„Používání AI v HR oblasti lze doporučit spíše jen pro přípravné úkoly, ale i zde je potřeba mít pod kontrolou, jaké nástroje jsou použity a že jsou v nich řádně chráněny osobní údaje,“ říká pro legalweb.
Dlouhodobě sledujete AI a technologie, vaše posty na LinkedInu jsou myslím velmi užitečné. Jak jste se k této specializaci vlastně dostal?
Již téměř deset let se v rámci své prvotní specializace (kterou je pracovní právo) intenzivně věnuji tématu digitalizace HR, což mě obecně přivedlo k zájmu o propojení technologie a práva. S nástupem prvních jazykových modelů na trh (v době raných verzí GPT) jsme začali zkoušet jejich možnosti pro praktickou aplikaci v právu – od jednoduchých rešerší až po pokusy o draftování smluv či procesních podání. Současně jsem se rovněž začal zajímat o to, jak na používání AI nahlíží (či v blízké budoucnosti bude nahlížet) právní úprava.
Z toho, co původně bylo spíše koníčkem, se díky rozmachu AI do všech oblastí stává pomalu ale jistě moje hlavní náplň práce, a to jak v praktické, tak v právní rovině.
Nedávno jste psal o tom, že zkoušíte rovněž menší AI modely. Které podle vás stojí za pozornost?
Aktuálně je používání menších jazykových modelů velké téma, zejména v oblasti programování – zjevně totiž končí doba levných předplatných, v rámci kterých mohli předplatitelé za pár desítek dolarů měsíčně používat téměř neomezeně největší dostupné jazykové modely. Svou cenovou politiku mění např. GitHub Copilot (účtování za dotaz oproti paušálu), Claude od Anthropicu zavádí stále přísnější omezení na počty dotazů v rámci předplatných. Z tohoto důvodu se obracejí k menším, často open-source jazykovým modelům (např. DeepSeek, Qwen, Moonshot, Z.AI), které tvrdí, že za podstatně nižší cenu dodávají srovnatelnou kvalitu, alespoň dle standardizovaných benchmarků.
Jenže to, co může fungovat dobře pro komunikaci v angličtině při programování, nemusí už tak dobře fungovat v právu a v českém či slovenském jazyce (kde mají zejména menší modely mnohem méně tréninkových dat). Pustili jsme se proto do testování, abychom zjistili, zda jsou tyto menší modely i pro právní práci v češtině skutečně srovnatelné s velkými modely od OpenAI, Anthropic nebo Googlu.
Vytvořili jsme si za tímto účelem benchmark různých právních úkolů, na kterých tyto menší modely testujeme a hodnotíme. A bohužel se ukazuje, že rozdíl v kvalitě výstupů oproti těm největším poskytovatelům je v této oblasti stále velký – menší modely dělají relativně mnoho chyb v českém jazyce a nepoužívají správně či dostatečně dostupné nástroje (což je pro nás klíčové pro ověřování informací a minimalizaci halucinací). Pro současnost tak pro komplexní právní uvažování v rámci používaných AI nástrojů stále setrváváme u jazykových modelů „velké trojky“.
V čem naopak podle vás fungují dobře?
Menší jazykové modely se nám poměrně osvědčily na úzce zaměřené a strukturované úkoly – tedy tam, kde výstupem není volný text nebo složitá právní analýza, ale kde je úkolem například extrakce dat v předem definované podobě. Zde jsme v praxi použili větší open-source model gpt-oss-120b na revizi několika set smluv, ze kterých jsme potřebovali získat konkrétně definované informace, jako jsou smluvní strany, data účinnosti nebo specifické doložky. S tímto úkolem si tento model poradil velice dobře (chybovost byla zcela minimální) a náklady na zpracování velkého objemu dat byly v podstatě mizivé.
A v čem jsou naopak rizikové?
Často se u menších jazykových modelů (např. DeepSeek nebo Qwen) skloňuje jejich čínský původ, což s sebou přináší určitou nejistotu, co se týče ochrany dat a potenciálních zadních vrátek. Jelikož je ovšem většina těchto modelů open-source (tedy k dispozici zdarma pro provoz), nemusíte k přístupu využívat infrastrukturu jejich tvůrců. Můžete model bez obav provozovat na infrastruktuře některého z evropských cloudových poskytovatelů (nebo dokonce on-premise na vlastních serverech) v režimu no-training, zero data retention a se zajištěným EU-only routingem. To garantuje, že data neopustí EU, nebudou nikde trvale uložena a nebudou použita k dalšímu trénování modelu, a tedy důvěrnost dat je plně zachována.
Mimochodem, mají podle vás z dlouhodobějšího pohledu šanci obstát i menší lokální hráči?
Pokud jde o AI nástroje určené pro právníky, tak si myslím, že určitě ano. Právo je velmi lokalizované, a lokální poskytovatelé AI nástrojů tak mohou mít obrovskou výhodu v tom, že budou více pracovat s lokálními zdroji (např. pomocí napojení na české právní a informační zdroje) a budou lépe uzpůsobeny místním zvyklostem a postupům. Globální právní nástroje (můžeme zmínit třeba Legora či Harvey) budou vždy primárně zaměřeny na velké trhy (USA, UK) a na fungování nadnárodních kanceláří a právních týmů, protože ti jsou jejich primárními zákazníky. Obsáhnout specifika českého či slovenského práva a terminologie pro ně nikdy nebude prioritou číslo jedna.
Navíc si myslím, že na trhu je ještě spousta volného prostoru. Přestože při prohlížení sociálních sítí (zejména na X nebo LinkedInu) může člověk nabýt dojmu, že snad už neexistuje právník, který by ve velkém nepoužíval hned několik AI nástrojů, realita je daleko střízlivější. Většina advokátních kanceláří i právních oddělení se v oblasti AI spíše teprve rozkoukává. Troufnu si tvrdit, že klidně přes 95 % výstupů advokátů či právních oddělení v realitě zatím vzniká bez jakéhokoliv zapojení AI. Průzkumy a ankety na toto téma jsou dosti zkreslené, protože každý se samozřejmě chce tvářit, že AI používá, aby vypadal moderně, i když v realitě ji použije možná jednou za týden na jednoduché vyhledání informací či revizi e-mailu.
Stejně jako v jakékoliv jiné oblasti i zde tedy bude prostor pro lokální poskytovatele AI nástrojů, kteří mohou být levnější, více lokalizovaní a celkově svým zákazníkům blíž než globální AI molochy.
Navíc, používání AI v právu není jen o samotném software, ale také o tom, jak AI správně používat, jak s ní pracovat. Přestože se může zdát, že na používání AI není nic složitého (je to přece jen chat), opak je pravdou – je potřeba se důkladně seznámit s nástrojem, který mám k dispozici, znát jeho možnosti ale také limity, alespoň základně tušit, jak jazykové modely fungují a kde mohou selhávat. Bez těchto znalostí totiž uživatel jednak zůstane jen u základních úkonů jako je revize e-mailu či sumarizace dokumentu a nevyužije potenciál AI vůbec naplno, nebo se dokonce může stát hrozbou – viz různá podání advokátů po světe i v ČR s vymyšlenou judikaturou. Lokální dodavatelé mohou advokátům a právním týmům také efektivněji pomocí s touto stránkou používání AI.
Jak jste říkal, AI propojujete rovněž s HR, tam je ale z hlediska regulace její využití poměrně omezené. Zároveň mám pocit, že ne všichni poskytovatelé souvisejících služeb, zejména ti inovativní, si to uvědomují. Jak v tomto ohledu hodnotíte současnou realitu této části trhu?
Je pravdou, že se na trhu začínají objevovat AI nástroje, které se pohybují velmi na hraně toho, co bude označeno jako vysoce rizikový AI systém. Podle Přílohy III nařízení o umělé inteligenci (AI Act) sem spadají například systémy určené k náboru (třídění životopisů, hodnocení uchazečů), k povyšování, k rozdělování úkolů nebo k hodnocení výkonnosti zaměstnanců. Takové AI systémy budou po účinnosti příslušné části AI Actu vyžadovat poměrně náročné schválení, certifikace a plnění mnoha povinností jak na straně poskytovatele systému, tak na straně zaměstnavatele (zavádějícího subjektu).
Současně se ale také zapomíná na to, že je zde celá řada již existujících právních předpisů, které se na používání AI v HR vztahují už dnes – od pravidel GDPR týkajících se zákonnosti zpracování osobních údajů, případného předávání do třetích států nebo automatizovaného rozhodování (článek 22 GDPR), až po pravidla zákoníku práce týkající se ochrany soukromí nebo zákazu diskriminace.
V dnešní době, kdy se díky „vibecodingu“ a no-code nástrojům stalo nesmírně jednoduchým vytvořit si např. aplikaci, která bude hodnotit životopisy a automatizovaně komunikovat s uchazeči, se objevuje spousta nových dodavatelů softwaru. Ti sice často mají funkčně zajímavý produkt, ale na právní úpravu se u něj moc nemyslí, případně takový produkt vzniká někde, kde právní regulace není tak přísná (např. v USA). Před nasazením jakéhokoliv AI nástroje v AI oblasti tak je určitě potřeba provést důkladné právní zhodnocení, aby si zaměstnavatel nenadělal na problémy. Zhodnocení se také nesmí omezit jen na smluvní vztahy (např. na smlouvu s dodavatelem), ale je potřeba provést komplexnější audit – s jakými údaji bude systém pracovat, kam je bude dávat, jaké úkoly bude plnit – pouze tak lze získat ucelený přehled o jeho (ne)souladu s právními předpisy.
Čeho je třeba se při použití AI v HR vyvarovat?
Primárně je potřeba si dávat pozor na případy, kdy by AI činila v HR oblasti jakékoliv rozhodnutí (či doporučení, které již následně není člověkem skutečně kontrolováno a pouze jej převezme). Kromě toho, že by pak takový systém byl považován za vysoce rizikový z pohledu AI Actu, zde dochází k automatizovanému rozhodování, které je dle GDPR bez výslovného souhlasu nebo zákonného zmocnění zakázáno. Navíc je zde obrovské riziko vzniku nerovného zacházení či diskriminace, protože jazykové modely mohou přebírat předsudky z tréninkových dat nebo vycházet s neúplných zadání. Nadto nelze vyloučit ani riziko halucinací AI, což může vést k závažným chybám.
Používání AI v HR oblasti tak lze doporučit spíše jen pro přípravné úkoly (např. extrakce dat z životopisů do interních systémů, příprava návrhů komunikace s kandidáty nebo tvorba popisů pracovních pozic), ale i zde je potřeba mít pod kontrolou, jaké nástroje jsou použity a že jsou v nich řádně chráněny osobní údaje.
Čí je to pak vlastně odpovědnost? Toho, kdo AI regulaci neodpovídající nástroj nabízí a provozuje, nebo toho, kdo ho třeba v dobré víře používá?
Odpovědnost je v podstatě rozdělena mezi oba subjekty – každý má své povinnosti dle nařízení o umělé inteligenci. Poskytovatel (vývojář) musí zajistit technickou shodu, certifikaci a dokumentaci. Zaměstnavatel (zavádějící subjekt) musí systém správně dle dokumentace používat, monitorovat a logovat úkony, mít zajištěn lidský dohled a možnost přezkumu, či také informovat zaměstnance o existenci systému.
Pokud se ale nedodržení těchto pravidel projeví v nějakém negativním dopadu na zaměstnance (např. nepřijetí do zaměstnání nebo neposkytnutí složky mzdy na základě rozhodnutí AI), pak v konečném důsledku bude vůči zaměstnanci vždy primárně odpovědný zaměstnavatel, který takový nástroj použil.
K porušení povinností dle pracovněprávních předpisů může dojít i v situaci, kdy dodavatel systému i zaměstnavatel všechny své povinnosti dle AI Actu dodrží, ale rozhodnutí učiněné AI bude ve výsledku diskriminační, kdy negativní důsledky ponese vždy zaměstnavatel. A jsem si téměř jistý, že dodavatelé takových systémů budou mít ve svých obchodních podmínkách vyloučenu odpovědnost za konkrétní výstupy svých AI systémů, takže se v takovém případě ani zaměstnavatel nebude mít na kom hojit.
Bude podle vás tato související regulace spíše zesilovat, nebo se naopak umírní?
To lze jen těžko předvídat. Evropský zákonodárce nastoupil s velice ambiciózním plánem komplexní regulace AI, která měla ambici se podobně jako GDPR stát určitým globálním modelem (tzv. bruselský efekt). Nicméně přístup v jiných částech světa (zejména v USA nebo Velké Británii) je k regulaci poměrně zdrženlivější a více pro-inovační, proto se objevují pochybnosti, zda EU v tomto ohledu trochu nepřepálila start a neohrožuje svou vlastní konkurenceschopnost. Navíc samotná AI prošla za poslední dva až tři roky od finálního schvalování nařízení obrovským vývojem – myslím, že původnímu očekávání evropských zákonodárců o tom, jak bude AI vypadat a jak se bude používat, se realita notně vzdálila.
Nejvíce se ovšem obávám toho, že fakticky se přijatá regulace umělé inteligence nebude dodržovat a stát rovněž nebude mít kapacity ji reálně vymáhat. Pracovníci HR oddělení tak budou nechávat v HR oblasti rozhodovat běžné AI systémy, jen to nebudou takto prezentovat navenek. Opět si dovolím paralelu s GDPR, které letos slaví osm let účinnosti, a přesto z naší zkušenosti velká část zejména menších zaměstnavatelů dodnes nedává svým zaměstnancům ani základní informaci o zpracování jejich osobních údajů, což je jedna ze základních povinností správce. Pokud se běžný zaměstnavatel řešením otázek ochrany osobních údajů nezatěžuje, je velmi pravděpodobné, že to dlouhé roky nebude vůbec nikoho zajímat. A domnívám se, že s AI to bude podobné – běžná praxe a používání AI v reálném světě se předpokladům stanoveným v právních předpisech výrazně vzdálí.
Nástup účinnosti další části AI Actu byl aktuálně o něco odložen. Je ale něco, co by teď měli také v této souvislosti vědět úplně všichni?
Co by firmy měly dělat už teď, bez ohledu na přesné datum účinnosti jednotlivých částí nařízení o umělé inteligenci, je zmapovat si, jaké AI nástroje zaměstnavatel poskytuje, a nastavit si základní interní pravidla pro jejich bezpečné využívání. Neposkytování žádných AI nástrojů či přílišná přísnost pravidel pro práci s nimi bohužel dle průzkumů vede k rozmachu tzv. shadow AI, tedy situaci, kdy zaměstnanci používají pro práci vlastní či volně dostupné AI nástroje, kde již bezpečnost dat není zajištěna vůbec a může snadno docházet k únikům. Doporučit tak lze vyvážený přístup, kdy se zaměstnancům umožní využívat AI v kontrolovaném prostředí za rozumných podmínek.
PRK Partners je hlavním partnerem legalwebu, v rámci této spolupráce byl publikován rovněž tento materiál.
Webové stránky PRK Partners je možné navštívit na adrese https://www.prkpartners.com/cs
