legnicatech

AI a RODO — czy Twoje dane są bezpieczne

Twój zespół zaczął używać AI i zastanawiasz się, czy dane firmy gdzieś wyciekają. Tłumaczymy wprost, co wolno, a czego do modelu wrzucać nie warto.

AI8 min czytania
Właściciel małej firmy z Legnicy przy biurku rozważa, co może bezpiecznie wpisać do narzędzia AI

Czy AI da się używać zgodnie z RODO

Tak, możesz używać AI zgodnie z RODO — pod warunkiem, że wiesz, jakich narzędzi użyć i czego do nich nie wrzucać. RODO to unijne przepisy o ochronie danych osobowych, które obowiązują każdą firmę.

Publiczne, darmowe modele AI mogą zapisywać to, co wpiszesz. Dlatego dane klientów i poufne dokumenty trzymaj w narzędziach przetwarzających dane w Unii Europejskiej, z umową powierzenia — dokumentem, w którym dostawca zobowiązuje się przetwarzać dane tylko w Twoim imieniu i zgodnie z RODO. Resztę da się robić bezpiecznie.

Najczęstszy błąd nie leży w samym AI. Leży w tym, że pracownik wkleja do publicznego czatu fakturę z danymi klienta, bo tak jest szybciej. To problem zasad i nawyków, nie technologii.

RODO to jedna strona wdrożenia AI. Jeśli dopiero zastanawiasz się, od czego w ogóle zacząć, przeczytaj nasz przewodnik AI dla małej firmy — od czego zacząć.

Czym różni się publiczne AI od firmowego

To jest sedno całej sprawy. Darmowy publiczny czat AI a wersja biznesowa tego samego narzędzia to dwa różne światy pod kątem RODO.

Publiczny, darmowy model bywa skonfigurowany tak, że to, co wpiszesz, może być zapisane i wykorzystane do dalszego uczenia. Nie masz tu umowy, nie masz kontroli, gdzie dane lądują.

Wersja biznesowa albo model wdrożony na potrzeby firmy działa inaczej. Dostawca podpisuje z Tobą umowę powierzenia, deklaruje, że nie uczy się na Twoich danych, i wskazuje, gdzie dane są przetwarzane.

Co to zmienia w praktyce

  • Publiczny darmowy czat: brak umowy, dane mogą być zapisywane, lokalizacja serwerów często poza Unią Europejską.
  • Wersja biznesowa lub model wdrożony: umowa powierzenia, brak uczenia na Twoich danych, przetwarzanie w Unii Europejskiej do wyboru.
  • Różnica w cenie bywa niewielka, a różnica w zgodności z RODO jest zasadnicza.

Pracujemy z firmami z Legnicy, Lubina i Polkowic i ten jeden wybór ustawiamy na samym początku. Dobranie właściwej wersji narzędzia załatwia większość obaw o RODO.

Czy dane wpisane do AI wyciekają

Nie tyle wyciekają, co bywają zapisywane — i to jest realne ryzyko. W publicznym darmowym modelu treść, którą wpiszesz, może trafić na serwery dostawcy i zostać tam przez jakiś czas.

To nie znaczy, że ktoś czyta Twoje faktury. Znaczy, że dane osobowe klientów opuściły Twoją kontrolę i trafiły do podmiotu, z którym nie masz umowy powierzenia. Z punktu widzenia RODO to już problem.

Przykład z naszego podwórka: właściciel hurtowni wkleił listę kontrahentów z danymi do darmowego czatu, żeby poprosić o uporządkowanie. Lista zawierała imiona, nazwiska i numery telefonów. To dane osobowe, których tam być nie powinno.

W wersji biznesowej z umową powierzenia to ryzyko spada. Dostawca zobowiązuje się, że nie wykorzysta danych do uczenia i przetwarza je zgodnie z RODO. Dlatego dobór narzędzia jest ważniejszy niż sama ostrożność pracownika.

Czego nie wolno wrzucać do publicznego AI

To pytanie zadaje nam prawie każdy właściciel firmy. Najprostsza zasada: jeśli dokument pozwala zidentyfikować konkretną osobę, do publicznego darmowego modelu nie trafia.

Poniżej konkretna lista. To są rzeczy, które najczęściej naprawiamy, ucząc zespoły bezpiecznej pracy z AI.

Czego nie wrzucać

  • Dane osobowe klientów: imiona, nazwiska, adresy, numery telefonów, e-maile.
  • Numery PESEL, dane z dowodów, dane medyczne i inne dane wrażliwe.
  • Poufne umowy, oferty cenowe, dane kontrahentów objęte tajemnicą.
  • Dane logowania, hasła, klucze do systemów i tokeny.
  • Pełne faktury z danymi nabywcy i sprzedawcy.

Co spokojnie możesz robić

  • Pisać szablony e-maili i ofert bez prawdziwych danych klienta.
  • Streszczać teksty publiczne, artykuły, regulaminy ogólnodostępne.
  • Tworzyć opisy produktów, treści na stronę, pomysły na posty.
  • Poprawiać styl i gramatykę tekstów bez danych osobowych.

Gdzie są przetwarzane Twoje dane — UE czy USA

Lokalizacja przetwarzania danych decyduje o zgodności z RODO. Przepisy faworyzują przetwarzanie w Unii Europejskiej, bo tu obowiązują te same zasady ochrony danych.

Wiele popularnych narzędzi AI przetwarza dane na serwerach w USA. Da się to zrobić zgodnie z prawem, ale wymaga odpowiednich zabezpieczeń i umowy. Najprościej jest wybrać opcję przetwarzania w Unii Europejskiej, gdy dostawca ją oferuje.

Co daje umowa powierzenia

Umowa powierzenia to warunek pracy z danymi osobowymi w zewnętrznym narzędziu. Bez niej nie powinieneś wpuszczać danych osobowych do żadnego zewnętrznego AI.

Przy doborze narzędzia sprawdzamy dwie rzeczy naraz: czy dostawca oferuje umowę powierzenia i gdzie fizycznie przetwarza dane. Te dwa warunki razem decydują, czy narzędzie nadaje się dla Twojej firmy.

Czego AI Cię nie zwalnia — obowiązki firmy

Wdrożenie AI nie zdejmuje z Ciebie obowiązków administratora danych. Jesteś nim Ty jako firma, a nie dostawca narzędzia.

RODO nakłada na Ciebie obowiązki niezależnie od tego, czy używasz AI. Najważniejsze z nich poniżej.

  • Zgody na przetwarzanie danych tam, gdzie są wymagane.
  • Rejestr czynności przetwarzania — spis tego, jakie dane i po co przetwarzasz.
  • Zgłoszenie naruszenia ochrony danych do urzędu w ciągu 72 godzin.

Reguła 72 godzin jest tu kluczowa. Jeśli dojdzie do naruszenia — na przykład dane wyciekną — masz 72 godziny na zgłoszenie tego do organu nadzorczego. AI tego terminu nie zmienia.

Więcej o tych obowiązkach piszemy w osobnym tekście o RODO w małej firmie. Tu zaznaczamy jedno: narzędzie AI to tylko fragment układanki, a odpowiedzialność za dane zostaje po Twojej stronie.

Jak bezpiecznie wdrożyć AI — od czego zacząć

Bezpieczne wdrożenie AI to nie jeden zakup, lecz kilka kroków w odpowiedniej kolejności. Najpierw porządek, potem narzędzia, na końcu zasady dla zespołu.

  1. Przegląd — sprawdzamy, jakie dane przetwarzasz i gdzie mogłoby się przydać AI.
  2. Dobór narzędzi — wybieramy wersje z umową powierzenia i przetwarzaniem w Unii Europejskiej.
  3. Zasady dla zespołu — krótka instrukcja, czego do modelu nie wrzucać.
  4. Człowiek w pętli — przy decyzjach z odpowiedzialnością prawną ostatnie słowo ma człowiek, nie model.

Dobry punkt startu to przegląd firmy pod kątem cyfrowym. Zobacz nasz darmowy audyt firmy — pokazuje, gdzie AI ma sens, a gdzie tylko doda ryzyka.

Mówimy wprost: AI to nie magia i nie zastąpi Twoich ludzi. To narzędzie, które przy dobrym doborze oszczędza czas, a przy złym tworzy problem z RODO. Cała sztuka jest w ustawieniu tego raz, a porządnie.

Częste błędy i nasze granice

Po wdrożeniach w firmach z Legnicy i okolic widzimy te same potknięcia. Warto je znać, zanim zaczniesz.

Trzy najczęstsze błędy

  • Traktowanie darmowego czatu jak firmowego narzędzia — bez umowy i bez zasad.
  • Brak instrukcji dla zespołu — każdy wkleja, co chce, bo nikt nie powiedział, czego nie wolno.
  • Założenie, że dostawca AI odpowiada za RODO — odpowiada administrator danych, czyli Twoja firma.

Mini-przykład: salon z dwiema lokalizacjami chciał używać AI do odpowiadania na opinie klientów. Wystarczyło ustalić, że do modelu trafia treść opinii bez nazwisk, i narzędzie zaczęło pomagać bez ryzyka.

Nasze granice są jasne. Nie jesteśmy kancelarią prawną — od strony prawnej współpracujesz ze swoim inspektorem ochrony danych lub prawnikiem. My odpowiadamy za techniczną stronę wdrożenia: dobór narzędzi, konfigurację i zasady pracy zespołu.

FAQ

Najczęstsze pytania

Czytaj dalej