Women in AI · Prague
SK CZ EN
Newsletter
Zpět na blog
AI workflowy v praxi · Červen 2026

Bezpečná AI adopce začíná pořádkem v datech

Proč při zavádění AI nestačí řešit nástroj a prompt. Praktický rámec pro data, přístupová práva, privacy a kontrolu výstupů.

4 min čtení · praktický workflow
Networking po Women in AI Prague meetupu

U AI bezpečnosti se firmy často zaseknou na otázce, jestli mohou používat konkrétní nástroj. Je ChatGPT povolený? Můžeme používat Claude? Máme jít do enterprise licence? Co když uniknou data?

Tyto otázky jsou legitimní. Jenže samy o sobě nestačí. Hlubší problém je přístup k datům. Kdo ve firmě má právo vidět jaké informace? Přenášejí se tato práva i do AI vrstvy? Může si zaměstnanec přes asistenta vyžádat něco, k čemu by se normálně neměl dostat?

Na Women in AI Prague zazněla z publika přesná enterprise otázka: co se stane, když se lidé začnou AI ptát na plat CEO nebo informace o kolezích? To není problém šikovného nebo špatného promptu. To je problém datové architektury, přístupových práv a pravidel.

První bezpečnostní otázka není výběr modelu

Když firma řeší AI, první praktická otázka by měla znít: jaká data bude tento use case potřebovat?

Teprve potom má smysl řešit nástroj. Pokud má AI pomáhat s veřejnými texty, riziko je jiné než u interních HR dokumentů, zákaznických dat, právních podkladů nebo finančních reportů. Pokud má jen číst, je to jiný režim než když má zapisovat, upravovat nebo posílat výstupy dál.

Bez tohoto rozlišení se AI bezpečnost změní v obecný strach. A obecný strach vede buď k plošnému zákazu, nebo k tichému obcházení pravidel.

Ani jedno není dobré řízení rizika.

AI zvětší problém, který už ve firmě existuje

Pokud má firma nepořádek v dokumentech, sdíleních a právech, AI ho pravděpodobně nezakryje. Spíš ho zviditelní a zrychlí.

Před AI se člověk k citlivým informacím možná dostával hůř. Musel vědět, kde hledat. Musel proklikávat složky. Musel chápat názvy dokumentů. AI vrstva může tohle tření odstranit. Stačí otázka položená přirozeným jazykem.

Proto se v enterprise prostředí nedá mluvit jen o tom, jestli je model bezpečný. Je potřeba řešit, co model vidí. A pro koho.

Data classification, role-based access, auditovatelnost, místo zpracování dat a přenos práv z dokumentů do AI vrstvy nejsou nudná compliance témata. U firemní AI jsou to základní podmínky, aby se use cases daly používat bez zbytečného rizika.

Enterprise AI je i o právech a datových vrstvách

V diskusi zazněl i pohled na Google Workspace a enterprise modely. Důležité je vědět, kde se data zpracovávají, kde jsou uložená a jestli se existující přístupová práva promítají do toho, co AI vidí.

To je dobrý rámec pro každou firmu, nejen pro velký korporát. Pokud AI pracuje s dokumenty, musí být jasné, jestli respektuje stejná přístupová práva jako původní systém. Pokud se napojuje přes API, musí být jasné, jestli jen čte, nebo také zapisuje. Pokud generuje doporučení, musí být jasné, kdo je kontroluje před použitím.

Jinak se bezpečnost přesune z architektury do odpovědnosti jednotlivce. A to je slabé místo.

Read-only nestačí vždy, ale často je dobrý začátek

V podkladech k podcast studio dashboardu je například zmíněné read-only napojení na Reservio API. To je dobrá praktická zkratka: pokud workflow nepotřebuje zapisovat, neměl by mít právo zapisovat.

Podobně se u interních dashboardů zmiňují Basic auth, security headers, proměnné přes env a oddělené API routes. Nejsou to velké slogany. Jsou to konkrétní technická rozhodnutí, která snižují riziko.

Bezpečnost u AI často nebude stát na jednom velkém pravidle. Bude stát na množství menších rozhodnutí: číst nebo zapisovat, kdo má přístup, co se loguje, kde jsou data, kdo kontroluje výstup, co se nesmí posílat ven.

Praktický desetiminutový audit use casu

Než tým spustí nový AI workflow, stačí projít pět otázek:

  • Jaká data workflow potřebuje?
  • Jsou tato data citlivá?
  • Kdo k nim má mít přístup?
  • Má AI jen číst, nebo i zapisovat?
  • Kde člověk kontroluje výstup před použitím?

Pokud tým neumí odpovědět, use case ještě není připravený. Ne proto, že by byl špatný. Ale proto, že bezpečnostní rámec ještě není dostatečně jasný.

Nezapomenout na autorská a reputační rizika

V transkriptu zaznělo i upozornění na autorská práva u AI výstupů, hlavně u obrázků a obsahu, který jde ven. To je další vrstva bezpečnosti. Firma neřeší jen únik dat. Řeší i to, co může publikovat, co si může nárokovat a co může poškodit reputaci.

AI use case proto není jen produktivitní experiment. Je to rozhodnutí o datech, právech, důvěře a odpovědnosti.

Pokud firma tuto vrstvu přeskočí, možná spustí nástroj rychleji. Ale později bude opravovat škody v prostoru, kde rychlé opravy často neexistují.

Posílej mi novinky e-mailem