest upewnienie się, że dane są chronione za pomocą odpowiednich gwarancji, np. w formie standardowych klauzul umownych, o których mowa w art. 46 RODO.

Uzupełnienie dokumentacji wewnętrznej, szkolenie pracowników, aktualizacja obowiązków informacyjnych

Stosowanie systemów sztucznej inteligencji wymaga od organizacji aktualizacji i uzupełnienia dokumentacji wewnętrznej, przede wszystkim rejestru czynności przetwarzania danych osobowych, o którym mowa w art. 30 RODO. Rejestr ten powinien odzwierciedlać wszystkie operacje związane z wykorzystaniem systemów AI, w tym cele przetwarzania, kategorie przetwarzanych danych, odbiorców danych, a także informacje o stosowanych środkach bezpieczeństwa. Administrator powinien zweryfikować ponadto aktualność dotychczasowych obowiązków informacyjnych, o których mowa w art. 13/14 RODO, w szczególności w zakresie odbiorców danych. Równie istotne jest ponadto przeprowadzenie szkoleń dla pracowników, którzy korzystają z systemów sztucznej inteligencji i wskazanie procedur mających umożliwić korzystanie z narzędzi przy jednoczesnym przestrzeganiu zasad ochrony danych osobowych.

Podsumowanie

Rozważając korzystanie z systemów sztucznej inteligencji, nie sposób pominąć zagadnień związanych z bezpieczeństwem przetwarzanych danych osobowych oraz ochroną prywatności użytkowników. Każde przetwarzanie danych osobowych powinno być zgodne z zasadami wynikającymi z art. 5 RODO oraz odnosić się do kwestii omówionych w niniejszym artykule.

Poza zagadnieniami przedstawionymi powyżej, należy pamiętać również o obowiązkach wynikających z aktu o sztucznej inteligencji (AI Act). Co istotne, RODO i AI Act nie wykluczają się wzajemnie, lecz się uzupełniają, tworząc spójny system regulacji, którego celem jest zarówno skuteczna ochrona danych osobowych, jak i odpowiedzialne wdrażanie rozwiązań sztucznej inteligencji.

Patrycja Myśliwiec
PRAWNIK

Specjalizuję się w ochronie danych osobowych i bezpieczeństwie informacji. Od ponad 10 lat wspieram firmy i instytucje w zgodności z RODO, audytach oraz wdrażaniu systemów ochrony danych. Mam doświadczenie jako Inspektor Ochrony Danych i audytor. Pomagam organizacjom tworzyć bezpieczne i zgodne z prawem rozwiązania.

Skontaktuj się ze mną, chętnie odpowiem na Twoje pytania dotyczące naszej oferty i przedstawię rozwiązania dostosowane do Twojego biznesu.

Bezpłatna konsultacja