Używanie AI w firmie jest nielegalne. Chyba że wiesz co robisz.
Share
Masa polskich firm używa narzędzi AI z naruszeniem RODO. A jeszcze większa grupa boi się ich dotknąć przez mit który nie istnieje. Czas to naprawić.
Zacznijmy od tego co wszyscy czują ale nikt nie mówi wprost.
Dział marketingu od roku używa ChatGPT do tworzenia treści. Dział HR wrzuca tam ogłoszenia o pracę i prosi o skrócenie. Sprzedaż korzysta z AI do pisania maili do klientów. A IOD albo o tym nie wie, albo udaje że nie wie – bo jak zacznie wiedzieć, będzie musiał coś z tym zrobić.
To jest stan domyślny większości polskich firm w 2026 roku.
I teraz dobra wiadomość: niekoniecznie jest to katastrofa.
Ale zanim zaczniesz świętować – jest kilka warunków.
Mit pierwszy: "AI to automatyczna katastrofa RODO"
Nie. To nie jest prawda i szkoda czasu na jej podtrzymywanie.
RODO nie zakazuje używania narzędzi AI. RODO wymaga żebyś wiedział co robisz z danymi osobowymi – niezależnie od narzędzia. Kalkulator Excel z danymi pracowników też może naruszać RODO. Problem nigdy nie był w technologii. Problem jest zawsze w tym co do niej wrzucasz i na jakiej podstawie.
Jeśli Twoja firma korzysta z płatnego modelu AI – takiego który nie trenuje się na Twoich danych – i zachowujesz przy tym elementarną higienę informacyjną, to w większości przypadków jesteś w lepszym miejscu niż myślisz.
Co konkretnie sprawia że używanie AI jest legalne
Trzy warunki. Proste.
Po pierwsze: płatny model który nie uczy się na Twoich danych.
To fundamentalna różnica której większość firm nie rozumie. Darmowa wersja narzędzia AI może wykorzystywać Twoje zapytania do trenowania modelu. Wersja płatna – w większości przypadków – tego nie robi. Oznacza to że dane które wpisujesz nie wychodzą poza sesję i nie stają się częścią globalnego modelu.
Zanim Twój zespół zacznie używać jakiegokolwiek narzędzia AI – sprawdź warunki świadczenia usług oraz czy oferują umowę powierzenia danych (może być elementem regulaminu). Jeden akapit. Pięć minut. Potem możesz spać spokojnie.
Po drugie: minimalizacja danych – wrzucaj mniej, nie więcej.
Pracownik który pyta AI "napisz mi mail do klienta Jana Kowalskiego z PESEL 123456789 który złożył reklamację numer X w dniu Y" – robi to źle. Nie dlatego że AI jest zła. Dlatego że nie ma żadnego powodu żeby PESEL klienta był w tym mailu.
Zasada minimalizacji danych z art. 5 RODO obowiązuje wszędzie – również gdy narzędziem jest model językowy. Jeśli zadanie da się wykonać bez danych osobowych – wykonaj je bez danych osobowych. Jeśli musisz użyć danych – użyj minimum.
Po trzecie: personel wie co robi.
Nie chodzi o szkolenie z RODO raz w roku na którym wszyscy klikają "dalej". Chodzi o to żeby pracownik który codziennie korzysta z AI rozumiał jedną prostą zasadę: nie wrzucaj danych osobowych tam gdzie nie musisz oraz że to twoja odpowiedzialność jak skorzystać z wygenerowanego wyniku. Tyle. To nie jest wiedza tajemna – to jest higiena pracy z informacją.
Gdzie robi się naprawdę skomplikowanie: AI Act i Human in the Loop
Dotychczas mówiliśmy o używaniu AI do pisania maili, generowania treści, streszczania dokumentów. Tu ryzyko jest zarządzalne.
Jest jednak kilka obszarów gdzie przepisy – w szczególności unijny AI Act – nakładają znacznie wyższe wymagania. I tu "używamy płatnego modelu" już nie wystarczy.
Rekrutacja i selekcja kandydatów.
Jeśli Twoja firma używa AI do oceny CV, rankingowania kandydatów albo wspomagania decyzji o zaproszeniu na rozmowę – wchodzisz w obszar wysokiego ryzyka według AI Act. To nie oznacza że nie możesz tego robić. Oznacza że musisz zapewnić tak zwany Human in the Loop – człowieka który realnie weryfikuje decyzję AI, a nie tylko formalnie "zatwierdza" to co system już zdecydował.
Różnica jest zasadnicza. Rekruter który klika "zatwierdź" bez czytania – nie jest Human in the Loop. Jest klikerem. AI Act tego nie akceptuje. A jest jeszcze kwestia dokumentacji która to opisuje, a na której zasady wciąż czekamy - nikt z nas nie wiem jak będzie z AI Act.
Zarządzanie pracownikami i oceny pracownicze.
Systemy które monitorują produktywność pracowników, analizują ich zachowanie albo wspomagają decyzje o awansie czy zwolnieniu – to kolejny obszar podwyższonego ryzyka. Tu przecinają się RODO, AI Act i Kodeks Pracy w sposób który większość działów HR jeszcze nie przerobiła.
Decyzje kredytowe i finansowe.
FinTech i bankowość to osobny rozdział – tu AI może być używana, ale z pełną dokumentacją logiki decyzyjnej i prawem klienta do wyjaśnienia dlaczego system podjął daną decyzję.
Praktyczna checklista zanim Twoja firma wdroży AI
Nie DPIA. Nie projekt wdrożeniowy. Pięć pytań które możesz zadać sobie dziś:
Czy dostawca narzędzia AI potwierdza że nie trenuje modelu na Twoich danych?
Czy masz umowę powierzenia przetwarzania danych z dostawcą jeśli przez narzędzie przechodzą dane osobowe?
Czy pracownicy wiedzą żeby nie wrzucać do AI danych których nie muszą wrzucać?
Czy AI jest używana w obszarach wysokiego ryzyka – rekrutacja, ocena pracowników, decyzje finansowe – i czy jest tam realny człowiek w pętli decyzyjnej?
Czy masz w rejestrze czynności przetwarzania odnotowane że używasz AI jako narzędzia wspierającego procesy?
Jeśli odpowiedź na pierwsze trzy pytania brzmi "tak" – jesteś w zdecydowanie lepszym miejscu niż 70% firm które dziś używają AI bez żadnej refleksji.
Jeśli któreś z pytań 4 i 5 sprawia problem – wiesz gdzie zacząć.
Podsumowanie które możesz wysłać swojemu zarządowi
AI w firmie jest legalne. Wymaga jednak tego samego co każde inne narzędzie przetwarzające dane: świadomości co tam wrzucasz, podstawy prawnej i minimalnej higieny organizacyjnej.
Mit że "AI = automatyczne naruszenie RODO" kosztuje firmy więcej niż same naruszenia – bo paraliżuje wdrożenia które mogłyby być przeprowadzone bezpiecznie i budować realną przewagę konkurencyjną.
Większe ryzyko niż używanie AI jest udawanie że jej nie używasz – podczas gdy Twój zespół korzysta z niej codziennie bez żadnych zasad.
Artykuły stanowią "wydłużoną wersję" najpopularniejszych treści tworzonych przeze mnie w innych serwisach social media. Artykuł oraz grafika główna powstały przy wsparciu AI.