Kancelaria Kozłowski — Law & Compliance
Członek
KIRP Krajowa Izba Radców Prawnych
Compliance

Compliance, który działa w praktyce —
nie tylko w dokumentach.

Naszą siłą jest zespół — wykwalifikowani prawnicy specjalizujący się w prawie regulacyjnym UE, eksperci nowych technologii oraz najbardziej zaawansowane modele sztucznej inteligencji wspierające analizę i opracowanie dokumentacji. Ta synteza pozwala nam sprostać najbardziej wymagającym wyzwaniom prawnym z zachowaniem pełnej precyzji legislacyjnej.

Pracujemy z przedsiębiorcami i instytucjami z ponad 50 branż — od fintechów i sektora finansowego, przez ochronę zdrowia i administrację publiczną, po technologię i e-commerce. W każdej posiadamy udokumentowane doświadczenie regulacyjne.

Do każdego klienta podchodzimy indywidualnie. Każde wdrożenie poprzedza szczegółowa analiza potrzeb i ryzyka regulacyjnego — dopiero na tej podstawie projektujemy rozwiązania, które rzeczywiście służą organizacji w praktyce, a nie tylko spełniają minimum dokumentacyjne. Compliance ma chronić firmę i wspierać jej rozwój — nie wzbogacać szuflady.

Zapraszamy do zapoznania się ze szczegółami oferty oraz do kontaktu z naszym działem obsługi klienta.

Akt prawny
Rozporządzenie UE 2016/679 (GDPR) + ustawa o ochronie danych osobowych z 10.05.2018
Maksymalne kary
20 mln EUR lub 4% obrotu globalnego
Organ nadzoru
UODO — Prezes Urzędu Ochrony Danych Osobowych

Dlaczego to istotne dla Twojej firmy

Konsekwencje finansowe. Prezes UODO wymierzył w ostatnich latach kary sięgające 2,8 mln PLN (Morele.net), 1,1 mln PLN (ID Finance Poland), 4,9 mln PLN (Cyfrowy Polsat). Wartość kar systematycznie rośnie wraz z dojrzałością orzecznictwa europejskiego.

Integracja z innymi regulacjami. RODO nie funkcjonuje w izolacji — łączy się bezpośrednio z AI Act (art. 22 RODO o zautomatyzowanym podejmowaniu decyzji + Annex III AI Act dla systemów wysokiego ryzyka), z ustawą AML (kolizja terminów retencji: 3 lata RODO vs 5 lat AML), z NIS2 (incydent cyberbezpieczeństwa to równocześnie naruszenie ochrony danych) oraz z DSA i Data Act dla platform internetowych.

Dokumentacja szyta na miarę vs szablony rynkowe. Generyczne szablony nie rozróżniają podstaw prawnych dla sektora publicznego (art. 6 ust. 1 lit. e/c) od prywatnego (lit. f), nie uwzględniają specyfiki danych wrażliwych (art. 9), pomijają obowiązki podmiotu przetwarzającego (RCPD — art. 30 ust. 2). Pierwsza kontrola UODO ujawnia te luki i skutkuje wnioskami pokontrolnymi.

Jak weryfikuje organ nadzoru. UODO rozpoczyna kontrolę od weryfikacji rejestru czynności przetwarzania (art. 30) — czy istnieje, czy kompletny, czy aktualny. Następnie sprawdza klauzule informacyjne (art. 13-14), DPIA dla przetwarzania wysokiego ryzyka (art. 35), procedurę zgłaszania naruszeń (czy spełnia wymóg 72-godzinny art. 33 ust. 1), umowy powierzenia z dostawcami (art. 28). Brak któregokolwiek dokumentu = wniosek pokontrolny.

Nasza propozycja. Dokumentacja oparta na strukturalnej analizie działalności klienta z biblioteki 230+ ankiet branżowych. Sześć niezależnych poziomów weryfikacji przed oddaniem. Klauzula 12 miesięcy aktualizacji w cenie — automatyczne dostosowanie po każdej istotnej zmianie w orzecznictwie EROD lub UODO. Każdy dokument podpisany przez radcę prawnego z OC 10 mln PLN.

Najczęstsze błędy w dokumentacji rynkowej

  • Generyczne klauzule informacyjne przepisane z internetu — nieuwzględniające realnych celów przetwarzania, podstaw prawnych ani okresów retencji w danej firmie.
  • Polityka prywatności mylona z polityką ochrony danych — to dwa różne dokumenty (jeden zewnętrzny dla podmiotów danych, drugi wewnętrzny operacyjny).
  • Sektor publiczny na podstawie art. 6 ust. 1 lit. f — urząd gminy, szpital publiczny, szkoła nie mogą przetwarzać danych w oparciu o „uzasadniony interes". Wymagają lit. e lub lit. c.
  • DPIA wykonywana jednorazowo jako dokument do szuflady — zamiast jako proces wykonywany przed każdym nowym przetwarzaniem wysokiego ryzyka.
  • Procedura naruszeń bez 72-godzinnego terminu dla UODO — terminy reagowania niezgodne z art. 33 ust. 1 RODO.
  • Brak rejestru kategorii przetwarzania (RCPD) dla podmiotu przetwarzającego — biuro rachunkowe, agencja marketingowa, dostawca SaaS muszą prowadzić osobny rejestr na podstawie art. 30 ust. 2.

Co zawiera nasz pakiet RODO

17 dokumentów przygotowanych przez prawników, walidowanych przez sześć poziomów kontroli, podpisanych przez radcę prawnego z OC 10 mln PLN. Wszystkie dostosowane do specyfiki branżowej klienta na podstawie ankiety diagnostycznej.

01
Polityka ochrony danych osobowychWewnętrzny dokument operacyjny — cele, podstawy prawne, struktura odpowiedzialności, środki techniczne i organizacyjne.
02
Polityka prywatności (zewnętrzna)Dla klientów / pracowników / kontrahentów. Zgodna z art. 13 i 14 RODO, dostosowana do kanałów kontaktu firmy.
03
Rejestr czynności przetwarzania (RCP)Wymagany przez art. 30 ust. 1 dla administratora — wraz z mapą procesów.
04
Rejestr kategorii przetwarzania (RCPD)Dla podmiotów przetwarzających — art. 30 ust. 2.
05
Ocena skutków DPIAWzorzec wykonawczy zgodny z art. 35 RODO i wytycznymi WP248.
06
Klauzule informacyjne (komplet)Dla klientów, pracowników, kandydatów, kontrahentów, użytkowników strony.
07
Klauzule zgodyMarketing, profilowanie, cookies, dane wrażliwe (art. 9). Zgodne z wytycznymi EROD.
08
Umowa powierzenia (DPA)Wzorzec art. 28 RODO. Zgodny z najnowszymi SCC Komisji 2021/914.
09
Procedura realizacji praw osóbDostęp, sprostowanie, usunięcie, sprzeciw, przenoszenie — z terminami art. 12.
10
Procedura zgłaszania naruszeń (72h)Z formularzem do UODO i szablonem informacji dla osób (art. 33-34).
11
Polityka cookies + mechanizm zgódZgodna z ePrivacy + RODO + EROD 3/2022.
12
Polityka transferów (TIA)Transfer Impact Assessment — analiza krajów trzecich (Schrems II).
13
Polityka pseudonimizacjiŚrodki techniczne wymagane przez art. 32. Audytowalna w przypadku kontroli.
14
Procedura retencji danychTabela retencji per kategoria — z rozróżnieniem ról.
15
Procedura DPO / IODPowołanie, kompetencje, raportowanie, niezależność.
16
Lista kontrolna dla junioraKrok-po-kroku — co zrobić, jakie dowody zebrać, kiedy eskalować.
17
Brief dla IODMapa działania — uprawnienia, obowiązki, kalendarz audytów.

Specyficzne elementy dla różnych branż

E-commerce i marketing

Klauzule cookies pod ePrivacy + EROD 3/2022, polityka programu lojalnościowego, mechanizm zgód marketingowych, procedura wycieku danych klientów (jak Morele.net — 2,8 mln PLN).

Sektor publiczny

Podstawy z art. 6 ust. 1 lit. e i c (z wykluczeniem lit. f). JRWA i art. 17 RODO. Klauzule dla petentów. EZD PUW/RP. Monitoring szkolny art. 108a Prawa oświatowego.

Biura rachunkowe

RCPD obowiązkowy art. 30 ust. 2. Zestaw umów DPA z mocodawcami. Audyt dostępu, zasada minimalizacji w dostępie pracowników.

Sektor medyczny

Art. 9 RODO (dane wrażliwe), DPIA dla EHR, dokumentacja medyczna a art. 17. Powierzenie laboratoriom diagnostycznym.

HR i rekrutacja (z AI)

Rozróżnienie podstaw dla pracowników (art. 6 lit. b/c/f), CV i dane kandydatów, monitoring (art. 22³ KP), narzędzia AI (delineacja z AI Act Annex III pkt 4).

Fintech, banki, KIP, EMI

RODO obok PSD2 i AML. Rejestry transakcji a retencja, monitoring antyfraudowy a profilowanie (art. 22). KYC a minimalizacja. BIK i KRD.

Akt prawny
Ustawa o przeciwdziałaniu praniu pieniędzy z 01.03.2018 + Dyrektywy AMLD4/5/6 + projekt AMLR/AMLA
Maksymalne kary
5 mln EUR + sankcje karne (do 8 lat)
Organ nadzoru
GIIF — Generalny Inspektor Informacji Finansowej

Dlaczego to istotne dla Twojej firmy

Konsekwencje finansowe i karne. Ustawa AML przewiduje kary administracyjne do 5 mln EUR oraz odpowiedzialność karną MLRO i członków zarządu (do 8 lat pozbawienia wolności za zaniechanie zgłoszenia STR). Raport MONEYVAL ze stycznia 2026 roku wskazał luki w polskim systemie — KNF i GIIF zaostrzyły nadzór, liczba kontroli rośnie kwartalnie.

Integracja z innymi regulacjami. AML ma pierwszeństwo nad RODO w zakresie retencji danych klientów (5 lat zgodnie z art. 49 ustawy AML vs 3 lata RODO). Ściśle łączy się z PSD2 (monitorowanie transakcji płatniczych pod kątem prania pieniędzy), z MiCA (Travel Rule dla CASP — Rozporządzenie UE 2023/1113), z sankcjami międzynarodowymi (lista OFAC, UE, ONZ). Pakiet UE AML (AMLR + AMLA) wchodzi 10.07.2027 — zmieni krajobraz nadzoru.

Dokumentacja szyta na miarę vs szablony. Bank, biuro rachunkowe i pośrednik nieruchomości to trzy zupełnie różne profile ryzyka. BWRA (Business-Wide Risk Assessment) musi odzwierciedlać kanały dystrybucji, geografię klientów, rodzaje produktów. Generyczne szablony nie rozróżniają CDD od EDD, pomijają wzmocnione środki dla PEP-ów, nie odwołują się do polskiego portalu STR i formatu XML wymaganego przez GIIF.

Jak weryfikuje organ nadzoru. KNF i GIIF kontrolują w pierwszej kolejności BWRA (czy istnieje, czy aktualizowany cyklicznie), procedurę KYC/CDD (czy weryfikacja tożsamości obejmuje beneficjenta rzeczywistego z CRBR), monitorowanie transakcji (jakie reguły, jakie progi, jak dokumentowane), STR-y wysłane do GIIF (jakość raportów, kompletność danych), niezależność MLRO (czy podlega zarządowi czy departamentowi prawnemu).

Nasza propozycja. Dokumentacja AML/CFT zgodna z polską ustawą o przeciwdziałaniu praniu pieniędzy + dyrektywami AMLD4/5/6 + przygotowana pod nadchodzący pakiet UE AML (AMLR + AMLA). Procedura STR z szablonem XML do GIIF, BWRA dostosowane do branży klienta z biblioteki 230+ ankiet, integracja z polskimi dostawcami KYC (IDENTT, Autenti). Sześć poziomów weryfikacji + podpis radcy z OC 10 mln PLN.

Najczęstsze błędy w dokumentacji rynkowej

  • STR mylone z zawiadomieniem o przestępstwie — STR składamy do GIIF w XML, zawiadomienie do prokuratury / policji. Inne dokumenty, inni odbiorcy.
  • Brak BWRA (Business-Wide Risk Assessment) — instytucja obowiązana musi udokumentować ocenę ryzyka prania pieniędzy w swoim modelu biznesowym.
  • Procedura KYC bez rozróżnienia CDD / EDD / SDD — środki wzmocnione (EDD) dla PEP, państw podwyższonego ryzyka, transakcji okazjonalnych.
  • Beneficjent rzeczywisty bez weryfikacji w CRBR — dane z KRS to nie wystarczy. Wymagana weryfikacja w Centralnym Rejestrze Beneficjentów.
  • Brak monitoringu transakcji okresowego — KYC wykonane raz przy onboardingu nie spełnia wymogów art. 34 ustawy.
  • MLRO bez instrukcji eskalacji — kto, kiedy, jak składa STR. Brak procedury skutkuje brakami w pierwszym audycie GIIF.

Co zawiera nasz pakiet AML

17 dokumentów spełniających wymagania ustawy o przeciwdziałaniu praniu pieniędzy + Dyrektywy AMLD oraz przygotowanych pod nadchodzący pakiet UE AML (AMLR + AMLA).

01
Polityka AML/CFTGłówna polityka instytucji obowiązanej — zakres, role, środki kontroli.
02
BWRA — ocena ryzyka instytucjiObowiązkowa art. 27. Mapa kanałów, produktów, kontrahentów, geografii.
03
Procedura KYC / CDDIdentyfikacja klienta, weryfikacja, beneficjent rzeczywisty, cel relacji.
04
Procedura EDD (wzmocniona)PEP, państwa wysokiego ryzyka, transakcje okazjonalne >10 000 EUR.
05
Procedura SDD (uproszczona)Art. 42 — niskie ryzyko, kanały zaufane, ograniczone środki.
06
Monitoring transakcjiReguły systemowe, scenariusze, progi alertów, dokumentacja procesu.
07
Procedura STR do GIIFZgłoszenia podejrzanych transakcji w formacie XML — szablon + instrukcja techniczna.
08
Procedura sankcyjnaSprawdzanie list sankcyjnych ONZ, UE, USA OFAC, KE. Dokumentacja zamrożenia środków.
09
Rejestr beneficjentów rzeczywistychProcedura weryfikacji w CRBR + ścieżka rozbieżności art. 61 a.
10
Polityka szkoleń AMLPlan szkoleń per stanowisko, częstotliwość, certyfikaty ukończenia.
11
Procedura MLROPowołanie, niezależność, raportowanie do zarządu, kompetencje.
12
Polityka retencji AML5 lat — zgodnie z ustawą. Konflikty z RODO (3 lata) rozstrzygnięte na rzecz AML.
13
Procedura raportowania okresowego do GIIFZgłoszenia transakcji ponadprogowych i przekazów spoza UE.
14
Procedura kontroli wewnętrznej AMLAudyt funkcji AML — niezależność, częstotliwość, raporty zarządu.
15
Kodeks etyczny + whistleblowingKanał zgłaszania nieprawidłowości — anonimowy, chroniony.
16
Lista kontrolna dla junioraOnboarding klienta, KYC krok-po-kroku, kiedy eskalować do MLRO.
17
Brief dla MLROMapa działania, raporty zarządu, komunikacja z GIIF.

Specyficzne elementy dla różnych branż

Banki i KIP / EMI

Pełna dokumentacja AML pod nadzór KNF + GIIF. Monitoring real-time, scenariusze fraudowe, rejestr SAR. Przygotowanie do raportowania pod AMLA.

Biura rachunkowe i kancelarie

Specyficzne KYC dla profesjonalnych pełnomocników (art. 2 ust. 1 pkt 13 — czynności objęte AML). BWRA dostosowany do skali biura.

Pośrednicy nieruchomości

KYC dla transakcji >10 000 EUR (gotówka). Rejestr nabywców zagranicznych. Powiązanie z sankcjami UE wobec Rosji / Białorusi.

CASP — giełdy kryptowalut

Travel Rule (Rozp. UE 2023/1113), KYC dla wymian, monitoring on-chain, rejestr transferów >1 000 EUR.

Kantory wymiany walut

Rejestracja kursów, transakcje gotówkowe, monitoring pod kątem sztucznego rozdrabniania (smurfing).

Domy aukcyjne, dealerzy aut

Transakcje >10 000 EUR, identyfikacja kupującego, weryfikacja źródła środków przy wysokowartościowych nabyciach.

Akt prawny
Rozporządzenie UE 2024/1689 (AI Act)
Maksymalne kary
35 mln EUR lub 7% obrotu globalnego
Organ nadzoru w PL
Obecnie UODO; docelowo KRiBSI (projekt RM 31.03.2026)

Dlaczego to istotne dla Twojej firmy

Konsekwencje finansowe. AI Act przewiduje najwyższe kary w dotychczasowym prawie regulacyjnym UE — do 35 mln EUR lub 7% globalnego obrotu rocznego (wyższy z wartości). Zakazane praktyki AI obowiązują od 02.02.2025, systemy wysokiego ryzyka z Annex III — od 02.08.2026. To pierwszy taki akt prawny — brak ugruntowanego orzecznictwa oznacza dla pierwszych ukaranych firm rolę precedensu.

Integracja z innymi regulacjami. AI Act nakłada obowiązki niezależnie od RODO, ale w wielu obszarach z nim się przeplata — system AI używany do zautomatyzowanego podejmowania decyzji wymaga jednocześnie zgodności z art. 22 RODO i Annex III AI Act. Modele AI w fintech podlegają również DORA (jako system ICT). Diagnostyka AI w medycynie — dodatkowo MDR/IVDR. Rekrutacja z AI — przepisom Kodeksu pracy o monitorowaniu pracowników (art. 22³).

Dokumentacja szyta na miarę vs szablony. Klasyfikacja ryzyka systemu AI (zakazany / wysokiego / ograniczonego / minimalnego ryzyka) wymaga indywidualnej analizy zgodnie z załącznikami II i III. Inne obowiązki ma provider (twórca modelu), inne deployer (firma używająca AI). FRIA — ocena wpływu na prawa podstawowe — musi być wykonana per system, nie ogólnie dla firmy. AI Literacy (art. 4) wymaga programów szkoleniowych dostosowanych do roli pracownika.

Jak weryfikuje organ nadzoru. Do uchwalenia polskiej ustawy o systemach AI nadzór sprawuje UODO (na podstawie art. 58 RODO). Docelowo — Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji (KRiBSI), projekt Rady Ministrów z 31.03.2026. Pierwsze pytania kontrolne: rejestr systemów AI używanych w firmie (czy istnieje, kompletność), klasyfikacja ryzyka każdego systemu, FRIA dla systemów wysokiego ryzyka, plan AI Literacy.

Nasza propozycja. Dokumentacja AI Act zgodna z Rozporządzeniem UE 2024/1689 + przygotowana pod polską ustawę o systemach AI. Klauzula warunkowa KRiBSI w dokumentacji — gotowa na uchwalenie polskiej ustawy bez konieczności przebudowy. Pełen timeline 4 dat wejścia w życie wbudowany w dokumenty (klient nie musi sam śledzić zmian). Rozróżnienie ról providera i deployera, indywidualna FRIA per system z biblioteki 230+ ankiet.

Najczęstsze błędy w dokumentacji rynkowej

  • Brak rejestru systemów AI — firma nie wie, jakie systemy AI używa. Kontrola UODO pyta o listę pierwszą.
  • Mylenie ról providera i deployera — różne obowiązki, różne dokumenty. Większość firm jest deployerem (używa AI), nieliczne providerem (tworzy modele).
  • FRIA wykonywana raz dla całej firmy — Fundamental Rights Impact Assessment musi być per system AI wysokiego ryzyka.
  • AI Literacy (art. 4) traktowana jako szkolenie BHP — musi być dostosowana do roli, dokumentowana, weryfikowana.
  • Brak delineacji AI Act vs RODO — profilowanie pod art. 22 RODO + system AI wysokiego ryzyka pod AI Act = dwie warstwy obowiązków.
  • Klasyfikacja ryzyka systemu AI „na oko" — bez analizy załączników II i III. Annex III pkt 1-8 określa, co jest „wysokim ryzykiem".

Co zawiera nasz pakiet AI Act

17 dokumentów obejmujących pełny timeline 4 dat wejścia w życie + warunkowe klauzule dla nadchodzącego polskiego organu nadzoru (KRiBSI).

01
Polityka AI GovernanceGłówna polityka — zakres, role, ryzyka, środki kontroli.
02
Rejestr systemów AIWykaz systemów + klasyfikacja ryzyka (zakazane / wysokie / ograniczone / minimalne).
03
Klasyfikacja ryzyka systemuWzorzec analizy zgodnej z Annex III + załącznikiem I.
04
FRIA — ocena wpływu na prawa podstawoweWymagana art. 27 dla systemów wysokiego ryzyka.
05
Plan AI LiteracyProgram szkoleń — różne poziomy dla zarządu / managerów / użytkowników (art. 4).
06
Procedura monitorowania post-marketArt. 72 — śledzenie incydentów, drift modelu, performance.
07
Polityka transparentności (art. 50)Informowanie użytkowników o kontakcie z AI (chatboty, deepfake).
08
Umowa z dostawcą AI (vendor AI)Klauzule odpowiedzialności, audyt, dane treningowe, IP.
09
Polityka human oversightWymagana art. 14 — nadzór człowieka, możliwość przerwania.
10
Procedura zarządzania incydentami AIArt. 73 — zgłoszenia poważnych incydentów do nadzoru.
11
Polityka danych treningowychPochodzenie, jakość, reprezentatywność, bias-mitigation (art. 10).
12
Dokumentacja techniczna (Annex IV)Dla providerów — wymagana art. 11.
13
Procedura oceny zgodnościArt. 43 — self-assessment lub notified body w zależności od ryzyka.
14
Klauzule informacyjne dla użytkownikówMapa interakcji z AI (zgodność z RODO art. 13/14).
15
Procedura AI OfficerPowołanie, kompetencje, raportowanie do zarządu.
16
Lista kontrolna dla junioraKrok-po-kroku — onboarding nowego systemu AI.
17
Brief dla AI OfficeraMapa kompetencji, harmonogram audytów, kalendarz szkoleń AI Literacy.

Specyficzne elementy dla różnych branż

HR i rekrutacja z AI

Annex III pkt 4 — systemy preselekcji CV, ocena pracowników to wysokie ryzyko. Pełna FRIA + transparentność wobec kandydatów.

Fintech — scoring kredytowy

Annex III pkt 5 — credit scoring to wysokie ryzyko. Cross z art. 22 RODO (zautomatyzowane decyzje).

Sektor medyczny

Annex III pkt 5 + Annex I (medical devices). Diagnostyka AI = wysokie ryzyko + MDR/IVDR.

Edukacja i edtech

Annex III pkt 3 — systemy oceniania uczniów, przyznawania miejsc na studia.

Marketing i profilowanie

Chatboty (art. 50), deepfake oznaczanie, polityka generative AI w treściach.

Dostawcy GPAI (modeli ogólnego zastosowania)

Art. 52a-52e — pełna dokumentacja techniczna, ocena ryzyka systemowego (powyżej progu mocy obliczeniowej).

Akt prawny
Rozporządzenie UE 2022/2554 + RTS / ITS 2024-2025
Maksymalne kary
1% obrotu dziennego za każdy dzień niezgodności + cofnięcie licencji
Organ nadzoru
KNF + EBA / EIOPA / ESMA dla nadzorowanych

Dlaczego to istotne dla Twojej firmy

Konsekwencje finansowe i licencyjne. DORA przewiduje karę do 1% obrotu DZIENNEGO za każdy dzień niezgodności — to bezprecedensowa skala sankcji w prawie regulacyjnym UE. Dla podmiotu finansowego o rocznym obrocie 100 mln PLN dzienna kara może osiągnąć 274 tys. PLN. Dodatkowo KNF może cofnąć lub zawiesić licencję — w sektorze finansowym oznacza to faktyczne zakończenie działalności.

Integracja z innymi regulacjami. DORA jest lex specialis dla sektora finansowego — wyłącza zastosowanie NIS2 (z wyjątkiem CTPP — krytycznych zewnętrznych dostawców ICT). Łączy się z PSD2 (incydenty płatnicze podlegają RTS art. 96, ale incydenty ICT — DORA), z MiFID II (wymogi governance ICT), z Solvency II dla ubezpieczycieli, z rozporządzeniem MiCA dla CASP. Każdy podmiot finansowy podlega DORA niezależnie od skali — różnią się obowiązki (DORA-large vs DORA-light dla microenterprises art. 16).

Dokumentacja szyta na miarę vs szablony. Bank inwestycyjny, KIP, fundusz inwestycyjny i dom maklerski mają zupełnie różne profile ryzyka ICT. Polityka zarządzania ryzykiem ICT (art. 6-15 DORA) musi być dostosowana do skali i typu podmiotu. RTO/RPO dla systemów płatniczych jest restrykcyjniejsze niż dla pozostałych. Register of Information — roczne raportowanie wszystkich umów ICT do KNF/EBA — wymaga klasyfikacji krytycznych dostawców (CTPP) zgodnie z RTS uzupełniającym.

Jak weryfikuje organ nadzoru. KNF kontroluje DORA przez portal SOID (csirt.knf.gov.pl) — zaczyna od weryfikacji raportów incydentów (czy zgłaszane zgodnie z eskalacją 4h/24h/72h/1 mies., zgodnie z ITS 2024), Register of Information (kompletność, aktualność, kategoryzacja dostawców), strategii wyjścia z outsourcingu (art. 28 ust. 8 — aktualizacja roczna), TLPT (Threat-Led Penetration Testing) dla DORA-large.

Nasza propozycja. Dokumentacja DORA z rozróżnieniem pełnego reżimu od DORA-light, z wbudowanym Register of Information jako gotowym szablonem dla raportowania rocznego, z klauzulami umownymi z dostawcami ICT zgodnymi z art. 30 DORA (audyt, exit, subcontracting, lokalizacja danych). Współpraca z polskimi dostawcami GRC (BCMLogic, Red Into Green) dla operacjonalizacji. Sześć poziomów weryfikacji + podpis radcy z OC 10 mln PLN.

Najczęstsze błędy w dokumentacji rynkowej

  • Mylenie pełnego DORA z DORA-light — małe podmioty (microenterprises art. 16) mają uproszczony reżim. Większość konsultantów stosuje pełen DORA dla wszystkich.
  • Brak Register of Information — roczne raportowanie do KNF/EBA o wszystkich umowach z dostawcami ICT.
  • Procedura incydentów bez czterech progów — DORA wymaga 4h / 24h / 72h / 1 mies. Większość szablonów ma tylko 72h jak RODO.
  • Plany ciągłości bez TLPT — Threat-Led Penetration Testing dla DORA-large to obowiązek, nie opcja.
  • Strategia wyjścia z outsourcingu — jednorazowa — art. 28 wymaga aktualizacji co najmniej raz w roku.
  • Klasyfikacja krytycznych dostawców ICT (CTPP) bez analizy — kryteria art. 31 DORA i RTS uzupełniającego.

Co zawiera nasz pakiet DORA

17 dokumentów spełniających pełen reżim DORA + RTS/ITS 2024-2025 + przygotowanie do TLPT (dla DORA-large) i raportowania Register of Information.

01
ICT Risk Management FrameworkPolityka zarządzania ryzykiem ICT — art. 6-15 DORA.
02
Klasyfikacja podmiotu (DORA / DORA-light)Analiza progów art. 16 — uproszczony reżim dla microenterprises.
03
Strategia ciągłości działania (BCP)Art. 11 — RTO, RPO, scenariusze awaryjne.
04
Plan odtwarzania po awarii (DRP)Wzorzec wdrożeniowy, harmonogram testów.
05
Procedura incydentów ICT (4h/24h/72h/1m)Klasyfikacja, raportowanie do KNF przez SOID, eskalacja czterostopniowa.
06
Register of Information (RoI)Roczne raportowanie do KNF/EBA — wszystkie umowy z dostawcami ICT.
07
Polityka zarządzania dostawcami ICTKlasyfikacja krytycznych (CTPP), due diligence, monitoring.
08
Wzorzec umowy z dostawcą ICTKlauzule audytu, exit, subcontracting, lokalizacja danych — art. 30.
09
Strategia wyjścia z outsourcinguAktualizacja roczna — art. 28 ust. 8.
10
Plan testów odporności (TLPT)Threat-Led Penetration Testing dla DORA-large — co 3 lata.
11
Polityka kontroli dostępu i tożsamościIAM, MFA, segregacja środowisk, klucze kryptograficzne.
12
Procedura wymiany informacji o zagrożeniachThreat intelligence sharing — art. 45.
13
Polityka świadomości cyber w organizacjiPlan szkoleń per stanowisko, częstotliwość, certyfikaty.
14
Polityka kryptografii i ochrony danychStandardy szyfrowania, rotacja kluczy, ochrona danych w tranzycie i spoczynku.
15
Procedura ICT Risk ManagerPowołanie, niezależność, raportowanie do zarządu i KNF.
16
Lista kontrolna dla junioraOnboarding nowego systemu ICT, due diligence dostawcy, eskalacja.
17
Brief dla ICT Risk ManageraMapa kompetencji, harmonogram audytów, raporty zarządu.

Specyficzne elementy dla różnych branż

Banki i kasy

Pełen reżim DORA + TLPT obowiązkowe (banki o istotnym znaczeniu). Cross z Wytycznymi EBA o outsourcingu.

KIP / EMI / MIP

DORA + PSD2 RTS art. 96 (incydenty płatnicze). Macierz raportowania KNF — dwa różne kanały.

Firmy ubezpieczeniowe

DORA + Solvency II governance ICT. EIOPA Wytyczne. Roczne raportowanie do KNF.

Fundusze inwestycyjne, TFI

DORA + Wytyczne ESMA. Outsourcing administracyjny pod nadzorem.

Domy maklerskie, giełdy

DORA + MiFID II. Specyficzne wymogi pre-trade i post-trade. Real-time monitoring.

Mikro-podmioty (DORA-light)

Uproszczony reżim — art. 16. Brak TLPT, prostsza polityka, ograniczone raportowanie.

Akt prawny
Dyrektywa UE 2022/2555 + polska ustawa UKSC (Dz.U. 2026 poz. 252)
Maksymalne kary
10 mln EUR lub 2% obrotu globalnego
Organ nadzoru
Ministerstwo Cyfryzacji + CSIRT NASK / GOV / MON

Dlaczego to istotne dla Twojej firmy

Konsekwencje finansowe i osobiste. NIS2 przewiduje kary do 10 mln EUR lub 2% globalnego obrotu rocznego dla podmiotów essential, do 7 mln EUR lub 1,4% obrotu dla important. Po raz pierwszy w prawie regulacyjnym UE wprowadzono osobistą odpowiedzialność członków zarządu (art. 32) — sankcje mogą obejmować zakaz pełnienia funkcji kierowniczych. Polska ustawa UKSC po nowelizacji 23.01.2026 (Dz.U. 2026 poz. 252) wymaga samoidentyfikacji do 03.10.2026 — bez czekania na pismo z urzędu.

Integracja z innymi regulacjami. NIS2 nie obejmuje sektora finansowego (DORA jako lex specialis), ale wymaga koordynacji w CTPP — krytycznych zewnętrznych dostawcach ICT. Łączy się z RODO (incydent cyberbezpieczeństwa może równocześnie naruszać ochronę danych — dwa zgłoszenia do dwóch organów), z CER 2022/2557 (krytyczne podmioty 11 sektorów), z DSA dla bardzo dużych platform (VLOP), z CRA 2024/2847 dla producentów IoT.

Dokumentacja szyta na miarę vs szablony. 18 sektorów objętych NIS2 ma fundamentalnie różne profile ryzyka cybernetycznego — energetyka i wodociągi (infrastruktura krytyczna), ochrona zdrowia (dane wrażliwe + ciągłość), administracja publiczna (specjalny tryb koordynacji z CSIRT NASK), telekomunikacja (cross z UKE). Polityka cyberbezpieczeństwa musi obejmować 10 obszarów art. 21 (analiza ryzyka, obsługa incydentów, ciągłość, supply chain, kryptografia, MFA, szkolenia, kontrola dostępu, polityka HR, oceny skuteczności).

Jak weryfikuje organ nadzoru. Ministerstwo Cyfryzacji prowadzi rejestr podmiotów (od 13.04.2026), trzy CSIRT-y krajowe (NASK, GOV/ABW, MON) odbierają zgłoszenia incydentów przez system S46 w trzech progach (24h wstępne, 72h pośrednie, 1 mies. końcowe). Pierwsze pytania kontrolne: rejestr (czy się samoidentyfikowano do 03.10.2026?), polityka cyber 10 obszarów art. 21 (kompletność), supply chain security (lista dostawców cyber, ich procesy), procedura incydentów (czy spełnia trzy progi).

Nasza propozycja. Dokumentacja NIS2 zgodna z Dyrektywą UE 2022/2555 + polską ustawą UKSC po nowelizacji 23.01.2026. Samoidentyfikacja jako pierwszy ruch — analiza essential/important, rejestracja w rejestrze MC. Trzy procedury incydentów dostosowane do trzech CSIRT-ów (NASK/GOV/MON) z szablonami zgłoszeń S46. Polityka cyber pokrywająca wszystkie 10 obszarów art. 21. Sześć poziomów weryfikacji + podpis radcy z OC 10 mln PLN.

Najczęstsze błędy w dokumentacji rynkowej

  • Czekanie na pismo z urzędu — NIS2 wymaga samoidentyfikacji. Firma sama musi ocenić, czy podlega pod dyrektywę. Bez pisma. Termin: do 03.10.2026.
  • Brak klasyfikacji essential vs important — Annex I (essential) i Annex II (important) mają różne progi sankcji i wymagań.
  • Procedura incydentów bez 24/72/1m — NIS2 wymaga 24h wstępne, 72h pośrednie, 1 mies. końcowe. Trzy raporty, nie jeden.
  • Brak rejestracji w rejestrze MC — obowiązkowa do 03.10.2026 + roczne aktualizacje.
  • Supply chain security pominięte — art. 21 ust. 2 lit. d wymaga dokumentacji dostawców i ich procesów cyber.
  • Polityka cyber bez 10 obszarów art. 21 — analiza ryzyka, obsługa incydentów, ciągłość, łańcuch dostaw, kryptografia, MFA, szkolenia, kontrola dostępu, polityka HR, oceny skuteczności.

Co zawiera nasz pakiet NIS2

17 dokumentów spełniających dyrektywę NIS2 + polską ustawę UKSC po nowelizacji 23.01.2026 + raportowanie przez system S46.

01
Polityka cyberbezpieczeństwa10 obszarów art. 21 NIS2 — analiza ryzyka, obsługa incydentów, ciągłość, supply chain.
02
Samoidentyfikacja essential / importantAnaliza Annex I i Annex II + progi (50+ pracowników lub >10 mln EUR obrotu).
03
Rejestracja w MC (rejestr Ministra Cyfryzacji)Procedura zgłoszenia + dane do rejestru — do 03.10.2026.
04
Procedura incydentów (24h / 72h / 1m)Trzy progi raportowania do CSIRT NASK / GOV / MON przez system S46.
05
Plan ciągłości działania (BCP)RTO, RPO, scenariusze awaryjne, harmonogram testów.
06
Plan odtwarzania (DRP)Wzorzec wdrożeniowy + dokumentacja testów rocznych.
07
Polityka supply chain securityArt. 21 ust. 2 lit. d — due diligence dostawców cyber.
08
Polityka kontroli dostępuMFA obowiązkowe, segregacja środowisk, role i uprawnienia.
09
Polityka kryptografiiStandardy, rotacja kluczy, ochrona danych w tranzycie i spoczynku.
10
Polityka backupu i archiwizacji3-2-1 backup, testowanie odtwarzania, dziennik testów.
11
Plan szkoleń cyberPer stanowisko — zarząd, IT, użytkownicy. Symulacje phishingu.
12
Polityka oceny skutecznościWskaźniki KPI cyber, audyty wewnętrzne, raporty zarządu.
13
Procedura zarządzania podatnościamiVulnerability management, patch management, harmonogram skanów.
14
Procedura logowania i monitoringuCentralne SIEM, korelacja zdarzeń, retencja logów.
15
Procedura CISO / Inspektora CyberPowołanie, kompetencje, raportowanie, niezależność.
16
Lista kontrolna dla junioraOnboarding nowego systemu, ocena ryzyka, eskalacja do CISO.
17
Brief dla CISOMapa kompetencji, kalendarz audytów, raporty kwartalne dla zarządu.

Specyficzne elementy dla różnych branż

Energetyka, woda, transport

Annex I (essential). Pełen reżim, audyty co 2 lata, raporty KGB. Specyficzne wymogi sektorowe (NC RfG dla energetyki).

Ochrona zdrowia, farmacja

Annex I. Cross z NIS2 + RODO art. 9 (dane medyczne) + AI Act (diagnostyka).

Administracja publiczna, gminy

Annex I. Specyficzny tryb dla JST — koordynacja z CSIRT NASK + standardy MC.

Telekomunikacja

Annex I + Prawo telekomunikacyjne. Cross z UKE. Incident reporting do dwóch organów.

Dostawcy ICT i chmury, SaaS, marketplace

Annex II (important). Supply chain dla swoich klientów + własne wymagania.

Edukacja publiczna (wyższa)

Annex I. Specyficzne dla uczelni — sieci akademickie, badania.

Akt prawny
Dyrektywa PSD2 + EMD2 + Rozp. MiCA + ustawa o usługach płatniczych
Maksymalne kary
5 mln EUR + cofnięcie licencji KNF
Organ nadzoru
KNF — Komisja Nadzoru Finansowego

Dlaczego to istotne dla Twojej firmy

Konsekwencje finansowe i licencyjne. Ustawa o usługach płatniczych przewiduje kary do 5 mln EUR oraz cofnięcie lub zawieszenie licencji KNF — co dla KIP, EMI lub MIP oznacza zatrzymanie działalności. Najgłośniejszy precedens to kara 1,8 mln EUR dla ZEN.COM w grudniu 2025 za braki w safeguardingu środków klientów. Spółka musiała wdrożyć cały plan naprawczy pod nadzorem KNF.

Integracja z innymi regulacjami. PSD2/EMD2 łączy się z DORA (incydent ICT vs incydent płatniczy — dwa różne kanały raportowania, ten sam atak DDoS może wymagać zgłoszeń do dwóch organów), z AML (KYC dla płatności — środki wzmocnione dla PEP, monitoring sankcyjny), z RODO (przetwarzanie danych transakcji + profilowanie antyfraudowe pod art. 22), z MiCA dla CASP (Travel Rule, kapitał regulacyjny). Pakiet PSD3/PSR ma wejść w Q3 2026 — wymaga wcześniejszej przygotowanej.

Dokumentacja szyta na miarę vs szablony. 7 typów firm płatniczych (KIP, EMI, MIP, BUP, AISP, PISP, CASP) ma fundamentalnie różne wymagania kapitałowe, safeguardingowe i operacyjne. Trzy modele safeguardingu (segregacja na osobnym koncie / polisa ubezpieczeniowa / gwarancja bankowa) — wybór musi być uzasadniony pod KNF. Procedura SCA (RTS 2018/389) wymaga znajomości wyjątków (kwoty ≤30 EUR, zaufani odbiorcy, transakcje cykliczne) — szablony nie uwzględniają specyfiki firmy.

Jak weryfikuje organ nadzoru. KNF kontroluje przez portal raportowy płatniczy — pierwsze pytania: model safeguardingu (który wybrany, dlaczego, czy uzasadnienie pod typ podmiotu), procedura reconciliation (codzienna ewidencja środków klientów), procedura skarg (art. 101 PSD2 — odpowiedź w 15 dni roboczych, rejestr skarg, statystyki kwartalne), incydenty płatnicze (RTS art. 96 — 4h/3 dni/2 tyg.). Kontrola obejmuje również Compliance Officera ds. safeguardingu (powołanie, niezależność, raportowanie).

Nasza propozycja. Dokumentacja PSD2/EMD2 zgodna z ustawą o usługach płatniczych + Dyrektywami PSD2/EMD2 + RTS 2018/389 (SCA) + przygotowana pod PSD3/PSR (~Q3 2026). Trzy modele safeguardingu w szablonach (klient wybiera, my dostarczamy operacyjną dokumentację). Resolution Pack jako gotowy plan na wypadek niewypłacalności (zwrot środków klientom — case ZEN.COM jako lekcja). Procedura skarg z rejestrem zgodna z art. 101. Sześć poziomów weryfikacji + podpis radcy z OC 10 mln PLN.

Najczęstsze błędy w dokumentacji rynkowej

  • Brak modelu safeguardingu — środki klientów muszą być oddzielone. 3 modele: segregacja na osobnym koncie, polisa ubezpieczeniowa, gwarancja bankowa. Większość firm nie określa, którego używa.
  • Procedura SCA bez wyjątków — Strong Customer Authentication (RTS 2018/389) ma wyjątki, których szablony nie uwzględniają.
  • Procedura skarg bez art. 101 PSD2 — odpowiedź na skargę w 15 dni roboczych. Brak terminu = uchybienie proceduralne.
  • Brak delineacji DORA vs PSD2 — incydent płatniczy raportujemy pod PSD2, incydent ICT pod DORA. Mogą być te same zdarzenia, ale różne kanały.
  • BCP bez specyfiki płatniczej — RTO/RPO dla systemów płatniczych jest bardziej restrykcyjne niż ogólne DORA.
  • Compliance Officer ds. safeguardingu nie powołany — wymóg licencyjny KNF, nie opcja.

Co zawiera nasz pakiet PSD2/EMD2

17 dokumentów spełniających ustawę o usługach płatniczych + Dyrektywy PSD2/EMD2 + RTS 2018/389 (SCA) + przygotowanie do PSD3/PSR (~Q3 2026).

01
Polityka safeguardinguWybór modelu (segregacja / polisa / gwarancja) + uzasadnienie pod KNF.
02
Procedura segregacji środkówOperacyjna procedura — codzienna reconciliation, prowadzenie ewidencji.
03
Procedura reconciliationCodzienne uzgodnienie środków klientów z rachunkiem safeguardingowym.
04
Resolution packPlan na wypadek niewypłacalności — zwrot środków klientom (case ZEN.COM 1,8 mln EUR).
05
Polityka silnego uwierzytelniania (SCA)RTS 2018/389 — dwa elementy z trzech (wiedza/posiadanie/cecha).
06
Procedura wyjątków SCANiskie kwoty (≤30 EUR), zaufani odbiorcy, transakcje cykliczne.
07
Procedura skarg (art. 101 PSD2)15 dni roboczych — wzorzec odpowiedzi + rejestr skarg.
08
Plan ciągłości (BCP)RTO/RPO dla systemów płatniczych — bardziej restrykcyjne niż ogólne DORA.
09
Procedura incydentów płatniczych (RTS art. 96)4h / 3 dni / 2 tyg. — raport do KNF przez portal raportowy.
10
Polityka outsourcingu PSD2Wytyczne EBA o outsourcingu + RTS dopełniające.
11
Klasyfikacja podmiotu (KIP / EMI / MIP / BUP)Analiza progów + wybór typu licencji.
12
Polityka anti-fraudMonitoring transakcji, scenariusze fraudowe, blokady prewencyjne.
13
Procedura zwrotów (chargeback)Procedura odzyskania środków przy nieautoryzowanej transakcji — art. 73-74.
14
Polityka informowania klientówWymagania art. 52 — informacje przed zawarciem umowy ramowej.
15
Procedura Compliance Officer ds. safeguardinguPowołanie, niezależność, raportowanie do zarządu i KNF.
16
Lista kontrolna dla junioraReconciliation krok-po-kroku, monitoring SCA, eskalacja.
17
Brief dla Compliance OfficeraMapa kompetencji, harmonogram raportów do KNF, audyty.

Specyficzne elementy dla różnych typów podmiotów

KIP — Krajowa Instytucja Płatnicza

Pełen reżim PSD2 + cross z DORA. Wszystkie 17 dokumentów. Compliance Officer + ICT Risk Manager.

EMI — Instytucja Pieniądza Elektronicznego

EMD2 + PSD2 + safeguarding wzmocniony. Wymagania kapitałowe wyższe.

MIP — Mała Instytucja Płatnicza

Uproszczony reżim — limit obrotu 1,5 mln EUR/miesiąc. Lekka licencja KNF.

BUP — Biuro Usług Płatniczych

Najlżejszy reżim. Limit 500 000 EUR rocznie. Bez safeguardingu.

AISP / PISP (open banking)

Account Information / Payment Initiation. Cross z PSD2 RTS o dostępie do API banków.

CASP — dostawca usług kryptoaktywów (MiCA)

MiCA od 30.12.2024. Cross z AML (Travel Rule). Pełna dokumentacja safeguardingu kryptowalut.

Czym jest macierz raportowania

Podmiot podlegający kilku reżimom regulacyjnym jednocześnie — w razie incydentu — zobowiązany jest do równoległego notyfikowania kilku organów nadzoru w różnych terminach, kanałach i formatach. Macierz raportowania to nasz autorski dokument operacyjny, który ujednolica te procesy — niezależnie od pakietu, każdy klient otrzymuje pełną mapę.

Reżim
Termin
Organ nadzoru
Kanał i format
RODO
72 godziny
UODO
Formularz elektroniczny na stronie UODO
AML
Niezwłocznie
GIIF
System teleinformatyczny — STR w XML
PSD2
4h / 3 dni / 2 tyg.
KNF
Portal raportowy KNF — incydenty płatnicze
DORA
4h / 24h / 72h / 1 mies.
KNF (SOID)
csirt.knf.gov.pl — schemat ITS 2024
NIS2
24h / 72h / 1 mies.
CSIRT NASK / GOV / MON
System S46 — Ministerstwo Cyfryzacji

Co jest w niej innowacyjnego

Standaryzacja czasu reagowania. Każda regulacja używa innej skali czasu (godziny, dni, tygodnie). Macierz przelicza wszystko na jeden harmonogram operacyjny — godzina 1, godzina 4, godzina 24, godzina 72, dzień 7, dzień 30.

Ujednolicony zespół reagujący. Zamiast pięciu zespołów per regulacja — jeden zespół, jedna karta procedury, jasna eskalacja: kto otwiera incydent, kto komunikuje z organem, kto raportuje zarządowi.

Wzorce zgłoszeń pre-formated. Każde zgłoszenie ma już swój szablon — UODO formularz, GIIF XML, KNF portal, SOID schemat ITS, S46 system. Klient nie improwizuje pod presją czasu.

Przed czym chroni klienta

Przed uchybieniem proceduralnym w sytuacji, gdy zdarzenie zostało prawidłowo opanowane od strony technicznej. Najczęstszy powód kary nie jest sam incydent — ale niewłaściwe lub spóźnione raportowanie.

Przed kaskadą sankcji z wielu organów jednocześnie. Brak zgłoszenia do UODO + brak do KNF + brak do CSIRT to trzy odrębne kary. Macierz eliminuje to ryzyko od początku.

Przed paraliżem decyzyjnym. W piątek wieczór, w trakcie ataku DDoS, osoba dyżurująca otwiera jeden dokument — i wie, do której godziny musi zgłosić, komu, w jakim formacie. Bez konsultacji, bez improwizacji.

Standardowy proces w kancelarii compliance: prawnik pisze, asystent formatuje, partner podpisuje. Trzy oczy, jeden przegląd. Nasz proces: sześć niezależnych poziomów kontroli — trzy proceduralne, trzy prawnicze. Każdy niezbędny, żaden pominięty. Każda dokumentacja przechodzi pełną ścieżkę przed oddaniem klientowi.

01
Kontrola proceduralna
Aktualność prawa
Przed rozpoczęciem prac weryfikujemy stan każdego aktu prawnego objętego pakietem. Zmiana w prawie wstrzymuje proces. Klient z klauzulą 12 mies. otrzymuje regenerację automatycznie.
02
Kontrola prawnicza
Strukturalna analiza klienta
Strukturalna analiza prawnicza działalności klienta na podstawie ankiety branżowej — modelu biznesowego, kategorii danych, mapy procesów. Każde zdanie odzwierciedla stan faktyczny.
03
Kontrola proceduralna
Architektura dokumentacji
Tworzymy pakiet 17 dokumentów — polityki, procedury, rejestry, klauzule, mapy odpowiedzialności — zgodnie z architekturą wybranej regulacji.
04
Kontrola prawnicza
Niezależny audyt jakości
Druga warstwa kontroli merytorycznej — niezależna recenzja w trzech cyklach pod kątem 21 typów uchybień dokumentacji compliance.
05
Kontrola proceduralna
Walidacja spójności
Procedura kontroli sprawdza spójność wartości we wszystkich 17 dokumentach pakietu. Niespójność wstrzymuje przekazanie.
06
Kontrola prawnicza
Podpis radcy prawnego
Partner-radca z OC 10 mln PLN czyta, opiniuje i podpisuje. Pełna odpowiedzialność cywilna i dyscyplinarna.

Żaden dokument nie opuści Kancelarii bez przejścia wszystkich sześciu poziomów.

Umowy i Pisma

Prawo gospodarcze, administracyjne i procesowe — z tą samą starannością co compliance.

Zajmujemy się złożoną analizą oraz tworzeniem umów pomiędzy podmiotami gospodarczymi, instytucjami finansowymi oraz jednostkami samorządu terytorialnego — od kontraktów handlowych B2B, przez umowy joint venture i dystrybucyjne, po porozumienia w ramach zamówień publicznych. Sporządzamy również pisma procesowe, pozwy i wnioski dla klientów indywidualnych — z pełną dbałością o skuteczność procesową i ochronę interesu klienta.

Towarzyszymy podmiotom gospodarczym oraz instytucjom publicznym we wszystkich etapach relacji kontraktowej — od analizy strategicznej, przez negocjacje warunków, po przygotowanie ostatecznej dokumentacji i zabezpieczenie wykonania umowy. Każdy projekt traktujemy indywidualnie: rozumiemy, że dobra umowa to nie taka, która kończy spór — to taka, która sprawia, że spór nigdy nie powstaje.

Czym się zajmujemy

  • Umowy handlowe B2B — kontrakty dystrybucyjne, ramowe, dostawcze, ramowe umowy serwisowe, licencje IP, joint venture, transfer technologii
  • Umowy z administracją publiczną — kontrakty zamówień publicznych (PZP), partnerstwo publiczno-prywatne (PPP), koncesje, porozumienia o współpracy
  • Umowy spółek i corporate governance — umowy spółek, umowy wspólników, regulaminy zarządów i rad nadzorczych, polityki wynagrodzeń
  • Umowy NDA i poufności — w tym z klauzulami sankcji za naruszenie tajemnicy
  • Umowy IT i cyfrowe — SaaS, licencje oprogramowania, umowy chmurowe (DPA + SLA), outsourcing IT
  • Umowy pracownicze i menedżerskie — kontrakty kadry kierowniczej, opcje pracownicze, NDA pracownicze, klauzule lojalnościowe
  • Audyt umów istniejących — analiza ryzyka prawnego, identyfikacja klauzul niekorzystnych, rekomendacje renegocjacji

Jak wygląda nasza praca

Każdy projekt zaczynamy od strukturalnej analizy stanu faktycznego — modelu biznesowego stron, ich relacji, dotychczasowej praktyki i celów ekonomicznych. Następnie projektujemy konstrukcję umowy: dobór typu zobowiązania, klauzule kluczowe, mechanizmy zabezpieczające, klauzule dotyczące rozstrzygania sporów. Dopiero na końcu — redakcja językowa i finalizacja. Wszystko z myślą o cyklu życia umowy: nie tylko o jej podpisaniu, ale o jej wykonaniu i ewentualnym zakończeniu.

Reprezentujemy klientów indywidualnych w sprawach wymagających precyzji prawniczej i starannego przygotowania dokumentacji procesowej. Sporządzamy pozwy, wnioski, odwołania, skargi oraz pisma w toku postępowania — zarówno w sprawach przed sądami powszechnymi, jak i w postępowaniach administracyjnych przed organami państwa.

Zakres usług dla klientów indywidualnych

  • Pozwy cywilne i gospodarcze — o zapłatę, o ustalenie istnienia stosunku prawnego, o zwrot świadczenia nienależnego, o odszkodowanie i zadośćuczynienie
  • Pisma w sprawach rodzinnych — pozwy rozwodowe, alimentacyjne, o ustalenie kontaktów z dzieckiem, o podział majątku
  • Pisma w postępowaniu administracyjnym — odwołania od decyzji administracyjnych, skargi do wojewódzkich sądów administracyjnych, wnioski o wznowienie postępowania
  • Pisma podatkowe i celne — odwołania od decyzji organów podatkowych, skargi do sądów administracyjnych w sprawach podatkowych
  • Pisma w sprawach pracowniczych — pozwy o przywrócenie do pracy, o wynagrodzenie, o sprostowanie świadectwa pracy
  • Pisma w sprawach konsumenckich — reklamacje, pozwy konsumenckie, wnioski o polubowne rozstrzygnięcie sporu
  • Pisma w sprawach spadkowych — wnioski o stwierdzenie nabycia spadku, o dział spadku, pisma w sprawach o zachowek

Standardy naszej pracy

Każde pismo procesowe traktujemy jak strategiczne narzędzie — nie tylko dokument formalny. Analizujemy stan faktyczny, dobieramy podstawę prawną, przewidujemy reakcję strony przeciwnej oraz argumentację sądu. Pracujemy z myślą o skutku procesowym, a nie wyłącznie o zachowaniu terminów. Pierwszą konsultację oraz wstępną ocenę szans procesowych oferujemy bez zobowiązania — dopiero po jasnej rekomendacji prawnika klient decyduje o dalszych krokach.

Zacznij od audytu zgodności.

Pierwszy audyt konsultacyjny — bezpłatny. Ustalamy: które regulacje obejmują Twoją firmę, które luki są krytyczne, jaki pakiet najlepiej pasuje i w jakim terminie wdrożyć.

Umów audyt zgodności
lub sprawdź który pakiet pasuje — diagnoza w 2 minuty →