Používáte ChatGPT v práci? AI Act říká toto

ChatGPT v práci: Pohodlí, produktivita a nová éra regulace

Generativní modely jako ChatGPT se staly neoddělitelnou součástí moderního pracovního prostředí. Od psaní e-mailů, přes brainstorming, až po komplexní analýzy dat – zaměstnanci napříč obory objevují jejich potenciál zvyšovat produktivitu a zefektivňovat každodenní úkoly. Tato revoluce však nepřichází bez výzev, zejména v kontextu nadcházejícího Nařízení EU o umělé inteligenci, známého jako AI Act (Nařízení EU 2024/1689).

Mnoho firem a jejich zaměstnanců si dosud neuvědomuje, že s volným používáním těchto nástrojů v práci přichází i řada nových povinností. AI Act, který vstoupí v platnost v plném rozsahu postupně od roku 2025, zavádí komplexní rámec pro regulaci umělé inteligence, který se dotkne nejen vývojářů, ale i společností, které systémy AI používají. Pro firmy je klíčové pochopit, jaké dopady má tento akt na jejich interní procesy a jaké kroky musí podniknout, aby zajistily soulad s novou legislativou. Ignorování těchto pravidel může vést k vážným následkům, včetně vysokých pokut.

Cílem tohoto článku je provést vás světem AI Actu optikou používání ChatGPT v práci. Vysvětlíme si, kdo nese odpovědnost, jaké konkrétní povinnosti pro firmy vyplývají a proč je nezbytné začít jednat již nyní. Připravte se na novou realitu, kde inovace musí jít ruku v ruce s odpovědností a regulací.

AI Act a ChatGPT: Kdo je kdo v novém regulačním rámci?

Pro pochopení dopadů AI Actu je nezbytné rozlišit role, které v něm hrají různé subjekty. ChatGPT, stejně jako další pokročilé jazykové modely (např. od Google, Meta), spadá pod kategorii „modelů umělé inteligence pro obecné účely“ (General Purpose AI Models, GPAI). Poskytovatel těchto modelů, v případě ChatGPT společnost OpenAI, má specifické povinnosti, které jsou definovány především v Článku 50 a následujících, týkajících se transparentnosti, správy rizik a informačních povinností.

Mnohem důležitější pro vás jako firmu je role „provozovatele“ (deployer) AI systému. AI Act definuje provozovatele jako fyzickou nebo právnickou osobu, veřejný orgán, agenturu nebo jiný subjekt, který používá AI systém pod svou autoritou. Ať už ChatGPT používají vaši zaměstnanci jednotlivě nebo je nástroj integrován do firemních procesů, vaše společnost se stává provozovatelem. To znamená, že i když nejste tvůrcem ChatGPT, nesete značnou část odpovědnosti za jeho bezpečné a etické používání v rámci vaší organizace.

Důležité je také rozlišovat, zda je AI systém považován za „vysoce rizikový“ (high-risk). Většina běžných použití ChatGPT, jako je generování textů pro marketing nebo interní komunikaci, pravděpodobně nespadá do kategorie vysoce rizikových systémů, které jsou explicitně vyjmenovány v příloze III AI Actu (např. AI v kritické infrastruktuře, vzdělávání, zaměstnávání či vymáhání práva). Nicméně, i pro systémy, které nejsou vysoce rizikové, AI Act stanovuje určité povinnosti, zejména v oblasti transparentnosti a informování uživatelů. Pro více detailů o kategoriích rizikovosti doporučujeme náš článek: /ai-act/rizikove-kategorie.

Povinnosti firmy jako provozovatele AI systému: Co musíte zajistit?

I když ChatGPT ve většině kontextů nebude považován za vysoce rizikový AI systém, AI Act ukládá provozovatelům řadu povinností, které je nutné brát vážně. Tyto povinnosti jsou obecně popsány v Článcích 16, 17 a 18 a týkají se především transparentnosti, lidského dohledu a monitorování. Vaše firma musí zajistit, že zaměstnanci používající ChatGPT jsou informováni o tom, že interagují s AI systémem, a že rozumí jeho omezením a potenciálním rizikům.

Jednou z klíčových oblastí je transparentnost výstupů. Pokud AI generuje obsah, který je následně použit například ve veřejné komunikaci, musí být zřejmé, že se jedná o obsah generovaný umělou inteligencí. To se týká i deepfakes nebo syntetických zvuků či videí. Provozovatelé musí také zajistit lidský dohled nad používáním AI, což znamená, že by měl existovat proces, který zajistí, že AI není používána autonomně bez jakékoliv kontroly a ověření lidmi.

Další povinností je monitorování používání AI systémů. To zahrnuje sledování, jak zaměstnanci ChatGPT používají, jaká data do něj vkládají a jaké výsledky generují. Důraz je kladen na prevenci rizika diskriminace, porušení soukromí nebo šíření dezinformací. Provozovatelé by měli být schopni prokázat, že přijali adekvátní opatření k minimalizaci těchto rizik. Pokud firma nedodrží povinnosti stanovené AI Actem, hrozí jí nemalé pokuty, které mohou dosáhnout až desítek milionů eur, jak detailně popisujeme na /ai-act/pokuty.

Datová bezpečnost a ochrana soukromí: GDPR a AI Act ruku v ruce

Používání ChatGPT v práci nevyhnutelně vyvolává otázky týkající se datové bezpečnosti a ochrany osobních údajů. Zde se AI Act úzce prolíná s Nařízením GDPR (Nařízení EU 2016/679). Zaměstnanci často vkládají do chatbota citlivé firemní informace, obchodní tajemství, nebo dokonce osobní údaje klientů či dalších zaměstnanců. Bez adekvátních kontrol a interních politik se tato data mohou stát součástí trénovacích dat OpenAI, nebo být vystavena neautorizovanému přístupu.

Provozovatel má povinnost zajistit, aby zpracování osobních údajů prostřednictvím AI systémů bylo v souladu s GDPR. To znamená minimalizaci dat, pseudonymizaci nebo anonymizaci tam, kde je to možné, a zajištění, že jsou zpracovávána pouze data nezbytná pro daný účel. Je klíčové edukovat zaměstnance o tom, jaká data NIKDY nesmí do ChatGPT vkládat, a zvážit použití firemních verzí AI nástrojů s pokročilými funkcemi ochrany dat (např. ChatGPT Enterprise), které nabízejí vyšší záruky soukromí a nezpracovávají firemní data pro trénování modelů.

AI Act navíc posiluje transparentnost v oblasti datové správy a vyžaduje, aby provozovatelé měli přehled o tom, jaká data jsou AI systémy zpracovávána. To zahrnuje i auditní stopy a záznamy o používání. Kombinace požadavků GDPR a AI Actu vytváří komplexní, ale nezbytný rámec pro ochranu dat v éře umělé inteligence. Firmy by měly provést důkladnou analýzu rizik spojených s daty a implementovat robustní bezpečnostní opatření.

Interní firemní politika: Váš klíč k souladu a bezpečí

Vzhledem k výše uvedeným povinnostem je vytvoření a implementace robustní interní firemní politiky pro používání AI nástrojů, jako je ChatGPT, naprosto nezbytná. Tato politika by měla být jasná, srozumitelná a závazná pro všechny zaměstnance. Měla by definovat povolené a zakázané způsoby používání, typy dat, která mohou být do AI vkládána, a procesy pro kontrolu a ověřování výstupů.

Součástí politiky by mělo být školení zaměstnanců. Měli by být vzděláváni nejen o tom, CO mohou a nemohou dělat, ale také PROČ. Vysvětlení rizik spojených s datovou bezpečností, duševním vlastnictvím a potenciálními předsudky (bias) v AI výstupech je klíčové pro zodpovědné používání. Firmy by měly zvážit i technická opatření, jako je blokování přístupu k nepovoleným AI nástrojům nebo integrace schválených nástrojů s firemními bezpečnostními systémy.

Efektivní firemní politika by měla také zahrnovat mechanismy pro monitorování a vynucování dodržování pravidel. Pravidelné revize politiky a školení jsou nezbytné, protože se technologie AI neustále vyvíjí a s ní i související rizika a regulace. Tvorba takové politiky by neměla být vnímána jako byrokratická zátěž, ale jako strategická investice do bezpečnosti, reputace a souladu s legislativou, která ochrání vaši firmu před budoucími problémy.

Co dělat hned teď? Připravte se na novou éru AI

AI Act je tady a jeho dopady na používání nástrojů jako ChatGPT ve firmách jsou nevyhnutelné. Nečekejte na to, až regulace plně vstoupí v platnost a začnou se vymáhat pokuty. Začněte s přípravou hned teď. Provedení auditu stávajícího používání AI nástrojů ve vaší firmě, identifikace rizik a zavedení odpovídajících interních politik jsou klíčové první kroky.

Vzdělávejte své zaměstnance o rizicích a správných postupech. Zvažte investice do firemních verzí AI nástrojů, které nabízejí vyšší úroveň zabezpečení a soukromí. A hlavně, buďte proaktivní v pochopení a implementaci požadavků AI Actu. Tato legislativa má za cíl chránit nejen spotřebitele, ale i samotné firmy před neuváženým používáním AI.

Chcete mít jistotu, že vaše webové stránky a online služby jsou v souladu s AI Actem a dalšími regulacemi? Používáte na svém webu AI nástroje nebo sbíráte data, aniž byste si byli jisti jejich souladem? Nechte si provést komplexní analýzu. Náš AIshield sken vám pomůže odhalit slabá místa a navrhnout konkrétní kroky k zajištění souladu. Navštivte aishield.cz/scan a udělejte první krok k bezpečné a compliant budoucnosti vaší firmy.

Související články

• Více o kategoriích rizikovosti AI systémů
• Zjistěte, jaké pokuty hrozí za nedodržení AI Actu