Proč je AI v podnikání právně citlivé téma
AI nástroje se dnes používají na tvorbu textů, analýzu dat, zákaznickou podporu, personalizaci marketingu i interní automatizaci. Právě tím ale vzniká kombinace několika právních oblastí najednou: ochrana osobních údajů, autorské právo, odpovědnost za škodu, obchodní tajemství a v některých případech i spotřebitelské právo. Nejde jen o teoretická rizika. Podle různých průzkumů z let 2024–2025 už ve firmách běžně probíhá tzv. shadow AI, tedy používání veřejných AI nástrojů bez interních pravidel a schválení IT nebo právním oddělením.
To je problém hlavně proto, že zaměstnanec může do AI vložit citlivá data, která se následně mohou dostat mimo kontrolu firmy. Stejně tak může marketingový tým publikovat text vygenerovaný AI, který porušuje cizí autorská práva nebo obsahuje nepřesná tvrzení. Riziko tedy neleží v samotné technologii, ale v tom, jak je procesně a právně ošetřená.
Osobní údaje a GDPR: nejčastější past při práci s AI
Největší právní riziko v evropském prostředí představuje zpracování osobních údajů. Pokud zaměstnanec nebo agentura vloží do veřejného AI nástroje jméno, e-mail, telefon, číslo objednávky, CRM data nebo zákaznickou komunikaci, může jít o předání osobních údajů třetí straně. To už vyžaduje jasný právní základ, informování subjektů údajů a často také smluvní zajištění se zpracovatelem.
U nástrojů typu ChatGPT, Claude nebo Gemini je nutné ověřit, zda firma používá firemní verzi s nastavením, které minimalizuje využití dat pro trénink. V praxi je vhodné mít seznam schválených nástrojů a zakázat vkládání osobních údajů do veřejných účtů. Podle zásad GDPR je navíc klíčové dodržet princip minimalizace: do AI posílat jen to, co je nezbytně nutné.
Praktický postup pro firmy:
- zaveďte klasifikaci dat – veřejná, interní, citlivá, osobní;
- zakážete vkládání citlivých údajů do veřejných AI nástrojů;
- uzavřete DPA se všemi dodavateli, kteří pracují s daty zákazníků;
- provedete DPIA u rizikových AI procesů, například při automatizovaném profilování;
- nastavte logování a audit, kdo a kdy AI používal.
U interních chatbotů nebo AI asistentů je důležité řešit i retenční dobu dat. Pokud AI systém ukládá konverzace, měly by existovat pravidla pro mazání a přístupová oprávnění. Bez toho se z nástroje pro efektivitu snadno stane compliance problém.
Autorská práva: výstup AI není automaticky bez rizika
Další oblastí je autorské právo. Většina AI nástrojů generuje obsah na základě velkých datových sad, ale to neznamená, že jejich výstupy jsou vždy právně bezchybné. Reálné riziko nastává ve chvíli, kdy AI text příliš kopíruje existující zdroj, vytváří parafrázi chráněného díla nebo použije cizí obrázek, styl či značku způsobem, který může být napadnutelný.
U webového obsahu je důležité rozlišovat mezi inspirací a kopií. Pokud AI napíše produktový popis, který je shodný s textem konkurence, může jít o problém nejen autorský, ale i reputační a SEO. Stejně tak použití AI generovaných obrázků neznamená automaticky volné komerční užití – vždy záleží na licenčních podmínkách konkrétního nástroje. Některé platformy výslovně uvádějí, že komerční využití je povolené, ale firma si musí ověřit i možné kolize s právy třetích stran.
Dobrá praxe je nastavit interní workflow:
- AI použít jako návrh, ne jako finální autorství;
- každý výstup lidsky revidovat před publikací;
- kontrolovat originalitu přes nástroje jako Copyscape, Originality.ai nebo Grammarly plagiarism checker;
- archivovat zdroje, ze kterých byl obsah připraven;
- u vizuálů evidovat licenci a podmínky použití.
V praxi je vhodné mít interní pravidlo, že AI výstup nesmí být publikován bez faktické kontroly člověkem. To je zásadní zejména u odborných textů, smluvních podkladů, obchodních podmínek nebo zdravotních a finančních témat.
Odpovědnost za chyby, halucinace a škody
AI modely občas generují přesvědčivě znějící, ale nepravdivé informace. Tento jev se často označuje jako halucinace. Z právního hlediska je problém v tom, že firma nese odpovědnost za obsah, který publikuje nebo použije v komunikaci se zákazníkem, i když ho vytvořila AI. Pokud chatbot doporučí špatný postup, e-shop uvede nesprávnou informaci o dostupnosti zboží nebo marketingový text slíbí vlastnosti, které produkt nemá, může vzniknout nárok na náhradu škody, reklamace nebo spor se spotřebitelem.
Riziko je vyšší tam, kde AI dělá rozhodnutí s dopadem na člověka: výběr kandidátů do výběrového řízení, scoring zákazníků, automatické zamítání požadavků nebo predikce bonity. V těchto případech je nutné vyhodnotit, zda nejde o významné automatizované rozhodování, které podléhá zvláštním pravidlům a transparentnosti.
Praktická opatření pro snížení odpovědnosti:
- nastavit „human in the loop“ u všech výstupů, které jdou ven k zákazníkům;
- povolit AI jen pro návrhy, ne pro finální rozhodnutí bez kontroly;
- definovat eskalační pravidla pro sporné nebo rizikové odpovědi;
- testovat přesnost na reálných scénářích, ideálně na 50–100 typických dotazech;
- měřit chybovost a vést záznamy o incidentech.
U zákaznické podpory se osvědčuje jasné označení, že odpovídá AI asistent, a možnost okamžitého přepnutí na člověka. Tím se snižuje riziko klamání spotřebitele i reputačních škod.
Licenční, smluvní a bezpečnostní pravidla ve firmě
Většina problémů nevzniká kvůli samotnému modelu, ale kvůli absenci interních pravidel. Firma by měla mít samostatnou AI politiku, která stanoví, co je dovoleno, co je zakázáno a kdo schvaluje použití nových nástrojů. To je důležité nejen pro zaměstnance, ale i pro externisty, agentury a freelancery.
Součástí politiky by mělo být i smluvní ošetření. Pokud AI používá dodavatel, je nutné ve smlouvě řešit odpovědnost za výstupy, ochranu dat, mlčenlivost, subdodavatele a právo na audit. U marketingových agentur je vhodné požadovat, aby doložily, jaké nástroje používají a zda jsou v souladu s interními pravidly klienta.
Z bezpečnostního hlediska se doporučuje:
- oddělit firemní a osobní účty u AI nástrojů;
- omezit přístup podle rolí – ne každý potřebuje plné oprávnění;
- používat firemní SSO, pokud je k dispozici;
- zapnout dvoufaktorové ověření;
- pravidelně kontrolovat historii promptů a sdílených projektů.
Pokud firma pracuje s citlivějšími daty, vyplatí se nasadit i DLP řešení nebo proxy vrstvu, která blokuje odesílání osobních a důvěrných údajů do neautorizovaných AI služeb. V prostředí Microsoft 365 nebo Google Workspace lze část rizik řešit přes správu přístupů, logování a zásady pro sdílení dat.
Jak nastavit kontrolní rámec, který obstojí i při auditu
Nejlepší ochrana před právními riziky je kombinace politiky, procesů a technické kontroly. Firmy, které AI používají systematicky, by měly mít minimálně čtyři dokumenty: AI policy, pravidla pro práci s daty, seznam schválených nástrojů a postup pro incidenty. U větších organizací dává smysl také pravidelný právní a bezpečnostní audit, například jednou za 6 měsíců.
Pro rychlé nasazení se osvědčuje tento postup:
- 1. Zmapovat use-casy – marketing, HR, zákaznická podpora, analytika, interní asistenti.
- 2. Klasifikovat riziko – nízké, střední, vysoké podle typu dat a dopadu rozhodnutí.
- 3. Vybrat schválené nástroje – například enterprise verze s lepší správou dat.
- 4. Připravit školení pro zaměstnance i dodavatele.
- 5. Nastavit kontrolu výstupů a měření incidentů.
Pro menší firmy může být užitečné začít jednoduchým checklistem: nepoužívat citlivá data ve veřejné AI, kontrolovat výstupy člověkem, archivovat zdroje a mít jasně určeného odpovědného pracovníka. To často sníží riziko výrazně víc než samotný nákup drahého nástroje.
AI v podnikání přináší obrovský výkonový benefit, ale právní bezpečnost se nevyřeší sama. Kdo si nastaví pravidla hned na začátku, získá nejen větší jistotu vůči regulaci, ale i kvalitnější a stabilnější provoz napříč marketingem, obsahem, supportem i interními procesy.
