Ugovorne strane
Voditelj obrade (Controller): Vi, kao korisnik LexBox usluge, u svojstvu odvjetnika/odvjetničkog ureda koji obrađuje podatke svojih klijenata.
Izvršitelj obrade (Processor): Bimbo Capital d.o.o., Zagreb, Hrvatska (kontakt: info@lexbox.ai)
1. Predmet i trajanje obrade
Ovaj Ugovor uređuje obradu osobnih podataka koju LexBox provodi u ime Korisnika u okviru pružanja usluge pravnog AI istraživanja i generiranja dokumenata putem platforme LexBox (app.lexbox.ai). Obrada traje za vrijeme trajanja pretplate.
2. Priroda i svrha obrade
LexBox obrađuje osobne podatke isključivo u svrhu:
- Obrada korisničkih upita putem AI modela
- Pretraživanje pravnih izvora na temelju upita
- Generiranje pravnih dokumenata
- Pohrana povijesti razgovora
- Obrada učitanih dokumenata za pretraživanje (vektorska ugradnja)
3. Kategorije osobnih podataka
LexBox može obrađivati podatke sadržane u korisničkim upitima i učitanim dokumentima: imena, adrese, OIB, podaci o postupcima, financijski podaci i ostalo što Korisnik unese. LexBox nije namijenjen za posebne kategorije podataka (čl. 9. GDPR-a).
4. Kategorije ispitanika
Klijenti Korisnika, protustranke, zaposlenici Korisnika i ostale fizičke osobe navedene u unesenim podacima.
5. Obveze LexBoxa
LexBox se obvezuje: obrađivati podatke isključivo prema uputama Korisnika; osigurati povjerljivost; poduzeti tehničke i organizacijske mjere zaštite (čl. 32. GDPR-a); pomagati u odgovorima na zahtjeve ispitanika; po prestanku usluge izbrisati ili vratiti sve podatke.
6. Pod-izvršitelji obrade
| Pod-izvršitelj | Sjedište | Svrha | Lokacija podataka |
| Scaleway SAS | Francuska | LLM inference | Pariz, Francuska |
| Mistral AI | Francuska | LLM inference (rezervni) | Pariz, Francuska |
| Voyage AI, Inc. | SAD | Vektorska ugradnja upita (embeddings) | SAD |
| Supabase Inc. | SAD (EU regija) | Baza podataka i autentikacija | EU regija |
| Hetzner Online GmbH | Njemačka | Server hosting | Nürnberg, Njemačka |
| Resend Inc. | SAD | Email obavijesti | SAD |
| Stripe Inc. | Irska/SAD | Obrada plaćanja | EU (Irska) |
LexBox će obavijestiti Korisnika o promjenama pod-izvršitelja najmanje 30 dana unaprijed.
7. Prijenos podataka
Podaci se pohranjuju i obrađuju primarno unutar EGP-a (Hetzner Njemačka, Supabase EU, LLM modeli u Francuskoj). Tekst korisničkih upita privremeno se prenosi na Voyage AI (SAD) radi vektorske ugradnje; embeddings se vraćaju i pohranjuju unutar EGP-a. Plaćanja i email obavijesti obrađuju se kod pružatelja sa sjedištem u SAD-u (Stripe, Resend). Za sve prijenose izvan EGP-a koriste se standardne ugovorne klauzule (SCC) ili EU-US Data Privacy Framework.
8. Povreda osobnih podataka
LexBox će bez odgode, najkasnije u roku od 48 sati, obavijestiti Korisnika o povredi osobnih podataka s opisom prirode, kategorijama pogođenih ispitanika, posljedicama i poduzetim mjerama.
9. Povrat i brisanje podataka
Po prestanku pretplate, Korisnik može zatražiti izvoz podataka (30 dana) ili potpuno brisanje. LexBox potvrđuje brisanje u pisanom obliku.
10. Pravo na reviziju
Korisnik ima pravo provoditi revizije usklađenosti uz prethodni pisani zahtjev (30 dana). Troškove snosi Korisnik, osim ako revizija utvrdi kršenje.
Tehničke mjere zaštite
- TLS 1.2+ enkripcija u prijenosu
- AES enkripcija dokumenata u mirovanju
- LUKS enkriptirani vektorski storage
- HttpOnly cookies + JWT autentikacija (1h access token, 30d refresh token) uz CSRF zaštitu
- Hashiranje lozinki putem Supabase Auth (bcrypt)
- Row Level Security na bazi podataka
- Hetzner ISO 27001:2022 data centar (Nürnberg)