AI, GDPR & digitální právo

01 · O oblasti

Regulatorní prostředí digitálních služeb prošlo v EU v posledních letech fundamentální proměnou. GDPR, AI Act, Data Act, Data Governance Act, DSA, DMA a NIS2 tvoří hustou síť povinností, které dopadají prakticky na každou firmu pracující s daty, algoritmickým rozhodováním nebo online platformou. Naší rolí je klientovi pomoci v této síti najít orientaci a dělat obchodní rozhodnutí s vědomím právního rizika.

Agendu vede Marek Poloni, který se kromě transakčního práva dlouhodobě zaměřuje na datové a AI právo. O AI Actu a jeho dopadech na české podnikání pravidelně přednáší pro firmy, profesní komory i interní školení klientů. Díky tomu umí regulaci vysvětlit i netechnickým posluchačům a zároveň ji operacionalizovat do konkrétních kroků.

Pro klienty děláme tři typické kroky: (1) klasifikace rizika a gap analýza — co konkrétně musíte splnit a co ne, (2) operacionalizace — smlouvy, interní politiky, záznamy o zpracování, DPIA, (3) roll-out a školení — aby lidé ve firmě věděli, co mají dělat. Tento postup používáme pro GDPR i pro AI Act.

U smluv o vývoji AI a data licensingu řešíme citlivé otázky: komu patří trénovací data, komu výstupy, kdo odpovídá za chybu modelu, jak nastavit SLA u probabilistického systému. Klienty provedeme i standardy pro oblasti jako fine-tuning, RAG architektury, open-source modely nebo využití foundation modelů třetích stran.

02 · Co přesně děláme

AI Act compliance

Klasifikace AI systému (nezakázaný / vysoce rizikový / GPAI / limitovaný), gap analýza, dokumentace (technická, risk management, post-market monitoring), CE značení pro high-risk systémy.

Smlouvy o vývoji AI

Development agreements, licenční modely, IP k trénovacím datům i k výstupům, odpovědnost za halucinace, SLA pro probabilistické systémy, exit a portabilita.

Data licensing

Data sharing agreements, data licensing, data pools, Data Act compliance, anonymizace a pseudonymizace, sekundární využití dat, cross-border data transfers.

GDPR audity & DPIA

GDPR audit firmy, záznamy o činnostech zpracování, posouzení vlivu na ochranu osobních údajů (DPIA), cookies a consent management, reakce na žádosti subjektů.

DSA & DMA compliance

Pro platformy a e-shopy — povinnosti podle Digital Services Act (transparentnost, moderace, reporting), implementace notice-and-action, compliance pro gatekeepery dle DMA.

E-commerce & spotřebitel

Podmínky pro online prodej, reklamační řád, odstoupení od smlouvy, dark patterns, omnibus směrnice, marketing a cookies, compliance s ČOI a úřadem pro ochranu údajů.

03 · Typické mandáty

2025

AI Act gap analýza pro českou fin-tech společnost využívající ML modely pro credit scoring — klasifikace jako high-risk, plán dokumentace, risk management framework, příprava interních procesů.

AI Act

2024–2025

Smlouva o vývoji custom AI asistenta pro korporátního klienta — licenční model, IP k fine-tuningu, data licensing pro trénink, SLA, odpovědnost za halucinace, exit a portabilita modelu.

AI development

2024

GDPR audit a redesign consent flow pro česko-slovenský marketplace — DPIA, cookies consent, záznamy o zpracování, postupy pro reakci na žádosti subjektů, DPA se subdodavateli.

GDPR

2024

Přednáška a školení o AI Actu pro management výrobní společnosti s 300+ zaměstnanci — klasifikace interně vyvíjených AI nástrojů, governance model, role DPO vs. AI compliance officer.

Školení

2023

DSA compliance pro střední český online marketplace — implementace notice-and-action mechanismu, transparentnost algoritmického doporučování, ochrana nezletilých, reporting povinnosti.

DSA

04 · Ze znalostního centra

AI & GDPR

AI Act — co přesně musím splnit a odkdy?

Otevřít odpověď