RODO i bezpieczeństwo danych w erze asystentów AI. Co trzeba wiedzieć przed zakupem takiego narzędzia

Kiedy firma rozważa asystenta telefonicznego do odbierania telefonów, prędzej czy później pada to samo pytanie: „A co z danymi dzwoniących?”. To słuszna refleksja, bo przecież narzędzie rozmawia, słyszy imiona, numery telefonów, czasem adresy albo powód kontaktu, i gdzieś to wszystko zapisuje. Innymi słowy: przetwarza dane osobowe.

Ten artykuł porządkuje temat. Piszemy o tym, na czym polega odpowiedzialność za dane przy korzystaniu z agenta głosowego, jakie obowiązki RODO faktycznie nakłada na firmę, a jakie na dostawcę narzędzia, i o co warto zapytać, zanim zdecydujesz się na takie rozwiązanie.

Jeśli dopiero zaczynasz i chcesz najpierw zrozumieć, czym w ogóle jest asystent telefoniczny AI i jak działa, warto zacząć od przewodnika po temacie.

Od razu zaznaczamy: to nie jest porada prawna. RODO bywa niuansowe, a Twoja sytuacja może mieć swoją specyfikę, zwłaszcza jeśli działasz w branży wrażliwej na dane. W kluczowych decyzjach warto skonsultować się z prawnikiem lub inspektorem ochrony danych.

Asystent AI przetwarza dane osobowe

Każda rozmowa, którą prowadzi asystent telefoniczny AI, to przetwarzanie danych osobowych w rozumieniu RODO. Sam głos rozmówcy jest daną osobową, a do tego dochodzą informacje, które klient podaje: jak się nazywa, pod jaki numer oddzwonić, czego dotyczy sprawa.

To nie jest powód do niepokoju, tylko fakt, który trzeba sobie uświadomić i prawidłowo dobrać środki bezpieczeństwa. Przetwarzanie danych osobowych jest zgodne z przepisami, o ile ma wiążącą podstawę prawną, odbywa się zgodnie z obowiązującymi zasadami dotyczącymi danych osobowych. Telefoniczna obsługa klienta robi to od zawsze, niezależnie od tego, czy telefon odbiera człowiek, czy agent głosowy. AI niczego tu nie wymyśla na nowo.

RODO opiera się na kilku zasadach, które przy obsłudze telefonicznej warto mieć z tyłu głowy. Trzy są tu najważniejsze:

  • Minimalizację danych
  • Integralność i poufność
  • Ograniczenie przechowywania

Te zasady obowiązują każdorazowo przy wyborze narzędzia. Różnica między rozwiązaniami na rynku polega na tym, jak dobrze są w nie wpisane, na przykład czy narzędzie samo z siebie kieruje w stronę zbierania nadmiaru danych, czy raczej w stronę minimum.

Tu widać pierwszą rzecz, na którą warto patrzeć przy wyborze. Dobre narzędzie domyślnie stawia na minimum: pozwala klientowi samemu zdecydować, co powie, i prosi tylko o informacje niezbędne do załatwienia sprawy, na przykład imię i numer telefonu. To zgodne z duchem minimalizacji: mniej danych w obiegu to mniejsze ryzyko, jeśli kiedykolwiek coś pójdzie nie tak.

Kto za co odpowiada przy asystencie telefonicznym AI: Ty, dostawca i RODO

To jest sedno całego tematu i miejsce, w którym najwięcej osób się gubi. Każdy asystent AI działa tu tak samo: gdy korzystasz z zewnętrznego narzędzia, w grę wchodzą dwie role, które RODO precyzyjnie rozdziela.

  1. Administrator danych to ten, kto decyduje, po co oraz jaki sposób zabezpieczenia danych wybrać. W przypadku obsługi telefonicznej Twojej firmy administratorem jesteś Ty. To Ty decydujesz, że chcesz odbierać telefony od klientów, umawiać ich na wizyty i oddzwaniać. Dane Twoich klientów są „Twoje” w tym sensie, że to Ty odpowiadasz za to, jak są wykorzystywane.
  2. Podmiot przetwarzający (nazywany też procesorem) to firma, która przetwarza te dane w Twoim imieniu, na Twoje polecenie, realizując dla Ciebie konkretną usługę. Dostawca narzędzia do obsługi telefonicznej jest właśnie takim podmiotem przetwarzającym. On nie decyduje, po co zbierasz dane klientów, tylko dostarcza infrastrukturę, która pozwala Ci tę obsługę prowadzić.Twoją rolą jako właściciela/właścicielki danych jest dopasowanie narzędzia do twoich potrzeb.

Praktyczna konkluzja jest taka: korzystając z asystenta telefonicznego, nie pozbywasz się odpowiedzialności za dane. Pozostajesz administratorem. RODO wymaga, aby relacja pomiędzy Administratorem a Procesorem była prawidłowo uregulowana.

Ważne aby zasady opisywały prawa i obowiązki przetwarzania danych, sposób ich zabezpieczenia oraz regulowały kwestie weryfikacji i audytów. Jeśli rozważasz wdrożenie jakiegokolwiek narzędzia do obsługi telefonicznej, to kluczowe abyś sprawdził/a te kwestie.

Często opisują je specjalne umowy oraz polityki prywatności, wskazujące środki bezpieczeństwa i posiadane przez dostawcę certyfikaty.

Warto też wiedzieć, że łańcuch przetwarzania danych bywa dłuższy. Dostawca voicebota często sam korzysta z kolejnych podwykonawców, na przykład odpowiedzialnych za dostarczenie obsłuowych numerów telefonów albo infrastruktury serwerowej.

Gdzie fizycznie lądują dane

Dla wielu polskich firm to jest pytanie numer jeden, i słusznie. Lokalizacja serwerów ma znaczenie, bo RODO inaczej traktuje przetwarzanie danych w EOG, a inaczej ich transfer poza ten obszar, do tak zwanych państw trzecich.

Przesyłanie danych osobowych poza Europejski Obszar Gospodarczy wymaga adekwatnych certyfikatów i gwarancji.

Najbezpieczniejsza odpowiedź, jaką możesz usłyszeć, to taka, że rozmowy i dane klientów są przetwarzane oraz przechowywane na serwerach w EOG, a jeśli ten obszar miałyby opuścić, to dostawca zapewnia ich bezpieczeństwo analogicznie do przetwarzania wewnątrz Europejskiego Obszaru Gospodarczego.

Tak jest na przykład w Asystencie Telefonicznym AI od home.pl. Dla polskiego MŚP, które nie chce wikłać się w kwestię transferów międzynarodowych, to duże uproszczenie, i właśnie tego warto szukać.

Z badania home.pl „Cyfrowy puls polskich MŚP 2026” wynika zresztą, że dla 42% polskich firm zgodność z wymogami prawnymi to jedno z najważniejszych kryteriów przy wyborze narzędzi AI. To pokazuje, że lokalizacja danych i zgodność z prawem nie są fanaberią pojedynczych ostrożnych firm, tylko czymś, na co patrzy spora część rynku.Kluczowe wymagania przy wyborze narzędzi AI - wyniki badania home.pl

Obowiązek informacyjny: dzwoniący musi wiedzieć, z czym ma do czynienia

Jedna z zasad RODO mówi o transparentności. Osoba, której dane są przetwarzane, powinna wiedzieć, że to się dzieje, kto za tym stoi i w jakim celu. Przy telefonicznej obsłudze klienta przekłada się to na obowiązek poinformowania dzwoniącego o sposobie i zasadach przetwarzania.

Tu jest miejsce, w którym warto być ostrożnym w deklaracjach, bo szczegóły zależą od tego, jak konkretnie skonfigurujesz obsługę. Inaczej wygląda sytuacja, gdy rozmowa jest tylko transkrybowana, a inaczej, gdy jest nagrywana, i polskie podejście do zgody bywa w tych przypadkach różne.

To ten obszar, w którym lepiej dopytać prawnika albo inspektora ochrony danych, jak powinna wyglądać informacja i ewentualna zgoda w Twoim konkretnym przypadku. Wymogiem jest, by rozmówca dowiedział się o przetwarzaniu danych na początku rozmowy, zanim cokolwiek powie oraz miał możliwość zrezygnowania z rozmowy.

Niezależnie od narzędzia jest też podział, o którym warto pamiętać: część obowiązków leży po stronie firmy. To Ty jako administrator odpowiadasz za to, by na Twojej stronie i w regulaminie znalazły się odpowiednie informacje o przetwarzaniu danych, i to Ty ustalasz, jak ma brzmieć komunikat na początku rozmowy.

Przykładowa, podstawowa formuła może brzmieć np. tak:

W wiadomości głosowej:

„Dzień dobry, jestem Marek, asystent telefoniczny AI. Pamiętaj, że Twoje dane osobowe są przetwarzane zgodnie z RODO. Szczegółowe informacje dostępne są w Polityce Prywatności na naszej stronie internetowej (…).”

W treści polityki prywatności:

“Dane osobowe zbierane podczas rozmowy z Telefonicznym Asystentem AI przetwarzane są wyłącznie w celu obsługi Twojego połączenia oraz umówienia wizyty. Podanie danych jest całkowicie dobrowolne, a o ich zakresie decydujesz Ty samodzielnie, podczas rozmowy. Prosimy o przekazywanie wyłącznie informacji niezbędnych do realizacji Twojego zgłoszenia (np. imię, nazwisko, numer telefonu). Podawanie jakichkolwiek innych danych nie jest konieczne i nie jest przez nas wymagane. Jeśli nie wyrażasz zgody na nagrywanie, skontaktuj się z nami w inny sposób” 

Transparentność wobec klienta to nie problem, tylko atut

Wokół „rozmowy z botem” narosło sporo obaw, że klient się zniechęci albo poczuje się oszukany. W praktyce rzecz wygląda inaczej, a dane to potwierdzają. Z cytowanego wyżej badania home.pl wynika, że obawę przed utratą „ludzkiego pierwiastka” w pracy deklaruje 38% polskich firm. To najmniej w całej Europie, dla porównania w Austrii ten lęk zgłasza ponad połowa przedsiębiorców. Polski rynek jest więc wyjątkowo otwarty na obsługę wspieraną przez AI.

Co istotne, transparentność i zgodność z RODO nie kłócą się z dobrym doświadczeniem klienta, tylko mu sprzyjają. Szczera informacja „rozmawiasz z asystentem AI” na początku rozmowy nie psuje relacji. Buduje zaufanie, bo klient wie, z czym ma do czynienia, i nie czuje się wprowadzony w błąd. Dla mikrofirmy taki voicebot bywa pierwszą wirtualną sekretarką, jaką w ogóle ma, więc tym bardziej zależy jej, by od pierwszej sekundy grał z klientem w otwarte karty. Połączenie tej szczerości z minimalizmem w pytaniach o dane, czyli pytaniem tylko o to, co absolutnie niezbędne, daje rozmowę, która jest jednocześnie wygodna i uczciwa.

O co zapytać dostawcę, zanim się zdecydujesz

Na koniec zostawiamy Cię z krótką listą pytań, które warto zadać dostawcy asystenta AI, niezależnie od tego, jakie rozwiązanie rozważasz:

  • Jakie gwarancje i środki bezpieczeństwa są stosowane?
  • Gdzie fizycznie przechowywane są nagrania, transkrypty i dane klientów? Czy dane opuszczają UE?
  • Jak długo dane są przechowywane i co się z nimi dzieje po tym okresie?
  • Kto ma dostęp do historii rozmów i jak ten dostęp jest kontrolowany?
  • Czy dostawca korzysta z dalszych podwykonawców, i czy oni też są objęci umowami?
  • Jak narzędzie wspiera realizację obowiązku informacyjnego wobec dzwoniącego?
  • Jak wygląda zbieranie danych podczas rozmowy: czy system pyta o minimum, czy wymusza pełne dane przy każdej interakcji?

Pamiętaj: to Ty jesteś administratorem danych swoich klientów.

  • Czy artykuł był pomocny ?
  • Tak   Nie