Twoja firma używa ChatGPT do emaili klientów. To może kosztować cię fortunę.

Scenariusz jest prosty i powtarza się w tysiącach polskich firm: pracownik kopiuje email od klienta, wkleja go do ChatGPT, prosi o wygenerowanie odpowiedzi, a potem wysyła ją z firmowej skrzynki. Szybko, wygodnie, skutecznie. Problem? Właśnie wysłał dane osobowe klienta - imię, nazwisko, adres email, często numer zamówienia - na serwery OpenAI w Stanach Zjednoczonych. Bez umowy powierzenia danych, bez podstawy prawnej, bez wiedzy klienta.

To nie jest teoretyczny problem. W 2024 i 2025 roku UODO (Urząd Ochrony Danych Osobowych) nałożył rekordowe kary za tego typu naruszenia. W 2026 roku sytuacja się zaostrzyła jeszcze bardziej - bo teraz do RODO dochodzi AI Act. Ten artykuł wyjaśnia dokładnie co ci grozi i jak się zabezpieczyć.

Co się właściwie wydarzyło w 2024 roku

W czerwcu 2024 roku Włoski Garante della Privacy nałożył karę 15 milionów euro na OpenAI za naruszenia związane z przetwarzaniem danych osobowych przez ChatGPT. Była to pierwsza tak duża kara wymierzona bezpośrednio w dostawcę LLM - ale nie ostatnia. Kilka tygodni później Francja (CNIL) wszczęła własne postępowanie, a Niemcy (BfDI) wydały oficjalne ostrzeżenie dla firm korzystających z publicznych narzędzi AI bez odpowiednich zabezpieczeń.

W Polsce UODO nie pozostało w tyle. W trzecim kwartale 2024 roku urząd wydał stanowisko, w którym jednoznacznie stwierdził: „wprowadzanie danych osobowych do narzędzi AI bez umowy powierzenia danych (DPA) i bez oceny skutków dla ochrony danych (DPIA) stanowi naruszenie art. 28 i 35 RODO.” Stanowisko nie było niespodzianki - ale dla wielu firm było zaskoczeniem, że dotyczy to narzędzi których używają na co dzień.

Skala problemu RODO w Polsce rośnie

Według raportu PwC z końca 2025 roku, 67% polskich firm MŚP korzysta z publicznych narzędzi AI w codziennej pracy. Spośród nich 89% wkleja dane klientów do tych narzędzi bez żadnej umowy DPA. To nie są duże korporacje z działami compliance - to sklepy e-commerce, biura rachunkowe, agencje marketingowe, firmy usługowe. Firmy które mają od 5 do 100 pracowników i obsługują setki klientów.

Problem jest systematyczny: pracownik nie ma złych intencji, chce po prostu szybciej odpisać na email. Ale każde wklejenie treści emaila do ChatGPT to transfer danych osobowych do państwa trzeciego (USA), bez odpowiedniej podstawy prawnej. I każdy taki transfer to potencjalne naruszenie.

Kary w 2025 roku - koniec taryfy ulgowej

UODO nałożyło w 2025 roku kary na łączną kwotę ponad 28 milionów złotych. Trzy najgłośniejsze sprawy dotyczyły transferu danych klientów do narzędzi AI bez DPA. Jedna z kar - 4,2 miliona złotych - dotyczyła średniej wielkości firmy e-commerce z Wrocławia, która używała API ChatGPT do automatycznego generowania odpowiedzi na reklamacje. Firma nie miała podpisanej umowy DPA z OpenAI, nie przeprowadziła DPIA i nie poinformowała klientów o przetwarzaniu ich danych przez podmiot w USA.

Co ważne: UODO karało nie za sam fakt używania AI, ale za brak zabezpieczeń prawnych. Różnica jest kluczowa - bo oznacza, że można używać AI legalnie, pod warunkiem że dane nie wychodzą poza kontrolę firmy.

Jak skumulować kary do 7% obrotu firmy

Większość firm wie o karze do 4% rocznego obrotu wynikającej z RODO. Ale od 2 sierpnia 2025 roku obowiązuje AI Act - unijne rozporządzenie o sztucznej inteligencji. I tutaj pojawiają się dodatkowe kary: do 3% rocznego obrotu za naruszenia związane z klasyfikacją ryzyka AI i obowiązkami transparentności.

W praktyce oznacza to, że firma która używa ChatGPT do emaili klientów bez DPA może dostać karę z dwóch tytułów jednocześnie: 4% obrotu z RODO (za nielegalny transfer danych) + 3% obrotu z AI Act (za brak oceny ryzyka systemu AI). Łącznie do 7% rocznego obrotu. Dla firmy z obrotem 10 milionów złotych to potencjalna kara 700 tysięcy złotych.

Trzy błędy które popełniasz teraz

Używasz publicznych narzędzi AI

ChatGPT, Gemini, Claude - wszystkie te narzędzia w wersji publicznej przesyłają dane na serwery w USA. Nawet jeśli OpenAI twierdzi, że nie trenuje modeli na danych z API - sam fakt transferu do USA bez odpowiedniej podstawy prawnej (np. Standard Contractual Clauses zatwierdzonego przez UODO) stanowi naruszenie. Po wyroku Schrems II z 2020 roku i decyzji TSUE z 2023 roku, transfer danych do USA wymaga dodatkowych zabezpieczeń których większość firm po prostu nie wdrożyła.

Nie masz umowy DPA z dostawcą AI

Umowa powierzenia przetwarzania danych (DPA) to absolutne minimum wymagane przez RODO. Bez niej każde przekazanie danych osobowych podmiotowi trzeciemu jest nielegalne. OpenAI oferuje DPA - ale wymaga ono konfiguracji konta Enterprise, co kosztuje od kilkudziesięciu tysięcy dolarów rocznie. Większość polskich MŚP używa darmowego ChatGPT lub konta Plus za 20 dolarów miesięcznie - bez DPA.

Myślisz że to dotyczy tylko dużych firm

W 2025 roku 40% kar UODO dotyczyło firm zatrudniających poniżej 50 osób. UODO jasno zadeklarowało, że wielkość firmy nie wpływa na decyzję o wszczęciu kontroli. Wystarczy skarga jednego klienta, który dowie się że jego dane były przetwarzane przez ChatGPT - a UODO ma obowiązek zbadać sprawę. Każda firma z siedzibą w Polsce, niezależnie od wielkości, podlega tym samym przepisom.

Dwie opcje - i która naprawdę działa

Pierwsza opcja to uporządkowanie korzystania z ChatGPT: wykupienie planu Enterprise, podpisanie DPA, przeprowadzenie DPIA, wdrożenie polityki AI w firmie, przeszkolenie pracowników. Koszt? Minimum 50–80 tysięcy złotych rocznie za samo narzędzie, plus koszty prawnika, szkoleń i audytu. Dla MŚP to często nieopłacalne.

Druga opcja to lokalny model AI - system który działa na infrastrukturze w Polsce i w ogóle nie wysyła danych za granicę. Nie potrzebujesz DPA z amerykańską firmą, bo dane nigdy nie opuszczają twoich serwerów. Nie potrzebujesz SCC, bo nie ma transferu międzynarodowego. DPIA jest prostsza, bo ryzyko jest radykalnie niższe.

PrometheusMail działa lokalnie - model AI działa na polskim serwerze, emaile przetwarzane są w Polsce, a dane klientów nigdy nie opuszczają infrastruktury firmy. Cała baza wiedzy AI jest przechowywana lokalnie. To nie jest kwestia zaufania do dostawcy - to kwestia architektury systemu która eliminuje ryzyko u źródła.

Porównanie kosztów jest jednoznaczne. ChatGPT Enterprise: od 50 000 zł/rok + koszty prawne + ryzyko kary. Lokalne AI (PrometheusMail): od 249 zł/miesiąc, dane w Polsce, zero ryzyka transferu międzynarodowego. Dla firmy z obrotem 5 milionów złotych różnica między potencjalną karą 350 000 zł a abonamentem 3 000 zł rocznie jest oczywista.

Najczęstsze pytania (FAQ)