Back to Blog
AI a bezpečnosť firemných dát: Čo musí vedieť každý majiteľ firmy

AI a bezpečnosť firemných dát: Čo musí vedieť každý majiteľ firmy

Article

Firma začne používať ChatGPT. Zamestnanci ho milujú — šetrí im hodiny práce. Šéf je spokojný. A potom niekto vloží do chatu zmluvu s obchodným partnerom, aby ju AI sumarizovala.

Práve v tom momente mohlo dôjsť k problému, o ktorom nikto ani netuší.

Bezpečnosť dát pri používaní AI je téma, o ktorej sa málo hovorí — a pritom sa týka každej firmy, ktorá tieto nástroje nasadí. Tento článok nie je o tom, aby vás vystrašil. Je o tom, aby ste vedeli, čo robíte, a robili to bezpečne.

Čo sa deje s vašimi dátami, keď použijete AI

Keď napíšete niečo do ChatGPT, Claude alebo Gemini v bezplatnej verzii, váš text odchádza na servery poskytovateľa. Čo sa s ním deje ďalej, záleží od podmienok používania konkrétneho nástroja.

OpenAI (ChatGPT): V bezplatnej verzii a aj v niektorých platených plánoch môžu byť vaše konverzácie použité na ďalší tréning modelov — pokiaľ túto možnosť aktívne nevypnete v nastaveniach. V plánoch ChatGPT Team a Enterprise tréning na vašich dátach prebehnutý nie je.

Anthropic (Claude): Claude.ai v bezplatnej a Pro verzii môže využívať konverzácie na zlepšenie modelov, pokiaľ ste nenastavili inak. V API a Enterprise verzii je ochrana dát výrazne silnejšia.

Google Gemini: V bezplatnej verzii Google výslovne uvádza, že konverzácie môžu byť hodnotené ľudskými recenzentmi. Workspace verzia funguje podľa firemných zmluvných podmienok.

Kľúčový bod: Bezplatná verzia = vaše dáta môžu byť použité na tréning. Firemná/platená verzia = zvyčajne nie, ale treba si to overiť v podmienkach.

Aké dáta sú rizikové

Nie všetko, čo vložíte do AI, je rovnako citlivé. Tu je prehľad toho, s čím treba byť opatrný:

Vysoké riziko — nikdy nevkladajte do bezplatných nástrojov

  • Zmluvy s obchodnými partnermi
  • Osobné údaje zákazníkov (meno, adresa, e-mail, telefón)
  • Bankové údaje, čísla účtov, prihlasovacie informácie
  • Interné finančné reporty a stratégie
  • Zdravotné záznamy alebo HR dokumenty zamestnancov
  • Duševné vlastníctvo — nezverejnené produkty, patenty, know-how

Stredné riziko — použite s rozvahou

  • Interné e-maily a komunikácia
  • Prezentácie pre klientov
  • Obchodné plány a cenové kalkulácie

Nízke riziko — bez problémov

  • Verejne dostupné informácie
  • Anonymizované texty bez identifikátorov
  • Všeobecné otázky a brainstorming
  • Tvorba obsahu bez firemných špecifík

GDPR a AI: Čo hovorí zákon

GDPR sa vzťahuje na spracovanie osobných údajov fyzických osôb. Ak vložíte do AI nástroja osobné údaje zákazníkov alebo zamestnancov bez toho, aby ste to mali ošetrené v dokumentácii, môžete porušovať nariadenie.

Konkrétne problémy:

  • Osobné údaje môžu byť prenesené mimo EÚ (väčšina AI serverov je v USA)
  • Nemáte kontrolu nad tým, ako dlho ich poskytovateľ uchováva
  • Zákazníci nedali súhlas s tým, že ich dáta budú spracované AI nástrojom tretej strany

Čo s tým?

Pred nasadením AI vo firme by ste mali: aktualizovať interné smernice o používaní AI nástrojov, skontrolovať, či váš dodávateľ AI spĺňa požiadavky GDPR (hľadajte Data Processing Agreement), a informovať zamestnancov, aké dáta môžu a nemôžu vkladať.

Praktické riešenia pre MSP

1. Firemné plány namiesto bezplatných verzií

Najjednoduchšie riešenie: prejdite na firemný plán AI nástroja, kde je zmluvne ošetrené, že vaše dáta nepoužívajú na tréning. ChatGPT Team (25 $/mes/používateľ), Claude for Work alebo Google Workspace s Gemini — to sú verzie určené pre firmy.

2. Anonymizácia pred vložením

Ak predsa len potrebujete použiť citlivý dokument, anonymizujte ho najprv manuálne: nahraďte mená zákazníkov za „Zákazník A", čísla zmlúv za „ZM-XXXX" a pod. AI dokáže pracovať s anonymizovanými dátami rovnako efektívne.

3. Lokálne AI modely (pre pokročilých)

Pre firmy s vysokými nárokmi na bezpečnosť existuje možnosť spustiť AI model lokálne — na vlastnom serveri, kde dáta neopustia vašu infraštruktúru. Nástroje ako Ollama alebo privátne nasadenie Claude API to umožňujú. Toto riešenie si vyžaduje technickú implementáciu.

4. Interná politika používania AI

Každá firma, ktorá zavádza AI nástroje, by mala mať jednu stranu písaných pravidiel pre zamestnancov. Minimálny obsah:

  • Ktoré AI nástroje sú schválené na používanie
  • Aké typy dát môžu a nemôžu byť vkladané
  • Čo robiť, ak si zamestnanec nie je istý
  • Kto je zodpovedný za AI bezpečnosť v firme

Bezpečnostné kontrolný zoznam pred nasadením AI

  • Prečítali sme podmienky používania vybraného AI nástroja
  • Máme uzavretú Data Processing Agreement s poskytovateľom (ak narábame s osobnými údajmi)
  • Zamestnanci vedia, čo môžu a nemôžu vkladať do AI
  • Používame firemnú (nie bezplatnú) verziu nástroja
  • Máme zdokumentované, ktoré AI nástroje používame — pre prípad auditu
  • Preverili sme, kde fyzicky sídlia servery poskytovateľa (EÚ alebo mimo EÚ)

Čo sa skutočne stáva — reálne scenáre

Scenár 1 — Zákaznícka databáza v ChatGPT

Marketingová pracovníčka exportuje zoznam zákazníkov do CSV a vloží ho do ChatGPT, aby vygenerovala personalizované e-maily. Výsledok: tisíce mien, e-mailov a telefonických čísel zákazníkov odišlo na servery OpenAI. Ak firma nemá zmluvu s OpenAI ako spracovateľom, ide o porušenie GDPR.

Scenár 2 — Zmluva na analýzu

Právnik vloží návrh obchodnej zmluvy do AI na kontrolu. Zmluva obsahuje obchodné podmienky, ceny a dôverné informácie o partnerovi. Ak to nie je ošetrené, môže ísť o porušenie NDA s obchodným partnerom.

Scenár 3 — Bezpečné použitie

Ten istý právnik vloží do AI anonymizovanú verziu zmluvy s nahradenými menami a číslami. Dostane rovnako kvalitnú analýzu bez akéhokoľvek rizika. Tak sa to robí správne.

Záver

AI nástroje sú výkonné a šetria čas. Bezpečnosť pri ich používaní nie je o paranoji — je o vedomom rozhodnutí, čo zdieľate a s kým.

Dobrou správou je, že pre väčšinu MSP stačia jednoduché opatrenia: firemný plán nástroja, jasné pravidlá pre zamestnancov a zdravý rozum pri vkladaní dokumentov.

Ak chcete pomôcť s nastavením bezpečného AI prostredia vo vašej firme, to je presne to, čo robíme v laistra.eu.