// article

Shadow AI w kancelarii prawnej: RODO, tajemnica zawodowa, AI Act i plan 30 dni

RODO, tajemnica zawodowa, AI Act i plan 30 dni.

28 maja 2026·13 min·Dawid Kuliberda

shadow AIRODOAI Acttajemnica zawodowakancelaria prawnawdrożenie AI

Shadow AI to korzystanie z narzędzi AI przez pracowników bez wiedzy, zgody i kontroli organizacji. W kancelarii prawnej oznacza to najczęściej prawnika albo aplikanta, który wrzuca dane sprawy do darmowego ChatGPT, bo tak jest szybciej.

Aplikant dostaje akta sprawy: umowy, korespondencja, dane kontrahenta. Siada do laptopa i wrzuca je do darmowego ChatGPT. Pięć minut później ma sprawnie napisaną analizę ryzyka kontraktowego. Klient nie wiedział. Partner nie wiedział. Dane klienta trafiły do infrastruktury OpenAI.

Trzy ryzyka, które już się zdarzają

Mechanizm jest prosty. Prawnik korzysta z darmowej wersji narzędzia AI, wpisuje dane klienta, fragmenty umów. Narzędzie przetwarza je na serwerach dostawcy, często poza UE, bez żadnej umowy z kancelarią.

„Wersje darmowe to ‘golasy’. Treści, które wrzucamy, są przedmiotem trenowania i przechowywania.”

dr Damian Flisak · radca prawny, prawo nowych technologii

Tajemnica adwokacka i radcowska nie mają wyjątku dla narzędzi cyfrowych. Przesłanie danych klienta do zewnętrznego systemu AI bez właściwej umowy i anonimizacji to ujawnienie tych danych osobie trzeciej. Z pełnymi konsekwencjami dyscyplinarnymi.

Co już jest wiążące

To najważniejsza sekcja. Poniżej przepisy, które działają w maju 2026 r.

RODO Art. 28: umowa powierzenia przetwarzania danych

Jeśli kancelaria przekazuje dane osobowe klientów do dostawcy AI, ten dostawca staje się podmiotem przetwarzającym. Art. 28 RODO wymaga pisemnej umowy powierzenia (DPA) przed jakimkolwiek przetwarzaniem. W darmowej wersji ChatGPT brak jest umowy powierzenia odpowiedniej dla kancelarii, a polityka prywatności pozwala wykorzystywać treści użytkownika do doskonalenia modeli. Używanie tych narzędzi do danych klientów bez DPA trudno pogodzić z wymogami Art. 28.

RODO Art. 35: DPIA często wymagana przed wdrożeniem

Art. 35 RODO wymaga oceny skutków dla ochrony danych (DPIA), gdy przetwarzanie może powodować wysokie ryzyko dla praw i wolności osób. Wdrożenie systemu AI przetwarzającego dokumenty z szerokim zakresem danych klientów i osób trzecich w wielu przypadkach przekroczy ten próg. Dane spraw często zawierają kategorie szczególnie chronione w rozumieniu Art. 9 RODO lub dane o wyrokach skazujących z Art. 10 RODO.

AI Act Art. 4: AI Literacy od 2 lutego 2025 r.

Art. 4 AI Act wymaga, żeby firmy wdrażające systemy AI zapewniły odpowiedni poziom wiedzy o AI wśród personelu. Nie wskazuje literalnie dokumentu, ale w praktyce kontrolnej trudno wykazać spełnienie obowiązku bez ewidencji szkoleń, polityki i listy używanych narzędzi.

Mapa narzędzi według poziomu ryzyka

Podział narzędzi według ryzyka naruszenia tajemnicy zawodowej i RODO. To ocena ryzyka dla danych klienta, nie ranking jakości.

Nie używać z danymi klienta

Darmowe narzędzia konsumenckie

Brak DPA. Dane domyślnie mogą być przetwarzane do trenowania modelu. Naruszenie tajemnicy zawodowej i RODO Art. 28 jednocześnie.

ChatGPT Free / Plus · Gemini Free · Copilot konsumencki

Warunkowo dopuszczalne (DPA + konfiguracja)

Wersje enterprise z umową powierzenia

Brak trenowania na danych klienta, DPA dostępna. Wymaga konta enterprise i podpisanej umowy przed wdrożeniem.

ChatGPT Enterprise · Microsoft 365 Copilot (EU Data Boundary)

Najwyższy poziom kontroli

Modele lokalne / on-premise

Dane nie opuszczają kancelarii. Wariant do rozważenia dla spraw szczególnie wrażliwych przy kancelariach 20+ osób.

Bielik 11B · wdrożenia on-premise przez integratora

Plan 30-dniowy: podstawowa zgodność

Każdy tydzień ma konkretny output: dokument, lista, podpisana umowa, protokół szkolenia.

Tydzień 1

AI Literacy Audit

Kto używa jakich narzędzi AI, w jakim celu i na jakich danych. Również narzędzia nieoficjalne.

output: lista narzędzi z podziałem „z danymi klienta / bez”

Tydzień 2

Pisana polityka korzystania z AI

Narzędzia dopuszczone i zabronione, zasady anonimizacji, wymóg weryfikacji outputu przez prawnika.

output: polityka zatwierdzona przez wspólników

Tydzień 3

Przegląd DPA dla narzędzi

Dla każdego narzędzia z danymi klienta: podpisz DPA albo zabroń użycia. Najcięższy fragment planu.

output: DPA podpisane lub narzędzie wycofane

Tydzień 4

DPIA i szkolenie zespołu

Jedno spotkanie, max 2h: halucynacje, weryfikacja, jakie dane wolno wprowadzać. Udokumentuj uczestnictwo.

output: protokół szkolenia (dowód Art. 4 AI Act)

FAQ

Czy mogę używać ChatGPT do researchu publicznego orzecznictwa?

Tak, bez danych klienta. Research oparty wyłącznie na publicznych przepisach i orzecznictwie nie narusza tajemnicy zawodowej. Warunek: weryfikuj każdy cytowany wyrok przed użyciem w piśmie.

Czy klient może zgodzić się na użycie darmowego AI z jego danymi?

Tajemnica zawodowa chroni nie tylko klienta, ale też osoby trzecie w aktach sprawy. Zgoda klienta nie obejmuje kontrahentów ani świadków. Bezpieczna zasada: anonimizacja zamiast zgody.

Czy rekomendacje KIRP są wiążące prawnie?

Jako akt samorządu zawodowego nie są normą prawną, ale sądy dyscyplinarne mogą je traktować jako wyznacznik standardu należytej staranności.

// kontakt

Opisujesz problem. Wracam z systemem.

Bezpłatny audyt AI albo geo-scan na start. Wracam z rekomendacją w 48h, bez zobowiązań.

[ zamów audyt → ]

// powiązane

13 minKto powinien zbudować Twojego agenta AI?6 minAsystent NFZ zadzwoni do pacjenta.7 minAI jest skorumpowane