Proč firemní data nepatří do ChatGPT: Rizika veřejných LLM modelů

V dubnu 2026 patří ChatGPT, Claude.ai a Gemini mezi nejpoužívanější nástroje českých kancelářských pracovníků. Účetní do nich vkládá faktury. HR konsultantka tam nahrává životopisy. Manažer kopíruje obchodní strategii s prosbou o feedback. Každý tento moment je potenciální průšvih — pro firmu, pro klienty a často i pro samotného zaměstnance osobně.

Tento článek vysvětluje, proč veřejné LLM nástroje nejsou vhodné pro firemní data, jaká jsou konkrétní rizika podle českého a evropského práva a co dělat místo nich. Bez paranoie, ale s konkrétními paragrafy a precedenty. Cílem není zakazovat AI — cílem je ji používat bezpečně.

1. Rozdíl mezi „ChatGPT“ a „GPT od OpenAI“

Velký zdroj zmatků. Existují tři produkty, které lidé pletou:

1) ChatGPT (chat.openai.com / mobilní app)

Konzumní produkt. Standardně OpenAI používá vaše konverzace pro trénink modelů (lze vypnout, ale často se to zapomíná). GDPR jako zpracovatel — komplikované. Pro firemní data nevhodné.

2) ChatGPT Team / Enterprise

Placený plán s vyšší cenou. OpenAI nepoužívá data pro trénink, má SOC 2 certifikaci, podepíše DPA (Data Processing Agreement). Pro nízkorizikové firemní data použitelné — ale stále servery v USA s důsledky pro citlivá data.

3) Azure OpenAI Service

OpenAI modely hostované na Microsoft Azure. Servery v EU regionech (Frankfurt, Amsterdam), full DPA, žádný trénink na vašich datech. Pro většinu B2B nasazení vhodné z GDPR pohledu.

Když mluvíme o „nepatřících datech do ChatGPT“, mluvíme typicky o variantě 1 — konzumní free/Plus účet, do kterého zaměstnanec kopíruje firemní obsah ze svého soukromého e-mailu. To je 80 % reality.

2. Čeho se reálně bojíme — typologie rizik

Riziko 1: Únik tréninkem

Pokud OpenAI použije vaši konverzaci pro trénink modelu, vaše data se mohou v upravené formě objevit ve výstupech jiných uživatelů. Existuje judikatura — Samsung v dubnu 2023 zaznamenal únik zdrojového kódu přes ChatGPT a oficiálně zakázal jeho použití.

Riziko 2: Data breach na straně providera

OpenAI měl v březnu 2023 incident, při kterém uživatelé viděli názvy konverzací jiných uživatelů. V roce 2024 došlo k dalším únikům přes API klíče. Stejná rizika jsou u Anthropicu a Googlu — žádný cloud provider není 100% bezpečný.

Riziko 3: Subpoena a vládní přístup

Servery v USA znamenají, že americká vláda může na základě US CLOUD Act požadovat data bez vědomí majitele. Pro firmy se zákaznickou bází v EU a citlivými daty (zdravotnictví, advokátní tajemství, finance) potenciálně problém.

Riziko 4: Konkurenční zneužití

Zaměstnanec do ChatGPT vloží obchodní strategii s prosbou o analýzu. Konverzace se uloží. Pokud OpenAI v budoucnu poskytne přístup partnerům, konkurenci nebo akvizirovi, vaše strategie je k dispozici.

Riziko 5: Regulatorní sankce

GDPR pokuty až 4 % ročního obratu. Italský Garante v roce 2023 ChatGPT dočasně zakázal. ÚOOÚ (český Úřad pro ochranu osobních údajů) řeší stížnosti na neoprávněné zpracování — vy jste správce, vy odpovídáte.

3. GDPR pohled: Co je vlastně problém

GDPR má pět principů, které veřejné LLM často porušují:

Princip 1: Zákonnost zpracování

Aby zaměstnanec legálně vložil osobní data do ChatGPT, musíte mít právní titul — typicky souhlas subjektu nebo oprávněný zájem. U osobních dat zákazníků nemáte ani jedno.

Princip 2: Účelové omezení

Data se mohou zpracovávat jen pro účel, ke kterému byla shromážděna. „Analýza zákaznických e-mailů přes ChatGPT“ není účel, který máte v pravidlech zpracování.

Princip 3: Minimalizace dat

Sdílíte jen to nezbytné. Vložení celého e-mailu se jménem, e-mailem, telefonem klienta je excessive.

Princip 4: Bezpečnost

Musíte zajistit „odpovídající úroveň bezpečnosti“. Bez DPA s providerem to je obtížně obhajitelné.

Princip 5: Mezinárodní přenosy

Přenos osobních dat do USA vyžaduje EU-US Data Privacy Framework. Free ChatGPT účet nesplňuje.

4. Konkrétní české kontexty s vyšším rizikem

Datové schránky

Pokud zaměstnanec kopíruje obsah datovky do ChatGPT pro „přepis na srozumitelnou češtinu“, řeší se data, která mají specifický právní režim. Není to nelegální per se, ale je to riskantní u úředních dokumentů.

Zdravotnická data

Pacientské záznamy jsou zvláštní kategorie podle čl. 9 GDPR. Vložení do veřejného LLM je téměř vždy porušení. Kdo provozuje AI v nemocnici, musí mít on-premise nebo private cloud řešení.

Advokátní a daňová kancelář

Profesní tajemství podle zákona č. 85/1996 Sb. (advokátský řád) zakazuje sdílení informací o klientovi. Vložení obsahu spisu do ChatGPT je porušení etického kodexu i zákona.

Finanční sektor

ČNB (Česká národní banka) má specifické požadavky na outsourcing IT služeb — banky a pojišťovny potřebují schválení regulátora pro práci s externími AI službami zpracovávajícími klientská data.

Veřejná správa

Zákon č. 365/2000 Sb. o informačních systémech veřejné správy + nový Zákon o kybernetické bezpečnosti (transpozice NIS2) zakazují použití cloud služeb mimo EU pro určité kategorie dat.

5. Reálné případy: Co se už stalo českým firmám

Nemůžeme jmenovat klienty, ale typické scénáře z naší praxe (rok 2024–2025):

• Středně velká strojírenská firma: Konstruktér nahrál technické výkresy nového produktu do ChatGPT pro „optimalizaci materiálů“. Manažer zjistil, že firma před ním podala patentovou přihlášku. Patent ohrožen — předchozí veřejné zveřejnění je důvod neuznání.
• Účetní kancelář: Účetní vkládala faktury klientů do ChatGPT pro extrakci dat. Klient zjistil, podal stížnost na ÚOOÚ. Účetní firma dostala napomenutí, ale primárně utrpěla reputační škoda — klient odešel a šíří informaci.
• HR konsulting: Konzultantka kopírovala životopisy kandidátů do ChatGPT pro shrnutí. Po stížnosti jednoho kandidáta firma musela informovat všech 240 kandidátů z posledního roku, že jejich data byla nelegálně zpracována.
• Marketingová agentura: Junior copywriter vložil návrh kampaně velkého klienta do ChatGPT. Klient měl interní pravidlo „žádný obsah do veřejných LLM“. Smlouva byla vypovězena.

6. Co dělat místo toho — bezpečné alternativy

Alternativa 1: Azure OpenAI Service

Stejný GPT-4o nebo o4 model, ale na Microsoft Azure v EU regionu. Plný DPA, žádný trénink, audit logy. Licenci si pořídí firma, zaměstnanci dostávají přístup přes interní portál. Cena srovnatelná s ChatGPT API.

Alternativa 2: AWS Bedrock

Claude (Anthropic) a další modely na AWS infrastruktuře v EU regionu (Frankfurt, Stockholm). Stejné GDPR garance jako Azure.

Alternativa 3: Self-hosted open-source modely

Llama 3.3, Mistral, Qwen — provozované na vlastní infrastruktuře nebo v ČR datacentru. Pro citlivá data ideální, ale vyžaduje GPU servery a expertízu. Cena při větším objemu (100k+ dotazů/měs.) konkurenceschopná.

Alternativa 4: Custom AI agent na míru

Ideální řešení pro firemní data. AI agent postavený na míru přesně pro váš use case s kontrolou nad infrastrukturou, RAG přístupem k vašim datům a kompletním auditem. Náš AI knihovník je příklad takové implementace.

7. Co nedělat: Časté mýty

Mýtus 1: „Stačí vypnout learning v ChatGPT“

Polopravda. Vypnutí historie chatu nezabrání datům projít přes US servery. Pro GDPR potřebujete DPA, který free ChatGPT nedává.

Mýtus 2: „My to máme placené, takže je to safe“

ChatGPT Plus (osobní placený) NENÍ totéž co Team/Enterprise. Pouze Team a Enterprise mají DPA. Plus účet má stejný GDPR profil jako free.

Mýtus 3: „Nikdo to nezkontroluje“

ÚOOÚ v 2024 zvýšil počet kontrol o 35 %. Stížnost zaměstnance, klienta nebo konkurence vyvolá audit. Pokuty jsou reálné.

Mýtus 4: „Stačí zákaz v interní směrnici“

Směrnice bez technické vynucení nefunguje. 78 % zaměstnanců, kteří mají zákaz používat AI, ji používá jakkoliv (Microsoft Work Trend Index 2024). Potřebujete legální alternativu.

8. Praktický plán pro českou firmu — 5 kroků

Krok 1: Audit současného stavu

Zjistěte, kdo a jak používá veřejné AI nástroje. Anonymní dotazník + analýza síťového provozu. Typicky zjistíte, že 40–70 % kancelářských pracovníků již AI používá bez schválení.

Krok 2: Akutní opatření (do 2 týdnů)

Update interních směrnic + školení o tom, co se nesmí kopírovat (osobní data, klientské spisy, strategie, IP). Zatím zákaz, dokud nemáte alternativu.

Krok 3: Volba bezpečné platformy (1–2 měsíce)

Pro 80 % firem stačí Azure OpenAI Service nebo AWS Bedrock. Smlouva, DPA, technická integrace. Cena cca 8 000 – 30 000 Kč/měs. podle objemu.

Krok 4: Custom agenti pro klíčové procesy (3–9 měsíců)

Kde je opakovatelná práce (vytěžování faktur, zákaznická podpora, HR dotazy), nasaďte specializovaného AI agenta s RAG nad vašimi daty. Plná kontrola, plná auditovatelnost.

Krok 5: Compliance proces

DPIA pro každý významnější use case, aktualizace záznamů o zpracování, smlouvy se zaměstnanci o povinnosti používat schválené nástroje. Pravidelný audit co půl roku.

9. EU AI Act dopad na veřejné LLM

Od srpna 2026 platí pro velké LLM modely (GPT-5, Claude Opus 5, Gemini 3) povinnost transparentnosti, bezpečnostního testování a registrace. To zlepší situaci pro firemní použití — providers musí poskytnout víc informací o tréninkových datech a rizicích.

Ale: AI Act neřeší vaši odpovědnost jako uživatele. Pokud zaměstnanec vloží osobní data do ChatGPT, vy jste správce a vy odpovídáte. Detailní rozbor dopadů viz článek o EU AI Act pro české firmy.

Závěr: AI ano, veřejné LLM s firemními daty ne

AI je v 2026 nutnost, ne luxus. Ale veřejné LLM nástroje s firemními daty jsou rizikem — právním, bezpečnostním a reputačním. Řešení existuje: Azure OpenAI, AWS Bedrock nebo custom AI agent na míru. Cena je srovnatelná, kontrola nad daty plná.

Pokud chcete pomoct s auditem, výběrem platformy nebo nasazením custom AI agenta s plnou GDPR compliance, napište nám. Připravíme vám audit a doporučení často během 2 týdnů. Pro automotive specifické scénáře doporučujeme i AutoERP, který má hotová řešení pro autosalony a servisy s důrazem na ochranu zákaznických dat.

Často kladené otázky (FAQ)

Můžu používat ChatGPT pro firemní účely, když mám placený Plus účet?

Ne, ChatGPT Plus (osobní placený plán) má stejný GDPR profil jako free verze — nemá DPA (Data Processing Agreement) a data putují přes US servery. Pro firemní použití potřebujete ChatGPT Team/Enterprise nebo lépe Azure OpenAI Service v EU regionu.

Co konkrétně se stane, když vložím osobní data klienta do ChatGPT?

Porušujete GDPR (čl. 6 zákonnost zpracování, čl. 32 bezpečnost, čl. 44 mezinárodní přenosy). Reálné důsledky: stížnost subjektu na ÚOOÚ, povinnost informovat všechny dotčené subjekty, pokuta až 4 % ročního obratu, reputační škoda. V praxi nejčastěji ztracený klient + zápis do interního auditu.

Jaká je nejjednodušší cesta k bezpečné AI ve firmě?

Pro většinu firem Azure OpenAI Service — stejné modely jako ChatGPT, ale na Microsoft Azure v EU regionu s plným DPA. Nasazení trvá 2–4 týdny, cena 8 000 – 30 000 Kč/měs. podle objemu. Pro pokročilejší use casy doplňte custom AI agentem na míru s RAG nad vašimi daty.