Nasze zobowiązanie
Domyślne przetwarzanie danych w UE. Bez wykorzystania danych klientów do treningu modeli.
KonsultingAI przetwarza dane klientów wyłącznie przez API klasy Enterprise dostawców modeli językowych: Anthropic Claude, OpenAI oraz Google Gemini. Architektura jest projektowana tak, aby minimalizować retencję danych; konkretne ustawienia retencji ustalamy dla każdego projektu i zapisujemy w Data Processing Agreement. Dane Państwa firmy nie są wykorzystywane do trenowania modeli.
-
Pliki klienta usuwane po zakończeniu projektu
Rysunki, dokumenty, eksporty z systemów klienta są usuwane po zamknięciu projektu. Logi dostępu rejestrujemy i udostępniamy na żądanie. Artefakty pochodne (prompty, szablony ekstrakcji) zachowujemy wyłącznie za pisemną zgodą klienta.
-
Nigdy nie służą do trenowania modeli
Wszyscy trzej dostawcy kontraktowo gwarantują, że dane przetwarzane przez API nie są wykorzystywane do trenowania ich modeli. To nie jest opcja do wyłączenia, to domyślne zachowanie dla dostępu klasy Enterprise.
-
Państwa dane pozostają Państwa własnością
KonsultingAI nie sprzedaje, nie udostępnia i nie wykorzystuje ponownie danych klienta. Wyniki, które generujemy, służą wyłącznie Państwu. Wzbogacanie opieramy wyłącznie o dane publicznie dostępne (KRS, MSiG, EKW).
Gdzie przetwarzamy dane
Domyślnie Unia Europejska. Opcjonalnie Polska lub on-premises.
Domyślny region przetwarzania: Unia Europejska. Dla klientów z wymogami rezydencji danych dostępne są opcje: AWS Frankfurt, AWS Paryż, OVHcloud Warszawa, Beyond.pl / Atman (Polska), instalacja on-premises. Konkretny dostawca dobierany jest per projekt i zapisywany w Data Processing Agreement.
Nie przetwarzamy danych klienta w regionach US. Jeśli Państwa firma ma specyficzne wymogi compliance (finanse, zdrowie, sektor obronny, dane osobowe w rozumieniu RODO), rozmawiamy o nich wprost przed rozpoczęciem projektu.
Co gwarantują sami dostawcy
Nie muszą Państwo opierać się wyłącznie na naszej deklaracji. Warto sprawdzić także polityki samych dostawców.
Każdy z dostawców publikuje czytelne, kontraktowo wiążące polityki dla użytku API i Enterprise. To nie są obietnice marketingowe, tylko zobowiązania umowne. Zobowiązanie wobec klienta zapisujemy każdorazowo w Data Processing Agreement, którego kopię udostępniamy po weryfikacji wymagań projektu.
| Dostawca | Okres przechowywania | Wykorzystanie do treningu? | Polityka |
|---|---|---|---|
| Anthropic (Claude) | Logi API 7 dni. Dostępna opcja Zero Data Retention. | Nie. Dane API nie są wykorzystywane do trenowania modeli. | Anthropic Privacy Center → |
| OpenAI | Dane API do 30 dni, potem usuwane. Dostępna opcja Zero Data Retention. | Nie. Dane API i Enterprise nie są wykorzystywane do treningu. | OpenAI Enterprise Privacy → |
| Google (Gemini) | Enterprise: do 30 dni na potrzeby wykrywania nadużyć. Administrator może skrócić lub wyłączyć. | Nie. Płatne dane API nie są wykorzystywane do treningu. | Google Cloud Zero Data Retention → |
Uwaga: powyższe polityki dotyczą użytku API i Enterprise, i tak właśnie działa KonsultingAI. Darmowe produkty konsumenckie (np. darmowy ChatGPT) mogą mieć inne warunki. Nie używamy kanałów konsumenckich do przetwarzania danych klientów.
Jakie dane przetwarzamy
Tylko to, co potrzebne. Nic więcej.
| Typ danych | Źródło | Jak wykorzystujemy |
|---|---|---|
| Rysunki techniczne, karty materiałowe (produkcja) | Klient, na wyraźne zlecenie, po NDA | Automatyzacja procesu ofertowania, wyciąganie parametrów, generowanie zapytań do dostawców |
| Dokumenty korporacyjne, wypisy z KRS/KW (kancelarie) | Klient + źródła publiczne (MSiG, Monitor Sądowy, EKW) | Przyspieszenie due diligence, generowanie dossier, monitorowanie terminów |
| Zamówienia, potwierdzenia, raporty (firmy usługowe) | Systemy klienta (ERP, CRM) za zgodą | Automatyzacja dokumentacji powtarzalnej, generowanie potwierdzeń |
| Dane z publicznych źródeł | KRS, MSiG, EKW, strony urzędowe | Wzbogacanie i weryfikacja danych w procesach DD i monitorowaniu |
Dane publiczne (KRS, MSiG, EKW) nie wymagają specjalnych uprawnień. Dane wewnętrzne klienta (rysunki, systemy ERP, wyciągi bankowe) są dostępne wyłącznie za pisemną zgodą, w zakresie jednego projektu, z logowaniem dostępu.
Gotowość pod sektor obronny
Opisujemy możliwą topologię wdrożenia, nie deklarujemy certyfikatów, których nie posiadamy.
Architektura wspiera wdrożenia on-premises i w pełni UE-hostowane dla klientów z wymogami rezydencji danych (w szczególności sektor obronny i dostawcy NATO). Nie deklarujemy posiadanych certyfikatów MON ani NATO, których nie mamy, zamiast tego opisujemy topologię, którą możemy zbudować na wymaganym poziomie.
Co to oznacza w praktyce. Dla projektu z wymogami rezydencji danych i ograniczeniami na poziomie dostępu sieciowego dobieramy konfigurację per projekt: wdrożenie na infrastrukturze klienta, separacja środowisk, ograniczone role dostępu, audyt logów. Wszystko kontraktowo, w DPA podpisanym przed pierwszym przetwarzaniem.