Pravila privatnosti

Attorly ima dvije uloge prema GDPR-u ovisno o vrsti podataka. Za podatke o računu (ime, e-pošta, podaci za naplatu, zapisi o korištenju, poruke službi za podršku), Getia AS djeluje kao voditelj obrade i određuje svrhe i sredstva obrade. Za dokumente, nacrte i drugi sadržaj koji učitavate radi obavljanja pravnih poslova ("Korisnički sadržaj"), Getia AS djeluje kao izvršitelj obrade u Vaše ime ili u ime Vaše organizacije; Ugovor o obradi podataka uređuje taj odnos i dostupan je na /dpa.

Prikupljamo: (a) identifikacijske podatke i podatke o računu (ime, e-pošta, hash lozinke, organizacija, uloge u radnom prostoru, odabrani jezik); (b) podatke za naplatu (država, PDV broj gdje je primjenjivo, status pretplate, status probnog razdoblja, povijest faktura — potpune podatke o kartici drži Stripe, ne Attorly); (c) korisnički sadržaj koji učitavate (dokumenti, nacrti, bilješke, događaji na vremenskoj osi, istraživanja); (d) tehničke podatke neophodne za rad usluge (IP adresa, kolačići sesije, revizijski zapisi značajnih radnji, geolokacija na razini države od Cloudflarea za odabir valute i sprečavanje prijevara); (e) komunikaciju koju šaljete službi za podršku. Ne prikupljamo osjetljive posebne kategorije podataka, osim ako se pojavljuju u korisničkom sadržaju — u tom slučaju ih obrađujemo isključivo prema Vašim uputama.

Vaše podatke obrađujemo radi: (a) pružanja usluge (GDPR čl. 6(1)(b), ugovor); (b) ispunjavanja zakonskih obveza poput poreznih i računovodstvenih propisa (čl. 6(1)(c)); (c) slanja transakcijskih e-poruka o Vašem računu, naplati i kritičnim ažuriranjima usluge (čl. 6(1)(b) i (f)); (d) zaštite usluge i sprečavanja zlouporabe (čl. 6(1)(f), legitimni interes); (e) poboljšanja usluge putem agregiranih, deidentificiranih analitika (čl. 6(1)(f)); te (f) slanja marketinških obavijesti uz Vašu privolu (čl. 6(1)(a)), koju možete povući u bilo kojem trenutku. Korisnički sadržaj obrađuju naši AI podizvoditelji (navedeni na stranici Podizvoditelja) isključivo radi isporuke rezultata koji ste zatražili. Ne koristimo korisnički sadržaj za treniranje vlastitih niti bilo kojih AI modela trećih strana.

Podaci o računu čuvaju se dok je Vaš račun aktivan. Prilikom zatvaranja računa brišemo podatke o računu i korisnički sadržaj u roku od 30 dana, osim kada je zakonom propisano dulje čuvanje ili je to potrebno za rješavanje sporova. Računi i platni zapisi čuvaju se za razdoblje propisano norveškim zakonom o računovodstvu (trenutačno 5 godina od kraja financijske godine). Zapisi o neuspjelim plaćanjima i sprečavanju prijevara čuvaju se do 12 mjeseci. Revizijski zapisi administrativnih radnji i radnji u upravljačkoj ploči čuvaju se 2 godine (Art. 32 sigurnost). Analitički podaci čuvaju se u agregiranom, deidentificiranom obliku. Potpuni raspored čuvanja objavljen je u našem Ugovoru o obradi podataka.

Primjenjujemo enkripciju i sigurnosne mjere u skladu s industrijskim standardima. Korisnički sadržaj i osjetljiva polja kriptiraju se u mirovanju autentificiranom enkripcijom (AES-256-GCM); na primjenjivim planovima podržavamo korištenje vlastitog ključa (BYOK). Sav mrežni promet kriptiran je u prijenosu s TLS 1.2 ili novijom verzijom. Pristup proizvodnim podacima ograničen je na poimence određene inženjere, uz višefaktorsku provjeru autentičnosti i potpunu reviziju. Provodimo kontinuirano automatizirano skeniranje ranjivosti i pridržavamo se postupaka odgovornog otkrivanja; sigurnosne probleme prijavite na security@attorly.ai.

Nikada ne prodajemo Vaše osobne podatke. Dijelimo ih samo s podizvoditeljima koji su neophodni za pružanje usluge, na temelju pisanih ugovora o obradi podataka koji odražavaju naše obveze prema Vama. Trenutni popis objavljen je na /subprocessors i ažurira se najmanje 30 dana prije svake značajne promjene. Prijenosi podizvoditeljima izvan EGP-a pokriveni su standardnim ugovornim klauzulama (SCCs), okvirom EU–US Data Privacy Framework gdje je primjenjivo, ili drugim zakonitim mehanizmom prijenosa, uz dopunske mjere poput enkripcije i kontrole pristupa (Schrems II).

Prema GDPR-u imate pravo na pristup, ispravak, brisanje, prijenos i ograničenje obrade Vaših osobnih podataka, pravo na prigovor na obradu temeljenu na legitimnim interesima te na povlačenje svake dane privole. Većinu tih prava možete ostvariti izravno iz postavki računa (izvoz podataka, zatvaranje računa). Za svaki drugi zahtjev, ili ako niste zadovoljni našim odgovorom, obratite se na privacy@attorly.ai — odgovaramo u roku od 30 dana. Također imate pravo podnijeti pritužbu nadzornom tijelu, uključujući Norveško tijelo za zaštitu podataka (Datatilsynet) na datatilsynet.no.

Koristimo isključivo nužne kolačiće (sesija za provjeru autentičnosti, CSRF zaštita, postavka privole za kolačiće) za koje nije potrebna privola. Neobavezne analitičke kolačiće koristimo samo ako pristanete putem obavijesti o kolačićima. Svoje postavke možete promijeniti u bilo kojem trenutku putem poveznice za postavke kolačića u podnožju stranice.

Attorly je B2B pravna platforma i nije namijenjena osobama mlađim od 18 godina. Ne prikupljamo svjesno osobne podatke djece. Ako smatrate da nam je dijete dalo osobne podatke, obratite se na privacy@attorly.ai i izbrisat ćemo ih.

Ovu politiku privatnosti možemo ažurirati. O značajnim promjenama obavijestit ćemo Vas e-poštom i unutar proizvoda najmanje 30 dana prije stupanja na snagu. Pojašnjenja, tipografske ispravke i izmjene propisane zakonom mogu stupiti na snagu odmah.

Za pitanja o privatnosti obratite se na privacy@attorly.ai. Voditelj obrade: Getia AS, Oslo, Norveška. Obično odgovaramo u roku od 30 dana. Nismo imenovali službenika za zaštitu podataka jer to nismo obvezni prema GDPR čl. 37, ali e-pošta na privacy@attorly.ai dolazi do osobe odgovorne za zaštitu podataka u Getia AS.