Preskočiť na obsah
12.4Pokročilý6 min

Používanie OpenAI / ChatGPT v súlade s GDPR: Consumer vs. Enterprise vs. API

Blck Alpaca·
Definition

Používať OpenAI v súlade s GDPR znamená: pre firemné údaje výhradne nasadiť ChatGPT Enterprise/Team alebo OpenAI API s uzavretou zmluvou o spracúvaní údajov (DPA), kde sa zákaznícke údaje štandardne nepoužívajú na tréning. Consumer-ChatGPT je na to nevhodný, pretože chýba záväzná DPA a konfigurovateľná dátová rezidencia.

Key Takeaways

  • Consumer-ChatGPT (bezplatný/Plus) nie je vhodný pre osobné firemné údaje podľa GDPR: žiadna DPA ako sprostredkovateľ, žiadna garantovaná EÚ dátová rezidencia, žiadna zmluvná zero-data-retention.
  • ChatGPT Enterprise/Team a OpenAI API fungujú prostredníctvom OpenAI-DPA (účinná od 1. januára 2026, OpenAI Ireland Ltd. ako zmluvný partner pre EHP/CH); zákaznícke údaje sa štandardne nepoužívajú na tréning modelov.
  • Uchovávanie sa výrazne líši: API štandardne max. 30 dní, ChatGPT Enterprise počas trvania zmluvy, zero-data-retention (ZDR) je dostupná len zmluvne.
  • EÚ dátová rezidencia je dostupná len pre oprávnené Enterprise/Edu kontá a určité API nastavenia; štandardom je globálne smerovanie.
  • Talianska Garante uložila 2. novembra 2024 pokutu 15 mil. eur voči OpenAI - povinný dôkaz právneho základu, transparentnosti a spracúvania na základe poverenia je relevantný pre vymáhanie.
  • Nasadenie v súlade s GDPR vyžaduje DPA, mapovanie ďalších sprostredkovateľov, opt-out z tréningu, konfiguráciu dátovej rezidencie, riadenie uchovávania a posúdenie vplyvu na ochranu údajov (DPIA).

Používať OpenAI v súlade s GDPR znamená: pre osobné firemné údaje výhradne nasadiť ChatGPT Enterprise/Team alebo OpenAI API s uzavretou zmluvou o spracúvaní údajov (DPA), pri ktorých sa zákaznícke údaje štandardne nepoužívajú na tréning modelov. Consumer-ChatGPT je na to nevhodný, pretože chýba záväzná DPA ako sprostredkovateľ, garantovaná EÚ dátová rezidencia a zmluvná zero-data-retention.

Kľúčovou otázkou pre podniky a agentúry v regióne DACH nie je "ChatGPT áno alebo nie", ale "ktorá cesta odberu za ktorej zmluvy". Práve tu sa rozhoduje o súlade s GDPR.

  • Consumer-ChatGPT (bezplatný, Plus): žiadna DPA ako sprostredkovateľ, žiadne spoľahlivé vylúčenie tréningu na zmluvnom základe, žiadna garantovaná EÚ dátová rezidencia - tabu pre osobné obchodné údaje.
  • ChatGPT Enterprise/Team: funguje na základe OpenAI-DPA, žiadny tréning na zákazníckych údajoch by default, OpenAI ako sprostredkovateľ.
  • OpenAI API: takisto na základe DPA, štandardne max. 30 dní uchovávania, zero-data-retention (ZDR) dostupná zmluvne.

Prečo Consumer-ChatGPT vo firme neobstojí

Pri každom spracúvaní osobných údajov prostredníctvom AI systému je OpenAI vo firemnom kontexte sprostredkovateľom v zmysle čl. 28 GDPR. Účinná zmluva o spracúvaní údajov (DPA) je tým povinná. Consumer-tarify túto zmluvu nemajú vo forme, ktorú prevádzkovateľ potrebuje: žiadne zdokumentované viazanie na pokyny, žiadna zaručená dátová rezidencia, žiadne konfigurovateľné lehoty uchovávania.

K tomu pristupuje technické riziko memorizácie. Nasr et al. (2023) demonštrovali extrakciu tréningových údajov - vrátane osobných údajov - z produkčných modelov ako ChatGPT pri nákladoch na dopyty okolo 200 amerických dolárov. Kto nechránene zadáva mená zákazníkov, personálne údaje alebo zdravotné informácie do consumer-frontendu, nemôže kontrolovať, kde tieto údaje skončia.

Aj halucinované osobné údaje zostávajú osobnými údajmi. To potvrdzujú hamburská sťažnosť na ChatGPT aj konanie Garante voči OpenAI rovnako - nesprávne, no hodnoverné tvrdenie o identifikovateľnej osobe spúšťa povinnosti opravy a poskytnutia informácií.

Consumer vs. Enterprise/Team vs. API v porovnaní z hľadiska GDPR

Nasledujúca tabuľka zhŕňa rozdiely rozhodujúce pre súlad. Všetky údaje vychádzajú z interného výskumu a pri uzatváraní zmluvy je potrebné ich opätovne validovať, keďže podmienky poskytovateľov sa často menia.

Kritérium

Consumer-ChatGPT (Free/Plus)

ChatGPT Enterprise/Team

OpenAI API

DPA ako sprostredkovateľ

Nie vo forme vhodnej pre firmy

Áno, OpenAI-DPA (účinná od 1. jan. 2026)

Áno, OpenAI-DPA (účinná od 1. jan. 2026)

Zmluvný partner pre EHP/CH

OpenAI Ireland Ltd.

OpenAI Ireland Ltd.

Tréning na zákazníckych údajoch

Nie je zmluvne vylúčený rovnakým spôsobom

Nie, štandardne žiadny tréning

Nie, štandardne žiadny tréning

Štandardné uchovávanie

Nie je riaditeľné zo strany firmy

Trvanie zmluvy

Max. 30 dní

Zero-data-retention (ZDR)

Nedostupná

Dostupná zmluvne

Dostupná zmluvne

EÚ dátová rezidencia

Nie je garantovaná

Pre oprávnené Enterprise/Edu kontá

Pre určité API nastavenia; inak globálne

Zoznam ďalších sprostredkovateľov

Zverejnený (stav apríl 2025 a ďalej, o. i. Microsoft Azure)

Zverejnený (o. i. Azure-hosting, moderácia)

Dôležité: Vylúčenie tréningu a ZDR sú zmluvné prísľuby, nie zákonné minimálne štandardy. Poskytovatelia si zvyčajne vyhradzujú úzke práva na abuse-monitoring, safety-review a agregované analýzy, v ktorých môžu konať ako vlastný prevádzkovateľ. Tieto carve-outs treba v DPA jednoznačne (bright-line) vymedziť.

Čo nás učí rozhodnutie Garante

Vedúcim príkladom vymáhania je rozhodnutie talianskej Garante z 2. novembra 2024 (zverejnené 20. decembra 2024): pokuta 15 mil. eur voči OpenAI. Zistené porušenia:

  • Spracúvanie osobných údajov na tréning ChatGPT predtým, ako bol identifikovaný vhodný právny základ - porušenie čl. 5(1)(a), čl. 5(2) a čl. 6 GDPR.
  • Nedostatočná transparentnosť voči používateľom (čl. 12, 13).
  • Žiadna adekvátna verifikácia veku (čl. 8, 25).
  • Oneskorené nahlásenie úniku histórie chatov z marca 2023 (čl. 33).
  • Navyše: povinná šesťmesačná osvetová kampaň v talianskych médiách.

Rámec pokút GDPR je podľa čl. 83 až do 20 mil. eur alebo 4 percent celosvetového ročného obratu. Pre porovnanie: Clearview AI bola v Taliansku za scraping verejných údajov pokutovaná sumou 20 mil. eur (10. februára 2022) - verejne prístupný práve neznamená "voľne použiteľný".

Sedem krokov k právne súladnému nasadeniu

  1. Stanovte cestu odberu. Pre osobné údaje len ChatGPT Enterprise/Team alebo API. Consumer-prístupy organizačne zablokovať (politika, prípadne technické blokovanie).
  2. Uzavrieť a preskúmať DPA. OpenAI-DPA (účinná od 1. januára 2026) s OpenAI Ireland Ltd. ako zmluvným partnerom pre EHP/CH; skontrolovať prísľub "no training", viazanie na pokyny a carve-out pre abuse-monitoring.
  3. Zmapovať ďalších sprostredkovateľov. Zverejnený zoznam ďalších sprostredkovateľov (o. i. Microsoft Azure ako hosting) zaradiť do záznamu o spracovateľských činnostiach (RoPA); zabezpečiť neprerušený reťazec DPA podľa čl. 28(4).
  4. Konfigurovať dátovú rezidenciu. Aktivovať EÚ dátovú rezidenciu pre oprávnené Enterprise/Edu kontá, resp. vhodné API nastavenia; štandardom je globálne smerovanie.
  5. Riadiť uchovávanie. Štandardom API je max. 30 dní, Enterprise ukladá počas trvania zmluvy. Pre citlivé údaje dohodnúť ZDR zmluvne; logy promptov pred trvalým uložením pseudonymizovať/redigovať.
  6. Zabezpečiť základ prenosu. Využiť EU-US-DPF, no mať pripravené štandardné zmluvné doložky ako záložné riešenie a zdokumentovať transfer impact assessment (stav 2026: odvolanie k DPF Latombe od 31. októbra 2025 v konaní na Súdnom dvore EÚ, s výhradou zmeny).
  7. Zdokumentovať DPIA a právny základ. Posúdenie vplyvu na ochranu údajov podľa orientačnej pomôcky DSK (6. mája 2024); zafixovať právny základ pre každý use-case - väčšinou čl. 6(1)(f) so zdokumentovaným oprávneným záujmom, pri zákazníckom servise prípadne čl. 6(1)(b).

Čo by ste s Consumer-ChatGPT NEMALI robiť

  • Zadávať mená zákazníkov, výpisy z CRM, údaje uchádzačov alebo personálne údaje.
  • Spracúvať osobitné kategórie podľa čl. 9 (zdravie, náboženstvo, odborová príslušnosť, sexuálny život).
  • Nahrávať dôverné obchodné dokumenty alebo celé sady dokumentov.
  • Pripravovať automatizované rozhodnutia s právnym alebo podstatným účinkom (čl. 22). Doplnkovo platí: Právo na vysvetlenie individuálnych rozhodnutí podľa čl. 86 EU-AI-Act nadobúda účinnosť od 2. augusta 2026 (právne záväzný dátum uplatňovania, stav 2026).

Výpočtový príklad: Uchovávanie ako rizikový faktor

Agentúra prevádzkuje pre klienta asistenta podpory prostredníctvom OpenAI API s 5 000 promptmi denne, z toho približne 8 percent (400 promptov) obsahuje mená zákazníkov alebo kontaktné údaje. Pri štandardnom uchovávaní API max. 30 dní leží v každom okamihu až 12 000 osobných promptov (400 x 30) v úložisku sprostredkovateľa - každý z nich v rozsahu pôsobnosti žiadostí o prístup a výmaz. So zmluvne dohodnutou ZDR plus predradenou redakciou klesá tento trvalý stav takmer na nulu. To je rozdiel medzi zodpovedateľnou a nezodpovedateľnou žiadosťou dotknutej osoby (DSAR).

Pre agentúry a B2B

Marketingové agentúry a B2B rozhodovatelia, ktorí nasadzujú ChatGPT v zákazníckych projektoch, sú spravidla sami prevádzkovateľmi alebo sprostredkovateľmi svojich klientov - a musia čisto vyobraziť reťazec smerom nadol: DPA s OpenAI, zdokumentovanú dátovú rezidenciu, ZDR pre citlivé toky a šablónu DPIA, ktorá je opakovane použiteľná pre každý use-case. Kto to raz čisto nastaví, premení riziko súladu na predajný kvalitatívny znak. Blck Alpaca podporuje pri review DPA, mapovaní ďalších sprostredkovateľov a DPIA pre AI agentov v regióne DACH.

Upozornenie: Tento príspevok slúži na odbornú informáciu a nepredstavuje právne poradenstvo. Pre právne záväzné posúdenie vášho konkrétneho scenára nasadenia prosím prizvite zodpovednú osobu pre ochranu údajov alebo špecializovaného právneho zástupcu.

Často kladené otázky

Smiem používať bezplatný ChatGPT alebo ChatGPT Plus so zákazníckymi údajmi?
Pre osobné firemné alebo zákaznícke údaje sa to neodporúča. Consumer-tarify nemajú zmluvu o spracúvaní údajov (DPA) podľa čl. 28 GDPR ako sprostredkovateľ, garantovanú EÚ dátovú rezidenciu ani zmluvnú zero-data-retention. Bez DPA chýba udržateľný základ pre spracúvanie na základe poverenia. Pre obchodné údaje používajte ChatGPT Enterprise/Team alebo OpenAI API.
Používajú sa moje údaje pri ChatGPT Enterprise alebo OpenAI API na tréning?
Nie. Podľa OpenAI-DPA sa zákaznícke údaje API ako aj ChatGPT Enterprise/Team štandardne nepoužívajú na tréning modelov OpenAI. Ide však o zmluvný prísľub, nie o zákonný štandard - skontrolujte aktuálne platné zmluvné podmienky pri uzatváraní zmluvy.
Čo je zero-data-retention (ZDR) a potrebujem to?
ZDR znamená, že OpenAI neukladá prompty a výstupy. Štandardne platí pre API uchovávanie maximálne 30 dní, pri ChatGPT Enterprise počas trvania zmluvy. ZDR je dostupná len zmluvne (prostredníctvom DPA) a odporúča sa najmä pre citlivé alebo osobitné kategórie osobných údajov (čl. 9 GDPR).
Sú prenosy údajov do USA na OpenAI v súlade s GDPR?
Rozhodnutie o primeranosti EU-US-Data-Privacy-Framework (10. júla 2023) je momentálne platné; Všeobecný súd ho 3. septembra 2025 (Latombe, T-553/23) potvrdil pre okamih jeho prijatia. Odvolanie na Súdnom dvore EÚ je od 31. októbra 2025 v konaní (stav 2026, s výhradou zmeny). Majte pripravené štandardné zmluvné doložky ako záložné riešenie a zdokumentujte transfer impact assessment.
Aká pokuta hrozí pri porušeniach?
Podľa čl. 83 GDPR sú možné pokuty až do 20 mil. eur alebo 4 percent celosvetového ročného obratu. Talianska Garante uložila 2. novembra 2024 voči OpenAI pokutu 15 mil. eur - okrem iného pre chýbajúci právny základ pred tréningom a nedostatočnú transparentnosť.
Potrebujem pre nasadenie ChatGPT posúdenie DPIA?
Vo väčšine firemných scenárov áno. Podľa orientačnej pomôcky DSK (6. mája 2024) je pre väčšinu nasadení LLM potrebné posúdenie vplyvu na ochranu údajov, najmä pri rozsiahlom spracúvaní, profilovaní alebo potenciálne automatizovaných rozhodnutiach podľa čl. 22 GDPR.

Ísť hlbšie?

Získajte nové analýzy priamo do schránky – alebo sa pozrite, ako tieto poznatky nasadzujeme pre firmy.

Odoberať newsletterNaše služby
PreviousRezidencia údajov v EÚ pre LLM: Kde sa vaše údaje spracúvajúNextMistral a Aleph Alpha: Výhody európskych poskytovateľov LLM v oblasti GDPR