Umělá inteligence se dnes dostává i do každodenního provozu pekáren a cukráren, od tvorby marketingových textů až po plánování výroby. S jejím rozšířením ale roste i právní a bezpečnostní riziko. Evropská unie na to reaguje přijetím EU AI Act, který sice vstoupil v platnost v roce 2024, ale většina konkrétních povinností se teprve postupně zavádí. To však neznamená, že by firmy měly čekat. Už dnes se do AI promítají jiné právní oblasti, zejména GDPR, ochrana know-how a kyberbezpečnost. Firmy, jež zavedou základní pravidla včas, budou ve výhodě. Ostatní riskují problémy už dnes.
Shadow AI: tiché, ale zásadní riziko
Shadow AI vzniká tehdy, když zaměstnanci používají AI bez pravidel. Typicky zadávají firemní dokumenty do AI nástrojů, pomocí AI generují texty z interních podkladů nebo analyzují zákaznická data. Tím dochází k předání dat třetím stranám, hrozí únik know-how a porušení GDPR. Problém je i v tom, že AI je dnes součástí běžných nástrojů (vyhledávače, překladače, kancelářské aplikace), takže ji zaměstnanci často používají nevědomky.
Bez pravidel to nejde
Firmy by měly nastavit jasná pravidla a zaměstnance pravidelně školit. Ideálním základem je interní AI směrnice, která stanoví, jaké AI nástroje jsou povolené či jaké informace do nich lze zadávat, a určí, jak s výstupy pracovat. Nemusí jít o složitý dokument, důležité je, aby zaměstnanci věděli, co mohou dělat a co už je rizikové. Umělá inteligence totiž může „halucinovat“ nebo zkreslovat informace, proto je nutné její závěry ověřovat.
Stejně jako ve firmě existuje DPO (pověřenec pro ochranu osobních údajů), je vhodné ve směrnici určit osobu odpovědnou za používání AI, která bude nastavovat pravidla, pomáhat zaměstnancům při pochybnostech a sledovat připravovanou legislativu.
Základní pravidlo: pracujte s daty opatrně
Základní minimum je jednoduché: nevkládat do AI osobní údaje ani citlivé firemní informace. Pokud například pomocí AI kontrolujete smlouvu, je nutné ji předem anonymizovat. Nestačí ale odstranit osobní údaje. Problém může být také v obchodním tajemství nebo know-how, které se tímto způsobem dostává mimo firmu a AI se na nich může i učit. Používání AI by mělo být podporováno, ale s jasnými mantinely.
Odpovědnost za výstupy
Za výstupy AI vždy odpovídá člověk, nikoliv stroj. V praxi jde o sdílenou odpovědnost mezi zaměstnancem a zaměstnavatelem. Navenek však nese odpovědnost firma. Pokud zaměstnanec udělá chybu bez jasných pravidel nebo školení, odpovědnost se přenáší především na zaměstnavatele.
Skutečný případ?
Majitel menší pekárny chtěl zrychlit marketing a požádal zaměstnance, aby pomocí AI připravil příspěvky a newsletter. Zaměstnanec do AI nástroje vložil seznam zákazníků, historii objednávek a jejich preference. AI vytvořila poutavý text, ale firma si později uvědomila, že tímto krokem došlo k předání osobních údajů třetí straně bez právního základu, což může znamenat porušení GDPR. Současně se v dokumentech nacházely i informace o cenotvorbě a dodavatelích, tedy citlivé know-how. Zaměstnanec přitom neudělal nic neobvyklého. Jen neměl jasná pravidla, co do AI zadávat může a co ne.
Takové situace se dnes dějí běžně. Proto se vyplatí neotálet a nastavit základní pravidla včas.
AI může být silný pomocník, ale bez pravidel zároveň i zdroj zbytečných rizik. Dobře nastavená AI směrnice přitom nemusí být složitá. Má hlavně jasně říct, co zaměstnanci mohou, co nesmějí a na koho se obrátit v případě pochybností. Pokud si nejste jistí, jak takovou směrnici pro svůj provoz nastavit, v MACEK.LEGAL vám s tím rádi pomůžeme.
Mgr. Daniel Macek, advokát
Galerie
Pro přidání komentáře se prosím přihlaste. Pokud nemáte účet, můžete si zaregistrovat nový účet.