1. Czy oni uczą się na Twoich danych?
Plany darmowe i konsumenckie u większości dostawców domyślnie używają Twoich rozmów do trenowania modeli. Plany biznesowe i API, co do zasady, nie.
BEZPIECZNE AI W FIRMIE
Jakich modeli AI mogę bezpiecznie używać w firmie?
RODO, AI Act, subskrypcje i chmura wytłumaczone po ludzku. Bez prawniczego żargonu. Stan na maj 2026.
Werdykt w 30 sekund
Tak, możesz używać AI w firmie. Pod jednym warunkiem: nie na koncie konsumenckim.
Granica bezpieczeństwa nie przebiega między dostawcami, tylko między planem darmowym a biznesowym.
Trzy pytania, które decydują o wszystkim
Zanim wpiszesz cokolwiek firmowego do AI, odpowiedz sobie na trzy pytania. One rozstrzygają, czy działasz legalnie i bezpiecznie.
2. Gdzie fizycznie są Twoje dane?
Unia Europejska, Stany Zjednoczone, a może Chiny. Transfer danych poza Europejski Obszar Gospodarczy wymaga dodatkowych zabezpieczeń prawnych.
3. Czy masz z nimi umowę (DPA)?
Bez umowy powierzenia przetwarzania danych (DPA wg art. 28 RODO) firma nie ma legalnej podstawy, by przekazywać dostawcy AI dane osobowe.
Plan darmowy kontra plan biznesowy
To jest klucz całej strony. Większość ludzi nie wie, że darmowy ChatGPT, Claude czy Gemini domyślnie uczą się na tym, co wpiszesz.
| Co się dzieje z danymi | Konto konsumenckie (Free, Plus, Pro) | Konto biznesowe (Team, Enterprise, API) |
|---|---|---|
| Uczą się na Twoich danych? | Zwykle tak (czasem można wyłączyć) | Co do zasady nie |
| Umowa o ochronie danych | Brak | Dostępna |
| Kto decyduje o przechowywaniu | Dostawca, ograniczony wpływ | Twoja firma |
| Można w ogóle nie zapisywać danych? | Nie | Tak (Enterprise, API) |
Czego nauczył nas Samsung
W 2023 roku inżynierowie Samsunga wkleili tajny kod i notatki zarządu do darmowego ChatGPT. Dane trafiły do procesu treningu modelu. Firma wprowadziła globalny zakaz narzędzi generatywnych.
Wniosek: to nie teoria. Konsumenckie konto AI plus firmowe dane to przepis na wyciek. Zjawisko ma nawet nazwę: Shadow AI.
Retencja, której nie widać
Na planach konsumenckich Twoje rozmowy potrafią żyć latami. Część dostawców przechowuje dane do treningu lub weryfikacji jakości przez 3 do 5 lat, nawet po usunięciu czatu z widoku.
Wniosek: usunięcie rozmowy z ekranu nie znaczy, że dane zniknęły z serwerów dostawcy.
Pięciu dostawców pod lupą RODO
OpenAI, Anthropic, Google Gemini, xAI Grok i Moonshot Kimi. Rozdzielamy plany, bo Enterprise daje więcej niż Team, a API natywne dostawcy to co innego niż to samo API uruchomione przez chmurę UE (Bedrock, Vertex). Te różnice decydują o zgodności z RODO.
| Dostawca i plan | Uczą się? | Jak długo trzymają | Umowa DPA | Dane w UE? | Bezpieczeństwo |
|---|---|---|---|---|---|
| OpenAI · Free, Plus, Pro | Tak, można wyłączyć | póki nie usuniesz | Brak | Nie (USA) | Podstawowe |
| OpenAI · Business (dawniej Team) | Nie | ustala firma | Tak | Nie | Pełne (ISO, SOC 2) |
| OpenAI · Enterprise | Nie | firma, można zero | Tak | Tak | Pełne + dostęp |
| OpenAI · API (u dostawcy) | Nie | do 30 dni, można zero | Tak | Tak | Pełne + medyczny |
| Anthropic · Free, Pro, Max | Tak, można wyłączyć | nawet do 5 lat | Brak | Nie (USA) | Podstawowe |
| Anthropic · Team | Nie | ustala firma | Tak | Nie (USA) | Pełne (ISO, SOC 2) |
| Anthropic · Enterprise | Nie | firma, można zero | Tak | Nie (USA) | Pełne + dostęp |
| Anthropic · API (u dostawcy) | Nie | 7 dni, można zero | Tak | Nie (USA) | Pełne + medyczny |
| Google · konto prywatne, Advanced | Tak | 18 mies., do 3 lat | Brak | Nie | Podstawowe |
| Google · Workspace Business, Enterprise | Nie | ustala firma | Tak | Tak | Pełne (ISO, SOC 2) |
| Google · API (AI Studio) | Free tak, płatny nie | wg planu | Tak (płatny) | Nie | Pełne (płatny) |
| xAI Grok · Free w X, SuperGrok | Tak, można wyłączyć | póki nie usuniesz | Brak | Niejasne | Brak |
| xAI Grok · API (u dostawcy) | Nie | do 30 dni, można zero | Tak | Niejasne | SOC 2 |
| Moonshot Kimi · web i API | Tak, trudno wyłączyć | bezterminowo | Brak | Nie (Azja) | Brak |
API u dostawcy to dostęp bezpośrednio u twórcy modelu (np. api.openai.com, api.anthropic.com; u Google tę rolę pełni Vertex AI). Każdy z tych modeli możesz też uruchomić przez chmurę enterprise z rezydencją danych w UE (AWS Bedrock, Microsoft Azure, Google Vertex). Opisujemy to niżej w sekcji „Chmura UE”.
Co znaczą te pojęcia (po ludzku)
- Uczą się na danych
- Czy dostawca używa tego, co wpiszesz, do trenowania swojego AI. W firmie chcesz „Nie”.
- Zero zapisu
- Dane znikają zaraz po wygenerowaniu odpowiedzi, nic nie zostaje na serwerze.
- Umowa o ochronie danych (DPA)
- Umowa wymagana przez RODO, w której dostawca zobowiązuje się chronić dane Twojej firmy. Bez niej nie wolno przekazywać danych osobowych.
- Bezpieczeństwo (ISO, SOC 2)
- Niezależne audyty potwierdzające, że dostawca trzyma standardy. "Pełne" to komplet uznanych certyfikatów.
OpenAI
Bezpieczny dla firmyW planach Team, Enterprise i API nie trenuje na danych, daje DPA i tryb zero zapisu. Enterprise i API mają rezydencję danych w UE (od 2025), a administratorem dla EOG jest OpenAI Ireland. Free, Plus i Pro nie nadają się do danych firmowych.
Anthropic (Claude)
Bezpieczny dla firmyFirmy spokojnie używają Claude w planach Team, Enterprise i API: brak treningu na danych, DPA, tryb zero retencji. Jeden niuans dla RODO: rezydencję danych w UE daje uruchomienie Claude przez Amazon Bedrock lub Google Vertex w regionie UE, bo sama aplikacja Claude.ai działa na serwerach w USA.
Google Gemini
Bezpieczny dla firmyNajmocniejsza izolacja i rezydencja danych w planach Google Workspace oraz Vertex AI, w tym region Warszawa dla wybranych modeli. Konto prywatne jest ryzykowne, bo weryfikacja jakości może przechowywać rozmowy do 3 lat.
xAI Grok
Niezalecany do danych firmyW planach API i Enterprise xAI ma już DPA i deklaruje brak treningu na danych, z opcją zero zapisu. Mimo to dla wrażliwych danych pozostaje ostrożny wybór: silne powiązanie z platformą X, brak jasnej pełnej rezydencji w UE (dane głównie w USA) i trwające postępowania europejskich organów ochrony danych. Bezpieczniej OpenAI, Anthropic lub Google.
Moonshot Kimi
Nie dla danych firmy z UEModel wydajny, ale firma działa w jurysdykcji Chin i Singapuru, bez umowy DPA i bez rezydencji danych w UE, z treningiem na danych. Bezpiecznie tylko jako model open-weights uruchomiony na certyfikowanej infrastrukturze UE, nie przez natywne Kimi.
Źródła: oficjalne polityki prywatności i warunki dostawców, stan na maj 2026 (m.in. openai.com/enterprise-privacy, privacy.claude.com, cloud.google.com/vertex-ai). Polityki dostawców zmieniają się często, sprawdź aktualną wersję u źródła.
Chmura UE: ten sam model, mocniejsze gwarancje
Najbezpieczniejsza opcja dla danych firmowych. Ten sam model (Claude, GPT czy Gemini) uruchomiony przez chmurę enterprise (AWS Bedrock, Microsoft Azure, Google Vertex) daje brak treningu na danych, dane w regionie UE i prywatne połączenia sieciowe.
| Platforma | Modele (maj 2026) | Uczą się? | Dane w UE? | Bezpieczeństwo |
|---|---|---|---|---|
| Amazon Bedrock | Claude Opus 4.8, Nova 2, Llama 4, Mistral, DeepSeek | Nie | Tak | Pełne |
| Microsoft Azure (modele OpenAI) | GPT-5.5, GPT-5.4 (Thinking, Pro), mini, nano | Nie | Tak | Pełne |
| Google Vertex AI | Gemini 3.5, Claude Opus 4.8, Llama, Mistral | Nie | Tak | Pełne |
Chmura jest właściwym wyborem
Gdy budujesz asystenta na własnych danych firmy, działasz w sektorze wrażliwym (medycyna, kancelaria) albo przetwarzasz dokumenty masowo.
Realny koszt: utrzymanie własnego rozwiązania na danych firmowych to rząd 500 do 800 USD miesięcznie samej infrastruktury, niezależnie od kosztu zapytań.
Wystarczy zwykła subskrypcja
Mała firma bez automatyzacji i bez własnych baz danych nie potrzebuje budować platformy chmurowej.
Wystarczy: subskrypcja biznesowa per osoba, na przykład Microsoft Copilot albo ChatGPT Team, rzędu 20 do 30 USD miesięcznie. Mniej ryzyka i brak kosztów ukrytych.
Źródła: dokumentacja AWS, Microsoft i Google dotycząca prywatności i regionów danych. Stan na maj 2026, do potwierdzenia u dostawcy przed wdrożeniem.
RODO i AI Act bez prawniczego żargonu
Jako firma jesteś użytkownikiem gotowych modeli, nie ich twórcą. To upraszcza Twoje obowiązki, ale ich nie zeruje.
Luty 2025 · już obowiązuje
Kompetencje AI
Przeszkól zespół z AI i zachowaj dowód. Najczęściej pomijany obowiązek.
Grudzień 2026
Przejrzystość
Oznaczaj treści tworzone przez AI i rozmowy z chatbotem.
Grudzień 2027
Wysokie ryzyko
Pełne rygory dla AI w rekrutacji, HR i ocenie ludzi.
Pięć rzeczy, które firma musi mieć
Niezależnie od dostawcy. To minimum, które chroni przed karą.
1
Polityka używania AI
Co wolno, czego nie i kto tego pilnuje.
2
Umowa o ochronie danych
Z każdym dostawcą AI (DPA). Wymóg RODO.
3
Ocena ryzyka (DPIA)
Gdy używasz danych osobowych w nowym narzędziu.
4
Rejestr narzędzi AI
Spis, czego i gdzie w firmie używacie.
5
Dowody szkoleń
Potwierdzenie przy każdym pracowniku.
Źródła: tekst AI Act (artificialintelligenceact.eu), EU-US Data Privacy Framework (dataprivacyframework.gov). Stan na maj 2026.
Co wolno wrzucać do AI
Najważniejsze: dane z czerwonej kolumny nie są zakazane w ogóle. One po prostu nie mogą trafić na darmowe ani konsumenckie konto. Na koncie biznesowym, Enterprise albo w chmurze UE z umową o ochronie danych możesz przetwarzać też dane wrażliwe.
Można
- Treści publiczne i ogólnodostępne
- Ogólne pytania i badanie trendów
- Szkice i notatki bez nazw klientów
- Dane w pełni zanonimizowane
Tylko z ostrożnością
- Wewnętrzne dokumenty robocze
- Dane klientów po anonimizacji
- Fragmenty kodu bez sekretów i haseł
- Materiały na planie biznesowym z DPA
Nigdy na darmowym ani konsumenckim koncie
- Dane osobowe wrażliwe, PESEL, dane medyczne
- Dane finansowe wymagające ochrony
- Tajemnice firmy, własność intelektualna, NDA
- Hasła, klucze i dane logowania
Chcesz użyć AI do danych finansowych, umów albo danych klientów? Da się, ale tylko na koncie biznesowym lub Enterprise albo w chmurze UE (Bedrock, Azure, Vertex) z umową o ochronie danych. Nigdy na darmowym czacie.
NASTĘPNY KROK
Bezpiecznie wdróż AI w firmie
Zacznij od wyboru właściwych narzędzi i przeszkolenia zespołu. Resztę masz w tabelach wyżej.
Materiał edukacyjny, nie porada prawna. Stan na maj 2026. Przed wdrożeniem potwierdź aktualny stan u dostawcy i ze swoim doradcą.