Praktický sprievodca pre zamestnávateľov, personalistov a každého, kto chce pochopiť, ako ochrana osobných údajov súvisí s používaním umelej inteligencie v HR.
AI pracuje s údajmi o ľuďoch, a to je regulovaná činnosť
Každý AI nástroj v personalistike pracuje s osobnými údajmi. Životopisy, hodnotenia výkonu, dochádzka, e-mailová komunikácia, záznamy o školeniach. Ak z týchto údajov možno priamo alebo nepriamo identifikovať konkrétnu osobu, ide o spracúvanie osobných údajov podľa nariadenia (EÚ) 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov (ďalej len „GDPR“) a zákona č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
Pre zamestnávateľov to znamená jednu zásadnú vec. Ak nasadíte AI nástroj v HR, musíte popri pravidlách o umelej inteligencii (nariadenie (EÚ) 2024/1689, ďalej len „nariadenie o umelej inteligencii“ alebo „AI Act“) splniť aj požiadavky GDPR. V praxi tak pri jednom AI nástroji bežia dve vrstvy povinností naraz. Jedna sa týka regulácie umelej inteligencie a druhá ochrany osobných údajov. Tieto pravidlá sa nevylučujú. Naopak, prelínajú sa a vzájomne dopĺňajú.
Tento článok vysvetľuje kľúčové povinnosti podľa GDPR, ktoré sa priamo dotýkajú používania AI v personalistike, a ukazuje, ako ich zamestnávateľ môže splniť prakticky a efektívne.
Na akom právnom základe môžete spracúvať údaje zamestnancov v AI systéme
Prvá otázka, ktorú si musíte položiť, je jednoduchá: na základe čoho máte právo spracúvať osobné údaje zamestnancov alebo uchádzačov v AI nástroji? GDPR vyžaduje, aby každé spracúvanie osobných údajov malo jasný právny základ podľa čl. 6. Bez neho je spracúvanie nezákonné.
V pracovnoprávnom vzťahu je najčastejšou otázkou, či stačí súhlas zamestnanca. Odpoveď je jednoznačná: vo väčšine prípadov nestačí. GDPR v recitáli 43 výslovne upozorňuje, že súhlas udelený v situácii, kde existuje výrazná nerovnováha síl medzi dotknutou osobou a prevádzkovateľom (typicky vzťah zamestnanec a zamestnávateľ), sa nepovažuje za slobodne udelený. Zamestnanec, ktorý podpisuje súhlas so spracúvaním svojich údajov v AI systéme, sa totiž oprávnene môže obávať, že odmietnutie bude mať negatívne dôsledky. Práve preto súhlas v pracovnoprávnom kontexte spravidla nie je vhodným právnym základom.
Zamestnávateľ tak musí vychádzať z iného právneho základu. Najčastejšie prichádzajú do úvahy tri možnosti. Oprávnený záujem podľa čl. 6 ods. 1 písm. f) GDPR, čo je najflexibilnejší základ, ale vyžaduje vykonanie tzv. balančného testu, teda posúdenia, či záujem zamestnávateľa prevažuje nad právami a slobodami zamestnanca. Výsledok balančného testu musí byť zdokumentovaný. Druhou možnosťou je plnenie zmluvy podľa čl. 6 ods. 1 písm. b) GDPR, čo prichádza do úvahy najmä pri spracúvaní údajov, ktoré je nevyhnutné na plnenie pracovnej zmluvy. Treťou možnosťou je zákonná povinnosť podľa čl. 6 ods. 1 písm. c) GDPR, ak spracúvanie vyplýva priamo z právneho predpisu.
Ak v AI nástroji spracúvate osobné údaje na základe oprávneného záujmu, musíte vedieť preukázať, prečo je tento záujem oprávnený, prečo je spracúvanie nevyhnutné na jeho dosiahnutie a prečo vaše záujmy prevažujú nad právami zamestnancov. Toto posúdenie nemôže byť len formálne. Musí obsahovať konkrétne zváženie okolností a jeho výsledok musí byť uložený v dokumentácii organizácie. Európsky výbor pre ochranu údajov (EDPB) vo svojom stanovisku 28/2024 potvrdil, že oprávnený záujem môže byť vhodným právnym základom pre spracúvanie osobných údajov v súvislosti s AI, ale len ak prevádzkovateľ vykoná dôsledný trojkrokový test a prijme opatrenia na zmiernenie dopadov na dotknuté osoby.
Automatizované rozhodovanie: Kedy je AI rozhodnutie o človeku problém
Jedným z najdôležitejších ustanovení GDPR pre oblasť AI v HR je čl. 22. Ten chráni každú osobu pred rozhodnutím, ktoré je založené výlučne na automatizovanom spracúvaní a ktoré má voči nej právne účinky, alebo ju podobne významne zasahuje.
Čo to znamená v praxi? Ak AI systém automaticky vyradí uchádzača z výberového konania a človek tento výsledok reálne nepreskúma, ide o rozhodnutie založené výlučne na automatizovanom spracúvaní. Uchádzač prišiel o reálnu šancu na pracovné miesto na základe toho, čo vyhodnotil algoritmus. Práve takýto postup je podľa čl. 22 GDPR v zásade zakázaný, pokiaľ nie je splnená niektorá z výnimiek (napríklad nevyhnutnosť na uzatvorenie zmluvy alebo výslovný súhlas dotknutej osoby s primeranými zárukami).
Pre HR to má veľmi konkrétny dôsledok. Ľudský dohľad nad výstupmi AI nie je len odporúčanie. Je to právna povinnosť. Ak personalista iba mechanicky potvrdí to, čo mu AI navrhne, pretože na vlastné posúdenie nemá čas alebo kompetenciu, z pohľadu práva ide stále o automatizované rozhodovanie. Ľudský dohľad musí byť skutočný. Osoba zodpovedná za preskúmanie musí mať reálnu možnosť výstup AI zmeniť alebo odmietnuť.
Tento princíp potvrdzuje aj rozhodovacia prax. V roku 2021 taliansky úrad na ochranu osobných údajov (Garante per la protezione dei dati personali) uložil spoločnosti Deliveroo Italy pokutu 2,5 milióna eur za viacnásobné porušenie GDPR pri algoritmickom riadení kuriérov. Garante zistil, že spoločnosť neprimerane zbierala údaje o svojich kuriéroch (vrátane sledovania polohy každých 12 sekúnd), nebola transparentná ohľadom fungovania algoritmov, ktoré rozhodovali o prideľovaní zákaziek a zmien, a neimplementovala záruky podľa čl. 22 GDPR. Kuriéri nemali žiadnu reálnu možnosť napadnúť rozhodnutia algoritmu ani žiadať o ľudský zásah. Spoločnosť tiež nevykonala povinné posúdenie vplyvu na ochranu údajov. Pre zamestnávateľov je to jasný signál, že algoritmické riadenie zamestnancov bez primeraných záruk je porušením GDPR (Garante per la protezione dei dati personali, rozhodnutie z 22. júla 2021, č. 9685994).
Informačné povinnosti: Čo musíte povedať uchádzačom a zamestnancom
Ak používate AI v HR procesoch, dotknuté osoby o tom musia vedieť. GDPR v čl. 13 a 14 vyžaduje, aby ste uchádzačom a zamestnancom poskytli zmysluplné informácie o tom, aké údaje spracúvate, na aký účel, na akom právnom základe, a ak ide o automatizované rozhodovanie, aj informácie o logike takéhoto spracúvania a jeho predpokladaných dôsledkoch.
Nariadenie o umelej inteligencii túto povinnosť rozširuje. Podľa čl. 26 ods. 11 nariadenia musí nasadzovateľ vysokorizikového AI systému informovať fyzické osoby, že sú predmetom rozhodnutia alebo hodnotenia AI systémom. Článok 26 ods. 12 nariadenia zároveň vyžaduje, aby boli dotknuté osoby informované spôsobom, ktorý je jasný, včasný a zrozumiteľný.
V praxi to znamená, že ak používate AI na predvýber uchádzačov, musíte ich informovať jednak o spracúvaní osobných údajov (povinnosť podľa GDPR) a jednak o tom, že sú hodnotení alebo posudzovaní AI systémom (povinnosť podľa nariadenia o umelej inteligencii). Najefektívnejšie je obe informácie zahrnúť do jedného dokumentu. Môže ísť napríklad o rozšírenú informáciu o spracúvaní osobných údajov na kariérnej stránke alebo o prílohu k pracovnej zmluve.
Informácia nesmie byť skrytá v niekoľko desiatkach strán obchodných podmienok. Musí byť stručná, zrozumiteľná a ľahko dostupná. Uchádzač alebo zamestnanec, ktorý nemá právnické vzdelanie, musí byť schopný pochopiť, čo sa s jeho údajmi deje, a aký vplyv na neho AI nástroj môže mať.
Dôležitosť informačných povinností potvrdil aj Nemecký spolkový pracovný súd (Bundesarbeitsgericht) v rozsudku z 5. júna 2025 (sp. zn. 8 AZR 117/24). V danom prípade zamestnávateľ odmietol uchádzača na základe informácií, ktoré o ňom zistil vyhľadávaním na internete, konkrétne o prebiehajúcom trestnom konaní. Súd konštatoval, že samotné vyhľadávanie bolo zákonné ako predzmluvné opatrenie podľa čl. 6 ods. 1 písm. b) GDPR. Avšak zamestnávateľ porušil svoju informačnú povinnosť podľa čl. 14 ods. 1 písm. d) GDPR, pretože uchádzača neinformoval o tom, aké kategórie osobných údajov o ňom získal z verejných zdrojov. Súd priznal uchádzačovi náhradu nemajetkovej ujmy vo výške 1 000 eur. Tento prípad ukazuje, že informačné povinnosti nie sú formalita. Ich porušenie má konkrétne finančné a právne následky, a to aj v prípadoch, keď samotné získanie údajov bolo zákonné.
Posúdenie vplyvu (DPIA): Kedy ho musíte urobiť a čo obsahuje
Ak AI nástroj spracúva osobné údaje spôsobom, ktorý pravdepodobne povedie k vysokému riziku pre práva a slobody dotknutých osôb, GDPR v čl. 35 vyžaduje, aby ste pred nasadením takéhoto nástroja vykonali posúdenie vplyvu na ochranu údajov (známe pod skratkou DPIA, z anglického Data Protection Impact Assessment).
V kontexte HR je DPIA povinné najmä vtedy, keď AI systém systematicky hodnotí ľudí na základe ich osobných charakteristík (napríklad výkonnosť, spoľahlivosť, správanie), keď spracúva údaje vo veľkom rozsahu alebo keď využíva nové technológie. V praxi to znamená, že väčšina AI nástrojov v HR, ktoré ovplyvňujú rozhodovanie o zamestnancoch alebo uchádzačoch, vyžaduje DPIA.
DPIA by malo obsahovať systematický opis plánovaného spracúvania a jeho účelov, posúdenie nevyhnutnosti a primeranosti spracúvania vo vzťahu k účelu, posúdenie rizík pre práva a slobody dotknutých osôb a opatrenia na riešenie týchto rizík.
Ak je AI nástroj zároveň klasifikovaný ako vysokorizikový systém podľa nariadenia o umelej inteligencii, nariadenie v čl. 27 vyžaduje aj posúdenie vplyvu na základné práva (FRIA, z anglického Fundamental Rights Impact Assessment). FRIA je formálne odlišný dokument od DPIA a zameriava sa na širšie riziká pre základné práva, nie len na ochranu osobných údajov. V praxi sa však vstupné informácie do veľkej miery prekrývajú. Preto je najefektívnejšie spracovať obe posúdenia koordinovane v rámci jedného projektu. Organizácia tak ušetrí čas, zdroje a zároveň má koherentnejšiu dokumentáciu.
Šesť kľúčových povinností nasadzovateľa vysokorizikového AI systému
Ak organizácia nasadí AI systém, ktorý spadá do vysokorizikového režimu podľa prílohy III bodu 4 nariadenia o umelej inteligencii (napríklad preto, že plne automatizuje predvýber uchádzačov bez významného ľudského zásahu), musí splniť konkrétne povinnosti podľa čl. 26 a nasledujúcich ustanovení nariadenia. Nejde len o technické nastavenie. Ide o ucelený režim povinností, ktoré sa dotýkajú dokumentácie, dohľadu, transparentnosti aj ochrany práv dotknutých osôb.
Prvou povinnosťou je používanie v súlade s návodom (čl. 26 ods. 1 nariadenia). Vyžiadajte si od dodávateľa písomný návod na použitie a zabezpečte, aby ho poznali všetci pracovníci, ktorí s AI systémom pracujú. Návod archivujte. Je to kľúčový dokument pri akejkoľvek kontrole.
Druhou povinnosťou je ľudský dohľad (čl. 26 ods. 2 nariadenia). Určte konkrétnu osobu menom a funkciou, nie „HR oddelenie" ako celok. Táto osoba musí overovať výstupy AI, musí mať na to vyčlenený čas a musí mať reálnu právomoc rozhodnutie AI zmeniť alebo odmietnuť.
Treťou povinnosťou je monitorovanie a hlásenie incidentov (čl. 26 ods. 5 nariadenia). Priebežne monitorujte fungovanie AI. Ak systém produkuje neočakávané výstupy, napríklad systematicky vylučuje určitú skupinu uchádzačov, pozastavte jeho používanie a bezodkladne informujte dodávateľa a príslušný orgán dohľadu.
Štvrtou povinnosťou je posúdenie vplyvu na základné práva (čl. 27 nariadenia). Pred nasadením zmapujte riziká pre uchádzačov a zamestnancov a definujte opatrenia na ich zníženie. Táto povinnosť sa vzťahuje na verejnoprávne orgány a súkromné subjekty poskytujúce verejné služby.
Piatou povinnosťou je transparentnosť (čl. 26 ods. 11 a 12 nariadenia). Informujte uchádzačov a zamestnancov, že sú predmetom rozhodovania alebo hodnotenia AI systémom. Informácia musí byť jasná, včasná a zrozumiteľná.
Šiestou povinnosťou je uchovávanie záznamov (čl. 26 ods. 6 nariadenia). Uchovávajte logy automaticky generované AI systémom. Overte u dodávateľa, či systém logy generuje, v akom formáte a či k nim máte prístup. Bez logov nie je možné spätne preukázať, že systém fungoval správne.
Čo sa pýtať dodávateľa AI nástroja
Pred uzatvorením zmluvy alebo pred nasadením AI riešenia do HR je dôležité položiť dodávateľovi konkrétne otázky a vyžiadať si odpovede písomne. Písomná odpoveď nie je formalita. Je to základ pre interné posúdenie, zmluvné nastavenie aj neskoršiu obhájiteľnosť vašich rozhodnutí.
Pýtajte sa, či systém obsahuje AI funkcionalitu podľa čl. 3 ods. 1 nariadenia o umelej inteligencii, a ak áno, ktoré konkrétne moduly alebo funkcie ju využívajú. Pýtajte sa, na aký presný účel je systém určený, a do ktorých HR procesov vstupuje. Pýtajte sa, kde sa spracúvajú a ukladajú osobné údaje, či dochádza k prenosu do tretích krajín, a aké bezpečnostné opatrenia ich chránia.
Pýtajte sa, či systém generuje záznamy o svojej činnosti a či k nim máte ako zákazník prístup. Pýtajte sa, aké testy spravodlivosti a spoľahlivosti boli vykonané pred uvedením systému do praxe. Pýtajte sa, ako je v zmluve upravená zodpovednosť za súlad s nariadením o umelej inteligencii, GDPR a antidiskriminačnými pravidlami. Pýtajte sa, či dodávateľ poskytuje podporu pri posúdení rizík, DPIA a dokumentovaní súladu.
Dobrý dodávateľ sa týchto otázok nebude báť. Čím viac sa odpovede vyhýbajú konkrétnosti, tým opatrnejší by mal byť aj zamestnávateľ. Odpovede archivujte ako súčasť dokumentácie k AI systému. Pri kontrole alebo incidente budú kľúčovým dôkazom toho, že ste postupovali s náležitou starostlivosťou.
Záver
GDPR a nariadenie o umelej inteligencii nie sú dve oddelené regulácie, medzi ktorými si zamestnávateľ volí. V HR sa prelínajú. Každý AI nástroj, ktorý spracúva údaje o ľuďoch a zároveň ovplyvňuje rozhodovanie o nich, podlieha obom súborom pravidiel naraz.
Kto rieši len jednu vrstvu, rieši len polovicu problému. Organizácia, ktorá sa sústredí na technológiu, ale zabudne, že v pozadí ide stále o rozhodovanie o konkrétnych ľuďoch a ich právach, sa vystavuje právnym, finančným aj reputačným rizikám.
Naopak, organizácia, ktorá si včas ujasní právny základ spracúvania, zabezpečí skutočný ľudský dohľad, splní informačné povinnosti a vykoná posúdenie vplyvu, získa nielen právnu istotu, ale aj dôveru zamestnancov a uchádzačov. A práve dôvera je v personalistike niečo, čo žiadna technológia nedokáže nahradiť.
Použitá literatúra a zdroje
[1] Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (všeobecné nariadenie o ochrane údajov, GDPR). Najmä čl. 6 (zákonnosť spracúvania), čl. 13 a 14 (informačné povinnosti), čl. 22 (automatizované individuálne rozhodovanie), čl. 35 (posúdenie vplyvu na ochranu údajov), recitál 43 (súhlas v nerovnovážnom vzťahu).
[2] Nariadenie Európskeho parlamentu a Rady (EÚ) 2024/1689 z 13. júna 2024, ktorým sa stanovujú harmonizované pravidlá v oblasti umelej inteligencie (akt o umelej inteligencii). Najmä čl. 26 (povinnosti nasadzovateľov vysokorizikových AI systémov), čl. 27 (posúdenie vplyvu na základné práva), príloha III bod 4.
[3] Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
[4] Európsky výbor pre ochranu údajov (EDPB): Stanovisko 28/2024 k spracúvaniu osobných údajov pri vývoji a nasadzovaní AI modelov. December 2024.
[5] Garante per la protezione dei dati personali (talianski úrad na ochranu osobných údajov): Rozhodnutie vo veci Deliveroo Italy s.r.l., z 22. júla 2021, č. 9685994. Pokuta 2,5 milióna eur za porušenie GDPR pri algoritmickom riadení kuriérov vrátane nesplnenia informačných povinností, neposkytnutia záruk podľa čl. 22 GDPR a nevykonania DPIA.
[6] Nemecký spolkový pracovný súd (Bundesarbeitsgericht): Rozsudok z 5. júna 2025, sp. zn. 8 AZR 117/24. Porušenie informačnej povinnosti podľa čl. 14 GDPR voči uchádzačovi, náhrada nemajetkovej ujmy vo výške 1 000 eur.