Disclaimer. Niezależny wdrożeniowiec SubiektMCP. Nie jesteśmy partnerem Anthropic ani agentem. Próbuję uczciwie pokazać co Anthropic robi i nie robi z Twoimi danymi.
Najczęstsze pytanie polskiego MŚP rozważającego AI: “Czy Anthropic / OpenAI zobaczy moje dane?”. Krótka odpowiedź: TAK, w trakcie zapytania. Długa odpowiedź: zależy.
Ten artykuł rozkłada to na konkrety. Co Anthropic widzi, jak długo trzyma, czy używa do treningu, jakie ma kontrole. Bez marketingu.
Co fizycznie się dzieje, gdy pytasz Claude’a
Wyobraź sobie zapytanie:
“Pokaż mi top 10 klientów po obrocie z ostatnich 30 dni.”
Krok po kroku:
-
Twoje pytanie leci z Twojego komputera (Claude Desktop albo przeglądarka) do serwerów Anthropic (USA, AWS region us-west-2 głównie). Szyfrowanie TLS w drodze.
-
Claude czyta zapytanie, rozumie kontekst. Jeśli używasz SubiektMCP, Claude wie że może odpytać Twoją bazę.
-
Claude wysyła query do MCP servera który u Ciebie LOKALNIE odpytuje Subiekta GT. Query to coś jak “daj mi top 10 klientów po wartości faktur z okresu Y”.
-
MCP zwraca wynik (tabela 10 wierszy z nazwami klientów, kwotami) Claude’owi.
-
Claude formatuje odpowiedź po polsku i odsyła do Ciebie.
Co Anthropic FIZYCZNIE widzi
- Twoje pytanie (tekst polski)
- Wynik z bazy który MCP server wysyła z powrotem (tabela 10 klientów z kwotami)
- Konwersacja (poprzednie pytania w tym samym oknie)
Co NIE widzi: - Całej bazy Subiekta GT (10 000 klientów, 50 000 transakcji). Tylko fragment. - Twoich haseł do Subiekta (zostają w MCP serverze lokalnie). - Innych systemów firmy (poczta, dysk).
Co Anthropic ROBI z tymi danymi
Standardowo (plan Pro, Team, Enterprise)
- Logi konwersacji przechowywane przez 30 dni dla trust & safety (wykrywanie nadużyć - phishing, generowanie szkodliwej treści, abuse).
- Po 30 dniach logi są automatycznie usuwane.
- NIE są używane do treningu modelu (default policy 2026 dla Pro, Team, Enterprise oraz API).
- Dostęp pracowników Anthropic ograniczony do incydentów trust & safety (nie codzienne przeglądanie).
Plan free claude.ai
- Logi przechowywane podobnie 30 dni
- Dane MOGĄ być używane do treningu modelu (chyba że wyłączysz w ustawieniach)
- Dla biznesu NIE używaj wersji free
Data Processing Addendum (DPA)
DPA to umowa powierzenia danych zgodna z RODO art. 28. Mówi: - Anthropic jest procesorem (przetwarza Twoje dane w Twoim imieniu) - Cele i sposoby przetwarzania (wyłącznie dla generowania odpowiedzi) - Zobowiązania bezpieczeństwa - Twoje prawo do usunięcia
Dostęp do DPA Anthropic: - W panelu konta API (auto-acceptance) lub na życzenie dla Claude for Work - Tekst publiczny: anthropic.com/legal/dpa
Co MUSISZ zrobić: 1. Zaakceptować DPA przy zakładaniu konta biznesowego 2. Trzymać kopię w dokumentacji 3. Wpisać Anthropic jako podprocesor w polityce prywatności Twojej firmy
Transfer danych do USA
Polskie dane osobowe leca do USA. Zgodność z RODO:
EU-US Data Privacy Framework (DPF)
Od 2023 obowiązuje. Anthropic jest na oficjalnej liście DPF (sprawdź sam, lista publiczna).
To znaczy: transfer jest legalny pod prawem UE, ALE wymaga aktualnego DPA.
SCC (Standardowe Klauzule Umowne)
Backup w razie unieważnienia DPF. SCC są w DPA Anthropic. Dwupoziomowe zabezpieczenie.
Co jeśli Anthropic dostanie nakaz sądowy
Hipotetyczne pytanie: czy Anthropic odda Twoje dane US gov?
Polityka Anthropic: - W razie subpoena (nakaz sądowy USA) muszą współpracować - Powiadamiają klientów (chyba że gag order) - Dane w “standardowym” trybie 30 dni - po tym nie ma czego oddać
Czy to ryzyko realne dla polskiej MŚP? Bardzo małe. Większość MŚP nie ma danych interesujących US gov. Plus dane biznesowe nie są podstawą subpoena bez konkretnego prowadzenia śledztwa.
Porównanie z ChatGPT (OpenAI)
OpenAI ma podobne polityki, z drobnymi różnicami:
| Aspekt | Anthropic Claude | OpenAI ChatGPT |
|---|---|---|
| DPF lista | TAK | TAK |
| DPA dostępne | TAK | TAK |
| Default opt-out z treningu (Plus/Pro) | TAK | TAK |
| Default opt-out z treningu (FREE) | TAK (claude.ai free) | NIE (musisz wyłączyć) |
| Region przechowywania | USA głównie, EU od 2025 | USA głównie |
| Retencja logów | 30 dni (Pro+) | 30 dni (Plus+) |
| Pracownicy widzą? | Tylko trust & safety | Tylko trust & safety |
Co możesz zrobić dla maksymalnej ochrony
1. Wybierz plan biznesowy
NIE używaj wersji free dla danych firmowych.
2. Podpisz DPA
Akceptuj DPA w panelu Anthropic. Trzymaj kopię.
3. Wpisz w polityce prywatności
Akapit w polityce prywatności Twojej firmy:
“Korzystamy z asystenta AI dostarczanego przez Anthropic PBC (USA) do analizy danych biznesowych, w tym danych osobowych kontrahentów. Anthropic działa jako procesor, dane są przekazywane na podstawie EU-US DPF i SCC. Pełne DPA dostępne na życzenie.”
4. Minimalizuj dane
Nie wysyłaj do AI danych których nie potrzebujesz. Pytanie “pokaż top klientów” nie wymaga numerów telefonów. Pytaj minimum.
5. Wyłącz training opcjonalnie
W ustawieniach Anthropic / OpenAI sprawdź “improvement options”. Wyłącz jeśli niedomyślnie wyłączone.
6. Loguj kto co pyta
Jeśli zespół ma dostęp do AI z bazą firmową, dobrą praktyką jest log. SubiektMCP loguje pytania LOKALNIE (możesz przejrzeć kto pytał o co).
Mity do obalenia
Mit 1. “AI ukradnie moje dane”. Nie. AI nie ma motywacji ani mechanizmu “kradzieży”. To narzędzie, używasz, dostajesz odpowiedź, dane są w logach 30 dni, koniec.
Mit 2. “Anthropic czyta moje konwersacje codziennie”. Nie. Logi automatyczne, dostęp pracowników rzadko, tylko incident trust & safety.
Mit 3. “Dane idą do treningu modelu”. Nie, dla planów biznesowych (Pro+, Team, Enterprise) jest opt-out default.
Mit 4. “To nielegalne pod RODO”. Nie, jeśli masz DPA i wpisałeś w politykę prywatności.
Mit 5. “Anthropic sprzeda moje dane konkurencji”. Nie. To absurd, business model Anthropic to sprzedaż usługi AI, nie sprzedaż danych.
Kiedy faktycznie się martwić
Martw się, jeśli: - Pracujesz z danymi medycznymi, prawniczymi, finansowymi indywidualnymi - Twoje dane są “tajemnicą państwową” lub strategiczną (mała MŚP zwykle nie) - Klient explicit zabronił transferu danych poza UE (rare w MŚP)
W tych przypadkach: rozważ on-premise AI (np. lokalne modele Ollama / LM Studio) zamiast chmurowych. Drożej i wolniej, ale 100% w firmie.
Plan compliance dla MŚP (2 godziny pracy)
Godzina 1. Zaakceptuj DPA Anthropic (albo OpenAI). Pobierz kopię, zapisz w dokumentach firmy.
Godzina 2. Aktualizuj politykę prywatności na stronie (jeden akapit). Wpisz Anthropic jako podprocesor. Publikuj.
Gotowe. Compliance done.
Co dalej
- Czy AI w firmie łamie RODO - pełne pokrycie tematu
- ChatGPT vs Claude dla polskiej firmy - porównanie polityk
- MCP po polsku - architektura bezpieczeństwa
14-dniowy trial SubiektMCP lub 7 dni klucz bez karty: nikodem@subiektgt.chat.
Linki
- Anthropic - Data Processing Addendum
- Anthropic - Privacy Policy
- EU-US Data Privacy Framework
- Polskie UODO - AI w firmie
.subiekt-subscribe-form input[type=”email”]::placeholder { color: #71717A; }