Na Anthropic Legal Summitu mě zaujalo jedno konkrétní číslo: in‑house tým Anthropic Legal zkrátil zpracování PIA/DPIA z dvou hodin na třicet minut. Mark Pike (Associate General Counsel Anthropic a produktový vedoucí Claude for Legal) to v přednášce formuloval jasně: „Cutting down on time it takes to do those reviews so we can focus on strategic decisions." Není to obecný marketingový slib, je to interní metrika, kterou ukázali jejich vlastní právníci. A protože posouzení v oblasti ochrany osobních údajů jsou dnes každodenní agendou daňových poradců, advokátů i in‑house týmů v ČR, stojí za to rozebrat, jak to konkrétně funguje, a jak by to mělo vypadat v české advokátní kanceláři.
Krátká odpověď: AI nedělá DPIA za vás. Dělá ji s vámi, a přesune 75 % práce z rutinní syntézy na skutečné rozhodování. Zde je to rozkresleno krok za krokem.
Co DPIA reálně obnáší (a proč žere dvě hodiny)
Pro připomenutí: Data Protection Impact Assessment podle čl. 35 GDPR je posouzení dopadů zamýšleného zpracování osobních údajů na práva subjektů. Strukturovaný dokument, který musí obsahovat popis zpracování, hodnocení nutnosti a přiměřenosti, identifikaci rizik a opatření, která tato rizika minimalizují.
U tradičního zpracování vypadá hodina‑plus práce typicky takto:
- 20–30 minut sbírání kontextu. Probíráte e‑mailové vlákno se zadáním, smlouvu s dodavatelem, technický popis systému, otevíráte tři PDF od klienta a dva interní dokumenty.
- 30–40 minut psaní popisné části. Mapujete jaké údaje se zpracovávají, na jakém právním základě, kdo k nim přistupuje, jak dlouho se uchovávají.
- 20–30 minut identifikace rizik. Procházíte checklist (re‑identifikace, profilace, automatizované rozhodování, přenos do třetí země), píšete krátké odůvodnění pro každý bod.
- 20–30 minut návrh opatření. Pseudonymizace, šifrování, doba uchování, smluvní záruky.
- 10–15 minut finální kontrola a úpravy formátování.
Z těchto pěti kroků jsou první čtyři z velké části syntéza a převod kontextu do strukturované formy, ne původní právní rozhodování. To je přesně typ úlohy, ve které dnešní AI svítí.
Anatomie 30‑minutového postupu
Tady je, jak vypadá identický úkol s dobře nastaveným AI postupem. Mluvím o Claude s přístupem k vašemu DMS, vlastní šablonou DPIA a znalostní bází z předchozích posouzení, jak to reálně stavíme u klientů.
1 Zadání (5 minut)
Místo otevírání pěti dokumentů, jedna konverzace.
Otevřete Claude (typicky přes Claude for Word nebo Claude desktop), spustíte DPIA plugin, který má ve své šabloně všech 12 sekcí podle GDPR čl. 35. Nahrajete tři dokumenty (zadání, dodavatelskou smlouvu, technický popis). Plugin se zeptá na tři klíčové otázky: účel zpracování, kategorie subjektů údajů, doba uchování. Tomu říkáme „úvodní pohovor", trvá tři až pět minut.
2 Generování konceptu (5–8 minut, převážně bez vás)
Sekce 1–6 vznikají na pozadí.
Plugin vyplní popisné sekce (popis zpracování, kategorie údajů, právní základ, příjemci, doba uchování, přenosy mimo EU) na základě dokumentů a vaší odpovědi. Identifikuje, kde mu data chybí, a explicitně to označí (např. „nejasné, jestli se údaje přenášejí do USA, ověřte u klienta"). Ve chvíli, kdy si jdete pro kávu, je hotový.
3 Riziková analýza (10 minut, s vámi)
Tady je vaše práce, ne AI.
Plugin nadhodí návrhy rizik s odůvodněním pro každý bod. „Riziko re‑identifikace, hodnocení střední — vstupní data jsou pseudonymizovaná, ale soubor dat je malý a v kombinaci s veřejně dostupnými údaji…". Tady si vy jako advokát čtete každý bod a buďto schválíte, nebo přepíšete. Tohle je krok, kde AI nemůže nahradit profesionální úsudek, a ani by neměla. Místo psaní textu od nuly schvalujete nebo upravujete strukturovaný koncept. Z 30 minut zabere riziková analýza zhruba třetinu.
4 Opatření (5 minut)
Šablony, které sedí.
Pro identifikovaná rizika plugin navrhne opatření ze znalostní báze vašich předchozích DPIA. „Pseudonymizace na úrovni vstupu, doba uchování 36 měsíců, šifrování v klidu AES‑256, smluvní záruka subprocesora se zákazem trénování modelů." Vy schválíte, případně upravíte, ale neděláte tu práci nanovo.
5 Závěrečná kontrola (3–5 minut)
Tlačítko „export do Wordu", kontrola formátu, podpis.
Plugin vyexportuje DPIA do Wordu ve formátu, který používá vaše kancelář (číslování, hlavičky, font). Vy zkontrolujete, doplníte konkrétní detaily, které model nemohl vědět (jméno DPO, datum, odkaz na ROPA), a dokument jde do archivu.
Kde AI nezvládne, a kde její chyby poznáte
Tři místa, kde postup DPIA vyžaduje pozornost právníka, ne důvěru v AI:
- Právní základ zpracování (čl. 6 GDPR). AI navrhne, ale vy musíte ověřit. Rozdíl mezi „oprávněný zájem" a „nezbytné pro plnění smlouvy" je často nuance, kterou model nedovidí, protože nezná všechny detaily obchodního vztahu. Tady plugin nepoužívá automatický návrh, nabídne kontrolní seznam k rozhodnutí.
- Zvláštní kategorie údajů (čl. 9). Pokud ve vstupu jsou zdravotní nebo biometrické údaje, AI to musí poznat, ale finální rozhodnutí o přiměřenosti je na vás. Plugin tady vždy eskaluje s explicitním upozorněním.
- Posouzení nutnosti a přiměřenosti (čl. 35 odst. 7). Tahle část DPIA je právní rozhodnutí, ne syntéza. Plugin pro vás nepíše argumentaci, nabídne strukturu (test nutnosti, test přiměřenosti, alternativy) a vy ji vyplníte. Žádné psaní od nuly, ale taky žádný automaticky generovaný text, který byste museli kontrolovat na halucinace.
Tahle disciplína „AI dělá rutinu, právník dělá rozhodnutí" je jediný způsob, jak postupy s AI stavět odpovědně. Nejde o to, aby AI dělala víc; jde o to, aby dělala přesně tolik, co může dělat bez dohledu, a dál posouvala k vám.
Co to znamená pro českou kancelář
Šablona DPIA od Cordinelu pro české klienty má dvanáct sekcí podle čl. 35 GDPR, integruje stanovisko ÚOOÚ a reflektuje WP29/EDPB pokyny. Znalostní báze obsahuje desítky předchozích DPIA z různých sektorů (HR, marketing, AI, fintech), takže plugin nestaví na americkém kontextu, ale na tom, co prakticky proběhlo přes ÚOOÚ.
Praktický dopad: typická advokátní kancelář, která dělá 5–15 DPIA ročně pro klienty, ušetří touhle změnou postupu 40–60 hodin ročně. Pro in‑house právníka, kterému DPIA spadá pod běžnou agendu, jde o denní úkol, který klesne z hodiny‑plus na půlhodinu. ROI implementace je tady spočitatelná během prvního měsíce.
AI nezrušila právní rozhodování, zrušila tu část DPIA, kde právník mechanicky převádí kontext do strukturované šablony. To je vítaná změna, ne hrozba.
Stejnou logiku, „šablona + plugin + znalostní báze + AI dělá syntézu, advokát dělá rozhodnutí", lze přenést na desítky dalších opakujících se právních dokumentů: ROPA, due diligence dodavatelů, revize NDA, pracovní dopisy, základní regulatorní aktualizace. V Cordinelu právě tohle stavíme.