Zgodność GDPR AI z Audact

Jak Audact obsługuje GDPR

GDPR Article 22: zautomatyzowane podejmowanie decyzji i AI

Article 22 daje każdemu podmiotowi danych prawo do niepodlegania decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu — w tym profilowaniu — która wywołuje skutki prawne lub podobnie znacząco go dotyka. Dla wdrożeniowców AI jest to najważniejszy przepis w GDPR: system AI odrzucający pożyczkę, odrzucający kandydata na pracę, uruchamiający blokadę oszustwa lub planujący postępowanie dyscyplinarne bez znaczącej kontroli ludzkiej wchodzi wprost w zakres Article 22.

Istnieją legalne ścieżki: wyraźna zgoda, konieczność dla umowy lub autoryzacja na podstawie prawa UE/Państwa Członkowskiego z odpowiednimi zabezpieczeniami. We wszystkich przypadkach administrator musi dostarczyć znaczące informacje o logice, znaczeniu przetwarzania i dać podmiotowi prawo do uzyskania interwencji człowieka, wyrażenia punktu widzenia i zakwestionowania decyzji. Europejski Trybunał Sprawiedliwości potwierdził w SCHUFA (C-634/21, 2023), że scoring prawdopodobieństwa używany przez strony trzecie do kierowania decyzją jest samo w sobie "zautomatyzowanym podejmowaniem decyzji" — rozszerzając Article 22 dla dostawców AI.

Jak systemy AI wyzwalają obowiązki ochrony danych GDPR

Trenowanie, dostrajanie i wnioskowanie na danych osobowych to każde odrębne czynności przetwarzania na podstawie Article 4(2), i każde wymaga własnej podstawy prawnej na podstawie Article 6. Agenty głosowe, chatboty i agentic workflows rutynowo przetwarzają imiona, numery telefonów, dane biometryczne głosu i treści ujawniające zdrowie, przekonania lub seksualność — co może eskalować przetwarzanie do danych szczególnych kategorii na podstawie Article 9, wymagając silniejszej podstawy jak wyraźna zgoda lub istotny interes publiczny.

Ocena skutków dla ochrony danych (Article 35) jest praktycznie obowiązkowa dla większości wdrożeń AI skierowanych do klientów: łączą systematyczny monitoring, nowe technologie i często wrażliwe podmioty danych. Administratorzy muszą również spełniać obowiązki transparentności Articles 13–14 w momencie zbierania danych — obowiązek, który agenty głosowe AI często nie spełniają, bo ujawnienie następuje zbyt późno w rozmowie.

Transgraniczna transmisja danych w ramach GDPR dla dostawców AI

Rozdział V GDPR ogranicza transfery danych osobowych poza EOG. Po Schrems II, administratorzy muszą przeprowadzić ocenę wpływu na transfer (TIA) przy używaniu standardowych klauzul umownych, a UE-US Data Privacy Framework zapewnia obecnie jedyne porozumienie o adekwatności z USA. Wielu popularnych dostawców AI (OpenAI, Anthropic, Google) przetwarza dane UE na infrastrukturze opartej w USA na podstawie DPF lub SCC, co przenosi obciążenie due diligence na klienta.

Audact rozwiązuje to działając wyłącznie wewnątrz UE: ruch wnioskowania, metadane, klucze i kopie zapasowe pozostają w AWS Frankfurt i Amsterdam. Żaden transfer Rozdziału V nigdy nie ma miejsca, eliminując obciążenie TIA i usuwając zależność od ciągłej stabilności politycznej DPF.

Role przetwarzania danych

Audact działa jako podmiot przetwarzający dane. Klient pozostaje administratorem danych przez cały czas. Audact przetwarza dane wyłącznie w imieniu i na podstawie instrukcji administratora.

Umowa o przetwarzaniu danych

Nasz standardowy DPA jest dostępny na /legal/dpa. Klienci Enterprise mogą poprosić o niestandardowy DPA.

Często zadawane pytania

Porównaj prawa zgodności AI UE

Powiązane zasoby zgodności

• Przegląd zgodności EU AI Act Article 50
• Zgodność Digital Services Act dla AI
• Cennik platformy zgodności Audact