Skip to main content

EU AI Act vs. DSGVO 2026: gdzie się pokrywają, a gdzie różnią?

Obie regulacje obowiązują równocześnie — chronią jednak różne dobra. To szczegółowe porównanie pokazuje, kiedy w grę wchodzi DSGVO, kiedy EU AI Act, a kiedy oba akty uruchamiają obowiązki łącznie — wraz z konkretnymi przykładami zastosowań dla MŚP.

Zamów zgodność z DSGVO i EU AI ActBezpłatny Wito Digital Audit (WDA)

Dwie regulacje, dwa chronione dobra: DSGVO (rozporządzenie (UE) 2016/679) chroni dane osobowe i prywatność osób fizycznych. EU AI Act (rozporządzenie (UE) 2024/1689) chroni bezpieczeństwo osób i ich prawa podstawowe wobec systemów AI — niezależnie od tego, czy przetwarzane są dane osobowe.

Obie regulacje — co chronią i kiedy obowiązują równocześnie?

DSGVO obowiązuje od 25 maja 2018 r. i chroni autonomię informacyjną: każde przetwarzanie danych osobowych — analogowe czy cyfrowe, z użyciem AI lub bez — jej podlega. Kluczowe wymogi to ograniczenie celu, minimalizacja danych, prawa dostępu oraz obowiązek zawarcia umowy powierzenia przetwarzania (UPP) z podmiotami zewnętrznymi.

EU AI Act wszedł w życie 1 sierpnia 2024 r. i chroni bezpieczeństwo oraz prawa podstawowe wobec systemów AI. Reguluje nie pojedyncze dane, lecz sam system AI — jego klasę ryzyka, dokumentację oraz nadzór człowieka nad jego decyzjami. Centralnym terminem dla MŚP jest 2 sierpnia 2026 r., gdy w pełni zaczną obowiązywać wszystkie obowiązki dotyczące wysokiego ryzyka.

Decydujący wniosek dla firm średniej wielkości: jeśli system AI wykorzystuje dane osobowe — dane kandydatów, klientów, pracowników — obowiązują obie regulacje łącznie. Wymogi zgodności sumują się, a nie zastępują nawzajem. Kto jest już zgodny z DSGVO, położył część fundamentu — ale nie spełnił jeszcze wszystkich obowiązków wynikających z EU AI Act.

Według przewodnika Bitkom EU AI Act + DSGVO 2024 obszary nakładania się są szczególnie rozległe przy systemach AI wysokiego ryzyka w obszarach HR, personalizacji marketingu i zautomatyzowanej komunikacji z klientami. Zwłaszcza dla MŚP, które korzystają z narzędzi AI w chmurze, powstaje tu złożona siatka wymogów zgodności.

4% obrotu (DSGVO) vs. 7% (AI Act)

Maksymalne kary w porównaniu

Quelle: Art. 83 DSGVO + art. 99 rozporządzenia (UE) 2024/1689, 2024
2018 (DSGVO) vs. 2025–2027 (AI Act)

Etapowe lata wejścia w życie

Quelle: Komisja Europejska — okresy przejściowe EU AI Act 2024, 2024
99 artykułów DSGVO vs. 113 artykułów AI Act

Objętość obu aktów prawnych

Quelle: Rozporządzenie (UE) 2016/679 + rozporządzenie (UE) 2024/1689, 2024
27 państw członkowskich UE

Zakres obowiązywania obu regulacji

Quelle: Komisja Europejska — zakres DSGVO + AI Act 2024, 2024

Tabela porównawcza: DSGVO vs. EU AI Act — 7 najważniejszych wymiarów

Bezpośrednie zestawienie pokazuje, gdzie oba akty prawne biegną równolegle, a gdzie różnią się fundamentalnie. Wszystkie dane według aktualnego stanu prawnego z II kwartału 2026 r.:

| Kryterium | DSGVO | EU AI Act |

|---|---|---|

| Chronione dobro | Dane osobowe i prywatność | Bezpieczeństwo osób i prawa podstawowe wobec AI |

| Zakres zastosowania | Wszyscy administratorzy przetwarzający dane osobowe | Dostawcy i podmioty stosujące AI (także bez danych osobowych) |

| Klasy ryzyka | Brak formalnych klas ryzyka (ale DSFA przy wysokim ryzyku) | 4 klasy: ryzyko nieakceptowalne / wysokie / ograniczone / minimalne |

| Kluczowe obowiązki | UPP, DSFA, rejestr czynności przetwarzania, TOM, prawa osób | System zarządzania ryzykiem, dokumentacja techniczna, nadzór człowieka, ocena zgodności |

| Organ właściwy (DE) | BfDI + krajowe organy ochrony danych | BNetzA + BfDI (przy danych osobowych) |

| Sankcje | Do 20 mln EUR lub 4% obrotu rocznego (wartość wyższa) | Do 35 mln EUR / 7% (praktyki zakazane) lub 15 mln EUR / 3% (wysokie ryzyko) |

| Wejście w życie | 25.05.2018 (bezpośrednio stosowane) | 01.08.2024 → etapowo do 02.08.2026 (pełne obowiązywanie wysokiego ryzyka) |

Czego tabela nie pokazuje: efekt kumulatywny

Przy systemach AI przetwarzających dane osobowe zgodność toczy się równocześnie na dwóch poziomach. Według FAQ BMWK do EU AI Act 2024 stosowanie łączne jest wyraźnie zamierzone: EU AI Act „występuje obok” DSGVO — nie ogranicza jej wymogów ani ich nie uchyla.

Dla MŚP oznacza to: ocena skutków dla ochrony danych (DSFA) według art. 35 DSGVO dla systemu rekrutacyjnego opartego na AI nie pokrywa jeszcze oceny zgodności według art. 43 EU AI Act. Obie procedury są samodzielne — nawet jeśli dotyczą tego samego systemu i część dokumentacji da się wykorzystać ponownie.

Ujmując rzecz pozytywnie: firmy z uporządkowaną dokumentacją DSGVO mają istotną przewagę. Rejestr czynności przetwarzania, rejestr UPP i struktury DSFA można rozszerzyć, zamiast zaczynać od zera. Według analizy porównawczej regulacji Fundacji im. Heinricha Bölla 2024 firmy o solidnej zgodności z DSGVO mogą zmniejszyć początkowy nakład na EU AI Act o 30–50%.

Wymogi EU AI Act występują obok wymogów DSGVO — przy systemach AI przetwarzających dane osobowe obie regulacje obowiązują łącznie. Organy ochrony danych są przy tym właściwe również dla egzekwowania wymogów EU AI Act w zakresie, w jakim dotyczą one ochrony danych.
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI), BfDI Tätigkeitsbericht 2024 — Stellungnahme zum EU AI Act, BfDI, 2024

Przykład 1: AI do preselekcji kandydatów — obie regulacje łącznie

Firma średniej wielkości wdraża narzędzie AI, które automatycznie ocenia napływające aplikacje pod kątem dopasowania do opisu stanowiska i tworzy listę priorytetowych kandydatów. Ten scenariusz uruchamia obowiązki z obu regulacji jednocześnie.

Obowiązki wynikające z DSGVO

  • Podstawa prawna według art. 6 DSGVO: przetwarzanie danych kandydatów wyłącznie za zgodą (art. 6 ust. 1 lit. a) lub w celu realizacji stosunku zatrudnienia (art. 6 ust. 1 lit. b)
  • Prawo dostępu (art. 15 DSGVO): kandydaci mają prawo uzyskać informację o tym, jakie dane są przetwarzane i na jakiej logice opiera się decyzja AI
  • Obowiązek usunięcia (art. 17 DSGVO): dane odrzuconych kandydatów należy usunąć po jasno określonym czasie (typowo: 6 miesięcy od odrzucenia)
  • DSFA (art. 35 DSGVO): zautomatyzowane podejmowanie decyzji o daleko idących skutkach dla kandydatów wymaga oceny skutków dla ochrony danych

Obowiązki wynikające z EU AI Act

  • Klasyfikacja jako wysokie ryzyko (załącznik III pkt 4a): systemy do automatycznej selekcji kandydatów w kontekście zatrudnienia są uznawane za wysokiego ryzyka — bez wyjątku
  • Ocena zgodności (art. 43 EU AI Act): przed wdrożeniem lub istotną zmianą należy przeprowadzić ocenę zgodności
  • Transparentność (art. 13 EU AI Act): firma jako podmiot stosujący musi poinformować kandydatów o wykorzystaniu systemu AI
  • Nadzór człowieka (art. 14 EU AI Act): pracownicy HR muszą móc weryfikować i korygować decyzje AI — żadnego w pełni automatycznego odrzucenia bez kontroli człowieka

Efekt: kto wdraża taką AI, potrzebuje zarówno DSFA według DSGVO, jak i oceny zgodności według EU AI Act — dwóch samodzielnych dokumentów, nawet jeśli ich treść częściowo się pokrywa. Według przewodnika Bitkom EU AI Act + DSGVO 2024 zaleca się zintegrowany proces dokumentacyjny, który systematycznie realizuje oba profile wymogów.

Przykład 2: automatyzacja marketingu z ChatGPT — rozdzielone odpowiedzialności

MŚP korzysta z ChatGPT (GPT-4o) przez API OpenAI, aby automatycznie generować spersonalizowane e-maile do dotychczasowych klientów: rekomendacje produktowe na podstawie historii zakupów, personalizowane zwroty, treści dopasowane do segmentu. Również tu działają obie regulacje — ale z innym akcentem.

Obowiązki wynikające z DSGVO

  • UPP z OpenAI (art. 28 DSGVO): jeśli dane klientów — choćby tylko adres e-mail i historia zakupów — są przekazywane do API OpenAI, OpenAI jest podmiotem przetwarzającym. Umowa powierzenia przetwarzania jest bezwzględnie wymagana. OpenAI oferuje standardową UPP, którą trzeba wyraźnie zawrzeć
  • Minimalizacja danych (art. 5 DSGVO): przekazywać wolno tylko te dane, które są faktycznie niezbędne do personalizacji — żadnego transferu pełnych dossier klientów
  • Podstawa prawna profilowania (art. 6 + art. 22 DSGVO): automatyczne profilowanie do celów marketingowych wymaga zgody albo prawnie uzasadnionego interesu z testem równowagi interesów

Obowiązki wynikające z EU AI Act

  • Reguły GPAI (art. 53 EU AI Act): ChatGPT jest modelem AI ogólnego przeznaczenia (General Purpose AI). Od 2 sierpnia 2025 r. OpenAI jako dostawca musi spełniać obowiązki transparentności i publikować zasady korzystania. Jako użytkownik musisz sprawdzić, czy OpenAI te obowiązki spełnia
  • Brak klasyfikacji jako wysokie ryzyko: generowanie marketingowych e-maili nie podlega załącznikowi III EU AI Act — ocena zgodności nie jest wymagana
  • Transparentność wobec odbiorców: jeśli teksty wygenerowane przez AI mogłyby zostać uznane przez odbiorców za napisane przez człowieka, należy rozważyć oznaczenie według art. 50 EU AI Act

Efekt: przy automatyzacji marketingu z ChatGPT na pierwszy plan wysuwa się DSGVO — zwłaszcza UPP i minimalizacja danych. EU AI Act odgrywa rolę drugorzędną (brak obowiązków dla wysokiego ryzyka), ale wymogi GPAI wobec OpenAI jako dostawcy muszą być weryfikowalne.

Praktyczne konsekwencje dla MŚP: efektywne łączenie zgodności

Dobra wiadomość: mądra strategia zgodności traktuje DSGVO i EU AI Act jako zintegrowany system, a nie jako dwa odrębne projekty. Dla MŚP szczególnie istotne są następujące synergie:

Integracja dokumentacji

  • Rozszerzalna DSFA: istniejące oceny skutków dla ochrony danych według art. 35 DSGVO można połączyć z wymogami zarządzania ryzykiem według art. 9 EU AI Act — ta sama analiza ryzyka, dwa spełnione wymogi regulacyjne
  • Rejestr czynności przetwarzania jako baza: rejestr czynności przetwarzania DSGVO (art. 30 DSGVO) dostarcza listy systemów, na której można zbudować inwentarz AI na potrzeby EU AI Act
  • UPP i obowiązki podmiotu stosującego: UPP z OpenAI według DSGVO można zebrać razem z dokumentacją podmiotu stosującego według EU AI Act w jednej dokumentacji dostawcy

Koncentracja odpowiedzialności

EU AI Act nie nakazuje formalnego „pełnomocnika ds. AI”, ale zaleca wyznaczenie odpowiedzialności za zgodność AI. W praktyce sprawdza się: inspektor ochrony danych (IOD) przejmuje odpowiedzialność za zgodność z EU AI Act lub zostaje uzupełniony przez „AI Officera”, który ściśle współpracuje z IOD. Według FAQ BMWK do EU AI Act 2024 takie nakładanie się ról jest wyraźnie dopuszczalne i oszczędza znaczne koszty koordynacji.

Efekt: firmy, które traktują DSGVO i EU AI Act jako zintegrowany framework zgodności, zmniejszają całkowity nakład o 30–50% w porównaniu z osobnym podejściem — przy jednoczesnej większej spójności dokumentacji.

Najczęstsze pytania: EU AI Act vs. DSGVO dla MŚP

Nie. EU AI Act nie nakazuje odrębnej roli pełnomocnika. W praktyce zaleca się ulokowanie odpowiedzialności za zgodność z EU AI Act przy istniejącym inspektorze ochrony danych (IOD) lub powołanie „AI Officera”, który ściśle współpracuje z IOD. BMWK w swoich FAQ 2024 wyraźnie potwierdza, że łączenie obu ról jest dopuszczalne i sensowne. Dla MŚP bez obowiązkowego IOD wystarczy wyznaczona osoba wewnętrzna lub zewnętrzny usługodawca ds. zgodności.
Częściowo tak. UPP według art. 28 DSGVO oraz dokumentacja podmiotu stosującego według EU AI Act pokrywają różne obowiązki, ale obie można ująć w jednej uporządkowanej dokumentacji dostawcy. W szczególności rejestr czynności przetwarzania (DSGVO) i rejestr systemów AI (AI Act) da się prowadzić jako zintegrowany dokument. Nie są jednak w pełni tożsame — EU AI Act wymaga dodatkowo dowodów dotyczących oceny zgodności i nadzoru człowieka, które wykraczają poza wymogi DSGVO.
DSGVO jest aktywnie egzekwowana od 2018 r. — w Niemczech przez krajowe organy ochrony danych i BfDI. EU AI Act będzie egzekwowany etapowo od 2025 r.: praktyki zakazane od lutego 2025 r., obowiązki dla wysokiego ryzyka od sierpnia 2026 r. W Niemczech rolę organu nadzoru rynku ma prawdopodobnie pełnić Federalna Agencja ds. Sieci (BNetzA); BfDI jest właściwy dla obszarów nakładających się z ochroną danych. Pierwszych istotnych kar z tytułu AI Act należy się spodziewać w latach 2026/2027. Organy ochrony danych będą badać także aspekty AI Act, jeśli dotyczą danych osobowych.
DSFA (ocena skutków dla ochrony danych, ang. DPIA — Data Protection Impact Assessment) to ustrukturyzowana ocena ryzyka według art. 35 DSGVO. Jest obowiązkowa, gdy przetwarzanie danych z dużym prawdopodobieństwem powoduje wysokie ryzyko dla praw i wolności osób fizycznych — zwłaszcza przy zautomatyzowanych decyzjach, rozległym profilowaniu i przetwarzaniu wrażliwych kategorii danych. DSFA dokumentuje: jakie dane są przetwarzane, jakie istnieją ryzyka, jakie środki techniczne i organizacyjne (TOM) zostaną wdrożone i czy ryzyko szczątkowe jest akceptowalne. Przy systemach AI wysokiego ryzyka zaleca się rozszerzenie DSFA o oceny ryzyka właściwe dla AI Act.
Ocena zgodności według art. 43 EU AI Act to formalne sprawdzenie, czy system AI wysokiego ryzyka spełnia wymogi rozporządzenia — w zakresie zarządzania ryzykiem, jakości danych, dokumentacji technicznej, transparentności i nadzoru człowieka. Dla wielu systemów wysokiego ryzyka dopuszczalna jest samoocena przeprowadzana przez dostawcę (bez zewnętrznej jednostki oceniającej). Jako podmiot stosujący musisz sprawdzić deklarację zgodności dostawcy i zapewnić, że stosujesz system wyłącznie w przewidzianym celu. Ocena zgodności to nie to samo co DSFA — obejmuje inne obszary wymogów.
Jeśli Twój system AI nie przetwarza danych osobowych, DSGVO nie znajduje zastosowania (dla tego systemu). EU AI Act obowiązuje jednak niezależnie od tego. System AI do kontroli jakości w produkcji, który analizuje wyłącznie zdjęcia produktów i nie przetwarza danych osobowych, mimo to podlega EU AI Act. W tym konkretnym przypadku należy sprawdzić klasę ryzyka: systemy produkcyjne o znaczeniu krytycznym dla bezpieczeństwa mogą być zaklasyfikowane jako wysokie ryzyko (załącznik III pkt 2). Dla samej analizy obrazu lub procesów bez odniesienia do osób ryzyko jest często minimalne — ale wyraźne sprawdzenie jest konieczne.
Największe obszary nakładania się powstają przy systemach AI wysokiego ryzyka przetwarzających dane osobowe. Zarówno DSFA (DSGVO), jak i system zarządzania ryzykiem (EU AI Act) wymagają analizy ryzyka — o innym akcencie, ale podobnej strukturalnie. Środki techniczne i organizacyjne (TOM według DSGVO) oraz wymogi technicznej odporności (EU AI Act) pokrywają się w obszarze bezpieczeństwa, kontroli dostępu i szyfrowania. Obowiązki transparentności wobec osób, których dane dotyczą (DSGVO), i obowiązki transparentności wobec użytkowników (EU AI Act) można spełnić w jednym zintegrowanym dokumencie. Obowiązki rejestrowania (DSGVO) i wymogi dotyczące logów (EU AI Act) da się połączyć technicznie.
To zależy od rodzaju naruszenia. Naruszenia DSGVO zgłasza się właściwemu krajowemu organowi ochrony danych (zależnie od siedziby firmy) lub do BfDI. Poważne naruszenia ochrony danych osobowych należy zgłosić w ciągu 72 godzin (art. 33 DSGVO). Naruszenia EU AI Act zgłasza się krajowemu organowi nadzoru rynku (w Niemczech prawdopodobnie BNetzA). Jeśli system AI wykazuje zarówno naruszenia ochrony danych, jak i naruszenia AI Act, potencjalnie właściwe są oba organy — a BfDI koordynuje aspekty ochrony danych w ramach AI Act. Przy poważnych incydentach zdecydowanie zaleca się wczesne uzgodnienia z doradcą ds. zgodności.

Zgodność z DSGVO + EU AI Act: zintegrowana, efektywna, pewna prawnie

Wito AI prowadzi MŚP przez połączoną zgodność z DSGVO i EU AI Act — od zintegrowanej analizy ryzyka po pełną dokumentację. Wykorzystaj swoją dotychczasową podstawę DSGVO i zmniejsz nakład na zgodność z AI Act o 30–50%.

Zamów zgodność z DSGVO i EU AI ActBezpłatny Wito Digital Audit (WDA)
  • Zintegrowana DSFA + ocena zgodności
  • Połączona UPP + dokumentacja podmiotu stosującego AI Act
  • Redukcja nakładu o 30–50% dzięki integracji
  • Przygotowanie na termin 2 sierpnia 2026 r.

EU AI Act vs. DSGVO 2026: gdzie się pokrywają, a gdzie różnią?

Ressource

KI-Tools Vergleich

→ Jetzt lesen
Ressource

Fördermittel-Kompass

→ Jetzt lesen
Ressource

ROI-Calculator

→ Jetzt lesen
Assessment

KI-Reifegrad-Check

→ Jetzt lesen