LifeTree OS crystal logo
LifeTree OS
lifetree.finance
Powrót

Polityka Prywatności (RODO)

LifeTree OS — lifetree.finance. Wersja: 1.0. Data obowiązywania: 1 marca 2026 r.

Historia zmian niniejszej Polityki oraz jej poprzednie wersje znajdują się w Archiwum dokumentów.

Administrator danych / Usługodawca: JDG Oleksandr Khomenko LifeTree Finance (dalej: „Administrator").

NIP: PL 8982326290

Adres: ul. Romana Dmowskiego 13/15, 50-203 Wrocław

Kontakt w sprawach RODO i prywatności: legal@lifetree.finance

1. Informacje ogólne

Niniejsza Polityka Prywatności opisuje zasady przetwarzania danych osobowych w związku z korzystaniem z usługi LifeTree OS (dalej: „Usługa").

Usługa ma charakter wyłącznie B2B i jest przeznaczona dla podmiotów prowadzących działalność gospodarczą oraz osób działających w ich imieniu. Usługa nie jest kierowana do konsumentów.

2. Role RODO: Administrator danych i Podmiot przetwarzający

2.1. Gdy przetwarzamy dane jako Administrator

W zakresie danych związanych z utworzeniem i utrzymaniem konta, rozliczeniami, bezpieczeństwem oraz obsługą Usługi, Administrator działa jako administrator danych w rozumieniu RODO (art. 4 pkt 7 RODO).

2.2. Gdy przetwarzamy dane jako Podmiot przetwarzający

W zakresie danych wprowadzanych lub przesyłanych do Usługi przez Klienta w ramach dokumentów (np. dane kontrahentów, dane na fakturach, dane pracowników w dokumentach), Administrator działa jako podmiot przetwarzający w rozumieniu RODO (art. 4 pkt 8 RODO) — na udokumentowane polecenie Klienta.

Szczegółowe warunki powierzenia przetwarzania danych (jeżeli mają zastosowanie) są regulowane w umowie powierzenia (DPA) udostępnianej Klientom B2B.

3. Jakie dane przetwarzamy (zakres danych)

  • Dane identyfikacyjne i kontaktowe (np. imię, nazwisko, e-mail, nazwa firmy) — w zakresie niezbędnym do utworzenia i obsługi konta.
  • Dane rozliczeniowe (np. dane do faktury, informacje o planie/subskrypcji, status płatności) — w celu rozliczeń.
  • Dane techniczne, rozliczalności i bezpieczeństwa (np. logi zdarzeń, identyfikatory techniczne, znaczniki czasu, rejestry audytowe operacji oraz rejestry zapobiegające duplikacji żądań przy niestabilnej łączności) — w celu zapewnienia bezpieczeństwa, ciągłości działania oraz możliwości wykazania zgodności.
  • Dane w dokumentach przesyłanych przez Klienta (treść dokumentów i metadane) — w zakresie niezbędnym do świadczenia Usługi oraz funkcji porządkowania, wyszukiwania i eksportu.
  • Dane lokalne PWA (np. bufor offline w przeglądarce: IndexedDB / Local Storage) — w celu realizacji trybu offline-first.

4. Cele przetwarzania i podstawy prawne

  • Zawarcie i wykonanie umowy oraz obsługa konta i Workspace — art. 6 ust. 1 lit. b RODO.
  • Rozliczenia i fakturowanie — art. 6 ust. 1 lit. b i lit. c RODO (obowiązki prawne, w tym podatkowe).
  • Bezpieczeństwo Usługi, zapobieganie nadużyciom i obsługa incydentów — art. 6 ust. 1 lit. f RODO (uzasadniony interes Administratora).
  • Komunikacja wsparcia (odpowiedzi na zgłoszenia) — art. 6 ust. 1 lit. b lub lit. f RODO (w zależności od charakteru kontaktu).
  • Zapewnienie zgodności i audytowalności (np. rejestry zdarzeń, ścieżka audytu) — art. 6 ust. 1 lit. c lub lit. f RODO (w zależności od obowiązku i celu).

5. Odbiorcy danych i kategorie podmiotów przetwarzających

Administrator może korzystać z zewnętrznych dostawców (podmiotów przetwarzających) wyłącznie w zakresie niezbędnym do świadczenia Usługi, bezpieczeństwa i rozliczeń. Kategorie odbiorców obejmują:

  • Infrastruktura chmurowa (EOG) — hosting, baza danych, obiekty storage, kopie zapasowe (np. Scaleway w regionach EOG, w tym WAW oraz EOG failover).
  • Obsługa rozliczeń i dokumentów rozliczeniowych — podmioty wspierające Operatora w zakresie wystawiania dokumentów rozliczeniowych i obsługi płatności, wyłącznie w zakresie niezbędnym i o ile ma zastosowanie w ramach aktualnego modelu rozliczeniowego.
  • Dostawcy komunikacji — w zakresie wysyłki wiadomości systemowych i obsługi zgłoszeń (jeżeli mają zastosowanie).
  • Dostawca AI w EOG — w zakresie funkcji asystenta operacyjnego (np. OCR, ekstrakcja danych, klasyfikacja), wyłącznie jeśli Klient korzysta z tych funkcji.

Administrator nie sprzedaje danych i nie udostępnia ich podmiotom trzecim w celach marketingowych.

Powyższe zestawienie kategorii ma charakter ogólny. Aktualna, szczegółowa lista podmiotów przetwarzających (subprocessors) może zostać udostępniona Klientowi B2B na jego uzasadnione żądanie, o ile nie narusza to zasad bezpieczeństwa Usługi.

6. Transfery danych poza EOG

Co do zasady, infrastruktura Usługi (hosting, baza danych, storage, kopie zapasowe) jest zlokalizowana w Europejskim Obszarze Gospodarczym (EOG) i Administrator projektuje przetwarzanie tak, aby nie było konieczności transferu danych poza EOG.

Jeżeli jednak w wyjątkowych i uzasadnionych sytuacjach (np. incydent bezpieczeństwa wymagający wsparcia producenta technologii, awaryjne działania serwisowe) transfer danych poza EOG okazałby się niezbędny, Administrator zapewni, że:

  • transfer będzie miał minimalny zakres i będzie ograniczony do danych niezbędnych do rozwiązania problemu,
  • zostaną zastosowane odpowiednie mechanizmy prawne wymagane przez RODO (np. Standardowe Klauzule Umowne (SCC) zatwierdzone przez Komisję Europejską),
  • w razie potrzeby zostanie przeprowadzona ocena ryzyka transferu (np. TIA) oraz wdrożone dodatkowe środki zabezpieczające,
  • Klient zostanie poinformowany o istotnym transferze, jeżeli obowiązek informacyjny będzie miał zastosowanie (z poszanowaniem ograniczeń wynikających z bezpieczeństwa i prawa).

7. Okresy przechowywania danych (retencja) oraz opcje niezmienności (WORM)

Administrator stosuje zasadę minimalizacji retencji – przechowujemy dane przez okres nie dłuższy, niż jest to potrzebne do realizacji celów przetwarzania, obowiązków prawnych oraz ochrony przed roszczeniami.

  • Dane konta i Workspace — przez czas trwania Umowy, a po jej zakończeniu wyłącznie przez okres niezbędny do wypełnienia obowiązków prawnych, obrony lub dochodzenia roszczeń oraz zapewnienia rozliczalności i bezpieczeństwa — nie dłużej, niż wynika to z właściwych przepisów prawa i terminów przedawnienia.
  • Dane rozliczeniowe — przez okres wymagany przepisami prawa podatkowego i rachunkowego; w praktyce co do zasady obejmuje to okres 5 pełnych lat kalendarzowych po roku, którego dokumenty dotyczą („5+1”), o ile ma zastosowanie.
  • Logi techniczne i bezpieczeństwa — przez okres niezbędny do zapewnienia bezpieczeństwa, wykrywania nadużyć i obsługi incydentów, z uwzględnieniem zasady minimalizacji.
  • Dane w dokumentach przesyłanych przez Klienta — co do zasady przez czas trwania Umowy lub zgodnie z ustawieniami/konfiguracją Klienta (jeżeli Usługa udostępnia takie mechanizmy), z uwzględnieniem zasad eksportu danych.

Opcja niezmienności (WORM / „niezmienne archiwum") może być dostępna dla wybranych kategorii artefaktów lub w ramach określonych planów/ustawień. Oznacza to, że wybrane dane mogą zostać objęte mechanizmem ograniczającym możliwość modyfikacji/usunięcia przez ustalony okres retencji – w celu wzmocnienia audytowalności i zgodności. Zakres i dostępność tej opcji zależą od konfiguracji Usługi i mogą ulegać zmianie wraz z rozwojem produktu.

8. Prawa osób, których dane dotyczą

W zakresie, w jakim Administrator działa jako administrator danych, osobom, których dane dotyczą, przysługują prawa wynikające z RODO, w szczególności:

  • dostępu do danych, sprostowania, usunięcia, ograniczenia przetwarzania,
  • przenoszenia danych,
  • sprzeciwu wobec przetwarzania opartego na art. 6 ust. 1 lit. f RODO,
  • wniesienia skargi do Prezesa UODO.

W zakresie, w jakim Administrator działa jako podmiot przetwarzający, realizacja praw osób, których dane dotyczą, odbywa się co do zasady za pośrednictwem Klienta jako administratora danych w ramach jego obowiązków RODO.

9. Alfred — asystent operacyjny i funkcje AI (EOG)

Alfred jest funkcją Usługi pełniącą rolę asystenta operacyjnego, wspierającego pracę z dokumentami (np. OCR, klasyfikacja, ekstrakcja danych, wyszukiwanie, porządkowanie).

  • Funkcje AI mają charakter pomocniczy.
  • Funkcje AI nie stanowią porady prawnej, podatkowej ani księgowej i nie zastępują profesjonalnej konsultacji.
  • Funkcje AI nie podejmują za użytkownika wiążących decyzji prawnych, podatkowych, księgowych ani finansowych; ostateczne decyzje i odpowiedzialność pozostają po stronie Klienta.

Jeżeli Klient korzysta z funkcji AI, przetwarzanie może obejmować przekazanie minimalnego zakresu danych do dostawcy AI działającego w EOG, wyłącznie w celu wykonania danej funkcji. Administrator stosuje zasady minimalizacji danych, kontroli dostępu oraz ochrony poufności, a funkcje AI są konfigurowane tak, aby realizować zadanie przy możliwie najmniejszym zakresie danych.

Administrator nie udostępnia danych Klienta do trenowania modeli sztucznej inteligencji.

W odniesieniu do zewnętrznych dostawców technologii AI Administrator dobiera i konfiguruje usługi w oparciu o obowiązujące umowy, warunki świadczenia usług oraz dostępne ustawienia bezpieczeństwa/retencji, tak aby — w zakresie mającym zastosowanie do Usługi — dane nie były wykorzystywane do treningu modeli oraz nie były przechowywane dłużej, niż jest to konieczne do wykonania zleconej operacji.

10. Offline-first / PWA i przechowywanie lokalne

Usługa może działać jako aplikacja PWA i wykorzystywać lokalne mechanizmy przeglądarki (np. IndexedDB / Local Storage) do buforowania danych roboczych (np. kopii roboczych dokumentów, metadanych, kolejki operacji) i zapewnienia trybu offline-first.

Zakres danych przechowywanych lokalnie może zależeć od przeglądarki, urządzenia oraz konfiguracji Usługi. Dane lokalne są przechowywane w środowisku urządzenia użytkownika.

Administrator rekomenduje stosowanie zabezpieczeń urządzenia oraz kont użytkowników (np. hasło, biometria, blokada ekranu), ponieważ bezpieczeństwo lokalnego środowiska pozostaje w istotnym stopniu po stronie użytkownika.

Uwaga: Utrata urządzenia, jego awaria lub wyczyszczenie pamięci przeglądarki (cache/Local Storage/IndexedDB) może skutkować utratą niezsynchronizowanych danych lokalnych. Klient i użytkownicy ponoszą odpowiedzialność za fizyczne i logiczne zabezpieczenie swoich urządzeń przed nieuprawnionym dostępem.

11. Pliki cookies

Usługa używa plików cookies niezbędnych do prawidłowego działania i bezpieczeństwa. Cookies analityczne ani marketingowe nie są aktualnie stosowane.

  • Cookies niezbędne — zapewniają działanie podstawowych funkcji, bezpieczeństwo i poprawność sesji. Są jedynymi plikami cookies aktualnie stosowanymi przez Usługę.
  • Cookies analityczne i marketingowe — aktualnie nie są stosowane. Ich ewentualne wprowadzenie w przyszłości nastąpi wyłącznie zgodnie z obowiązującymi przepisami i po wdrożeniu wymaganego mechanizmu zgody, jeżeli będzie wymagana.

Administrator nie stosuje cookies w celu sprzedaży danych ani profilowania marketingowego.

12. Bezpieczeństwo danych

Administrator wdraża środki techniczne i organizacyjne adekwatne do ryzyka, w tym m.in. szyfrowanie transmisji (TLS), kontrolę dostępu, logiczną izolację środowisk (Workspace) oraz mechanizmy rejestrowania zdarzeń istotnych dla bezpieczeństwa.

Szczegółowe informacje o praktykach bezpieczeństwa mogą być opisane na stronie „Bezpieczeństwo" oraz w dokumentach powiązanych (np. DPA), w zakresie właściwym dla Klientów B2B.

13. Zmiana Administratora / cesja do spółki kapitałowej

Administrator może przenieść prawa i obowiązki związane ze świadczeniem Usługi na spółkę kapitałową (np. LifeTree Finance sp. z o.o.) w ramach reorganizacji działalności, przy zachowaniu ciągłości świadczenia Usługi. W takim przypadku nowy podmiot stanie się administratorem danych w zakresie niezbędnym do kontynuacji Usługi, zgodnie z postanowieniami regulaminu i niniejszej polityki oraz przepisami RODO.

W przypadku zmiany podmiotu pełniącego rolę Administratora Danych Osobowych lub Podmiotu Przetwarzającego, Klient zostanie o tym poinformowany z odpowiednim wyprzedzeniem, zgodnie z obowiązującymi przepisami. Administrator zobowiązuje się zapewnić, że zmiana taka nie obniży dotychczasowego poziomu ochrony danych i bezpieczeństwa, a przetwarzanie danych będzie — co do zasady — kontynuowane na terytorium EOG.

14. Zmiany Polityki i kontakt

Administrator może aktualizować Politykę Prywatności z ważnych przyczyn (np. zmiany prawa, zmiany technologiczne, zmiany dostawców), z zachowaniem odpowiednich wymogów informacyjnych.

W sprawach prywatności i danych osobowych: legal@lifetree.finance.

JDG Oleksandr Khomenko LifeTree Finance • NIP: PL 8982326290 • REGON: 543103202ul. Romana Dmowskiego 13/15, 50-203 Wrocław