§ I · Bezpieczeństwo

Tylko UE. Zero retencji. Audyt przed podpisem.

Pozycja bezpieczeństwa dostawcy legal-tech powinna czytać się jak DPA, nie jak strona marketingowa. To, co publikujemy, bronimy na piśmie i pokażemy audytorowi — przed podpisaniem umowy.

Dane w UE

Frankfurt (eu-central-1) + Warszawa (eu-central-2). Bez transferów poza EOG.

Zero treningu AI

Dane klienta nie trafiają do żadnego zbioru treningowego, naszego ani cudzego.

Zero retencji

Dostawcy modeli widzą dane tylko w ruchu, nigdy w spoczynku.

ISO 27001 · zgodność z kontrolami

Audyt Stage 1 w Q3 2026. Dowody SOC 2 Type II Q3 2026 → Q1 2027. ISO 42001 Q3 2027. Nie posiadamy jeszcze certyfikatów.

§ II · Twierdzenia, których bronimy na piśmie

Sześć zobowiązań. Każde związane z klauzulą umowną.

ZobowiązanieGdzie zapisaneStatus
Dane wyłącznie w UEDane klienta składowane i przetwarzane wyłącznie w regionach AWS Frankfurt i Warszawa.DPA § 4.1obowiązuje
Zero treningu AI na danych klientaŻaden prompt, dokument ani wynik klienta nie jest używany do trenowania modeli. Potwierdzone umowami z pod-procesorami.DPA § 6.3obowiązuje
Zero retencji u dostawców modeliWywołania LLM przez umowy enterprise no-retention. Żadne dane klienta nie zostają poza naszym tenantem w UE.DPA § 5.2obowiązuje
Szyfrowanie w tranzycie i spoczynkuTLS 1.3 w tranzycie. AES-256 w spoczynku. Klucze CMK po stronie klienta w planie Enterprise.DPA § 7.1obowiązuje
ISO/IEC 27001:2022Działamy zgodnie z kontrolami załącznika A już dziś. Audyt Stage 1 zaplanowany na Q3 2026. Nie posiadamy jeszcze certyfikatu.zgodność · zaplanowany audytzgodny
SOC 2 Type IIDziałamy zgodnie z Trust Services Criteria. Okno zbierania dowodów otwiera się 01.07.2026. Pierwszy raport spodziewany w Q1 2027.zgodność · roadmapazgodny
ISO/IEC 42001:2023 (system zarządzania AI)Projektowanie programu w toku, dostrojone do obowiązków unijnego AI Act dla systemów AI ograniczonego ryzyka. Certyfikacja planowana na Q3 2027.projektowanie programuw projekcie
§ III · Pod-procesorzy

Pięciu pod-procesorów. Ujawnieni w DPA. Audytowalni przed podpisem.

DostawcaRegionJurysdykcja
Amazon Web Services EMEA SARLCompute, storage, siećFrankfurt · WarsawEU
Anthropic Ireland Ltd.Inferencja LLM · umowa enterprise no-retentionDublin · FrankfurtEU
Mistral AI SASInferencja LLM po polsku · wdrożenie sovereign EUParisEU
Plausible Insights OÜAnalityka bez ciasteczek · zagregowana, zanonimizowanaTallinnEU
Resend Sp. z o.o.E-mail transakcyjny · DKIM + ARC podpisany, routing EUWarsawEU
§ V · Dokąd idą dane

Zapytanie od końca do końca. Każdy krok w jurysdykcji UE.

Opisy
  1. [1] Pobranie z korpusu: wyłącznie publiczne źródła pierwotne, pobierane read-only, indeksowane w tenancie EU.
  2. [2] Weryfikator cytatów: każdy wynik modelu mapowany do paragrafu źródłowego przed wyświetleniem.
  3. [3] Odmowa-przy-milczeniu: jeśli żadne źródło pierwotne nie rozstrzyga, odpowiedź to mówi. Brak wymyślonych sygnatur.
§ VI · EU AI Act

System ograniczonego ryzyka, używany transparentnie.

Grasperly klasyfikowany jest jako system AI o ograniczonym ryzyku w rozumieniu EU AI Act (Rozporządzenie (UE) 2024/1689). Platforma wspiera interakcję językową ze sprawdzonym orzecznictwem oraz redakcję pism i liczenie terminów; nie wnosi samodzielnie pism, nie przyjmuje doręczeń i nie podejmuje czynności regulacyjnych w imieniu kancelarii.[1]

Każdy wynik wygenerowany przez AI nosi jednoznaczne oznaczenie (sygnałowe znaczniki cytatów w całym produkcie) i rozwija się jednym kliknięciem do źródła pierwotnego. Platforma spełnia obowiązki transparentności z art. 50 rozporządzenia i przekracza je w wynikach researchu prawniczego.[2]

Źródła
  1. [1] Rozporządzenie (UE) 2024/1689 · EU AI Act · art. 6 klasyfikacja ryzyka · eur-lex.europa.eu
  2. [2] Rozporządzenie (UE) 2024/1689 · EU AI Act · art. 50 obowiązki transparentności · eur-lex.europa.eu
§ Dół, nie sufit

Zero treningu na danych klienta obowiązuje już dziś. ISO 27001, SOC 2 i ISO 42001 to frameworki, w zgodzie z którymi działamy i audyty, które mamy zaplanowane.

Zobowiązania bezpieczeństwa · DPA §§ 6.3 + 11

Przeczytaj DPA, zanim podpiszesz.

Warszawa · Sztokholm · zgodność z art. 28 RODO