AI systémy a osobné údaje sú neoddeliteľne prepojené. Tréningové dáta typicky obsahujú osobné údaje (mená, fotografie, e-maily, správanie užívateľov), vstupy do AI ich obsahujú tiež a výstupy AI môžu nové osobné údaje generovať alebo odvodzovať. Spracúvanie osobných údajov pri AI sa preto v plnom rozsahu spravuje Nariadením (EÚ) 2016/679 (GDPR) a slovenským zákonom č. 18/2018 Z. z. o ochrane osobných údajov. Kľúčové ustanovenia GDPR pre AI sú čl. 5 (princípy spracúvania), čl. 6 (zákonnosť), čl. 13 a 14 (informovanie dotknutej osoby), čl. 22 (automatizované rozhodovanie a profilovanie) a čl. 35 (DPIA). Dozorným orgánom v SR je Úrad na ochranu osobných údajov SR. Tento sub-hub zhŕňa, ako uviesť AI systém do súladu s GDPR — od právneho základu cez DPIA až po informovanie dotknutej osoby. Pre širší kontext odporúčame pillar pre AI právo a AI Act.
Princípy spracúvania podľa čl. 5 GDPR
Čl. 5 GDPR stanovuje šesť princípov spracúvania osobných údajov, ktoré sa aplikujú aj pri AI systémoch. Doslovné znenie čl. 5 ods. 1:
„Osobné údaje musia byť: a) spracúvané zákonným spôsobom, spravodlivo a transparentne vo vzťahu k dotknutej osobe ("zákonnosť, spravodlivosť a transparentnosť"); b) získavané na konkrétne určené, výslovne uvedené a legitímne účely... ("obmedzenie účelu"); c) primerané, relevantné a obmedzené na rozsah, ktorý je nevyhnutný... ("minimalizácia údajov"); d) správne a podľa potreby aktualizované... ("správnosť"); e) uchovávané vo forme, ktorá umožňuje identifikáciu dotknutých osôb najviac dovtedy, kým je to potrebné... ("minimalizácia uchovávania"); f) spracúvané spôsobom, ktorý zaručuje primeranú bezpečnosť osobných údajov... ("integrita a dôvernosť")."
Pre AI systémy je každý z princípov výzvou:
- Zákonnosť, spravodlivosť, transparentnosť — používateľ musí mať jasnú informáciu, že jeho údaje sú spracúvané AI a aké sú dôsledky. Black-box modely sú s týmto princípom v napätí.
- Obmedzenie účelu — tréning AI nemôže byť „univerzálnym" účelom; treba ho špecifikovať. Reuse tréningových dát na ďalšie účely vyžaduje samostatný právny základ.
- Minimalizácia údajov — AI sa typicky trénuje na veľkých dátach, ale GDPR vyžaduje len také údaje, ktoré sú pre účel nevyhnutné. Pseudonymizácia a anonymizácia pred tréningom sú podstatné nástroje.
- Správnosť — AI výstupy môžu byť nesprávne (halucinácie). Pri AI systéme, ktorý generuje osobné údaje o osobách, môže byť nesprávny výstup porušením tohto princípu.
- Minimalizácia uchovávania — tréningové dáta nemôžu byť uchovávané neobmedzene; treba určiť dobu retencie.
- Integrita a dôvernosť — kybernetická bezpečnosť AI systému, ochrana pred model inversion attacks, membership inference attacks, prompt injection.
Zákonnosť spracúvania podľa čl. 6 GDPR
Bez identifikovaného právneho základu podľa čl. 6 GDPR nemožno osobné údaje spracúvať. Pre AI najčastejšie prichádzajú do úvahy tri základy:
| Právny základ | Kedy je vhodný | Riziká pri AI |
|---|---|---|
| Súhlas (čl. 6 ods. 1 písm. a) | Pri dobrovoľnom použití AI služby zo strany dotknutej osoby (napríklad konzumentský chatbot). | Musí byť slobodný, konkrétny, informovaný, jednoznačný a kedykoľvek odvolateľný. Pri závislom vzťahu (zamestnanec, klient banky) je súhlas problematický. |
| Plnenie zmluvy (čl. 6 ods. 1 písm. b) | Ak je AI nástroj nevyhnutný pre plnenie zmluvy (napríklad personalizácia služby objednanej klientom). | „Nevyhnutnosť" sa vykladá úzko. Pre tréning AI obvykle nie je dostatočný základ. |
| Oprávnený záujem (čl. 6 ods. 1 písm. f) | Pri obchodných AI použitiach, kde záujem prevažovateľa prevažuje nad záujmami dotknutej osoby. | Vyžaduje balancing test (LIA — Legitimate Interest Assessment). Pri vysokorizikových AI typoch je záujem prevažovateľa obvykle slabší. |
Pri osobitných kategóriách osobných údajov (zdravotné údaje, biometrické údaje, údaje o rase, sexuálnej orientácii) sa aplikuje čl. 9 GDPR — zákaz spracúvania s úzkymi výnimkami. Pri AI v zdravotníctve, biometrickej identifikácii alebo pri analýze citlivých dát je preto nutné identifikovať konkrétnu výnimku podľa čl. 9 ods. 2 GDPR.
Informačná povinnosť podľa čl. 13 a 14 GDPR
Pri spracúvaní osobných údajov pri AI vznika prevádzkovateľovi informačná povinnosť voči dotknutej osobe:
- Čl. 13 GDPR — pri získaní údajov priamo od dotknutej osoby (napríklad pri prihlasovaní do AI služby).
- Čl. 14 GDPR — pri získaní údajov nepriamo (typicky pri tréningových dátach scrapnutých z internetu, alebo pri inferenčných údajoch vytvorených AI o tretej osobe).
Informácia musí obsahovať okrem iného:
- Identitu a kontaktné údaje prevádzkovateľa a zodpovednej osoby (DPO).
- Účely a právny základ spracúvania.
- Príjemcov osobných údajov.
- Dobu uchovávania.
- Práva dotknutej osoby (prístup, oprava, vymazanie, obmedzenie, prenosnosť, namietanie, podanie sťažnosti Úradu na ochranu osobných údajov SR).
- Existenciu automatizovaného rozhodovania vrátane profilovania (čl. 22) a zmysluplné informácie o použitej logike a dôsledkoch takéhoto spracúvania.
Pri AI nástrojoch je posledný bod kritický — informácia o automatizovanom rozhodovaní musí byť zmysluplná, čo neznamená iba uvedenie „používame AI", ale aj základné vysvetlenie logiky a dôsledkov.
Čl. 22 GDPR — automatizované rozhodovanie a profilovanie
Čl. 22 ods. 1 GDPR stanovuje:
„Dotknutá osoba má právo, aby sa na ňu nevzťahovalo rozhodnutie, ktoré je založené výlučne na automatizovanom spracúvaní, vrátane profilovania, a ktoré má právne účinky, ktoré sa jej týkajú alebo ju podobne významne ovplyvňujú."
Čl. 22 sa vzťahuje na všetky AI systémy, ktoré spĺňajú tri kumulatívne podmienky:
- Rozhodnutie je založené výlučne na automatizovanom spracúvaní (nie je v ňom zmysluplný ľudský zásah).
- Rozhodnutie má právne účinky alebo dotknutú osobu podobne významne ovplyvňuje.
- Rozhodnutie zahŕňa profilovanie alebo iné automatizované spracúvanie.
Typické príklady spadajúce pod čl. 22 GDPR:
- Automatizované zamietnutie úverovej žiadosti.
- Automatizovaný náborový softvér, ktorý filtruje uchádzačov pred ľudským pohovorom.
- Automatizované rozhodnutie o cene poistenia.
- Automatizovaný systém na detekciu podvodu, ktorý blokuje transakciu.
Pri spadnutí pod čl. 22 sa môže automatizované rozhodovanie aplikovať len pri jednom z troch výnimočných základov: (i) nevyhnutnosť pre uzavretie alebo plnenie zmluvy, (ii) výslovne povolené právom EÚ alebo členského štátu, (iii) výslovný súhlas dotknutej osoby. V prípade (i) a (iii) musí prevádzkovateľ zabezpečiť právo dotknutej osoby na ľudský zásah, vyjadrenie svojho stanoviska a napadnutie rozhodnutia.
DPIA podľa čl. 35 GDPR pre AI systémy
Čl. 35 GDPR ukladá prevádzkovateľovi povinnosť vykonať posúdenie vplyvu na ochranu osobných údajov (DPIA — Data Protection Impact Assessment), ak spracúvanie pravdepodobne povedie k vysokému riziku pre práva a slobody dotknutých osôb. Pre AI systémy je DPIA typicky povinné, najmä pri:
- Systematickom a rozsiahlom hodnotení osôb založenom na automatizovanom spracúvaní vrátane profilovania (najmä ak má právne účinky podľa čl. 22).
- Rozsiahlom spracúvaní osobitných kategórií údajov.
- Systematickom monitorovaní verejne prístupných priestorov vo veľkom rozsahu.
- Inovatívnom použití technológie (AI je typický príklad).
Úrad na ochranu osobných údajov SR vydal zoznam operácií, ktoré sú povinné DPIA. AI systémy v HR, finančných službách, zdravotníctve, vzdelávaní a presadzovaní práva pod tento zoznam obvykle spadajú.
DPIA musí obsahovať najmä:
- Systematický popis spracovateľských operácií a účelov spracúvania.
- Posúdenie nevyhnutnosti a primeranosti operácií vzhľadom na účely.
- Posúdenie rizík pre práva a slobody dotknutých osôb.
- Opatrenia na zníženie rizík — technické, organizačné, právne.
- Konzultácia so zodpovednou osobou (DPO) a v určitých prípadoch predchádzajúca konzultácia s Úradom na ochranu osobných údajov SR (čl. 36 GDPR).
DPIA je živý dokument — pri zmene AI systému, zmene tréningových dát alebo zmene účelu sa aktualizuje.
Zákon č. 18/2018 Z. z. — slovenská GDPR implementácia
Zákon č. 18/2018 Z. z. o ochrane osobných údajov je slovenská implementácia GDPR. Obsahuje vnútroštátne odchýlky tam, kde GDPR umožňuje členským štátom upraviť detail (napríklad veková hranica pre súhlas dieťaťa, spracúvanie osobných údajov pre žurnalistické účely, spracúvanie zo strany zamestnávateľa). Pre AI právo sú relevantné najmä ustanovenia o:
- postavení a právomociach Úradu na ochranu osobných údajov SR,
- vnútroštátnych pravidlách pre spracúvanie osobných údajov v pracovnoprávnych vzťahoch (§ 78),
- spracúvaní biometrických a genetických údajov,
- sankčnom režime (pokuty podľa GDPR aplikované Úradom).
Úrad na ochranu osobných údajov SR
Úrad na ochranu osobných údajov Slovenskej republiky je nezávislý dozorný orgán v zmysle GDPR pre územie Slovenskej republiky. Pri AI systémoch je dozorným orgánom aj v rámci hraničného režimu s AI Act-om. Úrad má právomoci:
- vykonávať kontroly u prevádzkovateľov,
- prijímať sťažnosti dotknutých osôb,
- nariaďovať opatrenia vrátane zákazu spracúvania,
- ukladať pokuty v sadzbe podľa čl. 83 GDPR (až do 20 mil. € alebo 4 % celosvetového ročného obratu).
Pri AI systémoch Úrad vydal opakovane stanoviská k automatizovanému rozhodovaniu, biometrickej identifikácii a tréningu modelov na osobných údajoch.
Tréningové dáta — špecifické GDPR riziká
Tréning AI na osobných údajoch je z hľadiska GDPR najnáročnejší prípad. Pri tréningu z verejne dostupných zdrojov (web scraping) prevádzkovateľ získava údaje nepriamo a aplikuje sa čl. 14 GDPR — informačná povinnosť voči dotknutej osobe, pokiaľ to nie je „nesplniteľné alebo si vyžaduje neprimerané úsilie" (čl. 14 ods. 5 písm. b). Európske dozorné orgány (najmä taliansky a francúzsky) opakovane konštatovali, že pri masovom scrapovaní bez minimálnych opatrení sa táto výnimka neuplatní automaticky. Pre slovenského prevádzkovateľa to znamená povinnosť:
- vykonať DPIA pred tréningom,
- identifikovať a doložiť právny základ (typicky oprávnený záujem s LIA testom),
- zabezpečiť informačnú povinnosť (typicky verejne zverejnenou politikou),
- rešpektovať práva dotknutej osoby — prístup, vymazanie, namietanie. Pri natrénovaných modeloch je „vymazanie" technicky nemožné jednoduchým spôsobom — riešenia zahŕňajú filtre na výstup, machine unlearning, retraining.
Náš prístup k AI a GDPR
- GDPR audit AI systému — analýza tokov osobných údajov, identifikácia právneho základu, posúdenie rizík.
- DPIA podľa čl. 35 — vypracovanie posúdenia vplyvu na ochranu osobných údajov pre konkrétny AI systém.
- Informačné texty podľa čl. 13 a 14 GDPR pre AI nástroje (chatboty, automatizované rozhodovanie).
- Politiky a smernice — politika spracúvania osobných údajov, smernica o použití AI nástrojov vo firme, vendor management (viď implementácia AI vo firme).
- Zastupovanie pred Úradom na ochranu osobných údajov SR — pri kontrole, sťažnosti dotknutej osoby alebo dozornom konaní.
- Prepojenie s AI Act — koordinácia DPIA s posúdením rizík podľa AI Act-u.
Cenovú ponuku pripravujeme individuálne podľa rozsahu AI portfólia a požadovaného GDPR balíka. Pre úvodné posúdenie zámeru je k dispozícii platená vstupná konzultácia s advokátom.
Často kladené otázky
Vzťahuje sa GDPR na AI, ktoré nepoužíva osobné údaje?
Nie pre samotnú prevádzku, ale GDPR sa rieši ihneď, keď AI spracuje, generuje, alebo transformuje osobné údaje. Pozor — aj na pohľad anonymné dáta môžu byť osobnými údajmi, ak existuje primeraná pravdepodobnosť reidentifikácie (čl. 4 ods. 1 GDPR + recital 26). Pri tréningu generatívnych AI na obrovských datasetoch je tento test často naplnený. Slovenský úrad na ochranu osobných údajov SR pri AI projektoch posudzuje primeranú pravdepodobnosť individuálne.
Aký zákonný titul podľa čl. 6 GDPR mám použiť pre AI?
Najčastejšie tituly: (a) súhlas — pre marketing AI, profilovanie pre cielenú reklamu; (b) zmluva — pre AI personalizáciu produktov a služieb objednaných klientom; (c) oprávnený záujem — pre interné analytické AI, fraud detection, security; (d) právny záväzok — pre AML monitoring, daňové reportingy. Pri osobitných kategóriách údajov (zdravie, biometria) je potrebný čl. 9 — typicky výslovný súhlas alebo verejný záujem. Voľba titulu musí byť doložená v dokumentácii spracovania a komunikovaná dotknutej osobe podľa čl. 13-14.
Kedy je AI pod čl. 22 GDPR (automatizované rozhodovanie)?
Čl. 22 GDPR sa aplikuje, ak rozhodnutie je založené výlučne na automatizovanom spracovaní vrátane profilovania a má pre dotknutú osobu právne účinky alebo na ňu obdobne výrazne vplýva. Klasické príklady: automatický scoring úveru, automatické zamietnutie poistnej udalosti, AI screening kandidátov bez ľudského posúdenia. Ak je AI len odporúčací nástroj a finálne rozhodnutie urobí kvalifikovaný človek (s reálnou diskrečnou právomocou — nie len rubber-stamp), čl. 22 sa typicky neaplikuje.
Kedy je DPIA podľa čl. 35 GDPR povinná pri AI?
DPIA je povinná pri spracovaní, ktoré pravdepodobne predstavuje vysoké riziko pre práva a slobody dotknutých osôb. Konkrétne pri AI vždy alebo takmer vždy: (1) systematické a rozsiahle hodnotenie osobných aspektov (profilovanie); (2) rozsiahle spracovanie osobitných kategórií (čl. 9) — biometria, zdravie; (3) systematické monitorovanie verejných priestorov. Vysokorizikové AI podľa Prílohy III AI Act spravidla DPIA vyžaduje. Úrad na ochranu osobných údajov SR vydal zoznam operácií vyžadujúcich DPIA.
Aký je vzťah AI Act a GDPR pri spracovaní osobných údajov?
AI Act a GDPR sa aplikujú paralelne, nie alternatívne. AI Act stanovuje povinnosti pre AI systém (klasifikácia rizika, technická dokumentácia, ľudský dohľad). GDPR upravuje spracovanie osobných údajov v rámci tohto AI systému (zákonný titul, transparentnosť, práva dotknutých osôb, DPIA). Vysokorizikové AI podľa AI Act takmer vždy spadá pod vysokorizikové spracovanie podľa GDPR a vyžaduje DPIA. Niektoré povinnosti sú komplementárne (transparentnosť, ľudský dohľad), iné špecifické pre každý režim.
Môžem trénovať AI na verejne dostupných osobných údajoch?
Verejná dostupnosť osobných údajov sama osebe nezbavuje povinnosti GDPR (čl. 5 ods. 1 písm. b — účelové obmedzenie). Pre tréning AI na verejne dostupných dátach musíte mať: (a) zákonný titul podľa čl. 6 (typicky oprávnený záujem, ale vyžaduje balancing test), (b) súlad s pôvodným účelom zverejnenia (typicky publikácia na sociálnych sieťach nezakladá súhlas s tréningom AI), (c) ošetrenie čl. 9 ak ide o osobitné kategórie, (d) zachovanie práv dotknutej osoby (čl. 21 — právo namietať). Mnoho high-profile prípadov pred EDPB a národnými orgánmi (vrátane EU GPT-4, Clearview AI) preukazuje, že verejnosť nie je carte blanche.
Vyžiadajte si cenovú ponuku
Stačia 3 údaje — IČO, e-mail, telefón. Cenovú kalkuláciu, zoznam podkladov a návrh dohody pošleme do 1 pracovného dňa. Bezplatne a nezáväzne.
Vyžiadať ponuku →Obsah má informatívny charakter, nezakladá záväzné právne stanovisko a nenahrádza individuálnu konzultáciu. Konkrétny rozsah DPIA, zákonný titul spracovania a požiadavky transparentnosti závisia od architektúry AI systému, kategórie dát a kontextu spracovania.