Rychlé nasazování nástrojů umělé inteligence s cílem zvýšit efektivitu a udržet konkurenceschopnost je dnes v mnoha odvětvích běžnou praxí (SEDLAKOVA LEGAL). Pro advokátní kanceláře a právní oddělení, která denně pracují s citlivými informacemi a osobními údaji, však tato adopce přináší zásadní otázky týkající se souladu s Obecným nařízením o ochraně osobních údajů (GDPR).
Zásadní je si uvědomit, že ani příchod specializované legislativy, jako je AI Act, neruší platnost stávajících předpisů. Naopak, při zpracování osobních údajů pomocí AI systémů dopadá na organizace plná síla GDPR (Právní prostor).
Co GDPR říká o zpracování dat pomocí AI?
Přestože GDPR explicitně nedefinuje umělou inteligenci, jeho principy se plně vztahují na jakékoliv zpracování osobních údajů, které AI systémy provádějí (ePravo.cz). Klíčové je, že pokud AI pracuje s osobními údaji, musíte dodržet všechny základní povinnosti, mezi které patří:
- Právní titul ke zpracování: Musíte mít platný právní základ, jako je souhlas subjektu údajů, plnění smlouvy nebo oprávněný zájem. Je nutné si položit otázku, zda právní titul, na jehož základě jste data původně získali, pokrývá i jejich zpracování pomocí AI (Právní prostor).
- Informační povinnost: Subjekty údajů musí být transparentně informovány o tom, jak jsou jejich data zpracovávána, včetně využití AI nástrojů (ARROWS, advokátní kancelář).
- Zabezpečení dat: Jste povinni přijmout adekvátní technická a organizační opatření k ochraně zpracovávaných údajů (SEDLAKOVA LEGAL).
- Minimalizace dat a omezení uložení: Zpracovávejte pouze nezbytné osobní údaje a uchovávejte je jen po dobu nezbytně nutnou k naplnění účelu zpracování.
Zásadní riziko představuje vkládání citlivých firemních nebo klientských informací do veřejně dostupných AI nástrojů. Z pohledu GDPR platí striktní pravidlo, že do takových systémů osobní údaje nepatří (VIA IURIS).
Správce vs. Zpracovatel: Kdo je kdo ve světě AI?
Při nasazení externího AI nástroje, jako je Konfido, je klíčové správně určit role podle GDPR.
- Vy jako správce: Advokátní kancelář nebo právní oddělení, které nahrává dokumenty a rozhoduje o účelu a prostředcích zpracování, vystupuje v roli správce osobních údajů.
- Konfido jako zpracovatel: Poskytovatel AI služby, který data zpracovává na Váš pokyn, je v roli zpracovatele. Konfido funguje jako bezpečná webová aplikace.
Z tohoto rozdělení vyplývá povinnost uzavřít zpracovatelskou smlouvu s poskytovatelem AI systému (ARROWS, advokátní kancelář). Tato smlouva musí jasně definovat předmět, dobu trvání, povahu a účel zpracování, typ osobních údajů a povinnosti obou stran.
Konfido jako záruka soukromí a bezpečnosti dat: Konfido je navrženo jako privátní a bezpečný systém. Vaše data jsou striktně oddělena v izolovaném prostředí a nikdy se nepoužívají k trénování globálních modelů. Tato architektura je fundamentální rozdíl oproti veřejným nástrojům a klíčový předpoklad pro uzavření platné zpracovatelské smlouvy, která Vám zaručí plnou kontrolu nad Vašimi daty.
Informační povinnost a práva subjektů údajů
GDPR klade velký důraz na transparentnost. Organizace musí zajistit, aby informace o zpracování údajů byly jasné, srozumitelné a snadno přístupné (TAYLLORCOX). Pokud ve své praxi využíváte AI pro analýzu dokumentů obsahujících osobní údaje Vašich klientů, je nutné je o této skutečnosti informovat v rámci zásad zpracování osobních údajů.
Právo na výmaz ("právo být zapomenut")
GDPR zaručuje subjektům údajů právo na opravu a vymazání jejich dat. V kontextu AI systémů je klíčové, aby bylo technicky možné tomuto právu vyhovět.
U systémů, které využívají data k trénování centrálních modelů, může být úplný výmaz prakticky neproveditelný. Konfido tento problém řeší tím, že pracuje výhradně s daty, která mu pro daný úkol poskytnete. Data jsou uložena v izolovaném prostředí a po skončení práce je možné je kompletně a nevratně odstranit, čímž je právo na výmaz plně zajištěno.
Automatizované rozhodování
Je důležité si uvědomit, že AI nástroj by měl sloužit jako podpora, nikoliv jako finální rozhodovací autorita. Pokud by systém prováděl automatizované rozhodování s právními účinky, vztahoval by se na něj přísný režim článku 22 GDPR (ARROWS, advokátní kancelář). Konfido je navrženo jako asistenční nástroj – poskytuje doporučení a podklady, ale konečné rozhodnutí musí vždy učinit člověk. Více o tomto principu se dozvíte v našem článku o roli lidského dohledu nad AI.
Praktická doporučení pro GDPR compliance
Pro zajištění souladu s GDPR při implementaci AI nástrojů doporučujeme následující kroky (Digitální a informační agentura):
Kontrolní seznam pro zavedení AI v souladu s GDPR:
- Proveďte posouzení vlivu na ochranu osobních údajů (DPIA): Před nasazením AI nástroje pro rozsáhlé zpracování citlivých údajů je v mnoha případech nutné provést DPIA (ARROWS, advokátní kancelář).
- Ověřte si dodavatele a uzavřete zpracovatelskou smlouvu: Důkladně prověřte, jak poskytovatel AI služby data zpracovává a zda je smluvně zavázán k dodržování GDPR (VIA IURIS). Návod, jak vybrat důvěryhodného dodavatele AI, jsme pro Vás připravili v samostatném článku.
- Zaveďte interní pravidla a školte zaměstnance: Vytvořte interní směrnici (AI policy), která definuje, jaké nástroje a pro jaké účely se mohou používat. Zajistěte, aby všichni zaměstnanci byli proškoleni o správném a bezpečném používání těchto nástrojů.
- Aktualizujte informační povinnost: Upravte své zásady zpracování osobních údajů tak, aby reflektovaly využívání AI nástrojů při práci s klientskými daty.
- Využívejte privátní a bezpečné nástroje: Pro práci s dokumenty obsahujícími osobní či jinak citlivé údaje se striktně vyhýbejte veřejným AI modelům a využívejte pouze nástroje, které garantují soukromí a bezpečnost dat, jako je Konfido.
Implementace umělé inteligence do právní praxe není jen technologickou, ale především právní a procesní výzvou. Důsledné dodržování principů GDPR není překážkou inovace, ale naopak základním předpokladem pro budování důvěry u klientů a udržitelný rozvoj Vaší kanceláře v digitální éře.
Vyzkoušejte Konfido v praxi
Zjistěte, kolik času a nákladů můžete ušetřit s nástrojem, který respektuje ochranu osobních údajů.
Vyzkoušet demoZdroje a použitá literatura
- VIA IURIS: GDPR v kanceláři: Na co si dát pozor při provozu firmy?
- SEDLAKOVA LEGAL: AI Act a tech firmy: Jak splnit nové povinnosti a vyhnout se pokutám
- ARROWS, advokátní kancelář: Zaměstnanci a AI nástroje
- TAYLLORCOX: Etika a nástroje využitia AI v súvislosti s GDPR
- ARROWS: Umělá inteligence v podnikání: příležitosti a právní výzvy v roce 2025
- ARROWS: Umělá inteligence v sociálních službách – praxe a právo
- Digitální a informační agentura: AI a právo
- Právní prostor: Abeceda implementace AI
- ePravo.cz: Právo a umělé inteligence: AI Act, osobní údaje, kyberbezpečnost