21. 4. 2026 19:53
Stínové AI v praxi – většina zaměstnanců používá AI bez pravidel a vědomí firmy
Podle průzkumu AIMomentum 2026 už polovina českých firem AI aktivně používá nebo testuje. Oproti 18 % v roce 2025 jde o rapidní nárůst. Adaptace na AI tedy doslova explodovala. Jenže podle studie IBM většina organizací (63 %) nemá žádnou politiku pro řízení AI nebo ji teprve tvoří. A ve skutečnosti postupuje využití AI ve firmách ještě mnohem rychleji, než si vedení firem uvědomuje. Většina zaměstnanců totiž AI používá bez vědomí firmy.
Zaměstnanci masově vkládají firemní data, smlouvy a zdrojový kód do neschválených AI nástrojů jako ChatGPT, Gemini nebo DeepSeek, a to bez vědomí zaměstnavatele. Podle mezinárodních studií se to týká více než 80 % pracovníků. Český expert na kybernetickou bezpečnost Patrik Žák ze společnosti SYSNETSHIELD upozorňuje, že jde o velmi nebezpečný fenomén: „Poslední dobou vidíme stále častěji, že si zaměstnanci pouští AI do firem dobrovolně každý den a nikdo o tom neví.“
Shadow AI, tedy neschválené používání AI nástrojů na pracovišti, je podle dat IBM, Microsoftu a dalších firem nejrychlejší rostoucí bezpečnostní hrozbou roku 2026. Čísla jsou alarmující:
- 80 % zaměstnanců používá neschválené AI nástroje v práci (UpGuard, 2025).
- 78 % si přináší vlastní AI nástroje do zaměstnání – tzv. BYOAI (Microsoft, 2024).
- 57 % zaměstnanců své používání AI aktivně skrývá před zaměstnavatelem (KPMG, 2025).
- Každá pátá organizace na světě už zažila bezpečnostní incident způsobený Shadow AI (IBM, 2025).
Co se děje v praxi
Vývojáři kopírují zdrojový kód do AI nástrojů. Personalisté analyzují životopisy uchazečů v ChatGPT – přímé porušení GDPR. Obchodníci vkládají nabídky s cenami a jmény zákazníků. Finanční oddělení zadává rozvahová čísla do AI sumarizérů. A právníci vkládají důvěrné klientské dokumenty.
Podle analýzy společnosti Harmonic Security, která prozkoumala 22,4 milionu firemních promptů, obsahovalo citlivá data více 
než 579 000 z nich – zdrojové kódy, právní dokumenty, finanční data i přístupové údaje. Téměř 17 % těchto úniků přitom probíhalo přes osobní účty zaměstnanců, kde firma nemá žádnou kontrolu.
než 579 000 z nich – zdrojové kódy, právní dokumenty, finanční data i přístupové údaje. Téměř 17 % těchto úniků přitom probíhalo přes osobní účty zaměstnanců, kde firma nemá žádnou kontrolu.„Na vlastní oči jsme viděli jak technik vkládal své administrátorské přihlašovací údaje do AI se slovy: To je v pohodě, mám vypnuté učení na datech a potřebuji, aby mi AI dala přesné příkazy, abychom mohli opravit chybu a rychle se pohnout v práci vpřed,“ uvádí varovný příklad Patrik Žák.
Proč je Shadow AI horší než klasické Shadow IT
Klasické Shadow IT, tedy například používání privátního Dropboxu místo SharePointu, nebo WhatsAppu místo Teams, bylo rizikové, ale opravitelné. Aplikaci šlo odpojit, data přesunout, incident uzavřít.
„Shadow AI je strukturálně odlišné. Jakmile citlivá data vstoupí do veřejného AI modelu, nelze je odvolat. Model se z nich učí. Nemůžete zavolat na zákaznickou linku a říct: „Smažte, to, na co se můj zaměstnanec včera zeptal. Ta data jsou navždy mimo vaši kontrolu,“ upozorňuje Patrik Žák a dodává: „Je to jako kdybyste zdvojnásobili počet aut na silnicích, ale zapomněli namalovat čáry a pověsit značky. Nikdo neporušuje pravidla ze zlého úmyslu. Zaměstnanci prostě potřebují efektivní nástroje, a pokud jim je firma nedá, najdou si je sami za dvě minuty.“
Bezpečnostní komunita se proto shoduje na jednom: plošný zákaz AI nefunguje. Zaměstnanec přepne na mobilní telefon s osobním datovým plánem, nebo použije portable prohlížeč z USB disku.
Patrik Žák proto doporučuje firmám pět konkrétních kroků:
- Audit – zjistit, jaké AI nástroje v síti skutečně běží (včetně portable aplikací a lokálních modelů).
- Politika – jasná, srozumitelná pravidla pro používání AI (ne 50stránkový dokument, ale praktický návod).
- Schválené alternativy – poskytnout zaměstnancům nástroje, které jsou minimálně stejně dobré jako ty spotřebitelské.
- Vzdělávání – už proto, že AI gramotnost je od února 2025 povinnost podle článku 4 EU AI Actu.
- Monitoring bez blokování – viditelnost jako první krok, ne represe.
„Nezakazujte ChatGPT. Řekněte lidem: „Tady máte schválený nástroj, tady jsou pravidla, tady jsou hranice,“ shrnuje na závěr Patrik Žák.
