Konec AI na ministerstvech: Česko banuje DeepSeek. Co to znamená pro úředníky i obyčejné lidi?

Lukáš Neudert
Lukáš Neudert
Aktuality a Zprávy
Konec AI na ministerstvech: Česko banuje DeepSeek. Co to znamená pro úředníky i obyčejné lidi?

Co přesně vláda rozhodla a proč

Česká vláda dne 9. července 2025 přijala usnesení, které zakazuje členům vlády, ministerstvům a dalším ústředním orgánům státní správy používat při výkonu jejich pravomocí produkty a služby společnosti DeepSeek. Zákaz se týká jak webových stránek a aplikací, tak i aplikačních rozhraní (API), a vztahuje se na veškerá zařízení ve vlastnictví státu. Dotčené orgány mají podle Jednacího řádu vlády 30 dní na to, aby zákaz zavedly v praxi a zamezily dalšímu využívání.

Obsah

O den později, 10. července 2025, vydal Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) formální varování před využíváním produktů a služeb DeepSeek na systémech kritické informační infrastruktury, v informačních systémech základních služeb a ve významných informačních systémech. Hrozbu hodnotí jako „vysokou“, tedy pravděpodobnou až velmi pravděpodobnou. Varování je právní institut podle zákona o kybernetické bezpečnosti, který ukládá povinným subjektům zohlednit hrozbu v analýze rizik a přijmout odpovídající opatření.

Co je zakázáno a co zůstává povoleno

  • Zakázáno: Používání služeb DeepSeek (včetně webu, aplikací a API) na zařízeních ve vlastnictví státu v ústředních orgánech státní správy a podřízených organizacích při výkonu veřejné moci.
  • Varováno: Povinné subjekty dle zákona o kybernetické bezpečnosti (např. správci kritické infrastruktury) musí riziko DeepSeek vyhodnotit a přijmout opatření; nejde o automatický plošný zákaz, ale o povinnost řízení rizik.
  • Výjimka: Usnesení vlády ani varování se nevztahují na open-source velké jazykové modely DeepSeek, pokud jsou nasazeny výhradně lokálně a nemají možnost komunikovat se servery společnosti či jejími partnery.

Hlavní obavou státu je nakládání s daty – způsob přenosu, rozsah sběru a možnost de-anonymizace uživatelů – a především právní prostředí Čínské lidové republiky. Podle českých úřadů může tamní legislativa vyžadovat součinnost soukromých firem se státními orgány, což by u citlivých informací z veřejné správy představovalo nepřijatelné riziko.

Bezpečnostní kontext: od APT31 k institucionálnímu odporu

Rozhodnutí vlády nepřišlo ve vzduchoprázdnu. Letos v květnu český stát veřejně připsal dlouhodobé útoky na infrastrukturu Ministerstva zahraničních věcí skupině APT31, spojované s čínským ministerstvem státní bezpečnosti. EU i NATO vyjádřily Česku solidaritu. Vnitropoliticky na to navazuje linie postupů, kterou země nastoupila už v roce 2018, kdy NÚKIB varoval před bezpečnostními riziky používání produktů Huawei a ZTE. Vláda tak nyní – v době masivního rozšíření generativní AI – zvolila preventivní přístup i u softwaru pracujícího s texty, dokumenty a daty.

Je důležité si uvědomit, že generativní AI služby nejsou „jen chat“. Ukládají dotazy, kontext i nahrávané soubory, z nichž se mohou učit nebo je jinak využívat. V kombinaci s citlivými informacemi z agend veřejné správy tak drobné pohodlí může znamenat disproporční bezpečnostní riziko – zejména pokud data končí v jurisdikci, na kterou český stát nedosáhne.

Co se mění v praxi úřadů

Pro ministerstva a centrální úřady jde o okamžitý úkol. Bez ohledu na to, zda byly služby DeepSeek oficiálně nasmlouvány, je nutné:

  1. Zakázat přístup ke službám DeepSeek na síti a služebních zařízeních (blokace domén, aplikací a API).
  2. Aktualizovat analýzy rizik a interní směrnice – včetně jasného vymezení, které AI nástroje jsou povolené a za jakých podmínek.
  3. Nahradit pracovní postupy alternativami – ideálně on-premise řešeními nebo evropskými poskytovateli s jasnými garancemi, a to zejména pro tvorbu textů, sumarizaci a překlady.
  4. Školit zaměstnance v bezpečném používání AI a v pravidlech práce s citlivými informacemi (včetně anonymizace a pseudonymizace dat).
  5. Monitorovat stínové IT – tedy neautorizované využívání online AI nástrojů na osobních účtech a zařízeních.

Rizika, která budou muset úřady hlídat

  • Obcházení pravidel: Úředníci si mohou pomáhat „soukromě“ z domova. Bez jasné komunikace a kontroly vzniká riziko úniku dat i porušení GDPR.
  • Chaos v dokumentaci: Když se nástroje ze dne na den vypnou, týmy ztrácejí navázané workflow (šablony, pluginy, makra), což může snížit kvalitu i rychlost práce.
  • Nedostatek kapacit: Malé úřady či příspěvkové organizace často nemají IT tým na komplexní on-premise nasazení. Potřebují konzultace a sdílené metodiky.

Příběh ze života: „Lucie a ticho po kliknutí“

Lucie je referentka na jednom z ústředních úřadů. Poslední rok si zvykla, že rutinní odpovědi občanům připraví AI – zkontroluje fakta, upraví tón a doplní odstavce. Při překladu do angličtiny ušetřila hodiny, když koordinovala projekt s partnery z EU. V červenci ale po otevření oblíbeného nástroje vyskočila hláška: „Přístup odepřen.“ IT oddělení jí vysvětlilo, že vláda zakázala DeepSeek a že do doby, než se vybere náhrada, má používat pouze interní editory a překládat složité texty přes centrálně schválenou službu.

První týden byl boj. Lucie se vracela k manuálním postupům a zjišťovala, jak napsat srozumitelný text bez „asistenta“. Vedení oddělení přesto trvalo na dodržení termínů. Po pár dnech dostali zaměstnanci krátké interní školení: co je generativní AI, co se smí a co ne, jak anonymizovat dokument, než ho nechají zpracovat strojově. Úřad zároveň testoval nástroj, který běží v uzavřeném režimu v datovém centru státu a nesdílí nic mimo infrastrukturu úřadu.

Lucie si uvědomila, že jí AI pomáhala často mechanicky – ve skutečnosti jí nejvíc chyběla dobrá struktura textu a kontrolní seznam. Jakmile je dostala v podobě interních šablon, postupně se dostala zpět na původní tempo. Příběh Lucie není o tom, že by AI nepotřebovala. Je o tom, že pohodlí cloudu bez garancí se zkrátka neslučuje s povinností úřadu chránit data občanů.

Dopad na firmy, školy a výzkum

Zákaz se týká ústředních orgánů státní správy. Přímé dopady na soukromé firmy a školy vyplývají až z varování NÚKIB: všichni správci systémů spadajících pod zákon o kybernetické bezpečnosti musí rizika zvažovat a řídit. Prakticky vzato: dodavatelé pro stát, univerzity napojené na státní projekty nebo provozovatelé základních služeb budou muset doložit, že s DeepSeekem nepracují, případně že mají opatření, která rizika snižují na přijatelnou úroveň.

U výzkumu a inovací hraje roli zmíněná výjimka – otevřené modely DeepSeek lze nadále zkoumat a provozovat lokálně, pokud jsou plně pod kontrolou a bez komunikace na servery společnosti. Pro akademickou sféru je to klíčové: umožňuje replikovat výsledky a porovnávat chování modelů, aniž by se porušila pravidla ochrany dat.

Česko není samo: mezinárodní trend přitvrzuje

Rozhodnutí Prahy zapadá do širšího bezpečnostního posunu. Řada evropských států už dříve omezila či doporučila omezit používání služeb DeepSeek ve veřejném sektoru; podobná opatření ohlásily i mimoevropské vlády. Společným jmenovatelem je obava z nakládání s daty a ze zákonných povinností firem v Číně spolupracovat s úřady. Jde o pragmatickou otázku řízení rizik, nikoli o kulturu či geografii.

Křížení s EU AI Act: další povinnosti přicházejí

Kroky české vlády a NÚKIB přicházejí paralelně s nabíhající evropskou regulací. Zákon o umělé inteligenci (EU AI Act) platí v EU postupně: od 2. února 2025 jsou účinné zákazy nepřijatelných praktik a povinnosti v oblasti AI gramotnosti, od 2. srpna 2025 začínají povinnosti pro poskytovatele obecných modelů (GPAI) a governance, a od roku 2026 se rozběhne většina pravidel pro vysoce rizikové systémy. Pro státní správu to znamená, že bezpečnostní a procesní požadavky porostou bez ohledu na to, zda používá zahraniční nebo domácí AI – přibude dokumentace, testování, dohledatelnost dat a kontrola nad využíváním nástrojů v každodenní agendě.

Co by si měly úřady pohlídat už teď

  • Inventuru AI nástrojů: Kdo a kde AI používá? Jaká data do ní proudí? Na jakých zařízeních?
  • Pravidla pro práci s daty: Minimální zásada: do externích AI nikdy nevkládat osobní údaje, utajované informace a citlivé interní materiály bez povolení a technických záruk.
  • Náhradní workflow: Ideálně kombinace interních šablon, lokálního vyhledávání, překladače v bezpečném režimu a interní „asistence psaní“ nasazené on-premise.
  • Školení a komunikace: Krátké, praktické a opakované – aby zaměstnanci věděli, co je zakázané, co je povolené a kam se obrátit s dotazem.
  • Dodavatelský řetězec: Smlouvy s IT dodavateli by měly AI výslovně řešit: kde běží model, jaká metadata sbírá, jaké jsou záruční a odpovědnostní rámce.

Kolik to bude stát a kdo to zaplatí?

Přímé náklady nejsou zanedbatelné: blokace služeb a audit nástrojů, nasazení alternativy, školení, aktualizace metodik a interního dohledu. Nepřímé náklady přijdou ve formě dočasného propadu produktivity – zvlášť pokud úřady nemají připravené náhradní šablony a interní postupy. Z dlouhodobého hlediska se však investice vrací v podobě lepší kontroly nad daty, nižší regulatorní nejistoty a menší závislosti na poskytovatelích mimo jurisdikci EU.

Nejcitelněji dopadnou změny na menší úřady a organizace bez robustního IT. Zde se nabízí sdílené služby státu, centrální katalog bezpečných nástrojů a metodiky, které lze převzít „copy–paste“. Bez takové podpory hrozí, že se „zakáže jedna věc“ a místo ní vzniknou tichá, riziková obcházení.

Náhrady za DeepSeek: co dává smysl

  • On-premise/Government cloud: Nasazení generativních modelů v datových centrech pod kontrolou státu nebo prověřených poskytovatelů. Klíčová jsou logování, audit a jasné smluvní garance.
  • Evropští poskytovatelé: Řešení s transparentními podmínkami, které respektují evropské právo a mají jasný režim nakládání s daty. Nutná je smluvní jistota o tom, že vstupy ani výstupy neodchází mimo schválené regiony.
  • Open-source modely: Pokud je k dispozici kompletní zdrojový kód a je možné nasadit je lokálně bez komunikace ven, představují průhlednější a lépe auditovatelné řešení.

Časté otázky a odpovědi

Týká se zákaz i obcí a krajů?

Usnesení vlády míří primárně na ústřední orgány státní správy. Obce a kraje mají samostatnou působnost; v praxi však mohou doporučení NÚKIB převzít jako dobrou praxi, zejména pokud spravují systémy spadající pod zákon o kybernetické bezpečnosti.

Mohu použít osobní účet DeepSeek z domova?

Na soukromém zařízení mimo práci rozhodnutí přímo nedopadá. Pokud ale pracujete s dokumenty úřadu, platí pravidla zaměstnavatele: přenos do neschváleného nástroje může porušit interní předpisy, zákon o kybernetické bezpečnosti i GDPR.

Co když mám v systému napojení na DeepSeek přes plugin?

Napojení je nutné odstranit nebo nahradit. Úřad by měl vést inventuru integrací (včetně low-code/no-code nástrojů), aby žádná „skrytá“ závislost nezůstala.

Hrozí sankce?

Vůči povinným subjektům hrozí sankce při porušení zákona o kybernetické bezpečnosti. V rámci EU AI Act pak postupně nabíhají pokuty za porušení povinností poskytovatelů a provozovatelů AI. Pro jednotlivé zaměstnance jsou nejčastějšími dopady pracovněprávní postihy podle interních směrnic.

Realita v Česku: ať bezpečnost, nebo chaos – rozhodnout se musí rychle

Česká státní správa se dlouhodobě potýká s nedostatkem kapacit, složitými zakázkami a roztříštěnými IT systémy. Zakázat jeden populární nástroj je snadné – těžší je nastavit smysluplná a bezpečná pravidla pro nástroje, které jej nahradí. Bez metodik, sdílení dobré praxe a centrální podpory bude přechod bolet. Přesto je rozhodnutí vlády srozumitelným signálem: bezpečnost dat občanů má v hierarchii hodnot přednost před pohodlím a krátkodobým zrychlením.

Shrnutí

Vláda ČR zakázala od 9. července 2025 používání služeb DeepSeek v ústřední státní správě a NÚKIB o den později vydal varování s hodnocením hrozby „vysoká“. Úřady mají 30 dní na implementaci zákazu, který se nevztahuje na čistě lokální open-source modely bez komunikace se servery DeepSeek. Důvodem je nakládání s daty, riziko de-anonymizace a právní prostředí Číny. Rozhodnutí navazuje na širší bezpečnostní kontext včetně nedávné atribuce útoků APT31 proti českým institucím a zapadá do evropského trendu posilování pravidel pro AI. Pro praxi to znamená rychlou inventuru nástrojů, hledání bezpečných alternativ a intenzivní práci s lidmi. Je to nepohodlné – ale pokud má stát udržet důvěru občanů, jiná cesta není.

Štítky:
Sdílej tento článek

Mohlo by se vám také líbit

Dělají to chytřeji než kdy dřív: 10 triků, které okrádají Čechy každý den
Aktuality a Zprávy

Dělají to chytřeji než kdy dřív: 10 triků, které okrádají Čechy každý den

Lukáš Neudert
Lukáš Neudert
Konec „levného Premium“? YouTube blokuje sdílení mimo domácnost, o výhody můžete přijít už za 14 dní
Aktuality a Zprávy

Konec „levného Premium“? YouTube blokuje sdílení mimo domácnost, o výhody můžete přijít už za 14 dní

Lukáš Neudert
Lukáš Neudert
Používáte tuhle powerbanku? Okamžitě přestaňte – hrozí požár, škody i problémy na letišti
Aktuality a Zprávy

Používáte tuhle powerbanku? Okamžitě přestaňte – hrozí požár, škody i problémy na letišti

Lukáš Neudert
Lukáš Neudert
Šok: Hackeři útočí přes známé služby Googlu. Slovensko je pod palbou a může to odnést i vaše data
Aktuality a Zprávy

Šok: Hackeři útočí přes známé služby Googlu. Slovensko je pod palbou a může to odnést i vaše data

Lukáš Neudert
Lukáš Neudert