Dokumenty prawne · Polityka prywatności

Polityka prywatności

Klauzula informacyjna na podstawie art. 13 RODO. Wyjaśnia, jakie dane osobowe klientów Avantwerk Legal AI przetwarza Bennovate sp. z o.o. i na jakich zasadach. Treść spraw kancelarii pozostaje na komputerze kancelarii i nie jest objęta tym przetwarzaniem — tę kwestię reguluje Umowa powierzenia.

Ostatnia aktualizacja: 29 czerwca 2026 r. · Podstawa: art. 13 RODO · Administrator: Bennovate sp. z o.o.

§ 1. Administrator danych osobowych

Administratorem danych osobowych przetwarzanych w związku ze świadczeniem usługi Avantwerk Legal AI jest:

Bennovate spółka z ograniczoną odpowiedzialnością
ul. Christiana Andersena 25, 94-118 Łódź
KRS: 0000597272 · NIP: 7272799328 · REGON: 363700466
Kapitał zakładowy: 5 000 PLN, wniesiony w całości
Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS
E-mail: legal@avantwerk.com · tel. +48 732 108 866

(dalej: Administrator).

§ 2. Inspektor Ochrony Danych

Administrator wyznaczył Inspektora Ochrony Danych. W każdej sprawie dotyczącej przetwarzania danych osobowych prosimy o kontakt na adres: dpo@avantwerk.com.

§ 3. Kogo dotyczy ta Polityka

Niniejsza Polityka dotyczy danych osobowych:

klientów — osób fizycznych reprezentujących kancelarie adwokackie i radcowskie, które założyły konto w Avantwerk Legal AI lub korzystają z okresu próbnego;
prawników — adwokatów, radców prawnych i aplikantów korzystających z konta klienta;
osób kontaktujących się z Administratorem (zapytania, reklamacje, wnioski dotyczące praw).

Czego ta Polityka nie obejmuje. Nie dotyczy danych osobowych klientów obsługiwanych przez kancelarię. Treść spraw — dokumenty, dane klientów kancelarii — pozostaje wyłącznie na komputerze kancelarii. W architekturze local-first nie trafia do infrastruktury Administratora. Zasady powierzenia reguluje Umowa powierzenia przetwarzania danych (art. 28 RODO).

§ 4. Zasady przetwarzania danych

Administrator przetwarza dane zgodnie z art. 5 RODO — w szczególności:

zgodnie z prawem, rzetelnie i w sposób przejrzysty;
w konkretnych, wyraźnych i prawnie uzasadnionych celach;
w zakresie adekwatnym i ograniczonym do tego, co niezbędne;
z dbałością o prawidłowość i aktualność danych;
przez okres nie dłuższy niż jest to konieczne;
z zapewnieniem odpowiedniego bezpieczeństwa.

§ 5. Cele i podstawy prawne przetwarzania

5.1. Założenie i prowadzenie konta, zawarcie umowy

Cel	Dane	Podstawa	Okres przechowywania
Założenie i obsługa konta; zawarcie i wykonanie umowy	Imię, nazwisko, adres e-mail, nazwa kancelarii, NIP, REGON, adres siedziby, numer wpisu na listę, dane do faktury	art. 6 ust. 1 lit. b RODO — wykonanie umowy	Czas trwania umowy + okres przedawnienia roszczeń (co do zasady 3 lata)

5.2. Rozliczenia i obowiązki podatkowe

Cel	Dane	Podstawa	Okres
Faktury VAT (KSeF), rozliczenia podatkowe, archiwizacja księgowa	Dane identyfikacyjne, kwoty i daty transakcji	art. 6 ust. 1 lit. c RODO — obowiązek prawny (ustawa o VAT; ustawa o rachunkowości)	5 lat od końca roku podatkowego

5.3. Bezpieczeństwo i przeciwdziałanie nadużyciom

Cel	Dane	Podstawa	Okres
Logi systemowe, wykrywanie naruszeń, ochrona konta	Adres IP, czas logowania, typ przeglądarki, identyfikator konta	art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes (bezpieczeństwo systemu)	90 dni od wygenerowania logu

5.4. Obsługa reklamacji i wniosków RODO

Cel	Dane	Podstawa	Okres
Rozpatrywanie reklamacji oraz wniosków o realizację praw z RODO	Dane podane w zgłoszeniu	art. 6 ust. 1 lit. c i lit. f RODO	3 lata od zamknięcia sprawy

5.5. Marketing e-mail — wyłącznie za zgodą

Cel	Dane	Podstawa	Okres
Informacja handlowa drogą elektroniczną: aktualizacje produktu, oferty	Adres e-mail, imię, nazwa kancelarii	art. 6 ust. 1 lit. a RODO — zgoda; art. 10 ust. 2 UŚUDE (Dz.U. 2002 nr 144 poz. 1204)	Do wycofania zgody; zapis o zgodzie — 3 lata

5.6. Marketing przez urządzenia końcowe — wyłącznie za zgodą

Cel	Dane	Podstawa	Okres
Kontakt telefoniczny i SMS w celach marketingu bezpośredniego	Numer telefonu, imię	art. 6 ust. 1 lit. a RODO — zgoda; art. 172 ust. 1 Prawa telekomunikacyjnego (Dz.U. 2004 nr 171 poz. 1800)	Do wycofania zgody; zapis o zgodzie — 3 lata

§ 6. Local-first — treść spraw poza zasięgiem Administratora

Architektura local-first Avantwerk Legal AI oznacza, że:
1. dokumenty i treść spraw kancelarii przechowywane są wyłącznie na jej dysku;
2. treść spraw nigdy nie trafia do infrastruktury Administratora (serwery Hetzner Online GmbH w Falkenstein, Niemcy);
3. kancelaria samodzielnie i na własnych warunkach zawiera umowę z dostawcą modelu językowego. W odniesieniu do treści spraw dostawca jest podmiotem przetwarzającym wyłącznie kancelarii, nie zaś podprocesorem Administratora.
W konsekwencji Administrator nie jest administratorem danych osobowych zawartych w treści spraw kancelarii. Administratorem tych danych jest kancelaria i to ona odpowiada za zgodność ich przetwarzania z RODO, tajemnicą zawodową oraz pozostałymi przepisami.
Administrator występuje jako podmiot przetwarzający kancelarii wyłącznie w zakresie danych, które przetwarza w związku ze świadczeniem usługi (dane konta, logi systemowe).

§ 7. Kategorie odbiorców danych

Odbiorca	Cel	Zakres	Siedziba
Operator infrastruktury hostingowej (Hetzner Online GmbH)	Hosting aplikacji (serwer VPS)	Dane systemowe i logi; dane konta; nie — treść spraw	Niemcy (EOG)
Operator CRM	Obsługa konta klienta na etapie onboardingu	Imię, e-mail, nazwa kancelarii, etap konwersji	USA (standardowe klauzule umowne, art. 46 RODO)
Operator płatności	Obsługa płatności kartą	Dane transakcji; numery kart nigdy niedostępne dla Administratora	USA (SCC; PCI-DSS poziom 1)
Operator poczty transakcyjnej	Wysyłka wiadomości transakcyjnych	Adres e-mail, imię	USA (SCC)
Organy publiczne	Realizacja obowiązków prawnych	Zakres wymagany przepisami	Polska / EOG
Doradcy prawni i audytorzy	Dochodzenie i obrona roszczeń; audyt bezpieczeństwa	Zakres niezbędny	Polska / EOG

Pełny rejestr podmiotów przetwarzających dostępny jest na żądanie pod adresem dpo@avantwerk.com.

§ 8. Przekazywanie danych poza EOG

Część odbiorców ma siedzibę poza Europejskim Obszarem Gospodarczym (EOG). W każdym takim przypadku przekazanie danych następuje na podstawie zabezpieczeń z art. 46 RODO — w szczególności standardowych klauzul umownych przyjętych przez Komisję Europejską (decyzja wykonawcza Komisji (UE) 2021/914 z dnia 4 czerwca 2021 r.).
BYOK. Jeżeli kancelaria korzysta z mechanizmu BYOK i samodzielnie przekazuje dane do dostawcy modelu językowego mającego siedzibę poza EOG, kancelaria we własnym zakresie zapewnia właściwą podstawę takiego przekazania zgodnie z art. 44 i nast. RODO.
Główna infrastruktura serwerowa Administratora znajduje się w Falkenstein (Niemcy, EOG) — warstwa serwerowa nie wiąże się z transferem danych poza EOG.

§ 9. Profilowanie i decyzje automatyczne

Administrator nie profiluje klientów ani nie podejmuje wobec nich decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu (w tym profilowaniu), które wywoływałyby skutki prawne lub w podobny sposób istotnie na nich wpływały (art. 22 RODO).

§ 10. Prawa osób, których dane dotyczą

Na podstawie art. 15–22 RODO przysługują następujące prawa:

Prawo	Podstawa	Na czym polega
dostępu do danych	art. 15 RODO	Uzyskanie informacji o przetwarzaniu oraz kopii danych
sprostowania	art. 16 RODO	Poprawienie nieprawidłowych danych
usunięcia	art. 17 RODO	Usunięcie danych w przypadkach z art. 17 ust. 1
ograniczenia przetwarzania	art. 18 RODO	Ograniczenie przetwarzania w przypadkach z art. 18 ust. 1
przenoszenia danych	art. 20 RODO	Otrzymanie danych w ustrukturyzowanym, powszechnie używanym formacie
sprzeciwu	art. 21 RODO	Sprzeciw wobec przetwarzania opartego na art. 6 ust. 1 lit. f
cofnięcia zgody	art. 7 ust. 3 RODO	Wycofanie zgody w dowolnym momencie

Aby skorzystać z tych praw, prosimy o kontakt na adres dpo@avantwerk.com lub pisemnie na adres siedziby. Administrator realizuje wnioski w terminie do miesiąca od ich otrzymania.

§ 11. Skarga do Prezesa UODO

Każdej osobie przysługuje prawo wniesienia skargi do organu nadzorczego — Prezesa Urzędu Ochrony Danych Osobowych (art. 77 RODO):

Urząd Ochrony Danych Osobowych
ul. Stawki 2, 00-193 Warszawa
tel. 22 531 03 00
e-mail: kancelaria@uodo.gov.pl
uodo.gov.pl

§ 12. Środki ochrony danych

Administrator stosuje techniczne i organizacyjne środki bezpieczeństwa zgodnie z art. 32 RODO:

szyfrowanie transmisji protokołem TLS 1.2/1.3 z włączonym nagłówkiem HSTS;
szyfrowanie klucza BYOK kancelarii po stronie przeglądarki (IndexedDB);
kontrolę dostępu do infrastruktury serwerowej z uwierzytelnianiem wieloskładnikowym;
regularne kopie zapasowe;
prowadzenie dziennika zdarzeń bezpieczeństwa;
zasadę minimalizacji dostępu (need-to-know).

§ 13. Pliki cookies

Zasady stosowania plików cookies opisuje odrębna Polityka cookies.

§ 14. Zmiany Polityki prywatności

Administrator może zmienić Politykę w razie zmiany przepisów, sposobu przetwarzania danych lub wprowadzenia nowych funkcji usługi.
O istotnych zmianach Administrator informuje klientów drogą elektroniczną z co najmniej 14-dniowym wyprzedzeniem.

Załącznik — przetwarzanie z udziałem AI

Informacje uzupełniające wymagane przez art. 13 RODO w związku z wykorzystaniem narzędzi sztucznej inteligencji.

A.1. BYOK — łańcuch odpowiedzialności

Kancelaria sama wybiera dostawcę modelu językowego (np. Anthropic, OpenAI, Google, DeepSeek lub inny obsługiwany).
Kancelaria zawiera umowę bezpośrednio z wybranym dostawcą i przekazuje mu własny klucz API. Klucz jest szyfrowany po stronie przeglądarki kancelarii i przechowywany lokalnie — Administrator nigdy nie ma do niego dostępu.
Zapytania do modelu językowego idą bezpośrednio z przeglądarki kancelarii do dostawcy. Administrator nie pośredniczy w tej transmisji i nie przechowuje treści zapytań.
W odniesieniu do treści spraw dostawca modelu językowego jest podmiotem przetwarzającym wyłącznie kancelarii, nie zaś podprocesorem Administratora.
Przed wysłaniem do dostawcy dane przechodzą przez bramę kontroli wyjścia działającą w przeglądarce kancelarii — dane osobowe klientów (PESEL, NIP, nazwiska, dane kontaktowe) są usuwane zgodnie z zasadą minimalizacji z art. 5 ust. 1 lit. c RODO.

A.2. Co przetwarza Administrator — zakres ograniczony

W modelu local-first Administrator przetwarza wyłącznie metadane konta, logi systemowe i dane rozliczeniowe. Administrator nie przetwarza treści dokumentów spraw kancelarii ani danych osobowych jej klientów.

A.3. Obowiązek weryfikacji każdego wyniku AI

Każdy wynik wygenerowany z udziałem modelu językowego jest oznaczony jako wymagający weryfikacji przez uprawnionego prawnika. Model pracy z udziałem człowieka (human-in-the-loop) jest elementem technicznym usługi — żaden wynik AI nie może zostać zastosowany autonomicznie.

A.4. Akt o AI — przejrzystość

Avantwerk Legal AI jest klasyfikowany jako system AI wysokiego ryzyka w rozumieniu Załącznika III do rozporządzenia (UE) 2024/1689 (Akt o AI) — kategoria sprawowania wymiaru sprawiedliwości. Administrator wdraża mechanizmy przejrzystości wymagane przez art. 50 Aktu o AI.