IT & TechnologyDoporučovaná advokátní kancelář pro IT právo

GDPR a AI.

Nasazujete AI, která pracuje s osobními údaji? Nastavíme právní tituly, provedeme posouzení vlivu na ochranu osobních údajů (DPIA) a připravíme informační povinnosti tak, aby váš systém obstál před dozorovým orgánem.

AI a GDPR se protínají v každé fázi, od sběru trénovacích dat přes inference až po výstupy, které dopadají na konkrétní osoby. Řešíme platné právní tituly pro trénink i provoz modelů, posouzení vlivu na ochranu osobních údajů (DPIA), transparentnost vůči subjektům údajů a přísná pravidla pro automatizované rozhodování a profilování podle článku 22 GDPR. Ambit nastaví celý rámec tak, aby byl v praxi funkční a zároveň obhajitelný před Úřadem pro ochranu osobních údajů.

C on á so d l i š u j e

Advokáti, kteří rozumí datům i modelům

Vycházíme z toho, jak model skutečně pracuje s daty a kde vzniká riziko pro subjekty údajů.

GDPR i nařízení AI Act pod jednou střechou

Neřešíme ochranu údajů odděleně od regulace AI. Známe povinnosti z GDPR i nařízení AI Actu, a zajistíme aby si dokumentace neodporovala.

DPIA, která obstojí

Posouzení vlivu neděláme jako formalitu. Popíšeme reálná rizika, navrhneme konkrétní opatření a připravíme podklad, který obhájíte před úřadem.

Automatizované rozhodování bez slepých míst

Rozumíme mezím článku 22 a výjimkám z něj. Nastavíme lidský dohled, právo na vysvětlení a mechanismy, které skutečně chrání subjekty údajů.

Zkušenost s dozorovým úřadem

Víme, na co se Úřad pro ochranu osobních údajů (ÚOOÚ) ptá a jaké podklady očekává. Dokumentaci připravíme s ohledem na reálnou praxi, ne jen podle textu nařízení.

D e t a i l n ě

Jak nastavíme GDPR pro vaše AI

Mapování zpracování

Zmapujeme, jaké osobní údaje AI systém sbírá, jak je používá při tréninku i provozu a kam směřují jeho výstupy. Bez tohoto obrazu nelze posoudit riziko.

Právní tituly

Určíme a doložíme platný právní titul pro každou fázi zpracování, od trénovacích dat po inference. Souhlas, oprávněný zájem nebo smlouva, vždy s posouzením přiměřenosti.

DPIA

Provedeme posouzení vlivu na ochranu osobních údajů pro rizikové systémy. Popíšeme rizika, navrhneme zmírňující opatření a připravíme dokument, který obstojí u dozorového úřadu.

Transparentnost a práva subjektů

Připravíme informační povinnosti, texty pro subjekty údajů a nastavíme pravidla pro automatizované rozhodování a profilování včetně lidského dohledu a práva na vysvětlení.

Dokumentace a dohled

Zpracujeme záznamy o činnostech zpracování a interní postupy. Připravíme podklady pro případnou kontrolu a nastavíme proces, jak dokumentaci udržovat aktuální.

V á š   p a r t n e r
PORTRAIT · J. MENČÍK
Jaroslav Menčík

Jaroslav Menčík

Partner
Vedoucí týmu pro IT & Technology

Jaroslav Menčík je partnerem advokátní kanceláře Ambit a vede tým pro IT a Technologie. Za více než 15 let praxe uzavřel přes 200 transakcí v oblasti softwarového práva, kybernetické bezpečnosti, regulace AI a technologického transferu. Klientům z řad startupů, scale-upů i globálních korporací poskytuje odborné poradenství ukotvené v realitě podnikání. Vystudoval právo na Masarykově univerzitě v Brně a Karlově univerzitě v Praze (JUDr., Ph.D.) a jako Hauser Global Scholar získal titul LL.M. na NYU School of Law. Ekonomické vzdělání (Ing.) mu umožňuje integrovat finanční a strategický pohled do každého mandátu.

15+
let zkušeností v IT právu
200+
uzavřených transakcí
Č a s t o   k l a d e n é   d o t a z y

Otázky, které klienti často pokládají.

Nenašli jste tu svou? Napište přímo vedoucímu partnerovi — odpověď obvykle do jednoho pracovního dne.

Zeptejte se přímo Jaroslava
Potřebuji pro AI systém provést DPIA?
Posouzení vlivu na ochranu osobních údajů je povinné vždy, když zpracování pravděpodobně přinese vysoké riziko pro práva subjektů. U AI systémů, které rozsáhle profilují, hodnotí osoby nebo automaticky rozhodují, je DPIA typicky nutné. Posoudíme váš konkrétní případ a DPIA případně zpracujeme.
Na jakém právním titulu mohu trénovat AI model na osobních údajích?
Nejčastěji přichází v úvahu souhlas nebo oprávněný zájem, každý má ale své meze. U oprávněného zájmu je nutný balanční test, u souhlasu musí být splněny přísné podmínky včetně možnosti jej odvolat. Titul pro trénink se navíc může lišit od titulu pro provozní inference. Nastavíme oba a doložíme jejich přiměřenost.
Co znamená článek 22 GDPR pro automatizované rozhodování?
Článek 22 dává subjektům právo nebýt předmětem rozhodnutí založeného výhradně na automatizovaném zpracování, pokud má pro ně právní nebo obdobně významné účinky. Existují výjimky, vždy je ale třeba zajistit lidský dohled, právo na vysvětlení a možnost napadnout rozhodnutí. Nastavíme mechanismy tak, aby vaše AI tato pravidla splňovala.
Jak spolu souvisí GDPR a EU AI Act?
Jde o dva samostatné, ale prolínající se předpisy. AI Act reguluje samotný AI systém a jeho rizikovost, GDPR chrání osobní údaje, které systém zpracovává. Povinnosti se často překrývají, například u dokumentace a posouzení rizik. Řešíme obojí společně, aby dokumentace obstála podle nařízení AI Act a GDPR.
Kolik stojí nastavení GDPR pro AI systém?
Rozsah a cena závisí na počtu AI systémů, typu zpracovávaných údajů a tom, zda je nutné zpracovat DPIA. Po úvodní bezplatné konzultaci připravíme konkrétní nabídku.