Polityka korzystania z AI w kancelarii: elementy
Definicja: Polityka korzystania z AI w kancelarii to dokument governance regulujący dopuszczalne zastosowania narzędzi AI w pracy prawnej, zasady przetwarzania…
Definicja: Polityka korzystania z AI w kancelarii to dokument governance regulujący dopuszczalne zastosowania narzędzi AI w pracy prawnej, zasady przetwarzania informacji oraz obowiązki nadzoru i weryfikacji wyników, aby ograniczyć ryzyka poufności, błędów merytorycznych i incydentów zgodności: (1) klasyfikacja informacji i ograniczenia wprowadzania danych; (2) proces zatwierdzania narzędzi oraz kontrola konfiguracji i dostępu; (3) obowiązkowa weryfikacja outputu i procedura obsługi incydentów.
Ostatnia aktualizacja: 2026-06-05
Szybkie fakty
- Część danych klientowskich i informacji objętych tajemnicą zawodową wymaga zakazu wprowadzania do niezatwierdzonych narzędzi AI.
- Polityka powinna zawierać rejestr dozwolonych narzędzi oraz proces dopuszczania nowych rozwiązań i integracji.
- Każdy wynik AI użyty w pracy prawnej powinien podlegać weryfikacji merytorycznej i źródłowej przed wykorzystaniem.
Skuteczna polityka AI w kancelarii jest dokumentem operacyjnym, który definiuje granice użycia narzędzi oraz mechanizmy kontroli ryzyka w codziennej pracy prawnej.
- Dane i poufność: Wprowadzenie matrycy dopuszczalności danych, zasad anonimizacji oraz zakazów dla informacji objętych tajemnicą zawodową i danych wrażliwych.
- Narzędzia i dostęp: Ustalenie listy dozwolonych narzędzi, kryteriów oceny dostawcy, wymagań bezpieczeństwa kont oraz kontroli wtyczek i integracji.
- Jakość i odpowiedzialność: Opis weryfikacji outputu (źródła, aktualność, sygnatury, wnioski), przypisanie odpowiedzialności oraz kanału raportowania incydentów.
Wprowadzenie polityki korzystania z AI w kancelarii coraz częściej przestaje być kwestią technologii, a staje się narzędziem zarządzania ryzykiem prawnym i informacyjnym. Dokument powinien porządkować sposób użycia narzędzi generatywnych w researchu, draftingu i analizie dokumentów, tak aby zachować przewidywalny standard jakości pracy oraz kontrolę nad danymi klienta.
W praktyce polityka powinna łączyć trzy obszary: klasyfikację informacji i ograniczenia wprowadzania danych, proces zatwierdzania narzędzi i integracji oraz obowiązkową weryfikację wyników przed wykorzystaniem w sprawie. Dodatkowo potrzebne są role decyzyjne, zasady szkolenia oraz procedura zgłaszania incydentów, ponieważ ryzyka wynikają nie tylko z modelu AI, ale także z konfiguracji, kont i zachowań użytkowników.
Rola i zakres polityki korzystania z AI w kancelarii
Polityka korzystania z AI w kancelarii powinna wprost określać, co jest regulowane, kogo obejmuje i jakie cele ma realizować. Bez tej ramy dokument zwykle degeneruje się do listy ogólnych zaleceń, które nie rozstrzygają sporów o dopuszczalność konkretnego użycia narzędzia ani nie wspierają nadzoru nad ryzykiem.
Zakres podmiotowy powinien uwzględniać nie tylko prawników, ale też personel administracyjny, stażystów, współpracowników oraz podwykonawców, jeżeli uczestniczą w przetwarzaniu dokumentów i informacji kancelarii. Ważnym elementem jest rozróżnienie środowisk pracy: biuro, praca zdalna, sprzęt służbowy i prywatny, a także konta służbowe i prywatne. Taki podział ułatwia późniejsze powiązanie zapisów polityki z polityką bezpieczeństwa informacji oraz zasadami zarządzania urządzeniami i dostępami.
Zakres przedmiotowy powinien obejmować typowe zastosowania: wstępne szkice pism, streszczenia materiałów, tworzenie list zagadnień, porządkowanie informacji, a także bardziej wrażliwe procesy, takie jak analiza umów, research orzeczniczy i budowanie argumentacji. W tych obszarach niezbędne jest podkreślenie zasady nadrzędnej: output AI jest materiałem roboczym, a odpowiedzialność merytoryczna pozostaje po stronie osoby zatwierdzającej wynik do użycia w sprawie.
Jeśli polityka ma obejmować także procesy usprawniania pracy, to punkt odniesienia stanowi szerszy kontekst, w którym funkcjonuje AI w pracy prawnika. Przy rozbieżnych praktykach w zespole najbardziej prawdopodobna jest przyczyna w postaci niejednoznacznego zakresu polityki.
Klasyfikacja informacji i zasady wprowadzania danych do AI (tajemnica zawodowa, dane osobowe)
Najbardziej krytyczna część polityki dotyczy informacji, które mogą trafić do narzędzia AI w promptach, załącznikach i historii konwersacji. W kancelarii ryzyko nie ogranicza się do danych osobowych, ponieważ równoległym reżimem jest poufność materiałów sprawy oraz tajemnica zawodowa, które mogą obejmować szeroki zbiór informacji niezależnie od ich formy.
g) korzystanie z usług i narzędzi sztucznej inteligencji (AI), h) w tym zakaz wprowadzania do nich informacji objętych tajemnicą zawodową
Operacyjnie pomocna jest klasyfikacja informacji na cztery poziomy: publiczne, wewnętrzne, klientowskie/poufne oraz informacje objęte tajemnicą zawodową. Polityka powinna wskazać, że dane publiczne mogą być używane najszerzej, natomiast informacje klientowskie i objęte tajemnicą wymagają zakazu lub ścisłych warunków (zatwierdzone narzędzie, określony tryb przetwarzania, ograniczona retencja, kontrola dostępu). Dla danych osobowych istotne staje się dodatkowo ustalenie ról, podstaw prawnych i zasad minimalizacji, aby ograniczyć zakres ekspozycji informacji na dostawcę narzędzia.
Anonimizacja i pseudonimizacja powinny być opisane jako środek redukcji ryzyka, a nie „magiczna zgoda” na każde użycie AI. W praktyce częste są scenariusze reidentyfikacji przez kontekst sprawy, unikalne zdarzenia lub zestawienie wielu fragmentów danych. Polityka powinna też uwzględniać kwestie transferu i retencji: logi, przechowywanie historii czatu, łączenie treści z kontem użytkownika oraz ustawienia dotyczące trainingu na danych.
Jeśli występuje objaw wątpliwości, czy dany fragment jest jeszcze „bezpiecznie zanonimizowany”, najbardziej prawdopodobna jest przyczyna w postaci braku matrycy dopuszczalności danych i braku formalnego wyboru zatwierdzonych narzędzi. Dla porządkowania zasad w tym obszarze często wykorzystywany jest także materiał o RODO w narzędziach AI.
Dopuszczalne zastosowania AI w kancelarii oraz obowiązkowa weryfikacja wyników
Polityka powinna rozdzielać dopuszczalne zastosowania AI od zastosowań ograniczonych i wyłączonych oraz opisywać zasady weryfikacji outputu przed użyciem w sprawie. Takie rozgraniczenie zmniejsza ryzyko „cichego” użycia AI do zadań wysokiego ryzyka, gdzie błąd merytoryczny lub błąd faktograficzny może przenieść się do pisma procesowego, opinii lub korespondencji z klientem.
W praktyce do zastosowań niskiego ryzyka zwykle zalicza się porządkowanie materiału, streszczanie tekstów niepoufnych, redakcję językową szkiców oraz generowanie list kontrolnych zagadnień do analizy. Zastosowania ograniczone obejmują analizę umów, drafting z wykorzystaniem danych klienta oraz research orzeczniczy, ponieważ ryzyka obejmują zarówno poufność, jak i jakość wnioskowania oraz poprawność cytowań. Zastosowania wyłączone powinny obejmować automatyczne wysyłanie treści do klienta bez weryfikacji, generowanie porad bez kontroli prawnika oraz masowe przetwarzanie wrażliwych danych w narzędziu, które nie zostało dopuszczone do pracy w kancelarii.
Weryfikacja outputu powinna być opisana jako zestaw testów: sprawdzenie źródeł i podstaw prawnych, weryfikacja sygnatur i cytatów, kontrola aktualności stanu prawnego oraz ocena spójności wniosków z materiałem sprawy. Polityka powinna wymagać, aby wnioski AI nie były traktowane jako autorytet, lecz jako propozycje wymagające walidacji. Dodatkowo warto przewidzieć, że w razie rozbieżności między wynikiem AI a źródłami pierwotnymi decydują źródła, a nie wygenerowana narracja.
Test weryfikacji sygnatur pozwala odróżnić błąd narzędzia od błędu procesu, który polega na braku standardu kontroli outputu. W kancelaryjnej praktyce źródłem wielu pomyłek są także halucynacje AI w prawie, które wymagają jasno opisanego mechanizmu kontroli.
Wybór, zatwierdzanie i monitorowanie narzędzi AI (lista dozwolonych narzędzi)
Polityka AI jest wykonalna dopiero wtedy, gdy kancelaria utrzymuje listę dozwolonych narzędzi oraz procedurę dopuszczania nowych rozwiązań. Brak takiego mechanizmu zwykle prowadzi do „shadow AI”, czyli używania narzędzi prywatnych, wtyczek i integracji bez oceny ryzyk związanych z retencją, transferem danych i konfiguracją kont.
Rejestr narzędzi powinien obejmować nie tylko osobne aplikacje, ale też funkcje AI wbudowane w systemy biurowe, narzędzia do komunikacji i przeglądarki. Kryteria akceptacji powinny wskazywać minimalne wymagania bezpieczeństwa: możliwość egzekwowania kont służbowych, MFA/SSO, zarządzanie uprawnieniami, logowanie zdarzeń oraz mechanizmy ograniczenia przetwarzania danych. W przypadku narzędzi chmurowych znaczenie ma także model retencji, kontrola treningu na danych oraz warunki umowne związane z powierzeniem przetwarzania, jeżeli występuje.
| Element polityki | Minimalny zapis operacyjny | Ryzyko ograniczane |
|---|---|---|
| Rejestr narzędzi AI | Lista zatwierdzonych narzędzi i funkcji AI, właściciel rejestru, cykl przeglądu | Użycie nieznanych narzędzi i brak kontroli nad zmianami |
| Kryteria akceptacji dostawcy | Wymagania dot. retencji, logów, kontroli treningu, zabezpieczeń kont | Nieuprawniony transfer danych i brak rozliczalności |
| Zasady kont i dostępów | Wyłącznie konta służbowe, MFA, zakaz udostępniania kont, role | Utrata kontroli dostępu i ryzyko ujawnienia informacji |
| Kontrola integracji i wtyczek | Zakaz instalacji bez akceptacji, przegląd uprawnień integracji | Nieautoryzowane wynoszenie treści z systemów kancelarii |
| Monitoring i audyt użycia | Przegląd incydentów, analiza logów, aktualizacja listy narzędzi | Utrwalanie błędnych praktyk i brak wykrywania nadużyć |
| Dokumentowanie decyzji | Ślad zatwierdzenia: kto, kiedy, zakres, warunki i termin przeglądu | Spory odpowiedzialności i brak spójności w stosowaniu zasad |
Monitoring powinien obejmować zmiany po stronie dostawcy, aktualizacje regulaminów, pojawianie się nowych integracji oraz zmiany konfiguracji w organizacji. Przy objawie nagłego „przyspieszenia” pracy kosztem jakości najbardziej prawdopodobna jest przyczyna w postaci użycia narzędzia spoza rejestru lub poza zatwierdzoną konfiguracją.
Role, odpowiedzialności, szkolenia oraz minimalne kompetencje AI (AI literacy)
Polityka powinna przypisywać role, odpowiedzialności i minimalne kompetencje, aby stosowanie AI było rozliczalne i audytowalne. W kancelarii szczególnie ważne jest rozdzielenie odpowiedzialności za bezpieczeństwo informacji, zgodność z wymaganiami ochrony danych oraz merytoryczną jakość pracy prawnej, ponieważ błędy mogą powstawać w różnych punktach procesu.
The AI RMF is intended to be practical, to adapt to the AI landscape as AI technologies continue to develop, and to be operationalized by organizations in varying degrees and capacities
Praktycznym rozwiązaniem jest model RACI, w którym właściciel polityki odpowiada za jej utrzymanie i aktualizacje, IT/security za konfigurację kont, integracji i logowania, a obszar compliance/RODO za ocenę ryzyk przetwarzania danych. Lider merytoryczny lub osoba zatwierdzająca produkt pracy ponosi odpowiedzialność za to, aby wynik użyty w sprawie spełniał standard jakości kancelarii, w tym weryfikację źródeł i spójność wniosków. Użytkownik końcowy powinien mieć jasno opisane obowiązki: czego nie wolno wprowadzać do narzędzia, jak przeprowadzić weryfikację i kiedy zgłosić incydent.
Szkolenia powinny obejmować co najmniej: zasady danych i poufności, higienę promptów (bez danych identyfikujących i bez załączników niezgodnych z matrycą), weryfikację outputu oraz typowe tryby błędu narzędzi generatywnych. Polityka powinna przewidywać onboarding oraz okresowe odświeżenie wiedzy, a także minimalny próg dopuszczenia do korzystania z zatwierdzonych narzędzi po potwierdzeniu udziału w szkoleniu. Aktualizacja polityki powinna być powiązana z triggerami: incydent, nowe narzędzie, zmiana dostawcy, zmiana ustawień retencji.
Jeśli występuje warunek częstych incydentów lub powtarzalnych błędów w wynikach, to wniosek zwykle wskazuje na braki szkoleniowe albo brak jednoznacznych ról nadzoru. W szerszym kontekście organizacyjnym opisuje to także obszar szkolenie zespołu prawnego.
Jak opracować i wdrożyć politykę AI w kancelarii (procedura HowTo)
Skuteczna polityka AI powstaje przez sekwencję działań, która łączy inwentaryzację użyć, klasyfikację danych, ocenę narzędzi oraz uruchomienie mechanizmów weryfikacji i szkoleń. Taka procedura ogranicza ryzyko, że polityka będzie dokumentem formalnym, a rzeczywiste praktyki pozostaną niekontrolowane.
Krok 1: inwentaryzacja przypadków użycia i narzędzi, w tym funkcji AI w aplikacjach biurowych oraz nieformalnych narzędzi używanych w zespole. Krok 2: klasyfikacja informacji i zbudowanie matrycy dopuszczalności danych, z jednoznacznym wskazaniem zakazów dla informacji objętych tajemnicą zawodową i danych wrażliwych. Krok 3: ocena dostawców i konfiguracja zabezpieczeń, obejmująca konta służbowe, MFA/SSO, ograniczenia retencji i kontrolę integracji. Krok 4: zapis obowiązków weryfikacji outputu oraz sposobu dokumentowania użycia AI w sprawach, aby utrzymać rozliczalność. Krok 5: szkolenia i potwierdzenia zapoznania się z zasadami, a także uruchomienie kanału raportowania incydentów.
Po wdrożeniu sensowny jest przegląd po 30–90 dniach, który zbiera obserwacje dotyczące błędów, incydentów i „wąskich gardeł” w procesie. Wdrożenie powinno też wskazywać, jak traktowane są sytuacje odstępstwa: kto je zatwierdza, na jak długo i jak są dokumentowane. W praktyce najczęstszym źródłem niespójności jest pominięcie inwentaryzacji narzędzi oraz brak kontroli wtyczek.
Przy objawie rozbieżności między zapisami polityki a praktyką najbardziej prawdopodobna jest przyczyna w postaci braku mechanizmu przeglądu oraz braku właściciela procesu z mandatem do egzekwowania zasad. Kryterium przeglądu pozwala odróżnić problem kulturowy od problemu konfiguracji narzędzi.
Polityka ogólna czy polityka dedykowana dla kancelarii prawnej?
Decyzja o formie dokumentu powinna wynikać z ryzyk i procesów charakterystycznych dla kancelarii. Polityka ogólna, tworzona dla organizacji, często nie zawiera wystarczająco precyzyjnych zapisów o tajemnicy zawodowej, dokumentach klientowskich, testach weryfikacyjnych oraz standardzie odpowiedzialności za produkt pracy prawniczej.
Polityka AI jako załącznik do polityki bezpieczeństwa czy osobny dokument?
Załącznik sprawdza się, gdy użycia AI są ograniczone do zadań pomocniczych oraz przetwarzają wyłącznie dane publiczne lub wewnętrzne, a narzędzia są nieliczne i stabilne. Osobny dokument jest korzystniejszy, gdy prace obejmują materiały klientowskie, research i drafting, ponieważ łatwiej opisać matrycę danych, weryfikację outputu oraz procedurę incydentową. Wariant dokumentu odrębnego ułatwia też przypisanie ról oraz aktualizacje przy zmianach dostawców i integracji. Kryterium doboru jest głównie poziom ryzyka poufności i ryzyko błędu merytorycznego w produkcie pracy.
W modelu kancelaryjnym nawet przy użyciu narzędzi do zadań niskiego ryzyka często potrzebne są dodatkowe zasady dotyczące kont, integracji i historii czatu, aby zminimalizować przypadkowe ujawnienia kontekstu sprawy. Dodatkowe zapisy należy też przewidzieć dla współpracowników i podwykonawców, którzy mogą pracować poza infrastrukturą kancelarii. Zakres dokumentu powinien wprost rozwiązywać sytuacje sporne: czy dany fragment informacji jest dopuszczalny, jakie narzędzie jest zatwierdzone i kto zatwierdza wyjątek.
Jeśli warunek dotyczy częstych spraw o wysokiej poufności, to wniosek zwykle przemawia za polityką dedykowaną, nawet gdy istnieją dokumenty ogólne. Testem praktycznym jest możliwość podjęcia decyzji w 2–3 minutach bez eskalacji: czy dane, narzędzie i zastosowanie mieszczą się w zasadach.
Pytania i odpowiedzi
Co powinna zawierać lista dozwolonych narzędzi AI w kancelarii?
Lista powinna wskazywać nazwę narzędzia, wersję lub środowisko (np. web/desktop), dozwolone zastosowania, ograniczenia dotyczące danych oraz wymagania kont (konta służbowe, MFA). Dodatkowo potrzebny jest właściciel wpisu oraz termin przeglądu, aby utrzymać aktualność rejestru.
Jak udokumentować weryfikację wyników AI w researchu i draftingu?
Dokumentowanie może opierać się na krótkiej notatce w aktach sprawy: co zostało wygenerowane, jakie źródła sprawdzono oraz jakie korekty wprowadzono po weryfikacji. Przy cytatach i sygnaturach kluczowe jest odnotowanie weryfikacji w źródle pierwotnym, aby uniknąć przeniesienia błędów do pisma.
Czy anonimizacja danych klienta zawsze umożliwia użycie narzędzia AI?
Nie, ponieważ anonimizacja może być odwracalna przez kontekst sprawy, unikalne zdarzenia lub zestawienie fragmentów informacji. Polityka powinna wskazywać, kiedy anonimizacja jest dopuszczalna oraz jakie dane i tak pozostają zakazane w narzędziach niezatwierdzonych.
Jak opisać w polityce zakaz ujawniania tajemnicy zawodowej w promptach i załącznikach?
Zakaz powinien obejmować prompty, załączniki, cytaty z dokumentów oraz wklejanie fragmentów korespondencji, niezależnie od narzędzia, jeżeli nie zostało zatwierdzone do pracy na takich informacjach. Warto dodać przykłady typowych naruszeń i wskazać ścieżkę eskalacji przy wątpliwości.
Jak często przeglądać i aktualizować politykę korzystania z AI w kancelarii?
Przegląd okresowy najczęściej jest powiązany z cyklem kwartalnym lub półrocznym, a dodatkowo uruchamiany zdarzeniowo po incydencie, wdrożeniu nowego narzędzia albo zmianie konfiguracji retencji. Polityka powinna wskazywać właściciela przeglądu oraz minimalny zakres aktualizacji.
Kto powinien zatwierdzać nowe narzędzia i wtyczki AI?
Zatwierdzanie powinno łączyć perspektywę bezpieczeństwa informacji, ochrony danych i merytoryki pracy prawnej, dlatego praktyczne jest współdziałanie IT/security, compliance/RODO oraz osoby odpowiedzialnej za jakość produktu kancelarii. Polityka powinna wskazywać jednoznacznego właściciela decyzji i kryteria akceptacji.
Jakie elementy szkoleń AI są minimalne dla prawników i personelu?
Minimum powinno obejmować zasady wprowadzania danych, ograniczenia narzędzi generatywnych, weryfikację outputu, obsługę incydentów oraz reguły korzystania z kont i integracji. Wersja rozszerzona może obejmować scenariusze dla researchu, draftingu i analizy dokumentów.
Źródła
- Article 4: AI literacy
- DOBRE PRAKTYKI DOTYCZĄCE CYBERBEZPIECZEŃSTWA I OCHRONY INFORMACJI W KANCELARIACH ADWOKACKICH
- Artificial Intelligence Risk Management Framework (AI RMF 1.0)
- Sztuczna inteligencja – jak bezpiecznie korzystać z narzędzi AI?
- AI Risk Management Framework
- Polityka odpowiedzialnego wykorzystywania narzędzi
Polityka korzystania z AI w kancelarii powinna łączyć zasady danych i poufności z mechanizmem dopuszczania narzędzi oraz standardem weryfikacji wyników. Największą wartość ma część operacyjna: matryca danych, lista narzędzi, obowiązki weryfikacyjne i zasady incydentowe. Dokument wymaga przypisanych ról i cyklu aktualizacji, aby nadążać za zmianami dostawców i konfiguracji. W środowisku kancelarii kryterium rozstrzygające stanowi zwykle ochrona tajemnicy zawodowej oraz ryzyko błędu merytorycznego.
