Trybunał Sprawiedliwości Unii Europejskiej w wyroku z dnia 4 września 2025 r. w sprawie C-413/23 dokonał istotnych rozstrzygnięć dotyczących charakteru danych pseudonimizowanych oraz obowiązków związanych z ich udostępnianiem. Sprawa dotyczyła praktyki Jednolitej Rady ds. Restrukturyzacji i Uporządkowanej Likwidacji (SRB), która przekazywała spseudonimizowane dane w ramach procedury odszkodowawczej dla akcjonariuszy i wierzycieli. Europejski Inspektor Ochrony Danych zakwestionował zgodność takiego działania z przepisami o ochronie danych osobowych, uznając, że przekazane informacje zachowały charakter danych osobowych. Pseudonimizacja to nie anonimizacja Trybunał potwierdził, że pseudonimizacja nie jest równoznaczna z anonimizacją. Usunięcie lub zastąpienie bezpośrednich identyfikatorów nie powoduje automatycznie utraty charakteru danych osobowych, jeżeli istnieje […]
AI Act pod lupą organów ochrony danych
26 stycznia 2026 | Karolina Misiak
Europejska Rada Ochrony Danych (European Data Protection Board – EDPB) stanowi kluczowy element systemu ochrony danych osobowych w Unii Europejskiej. Jej zadaniem jest zapewnianie jednolitej interpretacji i stosowania rozporządzenia ogólnego o ochronie danych osobowych (RODO) we wszystkich państwach członkowskich oraz podejmowanie wiążących decyzji w ramach tzw. mechanizmu spójności.
Europejski Inspektor Ochrony Danych (European Data Protection Supervisor – EDPS) to niezależny organ nadzoru Unii Europejskiej, którego głównym zadaniem jest zagwarantowanie, że instytucje i organy europejskie respektują prawo do prywatności i ochrony danych osobowych.
20 stycznia 2026 r. Europejska Rada Ochrony Danych oraz Europejski Inspektor Ochrony Danych przyjęli wspólne stanowisko dotyczące propozycji Komisji Europejskiej, której celem jest uproszczenie wdrażania aktu o sztucznej inteligencji (AI Act). Co naprawdę wynika z 114. posiedzenia plenarnego EROD oraz EIOD?
Dlaczego EROD i EIOD zabrali głos?
Komisja Europejska zaproponowała pakiet zmian mających ułatwić praktyczne stosowanie AI Act, zwłaszcza dla podmiotów rozwijających i wdrażających systemy AI. EROD i EIOD co do zasady poparli kierunek upraszczania przepisów, ale jednocześnie uznali, że niektóre z proponowanych rozwiązań idą za daleko. W swoim komunikacie oba organy jasno wskazują, że:
- AI Act musi być wdrażany w sposób spójny z RODO,
- ochrona danych osobowych nie jest „kosztem regulacyjnym”, który można ograniczyć w imię innowacji,
- systemy AI – zwłaszcza wysokiego ryzyka – wymagają realnych mechanizmów nadzoru i rozliczalności.
Rejestr systemów wysokiego ryzyka – dlaczego to takie ważne?
Jednym z najbardziej krytycznych punktów stanowiska EROD i EIOD jest sprzeciw wobec propozycji ograniczenia obowiązku rejestracji systemów AI wysokiego ryzyka. Zdaniem organów ochrony danych:
- rejestr pełni kluczową funkcję transparentności,
- umożliwia skuteczny nadzór publiczny,
- jest jednym z niewielu narzędzi pozwalających realnie ocenić skalę stosowania AI wysokiego ryzyka w UE.
Usunięcie lub osłabienie tego obowiązku zostałoby odebrane jako krok wstecz w ochronie praw podstawowych, w szczególności w obszarach takich jak zatrudnienie, ochrona zdrowia, edukacja czy dostęp do usług publicznych.
Dane wrażliwe i AI – zgoda tylko w wyjątkowych sytuacjach
EROD i EIOD odnieśli się również do wyjątkowo delikatnej kwestii, jaką jest wykorzystywanie szczególnych kategorii danych osobowych (np. danych o zdrowiu, pochodzeniu etnicznym czy poglądach) w systemach AI. Organy dopuszczają możliwość takiego przetwarzania wyłącznie w ściśle określonych przypadkach, m.in., gdy:
- celem jest wykrywanie i eliminowanie stronniczości algorytmicznej,
- zagrożenie dla praw podstawowych jest realne i udokumentowane,
- wdrożono odpowiednie środki techniczne i organizacyjne.
Nie jest to więc „zielone światło” dla szerokiego wykorzystania danych wrażliwych w AI, lecz raczej ostrożnie sformułowany wyjątek, który ma zapobiegać dyskryminacji, a nie ją pogłębiać.
Środowiska testowe dla systemów AI – tak, ale z udziałem organów ochrony danych
EROD i EIOD pozytywnie oceniają ideę tzw. regulatory sandboxes, czyli środowisk testowych dla innowacyjnych rozwiązań AI. Jednocześnie podkreślają, że:
- organy ochrony danych muszą być realnie włączone w ich funkcjonowanie,
- ich rola nie może ograniczać się do formalnego „zatwierdzania” projektów,
- sandboxy nie mogą stać się sposobem na omijanie RODO.
W praktyce oznacza to, że testowanie AI nie zwalnia z obowiązków w zakresie ochrony danych – przeciwnie, wymaga szczególnej staranności.
Jasny podział kompetencji – warunek skutecznego nadzoru
W swoim stanowisku EROD i EIOD wyraźnie wskazują na potrzebę:
- jednoznacznego rozgraniczenia kompetencji między organami ochrony danych a innymi organami nadzoru rynku,
- zachowania niezależności organów ochrony danych,
- zapewnienia skutecznej współpracy instytucjonalnej, bez rozmywania odpowiedzialności.
To istotny sygnał, że ochrona danych osobowych nie może zostać podporządkowana ogólnemu nadzorowi nad systemami AI, lecz powinna pozostać autonomicznym filarem systemu ochrony praw jednostki.
Co to oznacza w praktyce?
Stanowisko przyjęte na 114. posiedzeniu plenarnym EDPB pokazuje, że:
- AI Act będzie interpretowany i stosowany w ścisłym powiązaniu z RODO,
- uproszczenia legislacyjne nie oznaczają „poluzowania” standardów ochrony danych,
- administratorzy i dostawcy systemów AI muszą liczyć się z aktywną rolą organów ochrony danych.
Dla praktyków ochrony danych i compliance to jasny sygnał: AI i RODO to nie dwa odrębne światy, lecz system naczyń połączonych, w którym każde uproszczenie musi być równoważone realnymi zabezpieczeniami.
Nasza kancelaria na bieżąco monitoruje zmiany w unijnych regulacjach dotyczących ochrony danych osobowych oraz rozwoju i stosowania systemów sztucznej inteligencji, w tym w szczególności prace związane z wdrażaniem AI Act. Zapewniamy wsparcie w zakresie dostosowania działalności do nowych wymogów regulacyjnych, oceny ryzyk prawnych związanych z wykorzystaniem AI w kontekście ochrony danych osobowych.
Wpis nie stanowi porady ani opinii prawnej w rozumieniu przepisów prawa oraz ma charakter wyłącznie informacyjny. Stanowi wyraz poglądów jego autora na tematy prawnicze związane z treścią przepisów prawa, orzeczeń sądów, interpretacji organów państwowych i publikacji prasowych. Kancelaria Ostrowski i Wspólnicy Sp.K. i autor wpisu nie ponoszą odpowiedzialności za ewentualne skutki decyzji podejmowanych na jego podstawie.
Powiązane posty
Pseudonimizacja a status odbiorcy danych w świetle wyroku TSUE z 4 września 2025 r. (C-413/23)
29 września 2025 | Aleksandra Ziętek
AI Act wchodzi w życie – jakie regulacje obowiązują od 2 lutego 2025 r.?
13 lutego 2025 | Aleksandra Ziętek
2 lutego 2025 roku w życie weszły pierwsze przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2024/1689 z dnia 13 czerwca 2024 r., znanego jako Akt w sprawie sztucznej inteligencji (AI Act). Nowe regulacje mają na celu zapewnienie bezpiecznego i etycznego wykorzystania systemów sztucznej inteligencji w Unii Europejskiej. Ogólnie rzecz ujmując obowiązujące już przepisy wprowadzają zakazy dotyczące niebezpiecznych technologii oraz obowiązek podnoszenia kwalifikacji użytkowników AI. Zakazane praktyki – czego nie wolno? Od lutego 2025 r. obowiązuje zakaz stosowania i wprowadzania na rynek systemów AI uznanych za szczególnie ryzykowne. Obejmuje on m.in.: Manipulacja ludźmi:Regulacja ta zakazuje wykorzystywania sztucznej inteligencji do manipulacji użytkownikami, […]
AI Act czyli Akt o sztucznej inteligencji – po miesiącach batalii mamy porozumienie!
18 stycznia 2024 | Artur Kruziński
AI Act (ang. Artificial Intelligence Act) to rozporządzenie unijne w sprawie sztucznej inteligencji, nad którym prace trwają już od 2021 r. W ubiegłym roku nieustannie prowadzono rozmowy na poziomie UE nad jego treścią, co zaowocowało osiągnięciem porozumienia w tym zakresie. Więcej informacji o wyżej wskazanym akcie prawnym przybliżamy w niniejszym artykule. Czym jest AI Act i czemu ma służyć? Głównym zadaniem przedmiotowego rozporządzenia ma być uregulowanie ram prawnych w związku z rozwojem sztucznej inteligencji. AI Act ma przede wszystkim służyć zapewnieniu bezpiecznego funkcjonowania systemów opartych o sztuczną inteligencję. Rozporządzenie ma również ustanawiać zakazy dotyczące określonych praktyk w zakresie sztucznej inteligencji, […]