Zásady ochrany soukromí a zpracování osobních údajů

Zásady ochrany soukromí a zpracování osobních údajů (dále jen „Zásady“) platformy Arxis v souladu s GDPR.

Verze 2026.02
Účinnost od 8. 2. 2026
Článek 1

Úvodní ustanovení

Vzhledem ke specifické povaze Služby, která slouží advokátním kancelářím a právním týmům (dále jen „Zákazník“), vystupuje Poskytovatel ve dvou odlišných právních postaveních:

Poskytovatel

Streamline Group s.r.o.

IČO: 19806990
Se sídlem: Varšavská 715/36, Vinohrady, 120 00 Praha 2
Spisová značka: C 391895 vedená u Městského soudu v Praze

Služba

Arxis

Softwarové řešení poskytované formou „Software as a Service“ (SaaS) přístupné přes webové rozhraní, určené pro správu právní agendy, spisovou službu a automatizaci právních procesů s využitím generativní umělé inteligence.

  1. 1.1.

    [Poskytovatel jako správce] Ve vztahu k osobním údajům Zákazníka (resp. jeho zaměstnanců a oprávněných uživatelů), které jsou nezbytné pro zřízení účtu, fakturaci, zajištění bezpečnosti platformy, technickou podporu a další, vystupuje Poskytovatel jako správce osobních údajů.

  2. 1.2.

    [Poskytovatel jako zpracovatel] Ve vztahu k datům, která Zákazník do Služby vloží v rámci využívání jejích funkcí (zejména údaje o klientech Zákazníka, protistranách, obsah spisů, nahrané dokumenty, e‑mailová komunikace, chaty a další), vystupuje Poskytovatel jako zpracovatel. Správcem těchto údajů zůstává Zákazník, který určuje účel a prostředky jejich zpracování. Vztah mezi Poskytovatelem a Zákazníkem v tomto režimu se řídí zpracovatelskou smlouvou (DPA), která je součástí smluvní dokumentace.

    Dokument je zpracován v souladu s Nařízením Evropského parlamentu a Rady (EU) 2016/679 (dále jen „GDPR“) a zákonem č. 110/2019 Sb., o zpracování osobních údajů.

    Tyto Zásady popisují, jakým způsobem Poskytovatel shromažďuje, uchovává, používá a chrání osobní údaje v souvislosti s provozem softwarové platformy Arxis (dále jen „Služba“).

Článek 2

Kategorie zpracovávaných údajů a právní tituly

V případech, kdy Poskytovatel určuje účel a prostředky zpracování (tj. jedná v pozici správce), zpracovává osobní údaje v následujícím rozsahu a z níže uvedených důvodů:

  1. 2.1.

    [Údaje o uživatelském účtu, identitě a řízení přístupů] Za účelem zřízení uživatelského účtu, zajištění bezpečné autentizace a autorizace oprávněných osob zpracovává Poskytovatel identifikační a kontaktní údaje uživatele. Jedná se zejména o jméno, příjmení, pracovní e‑mailovou adresu, telefonní číslo, název organizace, pracovní pozici a dále o bezpečnostní identifikátory, jako jsou hashované přihlašovací údaje (hesla nejsou ukládána v čitelné podobě) a záznamy o historii přihlášení. Tyto údaje jsou nezbytné pro technické poskytování Služby a řízení uživatelských oprávnění.

  2. 2.2.

    [Fakturační údaje a delegovaná správa plateb] Za účelem řádného plnění smluvního vztahu (zejména správa předplatného a licencí) a plnění zákonných povinností v oblasti účetnictví a daní zpracovává Poskytovatel fakturační identifikátory Zákazníka, kterými jsou zejména fakturační adresa, identifikační číslo (IČO), daňové identifikační číslo (DIČ) a historie vystavených daňových dokladů. Vlastní realizace platebních transakcí je z bezpečnostních důvodů plně delegována na poskytovatele platební brány. Poskytovatel výslovně uvádí, že nepřichází do styku s citlivými údaji o platebních prostředcích (zejména plná čísla platebních karet či CVC/CVV kódy) ani je na svých serverech neukládá. Pro zajištění správy opakovaných plateb využívá Poskytovatel technologické řešení poskytovatele platební brány, přičemž disponuje s pouze zabezpečenými referenčními identifikátory nezbytnými pro realizaci transakce.

  3. 2.3.

    [Údaje o zařízení, připojení a bezpečnosti] Nedílnou součástí zajištění bezpečnosti, stability a dostupnosti cloudových služeb je automatizovaný sběr technických provozních údajů. Poskytovatel v tomto rámci zpracovává elektronické identifikátory a metadata o přístupu, kterými jsou zejména IP adresy, technické parametry koncového zařízení, verzi webového prohlížeče, časová razítka požadavků, záznamy o chybových stavech a záznamy o aktivitě v systému pro účely auditu. Tyto údaje jsou využívány výhradně pro účely prevence kybernetických útoků (např. DDoS, brute‑force), diagnostiku technických incidentů a optimalizaci výkonu aplikace.

  4. 2.4.

    [Komunikace s podporou a zpětná vazba] V případě, že uživatel kontaktuje technickou podporu nebo využije nástroje pro zpětnou vazbu v rámci aplikace, zpracovává Poskytovatel obsah této komunikace, přiložené soubory (screenshoty, záznamy) a metadata požadavku. Pokud uživatel dobrovolně poskytne zpětnou vazbu ke kvalitě výstupů umělé inteligence (např. hodnocení relevance odpovědi), zpracovává Poskytovatel i tato data za účelem zvyšování kvality Služby.

Článek 3

Zpracování obsahových dat

Tento článek se týká dat, která Zákazník nahrává a spravuje v rámci spisové agendy Služby (dále jen „Obsahová data“).

  1. 3.1.

    [Povaha zpracování] Poskytovatel poskytuje cloudovou infrastrukturu, databázové systémy a nástroje pro ukládání, organizaci, full‑textové a sémantické vyhledávání a automatizované zpracování dokumentů (např. převod dokumentu do vyhledatelné podoby pro AI). Poskytovatel do Obsahových dat věcně nezasahuje a zpřístupňuje je pouze oprávněným uživatelům Zákazníka podle jeho nastavení a oprávnění.

  2. 3.2.

    [Typová data] Obsahová data mohou zahrnovat identifikační údaje klientů Zákazníka, údaje v soudních spisech, smluvní dokumentaci, nahrávky jednání a e‑mailovou korespondenci. Vzhledem k zaměření Služby mohou Obsahová data obsahovat i zvláštní kategorie osobních údajů (čl. 9 GDPR) nebo údaje týkající se trestných činů a odsouzení (čl. 10 GDPR). Zákazník odpovídá za to, že má pro zpracování těchto údajů platný právní titul a že jejich zpracování v cloudu je v souladu s jeho povinnostmi.

  3. 3.3.

    [Využití externích propojení] Pokud Zákazník propojí Službu s externími účty (např. pracovní e‑mailové schránky, kalendář), Služba zpracovává přístupové tokeny (OAuth) a metadata/obsah e‑mailů a událostí výhradně za účelem jejich zobrazení, uložení do spisu, indexace pro vyhledávání a související automatizace. Tato data nejsou využívána pro marketingové účely.

Článek 4

Umělá inteligence a strojové zpracování

Služba může využívat pokročilé modely umělé inteligence (dále jen „AI modely“) pro funkce, jako je generování textu, analýza dokumentů, extrakce informací a sémantické vyhledávání.

  1. 4.1.

    [Zásada nepoužití Obsahových dat k trénování] Poskytovatel nevyužívá Obsahová data Zákazníka (vložené dokumenty, prompty, chatovou historii) k trénování nebo vylepšování obecných AI modelů. Pokud Poskytovatel využívá AI infrastrukturu třetích stran, usiluje o to, aby byly dodržovány odpovídající smluvní a technické režimy zamezující takovému využití.

  2. 4.2.

    [Minimalizace a omezení uchování] Při zpracování požadavků prostřednictvím AI modelů uplatňuje Poskytovatel režim nulového uchování dat. To znamená, že data jsou předávána zabezpečeným kanálem výhradně za účelem vygenerování jednorázové odpovědi v reálném čase. Poskytovatelé AI infrastruktury jsou smluvně a technicky vázáni data bezprostředně po provedení operace odstranit a neukládat je. Tento režim je trvale aktivní pro veškerá data zpracovávaná v rámci Služby.

  3. 4.3.

    [Vektorizace a sémantické vyhledávání] Pro účely vyhledávání mohou být textová data převáděna na číselné reprezentace a ukládána v zabezpečeném indexu. Tyto reprezentace jsou chráněny řízením přístupu a oddělením dat jednotlivých organizací.

Článek 5

Místo zpracování a předávání třetím stranám

  1. 5.1.

    [Lokalizace dat] Poskytovatel usiluje o to, aby primární úložiště dat (databáze a souborové úložiště) bylo provozováno v EU. U některých podpůrných služeb může docházet ke zpracování i mimo EU/EHP, a to pouze při zajištění odpovídajících záruk dle GDPR.

  2. 5.2.

    [Kategorie příjemců] K zajištění plné funkcionality Služby může Poskytovatel využívat prověřené subdodavatele, zejména v kategoriích:

    • poskytovatelé cloudové infrastruktury a serverless computingu,
    • poskytovatelé objektového úložiště,
    • poskytovatelé databázových a vyhledávacích systémů (včetně sémantické indexace),
    • poskytovatelé AI infrastruktury (LLM/OCR) pro zpracování na vyžádání,
    • platební brány a platební infrastruktura,
    • transakční e‑mailing a infrastruktura upozornění.
  3. 5.3.

    [Předávání dat mimo EU/EHP] Pokud je pro zajištění specifické funkcionality nezbytné předat data mimo EU/EHP, děje se tak výhradně na základě rozhodnutí o odpovídající ochraně nebo na základě Standardních smluvních doložek s doplňujícími bezpečnostními opatřeními (např. šifrování přenosu, minimalizace dat).

Článek 6

Doba uchování údajů

  1. 6.1.

    [Doba uchování dat správce] Údaje vztahující se k uživatelskému účtu jsou zpracovávány po celou dobu trvání smluvního vztahu. Po jeho ukončení dochází k jejich archivaci po dobu 10 let, a to z důvodu ochrany oprávněných zájmů Poskytovatele a pro případné doložení nároků v rámci promlčecích lhůt. Fakturační údaje a daňové doklady jsou v souladu s platnou legislativou, zejména zákonem o dani z přidané hodnoty, archivovány po dobu 10 let. Provozní záznamy (logy aplikačních chyb, výkonnostní metriky, diagnostická data) jsou uchovávány po dobu nejvýše 12 měsíců. Bezpečnostní záznamy (záznamy o přístupových pokusech, bezpečnostních incidentech) jsou uchovávány po dobu nejvýše 24 měsíců, neexistuje-li důvodný předpoklad pro jejich delší uchování v rámci šetření konkrétního incidentu. Záznamy auditní stopy (audit trail) – tj. záznamy o klíčových operacích s daty ve smyslu čl. 7.5 těchto Zásad – jsou uchovávány po dobu 7 let od jejich vzniku, a to z důvodu plnění zákonných povinností v oblasti účetnictví, daňové evidence a archivace (zejména zákon č. 563/1991 Sb., o účetnictví, a zákon č. 235/2004 Sb., o dani z přidané hodnoty) a ochrany oprávněných zájmů Poskytovatele pro doložení compliance v rámci promlčecích a prekluzivních lhůt. Po uplynutí retenční doby jsou záznamy automaticky a nevratně odstraněny.

  2. 6.2.

    [Obsahová data] Obsahová data jsou uchovávána po dobu trvání smluvního vztahu. Po ukončení smluvního vztahu jsou data zpracovávána dle pokynů Zákazníka a dle DPA (zejména export a následný výmaz/vrácení dat), pokud právní předpisy nestanoví jinak.

  3. 6.3.

    [Automatizované mazání] Poskytovatel uplatňuje automatizované mechanismy pro mazání dat, která překročila stanovenou dobu uchování. Tyto procesy jsou prováděny pravidelně (měsíčně) a jsou auditovány.

Článek 7

Zabezpečení dat

  1. 7.1.

    [Šifrování dat při přenosu i uložení] Veškerá komunikace mezi zařízením uživatele a servery Služby je šifrována pomocí bezpečnostních protokolů (TLS). Stejně tak jsou data šifrována i v okamžiku, kdy jsou uložena v databázích Poskytovatele, čímž jsou chráněna i pro případ fyzického odcizení nosičů dat.

  2. 7.2.

    [Izolace dat] Architektura Služby je navržena tak, aby data každého Zákazníka (advokátní kanceláře) byla oddělena od dat ostatních uživatelů. Systém obsahuje interní kontroly, které vylučují, aby se data jednoho Zákazníka zobrazila jinému Zákazníkovi, a to i v případě programátorské chyby na vyšší úrovni aplikace.

  3. 7.3.

    [Řízení přístupů a ověřování] Přístup k účtům je chráněn metodami ověření identity. Služba plně doporučuje využití dvoufaktorové autentizace (2FA), která vyžaduje potvrzení přihlášení druhým zařízením. Uvnitř systému jsou oprávnění nastavena na principu „potřeby vědět“.

  4. 7.4.

    [Ochrana dokumentů před neoprávněným stažením] Soubory nahrané do Služby nejsou veřejně přístupné. Pro každé zobrazení nebo stažení dokumentu systém generuje unikátní, časově omezený přístupový odkaz a pouze pro konkrétního přihlášeného uživatele.

  5. 7.5.

    [Nesmazatelná auditní stopa] Systém automaticky zaznamenává klíčové operace s daty (kdo, kdy a k jakému souboru přistoupil). Tyto záznamy jsou chráněny proti zpětné změně, což umožňuje Zákazníkovi v případě potřeby přesně rekonstruovat historii přístupů ke spisu.

Článek 8

Cookies

  1. 8.1.

    [Nezbytné cookies] Služba využívá cookies a obdobné technologie místního úložiště, které jsou nezbytně nutné pro:

    • autentizaci uživatele a udržení relace,
    • zajištění bezpečnosti,
    • uložení uživatelských preferencí rozhraní.

    Pro tyto účely není vyžadován souhlas.

  2. 8.2.

    [Analytika] Pro účely měření výkonu a analýzu chyb může Služba využívat analytické nástroje. Pokud by konkrétní nastavení vyžadovalo souhlas, bude souhlas vyžádán předem a bude možné jej kdykoli změnit/odvolat.

    Podrobnější informace o používání cookies naleznete v našich Zásadách používání cookies.

Článek 9

Práva subjektů údajů

  1. 9.1.

    Pokud Poskytovatel vystupuje jako správce, máte jako subjekt údajů zejména práva dle čl. 15 až 22 GDPR, a dále právo podat stížnost u Úřadu pro ochranu osobních údajů.

  2. 9.2.

    Pokud Poskytovatel vystupuje jako zpracovatel, uplatňuje subjekt údajů svá práva výhradně vůči Zákazníkovi, který je správcem těchto dat. Poskytovatel poskytne Zákazníkovi nezbytnou součinnost k vyřízení žádosti v rozsahu DPA.

  3. 9.3.

    [Uplatnění práv a kontakt] Pro dotazy k ochraně osobních údajů a uplatnění práv v režimu, kdy Poskytovatel vystupuje jako správce, nás kontaktujte na compliance@arxis.app. Na žádosti reagujeme bez zbytečného odkladu, nejpozději ve lhůtě stanovené GDPR.

Článek 10

Závěrečná ustanovení

  1. 10.1.

    [Aktualizace Zásad] Poskytovatel je oprávněn tyto Zásady průběžně měnit v závislosti na technologickém vývoji Služby a legislativních změnách. O podstatných změnách budou uživatelé informováni prostřednictvím uživatelského rozhraní nebo e‑mailem.

  2. 10.2.

    [Účinnost] Tyto Zásady nabývají účinnosti ode dne uvedeného v záhlaví dokumentu.