GDPR a ChatGPT: Co smíte a co ne (praktický přehled pro české firmy)
Smíte posílat do ChatGPT jména zákazníků? A co smlouvy nebo interní dokumenty? Jasný přehled pro firmy, který nevyžaduje právnický slovník.
Jedna z nejčastějších obav českých firem: „Smíme vůbec používat ChatGPT, když pracujeme s daty zákazníků?”
Odpověď není jednoduchá - záleží na tom, co do AI posíláte a za jakých podmínek. Tento přehled vám pomůže rozhodnout se v konkrétních situacích.
Důležité upozornění: Tento text je informativní a neslouží jako právní poradenství. Pro konkrétní situaci ve vaší firmě se poraďte s právníkem nebo DPO.
Základní princip: ChatGPT je zpracovatel dat
Když posíláte data do ChatGPT, OpenAI (nebo Microsoft u Copilota, Google u Gemini) se stává zpracovatelem osobních údajů ve smyslu GDPR. Vy zůstáváte správcem.
To znamená, že zodpovědnost za to, zda je zpracování zákonné, leží primárně na vás.
Co smíte posílat
✅ Anonymizovaná nebo agregovaná data
Pokud z textu odstraníte všechny identifikátory (jméno, email, telefon, adresu, IČO fyzické osoby), můžete data posílat volně.
Příklad: Místo „Zákazník Jan Novák z Brna si stěžuje na…” → „Zákazník si stěžuje na…”
✅ Interní procesy a dokumenty bez osobních dat
Šablony smluv bez konkrétních jmen, procesní dokumenty, marketingové texty, FAQ - to vše je v pořádku.
✅ Vlastní data (o sobě nebo firmě)
Firemní strategie, interní komunikace bez osobních dat třetích stran, technická dokumentace.
✅ Veřejně dostupné informace
Analýza trhu, přehledy konkurence, veřejné dokumenty.
Co NEsmíte posílat (bez dalšího opatření)
❌ Jména a kontakty zákazníků
Email, telefon, adresa, kombinace jméno + firma = osobní údaj.
❌ Citlivé osobní údaje
Zdravotní informace, finanční situace, rodná čísla, čísla dokladů. Tyto kategorie podléhají přísnějšímu režimu GDPR.
❌ Databáze zákazníků nebo leadů
Exporty z CRM, emaily ze schránek zákazníků, účetní záznamy s identifikátory.
❌ Obsah emailů od zákazníků
Pokud zákazník psal vám, jeho email obsahuje osobní údaje. Bez anonymizace jej do AI posílat nelze.
Šedá zóna: Co záleží na kontextu
Smlouvy s konkrétními jménami
Záleží na účelu. Pokud potřebujete smlouvu zkontrolovat, anonymizujte jména a ponechte strukturu. Právní obsah zůstane stejný.
Přepisy schůzek
Přepis meetingu, kde jsou jmenováni konkrétní lidé, jsou osobní údaje. Řešení: buď anonymizovat, nebo použít nástroj s EU datovou residencí a uzavřenou DPA.
HR dokumenty
Životopisy, hodnocení zaměstnanců, mzdové informace - přísně chráněné. Neposílat do veřejného ChatGPT.
Jak to udělat správně
Možnost 1: Anonymizovat před odesláním
Nejjednodušší řešení. Vytvořte si postup (nebo šablonu), jak data anonymizovat před vložením do AI.
Možnost 2: ChatGPT Enterprise nebo Microsoft Copilot for M365
Tyto verze nabízí:
- Data Processing Agreement (DPA) - smlouva o zpracování dat
- Data se nepoužívají k trénování modelu
- Možnost EU datové residency (Copilot)
Cena: od ~25 USD/uživatel/měsíc.
Možnost 3: Lokální AI model
Nástroje jako Ollama s modelem Mistral nebo Llama lze provozovat na vlastním serveru. Data neopustí vaši infrastrukturu.
Pro firmy s citlivými daty (zdravotnictví, právní služby, HR) je toto nejjistější cesta.
Praktický checklist
Před každým použitím AI s firemními daty si odpovězte:
- Obsahuje text jméno, email, telefon nebo adresu konkrétní osoby?
- Jde o citlivé osobní údaje (zdraví, finance, HR)?
- Máte s daným AI poskytovatelem uzavřenou DPA?
- Je v podmínkách nástroje zakotveno, že data nejdou do trénování?
Pokud odpovíte „ano” na první dvě otázky a „ne” na třetí nebo čtvrtou - data nejprve anonymizujte.
Závěr
ChatGPT a podobné nástroje lze v české firmě používat legálně - ale vyžaduje to trochu disciplíny. Zavedení jednoduché anonymizační rutiny vám ušetří potenciálně velmi nepříjemné problémy s ÚOOÚ.
Nejbezpečnější kombinace pro firmy: ChatGPT Enterprise nebo Copilot for M365 + interní pravidla pro práci s daty.
Chcete AI zavést ve firmě?
Flylight.ai pomáhá českým firmám s implementací AI a automatizací - bez potřeby IT oddělení.
Zjistit více →