RODO + stos AI dla email: 7-punktowa checklista audytu

Większość zakupów AI dla email odbywa się z 30-minutowym demo, ofertą cenową i zerową recenzją zgodności. Tak 12-osobowa polska agencja marketingowa skończyła płacąc 18 000 euro kar po zapytaniu UODO w 2025. Zespół sprzedaży dostawcy zapewnił ich „jesteśmy zgodni z RODO” — co było prawdą na jednym poziomie (mieli DPA) i fałszem na innym (DPA nie pokrywało relacji z podprzetwarzającym OpenAI).

7 pytań

1. Artykuł 28 — Czy dostępne jest DPA?

Poproś o szablon DPA. Przeczytaj go. Zweryfikuj, że nazywa: administratora (ciebie), przetwarzającego (dostawcę), wszystkich podprzetwarzających (OpenAI, Anthropic, AWS itd.), kategorie danych osobowych, środki bezpieczeństwa i SLA powiadomienia o naruszeniu.

Dobra odpowiedź: 6-10 stronicowe DPA, podprzetwarzający nazwani, 72-godzinne powiadomienie o naruszeniu. Odpowiedź typu „odejdź”: „prześlemy ci jedno po podpisaniu”.

2. Artykuł 35 — Czy DPIA zostało wypełnione?

AI dla email to systematyczne automatyczne przetwarzanie danych osobowych na dużą skalę — DPIA jest wymagane. Poproś o streszczenie wykonawcze.

Dobra odpowiedź: 1-3 stronicowe streszczenie identyfikujące ryzyka (ekspozycja podprzetwarzającego, wyciek danych treningowych, błędy dokładności) i mitygacje. Odpowiedź typu „odejdź”: „to odpowiedzialność naszych klientów” (częściowa prawda — ale poważny dostawca produkuje własne).

3. Rozdział V — Gdzie płyną dane?

Poproś o diagram architektury lub pisemny opis przepływu danych z twojej skrzynki do LLM i z powrotem. Zidentyfikuj każdy transfer transgraniczny.

Dobra odpowiedź: „wszystkie dane pozostają w UE, brak transferów”. Lub „transfery do USA w ramach DPF UE-USA + SCC, wymienione w DPA”. Odpowiedź typu „odejdź”: „nie śledzimy tego”.

4. Retencja — Jak długo dane są trzymane?

Prompty i odpowiedzi AI, treść email, wywiedziona metadane. Każde może mieć różną retencję.

Dobra odpowiedź: jawne okresy retencji, najlepiej krótkie (30-90 dni) dla wywiedzionych artefaktów AI. Odpowiedź typu „odejdź”: „aż usuniesz konto”.

5. Podprzetwarzający — Kto jeszcze dotyka tych danych?

Wymagaj pełnej listy. DPA powinno nazwać ich wszystkich, z funkcją i jurysdykcją.

Dobra odpowiedź: utrzymywana strona podprzetwarzających na stronie dostawcy ze zobowiązaniem do powiadamiania o zmianach. Odpowiedź typu „odejdź”: „używamy standardowych branżowych dostawców”.

6. Logowanie audytu — Czy możesz udowodnić, co się stało?

Jeśli klient pyta „czy twoje AI przetwarzało mój email?”, potrzebujesz zalogowanej odpowiedzi. Zapytaj, czy logi audytu per email są dostępne, okres retencji i format eksportu.

Dobra odpowiedź: strukturalne logi dostępne przez UI lub API, retencja 1-roczna. Odpowiedź typu „odejdź”: „nie logujemy aktywności AI na poziomie per email”.

7. Powiadomienie o naruszeniu — Jaki jest SLA?

RODO wymaga, by powiadomić w ciągu 72 godzin od dowiedzenia się. Powiadomienie ciebie przez dostawcę musi dać ci czas na to.

Dobra odpowiedź: „w ciągu 24 godzin od potwierdzonego naruszenia”. Odpowiedź typu „odejdź”: „w rozsądnym czasie”.

Kiedy odejść

Dwie lub więcej mglistych odpowiedzi z powyższej listy to silny sygnał do odejścia. Dostawca albo nie wykonał pracy zgodności, albo nie chce zobowiązać się na piśmie. Tak czy inaczej, dziedziczysz ich lukę jako swoją odpowiedzialność, gdy regulator zapyta.