AI a firemné dáta: čo smieš vložiť do chatbota a ako neporušiť GDPR
Čo smieš vložiť do ChatGPT ako podnikateľ? Praktický návod, ako používať AI nástroje bez porušenia GDPR a bez zbytočného rizika.
Pavol Duchon
Biznis mentor
AI a firemné dáta: čo smieš vložiť do chatbota a ako neporušiť GDPR
Zamestnanci vo firmách po celej Európe denne kopírujú do ChatGPT zmluvy, e-maily klientov, interné reporty aj mzdové tabuľky. Väčšina z nich o GDPR v tej chvíli ani nepremýšľa. A väčšina konateľov a manažérov o tom vôbec nevie — alebo nechce vedieť.
Podľa správy LayerX Security z roku 2025 obsahuje takmer 40 % súborov nahrávaných zamestnancami do generatívnych AI nástrojov osobne identifikovateľné informácie alebo dáta platobných kariet. To nie je hrozba budúcnosti — to je realita, ktorá sa deje vo firmách teraz, vrátane tých na Slovensku.
Tento článok nie je právna analýza. Je to praktický pohľad konateľa na to, kde sú hranice, čo sa deje keď ich firma prekročí, a ako si nastaviť minimálne rozumné zábrany — bez toho, aby ste zablokovali AI využitie úplne.
Prečo sú AI a firemné dáta témou práve teraz
Adopcia AI v podnikoch rastie rýchlo. Regulácia za ňou zaostáva, ale dobieha.
Dve veci sa dejú súbežne:
Za prvé: EU AI Act postupne nadobúda plnú účinnosť. Kľúčové povinnosti pre tzv. high-risk AI systémy vstúpia do platnosti v auguste 2026. Pre väčšinu malých a stredných firiem to priamo neznamená okamžitú záťaž — ale signalizuje to, akým smerom sa regulácia uberá.
Za druhé: GDPR nie je pre AI nástroje žiadna výnimka. Talianska dozorná autorita (Garante) udelila v decembri 2024 spoločnosti OpenAI pokutu 15 miliónov eur za spracovanie osobných údajov bez právneho základu, nedostatok transparentnosti a zlyhanie vekového overenia. Súd v Ríme túto pokutu v marci 2026 zrušil — nie však preto, že by konanie OpenAI bolo v poriadku, ale z procesných dôvodov: po založení írskej pobočky OpenAI prešla právomoc na írsky dozorný orgán. Pre firmy z toho plynie podstatné ponaučenie: regulátori AI nástroje aktívne preverujú a prvý veľký prípad stroskotal na jurisdikcii, nie na obsahu.
Kumulatívna suma všetkých GDPR pokút od roku 2018 dosiahla podľa CMS GDPR Enforcement Tracker Report (uzávierka 1. 3. 2026) takmer 6,11 miliardy eur pri 2 685 zaznamenaných prípadoch. Regulátori nehrajú divadlo.
Shadow AI: problém s firemným dátami, ktorý väčšina firiem ignoruje
Shadow AI je situácia, keď zamestnanci používajú AI nástroje bez vedomia IT oddelenia, bez schválenia vedenia a bez akejkoľvek zmluvy alebo nastavenia na firemnej úrovni. Nie je to výnimočný jav — je to norma.
Viaceré prieskumy a odborné správy dlhodobo ukazujú, že značný podiel zamestnancov si do práce prináša vlastné AI nástroje — teda také, ktoré im firma neschválila ani nezabezpečila. Zákaz bez alternatívy teda nefunguje. Funguje len vtedy, keď je sprevádzaný náhradou a vzdelaním.
Z mojej praxe vidím, že firmy majú väčšinou jeden z dvoch prístupov:
- Ignorovanie: „Veď čo sa môže stať, to predsa len pomáha s prácou.”
- Totálny zákaz: Ktorý, ako sme videli, nefunguje a navyše oberá firmu o produktivitu.
Chýba tretia cesta: riadená adopcia s jasnými pravidlami. A práve o nej je tento článok.
Podľa správy LayerX Security z roku 2025 sú generatívne AI nástroje zodpovedné za 32 % celého neoprávneného pohybu dát v podnikoch. Toto číslo by malo zaujať každého konateľa — nie preto, aby AI zakázal, ale preto, aby sa zamyslel, čo konkrétne v jeho firme tečie von a kadiaľ.
Čo smieš a čo nesmieš vložiť do chatbota: praktický prehľad firemných dát
Čo smiem vložiť do ChatGPT ako podnikateľ?
Nie každý vstup do AI nástroja je problém. Problém nastáva vtedy, keď vkladáte osobné údaje fyzických osôb — zamestnancov, klientov, dodávateľov — bez právneho základu a bez zodpovedajúcej zmluvy so spracovateľom.
Kľúčový rozdiel pred tým, než sa pozriete na tabuľku:
- Anonymizácia (v zmysle GDPR) znamená nezvratné odstránenie akejkoľvek možnosti identifikovať osobu — vrátane kontextu. Skutočne anonymizované dáta nie sú osobnými údajmi a GDPR sa na ne nevzťahuje. Dosiahnuť skutočnú anonymizáciu je však ťažšie, než to vyzerá.
- Pseudonymizácia znamená nahradenie identifikátorov neutrálnymi označeniami (napríklad meno „Jana Kováčová” → „Klient A”, rodné číslo → „ID-001”). Dáta sú stále osobnými údajmi a GDPR sa na ne naďalej vzťahuje. Riziko sa znižuje, ale pseudonymizácia nie je náhrada za DPA — je to doplnkové technické opatrenie, nie samostatný právny základ. Stále potrebujete DPA alebo iný právny základ podľa GDPR čl. 6.
| Typ dát | Riziko | Odporúčanie | Príklad z praxe |
|---|---|---|---|
| Všeobecné texty, šablóny, brainstorming bez mien | Nízke | Bez obmedzení | Návrh marketingového textu, štruktúra prezentácie |
| Skutočne anonymizované dáta (nezvratne, bez kontextu umožňujúceho identifikáciu) | Nízke | Spravidla bez problémov | Agregované štatistiky predaja bez mien |
| Pseudonymizované dáta (nahradené identifikátory) | Stredné | Znižuje riziko, ale nevylučuje potrebu DPA | Zmluva s „Klient A” namiesto mena — dáta sú stále osobnými údajmi |
| Verejne dostupné informácie o firme | Nízke | Bez obmedzení | Popis produktov, verejné referencie |
| Zmluvy s menami a kontaktnými údajmi klientov | Vysoké | Nevkladať bez DPA | Kúpna zmluva s menom a adresou kupujúceho |
| Mzdové dáta, osobné spisy zamestnancov | Veľmi vysoké | Nevkladať vôbec | Mzdová tabuľka, hodnotenie výkonu s menami |
| E-maily s osobnými údajmi tretích strán | Vysoké | Nevkladať bez DPA | E-mailová komunikácia s klientom |
| Citlivé regulačné informácie (zdravotné, finančné) | Veľmi vysoké | Nevkladať vôbec | Zdravotná dokumentácia, bankové výpisy |
| Dáta platobných kariet (PCI) | Kritické | Nikdy nevkladať | Číslo karty, CVV kód |
DPA = Data Processing Agreement. Bez DPA sa musí nájsť iný právny základ podľa GDPR čl. 6 (súhlas, plnenie zmluvy, právna povinnosť a pod.), čo je pri vkladaní osobných údajov do externých AI nástrojov zvyčajne nepraktické a ťažko obhájiteľné.
Toto nie je paranoja. Takmer 40 % súborov nahrávaných zamestnancami do AI nástrojov obsahuje osobne identifikovateľné informácie alebo dáta platobných kariet, uvádza správa LayerX Security z roku 2025.
Ako neporušiť GDPR pri používaní AI: kľúčové podmienky
GDPR funguje na jednoduchom princípe: ak spracúvate osobné údaje, musíte mať právny základ a musíte vedieť, kto dáta spracúva a za akých podmienok. Pri AI nástrojoch to znamená:
1. Zmluva so spracovateľom (DPA — Data Processing Agreement) Ak vkladáte osobné údaje do akéhokoľvek externého nástroja, musíte mať uzatvorenú DPA. Bez nej ste v porušení GDPR — bez ohľadu na to, že ste „len” použili chatbota. DPA nie je jediná cesta k GDPR zhode — existujú aj iné právne základy podľa čl. 6 — ale je to tá najjasnejšia a najjednoduchšie preukázateľná pri prípadnom audite.
2. Verzia nástroja rozhoduje ChatGPT Business (do augusta 2025 pod názvom Team) a Enterprise verzie majú k dispozícii DPA a OpenAI v nich štandardne nepoužíva vaše dáta na trénovanie modelov. V bezplatnej verzii ChatGPT sa vaše konverzácie štandardne používajú na zlepšovanie modelov, pokiaľ to výslovne nevypnete (prepínač „Improve the model for everyone” v nastaveniach Data Controls). Väčšina firiem na Slovensku používa bezplatnú alebo Plus verziu — a o tomto rozdiele nevie.
3. Pseudonymizácia ako technické opatrenie — nie ako náhrada za DPA Ak potrebujete pracovať s dátami, ktoré obsahujú osobné údaje, zvážte ich pseudonymizáciu pred vložením do AI nástroja. Nahraďte mená a identifikátory neutrálnymi označeniami (Klient A, Zamestnanec 1). Prakticky to vyzerá takto: pred kopírovaním textu zmluvy ručne alebo skriptom nahradíte všetky výskyty mena, adresy a IČO za kódy, a kľúč si uchováte lokálne.
Dôležité upozornenie: pseudonymizované dáta sú naďalej osobnými údajmi v zmysle GDPR. Pseudonymizácia znižuje riziko a demonštruje snahu o zodpovedné spracovanie, ale sama osebe nenahradí DPA ani iný právny základ. Toto opatrenie funguje ako doplnok, nie ako riešenie.
4. Medzinárodný prenos dát: čo znamená „servery mimo EÚ” Aj s podpísanou DPA sa vaše dáta spracúvajú na serveroch OpenAI, ktoré sa nachádzajú mimo EÚ. Po rozhodnutí Súdneho dvora EÚ v prípade Schrems II (2020) sa medzinárodné prenosy osobných údajov musia zakladať na konkrétnych právnych mechanizmoch. OpenAI v rámci svojich firemných plánov využíva štandardné zmluvné doložky (Standard Contractual Clauses, SCCs) schválené Európskou komisiou — ide o najčastejší mechanizmus legálneho prenosu dát do tretích krajín. Bližšie stanoviská k ich aplikácii vydáva Európsky výbor pre ochranu údajov (EDPB). Ak pôsobíte vo finančnom sektore alebo zdravotníctve, odporúčam túto otázku konzultovať s právnikom špecializovaným na ochranu dát, prípadne zvážiť AI nástroje hostované priamo v EÚ.
5. Účel spracovania musí byť legitímny Aj keby ste mali DPA, musíte vedieť odôvodniť, prečo konkrétne dáta spracúvate cez AI. „Lebo to bolo rýchlejšie” nie je právny základ.
ChatGPT, DPA a GDPR: čo potrebujú slovenské firmy vedieť v roku 2026
Situácia pre slovenské firmy je nasledovná:
OpenAI ponúka DPA pre Business a Enterprise plány. Ak váš tím používa bezplatnú verziu alebo individuálne Plus účty hradené firemnou kartou, DPA s najväčšou pravdepodobnosťou nemáte — a teda akékoľvek osobné údaje, ktoré do takéhoto nástroja vložíte, putujú k spracovateľovi bez zodpovedajúcej zmluvnej ochrany.
Bezplatná a Plus verzia tak sťažuje spracovanie osobných údajov v súlade s GDPR. Bez DPA sa musíte spoľahnúť na iný právny základ — napríklad na skutočnú (nie iba pseudonymizovanú) anonymizáciu — a to je v praxi oveľa zložitejšie overiť a dlhodobo udržiavať.
Slovenský kontext: GDPR sa na Slovensku vymáha prostredníctvom Úradu na ochranu osobných údajov SR (ÚOOU). V prípade incidentu alebo kontroly je ÚOOU prvým kontaktným miestom — nie európske inštitúcie. Zoznam povinností prevádzkovateľa a formuláre hlásení nájdete na dataprotection.gov.sk.
To isté platí pre ďalšie bežne používané AI nástroje. Každý má iné podmienky pre firemné využitie a dostupnosť DPA — prehľad nájdete priamo na stránkach poskytovateľov:
- ChatGPT (OpenAI): DPA dostupné pre Business a Enterprise plány — openai.com/enterprise-privacy
- Microsoft Copilot: DPA súčasť Microsoft Products and Services Data Protection Addendum — microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA
- Google Gemini: DPA cez Google Workspace for Business — workspace.google.com/terms/dpa_terms.html
- Anthropic Claude: DPA dostupné pre firemné plány — anthropic.com/legal/privacy
Odporúčam každej firme, ktorá AI používa alebo plánuje používať, prejsť nasledujúce kroky:
- Zmapujte, aké AI nástroje zamestnanci skutočne používajú — vrátane tých, o ktorých IT nevie. Jednoduché riešenie: anonýmny dotazník alebo otvorená diskusia počas pravidelného stretnutia. Väčšina zamestnancov bude úprimná, ak sa necítia byť trestaní.
- Overte, či máte pre každý nástroj uzatvorenú DPA — ak nie, buď nástroj nahraďte, alebo prejdite na firemný plán.
- Nastavte interné pravidlá, ktoré jasne definujú, čo smie a čo nesmie do AI vstupovať.
- Vzdelávajte zamestnancov — zákaz bez vysvetlenia nefunguje, ukazujú to dáta.
AI Act 2026: čo to znamená pre firemné dáta malých firiem na Slovensku
EU AI Act nadobudol plnú účinnosť postupne. Od februára 2025 platia zákazy pre AI systémy s neprijateľným rizikom. Od augusta 2026 vstupujú do platnosti povinnosti pre tzv. high-risk AI systémy — teda systémy, ktoré rozhodujú napríklad o zamestnaní, úveroch, vzdelávaní alebo bezpečnosti.
Väčšiny malých a stredných firiem, ktoré AI využívajú na písanie textov, sumarizáciu alebo interné procesy, sa tieto povinnosti priamo netýkajú. Ale platí niekoľko vecí:
- Ak používate AI na rozhodovanie o zamestnancoch (hodnotenie výkonu, nábor), môžete sa dostať do high-risk kategórie.
- AI Act nijako neruší GDPR — obidve regulácie platia súbežne.
- Firmy, ktoré dnes budujú kultúru zodpovedného používania AI, budú mať pri prípadných auditoch oveľa jednoduchšiu pozíciu.
Minimálny štandard pre firmu, ktorá chce AI a firemné dáta spravovať zodpovedne
Nečakám, že každá malá firma bude mať DPO (Data Protection Officer) a právnika na AI reguláciu. To by nebolo realistické. Ale nasledujúce minimum je dosiahnuteľné pre každú firmu bez ohľadu na veľkosť:
Zodpovednosť: kto to má na starosti? Pre malé firmy bez DPO postačí, ak konateľ alebo IT technik má jasne definovanú zodpovednosť za audit AI nástrojov aspoň raz ročne. Niekoho treba pomenovať — inak sa nestane nič.
Technické opatrenia:
- Firemný plán AI nástroja s DPA (nie individuálne spotrebiteľské účty). ChatGPT Business stojí 25 USD na osobu mesačne, pri ročnej platbe 20 USD — pre mikrofirmu s 2–3 používateľmi ide o zvládnuteľný náklad, nie o luxus.
- Pseudonymizácia dát pred vložením do AI ako doplnkové opatrenie — nie ako náhrada za DPA
- Zákaz vkladania PCI dát (platobné karty) a zdravotných údajov
Ak je firemný plán finančne mimo dosahu: zvážte prísnejší interný monitoring toho, čo zamestnanci vkladajú do bezplatných verzií, prípadne open-source AI model hostovaný lokálne. Pre firmy so špecifickými bezpečnostnými požiadavkami (financie, zdravotníctvo) existujú open-source modely ako Llama alebo Mistral, ktoré sa dajú prevádzkovať na vlastnej infraštruktúre — bez potreby externého DPA. Táto cesta je však technicky a finančne náročnejšia: vyžaduje vlastný IT tím alebo externe hradené operačné služby, hardvérové investície a priebežnú údržbu. Pre väčšinu malých firiem ide o reálnu alternatívu len pri veľmi vysokom bezpečnostnom profile. Ani jedna z týchto alternatív nie je ideálna — ale je to lepšie ako úplná nevšímavosť.
Procesné opatrenia:
- Interná politika používania AI — čo je povolené, čo nie, kto schvaľuje výnimky
- Evidencia AI nástrojov, ktoré firma používa
- Záznam o spracovateľských činnostiach aktualizovaný o AI nástroje
- DPIA (Data Protection Impact Assessment): ak vaša firma zavádza nový AI nástroj do kritických procesov — napríklad automatizované spracovanie zmlúv alebo vyhodnocovanie zamestnancov — zvážte vypracovanie DPIA. Ide o hodnotenie vplyvu na ochranu údajov, ktoré vám pomôže identifikovať a zmierniť riziká ešte pred spustením.
Ľudský faktor:
- Jedno školenie ročne pre zamestnancov o rizikách shadow AI
- Jasný kontaktný bod pre hlásenie incidentov
Toto nie je raketová veda. Je to základ, ktorý väčšina firiem jednoducho nemá nastavený — a práve preto zostávajú firemné dáta v AI nástrojoch bez akejkoľvek kontroly.
Ak chcete tieto témy prejsť konkrétne pre vašu firmu, pozrite si moju stránku mentoringu alebo si dohodnite konzultáciu.
FAQ
Čo smiem vložiť do ChatGPT ako podnikateľ bez porušenia GDPR?
Bez obmedzení môžete vkladať všeobecné texty, šablóny, anonymizované dáta a obsah bez osobných údajov. Problém nastáva pri vkladaní mien klientov, zmlúv s kontaktnými údajmi, mzdových informácií alebo akýchkoľvek citlivých osobných údajov — pokiaľ nemáte uzatvorenú DPA s poskytovateľom AI nástroja a firemný plán, ktorý toto spracovanie zmluvne pokrýva.
Je bezplatná verzia ChatGPT bezpečná pre firemné použitie?
Nie v plnom zmysle slova. Bezplatná a Plus verzia ChatGPT nemá DPA a vaše konverzácie sa štandardne používajú na zlepšovanie modelov, pokiaľ to výslovne nevypnete v nastaveniach Data Controls. Bez DPA sa musíte spoľahnúť na iný právny základ — napríklad na skutočnú anonymizáciu — a to je v praxi oveľa zložitejšie overiť a dlhodobo udržiavať. Pre firemné použitie, kde dochádza k akémukoľvek kontaktu s osobnými údajmi, odporúčam ChatGPT Business alebo Enterprise plán s podpísanou DPA.
Ako skontrolovať, či mám DPA s ChatGPT?
Prihláste sa do svojho ChatGPT účtu a skontrolujte, na akom pláne ste. DPA je dostupné výhradne pre plány Business a Enterprise — nie pre Free ani Plus. Ak platíte firemnú kartu za individuálne Plus účty zamestnancov, DPA nemáte. Zmluvu (Data Processing Agreement) nájdete a podpíšete priamo v nastaveniach firemného účtu po prechode na Business plán, prípadne cez OpenAI stránku pre firemné zákazníctvo na openai.com/enterprise-privacy.
Čo je shadow AI a aké riziko predstavuje pre firemné dáta?
Shadow AI je situácia, keď zamestnanci používajú AI nástroje bez vedomia vedenia a IT — bez schválenia, bez zmluvy, bez akejkoľvek kontroly. Pre malé firmy je to potenciálne väčší problém ako pre korporácie, pretože nemajú IT tímy ani právne oddelenia, ktoré by dôsledky riešili. Keď sa objaví incident, malá firma ho zvládne oveľa ťažšie — finančne aj reputačne. Prvý krok je zmapovanie toho, čo zamestnanci skutočne používajú — anonýmny dotazník postačí.
Čo konkrétne prináša EU AI Act 2026 pre bežné slovenské firmy?
Pre väčšinu malých a stredných firiem, ktoré AI používajú na bežné kancelárske účely, AI Act v roku 2026 nepriniesol drastické zmeny. Povinnosti sa týkajú predovšetkým high-risk systémov — tých, ktoré rozhodujú o ľuďoch v oblastiach ako zamestnanie, úvery alebo vzdelávanie. Ak ale AI používate na hodnotenie zamestnancov alebo rozhodovanie v náborovom procese, mali by ste si tieto povinnosti overiť. GDPR zostáva v plnej platnosti bez ohľadu na AI Act.
Aké sú najčastejšie chyby podnikateľov pri používaní AI?
Tri najčastejšie chyby, ktoré vidím v praxi: po prvé, používanie bezplatných verzií AI nástrojov na spracovanie firemných dát bez akéhokoľvek právneho rámca. Po druhé, presvedčenie, že pseudonymizácia (nahradenie mien za „Klient A”) rieši GDPR — nerieši, dáta sú stále osobnými údajmi. Po tretie, absencia internej politiky — zamestnanci nevedia, čo smú a čo nesmú, a tak si pravidlá tvoria sami. Všetky tri chyby sa dajú opraviť bez veľkých nákladov; stačí sa rozhodnúť, kto za to bude zodpovedný.
Koľko stojí DPA a firemný plán AI nástroja?
DPA samotná nie je samostatný nákup — je súčasťou firemného predplatného. ChatGPT Business stojí 25 USD na osobu mesačne, pri ročnej platbe 20 USD. Pre firmu s tromi používateľmi je to 60 až 75 USD mesačne, teda zhruba 720 až 900 USD ročne. V porovnaní s potenciálnou pokutou za porušenie GDPR — ktorá môže dosiahnuť až 4 % celosvetového ročného obratu alebo 20 miliónov eur podľa toho, čo je vyššie — ide o náklad, ktorý je ľahké obhájiť. Alternatívou sú aj iné nástroje s EÚ hostingom, kde sú cenové podmienky rôzne.
Pavol Duchoň je General Manager a biznis mentor, ktorý pracuje s podnikateľmi a manažérmi na strategických rozhodnutiach — vrátane toho, ako zodpovedne integrovať nové technológie do firemných procesov. Viac o jeho prístupe nájdete na stránke O mne.
Pavol Duchoň
Biznis mentor, ktorý pomáha podnikateľom robiť lepšie rozhodnutia. Praktické riešenia namiesto teórie.
Viac o mne →Premýšľate, či je mentoring pre vás správna voľba? Pozrite si porovnanie s koučom, kurzom a business angelom →
Chcete to riešiť vo vašej firme?
Zarezervujte si konzultáciu a nájdeme riešenie na mieru.
Nestratíte ďalší článok
Praktické rady pre podnikateľov priamo do mailu. Raz mesačne, bez spamu.