AI w urzędzie a RODO: co wolno, jakich danych unikać i jak bezpiecznie zacząć
Urzędnicy coraz częściej sięgają po AI, ale boją się RODO. Wyjaśniamy, co wolno, jakich danych unikać i jak bezpiecznie zacząć.
Coraz więcej urzędników sięga po narzędzia sztucznej inteligencji, żeby szybciej redagować pisma, streszczać długie dokumenty czy przygotowywać odpowiedzi na powtarzające się pytania interesantów. I niemal natychmiast pojawia się pytanie: czy mogę to robić legalnie? Co z RODO? Czy wklejenie wniosku do popularnego asystenta AI to naruszenie danych osobowych?
Te obawy są całkowicie uzasadnione i dobrze, że pojawiają się przed wdrożeniem, a nie po. Ale często prowadzą do generalnego zakazu, który blokuje urzędy przed korzystaniem z narzędzi, które mogłyby realnie odciążyć pracowników. W tym artykule wyjaśniamy, gdzie leży granica, czego unikać i od czego można zacząć już dziś bez żadnych dodatkowych formalności.
Dlaczego ostrożność ma sens, ale paraliż nie
AI przetwarza tekst, który jej podajemy. Jeśli wklejamy dane osobowe interesantów, ich imiona, numery PESEL, adresy, historię postępowań, to te dane trafiają na serwery zewnętrznego dostawcy. W przypadku publicznych i bezpłatnych wersji popularnych narzędzi mogą być one następnie wykorzystywane do dalszego trenowania modeli. To realny problem i należy go traktować poważnie.
Jednocześnie nie możemy w imię ostrożności zrezygnować z AI na zawsze. Inne instytucje publiczne już z niej korzystają. Narastająca przepaść w efektywności to też ryzyko, tyle że trudniejsze do zmierzenia. Klucz leży w świadomym i ustrukturyzowanym podejściu, a nie w generalnym "nie wolno".
Co mówi RODO o używaniu AI w administracji publicznej
RODO, czyli Rozporządzenie Ogólne o Ochronie Danych Osobowych, nie zakazuje korzystania z narzędzi AI. Nakłada natomiast konkretne obowiązki na urząd jako administratora danych osobowych. Przed wdrożeniem jakiegokolwiek narzędzia warto znać cztery kluczowe zasady:
- Podstawa prawna przetwarzania: każda operacja na danych osobowych musi mieć podstawę prawną. Przekazanie danych do zewnętrznego systemu AI trzeba uzasadnić i odnotować w wewnętrznej dokumentacji.
- Umowa powierzenia przetwarzania: jeśli zewnętrzne narzędzie ma dostęp do danych osobowych, urząd powinien mieć podpisaną z dostawcą umowę powierzenia przetwarzania, wymaganą przez art. 28 RODO. Bez niej przekazywanie danych osobowych do narzędzia jest naruszeniem prawa.
- Ocena skutków dla ochrony danych (DPIA): przy wdrażaniu systemów AI przetwarzających dane osobowe na dużą skalę może być wymagana DPIA, czyli formalna analiza ryzyka. Warto zapytać IOD (Inspektora Ochrony Danych), czy jest konieczna w danym przypadku.
- Zasada minimalizacji danych: przetwarzamy tylko te dane, które są niezbędne do realizacji konkretnego celu. Nie podajemy AI więcej informacji, niż potrzebuje do wykonania zadania.
Praktyczny wniosek: bezpłatne wersje najpopularniejszych asystentów AI zazwyczaj nie oferują umowy powierzenia przetwarzania. Oznacza to, że wklejanie do nich danych osobowych jest w większości przypadków niezgodne z RODO.
Jakich danych nie wolno wklejać do publicznych narzędzi AI
Granica jest prosta: jeśli tekst zawiera informacje, które można powiązać z konkretną osobą fizyczną, nie wklejamy go do narzędzi bez odpowiedniej umowy. Do takich informacji w kontekście pracy urzędnika należą:
- imiona i nazwiska interesantów oraz pracowników
- numery PESEL, NIP, serie i numery dokumentów tożsamości
- adresy zamieszkania, zameldowania, adresy korespondencyjne
- informacje o toczących się postępowaniach administracyjnych, decyzjach, karach i odwołaniach
- dane dotyczące stanu zdrowia, sytuacji rodzinnej, statusu majątkowego lub dochodowego
- wszelkie inne dane umożliwiające identyfikację osoby fizycznej
Pomocna zasada to anonimizacja przed wklejeniem: zamiast kopiować gotowy wniosek interesanta, opisujemy sytuację własnymi słowami, bez żadnych danych identyfikujących. Zdanie "interesant złożył wniosek o wymeldowanie z lokalu, powołując się na wyrok sądu" jest bezpieczne. Wklejenie skanu tego wniosku z danymi, już nie.
Które narzędzia AI są bezpieczniejsze dla urzędu
Nie wszystkie narzędzia AI są równe pod kątem bezpieczeństwa danych. Kluczowe jest rozróżnienie między trzema kategoriami:
- Publiczne bezpłatne wersje: popularne asystenty AI dostępne za darmo przez przeglądarkę. Dane wpisywane przez użytkownika mogą być wykorzystywane do trenowania modeli. Nadają się wyłącznie do zadań, w których nie pojawiają się żadne dane osobowe.
- Wersje enterprise i biznesowe: płatne wersje tych samych narzędzi, w których dostawca zobowiązuje się nie używać danych klienta do trenowania modeli i oferuje umowę powierzenia przetwarzania. To droga bezpieczna prawnie, ale wymaga budżetu i procesu zakupowego.
- Narzędzia działające lokalnie lub w dedykowanej chmurze: modele AI wdrożone na własnej infrastrukturze urzędu lub w środowisku chmurowym przeznaczonym dla sektora publicznego. Dane nie opuszczają środowiska instytucji. To najwyższy poziom bezpieczeństwa, ale też największy nakład wdrożeniowy.
Przy wyborze narzędzia warto zadać dostawcy trzy konkretne pytania: jak długo i w jakim celu przechowuje dane użytkowników, czy oferuje umowę powierzenia przetwarzania (DPA, Data Processing Agreement), a także jakie posiada certyfikaty bezpieczeństwa, takie jak ISO 27001 lub SOC 2.
Dobre praktyki przy codziennym korzystaniu z AI w urzędzie
Bezpieczna praca z AI to przede wszystkim nawyki stosowane konsekwentnie przez cały zespół. Warto wypracować wewnętrzne reguły, które nie wymagają wiedzy technicznej, a realnie chronią instytucję:
- Anonimizuj przed wklejeniem: usuń lub zastąp neutralnymi oznaczeniami wszystkie dane pozwalające zidentyfikować konkretną osobę.
- Weryfikuj każdy wynik: AI może się mylić, szczególnie w kwestiach prawnych, proceduralnych i dotyczących aktualnych przepisów. Każdy wygenerowany tekst przechodzi przez krytyczne oko pracownika przed wysłaniem lub podpisaniem.
- Używaj AI do szkiców, nie do decyzji: AI pomaga przygotować projekt pisma lub notatkę, ale decyzja administracyjna zawsze wymaga podpisu i pełnej odpowiedzialności konkretnego urzędnika.
- Dokumentuj użycie w procesach wrażliwych: jeśli AI uczestniczy w czynnościach dotyczących danych osobowych, warto odnotować to w rejestrze czynności przetwarzania, który i tak powinien być prowadzony w każdym urzędzie.
- Konsultuj z IOD na bieżąco: Inspektor Ochrony Danych to pierwsza osoba, którą należy włączyć w planowanie wdrożenia. Jego rola polega właśnie na tym, żeby pomagać wyznaczać bezpieczne granice, a nie blokować.
Od czego zacząć, żeby bezpiecznie wprowadzić AI do urzędu
Pierwsze kroki nie muszą być ani kosztowne, ani ryzykowne. Oto kolejność działań, którą polecamy naszym klientom:
- Zidentyfikuj zadania bez danych osobowych: redagowanie ogłoszeń i komunikatów, pisanie wewnętrznych notatek, streszczanie publicznie dostępnych przepisów, tłumaczenie tekstów, tworzenie szablonów pism ogólnych. To obszary, gdzie AI nie stwarza ryzyka prawnego i można działać od razu.
- Porozmawiaj z IOD, zanim zaczniesz: opisz planowane zastosowania i zapytaj, które z nich wymagają dodatkowych formalności. Wielu IOD w polskich instytucjach jest gotowych do konstruktywnej rozmowy o AI, gdy dostają konkretne pytania.
- Przetestuj wersję enterprise: większość dostawców oferuje bezpłatne okresy próbne płatnych planów, które zapewniają umowę powierzenia. To dobry moment, żeby ocenić przydatność narzędzia przed decyzją zakupową.
- Przeprowadź krótkie szkolenie dla pracowników: wystarczy godzinne spotkanie, żeby omówić zasady "co wolno, a czego nie". Jasne reguły dla całego zespołu są ważniejsze niż najlepsze narzędzie.
- Zbierz feedback po pierwszym miesiącu: zapytaj pracowników, które zadania AI pomogło wykonać szybciej i lepiej. Te obserwacje pokażą, gdzie warto inwestować kolejny krok.
Podsumowanie
AI w urzędzie nie musi oznaczać ryzyka naruszenia RODO. Oznacza konieczność świadomego podejścia: rozumienia zasad przetwarzania danych, doboru właściwych narzędzi i budowania dobrych nawyków w całym zespole. Większość obaw wynika nie z technologii, ale z braku jasnych zasad wewnętrznych i rozmowy z IOD, która nigdy nie miała miejsca.
Jeśli chcecie sprawdzić, czy wasze obecne praktyki są zgodne z przepisami, albo nie wiecie, od czego zacząć wdrożenie AI w urzędzie, zamówcie bezpłatny audyt. Przejrzymy wasze procesy i wskażemy, gdzie AI może pomóc bez narażania instytucji na ryzyko. Możecie też zobaczyć, jak inne polskie instytucje publiczne już bezpiecznie korzystają ze sztucznej inteligencji, zaglądając do naszych realnych wdrożeń.
Chcesz sprawdzić, jak AI rozwiąże to u Ciebie?
Bezpłatny audyt potrzeb i pokaz działającego wdrożenia. Bez zobowiązań.
Umów bezpłatny audyt