Technology Guides, Tutorials and News

AI a prywatność: kto naprawdę może czytać Twoje prompty do ChatGPT i innych modeli?

AI a prywatność: kto naprawdę może czytać Twoje prompty do ChatGPT i innych modeli?

Przełomowy przypadek: kiedy prompty do AI stały się materiałem dla służb

W ciągu zaledwie kilkunastu miesięcy generatywna sztuczna inteligencja przeszła drogę od ciekawostki technologicznej do narzędzia, które mamy w przeglądarkach, komunikatorach i smartfonach. ChatGPT i podobne modele są wbudowywane w systemy operacyjne telefonów, pakiety biurowe, narzędzia HR i CRM. Dla wielu użytkowników stały się domyślnym miejscem zadawania pytań – od prywatnych dylematów po strategiczne decyzje biznesowe.

Na tym tle szczególne znaczenie ma pierwszy głośny na świecie przypadek, w którym sąd wydał nakaz udostępnienia danych z ChatGPT na potrzeby postępowania prowadzonego przez służby. Kluczowe w tym orzeczeniu nie są techniczne szczegóły procedury, lecz sam fakt, że organ ścigania wystąpił po dane obejmujące treść zapytań, historię rozmów oraz informacje powiązane z kontem użytkownika – i taki dostęp uzyskał.

Oznacza to, że prompty do systemów AI zostały wprost potraktowane jako cenne źródło informacji operacyjnych: o tym, co użytkownik wie, czego się obawia, jakie ma plany i problemy. W praktyce jest to punkt zwrotny w myśleniu o prywatności w epoce sztucznej inteligencji. Jeżeli treść naszych rozmów z AI może stać się materiałem dowodowym, to pytanie „kto może czytać moje prompty?” przestaje być jedynie teoretycznym rozważaniem z zakresu cyberbezpieczeństwa.

Debata na ten temat przyspieszyła dodatkowo po opublikowaniu w 2025 r. raportu wywiadowczego firmy Anthropic, opisującego m.in. znaczenie promptów i logów z systemów AI dla służb i państwowych agencji bezpieczeństwa. Wnioski z tego typu analiz, połączone z rosnącą liczbą zastosowań AI w biznesie i administracji, stawiają przed użytkownikami, prawnikami RODO i menedżerami IT bardzo praktyczne pytania o zakres ryzyka i obowiązki prawne.

Dalsza część artykułu koncentruje się na tym, jakie dane faktycznie wysyłamy do chatu z AI, jak mogą one być wykorzystywane przez służby, jakie są ryzyka dla użytkowników indywidualnych i organizacji oraz jakie realne działania można podjąć, aby chronić prywatność – zarówno w kontekście RODO, jak i nowej praktyki organów ścigania.

Co naprawdę wysyłasz do chatu z AI: anatomia danych z promptów

Większość użytkowników myśli o promptach jak o niewinnych pytaniach wpisywanych w okno czatu. Z perspektywy dostawcy usługi AI jest to jednak bogaty pakiet danych, który obejmuje nie tylko sam tekst, ale również szereg informacji technicznych i identyfikacyjnych.

Za każdym razem, gdy piszesz prompt, do dostawcy AI trafiają zazwyczaj:

  • treść zapytania (prompt) i generowanej odpowiedzi,
  • data i godzina interakcji,
  • adres IP, przybliżona lokalizacja, typ i identyfikator urządzenia,
  • informacje o systemie operacyjnym i wersji aplikacji,
  • identyfikatory konta (login, adres e-mail, identyfikator organizacji),
  • informacje rozliczeniowe, jeżeli korzystasz z płatnego planu,
  • czasem powiązania z innymi usługami (np. integracja z dyskiem firmowym czy systemem CRM).

Do tego dochodzi treść, którą sam wklejasz do okna czatu. W praktyce są to często materiały o wysokiej wrażliwości: życiorysy pracowników i kandydatów, projekty umów, wyniki badań lekarskich, analizy finansowe, hasła do kampanii marketingowych, szkice strategii produktowej, notatki z poufnych spotkań zarządu. Wszystko to staje się elementem logów systemu i, przynajmniej przez pewien czas, pozostaje w zasięgu administratora usługi.

Z punktu widzenia RODO kluczowe jest rozróżnienie kilku kategorii danych. „Dane osobowe” to wszelkie informacje pozwalające zidentyfikować osobę fizyczną – bezpośrednio (imię, nazwisko, PESEL, adres e‑mail z nazwiskiem) lub pośrednio (kombinacja roli, miejsca pracy i stanowiska). „Dane szczególnej kategorii” obejmują m.in. informacje o zdrowiu, poglądach politycznych, wierze religijnej, orientacji seksualnej czy przynależności związkowej. Ich przetwarzanie jest co do zasady zakazane, chyba że spełnione są specjalne przesłanki.

Obok tego mamy „dane wrażliwe biznesowo”, które nie zawsze są danymi osobowymi, ale często stanowią tajemnicę przedsiębiorstwa lub są objęte NDA: informacje o marżach, planach inwestycyjnych, strukturze kosztów, wewnętrznych procedurach bezpieczeństwa czy parametrach ofert dla kluczowych klientów.

Treść promptu staje się daną osobową w momencie, gdy zawiera konkretne identyfikatory (np. „Proszę o analizę umowy z Janem Kowalskim, PESEL …”), ale również wtedy, gdy pośrednio pozwala powiązać informacje z konkretną osobą – np. poprzez szczegółowy opis sytuacji zawodowej w małej organizacji. W praktyce wiele promptów łączy w sobie dane osobowe, dane szczególnej kategorii i dane wrażliwe biznesowo, co znacząco podnosi ryzyko prawne i bezpieczeństwa.

W kontekście modeli LLM te dane mogą być: przechowywane przez określony czas, analizowane w celach bezpieczeństwa (wykrywanie nadużyć, ataków) oraz rozwoju usługi (ulepszanie modeli, statystyki użycia), a w razie potrzeby – udostępniane na podstawie przepisów prawa, np. nakazu sądowego. Nawet jeśli regulaminy mówią o anonimizacji lub pseudonimizacji, warto pamiętać, że połączenie treści promptu, metadanych i informacji o koncie często pozwala na ponowną identyfikację konkretnej osoby lub organizacji.

Osoby, które chcą głębiej zrozumieć, co dokładnie „widzi” duży model językowy i jak działa przetwarzanie danych w tle, znajdą szersze omówienie w materiale o praktycznym wykorzystaniu LLM w biznesie.

Raport wywiadowczy Anthropic 2025: jak służby patrzą na prompty do AI

W 2025 r. firma Anthropic opublikowała obszerny raport dotyczący bezpieczeństwa generatywnej AI i potencjalnych sposobów jej wykorzystania przez państwa i służby. Dokument ten, przygotowany w formule raportu wywiadowczego, zwrócił uwagę na nowe źródło informacji: prompty użytkowników i logi z systemów AI.

Wnioski raportu są dla ochrony prywatności fundamentalne. Prompty i pełna historia interakcji z chatbotami postrzegane są jako niezwykle bogaty materiał analityczny. Ujawniają nie tylko suche dane o osobach czy organizacjach, ale również intencje, obawy, plany, słabe punkty i obszary niewiedzy. Analiza tysięcy zapytań z jednego konta pozwala zbudować złożony profil behawioralny i osobowościowy użytkownika, a w środowisku korporacyjnym – uchwycić wrażliwe trendy dotyczące całej firmy lub branży.

Raport opisuje, że tego typu dane mogą być wykorzystywane zarówno w tradycyjnych śledztwach kryminalnych czy w działaniach przeciwko terroryzmowi, jak i w bardziej subtelnych formach nadzoru gospodarczego czy wywiadu ekonomicznego. Jeżeli pracownicy sektora finansowego, energetycznego czy technologicznego masowo konsultują z AI wątpliwości dotyczące projektów, dostawców lub luk bezpieczeństwa, to z perspektywy służb stanowi to bezprecedensową kopalnię wiedzy.

Jednocześnie Anthropic podkreśla, że formalny dostęp służb do tego typu danych co do zasady wymaga podstawy prawnej: nakazu sądowego, wniosku organu ścigania, międzynarodowej pomocy prawnej. Zakres, w jakim dane można uzyskać, różni się jednak pomiędzy jurysdykcjami. To szczególnie ważna kwestia dla prawników zajmujących się ochroną danych – dotyczy zarówno krajów UE, jak i państw trzecich, do których dane mogą być transferowane.

Eksperci bezpieczeństwa zwracają uwagę, że prompty są w praktyce „lustrzanym odbiciem” najbardziej intymnych pytań użytkowników. Nie wpisujemy w nie ogólników, lecz konkretne problemy: choroby, konflikty w pracy, dylematy finansowe, szczegółowe scenariusze biznesowe. Z tego względu logi z AI powinny być przez profesjonalistów – prawników, specjalistów HR, członków zarządów – traktowane jak potencjalna dokumentacja mogąca zostać wciągnięta jako materiał dowodowy do postępowania sądowego lub administracyjnego.

Smartfony z wbudowaną AI: wygoda, która kosztuje więcej niż myślisz

Nową warstwę ryzyka tworzą smartfony i systemy operacyjne, w których asystent AI jest zintegrowany z całym środowiskiem urządzenia. Nie chodzi już wyłącznie o oddzielną aplikację chatbota, lecz o funkcje systemowe: generowanie odpowiedzi do maili, podsumowania wątków w komunikatorach, inteligentną transkrypcję rozmów, automatyczne streszczenia notatek czy kontekstowe przypomnienia.

Taki ekosystem generuje znacznie szerszy zestaw danych niż tradycyjna interakcja z chatbotem w przeglądarce. Oprócz samych promptów i odpowiedzi obejmuje on:

  • historię interakcji z asystentem na poziomie całego systemu,
  • analizę treści z innych aplikacji (kalendarz, poczta, komunikatory, notatki, zdjęcia),
  • sugestie oparte na lokalizacji, historii połączeń i książce adresowej,
  • powiązania z kontem w chmurze, gdzie przechowywane są kopie zapasowe.

Kluczowe jest tutaj rozróżnienie między przetwarzaniem lokalnym (on-device) a przetwarzaniem w chmurze. W modelu on-device analiza danych odbywa się w prostszej formie bez opuszczania urządzenia – producenci zaczynają implementować lokalne modele językowe, które nie wysyłają treści rozmów na serwery. Wciąż jednak część funkcji, szczególnie zaawansowane modele generatywne, działa w trybie chmurowym i wymaga transferu danych poza telefon.

Z punktu widzenia prywatności różnica jest zasadnicza. Dane przetwarzane wyłącznie lokalnie są co do zasady poza zasięgiem wniosków organów ścigania kierowanych do dostawcy chmurowej usługi. Natomiast w przypadku przetwarzania chmurowego – tak jak w opisanym wcześniej przełomowym przypadku – służby mogą domagać się nie tylko pojedynczego promptu, ale całej historii interakcji, informacji o urządzeniu, a nawet powiązań z innymi usługami konta.

Dla użytkowników i firm oznacza to realne scenariusze zagrożeń: przechwycenie wrażliwej korespondencji biznesowej, ujawnienie danych pracowników lub klientów w toku postępowania, odtworzenie wzorców zachowań użytkownika na podstawie ścieżki jego zapytań i lokalizacji.

W szerszej perspektywie wpisuje się to w trend „agentów AI”, które coraz głębiej wchodzą w procesy firmowe i w nasze życie zawodowe. Ten aspekt szerzej opisuję w analizie dotyczącej agentów AI w biurze i zmian na rynku pracy, gdzie widać, jak bardzo te narzędzia opierają się na stałym dostępie do strumieni danych użytkowników.

Czy ChatGPT i przeglądarki AI są bezpieczne w świetle RODO i działań służb

Pytania „czy ChatGPT jest bezpieczny?” i „czy korzystanie z AI jest zgodne z RODO?” mają kilka warstw. Po pierwsze, trzeba zrozumieć, na jakiej podstawie prawnej dostawcy AI przetwarzają dane użytkowników. Po drugie, jakie prawa przysługują użytkownikowi w UE i w Polsce. Po trzecie, w jaki sposób, mimo stosowanych zabezpieczeń, dane mogą trafić do służb.

Typowe podstawy prawne przetwarzania danych przez dostawców AI to wykonanie umowy (świadczenie usługi na rzecz użytkownika), tzw. uzasadniony interes administratora (np. zapewnienie bezpieczeństwa usług, rozwój modeli) oraz zgoda – szczególnie tam, gdzie informacje wykraczają poza to, co konieczne do świadczenia samej usługi. Dokładny rozkład tych podstaw określają polityki prywatności poszczególnych dostawców i powinien być weryfikowany przez administratorów danych w organizacjach.

Użytkownik w UE, w tym w Polsce, dysponuje katalogiem praw wynikających z RODO: prawem dostępu do danych, ich sprostowania, usunięcia („prawo do bycia zapomnianym”), ograniczenia przetwarzania, sprzeciwu wobec przetwarzania opartego na uzasadnionym interesie, a także prawem do przenoszenia danych. Większość liczących się dostawców AI udostępnia mechanizmy realizacji tych praw, choć ich stosowanie do danych zawartych w logach modeli bywa w praktyce złożone.

Regulaminy i panele ustawień przewidują zwykle dodatkowe mechanizmy kontroli: tryb incognito lub „bez historii”, możliwość wyłączenia wykorzystywania danych z rozmów do trenowania modelu, odrębne zasady dla klientów biznesowych, w tym umowy powierzenia przetwarzania danych i gwarancje przechowywania danych w określonych regionach.

Żaden z tych mechanizmów nie eliminuje jednak w pełni możliwości sięgnięcia po dane przez organy ścigania. W większości jurysdykcji dostawca usługi ma obowiązek zareagować na prawomocny nakaz sądowy, wniosek prokuratury czy policji, a także na żądania w ramach międzynarodowej pomocy prawnej. To właśnie w tego typu sprawach prompty, logi i informacje o koncie stają się materiałem dowodowym.

Dodatkowym źródłem ryzyka jest transfer danych poza Europejski Obszar Gospodarczy – np. do Stanów Zjednoczonych. Administratorzy danych w firmach, kancelariach i instytucjach publicznych muszą w takim przypadku zapewnić odpowiednie zabezpieczenia (standardowe klauzule umowne, dodatkowe środki techniczne) i udokumentować ten fakt w swojej dokumentacji RODO. W razie kontroli krajowego organu nadzorczego to właśnie oni będą musieli wykazać, że wybór dostawcy AI i sposób korzystania z narzędzia są zgodne z prawem.

Z perspektywy RODO logi z AI – a więc historia promptów, odpowiedzi i metadanych – powinny być jednoznacznie klasyfikowane jako zbiór danych osobowych, jeżeli choć część zawartych tam informacji pozwala na identyfikację osób fizycznych. Podmiotem decydującym o celach i sposobach przetwarzania pozostaje administrator danych (np. firma, kancelaria), natomiast dostawca AI w typowym modelu jest podmiotem przetwarzającym. To pociąga za sobą konieczność zawarcia odpowiednich umów, prowadzenia rejestru czynności przetwarzania, realizacji obowiązków informacyjnych wobec osób, których dane dotyczą.

Szczególną uwagę warto zwrócić na przeglądarki AI i narzędzia, które przejmują całe zapytania kierowane do internetu, a następnie „obudowują” je warstwą generatywnej AI. To dodatkowy kanał przekazywania danych osobowych i wrażliwych treści do zewnętrznego usługodawcy. Temu zagadnieniu poświęcam osobny materiał o przeglądarkach AI i ochronie prywatności, który stanowi praktyczne uzupełnienie niniejszego tekstu.

Najważniejsze ryzyka dla użytkowników i firm: od wycieku tajemnicy po profilowanie behawioralne

Historia promptów w systemach AI tworzy bardzo precyzyjne odbicie naszego życia. Dla użytkowników indywidualnych oznacza to, że na podstawie samych tylko zapytań można w dużym stopniu odtworzyć profil osobowości, główne zainteresowania, sytuację zdrowotną i finansową, a nawet relacje rodzinne. W połączeniu z metadanymi (czas, miejsce, urządzenie) logi z AI mogą stać się materiałem do daleko idącego profilowania behawioralnego – nie tylko przez usługodawcę, ale również przez inne podmioty w razie wycieku danych lub przymusowego udostępnienia ich służbom.

Ryzyko „wtórnego wykorzystania” danych polega na tym, że informacje przekazywane w promptach mogą być używane do analityki, tworzenia modeli zachowań użytkowników, testowania nowych funkcji produktu. Nawet jeśli dzieje się to w zanonimizowanej formie, zawsze istnieje niepewność, na ile skuteczna jest anonimizacja, zwłaszcza gdy chodzi o małe grupy użytkowników lub bardzo specyficzne scenariusze użycia.

Dla organizacji ryzyka są jeszcze poważniejsze. Po pierwsze, pracownicy mogą nieświadomie ujawniać w promptach tajemnicę przedsiębiorstwa: szczegółowe zapisy umów, parametry ofert, informacje o negocjacjach, wewnętrzne procedury bezpieczeństwa. Po drugie, wklejanie do czatów AI danych klientów lub pracowników (CV, dane medyczne, informacje o sporach sądowych) może prowadzić do poważnych naruszeń RODO. Po trzecie, w razie sporu sądowego lub kontroli organu nadzorczego logi z AI mogą zostać uznane za pełnowartościowy materiał dowodowy, z wszystkimi tego konsekwencjami dla reputacji i odpowiedzialności organizacji.

Na to nakładają się zagrożenia typowe dla nowych narzędzi: ataki typu prompt injection, manipulacja agentami AI, wstrzykiwanie treści z zewnętrznych stron podczas automatycznego przeglądania internetu przez agenta. Mechanizmy te mogą prowadzić do sytuacji, w której model zaczyna ujawniać poufne informacje lub podejmować działania sprzeczne z interesem użytkownika. Temu zagadnieniu poświęcony jest osobny tekst o atakach prompt injection i bezpiecznym korzystaniu z agentów AI.

Dla przejrzystości warto uporządkować kluczowe typy ryzyka, które zostaną rozwinięte w pogłębionych analizach:

  • gdy wklejasz do AI umowę – ryzyko ujawnienia poufnych warunków handlowych, klauzul negocjowanych indywidualnie, danych stron umowy;
  • gdy używasz AI w procesach HR – ryzyko nieuprawnionego przetwarzania danych kandydatów i pracowników, w tym danych szczególnej kategorii, oraz profilowania wbrew RODO;
  • gdy korzystasz z AI z telefonu służbowego – ryzyko połączenia danych z wielu aplikacji (poczta, komunikator, kalendarz) oraz udostępnienia całej tej warstwy informacji na żądanie służb lub w razie wycieku;
  • gdy pozwalasz agentowi AI samodzielnie przeglądać internet – ryzyko wstrzyknięcia złośliwych promptów z odwiedzanych stron i manipulowania odpowiedziami lub działaniami agenta.

Jak chronić swoją prywatność w epoce AI: praktyczne kroki dla użytkowników i prawników

Świadomość ryzyk związanych z promptami to dopiero pierwszy krok. Kluczowe jest wdrożenie konkretnych praktyk, które ograniczą ilość i wrażliwość danych trafiających do systemów AI. Inne będą to działania dla użytkowników indywidualnych, a inne – dla organizacji i prawników odpowiedzialnych za zgodność z RODO.

Na poziomie użytkownika indywidualnego podstawowe zasady są stosunkowo proste:

  • nie wklejaj do promptów danych jednoznacznie identyfikujących osoby, jeśli nie jest to absolutnie konieczne – zamiast imion i nazwisk używaj inicjałów lub neutralnych oznaczeń,
  • unikaj przekazywania pełnych dokumentów zawierających dane szczególnej kategorii (szczególnie medyczne, dotyczące życia prywatnego, poglądów politycznych),
  • korzystaj z trybów ograniczających logowanie i trenowanie modelu, jeżeli dostawca je oferuje,
  • preferuj funkcje oparte na przetwarzaniu lokalnym (on-device), gdy nie potrzebujesz pełnej mocy chmurowego modelu,
  • regularnie usuwaj historię rozmów oraz sprawdzaj ustawienia prywatności w aplikacji i w systemie operacyjnym smartfona.

Dla organizacji i prawników odpowiedzialnych za ochronę danych konieczne jest bardziej systemowe podejście. Po pierwsze, warto opracować i wdrożyć politykę korzystania z narzędzi AI: jasno określić, jakie typy danych wolno, a jakich nie wolno wklejać do czatów i agentów (np. zakaz wprowadzania danych szczególnej kategorii, numerów PESEL, wrażliwych informacji kontraktowych).

Po drugie, należy świadomie wybierać dostawców – z jasnym statusem w kontekście RODO, możliwością zawarcia umowy powierzenia przetwarzania danych, przejrzystymi kwestiami transferu danych poza EOG. W przypadku danych szczególnie wrażliwych warto rozważyć rozwiązania self‑hosted lub on‑premise, w których model działa w infrastrukturze kontrolowanej przez organizację.

Po trzecie, logi z AI powinny zostać ujęte w rejestrze czynności przetwarzania i, tam gdzie to konieczne, w analizach DPIA (ocena skutków dla ochrony danych). Dział IT i inspektor ochrony danych powinni ściśle współpracować przy ocenie zagrożeń, zwłaszcza w kontekście agentów AI z dostępem do danych produkcyjnych. Warto tu sięgnąć do szerszego omówienia aspektów wdrożeniowych w tekście o wdrażaniu LLM w środowisku biznesowym.

Po czwarte, niezbędne są szkolenia pracowników z bezpiecznego promptowania. Nawet najlepsze regulaminy nie zadziałają, jeśli osoby na pierwszej linii – rekruterzy, prawnicy, handlowcy, specjaliści obsługi klienta – nie rozumieją, jakie dane są szczególnie wrażliwe, jakie konsekwencje może mieć wklejenie całej korespondencji z klientem, i jak zastępować realne identyfikatory opisami abstrakcyjnymi.

Wreszcie, konfiguracja ustawień prywatności i świadomy dobór narzędzi ma zasadnicze znaczenie w świecie przeglądarek AI i agentów operujących na danych z wielu źródeł. Wskazówki dotyczące bezpiecznej konfiguracji i praktycznego korzystania z takich rozwiązań, jak ChatGPT Atlas, omawiam szerzej w artykule poświęconym przeglądarkom AI.

Era, w której pierwszy raz wprost wykorzystano prompty do AI jako materiał dla służb, już się rozpoczęła. Oznacza to, że pytania o prywatność i zgodność z RODO nie są abstrakcyjnymi dylematami, lecz realnym wyzwaniem zarządczym i prawnym. Im szybciej użytkownicy indywidualni, firmy i instytucje publiczne wypracują własne standardy korzystania z AI, tym większa szansa, że unikną kosztownych incydentów, naruszeń i sporów prawnych. W tej dziedzinie proaktywność jest jedyną rozsądną strategią – czekanie na pierwszy kryzys oznacza zwykle, że na skuteczną ochronę jest już za późno.

Sebastian

,
, , , , , ,

Leave a Reply

Your email address will not be published. Required fields are marked *