Co se změnilo
Do roku 2024 platilo prosté pravidlo: data o lidech = GDPR. AI byla regulována stejně jako jakýkoli jiný software, který data zpracovává.
V srpnu 2024 vstoupil v platnost EU AI Act (Nařízení 2024/1689) — první komplexní regulace AI v EU. Pro firmu, která používá AI (ne která ji vyvíjí), platí především článek 50 a kategorizace rizik. Pro většinu corporate use cases (chat nad firemními dokumenty) jde o nízké riziko, ale i tak je nutné některé věci řešit.
Souběžně platí GDPR, které nikam neodešlo. ÚOOÚ (Úřad pro ochranu osobních údajů) v ČR vydal několik stanovisek k AI v letech 2023–2025, která stojí za pročtení.
Sedm věcí, které musí česká firma řešit
1. DPA s poskytovatelem LLM
Pokud používáte cloudové LLM (OpenAI, Anthropic, Google), musíte mít s ním podepsanou Data Processing Agreement (zpracovatelská smlouva, čl. 28 GDPR). Bez DPA je posílání osobních údajů do služby porušení GDPR.
Anthropic, OpenAI a Google všechny nabízejí DPA — musíte ji vyžádat a podepsat. Není to default.
2. Standard Contractual Clauses (SCC) pro US poskytovatele
Po Schrems II (2020) je posílání dat do USA bez SCC nezákonné. OpenAI, Anthropic, Google — všechno US firmy. SCC musí být součástí vašeho DPA.
Alternativa: EU-only AI. Mistral (FR), Aleph Alpha (DE). Pro RAG architekturu lze taky držet vaše data v EU a posílat do US jen samotné dotazy (bez původních dokumentů) — viz Robin níže.
3. Účel zpracování (Article 5(1)(b))
Musíte mít jasný účel, proč data zpracováváte AI. „Aby zaměstnanci snadno našli informace" je legitimní účel. Ale musí být specifický a zaměstnanci o něm musí být informováni.
Praktický krok: aktualizovat informační memorandum pro zaměstnance (čl. 13/14) a přidat větu o AI zpracování.
4. Právní základ (Article 6)
Pro AI nad firemními dokumenty máte v zásadě 3 možnosti:
- Oprávněný zájem (čl. 6(1)(f)) — typicky stačí pro interní produktivitu
- Smluvní nezbytnost (čl. 6(1)(b)) — pokud je AI zabudovaná do pracovní smlouvy/směrnice
- Souhlas (čl. 6(1)(a)) — riskantní, lze odvolat
Většinou: oprávněný zájem + LIA (Legitimate Interest Assessment, krátký interní dokument).
5. Audit log (Article 30)
Musíte vědět: kdo se na co ptal, kdy, jakou odpověď dostal. To je nejen GDPR požadavek (records of processing), ale taky compliance pro EU AI Act.
Konkrétně: audit log s retencí minimálně rok, dostupný oprávněným osobám (DPO, vedení), s možností výmazu na vyžádání.
6. Právo na výmaz (Article 17)
Když zaměstnanec odejde, musíte umět smazat:
- jeho dotazy z audit logu (anonymizovat)
- jeho avatar / personal data
- jeho osobní složky (smlouvy, mzdy) ze znalostní báze AI
Pokud AI dokumenty „natrénovala" (fine-tuning), je výmaz prakticky nemožný — proto se pro firmy nedoporučuje fine-tuning. RAG (retrieval bez tréninku) je lepší cesta.
7. EU AI Act — registr a transparentnost
Pokud AI rozhoduje o lidech (HR rozhodnutí, mzdy, propouštění), spadáte do „high-risk" kategorie a máte 12+ konkrétních povinností (registrace, dokumentace, lidský dozor).
Pokud AI pouze odpovídá na dotazy (chat nad dokumenty), spadáte do „low-risk" — povinnost je hlavně transparentnost: zaměstnanci musí vědět, že komunikují s AI (ne s živým kolegou).
Robin: GDPR + EU AI Act compliance bez práce
EU servery (Netcup, Norimberk), DPA + SCC s Anthropic v ceně, audit log 90 dní, právo na výmaz do 30 dnů, žádný fine-tuning. Vaše dokumenty nikdy neopustí EU.
ÚOOÚ stanoviska (ČR)
Úřad pro ochranu osobních údajů v ČR vydal v roce 2024 dvě klíčová stanoviska k AI:
- Stanovisko k používání generativní AI (4/2024) — zaměstnanci nesmí do veřejných AI nástrojů (ChatGPT, Claude.ai bez DPA) nahrávat osobní údaje. Firma za to může dostat pokutu jako za nezabezpečené zpracování.
- Doporučení k tréninku LLM (8/2024) — pokud používáte firemní data k tréninku/fine-tuningu, musíte mít explicitní souhlas všech subjektů.
Praktický překlad: zakázat zaměstnancům používat veřejný ChatGPT pro firemní dotazy, místo toho dát řešení, které je GDPR-compliant (např. Robin, Mistral Le Chat for Enterprise, atd.)
Co to znamená v penězích
Pokuty za GDPR jsou až 4 % globálního ročního obratu nebo 20 mil EUR — což je vyšší. Pro českou firmu s obratem 100 mil Kč je teoretický strop 4 mil Kč.
Pokuty za EU AI Act jsou ještě vyšší — až 35 mil EUR nebo 7 % obratu, pokud porušíte zakázané praktiky.
V praxi ÚOOÚ uděluje menší pokuty (desítky tisíc až jednotky milionů Kč), ale reputační dopad je často horší.
Checklist pro vaši firmu
- Máte DPA + SCC s každým AI poskytovatelem?
- Aktualizovali jste informační memorandum pro zaměstnance o AI?
- Máte LIA pro oprávněný zájem?
- Audit log s retencí ≥ 1 rok?
- Proces pro výmaz dat odcházejícího zaměstnance?
- Transparentnost — víte, že to je AI?
- Interní pravidlo: nepoužívat veřejné AI nástroje pro firemní data?
Pokud máte aspoň jednu nezaškrtnutou, je čas to vyřešit. Kontaktujte nás — pomůžeme s implementací compliantního řešení.