Používanie generatívnych nástrojov ako ChatGPT sa za posledné roky stalo bežnou súčasťou pracovného života v mnohých firmách. Zamestnanci ich používajú pri písaní e-mailov, príprave zmlúv, sumarizovaní dokumentov či tvorbe marketingových textov. Šikovnosť týchto nástrojov však prichádza s právnymi otázkami: kto zodpovedá za chyby, ako riešiť spracovanie osobných údajov a aké povinnosti ukladá nová európska regulačná architektúra (AI Act)? Odpovede nie sú šablónové — závisia od toho, ako AI používate, kto ju prevádzkuje a aké dáta sa spracúvajú.
Európska legislatíva a pokyny sa rýchlo vyvíjajú: už dnes existujú odporúčania a obmedzenia o používaní určitých typov AI (napr. zákaz emocionálneho profilovania zamestnancov), a plná implementácia častí AI Act je naplánovaná do roku 2026.
Základný právny rámec, ktorý musí zamestnávateľ poznať
Keď firma používa ChatGPT alebo iný generatívny model, vstupuje do prekrývania niekoľkých oblastí práva: (i) regulácia AI (EU AI Act a súvisiace usmernenia), (ii) pravidlá ochrany osobných údajov (GDPR), (iii) bežné zmluvné a deliktové (tort) pravidlá zodpovednosti a (iv) pracovnoprávne zásady týkajúce sa dohľadu nad zamestnancami a ich pracovných nástrojov.
EÚ sa snaží vybudovať špecifický režim pre AI, ktorý upravuje povinnosti podľa rizikovosti systému a zavádza prísne obmedzenia pre zakázané praktiky (napr. masové emocionálne profilovanie zamestnancov pomocou webkamier či hlasu). Tieto pravidlá už majú odporúčajúce pokyny a vyvíjajú sa postupy presnejšieho výkladu pre veľké generatívne modely (GPAI). To znamená, že používanie ChatGPT v pracovnom prostredí môže byť pod priamym dohľadom regulačných požiadaviek.
Súčasne platí GDPR: ak do systému nahrávate osobné údaje (osobné údaje zákazníkov, zamestnancov, citlivé informácie), musíte mať právny základ spracovania, zabezpečiť primerané technické a organizačné opatrenia a splniť informačné povinnosti voči dotknutým osobám. Európske úrady pre ochranu údajov (EDPB) a národné orgány pravidelne vydávajú usmernenia, ktoré vysvetľujú, na čo si dať pozor pri AI spracovaní údajov.
Na paralelnej línii sa rieši občianskoprávna zodpovednosť: dokedy je chyba “chyba AI” a kedy je to zodpovednosť zamestnávateľa alebo osoby, ktorá systém nasadila či upravila? Legislativne sa pracuje na doplnení bežných pravidiel, aby sa uľahčilo preukazovanie príčinnosti pri škodách spôsobených AI. To sa manifestuje v iniciatívach zameraných na „presumpciu kauzality“ a iné remedialné mechanizmy.
Kto nesie zodpovednosť za chyby AI v pracovnom kontexte?
Nie je to vždy jednoduché. Rozdeľme si situácie:
Ak zamestnanec používa voľne dostupný ChatGPT bez súhlasu a spôsobí škodu (napr. zverejní dôverné informácie alebo šíri nepresné právne odporúčanie), zodpovednosť firmy môže vzniknúť z dôvodu nedostatočného dohľadu, porušenia interných pravidiel alebo zmluvnej povinnosti voči tretím stranám. Ak však firma zaviedla oficiálny podnikový účet (enterprise) s kontrolami a obmedzeniami a poskytovateľ (napr. OpenAI v enterprise verzii) garantuje určité podmienky, potom môže byť pomer zodpovednosti rozdeľovaný medzi poskytovateľa služieb, integrátora a užívateľa podľa konkrétnych zmluvných ustanovení.
Európska politika smeruje k tomu, aby prevádzkovatelia a dodávatelia AI niesli konkrétne povinnosti (transparentnosť, zapisovanie udalostí, riadenie rizík), čo posilní právne postavenie poškodených osôb. Pre firmy to znamená, že nasadenie AI bez riadnej dokumentácie a posúdenia rizika zvyšuje expozíciu voči sankciám a žalobám.
Praktické riziká pri používaní ChatGPT v práci (a ako sa im vyhnúť)
Prvým právnym rizikom je únik alebo neoprávnené spracovanie osobných údajov. Ak zamestnanci posielajú do nástroja mená, rodné čísla, adresy či interné dôverné informácie, ide o spracovanie podľa GDPR. Firma musí mať právny titul a zabezpečiť, že poskytovateľ AI dodržiava adekvátne bezpečnostné štandardy. Preto je nutné pred nasadením vykonať DPIA (data protection impact assessment), ak je spracovanie rizikové.
Druhým rizikom je nepresná alebo zavádzajúca odpoveď (faktické omyly). Keď AI generuje chybnú informáciu, klient alebo partner môže utrpieť škodu. Riešenie je dvojité: (i) obmedziť použitie AI pre úlohy, kde chyba môže viesť k významnej škode (napr. právne stanoviská bez ľudskej verifikácie), a (ii) zaviesť jasnú povinnosť overovať výstupy a zaznamenávať kľúčové interakcie.
Tretím rizikom sú autorsko-právne otázky — kde sa berie obsah, ktorý AI použije a kto vlastní výstup. Hoci právne riešenia tejto problematiky ešte dozrievajú, zmluvné ustanovenia voči poskytovateľom AI a interné pravidlá môžu definovať vlastnícke práva a podmienky komerčného využitia výstupov.
Štvrtým rizikom je pracovnoprávny dohľad a súkromie zamestnancov. Použitie AI na monitorovanie výkonu alebo emotívne analýzy tváre/hlasov môže byť zakázané alebo prísne regulované podľa AI Act a lokálnych nariadení. Preto je potrebné pred takými praktikami urobiť právnu a etickú kontrolu.
Ako by mala vyzerať firemná AI politika — kľúčové prvky
Firemná AI politika by nemala byť len zákazom alebo povolením; mala by byť praktickým návodom pre každodenné rozhodovanie. Najprv definujte rozsah a účel používania: ktoré pracovné úlohy sú vhodné pre generatívnu AI a ktoré vyžadujú ľudský zásah. Ďalej popíšte právne limity (zakázané spracovanie osobných údajov bez právneho titulu, citlivé kategórie údajov) a povinnosti zamestnanca (overenie výstupov, značenie obsahu ako vyprodukovaného AI, zákaz zdieľania dôverných dokumentov). Zmluvný rámec s poskytovateľom musí byť auditovateľný: požadujte SLA, povinnosti pri úniku údajov a jasné vyjadrenie o používaní trénovacích dát a vlastníctve obsahu. Nakoniec určite postup pri incidentoch a zodpovednosti — kto hlási, kto opravuje a aké sú sankcie za porušenie politiky. Praktické príklady a vzorové formulácie výrazne pomáhajú pri implementácii.
Záver
Zmapujte, ako sa v skutočnosti ChatGPT a iné AI používajú vo firme — ktoré tímy, aké dáta.
Vyhodnoťte, či je potrebné vykonať DPIA podľa GDPR.
Preverte zmluvy s poskytovateľmi AI (enterprise podmienky vs. free-tier) a doplňte ustanovenia o bezpečnosti a vlastníctve výstupov.
- Pripravte internú AI politiku s jasnými pravidlami pre overovanie výstupov a postupmi pri incidente.
Vzdelávajte zamestnancov — najlepší compliance mechanizmus je informovaný používateľ.
Tieto kroky minimalizujú riziko sankcií, škôd z nesprávnych výstupov a reputačných strát v čase, keď EÚ a národné úrady zrýchľujú kontrolu nad AI riešeniami.
Časté otázky
Môže zamestnanec používať bezplatný ChatGPT na riešenie pracovných úloh?
Formálne áno, avšak bez riadnej politiky a dohľadu vznikajú vysoké riziká — únik dát či neoverené výstupy. Pre citlivé úlohy odporúčame používať enterprise riešenie s kontrolami a záznamom.
Zodpovedá firma za chybu, ktorú AI vygenerovala klientovi?
Ak chybný výstup vznikol pri plnení pracovných úloh a firma ho uverejnila alebo nepreverila, je vysoká pravdepodobnosť zodpovednosti zamestnávateľa. Právne režimy sa ale vyvíjajú a na úrovni EÚ sa pripravujú mechanizmy uľahčujúce postih pri škodách spôsobených AI.
Musím robiť DPIA pri každom použití AI?
Nie pri každom. DPIA je potrebná, ak spracovanie predstavuje vysoké riziko pre práva a slobody osôb (napr. spracovanie citlivých údajov, profilovanie, rozhodovanie s právnymi následkami). Pri generatívnych AI, ktoré pracujú s osobnými údajmi, je DPIA často odporúčaná.