Czy mogę używać ChatGPT w firmie zgodnie z RODO?

Tak, pod warunkami. Nie wklejaj danych osobowych do darmowych wersji i korzystaj z planów biznesowych z odpowiednimi umowami przetwarzania danych.

Czy EU AI Act dotyczy małych firm w Polsce?

Tak. AI Act obowiązuje także MŚP, chociaż większość codziennych zastosowań w małych firmach wpada do kategorii niskiego lub ograniczonego ryzyka.

Kiedy muszę przeprowadzić DPIA przy wdrożeniu AI?

Gdy przetwarzanie spełnia określone kryteria ryzyka, np. obejmuje profilowanie i innowacyjne użycie technologii. Prosty chatbot FAQ zwykle tego nie wymaga.

Czy Make.com i Zapier są zgodne z RODO?

Tak, jeśli masz zaakceptowane odpowiednie umowy, prowadzisz dokumentację przetwarzania i informujesz użytkowników o użyciu narzędzi automatyzacji.

Powrót do Bazy Wiedzy

RODO a sztuczna inteligencja w firmie — co musisz wiedzieć jako właściciel MŚP w 2026

Przemysław Tischner·23 lutego 2026·12 min czytania

RODO a sztuczna inteligencja w firmie — przewodnik dla MŚP

„Chcemy wdrożyć AI, ale boimy się RODO."

To zdanie słyszę na co drugim spotkaniu z właścicielami firm. I rozumiem skąd się bierze — media straszą karami, prawnicy mówią „to zależy", a nikt nie tłumaczy prostym językiem, co tak naprawdę wolno, a czego nie.

Prawda jest taka: RODO nie zabrania używania sztucznej inteligencji. Zabrania używania jej bezmyślnie. A różnica między „bezmyślnie" a „świadomie" to często kilka prostych decyzji, które możesz podjąć jeszcze dziś.

Ten artykuł to nie opinia prawna — to praktyczny przewodnik dla właściciela firmy 5–100 osób, który chce korzystać z AI i automatyzacji bez narażania się na problemy. Każde twierdzenie jest poparte konkretnymi przepisami — ich listę znajdziesz na końcu artykułu.

Gdzie RODO spotyka AI w Twojej firmie?

Zanim przejdziemy do przepisów, zobaczmy gdzie w typowej firmie MŚP sztuczna inteligencja styka się z danymi osobowymi. Bo to nie jest kwestia abstrakcyjna — to codzienne operacje.

Chatbot na stronie zbiera imię, email i treść zapytania klienta.
Make.com automatycznie przekazuje leady z formularza do CRM-a.
ChatGPT pomaga handlowcowi napisać ofertę na podstawie danych klienta.
System AI analizuje CV kandydatów w rekrutacji.
Automatyczny scoring leadów decyduje, który handlowiec dostaje którego klienta.

W każdym z tych scenariuszy przetwarzasz dane osobowe. I w każdym masz inne obowiązki wynikające z RODO.

Co mówi RODO o automatycznym przetwarzaniu danych?

Kluczowy przepis to art. 22 RODO (Rozporządzenie PE i Rady (UE) 2016/679, art. 22 ust. 1). Mówi on wprost: osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu, jeśli ta decyzja wywołuje wobec niej skutki prawne lub w podobny sposób istotnie na nią wpływa.

Co to oznacza w praktyce? Jeśli Twój system AI samodzielnie odrzuca kandydata w rekrutacji, odmawia klientowi usługi lub przyznaje rabat na podstawie profilowania — to podlega art. 22 RODO. Osoba ma wtedy prawo żądać, by decyzję zweryfikował człowiek.

Ale uwaga — nie każde użycie AI to „decyzja oparta wyłącznie na zautomatyzowanym przetwarzaniu". Wytyczne Grupy Roboczej Art. 29 (WP251rev.01, przyjęte przez EROD) precyzują: kluczowym elementem jest realna interwencja człowieka. Jeśli system AI przygotowuje rekomendację, a człowiek podejmuje ostateczną decyzję po własnej analizie — art. 22 nie ma zastosowania.

Innymi słowy: AI jako asystent człowieka — tak. AI jako jedyny decydent w sprawach istotnych dla ludzi — tylko z dodatkowymi zabezpieczeniami.

Przykłady z życia MŚP:

✅ChatGPT pisze draft oferty, handlowiec ją sprawdza i wysyła — OK, art. 22 nie dotyczy

✅Make.com automatycznie przypisuje leady do handlowców na podstawie regionu — OK, to nie wywołuje skutków prawnych wobec klienta

❌System AI automatycznie odrzuca zgłoszenia serwisowe klientów na podstawie scoringu — tu art. 22 ma zastosowanie, klient musi mieć możliwość odwołania do człowieka

❌Chatbot AI samodzielnie decyduje o warunkach umowy bez weryfikacji człowieka — ryzykowne

Kiedy musisz przeprowadzić DPIA?

DPIA (Data Protection Impact Assessment, pol. ocena skutków dla ochrony danych) to obowiązek z art. 35 RODO. Przepis nie wymienia wprost sztucznej inteligencji, ale mówi o obowiązkowej DPIA, gdy przetwarzanie — w szczególności z użyciem nowych technologii — może powodować wysokie ryzyko naruszenia praw osób.

Art. 35 ust. 3 RODO wymienia trzy sytuacje, w których DPIA jest obowiązkowa:

Systematyczna, kompleksowa ocena aspektów osobistych osób fizycznych, oparta na zautomatyzowanym przetwarzaniu, w tym profilowaniu
Przetwarzanie na dużą skalę szczególnych kategorii danych (zdrowie, poglądy polityczne, dane biometryczne)
Systematyczne monitorowanie na dużą skalę miejsc dostępnych publicznie

Wykaz Prezesa UODO (Komunikat z 17 czerwca 2019 r., M.P. 2019 poz. 666) precyzuje to dodatkowo — zawiera 12 kategorii operacji przetwarzania wymagających DPIA. Zasada jest taka: jeśli Twoje przetwarzanie spełnia co najmniej 2 z 12 kryteriów z wykazu, DPIA jest wymagana.

Dla typowej firmy MŚP: jeśli wdrażasz chatbota opartego na prostych regułach (if/then), który odpowiada na FAQ i nie profiluje klientów — DPIA prawdopodobnie nie jest wymagana. Jeśli budujesz system AI, który automatycznie scoruje klientów na podstawie ich historii zakupów i danych z wielu źródeł — spełniasz co najmniej 2 kryteria i DPIA powinieneś przeprowadzić.

EU AI Act — nowa warstwa regulacji od 2026

EU AI Act (Rozporządzenie PE i Rady (UE) 2024/1689 z dnia 13 czerwca 2024 r.) to pierwszy na świecie kompleksowy akt prawny regulujący sztuczną inteligencję. Nie zastępuje RODO — działa obok niego.

Co już obowiązuje, a co nadchodzi?

Od 2 lutego 2025 (już obowiązuje):

Zakaz praktyk AI stwarzających niedopuszczalne ryzyko (np. social scoring, manipulacja podprogowa)
Obowiązek zapewnienia AI literacy — Twoi pracownicy korzystający z AI muszą mieć odpowiednią wiedzę (art. 4 AI Act)

Od 2 sierpnia 2025 (już obowiązuje):

Przepisy dotyczące modeli AI ogólnego przeznaczenia (GPAI) — dotyczy dostawców jak OpenAI czy Anthropic
Państwa członkowskie miały wyznaczyć organy nadzoru

Od 2 sierpnia 2026 (nadchodzi — za 5 miesięcy):

Większość przepisów AI Act zaczyna obowiązywać
Przepisy dla systemów AI wysokiego ryzyka z Załącznika III
Obowiązki transparentności (art. 50) — użytkownicy muszą wiedzieć, że rozmawiają z AI
Uruchomienie pełnego egzekwowania na poziomie krajowym

Od 2 sierpnia 2027:

Przepisy dla systemów AI wysokiego ryzyka wbudowanych w produkty regulowane

Kary za naruszenia (art. 99 AI Act):

Do 35 mln EUR lub 7% globalnego obrotu — za stosowanie zakazanych praktyk AI

Do 15 mln EUR lub 3% globalnego obrotu — za naruszenie innych obowiązków

Do 7,5 mln EUR lub 1% globalnego obrotu — za podanie nieprawdziwych informacji organom

Dla MŚP i startupów AI Act przewiduje proporcjonalne podejście — kary powinny uwzględniać wielkość firmy.

Klasyfikacja ryzyka — gdzie jest Twoja firma?

AI Act dzieli systemy na 4 kategorie. Większość zastosowań AI w typowej firmie MŚP to ryzyko minimalne lub ograniczone:

Ryzyko minimalne (brak dodatkowych obowiązków):

ChatGPT/Claude do pisania maili, ofert, contentu
Make.com/Zapier do automatyzacji procesów wewnętrznych
AI do analizy danych sprzedażowych
Chatbot FAQ oparty na prostych regułach

Ryzyko ograniczone (obowiązek transparentności, od sierpnia 2026):

Chatbot AI (np. oparty na GPT) rozmawiający z klientami — musisz poinformować, że to AI
Treści generowane przez AI (grafiki, teksty marketingowe) — oznaczanie jako AI-generated
Systemy rozpoznawania emocji lub kategoryzacji biometrycznej

Ryzyko wysokie (pełen zestaw wymogów, od sierpnia 2026):

AI w rekrutacji (przesiewanie CV, scoring kandydatów)
AI w scoringu kredytowym klientów
AI w edukacji i szkoleniach (ocenianie, dostęp do kształcenia)

Ryzyko niedopuszczalne (zakazane, od lutego 2025):

Social scoring przez władze publiczne
Manipulacja podprogowa prowadząca do szkody
Masowa identyfikacja biometryczna w czasie rzeczywistym w przestrzeni publicznej

Polska ustawa o systemach AI — stan na luty 2026

Projekt ustawy (nr UC71, Ministerstwo Cyfryzacji) jest w trakcie prac rządowych. Planowany termin przyjęcia przez Radę Ministrów: I kwartał 2026, ale na dzień publikacji tego artykułu projekt nie został jeszcze skierowany do Sejmu.

Ustawa ma charakter wykonawczy — jej głównym celem jest powołanie polskiego organu nadzoru (planowana Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji), ustalenie procedur kontrolnych i zasad nakładania kar.

Co to oznacza dla Ciebie? AI Act jako rozporządzenie unijne obowiązuje bezpośrednio — nie potrzebujesz polskiej ustawy, żeby przepisy Cię dotyczyły. Brak krajowej ustawy oznacza brak krajowego organu egzekwującego. Ale to kwestia czasu, nie zwolnienie z obowiązków.

Transfer danych do USA — ChatGPT, Claude, Make.com

Gdy korzystasz z narzędzi AI od firm amerykańskich, dane osobowe Twoich klientów mogą trafiać do USA. RODO wymaga odpowiedniej podstawy prawnej dla takiego transferu.

Aktualny stan (luty 2026):

Od 10 lipca 2023 r. obowiązuje EU-US Data Privacy Framework (DPF) — decyzja Komisji Europejskiej stwierdzająca odpowiedni stopień ochrony danych w USA dla firm certyfikowanych w ramach DPF. W styczniu 2026 EROD opublikowała zaktualizowane FAQ (wersja 2.0).

DPF to mechanizm samocertyfikacji. Zanim przekażesz dane firmie w USA, sprawdź czy figuruje na liście DPF na stronie dataprivacyframework.gov.

Kluczowe ryzyka:

DPF może podzielić los poprzedników — Safe Harbor unieważniony w 2015 (Schrems I), Privacy Shield w 2020 (Schrems II). Na razie obowiązuje, ale stabilność nie jest gwarantowana.

Praktyczna zasada: Jeśli wklejasz dane klientów do AI, używaj planów enterprise/business z podpisanym DPA. Jeśli używasz AI do ogólnych zadań bez danych osobowych — ryzyko jest minimalne.

RODO a Make.com, Zapier, Airtable

Platformy automatyzacji przetwarzają dane w Twoim imieniu — w języku RODO są podmiotami przetwarzającymi (procesorami). Twoja firma pozostaje administratorem danych.

Co musisz mieć:

Umowa powierzenia przetwarzania danych (DPA)

Make.com, Zapier i Airtable oferują standardowe DPA. Upewnij się, że je zaakceptowałeś.

Rejestr czynności przetwarzania (art. 30 RODO)

Zwolnienie z tego obowiązku dotyczy firm poniżej 250 pracowników, ale nie dotyczy sytuacji, gdy przetwarzanie „nie ma charakteru sporadycznego". Jeśli masz działające automatyzacje — rejestr jest wymagany.

Klauzula informacyjna (art. 13/14 RODO)

Twoi klienci muszą wiedzieć, że ich dane przetwarzasz za pomocą narzędzi automatyzacji. Wystarczy informacja w polityce prywatności.

Checklist: RODO + AI dla właściciela MŚP

Przed wdrożeniem AI:

Określ jakie dane osobowe będą przetwarzane i w jakim celuWybierz podstawę prawną przetwarzania (art. 6 RODO — najczęściej: umowa, zgoda lub prawnie uzasadniony interes)Sprawdź, czy dostawca AI ma podpisane DPA i figuruje na liście DPF (jeśli firma z USA) — weryfikuj na dataprivacyframework.govUżywaj planów enterprise/business, jeśli przetwarzasz dane klientówOceń, czy potrzebujesz DPIA (art. 35 RODO) — jeśli spełniasz co najmniej 2 z 12 kryteriów z wykazu Prezesa UODO

Przy codziennym użyciu:

Nie wklejaj danych osobowych klientów do darmowych wersji ChatGPT/ClaudeJeśli chatbot AI rozmawia z klientami — poinformuj ich, że to AI (od sierpnia 2026 obowiązek z art. 50 AI Act)Zapewnij „wyjście awaryjne" — możliwość kontaktu z człowiekiem, szczególnie gdy AI podejmuje decyzje wpływające na klientówPrzeszkol pracowników (obowiązek AI literacy z art. 4 AI Act obowiązuje od lutego 2025)

Dokumentacja:

Zaktualizuj politykę prywatności o informację o użyciu AI i automatyzacjiProwadź rejestr czynności przetwarzania uwzględniający narzędzia AIZachowaj podpisane DPA od dostawców (Make.com, OpenAI, Anthropic, Airtable)Jeśli przeprowadzałeś DPIA — dokumentuj wyniki i decyzje

Stanowisko UODO wobec AI

UODO prowadzi dedykowaną zakładkę „Sztuczna inteligencja" na swojej stronie (uodo.gov.pl), gdzie publikuje materiały edukacyjne i stanowiska. W 2025 r. UODO opublikował polskie tłumaczenie opinii Europejskiej Rady Ochrony Danych (EROD) dotyczącej wykorzystywania danych osobowych przy opracowywaniu i wdrażaniu modeli AI.

EROD podkreśla, że ogromna różnorodność modeli AI wymaga analizy poszczególnych przypadków — nie ma jednej odpowiedzi na pytanie „czy AI jest zgodne z RODO". Zależy od tego, jakie dane przetwarzasz, w jakim celu i jakie zabezpieczenia stosujesz.

Warto też znać raport GRAI (Grupa Robocza ds. Sztucznej Inteligencji przy kancelarii premiera) „Godna zaufania sztuczna inteligencja" ze stycznia 2025 (ai.gov.pl), który opisuje wytyczne UE dotyczące etycznego wykorzystania AI.

Podsumowanie

RODO i AI Act nie są przeszkodą we wdrażaniu sztucznej inteligencji — są ramami, które chronią Twoich klientów i Twoją firmę. Większość zastosowań AI w firmach MŚP to ryzyko minimalne lub ograniczone. Kluczowe zasady są proste: nie dawaj AI ostatecznego głosu w sprawach ważnych dla ludzi, informuj klientów o użyciu AI, zabezpiecz dane za pomocą planów enterprise i podpisanych DPA.

Najgorsza strategia to nie robić nic z obawy przed RODO — bo Twoja konkurencja już korzysta z AI. Najlepsza strategia to wdrożyć AI świadomie, z prostymi zabezpieczeniami opisanymi powyżej.

Źródła i podstawy prawne

Ten artykuł ma charakter informacyjny i edukacyjny. Nie stanowi porady prawnej. Podane informacje o przepisach są aktualne na dzień publikacji i mogą ulec zmianie. W razie wątpliwości dotyczących zgodności z RODO lub AI Act w konkretnej sytuacji Twojej firmy, skonsultuj się z prawnikiem specjalizującym się w ochronie danych osobowych.

Najczęściej zadawane pytania

Chcesz wdrożyć AI w firmie zgodnie z przepisami?

Umów bezpłatną konsultację — ocenimy Twoje procesy i pokażemy, co można zautomatyzować bezpiecznie.

Umów bezpłatną konsultację

lub zadzwoń: +48 660 446 190

Udostępnij:

Przemysław Tischner

Konsultant automatyzacji, WPROWADZAMY.AI

15 lat doświadczenia w sprzedaży i zarządzaniu procesami. Specjalista Make.com, Zapier i N8N. Pomaga firmom MŚP wdrażać automatyzację i agentów AI.

Więcej o mnie →