Zásady zpracování dat v aplikaci CODEXIS AI pro Microsoft 365

Tento dokument popisuje, jak aplikace CODEXIS AI v prostředí Microsoft 365 – tj. doplňky pro Word, Excel a Outlook a aplikace pro Microsoft Teams – přistupuje k vašim datům, jak je používá, ukládá a chrání.

Používání a přenos informací získaných z rozhraní Microsoft (Office Add-ins / Office.js, Microsoft Graph, Microsoft 365 a Microsoft Teams) aplikací CODEXIS AI se řídí podmínkami Microsoft APIs Terms of Use a Microsoft Graph a zásadou minimálního nezbytného rozsahu oprávnění.

Informace získané prostřednictvím rozhraní Microsoft ani obsah, který do aplikace vložíte, nejsou používány k reklamním účelům, marketingu, profilování uživatelů ani k trénování modelů umělé inteligence.

1. Jaká data zpracováváme

Aplikace CODEXIS AI přistupuje pouze k minimálním údajům nezbytným pro fungování služby v prostředí Microsoft 365.

Základní informace o profilu — pro přihlášení a identifikaci propojeného účtu (zpravidla přes Microsoft Entra ID / SSO) může aplikace zpracovávat:

• jméno uživatele,
• e-mailovou adresu (UPN),
• identifikátor uživatele a identifikátor organizace (tenant ID).

Obsah, se kterým aktivně pracujete — aby vám asistent mohl poskytnout požadovanou akci (revize, návrh formulace, vzorec, koncept odpovědi), zpracovává obsah, který mu předáte:

• obsah dokumentu otevřeného ve Wordu nebo Excelu, na kterém asistenta vyvoláte (vybraná pasáž nebo celý dokument);
• obsah e-mailu otevřeného v Outlooku, na který asistenta vyvoláte;
• vaše dotazy (prompty) a konverzace a soubory, které k analýze nahrajete;
• výstupy, které pro vás aplikace vytvoří a které může na váš pokyn zapsat zpět do dokumentu.

Provozní a protokolové údaje — pro zajištění provozu, bezpečnosti a podpory zpracováváme technické záznamy (např. čas přístupu, identifikátor relace, auditní logy o tom, kdo a kdy k datům přistupoval).

Aplikace CODEXIS AI nečte, neprohledává ani nestahuje obsah vašeho prostředí Microsoft 365 (poštovní schránku, soubory na disku, chaty Teams) nad rámec dokumentu či položky, kterou jí sami předáte. Vyžaduje pouze taková oprávnění (Office doplňku / Microsoft Graph scopes), která jsou nezbytná pro poskytování funkcí asistenta.

2. Účel zpracování dat

Data jsou používána výhradně k těmto účelům:

• Poskytování služby – zpracování vašich dotazů, dokumentů a e-mailů a generování právních rešerší, návrhů, kontrol a formulací nad ověřenými právními zdroji.
• Identifikace propojení účtu – přihlášení a zobrazení informace o propojeném účtu Microsoft.
• Provoz, bezpečnost a podpora – zajištění funkčnosti, řešení incidentů a technické podpory.

Data nejsou používána k žádným dalším účelům, zejména nejsou používána pro:

• reklamní účely nebo personalizaci reklamy,
• marketingové analýzy nebo profilování uživatelů,
• sledování chování uživatelů,
• prodej nebo poskytování dat třetím stranám či datovým brokerům,
• trénování modelů umělé inteligence.

3. Právní základ zpracování

Zpracování probíhá na základě:

• plnění smlouvy podle čl. 6 odst. 1 písm. b) GDPR – poskytování licencované služby CODEXIS AI uživateli, resp. organizaci, která licenci pořídila;
• oprávněného zájmu podle čl. 6 odst. 1 písm. f) GDPR – zajištění bezpečnosti, provozu a kvality služby;
• souhlasu podle čl. 6 odst. 1 písm. a) GDPR tam, kde je propojení účtu nebo konkrétní funkce dobrovolná a aktivuje se autorizací (OAuth / Microsoft Entra).

Propojení účtu je dobrovolné a uživatel může integraci kdykoliv zrušit.

4. AI subprocesor a předání dat

Pro funkce umělé inteligence využívá CODEXIS AI jako zpracovatele (subprocesora) společnost OpenAI. Platí přitom:

• obsah, který do aplikace vložíte (prompty i analyzované dokumenty), se nepoužívá k trénování ani zlepšování modelů – ani u ATLAS GROUP, ani u OpenAI;
• zpracování je smluvně ošetřeno smlouvou o zpracování osobních údajů (DPA) podle čl. 28 GDPR;
• AI dotazy jsou zpracovávány v rámci Evropské unie (EU data residency) – požadavky ani odpovědi neopouštějí EU a neputují do USA;
• na základě sjednaného Zero Data Retention (ZDR) OpenAI obsah vůbec neukládá.

Kromě uvedeného subprocesora nejsou data sdílena s třetími stranami. Výjimkou jsou pouze situace, kdy je zpřístupnění vyžadováno právními předpisy nebo rozhodnutím orgánu veřejné moci.

5. Přístup osob k datům (Human Access)

Přístup zaměstnanců nebo smluvních dodavatelů společnosti ATLAS consulting spol. s r.o. k vašim datům je přísně omezen. K přístupu může dojít pouze:

• udělil-li uživatel výslovný souhlas k náhledu na konkrétní data (např. při řešení požadavku na technickou podporu),
• je-li to nezbytné pro řešení bezpečnostního incidentu nebo technické chyby,
• je-li to vyžadováno právními předpisy.

Přístup je omezen na minimální počet oprávněných osob, je řízen přístupovými právy a zaznamenáván v auditních logech.

6. Ukládání a ochrana dat

Pro ochranu dat používáme přiměřená technická a organizační opatření. Zejména:

• šifrování v klidu (AES-256) a šifrování přenosu (TLS 1.2+);
• centralizovaná správa kryptografických klíčů a šifrované zálohy;
• řízení přístupu na základě uživatelských oprávnění a auditních záznamů;
• provoz v zabezpečeném datovém centru v rámci Evropského hospodářského prostoru;
• bezpečnostní program v souladu s ISO/IEC 27001, 27017 a 27018; certifikáty lze na vyžádání poskytnout.

7. Doba uchování a smazání dat

Data uchováváme pouze po dobu nezbytnou k poskytování služby, resp. po dobu trvání licence / propojení účtu.

• Uživatel může konverzaci v historii chatu smazat; smazání chatu je nevratné.
• Po odpojení účtu Microsoft jsou autorizační tokeny okamžitě a nevratně smazány ze serverů CODEXIS AI.
• Při ukončení licence nebo smazání účtu jsou související údaje odstraněny v souladu se smlouvou a právními předpisy.

O smazání údajů lze požádat na e-mailu klientske.centrum@atlasgroup.cz; žádosti vyřizujeme nejpozději do 30 dnů.

8. Přenositelnost a export dat

Dokumenty a výstupy zůstávají ve vlastnictví zákazníka. Vstupy i výstupy lze z aplikace exportovat, popř. jsou ukládány zpět do vašich složek spisu nebo přímo do dokumentu, na kterém pracujete.

9. Oznámení o bezpečnostním incidentu

V případě neoprávněného přístupu k datům nebo jejich zneužití budeme bez zbytečného odkladu informovat dotčené uživatele v souladu s příslušnými právními předpisy, zejména podle Nařízení (EU) 2016/679 (GDPR).

10. Informování v aplikaci

Při propojení účtu Microsoft s aplikací CODEXIS AI je uživateli před udělením přístupu zobrazena informace o tom, k jakým datům bude aplikace přistupovat a k jakému účelu budou data použita. Přístup uživatel uděluje prostřednictvím autorizace (OAuth / Microsoft Entra).

11. Práva subjektů údajů

Uživatel má následující práva: právo na přístup, opravu, výmaz, omezení zpracování, přenositelnost údajů a právo odvolat udělený souhlas.

Domníváte-li se, že při zpracování došlo k porušení právních předpisů, máte právo podat stížnost u dozorového orgánu. V České republice je jím Úřad pro ochranu osobních údajů, www.uoou.cz.

12. Změny těchto zásad

Pokud dojde ke změně způsobu zpracování dat, budou tyto zásady aktualizovány a uživatelé budou o změnách informováni dříve, než začnou být data používána novým způsobem. Pokračováním v používání aplikace po oznámení změn vyjadřuje uživatel souhlas s aktualizovanými zásadami.