Zgoda GDPR a agenty AI

Kwestia prawna ważności zgody GDPR wyrażonej przez agenta AI — czy delegowanie wyrażania zgody na agenta spełnia wymogi świadomej, dobrowolnej i wyraźnej zgody. Agent klikający cookie banner bez wyraźnego umocowania od użytkownika — zgoda wątpliwa prawnie.

W Polsce nazywane też:

zgoda GDPR agentyconsent AIdelegacja zgodyzgoda przez agenta

GDPR wymaga zgody lub innej podstawy prawnej dla przetwarzania danych osobowych. Gdy człowiek klika „Akceptuję” — jest to jego świadoma zgoda. Gdy agent AI w jego imieniu klika „Akceptuję” — czy to jest to samo?

Agent klikający cookie banner, agent akceptujący regulamin serwisu, agent wyrażający zgodę na przetwarzanie danych w imieniu użytkownika — to nowe pytania prawne dla których GDPR nie było projektowane.

Czym jest consent dla agentów

Consent dla agentów to kwestia prawna dotycząca ważności zgody (GDPR i inne regulacje) wyrażonej przez agenta AI w imieniu użytkownika — na przetwarzanie danych osobowych, akceptację regulaminów i cookie policies — z pytaniem czy delegowanie wyrażania zgody na agenta spełnia wymogi „świadomej, dobrowolnej i wyraźnej” zgody.

GDPR wymogi zgody

GDPR wymaga że zgoda jest: dobrowolna (bez przymusu), konkretna (dla określonych celów), świadoma (osoba rozumie na co się zgadza) i wyraźna (jednoznaczne działanie potwierdzające).

Gdy agent klika „Akceptuję” na cookie banner — czy użytkownik rozumie że agent wyraził zgodę na konkretne przetwarzanie? Czy użytkownik autoryzował agenta do wyrażania takich zgód? Jeśli tak — może być ważne. Jeśli agent działa autonomicznie bez wyraźnego umocowania od użytkownika — zgoda jest wątpliwa.

Delegated consent — emerging framework

Intent Mandate (AP2) jest przykładem formalnego mechanizmu delegacji zgody: użytkownik explicite definiuje zakres w jakim agent może działać w jego imieniu. Podobny mechanizm jest potrzebny dla zgód GDPR — „upoważniam agenta X do akceptowania cookie policies kategorii A i B, nie kategorii C”.

Bez takiego formalnego mechanizmu: agent który wyraża zgody autonomicznie może naruszać GDPR przez wyrażanie zgód bez ważnego umocowania od podmiotu danych.

Praktyczne podejście dla 2026

Agenty powinny:
— Nie akceptować cookie banners i privacy notices automatycznie, chyba że użytkownik explicite skonfigurował preferencje prywatności i upoważnił agenta do ich wyrażania
— Eskalować do użytkownika gdy napotkają prośbę o zgodę na przetwarzanie danych osobowych
— Logować jakie zgody zostały wyrażone i na jakiej podstawie

Właściciele stron powinni:
— Projektować cookie banners z myślą o agentach (machine-readable consent preferences)
— Nie polegać na kliknięciu przez agenta jako ważnej zgodzie GDPR

Powiązane pojęcia

Zautomatyzowane podejmowanie decyzjiDecyzje mające skutki prawne lub istotnie wpływające na osobę podejmowane wyłącznie przez system automatyczny — regulowane przez Art. 22 GDPR który przyznaje prawo do wyjaśnienia, sprzeciwu i ludzkiej interwencji. Dotyczy agentów decydujących o kredycie, zatrudnieniu, ubezpieczeniu.Delegowane uprawnieniaFormalny mechanizm udzielania agentowi AI ograniczonego zakresu uprawnień do działania w imieniu użytkownika — przez kryptograficznie podpisane tokeny (Intent Mandate, OAuth scope) — tak że każda akcja jest weryfikowalna jako mieszcząca się w autoryzowanym zakresie.Zarządzanie danymi enterprise dla agentówRozszerzenie tradycyjnych ram data governance o kontekst agentów AI — klasyfikacja danych dostępnych dla agentów, polityki retencji logów i pamięci, prawa dostępu do danych generowanych przez agenty i compliance z GDPR w kontekście autonomicznego przetwarzania przez AI.Mandat intencjiKryptograficznie podpisana deklaracja zgody użytkownika na działania agenta w jego imieniu — element AP2 — zawierająca zakres uprawnień, limity kwot i okres ważności. Cyfrowy odpowiednik pełnomocnictwa: weryfikowalny przez systemy płatnicze bez kontaktu z użytkownikiem przy każdej transakcji.Zarządzanie agentamiSzósty filar agent-readiness: zasady i mechanizmy zarządzania tym co agenci mogą robić na stronie — polityki dostępu, logi działań, zgodność z regulacjami i długoterminowa strategia wobec agentów.