Mapa tygodnia/Moduł 11
prawo
bezpieczeństwo
45 min · średni

Prawne aspekty pracy z AI

Dane, treści, własność, polityka zespołu — minimum, które musisz znać.

Tryb: pełny

Executive summary

  • Trzy reżimy regulacyjne w UE, które dotykają każdego użytkownika AI: RODO (dane osobowe), AI Act (klasyfikacja systemów AI wg ryzyka), prawo autorskie (treści wejściowe i generowane).
  • RODO + AI: model chmurowy = przetwarzanie danych przez podmiot trzeci. Bez DPA i podstawy prawnej = naruszenie. Dotyczy też anonimizacji, jeśli jest pozorna.
  • AI Act (wchodzi etapami 2024–2026): zakazane praktyki (social scoring, manipulacja podprogowa), systemy wysokiego ryzyka (HR, edukacja, kredyt), obowiązki transparentności (oznaczanie treści AI).
  • Treści generowane przez AI w UE/PL: w większości przypadków NIE są chronione prawem autorskim (brak twórcy-człowieka). Treść wejściowa ZAWSZE musi mieć podstawę (licencja, public domain, własna).
  • Najważniejsze dla zespołu: spisana polityka, DPA z vendorami, klasyfikacja danych, zgody pracowników na nagrania (Meet "take notes"), oznaczanie treści AI publikowanych zewnętrznie.
  • To NIE jest porada prawna — to mapa, gdzie szukać i co spytać prawnika. Konkretne wdrożenia konsultuj z prawnikiem twojej firmy.

Czym to jest

Prawo wokół AI w 2026 to nakładające się warstwy: ogólne przepisy (RODO, prawo autorskie, kodeks pracy, tajemnica zawodowa), specyficzne dla AI (AI Act w UE), umowne (DPA z vendorami, NDA z klientami), branżowe (KNF, OIRP, kodeks etyki lekarskiej). Większość pytań, które zadają zespoły, sprowadza się do kilku obszarów: (1) czy wolno wkleić te dane do tego narzędzia, (2) czyje są treści wygenerowane przez AI, (3) jak oznaczać AI-generated, (4) co z nagraniami spotkań, (5) jakie ryzyko biorę używając AI w decyzjach o ludziach (HR, kredyt, edukacja). Ten moduł daje praktyczną mapę: co naprawdę jest ryzykowne, co jest mitem, gdzie potrzebujesz prawnika, a gdzie wystarczy zdrowy rozsądek + spisana polityka. Założenie: nie zostaniesz prawnikiem po przeczytaniu, ale wyjdziesz z konkretną listą rzeczy do zrobienia w ciągu tygodnia.

Kluczowe pojęcia

RODO (GDPR)
Rozporządzenie UE 2016/679 o ochronie danych osobowych. Każda firma w UE / przetwarzająca dane mieszkańców UE.
Podstawa prawna przetwarzania
Art. 6 RODO: zgoda, umowa, obowiązek prawny, żywotny interes, zadanie publiczne, prawnie uzasadniony interes. Bez podstawy = nielegalne przetwarzanie.
DPA (Data Processing Agreement)
Umowa powierzenia przetwarzania (art. 28 RODO). Obowiązkowa z każdym podmiotem przetwarzającym twoje dane — w tym vendorem AI.
Anonimizacja vs pseudonimizacja
Anonimizacja (nieodwracalna) — wychodzisz z RODO. Pseudonimizacja (odwracalna z kluczem) — nadal RODO. Większość "anonimizacji" jest tak naprawdę pseudonimizacją.
AI Act (UE 2024/1689)
Pierwsze kompleksowe prawo AI na świecie. Klasyfikuje systemy: zakazane / wysokiego ryzyka / ograniczonego ryzyka / minimalnego. Etapowe wejście 2024–2027.
Systemy zakazane (AI Act)
M.in. social scoring, manipulacja podprogowa, biometria w czasie rzeczywistym w przestrzeni publicznej (z wyjątkami). Od lutego 2025.
Systemy wysokiego ryzyka (AI Act)
M.in. HR (rekrutacja, oceny), edukacja, kredyt, ubezpieczenia, infrastruktura krytyczna. Surowe wymogi: dokumentacja, jakość danych, nadzór człowieka, audyt.
Obowiązek transparentności
Treści wygenerowane / istotnie zmienione przez AI muszą być oznaczone jako AI-generated, gdy mogą wprowadzić w błąd. Deepfake — zawsze.
Prawo autorskie a AI (PL/UE)
Twórcą jest człowiek. Czysto AI-generated — w większości przypadków brak ochrony. Z istotnym wkładem twórczym człowieka — chroniony jest wkład człowieka.
Trening na danych chronionych
Pomiędzy fair use (USA, ograniczone) a TDM exception (UE, art. 4 dyrektywy 2019/790, opt-out możliwy). Spór otwarty, sprawy sądowe w toku.
Tajemnica przedsiębiorstwa / zawodowa
Wklejenie do AI bez DPA = potencjalne naruszenie. Prawnicy, lekarze, doradcy podatkowi mają dodatkowe rygory.
Zgoda na nagrywanie
Polskie prawo: nagrywanie spotkania bez wiedzy pozostałych = ryzyko karne (zależnie od kontekstu). "Take notes for me" w Meet wymaga komunikacji ze wszystkimi uczestnikami.

Pryncypia

  1. 01Każde wklejenie danych do AI to przetwarzanie. Pytaj: jaka podstawa prawna + czy jest DPA z vendorem.
  2. 02"Anonimizacja" zwykle nie jest anonimizacją w sensie RODO. Sprawdź, czy z kombinacji pól da się zidentyfikować osobę.
  3. 03AI Act dotyczy też ciebie — nawet jeśli tylko używasz, nie tworzysz. Najmocniej w HR, edukacji, kredycie, opiece zdrowotnej.
  4. 04Treści wygenerowane przez AI publikowane zewnętrznie — oznaczaj. Standard branżowy i obowiązek (czasem prawny, zawsze etyczny).
  5. 05Nie używaj AI do decyzji o ludziach (HR, kredyt, kara) bez nadzoru człowieka. To wymóg AI Act i RODO art. 22.
  6. 06Nagrywanie spotkań przez AI: zawsze poinformuj wszystkich uczestników, najlepiej w zaproszeniu i na początku spotkania.
  7. 07Konsultuj z prawnikiem: politykę AI, wzór klauzuli o AI w umowach z klientami, procedury w obszarach wysokiego ryzyka.
  8. 08Dokumentuj: jakiego AI używasz, do czego, na jakich danych, na jakiej podstawie. To podstawa obrony przed regulatorem.

Przykłady zastosowań

HR: AI w rekrutacji = system wysokiego ryzyka

Automatyczne odsiewanie CV przez AI bez nadzoru człowieka — naruszenie AI Act + RODO art. 22 (decyzja zautomatyzowana). Wymóg: człowiek w decyzji + informacja kandydata + prawo odwołania.

Kancelaria wkleja umowę klienta do ChatGPT prywatnego

Naruszenie tajemnicy zawodowej (OIRP), brak podstawy w RODO, brak DPA. W skrajnym wypadku: dyscyplinarka + odpowiedzialność cywilna.

Marketing publikuje obraz wygenerowany w Midjourney bez oznaczenia

W większości przypadków etycznie i prawnie ryzykowne (zwłaszcza wizerunki ludzi). AI Act wymaga oznaczania, gdy może wprowadzić w błąd.

Auto-notatki Meet bez zgody klienta zewnętrznego

Polskie prawo: ryzyko karne (art. 267 kk w niektórych konfiguracjach), naruszenie zaufania, zerwanie umowy. Zawsze: zapytaj na początku, odnotuj zgodę.

Kod skopiowany z Copilota do produktu komercyjnego

Część kodu wygenerowanego przez Copilota może pochodzić z licencji copyleft (GPL). Ryzyko: konieczność otwarcia własnego kodu. Standard: skanuj output narzędziem (FOSSA, Snyk) + miej politykę.

Case study

Firma rekrutacyjna 40 osób wdraża AI w przesiewie CV — i zostaje zatrzymana przez prawnika

Agencja rekrutacyjna chce użyć GPT-4 do automatycznej oceny i rankingu 500 CV dziennie. Założenie: AI ocenia, rekruter widzi tylko top 30. Plan wdrożenia: 4 tygodnie, "to tylko narzędzie usprawniające".

Podejście

  1. 1.Prawnik firmy zatrzymuje wdrożenie i robi audyt: AI Act (od 2026 rekrutacja = wysokie ryzyko), RODO art. 22 (zakaz decyzji wyłącznie zautomatyzowanych z istotnym skutkiem dla osoby), DPA z OpenAI.
  2. 2.Konsultacja z UODO i specjalistami AI Act — wniosek: bez przeprojektowania to wdrożenie ma 3 niezależne wady prawne.
  3. 3.Przeprojektowanie: AI nie ocenia, AI EKSTRAHUJE strukturalnie dane z CV (umiejętności, doświadczenie, edukacja) do tabeli. Rekruter (człowiek) ocenia i decyduje. Każdy kandydat dostaje informację, że dane były przetwarzane przez AI + ma prawo do oceny przez człowieka (i tak ma).
  4. 4.DPA z OpenAI (ChatGPT Team / Enterprise) + zapis w umowach z klientami-firmami, że stosujemy AI do ekstrakcji + wymaga się zgody kandydata w ogłoszeniu.
  5. 5.Polityka wewnętrzna: lista zakazanych ocen (potencjał, dopasowanie kulturowe, "feeling") robionych przez AI. Lista dozwolonych ekstrakcji (skille, lata doświadczenia, języki).
  6. 6.Trening rekruterów (4h): czytanie outputu AI krytycznie, częste błędy ekstrakcji (np. "Java" pomylony z "JavaScript"), procedura odwołania kandydata.
  7. 7.Audyt co kwartał: próbka 50 CV — czy AI ekstrahuje poprawnie, czy decyzje rekrutera są spójne, czy są skargi kandydatów.
Efekt: Wdrożenie opóźnione o 2 miesiące, ale przeszło bez incydentu prawnego. Czas obróbki CV spadł o 60% (mniej niż w pierwotnym planie, ale realnie). Klienci-firmy docenili "AI compliant" jako wyróżnik. Rok później konkurencja dostała 200k euro kary za podobne wdrożenie bez nadzoru człowieka — zlecenia przeszły do tej agencji.

Najczęstsze błędy — checklista

0/8 oznaczone

Prompty gotowe do użycia

Mapa ryzyka prawnego mojego use case AI

Kiedy: Wdrażasz AI w nowym obszarze i chcesz wiedzieć, gdzie szukać prawnika.

Działasz jako konsultant ds. compliance AI (UE/PL). Mój use case:

[opis: co AI robi, na jakich danych, kto użytkownik, kto podmiot, gdzie publikujemy output]

Przygotuj mapę ryzyka:
1) RODO: jaka podstawa prawna, czy są dane szczególne (art. 9), czy potrzebna ocena skutków DPIA, czy są decyzje zautomatyzowane (art. 22).
2) AI Act: do której kategorii ryzyka kwalifikuje się ten system, jakie obowiązki, kiedy wchodzi.
3) Prawo autorskie: czyja jest treść wejściowa, czyja wygenerowana, jak oznaczać.
4) Branżowe (jeśli dotyczy): KNF / OIRP / kodeks etyki lekarskiej / inne.
5) Tajemnice (zawodowa, przedsiębiorstwa, służbowa): co dotyczy.
6) 5 najważniejszych pytań do prawnika firmy — w kolejności priorytetu.
7) 3 rzeczy, które mogę zrobić od razu, bez czekania na prawnika (np. DPA, oznaczenie, anonimizacja).

DISCLAIMER: To nie jest porada prawna. Konkretne decyzje konsultuj z prawnikiem firmy.

Częsty błąd: Pominięcie kroku "branżowe" — kancelarie, kliniki, banki mają dodatkowe rygory ponad RODO i AI Act.

Klauzula AI w umowie z klientem

Kiedy: Robisz dla klienta usługę z użyciem AI i chcesz to czysto opisać.

Działasz jako prawnik kontraktowy. Napisz klauzulę "Użycie AI" do mojej umowy z klientem (B2B):

Kontekst: [co robię dla klienta, jakie AI używam, czyje dane, do czego, gdzie są przetwarzane, jaki vendor].

Klauzula powinna obejmować:
1) Definicję AI w kontekście umowy.
2) Listę narzędzi AI, które stosuję (z linkiem do DPA każdego).
3) Kategorie danych klienta przetwarzane przez AI.
4) Cel przetwarzania + zakaz innych celów.
5) Lokalizację przetwarzania (UE / poza UE + podstawa transferu).
6) Prawo klienta do audytu / do wycofania zgody.
7) Kto odpowiada za output AI (model: ja jako wykonawca, z wyłączeniami).
8) Postępowanie przy incydencie (czas powiadomienia, zakres).
9) Klauzula o zmianach (gdy zmieniam vendora / model).

Język: polski, prawniczy ale czytelny, pasujący do kontraktu B2B.

DISCLAIMER: Wzór do dalszej obróbki przez prawnika firmy.
Polityka oznaczania treści AI-generated

Kiedy: Twoja firma publikuje treści (marketing, content, social) i chce mieć spójną politykę oznaczania.

Zaprojektuj politykę oznaczania treści AI w firmie [nazwa, branża, kanały publikacji].

Output:
1) Definicja "treści AI-generated" i "treści AI-augmented" (różnica i przykłady).
2) Macierz: kanał (blog / social / mail / strona / reklama / video) × typ treści × wymagane oznaczenie (forma, miejsce, język).
3) Konkretne formuły oznaczeń (3 warianty: pełne, skrócone, na grafice).
4) Wyjątki: kiedy oznaczanie nie jest wymagane (np. tłumaczenie maszynowe wewnątrz firmy).
5) Procedura: kto sprawdza przed publikacją, jak weryfikujemy.
6) Zgodność z AI Act art. 50 (transparentność) — wskaż które elementy odpowiadają wymogom.
7) FAQ wewnętrzne: 10 pytań, które na pewno padną od zespołu (np. "a jeśli AI tylko poprawiło gramatykę?").
Procedura zgody na AI-notatki ze spotkań

Kiedy: Zespół używa "Take notes for me" w Meet / Zoom AI Companion / Otter.

Napisz procedurę zgody na AI-notatki ze spotkań dla mojej firmy [opis: branża, typ spotkań — wewnętrzne, z klientami, rekrutacyjne].

Output:
1) Komunikat w zaproszeniu kalendarzowym (3 warianty językowe: pełny, krótki, EN).
2) Skrypt na początku spotkania (60 sek, naturalny, nie prawniczy).
3) Co robić, gdy ktoś nie wyraża zgody (procedura: wyłączamy AI / przekładamy / ręczne notatki).
4) Co robić z transkrypcją po spotkaniu (gdzie zapisana, kto ma dostęp, kiedy kasujemy).
5) Specjalne przypadki: spotkania z osobami szczególnie chronionymi (kandydaci, pacjenci, dzieci, osoby w sytuacji konfliktu pracowniczego).
6) Karta dla pracowników na 1 stronę: "kiedy AI-notatki, kiedy nie".

Uwzględnij: art. 6 RODO + art. 267 kk (PL) + dobre praktyki UODO.

LAB — ćwiczenie

LAB · 18 min · średni

8 sytuacji prawnych. Zdecyduj: dozwolone, dozwolone z warunkiem, zakazane (wymaga przeprojektowania). Po wyborze zobaczysz uzasadnienie i co dokładnie zrobić.

  1. 1Bank automatycznie odrzuca wnioski kredytowe na podstawie scoringu AI, klient dostaje mail "wniosek odrzucony", bez dalszej rozmowy z człowiekiem.

  2. 2Agencja marketingowa publikuje na Instagramie obraz wygenerowany w Midjourney przedstawiający fikcyjną osobę, bez oznaczenia "AI generated".

  3. 3Firma używa ChatGPT Team (z DPA) do streszczania wewnętrznych maili pracowników o problemach w zespole. Pracownicy nie wiedzą o tym.

  4. 4Lekarz używa Bielika lokalnie do streszczeń notatek z wizyt pacjentów, dane nie wychodzą z urządzenia.

  5. 5Startup nagrywa rozmowy sprzedażowe z klientami przez Otter AI, by trenować nowych sprzedawców. Klient nie został poinformowany.

  6. 6Programista używa GitHub Copilot w produkcie komercyjnym (zamknięty kod, sprzedawany klientom). Brak audytu licencji wygenerowanego kodu.

  7. 7Szkoła używa AI do automatycznej oceny prac uczniów i wystawiania ocen końcowych.

  8. 8Bloger oznacza artykuł jako "AI-augmented: pomysł i konspekt mój, draft napisany przez Claude, redakcja moja". Tekst dotyczy poradnika ogrodniczego.

Pytania kontrolne

Powiązane moduły

Bezpieczeństwo Asystenci AI

Skończyłeś moduł? Oznacz go i ruszaj dalej.