Vaše data jsou v bezpečí

AktAI je postavený s ohledem na nároky právní praxe — šifrování, EU hosting, GDPR, AI Act.

Hostování v EU
Všechna vaše data zůstávají v Evropské unii (Supabase Frankfurt, Vercel EU edge). Žádný transfer dat mimo EHP.
Šifrování dat
Při přenosu TLS 1.3, v databázi AES-256 (Transparent Data Encryption). Soubory v úložišti šifrované AES-256.
Vaše data netrénují AI
Anthropic, poskytovatel LLM Claude, má smluvně zakázáno používat data komerčních zákazníků k trénování modelů. Voyage AI (embedding) má aktivní opt-out.
V souladu s předpisy
GDPR, AI Act (limited risk), § 21 zákona o advokacii, DPA podle čl. 28 GDPR.

Šifrování

  • Při přenosu: TLS 1.3 mezi prohlížečem a servery, žádné zastaralé protokoly.
  • V databázi (PostgreSQL): AES-256 přes Supabase Transparent Data Encryption.
  • Soubory: AES-256 v Supabase Storage.
  • Hesla: bcrypt s adekvátním cost factorem.
  • Záložní kopie: automatické denní zálohy Supabase Pro, point-in-time recovery 7 dní zpětně, šifrované AES-256.

Hostování a infrastruktura

  • Databáze a autentizace: Supabase Pro, region EU (Frankfurt, Německo).
  • Aplikace: Vercel Pro, EU edge regiony.
  • Žádný transfer dat mimo EHP — vaše dokumenty, kauzy a chaty zůstávají v Evropě.

Práce s AI modely

  • Poskytovatel LLM: Anthropic (Claude Sonnet a další modely).
  • Žádné trénování na vašich datech: Anthropic má v Commercial Terms of Service explicitně zakázáno používat data komerčních zákazníků (včetně AktAI) k trénování AI modelů.
  • Krátká retence: Anthropic uchovává API požadavky maximálně 30 dní pro detekci zneužití, poté je automaticky maže.
  • Embedding modely: Voyage AI (voyage-3.5-lite) — máme aktivní opt-out z používání dat k trénování modelů.
  • AI Act compliance: AktAI je klasifikováno jako AI systém s omezeným rizikem (limited risk). Veškerý AI obsah je v aplikaci viditelně označen.

Přístup a oprávnění

  • Row-level security (RLS): Každý uživatel vidí pouze vlastní data — vynuceno na úrovni databáze, ne pouze v aplikační vrstvě.
  • Audit log: Všechny přístupy a změny jsou zaznamenávány. Retence: 90 dní (technické) / 1 rok (security) / 5 let (billing).
  • Žádný přístup pro zaměstnance AktAI k obsahu vašich dokumentů a chatů — výjimkou jsou pouze nezbytně nutné agregované metriky pro provoz.

Vaše práva (GDPR)

  • Export dat: Kdykoli si můžete v Nastavení → Účet stáhnout všechna svá data ve formátu JSON.
  • Smazání účtu: Soft delete s 30denní možností obnovení, poté hard delete celé databáze.
  • Pověřenec pro ochranu osobních údajů: privacy@aktai.cz.

Sub-procesory a DPA

AktAI využívá 9 specializovaných poskytovatelů pro hostování, AI modely, platby a komunikaci. Se všemi sub-dodavateli máme uzavřenou Smlouvu o zpracování osobních údajů (DPA) podle čl. 28 GDPR, případně ji finalizujeme. Aktuální stav každé DPA naleznete v seznamu sub-dodavatelů.

Právní rámec

  • GDPR (Nařízení EU 2016/679) — plný soulad, sub-procesory s DPA.
  • § 21 zákona o advokacii — mlčenlivost o skutečnostech, o nichž se advokát dozvěděl.
  • § 180 odst. 2 trestního zákoníku — neoprávněné nakládání s osobními údaji.
  • AI Act (Nařízení EU 2024/1689) — limited risk AI systém, transparentnost AI obsahu.
Máte další otázky?
Sub-procesoryObchodní podmínkyKontaktovat privacy@aktai.cz
ISO 27001 certifikaci plánujeme po překročení 150 zákazníků.
Poslední aktualizace: 1. června 2026