CFOtrends  »  Firmy neví, že sbírají biometrická data zaměstnanců. AI Act je přitom za to trestá

Firmy neví, že sbírají biometrická data zaměstnanců. AI Act je přitom za to trestá

redakce
Včera

Sdílet

AI Act, biometrie
Autor: APPSEC (publikováno se svolením)
Evropská unie v AI Actu reguluje takzvané behaviorální AI systémy. Jde o nástroje, které rozpoznávají emoce zaměstnanců, analyzují jejich chování nebo je kategorizují podle biometrických rysů. Problém je, že většina firem si ani neuvědomuje, že podobné funkce už můžou mít zabudované v nástrojích, které denně používají, od kamerových systémů přes monitorovací software až po doplňky do videokonferencí.

Z pohledu kyberbezpečnosti jde o vážné riziko. Tyto systémy sbírají nejcitlivější data jako obličejové skeny nebo hlasové profily. Útočníci po získání těchto dat mohou vytvářet deepfake videa, falešné hlasové autorizace nebo obcházet biometrické ověření. Nejde už jen o částečné informace o lidech, ale hotové klíče k jejich identitě.

Školy měsíc nevěděly, že sbírají biometrická data studentů

V březnu 2025 začala videokonferenční platforma Teams automaticky sbírat hlasová a obličejová data uživatelů prostřednictvím funkce nazvané ‚voice and face enrolment‘. Úřad pro školství v australském Novém Jižním Walesu, kde Teams používají školy jako hlavní komunikační platformu pro učitele a studenty, se o tom dozvěděl až po měsíci.

Funkce vytváří hlasový a obličejový profil každého účastníka videohovorů. Poskytovatel platformy tvrdil, že to zlepšuje kvalitu zvuku a umožňuje softwaru rozpoznat, kdo mluví. Data navíc proudí do AI chatbota Copilot.

Digitální intenzita jako nový ukazatel produktivity a konkurenceschopnosti Přečtěte si také:

Digitální intenzita jako nový ukazatel produktivity a konkurenceschopnosti

Úřad funkci vypnul v dubnu a profily smazal do 24 hodin poté, co se o problému dozvěděl. Případ ukazuje, jak snadno se může stát, že firma nebo instituce sbírá biometrická data, aniž by o tom věděla. Poskytovatel změnu nastavení oznámil na konci roku 2024, ale ne všichni zákazníci si upozornění všimli nebo pochopili jeho dosah. Situací se v dubnu 2025 začal zabývat i Europol, který upozornil, že zatímco běžná hesla lze měnit, u biometrie to není možné, a proto je prolomení těchto dat velmi nebezpečné.

Co říká AI Act a jaké pokuty hrozí

AI Act, který vstoupil v platnost v srpnu 2024, přímo zakazuje některé praktiky s behaviorální AI. Od 2. února 2025 platí zákaz rozpoznávání emocí na pracovištích a ve školách. Výjimky jsou pouze pro medicínské nebo bezpečnostní účely.

Zákon také zakazuje biometrickou kategorizaci podle chráněných znaků jako je politické přesvědčení, náboženství nebo sexuální orientace. A zakazuje nekontrolované stahování obličejů z internetu nebo kamerových systémů k vytváření databází.

Pokuty jsou vysoké. Za porušení zákazů hrozí až 35 milionů eur nebo sedm procent celosvětového obratu, podle toho, co je vyšší. Za jiná porušení povinností až 15 milionů eur nebo tři procenta obratu.

Oblast řízení lidských zdrojů spadá mezi vysoce rizikové. Firmy musí informovat pracovníky, zajistit lidský dohled, uchovávat záznamy minimálně šest měsíců a u některých nasazení provést posouzení dopadů na základní práva.

Kde se behaviorální AI schovává

Funkce využívající biometrii se můžou objevit v nástrojích, které firma už běžně používá. Často jako volitelný modul nebo doplněk, který někdo zapnul, aniž by si uvědomil právní dopady.

Mezi nejčastější zdroje rizika patří videokonference a doplňky. Například Zoom v roce 2020 zrušil funkci attention tracking po kritice kvůli narušování soukromí. Dnes ale nabízí analýzu sentimentu v kontaktních centrech, kde některé verze zkoumají nejen text, ale i tón hlasu. To už může spadat pod rozpoznávání emocí z biometrických dat.

Další riziko představují kamerové systémy a retailová analytika. Například britský Network Rail testoval na nádražích AI analýzu emocí a demografie. Podobné moduly přitom nabízí řada kamerových systémů jako volitelné doplňky. Firmy si často neuvědomují, že demografická analýza je forma biometrické kategorizace, která může spadat pod regulaci.

Kdo neinvestuje do kyberbezpečnosti, riskuje existenci. Audity a testy firmám šetří miliony Přečtěte si také:

Kdo neinvestuje do kyberbezpečnosti, riskuje existenci. Audity a testy firmám šetří miliony

Zvláštní pozornost vyžadují docházka a přístupové systémy založené na biometrii. Britský úřad ICO v únoru 2024 nařídil společnosti Serco Leisure přestat používat rozpoznávání obličeje pro docházku. Byl to první případ, kdy úřad zakázal zaměstnavateli biometrickou docházku.

Okamžitá ochrana není složitá

Prvním krokem je inventura platforem. Firma by měla projít všechny nástroje pro videokonference, HR, kontaktní centra, docházku a kamerové systémy. U každého nástroje zkontrolovat nastavení a seznam aktivních doplňků.

U často používaných komunikačních platforem jako Teams je nutné zkontrolovat aplikace třetích stran a nastavit povinné schvalování. U Zoomu prověřte AI Companion. Vyhledejte a vypněte jakékoliv funkce s názvem ‚emotion‘, ‚mood‘ nebo ‚engagement score‘. U kamerových systémů deaktivujte biometrické nebo demografické moduly.

Kromě technických opatření zaveďte také interní směrnici, že firma nepoužívá systémy k rozpoznávání emocí. Do smluv s dodavateli přidejte klauzuli, že řešení neobsahuje zakázané funkce, a definujte možnost odstoupení a smluvní pokutu při porušení. Tím se firma chrání nejen technicky, ale i smluvně.

Případ britské inženýrské firmy Arup potvrzuje, že riziko je reálné. V roce 2024 přišla o 25 milionů dolarů při deepfake videohovoru. Policie v Hongkongu případ nadále vyšetřuje. Jde o ilustraci toho, jaké následky může mít únik hlasových a obličejových dat.

Firmy musí mít průběžný dohled

Podle průzkumu Evropské komise z října 2025 používá v práci AI nástroje přibližně 30 až 33 % pracovníků v EU a 37 % je sledováno kvůli pracovní době. To ukazuje, jak běžné monitorování a AI v práci už jsou. Zaměstnanci by měli vědět, co se s jejich daty děje a proč.

Častý předpoklad je, že pokud firma nic speciálně nezapínala, nemá žádné rizikové funkce. Případ australského úřadu pro školství ale ukazuje opak. Dodavatel může funkci zapnout automaticky a uživatel se o tom dozví až s odstupem.

NIS2 přináší novou odpovědnost managementu. Největším rizikem nejsou hackeři, ale chybějící dokumentace Přečtěte si také:

NIS2 přináší novou odpovědnost managementu. Největším rizikem nejsou hackeři, ale chybějící dokumentace

AI Act se snaží regulovat oblast, která se velmi rychle vyvíjí. Některé funkce, které dnes vypadají neškodně, můžou být za rok zakázané. A naopak, některé zakázané praktiky už dnes běží v nástrojích, které firma používá, aniž by o tom věděla.

Nejlepší ochranou je pravidelný audit nástrojů, jasná politika a školení zaměstnanců. A hlavně pozornost k tomu, co dodavatelé přidávají do svých produktů. Protože to, co dnes vypadá jako užitečná funkce pro zlepšení kvality zvuku, může být zítra důvod k pokutě ve výši 35 milionů eur.

Autorem komentáře je generální ředitel společnosti APPSEC Adam Paclt

  • Našli jste v článku chybu?

Autor článku

redakce

Témata:

Mohlo by vás zajímat

Krátce

  • 19. 12.  Růst ekonomiky díky aktivní bilanci zahraničního obchodu zrychlil

    Mezičtvrtletní posílení tempa růstu české ekonomiky ve třetím čtvrtletí o 0,8 % ovlivnila především aktivní bilance zahraničního obchodu. Růst spotřeby domácností zmírnil, ačkoli silný růst reálných výdělků přetrval. Oživení části investiční aktivity se promítlo do rozvoje ve stavebnictví a zlepšily se i výsledky v řadě odvětví služeb, zatímco průmysl stagnoval.

  • 18. 12.  Vánoční překvapení od ČNB se nekoná

    Bankovní rada ČNB na svém dnešním zasedání v souladu s očekáváním úrokové sazby ani tentokrát nezměnila, přičemž rozhodnutí bylo jednomyslné. Základní sazba tak zůstává na úrovni 3,50 %. Jakákoli jiná varianta by byla šokující i vzhledem k posledním komentářům členů bankovní rady, kteří stabilitu sazeb zcela evidentně signalizovali a je základním scénářem i v dlouhodobém horizontu.

  • 17. 12.  Novým výkonným ředitelem AČSS se stal Pavel Čejka

    Asociace českých stavebních spořitelen (AČSS) má od listopadu nového výkonného ředitele. Tuto pozici zastává Pavel Čejka, který do letošního léta vedl Raiffeisen stavební spořitelnu. Do vedení asociace přináší více než třicetileté zkušenosti z bankovního sektoru v Česku i zahraničí, v seniorních rolích ve skupinách Société Générale/Komerční banky, Raiffeisenbank a ČSOB.

    Předsedou AČSS zůstává Libor Vošický, který asociaci vede dlouhodobě a zaměřuje se na podporu dostupného a odpovědného bydlení. Post prvního místopředsedy zastává generální ředitel ČSOB Stavební spořitelny Martin Vašek. Prezidium letos rozšířily další dvě tváře, a to generální ředitelka Modré pyramidy stavební spořitelny Monika Truchliková a generální ředitel Raiffeisen stavební spořitelny Ondřej Hák.

Další krátké zprávy

CFOtrends Newsletter

Objednejte si zdarma náš pravidelný informační newsletter se souhrnem nejzajímavějších zpráv a článků.

Objednat

SPECIÁLNÍ PROJEKTY

TOP 100 ICT společností 2025 tabulky

Inovovaná tabulka TOP 100 ICT společností 2025 se správnými údaji

Z našich webů

Dále u nás najdete

Fiasko McDonald’s: Když AI reklama ztratí duši

Y Soft hledá vývojáře na počítačové vidění a AI

Léky na tlak se nesnesou s lékořicí, zázvor není bezpečný pro diabetiky

Prohlídky a testy u praktiků budou od ledna důkladnější

Chřipka dorazila o měsíc dřív. Očkování nemusí nákaze zabránit

Barva jazyka může ukazovat na to, jakým problémem člověk trpí

Generace Z není akvarijní rybka. Co vědět o marketingu pro ni?

V EU roste černá ekonomika v najímání IT odborníků

Firma iRobot zkrachovala, nestačila na čínskou konkurenci

Chytré hračky a vysavače jsou jako trojský kůň: odposlouchávají vás

Datová centra: AI boom, limity energetiky a přesun kapacit

Bitcoin pro začátečníky: Jak bitcoiny bezpečně uložit

Co umí autonomní stroje v jihlavské nemocnici?

OpenAI reaguje na Nano Banana novým generátorem

Matka a dcera lásku k přírodě proměnily v kvetoucí byznys

Šestnáct novinek ve Windows 11 umožňujících upravit nastavení

Sociální pojištění 2026: změny v důchodech, odvodech i dávkách

Sleva, nebo iluze? Jak e-shopy počítají ceny na Black Friday

Inteligentní drony z Prahy létají v kouři a bez GPS

Zenbook Duo: elegán se dvěma displeji a několika kompromisy