RODO a automatyzacja procesów: na co uważać przy wdrożeniu AI?

Automatyzacja procesów oparta na AI przestała być ciekawostką technologiczną. Firmy wdrażają ją w HR, finansach, obsłudze klienta, logistyce. I właśnie w tym miejscu pojawia się pytanie, które słyszymy coraz częściej: czy nasze wdrożenie jest zgodne z RODO?

Krótka odpowiedź: może być, ale tylko jeśli wiesz, czego szukać. Ten artykuł przeprowadzi Cię przez najważniejsze punkty zapalne, zanim zamiast efektywności dostaniesz karę.

---

Co to jest RODO w kontekście AI?

RODO (Rozporządzenie Ogólne o Ochronie Danych, ang. GDPR) to unijny akt prawny z 2018 roku, który reguluje przetwarzanie danych osobowych osób fizycznych na terenie UE, niezależnie od tego, czy przetwarzanie odbywa się ręcznie, czy przez algorytm.

W praktyce oznacza to: każdy system AI, który przetwarza dane pozwalające zidentyfikować konkretną osobę, podlega RODO. Bez wyjątków.

Łączne kary nałożone na podstawie RODO od maja 2018 do stycznia 2025 wyniosły 5,88 miliarda euro (DLA Piper GDPR Fines and Data Breach Survey, styczeń 2025). Przy czym ponad 60% tej kwoty pochodzi z okresu po styczniu 2023, co pokazuje wyraźne przyspieszenie egzekwowania prawa.

---

Dlaczego AI i automatyzacja to dziś numer jeden wśród problemów z RODO?

Według badania VinciWorks z 2026 roku, przeprowadzonego wśród 198 specjalistów ds. compliance, 43% respondentów wskazało AI i zautomatyzowane podejmowanie decyzji jako największe wyzwanie RODO. To więcej niż zgoda na przetwarzanie, bezpieczeństwo danych i zarządzanie podmiotami łącznie.

Problem jest złożony z co najmniej trzech powodów:

Po pierwsze, systemy AI uczą się na danych historycznych, które bardzo często zawierają dane osobowe. Po drugie, decyzje podejmowane przez algorytm bywają trudne do wyjaśnienia, a RODO tego wyjaśnienia wprost wymaga. Po trzecie, wiele firm nie wie, że procesy, które wdrożyły jako "automatyzację", faktycznie wchodzą w zakres art. 22 RODO.

---

Artykuł 22 RODO: kiedy Twój bot podejmuje decyzję za człowieka?

Kluczowa definicja: Zautomatyzowane podejmowanie decyzji w rozumieniu art. 22 RODO to każdy proces, w którym decyzja wywierająca skutki prawne lub podobnie istotnie wpływająca na osobę fizyczną jest podejmowana wyłącznie przez system informatyczny, bez rzeczywistego udziału człowieka.

Słowo "wyłącznie" jest tutaj kluczowe, ale nie daje tyle swobody, ile mogłoby się wydawać. Organy nadzorcze wielokrotnie wskazywały, że człowiek, który jedynie zatwierdza wynik algorytmu bez samodzielnej analizy, nie spełnia wymogu "rzeczywistego udziału". To znaczy: jeśli Twój pracownik klika "zatwierdź" pod rekomendacją AI bez faktycznej weryfikacji, algorytm de facto decyduje samodzielnie.

Kiedy art. 22 RODO wchodzi w grę?

Art. 22 RODO obejmuje automatyczne scoring kredytowy, profilowanie kandydatów w rekrutacji, systemy oceny pracowników, a także każdą inną decyzję, która istotnie wpływa na sytuację osoby fizycznej i jest podejmowana bez realnego nadzoru ludzkiego.

Osoba, której dotyczy taka decyzja, ma prawo do: żądania wyjaśnienia logiki stojącej za algorytmem, złożenia sprzeciwu, uzyskania interwencji człowieka i ponownego rozpatrzenia sprawy.

---

Jakie dane przetwarza Twój system AI i na jakiej podstawie prawnej?

To pytanie, które powinno pojawić się jako pierwsze przy każdym wdrożeniu. RODO wymaga, żeby każde przetwarzanie danych osobowych miało konkretną podstawę prawną.

W przypadku systemów AI najczęściej stosowane podstawy to:

Zgoda (art. 6 ust. 1 lit. a): musi być dobrowolna, konkretna, świadoma i jednoznaczna. LinkedIn w październiku 2024 roku zapłacił 310 milionów euro kary właśnie za to, że jego system analizy behawioralnej i targetowania reklam opierał się na zgodzie, która nie była ani swobodna, ani świadoma (decyzja Irish DPC, październik 2024).

Uzasadniony interes (art. 6 ust. 1 lit. f): możliwy do zastosowania, ale wymaga przeprowadzenia testu równowagi między interesem administratora a prawami osoby. Wiele firm stosuje go mechanicznie, bez faktycznej analizy, co jest błędem.

Wykonanie umowy (art. 6 ust. 1 lit. b): sprawdza się przy automatycznym przetwarzaniu w ramach relacji kontraktowej, np. obsłudze zamówień.

Brak jasnej podstawy prawnej to jeden z najczęstszych błędów przy wdrożeniu AI. Clearview AI zapłacił holenderskiej DPA 30,5 miliona euro kary w wrześniu 2024 roku właśnie za budowę bazy biometrycznej bez żadnej ważnej podstawy prawnej.

---

Ocena Skutków dla Ochrony Danych (DPIA): kiedy jest obowiązkowa?

Kluczowa definicja: DPIA (Data Protection Impact Assessment, polska nazwa: Ocena Skutków dla Ochrony Danych) to ustrukturyzowana analiza ryzyka, którą administrator danych musi przeprowadzić przed uruchomieniem procesu, który może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych.

Przy wdrożeniu AI, DPIA jest obowiązkowa w co najmniej trzech przypadkach:

1. Systematyczna i kompleksowa ocena osób fizycznych (scoring, profilowanie, decyzje o zatrudnieniu).
2. Przetwarzanie na dużą skalę danych wrażliwych (zdrowie, biometria, dane dotyczące wyroków skazujących).
3. Systematyczne monitorowanie miejsc publicznie dostępnych (monitoring z analityką AI).

Warto też wiedzieć, że od 2 sierpnia 2026 roku unijny AI Act (Rozporządzenie 2024/1689) nakłada na systemy AI wysokiego ryzyka obowiązek przeprowadzenia DPIA już na etapie projektowania systemu, a nie dopiero przed wdrożeniem. Dotyczy to m.in. wszystkich systemów AI stosowanych w rekrutacji i ocenie pracowników.

---

AI Act a RODO: dwa reżimy, jeden system

EU AI Act (Rozporządzenie 2024/1689) to nowe unijne rozporządzenie wchodzące w życie etapami, które reguluje systemy sztucznej inteligencji w zależności od poziomu ryzyka, jakie stwarzają dla praw podstawowych.

W odróżnieniu od RODO, które reguluje przetwarzanie danych, AI Act reguluje sam system AI i jego właściwości. W praktyce oznacza to, że oba rozporządzenia nakładają się i trzeba spełnić wymagania obu jednocześnie.

Kluczowe daty dla firm wdrażających AI:

• Sierpień 2025: obowiązek szkoleń z AI Literacy dla personelu (obowiązuje od lutego 2025).
• 2 sierpnia 2026: pełne wymagania dla systemów wysokiego ryzyka (rekrutacja, finanse, edukacja, egzekwowanie prawa).
• Od 2027: aktywna egzekucja przez organy nadzorcze z karami do 35 milionów euro lub 7% globalnego obrotu.

---

Minimalizacja danych i retencja: gdzie automatyzacja najczęściej zaburza RODO

Automatyzacja procesów generuje dane. Często znacznie więcej, niż jest faktycznie potrzebne. RODO wprost mówi (art. 5 ust. 1 lit. c), że dane muszą być adekwatne, stosowne i ograniczone do tego, co niezbędne.

W praktyce przy wdrożeniu AI oznacza to co najmniej trzy pytania, na które musisz znać odpowiedź:

• Jakie dane zbiera Twój system automatyzacji i czy wszystkie są potrzebne do realizacji celu?
• Jak długo dane są przechowywane i czy masz aktywną politykę retencji, którą system faktycznie egzekwuje?
• Czy dane osobowe wykorzystywane do trenowania modelu były zebrane z właściwą podstawą prawną i czy ta podstawa obejmuje cel treningowy?

Europejska Rada Ochrony Danych (EROD) w opinii 28/2024 precyzuje, kiedy modele AI mogą być uznane za przetwarzające dane anonimowe, a kiedy wciąż podlegają RODO, nawet jeśli danych osobowych nie widać wprost w outputach systemu.

---

Lista kontrolna: 7 pytań przed wdrożeniem AI

1. Jakie dane osobowe przetwarza system? Sporządź pełną inwentaryzację przepływów danych.
2. Jaka jest podstawa prawna przetwarzania? Określ ją dla każdego celu oddzielnie.
3. Czy system podejmuje decyzje wpływające na osoby fizyczne? Jeśli tak, zweryfikuj, czy i kiedy wymagana jest interwencja człowieka.
4. Czy wymagana jest DPIA? Przeprowadź ją przed uruchomieniem, nie po.
5. Jak długo dane są przechowywane i kto zarządza retencją? Musi być automatyczna, nie ręczna.
6. Czy użytkownicy systemu AI zostali przeszkoleni? AI Literacy to obowiązek prawny od lutego 2025.
7. Czy system AI wchodzi w zakres AI Act jako wysokiego ryzyka? Jeśli dotyczy HR, finansów lub edukacji, prawie na pewno tak.

---

Podsumowanie: automatyzacja jest możliwa. Trzeba tylko wiedzieć, co robisz.

RODO i AI to nie są wrogowie automatyzacji. Są jej warunkami brzegowymi. Firmy, które wdrażają AI bez weryfikacji zgodności, nie tylko ryzykują kary. Tracą też zaufanie klientów i pracowników, które jest znacznie trudniejsze do odbudowania niż jakakolwiek kara finansowa.

Dobra wiadomość: większość problemów z RODO przy automatyzacji można rozwiązać na etapie projektowania. Wymaga to kilku konkretnych kroków: inwentaryzacji danych, oceny podstawy prawnej, DPIA i realnego nadzoru ludzkiego tam, gdzie algorytm decyduje o ludziach.

Jeśli chcesz sprawdzić, czy Twoje wdrożenie AI jest bezpieczne prawnie, zanim ktoś zapyta Cię o to z zewnątrz, zacznij od tych siedmiu pytań.

---

Źródła

• DLA Piper GDPR Fines and Data Breach Survey, January 2025
• VinciWorks: GDPR at eight: Why nearly one in three compliance professionals cannot confirm their risk assessments are current (2026)
• Biggest GDPR fines (LinkedIn, Clearview AI) - Data Privacy Manager
• EU AI Act: Annex III High-Risk Systems
• EROD Opinia 28/2024 - przetwarzanie danych w modelach AI (odo24.pl)
• Art. 22 GDPR - gdpr-info.eu