AI Act v praxi firmy: rizikové kategorie a AI governance krok za krokem

Proč AI Act řešit už teď

Možná si říkáte, že nařízení o umělé inteligenci se týká jen technologických gigantů. Opak je pravdou. AI Act (nařízení EU 2024/1689) dopadá i na běžnou výrobní, obchodní nebo poradenskou firmu, která nasadí chatbota na zákaznickou podporu, software pro automatizovaný nábor zaměstnanců nebo nástroj na hodnocení bonity klientů. Klíčové rozlišení nezní „vyvíjíte, nebo ne", ale „v jaké roli AI používáte".

Sankční rozpětí je přitom mimořádné: za používání zakázaných praktik hrozí pokuta až 35 milionů eur nebo 7 % celosvětového ročního obratu (podle toho, co je vyšší), za porušení povinností u vysoce rizikových systémů až 15 milionů eur nebo 3 % obratu. To je řádově více než maximum 10 000 000 Kč, které český zákon o zpracování osobních údajů ukládá za přestupky v oblasti GDPR (§ 63§ 63 § 63(1) Právnická osoba se dopustí přestupku tím, že při zpracování osobních údajů a) v rozporu s § 25 odst. 1 písm. a) nestanoví účel zpracování osobních údajů nebo stanoveným účelem zpracování osobních údajů poruší povinnost nebo překročí oprávnění vyplývající z jiného zákona, b) v rozporu s § 25 odst. 1 písm. b) nepřijm…Oficiální znění ↗). Firma, která dnes bezhlavě integruje AI bez governance, kumuluje riziko ze dvou předpisů najednou.

Čtyři rizikové kategorie AI systémů

AI Act staví na principu, který firmy znají z GDPR — přístup podle míry rizika. Každý AI systém je třeba zařadit do jedné ze čtyř úrovní.

1. Nepřijatelné riziko (zakázané praktiky)

Tyto systémy jsou v EU zcela zakázané. Patří sem zejména:

• sociální skórování fyzických osob veřejnými i soukromými subjekty,
• manipulativní techniky zneužívající zranitelnosti (věk, zdravotní postižení),
• biometrická kategorizace odvozující citlivé znaky (etnikum, sexuální orientaci, politické názory),
• necílené scrapování obličejů z internetu pro tvorbu databází rozpoznávání obličejů,
• rozpoznávání emocí na pracovišti a ve školách (až na výjimky).

Pozor — kategorie biometriky a citlivých údajů se přímo prolíná s ochranou osobních údajů. Český zákon definuje mimo jiné biometrický údaj zpracovávaný za účelem jedinečné identifikace osoby jako zvláštní kategorii (§ 66§ 66 PŘECHODNÁ, ZRUŠOVACÍ A ZÁVĚREČNÁ USTANOVENÍ(1) Ode dne nabytí účinnosti tohoto zákona do 31. prosince 2020 má Úřad pouze 1 místopředsedu Úřadu. Druhého místopředsedu Úřadu lze zvolit s účinností nejdříve od 1. ledna 2021. (2) Předseda Úřadu, který je ve funkci ke dni nabytí účinnosti tohoto zákona, dokončí své funkční období podle dosavadních právních předpisů.…Oficiální znění ↗ odst. 6). Jejich zpracování je už dnes přísně regulováno.

2. Vysoké riziko

Nejnáročnější praktická kategorie. Sem spadají AI systémy používané například v:

• náboru a řízení zaměstnanců (třídění životopisů, hodnocení výkonu),
• přístupu ke vzdělání a hodnocení studentů,
• posuzování bonity a životního/zdravotního pojištění,
• kritické infrastruktuře, zdravotnictví, justici.

U těchto systémů musí poskytovatel zavést systém řízení rizik, řízení dat, technickou dokumentaci, logování, lidský dohled (human oversight) a posouzení shody. Nasazovatel pak musí zajistit lidský dohled, monitoring a v řadě případů posouzení vlivu na základní práva.

3. Omezené riziko (transparenční povinnosti)

Sem patří chatboti, systémy generující obsah a deepfakes. Hlavní povinnost je informovat člověka, že komunikuje s AI, a označovat uměle generovaný či manipulovaný obsah.

4. Minimální riziko

Drtivá většina běžných nástrojů (spamové filtry, AI ve hrách). Bez zvláštních povinností, doporučují se dobrovolné kodexy chování.

Poskytovatel vs. nasazovatel: kdo nese jakou odpovědnost

AI Act rozlišuje role, a od nich se odvíjejí povinnosti. Firma se může stát poskytovatelem, aniž by to tušila.

Role	Kdo to je	Hlavní povinnosti
Poskytovatel	Vyvíjí AI systém nebo ho uvádí na trh pod svým jménem	Posouzení shody, technická dokumentace, systém řízení rizik, registrace, monitoring po uvedení na trh
Nasazovatel (deployer)	Používá AI systém v rámci své činnosti	Lidský dohled, používání dle návodu, monitoring, informování dotčených osob, případně posouzení vlivu na základní práva
Distributor / dovozce	Dodává systém na trh EU	Ověření shody, dokumentace, spolupráce s úřady

Riziko překlasifikace: pokud nasazovatel podstatně upraví vysoce rizikový systém nebo ho uvede pod vlastní značkou, přebírá role a povinnosti poskytovatele. Typicky firma, která si nechá „na míru" vytrénovat náborový model a prodává ho dál.

Harmonogram účinnosti — co kdy platí

AI Act vstoupil v platnost 1. srpna 2024, ale účinnost je odstupňovaná:

• 2. února 2025 — zákaz nepřijatelných praktik a povinnost AI gramotnosti zaměstnanců.
• 2. srpna 2025 — pravidla pro obecné AI modely (GPAI), notifikované subjekty, governance a sankce.
• 2. srpna 2026 — většina povinností pro vysoce rizikové systémy (příloha III).
• 2. srpna 2027 — vysoce rizikové systémy zabudované do regulovaných produktů.

Praktický závěr: zákazy a AI gramotnost už platí. Firma, která dnes nemá přehled o svých AI nástrojích, je v prodlení.

Vztah AI Act a GDPR: dvě vrstvy jedné compliance

AI systémy zpravidla zpracovávají osobní údaje, takže se uplatní GDPR i český zákon o zpracování osobních údajů současně vedle AI Act. Pro firmu to znamená propojit oba režimy do jednoho procesu.

Posouzení vlivu (DPIA). Vede-li zpracování s využitím nových technologií k vysokému riziku zásahu do práv subjektů údajů, je nutné vypracovat posouzení vlivu na ochranu osobních údajů. Tato logika je v české úpravě zakotvena pro orgány v režimu hlavy III (§ 37§ 37 Automatizované pořizování záznamůJe-li pravděpodobné, že určitý druh připravovaného zpracování osobních údajů povede vzhledem k jeho povaze, rozsahu, okolnostem nebo účelu k vysokému riziku neoprávněného zásahu do práv a svobod subjektů údajů, vypracuje spravující orgán posouzení vlivu takového zpracování na ochranu osobních údajů, které obsahuje ales…Oficiální znění ↗) a v obecném režimu GDPR (čl. 35) platí obdobně. Nasazení vysoce rizikového AI systému je typickým spouštěčem DPIA — a v řadě případů ji lze propojit s posouzením vlivu na základní práva dle AI Act.

Konzultace s dozorovým úřadem. Vyplyne-li z posouzení vysoké riziko, přichází na řadu projednání s úřadem (§ 38§ 38 Posouzení vlivu na ochranu osobních údajů(1) Má-li připravovaným zpracováním osobních údajů vzniknout nová evidence, spravující orgán podá Úřadu žádost o projednání takového zpracování, pokud a) z posouzení podle § 37 vyplývá vysoké riziko neoprávněného zásahu do práv a svobod subjektů údajů, nebo b) druh zpracování osobních údajů, s přihlédnutím k využití no…Oficiální znění ↗), případně předchozí konzultace dle čl. 36 GDPR. Český zákon dává úřadu šestitýdenní lhůtu pro reakci s možností prodloužení o měsíc (§ 38§ 38 Posouzení vlivu na ochranu osobních údajů(1) Má-li připravovaným zpracováním osobních údajů vzniknout nová evidence, spravující orgán podá Úřadu žádost o projednání takového zpracování, pokud a) z posouzení podle § 37 vyplývá vysoké riziko neoprávněného zásahu do práv a svobod subjektů údajů, nebo b) druh zpracování osobních údajů, s přihlédnutím k využití no…Oficiální znění ↗ odst. 4).

Automatizované rozhodování. AI systémy často rozhodují bez zásahu člověka. Český zákon takový výhradně automatizovaný zásah do práv subjektu připouští jen tam, kde to výslovně stanoví zákon (§ 39§ 39 Projednání s ÚřademSpravující orgán může na základě výhradně automatizovaného zpracování osobních údajů zasáhnout do práv a právem chráněných zájmů subjektu údajů nebo způsobit jiný obdobně závažný následek pro subjekt údajů, jen pokud to výslovně stanoví jiný zákon.Oficiální znění ↗) — což přímo koresponduje s požadavkem AI Act na lidský dohled a se zárukami čl. 22 GDPR.

Sankce se sčítají. Nesplnění DPIA, neprojednání s úřadem či zásah automatizovaným rozhodnutím v rozporu se zákonem jsou samostatné přestupky s pokutou až 10 000 000 Kč (§ 63§ 63 § 63(1) Právnická osoba se dopustí přestupku tím, že při zpracování osobních údajů a) v rozporu s § 25 odst. 1 písm. a) nestanoví účel zpracování osobních údajů nebo stanoveným účelem zpracování osobních údajů poruší povinnost nebo překročí oprávnění vyplývající z jiného zákona, b) v rozporu s § 25 odst. 1 písm. b) nepřijm…Oficiální znění ↗ odst. 1 písm. k, l, m). K tomu se přidávají sankce dle AI Act. Dozor nad GDPR vykonává Úřad pro ochranu osobních údajů (§ 54§ 54 § 54(1) Ve vztahu ke zpracování osobních údajů podle hlavy II Úřad a) při provádění auditu podle čl. 58 odst. 1 písm. b) nařízení Evropského parlamentu a Rady (EU) 2016/679 postupuje podle kontrolního řádu, b) při postupu podle čl. 58 odst. 1 písm. d) nařízení Evropského parlamentu a Rady (EU) 2016/679 může správce vyzvat …Oficiální znění ↗), který zároveň poskytuje konzultace a informuje správce o jejich povinnostech.

Jak nastavit interní AI governance ve firmě

AI governance není jednorázový dokument, ale trvalý systém řízení. Doporučujeme následující kroky:

1. AI inventura. Sestavte registr všech AI systémů — vlastních i nakupovaných, včetně skrytých funkcí v běžném SaaS. Bez inventury nelze klasifikovat rizika.

2. Klasifikace rizika. Každý systém zařaďte do jedné ze čtyř kategorií. U sporných případů (HR, scoring) postupujte konzervativně.

3. Určení role. U každého systému určete, zda jste poskytovatel, nasazovatel, či obojí.

4. Gap analýza a DPIA. Porovnejte současný stav s povinnostmi. U vysoce rizikových a biometrických systémů zpracujte posouzení vlivu (§ 37§ 37 Automatizované pořizování záznamůJe-li pravděpodobné, že určitý druh připravovaného zpracování osobních údajů povede vzhledem k jeho povaze, rozsahu, okolnostem nebo účelu k vysokému riziku neoprávněného zásahu do práv a svobod subjektů údajů, vypracuje spravující orgán posouzení vlivu takového zpracování na ochranu osobních údajů, které obsahuje ales…Oficiální znění ↗) a vyhodnoťte nutnost projednání s úřadem (§ 38§ 38 Posouzení vlivu na ochranu osobních údajů(1) Má-li připravovaným zpracováním osobních údajů vzniknout nová evidence, spravující orgán podá Úřadu žádost o projednání takového zpracování, pokud a) z posouzení podle § 37 vyplývá vysoké riziko neoprávněného zásahu do práv a svobod subjektů údajů, nebo b) druh zpracování osobních údajů, s přihlédnutím k využití no…Oficiální znění ↗).

5. Politiky a lidský dohled. Vytvořte interní směrnici pro používání AI, definujte odpovědnosti, schvalovací procesy a mechanismus human oversight u rizikových systémů.

6. AI gramotnost. Proškolte zaměstnance — tato povinnost platí od února 2025.

7. Smluvní ošetření. Zakomponujte do smluv s dodavateli AI záruky shody, dokumentace a odpovědnosti.

8. Monitoring a dokumentace. Veďte logy, sledujte incidenty a pravidelně reviduje klasifikaci. Dokumentace je vaše obrana při kontrole.

Tento přístup zapadá do logiky řízení rizik QUADMOND™ — předcházet sankci je vždy levnější než ji platit.

Jak vám pomůžeme / Další krok

AI Act a GDPR tvoří provázanou compliance vrstvu, kterou nelze řešit šablonou stáhnutou z internetu. Špatné zařazení jediného systému může znamenat pokutu v řádu milionů eur a zásah do reputace firmy.

Advokátní kancelář Legal Partners pro vás provede AI inventuru, klasifikaci rizik, posouzení vlivu i nastavení kompletní AI governance napojené na vaši stávající ochranu osobních údajů. Nabízíme vám nezávaznou konzultaci zdarma s advokátem, na které vyhodnotíme vaši aktuální expozici a navrhneme konkrétní další kroky. Ozvěte se nám — čím dříve začnete, tím nižší je vaše riziko.