Case StudyKara UODO: 85 000 złKancelaria prawna · 12 pracowników

Aplikantka wkleiła akta do ChatGPT.
Kancelaria zapłaciła 85 000 zł.

Historia jest fikcyjna, ale scenariusz — prawdziwy. Każdego dnia w polskich kancelariach, klinikach i firmach HR pracownicy używają ChatGPT do pracy z dokumentami zawierającymi dane osobowe. Bez złych intencji. Z fatalnym skutkiem.

12 pracowników 6 miesięcy postępowania 85 000 zł kary 1 nieświadomy błąd

Kontekst: Kancelaria Adwokacka Nowak & Wspólnicy

Pracownicy

4 adwokatów, 5 aplikantów, 3 administracja

⚖️

Specjalizacja

Prawo cywilne, rodzinne, gospodarcze

Brak

Polityka AI

Żadnych wewnętrznych zasad korzystania z ChatGPT

Typowa polska kancelaria. Prawnicy używają ChatGPT codziennie — do pisania pism, sprawdzania argumentacji, tłumaczenia dokumentów. Nikt nie rozmawiał o tym, co można, a czego nie można wklejać do AI. Nikt nie wiedział, że ChatGPT może trenować na wklejonych danych (domyślne ustawienia konta).

Jak to się stało — godzina po godzinie

Wtorek, 14:23

Aplikantka przygotowuje pismo

Marta K., aplikantka adwokacka, pracuje nad odpowiedzią na pozew. Sprawa dotyczy sporu majątkowego — w aktach są dane osobowe klientów, numery PESEL, adresy, kwoty. Chce szybko sprawdzić argumentację prawną.

Wtorek, 14:31

Kopiuje akta do ChatGPT

Marta kopiuje fragment akt sprawy do ChatGPT: "Pomóż mi napisać odpowiedź na ten pozew". W treści są: imię i nazwisko klienta, PESEL, adres zamieszkania, numer konta bankowego, kwota roszczenia.

⚠ W jednej chwili dane 3 osób trafiają na serwery OpenAI w USA.

Środa, 09:15

Klient dowiaduje się z mediów

Klient kancelarii czyta artykuł o wyciekach danych z ChatGPT. Dzwoni do kancelarii z pytaniem: "Czy moje dane były wklejane do AI?". Marta przyznaje — tak, ale "tylko żeby sprawdzić argumenty prawne".

Środa, 11:40

Klient składa skargę do UODO

Klient składa skargę do Urzędu Ochrony Danych Osobowych. Zarzut: naruszenie Art. 5 ust. 1 lit. f RODO (integralność i poufność) oraz Art. 32 RODO (brak odpowiednich środków bezpieczeństwa).

⚠ Kancelaria ma 72 godziny na zgłoszenie naruszenia do UODO (Art. 33 RODO).

Miesiąc później

Postępowanie UODO

UODO wszczyna postępowanie. Kancelaria musi dostarczyć dokumentację: polityki bezpieczeństwa, szkolenia pracowników, rejestr czynności przetwarzania. Okazuje się, że kancelaria nie miała żadnej polityki dotyczącej AI.

6 miesięcy później

Decyzja UODO — kara 85 000 zł

UODO nakłada karę 85 000 zł. Uzasadnienie: brak wdrożenia odpowiednich środków technicznych i organizacyjnych (Art. 32 RODO), brak polityki korzystania z narzędzi AI przez pracowników. Kancelaria traci też klienta i reputację.

⚠ 85 000 zł kary + utrata klienta + 6 miesięcy stresu i postępowania.

Rachunek strat

85 000 zł

Kara UODO

Art. 32 RODO — brak środków bezpieczeństwa

~15 000 zł

Koszty prawne

Obsługa postępowania, dokumentacja

~40 000 zł

Utracony klient

Roczna wartość klienta, który odszedł

6 miesięcy

Czas zarządu

Postępowanie, stres, utrata koncentracji

~140 000 zł

łączne straty

Przez jeden nieświadomy błąd aplikantki, kancelaria straciła ponad 140 000 zł. Roczny koszt Jackal Shield Business dla 12 pracowników: 3 588 zł. To 39-krotnie mniej niż ta jedna kara.

A gdyby kancelaria miała Jackal Shield?

Ten sam scenariusz. Inny wynik.

Marta nadal używa ChatGPT. Ale dane klientów nigdy nie opuszczają firmy.

Rozszerzenie Chrome przechwytuje upload

Gdy Marta wkleja tekst do ChatGPT, Jackal Shield wyświetla overlay: "Wykryto 4 dane osobowe. Zanonimizować przed wysłaniem?"

Anonimizacja w 2 sekundy

Jan Kowalski → Adam Wiśniewski, PESEL 85010112345 → PESEL_001, ul. Kwiatowa 5 → ul. Testowa 1. ChatGPT widzi fikcyjne dane, ale odpowiada merytorycznie.

Marta dostaje odpowiedź AI

ChatGPT pomaga z argumentacją prawną. Marta jednym kliknięciem przywraca oryginalne dane w gotowym piśmie. Praca wykonana, dane bezpieczne.

Kancelaria ma dowód compliance

W dashboardzie administratora widać: 847 dokumentów zanonimizowanych, 0 naruszeń. Przy kontroli UODO — gotowy raport compliance.

0 zł

kary UODO

Kancelaria ma pełny audit log: każdy dokument, każda anonimizacja, każde odtworzenie danych. Przy kontroli UODO — gotowy raport compliance. Marta nadal używa ChatGPT produktywnie. Klienci są bezpieczni.

Podstawa prawna — dlaczego kancelaria odpowiada?

Art. 5 ust. 1 lit. f RODO

Zasada integralności i poufności

Dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo, w tym ochronę przed nieuprawnionym dostępem. Wysłanie danych do zewnętrznego serwisu AI bez zgody osoby, której dane dotyczą, narusza tę zasadę.

Art. 24 RODO

Odpowiedzialność administratora

Administrator (kancelaria) jest odpowiedzialny za wdrożenie odpowiednich środków technicznych i organizacyjnych. Brak polityki korzystania z AI przez pracowników = brak środków organizacyjnych.

Art. 32 RODO

Bezpieczeństwo przetwarzania

Administrator wdraża odpowiednie środki techniczne i organizacyjne w celu zapewnienia stopnia bezpieczeństwa odpowiadającego ryzyku. Narzędzia AI bez kontroli = brak środków technicznych.

Art. 83 ust. 4 RODO

Kara administracyjna

Naruszenia Art. 32 podlegają karze do 10 000 000 EUR lub 2% rocznego obrotu. UODO w Polsce stosuje kary proporcjonalne do skali naruszenia i możliwości finansowych podmiotu.

Twoja kancelaria może być następna.

Albo możesz zainstalować Jackal Shield w 5 minut i spać spokojnie. Pracownicy nadal używają ChatGPT — ale dane klientów nigdy nie opuszczają firmy.

Pakiet Starter dla kancelarii do 5 osób: 149 zł / miesiąc