Určení zodpovědnosti: AI a GDPR

Firmy, které nasazují umělou inteligenci a současně pracují s osobními údaji, stojí před zásadní otázkou: Kdo ve firmě zodpovídá za její bezpečné a legální používání? A jak se vyhnout situacím, kdy jedna osoba obrazně „hází kostky“ a zároveň kontroluje, zda jsou dodržena pravidla? Zjednodušeně řečeno: AI Officer (AIO) má na starosti výkon a etiku AI, zatímco DPO (Pověřenec pro ochranu osobních údajů) dohlíží na ochranu dat. Kombinace obou rolí může šetřit náklady, ale jen pokud je správně nastavena.

V praxi firmy často ani netuší, kolik AI systémů už používají. Chatboty, prediktivní nástroje pro zákazníky, automatizovaná detekce podvodů či personalizace obsahu – to vše jsou aplikace AI, které často pracují s osobními údaji. Správná mapa systémů je prvním krokem. Druhým je jasné vymezení zodpovědnosti – tedy kdo co sleduje a kdo o čem rozhoduje. Nedorozumění mezi IT, právním oddělením a managementem vytvářejí „šedé zóny“, kde hrozí vysoké riziko porušení GDPR nebo aktu o AI (AI Act).

AI Officer není jen projektový manažer. Dohlíží na to, aby AI fungovala bezpečně, eticky a v souladu s legislativou – včetně provádění posouzení dopadů AI (AI Impact Assessment), která odhalují potenciální rizika algoritmů. DPO zase kontroluje zákonnost zpracování osobních údajů, vede záznamy o činnostech, hlásí incidenty a zajišťuje principy záměrné ochrany dat (Privacy by Design). Jejich role se překrývají při kontrole dat v AI systémech, ale jejich cíle se liší: AIO maximalizuje výkon a inovaci, DPO chrání práva subjektů údajů.

Pro menší firmy s jednoduchým nasazením AI může DPO zvládnout roli AIO s pomocí externího konzultanta. Příkladem může být malá fintech firma se 30 zaměstnanci, kde DPO převzal správu AI (AI governance) a externí konzultant vytvořil potřebný rámec a procesy. Úspora je zřejmá: Náklady na externistu a čas DPO jsou stále nižší než plat nového zaměstnance na pozici AI Officer.

Střední organizace využívající vysokorizikovou AI, například pojišťovny, již potřebují dedikovaného AI Officera. Ten dohlíží na algoritmy rozhodující o výši pojistného, testuje podjatost (bias) a monitoruje etiku AI. DPO se v takovém případě soustředí na ochranu citlivých údajů a jejich právní soulad. Oba specialisté pravidelně sdílejí poznatky, čímž vzniká jednotný přístup k rizikům a optimalizovaná dokumentace.

U velkých technologických firem s desítkami AI systémů jsou nezbytné dva samostatné týmy. AI Officer řídí inovace a testování, zatímco DPO sleduje soulad s GDPR. Synergie je zde klíčová: Sdílení dat, inventarizace systémů, školení týmů a společná komunikace s regulátory. Bez úzké spolupráce hrozí vznik oblastí bez dohledu, kde může snadno dojít k pochybení.

Konflikt zájmů hrozí zejména tehdy, pokud jedna osoba rozhoduje o fungování AI a zároveň kontroluje legálnost zpracování dat. Typické konfliktní scénáře zahrnují:

• Maximalizace výkonu modelu vs. minimalizace objemu dat.

• Netransparentní „black box“ algoritmy vs. povinnost vysvětlit rozhodnutí klientovi.

• Rychlé spuštění marketingové kampaně vs. nutnost provést posouzení vlivu na ochranu údajů (DPIA).

Pokud tyto protichůdné zájmy řeší jediná osoba, hrozí přehlédnutí práv subjektů údajů a následně vysoké pokuty, které mohou dosahovat až několika procent z celkového obratu firmy.

Řešení spočívá v jasném nastavení rolí:

AI Officer jako kontrolní role (compliance): Kontroluje, zda se AI používá v souladu s pravidly a etikou, ale nesmí rozhodovat o účelu ani prostředcích zpracování. V této konfiguraci může být zároveň pověřencem DPO.

AI Officer jako strategická role: Rozhoduje o vývoji, implementaci a nasazení AI. V takovém případě nesmí zastávat funkci DPO.

Pro manažery malých a středních podniků (SME) je klíčových pět kroků: nejdříve zmapovat AI systémy, identifikovat zodpovědnosti, určit konkrétní osobu, zdokumentovat její roli a investovat do školení. Tím se vyhnete situaci, kdy při případné kontrole nebudete mít jasnou odpověď na otázku, kdo za co odpovídá.

Praktické zkušenosti ukazují, že správné nastavení rolí šetří čas i peníze. DPO a AI Officer nemusí být konkurenty, ale partnery, kteří společně tvoří bezpečné prostředí pro inovace. Vzhledem k tomu, že dozorové orgány kladou stále větší důraz na doložitelnou odpovědnost a mohou ukládat citelné pokuty za procesní nedostatky, není jasné vymezení kompetencí luxusem, ale nezbytností. Pro každou firmu, která chce využívat umělou inteligenci efektivně a v mezích zákona, představuje tato transparentnost zásadní konkurenční výhodu.