Zásady zpracování osobních údajů

1. Správce a kontakt

Obchodní jméno

Recuvalis s.r.o.

IČO

23567040

Sídlo

Farní 19, Frýdek, 738 01 Frýdek-Místek, Česká republika

Zápis v obchodním rejstříku

Krajský soud v Ostravě, oddíl C, vložka 100402, datum zápisu 5. srpna 2025

Kontaktní e-mail pro ochranu osobních údajů

info@recuvalis.cz

Web

ai.recuvalis.cz

Tyto zásady se vztahují výhradně na službu Právní AI asistent provozovanou na doméně ai.recuvalis.cz (dále jen „Služba"). Ostatní služby provozovatele mohou mít vlastní zásady zpracování.

2. Pověřenec pro ochranu osobních údajů (DPO)

S ohledem na rozsah a povahu zpracování osobních údajů (správce není orgánem veřejné moci, hlavní činnost nespočívá v rozsáhlém pravidelném monitorování, nezpracovávají se rozsáhle zvláštní kategorie údajů ve smyslu čl. 9 GDPR) nemáme zákonnou povinnost jmenovat DPO dle čl. 37 GDPR a tuto pozici jsme v současnosti nejmenovali.

Veškeré dotazy a žádosti týkající se ochrany osobních údajů směřujte na info@recuvalis.cz. Vyřízení do 30 dnů od doručení v souladu s čl. 12 odst. 3 GDPR.

3. Role: správce vs. zpracovatel

Recuvalis s.r.o. v rámci Služby vystupuje ve dvou různých rolích podle toho, čí údaje jsou zpracovávány:

4. Kategorie subjektů údajů

Zpracováváme údaje následujících kategorií osob:

• Registrovaní uživatelé Služby – primárně advokáti, koncipienti a administrativní pracovníci advokátních kanceláří, případně jednotliví advokáti samostatně.
• Klienti advokátních kanceláří – fyzické osoby, jejichž údaje uživatel vloží do Služby v rámci poskytování právních služeb (jména, adresy, IČO, rodná čísla, finanční údaje atd.).
• Třetí strany v právních dokumentech – protistrany, svědci, soudci, znalci a další osoby, jejichž údaje se mohou objevit v textu nahraných dokumentů či v dotazech.
• Návštěvníci webu – osoby, které navštíví ai.recuvalis.cz bez přihlášení (pouze technické provozní údaje, viz bod 20).

5. Kategorie zpracovávaných údajů

5.1 Identifikační a kontaktní údaje uživatelů

• Uživatelské jméno, e-mailová adresa, případně celé jméno.
• Bcrypt hash hesla (nikoliv heslo samotné).
• Role v systému (USER, SALES, ADMIN), datum vytvoření účtu, datum posledního přihlášení.
• Uživatelské preference (motiv UI, velikost písma, nastavení anonymizace).

5.2 Provozní a technické údaje

• IP adresa (zaznamenává se v audit logu).
• Identifikace prohlížeče (User-Agent), pouze v provozních logech serveru.
• Časy přihlášení, časy volání API, doba zpracování dotazů.
• Identifikátor konverzace, identifikátor zprávy.

5.3 Obsahové údaje (vkládané uživatelem)

• Text dotazů zadávaných do AI asistenta.
• Obsah nahraných dokumentů (PDF, DOCX, TXT) – po extrakci textu, binární originály se mažou do 5 minut.
• Vygenerované odpovědi AI asistenta.
• Hodnocení kvality odpovědí (palec nahoru/dolů).

5.4 Auditní záznamy

Pro každou významnou akci uživatele zaznamenáváme: časový razítko (UTC), uživatelské jméno (actor), typ akce (LOGIN, CONV_READ, MSG_SAVE, AI_QUERY, CONV_DELETE, GDPR_EXPORT atd.), IP adresu, identifikátor cíle akce. Nezaznamenáváme obsah dotazů ani odpovědí – pouze metadata.

6. Zdroje údajů

Údaje získáváme z následujících zdrojů:

• Přímo od uživatele (čl. 13 GDPR) – při registraci, přihlášení a používání Služby. Uživatel vědomě poskytuje údaje vyplněním formuláře.
• Od advokátní kanceláře jako správce (čl. 14 GDPR) – pro klienty kanceláře a třetí strany, jejichž údaje vkládá uživatel-advokát. Advokát má povinnost informovat své klienty o předávání údajů zpracovateli; v této roli vystupujeme jako zpracovatel a nemáme přímý kontaktní vztah s těmito subjekty.
• Z veřejných zdrojů – Služba pro účely vyhledávání používá veřejně dostupné údaje (Sbírka zákonů, judikatura Nejvyššího soudu, Nejvyššího správního soudu a Ústavního soudu). Tyto údaje jsou veřejné a nepředstavují osobní údaje subjektů Služby.
• Z technických prostředků – IP adresa z HTTP požadavku, časový razítko ze systémových hodin.

7. Účely a právní základy zpracování

8. Zvláštní kategorie osobních údajů

Zvláštní kategorie údajů ve smyslu čl. 9 GDPR (rasový/etnický původ, politické názory, náboženské vyznání, členství v odborech, genetické a biometrické údaje, údaje o zdraví, sexuální život/orientaci) aktivně neshromažďujeme.

Mohou se však incidentálně objevit v textu dotazů uživatele-advokáta nebo v nahraných dokumentech (typicky u sporů z pracovního, sociálního, zdravotního či trestního práva). Pro tyto případy:

• Uživatel je při uploadu upozorněn a má možnost spustit anonymizační pipeline (viz bod 15), která detekuje a pseudonymizuje rodná čísla, jména, adresy a další citlivé identifikátory.
• Právní základ zpracování v této situaci je čl. 9 odst. 2 písm. f) GDPR – nezbytné pro určení, výkon nebo obhajobu právních nároků.
• Údaje jsou v databázi šifrovány AES-256-GCM a chráněny dalšími opatřeními popsanými v bodě 14.

9. Údaje dětí

Služba je určena výlučně pro pracovníky advokátních kanceláří a samostatné advokáty starší 18 let. Účty dětem ani zájemcům mladším 16 let nezakládáme.

V rámci právních věcí, které advokát řeší, se mohou v dokumentech objevit údaje nezletilých (rodinné spory, opatrovnictví, trestní věci mladistvých). Tyto údaje zpracováváme jako součást poskytovaných právních služeb na žádost správce (advokátní kanceláře) a pod jeho odpovědností; vlastní souhlas dítěte nebo zákonného zástupce nezískáváme – odpovědnost za jeho získání nese advokát jako správce.

10. Automatizované rozhodování a profilování

Neprovádíme automatizované rozhodování ve smyslu čl. 22 GDPR, které by mělo právní účinky nebo se subjektu obdobně významně dotýkalo. Konkrétně:

• AI generované odpovědi nejsou rozhodnutími – jsou to návrhy, které advokát vždy posoudí, upraví a převezme za ně profesní odpovědnost.
• Automatizovaná detekce podezřelého chování (rate limiting, fail2ban) ano je automatická, ale vede pouze k dočasnému omezení (zpomalení dotazů, dočasný ban IP) – nemá právní účinky a uživatel se může reklamovat na info@recuvalis.cz.
• Neprovádíme profilování pro reklamní cíle, segmentaci ani predikci chování uživatelů.

11. Doba uchování

Po uplynutí doby uchování údaje automaticky mažeme, případně anonymizujeme tak, aby je nebylo možné zpětně přiřadit ke konkrétní osobě.

12. Zpracovatelé a příjemci

Pro provoz Služby využíváme následující zpracovatele a poskytovatele technických služeb. S každým máme uzavřenou písemnou smlouvu o zpracování osobních údajů (DPA) dle čl. 28 GDPR.

Aktuální seznam zpracovatelů včetně podepsaných smluv DPA poskytujeme na vyžádání. O změnách subprocesingových vztahů informujeme uživatele s předstihem nejméně 14 dnů.

12.1 Příjemci, kterým údaje neposíláme

Údaje neposíláme reklamním sítím, datovým brokerům ani jiným třetím stranám. Údaje neposíláme orgánům veřejné moci automaticky – pouze na základě řádné žádosti dle zákona (např. soudní příkaz, žádost orgánů činných v trestním řízení), kterou vždy individuálně posuzujeme.

13. Předávání mimo EU/EHP

Část zpracování probíhá u poskytovatelů se sídlem v USA (OpenAI, DeepInfra, Let's Encrypt). Pro toto předávání využíváme:

• Standardní smluvní doložky Evropské komise dle čl. 46 odst. 2 písm. c) GDPR (Modul 2 – Controller-to-Processor), které jsou součástí všech podepsaných DPA.
• Doplňková opatření tam, kde to vyžaduje rozhodnutí ve věci Schrems II: šifrování přenosu (TLS 1.2/1.3), smluvní zákaz přístupu pro orgány bez řádného právního důvodu, zveřejňování statistik žádostí orgánů (transparentní reporty poskytovatelů).
• Plánovaný přechod na regionalizovanou EU verzi OpenAI API (eu.api.openai.com, datacentrum Dublin) ke snížení/odstranění mezinárodního přenosu. Žádost o aktivaci je podaná, čekáme na schválení ze strany OpenAI.

14. Technická a organizační opatření

V souladu s čl. 32 GDPR uplatňujeme přiměřená technická a organizační opatření odpovídající rizikům zpracování. Naše bezpečnostní postupy jsou navrženy tak, aby zajistily klasickou triádu informační bezpečnosti:

• Důvěrnost (Confidentiality): data jsou kódována tak, aby v případě zachycení nebyla srozumitelná neoprávněným osobám.
• Autentizace (Authentication): ověřujeme původ dat i totožnost osob, které k datům přistupují.
• Integrita (Integrity): ověřujeme, že data nebyla po zašifrování změněna ani poškozena (autentizační tag GCM).

Konkrétní opatření:

14.1 Šifrování

• At-rest: obsah konverzací šifrován AES-256-GCM s autentizací (GCM tag). Klíč o velikosti 256 bitů uložen mimo databázi v souboru s oprávněním 600 (pouze root).
• In-transit: TLS 1.2 a 1.3, žádné slabé cipher suites (RC4, 3DES, MD5 vyloučeny), HSTS hlavička (max-age 1 rok, includeSubDomains).
• Zálohy: GPG symmetric AES-256, samostatné heslo, retence 30 dní.

14.2 Přístupová kontrola

• Bcrypt hashe hesel (cost 12), žádné plaintextové hesla v žádné databázi ani logu.
• Session tokeny 256-bit náhodné, HttpOnly + Secure + SameSite=Lax cookies.
• Rate limiting přihlášení (10 pokusů/hodinu/IP), automatický ban přes fail2ban (5 selhání/10 min → 1h ban).
• SSH na serveru pouze přes veřejný klíč; password autentizace zakázána, root login pouze klíčem.
• Tří-úrovňový RBAC (USER / SALES / ADMIN), každý endpoint vynucuje minimální roli.

14.3 Síťová bezpečnost

• UFW firewall: pouze nezbytné porty (22 SSH, 80/443 HTTPS, 7681 administrativní terminál) jsou navenek otevřené.
• Vektorová databáze Qdrant a aplikační backendy běží výhradně na 127.0.0.1 (interní rozhraní).
• Bezpečnostní HTTP hlavičky: HSTS, X-Frame-Options: SAMEORIGIN, X-Content-Type-Options: nosniff, Referrer-Policy: strict-origin-when-cross-origin.
• Automatické bezpečnostní aktualizace OS (unattended-upgrades).

14.4 Auditovatelnost

• Append-only auditní log v databázi s triggery zakazujícími UPDATE a DELETE.
• Pro retenční mazání starých záznamů existuje samostatný admin skript, který triggery dočasně dropne, provede mazání a triggery obnoví – vše v jedné transakci se sumárním záznamem.

14.5 Organizační

• Mlčenlivost personálu a subdodavatelů smluvně v rozsahu odpovídajícím § 21 zákona o advokacii.
• Princip nejmenších práv – každá osoba má přístup pouze k údajům potřebným pro plnění své role.
• Vstupní školení personálu o ochraně osobních údajů, AI literacy (čl. 4 AI Actu) a bezpečnosti (phishing, sociální inženýrství).
• Pravidelná aktualizace tohoto dokumentu nejméně 1× ročně, případně při významné změně zpracování.

14a. Vlastnictví dat zákazníka

Vlastníkem dat vložených zákazníkem do Služby zůstává po celou dobu užívání zákazník (uživatel-advokát či advokátní kancelář). Recuvalis s.r.o. v žádném okamžiku nenabývá vlastnictví ani dispozičního práva k obsahu konverzací nebo nahraných dokumentů.

Zákazník má neomezenou kontrolu nad svými daty:

• Konverzace a zprávy může kdykoliv smazat sám v aplikaci (Nastavení → Soukromí).
• Celý účet i veškerá data může nechat trvale smazat self-service tlačítkem („Smazat můj účet"), bez nutnosti kontaktovat administrátora.
• Kompletní export svých dat získá ve formátu JSON.

Recuvalis s.r.o. získává k datům technický přístup pouze v rozsahu nezbytném pro provoz Služby. Čtení obsahu konverzací zaměstnanci provozovatele je možné výlučně na výslovné vyžádání zákazníka (například při řešení reklamace nebo servisního zásahu) a každý takový přístup je zaznamenán v auditním logu, který je zákazníkovi k dispozici v rámci JSON exportu.

14b. Bezpečnostní povinnosti uživatele

I sebelepší bezpečnostní opatření na straně provozovatele Služby selžou, pokud uživatel sám nedodržuje základní pravidla. Pro dosažení nejvyšší míry ochrany dat klientů a souladu s § 21 zákona o advokacii doporučujeme (a v případě uživatelů kanceláře, která je vázaná zpracovatelskou smlouvou, vyžadujeme):

14b.1 Pravidla pro hesla

• Heslo o délce minimálně 10 znaků obsahující kombinaci malých a velkých písmen, číslic a speciálních znaků.
• Žádná slovníková nebo lehce uhodnutelná hesla (jméno, datum narození, „heslo123" apod.).
• Pravidelná obnova hesla nejméně 1× ročně, případně bezprostředně po podezření na kompromitaci.
• Hesla nesdílet s nikým, neukládat na viditelná místa (post-it na monitoru), ani v textových souborech bez šifrování. Doporučujeme používat password manager (1Password, Bitwarden).

14b.2 Pravidla pro práci s aplikací

• Po skončení práce se ze Služby odhlásit, případně uzamknout pracovní stanici.
• Neumožnit přístup do aktivní session osobě odlišné od přihlášeného uživatele (zejména rodinní příslušníci, externí pracovníci, asistenti bez vlastního účtu).
• Každá osoba pracující se Službou má vlastní uživatelský účet – zákaz sdílených účtů.
• Nahrávat do Služby pouze dokumenty, které jsou skutečně potřeba pro řešení dané věci, a v případě citlivých dokumentů využít integrovanou anonymizační pipeline.

14b.3 Pravidla pro pracovní zařízení

• Zařízení používané k práci se Službou (notebook, mobil, tablet) musí být chráněno proti neoprávněnému přístupu (heslo na uzamknutí obrazovky, biometrika).
• U přenosných zařízení doporučujeme šifrování celého disku (BitLocker, FileVault, LUKS).
• Operační systém a prohlížeč udržovat aktuální (instalovat bezpečnostní záplaty průběžně).
• Antivirový a antimalware software aktivní a aktualizovaný.
• Přenosná zařízení nezanechávat bez kontroly mimo chráněné prostory.

14b.4 Hlášení incidentů

• Ztrátu zařízení s aktivní session do Služby nahlaste do 24 hodin na info@recuvalis.cz, abychom mohli vzdáleně invalidovat aktivní session.
• Podezření na kompromitaci hesla – ihned změnit a oznámit.
• Podezření na neoprávněný přístup do účtu – ihned oznámit.

15. Anonymizační pipeline

Pro nahrané dokumenty máme implementovánu automatickou pseudonymizační pipeline, která detekuje a nahrazuje:

• Rodná čísla (s validací modulo 11)
• Jména osob (rozpoznávané podle českých vzorů a kontextu „pan/paní/žalobce/žalovaný")
• E-mailové adresy, telefonní čísla, bankovní účty
• IČO, DIČ, čísla občanského průkazu, čísla pasu
• Adresy bydliště, datová schránka
• Datumy narození

Spisové značky soudů, čísla zákonů a jména advokátů a soudců jsou na whitelistu a anonymizace se na ně nevztahuje – jejich uchování je pro právní práci nezbytné a nejedná se o citlivé osobní údaje.

Anonymizace má tři režimy nastavitelné v profilu uživatele:

• Ptát se po každém uploadu (doporučené default) – po nahrání se zobrazí náhled detekovaných údajů a uživatel rozhodne.
• Anonymizovat automaticky – každý dokument projde anonymizací bez dotazu.
• Nikdy neanonymizovat – jen pro dokumenty bez osobních údajů.

16. Mlčenlivost advokáta

Vzhledem k tomu, že hlavní cílovou skupinou Služby jsou advokátní kanceláře, dokumentem je zachycena i specifická povinnost mlčenlivosti dle § 21 zákona č. 85/1996 Sb., o advokacii. Mlčenlivost advokáta je absolutní a vztahuje se na všechny skutečnosti, které advokát získal v souvislosti s poskytováním právních služeb.

Smluvně jsme se zavázali k mlčenlivosti v rozsahu odpovídajícím tomuto ustanovení a totéž požadujeme od všech subdodavatelů a zaměstnanců. Při doručení žádosti orgánu činného v trestním řízení nebo jiného úředního dotazu se neztotožňujeme s povinností údaje vydat – odkazujeme na advokáta jako primárního správce a koordinujeme s ním další postup.

17. Bezpečnostní incident a notifikační povinnost

V případě porušení zabezpečení osobních údajů, které představuje riziko pro práva a svobody fyzických osob, postupujeme dle čl. 33 a 34 GDPR:

1. Detekce a izolace – do 1 hodiny od zjištění (interní cíl).
2. Vyhodnocení rozsahu – kolik subjektů, jaká kategorie dat, technický rozsah dopadu.
3. Notifikace ÚOOÚ – do 72 hodin od zjištění incidentu, pokud je riziko pro práva a svobody přiměřené (čl. 33 GDPR).
4. Notifikace dotčených subjektů – bez zbytečného odkladu (čl. 34 GDPR), pokud je riziko vysoké.
5. Dokumentace incidentu – v interním registru, retence 5 let.
6. Postmortem analýza – do 14 dnů, technický i organizační rozbor a opatření k prevenci opakování.

Pro pohotovostní hlášení je k dispozici e-mail info@recuvalis.cz. Pro účinnou notifikaci prosím udržujte aktuální kontaktní e-mail v profilu.

18. Vaše práva

V souladu s GDPR máte vůči nám následující práva. Nejčastěji použitá lze uplatnit přímo z aplikace v sekci Nastavení → Soukromí, ostatní vyřizujeme e-mailem do 30 dnů od žádosti.

18.1 Právo na přístup čl. 15

Můžete požádat o potvrzení, zda zpracováváme vaše osobní údaje, a o jejich kopii.

Self-service: Nastavení → Soukromí → Stáhnout JSON export. Dostanete strukturovaný soubor se všemi vašimi údaji.

18.2 Právo na opravu čl. 16

Můžete požádat o opravu nepřesných údajů. E-mailem; vyřízení do 30 dnů.

18.3 Právo na výmaz čl. 17

Máte právo, aby byly vaše údaje vymazány v případech stanovených GDPR.

Self-service: Nastavení → Soukromí → Smazat můj účet. Konverzace a zprávy budou trvale smazány, účet anonymizován do 24 hodin.

Výjimky: auditní záznamy o vašich přístupech zachováváme 2 roky z důvodu povinnosti dle čl. 17 odst. 3 písm. b) GDPR (dodržení právní povinnosti) a písm. e) (obrana právních nároků). Účetní záznamy uchováváme 10 let dle zákona o účetnictví.

18.4 Právo na omezení zpracování čl. 18

Můžete požádat o dočasné zablokování zpracování (např. když napadáte přesnost). Účet je deaktivován, data zachována do vyřešení.

18.5 Právo na přenositelnost čl. 20

Stejný JSON export jako u práva na přístup splňuje požadavek strukturovaného, běžně používaného a strojově čitelného formátu.

18.6 Právo vznést námitku čl. 21

Můžete vznést námitku proti zpracování opřenému o oprávněný zájem. Námitku vyhodnotíme – pokud naše zájmy nepřeváží vaše práva, zpracování přerušíme.

18.7 Právo nebýt předmětem automatizovaného rozhodování čl. 22

Neprovádíme automatizované rozhodování s právními účinky, viz bod 10. Toto právo se tedy fakticky neuplatní.

18.8 Právo odvolat souhlas

Pokud kdykoliv zpracováváme údaje na základě souhlasu (nepoužíváme jako primární právní základ), můžete jej kdykoliv odvolat. Odvoláním nejsou dotčena dříve provedená zpracování.

19. Stížnost u dozorového úřadu

Pokud nesouhlasíte se způsobem, jakým zpracováváme vaše osobní údaje, máte právo podat stížnost u dozorového úřadu:

Úřad pro ochranu osobních údajů

Pplk. Sochora 27, 170 00 Praha 7

Telefon

+420 234 665 111

Web

www.uoou.gov.cz

Datová schránka

qkbaa2n

Před podáním stížnosti vás prosíme o kontaktování naší adresy info@recuvalis.cz – často je možné záležitost vyřešit přímo a rychleji.

20. Cookies a obdobné technologie

Služba používá pouze nezbytné technické cookies, jejichž použití nevyžaduje souhlas dle § 89 zákona č. 127/2005 Sb., o elektronických komunikacích:

Nepoužíváme analytické cookies (Google Analytics apod.), marketingové cookies, ani sledovací pixely jakékoliv třetí strany. Stránka /privacy sama neoprávní cookies.

21. Marketingová komunikace

Nezasíláme reklamní e-maily ani nabídky třetích stran. Pokud jako uživatel obdržíte e-mail ze strany provozovatele, jedná se výlučně o transakční komunikaci nezbytnou pro provoz Služby:

• Potvrzení vytvoření / smazání účtu
• Notifikace o bezpečnostním incidentu
• Upozornění na podstatnou změnu Privacy Policy nebo VOP (14 dní předem)
• Vystavená faktura nebo upomínka
• Odpověď na vaši žádost dle GDPR

22. Smluvní rámec se zákazníky (advokátními kancelářemi)

Pro advokátní kanceláře a samostatné advokáty, kteří Službu používají k práci s údaji svých klientů, máme připravenu samostatnou zpracovatelskou smlouvu (DPA) dle čl. 28 GDPR. DPA obsahuje:

• Jasnou definici předmětu, účelu, doby a kategorií zpracování
• Pokyny správce zpracovateli
• Povinnost mlčenlivosti zpracovatele a jeho zaměstnanců
• Technická a organizační opatření
• Pravidla pro zapojování dalších zpracovatelů (subprocessors) s předchozím souhlasem
• Pomoc správci při výkonu práv subjektů údajů
• Pomoc správci s plněním povinností dle čl. 32–36 GDPR
• Vrácení nebo smazání údajů po ukončení smlouvy
• Audit zpracovatele

DPA podepisujeme s každou zákazníkem-kanceláří před uvedením do produkčního provozu.

23. Záruky a certifikace

O dosažení každé certifikace či pojistného krytí vás budeme informovat aktualizací tohoto dokumentu.

24. Změny tohoto dokumentu

Tento dokument můžeme aktualizovat. O podstatných změnách (zařazení nového zpracovatele, rozšíření účelu zpracování, změna doby uchování) informujeme uživatele e-mailem nejméně 14 dní před účinností změny. Drobné kosmetické úpravy zveřejňujeme bez zvláštního upozornění; vždy je v záhlaví uvedena verze a datum účinnosti.

Historické verze archivujeme a poskytujeme na vyžádání. Žádost zašlete na info@recuvalis.cz.

25. Tabulka verzí