← Newsletter
Biz & Tech #2

Copilot na papíře, ChatGPT v praxi

Management nasadil Copilot, zaškrtl checkbox a lidi jedou GPT a Claude na osobních účtech. A nikdo to neřeší.

Nebudeme psát o tom, jak Shadow AI zakázat. Budeme psát o tom, proč k tomu dochází a co to reálně znamená pro vaše data, vaši odpovědnost a váš byznys.

Věci jako:

  • proč ani správně nastavená politika nefunguje, pokud firemní nástroj nedělá, co lidi potřebují
  • kde přesně data tečou a kdo za to odpovídá
  • jak se na to přijde, a proč vždy pozdě
  • co platí od roku 2025 z pohledu AI Actu a kyberzákona
  • co s tím udělat bez zákazu a bez reorganizace

Shadow AI se neřeší, dokud se něco nestane. Bezpečnostní incident, únik dat, nebo externista, který se přijde podívat na procesy a ukáže, kam data tekla.

Jeden člověk pracuje ve firmě, kde management nařídil Copilot a nastavil bezpečnost, politiku i compliance. Lidi tam jedou GPT, Claude a další mimo firemní stack a nikdo se neptá ani nekontroluje.

Tohle není výjimka. Přes 80 % zaměstnanců používá AI nástroje mimo schválený stack (UpGuard, 2025), 57 % z nich to před zaměstnavatelem aktivně skrývá (KPMG, průzkum 48 000 lidí ve 47 zemích) a každá pátá firma podle IBM zažila bezpečnostní incident přímo způsobený Shadow AI.

Samsung to ilustruje dobře. Inženýři vložili do ChatGPT zdrojové kódy interních čipů, pak záznamy z porady, pak testovací sekvence třikrát za dvacet dní, než to někdo zachytil. Data, která se dostanou do veřejného modelu, tam zůstávají.

Jednoduchý test toho, co váš tým reálně používá

Položte svému týmu jednu otázku:

Jaké AI nástroje osobně používáš při práci, včetně těch, o kterých firma neví?

Jedno volné pole, žádné checkboxy, žádné nabídnuté možnosti třeba přes Google Forms, za deset minut. Pokud odpovědi jsou jen firemní schválené nástroje, zkontrolujte to, protože pravděpodobně to tak jednoduché nebude.

Co se typicky ukáže

Firmy mají většinou tři skupiny zaměstnanců naráz:

  • Ti, kteří jedou schválený nástroj, protože jim stačí nebo protože se bojí.
  • Ti, kteří jedou vlastní, protože schválený nestačí nebo protože nikdo neřekl ne.
  • Ti, kteří jedou obojí – schválený do reportů, vlastní do práce.

Většina firem si myslí, že má skupinu jedna, ale ve skutečnosti má mix všech tří a neví v jakém poměru.

Co s tím bez compliance projektu a bez nových nástrojů

Problém není, že lidi používají AI. Problém je, že nikdo neví, jaká data do toho tečou.

Začněte mapou použití. Projděte s týmem pět nejčastějších úkonů, kde AI používají: e-maily, shrnutí dokumentů, analýzy, psaní kódu, reporty  a u každého si odpovězte, co konkrétně do toho vkládají.

Pak aplikujte čtyři kategorie dat:

  • Veřejná data (web, tiskové zprávy, veřejné dokumenty) – libovolný nástroj.
  • Interní data bez identifikace (anonymní reporty, interní procesy) – jen IT-schválené nástroje.
  • Zákaznická a osobní data (smlouvy, kontakty, transakce) – jen nástroje s podepsanou DPA.
  • Zdrojový kód, M&A, obchodní tajemství – žádný cloud AI bez výslovného souhlasu právního oddělení.

Jedna tabulka v Notionu nebo na Confluence a každý ví, co smí a co ne. A až se příště někdo zeptá, jestli může tohle vložit do ChatGPT, odpověď existuje.

Od února 2025 platí požadavky AI Actu na AI gramotnost a kyberzákon nově dopadá na přibližně 6 000 českých firem, takže tato mapa není jen provozní nástroj – při auditu nebo incidentu je rozdíl mezi „nevěděli jsme“ a „měli jsme rámec“ zásadní.

Pohled za byznys – Jakub Štengl

Když přicházíme k firmě jako externisté, audit ukáže věci, které interní tým nevidí nebo nechce vidět, a Shadow AI je jedna z nich. Lidi sdílejí interní know-how, obchodní data a zákaznické informace ne proto, že chtějí uškodit, ale protože AI jim usnadňuje práci a nikdo jim jasně neřekl, kde je hranice.

Dopad je konkrétní: sdílíte duševní vlastnictví, které jste budovali roky, a zákaznická data, za která právně odpovídáte. Na papíře přitom máte compliance v pořádku, protože Copilot je nainstalovaný.

Pohled za technologie – Jakub Inger

Většina firem řeší Shadow AI politikou. Napíšou směrnici, proškolí lidi, odškrtnou. Problém je, že lidi nepoužívají ChatGPT proto, že nevědí o Copilotu, ale proto, že je rychlejší, pamatuje si kontext z minulého chatu a neptá se, do jakého tenantu zrovna patří soubor. Dokud má veřejný nástroj lepší UX než ten schválený, žádné školení to neotočí. Skutečná otázka není jak zastavit Shadow AI, ale proč je náš schválený nástroj horší a co s tím uděláme.

Na závěr

Shadow AI není bezpečnostní problém, který se vyřeší směrnicí, a firmy, které nastaví jasný rámec bez zákazu a bez reorganizace, jsou před těmi, které čekají na incident. Ne o moc, ale dost.

Sdílet článek
Sdílet na LinkedIn
Biz & Tech · 2026