Nowe wytyczne EIOD dotyczące generatywnej AI

Europejski Inspektor Ochrony Danych opublikował zaktualizowane orientacje dotyczące wykorzystania systemów generatywnej AI przez instytucje UE. Dokument (wersja 2 z 28 października 2025 r.) ma charakter praktyczny i koncentruje się na zgodności wykorzystania generatywnej AI z Regulacją 2018/1725, stanowiącą odpowiednik RODO dla instytucji unijnych. Orientacje nie odnoszą się do AI Act bezpośrednio, lecz funkcjonują równolegle, jako uzupełnienie obowiązków wynikających z prawa ochrony danych osobowych

‍

Czego dotyczą wytyczne

‍

Zakres dokumentu obejmuje kilkanaście kluczowych obszarów regulacyjnych. Oto niektóre z nich:

‍

1. Określenie ról i odpowiedzialności

Orientacje podkreślają kluczową wagę prawidłowego określenia ról administratora i podmiotu przetwarzającego w kontekście generatywnej AI. Wskazują na konieczność formalnego dokumentowania tych ról, a także wdrożenia umów i klauzul przetwarzania zgodnie z wymogami EUDPR.

‍

2. Obowiązki Inspektora Ochrony Danych (DPO)

DPO ma brać udział już na etapie projektowania, opiniować DPIA, doradzać w zakresie zgodności oraz monitorować proces wdrożenia. EDPS podkreśla konieczność włączania DPO w pełny cykl życia systemu generatywnej AI.

‍

3. Kiedy wymagane jest DPIA

DPIA jest wymagana zawsze wtedy, gdy zastosowanie generatywnej AI może prowadzić do wysokiego ryzyka naruszenia praw i wolności osób. EDPS wskazuje na obowiązek ciągłego monitorowania ryzyk oraz aktualizacji DPIA, ponieważ ryzyka mogą pojawiać się wraz z ewolucją modeli oraz ich zachowań. Wytyczne przewidują konsultacje z EDPS, gdy ryzyk nie da się ograniczyć dostępnymi środkami .

‍

4. Ryzyka dotyczące bezpieczeństwa

Generatywna AI wprowadza nowe wektory ataku: model inversion, prompt injection, jailbreaks. EDPS wymaga wdrożenia dedykowanych środków bezpieczeństwa, w tym wykorzystania red teamingu, regularnej walidacji danych, kontroli źródeł danych oraz ciągłego monitorowania ryzyk systemowych

‍

5. Wskazówki dotyczące ograniczania biasu i zapewnienia fair processing

Modele muszą być testowane pod kątem uprzedzeń, a instytucje powinny stosować środki minimalizacji dyskryminacji i zapewnienia przejrzystości.

‍

Wnioski dla biznesu

‍

Choć dokument kierowany jest do instytucji UE, jego konstrukcja odzwierciedla podejście regulatorów europejskich do generatywnej AI. Przedsiębiorcy mogą traktować te orientacje jako praktyczny benchmark zgodności.

Wytyczne pokazują, że organizacje – także prywatne – będą musiały wdrożyć formalne procesy: dokumentację cyklu życia modeli, DPIA dedykowane dla AI, polityki zarządzania danymi oraz kontrolę dostawców AI.

Z kolei uporządkowana dokumentacja modeli, źródeł danych, procesów fine-tuningu oraz testów bezpieczeństwa będzie czynnikiem ocenianym przez partnerów, klientów oraz inwestorów.