Synergia Analytic Logo
AI Act a ochrona danych osobowych – nowe obowiązki, relacja z RODO i stanowisko ekspertów UODO
Wszystkie artykuły
Prawo

AI Act a ochrona danych osobowych – nowe obowiązki, relacja z RODO i stanowisko ekspertów UODO

AI Act po raz pierwszy kompleksowo reguluje stosowanie systemów sztucznej inteligencji w Unii Europejskiej. Wyjaśniamy, jak nowe przepisy wpływają na ochronę danych osobowych, jakie obowiązki nakładają na administratorów oraz jakie stanowisko prezentują eksperci przy Prezesie UODO.

Synergia Analytic19 grudnia 20253 min czytania270 wyświetleń
#AI Act#sztuczna inteligencja#ochrona danych osobowych#RODO#UODO#systemy wysokiego ryzyka#dane biometryczne#profilowanie#regulacje UE

Rozwój sztucznej inteligencji w ostatnich latach wyprzedził tempo regulacji prawnych. Odpowiedzią Unii Europejskiej na te wyzwania jest Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689, znane jako AI Act. Akt ten po raz pierwszy w sposób kompleksowy reguluje projektowanie, wdrażanie i wykorzystywanie systemów sztucznej inteligencji, w tym w kontekście przetwarzania danych osobowych.

AI Act nie zastępuje RODO, lecz je uzupełnia, tworząc wyspecjalizowany reżim prawny dla technologii AI. Szczególne znaczenie ma to dla systemów, które przetwarzają dane osobowe, w tym dane wrażliwe, biometryczne czy dane wykorzystywane do profilowania.

AI Act a dane osobowe – zasada komplementarności z RODO

AI Act wprost wskazuje, że jego stosowanie pozostaje bez uszczerbku dla przepisów o ochronie danych osobowych, w szczególności RODO. Oznacza to, że:

  • każdy system AI przetwarzający dane osobowe musi mieć podstawę prawną zgodnie z RODO,
  • prawa osób, których dane dotyczą (prawo dostępu, sprzeciwu, ograniczenia, informacji), pozostają w pełni aktualne,
  • obowiązki administratorów i podmiotów przetwarzających są rozszerzone o wymogi techniczne i organizacyjne wynikające z AI Act.

Szczególnie istotne są regulacje dotyczące systemów wysokiego ryzyka, do których zaliczono m.in. systemy wykorzystywane w ochronie zdrowia, rekrutacji, edukacji, administracji publicznej czy wymiarze sprawiedliwości.

Kto i jakie zasady musi spełnić?

AI Act wprowadza wyraźny podział ról i odpowiedzialności:

  • dostawcy systemów AI – odpowiadają za zgodność systemu z wymogami prawa, jakość danych, dokumentację techniczną, ocenę ryzyka i mechanizmy nadzoru człowieka,
  • podmioty stosujące AI (np. pracodawcy, urzędy, szpitale) – odpowiadają za legalne i zgodne z celem wykorzystanie systemu oraz respektowanie praw osób fizycznych,
  • organy publiczne – podlegają szczególnemu reżimowi kontroli, zwłaszcza przy użyciu AI do oceny ryzyka, podejmowania decyzji administracyjnych czy identyfikacji biometrycznej.

W kontekście danych osobowych kluczowe znaczenie mają zasady: minimalizacji danych, przejrzystości algorytmów, rozliczalności oraz ludzkiego nadzoru nad decyzjami AI.

Zakazane i szczególnie kontrolowane praktyki

AI Act wprowadza katalog praktyk niedopuszczalnych, które mają bezpośredni związek z ochroną danych osobowych i prywatności, w tym:

  • systemy scoringu społecznego,
  • biometryczną kategoryzację osób według cech wrażliwych (np. poglądy, orientacja, zdrowie),
  • zdalną identyfikację biometryczną w czasie rzeczywistym w przestrzeni publicznej – poza ściśle określonymi wyjątkami.

Zakazy te stanowią istotne wzmocnienie ochrony prywatności i praw podstawowych w erze automatyzacji decyzji.

Głos ekspertów: Społeczny Zespół Ekspertów przy Prezesie UODO

Znaczenie AI Act i jego wpływ na ochronę danych osobowych były jednym z głównych tematów spotkania Społecznego Zespołu Ekspertów przy Prezesie UODO oraz działającej w jego ramach Grupy Roboczej ds. sztucznej inteligencji, które odbyło się 16 grudnia 2025 r. w siedzibie UODO oraz w formule zdalnej.

Podczas spotkania omówiono bieżące wyzwania związane z wdrażaniem AI Act, potrzeby organizacji w zakresie bezpiecznego stosowania AI oraz kierunki dalszych działań edukacyjnych i eksperckich. Dyskusja dotyczyła m.in. tworzenia praktycznych narzędzi wsparcia, pakietów startowych AI, programów szkoleniowych oraz budowy sieci praktyków „AI przy UODO”.

Jak podkreślił dr Mirosław Gumularz, przewodniczący Społecznego Zespołu Ekspertów, spotkanie w tak licznym gronie stworzyło przestrzeń do realnej wymiany doświadczeń i planowania dalszej współpracy, w tym w kontekście Kongresu Ochrony Danych i Nowoczesnych Technologii organizowanego z okazji Europejskiego Dnia Ochrony Danych Osobowych.

Wnioski

AI Act otwiera nowy etap regulacji sztucznej inteligencji w Unii Europejskiej. W połączeniu z RODO tworzy spójny, choć wymagający, system ochrony praw osób fizycznych w środowisku algorytmicznym. Dla administratorów danych oznacza to konieczność nie tylko oceny legalności przetwarzania, ale również analizy ryzyk technologicznych, organizacyjnych i etycznych.

Działalność Społecznego Zespołu Ekspertów przy Prezesie UODO pokazuje, że wdrażanie AI Act nie jest wyłącznie procesem legislacyjnym, lecz również praktycznym i dialogicznym – opartym na współpracy regulatora, ekspertów i organizacji stosujących nowe technologie.

Udostępnij:
Sprawdź swój przypadek

Zobacz również

NIS 2 i nowy Krajowy System Cyberbezpieczeństwa – rewolucja w obowiązkach podmiotów kluczowych i ważnych
Prawo

NIS 2 i nowy Krajowy System Cyberbezpieczeństwa – rewolucja w obowiązkach podmiotów kluczowych i ważnych

Dyrektywa NIS 2 oraz projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) radykalnie rozszerzają zakres obowiązków i odpowiedzialności w cyberbezpieczeństwie. Zmiany obejmą tysiące podmiotów w Polsce, w tym odpowiedzialność zarządów, obowiązkowe zarządzanie ryzykiem, łańcuch dostaw, raportowanie incydentów oraz realne kontrole i audyty.

3 minCzytaj
Europejska przestrzeń danych dotyczących zdrowia (EHDS) – nowe ramy prawne przetwarzania danych zdrowotnych w Unii Europejskiej
Prawo

Europejska przestrzeń danych dotyczących zdrowia (EHDS) – nowe ramy prawne przetwarzania danych zdrowotnych w Unii Europejskiej

Rozporządzenie (UE) 2025/327 ustanawiające EHDS tworzy jednolite ramy prawne i techniczne dla pierwotnego oraz wtórnego wykorzystywania elektronicznych danych dotyczących zdrowia, wzmacniając prawa osób fizycznych oraz wymagania bezpieczeństwa i interoperacyjności w całej UE.

4 minCzytaj
Naruszenia danych i wycieki informacji w administracji publicznej – dlaczego jeden błąd kosztuje miliony
Prawo

Naruszenia danych i wycieki informacji w administracji publicznej – dlaczego jeden błąd kosztuje miliony

Wycieki danych z urzędów należą do najbardziej dotkliwych incydentów cyberbezpieczeństwa. Raport ENISA pokazuje, że choć naruszenia danych występują rzadziej niż inne ataki, to ich skutki są najpoważniejsze – prawnie, finansowo i społecznie. Wyjaśniamy, jak dochodzi do wycieków danych w administracji publicznej i dlaczego stanowią one szczególne zagrożenie.

2 minCzytaj

Popularne artykuły

1
Kiedy incydent jest naruszeniem danych osobowych? Przykłady i co zrobić krok po kroku

Kiedy incydent jest naruszeniem danych osobowych? Przykłady i co zrobić krok po kroku

Poradniki863 min
2
Boty i wycieki danych – jak wykryć naruszenie, zanim będzie za późno

Boty i wycieki danych – jak wykryć naruszenie, zanim będzie za późno

Poradniki843 min
3
Sztuczna inteligencja, phishing i deepfake – nowe techniki ataków na administrację publiczną

Sztuczna inteligencja, phishing i deepfake – nowe techniki ataków na administrację publiczną

Poradniki582 min
4
Państwowe grupy APT i cyberespionage – ciche zagrożenie dla administracji publicznej

Państwowe grupy APT i cyberespionage – ciche zagrożenie dla administracji publicznej

Aktualności482 min
5
Krajobraz zagrożeń cybernetycznych w UE – wnioski z raportu ENISA Threat Landscape 2025

Krajobraz zagrożeń cybernetycznych w UE – wnioski z raportu ENISA Threat Landscape 2025

Aktualności483 min

Potrzebujesz pomocy ze swoją sprawą?

Nasz kreator pomoże Ci ocenić czy Twoja sytuacja kwalifikuje się do złożenia skargi do UODO.

Rozpocznij weryfikacjęUmów konsultację