GARIN AI Spółka Akcyjna

RODO (GDPR)

Platformy wykorzystujące sztuczną inteligencję do generowania awatarów video, modeli AI-video, itp. to usługi operujące na danych użytkowników (audio, obrazach, wideo), co czyni ochronę danych osobowych użytkowników niezbędną i prawnie wymaganą (dla mieszkańców Unii Europejskiej).

1. Wymagania RODO (GDPR) przy świadczeniu usług z Polski/UE

kiedy serwis działa w UE/Polsce lub obsługuje użytkowników z UE.

1.1. Status administratora/podmiotu przetwarzającego

  • Jeśli platforma zbiera dane osobowe (np. wizerunek, nagrania, avatar, głos) od użytkowników staje się administratorem danych lub współadministratorem – konieczna jest wtedy legalna podstawa przetwarzania (zgoda, umowa, prawny obowiązek itd.).
  • Jeżeli pewne funkcje przetwarzania powierzane są innym (np. chmurom, usługom AI zewnętrznym), konieczne jest podpisanie umowy powierzenia (Data Processing Agreements) zgodnej z art. 28 GDPR.

1.2. Zgoda użytkownika i prawa osób

  • Należy zapewnić przejrzystą politykę prywatności – jasno wskazując co jest zbierane, w jakim celu, jak długo będzie przechowywane, komu udostępniane, itd.
  • Zapewnienie praw dostępu, sprostowania, usunięcia („prawo do bycia zapomnianym”), ograniczenia przetwarzania, przenoszenia danych, itd.
  • Jeżeli dane wrażliwe (np. biometryczne), wymagają dodatkowego podejścia, ograniczeń lub wyraźnej zgody.

1.3. Przekazywanie danych poza UE

  • Jeżeli serwer lub procesy AI nadal będą działały w USA, przekazywanie danych osobowych z UE do USA wymaga mechanizmu zgodności: standardowe klauzule umowne (SCC), mechanizmy zatwierdzone przez Komisję albo inne środki gwarantujące odpowiedni poziom ochrony danych.
  • Części AI które generują dane, mogą być traktowane jako przetwarzanie – wymagania dot. eksportu danych odnoszą się wtedy również do danych wejściowych/wyjściowych.

1.4. Ocena skutków dla ochrony danych (DPIA)

  • Jeżeli przetwarzanie stanowi wysokie ryzyko (np. analiza biometryczna, profilowanie, manipulacje wizerunkiem) niezbędne jest przeprowadzenie DPIA (Data Protection Impact Assessment) – przed uruchomieniem usługi.
  • Kontrola techniczna, pseudonimizacja/anonimizacja (tam, gdzie jest możliwa), ograniczenie dostępu, szyfrowanie, minimalizacja danych.

2. AI Act (UE) – nowe regulacje UE dla AI

AI Act (Rozporządzenie (UE) 2024/1689) wprowadza nowe wymagania dla systemów AI w UE.

2.1. Zakres działania

  • AI Act ma charakter horyzontalny – obejmuje różne zastosowania, z podejściem ryzyka („risk-based”).
  • W zależności od funkcji systemu AI, może on zostać klasyfikowany jako:
    • Unacceptable risk – zakazane praktyki (np. manipulacja, social scoring itp.)
    • High risk – systemy AI, które mogą wpływać na prawa podstawowe (np. systemy rozpoznawania twarzy, selekcji kandydatów, zdrowie, bezpieczeństwo) — wymagają zgodności z surowymi wymogami dokumentacyjnymi, oceną ryzyka, nadzorem człowieka, raportowaniem incydentów.
    • Limited risk – wymagane obowiązki transparentności (np. informowanie użytkownika, że ma do czynienia z AI)
    • Minimal risk – niewiele regulacji.

2.2. Obowiązki dla dostawców/użytkowników AI

  • Dokumentacja techniczna i oceny ryzyka
  • Mechanizmy nadzoru ludzkiego
  • Zarządzanie danymi treningowymi: jakość, brak stronniczości
  • Monitorowanie działania po uruchomieniu
  • Informowanie o interakcji AI (jeśli system działa w warunkach ograniczonego ryzyka)
  • Obowiązki raportowania incydentów (AI malfunctions, szkody wynikające z AI)

2.3. Egzekucja i harmonogram

  • AI Act wszedł w życie i będzie stosowany stopniowo — częściowo od 2025, natomiast pełne wymogi dla systemów wysokiego ryzyka mogą obowiązywać od 2027 roku.
  • Kary za naruszenie mogą być zależne od obrotu firmy (widełki 1%-7% globalnego obrotu) obrotu lub stałe (do 35 mln EURO) kwoty.
  • Kara RODO (max. 20 mln EURO lub 4% globalnego obrotu).

2.4. Eksterytorialne skutki

Nawet podmioty spoza UE (np. mające siedzibę w USA) muszą przestrzegać AI Act, jeśli dostarczają AI użytkownikom UE lub ich AI wpływa na użytkowników w UE.

3. Specyficzne ryzyka/wyzwania dla przeniesienia portalu do Polski/UE

  • Implementacja infrastruktury w UE – niezbędne jest posiadanie serwerów/chmury działającej w UE, w celu uniknięcia masowych przekazywań danych za ocean, co komplikuje zgodność z RODO.
  • Ustalenie adresu administratora w UE – może być potrzebny przedstawiciel UE lub adres w UE do kontaktu w sprawach ochrony danych.
  • Aktualizacja zgód i regulaminów – użytkownicy muszą wyrazić zgodę zgodnie z RODO, w języku lokalnym, z pełnymi informacjami o prawach.
  • Audyt AI/ocena ryzyka – należy ocenić, które komponenty AI mogą być traktowane jako high-risk; jeśli generowanie wideo obejmuje rozpoznawanie twarzy czy analizę emocji — może kwalifikować się jako high-risk.
  • Transparentność/oznaczanie treści wygenerowanej przez AI – należy informować użytkownika, że produkt/wynik został wygenerowany przez AI, tam gdzie jest to wymagane (limited risk).
  • Zgłoszenie podmiotów/współpraca z organami nadzoru – należy być gotowym do przekazania dokumentacji dla organu nadzoru (Urząd Ochrony Danych Osobowych w Polsce) i zachować audytowalność.
  • Koszty zgodności – dokumentacja, audyty, monitorowanie, zasoby prawne oraz techniczne.

4. Rekomendacje przy migracji

  1. Mapowanie danych i procesów AI – który moduł korzysta z danych osobowych, które części AI są krytyczne, jakie ryzyka generują.
  2. Lokalizacja infrastruktury – uruchomienie infrastruktury chmurowej/serwerowej w UE (Polska, Niemcy, Francja) by ograniczyć transfery poza UE.
  3. Podpisanie SCC (standardowe klauzule umowne) z każdym dostawcą/partnerem spoza UE, jeżeli dane będą przetwarzane poza UE.
  4. Przeprowadzenie DPIA/FRIA – ocena wpływu na prawa podstawowe, dokumentacja i środki łagodzące.
  5. Regulamin i polityka prywatności dostosowana do RODO i AI Act – jasne komunikaty, zgody, prawa użytkowników.
  6. Procedury monitoringu AI – logi, audyt działania, procedury reagowania na błędy/incydenty AI.
  7. Zespół compliance/prawny – by monitorować zmiany prawa AI i reagować.

5. Zestawienie różnic USA - Polska/UE z perspektywy prawa i praktyki compliance:

5.1. Serwery w USA (pozostają poza UE)

+
Zalety
  • Brak konieczności migracji danych i infrastruktury (mniejsze koszty techniczne).
  • Utrzymanie dotychczasowych kontraktów z dostawcami chmurowymi (AWS, Azure, Google itp.).

-
Wady i ograniczenia
  • Transfer danych osobowych poza EOG wymaga zastosowania mechanizmów prawnych:
  • SCC (Standardowe Klauzule Umowne), albo EU–US Data Privacy Framework (nie wszystkie firmy są certyfikowane, a decyzja może być zaskarżona w TSUE).
  • Dane trafiające do USA to ryzyko uznania transferu za nielegalny.
  • Konieczność przeprowadzenia oceny ryzyka transferu danych (TIA – Transfer Impact Assessment) i wdrożenia dodatkowych zabezpieczeń (szyfrowanie, pseudonimizacja).
  • Wyższe ryzyko kontroli UODO i potencjalnych kar (np. Meta/Facebook karany za transfer danych do USA).
  • AI Act – nie ma znaczenia lokalizacja serwera, ale dokumentacja i nadzór nad systemem AI muszą być w UE (więc i tak musisz powołać przedstawiciela).
  • Wizerunek: klienci w UE często oczekują, że dane nie opuszczają Europy.

5.2. Serwery w Polsce/UE (dane zostają w EOG)

+
Zalety
  • Dane osobowe nie opuszczają EOG co gwarantuje pełną zgodność z RODO (brak konieczności SCC, TIA, Privacy Framework).
  • Niższe ryzyko kar administracyjnych i sporów prawnych.
  • Lepszy PR/zaufanie klientów – komunikat: „Twoje dane nie opuszczają UE”.
  • Łatwiejsza współpraca z regulatorami (UODO).
  • Możliwość powołania inspektora ochrony danych (IOD) i jasne procedury.
  • Infrastruktura lokalna sprzyja także wdrożeniu AI Act – łatwiejszy nadzór nad systemem AI, oceny ryzyka i raportowanie

-
Wady i ograniczenia
  • Koszty migracji serwerów, danych i usług do UE.
  • Czas wdrożenia i możliwe opóźnienia w integracji (zwłaszcza jeśli korzystasz z amerykańskich API/AI – wtedy i tak dane mogą płynąć poza UE).
  • Potrzeba zawierania nowych umów z dostawcami chmurowymi (np. AWS Frankfurt, Google Cloud Warszawa, OVH itp.).

5.3. Podsumowanie różnic (tabela)

Kryterium Serwery w USA Serwery w Polsce
RODO
Wymagane SCC/TIA/Privacy Framework, ryzyko nielegalności
Dane w UE – brak transferu, pełna zgodność
AI Act
Nadal obowiązuje, trudniej wykazać nadzór i kontrolę
Łatwiejsze spełnienie obowiązków (audyt, raporty)
Kary/ryzyko prawne
Wyższe (precedensy TSUE, np. Schrems II)
Niższe (brak transferu do państwa trzeciego)
Zaufanie klientów
Niższe („dane w USA”)
Wyższe („dane w UE”)
Koszty
Brak migracji, niższe koszty początkowe
Koszt migracji i nowej infrastruktury
Wizerunek/compliance
Potencjalnie negatywny
Pozytywny – „EU-compliant”

Podsumowując...

Serwery w USA = większe ryzyko prawne, konieczność dodatkowych klauzul i ocen transferu.
Serwery w Polsce/UE = większa zgodność i bezpieczeństwo prawne, ale kosztowna migracja.

6. Czynności do przeniesienia portalu do UE/Polski

6.1. Scenariusz A – serwery zostają w USA

  1. Transfer danych osobowych (RODO)
    • Podpisanie SCC (Standardowych Klauzul Umownych) z dostawcą serwera (np. AWS, Google).
    • Sprawdzenie, czy dostawca jest certyfikowany w EU–US Data Privacy Framework.
    • Przeprowadzenie Transfer Impact Assessment (TIA) → ocena ryzyka przekazania danych do USA.
    • Wdrożenie dodatkowych środków technicznych: szyfrowanie end-to-end, pseudonimizacja, ograniczenie zakresu danych przesyłanych do USA.
  2. RODO – dokumentacja i procedury
    • Aktualizacja Polityki prywatności (informacja, że dane trafiają do USA).
    • Rejestr czynności przetwarzania (art. 30 RODO).
    • Procedury realizacji praw osób (dostęp, usunięcie, przeniesienie).
    • Powołanie Inspektora Ochrony Danych (IOD) w Polsce/UE.
  3. AI Act – przygotowanie
    • Klasyfikacja systemu (czy „limited risk” → obowiązek informowania użytkownika, czy „high risk” → dokumentacja, nadzór człowieka, testy zgodności).
    • Przygotowanie dokumentacji technicznej (dane treningowe, mechanizmy kontroli jakości).
    • Opracowanie procedur zgłaszania incydentów.
  4. Umowy z klientami
    • Dodanie do regulaminu klauzuli o przekazywaniu danych do USA.
    • Zawarcie DPA (Data Processing Agreements) z podwykonawcami.

6.2. Scenariusz B – serwery w Polsce/UE

  1. Migracja danych i infrastruktury
    • Wybór dostawcy serwerów/chmury w UE.
    • Plan migracji danych (minimalizacja przestoju, testy bezpieczeństwa).
    • Zawarcie umowy powierzenia przetwarzania danych z dostawcą UE.
  2. RODO – uproszczone wymogi
    • Brak potrzeby SCC i TIA → dane nie opuszczają UE.
    • Polityka prywatności z informacją: „dane przetwarzane wyłącznie w UE”.
    • Powołanie IOD (jeśli > 250 pracowników lub przetwarzanie na dużą skalę danych wrażliwych).
  3. AI Act – przygotowanie
    • Podobnie jak w Scenariuszu A: klasyfikacja systemu, dokumentacja, testy zgodności.
    • Łatwiejsza współpraca z regulatorami (UODO, KE).
  4. Umowy z klientami
    • Regulamin + polityka prywatności → wskazanie, że dane pozostają w UE.
    • Jasne zasady korzystania z usług AI, obowiązek informowania użytkownika o generowanym kontencie.

6.3. Wspólne dla obu scenariuszy

  • Privacy by design & by default → minimalizacja zbieranych danych, anonimizacja gdzie możliwe.
  • DPIA (Data Protection Impact Assessment) → obowiązkowa, jeśli system przetwarza dane biometryczne, głos, wizerunek.
  • Audyt AI → proces sprawdzania zgodności z AI Act, dokumentowanie ryzyka.
  • Polityka incydentowa → procedury na wypadek wycieku danych lub błędu AI.
  • Komunikacja marketingowa/PR → każda informacja o AI musi być zgodna z obowiązkiem transparentności (AI Act).

6.4. Rekomendacja praktyczna

  • Minimalizowanie ryzyk prawnych → serwery w UE (Polska/Niemcy) = mniej formalności, większe zaufanie klientów, łatwiejsza zgodność z RODO.
  • Priorytet czas oraz koszty → zostawienie w USA jest możliwe, ale musisz oprzeć się na SCC i EU–US Data Privacy Framework, co nadal wiąże się z ryzykiem (możliwość zakwestionowania tego mechanizmu w przyszłości przez TSUE).