Menu

AI Officer (AIO) vs. Data Protection Officer (DPO)

Před 10 hodinami. Vytisknout

Firmy, které propojí AI governance a ochranu dat, získají konkurenční výhodu. AIO a DPO v jedné osobě mohou šetřit náklady – pokud se správně ohlídá konflikt zájmů.

Peter Lipták

Firmy, které pochopí, že AI governance a ochrana (osobních) dat jsou dvě strany téže mince, získají obrovskou výhodu. Nebudou platit duplicitní týmy a nebudou brzdit samy sebe strachem z regulací. Investujte do člověka, který vidí celek. Takový „univerzální strážce“ není nákladová položka. Právě naopak. AIO a DPO v jedné osobě pro vás mohou být úsporou nákladů, pojistkou i akcelerátorem v jednom. Čas rozhodnout se je teď. Čekat na to, co s tím uděláte, už není možnost.

Tento článek je hlavně o tom, jak ušetřit na regulacích a být efektivní — ale pozor na konflikt zájmů.

Představte si, že jste manažer ve společnosti, která se rozhoduje, jak umělou inteligenci vyvíjet, prodávat, spravovat nebo jen používat. Slyšeli jste o Data Protection Officer a dokonce víte, co je GDPR. Možná takového experta už máte.

Jenže teď se otevírají dveře nové pozici — AI Officer. Čtete články a na meetingech slyšíte, že „tři čtvrtiny organizací už používají AI“, a napadne vás: „A co my? Jak jsme na tom?“ Zvládl by to i ten DPO? Odpověď není jednoduchá, ale tady ji najdete.

Realita, kterou nejde ignorovat

Není to hype ani marketingová fráze. Situace se za poslední rok dramaticky změnila. Pokud jste si mysleli, že AI je ještě experimentální projekt, mýlíte se. V minulém roce se počet organizací, které nasazují AI alespoň v jedné obchodní funkci, skokově zvýšil. Největší skok je vidět u generativní AI — počet jejích aktivních uživatelů se za méně než rok téměř zdvojnásobil. Jsou to tisíce společností, které se rozhodly, že AI bude součástí jejich byznysu.

Regulátor se na to ale nemůže jen pasivně dívat. A to ani v USA, které jsou známé velkou regulační volností. Evropská unie proto přijala legislativu známou jako EU AI Act a pokuty za porušení nejsou zanedbatelné — mohou dosáhnout až 35 milionů eur nebo sedmi procent ročního obratu. Pro většinu firem je to částka, která bolí.

V tomhle prostředí vzniká klíčová otázka: kdo bude v organizaci zodpovědný za to, aby se AI používala bezpečně, eticky a v souladu s právem?

Setkání s AI Officer

Představte si člověka, který může mít právní vzdělání, ale rozumí i technologiím. Nebo má technické vzdělání, ale chápe regulační prostředí. Ideálně rozumí vazbám mezi GDPR a AI Act a má přesah do dalších zhruba 12 digitálních regulací EU. To je AI Officer — a jeho existence není náhodná. Vznikla jako odpověď na regulační tlak a rostoucí etické nároky na vedení organizací.

Co konkrétně AI Officer dělá?

  1. Vyvíjí a implementuje governance rámce pro AI napříč organizací. Nejde o dokument do šuplíku. Je to živý systém, který definuje, jak se AI používá, kdo o ní rozhoduje a jak se kontroluje dodržování pravidel. U DPO to v principu také není jiné.
  2. Dohlíží na AI Impact Assessment — hluboké analýzy, které mapují rizika jednotlivých AI systémů. Jsou to specifické, technicky i právně podložené analýzy: co se může pokazit, kdo to pocítí a jak to kontrolovat.
  3. Zajišťuje soulad s AI legislativou. Vede dokumentaci. Když přijde kontrola, umí ukázat: „Tohle jsme udělali, tohle jsme zvážili, tohle máme zdokumentované.“
  4. Zabudovává etické principy. Spravedlnost, transparentnost, odpovědnost — nejsou to jen slova, ale praktické zásady pro vývoj a provoz AI systémů.
  5. Koordinuje komunikaci s regulátory. Při kontrole jedná on. Při incidentu hlásí, řeší, dotahuje. Nespí klidně, dokud to není uzavřené. I tady je paralela s DPO.

Tohle všechno ale posouvá AI Officer dál než klasického projektového manažera nebo IT vedoucího. Je to role se širší odpovědností.

Kdo je Data Protection Officer a jaká je jeho role?

Pokud jste si jistí, že znáte náplň práce DPO, možná byste mnohé překvapili. Řada vedoucích pracovníků si je plete s IT bezpečákem. Jenže DPO není ten, kdo hlídá servery. DPO je právník nebo compliance expert, který hlídá osobní (a často i produkční) data.

Co tedy DPO dělá? Podle GDPR má jasné povinnosti — jenže v praxi se často zneužívají nebo špatně chápou. DPO monitoruje, zda organizace dodržuje pravidla ochrany osobních údajů, tedy zda je v souladu s GDPR. Bavíme se přitom skutečně o osobních údajích. DPO vede klíčovou dokumentaci, tzv. Záznamy zpracovatelských činností (ROPA). Je to katalog všech procesů v organizaci, kde se osobní údaje zpracovávají.

DPO je také kontaktní osoba pro dozorové orgány na ochranu údajů, když se něco pokazí. Když si člověk chce vyžádat přístup ke svým údajům, DPO to řeší. Když si při kontrole všimne něčeho podezřelého, hlásí to a ošetřuje (ve spolupráci s dalšími relevantními odděleními).

A když se vrátíme k AI: pokud AI systém zpracovává osobní údaje (a většina je zpracovává), DPO je člověk, který má hlídat, že to probíhá legálně. Ptá se: Jaké údaje do AI vstupují? Na jakém právním základu se osobní údaje zpracovávají? Je to souhlas — a existuje? Eviduje se? Jsou údaje chráněné? Co se s nimi stane po skončení životního cyklu? DPO také pomáhá zabudovat soukromí do samotného vývoje AI řešení — Privacy by Design.

Kde je tedy problém?

Tady se věci komplikují.

AI přináší rizika, která neleží bezpečně v tradiční kompetenční oblasti DPO. Například algoritmus, který rozhoduje, zda je člověk vhodný na pracovní místo. Problém není jen v tom, že se zpracovávají údaje. Problém je, že algoritmus může být zaujatý — může diskriminovat podle pohlaví, věku nebo etnické příslušnosti. To je etická otázka, ne primárně otázka ochrany údajů. DPO to samozřejmě chce vědět, ale přesněji to typicky uchopí AI Officer.

Nebo vezměte environmentální dopady. Některé AI modely jsou energeticky náročné. Trénovat velký model je ekologicky drahé. To jsou hlavně etické a obchodní dopady, které nejsou primárně o ochraně osobních údajů.

Zkuste na to myslet takhle: DPO je specialista na ochranu osobních údajů a AI Officer je generalista s důrazem na řízení rizik a etiku v širším spektru.

Kde se jejich práce prolíná? A kde se liší?

Představte si to jako dva kruhy ve Vennově diagramu. Část se překrývá, část ne.

Obě pozice řeší ochranu údajů v AI systémech. Obě potřebují chápat, jak se osobní údaje v AI zpracovávají. Obě jsou zodpovědné za řízení rizik — DPO přes Data Protection Impact Assessment (DPIA), AI Officer přes AI Impact Assessment (AIIA). Obě podporují kulturu odpovědnosti v týmu a školí.

Kde je rozdíl odpovědnosti?

DPO se zaměřuje na ochranu individuálních práv a zákonnost zpracování osobních údajů. Je to úzké, přesně vymezené.

AI Officer se řídí EU AI Act a vznikajícími bezpečnostními rámci AI governance, například ISO 42001. Není to jen o datech: je to i o etice, strategickém zařazení AI v organizaci, o tom, jak k AI přistupuje celá firma. Rozhoduje o tom, jak se budou AI systémy vyvíjet, kdo je bude testovat a jak se budou monitorovat.

Další rozdíl: DPO je mandatorní role — GDPR ji vyžaduje. Pokud zpracováváte osobní údaje v určitém rozsahu, musíte mít DPO. Tečka. AI Officer zatím mandatorní není. EU AI Act ho doporučuje, ale neříká „musíte“. Nemusíte — ale pokud máte vysoce rizikovou AI, je to velmi rozumné rozhodnutí.

Jak si vybrat? Podle velikosti, rizika a struktury organizace?

Některé organizace si zvolí nového AI Officer. Jiné rozšíří roli DPO. Co je správnější nebo výhodnější?

Pokud jste malý startup s deseti zaměstnanci a jedním chatbotem na webu, pravděpodobně nepotřebujete dedikovaného AI Officer. Váš DPO, pokud ho máte, si s pomocí externího konzultanta může říct: „OK, tohle je náš chatbot, tohle jsou rizika, tohle je naše mitigace.“

Pokud jste ale třeba menší pojišťovna se stovkou zaměstnanců a používáte AI při výpočtu pojistného, je to úplně jiný příběh. Váš AI Officer by měl být dedikovaný člověk nebo alespoň někdo, kdo na to má reálně čas a znalosti. Možná — ale opravdu jen možná — ani DPO nepotřebujete. Nechte si poradit od odborníků, protože někdy existují zákonné důvody, kdy ho mít musíte. A i když je nesplňujete, můžete DPO mít dobrovolně.

Kontrolní úřad vám za to bude vděčný, protože se často stává, že při kontrolách není s kým odborně mluvit.

Pokud jste velký technologický podnik s tisíci zaměstnanci a desítkami AI systémů, měli byste mít oba — specializovaného DPO i specializovaného AI Officer.

Jenže není to jen o velikosti. Je to i o riziku. Pokud vaše AI pracuje v HR a rozhoduje o selekci pracovníků, nebo pokud jste ve zdravotnictví a AI diagnostikuje nemoci, jde o vysoké riziko. AI Officer je tu skoro nutnost. Pokud jste vydavatel novinek a používáte AI na personalizaci obsahu, je to nižší riziko — ale i tak dává smysl mít jasno, kdo za to nese odpovědnost.

Třetí faktor je, jak máte v organizaci postavenou governance infrastrukturu. Je jasné, kdo to má na starosti?

Synergie místo konkurence

Většina manažerů přehlíží jednu věc: AI Officer a DPO, pokud jsou nastaveni správně, nejsou dva lidé dělající totéž. Jsou to dvě role, které spolu dělají věci správně, efektivně a synergicky.

Oba stojí na podobných procesech: inventarizace systémů, mapování rizik, školení týmu, komunikace s regulátory. Pokud máte jednu infrastrukturu, můžete ušetřit administrativu bez zhoršení kvality dohledu. Není to sdílení odpovědnosti — je to sdílení nástrojů a procesů.

Další benefit: výměna znalostí. Když spolu pravidelně sedí, AI Officer se naučí, jak DPO pracuje s údaji. DPO pochopí, co AI Officer ví o rizicích algoritmů. Oba se učí rychleji a jsou jistější.

Třetí benefit: vyhýbání se „šedým zónám“ — oblastem bez dohledu, kde si každý myslí, že to hlídá ten druhý, ale ve skutečnosti to nehlídá nikdo. Tandem AI Officer + DPO je umí odstranit.

Příklad: zavádíte AI systém na detekci podvodů.

  • DPO: Jaké osobní údaje tam natečou? Jsou lidé informovaní? Jak dlouho se údaje uchovávají? Jsou bezpečné? Dodržuje se minimalizace?
  • AI Officer: Jak je algoritmus postavený? Byl testovaný na bias? Jak se bude monitorovat? Kdo ho bude pravidelně auditovat?

Když tyhle role spolupracují, organizace získá mnohem lepší obrázek, jestli je AI systém v pořádku.

Pozor na konflikt zájmů

Konflikt zájmů mezi AI Officer a DPO je nejen možný — při špatném nastavení je téměř nevyhnutelný. Manažer musí pochopit, kde je tenká hranice, jinak riskuje neefektivitu i porušení GDPR (zejména požadavků na nezávislost DPO).

Zjednodušeně: hráč vs. rozhodčí.

  • AI Officer (často): odpovídá za to, aby AI fungovala, vydělávala, optimalizovala procesy a byla nasazená co nejdřív. Určuje strategii a vybírá technologie. „Tvůrce hry“.
  • DPO: odpovídá za dodržování práv lidí. Klade nepříjemné otázky, brzdí rizikové procesy a kontroluje soulad se zákonem. „Nezávislý auditor“.

Problém nastává při „sebekontrole“. Pokud je AI Officer zároveň DPO, musí auditovat vlastní rozhodnutí.

Scénáře, kdy je to pro firmu nebezpečné

  1. Přesnost modelu vs. minimalizace dat
    Situace: firma vyvíjí AI pro predikci odchodu zákazníků.
    AI Officer: „Nakrmme model vším — historie nákupů, e-maily, nahrávky hovorů, geolokace. Čím víc dat, tím přesnější model a vyšší zisk.“
    DPO: „Stop. Podle GDPR můžeme použít jen to, co je nezbytné. Geolokaci a nahrávky musíme vyhodit.“
    Konflikt: když je to jeden člověk s bonusy navázanými na úspěch AI projektu, snadno „přimhouří oko“.
  2. Black Box vs. vysvětlitelnost
    Situace: banka chce nasadit neurální síť na schvalování úvěrů.
    AI Officer: „Model má 99 % úspěšnost. Je to sice Black Box, ale ušetří miliony.“
    DPO: „Nemůžeme to spustit. GDPR vyžaduje transparentnost. Když zamítneme úvěr, musíme vysvětlit proč.“
    Konflikt: jeden člověk se dostává mezi byznysový tlak a právní povinnost.
  3. Rychlost nasazení vs. důkladné posouzení dopadu (DPIA)
    Situace: marketing chce spustit AI kampaň příští týden před Vánoci.
    AI Officer: „Spustíme to hned, konkurence nespí.“
    DPO: „Stop. Je to profilování. Musíme udělat DPIA, to potrvá aspoň dva týdny.“
    Konflikt: při kumulaci rolí hrozí, že se DPIA „odbude“ nebo formálně urychlí, což zvyšuje riziko pokuty.

Kdy to může fungovat (synergie bez konfliktu)

Ušetřit náklady a mít synergie jde, ale musíte roli AI Officer definovat správně. Konflikt vzniká tehdy, když AI Officer rozhoduje o účelech a prostředcích zpracování — tedy „vlastní“ projekt.

Řešení pro manažery:

  1. AI Officer jako „Compliance role“: pokud je AI Officer čistě kontrolor (nenavrhuje řešení, jen dohlíží na etiku a pravidla AI Act), pak může být zároveň DPO — role DPO se jen rozšíří o nové regulace.
  2. AI Officer jako „Strategická role“: pokud má AI Officer přinášet inovace a řídit IT projekty, nesmí být zároveň DPO.

Zlaté pravidlo:
Kdo rozhoduje o tom, jak a proč se AI použije (byznysové rozhodnutí), nemůže být současně ten, kdo kontroluje, zda je to legální (DPO). Pokud nemáte rozpočet na dva lidi, zvažte externího DPO nebo externího konzultanta pro AI Governance, abyste zachovali nezávislost a vyhnuli se situaci „soudce i obhájce v jedné osobě“.

Co aktuálně očekávají regulátoři?

Jednu věc: jasně označenou odpovědnost. Je jim jedno, jestli máte AI Officer, DPO nebo governance komisi. Očekávají, že bez váhání umíte říct, kdo je za co zodpovědný.

Od srpna 2025 budou mít národní dozorové orgány pravomoc ukládat pokuty za nedostatečnou dokumentaci odpovědností. A nepůjde o drobné — budou se počítat v procentech obratu.

Regulátora nezajímá název role. Zajímá ho, že když se zeptá „kdo odpovídá za bias v tomhle AI?“, vy odpovíte: „To je AI Officer X, tady je tým, tady jsou materiály, tady jsou testy.“ Pokud to neumíte, problém se stává velmi konkrétní.

Jak to udělat: pět praktických kroků

  1. Zmapujte, kde máte AI. Mnohé firmy netuší, kolik AI už používají: selekce kandidátů, chatboty, detekce podvodů, personalizace, segmentace… Zapište vše a popište, jak každý systém funguje a co dělá.
  2. Identifikujte odpovědnosti. Je jasné, kdo za AI odpovídá? Nebo si IT myslí, že to řídí právní oddělení, a právní oddělení si myslí, že to řídí IT?
  3. Rozhodněte o osobě, která převezme odpovědnost. Rozšíříte roli DPO, nebo najmete nového AI Officer? Obojí je možné — ale musíte to umět zdokumentovat. Odborníků je málo.
  4. Zdokumentujte rozhodnutí a role. Ať zvolíte cokoli, dejte to do dokumentace k AI (politika, organizační řád, governance dokument…). Regulátor musí vidět, že to není náhoda a „šuplíková agenda“.
  5. Investujte do školení a kapacit. AI Officer musí znát aspoň základy GDPR. DPO musí rozumět tomu, jak AI funguje. Bez toho to nebude fungovat.

Reálné příklady z praxe

Scénář 1: malá fintech firma (30 zaměstnanců).
Mají jednoho DPO s praxí z pojišťovny. Když se situace kolem AI „vyostřila“, přenesli na něj i AI odpovědnosti, ale věděli, že to sám neutáhne. Najali externího AI konzultanta na šest měsíců, aby postavil governance rámec. Teď má DPO manuál a s IT týmem to zvládají. Náklad: externí konzultace a čas DPO. Úspora: nemuseli platit druhou pozici. DPO, který se naučil AI, je pro ně levnější než plat nového AI Officer — a funguje to.

Scénář 2: střední pojišťovna (500 zaměstnanců).
Mají DPO, ale AI rizika jsou vysoká. Systém rozhoduje o výši pojistného podle údajů o zdraví (citlivé osobní údaje). Najali dedikovaného AI Officer. První rok byl těžký — musel pochopit byznys i jejich AI. Teď sedí s DPO každý pátek: jednotná dokumentace, jednotný přístup k rizikům. DPO řeší osobní údaje, AI Officer etické dimenze (např. testování bias). Jeden systém governance, dvě specializace.

Scénář 3: velký tech podnik (3000 zaměstnanců).
Samostatný tým DPO (4 lidé) a samostatný tým AI governance (7 lidí vedených AI Officer). Zpočátku to vypadalo jako duplicita. Dnes je to jejich síla: mají desítky AI systémů a nemohou si dovolit, aby to spravoval jeden člověk.

Den, kdy přijde kontrola

Představte si, že v pátek v 8:00 přijde kontrola od národního dozorového orgánu. Regulátor se zeptá: „Máte AI systém, který rozhoduje o úvěrech. Kdo odpovídá za to, že dodržuje AI Act?“

Pokud odpovíte: „To je náš AI Officer, tady je kontakt, tady je dokumentace, tady je AI Impact Assessment, tady je governance rámec, tady je důkaz monitoringu (např. bias)“, projdete.

Pokud řeknete: „Hmm, asi člověk z IT… nebo DPO… nebo asistentka vedoucího…“, máte problém. A ten problém zaplatíte na pokutách.

Závěr: nejde jen o názvy

Debata AI Officer vs. DPO je debata o odpovědnosti. O tom, kdo drží volant — a jak. AI už není budoucnost. Je to přítomnost a přítomnost potřebuje vedení.

Jestli zvolíte dedikovaného AI Officer, rozšíříte DPO, nebo budete mít obě role, je vaše volba. Jen musí být vědomá, promyšlená a srozumitelně odkomunikovaná v celé organizaci.

Organizace, které to udělají správně, získají dvě věci: klidnější spánek vedení a tiše i náskok před konkurencí, která se s tím pořád fláká.

Komentáře   0
Personální legislativa v ČR Umělá inteligence