Wdrożenie AI w dziale prawnym. Jak ocenić czy korzystanie z narzędzia AI dla prawników będzie zgodne z prawem i etyką?

Korzystanie z narzędzi AI budzi wśród części prawników duży niepokój związany z bezpieczeństwem. Wynika to prawdopodobnie z połączenia dwóch okoliczności.

Korzystanie z większości narzędzi AI, które mogłyby być przydatne dla prawników wiąże się z wysyłaniem danych na serwery dostawców tych narzędzi. Ponadto, do rozwoju dużych modeli językowych, na których opierają się te narzędzia, potrzebne są ogromne ilości danych, które mogą być pozyskiwane od użytkowników.

Są to zasadne obawy, ale dostawcy narzędzi wiedzą o tym i adresują w swoich ofertach te zagadnienia.

Dostrzegła je również Krajowa Izba Radców Prawnych, która w kwietniu 2025 opublikowała dokument “AI w pracy radcy prawnego – Rekomendacje dotyczące korzystania przez radców prawnych z narzędzi opartych na sztucznej inteligencji” (“Rekomendacje KIRP”). Dokument ten zawiera całą grupę rekomendacji dotyczących analizy, która powinna poprzedzać wdrożenie narzędzia.

Przystępując do wyboru narzędzia AI, a przed rozpoczęciem testów merytorycznych przeprowadziliśmy w JDP wstępną ocenę prawną testowanych narzędzi AI w zgodzie z Rekomendacjami KIRP. Poniżej opisujemy najważniejsze elementy naszej oceny.

Elementy oceny

Poszczególne elementy są wyodrębnione dla uporządkowania i ułatwienia procesu oceny, ale są one ściśle powiązane ze sobą i przenikają się, np. oceniając zgodność z RODO musimy wziąć pod uwagę ocenę środków bezpieczeństwa, oceniając poufność bierzemy pod uwagę umowę i środki bezpieczeństwa.

O tym, gdzie szukać informacji, które należy zweryfikować pisaliśmy w pierwszym odcinku tej serii: AI w pracy prawnika.

Kwestie umowne

Po pierwsze ocenialiśmy standardowe kwestie umowne takie jak:

Jakie są obowiązki umowne obu stron?
Jak uregulowana jest odpowiedzialność za działanie narzędzia?
- Czy są limity odpowiedzialności? Jakie?
- Czy jest SLA i na jakim poziomie?
- Czy dostawca odpowiada za szkody wyrządzone działaniem narzędzia?
- Czy zwalnia z odpowiedzialności za naruszenie cudzych praw poprzez korzystanie z narzędzia?
Czy umowa przewiduje zakaz konkurencji?
Jaki jest okres umowy? W jaki sposób można wypowiedzieć umowę?
Jak uregulowane są płatności?

Po drugie ocenialiśmy kwestie charakterystyczne dla systemów AI:

Czy zachowujemy prawa do zawartości wejściowej?
Czy możemy dowolnie korzystać z wygenerowanych treści?
Czy dostawca zwolni nas z odpowiedzialności za naruszenie praw osób trzecich poprzez korzystanie z wygenerowanych treści?
Czy wykluczone jest wykorzystanie naszych danych wejściowych do nauki modeli językowych wykorzystywanych przez narzędzie?

Po trzecie, ocenialiśmy również kwestie poufności i ochrony danych osobowych, o których poniżej.

Zgodność przetwarzania danych z prawem

Wiele zadań prawników wiąże się z przetwarzaniem danych osobowych, dlatego ocena narzędzi AI pod względem ochrony danych osobowych jest niezbędna.

W pierwszej kolejności należy zrozumieć, jak przetwarzane są dane, ponieważ w zależności od przyjętej architektury rozwiązania w przetwarzanie zaangażowanych może być kilka podmiotów przetwarzających.

Najważniejsze kwestie, które analizowaliśmy to:

Bezpieczeństwo przetwarzania – o tym więcej poniżej.
Czy dochodzi do transferów poza EOG? Do jakich państw i na jakiej podstawie?
Czy umowa o powierzeniu przetwarzania danych zawiera wymagane elementy i jakie są podmioty przetwarzające?
Czy odpowiedzialność za naruszenie danych osobowych nie jest ograniczona?

Ze względu na innowacyjność rozwiązań opartych o AI, ograniczone możliwości wykonywania praw osób, których dane dotyczą oraz przetwarzanie szczególnych kategorii danych osobowych konieczne jest, w naszej ocenie, przeprowadzenie oceny skutków dla ochrony danych (DPIA).

Środki bezpieczeństwa

Ten element był dla nas kluczowy w ocenie dostawcy. Badaliśmy przy tym następujące kwestie:

czy stosowane przez dostawcę szyfrowanie jest adekwatne do potrzeb procesu,
czy dostawca posiada uznane certyfikaty bezpieczeństwa jak SOC Type 2 lub ISO 27001,
jakie są zasady zarządzania dostępem do danych,
czy dane przechowywane są poza EOG,
czy dostawca podejmuje dodatkowe środki bezpieczeństwa, np.:
- testy penetracyjne,
- plan ciągłości działania,
- firewalle,
- uwierzytelnianie wieloskładnikowe,
jakie jest są prawo i sądy właściwe dla sporów wynikających z umowy.

Poufność

Mając zweryfikowane środki bezpieczeństwa, konieczne było sprawdzenie, czy umowa z dostawcą zawiera odpowiednie postanowienia dotyczące poufności. Kluczowe są zobowiązania dostawcy do:

zachowania informacji w tajemnicy w formie dokumentowej;
posługiwania się osobami zobowiązanymi do tajemnicy w formie dokumentowej;
niewykorzystywania informacji objętej tajemnicą zawodową dla własnych celów;
stosowania środków bezpieczeństwa, o których była mowa powyżej;
usunięcia danych po zakończeniu umowy.

Sprawdzaliśmy również ewentualne ograniczenia odpowiedzialności w zakresie poufności.

Narzędzia wspomagające pracę prawników a AI Act

Podchodząc do analizy narzędzia, musieliśmy również odpowiedzieć na pytanie, co w tym kontekście wynika dla nas z AI Act.

Dokonaliśmy więc klasyfikacji testowanych systemów według AI Act i uznaliśmy, że korzystając z systemów AI wspierających pracę prawników:

1nie stosujemy zakazanych praktyk w zakresie AI;

2nie korzystamy z systemów wysokiego ryzyka;

3nie stajemy się dostawcą modeli ogólnego przeznaczenia;

4nie dotyczą nas obowiązki z art. 50.

Jedynym obowiązkiem, jaki wynika dla nas z AI Act, jest obowiązek zapewnienia odpowiedniego poziomu wiedzy o AI w organizacji, tzw. AI literacy, o którym pisaliśmy w poprzednim newsletterze: Jak przygotować organizację na spełnienie obowiązku AI literacy z art. 4 AI Act?

Podsumowanie

Analizując prawne kwestie wdrożenia narzędzia AI wspomagającego pracę prawników, należy pamiętać o:

odpowiednich zabezpieczeniach umownych, w szczególności zabezpieczeniu kwestii odpowiedzialności i praw do treści wejściowych i wyjściowych;
zgodności przetwarzania danych z prawem;
weryfikacji środków bezpieczeństwa, jakie oferują dostawcy;
kwestiach poufności informacji.

Obowiązki regulacyjne, jakie spoczywają na wdrażającym takie narzędzia polegają na przeprowadzaniu oceny skutków dla ochrony danych (DPIA) i zapewnieniu stosownego poziomu wiedzy o korzystaniu z AI w organizacji.

O wymaganej i rekomendowanej dokumentacji będziemy pisać w kolejnych odcinkach newslettera.

Kontakt

Zapraszamy do kontaktu z naszym zespołem specjalizującym się w prawie nowych technologii, jeśli:

chcą Państwo omówić konkretne zastosowania AI w Państwa organizacji;
potrzebują Państwo wsparcia w zaprojektowaniu lub skontrolowaniu systemu AI literacy zgodnego z AI Act;
chcą Państwo bezpiecznie wdrożyć AI w dziale prawnym.

Michał Pietrzyk – radca prawny, Senior Associate w zespole IP/IT, Digital Transformation and Automation Lead

Wdrożenie AI w dziale prawnym. Jak ocenić czy korzystanie z narzędzia AI dla prawników będzie zgodne z prawem i etyką? | newsletter JDP

Elementy oceny

Kwestie umowne

Zgodność przetwarzania danych z prawem

Środki bezpieczeństwa

Poufność

Narzędzia wspomagające pracę prawników a AI Act

Podsumowanie

Więcej artykułów na ten temat

Jak przygotować organizację na spełnienie obowiązku AI literacy z art. 4 AI Act? | newsletter JDP

Co Data Act oznacza dla branży MedTech? | newsletter JDP

Data Act – masz do czynienia z danymi? Sprawdź, czy Cię dotyczy | newsletter JDP

Wykorzystanie sztucznej inteligencji w prawniczym researchu – praktyczne narzędzia AI dla prawników in-house | newsletter JDP

AI w pracy prawnika | newsletter JDP

Umowa wdrożeniowa systemu AI? Elastyczność przede wszystkim! | newsletter JDP

Medtech i sztuczna inteligencja: trzy kluczowe zagadnienia prawne AI w medycynie | newsletter JDP

Wyzwania prawne rozszerzonej rzeczywistości na przykładzie – Apple Vision Pro | Newsletter JDP

Fundusz dla MŚP – dotacje na ochronę własności intelektualnej | Newsletter JDP

Więcej newsletterów

Jak przygotować organizację na spełnienie obowiązku AI literacy z art. 4 AI Act? | newsletter JDP

Najnowsze decyzje UODO – kierunki, wnioski i propozycje działań | newsletter JDP

Nowa specustawa o inwestycjach obronnych – kluczowe zmiany dla sektora | newsletter JDP

Co Data Act oznacza dla branży MedTech? | newsletter JDP

Data Act – masz do czynienia z danymi? Sprawdź, czy Cię dotyczy | newsletter JDP

Uprawnienia pracowników związane z rodzicielstwem | HR Best Practices – newsletter JDP

Obowiązkowa mediacja w sporach budowlanych – nowa szansa czy dodatkowa komplikacja? | newsletter JDP

Wykorzystanie sztucznej inteligencji w prawniczym researchu – praktyczne narzędzia AI dla prawników in-house | newsletter JDP

Więcej elastyczności w relacjach inwestor–wykonawca–podwykonawca. Projekt zmiany art. 647¹ kodeksu cywilnego | newsletter JDP

AI w pracy prawnika | newsletter JDP