RODO · chmurowa AI w firmie

Czy mogę używać ChatGPT, Claude i innych z danymi klientów?

Krótka odpowiedź: nie – nie w wersjach standardowych.

ChatGPT, Claude, Gemini i Copilot to amerykańskie usługi chmurowe. W momencie, gdy dane osobowe trafiają do promptu, rozpoczyna się przekazanie do państwa trzeciego (USA) – wraz ze wszystkimi obowiązkami z RODO, które firmy często bagatelizują. Praca bez umowy powierzenia przetwarzania lub korzystanie z darmowej wersji narusza RODO już przy pierwszym prompcie.

Zobacz suwerenne rozwiązanie Zamów konsultację
Nie

Ze standardowymi kontami i bez dodatkowych zabezpieczeń korzystanie nie jest zgodne z RODO.

  • Brak umowy powierzenia w Free/Plus/Pro
  • Transfer danych do USA
  • Tajemnica zawodowa może zostać naruszona karnie
O czym mowa

ChatGPT, Claude i inni – to są narzędzia

Wszystkie cztery wiodące asystenty AI to usługi chmurowe amerykańskich dostawców. Każdy wpisany tekst opuszcza tym samym Twoją firmę i Europę.

ChatGPT
OpenAI · USA

Lider rynku od OpenAI. Dane wejściowe są przetwarzane w USA. Konta Free i Plus nie mają umowy powierzenia i mogą wykorzystywać dane do trenowania modelu.

Claude
Anthropic · USA

Model językowy Anthropic. Hostowany na AWS US. Konta standardowe nie są przewidziane do przetwarzania danych osobowych w europejskich firmach.

Gemini
Google · USA

Model językowy Google. Wejścia trafiają do ekosystemu Google. Powiązania z innymi usługami amerykańskimi pogłębiają problem transferu danych.

Copilot
Microsoft · USA

Asystent AI Microsoftu (na modelach OpenAI). Nawet z tenantem M365 w UE dostawca pozostaje podlegający amerykańskiej ustawie CLOUD Act.

Pułapki prawne

Sześć pytań RODO, na które chmurowe LLM rzadko odpowiadają czysto

Kto wprowadza dane klientów do ChatGPT, Claude czy Gemini, zwykle potyka się na kilku z tych punktów jednocześnie.

01

Brak umowy powierzenia

Art. 28 RODO

Konta Free, Plus i Pro nie oferują umowy powierzenia. Bez niej przekazywanie danych osobowych dostawcy jest już niezgodne z prawem.

02

Transfer do państwa trzeciego (USA)

Art. 44–49 RODO · Schrems II

Dane trafiają na amerykańskie serwery. EU-US Data Privacy Framework z 2023 r. to most polityczny, którego pewność prawną ponownie kwestionują organy ochrony danych i sądy. Ustawa CLOUD Act pozostaje nienaruszona.

03

Brak solidnej podstawy prawnej

Art. 6 RODO

Prawdziwa zgoda klientów na przetwarzanie przez OpenAI lub Anthropic praktycznie nigdy nie jest pozyskiwana. Prawnie uzasadniony interes rzadko przeważa nad ryzykiem transferu do państwa trzeciego.

04

Niewypełnione obowiązki informacyjne

Art. 13 i 14 RODO

Klienci muszą być w sposób przejrzysty poinformowani, że ich dane są przekazywane amerykańskim LLM – wraz z odbiorcami, transferem i podstawą prawną. W praktyce żadna polityka prywatności tego nie zawiera.

05

Naruszona tajemnica zawodowa

§ 203 niemieckiego kodeksu karnego

Lekarze, adwokaci, doradcy podatkowi, farmaceuci, ubezpieczyciele, banki: kto wprowadza dane klientów lub pacjentów do chmurowych LLM, może popełnić przestępstwo z § 203 StGB – zagrożone karą grzywny lub pozbawienia wolności.

06

Ujawnione tajemnice firmy

Ustawa o tajemnicy przedsiębiorstwa

Gdy projekty umów, ceny, kod źródłowy lub strategie trafiają do chmurowych LLM, zazwyczaj przestają być uważane za wystarczająco chronione w rozumieniu ustawy o tajemnicy przedsiębiorstwa.

Konkretnie

Które dane klientów są szczególnie krytyczne

Dane osobowe to wszystko, co identyfikuje osobę – imiona, adresy e-mail, numery klienta, numery telefonów, adresy IP. Już jedno takie pole w prompcie uruchamia obowiązki RODO.

Szczególne kategorie danych z art. 9 RODO – zdrowie, religia, pochodzenie etniczne, orientacja seksualna – praktycznie nigdy nie powinny trafić do chmurowych LLM. Ryzyko jest tu maksymalne.

Nigdy nie wprowadzać do chmurowych LLM

  • Imiona, adresy, daty urodzenia klientów
  • Dane zdrowotne lub dotyczące leczenia (Art. 9)
  • Dokumenty rekrutacyjne, CV
  • Dane umów, cen i warunków
  • Kod źródłowy z wewnętrzną logiką lub poświadczeniami
  • Wymiana e-maili 1:1 z klientami
  • Dane klientów, pacjentów lub mocodawców
Konsekwencje

Co może się stać, gdy coś pójdzie źle?

⚖️

Kara RODO

do 20 mln €

Lub 4 % światowego obrotu grupy. Obowiązuje wyższa kwota (art. 83 RODO).

👥

Odszkodowanie

Art. 82 RODO

Każda osoba poszkodowana może żądać zadośćuczynienia za szkodę niemajątkową – nawet bez konkretnego dowodu szkody.

🚨

Odpowiedzialność karna

§ 203 StGB

Dla osób objętych obowiązkiem zachowania tajemnicy do sankcji firmowych dochodzą osobiste grzywny lub kara więzienia.

📉

Reputacja

trudno wymierna

Opublikowane kary i incydenty prywatności pozostają widoczne w wyszukiwarkach i prasie branżowej przez lata.

Rozwiązania

Jak bezpiecznie używać AI w firmie?

Trzy drogi – uporządkowane według poziomu ochrony. Najmocniejsze rozwiązanie to takie, w którym Twoje dane nigdy nie opuszczają firmy.

Zalecane · maksymalna ochrona

AI on-premise – dane zostają w domu

AI działająca na Twoim sprzęcie. Bez transferu do państw trzecich, bez konieczności umowy powierzenia, pełny dostęp do źródeł wewnętrznych bez ryzyka zgodności.

  • Żadne dane nie opuszczają Twojej sieci
  • RODO poza zakresem (brak zewnętrznego podmiotu przetwarzającego)
  • Odpowiednie również dla zawodów z § 203
Więcej o KOSMO On-Premise
Warunkowo odpowiednie

Dostawca AI hostowany w UE z umową powierzenia

Wyspecjalizowani europejscy dostawcy z hostingiem w UE, umową powierzenia i przejrzystą polityką trenowania. Mniejsze ryzyko, ale konieczna regularna weryfikacja.

  • Sprawdzić umowę powierzenia i hosting UE
  • Wykluczyć trenowanie na Twoich wpisach
  • Sprawdzić spółkę matkę i ekspozycję na CLOUD Act
Ryzykowne · stosować ostrożnie

Konsekwentna anonimizacja

Jeśli chmurowe LLM są nieuniknione: usuń odniesienia do osób przed promptem. Imiona zastąp symbolami zastępczymi, pomiń adresy, żadnego tekstu wprost z umów.

  • Jasna polityka korzystania w firmie
  • Szkolenie pracowników
  • Pozostaje ryzyko resztkowe – ponowna identyfikacja jest możliwa
Najczęściej zadawane

FAQ – najczęstsze pytania szczegółowe

ChatGPT Enterprise oferuje umowę powierzenia, rezygnację z trenowania modelu na Twoich wpisach i opcjonalne przetwarzanie danych w UE. To znacznie lepiej niż wariant Plus. Problem podstawowy pozostaje: OpenAI to amerykańska korporacja, a CLOUD Act pozwala amerykańskim władzom uzyskać dostęp do danych. Ocena skutków dla ochrony danych jest obowiązkowa, a dla danych szczególnych kategorii lub zawodów z § 203 Enterprise zwykle nie wystarcza.

Źródła i dalsze informacje

Ta strona opiera się na następujących publicznych i urzędowych źródłach:

Powiązane tematy na Splitbot.ai

RAG & Datenschutz
Co wytyczne DSK dotyczące systemów RAG oznaczają dla MŚP
On-Premise KI
KOSMO lokalnie — suwerenność danych dzięki własnemu sprzętowi
EU AI Act
Splitblog: co EU AI Act oznacza dla administracji i firm
Chatbots im Vergleich
Który chatbot do którego zastosowania? Porównanie funkcji

Suwerennie zamiast ryzykownie

KOSMO działa na Twoim sprzęcie lub w suwerennych europejskich centrach danych. Bez amerykańskiej chmury, bez transferu do państw trzecich, pełna kontrola.

Odkryj KOSMO On-Premise Bezpłatna konsultacja

Ta strona zawiera ogólny przegląd i nie zastępuje porady prawnej. W konkretnych przypadkach – zwłaszcza przy danych szczególnych kategorii lub tajemnicy zawodowej – skontaktuj się ze swoim inspektorem ochrony danych lub wyspecjalizowaną kancelarią.

Partnerzy i sponsorzy