Zpět na blog
Pro firmy 27. března 2026 12 min čtení

AI a bezpečnost firemních dat: Co potřebujete vědět

Každý manažer chce AI. Každý IT ředitel se bojí úniku dat. A každý zaměstnanec už dávno používá ChatGPT — jen o tom nikdo neví. Tenhle článek vám pomůže najít rovnováhu mezi inovací a bezpečností. Žádné strašení, jen fakta a praktický návod, jak AI ve firmě nasadit bezpečně.

Slon v místnosti: Data jdou „někam"

Představte si, že váš obchodník vloží do ChatGPT kompletní cenovou nabídku pro klíčového klienta. Nebo že HR manažerka pošle Claude seznam zaměstnanců s platy, aby jí pomohl s benchmarkingem. Případně vývojář zkopíruje do AI nástroje zdrojový kód s API klíči. Každý z nich to udělal v dobré víře — chtěl být efektivnější. Ale kam ta data vlastně putují?

Tohle je zásadní otázka, kterou si musí položit každá firma, která chce AI používat. A odpověď není jednoduchá, protože záleží na tom, jaký nástroj používáte, v jaké verzi a za jakých podmínek.

68 %

zaměstnanců v ČR přiznalo, že už AI nástroje v práci použilo — většina bez vědomí IT oddělení

Jak hlavní AI nástroje nakládají s vašimi daty

Pojďme si projít, co se s vašimi daty děje u tří nejpoužívanějších AI nástrojů. Situace se rychle mění, ale následující platí k březnu 2026.

ChatGPT (OpenAI)

Free verze: Ve výchozím nastavení OpenAI může použít vaše konverzace k trénování modelů. Můžete to vypnout v nastavení (Settings → Data controls → Improve the model), ale výchozí stav je „zapnuto". To znamená, že cokoliv napíšete, se teoreticky může stát součástí trénovacích dat.

ChatGPT Plus/Team: Data z chatu se nepoužívají k trénování. OpenAI si ale ponechává právo data uchovávat po dobu 30 dnů pro účely monitoringu bezpečnosti (abuse detection).

ChatGPT Enterprise/API: Žádné trénování na vašich datech. Data nejsou sdílena mezi zákazníky. Podepsání DPA (Data Processing Agreement) kompatibilního s GDPR. Data hostovaná v regionech dle výběru.

Claude (Anthropic)

Free verze: Anthropic ve výchozím nastavení nepoužívá konverzace z bezplatné verze k trénování modelů — ale může je použít pro bezpečnostní výzkum a detekci zneužití.

Claude Pro/Team: Data nejsou používána k trénování. Silné záruky ohledně přístupu zaměstnanců k datům.

Claude Enterprise/API: Plná izolace dat, DPA, možnost nastavení data residency v EU.

Gemini (Google)

Free verze: Google používá konverzace s Gemini k vylepšování služeb. Data mohou být revidována lidskými hodnotiteli. Google to explicitně uvádí v podmínkách.

Gemini Advanced / Workspace: V rámci Google Workspace platí firemní podmínky — data nejsou používána k trénování. Google poskytuje DPA pro Workspace zákazníky.

Klíčové pravidlo: Free verze AI nástrojů NIKDY nepoužívejte pro firemní data. Rozdíl mezi free a placenou verzí není jen ve výkonu — je v tom, co se děje s vašimi daty.

Free vs. placené verze: Kritický rozdíl

Mnoho firem dělá fatální chybu — řeknou zaměstnancům „používejte AI" a nedají jim k tomu placený nástroj. Zaměstnanci si proto vytvoří vlastní bezplatný účet a pracují s ním. Výsledek? Firemní data tečou do trénovacích datasetů.

Free verze

Data mohou být použita k trénování modelů. Žádný DPA. Žádná kontrola nad tím, kde jsou data uložena. Žádný audit log. Žádná správa uživatelů. Jeden osobní účet = nula firemní kontroly.

Enterprise verze

Data nejsou použita k trénování. DPA kompatibilní s GDPR. Volba regionu uložení dat. Audit log přístupů. Centrální správa uživatelů a oprávnění. SSO/SAML integrace. Šifrování v klidu i při přenosu.

Konkrétní příklad: Microsoft Copilot pro Microsoft 365 (placená firemní verze) pracuje výhradně v rámci vašeho Microsoft 365 tenanta. Data nikdy neopouštějí vaše firemní prostředí a nejsou dostupná jiným zákazníkům ani Microsoftu pro trénování. Naproti tomu free Copilot na copilot.microsoft.com funguje jako běžný chatbot — s podmínkami spotřebitelské verze.

500 Kč

měsíčně za placenou verzi AI nástroje na zaměstnance — zlomek nákladů na řešení úniku dat

Co do AI NIKDY nedávejte

I s placenou verzí existují data, která by do AI nástrojů neměla putovat. Vytvořte si ve firmě jasný seznam „zakázaných dat" a pravidelně ho komunikujte.

  • Hesla a přístupové údaje — nikdy nevkládejte hesla, API klíče, tokeny ani přístupové certifikáty. I v enterprise verzi to je zbytečné riziko.
  • Osobní údaje zaměstnanců — rodná čísla, mzdy, zdravotní informace, hodnocení. Porušení GDPR může stát až 20 milionů EUR nebo 4 % ročního obratu.
  • Osobní údaje zákazníků — e-maily, telefony, nákupní historie vázané na konkrétní osoby. Vždy nejprve anonymizujte.
  • Obchodní tajemství — receptury, výrobní postupy, strategické plány, neohlášená partnerství, M&A plány.
  • Zdrojový kód s citlivými údaji — kód obsahující API klíče, connection stringy, přístupové tokeny nebo interní URL adresy.
  • Právní dokumenty v jednání — smlouvy před podpisem, interní právní analýzy, komunikace s právníky chráněná advokátním tajemstvím.

Prompt ke zkopírování

Potřebuji anonymizovat následující dataset pro analýzu v AI nástroji. Nahraď:
- Všechna jména osob → Osoba 1, Osoba 2, ...
- E-mailové adresy → email1@example.com, email2@example.com, ...
- Telefonní čísla → +420 000 000 001, +420 000 000 002, ...
- Názvy firem → Firma A, Firma B, ...
- Adresy → Ulice X, Město Y
- Rodná čísla a IČO → [ODSTRANĚNO]

Zachovej strukturu dat a všechny číselné hodnoty (částky, počty, procenta). Výstup ve stejném formátu jako vstup.

Data k anonymizaci:
[VLOŽTE DATA]

Co do AI můžete bez obav

Na druhou stranu — existuje obrovské množství úkolů, kde AI můžete používat bezpečně a bez rizika. Zaměstnanci by měli vědět nejen co je zakázáno, ale hlavně co je povoleno.

  • Veřejně dostupné informace — analýza konkurence z veřejných zdrojů, shrnutí článků, průzkum trhu.
  • Anonymizovaná data — jakmile odstraníte osobní údaje, můžete analyzovat trendy, vzorce a statistiky.
  • Obecné dotazy — „Jaké jsou best practices pro onboarding?" není citlivá informace.
  • Šablony a vzory — tvorba šablon e-mailů, smluv, procesů bez citlivých detailů.
  • Překlady obecných textů — marketingové materiály, popisy produktů, prezentace.
  • Brainstorming a strategie — obecné strategické úvahy bez konkrétních čísel nebo tajných plánů.
  • Vzdělávání — vysvětlení konceptů, tutoriály, technické otázky.

Nebezpečné

„Analyzuj tuto tabulku s platy všech zaměstnanců a navrhni úpravy." — obsahuje osobní údaje, jména, mzdy. Porušení GDPR a interních předpisů i v placené verzi.

Bezpečné

„Analyzuj tyto anonymizované mzdové údaje (pozice + výše platu bez jmen) a porovnej je s mediánem trhu." — žádné osobní údaje, jen agregovaná data pro benchmarking.

GDPR

GDPR a české/EU firmy: Na co si dát pozor

Pro firmy v České republice a EU platí specifická pravidla, která se přímo dotýkají používání AI nástrojů. Ignorování těchto pravidel není jen etický problém — je to právní riziko.

Data Processing Agreement (DPA)

Pokud AI nástroj zpracovává osobní údaje vašich zákazníků nebo zaměstnanců, potřebujete s poskytovatelem uzavřít DPA. Bez něj jste v rozporu s článkem 28 GDPR. Enterprise verze ChatGPT, Claude i Google Workspace DPA nabízejí. Free verze ne.

Data residency — kde jsou data fyzicky uložena?

GDPR nevyžaduje, aby data zůstala v EU (existují mechanismy pro přenos do USA — Data Privacy Framework), ale pro mnohé firmy je EU hosting preferovaný. Azure OpenAI umožňuje zvolit EU region. Claude Enterprise nabízí EU hosting. Google Workspace má data centers v EU.

Právní základ zpracování

Musíte mít právní základ pro to, že data do AI nástroje vůbec vkládáte. Typicky to bude „oprávněný zájem" (čl. 6 odst. 1 písm. f GDPR) nebo „souhlas" — záleží na typu dat a účelu zpracování. Pro zaměstnanecká data to může být „plnění smlouvy" nebo „zákonná povinnost".

Před nasazením AI ve firmě aktualizujte vaše záznamy o zpracování osobních údajů (ROPA). AI nástroje jsou nový typ zpracovatele a musí být v evidenci. Poraďte se s vaším DPO (Data Protection Officer).

20 mil. EUR

maximální pokuta za porušení GDPR — nebo 4 % celosvětového ročního obratu firmy

Firemní AI politika: Co musí obsahovat

Každá firma, která chce AI používat odpovědně, potřebuje interní směrnici. Nemusí to být 50stránkový dokument — stačí jasná, srozumitelná pravidla na 2–3 stránky. Tady je šablona, kterou můžete použít jako základ.

Prompt ke zkopírování

Vytvoř návrh interní směrnice pro používání AI nástrojů ve firmě. Firma má [POČET] zaměstnanců, působí v [ODVĚTVÍ] a sídlí v České republice.

Směrnice musí obsahovat:
1. Účel a rozsah — proč a pro koho platí
2. Schválené AI nástroje — konkrétní seznam povolených nástrojů a verzí
3. Zakázaná data — co se NESMÍ do AI vkládat (osobní údaje, hesla, obchodní tajemství)
4. Povolená data — co se smí používat bez omezení
5. Šedá zóna — data vyžadující schválení nadřízeného nebo IT
6. Pravidla pro výstupy AI — povinnost kontroly, zákaz slepého kopírování
7. GDPR povinnosti — kdo je správce, kdo zpracovatel, kde jsou data
8. Odpovědnost — kdo odpovídá za dodržování
9. Sankce za porušení
10. Kontakt pro dotazy a hlášení incidentů

Jazyk: čeština, tón: profesionální ale srozumitelný. Rozsah: max 3 strany A4.

Důležité body, které ve směrnici nesmí chybět:

  1. Seznam schválených nástrojů — konkrétní názvy a verze (např. „ChatGPT Team přes firemní účet" — ne „ChatGPT"). Zaměstnanci musí vědět, že osobní free účet není to samé.
  2. Klasifikace dat — jasně definujte, co je „červené" (zakázáno), „žluté" (vyžaduje schválení) a „zelené" (bez omezení).
  3. Povinnost kontroly výstupů — AI hallucinuje. Každý výstup musí být zkontrolován člověkem, než se použije v oficiální komunikaci, rozhodnutí nebo dokumentu.
  4. Reporting incidentů — kam se hlásí, když někdo omylem vloží citlivá data do AI nástroje? Mějte jasný postup.

Shadow AI: Problém, který už máte

„Shadow AI" je moderní verze „Shadow IT" — zaměstnanci používají AI nástroje bez vědomí a schválení IT oddělení. A ne je to jeden nebo dva lidé. Průzkumy ukazují, že většina zaměstnanců v kancelářských pozicích už AI vyzkoušela.

Problém není v tom, že zaměstnanci AI používají — to je naopak dobré znamení. Problém je, že to dělají bez jakýchkoliv pravidel. Používají free verze, vkládají citlivá data, nikdo neví jaká data odtekla a nikdo to nemonitoruje.

78 %

firem v ČR nemá žádnou interní směrnici pro používání AI nástrojů zaměstnanci

Řešení není zákaz — to nikdy nefungovalo a nikdy fungovat nebude. Zaměstnanci si najdou cestu. Řešením je:

  1. Legitimizace — poskytněte zaměstnancům schválené AI nástroje (placené, bezpečné verze).
  2. Vzdělávání — vysvětlete, proč free verze nejsou vhodné pro firemní data. Není to o kontrole, je to o ochraně.
  3. Jednoduchost — pokud je firemní řešení složitější než osobní ChatGPT, lidé budou nadále používat osobní účty. Udělejte to co nejsnazší.
  4. Monitoring — sledujte, jaké AI služby zaměstnanci používají (DLP nástroje, network monitoring). Ne proto, abyste trestali, ale abyste věděli, kde jsou rizika.

Udělejte jednoduchý průzkum: anonymní dotazník „Kdo z vás používá AI nástroje v práci a jaké?" Výsledky vás pravděpodobně překvapí — a dají vám reálný obraz o tom, kde začít.

Bezpečné varianty nasazení AI ve firmě

Pokud chcete maximální kontrolu nad daty, existuje několik úrovní zabezpečení. Od nejjednoduššího po nejpřísnější:

1. Placené SaaS verze (Team/Business)

Nejrychlejší a nejlevnější cesta. ChatGPT Team, Claude Team nebo Google Workspace s Gemini. Data nejsou používána k trénování, máte DPA, centrální správu účtů. Vhodné pro většinu firem.

2. Enterprise verze s pokročilým zabezpečením

ChatGPT Enterprise, Claude Enterprise, Microsoft Copilot pro Microsoft 365. Navíc oproti Team verzím: SSO/SAML, audit logy, admin console, pokročilé řízení přístupu, dedikovaná podpora, SLA. Vhodné pro firmy s přísnějšími compliance požadavky.

3. Azure OpenAI / AWS Bedrock

AI modely běží ve vašem vlastním cloudovém prostředí (Azure tenant, AWS účet). Plná kontrola nad networking, šifrováním a přístupem. Data nikdy neopouštějí váš cloud. Můžete nastavit Private Endpoints, Virtual Networks a vlastní klíče šifrování (CMK). Vhodné pro regulované odvětví (finance, zdravotnictví).

4. On-premise řešení

AI model běží přímo na vašem hardware. Žádná data neopouštějí vaši síť. Open-source modely jako Llama, Mistral nebo Qwen lze provozovat na vlastních GPU serverech. Nevýhoda: vysoké počáteční náklady (GPU hardware) a modely jsou méně výkonné než komerční varianty. Vhodné pro vojenský průmysl, státní správu nebo extrémně citlivá data.

Prompt ke zkopírování

Jsem IT ředitel firmy s [POČET] zaměstnanci v [ODVĚTVÍ]. Potřebuji vybrat bezpečné AI řešení pro naši firmu.

Naše požadavky:
- GDPR compliance (jsme v EU)
- Data nesmí být použita k trénování modelů
- Potřebujeme audit log přístupů
- Centrální správa uživatelů (máme [Azure AD / Google Workspace])
- Budget: [ČÁSTKA] měsíčně
- Počet uživatelů: [POČET]
- Hlavní use cases: [POPIS]

Porovnej tyto varianty a doporuč jednu s odůvodněním:
1. ChatGPT Enterprise
2. Claude Enterprise
3. Microsoft Copilot pro M365
4. Azure OpenAI Service
5. Google Gemini pro Workspace

Praktický checklist před nasazením AI

Než začnete AI ve firmě oficiálně používat, projděte si tento seznam. Není to žádná byrokratická formalita — je to ochrana vaší firmy, vašich zákazníků a vašich zaměstnanců.

  1. Zvolte nástroj a verzi — enterprise nebo minimálně team/business verze. Nikdy free.
  2. Uzavřete DPA — ověřte, že poskytovatel nabízí Data Processing Agreement kompatibilní s GDPR.
  3. Ověřte data residency — kde jsou data fyzicky uložena? Je to EU, USA, nebo jinde? Máte pro přenos do třetích zemí právní základ?
  4. Aktualizujte ROPA — přidejte AI nástroj do záznamů o zpracování osobních údajů.
  5. Vytvořte interní směrnici — jasná pravidla co smí a nesmí do AI nástroje. Distribuujte všem zaměstnancům.
  6. Proveďte DPIA — pokud zpracováváte citlivé osobní údaje, může být nutné provést posouzení vlivu na ochranu osobních údajů (Data Protection Impact Assessment).
  7. Nastavte SSO — pokud nástroj podporuje Single Sign-On, propojte ho s firemním identity providerem. Zaměstnanci se přihlásí firemním účtem, ne osobním.
  8. Zapněte audit logy — kdo co kdy do AI vložil. Nemusíte to aktivně číst, ale v případě incidentu potřebujete mít data.
  9. Proškolte zaměstnance — ne jen „jak AI používat", ale hlavně „co do AI nepatří a proč". Konkrétní příklady fungují lépe než abstraktní pravidla.
  10. Určete AI kontaktní osobu — kdo ve firmě je zodpovědný za AI bezpečnost? Kam se hlásí incidenty? Kdo odpovídá na dotazy zaměstnanců?
  11. Naplánujte revizi — AI se mění rychle. Směrnici a nástroje revidujte minimálně každých 6 měsíců.

Prompt ke zkopírování

Jsem manažer a chci zkontrolovat, zda je naše firma připravená na bezpečné nasazení AI. Projdi se mnou tento checklist a u každého bodu mi polož 2–3 doplňující otázky, které mi pomohou zjistit, zda ho máme splněný:

1. Výběr nástroje a licence
2. Data Processing Agreement (DPA)
3. Data residency a přenosy do třetích zemí
4. Aktualizace záznamů o zpracování (ROPA)
5. Interní směrnice pro zaměstnance
6. DPIA (posouzení vlivu)
7. SSO a správa identit
8. Audit logy
9. Školení zaměstnanců
10. Odpovědná osoba a incident management

Po každé mé odpovědi vyhodnoť stav (splněno / částečně / nesplněno) a navrhni konkrétní další kroky.

Bezpečnost neznamená říct „ne"

Firmy, které AI zakážou, nebudou bezpečnější. Budou jen pomalejší. Jejich zaměstnanci budou AI stejně používat — jen tajně a bez jakýchkoliv pravidel. A to je ten nejhorší scénář.

Naopak firmy, které AI nasadí chytře a bezpečně, získají dvojnásobnou výhodu: zvýšenou produktivitu a kontrolu nad daty. Není to buď/nebo — je to obojí zároveň.

Začněte jednoduše: vyberte jeden schválený nástroj v placené verzi, vytvořte základní směrnici, proškolte zaměstnance a postupně rozšiřujte. Za měsíc budete na tom lépe než 90 % českých firem.

Bezpečnost není překážka inovace. Je to její předpoklad. Firma, která AI nasadí bezpečně, ji bude moci používat odvážněji a ve větším rozsahu než ta, která to „nějak" řeší za pochodu.

rychlejší adopce AI u firem s jasnou bezpečnostní politikou oproti firmám bez pravidel