Polityka Prywatności — Attestia.eu

Wersja: 1.0 Data wejścia w życie: 2026-04-22 Ostatnia aktualizacja: 2026-04-22 Dokument powiązany: Regulamin świadczenia usług Attestia.eu — attestia.eu/terms

1. Postanowienia wstępne

Niniejsza Polityka Prywatności (dalej: „Polityka") opisuje zasady przetwarzania danych osobowych przez Trimalert sp. z o.o. (dalej: „Usługodawca", „Attestia", „my", „nas", „nasz") — operatora platformy dostępnej pod marką handlową „Attestia" (dalej: „Platforma" lub „Usługa") pod adresami attestia.eu oraz app.attestia.eu.
Polityka stanowi wypełnienie obowiązku informacyjnego określonego w art. 13 i 14 RODO oraz jest dokumentem powiązanym z Regulaminem świadczenia usług Attestia.eu (attestia.eu/terms). Definicje użyte w niniejszej Polityce, o ile nie zostały wyraźnie określone inaczej, mają znaczenie nadane im w Regulaminie (w szczególności: Platforma, Użytkownik, Organizacja, Konto, System AI, Klasyfikacja Ryzyka, Dokumenty Compliance, Dane Organizacji, Plan Subskrypcji, EU AI Act, RODO).
Polityka została opracowana zgodnie z:
- Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. („RODO"),
- ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000 ze zm.),
- ustawą z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną,
- ustawą z dnia 16 lipca 2004 r. — Prawo telekomunikacyjne (w zakresie cookies — art. 173),
- rozporządzeniem (UE) 2024/1689 (EU AI Act) — w zakresie obowiązku przejrzystości z art. 50.
Platforma jest skierowana wyłącznie do podmiotów profesjonalnych (B2B) zgodnie z § 1 ust. 4 Regulaminu. Niniejsza Polityka opisuje przetwarzanie danych osobowych:
- osób fizycznych działających w imieniu Organizacji (Użytkowników Platformy),
- odwiedzających strony Serwisu bez utworzenia Konta (leady marketingowe, kontakty, subskrybenci newslettera),
- osób, których dane mogą być incydentalnie zawarte w Danych Organizacji (rola Attestia jako procesora — zob. sekcja 3.3).
Attestia jest narzędziem automatyzacji compliance — NIE stanowi porady prawnej i nie zastępuje profesjonalnej konsultacji prawnej (zob. § 4 Regulaminu).

2. Administrator danych osobowych

Administratorem Twoich danych osobowych w rozumieniu art. 4 pkt 7 RODO jest:


Firma	Trimalert sp. z o.o.
Siedziba	ul. Przasnyska 7/319, 01-756 Warszawa, Polska
KRS	0001233147
NIP	5253085087
REGON	54440046800000
Kapitał zakładowy	5 000,00 zł
E-mail ws. ochrony danych	privacy@attestia.eu
E-mail kontaktowy (ogólny)	contact@attestia.eu
E-mail wsparcia technicznego	support@attestia.eu

2.1. Inspektor Ochrony Danych (IOD / DPO)

Na obecnym etapie działalności Attestia nie jest zobowiązana do wyznaczenia Inspektora Ochrony Danych w rozumieniu art. 37 RODO — nie spełnia przesłanek tego przepisu (brak regularnego i systematycznego monitorowania osób na dużą skalę, brak przetwarzania szczególnych kategorii danych na dużą skalę).

We wszystkich sprawach dotyczących przetwarzania danych osobowych prosimy o kontakt: privacy@attestia.eu. W przypadku wyznaczenia IOD w przyszłości, jego dane kontaktowe zostaną opublikowane w tym miejscu.

3. Role w przetwarzaniu i zakres Polityki

3.1. Attestia jako administrator (controller)

Attestia jest administratorem danych osobowych:

Użytkowników Platformy (dane Konta),
osób kontaktujących się z nami przez formularze lub pocztę elektroniczną,
subskrybentów newslettera,
odwiedzających Serwis (dane techniczne, cookies analityczne — za zgodą).

3.2. Attestia jako podmiot przetwarzający (processor)

W zakresie Danych Organizacji zawierających dane osobowe (np. opisy Systemów AI odnoszące się do osób fizycznych), Attestia działa jako podmiot przetwarzający w rozumieniu art. 28 RODO, a Organizacja pozostaje administratorem.

Szczegółowe zasady tego powierzenia reguluje Umowa Powierzenia Przetwarzania Danych (DPA) stanowiąca Załącznik nr 1 do Regulaminu — akceptowana przez Organizację wraz z Regulaminem. Niniejsza Polityka nie zastępuje DPA i w zakresie pracy procesorskiej odsyła do treści Załącznika nr 1 do Regulaminu.

3.3. Niezależni administratorzy

Niektórzy z naszych partnerów działają jako niezależni administratorzy wobec swoich danych:

Stripe Payments Europe, Ltd. — dane płatnicze (numery kart, dane rachunków). Attestia nie przechowuje i nie ma dostępu do danych płatniczych.

4. Jakie dane przetwarzamy

4.1. Dane Konta Użytkownika

adres e-mail (wymagany do rejestracji i logowania),
imię i nazwisko,
nazwa Organizacji, w imieniu której korzystasz z Platformy,
stanowisko / rola w Organizacji (opcjonalnie),
język interfejsu (PL/EN) oraz preferencje,
avatar / zdjęcie profilowe (opcjonalnie).

4.2. Dane uwierzytelniające

hasło w formie hashowanej (Supabase Auth — bcrypt lub równoważny),
identyfikatory z zewnętrznych dostawców logowania (Google OAuth, GitHub OAuth) — wyłącznie w zakresie niezbędnym do identyfikacji Konta,
tokeny sesji (cookies typu HttpOnly, Secure, SameSite; Access token TTL 1h, Refresh token TTL 7 dni).

4.3. Dane Organizacji zawierające dane osobowe

Dane wprowadzane przez Użytkowników w ramach korzystania z Platformy (opisy Systemów AI, odpowiedzi na kwestionariusze, pliki dowodowe). Mogą one zawierać dane osobowe wyłącznie w zakresie ich opisu (np. wskazanie, że system przetwarza dane kandydatów do pracy). W tym zakresie Attestia działa jako procesor — zob. sekcja 3.2 i Załącznik nr 1 do Regulaminu (DPA).

Pseudonimizacja przed przetwarzaniem AI: Opisy Systemów AI wysyłane do Azure OpenAI są pseudonimizowane (bez nazwy Organizacji, bez danych osobowych Użytkowników, bez danych rozliczeniowych) — zgodnie z § 7 ust. 5 Regulaminu.

4.4. Dane rozliczeniowe

dane do faktury VAT (nazwa firmy, adres, NIP, numer identyfikacji podatkowej EU),
historia płatności i faktur.

Dane płatnicze (numery kart, dane rachunków) są przetwarzane bezpośrednio przez Stripe — zob. sekcja 3.3.

4.5. Dane techniczne i dotyczące korzystania z Serwisu

adres IP (zanonimizowany do /24 dla IPv4 i /64 dla IPv6 przed analizą),
typ i wersja przeglądarki, system operacyjny,
logi sesji (data, godzina, wykonane akcje),
identyfikatory sesji i urządzenia,
dane analityczne — wyłącznie za zgodą (zob. sekcja 9).

4.6. Dziennik audytu (Audit Log)

Niezmienny, chronologiczny rejestr działań Użytkowników na Platformie, zabezpieczony hash-chainingiem (SHA-256). Zawiera identyfikatory Użytkownika, znacznik czasu oraz typ działania — zob. § 3 ust. 2 lit. e Regulaminu.

4.7. Dane z komunikacji

treść wiadomości wysłanych przez formularz kontaktowy lub do support@attestia.eu,
korespondencja e-mail (w tym zgłoszenia wsparcia technicznego),
ankiety i feedback (opcjonalnie).

4.8. Dane marketingowe

adres e-mail i imię (jeśli zostały podane) w przypadku zapisu na newsletter — wyłącznie na podstawie wyraźnej zgody.

5. Cele i podstawy prawne przetwarzania

Cel przetwarzania	Kategoria danych	Podstawa prawna (RODO)
Założenie i prowadzenie Konta, świadczenie Usługi	4.1, 4.2	art. 6 ust. 1 lit. b (umowa)
Obsługa płatności, wystawianie faktur	4.4	art. 6 ust. 1 lit. b + art. 6 ust. 1 lit. c (ustawa o rachunkowości, VAT)
Przetwarzanie Danych Organizacji w celu Klasyfikacji Ryzyka i generowania Dokumentów Compliance	4.3	art. 28 RODO (powierzenie — administratorem jest Organizacja)
Prowadzenie Dziennika audytu	4.6	art. 6 ust. 1 lit. c (art. 18 EU AI Act — ewidencja) + art. 6 ust. 1 lit. f (dowód należytego wykonania Usługi)
Bezpieczeństwo Platformy, wykrywanie nadużyć	4.5	art. 6 ust. 1 lit. f (uzasadniony interes — ochrona przed atakami, fraud prevention)
Obsługa zgłoszeń, reklamacji i wsparcia technicznego	4.7	art. 6 ust. 1 lit. b (umowa) oraz art. 6 ust. 1 lit. f
Marketing bezpośredni własnych usług (newsletter)	4.8	art. 6 ust. 1 lit. a (zgoda)
Marketing produktowy wobec Organizacji (onboarding, aktualizacje produktu)	4.1	art. 6 ust. 1 lit. f (uzasadniony interes — informowanie klientów)
Analityka produktowa, usprawnianie Platformy	4.5	art. 6 ust. 1 lit. a (zgoda — cookies analityczne)
Dochodzenie lub obrona przed roszczeniami	wszystkie	art. 6 ust. 1 lit. f
Obowiązki księgowe i podatkowe	4.4	art. 6 ust. 1 lit. c (ustawa o rachunkowości)

6. Odbiorcy danych — podprocesorzy i inni odbiorcy

6.1. Podprocesorzy

Lista podprocesorów jest spójna z § 10 ust. 4 Regulaminu. Z każdym z wymienionych podmiotów zawarto umowy powierzenia przetwarzania danych (DPA) zgodne z art. 28 RODO.

Podprocesor	Rola / zakres danych	Lokalizacja	Status transferu
Supabase (Pty) Ltd (via AWS)	Hosting bazy danych, autentykacja, Dziennik audytu	UE — Frankfurt (eu-central-1)	W granicach EU/EOG
Microsoft Corporation (Azure OpenAI)	Przetwarzanie AI (Klasyfikacja Ryzyka, generowanie Dokumentów Compliance) na danych pseudonimizowanych	UE — Szwecja (swedencentral)	W granicach EU/EOG; dane transient — nie są przechowywane po zakończeniu przetwarzania i nie są wykorzystywane do trenowania modeli AI
Vercel, Inc.	Hosting aplikacji (edge runtime — brak danych trwale przechowywanych)	UE — węzły brzegowe	W granicach EU/EOG
Stripe, Inc. (Stripe Payments Europe, Ltd.)	Obsługa płatności (niezależny administrator danych płatniczych)	UE + US	Transfery do US na podstawie Standardowych Klauzul Umownych (SCC) + DPF
Resend, Inc.	Wysyłka wiadomości transakcyjnych (e-maile)	US	Standardowe Klauzule Umowne (SCC) — decyzja KE 2021/914

Zmiany na liście podprocesorów: Attestia poinformuje Organizację o każdej planowanej zmianie dotyczącej dodania lub zastąpienia podprocesora z co najmniej 30-dniowym wyprzedzeniem — zgodnie z art. 5 DPA (Załącznik nr 1 do Regulaminu). Organizacji przysługuje prawo sprzeciwu.

6.2. Opcjonalne zewnętrzne narzędzia uwierzytelniania

Jeśli Użytkownik wybierze logowanie przez:

Google OAuth — LLC Google, USA. Transfer na podstawie SCC + EU-U.S. Data Privacy Framework.
GitHub OAuth — GitHub, Inc., USA. Transfer na podstawie SCC + EU-U.S. Data Privacy Framework.

6.3. Odbiorcy niebędący podprocesorami

biuro rachunkowe — w zakresie niezbędnym do prowadzenia księgowości (dane fakturowe);
kancelarie prawne i doradcy — w przypadku dochodzenia lub obrony roszczeń;
organy publiczne — wyłącznie w przypadkach przewidzianych prawem (żądanie sądu, UODO, organu skarbowego).

7. Transfery danych poza EOG

Zasada generalna: dane Organizacji, Dokumenty Compliance i dane przetwarzane przez Azure OpenAI pozostają w granicach UE/EOG (zob. § 7 ust. 5 lit. a Regulaminu).

Wyjątki:

Resend, Inc. (US) — wysyłka e-maili transakcyjnych; transfer na podstawie Standardowych Klauzul Umownych (SCC — decyzja KE 2021/914).
Stripe, Inc. (US) — w zakresie niektórych operacji płatniczych; transfer na podstawie SCC + EU-U.S. Data Privacy Framework.
Google OAuth / GitHub OAuth (US) — jeśli Użytkownik wybierze tę metodę logowania; SCC + DPF.

Attestia NIE transferuje poza EOG:

Danych Organizacji (opisów Systemów AI, odpowiedzi na kwestionariusze, plików dowodowych),
wygenerowanych Dokumentów Compliance,
danych przetwarzanych przez Azure OpenAI (model w regionie Sweden Central).

8. Okresy przechowywania danych

Okresy retencji są spójne z § 12.4 Regulaminu oraz Załącznikiem nr 1 do Regulaminu (DPA).

Kategoria danych	Okres przechowywania
Dane Konta Użytkownika	czas aktywności Konta; po rozwiązaniu umowy — usunięcie w terminie 30 dni, chyba że dalsze przetwarzanie jest niezbędne z przyczyn prawnych
Dane Organizacji (opisy Systemów AI, dowody, kwestionariusze)	czas trwania subskrypcji + 30 dni na eksport (JSON/CSV) + następnie usunięcie
Wygenerowane Dokumenty Compliance	czas trwania subskrypcji — Organizacja może je eksportować do formatu PDF/DOCX; po rozwiązaniu umowy — okno 30 dni, następnie usunięcie
Dziennik audytu (Audit Log)	10 lat od daty ostatniego wpisu w formie pseudonimizowanej (zastąpienie identyfikatorów nieodwracalnymi hashami kryptograficznymi) — zgodnie z art. 18 EU AI Act i § 12.4 Regulaminu
Dane rozliczeniowe, faktury	5 lat od końca roku podatkowego, w którym dokonano transakcji (art. 74 ustawy o rachunkowości)
Backupy bazy danych	30 dni (Supabase — point-in-time recovery)
Logi bezpieczeństwa	12 miesięcy
Dane analityczne (cookies analityczne)	12 miesięcy — tylko za zgodą
Korespondencja e-mail i zgłoszenia wsparcia	3 lata od ostatniego kontaktu
Dane z postępowań reklamacyjnych	3 lata od zakończenia postępowania
Dane marketingowe (newsletter)	do czasu wycofania zgody lub wniesienia sprzeciwu

Po upływie okresu przechowywania dane są trwale usuwane lub zanonimizowane.

9. Cookies i podobne technologie

Platforma wykorzystuje cookies oraz podobne technologie (localStorage, sessionStorage) w czterech kategoriach:

9.1. Cookies niezbędne (strictly necessary)

Konieczne do funkcjonowania Platformy (sesja logowania, CSRF protection, preferencje językowe, zapisane ustawienia zgody cookies). Nie wymagają zgody na podstawie art. 173 ust. 3 pkt 2 Prawa telekomunikacyjnego (wyjątek dla cookies niezbędnych do świadczenia usługi).

Przykłady: sb-access-token, sb-refresh-token, NEXT_LOCALE, attestia_consent.

9.2. Cookies funkcjonalne (functional)

Umożliwiają dodatkowe funkcjonalności (zapamiętanie motywu, stanu menu bocznego). Nie są bezwzględnie wymagane, ale poprawiają doświadczenie.

Przykłady: theme, sidebar_state.

9.3. Cookies analityczne (analytics)

Pomagają nam zrozumieć jak korzystasz z Platformy. Wymagają zgody (opt-in).

9.4. Cookies marketingowe (marketing)

Używane do personalizacji komunikacji. Wymagają zgody (opt-in). Status: kategoria zarezerwowana — obecnie nie są wykorzystywane.

9.5. Zarządzanie zgodami

Możesz zarządzać zgodami cookies w dowolnym momencie:

przez panel „Ustawienia prywatności" w stopce Serwisu,
przez ustawienia przeglądarki (usuwanie i blokowanie cookies),
wycofując zgodę na analitykę w panelu Użytkownika.

Zgoda jest dobrowolna i może być wycofana w każdej chwili, bez wpływu na zgodność z prawem przetwarzania dokonanego przed jej wycofaniem.

10. Twoje prawa

Zgodnie z RODO przysługują Ci następujące prawa:

Prawo dostępu do danych (art. 15 RODO) — uzyskanie informacji o przetwarzanych danych i kopii danych.
Prawo do sprostowania (art. 16 RODO) — poprawienie nieprawidłowych lub uzupełnienie niekompletnych danych.
Prawo do usunięcia („prawo do bycia zapomnianym") (art. 17 RODO) — z zastrzeżeniem wyjątków (np. obowiązki księgowe, obrona przed roszczeniami, retencja Dziennika audytu z art. 18 EU AI Act).
Prawo do ograniczenia przetwarzania (art. 18 RODO).
Prawo do przenoszenia danych (art. 20 RODO) — otrzymanie danych w ustrukturyzowanym formacie (JSON/CSV) i przekazanie ich innemu administratorowi.
Prawo do sprzeciwu (art. 21 RODO) — wobec przetwarzania opartego na uzasadnionym interesie oraz wobec marketingu bezpośredniego.
Prawo do wycofania zgody — w każdym momencie, bez wpływu na legalność przetwarzania dokonanego wcześniej.
Prawo do niepodlegania decyzjom opartym wyłącznie na zautomatyzowanym przetwarzaniu (art. 22 RODO) — Attestia stosuje mechanizm potrójnej weryfikacji (silnik reguł + AI + zatwierdzenie Użytkownika) zgodnie z § 7 ust. 3 Regulaminu. Nie podejmujemy w pełni zautomatyzowanych decyzji wywołujących skutki prawne — każda Klasyfikacja Ryzyka i każdy Dokument Compliance wymaga zatwierdzenia przez człowieka.
Prawo wniesienia skargi do organu nadzorczego — Prezesa Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl. Skargę można wnieść również do organu nadzorczego w państwie członkowskim UE, w którym osoba mieszka lub w którym doszło do naruszenia.

Realizacja praw: wyślij żądanie na adres privacy@attestia.eu, podając opis żądania i dane umożliwiające identyfikację. Odpowiemy bez zbędnej zwłoki, nie później niż w terminie 30 dni (z możliwością przedłużenia o 60 dni w sprawach skomplikowanych — z informacją i uzasadnieniem).

Z uwagi na obowiązek weryfikacji tożsamości, możemy poprosić o dodatkowe informacje potwierdzające tożsamość osoby zgłaszającej żądanie.

11. Bezpieczeństwo danych

Attestia stosuje środki techniczne i organizacyjne zgodne z art. 32 RODO. Pełny wykaz znajduje się w Załączniku A do DPA (Załącznik nr 1 do Regulaminu). W skrócie:

szyfrowanie w tranzycie — TLS 1.3 dla wszystkich połączeń HTTPS;
szyfrowanie at-rest — AES-256 (Supabase, Azure);
kontrola dostępu — RBAC (role Owner, Admin, Member, Viewer) + Row-Level Security na poziomie bazy danych;
uwierzytelnianie — hasło, OAuth (Google, GitHub), opcjonalne MFA (TOTP);
izolacja danych — multi-tenant z RLS;
pseudonimizacja — dane wysyłane do Azure OpenAI pozbawione są identyfikatorów Organizacji i danych osobowych;
Dziennik audytu — hash-chained (SHA-256), append-only, niezmienny;
zarządzanie sesjami — Access token TTL 1h, Refresh token TTL 7 dni, HttpOnly Secure cookies;
backupy — codziennie, retencja 30 dni (Supabase);
monitoring bezpieczeństwa — Sentry, alerty na anomalie;
testy bezpieczeństwa — planowane testy penetracyjne (kwartalnie), przeglądy kodu.

12. Naruszenia ochrony danych

W przypadku naruszenia ochrony danych osobowych:

Attestia zgłosi naruszenie Prezesowi UODO w ciągu 72 godzin od jego stwierdzenia (art. 33 RODO), jeżeli naruszenie dotyczy danych, których Attestia jest administratorem;
Attestia niezwłocznie (maksymalnie w ciągu 24 godzin od stwierdzenia) poinformuje Organizację o naruszeniu dotyczącym Danych Organizacji — zgodnie z art. 4 DPA (Załącznik nr 1 do Regulaminu), umożliwiając Organizacji dotrzymanie własnego 72-godzinnego terminu;
w przypadku wysokiego ryzyka dla praw lub wolności osób, których dane dotyczą, zawiadomimy te osoby bez zbędnej zwłoki (art. 34 RODO).

Kontakt ws. bezpieczeństwa: privacy@attestia.eu (docelowo również: security@attestia.eu — po uruchomieniu /security).

13. Informacja o wykorzystaniu sztucznej inteligencji

Zgodnie z art. 50 EU AI Act informujemy, że Platforma wykorzystuje model Azure OpenAI GPT-5.4 (region EU — Sweden Central, dostarczany przez Microsoft Corporation) do:

generowania rekomendacji Klasyfikacji Ryzyka,
generowania projektów Dokumentów Compliance,
generowania wyjaśnień i analiz regulacyjnych.

Kluczowe zasady (spójne z § 7 Regulaminu):

Oznaczanie treści AI — wszystkie treści generowane przez AI są oznaczone etykietą „Wspomagane przez AI" / „AI-assisted". Dokumenty w formacie PDF/DOCX zawierają notę o generowaniu z wykorzystaniem AI.
Potrójna weryfikacja — silnik reguł (deterministyczny) + rekomendacja AI + zatwierdzenie Użytkownika.
Prawo do nadpisania — Użytkownik może odrzucić lub skorygować rekomendację AI na każdym etapie.
Pseudonimizacja — dane wysyłane do Azure OpenAI nie zawierają nazwy Organizacji, danych Użytkowników ani danych rozliczeniowych.
Brak trenowania — dane nie są wykorzystywane przez Microsoft do trenowania modeli AI (zgodnie z warunkami Azure OpenAI).
Transient processing — dane nie są przechowywane po stronie Azure OpenAI po zakończeniu przetwarzania.

Szczegóły w § 7 Regulaminu oraz w AI Transparency Notice dostępnym pod adresem attestia.eu/transparency.

14. Dzieci

Platforma jest skierowana wyłącznie do podmiotów profesjonalnych (B2B) i osób dorosłych działających w imieniu tych podmiotów (§ 1 ust. 4 i § 5 ust. 2 Regulaminu). Nie jest przeznaczona dla osób poniżej 16 roku życia. Nie zbieramy świadomie danych osób niepełnoletnich. Jeśli dowiemy się, że dane osoby poniżej 16 lat trafiły do Platformy bez zgody opiekuna prawnego, niezwłocznie je usuniemy.

15. Zmiany Polityki Prywatności

O istotnych zmianach niniejszej Polityki poinformujemy z co najmniej 30-dniowym wyprzedzeniem (spójnie z § 14 Regulaminu w zakresie trybu powiadomień):

drogą elektroniczną na adres e-mail powiązany z Kontem,
poprzez powiadomienie w Platformie.

Aktualna wersja publikowana jest pod adresem: attestia.eu/privacy. Poprzednie wersje archiwizujemy i udostępniamy na żądanie kierowane na privacy@attestia.eu.

Dalsze korzystanie z Platformy po dacie wejścia w życie zmian oznacza akceptację nowej wersji.

16. Kontakt


Sprawy ochrony danych	privacy@attestia.eu
Sprawy ogólne	contact@attestia.eu
Wsparcie techniczne	support@attestia.eu
Adres pocztowy	Trimalert sp. z o.o., ul. Przasnyska 7/319, 01-756 Warszawa, Polska