Rychlé nasazování nástrojů umělé inteligence s cílem zvýšit efektivitu a udržet konkurenceschopnost je dnes v mnoha odvětvích běžnou praxí SEDLAKOVA LEGAL: AI Act a tech firmy: Jak splnit nové povinnosti a vyhnout se pokutám. Pro advokátní kanceláře a právní oddělení, která denně pracují s citlivými informacemi a osobními údaji, však tato adopce přináší zásadní otázky týkající se souladu s Obecným nařízením o ochraně osobních údajů (GDPR).
Zásadní je si uvědomit, že ani příchod specializované legislativy, jako je AI Act, neruší platnost stávajících předpisů. Naopak, při zpracování osobních údajů pomocí AI systémů dopadá na organizace plná síla GDPR Právní prostor: Abeceda implementace AI. Tento článek Vám poskytne praktický pohled na klíčové aspekty, které je nutné zohlednit.
Co GDPR říká o zpracování dat pomocí AI?
Přestože GDPR explicitně nedefinuje umělou inteligenci, jeho principy se plně vztahují na jakékoliv zpracování osobních údajů, které AI systémy provádějí ePravo.cz: Právo a umělé inteligence: AI Act, osobní údaje, kyberbezpečnost. Klíčové je, že pokud AI pracuje s osobními údaji, musíte dodržet všechny základní povinnosti, mezi které patří:
- Právní titul ke zpracování: Musíte mít platný právní základ, jako je souhlas subjektu údajů, plnění smlouvy nebo oprávněný zájem. Je nutné si položit otázku, zda právní titul, na jehož základě jste data původně získali, pokrývá i jejich zpracování pomocí AI Právní prostor: Abeceda implementace AI.
- Informační povinnost: Subjekty údajů musí být transparentně informovány o tom, jak jsou jejich data zpracovávána, včetně využití AI nástrojů ARROWS, advokátní kancelář: Umělá inteligence v podnikání: příležitosti a právní výzvy v roce 2025, na které byste neměli zapomínat.
- Zabezpečení dat: Jste povinni přijmout adekvátní technická a organizační opatření k ochraně zpracovávaných údajů SEDLAKOVA LEGAL: AI Act a tech firmy: Jak splnit nové povinnosti a vyhnout se pokutám.
- Minimalizace dat a omezení uložení: Zpracovávejte pouze nezbytné osobní údaje a uchovávejte je jen po dobu nezbytně nutnou k naplnění účelu zpracování. AI systémy by neměly shromažďovat nadbytečné informace.
Zásadní riziko představuje vkládání citlivých firemních nebo klientských informací do veřejně dostupných AI nástrojů. Z pohledu GDPR platí striktní pravidlo, že do takových systémů osobní údaje nepatří VIA IURIS: GDPR v kanceláři: Na co si dát pozor při provozu firmy?.
Správce vs. Zpracovatel: Kdo je kdo ve světě AI?
Při nasazení externího AI nástroje, jako je Konfido, je klíčové správně určit role podle GDPR.
- Vy jako správce: Advokátní kancelář nebo právní oddělení, které nahrává dokumenty a rozhoduje o účelu a prostředcích zpracování (např. "proveď analýzu tohoto spisu"), vystupuje v roli správce osobních údajů.
- Konfido jako zpracovatel: Poskytovatel AI služby, který data zpracovává na Váš pokyn, je v roli zpracovatele. Konfido funguje na principu bezpečné emailové komunikace.
Z tohoto rozdělení vyplývá povinnost uzavřít zpracovatelskou smlouvu s poskytovatelem AI systému ARROWS, advokátní kancelář: Umělá inteligence v podnikání: příležitosti a právní výzvy v roce 2025, na které byste neměli zapomínat. Tato smlouva musí jasně definovat předmět, dobu trvání, povahu a účel zpracování, typ osobních údajů, kategorie subjektů údajů a povinnosti obou stran.
Konfido jako záruka soukromí a bezpečnosti dat
Konfido je navrženo jako privátní a bezpečný systém. Vaše data jsou striktně oddělena v izolovaném prostředí a nikdy se nepoužívají k trénování globálních modelů. Tato architektura je fundamentální rozdíl oproti veřejným nástrojům a klíčový předpoklad pro uzavření platné zpracovatelské smlouvy, která Vám zaručí plnou kontrolu nad Vašimi daty.
Informační povinnost a práva subjektů údajů
GDPR klade velký důraz na transparentnost. Organizace musí zajistit, aby informace o zpracování údajů byly jasné, srozumitelné a snadno přístupné TAYLLORCOX: Etika a nástroje využitia AI v súvislosti s GDPR. Pokud ve své praxi využíváte AI pro analýzu dokumentů obsahujících osobní údaje Vašich klientů, je nutné je o této skutečnosti informovat v rámci zásad zpracování osobních údajů.
Právo na výmaz ("právo být zapomenut")
GDPR zaručuje subjektům údajů právo na opravu a vymazání jejich dat. V kontextu AI systémů je klíčové, aby bylo technicky možné tomuto právu vyhovět.
U systémů, které využívají data k trénování centrálních modelů, může být úplný výmaz prakticky neproveditelný. Konfido tento problém řeší tím, že pracuje výhradně s daty, která mu pro daný úkol poskytnete. Data jsou uložena v izolovaném prostředí a po skončení práce je možné je kompletně a nevratně odstranit, čímž je právo na výmaz plně zajištěno.
Automatizované rozhodování
Je důležité si uvědomit, že AI nástroj by měl sloužit jako podpora, nikoliv jako finální rozhodovací autorita. Pokud by systém prováděl automatizované rozhodování s právními účinky (např. zamítnutí nároku), vztahoval by se na něj přísný režim článku 22 GDPR ARROWS, advokátní kancelář: Umělá inteligence v sociálních službách - praxe a právo. Konfido je navrženo jako asistenční nástroj – poskytuje doporučení a podklady, ale konečné rozhodnutí musí vždy učinit člověk. Více o tomto principu se dozvíte v našem článku o roli lidského dohledu nad AI.
Praktická doporučení pro GDPR compliance
Pro zajištění souladu s GDPR při implementaci AI nástrojů doporučujeme následující kroky, které tvoří základ tzv. "AI compliance" Digitální a informační agentura: AI a právo – Katalog využití umělé inteligence ve veřejném sektoru.
Kontrolní seznam pro zavedení AI v souladu s GDPR:
- Proveďte posouzení vlivu na ochranu osobních údajů (DPIA): Před nasazením AI nástroje pro rozsáhlé zpracování citlivých údajů je v mnoha případech nutné provést DPIA ARROWS, advokátní kancelář: Zaměstnanci a AI nástroje: jak právně ošetřit využívání umělé inteligence v práci. Tento proces Vám pomůže identifikovat a minimalizovat rizika spojená se zpracováním, a proaktivně je adresovat.
- Ověřte si dodavatele a uzavřete zpracovatelskou smlouvu: Důkladně prověřte, jak poskytovatel AI služby data zpracovává a zda je smluvně zavázán k dodržování GDPR VIA IURIS: GDPR v kanceláři: Na co si dát pozor při provozu firmy?. Trvejte na robustní zpracovatelské smlouvě, která jasně definuje zodpovědnost. Návod, jak vybrat důvěryhodného dodavatele AI, jsme pro Vás připravili v samostatném článku.
- Zaveďte interní pravidla a školte zaměstnance: Vytvořte interní směrnici (AI policy), která definuje, jaké nástroje a pro jaké účely se mohou používat SEDLAKOVA LEGAL: AI Act a tech firmy: Jak splnit nové povinnosti a vyhnout se pokutám. Zajistěte, aby všichni zaměstnanci byli proškoleni o správném a bezpečném používání těchto nástrojů a chápali související rizika.
- Aktualizujte informační povinnost: Upravte své zásady zpracování osobních údajů tak, aby reflektovaly využívání AI nástrojů při práci s klientskými daty a zajistily plnou transparentnost vůči subjektům údajů.
- Využívejte privátní a bezpečné nástroje: Pro práci s dokumenty obsahujícími osobní či jinak citlivé údaje se striktně vyhýbejte veřejným AI modelům a využívejte pouze nástroje, které garantují soukromí a bezpečnost dat, jako je Konfido.
Implementace umělé inteligence do právní praxe není jen technologickou, ale především právní a procesní výzvou. Důsledné dodržování principů GDPR není překážkou inovace, ale naopak základním předpokladem pro budování důvěry u klientů a udržitelný rozvoj Vaší kanceláře v digitální éře.
Spočítejte si návratnost nasazení bezpečného AI asistenta
Zjistěte, kolik času a nákladů můžete ušetřit s nástrojem, který respektuje ochranu osobních údajů.
Zjistit víceZdroje a použitá literatura
- VIA IURIS: GDPR v kanceláři: Na co si dát pozor při provozu firmy?
- SEDLAKOVA LEGAL: AI Act a tech firmy: Jak splnit nové povinnosti a vyhnout se pokutám
- ARROWS, advokátní kancelář: Zaměstnanci a AI nástroje: jak právně ošetřit využívání umělé inteligence v práci
- TAYLLORCOX: Etika a nástroje využitia AI v súvislosti s GDPR
- ARROWS, advokátní kancelář: Umělá inteligence v podnikání: příležitosti a právní výzvy v roce 2025, na které byste neměli zapomínat
- ARROWS, advokátní kancelář: Umělá inteligence v sociálních službách - praxe a právo
- Digitální a informační agentura: AI a právo – Katalog využití umělé inteligence ve veřejném sektoru
- Právní prostor: Abeceda implementace AI
- ePravo.cz: Právo a umělé inteligence: AI Act, osobní údaje, kyberbezpečnost