Jak řešit Shadow AI v praxi?

Podle našich zkušeností lze doporučit tento základní postup, samozřejmě přizpůsobený okolnostem a podmínkám každé jednotlivé organizace:

Zmapovat alespoň ta nejzávažnější rizika, která organizaci v souvislosti se Shadow AI hrozí. Některá rizika budou v zásadě stejná ve všech organizacích (např. únik know-how či obchodního tajemství), jiná se budou lišit podle toho, ve kterém sektoru organizace působí či jaká zvláštní právní úprava na ni dopadá (zdravotnictví, finanční sektor, marketing, školství atd.). Důležité je rizika popsat konkrétně, ve vztahu ke klíčovým činnostem (procesům), které jsou nezbytné k zajišťování jejich činností (veřejnoprávních či ryze soukromých) a k citlivým informacím, které organizace pro zajištění těchto procesů zpracovává. 

Na úrovni vedení je třeba rozhodnout, jaký přístup a konkrétní kroky vůči využití AI, resp. ShadowAI, organizace zaujme a jak bude reagovat na identifikovaná rizika. Rozhodnutí by mělo vycházet z celkového přístupu organizace k využití AI, tzn. z rozhodnutí, zda AI bude či nebude využívána, v jakých procesech, za jakých podmínek atd. Tato strategie nemusí mít podobu (dlouhého) dokumentu, postačí definování základních pravidel a principů, které budou následně komunikovány do organizace a kterými se budou další zaměstnanci při rozhodování o využívání AI řídit. 

Pokud organizace nepůjde cestou absolutního (a v praxi takřka vždy neúčinného) zákazu využití umělé inteligence, je nutným krokem nastavit také alespoň základní pravidla pro využití AI pro plnění pracovních úkolů. Doporučujeme definovat, a zaměstnancům jasně sdělit, za jakých podmínek mohou AI nástroje využívat, jak postupovat, pokud pro svoji práci chtějí AI vyzkoušet, jaká data mohou do AI nástrojů vkládat a jaká ne atd. Při nastavování základní “AI governance” je efektivní rozšířit ty procesy, které již v organizaci jsou, aby zahrnovaly i využití AI nástrojů, spíše než vytvářet zcela nové. Platí to například pro výběr externích dodavatelů a softwarových nástrojů (procurement), způsob klasifikace a ochrany informací, možnosti a pravidla pro využití mobilních telefonů či prostředků výpočetní techniky. Tato pravidla je rovněž vhodné alespoň v základní rovině shrnout v interním předpisu zaměstnavatele, se kterým budou zaměstnanci standardním způsobem seznámeni. 

V případě, kdy organizace chce AI aktivně (a kontrolovaně) využívat, je vhodné najít konkrétní příklady (use-cases) interních procesů a postupů, ve kterých je zapojení AI vhodné a efektivní. Typicky manuální administrativní procesy, repetitivní práce, práce s dokumentací, datová analýza, vývoj či testování kódu atd. V návaznosti na to by měla organizace vyzkoušet kontrolované využití AI a v praxi si ověřit, že nastavené procesy a pravidla jsou dostatečné, např. schvalování a kontrola externího dodavatele, klasifikace dat, dokumentace nebo kontrola výstupů AI. Před zahájením využívání AI na podporu vybraných procesů je rovněž vhodné stanovit objektivní metriky, které organizaci pomohou vyhodnotit, zda jí AI přináší skutečné výhody (např. úspory, vyšší efektivitu, menší chybovost).

Pokud má organizace podezření, že zaměstnanci využívají neschválené AI nástroje, měla by se snažit rizika spojená se Shadow AI zmírnit, zejména těmito opatřeními: 

1. Informovat zaměstnance o tom, jaké AI nástroje jsou schválené a jak s nimi lze pracovat, a také o tom,  že využití neschválených nástrojů je porušením interních předpisů. Ideálně včetně vysvětlení, odůvodnění, proč je využití neschválených AI nástrojů problematické a jaké důsledky to může pro organizaci i pro zaměstnance samotné mít. 
2. V případě vyššího rizika spojeného se Shadow AI (riziko úniku citlivějších dat, zásadnějšího zásahu do práv dotčených osob atd.) využít technické nástroje pro zmapování využití AI na koncových zařízeních zaměstnanců. Pokud se podezření potvrdí, nasadit technická opatření na zamezení využití neschválených nástrojů na pracovních zařízeních.  
3. Přizpůsobit pravidla pro využití koncových zařízení zaměstnanců (počítače, mobilní telefony atd.), aby bylo neschválené využití AI znemožněno či výrazně ztíženo. 
4. Motivovat zaměstnance k tomu, aby možné příklady a postupy vhodné pro využití AI navrhli oficiálně, standardními kanály. Pokud bude daný případ z pohledu organizace vyhodnocen jako efektivní, pak postupovat podle definovaných pravidel - vybrat vhodný a bezpečný nástroj (resp. bezpečnější licenci či verzi nástroje, obvykle tzv. enterprise licence), zajistit otestování AI a měření její efektivity a daný use-case začlenit do AI rámce organizace. 

Školení zaměstnanců o využívání AI

Zaměstnavatel je podle čl. 4 AI Actu povinen přijmout opatření, aby v co největší možné míře zajistil dostatečnou úroveň gramotnosti v oblasti AI u svých zaměstnanců i dalších osob, které jeho jménem s AI nástroji pracují. Přihlédnout by měl k jejich technickým znalostem, zkušenostem, vzdělání a odborné přípravě, resp. prostředí, v němž mají být systémy AI používány.[1]

Prakticky to tedy znamená, že by zaměstnavatel měl zaměstnance pravidelně školit o možnostech, pravidlech i limitech pro využití Ai pro plnění pracovních úkolů.

Co by mělo být obsahem školení? Zaměstnanci by například měli:

• mít dostatečné povědomí o fungování a rizicích AI systémů,
• být schopni činit informovaná rozhodnutí při jejich používání,
• rozumět technickým aspektům, včetně interpretace výstupů AI,
• znát pravidla pro nakládání s osobními údaji, obchodním tajemstvím a dalšími důvěrnými informacemi při používání AI nástrojů,
• vědět, že výstupy AI je třeba přiměřeně ověřovat a že odpovědnost za finální rozhodnutí zpravidla nenese AI, ale člověk,
• rozlišovat mezi schválenými a neschválenými AI nástroji a mezi povolenými a zakázanými use-cases.

Obsah školení by proto měl zahrnovat nejen technické aspekty používání AI systémů, ale také bezpečnostní rizika, způsoby jejich předcházení a praktické ukázky jejich správného používání.

Zaměstnavatelé by měli o provedených školeních vést dokumentaci. Její součástí by měly být nejen informace o obsahu školení, ale také o účasti jednotlivých zaměstnanců, potvrzené podpisem nebo jiným vhodným technickým způsobem, který prokazuje absolvování školení, a dále výsledky případného testování získaných znalostí.

Požadavky AI Actu ohledně gramotnosti platí již od 2. února 2025. Někteří zaměstnavatelé si svůj úkol už splnili, jiní se k tomu teprve chystají. Vzhledem k tomu, jak rychle se AI vyvíjí, nicméně doporučujeme školení pravidelně aktualizovat a opakovat, podobně jako tomu bývá např. u školení zaměřených na BOZP.

Školení (např. formou e-learningu) doporučujeme ponechat zaměstnancům přístupné. Pravidla je vhodná pravidelně opakovat, a to různými kanály. Nemusíte přitom zůstávat jen u školení. Zaměstnancům můžete nabídnout např. praktické workshopy či metodiky a manuály podle rolí.

Interní pravidla pro využití AI zaměstnanci

Zaměstnavatel, který umožní zaměstnancům používat nástroje AI, by měl vypracovat vnitřní směrnici, která např.:

• identifikuje schválené nástroje umělé inteligence a účel jejího použití,
• nastaví pravidla pro schválení nového nástroje, včetně vyhodnocení jeho rizik a nastavení bezpečnostních opatření,
• definuje zásady a podmínky používání AI na pracovišti,
• určí, jaké typy dat je zakázáno do AI nástrojů zadávat,
• stanoví odpovědnost zaměstnanců za správnost výstupu, 
• určí mechanismus kontroly dodržování pravidel a postupy pro řešení bezpečnostních incidentů,
• stanoví mechanismy pro aktualizaci vnitřního předpisu v reakci na rychlý technologický vývoj a změny v legislativě. 

Školení zaměstnanců a přijetí vnitřní směrnice by zaměstnavatel neměl brát jen jako nutné zlo. Jejich největším přínosem je totiž to, že zaměstnanci budou vědět, jaká jsou rizika spojená s umělou inteligencí a jak ji mají či nemají při práci používat. Tím se významně snižuje riziko úniku citlivých dat, obchodního tajemství či porušování autorských práv.

Správně strukturované a nastavené školení může mít také přímý vliv na růst produktivity zaměstnanců. Zaměstnanci, kteří absolvují více než 80 hodin školení AI ročně uvádí, že dokážou ušetřit až 14 hodin práce týdně.[2]

Pokud zaměstnanec pravidla dle vnitřního předpisu poruší, resp. bude-li postupovat v rozporu s tím, na co byl proškolen, bude to porušením povinnosti vyplývající z právních předpisů vztahujících se k zaměstnancem vykonávané práci. V tomto ohledu může následovat vytýkací dopis, výpověď nebo i okamžité zrušení pracovního poměru, a to podle intenzity porušení pravidel. Zaměstnavatel má navíc v případě, že zaměstnance s těmito pravidly prokazatelně seznámil, mnohem vyšší šanci domoci se případné náhrady škody, kterou zaměstnanec způsobí.

Kontrola využívání AI ze strany zaměstnanců

Zaměstnavatel by měl ve vlastním zájmu kontrolovat, jestli zaměstnanci využívají AI nástroje podle stanovených pravidel, a pokud tomu tak není, přistoupit k odpovídajícím opatřením.

Možnost monitoringu aktivit zaměstnance však není bezbřehá a má svá pravidla vyplývající zejména z pracovněprávních předpisů a pravidel pro ochranu soukromí a ochranu osobních údajů zaměstnanců. 

Podrobnosti rozebereme v poslední části našeho třídílného seriálu.

---

Nařízení Evropského parlamentu a Rady (EU) 2024/1689 ze dne 13. června 2024, kterým se stanoví harmonizovaná pravidla pro umělou inteligenci a mění nařízení (ES) č. 300/2008, (EU) č. 167/2013, (EU) č. 168/2013, (EU) 2018/858, (EU) 2018/1139 a (EU) 2019/2144 a směrnice 2014/90/EU, (EU) 2016/797 a (EU) 2020/1828 (akt o umělé inteligenci);[1]

https://www.ey.com/cs_cz/insights/consulting/ktere-faktory-akceleruji-adopci-ai-v-organizaci [2]