AI a RODO — które narzędzia spełniają wymogi (Copilot vs ChatGPT vs Gemini) 2026

AI a RODO 2026: narzędzie nie wystarczy

W 2026 pytanie nie brzmi już „czy AI jest zgodne z RODO?”, lecz „czy konkretne wdrożenie AI jest zgodne z RODO, AI Act i polityką bezpieczeństwa firmy?”. Microsoft 365 Copilot, ChatGPT Enterprise i Google Gemini Enterprise mogą być używane w polskiej organizacji do pracy z danymi osobowymi, ale tylko przy właściwej umowie, konfiguracji regionu, retencji, kontroli dostępu i ograniczeniu tego, co pracownicy wpisują do promptów.

Najważniejsze rozróżnienie dotyczy wersji firmowych i konsumenckich. AI uruchomiona w tenant'cie Microsoft 365 albo Google Workspace, z kontami służbowymi, DPA, logami, DLP i administracją centralną, to inny poziom kontroli niż darmowy chatbot otwarty przez pracownika. Dlatego dla wielu firm naturalnym punktem startu jest Microsoft 365 Copilot.

Co RODO wymaga od firmy używającej AI

RODO nie zakazuje generatywnej AI. Wymaga rozliczalności, minimalizacji, bezpieczeństwa, podstawy prawnej i kontroli nad podmiotami przetwarzającymi. UODO publikuje materiały o sztucznej inteligencji i ochronie danych osobowych: UODO - sztuczna inteligencja.

• Podstawa prawna - określ, czy dane są przetwarzane na podstawie umowy, obowiązku prawnego, uzasadnionego interesu, zgody lub innej przesłanki.
• DPA - przy pracy na danych klientów, pracowników lub pacjentów dostawca AI powinien być objęty umową powierzenia.
• Transfer poza EOG - sprawdź, gdzie trafiają prompty, odpowiedzi, pliki, logi i metadane oraz jakie zabezpieczenia obejmują transfer.
• Retencja - ustal, jak długo przechowywane są konwersacje, pliki, audyt i dane diagnostyczne.
• DPIA - wykonaj ocenę skutków przy danych wrażliwych, HR, zdrowiu, monitoringu, dużej skali i profilowaniu.

Copilot vs ChatGPT Enterprise vs Gemini Enterprise

Microsoft 365 Copilot a RODO

Copilot jest najbardziej przewidywalny tam, gdzie Microsoft 365 już jest głównym repozytorium pracy. Korzysta z Microsoft Graph i powinien widzieć tylko to, do czego użytkownik ma uprawnienia. Dokumentacja Microsoft opisuje prywatność, brak użycia danych klienta do trenowania modeli bazowych oraz przetwarzanie w ramach zobowiązań Microsoft 365: Microsoft Learn - Copilot privacy.

Wdrożenie trzeba jednak zacząć od porządków. Copilot nie naprawia błędów w uprawnieniach; on je przyspiesza. Przed uruchomieniem należy sprawdzić linki anonimowe, gości zewnętrznych, grupy Microsoft 365, kanały Teams, biblioteki SharePoint, etykiety wrażliwości i polityki retencji. W firmach do 300 użytkowników rozsądnym fundamentem bywa Microsoft 365 Business Premium. W większych organizacjach Microsoft 365 E3 daje mocniejszy standard korporacyjny, a Microsoft 365 E5 uzasadnia się tam, gdzie potrzebne są zaawansowane funkcje audytu, ochrony informacji i bezpieczeństwa.

ChatGPT Enterprise a RODO

ChatGPT Enterprise nie powinien być oceniany przez pryzmat darmowego ChatGPT. Wersja enterprise ma inny model umowny, administracyjny i bezpieczeństwa. OpenAI deklaruje, że dane z ChatGPT Enterprise, Business, Edu i API nie są domyślnie używane do trenowania modeli, a praktyki bezpieczeństwa obejmują SOC 2 Type 2 i certyfikacje ISO: OpenAI Business Data.

Dla polskiej firmy kluczowe są trzy pytania: czy podpisano DPA, czy region przechowywania i przetwarzania danych jest akceptowalny, oraz czy organizacja ma politykę promptów. ChatGPT Enterprise sprawdza się przy analizie dokumentów, tworzeniu treści, pracy programistycznej i researchu, ale dane osobowe powinny trafiać tam wyłącznie w scenariuszach opisanych w rejestrze czynności, DPIA i polityce bezpieczeństwa. Ceny Enterprise są zwykle kontraktowe, dlatego porównywanie ich z abonamentem konsumenckim prowadzi do błędnych decyzji zakupowych.

Google Gemini Enterprise a RODO

Gemini jest najmocniejszy w firmach używających Google Workspace. Działa blisko Gmaila, Dokumentów, Arkuszy, Meet i Drive, a administrator może zarządzać dostępem do usług. Google opisuje lokalizacje Gemini Enterprise, w tym region EU dla danych w spoczynku i wybranych procesów ML: Google Cloud - Gemini locations.

W 2026 roku Google Workspace Enterprise Standard w Europie jest publikowany od około 26,10 EUR za użytkownika miesięcznie przy zobowiązaniu rocznym, a funkcje Gemini są coraz szerzej włączane do planów Workspace. Przed wdrożeniem trzeba sprawdzić konkretną edycję, data regions, status Gemini jako usługi podstawowej lub dodatkowej oraz to, czy pracownicy nie korzystają równolegle z konsumenckiego Gemini poza kontrolą administratora.

Darmowe narzędzia AI: czerwone flagi

Bezpłatne wersje ChatGPT, Gemini, Copilot konsumencki, przypadkowe wtyczki AI i rozszerzenia przeglądarki nie powinny być używane do danych osobowych klientów, pracowników, pacjentów ani kontrahentów. Firma zwykle nie ma wtedy wystarczającej kontroli nad umową, celem przetwarzania, retencją, audytem, usunięciem danych i transferem poza EOG.

• Nie wpisuj PESEL, NIP, wynagrodzeń, diagnoz, adresów, numerów dokumentów ani danych dzieci do narzędzi konsumenckich.
• Nie wklejaj całych umów, akt osobowych, list płac, deklaracji podatkowych, pozwów ani dokumentacji medycznej bez DPA i podstawy prawnej.
• Nie traktuj ręcznego „usunięcia imienia i nazwiska” jako anonimizacji. Kontekst często nadal pozwala zidentyfikować osobę.

Polskie scenariusze biznesowe

Kancelaria prawna

Kancelaria przetwarza dane klientów, przeciwników procesowych, świadków i często informacje objęte tajemnicą zawodową. AI może pomagać w streszczaniu orzeczeń i redagowaniu pism, ale akta sprawy powinny trafiać wyłącznie do zatwierdzonego narzędzia enterprise. W praktyce potrzebne są: zakaz prywatnych chatbotów, polityka promptów, DPA, retencja i kontrola dostępu do repozytorium dokumentów.

Biuro rachunkowe

Biuro rachunkowe pracuje na NIP, PESEL, listach płac, fakturach, danych kontrahentów i dokumentach kadrowych. Największe ryzyko to wklejanie arkuszy lub PDF do darmowego AI w celu „szybkiej analizy”. Bezpieczniejszy model to firmowe konta, odseparowanie klientów, logowanie dostępu, minimalizacja danych i DPIA przy dużej skali lub automatyzacji kontroli.

Ochrona zdrowia

Dane medyczne są szczególną kategorią danych. Streszczanie historii choroby, triage, rekomendacje lub analiza badań wymagają bardzo ostrożnej oceny ryzyka. W tym sektorze konsumenckie chatboty powinny być wykluczone, a wdrożenie AI powinno przejść osobny projekt prawny, bezpieczeństwa i medyczny.

HR i akta pracownicze

AI może pomagać w opisach stanowisk i komunikacji, ale ranking CV, ocena pracowników, predykcja rotacji lub decyzje o awansie wchodzą w obszar wysokiego ryzyka. Potrzebne są DPIA, nadzór człowieka, dokumentacja, testy dyskryminacji i jasna informacja dla kandydatów lub pracowników.

EU AI Act 2026: obowiązki pracodawcy i wysokie ryzyko

AI Act wszedł w życie 1 sierpnia 2024 roku, obowiązki dla modeli ogólnego przeznaczenia zaczęły być stosowane od 2 sierpnia 2025 roku, a większość przepisów zaczyna obowiązywać od 2 sierpnia 2026 roku. Komisja Europejska opisuje harmonogram i zasady na stronie regulacji AI: European Commission AI Act.

Firma używająca narzędzia AI jest często „deployerem”, czyli podmiotem wdrażającym system. Musi używać systemu zgodnie z instrukcją, szkolić użytkowników, prowadzić nadzór i reagować na ryzyka. Szczególnie ważne są procesy zatrudnienia, bo AI używana do rekrutacji, selekcji kandydatów, oceny pracy lub decyzji wpływających na zatrudnienie może być systemem wysokiego ryzyka.

Czego brakuje w konkurencyjnych artykułach

Wyniki wyszukiwania dla fraz „ai rodo”, „copilot rodo”, „chatgpt rodo polska” i „gemini rodo” często zatrzymują się na ogólnych hasłach: podpisz DPA, zrób DPIA, nie wpisuj danych osobowych. Brakuje porównania wersji enterprise i konsumenckich, tenant boundary, regionów danych, uprawnień oraz scenariuszy branżowych.

Jak wdrożyć AI zgodnie z RODO: krok po kroku

1. Opisz przypadki użycia. Oddziel redagowanie tekstów od pracy na danych klientów, zdrowia, księgowości i HR.
2. Wybierz narzędzie enterprise. Do danych osobowych używaj firmowego Copilota, ChatGPT Enterprise albo Gemini Enterprise, nie kont prywatnych.
3. Sprawdź DPA i transfery. Ustal role stron, region danych, SCC, retencję i warunki przetwarzania.
4. Posprzątaj uprawnienia. Zweryfikuj SharePoint, OneDrive, Drive, Teams, grupy, linki publiczne i konta gości.
5. Wprowadź politykę promptów. Określ, jakich danych nie wolno wpisywać i kiedy wymagana jest zgoda IOD.
6. Przeprowadź DPIA. Zrób ją dla danych wrażliwych, HR, zdrowia, monitoringu, profilowania i dużej skali.
7. Szkol i audytuj. Ucz pracowników ograniczeń AI, halucynacji, poufności i regularnie sprawdzaj logi oraz nowe funkcje dostawcy.

Wniosek: które narzędzie spełnia wymogi

Wymogi RODO może spełniać każde z trzech narzędzi enterprise, ale nie każde wdrożenie. Copilot jest najprostszy do obrony w firmach Microsoft 365, ChatGPT Enterprise jest uniwersalny poza jednym pakietem biurowym, a Gemini Enterprise najlepiej pasuje do Google Workspace. Największe ryzyko w 2026 roku to brak kontroli: darmowe narzędzia, brak DPA, brak DPIA, złe uprawnienia i nieprzeszkoleni użytkownicy.