Beta

Whitepaper: Ochrana osobních údajů – Platforma Roboprávník

Verze: 1.0
Datum: 10. srpna 2025
Autor: Tým Roboprávník
Web: https://beta.robopravnik.cz

Úvod

Tento dokument popisuje, jak Roboprávník zpracovává osobní údaje uživatelů a jejich klientů. Je primárně určen českým advokátům a právnickým firmám, které vyžadují, aby data at rest byla uložena v České republice, zpracována v souladu s GDPR a chráněna podle nejvyšších bezpečnostních standardů. Whitepaper uvádí technické i smluvní záruky ochrany dat a seznamuje se strategickým plánem dalšího posilování soukromí (rezidence dat v EU).

Rozsah a účel zpracování osobních údajů

Roboprávník zpracovává pouze údaje vložené uživateli při využívání služby – typicky texty dotazů, smluv či interní technická data vygenerovaná z těchto dat (vektorová data v DB apod.). Údaje slouží výhradně k automatizované analýze a generování právních výstupů. Nepoužíváme je k marketingu, profilování ani je nesdílíme s nepovolanými třetími stranami. Náš business model není postaven na sdílení dat z dokumentů a interakcí zákazníků.

Platforma naplňuje principy minimalizace, omezení účelu a omezení doby uložení. Provozovatel vystupuje jako zpracovatel (data processor), zatímco advokát nebo právnická kancelář zůstává správcem (data controller). Mezi stranami, je-li to možné, uzavíráme DPA, která vymezuje účely zpracování, povinnosti a standardní smluvní doložky.

Uživatelé mají plnou kontrolu nad retencí dat v účtu (historie dotazů a dokumenty lze odstranit nebo nastavit automatické mazání po určené době). Po ukončení služby provádíme vymazání všech osobních údajů s výjimkou dat potřebných pro ochranu našich práv, plnění smlouvy mezi poskytovatelem dat a námi a k prokázání toho splnění nebo z jiného zákonného důvodu (například tak typicky smažeme všechny dokumenty, ale ponecháme si kontaktní údaje a údaje o existenci účtu a platbách.)

Umístění a zabezpečení dat

Hosting v České republice (Coolhousing)

Aplikační a databázový server běží v datacentru Coolhousing s.r.o. v Praze. Objekt má 24/7 fyzickou ostrahu, CCTV, dvoufázové ověření vstupu a redundantní infrastrukturu (UPS N+1, diesel generátory, VESDA, chlazení studené/teplé uličky). Coolhousing je držitelem ISO 9001 a ISO/IEC 27001, což potvrzuje řízené procesy kvality i bezpečnosti informací.

AI služby (OpenAI API)

Textové vstupy jsou dočasně odeslány šifrovaným kanálem (TLS 1.2+) do rozhraní OpenAI API. Data zůstávají majetkem uživatele; OpenAI k nim získává pouze omezené oprávnění za účelem poskytnutí odpovědi a nepoužívá je k tréninku modelů.

  • Rezidence dat v EU: V době vydání tohoto dokumentu není služba EU Data Residency veřejně dostupná. Jakmile bude OpenAI tuto možnost oficiálně nabízet, Roboprávník ji ihned aktivuje.
  • Retence: Do zpřístupnění EU rezidence uchovává OpenAI provozní logy API maximálně 30 dní. Roboprávník minimalizuje obsah odesílaných dat (hashování klientských identifikátorů, maskování citlivých údajů) a eliminuje duplicitní požadavky. V rámci EU rezidence bude nastavena nulová data retention.
  • Bring-Your-Own LLM: Pro uživatele, kteří požadují okamžitou EU rezidenci, podporuje Roboprávník připojení vlastního, kompatibilního API (např. Azure OpenAI v lokalitách West EU či North EU, nebo samostatné on-premise modely kompatibilní se specifikací OpenAI). Tato volba zachovává plnou funkčnost platformy při zachování kontroly nad úložištěm dat. Kvalita výstupů se ale může lišit podle použitého modelu.

OpenAI má audit SOC 2 Type 2, šifruje data v klidu (AES-256) a nabízí smluvní DPA zaručující kompatibilitu s GDPR.

AI služby (Google Gemini)

Integrace Gemini je podporována přes Google Gemini API .

  • Rezidence dat v EU: Gemini API je celosvětová služba bez garance regionální rezidence; pokud je pro vás export dat mimo území EU nevhodný, využijte prosím jiné poskytovatele AI modelů (např. Anthropic nebo vlastní API).
  • Retence: V Gemini API Google pro účely monitoringu zneužití uchovává prompty, kontext i výstupy po dobu 55 dní. Tyto logy nejsou používány k trénování modelů.
  • Trénink na datech zákazníka: Google Cloud deklaruje, že bez předchozího souhlasu nepoužívá zákaznická data k tréninku nebo doladění modelů.

AI služby (Anthropic Claude API)

Provoz Anthropic Claude je podporován buď přes API.

  • Trénink na datech zákazníka: U komerčních produktů (jako je API) Anthropic standardně nepoužívá vstupy ani výstupy k tréninku modelů.
  • Retence: Pro API nejsou podporovány ad-hoc mazací požadavky; existuje podnikový režim Zero Data Retention (smluvní ujednání), který zakáže ukládání obsahu požadavků. Obsah, který je označen jako porušující zásady, může být z důvodů bezpečnosti uchován až 2 roky (metadata bezpečnostní klasifikace až 7 let).

Anthropic disponuje SOC 2 Type II a ISO/IEC 27001 (a dalšími), přičemž detailní artefakty jsou dostupné v jejich Trust/Compliance portálu.

Certifikace a compliance

Poskytovatel Certifikace / compliance
Coolhousing ISO 9001, ISO/IEC 27001, členství FENIX
OpenAI SOC 2 Type 2, DPA k API službě
Google (Gemini API) Podmínky „Paid Services“, lidská kontrola kvality u AI Studio; logy 55 dní pro abuse monitoring; bez tréninku z logů
Google Cloud Vertex AI (volitelně) ISO 27001/27017/27018/27701, SOC 1/2/3, EU Data Residency/EU Data Boundary, řízení retence/cachování
Anthropic SOC 2 Type II, ISO/IEC 27001, ISO/IEC 42001, DPA; defaultn2 netrénuje na komerčních datech

Shrnutí a kontaktní informace

  • Uložení dat: Fyzicky v České republice, šifrováno v klidu i při přenosu.
  • Zpracování AI: Šifrovaný kanál; data se netrénují, retence do 30 dní (bude zkrácena na 0 po spuštění EU rezidence).
  • Možnost volby: Podpora vlastních API endpointů na vyžádání (Azure OpenAI, on-premise).
  • Certifikace: ISO 9001/27001, SOC 2 Type 2 a další uvedené výše.

Roboprávník tak splňuje přísné požadavky na bezpečnost i compliance a zůstává transparentním partnerem pro digitální právní služby.

E-mail: info@robopravnik.cz
Web: https://www.robopravnik.cz