AI Act 2026 pro české firmy: skryté high-risk systémy a souběh pokut s GDPR
První povinnosti z evropského nařízení o umělé inteligenci (AI Act) už neběží v budoucím čase – zákaz nepřijatelných praktik a povinnost AI gramotnosti platí od února 2025 a v roce 2026 se přidávají další. Nejzrádnější je, že běžný HR nástroj na třídění životopisů může být „high-risk" systém a že za jedno pochybení může firma zaplatit pokutu podle AI Act i GDPR současně. Kdo dnes neudělá inventuru AI nástrojů, hazarduje s cash-flow i s osobní odpovědností jednatele.
Proč to řešit právě teď
Nařízení Evropského parlamentu a Rady (EU) 2024/1689 – tzv. AI Act – není vzdálená hrozba. Účinnost náběhu je fázová: zákaz nepřijatelných praktik a povinnost zajistit AI gramotnost zaměstnanců platí už od 2. února 2025, pravidla pro obecné modely (GPAI) od srpna 2025 a nejpřísnější režim pro vysoce rizikové (high-risk) systémy dopadá na firmy postupně v letech 2026–2027. Rok 2026 je proto zlomový: většina B2B firem už AI reálně používá (chatboti, generátory textů, skórovací nástroje, HR screening), ale jen zlomek má o tom přehled a dokumentaci.
Sankční rámec je tvrdý. Za zakázané praktiky hrozí pokuta až 35 mil. EUR nebo 7 % celosvětového ročního obratu, za porušení povinností u high-risk systémů až 15 mil. EUR nebo 3 % obratu. To samo o sobě není novinka – novinkou je, že se tyto pokuty sčítají s dalšími režimy: za tentýž incident (např. nezákonné profilování uchazečů) může přijít sankce podle GDPR (až 20 mil. EUR nebo 4 % obratu) i podle AI Act. K tomu se přidává směrnice NIS2, transponovaná novým zákonem o kybernetické bezpečnosti, s vlastní sankční logikou. Riziko tedy není lineární, ale kumulativní.
Krok 1 (ORIENT): Inventarizace AI nástrojů
Bez mapy nelze řídit riziko. Prvním úkolem je poctivá inventura – co firma reálně provozuje, kupuje jako službu nebo má „ve stínu" (shadow AI, tedy nástroje, které zaměstnanci používají bez vědomí vedení).
- Vlastní vs. nakupované systémy. AI Act rozlišuje role „poskytovatele" (provider) a „provozovatele/uživatele" (deployer). Většina českých firem bude v roli deployera – ale i ta má samostatné povinnosti (lidský dohled, monitoring, informování dotčených osob).
- Účel použití. Tentýž nástroj může být neškodný (generování marketingového textu) i high-risk (rozhodování o přijetí zaměstnance). Rozhoduje kontext, ne technologie.
- Data na vstupu. Pokud systém zpracovává osobní údaje, otevírá se paralelně režim GDPR – a tím i celá logika souběhu sankcí.
Doporučený výstup: registr AI systémů s vlastníkem procesu, účelem, kategorií rizika a odpovědnou osobou. Tento registr je zároveň prvním důkazem „dobré víry" firmy, pokud přijde kontrola.
Krok 2 (ORIENT): HR screening jako skrytý high-risk systém
Zde bývá největší slepé místo. Firmy vnímají AI jako „IT téma", ale nejrizikovější použití je často v HR. AI Act výslovně řadí mezi vysoce rizikové oblasti systémy používané pro nábor a výběr uchazečů, pro rozhodování o povýšení či ukončení pracovního poměru a pro hodnocení výkonu. Automatické třídění životopisů, skórování kandidátů nebo „culture-fit" analýzy tak spadají do nejpřísnějšího režimu, i když si to firma neuvědomuje.
Důsledky pro provozovatele high-risk systému v HR:
- Lidský dohled nad výsledky – rozhodnutí nesmí být plně automatizované bez smysluplné kontroly (to koresponduje i s čl. 22 GDPR o automatizovaném rozhodování).
- Transparence vůči uchazečům – informování, že je nasazen AI systém.
- Monitoring a logování provozu, uchování záznamů.
- Kontrola dat na vstupu kvůli riziku diskriminace (gender, věk, etnicita) – tady se souběžně aktivuje antidiskriminační právo i GDPR.
Praktický dopad: pokud nástroj systematicky penalizuje uchazečky nad 50 let, hrozí (a) sankce podle AI Act za provoz nesouladného high-risk systému, (b) sankce podle GDPR za nezákonné profilování a (c) žaloby z antidiskriminačního titulu. Jeden proces, tři fronty.
Krok 3 (DECIDE): Souběh sankcí AI Act + GDPR + NIS2
Návrh úhlu z médií je věcně správný, nejde o „strašení". Kumulace je reálná, protože jednotlivé režimy chrání odlišné právní zájmy: AI Act bezpečnost a základní práva ve vztahu k technologii, GDPR ochranu osobních údajů, NIS2 kybernetickou odolnost. Zásada ne bis in idem (zákaz dvojího trestání) souběh nevylučuje automaticky – uplatní se jen tam, kde jde skutečně o tentýž skutek a totožný chráněný zájem, což u těchto tří režimů zpravidla neplatí.
Kritická poznámka pro vyváženost: v Česku ještě není definitivně dořešena institucionální architektura dozoru nad AI Act (dozorový úřad, notifikace subjektů). Firmy by proto neměly panikařit z „okamžitých megapokut", ale ani otálet – přípravná fáze je právě teď a orgány budou přísnější k těm, kdo neudělali ani základní kroky. Realistický scénář roku 2026 není okamžitá vlna maximálních pokut, ale rostoucí očekávání prokazatelné compliance.
Řízení rizik pohledem QUADMOND™ (kvadrant Q1)
V logice QUADMOND™ patří AI compliance do kvadrantu Q1 – vysoká pravděpodobnost dopadu × vysoká závažnost: technologie je už nasazená, sankce jsou vysoké a souběh režimů násobí expozici. To znamená prioritní, nikoliv odkládací režim řízení.
Klíčové je propojení s odpovědností statutárního orgánu. Zákon o obchodních korporacích ukládá jednatelům a členům představenstva jednat s péčí řádného hospodáře. Byť jsou přechodná a závěrečná ustanovení ZOK primárně o něčem jiném – zákon zapracovává předpisy EU (§ 774§ 774 USTANOVENÍ ZÁVĚREČNÁ A PŘECHODNÁTento zákon zapracovává příslušné předpisy Evropské unie1).Oficiální znění ↗), řídí se jím práva a povinnosti vzniklé od jeho účinnosti (§ 775§ 775 USTANOVENÍ PŘECHODNÁTímto zákonem se řídí práva a povinnosti vzniklé ode dne jeho účinnosti.Oficiální znění ↗, § 786§ 786 ÚČINNOSTTento zákon nabývá účinnosti dnem 1. ledna 2014.Oficiální znění ↗) – a je nutné hlídat soulad vnitřních dokumentů s donucujícími ustanoveními (§ 777§ 777 § 777(1) Ujednání společenských smluv, která jsou v rozporu s donucujícími ustanoveními tohoto zákona, se zrušují dnem nabytí účinnosti tohoto zákona. (2) Obchodní korporace přizpůsobí do 6 měsíců ode dne nabytí účinnosti tohoto zákona listiny podle odstavce 1 úpravě tohoto zákona a doručí je do sbírky listin. Neučiní-li ta…Oficiální znění ↗), princip je přenositelný: za nastavení a dodržování compliance procesů odpovídá vrcholný orgán (obdobně jako § 303§ 303 § 303Za splnění povinností podle § 301 a 302 odpovídá představenstvo nebo správní rada.Oficiální znění ↗ přiřazuje odpovědnost za plnění povinností představenstvu či správní radě). Zanedbání AI/GDPR rizik tak není jen firemní, ale i osobní riziko manažera.
Praktický akční plán pro majitele a jednatele
- Inventura AI (do 30 dnů). Sestavte registr všech AI nástrojů včetně shadow AI. Bez mapy není řízení.
- Klasifikace rizika. U každého nástroje určete kategorii (zakázané / high-risk / omezené / minimální riziko) podle účelu použití. HR nástroje prověřte prioritně.
- AI gramotnost (už povinná). Zajistěte prokazatelné školení zaměstnanců, kteří s AI pracují – tato povinnost platí bez ohledu na kategorii rizika.
- Sladění s GDPR. Aktualizujte záznamy o činnostech zpracování, posouzení vlivu (DPIA) tam, kde AI zpracovává osobní údaje, a informační povinnosti vůči dotčeným osobám.
- Smluvní ošetření dodavatelů. U nakupovaných AI služeb prověřte, kdo nese roli poskytovatele a jak jsou rozděleny povinnosti a odpovědnost.
- Governance a dohled. Určete odpovědnou osobu, nastavte lidský dohled u high-risk systémů a interní směrnici pro používání AI.
- Dokumentace jako obrana. Vše písemně – registr, školení, rozhodnutí. Prokazatelná snaha je nejlepší polštář proti sankci i proti odpovědnosti jednatele.
Jak vám pomůžeme / Další krok
Advokátní kancelář Legal Partners pracuje se systémem řízení rizik QUADMOND™ a dokáže vám sestavit inventuru AI nástrojů, klasifikovat rizika, prověřit HR screening jako potenciální high-risk systém a nastavit compliance tak, aby minimalizoval souběh sankcí z AI Act, GDPR i NIS2 – a zároveň chránil osobní odpovědnost jednatelů.
Nabízíme vám nezávaznou konzultaci zdarma s advokátem, na které společně identifikujeme vaše nejpalčivější rizika v kvadrantu Q1 a navrhneme konkrétní další kroky. Ozvěte se nám – čím dřív začnete, tím levnější a snadnější náprava bude.
Časté dotazy
Od kdy vlastně AI Act platí a co musíme splnit hned?
Nařízení je účinné fázově. Už od 2. února 2025 platí zákaz nepřijatelných (zakázaných) praktik a povinnost zajistit AI gramotnost zaměstnanců pracujících s AI. Pravidla pro obecné modely běží od srpna 2025 a nejpřísnější režim pro vysoce rizikové systémy dopadá na firmy postupně v letech 2026–2027. Prakticky to znamená začít inventurou nástrojů a školením lidí okamžitě.
Je náš HR nástroj na třídění životopisů opravdu high-risk?
Velmi pravděpodobně ano. AI Act řadí mezi vysoce rizikové oblasti systémy pro nábor, výběr uchazečů, povyšování, hodnocení výkonu i ukončování pracovního poměru. Rozhoduje účel použití, ne značka softwaru. U takového nástroje musíte zajistit lidský dohled, transparenci vůči uchazečům, monitoring a kontrolu vstupních dat kvůli riziku diskriminace.
Můžeme za jeden incident dostat pokutu podle AI Act i GDPR současně?
Ano, souběh je reálný, protože každý režim chrání jiný právní zájem – AI Act bezpečnost a základní práva ve vztahu k technologii, GDPR ochranu osobních údajů. Zásada ne bis in idem souběh nevylučuje automaticky. K tomu se u kybernetické oblasti může přidat NIS2. Právě proto je řízení rizika kumulativní, nikoli lineární.
Nese za nesoulad odpovědnost i jednatel osobně?
Statutární orgán jedná s péčí řádného hospodáře a odpovídá za nastavení a dodržování compliance procesů (obdobně jako § 303 zákona o obchodních korporacích přiřazuje odpovědnost za plnění povinností statutárnímu orgánu). Zanedbání AI a GDPR rizik proto může vést nejen k firemní pokutě, ale i k osobní odpovědnosti jednatele. Prokazatelná dokumentace opatření je klíčovou obranou.