O czym jest ten playbook

Czwarty materiał Kenneya w bibliotece MateMatic w 14 dni. Dlatego format Aktualności signal-boost, nie kolejny tom Bazy Wiedzy. Trzy wcześniejsze - TOM 001 Governing Agents, TOM 045 Runtime Enforcement, TOM 056 Governing Intelligence - tworzą serię trzech warstw: agenty, runtime, atlas regulacyjny. Ten Insight Report jest czwartą warstwą - praktycznym playbookiem - ale nie zasługuje na własny tom; zasługuje na cherry-pick i przekazanie konkretów dalej.

Konstrukcja dokumentu jest zorganizowana w pięciu częściach. Część I (rozdziały 1-7) - uniwersalne wymogi: AI Discovery and Inventory, Selecting the Right Licensing Tier, Data Processing Agreement, Procurement Pathways, Sub-Processor Disclosure, Five Required Governance Documents, Five-Layer AI Governance Stack. Część II (rozdziały 8-12) - landscape regulacyjny USA stanowy i federalny plus EU i UK. Część III (rozdziały 13-18) - branże regulowane, włącznie z legal i sektorem publicznym. Część IV (rozdziały 19-22) - reporting, ocena ryzyka, audyt. Część V (rozdziały 23-25) - typowe luki, 90-dniowy plan i ostatni rozdział, który nie należy do compliance.

Licencja: proprietary z wyjątkiem dystrybucji - "may be distributed, disseminated, and shared so long as the materials are not sold. Digital 520 must be properly attributed. This document may not be edited in any way without prior written permission". Hostowanie w naszej Bazie Wiedzy odpada (klauzula "no editing" wykluczałaby integrację brand-style). Podajemy link do oryginału.

Cztery checklisty do biurka kancelarii

Klauzul DPA
12 wymaganych + 6 AI-specific
Governance documents
5 obowiązkowych
Najczęstszych gaps
12 z konkretną remediation
Plan compliance
90 dni · 12 tygodni
Highest-leverage three
3 akcje na ten kwartał
Total objętość
58 stron · 25 rozdziałów
1
Dwanaście klauzul DPA dla dostawców generative AI (rozdz. 3)

Purpose limitation (zakaz "service improvement" jako otwartego wykorzystania), no training on customer data (express written prohibition), cross-border transfer assessment, security commitments z TOMs i SOC 2 Type II / ISO 27001, incident notification max 72 godzin, audit rights, data subject request assistance, deletion on termination z certyfikacją, confidentiality of personnel, indemnification i liability cap (multiple of fees, nie capped at fees). Plus sześć AI-specific addenda: output ownership, hallucination/accuracy disclaimers, transparency obligations (model identifier, version, change notifications), bias testing methodology, logging i traceability, EU AI Act alignment. Załączone sample contract clauses - gotowe do adaptacji do polskiego prawa.

2
Pięć obowiązkowych governance documents (rozdz. 6)

Acceptable Use Policy (sekcje: scope, definicje, prohibited use cases jak generation legal advice bez review, required practices, reporting obligations; approver CEO/COO/General Counsel, owner Privacy Officer / AI Governance Lead). Data Classification Scheme (4-tier: Public/Internal/Restricted/Prohibited; field-level mapping per major system). Approved Tools List (kwartalny review, sub-processors disclosed). AI Governance Charter and RACI (named AI Governance Lead z decision-rights authority, escalation path do board). AI-Extended DSAR i Incident Response Procedures z five-surface reach (database, prompt log, output cache, embedding index, observability) - to ostatnie jest najmocniejszą innowacją operacyjną w całym dokumencie.

3
Dwanaście najczęstszych gaps z remediation (rozdz. 23)

Consumer-tier accounts in production use, missing DPA/BAA dla material vendors, privacy notices nie odzwierciedlające AI processing, sub-processor list incomplete or stale, DSAR process nie sięgający AI surfaces, brak data classification scheme, brak named AI governance owner, embedded AI features on by default i undisclosed, brak risk assessment dla material use cases, incident response runbook bez AI scenarios, brak bias testing dla high-risk AI, shadow AI unmanaged. Każdy gap sparowany z konkretną remediation action. "Jeśli trzy lub więcej obecne w twoim środowisku, sprawa jest opóźniona" - bezpośrednie zdanie z dokumentu.

4
90-dniowy plan z tygodniowym harmonogramem (rozdz. 24)

Tygodnie 1-4 (Visibility): discovery przez SSO, DNS, expense, attestation; reconcile sources; license tier match; charter governance i nazwanie ownera. Tygodnie 5-8 (Documents): draft AUP, Data Classification, Approved Tools List, AI extensions DSAR i incident response. Tygodnie 9-12 (Operations): risk assessment dla top trzech use cases, sub-processor list publiczna i dla klientów, tabletop incident response, audit-readiness self-assessment. Highest-Leverage Three jeśli trzy akcje są możliwe w tym kwartale: stop consumer-tier business use, execute DPA lub BAA dla każdego dostawcy przetwarzającego dane osobowe, name AI governance owner z decision-rights authority. To jest jedyny fragment, który warto zacytować na zarządzie kancelarii bez tłumaczenia.

5
Sub-processor disclosure i procurement pathways (rozdz. 4-5)

Trzy ścieżki procurement (direct vendor, hyperscaler middleware, reseller) z różnymi anchor contracts, sub-processor relationships, residency control i audit posture. Required artifacts dla direct vendor procurement: Master Services Agreement, Data Processing Agreement z 12 klauzulami, BAA jeśli PHI, security questionnaire response lub current SOC 2 Type II / ISO 27001 attestation, sub-processor list current as of contract date z notice mechanism, configuration record z udokumentowanymi ustawieniami retention, region, training opt-out, audit logging, SSO i SCIM integration. Vendor-specific notes dla OpenAI, Anthropic, Google, AWS, Azure - przydatny inwentarz, choć wymaga aktualizacji co 60 dni.

Trzyfilarowy filtr MateMatic na świeżych szablonach

Dokument jest gęsty od artefaktów - i każdy z nich wymaga warstwy. Czytamy każdą z trzech stron jednocześnie - co bierzemy do polskiej kancelarii, co flagujemy, czego nie endorsujemy.

BIERZEMY

12 klauzul DPA i 6 AI-specific addenda jako szablon do adaptacji - z mappingiem na art. 28 RODO (procesor) i art. 26-27 EU AI Act (deployer obligations). Five-surface reach DSAR (database, prompt log, output cache, embedding index, observability) jako gotową listę pól, których RODO art. 15-17-18 wymaga, a większość polskich kancelarii nie inwentaryzuje. 12 najczęstszych gaps z remediation jako lustrzaną checklistę audytu wewnętrznego MateMatic - prawie każdy gap mapuje się jeden-do-jednego na art. 32 RODO lub art. 9 AI Act. Highest-Leverage Three jako rekomendację do zarządu kancelarii - trzy konkretne akcje na ten kwartał, bez fluffu.

FLAGUJEMY

US-centryzm kontraktowy: DPA + BAA (Business Associate Agreement, US HIPAA), CCPA service-provider terms, sectoral law amerykańskie. Dla polskiej kancelarii podstawą pozostaje art. 28 RODO i krajowe przepisy o świadczeniu usług drogą elektroniczną. Five-Layer AI Governance Stack w rozdziale 7 to powtórzenie modelu, który omawialiśmy w TOM 045 (Runtime Enforcement) - kto ma już TOM 045, nie potrzebuje rozdziału 7 tutaj. Daty EU AI Act sprzed Omnibus z 7 maja 2026 - dokument datowany "May 2026" prawdopodobnie nie uwzględnia jeszcze przesunięcia Annex III na 2 grudnia 2027 (zob. Aktualność z 7 maja 2026) - czytaj z aktualizacją. Liability cap "multiple of fees" - w polskim prawie cywilnym wymaga osobnego ujęcia w kontekście odpowiedzialności kontraktowej i deliktowej (interpretacja MateMatic, nie stanowisko NRA ani KRRP).

NIE ENDORSUJEMY

Rozdziału 25 "Engaging Digital 520" jako legitymowanego compliance step. Compliance playbook nie powinien zamykać się rozdziałem o tym, gdzie kupić doradztwo od autora - ten rozdział to sales pitch, nie checklist. Pięć engagementów Digital 520 (Discovery and Gap Assessment 2-4 tygodnie, AI Governance Build 8-12 tygodni, Reference Architecture for Integration Boundary 4-8 tygodni, Audit-Readiness Preparation 4-6 tygodni, Fractional Chief AI Officer kwartalny retainer) jest informacją o ofercie autora, nie elementem playbooka. Czytelnik kancelarii powinien wiedzieć, że rozdziały 1-24 są neutralnym materiałem, a rozdział 25 jest reklamą - i uważać, by w rekomendacji wewnętrznej nie cytować ich jako tej samej kategorii. Jest to wzorcowy przykład tego, dlaczego MateMatic flaguje samopromocję inline w listach kuratorskich.

Cztery checklisty z 25 rozdziałów to bardzo dobry zysk. Płacimy za to czujnością na rozdział 25 - i pamięcią, że całość trzeba jeszcze zlokalizować do polskiego porządku prawnego.

Trzy pytania dla polskiej kancelarii w tym tygodniu

Niezależnie od tego, czy kancelaria jest dziś użytkownikiem AI, czy planuje wdrożenie - są trzy pytania, których odpowiedź zmienia się fundamentalnie po przeczytaniu tego playbooka:

  1. Czy DPA z naszymi dostawcami AI ma 12 klauzul Kenneya, czy mamy "zaakceptowane warunki dostawcy"? Jeśli odpowiedź to "podpisaliśmy ich standardowy DPA" - powinieneś go przeczytać z 12-klauzulową checklistą w jednej ręce i art. 28 RODO w drugiej. Gdzie 12 klauzul Kenneya brakuje, trzeba doczepić addendum - nie zostawić luki.
  2. Czy mamy named AI Governance Lead z decision-rights authority - czy temat AI rozkłada się między partnerami bez właściciela? Jeśli "wszyscy o tym myślą" - mamy gap nr 7 z listy Kenneya (No named AI governance owner). To jest pierwsze, co audyt zobaczy. Charter z RACI (rozdz. 6 item 4) jest jednorazową pracą - ale musi być wykonana, zanim kancelaria zatrudni pierwszego paralegala mającego dostęp do AI z aktami klienta.
  3. Czy nasz proces DSAR sięga five-surface reach - czy zatrzymuje się na bazie danych? Database to tylko jedna z pięciu powierzchni. Prompt log, output cache, embedding index, observability - wszystkie zawierają dane osobowe klienta i wszystkie podlegają art. 15-17-18 RODO. Większość polskich kancelarii korzystających z AI nie ma żadnej z czterech ostatnich w SOP DSAR. Jeden synthetic request testowy (klient pisze "usuńcie moje dane") obnaża to natychmiast.

Każde z tych pytań ma jedną poprawną odpowiedź na poziomie procesu. Brak procesu w którymkolwiek z trzech to nie luka prawna - to luka operacyjna, która ujawnia się przy pierwszym żądaniu klienta lub pierwszym audycie KRRP/NRA.

Powiązane materiały MateMatic

Atlas regulacyjny czterech jurysdykcji (tom flagowy serii Kenneya): TOM 056 - Atlas dla compliance officera. Runtime Enforcement i Five-Layer Stack: TOM 045. Cztery reżimy regulacyjne na agentach AI: TOM 001 - Governing Agents. EDPB szablon DPIA z mechanizmem baseline-eskalacja: TOM 054. EU AI Act Omnibus i przesunięcie terminów: Aktualność z 7 maja 2026. Stanford HAI LegalTech overlay z dziś: Aktualność z 9 maja 2026 rano.

Co MateMatic wnosi do tego tematu

Warsztat MateMatic "Lokalizacja DPA i pięciu governance documents do polskiego porządku prawnego" obejmuje dokładnie te trzy obszary. Lokalizacja 12 klauzul Kenneya plus 6 AI-specific addenda do art. 28 RODO i art. 26-27 EU AI Act, z polskim wzorcem umowy powierzenia jako kotwicą. Five governance documents jako szablon Karty Polityki AI Kancelarii - z mappingiem na Karta Etyki Adwokata, Kodeks Etyki Radcy Prawnego, ustawę o świadczeniu usług drogą elektroniczną, ustawę o krajowym systemie cyberbezpieczeństwa w nowelizacji NIS2. 12 najczęstszych gaps Kenneya jako checklista pierwszego audytu wewnętrznego - z polskimi instrumentami egzekucji per gap.

Deliverable po warsztacie: zlokalizowany szablon DPA z 12 klauzulami plus 6 AI addenda w polskim języku prawnym, gotowy do podpisania przez wspólnika. Pakiet pięciu governance documents w wersji polskiej z odniesieniami do KEA, KERP, art. 28 RODO i art. 9 AI Act. Audyt 12 najczęstszych gaps przeprowadzony w środowisku kancelarii z raportem zamknięcia luk. 90-dniowy plan zaadaptowany do polskich realiów - bez consumer-tier wersji rozważanych w US dokumencie. Pillary: Decyzja jako jednostka pracy + Stack zero-cloud. Interpretacje regulacyjne na poziomie warsztatu są stanowiskiem MateMatic - nie zastępują doradztwa prawnego.