Právní souvislosti a rizika spojená se Shadow AI

Na první pohled to nemusí vypadat jako problém. Zaměstnanci si zrychlují práci, automatizují rutinu a hledají efektivnější způsob, jak plnit úkoly. Není proto divu, že podle globální studie KPMG a University of Melbourne z roku 2025[2] používá 58 % zaměstnanců AI nástroje k pracovním účelům na pravidelné bázi.

Stejná studie však přináší i další čísla:

Drtivá většina zaměstnanců (70 %) používá veřejně dostupné free verze těchto nástrojů a téměř polovina zaměstnanců (48 %) přiznává nahrání citlivých firemních informací nebo chráněného materiálu do veřejných AI nástrojů.

Více než polovina (57 %) zaměstnanců současně přiznává, že používali AI netransparentně, tj. prezentovali obsah generovaný AI jako svůj vlastní nebo zaměstnavatele neinformovali, že k dokončení práce použili AI. Dvě třetiny zaměstnanců také uvedly, že se při práci spoléhají na výstupy umělé inteligence, aniž by kriticky hodnotily informace, které poskytuje (66 %).

Naopak jen 2 z 5 zaměstnanců používají AI nástroje schválené zaměstnavatelem a jen 20 % respondentů uvedlo, že jejich zaměstnavatel má zpracované zásady nebo pokyny týkající se pracovního využívání generativních nástrojů AI. Dalších 20 % respondentů vůbec netuší, jestli takové zásady u jejich zaměstnavatele existují.

Výsledky studie jasně potvrzují, že využívání AI ze strany zaměstnanců už není okrajovým jevem ani budoucím trendem, ale běžnou součástí pracovního života. Otázkou tedy není, zda zaměstnanci AI používají, ale jakým způsobem ji používají, s jakými daty pracují a zda pro to existují jasná a srozumitelná pravidla.

Přístup zaměstnavatele, který AI zakáže nebo ignoruje, nevede k tomu, že problém zmizí. Naopak se tím zvyšuje pravděpodobnost, že zaměstnanci budou využívat umělou inteligenci rizikově, skrytě a bez kontroly.

Jaká rizika přináší Shadow AI?

Jaká jsou typická rizika spojená se Shadow AI z pohledu organizace? Rozdělit je můžeme zejména do těchto kategorií: 

Informační bezpečnost

Nekontrolované využití AI nástrojů, zejména jejich zdarma dostupných (free) verzí, pro pracovní účely představuje rizika spojená s informační bezpečností. Zaměstnanci mohou, a v praxi se tak také často děje, do AI nástrojů vkládat interní informace (informace o nových produktech, nezveřejněné obchodní výsledky, části kódu), osobní údaje (zákazníků, zájemců o produkt, zaměstnanců, uchazečů o zaměstnání) nebo třeba technickou a bezpečnostní dokumentaci. 

Cíl bývá obvykle legitimní, například připravit prezentaci, provést analýzu dat, navrhnout odpověď na stížnost nespokojeného zákazníka, zkontrolovat část kódu atd. Hrozí však reálné riziko, že interní údaje uniknou nebo budou zpřístupněny neoprávněným příjemcům. Těmi mohou být jak provozovatel nástroje, který typicky ve free verzích vložená data využívá k tréninku či testování modelu, tak i další uživatelé, kteří se mohou nahodile nebo i úmyslně (prompt injection) dostat k interním datům organizace. 

Zhoršení kvality poskytované služby

Pokud jsou AI nástroje (nekontrolovaně) využívány pro podporu klíčových procesů, ať už ve veřejnoprávním subjektu nebo soukromé společnosti, hrozí riziko, že při jejich výpadku dojde k narušení poskytování služeb. Tím spíše to hrozí v případě, kdy je AI nástroj využíván například v základní verzi zdarma, bez garance dostupnosti a funkčnosti a bez dostatečného zohlednění jeho významu pro provoz organizace a případné zajištění záložního řešení. 

Druhou podkategorií je riziko, že využití AI nástroje může vést k poskytnutí nekvalitní služby, nesprávných nebo zavádějících informací nebo odepření realizace práv dotčené osoby (např. žadatele o sociální dávku, zákazníka, zaměstnance). V situacích, kdy je AI nástroj využíván právě jako podpora pro rozhodování v konkrétních případech, nebo k přímé komunikaci s lidskými uživateli, lze toto riziko efektivně snížit testováním výstupů a zajištěním lidského přezkumu. Což ovšem při “pokoutném” a neschváleném využití AI nástroje pravidlem nebývá…

Porušení regulace

Na využití AI dopadá řada předpisů. Nejedná se jen o Akt o umělé inteligenci, který obsahuje průřezová pravidla pro využití různě rizikových AI nástrojů. Neschválené využití AI nástroje například pro zpracování velkého množství životopisů od uchazečů o zaměstnání může pro organizaci představovat velký problém, protože takovéto využití AI je považováno za vysoce rizikové a Akt o umělé inteligenci s ním pojí řadu povinností. Pravidla pro většinu vysoce rizikových systémů by měla být účinná od 2. srpna 2026, pokud ovšem toto datum nebude posunuto v rámci tzv. Digitálního omnibusu. Komise navrhuje maximální posun účinnosti těchto částí Aktu o umělé inteligenci do 2. prosince 2027. 

S ohledem na to, v jakém sektoru organizace působí a pro jakou činnost či pro zpracování jakých dat AI nástroj využívá, připadají v úvahu i další předpisy, například: 

• Obecné nařízení o ochraně osobních údajů (GDPR) v případě, kdy jsou pomocí AI nástroje zpracovávány (např. vyhledávány, analyzovány či zpřístupňovány) informace o určených či určitelných fyzických osobách.
• Kyberbezpečnostní regulace (NIS2, resp. nový zákon o kybernetické bezpečnosti a nařízení DORA), která řadě organizací z různých sektorů ukládá povinnost řídit a kontrolovat svoje IT prostředí, pečlivě vybírat a kontrolovat externí dodavatele ICT nástrojů, včetně nástrojů umělé inteligence, a celý tento postup dokumentovat. 
• Finanční regulace, která řadě institucí, od velkých bank po jednotlivé zprostředkovatele, ukládá mj. povinnost svoje postupy dokumentovat, řadu kroků evidovat a být schopen rekonstruovat, jak došlo ke konkrétními obchodu, přijetí pokynu klienta apod. Což u využití nezdokumentovaného AI nástroje může být také dosti problematické…
• Využití AI ve zdravotnictví s sebou nese řadu povinností plynoucích z příslušné právní úpravy. Využití AI k pořizování nebo uchovávání zdravotnické dokumentace musí odpovídat požadavkům zákona č. 372/2011 Sb., o zdravotních službách, a vyhlášky č. 444/2024 Sb., o zdravotnické dokumentaci. Nasazení AI pro poskytování zdravotních služeb pak EU regulaci, odlišné od Aktu o umělé inteligenci, konkrétně nařízení MDR[3] a IVDR[4].

Další právní rizika

Kromě rizika porušení veřejnoprávních předpisů, a s tím související hrozby pokuty od dozorových úřadů, je vhodné zmínit i další právní rizika, která jsou s nekontrolovaným využitím AI spojena. Pro ilustraci zmiňme typickou oblast autorského práva.

Pokud zaměstnanci způsobem, který je přičitatelný jejich zaměstnavateli, využijí nástroje AI způsobem, který bude představovat porušení autorského práva, svého zaměstnavatele tím vystavují riziku sporů s držiteli těchto práv. 

Jak k tomu může dojít? Jednoduše, například tak, že zaměstnanci v dobré víře ve volně přístupném AI nástroji vytvoří propagační materiál, doplní k němu logo svého zaměstnavatele a začnou jej šířit, třeba na sociálních sítích. Pokud ale provozovatel dané AI aplikace svůj model vytrénoval na dílech chráněných autorským právem bez svolení jejich držitelů, každý výstup je zatížen rizikem sporu o narušení autorských práv. 

Podobně to hrozí v případě, kdy provozovatel AI nástroje ve smluvních podmínkách (typicky zdarma dostupné verze) zakáže komerční využití jejích výstupů. Pakliže přesto budou výstupy komerčně využívány, například v rámci marketingových aktivit na sociálních sítích, dané organizaci opět hrozí spor o právo k užití daného výstupu. 

Proč to z pohledu organizace řešit

Jak je z předchozího textu zřejmé, Shadow AI v dnešní digitální době představuje pro zaměstnavatele významné bezpečnostní a právní riziko. Nejde přitom jen o (mnohdy velmi vysoké) regulatorní pokuty nebo porušení interních směrnic či smluv s obchodními partnery. Může být ohroženo know-how firmy, její obchodní strategie, ale i dlouhé roky budované dobré jméno. Všechna tato rizika navíc většinou mají i zcela konkrétní finanční dopady.

Pokud zaměstnavateli v důsledku jednání zaměstnance vznikne škoda, chce se na něj zpravidla obrátit s požadavkem na její náhradu. Jenže bez jasných interních pravidel může být velice těžké prokázat, jakou povinnost zaměstnanec vlastně porušil, respektive že jednal zaviněně. Pokud zaměstnavatel zaviněné porušení pracovních povinností nedokáže, náhradu škody požadovat nemůže. 

Doložit zaviněné porušení povinnosti bude složité zejména za situace, kdy firma neměla jasně definovaná pravidla pro pracovní využívání AI, neproškolila zaměstnance, výslovně nezakázala vkládání určitých dat do AI nástrojů nebo tolerovala používání jejich veřejně dostupných free verzí. U nedbalostního zavinění je navíc náhrada škody omezena na 4,5násobek průměrného měsíčního výdělku zaměstnance a může být dále snížena, pokud se na vzniku škody porušením svých povinností podílel i sám zaměstnavatel.

Používání Shadow AI se v obchodních korporacích navíc propisuje i do odpovědnosti top managementu, který má povinnost jednat s péčí řádného hospodáře. Jestliže je používání AI ze strany zaměstnanců předvídatelnou, nebo už zdokumentovanou, realitou a vedení přesto nenastaví pravidla, kontrolní mechanismy a přiměřená ochranná opatření, může být později obtížné tvrdit, že jednalo informovaně a s potřebnou pečlivostí. 

Zaměstnavatelé by si proto měli udržovat přehled o právní regulaci, která se jich ve vztahu k AI týká, a o aktuálních rizicích, která jim ze Shadow AI hrozí. Používání umělé inteligence v každodenní firemní praxi by pak měli aktivně řídit. Jak na to, napoví příští díl našeho článku.

---

[1] Podle definice dostupné zde: https://www.ibm.com/think/topics/shadow-ai