Lista kontrolna umowy powierzenia dla infrastruktury AI

25 pytań weryfikacyjnych dla umów powierzenia przetwarzania danych przy agentach AI.

Umowa powierzenia przetwarzania danych dla infrastruktury AI musi obejmować dziesięć obszarów, których standardowe umowy SaaS nie regulują: polityki logowania promptów, separację środowisk (dev/staging/prod), łańcuchy dostawców modeli, przetwarzanie danych in-flight vs. at-rest, ochronę danych embeddingów RAG, dostęp z krajów trzecich do danych produkcyjnych, zgodność z tajemnicą zawodową, tokenizację PII, ścieżki audytu Decision Layer i weryfikowalność środków technicznych. Ta lista kontrolna przekłada dziesięć luk na 25 konkretnych pytań weryfikacyjnych.

Szczegółową analizę dziesięciu luk znajdziesz w artykule: Umowa powierzenia dla agentów AI: Czego brakuje w standardowej umowie.

A — Kategorie danych i cele przetwarzania

1

Czy treści promptów i odpowiedzi modeli są wymienione jako odrębne kategorie danych w umowie?

2

Czy ustalono, że odpowiedzialność za klasyfikację treści leży po stronie organizacji, a nie dostawcy?

3

Czy embeddingi/wektory są sklasyfikowane jako potencjalnie dane osobowe?

4

Czy umowa przewiduje regulację dla szczególnych kategorii danych z art. 9 RODO, które mogą powstać przez wprowadzenia użytkowników?

B — Logowanie i monitoring

5

Czy logowanie treści żądań/odpowiedzi w środowisku produkcyjnym jest wyłączone?

6

Jakie metadane są rejestrowane (kody statusu, czasy odpowiedzi, identyfikatory żądań)?

7

Czy logowanie debugowe w produkcji jest weryfikowalnie wyłączone?

8

Czy ślady stosu i komunikaty błędów są skonfigurowane tak, aby dane treściowe nie trafiały do logów?

9

Czy weryfikacja ustawień logowania jest częścią procesu wydawniczego?

C — Separacja środowisk i dostęp

10

Czy istnieją oddzielne środowiska (dev, staging, prod) z odrębnymi politykami danych?

11

Czy środowiska dev/staging zawierają wyłącznie dane syntetyczne lub zanonimizowane?

12

Czy dostęp produkcyjny jest ograniczony do autoryzowanych ról w UE/EOG?

13

Czy istnieje udokumentowana procedura wyjątkowa dla przypadków wsparcia z dostępem do danych?

D — Dostawcy modeli i podwykonawcy

14

Czy rozgraniczenie jest jasne: Którzy dostawcy są podwykonawcami przetwarzania dostawcy, a którzy działają w tenancie organizacji?

15

Czy przechowywanie treści u dostawców modeli jest wyłączone?

16

Czy wykluczenie wykorzystania do celów treningowych jest udokumentowane umownie?

17

Gdzie znajdują się endpointy modeli (region UE, US, inne)?

E — Przechowywanie i usuwanie danych

18

Czy ustalono, gdzie przechowywane są trwałe dane treściowe (baza danych, region, dostawca)?

19

Jaka retencja kopii zapasowych obowiązuje i jak traktowane są usunięte dane w kopiach zapasowych?

20

Czy pojedynczy użytkownik może samodzielnie usunąć swoje dane w aplikacji?

F — Branże regulowane

21

Czy umowa zawiera regulację zgodności z tajemnicą zawodową (art. 266 Kodeksu karnego lub odpowiednich przepisów branżowych)?

22

Czy zobowiązania do poufności obejmują wszystkie osoby mające dostęp?

23

Czy tokenizacja PII jest dostępna jako moduł opcjonalny?

G — Governance i weryfikowalność

24

Czy ścieżka audytu dla decyzji agentów jest zakotwiczona jako element umowy?

25

Czy środki techniczne i organizacyjne mogą być wykazane na żądanie (dokumentacja konfiguracji, zanonimizowane wyciągi z logów)?

Ta lista kontrolna to katalog wymagań z perspektywy architektury i governance. Nie stanowi porady prawnej. Ocena prawna i formalna ocena umowy powierzenia to odpowiedzialność działu prawnego administratora lub zewnętrznych doradców.

Często zadawane pytania

Czy ta lista kontrolna zastępuje poradę prawną?

Nie. Lista kontrolna to katalog wymagań z perspektywy architektury i governance. Pomaga zadawać właściwe pytania dostawcy AI. Ocena prawna pozostaje odpowiedzialnością działu prawnego.

Dla jakiej wielkości organizacji ta lista jest istotna?

Dla każdej organizacji wdrażającej agentów AI z dostępem do danych osobowych — niezależnie od wielkości. Pytania dotyczące tajemnicy zawodowej i rady zakładowej są branżowe i można je pominąć, jeśli nie mają zastosowania.

Skąd pochodzą 25 pytań?

Z praktycznego doświadczenia z projektami infrastruktury Enterprise AI. Każde pytanie dotyczy luki, której standardowe umowy SaaS nie pokrywają w kontekście infrastruktury AI. Szczegółowa analiza znajduje się w artykule magazynowym.

Jak Twoja infrastruktura AI wypada w sprawdzianie umowy powierzenia?

Sprawdzamy Twoje rozwiązanie pod kątem 25 wymagań.

Umów rozmowę