Preskočiť na obsah
12.2Pokročilý7 min

Právny základ GDPR pre AI agentov (čl. 6): Kedy sa hodí súhlas, zmluva alebo oprávnený záujem

Blck Alpaca·
Definition

Právny základ GDPR pre AI určuje, o ktorý skutkový stav čl. 6 ods. 1 GDPR podnik opiera spracúvanie údajov AI agentom. Pre interné nasadenia, fine-tuning, RAG a B2B servisných agentov je oprávnený záujem (čl. 6 ods. 1 písm. f) dominantným základom, popri ňom súhlas, zmluva alebo zákonná povinnosť.

Key Takeaways

  • Každé spracúvanie osobných údajov AI agentom – prompty, výstupy, pamäť agenta, RAG indexy, payloady volaní nástrojov, logy – potrebuje vlastný právny základ podľa čl. 6 ods. 1 GDPR.
  • Oprávnený záujem (čl. 6 ods. 1 písm. f) je podľa stanoviska EDPB Opinion 28/2024 zásadne k dispozícii, vyžaduje si však trojstupňový test: účel, nevyhnutnosť, vyváženie.
  • Zmluva (písm. b) pokrýva iba to, čo je na plnenie zmluvy nevyhnutne potrebné – fine-tuning na údajoch zákazníkov je zriedka zmluvne nevyhnutný.
  • Verejne dostupné údaje nie sú voľnou kartou: Clearview AI dostal okrem iného v Taliansku a Francúzsku pokutu po 20 mil. eur; samostatné vyváženie zostáva povinnosťou.
  • Citlivé údaje (čl. 9) sú zásadne zakázané – popri čl. 6 je potrebný vlastný skutkový stav výnimky podľa čl. 9 ods. 2.
  • Pri automatizovaných individuálnych rozhodnutiach (čl. 22) sa požiadavky výrazne sprísňujú – vlastný tematický klaster.

Právny základ GDPR pre AI určuje, o ktorý skutkový stav čl. 6 ods. 1 GDPR podnik opiera spracúvanie údajov AI agentom. Pre interné nasadenia, fine-tuning, RAG a B2B servisných agentov je oprávnený záujem (čl. 6 ods. 1 písm. f) dominantným základom, popri ňom súhlas, zmluva alebo zákonná povinnosť. Bez udržateľného právneho základu je každé spracúvanie protiprávne.

  • Oprávnený záujem (písm. f) je najčastejším základom pre interných AI agentov, fine-tuning, RAG, odhaľovanie podvodov a bežných B2B servisných agentov – vyžaduje si však trojstupňový test.
  • Zmluva (písm. b) pokrýva iba to, čo je na plnenie zmluvy nevyhnutne potrebné; súhlas (písm. a) sa hodí pre opt-in funkcie, ale sotva sa škáluje na trénovacie množiny.
  • Citlivé údaje (čl. 9) a automatizované individuálne rozhodnutia (čl. 22) spúšťajú dodatočné požiadavky, ktoré idú nad rámec čl. 6.

Prečo každý AI agent potrebuje právny základ

Podľa čl. 4 ods. 1/2 GDPR spúšťa nariadenie každá operácia s osobnými údajmi. V agentickom systéme je takmer každý dotykový bod spracúvaním: prompty a systémové prompty, výstupy (vrátane halucinovaných osobných údajov), pamäť agenta a vektorové úložiská, payloady volaní nástrojov voči interným API alebo MCP serverom, správy medzi viacerými agentmi, ako aj logy a trasy. Pre každý z týchto tokov údajov potrebuje prevádzkovateľ právny základ podľa čl. 6 ods. 1.

Dôležité: prompty a výstupy sú takmer vždy osobnými údajmi, len čo pomenúvajú alebo dostatočne charakterizujú osobu – aj vymyslený obsah. Hamburská sťažnosť na ChatGPT, ako aj konanie talianskeho úradu Garante voči OpenAI potvrdzujú, že vyfabrikované osobné údaje sú naďalej osobnými údajmi. Embeddingy sa podľa diskusných materiálov CNIL a hamburského úradu štandardne považujú za pseudonymné osobné údaje, keďže útoky inverziou textu umožňujú reidentifikáciu.

Šesť právnych základov a ich vhodnosť pre AI agentov

Čl. 6 ods. 1 GDPR pozná šesť skutkových stavov. Pre AI agentov sú prakticky dominantné tri – súhlas (písm. a), zmluva (písm. b) a oprávnený záujem (písm. f) –, doplnené o zákonnú povinnosť (písm. c).

Právny základ (čl. 6 ods. 1)

Kedy je vhodný

Predpoklady / výhrady

(a) Súhlas

Asistenti pre koncových zákazníkov, klonovanie hlasu, neesenciálna analytika, biometrickí agenti

Slobodný, konkrétny, informovaný, jednoznačný (čl. 7); odvolateľný; pri trénovacích množinách sotva realizovateľný; v kontexte zamestnania prezumovane neslobodný (BAG 14.12.2023 – 6 AZR 199/22)

(b) Plnenie zmluvy

Servisný agent pre existujúcich zákazníkov, agenti súvisiaci so zamestnaním, spracovanie objednávok podporované agentmi

Úzke: iba to, čo je nevyhnutné na plnenie zmluvy dotknutej osoby; fine-tuning na údajoch zákazníkov zriedka zmluvne nevyhnutný

(c) Zákonná povinnosť

KYC/AML agenti, sankčný skríning, daňová klasifikácia, audit traily (§ 257 HGB, § 147 AO)

Vyžaduje dostatočne určitý zákon EÚ alebo členského štátu; generická „compliance“ nepostačuje

(d) Životne dôležité záujmy

Takmer nikdy dominantný základ pre agentov

Iba pre prípady života a smrti

(e) Verejná úloha

Agenti verejnej správy (§ 3 BDSG, rakúsky DSG, švajčiarsky DSG)

Vyžaduje zákonný základ pre danú úlohu

(f) Oprávnený záujem

Dominantný základ pre interné nasadenia, trénovanie, fine-tuning, RAG, behaviorálnu analytiku, odhaľovanie podvodov, kybernetickú bezpečnosť, bežných B2B servisných agentov

Trojstupňový test; pri čl. 22 osobitne obmedzený; nie je k dispozícii pre orgány v rámci ich úloh

Trojstupňový test pre oprávnený záujem

Podľa usmernení EDPB Guidelines 1/2024 (prijaté 8. októbra 2024) a stanoviska EDPB Opinion 28/2024 (prijaté 17. decembra 2024) musia prevádzkovatelia zdokumentovať tri stupne:

  1. Test účelu. Záujem musí byť oprávnený, reálny, súčasný a konkrétne artikulovaný. „Zlepšovať AI produkty“ v abstraktnej rovine nepostačuje; „zlepšenie presnosti klasifikácie interného HR skríningového agenta pre našich zamestnancov“ áno.
  2. Test nevyhnutnosti. Dal by sa účel dosiahnuť s menším množstvom alebo s anonymnými údajmi? Pri RAG to často hovorí pre pseudonymizáciu indexovaných dokumentov a minimalizáciu kontextových payloadov.
  3. Test vyváženia. Vyvážiť oproti rozumným očakávaniam dotknutých osôb, povahe údajov, vzťahu, ako aj rizikám ako reidentifikácia, scope creep a profilovanie. Platia kritériá EDPB zo stanoviska Opinion 28/2024 (verejne dostupné?; povaha služby?; vedomie, že je online?).

Stanovisko EDPB Opinion 28/2024 potvrdzuje, že oprávnený záujem je pre vývoj a nasadenie zásadne k dispozícii. Ako potenciálne legitímne uvádza napríklad konverzačných asistentov, odhaľovanie podvodov a kybernetickú bezpečnosť. CNIL 19. júna 2025 doplnil taxonómiu prezumovane legitímnych účelov AI: vedecký výskum, poskytovanie verejného prístupu, konverzační asistenti, zlepšovanie výkonu existujúceho produktu a prevencia podvodov.

Aplikácia na typické scenáre agentov

  • Fine-tuning na interných údajoch zákazníkov: typicky čl. 6 ods. 1 písm. f. Účel musí byť užší než „zlepšiť našu AI“, je potrebné vykonať LIA (Legitimate Interest Assessment), doplnené o analýzu kompatibility podľa čl. 5 ods. 1 písm. b. Ak sú dotknuté citlivé údaje, je dodatočne potrebná výnimka podľa čl. 9.
  • RAG nad dokumentmi zamestnancov: väčšinou písm. b alebo písm. f. Ak agent meria správanie zamestnancov, je potrebná spolurozhodovacia účasť (§ 87 ods. 1 č. 6 BetrVG, rakúsky ArbVG, švajčiarsky ArG).
  • Pamäť agenta presahujúca jednotlivé relácie: právny základ musí pokrývať sekundárne uchovávanie; oprávnený záujem s jasnou retenčnou politikou a opt-out je obvyklým vzorcom, zdokumentovaným podľa čl. 5 ods. 1 písm. b.
  • Trénovanie foundation modelov so široko scrapovanými korpusmi: stanovisko EDPB Opinion 28/2024 tu kladie vysokú latku. Bez zdokumentovanej LIA, politiky vylúčenia web scrapingu a obhájiteľného odôvodnenia „neprimeraného úsilia“ podľa čl. 14 ods. 5 písm. b by deployeri nemali prevádzkovať veľkorozmerné trénovanie na scrapovaných údajoch.

Pasca „verejne dostupné“

Húževnatým nedorozumením je, že verejne dostupné webové údaje sú vyňaté z GDPR. Clearview AI dostal sankcie práve preto – v Taliansku 20 mil. eur (10. februára 2022), vo Francúzsku 20 mil. eur (17. októbra 2022) plus 5,2 mil. eur penále, ako aj v Grécku, Spojenom kráľovstve a Holandsku. Verejná dostupnosť neznamená ani súhlas, ani iný právny základ. Rozsudok Meta v. Bundeskartellamt (C-252/21 zo 4. júla 2023, body 85 – 89) potvrdzuje: „zjavné zverejnenie“ podľa čl. 9 ods. 2 písm. e je veľmi úzkou výnimkou a čl. 6 ods. 1 písm. f naďalej vyžaduje vlastné vyváženie.

Citlivé údaje: čl. 9 ako druhá brána

Čl. 9 ods. 1 zásadne zakazuje spracúvanie citlivých údajov – medzi nimi údajov o zdraví, biometrických údajov na jednoznačnú identifikáciu, údajov o sexuálnej orientácii, ako aj členstve v odboroch. Právny základ podľa čl. 6 samotný nepostačuje; je potrebný dodatočne skutkový stav výnimky podľa čl. 9 ods. 2. Prakticky relevantné sú: výslovný súhlas (písm. a), pracovné a sociálne právo (písm. b, napríklad § 26 ods. 3 BDSG), významný verejný záujem (písm. g), ako aj zdravotná starostlivosť (písm. h/i).

Osobitné pravidlo AI Act čl. 10 ods. 5 umožňuje spracúvanie citlivých údajov na odhaľovanie bias pri vysokorizikových systémoch – nepredstavuje však žiadnu samostatnú výnimku podľa čl. 9. Prevádzkovateľ naďalej potrebuje bránu podľa čl. 9 ods. 2, typicky písm. g, čo vo väčšine členských štátov ešte vyžaduje národnú legislatívu. Táto medzera v zákone existuje k stavu 2026, s výhradou zmeny; dovtedy by poskytovatelia mali spracúvania podľa čl. 10 ods. 5 opierať o zdokumentované odôvodnenie podľa písm. g a pseudonymizovať čo najskôr.

Automatizované individuálne rozhodnutia (čl. 22) – iba krátko

Ak AI agent prijíma výlučne automatizované rozhodnutie s právnym alebo podobne významným účinkom, čl. 22 masívne sprísňuje požiadavky. Podľa rozsudkov Súdneho dvora EÚ SCHUFA (C-634/21, 7. decembra 2023) a Dun & Bradstreet Austria (C-203/22, 27. februára 2025) sa už hodnota pravdepodobnosti počíta ako „rozhodnutie“ a dotknuté osoby majú nárok na zrozumiteľné, napadnuteľné vysvetlenie logiky. Podrobnosti rieši samostatný klastrový článok o čl. 22.

Konkrétny príklad s číslami

Stredne veľký podnik z regiónu DACH (približne 800 zamestnancov) nasadzuje interného agenta na lead scoring, ktorý klasifikuje záznamy z CRM. Spracúvanie sa opiera o čl. 6 ods. 1 písm. f. LIA dokumentuje účel úzko („prioritizácia prichádzajúcich B2B požiadaviek“), preveruje nevyhnutnosť (pseudonymizácia indexovaných polí) a vyváženie. Pri minimalizácii údajov sa kontextový payload na jedno volanie nástroja zníži z pôvodných 42 CRM polí na 7 nevyhnutných polí, retencia promptov sa obmedzí na 30 dní s redakciou pred trvalým uchovaním – v nadväznosti na štandardné uchovávanie OpenAI API maximálne 30 dní (logy Anthropic API: 7 dní od 14. septembra 2025, predtým 30 dní). Len čo skóre automaticky odmietne požiadavku, scenár prechádza do pôsobnosti čl. 22 – potom sú konečné ľudské rozhodnutie a vysvetliteľnosť záväzné.

Pre agentúry a B2B rozhodovateľov

Kto nasadzuje AI agentov produktívne, mal by právny základ stanoviť pred spustením do prevádzky a zdokumentovať pre každý tok údajov – nie ospravedlňovať dodatočne. Taliansky úrad Garante uložil OpenAI pokutu 15 mil. eur (rozhodnutie z 2. novembra 2024, zverejnené 20. decembra 2024) okrem iného preto, že údaje sa spracúvali bez vopred vyjasneného právneho základu (porušenie čl. 5 ods. 1 písm. a, čl. 5 ods. 2 a čl. 6). Pre agentúry to znamená: dôkladná LIA, vrstvené vyhlásenie o ochrane údajov s upozornením na AI a prominentný opt-out patria do štandardného rozsahu dodávky každého AI projektu. Blck Alpaca podporuje podniky z regiónu DACH pri výbere vhodného právneho základu, auditne odolnom dokumentovaní vyvážení záujmov a nastavení AI agentov v súlade s GDPR od samého začiatku.

Poznámka: Tento príspevok slúži na odbornú orientáciu a nepredstavuje právne poradenstvo. Pre konkrétne jednotlivé prípady odporúčame konzultáciu so zodpovednými osobami za ochranu údajov alebo so špecializovanou advokátskou kanceláriou.

Často kladené otázky

Aký právny základ platí pre interného AI agenta, ktorý pristupuje k údajom zamestnancov alebo zákazníkov?
Spravidla oprávnený záujem podľa čl. 6 ods. 1 písm. f GDPR. Musí existovať konkrétne artikulovaný účel (nie „zlepšiť AI“), posúdenie nevyhnutnosti a zdokumentované vyváženie záujmov (LIA). Pri RAG nad dokumentmi zamestnancov môže byť relevantné aj písm. b (zmluva); ak agent meria správanie zamestnancov, je potrebná spolurozhodovacia účasť zamestnaneckej rady, resp. zastupiteľstva zamestnancov (§ 87 ods. 1 č. 6 BetrVG, ArbVG).
Môžem použiť súhlas ako právny základ pre trénovanie AI modelu?
Prakticky zriedka. Súhlas podľa čl. 6 ods. 1 písm. a musí byť slobodný, konkrétny, informovaný, jednoznačný (čl. 7) a odvolateľný – pri trénovacích množinách sotva realizovateľný. V kontexte zamestnania sa podľa BAG (14.12.2023 – 6 AZR 199/22) prezumuje ako neslobodný, pokiaľ nie je preukázateľný. Pre opt-in funkcie ako klonovanie hlasu známeho hovorcu sa môže hodiť.
Postačujú verejne dostupné webové údaje ako právny základ pre trénovanie AI?
Nie. Verejná dostupnosť neznamená ani súhlas, ani iný právny základ. Clearview AI dostal sankcie okrem iného v Taliansku (20 mil. eur, 10.02.2022) a vo Francúzsku (20 mil. eur, 17.10.2022 plus 5,2 mil. eur penále). Podľa rozsudku Meta v. Bundeskartellamt (C-252/21) zostáva pri písm. f vlastné vyváženie povinnosťou; „zjavné zverejnenie“ podľa čl. 9 ods. 2 písm. e je veľmi úzke.
Čo sa stane, ak AI agent spracúva citlivé údaje podľa čl. 9?
Čl. 9 ods. 1 zásadne zakazuje spracúvanie okrem iného údajov o zdraví, biometrických, odborových alebo údajov o sexuálnom živote. Popri právnom základe podľa čl. 6 je potrebný vlastný skutkový stav výnimky podľa čl. 9 ods. 2 – napríklad výslovný súhlas (písm. a), pracovné právo (písm. b) alebo významný verejný záujem (písm. g). Osobitné pravidlo AI Act čl. 10 ods. 5 túto výnimku nenahrádza.
Postačuje zmluva so zákazníkom ako právny základ pre každého servisného agenta?
Iba obmedzene. Čl. 6 ods. 1 písm. b pokrýva výlučne to, čo je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba. Servisný agent, ktorý odpovedá na konkrétnu požiadavku zákazníka, je väčšinou pokrytý. Fine-tuning na údajoch zákazníkov alebo pamäť presahujúca jednotlivé relácie sú naopak zriedka zmluvne nevyhnutné a typicky potrebujú oprávnený záujem plus test kompatibility (čl. 5 ods. 1 písm. b).

Ísť hlbšie?

Získajte nové analýzy priamo do schránky – alebo sa pozrite, ako tieto poznatky nasadzujeme pre firmy.

Odoberať newsletterNaše služby
PreviousSprostredkovanie spracúvania podľa čl. 28 GDPR s poskytovateľmi AI: Sprievodca zmluvou o spracúvaníNextRezidencia údajov v EÚ pre LLM: Kde sa vaše údaje spracúvajú