AI v práci a bezpečnosť: Shadow AI ako skrytý compliance problém

Firmy zavádzajú umelú inteligenciu. Nakupujú licencie, oznamujú digitálnu transformáciu, a potom sa stane niečo neočakávané: zamestnanci začnú AI používať inak, ako bolo plánované. Alebo začnú používať nástroje, o ktorých vedenie vôbec nevie.

Tento jav sa nazýva Shadow AI – a bezpečnosť AI v práci sa tak stáva problémom, ktorý presahuje IT oddelenie. Ide o GDPR, kybernetickú bezpečnosť aj AI Act naraz.

 

Čo je Shadow AI a prečo sa to týka každej firmy

Shadow AI je neautorizované, nekontrolované používanie nástrojov umelej inteligencie v pracovnom prostredí. Ide o priamy nástupca pojmu Shadow IT – no s podstatne závažnejšími dôsledkami.

Kým neautorizovaný Dropbox ukladá firemné súbory na cudzom serveri, neautorizovaný LLM nástroj robí to isté – len navyše spracúva obsah promptov, môže ho použiť na trénovanie modelu a poskytuje ho tretej strane bez akejkoľvek zmluvy o spracúvaní osobných údajov.

Na Slovensku zatiaľ nie je povedomie o tomto probléme veľké. Medzinárodné dáta však ukazujú, že ide o masový jav, ktorý sa nevyhýba žiadnemu odvetviu ani veľkosti firmy.

 

Dve situácie, ktoré poznávame z praxe

 

Situácia prvá: Firma AI zavedie – a na všetko ostatné zabudne

Vedenie nakúpi licencie na Microsoft Copilot, ChatGPT Enterprise alebo Gemini. Prístupy sa rozdajú. Tým to väčšinou aj končí.

Žiadne školenie o tom, čo smie zamestnanec vkladať do promptov. Žiadna interná politika používania AI. Žiadna kontrola, či dochádza k spracúvaniu osobných údajov klientov, obchodného tajomstva alebo iných citlivých informácií.

Z pohľadu bezpečnosti AI v práci je to stav, v ktorom firma nesie všetky riziká – bez akýchkoľvek záruk.

Situácia druhá: Zamestnanec si prinesie vlastnú AI

Firma AI síce nezaviedla, alebo zaviedla niečo, čo zamestnancovi nevyhovuje. Ten si sám zaregistruje bezplatný alebo platený účet – ChatGPT, Claude, Perplexity, Gemini, DeepSeek. Pracuje s ním každý deň. Vkladá do neho firemné dokumenty, e-maily, zmluvy, zákaznícke dáta.

IT oddelenie či vedenie spoločnosti o tom ani netuší. Žiadna zmluva so subdodávateľom neexistuje. Žiadne posúdenie rizík. Žiadna politika.

Toto je Shadow AI v najčistejšej forme.

 

Čísla, ktoré by mal vidieť každý majiteľ firmy či manažér 

Problém nie je teoretický. Výskumy z rokov 2024 a 2025 ukazujú konzistentný a znepokojujúci obraz o bezpečnosti AI v pracovnom prostredí:

  • 78 % zamestnancov, ktorí používajú AI v práci, prizná používanie nástrojov neschválených zamestnávateľom (WalkMe / SAP, august 2025, n = 1 000)
  • Viac ako 80 % pracovníkov – vrátane takmer 90 % bezpečnostných profesionálov – používa neschválené AI nástroje (UpGuard, november 2025)
  • 49 % zamestnancov adoptovalo AI bez súhlasu zamestnávateľa; mnohí z nich používajú bezplatné verzie, do ktorých vkladajú citlivé firemné dáta (BlackFog, január 2026, n = 2 000)
  • 38 % zamestnancov zdieľa dôverné informácie s AI platformami bez vedomia zamestnávateľa (CybSafe + National Cybersecurity Alliance, 2024, n = 7 000)
  • 46 % tých, čo používajú neschválené AI nástroje, by v tom pokračovalo, aj keby im to firma výslovne zakázala(Software AG)

Zarážajúce je najmä toto: podľa BlackFog prieskumu až 69 % prezidentov a členov C-suite a 66 % riaditeľov a senior viceprezidentov toleruje používanie neschválených AI nástrojov. Efektivitu uprednostňujú pred bezpečnosťou. Vedenie, ktoré má nastavovať štandardy, je samo súčasťou problému.

 

Bezpečnosť AI v práci: čo konkrétne hrozí

 

Čo sa deje s dátami, ktoré vstúpili do LLM?

Toto je otázka, ktorú si väčšina používateľov nekladie – a pritom je kľúčová.

  • Bezplatné verzie populárnych LLM nástrojov štandardne umožňujú využitie zadaných dát na trénovanie modelov, ak používateľ aktívne nevyopuje (opt-out). Zamestnanec, ktorý to nevie, daruje firemné dáta tretej strane.
  • Platené podnikové verzie zvyčajne tréningové záruky obsahujú – ale iba ak je uzatvorená príslušná zmluva a správne nakonfigurované prostredie.
  • Dáta sú spracúvané na serveroch tretích strán – spravidla mimo EÚ, čo otvára otázku medzinárodného prenosu osobných údajov.

GDPR a nekontrolované používanie AI

Každé spracúvanie osobných údajov musí mať právny základ, musí byť transparentné a musí spĺňať princíp minimalizácie. Keď zamestnanec vloží do externého LLM zmluvu s osobnými údajmi klienta, zoznam zákazníkov alebo interný dokument s menom a platovými údajmi kolegov, firma spracúva osobné údaje u subdodávateľa bez zmluvy podľa článku 28 GDPR.

Absentuje zároveň:

  • posúdenie vplyvu na ochranu údajov (DPIA) podľa článku 35 GDPR,
  • záznamy o spracovateľských činnostiach odrážajúce skutočný stav,
  • implementácia zásady privacy by design podľa článku 25 GDPR.

AI Act: nové povinnosti, o ktorých firmy nevedia

Nariadenie o umelej inteligencii zavádza kategórie rizík. Niektoré použitia AI v pracovnom prostredí môžu spadať do kategórie vysokorizikových systémov – napríklad pri hodnotení zamestnancov, podpore rozhodovania v HR alebo spracúvaní citlivých osobných údajov.

Firmy, ktoré nemajú prehľad o tom, ako ich zamestnanci AI používajú, nemôžu splniť ani základné povinnosti, ktoré AI Act kladie na nasadzovateľov: ľudský dohľad, záznamy o používaní, posúdenie zhody.

NIS2 a riadenie bezpečnostných rizík

Pre subjekty spadajúce pod smernicu NIS2 (resp. v našich podmienkach pod zákon o kybernetickej bezpečnosti) predstavuje nekontrolované používanie AI nástrojov priamu medzeru v riadení kybernetickej bezpečnosti. Riziká spojené s dodávateľským reťazcom, správa prístupu a incident response – to všetko predpokladá, že firma vie, aké nástroje jej zamestnanci používajú.

 

Prečo samotný zákaz nefunguje

Inštinktívna reakcia IT oddelení či vedenia spoločností je blokovanie. Zakázať, blokovať prístupy, penalizovať.

Dáta hovoria jasne: nefunguje to. Takmer polovica zamestnancov, ktorí by dostali explicitný zákaz, by v používaní neschválených nástrojov pokračovala. Dôvod je jednoduchý – vnímajú AI ako nástroj produktivity a sú presvedčení, že riziká zvládajú sami.

Problém nie je motivácia zamestnancov. Problém je absencia riadenia.

 

Čo urobiť: šesť krokov k bezpečnému používaniu AI v práci

  1. Audit – zmapujte, aké AI nástroje zamestnanci skutočne používajú. Bez tohto základu nie je možné robiť žiadne ďalšie rozhodnutia. Motivujte ich "priznať sa" bez "potrestania".
  2. Interná politika používania AI – jasné pravidlá: ktoré nástroje sú schválené, čo do nich smie ísť, aké dáta sú zakázané.
  3. Schválené alternatívy – ak firma neposkytne funkčné a pohodlné nástroje, zamestnanci si nájdu vlastné. Vždy.
  4. Školenie – nie formálne kliknutie cez e-learning (aj keď je to lepšie ako nič), ale reálne pochopenie toho, čo sa deje s dátami v promptoch.
  5. Zmluvná dokumentácia – zmluva o spracúvaní osobných údajov (DPA) so všetkými AI nástrojmi v oficiálnom stacku; aktualizácia záznamov o spracovateľských činnostiach.
  6. Priebežný dohľad – proces, ktorý zachytí nové nástroje skôr, ako spôsobia problém.

 

Záver: Problém nie je AI. Problém je absencia riadenia.

Umelá inteligencia nie je hrozba. Je to nástroj – a ako každý nástroj, vyžaduje pravidlá používania. Bezpečnosť AI v práci nie je o tom, zakázať zamestnancom byť produktívnymi. Je o tom, nastaviť rámec, v ktorom môžu byť produktívni bez toho, aby nevedomky porušovali GDPR, ohrozovali kybernetickú bezpečnosť firmy alebo generovali compliance riziko podľa AI Actu.

Shadow AI je symptómom hlbšieho problému: medzery medzi tým, ako rýchlo sa technológia adoptuje, a tým, ako pomaly za ňou zaostáva firemné riadenie.

Prvý krok nie je zákaz. Je to audit – zistiť, čo vaši ľudia používajú. A potom nastaviť politiku, ktorá to uchopí rozumne, bezpečne a v súlade s platnou legislatívou.

 

Kľúčové slová: AI v práci bezpečnosť, shadow AI, umelá inteligencia GDPR, AI politika firmy, GDPR umelá inteligencia, AI Act Slovensko, NIS2 umelá inteligencia, bezpečnosť AI nástroje, ChatGPT GDPR, LLM bezpečnosť firmy, neschválené AI nástroje, BYOAI, AI governance, interná politika AI, ochrana osobných údajov AI


Tomáš začal svoju podnikateľskú dráhu už počas štúdia na Právnickej fakulte, kde získal pevné základy v práve. Po ukončení štúdia sa zameral na oblasť ochrany osobných údajov, ktorá sa stala jeho špecializáciou. Vďaka svojej praxi má bohaté skúsenosti s konzultovaním a implementáciou GDPR riešení naprieč rôznymi sektormi podnikania. Odkonzultoval viac ako 500 podnikateľských subjektov, čím si vybudoval renomé odborníka v tejto oblasti. Svojím prístupom a dôslednosťou pomáha firmám nielen dosiahnuť súlad s legislatívou, ale aj zlepšiť procesy pre efektívnejšie fungovanie.
- JUDr. Tomáš Jendrál | Autor článku
Späť

kontakt

address icon Werferova 6, Košice 040 11
phone icon +421 911 251 851
office@codamore.sk
Codamore s.r.o., so sídlom Werferova 6, Košice - mestská časť Západ 040 11, IČO: 52 653 722, zapísaná v Obchodnom registri Mestského súdu Košice, oddiel: Sro, vložka č. 47257/V.
Zásady ochrany OÚ
Financované Európskou úniou NextGenerationEU


socials socials socials