Czy AI w firmie łamie RODO? Praktyczny przewodnik dla MŚP

Co naprawdę dzieje się z danymi firmowymi gdy używasz Claude'a albo ChatGPT z bazą biznesową. RODO, DPA, transfer do USA, opt-out treningu modelu. Bez paniki i bez bajek o 100 procent bezpieczeństwie.

Najczęstsze pytanie, które słyszę na demo SubiektMCP: “Ale gdzie te dane lecą? Czy to legalne pod RODO?”

To dobre pytanie i zasługuje na uczciwą odpowiedź, nie marketingową ulotkę o “stuprocentowym bezpieczeństwie”. Pisałem ten tekst tak, jakbym tłumaczył znajomemu przedsiębiorcy przy kawie. Bez ściemy.

W skrócie: tak, da się legalnie używać AI w polskiej firmie. Tak, są realne warunki, które musisz spełnić. Nie, “AI w chmurze” nie jest automatycznie nielegalne pod RODO, ale “wgraliśmy bazę klientów do ChatGPT i niech sobie analizuje” już może być.

Ten artykuł rozkłada to na cztery części: co fizycznie się dzieje z danymi, co mówi RODO, co masz zrobić jako właściciel MŚP, i kiedy AI w firmie po prostu nie jest dla Ciebie.

Co fizycznie dzieje się z danymi, gdy pytasz AI o sprawy firmowe

Wyobraź sobie standardowy scenariusz: masz Subiekta GT, w nim 5000 klientów i 50 000 transakcji za ostatni rok. Otwierasz Claude’a Desktop, pytasz: “Pokaż mi top 20 klientów po obrocie z ostatniego kwartału”.

Krok po kroku, co się dzieje:

Twoje pytanie po polsku leci z Twojego komputera do serwerów Anthropic (USA, AWS region us-west-2 głównie). Tekst pytania jest szyfrowany TLS w drodze.
Claude rozumie pytanie i decyduje: “muszę odpytać bazę Subiekta o transakcje”.
Claude wysyła zapytanie do MCP (Model Context Protocol, taki “wtyczkowy mostek”), który u Ciebie lokalnie odpytuje Subiekta GT. Zapytanie to coś w stylu “daj mi tabelę faktur z grupowaniem po kontrahencie”.
MCP zwraca odpowiedź (tabela z 20 wierszami) z powrotem do Claude’a.
Claude formatuje i odsyła wynik do Ciebie.

Co istotne: dane klientów, transakcji, kwot są wysyłane do Anthropic w trakcie tego procesu. Nie cała Twoja baza, ale fragment potrzebny do odpowiedzi na konkretne pytanie. Ten fragment trafia do logów Anthropic na 30 dni (standardowo, dla wykrywania nadużyć), potem jest usuwany. Nie jest używany do trenowania kolejnych wersji modelu (na planach API i Claude for Work, którym jest SubiektMCP).

Co NIE jest wysyłane: cała baza danych Subiekta. SQL Server zostaje u Ciebie. Hasła, sekrety, pliki konfiguracyjne też zostają lokalnie.

Jeśli używasz ChatGPT (Codex) zamiast Claude’a, schemat jest analogiczny, tylko serwery są OpenAI, nie Anthropic.

Co mówi RODO

RODO traktuje to jako klasyczny relację administrator-procesor:

Ty (firma) = administrator danych osobowych Twoich klientów
Anthropic / OpenAI = procesor (przetwarza Twoje dane w Twoim imieniu)

Z tego wynika kilka konkretnych obowiązków po Twojej stronie:

1. Umowa powierzenia (DPA)

Art. 28 RODO wymaga, żebyś miał z procesorem zawartą umowę powierzenia. Anthropic udostępnia Data Processing Addendum gotowe do podpisania (online, w panelu konta API albo na życzenie przy planie Claude for Work). OpenAI ma swoje. Trzeba przeczytać, podpisać, trzymać w dokumentacji.

2. Transfer do USA

Polskie i unijne dane osobowe lecą do USA. To było problemem po unieważnieniu Privacy Shield w 2020. Od 2023 obowiązuje EU-US Data Privacy Framework i Anthropic znajduje się na oficjalnej liście DPF (sprawdź sam, lista jest publiczna). To znaczy: transfer jest legalny pod warunkiem, że masz aktualne DPA.

Jeśli DPF zostanie unieważniony (są skargi prawne), wracamy do Standardowych Klauzul Umownych SCC, które też są w DPA Anthropic. Czyli zabezpieczenie jest dwupoziomowe.

3. Informacja dla Twoich klientów

W polityce prywatności na Twojej stronie firmowej powinieneś wymienić Anthropic / OpenAI jako podprocesora. To jeden krótki akapit. Wzór: “Korzystamy z asystenta AI dostarczanego przez Anthropic PBC (USA) do analizy danych biznesowych, w tym danych osobowych kontrahentów. Anthropic działa jako procesor, dane są przekazywane na podstawie EU-US DPF i Standardowych Klauzul Umownych. Pełne DPA dostępne na życzenie.”

4. Minimalizacja danych

RODO nakazuje przetwarzać minimum koniecznych danych. Pytanie “pokaż top 20 klientów po obrocie z nazwiskami i numerami telefonów” wysyła do Anthropic także numery telefonów. Czy potrzebujesz numerów do tego konkretnego pytania? Jeśli nie, zapytaj bez nich.

5. Prawa osób, których dane przetwarzasz

Twoi klienci mają prawo wiedzieć (na żądanie), gdzie ich dane są przetwarzane. Twoja odpowiedź: “u nas w Subiekcie i u Anthropic jako procesora, masz tu DPA, masz tu link do polityki Anthropic”. To wystarcza.

Co masz zrobić jako właściciel MŚP (checklist)

Jeśli planujesz wprowadzić AI do firmy (SubiektMCP albo cokolwiek innego z chmurową AI), zrób te kroki w tej kolejności:

Wypisz, które dane będą wysyłane. Klienci? Transakcje? Adresy? Maile? Numery PESEL? (Mam nadzieję, że nie PESEL.)
Sprawdź, czy dostawca AI jest na liście DPF. Anthropic tak, OpenAI tak. Mniejsi dostawcy często nie. Bez DPF + bez SCC = bez transferu legalnie.
Podpisz DPA z dostawcą. U Anthropic robi się to klikiem w panelu. U mniejszych dostawców czasem trzeba mailem.
Uaktualnij politykę prywatności na stronie. Jeden akapit o procesorze AI.
Przegadaj z księgową lub prawnikiem, jeśli przetwarzasz dane wrażliwe (zdrowotne, finansowe na poziomie indywidualnym, dane osób publicznych). Większość MŚP handlowych nie wpada w tę kategorię, ale warto sprawdzić.
Zrób minimum testowe. Nie wgrywaj od razu całej historii klientów. Zacznij od jednego pytania, zobacz jakie dane lecą, oceń.
Loguj sobie, kto, kiedy i o co pyta. Jeśli zespół ma dostęp do AI z bazą firmową, dobry zwyczaj to mieć log. SubiektMCP loguje pytania lokalnie, można je przejrzeć.

Co my (SubiektMCP) robimy, żeby to ułatwić

Pełne ujawnienie: jestem founderem SubiektMCP, to nie jest neutralny artykuł, ale staram się być uczciwy. SubiektMCP to niezależny wdrożeniowiec, nie jesteśmy oficjalnym partnerem Anthropic ani InsERT. Korzystamy z publicznie dostępnego API Anthropic na zasadach komercyjnych, tak samo jak inne firmy w EU.

DPA z Anthropic jest podpisane na poziomie planu, którego używa SubiektMCP. Dostajesz to bez dodatkowej roboty.
Lokalny komponent robi tłumaczenie zapytań, więc Anthropic nie widzi struktury Twojej bazy ani haseł, tylko wynik konkretnego zapytania.
Logi pytań są lokalne (w katalogu instalacyjnym), nie wysyłamy ich nigdzie.
Nie używamy Twoich danych do trenowania modelu. To wynika z planu, na którym działa Claude w SubiektMCP (Claude for Work / API). Pisemnie w DPA.
Plan Premium (249 zł netto/mc/stanowisko) dorzuca 24/7 wsparcie async i opiekuna onboardingu, w tym przegląd polityki prywatności pod kątem dodania SubiektMCP. To nie jest porada prawna, ale praktyczna pomoc operacyjna.

Czego my nie zrobimy za Ciebie: nie podpiszemy za Ciebie polityki prywatności na Twojej stronie, nie zastąpimy radcy prawnego, nie wezmę za Ciebie odpowiedzialności wobec UODO. To zawsze zostaje po stronie administratora, czyli Twoje.

Kiedy AI w firmie po prostu nie jest dla Ciebie

Są scenariusze, w których chmurowa AI to zły wybór, niezależnie od jakości produktu:

Branża medyczna lub kancelaria prawna z aktami: dane wrażliwe lub objęte tajemnicą zawodową. Tu standardem jest on-premise, nie chmura.
Sektor publiczny / spółki Skarbu Państwa często mają wewnętrzne polityki zakazujące chmury USA. Sprawdź u siebie.
Branża obronna lub szczególnie wrażliwe IP: unikaj.
Klienci z UE wymagający przetwarzania danych wyłącznie w UE: Anthropic ma region EU od 2025, ale plan musisz mieć skonfigurowany pod EU. Standardowy SubiektMCP korzysta z global tier.

Dla typowego MŚP handlowego, hurtowego, dystrybucyjnego, usługowego (B2B i B2C), chmurowa AI z DPF + DPA jest w 2026 standardowym, legalnym i powszechnie używanym rozwiązaniem. Korzystają z tego setki tysięcy firm w UE.

Najczęstsze pytania

Czy moje dane będą widoczne dla pracowników Anthropic? Domyślnie nie. Dostęp do logów konwersacji jest reglamentowany wewnętrznie, używany tylko w sytuacjach trust & safety (np. podejrzenie nadużycia konta). Anthropic nie analizuje treści biznesowych.

Czy Anthropic szkoli model na moich danych? Nie, na planach API i Claude for Work. Tak, na darmowym Claude.ai konsumenckim (ale tam dane biznesowe Ci nie lecą, więc to nie problem).

Czy mogę zażądać usunięcia danych z Anthropic? Tak, w ramach DPA. Po 30 dniach logi są usuwane automatycznie i tak.

Czy potrzebuję inspektora ochrony danych (DPO)? Zależy od skali. Jeśli firma jest poniżej progów art. 37 RODO (najczęściej tak dla MŚP), nie musisz mieć DPO. Ale i tak warto przegadać raz z radcą prawnym przed wdrożeniem.

Czy on-premise AI to alternatywa? Tak, ale realistycznie: lokalny LLM o jakości Claude’a wymaga serwera za 50-100 tys. zł, plus utrzymanie. Dla większości MŚP to ekonomicznie nie ma sensu. Dla branż wrażliwych: jest opcja.

Podsumowanie

RODO nie zakazuje AI w firmie. RODO wymaga, żebyś wiedział, co robisz: kto jest procesorem, masz DPA, transfer jest podstawowany na DPF lub SCC, polityka prywatności na stronie wspomina o tym, minimalizujesz dane.

Wszystko to są małe, jednorazowe kroki. Większość MŚP może to zrobić w jeden wieczór, jeśli zna checklist (powyżej).

Jeśli chcesz przegadać konkretnie pod swoją firmę, czy wdrożenie SubiektMCP ma sens, możesz napisać na nikodem@subiektgt.chat. Jeśli wolisz najpierw zobaczyć produkt w akcji, demo jest tutaj. Trial 14-dniowy idzie przez Stripe (z kartą, bez automatycznego obciążenia jeśli zrezygnujesz przed końcem). Alternatywnie, 7-dniowy klucz testowy bez karty wysyłam ręcznie, jeśli wolisz najpierw zobaczyć działanie zanim podasz dane karty.

Dla głębszego rozpoznania: Kancelaria UODO ma sekcję o sztucznej inteligencji, warto przejrzeć przed wdrożeniem.

🐾 Made with Szhakal · SubiektMCP

.subiekt-subscribe-form input[type=”email”]::placeholder { color: #71717A; }