Czy korzystanie z ChatGPT w firmie narusza RODO?

ChatGPT coraz częściej pojawia się w codziennej pracy firm: pomaga pisać e-maile, przygotowywać oferty, streszczać dokumenty czy tworzyć treści marketingowe. Nic dziwnego, że przedsiębiorcy pytają, czy korzystanie z takiego narzędzia jest zgodne z przepisami o ochronie danych osobowych. W takich sytuacjach z pomocą przychodzi sprawdzony prawnik AI.

Odpowiedź nie jest zero-jedynkowa. Samo używanie ChatGPT w firmie nie musi naruszać RODO. Ryzyko pojawia się wtedy, gdy pracownicy wpisują do narzędzia dane klientów, pracowników, kandydatów do pracy lub kontrahentów bez jasnych zasad, podstawy prawnej i odpowiednich zabezpieczeń.

ChatGPT a RODO - gdzie leży problem?

Najważniejsze pytanie brzmi: czy do ChatGPT trafiają dane osobowe? Jeżeli pracownik wpisuje wyłącznie ogólne polecenie, np. „przygotuj szkic regulaminu sklepu internetowego”, ryzyko jest ograniczone. Inaczej wygląda sytuacja, gdy do narzędzia trafia treść reklamacji klienta, umowa z kontrahentem, CV kandydata albo korespondencja z pracownikiem. W takich kwestiach kompleksowo doradzić może kancelaria prawna w Warszawie.

Wtedy może dojść do przetwarzania danych osobowych. A skoro pojawia się przetwarzanie danych przez AI, firma powinna ocenić, czy ma do tego podstawę prawną, czy dane są odpowiednio zabezpieczone i czy osoba, której dane dotyczą, została prawidłowo poinformowana.

Sztuczna inteligencja RODO - o czym musi pamiętać firma?

Hasło sztuczna inteligencja RODO warto rozumieć praktycznie. Firma nie powinna zakładać, że skoro narzędzie jest powszechnie dostępne, można wprowadzać do niego dowolne informacje. RODO wymaga m.in. minimalizacji danych, przejrzystości, ograniczenia celu oraz zapewnienia bezpieczeństwa.

W praktyce oznacza to, że do ChatGPT nie należy wpisywać danych osobowych, jeżeli nie jest to konieczne. Zamiast podawać imię, nazwisko, adres e-mail, numer sprawy czy szczegóły konkretnej umowy, lepiej posługiwać się neutralnymi oznaczeniami, np. „Klient A”, „Pracownik B” albo „Kontrahent C”.

To prosta zasada, ale w wielu przypadkach znacząco ogranicza ryzyko.

Bezpieczeństwo danych w ChatGPT - czy dane są bezpieczne?

Bezpieczeństwo danych w ChatGPT zależy od tego, z jakiej wersji narzędzia korzysta firma, jakie ma ustawienia, jakie dane są wprowadzane i czy przedsiębiorca zawarł odpowiednie umowy z dostawcą. Inaczej należy oceniać prywatne konto pracownika, a inaczej rozwiązanie firmowe z kontrolą administracyjną i dodatkowymi zabezpieczeniami.

Najbardziej ryzykowny scenariusz to sytuacja, w której pracownicy używają prywatnych kont do zadań służbowych i wklejają do narzędzia dokumenty firmowe albo dane klientów. W takim przypadku pracodawca może nie mieć realnej kontroli nad tym, co dzieje się z danymi.

Ochrona danych osobowych AI - jakie zasady wdrożyć?

Ochrona danych osobowych AI powinna zacząć się od prostych, wewnętrznych reguł. Firma powinna jasno wskazać, do czego można używać ChatGPT, jakich danych nie wolno wpisywać i kto odpowiada za ocenę bardziej ryzykownych zastosowań.

Warto wdrożyć zwłaszcza następujące zasady:

• nie wpisywać danych osobowych, jeżeli nie jest to konieczne,
• anonimizować lub pseudonimizować informacje przed użyciem narzędzia,
• nie korzystać z prywatnych kont pracowników do celów służbowych,
• sprawdzić warunki korzystania z narzędzia i politykę prywatności,
• przeszkolić pracowników,
• uregulować korzystanie z AI w wewnętrznej procedurze,
• przeprowadzić analizę ryzyka RODO,
• w razie potrzeby wykonać ocenę skutków dla ochrony danych.

Czy potrzebna jest zgoda klienta?

Nie zawsze. Zgoda na przetwarzanie nie jest jedyną podstawą prawną. W zależności od sytuacji podstawą może być np. wykonanie umowy, obowiązek prawny albo prawnie uzasadniony interes administratora danych.

Nie oznacza to jednak pełnej dowolności. Jeżeli firma chce wykorzystywać ChatGPT do pracy na danych klienta, musi ocenić, czy jest to niezbędne, proporcjonalne i bezpieczne. W wielu przypadkach lepszym rozwiązaniem będzie korzystanie z danych zanonimizowanych.

ChatGPT w HR i danych pracowników

Szczególnej ostrożności wymagają dane pracowników oraz kandydatów do pracy. Wprowadzanie do ChatGPT CV, ocen okresowych, informacji o wynagrodzeniu, nieobecnościach, konfliktach w zespole czy stanie zdrowia może wiązać się z wysokim ryzykiem prawnym.

Pracodawca powinien unikać używania AI do analizy danych kadrowych bez wcześniejszej oceny zgodności z RODO. W tym obszarze znaczenie mają nie tylko przepisy o ochronie danych, ale także zasady prawa pracy i obowiązek poszanowania prywatności pracownika.

Czy ChatGPT Enterprise rozwiązuje problem RODO?

Wersje biznesowe lub Enterprise mogą oferować lepsze zabezpieczenia niż zwykłe konto konsumenckie, np. większą kontrolę administracyjną, zarządzanie dostępem czy korzystniejsze zasady dotyczące danych firmowych. Nie oznacza to jednak, że samo wykupienie takiej usługi automatycznie zapewnia zgodność z RODO.

Nadal trzeba sprawdzić dokumentację, ustalić role stron, ocenić podstawy prawne przetwarzania, zaktualizować procedury i przeszkolić pracowników.

Jak przygotować firmę do legalnego korzystania z ChatGPT?

Przed wdrożeniem ChatGPT w firmie warto odpowiedzieć na kilka pytań:

• kto może korzystać z narzędzia,
• do jakich celów można go używać,
• czy wolno wpisywać dane osobowe,
• jakie dane są zakazane,
• czy potrzebna jest umowa powierzenia przetwarzania,
• czy trzeba zaktualizować politykę prywatności,
• kto odpowiada za kontrolę korzystania z AI,
• jak firma reaguje na przypadkowe ujawnienie danych.

Dobrze przygotowana procedura nie musi być długa. Powinna być przede wszystkim zrozumiała dla pracowników i dopasowana do realnych procesów w firmie.

Podsumowanie - Bezpieczne wdrażanie sztucznej inteligencji w biznesie

Korzystanie z ChatGPT w firmie nie jest automatycznie niezgodne z RODO. Może jednak prowadzić do naruszeń, jeżeli firma pozwala pracownikom wpisywać dane osobowe do narzędzia bez żadnych zasad i kontroli.

Najbezpieczniejsze podejście to ograniczanie danych, anonimizacja, korzystanie z firmowych kont, analiza ryzyka, szkolenie pracowników i jasna procedura używania AI. Dzięki temu generatywna AI może wspierać biznes, nie narażając firmy na niepotrzebne ryzyka prawne.

‍