ChatGPT, Copilot i Gemini w firmie. Co mówi RODO i AI Act w 2026

ChatGPT, Copilot i Gemini w firmie. Co mówi RODO i AI Act w 2026

Pracownicy używają już ChatGPT, Copilot i Gemini niezależnie od tego czy firma to formalnie zaakceptowała. Pytanie nie brzmi "czy to dopuścić" tylko "jak to uregulować zanim zrobi to za Was UODO."

Sytuacja w polskich firmach w 2026 roku jest powtarzalna i widoczna gołym okiem.

Pracownicy używają narzędzi AI do codziennej pracy. Piszą maile w ChatGPT. Streszczają raporty w Gemini. Generują kod w GitHub Copilot. Tworzą grafiki w Midjourney. Analizują dokumenty w Claude.

W większości firm robią to bez żadnej polityki, bez szkoleń i bez wiedzy zarządu o skali zjawiska. To jest tak zwane "shadow AI" – używanie sztucznej inteligencji w pracy poza oficjalnym obiegiem.

Z perspektywy RODO i AI Act to jest mieszanka kilku obowiązków administratora których większość firm jeszcze nie zaadresowała.

Pierwsza warstwa problemu – co dzieje się z danymi wpisanymi do publicznego modelu

Pracownik wkleja do ChatGPT fragment umowy z klientem i prosi o streszczenie. Pracownik wkleja do Gemini bazę adresów mailowych żeby przygotować spersonalizowane wiadomości. Pracownik wkleja do Copilota kod źródłowy firmowego systemu z embedowanymi danymi testowymi.

Każda z tych czynności jest przekazaniem danych osobowych podmiotowi trzeciemu. W większości przypadków – podmiotowi spoza Europejskiego Obszaru Gospodarczego.

Z perspektywy RODO to jest transfer danych do państwa trzeciego który wymaga konkretnych podstaw prawnych z rozdziału V RODO. Standardowo – Standard Contractual Clauses, decyzje stwierdzające odpowiedni stopień ochrony danych, wiążące reguły korporacyjne.

W praktyce: większość firm które nie mają płatnej wersji ChatGPT Enterprise, Copilot Enterprise albo Gemini Workspace – nie ma żadnej z tych podstaw. Pracownicy wkleją dane do publicznej wersji narzędzia bez umowy powierzenia, bez SCC, bez żadnej kontroli administratora.

To jest naruszenie podstawowych zasad RODO niezależnie od tego co konkretnie pracownik wkleił.

Druga warstwa – trening modeli na firmowych danych

Tu sprawa robi się jeszcze ciekawsza.

Wiele bezpłatnych i podstawowych wersji narzędzi AI wprost zastrzega w warunkach świadczenia usługi że dane wprowadzone przez użytkownika mogą być wykorzystane do trenowania kolejnych wersji modelu.

To znaczy że dane Twoich klientów które pracownik wkleił do ChatGPT mogą trafić do paliwa dla GPT-5.  Czysto teoretycznie potem inny użytkownik na innym końcu świata może zadać pytanie którego odpowiedź będzie zawierać fragmenty Twoich danych. Osobiście uważam jednak że jest to bardzo bardzo mało prawdopodobne. Nie zmienia to faktu że nie mamy podstawy prawnej by pozwalać AI używać dane naszych klientów do rozwoju technologii..

W wersjach płatnych enterprise dostawcy zazwyczaj zobowiązują się do nie używania danych do treningu. OpenAI w ChatGPT Enterprise, Microsoft w Copilot Enterprise, Google w Gemini Workspace – każdy z tych planów ma postanowienia o ochronie danych klienta korporacyjnego. Jest to najczęsciej umieszone w Data Processing agreement które sa załącznikiem do warunków usługi.

Wersja darmowa albo podstawowa płatna – nie ma tych gwarancji.

Pierwsza decyzja firmowa w obszarze AI to wybór wersji narzędzia z którego można korzystać. Bez enterprise – nie powinno być dopuszczone do pracy z danymi firmowymi.

Trzecia warstwa – AI Act i obowiązki transparentności

Od sierpnia 2026 (chociaż jest już wysoce prawdopodobne że pewne kwestie zostaną przesunięte o rok) zaczyna stosować się AI Act w zakresie obejmującym obowiązki transparentności wobec użytkowników.

To znaczy że firma która używa AI do generowania treści przekazywanych klientom – musi ich o tym informować. Podchodzę z dużą dozą sceptycyzmu co dokładnie ma być oznaczane - będą to raczej na pewno chatboty i wygenerowane "deepfake" jak moje używane w artykułach.

Mail wygenerowany w ChatGPT i wysłany do klienta jako "spersonalizowany kontakt."? Treść marketingowa stworzona przez Gemini.?  Odpowiedź obsługi klienta wygenerowana przez Copilota? Tak długo jak miał w tym udział człowiek to podchodze do tego niepewnie. Nawet moje wkładki na dole artykułów nie jestem pewien czy będą niezbędne.

Klient ma prawo wiedzieć że treść której doświadcza została stworzona przez AI a nie przez człowieka.

W większości firm które używają AI do contentu klienckiego ten obowiązek nie jest spełniany. Pracownicy używają AI ale nie informują o tym odbiorców. To jest naruszenie którego skala dopiero zaczyna być widoczna dla organów nadzorczych.

Czwarta warstwa – konkretne ryzyka dla różnych typów danych

Nie każde użycie AI w firmie ma takie samo ryzyko. Warto rozróżnić.

Dane niskiego ryzyka. Tekst który nie zawiera danych osobowych ani tajemnicy firmy. Pracownik prosi AI o pomysł na nagłówek do artykułu blogowego o ogólnym temacie. Brak danych osobowych, brak danych klientów, brak danych pracowników. Ryzyko minimalne nawet w darmowej wersji narzędzia.

Dane średniego ryzyka. Dane biznesowe firmy bez danych osobowych zidentyfikowanych. Strategia, analiza konkurencji, projekt nowego produktu. Tu nie ma naruszenia RODO ale jest ryzyko ujawnienia tajemnicy przedsiębiorstwa konkurencji – bo dane mogą trafić do treningu modelu.

Dane wysokiego ryzyka. Dane osobowe klientów, pracowników, kandydatów do pracy. Każde użycie publicznej wersji AI z takimi danymi jest naruszeniem RODO. Wymagana jest wersja enterprise z umową powierzenia.

Dane krytycznego ryzyka. Dane szczególnej kategorii – zdrowotne, biometryczne, dotyczące orientacji, przekonań religijnych. Dane finansowe wrażliwe. Tajemnice prawnie chronione – adwokacka, lekarska, bankowa. Tu nawet wersja enterprise wymaga dodatkowej analizy DPIA przed wdrożeniem.

Nie jest to żadna oficjalna skala, ale jest to jakiś punkt do rozważań w ramach firmy.

Co konkretnie powinno być w polityce użycia AI w firmie

Lista elementów które realnie pojawiają się w dobrych politykach wdrażanych w 2026.

Lista dopuszczonych narzędzi. Konkretne aplikacje, konkretne wersje, konkretne plany. Nie "AI w pracy" tylko "ChatGPT Enterprise" lub "Copilot dla Microsoft 365 z licencją firmową." Wszystko poza tą listą – zakazane.

Klasyfikacja danych z jakimi można pracować w każdym narzędziu. Niektóre narzędzia mogą być używane z danymi wysokiego ryzyka, inne tylko z niskim. Pracownik musi wiedzieć co wolno wpisywać do konkretnego AI.

Obowiązek oznaczania treści wygenerowanych przez AI. Zarówno wewnętrznie – dla audytu i compliance – jak i zewnętrznie – dla transparentności wobec klientów.

Procedura zgłaszania incydentów. Co robić gdy pracownik przypadkiem wpisał poufne dane do publicznego AI. Jak zgłosić incydent, kto reaguje, jak ograniczyć szkody.

Szkolenie obowiązkowe. Polityka która nie jest poparta szkoleniem nie działa. Pracownicy muszą rozumieć dlaczego pewne rzeczy są zakazane a nie tylko widzieć że są zakazane. To już nawet nie jest dobrowolne ale wprost wymóg AI act.

Sankcje za naruszenia. Jasne konsekwencje za świadome obchodzenie polityki. Bez sankcji – polityka jest tylko sugestią.

Co zrobić jeśli pracownik już wpisał poufne dane do publicznego AI

Realny scenariusz który zdarza się niestety regularnie. Pracownik się orientuje że zrobił coś co nie powinno mieć miejsca i przychodzi do IOD z pytaniem co teraz.

Po pierwsze – żadna panika. Pracownik który zgłasza problem jest częścią rozwiązania a nie problemu. Reakcja zarządu powinna nagradzać transparentność a nie karać za uczciwość.

Po drugie – ocena co konkretnie zostało ujawnione. Jakie dane, w jakim narzędziu, w jakim kontekście. To jest informacja niezbędna do dalszych decyzji.

Po trzecie – sprawdzenie czy w narzędziu jest możliwość usunięcia historii konwersacji albo żądania nie używania danych do treningu. W niektórych narzędziach taka opcja jest dostępna ex post i warto z niej skorzystać niezwłocznie.

Po czwarte – ocena czy doszło do naruszenia ochrony danych w rozumieniu RODO. Przy danych klientów albo pracownikow wpisanych do publicznego AI – w większości przypadków tak. Zegar 72 godzin tyka od momentu stwierdzenia incydentu. Możemy zastanawiać się czy uznajemy dostawcę za zaufanego ale wątpię że się to uda.

Po piąte – wnioski na przyszłość. Jeden incydent to okazja do wzmocnienia szkolenia, polityki albo technicznych ograniczeń dostępu do publicznych wersji narzędzi AI.

Co AI Act dodaje do tego co już mówi RODO

AI Act nie zastępuje RODO ale dokłada nową warstwę obowiązków.

Klasyfikacja systemu jako wysokiego ryzyka. Większość typowych zastosowań ChatGPT, Copilot i Gemini w pracy biurowej nie czyni z nich systemów wysokiego ryzyka. Ale w określonych kontekstach – AI w rekrutacji, AI do oceny pracowników, AI używane w decyzjach kredytowych – wchodzą w obszar wysokiego ryzyka z dodatkowymi obowiązkami.

Klasyfikacja firmy jako providera albo deployera. O tym pisałem w osobnym artykule. Większość firm używających AI jest deployerami – ale jeśli dotrenowujesz model na własnych danych albo udostępniasz AI klientom pod własną marką – możesz wejść w rolę providera z dużo szerszymi obowiązkami.

FRIA dla wybranych deployerów. Jeśli firma wpada w jedną z trzech kategorii deployerów z art. 27 AI Act i używa systemów wysokiego ryzyka – obowiązek przeprowadzenia Fundamental Rights Impact Assessment.

Obowiązki transparentności wobec użytkowników i klientów. Informowanie o użyciu AI w generowaniu treści, w decyzjach automatycznych, w deepfakes.

Praktyczna lista do zrobienia w firmie do końca 2026

Krok pierwszy: zidentyfikuj co naprawdę dzieje się w firmie. Ankieta wśród pracowników, sprawdzenie logów dostępu do popularnych narzędzi AI, rozmowa z managerami. Większość zarządów nie wie jak intensywnie AI jest już używane przez ich ludzi.

Krok drugi: zdecyduj o oficjalnym stosie narzędzi AI. Jakie narzędzia firma akceptuje, na jakich licencjach. Zazwyczaj jeden ekosystem (Microsoft Copilot z Microsoft 365 albo Google Workspace z Gemini) jest prostszy niż patchwork wielu narzędzi.

Krok trzeci: napisz politykę użycia AI. Krótką, konkretną, czytelną. Niedługo każda firma będzie miała taką politykę – im wcześniej tym mniej chaosu po drodze.

Krok czwarty: przeszkol pracowników. Polityka bez szkolenia nie działa. Pokaż konkretne przykłady – co wolno, czego nie wolno, dlaczego.

Krok piąty: zaktualizuj rejestr czynności przetwarzania o nowe procesy z udziałem AI. Każde użycie AI z danymi osobowymi jest osobną czynnością przetwarzania.

Krok szósty: monitoruj. Regularnie sprawdzaj czy polityka jest przestrzegana. Bez monitoringu – polityka żyje w segregatorze a ludzie pracują jak chcą.

Pracownik wpisał dane klienta do darmowej wersji ChatGPT. Czy muszę zgłosić to do UODO?

W większości przypadków tak. Wprowadzenie danych osobowych klienta do publicznej wersji AI bez umowy powierzenia i bez SCC stanowi nieautoryzowane ujawnienie danych podmiotowi trzeciemu spoza EOG. To jest naruszenie ochrony danych osobowych w rozumieniu art. 4 pkt 12 RODO. Ocena czy zgłaszać do UODO opiera się na ryzyku dla osoby której dane dotyczą. Przy danych zwykłych klienta – ryzyko jest realne ale umiarkowane. Przy danych szczególnej kategorii – wysokie i obowiązek zgłoszenia powstaje prawie zawsze. Niezależnie od decyzji o zgłoszeniu do UODO – odnotuj incydent w wewnętrznym rejestrze naruszeń.

Czy mogę używać ChatGPT do pisania umów dla moich klientów?

Pisanie umów jako takich – możesz. Wpisywanie do ChatGPT konkretnych danych klientów żeby AI dopasowała umowę – nie powinieneś robić bez wersji enterprise z umową powierzenia. Bezpieczne podejście to używanie AI do generowania szablonów umów bez danych osobowych a potem ręczne uzupełnianie konkretów. Albo używanie wersji enterprise gdzie warunki transferu danych są uregulowane. Tak czy siak niezależnie "jak jest prawnie" pytanie z RODO brzmi "Po co?". Jeśli możemy zrobić coś bez danych osobowych, albo na pseudonimizowanych to tak zróbmy.

Mam Microsoft 365 z licencją biznesową. Czy automatycznie mogę używać Copilota zgodnie z RODO?

Nie automatycznie. Microsoft 365 Business nie zawsze obejmuje Copilota – często jest to osobna licencja Copilot for Microsoft 365 którą trzeba dokupić. Po drugie nawet posiadanie tej licencji nie zwalnia z obowiązku zaktualizowania lub dopisania nowego procesu do rejestru czynności przetwarzania i sprawdzenia czy DPIA jest wymagana. Sprawdź swoje warunki licencyjne i jeśli używasz Copilota do przetwarzania danych osobowych – upewnij się że masz dokumentację compliance dla tego procesu.

Czy zakaz używania AI w firmie jest realnym rozwiązaniem?

Realnym ale rzadko skutecznym jeśli nie idą za tym grube narzędzia blokujące dostępy a to nie są tanie rzeczy. Doświadczenia firm które próbowały całkowicie zakazać AI w pracy pokazują że pracownicy i tak używają narzędzi prywatnie i nieoficjalnie. To pogarsza sytuację – firma traci kontrolę nad tym co się dzieje. Lepiej dopuścić AI w kontrolowany sposób z konkretnymi narzędziami enterprise niż zakazać i mieć shadow AI. Wyjątek to konkretne procesy gdzie ryzyko jest tak wysokie że żadne narzędzie AI nie powinno być używane – obsługa danych szczególnej kategorii medycznych w niektórych kontekstach klinicznych, praca z tajemnicami państwowymi.

Czy klient ma prawo wiedzieć że jego sprawa była analizowana przez AI?

Co do zasady tak. Art. 50 AI Act wprowadza obowiązek transparentności przy generowaniu treści przez AI. Plus art. 13 RODO wymaga informowania osoby której dane dotyczą o przetwarzaniu w tym o profilowaniu i zautomatyzowanych decyzjach. Klient którego sprawa była analizowana przez AI powinien móc się o tym dowiedzieć z polityki prywatności firmy lub z konkretnej informacji w kontekście sprawy. Stopień szczegółowości na razie nie jest znany i uważam osobiście że "rynek zweryfikuje".

Czy pracownik może odmówić używania AI w pracy?

Pracownik nie ma generalnego prawa odmowy używania narzędzi pracy które pracodawca wprowadza zgodnie z prawem. AI w postaci Copilota czy Gemini w firmowym ekosystemie Microsoft 365 albo Google Workspace jest narzędziem pracy tak samo jak edytor tekstu. Ale jest sytuacja w której pracownik ma prawo zgłosić sprzeciw – gdy decyzje dotyczące jego osoby są podejmowane wyłącznie przez AI bez znaczącego udziału człowieka. Art. 22 RODO daje pracownikowi prawo do interwencji człowieka w decyzjach zautomatyzowanych które istotnie wpływają na jego sytuację.

Co z prawami autorskimi do treści generowanych przez AI w pracy?

To jest osobny obszar od RODO ale często związany z tym samym wdrożeniem. W większości jurysdykcji w 2026 roku treść w pełni wygenerowana przez AI nie jest objęta prawem autorskim – brakuje wkładu twórczego człowieka. Treść w której AI jest narzędziem pomocniczym a człowiek wnosi twórczy wkład – jest objęta prawem autorskim po stronie człowieka. Praktyczne konsekwencje dla firm: warunki licencyjne narzędzi AI często określają komu przysługują prawa do treści wygenerowanej z ich pomocą. Warunki Copilota są inne niż ChatGPT Enterprise są inne niż Midjourney. Sprawdź konkretne licencje narzędzi które wprowadzasz. Nie jestem w tym zakresie ekspertem, jako praktyk mogę co najwyżej powiedzieć - czy to ważne ze nie mam praw autorskich? Mi zależy na merytoryce i opinii.

Czy AI która podsumowuje rozmowy w Teams albo Meet podlega tym samym zasadom co aplikacje transkrypcji o których pisałeś?

Tak. Copilot w Teams generujący podsumowanie spotkania nagrywa głos uczestników, transkrybuje treść i tworzy podsumowanie. To są dokładnie te same operacje przetwarzania danych co Otter czy Fireflies. Różnica polega głównie na tym że Microsoft jako provider Copilota oferuje wbudowane Data Protection Addendum jako część licencji enterprise. To upraszcza kwestię umowy powierzenia ale nie eliminuje innych obowiązków – obowiązku informacyjnego wobec uczestników spotkania, retencji nagrań, możliwości realizacji żądań osób których dane dotyczą.

Artykuł powstał przy wsparciu AI. Weryfikacja merytoryczna i redakcja: Damian Bielecki, Typ od RODO.

Powrót do blogu

Zostaw komentarz

Damian Bielecki

Damian Bielecki "Typ od RODO"

Ekspert ds. ochrony danych osobowycgh. Człowiek który postanowił że prawo o ochronie danych nie musi być nudne. W sieci działa jako Typ od RODO – tłumaczy RODO, CyberSec i AI Act językiem który rozumie biznes a nie tylko prawnicy. Ekspert który uzyskał certyfikaty CIPP/E, CIPM i FIP. Jeśli potrzebujesz pomocy z RODO lub marką osobistą – sprawdź jak pracuję wchodząc w linki.