Rizika Shadow AI? Zaměstnanci mohou neúmyslně ohrozit firemní data, porušit dohody o mlčenlivosti nebo GDPR

Rizika narůstají s tím, jak se raketovým tempem rozšiřuje dostupnost veřejných, zpravidla bezplatných AI systémů, jak se generativní AI zdokonaluje a jak naopak řada firem zaostává – často z finančních důvodů – v zavádění vlastních a bezpečných verzí AI nástrojů nebo v nastavování interních pravidel a opatření. Mezi nejzávažnější hrozby patří nejen bezpečnostní rizika při stahování neprověřených AI funkcí, ale především rizika související s únikem citlivých dat, obchodního tajemství a porušováním nařízení jako je GDPR.

Zaměstnanci totiž často vkládají důvěrné informace nebo osobní údaje zaměstnanců a klientů do veřejných AI nástrojů a není tak vyloučeno, že k nim má přístup poskytovatel těchto nástrojů nebo že jsou používána pro jejich vylepšování.  

Podle Jany Vorlíček Soukupové z advokátní kanceláře Dentons, hrozí firmám v takovém případě nejen únik obchodního tajemství a důvěrných informací, ale rovněž reputační riziko, pokud by společnost klientům poskytovala nikým neověřené AI výstupy. Navíc hrozí regulatorní nebo smluvní sankce. Pokud firma nenastaví vhodná technická a organizační opatření, aby k úniku dat nedocházelo, může být postihována podle GDPR. Pokud firma nemá používání AI pod kontrolou, nemá ani možnost posoudit, zda je její používání v souladu s právními předpisy.

Již v současné době se na práci s nástroji umělé inteligence vztahují také povinnosti vyplývající z AI Actu, mezi něž patří povinnost firem zajistit AI gramotnost zaměstnanců a osob, které tyto technologie používají. Další povinnosti přibudou, až vstoupí v účinnost pravidla AI Actu pro vysoce rizikové systémy, což pravděpodobně nastane v prosinci 2027.         

„Obzvlášť rizikovými obory jsou v tomto směru třeba bankovnictví, advokacie, justice nebo zdravotnictví, kde klienti oprávněně počítají s plnou ochranou jejich osobních údajů,“ uvádí Jana Vorlíček Soukupová. „Riziko představuje Shadow AI i pro firmy, které se snaží chránit vlastní know-how, obchodní tajemství nebo databáze klientů.“  

Firmy si rizika spojená se Shadow AI stále častěji uvědomují a stanovují interní pravidla, jak jim čelit. Podle Jany Vorlíček Soukupové je dobré začít interním auditem, který prověří, jaké AI nástroje jsou zaměstnanci používány a pro jaké účely. Současně je třeba stanovit interní postup pro schvalování nových AI nástrojů, které by zaměstnanci mohli chtít používat. 

Pravidla by se měla vztahovat zejména na firemní počítače a mobilní telefony. Firmy by si ovšem měly pohlídat také to, aby zaměstnanci nastavená pravidla neobcházeli na soukromých zařízeních. Na druhé straně je třeba ošetřit, aby pravidla a kontrola jejich dodržování nenarušovala soukromí zaměstnanců. 

Firmy často využívají buď vlastní, zabezpečené interní chaty a nástroje AI, které únikům zamezují nebo spoléhají na enterprise licence nástrojů jako Copilot, Gemini nebo ChatGPT, v jejichž smlouvách je často garantováno, že firemní data nebudou použita k tréninku veřejných modelů a zůstanou izolována. Klíčovou otázkou je kybernetická bezpečnost a odpovědnost za případný únik informací.

„V případě úniku dat by soud řešil, komu je přičitatelný,“ vysvětluje Jana Vorlíček Soukupová. „Přihlížel by k tomu, zda má firma pro práci s daty a AI nástroji jasná interní pravidla, zda pravidelně proškoluje zaměstnance a v případě, že k pochybení zaměstnance přesto došlo, rovněž k tomu, zda se tak stalo úmyslně či nedbalostně.“

Jak uvádí Jana Vorlíček Soukupová, z právního pohledu uplatňují firmy vůči využívání AI trojí přístup. Firem, které přistupovaly k AI restriktivně a její používání zcela zakazovaly, stejně jako těch, které ho neřešily vůbec, významně ubývá. Naopak, roste počet firem, které využívání AI podporují a upravují ho interními pravidly. Největší riziko představuje AI pro firmy, které se soustředí pouze na inovaci a „AI first“ přístup, ale zapomínají přitom na ochranu dat.

„Nejvíce přibývá firem, které si uvědomují, že pokud by používání AI neřešily a neupravily ho vlastními pravidly, dříve či později z toho mohou mít závažný problém,“ uzavírá Jana Vorlíček Soukupová z advokátní kanceláře Dentons.