GDPR jako příležitost, ne překážka
Pro AI startupy je dodržování GDPR často vnímáno jako byrokratická zátěž brzdící inovace. Ve skutečnosti je tomu naopak — dobře nastavená ochrana dat od počátku (privacy by design) šetří náklady, buduje důvěru investorů a zákazníků a usnadňuje pozdější škálování na evropském trhu.
V roce 2026, kdy je AI Act plně v účinnosti, je GDPR compliance neodmyslitelnou součástí životaschopné AI strategie.
Krok 1: Identifikujte osobní údaje ve vašem AI pipeline
Prvním krokem je důkladné zmapování, kde ve vašem produktu a procesech dochází ke zpracování osobních údajů:
- Trénovací data — obsahují osobní údaje? Odkud pocházejí? Máte právní základ pro jejich použití?
- Vstupní data (inference) — zpracovává váš model osobní údaje uživatelů při generování výstupů?
- Výstupní data — mohou výstupy vašeho modelu obsahovat osobní údaje, ať už memorované nebo generované?
- Metadata a logy — jaké údaje o uživatelích ukládáte při provozu služby?
Krok 2: Stanovte právní základ
Pro každé zpracování osobních údajů musíte identifikovat právní základ podle článku 6 GDPR. Pro AI startupy jsou nejrelevantnější:
Souhlas — vhodný pro B2C produkty, kde uživatel aktivně vkládá svá data. Pamatujte, že souhlas musí být svobodný — nesmíte podmiňovat přístup ke službě udělením souhlasu se zpracováním, které není nezbytné.
Plnění smlouvy — pokud je zpracování osobních údajů nezbytné pro poskytování služby, kterou si zákazník objednal.
Oprávněný zájem — vyžaduje provedení balančního testu. Pro trénování modelů na datech třetích stran je tento základ problematický.
Krok 3: Privacy by design od prvního řádku kódu
- Implementujte minimalizaci dat — zpracovávejte pouze údaje nezbytně nutné pro funkčnost produktu.
- Pseudonymizujte nebo anonymizujte data co nejdříve v pipeline.
- Nastavte automatické mazání dat po uplynutí doby uchovávání.
- Implementujte šifrování dat v klidu i při přenosu.
- Navrhněte API pro výkon práv subjektů údajů (export, výmaz) od počátku.
Krok 4: Dokumentace a governance
I malý startup musí mít základní dokumentaci:
- Záznamy o činnostech zpracování (článek 30).
- Informace pro subjekty údajů (privacy policy).
- Smlouvy se zpracovateli (hosting, analytika, třetí strany).
- DPIA pro zpracování s vysokým rizikem.
- Postup pro řešení bezpečnostních incidentů.
Krok 5: AI Act compliance
Pokud váš produkt spadá do kategorie vysoce rizikového AI systému (nábor, credit scoring, zdravotnictví, vzdělávání), budete muset splnit i požadavky AI Actu — systém řízení kvality, technická dokumentace, posouzení shody a registrace v EU databázi. Propojte GDPR a AI Act compliance do jednoho integrovaného programu — ušetříte čas i prostředky.
GDPR24 tým
Specialisté na ochranu osobních údajů