← Wróć do bloga
Analiza 8 min czytania

Czy ChatGPT narusza tajemnicę zawodową? Co prawnik musi wiedzieć przed wklejeniem dokumentu

Gdzie przebiega granica tajemnicy zawodowej przy korzystaniu z AI, czym różnią się plany konsumenckie od biznesowych i jakie masz bezpieczne alternatywy.

LB
Zespół LegalByte
Zewnętrzny dział technologii kancelarii

Krótka odpowiedź: ChatGPT sam w sobie nie narusza tajemnicy zawodowej — naruszyć może ją sposób, w jaki z niego korzystasz. Ta sama zasada dotyczy każdego narzędzia AI: Claude, Gemini, Copilota i kolejnych. Problem w tym, że między „wszystko wolno" a „AI jest zakazane" rozciąga się szara strefa, w której dziś pracuje większość prawników — często bez świadomości, gdzie dokładnie przebiega granica.

Rozłóżmy to na części: gdzie faktycznie jest ryzyko, czym różnią się wersje konsumenckie od biznesowych i jak korzystać z AI w kancelarii bez wystawiania się na zarzut.

Gdzie naprawdę jest ryzyko

Gdy wklejasz fragment sprawy do publicznego chatbota, dane klienta opuszczają Twoje środowisko i trafiają na serwery dostawcy. Z perspektywy tajemnicy zawodowej i RODO istotne są cztery pytania:

  1. Czy dostawca wykorzysta te dane do trenowania modeli? W planach konsumenckich (darmowych i indywidualnych) wiodący dostawcy zastrzegają sobie taką możliwość — zwykle można to wyłączyć w ustawieniach, ale domyślne ustawienia bywają niekorzystne, a użytkownicy rzadko je zmieniają.
  2. Jak długo dane są przechowywane i kto po stronie dostawcy może mieć do nich wgląd (np. przy przeglądach nadużyć)?
  3. Gdzie dane są przetwarzane — w UE czy poza nią, i na jakiej podstawie prawnej odbywa się transfer?
  4. Czy masz z dostawcą umowę powierzenia przetwarzania danych — bo wklejając dane osobowe klientów, powierzasz ich przetwarzanie podmiotowi trzeciemu.

Na konsumenckim koncie odpowiedzi na te pytania są dla kancelarii co najmniej problematyczne. I to jest sedno: problemem nie jest technologia, tylko warunki, na jakich z niej korzystasz.

Osobną kategorią ryzyka — niezwiązaną z tajemnicą, ale równie realną — są halucynacje: modele potrafią z pełnym przekonaniem zmyślić sygnaturę, orzeczenie albo treść przepisu. Każdy wynik pracy AI wymaga weryfikacji przez prawnika, zanim trafi do klienta lub sądu.

Plan darmowy ≠ plan biznesowy

To rozróżnienie jest kluczowe, a w dyskusjach o „ChatGPT w kancelarii" notorycznie pomijane:

  • Plany konsumenckie (darmowe, indywidualne): dane mogą domyślnie zasilać rozwój modeli, ograniczona kontrola administracyjna, brak narzędzi zarządzania zespołem. Do pracy na danych klientów — nie.
  • Plany biznesowe (Team / Enterprise) i dostęp przez API: u wiodących dostawców dane firmowe domyślnie nie są wykorzystywane do trenowania modeli, dostępne są umowy powierzenia, kontrola administracyjna i krótsze okresy retencji (w wariantach API także zero-retention). To zupełnie inna sytuacja prawna.

Wniosek praktyczny: jeśli zespół ma korzystać z AI, kancelaria powinna kupić plan biznesowy i skonfigurować go świadomie — a nie tolerować sytuację, w której każdy prawnik używa prywatnego darmowego konta. Paradoks polega na tym, że zakaz AI w kancelarii zwykle nie eliminuje AI, tylko spycha je do szarej strefy prywatnych kont — bez kontroli, bez umów, bez logów.

Co wolno wkleić, a czego nie — praktyczna zasada

Niezależnie od planu, warto trzymać się prostej reguły: do modelu trafia problem, nie klient.

  • ✅ „Przygotuj strukturę odpowiedzi na pozew o zapłatę z umowy o roboty budowlane, gdzie pozwany podnosi zarzut wad" — abstrakcyjny problem prawny, zero danych klienta.
  • ⚠️ Fragment umowy po anonimizacji — dopuszczalne w kontrolowanym środowisku, ale pamiętaj, że skuteczna anonimizacja to więcej niż zamiana nazwisk na „X": kontekst (kwoty, daty, branża, unikalne okoliczności) też potrafi identyfikować.
  • ❌ Skan pozwu, pełna umowa z danymi stron, korespondencja z klientem — na koncie konsumenckim nigdy; w środowisku biznesowym tylko przy uregulowanym powierzeniu i zgodnie z polityką kancelarii.

Minimalna polityka AI dla kancelarii — 5 punktów na początek

Nie potrzebujesz 30-stronicowego dokumentu. Na start wystarczy jedna strona, która ustala:

  1. Z jakich narzędzi i na jakich kontach wolno korzystać (tylko konta firmowe, plan biznesowy — lista konkretnych narzędzi).
  2. Jakie dane wolno przetwarzać (zasada „problem, nie klient" + zasady anonimizacji).
  3. Obowiązek weryfikacji — każdy wynik AI sprawdza prawnik; AI nie jest źródłem prawa.
  4. Zakaz prywatnych kont do spraw kancelarii — i firmowa alternatywa, żeby zakaz miał sens.
  5. Kto odpowiada za pytania i wyjątki — jedna osoba, do której zespół kieruje wątpliwości.

Taką politykę da się wdrożyć w tydzień. Jej brak oznacza, że polityką kancelarii są domyślne ustawienia darmowego chatbota.

Alternatywy: środowisko, które kontrolujesz

Plany biznesowe publicznych narzędzi to dobry start, ale dla kancelarii pracujących na szczególnie wrażliwych sprawach idziemy krok dalej. W LegalByte budujemy środowiska AI w trzech wariantach:

  • AI przez API w trybie zero-retention, z przetwarzaniem w UE — dane nie służą do trenowania i nie są przechowywane po przetworzeniu;
  • modele open source hostowane prywatnie (LegalCloud lub infrastruktura kancelarii) — dane w ogóle nie opuszczają kontrolowanego środowiska;
  • konfiguracja i nadzór nad Twoim dostawcą AI — jeśli kancelaria ma już wybrane narzędzie, przejmujemy jego techniczną stronę: uprawnienia, logi, zgodność.

Który wariant ma sens, zależy od spraw, na których pracujesz — to ustalamy na etapie konsultingu AI, zanim cokolwiek wdrożymy.

FAQ: ChatGPT i AI w kancelarii

Czy prawnik może w ogóle korzystać z ChatGPT?

Tak — z głową. Do abstrakcyjnych problemów prawnych, redakcji własnych tekstów czy researchu (z weryfikacją) nie ma przeszkód. Granica przebiega tam, gdzie w grę wchodzą dane klientów: wtedy liczy się plan, konfiguracja i umowa z dostawcą.

Czy anonimizacja danych załatwia sprawę?

Pomaga, ale nie jest magicznym wyłącznikiem ryzyka. Skuteczna anonimizacja musi obejmować również kontekst pozwalający zidentyfikować klienta lub sprawę — a w nietypowych sprawach to bywa trudniejsze, niż się wydaje.

Czy klient musi wiedzieć, że kancelaria używa AI?

Wymogi informacyjne zależą od kontekstu i będą się rozwijać wraz z praktyką stosowania AI Act. Niezależnie od minimum prawnego: transparentność wobec klienta co do narzędzi pracy to dobra praktyka — zwłaszcza że pytania o AI klienci biznesowi zadają coraz częściej sami.

Czy bezpieczniejsze jest AI „w chmurze" czy self-host?

Self-host daje pełną kontrolę nad danymi, ale wymaga infrastruktury i utrzymania. Dobrze skonfigurowane API z zero-retention w UE dla większości kancelarii równoważy bezpieczeństwo i koszty. To decyzja do podjęcia na bazie spraw, które prowadzisz — nie ideologii.

Chcesz korzystać z AI bez ryzykowania tajemnicy zawodowej?

Pomagamy kancelariom przejść od prywatnych kont ChatGPT do kontrolowanego środowiska AI — z polityką, umowami i konfiguracją, która się broni. Zacznij od rozmowy albo zobacz consulting AI dla kancelarii.

Umów konsultację →