1. Administrator danych
Administratorem Twoich danych osobowych jest OSFORYOU FUTURE INTELLIGENCE Fundacja z siedzibą przy Alei Grunwaldzkiej 56 / 113, 80-241 Gdańsk, KRS 0001167920, NIP 9571187189, REGON 541484401 ("Administrator"). Kontakt w sprawach związanych z ochroną danych osobowych: rodo@mecenasporada.pl.
1a. Inspektor Ochrony Danych (IOD)
Administrator nie ma ustawowego obowiązku wyznaczenia Inspektora Ochrony Danych w rozumieniu art. 37 RODO (nie prowadzi przetwarzania na dużą skalę szczególnych kategorii danych w rozumieniu art. 9 RODO, ani regularnego i systematycznego monitorowania osób fizycznych na dużą skalę). Niezależnie od tego Administrator wyznaczył Punkt Kontaktowy ds. Ochrony Danych Osobowych do obsługi wszystkich spraw związanych z RODO — wniosków o realizację praw osób, których dane dotyczą, zgłoszeń naruszeń ochrony danych oraz pytań od sub-procesorów. Wszelka korespondencja: rodo@mecenasporada.pl lub pisemnie na adres siedziby Administratora wskazany w § 1, z dopiskiem "RODO".
Punkt Kontaktowy ds. Ochrony Danych Osobowych odpowiada na żądania w terminach wynikających z art. 12 RODO (zob. § 7 poniżej).
2. Cele i podstawy przetwarzania
Twoje dane osobowe przetwarzane są w następujących celach:
- Realizacja umowy (art. 6 ust. 1 lit. b RODO) — wykonanie zakupionej usługi prawnej.
- Wystawienie faktury VAT (art. 6 ust. 1 lit. c RODO) — obowiązki podatkowe.
- Komunikacja (art. 6 ust. 1 lit. f RODO) — kontakt mailowy/telefoniczny w sprawie zamówienia.
- Marketing własny (art. 6 ust. 1 lit. f RODO) — wyłącznie po wyrażeniu zgody.
3. Zakres przetwarzanych danych
W zależności od wybranej Usługi, przetwarzamy:
- imię, nazwisko, e-mail, numer telefonu;
- NIP, dane do faktury (jeśli dotyczy);
- opis sytuacji prawnej i odpowiedzi udzielone w wywiadzie AI;
- dokumenty załączone do sprawy (np. wyroki, umowy);
- dane logowania (zaszyfrowane hasło);
- logi systemowe (IP, czas zdarzenia).
4. Okres przechowywania
Dane przechowujemy przez okres realizacji Usługi oraz przez czas wymagany przepisami prawa, w tym przepisami regulującymi wykonywanie zawodu radcy prawnego:
- dane fakturowe — 5 lat od końca roku podatkowego (art. 86 § 1 Ordynacji podatkowej);
- akta sprawy i dokumenty związane ze świadczoną pomocą prawną — 10 lat od zakończenia sprawy, zgodnie z § 17 Regulaminu wykonywania zawodu radcy prawnego (RZWZA — Regulamin Zasad Wykonywania Zawodu i Zasad Etyki uchwalony przez KRRP), co odpowiada również okresowi przedawnienia roszczeń zawodowych;
- dane konta — do momentu jego usunięcia przez Klienta lub przez 36 miesięcy bezczynności;
- logi systemowe — do 12 miesięcy (bezpieczeństwo i diagnostyka).
5. Odbiorcy danych i podmioty przetwarzające (sub-processorzy)
Twoje dane mogą być przekazane następującym kategoriom odbiorców. Z każdym podmiotem przetwarzającym Administrator zawarł umowę powierzenia przetwarzania danych zgodnie z art. 28 RODO. Aktualna lista konkretnych sub-processorów:
| Podmiot | Rola / cel | Lokalizacja | Podstawa transferu |
|---|---|---|---|
| Mecenasi (radcowie prawni / adwokaci) | Świadczenie pomocy prawnej, prowadzenie sprawy | Polska (UE) | Tajemnica zawodowa + umowa powierzenia |
| Anthropic, PBC (claude.ai) | LLM (Claude Opus / Sonnet / Haiku) — analiza wywiadu, generowanie pism | USA | SCC (Standard Contractual Clauses) + DPA Anthropic + EU-US Data Privacy Framework (DPF) |
| DeepSeek (deepseek.com) | LLM (DeepSeek Chat) — analiza wywiadu, klasyfikacja | Chińska Republika Ludowa | SCC ad hoc + Transfer Impact Assessment (TIA) + wyraźna zgoda Klienta (art. 49 ust. 1 lit. a RODO) — brak decyzji stwierdzającej odpowiedni stopień ochrony danych dla Chin |
| Mistral AI SAS (mistral.ai) | LLM (Mistral Small) — fallback, klasyfikacja intencji | Francja (UE) | Umowa powierzenia (art. 28 RODO) — transfer w obrębie EOG, SCC nie są wymagane |
| PayPro S.A. / Przelewy24 | Obsługa płatności online | Polska (UE) | Umowa powierzenia (art. 28 RODO) |
| Hetzner Online GmbH / OVH SAS | Hosting serwerów aplikacyjnych i bazy danych | Niemcy / Francja (UE) | Umowa powierzenia (art. 28 RODO) — transfer w obrębie EOG |
| Mailcow / operator SMTP | Wysyłka wiadomości e-mail (transakcyjnych i powiadomień) | UE | Umowa powierzenia (art. 28 RODO) |
| CoLab (colab.klnr.ai) | Generowanie dokumentów (pism, umów, pełnomocnictw) | Polska (UE) — infrastruktura własna OSFORYOU FUTURE INTELLIGENCE | Umowa powierzenia (art. 28 RODO) |
| Biuro księgowe | Obsługa księgowo-podatkowa, faktury | Polska (UE) | Umowa powierzenia (art. 28 RODO) |
Aktualizowaną listę sub-processorów udostępniamy na żądanie pod adresem rodo@mecenasporada.pl.
Umowy powierzenia przetwarzania danych (DPA): z każdym sub-procesorem Administrator zawarł umowę zgodną z art. 28 RODO. Aktualny szablon umowy powierzenia przetwarzania danych dla Klientów-administratorów (np. Mecenasów Wykonawców) jest dostępny pod adresem /legal/dpa oraz w formacie PDF pod adresem /legal/dpa/pdf.
6. Transfery do państw trzecich (poza EOG)
Część sub-processorów wymienionych w § 5 ma siedzibę poza Europejskim Obszarem Gospodarczym. W każdym takim przypadku Administrator zapewnia odpowiednie zabezpieczenia zgodnie z Rozdziałem V RODO:
- USA (Anthropic) — transfer odbywa się na podstawie Standardowych Klauzul Umownych (SCC) zatwierdzonych decyzją wykonawczą Komisji Europejskiej 2021/914 oraz w oparciu o uczestnictwo Anthropic w ramach EU-US Data Privacy Framework (decyzja KE 2023/1795). Dane przekazywane do Anthropic są zminimalizowane (fragmenty wywiadu, bez danych bezpośrednio identyfikujących, gdy to możliwe).
- Chiny (DeepSeek) — Komisja Europejska nie wydała decyzji stwierdzającej odpowiedni stopień ochrony danych dla Chińskiej Republiki Ludowej. Transfer odbywa się wyłącznie na podstawie: (i) SCC zawartych w umowie z dostawcą, (ii) przeprowadzonej oceny skutków transferu (Transfer Impact Assessment), oraz (iii) wyraźnej, świadomej zgody Klienta wyrażonej przed skorzystaniem z funkcji opartych o ten model (art. 49 ust. 1 lit. a RODO). Klient może w dowolnym momencie cofnąć zgodę, co spowoduje wyłącznie ograniczenie dostępności funkcji wykorzystujących DeepSeek (pozostałe funkcje działają nadal w oparciu o modele UE/USA).
- Inne państwa trzecie — Administrator nie przekazuje danych do innych państw trzecich poza wymienionymi wyżej. W razie zmiany Polityka zostanie zaktualizowana, a Klienci powiadomieni.
Kopię stosowanych SCC i wyniku TIA Administrator udostępnia na żądanie pod adresem rodo@mecenasporada.pl.
7. Twoje prawa
Zgodnie z art. 15-21 RODO przysługują Ci następujące prawa wobec Administratora:
- prawo dostępu (art. 15 RODO) — uzyskanie informacji o przetwarzaniu i kopii danych;
- prawo do sprostowania (art. 16 RODO) — poprawienia danych nieprawidłowych lub uzupełnienia niekompletnych;
- prawo do usunięcia ("prawo do bycia zapomnianym", art. 17 RODO) — z zastrzeżeniem obowiązków przechowywania akt sprawy i danych fakturowych wskazanych w § 4;
- prawo do ograniczenia przetwarzania (art. 18 RODO);
- prawo do przenoszenia danych (art. 20 RODO) — otrzymania danych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego;
- prawo do sprzeciwu (art. 21 RODO) — wobec przetwarzania opartego na art. 6 ust. 1 lit. f RODO (uzasadniony interes), w tym wobec marketingu bezpośredniego;
- prawo do cofnięcia zgody w dowolnym momencie — bez wpływu na zgodność z prawem przetwarzania dokonanego przed cofnięciem (art. 7 ust. 3 RODO).
Aby skorzystać z tych praw, napisz na rodo@mecenasporada.pl. Odpowiemy w terminie 30 dni od otrzymania żądania (z możliwością przedłużenia o kolejne 60 dni w przypadkach złożonych, o czym Cię poinformujemy).
8. Prawo skargi do organu nadzorczego
Niezależnie od praw wskazanych w § 7 przysługuje Ci prawo wniesienia skargi do organu nadzorczego, którym w Polsce jest:
Prezes Urzędu Ochrony Danych Osobowych (PUODO)
ul. Stawki 2, 00-193 Warszawa
tel.: +48 22 531 03 00
e-mail: kancelaria@uodo.gov.pl
strona: uodo.gov.pl
Skargę możesz wnieść, jeżeli uznasz, że przetwarzanie Twoich danych narusza przepisy RODO. Niezależnie od tego zachęcamy do wcześniejszego kontaktu z Administratorem — wiele spraw udaje się wyjaśnić w trybie bezpośrednim.
9. Bezpieczeństwo
Dane przesyłane są szyfrowanym kanałem (HTTPS/TLS 1.2+). Hasła przechowujemy w postaci zaszyfrowanej (bcrypt). Dostęp do danych mają wyłącznie upoważnieni pracownicy i mecenasi obsługujący Twoją sprawę. Stosujemy m.in. uwierzytelnianie dwuskładnikowe (2FA), kopie zapasowe oraz logi dostępowe (audit log).
10. Pliki cookies
Szczegółowe informacje o stosowaniu plików cookies znajdują się w Polityce cookies.
11. Kontakt z Administratorem
We wszystkich sprawach dotyczących przetwarzania danych osobowych, realizacji praw wynikających z RODO, zgłoszenia incydentów bezpieczeństwa lub współpracy w zakresie obowiązków sub-procesora prosimy o kontakt:
- E-mail (preferowany kanał):rodo@mecenasporada.pl
- Pisemnie: OSFORYOU FUTURE INTELLIGENCE Fundacja, Aleja Grunwaldzka 56 / 113, 80-241 Gdańsk, z dopiskiem "RODO"
- Powiązane dokumenty:Regulamin · Umowa powierzenia DPA · Polityka cookies