Sztuczna inteligencja coraz częściej wspiera codzienną pracę firm. Pomaga tworzyć treści, analizować dane, obsługiwać klientów, porządkować dokumenty, automatyzować marketing czy wspierać rekrutację. Problem pojawia się wtedy, gdy organizacja korzysta z AI bez jasnych zasad, bez wiedzy, jakie dane trafiają do narzędzi i bez oceny, czy cały proces jest zgodny z RODO. W Biurze Porad Prawnych Zacharski pomagamy firmom uporządkować takie działania – zarówno od strony ochrony danych osobowych, jak i szerszego podejścia do AI Governance, czyli bezpiecznego zarządzania wykorzystaniem sztucznej inteligencji w organizacji.
Dlaczego AI trzeba analizować pod kątem RODO?
Wiele narzędzi AI przetwarza dane osobowe. Mogą to być dane klientów, pracowników, kandydatów do pracy, pacjentów, kontrahentów albo użytkowników strony internetowej. System AI może analizować treść wiadomości, streszczać dokumenty, klasyfikować zgłoszenia, generować odpowiedzi albo wspierać podejmowanie decyzji.
Dlatego wdrożenie AI nie jest wyłącznie decyzją technologiczną. To również kwestia prawna, organizacyjna i bezpieczeństwa. Firma powinna wiedzieć, jakie dane są przetwarzane, w jakim celu, na jakiej podstawie prawnej i czy osoby, których dane dotyczą, zostały o tym prawidłowo poinformowane.
Od czego zacząć porządkowanie AI w firmie?
Pierwszym krokiem powinno być sprawdzenie, z jakich narzędzi AI firma faktycznie korzysta. W wielu organizacjach problemem nie jest oficjalnie wdrożony system, ale tzw. shadow AI, czyli narzędzia używane przez pracowników bez wiedzy pracodawcy. Może to być publiczny chatbot, generator tekstów, system do transkrypcji spotkań, aplikacja do analizy CV, narzędzie do automatycznych odpowiedzi albo wtyczka AI zintegrowana z CRM.
Warto przygotować prosty rejestr narzędzi AI. Powinien on wskazywać, kto korzysta z danego rozwiązania, w jakim celu, jakie dane są tam wprowadzane, kto jest dostawcą oraz czy narzędzie wpływa na decyzje dotyczące ludzi. Taka mapa procesów pozwala realnie ocenić ryzyko i ustalić, które obszary wymagają szybkiego uporządkowania.
Jakie pytania warto zadać przed wdrożeniem AI?
Przed wdrożeniem narzędzia AI firma powinna odpowiedzieć na kilka podstawowych pytań. Czy system będzie przetwarzał dane osobowe? Czy będą to dane zwykłe, czy szczególnej kategorii, np. dane o zdrowiu? Czy narzędzie będzie używane w HR, marketingu, sprzedaży, obsłudze klienta lub procesach decyzyjnych? Czy dane będą przekazywane poza Europejski Obszar Gospodarczy? Czy dostawca wykorzystuje dane użytkowników do trenowania swoich modeli?
Odpowiedzi na te pytania mają bezpośrednie znaczenie dla zgodności z RODO. Firma musi ocenić m.in. podstawę prawną przetwarzania, zakres danych, obowiązki informacyjne, bezpieczeństwo, retencję danych oraz możliwość realizacji praw osób, których dane dotyczą.
Kiedy w proces powinien zostać włączony IOD?
Inspektor ochrony danych powinien być włączany w projekty AI możliwie wcześnie. Nie dopiero wtedy, gdy narzędzie zostało już kupione, a pracownicy zaczęli z niego korzystać. Rola IOD nie ogranicza się do sprawdzenia dokumentów. IOD może pomóc ocenić ryzyko, wskazać obowiązki informacyjne, przeanalizować podstawy prawne, zaopiniować DPIA i ustalić, czy wdrożenie wymaga dodatkowych zabezpieczeń.
W praktyce IOD może również pomóc określić, czy trzeba zaktualizować politykę prywatności, zawrzeć umowę powierzenia, zmienić klauzule informacyjne, ograniczyć zakres danych albo przygotować procedurę korzystania z AI przez pracowników. Dzięki temu firma nie odkłada kwestii RODO na koniec projektu.
Czy każde narzędzie AI wymaga DPIA?
Nie każde wdrożenie AI wymaga oceny skutków dla ochrony danych, czyli DPIA. Taka ocena może być jednak konieczna, gdy system przetwarza duże ilości danych, obejmuje dane szczególnej kategorii, służy do profilowania albo wpływa na decyzje dotyczące osób fizycznych.
Przykładem może być narzędzie oceniające kandydatów do pracy, system analizujący zachowania klientów, rozwiązanie wspierające ocenę ryzyka ubezpieczeniowego albo AI wykorzystywana do przetwarzania dokumentacji medycznej. W takich przypadkach firma powinna dokładnie ocenić cel, zakres danych, ryzyko błędnych wyników, możliwość dyskryminacji oraz wpływ systemu na osoby, których dane dotyczą.
Czym jest AI Governance?
AI Governance to uporządkowany sposób zarządzania sztuczną inteligencją w firmie. Nie chodzi wyłącznie o regulamin korzystania z ChatGPT czy listę zakazanych narzędzi. Chodzi o system zasad, odpowiedzialności i kontroli, który pozwala firmie korzystać z AI w sposób bezpieczny, przewidywalny i zgodny z prawem.
W ramach AI Governance warto określić, kto zatwierdza nowe narzędzia AI, jakie dane wolno wprowadzać do systemów, które zastosowania są zabronione, kiedy należy skonsultować projekt z IOD i jak dokumentować decyzje. Biuro Porad Prawnych Zacharski wspiera firmy w tworzeniu takiego podejścia, łącząc perspektywę RODO, AI Act, bezpieczeństwa informacji i praktycznych potrzeb biznesowych.
Jak uporządkować korzystanie z AI przez pracowników?
Największe ryzyko często wynika z codziennych działań. Pracownik może wkleić do narzędzia AI treść umowy, dane klienta, korespondencję mailową, fragment dokumentacji kadrowej albo informacje objęte tajemnicą przedsiębiorstwa. Jeżeli firma nie ma jasnych zasad, trudno później ocenić, gdzie trafiły dane i czy doszło do naruszenia.
Dlatego warto przygotować wewnętrzną politykę korzystania z AI. Powinna ona wskazywać, z jakich narzędzi można korzystać, jakich danych nie wolno wprowadzać, kiedy wymagana jest zgoda przełożonego i co zrobić w razie podejrzenia naruszenia danych. Taki dokument powinien być napisany prostym językiem, aby pracownicy naprawdę rozumieli zasady i potrafili stosować je w codziennej pracy.
Jak sprawdzać dostawców narzędzi AI?
Wdrożenie AI często oznacza współpracę z zewnętrznym dostawcą. Firma powinna sprawdzić, czy dostawca jasno opisuje sposób działania usługi, zasady przetwarzania danych, lokalizację serwerów, zabezpieczenia, podwykonawców i możliwość wykorzystywania danych do trenowania modeli.
Warto zweryfikować umowę, regulamin, politykę prywatności, dokumentację bezpieczeństwa i warunki korzystania z API. Szczególnie ważne jest to, czy firma może wyłączyć wykorzystywanie danych do trenowania modeli oraz czy ma realną kontrolę nad usuwaniem danych.
Jakie dokumenty warto przygotować?
Porządkowanie AI powinno zostawić ślad w dokumentach. W praktyce warto przygotować rejestr narzędzi AI, zasady korzystania z AI przez pracowników, ocenę ryzyka dla najważniejszych zastosowań, dokumentację wyboru dostawców, aktualizację rejestru czynności przetwarzania oraz klauzule informacyjne. Jeżeli projekt wiąże się z wysokim ryzykiem, konieczna może być również DPIA.
Od czego zacząć już teraz?
Najlepiej zacząć od prostego audytu. Trzeba ustalić, z jakich narzędzi AI firma korzysta, kto ich używa, jakie dane są przetwarzane i które procesy mogą powodować największe ryzyko. Następnie warto wyznaczyć osoby odpowiedzialne za ocenę nowych narzędzi, przygotować politykę korzystania z AI, zaktualizować dokumentację RODO i przeszkolić pracowników.
AI może realnie usprawniać pracę firmy, ale tylko wtedy, gdy organizacja zachowuje kontrolę nad danymi, narzędziami i odpowiedzialnością. Uporządkowanie procesów nie blokuje innowacji. Przeciwnie – pozwala korzystać ze sztucznej inteligencji bez niepotrzebnego ryzyka prawnego, organizacyjnego i reputacyjnego.
Komentarze (0)