Soulad · Průvodce
AI agenti v souladu s GDPR – co je skutečně potřeba
GDPR se vztahuje na každou platformu AI agentů, která zpracovává osobní údaje občanů EU, bez ohledu na sídlo poskytovatele. Soulad znamená více než jen odznak „Jsme v souladu": vyžaduje právní základ pro každou zpracovatelskou činnost, práva subjektů údajů implementovaná na úrovni dat, podepsanou smlouvu o zpracování osobních údajů (DPA) mezi zákazníkem a poskytovatelem, úložiště izolované pro jednotlivé nájemce, transparentní politiku trénování modelů a auditní záznamy, které obstojí při kontrole dozorovým orgánem. Konkrétně pro AI agenty článek 22 (automatizované rozhodování) přidává explicitní požadavky: zákazník – nikoli poskytovatel – musí určit, kdy je nutný lidský přezkum.
GDPR přeformulované pro platformy AI agentů
Šest základních principů z článku 5 GDPR, přeložených do toho, co znamenají pro poskytovatele AI agentů.
Zákonnost, spravedlnost, transparentnost
Každá zpracovatelská činnost vyžaduje právní základ (souhlas, smlouva, oprávněný zájem atd.) zaznamenaný pro každou akci. Zákazníci získávají transparentnost ohledně toho, jak agenti uvažují a rozhodují.
Omezení účelu
Údaje shromážděné pro akci agenta nesmí být bez nového právního základu zneužity pro jiný účel. Žádné doložky typu „Vaše data používáme ke zlepšení produktu".
Minimalizace dat
Agenti přistupují pouze k polím, která potřebují pro konkrétní úkol. Minimální rozsahy OAuth 2.0 to vynucují na úrovni integrace.
Přesnost
Výstupy jsou ověřitelné; chybné výstupy agenta lze opravit nebo smazat. Auditní záznam sleduje každou verzi každého datového záznamu.
Omezení doby uložení
Zákazníkem konfigurovatelné uchovávání pro každou kategorii dat. Přepisy konverzací agentů, nahrávky hovorů a události CRM mají všechny konfigurovatelné TTL.
Integrita a důvěrnost
Šifrování v klidu (AES-256) a při přenosu (TLS 1.3). Izolace nájemců kryptograficky, nikoli pouze logicky. Cíl auditu SOC 2 Type I Q3 2026.
10 technických implementací, které prokazují soulad s GDPR
Poskytovatel může tvrdit, že je v souladu. Toto jsou implementace, které ukáže, když se objeví auditor.
Právní základ pro každou akci
Každá akce agenta dokumentuje svůj právní základ (souhlas, smlouva, oprávněný zájem, právní povinnost). Exportovatelné pro každou dotčenou osobu na vyžádání.
Export přístupu subjektu
Export jedním kliknutím všeho, co platforma uchovává o jmenované dotčené osobě – CRM, e-maily, přepisy hovorů, výstupy generované agentem.
Výmaz v rámci nájemce
Výmaz se šíří přes každou cache agenta a sdílený datový graf do 30 dnů. Žádné „měkké smazání" – skutečné odstranění s dokladem o výmazu.
Strukturovaný export
Strojově čitelný export (JSON, CSV) všech zákaznických dat, nejen osobních. Znovu importovatelný do konkurenčních platforen pomocí standardních schémat.
Brána pro lidský přezkum
Rozhodnutí s vysokým rizikem (platby nad prahovou hodnotu, blokování účtů, vysoce hodnotné smluvní doložky) standardně vyžadují lidské schválení. Konfigurovatelné dle zásad zákazníka.
Izolace nájemců
Kryptografická izolace nájemců od úrovně databáze nahoru. Žádné sdílené vektorové úložiště, žádné sdílené cache promptů mezi zákazníky.
DPA se seznamem subzpracovatelů
Podepsaná smlouva o zpracování osobních údajů (DPA) mezi zákazníkem a poskytovatelem. Seznam subzpracovatelů (včetně poskytovatelů LLM) zveřejněn a verzován. Zákazníci jsou informováni o změnách subzpracovatelů s lhůtou pro námitky.
Auditní záznam
Neměnný auditní záznam každé akce agenta: časové razítko, identita agenta, vstup, výstup, důvěryhodnost, právní základ, identifikátor subjektu údajů. Exportovatelné pro dozorový orgán.
Šifrování + kontrola přístupu
AES-256 v klidu, TLS 1.3 při přenosu. RBAC pro lidské operátory. Agenti autentizováni pro každý požadavek. Plánovaná rotace tajemství.
Proces řešení narušení
Detekce → Třídění → Oznámení zákazníkovi do 72 hodin od zjištění. Skriptováno a čtvrtletně procvičováno.
Častá rizika GDPR u AI agentů – a jak je zmírnit
Režimy selhání, které auditoři hledají. Každé riziko má konkrétní vzor zmírnění.
Poskytovatelé LLM používají vaše prompty k trénování svých modelů.
Používejte pouze poskytovatele s podepsanými doložkami o netrénování na obsahu zákazníků. Ověřte to ve smlouvě o zpracování osobních údajů (DPA), nikoli pouze na marketingové stránce.
Přepisy konverzací unikají přes sdílené vektorové úložiště mezi nájemci.
Vyžadujte vnoření izolované pro nájemce. Požádejte poskytovatele, aby ukázal rozložení databáze – sdílené kolekce jsou červenou vlajkou.
Logy agentů obsahují osobní údaje, které jsou uchovávány déle, než je nutné.
Zákazníkem konfigurovatelné uchovávání logů pro každou kategorii dat. Výchozí 90 dní pro neregulovaná data, 10 let pouze pro datové záznamy relevantní pro GoBD/daňové účely.
Telefonní nahrávky jsou ukládány bez výslovného souhlasu.
Call agent vysvětlí nahrávání na začátku hovoru. Souhlas je zaznamenán do auditního logu s časovým razítkem a identifikátorem volajícího. Redakce jedním kliknutím na vyžádání.
Subzpracovatelé mimo EU zpracovávají osobní údaje.
Možnost rezidence dat pouze v EU. Pokud jsou využíváni subzpracovatelé z USA, pak DPF (Data Privacy Framework) nebo standardní smluvní doložky s ověřitelným posouzením dopadu přenosu.
Rozhodnutí agenta nelze napadnout, protože jeho zdůvodnění je netransparentní.
Každé rozhodnutí agenta zaznamenává svou logickou stopu. Dotčené osoby obdrží zdůvodnění (v prostém textu) na základě žádosti dle článku 15.
Zapomenutá integrace má po vašem zrušení stále OAuth tokeny.
Zrušení tokenu při ukončení je automatické. Zákazník může také zrušit jedním kliknutím u zdroje (nastavení účtu Google/Microsoft).
Na co byste si měli dát pozor ve smlouvě o zpracování osobních údajů (DPA) poskytovatele
Vyžádejte si šablonu DPA před nákupem, nikoli během onboardingu. Toto jsou doložky, které jsou nejdůležitější.
- ✓Explicitní doložka o netrénování: Obsah zákazníků se nikdy nepoužívá k trénování modelů, bez drobných písmen o opt-outu
- ✓Seznam subzpracovatelů připojen, verzován a lhůta pro oznámení před změnami (minimálně 30 dní)
- ✓Časové osy pro žádosti subjektů údajů: Informace dle článku 15 do 30 dnů, výmaz dle článku 17 do 30 dnů včetně kaskády následných zpracovatelů
- ✓Práva na audit: Zákazník může kontrolovat bezpečnostní kontroly poskytovatele ročně nebo častěji v případě potřeby
- ✓Oznámení o narušení: 48 hodin mezi zjištěním poskytovatelem a oznámením zákazníkovi (přísnější než 72hodinové oznámení úřadům dle GDPR)
- ✓Závazek k rezidenci dat: kde jsou data uložena, zpracována, zabezpečena – písemně, nikoli „typicky EU"
- ✓Vrácení a výmaz při ukončení: Data v přenositelné formě zpět do 30 dnů; doklad o výmazu vystaven do 60 dnů
- ✓Jasnost ohledně horní hranice odpovědnosti: speciálně pro porušení ochrany dat, odděleně od obecné horní hranice odpovědnosti
- ✓Rozhodné právo a jurisdikce: ideálně členský stát EU zákazníka, nikoli domovská jurisdikce poskytovatele
Kontrolní seznam GDPR pro kupující AI agentů – 12 bodů
Vytiskněte si to. Pošlete to poskytovateli před smlouvou. Pokud je odpověď „Pracujeme na tom", odložte nákup.
Smlouva o zpracování osobních údajů
Podepisuje poskytovatel standardně smlouvu o zpracování osobních údajů (DPA) v souladu s GDPR, nikoli vyjednanou pro každého zákazníka?
Žádné trénování smluvně
Je „Nikdy netrénujeme na obsahu zákazníků" uvedeno přímo ve smlouvě o zpracování osobních údajů (DPA), nikoli pouze na webových stránkách?
Izolace nájemců
Je izolace nájemců kryptografická – samostatné šifrovací klíče pro každého zákazníka – nebo pouze logické rozdělení?
Transparentnost subzpracovatelů
Existuje veřejný seznam subzpracovatelů s historií verzí? Je poskytovatel LLM uveden?
Datová rezidence
Kde jsou zákaznická data uložena, zpracována a zabezpečena? Je možnost pouze EU?
Export práva na přístup
Můžete spustit úplný export dle článku 15 z administrátorského rozhraní, nebo je potřeba lístek podpory?
Kaskáda výmazu
Šíří se výmaz do všech cache agentů, vektorových úložišť a subzpracovatelů do 30 dnů?
Lidský přezkum dle článku 22
Můžete konfigurovat, která rozhodnutí agenta vyžadují lidské schválení? Standardně schválení pro destruktivní akce.
Export auditního záznamu
Je auditní záznam exportovatelný ve formátu použitelném pro dotazy dozorových orgánů (JSON, CSV)?
Časování oznámení o narušení
Zavazuje se poskytovatel, že vás bude informovat do 48–72 hodin od zjištění narušení?
Souhlas s telefonním hovorem
Pokud jsou používáni hlasoví agenti, řeší platforma pravidla souhlasu specifická pro jurisdikci (oboustranně v DE/AT/CH)?
Exit plán
Pokud zrušíte, existuje zdokumentovaný proces vrácení a výmazu s dokladem o výmazu?
Časté dotazy
Je platforma AI agentů správcem nebo zpracovatelem podle GDPR?+
Téměř ve všech scénářích pro malé a střední podniky je zákazník správcem a platforma AI agentů zpracovatelem. Platforma funguje podle pokynů zákazníka, zpracovává data v tenantu zákazníka a neurčuje účely zpracování.
Zakazuje článek 22 (automatizované rozhodování) AI agenty?+
Ne. Článek 22 vyžaduje, aby subjekty údajů měly právo na lidský přezkum u rozhodnutí s právními nebo podobně významnými dopady. Platformy AI agentů jsou v souladu tím, že nabízejí konfigurovatelné brány pro lidské schválení pro každý typ rozhodnutí. Zákazníci (správci) konfigurují, která rozhodnutí procházejí lidským přezkumem.
Mohu používat platformu AI agentů se sídlem v USA podle GDPR?+
Ano, pokud poskytovatel funguje v rámci EU-US Data Privacy Framework nebo používá standardní smluvní doložky s platným posouzením dopadu přenosu. Před podpisem se zeptejte na certifikaci DPF nebo dokumentaci SCC. Upřednostnění poskytovatelů se sídlem v EU to zjednodušuje.
Spadají AI agenti kromě GDPR také pod EU AI Act?+
Ano. EU AI Act přidává k GDPR požadavky na transparentnost, klasifikaci rizik a lidský dohled. Většina firemních AI agentů spadá do kategorie „omezené riziko" (vyžaduje se transparentnost ohledně používání AI), nikoli „vysoké riziko". Hlasoví agenti navíc spadají pod pravidla transparentnosti, která vyžadují zveřejnění, že uživatel mluví s AI.
Jaký je největší rizikový faktor GDPR pro kupující AI agentů?+
Doložky o trénování. Mnoho poskytovatelů má standardně opt-out pro každou funkci pro zlepšení modelu, což je pro malé a střední podniky s mnoha uživateli prakticky nevymahatelné. Trvejte na smluvním standardu netrénování ve smlouvě o zpracování osobních údajů (DPA).
Vyžadují nahrávky hovorů podle GDPR vždy souhlas?+
V Rakousku, Německu a Švýcarsku: ano, obě strany musí souhlasit před nahráváním. V ostatních členských státech EU se pravidla souhlasu liší. Platforma hlasových agentů v souladu s předpisy vysvětlí nahrávání na začátku hovoru a zaznamená souhlas do auditního logu – tak to funguje ve všech jurisdikcích.
Jak dlouho musím uchovávat auditní záznamy agentů?+
Pro neregulovaná obchodní data: volba zákazníka, výchozí 90 dní. Pro daňově relevantní akce (faktury, platby): 10 let podle GoBD (DE) / RGS (AT). Compliance agent odděluje tyto dvě kategorie, abyste neregulovaná data neuchovávali příliš dlouho.
Získejte DPA před nákupem
Zarezervujte si 30minutovou schůzku s naším týmem pro dodržování předpisů. Projdeme celou smlouvu o zpracování osobních údajů (DPA), seznam subzpracovatelů a protokolárně zodpovíme každou z 12 otázek kontrolního seznamu.