AI dla zespołu prawnego in-house: przegląd umów i RAG

Dział prawny średniej firmy produkcyjnej dostaje co miesiąc od 40 do 120 umów do przeglądu: NDA, kontrakty z dostawcami, aneksy, zamówienia. Większość to standardowe dokumenty, w których prawnik szuka odchyleń od wzorca firmowego. Czytanie ich strona po stronie to kilkadziesiąt godzin miesięcznie, które można skrócić, jeśli AI zrobi pierwsze przejście i oznaczy miejsca wymagające uwagi.

My w Cashcrown badamy te wzorce od kilku lat. Poniżej opisujemy, co działa, gdzie są twarde ograniczenia i jak wygląda architektura, która nie tworzy ryzyka regulacyjnego.

Triage to pierwszy krok: zanim prawnik otworzy plik, system klasyfikuje dokument według typu (NDA, umowa ramowa, zamówienie, aneks), priorytetu i stopnia odchylenia od wzorca.

Klasyfikator przypisuje dokument do kategorii na podstawie treści, nie nazwy pliku. To ważne, bo dostawcy często nazywają umowy niejednoznacznie albo wgrywają je jako skany bez tytułu.

Po klasyfikacji system porównuje klauzule z firmowym wzorcem umowy danego typu. Odchylenia trafiają na listę do przeglądu z numerem strony i oceną poziomu ryzyka (niskie / średnie / wysokie według wcześniej zdefiniowanych kryteriów). Prawnik widzi najpierw to, co naprawdę różni dokument od standardu, nie całą treść od początku.

Twarda granica jest tu: AI wskazuje odchylenia, ale nie ocenia, czy odchylenie jest akceptowalne w kontekście tej konkretnej relacji biznesowej, historii negocjacji i priorytetów firmy. To ocena prawna i należy do prawnika.

Ekstrakcja danych z umów to jeden z najdojrzalszych przypadków użycia AI w prawie. Umowy mają przewidywalną strukturę, powtarzalne klauzule i zdefiniowane pola, które trzeba wyciągnąć: daty obowiązywania, terminy wypowiedzenia, kary umowne, progi wartości, strony umowy, jurysdykcja.

Dla działu in-house najbardziej wartościowy jest rejestr zobowiązań i terminów. System po przejściu przez portfel umów tworzy tabelę z datami wygasania, terminami wypowiedzenia i zobowiązaniami cyklicznymi (np. obowiązek raportowania co kwartał). Alert wychodzi do prawnika lub właściciela procesu 30-60 dni przed terminem.

Kilka zastrzeżeń, które obserwujemy w pilotach:

• Terminy zapisane słownie zamiast datami (np. „sześć miesięcy od dnia podpisania”) wymagają osobnej logiki wyliczenia i często potrzebują weryfikacji, bo data podpisania może nie być w dokumencie cyfrowym.
• Umowy z klauzulami warunkowego wygaśnięcia (np. „umowa wygasa, gdy spełniony jest warunek X”) system flaguje zamiast samodzielnie interpretować. To zachowanie prawidłowe.
• Aneksy bez pełnej treści zmienianego dokumentu powodują, że ekstrakcja jest niekompletna. Indeks musi zawierać umowę główną i wszystkie aneksy połączone jako jeden dokument źródłowy.

Prawnik weryfikuje ekstrakcję dla klauzul oznaczonych jako „niska pewność” i zatwierdza rejestr przed wejściem danych do systemu śledzenia terminów.

Dział prawny in-house odpowiada też na pytania wewnętrzne: czy wolno podpisać NDA z firmą z jurysdykcji X, jaka jest firmowa polityka dotycząca zakazu konkurencji, co mówi wewnętrzny regulamin zamówień o progach zatwierdzenia.

To praca powtarzalna i rozpraszająca. RAG na firmowych dokumentach (polityki, wzorce umów, wytyczne compliance) pozwala pracownikom i menedżerom dostać odpowiedź na pytanie ogólne bez angażowania prawnika, z odwołaniem do konkretnego dokumentu i paragrafu.

Kluczowe wymagania techniczne:

Cytowanie źródła jest obowiązkowe. Odpowiedź bez wskazania konkretnego dokumentu i paragrafu to sygnał, że model generuje ogólną wiedzę zamiast cytować firmowe dokumenty. Taki wynik powinien trafiać do kolejki eskalacji, nie do użytkownika.

Guardrails blokują pytania o interpretację prawną. Jeśli pytanie brzmi „czy możemy rozwiązać umowę w tej sytuacji”, system odpowiada, co mówi dokument, i dodaje eskalację do prawnika dla pytań wymagających oceny prawnej. RAG odpowiada na „co mówią nasze dokumenty”, nie „co powinniśmy zrobić”.

Halucynacje są szczególnie groźne w kontekście prawnym. Odpowiedź, która wygląda jak cytat z polityki, ale jest wytworem modelu, może prowadzić do błędnych decyzji. Wzorzec, który stosujemy: każda odpowiedź zawiera cytat verbatim z oryginalnego fragmentu i pozwala użytkownikowi kliknąć do źródła. Jeśli fragment nie istnieje w indeksie, system odpowiada „nie wiem” i eskaluje.

Tabela ta opisuje wzorzec, który wynika z wielokrotnie powtarzanego przez nas w pilotach projektowania human-oversight. AI dostarcza materiał; człowiek decyduje wszędzie tam, gdzie decyzja ma znaczenie prawne lub finansowe.

Umowy firmowe zawierają dane osobowe stron: imiona, stanowiska, numery PESEL przy umowach o pracę lub B2B, dane kontaktowe, czasem informacje o wynagrodzeniu w aneksach. Przetwarzanie tych danych przez system AI wymaga podstawy prawnej i środków technicznych.

Dwa wymagania, bez których nie uruchamiamy pilota:

PII masking przed indeksowaniem. Dane identyfikujące osoby fizyczne są maskowane lub tokenizowane zanim fragmenty dokumentów trafią do bazy wektorowej. Model widzi oznaczenie „OSOBA_FIZYCZNA_1” zamiast konkretnego imienia. Odwzorowanie tokenów na dane rzeczywiste jest przechowywane poza indeksem, z kontrolą dostępu i logiem operacji.

Izolacja per umowa lub per projekt. Indeks z umowami danego klienta lub projektu jest fizycznie oddzielony od pozostałych. Pytanie zadane w kontekście jednego projektu nie sięga do dokumentów innego.

Jeśli system ma przetwarzać umowy o pracę, dane medyczne lub inne kategorie szczególne, wymagana jest DPIA przed uruchomieniem. Dla standardowych umów handlowych z danymi kontaktowymi wystarczy rejestr czynności przetwarzania i klauzule informacyjne wobec osób, których dane są w dokumentach.

Szczegółowe obowiązki regulacyjne dla systemów AI przetwarzających dokumenty firmowe omawia artykuł AI Act i RODO 2026. Wzorce techniczne zgodności z RODO przy wdrożeniach AI znajdziesz w governance danych do AI.

Piloty, które obserwowaliśmy jako bardziej udane, zaczynały od jednego wąskiego przypadku zamiast próbować zautomatyzować cały dział od razu.

Dobry punkt startowy to jeden typ dokumentu o wysokiej powtarzalności, np. NDA od nowych dostawców. Zakres pilota: klasyfikacja (czy to NDA), ekstrakcja 5-7 pól (strony, data, czas obowiązywania, klauzule poufności, jurysdykcja), porównanie z firmowym wzorcem NDA i wykrycie odchyleń.

Przez pierwsze 4-8 tygodni prawnik weryfikuje 100% wyników AI. To pozwala skalibrować progi pewności, znaleźć typy odchyleń, których model nie wykrywa, i zbudować golden set dla ewaluacji jakości.

Artykuł AI dla kancelarii prawnej opisuje podobny wzorzec wdrożenia dla środowiska zewnętrznego; wiele rekomendacji dotyczących poufności i pilotażu stosuje się bezpośrednio do działów in-house. Szerszą architekturę analizy dokumentów, w tym due diligence, omawia AI do analizy dokumentów.

Przy pilotach in-house warto wcześnie uzgodnić z działem IT model dostępu: kto ma dostęp do indeksu, jak są logowane operacje i czy umowy powierzenia przetwarzania z dostawcami infrastruktury są podpisane. Wzorzec umów powierzenia omawia artykuł umowa powierzenia danych AI.

Nie. Zatwierdzenie umowy to decyzja prawna i biznesowa, która należy do człowieka. AI przygotowuje materiał: klasyfikuje dokument, wyciąga klauzule, wskazuje odchylenia od wzorca i flaguje ryzyko. Ostateczna decyzja o podpisaniu lub odrzuceniu umowy wymaga oceny kontekstu transakcji, relacji ze stroną i priorytetów firmy, czego AI nie zna i nie może ocenić.

Nowoczesne modele wielojęzyczne obsługują język polski bez dodatkowego dostrajania. Precyzja ekstrakcji dla umów polskich jest wyższa, gdy baza wektorowa zawiera dokumenty z tej samej domeny i firmowe wzorce umów. Dla bardzo specjalistycznych klauzul (np. z prawa zamówień publicznych lub prawa bankowego) warto ocenić recall na zestawie testowym z własnych dokumentów przed wdrożeniem produkcyjnym.

To ryzyko, które należy mierzyć jako recall na wcześniej zaetykietowanym zestawie testowym. Jeśli recall dla klauzul krytycznych (terminy, kary umowne) spada poniżej 90-95%, problem leży zwykle w sposobie podziału dokumentu na fragmenty (chunking) lub w tym, że klauzula używa niestandardowego sformułowania. Rozwiązaniem jest poszerzenie zestawu przykładów treningowych dla klasyfikatora lub dostrojenie chunking pod strukturę Waszych dokumentów. Przez cały czas działania systemu weryfikacja klauzul o krytycznym znaczeniu powinna pozostawać po stronie prawnika.

To zależy od wrażliwości dokumentów. Umowy obejmujące dane osobowe lub objęte NDA i tajemnicą przedsiębiorstwa powinny być przetwarzane lokalnie albo z maskowaniem PII przed wysłaniem do zewnętrznego API. Dla dokumentów wewnętrznych bez danych osobowych chmurowe API jest dopuszczalne, jeśli dostawca podpisał umowę powierzenia przetwarzania danych i deklaruje zero retencji promptów. Decyzję warto skonsultować z DPO przed uruchomieniem.

Pilot na jednym typie dokumentów zajmuje zwykle 3-6 tygodni: tydzień na ingestion i indeksowanie zestawu testowego (100-300 umów), tydzień na konfigurację guardrails i kalibrację progów pewności, 2-4 tygodnie na weryfikację wyników z prawnikami. Rozszerzenie na kolejne typy dokumentów i integrację z systemem zarządzania umowami (CLM lub DMS) to zależnie od zakresu 2-3 miesiące. Ocenę gotowości procesu do automatyzacji przeprowadza narzędzie ocena gotowości.