GDPR platí od roku 2018 — a napriek tomu väčšina advokátskych kancelárií stále nevie presne, čo smú a čo nesmú robiť s klientskymi dátami pri použití AI nástrojov. Tento článok to vysvetlí prakticky, bez zbytočnej teórie.
Dobrá správa: GDPR nie je nepriateľ AI. Je to rámec, ktorý keď správne pochopíte, vám pomôže vybrať nástroje, s ktorými nebudete mať problémy.
GDPR a advokátska kancelária — základ
Advokátska kancelária je prevádzkovateľom osobných údajov (data controller) podľa GDPR. To znamená, že ste zodpovední za to, čo sa deje s osobnými údajmi vašich klientov — aj keď ich spracúva niekto iný.
Keď používate AI nástroj na spracovanie klientskych dokumentov, nastáva jedna z dvoch situácií:
- AI beží lokálne (na vašom zariadení) — ste stále jediný prevádzkovateľ, žiadny prenos dát
- AI beží v cloude — poskytovateľ AI sa stáva sprostredkovateľom (data processor) a musíte s ním mať uzatvorenú spracovateľskú zmluvu (DPA)
📋 Kľúčový rozdiel
Prevádzkovateľ rozhoduje prečo sa dáta spracúvajú. Sprostredkovateľ rozhoduje ako. Vy ste vždy prevádzkovateľ — zodpovednosť zostáva na vás, aj keď dáta spracúva cloudový AI.
Šesť zásad GDPR v kontexte AI
GDPR stojí na šiestich základných zásadách. Tu je ako sa každá z nich vzťahuje na používanie AI v kancelárií:
1. Zákonnosť, spravodlivosť, transparentnosť
Musíte mať právny základ na spracúvanie dát. Pre klientske dokumenty je to typicky plnenie zmluvy (čl. 6 ods. 1 písm. b) alebo oprávnený záujem. Klienti by mali vedieť, ak ich dáta spracúvate cez AI nástroj — najmä ak ide o cloudové riešenie.
2. Obmedzenie účelu
Dáta môžete použiť iba na účel, na ktorý boli zozbierané. Klientske dokumenty môžete analyzovať AI-om na účely právneho poradenstva — nie na tréning AI modelov, marketingové analýzy ani iné účely.
⚠️ Problém s bezplatnými AI nástrojmi
ChatGPT Free, Gemini Free a podobné nástroje môžu používať vaše vstupy na tréning modelu. Tým by ste porušili zásadu obmedzenia účelu. Bezplatné verzie sú pre klientske dáta nevhodné.
3. Minimalizácia dát
Spracúvajte len také dáta, ktoré skutočne potrebujete. Pri použití AI to znamená: nenahrávajte celý spis, ak potrebujete analyzovať len jednu zmluvu. Anonymizujte alebo pseudonymizujte tam, kde je to možné.
4. Správnosť
AI môže generovať nepresné alebo zavádzajúce informácie (tzv. halucinácie). Ste zodpovední za správnosť právnych výstupov — výstupy AI vždy overujte pred použitím pre klienta.
5. Obmedzenie uchovávania
Dáta nesmú byť uchovávané dlhšie, ako je potrebné. Cloudové AI nástroje môžu uchovávať históriu konverzácií — skontrolujte ich politiku a nastavenia retencie.
6. Integrita a dôvernosť
Zabezpečte primerané technické opatrenia. Lokálny AI model je z tohto pohľadu najsilnejší — dáta nikam neopúšťajú, žiadne šifrovanie pri prenose, žiadne riziko úniku u tretej strany.
Spracovateľská zmluva (DPA) — kedy je povinná
Ak používate cloudový AI na spracovanie osobných údajov klientov, musíte mať so poskytovateľom uzatvorenú spracovateľskú zmluvu (Data Processing Agreement). Bez nej porušujete čl. 28 GDPR.
Čo musí DPA obsahovať:
- Predmet a trvanie spracúvania
- Povaha a účel spracúvania
- Typ osobných údajov a kategórie dotknutých osôb
- Povinnosti a práva prevádzkovateľa
- Záväzok spracúvať dáta len podľa pokynov prevádzkovateľa
- Technické a organizačné bezpečnostné opatrenia
Väčšina cloudových AI poskytovateľov ponúka DPA ako súčasť podnikových plánov:
- OpenAI (ChatGPT Enterprise) — DPA dostupná, servery môžu byť mimo EÚ
- Microsoft (Copilot for M365) — DPA dostupná, EÚ dátová rezidencia možná
- Google (Workspace AI) — DPA dostupná, EÚ dátová rezidencia možná
DPA je nutná podmienka, nie postačujúca. Aj s DPA zostáva riziko z pohľadu advokátskej mlčanlivosti — dáta stále opúšťajú kanceláriu.
Prenos dát mimo EÚ/EHP
Väčšina veľkých AI poskytovateľov má servery v USA. Prenos osobných údajov do USA si vyžaduje jeden z týchto právnych základov:
- EU-U.S. Data Privacy Framework (DPF) — platný od 2023, nahrádza Privacy Shield. OpenAI, Microsoft, Google sú certifikovaní.
- Štandardné zmluvné doložky (SCC) — set štandardizovaných zmluvných podmienok schválených Európskou komisiou
- EÚ dátová rezidencia — ak poskytovateľ garantuje, že dáta zostanú v EÚ
Pre advokátov odporúčame vždy preveriť, kde fyzicky sídlia servery a aký právny základ sa použije pri prenose. Tieto informácie by mali byť v DPA alebo v dokumentácii poskytovateľa.
Praktický GDPR checklist pre AI v kancelárií
Pred zavedením akéhokoľvek AI nástroja si prejdite tieto body:
- Identifikoval som, aké osobné údaje bude AI spracúvať?
- Mám právny základ na toto spracúvanie (zmluva, oprávnený záujem)?
- Ak ide o cloudový AI — mám podpísanú DPA s poskytovateľom?
- Viem, kde fyzicky sídlia servery a aký je právny základ prenosu mimo EÚ?
- Poskytovateľ nezaručuje, že moje dáta nebudú použité na tréning modelu?
- Informoval som klientov (alebo som to zahrnul do VOP), že používam AI nástroje?
- Mám nastavené primerané technické opatrenia (šifrovanie, prístupové práva)?
- Overujem výstupy AI pred použitím pre klienta?
Najjednoduchšie riešenie: lokálny AI
Ak vás GDPR compliance zaťažuje, existuje riešenie, ktoré väčšinu týchto otázok eliminuje jedným ťahom: AI model bežiaci lokálne, priamo vo vašej kancelárií.
✅ Lokálny AI a GDPR
- Žiadny prenos dát mimo kanceláriu → žiadna potreba DPA
- Žiadny prenos mimo EÚ → žiadne otázky o právnom základe
- Dáta zostávajú pod vašou výlučnou kontrolou
- GDPR splnené od prvého dňa, bez ďalšej dokumentácie
Technicky je to dnes reálne dostupné aj pre malé kancelárie — Mac Mini M4 s lokálnym AI modelom (napr. Qwen2.5) ponúka kvalitu porovnateľnú s cloudovými riešeniami pri nulových GDPR rizikách.
Záver
GDPR nevyžaduje, aby ste sa vzdali AI. Vyžaduje, aby ste vedeli, čo s vašimi dátami robíte. Pre advokátske kancelárie je lokálny AI najpriamočiarejšou cestou — žiadne DPA, žiadne prenosy, žiadne riziká.
Ak používate cloudové riešenie, minimálne si zabezpečte DPA, overte právny základ prenosu mimo EÚ a uistite sa, že dáta nie sú použité na tréning modelu.
Máte otázky na konkrétne riešenie pre vašu kanceláriu? Kontaktujte nás →