Tylko UE. Zero retencji. Audyt przed podpisem.
Pozycja bezpieczeństwa dostawcy legal-tech powinna czytać się jak DPA, nie jak strona marketingowa. To, co publikujemy, bronimy na piśmie i pokażemy audytorowi — przed podpisaniem umowy.
Dane w UE
Frankfurt (eu-central-1) + Warszawa (eu-central-2). Bez transferów poza EOG.
Zero treningu AI
Dane klienta nie trafiają do żadnego zbioru treningowego, naszego ani cudzego.
Zero retencji
Dostawcy modeli widzą dane tylko w ruchu, nigdy w spoczynku.
ISO 27001 · w trakcie
Audyt Stage 1 w Q3 2026. Zbieranie dowodów SOC 2 Type II w toku.
Sześć zobowiązań. Każde związane z klauzulą umowną.
| Zobowiązanie | Gdzie zapisane | Status |
|---|---|---|
| Dane wyłącznie w UEDane klienta składowane i przetwarzane wyłącznie w regionach AWS Frankfurt i Warszawa. | DPA § 4.1 | obowiązuje |
| Zero treningu AI na danych klientaŻaden prompt, dokument ani wynik klienta nie jest używany do trenowania modeli. Potwierdzone umowami z pod-procesorami. | DPA § 6.3 | obowiązuje |
| Zero retencji u dostawców modeliWywołania LLM przez umowy enterprise no-retention. Żadne dane klienta nie zostają poza naszym tenantem w UE. | DPA § 5.2 | obowiązuje |
| Szyfrowanie w tranzycie i spoczynkuTLS 1.3 w tranzycie. AES-256 w spoczynku. Klucze CMK po stronie klienta w planie Enterprise. | DPA § 7.1 | obowiązuje |
| Certyfikacja ISO 27001Audyt Stage 1 zaplanowany na Q3 2026. Bureau Veritas jako jednostka certyfikująca. | w toku | w trakcie |
| Raport SOC 2 Type IIOkno zbierania dowodów od 01.07.2026. Pierwszy raport spodziewany w Q1 2027. | roadmapa | w planie |
Pięciu pod-procesorów. Ujawnieni w DPA. Audytowalni przed podpisem.
| Dostawca | Region | Jurysdykcja |
|---|---|---|
| Amazon Web Services EMEA SARLCompute, storage, sieć | Frankfurt · Warsaw | EU |
| Anthropic Ireland Ltd.Inferencja LLM · umowa enterprise no-retention | Dublin · Frankfurt | EU |
| Mistral AI SASInferencja LLM po polsku · wdrożenie sovereign EU | Paris | EU |
| Plausible Insights OÜAnalityka bez ciasteczek · zagregowana, zanonimizowana | Tallinn | EU |
| Resend Sp. z o.o.E-mail transakcyjny · DKIM + ARC podpisany, routing EU | Warsaw | EU |
Zapytanie od końca do końca. Każdy krok w jurysdykcji UE.
- [1] Pobranie z korpusu: wyłącznie publiczne źródła pierwotne, pobierane read-only, indeksowane w tenancie EU.
- [2] Weryfikator cytatów: każdy wynik modelu mapowany do paragrafu źródłowego przed wyświetleniem.
- [3] Odmowa-przy-milczeniu: jeśli żadne źródło pierwotne nie rozstrzyga, odpowiedź to mówi. Brak wymyślonych sygnatur.
System ograniczonego ryzyka, używany transparentnie.
Grasperly klasyfikowany jest jako system AI o ograniczonym ryzyku w rozumieniu EU AI Act (Rozporządzenie (UE) 2024/1689). Platforma wspiera interakcję językową ze sprawdzonym orzecznictwem oraz redakcję pism i liczenie terminów; nie wnosi samodzielnie pism, nie przyjmuje doręczeń i nie podejmuje czynności regulacyjnych w imieniu kancelarii.[1]
Każdy wynik wygenerowany przez AI nosi jednoznaczne oznaczenie (sygnałowe znaczniki cytatów w całym produkcie) i rozwija się jednym kliknięciem do źródła pierwotnego. Platforma spełnia obowiązki transparentności z art. 50 rozporządzenia i przekracza je w wynikach researchu prawniczego.[2]
- [1] Rozporządzenie (UE) 2024/1689 · EU AI Act · art. 6 klasyfikacja ryzyka · eur-lex.europa.eu
- [2] Rozporządzenie (UE) 2024/1689 · EU AI Act · art. 50 obowiązki transparentności · eur-lex.europa.eu
Zero treningu na danych klienta to dolna granica. ISO 27001 i SOC 2 to sufit, do którego idziemy.