Metodyka i bezpieczeństwo.

1. Podmiot prawny

Dago Digital Michał Skwarczyński, wpisany do CEIDG. Pełna nazwa, NIP i adres siedziby dostępne na żądanie — wysyłamy mailem przy podpisaniu umowy.

Administratorem danych osobowych w rozumieniu RODO jest wskazany wyżej podmiot prawny. Inspektorem Ochrony Danych — kontakt: iod@paniaga.pl.

2. Co robi produkt

Pani Aga przyjmuje od was: (a) PDF specyfikacji warunków zamówienia (SWZ), (b) historyczne oferty firmowe w postaci dokumentów PDF lub DOCX, (c) certyfikaty firmowe (CE, ISO, OC, rejestrowe), (d) referencje klientów. Na tej podstawie przygotowuje wstępny draft odpowiedzi na konkretny przetarg, dopasowany do szablonu zamawiającego.

Pani Aga nie ustala cen w waszych ofertach — wasz dział handlowy podaje stawki, a system wpisuje je w odpowiednie miejsca formularza cenowego. Pani Aga nie podejmuje decyzji o tym, czy startujecie w danym przetargu — to zawsze decyzja waszego zespołu po obejrzeniu draftu.

3. Hosting i lokalizacja danych

• Aplikacja webowa: Vercel, region Frankfurt (fra1). Cała infrastruktura CDN i serverless działa w UE.
• Baza dokumentów i metadanych: Neon Postgres, region Frankfurt.
• Pliki SWZ, oferty, certyfikaty, drafty: obiektowy storage w UE (Vercel Blob lub kompatybilny S3, region Frankfurt).
• Modele używane do parsowania i draftowania: Anthropic Claude przez API z opcją „zero data retention", oraz OpenAI przez Azure w regionie Frankfurt — żaden komponent nie używa danych klienta do trenowania.

Żaden komponent przetwarzający wasze dane nie znajduje się poza Europejskim Obszarem Gospodarczym. Pełna lista podwykonawców — pkt 7.

4. Co jest logowane

• Adres email zalogowanego użytkownika i jego działania w aplikacji (otworzenie SWZ, eksport draftu, zmiana ustawień). Logi po 30 dniach są agregowane do statystyk i anonimizowane.
• Treść waszych dokumentów nie jest logowana w żadnym systemie dzienników — jest przechowywana wyłącznie w bazie aplikacji, dostępnej tylko dla waszego konta.
• Logi dostępu do bazy danych są przechowywane 90 dni i służą wyłącznie do detekcji anomalii bezpieczeństwa.

5. Retencja i usunięcie danych

W trakcie obowiązywania umowy wasze dokumenty są przechowywane do momentu, gdy je skasujecie z poziomu aplikacji.

Po zakończeniu współpracy wszystkie wasze dokumenty, drafty, metadane i konta użytkowników są kasowane w ciągu 30 dni od daty wypowiedzenia. Mailem wysyłamy potwierdzenie usunięcia, podpisane przez założyciela. Kopie zapasowe są nadpisywane w cyklu 90-dniowym, po którym dane znikają także stamtąd.

W trakcie pokazu (30 dni bezpłatnie): jeśli nie podpiszecie umowy, kasujemy wszystko po 31. dniu, bez dodatkowej prośby.

6. Dostęp do danych po naszej stronie

• Dostęp do bazy produkcyjnej ma jedna osoba — założyciel. Każdy dostęp jest logowany.
• W planie „Pani Aga + Bid Desk" dodatkowo wyznaczony analityk ma dostęp wyłącznie do dokumentów konkretnego klienta przez okres recenzji. Lista analityków, ich CV i umowy NDA są dostępne na żądanie.
• Nigdy nie udostępniamy waszych danych innym klientom, nie używamy ich do marketingu, nie udostępniamy podmiotom trzecim poza listą w pkt 7.

7. Lista podwykonawców

Aktualna na 2026-04-25:

• Vercel Inc. — hosting aplikacji, region Frankfurt; umowa DPA podpisana
• Neon Inc. — Postgres, region Frankfurt; umowa DPA podpisana
• Anthropic PBC — model językowy do parsowania i draftowania, opcja „zero data retention" włączona; umowa DPA podpisana
• Microsoft Azure (OpenAI) — model językowy, region Frankfurt; umowa DPA podpisana
• Stripe Payments Europe Ltd. — obsługa płatności (od planu „Pani Aga" wzwyż); dane karty nigdy nie trafiają do nas

O każdej zmianie listy informujemy mailem z 14-dniowym wyprzedzeniem. Macie prawo wypowiedzieć umowę bez okresu wypowiedzenia, jeśli nowy podwykonawca wam nie odpowiada.

8. Wasze prawa wynikające z RODO

Możecie w każdej chwili:

• Pobrać kopię wszystkich swoich dokumentów (eksport ZIP w aplikacji)
• Zażądać usunięcia konta — wykonujemy w ciągu 7 dni
• Zgłosić skargę do Prezesa UODO (Urząd Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa)
• Otrzymać pełną listę przetwarzanych danych — wysyłamy w ciągu 14 dni od żądania

9. Bezpieczeństwo techniczne

• Cała komunikacja TLS 1.3, HSTS włączone, certyfikat odnawiany automatycznie
• Hasła użytkowników są haszowane (bcrypt). Polecamy logowanie przez magic link, bez trzymania hasła
• Dwuskładnikowe uwierzytelnianie dostępne, w planie „Bid Desk" wymagane
• Backup bazy co 24 godziny, przechowywany szyfrowany, region Frankfurt
• Audyt zewnętrzny pentestu raz na 12 miesięcy. Raport (po zaczernieniu szczegółów eksploatacyjnych) udostępniany na żądanie po podpisaniu NDA

10. Co jeśli coś pójdzie nie tak

W razie incydentu naruszenia bezpieczeństwa danych informujemy was mailem w ciągu 72 godzin od jego wykrycia, zgodnie z art. 33 RODO. Pełna procedura incydentowa — dostępna na żądanie.

W razie awarii aplikacji powyżej 4 godzin SLA przewiduje proporcjonalny zwrot części abonamentu. W razie awarii powyżej 24 godzin macie prawo wypowiedzieć umowę natychmiast.

11. Czego Pani Aga nie robi

Świadomie wymieniamy granice produktu, żeby uniknąć nieporozumień:

• Nie składa ofert za was. Każdy draft wymaga ostatecznej akceptacji i podpisu po waszej stronie.
• Nie ustala cen. Wasz zespół handlowy podaje stawki — system je tylko wpisuje.
• Nie obsługuje wadium ani gwarancji bankowych. Tym zajmuje się wasz dział finansowy.
• Nie negocjuje z zamawiającym. Komunikację po złożeniu oferty prowadzi wasz zespół.
• Nie gwarantuje wygranej. Wynik zależy od jakości oferty, konkurencji i ceny — żadnego z tych czynników nie kontrolujemy.

12. Kontakt do diligence

Jeśli macie pytania, których nie ma w tym dokumencie: iod@paniaga.pl (RODO, IOD), security@paniaga.pl (bezpieczeństwo techniczne, raporty pentestu), michal@paniaga.pl (handlowe). Odpowiadamy w ciągu 48 godzin.