AI Acceptable Use Policy — Lite

Vyplňte údaje firmy, vytiskněte nebo uložte jako PDF. Vše běží v prohlížeči.
Žádná data neopouští váš prohlížeč. Žádný server, žádné cookies.
Údaje se nahrazují v reálném čase v dokumentu níže. Nic se nikam neodesílá.
AI Acceptable Use Policy — Lite
Vzorová směrnice pro používání AI ve firmě
[NÁZEV FIRMY]  |  Verze: 1.0  |  Účinnost od: [DATUM]  |  Schválil: [CEO/JEDNATEL]
Toto je zjednodušená verze. Pokrývá 5 klíčových oblastí, které by měla mít každá firma používající AI. Plná verze s detailní klasifikací dat, eskalační maticí, incident management plánem a šablonami pro školení je součástí L1 — Align Toolkit. V případě zájmu mě kontaktujte na urbanek.jaroslav@technomaton.com.

Proč potřebujete AUP

Umělá inteligence pomáhá pracovat rychleji. Zároveň přináší rizika — od úniku dat po právní problémy. AI Acceptable Use Policy stanovuje pravidla, aby vaši lidé mohli AI používat bezpečně a v souladu s právem.

Bez AUP riskujete:

  • Únik citlivých dat přes neautorizované AI nástroje (Shadow AI)
  • Pokuty za porušení GDPR (až 20 mil. EUR / 4 % obratu)
  • Porušení povinností z EU AI Act (platí od února 2025)
  • Ztrátu důvěry klientů a partnerů

1. Inventář AI systémů

Cíl: Vědět, jaké AI nástroje firma reálně používá.

Většina firem zjistí, že zaměstnanci používají 3–5× více AI nástrojů, než vedení tuší. Říká se tomu Shadow AI — nástroje, o kterých vedení neví. EU AI Act vyžaduje přehled o všech nasazených AI systémech.

Co udělat

  • Zmapovat všechny AI nástroje používané ve firmě (schválené i neschválené)
  • Určit, kdo je nasadil a kdo je zodpovědný
  • Zjistit, kam tečou data z každého nástroje
  • Rozlišit firemní licence vs. osobní účty zaměstnanců

Šablona inventáře

Nástroj Kdo používá Účel Data Licence Schváleno?
ChatGPT Marketing, 5 lidí Texty, brainstorming Obecná Osobní free Ne
GitHub Copilot Dev tým, 3 lidi Kód Zdrojový kód Firemní Ano (CTO)

2. Klasifikace podle rizika

Cíl: Rozlišit, které AI systémy vyžadují jakou úroveň dohledu.

Chatbot na webu ≠ AI model rozhodující o úvěrech. EU AI Act rozlišuje čtyři úrovně rizika:

Úroveň Příklady Povinnosti
Zakázané Social scoring, manipulativní AI Zakázáno od 2. 2. 2025
Vysoké riziko AI v HR (nábor), úvěrové hodnocení, zdravotnictví Plná sada povinností od 2. 8. 2026
Omezené riziko Chatboty, generátory obsahu Transparentnost (označení AI)
Minimální riziko Spam filtry, doporučovací systémy Bez specifických povinností

Co udělat

  • Ke každému nástroji z inventáře přiřadit rizikovou kategorii
  • Pro high-risk systémy naplánovat compliance kroky
  • Ověřit, že firma nepoužívá zakázané praktiky (čl. 5 AI Act)

3. Pravidla pro data a soukromí

Cíl: Jasně říct, jaká data smí a nesmí vstupovat do AI systémů.

Zakázáno odesílat do AI

  • Osobní údaje (jména, emaily, rodná čísla, zdravotní data)
  • Finanční údaje klientů
  • Hesla, API klíče, přístupové tokeny
  • Interní strategické dokumenty a smlouvy
  • Zdrojový kód s business logikou

Povoleno

  • Obecné dotazy bez identifikačních údajů
  • Veřejně dostupné informace
  • Anonymizovaná data (po odstranění všech identifikátorů)

Rychlý test před použitím AI

Před odesláním dat do AI nástroje se zeptejte:

  1. Obsahují data osobní údaje? → Neodesílat (nebo anonymizovat)
  2. Jsou data důvěrná? → Konzultovat s nadřízeným
  3. Jsou data veřejná? → Můžete použít

4. Lidský dohled a eskalace

Cíl: Jasně definovat, kdo rozhoduje, když AI doporučí něco sporného.

AI Act vyžaduje lidský dohled nad high-risk systémy. Ale i u běžných AI nástrojů se vyplatí mít jasné eskalační cesty.

Eskalační pravidla

Situace Kdo rozhoduje Akce
AI doporučí něco, čemu nerozumím Nadřízený Nepoužívat výstup bez ověření
AI výstup se týká klientů nebo právních témat Legal / DPO Konzultace před použitím
Podezření na únik dat přes AI Security tým Okamžité hlášení na [SECURITY-EMAIL]
AI generuje potenciálně diskriminační výstup HR + Legal Nepoužívat, nahlásit
Nikdy nepoužívejte AI výstup pro důležité rozhodnutí bez lidské kontroly. AI je nástroj, ne rozhodovatel.

5. Exit strategie a vendor management

Cíl: Nepřipoutat se k jednomu dodavateli bez plánu B.

Pentagon měl čtyři AI dodavatele — a stejně potřeboval šest měsíců na přechod z jednoho z nich. Vaše firma by měla vědět:

Otázky pro každého AI vendora

  • Co se stane s našimi daty, když smlouvu ukončíme?
  • Jak dlouho trvá migrace na alternativu?
  • Máme exportovatelná data ve standardním formátu?
  • Existuje alternativní dodavatel, na kterého můžeme přejít?
  • Jaké jsou náklady na přechod?

Data Act (od 12. 9. 2025)

EU Data Act dává firmám nová práva:

  • Právo na switching — přechod mezi cloud poskytovateli
  • Zákaz switching fees — od ledna 2027 nesmí poskytovatel účtovat poplatky za přechod
  • Portabilita dat — právo na export dat ve standardním formátu

Další kroky

Tato lite verze pokrývá základ. Pro kompletní AI governance potřebujete:

  • Detailní klasifikaci dat — co je důvěrné, interní, veřejné
  • Incident management plán — co dělat při úniku dat
  • Školení zaměstnanců — praktický workshop, ne jen dokument k podpisu
  • Pravidelnou revizi — minimálně každých 6 měsíců
  • DPIA (Data Protection Impact Assessment) pro high-risk AI systémy

Regulatorní kontext

Regulace Relevance pro AUP
EU AI Act (2024/1689) Povinnosti pro nasazení AI systémů, klasifikace rizik
GDPR (2016/679) Ochrana osobních údajů při zpracování AI
NIS2 Kybernetická bezpečnost, incident reporting
Data Act (2023/2854) Práva k datům, switching, portabilita

Potřebujete plnou verzi nebo pomoc s implementací?

Plná verze AUP obsahuje detailní klasifikaci dat, eskalační matici, incident management plán, šablony pro školení a implementační checklist.

Napište mi — urbanek.jaroslav@technomaton.com