Przejdź do treści

Lista kontrolna umowy powierzenia dla infrastruktury AI

25 pytań weryfikacyjnych dla umów powierzenia przetwarzania danych przy agentach AI.

Wybór spośród ponad 5 000 projektów w 25 latach tworzenia oprogramowania

Airbus Volkswagen Shell Renault Evonik Vattenfall Philips KPMG

Umowa powierzenia przetwarzania danych dla infrastruktury AI musi obejmować dziesięć obszarów, których standardowe umowy SaaS nie regulują: polityki logowania promptów, separację środowisk (dev/staging/prod), łańcuchy dostawców modeli, przetwarzanie danych in-flight vs. at-rest, ochronę danych embeddingów RAG, dostęp z krajów trzecich do danych produkcyjnych, zgodność z tajemnicą zawodową, tokenizację PII, ścieżki audytu Decision Layer i weryfikowalność środków technicznych. Ta lista kontrolna przekłada dziesięć luk na 25 konkretnych pytań weryfikacyjnych.

Szczegółową analizę dziesięciu luk znajdziesz w artykule: Umowa powierzenia dla agentów AI: Czego brakuje w standardowej umowie.

A - Kategorie danych i cele przetwarzania

1

Czy treści promptów i odpowiedzi modeli są wymienione jako odrębne kategorie danych w umowie?

2

Czy ustalono, że odpowiedzialność za klasyfikację treści leży po stronie organizacji, a nie dostawcy?

3

Czy embeddingi/wektory są sklasyfikowane jako potencjalnie dane osobowe?

4

Czy umowa przewiduje regulację dla szczególnych kategorii danych z art. 9 RODO, które mogą powstać przez wprowadzenia użytkowników?

B - Logowanie i monitoring

5

Czy logowanie treści żądań/odpowiedzi w środowisku produkcyjnym jest wyłączone?

6

Jakie metadane są rejestrowane (kody statusu, czasy odpowiedzi, identyfikatory żądań)?

7

Czy logowanie debugowe w produkcji jest weryfikowalnie wyłączone?

8

Czy ślady stosu i komunikaty błędów są skonfigurowane tak, aby dane treściowe nie trafiały do logów?

9

Czy weryfikacja ustawień logowania jest częścią procesu wydawniczego?

C - Separacja środowisk i dostęp

10

Czy istnieją oddzielne środowiska (dev, staging, prod) z odrębnymi politykami danych?

11

Czy środowiska dev/staging zawierają wyłącznie dane syntetyczne lub zanonimizowane?

12

Czy dostęp produkcyjny jest ograniczony do autoryzowanych ról w UE/EOG? (Zobacz też: wymagania Cert-Ready)

13

Czy istnieje udokumentowana procedura wyjątkowa dla przypadków wsparcia z dostępem do danych?

D - Dostawcy modeli i podwykonawcy

14

Czy rozgraniczenie jest jasne: Którzy dostawcy są podwykonawcami przetwarzania dostawcy, a którzy działają w tenancie organizacji?

15

Czy przechowywanie treści u dostawców modeli jest wyłączone?

16

Czy wykluczenie wykorzystania do celów treningowych jest udokumentowane umownie?

17

Gdzie znajdują się endpointy modeli (region UE, US, inne)?

E - Przechowywanie i usuwanie danych

18

Czy ustalono, gdzie przechowywane są trwałe dane treściowe (baza danych, region, dostawca)?

19

Jaka retencja kopii zapasowych obowiązuje i jak traktowane są usunięte dane w kopiach zapasowych?

20

Czy pojedynczy użytkownik może samodzielnie usunąć swoje dane w aplikacji?

F - Branże regulowane

21

Czy umowa zawiera regulację zgodności z tajemnicą zawodową (art. 266 Kodeksu karnego lub odpowiednich przepisów branżowych)?

22

Czy zobowiązania do poufności obejmują wszystkie osoby mające dostęp?

23

Czy tokenizacja PII jest dostępna jako moduł opcjonalny?

G - Governance i weryfikowalność

24

Czy ścieżka audytu dla decyzji agentów jest zakotwiczona jako element umowy?

25

Czy środki techniczne i organizacyjne mogą być wykazane na żądanie (dokumentacja konfiguracji, zanonimizowane wyciągi z logów)?

Ta lista kontrolna to katalog wymagań z perspektywy architektury i governance. Nie stanowi porady prawnej. Ocena prawna i formalna ocena umowy powierzenia to odpowiedzialność działu prawnego administratora lub zewnętrznych doradców.

Często zadawane pytania

Czy ta lista kontrolna zastępuje poradę prawną?

Nie. Lista kontrolna to katalog wymagań z perspektywy architektury i governance. Pomaga zadawać właściwe pytania dostawcy AI. Ocena prawna pozostaje odpowiedzialnością działu prawnego.

Dla jakiej wielkości organizacji ta lista jest istotna?

Dla każdej organizacji wdrażającej agentów AI z dostępem do danych osobowych - niezależnie od wielkości. Pytania dotyczące tajemnicy zawodowej i rady zakładowej są branżowe i można je pominąć, jeśli nie mają zastosowania.

Skąd pochodzą 25 pytań?

Z praktycznego doświadczenia z projektami infrastruktury Enterprise AI. Każde pytanie dotyczy luki, której standardowe umowy SaaS nie pokrywają w kontekście infrastruktury AI. Szczegółowa analiza znajduje się w artykule magazynowym.

Jak Twoja infrastruktura AI wypada w sprawdzianie umowy powierzenia?

Sprawdzamy Twoje rozwiązanie pod kątem 25 wymagań.

Umów rozmowę