GDPR vs. ChatGPT v organizaci: Jak zkrotit umělou inteligenci a ochránit svá data
GPDRAIChatGPT

GDPR vs. ChatGPT v organizaci: Jak zkrotit umělou inteligenci a ochránit svá data

Tým Váš Pověřenec

1. dubna 2026

Umělá inteligence už dávno není hudbou budoucnosti nebo hračkou pro IT oddělení. Je tady, je dostupná a vaši zaměstnanci ji pravděpodobně používají každý den. Nástroje jako ChatGPT, Claude nebo Gemini jim pomáhají psát e-maily, tvořit marketingové texty, analyzovat data nebo ladit zdrojové kódy.

Zatímco pro produktivitu je to obrovský skok vpřed, z pohledu bezpečnosti a ochrany dat jde o noční můru. Pokud zaměstnanci používají generativní AI živelně, vaše firma balancuje na tenkém ledě. Stačí jeden neopatrný "prompt" (příkaz) a může dojít k masivnímu úniku osobních údajů nebo cenného obchodního tajemství.

Jak se vyhnout drakonickým pokutám a ztrátě know-how? Odpovědí není absolutní zákaz, ale kvalitní vnitřní směrnice.

 

Kde číhá největší nebezpečí?

Než se pustíme do psaní pravidel, je nutné pochopit, co se s daty děje. Většina veřejně dostupných AI modelů (v jejich bezplatných verzích) funguje jako obří vysavač. Data, která do nich uživatelé vloží, mohou sloužit k dalšímu trénování modelu.

1. Únik osobních údajů a porušení GDPR

Představte si personalistu, který nahraje do ChatGPT třicet životopisů s prosbou: "Vytvoř mi z těchto CV tabulku a vyber tři nejlepší kandidáty." Nebo obchodníka, který do nástroje zkopíruje e-mailovou komunikaci s klientem, aby mu AI vygenerovala zdvořilou odpověď.

V obou případech právě došlo k předání osobních údajů (jména, kontakty, zdravotní stav, finanční situace) třetí straně bez jakéhokoliv právního základu nebo souhlasu subjektů údajů. Z pohledu GDPR jde o závažný bezpečnostní incident.

2. Ztráta obchodního tajemství a know-how

Stejné riziko platí pro interní firemní data. Programátor hledající chybu v novém, přísně tajném softwaru, který zkopíruje zdrojový kód do AI, ho de facto odevzdává provozovateli aplikace. Stejně tak finanční ředitel, který si nechá "učesat" tabulku s plánovanými akvizicemi na příští rok. Jakmile se tato data stanou součástí trénovací sady, existuje riziko, že je AI v budoucnu "vyzradí" vaší konkurenci.

 

Proč absolutní zákaz nefunguje (a fenomén Shadow AI)

Prvním reflexem mnoha vedení firem je zablokovat přístup k ChatGPT na firemní síti. Praxe ale ukazuje, že to nefunguje. Zaměstnanci rychle přejdou do režimu tzv. Shadow AI (stínové IT). Prostě vytáhnou svůj soukromý mobil, odpojí se od firemní Wi-Fi a vyřeší úkol tam. Tím firma ztrácí jakoukoliv kontrolu a riziko úniku dat se paradoxně zvyšuje.

Mnohem efektivnější je umělou inteligenci ve firmě legalizovat, nastavit jí mantinely a zaměstnance edukovat.

 

5 pilířů firemní směrnice pro používání AI

Jak by měla vypadat funkční interní pravidla? Zde jsou klíčové body, které by ve vaší směrnici neměly chybět:

1. Definice povolených a zakázaných nástrojů

Jasně vyjmenujte, které nástroje jsou pro firemní účely schválené a které ne.

Bezpečná cesta: Pokud to rozpočet dovoluje, investujte do enterprise/firemních verzí AI (např. ChatGPT Enterprise, Microsoft Copilot pro firmy). Tyto placené verze mají ve smluvních podmínkách garantováno, že uživatelská data nebudou použita k trénování modelů a splňují vysoké bezpečnostní standardy.

Jasný zákaz: Zakázejte používání neschválených, exotických nebo pochybných AI aplikací (často jde o různé "AI generátory" stažené z neověřených zdrojů do mobilních telefonů).

2. Pravidlo nulové tolerance pro citlivá data

I u schválených nástrojů musí platit striktní pravidla pro to, co do nich lze vložit. Směrnice musí explicitně zakázat vkládání:

●   Osobních údajů klientů, zaměstnanců i dodavatelů (jména, e-maily, rodná čísla, IP adresy).

●   Zdravotních informací.

●   Finančních výkazů, hesel, API klíčů a zdrojových kódů (pokud nemáte bezpečné enterprise řešení).

●   Neveřejných informací o strategii firmy.

3. Povinná anonymizace (Pseudonymizace)

Naučte zaměstnance pracovat s AI bezpečně. Pokud potřebují zanalyzovat text, který obsahuje osobní data, musí je nejprve odstranit nebo nahradit.

●   Špatně: "Zpracuj stížnost od klienta Jana Nováka, bytem Dlouhá 5, Praha."

●   Správně: "Zpracuj stížnost od Klienta X, bytem Město Y."

4. Lidský dohled a odpovědnost za výstup (Human-in-the-loop)

Generativní AI trpí tzv. halucinacemi – dokáže si s naprostou jistotou vymyslet neexistující fakta, zákony nebo citace. Směrnice musí stanovit, že AI je pouze asistent, nikoliv autorita. Zaměstnanec, který AI používá, nese 100% odpovědnost za finální výstup. Každý vygenerovaný text, kód nebo analýza musí projít kritickou lidskou kontrolou, než je odeslán klientovi nebo nasazen do produkce.

5. Otázka autorských práv

Upozorněte zaměstnance, že výstupy z AI nelze automaticky vydávat za vlastní autorské dílo (z pohledu českého práva AI nemůže být autorem). Zároveň hrozí, že vygenerovaný obrázek nebo text může narušovat autorská práva třetích stran, na jejichž datech byla AI natrénována.

 

Závěrem: Směrnice je jen začátek

Mít kvalitní dokument "v šuplíku" nestačí. Aby pravidla fungovala, musíte uspořádat školení, ukázat zaměstnancům praktické příklady bezpečného použití a pravidelně směrnici aktualizovat. Vývoj na poli AI je totiž rychlejší než legislativa.

 

Pokud si nejste jisti, zda je vaše aktuální nakládání s daty v souladu s GDPR, nebo potřebujete pomoci s přípravou AI směrnice na míru vaší společnosti, Váš Pověřenec je tu pro vás. Pomůžeme vám nastavit procesy tak, aby pro vás umělá inteligence byla konkurenční výhodou, a ne tikající bombou.

 

Související články

Co jsou to Cookies a jak fungují?
GDPRcookies
Co jsou to Cookies a jak fungují?

Cookies a sledovací technologie dnes patří mezi citlivé oblasti ochrany osobních údajů, protože mohou pracovat s IP adresou nebo identifikátorem zařízení. Pokud web využívá analytiku, reklamní nástroje nebo externí služby, je obvykle nutný předchozí a aktivní souhlas uživatele podle GDPR a zákona o elektronických komunikacích. V praxi však často dochází k chybám, kdy se tyto nástroje spouštějí ještě před udělením souhlasu nebo dochází k předávání dat mimo EU. Samotná cookie lišta proto nestačí – důležité je správné právní i technické nastavení webu.

Tým Váš Pověřenec · 16. března 2026

Nařízení Cyber Resilience Act (CRA): Nové paradigma kybernetické bezpečnosti pro digitální produkty, legislativní kontext a aplikační praxe
cyber resilience actdigitalni produkty
Nařízení Cyber Resilience Act (CRA): Nové paradigma kybernetické bezpečnosti pro digitální produkty, legislativní kontext a aplikační praxe

V současném hyperkonektivním světě, kde se stírají hranice mezi fyzickou a digitální realitou, představuje bezpečnost technologických produktů jeden z nejkritičtějších pilířů stability moderní společnosti. Cílem tohoto článku je poskytnout analýzu nařízení CRA, detailně rozebrat jeho technické a administrativní požadavky, nabídnout praktické příklady z praxe a formulovat strategická doporučení pro subjekty působící v dodavatelských řetězcích.

Tým Váš Pověřenec · 15. března 2026

Implementace a dopady Nového zákona o kybernetické bezpečnosti (nZKB) k únoru 2026
kybernetická bezpečnostNIS 2
Implementace a dopady Nového zákona o kybernetické bezpečnosti (nZKB) k únoru 2026

Nacházíme se v kritickém bodě transformace české digitální ekonomiky. Uplynulo přesně tři a půl měsíce od chvíle, kdy 1. listopadu 2025 vstoupil v účinnost nový zákon o kybernetické bezpečnosti (nZKB), který do českého právního řádu transponoval evropskou směrnici NIS2. Období, které mnozí analytici nazývali „legislativním zemětřesením“, se přehouplo z fáze teoretických diskusí do tvrdé reality implementační praxe.

Tým Váš Pověřenec · 15. února 2026