Compliance

RODO i Claude API — gdzie naprawdę lecą Wasze dane

Pytanie pojawia się co tydzień: "czy nasze dane idą do Stanów" / "czy Anthropic nas trenuje na naszych dokumentach" / "co z RODO". Odpowiedzi krążą po rynku w wersjach od "wszystko OK, podpisz DPA" po "absolutnie niedozwolone". Rozkładamy to na czynniki pierwsze — co mówi umowa, gdzie fizycznie są serwery, jak skonfigurować zgodnie z RODO.

⏱ 8 min czytania · 📅 23.06.2025 · 👁 2 280 wyświetleń

RODO + Claude API to temat, na którym sprzedawcy AI rozkładają ręce. Klient pyta "czy to legalne", a większość odpowiada wymijająco albo cytuje marketingowe slajdy. W RedAI mamy DPA podpisane z Anthropic dla każdego klienta i konkretną wiedzę co i gdzie wędruje. Pokazujemy.

Trzy najczęstsze mity

  • "Claude trenuje się na naszych danych" — NIE. Anthropic w Commercial Terms wyraźnie wyklucza użycie danych klientów API do treningu. Inaczej niż OpenAI w darmowym ChatGPT.
  • "Dane lecą do USA i RODO tego nie pozwala" — częściowo. Anthropic ma teraz region EU (Frankfurt, Dublin) i to zmienia sytuację, ale trzeba świadomie wybrać.
  • "Bez DPA nie wolno" — TAK, ale DPA jest publicznie dostępne, klikalne, podpisuje się elektronicznie. To nie jest blocker.

Co konkretnie dzieje się z zapytaniem do Claude API

Krok po kroku, dla zapytania wysłanego z naszego proxy w infrastrukturze klienta:

  1. Zapytanie szyfrowane TLS 1.3 wychodzi z Waszego serwera do endpointu Anthropic (np. api.anthropic.com dla US lub regionalny endpoint dla EU).
  2. Anthropic przyjmuje, autoryzuje kluczem API, przesyła do modelu.
  3. Model generuje odpowiedź, ta wraca tym samym kanałem.
  4. Logi techniczne (timestamp, długość zapytania, model) zapisywane są do 30 dni dla operacji (anti-abuse, debug). Treść zapytania nie jest przechowywana po wygenerowaniu odpowiedzi — chyba że uruchomicie zero-retention mode (dostępne dla Enterprise).
  5. Trening: zapytania API NIE są używane do treningu modelu (chyba że klient wyraźnie się zgodzi w opt-in).

Gdzie fizycznie jest model

Anthropic hostuje swoje modele głównie w infrastrukturze AWS i Google Cloud. Endpointy:

  • api.anthropic.com (domyślny) — globalny, ruch może iść do USA.
  • Anthropic on AWS Bedrock — można wybrać region eu-central-1 (Frankfurt) lub eu-west-1 (Irlandia). Dane nie opuszczają UE.
  • Anthropic on Google Cloud Vertex AI — region europe-west4 (Holandia).

Dla naszych klientów wrażliwych domyślnie konfigurujemy Bedrock eu-central-1. Latencja: niemal identyczna (różnica ~80-120 ms), ale zgodność RODO bezdyskusyjna.

DPA — co konkretnie podpisujecie

Data Processing Agreement między Wami (administrator danych) a Anthropic (procesor) reguluje:

  • Kategorie danych — jakie dane wysyłacie (osobowe? wrażliwe? finansowe?).
  • Cel przetwarzania — ograniczony do generowania odpowiedzi modelu.
  • Środki techniczne i organizacyjne — szyfrowanie, kontrola dostępu, audyt.
  • Transfery do państw trzecich — Standard Contractual Clauses (SCC) zatwierdzone przez Komisję Europejską.
  • Subprocessors — Anthropic używa AWS i GCP, lista dostępna.

DPA Anthropic ma 14 stron, można je podpisać przez ich panel commercial. Bez DPA nie wolno przetwarzać danych osobowych przez Claude API — to twarde RODO.

Konfiguracja zgodna z RODO — checklist

  1. DPA podpisane z Anthropic ✓
  2. Wybrany region EU (Bedrock eu-central-1 lub Vertex europe-west4) ✓
  3. Polityka prywatności firmy zaktualizowana o "korzystamy z Claude / Anthropic jako procesora" ✓
  4. Rejestr czynności przetwarzania (RCP) uzupełniony — nowa pozycja "obsługa zapytań przez AI" ✓
  5. Pracownicy poinformowani jakie dane wolno wysyłać, jakie nie (PESEL, dane medyczne, dane dzieci) ✓
  6. Logi naszego proxy zachowywane przez 90 dni, potem auto-usuwane ✓
  7. Minimum niezbędne — w prompcie wysyłamy tylko to, co konieczne. Nazwisko klienta zamieniamy na ID, jeśli nie jest potrzebne ✓

Dwa scenariusze które warto rozważyć osobno

Scenariusz A: dane wrażliwe (zdrowie, dane dzieci, sprawy karne)

Tu rekomendujemy nie używać żadnego chmurowego API. Zamiast tego — model lokalny (Bielik 2, Mistral, Qwen) w infrastrukturze klienta. Tak konfigurujemy 2 wdrożenia w sektorze medycznym i 1 w prawniczym (sprawy karne).

Scenariusz B: dane osobowe standardowe (klienci, kontrahenci, pracownicy)

Claude API z DPA, regionem EU i naszą warstwą audytu jest w pełni zgodne z RODO. To 90% naszych wdrożeń.

Co mówi UODO

UODO w stanowisku z marca 2025 potwierdził: korzystanie z LLM przez API dostawców komercyjnych jest dozwolone, jeśli administrator danych spełnia wszystkie wymogi RODO (DPA, RCP, podstawa prawna, minimalizacja). Nie ma "specjalnego pozwolenia" dla AI — obowiązują standardowe zasady.

Pełen szablon polityki AI + checklist 18 punktów RODO dla Claude dostarczamy klientom w pakiecie wdrożenia. Mini-audyt zgodności AI z RODO — 45 minut, bez zobowiązań.

Chcesz przetestować, jak AI rozwiąże to u Ciebie?

30 minut rozmowy + pokaz działającego wdrożenia u klienta. Bez NDA.

Umów demo

Może Cię też zainteresować

⚖️
Compliance

EU AI Act — 2 sierpnia 2026. Co polska firma musi zrobić TERAZ
🔐
Compliance

RODO, NIS2 i KSC a AI w firmie — checklista compliance 2026
📋
Compliance

Rejestr systemów AI w firmie — szablon i jak prowadzić
Newsletter redai

Dostawaj kolejne wpisy do skrzynki

Co dwa tygodnie: nowy case, nowe moduły AI, błędy klientów. Bez spamu.