Co čeká české firmy po přijetí EU AI Actu a jak AI může pomoci s právní compliance. Tento praktický průvodce vysvětluje, koho se regulace týká, jaké jsou termíny a sankce, jak postavit „compliance-by-design“ architekturu (data governance, human oversight, testování, logování) a jak se připravit na budoucí judikaturu v ČR i EU. Zaměřujeme se na kroky, které lze udělat hned, a na to, jak si průběžně ověřovat shodu bez zbytečné byrokracie.
Co je AI Act a koho se týká
EU AI Act je přímo použitelná regulace EU, která zavádí rizikový rámec pro AI: zakázané praktiky, vysoké riziko (high-risk), omezené riziko a minimální riziko. Kromě toho stanovuje zvláštní pravidla pro poskytovatele general-purpose AI (GPAI) a vytváří dohledovou strukturu vedenou Evropským AI Office. Regulace platí pro dodavatele (providers), nasazovatele (deployers), dovozce a distributory systémů, které mají EU nexus (dopad na osoby v EU), bez ohledu na to, kde je firma usazena. [oai_citation:0‡Digitální strategie Evropské unie](https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai?utm_source=chatgpt.com)
Zakázané praktiky (např. sociální skórování, některé formy biometrického profilování, plošný scraping obličejů, inferování emocí ve škole a práci) jsou v AI Actu explicitně vyjmenovány v čl. 5. Porušení může vést k vysokým pokutám (viz níže). [oai_citation:1‡Umělá inteligence v EU](https://artificialintelligenceact.eu/article/5/?utm_source=chatgpt.com)
Klíčové termíny a milníky (časová osa)
AI Act nabyl účinnosti 1. srpna 2024. Aplikace probíhá ve vlnách: od 2. února 2025 platí zákaz vybraných praktik a povinnosti AI literacy; od 2. srpna 2025 se uplatní pravidla pro GPAI a governance; od 2. srpna 2026 se začnou uplatňovat povinnosti pro high-risk systémy v příloze III (např. zaměstnávání, vzdělávání, základní služby); a od 2. srpna 2027 se přidají high-risk systémy zabudované v regulovaných výrobcích podle sektorových předpisů (příloha I). [oai_citation:2‡Digitální strategie Evropské unie](https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai?utm_source=chatgpt.com)
| Datum | Co začíná platit | Koho se nejvíc týká |
|---|---|---|
| 1. 8. 2024 | Vstup AI Act v platnost | Všechny role |
| 2. 2. 2025 | Zákazy (Art. 5), AI literacy | Zadavatelé i dodavatelé AI; HR, veřejný sektor |
| 2. 8. 2025 | GPAI povinnosti + governance (AI Office) | Poskytovatelé modelů, integrátoři |
| 2. 8. 2026 | Povinnosti pro high-risk (příloha III) | HR/Recruitment, vzdělávání, banky, utility, veřejná správa |
| 2. 8. 2027 | High-risk zabudované v regulovaných výrobcích (příloha I) | Výrobci zdravotnických prostředků, strojů, automobilů aj. |
Povinnosti podle rolí (provider, deployer, distributor, GPAI)
Provider (dodavatel) high-risk systému
- Řízení rizik a kvality, datová správa, technická dokumentace, logování, přesnost/robustnost/kyberbezpečnost, CE označení po posouzení shody; dohled nad post-market procesy a incidenty. [oai_citation:3‡Umělá inteligence v EU](https://artificialintelligenceact.eu/article/16/?utm_source=chatgpt.com)
Deployer (nasazovatel) high-risk systému
- Používat dle návodu, stanovit lidský dohled, kontrolovat vstupní data, provádět monitoring a uchovávat logy min. 6 měsíců; informovat zaměstnance o použití systému. [oai_citation:4‡Umělá inteligence v EU](https://artificialintelligenceact.eu/article/26/?utm_source=chatgpt.com)
Distributor / importér
- Ověřit, že systém nese náležité označení a dokumentaci a že nebyl změněn způsobem, který by narušil shodu; spolupracovat na dozoru trhu. (Souhrn pravidel dle hlavy III AI Act.) [oai_citation:5‡Umělá inteligence v EU](https://artificialintelligenceact.eu/?utm_source=chatgpt.com)
GPAI (general-purpose AI) – poskytovatel modelu
- Transparenční dokumentace, model cards, copyright & TDM compliance, evaluační a bezpečnostní testy; pro modely se systemic risk přísnější posuzování. (Viz Q&A a pokyny AI Office k GPAI.) [oai_citation:6‡Digitální strategie Evropské unie](https://digital-strategy.ec.europa.eu/en/faqs/general-purpose-ai-models-ai-act-questions-answers?utm_source=chatgpt.com)
Za porušení hrozí pokuty až 35 mil. € nebo 7 % globálního obratu (zakázané praktiky), resp. 15 mil. € / 3 % (ostatní povinnosti) a 7,5 mil. € / 1 % za nepravdivé informace orgánům. [oai_citation:7‡AI Act](https://ai-act-law.eu/article/99/?utm_source=chatgpt.com)
Rizikové kategorie a mapování use-casů
Základem je správná klasifikace. High-risk jsou mj. systémy uvedené v příloze III (zaměstnávání, vzdělávání, přístup k službám, vymáhání práva, správa justice), a systémy/součásti podléhající sektorovým směrnicím (příloha I). Poskytovatel by měl dokumentovat, pokud se domnívá, že systém není high-risk. [oai_citation:8‡Umělá inteligence v EU](https://artificialintelligenceact.eu/article/6/?utm_source=chatgpt.com)
| Use-case | Pravděpodobná kategorie | Co hlídat |
|---|---|---|
| AI v náboru (screening CV, ranking) | High-risk (příloha III) | Dataset bias, vysvětlitelnost, lidský dohled, logy |
| Chatbot zákaznické podpory | Omezené riziko / minimální | Transparentní informování, bezpečnost obsahu, eskalace |
| Prediktivní údržba strojů | Podle kontextu (příloha I, je-li součást produktu) | Posouzení shody výrobku, kyberbezpečnost |
| GPAI/LLM integrovaný do interního vyhledávání | GPAI (povinnosti poskytovatele modelu) + omezené riziko u nasazení | RAG s citacemi, filtrování PII, logování a evaluace |
Compliance-by-design: referenční architektura
Smyslem není „papírová“ shoda, ale bezpečný provoz. Osvojte si compliance-by-design architekturu:
- Data governance: původ a licence dat, kurátorství, dokumentace TDM (text-and-data mining), kontrola PII/GDPR, záznamy o čištění a anotacích.
- Risk management: identifikace a mitigace rizik, testy biasu, odolnosti a bezpečnosti; definované metriky (robustness, accuracy, cybersecurity).
- Human oversight: jasné body zásahu člověka (před rozhodnutím/po, „stop-the-line“), školení, odpovědnosti.
- Technická dokumentace: verze modelu/promptu, datové sady, metriky kvality, limity a známá selhání; rozhraní a závislosti.
- Logging & audit trail: jednotné event schema (trace_id, input/output, policy flags), retenční politika (min. 6 měsíců pro deployery high-risk), kontrola integrity logů. [oai_citation:9‡Umělá inteligence v EU](https://artificialintelligenceact.eu/article/26/?utm_source=chatgpt.com)
- Conformity & CE (pro high-risk): postupy posouzení shody, prohlášení, CE značení, post-market monitoring a hlášení incidentů. [oai_citation:10‡Umělá inteligence v EU](https://artificialintelligenceact.eu/article/16/?utm_source=chatgpt.com)
Český kontext: orgány dohledu, sandboxy, trendy a spory
AI Act je nařízení, takže se uplatňuje přímo. Česko paralelně připravuje vnitrostátní rámec: vláda v květnu 2025 schválila návrh implementace včetně regulatorního sandboxu a dohledových mechanismů; detailní určení kompetentních orgánů bylo v době schválení ještě rozpracované. Pro firmy to znamená možnost testovat use-casy pod dohledem a získat předběžné stanovisko orgánů. [oai_citation:11‡UNMZ](https://unmz.gov.cz/en/government-approves-key-document-for-development-and-security-in-czech-land-2/?utm_source=chatgpt.com)
Pro praxi je relevantní i bezpečnostní politika státu: například rozhodnutí omezit některé rizikové AI nástroje ve veřejné správě z důvodů kybernetické bezpečnosti. Tyto signály napovídají, že due diligence dodavatelského řetězce (původ modelu, jurisdikce, ochrana dat) bude v ČR důležitou součástí compliance. [oai_citation:12‡AP News](https://apnews.com/article/104f58035294f9f6ca988119732b8620?utm_source=chatgpt.com)
Na co se chystat v judikatuře: sporné oblasti
První vlnu sporů lze očekávat v těchto oblastech:
- Zákazy dle čl. 5: spory o to, co je „emocionální inferování“ v pracovním prostředí, nebo co představuje „biometrickou kategorizaci“ – firmy by měly mít interní posudek a logy o rozhodnutí nepoužít rizikové funkce. [oai_citation:13‡Umělá inteligence v EU](https://artificialintelligenceact.eu/article/5/?utm_source=chatgpt.com)
- HR a školství (high-risk): důkazy o biasu, nekonzistentní scoring či chybějící lidský dohled; významnou roli bude hrát kvalita dokumentace a traceability. [oai_citation:14‡iapp.org](https://iapp.org/resources/article/eu-ai-act-timeline/?utm_source=chatgpt.com)
- GPAI a transparece: spor o dostatečnost technické dokumentace a evaluačních protokolů u velkých modelů, včetně copyright/TDM postupů. [oai_citation:15‡Digitální strategie Evropské unie](https://digital-strategy.ec.europa.eu/en/faqs/general-purpose-ai-models-ai-act-questions-answers?utm_source=chatgpt.com)
- Pokuty a proces: přezkum přiměřenosti sankcí a procesních práv v dozorových šetřeních – důležitá bude včasná součinnost a pravdivé informace orgánům. [oai_citation:16‡AI Act](https://ai-act-law.eu/article/99/?utm_source=chatgpt.com)
Playbook: 90 dní → 6 měsíců → 12 měsíců
Do 90 dní
- Inventura AI: seznam modelů/systémů, účel, data, uživatelé, dodavatelé, jurisdikce; mapování na rizikové kategorie (Annex I/III, GPAI, ostatní).
- Stop-list: písemné potvrzení, že nepoužíváte zakázané praktiky (čl. 5); pokud je riziko kolize, přerušit a nahradit. [oai_citation:17‡Umělá inteligence v EU](https://artificialintelligenceact.eu/article/5/?utm_source=chatgpt.com)
- Governance: jmenovat odpovědné osoby (právo, bezpečnost, data, provoz), zřídit AI registr, zavednout minimální logování a versioning promptů/modelů.
Do 6 měsíců
- Politiky a šablony: risk management, human oversight, incident reporting, model cards/system cards, eval protokoly.
- Technické kontroly: PII filtry, RAG s povinnými citacemi, testy biasu/robustnosti, validace JSON výstupů, kill-switch a fallbacky.
- Kontraktace dodavatelů: doplnit povinnosti k AI Act (dokumentace, audit, bezpečnostní standardy, místo zpracování dat).
Do 12 měsíců
- High-risk readiness: pro nasazení v HR/ vzdělávání / přístup k službám nastavit požadované procesy (dokumentace, oversight, CE – je-li relevantní) s ohledem na termín 2. 8. 2026/2027. [oai_citation:18‡Digitální strategie Evropské unie](https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai?utm_source=chatgpt.com)
- GPAI integrace: pro velké modely držet transpareční dokumentaci a evaluation; u modelů se systémovým rizikem počítat s přísnějšími požadavky a AI Office. [oai_citation:19‡Digitální strategie Evropské unie](https://digital-strategy.ec.europa.eu/en/policies/ai-office?utm_source=chatgpt.com)
FAQ: rychlé odpovědi pro vedení
Hrozí nám pokuty už dnes? Ano – zákazy platí od 2. 2. 2025 a nesoulad může znamenat až 35 mil. € nebo 7 % obratu; zbytek povinností má odložené účinnosti (GPAI 12 měsíců po účinnosti, high-risk 24/36 měsíců). [oai_citation:20‡Evropský parlament](https://www.europarl.europa.eu/topics/en/article/20230601STO93804/eu-ai-act-first-regulation-on-artificial-intelligence?utm_source=chatgpt.com)
Když používáme cloudový LLM, jsme jen „uživatel“? Záleží na roli: můžete být deployer (odpovědnost za použití, dohled, logy) a zároveň provider vlastního systému, pokud LLM obalíte do řešení s vlastním účelem a rozhraním. [oai_citation:21‡Umělá inteligence v EU](https://artificialintelligenceact.eu/?utm_source=chatgpt.com)
Stačí interní směrnice? Ne. Potřebujete i technické prvky: logy, evaluační sady, RAG s citacemi, PII filtry, auditní stopu a procesy pro incidenty – to je podstata compliance-by-design. [oai_citation:22‡Umělá inteligence v EU](https://artificialintelligenceact.eu/?utm_source=chatgpt.com)
Jak pořešit „black-box“ modely? Opřete se o dokumentaci poskytovatele (GPAI povinnosti), vlastním testováním ověřte bias/robustnost, držte human-in-the-loop a logy. U vysoce citlivých use-casů zvažte jednodušší modely s vyšší vysvětlitelností. [oai_citation:23‡Digitální strategie Evropské unie](https://digital-strategy.ec.europa.eu/en/faqs/general-purpose-ai-models-ai-act-questions-answers?utm_source=chatgpt.com)
Závěr a doporučení
AI Act nezastavuje inovace – nutí je být bezpečné, vysvětlitelné a auditovatelné. Českým firmám doporučujeme: (1) hned vyřaďte rizikové praktiky dle čl. 5; (2) zaveďte jednotné logování, verze modelů/promptů a evaluační protokoly; (3) u HR/edukace a přístupu ke službám připravte high-risk režim; (4) požadujte od dodavatelů GPAI dokumentaci a bezpečnostní testy; (5) sledujte české orgány dohledu a využijte sandboxy pro sporné use-casy. Kdo pojme compliance jako architekturu, ne jako papír, získá konkurenční výhodu i právní klid.
