Rychlé upozornění! Vaše preference ukládáme lokálně - vzhled, jazyk, velikost textu a váš pokrok v průzkumu. Nic neopouští váš prohlížeč, nic nesledujeme. Cookies? Vaše ctihodnosti, namítáme - soukromí je u nás na prvním místě. Zjistit více

Přístupnost
Velikost písma
100%
Rychlý kontakt
Napište nám support@lexaitechnologies.com
Kontaktní formulář Pošlete nám zprávu
Stáhnout jako PDF Kompletní dokument DPA
Link copied to clipboard!
Přejít na sekci
Definice Povinnosti Přenosy Sub-zpracovatelé Bezpečnost Kontakt
SMLOUVA O ZPRACOVÁNÍ ÚDAJŮ

GDPR Compliance Zpracování dat

Naše Smlouva o zpracování osobních údajů zajišťuje, že vaše data jsou zpracovávána v plném souladu s GDPR. Dokumentace připravená pro podnikové zákazníky.

GDPR Článek 28
Zero-Knowledge
Data v EU
Přečíst celou smlouvu Stáhnout jako PDF
48h Oznámení porušení
30 Dnů na výmaz dat
SCC Zajištěné přenosy

Verze 1.0 - Šablona

GDPR Ready
Lexi - GDPR Ready
Enterprise Compliant
Definice Klíčové pojmy
Povinnosti Povinnosti zpracovatele
Přenosy Mezinárodní data
Sub-zpracovatelé Třetí strany
Bezpečnost Technická opatření
Zpracovatel
LexAI Technologies, s.r.o., IČO: 23589825, sídlo: Školská 660/3, Praha 1 - Nové Město, 110 00 Praha 1
Kontakt Zpracovatele
support@lexaitechnologies.com

Preambule

Tato Smlouva o zpracování osobních údajů (dále jen "DPA" nebo "Smlouva") je uzavřena mezi výše uvedeným Zpracovatelem a Správcem (dohromady "Smluvní strany") v souladu s čl. 28 Nařízení Evropského parlamentu a Rady (EU) 2016/679 (dále jen "GDPR").

Správce využívá platformu LexAI (dále jen "Platforma" nebo "Služba") poskytovanou Zpracovatelem na základě Podmínek užívání (dále jen "Hlavní smlouva"). V rámci poskytování Služby může docházet ke zpracování osobních údajů fyzických osob, vůči nimž je Správce v postavení správce ve smyslu čl. 4 odst. 7 GDPR. Tato DPA upravuje podmínky, za nichž Zpracovatel zpracovává taková data jménem Správce.

V případě rozporu mezi touto DPA a Hlavní smlouvou má v otázkách ochrany osobních údajů přednost tato DPA.

Článek 1 - Definice

Pro účely této Smlouvy mají níže uvedené pojmy následující význam:

  • "GDPR" - Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů.
  • "Osobní údaje Správce" - osobní údaje, které Správce předává Zpracovateli ke zpracování v rámci využívání Služby, nebo které Zpracovatel zpracovává jménem Správce v důsledku poskytování Služby.
  • "Subjekt údajů" - fyzická osoba, jejíž osobní údaje jsou zpracovávány; zejména klienti, zaměstnanci nebo jiné fyzické osoby, jejichž data Správce prostřednictvím Platformy zpracovává.
  • "Zpracování" - jakákoli operace nebo soubor operací s osobními údaji ve smyslu čl. 4 odst. 2 GDPR.
  • "Porušení zabezpečení" - porušení zabezpečení vedoucí k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému zpřístupnění osobních údajů.
  • "Sub-zpracovatel" - třetí strana zapojená Zpracovatelem ke zpracování osobních údajů jménem Správce.
  • "Standardní smluvní doložky" / "SCC" - standardní smluvní doložky pro předávání osobních údajů do třetích zemí přijaté Evropskou komisí.
  • "EHP" - Evropský hospodářský prostor.

Ostatní pojmy mají tentýž význam jako v GDPR nebo v Hlavní smlouvě.

Článek 2 - Předmět a povaha zpracování

2.1 Předmět zpracování

Zpracovatel zpracovává Osobní údaje Správce výhradně za účelem poskytování Služby dle Hlavní smlouvy, konkrétně:

  • zpracování právních dokumentů, smluv a jiných textů prostřednictvím AI modelů;
  • provádění právního výzkumu na základě dotazů obsahujících osobní údaje;
  • ukládání a správa konverzací a projektů v rámci Platformy;
  • technická podpora a provoz Platformy.

2.2 Povaha zpracování

Zpracování probíhá automatizovaně prostřednictvím AI modelů (Claude, Anthropic) a zahrnuje zejména: čtení, analýzu, sumarizaci, klasifikaci a ukládání osobních údajů obsažených v dokumentech a dotazech předaných Správcem.

2.3 Kategorie subjektů údajů

Zpracování se může týkat následujících kategorií subjektů údajů:

  • klienti Správce (fyzické osoby);
  • zaměstnanci nebo spolupracovníci Správce;
  • protistrany v právních věcech;
  • jiné fyzické osoby uvedené v dokumentech předaných Správcem ke zpracování.

2.4 Kategorie osobních údajů

Zpracovávané osobní údaje mohou zahrnovat zejména:

  • identifikační údaje (jméno, příjmení, datum narození, rodné číslo);
  • kontaktní údaje (adresa, email, telefon);
  • údaje o právních věcech a sporech;
  • finanční a majetkové údaje;
  • zvláštní kategorie osobních údajů dle čl. 9 GDPR (zdravotní údaje, údaje o trestních řízeních apod.), pokud jsou obsaženy v předaných dokumentech.

2.5 Trvání zpracování

Zpracování trvá po dobu platnosti Hlavní smlouvy, není-li v této DPA stanoveno jinak.

Článek 3 - Povinnosti Zpracovatele

Zpracovatel se zavazuje k následujícím povinnostem:

3.1 Zpracování výhradně dle pokynů Správce

Zpracovatel zpracovává Osobní údaje Správce výhradně na základě doložených pokynů Správce, jimiž jsou zejména: Hlavní smlouva, tato DPA a pokyny udělené Správcem prostřednictvím Platformy.

3.2 Důvěrnost

Zpracovatel zajistí, aby osoby oprávněné zpracovávat Osobní údaje Správce byly vázány povinností mlčenlivosti, a to buď smluvní, nebo zákonnou.

3.3 Technická a organizační bezpečnostní opatření

Zpracovatel implementuje a udržuje technická a organizační opatření přiměřená riziku zpracování v souladu s čl. 32 GDPR. Tato opatření zahrnují:

Technická opatření:

  • Zero-knowledge architektura: obsah konverzací je šifrován třemi nezávislými vrstvami AES-256-GCM přímo na zařízení Správce; Zpracovatel nemá technický přístup k nešifrovanému obsahu.
  • Šifrování dat v klidu a při přenosu (AES-256-GCM, TLS).
  • Derivace šifrovacích klíčů pomocí PBKDF2-SHA256 (600 000 iterací).
  • Vícefaktorová autentizace (WebAuthn, TOTP 2FA).
  • Databázová izolace dat jednotlivých zákazníků (Row Level Security).
  • Rate limiting a anomaly detection.
  • Automatické mazání session klíčů po 2 hodinách neaktivity.

Organizační opatření:

  • Přístup k systémům na principu nejnižších privilegií.
  • Pravidelné interní bezpečnostní přezkoumání.
  • Bezpečnostní logy uchovávány 90 dní.

3.4 Zapojení Sub-zpracovatelů

Správce uděluje Zpracovateli obecné předchozí povolení k zapojení Sub-zpracovatelů. Aktuální seznam Sub-zpracovatelů tvoří Přílohu č. 1 této DPA.

Zpracovatel před zapojením nového nebo změnou stávajícího Sub-zpracovatele informuje Správce s předstihem nejméně 30 dní.

3.5 Pomoc Správci při plnění povinností

Zpracovatel pomáhá Správci při plnění jeho povinností dle GDPR, včetně vyřizování žádostí subjektů údajů a zajišťování souladu s čl. 32-36 GDPR.

3.6 Hlášení porušení zabezpečení

Zpracovatel bez zbytečného odkladu, nejpozději do 48 hodin od zjištění, informuje Správce o jakémkoli Porušení zabezpečení týkajícím se Osobních údajů Správce.

3.7 Posouzení vlivu na ochranu osobních údajů (DPIA)

Pokud Správce hodlá provádět zpracování, které si vyžaduje DPIA dle čl. 35 GDPR, poskytne Zpracovatel Správci dostupné informace potřebné k provedení takového posouzení.

3.8 Výmaz nebo vrácení dat po ukončení smlouvy

Po ukončení Hlavní smlouvy Zpracovatel vymaže nebo vrátí veškeré Osobní údaje Správce do 30 dní, dle volby Správce.

Článek 4 - Povinnosti Správce

Správce prohlašuje a zaručuje, že:

  • má zákonný právní základ pro zpracování Osobních údajů, které předává Zpracovateli ke zpracování;
  • poskytl subjektům údajů veškeré informace požadované GDPR;
  • pokyny udělené Zpracovateli jsou v souladu s GDPR;
  • před předáním zvláštních kategorií osobních údajů posoudil zákonnost takového zpracování;
  • neprodleně informuje Zpracovatele o jakékoli změně, která by mohla mít vliv na povinnosti Zpracovatele.

Článek 5 - Předávání osobních údajů do třetích zemí

5.1 Předávání v rámci EHP

Zpracovatel primárně zpracovává Osobní údaje Správce v rámci EHP (Supabase EU Frankfurt, Hetzner EU Frankfurt, Qdrant EU Frankfurt).

5.2 Předávání mimo EHP

Někteří Sub-zpracovatelé sídlí mimo EHP, zejména v USA (Anthropic, Vercel, Stripe, SendGrid, SerpAPI, Brave Search, IPInfo). Předávání do těchto zemí probíhá na základě Standardních smluvních doložek (SCC) a/nebo rozhodnutí o přiměřenosti (EU-U.S. Data Privacy Framework).

5.3 Zvláštní podmínky pro předávání dat Anthropic

Správce bere na vědomí, že obsah konverzací je předáván ke zpracování AI modely Anthropic (USA). Anthropic nezpracovává data zaslaná přes API za účelem trénování svých modelů. Toto předávání je zajištěno SCC.

Článek 6 - Práva na audit

Zpracovatel zpřístupní Správci veškeré informace nezbytné k doložení souladu s čl. 28 GDPR a umožní audity nebo inspekce prováděné Správcem.

Audit musí být oznámen nejméně 30 dní předem, prováděn v běžné pracovní době a omezen na informace nezbytné pro ověření souladu.

Náklady na audit nese Správce, pokud audit neodhalí podstatné porušení.

Článek 7 - Odpovědnost

Každá Smluvní strana odpovídá druhé Smluvní straně za škody způsobené porušením povinností dle této DPA nebo GDPR.

Odpovědnost Zpracovatele nepřesáhne celkovou výši plateb uhrazených Správcem v posledních 12 měsících, s výjimkou hrubé nedbalosti nebo úmyslného jednání.

Pokud dozorový úřad uloží Správci pokutu v důsledku porušení Zpracovatele, uhradí Zpracovatel přiměřenou část odpovídající míře svého zavinění.

Článek 8 - Trvání a ukončení

Tato DPA je účinná po celou dobu platnosti Hlavní smlouvy mezi Smluvními stranami.

Tato DPA zaniká automaticky s ukončením Hlavní smlouvy. Ustanovení, která mají ze své povahy přetrvat ukončení (zejm. čl. 3.8, čl. 7), zůstávají v platnosti.

Článek 9 - Závěrečná ustanovení

Tato DPA se řídí právem České republiky, zejména zákonem č. 89/2012 Sb., občanský zákoník, a GDPR.

Veškeré spory vzniklé z této DPA budou řešeny věcně příslušnými soudy České republiky.

Zpracovatel může tuto DPA měnit v rozsahu nezbytném pro zajištění souladu s GDPR. O podstatných změnách bude Správce informován nejméně 30 dní předem.

Pokud se jakékoli ustanovení ukáže jako neplatné, zůstávají ostatní ustanovení v plné platnosti.

Tato DPA spolu s Hlavní smlouvou a Zásadami ochrany osobních údajů tvoří úplnou dohodu ohledně zpracování osobních údajů.

Příloha č. 1 - Seznam Sub-zpracovatelů

Sub-zpracovatel Sídlo Účel Předávaná data
Anthropic, PBC USA Zpracování AI dotazů (Claude API) Obsah konverzací, dokumenty k analýze
Supabase, Inc. EU (Frankfurt) Databáze a autentizace Veškerá uživatelská data (v zašifrované podobě)
Vercel, Inc. USA / EU Serverless hosting Request logy, API volání
Hetzner Online GmbH EU (Frankfurt) Vlastní servery (vektorová DB, bezpečnostní logy) Security logy, zpracování dokumentů
Qdrant EU (Frankfurt) Vektorová databáze pro veřejnou legislativu Embeddings veřejných právních zdrojů - žádná uživatelská data
Stripe, Inc. USA (EU compliance) Platební brána Platební údaje, fakturační data
Twilio SendGrid USA Emailová komunikace Emailové adresy, notifikační emaily
SerpAPI USA Webové vyhledávání Vyhledávací dotazy
Brave Search USA Alternativní webové vyhledávání Vyhledávací dotazy
IPInfo USA Geolokace IP adres IP adresy uživatelů

Zpracovatel si vyhrazuje právo tento seznam aktualizovat dle čl. 3.4 této DPA.

Příloha č. 2 - Technická a organizační bezpečnostní opatření

Tato příloha popisuje bezpečnostní opatření implementovaná ve smyslu čl. 32 GDPR.

Šifrování a kryptografie

  • Šifrování konverzací: AES-256-GCM (3 vrstvy), 12-byte IV, 128-bit auth tag, unikátní klíče per konverzace
  • Derivace klíčů: PBKDF2-SHA256, 600 000 iterací
  • Hashování hesel: PBKDF2, 600 000 iterací, constant-time porovnání
  • Přenos dat: TLS 1.2+, HTTPS enforced

Přístupová kontrola

  • Vícefaktorová autentizace: WebAuthn (FIDO2) a TOTP
  • Row Level Security (RLS) na úrovni databáze Supabase
  • Přístup zaměstnanců na principu nejnižších privilegií
  • Session timeout: 2 hodiny neaktivity, max. 24 hodin

Odolnost a dostupnost

  • Serverless architektura (Vercel edge functions) pro horizontální škálování
  • Primární data v EU (Frankfurt)
  • Rate limiting na úrovni IP adresy i uživatele

Monitoring a auditování

  • Bezpečnostní logy uchovávány 90 dní
  • Anomaly detection: 5 incidentů spouští 5minutový lockout
  • Kryptografické operace logovány (success/failure)

Zero-Knowledge architektura

  • Heslo uživatele nikdy neopustí jeho zařízení
  • Derivace klíčů probíhá výhradně client-side
  • Zpracovatel nemá technický přístup k obsahu konverzací

Kontakt

LexAI Technologies, s.r.o.

Školská 660/3, Praha 1 - Nové Město, 110 00 Praha 1

Email: support@lexaitechnologies.com

Web: www.lexaitechnologies.com

Verze 1.0 - šablona, upravit před podpisem dle konkrétního zákazníka