Zásady ochrany osobních údajů

Attorly působí podle GDPR ve dvou rolích, v závislosti na typu dat. Ve vztahu k údajům o účtu (jméno, e-mail, fakturační údaje, protokoly užívání, zprávy adresované podpoře) vystupuje Getia AS jako správce údajů a určuje účely a prostředky zpracování. Ve vztahu k dokumentům, konceptům a dalšímu obsahu, který nahráváte za účelem provádění právní práce („Customer Content“), vystupuje Getia AS jako zpracovatel jménem Vás nebo Vaší organizace; tento vztah se řídí Smlouvou o zpracování osobních údajů, která je k dispozici na /dpa.

Shromažďujeme: (a) identifikační a účtové údaje (jméno, e-mail, hash hesla, organizaci, role v pracovním prostoru, zvolený jazyk); (b) fakturační údaje (stát, případně DIČ, stav předplatného, stav zkušebního období, historii faktur — úplné údaje o platebních kartách uchovává Stripe, nikoli Attorly); (c) Customer Content, který nahrajete (dokumenty, koncepty, poznámky, události časové osy, rešerše); (d) technické údaje nezbytné k provozu služby (IP adresu, relační cookies, auditní záznamy významných akcí, geolokaci na úrovni státu získanou od Cloudflare pro výběr měny a prevenci podvodů); (e) komunikaci, kterou zasíláte podpoře. Citlivé údaje zvláštní kategorie neshromažďujeme, pokud se neobjeví v Customer Content — v takovém případě je zpracováváme výhradně podle Vašich pokynů.

Vaše údaje zpracováváme pro: (a) poskytování služby (čl. 6 odst. 1 písm. b) GDPR, smlouva); (b) plnění právních povinností, zejména daňových a účetních (čl. 6 odst. 1 písm. c)); (c) zasílání transakčních e-mailů o Vašem účtu, fakturaci a kritických aktualizacích služby (čl. 6 odst. 1 písm. b) a f)); (d) zabezpečení služby a prevenci zneužití (čl. 6 odst. 1 písm. f), oprávněný zájem); (e) zlepšování služby prostřednictvím agregovaných, deidentifikovaných analytik (čl. 6 odst. 1 písm. f)); a (f) zasílání marketingové komunikace v případech, kdy s ní vyslovíte souhlas (čl. 6 odst. 1 písm. a)), který můžete kdykoli odvolat. Customer Content zpracovávají naši AI podzpracovatelé (uvedení na stránce Subprocessors) výhradně za účelem dodání výstupu, který si vyžádáte. Customer Content nepoužíváme k trénování vlastních ani žádných třetích AI modelů.

Údaje o účtu jsou uchovávány po dobu, kdy je váš účet aktivní. Při uzavření účtu odstraníme údaje o účtu a obsah zákazníka do 30 dnů, pokud delší uchovávání nevyžaduje zákon nebo není nutné pro řešení sporů. Faktury a záznamy o platbách jsou uchovávány po dobu vyžadovanou norským zákonem o účetnictví (bokføringsloven) (v současnosti 5 let od konce účetního období). Záznamy o neúspěšných platbách a prevenci podvodů jsou uchovávány po dobu až 12 měsíců. Auditní záznamy administrativních akcí a akcí v administrátorském panelu jsou uchovávány po dobu 2 let (Art. 32 bezpečnost). Analytická data jsou uchovávána v agregované, anonymizované podobě. Úplný harmonogram uchovávání je zveřejněn v naší Smlouvě o zpracování údajů.

Používáme standardní oborové šifrování a bezpečnostní opatření. Customer Content a citlivá pole jsou v klidovém stavu šifrovány autentizovaným šifrováním (AES-256-GCM); v rámci dostupných plánů podporujeme šifrování vlastním klíčem (BYOK). Veškerý síťový provoz je šifrován při přenosu pomocí TLS 1.2 nebo vyššího. Přístup k produkčním datům mají pouze jmenovitě určení inženýři s vícefaktorovým ověřením a s kompletním auditem. Průběžně provádíme automatizované skenování zranitelností a dodržujeme postupy zodpovědného oznamování; bezpečnostní problémy hlaste na security@attorly.ai.

Vaše osobní údaje nikdy neprodáváme. Sdílíme je pouze s podzpracovateli nezbytnými k poskytování služby, a to na základě písemných smluv o zpracování, které zrcadlí závazky, jež jsme vůči Vám přijali. Aktuální seznam zveřejňujeme na /subprocessors a aktualizujeme jej nejméně 30 dnů před jakoukoli podstatnou změnou. Přenosy k podzpracovatelům mimo EHP jsou kryty Standardními smluvními doložkami (SCCs), rámcem EU–US Data Privacy Framework tam, kde je to použitelné, nebo jiným zákonným mechanismem přenosu, spolu s doplňujícími opatřeními, jako je šifrování a řízení přístupu (Schrems II).

Na základě GDPR máte právo na přístup k osobním údajům, jejich opravu, výmaz, přenositelnost a omezení zpracování, právo vznést námitku proti zpracování na základě oprávněných zájmů a odvolat jakýkoli udělený souhlas. Většinu těchto práv můžete uplatnit přímo z nastavení svého účtu (export dat, uzavření účtu). Pro jakýkoli jiný požadavek, nebo pokud nejste spokojeni s naší odpovědí, kontaktujte privacy@attorly.ai — odpovíme do 30 dnů. Máte právo podat stížnost u dozorového úřadu, včetně norského Úřadu pro ochranu údajů (Datatilsynet) na datatilsynet.no.

Používáme nezbytně nutné cookies (přihlašovací relace, ochrana CSRF, předvolba souhlasu s cookies), u nichž souhlas nepotřebujeme. Volitelné analytické cookies používáme pouze v případě, že k nim dáte souhlas v cookie banneru. Své předvolby můžete kdykoli spravovat prostřednictvím odkazu na nastavení cookies v patičce webu.

Attorly je B2B právní platforma a není určena osobám mladším 18 let. Vědomě neshromažďujeme osobní údaje dětí. Pokud se domníváte, že nám dítě poskytlo osobní údaje, kontaktujte privacy@attorly.ai — bez zbytečného odkladu je smažeme.

Tyto zásady ochrany osobních údajů můžeme aktualizovat. O podstatných změnách Vás vyrozumíme e-mailem a v produktu alespoň 30 dnů před nabytím účinnosti. Upřesnění, překlepy a změny vyžadované zákonem můžeme provádět s okamžitou účinností.

V otázkách ochrany soukromí kontaktujte privacy@attorly.ai. Správce: Getia AS, Oslo, Norsko. Obvykle odpovídáme do 30 dnů. Pověřence pro ochranu osobních údajů jsme nejmenovali, neboť k tomu nejsme podle čl. 37 GDPR povinni, avšak adresa privacy@attorly.ai doručí zprávu osobě odpovědné za ochranu osobních údajů v Getia AS.