Chatbot AI zgodny z RODO - dlaczego hosting w UE ma znaczenie
Chatbot AI zbiera dane osobowe klientów: imiona, e‑maile, numery telefonów, historie rozmów. Jeśli te dane trafiają do USA lub są używane do trenowania modeli AI - łamiesz RODO. Kary sięgają do 20 mln (limit ustawowy) lub 4% rocznych przychodów.
W 2026 roku polskie firmy coraz częściej otrzymują pytania od klientów i partnerów: "Gdzie przechowujecie nasze dane?". Ten artykuł wyjaśnia, na co uważać i jak wybrać dostawcę chatbota AI zgodnego z prawem.
TL;DR: Realistyczne efekty z Syntalith
- Odpowiedzi w 5 sekund, 24/7 na WWW, WhatsAppie, Messengerze i Instagramie (DM).
- Wdrożenie zwykle trwa 2-4 tygodnie (LITE ok. 1 tydzień; GROWTH 3-5 tygodni; ENTERPRISE 4-7 tygodni).
- Analiza ROI w tygodniu 0; przy 30+ zapytaniach dziennie zwrot często po 2-4 tygodniach.
- Dokładne liczby zależą od rynku, danych i zakresu.
- Hosting w UE, zgodność z RODO, podpisana DPA; dane nie są używane do trenowania.
Dlaczego zgodność z RODO jest ważna dla Twojej firmy?
Kary finansowe
| Naruszenie | Potencjalna kara |
|---|---|
| Brak podstawy prawnej do przetwarzania | Do 20 mln lub 4% obrotu |
| Transfer danych poza EOG bez podstawy | Do 20 mln lub 4% obrotu |
| Brak informowania o przetwarzaniu | Do 10 mln lub 2% obrotu |
| Nieprawidłowa umowa z procesorem | Do 10 mln lub 2% obrotu |
Przykład z rynku: W 2023 roku Meta otrzymała karę 1,2 mld za transfer danych europejskich użytkowników do USA.
Konsekwencje biznesowe
- Utrata zaufania klientów - szczególnie w sektorach regulowanych (finanse, zdrowie)
- Problemy z partnerami B2B - coraz więcej firm wymaga potwierdzenia zgodności
- Ryzyko reputacyjne - wyciek danych = koniec zaufania
- Obowiązek raportowania - musisz zgłaszać naruszenia w 72 h
Gdzie dostawcy chatbotów AI przechowują dane?
Popularne rozwiązania i ich lokalizacje
| Dostawca | Domyślny hosting | Opcja UE | Uwagi |
|---|---|---|---|
| OpenAI ChatGPT API | USA | Nie* | *Azure OpenAI ma opcje UE |
| Anthropic Claude | USA | Nie | Brak hostingu UE |
| Google Dialogflow | USA/Multi | Tak | Wymaga konfiguracji |
| Tidio | USA/UE | Tak | Zależy od planu |
| Intercom | USA | Częściowo | Niektóre dane w US |
| Syntalith | Tylko UE | Domyślnie | AWS Frankfurt |
Problem z chatbotami opartymi na ChatGPT
Większość tanich chatbotów korzysta bezpośrednio z OpenAI API. Problem:
1. Dane idą do USA - serwery OpenAI w Kalifornii
2. Brak kontroli - nie wiesz, co się dzieje z danymi
3. Potencjalne trenowanie - OpenAI może użyć danych do modeli
Rozwiązanie: Azure OpenAI Service z hostingiem w UE (AWS Frankfurt, Azure West Europe) lub dostawca z własną infrastrukturą w UE.
Jak sprawdzić, czy dostawca chatbota jest zgodny z RODO?
Pytania do zadania przed podpisaniem umowy
1. Gdzie fizycznie przechowywane są dane?
- Oczekiwana odpowiedź: "UE - konkretny region (Frankfurt, Dublin, Amsterdam)"
- Czerwona flaga: "Multi-region", "Chmura globalna", brak konkretów
2. Czy dane są używane do trenowania modeli AI?
- Oczekiwana odpowiedź: "Nie. Dane klienta są używane wyłącznie do świadczenia usługi."
- Czerwona flaga: "Dane mogą być anonimizowane i używane do ulepszania modelu."
3. Czy oferujecie umowę powierzenia danych (DPA)?
- Oczekiwana odpowiedź: "Tak, standard. Podpiszemy przed wdrożeniem."
- Czerwona flaga: "Co to DPA?", "To nie jest konieczne."
4. Jak długo przechowujecie dane rozmów?
- Oczekiwana odpowiedź: Konkretny okres + możliwość dostosowania
- Czerwona flaga: "Bezterminowo", "Nie wiemy"
5. Jak realizujecie prawo do usunięcia?
- Oczekiwana odpowiedź: "Na zadanie usuwamy dane w 30 dni + potwierdzenie"
- Czerwona flaga: "Nie możemy usunąć pojedynczych rekordów"
6. Jakie subprocesory wykorzystujecie?
- Oczekiwana odpowiedź: Lista z lokalizacjami (np. AWS UE, Anthropic via Azure UE)
- Czerwona flaga: "To poufna informacja"
Checklist zgodności RODO
| Wymaganie | Syntalith | Typowy dostawca |
|---|---|---|
| Hosting tylko UE | Tak | Czasem |
| Umowa DPA | Tak | Czasem |
| Brak trenowania na danych | Tak | Rzadko |
| Prawo do usunięcia | Tak | Często |
| Szyfrowanie AES-256 | Tak | Zwykle |
| Audyt bezpieczeństwa | Tak | Rzadko |
| Transparentna lista subprocesorów | Tak | Rzadko |
Jak Syntalith zapewnia zgodność z RODO?
Architektura bezpieczeństwa
Lokalizacja danych:
- Hosting: AWS Frankfurt (eu-central-1)
- Backup: AWS Frankfurt (ten sam region)
- Zero transferu danych poza EOG
Szyfrowanie:
- W spoczynku: AES-256
- W tranzycie: TLS 1.3
- Klucze: zarządzane przez AWS KMS
Modele AI:
- Używamy Azure OpenAI Service (region UE)
- Lub modele open-source (Mistral, Llama) hostowane w UE
- Dane NIE są wysyłane do OpenAI bezpośrednio
Umowa powierzenia danych (DPA)
Każdy klient otrzymuje:
1. Umowę główną - zakres usługi, cennik, SLA
2. Umowę powierzenia (DPA) - zgodnie z art. 28 RODO
3. Klauzule standardowe - jeśli wymagane przez klienta
4. Lista subprocesorów - AWS, Azure OpenAI, bramka SMS
Prawa osób, których dane dotyczą
| Prawo | Jak realizujemy |
|---|---|
| Dostęp (art. 15) | Eksport danych na zadanie |
| Sprostowanie (art. 16) | Możliwość edycji w panelu |
| Usunięcie (art. 17) | Usunięcie w 30 dni + potwierdzenie |
| Przenoszenie (art. 20) | Eksport w formacie JSON/CSV |
| Sprzeciw (art. 21) | Wyłączenie przetwarzania |
Przypadki użycia - gdzie RODO jest szczególnie ważne
1. Kliniki i placówki medyczne
Ryzyko: Dane zdrowotne to szczególna kategoria danych (art. 9 RODO).
Wymagania:
- Hosting w UE obowiązkowy
- Szyfrowanie end-to-end
- Logi dostępu
- Umowa DPA z dodatkowymi klauzulami
Rozwiązanie Syntalith: Voicebot do umawiania wizyt NIE przetwarza danych medycznych (tylko: imię, telefon, termin). Dane wrażliwe = przekierowanie do recepcji.
2. Kancelarie prawne
Ryzyko: Tajemnica zawodowa + dane osobowe klientów.
Wymagania:
- Zero dostępu dostawcy do treści dokumentów
- Szyfrowanie at rest i in transit
- Kontrola dostępu per użytkownik
Rozwiązanie Syntalith: Wyszukiwarka dokumentów AI - dane indeksowane lokalnie w UE, żadne dane nie opuszczają infrastruktury klienta lub wydzielonej instancji UE.
3. E-commerce i retail
Ryzyko: Dane zakupowe, adresy, numery kart.
Wymagania:
- Hosting w UE
- Integracja z PCI DSS (dla płatności)
- Retencja danych zgodna z prawem podatkowym
Rozwiązanie Syntalith: Chatbot NIE przetwarza danych płatniczych - przekierowuje do checkout. Dane klientów w UE.
FAQ - RODO i chatboty AI
Czy mogę użyć ChatGPT bezpośrednio do obsługi klientów?
Nie zalecamy. ChatGPT (OpenAI) przechowuje dane w USA i może używać ich do trenowania modeli. Używaj Azure OpenAI Service (UE) lub dostawcy z własną infrastrukturą w UE.
Czy anonimizacja danych rozwiązuje problem RODO?
Tylko jeśli anonimizacja jest nieodwracalna. "Pseudonimizacja" (np. usunięcie nazwiska, ale zostawienie telefonu) to nadal dane osobowe.
Co jeśli klient pyta chatbota o dane osobowe?
Chatbot powinien:
1. Weryfikować tożsamość (np. kod SMS)
2. Przekierowywać wrażliwe pytania do człowieka
3. Nie ujawniać danych bez autoryzacji
Czy muszę informować klientów, że rozmawiają z AI?
Tak, zgodnie z AI Act i dobrymi praktykami. Rekomendujemy krótką informację: "Jestem asystentem AI. Jak mogę pomóc?"
Ile czasu mam na realizację zadania usunięcia danych?
Maksymalnie 30 dni (art. 12 RODO). Można przedłużyć o kolejne 60 dni w skomplikowanych przypadkach, ale trzeba poinformować osobę.
Podsumowanie - jak wybrać chatbota AI zgodnego z RODO
Checklist przed podpisaniem umowy:
- [ ] Hosting danych w UE (konkretny region)
- [ ] Umowa powierzenia danych (DPA)
- [ ] Brak wykorzystania danych do trenowania modeli
- [ ] Możliwość usunięcia danych na żądanie
- [ ] Szyfrowanie AES-256
- [ ] Transparentna lista subprocesorów
- [ ] SLA z czasem reakcji na naruszenia
Dlaczego Syntalith:
- Hosting tylko UE - AWS Frankfurt, zero transferu do USA
- Brak trenowania - Twoje dane nie uczą naszych modeli
- DPA w standardzie - podpisujemy przed wdrożeniem
- Polski support - problemy rozwiązujesz po polsku
Chcesz wdrożyć chatbota AI zgodnego z RODO? Umów bezpłatną konsultację - odpowiemy na wszystkie pytania o bezpieczeństwo danych.
---
Przeczytaj też
- Ile kosztuje chatbot AI dla firmy? - cennik i porównanie dostawców
- Voicebot dla kliniki - automatyczna rejestracja - bezpieczne wdrożenie w healthcare
- Wyszukiwarka dokumentów AI dla firm - Document AI zgodny z RODO
---
Źródła:
- RODO (Rozporządzenie 2016/679)
- UODO - wytyczne dla administratorów danych
- Syntalith - polityka prywatności i bezpieczeństwa
- Chatbot AI dla firm - pełna oferta