RODO i AI – razem czy osobno?
Synergia prawa i nowoczesnych technologii w świetle pakietu Digital Omnibus

W listopadzie 2025 r. Komisja Europejska opublikowała pakiet Digital Omnibus (COM(2025) 837 final) oraz Digital Omnibus on AI (COM(2025) 836 final), zapowiadając szerokie uproszczenie cyfrowych ram prawnych UE. Propozycje te – oceniane przez ponad 120 organizacji społeczeństwa obywatelskiego jako „największy rollback praw cyfrowych w historii UE” – stają się punktem wyjścia dla refleksji nad relacją RODO i AI.

Kluczowe pytanie praktyczne brzmi: czy RODO i AI to dwa odrębne światy[MK1.1], czy też układ naczyń połączonych? Analiza regulacyjna wskazuje jednoznacznie, że są to systemy komplementarne – i jako takie muszą być traktowane łącznie w każdej strategii zarządzania ryzykiem związanym z wdrażaniem AI.

I. Punkt wyjścia: godna zaufania sztuczna inteligencja
Podstawą każdego projektu wdrożeniowego AI powinna być koncepcja godnej zaufania sztucznej inteligencji (Trustworthy AI). Nie jest to hasło marketingowe, lecz konkretna struktura normatywna zaakceptowana przez Komisję Europejską jako fundament całej legislacji dotyczącej AI w UE. Opiera się ona na trzech filarach:

• zgodność z prawem – systemy AI muszą działać w granicach całego systemu prawnego: nie tylko AI Act, ale również przepisów sektorowych i RODO;
• solidność – aspekt techniczny gwarantujący bezpieczeństwo i przewidywalność działania systemu;
• etyczność – uwzględnienie zasad wychodzących poza sztywne ramy przepisów, lecz ściśle z nimi powiązanych.

Każdy z tych filarów ma bezpośrednie przełożenie na wymagania RODO. Zasada zgodności z prawem materializuje się w ogólnym obowiązku zgodności, nie tylko obowiązku posiadania podstawy prawnej przetwarzania danych (art. 6 RODO). Solidność odpowiada wymogom art. 32 RODO dotyczącym bezpieczeństwa przetwarzania. Etyczność natomiast przenika zasady minimalizacji danych, ograniczenia celu oraz data protection by design z art. 5 i 25 RODO.

II. Mit wymagalności wyłącznie AI Act
W powszechnej percepcji dominuje przekonanie, że AI Act (rozporządzenie 2024/1689) stanowi jedyną i kompleksową regulację tego obszaru. Jest to założenie błędne. AI Act interweniuje wyłącznie tam, gdzie legislator uznał to za niezbędne, działając zgodnie z zasadą pomocniczości i proporcjonalności. Szacuje się, że w swoich pierwotnych założeniach miał regulować jedynie od 5% do 7% rynku AI w UE, koncentrując się na systemach wysokiego ryzyka i modelach ogólnego przeznaczenia (GPAI).

Tymczasem to RODO pozostaje najbardziej horyzontalną i szeroką regulacją, która znajduje zastosowanie wszędzie tam, gdzie system AI przetwarza dane osobowe – od etapu trenowania modeli, poprzez ich testowanie, aż po wdrożenie produkcyjne. Art. 2 ust. 7 AI Act expressis verbis potwierdza, że oba te reżimy prawne stosuje się równolegle i wzajemnie się uzupełniają.

Ten stan prawny komplikują propozycje zawarte w pakiecie Digital Omnibus. Proponowane zmiany w RODO – w szczególności zawężenie definicji danych osobowych w art. 4 ust. 1, nowy art. 88c tworzący sektorowy wyjątek dla AI w zakresie uzasadnionego interesu, art. 9 ust. 2 lit. k) dotyczący szczególnych kategorii danych oraz zmiana filozofii art. 22 w zakresie zautomatyzowanego podejmowania decyzji – mogą istotnie przełożyć się na zakres obowiązków organizacji wdrażających AI. Ocena tych zmian wymaga oddzielnego opracowania; tuż zaznaczamy, że stanowią one istotny kontekst regulacyjny dla każdej praktycznej metodyki zgodności AI z RODO.

III. Artykuł 25 RODO jako most wdrożeniowy
W poszukiwaniu mechanizmu umożliwiającego holistyczne ujęcie zgodności AI z przepisami kluczową rolę odgrywa art. 25 RODO, statuujący zasadę ochrony danych w fazie projektowania (Data Protection by Design i Data Protection by Default). AI w swojej istocie nie jest niczym innym niż nowym elementem kontekstowym w procesie przetwarzania danych osobowych – narzędziem, które zastępuje lub wspomaga dotychczasowe platformy decyzyjne.

Artykuł 25 RODO nie ma natury wyłącznie prywatnościowej; ma szeroką naturę zgodnościową. Jego celem jest ochrona praw i wolności podmiotów danych w sposób iteracyjny i oparty na analizie ryzyka. Mechanizm ten pozwala uchwycić specyficzne cechy sztucznej inteligencji – takie jak bias algorytmiczny czy brak przejrzystości – i włączyć je w ramy zarządzania procesem przetwarzania. Co istotne, proces ten nie kończy się na fazie projektu; musi przechodzić w stan ciągłego utrzymania i korekty. Jest to szczególnie ważne w przypadku dynamicznie uczących się systemów AI, których zachowanie zmienia się wraz z nowymi danymi.

IV. Praktyka zarządzania ryzykiem: metodologia
Wdrażanie AI w organizacji powinno opierać się na sprawdzonych modelach zarządzania jakością. Niezwykle użytecznym wzorcem jest cykl Deminga (Plan-Do-Check-Act), który został z powodzeniem zaadoptowany przez norweskie organy nadzorcze dla celów oceny zgodności oprogramowania z RODO. Przełożenie tego cyklu na procesy AI pozwala wyróżnić cztery etapy:

1. Ocena potrzeb i analiza strategiczna
Pierwszym krokiem – poprzedzającym jakikolwiek wybór technologii – jest ocena potrzeby organizacyjnej. Należy odpowiedzieć na pytanie, czy w danym procesie biznesowym automatyzacja jest konieczna i czy istnieją mniej inwazyjne alternatywy dla ochrony praw osób fizycznych. Zasada minimalizacji danych (art. 5 ust. 1 lit. c RODO) i zasada ograniczenia celu (art. 5 ust. 1 lit. b RODO) powinny być stosowane jako filtry już na etapie definicji wymagań. Ważne jest zdefiniowanie mierzalnych wskaźników KPI, które po wdrożeniu pozwolą ocenić, czy cel został osiągnięty bez nadmiernej ingerencji w prywatność.

2. Budowa bazy wiedzy i wybór technologii
Sztuczna inteligencja ma swoją specyfikę – inaczej działają proste drzewa decyzyjne (wysoka interpretowalność), a inaczej głębokie sieci neuronowe (niska interpretowalność, wysoka dokładność). Różne architektury generują różne rodzaje ryzyka dla podmiotów danych. Szczególne znaczenie ma tu problem „czarnej skrzynki”, bezpośrednio powiązany z prawem do wyjaśnienia decyzji, które – mimo propozycji osłabienia art. 22 RODO w pakiecie Digital Omnibus – pozostaje fundamentalną gwarancją ochrony osób fizycznych.

3. Zarządzanie danymi i jakość zbioru
Częstym problemem w procedurach AI Discovery jest fakt, że organizacje posiadają dane, lecz nie nadają się one do trenowania modeli. Etap strukturyzowania, czyszczenia i zapewniania jakości danych jest sam w sobie procesem przetwarzania danych osobowych podlegającym pełnemu reżimowi RODO, w tym obowiązkowi wpisu do rejestru czynności przetwarzania.

V. GDPR Risk Tracker jako narzędzie zarządzania zgodnością AI
Praktycznym wyrazem metodyki opartej na analizie ryzyka jest zastosowanie dedykowanych narzędzi do oceny zgodności. GDPR Risk Tracker – narzędzie służące do systematycznego mapowania ryzyk w procesach przetwarzania danych osobowych – można z powodzeniem zaadaptować do potrzeb analizy procesów, w których wykorzystywana jest AI, bez konieczności rewolucjonizowania istniejącego rejestru czynności przetwarzania (RCP). Kluczem jest traktowanie AI nie jako odrębnego bytu prawnego, lecz jako dodatkowego elementu kontekstowego każdego procesu przetwarzania. Efektywne wykorzystanie GDPR Risk Tracker w środowisku AI wymaga kilku dostosowań metodycznych:

Rozbudowa słowników ryzyk
Standardowe kategorie ryzyk – utrata poufności, integralności i dostępności – należy uzupełnić o ryzyka specyficzne dla systemów AI. Niezbędne jest uwzględnienie: dyskryminacji algorytmicznej (bias), niezgodnego z celem wtórnego wykorzystania danych treningowych, braku możliwości wyjaśnienia decyzji (naruszenie prawa z art. 22 RODO), ryzyka re-identyfikacji osób na podstawie danych rzekomo anonimowych, oraz braku uczciwości (fairness) modelu wobec różnych grup podmiotów danych. Każde z tych ryzyk powinno mieć przypisany poziom prawdopodobieństwa oraz potencjalne skutki dla praw i wolności osób fizycznych.

Nowe kategorie zabezpieczeń
W odpowiedzi na ryzyka specyficzne dla AI konieczne jest zdefiniowanie nowych kategorii środków zaradczych: nadzoru ludzkiego (human-in-command) jako wymogu proceduralnego przed podjęciem decyzji o istotnych skutkach, mechanizmów audytów algorytmicznych przez strony trzecie, procedur wykrywania i korygowania uprzedzeń (bias detection, zgodnie z art. 10 ust. 5 AI Act), pseudonimizacji danych treningowych tam, gdzie jest to technicznie możliwe, oraz testów wrażliwości modelu na danych reprezentatywnych.

Mapowanie modeli AI jako osobnych zasobów
Jedna z najcenniejszych właściwości GDPR Risk Tracker w kontekście AI polega na możliwości wyizolowania konkretnych modeli AI i oceniania ich jako osobnych aktywów (assetów) w ramach procesu przetwarzania. Pozwala to na precyzyjne określenie, jak dany system wpływa na poszczególne ryzyka procesu. Przykładowo: w procesie oceny zdolności kredytowej, gdzie bank korzysta z modelu scoringowego, możliwe jest porównanie poziomu ryzyk sprzed wdrożenia AI ze stanem po jego implementacji. Jeśli nowy model znacznie zwiększa ryzyko dyskryminacji algorytmicznej lub eliminuje możliwość wyjaśnienia decyzji, analiza wskazuje konieczność wdrożenia dodatkowych zabezpieczeń.

Rozliczalność i dokumentacja
Archiwizacja historycznych wersji analizy ryzyka – tj. stanów sprzed i po wdrożeniu AI – stanowi kluczowy element rozliczalności (art. 5 ust. 2 RODO). Umożliwia ona wykazanie przed organem nadzorczym, że decyzja o wdrożeniu konkretnego modelu AI była poprzedzona świadomą oceną ryzyka i adekwatnymi zabezpieczeniami. W przypadku systemów AI wysokiego ryzyka w rozumieniu Załącznika III do AI Act dokumentacja ta może stanowić również podstawę Oceny Skutków dla Ochrony Danych (DPIA) z art. 35 RODO.

VI. Wyzwania sektorowe: przykład medycyny
Sektor medyczny jaskrawo pokazuje, że RODO nie jest „samotną wyspą”. Przy wdrażaniu AI w urządzeniach medycznych należy uwzględnić przepisy sektorowe dotyczące wyrobów medycznych (MDR, rozporządzenie 2017/745), rozporządzenie o ogólnym bezpieczeństwie produktów oraz szczególne wymogi bezpieczeństwa z art. 32 RODO dotyczące danych zdrowotnych jako danych szczególnych kategorii.

W przypadku wykorzystania AI jako wsparcia diagnostycznego – na przykład w gastroenterologii do analizy obrazów endoskopowych – kluczowe staje się ustalenie, czy dane wejściowe (obraz z kamery) stanowią dane osobowe. W przypadku konkretnego pacjenta odpowiedź jest niemal zawsze twierdząca. Tu pojawia się problem długu poznawczego (automation bias) – zjawiska, w którym lekarz przestaje kwestionować diagnozę postawioną przez maszynę. Środkiem zaradczym jest odpowiednie ułożenie procesu: AI powinno służyć jako weryfikacja (drugie oko), a nie źródło wiedzy pierwotnej, co minimalizuje ryzyko błędnych decyzji wpływających na życie i zdrowie. W strukturze GDPR Risk Tracker oznacza to konieczność uwzględnienia nadzoru ludzkiego jako obligatoryjnego zabezpieczenia procesu.

VII. Nadzór ludzki i rozliczalność administratora
Jednym z najważniejszych wymogów zarówno RODO (art. 22), jak i wytycznych dla godnej zaufania AI, jest nadzór człowieka. W systemach o dużym wpływie na prawa i wolności, nadzór ten musi mieć charakter human-in-command – działać przed podjęciem ostatecznej decyzji, nie jedynie post factum. Propozycja cyfrowego pakietu Omnibus, zmieniająca art. 22 RODO z zakazu warunkowego dopuszczenia zautomatyzowanego podejmowania decyzji na rozszerzone dopuszczenie bez wymogu niezbędności, budzi w tym kontekście poważne wątpliwości. Czyni z zautomatyzowanego podejmowania decyzji opcję biznesową administratora, a nie wyjątek chroniący osobę fizyczną.

Odpowiedzialność za procesy AI spoczywa ostatecznie na Administratorze Danych. Wykorzystywanie przez pracowników prywatnych kont w narzędziach AI (tzw. shadow AI) do celów służbowych jest z punktu widzenia RODO niedopuszczalne wszędzie tam, gdzie dochodzi do przekazywania danych osobowych lub poufnych bez kontroli organizacji. Każdy proces wykorzystujący AI powinien być świadomie zaakceptowany przez upoważnioną osobę w organizacji, co zamyka klamrą system rozliczalności. W nomenklaturze GDPR Risk Tracker oznacza to konieczność formalnego przypisania właściciela procesu do każdego wpisu obejmującego AI jako element kontekstowy.

VIII. Konkluzja: razem, nie osobno
Odpowiadając na tytułowe pytanie: RODO i AI występują wyłącznie razem. Nie da się zbudować legalnego i etycznego systemu sztucznej inteligencji przetwarzającego dane osobowe z pominięciem fundamentów ochrony danych. AI jest potężnym narzędziem, ale to RODO dostarcza sprawdzonych ram prawnych – analizy ryzyka, wymogu data protection by design, rejestru czynności przetwarzania i oceny skutków – które pozwalają to narzędzie „okiełznać”.

Narzędzia takie jak GDPR Risk Tracker umożliwiają praktyczne połączenie tych dwóch perspektyw: technologicznej i prawnej. Pozwalają na systematyczne mapowanie ryzyk procesów AI w ramach istniejącej infrastruktury ochrony danych, bez konieczności tworzenia odrębnych, rozłącznych procedur. Kluczem do sukcesu jest iteracyjność i świadome zarządzanie zmieniającym się kontekstem.

Organizacje, które potrafią zintegrować analizę ryzyka technologicznego AI ze swoją standardową procedurą ochrony danych, nie tylko zapewnią sobie zgodność z prawem. Przede wszystkim zbudują zaufanie użytkowników i kontrahentów – które w świecie zdominowanym przez algorytmy staje się najcenniejszą walutą konkurencyjną. W obliczu niepewności regulacyjnej wywołanej pakietem Digital Omnibus, ta zdolność adaptacji staje się nie opcją, lecz koniecznością.

Wojciech Grenda, Dominik Lubasz