Bezpečnost

Vaše data bereme vážně.

Advokátní mlčenlivost a důvěrnost klientských dat jsou pro nás priorita číslo jedna. Tahle stránka je o tom, jak konkrétně. Žádný marketing, žádné slogany, jen rozumná infrastruktura, kterou očekáváte u profesionálního partnera.

01 — API místo veřejného chatu

Jak funguje Claude/ChatGPT API.

Mezi veřejným ChatGPT/Claude chatem a API přístupem je zásadní rozdíl. My pracujeme výhradně s API. Z dostupných modelů doporučujeme zejména Claude od Anthropic, který nabízí robustnější enterprise smluvní rámec a hlubší možnosti integrace na interní systémy klienta.

  • Data odeslaná přes API se nepoužívají k trénování modelu. Smluvně i technicky, Anthropic má tuto politiku v Enterprise Agreement explicitně zakotvenou.
  • Žádný zaměstnanec poskytovatele nemá rutinní přístup k obsahu vašich konverzací. Přístup je možný jen v úzce definovaných případech (zneužití, právní povinnost) a v rámci striktního auditu.
  • Data nejsou sdílena s třetími stranami. Ani anonymizovaná, ani agregovaná.
  • Konverzace přes API nejsou implicitně logovány na straně poskytovatele. Pokud logging zapneme my (pro audit trail), retention nastavíme na dohodnutou dobu, typicky 30 nebo 90 dnů, podle vašich interních politik.
  • Vaše data nevidíme ani my. Provozní přístup k obsahu konverzací nemáme, naše role je nastavit a udržovat infrastrukturu, nikoli číst, co přes ni protéká.

02 — Šifrování a přenos

Jak chráníme data v přenosu i v klidu.

Architektura dodržuje současné bankovní a enterprise standardy. Žádné improvizace, žádné kompromisy.

  • Šifrování při přenosu (TLS 1.3). Zjednodušeně: vše, co odchází z vašeho počítače k modelu, putuje zašifrovaným kanálem, který nikdo „po cestě" nepřečte. Stejnou technologii používá vaše banka pro internetové bankovnictví.
  • Šifrování v klidu (AES‑256). Pokud poskytovatel ukládá metadata či logy, ukládají se vždy zašifrovaně. Šifrovací klíče máme oddělené pro každého klienta zvlášť a pravidelně je obměňujeme. Stejný standard používá armáda i americké úřady.
  • Žádná data nezůstávají „na volno" v kanceláři. Notebooky a telefony, ze kterých se k AI připojujete, doporučujeme zabezpečit centrální správou zařízení (tzv. MDM) a principem „nedůvěřuj nikomu automaticky" (zero‑trust). Pomáháme to nastavit.
  • Datová centra v EU. Pokud konkrétní typ klientů vyžaduje výhradně data v ČR či EHP (typicky banky, zdravotnictví, veřejný sektor), nasadíme řešení od evropských poskytovatelů s datovou suverenitou na našem území.

03 — Advokátní mlčenlivost

Soulad s § 21 zákona o advokacii.

AI je nástroj advokáta, analogie s jiným software, který používáte (DMS, billing, kancelářský balík). Použití nástroje samo o sobě mlčenlivost neporušuje. Klíčové je, jak je ten nástroj nastaven.

  • Doporučujeme zakotvit AI v interní politice kanceláře, kdo, k čemu a jak smí AI používat. Šablonu této politiky pro vás připravíme jako součást implementace, pokud si ji vyžádáte.
  • Kategorizace dat: některé typy dokumentů AI vidí standardně, jiné jen po explicitním schválení supervizora. Politiku navrhneme podle vašeho typu praxe.
  • Naše doporučení jsme konzultovali s právníky se specializací na compliance a profesní povinnosti. Kompletní memo dáváme klientům k dispozici jako součást onboardingu.

04 — Oddělení přístupu v týmu

Kdo vidí co, přesně tak, jak určíte vy.

Ve větší kanceláři pracují různé týmy na různých věcech, M&A, litigace, pracovní právo. Každý z nich má jiné klienty, jiné dokumenty, jiná pravidla mlčenlivosti.

AI nástroje nastavujeme tak, aby respektovaly tuto strukturu přesně. Tým pro M&A nevidí spisy litigačního týmu, a naopak. Přístupy ke skills, dokumentům a konektorům segmentujeme podle vašich interních pravidel, ne podle generického nastavení výrobce.

Výsledek: AI asistence přizpůsobená roli každého člena týmu, s plnou kontrolou na straně managementu kanceláře.

05 — GDPR

Zpracování osobních údajů v kontextu AI.

AI nepřináší GDPR speciální problém, přináší ho ovšem do ostřejšího světla. K tomu, co od poskytovatele jako jsme my, pravidla GDPR požadují, máme připravené odpovědi.

  • Právní základ zpracování: typicky čl. 6 odst. 1 písm. f) GDPR (oprávněný zájem správce, tj. vás). Pro citlivá data případně specifický základ, řešíme ad hoc.
  • DPA (Data Processing Agreement): uzavíráme vlastní DPA, navazujeme na sub‑processor agreement s Anthropic. Dokumenty dostanete před začátkem implementace.
  • Práva subjektů údajů: přístup, oprava, výmaz, omezení zpracování, všechny implementovatelné. U jednorázových API volání se nic dlouhodobě neukládá.
  • DPIA (Data Protection Impact Assessment): pro projekty s významným rozsahem připravujeme DPIA jako součást návrhu řešení.

06 — Certifikace AI vendora

Anthropic Trust Center, vše na jedné URL.

Když si vás compliance officer v klientské firmě vyžádá audit report AI vendora, máte přímý odkaz. Anthropic provozuje veřejný trust.anthropic.com, kde najdete všechny aktuální certifikace, sub‑processor list a privacy artefakty rozdělené podle Claude produktu (API, Enterprise, Team, Bedrock, Vertex, Microsoft Foundry).

Certifikace Co znamená pro vás
SOC 2 Type 2 Nezávislý audit kontrolního systému (security, availability, confidentiality) na období >6 měsíců. Standardní požadavek bank a korporátních klientů.
ISO 27001 Mezinárodní standard pro řízení informační bezpečnosti. Často povinný u veřejných zakázek a regulovaných sektorů.
ISO 42001 Nejnovější standard speciálně pro AI management systems. Anthropic patří mezi první frontier vendory, kteří ho mají.
CSA STAR Cloud Security Alliance registry, transparentní self‑assessment cloud bezpečnosti.
HIPAA‑ready Pro klienty z US healthcare; v ČR relevantní u práce s americkými klienty ze zdravotnictví.
NIST 800‑171 Standard pro ochranu kontrolovaných neutajovaných informací; vyžadovaný u federálních dodavatelů a některých veřejných zakázek.

Praktický význam: pro běžnou advokátní kancelář je SOC 2 Type 2 + ISO 27001 + ISO 42001 trojkombinace, která odpoví na naprostou většinu vendor due diligence dotazů ze strany klientů. Anthropic jim odpovědi dodá rovnou.

Zdroj: trust.anthropic.com · Anthropic Legal Summit 2026, shrnutí pro partnery kanceláří

07 — Rozdíl v jedné tabulce

„Jen si otevřete ChatGPT" vs. naše řešení.

Mezi tím, co dělá kolega o víkendu na volné verzi, a profesionálním nasazením je propast. Tady je prakticky:

Atribut Volný ChatGPT/Claude Cordinel řešení (API)
Data se používají k trénování Ano (často default zapnuto) Ne, smluvně vyloučeno
Kontrola nad daty Minimální Plná, per klient
Audit trail Ne Ano, dle politiky
Soulad s mlčenlivostí Problematický Zajištěný
Enterprise zabezpečení (SSO, MFA, role) Ne / omezené Ano
DPA & sub‑processor agreement Generická Vlastní, k podpisu

Otázky, které slýcháme nejčastěji.

Krátké, konkrétní odpovědi. Pokud vám něco chybí, ozvěte se, připíšeme to sem.

Níže uvedené odpovědi nejsou závazným právním stanoviskem, představují náš výklad současné právní úpravy a stavovských předpisů. Aktuální stanovisko České advokátní komory k užívání AI je z roku 2023 a může být revidováno; konkrétní situaci ve vaší kanceláři je třeba vždy posoudit individuálně.

Můžu do AI nahrát smlouvu klienta?

Ano, pokud používáte API přístup s kontrolními politikami, které pro vás nastavíme. Smlouvy klientů se neodesílají do veřejného ChatGPT. Posílají se přes API endpoint s explicitním zákazem trénování, šifrovaně, s audit trailem.

Doporučujeme zakotvit pravidla použití v interní politice kanceláře, šablonu připravíme. U mimořádně citlivých případů (sankce, trestní obhajoba, M&A v regulovaném sektoru) doporučujeme dvouvrstvé schválení.

Co když AI „uniknou" data z mé smlouvy do jiné konverzace?

U API přístupu se to nemůže stát. Každé volání AI je stateless, nemá paměť mezi voláními, pokud ji explicitně nezapneme my, a to vždy v rámci jednoho izolovaného kontextu klienta.

Co někdy slyšíte, že „chat ukázal data jiného uživatele", se týká veřejných verzí ChatGPT a v naprosté většině případů jde o chyby na straně cachování v UI, ne o únik dat z modelu. API tuto vrstvu nemá.

Potřebuji souhlas klienta s použitím AI?

Z pohledu zákona o advokacii zpravidla ne, AI je nástroj advokáta jako jiný software a mlčenlivost zachováváte vy, ne nástroj. Z pohledu vztahu s klientem je nicméně rozumné to v rámci úvodní komunikace zmínit, zejména u velkých korporátních klientů s vlastními politikami.

Pro běžné klienty doporučujeme krátký dodatek do smluvních podmínek (1–2 odstavce), návrh dostanete jako součást onboardingu.

Je použití AI v advokacii v souladu se zákonem?

Ano. Zákon o advokacii ani stavovské předpisy ČAK použití AI nezakazují, pokud advokát zachovává mlčenlivost a nese odpovědnost za výstup. Stanovisko ČAK z roku 2023 i evropská CCBE užívání AI v advokacii výslovně připouští, odpovědnost za výstup vždy zůstává na advokátovi. Komora avizovala, že stanovisko bude s ohledem na technologický vývoj revidováno.

Konkrétní precedent v ČR už máme. Ústavní soud v prosinci 2025 udělil disciplinární pokutu 25 000 Kč pražskému advokátovi, jehož ústavní stížnost obsahovala 12 neexistujících rozsudků „vyhalucinovaných" jazykovým modelem. Soud zdůraznil, že advokát nese plnou odpovědnost za své podání včetně případných výmyslů AI, pokud byla použita. Tento závěr je v souladu s tím, jak nasazení Cordinelu navrhujeme, AI je nástroj, jehož výstup advokát vždy kontroluje a přebírá.

EU AI Act, který vstupuje v účinnost postupně, neklasifikuje běžné použití AI v advokacii jako vysokorizikový systém, pokud nejde o automatizované rozhodování bez lidského dohledu. Naše implementace s tím počítá.

Zdroje: ČAK – Stanovisko k užívání AI (2023) · Česká justice – Ústavní soud pokutoval advokáta za AI · ČT24 – AI citovala neexistující rozsudky

Máte dotaz, který tady není?

Bezpečnost je téma, kde jednoduché odpovědi končí přibližně tam, kde začínají vaše konkrétní okolnosti. Pokud chcete projít detail vašeho prostředí, ozvěte se přímo. Žádný prodej, jen rozhovor o tom, co konkrétně musí fungovat, aby vám AI dávalo smysl.

Spojíte se s Davidem, spoluzakladatelem Cordinelu a absolventem oboru umělá inteligence na MFF UK, který je připraven na vypořádání vašich dotazů.

Napište nám