AI nástroje ve firemní praxi
ChatGPT, Claude, Gemini, Copilot — nástroje generativní umělé inteligence se staly nedílnou součástí pracovního prostředí. Podle průzkumů je v roce 2025 využívá ve firemním kontextu více než 70 % znalostních pracovníků. Mnoho z nich však nevnímá rizika spojená s ochranou osobních údajů, která toto využívání přináší.
Hlavní GDPR rizika při používání ChatGPT
Při firemním využívání generativní AI vznikají specifická rizika:
- Únik osobních údajů — zaměstnanci vkládají do promptů osobní údaje zákazníků, obchodních partnerů nebo kolegů. Tato data se mohou stát součástí trénovacích dat modelu.
- Neoprávněný přenos dat mimo EU — servery poskytovatelů AI služeb se často nacházejí mimo Evropský hospodářský prostor, zejména v USA.
- Absence smlouvy o zpracování — používání bezplatných verzí AI nástrojů typicky neposkytuje dostatečné smluvní záruky požadované článkem 28 GDPR.
- Generování nepřesných údajů — AI může generovat nepravdivé informace o skutečných osobách (halucinace), což může porušovat právo na opravu podle článku 16 GDPR.
Bezpečné nastavení pro firmy
Doporučujeme firmám implementovat následující opatření:
1. Použijte firemní verze AI nástrojů. OpenAI Enterprise, Microsoft 365 Copilot nebo Google Workspace AI nabízejí smluvní podmínky odpovídající požadavkům GDPR, včetně zpracovatelské smlouvy a závazku nevyužívat firemní data pro trénování modelů.
2. Vypracujte interní politiku. Stanovte jasná pravidla pro to, jaké údaje lze do AI nástrojů vkládat. Jako minimální standard doporučujeme zakázat vkládání osobních údajů, obchodního tajemství a důvěrných informací do bezplatných verzí AI nástrojů.
3. Proveďte DPIA. Pro systematické firemní využívání AI nástrojů zpracovávajících osobní údaje doporučujeme provést posouzení vlivu na ochranu osobních údajů.
Praktická pravidla pro zaměstnance
- Nikdy nevkládejte do AI nástrojů jména, e-maily, telefonní čísla ani jiné osobní údaje skutečných osob.
- Nepoužívejte AI k analýze interních dokumentů obsahujících osobní údaje bez ověření, že používáte schválenou firemní verzi.
- Výstupy AI vždy ověřujte — zvláště pokud se týkají konkrétních osob nebo právních otázek.
- Vypněte funkce ukládání historie konverzací, pokud pracujete s citlivými informacemi.
- Hlaste DPO jakoukoli situaci, kdy mohlo dojít k neúmyslnému vložení osobních údajů do AI nástroje.
Kontrola ze strany ÚOOÚ
Český Úřad pro ochranu osobních údajů (ÚOOÚ) se problematikou AI nástrojů aktivně zabývá. Firmy, které nemají jasně nastavená pravidla pro používání AI, se vystavují riziku sankcí — a to nejen za samotné porušení GDPR, ale i za neschopnost prokázat dodržování principu odpovědnosti.
GDPR24 tým
Specialisté na ochranu osobních údajů