Umowa z dostawcą AI: 7 klauzul, które chronią Twoją firmę

Łukasz Gębczyk
Łukasz Gębczyk
Umowa z dostawcą AI: 7 klauzul, które chronią Twoją firmę

Dla zabieganych:

  • Standardowa umowa IT nie wystarczy przy AI: systemy sztucznej inteligencji pracują na Twoich danych, uczą się na Twoich promptach i generują wyniki, do których możesz nie mieć praw - jeśli umowa tego nie reguluje.
  • Output AI nie jest chroniony prawem autorskim: w polskim prawie treści wygenerowane wyłącznie przez AI nie stanowią utworu. Bez odpowiednich zapisów umownych nie masz gwarancji, że możesz swobodnie korzystać z wyników - ani że dostawca nie wykorzysta ich dla innych klientów.
  • 7 klauzul to minimum bezpieczeństwa: dane i poufność, prawa do wyników, zakaz trenowania na Twoich danych, odpowiedzialność za błędy, SLA z metrykami jakości AI, subprocesorzy i exit plan - bez tych zapisów ryzykujesz spór, wyciek danych lub vendor lock-in.
  • AI Act już obowiązuje - częściowo: od 2025 r. zakazane są niektóre zastosowania AI, a od 2026 r. wchodzą obowiązki dla systemów wysokiego ryzyka. Twoja umowa z dostawcą musi to uwzględniać.
  • Audyt umowy z dostawcą AI w Lexable: zweryfikujemy Twoją umowę za stałą kwotę, bez stawki godzinowej, z wynikiem w 12-24h. Załóż darmowe konto w 60 sekund i wyślij nam swoją umowę z dostawcą AI do weryfikacji lub zleć jej przygotowanie od zera.

Artykuł opracowany przez Łukasza Gębczyka - prawnika Lexable, który na co dzień przygotowuje i weryfikuje umowy dla software house'ów, startupów technologicznych, agencji marketingowych, w tym spółek wdrażających rozwiązania AI.

Wdrażasz ChatGPT w obsłudze klienta. Integrujesz model AI z wewnętrznym CRM-em. Kupujesz narzędzie do automatycznej analizy dokumentów albo generowania grafik marketingowych. Za każdym razem podpisujesz umowę z dostawcą i za każdym razem ta umowa decyduje o tym, czy Twoja firma jest bezpieczna.

Problem? Większość firm podpisuje standardowe umowy SaaS, które nie uwzględniają specyfiki AI. Nie regulują, kto ma prawa do wyników. Nie zakazują wykorzystywania Twoich danych do trenowania modelu. Nie określają, co się dzieje, gdy AI „halucynuje" i generuje treść naruszającą prawa osób trzecich. To nie są teoretyczne ryzyka, te scenariusze realnie się pojawiają.

Poniżej 7 klauzul, które powinny znaleźć się w każdej umowie z dostawcą narzędzia AI - niezależnie od tego, czy kupujesz gotowe rozwiązanie AIaaS, integrujesz API, czy zamawiasz dedykowany system.

Klauzula 1: Ochrona danych osobowych i umowa powierzenia przetwarzania (DPA)

Każde narzędzie AI przetwarza dane. Czasem są to tylko prompty tekstowe. Częściej dane osobowe klientów, pracowników lub kontrahentów, które wprowadzasz do systemu w ramach codziennej pracy.

W większości przypadków Twoja firma pozostaje administratorem danych w rozumieniu RODO, a dostawca AI pełni rolę podmiotu przetwarzającego. To oznacza, że musisz zawrzeć umowę powierzenia przetwarzania danych (art. 28 RODO) i to umowę dostosowaną do specyfiki AI, a nie standardowy szablon DPA.

Co musi zawierać taka umowa w kontekście AI:

  • Kategorie przetwarzanych danych,
  • Zakaz wykorzystywania danych do trenowania modelu,
  • Środki bezpieczeństwa,
  • Transfer danych poza EOG,
  • Procedura reagowania na incydenty.

Klauzula 2: Prawa do wyników (Output) i danych wejściowych (Input)

To jest pułapka, w którą wpada większość firm. Płacisz za narzędzie AI, generujesz treści, grafiki, analizy i zakładasz, że masz do nich pełne prawa. Niestety, w polskim prawie to nie jest takie proste.

Output wygenerowany wyłącznie przez AI nie jest utworem w rozumieniu prawa autorskiego. Polskie prawo chroni tylko dzieła stworzone przez człowieka. To oznacza, że nie możesz objąć treści AI ochroną prawnoautorską ale jednocześnie musisz mieć umowne prawo do swobodnego z nich korzystania.

Co musi znaleźć się w umowie:

  • Prawo do komercyjnego wykorzystania wyników,
  • Ograniczenie licencji dla dostawcy,
  • Gwarancja nienaruszania praw osób trzecich,
  • Łańcuch praw.

Więcej o przenoszeniu praw IP w kontraktach B2B znajdziesz w naszym artykule o 7 klauzulach chroniących IP w umowie z programistą.

Klauzula 3: Zakaz trenowania modelu na Twoich danych

Ta klauzula zasługuje na osobną sekcję, bo jest najczęściej pomijana i potencjalnie najdroższa w skutkach.

Dostawcy AI, zwłaszcza ci oferujący modele generatywne, często zastrzegają w regulaminie lub umowie prawo do wykorzystywania danych klientów w celu „ulepszania" swoich modeli. W praktyce oznacza to, że Twoje prompty, dokumenty, dane klientów i know-how mogą stać się częścią danych treningowych modelu dostępnego dla wszystkich użytkowników.

Co wpisać w umowie:

  • Bezwzględny zakaz wykorzystywania inputów i promptów do trenowania, fine-tuningu lub walidacji modeli,
  • Izolacja danych (tzw. tenant isolation),
  • Obowiązek usunięcia danych po zakończeniu współpracy,
  • Prawo do audytu.

Klauzula 4: Odpowiedzialność za błędy AI i klauzule indemnizacyjne

AI „halucynuje", generuje wyniki stronnicze, podejmuje błędne predykcje. To nie są wady - to jest natura technologii. Problem pojawia się wtedy, gdy nie wiadomo, kto za to odpowiada.

Dostawcy AI konsekwentnie ograniczają swoją odpowiedzialność w umowach. Standardem są limity odpowiedzialności do wysokości rocznych opłat abonamentowych i pełne wyłączenia szkód pośrednich. Większość dostawców zastrzega też, że ich narzędzie ma charakter „asystujący", a nie decyzyjny - co przerzuca odpowiedzialność na użytkownika.

Co negocjować:

  • Klauzule indemnifikacyjne,
  • Podwyższenie limitu odpowiedzialności,
  • Dostęp do logów i mechanizmów wyjaśnialności (XAI),
  • Obowiązek nadzoru człowieka (human-in-the-loop).

Klauzula 5: SLA z metrykami jakości specyficznymi dla AI

Tradycyjne SLA oparte na uptime i czasie reakcji nie wystarczą przy AI. Uptime 99,9% nie ma znaczenia, jeśli model zwraca błędne wyniki w 30% przypadków.

SLA z dostawcą AI musi mierzyć to, co naprawdę decyduje o wartości narzędzia: jakość i wiarygodność wyników.

Co powinno znaleźć się w SLA:

  • Metryki jakości AI,
  • Gwarancja dostępności i wsparcia technicznego,
  • Harmonogram i zasady aktualizacji algorytmu,
  • Konsekwencje niedotrzymania SLA.

Więcej o mechanizmach SLA przeczytasz w naszym artykule o 7 klauzulach ratujących po wdrożeniu IT.

Klauzula 6: Subprocesorzy i łańcuch dostawców AI

Narzędzie AI, które kupujesz, prawie nigdy nie działa w izolacji. Za frontendem kryje się infrastruktura chmurowa (AWS, Azure, GCP), modele bazowe (OpenAI, Anthropic, Google), moduły treningowe, usługi bezpieczeństwa - każdy z nich to potencjalny subprocesor danych osobowych.

W praktyce często wygląda to tak: dostawca narzędzia AI hostuje je na chmurze Azure, model bazowy pochodzi od OpenAI, dane przechodzą przez API pośrednika, a logi trafiają do zewnętrznego narzędzia monitoringu. To pięć podmiotów przetwarzających Twoje dane - a w umowie widzisz tylko jednego.

Co musi zawierać klauzula o subprocesorach:

  • Pełna lista subprocesorów (art. 28 RODO),
  • Obowiązek uprzedniego powiadomienia,
  • Równoważny poziom ochrony danych,
  • Klasyfikacja AI Act.

Klauzula 7: Exit plan i ochrona przed vendor lock-in

Równie ważne jak wdrożenie AI jest zakończenie wdrożenia. Co się dzieje, gdy chcesz zmienić dostawcę? Gdy narzędzie przestaje spełniać Twoje oczekiwania? Gdy dostawca podnosi cenę o 300%?

Bez odpowiedniego exit planu stajesz się zakładnikiem cudzego ekosystemu. To jest vendor lock-in i w świecie AI jest szczególnie niebezpieczny, bo dane, modele i integracje tworzą zależności trudne do odwrócenia.

Co musi znaleźć się w umowie:

  • Eksport danych,
  • Okres przejściowy (transition period),
  • Dostęp do dokumentacji technicznej,
  • Zakaz barier migracyjnych,
  • Trwałe usunięcie danych.

Zgodność z AI Act - co musisz wiedzieć w 2026

Akt o sztucznej inteligencji UE (AI Act) już częściowo obowiązuje. Od lutego 2025 zakazane są niektóre zastosowania AI (social scoring, manipulacja podprogowa, biometryczna identyfikacja w czasie rzeczywistym). Od sierpnia 2026 wchodzą pełne obowiązki dla systemów wysokiego ryzyka, w tym AI stosowana w HR, rekrutacji, scoringu kredytowym i dostępie do usług publicznych.

Jeśli Twoja firma używa AI w tych obszarach, umowa z dostawcą musi uwzględniać:

  • Obowiązek klasyfikacji ryzyka,
  • Dokumentacja techniczna i rejestracja w unijnej bazie danych,
  • Nadzór człowieka (human oversight),
  • Kary (naruszenie AI Act grozi karami do 35 mln EUR lub 7% globalnego obrotu).

Jak Lexable chroni firmy wdrażające AI?

W tradycyjnej kancelarii przygotowanie lub audyt umowy z dostawcą AI to zwykle kilka tysięcy złotych i tydzień oczekiwania. W Lexable analizujemy Twoją umowę za stałą kwotę, bez stawki godzinowej, a wynik dostajesz w maksymalnie 12–24h.

Przygotowujemy też umowy od zera - z klauzulami na dane, IP, odpowiedzialność, SLA i exit plan dostosowanymi do specyfiki Twojego narzędzia AI.

Załóż darmowe konto w 60 sekund i wyślij nam swoją umowę z dostawcą AI do weryfikacji lub zleć jej przygotowanie od zera.

Wolisz mailowo? Napisz: contact@lexable.pl lub zgłoś się przez formularz.

Ocenimy ryzyko i przygotujemy rekomendacje zmian - zanim Twoje dane trafią do cudzego modelu.

Potrzebujesz pomocy prawnej?

Stwórz dokumenty prawne szybko i bezpiecznie z Lexable.