GDPR w 2026 – aktualizacje i kary za naruszenia prywatności AI

Myślałeś, że RODO (ang. GDPR) to stara śpiewka? W 2026 roku unijne rozporządzenie o ochronie danych przeżywa drugą młodość. Powód? Sztuczna inteligencja.

Tradycyjne RODO pisało się z myślą o bazach danych Excela. W erze AI to za mało. Dlatego Europejska Rada Ochrony Danych (EDPB) wydała nowe wytyczne, które w praktyce działają jak “RODO 2.0”.

Jeśli prowadzisz firmę lub po prostu chcesz wiedzieć, czy bank może odmówić Ci kredytu “bo algorytm tak powiedział”, ten artykuł jest dla Ciebie.

AI a RODO: Gdzie jest konflikt?

Modele AI potrzebują gigantycznych ilości danych do nauki. RODO mówi: “ograniczaj zbieranie danych” (Data Minimization). To fundamentalny konflikt.

W 2026 roku sądy postawiły sprawę jasno:

Scraping jest nielegalny: Pobieranie publicznie dostępnych danych (np. zdjęć z Instagrama) do trenowania modeli rozpoznawania twarzy (jak Clearview AI) bez zgody osób na zdjęciach jest naruszeniem RODO.
Prawo do zapomnienia w AI: Jeśli zażądasz usunięcia swoich danych, firma musi nie tylko skasować je z bazy, ale też (tam gdzie to technicznie możliwe) “oduczyć” model, by nie generował informacji o Tobie. To tzw. Machine Unlearning.

Automatyczne podejmowanie decyzji (ADM)

Artykuł 22 RODO stał się najważniejszym przepisem dekady. Mówi on, że masz prawo nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu.

Nowości w 2026:

Definicja “wyłączności”: Jeśli człowiek tylko “przyklepuje” decyzję AI bez jej analizy (tzw. rubber-stamping), to w świetle prawa decyzja nadal jest automatyczna i możesz ją zaskarżyć.
Wyjaśnialność (XAI): Firma nie może powiedzieć “to tajemnica handlowa”. Musi wyjaśnić Ci, jakie czynniki wpłynęły na decyzję (np. “AI obniżyło Twój scoring kredytowy, bo często zmieniasz pracę”).

Kary: Suma strachu

W 2026 roku kary za naruszenia RODO przez systemy AI są kumulowane z karami z AI Act.

RODO: Do 4% światowego obrotu lub 20 mln EUR.
AI Act: Do 7% światowego obrotu lub 35 mln EUR (za stosowanie zakazanych praktyk AI).

Razem firma może stracić ponad 10% rocznego przychodu. To sprawia, że zarządy firm wreszcie zaczęły traktować prywatność poważnie.

Głośne kary w 2025/2026:

Firma ubezpieczeniowa ukarana za używanie AI do analizy emocji w głosie klientów podczas zgłaszania szkody (uznano to za pseudonaukę i naruszenie godności).
Sieć handlowa ukarana za “inteligentne kamery”, które profilowały klientów bez ich wyraźnej zgody.

Checklist dla Firm na 2026 rok

Jeśli używasz AI w biznesie, upewnij się, że:

Masz podstawę prawną: “Uzasadniony interes” to za mało przy profilowaniu AI. Zazwyczaj potrzebujesz Zgody.
Przeprowadziłeś DPIA: Ocena Skutków dla Ochrony Danych jest obowiązkowa przy wdrażaniu każdego systemu AI, który wpływa na ludzi.
Zapewniasz nadzór ludzki: Człowiek musi mieć realny wpływ na decyzje systemu.

Podsumowanie

RODO w 2026 roku to tarcza przeciwko dyktaturze algorytmów. Nie bój się z niej korzystać. Masz prawo wiedzieć, dlaczego AI podjęło taką, a nie inną decyzję, i masz prawo się od niej odwołać do żywego człowieka.

FAQ – Pytania o RODO i AI

Czy mogę usunąć swoje dane z ChatuGPT powołując się na RODO?

Tak. Masz “prawo do bycia zapomnianym”. OpenAI (i inni dostawcy) udostępnia formularz, w którym możesz zażądać usunięcia swoich danych osobowych z wyników generowanych przez model.

Czy pracodawca może oceniać moją pracę za pomocą AI?

Tylko w bardzo ograniczonym zakresie i przy zachowaniu pełnej przejrzystości. Pracodawca musi Cię poinformować o algorytmie, a decyzja o zwolnieniu lub awansie nigdy nie może być podjęta wyłącznie przez AI (wymóg Artykułu 22 RODO).