Firmy wdrażające systemy AI czekają na dokument, który miałby uporządkować relację między RODO a aktem w sprawie sztucznej inteligencji. EROD i Komisja Europejska pracują nad takimi wspólnymi wytycznymi, ale projekt nie został jeszcze opublikowany ani poddany konsultacjom publicznym.
Zapowiedź prac pojawiła się oficjalnie w komunikacie EROD z 9 października 2025 r., towarzyszącym przyjęciu pierwszych w historii wspólnych wytycznych EROD i Komisji Europejskiej, dotyczących relacji między aktem o rynkach cyfrowych (DMA) a RODO. W komunikacie EROD wskazała, że równolegle, wspólnie z Komisją, a konkretnie z jej Biurem ds. AI, prowadzi prace nad wytycznymi dotyczącymi relacji między AI Act a unijnym prawem ochrony danych. W listopadzie 2025 r., podczas kongresu Europe Data Protection Congress 2025, Europejski Inspektor Ochrony Danych Wojciech Wiewiórowski potwierdził, że prace trwają i będą prowadzone wspólnie przez EROD i Komisję.
Co już wiadomo o treści wytycznych?
Pierwsze konkrety co do treści dokumentu pojawiły się dopiero w czerwcu 2026 r. Według relacji IAPP z konferencji AI Governance Global Europe w Dublinie, przedstawicielka EROD Gintarė Pažereckaitė wskazała, że wytyczne obejmą kwestie przejrzystości, ocen ryzyka, wykrywania stronniczości (bias) oraz rozliczalności, a sam dokument ma mieć charakter ogólny, ale z konkretnymi przykładami. Zwróciła uwagę na punkt istotny dla praktyki: spełnienie wymogów przejrzystości z AI Act może pomóc w realizacji części obowiązków rozliczalności wynikających z RODO. Odniosła się też, jak relacjonuje IAPP, do relacji między oceną skutków dla ochrony danych z art. 35 RODO a oceną skutków dla praw podstawowych przewidzianą w AI Act, wskazując, że ta pierwsza ma charakter bardziej horyzontalny, podczas gdy ta druga dotyczy konkretnych przypadków użycia, co może w praktyce pozwolić na połączenie obu ocen w jednym opracowaniu. Zastrzegła jednak, że obowiązek przeprowadzenia oceny skutków dla praw podstawowych z reguły wiąże się również z koniecznością DPIA, ale nie działa to w drugą stronę.
Znaczenie praktyczne
W kontekście polskiej praktyki dokumentacyjnej zapowiadana integracja DPIA i FRIA nabiera dodatkowego znaczenia w świetle przyjętego już przez EROD 10 marca 2026 r. zharmonizowanego unijnego szablonu DPIA, który wprost odnosi się do styku z AI Act. Szablon wiąże się z art. 26 ust. 9 AI Act, który nakłada na podmioty wdrażające systemy AI obowiązek wykorzystania informacji przekazanych przez dostawcę systemu na podstawie art. 13 AI Act przy realizacji własnego obowiązku DPIA z art. 35 RODO, a EROD uwzględniła w szablonie osobną sekcję na tę okoliczność. Innymi słowy, zanim powstaną wspólne wytyczne dotyczące relacji AI Act i RODO, na poziomie unijnym istnieje już konkretny, przyjęty dokument wskazujący, jak dokumentacja DPIA powinna uwzględniać informacje pochodzące z AI Act. To stawia pytanie praktyczne czy stosowane już dziś szablony DPIA nie powinny zawierać miejsca na te elementy.
Na marginesie, prace nad wytycznymi nie toczą się w oderwaniu od krajowych organów nadzorczych. Francuski CNIL potwierdził, że aktywnie uczestniczy w pracach EROD nad projektem wytycznych dotyczących relacji pomiędzy RODO a europejskim rozporządzeniem o AI, co sugeruje udział organów krajowych, a nie wyłącznie centralne wypracowanie dokumentu przez EROD i Komisję.
Według doniesień prasy branżowej końcowa wersja wytycznych miała się pojawić jeszcze w 2026 r. Do tego czasu firmy wdrażające rozwiązania AI pozostają jednak przy dotychczasowym dorobku EROD, w szczególności przy opinii 28/2024 dotyczącej modeli AI.
Podsumowanie
Wspólne wytyczne EROD i Komisji Europejskiej dotyczące relacji między AI Act a RODO formalnie wciąż nie istnieją, ale widać, że prace idą w kierunku nacisku na przejrzystość i rozliczalność, możliwości połączenia DPIA z oceną skutków dla praw podstawowych oraz aktywnego udziału krajowych organów nadzorczych, takich jak CNIL. Do czasu publikacji ostatecznego tekstu firmy wdrażające systemy AI powinny opierać się na już dostępnych narzędziach, takich jak opinii EROD 28/2024 oraz unijnym szablonie DPIA z marca 2026 r.
Jakub Brzozowski – młodszy specjalista ds. ochrony danych osobowych w iSecure Sp. z o.o.
ŹRÓDŁA:
European Data Protection Board, DMA and GDPR: EDPB and European Commission endorse joint guidelines to clarify common touchpoints, 9 października 2025 r. https://www.edpb.europa.eu/news/news/2025/dma-and-gdpr-edpb-and-european-commission-endorse-joint-guidelines-clarify-common_en
IAPP, Joint guidelines on GDPR-AI Act interplay to come soon, EDPS says, 20 listopada 2025 r. https://iapp.org/news/a/edps-to-issue-joint-guidance-on-gdpr-ai-act-interplay-with-european-commission
IAPP, A view from Brussels: A sneak peek into upcoming guidelines on GDPR, AI Act interplay, czerwiec 2026 r.https://iapp.org/news/a/a-view-from-brussels-a-sneak-peek-into-upcoming-guidelines-on-gdpr-ai-act-interplay
EDPB DPIA Template – What It Contains and What Changes, igdpr.eu, kwiecień 2026 https://www.igdpr.eu/en/edpb-dpia-template-2026/