Článek
Rychlejší výpočet, shrnutí dlouhého textu nebo vylepšení kódu. Umělá inteligence vnáší na pracoviště svěží nápady nebo úlevu od nezáživných úkolů. Ohledně jejího využívání se však řada zaměstnanců obává, co by na jejich nového pomocníka říkal šéf. Většina proto AI nástroje využívá tajně a vystavuje firmu i klienty nebezpečí.
Oblast využívání umělé inteligence pro pracovní úkony je doposud poměrně neošetřená. Polovina českých firem dnes sice umělou inteligenci testuje nebo aktivně využívá, 63 procent organizací ale stále nemá pevně nastavená vnitřní pravidla.
Zaměstnanci přitom bez vědomí zaměstnavatele masově vkládají firemní data, smlouvy a zdrojový kód do AI nástrojů jako ChatGPT, Gemini nebo DeepSeek. Podle zakladatele společnosti SYSNETSHIELD Patrika Žáka se to na základě dat z mezinárodních výzkumů může týkat dokonce více než 80 procent pracovníků.
Neschválené používání AI nástrojů na pracovišti je podle dat technologických společností nejrychleji rostoucí bezpečnostní hrozbou roku 2026 - a čísla ze světových trhů jsou podle Žáka alarmující.
Podle společnosti UpGuard používá zaměstnavatelem neschválené AI nástroje 80 procent zaměstnanců. Využívání pak většina aktivně skrývá, podle průzkumu KPMG dokonce 57 procent. A podle dat IBM každá pátá organizace na světě již zažila bezpečnostní incident způsobený Shadow AI.
„Firmy dnes často AI oficiálně omezují kvůli strachu ze ztráty citlivých dat, regulatorním rizikům nebo vysokým nákladům na licence, ale zároveň tlačí na výkon a produktivitu. Lidé ale vědí, jak jim může AI urychlit a zjednodušit práci a nechtějí již dělat manuálně to, co se dá automatizovat. Lidé si pak sami najdou cestu, jak tato omezení obejít a rizika pro firmu jsou pak mnohem vyšší, než kdyby vyšla lidem více vstříc,“ myslí si ředitel náboru a marketingu ManpowerGroup Jiří Halbrštát.
Datový analytik pracovního portálu JenPráce.cz Michal Španěl podotýká, že řada pracovníků vnímá AI nejen jako pomocníka, ale také jako potenciální riziko. Už nyní v některých oborech klesl vlivem automatizace a AI počet juniorních pozic o 15 až 20 procent.
„Zaměstnanec se tak dostává do vnitřního konfliktu: AI mu pomáhá být efektivnější, ale zároveň má obavu, že kdyby její využití přiznal, může být vnímán jako nahraditelný,“ vysvětluje. Výsledkem je podle něj paradoxní situace, kdy lidé technologii využívají, ale zároveň ji skrývají, aby si udrželi svou pozici.
„Čekat na oficiální schválení od IT oddělení je navíc v řadě firem stále trochu jako „čekání na Godota“. Zaměstnanci mají zároveň obavu, že by jim firma nástroj z bezpečnostních důvodů zakázala, a oni by tak přišli o svou konkurenční výhodu,“ dodává.
Porušení zákona či obchodního tajemství
Neopatrně přitom s daty zachází lidé naprosto běžně. Vývojáři vkládají do AI nástrojů citlivý zdrojový kód. Personalisté nechávají ChatGPT analyzovat životopisy uchazečů plné osobních informací. Obchodníci vkládají do modelů nabídky s cenami a jmény zákazníků, finanční oddělení rozvahová čísla a právníci důvěrné klientské smlouvy. Stačí přitom jeden neopatrný pokyn a firma může porušit hned několik předpisů najednou.
Jeden zaměstnanec tak může poměrně jednoduše porušit hned tři klíčové předpisy - GDPR, Zákon o kybernetické bezpečnosti (NIS2) nebo připravovaný EU AI Act. Firmě pak hrozí někdy velmi přísné pokuty. Při porušení GDPR až 20 milionů eur nebo 4 % obratu, u porušení NIS2 až 250 milionů korun nebo 2 % obratu a při nedodržení AI Actu dokonce až 35 milionů eur nebo 7 % obratu.
„Na vlastní oči jsme viděli, jak technik vkládal administrátorské přihlašovací údaje do AI se slovy: ‚To je v pohodě, mám vypnuté učení na datech a potřebuji, aby mi AI dala přesné příkazy k rychlé opravě chyby.‘ Taková praxe je extrémně riziková,“ popisuje zvyklosti některých pracovníků Žák.
Dodává, že podle analýzy společnosti Harmonic Security, která prozkoumala 22,4 milionu firemních promptů - zadání úkolů pro umělou inteligenci, obsahovalo více než 579 tisíc z nich citlivá data. Téměř 17 % těchto úniků přitom probíhalo přes osobní účty zaměstnanců, nad kterými firma nemá absolutně žádnou kontrolu.
Podle advokáta Tomáše Hokra z kanceláře Bříza & Trubač může být například vložení životopisů uchazečů nebo smluv do veřejného AI nástroje porušením GDPR, pokud dokumenty obsahují osobní údaje a zaměstnavatel nemá pod kontrolou, kam se data předávají, za jakým účelem se zpracovávají, zda jsou ukládána, využívána k trénování modelu nebo předávána mimo EU. U smluv navíc může jít i o porušení obchodního tajemství či povinnosti mlčenlivosti.
Odpovědnost za porušení ale podle něj ponese zpravidla zaměstnavatel, který je správcem osobních údajů. Nemůže se jí zbavit pouze tím, že zaměstnanec použil AI nástroj bez pokynu, pokud neměl nastavena jasná pravidla, školení a technická opatření.
„Zaměstnanec však může nést interní pracovněprávní odpovědnost, zejména pokud porušil výslovný zákaz nebo bezpečnostní pokyny,“ vysvětluje s tím, že pokuty jsou reálně vymahatelné, zejména podle GDPR. Zároveň podle něj ovšem každé pochybení neznamená automaticky likvidační sankci.
„Úřady budou posuzovat rozsah incidentu, typ dat, míru zavinění, preventivní opatření i reakci firmy. V praxi může být pro řadu společností stejně závažné nebo ještě závažnější reputační riziko, porušení smluvní mlčenlivosti a s tím související ztráta důvěry klientů,“ dodává.
Vítězslav Šantrůček, ředitel vývoje společnosti Gen Digital navíc upozorňuje, že riziko úniků firemních dat se zvětšuje. Dotýká se přitom všech firem, které uchovávají zákaznická data.
„Poskytovatelé AI nástrojů v tomto nejsou žádnou výjimkou, ba naopak se stoupajícím trendem jejich využívání jsou pro kyberzločince velmi lákavým cílem. Otázkou tedy není, zda k úniku informací dojde, ale kdy. Uniklé údaje se pak ve velkém objemu objevují na nelegálních darknetových tržištích, kde si je mohou koupit další zločinci za účelem použití při cílených podvodech nebo konkurenční firma při nekalé soutěži,“ vysvětluje.
Rizika lidé často ani neznají
Řada pracovníků vůbec netuší, že tím, co chatbotovi posílají, mohou porušovat nějaká pravidla a rizika jsou pro ně poměrně abstraktní.
„Běžný zaměstnanec často vůbec nevnímá rozdíl mezi tím, když něco „vygooglí“, a tím, když vloží citlivá klientská data do veřejného AI modelu. Rizika spojená s GDPR, NIS2 nebo připravovaným AI Actem jsou pro něj spíše abstraktní právní pojmy,“ popisuje Španěl.
Lidé podle něj vnímají především skvělý a rychlý výsledek, ale už nevidí, že právě otevřeli firemní databázi celému světu. „Zatímco management nespí kvůli blížícímu se AI Actu, který může firmám přinést pokuty až do výše 35 milionů eur (nebo 7 % obratu), běžný zaměstnanec řeší operativu a termíny. Tento rozdíl vnímání je klíčový – riziko je vzdálené a abstraktní, zatímco přínos AI je okamžitý a velmi konkrétní,“ dodává.
Podle Jana Michelfeita, marketingového ředitele Pluxee ČR ale povědomí o rizicích umělé inteligence roste a velká část zaměstnanců se podle něj snaží k využívání těchto nástrojů přistupovat zodpovědně. „U jiných to může být spíš o nedostatku informací nebo o absenci jasných pravidel,“ doplňuje.
„Zaměstnanci si sice uvědomují teoretická rizika, ale nepřipouští si, že by se mohlo něco závažného stát. Obzvlášť pokud jsou pod tlakem termínů a nestíhají, tak je pokušení velmi lákavé. Vnímají, že by neměli zadávat citlivá data, ale hranice toho, co už citlivé je, bývá nejasná. GDPR nebo interní bezpečnostní pravidla nejsou pro většinu lidí praktickým návodem, ale abstraktním popisem,“ myslí si Halbrštát.
Je třeba mantinely, ne zákazy
Ultimátní zákaz umělé inteligence na pracovišti zavést nelze a ani by to podle odborníků nebylo žádoucí. Podle Žáka by navíc zaměstnanci jednoduše mohli zákaz obcházet skrz svá osobní zařízení. AI nástroje navíc firmám často přináší výhodu i urychlení procesů.
Jak ale nastavit pravidla tak, aby se s firemními daty nehazardovalo? Podle Michelfeita by firmy měly jít cestou jednoduchých, srozumitelných pravidel a otevřené komunikace, ne zákazů.
„AI je nástroj, který lidé budou používat tak jako tak, takže dává větší smysl ukázat, kde jsou hranice. Zároveň je důležité investovat do vzdělávání – nejen formou jednorázových školení, ale průběžně, prakticky a v kontextu konkrétní práce, aby lidé věděli, jak AI využívat smysluplně a zodpovědně,“ uvažuje.
Odborníci se shodují, že by firmy měly jasně nastavit pravidla, jak s AI mohou zaměstnanci pracovat a ideálně jim nabídnout zabezpečené verze těchto nástrojů - takzvané uzavřené sandboxy, kde se zadaná data nepoužívají k dalšímu trénování veřejných modelů.
„Tím lze výrazně snížit bezpečnostní rizika, aniž by utrpěla produktivita. Zásadní je i forma vzdělávání. Nestačí padesátistránkové PDF, které si nikdo nepřečte. Efektivní jsou praktické workshopy, kde si zaměstnanci na reálných úkolech ukážou, co je bezpečné a za co už hrozí likvidační pokuty. Tato školení musí probíhat pravidelně, protože vývoj v AI oblasti se mění skokově – to, co bylo aktuální před šesti měsíci, dnes často neplatí,“ říká Španěl.
Důležité je podle Šantrůčka také interně vytvořit prostředí, kdy sami zaměstnanci mohou požádat vedení firmy o zařazení nových užitečných nástrojů umělé inteligence do pracovních procesů, případně je k tomu i motivovat.
