Polityka prywatności

Attorly pełni dwie role zgodnie z RODO, w zależności od rodzaju danych. W odniesieniu do danych konta (imię i nazwisko, adres e-mail, dane rozliczeniowe, logi użytkowania, wiadomości do wsparcia) Getia AS działa jako administrator danych i określa cele oraz sposoby przetwarzania. W odniesieniu do dokumentów, projektów i innych treści, które przesyłasz w celu wykonywania pracy prawnej („Customer Content”), Getia AS działa jako podmiot przetwarzający w imieniu Twoim lub Twojej organizacji; relację tę reguluje Umowa o powierzeniu przetwarzania danych, dostępna pod adresem /dpa.

Zbieramy: (a) dane identyfikacyjne i dane konta (imię i nazwisko, adres e-mail, hash hasła, organizację, role w obszarze roboczym, wybrany język); (b) dane rozliczeniowe (kraj, numer VAT w stosownych przypadkach, status subskrypcji, status okresu próbnego, historię faktur — pełne dane kart płatniczych są przechowywane przez Stripe, a nie przez Attorly); (c) Customer Content, który przesyłasz (dokumenty, projekty, notatki, zdarzenia osi czasu, wyniki badań); (d) dane techniczne niezbędne do działania usługi (adres IP, sesyjne pliki cookie, logi audytowe istotnych działań, geolokalizację na poziomie kraju pochodzącą z Cloudflare — do wyboru waluty i zapobiegania oszustwom); (e) komunikację kierowaną do wsparcia. Nie zbieramy wrażliwych danych szczególnej kategorii, chyba że pojawiają się one w Customer Content — w takim przypadku przetwarzamy je wyłącznie zgodnie z Twoimi instrukcjami.

Przetwarzamy Twoje dane w celu: (a) świadczenia usługi (art. 6 ust. 1 lit. b RODO, umowa); (b) wypełnienia obowiązków prawnych, takich jak obowiązki podatkowe i księgowe (art. 6 ust. 1 lit. c); (c) wysyłania wiadomości transakcyjnych dotyczących Twojego konta, rozliczeń i krytycznych aktualizacji usługi (art. 6 ust. 1 lit. b i f); (d) zabezpieczenia usługi i przeciwdziałania nadużyciom (art. 6 ust. 1 lit. f, prawnie uzasadniony interes); (e) ulepszania usługi poprzez zagregowane, zdeidentyfikowane dane analityczne (art. 6 ust. 1 lit. f); oraz (f) przesyłania komunikacji marketingowej, jeżeli wyraziłeś na to zgodę (art. 6 ust. 1 lit. a), którą możesz wycofać w dowolnym momencie. Customer Content jest przetwarzany przez naszych podprzetwarzających AI (wymienionych na stronie Subprocessors) wyłącznie w celu dostarczenia wyniku, o który poprosiłeś. Nie wykorzystujemy Customer Content do trenowania naszych ani żadnych zewnętrznych modeli AI.

Dane konta są przechowywane tak długo, jak konto jest aktywne. Po zamknięciu konta usuwamy dane konta i Treści Klienta w ciągu 30 dni, chyba że dłuższe przechowywanie jest wymagane przez prawo lub niezbędne do rozstrzygania sporów. Faktury i dokumenty płatnicze są przechowywane przez minimalny okres wymagany przez właściwe przepisy podatkowe i rachunkowe danej jurysdykcji (zazwyczaj 5–10 lat; Getia AS jako spółka norweska jest zobowiązana do ich przechowywania przez co najmniej 5 lat od zakończenia roku obrotowego). Logi nieudanych płatności i zapobiegania nadużyciom są przechowywane przez okres do 12 miesięcy. Logi audytowe działań administracyjnych i panelu administracyjnego są przechowywane przez 2 lata (art. 32, bezpieczeństwo). Dane analityczne są przechowywane w formie zagregowanej i zanonimizowanej. Pełny harmonogram przechowywania jest opublikowany w naszej Umowie o powierzeniu przetwarzania danych.

Stosujemy branżowe standardy szyfrowania i kontroli bezpieczeństwa. Customer Content oraz pola wrażliwe są szyfrowane w spoczynku przy użyciu uwierzytelnionego szyfrowania (AES-256-GCM); w ramach dostępnych planów wspieramy szyfrowanie z własnym kluczem (BYOK). Cały ruch sieciowy jest szyfrowany podczas transmisji z użyciem TLS 1.2 lub nowszego. Dostęp do danych produkcyjnych mają wyłącznie imiennie wskazani inżynierowie — z wieloskładnikowym uwierzytelnianiem i pełną ścieżką audytu. Prowadzimy ciągłe, zautomatyzowane skanowanie podatności i stosujemy procedury odpowiedzialnego ujawniania; zgłoszenia bezpieczeństwa prosimy kierować na adres security@attorly.ai.

Nigdy nie sprzedajemy Twoich danych osobowych. Udostępniamy je wyłącznie podprzetwarzającym niezbędnym do świadczenia usługi, na podstawie pisemnych umów powierzenia przetwarzania, które odzwierciedlają zobowiązania, jakie podjęliśmy wobec Ciebie. Aktualną listę publikujemy pod adresem /subprocessors i aktualizujemy ją co najmniej 30 dni przed każdą istotną zmianą. Transfery do podprzetwarzających spoza EOG są objęte Standardowymi klauzulami umownymi (SCCs), ramami EU–US Data Privacy Framework tam, gdzie mają zastosowanie, lub innym zgodnym z prawem mechanizmem transferu, wraz ze środkami uzupełniającymi, takimi jak szyfrowanie i kontrola dostępu (Schrems II).

Zgodnie z RODO i porównywalnymi przepisami o ochronie danych masz prawo dostępu do swoich danych osobowych, ich sprostowania, usunięcia, przenoszenia oraz ograniczenia przetwarzania, prawo sprzeciwu wobec przetwarzania opartego na prawnie uzasadnionych interesach, a także prawo do wycofania udzielonej zgody. Większość tych praw możesz wykonać bezpośrednio z poziomu ustawień konta (eksport danych, zamknięcie konta). W przypadku innych żądań lub gdy nasza odpowiedź Cię nie satysfakcjonuje, skontaktuj się z privacy@attorly.ai – odpowiadamy w ciągu 30 dni. Masz również prawo wniesienia skargi do organu ochrony danych w kraju zamieszkania (np. Datatilsynet w Norwegii, IMY w Szwecji, Datatilsynet w Danii, ICO w Wielkiej Brytanii, CNIL we Francji, BfDI w Niemczech lub FTC dla mieszkańców USA). W Polsce właściwym organem jest Prezes Urzędu Ochrony Danych Osobowych (UODO). Lokalny organ znajdziesz na edpb.europa.eu lub odpowiednim portalu krajowym.

Stosujemy ściśle niezbędne pliki cookie (sesja uwierzytelniania, ochrona CSRF, preferencje zgody na cookies), które nie wymagają zgody. Opcjonalne analityczne pliki cookie stosujemy wyłącznie po wyrażeniu zgody w banerze cookies. Swoimi preferencjami możesz zarządzać w dowolnym momencie za pośrednictwem linku do ustawień plików cookie w stopce strony.

Attorly jest platformą prawną B2B i nie jest przeznaczona dla osób poniżej 18. roku życia. Nie zbieramy świadomie danych osobowych dzieci. Jeżeli uważasz, że dziecko przekazało nam dane osobowe, skontaktuj się z nami pod adresem privacy@attorly.ai — niezwłocznie je usuniemy.

Możemy aktualizować niniejszą politykę prywatności. O istotnych zmianach poinformujemy Cię pocztą elektroniczną oraz w produkcie co najmniej 30 dni przed ich wejściem w życie. Doprecyzowania, poprawki typograficzne oraz zmiany wymagane przez prawo możemy wprowadzać ze skutkiem natychmiastowym.

W sprawach dotyczących prywatności skontaktuj się pod adresem privacy@attorly.ai. Administrator: Getia AS, Oslo, Norwegia. Zwykle odpowiadamy w ciągu 30 dni. Nie wyznaczyliśmy inspektora ochrony danych, ponieważ nie jesteśmy do tego zobowiązani na mocy art. 37 RODO, jednak adres privacy@attorly.ai kieruje wiadomość do osoby odpowiedzialnej za ochronę danych w Getia AS.