Smí úřad používat AI chatbota podle GDPR?

Ano, pokud je řešení nastavené v souladu s pravidly — data jsou hostovaná v EU, osobní údaje se anonymizují před zpracováním, data jsou oddělená per organizace a s dodavatelem je uzavřená smlouva o zpracování osobních údajů (DPA). Úřad je zpravidla správcem údajů a měl by mít pro zpracování platný právní titul. Konkrétní posouzení doporučujeme s pověřencem pro ochranu osobních údajů.

Kde jsou uložená data?

Záleží na dodavateli — proto je to první otázka, kterou byste měli položit. Dotazio data hostuje v EU, a to včetně úložiště dokumentů i zpracování dotazů. Hostování v EU výrazně zjednodušuje soulad s GDPR, protože odpadá nutnost řešit záruky pro přenos údajů do třetích zemí.

Co se stane s osobními údaji v dotazech?

U dobře navrženého chatbota se osobní údaje anonymizují ještě předtím, než se cokoli zpracuje nebo uloží. V Dotaziu se rodné číslo, IČO, IBAN, e-mail i telefon rozpoznají a zastíní, takže se do indexů ani do historie dotazů nedostane surový osobní údaj. Data lze v administraci kdykoli exportovat i smazat.

Potřebuji s dodavatelem chatbota smlouvu (DPA)?

Ano. Pokud dodavatel zpracovává osobní údaje vaším jménem, je zpracovatelem a GDPR vyžaduje písemnou smlouvu o zpracování osobních údajů (DPA). Vymezuje účel, rozsah, dobu zpracování a bezpečnostní opatření. Dotazio poskytuje DPA na vyžádání.

Návody

AI chatbot a GDPR: na co si dát pozor

Důvěra a bezpečnost7 min čteníAktualizováno 23. června 2026

AI chatbot může na webu úřadu i firmy fungovat v souladu s GDPR — záleží ale na tom, jak je postavený. Klíčové je, kde jsou data hostovaná (ideálně v EU), zda se osobní údaje anonymizují ještě před zpracováním, jak jsou data oddělená od ostatních organizací a zda dodavatel uzavře smlouvu o zpracování osobních údajů (DPA). Tento text je informativní přehled, nikoli právní poradenství.

Když AI chatbot odpovídá návštěvníkům webu, prochází přes něj dvojí druh osobních údajů: jednak údaje, které mohou být ve vašich dokumentech (například jméno úředníka nebo kontakt), jednak to, co do chatu napíše sám návštěvník. Obojí spadá pod GDPR a evropský přístup k umělé inteligenci. Dobrá zpráva je, že nasazení v souladu s pravidly je dnes běžné — stačí vědět, na co se dodavatele zeptat.

Kde jsou data hostovaná: EU vs. mimo EU

GDPR nezakazuje přenos osobních údajů mimo EU, ale klade na něj přísné podmínky. Pokud řešení posílá data do USA nebo na servery třetích zemí, musíte řešit právní záruky pro takový přenos. Nejjednodušší a nejbezpečnější cesta — zvlášť pro úřady — je proto využít službu, která data zpracovává a ukládá v rámci EU. Ptejte se konkrétně: kde běží aplikace, kde se ukládají soubory a kde se zpracovávají dotazy.

Pozor na „skrytý" přenos do zahraničí

I když je hlavní služba v EU, samotný jazykový model může běžet jinde. Ověřte si proto celý řetězec — kde se ukládají dokumenty, kde se počítají indexy i kde se generují odpovědi. Klíčové je, aby se ke zpracování nedostávaly neanonymizované osobní údaje.

Anonymizace osobních údajů před zpracováním

Nejúčinnější ochrana je taková, kdy se citlivý údaj k modelu vůbec nedostane. Kvalitní AI chatbot proto osobní údaje rozpozná a anonymizuje ještě předtím, než dokument zpracuje a uloží, i předtím, než odešle dotaz návštěvníka. České řešení by mělo umět rozpoznat tuzemské formáty — rodné číslo, IČO, IBAN, e-mail i telefonní číslo. Po anonymizaci se do indexů ani historie nedostane surový osobní údaj, jen jeho zastíněná podoba.

Izolace dat mezi organizacemi

Pokud dodavatel obsluhuje víc zákazníků na stejné platformě, musí být data každé organizace striktně oddělená — jeden úřad nikdy nesmí ve svých odpovědích narazit na dokument jiného úřadu. Zeptejte se, jak je izolace technicky zajištěná a zda chatbot odpovídá výhradně z podkladů vaší organizace. Bez spolehlivé izolace hrozí únik dat napříč zákazníky.

Role: kdo je správce a kdo zpracovatel

Podle GDPR jste vy (úřad nebo firma) zpravidla správcem osobních údajů — určujete, proč a jak se zpracovávají. Dodavatel chatbota je zpracovatel, který data zpracovává vaším jménem a podle vašich pokynů. Z tohoto vztahu plyne zákonná povinnost: mezi správcem a zpracovatelem musí existovat písemná smlouva o zpracování osobních údajů (DPA), která vymezuje účel, rozsah, dobu a bezpečnostní opatření.

Právní titul a retence dat

Pro každé zpracování potřebujete právní titul — u úřadu to bývá plnění úkolu ve veřejném zájmu nebo splnění právní povinnosti, u firmy oprávněný zájem či souhlas. Stejně důležité je vědět, jak dlouho se data uchovávají a jak se mažou. Dobré řešení umožní data exportovat i smazat a při smazání organizace odstraní nejen dokumenty, ale i jejich indexy a historii dotazů.

Checklist: na co se zeptat každého dodavatele

Otázka	Co chcete slyšet
Kde jsou data hostovaná?	V EU — aplikace, úložiště i zpracování dotazů.
Anonymizují se osobní údaje?	Ano, ještě před zpracováním a uložením; včetně rodného čísla, IČO a IBAN.
Jsou data oddělená per organizace?	Ano, striktní izolace; chatbot odpovídá jen z vašich podkladů.
Uzavřete DPA?	Ano, smlouva o zpracování osobních údajů je k dispozici.
Lze data exportovat a smazat?	Ano, v administraci; smazání organizace odstraní i indexy a historii.
Cituje chatbot zdroj?	Ano, u každé odpovědi odkaz na konkrétní dokument či stránku.
Je tu strop nákladů?	Ano, pevný limit, aby provoz nepřekvapil na faktuře.

Chystáte chatbota na web úřadu a řešíte ochranu osobních údajů? Podívejte se, jak AI chatbot zpracovává dotazy krok za krokem

Jak tyto požadavky splňuje Dotazio

Dotazio je české SaaS řešení postavené přesně na uvedených principech. Data hostuje v EU a osobní údaje — rodné číslo, IČO, IBAN, e-mail i telefon — anonymizuje ještě před indexací a uložením. Data každé organizace jsou striktně oddělená a chatbot odpovídá výhradně z dokumentů a stránek dané organizace, vždy s citací zdroje. Smlouvu o zpracování osobních údajů (DPA) poskytujeme na vyžádání, data lze v administraci exportovat i smazat a smazání organizace odstraní dokumenty, indexy i historii dotazů. Pevný strop kreditů navíc hlídá náklady. Provozovatelem služby je Webforte Technologies s.r.o., IČO 23364343.

Tento přehled slouží jako orientační vodítko k tématu GDPR a AI chatbotů, nenahrazuje právní poradenství. Konkrétní povinnosti vaší organizace vždy posuzujte se svým pověřencem pro ochranu osobních údajů nebo právníkem.

Časté dotazy

Smí úřad používat AI chatbota podle GDPR?: Ano, pokud je řešení nastavené v souladu s pravidly — data jsou hostovaná v EU, osobní údaje se anonymizují před zpracováním, data jsou oddělená per organizace a s dodavatelem je uzavřená smlouva o zpracování osobních údajů (DPA). Úřad je zpravidla správcem údajů a měl by mít pro zpracování platný právní titul. Konkrétní posouzení doporučujeme s pověřencem pro ochranu osobních údajů.
Kde jsou uložená data?: Záleží na dodavateli — proto je to první otázka, kterou byste měli položit. Dotazio data hostuje v EU, a to včetně úložiště dokumentů i zpracování dotazů. Hostování v EU výrazně zjednodušuje soulad s GDPR, protože odpadá nutnost řešit záruky pro přenos údajů do třetích zemí.
Co se stane s osobními údaji v dotazech?: U dobře navrženého chatbota se osobní údaje anonymizují ještě předtím, než se cokoli zpracuje nebo uloží. V Dotaziu se rodné číslo, IČO, IBAN, e-mail i telefon rozpoznají a zastíní, takže se do indexů ani do historie dotazů nedostane surový osobní údaj. Data lze v administraci kdykoli exportovat i smazat.
Potřebuji s dodavatelem chatbota smlouvu (DPA)?: Ano. Pokud dodavatel zpracovává osobní údaje vaším jménem, je zpracovatelem a GDPR vyžaduje písemnou smlouvu o zpracování osobních údajů (DPA). Vymezuje účel, rozsah, dobu zpracování a bezpečnostní opatření. Dotazio poskytuje DPA na vyžádání.