Polityka prywatności – Prosta Umowa
Data ostatniej aktualizacji: 10.06.2026
Wstęp
Zależy nam na Twojej prywatności i pełnej przejrzystości dotyczącej przetwarzania danych. Niniejsza polityka opisuje, jakie dane przetwarzamy podczas korzystania z Prosta umowa – narzędzia do upraszczania i analizy dokumentów prawnych przy użyciu sztucznej inteligencji.
Usługa została zaprojektowana zgodnie z zasadami privacy by design i privacy by default: nie przechowujemy pełnej treści analizowanych dokumentów i nie śledzimy Twojej aktywności w celach reklamowych. Zalogowani użytkownicy mogą zapisywać wyniki analizy w osobistym panelu – w takim przypadku przechowujemy metadane dokumentu i uproszczoną treść w bazie danych (szczegóły w punkcie 2).
1. Administrator Danych Osobowych
Administratorem danych osobowych jest:
GREEN HAVEN PROSTA SPÓŁKA AKCYJNA
ul. Skibińskiego 27a, 25-816 Kielce, Polska
NIP: 9592073829
E-mail: contact@ghaven.pl
2. Jakie dane przetwarzamy i w jakim celu
2.1 Treść wgrywanego dokumentu
Gdy wgrywasz plik PDF lub wklejasz tekst do analizy, treść tego dokumentu jest przesyłana do zewnętrznego modelu językowego AI (Claude, firmy Anthropic) w celu jego uproszczenia i streszczenia. W związku z tym:
- Treść dokumentu nie jest przez nas przechowywana – przetwarzana jest wyłącznie w trakcie trwania sesji i nie trafia do żadnej bazy danych po jej zakończeniu.
- W logach systemowych zapisywane są wyłącznie metadane żądania (czas, rozmiar pliku, typ dokumentu, identyfikator żądania) – nie pełna treść dokumentu.
- Po zakończeniu sesji żadne dane z dokumentu nie pozostają na naszych serwerach.
⚠️ Ważne
Dokumenty prawne często zawierają dane osobowe osób trzecich – imiona, nazwiska, adresy, numery PESEL, numery rachunków bankowych. Wgrywając taki dokument, wyrażasz zgodę na jego przesłanie do API firmy Anthropic (USA) w zakresie opisanym w punkcie 4.
Przed analizą usuń lub zanonimizuj wrażliwe dane osobowe z dokumentu.
2.2 Dane techniczne
W celu zapewnienia poprawnego działania usługi przetwarzamy:
- adres IP – rejestrowany przez infrastrukturę serwerową (hosting),
- dane techniczne przeglądarki (user agent, typ urządzenia),
- logi systemowe – metadane żądań (czas, rozmiar, typ dokumentu, kody HTTP, identyfikatory żądań).
Logi systemowe przechowywane są przez 30 dni i służą wyłącznie celom diagnostycznym oraz bezpieczeństwu.
2.3 Dane konta użytkownika
Usługa umożliwia opcjonalne logowanie za pomocą Google Sign-In (przez Firebase Authentication). Po zalogowaniu przechowujemy:
- adres e-mail – powiązany z kontem Google,
- imię i nazwisko (lub wyświetlana nazwa) – pobierana z profilu Google,
- identyfikator użytkownika (UID) – unikalny identyfikator nadany przez Firebase.
Dane te są przechowywane w usłudze Firebase Authentication (Google Cloud, dane przetwarzane w EOG) oraz w naszej bazie danych (tabela profili użytkowników). Logowanie jest opcjonalne – bez konta możesz korzystać z analizy dokumentów, lecz wyniki nie zostaną zapisane.
2.4 Metadane zapisanych dokumentów
Zalogowani użytkownicy mogą zapisywać wyniki analizy w osobistym panelu. W bazie danych przechowujemy wówczas następujące informacje:
- tytuł dokumentu – wygenerowany automatycznie przez AI na podstawie treści,
- typ dokumentu – klasyfikacja (np. umowa najmu, umowa o pracę),
- podsumowanie – krótkie streszczenie wygenerowane przez AI,
- strony umowy – lista stron z ich prawami i obowiązkami (w formacie JSON),
- uproszczony tekst – pełne wyjaśnienie dokumentu wygenerowane przez AI,
- metadane techniczne – typ wejścia (tekst/PDF), nazwa pliku, czas przetwarzania, data utworzenia.
Dane te przechowywane są w bazie danych PostgreSQL hostowanej na platformie Railway (lokalizacja serwera: USA). Każdy dokument jest powiązany wyłącznie z kontem użytkownika, który go zapisał – inni użytkownicy nie mają do niego dostępu.
⚠️ Ważne
Uproszczony tekst i podsumowanie mogą zawierać dane osobowe obecne w oryginalnym dokumencie (np. imiona, nazwiska stron umowy). Zapisując wynik analizy, wyrażasz zgodę na przechowywanie tych danych w naszej bazie.
2.5 Dane płatności
Po wyborze płatnego planu lub dokupieniu kredytów obsługujemy płatność za pośrednictwem Stripe (szczegóły w punkcie 4.5). W naszej bazie danych przechowujemy wówczas wyłącznie dane techniczne niezbędne do powiązania konta z subskrypcją:
- identyfikator klienta Stripe oraz identyfikator subskrypcji / płatności,
- status subskrypcji (aktywna, anulowana, zaległa) i datę odnowienia,
- wybrany plan oraz historię zmian planu.
🔒 Pełne dane karty
Numer karty, data ważności i kod CVV nigdy nie trafiają na nasze serwery. Są przesyłane bezpośrednio do Stripe przez formularz Stripe Checkout / Stripe Customer Portal i przetwarzane zgodnie ze standardem PCI DSS Level 1.
Faktury VAT generowane są przez Stripe i dostępne w panelu klienta (Stripe Customer Portal) – link do panelu znajdziesz w sekcji „Plany" po zalogowaniu.
3. Podstawa prawna przetwarzania
Dane przetwarzamy na następujących podstawach wynikających z RODO (art. 6):
| Podstawa | Zakres |
|---|---|
| Art. 6 ust. 1 lit. b – wykonanie umowy | Analiza dokumentu i dostarczenie uproszczonego wyniku na Twoje żądanie |
| Art. 6 ust. 1 lit. a – zgoda | Utworzenie konta (logowanie przez Google) i zapisywanie wyników analizy w panelu użytkownika |
| Art. 6 ust. 1 lit. f – uzasadniony interes | Zapewnienie bezpieczeństwa, diagnostyka techniczna, logi systemowe |
4. Przekazywanie danych podmiotom trzecim
4.1 Anthropic, PBC – model językowy Claude
Jest to najważniejsza informacja w tej polityce. Treść każdego dokumentu przesłanego do analizy trafia do firmy Anthropic, PBC z siedzibą w Stanach Zjednoczonych.
| Podmiot | Anthropic, PBC |
| Siedziba | 548 Market St, PMB 90375, San Francisco, CA 94104, USA |
| Lokalizacja | Poza Europejskim Obszarem Gospodarczym (EOG) |
| Cel przekazania | Analiza treści dokumentu, klasyfikacja, uproszczenie i streszczenie |
| Trenowanie modeli AI | Anthropic nie używa danych przesyłanych przez API do trenowania ani doskonalenia modeli sztucznej inteligencji |
| Podstawa transferu | Standardowe Klauzule Umowne (SCC) – art. 46 ust. 2 lit. c RODO |
| DPA | Zawarta z Anthropic zgodnie z wymogami RODO |
| Polityka prywatności | anthropic.com/privacy |
4.2 Firebase Authentication (Google Cloud)
Logowanie użytkowników realizowane jest za pośrednictwem Firebase Authentication (usługa Google Cloud). Firebase przechowuje dane konta: adres e-mail, wyświetlaną nazwę oraz identyfikator użytkownika (UID).
| Podmiot | Cel | Siedziba / lokalizacja danych |
|---|---|---|
| Google Cloud (Firebase) | Uwierzytelnianie użytkowników (Google Sign-In) | EOG (eur3) |
4.3 Infrastruktura serwerowa (hosting i baza danych)
| Podmiot | Cel | Siedziba / lokalizacja danych |
|---|---|---|
| Vercel | Hosting aplikacji webowej (frontend) | Niemcy (EOG) |
| Railway | Hosting backendu (API) oraz bazy danych PostgreSQL (profile użytkowników, metadane dokumentów) | USA |
4.4 Google LLC – Gemini API
Korzystamy z modeli językowych Google Gemini do uzupełniających zadań analitycznych: generowania wektorów semantycznych (embeddingów) na potrzeby wyszukiwania podstaw prawnych, ponownego rankingu wyników wyszukiwania orzeczeń oraz pogłębionej analizy prawnej (Deep Research).
| Podmiot | Google LLC |
| Siedziba | 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA |
| Lokalizacja | Poza Europejskim Obszarem Gospodarczym (EOG) |
| Cel przekazania | Generowanie embeddingów (wyszukiwanie podstaw prawnych), reranking wyników wyszukiwania orzeczeń, pogłębiona analiza prawna (Deep Research) |
| Zakres danych | Krótkie zapytania wyszukiwania (np. „eksmisja najemcy"), fragmenty publicznych aktów prawnych, opis sprawy w pogłębionej analizie. Treść analizowanego dokumentu nie jest przesyłana do Google. |
| Trenowanie modeli AI | Google nie używa danych przesyłanych przez Gemini API w trybie płatnym do trenowania ani doskonalenia modeli sztucznej inteligencji |
| Podstawa transferu | Standardowe Klauzule Umowne (SCC) – art. 46 ust. 2 lit. c RODO |
| DPA | Google Cloud Data Processing Addendum |
| Warunki Gemini API | ai.google.dev/gemini-api/terms |
| Polityka prywatności | policies.google.com/privacy |
4.5 Stripe – obsługa płatności
Płatności subskrypcyjne i jednorazowe (dokup kredytów) obsługuje Stripe Payments Europe, Limited – europejski podmiot grupy Stripe z siedzibą w Irlandii. Stripe odpowiada za bezpieczne przyjmowanie danych karty, rozliczanie subskrypcji oraz wystawianie faktur VAT.
| Podmiot | Stripe Payments Europe, Limited |
| Siedziba | 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irlandia |
| Lokalizacja | Europejski Obszar Gospodarczy (Irlandia) |
| Cel przekazania | Realizacja płatności, obsługa subskrypcji, wystawianie faktur VAT, panel klienta (Stripe Customer Portal) |
| Zakres danych | Dane karty płatniczej (numer, data ważności, CVV) – przekazywane bezpośrednio do Stripe i nigdy niewidoczne dla nas; e-mail powiązany z płatnością; adres rozliczeniowy; identyfikator klienta i historia transakcji |
| Standard bezpieczeństwa | PCI DSS Level 1 (najwyższy poziom certyfikacji branżowej) |
| DPA | Część Stripe Services Agreement, zgodna z RODO |
| Polityka prywatności | stripe.com/privacy |
4.6 Google LLC – Google Analytics 4 i Google Ads
Do mierzenia ruchu na stronie i skuteczności kampanii reklamowych korzystamy z Google Analytics 4 oraz Google Ads. Narzędzia te uruchamiają się wyłącznie po wyrażeniu przez Ciebie zgody w bannerze cookie (zgoda analityczna i marketingowa), zgodnie z Google Consent Mode v2. Zebrane dane dotyczą sposobu korzystania ze strony – nie obejmują treści analizowanych dokumentów.
| Podmiot | Google LLC / Google Ireland Limited |
| Cel przekazania | Statystyki odwiedzin i zdarzeń (GA4), pomiar konwersji kampanii reklamowych (Google Ads) |
| Zakres danych | Identyfikatory cookie / urządzenia, adres IP (skrócony), odwiedzane strony, zdarzenia użytkowe (np. typ przesłanego dokumentu). Treść analizowanego dokumentu nie jest przesyłana do Google. |
| Podstawa prawna | Zgoda – art. 6 ust. 1 lit. a RODO oraz art. 5 ust. 3 dyrektywy ePrivacy |
| Podstawa transferu | Standardowe Klauzule Umowne (SCC) – art. 46 ust. 2 lit. c RODO |
| Polityka prywatności | policies.google.com/privacy |
4.7 Microsoft Corporation – Microsoft Clarity
Korzystamy z Microsoft Clarity – narzędzia analitycznego rejestrującego anonimowe nagrania sesji i mapy ciepła (heatmapy), które pomagają nam zrozumieć, jak użytkownicy korzystają ze strony, i ulepszać interfejs. Clarity uruchamia się wyłącznie po wyrażeniu zgody analitycznej w bannerze cookie; jego zgoda przekazywana jest przez mechanizm Consent Mode. Clarity nie odczytuje treści analizowanych dokumentów, a wrażliwe pola formularzy są domyślnie maskowane.
| Podmiot | Microsoft Corporation |
| Siedziba | One Microsoft Way, Redmond, WA 98052, USA |
| Lokalizacja | Poza Europejskim Obszarem Gospodarczym (EOG) |
| Cel przekazania | Anonimowe nagrania sesji, mapy ciepła i analiza zachowań na stronie w celu ulepszania interfejsu |
| Zakres danych | Interakcje ze stroną (kliknięcia, ruch kursora, przewijanie), adres IP, dane techniczne przeglądarki i urządzenia. Wrażliwe pola formularzy są maskowane. Treść analizowanego dokumentu nie jest przesyłana do Microsoft. |
| Podstawa prawna | Zgoda – art. 6 ust. 1 lit. a RODO oraz art. 5 ust. 3 dyrektywy ePrivacy |
| Podstawa transferu | Standardowe Klauzule Umowne (SCC) – art. 46 ust. 2 lit. c RODO |
| Polityka prywatności | privacy.microsoft.com/privacystatement |
5. Przetwarzanie danych poza Europejskim Obszarem Gospodarczym
Niektóre podmioty, z których usług korzystamy, mają siedzibę w Stanach Zjednoczonych, czyli poza EOG:
- Anthropic – treść dokumentu jest przesyłana do USA w celu analizy przez model AI,
- Google – zapytania do Gemini API (embeddingi, reranking, Deep Research) oraz dane Google Analytics 4 i Google Ads (po wyrażeniu zgody) przesyłane są do USA,
- Microsoft – dane Microsoft Clarity (nagrania sesji, mapy ciepła) po wyrażeniu zgody analitycznej przesyłane są do USA,
- Railway – backend i baza danych PostgreSQL (metadane dokumentów, profile użytkowników) hostowane są w USA.
Transfery te odbywają się na podstawie Standardowych Klauzul Umownych (SCC) zatwierdzonych przez Komisję Europejską (decyzja wykonawcza KE 2021/914), które nakładają na te podmioty obowiązki w zakresie ochrony danych równoważne wymogom RODO.
6. Czego NIE robimy
Nie przechowujemy pełnej, oryginalnej treści analizowanych dokumentów – w bazie zapisujemy jedynie uproszczoną wersję i metadane (patrz punkt 2.4).
Nie przesyłamy treści analizowanych dokumentów do narzędzi analitycznych ani reklamowych (Google Analytics, Google Ads, Microsoft Clarity) – mierzą one wyłącznie sposób korzystania ze strony.
Nie używamy narzędzi analitycznych ani marketingowych bez Twojej zgody – uruchamiają się dopiero po jej wyrażeniu w bannerze cookie (patrz punkt 7).
Nie sprzedajemy ani nie udostępniamy danych osobom trzecim w celach marketingowych i nie tworzymy profili behawioralnych.
Nie udostępniamy zapisanych dokumentów innym użytkownikom – każdy użytkownik widzi wyłącznie własne dane.
7. Cookies, analityka i marketing
7.1 Cookies niezbędne (bez zgody)
Niezbędne pliki cookies oraz local storage służą wyłącznie prawidłowemu działaniu interfejsu i nie wymagają zgody (art. 5 ust. 3 dyrektywy ePrivacy). Obejmuje to:
- Firebase Authentication – token sesji użytkownika przechowywany w local storage / IndexedDB (niezbędny do utrzymania zalogowanej sesji),
- preferencje interfejsu – np. tryb jasny/ciemny, widok kompaktowy listy dokumentów (local storage),
- zapis zgody cookie – Twój wybór w bannerze cookie (local storage),
- cookies techniczne – niezbędne do poprawnego działania sesji.
7.2 Cookies analityczne i marketingowe (za zgodą)
Pozostałe narzędzia uruchamiamy dopiero po wyrażeniu przez Ciebie zgody w bannerze cookie. Zgodę – analityczną i marketingową osobno – możesz w każdej chwili zmienić lub wycofać, otwierając ustawienia plików cookie (link w stopce oraz w sekcji „Ustawienia" po zalogowaniu). Do egzekwowania Twojego wyboru po stronie Google stosujemy Google Consent Mode v2.
| Narzędzie | Kategoria | Cel |
|---|---|---|
| Google Analytics 4 | Analityczne | Statystyki odwiedzin i zdarzeń użytkowych (patrz punkt 4.6) |
| Microsoft Clarity | Analityczne | Anonimowe nagrania sesji i mapy ciepła (patrz punkt 4.7) |
| Google Ads | Marketingowe | Pomiar skuteczności kampanii reklamowych (patrz punkt 4.6) |
7.3 Anonimowe statystyki bez cookies
Niezależnie od powyższych korzystamy z Vercel Analytics oraz Vercel Speed Insights do zbierania anonimowych, zagregowanych statystyk odwiedzin i wydajności. Narzędzia te nie używają plików cookies, nie śledzą poszczególnych użytkowników i zbierają wyłącznie: liczbę odsłon stron, anonimowe zdarzenia użytkowe (np. typ przesłanego dokumentu) oraz metryki wydajności strony (Web Vitals).
8. Okres przechowywania danych
| Kategoria danych | Okres przechowywania |
|---|---|
| Oryginalna treść wgrywanego dokumentu | Nie jest przechowywana – przetwarzana wyłącznie w trakcie sesji |
| Dane konta użytkownika (e-mail, imię) | Do momentu usunięcia konta – użytkownik może zażądać usunięcia |
| Metadane i wyniki analizy dokumentów (tytuł, podsumowanie, strony, uproszczony tekst) | Do momentu usunięcia przez użytkownika lub usunięcia konta |
| Logi systemowe (metadane żądań) | 30 dni od daty wygenerowania |
| Dane po stronie Anthropic | Zgodnie z polityką prywatności Anthropic |
| Dane po stronie Google (Gemini API) | Zgodnie z polityką Google i warunkami Gemini API |
| Dane subskrypcji i płatności po stronie Stripe | Zgodnie z polityką Stripe oraz wymogami prawa rachunkowego (zwykle 7 lat dla dokumentów księgowych) |
| Dane analityczne i marketingowe (Google Analytics, Google Ads) | Zgodnie z ustawieniami Google (zwykle do 14 miesięcy) lub do wycofania zgody |
| Nagrania sesji i mapy ciepła (Microsoft Clarity) | Zgodnie z polityką Microsoft Clarity (zwykle do 30 dni) lub do wycofania zgody |
| Dane po stronie dostawców hostingu | Zgodnie z polityką dostawcy (Vercel, Railway) |
9. Bezpieczeństwo danych
Stosujemy następujące środki bezpieczeństwa:
- Szyfrowanie transmisji – całość komunikacji odbywa się przez HTTPS/TLS.
- Uwierzytelnianie – dostęp do danych użytkownika chroniony jest tokenem Firebase (JWT) weryfikowanym po stronie serwera przy każdym żądaniu.
- Izolacja danych – każdy użytkownik ma dostęp wyłącznie do własnych dokumentów i profilu. Zapytania do bazy danych są filtrowane po identyfikatorze użytkownika.
- Brak przechowywania oryginałów – oryginalna treść przesłanego dokumentu nie jest zapisywana na serwerze po zakończeniu analizy.
- Ograniczony dostęp do logów – dostęp do logów systemowych i bazy danych mają wyłącznie upoważnione osoby zarządzające usługą.
10. Twoje prawa
Zgodnie z RODO przysługują Ci następujące prawa:
- Prawo dostępu (art. 15) – możesz zażądać informacji o przetwarzanych danych,
- Prawo do sprostowania (art. 16) – możesz żądać poprawienia nieprawidłowych danych,
- Prawo do usunięcia (art. 17) – „prawo do bycia zapomnianym",
- Prawo do ograniczenia przetwarzania (art. 18),
- Prawo do przenoszenia danych (art. 20),
- Prawo sprzeciwu (art. 21) – wobec przetwarzania na podstawie uzasadnionego interesu,
- Prawo do wniesienia skargi do organu nadzorczego.
Aby skorzystać ze swoich praw, skontaktuj się z nami pod adresem: contact@ghaven.pl
11. Zmiany w polityce prywatności
Zastrzegamy sobie prawo do aktualizacji niniejszej polityki. O istotnych zmianach dotyczących przetwarzania danych osobowych poinformujemy na stronie głównej serwisu. Data ostatniej aktualizacji widnieje na początku dokumentu.
Niniejsza polityka prywatności jest zgodna z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (RODO/GDPR).