Bezpečné využití AI ve firmách: jak zrychlit práci a neztratit kontrolu nad daty

 

Proč už AI není jen technologickou novinkou, ale tématem bezpečnosti, compliance a řízení rizik ve firmách 

Jaká rizika přináší nekontrolované používání AI nástrojů a proč se firmy stále častěji potýkají s fenoménem shadow AI 

Jak připravit organizaci na AI Act a nastavit bezpečné, auditovatelné a prokazatelné využívání umělé inteligence 



Umělá inteligence už není jen technologický experiment. Zaměstnanci ji používají při psaní e-mailů, shrnování dokumentů, přípravě nabídek, překladu smluv i při práci s daty. Firmám tak vzniká nová příležitost ke zrychlení práce, ale také nové riziko: citlivý obsah může odejít mimo kontrolované prostředí, výstupy AI mohou být nepřesné a používání nástrojů často není doložitelné. Cílem proto není AI zakázat. Cílem je dostat ji do bezpečného, řízeného a auditovatelného provozu. 


AI už ve firmě je. Jen ji často nevidíte. 

Generativní AI má jednu zásadní vlastnost, která ji odlišuje od mnoha předchozích technologických změn: velmi nízkou bariéru použití. Zaměstnanec nepotřebuje velký projekt, rozpočet ani formální implementaci. Stačí webová služba, doplněk v prohlížeči nebo funkce zabudovaná v nástroji, který už používá. 

AI dnes najdeme v osobních asistentech typu ChatGPT, Copilot nebo Gemini, ale také přímo v běžných firemních aplikacích. Může být součástí e-mailu, kancelářského balíku, CRM, HR systému, zákaznické podpory, marketingových nástrojů nebo analytiky. Vedle toho rychle nastupuje i agentní AI, která nejen odpovídá, ale dokáže plánovat úkoly, volat API, spouštět procesy a jednat v rámci zadaného cíle. 

Pro vedení firmy z toho plyne jednoduchý závěr: otázka už není, zda se s AI ve firmě potkáváte. Otázka je, zda víte kde, s jakými daty, za jakým účelem a pod čí odpovědností. 


Největší riziko často vzniká z dobrého úmyslu 

Většina problémů kolem AI nevzniká proto, že by zaměstnanci chtěli firmě škodit. Často je motivací opak: chtějí být rychlejší a efektivnější. Obchodník chce vylepšit nabídku, HR chce porovnat životopisy, právník chce zkrátit smlouvu, projektový manažer chce shrnout zápis z jednání a vývojář chce zkontrolovat část kódu. 

Riziko vzniká v okamžiku, kdy se do AI nástroje vloží obsah, který firma nemá pod kontrolou. Může jít o osobní údaje, klientské dokumenty, interní e-maily, obchodní tajemství, cenové modely, zdrojový kód nebo interní metodiky. Zaměstnanec zrychlil práci, ale firma ztratila přehled o tom, kam se data dostala, kdo je zpracovává, zda se ukládají, zda se využívají ke zlepšování modelu a zda je použití v souladu se smluvními a regulatorními povinnostmi. 

Praktické pravidlo pro každodenní použití zní: co byste neposlali neznámému dodavateli e-mailem, nevkládejte do neschváleného AI nástroje.
 

PRAKTICKÉ PRAVIDLO 
Co byste neposlali neznámému dodavateli e-mailem, nevkládejte do neschváleného AI nástroje. 

 

Shadow AI: problém, který se nehlásí sám 

Jedním z nejčastějších rizik je takzvaná shadow AI, tedy používání AI nástrojů mimo dohled firmy. V praxi může jít o veřejné chatboty, překladače, generátory textů, nástroje na práci s dokumenty nebo AI funkce zabudované v aplikacích, které nebyly formálně schváleny. 

Problém je v tom, že shadow AI se sama neohlásí. Firma často neví, kolik nástrojů zaměstnanci reálně používají, jaké dokumenty do nich vkládají a zda existuje smluvní nebo technická kontrola. Chybí inventář, logy, schválení, pravidla retence, posouzení dodavatele i důkaz, že použití proběhlo bezpečně. 

Plošný zákaz AI obvykle dlouhodobě nefunguje. Potřeba efektivity nezmizí, jen se přesune mimo oficiální dohled. Lepší cestou je nabídnout schválené nástroje, jasná pravidla, školení, proces pro nové use-casy a technické mantinely, které lidem pomohou používat AI bezpečně. 


AI Act: nejdřív inventář a klasifikace, teprve potom povinnosti 

Evropský AI Act staví na rizikovém přístupu. Neplatí, že každé použití AI má stejnou administrativní zátěž. Rozhoduje konkrétní účel použití, typ dat, dopad na osoby a role organizace. Stejný nástroj může být nízkorizikový pro interní brainstorming, ale citlivý nebo vysoce rizikový v HR, hodnocení zaměstnanců, úvěrovém scoringu nebo při rozhodování o přístupu ke službám. 

Prvním krokem proto není psaní dlouhé směrnice. Prvním krokem je inventář AI systémů a use-casů: jaké nástroje firma používá, kdo je vlastní, jaká data do nich vstupují, kdo vidí výstupy, zda výstup ovlivňuje zákazníky nebo zaměstnance a jaká je role organizace. Teprve potom lze posoudit rizikovou kategorii a přiřadit konkrétní povinnosti. 

AI Act se aplikuje postupně. Už nyní je ale vhodné budovat základ: inventář, klasifikaci, AI literacy, interní pravidla, schvalovací procesy, kontrolu dodavatelů, logování a důkazní stopu. Tyto prvky se nedají kvalitně vytvořit během jednoho týdne před auditem. 


AI governance se potkává s kyberbezpečností, GDPR i zákaznickými požadavky 

Firmy v praxi neřeší jen jeden předpis. AI governance se prolíná s ochranou osobních údajů, kybernetickou bezpečností, řízením dodavatelů, interním auditem i smluvními požadavky zákazníků. Vedle AI Actu se proto často dostáváme k GDPR, NIS2/ZKB, DORA, NIST CSF, ISO 27001 nebo SOC 2. 

Tento posun je důležitý: compliance už není jen obrana před pokutou. Stává se součástí obchodní důvěry. Klienti, skupiny, auditoři a bezpečnostní týmy se budou stále častěji ptát: Jaké AI nástroje používáte? Zpracováváte osobní údaje? Máte AI policy? Jak školíte zaměstnance? Jak posuzujete dodavatele? Dokážete prokázat, že data nejsou používána k trénování modelu? 

Kdo na tyto otázky umí odpovědět strukturovaně a doložitelně, získává výhodu. Kdo odpovědi hledá až při auditu nebo zákaznickém dotazníku, obvykle zjišťuje, že mu chybí nejen dokumentace, ale hlavně důkazy. 


Co má mít každá firma, která chce AI používat bezpečně 

Základ důvěryhodné AI není složitý, ale musí být propojený. Samotná směrnice nestačí. Školení bez kontrol také nestačí. A kontroly bez důkazů nejsou auditovatelné. 

Prvním prvkem je AI policy: krátká a srozumitelná pravidla, která říkají, jaké nástroje jsou povolené, jaká data do nich nepatří, kdo schvaluje nové použití a kdy je nutný lidský dohled. Druhým prvkem je AI literacy, tedy praktické školení zaměstnanců. Lidé musí vědět, co AI umí, co neumí, proč může halucinovat a kdy výstup nesmí použít bez ověření. 

Třetím prvkem jsou technické mantinely: schválené nástroje, enterprise licence, DLP pravidla, sensitivity labels, řízení přístupů, MFA, monitoring, auditní logy a bezpečné nastavení tenantů. Čtvrtým prvkem je vendor due diligence, tedy kontrola dodavatelů z pohledu dat, subdodavatelů, incidentů, trénování modelů a auditních práv. A pátým prvkem je evidence by design: každá důležitá kontrola má mít důkaz. 

 

Kde firmy s AI obvykle začínají 

Dobré první AI projekty nejsou ty největší a nejrizikovější. Nejlepší pilot obvykle řeší malý, konkrétní a měřitelný problém. Má jasného vlastníka, dostupná data, přiměřené riziko, rychlou zpětnou vazbu a člověka, který výstup ověřuje. 

V praxi se firmy často vydávají jednou z několika cest. První je interní znalostní asistent, který vyhledává ve směrnicích, návodech, interním know-how a FAQ. Druhou oblastí jsou dokumenty a administrativa: shrnutí porad, příprava podkladů, rešerše, porovnání verzí nebo návrhy e-mailů. Třetí oblastí je zákaznická podpora, například třídění ticketů, návrhy odpovědí nebo routing požadavků. 

Dalšími vhodnými oblastmi jsou back-office a finance, HR a interní servis nebo compliance a audit evidence. Důležité je začít tam, kde AI navrhuje a člověk schvaluje. Teprve po ověření přínosu a rizik dává smysl přidávat vyšší míru automatizace nebo agentní chování. 
 

Nejčastější chyby při používání AI ve firmách 

Z praxe se opakují velmi podobné chyby. Firma nemá centrální inventář AI nástrojů a use-casů. AI se řeší pouze jako IT téma, přestože dopadá do GDPR, smluv, HR, bezpečnosti, auditu, obchodní komunikace i reputace. Směrnice sice existuje, ale zaměstnanci ji neznají nebo ji neumějí použít v konkrétní situaci. 

Další častou chybou je absence lidského ověření. Výstupy AI se přebírají proto, že vypadají profesionálně, nikoli proto, že byly ověřené. Dodavatelé nejsou posuzováni z pohledu AI a datových rizik. Chybí logy, DPIA, schválení, školení a auditní stopa. A velmi častá je i strategie čekání: firma čeká na regulaci, místo aby začala připravovat systém už dnes. 

Jednoduchý self-check zní: víme, kolik AI nástrojů zaměstnanci reálně používají? Máme jasné pravidlo, co se do AI nesmí vkládat? Umíme doložit AI literacy? Máme schvalovací proces pro nové AI use-casy? Umíme ukázat důkaz: policy, log, review, smlouvu nebo DPIA? Pokud je odpověď u dvou a více bodů nejistá, je to dobrý první scope pro AI governance. 
 

NEJDŮLEŽITĚJŠÍ PRINCIP 
Bez důkazů není governance. Je to jen dobrý úmysl. 

 

Od jednorázového auditu k živému systému 

Mnoho firem dnes řídí compliance v tabulkách, e-mailech a sdílených složkách. Excel je dobrý začátek, ale nestačí na auditní stopu, verzování dokumentů, vlastnictví úkolů a vazbu na konkrétní důkazy. Jednorázový audit poskytne snapshot stavu, ale po jeho skončení dokumentace znovu stárne. Generický AI chatbot umí pomoci s textem, ale bez scope, důkazního rámce, verzí a lidského review může vytvořit falešný pocit jistoty. 

Cílovým stavem je evidence engine: systém, který propojuje dokumenty, požadavky, důkazy, otázky, úkoly a reporty. U každé kontroly je jasné, jaký požadavek se hodnotí, jaký důkaz existuje, jak silný je tento důkaz, co chybí, kdo má další krok udělat a do kdy. 

Základní produktové pravidlo takového přístupu lze shrnout jednoduše: bez důkazu žádná zelená. AI nesmí pouze tvrdit, že je kontrola splněná. Musí ukázat dokument, relevantní citaci, sílu důkazu, limitaci a v případě nejistoty označit výsledek pro lidské review. 

 

Jak může pomoci BDO 

BDO pomáhá firmám propojit obchodní přínos AI s bezpečností, governance a prokazatelnou compliance. Nejde jen o to vybrat nástroj. Důležité je zvolit správný use-case, posoudit rizika, nastavit pravidla, technické mantinely, odpovědnosti a důkazní stopu. 

Typický první krok může mít podobu dvou až čtyřtýdenního discovery. V prvním týdnu proběhnou rozhovory s vedením, IT/security, privacy a business vlastníky a rychlý sběr AI nástrojů a scénářů. Ve druhém týdnu následuje klasifikace hodnoty, dat, rizik, regulatorické citlivosti a dodavatelského nastavení. Ve třetím týdnu se navrhují základní pravidla, role, schvalovací proces, školení a technické mantinely. Ve čtvrtém týdnu vzniká roadmapa pilotu, quick wins, manažerský výstup a rozhodovací bod pro další krok. 

Konkrétně můžeme pomoci s posouzením potenciálu digitalizace a automatizace, vývojem automatizací za využití AI, AI strategií a bezpečným rolloutem, bezpečností AI systémů, AI Act readiness, auditem AI systémů i přípravou důkazní mapy. Cílem je, aby AI firmě přinesla měřitelný dopad, ale zároveň byla řízená, bezpečná a auditovatelná. 
 

PRVNÍ KROK 
Vyberte jeden pilotní scope a vytvořte první mapu AI příležitostí, rizik, quick wins a důkazů během několika týdnů. 

 

Závěr: bezpečná AI je podmínka růstu 

AI compliance není brzda inovace. Je to bezpečnostní pás, díky kterému může firma zrychlit bez zbytečného rizika. AI už ve firmách reálně je — i tam, kde ještě není formálně řízená. Shadow AI je realita, ne výjimka. 

Největší rizika se netýkají jen technologií. Týkají se dat, duševního vlastnictví, dodavatelů, nekontrolovaných výstupů, chybějící odpovědnosti a absence důkazů. AI Act a související kybernetická regulace proto posouvají AI governance do prokazatelného, auditovatelného systému. 

Firma, která chce AI využít opravdu bezpečně, by měla začít jednoduše: zmapovat reálné používání AI, stanovit pravidla pro data, vybrat první vhodný pilot, nastavit schvalovací proces, proškolit zaměstnance a začít sbírat důkazy. Nejde o to vytvořit více dokumentů. Jde o to vytvořit systém, který umožní AI používat s důvěrou. 

 

Rychlý checklist pro vedení firmy 

  • Máme centrální inventář AI nástrojů a use-casů? 
  • Víme, jaká data do AI nástrojů vstupují a kdo je vlastní? 
  • Máme jasnou AI policy a zaměstnanci ji znají? 
  • Máme proces pro schvalování nových AI use-casů? 
  • Máme nastavený lidský dohled u citlivých výstupů? 
  • Posuzujeme dodavatele z pohledu dat, bezpečnosti a auditních práv? 
  • Umíme doložit školení, schválení, logy, DPIA nebo bezpečnostní review? 
  • Víme, který první AI pilot má jasný přínos a přiměřené riziko? 

S čím konkrétně může BDO pomoci 

Tabulka
Oblast podpory Typický výstup
Posouzení potenciálu digitalizace a automatizace Mapa procesů, quick wins, priorita use-caseů, business case a doporučení, kde začít.
Vývoj automatizace za využití AI Návrh workflow, integrace nástrojů, AI agenti s kontrolami a pilotní implementace.
Poradenství při nasazení AI AI strategie, výběr nástrojů, pravidla použití, governance a bezpečný rollout.
Bezpečnost AI systémů Data identity, DLP monitoring, konfigurace tenantů, incidenty a dodavatelská rizika.
AI Act compliance Inventář AI systémů, klasifikace, role mapping, AI literacy a příprava dokumentace.
Audit AI systémů Nezávislé posouzení transparentnosti, bezpečnosti, governance, důkazů a řízení rizik.

Hlavní kontaktní osoby

Kubíček

Tomáš Kubíček

Partner, Digital Services • Advisory
View bio
Gruncl

Robert Gruncl

Manager • Digital Services
View bio
Libor Šrám

Libor Šrám

Manager • Advisory
View bio