Problem: AI i dane osobowe
Wdrażasz chatbota dla klientów. Klient pisze: "Nazywam się Jan Kowalski, mój PESEL to 85010112345, chcę złożyć reklamację zamówienia 12345." Gdzie trafiają te dane?
Jeśli używasz ChatGPT, GPT-4 przez interfejs webowy, to dane trafiają na serwery OpenAI w USA. PESEL Twojego klienta jest przetwarzany za oceanem. Przez firmę, nad którą nie masz kontroli. Na serwerach, które podlegają amerykańskiemu prawu.
Czy to legalne? Technicznie, po Data Privacy Framework (następca Privacy Shield), transfer do USA jest dopuszczalny. Ale RODO wymaga czegoś więcej niż "technicznie legalne". Wymaga odpowiedzialności. Minimalizacji danych. Kontroli nad przetwarzaniem.
A Twoi klienci? Coraz częściej pytają: "Co robicie z moimi danymi?". Kancelarie prawne, gabinety lekarskie, biura rachunkowe, firmy ubezpieczeniowe. Wszędzie tam, gdzie dane są wrażliwe, pytanie "gdzie działa Wasze AI?" staje się kluczowe.
Chmura vs. lokalne AI
| Aspekt | AI w chmurze (OpenAI, Anthropic) | Lokalne AI |
|---|---|---|
| Gdzie dane | Serwery USA/EU dostawcy | Twój serwer, Twoja serwerownia |
| Kontrola | Zależysz od dostawcy | Pełna kontrola |
| RODO | Wymaga DPA z dostawcą | Proste: dane nie opuszczają firmy |
| Jakość odpowiedzi | Najlepsza (GPT-4, Claude) | Dobra (Llama, Mistral, Bielik) |
| Koszt początkowy | Niski | Wyższy (serwer) |
| Koszt miesięczny | Zależny od użycia | Stały (prąd, utrzymanie) |
| Prędkość | Zależna od internetu | Brak opóźnień sieciowych |
Lokalne AI oznacza, że model językowy działa na serwerze w Twojej firmie albo w polskim data center. Dane klientów nigdy nie opuszczają Twojej infrastruktury. Nie ma transferu transgranicznego. Nie ma zależności od dostawcy chmury.
Jak działa lokalne AI
Modele językowe to pliki. Duże pliki (5-70 GB), ale pliki. Można je pobrać i uruchomić na własnym serwerze. Jak każde oprogramowanie.
Modele dostępne do lokalnego uruchomienia:
- Llama 3.1 (Meta). Licencja otwarta. Wersje 8B, 70B, 405B parametrów. 70B daje jakość zbliżoną do GPT-4 na wielu zadaniach.
- Mistral (Mistral AI). Francuski model, serwery w EU. Wersje 7B, 8x7B (Mixtral). Bardzo dobry na europejskich językach.
- Bielik (SpeakLeash). Polski model. 11B parametrów. Zoptymalizowany pod język polski. Idealny dla firm, które potrzebują AI rozumiejącego polskie realia.
- Gemma (Google). Mały, szybki model. Wersje 2B i 7B. Dobry do prostych zadań na słabszym sprzęcie.
Uruchomienie wygląda tak: serwer z kartą graficzną (np. NVIDIA RTX 4090) + oprogramowanie (Ollama, vLLM, text-generation-webui) + model. Instalacja trwa kilka godzin. Potem masz własne AI, działające bez internetu.
Co mówi RODO o AI
RODO nie zabrania używania AI. Ale stawia wymagania:
1. Podstawa prawna przetwarzania (art. 6). Musisz mieć powód do przetwarzania danych przez AI. Najczęściej: uzasadniony interes administratora (art. 6.1.f) lub zgoda (art. 6.1.a). Jeśli chatbot przetwarza dane klientów w ramach obsługi, to uzasadniony interes.
2. Minimalizacja danych (art. 5.1.c). Przetwarzaj tylko tyle, ile potrzebujesz. Chatbot nie musi znać PESELu, żeby odpowiedzieć na pytanie o dostawę. Projektuj system tak, żeby zbierał minimum.
3. Transparentność (art. 13-14). Klient musi wiedzieć, że rozmawia z AI. I gdzie przetwarzane są jego dane. Polityka prywatności musi to opisywać.
4. Prawo do sprzeciwu wobec automatyzacji (art. 22). Klient ma prawo żądać, żeby decyzja nie była podejmowana wyłącznie przez AI. Chatbot musi umożliwiać eskalację do człowieka.
5. DPIA (art. 35). Jeśli AI przetwarza dane na dużą skalę, musisz przeprowadzić ocenę skutków dla ochrony danych (Data Protection Impact Assessment).
6. Transfer danych (rozdział V). Jeśli dane trafiają poza EOG, potrzebujesz mechanizmu zabezpieczającego (DPF, SCCs, BCRs). Lokalne AI eliminuje ten problem całkowicie.
Kiedy lokalne, kiedy chmura
Wybierz lokalne AI, gdy:
- Przetwarzasz dane wrażliwe (medyczne, prawne, finansowe)
- Klienci wymagają pełnej kontroli nad danymi
- Branża jest regulowana (prawo, medycyna, finanse)
- Wolumen zapytań jest stały i przewidywalny
- Chcesz niezależności od dostawcy chmury
Chmura z DPA wystarczy, gdy:
- Dane nie są szczególnie wrażliwe (sklep, usługi, gastronomia)
- Potrzebujesz najlepszej jakości odpowiedzi (GPT-4, Claude)
- Wolumen zapytań jest zmienny (sezonowość, kampanie)
- Nie masz budżetu na infrastrukturę
Rozwiązanie hybrydowe: proste zapytania (FAQ, cennik, godziny otwarcia) obsługuje lokalne AI. Złożone zapytania (analiza dokumentów, generowanie treści) idą do chmury, ale z anonimizacją danych osobowych przed wysłaniem.
Koszty lokalnego AI
| Element | Koszt | Uwagi |
|---|---|---|
| Serwer z GPU | 8 000-25 000 PLN | RTX 4090 dla małych modeli, A100 dla dużych |
| Konfiguracja i wdrożenie | 5 000-15 000 PLN | Jednorazowo |
| Prąd | 200-500 PLN/mies | Serwer 24/7 |
| Utrzymanie | 500-1 500 PLN/mies | Monitoring, aktualizacje |
| Rok 1 łącznie | 21 000-55 000 PLN | |
| Rok 2+ łącznie | 8 400-24 000 PLN |
Drożej niż chmura w pierwszym roku. Taniej od drugiego. I z pełną kontrolą nad danymi od dnia pierwszego.
Alternatywa: polski hosting GPU. Firmy jak OVH (data center we Wrocławiu), Hetzner (Finlandia, EU) oferują serwery dedykowane z GPU. Koszt: 1 000-3 000 PLN/mies. Dane w EU, bez inwestycji w sprzęt.
Potrzebujesz AI, które chroni dane Twoich klientów? Specjalizujemy się w lokalnych wdrożeniach AI. Od doboru modelu, przez konfigurację serwera, po integrację z Twoimi systemami. Dane nigdy nie opuszczają Twojej infrastruktury. Napisz, omówimy szczegóły.