Prečo slovenské poradenské firmy prechádzajú na samostatne hostenú AI: GDPR a dôvernosť nad rámec cloudu

Michal, advokát z Bratislavy, sedí vo svojej kancelárii na Michalskej ulici s výhľadom na historické centrum. Práve dostal citlivé dokumenty k akvizícii miestneho technologického startupu, ktorý expanduje do celej Európy.

Chcel by použiť umelú inteligenciu na zhrnutie 200-stranovej zmluvy, ale váha. Cloudové nástroje, ktoré bežne používa, vyžadujú odoslanie dát na servery v USA alebo iných krajinách mimo priamu kontrolu jeho firmy.

Michal vie, že advokátske tajomstvo a slovenské predpisy o ochrane osobných údajov mu neumožňujú riskovať, že sa tieto dáta stanú súčasťou tréningových dát tretej strany, čím by porušil nielen dôveru klienta, ale aj prísne stavovské predpisy.

Krehká rovnováha medzi inováciou a mlčanlivosťou

Pre mnohých profesionálov v právnych a finančných službách na Slovensku nie je otázkou, či AI používať, ale ako to robiť bezpečne v súlade s lokálnou legislatívou.

Tradičné cloudové riešenia ponúkajú rýchlosť a nízke vstupné náklady, no často za cenu straty kontroly nad dátovým tokom.

Podľa Cisco Systems sa až 72 % spoločností obáva o súkromie svojich údajov v prostredí AI, pričom tento strach často brzdí adopciu moderných technológií v najviac regulovaných odvetviach [3].

Táto obava nie je len teoretická; v sektore, kde je mlčanlivosť základným pilierom profesie, môže byť každé neúmyselné zdieľanie citlivých informácií s verejným modelom považované za hrubé porušenie etiky a profesionálne zlyhanie.

Hoci mnohé cloudové platformy deklarujú súlad s GDPR, realita lokálnej jurisdikcie a špecifických požiadaviek Slovenskej advokátskej komory (SAK) vytvára zložitejšiu situáciu pre každodennú prax.

Podniky čelia enormnému tlaku na efektivitu, no zároveň musia chrániť dáta pred únikmi, ktorých priemerné náklady v roku 2024 dosiahli alarmujúcich 4,88 milióna USD [2].

Mnohí konzultanti sa domnievajú, že stačí zaškrtnúť políčko „enterprise" v nastaveniach cloudovej služby, no skutočná kontrola nad dátami vyžaduje, aby informácie nikdy neopustili kontrolovanú infraštruktúru firmy.

Ak by Michal v rámci časovej tiesni nahral zmluvu do verejného cloudu bez náležitého zabezpečenia, riskoval by nielen stratu licencie, ale aj sankcie od Úradu na ochranu osobných údajov SR, ktoré môžu podľa EU AI Act dosiahnuť až 35 miliónov EUR [4].

Prechod na lokálnu suverenitu: Analýza rizík a nákladov

Prechod na lokálne riešenia je poháňaný potrebou mať umelú inteligenciu pod vlastnou strechou, čo umožňuje plnú kontrolu nad každým bajtom informácií. Tento trend je zosilnený faktom, že v cloude sú prístupové práva často najslabším článkom.

Podľa správy Verizon Business zahŕňa až 74 % únikov údajov v podnikoch ľudský faktor, pričom prístup k cloudovej AI predstavuje rastúce riziko pre dôverné informácie [5].

Pre slovenského účtovníka, audítora alebo právnika to znamená možnosť spúšťať výkonné modely na vlastnom hardvéri alebo v súkromnom dátovom centre v Bratislave či Košiciach, pričom dáta zostávajú v rámci lokálnej siete a neputujú cez verejný internet do zahraničia.

Samostatne hostená AI (Self-hosted AI)

je technologická architektúra, kde sú modely umelej inteligencie nasadené a spravované priamo na vlastnej infraštruktúre organizácie namiesto využívania zdieľaných cloudových služieb.

Tento prístup umožňuje organizáciám plnú kontrolu nad spracovaním dát, ich ukladaním a prístupovými právami, čím sa efektívne eliminuje riziko neautorizovaného prenosu informácií tretím stranám mimo kontrolu správcu systému.

Podrobná analýza tabuľky ukazuje dôležitý paradox modernej IT infraštruktúry: zatiaľ čo verejný cloud dominuje v rýchlosti počiatočného nasadenia a frekvencii automatických aktualizácií, lokálne riešenia dramaticky víťazia v skóre zhody údajov a rýchlosti odozvy API vďaka absencii sieťovej latencie pri prenose cez internet.

Podľa GDPR Enforcement Tracker dosiahli pokuty za porušenie ochrany údajov v roku 2024 celkovú sumu viac ako 2,1 miliardy EUR, čo núti firmy prehodnotiť svoje digitálne smerovanie [1].

Pre slovenské poradenské firmy je preto prechod na privátne systémy podstatnou investíciou do prevencie pred likvidačnými pokutami a stratou reputácie.

V situáciách, kde je kritická absolútna ochrana duševného vlastníctva alebo osobných údajov klientov, zostáva lokálna infraštruktúra jediným skutočne bezpečným prístavom, ktorý spĺňa požiadavky na mlčanlivosť.

Najčastejšie chyby pri nasadení privátnej AI

Prechod na vlastnú AI infraštruktúru však prináša aj nové prevádzkové zodpovednosti, ktoré poradenské firmy často podceňujú v snahe o rýchlu inováciu. Zavádzanie vlastného riešenia nie je jednorazový projekt s jasným koncom, ale kontinuálny proces správy a monitoringu.

Mnohé slovenské kancelárie sa počiatočne nadchnú pre možnosti technológie, no často zabudnú na základnú prevádzkovú hygienu, čo môže viesť k vytvoreniu falošného pocitu bezpečia, ktorý je v skutočnosti nebezpečnejší než otvorený cloud.

Jedným z najväčších úskalí je zanedbanie bezpečnostných aktualizácií a správy záplat. Keďže systém beží izolovane, neaktualizuje sa automaticky ako bežné služby typu SaaS.

Ak IT tím pravidelne nesleduje zraniteľnosti v knižniciach a modeloch, ich „bezpečný" server sa môže stať ľahkým terčom útokov zvnútra siete alebo cez nechránené koncové body. Rovnako kritické je ignorovanie plánov zálohovania a obnovy dát.

V prípade zlyhania hardvéru v bratislavskej centrále môže firma prísť o týždne optimalizovaných nastavení a históriu dopytov, ak neexistuje overený proces obnovy. Napokon, častým problémom je chaos v správe oprávnení a chýbajúca kontrola prístupu.

Ak má každý zamestnanec prístup ku všetkým dopytom v systéme, hrozí vnútorný únik informácií medzi oddeleniami, čo je v priamom rozpore s princípom minimalizácie prístupu k citlivým dátam.

---

Slovenský trh sa v nasledujúcich rokoch pravdepodobne rozdelí na firmy, ktoré využívajú cloud pre bežnú administratívnu agendu, a tie, ktoré si pre kritické prípady vybudujú vlastné digitálne pevnosti.

Michal sa nakoniec po dlhom zvažovaní rozhodol pre racionálny kompromis: bežnú korešpondenciu a plánovanie vybavuje v cloude, ale pre hĺbkovú analýzu zmlúv a citlivé právne analýzy nasadil lokálne riešenie.

Zistil však, že správa vlastného systému vyžaduje viac technického času a pozornosti, než pôvodne predpokladal, a že rýchlosť generovania odpovedí je občas nižšia ako u globálnych technologických gigantov.

Napriek týmto drobným obmedzeniam má teraz pokojný spánok a istotu, že advokátske tajomstvo jeho klientov zostáva bezpečne uzamknuté za múrmi jeho vlastnej kancelárie bez rizika vonkajšieho úniku.

Práve táto digitálna suverenita sa stala jeho najväčšou konkurenčnou výhodou v ére umelej inteligencie.

References

[1] https://www.enforcementtracker.com/statistics.html -- Celková suma pokút za porušenie GDPR v roku 2024

[2] https://www.ibm.com/reports/data-breach -- Priemerné náklady na únik údajov v roku 2024

[3] https://www.cisco.com/c/en/us/about/trust-center/data-privacy-benchmark-study.html -- Podiel spoločností obávajúcich sa o súkromie dát v AI

[4] https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai -- Maximálne sankcie podľa nariadenia EU AI Act

[5] https://www.verizon.com/business/resources/reports/dbir/ -- Podiel únikov údajov zahŕňajúcich ľudský faktor podľa správy Verizon Business