Jak zavést interní AI policy pro tým do 20 lidí: šablona + kontrolní body

Návody ChatGPTDataNástrojeScénářeTýmy

Malý tým obvykle nepotřebuje třicetistránkovou směrnici. Potřebuje krátký, srozumitelný dokument, podle kterého lidé poznají tři věci: co smějí do AI nástrojů zadávat, k čemu je smějí používat a kdo nese odpovědnost za výstup. Právě v týmu do 20 lidí bývá problém nejviditelnější: jeden člověk používá ChatGPT na e-maily, druhý Copilot v Office, třetí zapisuje porady do AI přepisovače a nikdo přesně neví, zda se do služby neposílají osobní údaje, obchodní tajemství nebo neveřejné smlouvy.

Dobře nastavená interní AI policy není zákaz používání AI. Je to provozní pravidlo, které zkrátí rozhodování a sníží škody. V praxi má mít 2 až 5 stran, jasně definované role, seznam povolených nástrojů a několik situací, kdy se AI nesmí použít vůbec. Pokud tým pracuje s klientskými daty, HR agendou nebo neveřejnými finančními podklady, policy je vhodné zavést dřív, než se AI stane neřízeným standardem.

Pro základní orientaci v rozdílech mezi službami se hodí i přehled na aivyber.cz/ai-nastroje, kde lze porovnat, jaké typy nástrojů se pro firemní provoz běžně používají. U textových asistentů je užitečné sledovat i konkrétní limity a režimy nasazení, například v přehledu ChatGPT na AIVýběr.

1. Nejprve určete, proč policy vzniká a jaké riziko má řešit

Stock image

Ilustrační kontext k tématu pokračuje níže.

article-ai-1

Nejčastější chyba je začít seznamem zákazů. Lepší postup je začít rozsahem. U malého týmu obvykle stačí odpovědět na čtyři otázky:

  1. Jaké typy dat se v týmu zpracovávají?
  2. Které činnosti už lidé v AI dělají bez pravidel?
  3. Kde hrozí největší škoda při chybě?
  4. Kdo schvaluje výjimky?

Co dělat: Sepište během 30 minut seznam 10 nejběžnějších pracovních úkolů, u nichž lidé AI reálně používají nebo brzy používat budou. Typicky: návrhy e-mailů, zápisy z porad, shrnutí dokumentů, překlady, tvorba osnov, analýza tabulek, úprava marketingových textů, generování obrázků a práce se zdrojovým kódem.

Pro koho: Pro zakladatele, team leady, office manažerku, provozní manažerku nebo člověka, který má na starosti IT a procesy, i když to není plnohodnotný compliance specialista.

Kdy to nepoužívat: Pokud firma už spadá do přísně regulovaného režimu s vlastní korporátní směrnicí nebo má závazné požadavky od mateřské společnosti. V takovém případě má lokální tým pouze doplnit provozní pravidla, ne vytvářet paralelní dokument.

Výstupem této fáze nemá být právnický text, ale jednoduchá definice cíle. Například: „Policy zavádíme kvůli ochraně klientských dat, sjednocení povolených nástrojů a nastavení lidské kontroly nad výstupy AI.“ To stačí jako úvodní věta dokumentu i jako interní vysvětlení, proč pravidla vznikají.

2. Rozdělte data do tří tříd a podle toho povolte nebo zakažte vstupy

Stock image

Nejpraktičtější část policy je klasifikace dat. Bez ní lidé nevědí, co smí do chatu vložit. Pro tým do 20 lidí obvykle stačí tři třídy:

A. Veřejná data

Obsah, který je publikovaný nebo určený ke zveřejnění: tiskové zprávy, veřejné produktové popisy, publikované články, obecné osnovy, interně schválené marketingové texty.

Pravidlo: Lze použít v běžných AI nástrojích, pokud to neporušuje licenční nebo smluvní podmínky.

B. Interní neveřejná data

Interní postupy, neveřejné prezentace, obchodní plány, roadmapy, rozpočty, poznámky z porad, neveřejné nabídky.

Pravidlo: Lze použít jen v předem schválených nástrojích a po minimalizaci dat. To znamená odstranit jména, částky, názvy klientů, identifikátory projektů a vše, co není nutné pro splnění úkolu.

C. Citlivá a zakázaná data

Osobní údaje, zvláštní kategorie osobních údajů, klientské smlouvy bez anonymizace, mzdová agenda, zdravotní informace, přístupové údaje, API klíče, neveřejný zdrojový kód bez schválení, bezpečnostní incidenty, dokumenty pod NDA, pokud smlouva AI zpracování nepokrývá.

Pravidlo: Do veřejně dostupných AI služeb se nevkládají. Bez výjimky.

Co dělat: Vložte tuto klasifikaci přímo do policy jako tabulku „typ dat / příklad / povoleno / podmínka / zakázáno“.

Pro koho: Pro všechny členy týmu bez rozdílu seniority. Pravidlo musí rozumět i nový člověk první den v práci.

Kdy to nepoužívat: Pokud tým pracuje výhradně s anonymizovanými veřejnými daty a žádné citlivé vstupy do AI neposílá. I tehdy ale dává smysl stručná verze alespoň na jednu stránku.

Právě tady vzniká největší praktický přínos. Zaměstnanec nemusí řešit abstraktní otázku, zda je nástroj „bezpečný“. Posuzuje konkrétní vstup. To je rychlejší i vymahatelnější.

3. Vytvořte seznam povolených nástrojů a u každého popište režim použití

Stock image

Policy bez seznamu povolených služeb bývá v praxi nefunkční. Lidé si pak vyberou nástroj sami podle ceny nebo podle prvního výsledku ve vyhledávači. Malý tým obvykle vystačí s 3 až 6 schválenými službami.

OpenAI

Do seznamu je vhodné uvést alespoň:

  • název služby,
  • účel použití,
  • kdo ji smí používat,
  • jaký typ dat do ní smí vstupovat,
  • kdo platí licenci a kdo spravuje přístupy.

Typický firemní základ může vypadat takto:

  • ChatGPT Team / Business – texty, shrnutí, osnovy, překlady, interní brainstorming. Oficiální web: https://openai.com/. Orientační cena: dříve se pohybovala kolem 25–30 USD za uživatele měsíčně podle tarifu a podmínek; vždy ověřit aktuální ceník.
  • Microsoft Copilot pro Microsoft 365 – práce v Wordu, Excelu, Outlooku, Teams a nad firemním tenantem. Oficiální web: https://www.microsoft.com/microsoft-365/copilot. Orientační cena: kolem 30 USD za uživatele měsíčně, bez DPH a dle licence.
  • Claude Team – práce s delšími dokumenty, shrnutí, analýza textů. Oficiální web: https://www.anthropic.com/claude. Orientační cena: kolem 25–30 USD za uživatele měsíčně dle tarifu.
  • Otter.ai nebo Fireflies.ai – přepis porad a shrnutí schůzek. Oficiální weby: https://otter.ai/, https://fireflies.ai/. Orientační cena: přibližně 10–20 USD za uživatele měsíčně podle plánu.
  • GitHub Copilot – doplňování kódu, návrhy testů, vysvětlení funkcí. Oficiální web: https://github.com/features/copilot. Orientační cena: od jednotek až nižších desítek USD za uživatele měsíčně podle edice.

Co dělat: U každého nástroje napište jednou větou „povoleno pouze pro…“ a „zakázáno pro…“. Například: „Otter.ai je povolen pro interní provozní porady, ale ne pro hovory s klientem bez předchozího souhlasu účastníků.“

Pro koho: Pro vedoucí týmů, marketing, obchod, zákaznickou podporu, HR i vývoj. Každý útvar může mít jinou sadu povolených nástrojů.

Kdy to nepoužívat: Pokud firma umí centrálně prosadit pouze jednu schválenou platformu a vše ostatní blokuje technicky. V takovém případě stačí uvést jednu platformu a zakázat obcházení.

Důležité je nepoužívat osobní účty pro firemní práci. Policy má jasně říct, že firemní výstupy vznikají jen v pracovních účtech spravovaných organizací. To je podstatné kvůli odchodu zaměstnance, správě přístupů i auditní stopě.

4. Nastavte role a odpovědnost: kdo zadává, kdo kontroluje, kdo schvaluje

AI policy selhává ve chvíli, kdy není jasné, kdo odpovídá za chybný výstup. U malého týmu není nutné zavádět složitou matici rolí, ale musí být zřejmé, že odpovědnost nenese nástroj, nýbrž člověk.

Prakticky fungují tři role:

  • Uživatel AI – zadává prompt, připravuje výstup, označí použití AI, pokud to proces vyžaduje.
  • Kontrolor – ověří faktickou správnost, zdroje, tón komunikace, právní nebo procesní soulad.
  • Správce policy – obvykle founder, COO, team lead nebo IT správce; spravuje seznam nástrojů, rozhoduje o výjimkách a aktualizacích.

Co dělat: Do policy vložte pravidlo „Bez lidské kontroly se AI výstup nesmí odeslat klientovi, zveřejnit jménem firmy ani použít jako jediný podklad pro rozhodnutí o člověku.“

Pro koho: Pro marketingové a obchodní týmy, kde AI často generuje texty a návrhy rychleji, než je stíhá někdo zkontrolovat. Stejně důležité je to pro HR a support.

Kdy to nepoužívat: Ne ve smyslu zrušení kontroly, ale neformulovat pravidlo příliš obecně. Věta typu „vždy používejte zdravý rozum“ není vymahatelná a v policy nemá velkou hodnotu.

Dobré je přidat i jednoduché označení rizika úkolu:

  • Nízké riziko: interní osnova, shrnutí veřejného článku, jazyková úprava textu.
  • Střední riziko: návrh nabídky, odpověď klientovi, zápis z porady.
  • Vysoké riziko: právní text, cenová kalkulace, HR hodnocení, finanční analýza, bezpečnostní doporučení.

Pro vysoké riziko má policy vyžadovat druhé oči nebo výslovné schválení odpovědnou osobou.

5. Zaveďte minimální provozní pravidla: přístupy, logování, retence a mazání

I malý tým potřebuje několik technických a provozních zásad. Nejde o enterprise architekturu, ale o základní pořádek. Nejčastěji stačí pět bodů:

  1. Firemní AI nástroje se používají pouze přes pracovní účet.
  2. Přístupy se vypínají nejpozději v den odchodu člověka z firmy.
  3. Do AI se nevkládají hesla, tokeny, privátní klíče ani celé databázové exporty.
  4. Pokud nástroj umožňuje historii, sdílené konverzace nebo trénování na datech, musí být nastavení předem ověřeno podle firemních podmínek a dokumentace poskytovatele.
  5. Výstupy určené pro klienta nebo veřejnost se ukládají do firemního systému, ne pouze v chatu nástroje.

Co dělat: Přidejte do policy krátký onboarding a offboarding checklist. Při nástupu: vytvořit účet, přidat do schválených workspace, poslat pravidla použití. Při odchodu: zneplatnit přístup, převést vlastnictví sdílených konverzací nebo projektů, zkontrolovat napojení na další služby.

Pro koho: Pro office management, HR a správu IT, i pokud ji externě zajišťuje dodavatel.

Kdy to nepoužívat: Pokud tým vůbec nepoužívá samostatné AI účty a vše běží pouze v rámci již spravované platformy, například v tenantovi Microsoft 365. I tam ale zůstává nutné řešit přístupová oprávnění a odchody lidí.

U přepisů porad a schůzek je potřeba přidat ještě jednu podmínku: účastníci mají vědět, že schůzka je nahrávána nebo přepisována AI nástrojem. To je důležité provozně i právně. Policy by měla určit, kdo tuto informaci oznamuje a zda je pro některé typy schůzek potřeba výslovný souhlas.

6. Přidejte rozhodovací strom: kdy AI použít, kdy jen s anonymizací a kdy vůbec ne

Jedna z nejpraktičtějších částí policy je krátký rozhodovací strom. Lidé ho použijí rychleji než celý dokument. Může vypadat takto:

  1. Obsahuje vstup osobní údaje, mzdová data, smlouvu, tajný kód nebo bezpečnostní informaci? Ano: do běžného AI chatu nevkládat.
  2. Je úkol pouze podpůrný a výstup bude člověk kontrolovat? Ano: použít lze schválený nástroj.
  3. Je možné data před vložením zkrátit, zobecnit nebo anonymizovat? Ano: použít anonymizovanou verzi.
  4. Bude výstup odeslán klientovi nebo použit jako podklad pro důležité rozhodnutí? Ano: nutná lidská kontrola a u vysoce rizikových případů druhé schválení.

Co dělat: Vytiskněte rozhodovací strom na jednu stránku a přiložte ho k policy jako přílohu. U malého týmu funguje lépe než dlouhé vysvětlování.

Pro koho: Pro nové zaměstnance, juniorní role a externisty, kteří nemají plný kontext firemních procesů.

Kdy to nepoužívat: Pokud je text příliš obecný a neodpovídá konkrétním situacím ve firmě. Rozhodovací strom musí vycházet z reálných úkolů týmu, ne z abstraktních pouček.

Výhodou je, že tento formát usnadní i školení. Během 20 minut lze s týmem projít modelové situace a hned ukázat, jak se rozhoduje v praxi.

7. Praktické scénáře: co je povoleno, podmíněně povoleno a zakázáno

Níže jsou scénáře, které se v týmu do 20 lidí objevují nejčastěji. Právě na nich má policy stát, protože lidé si pravidla pamatují podle situací, ne podle definic.

Scénář 1: Marketing chce zkrátit hotový článek pro LinkedIn

Povoleno: Ano, pokud jde o vlastní nebo schválený text bez neveřejných informací.

Podmínka: Výstup upraví člověk a zkontroluje fakta, datumy, názvy produktů a tonalitu značky.

Nepoužívat: Pokud článek obsahuje embargo, neveřejná data kampaně nebo cizí text bez vyjasněných licenčních podmínek.

Scénář 2: Obchod chce vložit celý e-mailový thread s klientem a nechat AI navrhnout odpověď

Podmíněně povoleno: Jen po odstranění jmen, kontaktů, cenových detailů, neveřejných smluvních podmínek a dalších identifikátorů, a pouze ve schváleném nástroji.

Kontrola: Odeslanou odpověď musí schválit odpovědný obchodník.

Nepoužívat: Pokud jde o spor, reklamaci, smluvní výklad nebo citlivé vyjednávání.

Scénář 3: HR chce z životopisů vytvořit souhrn kandidátů

Obvykle nepovoleno v běžných veřejných AI službách: Životopisy obsahují osobní údaje a často i citlivé informace.

Možná cesta: Pouze pokud má firma vyhodnocený konkrétní nástroj, právní titul zpracování a proces, který pokrývá ochranu osobních údajů.

Nepoužívat: Pro automatické rozhodování o přijetí, pořadí kandidátů bez lidského posouzení nebo generování hodnoticích soudů bez ověřitelných kritérií.

Scénář 4: Vývojář chce vložit část interního kódu do AI asistenta

Podmíněně povoleno: Jen pokud je to v souladu s pravidly firmy a klientských smluv, ideálně v nástroji schváleném pro vývojový tým.

Kontrola: Výstup musí projít code review a bezpečnostním posouzením.

Nepoužívat: U proprietárního kódu klienta, bezpečnostních modulů, tajných algoritmů nebo při zákazu ve smlouvě.

Scénář 5: Tým chce zapisovat interní porady pomocí AI přepisu

Povoleno: Ano, pokud jsou účastníci informováni a záznam se ukládá podle interních pravidel.

Podmínka: Nepřepisovat porady, kde se řeší mzdy, disciplinární otázky, zdravotní informace nebo neveřejná právní strategie.

Nepoužívat: Pokud některý účastník nesouhlasí a neexistuje jiný právní nebo smluvní základ.

Co dělat: Přidejte do policy alespoň 5 až 8 scénářů přímo z prostředí firmy. To je účinnější než dlouhé definice.

Pro koho: Pro celý tým, hlavně pro role, které denně pracují s textem, klienty nebo záznamy schůzek.

Kdy to nepoužívat: Pokud scénáře neodpovídají realitě firmy. Kopírované příklady z internetu bez vazby na vlastní procesy ztrácejí hodnotu.

8. Stanovte limity: kde AI nesmí nahrazovat odborné posouzení

Dobrá policy neříká jen co je povoleno, ale i co AI dělat nemá. Pro malý tým jsou zásadní čtyři limity:

  • AI není právník. Nesmí sama tvořit finální právní stanovisko, smluvní výklad ani závazné podmínky bez kontroly kvalifikované osoby.
  • AI není účetní ani daňový poradce. Nesmí být jediným podkladem pro zaúčtování, daňové posouzení nebo reporting.
  • AI není HR rozhodovatel. Nesmí sama vybírat, vyřazovat nebo hodnotit lidi bez jasných kritérií a lidského přezkumu.
  • AI není zdroj pravdy. U faktů, citací, čísel a aktuálních podmínek je nutné ověření v primárním zdroji.

Co dělat: Přidejte do policy samostatnou sekci „Zakázaná použití“. U malého týmu stačí 6 až 10 bodů.

Pro koho: Pro vedení firmy a všechny role, které mohou AI výstup mylně chápat jako hotové odborné stanovisko.

Kdy to nepoužívat: Nepište limity stylem „AI může být nepřesná“. To je příliš vágní. Potřebujete konkrétní zákazy a povinné kontroly.

Do zakázaných použití lze běžně zařadit také generování deepfake materiálů jménem firmy, obcházení interních schvalovacích procesů a vkládání dat do neschválených služeb jen proto, že jsou zdarma.

9. Nasazení do 14 dnů: krátký harmonogram pro tým do 20 lidí

Policy je užitečná jen tehdy, když se opravdu zavede. U malého týmu je realistické zvládnout první verzi během dvou týdnů.

Den 1 až 2: mapování

  • Sepsat používané nástroje.
  • Vyjmenovat typy dat a rizikové procesy.
  • Určit správce policy.

Den 3 až 5: první verze dokumentu

  • Napsat účel policy.
  • Doplnit klasifikaci dat.
  • Vytvořit seznam povolených nástrojů.
  • Přidat role, kontroly a zakázaná použití.

Den 6 až 7: revize s vedoucími

  • Projít scénáře po odděleních.
  • Opravit nejasná místa.
  • Potvrdit vlastníka aktualizací.

Den 8 až 10: technické kroky

  • Sjednotit firemní účty.
  • Vypnout nepovolené pracovní postupy, pokud to jde.
  • Připravit onboardingový checklist.

Den 11 až 14: školení a spuštění

  • 30minutové školení nad reálnými scénáři.
  • Rozeslání jedné strany s rozhodovacím stromem.
  • Potvrzení seznámení s pravidly.

Co dělat: Vyhlašte policy jako verzi 1.0 s datem revize za 90 dní. To je praktičtější než čekat na „dokonalý“ dokument.

Pro koho: Pro zakladatele a malé manažerské týmy, které nemají samostatné právní nebo compliance oddělení.

Kdy to nepoužívat: Pokud firma současně zavádí zásadní změnu infrastruktury nebo přechází na jiný kancelářský ekosystém. Pak je lepší policy sladit s novým prostředím, aby se nemusela za měsíc přepisovat.

10. Šablona interní AI policy pro malý tým

Následující struktura je dostatečná pro první interní verzi:

  1. Účel dokumentu – proč policy existuje.
  2. Rozsah – na koho se vztahuje: zaměstnanci, externisté, brigádníci.
  3. Klasifikace dat – veřejná / interní / citlivá a zakázaná.
  4. Schválené nástroje – seznam služeb, účel, omezení.
  5. Povolená použití – návrhy textů, shrnutí, překlady, přepisy, brainstorming.
  6. Zakázaná použití – osobní údaje, smlouvy bez anonymizace, hesla, rozhodování o lidech bez kontroly.
  7. Lidská kontrola – co musí zkontrolovat člověk před odesláním nebo zveřejněním.
  8. Role a odpovědnost – uživatel, kontrolor, správce policy.
  9. Provozní pravidla – firemní účty, přístupy, mazání, onboarding/offboarding.
  10. Porušení pravidel a výjimky – komu hlásit problém, kdo schvaluje výjimku.
  11. Revize dokumentu – kdo a jak často policy aktualizuje.

Co dělat: Napište policy s cílem vejít se do 2 až 5 stran plus příloha se scénáři. Pokud je delší, lidé ji obvykle nečtou.

Pro koho: Pro malé firmy, agentury, startupy, e-shopy a interní týmy, které chtějí rychle nastavit provozní minimum.

Kdy to nepoužívat: Pokud potřebujete řešit odvětvově specifické požadavky, například ve zdravotnictví, finančních službách nebo veřejné správě. Tam je nutné policy rozšířit o sektorové a právní povinnosti.

FAQ

Musí mít malá firma interní AI policy, i když používá jen ChatGPT na texty?

Ano, pokud v týmu nástroj používá více lidí nebo se v něm zpracovávají neveřejné informace. I jednostránková pravidla jsou lepší než žádná.

Stačí zaměstnancům říct, aby do AI nevkládali citlivá data?

Nestačí. Potřebují vidět konkrétní příklady, co je citlivé, jak data anonymizovat a které nástroje jsou schválené.

Je lepší vše zakázat, dokud nebude hotová detailní směrnice?

Ve většině malých týmů ne. Rozumnější je rychle zavést minimální pravidla, seznam povolených nástrojů a lidskou kontrolu výstupů.

Má policy řešit i autorská práva a zdroje?

Ano. Minimálně uveďte, že AI výstup nesmí být bez ověření vydáván za fakticky správný, původní nebo licenčně bezproblémový. U obrázků, textů i kódu je nutné kontrolovat podmínky použití.

Jak často policy aktualizovat?

První revize dává smysl po 60 až 90 dnech od zavedení. Poté při změně nástrojů, procesů nebo datových toků, minimálně ale jednou ročně.

Co když někdo používá pro firemní práci soukromý AI účet?

Policy to má výslovně zakázat. Firemní výstupy mají vznikat v účtech, které lze spravovat, auditovat a při odchodu zaměstnance odebrat.

Závěr

Interní AI policy pro tým do 20 lidí nemusí být složitá, ale musí být jednoznačná. Největší přínos přináší ve čtyřech bodech: rozliší, jaká data se do AI nesmějí vkládat, určí schválené nástroje, zavede lidskou kontrolu a vyjasní odpovědnost. Pokud dokument odpovídá reálným úkolům týmu, lze ho připravit během dvou týdnů a rychle uvést do provozu.

První verze nemusí vyřešit vše. Musí ale vyřešit to podstatné: aby lidé věděli, kdy AI použít, kdy data anonymizovat a kdy ji naopak vůbec nezapínat. U malého týmu je to rozdíl mezi užitečným nástrojem a zbytečným provozním rizikem.

Doporučený AI stack pro realizaci

Vyber si nástroje podle rozpočtu a úrovně automatizace. Níže je přímý přehled služeb pro realizaci projektu.

Služba Popis služby Nabídka
NordVPN VPN služba pro ochranu soukromí a bezpečné připojení. Otevřít nabídku
Semrush SEO a marketingová platforma pro analýzu a růst návštěvnosti. Otevřít nabídku
Make Pokročilá vizuální automatizace workflow a integrací. Otevřít nabídku
Hostinger Webhosting a domény pro rychlé spuštění webu. Otevřít nabídku
Fiverr Marketplace pro freelancery a externí specialisty. Otevřít nabídku
Adobe Kreativní nástroje pro grafiku, video a digitální obsah. Otevřít nabídku
Canva Online design nástroj pro grafiku, prezentace a sociální sítě. Otevřít nabídku
Jasper AI nástroj pro marketingové texty a obsahové kampaně. Otevřít nabídku

Poznámka: U uvedených služeb používáme affiliate odkazy. Pokud přes ně provedete nákup, můžeme získat provizi bez navýšení ceny pro vás.

Odkazy v článku

Zdroje ilustracnich obrazku

Vlastni ilustracni obrazek byl vytvoren pomoci OpenAI Images API.

Doporučení ke čtení