Bezpieczeństwo AI i RODO — dane firmowe w ChatGPT i Claude

Trzy poziomy ryzyka przy używaniu AI

Pracownik wkleja do publicznego ChatGPT email od klienta z prośbą o pomoc w analizie. To niska sprawa? Tak — jeśli email zawiera tylko ogólne informacje. Tak naprawdę — może nie. Email zawiera imię, nazwisko, nazwę firmy, numer telefonu, kontekst biznesowy. To dane osobowe, dla których potrzebujesz podstawy prawnej do przetwarzania.

Trzy poziomy ryzyka: 1) Dane osobowe (RODO) — kontakty, klienci, pracownicy. 2) Tajemnica zawodowa / handlowa — kontrakty, strategie, finanse. 3) Dane wrażliwe — zdrowotne, prawne, sądowe. Każdy poziom wymaga innego podejścia.

Co dokładnie dzieje się z Twoimi danymi w AI

Publiczny ChatGPT (free / Plus indywidualny)

Default: dane mogą być używane do treningu modeli OpenAI. Możesz to wyłączyć w ustawieniach (toggle „Improve the model for everyone"). Ale: każdy w firmie musi to wyłączyć osobno. W praktyce 30–50% pracowników ma to włączone „bo nie wiedzieli".

ChatGPT Team / Enterprise

Default: dane NIE są używane do treningu. Centralne admin settings, polityka per workspace. To kluczowa różnica vs Plus indywidualny. Plus DPA z OpenAI (commercial agreement do RODO).

Claude (Anthropic)

Free / Pro indywidualny: dane mogą być używane do bezpieczeństwa, nie do treningu. Team / Enterprise: nie są używane do treningu, dane bezpieczne, DPA dostępny.

Microsoft Copilot 365

Działa w tenancie Azure klienta. Dane nie wychodzą poza Twój tenant, nie idą do publicznego OpenAI. Default najbezpieczniejszy z mainstream-owych opcji.

Google Gemini for Workspace

Dane w Workspace tenancie klienta, nie używane do treningu. DPA dostępny. Bezpieczne dla EU.

Polityka użycia AI w firmie — szablon

Każda firma używająca AI powinna mieć 1-stronową politykę. Klucze:

1. Co MOŻNA wprowadzać do AI

— Treści marketingowe, copy, materiały publiczne.
— Wiedza ogólna o branży, research, brainstorm.
— Anonimizowane dane (bez imion, nazwisk, NIP-ów).
— Pytania techniczne i kod (uwaga z kodem zawierającym secrets).

2. Czego NIE WOLNO

— Imion, nazwisk, kontaktów konkretnych osób (bez kategoryzacji).
— Numerów PESEL, NIP-ów, kont bankowych.
— Treści umów, ofert, kontraktów z klientami.
— Haseł, kluczy API, tokenów.
— Danych zdrowotnych, prawnych, sądowych.
— Strategicznych dokumentów (pricing, roadmapy, M&A).

3. Akceptowalne narzędzia

Lista: ChatGPT Team (firmowy workspace), Claude Team, Copilot 365. Kategoryczne NIE: publiczny ChatGPT free na prywatnych kontach, Bing Chat indywidualny.

4. Co robić w razie wątpliwości

Pytaj koordynatora AI w firmie (zwykle ktoś z IT lub compliance). Lepiej spytać 5 razy niż zrobić error.

5. Co robić w razie incydentu

Wkleiłeś coś, czego nie powinieneś — natychmiast zgłoś. Wczesne zgłoszenie = mniejsze konsekwencje. RODO przewiduje obowiązek zgłaszania naruszeń w 72h.

RODO 2026 — kluczowe punkty

Podstawa prawna przetwarzania

Wprowadzanie danych osobowych do AI cloud = przetwarzanie danych. Potrzebujesz: zgody (rzadko praktyczne) lub uzasadnionego interesu (najczęstsza podstawa) lub wykonanie umowy.

Transfer poza EU

OpenAI ma serwery w USA. Microsoft, Google, Anthropic mają opcje EU regions. Dla danych wrażliwych — wybieraj EU regions z DPA.

Prawa osób, których dane dotyczą

Dostęp, sprostowanie, usunięcie, sprzeciw. Jak realizujesz „prawo do usunięcia", jeśli wkleiłeś dane do AI? Trudne pytanie — kolejny argument za polityką „nie wklejać danych osobowych".

EU AI Act 2026

Klasyfikuje niektóre użycia AI jako „high-risk" (rekrutacja, ocena pracowników, decyzje kredytowe). Wymaga: dokumentacji, transparency, human oversight, bias audit. Polskie firmy używające AI w tych obszarach od 2026 muszą się dostosować.

Tajemnica zawodowa i handlowa

Kancelarie prawne

Wkleiłeś treść umowy klienta do publicznego ChatGPT — naruszyłeś tajemnicę zawodową radcy/adwokata. Konsekwencje: dyscyplinarne, odszkodowanie. Acceptable: Claude Team z DPA + polityka „tylko anonimizowane fragmenty".

Biura księgowe

Faktury klientów, dane finansowe, kontrakty. Tajemnica handlowa klienta. Tylko narzędzia z umową przetwarzania. Lepiej: lokalne LLM-y (Ollama) dla najbardziej wrażliwych operacji.

Healthcare

Najbardziej rygorystyczne. Dane zdrowotne to dane wrażliwe RODO. Praktycznie tylko on-premise LLM-y (Llama 3, Phi) lub Microsoft Copilot na tenancie Azure z BAA (Business Associate Agreement).

Konkretne setupy bezpieczne dla różnych firm

Mała firma B2B SaaS (10–30 osób)

ChatGPT Team z DPA + 1-stronicowa polityka + 30-minutowy training. Nie wprowadzamy danych klientów. Acceptable risk dla większości operacji.

Średnia firma e-commerce (30–100 osób)

Microsoft Copilot 365 (jeśli już na MS365) lub ChatGPT Team. Bardziej szczegółowa polityka, kategorie danych, audyt narzędzi co 6 miesięcy.

Branża regulowana (kancelarie, healthcare, finansy)

Microsoft Copilot na tenancie EU. Lub n8n self-hosted + Ollama (lokalne LLM) dla najbardziej wrażliwych workflow. Pełna dokumentacja, audit log, regularne audyty.

Sektor publiczny

Tylko on-premise / sovereign cloud. Polskie inicjatywy w 2026 oferują polskie sovereign AI cloudy. To wciąż rynek niszowy, ale rosnący.

Najczęstsze błędy

Po pierwsze: brak polityki AI w firmie. „Każdy używa, jak chce". Po drugie: zakup ChatGPT Team i niezmienienie default settings (brak audyt log review). Po trzecie: ignorowanie regional settings (dane w US zamiast EU). Po czwarte: brak trainingu zespołu — RODO zna tylko HR-owiec, marketingowiec wkleja dane klientów. Po piąte: traktowanie AI jak Google'a — Google nie magazynuje Twoich pytań, AI cloud może.

Plan wdrożenia bezpieczeństwa AI

Tydzień 1: Audyt obecnych use-case'ów AI (kto używa, czego, jakie dane wprowadza).
Tydzień 2: Wybór akceptowalnych narzędzi (zwykle ChatGPT Team / Claude Team / Copilot 365). Subskrypcje, DPA, region settings.
Tydzień 3: Polityka użycia (1 strona) + lista zakazanych danych.
Tydzień 4: Training całego zespołu (30 minut live). Q&A.
Quartely: Audyt + update polityki + nowe narzędzia.

Co dalej

Bezpieczeństwo AI to fundament wdrożenia AI w firmie — nie nadbudowa. Polityka, narzędzia z DPA, training. Audyt AI obejmuje aspekty bezpieczeństwa i RODO jako standardową część rekomendacji. Albo umów konsultację — porozmawiamy o ryzyku w Twojej branży.