AI Officer a pověřenec pro ochranu osobních údajů

Zažíváme opravdový  boom umělé inteligence. Toto tvrzení není jenom módní frází, ale výstižným popisem reality. Umělá inteligence se během pár let posunula od prakticky málo využívané a širší veřejnosti neznámé technologie k běžnému nástroji, se kterým se setkávají miliony lidí každý den. Při práci, při studiu, při každodenních osobních aktivitách, při vyhledávání informací. 

Rychlý rozvoj umělé inteligence a dopad na ochranu dat

Pojďme si to ukázat na několika číslech. Podle analýz Microsoft AI Economy Institute v roce 2025 používá AI zhruba 16 % světové populace, což je na tak mladou technologii mimořádně rychlé rozšíření. Obchodní společnosti nezůstávají pozadu: Data OECD ukazují, že přibližně pětina podniků AI aktivně nasazuje a jejich počet rychle roste. A s tím souvisí i peníze. Globální trh s AI má podle další studie hodnotu kolem 390 miliard dolarů a každoročně roste o desítky procent. 

Z pohledu ochrany údajů je důležité dodat, že nástroje umělé inteligence, především jazykové modely, znamenají i nutnost aplikovat současnou regulaci na novou realitu. AI nástroje umožňují rychlejší a komplexnější zpracování dat, lépe hledají souvislosti a identifikují zdánlivě anonymizované osoby, mohou přispět k posílení a automatizaci kybernetické bezpečnosti, ale činí také dostupnějšími sofistikované metody útoků. Při nasazení nástrojů či prvků umělé inteligence by proto každá organizace měla vyhodnotit i to, jaký bude mít daný AI nástroj dopad na využití a ochranu dat, osobních i dalších, a na plnění souvisejících právních povinností. 

AI a právo

Jaké právní předpisy je při nasazování AI typicky nutné aplikovat?

1. Akt o umělé inteligenci, který obsahuje komplexní regulaci pravidel pro vývoj a využití AI, hodnocení rizikovosti konkrétního způsobu využití a související povinnosti dotčených subjektů. 

2. Při vývoji, tréninku, nasazení i průběžném monitoringu AI velmi často dochází ke zpracování osobních údajů, proto je nutné aplikovat i GDPR a další související předpisy upravující zpracování údajů, jako je směrnice ePrivacy.

3. Implementace AI systému do infrastruktury organizace má dopad na její provozní odolnost a kybernetickou bezpečnost. Proto by zapojení AI měla organizace také  řešit jak z pohledu obecné odpovědnosti, tak kyberbezpečnostní regulace, pokud na ni dopadá (NIS2, resp. nový zákon o kybernetické bezpečnosti, nařízení DORA, směrnice CER, resp. zákon o kritické infrastruktuře, nařízení CRA atd.), případně pokud to po ní jako po dodavateli vyžadují její zákazníci. 

4. Každá organizace by si měla vyhodnotit, jaké právní povinnosti jsou pro její způsob (use case) využití AI relevantní a které má řešit. Řešení těchto otázek je vhodné založit na rizikovosti daného způsobu využití AI.

5. Nasazení AI v určitém sektoru může podléhat dalším specifickým požadavkům, ať už zaměřeným na využití takovýchto nástrojů (například zdravotnictví a nařízení MDR a IVDR, nebo požadavky na dokumentovatelnost a auditovatelnost postupů podle finanční regulace) nebo jejich začlenění do výrobku nebo služby. 

6. Využití AI má také řadu soukromoprávních souvislostí, od otázek autorského práva a rizik spojených s využití konkrétního modelu a jeho výstupů, až po otázku odpovědnosti, pokud AI při komunikaci s koncovými klienty poskytne věcně nesprávnou odpověď (vč. spotřebitelské regulace, neboť koncovými uživateli mohou být často spotřebitelé). 

Každá organizace by si měla vyhodnotit, jaké právní povinnosti jsou pro její způsob (use case) využití AI relevantní a které má řešit. Řešení těchto otázek je vhodné založit na rizikovosti daného způsobu využití AI.

Dva přístupy k hodnocení rizik spojených s AI

Jak s pojmem riziko ve vztahu k AI pracuje dotčená regulace?

Je nutné zdůraznit rozdíl v přístupu k hodnocení rizik podle AI Actu a GDPR na jedné straně a podle předpisů v oblasti kybernetické bezpečnosti, kritické infrastruktury či obecně při řízení finančních, operačních či compliance rizik na straně druhé. Zatímco při “obvyklém” řízení rizik, např. kybernetických, finančních, právních atd., je závažnost rizika hodnocena z pohledu organizace (jak velké riziko hrozí organizaci), při hodnocení rizik z pohledu AI Actu a GDPR je riziko hodnoceno primárně z pohledu dotčené osoby a (hrozícího) zásahu do jejích práv. Jinými slovy, určitá činnost, nástroj nebo třeba bezpečnostní incident může být pro organizaci jako takovou jen málo rizikový, protože případný negativní vývoj nebo dopad organizaci zasáhne pouze v omezeném rozsahu, ale z pohledu AI Actu a GDPR se může jednat o vysoce rizikovou činnost, nástroj či incident, protože případný negativní dopad do práv byť jen několika málo fyzických osob může být značný. 

Při hodnocení rizikovosti AI a nastavování AI governance je nutné zohlednit oba tyto aspekty: Rizika spojená s (ne)implementací AI z pohledu organizace a rizika spojená s použitím AI nástroje pro konkrétní činnosti z pohledu dotčených osob. Nastavená pravidla (AI governance) by pak měla reagovat především na závažná rizika z obou těchto kategorií. 

Není AI Officer jako AI Officer

Řada organizací dnes přistupuje k zavádění umělé inteligenci koncepčně a pro tuto agendu jmenuje vyhrazenou osobu, nejčastěji pod označením AI Officer. Samotný krok je nepochybně správný, problém však nastává ve chvíli, kdy organizace dostatečně nereflektuje, jaký obsah má této roli přiřadit. 

Tuto pozici lze totiž pojmout dvěma zásadně odlišnými způsoby. V prvním pojetí jde o osobu, která využití AI v rámci společnosti prosazuje a rozvíjí, koordinuje její nasazení, podporuje jednotlivé útvary a metodicky řídí adopci AI napříč organizací. V druhém pojetí jde naopak o osobu, jejímž úkolem je využití AI kontrolovat a zajišťovat odpovědné nakládání s touto technologií, dohlížet na řízení souvisejících rizik a garantovat soulad s regulatorními požadavky. To se může týkat jak požadavků na poměrně robustní systém compliance u vysoce rizikových systémů, tak obecné povinnosti zajištění gramotnosti podle čl. 4 AI Act či plněním dalších právních povinností se zaváděním AI souvisejících. Takto nastavené role jsou však ve své podstatě protichůdné a sledují vzájemně neslučitelné cíle: zatímco první z nich směřuje k rychlé adopci a maximálnímu využití potenciálu AI, druhá vyžaduje obezřetnost, kritický odstup a důraz na řízení rizik souvisejících s adopcí AI. Sloučení obou agend do jedné funkce proto vede k faktickému střetu zájmů a upozadění jedné z obou rolí. 

Hovoříme-li o AI Officerovi jako o tom, kdo s jistou mírou nezávislosti nastavuje pravidla a kontroluje odpovědné využívání AI, nabízí se srovnání s rolí pověřence pro ochranu osobních údajů podle GDPR. Ostatně podobností mezi AI Actem a GDPR je více, například výše popsaný přístup k hodnocení rizik, nutnost zpracovávat dopadovou analýzu nové činnosti či procesu do soukromí (DPIA) nebo do základních práv (FRIA). 

S ohledem na výše uvedené je proto podle našeho názoru vhodné  role rozdělit. Jednu osobu pověřit rolí “AI evangelisty”, který bude rozvíjet zavádění AI v dané entitě, a jinou osobu rolí “AI governance/compliance officera”, který bude dohlížet na to, aby AI byla implementována korektně a za dodržení všech pravidel. Velká  většina firem ani úřadů nemá kapacity a ani prostředky na to, aby takovou rolí pověřila samostatného zaměstnance, pro kterého by to představovalo jeho jedinou či hlavní náplň činnosti, nehledě na to, že se nemusí jednat o práci na plný úvazek. Je pak třeba hledat, která osoba se může takové role ujmout tak, aby to nejen nenarušovalo její aktuální činnost, ale naopak vhodně doplňovalo a rozšiřovalo její kompetence. Logickým kandidátem na takovou funkci je právě pověřenec pro ochranu osobních údajů.

Kdo je a co dělá pověřenec pro ochranu osobních údajů?

Pověřencem pro ochranu osobních údajů je osoba jmenovaná správcem nebo zpracovatelem, jejímž úkolem je zejména poskytování poradenství ohledně otázek zpracování osobních údajů, interní školení ohledně pravidel GDPR, monitorování souladu s GDPR a spolupráce s dozorovým úřadem (v ČR je to Úřad pro ochranu osobních údajů ). Pověřenec nemusí být povinně jmenován všemi správci a zpracovateli, kterýkoliv z nich jej však může jmenovat dobrovolně. 

Okruh správců a zpracovatelů, kteří mají povinnost pověřence jmenovat, je definovaný v čl. 37 GDPR. Jedná se o organizace provádějící rozsáhlé zpracování osobních dat, organizace systematicky zpracovávající citlivé údaje (např. o zdravotním stavu) nebo veřejnoprávní subjekty. Je při tom možné očekávat, že právě subjekty, které budou povinny pověřence jmenovat, budou obvykle mezi prvními, kdo bude ve větším rozsahu zavádět i systémy umělé inteligence. 

Z hlediska dohledu nad korektním využíváním AI má pověřenec již v rámci definice jeho pozice podle GDPR řadu výhod. Předně je to jeho určitá nezávislosti na vnitřní struktuře dotčené organizace. Tu mu zajišťuje čl. 38 odst. 3 GDPR, podle nějž  jsou správce a zpracovatel povinni zajistit, aby pověřenec nedostával žádné pokyny týkající se výkonu jeho úkolů. Pověřenec je tak do značné míry nezávislým kontrolním bodem, který dbá na to, aby zpracování osobních údajů probíhalo zákonným způsobem a korektně. To je posíleno tím, že pověřenec musí mít možnost přímo reportovat vrcholovým řídícím pracovníkům správce nebo zpracovatele. Má tedy vždy přístup k vrcholovému vedení a může jej přímo upozorňovat na problematické aspekty zpracování, k nimž v dané entitě dochází.  Zároveň má také přístup k osobním údajům a operacím zpracování a “jeho” správce či zpracovatel  je povinen jej náležitě a včas zapojit do veškerých záležitostí souvisejících se zpracováním a ochranou osobních údajů (čl. 38 odst. 1 a 2). Neméně důležité je i to, že subjekty údajů se mohou na pověřence přímo obracet ve všech  záležitostech souvisejících se zpracováním jejich osobních údajů a výkonem jejich práv podle GDPR (čl. 38 odst. 4 GDPR). 

Pověřenec tak  v rámci modelu řízení rizik představuje klasický případ tzv. druhé linie obrany (po managementu samotném).

Zpracování osobních údajů, jak bylo výše řečeno, se přitom v dnešním světe prolíná celým chodem organizací. Pověřenec tak obvykle velmi dobře zná vnitřní procesy dané organizace, byť nejsou primárně zaměřeny na zpracování osobních údajů. Vedle toho je pro něj užití systému umělé inteligence (a strojového učení v širším pojetí) důležitým faktorem pro posuzování rizikovosti zpracování. I pro výkon samotné funkce pověřence je proto nezbytné pečlivě sledovat, zda v jakém rozsahu k využívání AI v jeho organizaci dochází.

Porovnání funkce DPO a AI governance officera

Pokusili jsme se obecně porovnat hlavní aspekty obou funkcí. Vždy je ale třeba mít na paměti, že v rámci sektorové či produktové regulace mohou být kladeny na dotčené procesy a osoby další nároky.

Právní základ funkce

DPO: Pozice je výslovně upravena v čl. 37–39 GDPR. Jmenuje se povinně v případech podle čl. 37 GDPR.

AI compliance officer / AI governance officer: Není výslovně regulovanou funkcí podle AI Actu. Je to interní compliance a governance role odvozená z povinností podle AI Actu (zejména v případě vysoce rizikových systémů) a obecné odpovědnosti organizace. 

Hlavní účel role

DPO: Nezávislé poradenství, školení, kontrola a monitorování souladu s GDPR; kontaktní místo pro dozorové úřady a subjekty údajů.

AI compliance officer / AI governance officer: Zajištění procesní, právní a případně také technické kontroly nad legálním a etickým nasazováním a používáním AI systémů. U vysoce rizikových systémů zajištění a řízení compliance vůči požadavkům AI Actu.

Hard skills – právo a compliance

DPO: GDPR a navazující národní předpisy, směrnice ePrivacy, monitoring zaměstnanců podle pracovního práva. Navazující předpisy týkající se spotřebitelského práva. Příslušná dotčená sektorová regulace. Kybernetická bezpečnost. AI act.

AI compliance officer / AI governance officer: AI Act, případná produktová či sektorová regulace. Navazující předpisy týkající se spotřebitelského práva, pracovního práva a v případě trénování také např. autorského práva. Kybernetická bezpečnost. GDPR a další předpisy týkající se ochrany osobních údajů.

Hard skills – technika

DPO: Praktické porozumění zpracovatelským operacím - tokům dat, architektuře systémů, bezpečnostním opatřením apod.

AI compliance officer / AI governance officer: Podobně jako DPO a navíc technické znalosti specifik fungování AI systémů: trénovací/validační/testovací data, předpojatost, specifická rizika AI, problém „black box“ apod. 

Hard skills – dokumentace

DPO: Schopnost vést a kontrolovat záznamy o činnostech zpracování, DPIA, balanční testy, smlouvy, záznamy o porušeních zabezpečení a interní politiky.

AI compliance officer / AI governance officer: Schopnost vést a kontrolovat evidenci a dokumentaci o využívaných AI nástrojích, smlouvy s dalšími zapojenými subjekty, FRIA a další interní politiky.

Soft skills

DPO: Nezávislost, schopnost formulovat nepříjemné závěry, komunikační schopnosti, dodržování mlčenlivosti, důvěryhodnost. Schopnost vést multidisciplinární dialog s dalšími odděleními.

AI compliance officer / AI governance officer: Podobně jako u DPO.

Postavení v organizaci

DPO: Musí být řádně a včas zapojen do všech otázek zpracování osobních údajů, musí mít zdroje a přístup k údajům a operacím, nesmí dostávat pokyny k výkonu úkolů, nesmí být za výkon funkce sankcionován a má možnost přímo reportovat nejvyššímu vedení.

AI compliance officer / AI governance officer: Podobně jako DPO s tím, že postavení není upraveno přímo právním předpisem.

Vztah k rozhodování

DPO: Poradenská a monitorovací funkce, nikoliv rozhodování o operacích zpracování.  Nutno zabránit střetu zájmů (čl. 38 odst. 6 GDPR).

AI compliance officer / AI governance officer: Díky absenci zákonného vymezení větší míra flexibility, která ale naráží minimálně u vysoce rizikových systémů na požadavky řádného řízení rizik a kvality zajišťování souladu s právními předpisy, z nichž lze vyvodit podobné požadavky jako u DPO, resp. obecně u kontrolních rolí (2. linie).

‍

Důležité je zdůraznit charakter obou governance systémů (jak podle GDPR, tak podle AI Act) jako obecných systémů compliance. Z toho vyplývá jejich procesní a metodická podobnost, ale i nutnost dodržovat obdobné požadavky, pokud se týká DPO/AI officera jako prvku druhé linie obrany. 

Zásadní se z tohoto pohledu jeví zabránění střetu zájmů. Pověřenec pro ochranu osobních údajů nemůže rozhodovat o zpracování osobních údajů, jeho účelu, rozsahu, době uchování údajů či nastavení zabezpečení, protože by objektivně nebyl schopen jej nezávisle, v roli DPO, zkontrolovat a ověřit jeho soulad s GDPR. Stejně tak pokud bude AI Officer (AI evangelista) nastavovat způsob využití AI v dané organizaci, koordinovat ho či o něm přímo rozhodovat, nemůže zároveň zastávat funkci toho, kdo využití AI nezávisle kontroluje a zajišťuje její legální a etické využití. 

Z výše uvedené tabulky je při tom zcela zřejmé, že v řadě případů se budou úkoly DPO a AI officera překrývat či minimálně vhodně doplňovat. Totéž lze do velké míry říci o nutných znalostech (hard skills) a schopnostech (soft skills). U řady organizací, které budou chtít zajistit AI compliance, tak bude úvaha, zda funkcí AI officera nepověřit svého DPO, jasnou první volbou. Samozřejmě lze nalézt příklady, kdy bude vhodnější tyto funkce oddělit, zejména tam, kde by z praktických či časových důvodů nebyl DPO schopen funkci AI officera řádně vykonávat. Z obecného, resp. koncepčního pohledu se však propojení těchto agend (monitoring souladu s GDPR a monitoring legálního a etického využití AI) jeví jako vhodné a výhodné i pro organizaci samotnou.

Překážky spojení obou funkcí

Pro úplnost ještě zmíníme, že neexistují zákonné překážky pro souběh těchto funkcí. Právní předpisy výslovně neupravují, zda je možné současně vykonávat funkci DPO a AI officera. GDPR upravuje souběh funkcí v rámci úpravy střetu zájmů v čl. 38 odst. 6 GDPR, který stanoví: “Pověřenec pro ochranu osobních údajů může plnit i jiné úkoly a povinnosti. Správce nebo zpracovatel zajistí, aby žádné z těchto úkolů a povinností nevedly ke střetu zájmů.“ AI Act nestanoví výslovně žádné překážky, ale ani výslovně nepředpokládá souběh těchto funkcí. Spíše vychází z paralelní aplikace GDPR, jehož pravidla musí být za všech okolností dodržena.

Nicméně při dodržení limitů podle čl. 38 odst. 6 GDPR (které jsou dány zejména samotným nastavením funkce AI officera) lze vycházet z toho, že neexistuje žádná překážka, jež by bránila souběžnému výkonu obou funkcí. 

Pro ilustraci příkladů střetu zájmů DPO odkazujeme na pokyny týkající se pověřenců pro ochranu osobních údajů vydané pracovní skupinou WP29 (a potvrzené Evropským sborem pro ochranu osobních údajů, EDPB):

“Obecně platí, že pozice v rámci organizace, které by mohly vést ke střetu zájmů, mohou zahrnovat pozice vedoucího pracovníka (jako například generální ředitel, vedoucí provozní pracovník, finanční ředitel, ředitel oddělení zdravotnictví, vedoucí marketingového oddělení, vedoucí oddělení lidských zdrojů nebo vedoucí oddělení IT), ale také další úlohy nacházející se v organizační struktuře níže, vedou-li tyto pozice a úlohy k určování účelů a prostředků zpracování. Kromě toho může ke střetu zájmů dojit rovněž například tehdy, je-li externí pověřenec pro ochranu osobních údajů požádán, aby správce nebo zpracovatele zastupoval před soudy v případech týkajících se otázek ochrany osobních údajů.

V závislosti na činnostech, velikosti a struktuře organizace může být pro správce nebo zpracovatele osvědčeným postupem:

- identifikovat pozice, které by byly neslučitelné s funkcí pověřence pro ochranu osobních údajů,

- vypracovat za tímto účelem vnitřní pravidla, aby nedocházelo ke střetům zájmů,

- zahrnout obecnější vysvětlení týkající se střetů zájmů,

- učinit prohlášení, že jejich pověřenec pro ochranu osobních údajů není v žádném střetu zájmů

- v souvislosti s funkcí pověřence pro ochranu osobních údajů jako způsob zvyšování

- informovanosti o tomto požadavku,

- začlenit do vnitřních pravidel organizace záruky a zajistit, aby oznámení o volném pracovním místě na pozici pověřence pro ochranu osobních údajů nebo smlouva o poskytování služeb  byly dostatečně přesné a podrobné, a tím se předešlo střetu zájmů. V této souvislosti je rovněž třeba mít na paměti, že střety zájmů mohou mít různé podoby v závislosti na tom, zda je pověřenec pro ochranu osobních údajů přijímán interně nebo externě.”

Závěr

Úkoly DPO a AI officera (jako kontrolní funkce) se často doplňují či přímo překrývají, byť nejsou zcela identické. Stejně tak by osoby zastavájící tyto dvě funkce měly disponovat podobnými znalostmi a schopnostmi. Pokud organizace má kvalitního a zkušeného DPO, má tím pádem k dispozici osobu, která umí zavádět a udržovat compliance procesy, řídit data governance, rizika pro dotčené osoby, kontrolovat a hodnotit automatické zpracování dat a kontrolovat smlouvy s dodavateli, kteří se podílejí na (automatizovaném) zpracování dat. Zároveň je to osoba, která má znalosti o fungování dané organizace a často je to jedna z mála osob, která má komplexní přehled o procesech a toku dat v dané organizaci.

Byla by proto škoda, pokud by při nastavování efektivního AI compliance procesu nebylo zváženo zapojení DPO jako AI officera či součásti širšího týmu odpovědného za AI governance. Zvláště v podmínkách České republiky, kde máme chronický nedostatek odborníků zaměřených na zpracování dat a jejich ochranu při tomto zpracování a bohužel také nedostatek finančních zdrojů na obsazování compliance funkcí, bude často DPO ideální volbou pro obsazení funkce odpovědné za dodržování souladu s AI Actem.

‍

‍

‍