Zásady spracúvania osobných údajov (GDPR) – Advok

Prevádzkovateľ webu a služieb Advok: Davok s.r.o., IČO: 53540573, DIČ: 2121407057, H. Meličkovej 13, 841 05 Bratislava
Registrový súd: Mestský súd Bratislava III; Oddiel, vložka, súd: Sro 150160/B
Kontakt pre súkromie: privacy@advok.sk  |  Všeobecný kontakt: support@advok.sk
Zodpovedná osoba (DPO): Ing. Dalibor Vyhnálik

Špecificky pre advokátov a advokátske kancelárie: pri spracúvaní údajov klientov v systéme Advok AI vystupuje advokát/advokátska kancelária ako prevádzkovateľ a Davok s.r.o. ako sprostredkovateľ podľa čl. 28 GDPR, na základe sprostredkovateľskej zmluvy (DPA) zverejnenej na advok.sk/dpa.

1. Rozsah a komu je politika určená

Tieto zásady sa vzťahujú na služby poskytované na advok.sk a sú súčasťou rámca súladu so všeobecným nariadením o ochrane osobných údajov (GDPR) a s pravidlami používania nástrojov AI v advokácii podľa uznesenia Predsedníctva SAK č. 12/4/2025 v znení neskorších zmien.

Rozlišujeme:

• Služby s prihlásením (využívajú OpenAI API a ďalšie AI nástroje): vyžadujú prihlásenie cez Google (Firebase) alebo Advok prihlásenie (meno, e-mail, heslo).
• Služby bez prihlásenia: prístupné bez účtu; spracúvajú len nevyhnutné technické údaje a obsah zadávaný v rámci funkcie, bez vytvárania histórie účtu.

1.1 Postavenie pri spracúvaní údajov

• Bežní používatelia (ne-advokáti): Davok s.r.o. je prevádzkovateľom osobných údajov, ktoré poskytnete pri registrácii a používaní služby.
• Advokáti a advokátske kancelárie: pri práci s údajmi klientov a údajmi chránenými mlčanlivosťou vystupuje advokát ako prevádzkovateľ a Davok s.r.o. ako sprostredkovateľ; režim je riešený sprostredkovateľskou zmluvou (DPA) – režim (c) sprostredkovateľ podľa metodického usmernenia SAK.

2. Aké údaje spracúvame

2.1 Účet a autentifikácia (služby s prihlásením)

Identifikačné údaje (najmä meno, priezvisko, e-mail). Heslá ukladáme ako bcrypt hash. Prihlasovanie prebieha cez Google (Firebase) alebo Advok prihlásenie. Ukladáme aj základné nastavenia účtu a nastavenia predplatného.

2.2 Obsah a interakcie

Chaty, dopyty a nahrané súbory potrebné na poskytnutie služby (napr. analýza dokumentu, vyhľadanie judikatúry). Spracúvame aj technické metadáta (čas, identifikátory požiadaviek a odpovedí, použitý agent/model, zvolený vektorový adresár, počty tokenov, interné EndUserId pre audit/bezpečnosť). Pri službách bez prihlásenia neukladáme históriu do účtu; používame len nevyhnutné logy a dočasné cache.

2.3 Prevádzkové údaje

Protokoly (IP adresa, typ prehliadača, čas prístupu, chybové hlásenia) na účely bezpečnosti, odhaľovania incidentov, ladenia a ochrany pred zneužitím. Databáza sa zálohuje denne (systémovo zabezpečené zálohy).

3. Účely a právne základy

• Poskytnutie služby – plnenie zmluvy (čl. 6 ods. 1 písm. b GDPR), najmä vytvorenie účtu, sprístupnenie AI nástrojov, analýza dokumentov, správa projektov a predplatného.
• Bezpečnosť a prevádzka – oprávnený záujem (čl. 6 ods. 1 písm. f GDPR), najmä ochrana služby pred útokmi, predchádzanie zneužitiu a evidencia technickej prevádzky.
• Právne povinnosti – splnenie zákonnej povinnosti (čl. 6 ods. 1 písm. c GDPR), najmä účtovníctvo, daňové predpisy a povinnosti podľa zákona o advokácii a súvisiacich predpisov, ak sú relevantné.
• Marketing – len na základe súhlasu (aktuálne nevyužívame pravidelný marketingový newsletter; ak ho zavedíme, budeme si vyžadovať osobitný súhlas).
• Advok AI ako sprostredkovateľ (režim čl. 28 GDPR, režim (c) podľa SAK):
  vo vzťahu k advokátom a advokátskym kanceláriám vystupuje Davok s.r.o. pri spracovaní údajov klientov ako sprostredkovateľ. Pri spracovaní chránených údajov a údajov podliehajúcich mlčanlivosti postupujeme výlučne podľa pokynov advokáta ako prevádzkovateľa, v súlade so sprostredkovateľskou zmluvou (DPA). Údaje neposkytujeme tretím stranám na vlastné účely a nepoužívame ich na tréning modelov ani interné profilovanie.

4. Cookies a podobné technológie

Používame len nevyhnutné cookies na prihlásenie, udržanie relácie a bezpečnosť (napr. CSRF, session). Analytické alebo marketingové cookies aktuálne nepoužívame. Ak zavedíme analytiku alebo ochranné prvky tretích strán (napr. reCAPTCHA), aktualizujeme túto časť a vyžiadame si príslušný súhlas, ak bude potrebný.

5. Príjemcovia a spracovatelia

• OpenAI – poskytovanie výpočtovej infraštruktúry a AI modelov (vrátane Vector Store). Advok využíva režim API „no-training“ s EÚ rezidenciou dát, t. j. textové vstupy, nahrané súbory, výstupy modelov a technické metadáta nie sú používané na tréning ani iné vlastné účely OpenAI.
• Google/Firebase – autentifikácia používateľov (iba ak zvolíte prihlásenie cez Google). Google v tomto kontexte vystupuje ako sprostredkovateľ údajov potrebných na overenie identity; dvojfaktorová autentifikácia (MFA) je voliteľná.
• 24-pay s.r.o. – poskytovateľ platobnej brány pre spracovanie platieb za predplatné alebo služby Advok. Spoločnosť spracúva identifikačné, kontaktné a transakčné údaje zákazníkov potrebné na realizáciu platby a refundácií. Vystupuje ako samostatný prevádzkovateľ podľa GDPR.
• Hosting a infra poskytovatelia v EÚ – prevádzka backendu, databázy, úložísk a frontendu na území EÚ/EHP. S týmito subjektmi máme uzatvorené sprostredkovateľské zmluvy, ktoré obsahujú mlčanlivosť, bezpečnostné opatrenia a zákaz použitia údajov na vlastné účely.
• Účtovné a poradenské služby – len v rozsahu potrebnom na splnenie zákonných povinností (napr. účtovníctvo, daňové poradenstvo), pričom tieto subjekty sú viazané mlčanlivosťou a sprostredkovateľskou zmluvou.
• Geografická lokalita a sub-spracovatelia: údaje ukladáme a spracúvame primárne v EÚ (3 nezávislé servery, rôzni provideri: Slovensko, EÚ). Prenosy mimo EÚ prebiehajú len v prípadoch, keď sú nevyhnutné pre spracovanie požiadavky, a výhradne na základe platných mechanizmov prenosu (napr. SCC).

Údaje neposkytujeme tretím stranám na ich vlastný marketing. Orgánom verejnej moci údaje sprístupňujeme len, ak to vyžaduje zákon a v nevyhnutnom rozsahu.

6. Medzinárodné prenosy a zákaz sekundárneho použitia dát

Pri prenose mimo EÚ/EEA (napr. smerom k OpenAI alebo poskytovateľom infraštruktúry) uplatňujeme Štandardné zmluvné doložky (SCC) a primerané technické a organizačné záruky podľa kapitoly V GDPR.

Všetky textové vstupy, nahrané súbory, výstupy modelov a technické metadáta sú použité výhradne na poskytovanie konkrétnej služby a zabezpečenie prevádzky. Údaje nie sú nikdy použité na tréning, fine-tuning ani ladenie modelov na vlastné účely Davok s.r.o. alebo OpenAI a nevyužívame ich na marketingové profilovanie.

Sub-sprostredkovateľ (OpenAI) je povinne nastavený v režime API „data protection / no-training“.

7. Uchovávanie údajov

• Účet a profil: po dobu trvania zmluvného vzťahu; po zrušení účtu uchovávame údaje najviac 30 dní na odstránenie zo záloh, pokiaľ zákon nevyžaduje dlhšie uchovanie.
• Chaty a výstupy: spravidla 12 mesiacov od poslednej aktivity v danom projekte/chate. Advokát alebo organizácia si môže zvoliť kratšiu dobu alebo režim bez ukladania histórie (0 dní), ak to umožňujú právne predpisy a interné pravidlá.
• Nahrané súbory a extrakty (lokálne úložiská): spravidla 12 mesiacov alebo do vymazania projektu/ručného výmazu, podľa toho, čo nastane skôr, ak nie je potrebná dlhšia archivácia.
• OpenAI Vector Store: maximálne 30 dní podľa nastavení API (automatická expirácia vektorových úložísk).
• Bezpečnostné logy (IP/UA): spravidla 6 mesiacov, pri bezpečnostných incidentoch dlhšie, pokiaľ je to nevyhnutné na ich riešenie.
• Účtovné doklady: podľa zákona, spravidla 10 rokov.
• Skrátenie retencie: používateľ (najmä advokátska kancelária) si môže nastaviť/požiadať o skrátenie predvolenej retencie na želanú hodnotu (až na 0 dní – žiadna história), v prípadoch, kedy to zákon umožňuje.

8. Bezpečnosť

• Šifrovanie prenosu (HTTPS/TLS) a šifrovanie dát v pokoji na úrovni infraštruktúry.
• Ukladanie hesiel ako bcrypt hash.
• Riadenie prístupov, zásada minimálnych práv, logovanie prístupov a kritických operácií.
• Denné systémovo zabezpečené zálohy databázy, obmedzený a auditovaný prístup administrátorov.
• Možnosť povinnej MFA (multi-factor authentication) pre účty advokátov a tímové účty organizácií.
• Technické opatrenia na detekciu a obmedzenie vkladania zjavne citlivých údajov (napr. upozornenie pri detekcii formátu rodného čísla).

9. Mlčanlivosť a profesijné tajomstvo

Prevádzkovateľ uznáva osobitnú povahu údajov spracúvaných advokátmi, najmä informácie podliehajúce profesijnej mlčanlivosti podľa zákona č. 586/2003 Z. z. Davok s.r.o. a všetci jeho spracovatelia sú viazaní zmluvnou mlčanlivosťou, ktorá sa vzťahuje na všetky dáta, technické logy aj dokumenty uložené v systéme.

Prístup k údajom je limitovaný na úzky okruh technických pracovníkov a je logovaný. Prístup k obsahu chatu a dokumentov pre administrátorov je obmedzený na technickú podporu a riešenie incidentov; tento prístup je možný len v odôvodnených prípadoch a v minimálnom rozsahu.

10. Súlad s Uznesením SAK č. 12/4/2025 a metodickým usmernením

• Režim (c) – sprostredkovateľ: služby Advok AI sú navrhnuté ako uzavretý podnikový nástroj, ktorý spĺňa požiadavky režimu (c) v zmysle metodického usmernenia SAK (sprostredkovateľ podľa čl. 28 GDPR, zmluvná mlčanlivosť, zákaz použitia údajov na tréning, bezpečnostné a organizačné opatrenia).
• Informačná doložka pre klientov advokáta: advokáti môžu použiť vo svojej dokumentácii informačnú doložku podľa vzoru SAK (variant 1 – režim (c)), v ktorej uvedú, že pri spracúvaní informácií chránených mlčanlivosťou používajú podnikové AI nástroje v postavení sprostredkovateľa s no-training politikou a odbornou kontrolou výstupov.
• Prístup a auditovateľnosť pre advokátov: advokát má právo kedykoľvek požiadať o výpis logov spracovania súvisiacich s jeho účtom, vrátane informácií o použitých sub-sprostredkovateľoch a dátových tokoch. Na základe dohody možno vykonať primeraný audit bezpečnostných procesov.
• MFA – Multi-factor Authentication: pre účty advokátov a advokátskych kancelárií môže byť zapnutá povinná dvojfaktorová autentifikácia (MFA) prostredníctvom autentifikačnej aplikácie alebo iného dostupného mechanizmu.
• Anonymizácia a minimalizácia dát: platforma odporúča advokátom anonymizovať alebo pseudonymizovať osobné údaje a citlivé údaje pred vložením do chatu, pokiaľ nie je nevyhnutné uviesť ich v plnom rozsahu. Systém môže používateľa upozorniť pri detekcii niektorých citlivých údajov a vyžiadať potvrdenie.
• Rozhodovací test (článok 4 uznesenia SAK): pred vložením údajov chránených mlčanlivosťou alebo osobných údajov do AI nástroja je advokát povinný overiť, či ide o lokálne riešenie (režim (a)), nástroj so sprostredkovateľskou zmluvou (režim (c) – Advok AI) alebo verejný/neauditovaný nástroj, ktorý by vyžadoval súhlas klienta (režim (b)).
• Zakázané použitie: Advok zakazuje používať služby Advok AI ako verejný/neauditovaný AI chatbot. Služba nie je určená ako nástroj, do ktorého by advokát zadával údaje v režime (b) požadujúcom súhlas klienta s použitím „verejnej“ AI; Advok je prevádzkovaný v režime (c) so zmluvnou no-training politikou.
• Odborná kontrola a zodpovednosť: advokát je vždy zodpovedný za výstupy, ktoré použije pri poskytovaní právnych služieb. AI nenahrádza právny úsudok advokáta; výstupy je potrebné overiť (najmä citácie predpisov, judikatúru, skutkové závery).
• Interné pravidlá a školenia: advokátom sa odporúča prijať interné smernice používania AI, viesť zoznam schválených nástrojov (vrátane Advok AI v režime (c)) a pravidelne školiť koncipientov a zamestnancov v súlade s uznesením a metodickým usmernením SAK.

11. Automatizované rozhodovanie

Nepoužívame profilovanie ani plne automatizované rozhodovanie s právnymi alebo obdobne významnými účinkami v zmysle čl. 22 GDPR. Výstupy AI majú charakter asistencie a návrhov; používateľ (vrátane advokáta) nesie zodpovednosť za ich použitie.

12. Vekové obmedzenie

Služba je určená pre osoby 16+. Ak zistíte, že nám údaje poskytla mladšia osoba bez súhlasu zákonného zástupcu, kontaktujte nás a údaje odstránime.

13. Práva dotknutých osôb

Máte právo na prístup k svojim údajom, ich opravu, vymazanie, obmedzenie spracúvania, prenositeľnosť, ako aj právo namietať spracúvanie, ak sa zakladá na oprávnenom záujme. Vaše práva môžete uplatniť zaslaním žiadosti na privacy@advok.sk.

V prípade pochybností o súlade spracúvania s právnymi predpismi máte právo podať sťažnosť na Úrad na ochranu osobných údajov SR (Hraničná 12, 820 07 Bratislava 27, dataprotection.gov.sk).

14. Zmeny týchto zásad

O podstatných zmenách týchto zásad vás informujeme na stránke a/alebo v rozhraní služby. Dátum účinnosti je uvedený v hlavičke dokumentu. Historické verzie zásad uchovávame na požiadanie.