Art. 22 RODO a automatyczne decyzje AI. Kiedy human review jest obowiązkowy?

Art. 22 RODO a automatyczne decyzje AI. Kiedy human review jest obowiązkowy?

Bank odrzucił wniosek kredytowy bez rozmowy. System rekrutacyjny odrzucił kandydata bez wezwania na rozmowę. Algorytm ubezpieczeniowy podniósł składkę bez wyjaśnienia. Wszystkie te przypadki podlegają art. 22 RODO – i wszystkie wymagają realnego udziału człowieka jeśli mają być legalne.

Art. 22 RODO istnieje od 2018 roku. Przez większość tego okresu był przepisem teoretycznym o którym mało kto mówił bo mało który system był w pełni zautomatyzowany.

W 2026 sytuacja wygląda inaczej. AI ocenia wnioski kredytowe. AI filtruje CV w rekrutacji. AI wycenia ubezpieczenia. AI podejmuje decyzje w obsłudze klienta. Art. 22 RODO stał się jednym z ważniejszych przepisów w codziennej pracy IOD.

I jednocześnie jednym z najczęściej nieprawidłowo wdrażanych.

Co dokładnie reguluje art. 22 RODO

Przepis jest stosunkowo krótki ale każde słowo ma znaczenie.

Art. 22 ust. 1 mówi że osoba której dane dotyczą ma prawo do tego by nie podlegać decyzji która opiera się wyłącznie na zautomatyzowanym przetwarzaniu w tym profilowaniu i wywołuje wobec niej skutki prawne lub w podobny sposób istotnie na nią wpływa.

Cztery elementy muszą być spełnione żeby przepis miał zastosowanie.

Pierwszy: decyzja. Musi dojść do podjęcia decyzji – nie tylko analizy, nie tylko sugestii, ale faktycznego rozstrzygnięcia.

Drugi: wyłącznie zautomatyzowane przetwarzanie. Decyzja musi być podjęta przez system bez znaczącego udziału człowieka. Tu jest pułapka której wrócę.

Trzeci: profilowanie lub inne zautomatyzowane przetwarzanie. Najczęstszy przypadek to profilowanie – ocena cech osoby na podstawie jej danych. W skrócie - tworzenie nowych danych bazując na tym co już mamy.

Czwarty: skutki prawne lub w podobny sposób istotne. Decyzja musi wpływać znacząco na sytuację osoby – odmowa kredytu, odrzucenie aplikacji, podwyżka ceny.

Jeśli wszystkie cztery elementy są spełnione – decyzja jest zakazana "co do zasady". Z wyjątkami które omówię niżej.

Pułapka "wyłącznie zautomatyzowanego" – kiedy human in the loop jest realny a kiedy fikcyjny

"Mamy człowieka który zatwierdza decyzje algorytmu" – mówi przedstawiciel firmy podczas audytu. "Więc art. 22 nas nie dotyczy."

Tyle że ten człowiek otrzymuje listę 500 wniosków dziennie z gotową rekomendacją algorytmu i klika "akceptuj" przy każdym bez głębszej weryfikacji. To nie jest udział człowieka. To jest fikcyjny nadzór ludzki.

Europejska Rada Ochrony Danych (EROD) w wytycznych dotyczących art. 22 jasno wskazuje – aby uznać że decyzja nie jest "wyłącznie zautomatyzowana", człowiek musi mieć realny wpływ na wynik i autorytet do jego zmiany. Pracownik który mechanicznie zatwierdza wszystko co podsuwa mu system nie spełnia tego kryterium.

Test realności human review opiera się na trzech pytaniach.

Czy człowiek ma faktyczną wiedzę i kompetencje do oceny decyzji algorytmu? Pracownik bez wiedzy o tym jak działa scoring kredytowy nie może realnie zweryfikować jego wyniku.

Czy człowiek ma realny czas na ocenę każdej decyzji? Jeśli ma 30 sekund na decyzję wartą 100 tysięcy złotych – to nie jest realna ocena.

Czy człowiek ma realną możliwość zmiany decyzji algorytmu i czy z niej korzysta? Jeśli pracownicy nigdy nie odrzucają rekomendacji systemu – to pierwszy znak że ich rola jest fikcyjna.

Dotychczas nie udało się złapac żadnego administratora na gorącym uczynku. Zawsze dało się jakoś udowodnić że "człowiek decydował". Czas pokaże czy organy nadzorcze zmienią swoje podejście.

 

Trzy wyjątki gdy zautomatyzowana decyzja jest dopuszczalna

Art. 22 ust. 2 RODO wymienia trzy sytuacje w których decyzja w pełni zautomatyzowana jest legalna.

Pierwsza: decyzja niezbędna do zawarcia lub wykonania umowy.

Tu trzeba rozumieć "niezbędność" w dwóch znaczeniach które mają różny poziom ryzyka prawnego.

Znaczenie szerokie – ekonomiczne. Firma argumentuje że ma tylu klientów że bez automatyzacji nie da rady obsłużyć wniosków w rozsądnym czasie. Bank z tysiącami wniosków kredytowych dziennie. Ubezpieczyciel z setkami tysięcy ofert online. Sklep internetowy z milionami transakcji rocznie. Bez automatyzacji obsługa jest nierealna w skali biznesu.

To znaczenie jest powszechnie stosowane przez praktykę ale jest ryzykowne. Część organów nadzorczych – w tym potencjalnie UODO – może go nie zaakceptować. Argument "nie damy rady inaczej" nie zawsze wystarcza w świetle ścisłej interpretacji "niezbędności" z art. 22 ust. 2 lit. a. Skala biznesu jest wyborem firmy a nie obiektywną koniecznością – więc trudno argumentować że pełna automatyzacja jest jedynym możliwym rozwiązaniem.

Firma która opiera automatyczne decyzje na tym szerokim rozumieniu niezbędności powinna mieć tego świadomość. To jest pole gdzie kontrola organu nadzorczego może doprowadzić do innej oceny niż firmowa.

Znaczenie dosłowne – produktowe. Istotą usługi jest analiza przez maszynę. Klient korzysta z aplikacji AI do oceny CV i to AI jest produktem za który płaci. Klient używa systemu AI do analizy obrazów medycznych i to AI jest celem usługi. Klient korzysta z chatbota który ma autonomicznie rozwiązywać zgłoszenia i pełna automatyzacja jest istotą produktu.

W tym znaczeniu argument niezbędności jest mocny. Klient świadomie wybrał usługę której istotą jest zautomatyzowane przetwarzanie. Wymaganie human review na każdym etapie podważałoby sens samej usługi.

Druga: decyzja dopuszczona prawem UE lub państwa członkowskiego.

Krajowe ustawodastwa rzadko kiedy są na tyle dojrzałe by wpleść elementy RODO a tym bardziej art. 22 w swoje przepisy. Pośrednio za takie dopuszczone przez prawo uznaje się działania dot. AML (Weryfikacja fraudów i beneficjenta rzeczywistego) oraz właśnie scoring bankowy/ubezpieczeniowy.

Trzecia: decyzja oparta na wyraźnej zgodzie osoby.

Tu warto pamiętać że zgoda musi być wyraźna – nie domyślna, nie ukryta w ogólnym regulaminie. Klient musi wiedzieć że zgadza się na podjęcie wobec niego decyzji wyłącznie automatycznej i musi mieć realną alternatywę – proces z udziałem człowieka.

W praktyce zgoda jako podstawa jest rzadko stosowana bo trudna do prawidłowego uzyskania.

Obowiązki firmy nawet w przypadkach dopuszczalnych

Nawet gdy automatyczna decyzja jest legalna na podstawie jednego z trzech wyjątków – administrator ma dodatkowe obowiązki z art. 22 ust. 3.

Prawo do uzyskania interwencji człowieka. Klient którego decyzja dotyka musi mieć możliwość żądania interwencji człowieka. Nie symboliczna – realna. To znaczy że proces musi przewidywać ścieżkę odwoławczą która kończy się oceną sprawy przez kompetentnego pracownika.

Prawo do wyrażenia własnego stanowiska. Klient musi móc przedstawić swoje argumenty zanim decyzja zostanie potwierdzona. To może oznaczać dodatkową informację, dokumenty, wyjaśnienia.

Prawo do zakwestionowania decyzji. Klient musi mieć możliwość formalnego sprzeciwu wobec decyzji – z procedurą która prowadzi do ponownej oceny sprawy.

Te trzy elementy muszą być realnie wdrożone. Sam zapis w regulaminie że "klient ma prawo do interwencji" bez konkretnej ścieżki jak ją uzyskać – jest fikcją.

Prawo do informacji o logice decyzji

Art. 13 ust. 2 lit. f oraz art. 15 ust. 1 lit. h RODO nakładają na administratora obowiązek informowania o zautomatyzowanym podejmowaniu decyzji w tym o logice tego procesu oraz znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby której dane dotyczą.

W praktyce: klient ma prawo wiedzieć jak działa algorytm który podjął decyzję wobec niego. Nie musi to być pełen kod źródłowy ani szczegóły matematyczne modelu. Ale musi być wyjaśnienie zrozumiałe dla przeciętnej osoby.

"System scoringowy ocenił Pana wniosek na podstawie historii kredytowej, dochodów i kilku innych parametrów" – jest zbyt ogólnikowe. "Główne czynniki które obniżyły scoring to opóźnienia w spłacie poprzednich zobowiązań w okresie ostatnich 12 miesięcy oraz stosunek zadłużenia do dochodu" – jest konkretne i spełnia obowiązek.

Wyrok TSUE w sprawie SCHUFA (C-634/21) z grudnia 2023 wzmocnił te wymogi. TSUE wskazał że prawo do informacji o logice decyzji obejmuje konkretne wyjaśnienie a nie ogólne ramy działania systemu.

Co dochodzi z AI Act – warstwa dodatkowa

AI Act dokłada do art. 22 RODO dodatkowe warstwy obowiązków szczególnie dla systemów AI wysokiego ryzyka.

Wymóg meaningful human oversight zgodnie z art. 14 AI Act. Realna ludzka kontrola która ma faktyczną możliwość interweniowania w decyzje systemu.

Wymóg dokumentacji decyzji w celu zapewnienia możliwości oceny przez organ nadzorczy.

Wymóg transparentności wobec użytkowników o tym że decyzja została podjęta przez system AI – z art. 50 AI Act.

W przypadku deployerów spełniających kryteria z art. 27 AI Act – wymóg FRIA przed wdrożeniem systemu.

Te warstwy się uzupełniają. Firma która wdraża system AI podejmujący decyzje wpływające na klientów musi spełniać równolegle wymogi RODO i AI Act.

Praktyczna checklista dla firm używających AI do decyzji o klientach

Sześć pytań które warto przejść dla każdego systemu AI który podejmuje decyzje wpływające na klientów lub pracowników.

Pytanie pierwsze: Czy decyzja jest podejmowana wyłącznie automatycznie czy z udziałem człowieka? Jeśli z udziałem człowieka – czy ten udział jest realny czy fikcyjny?

Pytanie drugie: Jeśli decyzja jest w pełni automatyczna – na której z trzech podstaw z art. 22 ust. 2 opierasz to przetwarzanie? Czy ta podstawa jest udokumentowana?

Pytanie trzecie: Czy klient ma realną ścieżkę żądania interwencji człowieka? Czy ścieżka jest opisana w klauzuli informacyjnej i czy klient wie jak z niej skorzystać?

Pytanie czwarte: Czy klauzula informacyjna zawiera konkretną informację o logice decyzji a nie tylko ogólnik?

Pytanie piąte: Czy system zapewnia dokumentację każdej decyzji w sposób który pozwala na jej ocenę i ewentualną zmianę?

Pytanie szóste: Jeśli system jest systemem AI wysokiego ryzyka według AI Act – czy spełniasz dodatkowe wymogi z art. 14 i art. 27?

Jeśli odpowiedź na którekolwiek pytanie brzmi "nie" – wiesz gdzie zacząć.

Jak wygląda realny human review w praktyce

Wniosek kredytowy trafia do systemu scoringowego AI. System generuje rekomendację – zatwierdzenie, odmowa lub skierowanie do oceny manualnej.

Wnioski z rekomendacją "zatwierdzenie" przy niskiej kwocie i wysokim scoringu – proces zautomatyzowany na podstawie wyjątku z art. 22 ust. 2 lit. a (niezbędność do wykonania umowy). Klient jest informowany o automatycznej decyzji i ma prawo do żądania ponownej oceny przez analityka.

Wnioski z rekomendacją "odmowa" – obligatoryjnie trafiają do analityka który ma kompetencje, czas i autorytet żeby zmienić decyzję systemu. Analityk dostaje wniosek wraz z uzasadnieniem rekomendacji AI. Jego ocena jest udokumentowana – co rozważał, do jakich wniosków doszedł.

Wnioski "skierowane do oceny manualnej" – z założenia trafiają do analityka bez sugerowanej decyzji systemu.

Statystyka rozbieżności między rekomendacjami AI a finalnymi decyzjami jest monitorowana.

Ten model spełnia zarówno wymogi art. 22 RODO jak i art. 14 AI Act. Wymaga inwestycji w kompetencje pracowników i w odpowiednie procesy – ale daje realne compliance a nie iluzję compliance.

Artykuł powstał przy wsparciu AI. Weryfikacja merytoryczna i redakcja: Damian Bielecki, Typ od RODO.

Powrót do blogu

Zostaw komentarz

Damian Bielecki

Damian Bielecki "Typ od RODO"

Ekspert ds. ochrony danych osobowycgh. Człowiek który postanowił że prawo o ochronie danych nie musi być nudne. W sieci działa jako Typ od RODO – tłumaczy RODO, CyberSec i AI Act językiem który rozumie biznes a nie tylko prawnicy. Ekspert który uzyskał certyfikaty CIPP/E, CIPM i FIP. Jeśli potrzebujesz pomocy z RODO lub marką osobistą – sprawdź jak pracuję wchodząc w linki.