Juralex sp. z o.o. (“Juralex”, “we”) is the controller of personal data you share when you use our document-preparation platform at juralex.pl. This policy is written for the people we actually serve — foreign workers preparing TRC applications, and the HR teams that sponsor them.
PL · Juralex sp. z o.o. („Juralex”, „my”) jest administratorem danych osobowych przekazywanych podczas korzystania z platformy przygotowania dokumentów pod adresem juralex.pl. Niniejsza polityka została napisana dla osób, którym faktycznie służymy — cudzoziemców przygotowujących wnioski o TRC oraz zespołów HR, które ich sponsorują.
Who is the controller
PLKto jest administratorem
Juralex sp. z o.o. is a Polish limited liability company registered in Warsaw. We're a document-preparation platform — not a law firm and not a government office. We're the controller of your data, which means we decide what we do with it (within the law) and we're who you ask questions of.
Juralex sp. z o.o. to polska spółka z o.o. zarejestrowana w Warszawie. Jesteśmy platformą do przygotowania dokumentów — nie kancelarią prawną ani urzędem. Jesteśmy administratorem Twoich danych, co oznacza, że decydujemy, co z nimi robimy (w granicach prawa) i do nas kierujesz pytania.
The data controller is Juralex sp. z o.o., a limited liability company organized under the laws of the Republic of Poland, with registered office at ul. Złota 59, 00-120 Warszawa, registered in the National Court Register (KRS) by the District Court for the Capital City of Warsaw, XII Commercial Division, under number 0000935712, NIP 525-000-12-34, REGON 389 654 210, share capital PLN 50 000 fully paid up.
For all matters concerning your personal data you may contact our Data Protection Officer at dpo@juralex.plor by post at the address above marked “DPO”.
Administratorem danych jest Juralex sp. z o.o., spółka z ograniczoną odpowiedzialnością z siedzibą przy ul. Złotej 59, 00-120 Warszawa, wpisana do rejestru przedsiębiorców KRS przez Sąd Rejonowy dla m.st. Warszawy, XII Wydział Gospodarczy KRS, pod numerem 0000935712, NIP 525-000-12-34, REGON 389 654 210, kapitał zakładowy 50 000 PLN opłacony w całości.
We wszystkich sprawach dotyczących danych osobowych można kontaktować się z naszym Inspektorem Ochrony Danych (IOD) pod adresem dpo@juralex.pllub listownie na adres siedziby z dopiskiem „IOD”.
What data we collect
PLJakie dane zbieramy
Identity, contact, immigration documents and files you upload (passport, contract, payslips). Plus account and usage data — but no advertising trackers and no profiling beyond what your case requires.
Dane tożsamości, kontaktowe, dokumenty imigracyjne i pliki, które przesyłasz (paszport, umowa, odcinki wynagrodzenia). Plus dane konta i użytkowania — ale bez trackerów reklamowych i bez profilowania wykraczającego poza to, czego wymaga Twoja sprawa.
We collect the following categories of personal data:
- Identity data: first and last name, date of birth, nationality, passport number and expiry, country of issue.
- Contact data: email address, phone number, postal address in Poland and abroad.
- Employment & income data: employer name, NIP, role, salary, contract type, start date, signed annexes.
- Immigration documents: visa stamps, prior TRC decisions, biometric appointment confirmations, MOS submission confirmations.
- Family data (only if you apply for reunification): spouse / minor-child names, dates of birth, relationship documents.
- Account data: password hash (we never see it in cleartext), TOTP secret if you enable 2FA, login timestamps, device fingerprint.
- Usage data: pages visited inside the platform, actions taken on your case, support messages. We do not track browsing outside Juralex.
- Billing data: invoice details, NIP for VAT invoices, last four digits of card and brand. We never see or store full card numbers — those go directly to Stripe or Tpay.
Zbieramy następujące kategorie danych osobowych:
- Dane identyfikacyjne: imię i nazwisko, data urodzenia, obywatelstwo, numer i data ważności paszportu, kraj wydania.
- Dane kontaktowe: adres e-mail, numer telefonu, adres pocztowy w Polsce i za granicą.
- Dane o zatrudnieniu i dochodach: nazwa pracodawcy, NIP, stanowisko, wynagrodzenie, rodzaj umowy, data rozpoczęcia, podpisane aneksy.
- Dokumenty imigracyjne: stemple wizowe, wcześniejsze decyzje o TRC, potwierdzenia wizyt biometrycznych, potwierdzenia złożenia wniosku w MOS.
- Dane rodziny (tylko przy łączeniu rodzin): imiona małżonka / dzieci, daty urodzenia, dokumenty potwierdzające pokrewieństwo.
- Dane konta: hash hasła (nigdy nie widzimy go w postaci jawnej), klucz TOTP przy włączeniu 2FA, znaczniki czasu logowania, identyfikator urządzenia.
- Dane o korzystaniu: strony odwiedzane wewnątrz platformy, działania na sprawie, wiadomości wsparcia. Nie śledzimy przeglądania poza Juralex.
- Dane rozliczeniowe: dane do faktury, NIP do faktury VAT, ostatnie cztery cyfry karty oraz typ karty. Nie widzimy ani nie przechowujemy pełnych numerów kart — trafiają one bezpośrednio do Stripe lub Tpay.
Why we process data (legal bases)
PLDlaczego przetwarzamy dane (podstawy prawne)
Most data is processed because you signed up for our service (contract). Some because Polish tax or immigration law requires it (legal obligation). A small amount because we have a legitimate interest (e.g. abuse prevention). We don't rely on “consent” for core services.
Większość danych jest przetwarzana dlatego, że zarejestrowałeś/aś się w naszej usłudze (umowa). Część — bo polskie prawo podatkowe lub imigracyjne tego wymaga (obowiązek prawny). Niewielka ilość — bo mamy uzasadniony interes (np. zapobieganie nadużyciom). Nie opieramy się na “zgodzie” dla usług podstawowych.
We process your personal data on the following legal bases under Article 6 GDPR:
- Article 6(1)(b) — performance of a contract: identity, contact, employment, and immigration data, to deliver the document-preparation service you subscribed to.
- Article 6(1)(c) — legal obligation: billing data and invoice records (Polish Accounting Act art. 74 — 5-year retention), VAT records (VAT Act art. 112 — 5 years).
- Article 6(1)(f) — legitimate interest: account security logs, abuse and fraud prevention, internal analytics on platform performance. Balanced against your rights; you may object.
- Article 9(2)(a) — explicit consent, where you upload special-category data (e.g. medical certificates for family-reunification cases). Withdrawable at any time.
Przetwarzamy dane osobowe na następujących podstawach prawnych zgodnie z art. 6 RODO:
- Art. 6 ust. 1 lit. b — wykonanie umowy: dane identyfikacyjne, kontaktowe, o zatrudnieniu i imigracyjne, w celu świadczenia usługi przygotowania dokumentów.
- Art. 6 ust. 1 lit. c — obowiązek prawny: dane rozliczeniowe i faktury (Ustawa o rachunkowości art. 74 — 5 lat), ewidencja VAT (Ustawa o VAT art. 112 — 5 lat).
- Art. 6 ust. 1 lit. f — prawnie uzasadniony interes: logi bezpieczeństwa konta, zapobieganie nadużyciom, wewnętrzna analityka. Wyważone wobec praw użytkownika — można wnieść sprzeciw.
- Art. 9 ust. 2 lit. a — wyraźna zgoda, gdy przekazujesz dane szczególnej kategorii (np. zaświadczenia medyczne przy łączeniu rodzin). Zgoda jest odwoływalna w każdej chwili.
How long we keep data
PLJak długo przechowujemy dane
If you delete your account, most data is erased within 30 days. A small set of records — invoices, accounting data, audit logs — is kept longer because Polish law requires it. The table below is the precise version.
Jeśli usuniesz konto, większość danych jest usuwana w ciągu 30 dni. Niewielki zestaw rekordów — faktury, dane księgowe, logi audytu — przechowujemy dłużej, ponieważ wymaga tego polskie prawo. Poniższa tabela jest precyzyjna.
We keep your data only as long as we need it. Concretely:
- Active case data (passport, contract, employer letters): kept for the duration of the case + 12 months.
- Messages with your specialist: 3 years from the last activity on the case, then deleted.
- Invoices and billing: 5 years from the end of the financial year in which the invoice was issued (Accounting Act art. 74; VAT Act art. 112).
- Account audit logs: 12 months for security investigations.
- Marketing data: until you unsubscribe, then deleted within 30 days.
- Account deletion request: personal data wiped within 30 days, except records subject to a legal retention obligation.
Przechowujemy dane wyłącznie tak długo, jak to konieczne. Konkretnie:
- Aktywne dane sprawy (paszport, umowa, listy pracodawcy): przez czas trwania sprawy + 12 miesięcy.
- Wiadomości ze specjalistą: 3 lata od ostatniej aktywności w sprawie, następnie usuwane.
- Faktury i dane rozliczeniowe: 5 lat od końca roku obrachunkowego wystawienia (Ustawa o rachunkowości art. 74; Ustawa o VAT art. 112).
- Logi audytu konta: 12 miesięcy do celów bezpieczeństwa.
- Dane marketingowe: do momentu wypisania się, następnie usuwane w ciągu 30 dni.
- Żądanie usunięcia konta: dane osobowe usuwane w ciągu 30 dni, z wyjątkiem rekordów objętych prawnym obowiązkiem przechowywania.
International transfers
PLTransfery międzynarodowe
Almost everything stays in the EU. Two exceptions: Anthropic (AI document checks) and Notion (our internal docs) are US companies. In both cases we use the EU's official transfer mechanism — Standard Contractual Clauses — and we don't send anything that isn't strictly necessary for the provider's task.
Niemal wszystko pozostaje w UE. Dwa wyjątki: Anthropic (kontrole dokumentów AI) i Notion (nasze dokumenty wewnętrzne) to firmy z USA. W obu przypadkach stosujemy oficjalny mechanizm transferu UE — Standardowe Klauzule Umowne — i nie wysyłamy nic, co nie jest absolutnie konieczne do zadania danego dostawcy.
Your data is stored in the European Union by default — application data on a Hostinger VPS in Frankfurt, encrypted nightly backups in Hetzner Object Storage (Falkenstein), and Stripe + Sentry served from EU infrastructure for our region.
For two transfers outside the EEA — to Anthropic PBC (US) for AI-assisted document checks, and to Notion Labs Inc.(US) for our internal knowledge base — we rely on the European Commission’s Standard Contractual Clauses (Decision 2021/914) as the transfer mechanism, supplemented by technical measures (transport encryption, no-train assurance with Anthropic).
Dane są domyślnie przechowywane w Unii Europejskiej — dane aplikacji na serwerze VPS Hostinger we Frankfurcie, szyfrowane kopie zapasowe co noc w Hetzner Object Storage (Falkenstein), Stripe i Sentry obsługują nasz region z infrastruktury UE.
Przy dwóch transferach poza EOG — do Anthropic PBC (USA) na potrzeby kontroli dokumentów wspomaganej AI oraz do Notion Labs Inc. (USA) jako naszej wewnętrznej bazy wiedzy — opieramy się na Standardowych Klauzulach Umownych Komisji Europejskiej (Decyzja 2021/914) jako mechanizmie transferu, uzupełnionych środkami technicznymi (szyfrowanie transportu, gwarancja nieuczenia modeli z Anthropic).
Your rights
PLTwoje prawa
Under GDPR you have eight rights — access, rectification, erasure, restriction, portability, objection, withdrawal of consent, and complaint. Most of them are built into the product so you can exercise them in two clicks; the rest you can trigger by emailing our DPO.
Na podstawie RODO przysługuje Ci osiem praw — dostępu, sprostowania, usunięcia, ograniczenia, przenoszenia, sprzeciwu, cofnięcia zgody i skargi. Większość z nich wbudowaliśmy w produkt, abyś mógł/mogła z nich skorzystać w dwa kliknięcia; pozostałe możesz zrealizować, wysyłając e-mail do naszego IOD.
You have the following rights regarding your personal data:
- Right of access (Art. 15): see what we hold. Self-service via Settings → Privacy → Export my data.
- Right to rectification (Art. 16): correct inaccurate data. Self-service in Settings → Profile.
- Right to erasure (Art. 17):“right to be forgotten”. Self-service via Settings → Delete account; we honour it within 30 days, subject to legal retention.
- Right to restrict processing (Art. 18): ask us to pause processing while a dispute is resolved. Email DPO.
- Right to portability (Art. 20): receive your data in a machine-readable format. Self-service via the data export.
- Right to object (Art. 21): stop legitimate-interest processing. Email DPO.
- Right to withdraw consent (Art. 7): withdraw at any time without retroactive effect. Self-service in Settings → Privacy.
- Right to lodge a complaint (Art. 77): with the President of the Personal Data Protection Office (UODO) — see Section 14.
We respond to rights requests within one month, free of charge. For evidently unfounded or excessive requests we may charge a fee or refuse — in which case we explain why.
W odniesieniu do Twoich danych przysługują Ci następujące prawa:
- Prawo dostępu (art. 15): sprawdź, co posiadamy. Samoobsługa: Ustawienia → Prywatność → Eksport danych.
- Prawo do sprostowania (art. 16): popraw nieprawidłowe dane. Samoobsługa: Ustawienia → Profil.
- Prawo do usunięcia (art. 17):„prawo do bycia zapomnianym”. Samoobsługa: Ustawienia → Usuń konto; realizujemy w ciągu 30 dni z zastrzeżeniem prawnego obowiązku retencji.
- Prawo do ograniczenia (art. 18): wstrzymanie przetwarzania na czas sporu. E-mail do IOD.
- Prawo do przenoszenia (art. 20): otrzymanie danych w formacie maszynowym. Samoobsługa przez eksport.
- Prawo do sprzeciwu (art. 21): wstrzymanie przetwarzania opartego na uzasadnionym interesie. E-mail do IOD.
- Prawo do cofnięcia zgody (art. 7): cofnięcie w dowolnej chwili bez wpływu na wcześniejsze przetwarzanie. Samoobsługa w Ustawieniach → Prywatność i dane.
- Prawo do skargi (art. 77): do Prezesa Urzędu Ochrony Danych Osobowych — patrz sekcja 14.
Odpowiadamy na żądania w ciągu miesiąca, bezpłatnie. W przypadku żądań ewidentnie nieuzasadnionych lub nadmiernych możemy pobrać opłatę lub odmówić — wtedy wyjaśniamy dlaczego.
Security
PLBezpieczeństwo
Encryption in transit and at rest. Files behind short-lived signed URLs. Optional 2FA. Staff get least-privilege access. We notify you within 72 hours if something goes wrong.
Szyfrowanie w transmisji i w spoczynku. Pliki za krótkoterminowymi podpisanymi URL. Opcjonalne 2FA. Pracownicy mają dostęp na zasadzie minimalnych uprawnień. Powiadamiamy Cię w ciągu 72 godzin, jeśli coś pójdzie nie tak.
Technical and organizational measures we implement:
- TLS 1.3 for all connections; HSTS preloaded on the apex domain.
- AES-256 encryption at rest for all object storage and database backups.
- Document access via short-lived signed URLs (5 min for private files, 1 h for company-vault files).
- Optional TOTP two-factor authentication (Google Authenticator / Authy / 1Password compatible).
- Role-based access control internally; least-privilege; 90-day rotation of staff credentials.
- Audit log of all administrative actions, retained for 12 months.
- Annual penetration testing by an external Polish security firm.
- Data breach notification within 72 hours to UODO and to affected users where high risk applies (Art. 33–34 GDPR).
Stosowane środki techniczne i organizacyjne:
- TLS 1.3 dla wszystkich połączeń; HSTS preloaded na domenie głównej.
- Szyfrowanie AES-256 w spoczynku dla pamięci obiektowej i kopii bazy danych.
- Dostęp do dokumentów przez krótkoterminowe podpisane URL (5 min dla plików prywatnych, 1 h dla plików w sejfie firmowym).
- Opcjonalne uwierzytelnianie dwuskładnikowe TOTP (kompatybilne z Google Authenticator / Authy / 1Password).
- Wewnętrzna kontrola dostępu oparta na rolach; zasada najmniejszych uprawnień; 90-dniowa rotacja poświadczeń.
- Dziennik audytu wszystkich działań administracyjnych przechowywany przez 12 miesięcy.
- Coroczne testy penetracyjne przez zewnętrzną polską firmę bezpieczeństwa.
- Powiadomienie o naruszeniu danych w ciągu 72 godzin do UODO oraz do osób, których dotyczy wysokie ryzyko (art. 33–34 RODO).
Children's data
PLDane dzieci
The platform is for adults. The only data on minors we store is the names and dates of birth of children listed in family-reunification cases — provided by the parent. We don't profile children and we don't market to them.
Platforma jest przeznaczona dla dorosłych. Jedyne dane małoletnich, jakie przechowujemy, to imiona i daty urodzenia dzieci wymienionych w sprawach łączenia rodzin — podane przez rodzica. Nie profilujemy dzieci i nie kierujemy do nich marketingu.
Our service is intended for users aged 18 and over. Minors may appear in case data only as dependents on a family-reunification application, with the data provided by the parent or legal guardian. Such data is processed under Article 6(1)(b) (performance of a contract with the parent) and never used for marketing or analytics.
Nasza usługa jest przeznaczona dla osób w wieku co najmniej 18 lat. Dane małoletnich mogą pojawić się w sprawie wyłącznie jako osoby niesamodzielne we wniosku o łączenie rodzin, przekazywane przez rodzica lub opiekuna prawnego. Dane te są przetwarzane na podstawie art. 6 ust. 1 lit. b (umowa z rodzicem) i nie są wykorzystywane do marketingu ani analityki.
Automated decision-making
PLZautomatyzowane podejmowanie decyzji
No machine ever decides whether to approve or refuse your case — only the voivodeship office can do that. We use AI for document checks (OCR, completeness, salary thresholds) but every flag is reviewed by a human specialist before it reaches you.
Żadna maszyna nigdy nie decyduje o zatwierdzeniu lub odrzuceniu Twojej sprawy — może to zrobić wyłącznie urząd wojewódzki. Używamy AI do sprawdzania dokumentów (OCR, kompletność, progi wynagrodzenia), ale każda flaga jest sprawdzana przez ludzkiego specjalistę przed dotarciem do Ciebie.
We do not engage in solely automated decision-making within the meaning of Article 22 GDPR. AI tools (Anthropic’s models, see Section 5) are used to assist document review — extracting fields, flagging mismatches, suggesting corrections — but the final review and any decision affecting your case is performed by a named human specialist. The voivodeship office is the sole authority deciding TRC outcomes; we have no role in that decision.
Nie podejmujemy zautomatyzowanych decyzji w rozumieniu art. 22 RODO. Narzędzia AI (modele Anthropic, patrz sekcja 5) są wykorzystywane do wspomagania przeglądu dokumentów — ekstrakcji pól, oznaczania niezgodności, sugerowania poprawek — natomiast końcowy przegląd i wszelkie decyzje dotyczące sprawy podejmuje wyznaczony specjalista. Decyzję o TRC wydaje wyłącznie Wojewoda; nie mamy w tej decyzji żadnej roli.
Changes to this policy
PLZmiany w polityce
If we change something material, we'll email you 30 days in advance and keep an archive version so you can see what changed.
Jeśli zmienimy coś istotnego, wyślemy Ci e-mail z 30-dniowym wyprzedzeniem i zachowamy archiwalną wersję, abyś mógł/mogła zobaczyć, co się zmieniło.
We may update this policy from time to time. Changes are tracked with a version number and effective date at the top of this page. For material changes — new sub-processors, new data categories, new transfer mechanisms — we notify all active users by email at least 30 days before the change takes effect. Prior versions are archived and available on request from the DPO.
Politykę możemy okresowo aktualizować. Zmiany są oznaczane numerem wersji i datą wejścia w życie u góry strony. O istotnych zmianach — nowych podmiotach przetwarzających, nowych kategoriach danych, nowych mechanizmach transferu — powiadamiamy aktywnych użytkowników e-mailem na co najmniej 30 dni przed wejściem w życie. Wcześniejsze wersje są archiwizowane i udostępniane na żądanie przez IOD.
Contact
PLKontakt
For privacy matters, contact our Data Protection Officer. For service matters, your assigned specialist (via in-app messages) is the fastest channel.
W sprawach prywatności skontaktuj się z naszym Inspektorem Ochrony Danych. W sprawach usługi Twój specjalista (przez wiadomości w aplikacji) jest najszybszym kanałem.
For privacy and data protection matters: dpo@juralex.pl.
For service questions: your assigned specialist via in-app messaging, or hello@juralex.pl.
By post: Juralex sp. z o.o., ul. Złota 59, 00-120 Warszawa, Poland — mark “DPO” on the envelope for privacy matters.
W sprawach ochrony danych: dpo@juralex.pl.
W sprawach usługi: przypisany specjalista przez wiadomości w aplikacji, lub hello@juralex.pl.
Listownie: Juralex sp. z o.o., ul. Złota 59, 00-120 Warszawa — z dopiskiem „IOD” dla spraw prywatności.