Jak zavést AI na úřadu a na co si dát pozor

Průvodce pro veřejnou správu

Aktualizováno: duben 2026
AI Act · GDPR · zákon o e-Governmentu

ChatGPT, Copilot nebo Gemini mohou úředníkům ušetřit hodiny práce. Bez správného nastavení ale hrozí únik dat, porušení GDPR i pokuty podle AI Actu. Než AI na úřadě skutečně nasadíte, je potřeba vyřešit právní rámec, bezpečnost dat, interní pravidla i odpovědnost za výstupy.

Tento přehled shrnuje hlavní body, které by měly být vyjasněné dřív, než zaměstnanci začnou AI běžně používat v každodenní agendě.

Bc. Vojtěch Schlesinger

Autor článku

Obsah článku

Než začnete: co říká zákon
Pozor na bezplatné AI pro veřejnost
Tři způsoby, jak pracovat s osobními údaji
DPIA: bez ní ani ránu
Člověk musí mít vždy poslední slovo
Napište vnitřní směrnici
Pozor na halucinace a právní odpovědnost
Závazné zdroje a další čtení

1. Než začnete: co říká zákon

AI Act je nařízení EU platné přímo v Česku, bez přepisu do národního zákona. Týká se každé organizace, která AI vyvíjí, dováží nebo používá. Gesce nad implementací leží na Ministerstvu průmyslu a obchodu, dozor vykonává Český telekomunikační úřad (ČTÚ) a v oblasti osobních údajů ÚOOÚ.

Pro běžné využití na obci, kde nepoužíváte vysoce rizikové systémy (biometrická identifikace, automatické rozhodování, sociální skóring, atd.) je důležitá hlavně zásada transparentnosti, kdy musí občan vědět, pokud komunikuje s umělou inteligencí (např. s obecním chatbotem), anebo když umělá inteligence bude nějak zpracovávat osobní údaje.

Dále platí povinnost zajistit AI gramotnost zaměstnanců už od února 2025 a vztahuje se na všechny systémy, i ty s minimálním rizikem.

V praxi bývá největší problém právě nakládání s osobními údaji, které řeší i GDPR.

Tip: Začněte inventurou. Zjistěte, jaké AI nástroje vaši lidé fakticky používají, včetně těch neoficiálních. Bez tohoto přehledu nelze nastavit žádná pravidla.

2. Pozor na bezplatné veřejné nástroje

Největší chyba, které se úřady dopouštějí, je vkládání citlivých, důvěrných nebo dokonce osobních údajů občanů do bezplatných nebo osobních verzích nástrojů umělé inteligence jako je ChatGPT, Gemini a další.

Data tak mohou skončit v trénovacích sadách, nebo mohou být i manuálně revidována lidskými trenéry. Bezpečnostní incidenty spojené s tzv. shadow AI jsou časté a firmy na ně doplácejí.

Pro práci s daty občanů musí úřad využívat podnikové verze: ChatGPT Enterprise, Gemini pro Google Workspace nebo Microsoft Copilot (v rámci schválené instalace).

Tyto verze zaručují, že data se nepoužívají k trénování modelu. Také si zapněte, že data nebudou ukládana mimo EU.

Nezbytná podmínka je podepsaná Zpracovatelská smlouva (DPA) , která definuje poskytovatele jako zpracovatele dle GDPR. Podle doporučení NÚKIB ve veřejné správě nepoužívejte žádné čínské nástroje.

Praktické doporučení: pro státní správu může být nejsnažší nástup přes Microsoft Copilot v rámci existujících licencí M365, kde už bývají smluvní i bezpečnostní standardy nastavené.

Pozor: V nepodnikových a bezplatných verzích není zaručeno, že data nebudou použita pro trénování a tím pádem byste do nich museli zadávat jenom veřejná (anonymizovaná) data bez osobních údajů.

3. Tři způsoby, jak pracovat s osobními údaji

Než úředník vloží jakákoli data do AI, musí vědět, co vkládá. Praxe zná tři přístupy:

Metoda	Jak funguje	Náročnost
Anonymizace	Jména, adresy a identifikátory nahradíte zástupnými symboly, například „Osoba A“, ještě před zadáním do AI.	Nízká - bez vkládání citlivých dat nehrozí riziko úniku dat nebo porušení GDPR
Pseudonymizace	Data jsou nahrazena kódy, k jejichž klíči má přístup jen úřad. AI vidí pouze kódy, nikoli skutečné osoby.	Střední - někdy obtížná bez specializovaného SW
Uzavřené prostředí	Celý systém běží v zabezpečeném cloudu úřadu. Osobní data jsou chráněna podobně jako v dalších kritických informačních systémech.	Vysoká - potřebujete součinnost IT

4. DPIA: bez ní ani ránu

Před nasazením AI pro zpracování osobních údajů musí úřad povinně vypracovat DPIA, tedy posouzení vlivu na ochranu osobních údajů. Třeba zjistíte, že pro některé účely není vhodné vůbec AI používat, nebo stačí data anonymizovat. Vždy je nutné držet zásady GDPR: minimalizace, účelové omezení, transparentnost a práva subjektů údajů.

DPIA analyzuje rizika pro občany a určuje opatření k jejich zmírnění. Bez tohoto dokumentu nelze AI legálně nasadit. Šablony a metodiku najdete na webu ÚOOÚ.

Pozor: Pokud uvažujete o AI pro biometrickou identifikaci nebo hodnocení věrohodnosti občanů, jde o kategorii high-risk. Takové nasazení je vhodné předem konzultovat s ČTÚ a ÚOOÚ.

5. Člověk musí mít vždy poslední slovo

AI nesmí rozhodovat o občanech samostatně. Jde o princip human-in-the-loop, zakotvený v článku 22 GDPR. Žádné správní rozhodnutí, zamítnutí dávky, vydání povolení ani posouzení žádosti nesmí vydat AI bez potvrzení úředníkem. Také AI nesmí jednat za vás, nebo se za vás jako úředníka vydávat.

Také doporučujeme, aby každý výstup umělé inteligence byl kontrolován, zejména pokud se jedná o finální výstup, který někde publikujete nebo posíláte. Není možné se vymlouvat na AI, že si něco vymyslela nebo udělala špatně.

6. Napište vnitřní směrnici

Zkušenosti Prahy, Brna i státních ministerstev ukazují, že bez jasné vnitřní politiky vzniká chaos. Praha skrze Operátor ICT zavedla směrnice, kde má každé oddělení určeného AI garanta, tedy osobu odpovědnou za to, aby se do systému nedostala data, která tam nepatří.

Směrnice by měla jasně definovat:

které nástroje jsou povoleny a pro jaké agendy,
co je veřejný text a co chráněný údaj,
kdo je AI garant v daném odboru a jaké má pravomoci,
jak se dokumentuje použití AI v rozhodovacích procesech.

Ukázková směrnice:

Každý zaměstnanec je odpovědný za svou práci bez ohledu na zdroje, které k ní používá. Využití vadných dat vygenerovaných AI není důvodem pro zproštění odpovědnosti zaměstnance za případnou škodu způsobenou zaměstnancem zaměstnavateli na základě užití vadných dat.
Každý zaměstnanec je odpovědný za kontrolu a ověřování obsahu generovaného AI.
Zaměstnanec nesmí v žádném případě zadávat do (veřejných - podle toho jakou máte implementaci) AI nástrojů (např. v rámci pokynů/promptů) žádné osobní údaje, údaje ze správních řízení, informace mající charakter obchodního tajemství, či jiné zákonem chráněné údaje.
Zaměstnanci nesmí používat obsah vygenerovaný AI při jednání za zaměstnavatele, či obecní úřad

7. Pozor na halucinace a právní odpovědnost

AI si může vymyslet paragraf, citovat neexistující rozsudek nebo uvést chybné číslo. Úředník je vždy právně odpovědný za správnost výstupu. AI je nástroj, ne autor rozhodnutí.

Zaměstnanci musí skutečně rozumět nástrojům, se kterými pracují: jak posoudit výstupy AI, kde jsou její limity a jaká data smějí do systému vkládat. To není jen etická zásada, ale i povinnost podle AI Actu, konkrétně v oblasti AI gramotnosti.

Nepodceňujte školení: obzvláště při práci s citlivými údaji musíte zajistit pravidelné školení pracovníkům úřadů jak z pohledu AI Act, tak i GDPR.

8. Závazné zdroje a další čtení

Při přípravě nasazení AI se opřete o tyto autoritativní zdroje:

Digitální a informační agentura: dia.gov.cz - standardy pro eGovernment cloud a digitální služby státu.
Česká asociace umělé inteligence: asociace.ai/eu-ai-act - přehled AI Actu a praktické materiály pro úřady i firmy.
EUR-Lex - plné znění AI Actu: eur-lex.europa.eu - evropský právní rámec v češtině.

Zavést AI na úřadu jde. Vyžaduje to přípravu, správné nástroje a jasná pravidla, ne improvizaci s osobním účtem v ChatGPT. Napište nám nebo nám zavolejte a domluvte se na konzultaci nebo na školení. Rádi vám pomůžeme.

Tato webová stránka používá cookies

Název služby

Jak zavést AI na úřadu