Vyšlo v č. 7/2026
...Současně však jejich využívání přináší významná právní a bezpečnostní rizika, zejména v oblasti ochrany osobních údajů. Podívejme se na používání veřejně dostupných AI aplikací třetích stran ve veřejné správě a na limity, které jejich nasazení stanoví GDPR.

V největší obecnosti můžeme rozlišit dvě úrovně využívání AI. První představuje používání běžně dostupných chatovacích AI aplikací třetích stran, druhou pak sofistikovanější využívání AI nástrojů přizpůsobených potřebám konkrétního orgánu veřejné moci. V tomto článku se zaměříme na první kategorii, tedy na aplikace, které nejsou provozovány v lokálním prostředí správce a nad nimiž orgán veřejné moci nevykonává žádnou kontrolu. Jedná se například o ChatGPT, Gemini, Claude, Grok, Sonar 2 nebo DeepSeek.
Kdy je využívání chatbotů bezproblémové?
V první řadě je třeba uvést, že využívání takových aplikací pro rešerše a vyhledávání obecných informací, které nejsou osobními údaji, je z hlediska ochrany osobních údajů bezproblémové. Je však nutné mít na paměti, že tyto aplikace jsou navrženy tak, aby uživateli poskytly odpověď prakticky na jakýkoli dotaz. Mohou proto v různé míře vytvářet nepřesné či zcela smyšlené informace, tzv. halucinace. Poskytnuté informace je proto vždy nutné ověřovat. Pokud však AI slouží pouze jako nástroj pro vyhledávání obecných informací a nejsou do ní zadávány osobní údaje ani jiné neveřejné informace, nepředstavuje její využívání z pohledu GDPR zásadní problém.
Osobní údaje jako hranice přípustného využití
Výrazně problematičtější je situace, kdy jsou při výkonu úřední činnosti do takové aplikace nahrány osobní údaje. Takové jednání totiž může z pohledu GDPR představovat porušení povinností stanovených tímto nařízením. Nejprve je třeba připomenout, co osobní údaje jsou. Podle čl. 4 bodu 1 GDPR se jedná o veškeré informace o identifikované nebo identifikovatelné fyzické osobě. V praxi lze zjednodušeně říct, že osobním údajem je jakákoli informace vztahující se k žijící fyzické osobě, kterou lze přímo nebo nepřímo identifikovat. Při takto široké definici je nutné velmi pečlivě zvažovat, jaké informace jsou do chatovacích AI aplikací zadávány. Nejde pouze o zjevné identifikátory, jako jsou jméno, příjmení, rodné číslo nebo adresa bydliště. Osobním údajem může být rovněž IP adresa, e-mailová adresa, telefonní číslo nebo další údaje, které umožňují identifikaci konkrétní osoby.
Ztráta kontroly nad vloženými daty
Hlavním problémem z pohledu ochrany osobních údajů je skutečnost, že po nahrání údajů do externí AI aplikace orgán veřejné moci zpravidla ztrácí nad těmito údaji kontrolu. Reálně ani nemusí být možné zajistit jejich úplný výmaz. Pokud nejsou deaktivovány funkce využívající uživatelská data k dalšímu trénování modelu, mohou být vložené údaje zahrnuty do datových souborů, se kterými systém dále pracuje. Ještě závažnější může být skutečnost, že některé aplikace mohou data uchovávat ve strukturované podobě pro další využití. To s sebou nese nejen otázky zákonnosti zpracování, ale také riziko případného zneužití.
Digitální stopa a nové možnosti zneužití dat
O téměř každé žijící osobě dnes existuje značné množství digitálních informací. Patří mezi ně například údaje zveřejněné na sociálních sítích, historie prohlížení internetu nebo nákupní historie. Souhrn těchto informací vytváří digitální stopu jednotlivce. Každý další údaj může tuto digitální stopu doplnit natolik, že vznikne velmi přesný obraz konkrétní osoby. Současně dochází k mimořádně rychlému rozvoji AI technologií, zatímco legislativa za tímto vývojem často zaostává. V kombinaci s tlakem na rychlé uvádění nových AI produktů na trh může docházet k situacím, kdy ochranné mechanismy nejsou dostatečně robustní. Právě proto je nezbytné pečlivě zvažovat, jaké informace jsou do AI aplikací zadávány, a to nejen při výkonu úřední činnosti, ale i při jejich soukromém využívání.
Možné porušení GDPR při využívání AI aplikací
Samotné nahrání osobních údajů do externí chatovací AI aplikace může představovat porušení několika ustanovení GDPR. V první řadě často nebude existovat odpovídající právní titul podle čl. 6 GDPR, který je nezbytnou podmínkou každého zpracování osobních údajů. Dále může dojít k porušení povinností souvisejících s transparentností zpracování, neboť nahráním údajů do AI aplikace dochází k jejich zpřístupnění dalšímu příjemci. Správce osobních údajů přitom musí informovat subjekty údajů o příjemcích nebo kategoriích příjemců osobních údajů podle čl. 13 odst. 1 písm. e) GDPR. V teoretické rovině může být dotčena rovněž povinnost zajistit odpovídající zabezpečení osobních údajů podle čl. 32 GDPR. Je proto třeba důrazně varovat před zadáváním osobních údajů při výkonu úřední činnosti do veřejně dostupných chatovacích AI aplikací. Tyto nástroje lze využívat i bez osobních údajů, a přesto těžit z jejich schopnosti usnadnit výkon řady agend. ■
Datum vložení:
8. 7. 2026 11:39
Autor:
Marika Vitnerová