What is LEGAION and how is it different from Harvey AI?

LEGAION is the world's #1 Legal Intelligence Platform with the only built-in Verifier Engine™. Unlike Harvey AI which generates responses without verification and can hallucinate, LEGAION audits every single claim with citations from case law, statutes, and regulatory databases. This means you get accurate, verifiable legal insights with zero AI hallucinations - critical for malpractice prevention.

Is LEGAION better than Harvey AI for contract review?

LEGAION offers significant advantages over Harvey AI for contract review. Our Verifier Engine™ cross-references every clause against legal databases and provides source citations. While Harvey AI generates plausible-sounding analysis that may contain errors, LEGAION verifies each finding with actual legal authority. AmLaw 100 firms report 40% fewer review cycles after switching from Harvey AI to LEGAION.

How does LEGAION compare to CoCounsel by Thomson Reuters?

LEGAION surpasses CoCounsel with our unique Verifier Engine™ technology and Cross-Border Shield for international transactions. While CoCounsel integrates with Westlaw, LEGAION works with all major legal databases and provides citation verification. LEGAION also offers Autonomous AI Agents for negotiation and Judge Profiling analytics that CoCounsel lacks.

Can LEGAION replace Harvey AI for my BigLaw or AmLaw 100 firm?

Yes, LEGAION can fully replace Harvey AI with significant advantages. We offer AI contract analysis, legal research, document drafting, M&A due diligence, and autonomous negotiation agents — all with citation verification. LEGAION is trusted by AmLaw 100 firms, Magic Circle practices, and European law firms who switched from Harvey AI for measurable accuracy: every citation is verified against ISAP, EUR-Lex and USPTO by Verifier Engine (P.454531) before delivery.

What is LEGAION pricing compared to Harvey AI and CoCounsel?

LEGAION offers competitive pricing starting with a 14-day trial (card required, auto-converts to paid subscription, cancel anytime). Professional plans start at $299/user/month. Unlike Harvey AI's enterprise-only pricing or CoCounsel's bundled costs, LEGAION has transparent pricing for solo practitioners, mid-size firms, and enterprise clients. Firms typically save 30-50% compared to Harvey AI while getting superior citation verification.

Is LEGAION GDPR compliant and what is its certification status for European law firms?

LEGAION runs exclusively on EU-only infrastructure that is SOC 2 Type II and ISO 27001 certified at the hosting layer. The product itself maintains GDPR/RODO operational compliance, EU AI Act readiness, and NIS2 alignment. A SOC 2 Type II audit at the company level (Aidvocates, Inc.) is on the roadmap and was initiated in 2027. All data is encrypted end-to-end with Private Vault zero-knowledge storage. We support 15+ languages including German, French, Spanish, Italian, Polish, and Japanese.

Does LEGAION support M&A due diligence and cross-border transactions?

LEGAION excels at M&A due diligence with features competitors lack. Deep X-Ray analyzes contracts for 200+ risk categories, Cross-Border Shield identifies US/EU/UK/APAC regulatory conflicts, DealRoom provides secure collaboration, and Verifier Engine™ ensures every finding is backed by legal authority. Perfect for cross-border transactions where accuracy is critical.

What AI features does LEGAION offer that Harvey AI doesn't have?

LEGAION offers unique AI features unavailable in Harvey AI: (1) Verifier Engine™ - citation verification for every claim, (2) Autonomous Negotiation Agents - AI-to-AI negotiation, (3) Judge Profiling - judicial tendency analytics, (4) Cross-Border Shield - multi-jurisdiction compliance, (5) Witness Prep AI - deposition preparation, (6) LEGAION Predict™ - 94% accurate case outcome prediction, (7) DealRoom - secure M&A collaboration.

How accurate is LEGAION compared to other legal AI tools?

LEGAION achieves 99.7% citation accuracy with our Verifier Engine™ - the highest in the industry. Unlike Harvey AI or CoCounsel which can generate plausible-sounding but incorrect information, every LEGAION response is verified against authoritative sources. Our LEGAION Predict™ achieves 94% accuracy in case outcome predictions. We publish accuracy metrics transparently.

Can LEGAION integrate with existing law firm software?

Yes, LEGAION offers comprehensive integrations including Microsoft 365, Google Workspace, Microsoft 365, Google Workspace and Clio today; iManage and NetDocuments connectors on the H2 2026 roadmap. We provide REST API and GraphQL access, webhooks for automation, and SSO/SAML for enterprise authentication. White-label options are available for large deployments.

DPA · Art. 28 RODO + UK Addendum + CCPA Service Provider

Data Processing Agreement

Version 2.1·Effective: 25 May 2026·Bilingual PL / EN

Strony / Parties

Administrator (Controller / Business): Klient określony w Order Form ("Administrator", "Klient").

Podmiot przetwarzający (Processor / Service Provider):

Aidvocates, Inc. (USA) — 136 Madison Avenue, New York, NY 10016, Delaware File No: 10564433 | EIN: 36-5174390
Aidvocates Group sp. z o.o. (UE) — ul. Hutnicza 6, 40-241 Katowice, KRS 0001219549

(łącznie "Podmiot przetwarzający", "LEGAION").

DPA stanowi załącznik nr 1 do Regulaminu i SLA, integralną część umowy.

Przedmiot, charakter, cel i czas / Subject, nature, purpose & duration

Element	Opis
Przedmiot	Świadczenie usługi platformy LEGAION na podstawie umowy głównej
Charakter	Hostowanie, przechowywanie, analiza AI, weryfikacja cytatów, generowanie wyników, backup, wsparcie techniczne
Cel	Umożliwienie Klientowi korzystania z funkcjonalności Platformy
Czas trwania	Okres obowiązywania umowy + 30 dni okno eksportu + okres prawnie wymaganej retencji

Kategorie danych i osób / Data categories

3.1Kategorie podmiotów danych

pracownicy i współpracownicy Klienta
klienci Klienta (osoby fizyczne i przedstawiciele osób prawnych)
strony postępowań sądowych/administracyjnych obsługiwanych przez Klienta
pełnomocnicy i świadkowie
inne osoby fizyczne, których dane są zawarte w dokumentach wprowadzonych do Platformy

3.2Kategorie danych osobowych

identyfikatory (imię, nazwisko, PESEL/SSN, e-mail, telefon)
dane kontaktowe i adresowe
dane zawodowe (stanowisko, organizacja)
dane finansowe (numery rachunków, kwoty transakcji)
treść korespondencji prawnej
dane sądowe (sygnatury, treść pism, orzeczenia)

3.3Dane szczególnych kategorii (Art. 9 RODO)

Mogą wystąpić w treści dokumentów prawnych. Klient ponosi pełną odpowiedzialność za istnienie podstawy prawnej (Art. 9 ust. 2 RODO, Art. 10 RODO + krajowe regulacje).

Zobowiązania podmiotu przetwarzającego (Art. 28(3))

LEGAION zobowiązuje się:

(a) przetwarzać dane wyłącznie na udokumentowane polecenie Administratora
(b) zapewnić poufność osób upoważnionych do przetwarzania
(c) wdrożyć środki techniczne i organizacyjne wymagane Art. 32 RODO (Annex II)
(d) przestrzegać warunków angażowania subprocesorów (Sekcja 6)
(e) pomagać w odpowiadaniu na żądania DSAR (Art. 12-22 RODO)
(f) pomagać w wywiązywaniu się z obowiązków Art. 32-36 RODO
(g) po zakończeniu — usunąć lub zwrócić wszelkie dane oraz kopie
(h) udostępnić informacje niezbędne do wykazania spełnienia obowiązków + umożliwić audyty (Sekcja 9)

Polecenia administratora / Controller's instructions

5.1 Polecenia Administratora są określone w niniejszym DPA, Regulaminie, Order Form, ustawieniach panelu administratora w Platformie oraz innych pisemnych instrukcjach.

5.2 Jeżeli LEGAION uważa, że polecenie Administratora narusza RODO lub inne przepisy, niezwłocznie informuje o tym Administratora (Art. 28 ust. 3 zd. 2 RODO).

Subprocesorzy / Sub-processors (Art. 28(2), (4))

6.1 Administrator udziela LEGAION ogólnej zgody na korzystanie z subprocesorów wymienionych pod adresem /subprocessors.
6.2 LEGAION zawiadomi Administratora o planowanej zmianie wykazu z 30-dniowym wyprzedzeniem.
6.3 Administrator może wnieść uzasadniony sprzeciw przed wdrożeniem zmiany. W razie braku porozumienia w 30 dni — wypowiedzenie umowy bez kar.
6.4 Każdy subprocesor jest związany identycznymi zobowiązaniami w zakresie ochrony danych (Art. 28 ust. 4 RODO).
6.5 LEGAION pozostaje w pełni odpowiedzialny wobec Administratora za działania subprocesorów.

Transfery międzynarodowe / International transfers

7.1 EU-only data residency. Dane Customer Data przechowywane wyłącznie w EOG. Niektóre operacje mogą wymagać transferu (AI inference do USA przez API w trybie zero-retention, wsparcie techniczne).

7.2 Mechanizmy transferu:

decyzje o adekwatności (Art. 45 RODO), w tym EU-US Data Privacy Framework
Standardowe Klauzule Umowne KE (Decyzja 2021/914) — moduły 2 (C2P) i 3 (P2P)
Transfer Impact Assessment (TIA) zgodnie z wytycznymi EROD 01/2020
środki uzupełniające (AES-256-GCM, TLS 1.3, zero-retention API, RBAC)

7.4 UK Addendum. Dla transferów z UK stosujemy UK International Data Transfer Addendum zatwierdzony przez ICO (luty 2022) lub IDTA.

Naruszenia danych / Personal data breaches (Art. 33)

8.1 LEGAION powiadomi Administratora o stwierdzonym naruszeniu bez zbędnej zwłoki, nie później niż w ciągu 48 godzin od stwierdzenia, umożliwiając Administratorowi spełnienie obowiązku notyfikacyjnego z Art. 33 RODO (72h do organu nadzorczego).

8.2 Notyfikacja zawiera elementy z Art. 33 ust. 3 RODO: charakter naruszenia, kategorie i liczbę dotkniętych podmiotów, dane kontaktowe IOD, możliwe konsekwencje, zastosowane środki.

8.3 LEGAION dokumentuje wszystkie naruszenia oraz zastosowane środki, udostępnia dokumentację Administratorowi na żądanie.

Prawo audytu / Audit rights

9.1 Administrator ma prawo do audytu zgodności przetwarzania nie częściej niż raz na 12 miesięcy, za 30-dniowym uprzedzeniem, w godzinach pracy, na własny koszt, z zachowaniem poufności.

9.2 LEGAION może spełnić obowiązek audytowy przedstawiając aktualną dokumentację:

mapa kontroli framework SOC 2 (gap-assessment) — udostępniana pod NDA
raport zgodności z EU AI Act (Art. 17)
wstępne raporty wewnętrznych przeglądów bezpieczeństwa
raporty zewnętrzne (SOC 2 Type II, ISO 27001, pen-test) — udostępniane po ich uzyskaniu

9.3 Audyt na miejscu — tylko gdy raporty nie wystarczają lub gdy zaszło istotne naruszenie. Audytorzy zewnętrzni muszą podpisać NDA.

Pomoc w DSAR / Assistance with data subject rights

10.1 LEGAION zapewnia funkcjonalności techniczne pozwalające Administratorowi realizować żądania:

eksport danych w JSON/CSV (Art. 20 RODO — przenośność)
usunięcie danych (Art. 17)
sprostowanie (Art. 16)
ograniczenie przetwarzania (Art. 18)
dostęp (Art. 15)

10.2 Jeśli żądanie podmiotu danych trafi bezpośrednio do LEGAION — zostanie przekazane Administratorowi bez zbędnej zwłoki (zwykle 5 dni roboczych).

DPIA i konsultacje uprzednie (Art. 35-36)

LEGAION dostarcza informacje niezbędne do przeprowadzenia DPIA przez Administratora oraz do konsultacji uprzedniej z organem nadzorczym (Art. 36 RODO). Dokumentacja AI Act, raport SOC 2, mapa subprocesorów, lista transferów — udostępniane na żądanie.

Zwrot / usunięcie danych (Art. 28(3)(g))

12.1 Po zakończeniu świadczenia usług Administrator wybiera:

(a) eksport danych w okresie 30 dni od wypowiedzenia, w formatach JSON/CSV/PDF
(b) natychmiastowe usunięcie — bez okna eksportu

12.2 LEGAION poświadcza pisemnie wykonanie usunięcia (Certificate of Deletion).

12.3 Wyjątek: dane wymagane prawem do retencji (np. ust. o rachunkowości — 5 lat) — pozostają w archiwum, dostęp tylko dla compliance.

Rola Service Provider wg CCPA / CPRA

13.1 W zakresie Personal Information mieszkańców Kalifornii LEGAION działa jako Service Provider (CCPA §1798.140(ag)).

13.2 LEGAION:

przetwarza Personal Information wyłącznie w celu wykonania umowy z Business
nie sprzedaje ani nie udostępnia Personal Information
nie zachowuje, nie wykorzystuje ani nie ujawnia w celu innym niż wskazany w umowie
nie łączy Personal Information od różnych Klientów w sposób zabroniony §1798.140(ag)(1)(B)
pomaga Klientowi w odpowiadaniu na consumer requests

UK Addendum (UK GDPR + DPA 2018)

W zakresie Personal Data mieszkańców UK stosujemy UK GDPR oraz Data Protection Act 2018. Transfery z UK do państw trzecich — na podstawie UK IDTA lub UK Addendum do EU SCC. Organ nadzorczy: ICO.

Annex I — szczegóły przetwarzania

Element	Opis
Lista stron	A: Administrator (Klient z Order Form) · B: Podmiot przetwarzający (LEGAION)
Opis transferu	C2P i ewentualnie P2P — moduły 2 i 3 SCC 2021/914
Częstotliwość	Ciągła, w czasie rzeczywistym
Czas trwania	Okres umowy + 30 dni okno eksportu
Właściwy organ nadzorczy	Prezes UODO (Polska) — punkt kontaktowy w EOG

Annex II — środki techniczne i organizacyjne (Art. 32 RODO)

16.1Pseudonimizacja i szyfrowanie

AES-256-GCM w spoczynku (dane w bazie + Drive storage)
TLS 1.3 w tranzycie
E2E encryption dla modułu Drive, Memory Vaults i War Room (SRTP)
pseudonimizacja identyfikatorów w logach (PII szyfrowane pgcrypto)

16.2Poufność, integralność, dostępność (CIA)

Row-Level Security (RLS) na każdej tabeli z danymi Klienta
MFA wymuszone dla kont admin/super_admin; wymuszenie dla kont użytkowników na roadmapie Q3 2026
segmentacja środowisk: produkcja/staging/develop
monitoring aplikacji w godzinach roboczych + on-call rotation dla incydentów P1
vulnerability management — krytyczne CVSS triage w 72h
roczny pen-test zewnętrzny (planowany Q3 2026; raport pod NDA)

16.3Przywracanie po incydencie

Cele BCDR: RPO ≤ 4h, RTO ≤ 8h (best-effort, niegwarantowane SLA)
automatyczny backup bazy danych w regionie EOG (AWS Frankfurt)
test odtworzenia DR planowany co najmniej 1× rocznie

16.4Compliance i audyty

Status na dzień publikacji: LEGAION wdraża wewnętrznie framework kontroli zgodny z SOC 2. Audyt zewnętrzny jest w toku — nie publikujemy daty ani statusu „certified" do momentu wystawienia raportu przez audytora.

SOC 2 — framework wdrażany; audyt zewnętrzny w toku
ISO/IEC 27001 — alignment framework (brak formalnej certyfikacji)
NIS2 — gap assessment w toku dla kategorii podmiotów ważnych
DPIA assistance i mapa ryzyka udostępniane na żądanie Administratora

Annex III — lista subprocesorów (skrót)

Subprocesor	Lokalizacja	Rola	Mechanizm transferu
Aidvocates, Inc.	USA	Współadministrator + sub-procesor	SCC 2021/914 + DPF
Supabase, Inc.	EOG (Frankfurt eu-central-1) · control plane USA	Hosting — baza danych, storage, edge functions, auth	SCC 2021/914 (Mod. 2) + TIA · Supabase DPA
Europejska warstwa infrastruktury AI	EOG + USA (control plane)	Orkiestracja modeli AI — zero-retention enterprise	SCC 2021/914 (Mod. 2) + TIA
OpenAI, L.L.C.	USA	AI inference (GPT-class) — przez europejską warstwę infrastruktury AI, zero-retention	SCC 2021/914 (Mod. 2) + TIA + OpenAI DPA
Google LLC (Gemini API)	USA / EOG	AI inference (Gemini-class) — przez europejską warstwę infrastruktury AI, zero-retention	SCC 2021/914 (Mod. 2) + TIA + Google Cloud DPA
Perplexity AI, Inc.	USA	Sonar API — publiczne źródła newsowe	SCC 2021/914 (Mod. 2) + TIA
Firecrawl (Mendable AI, Inc.)	USA	Scraping publicznych źródeł — read-only	SCC 2021/914 (Mod. 2) + TIA
ElevenLabs, Inc.	USA	Text-to-speech / synteza głosu — zero-retention	SCC 2021/914 (Mod. 2) + TIA + ElevenLabs DPA
Stripe Payments Europe, Ltd.	EOG (Irlandia)	Płatności kartowe i subskrypcje w EOG	n/d (EOG)
Stripe, Inc.	USA	Backend billingu i operacje globalne	SCC 2021/914 + Stripe DPA
iFirma S.A.	EOG (Polska)	Wystawianie faktur PL (VAT 23%)	n/d (EOG)
KSeF (Ministerstwo Finansów)	EOG (Polska)	Krajowy System e-Faktur (gdy wymagany ustawowo)	n/d — podmiot publiczny
Revolut Payments UAB	EOG (Litwa)	Płatności B2B (opcjonalnie)	n/d (EOG)
Brevo (Sendinblue SAS)	EOG (Francja)	Email transactional + newsletter	n/d (EOG)
Resend, Inc.	USA	Email transactional (fallback / domain delivery)	SCC 2021/914 (Mod. 2) + TIA
Autenti sp. z o.o.	EOG (Polska)	Kwalifikowane e-podpisy (gdy aktywne)	n/d (EOG)
Notarize, Inc. / Proof.com	USA	US Remote Online Notarization (gdy aktywne)	SCC 2021/914 (Mod. 2) + TIA

Art. 28 ust. 2 RODO — pełne ujawnienie. Wszystkie wywołania AI inference odbywają się przez europejską warstwę infrastruktury AI do orkiestracji modeli, w trybie zero-retention enterprise. Zero-retention jest egzekwowane kontraktowo w DPA każdego dostawcy modelu.

Pełna lista: /subprocessors.

Postanowienia końcowe

18.1 W razie sprzeczności między DPA a Regulaminem/Order Form/SLA — DPA ma pierwszeństwo w zakresie ochrony danych.

18.2 Zmiany DPA wymagają formy pisemnej (w tym dokumentowej z potwierdzeniem doręczenia).

18.3 Prawo właściwe i jurysdykcja — zgodnie z umową główną.

Aidvocates, Inc. (Delaware, USA) · Aidvocates Group sp. z o.o. (Katowice, PL) · Confidential