Proč firmy tuhle otázku kladou — a proč je to dobré znamení
Každý majitel firmy který zvažuje AI hlasového agenta se dříve nebo později zeptá: je to bezpečné? Co se děje s nahrávkami hovorů? Vědí zákazníci, že mluví s umělou inteligencí? Co říká GDPR? Tyhle otázky nejsou překážkou — jsou znakem odpovědného přístupu k podnikání.
Bohužel se tyto otázky v praxi často nekladou dostatečně nahlas. Firma nasadí řešení, aniž by zjistila jak jsou data zákazníků zpracovávána, kde jsou uložena a kdo k nim má přístup. Pak se diví, když přijde kontrola z Úřadu pro ochranu osobních údajů nebo nespokojený zákazník.
Tento článek dává na všechny klíčové otázky přímé odpovědi. Bez marketingového zamlžování, bez technického žargonu — jen to co potřebujete vědět předtím než cokoli podepíšete.
Musí zákazník vědět, že mluví s AI? Ano — a zákon to vyžaduje
Toto je nejčastější otázka a odpověď je jednoznačná: zákazník musí být informován o tom, že komunikuje s umělou inteligencí. Tuto povinnost zakotvuje nařízení EU o umělé inteligenci (AI Act) které vstoupilo v platnost v roce 2024 a postupně se stává závazným napříč celou Evropskou unií.
V praxi to znamená, že AI hlasový agent musí na začátku hovoru transparentně sdělit, že zákazník mluví s automatizovaným systémem — ne s živým člověkem. Tato informace musí být sdělena před tím než zákazník sdělí jakékoli osobní údaje nebo se zaváže k jakémukoli závazku.
Kvalitně nastavený agent to zvládne přirozeně a profesionálně — ne jako varování nebo omluvu, ale jako součást úvodní věty. Zákazníci kteří o tom jsou informováni od začátku typicky pokračují v hovoru bez problémů — zejména pokud agent mluví přirozeně a pomáhá jim rychle a věcně.
Firma která tuto povinnost ignoruje a nechá zákazníky domnívat se, že mluví s člověkem, porušuje zákon. Při výběru poskytovatele AI agenta ověřte, že transparentní identifikace je součástí standardního nastavení — ne volitelnou funkcí.
GDPR a AI agent: co se děje s osobními údaji zákazníků
Každý hovor obsahuje osobní údaje — přinejmenším telefonní číslo zákazníka, případně jeho jméno, adresu nebo zdravotní informace. Tyto údaje podléhají nařízení GDPR stejně jako jakékoli jiné osobní údaje které vaše firma zpracovává.
Jako provozovatel firmy jste v pozici správce osobních údajů. Poskytovatel AI agenta je zpracovatel. To znamená, že musíte mít s poskytovatelem uzavřenou smlouvu o zpracování osobních údajů (DPA — Data Processing Agreement) která definuje za jakým účelem jsou data zpracovávána, jak dlouho jsou uchovávána a jakým způsobem jsou chráněna.
Konkrétní otázky které musíte poskytovateli položit: kde jsou data fyzicky uložena — v EU nebo mimo ni? Jak dlouho se uchovávají záznamy hovorů? Kdo k nim má přístup? Jak jsou data šifrována při přenosu a při uložení? Jak probíhá výmaz dat na žádost zákazníka?
Renomovaný poskytovatel na tyto otázky odpovídá bez váhání a poskytne vám DPA jako standardní součást smlouvy. Pokud poskytovatel tyto otázky odbývá nebo tvrdí, že DPA není potřeba, je to vážný varovný signál.
Kde jsou data uložena a proč na tom záleží
Uložení dat mimo Evropskou unii — například v USA — je z pohledu GDPR komplikované a vyžaduje splnění přísných podmínek. Data zákazníků z EU musí být buď uložena přímo v EU, nebo přenášena do třetích zemí na základě odpovídajících záruk jako jsou standardní smluvní doložky.
Pro malou firmu to v praxi znamená: vždy se zeptejte kde poskytovatele fyzicky sídlí jeho servery. Evropské datové centrum je jednodušší a bezpečnější varianta — nemusíte řešit složité mezinárodní přenosy dat a dokumentaci k nim.
Kvalitní AI agenti pro české firmy zpracovávají data v datových centrech na území EU. Tato informace by měla být explicitně uvedena v dokumentaci nebo v DPA — ne schovávána v zásadách ochrany soukromí psaných drobným písmem.
Jsou záznamy hovorů bezpečné a kdo k nim má přístup
Záznamy hovorů a automatická shrnutí patří mezi nejcitlivější data která AI agent zpracovává. Zákazník v hovoru sdílí osobní informace — v případě lékařských ordinací jde o zdravotní údaje, v případě advokátních kanceláří o informace chráněné profesní mlčenlivostí.
Přístup k záznamům a shrnutím by měl mít pouze oprávněný personál vaší firmy — ne libovolný zaměstnanec poskytovatele. Ověřte jak je přístup řízen: jsou data přístupná přes zabezpečený portál s dvoufaktorovým přihlášením? Loguje se kdo a kdy k datům přistupoval?
Standardem v oboru je šifrování dat při přenosu (TLS) i při uložení, oddělené datové prostory pro každou firmu a automatický výmaz starých nahrávek po uplynutí stanovené doby. Tuto dobu byste měli mít možnost sami nastavit — v souladu s vaší interní politikou uchovávání dat.
Specifické obory: kdy jsou bezpečnostní nároky vyšší
Zdravotnická zařízení — zubní ordinace, kliniky, veterináři, psychologové — zpracovávají při hovorech zdravotní údaje. Ty jsou podle GDPR zvláštní kategorií osobních údajů a podléhají přísnějšímu režimu. Před nasazením AI agenta ověřte, zda váš poskytovatel splňuje požadavky pro zpracování citlivých dat a zda je to explicitně ošetřeno ve smlouvě.
Advokáti a právní kanceláře jsou vázáni profesní mlčenlivostí. Informace sdělené klientem jsou chráněny bez ohledu na to, zda k jejich zpracování dochází přes AI agenta nebo přes recepční. Poskytovatel musí garantovat, že k obsahu hovorů nemají přístup třetí strany — a tato garance musí být smluvní, ne jen ústní.
E-shopy a obchodní firmy zpracovávají méně citlivá data, ale jejich objem bývá vysoký. Zde je klíčová zejména robustnost systému a schopnost automatického výmazu dat zákazníků kteří o to požádají — v souladu s právem na výmaz podle GDPR.
Co se stane když AI agent udělá chybu
Žádný systém není neomylný — ani lidský recepční. Otázka není zda AI agent někdy udělá chybu, ale jak je firma na takovou situaci připravena. Kvalitní nastavení zahrnuje jasný eskalační scénář: pokud agent neví, neslibuje, nevymýšlí si a okamžitě předá situaci živé osobě s plným přehledem o průběhu hovoru.
Agent by nikdy neměl poskytovat informace mimo svou znalostní bázi. Pokud zákazník položí otázku na kterou agent nezná odpověď, správná reakce je: sdělím vám to s jistotou až se poradím s kolegou — a zajistím vám zpětné volání. Tato instrukce musí být součástí nastavení od prvního dne.
Transparentnost vůči zákazníkovi je nejlepší pojistka. Zákazník který ví že mluví s AI a dostane upřímnou odpověď — i když ta odpověď zní nevím, ale zavolají vám — odchází s lepším dojmem než zákazník kterému přetížená recepční odbyde hovor narychlo.
Pět otázek které musíte poskytovateli položit před podpisem smlouvy
Za prvé: Informuje agent zákazníka na začátku hovoru o tom, že mluví s AI? Tato funkce musí být standardní — ne volitelná a ne závislá na vaší žádosti.
Za druhé: Kde jsou data fyzicky uložena? Odpověď musí být konkrétní — název datového centra nebo alespoň potvrzení, že jde o území EU.
Za třetí: Je součástí smlouvy DPA — smlouva o zpracování osobních údajů? Bez DPA nemůžete legálně předávat osobní údaje zákazníků třetí straně.
Za čtvrté: Jak dlouho jsou záznamy hovorů uchovávány a jak probíhá jejich výmaz? Měli byste mít možnost tuto dobu nastavit nebo alespoň vědět kdy automaticky dochází k výmazu.
Za páté: Kdo má přístup k záznamům a shrnutím hovorů? Přístup by měl být omezen výhradně na oprávněný personál vaší firmy — ne na libovolné zaměstnance poskytovatele.
Jak KraftunAI přistupuje k bezpečnosti dat
KraftunAI navrhuje každého AI agenta s ohledem na platnou legislativu od prvního dne. Transparentní identifikace AI na začátku každého hovoru je standardní součástí nastavení — zákazník je vždy informován, bez výjimky.
Součástí každé spolupráce je smlouva o zpracování osobních údajů která přesně definuje jak jsou data zákazníků zpracovávána, kde jsou uložena a kdo k nim má přístup. Data jsou uchovávána na serverech v rámci EU a přístup k záznamům hovorů je omezen výhradně na oprávněný personál klienta.
Pokud máte specifické požadavky na dobu uchovávání dat, způsob jejich výmazu nebo potřebujete řešení pro obor se zvýšenými nároky na ochranu osobních údajů, je to součást konzultace před spuštěním — ne problém který řešíte dodatečně. Bezpečnost není doplněk. Je to základ.