Mogłoby się wydawać, że po kilku latach od wejścia w życie ogólnego rozporządzenia o ochronie danych (RODO), zasady są jasne, a procesy wdrożone. Jednak dynamiczny rozwój sektora ICT, a w szczególności powszechna implementacja sztucznej inteligencji (AI), rzuciły nowe światło na stare przepisy. Dzisiejsze błędy rzadko wynikają z braku segregatorów w biurze. Coraz częściej ich źródłem jest niewłaściwa architektura systemów informatycznych oraz brak kontroli nad tym, jak algorytmy uczą się na danych osobowych.
Przetwarzanie danych przez AI bez podstawy prawnej
Jednym z najpoważniejszych uchybień w ostatnich latach jest wykorzystywanie baz danych osobowych do trenowania modeli maszynowych bez wyraźnego określenia celu i podstawy prawnej. Firmy często zakładają, że skoro posiadają dane klientów zebrane w celu realizacji zamówień, mogą je dowolnie wykorzystywać do „udoskonalania usług” za pomocą AI.
Zgodnie z RODO, każdy proces przetwarzania musi mieć jasno zdefiniowany cel. Trenowanie algorytmów na danych rzeczywistych często wykracza poza pierwotną zgodę użytkownika. Rozwiązaniem, które pozwala uniknąć tego błędu, jest anonimizacja danych przed ich wprowadzeniem do środowiska uczącego. Należy jednak pamiętać, że usunięcie nazwiska to nie anonimizacja – w dobie Big Data powiązanie pozornie nieistotnych informacji może łatwo doprowadzić do deanonimizacji konkretnej osoby.
Brak nadzoru nad automatycznym podejmowaniem decyzji
Artykuł 22 RODO daje osobom, których dane dotyczą, prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu. Częstym błędem w nowoczesnych systemach HR czy finansowych jest oddawanie pełnej decyzyjności algorytmom bez zapewnienia realnej ingerencji człowieka.
Jeśli system AI odrzuca wniosek kredytowy lub CV kandydata, firma musi być w stanie wyjaśnić logikę tej decyzji. Brak transparentności algorytmów, nazywany efektem czarnej skrzynki, jest obecnie jednym z głównych punktów zainteresowania organów nadzorczych. Firmy wdrażające takie rozwiązania muszą zadbać o to, by mechanizmy te były audytowalne i zrozumiałe dla administratorów danych.
Niewłaściwe zarządzanie danymi w chmurze i modelach SaaS
Większość nowoczesnych narzędzi ICT działa w modelu chmurowym. Błędem, który powtarza się od lat, jest brak weryfikacji, gdzie fizycznie znajdują się serwery dostawcy usługi. W przypadku korzystania z rozwiązań spoza Europejskiego Obszaru Gospodarczego (EOG), np. z amerykańskich systemów analitycznych AI, konieczne jest spełnienie dodatkowych wymogów dotyczących transferu danych.
Często pomijanym aspektem jest również brak umów powierzenia przetwarzania danych z mniejszymi podwykonawcami dostarczającymi np. wtyczki do analizy ruchu na stronie czy narzędzia do automatyzacji marketingu. Każdy taki element infrastruktury, który ma dostęp do danych osobowych, musi być objęty odpowiednimi zapisami prawnymi.
Ignorowanie zasady minimalizacji danych w projektowaniu systemów
Zasada Privacy by Design nakazuje, by ochrona prywatności była uwzględniana już na etapie projektowania systemu. W praktyce deweloperzy często zbierają „wszystko, co się da”, zakładając, że dane mogą przydać się w przyszłości. To klasyczny błąd RODO.
Systemy powinny być skonfigurowane tak, by zbierać tylko te informacje, które są niezbędne do realizacji konkretnej funkcji. Przechowywanie nadmiarowych danych nie tylko zwiększa ryzyko w przypadku wycieku, ale jest bezpośrednim naruszeniem przepisów. Nowoczesne systemy ICT powinny automatycznie usuwać dane, których okres retencji wygasł, co w wielu starszych bazach danych wciąż jest procesem wykonywanym ręcznie lub wcale.
Brak rzetelnej analizy wpływu na ochronę danych (DPIA)
Przy wdrażaniu nowych technologii, które z dużym prawdopodobieństwem mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, konieczne jest przeprowadzenie oceny skutków dla ochrony danych (DPIA). Implementacja systemów AI, biometrii czy zaawansowanego śledzenia zachowań użytkowników niemal zawsze wymaga takiego badania.
Błędem jest traktowanie DPIA jako zbędnej formalności wykonywanej po wdrożeniu systemu. Powinna to być analiza przeprowadzona na etapie planowania, która pozwoli zidentyfikować ryzyka i wdrożyć odpowiednie zabezpieczenia techniczne. Brak takiej dokumentacji w przypadku kontroli jest jednym z najłatwiejszych do wychwycenia uchybień.
Jak unikać błędów w przyszłości?
Kluczem do sukcesu jest ścisła współpraca działów IT, prawnych oraz Inspektora Ochrony Danych (IOD). Ochrona danych osobowych w 2026 roku to nie tylko kwestia dokumentów, ale przede wszystkim cyberbezpieczeństwa. Regularne testy penetracyjne, szyfrowanie danych w spoczynku i w transmisji oraz edukacja pracowników to fundamenty, bez których nawet najlepsza polityka prywatności pozostanie martwym zapisem.
F.A.Q. – Najczęściej zadawane pytania
Czy dane wykorzystywane do trenowania wewnętrznego AI muszą być zgodne z RODO?
Tak, jeśli dane te pozwalają na identyfikację osób fizycznych, proces ich wykorzystania do uczenia maszynowego musi mieć podstawę prawną i spełniać obowiązek informacyjny. Najbezpieczniejszą metodą jest wykorzystywanie danych całkowicie zanonimizowanych lub syntetycznych, które nie podlegają pod przepisy RODO.
Jakie są konsekwencje błędu w algorytmie, który narusza prywatność użytkowników?
Poza wysokimi karami finansowymi nakładanymi przez Urząd Ochrony Danych Osobowych, firma naraża się na utratę reputacji oraz pozwy cywilne od osób, których prawa zostały naruszone. W skrajnych przypadkach organy nadzorcze mogą nakazać całkowite zaprzestanie przetwarzania danych w danym systemie, co de facto oznacza wyłączenie usługi AI.
Czy każda firma korzystająca z AI musi przeprowadzić DPIA?
Nie każda, ale większość firm wdrażających AI do profilowania, monitorowania na dużą skalę lub podejmowania automatycznych decyzji o skutkach prawnych ma taki obowiązek. Jeśli system AI analizuje zachowania, lokalizację lub preferencje użytkowników w sposób systematyczny, przeprowadzenie oceny skutków jest koniecznością.
