Service Level Agreement (SLA)

• 1.1 „Platforma" — system informatyczny LEGAION wraz ze wszystkimi modułami AI (Verifier Engine, Sentinel, Bridge, Predict, Witness Prep, Cross-Border Shield, Deep X-Ray) opartymi na autorskim silniku weryfikacji Dostawcy i zgłoszeniach patentowych UPRP, wraz z API, panelem użytkownika, dokumentacją oraz infrastrukturą hostingową w EOG.
• 1.2 „Hard Fact" — pojedyncze stwierdzenie pochodzące z oficjalnego rejestru prawnego (ISAP, EUR-Lex, USPTO, SAOS, KRS), które przeszło weryfikację Verifier Engine z wynikiem ≥ 50% pewności (próg Publication Gate).
• 1.3 „Derived Claim" — wniosek wygenerowany przez modele AI Platformy na podstawie Hard Facts, opatrzony audytowalnym łańcuchem cytowań.
• 1.4 „Dostępność (Uptime)" — procentowy stosunek czasu, w którym Platforma odpowiada na zapytania API/UI w sposób zgodny z dokumentacją, do całkowitego czasu w danym Cyklu Pomiarowym.
• 1.5 „Cykl Pomiarowy" — kalendarzowy miesiąc, w którym świadczona jest usługa.
• 1.6 „Okno Serwisowe" — zaplanowany czas niedostępności komunikowany z 72-godzinnym wyprzedzeniem; nie wlicza się do obliczeń Dostępności.
• 1.7 „Incydent" — zdarzenie powodujące pełne lub częściowe pogorszenie funkcjonowania Platformy, sklasyfikowane wg poziomu krytyczności (P1–P4).
• 1.8 „Service Credit" — kredyt finansowy na poczet przyszłych opłat, stanowiący wyłączny i wyczerpujący środek prawny („sole and exclusive remedy") z tytułu naruszenia gwarancji Dostępności.
• 1.9 „RODO" / „GDPR" — Rozporządzenie (UE) 2016/679 z dnia 27 kwietnia 2016 r.
• 1.10 „DPA" — Data Processing Agreement zawarte zgodnie z Art. 28 RODO; stanowi załącznik do SLA.
• 1.11 „EU AI Act" — Rozporządzenie (UE) 2024/1689.
• 1.12 „NIS2" — Dyrektywa (UE) 2022/2555 w sprawie cyberbezpieczeństwa.
• 1.13 „Standard Contractual Clauses (SCC)" — Decyzja Komisji 2021/914.
• 1.14 „UPL" — Unauthorized Practice of Law (ABA Model Rule 5.5 i regulacje stanowe USA).

2.1 LEGAION jest ekosystemem Legal Intelligence ze złożonymi zgłoszeniami patentowymi (7 zgłoszeń w UPRP) oferującym automatyczną analizę dokumentów prawnych, weryfikację cytatów, predykcję wyroków oraz narzędzia compliance.

2.2 Verifier Engine deterministycznie weryfikuje każdy cytat prawny wobec oficjalnych źródeł: ISAP, EUR-Lex, USPTO, SAOS, KRS. Treści, które nie przejdą Publication Gate (próg pewności ≥ 50%), są automatycznie blokowane przed dostarczeniem.

2.3 Wykaz modułów objętych SLA, dostępnych w danym pakiecie taryfowym, określa Zamówienie / Order Form podpisane przez Klienta.

2.4 Dostawca może wprowadzać modyfikacje funkcjonalne Platformy, pod warunkiem że nie obniżają one istotnie funkcjonalności objętej Zamówieniem; zmiany niekorzystne podlegają 30-dniowej notyfikacji.

3.1 Poziom gwarancji. Dostawca dąży do wysokiej dostępności Platformy w każdym Cyklu Pomiarowym. Konkretny próg gwarantowanej Dostępności oraz drabina rekompensat zostaną opublikowane wraz z uruchomieniem publicznej strony statusu status.legaion.com. Do tego czasu Service Credits są ustalane indywidualnie w Order Form.

3.3 Wyłączenia: (a) zaplanowane Okna Serwisowe ≥72h; (b) siła wyższa (Sekcja 16); (c) działania/zaniechania Klienta; (d) niedostępność źródeł zewnętrznych (ISAP, EUR-Lex, USPTO, SAOS, KRS); (e) ataki DDoS przekraczające plan ochrony; (f) zmiany narzucone prawem lub orzeczeniem; (g) przerwy operatora telekomunikacyjnego Klienta.

3.4 Procedura roszczenia. Klient zgłasza roszczenie pisemnie na support@aidvocates.com w terminie 30 dni od końca Cyklu Pomiarowego. Service Credit zaliczany na poczet kolejnej faktury, brak wypłaty gotówkowej.

3.5 Sole and Exclusive Remedy. Service Credits stanowią jedyny i wyczerpujący środek prawny Klienta z tytułu naruszenia gwarancji Dostępności, z wyjątkiem szkód z winy umyślnej lub rażącego niedbalstwa Dostawcy.

Cele operacyjne (P95 w Cyklu Pomiarowym):

Naruszenie celów wydajnościowych nie skutkuje automatycznym Service Credit, ale obliguje Dostawcę do wdrożenia planu naprawczego w terminie 14 dni.

5.1 Weryfikacja dwumodelowa (Generator + Auditor) z deterministycznym dopasowaniem do oficjalnych rejestrów. Każdy cytat: verified, out-of-context, not-found, z benchmarkiem 0–100.

5.2 Treści ze statusem innym niż verified są oznaczane lub blokowane przez Publication Gate. Pełny audit trail.

5.3 Dostawca stosuje deterministyczną weryfikację cytatów w module Verifier Engine — każde przywołanie normy lub orzeczenia jest sprawdzane wobec źródła publicznego (ISAP, EUR-Lex, SAOS, USPTO), a cytaty niemożliwe do potwierdzenia są oznaczane flagą „unverified" w interfejsie. Nie obejmuje treści oznaczonych „Draft" lub „Beta". Dostawca nie składa gwarancji „zero halucynacji" — błędy modeli LLM mogą wystąpić i są minimalizowane architekturą weryfikacji u źródła.

5.4 W razie błędu weryfikacji Dostawca dokonuje analizy w 5 dni roboczych i koryguje algorytm w kolejnym wydaniu.

6.1 Role. Klient — Administrator (Art. 4(7) RODO) / Business (CCPA §1798.140(d)). Dostawca — Podmiot przetwarzający / Service Provider. Aidvocates Group sp. z o.o. — sub-procesor.

6.2 DPA. Zalecane zawarcie odrębnego DPA zgodnego z Art. 28 RODO jako załącznika nr 1.

6.3 Subprocesorzy. Lista: legaion.com/legal/subprocessors. Notyfikacja zmian z 30-dniowym wyprzedzeniem.

6.4 Transfery. EU-only data residency. Poza EOG — SCC (Decyzja 2021/914) + TIA. USA — Data Privacy Framework gdy odbiorca certyfikowany.

6.5 Notyfikacja naruszeń. ≤ 48 godzin od stwierdzenia, umożliwiając Klientowi obowiązek z Art. 33 RODO.

6.6 Prawa podmiotów danych. Pomoc w realizacji praw z Art. 12–22 RODO oraz §1798.100 CCPA.

6.7 DPIA. Dostawca dostarcza informacje do oceny skutków (Art. 35) i konsultacji uprzednich (Art. 36).

6.8 Prawo audytu. Maks. raz na 12 mies., 30-dniowe uprzedzenie. Dostawca może przedstawić aktualne raporty kontroli wewnętrznych zgodnych z frameworkiem SOC 2 / ISO 27001; formalne raporty audytora zewnętrznego dostępne będą po zakończeniu okna audytowego planowanego na 2026.

6.9 Retencja. Logi inferencji AI — zero-retention. Po wypowiedzeniu — 30-dniowe okno eksportu.

6.10 DPO. dpo@legaion.com. Organ nadzorczy: Prezes UODO, ul. Stawki 2, 00-193 Warszawa.

7.1 Dostawca nie sprzedaje ani nie udostępnia Danych Osobowych w rozumieniu §1798.140(ad) i (ah) CCPA.

7.2 Przetwarzanie wyłącznie w celu wykonania umowy ze swoim Klientem-Business (§1798.140(ag) CCPA), bez profilowania ani własnej reklamy.

7.3 Klient może żądać usunięcia, sprostowania, wglądu — Dostawca zapewni mechanizmy techniczne.

7.4 Pomoc w odpowiedzi na consumer requests zgodnie z §1798.135 CCPA.

8.1 Program kontroli wewnętrznych dostosowany do SOC 2 Type II i ISO/IEC 27001:2022 oraz Art. 32 RODO. Formalna certyfikacja zaplanowana na 2026 (gap-assessment ukończony, audyt zewnętrzny w przygotowaniu). Klasyfikacja NIS2 — w trakcie oceny.

8.2 Środki techniczne i organizacyjne:

• szyfrowanie at-rest / in-transit: AES-256-GCM, TLS 1.3;
• end-to-end encryption dla Drive, Memory Vaults i War Room (SRTP);
• Row-Level Security na każdej tabeli z danymi Klienta; MFA wymuszone dla kont admin (enforcement dla kont użytkowników na roadmapie Q3 2026);
• monitoring aplikacji w godzinach roboczych + on-call rotation dla incydentów P1;
• pen-test zewnętrzny planowany Q3 2026 (raport pod NDA);
• vulnerability management — triage krytycznych ≤ 72h;
• cele BCDR: RPO ≤ 4h, RTO ≤ 8h (best-effort, niegwarantowane SLA);
• powiadomienie o naruszeniu danych ≤ 48h od stwierdzenia (zgodnie z DPA).

8.3 Personel z dostępem do danych podlega obowiązkowi poufności, background check oraz cyklicznym szkoleniom.

9.1 Verifier Engine, Sentinel, Bridge, Cross-Border Shield — systemy AI ograniczonego ryzyka z elementami wysokiego ryzyka; Klient otrzymuje informację o interakcji z AI, dokumentację techniczną i audit trail.

9.2 System zarządzania jakością (Art. 17), dokumentacja techniczna (Art. 11), rejestrowanie zdarzeń (Art. 12), nadzór ludzki (Art. 14), bezpieczeństwo (Art. 15).

9.3 Klient odpowiedzialny za nadzór ludzki. Wynik LEGAION nie jest decyzją prawną w rozumieniu Art. 22 RODO.

9.4 Dostawca nie wykorzystuje danych Klienta do trenowania modeli bez wyraźnej zgody w Order Form.

10.1 Brak świadczenia pomocy prawnej. LEGAION jest narzędziem technologicznym, nie kancelarią. Dostawca nie świadczy pomocy prawnej w rozumieniu ABA Model Rule 5.5, NY Judiciary Law §478, CA Business & Professions Code §6125, ustawy Prawo o adwokaturze (Dz. U. 2022 poz. 1184) ani ustawy o radcach prawnych (Dz. U. 2022 poz. 1166).

10.2 Hard Facts vs Derived Claims. Każdy Derived Claim musi zostać niezależnie zweryfikowany przez Klienta przed wykorzystaniem.

10.3 Jakość danych wejściowych. Klient odpowiada za kompletność, legalność i podstawy prawne przekazania danych.

10.4 Aktualność źródeł. Dostawca nie odpowiada za opóźnienia rejestrów zewnętrznych (ISAP, EUR-Lex, KRS, USPTO, SAOS).

10.5 Conflict of interest. Kontrola po stronie Klienta.

10.6 Tajemnica zawodowa. Klient potwierdza upoważnienie do przetwarzania informacji objętych tajemnicą adwokacką/radcowską/notarialną.

11.1 Każda Strona zachowa w poufności informacje drugiej Strony oznaczone jako Confidential Information.

11.2 Obowiązek trwa przez okres Umowy oraz 5 lat po jej zakończeniu (trade secrets — bezterminowo).

11.3 Wyjątki: publicznie znane (nie z winy odbiorcy), uzyskane od podmiotu trzeciego bez naruszenia, opracowane samodzielnie, ujawnienie wymagane prawem.

12.1 Platforma, modele AI, zgłoszenia patentowe UPRP obejmujące autorski silnik weryfikacji Dostawcy oraz powiązane moduły, a także dokumentacja — stanowią wyłączną własność Aidvocates, Inc.

12.2 Klient zachowuje pełnię praw do danych wejściowych i Customer Outputs.

12.3 Klient udziela Dostawcy ograniczonej licencji wyłącznie w celu świadczenia usługi.

12.4 Feedback i sugestie Klienta mogą być wykorzystywane przez Dostawcę bez ograniczeń.

13.1 Gwarancje Dostawcy: (a) Platforma świadczona zgodnie z dokumentacją; (b) wykwalifikowany personel; (c) prawo do udzielenia licencji.

13.2 Wyłączenie pozostałych gwarancji. Dostawca wyłącza wszelkie dorozumiane gwarancje (merchantability, fitness for a particular purpose, non-infringement) w maksymalnym zakresie dopuszczonym prawem.

13.3 No Legal Warranty. Dostawca nie gwarantuje wyniku procesu sądowego ani konkretnego rezultatu biznesowego.

14.1 Wyłączenie szkód pośrednich, następczych, utraty zysków, danych, reputacji (z wyjątkiem winy umyślnej / rażącego niedbalstwa).

14.2 Cap. Łączna odpowiedzialność w 12 miesiącach ≤ kwota opłat zapłaconych w 12 miesiącach poprzedzających.

14.3 Wyłączenia z capa: (a) naruszenie poufności; (b) naruszenie IP; (c) indemnification (Sekcja 15); (d) wina umyślna/rażące niedbalstwo; (e) odpowiedzialność wyłączyć której nie można (m.in. szkody na osobie, Art. 82 RODO).

14.4 Konsumenci. Sekcja nie ogranicza praw konsumentów (Dyrektywa 93/13/EWG, art. 385¹ k.c. i nast.).

15.1 Dostawca zwolni Klienta z roszczeń o naruszenie praw IP osób trzecich, pod warunkiem niezwłocznego zawiadomienia, wyłącznej kontroli obrony i współpracy.

15.2 Klient zwolni Dostawcę z roszczeń wynikających z: (a) niezgodnego z prawem wykorzystania, (b) naruszenia UPL po stronie Klienta, (c) niezgodności danych wejściowych.

15.3 Łączna kwota indemnification ograniczona limitem z 14.2 (z zastrzeżeniem 14.3).

16.1 Wyłączenie odpowiedzialności za zdarzenia siły wyższej: klęski żywiołowe, wojna, terroryzm, embarga, sankcje, strajki ogólnokrajowe, awarie sieci szkieletowej, ataki cybernetyczne state-sponsored, pandemie WHO/UE/RP, decyzje organów państwowych.

16.2 Strona dotknięta zawiadomi drugą i podejmie rozsądne starania o minimalizację skutków.

16.3 Trwanie > 60 dni uprawnia każdą Stronę do wypowiedzenia ze skutkiem natychmiastowym.

17.1 Klient nie znajduje się na listach OFAC, EU Consolidated, HMT UK, UN Security Council ani nie jest pod kontrolą podmiotu z takiej listy.

17.2 Brak wykorzystania w jurysdykcjach embargo (m.in. Iran, Korea Płn., Syria, Kuba, Krym, Ługańsk, Donieck) ani do celów objętych ograniczeniami eksportowymi.

17.3 Naruszenie uprawnia Dostawcę do natychmiastowego wypowiedzenia bez Service Credits.

18.1 Klasyfikacja incydentów:

18.2 Kanały wsparcia: Email support@aidvocates.com · Portal support.legaion.com · Hotline 24/7 (P1, plany Elite/Enterprise) — numer w Order Form.

18.3 Eskalacja: support → engineering → CTO/Head of Customer Success.

19.1 Wypowiedzenie z ważnej przyczyny ze skutkiem natychmiastowym, gdy: (a) istotne naruszenie nieusunięte w 30 dni; (b) upadłość/niewypłacalność; (c) utrata uprawnień regulacyjnych.

19.2 Skutki: utrata dostępu, 30-dniowe okno eksportu w JSON/CSV/PDF, następnie nieodwracalne usunięcie danych z poświadczeniem pisemnym.

19.3 Wypowiedzenie z winy Dostawcy — proporcjonalny zwrot opłaty.

20.1 Forma pisemna lub email z potwierdzeniem doręczenia. Adresy w Order Form.

20.2 Adresy Dostawcy:

• US: Aidvocates, Inc., 136 Madison Avenue, New York, NY 10016, attn.: Legal Department, legal@aidvocates.com.
• EU: Aidvocates Group sp. z o.o., ul. Hutnicza 6, 40-241 Katowice, legal@legaion.com.

21.1 USA i poza EOG. Prawo Delaware (USA), arbitraż AAA w Wilmington, Delaware, w języku angielskim, Commercial Arbitration Rules. Środki tymczasowe — sąd właściwy.

21.2 EOG. Prawo polskie, Sąd Arbitrażowy przy KIG w Warszawie, w języku polskim. Konsument zachowuje sąd właściwy dla miejsca zamieszkania.

21.3 Wyłączenie CISG.

22.1 Severability. Nieważność postanowienia nie wpływa na ważność pozostałych.

22.2 Entire Agreement. Umowa + DPA + Order Form + dokumenty referencyjne.

22.3 Kolejność pierwszeństwa: (1) DPA — ochrona danych, (2) Order Form, (3) SLA, (4) Regulamin, (5) inne.

22.4 Assignment. Klient — wymaga zgody Dostawcy (z wyjątkiem reorganizacji grupowej). Dostawca — może w ramach reorganizacji/fuzji/sprzedaży aktywów.

22.5 No Waiver. Niewykonanie prawa nie stanowi jego zrzeczenia.

22.6 Niezależni wykonawcy. Brak spółki, agencji, joint venture, zatrudnienia.

22.7 Zmiany. 60-dniowe wyprzedzenie. Zmiany niekorzystne — prawo do wypowiedzenia.

22.8 Beneficjenci osób trzecich. Brak (z wyjątkiem podmiotów danych z RODO/CCPA).

22.9 FAR/DFARS. SLA nie obejmuje świadczeń bezpośrednio dla rządu USA — wymagane odrębne porozumienie.