Preskočiť na obsah
12.8Pokročilý7 min

Prenos do tretích krajín do USA: Data Privacy Framework a AI

Blck Alpaca·
Definition

EU-US Data Privacy Framework (DPF) je rozhodnutie Európskej komisie o primeranosti platné od 10. júla 2023, na základe ktorého možno prenášať osobné údaje certifikovaným americkým spoločnostiam. Pre AI agentov s americkými poskytovateľmi je v súčasnosti hlavným, no právne napadnutým základom prenosov do tretích krajín podľa kapitoly V GDPR.

Key Takeaways

  • EU-US Data Privacy Framework platí od 10. júla 2023 ako rozhodnutie o primeranosti; Všeobecný súd EÚ (EuG) ho 3. septembra 2025 vo veci Latombe (T-553/23) potvrdil - avšak výslovne len k okamihu prijatia. Odvolanie na Súdnom dvore EÚ (od 31. októbra 2025) a ohlásené širšie napadnutie zo strany NOYB robia tento status provizórnym (stav 2026, s výhradou zmien).
  • Schrems II (Súdny dvor EÚ C-311/18, 16. júla 2020) zostáva meradlom: štandardné zmluvné doložky (SCC 2021/914, 4. júna 2021) pôsobia len s individuálnym posúdením vplyvu prenosu (transfer impact assessment, TIA) a prípadne dodatočnými opatreniami.
  • Odporúčanie dozorných orgánov (Garante, CNIL, publikácie 2025): dvojité zabezpečenie - certifikácia DPF plus SCC ako záložné riešenie plus TIA, a to aj pri amerických príjemcoch certifikovaných podľa DPF, kde je to potrebné.
  • Pre AI agentov sa počítajú všetky toky údajov: prompty, výstupy inferencie, pamäť agenta, vektorové úložiská, volania nástrojov a logy často opúšťajú priestor EÚ - každý hop je potenciálne samostatným prenosom do tretej krajiny.
  • Rizikový profil TIA pre amerických poskytovateľov zahŕňa CLOUD Act, FISA 702 / EO 12333, ako aj ochranné opatrenia ako šifrovanie at rest/in transit/in use, BYOK/HYOK a rezidenciu údajov v EÚ.
  • Švajčiarsko používa vlastný režim: Swiss-US DPF od 15. septembra 2024, inak EU-SCC so Swiss Finish podľa usmernenia FDPIC z 23. júla 2024. Samotné Švajčiarsko sa od 15. januára 2024 považuje za primerané z pohľadu EÚ.

Prenos do tretích krajín nie je pri nasadzovaní AI agentov okrajovou témou, ale často najkritickejšou cestou compliance: hneď ako agent zavolá modelový endpoint hostovaný v USA, prompty, výstupy a obsah volaní nástrojov opúšťajú priestor EÚ. Tým sa uplatňuje kapitola V GDPR. EU-US Data Privacy Framework (DPF) je od 10. júla 2023 hlavným základom primeranosti pre tento účel - právne platným, no napadnutým, a teda treba ho považovať za provizórny.

  • DPF platí, je však neisté: v platnosti od 10. júla 2023, 3. septembra 2025 potvrdené Všeobecným súdom EÚ (vo vzťahu k okamihu prijatia), no prebieha odvolanie na Súdnom dvore EÚ a napadnutie zo strany NOYB (stav 2026, s výhradou zmien).
  • Dvojité zabezpečenie: dozorné orgány odporúčajú DPF plus štandardné zmluvné doložky (SCC) ako záložné riešenie plus posúdenie vplyvu prenosu (TIA).
  • Počíta sa každý tok údajov: prompty, výstupy, pamäť agenta, vektorové úložiská, volania nástrojov a logy môžu každý sám osebe spustiť prenos do tretej krajiny.

Problém prenosu do tretích krajín podľa kapitoly V GDPR

Kapitola V GDPR zakazuje prenos osobných údajov do tretích krajín, pokiaľ tam nie je zaručená primeraná úroveň ochrany. Prenos je dovolený len prostredníctvom jedného z predpokladaných základov: rozhodnutia Európskej komisie o primeranosti, vhodných záruk ako štandardné zmluvné doložky (SCC) alebo záväzné vnútropodnikové pravidlá (binding corporate rules, BCR), alebo úzko vymedzených výnimiek.

Pre AI agentov je to obzvlášť chúlostivé, pretože agentický stack má mnoho bodov prenosu. Osobné údaje netečú len pri inferencii (prompty a výstupy), ale aj do pamäte agenta, do trvalých vektorových úložísk pre RAG, do payloadov volaní nástrojov smerom k externým rozhraniam a MCP serverom, ako aj do observability logov a trace záznamov. Každý z týchto hopov môže byť samostatným prenosom do tretej krajiny, ak príjemca alebo hosting leží mimo EÚ.

Schrems II: prečo SCC samy osebe nestačia

Meradlo pochádza z rozsudku Schrems II Súdneho dvora EÚ (C-311/18, 16. júla 2020). Zrušil vtedajší Privacy Shield a objasnil, že štandardné zmluvné doložky sú únosné len vtedy, ak prevádzkovateľ individuálne preverí, či v krajine príjemcu skutočne existuje úroveň ochrany v podstate rovnocenná s EÚ - a kde je to potrebné, doplní dodatočné ochranné opatrenia. Toto preverenie je posúdenie vplyvu prenosu (transfer impact assessment, TIA).

Komisia to operacionalizovala štandardnými zmluvnými doložkami 2021/914 (4. júna 2021). Obsahujú štyri moduly pre konštelácie prevádzkovateľ-prevádzkovateľovi, prevádzkovateľ-sprostredkovateľovi, sprostredkovateľ-sprostredkovateľovi a sprostredkovateľ-prevádzkovateľovi. Voľba vhodného modulu sa riadi rozdelením rolí v AI stacku - pri poskytovateľovi managed API typicky prevádzkovateľ-sprostredkovateľovi.

EU-US Data Privacy Framework: aktuálny status

Európska komisia prijala 10. júla 2023 rozhodnutie o primeranosti pre EU-US Data Privacy Framework a nahradila ním Privacy Shield. Americké spoločnosti, ktoré sa certifikujú podľa DPF, sa odvtedy považujú za príjemcov s primeranou úrovňou ochrany - bez toho, aby vývozca údajov musel nevyhnutne uzatvárať SCC.

Dňa 3. septembra 2025 Všeobecný súd Európskej únie (EuG) vo veci Latombe proti Komisii (T-553/23) zamietol prvú žalobu proti DPF a potvrdil platnosť k okamihu prijatia. To však nie je posledné slovo:

  • Latombe podal 31. októbra 2025 odvolanie na Súdnom dvore EÚ; konanie prebieha (stav 2026, s výhradou zmien).
  • NOYB / Max Schrems signalizoval samostatné, širšie napadnutie. Mieri na výkonné nariadenia (executive orders) Trumpovej administratívy, ktoré sa dotkli nezávislosti Privacy and Civil Liberties Oversight Board (PCLOB).
  • Všeobecný súd EÚ výslovne uviedol, že Komisia musí priebežne monitorovať právny rámec a môže rozhodnutie o primeranosti pozastaviť, zmeniť alebo zrušiť, ak sa zmenia predpoklady.

Záväzne teda DPF naďalej platí ako platný základ prenosu. Avšak právne (zatiaľ) záväzný fundament je pod výhradou - "scenár Schrems III" zostáva podľa stavu výskumu pravdepodobný.

SCC plus TIA ako záložné riešenie - odporúčané dvojité zabezpečenie

Kvôli tejto neistote znie operatívne usmernenie: neopierať sa výlučne o DPF. Garante a CNIL vo svojich publikáciách z roku 2025 naďalej odporúčali dvojité zabezpečenie - certifikáciu DPF plus štandardné zmluvné doložky ako záložné riešenie plus TIA, a to aj pre príjemcov certifikovaných podľa DPF, kde je to potrebné.

Praktická výhoda: ak DPF odpadne, tok údajov zostáva zabezpečený prostredníctvom SCC a nestane sa naraz nezákonným. TIA pre amerických poskytovateľov by malo riešiť nasledujúce riziká:

  • US CLOUD Act: riziko nariadeného vydania americkým úradom aj pri amerických materských koncernoch s dcérskou spoločnosťou v EÚ, nezávisle od miesta uloženia.
  • FISA 702 / EO 12333: vystavenie pre poskytovateľov služieb elektronickej komunikácie ako Microsoft, Google, AWS, Meta.
  • Technické ochranné opatrenia: šifrovanie at rest a in transit ako minimálny štandard; šifrovanie in use (confidential computing, TEE) čoraz relevantnejšie pre AI inferenciu; BYOK/HYOK, aby prevádzkovateľ držal kľúče a poskytovateľ bez jeho súčinnosti nemohol dešifrovať.
  • Rezidencia údajov v EÚ: region pinning, EU Data Boundary, EÚ regionálne endpointy.

Prehľad: základy prenosu pre AI agentov

Základ

Právny základ

Vhodnosť pre AI agentov

Status / poznámka

EU-US DPF (primeranosť)

rozhodnutie Komisie 10.07.2023

vysoká, ak je americký poskytovateľ certifikovaný

platné, no napadnuté (odvolanie na Súdnom dvore EÚ od 31.10.2025)

štandardné zmluvné doložky (SCC 2021/914)

čl. 46 GDPR

vysoká, ako záložné riešenie a pre necertifikovaných príjemcov

TIA povinné (Schrems II)

záväzné vnútropodnikové pravidlá (BCR)

čl. 47 GDPR

vnútrokoncernové, robustné

schválenie vedúcim dozorným orgánom, cca 18-30 mesiacov

primeranosť Švajčiarsko (EÚ→CH)

rozhodnutie 15.01.2024

vysoká

Švajčiarsko uznané EÚ za primerané

Swiss-US DPF

v platnosti 15.09.2024

vysoká pre CH vývozy certifikovaným americkým príjemcom

vlastný CH režim podľa revDSG

SCC so Swiss Finish

usmernenie FDPIC 23.07.2024

štandard pre necertifikované CH-US toky

kontext revDSG

Rozhodovací flow pre prenos údajov AI do USA

  1. Existuje vôbec prenos do tretej krajiny? Vytvorte diagram toku údajov: kde sa spracúvajú prompty, výstupy, pamäť, vektory, volania nástrojov a logy? Ak možno tok úplne udržať v EÚ prostredníctvom rezidencie údajov v EÚ a region pinningu, kapitola V sa vôbec neuplatní.
  2. Je americký príjemca certifikovaný podľa DPF? Ak áno, prenos je právne krytý - no neopierajte sa výlučne o to.
  3. Uzatvorte SCC ako záložné riešenie. Zvoľte vhodný modul (väčšinou prevádzkovateľ-sprostredkovateľovi).
  4. Vykonajte a zdokumentujte TIA. CLOUD Act, FISA 702 / EO 12333, dodatočné opatrenia ako šifrovanie in use, BYOK/HYOK.
  5. Zaveďte monitoring. Priebežne sledujte status DPF, odvolania a prax dozorných orgánov, aby ste pri odpadnutí mohli okamžite prejsť na SCC.

Konkrétny číselný príklad

Agentúra prevádzkuje pre B2B klienta zákaznícky servis agenta na báze modelového endpointu hostovaného v USA. Za deň prebehne približne 2 000 konverzácií, každá s priemerne 4 pármi prompt-výstup - to je približne 8 000 prenosov do tretích krajín za deň, teda približne 240 000 za mesiac, k tomu logy a zápisy do vektorového úložiska. Bez DPF a bez SCC plus TIA by každý jednotlivý z týchto prenosov bol bez právneho základu.

Čisté zabezpečenie: poskytovateľ je certifikovaný podľa DPF (základ 1), dodatočne sa uzatvoria SCC v module prevádzkovateľ-sprostredkovateľovi (základ 2), TIA dokumentuje vystavenie voči CLOUD Act a FISA vrátane šifrovania at rest/in transit. Retencia logov sa obmedzí na 30 dní, prompty sa pred uložením pseudonymizujú. Ak by malo byť DPF zrušené, prevádzka pokračuje cez SCC - bez núdzového vypnutia agenta.

Kto dokáže technicky presadiť rezidenciu údajov v EÚ, redukuje problém pri koreni: EÚ regionálne endpointy alebo EU Data Boundary presúvajú uloženie a spracovanie do regiónu. Treba mať na pamäti, že jednotlivé rodiny modelov tam ešte nie sú všade dostupné - AWS European Sovereign Cloud (eusc-de-east-1) bola spustená v januári 2026, modely Claude tam však v tom čase ešte neboli dostupné.

Pre agentúry a B2B rozhodovateľov

Kto nasadzuje AI agentov pre klientov v DACH regióne, nemal by zaobchádzať s prenosom do tretích krajín ako s detailom zmluvnej doložky, ale ako s architektonickým rozhodnutím. Vyplatia sa tri páky: po prvé mapovanie toku údajov naprieč celým stackom agenta vrátane MCP serverov a observability; po druhé dvojité zabezpečenie z DPF, SCC a zdokumentovaného TIA, aby sa odpadnutie DPF nestalo prevádzkovým rizikom; po tretie, kde je to možné, rezidencia údajov v EÚ alebo možnosti sovereign cloud, aby problém prenosu vôbec nevznikol. Pre agentúry je to zároveň diferenciačný znak: klienti v regulovaných odvetviach očakávajú spoľahlivú dokumentáciu prenosu ako súčasť ponuky.

Poznámka: Tento príspevok slúži na odbornú informáciu a nepredstavuje právne poradenstvo. Pre právne záväzné posúdenie konkrétnych prenosov údajov si prosím vyžiadajte kvalifikované právne poradenstvo.

Často kladené otázky

Je EU-US Data Privacy Framework bezpečným základom pre prenosy údajov AI do USA?
Aktuálne ide o platný základ prenosu: Európska komisia konštatovala primeranosť 10. júla 2023 a Všeobecný súd EÚ (EuG) ju 3. septembra 2025 vo veci Latombe (T-553/23) potvrdil - avšak výslovne len vo vzťahu k okamihu prijatia. Trvalo bezpečná nie je: odvolanie na Súdnom dvore EÚ prebieha od 31. októbra 2025 a NOYB/Max Schrems ohlásil širšie napadnutie s ohľadom na výkonné nariadenia (executive orders) Trumpovej administratívy, ktoré sa týkajú nezávislosti PCLOB. Stav 2026, s výhradou zmien. Preto dozorné orgány odporúčajú dvojité zabezpečenie pomocou SCC a TIA.
Stačí, ak je môj americký poskytovateľ AI certifikovaný podľa DPF?
Nie, to nie je dostatočne spoľahlivé. Certifikácia DPF legitimizuje prenos právne, avšak Garante a CNIL vo svojich publikáciách z roku 2025 naďalej odporúčali dvojité zabezpečenie: DPF plus štandardné zmluvné doložky ako záložné riešenie plus posúdenie vplyvu prenosu, a to aj pre príjemcov certifikovaných podľa DPF, kde je to potrebné. Ak rozhodnutie o primeranosti odpadne, SCC zostávajú ako záchytné riešenie bez toho, aby sa tok údajov okamžite stal nezákonným.
Čo je posúdenie vplyvu prenosu (transfer impact assessment, TIA) a kedy ho potrebujem?
TIA je individuálne posúdenie toho, či v krajine príjemcu existuje úroveň ochrany v podstate rovnocenná s EÚ, vyžadované od rozsudku Schrems II (Súdny dvor EÚ C-311/18). Pri použití SCC je povinné. TIA pre amerických poskytovateľov posudzuje okrem iného vystavenie voči CLOUD Act, FISA 702 / EO 12333, ako aj technické ochranné opatrenia ako šifrovanie at rest, in transit a in use, BYOK/HYOK a rezidenciu údajov v EÚ, a v prípade potreby stanovuje dodatočné opatrenia.
Platí DPF aj pre Švajčiarsko?
Nie, Švajčiarsko má vlastný režim podľa revDSG. Swiss-US Data Privacy Framework je v platnosti od 15. septembra 2024 a umožňuje prenosy americkým príjemcom, ktorí sa certifikovali podľa Swiss-US DPF. Pre necertifikované toky údajov zostávajú štandardom EU-SCC so Swiss Finish podľa usmernenia FDPIC z 23. júla 2024. Samotné Švajčiarsko sa od 15. januára 2024 považuje za primerané z pohľadu EÚ.
Čo sa stane s mojimi prenosmi údajov AI, ak bude DPF zrušené (Schrems III)?
Práve pre tento scenár slúži dvojité zabezpečenie. Všeobecný súd EÚ výslovne zdôraznil, že Komisia musí priebežne monitorovať právny stav a môže rozhodnutie o primeranosti pozastaviť, zmeniť alebo zrušiť. Kto už má zdokumentované SCC plus TIA, môže pri odpadnutí DPF plynulo prejsť späť na tento základ. Bez záložného riešenia by prebiehajúce prenosy do USA boli naraz bez právneho základu - scenár Schrems III sa podľa výskumu naďalej považuje za pravdepodobný.

Ísť hlbšie?

Získajte nové analýzy priamo do schránky – alebo sa pozrite, ako tieto poznatky nasadzujeme pre firmy.

Odoberať newsletterNaše služby
PreviousMistral a Aleph Alpha: Výhody európskych poskytovateľov LLM v oblasti GDPRNextPosúdenie vplyvu na ochranu údajov (DPIA) pri AI agentoch: povinnosť, prahové hodnoty a postup krok za krokom