Umowa powierzenia przetwarzania danych osobowych

(Data Processing Agreement — DPA)  ·  Wersja 1.0, obowiązuje od 2026-06-01  ·  Stan na dzień: 2026-07-03

Operator platformy MecenasPorada:
OSFORYOU FUTURE INTELLIGENCE Fundacja
KRS: 0001167920 · NIP: 9571187189 · REGON: 541484401
Aleja Grunwaldzka 56/113, 80-241 Gdansk

Procesor (Podmiot przetwarzający):
OSFORYOU FUTURE INTELLIGENCE Fundacja
KRS: 0001167920, NIP: 9571187189, REGON: 541484401
Adres: Aleja Grunwaldzka 56/113, 80-241 Gdansk
E-mail RODO: rodo@mecenasporada.pl

Administrator Danych Osobowych (ADO):
Mecenas (radca prawny / adwokat / kancelaria prawna) korzystający z usługi MecenasPorada na podstawie odrębnej umowy o świadczenie usług oraz zaakceptowanego Regulaminu Platformy.

§1. Strony i podstawa zawarcia

Niniejsza umowa powierzenia przetwarzania danych osobowych (dalej: „DPA”) zawierana jest pomiędzy ADO (Mecenas) a Procesorem (OSFORYOU FUTURE INTELLIGENCE Fundacja) na podstawie art. 28 ust. 3 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO). Akceptacja DPA jest warunkiem korzystania z platformy MecenasPorada w roli ADO (panel mecenasa).

§2. Przedmiot i cel przetwarzania

Procesor przetwarza dane osobowe wyłącznie w celu świadczenia usługi MecenasPorada na rzecz ADO, w szczególności:

  1. prowadzenia akt sprawy klientów ADO w panelu mecenasa,
  2. generowania pism, opinii i umów na podstawie danych dostarczonych przez ADO,
  3. komunikacji z klientem końcowym przez portal klienta,
  4. wspomagającej redakcji treści za pomocą modeli językowych (AI) zgodnie z §5,
  5. przechowywania i wersjonowania dokumentów oraz dossier spraw.

§3. Kategorie danych i osób, których dane dotyczą

Powierzenie obejmuje następujące kategorie danych osobowych klientów ADO i osób trzecich występujących w aktach sprawy:

§4. Czas trwania powierzenia

Powierzenie obowiązuje przez okres obowiązywania umowy głównej między ADO a Procesorem oraz dodatkowy okres niezbędny do zwrotu lub usunięcia danych po rozwiązaniu umowy. Szczegóły retencji per kategoria danych określa harmonogram retencji platformy (panel: Compliance → Retencja).

§5. Sub-procesorzy (dalsze powierzenie)

Na podstawie art. 28 ust. 2 i 4 RODO ADO udziela Procesorowi ogólnej zgody na korzystanie z poniższych dalszych podmiotów przetwarzających. Lista aktualizowana jest w niniejszym dokumencie; istotne zmiany skutkują koniecznością ponownej akceptacji DPA.

Sub-procesor Region / Jurysdykcja Cel przetwarzania Kategoria danych
Mistral AI
Mistral AI SAS
EU-FR
Francja
Redakcja pism prawniczych, generacja treści, analiza dokumentów (primary LLM EU). Treści dokumentów sprawy, prompts (max 24h retencji u sub-procesora).
Azure OpenAI EU
Microsoft Ireland Operations Ltd.
EU-DE
Niemcy (datacenter Frankfurt) / Irlandia
Fallback LLM dla redakcji oraz embeddingi (gdy primary niedostępny). Treści dokumentów sprawy, prompts. Opt-out z trenowania modeli — kontraktowy.
OCR.klnr.ai
KLNR Labs (infrastructure KLNR)
EU-PL
Polska
Optical Character Recognition — ekstrakcja tekstu z dokumentów PDF/zdjęć. Zeskanowane dokumenty (umowy, pisma, faktury, dowody osobiste).
CoLab.klnr.ai
KLNR Labs (infrastructure KLNR)
EU-PL
Polska
Renderowanie pism prawniczych do PDF/DOCX (brand-grade templates). Treści wygenerowanych pism + dane stron postępowania.

Wszystkie wymienione sub-procesory są rezydentami Europejskiego Obszaru Gospodarczego (EOG). Procesor utrzymuje twardy lock („EU residency hard-lock”) na poziomie konfiguracji aplikacji — zadania AI nie są routowane poza UE.

§6. Retencja danych w warstwie AI

Procesor stosuje agresywne zasady minimalizacji w warstwie modeli językowych:

§7. Zakaz wykorzystywania danych do trenowania modeli (opt-out)

Procesor zapewnia, a wszyscy sub-procesorzy wymienieni w §5 potwierdzili umownie, że dane ADO i klientów ADO nie są wykorzystywane do trenowania, fine-tuningu ani walidacji modeli językowych ani żadnych innych modeli uczenia maszynowego. Opt-out jest domyślny i nieodwracalny dla wszystkich endpointów wykorzystywanych przez platformę.

§8. Bezpieczeństwo i naruszenia (Breach SLA)

Procesor stosuje środki techniczne i organizacyjne adekwatne do ryzyka (art. 32 RODO), w szczególności:

SLA na zgłoszenie naruszenia ochrony danych osobowych:

§9. Prawa osób, których dane dotyczą

Procesor wspomaga ADO w realizacji żądań osób, których dane dotyczą (art. 12–22 RODO), w szczególności:

Endpoint operacyjny realizacji prawa do usunięcia: POST /api/v1/erasure (na żądanie ADO; szczegóły w dokumentacji API).

§10. Odpowiedzialność i ograniczenia

Procesor odpowiada za szkody wynikające z przetwarzania danych w zakresie określonym przepisami RODO oraz umową główną. Odpowiedzialność Procesora z tytułu DPA podlega ograniczeniu do wysokości łącznych opłat uiszczonych przez ADO na rzecz Procesora w okresie 12 miesięcy poprzedzających zdarzenie szkodzące, z wyłączeniem sytuacji winy umyślnej lub rażącego niedbalstwa. Powyższe ograniczenie nie obejmuje przypadków, w których przepisy bezwzględnie obowiązujące nie pozwalają na ograniczenie odpowiedzialności.

Disclaimer (AI): Treści generowane przez modele AI mają charakter pomocniczy i nie zastępują samodzielnej analizy prawnej Mecenasa. ADO każdorazowo weryfikuje treści przed ich użyciem wobec klientów lub w obrocie procesowym (HITL — human-in-the-loop).

§11. Postanowienia końcowe

W sprawach nieuregulowanych stosuje się przepisy prawa polskiego oraz RODO. Wszelkie zmiany DPA wymagają ponownej akceptacji ADO w panelu mecenasa (ścieżka: footer → „Zobacz DPA”). Aktualnie obowiązuje wersja 1.0 (data wejścia w życie: 2026-06-01).

Aby zaakceptować DPA, zaloguj się do panelu mecenasa. ↓ Pobierz wersję do druku (PDF/HTML)