EuroComply
Zarejestruj się
Back to blog
Rozporządzenie AI UE 8 min read

RODO a akt o AI: jak obie regulacje się nakładają

What you need to know: RODO a akt o AI: jak obie regulacje się nakładają

Wiele systemów AI przetwarza dane osobowe — co oznacza, że jednocześnie podlegają zarówno RODO, jak i unijnemu aktowi o AI. Niniejszy przewodnik mapuje obszary nakładania się przepisów, wyjaśnia, gdzie obowiązki się kumulują, i pokazuje, jak efektywnie spełnić oba wymogi.

Source: EuroComply Editorial (2026-04-14)Reviewed:
EuroComply Team
EU regulatory specialistsContent reviewed against official EUR-Lex texts
EuroComply Editorial Team

Większość systemów AI przetwarza dane osobowe. Narzędzie do preselekcji kandydatów przetwarza dane osobowe aplikujących. Model scoringowy przetwarza dane finansowe i behawioralne. Chatbot obsługi klienta przetwarza imiona i nazwiska, dane konta oraz treść rozmów. Dla wszystkich tych systemów RODO i unijny akt o AI obowiązują jednocześnie — tworząc wielowarstwowy obowiązek zgodności, z którym wiele organizacji wciąż się zmaga.

Niniejszy przewodnik mapuje obszary nakładania się przepisów, wyjaśnia, jak obie regulacje ze sobą współdziałają, i wskazuje miejsca, w których ujednolicone podejście pozwala spełnić oba zestawy wymogów.

Obie regulacje w skrócie

| Wymiar | RODO | Akt o AI UE | |--------|------|-------------| | Pełna nazwa | Ogólne rozporządzenie o ochronie danych (2016/679) | Akt o sztucznej inteligencji (2024/1689) | | Obowiązuje od | 25 maja 2018 r. | 1 sierpnia 2024 r. (etapowo) | | Co chroni | Dane osobowe i prawa osób, których dane dotyczą | Bezpieczeństwo, prawa podstawowe i przejrzystość systemów AI | | Egzekwowanie | Organy nadzorcze ds. ochrony danych (krajowe) | Krajowe organy nadzorcze ds. AI + Urząd ds. AI (szczebel UE) | | Maksymalna kara | 20 mln € lub 4% globalnego rocznego obrotu | 35 mln € lub 7% (AI zakazana); 15 mln € lub 3% (wysokie ryzyko) | | Organ nadzorczy | Organ nadzorczy (UODO w Polsce) | Krajowy organ ds. AI + Europejski Urząd ds. AI |

Obie regulacje stosuje się niezależnie od siebie. Zgodność z jedną nie zaspokaja wymagań drugiej. Jednak tam, gdzie obowiązki się nakładają, jedno działanie compliance może spełnić oba wymogi — pod warunkiem odpowiedniego zaprojektowania.

Obszary nakładania się przepisów

Nakładanie się przepisów następuje wszędzie tam, gdzie system AI przetwarza dane osobowe — co w praktyce dotyczy większości komercyjnych systemów AI. RODO reguluje dane, akt o AI reguluje system AI przetwarzający te dane. Oba akty prawne stosuje się do tej samej działalności.

1. Zautomatyzowane podejmowanie decyzji

Art. 22 RODO przyznaje osobom, których dane dotyczą, prawo do niepodlegania decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, wywołującej skutki prawne lub w podobny sposób istotnie na nie wpływającej — i wymaga, aby w przypadku takich decyzji osoba, której dane dotyczą, miała prawo do uzyskania interwencji ludzkiej, wyrażenia własnego stanowiska i zakwestionowania decyzji.

Obowiązki wobec systemów wysokiego ryzyka w akcie o AI (załącznik III obejmuje m.in. scoring kredytowy, rekrutację pracowników, dostęp do usług zasadniczych) wymagają mechanizmów nadzoru ludzkiego: osoba fizyczna musi być w stanie rozumieć, monitorować i unieważniać wyniki systemu.

Połączone działanie compliance: Projektuj procesy z udziałem człowieka (human-in-the-loop), które jednocześnie spełniają wymogi art. 22 RODO i wymagania nadzoru ludzkiego określone w akcie o AI. Dokumentuj oba aspekty w dokumentacji technicznej systemu AI oraz w rejestrach RODO.

2. Zarządzanie danymi

RODO wymaga minimalizacji danych (art. 5 ust. 1 lit. c) — zbierać i wykorzystywać można wyłącznie dane adekwatne, stosowne i ograniczone do tego, co niezbędne dla wskazanego celu.

Akt o AI wymaga, aby zbiory danych do uczenia, walidacji i testowania systemów AI wysokiego ryzyka spełniały kryteria jakości — były wolne od błędów, wystarczająco reprezentatywne i istotne dla zamierzonego celu (art. 10).

Połączone działanie compliance: Jednolita polityka zarządzania danymi, która definiuje kryteria doboru danych do uczenia AI, dokumentuje oceny reprezentatywności i analizy odchyleń (biasu) oraz zapewnia zgodność z zasadami ograniczenia celu i minimalizacji danych wynikającymi z RODO, spełnia oba wymogi.

3. Przejrzystość

RODO wymaga, aby osoby, których dane dotyczą, otrzymywały jasne informacje o zautomatyzowanym przetwarzaniu, w tym istotne informacje dotyczące zastosowanej logiki, a także znaczenia i przewidywanych konsekwencji takiego przetwarzania (art. 13–14, 22 ust. 3).

Akt o AI wymaga, aby wdrażający systemy AI wysokiego ryzyka informowali osoby fizyczne podlegające wynikom takich systemów o tym, że są poddawane działaniu systemu AI wysokiego ryzyka (art. 26 ust. 7), oraz aby dostawcy dokumentowali możliwości i ograniczenia systemu AI.

Połączone działanie compliance: Zaprojektuj wielowarstwowe ujawnienie spełniające oba wymogi: zgodną z RODO informację o ochronie prywatności wyjaśniającą zautomatyzowane przetwarzanie, uzupełnioną o zgodną z aktem o AI informację o przejrzystości opisującą działanie systemu AI i jego ograniczenia.

4. Oceny skutków

Art. 35 RODO wymaga przeprowadzenia oceny skutków dla ochrony danych (DPIA) w przypadku przetwarzania, które może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych — w tym systematycznego i rozległego profilowania zautomatyzowanego wywołującego istotne skutki, przetwarzania na dużą skalę szczególnych kategorii danych osobowych oraz systematycznego monitorowania obszarów publicznie dostępnych.

Akt o AI — rejestracja systemów wysokiego ryzyka i oceny zgodności również wymagają dokumentowania ryzyk, środków ograniczających i skutków dla praw podstawowych.

Połączone działanie compliance: Przeprowadź jedną, ujednoliconą ocenę skutków AI i danych, która jednocześnie obejmuje wymogi DPIA wynikające z art. 35 RODO oraz dokumentację zarządzania ryzykiem przewidzianą w akcie o AI. Ustrukturyzuj sekcje tak, aby adresowały oba ramy prawne, podziel bazową analizę ryzyka i wyprodukuj dwa wzajemnie się odwołujące dokumenty. Pozwala to uniknąć powielania pracy i zapewnić spójność.

Efektywność compliance: ujednolicone ramy zarządzania AI

Zamiast prowadzić odrębne programy compliance dla RODO i aktu o AI, rozważ stworzenie ujednoliconych ram zarządzania systemami AI, które:

  1. Prowadzą jeden inwentarz systemów AI ujmujący zarówno przepływy danych według RODO, jak i klasyfikacje ryzyka w ramach aktu o AI dla każdego systemu
  2. Stosują ujednolicony szablon oceny skutków, który jednocześnie generuje DPIA oraz dokumentację ryzyka wymaganą przez akt o AI
  3. Ustanawiają jeden proces nadzoru ludzkiego spełniający jednocześnie art. 22 RODO i art. 14 aktu o AI
  4. Stosują jednolity standard przejrzystości we wszystkich komunikatach kierowanych do osób, których dane dotyczą, realizowanych z udziałem AI
  5. Kierują incydenty do połączonego procesu raportowania obejmującego zarówno naruszenia ochrony danych według RODO, jak i zgłaszanie poważnych incydentów na podstawie aktu o AI

Przykład: sześć systemów AI — klasyfikacja połączona

| System AI | Klasyfikacja RODO | Klasyfikacja akt o AI | Połączone działania compliance | |-----------|-------------------|-----------------------|--------------------------------| | Narzędzie do preselekcji kandydatów | Wysokie ryzyko (profilowanie, istotne skutki) | Wysokie ryzyko (załącznik III — zatrudnienie) | DPIA + ocena zgodności AI; nadzór ludzki; przejrzystość wobec kandydatów | | Chatbot obsługi klienta | Przetwarzanie standardowe | Ograniczone ryzyko (art. 50) | Informacja o ochronie prywatności RODO; ujawnienie interakcji AI użytkownikom | | Model scoringowy | Wysokie ryzyko (istotne skutki finansowe) | Wysokie ryzyko (załącznik III — usługi zasadnicze) | DPIA + ocena zgodności; prawa z art. 22; możliwość ręcznego unieważnienia | | Wykrywanie nadużyć (wewnętrzne) | Przetwarzanie standardowe | Prawdopodobnie minimalne ryzyko | Środki bezpieczeństwa art. 32 RODO; brak dodatkowych obowiązków z aktu o AI | | Silnik rekomendacji produktów | Przetwarzanie standardowe | Minimalne ryzyko | Podstawa zgody/uzasadnionego interesu RODO; dobrowolne kodeksy postępowania aktu o AI | | Monitorowanie wyników pracowników | Wysokie ryzyko (profilowanie w obszarze zatrudnienia) | Wysokie ryzyko (załącznik III — zatrudnienie) | DPIA + ocena zgodności; konsultacja z przedstawicielami pracowników (prawo krajowe); prawa z art. 22 |


Ostatnia aktualizacja: kwiecień 2026. Wyłącznie w celach informacyjnych — nie stanowi porady prawnej.

Często zadawane pytania

Czy RODO i akt o AI UE mają ten sam organ nadzorczy?

Nie. RODO jest egzekwowane przez krajowe organy nadzorcze ds. ochrony danych — w Polsce jest to Urząd Ochrony Danych Osobowych (UODO). Akt o AI jest egzekwowany przez krajowe organy nadzorcze ds. AI wyznaczone na mocy art. 70 oraz przez Europejski Urząd ds. AI na szczeblu UE w odniesieniu do modeli AI ogólnego przeznaczenia. W przypadku gdy system AI przetwarzający dane osobowe jest objęty postępowaniem wyjaśniającym, zarówno organ ds. ochrony danych, jak i krajowy organ ds. AI mogą mieć jednoczesną właściwość; koordynacja między nimi jest przewidziana, lecz w praktyce nie jest jeszcze w pełni skodyfikowana.

Czy podstawa prawna przetwarzania wynikająca z RODO spełnia również wymogi zarządzania danymi aktu o AI?

Nie w pełni. RODO wymaga podstawy prawnej na mocy art. 6 dla każdego przetwarzania danych osobowych oraz art. 9 dla szczególnych kategorii danych osobowych. Akt o AI dodaje odrębne wymogi dotyczące zarządzania danymi dla systemów AI wysokiego ryzyka na mocy art. 10 — zbiory danych do uczenia, walidacji i testowania muszą spełniać kryteria jakości obejmujące reprezentatywność, wolność od błędów i istotność dla zamierzonego celu. Ważna podstawa prawna RODO nie zaspokaja automatycznie standardów jakości danych z art. 10; oba zestawy wymogów muszą być odrębnie uwzględnione w dokumentacji.

Która regulacja ma pierwszeństwo w przypadku konfliktu między RODO a aktem o AI UE?

RODO stosuje się jako rozporządzenie o bezpośrednim skutku we wszystkich państwach członkowskich UE i nie jest zastępowane przez akt o AI. Motyw 9 aktu o AI wyraźnie stwierdza, że uzupełnia on RODO i nie ogranicza żadnych obowiązków w zakresie ochrony danych. Tam, gdzie obowiązki wydają się pozostawać w konflikcie — na przykład gdy wymogi przejrzystości aktu o AI interferują z zasadą minimalizacji danych RODO — oba muszą być spełnione jednocześnie. W przypadku rzeczywistego konfliktu konieczna jest porada prawna swoista dla danej jurysdykcji i kontekstu; żaden z instrumentów nie przyznaje wprost pierwszeństwa drugiemu.

Źródła

Niniejszy artykuł ma charakter wyłącznie informacyjny i nie stanowi porady prawnej. Przed podjęciem decyzji dotyczących zgodności należy skonsultować się z wykwalifikowanym doradcą prawnym.

Key takeaways: RODO a akt o AI: jak obie regulacje się nakładają

This article covers: Obie regulacje w skrócie, Obszary nakładania się przepisów, Efektywność compliance: ujednolicone ramy zarządzania AI.

  • Obie regulacje w skrócie
  • Obszary nakładania się przepisów
  • Efektywność compliance: ujednolicone ramy zarządzania AI
  • Przykład: sześć systemów AI — klasyfikacja połączona
  • Często zadawane pytania
Source: EuroComply Editorial (2026-04-14)Reviewed:
EC

EuroComply Editorial Team

EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.

For informational purposes only. Consult qualified legal counsel.

Share:

Get the weekly EU compliance briefing — 2 minutes, every Thursday.

See how your site scores

Run a free EU compliance scan — no signup, 30 seconds.