Soukromá AI ve firmě — část 2: ekonomika, bezpečnost a 14denní rollout

Hardware běží, model je vybraný — a teprve teď začíná těžší část. Tento druhý díl navazuje na část 1: kdy se vyplatí a jak ho postavit a řeší ekonomiku v korunách, bezpečnostní povrch, GDPR a EU AI Act, dvoutýdenní plán nasazení, migrační checklist ze SaaS a sedm typických chyb. Nejčastější chyba celého projektu nespočívá ve špatné konfiguraci Ollama — ale v předpokladu, že „máme AI u sebe, takže jsme v bezpečí a v souladu".

1. Kolik to stojí v korunách: tři scénáře

Kalkulace níže vycházejí z reálné firemní spotřeby. Padesátičlenná kancelář typicky generuje 30–80 milionů tokenů měsíčně, což odpovídá průměru 40 000 tokenů na zaměstnance denně (email, shrnutí, rešerše, kód). Srovnání probíhá proti GPT-4o přes API v poměru 60 % vstupů a 40 % výstupů jako referenční SaaS cena.

Stručně: U firmy do deseti lidí není self-host ekonomicky ospravedlnitelný — cloud API stojí pár tisíc korun ročně, vlastní HW bez údržby desítky tisíc. U dvacetičlenné firmy je self-host nákladově srovnatelný s cloudem, ale vyžaduje DevOps. U padesáti lidí je cloud stále levnější, self-host se vyplatí jen při regulatorních požadavcích nebo nad 250 milionů tokenů měsíčně.

Co se v kalkulacích často zapomíná. Deset hodin měsíčně práce seniorního DevOps inženýra za 1 600 Kč/hod je 192 000 Kč ročně — u malé firmy buď neočekávaná externí faktura, nebo vytížený interní zaměstnanec. GPU morálně stárne rychleji než průmyslový server — RTX 4090 z dubna 2024 má v dubnu 2026 nižší relativní výkon než aktuální generace. Tříletý TCO je tedy optimistický. A každé dva až čtyři měsíce vychází nová generace modelů: udržovat privátní deploy aktuální znamená testovat, měřit, migrovat prompty a re-evaluovat RAG — u SaaS se to děje automaticky.

Detailní rozbor API ekonomiky z druhé strany — ze strany cen za token — pokrývá článek Náklady na AI API: jak nekrvácet na tokenech.

2. Bezpečnost: co privátní nasazení neřeší

Největší nepochopení self-hostu zní: „máme AI u sebe, takže jsme v bezpečí". Opak bývá pravdou. Vlastní nasazení přenáší bezpečnostní odpovědnost z poskytovatele na firmu, aniž by většina firem měla tým, který by ji zvládl ustát. Povrch útoku se nemění — mění se ten, kdo ho hlídá.

Stručně: Privátní AI neřeší prompt injection, exfiltraci přes tool-use, memorizaci trénovacích dat ani slabé logování. Nadále je třeba hardening API, RBAC, WAF, monitoring a DPIA. Pokud firma tyto kontroly neumí aplikovat u SaaS, u self-hostu je neaplikuje o nic lépe.

Prompt injection. Nejběžnější útok na jazykový model — uživatel nebo externí obsah vloží instrukci, která mění chování modelu. Self-host neřeší nic. Vstup je potřeba filtrovat, výstup validovat, a citlivé operace oddělit od volně generovaného obsahu. Rozbor v článku Prompt injection: bezpečnostní hrozba č. 1 pro firemní AI.

Exfiltrace přes tool-use. Jakmile model umí spouštět nástroje (číst SharePoint, psát do Jira, volat HTTP endpoint), umí potenciálně i vynést data ven přes legitimní kanál. Útočník zadá prompt, který donutí model poslat firemní dokument na veřejný endpoint pod záminkou analýzy.

Zapamatování trénovacích dat. Velké modely si pamatují části trénovacích dat. Pokud tým dělá fine-tuning na firemních datech, model může začít tyto úryvky generovat jako výstup. Obrana (differential privacy, rate-limiting opakujících se unikátních řetězců) existuje, ale málokdo ji implementuje.

Logování promptů a odpovědí. Privátní nasazení typicky loguje vše — kdo, kdy, co poslal, co dostal. Logy obsahují osobní údaje a firemní tajemství v otevřené podobě. Kde leží? Kdo k nim má přístup? Jak dlouho se drží? U SaaS to řeší dodavatel přes DPA, u self-hostu je to povinnost interního IT bezpečnostního týmu a DPO.

Zpevnění sítě. Ollama API nemá autentizaci. Open WebUI nemá WAF. Za reverse proxy je nutný rate-limiting proti prompt-spammingu, TLS s rotací certifikátů, fail2ban proti brute-force, segmentace sítě (AI server nesmí mít přímý přístup k citlivým systémům).

3. EU AI Act a GDPR: co musíte splnit i s vlastním serverem

Přesun modelu na vlastní hardware nemění právní klasifikaci systému. Pokud AI zpracovává osobní údaje, GDPR platí dál. Pokud systém spadá pod Annex III EU AI Act (nábor, úvěr, biometrie, vzdělávání, kritická infrastruktura), povinnosti z AI Actu dopadají bez ohledu na to, kde model běží.

Stručně: GDPR článek 32 (bezpečnost zpracování) a článek 35 (DPIA) platí pro privátní i SaaS AI. EU AI Act Annex III určuje vysoce rizikové systémy podle použití, ne podle infrastruktury. Článek 50 vyžaduje informovat uživatele, že komunikuje s AI. Self-host zjednodušuje datovou rezidenci, neřeší transparentnost ani DPIA.

Detailní rozbor GDPR povinností při nasazení AI v české firmě pokrývá článek AI a GDPR v praxi, plný kontext povinností po srpnu 2026 pak EU AI Act — co platí od srpna 2026. Self-host je předpoklad, ne samospásné řešení — compliance dokumenty se pořád musí napsat, auditor se nespokojí s argumentem „máme to u sebe".

4. 14denní plán nasazení a migrační checklist

Teoreticky lze Ollamu rozjet za deset minut. V praxi uvnitř firmy — s uživateli, RBAC, RAG a compliance — je realistický horizont dva týdny práce dvou lidí. Kdo plánuje kratší čas, zpravidla řeší jen technickou instalaci a teprve po spuštění začíná chápat, že scházejí procesy.

Pokud nejde o test koncepce v jedné divizi, ale o náhradu existujícího SaaS, přičtěte týden na integraci s identitami (SSO, SCIM) a dva týdny na trénink uživatelů. Běžná chyba: nasadit nástroj bez adopčního plánu. Výsledek — tři týdny po spuštění jej používá pět lidí, zbytek dál chodí do zablokovaného ChatGPT přes VPN z mobilu.

Migrační checklist ze SaaS na self-host. Kdo dnes používá ChatGPT Enterprise, Microsoft Copilot nebo Anthropic přes firemní účet, narazí na třináct položek, které je třeba vyřešit před přepnutím provozu:

1. Inventář promptů a šablon — export z SaaS, klasifikace podle citlivosti dat, rozhodnutí o migraci.
2. Kvalita modelu v češtině — srovnávací eval na 50–100 reálných příkladech.
3. RAG zdroje — mapování toho, co SaaS „viděl" a co self-host dostane do indexu.
4. Integrace do pracovních nástrojů — pluginy pro IDE, webové rozšíření, mobilní aplikace.
5. Identity a SSO — OIDC provider, skupiny, offboarding.
6. Kapacita pro špičky — co se stane při 20 souběžných dotazech.
7. Chybějící funkce — vision, hlas, generování obrázků.
8. Verzování modelů — kdo rozhoduje o přechodu na novou verzi, testovací strategie.
9. Fallback — řízená degradace na cloudový model při HW výpadku.
10. Monitoring a SLO — dostupnost, p95 latence, denní objem tokenů.
11. Smlouva se stávajícím SaaS — výpovědní lhůty, export historie.
12. Finance — přesun CAPEX/OPEX, odpisy, vnitropodnikové přeúčtování.
13. Komunikace interně — oznámení, školení, zásady co AI smí a nesmí.

5. Kdy je soukromé AI horší volba a sedm chyb

Článek by byl neúplný bez oddílu, který self-hosting nedoporučuje. K dubnu 2026 je rozdíl mezi nejlepším open modelem a nejlepším proprietárním modelem v komplexních úvahových úlohách stále kolem 10–15 procentních bodů v benchmarcích jako MMLU-Pro, GPQA Diamond nebo SWE-bench. U jednoduchých úloh rozdíl zmizí — u agentních a matematických úloh se projeví.

Scénáře, kdy self-host zpomaluje byznys:

• R&D oddělení s potřebou nejlepšího modelu. Rozdíl mezi Claude Opus 4.7 a DeepSeek-R1-distill na obtížné matematice je rozdíl mezi „spočítá to" a „nespočítá". Pro osm výzkumníků nemá smysl stavět datacentrum.
• Startupy pod 20 lidí. 280 000 Kč kapex + mzda adminu = roční náklad, který u SaaS pokryje licence pro sto lidí.
• Firmy bez interní IT kapacity. Bez někoho, kdo rozumí Dockerům, certifikátům a monitoringu, je Ollama stroj na incidenty.
• Nárazové zátěže. Marketingová agentura potřebuje 50× model dva dny v měsíci a 0× zbytek měsíce. Dedikovaný HW stojí stejně při 0 % využití.
• Multimodální úlohy. Generování videí, 3D scén a vědecké obrazové úlohy — open modely pozadu, HW požadavky řádově vyšší.

Šestý a sedmý bod jsou nejčastější. Technické problémy se vyřeší inženýrsky, strategické a právní přetrvávají. Privátní AI je projekt řízení změn, ne jen server v racku.

6. Časté otázky

Co s fine-tuningem vlastních dat?
Ollama fine-tuning přímo neřeší. Realistická cesta: LoRA/QLoRA adaptéry pomocí axolotl nebo unsloth, pak import do Ollama jako vlastní model. Pro firmu pod 500 zaměstnanců ale častěji funguje lépe RAG než fine-tuning — je levnější, aktualizovatelnější a předvídatelnější.

Potřebujeme druhý server pro failover?
Pokud AI není kritický systém (neřeší nepřetržitou zákaznickou podporu, medicínské rozhodnutí, platební autorizaci), stačí jeden server s dokumentovanou degradací na SaaS model jako záložní variantu. Druhý server zdvojnásobí kapex a dává smysl až u firem nad 50 lidí s SLA dostupnosti 99,5 % a výše.

Jak dlouho vydrží hardware?
RTX 4090 má tři- až čtyřletou životnost v 24/7 provozu, H100 pět a víc. Hlavní faktor není opotřebení, ale morální zastarání — každé 1,5 až 2 roky vyjde nová generace s 1,5× až 2× lepším výkonem na watt. Rozumný odpisový horizont pro GPU je tři roky.

Můžeme použít AMD GPU místo NVIDIA?
AMD RX 7900 XTX a Radeon Pro W7900 fungují přes ROCm. Ollama má ROCm podporu, ale ekosystém je chudší — některé kvantizace a optimalizace jdou až s odstupem několika měsíců. Pro produkční nasazení v dubnu 2026 je NVIDIA bezpečnější volba, AMD zvažujte u R&D a experimentů.

Co se stane s daty, když Ollama nebo Open WebUI ukončí projekt?
Oba projekty jsou MIT licencované — komunita může forknout. Data a modely jsou ve standardních formátech (GGUF, SQLite, PostgreSQL). Závislost na dodavateli je minimální, migrace na jinou inferenční vrstvu znamená překlopení konfigurace, ne export dat.

7. Zdroje

• EU AI Act: plný text nařízení — eur-lex.europa.eu
• ÚOOÚ: stanoviska k AI a GDPR — uoou.gov.cz
• NIST: AI Risk Management Framework — nist.gov
• ENISA: threat landscape 2025 — enisa.europa.eu
• OpenAI API pricing — openai.com/api/pricing
• OWASP LLM Top 10 (prompt injection, supply chain) — owasp.org
• NÚKIB: doporučení k AI v kritické infrastruktuře — nukib.cz