Firmy przestały pytać, czy wdrożyć sztuczną inteligencję. Pytają, kto zapłaci, gdy ta inteligencja się pomyli. Sprawdziłem, jakie zapisy w umowach z dostawcami AI naprawdę chronią kupującego, a jakie tylko dobrze wyglądają na papierze.
Kluczowe fakty:
- Firma rekrutacyjna korzystająca z systemu AI do selekcji kandydatów poniosła straty obejmujące utratę kontraktu wartego 3 mln dolarów rocznie, 380 tys. dolarów kosztów prawnych oraz konieczność powiadomienia ponad 3 tysięcy kandydatów o naruszeniu danych – a jej umowa z dostawcą nie wymagała audytu pod kątem stronniczości i ograniczała odpowiedzialność dostawcy do miesięcznej opłaty.
- Standardowe umowy IT nie zawierają zapisów chroniących klientów przed wykorzystaniem ich danych do trenowania modeli AI przez dostawcę – firma Aona AI rekomenduje klauzule zabraniające takiego wykorzystania bez wyraźnej pisemnej zgody.
- Kluczowym problemem prawnym przy wdrożeniach AI jest brak jasnych zapisów dotyczących odpowiedzialności za błędne lub szkodliwe decyzje podejmowane przez system – co przekłada się na realne ryzyko finansowe i prawne po stronie kupującego.
Jeszcze dwa lata temu dział zakupów IT pytał głównie o cenę licencji i czas wdrożenia. Dziś to pytania poboczne. Główne pytanie brzmi inaczej: co się stanie, gdy model podejmie decyzję, która naruszy prawo, wyrządzi szkodę klientowi albo po prostu się myli w sposób, którego nikt nie przewidział.
Kancelaria Gouchev Law opisuje przypadek firmy rekrutacyjnej, która korzystała z systemu AI do wstępnej selekcji kandydatów. Umowa z dostawcą zawierała klauzulę pozwalającą wykorzystywać dane kandydatów do trenowania modelu, ograniczała odpowiedzialność dostawcy do miesięcznej opłaty za usługę i nie wymagała żadnego audytu pod kątem stronniczości. Gdy jeden z kandydatów złożył skargę o dyskryminację, śledztwo wykazało, że dane zdrowotne były przetwarzane bez odpowiednich zabezpieczeń, a system nigdy nie przeszedł testu na stronniczość. Firma rekrutacyjna straciła kontrakt wart 3 miliony dolarów rocznie, wydała 380 tysięcy dolarów na obronę prawną i musiała powiadomić ponad 3 tysiące kandydatów o możliwym naruszeniu ich danych.
To nie jest odosobniony przypadek nieuwagi jednego prawnika. To pokazuje, jak bardzo standardowe umowy IT nie nadążają za tym, co faktycznie sprzedają dzisiejsi dostawcy AI.
Dane firmy jako paliwo dla cudzego modelu
Pierwsze pytanie, które trzeba zadać każdemu dostawcy, brzmi prosto: co dzieje się z danymi, które wpisuję do systemu. Firma Aona AI, tworząca szablony umów dla zespołów prawnych i zakupowych, rekomenduje zapis zabraniający dostawcy wykorzystywania danych klienta (w tym promptów, wyników i logów) do trenowania lub udoskonalania jakiegokolwiek modelu bez wyraźnej pisemnej zgody, wraz z domyślną opcją rezygnacji z takiego wykorzystania.
Podobne stanowisko prezentuje GroveAI w swoim przewodniku po umowach z dostawcami AI. Wskazuje, że wielu dostawców domyślnie wykorzystuje dane klientów do poprawy swoich modeli, a firmy kupujące system często tego nie sprawdzają, bo skupiają się na funkcjach i cenie.
Sprawdzam to zawsze w pierwszej kolejności, bo błąd na tym etapie jest nieodwracalny. Danych, które trafiły do procesu trenowania modelu, nie da się już wycofać.
Kto jest właścicielem tego, co wygeneruje system
Drugi punkt dotyczy praw do wyników pracy systemu. Kancelaria Byte Back zwraca uwagę, że w niedawnej aktualizacji regulaminu usług konsumenckich Microsoft rozszerzył definicję „Twojej treści” o zawartość generowaną przy użyciu usług AI, uznając tym samym, że to użytkownik, a nie dostawca, jest właścicielem wyniku.
Nie każdy dostawca przyjmuje takie podejście. Dlatego umowa musi wprost określać, do kogo należą wygenerowane teksty, obrazy, kod czy rekomendacje, zanim firma zacznie budować na nich swoje produkty czy decyzje biznesowe.
Kto odpowiada, gdy AI się myli
To najbardziej kosztowny punkt całej listy. Serwis prawny Lexology, publikujący analizy dla brytyjskiego rynku IT, wskazuje wprost, że przy systemach AI klasyczne klauzule odpowiedzialności stosowane dotąd w umowach na tradycyjne oprogramowanie przestają wystarczać. Rekomenduje testowanie każdej umowy pod kątem scenariusza, w którym system podejmie błędną lub dyskryminującą decyzję powodującą stratę finansową, szkodę na zdrowiu albo sankcję regulacyjną.
Standardowa klauzula w umowach dostawców AI wygląda inaczej, niż większość kupujących się spodziewa. Gouchev Law opisuje typowy zapis: dane klienta mogą być wykorzystywane do poprawy działania modelu, wyniki dostarczane są bez gwarancji dokładności ani zabezpieczenia przed stronniczością, a odpowiedzialność dostawcy ograniczona jest do wartości jednomiesięcznej opłaty za usługę.
Kiedy czytam takie klauzule, mam wrażenie déjà vu z czasów wczesnego cloud computingu, gdy dostawcy też chowali się za „as-is” i minimalnymi limitami odpowiedzialności. Różnica jest taka, że błędna rekomendacja modelu językowego przy rekrutacji, ocenie kredytowej czy diagnostyce medycznej potrafi kosztować dużo więcej niż utracony dostęp do serwera na kilka godzin. Nie namawiam do paniki i wycofywania się z AI, bo to walka z wiatrakami. Namawiam do czytania paragrafu o limicie odpowiedzialności z taką samą uwagą, z jaką czyta się cenę licencji. W praktyce widzę, że firmy negocjują funkcje produktu godzinami, a klauzulę odpowiedzialności podpisują bez mrugnięcia okiem. To się musi zmienić, zanim zmieni to za nas jakiś sąd. Piotr Wolniewicz, Redaktor Naczelny AIPORT.pl
Zgodność z AI Act jako część kontraktu, nie deklaracja marketingowa
Byte Back zwraca uwagę na przykład koloradzkiej ustawy o AI (Colorado AI Act), która weszła w życie 1 lutego 2026 roku i nakłada na firmy wdrażające systemy AI obowiązek stosowania rozsądnej ostrożności w celu ochrony konsumentów przed znanym lub przewidywalnym ryzykiem dyskryminacji algorytmicznej. W praktyce oznacza to, że firma korzystająca z cudzego systemu musi polegać na testach i walidacji przeprowadzonych przez dostawcę, więc umowa powinna zawierać oświadczenie i gwarancję dostawcy, że produkt nie generuje bezprawnej stronniczości, powiązane z klauzulami obrony i odszkodowania.
W Unii Europejskiej rolę tej ustawy pełni AI Act. Artykuł 50 nakłada obowiązki przejrzystości i wymogi wobec modeli ogólnego przeznaczenia od 2 sierpnia 2026 roku, jak wskazuje przewodnik zakupowy Bluente dla branży tłumaczeniowej. To oznacza, że lipiec i sierpień 2026 to moment, w którym wiele umów zawieranych dziś będzie już musiało odpowiadać na te wymogi wprost, a nie deklaratywnie.
Podwykonawcy, których nawet nie znasz
Rzadko kto pyta dostawcę SaaS, komu ten dostawca sam podzleca przetwarzanie danych. Przy systemach AI to pytanie robi się krytyczne, bo model może w ogóle nie działać na infrastrukturze dostawcy, z którym podpisujemy umowę.
Bluente, firma zajmująca się bezpieczeństwem tłumaczeń AI, formułuje to bezpośrednio: jeśli dostawca korzysta z zewnętrznego modelu językowego OpenAI, Anthropic, Google czy Mistral, dokument opuszcza infrastrukturę dostawcy, z którym podpisano umowę. Wymaga to ujawnienia każdego podwykonawcy przetwarzania danych, warunków przetwarzania z każdym z nich oraz pisemnych oświadczeń o zerowym przechowywaniu danych od dostawców modeli działających w tle. Jeśli dostawca odmawia ujawnienia podwykonawców, to sygnał ostrzegawczy w procesie zakupowym.
Prawo wyjścia, zanim jeszcze się wejdzie
Ostatni punkt, o którym firmy myślą najpóźniej, a powinny najwcześniej: co się stanie, gdy zechcemy zmienić dostawcę.
GroveAI wymienia to jako jeden z najczęstszych błędów: ignorowanie warunków wyjścia z umowy, mimo że uzależnienie od jednej platformy AI (vendor lock-in) jest realnym ryzykiem, a przenoszalność danych i modeli trzeba wynegocjować z góry.
Firma analityczna DataWizard opisuje przykład dostawcy usług finansowych, który przy wyborze platformy AI wynegocjował klauzulę wyjścia uruchamianą automatycznie po naruszeniu umowy SLA w ciągu 120 dni, umowę depozytową (escrow) dla artefaktów modelu oraz jasne limity kosztów transferu danych na pierwszy rok współpracy. Rezultatem był przewidywalny koszt, możliwy do udowodnienia stan zgodności regulacyjnej i realna droga wyjścia, gdyby coś poszło nie tak.
Praktyczna lista tego, co powinno się znaleźć w każdej umowie z dostawcą systemu AI:
- Jasny zakaz wykorzystywania danych firmy do trenowania modeli bez pisemnej zgody
- Jednoznaczne określenie własności wyników generowanych przez system
- Limit odpowiedzialności adekwatny do realnego ryzyka, nie tylko do wartości opłaty miesięcznej
- Oświadczenie dostawcy o testowaniu systemu pod kątem stronniczości i błędów
- Pełna lista podwykonawców przetwarzających dane wraz z warunkami przetwarzania
- Ścieżka wyjścia z umowy i przenoszalność danych na wypadek zmiany dostawcy
- Zapis o obowiązku informowania klienta o zmianach regulacyjnych dotyczących AI Act
Co to oznacza dla polskich firm
Dla firm działających w Polsce te same pytania trzeba zadać dwa razy: raz z perspektywy prawa cywilnego, drugi raz z perspektywy AI Act. Kodeks cywilny nie przewiduje odrębnego reżimu odpowiedzialności za błędy sztucznej inteligencji, więc stosuje się ogólne zasady odpowiedzialności kontraktowej, w tym artykuł 471, zgodnie z którym dłużnik odpowiada za szkodę wynikłą z nienależytego wykonania zobowiązania, chyba że wykaże, że nie ponosi za to winy.
To rodzi konkretne pytanie praktyczne: czy niedostosowanie systemu do wymogów AI Act można uznać za okoliczność zwalniającą dostawcę z kary umownej. Terminy wejścia w życie AI Act są znane od 2024 roku, więc trudno tu mówić o sile wyższej, skoro dostawca miał czas się przygotować.
Kolejny problem dotyczy własności intelektualnej kodu tworzonego z pomocą AI. Jeśli w umowie wdrożeniowej znajdzie się standardowa klauzula przenoszenia praw autorskich do kodu źródłowego, a część tego kodu została wygenerowana przez model, firma zamawiająca może w praktyce przejmować prawa, których dostawca sam nie posiada w pełnym zakresie. Dlatego umowa wdrożeniowa w polskich realiach powinna rozróżniać warstwę kodu napisanego przez ludzi, objętą pełną ochroną praw autorskich, od warstwy kodu wygenerowanego przez AI, chronionej raczej jako tajemnica przedsiębiorstwa.
Warto też pamiętać, że AI Act rzadko trafia do polskich firm jako jedyny punkt odniesienia. Nakłada się na niego RODO, unijny Data Act, dyrektywa NIS 2 oraz krajowe przepisy o zwalczaniu nieuczciwej konkurencji. Sprawdzenie zgodności z samym AI Act to dopiero jeden fragment pełnej analizy prawnej umowy.
Skala problemu w liczbach
Presja regulacyjna i biznesowa na te klauzule rośnie razem ze skalą wdrożeń. Raport Crowdin za 2026 rok, cytowany przez Bluente, pokazuje, że 88,8 procent zespołów korporacyjnych wymaga dziś od dostawców albo modelu przechowywania własnych kluczy szyfrujących, albo restrykcyjnych umów o zerowym przechowywaniu danych. Z kolei odsetek spółek z indeksu S&P 500, które w swoich raportach rocznych 10-K wskazują AI jako istotne ryzyko biznesowe, wzrósł z 12 procent w 2023 roku do 72 procent obecnie.
Gartner prognozuje, że do 2026 roku 40 procent aplikacji korporacyjnych będzie zawierać agentów AI dedykowanych do konkretnych zadań, wobec mniej niż 5 procent jeszcze kilka lat temu, jak przywołuje Lexology w swojej analizie ośmiu kluczowych klauzul kontraktowych.
Te liczby tłumaczą, dlaczego dział prawny przestaje być ostatnim etapem zakupu systemu AI, a staje się pierwszym.
Źródła i metodologia
Artykuł powstał na podstawie analizy redakcji AIPORT.pl oraz materiałów źródłowych, w tym 10 Critical Clauses for AI Vendor Contracts kancelarii Gouchev Law, Key Considerations in AI-Related Contracts kancelarii Byte Back, Eight essential clauses for AI contracts na Lexology, AI Vendor Contract Clauses Aona AI, AI Vendor Contract Template GroveAI, AI Translation Vendor Security Checklist 2026 Bluente oraz AI Platform Vendor Checklist DataWizard. Komentarz o polskim kontekście prawnym oparty na analizie Umowa wdrożeniowa IT a AI Act kancelarii KTZR. Komentarz redakcyjny i ocena kontekstu branżowego: Piotr Wolniewicz, Redaktor Naczelny AIPORT.pl. Artykuł będzie aktualizowany w miarę pojawiania się nowych wytycznych dotyczących wdrożenia AI Act w umowach z dostawcami systemów sztucznej inteligencji.
