PRAWO

RODO a chatbot AI. Co musisz wiedzieć przed wdrożeniem.

03.04.2026·8 min czytania·Jakub Prejzner

Chatbot AI to nie jest prosty widget na stronie. To system, ktory przetwarza dane osobowe Twoich klientow. Imiona, adresy email, numery telefonow, a czasem nawet dane wrazliwe. Jesli wdrazasz chatbota bez zastanowienia sie nad RODO, narażasz firme na kary do 20 milionow euro albo 4% rocznego obrotu. To nie jest abstrakcyjna groźba. UODO nakłada kary regularnie.

W tym artykule tłumaczę konkretnie: jakie dane zbiera chatbot, co na to prawo, czym się różni lokalne AI od chmury w kontekście RODO i co musisz zrobić przed uruchomieniem bota na produkcji.

Czy chatbot zbiera dane osobowe

Krótka odpowiedź: tak. Zawsze.

Nawet jeśli nie prosisz klienta o imię i email, chatbot zbiera dane. Oto co trafia do logów przy każdej rozmowie:

  • Adres IP. To jest dana osobowa w rozumieniu RODO. Nie ma dyskusji. TSUE potwierdził to wyrokiem w sprawie Breyer (C-582/14).
  • Treść rozmowy. Klient pisze "Nazywam się Anna Kowalska, zamówiłam produkt X pod adresem ul. Lipowa 5, Kraków". Masz imię, nazwisko i adres. Dane osobowe.
  • Pliki cookies. Jeśli chatbot używa cookies do identyfikacji sesji albo powracających użytkowników, to kolejna warstwa danych.
  • Metadata. Przeglądarka, system operacyjny, język, strefa czasowa. Pojedynczo to niewiele. Razem mogą identyfikować konkretną osobę.
  • Dane podane dobrowolnie. Numer zamówienia, email, telefon, PESEL. Klienci podają te dane w rozmowie z botem, bo chcą załatwić sprawę. Bot je przetwarza.

Nie da się uruchomić chatbota, który nie zbiera żadnych danych osobowych. To fikcja. Nawet sam fakt, że ktoś odwiedził stronę i kliknął w widget czatu, generuje dane.

Pytanie nie brzmi "czy chatbot zbiera dane". Pytanie brzmi "czy robisz to zgodnie z prawem".

Co mówi RODO o przetwarzaniu przez AI

RODO nie zabrania używania AI. Ale stawia konkretne wymagania. Oto najważniejsze artykuły:

Artykuł 6: Podstawa prawna. Musisz mieć powód, żeby przetwarzać dane. Dla chatbota najczęściej stosujesz jedną z trzech podstaw:

  • Zgoda (art. 6.1.a). Klient klika "Akceptuję regulamin czatu" przed rozpoczęciem rozmowy. Najprostsza opcja, ale zgoda musi być dobrowolna, konkretna i świadoma.
  • Wykonanie umowy (art. 6.1.b). Klient pyta o status zamówienia. Przetwarzasz dane, bo to niezbędne do realizacji umowy sprzedaży.
  • Uzasadniony interes (art. 6.1.f). Obsługa klienta to uzasadniony interes administratora. Ale musisz przeprowadzić test równowagi interesów (Twój interes vs prawa klienta).

Artykuł 5: Zasady przetwarzania. Minimalizacja danych to klucz. Chatbot nie powinien pytać o PESEL, jeśli wystarczy numer zamówienia. Nie powinien przechowywać rozmów dłużej, niż to konieczne. Nie powinien zbierać danych "na zapas".

Artykuł 13: Obowiązek informacyjny. Klient musi wiedzieć, że rozmawia z AI. Musi wiedzieć, kto jest administratorem danych, w jakim celu dane są przetwarzane, jak długo będą przechowywane i jakie ma prawa. To nie jest opcjonalne. To obowiązek.

Artykuł 22: Zautomatyzowane decyzje. Jeśli chatbot podejmuje decyzje mające wpływ na klienta (np. odrzuca reklamację albo przyznaje rabat), klient ma prawo żądać interwencji człowieka. Bot musi umożliwiać eskalację.

Artykuł 35: DPIA. Ocena skutków dla ochrony danych. Wymagana, gdy przetwarzanie wiąże się z wysokim ryzykiem. Chatbot obsługujący tysiące rozmów dziennie z danymi wrażliwymi? DPIA jest obowiązkowa.

Lokalne AI vs GPT w chmurze

Tu jest kluczowa różnica, którą większość firm ignoruje.

Chmura (OpenAI, Anthropic). Gdy Twój chatbot używa API GPT-4, treść rozmowy opuszcza Twój serwer. Trafia na serwery OpenAI w USA (albo Microsoftu w Azure). Twój klient pisze "Mój PESEL to 85010112345" i ta informacja leci za ocean.

Czy to legalne? Po Data Privacy Framework transfery do USA są dopuszczalne. Ale RODO wymaga więcej. Potrzebujesz umowy powierzenia danych (DPA) z dostawcą API. Musisz zweryfikować, że dostawca nie używa danych do treningu modelu. OpenAI API (nie ChatGPT!) nie trenuje na Twoich danych. Ale ChatGPT w darmowej wersji tak.

Lokalne AI. Model językowy działa na Twoim serwerze. Dane nigdy nie opuszczają Twojej infrastruktury. Nie ma transferu transgranicznego. Nie ma zależności od zewnętrznego dostawcy. Z perspektywy RODO to najprostsza opcja.

Modele takie jak Llama 3, Mistral czy polski Bielik można uruchomić lokalnie. Jakość jest niższa niż GPT-4, ale dla większości zastosowań biznesowych wystarczająca. Bot odpowiadający na FAQ, sprawdzający status zamówienia, podający cennik nie potrzebuje GPT-4.

Rozwiązanie hybrydowe to złoty środek. Proste zapytania obsługuje lokalne AI. Złożone pytania idą do chmury, ale po anonimizacji danych osobowych. Klient pisze "Jan Kowalski, zamówienie 12345", a do API trafia "Klient, zamówienie 12345".

Umowy powierzenia danych

Jeśli używasz zewnętrznego API (OpenAI, Anthropic, Google), potrzebujesz umowy powierzenia przetwarzania danych osobowych (DPA, Data Processing Agreement). To nie jest opcjonalne. Art. 28 RODO wymaga tego wprost.

Co musi zawierać DPA:

  • Przedmiot i czas przetwarzania
  • Charakter i cel przetwarzania
  • Rodzaj danych osobowych
  • Kategorie osób, których dane dotyczą
  • Obowiązki i prawa administratora
  • Gwarancje bezpieczeństwa ze strony procesora

OpenAI i Anthropic oferują standardowe DPA. Musisz je podpisać przed uruchomieniem chatbota na produkcji. Nie po. Przed.

Ważne: DPA z OpenAI nie zwalnia Cię z odpowiedzialności. Ty jesteś administratorem danych. Ty odpowiadasz przed UODO. Dostawca API jest procesorem. Jeśli dane wyciekną z ich strony, Ty i tak musisz powiadomić UODO i poszkodowanych w ciągu 72 godzin.

Przy lokalnym AI umowa powierzenia nie jest potrzebna, bo nie ma zewnętrznego procesora. Wszystko zostaje w Twojej firmie. To kolejny argument za lokalnym wdrożeniem.

Prawa użytkownika rozmowy z chatbotem

Klient rozmawiający z Twoim chatbotem ma pełne prawa wynikające z RODO. Nie możesz ich ograniczać.

Prawo dostępu (art. 15). Klient może zażądać kopii wszystkich swoich danych, w tym historii rozmów z chatbotem. Musisz być w stanie je dostarczyć w ciągu 30 dni.

Prawo do usunięcia (art. 17). Klient może zażądać usunięcia historii rozmów. Musisz to umożliwić. Technicznie: Twój system musi pozwalać na usuwanie konkretnych rozmów z logów.

Prawo do sprzeciwu (art. 21). Klient może sprzeciwić się przetwarzaniu danych przez chatbota. Musisz to uszanować. W praktyce oznacza to, że bot musi mieć opcję "Połącz z człowiekiem" dostępną w każdym momencie.

Prawo do przenoszenia (art. 20). Klient może zażądać eksportu swoich danych w formacie nadającym się do odczytu maszynowego. JSON, CSV. Nie PDF z zrzutem ekranu.

Prawo do informacji (art. 13). Przed rozpoczęciem rozmowy klient musi wiedzieć, że rozmawia z AI. Nie z człowiekiem. Musi wiedzieć, kto jest administratorem danych i jak się z nim skontaktować.

Większość chatbotów na polskim rynku nie spełnia tych wymagań. Brak informacji o AI. Brak opcji usunięcia danych. Brak eksportu. To naruszenie RODO. I to naruszenie, które łatwo wykryć.

Checklista RODO przed uruchomieniem chatbota

Zanim Twój chatbot RAG trafi na produkcję, przejdź tę listę punkt po punkcie.

Podstawa prawna:

  • Czy masz określoną podstawę prawną przetwarzania (zgoda, umowa, uzasadniony interes)?
  • Czy mechanizm zgody jest dobrowolny, konkretny i łatwy do wycofania?

Obowiązek informacyjny:

  • Czy chatbot informuje, że jest AI (nie człowiekiem)?
  • Czy polityka prywatności opisuje przetwarzanie danych przez chatbota?
  • Czy klient wie, kto jest administratorem danych?
  • Czy podano cel przetwarzania i okres przechowywania?

Bezpieczeństwo danych:

  • Czy rozmowy są szyfrowane (HTTPS, szyfrowanie w spoczynku)?
  • Czy dostęp do logów rozmów jest ograniczony?
  • Czy masz procedurę na wypadek naruszenia danych (breach notification)?

Transfer danych:

  • Czy wiesz, gdzie fizycznie przetwarzane są dane (lokalne AI vs chmura)?
  • Jeśli chmura: czy masz DPA z dostawcą API?
  • Czy dostawca API nie używa danych do treningu modelu?

Prawa użytkownika:

  • Czy klient może zażądać usunięcia historii rozmów?
  • Czy klient może zażądać eksportu danych?
  • Czy klient może eskalować do człowieka w każdym momencie?

Minimalizacja i retencja:

  • Czy chatbot zbiera tylko niezbędne dane?
  • Czy masz politykę retencji (automatyczne usuwanie starych rozmów)?
  • Czy anonimizujesz dane przed wysłaniem do zewnętrznego API?

Jeśli odpowiedziałeś "nie" na którykolwiek punkt, masz lukę w zgodności. Nie uruchamiaj chatbota, dopóki jej nie zamkniesz.

RODO nie jest wrogiem AI. To ramy, w których AI może działać bezpiecznie dla Twoich klientów i dla Twojej firmy. Dobrze wdrożony chatbot jest zgodny z RODO od pierwszego dnia. Źle wdrożony jest tykającą bombą prawną.

Potrzebujesz pomocy z wdrożeniem chatbota zgodnego z RODO? Specjalizujemy się w tym. Lokalne AI, szyfrowanie, DPA, pełna dokumentacja. Napisz, omówimy Twoją sytuację.

JP

Jakub Prejzner

AI Engineer, founder BitSharp. Opublikowany paper na arXiv. Buduje chatboty i systemy automatyzacji dla polskich firm.

LinkedIn →

Chcesz wdrożyć AI? Porozmawiajmy.

Prototyp w 24h. Wdrożenie w 2-4 tygodnie. Bez ukrytych kosztów.

Umów rozmowę →

Czytaj również

ARTYKUŁ
Jak mierzyć ROI z AIARTYKUŁ
Chatbot AI vs bot skryptowyARTYKUŁ
AI dla agencji marketingowejARTYKUŁ
Jak przygotować firmę do AIARTYKUŁ
Ile kosztuje wdrożenie AI w firmie?ARTYKUŁ
Chatbot vs live chat dla firmyARTYKUŁ
Jak AI zastępuje recepcjonistkęARTYKUŁ
Automatyzacja HR z AIARTYKUŁ
AI w e-commerce: 7 zastosowańARTYKUŁ
Ile kosztuje chatbot AI w 2026?ARTYKUŁ
5 procesów do automatyzacjiARTYKUŁ
Chatbot vs. pracownikARTYKUŁ
Jak AI automatyzuje email marketingARTYKUŁ
AI w CRM dla małej firmyARTYKUŁ
Chatbot AI dla e-commerceARTYKUŁ
Jak wdrożyć AI w firmieARTYKUŁ
Ile zaoszczędzisz z AIARTYKUŁ
Automatyzacja dokumentów z AIARTYKUŁ
Chatbot AI dla salonu beautyARTYKUŁ
AI w kancelarii prawnejARTYKUŁ
Lokalne AI i RODOARTYKUŁ
Skalowanie obsługi klienta z AI