Článok

Späť na články
#umelá inteligencia #GDPR #ochrana osobných údajov #AI Act #biometrické údaje #AI aplikácie #digitálne súkromie #kybernetická bezpečnosť #ochrana dát #AI regulácia #AI trendy #data protection

AI trendy a GDPR: Čo si (ne)uvedomujeme pri nahrávaní fotiek a zdieľaní osobných údajov s umelou inteligenciou

12.3.2026 | Autor: Miroslava Žiaková
7

AI karikatúry, avatary či chatboty sú dnes bežnou súčasťou online sveta. Málokto si však uvedomuje, že pri nahrávaní fotiek alebo zadávaní údajov do AI nástrojov môže dochádzať k spracúvaniu biometrických a osobných údajov podľa GDPR. Prečítajte si, na čo si dať pozor pri používaní umelej inteligencie.

AI trendy a GDPR: Čo si (ne)uvedomujeme pri nahrávaní fotiek a zdieľaní osobných údajov s umelou inteligenciou

Máte už na svojom profile svoju karikatúru tak, ako Vás vidí umelá inteligencia (AI)?  

Tisíce ľudí zdieľali v posledných týždňoch svoju AI karikatúru. Milý obrázok. Ale vedeli ste, že ste pri tom pravdepodobne poskytli svoju biometriu americkej spoločnosti, súhlasili s použitím vašej tváre na tréning AI modelu a ak ste do apky nahrali aj fotku dieťaťa alebo kolegu, porušili ste ochranu osobných údajov? 
Karikatúry sú len jeden z príkladov. Umelá inteligencia sa stala súčasťou nášho každodenného života – chatboty, generátory textov, AI asistenti v práci. Málokto však premýšľa nad tým, čo nahrávanie fotiek alebo zadávanie osobných informácií do AI nástrojov reálne znamená z pohľadu ochrany osobných údajov.

 Karikatúra, avatar, Ghibli filter a Váš biometrický údaj 

Keď nahráte fotku do AI aplikácie, ktorá z nej vytvorí karikatúru, animovaný avatar alebo umelecký portrét, aplikácia vykoná niečo viac ako len „zmenu filtra“. Technicky prebieha rozpoznanie tváre, extrakcia geometrických parametrov – vzdialenosť očí, tvar čeľuste, proporcie – a ich spracovanie AI modelom. Tieto parametre sú biometrickými údajmi podľa čl. 9 GDPR1 : osobitná kategória s najvyššou úrovňou ochrany. 

Čo sa s vašimi dátami typicky deje: 

  • Väčšina bezplatných aplikácií má v podmienkach klauzulu o možnosti použitia vašich fotografií na tréning vlastného AI modelu. 
  • Aplikácie ako Lensa vyžadujú 10–20 selfie – čím vytvárajú mini-model priamo z Vašej biometrie. 
  • Virálny ChatGPT Ghibli trend spracúva fotografie na serveroch OpenAI v USA – ide o prenos osobných údajov mimo EÚ, ktorého podmienky sú upravené v Kapitole V nariadenia GDPR. 
  • Ak ste nahrali fotku dieťaťa alebo kolegu: tieto osoby nedali súhlas. Je to porušenie GDPR bez ohľadu na to, ako „nevinne“ výsledok vyzerá.  

Osobný údaj nie je len rodné číslo 

Fotografia tváre je osobný údaj. Ak umožňuje identifikáciu konkrétnej osoby, a vo väčšine prípadov umožňuje, ide o spracúvanie osobných údajov podľa nariadenia GDPR. Ľudia si navyše často neuvedomujú, čo všetko do AI nástrojov zadávajú: 

  • fotografie tváre (aj detské) – nahrávané do generátorov portrétov, face-swap aplikácií, nástrojov na úpravu snímok, 
  • hlasové nahrávky – AI vie z hlasu odvodiť zdravotný stav, emócie či identitu, 
  • texty s informáciami o tretích osobách – kolegoch, klientoch, rodinných príslušníkoch, 
  • skeny dokladov, zmluvy, faktúry, databázy klientov, 
  • zdravotné informácie, finančné údaje či interné firemné dokumenty.  

Kde končí Vaša fotka? 

Väčšina populárnych AI nástrojov je prevádzkovaná na serveroch v USA alebo iných krajinách mimo Európskeho hospodárskeho priestoru (EHP). Prenos osobných údajov do týchto krajín je povolený len za podmienok uvedených v Kapitole V GDPR, napr. na základe štandardných zmluvných doložiek (SCC) alebo rozhodnutia Komisie EÚ o primeranosti ochrany. 
Slovenský zákon č. 18/2018 Z. z. o ochrane osobných údajov tieto povinnosti preberá. Úrad na ochranu osobných údajov SR (ÚOOÚ SR) ich aktívne vymáha. Pred používaním akejkoľvek AI platformy preto vždy overte, či poskytovateľ garantuje primerané záruky podľa GDPR. 
Nielen prenos, ale aj doba uchovávania údajov má zásadný význam. Mnohé AI nástroje si v podmienkach vyhradzujú právo použiť vstupné údaje na zlepšovanie služieb, tréning modelov alebo vývoj nových produktov. Používateľ tak môže stratiť kontrolu nad vlastným obsahom – vrátane fotografií, ktoré nahral v súlade s podmienkami služby, ktoré pri registrácii nečítal. 

Zamrazilo by Vás, keby sa to dostalo von? 

Pred tým, ako niečo do AI nástroja zadáte, položte si jednoduchú otázku: 
Čo by sa stalo, keby sa obsah mojich AI konverzácií stal verejným?“ Ak Vás pri tej predstave zamrazí, je čas prehodnotiť spôsob používania. 

Mnohí si neuvedomujú, že AI účty s históriou konverzácií sú atraktívnym cieľom pre útoky. Ak sa niekto dostane do vášho AI účtu (napríklad cez phishing), môže mať prístup k celej histórii vložených údajov – k interným plánom, osobným informáciám, zmluvám, finančným údajom. Internet má jednu nepríjemnú vlastnosť: ak sa niečo dostane von, jeho úplné vymazanie je často prakticky nemožné. 
Bez riadnych bezpečnostných opatrení by ste do verejných AI nástrojov nemali zadávať: 

  • citlivé osobné údaje (zdravotné údaje, rodné čísla, identifikačné údaje), 
  • interné dokumenty a stratégie firmy, obchodné tajomstvá, 
  • kompletné zmluvy, faktúry a databázy klientov, 
  • heslá a prístupové údaje, 
  • fotografie iných ľudí bez ich vedomia a súhlasu. 

Kto je zodpovedný a za čo? 

Keď používate AI nástroj na osobné účely, prevádzkovateľom (zodpovedným subjektom) je zvyčajne poskytovateľ služby. Ak však do AI zadávate údaje o iných osobách – kolegoch, klientoch, partneroch – ste to Vy, kto nesie zodpovednosť za ochranu týchto údajov. 
To platí dvojnásobne vo firemnom prostredí. Ak firma používa ChatGPT, Microsoft Copilot alebo iný AI nástroj a zamestnanci doň zadávajú osobné údaje klientov, má firma postavenie prevádzkovateľa a povinnosť: 

  • mať právny základ na takéto spracúvanie, 
  • uzatvoriť zmluvný vzťah s poskytovateľom AI ako sprostredkovateľom (zmluva o spracúvaní podľa čl. 28 GDPR),
  • informovať dotknuté osoby o tomto spracúvaní.

Bez toho ide o porušenie GDPR, a to aj v prípade dobrého úmyslu.Výsledkom pochybenia zamestnancov, ktorí (aj keď z nevedomosti) zadajú do AI nástroja citlivé firemné dáta alebo interné know-how, je nielen porušenie interných smerníc, ale aj strata reputácie firmy, finančné škody, či regulačné problémy. 

Čo prináša AI Act - európske nariadenie o umelej inteligencii 

Od augusta 2024 je platné Nariadenie EÚ 2024/1689 – AI Act, prvý komplexný právny predpis regulujúci umelú inteligenciu. Jeho kľúčové ustanovenia nadobúdajú účinnosť postupne: 

  • Február 2025: zákazy zakázaných praktík (vrátane biometrickej identifikácie v reálnom čase na verejných miestach a systémov sociálneho skórovania) sú plne vymáhateľné. 
  • August 2025: pravidlá pre modely všeobecného účelu (napr. ChatGPT, Gemini) – povinnosti transparentnosti a dokumentácie. 
  • August 2026: väčšina povinností pre vysokorizikové AI systémy (napr. v zdravotníctve, školstve, HR, doprave). 
  • August 2027: predĺžené prechodné obdobie pre vysokorizikové AI systémy zabudované do regulovaných produktov (napr. zdravotnícke pomôcky, strojové zariadenia). 

AI Act a GDPR sa navzájom dopĺňajú. Ak AI systém spracúva osobné údaje – čo karikatúrne apky a chatboty takmer vždy robia – musia byť splnené požiadavky oboch nariadení súčasne. 

Praktické rady - čo áno a čo nie 

Pre jednotlivcov: 

  • Nikdy nenahrávajte fotky iných ľudí (ani detí) bez ich vedomia a súhlasu. 
  • Pred použitím AI apky si prečítajte Zásady ochrany súkromia (Privacy Policy), nie len Všeobecné podmienky. 
  • Do chatbotov nezadávajte citlivé osobné údaje (rodné čísla, zdravotné informácie, doklady). 
  • Overte, kde sídli poskytovateľ AI a kde sú vaše dáta uložené. 
  • Skontrolujte, či AI nástroj umožňuje vymazanie vašich dát (právo na výmaz podľa čl. 17 GDPR). 
  • Zabezpečte svoj AI účet: silné heslo + viacfaktorová autentifikácia (MFA). 

Pre firmy a zamestnávateľov: 

  • Spracujte internú AI smernicu, v ktorej stanovte, čo zamestnanci smú a nesmú zadávať do AI nástrojov, ako majú postupovať v prípade incidentu. 
  • Zvážte, či nie je potrebné posúdiť vplyv na ochranu údajov podľa čl. 35 GDPR (DPIA) pri zavádzaní AI nástrojov. 
  • Uzatvorte zmluvu o spracúvaní osobných údajov s poskytovateľom AI (podľa čl. 28 GDPR). 
  • Zakážte zadávanie osobných údajov klientov a iných „ostrých údajov“ do verejných AI nástrojov. 
  • Zabezpečte pravidelné školenia zamestnancov o bezpečnom používaní AI. 
  • Zaveďte viacfaktorovú autentifikáciu (MFA) na firemných AI účtoch a pravidelný audit ich používania. 
  • Nechajte so poradiť od odborníkov, ktorí sa venujú AI a zabezpečia súlad Vašich procesov s legislatívou. 

Karikatúra namiesto profilovej fotky je roztomilá. Ale rovnako ako pri e-mailoch, cloudových úložiskách či sociálnych sieťach platí: technológia je bezpečná len natoľko, nakoľko bezpečne ju používame. GDPR a AI Act tieto pravidlá stanovujú jasne. Naša úloha – či sme bežní používatelia, firmy alebo verejné inštitúcie – je vedieť ich a dodržiavať ich. Pretože ochrana osobných údajov nie je byrokracia. Je to rešpekt k ľudskej dôstojnosti v digitálnom veku. 

Miroslava Žiaková

Miroslava Žiaková

Študovala ekonómiu a právo. Počas svojej kariéry získala rozsiahle skúsenosti v súkromnom aj verejnom sektore. Okrem práce ako konzultantka v oblasti ochrany osobných údajov sa venuje aj publikovaniu a prednášaniu. Vo svojej práci kladie dôraz na profesionalitu a neustále vzdelávanie.