Zmluva o spracúvaní osobných údajov

Táto zmluva o spracúvaní osobných údajov (ďalej len „DPA“) upravuje spracúvanie osobných údajov podľa čl. 28 GDPR. Uzatvára sa medzi užívateľom služby Lextana ako prevádzkovateľom (advokát / advokátska kancelária) a poskytovateľom služby Lextana (Inger s.r.o., so sídlom Azalková 6524/10, 974 01 Banská Bystrica, IČO 50 178 831) ako sprostredkovateľom. DPA je neoddeliteľnou súčasťou hlavnej zmluvy (VOP).

1. Predmet a trvanie spracúvania

Sprostredkovateľ spracúva osobné údaje výlučne za účelom poskytovania služby podľa VOP a podľa zdokumentovaných pokynov prevádzkovateľa. Spracúvanie trvá počas platnosti hlavnej zmluvy.

2. Povaha, účel a kategórie údajov

• Povaha a účel: ukladanie, vyhľadávanie, indexovanie, generovanie návrhov dokumentov a ďalšie operácie nevyhnutné pre chod služby.
• Kategórie dotknutých osôb: klienti advokáta, protistrany, dotknuté osoby v spisoch, kontaktné osoby.
• Kategórie údajov: identifikačné a kontaktné údaje, obsah spisov a korešpondencie, prípadne osobitné kategórie údajov podľa čl. 9 GDPR, ak ich prevádzkovateľ do služby nahrá.

3. Povinnosti sprostredkovateľa

• Spracúvať údaje len na základe zdokumentovaných pokynov prevádzkovateľa.
• Zaviazať osoby oprávnené spracúvať údaje povinnosťou mlčanlivosti.
• Prijať primerané technické a organizačné opatrenia podľa čl. 32 GDPR.
• Poskytovať súčinnosť pri výkone práv dotknutých osôb a pri plnení povinností podľa čl. 32–36 GDPR.
• Po ukončení spracúvania na pokyn prevádzkovateľa údaje vymazať alebo vrátiť a vymazať existujúce kópie, ak právo nevyžaduje ich uchovanie.
• Sprístupniť prevádzkovateľovi informácie potrebné na preukázanie súladu a umožniť audit / inšpekcie v primeranom rozsahu.

4. Mlčanlivosť a advokátske tajomstvo

Sprostredkovateľ rešpektuje povinnosť mlčanlivosti advokáta a ochranu dôvernosti vzťahu advokát – klient. Technické a organizačné opatrenia sú navrhnuté tak, aby logovanie a audit neviedli k úniku obsahu chráneného advokátskym tajomstvom.

5. Sub-sprostredkovatelia

Prevádzkovateľ udeľuje všeobecné povolenie na zapojenie sub-sprostredkovateľov. Sprostredkovateľ s nimi uzatvára zmluvy s rovnakými povinnosťami ochrany údajov a informuje o zamýšľaných zmenách, čím dáva prevádzkovateľovi možnosť namietať. Aktuálni sub-sprostredkovatelia:

• Hetzner Online GmbH — hosting a infraštruktúra (Norimberg, Nemecko, EÚ).
• Anthropic — poskytovateľ jazykových modelov (LLM API); spracúva výlučne redigovaný (anonymizovaný) vstup, pozri čl. 6.
• Mistral AI (Mistral SAS) — rozpoznávanie osobných údajov (NER) pre anonymizačnú vrstvu (Paríž, Francúzsko, EÚ). Pre tento účel spracúva pôvodný (ešte neredigovaný) text, aby v ňom identifikoval osobné údaje pred ich redakciou.
• Backblaze, Inc. — off-site zálohy, výlučne EÚ región (Amsterdam). Zálohy sa šifrujú na strane služby pred odoslaním; Backblaze nemá prístup k obsahu.
• Cloudflare — DNS, proxy a firewall webových aplikácií (WAF).
• Functional Software, Inc. (Sentry) — monitoring chýb, EÚ región (de.sentry.io); osobné údaje sa pred odoslaním odstraňujú (PII scrubbing).
• Resend — odosielanie transakčných e-mailov, EÚ región.
• Stripe — spracovanie platieb (po aktivácii platobných funkcií služby).
• Google — integrácia Gmail; výlučne na čítanie a len na pokyn prevádzkovateľa (užívateľa).
• Plausible Insights OÜ — bezsúborová (cookieless) analytika návštevnosti, EÚ.

6. Anonymizácia pred AI spracúvaním

Pred odoslaním obsahu do externého jazykového modelu sa uplatňuje redakcia / pseudonymizácia priamych identifikátorov (PII). Cieľom je minimalizovať množstvo osobných údajov sprístupnených tretím stranám pri AI funkciách. Tento mechanizmus je súčasťou technických opatrení podľa čl. 32 GDPR a podlieha priebežnému zlepšovaniu.

7. Bezpečnostné opatrenia (čl. 32)

• Šifrovanie údajov pri prenose (TLS) a pri uložení.
• Riadenie prístupu, viacúrovňová izolácia tenantov a princíp najmenších oprávnení.
• Auditný záznam (audit trail) o prístupoch a o akciách vykonaných umelou inteligenciou.
• Zálohovanie a postupy obnovy.
• Pravidelné posudzovanie a aktualizácia opatrení.

8. Lokalita údajov a prenosy

Osobné údaje sú spracúvané a uchovávané v rámci EÚ / EHP. Prípadné prenosy mimo EHP sa vykonajú len na základe primeraných záruk podľa kap. V GDPR (napr. štandardné zmluvné doložky).

9. Oznamovanie porušenia ochrany údajov

Sprostredkovateľ bez zbytočného odkladu informuje prevádzkovateľa po zistení porušenia ochrany osobných údajov a poskytne mu súčinnosť pri plnení oznamovacích povinností podľa čl. 33 a 34 GDPR.