Vaše data, Vaše kontrola

1. Úvod a základní principy

LexAI Technologies, s.r.o. (dále jen ‚LexAI' nebo ‚my') provozuje platformu LexAI — AI asistovaný právní nástroj (dále jen ‚Platforma'). Při zpracování osobních údajů se zavazujeme chránit soukromí našich uživatelů a dodržovat veškeré platné právní předpisy, zejména:

• Regulation (EU) 2016/679 (GDPR) — obecné nařízení o ochraně osobních údajů;
• Act No. 110/2019 Coll. — o zpracování osobních údajů (český prováděcí předpis);
• příslušné odvětvové právní požadavky.

Naše základní principy

• Architektura zaměřená na soukromí: Platforma je postavena na principu nulových znalostí — obsah Vašich konverzací je šifrován přímo na Vašem zařízení; my jako Provozovatel k němu nemáme technický přístup.
• Žádné trénování AI: Nikdy nepoužíváme Vaše data k trénování AI modelů. Používáme výhradně komerční Anthropic Claude API.
• Minimalizace dat: Shromažďujeme pouze data nezbytná pro poskytování Služby.
• Transparentnost: Přesně Vám říkáme, co shromažďujeme, proč a jak dlouho.

2. Kdo jsme (Správce údajů)

Správcem údajů ve smyslu článku 4 odst. 7 GDPR je:

Společnost

LexAI Technologies, s.r.o.

IČO (Company ID)

23589825

Sídlo

Školská 660/3, Praha 1 - Nové Město 110 00 Praha 1

E-mail

support@lexaitechnologies.com

Web

www.lexaitechnologies.com

LexAI neurčil pověřence pro ochranu osobních údajů (DPO), protože to není povinné vzhledem k povaze a rozsahu prováděného zpracování. S jakýmikoliv dotazy ohledně ochrany údajů se prosím obracejte na: support@lexaitechnologies.com.

3. Jaké osobní údaje zpracováváme a proč

3.1 Kategorie zpracovávaných údajů

3.2 Zvláštní kategorie osobních údajů

LexAI záměrně nezpracovává zvláštní kategorie osobních údajů ve smyslu článku 9 GDPR (zdravotní údaje, biometrické údaje, rasový či etnický původ atd.) v rámci registrace nebo nastavení profilu.

Upozorňujeme však, že uživatelé mohou nahrávat právní dokumenty, které obsahují zvláštní kategorie osobních údajů (např. smlouvy, soudní podání, lékařské zprávy v kontextu soudního sporu). V takových případech:

• LexAI zpracovává tyto dokumenty výhradně jako technický zprostředkovatel jednající na pokyn uživatele;
• odpovědnost za zákonnost zpracování takových údajů v nahraných dokumentech nese uživatel;
• takové dokumenty jsou šifrovány na zařízení uživatele (architektura nulových znalostí) a LexAI k nim nemá přístup v nešifrované podobě.

4. Architektura nulových znalostí a šifrování

Tato část je klíčová pro pochopení toho, jak LexAI nakládá s Vašimi konverzacemi a dokumenty.

4.1 Co to znamená v praxi

LexAI provozuje architekturu nulových znalostí inspirovanou ProtonMailem. To konkrétně znamená:

• Vaše heslo nikdy neopustí Váš prohlížeč. Veškeré odvozování kryptografických klíčů probíhá výhradně na Vašem zařízení (na straně klienta). Vaše heslo není nikdy přenášeno na naše servery v jakékoli podobě.
• Obsah Vašich konverzací je šifrován třemi nezávislými vrstvami (AES-256-GCM) přímo ve Vašem prohlížeči před odesláním na naše servery.
• Na našich serverech ukládáme pouze šifrovaná data. Nemáme technickou možnost číst obsah Vašich konverzací ani obnovit Vaše heslo.

4.2 Technické parametry šifrování

4.3 Co server ukládá a nikdy nevidí

Co server nikdy nevidí v nešifrované podobě:

• Uživatelský Master Key
• Recovery Phrase (ukládáme pouze jeho PBKDF2 hash)
• Obsah konverzací
• Šifrovací klíče konverzací
• Heslo uživatele

Co server ukládá (vše šifrované):

• Šifrovaný Master Key (šifrovaný klíčem zařízení nebo recovery klíčem)
• PBKDF2 hash Recovery Phrase + salt
• Šifrované klíče konverzací (content key, transport key, storage key — vše šifrováno Master Key)

4.4 Recovery Phrase

12slovná Recovery Phrase je jediným prostředkem pro obnovení přístupu k datům v případě ztráty hesla. Server ukládá pouze její hash (PBKDF2). LexAI nemůže obnovit přístup k datům žádnou jinou metodou. Uživatel je výhradně odpovědný za bezpečné uložení své Recovery Phrase.

4.5 Automatické mazání klíčů

5. Zpracování dat pro AI asistenci (Anthropic)

5.1 Jak funguje zpracování AI dotazů

Když odešlete dotaz do AI chatu nebo nahrajete dokument k analýze:

1. Data jsou dešifrována výhradně na Vašem zařízení (v paměti prohlížeče).
2. Dešifrovaný obsah je odeslán přes zabezpečené HTTPS spojení na servery LexAI (serverless Vercel edge funkce).
3. Serverless funkce předá obsah Anthropic API ke zpracování AI modelem.
4. AI odpověď je vrácena, šifrována na Vašem zařízení a uložena na serverech LexAI v šifrované podobě.

5.2 Anthropic jako zpracovatel

Anthropic (Anthropic, PBC, USA) zpracovává obsah Vašich dotazů a dokumentů jako náš zpracovatel údajů v souladu s jejich API podmínkami a Smlouvou o zpracování údajů. Klíčové body:

• Anthropic nepoužívá data odeslaná prostřednictvím API k trénování svých modelů (podle jejich aktuálních API podmínek).
• Data zpracovaná společností Anthropic podléhají Zásadám ochrany soukromí Anthropic (dostupné na anthropic.com).
• Servery Anthropic jsou primárně umístěny v USA; přenosy dat probíhají na základě Standardních smluvních doložek (SCC) podle článku 46 GDPR.

6. Subdodavatelé a třetí strany

LexAI využívá následující subdodavatele pro zpracování dat. Přijetím těchto Zásad ochrany soukromí souhlasíte s přenosem dat těmto subdodavatelům v rozsahu popsaném níže.

Přenosy do třetích zemí

Několik subdodavatelů (Anthropic, Vercel, Stripe, SendGrid, SerpAPI, Brave Search, IPInfo) má sídlo v USA. Přenosy dat do USA jsou prováděny na základě Standardních smluvních doložek (SCC) podle článku 46 odst. 2 písm. c) GDPR, nebo v souladu s rozhodnutím o přiměřenosti EU–USA Data Privacy Framework, pokud je to relevantní.

7. Cookies a sledování

LexAI nepoužívá cookies ani podobné sledovací technologie pro marketingové nebo analytické účely. Z tohoto důvodu nevyžadujeme souhlas s cookies a neimplementujeme cookie banner.

Platforma může technicky využívat session storage a IndexedDB výhradně pro bezpečné ukládání šifrovacích klíčů na zařízení uživatele (viz část 4). Toto úložiště je nezbytné pro fungování architektury nulových znalostí a není používáno ke sledování uživatele.

8. Uchovávání dat

Po uplynutí příslušné doby uchovávání jsou data bezpečně smazána nebo anonymizována.

9. Vaše práva (práva subjektu údajů)

Jako subjekt údajů podle GDPR máte následující práva:

9.1 Právo na přístup (článek 15 GDPR)

Máte právo získat potvrzení o tom, zda zpracováváme Vaše osobní údaje, a pokud ano, získat jejich kopii spolu s informacemi o zpracování.

9.2 Právo na opravu (článek 16 GDPR)

Máte právo požádat o opravu nepřesných nebo doplnění neúplných osobních údajů.

9.3 Právo na výmaz — ‚právo být zapomenut' (článek 17 GDPR)

Máte právo požádat o výmaz Vašich osobních údajů, pokud:

• osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny;
• odvoláte souhlas, na jehož základě bylo zpracování založeno;
• vznesete námitku proti zpracování a neexistují žádné převažující oprávněné důvody.

Výmaz lze provést přímo v nastavení platformy (smazání účtu) nebo kontaktováním support@lexaitechnologies.com. Výmaz se nevztahuje na údaje, které jsme ze zákona povinni uchovávat (zejména faktury a účetní záznamy).

9.4 Právo na omezení zpracování (článek 18 GDPR)

Máte právo požádat o omezení zpracování Vašich osobních údajů v případech stanovených GDPR (např. pokud je zpochybněna přesnost údajů nebo byla podána námitka).

9.5 Právo na přenositelnost údajů (článek 20 GDPR)

Máte právo obdržet své osobní údaje ve strukturovaném, běžně používaném a strojově čitelném formátu a předat je jinému správci. Platforma poskytuje funkci exportu dat (endpoint pro export dat).

9.6 Právo vznést námitku (článek 21 GDPR)

Máte právo vznést námitku proti zpracování osobních údajů prováděnému na základě oprávněného zájmu (článek 6 odst. 1 písm. f) GDPR). V takovém případě ukončíme zpracování, pokud neprokážeme závažné oprávněné důvody, které převažují nad Vašimi právy a zájmy.

9.7 Právo odvolat souhlas

Je-li zpracování založeno na souhlasu (pokud je to relevantní), lze souhlas kdykoliv odvolat bez jakýchkoliv negativních důsledků pro již provedené zpracování.

9.8 Jak uplatnit svá práva

Žádosti o uplatnění svých práv zasílejte na: support@lexaitechnologies.com. Odpovíme bez zbytečného odkladu a v každém případě do 30 dnů od obdržení Vaší žádosti. V případě složitých nebo rozsáhlých žádostí může být tato lhůta prodloužena o dalších 60 dnů, o čemž Vás budeme informovat.

9.9 Právo podat stížnost u dozorového úřadu

Máte právo podat stížnost u dozorového úřadu pro ochranu osobních údajů. Vedoucím dozorovým úřadem pro LexAI je:

Můžete se také obrátit na dozorový úřad v členském státě EU Vašeho obvyklého bydliště, místa výkonu práce nebo místa údajného porušení.

10. Bezpečnostní opatření

LexAI zavádí komplexní technická a organizační bezpečnostní opatření:

Technická opatření

• HTTPS: Veškerá komunikace je šifrována pomocí TLS.
• Šifrování s nulovými znalostmi: AES-256-GCM s třívrstvým šifrováním konverzací (viz část 4).
• Omezení rychlosti: Omezení požadavků na úrovni IP adresy a uživatele; specifické limity pro kryptografické operace (dešifrování: 15/s, šifrování: 20/s, odvození klíče: 2/s).
• WebAuthn / TOTP 2FA: Podpora přihlášení bez hesla a dvoufaktorové autentizace.
• Row Level Security (RLS): Izolace dat jednotlivých uživatelů na úrovni databáze v rámci Supabase.
• Sanitace vstupů: Ochrana proti XSS útokům (DOMPurify).
• CORS omezení: Omezení přístupu k API.
• Vazba relace: XOR token specifický pro záložku zabraňující zneužití odcizených dat relace.
• Neexportovatelné klíče: Šifrovací klíče vytvořené s příznakem extractable: false; prohlížeč zabraňuje jejich exportu.
• Vazba na zařízení a opětovné ověření hesla: Opětovné ověření vyžadováno každých 14 dní.
• Detekce anomálií: 5 bezpečnostních incidentů → 5minutové uzamčení.

Organizační opatření

• Přístup k systémům LexAI je omezen na oprávněné pracovníky na principu nejmenších oprávnění.
• Bezpečnostní protokoly jsou uchovávány 90 dní.
• Pravidelné interní bezpečnostní revize (revize kódu, kontrola konfigurace, bezpečnostní testování).

Oznámení o bezpečnostním incidentu

V případě porušení zabezpečení osobních údajů, které pravděpodobně povede k riziku pro práva a svobody fyzických osob, oznámíme dozorovému úřadu (ÚOOÚ) do 72 hodin od zjištění porušení. Pokud porušení pravděpodobně povede k vysokému riziku pro Vaše práva a svobody, oznámíme Vám to bez zbytečného odkladu.

11. Zpracování údajů dětí

Platforma není určena osobám mladším 18 let. LexAI vědomě neshromažďuje osobní údaje od dětí. Pokud zjistíme, že jsme shromáždili osobní údaje od osoby mladší 18 let bez ověřeného souhlasu rodiče nebo zákonného zástupce, takové údaje bez zbytečného odkladu vymažeme.

Pokud máte důvod se domnívat, že osoba mladší 18 let nám poskytla své osobní údaje, kontaktujte nás prosím na support@lexaitechnologies.com.

12. Právní základy zpracování — shrnutí

Pokud je zpracování založeno na oprávněném zájmu, provádíme test proporcionality vážící oprávněné zájmy LexAI (bezpečnost platformy, prevence podvodů, zlepšení služby) proti právům a svobodám uživatelů. Máte právo kdykoli vznést námitku (viz část 9.6).

13. Změny těchto Zásad ochrany soukromí

LexAI si vyhrazuje právo kdykoli změnit tyto Zásady ochrany soukromí. Uživatelé budou o podstatných změnách informováni e-mailem nebo oznámením v rámci platformy nejméně 14 dní před nabytím účinnosti změn. Datum poslední aktualizace je vždy uvedeno v záhlaví tohoto dokumentu.

Pokračování v používání platformy po datu účinnosti jakýchkoli změn představuje přijetí aktualizovaných Zásad ochrany soukromí.

14. Kontakt a dotazy

S jakýmikoliv dotazy ohledně zpracování Vašich osobních údajů, uplatnění Vašich práv nebo těchto Zásad ochrany soukromí nás prosím kontaktujte:

Odpovíme do 30 dnů od obdržení Vaší žádosti.