Proč nestačí zakázat nebo nekontrolovaně povolit AI
Plošný zákaz nefunguje: zaměstnanci stejně potřebují vyřešit konkrétní úkol a najdou si vlastní cestu — nejčastěji přes osobní účty u veřejných LLM služeb. Vznikne stínová AI: organizace ztratí přehled, kam tečou data, jaká rozhodnutí jsou dnes generovaná AI a kdo za ně nese odpovědnost.
Nekontrolované povolení nefunguje taky: citlivá data jdou ven, generovaný obsah se používá bez kontroly kvality, dochází k porušení smluvních a regulatorních povinností (ochrana osobních údajů, bankovní tajemství, obchodní tajemství, práva třetích stran).
Správný režim je mezi tím — sada pravidel, schvalovacích cest, evidencí a kontrolních bodů, která dovolí AI tam, kde přináší hodnotu, a nedovolí ji tam, kde by způsobila víc škody než užitku.
Typická rizika používání LLM v organizaci
- Únik důvěrných informací do veřejných LLM služeb a jejich pozdější použití k trénování modelu.
- Zpracování osobních údajů bez právního základu, mimo souhlas nebo bez záznamů o činnosti zpracování.
- Halucinace a nepravdivý obsah v textech, které lidé interpretují jako autoritativní (zápisy z jednání, rozhodnutí, právní texty).
- Nejasná odpovědnost za výstup AI — kdo podepisuje, kdo kontroluje, kdo se zodpovídá za vadu.
- Stínová AI — placené nástroje na firemních kartách bez evidence, schválení a nastavení datové ochrany.
- Agentní systémy s autonomním přístupem k systémům organizace — privilege escalation rizikem.
Co má obsahovat interní AI governance
- jasné rozdělení nástrojů na schválené / podmíněné / zakázané,
- pravidla pro práci s daty (co lze a co nesmí být vloženo do veřejných modelů),
- postup schválení nového AI nástroje (kdo žádá, kdo schvaluje, podle čeho),
- evidenci použití AI v rozhodovacích procesech a klíčových výstupech,
- školení uživatelů — nejen co se nesmí, ale i jak to dělat bezpečně,
- kontrolní mechanismy a auditní stopu,
- interpretaci AI Act a NIS2/DORA požadavků relevantních pro konkrétní organizaci.
Praktické výstupy spolupráce
- analýza současného stavu používání AI v organizaci,
- identifikace stínové AI a kritických rizik,
- návrh interní AI politiky a doprovodných procesů,
- katalog schválených nástrojů s režimem práce s daty,
- schvalovací proces pro nové AI nástroje,
- školicí materiály pro různé role v organizaci,
- kontrolní checklist pro audit nebo statutární orgán.
AI governance nemá být zákazovou směrnicí. Má organizaci umožnit používat AI užitečně, bezpečně a s jasnými pravidly odpovědnosti.