Bezpieczeństwo i RODO a AI w marketingu. Jak chronić dane klientów?

Czy wiesz, że wklejając listę adresów klientów do ChatGPT, żeby np. w 5 min. przygotować spersonalizowany mailing, automatycznie zwiększasz ryzyko utraty kontroli nad danymi i ich nieuprawnionego ujawnienia? To powszechny problem. Według GUS w 2025 roku technologie sztucznej inteligencji najczęściej wykorzystywano właśnie do wspomagania marketingu i sprzedaży. To znaczy, że jeśli prowadzisz małą lub średnią firmę i sięgasz po AI, robisz to dokładnie tam, gdzie krążą dane klientów — ich nazwiska, adresy, historia zakupów i zachowania zakupowe. Jak w takim razie chronić ich dane osobowe korzystając z AI? Nie przekazuj ich do publicznych narzędzi bez właściwej podstawy prawnej i zabezpieczeń, ogranicz zakres przetwarzania danych do niezbędnego minimum i dokumentuj każdą decyzję. To trzy filary, na których opiera się zgodność z RODO, czyli unijnym Rozporządzeniem o Ochronie Danych Osobowych. Reszta tego poradnika pokazuje, jak zrobić to w praktyce. Nikt nie zabrania Ci używać sztucznej inteligencji, która bez wątpienia przyspiesza Twój marketing. Wystarczy robić to zgodnie z obowiązującym prawem.

Czym jest ochrona danych osobowych w marketingu opartym na sztucznej inteligencji?

Zacznijmy od podstaw, bo bez nich cała reszta się rozsypie. Dane osobowe to każda informacja pozwalająca zidentyfikować konkretnego człowieka — bezpośrednio (imię, nazwisko, e-mail) lub pośrednio (numer telefonu, identyfikator w plikach cookie, adres IP). W marketingu dane osobowe wykorzystywane są niemal na każdym kroku: gdy budujesz bazę newslettera, gdy segmentujesz odbiorców reklam, gdy marketing analizujący dane klientów podpowiada Ci, kto najczęściej porzuca koszyk.

Czym to się różni od zwykłego Excela z kontaktami? Skalą i automatyzacją. Systemy sztucznej inteligencji potrafią w sekundę przetworzyć duże ilości danych i wyciągnąć z nich wnioski, których człowiek nie zauważyłby przez tydzień. Analiza danych użytkowników prowadzona przez algorytmy sztucznej inteligencji to dziś standard, ale to także moment, w którym wykorzystanie danych osobowych staje się przedmiotem zainteresowania prawa.

Jakie kategorie danych osobowych przewijają się w Twoim marketingu?

RODO definiuje dane osobowe (art. 4) oraz szczególne kategorie danych osobowych (art. 9). Te drugie — tzw. dane wrażliwe — wymagają najwyższej ostrożności. Przetwarzanie danych wrażliwych (o zdrowiu, przekonaniach, orientacji) bez wyraźnej podstawy jest jednym z najczęstszych źródeł kłopotów. Sprawdź, z jakimi danymi realnie pracujesz:

• dane identyfikacyjne — imię, nazwisko, e-mail, telefon. To rdzeń każdej bazy marketingowej;
• dane behawioralne — kliknięcia, czas na stronie, zachowania użytkowników w sklepie. Pozornie anonimowe, w praktyce często prowadzą do konkretnej osoby;
• dane osobowe dotyczące preferencji i historii zakupów — pozwalają personalizować ofertę, ale zdradzają więcej, niż klient sądzi;
• dane wrażliwe — jeśli sprzedajesz suplementy, sprzęt rehabilitacyjny czy usługi medyczne, przetwarzanie danych wrażliwych może Cię dotyczyć, nawet jeśli o tym nie myślisz.

Im lepiej rozumiesz kontekst przetwarzania danych, tym łatwiej ustalisz, czy w ogóle masz prawo użyć ich w danym celu. A to prowadzi nas do pytania, które spędza sen z powiek niejednemu przedsiębiorcy.

Dlaczego AI komplikuje stare zasady ochrony danych?

Klasyczne zasady ochrony danych powstały zanim narzędzia takie jak ChatGPT czy Claude trafiły pod strzechy. Ci asystenci oparci na dużych modelach językowych (LLM, ang. large language model — model wytrenowany na ogromnym zbiorze tekstów) działają inaczej, niż się powszechnie sądzi. Wbrew obiegowej opinii w popularnych narzędziach Twoje dane wejściowe zwykle nie trafiają wprost do treningu modelu w czasie rzeczywistym — ale dostawca może je przetwarzać zgodnie ze swoją polityką, a Ty tracisz nad nimi kontrolę. Jeśli w oknie czatu wkleisz pełne dane osobowe klienta, nie wiesz już dokładnie, gdzie ta ilość danych trafi ani jak długo będzie przechowywana. To zupełnie inny mechanizm niż lokalny system przetwarzania danych w Twojej firmie i właśnie dlatego wymaga osobnego podejścia.

Naruszenia ochrony danych – ile realnie kosztuje błąd w 2026 roku?

Przejdźmy do liczb, bo one przemawiają do przedsiębiorcy mocniej niż jakikolwiek apel. Skala naruszenia ochrony danych w Europie rośnie szybko. Z raportu kancelarii DLA Piper „GDPR Fines and Data Breach Survey” wynika*, że od 2018 roku europejskie organy nałożyły kary za naruszenia RODO o łącznej wartości 7,1 mld euro, a liczba zgłoszeń naruszeń w Europie wzrosła o 22%, do średnio 443 dziennie.

Polska nie jest tu widzem z ostatniego rzędu. Z 19 065 zgłoszeniami nasz kraj zajął trzecie miejsce w Europie, notując wzrost o 33% rok do roku. Co istotne, eksperci wiążą ten skok ze wzrostem cyberataków oraz upowszechnieniem narzędzi AI wykorzystywanych przez przestępców. Sztuczna inteligencja bywa więc narzędziem obu stron: pomaga Ci w marketingu, ale ułatwia też atak na Twoją bazę.

Co grozi konkretnie firmie Twojej wielkości?

Pewnie myślisz sobie teraz: „kary są tylko dla gigantów, mojego sklepu z dziesięcioma pracownikami nie dotyczą”. Niestety, organ ochrony danych patrzy też na sektor MŚP. Z danych podsumowujących działalność UODO za 2025 rok wynika**, że polski organ ochrony danych wydał 32 kary o łącznej wartości 64,5 mln zł — to pięciokrotny wzrost w porównaniu z rokiem poprzednim. Trend jest jednoznaczny: mniej decyzji, ale dotkliwszych.

Pieniądze to jednak nie wszystko. Konsekwencje dla osób fizycznych, których dane wyciekły, bywają poważne — od spamu po kradzież tożsamości. A konsekwencje dla danej osoby przekładają się wprost na Twoją reputację. Utrata zaufania klienta jest droższa niż każda grzywna, bo trwa latami.

Kiedy naprawdę potrzebujesz oceny ryzyka?

Zanim wdrożysz nowe narzędzie, warto przeprowadzić ocenę ryzyka. Pełna ocena skutków dla ochrony danych (DPIA) jest jednak obowiązkowa tylko wtedy, gdy przetwarzanie może powodować wysokie ryzyko dla praw osób — na przykład przy profilowaniu na dużą skalę, przetwarzaniu danych wrażliwych czy systematycznym monitorowaniu zachowań użytkowników. W typowym marketingu małej firmy często nie będzie konieczna, ale sama refleksja i tak Ci się przyda. W praktyce odpowiadasz na trzy pytania:

• Jakie dane dotyczące klientów przetwarzasz?
• Co się stanie, jeśli wyciekną?
• Czy potrafisz temu zapobiec?

Nie traktuj tego, jak koniecznej biurokracji, tylko jako test, który ma pokazać, czy Twój system analizy danych nie wchodzi w obszar wysokiego ryzyka. Lepiej zrobić to zanim popełnisz kosztowny błąd.

Jak legalnie wykorzystywać dane klientów? Podstawy prawne przetwarzania danych

Tu pada najważniejsze pytanietzn.: na jakiej zasadzie wolno Ci w ogóle dotykać danych użytkowników? RODO mówi jasno — bez podstawy prawnej przetwarzania danych każde działanie jest nieuczciwym przetwarzaniem danych. Masz do dyspozycji kilka przesłanek; w marketingu mniejszej firmy najczęściej liczą się dwie: zgoda i prawnie uzasadniony interes.

Źródło: Opracowanie własne na podstawie materiałów UODO, RODO oraz Prawa komunikacji elektronicznej.

* Ważne zastrzeżenie: „prawnie uzasadniony interes” to przesłanka z RODO — motyw 47 rozporządzenia wprost dopuszcza marketing bezpośredni jako taki interes. Niezależnie od niej w Polsce sama wysyłka e-maila czy SMS-a marketingowego wymaga osobnej zgody na kanał komunikacji. Wynika to z Prawa komunikacji elektronicznej, które od listopada 2024 r. zastąpiło dawne przepisy ustawy o świadczeniu usług drogą elektroniczną i Prawa telekomunikacyjnego. Innymi słowy: RODO daje Ci podstawę do przetwarzania danych, ale zielone światło na wysłanie wiadomości daje dopiero zgoda kanałowa.

Sama podstawa prawna to jednak nie wszystko. Jeśli dane dotyczące użytkowników trafiają do zewnętrznego narzędzia, potrzebujesz też umowy powierzenia przetwarzania (art. 28 RODO), a gdy dostawca przetwarza je poza Europejskim Obszarem Gospodarczym — sprawdzenia, czy taki transfer jest odpowiednio zabezpieczony. Zgoda klienta nie „załatwia” więc całej sprawy; to dopiero pierwszy element układanki. I pamiętaj o spójności celu: jeśli zebrałeś e-maile do obsługi zamówień, a teraz te dane osobowe zostały użyte do kampanii reklamowej, na którą nikt się nie zgodził, potrzebujesz nowej podstawy przetwarzania danych.

Co mówi Europejska Rada Ochrony Danych o danych „wrzucanych” do modeli AI?

W grudniu 2024 roku Europejska Rada Ochrony Danych (EROD) przyjęła Opinię 28/2024 — pierwszy tak konkretny głos w sprawie AI i RODO. EROD wskazała, że modelu sztucznej inteligencji trenowanego na danych osobowych nie można z góry uznać za anonimowy, a oparcie przetwarzania na uzasadnionym interesie wymaga przejścia trzyetapowego testu. Test ten sprawdza: realny interes administratora, niezbędność przetwarzania i równowagę z prawami osób fizycznych.

Jaki stąd wniosek? Podmioty danych — czyli Twoi klienci — mają prawo wiedzieć i sprzeciwić się. Jeśli wykorzystanie danych użytkownika w narzędziu AI zaskoczyłoby przeciętnego odbiorcę, prawdopodobnie przekraczasz granicę rozsądnych oczekiwań. To użyteczny sygnał ostrzegawczy, że możesz wykraczać poza bezpieczne granice przetwarzania danych.

Transparentność, czyli Twój najtańszy sojusznik

Transparentność brzmi jak slogan, ale w RODO to twardy obowiązek (art. 5). Powiedz klientowi, jakie dane osobowe dotyczące jego osoby zbierasz, w jakim celu przetwarzania i czy korzystasz z AI. Jasna polityka prywatności i krótka informacja przy formularzu to często różnica między mandatem a spokojnym snem. Transparentność buduje też zaufanie, a przecież w Twojej działalności, gdzie często znasz klientów po imieniu, to kapitał nie do przecenienia.

Praktyki ochrony danych w codziennej pracy z ChatGPT, Claude i Midjourney

Teoria teorią, ale jak to wygląda w rzeczywistości? Najlepsze praktyki ochrony danych zaczynają się od jednej zasady: do publicznego narzędzia AI nie wrzucaj niczego, nad czym chcesz zachować pełną kontrolę. Twoje dane nie stają się od razu publiczne, ale opuszczają firmę i trafiają do dostawcy, który przetwarza je na własnych serwerach i zgodnie z własną polityką.

Generowanie treści w ChatGPT, Claude czy grafik w Midjourney (generator obrazów na podstawie opisu tekstowego) jest bezpieczne dopóty, dopóki dane wejściowe nie zawierają informacji o konkretnych ludziach. Modele te zostały wytrenowane na ogromnym zbiorze danych z internetu. W rzadkich przypadkach (tzw. memoryzacja, ang. memorization) potrafią odtworzyć fragmenty danych osobowych wykorzystywanych podczas treningu — to wyjątek, a nie typowe zachowanie, ale wystarczający powód, by nie wklejać listy klientów po to, żeby AI „posegmentowała bazę”.

4 zasady, których warto użyć w pracy z danymi osobowymi wykorzystywanymi przez AI

Oto kilka konkretnych zasad, które możesz wdrożyć od ręki:

• Anonimizuj, zanim wkleisz. Zamiast „Jan Kowalski, ul. Lipowa 3″ napisz „klient z segmentu premium”. AI i tak wykona zadanie, a dane osobowe nie opuszczą Twojej firmy.
• Wybieraj wersje biznesowe. Płatne plany ChatGPT czy Claude dla firm zwykle nie wykorzystują Twoich treści do trenowania modelu — sprawdź to w umowie i ustawieniach.
• Uważaj na Deepfake i wizerunek. Tworząc materiały w Midjourney, nie generuj wizerunku realnych osób bez zgody. Deepfake oparty na czyjejś twarzy może naruszać dobra osobiste, a zależnie od sposobu użycia (np. oszustwo, podszywanie się) rodzić również odpowiedzialność karną — choć w polskim prawie nie istnieje jedna, osobna kategoria „przestępstwa deepfake”.
• Rozdziel narzędzia. Do analizy danych klientów używaj rozwiązań działających na Twoim serwerze lub w zaufanej chmurze, a publiczne czaty zostaw do tekstów ogólnych.

Gdzie szukać narzędzi przyjaznych dla RODO?

Nie musisz budować wszystkiego od zera. Część dostawców projektuje technologie sztucznej inteligencji z myślą o zgodności — z umową powierzenia, hostingiem w UE i ograniczonym zarządzaniem danymi użytkowników. Jeśli prowadzisz e-commerce, warto sprawdzić rozwiązania zintegrowane z polskim ekosystemem, gdzie gromadzenie i zarządzanie danymi odbywa się w kontrolowanym środowisku, zamiast w przypadkowym, darmowym czacie. To zupełni inny poziom bezpieczeństwa danych klientów niż kopiuj-wklej do publicznego narzędzia.

AI Act – nowe reguły gry, których nie przeskoczysz

Do RODO dochodzi drugi filar: AI Act, czyli unijne Rozporządzenie (UE) 2024/1689 o sztucznej inteligencji. Akt wszedł w życie 1 sierpnia 2024 roku, a jego przepisy są wdrażane etapami: zakazane praktyki obowiązują od lutego 2025, a kluczowe wymogi dla systemów wysokiego ryzyka z załącznika III zaczną obowiązywać od sierpnia 2026 roku. Dla systemów będących elementami bezpieczeństwa produktów (załącznik I) termin ten przesuwa się na sierpień 2027 r.

Za stosowanie zakazanych praktyk AI grozi kara do 35 mln euro lub 7% rocznego globalnego obrotu — przy czym zasadą jest zastosowanie wyższej z tych kwot.

Wysokość sankcji zależy jednak od okoliczności sprawy, więc przy MŚP organ uwzględnia także skalę, wagę i czas trwania naruszenia.

AI Act dzieli systemy sztucznej inteligencji według ryzyka. Większość narzędzi marketingowych mieści się w kategorii minimalnego lub ograniczonego ryzyka, więc wdrażając sztuczną inteligencję w swojej firmie, najczęściej nie stajesz się ani dostawcą (ang. provider), ani wdrażającym (ang. deployer) systemu wysokiego ryzyka w rozumieniu przepisów. Pamiętaj jednak o tzw. AI literacy: od lutego 2025 dostawcy i podmioty stosujące technologie sztucznej inteligencji powinni zadbać, by korzystające z nich osoby rozumiały, jak AI działa i gdzie są jej granice. Zakres tego obowiązku dla najmniejszych firm wciąż bywa różnie interpretowany, ale podstawowa świadomość — co wolno wrzucić do narzędzia, a czego nie — przydaje się każdemu, kto sam prowadzi marketing.

Zarządzanie danymi użytkowników – kto odpowiada za bezpieczeństwo w Twojej firmie?

Kto ponosi odpowiedzialność, gdy coś pójdzie nie tak? Odpowiedź bywa niewygodna: jako administrator, czyli właściciel firmy decydujący o celach przetwarzania danych użytkowników, odpowiadasz Ty — nawet jeśli błąd popełnił zewnętrzny dostawca systemu analizy danych. Zarządzanie danymi nie jest więc zadaniem „dla informatyka”, lecz elementem strategii, za którą bierzesz osobistą odpowiedzialność.

Czy potrzebujesz inspektora ochrony danych?

Nie każda firma musi powoływać inspektora. Inspektorzy ochrony danych (IOD) są obowiązkowi głównie tam, gdzie skala lub charakter przetwarzania jest duża, np. przy regularnym przetwarzaniu danych wrażliwych na masową skalę. Mała firma częściej radzi sobie bez IOD, ale i tak warto wyznaczyć osobę odpowiedzialną za praktyki ochrony danych. Ktoś musi pilnować, by dane osobowe nie wędrowały bez kontroli między narzędziami.

Jak ułożyć proces, żeby spać spokojnie?

Dobry proces zarządzania danymi użytkowników opiera się na trzech nawykach:

1. Po pierwsze — rejestr: wiesz, jakie dane dotyczące klientów masz i gdzie.
2. Po drugie — minimalizacja: zbierasz tylko to, co realnie wykorzystasz, bo każdy zbędny rekord to dane osobowe, które ktoś może wykraść.
3. Po trzecie — przegląd: raz na kwartał sprawdzasz, czy nowe narzędzie nie zmieniło zakresu przetwarzania danych.

Tak wygląda dojrzałe podejście do bezpieczeństwa danych klientów, które nie wymaga sztabu prawników.

Jeśli dopiero budujesz lub odświeżasz witrynę, na której zbierasz kontakty, zadbaj o techniczne podstawy — formularze, zgody i politykę prywatności po stronie profesjonalnej strony WWW. To tam najczęściej rozpoczyna się gromadzenie danych osobowych, więc tam też powinna zaczynać się ochrona.

Co warto zapamiętać o RODO i AI w marketingu?

Wróćmy do listy klientów z początku tego artykułu. Teraz już wiesz, że nie chodzi o to, by rezygnować ze sztucznej inteligencji, lecz by używać jej świadomie. Rozwój sztucznej inteligencji stał się faktem, którego nie zatrzymasz, a firmy, które nauczą się łączyć skuteczny marketing wykorzystujący dane klientów z poszanowaniem RODO, zyskają przewagę nad tymi, które albo boją się AI, albo używają jej po omacku.

Oto 3 najważniejsze zasady, które należy wziąć pod uwagę przy wykorzystaniu danych osobowych w pracy z systemami sztucznej inteligencji:

1. Ustal podstawy prawne przetwarzania dla każdego celu (i pamiętaj, że dla narzędzi zewnętrznych dochodzą umowa powierzenia oraz kwestia transferu danych), zanim sięgniesz po narzędzie.
2. Nie przekazuj danych osobowych klientów do publicznych modeli — anonimizuj dane wejściowe i wybieraj wersje biznesowe ChatGPT czy Claude.
3. Dokumentuj decyzje, bo w razie kontroli organ ochrony danych zapyta nie o intencje, lecz o dowody.

Tyle dzieli odpowiedzialne zastosowanie sztucznej inteligencji od nieuczciwego przetwarzania danych.

Pamiętaj, że Twoi klienci powierzają Ci swoje własne dane osobowe, bo Ci ufają. Zastosowanie sztucznej inteligencji zgodne z zasadami ochrony danych to najlepszy sposób, by to zaufanie odwzajemnić i jednocześnie spać spokojnie, gdy nagłówki mediów zaleje kolejna fala doniesień o milionowych karach za naruszenie RODO.

Źródła:
*GazetaPrawna.pl, „Rekordowe kary za RODO w Europie. Polska w niechlubnej czołówce zgłoszeń”, 23.01.2026

**Poland Insight, „Poland’s Data Protection Authority Fines Organizations Nearly PLN 64.5m in 2025”, 2026
European Data Protection Board (EROD), Opinia 28/2024 w sprawie modeli sztucznej inteligencji: zasady RODO wspierają odpowiedzialną AI, 17.12.2024

Komisja Europejska, „Akt w sprawie sztucznej inteligencji”, EUR-Lex / portal Komisji Europejskiej