{"id":9432,"date":"2025-03-31T10:00:00","date_gmt":"2025-03-31T08:00:00","guid":{"rendered":"https:\/\/haimagazine.com\/?p=9432"},"modified":"2025-06-18T10:18:02","modified_gmt":"2025-06-18T08:18:02","slug":"uwaga-dane-osobowe","status":"publish","type":"post","link":"https:\/\/haimagazine.com\/pl\/hai-magazine\/numer-4\/uwaga-dane-osobowe\/","title":{"rendered":"\ud83d\udd12 Uwaga, dane osobowe!"},"content":{"rendered":"

Zacznijmy od tego, \u017ce RODO \u2013 flagowy unijny produkt z zakresu ochrony danych osobowych, kt\u00f3ry kompleksowo reguluje t\u0119 materi\u0119 i do kt\u00f3rego odwo\u0142uj\u0105 si\u0119 inne przepisy \u2013 nie jest jedyn\u0105 regulacj\u0105, na kt\u00f3r\u0105 powinni\u015bmy zwraca\u0107 uwag\u0119 w kontek\u015bcie bezpiecze\u0144stwa przetwarzania danych osobowych przy wykorzystaniu AI.<\/p>

Na nasz regulacyjny krajobraz sk\u0142ada si\u0119 jeszcze kilka innych akt\u00f3w prawnych, do kt\u00f3rych nale\u017c\u0105 m.in.: AI Act (zawieraj\u0105cy przepisy dotycz\u0105ce transparentno\u015bci, informowania o interakcjach z AI czy kontroli jako\u015bci danych), Digital Services Act (znany z wymog\u00f3w dotycz\u0105cych moderacji tre\u015bci) oraz Data Act (okre\u015blaj\u0105cy zasady dost\u0119pu do danych generowanych przez urz\u0105dzenia IoT). No i okazuje si\u0119, \u017ce mamy sporo wymog\u00f3w dotycz\u0105cych pozyskiwania danych z rynku, od organ\u00f3w publicznych czy big tech\u00f3w.<\/p>

A to przecie\u017c nie wszystko. Na gruncie polskiego prawa mamy cho\u0107by Kodeks pracy, kt\u00f3ry okre\u015bla, co wolno pracodawcom w kontek\u015bcie danych osobowych pracownik\u00f3w i kandydat\u00f3w. Je\u015bli wi\u0119c my\u015blicie o stosowaniu narz\u0119dzi AI do oceny CV \u2013 od tego miejsca nale\u017cy zacz\u0105\u0107 poszukiwania informacji o tym, co wolno, a czego nie wolno (i nie warto).<\/p>

Jak wida\u0107, krajobraz regulacji dotycz\u0105cych danych osobowych, kt\u00f3rymi mo\u017ce zosta\u0107 nakarmiona sztuczna inteligencja, jest bardzo z\u0142o\u017cony. Aby zadba\u0107 o zgodno\u015b\u0107 z przepisami, warto zidentyfikowa\u0107 wyzwania kluczowe z punktu widzenia ochrony danych osobowych.<\/p>

Rola podmiot\u00f3w w \u0142a\u0144cuchu przetwarzania<\/strong><\/h4>

Ten proces jest o tyle wa\u017cny, \u017ce okre\u015bla zakres naszej odpowiedzialno\u015bci. Je\u015bli jeste\u015b procesorem, nie podejmuj decyzji, kt\u00f3re mog\u0142yby sprawi\u0107, \u017ce zostaniesz uznany za administratora danych.<\/p>

RODO definiuje trzy podstawowe role:<\/strong><\/p>

  1. administrator danych,<\/li>\n\n
  2. wsp\u00f3\u0142administrator,<\/li>\n\n
  3. podmiot przetwarzaj\u0105cy (procesor).<\/li><\/ol>

    Przyjrzyjmy si\u0119 im bli\u017cej. Administrator danych w kontek\u015bcie genAI to podmiot, kt\u00f3ry samodzielnie lub wsp\u00f3lnie z innymi ustala cele i sposoby przetwarzania danych osobowych (art. 4 ust. 7 RODO). W praktyce mo\u017ce nim by\u0107 organizacja, kt\u00f3ra wdra\u017ca lub rozwija model AI do w\u0142asnych cel\u00f3w. Liczy si\u0119, kto naprawd\u0119 decyduje o sposobie i celu u\u017cywania danych. Przy AI chodzi g\u0142\u00f3wnie o wyb\u00f3r struktury modelu, danych ucz\u0105cych oraz spos\u00f3b u\u017cycia wygenerowanych tre\u015bci.<\/p>

    \"\"<\/figure>

    Kiedy podzia\u0142 kompetencji robi si\u0119 mglisty, do gry wchodzi wsp\u00f3\u0142administrowanie (uregulowane w art. 26 RODO). Wsp\u00f3\u0142administratorzy musz\u0105 w przejrzysty spos\u00f3b okre\u015bli\u0107 zakresy odpowiedzialno\u015bci (oraz \u2013 co istotne \u2013 udost\u0119pni\u0107 informacje na ten temat osobom, kt\u00f3rych dane przetwarzaj\u0105), co z kolei wymaga szczeg\u00f3\u0142owych uzgodnie\u0144 dotycz\u0105cych takich kwestii, jak:<\/p>\n\n

    1. zasady przejrzysto\u015bci wobec os\u00f3b, kt\u00f3rych dane dotycz\u0105.<\/li>\n\n
    2. podzia\u0142 obowi\u0105zk\u00f3w w zakresie realizacji praw podmiot\u00f3w danych,<\/li>\n\n
    3. odpowiedzialno\u015b\u0107 za bezpiecze\u0144stwo danych,<\/li>\n\n
    4. procedury zarz\u0105dzania incydentami,<\/li><\/ol>\n\n

      W jakich przypadkach mo\u017cemy spotka\u0107 si\u0119 z t\u0105 formu\u0142\u0105? Na przyk\u0142ad przy wsp\u00f3\u0142pracy firmy technologicznej i instytutu naukowego przy projekcie badawczym. Firma technologiczna dostarcza infrastruktur\u0119 i cz\u0119\u015b\u0107 danych treningowych, instytut odpowiada za walidacj\u0119 modelu i specjalistyczne dane dziedzinowe. Oba podmioty wsp\u00f3lnie okre\u015blaj\u0105 parametry modelu i cele przetwarzania danych osobowych.<\/p><\/div><\/div>

      <\/p>

      Z kolei procesor mo\u017ce pe\u0142ni\u0107 funkcje bardzo r\u00f3\u017cne, od dostawcy infrastruktury chmurowej, poprzez konsultanta, a\u017c po firmy \u015bwiadcz\u0105ce us\u0142ugi analityczne. W umowie powierzenia trzeba dok\u0142adnie opisa\u0107 uprawnienia i obowi\u0105zki stron, z uwzgl\u0119dnieniem specyfiki AI. Nale\u017cy zawrze\u0107 wszystkie elementy wymagane przez art. 28 ust. 3 RODO, poniewa\u017c unijne instytucje \u015bci\u015ble ich przestrzegaj\u0105.<\/p>

      Aby nie by\u0142o zbyt \u0142atwo, musimy pami\u0119ta\u0107, \u017ce w praktyce jedna firma mo\u017ce pe\u0142ni\u0107 wi\u0119cej ni\u017c jedn\u0105 funkcj\u0119 jednocze\u015bnie (czyli np. w ramach jednego procesu wsp\u00f3\u0142administrowa\u0107 danymi, a w innym je procesowa\u0107). Z tak\u0105 sytuacj\u0105 mo\u017cemy mie\u0107 do czynienia cho\u0107by u dostawc\u00f3w wst\u0119pnie wytrenowanych modeli, dostawc\u00f3w danych treningowych, RAG czy podmiot\u00f3w waliduj\u0105cych modele na zlecenie.<\/p>

      W praktyce mo\u017ce to wymaga\u0107 z\u0142o\u017conych konstrukcji prawnych, takich jak wielopoziomowe umowy powierzenia przetwarzania danych osobowych czy rozbudowane porozumienia o wsp\u00f3\u0142administrowaniu.<\/p>

      GenAI kontra definicje RODO<\/strong><\/h4>

      Definicja przetwarzania danych osobowych zawarta w art. 4 RODO obejmuje \u201eoperacj\u0119 lub zestaw operacji wykonywanych na danych osobowych\u201d. Przetwarzanie danych osobowych w kontek\u015bcie AI to:<\/p>

      1. trenowanie modelu, czyli kompleksowa operacja przetwarzania danych osobowych \u2013 proces ten obejmuje zbieranie i przygotowanie danych treningowych oraz transformacj\u0119 danych podczas uczenia modelu, a tak\u017ce walidacj\u0119 i testowanie tego\u017c modelu,<\/li>\n\n
      2. generowanie nowych tre\u015bci przez model, co mo\u017ce prowadzi\u0107 z jednej strony do \u201epojawienia si\u0119\u201d kogo\u015b w procesie danych osobowych (np. danych o osobie mo\u017cliwej do zidentyfikowania) oraz \u2013 z drugiej strony \u2013 do po\u015bredniego przetwarzania danych osobowych poprzez wykorzystanie wyuczonych wzorc\u00f3w, generowanie tre\u015bci zawieraj\u0105cych elementy danych treningowych i adaptacj\u0119 do nowych danych w czasie rzeczywistym,<\/li>\n\n
      3. przechowywanie i wykorzystywanie modelu z perspektywy przepis\u00f3w o ochronie danych osobowych, kt\u00f3re mo\u017ce zosta\u0107 zakwalifikowane jako ci\u0105g\u0142e przetwarzanie danych osobowych, nawet je\u015bli nie s\u0105 one bezpo\u015brednio widoczne w wynikach dzia\u0142ania modelu.<\/li><\/ol>

        Co to oznacza w praktyce (gdy chcemy dzia\u0142a\u0107 w zgodzie z RODO)?<\/p>

        1. Nie pomijamy \u017cadnego etapu \u201e\u017cycia\u201d modelu genAI w kontek\u015bcie zgodno\u015bci z RODO \u2013 od pocz\u0105tku analizujemy nasz model biznesowy przez pryzmat przepis\u00f3w o ochronie danych osobowych.<\/li>\n\n
        2. Wdra\u017camy zabezpieczenia, kt\u00f3re uwzgl\u0119dniaj\u0105 specyfik\u0119 naszej dzia\u0142alno\u015bci, procesu, a tak\u017ce modelu biznesowego.<\/li>\n\n
        3. Tworzymy polityki informacyjne (np. takie, kt\u00f3re uwzgl\u0119dniaj\u0105 informacje z poprzedniego akapitu), by przygotowa\u0107 si\u0119 na \u201edzie\u0144 zero\u201d, kiedy przyjdzie nam zmierzy\u0107 si\u0119 z odpowiedzi\u0105 na pierwsze \u017c\u0105danie osoby, kt\u00f3rej dane dotycz\u0105\u2026 i na przyk\u0142ad wyt\u0142umaczy\u0107 jej, \u017ce ze wzgl\u0119du na charakter technologii nie mo\u017cna ot tak jej danych usun\u0105\u0107 (albo \u017ce mo\u017cna).<\/li>\n\n
        4. Dokumentujemy analizy ww. kwestii. To nasza polisa na przysz\u0142o\u015b\u0107 \u2013 zachowujemy dowody oraz \u015blady po konkretnych kryteriach, kt\u00f3rymi si\u0119 kierowali\u015bmy, podejmuj\u0105c okre\u015blone decyzje biznesowe. Dlaczego to wa\u017cne? Na przyk\u0142ad dlatego, \u017ce zabezpieczenia si\u0119 zmieniaj\u0105, a my w razie incydentu b\u0119dziemy mogli wykaza\u0107 przy pomocy chronologicznie pouk\u0142adanej dokumentacji, \u017ce zawsze stosowali\u015bmy zabezpieczenia adekwatne do aktualnego stanu wiedzy i praktyki rynkowej.<\/li><\/ol>
          \"\"<\/figure>

          Problem transparentno\u015bci algorytm\u00f3w<\/strong><\/h4>

          Artyku\u0142 5 ust. 1 lit. a) RODO jednoznacznie wymaga, aby przetwarzanie danych by\u0142o przejrzyste dla osoby, kt\u00f3rej dane dotycz\u0105. To wym\u00f3g szczeg\u00f3lnie problematyczny w przypadku zaawansowanych modeli AI, ze wzgl\u0119d\u00f3w zar\u00f3wno technicznych, jak i prawnych.<\/p>

          Jednym z kluczowych wyzwa\u0144 w kontek\u015bcie transparentno\u015bci jest tzw. problem czarnej skrzynki. Z\u0142o\u017cono\u015b\u0107 modeli deep learning<\/em>, kt\u00f3re opieraj\u0105 si\u0119 na wielowarstwowych sieciach neuronowych, sprawia, \u017ce zrozumienie tego, jak przebiega proces decyzyjny, mo\u017ce sta\u0107 si\u0119 trudne nawet dla ekspert\u00f3w. Modele te cz\u0119sto operuj\u0105 na milionach lub nawet miliardach parametr\u00f3w, kt\u00f3rych wzajemne zale\u017cno\u015bci s\u0105 praktycznie niemo\u017cliwe do prze\u015bledzenia.<\/p>

          I to w\u0142a\u015bnie brak mo\u017cliwo\u015bci pe\u0142nego wyja\u015bnienia konkretnych decyzji modelu stanowi istotne wyzwanie z perspektywy zgodno\u015bci z RODO. W praktyce oznacza bowiem, \u017ce administrator danych mo\u017ce nie by\u0107 w stanie precyzyjnie wyja\u015bni\u0107, dlaczego model podj\u0105\u0142 okre\u015blon\u0105 decyzj\u0119 lub wygenerowa\u0142 konkretn\u0105 odpowied\u017a. To szczeg\u00f3lnie istotne w kontek\u015bcie system\u00f3w AI, kt\u00f3re podejmuj\u0105 decyzje mog\u0105ce mie\u0107 znacz\u0105cy wp\u0142yw na prawa i wolno\u015bci os\u00f3b, kt\u00f3rych dane dotycz\u0105.<\/p>

          Dodatkowo w modelach AI wyj\u0105tkowo trudno zidentyfikowa\u0107 \u017ar\u00f3d\u0142a potencjalnych b\u0142\u0119d\u00f3w lub uprzedze\u0144.<\/p>

          Czy mo\u017cemy jako\u015b zminimalizowa\u0107 ryzyko wynikaj\u0105ce z problemu czarnej skrzynki? Zawsze warto pr\u00f3bowa\u0107, a najlepsze efekty da nam po\u0142\u0105czenie rozwi\u0105za\u0144 technicznych z organizacyjnymi.<\/p>

          Do \u015brodk\u00f3w technicznych mo\u017cemy zaliczy\u0107 cho\u0107by wdro\u017cenie system\u00f3w XAI (Explainable AI) poprzez wykorzystanie modeli interpretowanych lokalnie, implementacj\u0119 system\u00f3w SHAP, stosowanie technik wizualizacji modelu, map aktywacji dla sieci neuronowych, modu\u0142ow\u0105 budow\u0119 system\u00f3w AI, wdra\u017canie warstw po\u015brednich dostarczaj\u0105cych wiedzy o procesie decyzyjnym czy stosowanie technik destylacji wiedzy (knowledge distillation<\/em>). Dodatkowo warto kontrolowa\u0107 jako\u015b\u0107 danych: na przyk\u0142ad wdro\u017cy\u0107 systemy monitorowania jako\u015bci danych wej\u015bciowych, audytowa\u0107 zbiory treningowe, dokumentowa\u0107 charakterystyki danych, implementowa\u0107 mechanizmy ich walidacji.<\/p>

          Kr\u00f3lowymi rozwi\u0105za\u0144 organizacyjnych s\u0105 natomiast \u2013 oczywi\u015bcie \u2013 procedury. Jakie? Procedury dokumentowania procesu uczenia, wprowadzenie standard\u00f3w testowania i walidacji modeli, ustanowienie proces\u00f3w regular review<\/em> dzia\u0142ania systemu, raportowanie anomalii, procedury zarz\u0105dzania ryzykiem, tworzenie plan\u00f3w mitygacji czy bie\u017c\u0105cy monitoring efektywno\u015bci \u015brodk\u00f3w zaradczych.<\/p>

          Przy okazji pomog\u0105 nam one wdro\u017cy\u0107 szereg wymog\u00f3w prawnych wynikaj\u0105cych z AI Actu czy RODO.<\/p>

          Jak legalnie trenowa\u0107 modele genAI<\/strong><\/h4>

          Trenowanie modeli genAI wymaga przetwarzania znacz\u0105cych ilo\u015bci danych, kt\u00f3re cz\u0119sto zawieraj\u0105 dane osobowe. A zgodnie z art. 5 RODO ka\u017cde przetwarzanie danych osobowych wymaga odpowiedniej podstawy prawnej. W kontek\u015bcie genAI wyb\u00f3r w\u0142a\u015bciwej podstawy prawnej stanowi szczeg\u00f3lne wyzwanie ze wzgl\u0119du na specyfik\u0119 tej technologii. Przyjrzyjmy si\u0119 zatem dw\u00f3m opcjom, kt\u00f3re mamy na stole.<\/p>

          Zgoda \u2013 art. 6 ust. 1 lit. a) RODO \u2013 teoretycznie najbardziej intuicyjna (wiele os\u00f3b nadal uwa\u017ca, \u017ce to jedyna opcja) podstawa prawna, ma jednak kilka istotnych ogranicze\u0144. Mi\u0119dzy innymi trudno\u015b\u0107 w dotarciu do wszystkich os\u00f3b, kt\u00f3rych dane s\u0105 wykorzystywane, problem z zapewnieniem konkretno\u015bci zgody przy r\u00f3\u017cnorodnych zastosowaniach modelu, problem aktualno\u015bci zgody i jej terminu wa\u017cno\u015bci, problem z realizacj\u0105 prawa do wycofania zgody (i to z powod\u00f3w stricte technicznych, np. konieczno\u015bci przetrenowania modelu).<\/td>Uzasadniony interes \u2013 art. 6 ust. 1 lit. f) RODO \u2013 stanowi on najcz\u0119\u015bciej wykorzystywan\u0105 podstaw\u0119 prawn\u0105 dla trenowania modeli genAI. Aby jednak m\u00f3c skorzysta\u0107 z jego dobrodziejstw, konieczne jest przeprowadzenie tzw. testu r\u00f3wnowagi, w ramach kt\u00f3rego:<\/td><\/tr><\/tbody><\/table><\/figure>
          1. zidentyfikujemy prawnie uzasadniony interes, kt\u00f3remu ma s\u0142u\u017cy\u0107 planowany przez nas proces przetwarzania danych,<\/li>\n\n
          2. ocenimy konieczno\u015b\u0107 przetwarzania danych osobowych (w og\u00f3le lub w okre\u015blonym zakresie),<\/li>\n\n
          3. przeanalizujemy wp\u0142yw projektowanego przez nas przetwarzania danych na prawa i wolno\u015bci os\u00f3b, kt\u00f3rych te dane dotycz\u0105.<\/li><\/ol>

            Test ten nale\u017cy oczywi\u015bcie udokumentowa\u0107, a gdy dojdziemy do wniosku, \u017ce proces si\u0119 broni, powinni\u015bmy zaplanowa\u0107 wdro\u017cenie konkretnych \u015brodk\u00f3w minimalizuj\u0105cych ryzyka, np. pseudonimizacji. Warto mie\u0107 tak\u017ce na uwadze, \u017ce organy ochrony danych osobowych do\u015b\u0107 restrykcyjnie podchodz\u0105 do wynik\u00f3w test\u00f3w proporcjonalno\u015bci \u2013 lepiej mie\u0107 naprawd\u0119 mocne i konkretne argumenty.<\/p>

            Wytyczne Europejskiej Rady Ochrony Danych<\/strong><\/h4>

            W grudniu 2024 r. Europejska Rada Ochrony Danych (EROD) wyda\u0142a wa\u017cn\u0105 opini\u0119<\/mark><\/a>, kt\u00f3ra mo\u017ce znacz\u0105co wp\u0142yn\u0105\u0107 na spos\u00f3b, w jaki firmy rozwijaj\u0105 i wdra\u017caj\u0105 modele AI w Europie. Dokument, kt\u00f3ry powsta\u0142 w odpowiedzi na zapytanie irlandzkiego organu ochrony danych osobowych, dostarcza pierwszych kompleksowych wytycznych dotycz\u0105cych stosowania RODO w kontek\u015bcie sztucznej inteligencji w UE.<\/p>

            Opinia koncentruje si\u0119 na trzech kluczowych kwestiach, kt\u00f3re od dawna budzi\u0142y w\u0105tpliwo\u015bci w bran\u017cy AI: mo\u017cliwo\u015bci uznania modeli AI za anonimowe, wykorzystania uzasadnionego interesu jako podstawy prawnej przetwarzania danych oraz wp\u0142ywu nielegalnego przetwarzania danych podczas treningu na p\u00f3\u017aniejsze wykorzystanie modelu.<\/p>

            1. Czy mo\u017cna tworzy\u0107 lub wykorzystywa\u0107 modele AI przetwarzaj\u0105ce dane osobowe bez pytania w\u0142a\u015bcicieli tych danych o zgod\u0119?<\/h4>

            To zale\u017cy od konkretnej sytuacji. EROD pokazuje dwa przyk\u0142ady: asystenta AI dla u\u017cytkownik\u00f3w i AI do ochrony cyberbezpiecze\u0144stwa. Mo\u017cna je oprze\u0107 na uzasadnionym interesie, je\u015bli przetwarzanie jest naprawd\u0119 potrzebne i prawa wszystkich stron s\u0105 odpowiednio zr\u00f3wnowa\u017cone. W tych przypadkach spe\u0142nienie tych warunk\u00f3w wydaje si\u0119 mo\u017cliwe.<\/p>

            Kiedy potrzebna jest zgoda zamiast uzasadnionego interesu? Wtedy, gdy:<\/p>

            • cel przetwarzania jest niejasny lub niemo\u017cliwy do osi\u0105gni\u0119cia,<\/li>\n\n
            • istnieje du\u017ce ryzyko naruszenia praw lub brak odpowiednich zabezpiecze\u0144,<\/li>\n\n
            • chcemy przetwarza\u0107 dane wra\u017cliwe,<\/li>\n\n
            • chcemy wykorzysta\u0107 dane w spos\u00f3b nieoczekiwany przez osoby, kt\u00f3rych dotycz\u0105 (np. u\u017cy\u0107 danych z KRS do personalizacji reklam).<\/li><\/ul>

              Opinia mo\u017ce pom\u00f3c organom nadzoru sprawdzi\u0107, czy u\u017cycie danych osobowych jest zgodne z oczekiwaniami os\u00f3b, kt\u00f3rych one dotycz\u0105. Kryteria, kt\u00f3re trzeba wzi\u0105\u0107 pod uwag\u0119:<\/p>

              • publiczny dost\u0119p do danych,<\/li>\n\n
              • charakter relacji mi\u0119dzy osob\u0105 fizyczn\u0105 a administratorem,<\/li>\n\n
              • charakter us\u0142ugi, kontekst, w kt\u00f3rym dane osobowe zosta\u0142y zebrane,<\/li>\n\n
              • \u017ar\u00f3d\u0142o danych,<\/li>\n\n
              • potencjalne dalsze zastosowania modelu.<\/li><\/ul>

                2. Jak traktowa\u0107 model opracowany z wykorzystaniem danych osobowych przetwarzanych niezgodnie z prawem?<\/h4>

                W \u015bwietle opinii EROD mo\u017cemy wyr\u00f3\u017cni\u0107 trzy przypadki:<\/p>

                • dane pozostaj\u0105 w modelu i s\u0105 przetwarzane przez tego samego administratora podczas wdra\u017cania modelu \u2013 w\u00f3wczas zgodno\u015b\u0107 p\u00f3\u017aniejszego przetwarzania z RODO zale\u017cy od tego, czy fazy rozwoju i wdra\u017cania mo\u017cna uzna\u0107 za odr\u0119bne cele przetwarzania,<\/li>\n\n
                • dane s\u0105 ju\u017c w modelu \u2013 nowy administrator musi sprawdzi\u0107 legalno\u015b\u0107 modelu i oceni\u0107 ryzyko,<\/li>\n\n
                • dane pozyskano nielegalnie, ale zanonimizowano \u2013 mo\u017cna ich u\u017cy\u0107, je\u015bli udowodnimy skuteczn\u0105 anonimizacj\u0119.<\/li><\/ul>

                  3. Kiedy model AI mo\u017ce zosta\u0107 uznany za \u201eanonimowy\u201d?<\/h4>

                  Na pocz\u0105tek z\u0142a wiadomo\u015b\u0107 \u2013 sama deklaracja, \u017ce \u201emodel jest anonimowy\u201d (np. w umowie czy polityce prywatno\u015bci) to za ma\u0142o. Musimy przedstawi\u0107 konkretne dowody na to, \u017ce nie zbiera danych osobowych, albo dokumentacj\u0119 techniczn\u0105, kt\u00f3ra potwierdza, \u017ce zosta\u0142y one nieodwracalnie zanonimizowane. Czyli np. analiz\u0119 odporno\u015bci modelu na ataki, wyniki test\u00f3w, analiza podatno\u015bci na regurgitacj\u0119.<\/p>

                  Podsumowanie<\/strong><\/h4>

                  W dobie generatywnej sztucznej inteligencji przetwarzanie danych osobowych stanowi z\u0142o\u017cone wyzwanie prawne, regulowane nie tylko przez RODO, ale tak\u017ce przez ca\u0142y ekosystem przepis\u00f3w unijnych i krajowych. Jak wynika z analizy, kluczowe znaczenie maj\u0105 w\u0142a\u015bciwe okre\u015blenie r\u00f3l (administrator, wsp\u00f3\u0142administrator, procesor) w procesie przetwarzania danych, wyb\u00f3r odpowiedniej podstawy prawnej oraz wdro\u017cenie adekwatnych zabezpiecze\u0144 technicznych i organizacyjnych. Szczeg\u00f3lnym wyzwaniem pozostaje problem czarnej skrzynki. W przysz\u0142o\u015bci mo\u017cna spodziewa\u0107 si\u0119 dalszego rozwoju regulacji w tym obszarze, zw\u0142aszcza zwi\u0105zanych z wdra\u017caniem AI Act i jego interakcji z istniej\u0105cymi przepisami. Wkr\u00f3tce powinny pojawi\u0107 si\u0119 dok\u0142adniejsze wskazania techniczne dla system\u00f3w AI u\u017cywaj\u0105cych danych osobowych. Z czasem s\u0105dy wyja\u015bni\u0105, kiedy mo\u017cna opiera\u0107 si\u0119 na uzasadnionym interesie (bo zgoda cz\u0119sto nie jest realnym rozwi\u0105zaniem). Organy nadzoru prawdopodobnie ustal\u0105 ja\u015bniejsze zasady sprawdzania, czy modele AI spe\u0142niaj\u0105 wymogi ochrony danych osobowych. Mo\u017cna r\u00f3wnie\u017c oczekiwa\u0107 zwi\u0119kszonego nacisku na rozw\u00f3j technologii, kt\u00f3re umo\u017cliwiaj\u0105 lepsz\u0105 transparentno\u015b\u0107 i wyja\u015bnialno\u015b\u0107 dzia\u0142ania modeli AI, co by\u0142oby bezpo\u015bredni\u0105 odpowiedzi\u0105 na wymogi regulacyjne oraz postulaty budowy etycznej i godnej zaufania sztucznej inteligencji.<\/p>","protected":false},"excerpt":{"rendered":"

                  Czy mo\u017cna pozyskiwa\u0107 ze stron dane osobowe i karmi\u0107 nimi AI? Czy mo\u017cna w og\u00f3le trenowa\u0107 modele AI na danych \u201ezwyk\u0142ych ludzi\u201d? To pytania, kt\u00f3re w biznesie zadajemy sobie intensywnie od 2023 r.<\/p>\n","protected":false},"author":249,"featured_media":9763,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"rank_math_lock_modified_date":false,"footnotes":""},"categories":[612,756,402,754,761],"tags":[],"popular":[],"difficulty-level":[36],"ppma_author":[646],"class_list":["post-9432","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-numer-4","category-ai_branza","category-hai-magazine","category-hai_premium","category-prawo_etyka","difficulty-level-easy"],"acf":[],"authors":[{"term_id":646,"user_id":249,"is_guest":0,"slug":"paula-skrzypecka","display_name":"Paula Skrzypecka","avatar_url":{"url":"https:\/\/haimagazine.com\/wp-content\/uploads\/2025\/03\/Paula-Skrzypecka-scaled.jpg","url2x":"https:\/\/haimagazine.com\/wp-content\/uploads\/2025\/03\/Paula-Skrzypecka-scaled.jpg"},"first_name":"Paula","last_name":"Skrzypecka","user_url":"","job_title":"","description":"Dr nauk prawnych, starsza prawniczka, liderka zespo\u0142\u00f3w tech i e-com w Creativa Legal, wyk\u0142adowczyni. Specjalizuje si\u0119 w prawie nowych technologii. Obs\u0142uguje start-upy, firmy technologiczne i software house'y, pomaga wdra\u017ca\u0107 pierwsze regulacje sztucznej inteligencji. Wspiera w zarz\u0105dzaniu ryzykiem, m\u00f3wi\u0105c, co i jak, a nie czego nie wolno."}],"_links":{"self":[{"href":"https:\/\/haimagazine.com\/pl\/wp-json\/wp\/v2\/posts\/9432","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/haimagazine.com\/pl\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/haimagazine.com\/pl\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/haimagazine.com\/pl\/wp-json\/wp\/v2\/users\/249"}],"replies":[{"embeddable":true,"href":"https:\/\/haimagazine.com\/pl\/wp-json\/wp\/v2\/comments?post=9432"}],"version-history":[{"count":7,"href":"https:\/\/haimagazine.com\/pl\/wp-json\/wp\/v2\/posts\/9432\/revisions"}],"predecessor-version":[{"id":9775,"href":"https:\/\/haimagazine.com\/pl\/wp-json\/wp\/v2\/posts\/9432\/revisions\/9775"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/haimagazine.com\/pl\/wp-json\/wp\/v2\/media\/9763"}],"wp:attachment":[{"href":"https:\/\/haimagazine.com\/pl\/wp-json\/wp\/v2\/media?parent=9432"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/haimagazine.com\/pl\/wp-json\/wp\/v2\/categories?post=9432"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/haimagazine.com\/pl\/wp-json\/wp\/v2\/tags?post=9432"},{"taxonomy":"popular","embeddable":true,"href":"https:\/\/haimagazine.com\/pl\/wp-json\/wp\/v2\/popular?post=9432"},{"taxonomy":"difficulty-level","embeddable":true,"href":"https:\/\/haimagazine.com\/pl\/wp-json\/wp\/v2\/difficulty-level?post=9432"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/haimagazine.com\/pl\/wp-json\/wp\/v2\/ppma_author?post=9432"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}