Eunoia Creativ
AI i Automatyzacja

Bezpieczeństwo AI i RODO - dane firmowe w ChatGPT i Claude

Wojciech Irlik4 min czytania

Trzy poziomy ryzyka przy używaniu AI

Pracownik wkleja do publicznego ChatGPT email od klienta z prośbą o pomoc w analizie. To niska sprawa? Tak - jeśli email zawiera tylko ogólne informacje. Tak naprawdę - może nie. Email zawiera imię, nazwisko, nazwę firmy, numer telefonu, kontekst biznesowy. To dane osobowe, dla których potrzebujesz podstawy prawnej do przetwarzania.

Trzy poziomy ryzyka: 1) Dane osobowe (RODO) - kontakty, klienci, pracownicy. 2) Tajemnica zawodowa / handlowa - kontrakty, strategie, finanse. 3) Dane wrażliwe - zdrowotne, prawne, sądowe. Każdy poziom wymaga innego podejścia.

Co dokładnie dzieje się z Twoimi danymi w AI

Publiczny ChatGPT (free / Plus indywidualny)

Default: dane mogą być używane do treningu modeli OpenAI. Możesz to wyłączyć w ustawieniach (przełącznik „Improve the model for everyone"). Ale: każdy w firmie musi to wyłączyć osobno. W praktyce 30-50% pracowników ma to włączone „bo nie wiedzieli".

ChatGPT Team / Enterprise

Default: dane NIE są używane do treningu. Centralne admin settings, polityka na przestrzeń roboczą. To kluczowa różnica vs Plus indywidualny. Plus DPA z OpenAI (commercial agreement do RODO).

Claude (Anthropic)

Free / Pro indywidualny: dane mogą być używane do bezpieczeństwa, nie do treningu. Team / Enterprise: nie są używane do treningu, dane bezpieczne, DPA dostępny.

Microsoft Copilot 365

Działa w tenancie Azure klienta. Dane nie wychodzą poza Twój tenant, nie idą do publicznego OpenAI. Domyślnie najbezpieczniejszy z mainstream-owych opcji.

Google Gemini for Workspace

Dane w Workspace tenancie klienta, nie używane do treningu. DPA dostępny. Bezpieczne dla EU.

Polityka użycia AI w firmie - szablon

Każda firma używająca AI powinna mieć 1-stronową politykę. Klucze:

1. Co MOŻNA wprowadzać do AI

- Treści marketingowe, copy, materiały publiczne.
- Wiedza ogólna o branży, research, brainstorm.
- Anonimizowane dane (bez imion, nazwisk, NIP-ów).
- Pytania techniczne i kod (uwaga z kodem zawierającym secrets).

2. Czego NIE WOLNO

- Imion, nazwisk, kontaktów konkretnych osób (bez kategoryzacji).
- Numerów PESEL, NIP-ów, kont bankowych.
- Treści umów, ofert, kontraktów z klientami.
- Haseł, kluczy API, tokenów.
- Danych zdrowotnych, prawnych, sądowych.
- Strategicznych dokumentów (pricing, roadmapy, M&A).

3. Akceptowalne narzędzia

Lista: ChatGPT Team (firmowa przestrzeń robocza), Claude Team, Copilot 365. Kategoryczne NIE: publiczny ChatGPT free na prywatnych kontach, Bing Chat indywidualny.

4. Co robić w razie wątpliwości

Pytaj koordynatora AI w firmie (zwykle ktoś z IT lub compliance). Lepiej spytać 5 razy niż zrobić error.

5. Co robić w razie incydentu

Wkleiłeś coś, czego nie powinieneś - natychmiast zgłoś. Wczesne zgłoszenie = mniejsze konsekwencje. RODO przewiduje obowiązek zgłaszania naruszeń w 72h.

RODO 2026 - kluczowe punkty

Podstawa prawna przetwarzania

Wprowadzanie danych osobowych do AI cloud = przetwarzanie danych. Potrzebujesz: zgody (rzadko praktyczne) lub uzasadnionego interesu (najczęstsza podstawa) lub wykonanie umowy.

Transfer poza EU

OpenAI ma serwery w USA. Microsoft, Google, Anthropic mają opcje EU regions. Dla danych wrażliwych - wybieraj EU regions z DPA.

Prawa osób, których dane dotyczą

Dostęp, sprostowanie, usunięcie, sprzeciw. Jak realizujesz „prawo do usunięcia", jeśli wkleiłeś dane do AI? Trudne pytanie - kolejny argument za polityką „nie wklejać danych osobowych".

EU AI Act 2026

Klasyfikuje niektóre użycia AI jako „high-risk" (rekrutacja, ocena pracowników, decyzje kredytowe). Wymaga: dokumentacji, transparency, human oversight, bias audit. Polskie firmy używające AI w tych obszarach od 2026 muszą się dostosować.

Tajemnica zawodowa i handlowa

Kancelarie prawne

Wkleiłeś treść umowy klienta do publicznego ChatGPT - naruszyłeś tajemnicę zawodową radcy/adwokata. Konsekwencje: dyscyplinarne, odszkodowanie. Acceptable: Claude Team z DPA + polityka „tylko anonimizowane fragmenty".

Biura księgowe

Faktury klientów, dane finansowe, kontrakty. Tajemnica handlowa klienta. Tylko narzędzia z umową przetwarzania. Lepiej: lokalne LLM-y (Ollama) dla najbardziej wrażliwych operacji.

Healthcare

Najbardziej rygorystyczne. Dane zdrowotne to dane wrażliwe RODO. Praktycznie tylko on-premise LLM-y (Llama 3, Phi) lub Microsoft Copilot na tenancie Azure z BAA (Business Associate Agreement).

Konkretne bezpieczne konfiguracje dla różnych firm

Mała firma B2B SaaS (10-30 osób)

ChatGPT Team z DPA + 1-stronicowa polityka + 30-minutowe szkolenie. Nie wprowadzamy danych klientów. Acceptable risk dla większości operacji.

Średnia firma e-commerce (30-100 osób)

Microsoft Copilot 365 (jeśli już na MS365) lub ChatGPT Team. Bardziej szczegółowa polityka, kategorie danych, audyt narzędzi co 6 miesięcy.

Branża regulowana (kancelarie, healthcare, finansy)

Microsoft Copilot na tenancie EU. Lub n8n self-hosted + Ollama (lokalne LLM) dla najbardziej wrażliwych scenariuszy. Pełna dokumentacja, audit log, regularne audyty.

Sektor publiczny

Tylko on-premise / sovereign cloud. Polskie inicjatywy w 2026 oferują polskie sovereign AI cloudy. To wciąż rynek niszowy, ale rosnący.

Najczęstsze błędy

Po pierwsze: brak polityki AI w firmie. „Każdy używa, jak chce". Po drugie: zakup ChatGPT Team i niezmienienie domyślnych ustawień (brak audyt log review). Po trzecie: ignorowanie regional settings (dane w US zamiast EU). Po czwarte: brak szkolenia zespołu - RODO zna tylko HR-owiec, marketingowiec wkleja dane klientów. Po piąte: traktowanie AI jak Google'a - Google nie magazynuje Twoich pytań, AI cloud może.

Plan wdrożenia bezpieczeństwa AI

Tydzień 1: Audyt obecnych zastosowań AI (kto używa, czego, jakie dane wprowadza).
Tydzień 2: Wybór akceptowalnych narzędzi (zwykle ChatGPT Team / Claude Team / Copilot 365). Subskrypcje, DPA, region settings.
Tydzień 3: Polityka użycia (1 strona) + lista zakazanych danych.
Tydzień 4: Szkolenie całego zespołu (30 minut live). Q&A.
Quartely: Audyt + aktualizacja polityki + nowe narzędzia.

Co dalej

Bezpieczeństwo AI to fundament wdrożenia AI w firmie - nie nadbudowa. Polityka, narzędzia z DPA, szkolenie. Audyt AI obejmuje aspekty bezpieczeństwa i RODO jako standardową część rekomendacji. Albo umów konsultację - porozmawiamy o ryzyku w Twojej branży.

AiNarzędzia AIAudyt AIWdrożenia AIRODO

Potrzebujesz pomocy z marketingiem?

Umów bezpłatną konsultację - porozmawiajmy o Twoim projekcie.

Umów konsultację

Powiązane artykuły

AI i Automatyzacja

Jak wdrożyć AI w firmie? Plan 90 dni krok po kroku

Wdrożenie AI to nie kupowanie subskrypcji. To 90-dniowy proces: audyt, pilot, scaling, mierzenie. Sprawdź konkretny plan z milestonami, który stosujemy z klientami.

4 min czytania
AI i Automatyzacja

Perplexity dla biznesu - kiedy zastępuje Google'a w polskiej firmie

Perplexity to AI z cytowaniami źródeł. W typowej polskiej firmie zastępuje Google'a w 60-80% zapytań research-owych. Sprawdź zastosowania, plany i kiedy ma sens vs ChatGPT.

3 min czytania
AI i Automatyzacja

RAG po polsku - kiedy chatbot na własnych danych ma sens

RAG (Retrieval-Augmented Generation) to chatbot odpowiadający na podstawie Twoich dokumentów. Sprawdź, kiedy ma sens, jakich narzędzi użyć i jaką pułapkę najczęściej spotykają polskie firmy.

5 min czytania