RODO i AI: Praktyczny Przewodnik po Zgodności dla Kancelarii Prawnych
Używanie AI do przetwarzania dokumentów klientów uruchamia obowiązki wynikające z RODO, o których większość kancelarii nie pomyślała. Oto co musisz wiedzieć przed następnym wdrożeniem AI.
Problem RODO z Narzędziami AI
Większość kancelarii rozumie RODO na poziomie podstawowym: potrzebujesz zgody lub podstawy prawnej do przetwarzania danych osobowych, musisz je zabezpieczyć, a naruszenia muszą być zgłaszane. Mniej kancelarii zastanawia się, jak wdrożenie narzędzi AI zmienia obraz zgodności — i to znacząco.
Gdy przesyłasz dokument klienta do usługi AI, angażujesz zewnętrzny podmiot przetwarzający dane. Na mocy RODO uruchamia to konkretny zestaw obowiązków, których standardowe umowy korporacyjne prawie nigdy nie spełniają.
Pięć Obowiązków RODO Uruchamianych przez Przetwarzanie Dokumentów AI
1. Artykuł 28 — Wymagana Umowa o Powierzeniu Przetwarzania Danych (DPA)
Jeśli korzystasz z zewnętrznej usługi AI do przetwarzania dokumentów zawierających dane osobowe, musisz mieć pisemną umowę DPA z tym dostawcą. To nie jest opcja. Umowa musi określać:
- Przedmiot i czas trwania przetwarzania
- Charakter i cel przetwarzania
- Rodzaj danych osobowych i kategorie podmiotów danych
- Że podmiot przetwarzający działa wyłącznie na udokumentowane polecenie administratora
Problem: Wielu dostawców AI oferuje korporacyjne umowy DPA tylko w wyższych planach, a warunki często zawierają wyjątki podważające ich użyteczność — szczególnie w zakresie trenowania modeli i dostępu podpodmiotów przetwarzających.
2. Artykuły 13/14 — Obowiązki Informacyjne
Musisz poinformować osoby, których dane dotyczą (zazwyczaj Twoich klientów), że ich dane osobowe będą przetwarzane przez system AI. Oznacza to aktualizację polityki prywatności w celu wyjaśnienia:
- Że używasz AI do przetwarzania dokumentów
- Kim jest dostawca AI (lub kategorie dostawców)
- Celu i podstawy prawnej przetwarzania
Większość kancelarii nie zaktualizowała swoich polityk prywatności, aby odzwierciedlić korzystanie z AI.
3. Artykuł 5 ust. 1 lit. b — Ograniczenie Celu
Dane zebrane w celu obsługi prawnej nie mogą być wykorzystywane do innych celów bez nowej podstawy prawnej. Tworzy to napięcie z dostawcami AI, którzy wykorzystują dane klientów do trenowania lub ulepszania swoich modeli.
Nawet jeśli dostawca twierdzi, że dane są “anonimizowane” przed treningiem, ograniczenie celu obowiązuje w momencie przetwarzania, a nie przechowywania. Przesyłanie akt klientów do dostawcy, który może ich używać do ulepszania modeli, jest niemal na pewno naruszeniem zasady ograniczenia celu.
4. Artykuł 35 — Ocena Skutków dla Ochrony Danych (DPIA)
DPIA jest prawdopodobnie wymagana przy wdrażaniu AI do przetwarzania dokumentów, ponieważ:
- AI wiąże się z nową technologią (wytyczne EROD wyraźnie to wskazują)
- Przetwarzanie może odbywać się na dużą skalę
- Dokumenty mogą zawierać dane szczególnych kategorii (dokumentacja medyczna, status imigracyjny, postępowania karne)
Wiele kancelarii wdrożyło narzędzia AI bez przeprowadzenia DPIA — jest to znacząca luka w zakresie zgodności.
5. Artykuł 5 ust. 1 lit. f — Integralność i Poufność
RODO wymaga odpowiednich środków bezpieczeństwa dla całego przetwarzania danych osobowych. Korzystając z chmurowej usługi AI, przekazujesz decyzje dotyczące bezpieczeństwa podmiotowi trzeciemu. “Odpowiednie” bezpieczeństwo musi być ocenione w stosunku do ryzyka — a dla dokumentów objętych tajemnicą zawodową ta poprzeczka jest wysoka.
Dlaczego Standardowe Umowy Korporacyjne Nie Spełniają Wymagań RODO
Umowy korporacyjne głównych dostawców AI są pisane przede wszystkim z myślą o amerykańskich ramach prawnych. Poddane analizie pod kątem wymagań RODO zazwyczaj zawodzą w kilku obszarach:
| Wymaganie RODO | Standardowa Umowa Korporacyjna |
|---|---|
| Umowa DPA z art. 28 ze specyficznymi warunkami | Często krótki aneks z szerokim wyjątkami |
| Art. 28 ust. 3 lit. b — dane przetwarzane tylko na polecenie | Zazwyczaj zawiera klauzule dotyczące trenowania/ulepszania |
| Art. 28 ust. 4 — ograniczenia podpodmiotów przetwarzających | Długie, zmienne listy podpodmiotów |
| Art. 28 ust. 3 lit. g — usunięcie po zakończeniu usługi | Często dane są przechowywane przez nieokreślony czas |
| Art. 46 — zabezpieczenia transferu | Polega na standardowych klauzulach umownych, wielokrotnie kwestionowanych |
EROD jasno określiła: umowa DPA, która faktycznie nie ogranicza przetwarzania, nie jest ważną umową DPA.
Podwójna Pułapka RODO i CLOUD Act
Kancelarie korzystające z dostawców AI z siedzibą w USA stoją wobec szczególnego dylematu opisanego w naszym przewodniku po CLOUD Act:
- CLOUD Act może zobowiązać dostawcę z siedzibą w USA do ujawnienia danych Twoich klientów organom ścigania USA
- Artykuł 48 RODO stanowi, że zastosowanie się do takich nakazów (bez umowy międzynarodowej, np. MLAT) nie jest ważną podstawą transferu na mocy RODO
Oznacza to, że jeśli organ USA wyda nakaz CLOUD Act wobec Twojego dostawcy AI:
- Dostawca musi się zastosować na mocy prawa USA
- Samo to zastosowanie może naruszać RODO
- Twoja kancelaria może ponosić odpowiedzialność za zaangażowanie podmiotu przetwarzającego narażonego na ten konflikt
To nie jest ryzyko teoretyczne. To aktualny stan prawny dotyczący korzystania z jakiejkolwiek usługi AI z siedzibą w USA do przetwarzania danych osobowych z UE.
Jak Wygląda Zgodna Konfiguracja AI
Najprostszym rozwiązaniem problemu zewnętrznego podmiotu przetwarzającego jest wyeliminowanie podmiotu trzeciego.
Gdy AI działa lokalnie — na sprzęcie, który kontrolujesz — nie ma relacji z artykułu 28 do ustanowienia. Jesteś zarówno administratorem, jak i podmiotem przetwarzającym. CLOUD Act nie ma zastosowania, ponieważ żadna firma z USA nie przechowuje Twoich danych. Klauzule dotyczące podpodmiotów przetwarzających są nieistotne, ponieważ nie ma podpodmiotów.
To jest architektura stojąca za Tacitus Cortex: infrastruktura AI przetwarzająca Twoje dokumenty lokalnie, w ramach Twojej jurysdykcji, bez żadnych danych przekazywanych podmiotowi trzeciemu.
Dla organizacji nieprzygotowanych na wdrożenie lokalne, Tacitus Cloud Bridge oferuje zgodną z RODO alternatywę: z siedzibą w UE, dedykowaną instancję dla jednego najemcy, z prawdziwą umową DPA ograniczającą przetwarzanie wyłącznie do Twoich poleceń.
Praktyczna Lista Kontrolna: 5 Pytań Przed Wdrożeniem AI
Przed każdym kolejnym wdrożeniem AI zapytaj:
1. Czy posiadamy ważną umowę DPA zgodną z artykułem 28 z tym dostawcą? Nie tylko checkbox w ich portalu — prawdziwą umowę DPA ze specyficznymi warunkami wymaganymi przez artykuł 28 ust. 3. Przeczytaj ją uważnie pod kątem klauzul dotyczących trenowania i podpodmiotów przetwarzających.
2. Czy zaktualizowaliśmy nasze polityki prywatności? Klienci muszą być poinformowani, że AI będzie przetwarzać ich dokumenty. Ogólny język “używamy technologii do ulepszania naszych usług” nie spełnia wymogów szczegółowości artykułów 13/14.
3. Czy przeprowadziliśmy DPIA? Jeśli przetwarzasz dane osobowe na dużą skalę, z nową technologią lub dotyczące danych szczególnych kategorii, DPIA jest prawdopodobnie wymagana. Dokumentuj to w każdym przypadku.
4. Gdzie ma siedzibę spółka dominująca? Centrum danych UE ≠ jurysdykcja UE. Jeśli spółka dominująca jest amerykańska, Twoje dane podlegają żądaniom CLOUD Act niezależnie od lokalizacji serwera.
5. Co się dzieje z naszymi danymi po zakończeniu umowy? RODO wymaga, aby dane zostały usunięte lub zwrócone po zakończeniu przetwarzania. Potwierdź termin i mechanizm — i uzyskaj to na piśmie.
Korzystanie z AI bez właściwej zgodności z RODO to nie tylko ryzyko regulacyjne — to kwestia zaufania klientów. Jeśli Twoja kancelaria ocenia wdrożenie AI, umów spotkanie informacyjne w celu omówienia opcji zgodnej infrastruktury.