Aktualność · Dane, AI i dostęp do prawa · ok. 7 min czytania

Cała egzekucja RODO w jednym konektorze do Claude. Pytanie, komu zadajesz pytanie

Na LinkedIn przewinęła się zapowiedź, która brzmi jak prezent dla każdego, kto żyje z ochrony danych. Belgijska kancelaria privacy Mr. Franklin uruchomiła The DPO - przeszukiwalną bazę ponad 6 400 europejskich decyzji egzekucyjnych RODO, za darmo, bez konta i bez paywalla. Decyzje, które zwykle giną w PDF-ie, do którego nikt już nie wraca, są w jednym miejscu, z podsumowaniem i linkiem do źródła, w kilkunastu językach. A na deser: bazę można podpiąć pod Claude przez konektor MCP. Sprawdziłem to, na ile dało się sprawdzić bez logowania.

Aktualne na 2026-06-03. Narzędzie jest dobre. Dlatego warto je obejrzeć z dwóch stron, których pochwalna zapowiedź nie pokazuje.

Co się pojawiło

Punkt wyjścia to wpis Oliviera Sustroncka, który zaanonsował premierę The DPO autorstwa Mr. Franklin, kancelarii privacy z biurami w Brugii i Lizbonie. Teza jest sympatyczna i prawdziwa: decyzje organów nadzorczych „znikają w PDF-ie, którego nikt już nigdy nie znajdzie”, a ta baza zbiera je w jedno przeszukiwalne miejsce, bezpłatnie.

Liczby, które podają twórcy, robią wrażenie: ponad 6 400 decyzji, łącznie około 6,5 miliarda euro kar, organy z całej Unii, kilkanaście języków i codzienna aktualizacja. Tu drobna uczciwość wobec źródeł: zasięg geograficzny opisywany jest na dwa sposoby - we wpisie pada „34 organy z 29 państw EU/EOG”, na stronie głównej „27 krajowych organów nadzorczych plus TSUE i EROD”. Niezależnie od tego, jak liczyć organy, skala jest realna i obejmuje całą Unię oraz Islandię i Norwegię. Do bazy doklejono newsletter, artykuły analityczne i narzędzie do oceny ryzyka naruszeń.

Najciekawsza dla mnie jest jednak nie sama baza, tylko sposób dostępu. The DPO wystawia się jako konektor MCP dla Claude. Czyli ten sam mechanizm, na którym sami budujemy nasze narzędzia: agent dostaje narzędzie, woła je w trakcie pracy i wraca z odpowiedzią. To pierwszy raz, gdy widzę publiczną, prawniczą bazę danych podaną wprost jako MCP, do podpięcia pod własnego agenta.

Sprawdziłem, na ile to realne

Skoro o weryfikacji mówimy przy każdej okazji, nie wypadało uwierzyć na słowo. Konektor wymaga logowania przez magic link na e-mail, więc pełnego, zalogowanego testu z tej maszyny nie domknąłem. Ale samego endpointu nikt nie chowa, więc zapukałem do niego bez logowania, żeby zobaczyć, jak jest zbudowany.

Serwer odpowiada pod thedpo.eu/mcp i zachowuje się dokładnie tak, jak powinien porządnie postawiony konektor. Odbija żądanie bez tokenu kodem 401 i odsyła do standardowego punktu odkrywania OAuth. Pełny flow to OAuth 2.1: dynamiczna rejestracja klienta, wymiana kodu z PKCE, tokeny odświeżane, scope'y nazwane wprost mcp:read oraz mcp:advice. Twórcy zapowiadają pięć narzędzi: generator porad z cytatami, wyszukiwanie semantyczne, wyszukiwanie po konkretnym artykule RODO, pełny szczegół decyzji z kodem ECLI i analizę porównawczą między jurysdykcjami. Backend, sądząc po nagłówkach bezpieczeństwa strony, stoi na Supabase.

Wniosek z pukania do drzwi: to nie prowizorka. Autoryzacja jest po stronie serwera, zgodna ze standardem, a nie doklejona na kolanie. To pierwszy, dobry sygnał. Drugi sygnał dotyczy już nie tego, jak baza jest zbudowana, tylko czym ją karmisz.

Pierwszy hak: streszczenie decyzji to nie decyzja

Twórcy piszą wprost, uczciwie, że podsumowania, analizy i tłumaczenia są generowane przez AI. To nie zarzut, to deklaracja, i należy ją docenić. Ale dla prawnika ma ona konkretną konsekwencję roboczą. Streszczenie wygenerowane przez model jest wskazówką, gdzie szukać, a nie cytatem, który można wkleić do pisma. Między „model tak streścił tę decyzję” a „tak brzmi ta decyzja” leży cała przepaść, którą w MateMatic nazywamy halucynacją: model potrafi napisać zdanie gładkie, spójne i nieprawdziwe, a po polsku, w tłumaczeniu maszynowym, ryzyko subtelnego przesunięcia sensu rośnie.

Stąd reguła, której trzymamy się przy każdym narzędziu tego typu. Baza taka jak The DPO jest znakomita do jednej rzeczy: do znalezienia decyzji i jej kodu ECLI. Od tego momentu cytujesz źródło, nie streszczenie. Wyszukiwarka prowadzi Cię do dokumentu, dokument czytasz sam. Ta kolejność jest nienegocjowalna w piśmie, które idzie do klienta albo do organu.

Drugi hak: Twoje pytanie też jest daną

Tu dochodzimy do rzeczy, której pochwalny repost nie zauważa, a która jest sednem. Gdy podpinasz cudzy konektor MCP pod swojego agenta, w stronę dostawcy wędruje nie tylko kliknięcie. Wędruje treść Twojego zapytania. A zapytanie prawnika rzadko brzmi „pokaż kary za brak DPIA”. Częściej brzmi jak fragment sprawy: opisujesz sytuację, branżę, rodzaj naruszenia, czasem detal, po którym da się rozpoznać, o kogo chodzi.

W anglosaskiej dyskusji to byłby spór o poufność. W naszej ramce dochodzi narzędzie, którego ta dyskusja nie używa: ograniczenie celu z art. 5 ust. 1 lit. b RODO. Dane sprawy powierzono Ci w jednym celu - prowadzenia tej sprawy. „Wpiszę okoliczności do zewnętrznej wyszukiwarki, żeby poszukać orzecznictwa” bywa celem zgodnym, ale tylko dopóki zapytanie nie zaczyna nieść danych klienta poza kancelarię. Jeśli zaczyna, to osobne przetwarzanie, u osobnego podmiotu, z osobnym pytaniem o powierzenie z art. 28 RODO i o to, gdzie fizycznie leży zapytanie po drodze. Nad tym wszystkim, jak zawsze, tajemnica zawodowa, która nie zna wyjątku „bo szukałem orzecznictwa”.

Z bazą danych jest jak z wyszukiwarką: darmowy dostęp do treści to jedno, a to, co sam wpisujesz w okienko, to drugie. Pierwsze jest prezentem. Drugie jest daną, która wychodzi. Pisz zapytania tak, jakby czytał je ktoś z drugiej strony stołu.

Przy okazji: kancelaria, która rozdaje bazę

Warto zauważyć model, bo widzieliśmy go już kilka razy. Kancelaria nie sprzedaje bazy. Rozdaje ją za darmo, a buduje na niej rozpoznawalność, newsletter i lejek do doradztwa. Twórcy zapowiadają, że po czerwcu 2026 wejdzie poziom darmowy z limitem (trzy wyszukiwania miesięcznie) i płatny Pro za dziesięć euro miesięcznie. To ta sama mechanika, którą opisywaliśmy przy innych graczach: wiedza jako narzędzie pozyskania, nie jako produkt na półce. Dla kancelarii budujących własną widoczność to dobry, godny podpatrzenia ruch. Dla użytkownika oznacza tyle, że „darmowe” warto czytać razem z „kto za tym stoi i co z tego ma”.

Osąd zostawiamy Wam

Nie napiszemy, że to narzędzie świetne ani że to ryzyko. Bo jest jednym i drugim, zależnie od tego, jak go użyjesz. Użyte jako szybka mapa europejskiej egzekucji RODO, prowadząca do źródeł, które potem czytasz sam, jest realnym ułatwieniem i sami pewnie z niego skorzystamy. Użyte jako wyrocznia, której streszczenia wkleja się do pisma, albo jako okienko, w które wsypuje się okoliczności sprawy, zamienia się w dwa różne kłopoty naraz.

Zostawiamy więc kilka pytań do zadania sobie samemu, zanim podepniesz kolejny konektor. Czy cytuję streszczenie, czy dokument spod ECLI. Czy moje zapytanie niesie dane klienta poza kancelarię, czy tylko abstrakcyjną kwestię prawną. Komu trafia treść mojego pytania i co dostawca może z nią zrobić. I czy istnieje wariant, w którym narzędzie pracuje, a to, czego szukam, nie staje się cudzą informacją. Dorzucimy tylko jedno, bo to fakt, nie ocena: taki wariant istnieje, a różnica między „darmowe” a „bezpieczne” to nie to samo słowo. Osąd zostawiamy Wam.

Co MateMatic wnosi

Audyt konektorów i narzędzi AI: co wychodzi z Twojej kancelarii, gdy pytasz

Sprawdzamy, które narzędzia i konektory AI łączysz ze swoją pracą, co ich regulaminy i umowy powierzenia mówią o danych, gdzie fizycznie wędruje treść zapytania i co jest objęte tajemnicą zawodową. Projektujemy obieg, w którym wyszukiwarka prowadzi do źródła, a okoliczności sprawy nie opuszczają kancelarii. Wariant najbardziej niezależny: model i wyszukiwanie uruchamiane lokalnie, na własnej maszynie.

Skontaktuj się →
Wiesław Mazur - MateMatic
Bezpieczna architektura AI dla kancelarii · matematicsolutions.com
#The-DPO #Mr-Franklin #egzekucja-RODO #baza-decyzji #MCP #Claude #OAuth #halucynacje #grounding #RODO-cel-przetwarzania #RODO-art-28 #tajemnica-zawodowa #zero-cloud #LegalTech

Źródła

  • Olivier Sustronck, wpis na LinkedIn z zapowiedzią The DPO autorstwa Mr. Franklin (data dostępu 2026-06-03): linkedin.com
  • The DPO - strona główna bazy decyzji RODO i strona konektora MCP (Mr. Franklin, Brugia/Lizbona): thedpo.eu oraz thedpo.eu/mcp
  • Parametry techniczne konektora zweryfikowane przez autora 2026-06-03 bez logowania: endpoint thedpo.eu/mcp odpowiada 401 bez tokenu i wskazuje metadane OAuth (well-known/oauth-protected-resource oraz oauth-authorization-server); flow OAuth 2.1 z rejestracją klienta, PKCE (S256), grantami authorization_code i refresh_token oraz scope'ami mcp:read i mcp:advice. Liczby decyzji, kar i organów oraz model cenowy podajemy za twórcami; nie weryfikowaliśmy jakości streszczeń generowanych przez AI.
  • Rozporządzenie 2016/679 (RODO) - art. 5 ust. 1 lit. b (ograniczenie celu) oraz art. 28 (powierzenie przetwarzania): eur-lex.europa.eu (CELEX 32016R0679)
  • Ustawa Prawo o adwokaturze - art. 6 (tajemnica adwokacka); ustawa o radcach prawnych - art. 3 (tajemnica radcy prawnego).

Oceny w tej aktualności są stanowiskiem MateMatic, nie zastępują doradztwa prawnego i nie stanowią stanowiska PUODO, NRA ani KRRP. The DPO ani Mr. Franklin nie są klientem MateMatic; nie łączy nas z nimi żadna relacja handlowa. Dane liczbowe i opis funkcji przytaczamy za materiałami twórców.