27 sierpnia 2025

Chatboty w obsłudze klienta – szanse, ryzyka i granice odpowiedzialności prawnej

Udostępnij

W ostatnim czasie, wraz z dynamicznym rozwojem technologii sztucznej inteligencji, obserwujemy rosnącą popularność wykorzystania chatbotów w biznesie. Ich zastosowanie jest szerokie i obejmuje różne dziedziny, takie jak handel elektroniczny, bankowość, wsparcie techniczne czy edukacja. Chatboty stają się nie tylko narzędziem wsparcia dla firm, ale także kluczowym elementem strategii budowania pozytywnych doświadczeń użytkowników.

Czym dokładnie są chatboty? To programy komputerowe, obecnie często oparte o działanie sztucznej inteligencji, które umożliwiają prowadzenie konwersacji za pomocą tekstu lub głosu w języku naturalnym. Dzięki temu użytkownik może odnieść wrażenie, że rozmawia z człowiekiem, co znacznie ułatwia interakcję, a także pozwala automatyzować wiele działań dotychczas realizowanych przez realne osoby.

Dlaczego chatboty zyskują na popularności?

Rosnąca popularność chatbotów to efekt połączenia oczekiwań klientów, dostępności technologii i możliwości, jakie oferuje sztuczna inteligencja. Klienci coraz częściej oczekują natychmiastowej, całodobowej obsługi – niezależnie od dnia tygodnia czy strefy czasowej. Chatboty są w stanie zapewnić wsparcie w czasie rzeczywistym. W sytuacji rosnącej konkurencji i szybkiego podejmowania decyzji zakupowych, szybkość reakcji może przesądzać o konwersji.

Dodatkowo, dzięki rozwojowi i udostępnieniu dużych modeli językowych (LLM), takich jak Chat GPT, technologia stała się znacznie łatwiej dostępna i tańsza we wdrożeniu. Przedsiębiorcy mogą korzystać z gotowych rozwiązań takich jak API tych modeli, co pozwala na wykorzystanie generatywnej sztucznej inteligencji bez samodzielnego trenowania modeli czy zaawansowanej wiedzy technicznej. Ma to kluczowe znaczenie z punktu widzenia możliwości wdrażania chatbotów także przez sektor MŚP.

Na czym opiera się działanie chatbotów?

Podstawowym zadaniem chatbota jest automatyzacja interakcji – może on udzielać odpowiedzi na pytania, rozwiązywać proste problemy lub wykonywać polecenia użytkownika, odciążając tym samym ludzkich pracowników (np. w działach obsługi klienta) od powtarzalnych zadań. Nowoczesne chatboty potrafią prowadzić naturalne, kontekstowe rozmowy, rozumieją złożone pytania i mogą reagować na emocje użytkowników.

Chatboty występują w wariantach tekstowych (na stronach, w aplikacjach i komunikatorach), głosowych (np. na infoliniach) oraz hybrydowych – łączące obie formy komunikacji. Mogą być wdrażane na stronach www, w mediach społecznościowych, jako samodzielne aplikacje lub narzędzia wewnętrzne w firmie (np. w obszarze HR czy IT). Coraz częściej działają w modelu omnichannel, zapewniając spójne wsparcie użytkownika w wielu kanałach jednocześnie.

Narzędzia te znajdują szerokie zastosowanie w handlu elektronicznym, wspierając zarówno proces sprzedaży, jak i obsługę posprzedażową. W praktyce chatboty wykorzystywane są m.in. do:

przekazywania informacji o ofercie – udzielają odpowiedzi na pytania dotyczące produktów, usług, cen, dostępności czy warunków dostawy,
asysty podczas sprzedaży – wspierają użytkownika na etapie wyboru produktu, konfiguracji zamówienia czy finalizacji transakcji,
rozpatrywania reklamacji i zgłoszeń serwisowych – umożliwiają szybkie przyjęcie zgłoszenia, weryfikację statusu reklamacji i przekazanie jej do odpowiedniego działu,
badania satysfakcji klienta – zbierają opinie i oceny po dokonanym zakupie, wspierając proces analizy doświadczeń użytkowników (UX).

Szanse i ryzyka, w tym ryzyka prawne związane z użytkowaniem chatbotów

Odpowiednio zaprojektowany chatbot może stanowić istotny element strategii e-commerce, wpływając na jakość obsługi klienta, efektywność procesów oraz budowanie lojalności wobec marki. Jednak, wdrażanie tych narzędzi w biznesie to nie tylko kwestia technologii i użyteczności komercyjnej – to również odpowiedzialność prawna i etyczna oraz związane z tym ryzyko. Regulacje prawne, dotyczące w szczególności ochrony danych osobowych, bezpieczeństwa i wpływu na użytkowników Dostosowanie się do obowiązujących przepisów to nie tylko obowiązek przedsiębiorców, ale także wyraz strategicznego myślenia – podejście, które pozwala ograniczyć ryzyka prawne, reputacyjne i operacyjne już na etapie implementacji rozwiązań technologicznych.

Do najczęstszych zagrożeń prawnych związanych z wdrażaniem i wykorzystywaniem chatbotów należą:

naruszenia przepisów o ochronie danych osobowych – w szczególności niezgodne z prawem gromadzenie, przetwarzanie, udostępnianie, dokumentowanie danych użytkowników lub ich wycieki,
naruszenia zasad cyberbezpieczeństwa – obejmujące m.in. niewystarczające zabezpieczenia systemów przed atakami i nieautoryzowanym dostępem, jak również wybór dostawcy niespełniającego wymogów bezpieczeństwa,
wprowadzanie konsumentów w błąd i naruszenia przepisów prawa konsumenckiego – np. poprzez brak jasnych informacji o charakterze rozmowy, nieprzejrzyste warunki oferowanych usług czy niespełnienie obowiązków informacyjnych w e-commerce,
naruszenia przepisów dotyczących reklamy i ofertowania – w tym kierowanie automatycznych wiadomości przez chatbota w ramach tzw. cold mailingu, brak oznaczenia przekazów komercyjnych lub nieuprawnione sugerowanie korzyści,
manipulowanie emocjami użytkownika lub wywieranie niedozwolonego wpływu – co może prowadzić do naruszeń zasad etyki, a w niektórych przypadkach także do odpowiedzialności prawnej,
naruszanie praw autorskich i znaków towarowych – zwłaszcza przy generowaniu treści na bazie chronionych materiałów bez odpowiednich licencji lub zgód,
podejmowanie decyzji bez nadzoru człowieka – co może skutkować m.in. automatycznym podejmowaniem decyzji o charakterze dyskryminacyjnym, stosowaniem zakazanego scoringu lub nieuprawnioną segmentacją użytkowników,
generowanie treści obraźliwych, zniesławiających, wulgarnych lub podżegających do przemocy czy przestępstw.

Bezpieczeństwo i ochrona danych osobowych

Warto w tym miejscu przypomnieć, że daną osobową jest każda informacja, która umożliwia obiektywną identyfikację osoby fizycznej, w tym może to być również pseudonim, jeżeli obiektywnie pozwala na określenie tożsamości konkretnej osoby. W komercyjnym zastosowaniu chatbotów jak np. w obsłudze klienta, dane osobowe bardzo często pojawiają się w treści prowadzonej konwersacji służąc do identyfikacji klienta. Dlatego bezpieczeństwo i ochrona danych osobowych ma tutaj niebagatelne znaczenie.

Zgodnie z RODO[1], przedsiębiorcy są zobowiązani m.in. do zapewnienia odpowiedniego poziomu bezpieczeństwa przetwarzania, dokumentowania celu, czasu i podstawy prawnej przetwarzania danych.

W praktyce dostawcy chatbotów często korzystają z infrastruktury serwerowej zlokalizowanej poza Unią Europejską, a ich dokumentacja nie zawiera odniesień do ochrony danych osobowych czy zgodności z RODO. Ma to istotne znaczenie z punktu widzenia powstania ewentualnej odpowiedzialności prawnej administratora danych w przypadku naruszenia, w tym wycieku danych lub braku zapewnienia odpowiedniego poziomu cyberbezpieczeństwa dla użytkowników końcowych.

W przypadku przekazywania danych innemu podmiotowi jak np. dostawcy rozwiązania chatbotowego w większości przypadków konieczne jest zawarcie umowy powierzenia przetwarzania danych osobowych. W takiej umowie należy szczegółowo określić m.in. zakres danych, cel przetwarzania, dostęp podmiotów trzecich oraz środki bezpieczeństwa stosowane przez dostawcę.

Administrator danych ma również obowiązek zweryfikowania podmiotu przetwarzającego pod kątem zgodności oferowanego narzędzia z RODO. W przypadku przesyłu danych poza obszar Europejskiego Obszaru Gospodarczego, na administratorze ciąży dodatkowy obowiązek zapewnienia, że poziom ochrony danych jest równoważny z gwarantowanym przez RODO np. poprzez zastosowanie standardowych klauzul umownych w przypadku transferu danych do Stanów Zjednoczonych.

Zgodnie z art. 83 ust. 1 RODO, administracyjne kary pieniężne mogą być nakładane przez organ nadzorczy w przypadku naruszenia przepisów dotyczących ochrony danych osobowych. Ich wysokość może sięgać do 20 milionów euro, a w przypadku przedsiębiorstw – do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Kary te, zgodnie z wymogami rozporządzenia, powinny być w każdym przypadku skuteczne, proporcjonalne oraz odstraszające, co oznacza, że ich wysokość i charakter są każdorazowo dostosowywane do wagi i okoliczności naruszenia.

Uwagi prawnej wymaga także Data Act[2], które zacznie obowiązywać we wrześniu 2025 roku. Choć Data Act nie reguluje bezpośrednio chatbotów, jego przepisy będą miały wpływ na sposób działania tych narzędzi, zwłaszcza w kontekście Internetu rzeczy (IoT).

Wprowadzanie konsumentów w błąd

W związku z zastosowaniem chatbotów jako asystentów sprzedaży, a także w obsłudze klienta, ich działanie może prowadzić do wprowadzania konsumentów w błąd, jeśli narzędzia podają np. niekompletne, mylące lub nieaktualne informacje dotyczące oferty, warunków zakupu, procedur reklamacyjnych czy zwrotów.

Z punktu widzenia prawnego, znaczenie ma tutaj ustawa o przeciwdziałaniu nieuczciwym praktykom rynkowym[3], która zakazuje działań wprowadzających w błąd, w tym zatajania istotnych informacji, które mogą wpływać na świadome podjęcie decyzji przez konsumenta. Brak wyraźnego ujawnienia, że użytkownik rozmawia z chatbotem, może być potraktowany jako pominięcie istotnej informacji, a więc potencjalnie wprowadzające w błąd zaniechanie. Istotność tej informacji zależy od okoliczności - należy ocenić, czy przeciętny konsument potrzebuje wiedzieć, że nie komunikuje się z człowiekiem.

W praktyce chatboty często występują w roli przedstawicieli oferty, a w świetle obowiązujących przepisów przedstawianie oferty bez zgody nie jest dopuszczalne. Kluczowe znaczenie mają w tym kontekście art. 398 ustawy Prawo komunikacji elektronicznej[4] (PKE), obowiązującej od 10 listopada 2024 r., który ustanawia generalny zakaz prowadzenia marketingu bez uprzednio uzyskanej zgody odbiorcy oraz art. 400 PKE, który odsyła do zasad wynikających z przepisów o ochronie danych osobowych. Nowością w stosunku do poprzednio obowiązujących regulacji jest rozszerzenie zakresu ochrony – nowe przepisy mają zastosowanie nie tylko wobec osób fizycznych (konsumentów), lecz także wobec przedsiębiorców, co oznacza, że działania marketingowe w relacjach B2B również wymagają odpowiedniej zgody. Udzielona zgoda marketingowa musi być wyraźna, jednoznaczna i dotyczyć konkretnego kanału komunikacji – np. e-maila, wiadomości SMS czy połączenia telefonicznego. Ma to kluczowe znaczenie, ponieważ za prowadzenie marketingu bez uprzedniej zgody grożą dotkliwe kary finansowe.

Prawo konsumenckie

W sytuacji, gdy chatbot jest wykorzystywany do zawierania umów sprzedaży lub składania ofert, konieczne jest spełnienie szeregu obowiązków informacyjnych, wynikających m.in. z ustawy o prawach konsumenta[5]. W szczególności przepisy regulujące obowiązki przedsiębiorców zawierających umowy na odległość – czyli również za pośrednictwem komunikatorów czy platform zautomatyzowanej obsługi klienta. Dotyczy to m.in. konieczności jasnego przedstawienia warunków umowy, prawa do odstąpienia, obowiązków w zakresie reklamacji oraz potwierdzenia zawarcia umowy na trwałym nośniku. W praktyce, obowiązki te są spełniane poprzez dostarczenie do klienta odpowiedniego regulaminu. W tym przypadku, niespełnienie wskazanych obowiązków także wiąże się z odpowiedzialnością finansową.

Dostępność cyfrowa

W związku z uchwaleniem ustawy o zapewnianiu spełniania wymagań dostępności niektórych produktów i usług przez podmioty gospodarcze[6], która wdraża do polskiego porządku prawnego przepisy tzw. Europejskiego Aktu o Dostępności[7] (EAA) kwestia dostępności interfejsów, w tym chatbotów, nabrała dodatkowego znaczenia. Ustawa weszła w życie w czerwcu 2025 r., rozpoczynając nowy etap dostosowań w obszarze projektowania usług i narzędzi cyfrowych z myślą o użytkownikach z różnymi potrzebami funkcjonalnymi takich jak osoby niewidome, słabowidzące, z ograniczoną motoryką czy trudnościami poznawczymi.

Celem nowej regulacji jest zobowiązanie określonych przedsiębiorców działających na rynku krajowym do zapewnienia dostępności wybranych produktów i usług – w szczególności dla osób z niepełnosprawnościami. W katalogu objętym przepisami EAA znajdują się m.in. strony internetowe, aplikacje mobilne, a także systemy sprzedaży online (e-commerce). Oznacza to, że interfejsy wykorzystywane w działalności handlowej, w tym również chatboty wdrażane na stronach internetowych i w aplikacjach, muszą spełniać określone wymogi dostępności technicznej i funkcjonalnej.

Prawa autorskie i znaki towarowe

Naruszenia praw autorskich i znaków towarowych stanowią jedno z istotniejszych ryzyk prawnych związanych z komercyjnym wykorzystaniem treści generowanych przez sztuczną inteligencję, w szczególności przez chatboty funkcjonujące na stronach internetowych, w systemach obsługi klienta, czy w zautomatyzowanej komunikacji marketingowej. W przypadku chatbotów generujących treści tekstowe – takie jak odpowiedzi na pytania użytkowników, opisy produktów, treści ofertowe czy komunikaty reklamowe – błędnym, choć często spotykanym założeniem jest przekonanie, że skoro treść została wygenerowana automatycznie przez algorytm, może być wykorzystywana dowolnie.

Choć prawo nie nadąża w pełni za dynamiką rozwoju technologii generatywnych, obowiązują nadal zasady, których nieprzestrzeganie może skutkować naruszeniem przepisów. Zgodnie z obowiązującymi regulacjami, autorem utworu w rozumieniu prawa autorskiego może być wyłącznie człowiek. W konsekwencji treści tworzone samodzielnie przez algorytmy nie będą kwalifikować się jako utwory podlegające ochronie.

Osobnym zagadnieniem jest ryzyko naruszenia cudzych praw autorskich w sytuacji, gdy chatbot wygeneruje treść opartą na chronionych materiałach. Taka możliwość pojawia się w związku z trenowaniem algorytmów sztucznej inteligencji na utworach takich jak książki, artykuły, oferty czy opisy produktów. Jeżeli wygenerowany komunikat stanowi opracowanie, kopię lub przetworzenie istniejącego utworu, a brak jest uprawnień od podmiotu dysponującego prawami autorskimi, może dojść do nieuprawnionego rozpowszechnienia chronionej treści.

Analogiczne ryzyka występują w kontekście znaków towarowych. W przypadku, gdy chatbot generuje treści zawierające zarejestrowane oznaczenia – takie jak nazwy firm, logotypy, hasła reklamowe czy slogany, może dojść do naruszenia prawa ochronnego na znak towarowy lub do czynu nieuczciwej konkurencji, zwłaszcza gdy treść jest wykorzystywana w celach promocyjnych lub sprzedażowych, bez stosownych uprawnień.

W sytuacji naruszenia cudzych praw, to przedsiębiorca odpowiada za rozpowszechnianie treści bez zgody uprawnionego podmiotu, zarówno na gruncie przepisów prawa autorskiego, jak i przepisów dotyczących czynów nieuczciwej konkurencji lub ochrony znaków towarowych.

Granice automatyzacji decyzji

W kontekście ryzyk związanych z automatyzacją i wpływem chatbotów na użytkownika warto wskazać, że (tzw. AI Act[8]) jest pierwszym na świecie kompleksowym aktem prawnym regulującym zasady rozwoju, wdrażania i wykorzystywania systemów sztucznej inteligencji. Część przepisów, w tym te dotyczące zakazanych praktyk, weszła już w życie i ma bezpośrednie zastosowanie w państwach członkowskich UE. Do kategorii zakazanych praktyk zalicza się systemy wykorzystujące techniki manipulacji psychologicznej lub podprogowej, systemy wykorzystujące słabe punkty użytkowników (np. wiek, niepełnosprawność, sytuację społeczną), systemy oceny społecznej oraz służące do rozpoznawania emocji w miejscu pracy lub w edukacji.

AI Act klasyfikuje systemy sztucznej inteligencji według poziomów ryzyka. Chatboty oparte na dużych modelach językowych (LLM) są co do zasady klasyfikowane jako systemy sztucznej inteligencji o średnim poziomie ryzyka. Jednak w sytuacji, gdy chatbot pełni funkcję interfejsu w ramach usługi mającej istotny wpływ na prawa, wolności lub możliwości jednostki np. w kontekście decyzji finansowych, medycznych, prawnych lub administracyjnych, może zostać zakwalifikowany jako system wysokiego ryzyka. Taka klasyfikacja pociąga za sobą konkretne obowiązki prawne po stronie dostawcy systemu, w tym m.in. prowadzenia odpowiedniej dokumentacji, zapewnienia nadzoru człowieka nad działaniem systemu czy przejrzystości algorytmicznej.

W tym kontekście znaczenie mają także przepisy art. 22 RODO, który przyznaje podmiotom danych prawo do niepodlegania decyzjom opartym wyłącznie na zautomatyzowanym przetwarzaniu, jeżeli decyzje te wywołują skutki prawne lub w podobny sposób znacząco wpływają na sytuację danej osoby. Przepis ten obejmuje również prawo do interwencji człowieka, wyrażenia swojego stanowiska oraz zakwestionowania decyzji. Dodatkowo, administrator danych zobowiązany jest do udzielenia informacji o logice działania systemu oraz o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania. W typowych przypadkach interakcja z chatbotem nie prowadzi bezpośrednio do decyzji wywołującej skutki prawne – jednak może stanowić element szerszego procesu decyzyjnego, którego efekt ostateczny powstaje na podstawie danych gromadzonych i przetwarzanych przez AI.

Podsumowanie

Odpowiednie uporządkowanie kwestii prawnych związanych z wdrażaniem chatbotów nie tylko minimalizuje ryzyko sankcji, ale może stać się realną przewagą konkurencyjną. Firmy, które świadomie i odpowiedzialnie podchodzą do aspektów prawnych, zyskują zaufanie klientów, budują wizerunek nowoczesnych i etycznych marek, a jednocześnie wyprzedzają tych przedsiębiorców, którzy ignorują regulacje lub działają na granicy prawa. W erze cyfrowej dojrzałość prawna to element strategii rozwoju. Świadome zarządzanie ryzykiem, odpowiednia dokumentacja, zgodność z przepisami i etyka projektowania to dziś warunek konieczny, by realnie korzystać z innowacyjnego potencjału chatbotów, nie wystawiając się na zbędne ryzyko.

Chatboty automatyzują obsługę klienta, zwiększają dostępność usług, przyspieszają sprzedaż i obniżają koszty operacyjne. Wspierają działania marketingowe i poprawiają doświadczenie użytkownika, ale nie eliminują potrzeby udziału człowieka. Wciąż niezastąpione pozostają kompetencje miękkie, empatia, kreatywność czy decyzyjność w nietypowych sytuacjach. Z punktu widzenia prawa niezbędny pozostaje nadzór człowieka, zwłaszcza w przypadku decyzji podejmowanych przez technologie, które mogą rodzić skutki prawne dla jednostki lub w istotny sposób oddziaływać na jej prawa i wolności.

adwokat Dominika Królik

założycielka kancelarii adwokackiej Królik Legal, specjalizującej się w prawnym wspieraniu przedsiębiorców, w szczególności z branży eCommerce, technologicznej oraz kreatywnej. Kluczowym obszarem jej specjalizacji jest prawo nowych technologii oraz doradztwo w zakresie legalnego wdrażania sztucznej inteligencji w organizacjach, w tym chatbotów

Artykuł powstał w ramach realizacji projektu Centrum Rozwoju Małych i Średnich Przedsiębiorstw sfinansowanego ze środków Ministerstwa Rozwoju i Technologii

[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych

[2] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2854 z dnia 13 grudnia 2023 r. w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania oraz w sprawie zmiany rozporządzenia (UE) 2017/2394 i dyrektywy (UE) 2020/1828 (akt w sprawie danych) (Dz. U. UE. L. z 2023 r. poz. 2854 z późn. zm.) (tzw. Data Act)

[3] Ustawa z dnia 23 sierpnia 2007 r. o przeciwdziałaniu nieuczciwym praktykom rynkowym (t.j. Dz. U. z 2023 r. poz. 845)

[4] Ustawa z dnia 12 lipca 2024 r. - Prawo komunikacji elektronicznej (Dz. U. poz. 1221 z późn. zm.).

[5] Ustawa z dnia 30 maja 2014 r. o prawach konsumenta (t.j. Dz. U. z 2024 r. poz. 1796)

[6] Ustawa z dnia 26 kwietnia 2024 r. o zapewnianiu spełniania wymagań dostępności niektórych produktów i usług przez podmioty gospodarcze (Dz. U. poz. 731)

[7] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/882 z dnia 17 kwietnia 2019 r. w sprawie wymogów dostępności produktów i usług (Dz. U. UE. L. z 2019 r. Nr 151, str. 70) (tzw. EAA)

[8] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 z dnia 13 czerwca 2024 r. w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji oraz zmiany rozporządzeń (WE) nr 300/2008, (UE) nr 167/2013, (UE) nr 168/2013, (UE) 2018/858, (UE) 2018/1139 i (UE) 2019/2144 oraz dyrektyw 2014/90/UE, (UE) 2016/797 i (UE) 2020/1828 (akt w sprawie sztucznej inteligencji) Tekst mający znaczenie dla EOG (Dz. U. UE. L. z 2024 r. poz. 1689)