Dokumenty prawne

Polityka prywatności

Wersja 2.2

Niniejsza Polityka Prywatności realizuje obowiązek informacyjny wynikający z art. 13 i art. 14 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. („RODO"). Dotyczy przetwarzania danych osobowych w związku z korzystaniem z serwisu internetowego biurko.io („Biurko", „Serwis").

Polityka uwzględnia również:

  • ustawę o świadczeniu usług drogą elektroniczną,
  • ustawa z dnia 5 sierpnia 2025 r. o zmianie ustawy o podatku od towarów i usług oraz ustawy o zmianie ustawy o podatku od towarów i usług oraz niektórych innych ustaw (Dz.U. 2025 poz. 1203) — w zakresie przekazywania danych Faktur do KSeF,
  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 (AI Act) — w zakresie potencjalnych funkcji opartych o AI, w tym obowiązków transparentności z art. 50 mających zastosowanie od 2 sierpnia 2026 r.,
  • Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 (NIS2) wdrożona ustawą o krajowym systemie cyberbezpieczeństwa (KSC 2.0) oraz polską ustawę o krajowym systemie cyberbezpieczeństwa (KSC), obowiązującą od 3 kwietnia 2026 r., w zakresie bezpieczeństwa informacji,
  • wytyczne UODO z grudnia 2024 r. oraz Opinion 28/2024 Europejskiej Rady Ochrony Danych z 17 grudnia 2024 r. dotyczącą przetwarzania danych osobowych w kontekście modeli AI.

Spis treści

1. Administrator danych

Administratorem danych osobowych jest:

ITCompass - ARTEM SHEVCHENKO prowadzący działalność w formie działalność jednoosobowa Zawiszy Czarnego 6, 40-872 Katowice, Polska NIP: 6343060594 · REGON: 542705577 e-mail: contact@itcompass.io · tel.: +48 732 959 892

Dalej: „Administrator" lub „my".

W sprawach związanych z ochroną danych osobowych można skontaktować się z Administratorem pod adresem contact@itcompass.io.

Administrator nie powołał Inspektora Ochrony Danych (IOD), gdyż nie zachodzą przesłanki z art. 37 ust. 1 RODO (główna działalność nie polega na regularnym i systematycznym monitorowaniu osób na dużą skalę ani na przetwarzaniu szczególnych kategorii danych). Kontakt w sprawach RODO: contact@itcompass.io.

2. Kategorie przetwarzanych danych

2.1 Dane Usługobiorców (osób zakładających Konto)

Imię i nazwisko, adres e-mail, numer telefonu (opcjonalnie), hasło (przechowywane w formie skrótu — bcrypt), język interfejsu, strefa czasowa, adres IP, identyfikator sesji, dane o urządzeniu/przeglądarce, preferencje ustawień, status weryfikacji 2FA.

2.2 Dane Firm Usługobiorcy

Firma/nazwa, NIP, REGON, KRS (opcjonalnie), adres siedziby, numery rachunków bankowych, dane kontaktowe Firmy, certyfikaty i klucze prywatne wykorzystywane do uwierzytelniania w KSeF (przechowywane w postaci zaszyfrowanej — AES-256, w odrębnym sejfie/vault).

2.3 Dane Kontrahentów (nabywców)

Dane wprowadzane przez Usługobiorcę do Serwisu w celu wystawiania Faktur: nazwa lub imię i nazwisko, NIP/PESEL, adres, adres e-mail, numer telefonu, numer rachunku bankowego, dane niezbędne na Fakturze. W tym zakresie Administrator działa jako podmiot przetwarzający na zlecenie Usługobiorcy (art. 28 RODO).

2.4 Dane Faktur i dokumentów

Numery Faktur, daty, pozycje, stawki VAT, kwoty, waluty, opisy, załączniki (w tym załączniki przekazywane do KSeF), status wysyłki do KSeF (online / offline24 / tryb awaryjny), potwierdzenia UPO, kody QR offline.

2.5 Dane płatności abonamentowych

Wybrany Plan (FREE / SOLO / TEAM / SCALE), cykl rozliczeniowy, status płatności, tokeny operatora płatności (Stripe), dane do wystawienia faktury VAT za Abonament. Administrator nie przechowuje pełnych danych kart płatniczych — są one przetwarzane wyłącznie przez Stripe Payments Europe, Limited zgodnie ze standardem PCI DSS.

2.6 Dane techniczne i bezpieczeństwa

Logi aktywności (audit log), logi uwierzytelnień KSeF (w tym adresy IP, user-agent, treść żądań i odpowiedzi w zakresie niezbędnym do diagnostyki), identyfikatory sesji, subskrypcje Web Push (endpoint przeglądarki, klucze publiczne p256dh i auth — opcjonalnie, za odrębną zgodą wyrażoną w przeglądarce).

2.7 Dane marketingowe

Adres e-mail, zgoda na komunikację marketingową (potwierdzona w trybie double opt-in), data i IP wyrażenia zgody, wersja Polityki Prywatności w chwili wyrażenia zgody, historia wysyłek.

2.8 Dane zgłoszeń DSA

W przypadku zgłoszenia kierowanego do Punktu kontaktowego DSA Administrator przetwarza: dane kontaktowe zgłaszającego, treść zgłoszenia, korespondencję dotyczącą rozpatrzenia zgłoszenia. Podstawa prawna: art. 6 ust. 1 lit. c RODO w zw. z art. 11–17 DSA.

3. Cele i podstawy prawne przetwarzania

Cel Podstawa prawna (RODO) Przykłady danych
Świadczenie Usług zgodnie z Regulaminem (prowadzenie Konta, obsługa Faktur) art. 6 ust. 1 lit. b — wykonanie umowy dane Usługobiorcy, Firmy, Faktur
Wystawianie i przekazywanie faktur ustrukturyzowanych do KSeF art. 6 ust. 1 lit. c — obowiązek prawny (ustawa z dnia 11 marca 2004 r. o podatku od towarów i usług (Dz.U. 2025 poz. 775 z późn. zm.), ustawa z dnia 5 sierpnia 2025 r. o zmianie ustawy o podatku od towarów i usług oraz ustawy o zmianie ustawy o podatku od towarów i usług oraz niektórych innych ustaw (Dz.U. 2025 poz. 1203)) dane Faktur, NIP, dane Kontrahentów
Rozliczenia i wystawianie faktur VAT za Abonament art. 6 ust. 1 lit. c — obowiązek prawny (Ordynacja podatkowa, ustawa o VAT) dane rozliczeniowe, dane Firm
Obsługa płatności art. 6 ust. 1 lit. b — wykonanie umowy dane płatności, tokeny Stripe
Komunikacja serwisowa (powiadomienia, odpowiedzi na zapytania) art. 6 ust. 1 lit. b / lit. f — uzasadniony interes adres e-mail, treść wiadomości
Marketing własny (newsletter blog/changelog) art. 6 ust. 1 lit. a — zgoda (double opt-in) adres e-mail, preferencje
Bezpieczeństwo, zapobieganie nadużyciom, logi audytu art. 6 ust. 1 lit. f — uzasadniony interes adres IP, user-agent, logi
Rozpatrywanie zgłoszeń DSA art. 6 ust. 1 lit. c — obowiązek prawny (art. 11–17 DSA) dane kontaktowe zgłaszającego, treść zgłoszenia
Dochodzenie roszczeń i obrona przed nimi art. 6 ust. 1 lit. f — uzasadniony interes dane transakcji, korespondencja
Prowadzenie statystyk technicznych Serwisu (bez profilowania) art. 6 ust. 1 lit. f — uzasadniony interes dane techniczne

4. Okresy przechowywania

Kategoria danych Okres
Dane Konta przez czas obowiązywania Umowy + 30 dni grace po usunięciu Konta
Faktury wystawione przez Usługobiorcę 5 lat (60 miesięcy) od dezaktywacji Konta — okres odpowiada minimum z art. 70 § 1 Ordynacji podatkowej, art. 112 ustawy o VAT i art. 74 ust. 2 pkt 8 ustawy o rachunkowości (licząc od końca roku obrotowego). Kopia w KSeF dostępna przez 10 lat po stronie Minister Finansów Rzeczypospolitej Polskiej (Ministerstwo Finansów, ul. Świętokrzyska 12, 00-916 Warszawa) — operacyjnie: Szef Krajowej Administracji Skarbowej
Faktury VAT za Abonament zgodnie z art. 70 Ordynacji podatkowej — 5 lat + rok bieżący
Logi bezpieczeństwa i uwierzytelnień 12 miesięcy
Sesje użytkownika do 120 minut nieaktywności, maksymalnie do końca okresu sesji
Zgody marketingowe i dane newslettera do wycofania zgody lub cofnięcia subskrypcji
Zgłoszenia DSA i korespondencja moderacyjna 6 lat od zamknięcia zgłoszenia
Dane niezbędne do dochodzenia roszczeń do upływu terminu przedawnienia (zwykle 3–6 lat)

Po upływie wskazanych okresów dane są trwale usuwane lub nieodwracalnie anonimizowane (np. zerowanie pól osobowych w archiwum Faktur). Usługobiorca uprawniony jest w każdym czasie do pobrania pełnej kopii Faktur w formacie ustrukturyzowanym za pośrednictwem funkcji eksportu danych.

5. Odbiorcy danych

5.1 Podmioty przetwarzające (procesory) działające na zlecenie Administratora

Administrator korzysta z następujących, imiennie wskazanych podmiotów przetwarzających:

  1. Stripe Payments Europe, Limited (numer CRO 513174) — 1 Grand Canal Street Lower, Grand Canal Dock, Dublin 2, D02 H210, Irlandia (UE). Cel: obsługa płatności abonamentowych. Polityka prywatności: https://stripe.com/privacy · DPA: https://stripe.com/legal/dpa. Systemy globalne Stripe, Inc. (510 Townsend Street, San Francisco, CA 94103, USA) na podstawie EU-US Data Privacy Framework (decyzja KE C(2023)4745 z 10 lipca 2023 r.) oraz SCC 2021/914.
  2. Mailgun Technologies, Inc. (część grupy Sinch AB) — 112 E Pecan St #1135, San Antonio, TX 78205, USA. Cel: doręczanie wiadomości e-mail (transakcyjnych i marketingowych). Operacyjne przetwarzanie wiadomości i metadanych Usługobiorcy odbywa się w regionie europejskim („EU region" Mailgun — AWS eu-central-1, Frankfurt, Niemcy). Warstwa zarządcza (support, logi systemowe, panel administracyjny) może być przetwarzana w USA. Polityka prywatności: https://www.mailgun.com/legal/privacy-policy/ · DPA: https://www.mailgun.com/legal/dpa/.
  3. HOSTINGER operations, UAB (litewski numer rejestrowy 306308157) — ul. Švitrigailos g. 34, LT-03230 Vilnius, Litwa (UE). Cel: hosting serwerów aplikacji, baz danych PostgreSQL oraz kopii zapasowych. Data center w UE: Litwa, Niemcy, Niderlandy. Polityka prywatności: https://www.hostinger.com/legal/privacy-policy · DPA: https://www.hostinger.com/legal/dpa.

Wszyscy podwykonawcy zobowiązani są do przestrzegania art. 28 RODO oraz do stosowania środków bezpieczeństwa adekwatnych do charakteru przetwarzania. Aktualną listę publikujemy również w Załączniku nr 3 do Regulaminu.

5.2 Odbiorca uruchamiany przez Usługobiorcę — klient AI (integracja MCP)

Serwis udostępnia opcjonalny, uruchamiany wyłącznie z inicjatywy Usługobiorcy interfejs integracyjny oparty o protokół Model Context Protocol (MCP), pozwalający Usługobiorcy połączyć z Serwisem wybrany przez siebie zewnętrzny klient/asystent AI (np. Claude, Cursor, ChatGPT). Jeżeli i tylko jeżeli Usługobiorca aktywuje takie połączenie, dane, o które poprosi za pośrednictwem klienta AI, są przekazywane do dostawcy tego klienta AI wybranego przez Usługobiorcę. Dostawca AI działa wówczas jako odrębny odbiorca danych po stronie Usługobiorcynie jest podwykonawcą (subprocesorem) Administratora, a Administrator nie jest podmiotem przetwarzającym dla dostawcy AI. Szczegóły, zakres przekazywanych danych, mechanizmy kontroli (uprawnienia, dziennik wywołań, natychmiastowe odłączenie) oraz lista wspieranych klientów wraz z linkami do ich polityk prywatności znajdują się w sekcji 12.

5.3 Odrębni administratorzy

  1. Minister Finansów Rzeczypospolitej Polskiej (Ministerstwo Finansów, ul. Świętokrzyska 12, 00-916 Warszawa) — operacyjnie: Szef Krajowej Administracji Skarbowej — operator Krajowy System e-Faktur (KSeF). Strona: https://ksef.podatki.gov.pl/. Środowisko produkcyjne: https://ap.ksef.mf.gov.pl/. IOD: IOD@mf.gov.pl. Infolinia: 22 330 03 30 / 801 055 055. Przetwarzanie na podstawie art. 6 ust. 1 lit. c RODO oraz przepisów ustawa z dnia 11 marca 2004 r. o podatku od towarów i usług (Dz.U. 2025 poz. 775 z późn. zm.) i ustawa z dnia 5 sierpnia 2025 r. o zmianie ustawy o podatku od towarów i usług oraz ustawy o zmianie ustawy o podatku od towarów i usług oraz niektórych innych ustaw (Dz.U. 2025 poz. 1203). Minister Finansów jest odrębnym administratorem danych zawartych w KSeF; dane są przekazywane w celu realizacji obowiązku wystawiania i odbioru faktur ustrukturyzowanych.
  2. Główny Urząd Statystyczny (GUS) — al. Niepodległości 208, 00-925 Warszawa. W przypadku weryfikacji danych podmiotów gospodarczych po NIP lub REGON (publiczny rejestr REGON, art. 6 ust. 1 lit. f RODO w zw. z ustawą o statystyce publicznej).

5.4 Inne podmioty

  • Organy władzy publicznej, sądy, prokuratura — jeżeli przekazanie danych wynika z obowiązku prawnego;
  • Koordynator usług cyfrowych — Prezes Urzędu Komunikacji Elektronicznej (UKE), ul. Giełdowa 7/9, 01-211 Warszawa — w ramach realizacji obowiązków wynikających z DSA;
  • CSIRT NASK (Computer Security Incident Response Team — NASK PIB), ul. Kolska 12, 01-045 Warszawa — w razie ziszczenia się obowiązków zgłoszeniowych wynikających z ustawy o KSC (w przypadku zakwalifikowania Administratora jako podmiotu kluczowego lub ważnego).

6. Przekazywanie danych do państw trzecich

Co do zasady dane przetwarzane są na terytorium Unii Europejskiej.

Częściowy transfer danych do państwa trzeciego ma miejsce w następujących przypadkach:

  • Stripe, Inc. (USA, San Francisco) — globalne systemy płatności wspierające Stripe Payments Europe, Limited;
  • Mailgun Technologies, Inc. (USA, San Antonio) — strona umowy oraz administrator infrastruktury obsługującej europejski region Mailgun; operacyjne przetwarzanie wiadomości pozostaje w UE, lecz warstwa zarządcza (support, logi systemowe, panel administracyjny) może być przetwarzana w USA.

Transfery te odbywają się wyłącznie na podstawie zabezpieczeń wymaganych przez art. 46 RODO:

  • EU-US Data Privacy Framework (decyzja Komisji Europejskiej C(2023)4745 z dnia 10 lipca 2023 r.) — dla Stripe, Inc. oraz Mailgun Technologies, Inc., jako podmiotów certyfikowanych w ramach DPF,
  • Standardowe Klauzule Umowne (SCC 2021/914) — moduł 2 (controller → processor poza EOG) jako dodatkowe zabezpieczenie kontraktowe.

Przed rozpoczęciem transferu Administrator dokonuje oceny skutków transferu (Transfer Impact Assessment) zgodnie z wytycznymi EROD (zalecenia 01/2020).

Odrębnym, uruchamianym wyłącznie przez Usługobiorcę kierunkiem ewentualnego transferu jest przekazanie danych do dostawcy klienta AI połączonego przez Usługobiorcę za pośrednictwem integracji MCP (sekcja 12). Kierunek i podstawa transferu zależą od dostawcy klienta AI wybranego przez Usługobiorcę; część dostawców przetwarza dane poza EOG (USA) na podstawie EU-US Data Privacy Framework oraz Standardowych Klauzul Umownych (SCC 2021/914). Usługodawca nie jest stroną tych transferów ani podmiotem przetwarzającym dla dostawcy AI.

7. Prawa osoby, której dane dotyczą

Na podstawie RODO przysługują Państwu następujące prawa:

  • dostępu do danych (art. 15 RODO),
  • sprostowania nieprawidłowych lub niekompletnych danych (art. 16),
  • usunięcia danych („prawo do bycia zapomnianym" — art. 17),
  • ograniczenia przetwarzania (art. 18),
  • przenoszenia danych (art. 20) — dane dostarczone przez Państwa, przetwarzane na podstawie zgody lub umowy, otrzymacie w formacie ustrukturyzowanym, powszechnie używanym i nadającym się do odczytu maszynowego (JSON, CSV oraz — dla Faktur — XML zgodny ze schematem FA(3) Ministra Finansów),
  • sprzeciwu wobec przetwarzania opartego na prawnie uzasadnionym interesie (art. 21),
  • cofnięcia zgody w dowolnym momencie — bez wpływu na zgodność przetwarzania przed cofnięciem (art. 7 ust. 3) — dotyczy danych przetwarzanych na podstawie zgody (np. marketing, Web Push).

Aby skorzystać z praw, prosimy o kontakt: contact@itcompass.io. Odpowiadamy bez zbędnej zwłoki, nie później niż w terminie miesiąca (art. 12 ust. 3 RODO).

Prawo do skargi

Przysługuje Państwu prawo wniesienia skargi do organu nadzorczego:

Prezes Urzędu Ochrony Danych Osobowych (PUODO) ul. Stawki 2, 00-193 Warszawa https://uodo.gov.pl

8. Dobrowolność / wymóg podania danych

Podanie danych osobowych jest dobrowolne, jednak niezbędne do:

  • zawarcia i wykonywania Umowy (np. adres e-mail, dane Firmy),
  • wystawiania Faktur zgodnych z przepisami (np. NIP, adres),
  • integracji z KSeF (certyfikaty, NIP).

Niepodanie tych danych uniemożliwia korzystanie z odpowiednich funkcji Serwisu.

9. Zautomatyzowane podejmowanie decyzji i profilowanie

Na dzień wejścia Polityki w życie Administrator nie stosuje zautomatyzowanego podejmowania decyzji wywołujących wobec Państwa skutki prawne ani istotnie wpływających na Państwa sytuację w rozumieniu art. 22 RODO. Nie stosujemy również profilowania dla celów marketingowych.

Udostępniona przez Administratora integracja z klientem AI (sekcja 12) służy do wykonywania operacji zleconych przez Usługobiorcę za pośrednictwem wybranego przez niego asystenta AI i nie stanowi zautomatyzowanego podejmowania decyzji przez Administratora w rozumieniu art. 22 RODO. W razie wdrożenia w przyszłości własnych funkcji Administratora opartych o AI lub algorytmy decyzyjne, Administrator zaktualizuje Politykę i — jeżeli będzie to wymagane — uzyska wyraźną zgodę osoby, której dane dotyczą, zgodnie z art. 22 ust. 2 lit. c RODO.

10. Dane Kontrahentów Usługobiorcy (powierzenie przetwarzania)

W zakresie danych osobowych Kontrahentów wprowadzonych do Serwisu przez Usługobiorcę:

  • administratorem tych danych pozostaje Usługobiorca,
  • Administrator (ITCompass - ARTEM SHEVCHENKO) działa jako podmiot przetwarzający na podstawie umowy powierzenia zawartej poprzez akceptację Regulaminu (Załącznik nr 2 do Regulaminu),
  • obowiązek informacyjny wobec Kontrahentów (w szczególności poinformowanie ich o przekazaniu danych do KSeF) spoczywa na Usługobiorcy.

11. KSeF — informacja szczegółowa

Dane zawarte w Fakturach wystawianych za pośrednictwem Serwisu są przekazywane do Krajowy System e-Faktur (KSeF) prowadzonego przez Minister Finansów Rzeczypospolitej Polskiej (Ministerstwo Finansów, ul. Świętokrzyska 12, 00-916 Warszawa) — operacyjnie: Szef Krajowej Administracji Skarbowej. Strona oficjalna systemu: https://ksef.podatki.gov.pl/. Podstawą prawną przekazania jest obowiązek wynikający z ustawa z dnia 11 marca 2004 r. o podatku od towarów i usług (Dz.U. 2025 poz. 775 z późn. zm.) oraz ustawa z dnia 5 sierpnia 2025 r. o zmianie ustawy o podatku od towarów i usług oraz ustawy o zmianie ustawy o podatku od towarów i usług oraz niektórych innych ustaw (Dz.U. 2025 poz. 1203).

Harmonogram wejścia w życie obowiązkowego KSeF:

  • od 1 lutego 2026 r. — podatnicy, których sprzedaż w 2024 r. przekroczyła 200 mln zł,
  • od 1 kwietnia 2026 r. — pozostali czynni podatnicy VAT,
  • od 1 stycznia 2027 r. — pełne zniesienie wyjątków (faktury <10 000 zł, kasy rejestrujące); w tym samym terminie wchodzą w życie sankcje finansowe z art. 106ni ustawy o VAT, zawieszone do 1 stycznia 2027 r..

Charakterystyka przekazania danych:

  • Minister Finansów Rzeczypospolitej Polskiej (Ministerstwo Finansów, ul. Świętokrzyska 12, 00-916 Warszawa) — operacyjnie: Szef Krajowej Administracji Skarbowej przechowuje faktury ustrukturyzowane przez okres 10 lat.
  • Minister Finansów jest odrębnym administratorem danych zawartych w KSeF; IOD: IOD@mf.gov.pl.
  • Usługobiorca zachowuje status administratora danych Kontrahentów wprowadzonych do systemu.
  • W trybie offline24 Faktura przekazywana jest do KSeF z opóźnieniem nieprzekraczającym następnego dnia roboczego; do tego czasu Administrator przechowuje ją lokalnie z odpowiednim zabezpieczeniem.
  • W trybie awaryjnym (art. 106nf ustawy o VAT) Faktura przekazywana jest do KSeF w terminie 7 dni roboczych od końca ogłoszonej przez Ministra Finansów niedostępności KSeF.

12. Funkcje oparte o sztuczną inteligencję (AI)

Serwis udostępnia opcjonalną integrację z asystentem (klientem) AI opartą o protokół Model Context Protocol (MCP). Jest to funkcja dobrowolna i uruchamiana wyłącznie z inicjatywy Usługobiorcy — domyślnie żadne dane nie są przekazywane do systemów AI. Administrator nie świadczy własnego modelu AI ani nie korzysta z modeli AI do samodzielnego przetwarzania danych osobowych Usługobiorców w Serwisie.

Na czym polega integracja. Administrator udostępnia po swojej stronie bezpieczny interfejs (serwer MCP). Usługobiorca może połączyć z nim wybrany przez siebie, zewnętrzny klient/asystent AI (np. Claude, Cursor, ChatGPT). Po nawiązaniu połączenia Usługobiorca może — za pośrednictwem tego klienta AI — wydawać polecenia odczytu i wykonywania operacji na własnych danych w Serwisie (np. listowanie Faktur, tworzenie Kontrahentów).

Przepływ danych i role. Dane, o które Usługobiorca poprosi za pośrednictwem klienta AI, są przekazywane do dostawcy tego klienta AI — wybranego i połączonego przez samego Usługobiorcę. Dostawca AI jest w tym zakresie odrębnym odbiorcą danych działającym po stronie Usługobiorcy; przetwarza dane na własnych zasadach i własnej polityce prywatności. Administrator nie jest podmiotem przetwarzającym dla dostawcy AI, nie kontroluje sposobu przetwarzania danych przez tego dostawcę i nie umieszcza dostawcy AI na liście swoich podwykonawców (subprocesorów). Wybór dostawcy AI, akceptacja jego warunków oraz — w razie potrzeby — realizacja wobec niego obowiązków administratora danych, należą do Usługobiorcy.

Transfer do państwa trzeciego. Kierunek i podstawa transferu zależą od dostawcy klienta AI wybranego przez Usługobiorcę; część dostawców przetwarza dane poza EOG (USA) na podstawie EU-US Data Privacy Framework oraz Standardowych Klauzul Umownych (SCC 2021/914). Usługodawca nie jest stroną tych transferów ani podmiotem przetwarzającym dla dostawcy AI.

Mechanizmy kontroli po stronie Usługobiorcy. Aby zachować kontrolę nad zakresem ujawnianych danych, Serwis zapewnia:

  • uprawnienia (scope) per połączenie — uprawnienia (scope) nadawane per połączenie — Usługobiorca decyduje, do jakich danych i operacji ma dostęp klient AI;
  • dziennik wywołań (audit log) — dziennik wywołań (audit log) każdego narzędzia uruchomionego przez klienta AI;
  • natychmiastowe odłączenie (revoke) — natychmiastowe odłączenie (revoke) połączenia w dowolnym momencie.

Transparentność (art. 50 AI Act). Zgodnie z obowiązkami transparentności wynikającymi z art. 50 AI Act (mającymi zastosowanie od 2 sierpnia 2026 r.), w odniesieniu do jakichkolwiek funkcji AI prezentowanych po stronie Serwisu Administrator wyraźnie oznacza interakcję z systemem AI oraz treści wygenerowane lub zmodyfikowane przez AI. W żadnym przypadku Administrator nie stosuje systemów AI w sposób stanowiący zakazaną praktykę w rozumieniu art. 5 AI Act (obowiązującego od 2 lutego 2025 r.).

Wspierani klienci AI. Lista zewnętrznych klientów/asystentów AI obsługiwanych w ramach integracji, wraz z odesłaniem do ich polityk prywatności (transparentność co do możliwych odbiorców danych po stronie Usługobiorcy):

Powyższa lista ma charakter informacyjny; o dodaniu lub zmianie wspieranych klientów AI Administrator informuje w ramach aktualizacji Polityki, z wyprzedzeniem co najmniej 14-dniowym. Przed wdrożeniem ewentualnych własnych funkcji AI Administrator przeprowadzi ocenę skutków przetwarzania (DPIA) zgodnie z art. 35 RODO oraz uwzględni rekomendacje z Opinion 28/2024 Europejskiej Rady Ochrony Danych dotyczącej modeli AI.

13. Bezpieczeństwo danych i NIS2 / KSC

Administrator stosuje środki techniczne i organizacyjne odpowiednie do zagrożeń, w szczególności:

  • szyfrowanie transmisji (TLS),
  • szyfrowanie danych wrażliwych (certyfikatów i kluczy prywatnych KSeF) algorytmem AES-256, w odrębnym sejfie kluczy (vault),
  • hashowanie haseł (bcrypt),
  • kontrolę dostępu opartą o role i uprawnienia,
  • uwierzytelnianie wieloskładnikowe (2FA),
  • kopie zapasowe i monitoring bezpieczeństwa,
  • logi audytu przechowywane przez 12 miesięcy.

Status w świetle NIS2 / KSC. Polska ustawa o krajowym systemie cyberbezpieczeństwa transponująca Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 (NIS2) wdrożona ustawą o krajowym systemie cyberbezpieczeństwa (KSC 2.0) obowiązuje od 3 kwietnia 2026 r.. Status podmiotu (kluczowy / ważny) ustala się m.in. na podstawie progu 50 pracowników lub rocznego obrotu / sumy bilansowej 10 mln EUR. Z uwagi na formę prowadzonej działalności (działalność jednoosobowa) oraz wielkość organizacji, na dzień wejścia Polityki w życie Administrator nie kwalifikuje się jako podmiot kluczowy ani podmiot ważny w rozumieniu wymienionych przepisów. Administrator dobrowolnie stosuje wybrane standardy bezpieczeństwa z Załączników I i II NIS2.

W razie przekroczenia progów, o których mowa wyżej, Administrator dokona rejestracji w wykazie w terminie do 3 października 2026 r. oraz wdroży system zarządzania bezpieczeństwem informacji do 3 kwietnia 2027 r..

Zgłoszenia incydentów bezpieczeństwa można kierować na adres security@itcompass.io. W przypadku naruszenia ochrony danych osobowych Administrator zgłasza zdarzenie do PUODO zgodnie z art. 33 RODO oraz informuje osoby, których dane dotyczą, zgodnie z art. 34 RODO. W przypadku objęcia obowiązkami z ustawy o KSC, dodatkowe zgłoszenia kierowane są do CSIRT NASK (ul. Kolska 12, 01-045 Warszawa) w terminach 24 h / 72 h / 1 miesiąca.

14. Pliki cookies

Szczegółowe informacje o wykorzystywanych plikach cookies znajdują się w Polityka cookies dostępnej pod adresem biurko.io/polityka-cookies. Na dzień wejścia Polityki w życie Serwis wykorzystuje wyłącznie cookies niezbędne do działania usługi (art. 173 ust. 3 pkt 1 Prawa telekomunikacyjnego).

Przed ewentualnym wdrożeniem cookies analitycznych lub marketingowych Administrator uruchomi baner zgody zgodny z wytycznymi UODO z grudnia 2024 r., w tym z równorzędnymi przyciskami „Akceptuj wszystkie" oraz „Odrzuć wszystkie".

15. Zmiany Polityki Prywatności

Administrator zastrzega prawo zmiany Polityki Prywatności. O zmianach Usługobiorcy zostaną poinformowani co najmniej 14 dni przed wejściem zmian w życie, drogą elektroniczną na adres podany przy rejestracji, wraz z listą najważniejszych zmian (changelog).

Archiwum poprzednich wersji dostępne jest pod adresem biurko.io/legal/polityka-prywatnosci/archiwum.

Poprzednie wersje

ITCompass - ARTEM SHEVCHENKO · Katowice · contact@itcompass.io

Pliki cookies

Używamy plików cookies, aby zapewnić działanie usługi i — za Twoją zgodą — usprawnić ją. Możesz zaakceptować wszystkie, odrzucić opcjonalne lub dostosować wybór. Polityka cookies