Zgodność · Przewodnik
Agenci AI zgodni z DSGVO — czego naprawdę potrzeba
DSGVO ma zastosowanie do każdej platformy agentów AI, która przetwarza dane osobowe obywateli UE, niezależnie od lokalizacji dostawcy. Zgodność to więcej niż plakietka „Jesteśmy zgodni": wymaga podstawy prawnej dla każdej czynności przetwarzania, praw osób, których dane dotyczą, zaimplementowanych na poziomie danych, podpisanej umowy DPA między klientem a dostawcą, izolowanego magazynu dla każdego najemcy, przejrzystej polityki szkolenia modeli i dzienników audytu, które przetrwają kontrolę organu nadzorczego. Specjalnie dla agentów AI, artykuł 22 (zautomatyzowane podejmowanie decyzji) dodaje wyraźne wymagania: klient — a nie dostawca — musi określić, kiedy wymagana jest weryfikacja przez człowieka.
DSGVO przeformułowane dla platform agentów AI
Sześć podstawowych zasad z artykułu 5 DSGVO, przetłumaczone na to, co oznaczają dla dostawcy agentów AI.
Zgodność z prawem, rzetelność i przejrzystość
Każda czynność przetwarzania wymaga podstawy prawnej (zgoda, umowa, uzasadniony interes itp.) rejestrowanej dla każdej akcji. Klienci uzyskują przejrzystość w zakresie sposobu rozumowania i podejmowania decyzji przez agentów.
Ograniczenie celu
Dane zebrane dla akcji agenta nie mogą być wykorzystywane do innych celów bez nowej podstawy prawnej. Brak klauzul typu „Wykorzystujemy Twoje dane do ulepszania produktu".
Minimalizacja danych
Agenci uzyskują dostęp tylko do pól, które są im potrzebne do konkretnego zadania. Minimalne zakresy OAuth 2.0 egzekwują to na poziomie integracji.
Prawidłowość
Wyniki są weryfikowalne; błędne wyniki agenta mogą być korygowane lub usuwane. Dziennik audytu śledzi każdą wersję każdego zestawu danych.
Ograniczenie przechowywania
Konfigurowalne przez klienta przechowywanie dla każdej kategorii danych. Transkrypcje rozmów agentów, nagrania połączeń i zdarzenia CRM mają konfigurowalne TTL.
Integralność i poufność
Szyfrowanie w spoczynku (AES-256) i w transporcie (TLS 1.3). Izolacja najemców kryptograficzna, a nie tylko logiczna. Cel audytu SOC 2 Type I Q3 2026.
10 technicznych implementacji, które dowodzą zgodności z DSGVO
Dostawca może twierdzić, że jest zgodny. Oto implementacje, które pokaże, gdy pojawi się audytor.
Podstawa prawna dla każdej akcji
Każda akcja agenta dokumentuje swoją podstawę prawną (zgoda, umowa, uzasadniony interes, obowiązek prawny). Możliwość eksportu na żądanie dla każdej osoby, której dane dotyczą.
Eksport danych osoby
Eksport jednym kliknięciem wszystkiego, co platforma posiada na temat wskazanej osoby, której dane dotyczą — CRM, e-maile, transkrypcje połączeń, wyniki generowane przez agenta.
Usunięcie danych w ramach najemcy
Usunięcie danych propagowane przez każdą pamięć podręczną agenta i współdzielony graf danych w ciągu 30 dni. Brak „miękkiego usuwania" — rzeczywiste usunięcie z dowodem usunięcia.
Strukturalny eksport
Eksport wszystkich danych klienta w formacie czytelnym maszynowo (JSON, CSV), nie tylko danych osobowych. Możliwość ponownego importu do platform konkurencji za pomocą standardowych schematów.
Brama weryfikacji przez człowieka
Decyzje wysokiego ryzyka (płatności powyżej progu, blokady kont, klauzule umowne o wysokiej wartości) domyślnie wymagają zatwierdzenia przez człowieka. Konfigurowalne zgodnie z polityką klienta.
Izolacja najemców
Kryptograficzna izolacja najemców od poziomu bazy danych w górę. Brak współdzielonych magazynów wektorowych, brak współdzielonych pamięci podręcznych promptów między klientami.
DPA z listą podprzetwarzających
Podpisana umowa DPA między klientem a dostawcą. Lista podprzetwarzających (w tym dostawców LLM) opublikowana i wersjonowana. Klienci są informowani o zmianach podprzetwarzających z terminem na wniesienie sprzeciwu.
Dziennik audytu
Niezmienny dziennik audytu każdej akcji agenta: sygnatura czasowa, tożsamość agenta, dane wejściowe, dane wyjściowe, pewność, podstawa prawna, identyfikator osoby, której dane dotyczą. Możliwość eksportu dla organu nadzorczego.
Szyfrowanie + kontrola dostępu
AES-256 w spoczynku, TLS 1.3 w transporcie. RBAC dla operatorów ludzkich. Agenci uwierzytelniani na każde żądanie. Rotacja kluczy zgodnie z harmonogramem.
Procedura naruszenia
Wykrycie → Triage → Powiadomienie klienta w ciągu 72 godzin od powzięcia wiadomości. Zautomatyzowane i ćwiczone kwartalnie.
Częste ryzyka DSGVO związane z agentami AI — i jak je łagodzić
Tryby błędów, których szukają audytorzy. Każde ryzyko ma konkretny wzorzec łagodzenia.
Dostawcy LLM wykorzystują Twoje prompty do szkolenia swoich modeli.
Korzystaj tylko z dostawców z podpisanymi klauzulami o braku szkolenia na treściach klienta. Zweryfikuj to w DPA, a nie tylko na stronie marketingowej.
Transkrypcje rozmów wyciekają przez współdzielony magazyn wektorowy między najemcami.
Wymagaj izolowanych osadzeń dla każdego najemcy. Poproś dostawcę o pokazanie układu bazy danych — współdzielone kolekcje to czerwona flaga.
Dzienniki agentów zawierają dane osobowe, które są przechowywane dłużej niż to konieczne.
Konfigurowalne przez klienta przechowywanie dzienników dla każdej kategorii danych. Domyślnie 90 dni dla danych nieuregulowanych, 10 lat tylko dla danych związanych z GoBD/podatkami.
Nagrania telefoniczne są przechowywane bez wyraźnej zgody.
Agent połączeń wyjaśnia nagrywanie na początku rozmowy. Zgoda jest rejestrowana w dzienniku audytu z sygnaturą czasową i identyfikatorem dzwoniącego. Redakcja jednym kliknięciem na żądanie.
Podprzetwarzający spoza UE przetwarzają dane osobowe.
Opcja rezydencji danych tylko w UE. W przypadku korzystania z podprzetwarzających z USA, DPF (Data Privacy Framework) lub standardowe klauzule umowne z weryfikowalną oceną skutków transferu.
Decyzje agenta nie mogą być kwestionowane, ponieważ rozumowanie jest nieprzejrzyste.
Każda decyzja agenta rejestruje swoją ścieżkę rozumowania. Osoby, których dane dotyczą, otrzymują rozumowanie (w postaci zwykłego tekstu) na żądanie z art. 15.
Zapomniana integracja nadal posiada tokeny OAuth po Twoim wypowiedzeniu.
Odwołanie tokena po wypowiedzeniu jest automatyczne. Klient może również odwołać zgodę u źródła (ustawienia konta Google/Microsoft) jednym kliknięciem.
Na co zwrócić uwagę w DPA dostawcy
Poproś o szablon DPA przed zakupem, a nie podczas onboardingu. To są klauzule, które liczą się najbardziej.
- ✓Wyraźna klauzula o braku szkolenia: treści klienta nigdy nie są wykorzystywane do szkolenia modeli, bez drobnego druku dotyczącego rezygnacji
- ✓Lista podprzetwarzających załączona, wersjonowana i termin powiadomienia przed zmianami (minimum 30 dni)
- ✓Terminy dla żądań osób, których dane dotyczą: dostęp z art. 15 w ciągu 30 dni, usunięcie danych z art. 17 w ciągu 30 dni, w tym kaskada procesorów niższego szczebla
- ✓Prawa do audytu: klient może corocznie lub częściej w razie potrzeby sprawdzać kontrole bezpieczeństwa dostawcy
- ✓Powiadomienie o naruszeniu: 48 godzin między powzięciem wiadomości przez dostawcę a powiadomieniem klienta (surowsze niż 72-godzinne zgłoszenie do organu nadzorczego DSGVO)
- ✓Zobowiązanie do rezydencji danych: gdzie dane są przechowywane, przetwarzane, zabezpieczane — pisemnie, a nie „zazwyczaj w UE"
- ✓Zwrot i usunięcie danych po wypowiedzeniu: dane w formie przenośnej zwrócone w ciągu 30 dni; dowód usunięcia wystawiony w ciągu 60 dni
- ✓Jasność co do górnego limitu odpowiedzialności: specjalnie dla naruszeń ochrony danych, oddzielnie od ogólnego limitu odpowiedzialności
- ✓Prawo właściwe i jurysdykcja: idealnie państwo członkowskie UE klienta, a nie jurysdykcja macierzysta dostawcy
Lista kontrolna DSGVO dla kupujących agentów AI — 12 punktów
Wydrukuj to. Wyślij to dostawcy przed podpisaniem umowy. Jeśli odpowiedź brzmi „Pracujemy nad tym", odłóż zakup.
Umowa powierzenia przetwarzania danych (DPA)
Czy dostawca standardowo podpisuje DPA zgodne z DSGVO, a nie negocjowane dla każdego klienta?
Brak szkolenia w umowie
Czy „Nigdy nie szkolimy na treściach klienta" jest zapisane w samej DPA, a nie tylko na stronie internetowej?
Izolacja najemców
Czy izolacja najemców jest kryptograficzna — oddzielne klucze szyfrujące dla każdego klienta — czy tylko logiczna partycjonowanie?
Przejrzystość podprzetwarzających
Czy istnieje publiczna lista podprzetwarzających z historią wersji? Czy dostawca LLM jest na liście?
Rezydencja danych
Gdzie dane klienta są przechowywane, przetwarzane i zabezpieczane? Czy opcja „tylko UE" jest dostępna?
Eksport danych dla prawa dostępu
Czy możesz wywołać pełny eksport z art. 15 z interfejsu administratora, czy wymaga to zgłoszenia do wsparcia?
Kaskada usuwania danych
Czy usunięcie danych jest propagowane do wszystkich pamięci podręcznych agentów, magazynów wektorowych i podprzetwarzających w ciągu 30 dni?
Weryfikacja przez człowieka z art. 22
Czy możesz skonfigurować, które decyzje agenta wymagają zatwierdzenia przez człowieka? Domyślnie zatwierdzenie dla działań destrukcyjnych.
Eksport dziennika audytu
Czy dziennik audytu jest eksportowalny w formacie użytecznym dla zapytań organów nadzorczych (JSON, CSV)?
Czas powiadomienia o naruszeniu
Czy dostawca zobowiązuje się powiadomić Cię w ciągu 48–72 godzin od powzięcia wiadomości o naruszeniu?
Zgoda na rozmowę telefoniczną
Jeśli używane są agenci głosowi, czy platforma uwzględnia zasady zgody specyficzne dla jurysdykcji (obustronna w DE/AT/CH)?
Plan wyjścia
Jeśli rezygnujesz, czy istnieje udokumentowany proces zwrotu i usunięcia danych z dowodem usunięcia?
Często zadawane pytania
Czy platforma agentów AI jest administratorem czy podmiotem przetwarzającym dane zgodnie z DSGVO?+
W prawie wszystkich scenariuszach MŚP, klient jest administratorem, a platforma agentów AI jest podmiotem przetwarzającym. Platforma działa zgodnie z instrukcjami klienta, przetwarza dane w ramach najemcy klienta i nie określa celów przetwarzania.
Czy artykuł 22 (zautomatyzowane podejmowanie decyzji) zabrania agentów AI?+
Nie. Artykuł 22 wymaga, aby osoby, których dane dotyczą, miały prawo do weryfikacji przez człowieka w przypadku decyzji wywołujących skutki prawne lub podobnie istotne. Platformy agentów AI są zgodne, oferując konfigurowalne bramy zatwierdzenia przez człowieka dla każdego typu decyzji. Klienci (administratorzy) konfigurują, które decyzje podlegają weryfikacji przez człowieka.
Czy mogę korzystać z platformy agentów AI z siedzibą w USA zgodnie z DSGVO?+
Tak, jeśli dostawca działa w ramach EU-US Data Privacy Framework lub korzysta ze standardowych klauzul umownych z ważną oceną skutków transferu. Przed podpisaniem zapytaj o certyfikację DPF lub dokumentację SCC. Preferowanie dostawców z UE upraszcza sprawę.
Czy agenci AI podlegają również pod EU AI Act, oprócz DSGVO?+
Tak. EU AI Act dodaje do DSGVO wymagania dotyczące przejrzystości, klasyfikacji ryzyka i nadzoru ludzkiego. Większość biznesowych agentów AI mieści się w kategorii „ograniczonego ryzyka" (wymagana przejrzystość w zakresie korzystania z AI), a nie „wysokiego ryzyka". Agenci głosowi podlegają dodatkowo zasadom przejrzystości, które wymagają ujawnienia, że użytkownik rozmawia z AI.
Jaki jest największy czynnik ryzyka DSGVO dla kupujących agentów AI?+
Klauzule szkoleniowe. Wielu dostawców ma domyślnie opcję rezygnacji z funkcji ulepszania modelu, co jest praktycznie niewykonalne dla MŚP z wieloma użytkownikami. Nalegaj na umowny standard braku szkolenia w DPA.
Czy nagrania połączeń zawsze wymagają zgody zgodnie z DSGVO?+
W Austrii, Niemczech i Szwajcarii: tak, obie strony muszą wyrazić zgodę przed nagraniem. W innych państwach członkowskich UE zasady zgody różnią się. Zgodna platforma agentów głosowych wyjaśnia nagrywanie na początku rozmowy i rejestruje zgodę w dzienniku audytu — tak to działa we wszystkich jurysdykcjach.
Jak długo muszę przechowywać dzienniki audytu agentów?+
Dla nieuregulowanych danych biznesowych: wybór klienta, domyślnie 90 dni. Dla działań związanych z podatkami (faktury, płatności): 10 lat zgodnie z GoBD (DE) / RGS (AT). Agent ds. zgodności rozdziela te dwa, abyś nie przechowywał danych niepodatkowych zbyt długo.
Pobierz DPA przed zakupem
Zarezerwuj 30-minutową sesję z naszym zespołem ds. zgodności. Przejdziemy przez pełną DPA, listę podprzetwarzających i protokólarnie odpowiemy na każde z 12 pytań z listy kontrolnej.