Promptujesz w pracy? Sprawdź, czy nie naruszasz RODO

Narzędzia AI stały się codziennością w polskich firmach. Chat GPT, Gemini, Claude – wykorzystujemy je do tworzenia mailingów, analizy danych, przygotowania prezentacji. Problem w tym, że każde zapytanie do AI to faktyczne przekazanie danych poza Twoją organizację. A to oznacza konkretne konsekwencje prawne w świetle Rozporządzenia o RODO.

Co się dzieje z Twoim promptem?

Kiedy wklejasz do generatora AI fragment umowy, opis sprawy klienta czy nawet ogólny kontekst projektu, te informacje trafiają na serwery dostawcy narzędzia. Często znajdują się one poza Unią Europejską, a Ty tracisz kontrolę nad tym, jak długo będą przechowywane i w jakim celu wykorzystane.

Warto mieć na uwadze, że wyłączenie historii czatu w ustawieniach nie rozwiązuje problemu. Dostawcy nadal mogą przechowywać logi techniczne i dane telemetryczne przez długi czas – czasem nawet gdy deklarują, że "nie trenują modelu na Twoich danych".

Bezpieczne promptowanie | Najczęstsze błędy pracowników

Problemy zaczynają się w momencie, gdy traktujemy AI jak kolegę z biura, któremu można wszystko powiedzieć. Wklejamy fragmenty dokumentów, opisujemy sytuacje, szukamy szybkich rozwiązań. Zapominamy przy tym, że po drugiej stronie nie siedzi człowiek związany tajemnicą służbową, ale system zapisujący każde słowo na serwerach dostawcy.

W codziennej pracy do promptów trafiają:

• imiona i nazwiska klientów, kontrahentów, współpracowników,
• adresy e-mail i numery telefonów,
• numery umów, identyfikatory klientów, dane finansowe,
• opisy konkretnych spraw, które pozwalają zidentyfikować osoby,
• fragmenty korespondencji zawierające dane osobowe.

Przypadek Samsung – przestroga dla pracowników korzystających z AI

W 2023 roku Samsung Electronics stanął przed poważnym problemem. Pracownicy działu IT wklejali do Chat GPT fragmenty zastrzeżonego kodu źródłowego, protokoły ze spotkań i wewnętrzne dokumenty techniczne. Wszystko po to, by szybciej rozwiązywać problemy. Efekt? Dane trafiły na infrastrukturę zewnętrznego dostawcy, a część mogła zostać wykorzystana do trenowania modelu.

Samsung natychmiast zabronił korzystania z publicznych generatorów AI i rozpoczął budowę własnego, wewnętrznego rozwiązania. To pokazuje skalę ryzyka – jeśli globalny gigant technologiczny miał z tym problem, Twoja firma też może go mieć.

AI w firmie | Obowiązki administratora danych

Z perspektywy RODO firma jako administrator danych musi:

• Zapewnić podstawę prawną przetwarzania – zgodnie z art. 6 Rozporządzenia o RODO każde przetwarzanie wymaga jednej z sześciu podstaw prawnych (zgoda, wykonanie umowy, obowiązek prawny, ochrona żywotnych interesów, zadanie publiczne lub prawnie uzasadniony interes).
• Zawrzeć umowę powierzenia z dostawcą AI – art. 28 Rozporządzenia o RODO wymaga pisemnej umowy z podmiotem przetwarzającym (procesorem), która określa przedmiot, czas, charakter i cel przetwarzania.
• Ocenić ryzyko związane z transferem danych poza UE – zgodnie z art. 44-46 Rozporządzenia o RODO przekazywanie danych do państw trzecich wymaga zapewnienia odpowiedniego poziomu ochrony (np. poprzez standardowe klauzule umowne SCC lub decyzję Komisji Europejskiej o adekwatności).
• Wdrożyć odpowiednie środki techniczne i organizacyjne – art. 32 Rozporządzenia o RODO zobowiązuje do zapewnienia bezpieczeństwa przetwarzania, uwzględniając stan wiedzy technicznej i koszty wdrożenia.
• Informować pracowników o zasadach korzystania z narzędzi AI – zgodnie z zasadą rozliczalności (art. 5 ust. 2 Rozporządzenia o RODO) administrator musi móc wykazać zgodność przetwarzania.

Brak tych działań to nie tylko naruszenie RODO, ale też realne ryzyko kary finansowej do 20 mln EUR lub 4% rocznego światowego obrotu przedsiębiorstwa (art. 83 Rozporządzenia o RODO) oraz utraty reputacji.

Jak bezpiecznie korzystać z AI w firmie?

Przede wszystkim – nigdy nie przekazuj do systemu danych osobowych. Jeśli potrzebujesz pomocy w analizie dokumentu, zanonimizuj go wcześniej lub opisz sytuację ogólnie, bez szczegółów pozwalających na identyfikację danej osoby.

Po drugie, korzystaj wyłącznie z narzędzi zatwierdzonych przez firmę. Wersje korporacyjne AI oferują często lepsze gwarancje dotyczące przetwarzania danych i lokalizacji serwerów.

Po trzecie, zakładaj, że wszystko co wpiszesz, może zostać zapisane i przechowywane przez dostawcę. Nie wprowadzaj informacji, których ujawnienie podmiotowi trzeciemu byłoby problemem.

Potrzebujesz wsparcia?

Jeśli Twoja firma korzysta z narzędzi AI, a nie masz pewności, czy robicie to zgodnie z prawem – warto przeprowadzić audyt RODO. Audyt pomoże ustalić, jakie dane są faktycznie przetwarzane, czy istnieją odpowiednie umowy z dostawcami i czy pracownicy znają zasady bezpiecznego korzystania z generatorów.

Zapraszamy do kontaktu – pomożemy Ci wykorzystać potencjał AI bez narażania firmy na sankcje.