Bezpečnost dat v cloudu
Firmy odmítají AI „z bezpečnostních důvodů“ – a přitom každý den posílají data zákazníků přes nástroje bez jediné smlouvy o ochraně dat. Tenhle článek ukazuje tvrdá fakta.
Než začnete číst – co znamenají ty pojmy?
V článku narazíte na výrazy, které zní složitě, ale jsou jednoduché. Tady je překlad do lidské řeči:
| Pojem | Co to je jednoduše |
|---|---|
| Smlouva o ochraně dat (DPA) | Písemná dohoda mezi vámi a poskytovatelem služby, že vaše data bude zpracovávat podle pravidel. Bez ní porušujete zákon (GDPR). Představte si to jako nájemní smlouvu – bez ní bydlíte načerno. V různých firmách se jmenuje různě: u Googlu „CDPA“, u Microsoftu „Data Protection Addendum“, ale vždy je to totéž – smlouva o ochraně dat. |
| GDPR | Zákon o ochraně osobních údajů platný v celé EU (v ČR od 2018). Říká, jak musíte zacházet s daty zákazníků. Pokuta za porušení: až 20 mil. € nebo 4 % ročního obratu firmy – podle toho, co je víc. |
| Smluvní doložky pro přenos dat mimo EU (SCC) | Předpřipravené smlouvy schválené EU, které zajišťují ochranu dat, i když se zpracovávají na serverech mimo Evropu (např. v USA). Jako mezinárodní pojistka na vaše data. |
| Nezávislý bezpečnostní audit (SOC 2 Type II) | Externího auditora si pozvete, aby zkontroloval, jestli firma opravdu chrání data tak, jak tvrdí – a to průběžně, ne jednorázově. Jako STK pro bezpečnost dat. |
| Certifikát pro řízení bezpečnosti (ISO 27001) | Mezinárodní certifikát, který potvrzuje, že firma má zavedený systém ochrany informací. Jako certifikát kvality, ale pro bezpečnost. |
| Certifikát pro řízení AI (ISO 42001) | Nový standard (2023), který potvrzuje, že firma nasazuje umělou inteligenci zodpovědně a bezpečně. |
| Dvoufázové ověření (MFA) | Kromě hesla potřebujete ještě kód z SMS nebo aplikace. Jako když banka chce PIN i otisk prstu. |
| Jednotné přihlášení (SSO) | Zaměstnanec se přihlásí jednou a má přístup ke všem firemním nástrojům. Firma řídí z jednoho místa, kdo má kam přístup. |
| Řízení přístupu podle rolí (RBAC) | Účetní vidí faktury, obchodník vidí klienty, brigádník nevidí nic citlivého. Každý má přístup jen k tomu, co potřebuje. |
| Nulové uchovávání dat (ZDR) | Služba si vaše data po zpracování vůbec neuloží – okamžitě je smaže. Jako když odborník přijde, udělá práci a odnese si jen fakturu, ne kopie vašich dokumentů. |
| Šifrování vojenské úrovně (AES-256) | Standard, který používají banky a armáda. Data jsou zakódována tak, že bez klíče jsou nečitelná – i kdyby je někdo ukradl. |
| Šifrování při přenosu (TLS 1.2+) | Zajišťuje, že když posíláte data po internetu, nikdo je cestou nepřečte. Jako obálka kolem dopisu – vidíte, komu jde, ale obsah nepřečtete. |
| Místo uložení dat (data residency) | Možnost zvolit, že vaše data zůstanou fyzicky na serverech v EU. Důležité pro GDPR – data uložená mimo EU potřebují speciální smluvní ochranu. |
| Záznam aktivit (audit log) | Kdo, kdy a co udělal. Jako kamerový systém pro vaše firemní data – zpětně dohledáte, kdo k čemu přistupoval. |
| Únik dat (breach) | Situace, kdy se k datům dostane někdo neoprávněný – hacker, chyba v systému nebo nezabezpečené rozhraní. |
| Retence dat | Jak dlouho si poskytovatel vaše data ponechá, než je smaže. Čím kratší retence, tím menší riziko. |
1. Cloudové služby – e-maily, soubory a komunikace
Analogie: Free Gmail nebo Outlook.com = sdílíte stůl v coworkingu bez smlouvy, kdokoliv může nahlédnout do vašich papírů. Google Workspace nebo Microsoft 365 Business = máte pronajatou kancelář se smlouvou a zámkem.
| Na co se ptát | Gmail a Google Drive Free | Outlook a OneDrive Free | Google Workspace | Microsoft 365 Business |
|---|---|---|---|---|
| Mám smlouvu o ochraně dat? | ❌ Ne. Žádná smlouva. Pokud přes free Gmail posíláte data zákazníků, porušujete GDPR. | ❌ Ne. Spadá pod spotřebitelský Microsoft Services Agreement – bez DPA, bez smluvní ochrany firemních dat. | ✅ Ano. Smlouva je součástí služby. Zahrnuje i doložky pro přenos dat mimo EU. | ✅ Ano. Smlouva je automaticky součástí služby. |
| Používají moje data pro reklamu? | ❌ Ano. Google analyzuje obsah vašich e-mailů a souborů, aby vám (a vašim zákazníkům) cílil reklamu. Vy jste produkt. | ❌ Ano. Microsoft zobrazuje reklamy ve free Outlooku a spolupracuje s reklamními sítěmi (Microsoft Audience Network, Meta Audience Network). Předává jim identifikátory vašeho zařízení. | ✅ Ne. Firemní data se pro reklamu nepoužívají. | ✅ Ne. Microsoft firemní data pro reklamu nepoužívá. |
| Řídím, kdo má přístup? | ❌ Ne. Nemůžete centrálně nastavit hesla, vynutit dvoufázové ověření, ani odebrat přístup odchozímu zaměstnanci. | ❌ Ne. Každý zaměstnanec má vlastní osobní účet. Firma nemá centrální správu, nemůže vynutit bezpečnostní politiky ani odebrat přístup. | ✅ Plně. Centrální správa: kdo se může přihlásit, odkud, z jakého zařízení, s jakými oprávněními. | ✅ Plně. Centrální správa uživatelů, zařízení, přístupových práv i dvoufázového ověření. |
| Prošel to nezávislý auditor? | ❌ Ne pro vás. Google má certifikace pro firemní verzi. Váš free účet z nich ale nic nedědí. | ❌ Ne pro vás. Microsoft má rozsáhlé certifikace pro firemní produkty, ale free Outlook.com spadá pod spotřebitelské podmínky – nedědí firemní záruky. | ✅ Ano. Nezávislý bezpečnostní audit (SOC 2), certifikát řízení bezpečnosti (ISO 27001) a další. Nejširší sada certifikací na trhu. | ✅ Ano. SOC 2, ISO 27001, certifikát pro AI (ISO 42001), zdravotnický standard (HIPAA). |
| Zůstanou data v EU? | ❌ Nevíte. Google může vaše data uložit na servery kdekoliv na světě. Nemáte kontrolu ani přehled. | ❌ Nevíte. Microsoft může data z free účtů zpracovávat na serverech kdekoliv na světě. Nový Outlook navíc synchronizuje všechna data do Microsoft cloudu – i e-maily z účtů třetích stran. | ✅ Ano. Ve vyšších verzích (Enterprise) si zvolíte, že data zůstanou na serverech v EU. | ✅ Ano. Microsoft garantuje, že firemní data zůstanou na serverech v EU. |
| Staly se nějaké úniky dat? | ❌ Ano. V roce 2025 zasáhl únik dat 2,5 miliardy Google účtů. U free účtů navíc funguje phishing – 37 % úspěšných krádeží přihlášení na Google platformách je přes phishing. | ⚠️ Rizika existují. Nový Outlook (New Outlook) byl kritizován za to, že směruje všechna připojení přes Microsoft 365 cloud a funguje jako „mechanismus pro sběr dat“ – včetně e-mailů z účtů třetích stran, které si do něj přidáte. | ⚠️ Firemní verze je bezpečnější – má lepší ochranu proti phishingu a centrální správu hesel. Ale servery jsou společné s free účty, takže únik na straně Googlu zasáhne všechny. | ⚠️ Jednotlivé incidenty byly. Například americký Kongres dočasně zakázal zaměstnancům používat Copilot kvůli obavám, že by mohl zpřístupnit citlivé dokumenty nesprávným lidem uvnitř organizace. Microsoft od té doby zabezpečení posílil. |
| Splním s tím GDPR? | ❌ Ne. Bez smlouvy o ochraně dat = porušení zákona. | ❌ Ne. Bez DPA = porušení zákona. Mnoho firem si myslí, že „Microsoft = bezpečné“ – ale free Outlook.com nemá se smlouvou M365 Business nic společného. | ✅ Ano. | ✅ Ano. |
📌 Pointa: Firma, která používá free Gmail nebo Outlook.com pro firemní komunikaci, nemá jedinou smlouvu o ochraně dat – bez ohledu na to, jestli je to Google nebo Microsoft. Přitom přechod na Google Workspace nebo Microsoft 365 stojí od 150–200 Kč na osobu měsíčně a řeší GDPR, přístupy i audit najednou. Pozor na častý omyl: „Používáme Microsoft“ neznamená automaticky bezpečnost (pozn. pro školy je Copilot chat free a neučí se na datech a je pod DPA, GDPR apod.). Záleží na tom, KTERÝ Microsoft používáte.
2. AI nástroje zdarma – všechny čtou vaše data
Analogie: Free AI = voláte z veřejného automatu. Kdokoliv může poslouchat. Vaše konverzace se nahrává a používá k vylepšení služby.
💡 Zaplacením za vyšší verzi získáte rychlejší model a víc funkcí – ale ne lepší ochranu dat. Proto jsou v tabulce Free i placené osobní plány pohromadě. Skutečná ochrana začíná až u firemních verzí .
| Na co se ptát | ChatGPT Free/Plus (OpenAI) | Claude Free/Pro (Anthropic) | Gemini Free/Advanced (Google) | Copilot Free/Pro (Microsoft) |
|---|---|---|---|---|
| Učí se AI z toho, co napíšu? | ❌ Ano. Ve výchozím stavu zapnuto. Musíte sami najít v nastavení přepínač a vypnout ho. | ❌ Ano. Od září 2025 ve výchozím stavu zapnuto. Data se mohou uchovávat až 5 let. Musíte sami odmítnout. | ❌ Ano. Ve výchozím stavu zapnuto. Vaše dotazy kontrolují i lidští hodnotitelé – skuteční lidé, kteří si čtou, co jste napsali. | ❌ Ano. Ve výchozím stavu zapnuto. Microsoft může konverzace použít k trénování AI. Musíte sami vypnout v nastavení. |
| Čtou si lidé moje konverzace? | ❌ Ano. Zaměstnanci OpenAI i externí pracovníci mohou vaše konverzace číst – kvůli vylepšování AI i kontrole bezpečnosti. | ⚠️ Výjimečně. Anthropic uvádí, že do konverzací nahlíží pouze při bezpečnostním incidentu, ne běžně. | ❌ Ano. Lidští hodnotitelé (zaměstnanci i externí) čtou a hodnotí vaše vstupy i odpovědi. Google to uvádí ve svých podmínkách. | ⚠️ Možné. Microsoft si vyhrazuje právo přistupovat ke konverzacím pro účely bezpečnosti a dodržování právních předpisů. |
| Mám smlouvu o ochraně dat? | ❌ Ne. Spadá pod spotřebitelské podmínky OpenAI. Žádná DPA, žádná smluvní ochrana firemních dat. | ❌ Ne. Spadá pod spotřebitelské podmínky Anthropic. Žádná DPA, žádná smluvní ochrana firemních dat. | ❌ Ne. Spadá pod spotřebitelské podmínky Google. Žádná DPA, žádná smluvní ochrana firemních dat. | ❌ Ne. Spadá pod spotřebitelský Microsoft Services Agreement. Žádná DPA, žádná smluvní ochrana firemních dat. |
| Jak dlouho si data nechají? | ❌ Prakticky navždy. Konverzace zůstávají, dokud je nesmažete. Soud v USA navíc nařídil OpenAI nemazat ani smazané konverzace. | ⚠️ 30 dní až 5 let. Pokud odmítnete trénování, 30 dní po smazání. Pokud necháte výchozí nastavení, až 5 let. | ❌ Až 3 roky. Google uchovává historii aktivit. Můžete smazat ručně, ale ve výchozím stavu se hromadí. | ❌ 18 měsíců. Konverzace i nahrané soubory se uchovávají až 18 měsíců. Můžete smazat ručně. |
| Řídím přístupy a uživatele? | ❌ Ne. Každý zaměstnanec má vlastní účet. Firma nemá přehled, kdo co zadává. | ❌ Ne. Každý zaměstnanec má vlastní účet. Firma nemá přehled, kdo co zadává. | ❌ Ne. Každý zaměstnanec má vlastní účet. Firma nemá přehled, kdo co zadává. | ❌ Ne. S osobním účtem nemá firma žádnou centrální správu ani přehled. |
| Staly se nějaké úniky dat? | ❌ Ano, opakovaně. Chyba zobrazila cizí konverzace. 100 000+ hesel na dark webu. Google zaindexoval tisíce sdílených konverzací. | ✅ Ne. Žádný veřejně známý únik zákaznických dat. | ❌ Ano. Sdílí infrastrukturu s Google účty – únik 2,5 miliardy účtů v roce 2025 se týká stejného ekosystému. | ⚠️ Nepřímo. Sdílí infrastrukturu s Microsoft účty. Nový Outlook kritizován za synchronizaci dat do cloudu bez vědomí uživatele. |
| Můžu přes to posílat firemní data? | ❌ Ne. Bez smlouvy, bez správy, bez kontroly. | ❌ Ne. Bez smlouvy, bez správy, bez kontroly. | ❌ Ne. Bez smlouvy, bez správy, bez kontroly. | ❌ Ne. Bez smlouvy, bez správy, bez kontroly. |
💡 A co když si zaplatím za ChatGPT Plus, Claude Pro, Gemini Advanced nebo Copilot Pro? Zaplacením za vyšší verzi získáte rychlejší model a víc funkcí – ale ne lepší ochranu dat. Pravidla pro vaše data zůstávají v zásadě stejná. Ve všech musíte sami ručně vypnout trénování. Skutečná ochrana začíná až u firemních verzí. Výjimka: Copilot v M365 aplikacích (Word, Excel, PowerPoint) nepoužívá data k trénování ani v osobní verzi – ale stále spadá pod spotřebitelské podmínky bez DPA.
📌 Pointa: Žádný free AI nástroj není vhodný pro firemní data – a to platí i pro Copilot od Microsoftu. Značka „Microsoft“ neznamená automaticky bezpečnost (pozn. pro školy je Copilot chat free a neučí se na datech a je pod DPA, GDPR apod.). Záleží na tom, jaký plán používáte. A pozor – ani zaplacení za „Plus“, „Pro“ nebo „Advanced“ vás automaticky nechrání. Skutečná ochrana začíná až u firemních účtů v další tabulce.
3. AI nástroje pro firmy – tady je skutečná ochrana
Analogie: Komerční AI = najali jste si odborníka přes smlouvu. Má mlčenlivost, pojištění, pracuje ve vaší kanceláři a po práci si nic neodnáší. Některé služby (Claude API, OpenAI API) po sobě dokonce uklízejí okamžitě – jako by tam nikdy nebyl.
3a) AI vestavěná do vašeho stávajícího prostředí
Pokud firma už používá Microsoft 365 nebo Google Workspace, přidání AI je jako přidání nové místnosti ve stejné budově – ne stěhování jinam. Používáte stejné přihlášení, stejnou správu, stejné smlouvy.
| Na co se ptát | Gemini pro Google Workspace | Microsoft 365 Copilot |
|---|---|---|
| Učí se AI z mých dat? | ✅ Ne. Google smluvně garantuje, že data z Workspace nepoužívá k trénování AI. | ✅ Ne. Microsoft smluvně garantuje, že firemní data nepoužívá k trénování AI. |
| Mám smlouvu o ochraně dat? | ✅ Ano. Stejná smlouva jako pro celý Google Workspace – pokrývá i AI. | ✅ Ano. Stejná smlouva jako pro celý Microsoft 365 – pokrývá i AI. |
| Prošel to nezávislý auditor? | ✅ Ano. Bezpečnostní audit (SOC 2), certifikáty bezpečnosti (ISO 27001 a další). Rozsáhlé certifikace. | ✅ Ano. Bezpečnostní audit (SOC 2), certifikáty bezpečnosti (ISO 27001), certifikát pro AI (ISO 42001), zdravotnický standard (HIPAA). Nejširší sada certifikací. |
| Řídím přístupy? | ✅ Plně. Stejná správa jako pro celý Workspace. | ✅ Plně. Stejné nástroje jako pro celý M365 – centrální správa uživatelů, dvoufázové ověření, záznamy kdo co udělal. |
| Zůstanou data na serverech v EU? | ✅ Ano. Ve vyšší verzi (Enterprise) si zvolíte region serverů. | ✅ Ano. Microsoft garantuje, že firemní data zůstanou na evropských serverech. |
| V čem vyniká? | 🔗 Přirozená volba pro firmy na Googlu. AI pracuje přímo v Gmailu, Docs, Sheets a Meet. Nemusíte nic měnit. | 🏢 Přirozená volba pro firmy na Microsoftu. AI pracuje přímo ve Wordu, Excelu, Outlooku a Teams. Nemusíte nic měnit – jen zapnete další funkci. |
3b) Samostatné AI nástroje se smlouvou
Pro firmy, které chtějí AI jako samostatný nástroj – nezávisle na tom, jestli používají Microsoft nebo Google.
| Na co se ptát | Claude Team (Anthropic) | Claude Enterprise (Anthropic) | ChatGPT Team, Enterprise (OpenAI) |
|---|---|---|---|
| Učí se AI z mých dat? | ✅ Ne. Zakázáno automaticky. Nemusíte nic nastavovat. | ✅ Ne. Smluvně garantováno. Bez výjimky. | ✅ Ne. Zakázáno pro Team i Enterprise verze. |
| Mám smlouvu o ochraně dat? | ✅ Ano. Automaticky součástí služby. Zahrnuje doložky pro přenos dat mimo EU. | ✅ Ano. Plná smlouva včetně doložek pro EU. | ✅ Ano. Smlouva součástí služby pro Team i Enterprise. |
| Prošel to nezávislý auditor? | ✅ Ano. Bezpečnostní audit (SOC 2 Type II), certifikát bezpečnosti (ISO 27001), certifikát pro AI (ISO 42001). | ✅ Ano. Stejné certifikace jako Team. | ✅ Ano. Bezpečnostní audit (SOC 2 Type II). Méně certifikací než Claude – chybí ISO 27001 a ISO 42001. |
| Jak dlouho si data nechají? | ⚠️ 30 dní po smazání, pak se trvale odstraní. | ⚠️ 30 dní po smazání. Konfigurovatelná retence, admin nastavuje pravidla. | ⚠️ 30 dní po smazání. |
| Řídím přístupy? | ✅ Ano. Jednotné přihlášení pro celou firmu, správa členů, přehled využití. | ✅ Plně. Jednotné přihlášení (SSO), přístup podle rolí (RBAC), dvoufázové ověření, záznamy aktivit, napojení na firemní bezpečnostní systémy. | ✅ Ano. Jednotné přihlášení, záznamy aktivit. |
| Zůstanou data na serverech v EU? | ⚠️ Smluvní doložky pro EU zajišťují ochranu, ale servery mohou být i mimo EU. | ✅ Ano. Můžete zvolit servery v EU (přes Amazon nebo Google Cloud). | ✅ Ano. Můžete zvolit uložení v EU. |
| V čem vyniká? | 💰 Nejdostupnější firemní AI se smlouvou. Ideální pro menší týmy, které chtějí začít s AI bezpečně a za rozumnou cenu. | 🏢 Plná kontrola pro větší firmy. SSO, role, audit – vše, co potřebuje IT oddělení. Nejširší certifikace na trhu. | 👥 Nejvíce uživatelů na světě. Největší komunita, nejvíc návodů a integrací. Ale nejmenší rozsah certifikací ze všech tří. |
📌 Pointa: Pokud už máte Microsoft 365, Copilot je logický další krok – budete mít AI ve stejné budově. Pokud jste na Google, pak je to Gemini pro Workspace. Pokud chcete samostatný AI nástroj s chat rozhraním, Claude Team nebo Enterprise nabízejí nejširší certifikace na trhu.
3c) Přímý přístup přes API – pro vývojáře a automatizace
Pro firmy a konzultanty, kteří staví vlastní řešení – chatboty, voiceboty, automatizace, zpracování dokumentů. API nemá chat rozhraní – je to „motor”, který zapojíte do vlastního systému (např. přes n8n, Power Automate nebo vlastní aplikaci). Pro OSVČ je to nejlevnější cesta k firemní ochraně – platíte jen za to, co spotřebujete, bez minimálního počtu uživatelů.
| Na co se ptát | Claude API (Anthropic) | OpenAI API | Google Vertex AI (Gemini API) |
|---|---|---|---|
| Učí se AI z mých dat? | ✅ Ne. Smluvně zakázáno. | ✅ Ne. Smluvně zakázáno. | ✅ Ne. Smluvně zakázáno. |
| Mám smlouvu o ochraně dat? | ✅ Ano. Automaticky součástí služby. DPA s doložkami pro EU. | ✅ Ano. DPA součástí služby od ledna 2026. | ✅ Ano. Přes Google Cloud, DPA automaticky. |
| Jak dlouho si data nechají? | ✅ 7 dní. Nejkratší retence na trhu. | ⚠️ 30 dní. Standardní retence pro abuse monitoring. | ⚠️ Až 55 dní. Retence pro abuse monitoring. |
| Můžu zapnout nulové uchovávání (ZDR)? | ✅ Ano – sami v nastavení. Žádné schvalování, žádné čekání. Jediné API, kde to zapnete jedním kliknutím. | ⚠️ Ano – ale musíte požádat. Vyžaduje schválení od sales týmu OpenAI a přijetí dalších podmínek. | ⚠️ Ano – ale musíte žádat. Vyžaduje vyplnění formuláře nebo fakturační smlouvu (invoiced billing). |
| Prošel to nezávislý auditor? | ✅ Ano. SOC 2 Type II, ISO 27001, ISO 42001. Nejširší sada certifikací. | ⚠️ Částečně. SOC 2 Type II. Chybí ISO 27001 a ISO 42001. | ✅ Ano. SOC 2, ISO 27001. Chybí ISO 42001. |
| Minimální počet uživatelů? | ✅ Žádný. Platíte jen za spotřebu. | ✅ Žádný. Platíte jen za spotřebu. | ✅ Žádný. Platíte jen za spotřebu. |
| V čem vyniká? | 🔒 Nejpřísnější ochrana. Nejkratší retence, nejsnazší ZDR, nejširší certifikace. Ideální pro automatizace s citlivými daty. | 👥 Největší ekosystém. Nejvíc integrací a nástrojů třetích stran. Ale slabší certifikace. | ☁️ Součást Google Cloud. Výhoda pro firmy již na Google infrastruktuře. |
📌 Pointa: A pokud stavíte vlastní řešení nebo automatizace, Claude API s nulovým uchováváním dat nemá konkurenci. Všechna tři API mají firemní smlouvu a netrénují z vašich dat. Klíčový rozdíl je v detailech: Claude API má nejkratší retenci (7 dní vs. 30 vs. 55), jako jediné umožňuje zapnout nulové uchovávání dat bez schvalování, a má nejširší sadu bezpečnostních certifikací. Pro OSVČ a menší firmy je API nejlevnější cesta k firemní ochraně – platíte jen za to, co spotřebujete, bez minimálního počtu uživatelů. Nevýhoda: API nemá chat rozhraní – potřebujete ho propojit s vlastním systémem nebo si nechat postavit řešení na míru.
⚠️ Důležité upozornění: I když je pod firemním účtem vše z hlediska dokumentace správně, je potřeba si uvědomit jednu skutečnost – Primary Owner může exportovat data celé organizace, včetně konverzací, nahraných souborů, uživatelských dat i vzorců používání. Jednotliví uživatelé na plánech Team a Enterprise si přitom nemohou exportovat vlastní data sami. Je to bezpečnostní riziko? Ne v tom smyslu, že by šlo o chybu nebo zranitelnost. Anthropic u firemních plánů vystupuje jako zpracovatel dat a organizace prostřednictvím Primary Ownera spravuje veškerá přidružená data. Jde o záměrný design, běžný u firemních nástrojů – podobné mechanismy najdete u Microsoft 365 (eDiscovery), Google Workspace (Vault) nebo Slacku (Compliance Exports). Rozsah a způsob přístupu se mezi platformami liší, ale princip je stejný: firma má právo na přístup k datům vytvořeným na jejích firemních účtech.
Žebříček od nejbezpečnějšího po nejméně
💡 Všichni velcí poskytovatelé (Anthropic, OpenAI, Google) nabízejí také přímý přístup přes API s firemní smlouvou. Claude API má nejkratší retenci (7 dní), nejsnazší nulové uchovávání dat (zapnete sami, bez schvalování) a nejširší certifikace. OpenAI API vyžaduje schválení od sales týmu pro nulové uchovávání. Google Vertex AI vyžaduje žádost nebo fakturační smlouvu.
1. Claude API Smluvní ochrana (DPA), SOC 2, ISO 27001, ISO 42001. Žádné trénování, žádný minimální počet uživatelů – platíte jen za spotřebu. Volitelně lze zapnout nulové uchovávání dat (ZDR) – pak se data po zpracování okamžitě smažou, nic nezůstane. Bez ZDR se data uchovávají 7 dní. Žádná jiná AI služba na trhu možnost nulového uchovávání nenabízí.
2. Claude Enterprise Retence 30 dní. Plná DPA, audit logy, SSO, řízení přístupu podle rolí, servery v EU volitelné. Pro firmy, které potřebují plnou kontrolu nad tím, kdo co dělá.
3. Claude Team Automatická DPA, žádné trénování, 30denní retence po smazání. Nejdostupnější firemní AI se smlouvou. Ale: minimum 5 uživatelů a servery mohou být i mimo EU (ochráněno smluvními doložkami SCC).
4. M365 Copilot (firemní) / Gemini pro Workspace Smluvní ochrana, žádné trénování, servery v EU. Výhoda: běží uvnitř prostředí, které firma už má. Nevýhoda: nemá ZDR, data se uchovávají podle firemních politik.
5. ChatGPT Team / Enterprise Smluvní ochrana, žádné trénování, ale méně certifikací než Claude – chybí ISO 27001 a ISO 42001.
─── HRANICE: NAD NÍ SMLOUVA (DPA) / POD NÍ BEZ SMLOUVY ───
6. Pro / Plus / Copilot Pro / Advanced Přepínač v nastavení, ne smlouva. Žádná DPA. Lepší než free, ale ne firemní ochrana.
7. Free verze (trénování vypnuto) Lepší než nic, ale bez DPA nemáte žádnou právní páku.
8. Free verze (výchozí nastavení) Data trénují AI. Bez smlouvy. Pro firemní data nepoužívat.
A co lokální AI řešení?
Existují i firmy, které nabízejí AI běžící přímo na vašem vlastním serveru – data nikdy neopustí vaši kancelář. To je legitimní cesta, zejména pro firmy s extrémně citlivými daty (zdravotnictví, obrana, právo).
Ale je potřeba být upřímný: lokální AI vyžaduje vlastní hardware, správce, aktualizace a zabezpečení. To stojí řádově desítky až stovky tisíc korun a vyžaduje technické znalosti. Pokud firma dnes nemá zabezpečený Gmail, Google Disk nebo má hesla uložená nešifrovaně, vlastní AI server jí nepomůže – nejdřív musí tuto situaci vyřešit, tzn. přechod na firemní cloudové služby se smlouvami a certifikacemi.
Lokální řešení dává smysl jako další krok – ne jako první.
4. Jak to děláte dnes – a jak by to vypadalo s AI
Analogie: Firmy odmítají AI „z bezpečnostních důvodů.“ Podívejte se, co přitom dělají každý den – a porovnejte to s AI, která má smlouvu, audit a šifrování.
Komunikace s klienty
| Činnost | ❌ Jak to firmy dělají dnes | ✅ Jak to dělá AI se smlouvou |
|---|---|---|
| Odpovídání na dotazy klientů | Ručně přes free Gmail – bez smlouvy o ochraně dat, Google čte obsah a cílí reklamu | Chatbot odpovídá z databáze FAQ – žádná osobní data, smluvní ochrana |
| Zvedání telefonů od klientů | Nikdo nezvedne po pracovní době – klient odejde ke konkurenci | Voicebot zvedne 24/7, zeptá se na potřebu, zapíše do CRM – žádná citlivá data |
| Posílání nabídek klientům | Ručně v Excelu, odesláno přes osobní e-mail – přílohy nešifrované | AI vygeneruje nabídku ze šablony, osobní údaje doplní CRM – AI nevidí citlivá data |
Dokumenty a faktury
| Činnost | ❌ Jak to firmy dělají dnes | ✅ Jak to dělá AI se smlouvou |
|---|---|---|
| Zpracování příchozích faktur | Účetní přepisuje ručně do tabulky – data leží ve free Google Sheets bez smlouvy | AI přes API přečte částku a dodavatele, zapíše do systému – data se okamžitě smažou (nulové uchovávání) |
| Ukládání smluv a dokumentů | Sdílená složka na free Google Disku – bez správy přístupů, bez smlouvy, bez auditu | Firemní SharePoint se schvalováním a řízením přístupu – kdo co vidí, vše zaznamenáno |
| Schvalování dokumentů | E-mail tam a zpět – nikdo neví, kde to je, kdo schválil, kdy | Automatický schvalovací workflow – žádost → schválení → evidence, vše na jednom místě |
Interní procesy
| Činnost | ❌ Jak to firmy dělají dnes | ✅ Jak to dělá AI se smlouvou |
|---|---|---|
| Zápisy z porad | Někdo píše ručně, posílá mailem – nezašifrováno, bez kontroly kdo četl | Teams přepíše automaticky, AI shrne a pošle úkoly – zůstává v M365 se smlouvou |
| Připomínky klientům a dodavatelům | Ručně, když si někdo vzpomene – zapomíná se, platby se zpožďují | Automatická připomínka – systém pošle jméno a termín, žádná citlivá data |
| Hesla k firemním účtům | Napsaná na papírku, ve sdíleném Excelu nebo v hlavě jednoho člověka | Správce hesel se šifrováním a dvoufázovým ověřením – ne AI, ale součást digitalizace |
| Předávání know-how novým lidem | „Zeptej se Petra“ – když Petr odejde, know-how odejde s ním | Firemní znalostní báze s AI vyhledáváním – vše pohromadě, prohledatelné, dostupné |
Marketing a obchod
| Činnost | ❌ Jak to firmy dělají dnes | ✅ Jak to dělá AI se smlouvou |
|---|---|---|
| Psaní marketingových textů | Ručně, hodiny práce – nebo free ChatGPT bez smlouvy | AI napíše návrh, člověk upraví – žádná citlivá data, jen tvůrčí obsah |
| Třídění příchozích poptávek | Ručně čtou a přeposílají – zdržuje, chybuje se, poptávky se ztrácejí | AI přečte téma a přepošle správnému člověku – nečte obsah, jen klíčová slova |
| Reporting – týdenní/měsíční přehledy | Někdo skládá ručně z tabulek – zabere hodiny, často se odkládá | AI stáhne data, napíše shrnutí, pošle v pondělí ráno – firemní plán se smlouvou |
📌 Pointa: Většina firem už dnes posílá citlivá data přes nástroje bez jediné smlouvy o ochraně. AI se smlouvou není nové riziko – je to příležitost udělat věci bezpečněji, než jak je děláte teď. A většina práce, kterou AI automatizuje, nepotřebuje citlivá data vůbec.
6. Co do AI zadávat a co ne – praktické příklady
Analogie: AI se smlouvou = odborník s mlčenlivostí. Ale i jemu neukážete PIN ke kartě – ukážete mu fakturu a řeknete „zapiš to.“ Většina práce, kterou vám AI ušetří, nepotřebuje citlivá data vůbec.
✅ Bezpečné použití – ano, tohle dělejte
| Co děláte | Proč je to bezpečné | Jak na to |
|---|---|---|
| AI odpovídá klientům na obecné dotazy | Žádná osobní data – jen otevírací hodiny, ceník, postup | Jakýkoliv plán |
| Třídění poptávek podle klíčových slov | AI čte jen téma zprávy, ne citlivý obsah | Automatizace + API |
| Shrnutí z firemní porady | Interní provozní data, pokrytá firemním plánem | M365 Copilot |
| Generování nabídek ze šablony | AI doplní strukturu, ne citlivá data klienta | Claude API |
| Automatické připomínky klientům | Posílá se jméno a termín – ne rodné číslo | Automatizace + e-mail |
| Zpracování faktury – částka, datum, dodavatel | Data projdou přes API, nic se neuloží (nulové uchovávání) | API + ZDR |
| Analýza veřejně dostupných dat a trendů | Žádná firemní ani osobní data | Jakýkoliv plán |
| Psaní marketingových textů, postů, e-mailů | Tvůrčí obsah bez citlivých údajů | Jakýkoliv plán |
| Překlad dokumentů bez osobních údajů | Obecný text, žádná identifikace osob | Jakýkoliv plán |
| Schvalování dokumentů přes firemní intranet | Běží uvnitř firemního prostředí se smlouvou | SharePoint + Power Automate |
| AI asistent pro analýzu firemních reportů | Firemní plán, data chráněna smlouvou | Claude Team / M365 Copilot |
❌ Nebezpečné použití – tohle nedělejte
| Co děláte | Proč je to riziko | Kde se to stává |
|---|---|---|
| Celá databáze klientů s rodnými čísly | Osobní údaje bez smlouvy = porušení GDPR | Free ChatGPT |
| Zdravotní záznamy pacientů nebo zaměstnanců | Zvláštní kategorie dat – nejpřísnější ochrana | Osobní účet |
| Kompletní účetnictví – příjmy, výdaje, platy | Finanční data + identifikace osob bez ochrany | Free AI |
| Hesla, přístupové klíče, API tokeny | Přímý přístup k systémům při úniku | Jakýkoliv chat |
| Smlouvy s osobními údaji klientů | Jména, adresy, podpisy – bez DPA | Osobní účet |
| Mzdové výkazy a osobní data zaměstnanců | Citlivá finanční data + identifikace | Free AI |
| Čísla bankovních účtů a platebních karet | Přímé finanční riziko při úniku | Jakýkoliv free |
| Interní strategie a obchodní tajemství | Může trénovat model – vaše know-how „uteče“ | Free AI |
| Kopie celých e-mailových konverzací s klienty | Osobní údaje, obsah komunikace bez souhlasu | Osobní účet |
| Fotografie zaměstnanců nebo klientů | Biometrické údaje – GDPR zvláštní kategorie | Free AI |
⚠️ Šedá zóna – záleží JAK to uděláte
| Co děláte | ✅ Bezpečně | ❌ Nebezpečně |
|---|---|---|
| Zpracování faktur | Přes API s nulovým uchováváním – data se okamžitě smažou | Vložení do free ChatGPT – data zůstanou uložena |
| Odpovídání klientům na e-maily | AI generuje odpověď ze šablony, osobní údaje doplní CRM systém | Celý e-mail s údaji klienta vložen do free AI |
| Analýza firemních dat | Claude Team nebo M365 Copilot – smluvní ochrana | Data zkopírována do osobního účtu bez smlouvy |
| Přepis nahrávek z jednání | Teams s firemním plánem – zůstává uvnitř M365 | Nahrávka nahrána do free AI přepisovače |
| AI pomáhá s HR dokumenty | Šablony bez osobních údajů, data doplní HR systém | Konkrétní jména a platy vloženy do AI chatu |
📌 Pointa: AI nepotřebuje vidět citlivá data, aby vám ušetřila práci. Většina automatizací pracuje s provozními informacemi – kdo volal, co chce, kdy je termín. Citlivé údaje zůstávají v CRM, účetním systému nebo HR databázi. Největší riziko není v AI se smlouvou. Největší riziko je v tom, co už děláte dnes – posíláte data přes free Gmail bez jediné smlouvy o ochraně.
Co z toho plyne?
Většina firem neodmítá AI kvůli bezpečnosti. Odmítá ji kvůli pocitu nebezpečí. Přitom nástroje, které denně používají, jsou objektivně méně bezpečné než to, co odmítají.
Nejde jen o GDPR — existuje i směrnice o kybernetické bezpečnosti
Když se mluví o ochraně dat, většina firem myslí na GDPR. Ale v EU platí i směrnice NIS2 o kybernetické bezpečnosti (Směrnice 2022/2555). Lhůta pro její zavedení do národních zákonů uplynula v říjnu 2024 – Česko ji transponovalo do nového zákona o kybernetické bezpečnosti (č. 264/2025 Sb.), který je účinný od listopadu 2025. NIS2 dopadá přímo na poskytovatele cloudových služeb – tedy na Google, Microsoft, Anthropic i OpenAI. Ukládá jim povinnosti v oblasti řízení rizik, hlášení incidentů a zabezpečení dodavatelského řetězce. Pro vás jako zákazníka to znamená jednu věc navíc: když si vybíráte cloudového poskytovatele, můžete se ptát nejen na DPA a certifikace, ale i na to, jestli splňuje požadavky NIS2. U firemních verzí (Google Workspace, Microsoft 365, Claude Team/Enterprise) to můžete očekávat a smluvně vyžadovat. U free účtů nemáte smluvní vztah, a tedy ani páku, abyste cokoliv z toho vymáhali.
Tři čísla, která říkají všechno
| Co firma DĚLÁ | Co firma ODMÍTÁ | Co firma RISKUJE |
|---|---|---|
| 0 smluv o ochraně dat. Free Gmail, Google Disk, hesla uložená nešifrovaně, ChatGPT zdarma pro firemní dotazy. Data čte Google, OpenAI i hackeři. | 5+ bezpečnostních opatření – smlouva o ochraně dat, nezávislý audit (SOC 2, ISO), šifrování vojenské úrovně, záznamy aktivit, možnost nulového uchovávání. | Pokuta až 20 mil. € nebo 4 % ročního obratu. Zpracování osobních dat zákazníků bez smlouvy je porušení GDPR. Ne „kdyby“. Teď. |
Co udělat zítra ráno
- Zjistěte, kde máte firemní data. Používá někdo ve firmě free Gmail, Google Disk, hesla nešifrovaně, nebo free ChatGPT pro práci s daty zákazníků? Pokud ano, máte problém.
- Přestaňte posílat firemní data přes free účty. Přechod na Google Workspace (od ~170 Kč/měsíc/osoba) nebo Microsoft 365 (od ~150 Kč/měsíc/osoba) trvá hodiny, ne týdny.
- Pokud používáte AI pro firemní účely, přejděte na firemní verzi. Claude Team (~600 Kč/měsíc/osoba) nebo Copilot v rámci M365 – obojí má smlouvu, certifikace a kontrolu přístupů.
- Zkontrolujte, jestli máte podepsanou smlouvu o ochraně dat se všemi poskytovateli, kterým svěřujete data zákazníků. Pokud ne, řešte to dnes.
- Potřebujete pomoc? Ozvěte se. Pomůžu vám vyhodnotit, co používáte, kde máte rizika, a navrhnout řešení na míru.
Zdroje: OpenAI Privacy Policy (2026), OpenAI Security and Privacy (openai.com/security-and-privacy), Anthropic Privacy Center (DPA, ZDR, certifikace), Google Gemini Privacy Hub (03/2026), Google Workspace Trust Center, Google Ads Help (How Gmail ads work), Microsoft Learn – Copilot Privacy & Data Protection, Group-IB Threat Intelligence Report (2023), TechCrunch, Fast Company, Axios. Ověřeno k březnu 2026. Toto není právní porada – pro závazné posouzení kontaktujte specialistu na ochranu osobních údajů.