Zásady ochrany osobních údajů

1. Úvod

Vývojářem a držitelem práv Smartegy.ai (dále jen: 'Služba') je Chain Advisory Kft. a jejím společným provozovatelem je Erba 96 Kft. (dále společně: 'Provozovatelé', 'my', 'nás'). Zavazujeme se chránit osobní údaje uživatelů. Účelem těchto Zásad ochrany osobních údajů je informovat vás o tom, jak shromažďujeme, používáme, uchováváme a chráníme vaše osobní údaje v souladu s Nařízením Evropské unie o ochraně osobních údajů (GDPR – Nařízení 2016/679/EU) a maďarskou legislativou o ochraně údajů (Zákon CXII z roku 2011 o informačním sebeurčení a svobodě informací). Chain Advisory Kft. a Erba 96 Kft. jsou společní správci podle článku 26 GDPR.

2. Informace o provozovatelích

Vývojář a držitel práv: Chain Advisory Kft.
Sídlo: 1037 Budapest, Táborhegyi út 18/f, Hungary
Registrační číslo: 01-09-326168
DIČ: 26361518-2-41

Společný provozovatel a operátor:

Erba 96 Kft.
Sídlo: 1142 Budapest, Stubnyai utca 4., Hungary
Registrační číslo: 01-09-561901
DIČ: 12175590-2-42

E-mail: [email protected]
Webová stránka: https://smartegy.ai

Pověřenec pro ochranu osobních údajů (DPO):

Jméno: Erik Árokszállási
E-mail: [email protected]

3. Definice

Osobní údaje: veškeré informace týkající se identifikované nebo identifikovatelné fyzické osoby.
Zpracování údajů: jakákoliv operace prováděná s osobními údaji (shromažďování, zaznamenávání, uchovávání, úprava, vyhledávání, používání, vymazání atd.).
Subjekt údajů: fyzická osoba, jejíž osobní údaje jsou zpracovávány.
Zpracovatel: organizace, která zpracovává osobní údaje jménem správce.
Obchodní data: firemní/obchodní informace nahrané subjektem údajů do Služby nebo analyzované Službou.

4. Rozsah zpracovávaných osobních údajů

4.1. Registrační a účetní údaje

Celé jméno, e-mailová adresa, heslo (šifrované), název společnosti, telefonní číslo, funkce/pozice, adresa společnosti.

4.2. Údaje o využívání služby

Přihlašovací údaje a časová razítka, statistiky využívání, historie dotazů, vygenerované reporty a analýzy, IP adresa, typ a verze prohlížeče, informace o zařízení.

4.3. Obchodní data

Informace nahrané vámi nebo odvozené z obchodních databází připojených k systému, které používáme pro AI analýzu. Tato data jsou zpracovávána výhradně ve vašem izolovaném prostředí.

4.4. Komunikační data

Korespondence se zákaznickou podporou, zpětná vazba a názory.

5. Účely a právní základy zpracování údajů

Účel	Právní základ	Doba uchovávání
Vytvoření a správa uživatelského účtu	Plnění smlouvy (GDPR čl. 6 odst. 1 písm. b))	Do smazání účtu
Poskytování služby (AI analýza)	Plnění smlouvy (GDPR čl. 6 odst. 1 písm. b))	Do smazání účtu
Zákaznický servis a podpora	Oprávněný zájem (GDPR čl. 6 odst. 1 písm. f))	2 roky
Fakturace a účetnictví	Zákonná povinnost (GDPR čl. 6 odst. 1 písm. c))	8 let (účetní zákon)
Zlepšování služby	Oprávněný zájem (GDPR čl. 6 odst. 1 písm. f))	Neomezeně, pokud anonymizováno
Bezpečnostní účely, prevence podvodů	Oprávněný zájem (GDPR čl. 6 odst. 1 písm. f))	1 rok
Marketingová komunikace (se souhlasem)	Souhlas (GDPR čl. 6 odst. 1 písm. a))	Do odvolání

6. Zpracovatelé a třetí strany

Při provozu Služby využíváme následující zpracovatele:

6.1. Poskytovatel hostingu

Poskytovatel: Scaleway S.A.S. (Francie)
Účel: Poskytování infrastruktury Služby (dedikovaný server)
Umístění dat: Evropská unie (Francie)
Zásady ochrany osobních údajů: https://www.scaleway.com/en/privacy-policy/
Smlouvy a DPA: https://www.scaleway.com/en/contracts/

6.2. Geo-redundantní záložní úložiště

Smartegy.ai provádí automatické denní zálohování každé zákaznické instance, databáze, auditního záznamu a uložených dat. Zálohy jsou uloženy geo-redundantně v německém datovém centru Hetzner Online GmbH, výhradně v rámci Evropské unie.

Poskytovatel: Hetzner Online GmbH
Sídlo: Industriestr. 25, 91710 Gunzenhausen, Germany
Obchodní rejstřík: Ansbach Registration Office, HRB 6089
DIČ EU: DE 812871812
Účel: Geo-redundantní uložení denních automatických záloh
Umístění dat: Německo (EU)
Zásady ochrany osobních údajů Hetzner
Právní informace Hetzner

6.3. Poskytovatel AI

Poskytovatel: Amazon Web Services EMEA SARL (AWS Bedrock)
Účel: Analýza a generování odpovědí na bázi umělé inteligence (modely Anthropic Claude)
Region: eu-central-1 (Frankfurt, Německo)
Oznámení o ochraně osobních údajů: https://aws.amazon.com/privacy/
Podmínky služby: https://aws.amazon.com/service-terms/
Smlouva o zpracování údajů (DPA): https://d1.awsstatic.com/legal/aws-dpa/aws-dpa.pdf
Nejčastější otázky k ochraně dat: https://aws.amazon.com/compliance/data-privacy-faq/

Tok dat během AI zpracování:

Pro poskytování Služby jsou vaše obchodní data zpracovávána AI systémem v původní podobě. To je nezbytné k tomu, aby systém mohl vytvářet přesné analýzy, dotazy a reporty. Tok dat je následující: váš dotaz a příslušná obchodní data jsou přenášena přes šifrovaný kanál (TLS 1.3) do služby AWS Bedrock, která generuje AI odpověď, a výsledek se vrátí do vašeho izolovaného prostředí.

Záruky ochrany dat:

Žádné trénování modelů: Služba AWS Bedrock NEPOUŽÍVÁ vaše data k trénování, dolaďování ani vylepšování AI modelů. Toto je smluvně zaručeno Smlouvou o zpracování údajů (DPA) AWS.

Žádné uchovávání dat: AWS Bedrock NEUCHOVÁVÁ vstupní data (prompty) ani vygenerované odpovědi po dokončení zpracování. Data existují v systému AWS pouze po dobu generování odpovědi.

Zpracování výhradně v EU: Veškeré AI zpracování probíhá výhradně v regionu AWS eu-central-1 (Frankfurt, Německo). Data se za žádných okolností nepřenášejí mimo Evropskou unii.

Izolace dat: Každý zákazník funguje ve vlastním izolovaném prostředí (Docker kontejner). Vaše data nejsou přístupná ostatním zákazníkům.

Šifrovaný přenos: Veškerá komunikace mezi serverem a AWS Bedrock je chráněna šifrováním TLS 1.3.

Důležitá poznámka: Obchodní data nejsou standardně ANONYMIZOVÁNA během AI zpracování, protože maskování a skrývání osobních údajů před LLM vyžaduje vlastní řešení specifické pro klienta vzhledem k inherentní povaze technologie LLM. Ochrana údajů je zajištěna izolací, šifrováním, zpracováním výhradně v EU a zákazem trénování modelů.

Možnost vlastní anonymizace:

Pokud klient trvá na anonymizaci dat, lze ji implementovat na základě společně vypracovaného plánu. Postup je následující: (1) S klientem probereme rozsah a podrobnosti údajů, které mají být anonymizovány. (2) Vypracujeme podrobný plán anonymizace, který může zahrnovat použití pseudonymů, maskovacích technik nebo jiných řešení ochrany údajů. (3) Plán definuje postup: kdo co dělá – tj. jaké úpravy jsou potřebné na straně zdroje dat a jak můžeme pomoci s implementací. (4) Plán podrobně popisuje funkční omezení, která anonymizace přinese při používání, a jaké speciální postupy je nutné dodržovat (např. používání pseudonymů v dotazech, speciální identifikační systémy atd.). Je důležité poznamenat, že anonymizace vždy přináší určitá omezení používání, o kterých bude klient informován při přijetí plánu.

Přístup k databázi a ochrana údajů:

Je důležité objasnit, že AI systém (LLM) NEMÁ přímý přístup k databázi klienta. LLM vidí pouze strukturu databáze (schéma) – tj. názvy tabulek, sloupců a typy dat – a také požadavek uživatele formulovaný v přirozeném jazyce. Databázové dotazy jsou generovány specializovaným agentem ve formátu SQL, ale provádění dotazů probíhá výhradně v lokálně hostované nebo vlastní databázi klienta, ne v LLM. LLM proto nikdy nevidí celou databázi – zná pouze strukturu a parametry dotazu uživatele, poté dostává výsledky dotazu pro formulování odpovědi. Sběr dat vždy provádí specializovaný agent na základě instrukcí LLM.

Agentová architektura pracovního postupu:

Smartegy.ai využívá agentovou architekturu, která zajišťuje bezpečné a deterministické zpracování dat následovně:

UŽIVATEL→ORCHESTRÁTOR (LLM)→AGENT→LOCAL DB / SERVICE

←←← response ←←←

1Uživatel položí svou otázku v přirozeném jazyce.

2Orchestrátor (centrální LLM) interpretuje požadavek a rozhodne, kterého specializovaného agenta zapojit (např. agent pro databázové dotazy, generátor reportů, odesílatel e-mailů atd.).

3Specializovaný agent vykoná úkol deterministicky: SQL dotazy běží v lokální databázi, generování souborů probíhá na lokálním serveru, odesílání e-mailů jde přes dedikovanou službu.

4Výsledek se vrátí orchestrátoru, který formuluje odpověď pro uživatele.

Proč je toto řešení deterministické? LLM slouží výhradně jako komponenta pro uvažování a rozhodování: rozhoduje, CO je potřeba udělat a JAK formulovat odpověď. Skutečné provádění (datové dotazy, generování souborů, odesílání e-mailů) vždy probíhá v lokálním, izolovaném kódu, který LLM nemůže obejít. Agenti mají přísně regulovaná oprávnění (např. agent pro databázové dotazy může provádět pouze příkazy SELECT, což znamená, že může jen číst data, ne je upravovat). Toto oddělení zajišťuje, že data nikdy neopouštějí chráněné prostředí a operace vždy běží v kontrolovaných mezích.

6.4. Partnerské prodejní kanály

Služba může být prodávána prostřednictvím partnerských prodejců. Partnerští prodejci vystupují jako nezávislí správci v rámci vlastních prodejních a zákaznických procesů. Partnerští prodejci se zpravidla nezúčastňují a nemají přístup ke zpracování obchodních dat spravovaných během poskytování Služby a dat souvisejících s využíváním Služby, pokud se strany nedohodnou jinak v samostatné smlouvě (např. služby podpory).

6.6. EU GPU server

Smartegy.ai provozuje své specializované AI mikroslužby (predikce, rozpoznávání pojmenovaných entit, neurální analýza časových řad) na vlastním výkonném GPU serveru pronajatém v rámci EU. Tyto modely zpracovávají data výhradně na území EU. GPU server není cloudová služba třetí strany, ale dedikovaný hardware pod naším vlastním dohledem.

Umístění dat: Evropská unie

6.7. Google Speech Recognition

Funkce rozpoznávání řeči Smartegy.ai používá Google Web Speech API, které běží přímo v prohlížeči uživatele. Zvuková data nejsou odesílána na servery Smartegy.ai – zpracování probíhá mezi prohlížečem a Google. Na našich serverech se neukládají žádné zvukové záznamy.

Používáním tlačítka mikrofonu uživatel bere na vědomí, že rozpoznávání řeči probíhá prostřednictvím Google Web Speech API.

6.8. ElevenLabs (převod textu na řeč)

Funkce převodu textu na řeč Smartegy.ai používá službu ElevenLabs. Text AI odpovědi je odesílán na servery ElevenLabs ke zpracování syntézy řeči. ElevenLabs data po použití smaže.

Uživatel může funkci převodu textu na řeč kdykoli vypnout ve svém nastavení.

Používáním hlasových funkcí (tlačítko mikrofonu, převod textu na řeč) uživatel bere na vědomí, že používáme Google Web Speech API pro rozpoznávání řeči a službu ElevenLabs pro převod textu na řeč.

Zásady ochrany osobních údajů ElevenLabs: https://elevenlabs.io/privacy

Se všemi zpracovateli jsme uzavřeli smlouvy o zpracování údajů k zajištění ochrany dat v souladu s GDPR.

Důležité: Systém Smartegy.ai funguje výhradně v rámci Evropské unie. AI zpracování probíhá v regionu AWS eu-central-1 (Frankfurt). Osobní údaje se NEPŘENÁŠEJÍ mimo EU.

7. Vaše práva

Podle GDPR máte následující práva:

7.1. Právo na přístup (článek 15)

Máte právo požádat o informace o tom, jaké osobní údaje zpracováváme, a získat jejich kopii.

7.2. Právo na opravu (článek 16)

Můžete požádat o opravu nepřesných osobních údajů nebo doplnění neúplných údajů.

7.3. Právo na výmaz ('právo být zapomenut') (článek 17)

Můžete požádat o výmaz svých osobních údajů, pokud: údaje již nejsou potřebné; odvoláte souhlas; vznesete námitku proti zpracování; zpracování je nezákonné.

7.4. Právo na omezení zpracování (článek 18)

V určitých případech můžete požádat o omezení zpracování.

7.5. Právo na přenositelnost údajů (článek 20)

Máte právo získat své osobní údaje ve strukturovaném, strojově čitelném formátu a přenést je k jinému správci.

7.6. Právo vznést námitku (článek 21)

Máte právo vznést námitku proti zpracování svých osobních údajů na základě oprávněného zájmu.

7.7. Práva související s automatizovaným rozhodováním (článek 22)

Máte právo nebýt předmětem rozhodnutí založeného výhradně na automatizovaném zpracování, které má vůči vám právní účinky.

Pro uplatnění svých práv kontaktujte prosím našeho pověřence pro ochranu osobních údajů na adrese [email protected]. Na žádosti odpovíme do 30 dní. V případě složitých žádostí může být tato lhůta prodloužena o dalších 60 dní.

8. Bezpečnost údajů

K ochraně vašich údajů uplatňujeme následující technická a organizační opatření:

Šifrování: Všechna data jsou uložena šifrovaně (AES-256) a přenášena přes šifrované kanály (TLS 1.3).
Izolovaná prostředí: Data každého zákazníka jsou uchovávána a zpracovávána v samostatných, izolovaných prostředích.
Správa přístupu: Přísná pravidla přístupu, možnost vícefaktorového ověřování.
Pravidelné zálohy: Pravidelné bezpečnostní zálohy dat.
Bezpečnostní audity: Pravidelné bezpečnostní kontroly a hodnocení zranitelností.
Správa incidentů: Zdokumentovaný postup řízení incidentů v oblasti ochrany dat.

Dvoufaktorové ověřování (2FA)

Smartegy.ai důrazně doporučuje zapnout dvoufaktorové ověřování (2FA) pro všechny uživatele. 2FA výrazně snižuje riziko neoprávněného přístupu. Uživatel nese výhradní odpovědnost za jakékoliv narušení ochrany dat nebo neoprávněný přístup vyplývající z nezapnutí 2FA.

Správa hesel a odpovědnost uživatele

Uživatel je povinen uchovávat své heslo v tajnosti a bezpečně ho uložit. Pokud uživatel sdílí své heslo s třetí stranou, prozradí ho nebo ho nedbalostně uloží nebezpečným způsobem (např. v textovém souboru, na papíře, na sdíleném zařízení), uživatel nese výhradní odpovědnost za jakýkoliv výsledný neoprávněný přístup a jeho následky.

Změna hesla po prvním přihlášení

Důrazně se doporučuje změnit systémem vydané heslo na jedinečné, silné heslo ihned po prvním přihlášení. Pokud uživatel heslo nezmění, nese odpovědnost za jakákoliv výsledná bezpečnostní rizika.

9. Soubory cookie

Webová stránka a aplikace Smartegy.ai používá pouze soubory cookie nezbytné pro provoz:

Relační soubory cookie: Pro přihlášení a udržování bezpečných relací.
Jazykové nastavení: Pro zapamatování vaší jazykové preference.

Nepoužíváme: sledovací soubory cookie, marketingové/reklamní soubory cookie, analytické soubory cookie třetích stran.

10. Ochrana údajů dětí

Služba není určena pro děti. Vědomě neshromažďujeme osobní údaje osob mladších 16 let. Pokud se dozvíme, že zpracováváme údaje osoby mladší 16 let, okamžitě je smažeme.

11. Změny zásad ochrany osobních údajů

Vyhrazujeme si právo upravit tyto Zásady ochrany osobních údajů. O změnách budeme uživatele informovat prostřednictvím Služby nebo e-mailem. O podstatných změnách upozorníme minimálně 30 dní předem.

12. Právo podat stížnost

Pokud se domníváte, že zpracování vašich osobních údajů porušuje ustanovení GDPR, máte právo podat stížnost dozorčímu orgánu:

Maďarský národní úřad pro ochranu dat a svobodu informací (NAIH)

Adresa: 1055 Budapest, Falk Miksa utca 9-11., Hungary
Poštovní adresa: 1363 Budapest, Pf. 9., Hungary
Telefon: +36 1 391 1400
E-mail: [email protected]
Webová stránka: https://naih.hu

Na soud se můžete obrátit i v případě, pokud se domníváte, že zpracování vašich osobních údajů je nezákonné.

13. Kontakt

Pokud máte otázky týkající se těchto Zásad ochrany osobních údajů nebo zpracování vašich osobních údajů, kontaktujte nás:

Chain Advisory Kft. (vývojář, držitel práv)

Adresa: 1037 Budapest, Táborhegyi út 18/f, Hungary

Erba 96 Kft. (společný provozovatel, operátor)

Adresa: 1142 Budapest, Stubnyai utca 4., Hungary

E-mail: [email protected]

Pověřenec pro ochranu osobních údajů:

Erik Árokszállási
E-mail: [email protected]