Jak na AI bezpečně: Praktický návod, jak ochránit citlivá firemní i osobní data

Pokaždé, když do veřejného AI chatbotu vložíte seznam zákazníků, kus proprietárního kódu nebo plat kolegy, v podstatě tyto informace zveřejňujete na serveru třetí strany – kde mohou být použity k dalšímu trénování modelu, neomezeně ukládány nebo odhaleny při úniku dat. Dobrá zpráva je, že existuje řada ověřených postupů, které toto riziko dokážou dramaticky snížit.

Tento průvodce shrnuje doporučení z let 2025–2026 od firem zabývajících se kybernetickou bezpečností, regulátorů ochrany soukromí a podnikových bezpečnostních týmů do jediného přehledného návodu.

První pravidlo: V nástrojích pro spotřebitele nepovažujte nic za soukromé

Nejdůležitější návyk je zároveň nejjednodušší: pokud byste něco nevyvěsili na veřejnou vývěsku, nepište to ani do běžného AI chatu. Průvodce pro firmy z roku 2026 to říká na rovinu: „Pokud byste to nezveřejnili na internetu, dvakrát si rozmyslete, než to vložíte do AI chatu" . Týká se to hesel, API klíčů, čísel kreditních karet, rodných čísel, zdravotní dokumentace (PHI), komunikace chráněné advokátním tajemstvím, proprietárního zdrojového kódu, nezveřejněných finančních údajů a osobních údajů zaměstnanců, jako jsou adresy a platy .

Veřejné AI platformy často uchovávají záznamy chatů, používají dotazy k vylepšování svých modelů a nemusí nabízet záruku smazání dat. Podnikové verze stejných nástrojů naopak obvykle poskytují smluvní ochranu, kontrolu nad uchováváním dat a možnost trénování modelu zcela zakázat .

Začněte s minimalizací dat – vaše nejsilnější obrana

„Nejlepší způsob, jak se vyhnout skandálu s ochranou soukromí, je data vůbec nemít," uvádí strategický plán společnosti TrustArc z roku 2026 . Tento princip – bezohledná minimalizace dat – platí jak pro data, která vaše organizace shromažďuje, tak pro data, která zaměstnanci vkládají do AI nástrojů.

Neshromažďujte a neukládejte osobní údaje, pokud to není nezbytně nutné pro definovaný obchodní účel . Stejnou disciplínu aplikujte i na vstupy do AI: před vložením jakéhokoli textu do dotazu (promptu) z něj odstraňte jména, adresy a finanční informace . Kdykoli je to možné, používejte pro testování a vývoj syntetická nebo anonymizovaná data.

Technické zábrany, které by měla zavést každá organizace

Podniková ochrana před AI vyžaduje vrstvení několika technických kontrol .

1. Používejte pouze podnikové AI nástroje. Zakažte používání osobních/bezplatných účtů pro pracovní úkoly. Podnikové verze nástrojů jako Microsoft Copilot, Google Gemini for Workspace nebo ChatGPT Enterprise nabízejí certifikace SOC 2, ISO 27001 a HIPAA BAA a také nastavení uchovávání dat, která máte pod kontrolou .

2. Vypněte možnost trénování modelu. Většina podnikových AI platforem má nastavení, které zabrání použití vašich dat ke zlepšování modelu. Tuto volbu deaktivujte dříve, než kdokoli v organizaci začne nástroj používat .

3. Šifrujte data při přenosu i v klidu. Pro úvodní výměnu dat používejte asymetrickou kryptografii a pro přenos dat symetrické šifrování AES. Zkombinujte to s robustní správou klíčů a řízením přístupu . Moderní doporučení také počítají s přípravou na šifrování odolné vůči kvantovým počítačům .

4. Zaveďte monitorování a filtrování v reálném čase. Systémy, které skenují konverzace s AI v okamžiku jejich vzniku, dokážou označit osobně identifikovatelné informace (PII), blokovat neautorizované přenosy dat a upozornit bezpečnostní tým dříve, než dojde k úniku . Nástroje pro prevenci ztráty dat (DLP) by se měly vztahovat i na rozhraní AI chatů, nejen na e-mail a sdílené složky.

Správa a řízení: Pravidla, která dají technickým opatřením smysl

Technické kontroly selžou bez jasných pravidel a procesů. Odborníci na ochranu soukromí a AI se z více zdrojů shodují na čtyřech strukturálních krocích .

Proveďte posouzení vlivu na ochranu soukromí (PIA) nebo posouzení vlivu na ochranu údajů (DPIA) u každého AI systému, který zpracovává osobní údaje. Tato posouzení by měla identifikovat, jaké osobní údaje systém zpracovává, právní základ pro zpracování, rizika pro práva jednotlivců a opatření ke zmírnění těchto rizik – zejména u systémů s „vysokým rizikem", které ovlivňují zásadní rozhodnutí .

Zmapujte tok svých dat. „Pokud nevíte, kde vaše data jsou, nemůžete je chránit," varuje plán TrustArc . Auditujte, kde citlivá data žijí, jak se pohybují organizací a ke kterým AI systémům mají přesně přístup.

Přijměte zásadu „navrhování s ohledem na soukromí" (privacy by design). Zabudujte ochranu soukromí do AI systémů od samého počátku, místo abyste ji přidávali až po nasazení . To znamená standardně nastavit nejvíce chránící nastavení, omezit sběr dat a zajistit transparentnost vůči uživatelům.

Vytvořte písemnou politiku používání AI ještě před zavedením nových nástrojů. Politika by měla být natolik jednoduchá, aby jí rozuměl každý zaměstnanec – například: „Žádná data o zákaznících, mzdách ani zdravotní data v neschválených AI nástrojích" . Měla by také obsahovat seznam schválených nástrojů, postup pro schvalování nových nástrojů a důsledky porušení pravidel .

Pravidla pro běžné uživatele: Rychlý kontrolní seznam

Do AI nástrojů NIKDY nezadávejte	VŽDY dělejte
Hesla, API klíče, přihlašovací údaje	Před zadáním dotazu odstraňte jména, adresy, finanční údaje
Čísla kreditních karet zákazníků nebo bankovní informace	Před nasazením zkontrolujte podmínky ochrany soukromí dodavatele a nastavení uchovávání dat
Rodná čísla nebo jiné osobní identifikátory	Povolte vícefaktorové ověřování (MFA) a kontrolu přístupu na všech týmových účtech
Zdravotní údaje (pokud nepoužíváte nástroj v souladu s HIPAA)	Vytvořte jednoduchá, srozumitelná interní pravidla – např. „žádná data o zákaznících, mzdách ani zdravotní údaje v neschválených nástrojích"

Co odborníci zdůrazňují nejvíc

Shoda napříč mnoha zdroji z let 2025–2026 je jasná: největším rizikem je nevědomost. Organizace často nevědí, kde jejich data jsou, které AI nástroje zaměstnanci skutečně používají a zda tyto nástroje uchovávají jejich dotazy. Doporučeným výchozím bodem je důkladný audit současného používání AI, po němž následuje písemná politika, seznam schválených nástrojů a pravidelné školení .

Řešení nejsou nijak exotická. Jde o návrat k základní hygieně dat – zmapujte, co máte, minimalizujte, co sdílíte, používejte podnikové nástroje s aktivovanými funkcemi pro ochranu soukromí a proškolte všechny v jednoduchém pravidle, které data udrží v bezpečí: pokud byste něco nezveřejnili veřejně, nevkládejte to do AI chatu.