Powrót do bloga
1.07.20267 minut
Autor:Redakcja Apptivity
Czy ChatGPT jest zgodny z RODO? Co ryzykuje firma, gdy pracownicy wklejają dane do AI

Czy ChatGPT jest zgodny z RODO? Co ryzykuje firma, gdy pracownicy wklejają dane do AI

Krótka odpowiedź: samo korzystanie z ChatGPT nie jest zabronione, ale sposób ma kluczowe znaczenie. To nie narzędzie jest „zgodne" lub „niezgodne" z RODO – to Ty, jako administrator danych, odpowiadasz za to, jakie informacje do niego trafiają i na jakiej podstawie.

Poniżej wyjaśniamy, kiedy używanie AI narusza RODO, co realnie grozi firmie i jak korzystać z AI zgodnie z przepisami.

Kiedy ChatGPT łamie RODO

Naruszenie pojawia się zwykle wtedy, gdy pracownik wkleja do darmowego narzędzia dane osobowe (klientów, pracowników, kontrahentów), a firma:

  • nie ma podstawy prawnej takiego przetwarzania,
  • nie zawarła umowy powierzenia (DPA) z dostawcą narzędzia,
  • nie ujęła korzystania z AI w rejestrze czynności przetwarzania,
  • nie wie, czy dane nie są wykorzystywane do trenowania modeli (w darmowych planach często są domyślnie),
  • nie poinformowała osób, których dane dotyczą.

W praktyce większość przypadków shadow AI – czyli korzystania z AI na prywatnych kontach poza kontrolą firmy – spełnia kilka z tych warunków naraz.

To nie teoria – regulatorzy już działają

Włoski organ ochrony danych Garante w 2023 roku tymczasowo zablokował ChatGPT we Włoszech z powodu wątpliwości wokół RODO, a w grudniu 2024 roku nałożył na OpenAI karę 15 mln euro za naruszenia związane z przetwarzaniem danych osobowych. To jasny sygnał, że temat AI jest na radarze europejskich regulatorów.

Do tego dochodzi AI Act – rozporządzenie UE o sztucznej inteligencji, które weszło w życie 1 sierpnia 2024 r. i jest wdrażane etapami. Od lutego 2025 obowiązują pierwsze przepisy (m.in. zakaz wybranych praktyk i wymóg kompetencji AI wśród pracowników), a większość obowiązków zaczyna obowiązywać do sierpnia 2026 r. Firmy, które korzystają z AI, powinny już teraz wiedzieć, jakie obowiązki ich czekają.

Co realnie grozi firmie

  • Kary finansowe – RODO przewiduje kary do 20 mln euro lub 4% globalnego obrotu.
  • Wyciek danych – raz wklejone dane mogą opuścić organizację bez możliwości ich „cofnięcia".
  • Utrata zaufania klienta, który dowiaduje się, że jego dokumenty trafiły do zewnętrznego czatu.
  • Problem przy kontroli lub skardze – brak dokumentacji to gotowy zarzut.

Jak korzystać z ChatGPT zgodnie z RODO

Nie trzeba rezygnować z AI. Trzeba ją oswoić:

  1. Wyklucz dane wrażliwe – jasna zasada, co nigdy nie trafia do AI (dane osobowe, finansowe, medyczne, tajemnice firmy).
  2. Używaj planów firmowych (np. ChatGPT Team/Enterprise, Copilot dla firm), które pozwalają wyłączyć trenowanie na Twoich danych i oferują odpowiednie warunki.
  3. Zawrzyj umowy powierzenia (DPA) z dostawcami, którym przekazujesz dane.
  4. Zaktualizuj dokumentację RODO – rejestr czynności, podstawy przetwarzania, informacje dla klientów.
  5. Wprowadź politykę korzystania z AI i krótko przeszkol zespół.

Nie wiesz, czy Twoja firma jest po bezpiecznej stronie? Zrób bezpłatny audyt AI – 13 pytań, wynik od ręki. Sprawdzisz m.in., czy masz podstawy w RODO, umowy powierzenia i kontrolę nad tym, jakie dane trafiają do AI.

Najczęstsze pytania

Czy można legalnie używać ChatGPT w firmie?

Tak, o ile robisz to świadomie: z planem, który wyłącza trenowanie na Twoich danych, z podstawą w RODO, umową powierzenia i zasadą, jakie dane nigdy nie trafiają do AI.

Czy darmowy ChatGPT jest zgodny z RODO?

Darmowe plany są najbardziej ryzykowne – treści bywają domyślnie wykorzystywane do trenowania modeli, a warunki nie są dostosowane do przetwarzania danych osobowych w firmie.

Czym jest AI Act i czy dotyczy mojej firmy?

To unijne rozporządzenie o AI, wdrażane etapami do 2026 roku. Dotyczy również firm, które jedynie korzystają z systemów AI – m.in. w zakresie kompetencji AI pracowników i przejrzystości.

Źródła