iSecure logo
Blog

Co już wiadomo o wspólnych wytycznych EROD i Komisji Europejskiej w sprawie AI Act i RODO?

Firmy wdrażające systemy AI czekają na dokument, który miałby uporządkować relację między RODO a aktem w sprawie sztucznej inteligencji. EROD i Komisja Europejska pracują nad takimi wspólnymi wytycznymi, ale projekt nie został jeszcze opublikowany ani poddany konsultacjom publicznym.

Zapowiedź prac pojawiła się oficjalnie w komunikacie EROD z 9 października 2025 r., towarzyszącym przyjęciu pierwszych w historii wspólnych wytycznych EROD i Komisji Europejskiej, dotyczących relacji między aktem o rynkach cyfrowych (DMA) a RODO. W komunikacie EROD wskazała, że równolegle, wspólnie z Komisją, a konkretnie z jej Biurem ds. AI, prowadzi prace nad wytycznymi dotyczącymi relacji między AI Act a unijnym prawem ochrony danych. W listopadzie 2025 r., podczas kongresu Europe Data Protection Congress 2025, Europejski Inspektor Ochrony Danych Wojciech Wiewiórowski potwierdził, że prace trwają i będą prowadzone wspólnie przez EROD i Komisję.

Co już wiadomo o treści wytycznych?

Pierwsze konkrety co do treści dokumentu pojawiły się dopiero w czerwcu 2026 r. Według relacji IAPP z konferencji AI Governance Global Europe w Dublinie, przedstawicielka EROD Gintarė Pažereckaitė wskazała, że wytyczne obejmą kwestie przejrzystości, ocen ryzyka, wykrywania stronniczości (bias) oraz rozliczalności, a sam dokument ma mieć charakter ogólny, ale z konkretnymi przykładami. Zwróciła uwagę na punkt istotny dla praktyki: spełnienie wymogów przejrzystości z AI Act może pomóc w realizacji części obowiązków rozliczalności wynikających z RODO. Odniosła się też, jak relacjonuje IAPP, do relacji między oceną skutków dla ochrony danych z art. 35 RODO a oceną skutków dla praw podstawowych przewidzianą w AI Act, wskazując, że ta pierwsza ma charakter bardziej horyzontalny, podczas gdy ta druga dotyczy konkretnych przypadków użycia, co może w praktyce pozwolić na połączenie obu ocen w jednym opracowaniu. Zastrzegła jednak, że obowiązek przeprowadzenia oceny skutków dla praw podstawowych z reguły wiąże się również z koniecznością DPIA, ale nie działa to w drugą stronę.

Znaczenie praktyczne

W kontekście polskiej praktyki dokumentacyjnej zapowiadana integracja DPIA i FRIA nabiera dodatkowego znaczenia w świetle przyjętego już przez EROD 10 marca 2026 r. zharmonizowanego unijnego szablonu DPIA, który wprost odnosi się do styku z AI Act. Szablon wiąże się z art. 26 ust. 9 AI Act, który nakłada na podmioty wdrażające systemy AI obowiązek wykorzystania informacji przekazanych przez dostawcę systemu na podstawie art. 13 AI Act przy realizacji własnego obowiązku DPIA z art. 35 RODO, a EROD uwzględniła w szablonie osobną sekcję na tę okoliczność. Innymi słowy, zanim powstaną wspólne wytyczne dotyczące relacji AI Act i RODO, na poziomie unijnym istnieje już konkretny, przyjęty dokument wskazujący, jak dokumentacja DPIA powinna uwzględniać informacje pochodzące z AI Act. To stawia pytanie praktyczne czy stosowane już dziś szablony DPIA nie powinny zawierać miejsca na te elementy.

Na marginesie, prace nad wytycznymi nie toczą się w oderwaniu od krajowych organów nadzorczych. Francuski CNIL potwierdził, że aktywnie uczestniczy w pracach EROD nad projektem wytycznych dotyczących relacji pomiędzy RODO a europejskim rozporządzeniem o AI, co sugeruje udział organów krajowych, a nie wyłącznie centralne wypracowanie dokumentu przez EROD i Komisję.

Według doniesień prasy branżowej końcowa wersja wytycznych miała się pojawić jeszcze w 2026 r. Do tego czasu firmy wdrażające rozwiązania AI pozostają jednak przy dotychczasowym dorobku EROD, w szczególności przy opinii 28/2024 dotyczącej modeli AI.

Podsumowanie

Wspólne wytyczne EROD i Komisji Europejskiej dotyczące relacji między AI Act a RODO formalnie wciąż nie istnieją, ale widać, że prace idą w kierunku nacisku na przejrzystość i rozliczalność, możliwości połączenia DPIA z oceną skutków dla praw podstawowych oraz aktywnego udziału krajowych organów nadzorczych, takich jak CNIL. Do czasu publikacji ostatecznego tekstu firmy wdrażające systemy AI powinny opierać się na już dostępnych narzędziach, takich jak opinii EROD 28/2024 oraz unijnym szablonie DPIA z marca 2026 r.

Jakub Brzozowski – młodszy specjalista ds. ochrony danych osobowych w iSecure Sp. z o.o.

ŹRÓDŁA:

European Data Protection Board, DMA and GDPR: EDPB and European Commission endorse joint guidelines to clarify common touchpoints, 9 października 2025 r. https://www.edpb.europa.eu/news/news/2025/dma-and-gdpr-edpb-and-european-commission-endorse-joint-guidelines-clarify-common_en

IAPP, Joint guidelines on GDPR-AI Act interplay to come soon, EDPS says, 20 listopada 2025 r. https://iapp.org/news/a/edps-to-issue-joint-guidance-on-gdpr-ai-act-interplay-with-european-commission

IAPP, A view from Brussels: A sneak peek into upcoming guidelines on GDPR, AI Act interplay, czerwiec 2026 r.https://iapp.org/news/a/a-view-from-brussels-a-sneak-peek-into-upcoming-guidelines-on-gdpr-ai-act-interplay

EDPB DPIA Template – What It Contains and What Changes, igdpr.eu, kwiecień 2026 https://www.igdpr.eu/en/edpb-dpia-template-2026/

CNIL:https://www.cnil.fr/sites/cnil/files/2025-06/synthese_des_contributions_fiches_ia_interet_legitime.pdf

Pobierz wpis w wersji pdf

Podobne wpisy:

Omówienie wytycznych CNIL w sprawie stosowania cookiewalls

Wstęp Niniejszy artykuł ma na celu omówienie wytycznych CNIL – Commission Nationale de l’Informatique et des Libertés, poruszających tematykę cookiewalls o charakterze paywalls. Należy zaznaczyć, iż CNIL zaproponował również kryteria oceny, która pozwala na weryfikację czy stosowanie cookiewalls jest dopuszczalne. Cookiewalls Jako cookiewall należy rozumieć taki banner cookie, który wymaga, by użytkownik końcowy odwiedzający stronę, […]

Przetwarzanie danych służbowych

Administrator czy podmiot przetwarzający? Jaką rolę pełnisz?

Określenie roli, jaką dany podmiot pełni w procesie przetwarzania danych osobowych, może stanowić dla przedsiębiorców nie lada wyzwanie. Jest to jednak niezbędne do prawidłowego ustalenia obowiązków, jakie ciążą na danym podmiocie w związku z przetwarzaniem danych osobowych. Administrator ponosi największą odpowiedzialność za powyższe operacje. Określa on – samodzielnie lub wspólnie z innym podmiotem – cele […]

Kiedy pracodawcy wolno kserować dokumenty pracownika?

Jednym z często powracających na gruncie przepisów o ochronie danych osobowych tematów jest kwestia tego, jakie dokumenty pracownika firma może skserować i przechowywać w aktach pracowniczych, lub innych zasobach. Przez „dokumenty” mam tu na myśli dowody osobiste, paszporty czy prawa jazdy[1], jak również dokumenty potwierdzające posiadane wykształcenie, odbyte kursy. Prawna regulacja tego zagadnienia jest niestety […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera z materiałami edukacyjnymi, a także o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki