Logo Legalion
Kontakt
Tlačidlo menu

AI a GDPR: Umelá inteligencia v kontexte ochrany osobných údajov

Lion Legalion lave1

11.09.2025

JUDr. Alexander Uj

0 komentárov

Rýchly vývoj umelej inteligencie (AI) transformuje nielen priemysel, zdravotníctvo, finančný systém, ale mení aj spracúvanie osobných údajov. Prostredníctvom systémov AI môžeme účinne a jednoducho analyzovať státisíce dát, vrátane osobných údajov. Umelá inteligencia (AI) značne zjednodušuje a vylepšuje profilovanie fyzických osôb na základe dostupných a odvodených dát rovnako ako aj automatizované rozhodovanie týkajúce sa fyzických osôb.

 

Keďže je možné umelú inteligenciu (AI) použiť na spracúvanie osobných údajov, nevyhneme sa výzvam spojeným s ochranou osobných údajov (GDPR).

 

gdpr ebook

 

Osobné údaje a umelá inteligencia (AI) – regulačné rámce

 

V prípade, ak bude umelá inteligencia (AI) spracúvať osobné údaje, prípadne profilovať fyzické osoby alebo automatizovane o nich rozhodovať, bude spadať nielen pod regulačný rámec Nariadenia o AI ale aj Nariadenia GDPR.

 

Umelá inteligencia (AI), ktorá vykonáva akúkoľvek spracovateľskú operáciu s osobnými údajmi bez ohľadu na to, či ide o model AI alebo systém AI, musí tak robiť v súlade s pravidlami Nariadenia GDPR. Požiadavky Nariadenia GDPR sa preto aplikujú tak ako na trénovanie modelov AI a ich nasadzovanie, tak aj na uvedenie systému AI na trh a jeho používanie.

AI osobné údaje

 

Najdôležitejšími povinnosťami podľa Nariadenia GDPR sú najmä:

 

  • dodržiavanie zásad spracúvania osobných údajov – čl. 5 Nariadenia GDPR;
  • existencia právneho základu spracúvania osobných údajov – čl. 6 Nariadenia GDPR;
  • poskytnutie informácií dotknutým osobám, ktorých údaje sa spracúvajú – čl. 13 a 14 Nariadenia GDPR;
  • zabezpečenie bezpečnosti spracúvania osobných údajov – čl. 32 a iné Nariadenia GDPR.

(Tento zoznam pravidiel nie je ani zďaleka vyčerpávajúci, pretože existuje mnoho iných povinností a požiadaviek súvisiacich so spracúvaním osobných údajov. Pre účely článku je však tento rozsah postačujúci.)

 

Dodržiavanie zásad spracúvania osobných údajov

 

Každý prevádzkovateľ, ktorý používa umelú inteligenciu (AI) na spracúvanie osobných údajov, je povinný zabezpečiť, aby boli dodržané nasledovné zásady:

 

  • zásada zákonnosti – spracúvanie osobných údajov je možné iba na základe Nariadenia GDPR a na základe právnych základov podľa tohto nariadenia. Prevádzkovateľ, ktorý používa AI, môže spracúvať osobné údaje len v prípade, ak má na ich spracúvania právny základ. Právny základ si pritom môžeme predstaviť ako oprávnenie pre spracúvanie osobných údajov. Právnych základov je v Nariadení GDPR uvedených niekoľko, napríklad súhlas, plnenie zmluvy, vrátane predzmluvných rokovaní, plnenie zákonnej povinnosti, oprávnený záujem, verejný záujem a iné.

 

  • zásada obmedzenia účelu – osobné údaje získané na vopred určené, výslovne uvedené a legitímne účely sa nesmú ďalej spracúvať na iné s tým nezlučiteľné účely;

 

  • zásada minimalizácie údajov – prevádzkovateľ umelej inteligencie  (AI) ako aj samotná AI smú spracúvať iba také osobné údaje, ktoré sú nevyhnutné na daný účel. Inak povedané, prevádzkovateľ nesmie spracúvať (teda ani získavať) viac osobných údajov, ako je potrebné pre konkrétny účel.

 

  • zásada správnosti údajov – prevádzkovateľ umelej inteligencie (AI) je povinný dbať na to, aby mal vždy správne osobné údaje;

 

  • zásada minimalizácie uchovávania osobných údajov – osobné údaje môžu byť uchovávané iba pokým je to potrebné pre na účely, na ktoré sa spracúvajú;

 

  • zásada bezpečnosti – spracúvanie osobných údajov musí byť bezpečné, vrátane ich ochrany pred neoprávneným spracúvaním, stratou, zničením alebo poškodením.

 

GDPR dokumentácia

 

Právny základ spracúvania osobných údajov

 

Prevádzkovateľ je povinný si sám správne určiť právny základ, na základe ktorého spracúva osobné údaje prostredníctvom umelej inteligencie (AI).

 

Nariadenie GDPR pritom pozná tieto právne základy:

 

Súhlas dotknutej osoby [čl. 6 ods. 1 písm. a) Nariadenia GDPR]

Osobné údaje je možné spracúvať na základe súhlasu dotknutej osoby. Dotknutá osoba musí vyjadriť svoj súhlas slobodne a na konkrétny účel. Súhlas teda nemôže byť podmienkou uzatvorenia zmluvy. Súčasne je potrebné, aby bola dotknutá osoba informovaná o svojich právach, najmä práve súhlas kedykoľvek odvolať.

Súhlas dotknutej osoby nemôže prevádzkovateľ iba skryť v zmluve alebo obchodných podmienkach. Súhlas musí byť udelený jednoznačne, a to aktívnym konaním dotknutej osoby. V praxi sa na to využívajú tzv. check-boxy (či už v zmluvách alebo na webstránkach).

 

Plnenie zmluvy [čl. 6 ods. 1 písm. b) Nariadenia GDPR]

Prevádzkovateľ AI môže spracúvať osobné údaje dotknutých osôb aj z dôvodu, že to je potrebné na plnenie zmluvy medzi ním a dotknutou osobou. Každá zmluva musí totiž obsahovať aspoň identifikáciu zmluvných strán v rozsahu meno a priezvisko, bydlisko a dátum narodenia.

Na druhej strane v zásade platí, že iné osobné údaje nie sú pre plnenie zo zmluvy potrebné. Samozrejme tu existujú určité výnimku (email alebo telefónne číslo – ak je potrebné na plnenie zmluvy alebo komunikáciu s druhou zmluvnou stranou a pod.).

 

Právna povinnosť prevádzkovateľa [čl. 6 ods. 1 písm. c) Nariadenia GDPR]

Prevádzkovateľ umelej inteligencie (AI) je oprávnený spracúvať osobné údaje aj vtedy, ak mu ich spracúvanie prikazuje zákon alebo iný právny predpis.

Ideálnym príkladom sú údaje zamestnanca, ktoré zamestnávateľ potrebuje na jeho prihlásenie do Sociálnej poisťovne, zdravotnej poisťovne a na daňový úrad.

Tento právny základ nebude pri AI takmer vôbec využívaný.

 

Ochrana životne dôležitých záujmov fyzickej osoby [čl. 6 ods. 1 písm. d) Nariadenia GDPR]

Tento právny základ nie je pomerne častý, ale o to dôležitejší. Najčastejšie ho používajú zdravotnícke zariadenia a nemocnice pri ochrane pacienta v ohrození života alebo na ochranu jeho zdravia. Typické je to však práve pre urgentné situácie, kedy nie je možné spracúvať osobné údaje na základe iných právnych základov.

 

Oprávnený záujem prevádzkovateľa alebo tretej strany [čl. 6 ods. 1 písm. f) Nariadenia GDPR]

V mnohých prípadoch nie je možné použiť iný právny základ ako je oprávnený záujem prevádzkovateľa. Ide o najflexibilnejší právny základ spracúvania osobných údajov, ale zároveň aj ten najrizikovejší.

Jeho podstatou je oprávnený záujem prevádzkovateľa na spracúvaní určitých osobných údajov dotknutých osôb. Napríklad, firma si nainštaluje kamerový systém do skladu. Firma má totiž oprávnený záujem chrániť zdravie zamestnancov v sklade a svoj majetok, ktorý je v sklade umiestnený.

Na druhej strane tu však máme záujem dotknutých osôb (zamestnancov) na ochrane osobných údajov, svojej podobizne a svojho súkromia.

Preto sa pri použití tohto právneho základu vyžaduje vykonať test proporcionality (niekedy sa používa aj pojem balančný test). Ním prevádzkovateľ vlastne zisťuje, či jeho oprávnený záujem (mať kamerový systém) neprevyšuje nad oprávneným záujmom zamestnancov na ochranu ich osobných údajov, podobizne a svojho súkromia.

 

Informačná povinnosť voči dotknutým osobám

 

Prevádzkovateľ AI, ktorý prostredníctvom umelej inteligencie (AI) spracúva osobné údaje, je povinný informovať o tom dotknuté osoby. Dotknuté osoby musia byť jednoducho a jasne informované, že k spracúvaniu ich osobných údajov dochádza prostredníctvom umelej inteligencie (AI). Okrem toho je prevádzkovateľ umelej inteligencie (AI) povinný informovať dotknuté osoby o tom, aké kategórie ich osobných údajov spracúva, na aké účely, ako dlho a mnoho iného.

 

Splnenie informačnej povinnosti je prevádzkovateľ umelej inteligencie (AI) povinný pri kontrole preukázať Úradu na ochranu osobných údajov. Nakoľko však ide o jednostranný úkon prevádzkovateľa AI, postačí, aby sa dotknutá osoba oboznámila s potrebnými informáciami v rámci webovej stránky, prípadne aplikácie, e-mailom a pod.

 

Bezpečnosť osobných údajov

 

Prevádzkovateľ AI je povinný zabezpečiť primerané technické a organizačné opatrenia s účelom zaistiť čo najvyššiu možnú mieru bezpečnosti osobných údajov.

 

Prevádzkovateľ AI je pritom povinný zobrať do úvahy, okrem iného, pseudonymizáciu, šifrovanie, integritu a dostupnosť osobných údajov, náklady na zavedenie týchto opatrení ako aj rozsah a kontext spracúvania osobných údajov.

 

S bezpečnosťou osobných údajov pri využívaní umelej inteligencie (AI) súvisí, okrem vyššie uvedených, aj kybernetická bezpečnosť – odolnosť umelej inteligencie (AI) pred útokmi zvonku alebo pred jej zneužitím.

 

Požiadavky Nariadenia GDPR pri používaní AI musí riešiť iba ten prevádzkovateľ, ktorý ju používa na spracúvanie osobných údajov

 

Základnou otázkou každého prevádzkovateľa AI (či už modelu AI alebo systému AI) je, či vôbec pri používaní modelu AI alebo systému AI dochádza k spracúvaniu osobných údajov alebo nie.

 

Od odpovede na túto otázku potom závisí to, či umelá inteligencia (AI) a činnosť jej prevádzkovateľa spadá pod regulačný rámec Nariadenia GDPR alebo nie.

 

Pre zodpovedanie tejto otázky je pri modely AI dôležité posúdiť, či vôbec bol trénovaný na osobných údajoch, na akých osobných údajoch bol trénovaný, na akých osobných údajoch bol validovaný, boli tieto osobné údaje anonymizované, je možné tieto osobné údaje z modelu AI extrahovať a mnohé iné.

 

Ak ide o zodpovedanie tejto otázky ohľadom systému AI, je potrebné začať skúmať najprv model AI, na ktorom je systém AI postavený, a až následne začať skúmať, či vôbec a ak áno, akým spôsobom systém AI spracúva osobné údaje.

 

Z dôvodu právnej istoty je potrebné povedať, že každá firma alebo podnikateľ, musia mať zavedenú ochranu osobných údajov a dokumentáciu k ochrane osobných údajov. Ak však používajú umelú inteligenciu (AI) na spracúvanie osobných údajov, potom je potrebné túto dokumentáciu upraviť a procesy u prevádzkovateľa nastaviť tak, aby zodpovedali požiadavkám Nariadenia GDPR.

 

Sumár

 

Pri používaní umelej inteligencie (AI) môže ale aj nemusí dochádzať k spracúvaniu osobných údajov. Ak k spracúvaniu osobných údajov dochádza, spadá takéto spracúvanie aj pod regulačný rámec Nariadenia GDPR.

 

Pokiaľ umelá inteligencia (AI) spadá pod Nariadenie GDPR, prevádzkovateľ je povinný zabezpečiť, aby boli dodržané zásady spracúvania osobných údajov, aby sa osobné údaje spracúvali na základe existujúceho právneho základu, prevádzkovateľ umelej inteligencie (AI) informoval dotknuté osoby, že dochádza k spracúvaniu ich osobných údajov a zaistil bezpečnosť takéhoto spracúvania.

Vyhnúť sa požiadavkám Nariadenia GDPR je možné napríklad dôslednou anonymizáciou osobných údajov, ktoré boli použité na trénovanie, validovanie alebo ktoré sa používajú so systémom AI.

 

Dohodnite si osobnú konzultáciu s JUDr. Alexandrom Ujom a zistite, či je vaša ochrana osobných údajov pripravená na umelú inteligenciu (AI).

 

právne služby

More Law
Less problems

<
>
AI
Business
11.09.2025
AI a GDPR: Umelá inteligencia v kontexte ochrany osobných údajov
AI a GDPR: Umelá inteligencia v kontexte ochrany osobných údajov
Business
09.09.2025
Zrušenie spoločnosti a vystúpenie zo spoločnosti v Českej republike
Zrušenie spoločnosti a vystúpenie zo spoločnosti v Českej republike
Business
09.09.2025
Nové Nariadenie o údajoch | Data Act
Nové Nariadenie o údajoch | Data Act
Crypto
09.09.2025
Licencia MiCA – povolenie na poskytovanie služieb kryptoaktív
Licencia MiCA – povolenie na poskytovanie služieb kryptoaktív
Crypto
05.09.2025
Licenčné konanie podľa Nariadenia MiCA
Licenčné konanie podľa Nariadenia MiCA
Business
05.09.2025
Zodpovednosť konateľa za porušenie povinností pri kríze spoločnosti
Zodpovednosť konateľa za porušenie povinností pri kríze spoločnosti
Business
03.09.2025
Digital Services Act | Nariadenie o digitálnych službách
Digital Services Act | Nariadenie o digitálnych službách
AI
22.08.2025
Nariadenie o AI – účinnosť nových ustanovení
Nariadenie o AI – účinnosť nových ustanovení
Ostatné
21.08.2025
7 krokov ako nasadiť umelú inteligenciu (AI) do firmy
7 krokov ako nasadiť umelú inteligenciu (AI) do firmy