1. Úvod
Táto Politika ochrany súkromia popisuje, ako spoločnosť GSC, s.r.o. (ďalej len Prevádzkovateľ, my, nás) zhromažďuje, používa a chráni vaše osobné údaje.
Lexi AI je SaaS platforma určená pre právnické firmy, ktorá poskytuje AI-powered právneho asistenta, správu lehôt, generovanie právnych dokumentov a KYC/AML compliance moduly.
Dôležité: Prečítajte si prosím pozorne túto politiku ochrany súkromia. Používaním našej webovej stránky a služieb vyjadrujete súhlas s praktikami opisanými v tomto dokumente.
2. Právny základ spracovania osobných údajov
Vaše osobné údaje spracúvame na základe nasledujúcich právnych základov podľa čl. 6 ods. 1 Nariadenia GDPR:
- Plnenie zmluvy (čl. 6 ods. 1 pism. b) GDPR): Spracovanie potrebné na poskytovanie služieb Lexi AI, správu predplatného, faktúraciu
- Súhlas (čl. 6 ods. 1 pism. a) GDPR): Marketing, newsletter, analytické cookies
- Zákonná povinnosť (čl. 6 ods. 1 pism. c) GDPR): Vedenie účtovníctva, daňové povinnosti, AML/KYC compliance
- Oprávnený záujem (čl. 6 ods. 1 pism. f) GDPR): Bezpečnosť platformy, prevencia podvodov, audit logs, zlepšovanie služieb
3. Aké údaje zhromažďujeme
Osobné údaje používateľov platformy
Môžeme zhromažďovať nasledujúce typy osobných údajov:
- Meno a priezvisko
- E-mailová adresa
- Telefónne číslo (voliteľné)
- Profilová fotografia (voliteľné)
- Údaje o spoločnosti (obchodné meno, IČO, DIČ, sídlo)
- Používateľská rola v organizácii (Owner, Admin, Lawyer, Paralegal, Secretary)
- Údaje o prihlásení (posledné prihlásenie, IP adresa)
- Hashované heslo (neukladáme v čitateľnej forme)
- 2FA údaje (šifrované AES-256-GCM)
Údaje spracúvané v rámci KYC/AML modulov
Ak využívate KYC/Compliance modul platformy, spracúvame údaje vašich klientov:
- Identifikačné údaje klientov (meno, rodné číslo, adresa)
- Doklady totožnosti (skeny OP, pasu)
- PEP a sankčné screening výsledky
- UBO (ultimate beneficial owner) údaje
- Risk assessment a scoring
Upozornenie: V rámci KYC/AML modulu vystupujete vy (právnická firma) ako prevádzkovateľ údajov svojich klientov a my (Lexi AI) ako sprostredkovateľ.
Údaje spracúvané AI asistentom
- Textové dotazy zadané AI asistentovi
- História konverzácií s AI
- Dokumenty analyzované AI
Dôležité: Všetky osobné údaje sú anonymizované pred odoslaním do AI systému (OpenAI).
Automaticky zhromažďované údaje
- IP adresa
- Typ a verzia prehliadača
- Operačný systém
- Čas a dátum návštevy
- Navštívené stránky a akcie v platforme
- Referenčná stránka
- Údaje o zariadení
- Audit logs (záznamy všetkých akcií v systéme)
Platobné údaje
- Stripe Customer ID
- Payment Method ID (referencie, nie plné číslo karty)
- Fakturačné údaje (číslo faktúry, suma, dátum, DPH)
- Subscription info (plán, status, dátum)
Poznámka: Platobné údaje spracúva priamo Stripe, Inc. a my neukladáme čísla platobných kariet.
4. Ako používame vaše údaje
Vaše osobné údaje používame na nasledujúce účely:
- Poskytovanie služieb: Na dodanie produktov a služieb, vrátane prístupu k Lexi AI, AI asistentovi, správe lehôt a generovaniu dokumentov
- Správa predplatného: Na správu vášho subscription plánu, faktúraciu a platby cez Stripe
- Komunikácia: Na odpovede na vaše otázky a zákaznícku podporu
- Notifikácie: Na zasielanie upozornení o lehotách a systémových oznámení
- Faktúracia: Na vystavenie faktúr a spracovanie platieb
- Zlepšovanie služieb: Na analýzu a zlepšovanie našich produktov
- Marketing: Na zasielanie noviniek (len so súhlasom)
- Právne požiadavky: Na splnenie zákonných povinností
- Bezpečnosť: Na ochranu pred zneužitím, fraud prevention a audit
- AI spracovanie: Na poskytovanie AI asistenta a generovanie právnych textov (s anonymizáciou)
6. Zdieľanie údajov a príjemcovia
Vaše osobné údaje nezdieľame s tretími stranami, okrem:
- Poskytovatelia služieb: S dôveryhodnými partnermi
- Právne požiadavky: Ak to vyžaduje zákon
- Ochrana práv: Na ochranu našich práv a bezpečnosti
- So súhlasom: S vašim výslovným súhlasom
- Prevod spoločnosti: Pri fúzii alebo akvizícii
Zoznam sub-procesorov (sprostredkovateľov)
1. Supabase Inc.
Účel: Databáza, autentifikácia, úložisko súborov
Lokácia dát: EU (GDPR compliant)
2. OpenAI, LLC
Účel: AI asistent, generovanie dokumentov
Lokácia dát: USA (anonymizované údaje, SCC)
3. Stripe, Inc.
Účel: Platobná brána, subscription management
Lokácia dát: EU + USA (GDPR compliant, PCI DSS)
4. Vercel Inc.
Účel: Hosting webovej aplikácie
Lokácia dát: EU + USA
5. Resend
Účel: Email notifikácie
Lokácia dát: USA (SCC)
7. Google LLC (Google Calendar API)
Účel: Synchronizácia právnych lehôt s Google Calendar
Lokácia dát: EU + USA (GDPR compliant, SCC)
Prístupové oprávnenia: calendar.events, calendar.readonly, userinfo.email, userinfo.profile
7. Integrácia s Google Calendar
Lexi AI umožňuje voliteľnú integráciu s Google Calendar pre automatickú synchronizáciu právnych lehôt. Táto integrácia je voliteľná a vyžaduje váš výslovný súhlas.
Aké oprávnenia požadujeme
Pri pripojení Google Calendar požadujeme nasledujúce oprávnenia (OAuth scopes):
- calendar.events - Vytváranie, úprava a mazanie udalostí lehôt vo vašom kalendári
- calendar.readonly - Zobrazenie zoznamu vašich kalendárov (pre výber cieľového kalendára)
- userinfo.email - Identifikácia vášho Google účtu
- userinfo.profile - Zobrazenie vášho mena v nastaveniach
Ako používame vaše údaje z Google Calendar
Vytvárame udalosti pre vaše právne lehoty v kalendári ktorý si vyberiete
Aktualizujeme existujúce udalosti pri zmene lehoty v Lexi AI
Mažeme udalosti pri zrušení lehoty v Lexi AI
Nikdy nečítame vaše existujúce udalosti v kalendári
Nikdy neukladáme obsah vášho kalendára na naše servery
Nikdy nezdieľame vaše kalendárové údaje s tretími stranami
Bezpečnosť prístupových tokenov
- Šifrovanie: Prístupové tokeny sú šifrované AES-256-GCM pred uložením
- Automatická obnova: Tokeny sa automaticky obnovujú pre nepretržitú synchronizáciu
- Okamžité zrušenie: Pri odpojení integrácie sú tokeny okamžite vymazané
- Izolácia: Každý používateľ má vlastné šifrované tokeny
Ako odpojiť Google Calendar
Integráciu môžete kedykoľvek odpojiť v Nastavenia → Integrácie → Google Calendar. Pri odpojení:
- Vaše prístupové tokeny budú okamžite vymazané z našich serverov
- Udalosti vytvorené v Google Calendar zostanú (môžete ich manuálne vymazať)
- Synchronizácia sa okamžite zastaví
Môžete tiež zrušiť prístup priamo v nastaveniach svojho Google účtu.
Súlad s Google API Services User Data Policy: Použitie informácií získaných z Google API je v súlade s Google API Services User Data Policy, vrátane požiadaviek na Limited Use.
8. Bezpečnosť údajov
Implementujeme prísne bezpečnostné opatrenia:
- HTTPS/TLS 1.3 šifrovanie
- AES-256-GCM šifrovanie pre citlivé údaje
- Supabase Row Level Security (RLS)
- Multi-factor Authentication (MFA/2FA) s TOTP
- HTTP-only secure session cookies
- Bcrypt hashing pre heslá
- Zabezpečené servery s pravidelnou údržbou
- Role-based Access Control (RBAC)
- Pravidelné bezpečnostné audity
- Automatické denné zálohovanie (30 dní retention)
- Anonymizácia údajov pred odoslaním do AI
9. Vaše práva podľa GDPR
V súlade s GDPR máte nasledujúce práva:
Právo na prístup (čl. 15 GDPR)
Môžete požiadať o kópie svojich údajov
Právo na opravu (čl. 16 GDPR)
Môžete požiadať o opravu nesprávnych údajov
Právo na výmaz (čl. 17 GDPR)
Môžete požiadať o vymazanie údajov.
Upozornenie: Môže byť obmedzené zákonnými povinnosťami (napr. KYC záznamy 10 rokov).
Právo na obmedzenie (čl. 18 GDPR)
Môžete obmedziť spracovanie údajov
Právo na prenosnosť (čl. 20 GDPR)
Môžete požiadať o export údajov (JSON formát)
Právo namietať (čl. 21 GDPR)
Môžete namietať proti marketingu
Právo odvolať súhlas (čl. 7 ods. 3 GDPR)
Môžete kedykoľvek odvolať súhlas
Ako uplatniť svoje práva: Kontaktujte nás na dokumenty@lexiai.sk alebo support@lexiai.sk. Odpovieme do 30 dní.
Export údajov v platforme:Vaše údaje môžete exportovať v nastaveniach účtu v sekcii Súkromie > Export údajov.
10. Uchovávanie údajov (Data Retention)
Vaše osobné údaje uchovávame len tak dlho, ako je to potrebné:
- KYC/AML záznamy: 10 rokov (SAK, AML legislatíva)
- Právne dokumenty: 10 rokov (zákon o advokácii)
- Faktúry: 10 rokov (daňové zákony)
- Lehoty (deadlines): 5 rokov po uzavretí
- Platobné metódy: 3 roky po poslednej transakcii
- Audit logs: 5 rokov (GDPR accountability)
- Neaktívne účty: 2 roky neaktivity
- AI chat history: 2 roky
- Marketingové súhlasy: Do ich odvolania
- Webové cookies: Podľa typu (od relácie po 2 roky)
11. Medzinárodné prenosy
Ak prenášame vaše údaje mimo EHP, zabezpečujeme ochranu:
- Rozhodnutia Európskej komisie o primeranosti
- Štandardných zmluvných doložiek (SCC)
- Anonymizácia údajov pre AI spracovanie (OpenAI)
POZOR: Privacy Shield bol zrušený (Schrems II, 2020). Pre prenosy do USA používame SCC a dodatočné technické opatrenia (anonymizácia, šifrovanie).
12. Automatizované rozhodovanie
Nepoužívame automatizované rozhodovanie ani profilovanie s právnymi účinkami.
AI asistent poskytuje odporúčania, ale konečné rozhodnutia robí vždy používateľ. KYC risk scoring je len pomocný nástroj.
14. Zmeny tejto politiky
Túto politiku môžeme aktualizovať. O významných zmenách vás informujeme:
- Prostredníctvom oznámenia na webovej stránke
- E-mailom (ak máte súhlas s takou komunikáciou)
- Aktualizáciou dátumu "Posledná aktualizácia"
- Notifikáciou v platforme Lexi AI
Zmeny nadobudnú účinnosť okamžite po zverejnení.
15. Sťažnosti
Ak máte pocit, že porušujeme vaše práva, môžete podať sťažnosť na:
Úrad na ochranu osobných údajov SR
Adresa: Hraničná 12, 820 07 Bratislava
E-mail: statny.dozor@pdp.gov.sk
Telefón: +421 2 3231 3214
Odporúčanie: Pred podaním sťažnosti nás najprv kontaktujte. Vynasníme sa vyriešiť váš problém.
16. Kontaktné údaje
Ak máte otázky alebo chcete uplatniť svoje práva, kontaktujte nás:
GSC, s.r.o.
- Adresa: Rajčianska 32, 821 07 Bratislava
- IČO: 44952210
- DIČ: 2022893961
- IČ DPH: nie je platca DPH
- Webová stránka: https://www.lexiai.sk
Všeobecný kontakt: support@lexiai.sk
Zodpovedná osoba (DPO): dokumenty@lexiai.sk
Právne otázky: dokumenty@lexiai.sk
Telefón: +421 910 908 219
Úradné hodiny: Pondelok - Piatok: 9:00 - 16:00 (po predchádzajúcom dohovore)
17. Bezpečnostné incidenty (Data Breach)
V prípade porušenia ochrany osobných údajov (data breach):
- Dozorný orgán informujeme do 72 hodín od zistenia incidentu
- Ak incident predstavuje vysoké riziko pre vaše práva, budeme vás informovať bez zbytočného odkladu
- Máme vypracovaný interný plán reakcie na incidenty (Incident Response Plan)
© 2026 GSC, s.r.o. Všetky práva vyhradené.
Tento dokument je v súlade s nariadením GDPR (EU 2016/679) a zákonom č. 18/2018 Z. z.