Умови надання послуг (Regulamin)

Цей Регламент визначає правила надання Постачальником послуг електронним шляхом через інтернет-сервіс, доступний за адресою biurko.io, і складений на виконання обов'язку, що випливає зі ст. 8 ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U. 2024 poz. 1513 z późn. zm.).

Регламент також враховує:

• Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2065 (Akt o usługach cyfrowych — DSA) — щодо обов'язків постачальників посередницьких послуг,
• Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/770 w sprawie umów o dostarczanie treści cyfrowych i usług cyfrowych — щодо договорів про надання цифрового контенту та цифрових послуг,
• Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/2161 (dyrektywa Omnibus) та ustawa z dnia 30 maja 2014 r. o prawach konsumenta (Dz.U. 2025 z późn. zm.) — щодо захисту прав споживачів,
• ustawa z dnia 5 sierpnia 2025 r. o zmianie ustawy o podatku od towarów i usług oraz ustawy o zmianie ustawy o podatku od towarów i usług oraz niektórych innych ustaw (Dz.U. 2025 poz. 1203) — щодо інтеграції з Національною системою електронних фактур (KSeF), у тому числі режим offline24 (ст. 106nda Закону про ПДВ), аварійний режим (ст. 106nf) та санкції, передбачені ст. 106ni Закону про ПДВ,
• Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 (AI Act) — щодо можливих функцій на основі штучного інтелекту, у тому числі обов'язки прозорості зі ст. 50, що набирають чинності з 2 sierpnia 2026 r.,
• Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 (NIS2) wdrożona ustawą o krajowym systemie cyberbezpieczeństwa (KSC 2.0) та польський Закон про національну систему кібербезпеки (KSC), чинний з 3 kwietnia 2026 r., щодо безпеки інформації.

---

Зміст

• § 1. Визначення
• § 2. Загальні положення
• § 3. Вид і обсяг Послуг
• § 4. Статус BETA (Early Access)
• § 5. Технічні вимоги, сумісність та інтероперабельність
• § 6. Укладення Договору та створення Облікового запису
• § 7. Обліковий запис Користувача та ролі
• § 8. Абонемент, Тарифи, ціни та платежі
• § 9. Право відмови (Споживач і Підприємець на правах споживача)
• § 10. Повернення Абонементу
• § 11. Скарги та позасудове вирішення спорів
• § 12. Інтеграція з KSeF — детальна інформація
• § 13. Функції на основі штучного інтелекту (AI)
• § 14. Безпека інформації та NIS2 / KSC
• § 15. Контактний пункт DSA та повідомлення про незаконний контент
• § 16. Правила користування Сервісом
• § 17. Обмеження відповідальності
• § 18. Розірвання Договору та строки зберігання даних
• § 19. Захист персональних даних
• § 20. Зміни Регламенту
• § 21. Заключні положення
• Додаток № 1 — Зразок заяви про відмову від Договору
• Додаток № 2 — Умови доручення обробки даних (DPA)
• Додаток № 3 — Перелік Підрядників (субпроцесорів)

---

§ 1. Визначення

Терміни, використані в Регламенті, мають такі значення:

1. Постачальник послуг — ITCompass - ARTEM SHEVCHENKO, що здійснює господарську діяльність у формі działalność jednoosobowa за адресою Zawiszy Czarnego 6, 40-872 Katowice, Polska, NIP: 6343060594, REGON: 542705577, e-mail: contact@itcompass.io, тел.: +48 732 959 892.
2. Сервіс — інтернет-сервіс, що надається Постачальником за адресою biurko.io (далі також: „Biurko"), у межах якого Постачальник надає Послуги.
3. Користувач (Отримувач послуг) — фізична особа з повною дієздатністю, юридична особа або організаційна одиниця без статусу юридичної особи, яка користується Послугами або уклала з Постачальником Договір.
4. Споживач — Користувач, який є споживачем у розумінні ст. 22¹ Цивільного кодексу Польщі.
5. Підприємець на правах споживача — фізична особа, яка укладає договір, безпосередньо пов'язаний з її господарською діяльністю, якщо зі змісту цього договору випливає, що він не має для цієї особи професійного характеру (ст. 38a Закону про права споживачів та ст. 385⁵ Цивільного кодексу Польщі).
6. Обліковий запис — індивідуальний, виокремлений набір ІТ-ресурсів, що дозволяє Користувачу користуватися Послугами.
7. Договір — договір про надання послуг електронним шляхом та договір про надання цифрового контенту чи цифрових послуг у розумінні ст. 43a і наст. Закону про права споживачів, укладений між Постачальником і Користувачем на умовах, визначених у Регламенті.
8. Абонемент — періодична плата за користування обраним Тарифом.
9. Тариф — варіант Послуг, що відрізняється обсягом функціональності, лімітами та розміром Абонементу. Чинний перелік Тарифів разом із цінами публікується в розділі цін на Сервісі. На дату набуття Регламентом чинності доступні такі Тарифи: FREE, SOLO, TEAM та SCALE.
10. KSeF — Krajowy System e-Faktur (KSeF), який веде Minister Finansów Rzeczypospolitej Polskiej (Ministerstwo Finansów, ul. Świętokrzyska 12, 00-916 Warszawa) — operacyjnie: Szef Krajowej Administracji Skarbowej, про який йдеться в ustawa z dnia 11 marca 2004 r. o podatku od towarów i usług (Dz.U. 2025 poz. 775 z późn. zm.) та ustawa z dnia 5 sierpnia 2025 r. o zmianie ustawy o podatku od towarów i usług oraz ustawy o zmianie ustawy o podatku od towarów i usług oraz niektórych innych ustaw (Dz.U. 2025 poz. 1203).
11. Фактура — бухгалтерський документ (зокрема структурована фактура в розумінні Закону про ПДВ), що видається Користувачем через Сервіс.
12. Контрагент — фізична особа або суб'єкт, дані якого Користувач вносить до Сервісу з метою виставлення Фактури (зокрема покупець).
13. GDPR (RODO) — Регламент (ЄС) 2016/679 Європейського Парламенту та Ради від 27 квітня 2016 р.
14. DSA — Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2065 (Akt o usługach cyfrowych — DSA).
15. AI Act — Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 (AI Act).
16. Система AI — система, про яку йдеться у ст. 3 п. 1 AI Act.
17. NIS2 / KSC — Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 (NIS2) wdrożona ustawą o krajowym systemie cyberbezpieczeństwa (KSC 2.0) разом із польським Законом про національну систему кібербезпеки, чинним з 3 kwietnia 2026 r..
18. Контактний пункт DSA — єдиний контактний пункт Постачальника послуг у розумінні ст. 11 та 12 DSA, про який йдеться в § 15.
19. Політика конфіденційності — інформаційний документ, доступний за адресою biurko.io/polityka-prywatnosci.
20. Політика cookies — документ, доступний за адресою biurko.io/polityka-cookies.

---

§ 2. Загальні положення

1. Регламент визначає:
   • вид і обсяг Послуг, що надаються електронним шляхом,
   • умови укладення та розірвання Договору,
   • умови надання Послуг, у тому числі технічні вимоги, сумісність та інтероперабельність (ст. 43b ч. 2 Закону про права споживачів),
   • порядок розгляду скарг та позасудового вирішення спорів,
   • обов'язки Постачальника за DSA,
   • принципи захисту персональних даних та обов'язки сторін.
2. Користувач зобов'язаний ознайомитися з Регламентом перед укладенням Договору та дотримуватися його протягом усього періоду користування Послугами.
3. Регламент надається Користувачу безкоштовно у спосіб, що дозволяє його одержання, відтворення та збереження в ІТ-системі Користувача (ст. 8 ч. 1 п. 2 Закону про надання послуг електронним шляхом).
4. Автентичним текстом Регламенту є текст, складений польською мовою. У разі розбіжностей між польською версією та перекладом іншою мовою, вирішальною є польська версія.

---

§ 3. Вид і обсяг Послуг

1. У межах Сервісу Постачальник надає, зокрема, такі Послуги:
   • ведення Облікового запису Користувача,
   • можливість виставлення, редагування, зберігання та архівування Фактур у форматах, передбачених польським правом (VAT, KOR, ZAL, ROZ, UPR, RR, PROFORMA та інших),
   • інтеграцію з KSeF для відправки та отримання структурованих фактур, обслуговування режиму offline24, аварійного режиму, додавання вкладень до фактур та отримання UPO,
   • управління даними Контрагентів, продуктів і банківських рахунків,
   • формування Фактур у форматі PDF,
   • відправлення Фактур і нагадувань електронною поштою,
   • сповіщення e-mail та push про події, пов'язані з Обліковим записом і Фактурами,
   • надання експорту даних у структурованому форматі (CSV, JSON, XML) відповідно до ст. 20 GDPR,
   • опціональну, що активується Користувачем інтеграцію із зовнішнім асистентом (клієнтом) AI за допомогою протоколу Model Context Protocol (MCP) (див. § 13).
2. Детальний обсяг Послуг, доступних у межах конкретного Тарифу, визначається чинним прайс-листом, опублікованим у Сервісі.
3. Постачальник може впроваджувати нові функції, модифікувати наявні та видаляти ті, що більше не розвиваються. Модифікації, які істотно не погіршують умов надання Послуг, не вважаються зміною Регламенту. Модифікації, що вносять істотну зміну цифрових послуг, оголошуються відповідно до § 20 та ст. 43k Закону про права споживачів.

---

§ 4. Статус BETA (Early Access)

1. До дня 2026-07-01 Сервіс надається у тестовій версії (closed beta, Early Access).
2. У період бети:
   • Послуги надаються „as-is", без гарантії доступності, безперервності роботи чи повноти функцій,
   • Постачальник не надає гарантії SLA та не зобов'язується відшкодовувати перерви в доступності,
   • окремі функції можуть бути позначені як „Coming Soon" і впроваджуватися поступово,
   • обмеження відповідальності, визначені в § 17, застосовуються у максимальному обсязі, дозволеному правом.
3. Цей параграф не виключає та не обмежує прав Споживачів і Підприємців на правах споживача, що випливають з імперативних норм права, зокрема ст. 43h–43m Закону про права споживачів (відповідність цифрового контенту/послуги договору).

---

§ 5. Технічні вимоги, сумісність та інтероперабельність

1. Користування Сервісом вимагає:
   • пристрою з доступом до мережі Інтернет,
   • інтернет-браузера, що підтримує актуальні стандарти HTML5, CSS3 та JavaScript (найновіші версії Chrome, Firefox, Safari, Edge),
   • увімкненої підтримки файлів cookies та JavaScript,
   • активної електронної адреси,
   • у випадку інтеграції з KSeF — виконання вимог, визначених Міністром фінансів, та наявності відповідних прав чи сертифікату.
2. Функціональність Сервісу охоплює функції, описані в § 3 та прайс-листі, а також у документації на Сервісі.
3. Сумісність — Сервіс працює на інтернет-браузерах, що відповідають технічним вимогам, на десктопних та мобільних операційних системах, що підтримують актуальні браузери. Сервіс не потребує встановлення додаткового програмного забезпечення з боку Користувача, окрім браузера.
4. Інтероперабельність — Сервіс надає інтерфейси REST API, інтеграційний інтерфейс на основі протоколу Model Context Protocol (MCP) (що активується Користувачем — див. § 13) та експорти у форматах CSV/JSON/XML, що дозволяють обмін даними із зовнішніми системами (бухгалтерське ПЗ, ERP, асистенти AI). Структуровані фактури передаються до KSeF у форматі XML, сумісному зі схемою FA(3), опублікованою Міністром фінансів.
5. Постачальник не гарантує належної роботи Сервісу при використанні застарілих браузерів чи пристроїв, що не відповідають технічним вимогам.
6. Користувача стосується заборона надання контенту протиправного характеру, зокрема такого, що порушує права третіх осіб, добрі звичаї або безпеку Сервісу (ст. 8 ч. 3 п. 2 літ. b Закону про надання послуг електронним шляхом).

---

§ 6. Укладення Договору та створення Облікового запису

1. Договір укладається з моменту спільного виконання таких умов:
   • заповнення реєстраційної форми та надання необхідних даних,
   • прийняття Регламенту та Політики конфіденційності,
   • підтвердження адреси електронної пошти шляхом натискання на активаційне посилання.
2. Реєстрація в Сервісі безкоштовна; користування Послугами в обсязі, що перевищує Тариф FREE, потребує придбання Абонементу.
3. Користувач зобов'язаний надавати правдиві, актуальні та повні дані, зокрема номер NIP та реєстраційні дані Підприємця. Постачальник зберігає право верифікації даних (зокрема в реєстрі GUS/REGON).
4. Заборонено надання Облікового запису третім особам поза межами прав, передбачених для членів команди (ролей) у межах Тарифу.
5. Користувач відповідає за конфіденційність своїх облікових даних, у тому числі паролів та сертифікатів KSeF.

---

§ 7. Обліковий запис Користувача та ролі

1. У межах одного Облікового запису Користувач може обслуговувати один чи кілька суб'єктів (Компаній) відповідно до лімітів обраного Тарифу.
2. Для кожної Компанії Користувач може запросити співпрацівників і призначити їм одну з таких ролей:
   • OWNER — повні права власника,
   • ADMIN — адміністратор Компанії,
   • ACCOUNTANT — бухгалтер (доступ до Фактур і фінансів),
   • MEMBER — член команди з обмеженими правами.
3. Власник Облікового запису (OWNER) відповідає за дії осіб, яким він надав доступ до Компанії.

---

§ 8. Абонемент, Тарифи, ціни та платежі

1. Чинний перелік Тарифів разом з їх лімітами та розміром Абонементу публікується в прайс-листі на Сервісі. На дату набуття Регламентом чинності доступні:
   • FREE — безкоштовний стартовий Тариф з базовими лімітами,
   • SOLO — Тариф для одноосібних Компаній,
   • TEAM — Тариф для команд до кількох осіб / кількох Компаній,
   • SCALE — Тариф для більших організацій із розширеними лімітами.
2. Ціни вказуються в польських злотих (PLN) і включають ПДВ за чинною законною ставкою. При кожній ціні ми прямо вказуємо її характер (брутто), відповідно до вимог Omnibus.
3. Користувач може обрати один із доступних розрахункових циклів: місячний або річний. Чинні знижки при річному циклі вказані у прайс-листі.
4. Платежі здійснюються виключно через оператора платежів Stripe Payments Europe, Limited (Dublin, Irlandia). Постачальник не зберігає повні дані платіжних карток.
5. Фактура з ПДВ за Абонемент виставляється та доставляється електронним шляхом відповідно до правил, визначених Законом про ПДВ.
6. Несплата Абонементу спричиняє:
   • перехід Облікового запису в період карентії тривалістю 7 днів,
   • після закінчення карентії — обмежений доступ до платних Послуг із можливістю повернення до Тарифу FREE,
   • після 5 років (60 місяців) неактивності — видалення даних відповідно до § 18.
7. Відгуки та оцінки інших користувачів, опубліковані в Сервісі, походять виключно від осіб, які дійсно користувалися Послугами. Постачальник перевіряє автентичність відгуків відповідно до ст. 5a Закону про протидію недобросовісним ринковим практикам.

---

§ 9. Право відмови (Споживач і Підприємець на правах споживача)

1. Споживачу та Підприємцю на правах споживача належить право відмови від Договору протягом 14 днів з моменту його укладення, без зазначення причини, шляхом подання заяви про відмову Постачальнику (наприклад, електронним шляхом на адресу contact@itcompass.io).
2. Активація платного Тарифу (придбання Абонементу) є замовленням надання цифрових Послуг до закінчення строку відмови. Щоб Постачальник міг розпочати надання Послуг негайно після сплати Абонементу, Споживач (або Підприємець на правах споживача) подає виразне прохання про початок надання Послуг до закінчення строку відмови та заяву про обізнаність із втратою права відмови після повного виконання Послуги (ст. 38 п. 1 і 13 Закону про права споживачів). Ці заяви подаються окремо від прийняття Регламенту — шляхом проставлення позначок у двох спеціально виділених полях на екрані придбання Абонементу. Невідмічення цих полів унеможливлює початок надання Послуг до закінчення строку відмови; Постачальник тоді активує Тариф з дня, наступного за закінченням 14-денного строку відмови.
3. Якщо надання Послуги розпочалося за виразним проханням Споживача до закінчення строку відмови, Споживач втрачає право відмови щодо вже повністю виконаної частини Послуги (ст. 38 п. 1 Закону про права споживачів). Щодо Послуги, надання якої розпочалося, але ще не виконане в повному обсязі, Споживач зберігає право відмови з обов'язком сплати пропорційної частини Абонементу (ст. 35 ч. 1 Закону про права споживачів).
4. Зразок заяви про відмову від Договору становить Додаток № 1 до Регламенту.
5. Повернення платежу здійснюється протягом 14 днів з моменту отримання заяви — у той самий спосіб оплати, який використав Споживач.

---

§ 10. Повернення Абонементу

1. Незалежно від прав, про які йдеться в § 9, Постачальник надає можливість повернення плати за Абонемент протягом 14 днів з дня її сплати за умови, що:
   • платіж було успішно зараховано,
   • Користувач істотно не перевищив ліміти користування Послугами.
2. Заяву про повернення слід надсилати на адресу contact@itcompass.io.
3. Повернення здійснюється тим самим способом, що й оплата.

---

§ 11. Скарги та позасудове вирішення спорів

1. Користувач може подавати скарги щодо роботи Сервісу чи Послуг, що надаються електронним шляхом, на адресу contact@itcompass.io.
2. Скарга має містити: ідентифікацію Користувача (ім'я та прізвище / назву, e-mail), опис події та очікуваний спосіб вирішення.
3. Постачальник розглядає скарги протягом 14 днів з дня отримання. Відповідь надається у спосіб, у який було подано скаргу.
4. Споживачу також належать права, що випливають зі ст. 43h–43m Закону про права споживачів (відповідність цифрового контенту/послуги договору), у тому числі вимога приведення у відповідність, зменшення ціни або відмови від Договору.
5. Споживачу належить право позасудового вирішення споживчих спорів, зокрема через платформу ODR, доступну за адресою: https://ec.europa.eu/consumers/odr.

---

§ 12. Інтеграція з KSeF — детальна інформація

1. Постачальник надає функціональність інтеграції з Krajowy System e-Faktur (KSeF), що ведеться Minister Finansów Rzeczypospolitej Polskiej (Ministerstwo Finansów, ul. Świętokrzyska 12, 00-916 Warszawa) — operacyjnie: Szef Krajowej Administracji Skarbowej.
2. Обов'язок виставлення структурованих фактур у KSeF запроваджує ustawa z dnia 5 sierpnia 2025 r. o zmianie ustawy o podatku od towarów i usług oraz ustawy o zmianie ustawy o podatku od towarów i usług oraz niektórych innych ustaw (Dz.U. 2025 poz. 1203) і охоплює:
   • з 1 lutego 2026 r. — активних платників ПДВ, обсяг продажу яких (разом із сумою податку) у 2024 р. перевищив 200 mln zł,
   • з 1 kwietnia 2026 r. — решту активних платників ПДВ,
   • з 1 stycznia 2027 r. — повне скасування винятків, у тому числі для фактур менше 10 000 zł та фактур, виставлених з використанням реєстраторів розрахункових операцій.
3. Сервіс підтримує режими роботи, визначені Законом про ПДВ:
   • онлайн-режим — поточне виставлення фактур у KSeF та отримання UPO,
   • режим offline24 (ст. 106nda Закону про ПДВ) — постійний режим, що дозволяє виставлення фактур поза KSeF із обов'язком їх передачі до KSeF najpóźniej w następnym dniu roboczym; дата виставлення — це локальна дата, фактура отримує QR-код offline,
   • аварійний режим (ст. 106nf Закону про ПДВ) — активується у разі оголошеної Міністром фінансів недоступності KSeF; передача фактури до KSeF відбувається у строк 7 робочих днів з моменту закінчення збою. Повідомлення про недоступність публікуються в BIP Міністерства фінансів та в Сервісі,
   • вкладення до фактур — передаються до KSeF відповідно до настанов Міністра фінансів,
   • отримання e-фактур, виставлених Контрагентами Користувача.
4. Санкції за невиставлення фактури в KSeF. Згідно зі ст. 106ni Закону про ПДВ, у разі невиставлення структурованої фактури через KSeF або в режимі offline24 всупереч обов'язку, начальник податкового органу може накласти на платника грошовий штраф у розмірі до 100% суми ПДВ, зазначеної у фактурі, а для фактур без ПДВ — до 18,7% загальної суми. Застосування фінансових санкцій було відкладено до 1 stycznia 2027 r.; у періоді з 1 lutego 2026 r. до цієї дати діють виключно реєстраційні та звітні обов'язки (так званий „soft-landing"). Санкції накладаються відповідним начальником податкового органу шляхом рішення; інформація, що міститься в цьому параграфі, не становить податкової консультації.
5. Користувач несе виключну відповідальність за:
   • правильність даних, що передаються до KSeF (зокрема NIP покупця та дані Фактури),
   • своєчасність передачі фактур у режимі offline24 та в аварійному режимі,
   • належний захист сертифікатів і ключів, що використовуються для автентифікації в KSeF,
   • податкові розрахунки, що випливають із виставлених Фактур, у тому числі можливі санкції, про які йдеться в ч. 4.
6. Постачальник проявляє належну обачність при інтеграції, проте не відповідає за перерви чи помилки на боці KSeF, а також за зміни схеми FA(3), що вносяться Міністром фінансів. У разі таких змін Постачальник адаптує Сервіс без зайвої затримки в межах послуги, що надається.

---

§ 13. Функції на основі штучного інтелекту (AI)

1. Сервіс надає опціональну інтеграцію із зовнішнім асистентом (клієнтом) AI за допомогою протоколу Model Context Protocol (MCP). Інтеграція є добровільною і активується виключно з ініціативи Користувача — за замовчуванням жоден асистент AI не під'єднаний і жодні дані не передаються до систем AI.
2. Постачальник надає зі свого боку безпечний інтерфейс (сервер MCP). Користувач може під'єднати до нього обраний ним зовнішній клієнт/асистент AI (наприклад, Claude, Cursor, ChatGPT) і — через нього — виконувати операції над власними даними в Сервісі.
3. Постачальник не є постачальником моделі AI та не є процесором для постачальника AI. Дані, які Користувач запитає через клієнт AI, передаються постачальнику цього клієнта AI, обраному Користувачем; постачальник AI діє як окремий одержувач на стороні Користувача і обробляє дані за власними правилами. Вибір постачальника AI та прийняття його умов належать Користувачу. З цієї причини постачальник AI не вноситься до переліку Підрядників (Субпроцесорів) у Додатку № 3.
4. Щоб Користувач зберіг контроль над обсягом розкритих даних, інтеграція забезпечує: права (scope), що надаються для кожного з'єднання, журнал викликів (audit log) кожного інструмента, запущеного клієнтом AI, та негайне від'єднання (revoke) з'єднання в будь-який момент. Деталі обробки даних у межах інтеграції та перелік підтримуваних клієнтів AI разом із посиланнями на їхні політики конфіденційності викладені в Політиці конфіденційності (розділ 12).
5. Прозорість (ст. 50 AI Act). Обов'язки прозорості, що випливають зі ст. 50 AI Act, застосовуються з 2 sierpnia 2026 r.. Щодо будь-яких функцій AI, представлених на боці Сервісу, Постачальник чітко та помітно інформує Користувача про взаємодію із Системою AI (ст. 50 ч. 1 AI Act) та позначає контент, згенерований чи модифікований AI (ст. 50 ч. 2 і 4 AI Act).
6. У жодному випадку Постачальник не використовуватиме Системи AI у спосіб, що становить заборонену практику в розумінні ст. 5 AI Act, чинної з 2 lutego 2025 r.. Перед наданням можливих власних функцій на основі AI Постачальник поінформує Користувачів про зміну Регламенту щонайменше за 14 днів до набуття чинності та оновить Політику конфіденційності щодо категорій даних, правової підстави обробки та постачальників моделей.

---

§ 14. Безпека інформації та NIS2 / KSC

1. Постачальник застосовує технічні та організаційні засоби безпеки, адекватні загрозам і характеру даних, що обробляються, зокрема: шифрування передачі (TLS), шифрування чутливих даних (AES-256), багатофакторну автентифікацію, рольовий контроль доступу, резервне копіювання, моніторинг безпеки та журнали аудиту.
2. Статус у світлі NIS2 / KSC. Польський Закон про національну систему кібербезпеки, що транспонує Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 (NIS2) wdrożona ustawą o krajowym systemie cyberbezpieczeństwa (KSC 2.0), чинний з 3 kwietnia 2026 r.. Статус суб'єкта (ключовий / важливий) встановлюється, зокрема, на основі порогу 50 працівників або річного обороту / суми балансу 10 mln EUR. З огляду на форму ведення діяльності (działalność jednoosobowa) та розмір організації, на день набуття Регламентом чинності Постачальник не кваліфікується як ключовий чи важливий суб'єкт у розумінні зазначених положень. Постачальник добровільно застосовує вибрані стандарти з Додатків I і II до директиви NIS2.
3. У разі перевищення порогів, про які йдеться в ч. 2, Постачальник зареєструється в переліку ключових / важливих суб'єктів у строк, що випливає із Закону про KSC, і впровадить необхідні засоби у строки, передбачені нормативними актами (зокрема реєстрація до 3 października 2026 r. та впровадження системи управління безпекою інформації до 3 kwietnia 2027 r.).
4. У разі виявлення істотного інциденту безпеки Постачальник:
   • негайно вживає заходів для обмеження його наслідків,
   • інформує постраждалих Користувачів електронним шляхом про обсяг інциденту, його вплив та вжиті заходи з усунення,
   • якщо інцидент становить порушення захисту персональних даних — діє відповідно до ст. 33 і 34 GDPR.
5. Повідомлення про інциденти безпеки Користувачі та треті особи можуть направляти на адресу security@itcompass.io.

---

§ 15. Контактний пункт DSA та повідомлення про незаконний контент

1. Відповідно до ст. 11 та 12 DSA Постачальник призначає єдиний контактний пункт для:
   • органів держав-членів, Європейської Комісії та Європейської ради з цифрових послуг,
   • Користувачів та інших фізичних чи юридичних осіб.
2. Контактний пункт DSA: адреса e-mail dsa@itcompass.io. Комунікація ведеться мовами: polski, angielski.
3. Повідомлення щодо:
   • контенту, який може становити незаконний контент у розумінні ст. 3 літ. h DSA,
   • порушень Регламенту,
   • модераційних рішень Постачальника слід направляти на адресу контактного пункту DSA разом із зазначенням:
   • точної URL-адреси або ідентифікатора контенту,
   • обґрунтування, чому контент є незаконним або суперечить Регламенту,
   • контактних даних особи, яка повідомляє (якщо повідомлення не стосується порушень, про які йдеться у ст. 16 ч. 5 DSA — тоді дані можуть бути пропущені).
4. Постачальник розглядає повідомлення у своєчасний, недискримінаційний, об'єктивний і дбайливий спосіб. Про прийняте рішення Постачальник інформує особу, яка повідомляє, та постраждалого Користувача разом з обґрунтуванням (ст. 17 DSA).
5. Модераційне рішення Постачальника може бути оскаржене у внутрішньому механізмі оскарження, описаному в комунікації рішення, а також — щодо Користувачів, які є Споживачами — перед позасудовими органами вирішення спорів, вказаними відповідним координатором цифрових послуг (у Польщі: Голова UKE).
6. З огляду на характер Сервісу (B2B SaaS для виставлення фактур, відсутність публічно доступного контенту, створеного користувачами), реальна кількість повідомлень DSA є мінімальною; цей параграф регулює процедуру на випадок їх виникнення.

---

§ 16. Правила користування Сервісом

1. Користувач зобов'язується:
   • користуватися Послугами відповідно до права, Регламенту та добрих звичаїв,
   • надавати правдиві та актуальні дані,
   • захищати облікові дані, у тому числі паролі та сертифікати, що використовуються для інтеграції з KSeF,
   • негайно повідомляти про інциденти безпеки (наприклад, підозру захоплення Облікового запису) на адресу security@itcompass.io або contact@itcompass.io.
2. Постачальник може заблокувати Обліковий запис або обмежити доступ до Послуг у разі:
   • порушення Регламенту чи правових норм,
   • спроб порушення безпеки Сервісу,
   • заборгованостей за платежами, що перевищують період карентії,
   • вимоги органу публічної влади, виданої відповідно до права.
3. Модераційні рішення Постачальника документуються та комунікуються відповідно до ст. 17 DSA — з обґрунтуванням та інформацією про доступні засоби оскарження.

---

§ 17. Обмеження відповідальності

1. Постачальник зобов'язується проявляти належну обачність при наданні Послуг, проте — із застереженням імперативних норм права — не гарантує їх безперервної, безперебійної чи вільної від помилок доступності. У період бети (§ 4) та, після її завершення, щодо нових функцій, позначених як тестові, Послуги надаються „as-is"; Постачальник не надає гарантії SLA, доступності чи безперервності роботи. Зокрема, Постачальник не несе відповідальності за:
   • перерви, що виникли з причин, які лежать на боці KSeF, операторів Інтернету, постачальників хостингової інфраструктури, оператора платежів чи постачальника клієнта AI, обраного Користувачем,
   • наслідки надання Користувачем неправильних даних та наслідки податкових, бухгалтерських чи бізнес-рішень, прийнятих Користувачем на підставі Послуг,
   • правильність і своєчасність виставлення та передачі Фактур до KSeF, за що — відповідно до § 12 ч. 5 — виключну відповідальність несе Користувач,
   • наслідки дії форс-мажору (зовнішньої події, неможливої для передбачення та запобігання), у тому числі аварій енергомереж, масштабних кібератак, рішень органів публічної влади, надзвичайних станів.
2. Щодо Користувачів, які не є Споживачами чи Підприємцями на правах споживача (відносини B2B) застосовуються такі обмеження, у максимальному обсязі, дозволеному правом:
   • сукупна відповідальність Постачальника за Договором та у зв'язку з ним (з усіх підстав сукупно) обмежується сумою, що відповідає вартості Абонементу, сплаченого Користувачем за 1 місяць, що безпосередньо передував події, яка спричинила виникнення відповідальності;
   • Постачальник не несе відповідальності за непрямі чи опосередковані збитки або за втрачену вигоду (lucrum cessans), втрату чи пошкодження даних, втрату доходів чи очікуваних заощаджень, перерви в діяльності та шкоду репутації (іміджеву);
   • Користувач несе виключну відповідальність за правильність і повноту даних, які він вносить, за податкові та бухгалтерські рішення, які він приймає, а також за правильність і своєчасність розрахунків та подань до KSeF.
3. Щодо Споживачів і Підприємців на правах споживача обмеження з ч. 1 і 2 не застосовуються в тій частині, в якій вони порушували б імперативні норми права. Відповідальність Постачальника перед цими суб'єктами формується на загальних засадах Цивільного кодексу, Закону про права споживачів та норм, що імплементують Директиву (ЄС) 2019/770 про надання цифрового контенту та послуг (у тому числі рукоємство / відповідність надання договору — ст. 43h–43m Закону про права споживачів), без договірних грошових чи предметних обмежень. Положення ч. 1 і 2 не обмежують та не виключають жодних прав, що належать цим суб'єктам у силу закону; будь-яке положення, що суперечить споживчому праву, вважається нечинним виключно щодо цих суб'єктів, тоді як інші положення Регламенту зберігають силу.
4. Обмеження відповідальності, про які йдеться в ч. 1 і 2, також не стосуються — щодо жодного Користувача:
   • шкоди, заподіяної умисно,
   • шкоди особі (життя, здоров'я),
   • вимог, що випливають з імперативних норм права, які не можна дієво виключити чи обмежити договором.
5. Постачальник не відповідає за відповідність Фактур, виставлених Користувачем, чинним нормам податкового права та за наслідки дій Користувача стосовно податкових органів, у тому числі за санкції, про які йдеться у ст. 106ni Закону про ПДВ.

---

§ 18. Розірвання Договору та строки зберігання даних

1. Користувач може розірвати Договір у будь-який час шляхом видалення Облікового запису в панелі Сервісу або надсилання вимоги на адресу contact@itcompass.io.
2. Після видалення Облікового запису починається період карентії (30 днів), протягом якого Користувач може на вимогу відновити Обліковий запис.
3. Після закінчення періоду карентії Обліковий запис разом із пов'язаними персональними даними остаточно видаляється, із застереженням таких винятків:
   • дані, що містяться у Фактурах, зберігаються протягом 5 років (60 місяців) з моменту деактивації Облікового запису, що відповідає мінімуму, передбаченому ст. 70 § 1 Податкового кодексу, ст. 112 Закону про ПДВ та ст. 74 ч. 2 п. 8 Закону про бухгалтерський облік (рахуючи від кінця облікового року),
   • копії Фактур, переданих до KSeF, зберігаються Minister Finansów Rzeczypospolitej Polskiej (Ministerstwo Finansów, ul. Świętokrzyska 12, 00-916 Warszawa) — operacyjnie: Szef Krajowej Administracji Skarbowej протягом 10 років і залишаються доступними через KSeF,
   • дані, необхідні для відстоювання вимог та захисту від них, — до закінчення строку давності,
   • розрахункові дані (фактури з ПДВ, виставлені на Користувача за Абонемент) — відповідно до норм податкового права (ст. 70 Податкового кодексу та ст. 112 Закону про ПДВ).
4. Журнали безпеки та аудиту зберігаються протягом 12 місяців, що становить правомірний інтерес Постачальника (ст. 6 ч. 1 літ. f GDPR).
5. Незалежно від зберігання на стороні Постачальника, Користувач у будь-який час має право завантажити повну копію Фактур у структурованому форматі (XML, сумісний з FA(3), JSON, CSV) через функцію експорту даних (ст. 20 GDPR).

---

§ 19. Захист персональних даних

1. Контролером персональних даних Користувачів є Постачальник.
2. Детальні правила обробки даних визначає Політика конфіденційності, доступна за адресою biurko.io/polityka-prywatnosci.
3. У частині, в якій Користувач доручає Постачальнику персональні дані Контрагентів з метою виставлення та обслуговування Фактур, застосовується Додаток № 2 — Умови доручення обробки даних (DPA).

---

§ 20. Зміни Регламенту

1. Постачальник зберігає право вносити зміни до Регламенту з важливих причин, зокрема:
   • змін у законодавстві (наприклад, новелізацій Закону про KSeF, DSA, AI Act, NIS2/KSC),
   • впровадження чи модифікації Послуг,
   • змін щодо підрядників або операторів платежів,
   • удосконалень у сфері безпеки.
2. Про зміни Регламенту Постачальник поінформує Користувачів через електронну адресу, надану при створенні Облікового запису, заздалегідь щонайменше за 14 днів, разом із переліком найважливіших змін (changelog) — відповідно до ст. 43k Закону про права споживачів.
3. Користувач, який не приймає змін, може розірвати Договір з негайним ефектом протягом 14 днів з дня повідомлення.
4. Попередні версії Регламенту доступні в архіві за адресою biurko.io/legal/regulamin/archiwum.

---

§ 21. Заключні положення

1. У питаннях, не врегульованих Регламентом, застосовуються норми польського права, зокрема Цивільного кодексу, Закону про надання послуг електронним шляхом, Закону про права споживачів, Закону про ПДВ, Закону про KSeF, GDPR, DSA, AI Act та Закону про KSC.
2. Судом, компетентним розглядати спори між Постачальником і Користувачами, які не є Споживачами, є загальний суд за місцезнаходженням міста Katowice.
3. У разі спорів зі Споживачами підсудність суду визначається відповідно до загальних норм Кодексу цивільного процесу.
4. Якщо будь-яке з положень Регламенту виявиться недійсним або нечинним, інші положення зберігають силу.

---

Додаток № 1 — Зразок заяви про відмову від Договору

(Цю форму слід заповнити та надіслати лише у разі бажання відмовитися від Договору)

Адресат: ITCompass - ARTEM SHEVCHENKO, Zawiszy Czarnego 6, 40-872 Katowice, e-mail: contact@itcompass.io

Я/Ми() цим повідомляю/повідомляємо() про мою/нашу(*) відмову від Договору про надання Послуг електронним шляхом у межах сервісу Biurko.

• Дата укладення Договору: .........................
• Ім'я та прізвище Споживача: ..................
• Адреса Споживача: ............................
• Електронна адреса, пов'язана з Обліковим записом: ..............
• Дата: .........................................
• Підпис (лише якщо форма надсилається у паперовому вигляді): ........................

() Непотрібне закреслити.*

---

Додаток № 2 — Умови доручення обробки даних (DPA)

Цей Додаток становить договір про доручення обробки персональних даних у розумінні ст. 28 GDPR і приймається Користувачем з моменту прийняття Регламенту.

1. Сторони і ролі

• Контролер (Доручаюча сторона) — Користувач, як контролер персональних даних Контрагентів та інших осіб, чиї дані він вносить до Сервісу.
• Процесор — Постачальник.

2. Предмет і мета

Постачальник обробляє персональні дані виключно з метою надання Послуг, описаних у Регламенті, зокрема: виставлення та архівування Фактур, інтеграції з KSeF (у тому числі режиму offline24, аварійного режиму та вкладень), доставки сповіщень, формування PDF та ведення реєстру Контрагентів.

3. Категорії осіб і даних

• Контрагенти Користувача: назва компанії / ім'я та прізвище, NIP/PESEL, адреса, e-mail, номер телефону, номер банківського рахунку (за бажанням), дані Фактури.
• Інші співпрацівники Користувача, запрошені до Сервісу: ім'я та прізвище, e-mail, роль.

4. Тривалість

Доручення діє протягом строку Договору. Після його розірвання дані підлягають видаленню або анонімізації відповідно до § 18 Регламенту, якщо обов'язок їх зберігання не випливає з норм права.

5. Обов'язки Постачальника як Процесора

Постачальник:

• обробляє дані виключно на задокументоване доручення Контролера (виражене через конфігурацію та користування функціями Сервісу),
• застосовує технічні та організаційні засоби, що забезпечують відповідний рівень безпеки, у тому числі шифрування чутливих даних (наприклад, сертифікатів KSeF), контроль доступу, резервне копіювання та моніторинг безпеки,
• зобов'язує працівників до збереження конфіденційності,
• допомагає Контролеру у реалізації прав осіб, чиї дані обробляються, та у виконанні обов'язків, що випливають зі ст. 32–36 GDPR,
• повідомляє про порушення захисту персональних даних Контролеру без зайвої затримки, не пізніше ніж через 48 годин після виявлення порушення,
• надає Контролеру інформацію, необхідну для демонстрації відповідності ст. 28 GDPR, та забезпечує можливість аудитів (не частіше ніж раз на 12 місяців, за винятком аудитів, ініційованих наглядовим органом).

6. Підрядники (субпроцесори)

Контролер надає загальну згоду на використання Постачальником підрядників (субпроцесорів) з метою надання Послуг. Чинний перелік підрядників публікується у Політиці конфіденційності та в Додатку № 3 до Регламенту. Про зміни Постачальник поінформує заздалегідь щонайменше за 14 днів. Контролер може подати обґрунтоване заперечення проти додавання конкретного субпроцесора; якщо підстави заперечення не усунено, Контролер має право розірвати Договір без понесення витрат. Зовнішній асистент (клієнт) AI, який Користувач під'єднує за допомогою інтеграції, про яку йдеться в § 13, не становить субдоручення — постачальник AI є окремим одержувачем на стороні Користувача, а не субпроцесором Постачальника.

7. Трансфер поза ЄЕЗ

Персональні дані обробляються на території Європейського Союзу. У випадку часткового трансферу даних до третьої країни:

• Stripe, Inc. (США, Сан-Франциско) — глобальні системи платежів, що підтримують Stripe Payments Europe, Limited;
• Mailgun Technologies, Inc. (США, Сан-Антоніо) — сторона договору та адміністратор інфраструктури, що обслуговує європейський регіон Mailgun у Франкфурті; операційна обробка повідомлень та метаданих Користувача залишається в ЄС, проте управлінський рівень (підтримка, системні журнали, адміністративна панель) може оброблятися в США.

Ці трансфери здійснюються на підставі EU-US Data Privacy Framework (Рішення Європейської Комісії C(2023)4745 від 10 липня 2023 р.) та Стандартних договірних положень (SCC 2021/914) — модуль 2 (контролер → процесор поза ЄЕЗ).

8. Окрема відповідальність за KSeF

Передача даних Фактур до KSeF не становить субдоручення — Minister Finansów Rzeczypospolitej Polskiej (Ministerstwo Finansów, ul. Świętokrzyska 12, 00-916 Warszawa) — operacyjnie: Szef Krajowej Administracji Skarbowej є окремим контролером даних, що обробляє їх на підставі норм ustawa z dnia 11 marca 2004 r. o podatku od towarów i usług (Dz.U. 2025 poz. 775 z późn. zm.) та ustawa z dnia 5 sierpnia 2025 r. o zmianie ustawy o podatku od towarów i usług oraz ustawy o zmianie ustawy o podatku od towarów i usług oraz niektórych innych ustaw (Dz.U. 2025 poz. 1203). Користувач (як контролер даних Контрагентів) зобов'язаний виконати інформаційний обов'язок перед Контрагентами, у тому числі повідомити їх про передачу даних до KSeF.

9. Окремий DPA

На вимогу Користувача (зокрема корпоративного, на Тарифі SCALE) Постачальник надасть окремий, підписаний документ DPA. Заяви у цій справі слід направляти на адресу contact@itcompass.io.

---

Додаток № 3 — Перелік Підрядників (субпроцесорів)

Чинний іменний перелік підрядників, якими користується Постачальник при наданні Послуг, на день набуття Регламентом чинності:

Підрядник	Роль	Мета обробки	Розташування	Політика конфіденційності
Stripe Payments Europe, Limited (CRO 513174)	процесор	обробка платежів за Абонемент	Ірландія (ЄС) — 1 Grand Canal Street Lower, Grand Canal Dock, Dublin 2, D02 H210. Глобальні системи Stripe, Inc. (510 Townsend Street, San Francisco, CA 94103, США) на підставі EU-US Data Privacy Framework (Рішення ЄК C(2023)4745) та SCC 2021/914.	privacy: https://stripe.com/privacy · DPA: https://stripe.com/legal/dpa
Mailgun Technologies, Inc. (частина групи Sinch AB)	процесор	доставка електронних повідомлень (транзакційних і маркетингових)	США — 112 E Pecan St #1135, San Antonio, TX 78205 (сторона договору та адміністратор інфраструктури). Операційна обробка повідомлень та метаданих Користувача відбувається в європейському регіоні Mailgun (AWS eu-central-1, Франкфурт, Німеччина). Трансфер поза ЄЕЗ на підставі EU-US Data Privacy Framework та SCC 2021/914.	privacy: https://www.mailgun.com/legal/privacy-policy/ · DPA: https://www.mailgun.com/legal/dpa/
HOSTINGER operations, UAB (LT 306308157)	процесор	хостинг серверів застосунку, баз даних PostgreSQL та резервних копій	ЄС — Литва, Вільнюс; Švitrigailos g. 34, LT-03230 Vilnius. Дата-центри в локаціях ЄС: Литва, Німеччина, Нідерланди.	privacy: https://www.hostinger.com/legal/privacy-policy · DPA: https://www.hostinger.com/legal/dpa

Повніший опис обсягу обробки, правових підстав і строків зберігання міститься у Політиці конфіденційності — розділ „Одержувачі даних".

Зовнішній асистент (клієнт) AI, який Користувач може опціонально під'єднати до Сервісу за допомогою інтеграції на основі протоколу Model Context Protocol (MCP) (§ 13), не є Підрядником (Субпроцесором) Постачальника — постачальник такого клієнта AI діє як окремий одержувач даних на стороні Користувача, на підставі обраного Користувачем договору з цим постачальником.

Незалежно від субпроцесорів, дані Фактур передаються до Krajowy System e-Faktur (KSeF), що ведеться Minister Finansów Rzeczypospolitej Polskiej (Ministerstwo Finansów, ul. Świętokrzyska 12, 00-916 Warszawa) — operacyjnie: Szef Krajowej Administracji Skarbowej як окремим контролером даних (ст. 6 ч. 1 літ. c GDPR у зв'язку з ustawa z dnia 11 marca 2004 r. o podatku od towarów i usług (Dz.U. 2025 poz. 775 z późn. zm.) та ustawa z dnia 5 sierpnia 2025 r. o zmianie ustawy o podatku od towarów i usług oraz ustawy o zmianie ustawy o podatku od towarów i usług oraz niektórych innych ustaw (Dz.U. 2025 poz. 1203)). Передача не становить субдоручення у розумінні ст. 28 GDPR.

---