Směrnice pro používání AI | AI Acceptable Use Policy

Verze: 1.0 Účinnost od: [DATUM] Schválil: [CEO/JEDNATEL] Platí pro: Všechny zaměstnance, kontraktory a externí spolupracovníky

Proč tato směrnice existuje?

Umělá inteligence (AI) nám pomáhá pracovat efektivněji. Zároveň ale přináší rizika - od úniku citlivých dat po právní problémy. Tato směrnice stanovuje jasná pravidla, abyste mohli AI používat bezpečně a v souladu s právem.

Dodržováním této směrnice:

Chráníte sebe, firmu i naše klienty
Vyhýbáte se pokutám až do milionů EUR (GDPR, AI Act)
Používáte AI efektivně a zodpovědně

Rozsah platnosti

Tato směrnice se vztahuje na:

Co	Příklady
Všechny AI nástroje	ChatGPT, Claude, Copilot, Gemini, Perplexity, Midjourney
Všechna zařízení	Firemní i osobní (pokud pracujete s firemními daty)
Všechny formy práce	Kancelář, home office, služební cesty
Všechny osoby	Zaměstnanci, kontraktoři, stážisti, externisté

Schválené AI nástroje

Povolené pro běžné použití

Nástroj	Povolené použití	Omezení
ChatGPT (OpenAI)	Psaní textů, analýza, brainstorming, kód	Bez osobních údajů
Claude (Anthropic)	Psaní textů, analýza, brainstorming, kód	Bez osobních údajů
GitHub Copilot	Programování, code review	Bez citlivého kódu
Perplexity	Vyhledávání, research	Bez důvěrných dotazů
Grammarly	Kontrola pravopisu	Bez citlivých dokumentů

Vyžadují schválení

Nástroj/Kategorie	Kdo schvaluje	Poznámka
Nový AI nástroj	CTO + DPO	Před prvním použitím
AI s přístupem k datům	CISO	Bezpečnostní review
AI pro rozhodování	Legal + CTO	DPIA povinné

Zakázané

Nástroj/Kategorie	Důvod
AI bez jasného provozovatele	Bezpečnostní riziko
AI nástroje z Číny/Ruska	Regulatorní riziko
”Underground” AI nástroje	Právní a bezpečnostní riziko

Zlatá pravidla

1. NIKDY neodesílejte citlivá data do AI

❌ ZAKÁZÁNO odesílat:
├─ Jména, emaily, telefony klientů nebo zaměstnanců
├─ Rodná čísla, čísla OP, pasu
├─ Zdravotní informace
├─ Finanční údaje (platy, čísla účtů, karty)
├─ Hesla, API klíče, přístupové tokeny
├─ Interní strategické dokumenty
├─ Smlouvy a právní dokumenty
└─ Zdrojový kód s business logikou

2. VŽDY ověřujte výstupy AI

⚠️ AI může:
├─ Vymýšlet si fakta ("halucinace")
├─ Poskytovat zastaralé informace
├─ Dávat právně nesprávné rady
└─ Generovat nefunkční nebo nebezpečný kód

✅ VŽDY:
├─ Ověřte fakta z primárních zdrojů
├─ Zkontrolujte právní tvrzení s Legal
├─ Testujte vygenerovaný kód
└─ Nechte důležité texty zkontrolovat člověkem

3. VŽDY buďte transparentní

✅ Informujte ostatní, že byl použit AI:
├─ "Tento text byl vytvořen s pomocí AI a následně upraven"
├─ "Návrh vygenerovaný AI, ke kontrole"
└─ V externích materiálech dle pokynů marketingu

Co MŮŽETE dělat

Běžné použití (bez schválení)

Aktivita	Příklad	Podmínka
Psaní a editace textů	Emaily, reporty, prezentace	Bez citlivých dat
Brainstorming	Nápady, struktury, osnovy	Bez důvěrných témat
Překlady	Obecné texty	Bez smluv/právních dok.
Sumarizace	Shrnutí článků, meetingů	Bez interních dat
Programování	Pomocný kód, debugging	Bez business logiky
Research	Veřejně dostupné informace	–
Učení	Vysvětlení konceptů, tutoriály	–

Příklady správného použití

✅ SPRÁVNĚ:
"Napiš mi osnovu prezentace o trendech v [obecná oblast]"
"Vysvětli mi, jak funguje [technologie]"
"Přelož tento obecný text do angličtiny"
"Najdi chybu v tomto kódu: [obecný algoritmus]"
"Navrhni strukturu emailu pro [obecná situace]"

Co NESMÍTE dělat

Absolutně zakázáno

Aktivita	Důvod	Následek
Odesílat osobní údaje	GDPR porušení	Pokuta, výpověď
Odesílat zdravotní data	Zvláštní kategorie GDPR	Pokuta, trestní oznámení
Odesílat finanční data klientů	GDPR + bankovní tajemství	Pokuta, výpověď
Kopírovat celé smlouvy	Důvěrnost, právní riziko	Disciplinární řízení
Používat AI pro diskriminaci	AI Act, antidiskriminační zákony	Pokuta, trestní oznámení
Vytvářet deepfakes	AI Act, podvod	Trestní oznámení
Automatické rozhodování o lidech	GDPR čl. 22, AI Act	Pokuta

Příklady špatného použití

❌ ŠPATNĚ:
"Analyzuj tohoto klienta: Jan Novák, r.č. 850101/1234, email..."
"Shrň tuto smlouvu s klientem XYZ..."
"Porovnej platy zaměstnanců v tomto seznamu..."
"Napiš email klientovi [jméno] o jeho účtu [číslo]..."
"Rozhodni, kterého kandidáta přijmout na základě těchto CV..."

Jak pracovat s daty bezpečně

Před použitím AI se zeptejte:

ROZHODOVACÍ STROM
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

Obsahují data osobní údaje?
├─ ANO → ❌ NEPOUŽÍVEJTE AI (nebo anonymizujte)
└─ NE ↓

Jsou data interní/důvěrná?
├─ ANO → ⚠️ Konzultujte s nadřízeným
└─ NE ↓

Jsou data veřejně dostupná?
├─ ANO → ✅ Můžete použít AI
└─ NE → ⚠️ Konzultujte s nadřízeným

Jak anonymizovat data

PŘED:
"Klient Jan Novák (jan.novak@email.cz, +420 123 456 789)
si stěžuje na fakturu č. 2024-1234 na 50.000 Kč"

PO (anonymizované):
"Klient si stěžuje na fakturu. Jak reagovat na stížnost
ohledně fakturace?"

Hlášení incidentů

Co je AI incident?

Typ	Příklad	Závažnost
Únik dat	Omylem odeslána citlivá data do AI	🔴 Kritická
Chybný výstup	AI poskytla nesprávné informace, které byly použity	🟡 Střední
Nevhodný obsah	AI vygenerovala diskriminační/škodlivý obsah	🟡 Střední
Bezpečnostní	Podezření na zneužití AI účtu	🔴 Kritická

Jak hlásit

OKAMŽITĚ (do 1 hodiny):
├─ Email: [SECURITY-EMAIL]
├─ Telefon: [SECURITY-PHONE]
└─ Slack/Teams: #security-incidents

UVEĎTE:
├─ Co se stalo
├─ Kdy se to stalo
├─ Jaká data byla zasažena
├─ Jaký AI nástroj byl použit
└─ Vaše kontaktní údaje

Co dělat při úniku dat

STOP - Přestaňte používat nástroj
NEMAZEJTE - Uchovejte důkazy (screenshoty)
HLASTE - Kontaktujte security tým
SPOLUPRACUJTE - Poskytněte informace pro vyšetřování

Odpovědnosti

Každý zaměstnanec

Přečetl a pochopil tuto směrnici
Používá pouze schválené AI nástroje
Neodesílá citlivá data do AI
Ověřuje výstupy AI před použitím
Hlásí incidenty okamžitě

Vedoucí pracovníci

Zajistí proškolení týmu
Monitorují dodržování směrnice
Schvalují použití nových AI nástrojů
Řeší incidenty ve svém týmu

IT / Security

Spravují seznam schválených nástrojů
Provádějí bezpečnostní review
Vyšetřují incidenty
Aktualizují technická opatření

Sankce za porušení

Závažnost	Příklad	Možný následek
Nízká	První neúmyslné porušení	Upozornění, doškolení
Střední	Opakované porušení, nedbalost	Písemná výtka
Vysoká	Úmyslné porušení, únik dat	Výpověď, náhrada škody
Kritická	Úmyslné poškození, krádež dat	Okamžité ukončení, trestní oznámení

Časté otázky (FAQ)

Mohu použít ChatGPT pro práci?

ANO, pokud:

Neposíláte osobní údaje
Neposíláte důvěrné firemní informace
Ověřujete výstupy

Co když jsem omylem odeslal citlivá data?

Okamžitě hlaste na [SECURITY-EMAIL]. Nepanikařte - rychlé nahlášení minimalizuje škody. Nebudete potrestáni za čestné přiznání chyby.

Mohu použít AI pro práci s klientskými daty?

NE přímo. Můžete:

Anonymizovat data před odesláním
Ptát se obecně (“jak řešit situaci, kdy klient…”)
Používat schválené nástroje s DPA (po konzultaci s DPO)

Musím říkat, že jsem použil AI?

ANO v těchto případech:

Interně: U důležitých dokumentů a rozhodnutí
Externě: Dle pokynů marketingu/legal

Co když potřebuji AI nástroj, který není na seznamu?

Kontaktujte CTO s žádostí. Uveďte:

Jaký nástroj
K čemu ho potřebujete
Jaká data budete zpracovávat

Specifická rizika generativní AI (GAI)

Generativní AI nástroje (ChatGPT, Claude, Gemini, DALL-E, Midjourney) přinášejí specifická rizika, která musíte znát:

6 kritických GAI rizik

Riziko	Popis	Co dělat
🎭 Halucinace	AI si vymýšlí fakta, která neexistují	VŽDY ověřovat výstupy z primárních zdrojů
🎯 Bias (předsudky)	AI může diskriminovat dle pohlaví, věku, etnicity	NIKDY nepoužívat pro rozhodování o lidech bez human oversight
🔓 Únik dat	Vše odeslané do AI může být uloženo/uniklé	NIKDY neposílat citlivá data
📋 Copyright/IP	AI může reprodukovat chráněný obsah	Upravovat AI výstupy, nepublikovat jako 100% vlastní dílo
📰 Dezinformace	AI umožňuje tvorbu deepfakes a fake news	ZAKÁZÁNO vytvářet, POVINNÉ označovat AI obsah
🔒 Bezpečnost	Prompt injection, zneužití pro kyberútoky	Neexekutovat AI výstupy automaticky, validovat vstupy

Co je halucinace AI?

AI může generovat věrohodně vypadající, ale nepravdivé informace:

Vymyšlené citace a zdroje
Neexistující zákony a paragrafy
Falešná fakta prezentovaná sebejistě
Chybné technické informace

PRAVIDLO: Nikdy nespoléhejte na AI jako jediný zdroj informací. Vždy ověřujte z primárních zdrojů.

Co je bias v AI?

AI se učí z historických dat, která mohou obsahovat předsudky:

Stereotypy (CEO = muž, zdravotní sestra = žena)
Horší výkon pro některé jazyky nebo demografické skupiny
Diskriminační doporučení

PRAVIDLO: Nikdy nepoužívejte AI pro rozhodování o lidech (nábor, hodnocení, úvěry) bez lidské kontroly.

Copyright a duševní vlastnictví

Situace	Riziko	Doporučení
AI generuje text	Může být podobný existujícímu dílu	Upravit, přidat vlastní hodnotu
AI generuje kód	Může obsahovat open-source snippety	Kontrolovat licence
AI generuje obrázky	Může připomínat díla umělců	Konzultovat Legal před komerčním použitím
Publikování AI výstupů	Nejasná autorská práva	Uvést, že bylo použito AI

Označování AI-generovaného obsahu

Dle EU AI Act (Art. 50) je povinné označovat:

Chatboty interagující s lidmi
Syntetický obsah (deepfakes, AI-generované obrázky/videa)
AI-generovaný text určený k publikaci

Příklady označení:

“Tento obsah byl vytvořen s pomocí AI”
“AI-generated content”
“[Vygenerováno s pomocí Claude]“

Regulatorní kontext

Tato směrnice vychází z:

Regulace	Relevance
GDPR (EU 2016/679)	Ochrana osobních údajů
AI Act (EU 2024/1689)	Regulace AI systémů
NIS2	Kybernetická bezpečnost
Zákoník práce	Povinnosti zaměstnanců

Kontakty

Role	Kontakt	Kdy kontaktovat
DPO (Data Protection Officer)	[EMAIL]	Otázky k osobním údajům
CISO (Security)	[EMAIL]	Bezpečnostní incidenty
CTO	[EMAIL]	Nové AI nástroje
HR	[EMAIL]	Školení, obecné dotazy

Potvrzení

Podpisem/elektronickým souhlasem potvrzuji, že:

Jsem si přečetl/a tuto směrnici
Rozumím pravidlům pro používání AI
Budu směrnici dodržovat
Vím, jak hlásit incidenty

Jméno: ____________________ Datum: ____________________ Podpis: ____________________

Historie verzí

Verze	Datum	Autor	Změny
1.0	[DATUM]	[AUTOR]	Počáteční verze

Příští revize: [DATUM + 6 měsíců]

Máte otázky? Kontaktujte [HR-EMAIL] nebo navštivte [INTRANET-LINK]