AI Act a RODO — ochrona danych osobowych w systemach sztucznej inteligencji

Sztuczna inteligencja wkracza do organizacji w tempie, które wyprzedza zdolność wielu firm do oceny ryzyk prawnych z tym związanych. Chatboty obsługi klienta, systemy rekomendacji produktów, algorytmy wspierające rekrutację, narzędzia do analizy zachowań użytkowników, rozpoznawanie twarzy w kontroli dostępu — każdy z tych systemów przetwarza dane osobowe i podlega zarówno RODO, jak i nowemu rozporządzeniu o sztucznej inteligencji (AI Act).

AI Act (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689) to pierwszy na świecie kompleksowy akt prawny regulujący sztuczną inteligencję. Wszedł w życie 1 sierpnia 2024 r., a poszczególne jego przepisy zaczęły lub zaczną obowiązywać etapami — od lutego 2025 r. do sierpnia 2027 r.

W tym artykule wyjaśniam, jak AI Act i RODO współdziałają, jakie obowiązki nakładają na firmy stosujące AI i jak przygotować organizację na ich jednoczesne stosowanie.

AI Act w skrócie — system oparty na ryzyku

AI Act wprowadza podejście oparte na ryzyku, klasyfikując systemy AI w czterech kategoriach:

Niedopuszczalne ryzyko (zakazane praktyki AI) — systemy AI, których stosowanie jest całkowicie zakazane w UE. Zakaz obowiązuje od 2 lutego 2025 r. Obejmuje m.in.: systemy oceny społecznej (social scoring) przez władze publiczne, manipulację podprogową powodującą szkody, wykorzystywanie podatności osób (wiek, niepełnosprawność) w celu wpływania na ich decyzje, biometryczną identyfikację zdalną w czasie rzeczywistym w przestrzeni publicznej przez organy ścigania (z wyjątkami).

Wysokie ryzyko — systemy AI, które mogą mieć istotny wpływ na prawa fundamentalne osób. Podlegają najsurowszym wymogom. Obejmują m.in.: systemy AI w rekrutacji i zarządzaniu pracownikami, systemy oceny zdolności kredytowej, systemy AI w edukacji (ocena uczniów, egzaminy), systemy AI w wymiarze sprawiedliwości, systemy biometryczne (identyfikacja, kategoryzacja), systemy AI w infrastrukturze krytycznej, systemy AI w dostępie do usług publicznych.

Ograniczone ryzyko — systemy AI podlegające obowiązkom przejrzystości. Dotyczy m.in.: chatbotów (muszą informować, że użytkownik rozmawia z AI), systemów generujących deepfake (muszą oznaczać treści jako wygenerowane przez AI), systemów rozpoznawania emocji (muszą informować o swoim działaniu).

Minimalne ryzyko — pozostałe systemy AI (np. filtry antyspamowe, systemy rekomendacji w grach). Brak dodatkowych obowiązków, ale zachęcane jest stosowanie kodeksów postępowania.

Dlaczego AI Act i RODO muszą być stosowane łącznie?

AI Act nie zastępuje RODO — wprost stanowi o tym art. 2 ust. 7 AI Act, który potwierdza, że rozporządzenie nie narusza RODO i innych przepisów o ochronie danych. Oba akty prawne muszą być stosowane równolegle, co oznacza:

Każdy system AI przetwarzający dane osobowe podlega RODO — niezależnie od swojej klasyfikacji w AI Act. Nawet system AI o minimalnym ryzyku w rozumieniu AI Act musi przestrzegać zasad RODO, jeśli przetwarza dane osobowe.

Wymagania się nakładają, nie wykluczają — organizacja musi spełnić zarówno wymagania AI Act (dla odpowiedniej kategorii ryzyka), jak i wymagania RODO (dla przetwarzania danych osobowych).

Organy nadzorcze mogą kontrolować zgodność z oboma aktami — UODO jako organ ds. RODO oraz krajowy organ ds. AI Act (w Polsce wyznaczony zostanie odrębny organ) mogą badać ten sam system AI z różnych perspektyw.

DPIA dla systemów AI — podwójny wymóg

Jednym z najważniejszych punktów styku AI Act i RODO jest ocena skutków:

RODO (art. 35) wymaga przeprowadzenia DPIA, gdy przetwarzanie danych osobowych z użyciem nowych technologii może powodować wysokie ryzyko dla praw osób. Systemy AI — ze względu na profilowanie, automatyczne podejmowanie decyzji i często nieprzejrzystość algorytmów — niemal zawsze spełniają kryteria wymagające DPIA. Jak przeprowadzić DPIA krok po kroku opisujemy w osobnym artykule.

AI Act (art. 27) wymaga, aby podmioty wdrażające systemy AI wysokiego ryzyka przeprowadzały ocenę skutków dla praw podstawowych (Fundamental Rights Impact Assessment — FRIA). FRIA obejmuje m.in.: opis procesów, w których system AI będzie stosowany, okres i częstotliwość stosowania, kategorie osób, na które system może mieć wpływ, konkretne ryzyka dla praw podstawowych, środki nadzoru ludzkiego.

W praktyce: Jeśli Twój system AI jest jednocześnie systemem wysokiego ryzyka w rozumieniu AI Act i przetwarza dane osobowe, musisz przeprowadzić zarówno DPIA (RODO), jak i FRIA (AI Act). EDPB i organy nadzorcze rekomendują zintegrowane podejście — przeprowadzenie jednej kompleksowej oceny, która spełnia wymagania obu regulacji.

Profilowanie i automatyczne podejmowanie decyzji — art. 22 RODO a AI Act

Art. 22 RODO przyznaje osobom prawo do niepodlegania decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu (w tym profilowaniu), jeśli decyzja ta wywołuje wobec niej skutki prawne lub podobnie istotne. To prawo nabiera szczególnego znaczenia w kontekście AI:

Automatyczna selekcja kandydatów w rekrutacji — jeśli system AI automatycznie odrzuca kandydatów bez udziału człowieka, osoba ma prawo żądać interwencji ludzkiej, wyrażenia swojego stanowiska i zaskarżenia decyzji (art. 22 ust. 3 RODO).

Scoring kredytowy — automatyczna ocena zdolności kredytowej przez algorytm AI podlega art. 22 RODO. TSUE w wyroku w sprawie SCHUFA (C-634/21) potwierdził, że scoring kredytowy stanowi automatyczne podejmowanie decyzji w rozumieniu art. 22 RODO.

Systemy rekomendacji — algorytmy personalizujące treści lub oferty mogą stanowić profilowanie w rozumieniu RODO, nawet jeśli nie podejmują „decyzji” w tradycyjnym sensie.

AI Act dodaje dodatkowe wymagania — dla systemów AI wysokiego ryzyka wymaga m.in.: dokumentacji technicznej opisującej logikę działania systemu, zapewnienia nadzoru ludzkiego (human oversight), przejrzystości wobec użytkowników systemu, dokładności i odporności systemu.

Połączenie art. 22 RODO z wymogami AI Act oznacza, że organizacje stosujące AI do podejmowania decyzji o osobach muszą jednocześnie zapewnić: przejrzystość algorytmu (RODO + AI Act), prawo do interwencji ludzkiej (RODO), nadzór ludzki (AI Act), dokumentację techniczną (AI Act) i informację dla osób (RODO + AI Act).

Więcej o prawach osób przeczytasz w naszym przewodniku po RODO.

Obowiązek informacyjny — przejrzystość algorytmów

RODO wymaga przejrzystości przetwarzania danych (art. 5 ust. 1 lit. a). W kontekście AI oznacza to konieczność informowania osób o fakcie stosowania zautomatyzowanego podejmowania decyzji, w tym profilowania, oraz przekazania istotnych informacji o zasadach działania, znaczeniu i przewidywanych konsekwencjach takiego przetwarzania (art. 13 ust. 2 lit. f, art. 14 ust. 2 lit. g RODO).

W praktyce jest to jedno z najtrudniejszych wymagań do spełnienia — algorytmy uczenia maszynowego (machine learning) bywają „czarnymi skrzynkami” (black boxes), których logika działania jest trudna do wyjaśnienia nawet dla ich twórców.

AI Act wymaga dodatkowej przejrzystości:

Systemy AI wysokiego ryzyka — muszą posiadać dokumentację techniczną opisującą logikę działania, ograniczenia i zamierzone zastosowanie (art. 11 AI Act).

Systemy AI ograniczonego ryzyka — muszą informować użytkowników, że wchodzą w interakcję z AI (art. 50 AI Act). Dotyczy to chatbotów, deepfake’ów i systemów rozpoznawania emocji.

Praktyczna rekomendacja: Klauzula informacyjna RODO dla systemów AI powinna zawierać: informację o stosowaniu AI/automatycznego podejmowania decyzji, ogólny opis logiki działania algorytmu (nie kod źródłowy, ale zrozumiałe wyjaśnienie), znaczenie przetwarzania dla osoby (jakie decyzje są podejmowane lub wspierane), przewidywane konsekwencje, informację o prawie do interwencji ludzkiej i zaskarżenia decyzji. Jak napisać prawidłową klauzulę informacyjną opisujemy w osobnym artykule.

Dane treningowe AI a RODO

Systemy AI uczą się na danych — w tym często na danych osobowych. Wykorzystanie danych osobowych do trenowania modeli AI rodzi szereg pytań na gruncie RODO:

Podstawa prawna trenowania — na jakiej podstawie z art. 6 RODO przetwarzane są dane osobowe używane do trenowania modelu AI? Najczęściej powoływany jest uzasadniony interes administratora (art. 6 ust. 1 lit. f), ale wymaga to przeprowadzenia testu równowagi interesów. Zgoda (art. 6 ust. 1 lit. a) jest problematyczna ze względu na trudność w spełnieniu wymogów konkretności i świadomości.

Zasada ograniczenia celu — jeśli dane zostały zebrane w jednym celu (np. realizacja zamówienia), ich wykorzystanie do trenowania AI stanowi nowy cel przetwarzania, który wymaga odrębnej podstawy prawnej lub oceny zgodności celów (art. 6 ust. 4 RODO).

Minimalizacja danych — czy do trenowania modelu AI konieczne są dane osobowe, czy można wykorzystać dane zanonimizowane lub syntetyczne? Zasada minimalizacji (art. 5 ust. 1 lit. c RODO) wymaga, aby przetwarzanie ograniczało się do niezbędnego minimum.

Prawo do usunięcia a model AI — jeśli osoba żąda usunięcia swoich danych (art. 17 RODO), czy administrator musi „oduczyć” model AI? To jedno z najtrudniejszych pytań — technicznie usunięcie wpływu konkretnych danych na wytrenowany model może być niemożliwe lub nieproporcjonalnie kosztowne.

Decyzje UODO i europejskich organów — temat jest na wczesnym etapie kształtowania praktyki. Włoski Garante nałożył tymczasowy zakaz na ChatGPT w 2023 r. właśnie z powodu wątpliwości dotyczących podstawy prawnej trenowania, obowiązku informacyjnego i praw osób. Sprawa została rozwiązana po wdrożeniu przez OpenAI dodatkowych zabezpieczeń.

Harmonogram stosowania AI Act — kluczowe daty

AI Act wchodzi w życie etapami:

2 lutego 2025 r. — zakaz niedopuszczalnych praktyk AI (art. 5) + obowiązki dotyczące umiejętności AI (AI literacy, art. 4).

2 sierpnia 2025 r. — przepisy dotyczące modeli AI ogólnego przeznaczenia (General Purpose AI — GPAI), w tym obowiązki dla dostawców dużych modeli językowych (LLM).

2 sierpnia 2026 r. — pełne stosowanie przepisów dotyczących systemów AI wysokiego ryzyka z Załącznika III (rekrutacja, scoring, edukacja, wymiar sprawiedliwości itp.) + obowiązki przejrzystości dla systemów ograniczonego ryzyka.

2 sierpnia 2027 r. — stosowanie przepisów dotyczących systemów AI wysokiego ryzyka wbudowanych w produkty regulowane (urządzenia medyczne, pojazdy, maszyny itp.).

Organizacje powinny już teraz rozpocząć przygotowania — szczególnie firmy stosujące systemy AI w HR, obsłudze klienta, marketingu i ocenie ryzyka.

AI literacy — nowy obowiązek od lutego 2025

Art. 4 AI Act wprowadza obowiązek zapewnienia przez organizacje odpowiedniego poziomu umiejętności w zakresie AI (AI literacy) wśród osób, które zajmują się obsługą i stosowaniem systemów AI. Obowiązek ten obowiązuje od 2 lutego 2025 r.

W praktyce oznacza to konieczność: identyfikacji pracowników, którzy korzystają z systemów AI lub podejmują decyzje na ich podstawie, zapewnienia im szkoleń dostosowanych do ich roli i poziomu ryzyka systemu AI, dokumentowania podjętych działań.

Szkolenia z AI literacy powinny obejmować zarówno aspekty techniczne (jak działa system, jakie ma ograniczenia), jak i prawne (obowiązki wynikające z AI Act i RODO, prawa osób, procedury eskalacji).

Praktyczna checklist — AI Act i RODO

1. Zinwentaryzuj systemy AI w organizacji — jakie systemy AI stosujesz, jakie dane osobowe przetwarzają?
2. Sklasyfikuj systemy wg AI Act — niedopuszczalne / wysokie ryzyko / ograniczone ryzyko / minimalne ryzyko.
3. Sprawdź, czy nie stosujesz zakazanych praktyk AI — obowiązuje od lutego 2025.
4. Przeprowadź DPIA dla systemów AI przetwarzających dane osobowe — zintegruj z FRIA, jeśli system jest wysokiego ryzyka.
5. Zweryfikuj podstawy prawne przetwarzania danych — w tym danych treningowych.
6. Zaktualizuj klauzule informacyjne — uwzględnij informację o stosowaniu AI i automatycznym podejmowaniu decyzji.
7. Zapewnij nadzór ludzki — dla systemów AI podejmujących lub wspierających decyzje dotyczące osób.
8. Wdróż procedurę realizacji art. 22 RODO — prawo do interwencji ludzkiej, wyrażenia stanowiska, zaskarżenia decyzji.
9. Zapewnij AI literacy — przeszkol pracowników korzystających z systemów AI.
10. Przygotuj dokumentację techniczną — dla systemów AI wysokiego ryzyka.
11. Wyznacz odpowiedzialne osoby — kto w organizacji odpowiada za zgodność z AI Act?
12. Monitoruj rozwój regulacji — AI Act będzie uzupełniany aktami delegowanymi, standardami i wytycznymi.

Potrzebujesz wsparcia z AI Act i RODO?

Jednoczesne stosowanie AI Act i RODO wymaga wiedzy prawnej z obu obszarów oraz zrozumienia technicznych aspektów działania systemów AI. W Kancelarii Radcowskiej dr Joanny Maniszewskiej-Ejsmont doradzamy firmom w zakresie klasyfikacji systemów AI, przeprowadzania zintegrowanych DPIA/FRIA, wdrażania obowiązków przejrzystości i nadzoru ludzkiego oraz szkolenia zespołów z AI literacy.