Czy ChatGPT jest zgodny z RODO? Co ryzykuje firma, gdy pracownicy wklejają dane do AI
Krótka odpowiedź: samo korzystanie z ChatGPT nie jest zabronione, ale sposób ma kluczowe znaczenie. To nie narzędzie jest „zgodne" lub „niezgodne" z RODO – to Ty, jako administrator danych, odpowiadasz za to, jakie informacje do niego trafiają i na jakiej podstawie.
Poniżej wyjaśniamy, kiedy używanie AI narusza RODO, co realnie grozi firmie i jak korzystać z AI zgodnie z przepisami.
Kiedy ChatGPT łamie RODO
Naruszenie pojawia się zwykle wtedy, gdy pracownik wkleja do darmowego narzędzia dane osobowe (klientów, pracowników, kontrahentów), a firma:
- nie ma podstawy prawnej takiego przetwarzania,
- nie zawarła umowy powierzenia (DPA) z dostawcą narzędzia,
- nie ujęła korzystania z AI w rejestrze czynności przetwarzania,
- nie wie, czy dane nie są wykorzystywane do trenowania modeli (w darmowych planach często są domyślnie),
- nie poinformowała osób, których dane dotyczą.
W praktyce większość przypadków shadow AI – czyli korzystania z AI na prywatnych kontach poza kontrolą firmy – spełnia kilka z tych warunków naraz.
To nie teoria – regulatorzy już działają
Włoski organ ochrony danych Garante w 2023 roku tymczasowo zablokował ChatGPT we Włoszech z powodu wątpliwości wokół RODO, a w grudniu 2024 roku nałożył na OpenAI karę 15 mln euro za naruszenia związane z przetwarzaniem danych osobowych. To jasny sygnał, że temat AI jest na radarze europejskich regulatorów.
Do tego dochodzi AI Act – rozporządzenie UE o sztucznej inteligencji, które weszło w życie 1 sierpnia 2024 r. i jest wdrażane etapami. Od lutego 2025 obowiązują pierwsze przepisy (m.in. zakaz wybranych praktyk i wymóg kompetencji AI wśród pracowników), a większość obowiązków zaczyna obowiązywać do sierpnia 2026 r. Firmy, które korzystają z AI, powinny już teraz wiedzieć, jakie obowiązki ich czekają.
Co realnie grozi firmie
- Kary finansowe – RODO przewiduje kary do 20 mln euro lub 4% globalnego obrotu.
- Wyciek danych – raz wklejone dane mogą opuścić organizację bez możliwości ich „cofnięcia".
- Utrata zaufania klienta, który dowiaduje się, że jego dokumenty trafiły do zewnętrznego czatu.
- Problem przy kontroli lub skardze – brak dokumentacji to gotowy zarzut.
Jak korzystać z ChatGPT zgodnie z RODO
Nie trzeba rezygnować z AI. Trzeba ją oswoić:
- Wyklucz dane wrażliwe – jasna zasada, co nigdy nie trafia do AI (dane osobowe, finansowe, medyczne, tajemnice firmy).
- Używaj planów firmowych (np. ChatGPT Team/Enterprise, Copilot dla firm), które pozwalają wyłączyć trenowanie na Twoich danych i oferują odpowiednie warunki.
- Zawrzyj umowy powierzenia (DPA) z dostawcami, którym przekazujesz dane.
- Zaktualizuj dokumentację RODO – rejestr czynności, podstawy przetwarzania, informacje dla klientów.
- Wprowadź politykę korzystania z AI i krótko przeszkol zespół.
Nie wiesz, czy Twoja firma jest po bezpiecznej stronie? Zrób bezpłatny audyt AI – 13 pytań, wynik od ręki. Sprawdzisz m.in., czy masz podstawy w RODO, umowy powierzenia i kontrolę nad tym, jakie dane trafiają do AI.
Najczęstsze pytania
Czy można legalnie używać ChatGPT w firmie?
Tak, o ile robisz to świadomie: z planem, który wyłącza trenowanie na Twoich danych, z podstawą w RODO, umową powierzenia i zasadą, jakie dane nigdy nie trafiają do AI.
Czy darmowy ChatGPT jest zgodny z RODO?
Darmowe plany są najbardziej ryzykowne – treści bywają domyślnie wykorzystywane do trenowania modeli, a warunki nie są dostosowane do przetwarzania danych osobowych w firmie.
Czym jest AI Act i czy dotyczy mojej firmy?
To unijne rozporządzenie o AI, wdrażane etapami do 2026 roku. Dotyczy również firm, które jedynie korzystają z systemów AI – m.in. w zakresie kompetencji AI pracowników i przejrzystości.
Źródła
- Garante per la protezione dei dati personali – decyzja ws. OpenAI/ChatGPT (kara 15 mln €, grudzień 2024): garanteprivacy.it
- Komisja Europejska – AI Act (harmonogram wdrożenia): digital-strategy.ec.europa.eu
- Rozporządzenie RODO (GDPR): eur-lex.europa.eu
