Moja kancelaria - Logo Moja kancelaria

Polityka prywatności

Wersja: 1.1  |  Obowiązuje od: 24 lutego 2026

Polityka prywatności

Niniejsza Polityka prywatności opisuje, w jaki sposób przetwarzamy Twoje dane osobowe w ramach usługi Solicitors Firm Engine (dalej: „SFE", „Usługa", „System").

1. Administrator danych

Administratorem Twoich danych osobowych jest właściciel kancelarii (tenant), w ramach której posiadasz konto w Systemie. Operator platformy SFE przetwarza dane w imieniu Administratora na podstawie umowy powierzenia przetwarzania danych.

Kontakt z operatorem platformy: Damian Giebas — damian.giebas@gmail.com

2. Jakie dane zbieramy

Dane konta użytkownika: imię, nazwisko, adres e-mail, nazwa użytkownika.

Dane klientów kancelarii: imię i nazwisko, PESEL, NIP, adresy — wprowadzane przez użytkowników w ramach obsługi spraw prawnych.

Dane podmiotów prawnych: nazwa, KRS, NIP, adres siedziby.

Dane techniczne: adres IP, informacje o przeglądarce (user agent), znaczniki czasu operacji.

Dane konfiguracji poczty: nazwa użytkownika i hasło do serwera IMAP (przechowywane w formie zaszyfrowanej).

Dane korespondencji: nadawca, odbiorcy i temat wiadomości e-mail importowanych do spraw.

Zdjęcia kopert: obrazy kopert pocztowych przesyłane do funkcji rozpoznawania danych adresowych (OCR).

3. Cele i podstawy prawne przetwarzania

Wykonanie umowy (art. 6 ust. 1 lit. b RODO):

  • obsługa konta użytkownika i uwierzytelnianie,
  • zarządzanie sprawami prawnymi, klientami i korespondencją,
  • import i obsługa poczty e-mail,
  • rozpoznawanie danych z kopert pocztowych (OCR).

Obowiązek prawny (art. 6 ust. 1 lit. c RODO):

  • rejestrowanie akceptacji regulaminu i polityki prywatności (treść dokumentu, data, adres IP).

Uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO):

  • prowadzenie dziennika operacji (audit log) w celu zapewnienia bezpieczeństwa i rozliczalności,
  • monitorowanie błędów i stabilności Systemu (Sentry).

4. Odbiorcy danych

Twoje dane mogą być przekazywane następującym kategoriom odbiorców:

Dostawcy infrastruktury:

  • Heroku (Salesforce) — hosting aplikacji i bazy danych (EU).
  • Cloudflare R2 / AWS S3 — przechowywanie załączników (EU).
  • Dostawca SMTP — wysyłka wiadomości e-mail.

Dostawcy usług bezpieczeństwa i analityki:

  • Sentry — monitoring błędów aplikacji. System przesyła do Sentry adres IP, adres e-mail zalogowanego użytkownika oraz informacje o przeglądarce. Dane przechowywane w EU, retencja: 90 dni.
  • Cloudflare Turnstile — ochrona formularzy przed botami (CAPTCHA). Przetwarza adres IP i informacje o przeglądarce.

Dostawcy usług sztucznej inteligencji (AI):

  • OpenAI (lub inny dostawca modeli językowych, np. Anthropic, Google) — w ramach funkcji OCR kopert pocztowych. Przesyłany jest obraz koperty, który może zawierać dane osobowe (imiona, nazwiska, adresy). Dane te są przetwarzane wyłącznie w celu jednorazowej ekstrakcji danych adresowych i nie są przechowywane przez dostawcę AI dłużej niż jest to niezbędne do realizacji żądania.

5. Przekazywanie danych poza EOG

Korzystanie z usług dostawców AI (OpenAI, Anthropic, Google) może wiązać się z przekazywaniem danych do Stanów Zjednoczonych lub innych krajów poza Europejskim Obszarem Gospodarczym. Przekazywanie odbywa się na podstawie standardowych klauzul umownych (SCC) lub decyzji Komisji Europejskiej o adekwatności ochrony danych (EU-US Data Privacy Framework).

Pozostali dostawcy (Heroku, Sentry, Cloudflare R2) przetwarzają dane w regionie EU.

6. Okres przechowywania danych

  • Dane konta użytkownika — do momentu usunięcia (anonimizacji) konta.
  • Dane spraw prawnych i klientów — zgodnie z regulaminem kancelarii, nie krócej niż 10 lat (wymogi archiwizacyjne).
  • Akceptacje dokumentów prawnych — bezterminowo (obowiązek dowodowy).
  • Dziennik operacji (audit log) — 5 lat.
  • Dane diagnostyczne (Sentry) — 90 dni.
  • Żądania rejestracji kancelarii — 30 dni po odrzuceniu.

7. Twoje prawa

Na podstawie RODO przysługują Ci następujące prawa:

  • Prawo dostępu — możesz pobrać swoje dane w formacie JSON z poziomu Systemu (Mój profil → Eksport danych).
  • Prawo do sprostowania — możesz edytować swoje dane w ustawieniach profilu.
  • Prawo do usunięcia — możesz żądać anonimizacji konta. System zastępuje dane osobowe anonimowymi identyfikatorami i usuwa powiązane dane (w tym konfigurację poczty IMAP).
  • Prawo do ograniczenia przetwarzania — możesz żądać dezaktywacji konta.
  • Prawo do przenoszenia danych — eksport danych w formacie JSON.
  • Prawo do sprzeciwu — wobec przetwarzania opartego na uzasadnionym interesie.
  • Prawo do cofnięcia zgody — w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania dokonanego przed cofnięciem.
  • Prawo do skargi — do Prezesa Urzędu Ochrony Danych Osobowych (UODO), ul. Stanisława Moniuszki 1A, 00-014 Warszawa.

W celu realizacji swoich praw skontaktuj się z administratorem kancelarii lub operatorem platformy.

8. Pliki cookies i dane sesji

System wykorzystuje wyłącznie pliki cookies niezbędne do działania:

  • Cookie sesji — utrzymanie sesji zalogowanego użytkownika (wygasa po 24 godzinach od zalogowania).
  • Cookie CSRF — ochrona przed atakami Cross-Site Request Forgery.

System nie wykorzystuje cookies marketingowych, reklamowych ani analitycznych.

9. Bezpieczeństwo danych

Stosujemy następujące środki ochrony:

  • szyfrowanie transmisji (HTTPS/TLS),
  • szyfrowanie wybranych pól wrażliwych w bazie danych (np. haseł do kont pocztowych),
  • izolacja danych kancelarii (osobne schematy bazy danych),
  • uwierzytelnianie dwuskładnikowe (MFA),
  • kontrola dostępu oparta na rolach (RBAC),
  • dziennik operacji (audit log),
  • regularne kopie zapasowe z szyfrowaniem.

10. Zmiany polityki

O istotnych zmianach w Polityce prywatności poinformujemy Cię poprzez wymaganie ponownej akceptacji dokumentu przy kolejnym logowaniu do Systemu.