CZ / DEEN

AI a GDPR – limity sběru údajů

21.8. 2025Nikola Garaiová0 Komentářů

Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (GDPR) chrání osobní údaje bez ohledu na to, zda s nimi pracuje člověk nebo AI. V roce 2024 k GDPR přibylo Nařízení Evropského parlamentu a Rady (EU) 2024/1689 ze dne 13. června 2024, kterým se stanoví harmonizovaná pravidla pro umělou inteligenci (AI Act), jež zavádí stupňovitý („risk-based“) režim a zaměřuje se na bezpečnost a transparentnost AI systémů. Tyto předpisy nastavují mantinely sběru a zpracování osobních údajů. Následující přehled shrnuje klíčové požadavky pro sběr a zpracování údajů při použití AI.

GDPR se dotýká i AI

AI modely se obvykle trénují na velkých datasetech, které často obsahují osobní údaje. Pokud ke sběru či zpracování takových údajů dochází, neuplatní se jen AI Act, ale i také GDPR v plném rozsahu – od volby účelu zpracování až po plnění informační povinnosti správce. Evropský sbor pro ochranu osobních údajů (EDPB) navíc nedávno potvrdil, že model trénovaný na datech obsahujících osobní údaje, nemůže být automaticky považován za anonymní.

Základní zásady ovlivňující sběr údajů pomocí AI

Nařízením GDPR prostupují zásady uplatňující se i v případě zpracování údajů pomocí AI. Důležité je ale pamatovat i na to, že GDPR vyžaduje před zpracováním provést posouzení dopadu na ochranu osobních údajů (DPIA) ve smyslu čl. 35, pokud je pravděpodobné, že zpracování bude představovat vysoké riziko pro jednotlivce. V této souvislosti je třeba zohlednit povahu, rozsah, kontext a účely zpracování. Mezi vysoce rizikové jsou řazené např. technologie umožňující rozsáhlé monitorování veřejně přístupných prostor (př. kamerové systémy), zpracování citlivých kategorií osobních údajů, automatizované rozhodování, které má právní či obdobné dopady na jednotlivce, zpracování údajů o dětech atd.

Mezi základní zásady ovlivňující sběr údajů patří:

  • Omezení účelu zpracování – Osobní údaje lze použít pouze k jasně vymezenému účelu zpracování a na základě jednoho z titulů čl. 6 GDPR. U AI projektů se nejčastěji zvažuje oprávněný zájem. EDPB připomíná povinnost provést balanční test (identifikace zájmu, nezbytnost, vyvážení). Dle EPDB také fáze vývoje a nasazení AI systémy zahrnují různá zpracování údajů, která vyžadují různé právní důvody zpracování a měly by být posuzovány individuálně (souhlas, oprávněný zájem…)
  • Minimalizace údajů – Zpracování údajů má být přiměřené, relevantní a omezené na nezbytný rozsah. Napětí pak vzniká mezi tímto principem a big-data logikou AI, kdy tato rizika lze zmírnit pseudonymizací a proporcionalitou zpracování údajů.
  • Omezení doby uložení – Údaje nesmí být uloženy déle, než je nutné. Doba uložení údajů by měla být tedy omezena na nezbytně nutnou dobu pro dosažení účelu zpracování.
  • Transparentnost zpracování údajů – Správce musí informovat subjekty údajů o tom, jak AI algoritmy zpracovávají jejich údaje.
  • Bezpečnost zpracovávaných údajů – Správce by měl být schopen zajistit vysoké zabezpečení dat.

Limity sběru údajů

Sběr a zpracování osobních údajů je limitováno následujícím:

Citlivé údaje a biometrika

  • GDPR obecně zakazuje zpracování údajů spadajících do zvláštní kategorie osobních údajů, tedy vysoce citlivých údajů odhalujících např. údaje o rasovém nebo etnickém původu, o náboženském vyznání, filozofickém přesvědčení nebo o politických názorech, členství v odborech, o zdravotním stavu, sexuálním životě nebo orientaci dané osoby. Do zvláštní kategorie osobních údajů patří i např. genetické či biometrické údaje, které jsou zpracovávány za účelem identifikace dané osoby. Zvláštní kategorie lze zpracovávat pouze v rámci výjimek v čl. 9 odst. 2 GDPR. Mezi výjimky patří např. udělení souhlasu subjektem údajů nebo pokud je zpracování nezbytné pro plnění povinností v oblasti pracovního práva, práva sociálního zabezpečení a sociální ochrany. Nicméně např. biometrická kategorizace dle citlivých údajů je přísně zakázána. Jedná se o systémy, kategorizující osoby dle biometrických údajů dle rasy, politických přesvědčení či dalších výše zmíněných charakteristik.
  • AI Act zakazuje také použití AI systémů pro rozpoznávání emocí na pracovišti či ve škole, s výjimkou sledování fyzického stavu za účelem prevence nehod či použití pro zdravotní a bezpečnostní účely. Omezené použití AI Act umožňuje při používání systémů biometrické identifikace v reálném čase na veřejných místech v případech např. pátrání po obětech únosu či pohřešovaných osobách či prevence bezprostředního ohrožení života nebo teroristického útoku.

Web scraping a veřejné zdroje

  • Veřejná dostupnost dat není zárukou souladu s GDPR. Při web scrapingu dochází k automatizovanému a rychlému shromažďování dat z webů. EDPB vydala pokyny k data scrapingu a generativní AI. V rámci používání web scrapingu je nutné řádně nastavit účel pro zpracování osobních údajů, zároveň by měly společnosti prokázat, proč je shromažďování údajů nezbytné, přiměřené a zda nepřevažuje nad právy subjektů údajů, tj. je nutné posoudit dopady na subjekty údajů pomocí DPIA.

Anonymizace vs. pseudonymizace modelu

  • Společnosti musí být také schopny posoudit, zda lze jejich AI modely skutečně považovat za anonymní. EPDB jasně uvádí, že anonymita AI modelů není samozřejmostí. Je nutné u každého modelu AI posoudit, zda lze osobní údaje extrahovat pomocí reverzního inženýrství či pomocí jiné techniky. Pokud model dále uchovává údaje, které lze identifikovat, podléhá GDPR. Model trénovaný na osobních údajích nelze tedy automaticky považovat za anonymní. Společnosti by měly vést záznamy o aktivitách web scrapingu a zajistit minimalizaci dat a dodržení definovaného účelu zpracování. Důležitá jsou také opatření proti web scrapingu typu robots.txt, omezení rychlosti či kontroly přístupu.

Automatizované rozhodování a profilování

  • Základním principem zakotveným v článku 22 odst. 1 GDPR je, že subjekt údajů má právo nebýt předmětem rozhodnutí založeného výlučně na automatizovaném zpracování, včetně profilování, které má pro něj právní účinky nebo se ho podobným způsobem významně dotýká. Toto ustanovení zajišťuje, že nebudou rozhodnutí se značným vlivem na jednotlivce přijímána bez lidského dohledu či uvážení. Nejde o obecný zákaz automatizovaného rozhodování, ale pouze takového, které má právní či obdobné účinky na jednotlivce.

Závěr

AI Act zavádí rizikově odstupňované povinnosti se zaměřením na bezpečnost, transparentnost a lidský dohled. GDPR nadále určuje pravidla pro zpracování osobních údajů. Oba předpisy se doplňují. AI Act neurčuje právní titul pro práci s osobními údaji, ten vždy vyplývá z GDPR. Pokud AI s osobními údaji pracuje, uplatní se GDPR v plném rozsahu. Klíčové je proto pro každou fázi životního cyklu (sběr údajů, vývoj, testování, provoz) jasně vymezit účel zpracování, a tam, kde lze očekávat vysoké riziko, provést posouzení vlivu na ochranu osobních údajů (DPIA).

Dále je nutné uplatnit minimalizaci údajů, přiměřenou omezenou dobu uložení dat a robustní zabezpečení. Je nutné respektovat zvláštní režim pro citlivé a biometrické údaje. U automatizovaných rozhodnutí je nezbytné zajistit informování subjektu údajů a právo na lidský zásah a průběžný dohled.

Naše advokátní kancelář se intenzivně věnuje právním aspektům spojeným s používáním AI systémů. Pokud potřebujete odbornou pomoc nebo máte jakékoliv otázky týkající se této problematiky, neváhejte nás kontaktovat. Jsme zde, abychom vám poskytli profesionální právní služby a podpořili vás v každém kroku.

KONTAKTUJTE NÁS

Nikola Garaiová
Podobné články
AI ve zdravotnictví – právní rámec, limity a na co si dát pozor
Vliv oduznání nemoci z povolání na výplatu náhrady za ztrátu na výdělku
Co přináší AI Act v roce 2025?
Komentáře

Přidat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

Vaše osobní údaje budou použity pouze pro účely zpracování tohoto komentáře. Zásady zpracování osobních údajů