Umów rozmowę
regulacyjna · 5 min czytania ·

RODO i AI Act na uczelni: jak wdrażać AI zgodnie z prawem

RODO i AI Act na uczelni: kiedy AI w edukacji jest systemem wysokiego ryzyka, jak oznaczać treści AI i trzymać dane w UE. Praktyczny przewodnik zgodności 2026.

Wdrożenie sztucznej inteligencji na uczelni zgodnie z prawem opiera się na czterech filarach: dane przetwarzane wyłącznie w Unii Europejskiej, jasne oznaczanie treści generowanych przez AI, kontrola dostępu oparta na rolach oraz pełny dziennik zdarzeń. Te wymogi nie są dodatkiem na później. Przesądzają o tym, czy projekt w ogóle nadaje się do uruchomienia na danych studentów.

Ten tekst porządkuje, co w świetle RODO i unijnego AI Act trzeba mieć domknięte, zanim AI dotknie spraw studenckich i dydaktyki.

Zastrzeżenie: poniższe to ramy zgodności, nie indywidualna porada prawna. Ostateczna ocena zależy od konkretnego zastosowania i powinna przejść przez inspektora ochrony danych oraz dział prawny uczelni.

Dlaczego stawka jest tak wysoka

Uczelnia przetwarza dane wrażliwe na dużą skalę: studentów, kandydatów, doktorantów, pracowników, dane o przebiegu studiów, niekiedy dane zdrowotne. Każde wdrożenie AI, które dotyka tych zbiorów, działa pod pełnym reżimem RODO; od niedawna obejmuje je także unijny akt o sztucznej inteligencji. Konsekwencje błędu nie są abstrakcyjne. W skali kraju CERT Polska zarejestrował w 2025 r. rekordowe 260 783 incydenty; uczelnie bywały też celem ataków kończących się wyciekiem danych studentów. Zgodność i bezpieczeństwo to tu jedna rozmowa, nie dwie.

RODO: cztery rzeczy, które trzeba wykazać

RODO nie wymaga rezygnacji z AI. Wymaga, by przetwarzanie dało się wykazać i kontrolować. W praktyce wdrożeniowej oznacza to konkrety.

  • Lokalizacja danych w Unii. Dane osobowe przechowywane i przetwarzane wyłącznie w UE upraszczają kwestię transferów oraz nadzoru.
  • Zasada minimalnego dostępu. Role i uprawnienia ograniczają dostęp do danych do osób, które faktycznie go potrzebują.
  • Rozliczalność. Pełny dziennik zdarzeń — kto, co i kiedy zrobił z danymi — pozwala wykazać zgodność wobec organu nadzorczego.
  • Prawa osób. Prawo wglądu i usunięcia danych musi być wykonalne w praktyce, nie tylko deklarowane.

Spełnienie tych wymogów utrudnia rozproszona architektura IT. Gdy dane żyją w kilku osobnych systemach i arkuszach, odpowiedzialność też jest rozproszona, a wykazanie zgodności staje się mozolne.

AI Act: kiedy edukacja staje się „wysokim ryzykiem”

Tu kryje się niuans, który decydent musi zrozumieć dokładnie. Unijny AI Act stopniuje obowiązki według poziomu ryzyka, a edukacja trafiła wprost na listę obszarów wysokiego ryzyka z Załącznika III. Mowa o systemach, które decydują o przyjęciu na uczelnię, oceniają wyniki nauki, przypisują poziom edukacji lub monitorują przebieg egzaminów. Takie zastosowania ciągną za sobą rozbudowane wymogi: zarządzanie danymi, dokumentację techniczną, ocenę zgodności, nadzór człowieka.

Klucz tkwi w słowie „decydują”. System, który jedynie wspiera człowieka — podpowiada rozstrzygnięcie w sprawie studenckiej, proponuje wariant zadania, pomaga zredagować informację zwrotną — a ostateczną decyzję pozostawia pracownikowi lub wykładowcy, zwykle nie wpada do kategorii wysokiego ryzyka. Granica przebiega więc nie przy samej technologii, lecz przy tym, kto podejmuje decyzję. Dlatego projektowanie z człowiekiem w pętli (human-in-the-loop) jest tu zarazem dobrą praktyką i tarczą prawną.

Pilna jest też druga kwestia — przejrzystość: materiały i odpowiedzi tworzone przy wsparciu AI powinny być jasno oznaczone. Obowiązki przejrzystości z artykułu 50 AI Act mają być stosowane od sierpnia 2026 r., choć kalendarz jest ruchomy — pakiet Digital Omnibus oraz polska ustawa wdrożeniowa mogą część terminów dla systemów wysokiego ryzyka przesunąć (mówi się o przesunięciu nawet do grudnia 2027 r.). Niezależnie od dat, obowiązek kompetencji w zakresie AI (AI Literacy) obowiązuje już od lutego 2025 r., a klasyfikację ryzyka warto przeprowadzić świadomie na etapie wdrożenia, nie domniemywać jej po fakcie.

Dostępność jako część zgodności

Do RODO i AI Act dochodzi trzeci, często pomijany reżim: dostępność cyfrowa (WCAG), dla uczelni publicznych obowiązkowa. Audyt 309 uczelni pokazał tymczasem, że połowa stron uczelni publicznych ma poważne błędy dostępności. Wdrażając nową platformę, dostępny interfejs warto traktować jako wymóg domyślny w całym rozwiązaniu, a nie osobny projekt do odłożenia.

Zgodność „wbudowana” kontra „doklejona”

Różnica przesądza o kosztach i o ryzyku. Zgodność wbudowana znaczy, że dane od początku są w Unii, treści AI noszą oznaczenie u źródła, dostęp jest rolowy, a każda operacja zostawia ślad. Zgodność doklejana to łatanie — droższe, wolniejsze, trudniejsze do wykazania przy kontroli. Ta sama zasada dotyczy bezpieczeństwa operacyjnego, które jest drugą stroną tego samego medalu; piszemy o nim w tekście o cyberbezpieczeństwie uczelni.

Jak to spinamy w MenToR

Platforma MenToR powstała wokół tych wymogów. Dane przetwarzane wyłącznie w Unii. RODO i AI Act wbudowane, z jasnym oznaczeniem treści wspieranych przez AI i z architekturą, w której decyzję podejmuje człowiek, co zwykle utrzymuje rozwiązanie poza kategorią systemów wysokiego ryzyka (końcowa klasyfikacja zależy od konkretnego zastosowania na uczelni). Do tego dochodzi kontrola dostępu oparta na rolach oraz dziennik zdarzeń, a kopie zapasowe są regularne i szyfrowane; całość zamyka dostępny interfejs (WCAG). Zgodność jest tu warstwą wspólną dla dziekanatu (DEAN) i dydaktyki (LUMEN), a nie osobnym wdrożeniem dla każdego modułu.

Chcecie wdrożyć AI tak, by przeszła kontrolę inspektora ochrony danych i działu prawnego bez improwizacji? Zacznijmy od krótkiej rozmowy o waszych danych i procesach.

Najczęstsze pytania

Czy AI na uczelni to system wysokiego ryzyka według AI Act? Zależy od zastosowania. Edukacja jest w Załączniku III obszarem wysokiego ryzyka, gdy AI decyduje o przyjęciu na studia, ocenia wyniki nauki lub monitoruje egzaminy. System, który jedynie wspiera człowieka, a ostateczną decyzję pozostawia pracownikowi, zwykle nie wpada do tej kategorii.

Od kiedy obowiązują przepisy AI Act dotyczące uczelni? Obowiązek kompetencji w zakresie AI (AI Literacy) obowiązuje od lutego 2025 r. Obowiązki przejrzystości z artykułu 50 mają być stosowane od sierpnia 2026 r., lecz kalendarz dla systemów wysokiego ryzyka może się przesunąć w ramach pakietu Digital Omnibus i polskiej ustawy wdrożeniowej, nawet do grudnia 2027 r.

Czy dane studentów można przetwarzać w AI poza Unią? Najbezpieczniej jest przetwarzać je wyłącznie w Unii Europejskiej, co upraszcza kwestię transferów i nadzoru w świetle RODO. Lokalizacja danych w UE, kontrola dostępu i dziennik zdarzeń to filary, których organ nadzorczy oczekuje przy wdrożeniu AI.

Jak oznaczać treści tworzone przez AI? AI Act wymaga przejrzystości, więc materiały i odpowiedzi powstałe przy wsparciu AI powinny nosić jasne oznaczenie, czytelne dla studenta i wykładowcy. Dobre rozwiązanie ma tę funkcję wbudowaną u źródła, a nie doklejaną ręcznie.

Co dalej // przeczytałeś artykuł · może czas na rozmowę?

Czy te zagadnienia dotyczą Twojej firmy?

30 minut z CEO. Bez handlowca. Sprawdzimy razem czy to, co przeczytałeś, ma zastosowanie u Ciebie.

Umów rozmowę z CEO Sprawdź kalkulator ROI
Paleta poleceń
  • Strona główna/
  • Audyt AiP/audyt-aip/
  • Venture Projects/projekty/
  • dlaNGO MVP demo/projekty/#dlango-mvp
  • Kalkulator Dig.IT/kalkulator/
  • Engineering Lab/engineering-lab/
  • Baza wiedzy/baza-wiedzy/
  • O nas/o-nas/
  • LSO:ATOM/o-nas/#lso-atom
  • Kontakt/kontakt/
  • FAQ /projekty//projekty/#faq
CtrlK|Esc|Enter11