Pomiń do treści głównej
CASE STUDY · KANCELARIA · KRAKÓW

Kancelaria Marka:
jak on-prem AI pomaga
w audycie RODO

Czas czytania: 9 min Autor:

Marek prowadzi 4-osobową kancelarię w Krakowie. Specjalizacja: healthcare i ochrona danych. Klienci to szpitale, kliniki i spółki medyczne. Jego problem: każdy klient pyta „czy korzystacie z AI w analizie umów”, a wszystkie cloud-owe narzędzia prawnicze wysyłają dane do USA. BezChmury zmienia tę matematykę.

Persona: Marek Nowak (ilustracyjna) Publikacja: 1 maja 2026 ~10 min czytania
Persona ilustracyjna - Marek Nowak, kancelaria w Krakowie MN
Persona ilustracyjna „Marek Nowak”. Postać i kancelaria są fikcyjne, służą wyłącznie celom edukacyjnym tego case study.
Persona ilustracyjna. „Marek Nowak” i jego kancelaria w Krakowie są fikcyjne - to nie jest realny klient ani wdrożenie BezChmury. Scenariusz jest wiarygodnym typem dla rynku polskich kancelarii healthcare + privacy w 2026 r., a wszystkie liczby UODO, AI Act i Schrems II pochodzą z publicznych źródeł. Liczbowe oszczędności (godziny, ROI) są szacunkami ilustracyjnymi, NIE pomiarem pojedynczego biura.
SEKCJA 1 · TŁO

Marek i jego kancelaria

Marek Nowak (38 lat) otworzył swoją kancelarię w Krakowie w 2019 r., po trzech latach praktyki w dużej warszawskiej kancelarii medycznej. Wybór niszy nie był przypadkowy: w 2018-2020 r. polski rynek prawniczy zaczął wyraźnie rozwarstwiać się na ekspertów healthcare + ochrona danych i wszystkich pozostałych. RODO weszło rok wcześniej, COVID dorzucił telemedycynę, a klienci medyczni zaczęli szukać prawników, którzy rozumieją zarówno strukturę szpitala, jak i art. 32 GDPR.

Dzisiaj zespół Marka liczy cztery osoby: on sam, dwóch prawników z aplikacji radcowskiej i jeden paralegal. Portfolio klientów: 12 szpitali publicznych i prywatnych, 8 klinik dentystycznych w Małopolsce i na Śląsku oraz 3 spółki medyczne z obszaru telemedycyny. Codzienność to audyty RODO, opinie prawne dotyczące wdrożeń nowych technologii (od chatbotów dla pacjentów po AI w diagnostyce obrazowej), DPIA dla wdrożeń wymienionych w art. 35 GDPR i reprezentacja klientów w postępowaniach przed UODO.

Rynek, na którym Marek konkuruje, ma konkretne ramy. Na koniec 2025 r. w Polsce było 56 415 radców prawnych (w tym 43 546 czynnych) oraz 29 349 adwokatów (w tym 23 613 czynnych) - łącznie 85 764 osób w dwóch głównych korporacjach (KIRP + NRA) (radcaprawny.kirp.pl). W niszy „healthcare + privacy” na 2025 r. w rankingach Legal 500 Poland mocno powtarzają się te same nazwy: CMS, DLA Piper, Rymarz Zdort Maruta, Kieltyka Gladkowski KG Legal i Baker McKenzie (legal500.com). Marek nie konkuruje z wielkimi warszawskimi kancelariami head-to-head - konkuruje z mniejszymi krakowskimi „healthcare boutique”, dla których cena godziny to 250-400 zł, a USP to bliskość klienta i głęboka specjalizacja.

Adopcja AI w prawie też jest realnym tłem. Według Future Ready Lawyer 2026 Wolters Kluwer (badanie 810 prawników z USA, Chin i 9 krajów europejskich, w tym Polski), 92% prawników korzysta z co najmniej jednego narzędzia AI, a 62% oszczędza dzięki AI 6-20% tygodniowego czasu pracy (wolterskluwer.com). Pytanie nie brzmi, czy Marek ma używać AI. Pytanie brzmi, jakiego AI ma używać, żeby nie wysłać danych pacjentów Szpitala Klinicznego w Krakowie do data center w Wirginii.

SEKCJA 2 · WYZWANIE

Klienci pytają o AI. Cloud nie pasuje.

Od 2024 r. Marek zaczął słyszeć od klientów medycznych nowe pytanie. „Marek, czy korzystacie z AI w analizie umów?”. Najpierw zadawały je spółki telemedyczne, potem prywatne kliniki, w końcu - w 2025 r. - szpitale publiczne. Kontekst był zwykle ten sam: konkurencyjne kancelarie reklamowały „AI-powered legal research”, a klienci chcieli wiedzieć, czy ich prawnik nadąża za rynkiem.

Marek przejrzał ofertę. Polski rynek Legal AI w 2026 r. ma już wyraźne nazwy: LEX Expert AI (Wolters Kluwer), Libra by Wolters Kluwer jako europejska platforma do researchu i draftingu oraz Beck-Noxtua dla środowiska Legalis (wolterskluwer.com, legalis.pl). Do tego globalna konkurencja: ChatGPT-4, Claude, Microsoft Copilot. Prawnicy w samorządzie szkolą się z praktycznego użycia tych narzędzi.

Każde z nich ma jeden wspólny mianownik: cloud. Zapytania o umowę, fragment dokumentacji medycznej albo korespondencji z klientem trafiają na serwery dostawcy, najczęściej w USA. To znaczy: każde zapytanie z danymi pacjenta wymaga oceny w świetle Schrems II i podstawy transferu danych poza Europejski Obszar Gospodarczy.

„The protection afforded by that mechanism must, in practice, be actionable.”

Tłumaczenie robocze: „Ochrona zapewniana przez ten mechanizm musi być w praktyce możliwa do wyegzekwowania.”

Źródło: sprawa C-311/18 (Schrems II), par. 184, CURIA, 16.07.2020.

Marek odmówił klientom: nie używał cloud AI dla danych pacjentów. To była decyzja słuszna, ale kosztowna. Konsekwencje były dwie. Po pierwsze - zespół tracił czas. Marek szacował, że 4 osoby × ok. 10 godzin tygodniowo (łącznie ~40 h/tydz.) szło na ręczną analizę umów medycznych, draftowanie DPIA i opinii. Po drugie - kancelaria zaczęła wyglądać „old-school”. Klient, który przyszedł na audyt swojego wdrożenia chatbota, słyszał „my analizujemy umowy ręcznie”, a u konkurencji „my mamy AI-powered review”. Argumentu „bo cloud to ryzyko transferu” nie wystarczył dla każdego.

Trzy konkretne przypadki z portfela:

  • Szpital z Krakowa (klient od 2020 r.): „Marek, nasz operator chatbota dla pacjentów chce, żebyśmy podpisali nową umowę powierzenia. Możesz sprawdzić, czy oni są DPF-certified i jak wygląda ich subprocesor list?”.
  • Klinika dentystyczna: „Marek, audyt naszej decyzji wdrożeniowej chatbota AI dla rejestracji pacjentów. Jest umowa, jest DPIA klienta - ale nasz IT ma wątpliwości co do legalności samego transferu.”
  • Spółka telemedyczna: „Pomóżcie z DPIA dla LLM-based diagnosis tool. Wdrażamy modułowy system AI, który ma sugerować lekarzom kierunki diagnozy na podstawie wywiadu pacjenta. Trzeba zaprojektować ocenę ryzyka pod art. 35.”

Wszystkie trzy przypadki wymagały od Marka eksperckiej wiedzy łączącej AI i RODO. Wszystkie trzy wymagały też, żeby Marek operował szybciej. Bez AI trudno mu było przerobić nawet jeden taki case w tygodniu, a klienci kolejkowali się dalej.

SEKCJA 3 · KONTEKST REGULACYJNY

Co mówią kary UODO i decyzje z lat 2024-2026

Marek śledzi UODO praktycznie codziennie. W jego niszy publiczne kary i decyzje to twardy benchmark argumentacyjny dla klienta. W zebranym materiale z lat 2024-2026 są cztery konkretne case'y, które Marek cytuje w opiniach.

  • Spółka medyczna - kara prawie 1,5 mln zł (komunikat UODO z 13.08.2024) za naruszenie bezpieczeństwa danych pacjentów i pracowników po ataku hakerskim. Zakres: dane o zdrowiu, PESEL, rachunki bankowe, dokumenty tożsamości i hasła (uodo.gov.pl).
  • SPZOZ w Pajęcznie - 40 000 zł za brak analizy ryzyka i niewystarczające przygotowanie przed atakiem ransomware (uodo.gov.pl/pl/138/3320).
  • Szpital Powiatowy we Wrześni - 29 648 zł za zbyt późne zgłoszenie naruszenia organowi i zawiadomienie osoby, której dane dotyczą (uodo.gov.pl/pl/138/3475).
  • Sanepid w Policach - 20 000 zł za brak właściwych zabezpieczeń i analizy ryzyka przy utracie pendrive'a z danymi zdrowotnymi (uodo.gov.pl/pl/138/4019).

Do tego decyzja DKN.5131.3.2025 z 2025 r., w której UODO żądał od administratora wykazania, czy przeprowadził analizę ryzyka niezbędną do oceny, czy incydent skutkował naruszeniem wymagającym zgłoszenia organowi i osobom, których dane dotyczą (orzeczenia.uodo.gov.pl). To kluczowa narracja dla Marka: organ nie pyta o modne hasła, tylko o udokumentowaną analizę ryzyka i procedury.

Oś czasu wybranych zdarzeń RODO i AI Act 2024-2026 Pięć punktów na osi: 13.08.2024 kara 1,5 mln zł, 2025 decyzja DKN.5131.3.2025, 02.08.2025 GPAI w AI Act, 02.08.2026 high-risk Annex III w AI Act, 2026 launch kancelarii Marka z BezChmury. 13.08.2024 UODO: 1,5 mln zł spółka medyczna 2025 UODO DKN.5131.3.2025 analiza ryzyka 02.08.2025 AI Act: GPAI obowiązki 2026 (Q1) Marek wdraża BezChmury Lite 02.08.2026 AI Act: high-risk Annex III
Daty AI Act zgodne z rozporządzeniem (UE) 2024/1689: GPAI od 02.08.2025, większość high-risk z Annex III od 02.08.2026.

Wniosek dla Marka jest jasny. Każdy klient medyczny pyta dziś o DPIA dla AI, więc to nie jest „bonus” praktyki, tylko jej rdzeń w 2026 r. Marek szacuje, że to ok. 30% jego pracy w 2026 r. Żeby to robić wiarygodnie, sam musi używać AI - ale takiego, który nie wysadza jego własnego compliance. Tak właśnie wygląda paradoks, który BezChmury rozwiązuje: chcesz doradzać klientom o AI? Używaj AI. Tylko niech to AI nie opuszcza Twojego laptopa.

SEKCJA 4 · WYBÓR

Trial 30 dni i audyt techniczny

Marek dowiedział się o BezChmury z networkingu. Compliance officer w jednej z jego spółek telemedycznych polecił mu projekt jako „polski BezChmury 11B z lokalną bazą faktów RODO i KSeF”. Podpisał się na trial 30 dni i zaczął testy z dwóch stron: prawnej (czy odpowiedzi są dokładne) i technicznej (czy aplikacja rzeczywiście nie wysyła nic do internetu).

Test 1: Schrems II par. 184. Marek poprosił BezChmury o cytat dosłowny. Aplikacja zwróciła zdanie z par. 184 wraz z URL CURIA i fact_id z lokalnej bazy SSoT. Cytat zgodny ze źródłem.

Test 2: decyzja DKN.5131.3.2025. Marek pyta: „Co to jest decyzja DKN.5131.3.2025?”. BezChmury: „decyzja UODO z 2025 r., podkreśla wymóg analizy ryzyka jako warunku oceny, czy incydent wymaga zgłoszenia (art. 32 i 35 GDPR). Source: uodo_facts:DKN_5131_3_2025”. Zgodne z publiczną treścią decyzji.

Test 3: audyt techniczny. Marek zaprosił IT consultanta klienta szpitala (osoba z certyfikatami CISA + CIPP/E). Zespół spędził pół dnia, obserwując działanie BezChmury w sandboxie sieciowym. Wireshark pokazał, że aplikacja po pierwszym uruchomieniu nie nawiązuje żadnego połączenia wychodzącego - model i baza wiedzy są w paczce instalacyjnej. Drugie sprawdzenie: licencja modelu. BezChmury 11B v3 to projekt SpeakLeash + ACK Cyfronet AGH na licencji Apache-2.0; weights publicznie dostępne na Hugging Face (huggingface.co/speakleash). To znaczy, że klient szpitala może zlecić niezależny audyt modelu, czego nie da się zrobić z zamkniętym ChatGPT.

Test 4: audit log. Każde zapytanie i każda odpowiedź lądują lokalnie w pliku JSONL z timestampem, hashem zapytania i identyfikatorem fact_id z bazy SSoT. Retencja domyślnie 5 lat - wystarczy do wymogów RODO i typowej polityki retencji kancelarii. Marek mógł zademonstrować klientowi szpitala, że jeżeli za rok ktoś zapyta „skąd wzięliście to zdanie w opinii z marca 2026 r.”, ma deterministyczny ślad.

Decyzja zapadła po 3 tygodniach. BezChmury Lite × 4 stanowiska = 596 zł/mc (cennik startuje od 149 zł/mc za stanowisko, do weryfikacji w aktualnym cenniku). Cały audyt techniczny trwał jeden dzień, zamiast 5-7 dni typowych dla audytu cloud AI vendor (gdzie trzeba weryfikować subprocessory, lokalizację data center, certyfikaty ISO 27001 i status DPF).

SEKCJA 5 · IMPLEMENTACJA

Cztery tygodnie do pierwszego prawdziwego case'u

Tydzień 1. Instalacja BezChmury Lite na czterech laptopach: trzech MacBookach Pro (M2/M3, 16-32 GB unified memory) i jednym Dellu XPS z Windows 11. BezChmury 11B v3 w kwantyzacji Q4_K_M (plik ~6 GB) załadowany lokalnie, RAG z 630 faktami SSoT (KSeF, VAT, ZUS, RODO) zindeksowany. Czas instalacji: ~30 min na laptopa.

Tydzień 1 (równolegle). Polityka użycia. Marek napisał jednostronicowy regulamin: kto używa, jak, audit log review co tydzień, mandatory DPIA dla każdego case'u, w którym AI jest częścią wniosku do klienta. Zespół zgodził się na zasadę „AI jako research assistant, nie jako źródło prawa” - odpowiedzi BezChmury idą zawsze do human review przed wyjściem do klienta.

Tydzień 2. Integracja z workflow:

  • Każda umowa medyczna trafia najpierw do BezChmury - lokalna analiza key clauses i risk flags (np. „brak SCC”, „subprocessor z USA bez DPF”) - potem human review przez prawnika.
  • Każde DPIA dla klienta zaczyna się od draftu BezChmury z lokalnym templatem (zgodnym z art. 35 GDPR i wytycznymi UODO), który zespół następnie dopasowuje.
  • Każda opinia prawna w obszarze healthcare + privacy korzysta z BezChmury jako research assistanta - szczególnie dla cytatów z RODO, AI Act i decyzji UODO (deterministyczny cytat z fact_id zamiast „halucynacji” modelu cloudowego).

Tydzień 3-4. Pierwszy realny case. Szpital z portfela Marka chce wdrożyć chatbot AI dla rejestracji pacjentów (rezerwacja terminów + Q&A o procedurach). Marek pyta BezChmury: „Czy chatbot AI dla rejestracji pacjentów wymaga DPIA?”. BezChmury odpowiada:

„Tak - pod warunkiem zakresu danych. Jeżeli chatbot przetwarza dane o stanie zdrowia (Art. 9 RODO), DPIA jest wymagana z mocy art. 35 ust. 3 lit. b RODO. Dodatkowo: AI Act (UE) 2024/1689 klasyfikuje systemy AI wpływające na dostęp do opieki zdrowotnej w kontekście Annex III; pełne obowiązki dla high-risk Annex III stosuje się od 02.08.2026.”

Źródła: gdpr_art_35, ai_act_2024_1689_annex_iii, ai_act_recital_1.

Z gotowym cytatem dosłownym i strukturą ryzyka Marek pisze opinię w ~4 godziny, zamiast wcześniejszych 12 godzin (wszystko ręcznie + research w SIP). Klient dostaje opinię z bibliografią, która wytrzyma audit przez UODO. Marek archiwizuje audit log w lokalnym repozytorium kancelarii.

SEKCJA 6 · WYNIKI

Liczby (estymacja, nie pomiar)

HONEST disclaimer. Liczby godzin i ROI poniżej są scenariuszem realistycznym dla 4-osobowej kancelarii healthcare + privacy w Krakowie, a NIE pomiarem konkretnego biura. Stawki godzinowe oparte o publicznie komunikowany przedział 250-400 zł/h dla mniejszych kancelarii specjalistycznych.
  • Przed BezChmury: ~40 h/tydz. zespołu (4 osoby × 10 h/tydz.) na ręczną analizę umów, draftowanie DPIA i opinii.
  • Z BezChmury: ~10 h/tydz. zespołu (BezChmury wykonuje 70-75% researchu, ludzie finalizują). Oszczędność: ~30 h/tydz. = ~120 h/mc.
  • Cost equivalence: 120 h/mc × 250-400 zł/h = 30 000 - 48 000 zł/mc wartości pracy odzyskanej.
  • Subscription cost: BezChmury Lite × 4 stanowiska = 596 zł/mc (149 zł/mc × 4 - do weryfikacji w aktualnym cenniku).
  • ROI: 30-48 tys. zł / 596 zł = 50-80x w ujęciu cost equivalence.

Marek nie zwalnia ludzi. Zaoszczędzony czas idzie na nową niszę: audyty AI dla klientów medycznych. Do końca pierwszego pełnego kwartału z BezChmury Marek planuje zrealizować 4-6 takich audytów miesięcznie po stawce 5 000-15 000 zł za audyt - to dodatkowe 20 000-90 000 zł/mc przychodu, który wcześniej nie istniał, bo nie miał czasu.

„BezChmury pozwala mi mówić klientom: my sami używamy on-prem AI, dlatego rozumiemy DPIA dla waszych systemów AI. To wartość niemierzalna w godzinach.”

- Marek Nowak (persona ilustracyjna), kancelaria healthcare + privacy, Kraków
PODSUMOWANIE

On-prem AI to compliance, nie hype

Case Marka pokazuje wzorzec, który będzie się powtarzać w 2026-2027 r. dla kancelarii z tajemnicą zawodową: cloud AI nie pasuje do zawodów regulowanych, a klient pyta o AI mimo to. Rozwiązanie nie polega na rezygnacji z AI - polega na wybraniu architektury, w której dane klienta nie opuszczają urządzenia prawnika. BezChmury 11B v3 jako polski model open-weights, lokalna baza wiedzy SSoT, audit log z fact_id i jednorazowy zakup zamiast cloud subscription to sweet spot dla 4-osobowej kancelarii.

Więcej kontekstu prawnego znajdziesz w naszych przewodnikach: RODO i AI on-premise - pełny przewodnik compliance oraz Co to jest prywatne KI. Aktualną cennik pakietów zobacz na stronie /cennik.

Umów demo (15 min) Czytaj o prywatnym KI → Sprawdź cennik →

Powiązane artykuły

Compliance · 16 min

RODO i AI w 2026

Schrems II, AI Act, DPIA template. Dla compliance officerów i IOD.

Edukacja · 14 min

Co to jest prywatne KI?

Definicja prywatnego AI, architektura on-premise, BezChmury 11B jako sweet spot 2026.

Launch · 13 min

BezChmury launch

6 miesięcy treningu BezChmury 11B v3. Manifesto local-first - pivot z Villa Mamma SEO.

ŹRÓDŁA

Oficjalne źródła i odniesienia

  1. [1]
    Future Ready Lawyer Survey 2026 (810 prawników) - Wolters Kluwer https://www.wolterskluwer.com/en/solutions/future-ready-lawyer · dostęp: 2026-05-01
  2. [2]
    Legal 500 Poland 2025 (Healthcare + Privacy) - Legal 500 https://www.legal500.com/c/poland · dostęp: 2026-05-01
  3. [3]
    UODO komunikat 13.08.2024 (kara 1,5 mln zł) - UODO https://uodo.gov.pl · dostęp: 2026-05-01
  4. [4]
    UODO komunikat - SPZOZ Pajęczno (40 000 zł) - UODO https://uodo.gov.pl · dostęp: 2026-05-01
  5. [5]
    UODO decyzja DKN.5131.3.2025 (analiza ryzyka) - UODO https://orzeczenia.uodo.gov.pl · dostęp: 2026-05-01
  6. [6]
    Wyrok TSUE C-311/18 (Schrems II) - CURIA https://curia.europa.eu/juris/liste.jsf?num=C-311/18 · dostęp: 2026-05-01
  7. [7]
    AI Act (Rozporządzenie UE 2024/1689) - EUR-Lex https://eur-lex.europa.eu/eli/reg/2024/1689/oj · dostęp: 2026-05-01

Wszystkie cytaty dosłowne w artykule pochodzą z powyższych oficjalnych źródeł. Inline odniesienia oznaczone [N] linkują do tej listy.

Chcesz zobaczyć prywatne AI
dla swojej firmy?

Krótkie demo KSeF Private (15 min). Pokażemy lokalne działanie, pytania kontrolne, bazę źródeł i sposób, w jaki BezChmury ogranicza ryzyko halucynacji.

Umów demo (15 min, bezpłatnie) Zobacz KSeF Private →
Zapisz się na listę betalub umów demo →