Polityka prywatności

Wersja 1.0 · Obowiązuje od 2026-05-20 · 🖨 Drukuj / PDF

Niniejsza Polityka opisuje, jakie dane osobowe zbieramy, w jakim celu, na jakiej podstawie prawnej, komu je przekazujemy i jakie masz prawa. Dokument przygotowany zgodnie z RODO (Rozporządzenie UE 2016/679).

Spis treści

Administrator danych
Cele i podstawy prawne przetwarzania
Jakie dane zbieramy
Odbiorcy danych
Transfer poza EOG
Okresy przechowywania
Twoje prawa
Sztuczna inteligencja i profilowanie
Zabezpieczenia danych
Kontakt

1. Administrator danych

Administratorem Twoich danych osobowych jest:

ByteWave Sp. z o.o.
NIP: 9571159313 · REGON: [UZUPEŁNIJ REGON]
Adres: al. Grunwaldzka 56 lok. 202 80-241 Gdańsk
E-mail kontaktowy: kontakt@lawyeah.pl
Inspektor Ochrony Danych: kontakt@lawyeah.pl (jeśli nie ustanowiono — Administrator pełni tę funkcję)

2. Cele i podstawy prawne przetwarzania

Cel	Podstawa prawna (RODO)	Okres przechowywania
Założenie i prowadzenie Konta, świadczenie Usług	art. 6 ust. 1 lit. b — wykonanie umowy	Czas trwania umowy + 3 lata (przedawnienie roszczeń)
Realizacja płatności, wystawianie faktur	art. 6 ust. 1 lit. b oraz c — obowiązek prawny (ustawa o rachunkowości, KSeF)	5 lat (ustawa o VAT)
Komunikacja, obsługa zapytań, reklamacji	art. 6 ust. 1 lit. b — wykonanie umowy	3 lata od ostatniego kontaktu
Marketing własnych usług (email, w panelu)	art. 6 ust. 1 lit. f — uzasadniony interes	Do czasu zgłoszenia sprzeciwu
Newsletter, mailing promocyjny	art. 6 ust. 1 lit. a — zgoda (możliwa do cofnięcia)	Do cofnięcia zgody
Analiza ruchu, statystyki, ulepszanie Serwisu	art. 6 ust. 1 lit. f — uzasadniony interes (analityka anonimowa)	13 miesięcy (cookies analityczne)
Bezpieczeństwo, wykrywanie nadużyć, logi	art. 6 ust. 1 lit. f — uzasadniony interes	12 miesięcy
Rozwiązywanie sporów, dochodzenie roszczeń	art. 6 ust. 1 lit. f — uzasadniony interes	Do prawomocnego zakończenia sprawy

3. Jakie dane zbieramy

3.1. Dane podawane przez Użytkownika

Rejestracja B2C: imię, nazwisko, adres e-mail, hasło (przechowywane jako hash bcrypt).
Rejestracja Kancelarii: powyższe + nazwa firmy, NIP, adres siedziby, opcjonalnie REGON, numer konta bankowego.
Klienci Kancelarii w CRM: imię, nazwisko, e-mail, telefon, PESEL/NIP, adres, dane spraw — wprowadzane przez Kancelarię o jej klientach końcowych.
Treści generowane: zapytania do AI, dokumenty wgrywane do analizy, notatki, wiadomości.

3.2. Dane zbierane automatycznie

Adres IP, typ przeglądarki, system operacyjny, identyfikator sesji.
Informacje z plików cookies (szczegóły w Polityce cookies).
Logi serwera (data, godzina, ścieżka URL, kod odpowiedzi).
Dane diagnostyczne (czas odpowiedzi, błędy).

3.3. Dane szczególnej kategorii

Nie zbieramy świadomie danych wrażliwych (zdrowie, poglądy, dane biometryczne). Jeśli Użytkownik wgra takie dane do dokumentów (np. wyrok dotyczący zdrowia klienta), są one przetwarzane wyłącznie na zasadzie powierzenia przez Kancelarię (Administratora pierwotnego) — Operator pełni rolę procesora.

4. Odbiorcy danych

Twoje dane przekazujemy wyłącznie podmiotom, którym jest to niezbędne do realizacji usług:

Odbiorca	Cel	Kategorie danych
PayU S.A.	Obsługa płatności online	Imię, nazwisko, e-mail, NIP, kwota, identyfikator transakcji
Resend, Inc. (operator emaili transakcyjnych)	Wysyłka emaili (potwierdzenia, faktury, notyfikacje)	Adres e-mail, imię, treść wiadomości
OpenAI, L.L.C.	Generowanie odpowiedzi AI (Wirtualny Prawnik, analiza pism)	Treść zapytań — bez identyfikatorów osobowych jeśli to możliwe
Hostido sp. z o.o.	Hosting infrastruktury	Wszystkie dane (jako procesor)
Krajowy System e-Faktur (KSeF) — Ministerstwo Finansów RP	Obowiązek prawny wystawiania e-faktur (od 1.04.2026)	Dane wymagane na fakturze (nazwa, NIP, adres, kwota)
Organy państwowe	Wyłącznie na podstawie obowiązku prawnego (sąd, prokuratura, US, GIODO)	W zakresie wymaganym przepisami

Wszystkie podmioty przetwarzające są zobowiązane umownie do zachowania poufności i bezpieczeństwa danych.

5. Transfer poza Europejski Obszar Gospodarczy (EOG)

Część odbiorców (OpenAI, Resend) ma siedzibę w USA. Transfer odbywa się na podstawie standardowych klauzul umownych zatwierdzonych przez Komisję Europejską (decyzja 2021/914) oraz w oparciu o Data Privacy Framework (decyzja KE z 10.07.2023 r.).

OpenAI w trybie API (Enterprise) nie używa przesłanych danych do trenowania modeli — co potwierdza ich polityka prywatności (openai.com/policies/api-data-usage-policies).

6. Okresy przechowywania

Szczegóły w tabeli w punkcie 2 powyżej. Dodatkowo:

Historia rozmów Plan Darmowy — automatycznie usuwana po 24 godzinach.
Konto usunięte przez Użytkownika — dane usuwane natychmiast, z wyjątkiem danych objętych obowiązkiem przechowywania (faktury — 5 lat).
Konta nieaktywne ponad 24 miesiące — Operator zastrzega prawo do usunięcia po uprzednim powiadomieniu e-mailowym.

7. Twoje prawa

W związku z przetwarzaniem Twoich danych przysługują Ci następujące prawa wynikające z RODO:

Prawo dostępu (art. 15 RODO) — uzyskanie informacji, jakie dane przetwarzamy i otrzymanie ich kopii.
Prawo do sprostowania (art. 16) — poprawienie nieprawidłowych lub uzupełnienie niekompletnych danych.
Prawo do usunięcia („prawo do bycia zapomnianym", art. 17) — z zastrzeżeniem wyjątków przewidzianych prawem.
Prawo do ograniczenia przetwarzania (art. 18) — np. w trakcie weryfikacji prawidłowości danych.
Prawo do przenoszenia danych (art. 20) — otrzymanie danych w formacie ustrukturyzowanym (JSON/CSV) i przeniesienie ich do innego administratora.
Prawo do sprzeciwu (art. 21) — wobec przetwarzania w oparciu o uzasadniony interes, w szczególności marketingu.
Prawo do cofnięcia zgody (art. 7) — gdy podstawą jest zgoda. Cofnięcie nie wpływa na przetwarzanie sprzed cofnięcia.
Prawo do wniesienia skargi — do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl).

Aby skorzystać z dowolnego prawa, napisz na kontakt@lawyeah.pl. Odpowiadamy w terminie do 30 dni.

Funkcje „Eksport danych" oraz „Usuń konto" dostępne są bezpośrednio w panelu Użytkownika.

8. Sztuczna inteligencja i profilowanie

Serwis wykorzystuje modele AI (m.in. GPT-4 / GPT-4o firmy OpenAI) do generowania odpowiedzi Wirtualnego Prawnika i analizy dokumentów.
Treść zapytań przesyłana jest do OpenAI w trybie API bez identyfikatorów osobowych (Operator nie przekazuje Twojego e-maila ani imienia w treści zapytania, chyba że sam je wpiszesz).
Operator nie podejmuje decyzji w pełni zautomatyzowanych, które wywoływałyby skutki prawne wobec Użytkownika (art. 22 RODO).
Profilowanie ograniczone jest do anonimowej analityki ruchu i segmentacji marketingowej (np. „użytkownicy planu Pro" — bez powiązania z konkretną osobą).

9. Zabezpieczenia danych

Hasła przechowywane jako hash z użyciem bcrypt (Argon2 dla nowych kont w roadmapie).
Połączenia wyłącznie szyfrowane (HTTPS / TLS 1.2+).
Sesje zabezpieczone tokenami CSRF, ciasteczka HttpOnly + Secure + SameSite=Lax.
Dane wrażliwe (klucze API, sekrety) przechowywane poza repozytorium kodu.
Codzienne kopie zapasowe bazy danych.
Logi dostępu, monitorowanie nadużyć, rate limiting.
Multi-tenant isolation — dane Kancelarii X są fizycznie niedostępne dla Kancelarii Y.

10. Kontakt w sprawach ochrony danych

We wszystkich sprawach związanych z przetwarzaniem danych osobowych prosimy o kontakt:

E-mail: kontakt@lawyeah.pl
Korespondencja: ByteWave Sp. z o.o., al. Grunwaldzka 56 lok. 202 80-241 Gdańsk