Čo upravuje článok 22 GDPR?

Článok 22 Nariadenia (EÚ) 2016/679 zakotvuje právo dotknutej osoby nepodliehať rozhodnutiu, ktoré je založené výlučne na automatizovanom spracúvaní vrátane profilovania, a ktoré má voči nej právne účinky alebo ju podobne významne ovplyvňuje. Toto právo je doplnené výnimkami v článku 22 ods. 2 (nevyhnutnosť pre uzatvorenie alebo plnenie zmluvy, súhlas dotknutej osoby, povolenie právom Únie alebo členského štátu).

Kedy je automatizované rozhodovanie cez AI dovolené?

Podľa článku 22 ods. 2 GDPR je automatizované rozhodovanie dovolené v troch prípadoch: 1) ak je nevyhnutné na uzatvorenie alebo plnenie zmluvy medzi dotknutou osobou a prevádzkovateľom, 2) ak je povolené právom Únie alebo právom členského štátu (vrátane zákona č. 18/2018 Z. z.), ktoré sa vzťahuje na prevádzkovateľa a ktoré stanovuje aj vhodné opatrenia, alebo 3) ak je založené na výslovnom súhlase dotknutej osoby. Aj v týchto prípadoch sú podľa článku 22 ods. 3 GDPR potrebné minimálne záruky — právo dotknutej osoby na ľudský zásah, vyjadrenie a napadnutie rozhodnutia.

Čo je profilovanie podľa GDPR?

Profilovanie definuje článok 4 bod 4 GDPR ako akúkoľvek formu automatizovaného spracúvania osobných údajov, ktoré spočíva v ich použití na vyhodnotenie určitých osobných aspektov týkajúcich sa fyzickej osoby — najmä analýzu alebo predpovedanie aspektov týkajúcich sa pracovného výkonu, ekonomickej situácie, zdravia, osobných preferencií, záujmov, spoľahlivosti, správania, polohy alebo pohybu fyzickej osoby.

Aké sú informačné povinnosti pri AI a profilovaní (čl. 13-14)?

Pri automatizovanom rozhodovaní vrátane profilovania v zmysle článku 22 ods. 1 a 4 GDPR má prevádzkovateľ podľa článkov 13 ods. 2 písm. f) a 14 ods. 2 písm. g) GDPR osobitnú informačnú povinnosť. Musí dotknutej osobe poskytnúť zmysluplné informácie o použitej logike, ako aj o význame a predpokladaných dôsledkoch takéhoto spracúvania pre dotknutú osobu. V praxi to znamená vysvetliť, aké údaje sa berú do úvahy, ako sa kombinujú a aký vplyv má rozhodnutie na osobu.

Kedy je pri AI potrebné DPIA podľa článku 35 GDPR?

Podľa článku 35 ods. 1 GDPR je posúdenie vplyvu na ochranu údajov (DPIA) povinné, ak je pravdepodobné, že druh spracúvania povedie k vysokému riziku pre práva a slobody fyzických osôb. Článok 35 ods. 3 vymenúva typické prípady — systematické a rozsiahle hodnotenie osobných aspektov na základe automatizovaného spracúvania vrátane profilovania, rozsiahle spracúvanie osobitných kategórií údajov podľa článku 9 a systematické monitorovanie verejne prístupných priestorov. DPIA je v praxi povinné pri väčšine vysokorizikových AI systémov podľa AI Act.

Ako sa pri AI uplatňuje článok 9 GDPR (osobitné kategórie)?

Článok 9 ods. 1 GDPR zakazuje spracúvanie osobitných kategórií osobných údajov (rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie, členstvo v odboroch, genetické a biometrické údaje na účely jednoznačnej identifikácie fyzickej osoby, údaje týkajúce sa zdravia alebo sexuálneho života alebo sexuálnej orientácie). Spracúvanie je dovolené iba v prípadoch uvedených v článku 9 ods. 2 (výslovný súhlas, plnenie zákonných povinností v oblasti pracovného práva, životne dôležité záujmy, vedecký výskum a iné). Pri trénovaní AI na takýchto údajoch je potrebné dôsledne vyhodnotiť právny základ a dokumentovať ho.

Ako súvisí AI Act s GDPR pri vysokorizikových AI systémoch?

Pri vysokorizikových AI systémoch podľa Nariadenia (EÚ) 2024/1689 spracúvajúcich osobné údaje sa AI Act a GDPR uplatňujú kumulatívne. AI Act ukladá povinnosti k systému ako takému (riadenie rizík, dokumentácia, ľudský dohľad, logovanie), GDPR k spracúvaniu osobných údajov v ňom. V mnohých prípadoch je požadovaná aj DPIA podľa článku 35 GDPR a podľa článku 27 AI Act posúdenie vplyvu na základné práva (FRIA). Detail vysokorizikových AI systémov a ich kategórií rozoberáme v článku AI Act 2026 — 4 kategórie rizík .

Akú úlohu má v SR zákon č. 18/2018 Z. z. pri AI?

Zákon č. 18/2018 Z. z. o ochrane osobných údajov je slovenskou transpozíciou GDPR a doplnením vnútroštátnych ustanovení v rozsahu, ktorý GDPR ponecháva členským štátom. Pri AI a automatizovanom rozhodovaní zákon č. 18/2018 Z. z. dopĺňa GDPR najmä v oblasti spracúvania pre účely zamestnávania (§ 78), spracúvania orgánmi verejnej moci a v oblasti dohľadu Úradu na ochranu osobných údajov SR. Vo všeobecných otázkach automatizovaného rozhodovania sa uplatňuje primárne článok 22 GDPR.

Aké práva má dotknutá osoba pri automatizovanom rozhodovaní AI?

Pri automatizovanom rozhodovaní podľa článku 22 ods. 3 GDPR má dotknutá osoba právo na ľudský zásah zo strany prevádzkovateľa, právo vyjadriť svoj názor a právo napadnúť rozhodnutie. Okrem toho má všeobecné práva podľa GDPR — právo na prístup (čl. 15), opravu (čl. 16), výmaz (čl. 17), obmedzenie spracúvania (čl. 18), namietanie (čl. 21), prenosnosť údajov (čl. 20) a právo podať sťažnosť dozornému orgánu (čl. 77). Pri automatizovanom rozhodovaní sa právo na informácie podľa čl. 15 ods. 1 písm. h) rozširuje aj o informáciu o použitej logike, význame a predpokladaných dôsledkoch.

Kto je v SR dozorným orgánom pre AI a GDPR?

Dozorným orgánom pre GDPR je v Slovenskej republike Úrad na ochranu osobných údajov Slovenskej republiky, ktorý vykonáva pôsobnosť stanovenú zákonom č. 18/2018 Z. z. a článkami 51 — 59 GDPR. Pri vysokorizikových AI systémoch spracúvajúcich osobné údaje Úrad uplatňuje právomoci dozorného orgánu vrátane vyšetrovacích, nápravných a poradných právomocí podľa článku 58 GDPR. Slovenský dozorný orgán pre samotný AI Act bude určený zákonom o AI v rámci implementácie Nariadenia 2024/1689 do slovenského právneho poriadku.

AI a GDPR: profilovanie, automatizované rozhodovanie a transparentnosť (čl. 22)

Publikované: 11. mája 2026 | Aktualizované: 11. mája 2026 | Kategória: Právo umelej inteligencie | Autor: JUDr. Branislav Samec · Advokát, zakladateľ

Tento článok má výlučne informatívny charakter a nepredstavuje právnu radu ani záväzné právne stanovisko. Jeho obsahom je zhrnutie verejne dostupných informácií, pričom aktuálnosť, úplnosť ani správnosť uvedených informácií nie je zaručená. Prečítaním tohto článku nevzniká vzťah advokát – klient. Odporúčame nekonať na základe tohto článku bez konzultácie s advokátom, ktorý posúdi Vašu konkrétnu situáciu. Neváhajte sa obrátiť na našu advokátsku kanceláriu.

Pri využívaní umelej inteligencie na spracúvanie osobných údajov sa stretávajú dva regulačné režimy — všeobecné Nariadenie (EÚ) 2016/679 o ochrane osobných údajov (GDPR) a Nariadenie (EÚ) 2024/1689 o umelej inteligencii (AI Act). Hoci ich pôsobnosť je rôzna, v praxi sa kumulatívne uplatňujú a tvoria spoločný rámec pre AI systémy spracúvajúce osobné údaje. V centre tohto rámca stojí článok 22 GDPR — právo dotknutej osoby nepodliehať rozhodnutiu založenému výlučne na automatizovanom spracúvaní vrátane profilovania. Tento článok systematicky rozoberá článok 22 GDPR v doslovnom znení, definície profilovania, informačné povinnosti podľa článkov 13 a 14 GDPR, povinnosť DPIA podľa článku 35 GDPR, špecifiká pri osobitných kategóriách údajov podľa článku 9 GDPR, prepojenie s vysokorizikovými AI systémami podľa AI Act a špecifiká slovenskej transpozície v zákone č. 18/2018 Z. z. Pre širší regulačný kontext pokračujte na pilier právo umelej inteligencie, pre detail AI Act na sub-hub AI Act — Nariadenie (EÚ) 2024/1689.

Regulačný rámec — GDPR, zákon č. 18/2018 Z. z. a AI Act

Na Slovensku sa pri spracúvaní osobných údajov uplatňujú tieto právne predpisy:

Nariadenie (EÚ) 2016/679 (GDPR) — všeobecné nariadenie o ochrane fyzických osôb pri spracúvaní osobných údajov,
Zákon č. 18/2018 Z. z. o ochrane osobných údajov — slovenská transpozícia a doplnenie GDPR vo veciach, ktoré GDPR ponecháva členským štátom,
Nariadenie (EÚ) 2024/1689 (AI Act) — pri AI systémoch ako samostatná regulácia s vlastnými povinnosťami, ktorá sa uplatňuje vedľa GDPR.

Pri spracúvaní osobných údajov AI systémom platí, že obe regulácie sa uplatňujú súčasne. AI Act sa zameriava na bezpečnosť a dôveryhodnosť AI systému ako technického produktu — ukladá povinnosti k systému (riadenie rizík, dokumentácia, ľudský dohľad, logovanie). GDPR sa zameriava na ochranu fyzických osôb pri spracúvaní ich osobných údajov — ukladá povinnosti k spracúvaniu (právny základ, informovanie, práva dotknutých osôb, DPIA). Pri vysokorizikovom AI systéme, ktorý spracúva osobné údaje, je teda nevyhnutné plniť obe sady povinností.

Dozorným orgánom pre GDPR je v Slovenskej republike Úrad na ochranu osobných údajov Slovenskej republiky, ktorý vykonáva pôsobnosť podľa zákona č. 18/2018 Z. z. a článkov 51 — 59 GDPR. Slovenský dozorný orgán pre samotný AI Act bude určený zákonom o AI v rámci implementácie Nariadenia 2024/1689 do slovenského právneho poriadku.

Čo je profilovanie — článok 4 bod 4 GDPR

Skôr ako sa pristúpi k analýze článku 22 GDPR, je potrebné vyjasniť pojem profilovanie, ktorý je legálne definovaný v článku 4 bod 4 GDPR:

„'profilovanie' je akákoľvek forma automatizovaného spracúvania osobných údajov, ktoré pozostáva z použitia týchto osobných údajov na vyhodnotenie určitých osobných aspektov týkajúcich sa fyzickej osoby, predovšetkým analýzy alebo predvídania aspektov dotknutej fyzickej osoby súvisiacich s výkonnosťou v práci, majetkovými pomermi, zdravím, osobnými preferenciami, záujmami, spoľahlivosťou, správaním, polohou alebo pohybom."

Profilovanie sa skladá z troch prvkov: (i) ide o automatizované spracúvanie osobných údajov, (ii) jeho účelom je vyhodnotenie osobných aspektov fyzickej osoby, a (iii) toto vyhodnotenie typicky zahŕňa analýzu alebo predvídanie aspektov dotknutej osoby. Profilovanie samo o sebe je dovolené — ide o jeden zo spôsobov spracúvania, na ktorý sa vzťahujú všeobecné požiadavky GDPR (právny základ podľa článku 6, informačné povinnosti podľa článkov 13 — 14, princípy podľa článku 5). Osobitný režim podľa článku 22 GDPR sa však uplatňuje pri profilovaní, ktoré vyústi do automatizovaného rozhodovania s právnymi účinkami alebo s podobne významným vplyvom na osobu.

Článok 22 GDPR doslovne — automatizované individuálne rozhodovanie

Článok 22 GDPR je v praxi kľúčovým ustanovením pri AI systémoch, ktoré robia rozhodnutia o ľuďoch. Doslovné znenie článku 22 ods. 1 Nariadenia (EÚ) 2016/679:

„Dotknutá osoba má právo na to, aby sa na ňu nevzťahovalo rozhodnutie, ktoré je založené výlučne na automatizovanom spracúvaní, vrátane profilovania, a ktoré má právne účinky, ktoré sa jej týkajú alebo ju podobne významne ovplyvňujú."

Z tejto formulácie plynú tri základné podmienky uplatnenia článku 22 ods. 1:

Rozhodnutie — musí ísť o jednorazové rozhodnutie voči konkrétnej fyzickej osobe (nie iba o všeobecnú analýzu),
Výlučne na automatizovanom spracúvaní — bez zmysluplnej účasti človeka v rozhodovacom procese. Ak človek formálne podpíše rozhodnutie, ale fakticky nemá možnosť ovplyvniť jeho obsah (rubber-stamping), nepovažuje sa to za zmysluplnú ľudskú účasť,
Právne účinky alebo podobne významný vplyv — rozhodnutie musí mať pre osobu právne dôsledky (napríklad odmietnutie pôžičky, ukončenie pracovného pomeru) alebo iný významný vplyv (napríklad odmietnutie poistenia, zaradenie do kategórie s vyššou cenou produktu).

Pri splnení všetkých troch podmienok má dotknutá osoba právo na to, aby sa na ňu takéto rozhodnutie nevzťahovalo. Toto právo nie je absolútne — v článku 22 ods. 2 sú stanovené tri výnimky, kedy je takéto rozhodovanie napriek tomu prípustné.

Výnimky podľa článku 22 ods. 2 GDPR

Doslovné znenie článku 22 ods. 2 GDPR:

„Odsek 1 sa neuplatňuje, ak rozhodnutie: a) je nevyhnutné na uzatvorenie alebo plnenie zmluvy medzi dotknutou osobou a prevádzkovateľom, b) je povolené právom Únie alebo právom členského štátu, ktorému prevádzkovateľ podlieha a v ktorom sa zároveň stanovujú aj vhodné opatrenia zaručujúce ochranu práv a slobôd a oprávnených záujmov dotknutej osoby, alebo c) je založené na výslovnom súhlase dotknutej osoby."

Pri výnimke podľa písm. a) — nevyhnutnosť pre zmluvu — sa v praxi posudzuje, či by sa zmluva dala uzatvoriť alebo plniť aj bez automatizovaného rozhodovania. Pri masových zmluvných vzťahoch (online pôžičky, e-commerce) môže byť automatizované rozhodovanie objektívne nevyhnutné z hľadiska efektivity, čo môže splniť kritérium nevyhnutnosti. Pri výnimke podľa písm. b) — povolenie zákonom — musí ísť o konkrétne ustanovenie práva Únie alebo SR, ktoré rozhodovanie povoľuje a zároveň stanovuje vhodné záruky. Pri výnimke podľa písm. c) — výslovný súhlas — sa vyžaduje súhlas, ktorý spĺňa všetky podmienky platného súhlasu podľa článku 7 GDPR a článku 4 bodu 11 GDPR vrátane informovanosti, slobody a špecifikácie.

Záruky podľa článku 22 ods. 3 GDPR

Aj pri uplatnení výnimky podľa článku 22 ods. 2 písm. a) alebo c) je prevádzkovateľ povinný zaviesť minimálne záruky podľa článku 22 ods. 3 GDPR. Doslovné znenie:

„V prípadoch uvedených v odseku 2 písm. a) a c) prijme prevádzkovateľ vhodné opatrenia na ochranu práv a slobôd a oprávnených záujmov dotknutej osoby, a to aspoň práva na ľudský zásah zo strany prevádzkovateľa, práva vyjadriť svoj názor a práva napadnúť rozhodnutie."

Z toho plynú tri praktické povinnosti:

Dotknutej osobe musí byť umožnené požiadať o ľudský zásah — preskúmanie rozhodnutia osobou, ktorá má právomoc rozhodnutie zmeniť,
Dotknutá osoba musí mať možnosť vyjadriť svoj názor — predniesť argumenty pred ľudským zásahom,
Dotknutá osoba musí mať možnosť napadnúť rozhodnutie — buď cez interný proces prevádzkovateľa, alebo prostredníctvom sťažnosti dozornému orgánu (čl. 77 GDPR) alebo súdom (čl. 79 GDPR).

Osobitné kategórie údajov a článok 22 ods. 4

Článok 22 ods. 4 GDPR ustanovuje osobitne prísny režim pri automatizovanom rozhodovaní založenom na osobitných kategóriách údajov podľa článku 9 GDPR (zdravotné údaje, etnický pôvod, politické názory atď.). Takéto rozhodovanie je dovolené iba pri výslovnom súhlase alebo pri rozhodovaní nevyhnutnom z dôvodov významného verejného záujmu, a aj v týchto prípadoch sú potrebné vhodné záruky.

Informačné povinnosti — články 13 a 14 GDPR

Pri AI systémoch, ktoré spracúvajú osobné údaje, má prevádzkovateľ informačné povinnosti podľa článkov 13 a 14 GDPR. Pri zhromažďovaní údajov priamo od dotknutej osoby sa uplatňuje článok 13, pri zhromažďovaní z iných zdrojov článok 14. V kontexte AI a automatizovaného rozhodovania sú v praxi najdôležitejšie ustanovenia:

Článok 13 ods. 2 písm. f) GDPR — pri zhromažďovaní údajov priamo od osoby,
Článok 14 ods. 2 písm. g) GDPR — pri zhromažďovaní z iných zdrojov,
Článok 15 ods. 1 písm. h) GDPR — pri uplatnení práva na prístup k údajom.

Vo všetkých troch ustanoveniach má prevádzkovateľ tri kumulatívne informačné povinnosti pri automatizovanom rozhodovaní v zmysle článku 22 ods. 1 a 4 GDPR:

Povinnosť	Obsah	Praktický príklad
Existencia automatizovaného rozhodovania	Informácia, že rozhodovanie prebieha automatizovane (vrátane profilovania)	„Pri posúdení žiadosti o úver využívame automatizované rozhodovanie"
Zmysluplné informácie o použitej logike	Vysvetlenie hlavných parametrov a kritérií, ktoré rozhodovanie ovplyvňujú	„Algoritmus zohľadňuje vek, výšku príjmu, výdavky, kreditnú históriu a pomerové ukazovatele"
Význam a predpokladané dôsledky	Informácia o tom, čo rozhodnutie pre osobu znamená	„Výsledkom je rozhodnutie o schválení / zamietnutí žiadosti a výške ponúkaného úveru"

V praxi nepostačuje obecná veta „používame automatizované rozhodovanie". Prevádzkovateľ musí poskytnúť zmysluplné informácie o logike — to znamená opis hlavných faktorov, ktoré rozhodovanie ovplyvňujú, a spôsobu, akým sa kombinujú. Zároveň však GDPR nevyžaduje úplnú technickú transparentnosť (zverejnenie zdrojového kódu, váh modelu) — postačujú zmysluplné informácie na úrovni, ktorá umožňuje dotknutej osobe pochopiť, ako rozhodnutie vzniklo a aké faktory mali vplyv.

Posúdenie vplyvu na ochranu údajov (DPIA) — článok 35 GDPR

Pri AI systémoch spracúvajúcich osobné údaje je v praxi takmer vždy potrebné vykonať posúdenie vplyvu na ochranu údajov (DPIA) podľa článku 35 GDPR. Doslovné znenie článku 35 ods. 1:

„Ak typ spracúvania, najmä s využitím nových technológií, a s ohľadom na povahu, rozsah, kontext a účely spracúvania, pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb, prevádzkovateľ pred spracúvaním vykoná posúdenie vplyvu plánovaných spracovateľských operácií na ochranu osobných údajov."

Článok 35 ods. 3 GDPR vymenúva typické situácie, pri ktorých je DPIA výslovne povinné:

Písm. a) — systematické a rozsiahle hodnotenie osobných aspektov fyzických osôb založené na automatizovanom spracúvaní vrátane profilovania, ktoré je základom pre rozhodnutia s právnymi účinkami alebo s podobne významným vplyvom,
Písm. b) — rozsiahle spracúvanie osobitných kategórií údajov podľa článku 9 alebo údajov o trestoch a trestných činoch podľa článku 10,
Písm. c) — systematické rozsiahle monitorovanie verejne prístupných priestorov.

Pri väčšine AI systémov, ktoré robia rozhodovanie alebo profilovanie o ľuďoch, sa uplatní písm. a), a DPIA je teda povinné. DPIA má podľa článku 35 ods. 7 obsahovať systematický opis spracovateľských operácií a účelov spracúvania, posúdenie nevyhnutnosti a primeranosti spracúvania, posúdenie rizík pre práva a slobody dotknutých osôb a opatrenia na riešenie týchto rizík vrátane záruk, bezpečnostných opatrení a mechanizmov, ktoré majú zabezpečiť ochranu osobných údajov a preukázať súlad s GDPR.

Pri vysokorizikových AI systémoch podľa AI Act sa DPIA podľa článku 35 GDPR často kombinuje s posúdením vplyvu na základné práva (FRIA) podľa článku 27 Nariadenia 2024/1689. Hoci ide o dva samostatné dokumenty s rôznou metodológiou, v praxi sa môžu vyhotovovať integrovane. Detail vysokorizikových AI systémov rozoberáme v článku AI Act 2026 — 4 kategórie rizík.

Osobitné kategórie údajov a AI — článok 9 GDPR

Pri trénovaní AI modelov a pri ich nasadení v praxi sa často spracúvajú aj osobitné kategórie osobných údajov podľa článku 9 GDPR. Tieto údaje požívajú zvýšenú ochranu — ich spracúvanie je v zásade zakázané, ak nie sú splnené podmienky v článku 9 ods. 2.

Osobitné kategórie údajov podľa článku 9 ods. 1 GDPR sú:

údaje, ktoré odhaľujú rasový alebo etnický pôvod,
politické názory,
náboženské alebo filozofické presvedčenie,
členstvo v odborových organizáciách,
genetické údaje,
biometrické údaje na účely jedinečnej identifikácie fyzickej osoby,
údaje týkajúce sa zdravia,
údaje týkajúce sa sexuálneho života alebo sexuálnej orientácie.

Pri AI systémoch sú typickými scenármi, v ktorých vstupujú do hry osobitné kategórie údajov, najmä:

Scenár	Osobitná kategória	Možný právny základ (čl. 9 ods. 2)
AI diagnostické nástroje v zdravotníctve	údaje o zdraví	výslovný súhlas, lekárska diagnostika alebo iný účel verejného zdravia
AI rozpoznávanie tváre	biometrické údaje	výslovný súhlas alebo významný verejný záujem
HR AI s analýzou pohlavia, etnického pôvodu	etnický pôvod (a iné)	v zásade veľmi obmedzené — typicky neprípustné
AI pre filozofickú alebo politickú segmentáciu	politické názory, filozofické presvedčenie	typicky neprípustné okrem výslovného súhlasu

Pri trénovaní AI na verejne dostupnom obsahu sa môže neúmyselne dostať do trénovacej sady aj osobitná kategória údajov. Pri AI Act článok 10 ods. 5 Nariadenia 2024/1689 ustanovuje výslovne, že na účely detekcie a opravy skreslení (bias) v trénovaní modelu môžu poskytovatelia výnimočne spracúvať osobitné kategórie údajov za podmienky vhodných záruk vrátane technických obmedzení použitia údajov a opatrení na zabezpečenie bezpečnosti.

Prepojenie s AI Act — vysokorizikové AI systémy

Pri vysokorizikových AI systémoch podľa Nariadenia (EÚ) 2024/1689, ktoré spracúvajú osobné údaje, sa kumulatívne uplatňujú AI Act aj GDPR. Praktická matrica povinností:

Povinnosť	AI Act	GDPR
Riadenie rizík	článok 9 Nariadenia 2024/1689	článok 32 GDPR (bezpečnosť spracúvania)
Riadenie dát	článok 10 Nariadenia 2024/1689	článok 5 GDPR (princípy, presnosť, minimalizácia)
Technická dokumentácia	článok 11 a Príloha IV Nariadenia 2024/1689	článok 30 GDPR (záznamy o spracovateľských činnostiach)
Logovanie	článok 12 Nariadenia 2024/1689	—
Transparentnosť, informovanie	článok 13 Nariadenia 2024/1689	články 12 — 14 GDPR
Ľudský dohľad	článok 14 Nariadenia 2024/1689	článok 22 ods. 3 GDPR (právo na ľudský zásah)
Posudzovanie vplyvu	článok 27 Nariadenia 2024/1689 (FRIA)	článok 35 GDPR (DPIA)
Posudzovanie zhody	články 43 — 48 Nariadenia 2024/1689	—

Z tabuľky vyplýva, že povinnosti AI Act a GDPR sa čiastočne prekrývajú (riadenie rizík, riadenie dát, transparentnosť, ľudský dohľad), ale zároveň majú aj samostatné požiadavky. Pri vysokorizikovom AI systéme spracúvajúcom osobné údaje by mala firma vypracovať integrovaný compliance dokument, ktorý preukazuje zhodu s oboma reguláciami.

Praktické scenáre — kde AI a GDPR najčastejšie kolidujú

V slovenskej praxi sa AI a GDPR najčastejšie pretínajú v troch oblastiach:

HR AI — nábor, hodnotenie a riadenie pracovníkov

AI systémy v HR (filtrovanie životopisov, hodnotenie pohovorov, predikcia výkonnosti, alokácia úloh) sú podľa Prílohy III bodu 4 AI Act vysokorizikové. Pri ich nasadení sa kumulatívne uplatňujú povinnosti AI Act a GDPR. Konkrétne pri rozhodnutiach o uzatvorení alebo ukončení pracovného pomeru ide o rozhodnutia s právnymi účinkami v zmysle článku 22 ods. 1 GDPR — pri výlučne automatizovanom rozhodovaní teda platí zákaz, ak nie je splnená výnimka podľa článku 22 ods. 2.

V praxi sa pri HR AI typicky uplatňuje výnimka článku 22 ods. 2 písm. a) — automatizované rozhodovanie je nevyhnutné na uzatvorenie zmluvy (najmä pri masových náboroch). Avšak zákon č. 18/2018 Z. z. v § 78 dopĺňa špecifické pravidlá pre spracúvanie údajov zamestnancov, ktoré sa musia rešpektovať. Pri všetkých HR AI systémoch by mala byť zachovaná zmysluplná ľudská účasť v finálnom rozhodovaní a dotknutej osobe poskytnuté právo na ľudský zásah, vyjadrenie a napadnutie.

AI v bankovníctve a poisťovníctve — credit scoring a underwriting

AI nástroje na hodnotenie úverového rizika (credit scoring) a underwriting v poistení sú podľa Prílohy III bodu 5 AI Act vysokorizikové. Pri rozhodnutiach o schválení / zamietnutí úveru alebo poistnej zmluvy ide o rozhodnutia s právnymi účinkami v zmysle článku 22 ods. 1 GDPR.

V praxi sa typicky uplatňuje výnimka článku 22 ods. 2 písm. a) — nevyhnutnosť pre uzatvorenie zmluvy. Pri automatizovanom rozhodovaní však musí byť žiadateľovi poskytnutá zmysluplná informácia o použitej logike (článok 13 ods. 2 písm. f) GDPR) a zachované práva na ľudský zásah, vyjadrenie a napadnutie (článok 22 ods. 3 GDPR). Pri trénovaní modelov scoringu sa musí dôsledne vyhodnotiť potenciálne diskriminačné skreslenie — napríklad ak model nepriamo penalizuje žiadateľov podľa pohlavia alebo etnického pôvodu cez korelované premenné.

Chatboty, generatívna AI a deepfake

Pri chatbotoch interagujúcich s klientmi a pri generatívnych AI nástrojoch (najmä deepfake) sa uplatňuje článok 50 AI Act (povinnosti transparentnosti). Pri spracúvaní osobných údajov používateľov v rámci chatbotov sa však súčasne uplatňuje GDPR — najmä článok 13 (informovanie pri zhromažďovaní) a článok 5 (princípy spracúvania).

Generatívna AI, ktorá generuje obsah o reálnych fyzických osobách (napríklad deepfake), zasahuje aj do osobnostných práv podľa Občianskeho zákonníka č. 40/1964 Zb. (§ 11 — § 13), do trestnoprávneho rámca pri klamlivých účeloch (§ 247 — 248a Trestného zákona č. 300/2005 Z. z.) a potenciálne aj do Autorského zákona č. 185/2015 Z. z. (§ 3, § 18) pri ochrane autorského diela a osobnostných práv autora.

Práva dotknutej osoby pri AI rozhodovaní

Pri AI rozhodovaní má dotknutá osoba sériu praktických práv, ktoré jej GDPR priznáva. Pri ich uplatnení musí prevádzkovateľ reagovať v lehotách stanovených článkom 12 GDPR (spravidla 1 mesiac s možnosťou predĺženia o 2 mesiace v komplexných prípadoch).

Právo na informácie a prístup (čl. 13 — 15 GDPR) — vrátane informácie o použitej logike, význame a predpokladaných dôsledkoch automatizovaného rozhodovania,
Právo na opravu (čl. 16 GDPR) — ak sú vstupné údaje nesprávne, dotknutá osoba môže žiadať opravu, ktorá môže viesť k prehodnoteniu rozhodnutia,
Právo na výmaz (čl. 17 GDPR) — pri zániku právneho základu alebo pri odvolaní súhlasu,
Právo na obmedzenie spracúvania (čl. 18 GDPR) — pri spornej presnosti údajov alebo pri preverovaní oprávnenosti spracúvania,
Právo namietať (čl. 21 GDPR) — pri spracúvaní založenom na oprávnenom záujme alebo verejnom záujme,
Právo nepodliehať automatizovanému rozhodovaniu (čl. 22 ods. 1 GDPR),
Právo na ľudský zásah, vyjadrenie a napadnutie (čl. 22 ods. 3 GDPR) — pri rozhodnutiach urobených na základe výnimiek čl. 22 ods. 2,
Právo podať sťažnosť dozornému orgánu (čl. 77 GDPR) — Úradu na ochranu osobných údajov SR,
Právo na účinný súdny prostriedok nápravy (čl. 79 GDPR).

V praxi pri AI rozhodovaní je najfrekventovanejšou požiadavkou žiadosť o preskúmanie rozhodnutia človekom a o vysvetlenie, ako rozhodnutie vzniklo. Prevádzkovateľ musí mať pripravený proces, ktorý dokáže žiadosti v zákonných lehotách vybaviť — vrátane personálnej kapacity a interných pravidiel preskúmania.

Dohľad Úradu na ochranu osobných údajov SR

Slovenský dozorný orgán pre GDPR je Úrad na ochranu osobných údajov Slovenskej republiky. Jeho pôsobnosť je upravená v zákone č. 18/2018 Z. z. (§ 81 — § 105) a v článkoch 51 — 59 GDPR. Úrad má pri AI systémoch spracúvajúcich osobné údaje:

Vyšetrovacie právomoci podľa článku 58 ods. 1 GDPR — prístup ku všetkým osobným údajom a informáciám, vykonávanie auditov a kontrol,
Nápravné právomoci podľa článku 58 ods. 2 GDPR — varovania, pokarhania, príkazy na nápravu, zákazy spracúvania, sankcie,
Poradné právomoci podľa článku 58 ods. 3 GDPR — predchádzajúce konzultácie pri DPIA podľa článku 36 GDPR.

Pri AI systémoch sú v praxi najfrekventovanejšie dva typy kontaktu s Úradom:

Predchádzajúca konzultácia podľa článku 36 GDPR — pri DPIA, ktoré preukáže zostatkové vysoké riziko aj po opatreniach na jeho zmiernenie, je prevádzkovateľ povinný konzultovať s Úradom pred začatím spracúvania,
Sťažnosti dotknutých osôb podľa článku 77 GDPR — Úrad je povinný sťažnosť preskúmať a informovať sťažovateľa o pokroku a výsledku.

Vplyv AI Act na pôsobnosť Úradu sa do roku 2026 spresní podľa slovenského zákona o implementácii AI Act. Predpokladá sa, že Úrad alebo iný orgán bude vykonávať aj dozor nad AI Act, najmä v časti spracúvania osobných údajov.

Záver — integrovaný compliance pri AI a GDPR

Pri každom AI systéme spracúvajúcom osobné údaje je nevyhnutný integrovaný compliance prístup, ktorý zohľadňuje súčasne AI Act, GDPR a zákon č. 18/2018 Z. z. Centrálnym ustanovením pre AI je článok 22 GDPR — právo nepodliehať výlučne automatizovanému rozhodovaniu s právnymi účinkami alebo s podobne významným vplyvom. Pri uplatnení výnimiek podľa článku 22 ods. 2 sú povinné minimálne záruky podľa článku 22 ods. 3 — ľudský zásah, vyjadrenie a napadnutie.

Pri akomkoľvek AI systéme robiacom rozhodnutia o fyzických osobách by mal prevádzkovateľ vykonať DPIA podľa článku 35 GDPR, zabezpečiť informačné povinnosti podľa článkov 13 — 14 GDPR vrátane zmysluplných informácií o použitej logike, a — pri vysokorizikových AI systémoch — integrovať tieto kroky s povinnosťami AI Act vrátane FRIA podľa článku 27 Nariadenia 2024/1689.

Pre úvodné posúdenie konkrétneho AI projektu z hľadiska GDPR a AI Act odporúčame platenú vstupnú konzultáciu s advokátom. Pre širší kontext pokračujte na pilier právo umelej inteligencie, pre detail klasifikácie rizík AI systémov na článok AI Act 2026 — 4 kategórie rizík a pre praktickú stránku AI compliance vo firme na sub-hub AI governance vo firme.

Tagy: AIGDPRčl. 22profilovanieautomatizované rozhodovanie