S rozvojem umělé inteligence (AI) rostou i rizika tzv. Shadow AI, používání neschválených nástrojů a aplikací umělé inteligence při práci s důvěrnými firemními informacemi, daty obchodních partnerů nebo s osobními údaji klientů a zaměstnanců. Zaměstnanci – obvykle v dobré víře a ve snaze zvýšit produktivitu práce –, totiž svěří chráněná data nástrojům, nad kterými nemá firma kontrolu a slouží například ke zdokonalování umělé inteligence.
Rizika narůstají s tím, jak se raketovým tempem rozšiřuje dostupnost veřejných, zpravidla bezplatných systémů AI, jak se generativní umělá inteligence zdokonaluje a jak naopak řada firem zaostává, často z finančních důvodů, v zavádění vlastních a bezpečných verzí AI nástrojů nebo v nastavování interních pravidel a opatření.
Mezi nejzávažnější hrozby patří nejen bezpečnostní rizika při stahování neprověřených AI funkcí, ale především nebe související s únikem citlivých dat, obchodního tajemství a porušováním nařízení, jako je GDPR.Zaměstnanci totiž často vkládají důvěrné informace nebo osobní údaje zaměstnanců a klientů do veřejných nástrojů umělé inteligence a není tak vyloučeno, že k nim má přístup poskytovatel těchto nástrojů nebo že jsou používána pro jejich vylepšování.
Firmám v takovém případě hrozí nejen únik obchodního tajemství a důvěrných informací, ale rovněž reputační riziko, pokud by společnost klientům poskytovala nikým neověřené AI výstupy. Navíc jsou ve hře regulatorní nebo smluvní sankce.
Pokud firma nenastaví vhodná technická a organizační opatření, aby k úniku dat nedocházelo, může být postihována podle GDPR. Nemá-li firma používání AI pod kontrolou, nemá ani možnost posoudit, zda je její používání v souladu s právními předpisy.
Již v současné době se na práci s nástroji umělé inteligence vztahují také povinnosti vyplývající z AI Actu (nařízení EU ohledně umělé inteligence, pozn. aut.), mezi něž patří povinnost firem zajistit AI gramotnost zaměstnanců a osob, které tyto technologie používají. Další povinnosti přibydou, až vstoupí v účinnost pravidla AI Actu pro vysoce rizikové systémy, což bude nejspíše v prosinci 2027.
Obzvlášť rizikovými obory jsou v tomto směru třeba bankovnictví, advokacie, justice nebo zdravotnictví, kde klienti oprávněně počítají s plnou ochranou svých osobních údajů. Riziko představuje Shadow AI i pro firmy, které se snaží chránit vlastní know-how, obchodní tajemství nebo databáze klientů.
Firmy si rizika spojená se Shadow AI stále častěji uvědomují a stanovují interní pravidla, jak jim čelit. Vhodné je začít interním auditem, který prověří, jaké AI nástroje jsou zaměstnanci používány a pro jaké účely. Současně je třeba stanovit interní postup pro schvalování nových nástrojů umělé inteligence, které by zaměstnanci mohli chtít používat.
Pravidla by se měla vztahovat primárně na firemní počítače a mobilní telefony, ale firmy by si měly pohlídat také to, aby zaměstnanci nastavená pravidla neobcházeli na soukromých zařízeních. Na druhou stranu je třeba ošetřit, aby pravidla a kontrola jejich dodržování nenarušovala soukromí zaměstnanců.
Firmy často využívají buď vlastní, zabezpečené interní chaty a nástroje AI, které únikům zamezují, nebo spoléhají na enterprise licence (typ softwarové licence určený pro firmy nebo velké organizace) nástrojů, jako Copilot, Gemini nebo ChatGPT, v jejichž smlouvách je často garantováno, že firemní data nebudou použita k tréninku veřejných modelů a zůstanou izolována.
Klíčovou otázkou je kybernetická bezpečnost a odpovědnost za případný únik informací. V takovém případě by soud řešil, komu lze toto selhání přičíst. Přihlížel by k tomu, zda má firma pro práci s daty a nástroji umělé inteligence jasná interní pravidla, jestli pravidelně proškoluje zaměstnance. V případě, že k pochybení zaměstnance přesto došlo, zohledňuje soud, zda se tak stalo úmyslně, či nedbalostně.
Firem, které přistupovaly k AI restriktivně a její používání zcela zakazovaly, stejně jako těch, které ho neřešily vůbec, významně ubývá.
Naopak roste počet firem, které využívání AI podporují a upravují ho interními pravidly. Největší riziko představuje umělá inteligence pro firmy, které se soustředí pouze na inovaci a „AI first“ přístup, ale zapomínají přitom na ochranu dat. Nejvíce přibývá firem, které si uvědomují, že pokud by používání AI neřešily a neupravily ho vlastními pravidly, dříve či později z toho mohou mít závažný problém.
Autorka je advokátní koncipientka ve společnosti Dentons
(Redakčně upraveno)
