cloudAIGDPRochrana údajůbezpečnostkybernetická bezpečnost

Ochrana osobních údajů při používání cloudových služeb a AI nástrojů v kanceláři: Na co si dát pozor

Tým Váš Pověřenec

3. října 2025

Ochrana osobních údajů při používání cloudových služeb a AI nástrojů v kanceláři: Na co si dát pozor

Digitalizace kancelářské práce v posledních letech přinesla obrovské možnosti, které mění způsob, jakým firmy, instituce i jednotlivci pracují. Cloudová úložiště umožňují snadné sdílení dokumentů a spolupráci na dálku, zatímco umělá inteligence (AI) nabízí efektivní pomocníky pro rychlejší zpracování úkolů – od generování textů, přes překlady až po analýzu dat.

Spolu s těmito výhodami ale přichází významná rizika, zejména v oblasti ochrany osobních údajů a důvěrných informací. Pokud pracujete s daty klientů, zaměstnanců nebo obchodních partnerů, je nezbytné vědět, co lze do cloudu či AI nástrojů vložit a co už představuje porušení GDPR či ohrožení bezpečnosti firmy.

Proč je téma důležité

Cloudové služby i AI nástroje fungují na principu, že data opouštějí váš počítač a jsou zpracovávána na serverech poskytovatele. Tyto servery mohou být umístěny mimo Českou republiku, často dokonce mimo Evropskou unii.

To přináší několik zásadních problémů:

  • Ztráta kontroly nad daty – nevíte přesně, kdo k nim má přístup
  • Riziko neoprávněného zpracování – data mohou být použita k jiným účelům, např. k trénování AI modelů
  • Právní odpovědnost – dle GDPR nese odpovědnost správce údajů (firma, úřad, škola), ale i zpracovatel (např. poskytovatel cloudu)
  • Možné sankce – za porušení GDPR mohou být uděleny pokuty až ve výši 20 milionů EUR nebo 4 % z celkového ročního obratu

Příklad z praxe: Firma zadá bezplatnému AI chatbotu přepis celé smlouvy se zákazníkem, aby ji nechala stylisticky upravit. Pokud chatbot tato data uchovává a využívá pro vlastní učení, mohlo dojít k neoprávněnému zpřístupnění osobních údajů a firma nese plnou odpovědnost.

Na co si dát pozor v praxi

1. Sdílení citlivých dat s AI nástroji

Mnoho AI nástrojů, zejména bezplatné verze, funguje tak, že data vkládaná uživateli slouží ke zlepšování modelů.

Pokud tedy zadáte do chatbota celé jméno, rodné číslo, zdravotní informaci, finanční údaje či obchodní strategii, riskujete únik důvěrných informací. Navíc často ani nemáte přehled, kde a jak dlouho budou tato data uložena.

Doporučení:

  • Nikdy nevkládejte do AI osobní údaje ani obchodní tajemství
  • Používejte anonymizaci – místo „Jan Novák" napište „Klient A"
  • Pokud je potřeba AI využít, volte placené podnikové verze, které nabízejí uzavřené prostředí bez využívání dat k učení modelu (např. Microsoft Copilot for Business)
  • Vždy si přečtěte podmínky služby, zejména sekci o nakládání s daty

2. Cloudové úložiště a bezpečnostní nastavení

Cloudové služby jako OneDrive, Google Drive či Dropbox jsou dnes běžnou součástí firemního prostředí. Problém však nastává, když jsou složky a dokumenty sdíleny neřízeně – např. „pro všechny s odkazem".

To může vést k tomu, že citlivé údaje se stanou veřejně přístupnými, aniž by si toho firma všimla.

Doporučení:

  • Nastavujte přístupová práva podle role – kdo má data pouze číst a kdo je může upravovat
  • Používejte dvoufaktorové ověřování (2FA)
  • Pravidelně provádějte audit přístupů – zkontrolujte, kdo má k souborům přístup
  • Vytvořte firemní politiku pro práci s cloudem – co se smí ukládat, jaká pojmenování používat, kdo je zodpovědný za správu oprávnění

Příklad: Zaměstnanec nechtěně sdílí složku s databází zákazníků přes odkaz „pro všechny s odkazem". Tento odkaz se dostane na veřejný internet.

3. Umístění serverů a smluvní vztahy

Podle GDPR je klíčové, kde jsou servery s daty umístěny. Pokud se nacházejí mimo EU, musíte zajistit, že přenos dat probíhá v souladu s evropskou legislativou – typicky prostřednictvím Standardních smluvních doložek (SCC).

Doporučení:

  • Před uzavřením smlouvy se zeptejte, kde jsou servery fyzicky umístěny
  • Ověřte, zda má poskytovatel certifikace (např. ISO 27001, ISO 27701)
  • V případě přenosu dat mimo EU uzavřete smlouvu obsahující SCC
  • Pokud jste veřejná instituce, ujistěte se, že poskytovatel splňuje i požadavky kybernetického zákona

4. Nejasná pravidla používání AI aplikací

Mnohé AI aplikace jsou zdarma právě proto, že využívají vložená data. Zaměstnanci často nevědí, že tímto způsobem mohou nevědomky porušit interní pravidla firmy, GDPR nebo dokonce zákonnou povinnost mlčenlivosti.

Doporučení:

  • Vytvořte interní směrnici pro práci s AI:
    • Co je zakázáno sdílet (osobní údaje, smlouvy, obchodní strategie)
    • V jakých případech je AI povoleno využívat (např. jen pro rešerše nebo stylistické úpravy anonymizovaných textů)
    • Jaké nástroje jsou firemně schválené
  • Zaměstnance proškolte – mnoho úniků dat vzniká právě z nevědomosti

Co sdílet a co nikdy nesdílet s AI

Typ dat Lze sdílet ✅ Nikdy nesdílet ❌
Obecné dotazy, veřejné info Ano -
Texty určené k editaci Ano, pokud neobsahují osobní údaje -
Vzorové šablony dokumentů Ano, anonymizované -
Osobní údaje (jména, adresy, RČ, zdravotní info) - Ano
Obchodní tajemství, interní strategie - Ano
Dokumenty chráněné mlčenlivostí - Ano

Praktické kroky pro firmy a instituce

1. Proškolte zaměstnance

  • Vysvětlete, jaká rizika hrozí při práci s cloudem a AI
  • Naučte je rozpoznávat bezpečné a rizikové situace

2. Vytvořte interní směrnice

  • Stanovte jasná pravidla pro ukládání a sdílení dat
  • Určete, jaké AI nástroje jsou povoleny

3. Vyberte spolehlivé poskytovatele

  • Preferujte služby s certifikacemi a servery umístěnými v EU
  • Ujistěte se, že smlouvy obsahují potřebné právní doložky

4. Pravidelně provádějte audity

  • Kontrolujte nastavení cloudových služeb i AI aplikací
  • Sledujte, kdo má přístup k citlivým datům

Shrnutí

Cloudové služby a AI nástroje se staly nezbytnou součástí moderní kancelářské práce. Přinášejí rychlost, flexibilitu a úsporu nákladů, ale bez správného nastavení mohou představovat vážné riziko – od úniku osobních údajů po vysoké pokuty za porušení GDPR.

Klíčem k bezpečnému využívání je informovanost, prevence a jasná pravidla. Každá firma či instituce by měla:

  • Proškolit své zaměstnance
  • Nastavit interní směrnice
  • Vybrat prověřené poskytovatele
  • Pravidelně kontrolovat, jak jsou cloud i AI nástroje využívány

Pouze tak lze naplno využít potenciál digitalizace, aniž by byla ohrožena bezpečnost a důvěra klientů, zaměstnanců či veřejnosti.

Potřebujete pomoc s nastavením bezpečného používání cloudových služeb a AI nástrojů ve vaší organizaci? Kontaktujte nás a my vám pomůžeme vytvořit bezpečná pravidla a proškolit vaše zaměstnance.

Související články

Jak na nový kamerový systém: Compliance, GDPR a povinnosti
kamerový systémGDPR
Jak na nový kamerový systém: Compliance, GDPR a povinnosti

Zavádění kamerového systému přináší povinnosti dle GDPR. Zjistěte, jak správně postupovat podle aktuální metodiky ÚOOÚ 2025 a vyhněte se vysokým sankcím.

Tým Váš Pověřenec · 1. září 2025

Jak chránit oznamovatele a předcházet odvetným opatřením
whistleblowingochrana oznamovatelů
Jak chránit oznamovatele a předcházet odvetným opatřením

Ochrana oznamovatelů je klíčová pro fungování whistleblowingu. Zjistěte, jak předcházet odvetě, co zahrnuje, jaké jsou povinnosti zaměstnavatelů a jak minimalizovat právní rizika.

Tým Váš Pověřenec · 25. srpna 2025

Nejčastější chyby při zavádění GDPR a jak se jim vyhnout
GDPRimplementace
Nejčastější chyby při zavádění GDPR a jak se jim vyhnout

Praktické příklady z kontrol ÚOOÚ a doporučení, jak správně implementovat GDPR. Zjistěte nejčastější chyby při zavádění ochrany osobních údajů a jak jim předcházet.

Tým Váš Pověřenec · 4. srpna 2025