Informacje prawne
RODO i AI.
Krótka nota operacyjna dla zespołów, które sprawdzają Syntalith przed projektem agenta AI lub aplikacji LLM. Podsumowuje naszą domyślną postawę ochrony danych; wiążący zakres określa podpisana umowa i DPA.
Postawa compliance · Ostatnia aktualizacja: 2 czerwca 2026
Skrót dokumentu
- Administrator
- Syntalith sp. z o.o., Stefana Batorego 18/108, 02-591 Warszawa, Polska
- Kontakt ds. prywatności
- [email protected]
- DPA
- Dostępne przed startem wdrożenia, gdy Syntalith przetwarza dane osobowe w imieniu klienta.
- Postawa hostingowa
- Hosting w UE jest domyślnym celem dla środowisk utrzymywanych przez Syntalith; możemy pracować w infrastrukturze klienta, jeśli tak ustalimy.
- Trenowanie modeli
- Dane klienta nie są używane do trenowania modeli Syntalith. Zewnętrzni dostawcy działają w ramach uzgodnionego układu podprocesorów.
Sekcje
Czym jest ta strona
To praktyczne podsumowanie dla założycieli, operatorów i zespołów prawnych, które muszą zrozumieć, jak traktujemy projekty AI istotne z perspektywy RODO.
To nie jest porada prawna i nie zastępuje DPIA, rejestru czynności przetwarzania, oceny dostawcy ani wewnętrznej decyzji compliance po stronie klienta.
DPA i zakres projektu
Gdy Syntalith przetwarza dane osobowe jako podmiot przetwarzający, wdrożenie obejmuje umowę powierzenia przetwarzania danych przed rozpoczęciem implementacji.
DPA i zakres prac określają cel przetwarzania, kategorie danych, retencję, podprocesorów, oczekiwania bezpieczeństwa oraz kroki eksportu albo usunięcia danych.
- Przed buildem
- Ustalamy, do jakich systemów, kategorii danych i grup użytkowników agent może mieć dostęp.
- W trakcie buildu
- Dostęp jest zakresowany do pracy: najmniejsze potrzebne uprawnienia, osobne konta serwisowe tam, gdzie to możliwe, i wymagania śladu audytowego.
- Po starcie
- Retencja, monitoring, obsługa incydentów i właścicielstwo zmian są ustalane w modelu utrzymania albo przekazania.
Podprocesorzy i transfery
Projekty AI mogą wymagać dostawców infrastruktury, modeli, obserwowalności, poczty albo workflow. Konkretna lista zależy od architektury projektu.
Podprocesorzy i mechanizmy transferu są dokumentowane w umowie albo DPA. Jeśli używany jest dostawca modelu ze Stanów Zjednoczonych, projekt korzysta z uzgodnionych zabezpieczeń umownych dla tego dostawcy.
Hosting w UE i ograniczanie
Dla systemów utrzymywanych przez Syntalith hosting w UE jest domyślnym celem. Część projektów działa w chmurze albo infrastrukturze klienta, jeśli to bezpieczniejsze z punktu widzenia governance.
Kluczowa kontrola to nie tylko geografia. Definiujemy, gdzie agent może działać, jakie poświadczenia dostaje, co może czytać albo zapisywać i która akcja wymaga zgody człowieka.
- poświadczenia zgodne z zasadą najmniejszych uprawnień
- osobne środowiska dla developmentu i produkcji
- logowanie i ślad audytowy działań agenta
- zgoda człowieka przed skutkiem produkcyjnym tam, gdzie jest wymagana
- retencja i zasady usuwania ustalone przed startem
Mapowanie AI Act
Nasza siedmiokryterialna rama określania zakresu tworzy techniczny wkład do dokumentacji operatora na potrzeby AI Act: praca, kontekst, narzędzia, granice, eskalacja, pomiar i ślad.
To strukturalne wsparcie dla pracy compliance, nie klasyfikacja prawna systemu i nie stwierdzenie, że klient spełnia wszystkie obowiązki.
Osobno art. 50 (poinformowanie użytkownika, że rozmawia z AI) obowiązuje dostawców i podmioty stosujące od 2 sierpnia 2026, niezależnie od klasy ryzyka.
- Ślad · art. 12 AI Act
- Wspiera rozmowę o rejestrowaniu zdarzeń, logach automatycznych i audytowalności.
- Praca i kontekst · art. 13 AI Act
- Wspiera przejrzystość zamierzonego użycia, źródeł danych i warunków działania.
- Narzędzia · art. 13 + 26 AI Act
- Wspiera dokumentację narzędzi i systemów, do których agent ma dostęp, oraz obowiązków operatora przy wdrożeniu.
- Granice i eskalacja · art. 14 AI Act
- Wspiera nadzór człowieka, warunki zatrzymania i przekazanie sprawy operatorowi.
- Pomiar · art. 17 + 72 AI Act
- Wspiera zarządzanie jakością, monitoring po uruchomieniu i przegląd działania systemu.
Prawa i powiązane polityki
Żądania osób, których dane dotyczą, oraz pytania o prywatność można wysłać na [email protected]. Polityka prywatności opisuje prawa, podstawy prawne, retencję, cookies i dane organu nadzorczego w pełnym zakresie.
Polityka cookies opisuje narzędzia analityczne i marketingowe. Działają w trybie zgody: bez zgody nie zapisują plików cookie, a pełny pomiar i piksele marketingowe włączają się dopiero po zgodzie.