AI Act i RODO to dwa odrębne reżimy compliance, ale w wielu wdrożeniach AI obowiązują równolegle. Z naszego doświadczenia firmy najczęściej popełniają jeden z dwóch błędów — albo traktują AI Act jako rozszerzenie RODO i pomijają specyficzne obowiązki techniczne, albo prowadzą oba reżimy w pełnej separacji i marnują pracę dokumentacyjną. Ten artykuł rozkłada trzy najważniejsze obszary przecięć i pokazuje, gdzie warto integrować dokumentację.
Hub całego cyklu jest w AI Act 2024/1689 — przewodnik dla firm, obowiązki deployera w Obowiązki deployera i FRIA (art. 26-27).
Czy AI Act zastępuje RODO?
Nie. AI Act stosuje się równolegle do rozporządzenia 2016/679 (RODO) i dyrektywy 2016/680 oraz nie wpływa na obowiązki z tych aktów.
Z art. 2 ust. 7 AI Act wynika wprost, że prawo Unii dotyczące ochrony danych osobowych, prywatności i poufności komunikacji ma zastosowanie do przetwarzania danych osobowych podejmowanego w związku z prawami i obowiązkami z rozporządzenia. AI Act nie wpływa na rozporządzenie 2016/679 ani na rozporządzenie 2018/1725 (przepisy o instytucjach UE) — z wyjątkiem przepisów odnoszących się do określonych systemów AI w art. 5.
Z motywu 9 rozporządzenia 2024/1689 wynika, że niniejsze rozporządzenie nie stanowi podstawy prawnej dla przetwarzania danych osobowych, w tym danych szczególnych kategorii — taką podstawę musi zapewniać RODO lub inny akt unijny.
Praktycznie: każde wdrożenie AI dotykające danych osobowych wymaga podstawy prawnej z RODO (art. 6 i art. 9), a osobno spełnienia obowiązków AI Act (art. 5, art. 26-27, art. 50, sekcja 2 dla high-risk).
Pierwszy obszar przecięcia — FRIA z art. 27 AI Act a DPIA z art. 35 RODO
FRIA i DPIA to dwie osobne oceny ryzyka, które mają różne cele, ale w praktyce mogą być prowadzone w jednym zintegrowanym dokumencie.
Cel DPIA (RODO art. 35): ocena ryzyka, jakie operacja przetwarzania danych osobowych powoduje dla praw i wolności osób fizycznych w zakresie ochrony danych. Wymagana, gdy przetwarzanie z dużym prawdopodobieństwem powoduje wysokie ryzyko (np. systematyczna ocena na podstawie zautomatyzowanego przetwarzania, przetwarzanie kategorii szczególnych na dużą skalę, systematyczne monitorowanie miejsc dostępnych publicznie).
Cel FRIA (AI Act art. 27): ocena skutków, jakie wdrożenie systemu AI wysokiego ryzyka może wywołać dla wszystkich praw podstawowych osób fizycznych w danym wdrożeniu. Wymagana dla podmiotów publicznych, podmiotów prywatnych świadczących usługi publiczne oraz deployerów systemów z załącznika III pkt 5 lit. b i c (scoring kredytowy, ubezpieczenia).
| Element | DPIA (art. 35 RODO) | FRIA (art. 27 AI Act) |
|---|---|---|
| Zakres | Przetwarzanie danych osobowych | Wykorzystanie systemu AI wysokiego ryzyka |
| Trigger | Wysokie ryzyko z art. 35 ust. 3 | Wdrożenie systemu z załącznika III dla zdefiniowanych deployerów |
| Punkt ciężkości | Prawa do prywatności, integralność, poufność | Pełne spektrum praw podstawowych |
| Stronnictwo | ADM danych osobowych | Wszystkie kategorie osób z udziałem grup wrażliwych |
| Notyfikacja | Konsultacje z UODO przed przetwarzaniem (art. 36 RODO) | Powiadomienie organu nadzoru rynku z wynikami (art. 27 ust. 3) |
| Wzór | EROD wytyczne | Wzór kwestionariusza Urzędu ds. AI (art. 27 ust. 5) |
Z art. 27 ust. 4 AI Act wynika, że jeżeli którykolwiek z obowiązków FRIA został spełniony w wyniku DPIA z art. 35 RODO, FRIA stanowi uzupełnienie tej oceny. Z art. 26 ust. 9 AI Act wynika, że deployer korzysta z informacji przekazanych przez dostawcę zgodnie z art. 13 AI Act, aby spełnić obowiązek przeprowadzenia DPIA.
Z naszego doświadczenia praktyczna struktura zintegrowanego dokumentu obejmuje: identyfikację systemu i ról, podstawy prawne RODO, opis przetwarzania, ryzyka dla ochrony danych (DPIA-core), ryzyka dla pozostałych praw podstawowych (FRIA-core), środki minimalizujące ryzyko, plan reakcji na incydent. Dokument ma jeden właściciel (zwykle DPO) i jest aktualizowany przy istotnych zmianach.
Praktyka FRIA omawiamy szerzej w Obowiązki deployera i FRIA (art. 26-27).
Drugi obszar — biometria i kategorie szczególne danych
Zakaz z art. 5 ust. 1 lit. g AI Act i art. 9 RODO wzajemnie się uzupełniają, choć nakładają obowiązki na różnych podstawach.
Art. 5 ust. 1 lit. g AI Act zakazuje systemów kategoryzacji biometrycznej, które kategoryzują osoby fizyczne na podstawie danych biometrycznych w celu wywnioskowania ich rasy, poglądów politycznych, przynależności do związków zawodowych, przekonań religijnych lub światopoglądowych, seksualności lub orientacji seksualnej. Wyjątek dotyczy etykietowania/filtrowania zgodnych z prawem zbiorów oraz ścigania przestępstw.
Art. 9 RODO zakazuje przetwarzania danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz danych genetycznych, danych biometrycznych przetwarzanych w celu jednoznacznego zidentyfikowania osoby, danych dotyczących zdrowia, seksualności lub orientacji seksualnej — z 10 wyjątkami z art. 9 ust. 2 (m.in. wyraźna zgoda, niezbędne wykonanie obowiązków z prawa pracy, ochrona żywotnych interesów).
Praktyczna konsekwencja: nawet jeśli operator znajdzie wyjątek z art. 9 ust. 2 RODO (np. wyraźną zgodę), system kategoryzacji biometrycznej według wrażliwych atrybutów nadal jest zakazany przez art. 5 AI Act. Reżim AI Act nie zna „uchylenia zakazu zgodą".
Detale art. 5 — w Zakazane praktyki AI (art. 5).
Trzeci obszar — zautomatyzowane podejmowanie decyzji
Art. 22 RODO i art. 26 ust. 11 AI Act dają osobie fizycznej dwie różne, ale komplementarne ochrony przed decyzjami AI.
Art. 22 RODO — osoba ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec niej skutki prawne lub w podobny sposób istotnie na nią wpływa. Wyjątki: niezbędność do zawarcia/wykonania umowy, przepisy szczególne, wyraźna zgoda. Administrator zapewnia minimum: prawo do uzyskania interwencji ludzkiej, do wyrażenia własnego stanowiska i do zakwestionowania decyzji.
Art. 26 ust. 11 AI Act — bez uszczerbku dla art. 50 AI Act, deployerzy systemów AI wysokiego ryzyka z załącznika III, którzy podejmują decyzje lub uczestniczą w podejmowaniu decyzji dotyczących osób fizycznych, informują te osoby, że jest wobec nich wykorzystywany system AI wysokiego ryzyka.
Praktyczna integracja:
- Klauzula informacyjna RODO (art. 13/14) wzbogacona o informację z art. 26 ust. 11 AI Act.
- Procedura realizacji praw osób (z art. 22 RODO) ma uwzględniać scenariusze AI high-risk i być spójna z polityką nadzoru ze strony człowieka (art. 14 AI Act).
- W systemach z załącznika III pkt 5 (scoring kredytowy, ocena świadczeń, ubezpieczenia) — szczególna uwaga na realizację prawa do interwencji ludzkiej.
Obowiązki transparentności z art. 50 omawiamy w Transparentność: chatbot, deepfake, syntetyczne treści (art. 50).
Czy kary mogą być wymierzane równolegle?
Tak. RODO i AI Act to odrębne reżimy sankcyjne — każdy z własną maksymalną wysokością kary i własnym organem.
| Reżim | Maks. kara | Lub procent obrotu | Organ wymierzający (PL) |
|---|---|---|---|
| RODO (najwyższy próg z art. 83 ust. 5) | 20 000 000 EUR | 4% rocznego globalnego obrotu | UODO |
| AI Act art. 99 ust. 3 (zakazy z art. 5) | 35 000 000 EUR | 7% rocznego globalnego obrotu | krajowy organ nadzoru rynku (do określenia w ustawie wdrażającej) |
| AI Act art. 99 ust. 4 (m.in. obowiązki transparentności art. 50) | 15 000 000 EUR | 3% rocznego globalnego obrotu | krajowy organ nadzoru rynku |
Z art. 99 ust. 7 lit. b AI Act wynika, że organ przy wymierzaniu kary uwzględnia, czy inne organy nadzoru rynku już nałożyły kary za to samo naruszenie. Z art. 99 ust. 7 lit. c — czy inne organy nałożyły kary za naruszenia innych przepisów prawa Unii lub krajowego, gdy wynikają one z tego samego działania. Mechanizm proporcjonalności sankcji jest po stronie organu, nie operatora — ale operator może wnioskować o uwzględnienie wcześniejszych kar.
Praktyczne wskazówki dla integracji compliance
Z naszego doświadczenia firmy, które dobrze radzą sobie z dwiema warstwami, robią pięć rzeczy:
- Wspólny rejestr systemów AI — łączy aspekty RODO (czy przetwarza dane osobowe, w jakiej kategorii) i AI Act (klasyfikacja ryzyka, role).
- Zintegrowany szablon FRIA + DPIA — z osobnymi sekcjami, ale jednym dokumentem i jednym właścicielem.
- Wspólne klauzule kontraktowe z dostawcami modeli — łączą DPA (RODO) z klauzulami informacyjnymi z art. 13 AI Act i wsparciem compliance dla integratora.
- Wspólny szablon klauzuli informacyjnej dla osób fizycznych — łączy art. 13/14 RODO, art. 22 RODO i art. 26 ust. 11 + art. 50 AI Act.
- Wspólna polityka praw osób — z procedurą interwencji ludzkiej, dostępem do logów (z art. 12 AI Act dla providera) i terminami z RODO (1 miesiąc).
Jak możemy Ci pomóc?
W Legal Geek prowadzimy projekty integrowania compliance AI Act z RODO. Zaczynamy od mapy systemów AI z dwiema warstwami (dane osobowe + ryzyko AI), przygotowujemy zintegrowane szablony FRIA + DPIA, klauzule kontraktowe i informacyjne, oraz wspólne procedury operacyjne. Współpracujemy z DPO i zespołem compliance. Chcę pomocy z integracją AI Act + RODO!
Co dalej w cyklu?
- AI Act 2024/1689 — przewodnik dla firm — hub: AI Act dla firm
- Zakazane praktyki AI (art. 5) — biometria w art. 5 i RODO art. 9
- Obowiązki deployera i FRIA (art. 26-27) — FRIA w detalu
- Transparentność: chatbot, deepfake, syntetyczne treści (art. 50) — informowanie osób
- Kary i nadzór w AI Act (art. 99-101) — sankcje równoległe
Źródła
- Rozporządzenie (UE) 2024/1689 — art. 2 ust. 7, art. 26-27, art. 50
- Rozporządzenie (UE) 2016/679 (RODO) — art. 9, 22, 35, 83
- Europejska Rada Ochrony Danych (EROD)
