Sztuczna inteligencja wg standardów ochrony danych osobowych - co IOD wiedzieć powinien?

Szkolenie koncentruje się na praktycznych aspektach wdrażania i wykorzystywania systemów sztucznej inteligencji w zgodzie z RODO i AI Act. Przy całej prostocie wykorzystania gotowych systemów AI, ich użycie niesie ze sobą liczne ryzyka dla ochrony danych osobowych, takie jak nieautoryzowany dostęp do danych w promptach, brak transparentności działania algorytmów czy ryzyko transferu danych poza EOG.

Na szkoleniu wyraźnie rozdzielamy dwa kluczowe scenariusze: 

1. Korzystanie z gotowych systemów i/lub modeli AI z wyłączeniem ich trenowania.
2. Rozwiązania uwzględniające trenowanie modeli AI.

Szkolenie dostarcza IOD narzędzi do oceny privacy by designe i default, identyfikacji i mitygacji ryzyk koncentrując się na najczęstszym aktualnie przypadku pkt 1.

Cel szkolenia

Celem szkolenia jest przekazanie kompleksowej i aktualnej wiedzy na temat zgodnego z prawem wdrażania i wykorzystywania systemów sztucznej inteligencji w organizacjach, z wyraźnym rozróżnieniem obowiązków i ryzyk w zależności od tego, czy organizacja jedynie korzysta z gotowych narzędzi AI, czy też trenuje własne modele na danych osobowych.

Na szkoleniu dowiesz się:

• Jakie obowiązki wynikają z RODO i AI Act w zależności od scenariusza: czy tylko używasz gotowego narzędzia AI, czy trenujesz własny model?
• Jakie są kluczowe ryzyka i jak je minimalizować, gdy pracownicy wprowadzają dane do zewnętrznych systemów AI (nawet jeśli dostawca nie trenuje na nich modelu).
• Jak prawidłowo określić role (administrator, podmiot przetwarzający) i zawrzeć odpowiednie postanowienia w umowach z dostawcami usług AI.
• Jak stosować wytyczne EROD i innych organów ochrony danych w praktyce, nie tylko w kontekście uzasadnionego interesu dla trenowania modeli.
• Jak przeprowadzić DPIA dla procesu wykorzystania zewnętrznego narzędzia AI oraz dla procesu trenowania własnego modelu.
• Jakie są kluczowe elementy wewnętrznej polityki bezpiecznego korzystania z AI w organizacji korelujące z polityką ochrony danych osobowych.
• Co czeka nas po uwzględnieniu Cyfrowego Omnibusa - wniosku dotyczącego rozporządzenia zbiorczego w sprawie aktualizacji ram regulacyjnych Unii Europejskiej w zakresie cyfryzacji, przedstawionego przez Komisję Europejską w listopadzie 2025 r. 

Dla kogo jest to szkolenie? 

Zajęcia przeznaczone są dla obecnych jak i przyszłych Inspektorów Ochrony Danych (IOD), którzy chcą zdobyć, poszerzyć lub ugruntować swoją wiedzę, a także dla osób odpowiedzialnych za bezpieczeństwo informacji, zgodność (compliance), prawników wewnętrznych, jak również̇ Administratorów Danych Osobowych i menedżerów wdrażających technologie AI.

Szkolenie realizowane przy współpracy z:

Centrum Promocji Informatyki (CPI)

Firma edukacyjna działająca na rynku od 1992 r. Realizuje szkolenia, warsztaty, konferencje specjalistyczne z zakresu: prawa, finansów, informatyki i biznesu stosując nowoczesne metody szkoleniowe. Organizowane szkolenia to gwarancja wysokiej jakości i profesjonalizmu będącego wynikiem ponad 30-letniego doświadczenia.

1. Krajobraz prawny AI – RODO, AI Act i nowe wytyczne i projektowane zmiany regulacyjne.

• Ujęcie definicyjne AI na styku regulacji: system AI, model AI, dane wejściowe (prompty) a dane treningowe. 
• Akt o sztucznej inteligencji (AI Act): 
  • Harmonogram wejścia w życie kluczowych obowiązków (2025-2027).
  • Obowiązki użytkownika systemu AI wg poziomu ryzyka. 
  • Obowiązki dostawcy systemu AI wg poziomu ryzyka. 
• Cyfrowy Omnibus – zmiany regulacyjne zawarte we wniosku dotyczącym rozporządzenia zbiorczego w sprawie aktualizacji ram regulacyjnych Unii Europejskiej w zakresie cyfryzacji, przedstawionego przez Komisję Europejską w listopadzie 2025 r.
• Relacja między AI Act a RODO – spójność i rozbieżności.

2. Korzystanie z gotowych modeli AI (bez trenowania na danych klienta).

• Analiza ryzyka: Jakie dane osobowe są faktycznie przetwarzane (prompty, metadane, dane z załączników)? Ryzyko wycieku danych, transfery poza EOG.
• Role w procesie: Użytkownik jako administrator danych wprowadzanych do systemu. Dostawca AI jako podmiot przetwarzający lub odrębny administrator. 
• Umowa powierzenia przetwarzania (art. 28 RODO): Kluczowe klauzule umowne z dostawcą AI. Jak weryfikować zapisy o zakazie trenowania na danych klienta? 
• Podstawa prawna: Uzasadniony interes administratora (użytkownika) a zgoda pracownika na wykorzystanie narzędzia. 

Przerwa (12:00-12:30)

3. DPIA dla wdrożenia narzędzia AI w organizacji: Praktyczne warsztaty – jak opisać proces i oszacować ryzyko.

4. Ład organizacyjny i narzędzia wsparcia dla obu scenariuszy.

• Wewnętrzna polityka AI: Jak stworzyć i wdrożyć zasady bezpiecznego korzystania z narzędzi AI przez pracowników (AI Governance).
• Zharmonizowane standardy: 
  • ISO/IEC 42001:2023 – budowa Systemu Zarządzania Sztuczną Inteligencją (AIMS). 
  • NIST AI Risk Management Framework – praktyczne ramy zarządzania ryzykiem. 
  • Realizacja praw osób, których dane dotyczą: Prawo do sprostowania, usunięcia danych a ograniczenia techniczne modeli AI.

5. Odpowiedzialność i podsumowanie.

• Odpowiedzialność cywilna i administracyjna za szkody spowodowane przez systemy AI. 
• Rola IOD jako kluczowego doradcy w procesie wdrażania i nadzorowania AI.

6. Sesja pytań i odpowiedzi.