Regulamin świadczenia usług Attestia.eu

Wersja: 1.0
Data wejścia w życie: 2026-04-22
Ostatnia aktualizacja: 2026-04-22

§ 1. Postanowienia ogólne

1. Niniejszy Regulamin (dalej: „Regulamin") określa zasady i warunki korzystania z platformy Attestia.eu (dalej: „Platforma" lub „Usługa"), świadczonej drogą elektroniczną przez Trimalert sp. z o.o. (dalej: „Usługodawca"). Platforma jest udostępniana pod marką handlową „Attestia" (dalej: „Attestia").
2. Usługodawca:
   • Firma: Trimalert sp. z o.o.
   • Siedziba: ul. Przasnyska 7/319, 01-756 Warszawa
   • KRS: 0001233147
   • NIP: 5253085087
   • REGON: 54440046800000
   • Kapitał zakładowy: 5 000,00 zł
   • Adres e-mail: contact@attestia.eu
   • Adres strony internetowej: https://attestia.eu
3. Regulamin stanowi regulamin świadczenia usług drogą elektroniczną w rozumieniu art. 8 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (t.j. Dz.U. z 2020 r. poz. 344 ze zm.).
4. Platforma jest przeznaczona wyłącznie dla podmiotów profesjonalnych (B2B) — przedsiębiorców, osób prawnych, jednostek organizacyjnych nieposiadających osobowości prawnej, którym ustawa przyznaje zdolność prawną, oraz osób fizycznych prowadzących działalność gospodarczą. Platforma nie jest przeznaczona dla konsumentów w rozumieniu art. 22¹ Kodeksu cywilnego.
5. Korzystanie z Platformy wymaga akceptacji niniejszego Regulaminu oraz Polityki Prywatności dostępnej pod adresem https://attestia.eu/privacy.

§ 2. Definicje

Na potrzeby niniejszego Regulaminu poniższe pojęcia mają następujące znaczenie:

1. Attestia / Usługodawca — Trimalert sp. z o.o. z siedzibą w Warszawie (ul. Przasnyska 7/319, 01-756 Warszawa), wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego pod numerem KRS 0001233147, NIP 5253085087, REGON 54440046800000, prowadząca Platformę pod marką handlową „Attestia".
2. Platforma — aplikacja internetowa dostępna pod adresem https://app.attestia.eu oraz powiązane usługi, umożliwiające automatyzację procesów zgodności z regulacjami dotyczącymi sztucznej inteligencji.
3. Użytkownik — osoba fizyczna działająca w imieniu i na rzecz Organizacji, posiadająca Konto na Platformie.
4. Organizacja — podmiot profesjonalny (przedsiębiorca), który zawarł z Attestia umowę o świadczenie Usług poprzez rejestrację na Platformie.
5. Konto — indywidualne konto Użytkownika na Platformie, zabezpieczone danymi uwierzytelniającymi, przypisane do Organizacji.
6. System AI — system sztucznej inteligencji w rozumieniu art. 3 pkt 1 Rozporządzenia (UE) 2024/1689 (EU AI Act), którego dane Organizacja wprowadza do Platformy w celu oceny zgodności.
7. Klasyfikacja Ryzyka — funkcjonalność Platformy polegająca na wspomaganej sztuczną inteligencją analizie i rekomendacji kategorii ryzyka Systemu AI zgodnie z EU AI Act.
8. Dokumenty Compliance — dokumenty wygenerowane przez Platformę z wykorzystaniem sztucznej inteligencji, w tym m.in. dokumentacja techniczna (Annex IV EU AI Act), ocena wpływu na prawa podstawowe (FRIA), deklaracja zgodności, zawiadomienia o przejrzystości (Art. 50).
9. Plan Subskrypcji — wybrany przez Organizację wariant Usługi (Free, Pro, Team, Enterprise), określający zakres funkcjonalności i limity.
10. Okres Rozliczeniowy — miesięczny lub roczny okres, za który naliczana jest opłata za Plan Subskrypcji.
11. Dane Organizacji — wszelkie dane, informacje i materiały wprowadzone przez Użytkowników do Platformy, w tym opisy Systemów AI, odpowiedzi na kwestionariusze, pliki dowodowe i dokumentacja.
12. EU AI Act — Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 z dnia 13 czerwca 2024 r. ustanawiające zharmonizowane przepisy dotyczące sztucznej inteligencji (Akt w sprawie sztucznej inteligencji).
13. RODO — Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (Ogólne Rozporządzenie o Ochronie Danych).
14. Dzień Roboczy — dzień od poniedziałku do piątku, z wyłączeniem dni ustawowo wolnych od pracy w Rzeczypospolitej Polskiej.

§ 3. Opis Usługi

1. Attestia świadczy usługę platformy SaaS (Software as a Service) umożliwiającej automatyzację procesów zgodności z EU AI Act i innymi regulacjami dotyczącymi sztucznej inteligencji.
2. Platforma oferuje następujące funkcjonalności (w zależności od Planu Subskrypcji):
   1. Klasyfikacja Ryzyka Systemów AI — wspomagana sztuczną inteligencją analiza systemu AI pod kątem kategorii ryzyka wg EU AI Act (zakazane, wysokie ryzyko, ograniczone ryzyko, minimalne ryzyko);
   2. Generowanie Dokumentów Compliance — automatyczne tworzenie projektów dokumentacji wymaganej przez EU AI Act, w tym dokumentacji technicznej (Annex IV), FRIA, deklaracji zgodności;
   3. Dashboard Compliance — panel umożliwiający śledzenie statusu zgodności Systemów AI Organizacji;
   4. Monitoring Regulacyjny — powiadomienia o zmianach regulacyjnych i terminach compliance;
   5. Dziennik Audytu — niezmienny, chronologiczny rejestr wszystkich działań compliance na Platformie;
   6. Eksport Dokumentów — eksport wygenerowanych dokumentów w formatach PDF i DOCX.
3. Szczegółowy zakres funkcjonalności dostępnych w ramach poszczególnych Planów Subskrypcji określa cennik dostępny pod adresem https://attestia.eu/pricing.

§ 4. Kluczowe zastrzeżenia dotyczące charakteru Usługi

Niniejszy paragraf stanowi integralną i istotną część Regulaminu. Korzystając z Platformy, Użytkownik potwierdza, że zapoznał się z poniższymi zastrzeżeniami i je akceptuje.

1. Attestia jest narzędziem automatyzacji compliance, a NIE kancelarią prawną. Platforma nie świadczy usług prawnych, nie udziela porad prawnych i nie zastępuje profesjonalnego doradztwa prawnego.
2. Klasyfikacja Ryzyka jest rekomendacją wspomaganą sztuczną inteligencją, a NIE wiążącym ustaleniem prawnym. Wynik Klasyfikacji Ryzyka ma charakter wyłącznie informacyjny i pomocniczy. Ostateczna odpowiedzialność za prawidłową klasyfikację Systemu AI spoczywa na Organizacji (jako dostawcy lub podmiocie wdrażającym System AI w rozumieniu EU AI Act).
3. Dokumenty Compliance wygenerowane przez Platformę stanowią projekty robocze, a NIE gotowe dokumenty prawne. Każdy wygenerowany dokument wymaga przeglądu, dostosowania i zatwierdzenia przez wykwalifikowanego prawnika lub specjalistę ds. zgodności przed użyciem w celach regulacyjnych.
4. Attestia nie certyfikuje zgodności z EU AI Act ani żadną inną regulacją. Platforma nie zastępuje oceny zgodności dokonywanej przez jednostki notyfikowane (notified bodies) dla systemów AI wysokiego ryzyka.
5. Attestia nie ponosi odpowiedzialności za kary regulacyjne nałożone na Organizację w wyniku decyzji opartych na Klasyfikacji Ryzyka lub Dokumentach Compliance wygenerowanych przez Platformę.
6. Interpretacja EU AI Act jest dynamiczna i ewoluująca. Normy zharmonizowane, wytyczne Komisji Europejskiej, krajowe implementacje i orzecznictwo mogą wpływać na prawidłową wykładnię przepisów. Attestia dokłada starań, aby Platforma odzwierciedlała aktualny stan prawny, jednak nie gwarantuje kompletności ani aktualności informacji regulacyjnych.
7. Platforma wykorzystuje sztuczną inteligencję (AI). Klasyfikacja Ryzyka i generowanie Dokumentów Compliance wykorzystują model Azure OpenAI (GPT-5.4). Treści generowane przez AI mogą zawierać błędy lub nieścisłości. Użytkownik jest zobowiązany do weryfikacji wszelkich treści wygenerowanych przez AI przed ich wykorzystaniem.

§ 5. Warunki rejestracji i Konto

1. Korzystanie z Platformy wymaga utworzenia Konta poprzez rejestrację na stronie https://app.attestia.eu.
2. Rejestracja jest dostępna wyłącznie dla osób pełnoletnich działających w imieniu i na rzecz podmiotów profesjonalnych (B2B). Rejestrując Konto, Użytkownik oświadcza, że:
   1. jest uprawniony do reprezentowania Organizacji;
   2. Organizacja jest podmiotem profesjonalnym w rozumieniu § 1 ust. 4;
   3. podane dane są prawdziwe, kompletne i aktualne.
3. Rejestracja wymaga podania: adresu e-mail, imienia i nazwiska, nazwy Organizacji oraz utworzenia hasła. Alternatywnie, rejestracja jest możliwa za pośrednictwem kont Google lub GitHub (OAuth).
4. Po rejestracji automatycznie tworzona jest Organizacja, do której przypisany jest Użytkownik w roli Właściciela (Owner). Właściciel może zapraszać dodatkowych Użytkowników i przypisywać im role zgodnie z hierarchią uprawnień Platformy.
5. Użytkownik jest zobowiązany do:
   1. zachowania poufności danych uwierzytelniających (hasło, tokeny dostępu);
   2. niezwłocznego powiadomienia Attestia o nieautoryzowanym dostępie do Konta;
   3. utrzymywania aktualności danych Konta i Organizacji.
6. Attestia nie ponosi odpowiedzialności za szkody wynikające z naruszenia bezpieczeństwa Konta, jeżeli naruszenie nastąpiło z przyczyn leżących po stronie Użytkownika (np. udostępnienie hasła osobom trzecim).
7. Jedno Konto jest przypisane do jednej osoby fizycznej. Współdzielenie Kont jest zabronione.

§ 6. Plany Subskrypcji i opłaty

6.1. Plany Subskrypcji

1. Platforma jest dostępna w następujących Planach Subskrypcji:

2. Szczegółowy zakres funkcjonalności każdego Planu, w tym limity i ograniczenia, określa cennik dostępny pod adresem https://attestia.eu/pricing.
3. Ceny podane są w kwotach netto. Do cen doliczany jest podatek VAT w stawce obowiązującej w jurysdykcji Organizacji, zgodnie z przepisami o podatku od wartości dodanej.
4. Dla Organizacji z siedzibą w państwach członkowskich UE innych niż Polska, posiadających aktywny numer VAT UE, stosuje się mechanizm odwrotnego obciążenia (reverse charge).

6.2. Płatności

5. Płatności za Plany Subskrypcji są obsługiwane przez operatora płatności Stripe, Inc. (dalej: „Stripe"). Attestia nie przechowuje danych kart płatniczych — dane te są przetwarzane wyłącznie przez Stripe zgodnie z wymogami PCI DSS.
6. Dostępne metody płatności: karta płatnicza (Visa, Mastercard), SEPA Direct Debit (dla płatników z obszaru SEPA). Dla Planu Enterprise dostępny jest również przelew bankowy.
7. Subskrypcja jest automatycznie odnawiana na kolejny Okres Rozliczeniowy (miesięczny lub roczny), chyba że Organizacja anuluje subskrypcję przed końcem bieżącego Okresu Rozliczeniowego.
8. Attestia wystawia faktury VAT w formie elektronicznej, dostępne w panelu ustawień Organizacji oraz wysyłane na adres e-mail Właściciela Konta.

6.3. Nieopłacone należności

9. W przypadku nieudanej próby pobrania płatności, Attestia podejmie do 3 ponownych prób pobrania (w dniach 1., 3. i 7. od daty nieudanej płatności).
10. Po upływie 14 dni od pierwszej nieudanej próby pobrania płatności, bez skutecznego uregulowania należności, Attestia zastrzega sobie prawo do:
    1. ograniczenia dostępu do Platformy (tryb tylko do odczytu);
    2. zawieszenia Konta Organizacji;
    3. po upływie kolejnych 30 dni — usunięcia Konta i danych Organizacji, z zachowaniem procedury określonej w § 12.

6.4. Zmiana Planu Subskrypcji

11. Organizacja może w każdym czasie zmienić Plan Subskrypcji:
    1. Upgrade (zmiana na wyższy Plan) — zmiana następuje natychmiastowo, naliczana jest proporcjonalna różnica w opłacie za pozostałą część bieżącego Okresu Rozliczeniowego;
    2. Downgrade (zmiana na niższy Plan) — zmiana następuje z początkiem kolejnego Okresu Rozliczeniowego. Systemy AI i Użytkownicy przekraczający limity nowego Planu przechodzą w tryb tylko do odczytu (dane nie są usuwane).

6.5. Zwroty

12. Z uwagi na charakter Usługi (natychmiastowy dostęp do narzędzia cyfrowego), Organizacja wyraża zgodę na rozpoczęcie świadczenia Usługi przed upływem terminu na odstąpienie od umowy, o ile przysługuje mu takie prawo.
13. Attestia stosuje następującą politykę zwrotów:
    1. subskrypcja roczna — zwrot proporcjonalny za niewykorzystane pełne miesiące, na pisemny wniosek złożony w ciągu 30 dni od rozpoczęcia subskrypcji;
    2. subskrypcja miesięczna — brak zwrotów za rozpoczęty Okres Rozliczeniowy;
    3. Plan Free — nie podlega zwrotom.

§ 7. Wykorzystanie sztucznej inteligencji — Informacja o przejrzystości (Art. 50 EU AI Act)

1. Attestia wykorzystuje sztuczną inteligencję (model Azure OpenAI GPT-5.4, dostarczany przez Microsoft Corporation za pośrednictwem usługi Microsoft Azure) do następujących celów:
   1. generowanie rekomendacji Klasyfikacji Ryzyka Systemów AI;
   2. generowanie projektów Dokumentów Compliance;
   3. generowanie wyjaśnień i analiz regulacyjnych.
2. Identyfikacja treści generowanych przez AI. Wszelkie treści wygenerowane przez sztuczną inteligencję na Platformie są oznaczone etykietą „Wspomagane przez AI" (ang. „AI-assisted") lub równoważnym oznaczeniem. Dokumenty wygenerowane w formatach PDF i DOCX zawierają notę: „Dokument wygenerowany z wykorzystaniem sztucznej inteligencji przez Attestia.eu. Wymaga przeglądu przez wykwalifikowanego specjalistę."
3. Nadzór ludzki. Platforma stosuje mechanizm potrójnej weryfikacji Klasyfikacji Ryzyka:
   1. silnik reguł (deterministyczny) — analiza na podstawie przepisów EU AI Act;
   2. rekomendacja AI — analiza z wykorzystaniem modelu językowego;
   3. przegląd i zatwierdzenie przez Użytkownika — ostateczna decyzja należy do człowieka.
   Użytkownik ma możliwość odrzucenia lub skorygowania rekomendacji AI na każdym etapie.
4. Dokładność. Rekomendacje AI mają charakter probabilistyczny i mogą zawierać błędy. Attestia wyświetla poziom pewności (confidence score) przy każdej Klasyfikacji Ryzyka. Klasyfikacje o niskim poziomie pewności lub dotyczące przypadków granicznych (grey areas) wymagają obligatoryjnego przeglądu przez eksperta.
5. Przetwarzanie danych przez AI. Opisy Systemów AI wprowadzone przez Użytkownika są przesyłane do usługi Azure OpenAI (region EU — Szwecja) w formie pseudonimizowanej (bez nazwy Organizacji, danych osobowych Użytkowników ani danych rozliczeniowych) wyłącznie w celu wygenerowania Klasyfikacji Ryzyka lub Dokumentów Compliance. Dane te:
   1. są przetwarzane w regionie UE (Azure Sweden, swedencentral) i nie są transferowane poza Europejski Obszar Gospodarczy;
   2. nie są wykorzystywane przez Microsoft do trenowania modeli AI (zgodnie z warunkami Azure OpenAI);
   3. są przetwarzane przejściowo (transient processing) — nie są przechowywane po stronie Azure OpenAI po zakończeniu przetwarzania.

§ 8. Prawa własności intelektualnej

8.1. Własność intelektualna Attestia

1. Platforma, jej kod źródłowy, algorytmy, interfejs użytkownika, design, szablony dokumentów, silnik reguł klasyfikacji, baza wiedzy regulacyjnej, znaki towarowe „Attestia" i „Attestia.eu" oraz wszelkie inne elementy Platformy stanowią własność intelektualną Attestia lub jej licencjodawców i są chronione przepisami prawa autorskiego, prawa własności przemysłowej i innymi przepisami dotyczącymi ochrony własności intelektualnej.
2. Regulamin nie przenosi na Użytkownika ani Organizację żadnych praw własności intelektualnej do Platformy. Organizacja otrzymuje jedynie ograniczoną, niewyłączną, nieprzenoszalną, odwołalną licencję na korzystanie z Platformy w zakresie wynikającym z wybranego Planu Subskrypcji, na czas trwania subskrypcji.

8.2. Dane Organizacji

3. Organizacja zachowuje pełne prawa własności do Danych Organizacji wprowadzonych na Platformę, w tym opisów Systemów AI, odpowiedzi na kwestionariusze oraz plików dowodowych.
4. Organizacja udziela Attestia ograniczonej licencji na przetwarzanie Danych Organizacji wyłącznie w celu świadczenia Usługi (w tym przetwarzania przez Azure OpenAI w celu generowania Klasyfikacji Ryzyka i Dokumentów Compliance).

8.3. Dokumenty wygenerowane przez AI

5. Dokumenty Compliance wygenerowane przez Platformę z wykorzystaniem danych wprowadzonych przez Organizację stanowią własność Organizacji w zakresie treści merytorycznej wynikającej z Danych Organizacji.
6. Szablony, struktury i elementy formatowania Dokumentów Compliance stanowią własność intelektualną Attestia. Organizacja może wykorzystywać wygenerowane dokumenty do celów wewnętrznych i regulacyjnych, lecz nie może odsprzedawać samodzielnie szablonów ani generatora dokumentów.
7. Attestia zastrzega prawo do wykorzystania zanonimizowanych, zagregowanych danych statystycznych (np. rozkład kategorii ryzyka, najczęstsze typy systemów AI) w celu ulepszania Platformy i tworzenia raportów branżowych, bez ujawniania Danych Organizacji.

§ 9. Dopuszczalne korzystanie z Platformy

1. Organizacja i jej Użytkownicy zobowiązują się do korzystania z Platformy wyłącznie zgodnie z jej przeznaczeniem i w sposób zgodny z obowiązującym prawem.
2. Zabrania się w szczególności:
   1. korzystania z Platformy w celu dokumentowania systemów AI, których wdrożenie jest zakazane na mocy art. 5 EU AI Act (prohibited practices);
   2. wykorzystywania Klasyfikacji Ryzyka lub Dokumentów Compliance do celowego wprowadzania w błąd organów regulacyjnych, audytorów lub osób trzecich;
   3. wprowadzania do Platformy treści niezgodnych z prawem, naruszających prawa osób trzecich lub zawierających złośliwe oprogramowanie;
   4. podejmowania prób uzyskania nieautoryzowanego dostępu do Platformy, jej infrastruktury, kont innych Użytkowników lub danych innych Organizacji;
   5. dekompilacji, reverse-engineeringu, dezasemblacji lub innej próby pozyskania kodu źródłowego Platformy;
   6. automatycznego pobierania danych z Platformy (scraping), z wyjątkiem korzystania z udostępnionego API zgodnie z dokumentacją;
   7. odsprzedawania, sublicencjonowania lub udostępniania Platformy osobom trzecim bez uprzedniej pisemnej zgody Attestia (z wyjątkiem Planu Enterprise z opcją white-label);
   8. współdzielenia Kont między wieloma osobami fizycznymi;
   9. obchodzenia ograniczeń wynikających z Planu Subskrypcji.
3. W przypadku naruszenia zasad dopuszczalnego korzystania, Attestia zastrzega sobie prawo do:
   1. wezwania Organizacji do zaprzestania naruszeń;
   2. czasowego zawieszenia dostępu do Platformy;
   3. natychmiastowego rozwiązania umowy w przypadku poważnych lub powtarzających się naruszeń (§ 12 ust. 5).

§ 10. Ochrona danych osobowych

1. Administratorem danych osobowych Użytkowników (dane konta: imię, nazwisko, adres e-mail) jest Trimalert sp. z o.o. z siedzibą w Warszawie (ul. Przasnyska 7/319, 01-756 Warszawa), prowadząca Platformę pod marką „Attestia".
2. W zakresie przetwarzania Danych Organizacji zawierających dane osobowe (np. opisy Systemów AI odnoszące się do osób fizycznych), Attestia działa jako podmiot przetwarzający (procesor) w rozumieniu art. 28 RODO, a Organizacja jako administrator danych. Szczegółowe zasady powierzenia przetwarzania danych reguluje odrębna Umowa Powierzenia Przetwarzania Danych (DPA), stanowiąca Załącznik nr 1 do niniejszego Regulaminu.
3. Szczegółowe informacje dotyczące przetwarzania danych osobowych, w tym cele, podstawy prawne, prawa podmiotów danych, kategorie odbiorców i okresy retencji, zawiera Polityka Prywatności dostępna pod adresem https://attestia.eu/privacy.
4. Attestia korzysta z następujących podprocesorów danych:

5. Organizacja zobowiązuje się do informowania osób, których dane osobowe wprowadza na Platformę, o przetwarzaniu tych danych zgodnie z art. 13 i 14 RODO.

§ 11. Odpowiedzialność i ograniczenie odpowiedzialności

11.1. Odpowiedzialność Organizacji

1. Organizacja ponosi wyłączną odpowiedzialność za:
   1. prawidłowość i kompletność Danych Organizacji wprowadzonych na Platformę;
   2. ostateczną decyzję o Klasyfikacji Ryzyka swoich Systemów AI — niezależnie od rekomendacji Platformy;
   3. przegląd, dostosowanie i zatwierdzenie Dokumentów Compliance przed ich wykorzystaniem w celach regulacyjnych;
   4. wdrożenie wymaganych środków zgodności z EU AI Act i innymi regulacjami;
   5. zgłaszanie poważnych incydentów (art. 73 EU AI Act) do właściwych organów;
   6. prawidłowość danych podatkowych i rozliczeniowych.

11.2. Ograniczenie odpowiedzialności Attestia

2. W maksymalnym zakresie dopuszczalnym przez obowiązujące prawo, całkowita odpowiedzialność Attestia wobec Organizacji z tytułu lub w związku z korzystaniem z Platformy, niezależnie od podstawy prawnej (umowa, delikt, bezpodstawne wzbogacenie lub inna), jest ograniczona do łącznej kwoty opłat faktycznie zapłaconych przez Organizację na rzecz Attestia w ciągu 12 miesięcy bezpośrednio poprzedzających zdarzenie stanowiące podstawę roszczenia.
3. Attestia nie ponosi odpowiedzialności za:
   1. szkody pośrednie, utracone korzyści, utratę danych, utratę reputacji ani inne szkody następcze (consequential damages), nawet jeśli Attestia została uprzednio poinformowana o możliwości ich wystąpienia;
   2. kary regulacyjne nałożone na Organizację przez organy nadzoru (w tym na podstawie EU AI Act, RODO lub innych regulacji), wynikające z decyzji podjętych przez Organizację na podstawie Klasyfikacji Ryzyka lub Dokumentów Compliance wygenerowanych przez Platformę;
   3. błędy w treściach wygenerowanych przez AI, jeżeli Organizacja nie dokonała przeglądu i weryfikacji tych treści zgodnie z § 4 Regulaminu;
   4. zmiany w stanie prawnym (nowe regulacje, wytyczne, orzecznictwo, normy zharmonizowane) wprowadzone po wygenerowaniu Klasyfikacji Ryzyka lub Dokumentów Compliance;
   5. niekompatybilność lub zmiany w usługach dostawców zewnętrznych (Microsoft Azure OpenAI, Supabase, Stripe), w tym zmiany w zachowaniu modeli AI;
   6. przerwy w dostępie do Platformy wynikające z planowanych prac konserwacyjnych (z wcześniejszym powiadomieniem), działania siły wyższej lub awarii infrastruktury dostawców zewnętrznych;
   7. działania lub zaniechania Użytkowników, w tym naruszenie bezpieczeństwa Konta z przyczyn leżących po stronie Użytkownika.
4. Ograniczenia odpowiedzialności określone w niniejszym paragrafie nie mają zastosowania w przypadku:
   1. szkód wyrządzonych umyślnie lub wskutek rażącego niedbalstwa Attestia;
   2. odpowiedzialności, której ograniczenie jest niedopuszczalne na mocy bezwzględnie obowiązujących przepisów prawa polskiego lub unijnego.

11.3. Brak gwarancji

5. Platforma jest świadczona na zasadzie „AS IS" (w stanie, w jakim jest) i „AS AVAILABLE" (w miarę dostępności). Attestia nie udziela żadnych gwarancji, wyraźnych ani dorozumianych, w szczególności:
   1. gwarancji przydatności do określonego celu;
   2. gwarancji nieprzerwanego lub bezbłędnego działania Platformy;
   3. gwarancji kompletności, dokładności lub aktualności bazy wiedzy regulacyjnej;
   4. gwarancji, że korzystanie z Platformy zapewni zgodność z EU AI Act lub jakąkolwiek inną regulacją.

§ 12. Czas trwania umowy i rozwiązanie

12.1. Czas trwania

1. Umowa o świadczenie Usługi jest zawierana na czas nieokreślony (Plan Free) lub na czas trwania Okresu Rozliczeniowego z automatycznym odnowieniem (Plany płatne).

12.2. Wypowiedzenie przez Organizację

2. Organizacja może w każdym czasie wypowiedzieć umowę (anulować subskrypcję) poprzez panel ustawień Konta. Wypowiedzenie jest skuteczne z końcem bieżącego Okresu Rozliczeniowego — do tego momentu Organizacja zachowuje pełny dostęp do Platformy.
3. Przed anulowaniem subskrypcji Organizacja powinna wyeksportować Dane Organizacji i wygenerowane Dokumenty Compliance (funkcja eksportu dostępna w panelu Platformy).

12.3. Wypowiedzenie przez Attestia

4. Attestia może wypowiedzieć umowę z zachowaniem 30-dniowego okresu wypowiedzenia, powiadamiając Organizację na adres e-mail Właściciela Konta. W takim przypadku Attestia zwróci proporcjonalną część opłaty za niewykorzystany Okres Rozliczeniowy.
5. Attestia może rozwiązać umowę ze skutkiem natychmiastowym w przypadku:
   1. istotnego naruszenia Regulaminu przez Organizację lub jej Użytkowników, w tym naruszenia § 9 (dopuszczalne korzystanie), jeżeli naruszenie nie zostało usunięte w terminie 14 dni od wezwania;
   2. wykorzystywania Platformy do celów niezgodnych z prawem;
   3. zalegania z płatnościami powyżej 44 dni (14 dni grace period + 30 dni po zawieszeniu).

12.4. Skutki rozwiązania umowy

6. Po rozwiązaniu umowy:
   1. dostęp do Platformy zostaje dezaktywowany;
   2. Organizacja może w terminie 30 dni od rozwiązania umowy zażądać eksportu Danych Organizacji w formacie JSON/CSV. Po upływie tego terminu Dane Organizacji zostaną usunięte;
   3. Dziennik Audytu (audit log) zostaje zachowany w formie pseudonimizowanej przez okres 10 lat od daty ostatniego wpisu, zgodnie z wymogami art. 18 EU AI Act. Pseudonimizacja polega na zastąpieniu identyfikatorów Użytkowników i Organizacji nieodwracalnymi hashami kryptograficznymi;
   4. dane rozliczeniowe są przechowywane przez okres wymagany przepisami prawa podatkowego (5 lat w Polsce);
   5. dane osobowe Użytkowników (imię, nazwisko, e-mail) zostają usunięte w terminie 30 dni od rozwiązania umowy, chyba że dalsze przetwarzanie jest niezbędne z przyczyn prawnych.

§ 13. Dostępność Platformy i wsparcie techniczne

13.1. Dostępność

1. Attestia dokłada starań, aby Platforma była dostępna 24 godziny na dobę, 7 dni w tygodniu. Attestia nie gwarantuje nieprzerwanej dostępności Platformy.
2. Planowane prace konserwacyjne będą przeprowadzane w miarę możliwości w godzinach nocnych (CET/CEST) z wcześniejszym powiadomieniem Użytkowników (min. 24 godziny przed planowaną przerwą).
3. Gwarancja dostępności (SLA — Service Level Agreement):

13.2. Wsparcie techniczne

4. Wsparcie techniczne jest dostępne za pośrednictwem poczty elektronicznej na adres: support@attestia.eu.
5. Zakres wsparcia technicznego obejmuje pomoc w korzystaniu z Platformy. Wsparcie techniczne nie obejmuje porad prawnych, interpretacji regulacji ani konsultacji compliance.

§ 14. Zmiany Regulaminu

1. Attestia zastrzega sobie prawo do zmiany Regulaminu. O każdej zmianie Attestia powiadomi Organizacje:
   1. drogą elektroniczną na adres e-mail Właściciela Konta — z co najmniej 30-dniowym wyprzedzeniem przed wejściem zmian w życie;
   2. za pośrednictwem powiadomienia w Platformie.
2. Powiadomienie o zmianie Regulaminu będzie zawierać: opis istotnych zmian, datę wejścia w życie nowej wersji oraz link do pełnego tekstu nowego Regulaminu.
3. Dalsze korzystanie z Platformy po dacie wejścia w życie zmienionego Regulaminu oznacza akceptację zmian.
4. W przypadku braku akceptacji zmienionego Regulaminu, Organizacja ma prawo wypowiedzieć umowę ze skutkiem na dzień wejścia w życie zmienionego Regulaminu, z zachowaniem prawa do proporcjonalnego zwrotu opłaty za niewykorzystany Okres Rozliczeniowy.
5. Zmiany Regulaminu nie wpływają na prawa i obowiązki stron wynikające z umów zawartych przed wejściem w życie zmienionego Regulaminu, chyba że zmiana wynika z bezwzględnie obowiązujących przepisów prawa.

§ 15. Siła wyższa

1. Żadna ze stron nie ponosi odpowiedzialności za niewykonanie lub nienależyte wykonanie zobowiązań wynikających z Regulaminu, jeżeli jest to spowodowane działaniem siły wyższej (force majeure), rozumianej jako zdarzenie zewnętrzne, nadzwyczajne, niemożliwe do przewidzenia i zapobieżenia, w szczególności: klęski żywiołowe, wojny, akty terroryzmu, epidemie, pandemie, strajki generalne, awarie infrastruktury telekomunikacyjnej o zasięgu krajowym lub międzynarodowym, cyberataki o skali masowej, decyzje organów władzy publicznej uniemożliwiające świadczenie Usługi.
2. Strona dotknięta siłą wyższą niezwłocznie powiadomi drugą stronę o jej wystąpieniu i przewidywanym czasie trwania.

§ 16. Prawo właściwe i rozstrzyganie sporów

1. Regulamin podlega prawu Rzeczypospolitej Polskiej i jest interpretowany zgodnie z prawem polskim, z uwzględnieniem bezwzględnie obowiązujących przepisów prawa Unii Europejskiej (w tym RODO i EU AI Act).
2. Wersja polska Regulaminu jest wersją wiążącą. W przypadku rozbieżności między wersją polską a tłumaczeniami na inne języki, rozstrzygająca jest wersja polska.
3. Strony będą dążyć do polubownego rozstrzygnięcia wszelkich sporów wynikających z Regulaminu lub z nim związanych w drodze negocjacji.
4. W przypadku niemożności rozstrzygnięcia sporu w drodze negocjacji w terminie 30 dni, spór zostanie poddany mediacji prowadzonej przez mediatora wybranego wspólnie przez strony lub, w braku porozumienia co do osoby mediatora, przez Centrum Mediacji przy Sądzie Arbitrażowym przy Krajowej Izbie Gospodarczej w Warszawie.
5. W przypadku nieskuteczności mediacji, spory będą rozstrzygane przez sąd powszechny właściwy dla siedziby Trimalert sp. z o.o. (Warszawa).
6. Niezależnie od powyższego, Attestia zastrzega sobie prawo do dochodzenia roszczeń w trybie pilnym (zabezpieczenie roszczeń) przed sądem właściwym dla miejsca naruszenia, w przypadku naruszenia praw własności intelektualnej lub obowiązku poufności.

§ 17. Poufność

1. Strony zobowiązują się do zachowania poufności informacji poufnych uzyskanych w związku z korzystaniem z Platformy, w szczególności:
   1. Danych Organizacji (w tym opisów Systemów AI, które mogą stanowić tajemnicę przedsiębiorstwa);
   2. warunków handlowych indywidualnych umów (Plan Enterprise);
   3. informacji technicznych dotyczących Platformy nieudostępnionych publicznie.
2. Obowiązek poufności nie dotyczy informacji:
   1. publicznie dostępnych bez naruszenia obowiązku poufności;
   2. znanych stronie przed ich otrzymaniem od drugiej strony;
   3. uzyskanych od osób trzecich w sposób zgodny z prawem;
   4. których ujawnienie jest wymagane na mocy obowiązujących przepisów prawa, orzeczenia sądu lub decyzji organu administracji — w takim przypadku strona zobowiązana do ujawnienia niezwłocznie powiadomi drugą stronę (o ile jest to prawnie dopuszczalne).
3. Obowiązek poufności obowiązuje przez czas trwania umowy oraz przez okres 3 lat od jej rozwiązania.

§ 18. Postanowienia końcowe

1. Jeżeli jakiekolwiek postanowienie Regulaminu zostanie uznane za nieważne, nieskuteczne lub niewykonalne przez właściwy sąd lub organ, pozostałe postanowienia Regulaminu pozostają w mocy. Strony zobowiązują się do zastąpienia nieważnego postanowienia postanowieniem ważnym, którego cel ekonomiczny i prawny będzie możliwie zbliżony do postanowienia zastąpionego.
2. Attestia może przenieść prawa i obowiązki wynikające z Regulaminu na podmiot trzeci (w szczególności w przypadku fuzji, przejęcia lub zbycia przedsiębiorstwa), powiadamiając Organizacje z co najmniej 30-dniowym wyprzedzeniem. Organizacja, która nie akceptuje cesji, może wypowiedzieć umowę ze skutkiem na dzień cesji.
3. Organizacja nie może przenieść praw i obowiązków wynikających z Regulaminu na osobę trzecią bez uprzedniej pisemnej zgody Attestia.
4. Brak egzekwowania przez Attestia jakiegokolwiek postanowienia Regulaminu w danym przypadku nie stanowi zrzeczenia się prawa do egzekwowania tego postanowienia w przyszłości.
5. Regulamin wraz z Polityką Prywatności, Umową Powierzenia Przetwarzania Danych (DPA) oraz, w przypadku Planu Enterprise, odrębną umową SLA, stanowi całość porozumienia między stronami w zakresie korzystania z Platformy i zastępuje wszelkie wcześniejsze ustalenia, porozumienia i umowy dotyczące tego samego przedmiotu.
6. Wszelkie powiadomienia wynikające z Regulaminu będą kierowane:
   1. do Organizacji — na adres e-mail Właściciela Konta;
   2. do Usługodawcy — na adres: contact@attestia.eu lub adres korespondencyjny siedziby Trimalert sp. z o.o. (ul. Przasnyska 7/319, 01-756 Warszawa).
7. Załączniki do Regulaminu:
   • Załącznik nr 1: Umowa Powierzenia Przetwarzania Danych (DPA)
   • Załącznik nr 2: Cennik i specyfikacja Planów Subskrypcji

Załącznik nr 1 — Umowa Powierzenia Przetwarzania Danych (DPA)

Art. 1. Przedmiot i zakres

1. Niniejsza Umowa Powierzenia Przetwarzania Danych (dalej: „DPA") stanowi załącznik do Regulaminu i reguluje zasady powierzenia przetwarzania danych osobowych przez Organizację (Administrator) na rzecz Attestia (Podmiot przetwarzający) w związku z korzystaniem z Platformy, zgodnie z art. 28 RODO.
2. Podmiot przetwarzający przetwarza dane osobowe wyłącznie w imieniu i na udokumentowane polecenie Administratora, w zakresie i celu określonym w niniejszej DPA.

Art. 2. Przedmiot przetwarzania

Art. 3. Obowiązki Podmiotu przetwarzającego

1. Podmiot przetwarzający zobowiązuje się do:
   1. przetwarzania danych osobowych wyłącznie na podstawie udokumentowanych instrukcji Administratora (w tym niniejszej DPA i Regulaminu), chyba że obowiązek przetwarzania wynika z prawa UE lub prawa polskiego — w takim przypadku Podmiot przetwarzający informuje Administratora o tym obowiązku przed przetwarzaniem (chyba że prawo zabrania takiego informowania);
   2. zapewnienia, że osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub podlegają ustawowemu obowiązkowi zachowania tajemnicy;
   3. wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiedni do ryzyka (Załącznik A do niniejszej DPA);
   4. korzystania z usług dalszych podmiotów przetwarzających (sub-procesorów) wyłącznie zgodnie z art. 5 niniejszej DPA;
   5. wspomagania Administratora w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw (art. 15–22 RODO);
   6. wspomagania Administratora w wywiązywaniu się z obowiązków wynikających z art. 32–36 RODO (bezpieczeństwo, zgłaszanie naruszeń, DPIA, uprzednie konsultacje);
   7. po zakończeniu świadczenia usług — usunięcia lub zwrotu wszelkich danych osobowych, zgodnie z decyzją Administratora, oraz usunięcia istniejących kopii, chyba że prawo UE lub prawo polskie wymaga dalszego przechowywania;
   8. udostępnienia Administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków wynikających z art. 28 RODO oraz umożliwienia przeprowadzenia audytów, w tym inspekcji.

Art. 4. Zgłaszanie naruszeń ochrony danych

1. Podmiot przetwarzający powiadomi Administratora o naruszeniu ochrony danych osobowych bez zbędnej zwłoki, nie później niż w ciągu 24 godzin od momentu stwierdzenia naruszenia (w celu umożliwienia Administratorowi dotrzymania terminu 72 godzin na zgłoszenie do organu nadzorczego zgodnie z art. 33 RODO).
2. Powiadomienie będzie zawierać co najmniej:
   1. opis charakteru naruszenia, w tym — o ile to możliwe — kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
   2. dane kontaktowe punktu kontaktowego;
   3. opis prawdopodobnych konsekwencji naruszenia;
   4. opis środków zastosowanych lub proponowanych w celu zaradzenia naruszeniu.

Art. 5. Dalsze podmioty przetwarzające (sub-procesorzy)

1. Administrator wyraża ogólną zgodę na korzystanie przez Podmiot przetwarzający z dalszych podmiotów przetwarzających wymienionych w § 10 ust. 4 Regulaminu.
2. Podmiot przetwarzający poinformuje Administratora o każdej zamierzonej zmianie dotyczącej dodania lub zastąpienia dalszego podmiotu przetwarzającego z co najmniej 30-dniowym wyprzedzeniem, umożliwiając Administratorowi wniesienie sprzeciwu.
3. W przypadku uzasadnionego sprzeciwu Administratora wobec nowego dalszego podmiotu przetwarzającego, strony podejmą negocjacje w celu znalezienia rozwiązania. Jeżeli rozwiązanie nie zostanie osiągnięte w terminie 30 dni, Administrator ma prawo wypowiedzieć umowę ze skutkiem natychmiastowym.
4. Podmiot przetwarzający zapewni, że na dalsze podmioty przetwarzające zostaną nałożone te same obowiązki ochrony danych, jakie wynikają z niniejszej DPA.

Art. 6. Transfery danych poza EOG

1. Podmiot przetwarzający nie przekazuje danych osobowych poza Europejski Obszar Gospodarczy (EOG) bez uprzedniej zgody Administratora i bez zapewnienia odpowiedniego poziomu ochrony danych zgodnie z rozdziałem V RODO.
2. W przypadku konieczności transferu danych poza EOG (np. Resend — US), Podmiot przetwarzający stosuje Standardowe Klauzule Umowne (SCC) zatwierdzone decyzją Komisji Europejskiej (UE) 2021/914.

Art. 7. Audyty

1. Podmiot przetwarzający udostępni Administratorowi, na żądanie i z zachowaniem rozsądnego terminu wyprzedzenia (min. 30 Dni Roboczych), informacje i dokumenty niezbędne do wykazania spełnienia obowiązków wynikających z art. 28 RODO.
2. Administrator może przeprowadzić audyt (samodzielnie lub za pośrednictwem upoważnionego audytora) nie częściej niż raz w roku, po uprzednim uzgodnieniu terminu i zakresu. Koszty audytu ponosi Administrator.
3. Alternatywnie, Podmiot przetwarzający może przedłożyć certyfikat SOC 2 Type II (po jego uzyskaniu) lub równoważny raport audytora jako dowód spełnienia wymogów bezpieczeństwa.

Załącznik A do DPA — Środki techniczne i organizacyjne