Politika zasebnosti

Attorly ima po GDPR dve vlogi, odvisno od vrste podatkov. Pri podatkih o računu (ime, e-pošta, podatki za obračun, dnevniki uporabe, sporočila podpori) Getia AS nastopa kot upravljavec podatkov in določa namene ter sredstva obdelave. Pri dokumentih, osnutkih in drugi vsebini, ki jo naložite za opravljanje pravnega dela („Customer Content“), Getia AS nastopa kot obdelovalec v imenu Vas ali Vaše organizacije; to razmerje ureja Pogodba o obdelavi osebnih podatkov, ki je na voljo na /dpa.

Zbiramo: (a) identifikacijske in podatke o računu (ime, e-pošto, zgoščeno vrednost gesla, organizacijo, vloge v delovnem prostoru, izbrani jezik); (b) podatke za obračun (državo, po potrebi ID za DDV, status naročnine, status preizkusnega obdobja, zgodovino računov — popolne podatke o kartici hrani Stripe, ne Attorly); (c) Customer Content, ki ga naložite (dokumente, osnutke, opombe, dogodke časovnice, raziskave); (d) tehnične podatke, potrebne za delovanje storitve (naslov IP, sejne piškotke, revizijske dnevnike pomembnih dejanj, geolokacijo na ravni države iz Cloudflare za izbor valute in preprečevanje goljufij); (e) komunikacijo, ki jo pošljete podpori. Posebnih kategorij občutljivih podatkov ne zbiramo, razen če se pojavijo v Customer Content — v tem primeru jih obdelujemo izključno po Vaših navodilih.

Vaše podatke obdelujemo za: (a) zagotavljanje storitve (člen 6(1)(b) GDPR, pogodba); (b) izpolnjevanje zakonskih obveznosti, vključno z davčnimi in računovodskimi (člen 6(1)(c)); (c) pošiljanje transakcijskih e-sporočil o Vašem računu, obračunih in ključnih posodobitvah storitve (člen 6(1)(b) in (f)); (d) zavarovanje storitve in preprečevanje zlorab (člen 6(1)(f), zakoniti interes); (e) izboljšanje storitve z agregiranimi, deidentificiranimi analitičnimi podatki (člen 6(1)(f)); ter (f) pošiljanje trženjskih sporočil, če ste v to privolili (člen 6(1)(a)), kar lahko kadar koli prekličete. Customer Content obdelujejo naši podobdelovalci AI (navedeni na strani Subprocessors) izključno za dostavo rezultata, ki ga zahtevate. Customer Contenta ne uporabljamo za učenje lastnih ali kakršnih koli modelov AI tretjih oseb.

Podatke o računu hranimo, dokler je Vaš račun aktiven. Ob zaprtju računa izbrišemo podatke o računu in Customer Content v 30 dneh, razen kadar zakon zahteva daljše hranjenje ali je to potrebno za reševanje sporov. Račune in evidence plačil hranimo v obdobju, ki ga zahteva norveški zakon o računovodstvu (trenutno 5 let od konca poslovnega leta). Dnevnike neuspelih plačil in dnevnike za preprečevanje goljufij hranimo do 12 mesecev. Revizijske dnevnike administrativnih dejanj in dejanj v skrbniški plošči hranimo 2 leti (člen 32 – varnost). Analitične podatke hranimo v agregirani, deidentificirani obliki. Celotni urnik hranjenja je objavljen v naši Pogodbi o obdelavi osebnih podatkov.

Uporabljamo standardno industrijsko šifriranje in varnostne kontrole. Customer Content in občutljiva polja so v mirovanju šifrirani z overjenim šifriranjem (AES-256-GCM); v okviru ustreznih paketov podpiramo šifriranje z lastnim ključem (BYOK). Celoten omrežni promet je med prenosom šifriran s TLS 1.2 ali novejšim. Dostop do produkcijskih podatkov imajo le poimensko določeni inženirji z večfaktorsko overitvijo in popolno revizijsko sledjo. Nenehno izvajamo avtomatizirano preverjanje ranljivosti in sledimo postopkom odgovornega razkritja; varnostne težave prijavite na security@attorly.ai.

Vaših osebnih podatkov nikoli ne prodajamo. Delimo jih le s podobdelovalci, ki so potrebni za zagotavljanje storitve, na podlagi pisnih pogodb o obdelavi, ki odražajo zaveze, sprejete do Vas. Trenutni seznam je objavljen na /subprocessors in se posodobi najmanj 30 dni pred vsako bistveno spremembo. Prenosi podobdelovalcem zunaj EGP so zajeti s standardnimi pogodbenimi klavzulami (SCCs), okvirom EU–US Data Privacy Framework, kjer je to primerno, ali drugim zakonitim mehanizmom prenosa, skupaj z dodatnimi ukrepi, kot sta šifriranje in nadzor dostopa (Schrems II).

V skladu z GDPR imate pravico do dostopa, popravka, izbrisa, prenosljivosti in omejitve obdelave svojih osebnih podatkov, pravico do ugovora zoper obdelavo na podlagi zakonitih interesov ter pravico preklicati podano privolitev. Večino teh pravic lahko uveljavljate neposredno v nastavitvah računa (izvoz podatkov, zaprtje računa). Za katero koli drugo zahtevo oziroma če niste zadovoljni z našim odgovorom, pišite na privacy@attorly.ai — odgovorimo v 30 dneh. Imate tudi pravico vložiti pritožbo pri nadzornem organu, vključno z norveškim organom za varstvo podatkov (Datatilsynet) — datatilsynet.no.

Uporabljamo strogo nujne piškotke (sejo za overitev, zaščito CSRF, nastavitev soglasja za piškotke), za katere privolitev ni potrebna. Izbirne analitične piškotke uporabljamo le, če privolite v pasici za piškotke. Nastavitve lahko kadar koli upravljate prek povezave za nastavitve piškotkov v nogi spletne strani.

Attorly je B2B pravna platforma in ni namenjena osebam, mlajšim od 18 let. Zavestno ne zbiramo osebnih podatkov otrok. Če menite, da nam je otrok posredoval osebne podatke, se obrnite na privacy@attorly.ai — brez odlašanja jih bomo izbrisali.

To politiko zasebnosti lahko posodobimo. O bistvenih spremembah Vas bomo obvestili po e-pošti in v izdelku najmanj 30 dni pred začetkom veljavnosti. Pojasnila, tipkarske napake ali zakonsko zahtevane spremembe lahko uveljavimo takoj.

Za vprašanja o zasebnosti pišite na privacy@attorly.ai. Upravljavec: Getia AS, Oslo, Norveška. Običajno odgovorimo v 30 dneh. Pooblaščene osebe za varstvo podatkov nismo imenovali, ker k temu nismo zavezani po členu 37 GDPR, vendar naslov privacy@attorly.ai dosega osebo, odgovorno za varstvo podatkov pri Getia AS.