Zásady ochrany soukromí a zpracování osobních údajů

Vzhledem ke specifické povaze Služby, která slouží advokátním kancelářím a právním týmům (dále jen „Zákazník"), vystupuje Poskytovatel ve dvou odlišných právních postaveních:

1. 1.1.

   [Poskytovatel jako správce] Ve vztahu k osobním údajům Zákazníka (resp. jeho zaměstnanců a oprávněných uživatelů), které jsou nezbytné pro zřízení účtu, fakturaci, zajištění bezpečnosti platformy, technickou podporu a další, vystupuje Poskytovatel jako správce osobních údajů.

2. 1.2.

   [Poskytovatel jako zpracovatel] Ve vztahu k datům, která Zákazník do Služby vloží v rámci využívání jejích funkcí (zejména údaje o klientech Zákazníka, protistranách, obsah spisů, nahrané dokumenty, e‑mailová komunikace, chaty a další), vystupuje Poskytovatel jako zpracovatel. Správcem těchto údajů zůstává Zákazník, který určuje účel a prostředky jejich zpracování. Vztah mezi Poskytovatelem a Zákazníkem v tomto režimu se řídí Zpracovatelskou smlouvou (DPA), která je součástí smluvní dokumentace.

3. 1.3.

   [Kontaktní údaje pro ochranu osobních údajů] Poskytovatel v souladu s čl. 37 odst. 1 GDPR posoudil, zda je povinen jmenovat pověřence pro ochranu osobních údajů (DPO). Vzhledem k tomu, že hlavní činností Poskytovatele není rozsáhlé zpracování zvláštních kategorií údajů ani systematické monitorování subjektů údajů ve velkém měřítku (Poskytovatel zpracovává Obsahová data výhradně na pokyn Zákazníka jakožto zpracovatele), nebyl DPO jmenován. Kontaktním místem pro veškeré záležitosti ochrany osobních údajů je: compliance@arxis.app.

   Dokument je zpracován v souladu s Nařízením Evropského parlamentu a Rady (EU) 2016/679 (dále jen „GDPR") a zákonem č. 110/2019 Sb., o zpracování osobních údajů.

   Tyto Zásady popisují, jakým způsobem Poskytovatel shromažďuje, uchovává, používá a chrání osobní údaje v souvislosti s provozem softwarové platformy Arxis (dále jen „Služba").

V případech, kdy Poskytovatel určuje účel a prostředky zpracování (tj. jedná v pozici správce), zpracovává osobní údaje v následujícím rozsahu a z níže uvedených důvodů:

1. 2.1.

   [Údaje o uživatelském účtu, identitě a řízení přístupů] Za účelem zřízení uživatelského účtu, zajištění bezpečné autentizace a autorizace oprávněných osob zpracovává Poskytovatel identifikační a kontaktní údaje uživatele. Jedná se zejména o jméno, příjmení, pracovní e‑mailovou adresu, telefonní číslo, název organizace, pracovní pozici a dále o bezpečnostní identifikátory, jako jsou hashované přihlašovací údaje (hesla nejsou ukládána v čitelné podobě) a záznamy o historii přihlášení. Tyto údaje jsou nezbytné pro technické poskytování Služby a řízení uživatelských oprávnění.

2. 2.2.

   [Fakturační údaje a delegovaná správa plateb] Za účelem řádného plnění smluvního vztahu (zejména správa předplatného a licencí) a plnění zákonných povinností v oblasti účetnictví a daní zpracovává Poskytovatel fakturační identifikátory Zákazníka, kterými jsou zejména fakturační adresa, identifikační číslo (IČO), daňové identifikační číslo (DIČ) a historie vystavených daňových dokladů. Vlastní realizace platebních transakcí je z bezpečnostních důvodů plně delegována na poskytovatele platební brány. Poskytovatel výslovně uvádí, že nepřichází do styku s citlivými údaji o platebních prostředcích (zejména plná čísla platebních karet či CVC/CVV kódy) ani je na svých serverech neukládá. Pro zajištění správy opakovaných plateb využívá Poskytovatel technologické řešení poskytovatele platební brány, přičemž disponuje s pouze zabezpečenými referenčními identifikátory nezbytnými pro realizaci transakce.

3. 2.3.

   [Údaje o zařízení, připojení a bezpečnosti] Nedílnou součástí zajištění bezpečnosti, stability a dostupnosti cloudových služeb je automatizovaný sběr technických provozních údajů. Poskytovatel v tomto rámci zpracovává elektronické identifikátory a metadata o přístupu, kterými jsou zejména IP adresy, technické parametry koncového zařízení, verzi webového prohlížeče, časová razítka požadavků, záznamy o chybových stavech a záznamy o aktivitě v systému pro účely auditu. Tyto údaje jsou využívány výhradně pro účely prevence kybernetických útoků (např. DDoS, brute‑force), diagnostiku technických incidentů a optimalizaci výkonu aplikace.

4. 2.4.

   [Komunikace s podporou a zpětná vazba] V případě, že uživatel kontaktuje technickou podporu nebo využije nástroje pro zpětnou vazbu v rámci aplikace, zpracovává Poskytovatel obsah této komunikace, přiložené soubory (screenshoty, záznamy) a metadata požadavku. Pokud uživatel dobrovolně poskytne zpětnou vazbu ke kvalitě výstupů umělé inteligence (např. hodnocení relevance odpovědi), zpracovává Poskytovatel i tato data za účelem zvyšování kvality Služby.

Tento článek se týká dat, která Zákazník nahrává a spravuje v rámci spisové agendy Služby (dále jen „Obsahová data").

1. 3.1.

   [Povaha zpracování] Poskytovatel poskytuje cloudovou infrastrukturu, databázové systémy a nástroje pro ukládání, organizaci, full‑textové a sémantické vyhledávání a automatizované zpracování dokumentů (např. převod dokumentu do vyhledatelné podoby pro AI). Poskytovatel do Obsahových dat věcně nezasahuje a zpřístupňuje je pouze oprávněným uživatelům Zákazníka podle jeho nastavení a oprávnění.

2. 3.2.

   [Typová data] Obsahová data mohou zahrnovat identifikační údaje klientů Zákazníka, údaje v soudních spisech, smluvní dokumentaci, nahrávky jednání a e‑mailovou korespondenci. Vzhledem k zaměření Služby mohou Obsahová data obsahovat i zvláštní kategorie osobních údajů (čl. 9 GDPR) nebo údaje týkající se trestných činů a odsouzení (čl. 10 GDPR). Zákazník odpovídá za to, že má pro zpracování těchto údajů platný právní titul a že jejich zpracování v cloudu je v souladu s jeho povinnostmi.

3. 3.3.

   [Využití externích propojení] Pokud Zákazník propojí Službu s externími účty (např. pracovní e‑mailové schránky, kalendář), Služba zpracovává přístupové tokeny (OAuth) a metadata/obsah e‑mailů a událostí výhradně za účelem jejich zobrazení, uložení do spisu, indexace pro vyhledávání a související automatizace. Tato data nejsou využívána pro marketingové účely.

Služba může využívat pokročilé modely umělé inteligence (dále jen „AI modely") pro funkce, jako je generování textu, analýza dokumentů, extrakce informací a sémantické vyhledávání.

1. 4.1.

   [Zásada nepoužití Obsahových dat k trénování] Poskytovatel nevyužívá Obsahová data Zákazníka (vložené dokumenty, prompty, chatovou historii) k trénování nebo vylepšování obecných AI modelů. Pokud Poskytovatel využívá AI infrastrukturu třetích stran, usiluje o to, aby byly dodržovány odpovídající smluvní a technické režimy zamezující takovému využití.

2. 4.2.

   [Minimalizace a omezení uchování] Při zpracování požadavků prostřednictvím AI modelů uplatňuje Poskytovatel režim nulového uchování dat. To znamená, že data jsou předávána zabezpečeným kanálem výhradně za účelem vygenerování jednorázové odpovědi v reálném čase. Poskytovatelé AI infrastruktury jsou smluvně a technicky vázáni data bezprostředně po provedení operace odstranit a neukládat je. Tento režim je trvale aktivní pro veškerá data zpracovávaná v rámci Služby. Před odesláním do AI modelů jsou citlivé osobní údaje automatizovaně anonymizovány (PII redaction).

3. 4.3.

   [Vektorizace a sémantické vyhledávání] Pro účely vyhledávání mohou být textová data převáděna na číselné reprezentace a ukládána v zabezpečeném indexu. Tyto reprezentace jsou chráněny řízením přístupu a oddělením dat jednotlivých organizací.

4. 4.4.

   [Regulatorní rámec] AI komponenty Služby podléhají nařízení Evropského parlamentu a Rady (EU) 2024/1689 o umělé inteligenci (AI Act). Poskytovatel udržuje technickou dokumentaci a záznamy o činnosti AI systémů v souladu s články 11 a 12 AI Act. Podrobnosti jsou uvedeny v článku 4.8 Všeobecných obchodních podmínek.

1. 5.1.

   [Lokalizace dat] Primární úložiště dat (databáze a souborové úložiště) pro trvalé uložení Obsahových dat je provozováno v datových centrech na území Evropské unie (EU) nebo Evropského hospodářského prostoru (EHP). Pro zajištění plné funkcionality Služby (zejména AI inference, zpracování plateb, doručování e-mailů a hosting) mohou být data přechodně zpracovávána sub-zpracovateli mimo EU/EHP, a to výhradně za podmínek stanovených kapitolou V GDPR.

2. 5.2.

   [Kategorie sub-zpracovatelů] K zajištění plné funkcionality Služby využívá Poskytovatel sub-zpracovatele organizované do následujících funkčních kategorií. Konkrétní obchodní názvy jednotlivých sub-zpracovatelů představují obchodní tajemství Poskytovatele a jsou Zákazníkům zpřístupňovány prostřednictvím samostatné důvěrné přílohy po podpisu Dohody o mlčenlivosti (NDA).

   Kategorie sub-zpracovatele	Účel zpracování	Kategorie dat	Lokalizace	Mechanismus přenosu
   Poskytovatel cloudové aplikační platformy a hostingu	Hosting, CDN, edge compute, monitoring výkonu	Provozní metriky, statické obsahové prvky	EU s globální edge sítí	EU-US DPF
   Poskytovatel backend platformy a real-time databáze	Provoz aplikační logiky, strukturovaná data	Veškerá strukturovaná aplikační data	EU	EU-US DPF
   Poskytovatel cloudového objektového úložiště	Ukládání dokumentů a binárních souborů	Dokumenty, přílohy, nahrávky	EU	SCCs / DPA
   Poskytovatel služeb zpracování dokumentů a OCR	Extrakce textu, optické rozpoznávání	Dokumenty, metadata extrakce	EU	EU-US DPF
   Poskytovatelé AI/LLM inference (více dodavatelů)	Generování textu, analýza, sémantické zpracování	Anonymizované prompty, kontextové okno	EU/USA (Zero Data Retention)	SCCs + technická opatření
   Poskytovatel vektorové databáze	Sémantická indexace dokumentů	Dokumentové embeddingy	EU	DPA (EU)
   Poskytovatel grafové databáze	Znalostní graf, entity a relace	Entity případů, právní relace	EU/USA	EU-US DPF
   Poskytovatel platební brány	Zpracování plateb, správa předplatného	Fakturační údaje	EU/USA	EU-US DPF
   Poskytovatel transakčních e-mailových služeb	Doručování systémových e-mailů	E-mailové adresy, obsah notifikací	USA	SCCs
   Poskytovatelé veřejných registrů a referenčních dat	Přístup k veřejně dostupným údajům	Identifikátory subjektů, veřejná data	EU (CZ)	Zákonný rámec
   Poskytovatelé mapových a geolokačních služeb	Mapové podklady, výpočet tras	Adresní a lokalizační data	EU	DPA (EU)

   Tento seznam kategorií je průběžně aktualizován. O změnách sub-zpracovatelů zpracovávajících Obsahová data je Zákazník informován dle článku 5.10 Všeobecných obchodních podmínek. Aktuální důvěrný seznam s konkrétními obchodními názvy je přílohou Zpracovatelské smlouvy (DPA).

3. 5.3.

   [Předávání dat mimo EU/EHP] Pokud je pro zajištění specifické funkcionality nezbytné předat data mimo EU/EHP, děje se tak výhradně na základě:

   • rozhodnutí o odpovídající ochraně (zejména EU-US Data Privacy Framework, rozhodnutí Komise C(2023) 4745); nebo
   • Standardních smluvních doložek (Commission Decision 2021/914) doplněných o technická bezpečnostní opatření (šifrování přenosu, minimalizace dat, PII redaction pro AI zpracování).

1. 6.1.

   [Doba uchování dat správce] Poskytovatel uchovává údaje, pro které vystupuje jako správce, po následující doby:

   Kategorie údajů	Retenční doba	Právní základ
   Údaje o uživatelském účtu	Po dobu trvání smlouvy + 10 let	Oprávněný zájem (promlčecí lhůty)
   Fakturační údaje a daňové doklady	10 let	Zákon č. 563/1991 Sb., o účetnictví, § 31; zákon č. 235/2004 Sb., o DPH
   Záznamy o přihlášení ze zařízení (device logins)	90 dnů	GDPR čl. 5(1)(e) — minimalizace uchovávání
   IP adresy a záznamy o připojení	90 dnů	GDPR čl. 5(1)(e) — minimalizace uchovávání
   Chatové relace a zprávy	365 dnů (konfigurovatelné)	GDPR čl. 5(1)(e) — minimalizace uchovávání
   Záznamy o souhlasu (consent logs)	5 let	GDPR čl. 7(1) — důkaz o souhlasu
   Záznamy auditní stopy (audit trail)	7 let	Zákon č. 563/1991 Sb.; směrnice NIS 2
   Záznamy o compliance (KYC/AML)	10 let	Zákon č. 253/2008 Sb., § 31(3)
   Provozní záznamy (logy chyb, výkonnostní metriky)	12 měsíců	Oprávněný zájem (diagnostika)
   Bezpečnostní záznamy (pokusy o přístup, incidenty)	24 měsíců	Oprávněný zájem (bezpečnost)

   Po uplynutí retenční doby jsou záznamy automaticky a nevratně odstraněny. Poskytovatel nemůže stanovit organizaci kratší retenční dobu, než vyžaduje příslušný právní předpis.

2. 6.2.

   [Obsahová data] Obsahová data jsou uchovávána po dobu trvání smluvního vztahu. Po ukončení smluvního vztahu jsou data zpracovávána dle pokynů Zákazníka a dle DPA (zejména 30denní lhůta pro export a následný výmaz/vrácení dat), pokud právní předpisy nestanoví jinak.

3. 6.3.

   [Automatizované mazání] Poskytovatel uplatňuje automatizované mechanismy pro mazání dat, která překročila stanovenou dobu uchování. Tyto procesy jsou prováděny pravidelně (denně pro krátkodobé retence, měsíčně pro dlouhodobé) a jsou auditovány.

1. 7.1.

   [Šifrování dat při přenosu i uložení] Veškerá komunikace mezi zařízením uživatele a servery Služby je šifrována pomocí bezpečnostních protokolů (TLS). Stejně tak jsou data šifrována i v okamžiku, kdy jsou uložena v databázích Poskytovatele, čímž jsou chráněna i pro případ fyzického odcizení nosičů dat. Pro zvláště citlivé osobní údaje Poskytovatel implementuje šifrování na úrovni jednotlivých záznamů (per-entity encryption) s oddělenou správou klíčů, která umožňuje kryptografické smazání (crypto-shredding).

2. 7.2.

   [Izolace dat] Architektura Služby je navržena tak, aby data každého Zákazníka (advokátní kanceláře) byla oddělena od dat ostatních uživatelů. Systém obsahuje interní kontroly, které vylučují, aby se data jednoho Zákazníka zobrazila jinému Zákazníkovi, a to i v případě programátorské chyby na vyšší úrovni aplikace.

3. 7.3.

   [Řízení přístupů a ověřování] Přístup k účtům je chráněn metodami ověření identity. Služba plně doporučuje využití dvoufaktorové autentizace (2FA), která vyžaduje potvrzení přihlášení druhým zařízením. Uvnitř systému jsou oprávnění nastavena na principu „potřeby vědět" (need-to-know).

4. 7.4.

   [Ochrana dokumentů před neoprávněným stažením] Soubory nahrané do Služby nejsou veřejně přístupné. Pro každé zobrazení nebo stažení dokumentu systém generuje unikátní, časově omezený přístupový odkaz a pouze pro konkrétního přihlášeného uživatele.

5. 7.5.

   [Nesmazatelná auditní stopa] Systém automaticky zaznamenává klíčové operace s daty (kdo, kdy a k jakému souboru přistoupil). Tyto záznamy jsou chráněny proti zpětné změně prostřednictvím kryptografického řetězení (hash chain), což umožňuje Zákazníkovi v případě potřeby přesně rekonstruovat historii přístupů ke spisu a ověřit jejich integritu.

6. 7.6.

   [Hlášení bezpečnostních incidentů] V případě narušení ochrany osobních údajů (data breach) Poskytovatel:

   1. a)

      Informuje Zákazníka (jakožto správce Obsahových dat) bez zbytečného odkladu, nejpozději do 48 hodin od zjištění incidentu, aby Zákazník mohl splnit svou oznamovací povinnost vůči Úřadu pro ochranu osobních údajů dle čl. 33 GDPR (72 hodin od zjištění).

   2. b)

      Poskytne Zákazníkovi informace o povaze narušení, dotčených kategoriích a přibližném počtu záznamů, pravděpodobných důsledcích a přijatých nápravných opatřeních.

   3. c)

      Zajistí oznamovací povinnosti vůči Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB) dle zákona č. 264/2025 Sb. v rozsahu kybernetických bezpečnostních incidentů na úrovni platformy.

   4. d)

      Poskytne průběžnou součinnost při komunikaci s dozorovými úřady. Podrobnosti postupu jsou upraveny v DPA.

1. 8.1.

   [Nezbytné cookies] Služba využívá cookies a obdobné technologie místního úložiště, které jsou nezbytně nutné pro:

   • autentizaci uživatele a udržení relace,
   • zajištění bezpečnosti (CSRF ochrana, OAuth state),
   • uložení uživatelských preferencí rozhraní.

   Pro tyto účely není vyžadován souhlas (oprávněný zájem dle čl. 6 odst. 1 písm. f) GDPR).

2. 8.2.

   [Analytika výkonu služby] Služba využívá first-party analytické nástroje provozované Poskytovatelem cloudové aplikační platformy (kategorie sub-zpracovatele dle čl. 5.2 výše) pro měření výkonu aplikace, detekci chyb a zajištění kvality Služby v souladu se závazkem dostupnosti dle Dohody o úrovni služeb (SLA) a článku 6 Všeobecných obchodních podmínek. Tyto nástroje shromažďují anonymizovaná provozní data bez použití persistentních tracking cookies třetích stran. Zpracování je prováděno na základě oprávněného zájmu Poskytovatele (čl. 6 odst. 1 písm. f) GDPR) spočívajícího v zajištění stability, výkonu a dostupnosti Služby a na základě plnění smlouvy (čl. 6 odst. 1 písm. b) GDPR), neboť monitorování kvality je nezbytnou součástí poskytování SaaS služby. Analytika výkonu je integrální součástí Služby. Zákazník, který si nepřeje zpracování analytických dat, může Smlouvu ukončit postupem dle článku 9 Všeobecných obchodních podmínek.

   Podrobnější informace o používání cookies naleznete v našich Zásadách používání cookies.

1. 9.1.

   Pokud Poskytovatel vystupuje jako správce, máte jako subjekt údajů zejména následující práva dle GDPR:

   • Právo na přístup (čl. 15) — právo získat potvrzení o zpracování a kopii údajů;
   • Právo na opravu (čl. 16) — právo na doplnění nebo opravu nepřesných údajů;
   • Právo na výmaz (čl. 17) — právo na smazání údajů, pokud není dán zákonný důvod pro jejich další zpracování. Při uplatnění práva na výmaz Poskytovatel provádí anonymizaci údajů v provozních záznamech (nikoliv úplný výmaz), aby byla zachována integrita auditních stop a databáze. Anonymizace je nevratná a údaje se stávají trvale neidentifikovatelnými ve smyslu recitálu 26 GDPR;
   • Právo na omezení zpracování (čl. 18);
   • Právo na přenositelnost (čl. 20) — právo obdržet údaje ve strukturovaném, strojově čitelném formátu (JSON);
   • Právo vznést námitku (čl. 21);
   • Právo podat stížnost u Úřadu pro ochranu osobních údajů (Pplk. Sochora 27, 170 00 Praha 7, www.uoou.cz).
2. 9.2.

   Pokud Poskytovatel vystupuje jako zpracovatel, uplatňuje subjekt údajů svá práva výhradně vůči Zákazníkovi, který je správcem těchto dat. Poskytovatel poskytne Zákazníkovi nezbytnou součinnost k vyřízení žádosti v rozsahu DPA, a to prostřednictvím systému pro správu žádostí subjektů údajů (DSAR) s automatickým sledováním 30denní lhůty dle čl. 12 odst. 3 GDPR.

3. 9.3.

   [Uplatnění práv a kontakt] Pro dotazy k ochraně osobních údajů a uplatnění práv v režimu, kdy Poskytovatel vystupuje jako správce, nás kontaktujte na compliance@arxis.app. Na žádosti reagujeme bez zbytečného odkladu, nejpozději ve lhůtě stanovené GDPR (30 dnů, s možností prodloužení o další 2 měsíce v případě složitých žádostí).

1. 10.1.

   [Aktualizace Zásad] Poskytovatel je oprávněn tyto Zásady průběžně měnit v závislosti na technologickém vývoji Služby a legislativních změnách. O podstatných změnách budou uživatelé informováni prostřednictvím uživatelského rozhraní nebo e‑mailem. Systém automaticky eviduje verze souhlasů a v případě podstatné změny vyžádá opětovný souhlas uživatele.

2. 10.2.

   [Účinnost] Tyto Zásady nabývají účinnosti ode dne uvedeného v záhlaví dokumentu (4. 4. 2026) a nahrazují předchozí verzi 2026.02 ze dne 8. 2. 2026.