Zákon č. 110/2019 Sb. a AI: česká adaptace GDPR v praxi

Zákon č. 110/2019 Sb. a AI: česká adaptace GDPR v praxi — níže praktický pohled pro české firmy.

Co zákon dělá

GDPR (Obecné nařízení o ochraně osobních údajů, Nařízení (EU) 2016/679) je přímo použitelné evropské nařízení závazné stejně ve všech 27 státech — ochrana osobních údajů tedy není český vynález. Do českého práva ho adaptuje zákon č. 110/2019 Sb., o zpracování osobních údajů, a dozorovým orgánem je Úřad pro ochranu osobních údajů (ÚOOÚ). Zákon č. 110/2019 Sb. nabyl účinnosti v dubnu 2019 a zrušil starší zákon č. 101/2000 Sb.; ukotvuje ÚOOÚ a doplňuje GDPR o upřesnění.

Sankce a dozor

Horní hranice pokut podle českého zákona je 10 mil. Kč, vyšší sazby plynou přímo z GDPR. Dozorem je ÚOOÚ. Porušení zabezpečení osobních údajů, které může představovat riziko pro práva a svobody osob, musí správce ohlásit ÚOOÚ bez zbytečného odkladu, pokud možno do 72 hodin (čl. 33 GDPR); při zpoždění je nutné uvést důvody. Čím méně osobních údajů je v perimetru AI, tím snazší je na incident reagovat.

Pro projekty AI

Posuzujte právní základ zpracování, minimalizujte osobní údaje v perimetru AI a využijte lokální inferenci pro citlivá data.

Suverenita a rezidence dat

V Česku neexistuje plnohodnotný region žádného z hyperscalerů: nejbližší jsou AWS eu-central-1 (Frankfurt), Microsoft Azure Germany West Central (Frankfurt) nebo Poland Central (Varšava) a Google Cloud europe-west3 (Frankfurt) či europe-central2 (Varšava). Vzdálenost je malá (Praha–Frankfurt ~400 km), takže problém suverenity není o latenci, ale o jurisdikci. US CLOUD Act (2018) a FISA Section 702 umožňují americkým orgánům vynutit u poskytovatelů kontrolovaných z USA vydání dat uložených kdekoli na světě — jurisdikce se řídí vlastnictvím firmy, ne umístěním serveru. Region „v EU“ tedy zajistí datovou rezidenci a GDPR, ale neznamená „mimo americkou jurisdikci“; to potvrzuje i rozsudek Schrems II a neřeší to ani EU-US Data Privacy Framework. Kam ukládat data pro AI — EU region (vlastní účet), čeští/EU poskytovatelé, on-premise, nebo lokální inference.

Protože osFoundry lze provozovat ve vlastní infrastruktuře a připojit evropské či open-weight modely, může běžet ve vašem vlastním účtu v EU regionu nebo on-premise — cesta k rezidenci a suverenitě dat, ne „krabice“ ze zahraničí. (Poctivě: osFoundry má řízený EU region, ale NEMÁ řízený český region; pro data v ČR pod českou jurisdikcí je cesta self-host ve vlastní infrastruktuře nebo u českého poskytovatele, případně local-first.)

Nezávislost a poctivost

dgm je nezávislý integrační partner (není spojen s osFoundry / OS LLC) a není právní ani daňový poradce. dgm zatím nemá dokončené zákaznické integrace, takže níže uvedené scénáře jsou popsány jako typické nebo možné, ne jako realizované projekty.

Toto není právní ani daňové poradenství: pravidla, sazby a termíny se často mění — před rozhodnutím je ověřte u oficiálních zdrojů (ÚOOÚ, MPO, API, CzechInvest, Finanční správa, ČNB).

Závěr

Kontaktujte dgm a proberte svůj scénář a návrh architektury.