Umělá inteligence se stala běžnou součástí výuky i školních projektů. Spolu s novými možnostmi ale přichází i otázky – především kolem bezpečnosti dat a právního prostředí. NÚKIB nedávno vydal varování před čínskou platformou DeepSeek a vláda její používání ve státní správě zakázala. Co to znamená pro školy? A jak se v nabídce AI nástrojů vyznat tak, aby pedagogové i žáci pracovali bezpečně a v souladu s pravidly? Přinášíme praktický přehled bez složité právničiny od našeho lektora Jana Čecha.
Varování NÚKIB a umělá inteligence ve školách: jak se v tom vyznat (prakticky a bez omáčky)
Ozval se nám jeden váš kolega, že zde propagujeme LLM AI DeepSeek, který je z Číny a varoval před ním i NÚKIB. Tak nás napadlo, že vlastně pro školy by bylo dobré udělat nějakou souhrnnou informaci o tom, jak je to s tou bezpečností, Čínou apod.
Takže předně – NÚKIB vydal 10. července 2025 varování před produkty DeepSeek a dalšími produkty AI z branže AI. Nejde jen o technický detail – úřad explicitně zmiňuje rizika kolem nakládání s daty, možnost de-anonymizace uživatelů a hlavně právní a politické prostředí Číny. Varování je závazné pro „povinné osoby“ podle zákona o kybernetické bezpečnosti, ale NÚKIB současně doporučuje opatrnost i všem ostatním – tedy i školám. Zároveň uvádí, že open-source modely DeepSeek běžící lokálně bez přístupu na servery výrobce do varování nespadají. To je důležité pro školy, které uvažují o lokálním provozu AI. (Všechny odkazy zde citované můžete najít na závěr článku)
Na varování navázala vláda – používání produktů DeepSeek ve státní správě bylo zakázáno. Důvod? Riziko, že se citlivá data dostanou mimo kontrolu státu; rozhodnutí vychází z analýzy NÚKIB. Školy sice nejsou ministerstva, ale logika je podobná: pokud pracujete s osobními údaji dětí, nechcete, aby se ocitly v prostředí, kde je těžké uplatnit evropská pravidla a vymáhat nápravu.
Proč je problém, když AI běží mimo EU
Začněme obecně a celkem i jednoduše, abychom nezabředli do složité (opravdu sakra složité, to mi věřte) sítě právních nařízení. Takže jakmile data „vycestují“ z EU, jsme v právním terénu, kde neplatí automaticky všechny záruky GDPR. Uživatel i škola tak přicházejí o část kontroly. Obtížněji se zajišťuje výmaz, přístup k datům nebo omezení, kdo s nimi co dělá. To neznamená, že každý přenos je zakázaný; v praxi ale musíte mít jistotu, že se s daty zachází podle pravidel a že je máte jak ochránit. U školních dat (tedy hlavně u nezletilých) je laťka přirozeně vysoko.
Neprůhlednost je druhý velký problém. V řadě „volně dostupných“ AI není jasné, co přesně se ukládá, jak dlouho, kdo to může vidět (včetně partnerů) a jestli prompty a výstupy neskončí jako „krmivo“ pro další trénink modelu. To je obzvlášť citlivé, když do chatu omylem vložíte něco, co identifikuje konkrétního žáka, nebo dokonce celý dokument. Transparentnost a jasné vypnutí tréninku na uživatelských datech proto nejsou kosmetika, ale základní požadavek.
A do třetice: vymahatelnost. Když se něco stane (únik, neautorizované předání), škola naráží na firmu v jiné jurisdikci. U Číny je to ještě citlivější – čl. 7 Zákona o národní zpravodajské službě ukládá organizacím „podporovat, pomáhat a spolupracovat“ se zpravodajskými orgány. Jinými slovy: když stát data chce, firma těžko odmítne. Právě to NÚKIB v souvislosti s DeepSeekem zmiňuje. Pro školu je tahle asymetrie prostě špatná sázka.
Jak číst „podmínky použití“
První, na co se dívejte, je kde budou data uložená a zpracovaná. Hlavně jestli poskytovatel umí nastavit ukládání a zpracování jen v EU. Je to základní požadavek, ale často to bývá jen jakási marketingová větička, za kterou se může skrýt cokoli. Hledejte podrobné podmínky všech režimů.
Za druhé: trénink na uživatelských datech. Seriózní služba vám umožní trénink vypnout (ideálně defaultně vypnutý v pracovních/školních tarifech) a jasně popíše, jak se to dělá.
Třetí věc je najít, kdo všechno se k datům může dostat – nejen poskytovatel, ale i subdodavatelé. Hledejte seznam partnerů a zpracovatelskou smlouvu (DPA).
A konečně je tu věk a souhlasy: jestli je služba dostupná až od určitého věku, škola musí mít pravidla a někdy i souhlasy rodičů! Národní pedagogický institut k tomu vydal praktická doporučení; stojí za to je sladit s vaším školním IT řádem.
Podrobné podmínky od OpenAI
Pojďme si podrobněji projít dnes to nejvyužívanější – Open AI a ChatGPT. Dobrá zpráva je, že OpenAI zavedlo „data residency“ v Evropě pro ChatGPT Enterprise, ChatGPT Edu a pro projekty v API Platformě. V překladu: nové podnikové/školní workspaces a nové API projekty můžete nastavit tak, aby se obsah ukládal a požadavky se zpracovávaly v EU.
Důležité je to slovní spojení „nové projekty/workspaces“, takže staré nemusí jít přepnout. A také platí, že běžné veřejné použití (free) nemusí mít stejné garance jako Enterprise/Edu. Pokud už škola ChatGPT používá, vypněte využití konverzací pro trénink v nastavení Data Controls („Improve the model for everyone“). Nebo raději zvažte Enterprise/Edu.
Google Gemini: kdy a jak je to bezpečnější
Protože víme, že Google Geminy se ve školách těší velké oblibě, především díky kooperaci s dalšími Google nástroji (především Google cloudem), tak si projedeme i tuhle možnost. U Gemini je nejlepší jít přes Google Cloud / Vertex AI. Dokumentace jasně říká: data se (uložená) drží v regionu, který si zvolíte, a výpočty (ML zpracování) probíhají v regionu/multiregionu, odkud voláte. V Evropě to znamená evropské lokality a zpracování „na místě“, což je přesně to, o co školám jde. Navíc má Google Cloud veřejně deklarované „no training without permission“ – bez vašeho výslovného pokynu se vaše data nepoužijí k tréninku modelů.
Pozor ale na veřejné použití mimo Google Cloud. Tam nemusí být vždy jasné, kde přesně probíhá ukládání a zpracování, a některé funkce mohou mít jiný režim. Pokud chcete Gemini pro školu, držte se cloudu s evropskou lokalitou a zkontrolujte nastavení sdílení promptů/odpovědí pro „product improvement“ – dá se to řídit politikami a vypnout. Pro vedení školy je to srozumitelný recept: Gemini ano, ale správnou cestou a s nastavením.
Evropské alternativy a lokální provoz
Evropský trh mezitím dospěl. Aleph Alpha (DE) a Mistral (FR) staví reputaci na datové suverenitě a transparentnější práci s údaji. Jenže tady narážíme na problém s češtinou, kterou už velké modely vyřešenou mají.
Ale nejde o to „být za každou cenu evropský“, ale o to mít lepší vyjednávací pozici a kratší právní cestu, když se něco rozbije. V praxi to často znamená, že i základní dotazy vyřešíte bez toho, aby data opouštěla EU.
Pro technicky zdatné školy dává smysl open-source a lokální provoz – model běží na školním serveru, nic nikam neodesíláte. NÚKIB výslovně říká, že lokální open-source modely DeepSeek do varování nespadají, pokud nemají kontakt na servery výrobce. To je samozřejmě náročnější na správu a hardware, ale snižuje to právní i praktická rizika.
Pro menší školy může být rozumným kompromisem evropský cloud s jasnými smlouvami a možností auditovat, co se s daty děje.
Jak s AI pracovat ve škole v praxi (tohle skutečně dodržte)
- Nezadávat osobní a citlivé údaje. Žádná reálná jména, adresy, rodná čísla, zdravotní informace. Pokud řešíte studijní výsledky, anonymizujte (přezdívky, ID). Kopírovat celé práce žáků do veřejného chatu kvůli „korektuře“ je nepřípustné – jde o porušení soukromí. Když potřebujete AI na texty, zbavte je identifikátorů nebo použijte offline/školní nástroj.
- Držet se účelu a minimalizace. Nástroje mimo EU jen tam, kde je to bezpečné (nápady, osnova hodiny, neosobní pozvánka). Citlivé úkoly (hodnocení konkrétního žáka, posudky) mimo EU ne. Vždy zvažte evropskou alternativu pro stejný účel (EU cloud místo amerického, evropský chatbot místo veřejného globálního).
- Zapnout ochranná nastavení. U ChatGPT vypněte trénink na konverzacích v Data Controls; ve Workspace/Copilotu hlídejte režim „data jen na evropských serverech“ a obecně projděte zabezpečení účtu. U Gemini v Google Cloudu vyberte EU lokality a zkontrolujte sdílení promptů/odpovědí (může být vypnuto).
- Školení a pravidla. Vedení školy má učitele proškolit a sepsat srozumitelný kodex: co se smí, co ne, jak se anonymizuje, jak se nastavují účty. Žáci musí vědět, kdy AI použít a kdy ne – a proč.
- Právní zajištění. Pokud škola využívá externí AI systematicky, trvejte na zpracovatelské smlouvě (DPA) a jasných podmínkách (kde jsou data, kdo k nim sahá, zákaz tréninku na vstupech). U „volných“ služeb to nejde? Pak maximální anonymizace a omezení rozsahu použití.
Minimální „právní check-list“ pro vedení školy (rychlý audit dodavatele)
- Místo uložení a zpracování: Je možné nastavit jen EU? Je to vynutitelné smluvně (ne jen „na webu se píše“)?
- Trénink na datech: Je defaultně zakázaný? Lze ho vypnout pro náš účet/tenant a máme o tom doklad?
- Přístupy a subdodavatelé: Kdo všechno se může k datům dostat? Máme seznam sub-zpracovatelů a DPA?
- Školní praxe: Máme interní kodex používání AI, školení učitelů a proces anonymizace dat?
Zdroje:
NÚKIB – Varování před produkty DeepSeek (CZ): https://nukib.gov.cz/cs/infoservis/aktuality/2279-nukib-vydal-varovani-pred-nekterymi-produkty-spolecnosti-deepseek/
Vláda ČR – Zákaz DeepSeek ve státní správě (CZ): https://vlada.gov.cz/cz/media-centrum/aktualne/vlada-zakazala-pouzivat-ve-statni-sprave-produkty-cinske-spolecnosti-deepseek-a-schvalila-financovani-exhumace-tri-obeti-komunistickeho-rezimu-220670/
OpenAI – Introducing data residency in Europe: https://openai.com/index/introducing-data-residency-in-europe/
OpenAI Help – Data Controls (vypnutí tréninku): https://help.openai.com/en/articles/8983130-what-if-i-want-to-keep-my-history-on-but-disable-model-training
Google Cloud – Vertex AI: Data residency (EU lokality a zpracování v regionu): https://cloud.google.com/vertex-ai/generative-ai/docs/learn/data-residency
Google Cloud – Generative AI & zero data retention / training restriction: https://cloud.google.com/vertex-ai/generative-ai/docs/data-governance
Google Cloud – Gemini for Google Cloud: Data governance: https://cloud.google.com/gemini/docs/discover/data-governance
NPI ČR – Doporučení, jak pracovat s AI ve školách (CZ): https://www.npi.cz/aktuality/74837-doporuceni-jak-pracovat-s-umelou-inteligenci
Zákon ČLR o národní zpravodajské službě (překlad, čl. 7): https://www.chinalawtranslate.com/en/national-intelligence-law-of-the-p-r-c-2017/
KI-Campus – vzdělávací platforma k AI (DE/EN): https://ki-campus.org/en
[e j:aj] – český rozcestník AI nástrojů (CZ): https://ejaj.cz/
Autor: Jan Čech
Foto: Midjourney / Jan Čech
O autorovi..
Dvacet let dělal redaktora, editora a šéfredaktora v mnohých časopisech i internetových portálech. Když vypukla velká revoluce umělé inteligence vypuštěním modelu ChatGPT do světa, stal se ve vydavatelství Vltava Labe Media jedním z těch, kteří se do tohoto fenoménu snažili proniknout co nejvíc. Nakonec mu vedení nabídlo možnost přejít na novou pozici, která ani nebyla definována. Neměla jméno. A tak se stal tím, kdo se snaží implementovat umělou inteligenci do struktur vydavatelství. A aby ta pozice nebyla bezejmenná, ChatGPT vygeneroval i její název: AI technologický specialista.
