← Wszystkie wpisy
Technologia1 kwi 2026 w 13 min czytania

RODO + EU AI Act dla AI-agentów w 2026 — działający compliance checklist od naszych prawników

Egzekwowanie EU AI Act zaczęło się w sierpniu 2024, główne provisions binding w 2026. Plus 8 lat orzecznictwa RODO — twój AI-agent ma teraz 14 konkretnych obowiązków. Live checklist, który prowadzimy na każdym wdrożeniu, napisany z outside counsel.

KM
Krzysztof Maj
CEO @ Cyberninja

2 sierpnia 2024 EU AI Act wszedł w życie. Phased provisions wchodziły w 2025; główny zestaw dla general-purpose AI i high-risk systems jest teraz binding w 2026. W połączeniu z 8 latami egzekwowania RODO i aktualizacjami ePrivacy z 2025, wdrożenie AI-agenta dotykającego mieszkańców UE to teraz 14-elementowe ćwiczenie compliance — nie 1-elementowe.

Ten checklist napisaliśmy z naszymi outside counsel od AI / privacy w Warszawie i Berlinie. Prowadzimy go na każdym wdrożeniu. Żaden punkt nie jest biurokratycznym teatrem — każdy to coś, o co DPA realnie pytało jednego z naszych klientów w 2024–2025.

warning
To operational guidance od engineering-vendora, nie porada prawna. Finalną ocenę compliance rób z własnym counsel i DPO. Kary z EU AI Act idą do 35 mln € lub 7% globalnego obrotu.

Część A — obowiązki RODO specyficzne dla AI-agentów

1. Podstawa prawna przetwarzania input voice i chat

Nie możesz przetwarzać call-audio tylko dlatego, że user zadzwonił. Podstawa prawna jest jedną z: explicit consent (Art. 6(1)(a)), wykonanie umowy (Art. 6(1)(b)) — tylko jeśli AI jest faktycznie niezbędne dla umowy, lub legitimate interest (Art. 6(1)(f)) z udokumentowanym LIA. Dla biometrii głosowej lub emotion detection: Art. 9 special-category data — explicit consent to jedyna realistyczna podstawa.

Pre-call IVR z „rozmowa może być nagrywana" w 2026 nie wystarcza. User musi być poinformowany: (a) kto zbiera dane, (b) w jakim celu, (c) że rozmawia z AI, (d) jak dotrzeć do człowieka. Sam consent musi być logged razem z audio-segmentem, nie tylko zadeklarowany w Terms of Service.

3. Prawo do human review (Art. 22)

Jeśli AI-agent podejmuje jakąkolwiek decyzję z legal lub significant effect na usera (odmowa kredytu, odrzucenie roszczenia, anulowanie wizyty, zawieszenie konta, zmiana ceny) — user ma prawo uzyskać human intervention, wyrazić swój punkt widzenia i zakwestionować decyzję. Wbuduj ścieżkę „talk to human" w UX przed launchem, nie po skardze.

4. Data minimization w transkryptach

Default behavior większości STT-vendorów to przechowywanie pełnego audio + transkryptu bez końca. To narusza Art. 5(1)(c). Potrzebujesz: udokumentowany retention (rekomendujemy 90 dni dla raw audio, 365 dni dla redacted transcripts), automated PII redaction w stored copies, i deletion-job, który realnie działa (testuj miesięcznie).

5. Disclosure subprocessorów

Twój AI-agent prawdopodobnie używa OpenAI / Anthropic / Deepgram / ElevenLabs jako subprocessorów. Każdy musi być disclosed w privacy policy z krajem przetwarzania, i covered podpisanym DPA. ChatGPT Enterprise, Claude for Work i główni STT-providerzy mają GDPR-compliant DPA — używaj ich, nie consumer tier.

6. Data residency dla klientów UE

Większość LLM-providerów oferuje teraz EU residency: Anthropic Claude na AWS Frankfurt / Ireland, OpenAI EU residency dostępne od lutego 2024, Azure OpenAI w West Europe / France Central. Jeśli twoja umowa lub branża klienta (healthcare, finanse, sektor publiczny) wymagają EU residency — przełącz na te endpointy. Różnica w koszcie zwykle <10%.

7. Data Processing Impact Assessment (DPIA)

AI-agenci prawie zawsze triggerują wymagania Art. 35 DPIA: large-scale systematic processing, automated decisioning, vulnerable populations (medycyna, zatrudnienie), lub new tech. DPIA to 6–10 stronicowy dokument — twój DPO może napisać z template, ale musi istnieć przed launchem i być rewizytowany corocznie.

Część B — obowiązki EU AI Act (binding 2026)

8. Klasyfikacja ryzyka

Każdy AI-agent wpada w jedną z 4 kategorii pod EU AI Act: prohibited (social scoring, real-time biometric ID w miejscach publicznych), high-risk (employment, kredyt, healthcare, education, law enforcement), limited-risk (chatboty, deepfakes — tylko transparency obligations), minimal-risk (spam-filtry, gry video). Twoje obowiązki dramatycznie się skalują. Większość komercyjnych AI-agentów to limited-risk; HR-screening lub credit-scoring agenci to high-risk.

Klasa ryzykaPrzykładyGłówne obowiązki
ProhibitedSocial scoring, mass biometric surveillanceNie można wdrożyć, koniec
High-riskHR screening, kredyt, medical, educationConformity assessment, technical docs, human oversight, rejestracja
Limited-riskCustomer-service chatbot, voice agent, deepfake generatorTransparency: user musi wiedzieć że to AI; deepfakes labelled
Minimal-riskSpam filter, recommender, NPC dialogueBrak specyficznych obowiązków pod AI Act

9. Transparentność: „Jestem AI"

Nawet dla limited-risk systemów user musi być poinformowany na początku każdej interakcji, że rozmawia z AI. Voice-agenci mówią to w pierwszych 10 sekundach. Chat-agenci mówią to w pierwszej wiadomości. To nie tylko good practice — to teraz legal obligation pod Art. 50 AI Act.

10. Logi i audit trail

High-risk systemy muszą prowadzić automatic logs wystarczające do „zapewnienia traceability funkcjonowania AI" (Art. 12). Dla limited-risk: best practice to to samo. Loguj każdy input, każdy model output, każdą decyzję, każdy fallback do człowieka i każdy override. Retention: minimum 6 miesięcy, rekomendowane 24 miesiące.

11. Human oversight

Dla high-risk: udokumentowana osoba odpowiedzialna za monitoring AI w produkcji, z technical authority do override / pause. Jej training i competence muszą być documented. Dla limited-risk: minimum — fallback-to-human path i kanał skarg.

12. Testowanie bias i reporting

High-risk systemy muszą być testowane pod kątem bias przez protected characteristics (płeć, etniczność, wiek, niepełnosprawność, etc.) i remediation actions documented. Test to nie „spytaliśmy modelu"; to analiza statystyczna outcomes przez grupy. Dla HR-screening agentów w szczególności, regulatorzy aktywnie audytują to w 2026.

Część C — operational practices, które kładziemy na to

13. Kwartalny compliance review

Calendar invite: co 90 dni DPO + tech lead + product owner siadają na 60 minut. Przechodzą przez: zmiany w data flows, nowi subprocessorzy, deletion requests received and fulfilled, otrzymane skargi, model updates od upstream vendorów. Dokumentują meeting; podpisują.

14. Incident response runbook

Notyfikacja data breach pod RODO ma 72-godzinny clock. Miej runbook ZANIM go potrzebujesz, z named on-call ludźmi, draft notification templates dla DPA i affected users, i tested escalation path. Widzieliśmy klientów którzy przegapili 72-godzinne okno przez nieprzygotowanie, nie przez powagę samego breach.

Worked example: voice-agent w healthcare booking

Realny klient: polska sieć stomatologiczna, voice-agent do rezerwacji i przekładania wizyt. Klasyfikacja: limited-risk pod AI Act (booking to nie medical decisioning), ale przetwarza Art. 9 health-adjacent data (wizyty, symptom keywords). Finalny compliance package:

  • Podstawa prawna: umowa (booking) + consent dla transcript retention
  • In-call disclosure: „Rozmawiasz z AI-asystentem [Kliniki]" w pierwszych 8 sekundach
  • Talk-to-human path: powiedz „człowiek" lub naciśnij 0 w dowolnym momencie
  • Data residency: Anthropic Claude na EU endpoint, Deepgram EU region
  • Retention: audio 90 dni, redacted transcript 365 dni
  • DPIA: 9-stronicowy dokument podpisany przez DPO przed launchem
  • Quarterly review: tak
  • Incident runbook: tak
  • Brak biometric processing, brak decisioning poza appointment slot — utrzymało nas w limited-risk

Czas do compliance: 4 tygodnie pracy prawnej rozłożone na 8 tygodni build'a. Koszt: ~8K € outside counsel. Wynik: launch w terminie, zero zapytań DPA przez 14 miesięcy w produkcji.

Jak używać tego checklistu

Wydrukuj. Oznaczaj każdy wiersz green / yellow / red. Yellow i red to pre-launch blockers. Green pozycje też wymagają re-check kwartalnie. Jeśli nie możesz uczciwie oznaczyć pozycji #2, #3, #9 lub #10 jako green — nie jesteś gotowy do launchu w UE.

Newsletter

Lubisz takie analizy?

Raz w tygodniu — krótki list z liczbami z naszych wdrożeń.