Varnost & skladnost · § 05

Zaupnost in skladnost po dizajnu, ne v pripisu pogojev.

Pravnik.AI obravnava odvetniško zaupnost, GDPR in EU AI Act kot arhitekturne odločitve. Vsaka pilotna pisarna prejme DPA pogodbo, seznam podizvajalcev in dokumentirano politiko hrambe podatkov pred začetkom uporabe.

Šest stebrov
§ 01 · Arhitektura varnosti

Kako varujemo dokumente, vprašanja in identiteto vaše stranke.

Šest področij, kjer se varnost preliva iz pogojev uporabe v dejansko izvedbo. Vsako področje je predmet preverjanja v pilotni fazi.

I.

GDPR in DPA pogodba

Skladnost s Splošno uredbo o varstvu podatkov (Uredba EU 2016/679). Pred začetkom uporabe vsaka pilotna pisarna prejme DPA — pogodbo o obdelavi osebnih podatkov, ki ureja vlogo Pravnik.AI kot obdelovalca podatkov.

  • Pravica do dostopa, popravka in izbrisa podatkov
  • Politika hrambe in retencije z določenimi roki
  • Postopek obvestila o kršitvi varnosti v 72 urah
  • Imenovan kontakt za vprašanja varstva podatkov
II.

Odvetniška zaupnost

Po Zakonu o odvetništvu (35. čl.) je odvetnik dolžan varovati kot tajnost vse, kar mu je stranka zaupala. Pravnik.AI je zasnovan tako, da uporabnikova vprašanja in dokumenti ne prehajajo v javne modele in se ne uporabljajo za treniranje.

  • Strogo ločeni workspaceji za vsako pisarno
  • Zero-retention politika pri AI ponudniku, kjer je na voljo
  • Brez treniranja na uporabniških podatkih
  • Možnost pseudonimizacije pred obdelavo
III.

Šifriranje in lokacija podatkov

Podatki so v transitu šifrirani s TLS 1.3, v mirovanju z AES-256. Storitve infrastrukture (računanje, baza, hramba) so izbrane v EU regijah. Cilj: izognemo se prenosu podatkov izven EU/EGP, kjer je tehnično izvedljivo.

  • TLS 1.3 za vse zunanje komunikacije
  • AES-256 za podatke v mirovanju
  • EU regije za computing, baze in hrambo
  • Šifrirani backupi z neodvisnimi ključi
IV.

Audit log in sledljivost

Vsako vprašanje, generiran osnutek in dostop do dokumentov je zabeleženo v audit logu. Skrbnik pisarne (admin) lahko pregleduje uporabo po uporabnikih in zadevah. Audit log je nespremenljiv in je predmet retencijske politike.

  • Logiranje dostopa, vprašanj in generiranih osnutkov
  • Review po uporabnikih in zadevah
  • Nespremenljive (append-only) zaznambe
  • Izvoz logov za potrebe DPO ali revizije
V.

Ločeni workspaceji

Vsaka pisarna ima svoj namespace v podatkovni shrambi in vektorskem indeksu. Brez navzkrižnega dostopa med pisarnami. Role-based permissions znotraj pisarne (admin / odvetnik / pripravnik / pomočnik).

  • Logična izolacija na ravni baze in indeksa
  • Štiri tipične vloge z različnimi pravicami
  • Strukturiran onboarding in offboarding
  • Audit dostopa pri spremembah pravic
VI.

Brez hrambe občutljivih dokumentov

V pilotni fazi je možna konfiguracija brez perzistence — sistem dokument uporabi za kratkotrajno obdelavo in po sejo izbriše vsebino. Le metapodatki (ime datoteke, čas, uporabnik) ostanejo za audit. Priporočamo posvet z DPO pisarne.

  • Možnost ne-perzistentne obdelave v sekciji
  • Hramba samo metapodatkov za audit
  • Konfigurabilno na ravni pisarne
  • Posvet z DPO pred uvedbo
Podizvajalci
§ 02 · Sub-processors

Pregleden seznam tehničnih podizvajalcev.

Pravnik.AI uporablja izbrane tehnične podizvajalce za infrastrukturo, computing in pomožne storitve. Spodnji seznam je predviden okvir za pilotno fazo. Pred sodelovanjem prejmete posodobljen seznam s točnimi entitetami in lokacijami.

Storitev / vloga
Tip obdelave
Lokacija
Namen
Cloud infrastruktura
Računanje, baza, hramba
EU · Frankfurt / Amsterdam
Izvajanje aplikacije, hramba podatkov pisarne in podatkov o uporabi.
AI ponudnik (LLM)
Inference modela
EU regije · zero-retention
Generiranje odgovorov in osnutkov. Zero-retention dogovor, kjer je tehnično mogoče.
Vektorska baza
Embedding hramba
EU regije
Hramba semantičnih vektorjev pravnega korpusa za hybrid search.
E-poštna storitev
Transakcijska sporočila
EU regije
Sistemska sporočila, magic-link prijava, obvestila o varnostnih dogodkih.
Plačilna storitev
Zaračunavanje (po pilotu)
EU regije
Obdelava plačil naročnin po izteku pilotne faze. V pilotu ni aktivna.
Monitoring / logging
Operativni nadzor sistema
EU regije
Sledenje dostopnosti, hitrosti odziva in varnostnih dogodkov.
EU AI Act
§ 03 · Skladnost z AI uredbo

Pristop k EU AI Act.

Pravnik.AI pripravlja skladnost z Uredbo EU 2024/1689 (EU AI Act). Sistem je trenutno v fazi snovanja in ne predstavlja sistema z visokim tveganjem v smislu Priloge III, ker ne sprejema avtomatskih odločitev o pravicah oseb.

Štirje arhitekturni odzivi

Konkretni dizajnerski odzivi na zahteve uredbe — še preden so določene operativne smernice za posamezno panogo.

I. Transparentnost

Uporabnik je v vsakem trenutku obveščen, da komunicira z AI sistemom. Vsak generiran izhod je označen z opombo o pripravi za strokovni pregled. Sistem ne ustvarja vtisa, da gre za odgovor pravnika.

II. Human-in-the-loop

Sistem ne sprejema odločitev o pravicah strank. Vsak izhod je gradivo za pravniški pregled. Pri drafting modulu je opozorilo o strokovnem pregledu vidno na vsakem osnutku.

III. Sledljivost

Audit log beleži vsa vprašanja, generirane izhode in vire. Sledljivost odločitev (kateri viri so bili uporabljeni za odgovor) je vidna uporabniku v sami aplikaciji.

IV. Robustnost

Citation validator preverja obstoj in veljavnost vsakega navedenega člena pred prikazom. No-source refusal preprečuje halucinacije pri nezadostnih virih. Eval set s 500 vprašanji preverja kakovost odgovorov.

Stik za varnostna vprašanja

Imate vprašanje glede DPA, podizvajalcev ali tehnične izvedbe?

Pred prijavo v pilot je vedno priporočljiv kratek tehnični posvet. Pošljemo vam predlog DPA pogodbe, podrobni seznam podizvajalcev z njihovimi lokacijami in dokumentacijo politike hrambe.

  • StikBo objavljen ob lansiranju Faze 0
  • Odziv3 — 5 delovnih dni
  • DPAPosredujemo na zahtevo
  • PilotPrijavi pisarno →