Umowa powierzenia przetwarzania danych osobowych

(Data Processing Agreement — DPA) · Wersja 1.0, obowiazuje od 2026-06-01 · Stan na dzien: 2026-06-06

Operator platformy MecenasPorada:
OSFORYOU FUTURE INTELLIGENCE Fundacja
KRS: 0001167920 · NIP: 9571187189 · REGON: 541484401
Aleja Grunwaldzka 56/113, 80-241 Gdansk

Procesor (Podmiot przetwarzajacy):
OSFORYOU FUTURE INTELLIGENCE Fundacja
KRS: 0001167920, NIP: 9571187189, REGON: 541484401
Adres: Aleja Grunwaldzka 56/113, 80-241 Gdansk
E-mail RODO: rodo@mecenasporada.pl

Administrator Danych Osobowych (ADO):
Mecenas (radca prawny / adwokat / kancelaria prawna) korzystajacy z uslugi MecenasPorada na podstawie odrebnej umowy o swiadczenie uslug oraz zaakceptowanego Regulaminu Platformy.

§1. Strony i podstawa zawarcia

Niniejsza umowa powierzenia przetwarzania danych osobowych (dalej: „DPA”) zawierana jest pomiedzy ADO (Mecenas) a Procesorem (OSFORYOU FUTURE INTELLIGENCE Fundacja) na podstawie art. 28 ust. 3 Rozporzadzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO). Akceptacja DPA jest warunkiem korzystania z platformy MecenasPorada w roli ADO (panel mecenasa).

§2. Przedmiot i cel przetwarzania

Procesor przetwarza dane osobowe wylacznie w celu swiadczenia uslugi MecenasPorada na rzecz ADO, w szczegolnosci:

prowadzenia akt sprawy klientow ADO w panelu mecenasa,
generowania pism, opinii i umow na podstawie danych dostarczonych przez ADO,
komunikacji z klientem koncowym przez portal klienta,
wspomagajacej redakcji tresci za pomoca modeli jezykowych (AI) zgodnie z §5,
przechowywania i wersjonowania dokumentow oraz dossier spraw.

§3. Kategorie danych i osob, ktorych dane dotycza

Powierzenie obejmuje nastepujace kategorie danych osobowych klientow ADO i osob trzecich wystepujacych w aktach sprawy:

dane identyfikacyjne (imie, nazwisko, PESEL, NIP, REGON),
dane kontaktowe (adres, e-mail, telefon),
dane dotyczace postepowan (sygnatury, sady, sedziowie, strony postepowania),
dane finansowe (wartosci przedmiotu sporu, roszczenia, faktury),
tresci dokumentow sprawy (moga zawierac dane szczegolne kategorii w rozumieniu art. 9 RODO — np. dane o stanie zdrowia, sytuacji rodzinnej, wyrokach),
tresci wiadomosci i notatek sporzadzonych w toku sprawy.

§4. Czas trwania powierzenia

Powierzenie obowiazuje przez okres obowiazywania umowy glownej miedzy ADO a Procesorem oraz dodatkowy okres niezbedny do zwrotu lub usuniecia danych po rozwiazaniu umowy. Szczegoly retencji per kategoria danych okresla harmonogram retencji platformy (panel: Compliance → Retencja).

§5. Sub-procesorzy (dalsze powierzenie)

Na podstawie art. 28 ust. 2 i 4 RODO ADO udziela Procesorowi ogolnej zgody na korzystanie z ponizszych dalszych podmiotow przetwarzajacych. Lista aktualizowana jest w niniejszym dokumencie; istotne zmiany skutkuja koniecznoscia ponownej akceptacji DPA.

Sub-procesor	Region / Jurysdykcja	Cel przetwarzania	Kategoria danych
Mistral AI Mistral AI SAS	EU-FR Francja	Redakcja pism prawniczych, generacja tresci, analiza dokumentow (primary LLM EU).	Tresci dokumentow sprawy, prompts (max 24h retencji u sub-procesora).
Azure OpenAI EU Microsoft Ireland Operations Ltd.	EU-DE Niemcy (datacenter Frankfurt) / Irlandia	Fallback LLM dla redakcji oraz embeddingi (gdy primary niedostepny).	Tresci dokumentow sprawy, prompts. Opt-out z trenowania modeli — kontraktowy.
OCR.klnr.ai KLNR Labs (infrastructure KLNR)	EU-PL Polska	Optical Character Recognition — ekstrakcja tekstu z dokumentow PDF/zdjec.	Zeskanowane dokumenty (umowy, pisma, faktury, dowody osobiste).
CoLab.klnr.ai KLNR Labs (infrastructure KLNR)	EU-PL Polska	Renderowanie pism prawniczych do PDF/DOCX (brand-grade templates).	Tresci wygenerowanych pism + dane stron postepowania.

Wszystkie wymienione sub-procesory sa rezydentami Europejskiego Obszaru Gospodarczego (EOG). Procesor utrzymuje twardy lock („EU residency hard-lock”) na poziomie konfiguracji aplikacji — zadania AI nie sa routowane poza UE.

§6. Retencja danych w warstwie AI

Procesor stosuje agresywne zasady minimalizacji w warstwie modeli jezykowych:

Prompty (zapytania do modelu): nie sa retencjonowane dluzej niz 24 godziny u sub-procesora (przeciwko naduzyciom); po tym czasie usuwane.
Cache odpowiedzi: maksymalnie 7 dni w systemie Procesora (Redis); uzywany wylacznie do optymalizacji kosztow i wydajnosci.
Logi inwokacji (LlmInvocation): 90 dni — bez tresci promptu/odpowiedzi, jedynie metadane (model, tokeny, status, koszt).
Embeddingi i pamiec sprawy: przechowywane na czas obowiazywania sprawy plus 6 lat zgodnie z obowiazkiem przechowywania akt prawnych.

§7. Zakaz wykorzystywania danych do trenowania modeli (opt-out)

Procesor zapewnia, a wszyscy sub-procesorzy wymienieni w §5 potwierdzili umownie, ze dane ADO i klientow ADO nie sa wykorzystywane do trenowania, fine-tuningu ani walidacji modeli jezykowych ani zadnych innych modeli uczenia maszynowego. Opt-out jest domyslny i nieodwracalny dla wszystkich endpointow wykorzystywanych przez platforme.

§8. Bezpieczenstwo i naruszenia (Breach SLA)

Procesor stosuje srodki techniczne i organizacyjne adekwatne do ryzyka (art. 32 RODO), w szczegolnosci:

szyfrowanie polaczen (TLS 1.2+) oraz szyfrowanie wrazliwych pol w bazie danych (np. lawyer_strategy_text),
kontrole dostepu oparta na rolach (RBAC) i tokenach Sanctum z ograniczonymi scope,
niezmienialny audit_log dla operacji na danych spraw,
kopie zapasowe z rolowanym retencja.

SLA na zgloszenie naruszenia ochrony danych osobowych:

Procesor → ADO: nie pozniej niz 24 godziny od wykrycia naruszenia (czas reakcji ulatwiajacy ADO dotrzymanie wlasnego 72-godzinnego obowiazku z art. 33 RODO),
ADO → osoba, ktorej dane dotycza (jezeli wymagane art. 34 RODO): w terminie wynikajacym z przepisow (zalecane do 48 godzin od potwierdzenia naruszenia przez Procesora).

§9. Prawa osob, ktorych dane dotycza

Procesor wspomaga ADO w realizacji zadan osob, ktorych dane dotycza (art. 12–22 RODO), w szczegolnosci:

prawa dostepu (eksport danych sprawy),
prawa do sprostowania,
prawa do usuniecia („prawo do bycia zapomnianym”), z zastrzezeniem nadrzednych obowiazkow zachowania akt prawnych,
prawa ograniczenia przetwarzania,
prawa do przenoszenia danych.

Endpoint operacyjny realizacji prawa do usuniecia: POST /api/v1/erasure (na zadanie ADO; szczegoly w dokumentacji API).

§10. Odpowiedzialnosc i ograniczenia

Procesor odpowiada za szkody wynikajace z przetwarzania danych w zakresie okreslonym przepisami RODO oraz umowa glowna. Odpowiedzialnosc Procesora z tytulu DPA podlega ograniczeniu do wysokosci lacznych oplat uiszczonych przez ADO na rzecz Procesora w okresie 12 miesiecy poprzedzajacych zdarzenie szkodzace, z wylaczeniem sytuacji winy umyslnej lub razacego niedbalstwa. Powyzsze ograniczenie nie obejmuje przypadkow, w ktorych przepisy bezwzglednie obowiazujace nie pozwalaja na ograniczenie odpowiedzialnosci.

Disclaimer (AI): Tresci generowane przez modele AI maja charakter pomocniczy i nie zastepuja samodzielnej analizy prawnej Mecenasa. ADO kazdorazowo weryfikuje tresci przed ich uzyciem wobec klientow lub w obrocie procesowym (HITL — human-in-the-loop).

§11. Postanowienia koncowe

W sprawach nieuregulowanych stosuje sie przepisy prawa polskiego oraz RODO. Wszelkie zmiany DPA wymagaja ponownej akceptacji ADO w panelu mecenasa (sciezka: footer → „Zobacz DPA”). Aktualnie obowiazuje wersja 1.0 (data wejscia w zycie: 2026-06-01).

Aby zaakceptowac DPA, zaloguj sie do panelu mecenasa. ↓ Pobierz wersje do druku (PDF/HTML)