Rizika narůstají s tím, jak se raketovým tempem rozšiřuje dostupnost veřejných, zpravidla bezplatných AI systémů, jak se generativní AI zdokonaluje a jak naopak řada firem zaostává – často z finančních důvodů – v zavádění vlastních a bezpečných verzí AI nástrojů nebo v nastavování interních pravidel a opatření. Mezi nejzávažnější hrozby patří nejen bezpečnostní rizika při stahování neprověřených AI funkcí, ale především rizika související s únikem citlivých dat, obchodního tajemství a porušováním nařízení jako je GDPR.
Zaměstnanci totiž často vkládají důvěrné informace nebo osobní údaje zaměstnanců a klientů do veřejných AI nástrojů a není tak vyloučeno, že k nim má přístup poskytovatel těchto nástrojů nebo že jsou používána pro jejich vylepšování.
Firmám hrozí sankce i reputační škody
Podle Jany Vorlíček Soukupové z advokátní kanceláře Dentons, hrozí firmám v takovém případě nejen únik obchodního tajemství a důvěrných informací, ale rovněž reputační riziko, pokud by společnost klientům poskytovala nikým neověřené AI výstupy. Navíc hrozí regulatorní nebo smluvní sankce. Pokud firma nenastaví vhodná technická a organizační opatření, aby k úniku dat nedocházelo, může být postihována podle GDPR. Pokud firma nemá používání AI pod kontrolou, nemá ani možnost posoudit, zda je její používání v souladu s právními předpisy.
Již v současné době se na práci s nástroji umělé inteligence vztahují také povinnosti vyplývající z AI Actu, mezi něž patří povinnost firem zajistit AI gramotnost zaměstnanců a osob, které tyto technologie používají. Další povinnosti přibudou, až vstoupí v účinnost pravidla AI Actu pro vysoce rizikové systémy, což pravděpodobně nastane v prosinci 2027.
„Obzlášť rizikovými obory jsou v tomto směru třeba bankovnictví, advokacie, justice nebo zdravotnictví, kde klienti oprávněně počítají s plnou ochranou jejich osobních údajů,“ uvádí Jana Vorlíček Soukupová s tím, že riziko představuje Shadow AI i pro firmy, které se snaží chránit vlastní know-how, obchodní tajemství nebo databáze klientů.
Bezpečný a kontrolovaný přístup k AI
Firmy si rizika spojená se Shadow AI stále častěji uvědomují a stanovují interní pravidla, jak jim čelit. Je přitom dobré začít interním auditem, který prověří, jaké AI nástroje jsou zaměstnanci používány a pro jaké účely. Současně je třeba stanovit interní postup pro schvalování nových AI nástrojů, které by zaměstnanci mohli chtít používat.
Pravidla by se měla vztahovat zejména na firemní počítače a mobilní telefony. Firmy by si ovšem měly pohlídat také to, aby zaměstnanci nastavená pravidla neobcházeli na soukromých zařízeních. Na druhé straně je třeba ošetřit, aby pravidla a kontrola jejich dodržování nenarušovala soukromí zaměstnanců.
Firmy často využívají buď vlastní, zabezpečené interní chaty a nástroje AI, které únikům zamezují nebo spoléhají na enterprise licence nástrojů jako Microsoft Copilot, Google Gemini nebo ChatGPT, v jejichž smlouvách je často garantováno, že firemní data nebudou použita k tréninku veřejných modelů a zůstanou izolována. Klíčovou otázkou je kybernetická bezpečnost a odpovědnost za případný únik informací.
„V případě úniku dat by soud řešil, komu je přičitatelný. Přihlížel by k tomu, zda má firma pro práci s daty a AI nástroji jasná interní pravidla, zda pravidelně proškoluje zaměstnance a v případě, že k pochybení zaměstnance přesto došlo, rovněž k tomu, zda se tak stalo úmyslně či nedbalostně,“ vysvětluje Jana Vorlíček Soukupová.
Firmy opouštějí zákazy AI a nastavují pravidla
Jak uvádí Jana Vorlíček Soukupová, z právního pohledu uplatňují firmy vůči využívání AI trojí přístup. Firem, které přistupovaly k AI restriktivně a její používání zcela zakazovaly, stejně jako těch, které ho neřešily vůbec, významně ubývá. Naopak, roste počet firem, které využívání AI podporují a upravují ho interními pravidly. Největší riziko představuje AI pro firmy, které se soustředí pouze na inovaci a „AI first“ přístup, ale zapomínají přitom na ochranu dat.
„Nejvíce přibývá firem, které si uvědomují, že pokud by používání AI neřešily a neupravily ho vlastními pravidly, dříve či později z toho mohou mít závažný problém,“ uzavírá Jana Vorlíček Soukupová.
