ChatGPT jest najpopularniejszym narzędziem AI na świecie i wielu pracowników korzysta z niego codziennie - również do zadań zawodowych. Problem pojawia się wtedy, gdy do modelu trafiają dokumenty zawierające dane osobowe klientów, pracowników lub kontrahentów. I w tym miejscu RODO wchodzi do gry niezależnie od tego, jak wygodne jest dane narzędzie.
Na czym polega problem z przetwarzaniem danych przez zewnętrzne modele AI
Kiedy wklejasz tekst do zewnętrznego systemu AI, ten tekst trafia na serwery jego operatora. Operator przetwarza go zgodnie ze swoimi regulaminami i politykami prywatności. Dla RODO to proste: doszło do powierzenia przetwarzania danych osobowych podmiotowi zewnętrznemu.
Art. 28 RODO mówi jednoznacznie: jeżeli administrator powierza przetwarzanie danych innemu podmiotowi, jest zobowiązany zawrzeć z nim pisemną umowę powierzenia spełniającą określone wymogi. Brak takiej umowy to naruszenie RODO - nawet jeśli do samych danych nic się nie stało.
Wiele popularnych narzędzi AI oferuje wersje dla firm z odpowiednimi warunkami i umowami - ale nie oznacza to, że każdy użytkownik automatycznie ma je zawarte. Darmowe i płatne konta indywidualne zwykle nie są objęte umowami powierzenia spełniającymi wymogi art. 28 RODO.
Stan na 2025 rok: Prezes UODO podjął działania wobec operatorów systemów AI, którzy nie spełniają swoich obowiązków związanych z ochroną danych osobowych. Europejska Rada Ochrony Danych (EROD) w opinii z grudnia 2024 roku wprost odniosła się do kwestii zgodności modeli AI z RODO - wskazując, że każdy przypadek należy oceniać indywidualnie.
Kiedy korzystanie z zewnętrznych narzędzi AI jest dozwolone
Gdy nie ma danych osobowych w tekście
Jeśli do modelu trafia treść bez żadnych danych osobowych - czysto prawna analiza klauzuli, szablon pisma bez wypełnienia, pytanie techniczne - nie ma problemu z RODO. Brak danych osobowych = brak regulacji RODO.
Gdy dokument został wcześniej zanonimizowany
Zanonimizowany dokument - taki, w którym dane osobowe zostały zastąpione tokenami lub usunięte - nie jest dokumentem zawierającym dane osobowe. Można go wysłać do dowolnego narzędzia bez umowy powierzenia i bez ryzyka naruszenia RODO. To najprostsza i najszybsza metoda dla prawników, radców prawnych, adwokatów i pracowników HR.
Gdy zawarto odpowiednią umowę z operatorem
Część platform AI oferuje kontrakty dla organizacji obejmujące umowy powierzenia zgodne z art. 28 RODO, gwarancje zerowego retencji danych oraz przetwarzanie wyłącznie na terenie EOG. To rozwiązanie wymaga analizy prawnej kontraktu i regularnego audytu. Dla większości kancelarii i MŚP - zbyt duże koszty transakcyjne wobec efektu.
Anonimizuj zanim wyślesz - szybciej niż negocjowanie umów
Beznazwisk.pl anonimizuje dokument na Twoim komputerze w kilka minut. Zanonimizowana treść idzie do modelu AI - bez danych osobowych, bez ryzyka RODO.
Pobierz bezpłatnieCo grozi za korzystanie z AI z danymi osobowymi bez podstawy
Formalnie jest to naruszenie art. 28 RODO (brak umowy powierzenia) i potencjalnie art. 6 (brak podstawy prawnej do przekazania danych). UODO może nałożyć karę administracyjną - w 2025 roku rekordowa przekroczyła 27 mln zł, choć standardowe kary dla MŚP i kancelarii są znacznie niższe.
Dla radcy prawnego i adwokata dochodzi drugi wymiar: naruszenie tajemnicy zawodowej. Prezes KIRP w rekomendacjach z 2025 roku wprost wskazał, że radca powinien stosować anonimizację lub uzyskać zgodę klienta przed wysłaniem dokumentów do zewnętrznych systemów AI. Brak stosowania się do tych rekomendacji może być podstawą zarzutu w postępowaniu dyscyplinarnym.
Praktyczne zasady bezpiecznego korzystania z AI w pracy
- Przed wysłaniem dokumentu sprawdź, czy zawiera dane osobowe. Jeśli tak - zanonimizuj go lokalnie lub użyj wersji szablonowej bez danych.
- Nie wklejaj list pracowników, danych klientów ani akt spraw do narzędzi AI bez uprzedniej anonimizacji.
- Jeżeli Twoja firma lub kancelaria zawiera umowę z operatorem AI spełniającą wymogi RODO - sprawdź, czy obejmuje konkretne narzędzie, z którego korzystasz.
- Po otrzymaniu odpowiedzi od modelu AI, który pracował na zanonimizowanym dokumencie, możesz deanonimizować wynik lokalnie - przywracając oryginalne dane bez ich wychodzenia poza komputer.
Co mówi EROD o modelach AI i danych osobowych
W grudniu 2024 roku Europejska Rada Ochrony Danych przyjęła opinię w sprawie korzystania z danych osobowych przy opracowywaniu i wdrażaniu modeli AI. Kluczowy wniosek: kwestia tego, czy model AI można uznać za anonimowy, wymaga oceny indywidualnej dla każdego przypadku. Sam fakt, że dane przeszły przez model treningowy, nie czyni ich automatycznie anonimowymi.
To ważna informacja dla firm tworzących własne modele AI na danych klientów - ale również potwierdzenie, że korzystanie z zewnętrznych modeli gotowych (jak ChatGPT) z danymi osobowymi nie jest wolne od obowiązków wynikających z RODO.
Przeczytaj również
Autor: Zespół Beznazwisk.pl. Tekst ma charakter informacyjny i nie stanowi porady prawnej.