Preskočiť na obsah
12.1Pokročilý8 min

Sprostredkovanie spracúvania podľa čl. 28 GDPR s poskytovateľmi AI: Sprievodca zmluvou o spracúvaní

Blck Alpaca·
Definition

Zmluva o sprostredkovaní spracúvania (AVV/DPA) podľa čl. 28 GDPR je povinná, akonáhle poskytovateľ AI spracúva osobné údaje na základe pokynov vo váš prospech – napríklad cez prompty, embeddingy alebo logy. Záväzne upravuje viazanosť pokynmi, bezpečnosť, ďalších sprostredkovateľov, kontrolné práva a vymazanie pri skončení zmluvy.

Key Takeaways

  • Zmluva o sprostredkovaní spracúvania podľa čl. 28 GDPR je povinná, akonáhle poskytovateľ AI spracúva osobné údaje (prompty, inferenčné vstupy/výstupy, pamäť agenta, payloady volaní nástrojov, logy, vektorové úložiská) ako sprostredkovateľ pre prevádzkovateľa.
  • Čl. 28 ods. 3 písm. a–h predpisuje osem minimálnych obsahov – viazanosť pokynmi, dôvernosť, bezpečnosť podľa čl. 32, úpravu ďalších sprostredkovateľov, pomoc pri právach dotknutých osôb, súčinnosť pri bezpečnosti/oznamovaní/DPIA, ako aj vymazanie a kontrolné práva.
  • Veľkí poskytovatelia (Microsoft, OpenAI, Anthropic, Google, AWS) ponúkajú štandardné DPA so zmluvným prísľubom „žiadny tréning" pre podnikové/API údaje – ide o zmluvné prísľuby, nie zákonné predvolené nastavenia, a vyhradzujú si úzke vlastné účely (monitorovanie zneužitia, bezpečnosť).
  • Moderní agenti vytvárajú 5- až 8-stupňové kaskády ďalších sprostredkovateľov (model, cloud, vektorové úložisko, pamäť, MCP server, observability) – každý stupeň potrebuje bezmedzerový reťazec zmlúv podľa čl. 28 ods. 4.
  • Najčastejšie zistenia auditu: nezdokumentované MCP toky, poskytovatelia observability bez zmluvy o spracúvaní, vágne opisy „AI služieb" a konflikty pri uchovávaní logov (poskytovateľ 30 dní vs. želaných 7 dní).
  • Porušenia čl. 28 spadajú pod rámec pokút GDPR až do 20 mil. EUR alebo 4 % celosvetového ročného obratu – konanie Garante proti OpenAI (15 mil. EUR, rozhodnutie 2. novembra 2024) ukazuje prax presadzovania.

Zmluva o sprostredkovaní spracúvania (AVV; anglicky DPA, Data Processing Agreement) podľa čl. 28 GDPR je povinná, akonáhle poskytovateľ AI spracúva osobné údaje na základe pokynov vo váš prospech. Pri AI agentoch je to prakticky vždy: prompty, inferenčné vstupy a výstupy, pamäť agenta, payloady volaní nástrojov, logy a vektorové úložiská priebežne prenášajú väzbu na osobu. Zmluva o spracúvaní záväzne upravuje, čo poskytovateľ s týmito údajmi smie robiť – a čo nie.

Tri najdôležitejšie odpovede na úvod:

  • Povinnosť zmluvy o spracúvaní vzniká pri viazanosti pokynmi. Ak poskytovateľ sám neurčuje účel a podstatné prostriedky, je sprostredkovateľom podľa čl. 4 bodu 8 GDPR – a zmluva o spracúvaní je zákonom predpísaná.
  • Osem minimálnych obsahov nie je predmetom vyjednávania. Čl. 28 ods. 3 písm. a–h definuje povinný kánon; pri AI pribúdajú doložky špecifické pre poskytovateľa (žiadny tréning, mapa ďalších sprostredkovateľov, dátová rezidencia, uchovávanie logov).
  • Reťazec musí byť bezmedzerový. Každý ďalší sprostredkovateľ v typickej 5- až 8-stupňovej kaskáde agenta potrebuje podľa čl. 28 ods. 4 vlastnú, rovnocennú viazanosť.

Prevádzkovateľ alebo sprostredkovateľ? Zaradenie poskytovateľa AI

Podľa čl. 4 bodu 7/8 GDPR a usmernení EDPB 7/2020 prevádzkovateľ určuje účely a podstatné prostriedky spracúvania; sprostredkovateľ koná na zdokumentovaný pokyn. Zaradenie poskytovateľa AI závisí od troch otázok:

  • Kto určuje účely? Ak poskytovateľ používa prompty na zlepšenie vlastných modelov, pre tento účel sa dostáva do role prevádzkovateľa.
  • Kto určuje podstatné prostriedky? Technické prostriedky smie zvoliť sprostredkovateľ; podstatné prostriedky zostávajú u prevádzkovateľa.
  • Praktické kotviace body: používanie tréningových údajov, výber ďalších sprostredkovateľov, predvolené nastavenia uchovávania, prístup na monitorovanie zneužitia.

Väčšina podnikových zmlúv (Microsoft Azure OpenAI, OpenAI Enterprise/API, Anthropic Claude for Work/Enterprise, Google Vertex AI, AWS Bedrock, Mistral, Aleph Alpha) je nastavená ako konštelácia prevádzkovateľ-k-sprostredkovateľovi – s výslovným prísľubom netrénovať na zákazníckych údajoch. Dôležité: ide o zmluvné prísľuby, nie zákonné minimálne štandardy. Poskytovatelia si zvyčajne vyhradzujú úzke práva (monitorovanie zneužitia, kontrola bezpečnosti, agregované analýzy), pri ktorých môžu pre tieto obmedzené účely sami vystupovať ako prevádzkovateľ.

Osem povinných obsahov podľa čl. 28 ods. 3 GDPR

Účinná zmluva o spracúvaní musí upravovať tieto body:

  • (a) predmet, trvanie, povaha, účel spracúvania, druhy údajov, kategórie dotknutých osôb, ako aj povinnosti a práva prevádzkovateľa.
  • (b) spracúvanie výlučne na zdokumentovaný pokyn.
  • (c) záväzok dôvernosti nasadeného personálu.
  • (d) bezpečnostné opatrenia podľa čl. 32.
  • (e) úprava ďalších sprostredkovateľov (povolenie podľa čl. 28 ods. 2, oznamovanie zmien).
  • (f) pomoc pri plnení práv dotknutých osôb.
  • (g) súčinnosť pri bezpečnosti, oznamovaní porušenia ochrany údajov a DPIA (čl. 32–36).
  • (h) vymazanie alebo vrátenie údajov na konci plnenia, ako aj kontrolné a audítorské práva.

Pre poskytovateľov AI je navyše potrebné vyjednať tieto doložky: žiadny tréning/fine-tuning modelov poskytovateľa na zákazníckych údajoch bez výslovného súhlasu; žiadna ľudská kontrola promptov/výstupov okrem definovaných ciest bezpečnosti/zneužitia s protokolovaným prístupom; mapa ďalších sprostredkovateľov s pomenovanými subjektmi, lokalitou, funkciou a ďalšími pod-sprostredkovateľmi; prísľuby dátovej rezidencie (EU Data Boundary, Swiss-DPF); konfigurovateľné uchovávanie logov vrátane režimov nulového uchovávania údajov; oznamovanie zmien tréningovej politiky s možnosťou opt-out; ako aj zodpovednosť za porušenia ďalších sprostredkovateľov podľa čl. 28 ods. 4.

Viazanosť pokynmi, ďalší sprostredkovatelia a kontrolné práva

Viazanosť pokynmi (písm. b) je jadrom: poskytovateľ smie spracúvať osobné údaje len tak, ako mu to zdokumentovane prikážete. Každá svojvoľná zmena účelu – napríklad zlepšenie modelu z vašich promptov – opúšťa rámec sprostredkovania spracúvania.

Pri ďalších sprostredkovateľoch vzniká najväčšia praktická náročnosť. Moderné nasadenie agenta zvyčajne zahŕňa päť- až osemstupňovú kaskádu:

  1. poskytovateľ foundation modelu (OpenAI, Anthropic, Mistral, Aleph Alpha, Google, Cohere)
  2. poskytovateľ hostingu/cloudu (Azure, AWS, GCP, IONOS, STACKIT, Swisscom, Open Telekom Cloud)
  3. runtime orchestračného/agentového frameworku
  4. vektorové úložisko/RAG infraštruktúra (Pinecone, Weaviate, Qdrant, Milvus, pgvector)
  5. poskytovateľ pamäte (mem0, Letta, vlastné)
  6. MCP server (každý externý server je podľa toku údajov sprostredkovateľom alebo prevádzkovateľom)
  7. observability (Langfuse, LangSmith, Helicone, Datadog)
  8. služby evaluácie/red-team

Pre každý stupeň musí nasadzovateľ overiť, že existuje zmluva o spracúvaní, že reťazec podľa čl. 28 ods. 4 je neprerušený a že prísľuby dátovej rezidencie sú konzistentné. Najčastejšie zistenia auditu: nezdokumentované toky MCP serverov, poskytovatelia observability bez zmluvy o spracúvaní a evaluačné služby, ktoré zbierajú stopy promptov.

Pri kontrolných právach (písm. h) sú samotné vzory „len súhrnná správa" nedostatočné, akonáhle sú dotknuté vysoko rizikové údaje. BfDI, BayLDA, HmbBfDI a NRW LDI rutinne požadujú zmluvu o spracúvaní plus konkrétnu konfiguráciu telemetrie, opt-out z tréningu a nastavenia regiónu.

Stav DPA veľkých poskytovateľov (stav máj 2026)

Nasledujúca tabuľka je súhrn rešerše so stavom k 14. máju 2026, nie právne poradenstvo; podmienky poskytovateľov sa často menia a pri uzatváraní zmluvy musia byť znovu validované.

Poskytovateľ

Štandardné DPA / zmluva o spracúvaní

„Žiadny tréning na zákazníckych údajoch"?

Dátová rezidencia EÚ/CH

Predvolené uchovávanie

Microsoft 365 Copilot / Azure OpenAI

Microsoft Products and Services DPA

Áno, zmluvne: prompty, completions, embeddingy, fine-tuning údaje sa bez výslovného pokynu nepoužívajú na tréning modelu; modely Anthropic v M365 Copilot (od jan 2026) vyňaté z EU Data Boundary

Prísľub EU Data Boundary (uchovávanie/spracúvanie v regióne); fine-tuning prípadne medziregionálne

Konfigurovateľné; predvolene v rámci tenanta; logy monitorovania zneužitia do 30 dní, pokiaľ nie sú odvolané

OpenAI API (Enterprise/Business/API)

OpenAI DPA (účinné od 1. jan 2026; OpenAI Ireland Ltd ako zmluvný partner pre EHP/CH)

Áno: API a ChatGPT Enterprise/Team zákaznícke údaje sa štandardne nepoužívajú na tréning

EÚ dátová rezidencia pre oprávnené Enterprise/Edu kontá a určité API nastavenia; inak globálne smerovanie

API údaje max. 30 dní; Enterprise počas trvania zmluvy; nulové uchovávanie údajov zmluvne dostupné

Anthropic Claude for Work/Enterprise/API

Anthropic Commercial Terms + DPA

Áno: komerčné vstupy/výstupy sa štandardne nepoužívajú na tréning (Consumer tier odlišne, nie Enterprise)

Priame API „us"/„global"; EÚ rezidencia cez AWS Bedrock EU alebo Google Vertex AI EU

API logy: 7 dní (od 14. sept 2025, predtým 30); ZDR cez DPA

Google Vertex AI (Gemini, Claude on Vertex)

Google Cloud DPA + Vertex AI Terms

Áno: zákaznícke údaje sa nepoužívajú na tréning modelov Google ani tretích strán

EÚ regionálne endpointy (10 EÚ regiónov pre Claude on Vertex); garancia regiónu

Konfigurovateľné; krátke predvolené nastavenie

AWS Bedrock (Anthropic, Meta, Mistral, Cohere, Amazon)

AWS GDPR DPA + Service Terms

Áno: prompty/výstupy sa nepoužívajú na tréning modelov poskytovateľov; modely izolované od služieb poskytovateľov

EÚ regióny; European Sovereign Cloud (eusc-de-east-1, jan 2026) – Claude tam zatiaľ nedostupný

Konfigurovateľné; Bedrock štandardne nezaznamenáva prompty/výstupy

Sovereign alternatívy s nemeckým/švajčiarskym právom zmluvy o spracúvaní (Aleph Alpha Pharia, IONOS AI Model Hub, STACKIT, T-Systems Open Telekom Cloud, Swisscom Sovereign AI) ponúkajú výlučné spracúvanie v DE/EÚ, resp. CH a uchovávanie kontrolované zo strany zákazníka. DeepSeek sa pre regulované sektory v regióne DACH neodporúča z dôvodu jurisdikcie PRC a informačnej žiadosti Garante (január 2025).

Časté chyby v zmluvách o spracúvaní pri AI projektoch

  • Vágne opisy spracúvania („AI služby" namiesto konkrétnych modelov, promptov, embeddingov, fine-tuningu).
  • Neaktuálne zoznamy ďalších sprostredkovateľov – chýbajú MCP servery a poskytovatelia observability.
  • Slabé audítorské práva pri vysoko rizikových údajoch.
  • Nejednoznačnosť tréningových údajov – „Netrénujeme na vašich údajoch" sa zmiešava s „Smieme ich použiť na bezpečnosť/zlepšenie".
  • Konflikty pri uchovávaní logov – uchovávanie u poskytovateľa prekračuje vlastnú politiku (napr. 30 dní vs. želaných 7 dní).
  • Cezhraničné smerovanie bez výslovného určenia rezidencie.
  • Chýbajúca upstream due diligence v rozpore so stanoviskom EDPB 28/2024 (preverenie zákonnosti predradených tréningových údajov).

Kontrolný zoznam pre zmluvu o spracúvaní

Príklad s číslami: zavedenie Copilota v stredne veľkej firme

Firma s 800 zamestnancami zavádza Microsoft 365 Copilot a chatbota zákazníckeho servisu na Azure OpenAI. Existujú tým minimálne dve hlavné zmluvy o spracúvaní (Microsoft, OpenAI/Azure) plus reťazec ďalších sprostredkovateľov. Konkrétne treba preveriť: Microsoft Products and Services DPA v platnosti, zdokumentovaný tok Anthropic-ako-subprocesor (Anthropic od začiatku 2026 vyňatý z EU Data Boundary – opt-in/-out zo strany nasadzovateľa); zoznam ďalších sprostredkovateľov Azure OpenAI (stav apríl 2025) integrovaný do záznamu o spracovateľských činnostiach; zmapované všetky toky MCP/konektorov; logy monitorovania zneužitia obmedzené na maximálne 30 dní, údaje OpenAI API na 30 dní, logy Anthropic API na 7 dní. Riziko pri opomenutí: porušenia čl. 28 spadajú pod rámec pokút GDPR až do 20 mil. EUR alebo 4 % celosvetového ročného obratu. Pri obrate 50 mil. EUR by to teoreticky bolo až 2 mil. EUR. Že dozorný orgán zasahuje, ukazuje konanie Garante proti OpenAI: pokuta 15 mil. EUR (rozhodnutie 2. novembra 2024, zverejnené 20. decembra 2024) okrem iného pre chýbajúci právny základ a nedostatočnú transparentnosť.

Pre agentúry a B2B rozhodovateľov

Kto buduje AI agentov pre zákazníkov alebo ich nasadzuje vo firme, mal by preverenie zmluvy o spracúvaní vtiahnuť do procesu obstarávania včas – nie až pri podpise zmluvy. Pre agentúry je čisté mapovanie ďalších sprostredkovateľov (model, cloud, vektorové úložisko, MCP, observability) konkrétnym diferenciačným znakom oproti konkurentom, ktorí „AI služby" zmluvne zobrazujú paušálne. Blck Alpaca podporuje firmy v regióne DACH pri preskúmaní zmluvy o spracúvaní, mapovaní ďalších sprostredkovateľov a prepojení so záznamom o spracovateľských činnostiach.

Poznámka: Tento príspevok slúži na odbornú orientáciu a nepredstavuje právne poradenstvo. Pre záväzné posúdenie vášho konkrétneho nasadenia si prosím vyžiadajte kvalifikovaný právny názor. Všetky údaje a informácie o poskytovateľoch sú v stave máj 2026, s výhradou zmeny.

Často kladené otázky

Kedy potrebujem zmluvu o spracúvaní s poskytovateľom AI?
Akonáhle poskytovateľ AI spracúva osobné údaje na základe pokynov vo váš prospech a pritom sám neurčuje účely a podstatné prostriedky – teda koná ako sprostredkovateľ v zmysle čl. 4 bodu 8 GDPR. Pri AI agentoch je to prakticky vždy, pretože prompty, inferenčné vstupy a výstupy, pamäť agenta, payloady volaní nástrojov, logy a vektorové úložiská prenášajú osobné údaje. Väčšina podnikových zmlúv (Microsoft Azure OpenAI, OpenAI Enterprise/API, Anthropic Claude for Work, Google Vertex AI, AWS Bedrock) je nastavená ako konštelácia prevádzkovateľ-k-sprostredkovateľovi a vyžaduje zmluvu o spracúvaní.
Aké minimálne obsahy musí obsahovať zmluva o spracúvaní podľa čl. 28 ods. 3 GDPR?
Osem bodov: (a) predmet, trvanie, povaha, účel, druhy údajov, kategórie dotknutých osôb, ako aj povinnosti a práva prevádzkovateľa; (b) spracúvanie len na zdokumentovaný pokyn; (c) záväzok dôvernosti personálu; (d) bezpečnostné opatrenia podľa čl. 32; (e) úprava ďalších sprostredkovateľov (povolenie podľa čl. 28 ods. 2, oznamovanie zmien); (f) pomoc pri právach dotknutých osôb; (g) súčinnosť pri bezpečnosti, oznamovacích povinnostiach a DPIA (čl. 32–36); (h) vymazanie alebo vrátenie údajov pri skončení zmluvy, ako aj kontrolné a audítorské práva.
Stačí prísľub „Netrénujeme na vašich údajoch"?
Nie, je nutný, ale nie postačujúci. Ide o zmluvný prísľub, nie zákonné predvolené nastavenie. Poskytovatelia si zvyčajne vyhradzujú úzke vlastné účely – monitorovanie zneužitia, kontrolu bezpečnosti, agregované analýzy – pri ktorých môžu pre tieto obmedzené účely vystupovať ako prevádzkovateľ. Dbajte na ostro oddelenú formuláciu: „Netrénujeme" sa nesmie zmiešavať s „Smieme údaje použiť na bezpečnosť/zlepšenie". Navyše stanovisko EDPB 28/2024 (prijaté 17. decembra 2024) vyžaduje od nasadzovateľa due diligence k zákonnosti predradených tréningových údajov poskytovateľa.
Musím každého ďalšieho sprostredkovateľa preverovať jednotlivo?
Áno. Podľa čl. 28 ods. 4 musí byť reťazec zmlúv o spracúvaní bezmedzerový – každý ďalší sprostredkovateľ musí podliehať rovnakým povinnostiam ochrany údajov ako hlavný sprostredkovateľ. Typická architektúra agenta zahŕňa päť- až osemstupňovú kaskádu: foundation model, hosting/cloud, orchestrácia, vektorové úložisko, poskytovateľ pamäte, MCP server, observability a evaluácia. Najčastejšími zisteniami auditu sú nezdokumentované toky MCP serverov, poskytovatelia observability bez zmluvy o spracúvaní a evaluačné služby, ktoré zbierajú stopy promptov.
Čo sa stane s údajmi v USA – stačí zmluva o spracúvaní?
Samotná zmluva o spracúvaní nestačí na prenosy do tretích krajín. Navyše je potrebný základ pre prenos podľa kapitoly V GDPR: EU-US Data Privacy Framework (rozhodnutie o primeranosti z 10. júla 2023, potvrdené Súdom EÚ 3. septembra 2025 vo veci Latombe; odvolanie na Súdnom dvore EÚ prejednávané od 31. októbra 2025 – stav 2026, s výhradou zmeny) alebo štandardné zmluvné doložky plus posúdenie vplyvu prenosu. Odporúčanie: preveriť certifikáciu DPF, ale ponechať SCC ako záložné riešenie a zdokumentovať TIA, keďže Garante a CNIL v roku 2025 naďalej odporúčajú dvojité zabezpečenie. Pre región DACH ponúkajú EU dátová rezidencia a možnosti sovereign cloud menej rizikové alternatívy.

Ísť hlbšie?

Získajte nové analýzy priamo do schránky – alebo sa pozrite, ako tieto poznatky nasadzujeme pre firmy.

Odoberať newsletterNaše služby
NextPrávny základ GDPR pre AI agentov (čl. 6): Kedy sa hodí súhlas, zmluva alebo oprávnený záujem