Velký omyl 🤖🔒🧩 Proč umělá inteligence nemusí být nutně nepřítelem soukromí dat

Publikováno: 22. července 2025 / Aktualizováno: 22. července 2025 – Autor: Konrad Wolfenstein

Velký omyl: Proč umělá inteligence nemusí být nutně nepřítelem soukromí dat – Obrázek: Xpert.Digital

Velké usmíření: Jak nové zákony a chytré technologie spojují umělou inteligenci a ochranu dat

Ano, umělá inteligence a ochrana dat mohou fungovat – ale pouze za těchto klíčových podmínek

Umělá inteligence je hnací silou digitální transformace, ale její nenasytný hlad po datech vyvolává zásadní otázku: Jsou průlomové nástroje umělé inteligence a ochrana našeho soukromí vůbec slučitelné? Na první pohled se to jeví jako neslučitelný rozpor. Na jedné straně je touha po inovacích, efektivitě a inteligentních systémech. Na druhé straně jsou tu přísná pravidla GDPR a právo každého jednotlivce na informační sebeurčení.

Dlouho se zdálo, že odpověď je jasná: více umělé inteligence znamená méně ochrany dat. Tato rovnice je však stále častěji zpochybňována. S novým zákonem EU o umělé inteligenci vzniká vedle GDPR druhý silný regulační rámec, speciálně přizpůsobený rizikům umělé inteligence. Zároveň technologické inovace, jako je federované učení a diferenciální ochrana soukromí, poprvé umožňují trénovat modely umělé inteligence bez zveřejňování citlivých nezpracovaných dat.

Otázkou už není, zda jsou umělá inteligence a ochrana dat kompatibilní, ale jak. Nalezení správné rovnováhy bude klíčovou výzvou pro firmy a vývojáře – nejen aby se vyhnuli vysokým pokutám, ale také aby se vybudovala důvěra, která je nezbytná pro široké přijetí umělé inteligence. Tento článek ukazuje, jak lze tyto zdánlivé rozpory sladit chytrou souhrou práva, technologií a organizace a jak se vize umělé inteligence splňující požadavky na ochranu údajů může stát skutečností.

Pro firmy to představuje dvojí výzvu. Nejenže jim hrozí vysoké pokuty až do výše 7 % jejich globálních ročních příjmů, ale v sázce je i důvěra zákazníků a partnerů. Zároveň to nabízí obrovskou příležitost: ti, kteří rozumí pravidlům hry a od samého začátku zohledňují ochranu údajů („Privacy by Design“), mohou nejen fungovat v souladu se zákonem, ale také si zajistit rozhodující konkurenční výhodu. Tato komplexní příručka vysvětluje, jak GDPR a zákon o umělé inteligenci interagují, jaká konkrétní rizika číhají v praxi a jaká technická a organizační opatření můžete přijmout k nalezení správné rovnováhy mezi inovací a soukromím.

Vhodné pro:

Nezávislé platformy AI jako strategická alternativa pro evropské společnosti

Co znamená ochrana dat ve věku umělé inteligence?

Pojem ochrana osobních údajů označuje právní a technickou ochranu osobních údajů. V kontextu systémů umělé inteligence představuje dvojí výzvu: nejenže je nutné dodržovat klasické principy, jako je zákonnost, omezení účelu, minimalizace dat a transparentnost, ale často složité modely učení také ztěžují sledování toků dat. To stupňuje napětí mezi inovací a regulací.

Jaké evropské právní rámce upravují aplikace umělé inteligence?

Jádrem jsou dvě nařízení: obecné nařízení o ochraně osobních údajů (GDPR) a nařízení EU o umělé inteligenci (AI Act). Obě se uplatňují paralelně, ale v důležitých aspektech se překrývají.

Jaké jsou základní principy GDPR v kontextu umělé inteligence?

GDPR zavazuje každého správce údajů zpracovávat osobní údaje pouze na jasně definovaném právním základě, předem specifikovat účel, omezit množství údajů a poskytovat subjektům údajů komplexní informace. Dále existuje striktní právo na přístup k údajům, jejich opravu, výmaz a vznést námitku proti automatizovanému rozhodování (čl. 22 GDPR). To druhé se vztahuje přímo na systémy bodování nebo profilování založené na umělé inteligenci.

Jaké další prvky přináší zákon o umělé inteligenci?

Zákon o umělé inteligenci (AI Act) rozděluje systémy umělé inteligence do čtyř rizikových tříd: minimální, omezené, vysoké a nepřijatelné riziko. Vysoce rizikové systémy podléhají přísným požadavkům na dokumentaci, transparentnost a dohled, zatímco nepřijatelné praktiky – jako je manipulativní behaviorální kontrola nebo sociální bodování – jsou zcela zakázány. Počáteční zákazy vstoupily v platnost v únoru 2025 a další požadavky na transparentnost byly postupně zaváděny do roku 2026. Porušení může vést k pokutám až do výše 7 % globálních ročních příjmů.

Jak spolu GDPR a zákon o umělé inteligenci interagují?

GDPR zůstává v platnosti vždy, když jsou zpracovávány osobní údaje. Zákon o umělé inteligenci (AI Act) jej doplňuje o povinnosti specifické pro daný produkt a přístup založený na riziku: Jeden a tentýž systém tak může být jak vysoce rizikovým systémem umělé inteligence (AI Act), tak i obzvláště rizikovou činností zpracování (GDPR, čl. 35), která vyžaduje posouzení vlivu na ochranu osobních údajů.

Proč jsou nástroje umělé inteligence obzvláště citlivé z hlediska ochrany dat?

Modely umělé inteligence se učí z velkých datových sad. Čím přesnější má být model, tím větší je pokušení poskytovat mu komplexní osobní datové sady. To s sebou nese rizika:

Tréninková data mohou obsahovat citlivé informace.
Algoritmy často zůstávají černou skříňkou, což dotčeným ztěžuje pochopení logiky rozhodování.
Automatizované procesy představují riziko diskriminace, protože reprodukují předsudky z dat.

Jaká konkrétní nebezpečí plynou z používání umělé inteligence?

Úniky dat během školení: Nedostatečně zabezpečená cloudová prostředí, otevřená API nebo nedostatečné šifrování mohou vést k úniku citlivých dat.

Nedostatek transparentnosti: Ani vývojáři ne vždy plně rozumí hlubokým neuronovým sítím. To ztěžuje plnění informačních povinností podle článků 13–15 GDPR.

Diskriminační výstupy: Bodování uchazečů pomocí umělé inteligence může posílit nespravedlivé vzorce, pokud byla trénovací sada již historicky zkreslená.

Přeshraniční přenosy: Mnoho poskytovatelů umělé inteligence hostuje modely ve třetích zemích. V návaznosti na rozhodnutí ve věci Schrems II musí společnosti zavést dodatečná ochranná opatření, jako jsou standardní smluvní doložky a posouzení dopadu přenosu.

Jaké technické přístupy chrání data v prostředí umělé inteligence?

Pseudonymizace a anonymizace: Kroky předběžného zpracování odstraňují přímé identifikátory. Zbytkové riziko přetrvává, protože opětovná identifikace je možná i u velkých datových sad.

Diferenciální soukromí: Cílený šum umožňuje statistickou analýzu, aniž by bylo možné identifikovat jednotlivce.

Federované učení: Modely jsou trénovány decentralizovaně na koncových zařízeních nebo v datových centrech vlastníků dat; do globálního modelu jsou předávány pouze aktualizace vah. Tím je zajištěno, že nezpracovaná data nikdy neopustí svůj původní bod.

Vysvětlitelná umělá inteligence (XAI): Metody jako LIME nebo SHAP poskytují srozumitelná vysvětlení pro neuronové rozhodování. Pomáhají plnit informační povinnosti a odhalovat potenciální zkreslení.

Stačí anonymizace sama o sobě k obcházení povinností GDPR?

Pouze pokud je anonymizace nevratná, nespadá zpracování do působnosti GDPR. V praxi je to obtížné zaručit, protože techniky opětovné identifikace se neustále vyvíjejí. Orgány dohledu proto doporučují dodatečná bezpečnostní opatření a posouzení rizik.

Jaká organizační opatření GDPR předepisuje pro projekty s umělou inteligencí?

Posouzení vlivu na ochranu osobních údajů (DPIA): Vždy se vyžaduje, pokud je pravděpodobné, že zpracování bude představovat vysoké riziko pro práva subjektů údajů, například v případě systematického profilování nebo rozsáhlé analýzy videa.

Technická a organizační opatření (TOM): Směrnice DSK 2025 vyžaduje jasné koncepty přístupu, šifrování, protokolování, verzování modelů a pravidelné audity.

Návrh smlouvy: Při nákupu externích nástrojů umělé inteligence musí společnosti uzavřít smlouvy o zpracování údajů v souladu s článkem 28 GDPR, řešit rizika spojená s předáváním údajů do třetích zemí a zajistit si práva na audit.

Jak vybíráte nástroje umělé inteligence, které splňují předpisy o ochraně osobních údajů?

Pokyny Konference o ochraně osobních údajů (z května 2024) poskytují kontrolní seznam: vyjasnění právního základu, definování účelu, zajištění minimalizace dat, příprava dokumentů o transparentnosti, operacionalizace práv subjektů údajů a provedení posouzení vlivu na ochranu osobních údajů (DPIA). Společnosti musí také ověřit, zda nástroj spadá do kategorie vysoce rizikové dle zákona o umělé inteligenci; pokud ano, platí další povinnosti týkající se dodržování předpisů a registrace.

Souvisí s tím:

Tato platforma AI kombinuje 3 rozhodující obchodní oblasti: řízení zadávání veřejných zakázek, rozvoj podnikání a zpravodajství

Jakou roli hrají zásady ochrany osobních údajů již v návrhu a zásady ochrany osobních údajů ve výchozím nastavení?

Podle článku 25 GDPR musí správci údajů od samého začátku zvolit výchozí nastavení, která jsou v souladu s ochranou osobních údajů. V kontextu umělé inteligence to znamená: minimální datové sady, vysvětlitelné modely, interní omezení přístupu a koncepty mazání od samého začátku projektu. Zákon o umělé inteligenci tento přístup posiluje požadavkem řízení rizik a kvality v průběhu celého životního cyklu systému umělé inteligence.

Jak lze kombinovat soulad s DSFA a zákonem o umělé inteligenci?

Doporučuje se integrovaný přístup: Projektový tým nejprve klasifikuje aplikaci podle zákona o umělé inteligenci. Pokud spadá do kategorie vysoce rizikové, je souběžně s posouzením vlivu na ochranu osobních údajů (DPIA) v souladu s přílohou III zaveden systém řízení rizik. Obě analýzy se vzájemně doplňují, zabraňují zdvojování úsilí a poskytují konzistentní dokumentaci pro dozorové orgány.

Které odvětvové scénáře ilustrují problém?

Zdravotnictví: Diagnostické postupy podporované umělou inteligencí vyžadují vysoce citlivá data o pacientech. Narušení bezpečnosti dat může kromě pokut vést k uplatnění nároků na náhradu škody. Regulační orgány vyšetřují několik poskytovatelů od roku 2025 kvůli nedostatečnému šifrování.

Finanční služby: Algoritmy pro hodnocení úvěrů jsou považovány za vysoce rizikovou umělou inteligenci. Banky musí testovat na diskriminaci, zveřejňovat logiku rozhodování a zaručit právo zákazníků na manuální kontrolu.

Řízení lidských zdrojů: Chatboti používaní k předběžnému výběru uchazečů zpracovávají životopisy. Tyto systémy spadají pod článek 22 GDPR a v případě nesprávné klasifikace mohou vést k obvinění z diskriminace.

Marketing a zákaznický servis: Generativní jazykové modely pomáhají s psaním odpovědí, ale často přistupují k datům o zákaznících. Společnosti musí implementovat oznámení o transparentnosti, mechanismy pro odhlášení a doby uchovávání dat.

Jaké další povinnosti vyplývají z rizikových tříd dle zákona o umělé inteligenci?

Minimální riziko: Žádné zvláštní požadavky, ale osvědčené postupy doporučují pokyny pro transparentnost.

Omezené riziko: Uživatelé si musí být vědomi toho, že interagují s umělou inteligencí. Deepfakes musí být od roku 2026 označeny.

Vysoké riziko: Povinné posouzení rizik, technická dokumentace, řízení kvality, lidský dohled, oznámení příslušným notifikačním orgánům.

Nepřijatelné riziko: Vývoj a používání jsou zakázány. Porušení může mít za následek pokuty až do výše 35 milionů EUR nebo 7 % z příjmů.

Jaké jsou mezinárodní předpisy mimo EU?

USA mají směsici federálních zákonů. Kalifornie plánuje zákon o ochraně osobních údajů spotřebitelů s využitím umělé inteligence. Čína někdy vyžaduje přístup k datům o školeních, což je neslučitelné s GDPR. Společnosti s globálními trhy proto musí provádět posouzení dopadů přenosů a přizpůsobovat smlouvy regionálním předpisům.

Může sama umělá inteligence pomoci s ochranou dat?

Ano. Nástroje založené na umělé inteligenci identifikují osobní údaje ve velkých archivech, automatizují procesy vyhledávání informací a detekují anomálie, které naznačují úniky dat. Takové aplikace však podléhají stejným předpisům o ochraně osobních údajů.

Jak si budujete interní odbornost?

DSK doporučuje školení v právních a technických základech a také jasné rozdělení rolí pro oddělení ochrany dat, IT bezpečnosti a specializovaná oddělení. Zákon o umělé inteligenci (AI Act) zavazuje společnosti k rozvoji základních odborných znalostí v oblasti umělé inteligence, aby mohly adekvátně posoudit rizika.

Jaké ekonomické příležitosti nabízí umělá inteligence v souladu s ochranou osobních údajů?

Společnosti, které včas zvažují posouzení vlivu na ochranu osobních údajů (DPIA), technická a organizační opatření (TOM) a transparentnost, snižují potřebu pozdějších nápravných opatření, minimalizují riziko pokut a posilují důvěru zákazníků i regulačních orgánů. Poskytovatelé vyvíjející „umělou inteligenci kladoucí důraz na soukromí“ se pozicionují na rostoucím trhu důvěryhodných technologií.

Jaké trendy se objevují v příštích několika letech?

Harmonizace GDPR a zákona o umělé inteligenci prostřednictvím pokynů Evropské komise do roku 2026.
Nárůst využití technik, jako je diferenciální soukromí a federované učení, k zajištění lokalizace dat.
Povinné požadavky na označování obsahu generovaného umělou inteligencí od srpna 2026.
Rozšíření pravidel specifických pro dané odvětví, například pro zdravotnické prostředky a autonomní vozidla.
Přísnější kontroly souladu ze strany regulačních orgánů, které se konkrétně zabývají audity systémů umělé inteligence.

Mohou umělá inteligence a ochrana dat jít ruku v ruce?

Ano, ale pouze kombinací práva, technologií a organizace. Moderní metody ochrany osobních údajů, jako je diferenciální soukromí a federované učení, podporované jasným právním rámcem (GDPR plus zákon o umělé inteligenci) a zakotvené v principu ochrany soukromí již od návrhu, umožňují vysoce výkonné systémy umělé inteligence bez ohrožení soukromí. Společnosti, které tyto principy internalizují, si nejen zajišťují svou inovativní sílu, ale také důvěru veřejnosti v budoucnost umělé inteligence.