W kwietniu 2026 Sam Altman, CEO OpenAI, publicznie przeprosił mieszkańców Tumbler Ridge, małej kanadyjskiej społeczności w Kolumbii Brytyjskiej. Powód? Dane lokalizacyjne i wrażliwe informacje o mieszkańcach pojawiły się w kontekstach, w których nie powinny się znaleźć. To pierwsze tak otwarte przeprosiny szefa największej firmy AI na świecie wobec konkretnej społeczności i moment, który warto zatrzymać na dłużej.
Dla polskich przedsiębiorców to nie jest tylko ciekawostka z drugiej strony oceanu. To sygnał, że odpowiedzialność za dane klientów, pracowników i kontrahentów nie znika wraz z momentem, gdy wrzucasz coś do ChatGPT, Claude'a czy Gemini. Dostawca technologii może się pomylić, a mimo to to ty - jako właściciel firmy - odpowiadasz przed swoimi klientami za to, co stało się z ich danymi.
Ten incydent rzuca światło na trzy fundamentalne kwestie, które każdy polski przedsiębiorca korzystający z AI powinien przemyśleć: gdzie trafiają dane, kto za nie odpowiada i co robisz, gdy coś pójdzie nie tak.
Co właściwie wydarzyło się w Tumbler Ridge
Według raportu TechCrunch sprawa dotyczyła sposobu, w jaki modele OpenAI przetwarzały i potencjalnie ujawniały informacje o małej, niespełna 2-tysięcznej społeczności w Kanadzie. Altman nie próbował się wymigiwać ani zrzucać winy na "halucynacje modelu" czy "edge case". Powiedział wprost: zawiedliśmy was, przepraszamy, naprawimy to.
To nietypowa reakcja w branży, która zwykle chowa się za regulaminami i ogólnikami o "ciągłym doskonaleniu modeli". I dokładnie dlatego ten przypadek wart jest analizy - bo pokazuje, że nawet firma warta setki miliardów dolarów, z najlepszymi inżynierami świata, może spowodować realną szkodę realnym ludziom. A skoro może OpenAI, to może każdy dostawca AI, z którego korzystasz w swojej firmie.
Dlaczego polskie firmy powinny się tym przejąć
Pracując z polskimi klientami nad wdrożeniami AI, regularnie spotykam się z tą samą postawą: "Skoro to OpenAI/Microsoft/Google, to przecież wszystko jest bezpieczne". To groźne uproszczenie. RODO nie zwalnia cię z odpowiedzialności tylko dlatego, że dane wrzuciłeś do narzędzia amerykańskiego giganta. Wręcz przeciwnie - jako administrator danych odpowiadasz za wybór procesora.
Konkretne ryzyka, z którymi spotykam się w polskich firmach:
- Wrzucanie CV kandydatów do ChatGPT bez sprawdzenia, czy konto ma wyłączone uczenie modelu na danych użytkownika. Standardowe konto ChatGPT Plus uczy się na twoich rozmowach domyślnie
- Analiza umów klientów w darmowych narzędziach AI, których regulaminy często pozwalają na wykorzystanie danych do trenowania modeli
- Generowanie raportów z danymi finansowymi w narzędziach, które logują wszystkie zapytania na serwerach poza UE
- Korzystanie z asystentów AI w komunikacji z klientami bez audytu, gdzie trafiają transkrypty rozmów
Polski przedsiębiorca, który wrzuci listę swoich klientów z numerami NIP do losowego narzędzia AI, by "zrobić segmentację", popełnia błąd, który w razie kontroli UODO może kosztować do 4% rocznego obrotu. I nie pomoże tłumaczenie, że "to przez AI".
Trzy zasady, które wprowadziłem u swoich klientów
W ciągu ostatnich 18 miesięcy wdrażałem AI w czterech firmach z różnych branż - gastronomia, montaż przemysłowy, doradztwo, e-commerce. Wypracowałem zestaw zasad, które działają w polskich realiach i nie wymagają zatrudniania działu compliance.
Zasada 1: Wiesz, gdzie są twoje dane. Przed użyciem jakiegokolwiek narzędzia AI sprawdzasz: gdzie fizycznie przetwarzane są zapytania (UE czy USA), czy dostawca podpisuje umowę powierzenia (DPA), czy domyślnie wyłączone jest trenowanie modelu na twoich danych. W praktyce: ChatGPT Team i Enterprise mają to wyłączone, darmowy ChatGPT - nie. Claude API ma czyste warunki, aplikacja Claude.ai wymaga sprawdzenia ustawień. Microsoft Copilot dla biznesu jest na ogół bezpieczny, ale tylko w wersji z licencją M365.
Zasada 2: Klasyfikujesz dane przed wrzuceniem. Wprowadzam u klientów prosty system trzech poziomów: zielone (publiczne, można wrzucać wszędzie), żółte (wewnętrzne, tylko narzędzia z DPA), czerwone (dane osobowe, finansowe, kontraktowe - tylko narzędzia w UE z pełną kontrolą). Pracownicy dostają jednostronicową instrukcję z przykładami. Bez tego ludzie wrzucają do ChatGPT pliki Excel z pensjami zespołu, bo "tak szybciej".
Zasada 3: Masz plan na incydent. Co robisz, gdy okaże się, że twój dostawca AI miał wyciek? Kogo informujesz, w jakim czasie, jakimi kanałami? RODO daje ci 72 godziny na zgłoszenie naruszenia do UODO. To nie jest dużo, gdy musisz dopiero ustalić, co się stało.
Czego nauczył mnie incydent z Tumbler Ridge
Przyznam uczciwie: do tej pory traktowałem dostawców pokroju OpenAI jako "ostatnią linię obrony". Zakładałem, że jeśli oni czegoś nie zabezpieczyli, to znaczy, że żaden inny dostawca tego nie zabezpieczy. Ten incydent zmusił mnie do rewizji tego myślenia.
Po pierwsze, nawet najwięksi gracze popełniają błędy, których konsekwencje ponoszą realni ludzie. Po drugie, sposób, w jaki Altman zareagował - publicznie, konkretnie, bez ukrywania - jest wzorem, którego brakuje w polskiej kulturze biznesowej. U nas wciąż dominuje odruch "zaprzeczać, dopóki się da". Po trzecie, jako konsultant nie mogę chować się za marką dostawcy. Jeśli polecam klientowi narzędzie, biorę na siebie część odpowiedzialności za to, jak ono działa.
Praktyczna zmiana w mojej pracy: od kwietnia każdy klient, któremu wdrażam AI, dostaje ode mnie dokument "Mapa dostawców AI" - lista wszystkich narzędzi, które wprowadzamy, z lokalizacją serwerów, statusem DPA, ustawieniami prywatności i kontaktem do supportu w razie incydentu. Brzmi nudno, kosztuje mnie kilka godzin pracy, ale w razie kontroli ratuje skórę i klientowi, i mnie.
Co możesz zrobić w tym tygodniu
Jeśli prowadzisz firmę i korzystasz z AI - choćby tylko ChatGPT do pisania ofert - poświęć 30 minut na trzy rzeczy. Sprawdź, czy w ustawieniach swojego konta ChatGPT/Claude/Gemini wyłączone jest trenowanie modelu na twoich rozmowach (zwykle jest to opcja "Improve the model for everyone" lub podobna). Zrób listę narzędzi AI używanych w firmie - łącznie z tym, czego używają pracownicy "po cichu". Ustal jedną zasadę, którą wprowadzisz od jutra: na przykład "żadnych danych klientów do darmowych narzędzi AI".
To nie jest paranoja ani nadgorliwość. To minimum, którego wymaga od ciebie polskie i unijne prawo, gdy decydujesz się na korzystanie z AI w firmie. Sam Altman przeprosił małą kanadyjską społeczność, bo jego firma zawiodła. Ty, jako właściciel polskiej firmy, nie masz luksusu publicznych przeprosin - masz obowiązek nie dopuścić do sytuacji, w której musiałbyś je składać.
Odpowiedzialność za AI nie deleguje się razem z subskrypcją. To ciągle twoja firma, twoi klienci i twoja reputacja.
Źródło: OpenAI CEO apologizes to Tumbler Ridge community (TechCrunch)