Bachelor's Thesis

Use of generative artificial intelligence for personal data protection compliance

Final Thesis 1.68 MB Appendix 1.5 MB

Author of thesis: Matej Šútorka

Acad. year: 2025/2026

Supervisor: JUDr. MgA. Jakub Míšek, Ph.D.

Reviewer: Mgr. Václav Stupka, Ph.D.

Abstract:

This bachelor’s thesis focuses on analyzing and evaluating the potential use of generative artificial intelligence (GenAI) as a tool for assessing compliance with data protection regulations, specifically in the context of the GDPR and relevant legislation in the Czech Republic.
The practical output of the thesis is a designed and tested set of optimization instructions (so-called prompts). This set transforms standard large language models (LLMs) into the role of a compliance assistant. As part of the research, testing of two leading models—Claude Sonnet 4.6 and GPT 5.3 Instant—is conducted based on a case study of the model e-shop „Sleek Canvas“.
The thesis compares the differences between the unmodified outputs of these models and the outputs that were guided by the designed set of instructions. The results are quantified using an evaluation matrix and verify the validity and real added value of GenAI as a low-cost support tool for optimizing compliance processes in the small business and sole proprietorship sectors.

Keywords:

generative artificial intelligence, large language models, GDPR, data protection, compliance, prompt engineering, compliance automation

Date of defence

16.06.2026

Result of the defence

Defended (thesis was successfully defended)

znamkaCznamka

Grading

C

Process of defence

Student prezentoval výsledky své práce a komise byla seznámena s posudky. Student obhájil bakalářskou práci s výhradami a odpověděl na otázky členů komise a oponenta. Otázky: Jaké jsou podle Vás hlavní právní a praktické limity využití generativní AI jako podpůrného nástroje pro GDPR compliance a kde by již muselo následovat posouzení odborníkem? Jak by bylo možné navrženou hodnoticí metodiku rozšířit, aby výsledky nebyly závislé pouze na jedné modelové případové studii a na subjektivním bodovém hodnocení autora? Co byste očekával o testování lokálních modelů?

Language of thesis

Slovak

Faculty

Department

Study programme

Information Security (BPC-IBE)

Composition of Committee

prof. Ing. Jan Hajný, Ph.D. (předseda)
doc. Ing. Pavel Mašek, Ph.D. (místopředseda)
Mgr. Václav Stupka, Ph.D. (člen)
Ing. Adrián Tomašov, Ph.D. (člen)
Ing. Jan Dvořák, Ph.D. (člen)
Ing. David Kohout, Ph.D. (člen)
Ing. Vojtěch Sikora (člen)

Supervisor’s report
JUDr. MgA. Jakub Míšek, Ph.D.

Práce se zabývala aktuálním tématem. Cíle práce, jak byly stanoveny, byly naplněny: autor popsal základní požadavky na zajištění compliance v kontextu ochrany osobních údajů, vytvořil detailní modelový příklad, včetně cíleně umístěných pochybení ve zpracování osobních údajů, a na jeho základě testoval využitelnost zvolených AI nástrojů, kterou dále zlepšil komplexním promptem. Výstupy byly z hlediska věcné kontroly v oblasti ochrany osobních údajů konzultovány se mnou. Hlavním nedostatkem práce je její věcná povrchnost. Projevuje se to v teoretické části (autor jen shrne ustanovení GDPR bez nějakého hlubšího kontextu), ve slabé práci s odbornou literaturou, i v praktické části, která sice dosahuje naplnění zamýšleného cíle, ale není například zajištěna původně zamýšlená interaktivita komunikace se systémem. Práce rovněž ne vždy zcela jasně vysvětluje autorův postup. I přes to, a zejména s přihlédnutím že jde o bakalářskou práci, je možné text doporučit k obhajobě. Points proposed by supervisor: 69

Grade proposed by supervisor: D

File inserted by supervisor Size
Posudek vedoucího práce [.pdf] 320,64 kB

Reviewer’s report
Mgr. Václav Stupka, Ph.D.

Závěrečná práce se zabývá využitím generativní umělé inteligence pro podporu zajištění souladu v oblasti ochrany osobních údajů. Téma považuji za velmi aktuální a prakticky významné, neboť reaguje na rychlý rozvoj nástrojů generativní AI a současně na trvající náročnost plnění povinností podle GDPR, zejména u menších podnikatelů. Práce vhodně propojuje právní rovinu ochrany osobních údajů s praktickým testováním možností velkých jazykových modelů.

Pozitivně hodnotím zejména praktickou část práce, v níž autor vytvořil modelový případ e-shopu a na něm porovnal výstupy vybraných AI modelů při použití základního a optimalizovaného promptu. Přínosná je snaha o vytvoření hodnoticí matice a kvantifikaci rozdílů mezi jednotlivými výstupy. Práce správně zdůrazňuje, že generativní AI nemůže nahrazovat právní posouzení ani činnost odborníka, ale může sloužit jako podpůrný nástroj pro prvotní identifikaci rizik a lepší orientaci v compliance požadavcích.

Práce má i některé dílčí nedostatky. Teoretická část je místy spíše popisná a některé právní otázky by mohly být analyzovány do větší hloubky, zejména pokud jde o limity odpovědného využití AI při právním hodnocení a práci s potenciálně citlivými daty. V praktické části by bylo vhodné podrobněji vysvětlit metodiku hodnocení výstupů, míru subjektivity při bodování a případné limity zobecnitelnosti výsledků z jedné případové studie. Přesto práce naplňuje stanovené cíle, prokazuje schopnost autora pracovat s aktuálním a mezioborovým tématem a představuje použitelný základ pro další rozvoj obdobných nástrojů. Práci doporučuji k obhajobě. Topics for thesis defence:
  1. Jaké jsou podle Vás hlavní právní a praktické limity využití generativní AI jako podpůrného nástroje pro GDPR compliance a kde by již muselo následovat posouzení odborníkem?
  2. Jak by bylo možné navrženou hodnoticí metodiku rozšířit, aby výsledky nebyly závislé pouze na jedné modelové případové studii a na subjektivním bodovém hodnocení autora?
Points proposed by reviewer: 75

Grade proposed by reviewer: C

Responsibility: Mgr. et Mgr. Hana Odstrčilová