Shadow AI a prečo Vaša firma potrebuje AI smernicu už dnes

Lion Legalion lave1

Shadow AI a prečo Vaša firma potrebuje AI smernicu už dnes

Je utorok ráno. Vaša HR manažérka má na stole tridsať životopisov na jednu pracovnú pozíciu a pohovory už popoludní. Otvorí si súkromný účet na ChatGPT, nahrá životopisy a napíše: „Vyber päť najlepších kandidátov.“ Za minútu má hotovo.

Alebo Váš zamestnanec sa pripravuje na niekoľko stretnutí s klientmi, ktoré má v priebehu dňa. Spustí Claude AI, nahrá do neho kompletné dáta o klientoch, vrátane osobných údajov, citlivých obchodných dát a informácií a celej emailovej komunikácie s nimi. Za menej ako minútu má pripravené podklady na všetky stretnutia.

Firma im to nekázala, ale ani nepovolila, lebo chýba AI smernica. Možno ste o tom ani nevedeli. Presne takto ale dnes v mnohých slovenských firmách reálne funguje umelá inteligencia – nie preto, že by ste ju oficiálne zaviedli, ale preto, že si ju zamestnanci priniesli sami.

Podľa aktuálneho prieskumu Inštitútu pre verejné otázky (IVO) v spolupráci so Slovak Telekom a Accenture z roku 2026 využíva verejné AI nástroje mimo firemných pravidiel až 61 % slovenských zamestnancov – buď napriek zákazu, alebo preto, že žiadne pravidlá vo firme vôbec neexistujú. Iba 39 % pracovníkov používa výhradne schválené firemné nástroje.

Tomuto javu sa hovorí Shadow AI – tieňová umelá inteligencia. A ak si myslíte, že sa Vašej firmy netýka, pravdepodobnosť, že máte pravdu, je takmer nulová.

Stiahnite si náš anonymný dotazník, rozpošlite ho zamestnancom a zistite, či sa vo Vašej firme nachádza Shadow AI.

advokatska kancelaria

Čo je Shadow AI a prečo by ste sa o ňu mali zaujímať práve teraz

Shadow AI nadväzuje na jav, ktorý bezpečnostní experti poznajú už roky ako shadow IT – keď si zamestnanci namiesto neohrabaného firemného softvéru nainštalujú vlastný Dropbox alebo Google Disk. Rozdiel je zásadný: kým tieňové IT dáta iba ukladalo, tieňová AI sa z Vašich dát učí, spracúva ich a dokáže ich ďalej reprodukovať.

Niekoľko čísel, ktoré stoja za pozornosť:

  • podľa spoločnosti Microsoft si až 78 % zamestnancov nosí do práce vlastné AI nástroje a 57 % z nich do nich vkladá citlivé firemné údaje
  • analytická spoločnosť Gartner uvádza, že 69 % firiem vie alebo tuší, že ich ľudia používajú neschválené AI nástroje
  • podľa IBM nemá 63 % organizácií žiadnu politiku pre riadenie AI, alebo ju len pripravuje
  • únik dát spôsobený Shadow AI stojí firmu v priemere o 670-tisíc dolárov viac než bežný bezpečnostný incident (IBM, Cost of a Data Breach Report).

Asi najznámejším verejne zdokumentovaným prípadom je situácia kórejského Samsungu, ktorú v roku 2023 opísala agentúra Bloomberg. Inžinieri v polovodičovej divízii vložili do ChatGPT zdrojový kód firemných čipov, aby im AI pomohla nájsť chybu. V priebehu troch týždňov sa to stalo trikrát – a citlivé dáta boli nenávratne preč. Samsung musel používanie ChatGPT vo firme okamžite zakázať.

Dôležité pre prax:

Vaši zamestnanci nepoužívajú neschválenú AI so zlým úmyslom. Chcú byť produktívni, a ak im firma nedá bezpečný nástroj, nájdu si vlastný. Podľa expertov na kybernetickú bezpečnosť a našej praxe im to spravidla trvá len pár minút. Plošný zákaz preto nefunguje – zamestnanci sa iba lepšie naučia AI skrývať, napríklad prepnutím na mobil s vlastným dátovým paušálom. Aj tento problém rieši AI smernica – stanovuje jasné pravidlá, ktoré AI je vo firme povolená.

umela inteligencia financie

Act AI (Nariadenie o AI) povinnosti, ktoré platia už dnes

Mnohí podnikatelia si AI Act (celým názvom Nariadenie o umelej inteligencii) spájajú výlučne s firmami, ktoré umelú inteligenciu vyvíjajú – teda s OpenAI, Google či podobnými technologickými spoločnosťami. To je ale omyl. Nariadenie o AI sa vzťahuje na každého, kto používa AI nástroje v rámci svojej podnikateľskej činnosti. Platí to teda aj na Vašu firmu, ak Vaši zamestnanci pracujú s ChatGPT, Copilotom, Gemini alebo akýmkoľvek iným AI nástrojom.

Nariadenie o AI nadobudlo platnosť už 1. augusta 2024 a jeho jednotlivé časti nadobúdajú účinnosť postupne:

  • od 2. februára 2025 platí zákaz vybraných praktík umelej inteligencie (napríklad rozpoznávanie emócií zamestnancov na pracovisku, sociálne skórovanie alebo podprahové manipulatívne techniky) a súčasne povinnosť zabezpečiť dostatočné AI školenia zamestnancov
  • od 2. augusta 2025 platia pravidlá pre modely AI na všeobecné účely (napríklad GPT alebo Gemini) a pravidlá riadenia
  • od 2. augusta 2026 nadobúdajú účinnosť všeobecné pravidlá transparentnosti – napríklad povinnosť informovať používateľa, že komunikuje s chatbotom, alebo označovať umelo vygenerovaný obsah
  • pravidlá pre vysokorizikové systémy AI (napríklad nástroje na nábor zamestnancov, hodnotenie ich výkonu alebo posudzovanie úverovej bonity) boli pôvodne plánované tiež od augusta 2026. V máji a júni 2026 sa však Rada EÚ a Európsky parlament dohodli na tzv. Digital Omnibuse, ktorý ich účinnosť odsúva – pre samostatné vysokorizikové systémy na 2. december 2027 a pre systémy zabudované do regulovaných výrobkov na 2. august 2028.

Dôležité pre prax:

Odklad vysokorizikových povinností neznamená, že môžete čakať. Zakázané praktiky aj povinnosť AI školení zamestnancov platia už teraz, bez ohľadu na veľkosť firmy. Ak Vaši zamestnanci pri nábore, hodnotení výkonu, poskytovaní služieb alebo v zákazníckych procesoch používajú AI nekontrolovane, riziko nezmizlo – len sa presúva z Nariadenia o AI na existujúce pravidlá GDPR, pracovného práva a náhrady škody.

 

Koľko Vás môže nekontrolovaná AI stáť

Nariadenie o AI zavádza trojstupňový systém pokút:

  • za zakázané praktiky umelej inteligencie až 35 miliónov eur alebo 7 % celosvetového ročného obratu, podľa toho, ktorá suma je vyššia;
  • za porušenie ostatných povinností (napríklad pri vysokorizikových systémoch) až 15 miliónov eur alebo 3 % obratu;
  • za poskytnutie nepravdivých informácií orgánom dohľadu až 7,5 milióna eur alebo 1,5 % obratu.

Pre malé a stredné firmy platí vždy nižšia z oboch súm, čo dopad zmierňuje, no stále ide o čiastky, ktoré dokážu poriadne zabolieť. Pozor si treba dať aj na súbeh predpisov: ak sa nekontrolované používanie AI spojí s neoprávneným spracúvaním osobných údajov – čo je pri Shadow AI takmer pravidlom – hrozia pokuty súbežne aj podľa Nariadenia GDPR. Úrady totiž takéto porušenie neposudzujú ako jeden delikt, ale zohľadňujú oba predpisy naraz.

Na Slovensku sa navyše pripravuje zákon o umelej inteligencii, ktorý má zriadiť Úrad digitálnej integrity ako všeobecný orgán dohľadu s právomocou ukladať pokuty. Popri ňom bude v otázkach osobných údajov naďalej dohliadať Úrad na ochranu osobných údajov SR. Legislatívny proces ešte nie je uzavretý, no smerovanie je jasné – dohľad nad používaním AI na Slovensku sa profesionalizuje.

 

Prečo interná AI smernica nie je luxus, ale nutnosť

Z vyššie uvedeného vyplýva jedna kľúčová vec – s používaním AI nástrojov prichádzajú aj pravidlá, a to bez ohľadu na to, či AI vo firme oficiálne používate. Ak Vaši ľudia s AI pracujú – a štatistiky hovoria, že takmer isto pracujú – tieto nové pravidlá sa na Vašu firmu vzťahujú už dnes.

Zároveň platí, že plošný zákaz nefunguje. Zamestnanci nehľadajú nové AI nástroje so zlým úmyslom – jednoducho chcú odviesť prácu čo najrýchlejšie a najlepšie, a ak im firma nedá vhodný nástroj, nájdu si vlastný. Predstavte si to ako cestnú premávku, na ktorej sa za pár mesiacov zdvojnásobil počet áut, no nikto nenamaľoval čiary ani nepostavil značky. Nikto úmyselne neporušuje pravidlá – no bez jasného rámca je len otázkou času, kedy dôjde k nehode.

Práve tu vstupuje do hry AI smernica – interný predpis, ktorý:

  • zamestnancom jasne povie, čo môžu a čo nemôžu do AI nástrojov vkladať;
  • určí, ktoré nástroje sú vo firme schválené a bezpečné;
  • zadefinuje zodpovednosť za AI rozhodnutia a ich kontrolu človekom;
  • zdokumentuje, že firma si povinnosť AI gramotnosti a ďalšie povinnosti podľa Nariadenia o AI skutočne splnila.

Toto zdokumentovanie nie je formalita. V prípade sporu, úniku dát alebo kontroly bude práve existencia jasnej internej AI smernice a preukázateľného školenia zamestnancov jedným z hlavných faktorov, ktoré rozhodnú, či firma zodpovednosť znáša, alebo či konala s odbornou starostlivosťou.

AI Act

Čo má obsahovať AI Governance smernica vo firme

Kvalitná AI smernica (v odbornej terminológii aj AI Governance policy) by mala pokrývať minimálne tieto oblasti:

  • Inventarizácia AI nástrojov – zistenie, ktoré AI nástroje sa vo firme reálne používajú, vrátane tých neschválených
  • Klasifikácia dát – jasné pravidlo, aké údaje (verejné, interné, dôverné, osobné) je a nie je možné do AI nástrojov vkladať
  • Zoznam schválených nástrojov – bezpečná firemná alternatíva namiesto plošného zákazu (napríklad podniková licencia, pri ktorej dodávateľ garantuje, že dáta netrénujú verejný model)
  • Klasifikácia rizika jednotlivých AI use-case podľa štyroch kategórií Nariadenia o AI (zakázané, vysokorizikové, obmedzené, minimálne riziko)
  • Jasné role a zodpovednosť – kto vo firme AI use-case schvaľuje, kto ho právne a dátovo posudzuje a kto nesie konečnú zodpovednosť
  • Školenie zamestnancov (AI gramotnosť) – pravidelné a zdokumentované, prispôsobené tomu, ako s AI reálne pracuje konkrétna pozícia
  • Proces schvaľovania nových AI nástrojov ešte pred ich nasadením
  • Monitoring a plán pre prípad incidentu alebo ukončenia používania AI nástroja.

 

Overený postup namiesto teórie: AIR Framework

V LEGALION sme pre klientov, ktorí chcú mať AI governance nastavené poriadne, a nielen na papieri, vypracovali smernicu AIR Framework. Ide o štruktúrovaný proces, ktorý sprevádza každý AI nástroj od prvého nápadu až po jeho prípadné ukončenie, a ktorý je od základu postavený tak, aby zodpovedal požiadavkám Nariadenia o AI, Nariadenia GDPR a iným predpisom.

V plnej verzii má AIR Framework 12 presne definovaných krokov s jasne priradenou zodpovednosťou pre každú aktivitu.

Kľúčové je, že miera kontroly je vždy primeraná riziku. Jednoduchý a nízkorizikový nástroj prejde procesom rýchlo, zatiaľ čo použitie AI pri nábore zamestnancov alebo pri rozhodovaní o klientoch prejde dôkladnejším posúdením s presne určenou zodpovednosťou – kto danú AI schválil, kto ju právne posúdil a kto za jej fungovanie zodpovedá.

Dôležité pre prax:

Cieľom AI smernice nie je vytvoriť ďalšiu byrokraciu, ale presný opak – dať zamestnancom jasný a rýchly rámec, v ktorom sa dá AI bezpečne používať, namiesto toho, aby si každý pravidlá riešil po svojom.

 

Čo môžete urobiť už tento mesiac

  • Zistite realitu. Opýtajte sa svojich zamestnancov, aké AI nástroje vo firme reálne používajú – vrátane svojich vlastných AI nástrojov.
  • Nastavte základné pravidlo o dátach. Jasne určte, aké typy údajov sa do verejných AI nástrojov nesmú vkladať (osobné údaje klientov a zamestnancov, obchodné tajomstvo, zdrojový kód, zmluvy).
  • Ponúknite bezpečnú alternatívu. Zákaz bez náhrady nefunguje – zvážte podnikovú licenciu nástroja, ktorý zamestnanci už poznajú.
  • Preškoľte zamestnancov. Splňte si povinnosť AI gramotnosti podľa článku 4 Nariadenia o AI – školenie prispôsobené tomu, ako konkrétna pozícia s AI reálne pracuje.
  • Napíšte si AI smernicu. Zhrňte pravidlá do jedného zrozumiteľného dokumentu, ktorý si zamestnanci prečítajú za pár minút.
  • Určte zodpovednosť. Niekto vo firme musí mať AI governance „na starosti“ – nemusí ísť o nové pracovné miesto, stačí jasne pridelená rola.

 

Zhrnutie

Umelá inteligencia už vo Vašej firme je. Otázka neznie, či ju zamestnanci používajú, ale či viete ako, na čo a s akými dátami. AI smernica Vám nedáva len právnu pred pokutami – dáva Vašim ľuďom aj jasný a bezpečný rámec, v ktorom môžu byť produktívni bez toho, aby museli riskovať.

Ak chcete zistiť, ako sa Shadow AI reálne prejavuje vo Vašej firme, alebo potrebujete pripraviť internú AI smernicu na mieru, radi Vám pomôžeme. Ozvite sa nám a spoločne nastavíme pravidlá, vďaka ktorým budete môcť umelú inteligenciu využívať bezpečne, v súlade s Nariadením o AI aj GDPR, a bez zbytočného rizika pokút.

More Law
Less problems