Polityka AI w kancelarii radcy prawnego, co powinna zawierać. Wzór do pobrania, Beznazwisk.pl

Polityka wykorzystania sztucznej inteligencji (AI Policy) jest dokumentem wewnętrznym kancelarii, który określa zasady korzystania z narzędzi opartych na AI przez personel. Konieczność posiadania takiego dokumentu wynika pośrednio z kilku regulacji:

art. 4 Rozporządzenia (UE) 2024/1689 (AI Act), obowiązek zapewnienia kompetencji personelu,
art. 5 ust. 2 RODO, zasada rozliczalności,
art. 15-24 Kodeksu Etyki Radcy Prawnego, ochrona tajemnicy zawodowej,
rekomendacja nr 17 Krajowej Izby Radców Prawnych, obowiązek opracowania wewnętrznych instrukcji przed rozpoczęciem korzystania z narzędzia AI.

Poniżej proponowana struktura polityki wraz z przykładową treścią kluczowych postanowień. Dokument należy dostosować do specyfiki konkretnej kancelarii, używanych narzędzi i profilu klientów.

Struktura polityki AI, 8 kluczowych działów

1. Postanowienia ogólne

Identyfikacja administratora danych, definicje pojęć (system AI, podmiot stosujący, dostawca, output, prompt, halucynacja, dane poufne), zakres obowiązywania.

Przykładowy zapis:

„Niniejsza polityka określa zasady korzystania z narzędzi opartych na sztucznej inteligencji przez pracowników, współpracowników i podwykonawców Kancelarii [nazwa] w związku z wykonywaniem obowiązków zawodowych. Polityka obowiązuje od dnia [data] i znajduje zastosowanie do wszystkich systemów AI, z których Kancelaria korzysta, zarówno nabytych na podstawie licencji komercyjnej, jak i udostępnianych bezpłatnie."

2. Lista dopuszczalnych narzędzi AI

Imienna, zamknięta lista narzędzi, których używanie jest dozwolone. Każda nowa pozycja wymaga pisemnej zgody osoby odpowiedzialnej za AI w kancelarii.

Dla każdego narzędzia warto wskazać:

pełną nazwę i dostawcę,
wersję (plan Business/Enterprise/Free, różnice w traktowaniu danych),
datę weryfikacji zgodności z polityką kancelarii,
osobę odpowiedzialną za umowę licencyjną,
dopuszczalny zakres zastosowań.

Narzędzia wymagające szczególnej ostrożności, wersje konsumenckie (Free, Plus) głównych modeli (ChatGPT, Claude, Gemini) często zakładają domyślnie trenowanie na wprowadzanych danych. Narzędzia dla biznesu (Enterprise, Team, API z ZDR) zwykle wykluczają trenowanie.

3. Zakazy bezwzględne

Lista kategorii danych, których nie wolno wprowadzać do żadnego narzędzia AI, niezależnie od posiadanej licencji.

Przykładowy zapis:

„Zakazuje się wprowadzania do systemów AI następujących kategorii danych, niezależnie od wykorzystywanego narzędzia:

a) danych osobowych klientów w zakresie obejmującym: imię, nazwisko, PESEL, NIP, adres zamieszkania, numer telefonu, adres e-mail, o ile nie zostały uprzednio zanonimizowane;
b) informacji objętych tajemnicą zawodową w rozumieniu art. 3 ust. 3 ustawy z 6 lipca 1982 r. o radcach prawnych oraz art. 15 KERP;
c) danych szczególnych kategorii w rozumieniu art. 9 RODO (dane o zdrowiu, orientacji seksualnej, poglądach politycznych, pochodzeniu etnicznym, wyznaniu, przynależności do związków zawodowych), z zastrzeżeniem wyjątków określonych w pkt 4;
d) danych dotyczących wyroków skazujących i naruszeń prawa (art. 10 RODO);
e) tajemnic przedsiębiorstwa klienta w rozumieniu ustawy z 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji;
f) dokumentów zawierających znak klauzuli tajności, informacji niejawnych w rozumieniu ustawy z 5 sierpnia 2010 r. o ochronie informacji niejawnych."

4. Procedura anonimizacji przed użyciem AI

Dokładny opis tego, jak personel ma przygotować dokument przed wprowadzeniem go do narzędzia AI. To serce polityki, moment, w którym najczęściej dochodzi do naruszeń.

Przykładowa procedura:

Pracownik identyfikuje dokument, z którym chce pracować w narzędziu AI.
Dokument jest poddany anonimizacji za pomocą [nazwa narzędzia, np. Beznazwisk.pl w wersji [X.X]]. Anonimizacja obejmuje minimum: imiona, nazwiska, PESEL, NIP, adresy, numery telefonów, numery rachunków bankowych, sygnatury akt, nazwy własne stron.
Pracownik weryfikuje wynik anonimizacji, przegląda dokument wyjściowy pod kątem niezanonimizowanych fragmentów.
Dokument zanonimizowany jest zapisany lokalnie. Dopiero po weryfikacji jego treść może być wprowadzona do narzędzia AI.
Po zakończeniu pracy zanonimizowany dokument oraz zapisane w narzędziu AI fragmenty są usuwane.

5. Zasady weryfikacji outputu

Obowiązek weryfikacji każdej odpowiedzi AI przez osobę z odpowiednimi kwalifikacjami. Najczęstsze błędy modeli językowych:

Sfabrykowane sygnatury orzeczeń. LLM generuje sygnatury zgodne ze wzorcem, ale nieistniejące. Każda sygnatura cytowana w piśmie musi być zweryfikowana w CBOSA, Lex, Legalis lub bezpośrednio na portalu orzeczeń sądu.
Nieaktualne przepisy. Modele trenowane na danych sprzed znowelizowanego stanu prawnego. Obowiązkowa weryfikacja w Internetowym Systemie Aktów Prawnych (ISAP).
Błędy interpretacyjne. Model powierzchownie odtwarza konstrukcje językowe, bez zrozumienia prawnego. Każde twierdzenie dotyczące stanu prawnego musi być potwierdzone samodzielnie.
Fabrykowane cytaty. Model potrafi wymyślić fragment „cytowany" z doktryny albo orzeczenia.

6. Obowiązki informacyjne wobec klienta

Rekomendacje KIRP wskazują, że w niektórych przypadkach konieczne jest poinformowanie klienta o wykorzystaniu AI, zwłaszcza jeśli wpływa to na jakość usługi lub bezpieczeństwo danych, a czasem także uzyskanie wyraźnej zgody.

Polityka powinna określać:

kiedy informacja o użyciu AI jest konieczna (co do zasady, zawsze gdy AI generowała treść trafiającą do klienta bez głębszej redakcji radcy),
kiedy wymagana jest uprzednia zgoda (przy wrażliwych sprawach, przetwarzaniu danych osobowych klienta przez AI),
formę komunikacji (zapis w umowie, formalne oświadczenie, element bieżącej korespondencji),
dokumentowanie zgody.

7. Obowiązki dokumentacyjne

Co kancelaria musi dokumentować dla wykazania rozliczalności:

Szkolenia personelu z AI (art. 4 AI Act), daty, uczestnicy, zakres.
Ewidencja używanych narzędzi z datami weryfikacji.
Umowy licencyjne i ich zweryfikowane klauzule dotyczące danych.
Oceny skutków dla ochrony danych (DPIA), dla narzędzi wysokiego ryzyka.
Ewidencja incydentów związanych z AI, nawet drobnych, które nie wymagały zgłoszenia do UODO.

8. Procedura incydentu

Co robić, gdy pracownik przypadkowo wprowadzi do narzędzia AI dane objęte zakazem (zob. punkt 3). Procedura powinna uwzględniać:

Niezwłoczne zaprzestanie korzystania z narzędzia i odnotowanie zdarzenia.
Usunięcie wprowadzonych danych z interfejsu narzędzia (jeśli możliwe) oraz wysłanie dostawcy żądania usunięcia.
Zgłoszenie zdarzenia osobie odpowiedzialnej za AI w kancelarii.
Ocena, czy doszło do naruszenia ochrony danych osobowych w rozumieniu art. 4 pkt 12 RODO.
Jeśli tak, obowiązek oceny ryzyka i zgłoszenia do UODO w ciągu 72 godzin (art. 33 RODO).
Ewentualne powiadomienie klienta i KIRP (jeśli incydent dotyczy sprawy klienta).

Stanowisko KIRP: Rekomendacje KIRP z kwietnia 2025 r. (rekomendacja nr 17) wskazują na potrzebę opracowania „wewnętrznych rekomendacji, zaleceń lub instrukcji dotyczących korzystania z narzędzi AI, w tym określających, w jaki sposób można korzystać z takich narzędzi". Zalecane jest również wskazanie osoby odpowiedzialnej za aktualizację tych materiałów.

Wdrożenie, kolejność czynności

Audyt stanu obecnego. Przegląd narzędzi AI używanych w kancelarii (w tym nieoficjalnych, ChatGPT na prywatnych kontach pracowników).
Projekt polityki. Oparty na proponowanej powyżej strukturze, dostosowany do specyfiki kancelarii.
Konsultacja z IT/IOD. Jeśli kancelaria ma wyznaczonego inspektora ochrony danych lub korzysta z usług IT, włącz ich w projekt.
Zatwierdzenie. Dokument powinien być formalnie zatwierdzony przez właściciela kancelarii (w przypadku sp.k., przez komplementariusza, w s.p., przez partnera zarządzającego).
Szkolenie personelu. Wprowadzenie polityki połączone ze szkoleniem z AI Literacy.
Oświadczenia. Każdy pracownik i współpracownik podpisuje oświadczenie o zapoznaniu się z polityką.
Przegląd roczny. Minimum raz w roku aktualizacja polityki z uwzględnieniem nowych narzędzi, zmian w przepisach, wniosków z incydentów.

Element techniczny: jak anonimizować przed wysłaniem do AI

Beznazwisk.pl rozpoznaje w dokumencie imiona, nazwiska, PESEL, NIP, adresy, numery telefonów, sygnatury akt, i zastępuje je tokenami. Całość dzieje się lokalnie. To narzędzie, które możesz wpisać do swojej polityki jako standard anonimizacji.

Pobierz bezpłatnie

Na co uważać przy adaptacji wzoru

Nie kopiuj „polityki AI" znalezionej w internecie bez analizy. Dokumenty krążące w sieci często są dostosowane do specyfiki dużych korporacji (HR, marketing, IT), nie do kancelarii prawnej, gdzie podstawowym ryzykiem jest naruszenie tajemnicy zawodowej.
Skoordynuj politykę AI z umowami o pracę i kontraktami z B2B. W kontrakcie powinno znaleźć się postanowienie o obowiązku przestrzegania polityki i konsekwencjach jej naruszenia.
Uwzględnij podwykonawców. Jeśli korzystasz z zewnętrznych tłumaczy, biegłych, freelancerów, sprawdź, czy i jak używają AI. Warto dodać odpowiednie klauzule do umów z nimi.

Źródła

Rozporządzenie (UE) 2024/1689 (AI Act), art. 3 pkt 56, art. 4
Rozporządzenie (UE) 2016/679 (RODO), art. 5, 6, 9, 10, 28, 33, 35
Ustawa z 6 lipca 1982 r. o radcach prawnych (art. 3 ust. 3)
Kodeks Etyki Radcy Prawnego (art. 15-24)
Rekomendacje KIRP dotyczące korzystania przez radców prawnych z narzędzi AI, kwiecień 2025 r.

Przeczytaj również

Autor: Zespół Beznazwisk.pl. Tekst ma charakter informacyjny i nie stanowi porady prawnej.

Polityka AI w kancelarii prawnej, struktura, treść i wzór do adaptacji