Únor 2025 (již v platnosti):

• Zákaz rizikových praktik AI (např. social scoring, subliminal manipulation)
• Požadavky na AI gramotnost poskytovatelů a provozovatelů systémů
• Organizace musí školit zaměstnance o použití AI a jejich dopadech

Srpen 2025 (již v platnosti):

• Pravidla a povinnosti pro správu a řízení AI modelů obecného určení (GPAI)
• Specifické požadavky pro oskytovatele velkých jazykových modelů
• Modely se systémovým rizikem podléhají přísnějšímu dohledu

Srpen 2026:

• Všechny požadavky na systémy s vysokým rizikem podle Annexu III
• Povinnosti transparentnosti pro všechny dotčené systémy
• Registrace v EU databázi pro vysoce rizikové systémy
• Povinné posouzení shody

Srpen 2027:

• Požadavky na vysoce rizikové systémy integrované do regulovaných produktů (hračky, zdravotnické prostředky atd.)

Prosinec 2030:

• Soulad s požadavky pro AI komponenty velkých IT systémů v justici, migraci a hraničních kontrolách (Annex X)

AI Act klasifikuje systémy podle úrovně rizika. Kategorie "vysoké riziko" zahrnuje AI systémy používané v oblastech, kde chyba nebo zneužití může způsobit významnou újmu jednotlivcům nebo společnosti.

Vysoce rizikové AI systémy podle Annexu III zahrnují:

1. Biometrie a identifikace

• Biometrická identifikace a kategorizace osob
• Rozpoznávání emocí (kromě zdravotnictví a bezpečnosti)
• Dálkové biometrické systémy v reálném čase

2. Kritická infrastruktura

• Správa a provoz kritické digitální infrastruktury
• Řízení dopravy a dodávek vody, plynu, elektřiny
• Systémy řízení dopravní infrastruktury

3. Vzdělávání a odborná příprava

• Hodnocení studentů a uchazečů
• Systémy pro přístup ke vzdělávání

4. Zaměstnanost a řízení pracovníků

• Nábor a výběr kandidátů
• Hodnocení výkonu a povýšení
• Monitorování zaměstnanců

5. Přístup k základním soukromým a veřejným službám

• Posuzování bonity
• Hodnocení rizikovosti pro zdravotní a životní pojištění
• Prioritizace nouzových služeb (záchranné služby, hasiči)
• Přidělování veřejných dávek a služeb

6. Vymáhání práva (law enforcement)

• Hodnocení rizika recidivy
• Polygrafické systémy
• Detekce deep fakes
• Hodnocení spolehlivosti důkazů

7. Migrace, azyl a hraničné kontroly

• Ověřování pravosti cestovních dokladů
• Hodnocení rizika migrace
• Detekce nedovolených překročení hranic

8. Soudnictví a demokratické procesy

• Asistence soudům při interpretaci zákonů
• Ovlivňování výsledků voleb

Veřejná správa:

Mnoho systémů používaných ve veřejné správě spadá do kategorie vysoce rizikových. Ministerstva, krajské, obecní úřady musí zhodnotit AI systémy, které:

• Rozhodují o přístupu k veřejným službám a dávkám
• Hodnotí žádosti o dotace nebo povolení
• Provádějí prediktivní analýzy pro plánování služeb
• Automatizují komunikaci s občany pomocí chatbotů (pokud mají rozhodovací pravomoc)

Kritická infrastruktura:

Systémy řízení kritické infrastruktury, například:

• Dopravní infrastruktura - Inteligentní dopravní systémy (ITS), systémy prediktivní údržby, automatizované řízení dopravního toku, systémy detekce incidentů na dálnicích
• Energetická infrastruktura - Řízení distribučních sítí elektřiny a plynu, prediktivní údržba energetických zařízení, optimalizace spotřeby
• Vodohospodářská infrastruktura - Řízení dodávek pitné vody, monitorování kvality vody, detekce úniku a poruch
• Digitální infrastruktura - Správa kritických IT systémů, cloud infrastruktura pro veřejné služby, řízení datových center

Zdravotnictví:

AI systémy pro diagnostiku, triáž pacientů nebo rozhodování o léčbě jsou klasifikovány jako vysoce rizikové.

Finanční sektor:

Systémy pro posouzení bonity, detekci podvodů nebo automatizované obchodování.

Organizace nasazující vysoce rizikové AI systémy musí do 2. srpna 2026 zajistit:

1. Systém řízení rizik

• Identifikace a analýza známých a předvídatelných rizik
• Odhad a hodnocení rizik, která mohou nastat při použití systému
• Hodnocení rizik na základě analýzy dat po uvedení na trh
• Přijetí vhodných opatření pro řízení rizik

2. Kvalita a správa dat

• Relevantní, reprezentativní, bezchybné a úplné trénovací, validační a testovací datové sady
• Vhodné statistické vlastnosti dat s ohledem na zamýšlené účely
• Zohlednění specifických geografických, behaviorálních nebo funkčních podmínek použití

3. Technická dokumentace

• Detailní popis systému včetně jeho účelu a zamýšleného použití
• Dokumentace designu, vývoje a testování
• Informace o datových sadách použitých pro trénink a testování
• Dokumentace validačních procesů a výsledků

4. Vedení záznamů a logování

• Automatické generování logů během provozu systému
• Záznamy musí umožnit identifikaci událostí, které vedly k vysokému riziku
• Schopnost sledovatelnosti (traceability) rozhodnutí systému

5. Transparentnost a informování uživatelů

• Jasné informace o možnostech a omezeních systému
• Úroveň přesnosti, robustnosti a kybernetické bezpečnosti
• Informace o předpokládaném účelu a podmínkách použití

6. Lidský dohled (human oversight)

• Možnost lidského zásahu během provozu systému
• Možnost deaktivace nebo přerušení systému
• Možnost ignorovat, přepsat nebo zvrátit výstup systému
• Systém musí být navržen tak, aby umožňoval efektivní dohled

7. Robustnost, přesnost a kybernetická bezpečnost

• Odolnost proti chybám, poruchám a nekonzistencím
• Odolnost proti pokusům o manipulaci třetími stranami
• Přesnost odpovídající zamýšlenému účelu
• Zajištění kybernetické bezpečnosti

8. Systém managementu kvality

• Strategie pro regulatory compliance
• Techniky, procedury a systematické akce pro design, kontrolu designu a verifikaci
• Postupy pro řízení dat
• Systém pro řízení změn monitoring po uvedení do provozu

9. Posouzení shody

• Posouzení shody před uvedením do provozu
• Pro některé vysoce rizikové systémy povinné posouzení třetí stranou (notified body)
• EU Prohlášení o shodě
• Označení CE

10. Registrace v EU databázi

• Povinná registrace všech vysoce rizikové AI systémů v centrální EU databázi
• Poskytnutí stanovených informací o systému

Od 2. srpna 2026 vstupují v platnost také rozsáhlé požadavky na transparentnost podle článku 50:

Chatboti a konverzační AI:

Musí jasně informovat uživatele, že komunikuje s AI systémem (ledaže je to zřejmé z kontextu).

Rozpoznávání emocí:

Systémy pro rozpoznávání emocí musí informovat dotčené osoby o jejich použití.

Biometrická kategorizace:

Systémy pro biometrickou kategorizaci musí informovat dotčené osoby o provozu systému.

Deep fakes a AI-generovaný obsah:

• Deep fake video, audio nebo obrazový obsah musí být označen strojově čitelným formátem
• Text generovaný nebo významně upravený AI musí být označen, pokud se týká záležitostí veřejného zájmu
• Kodex postupů pro označování AI obsahu byl zveřejněn v prosinci 2025
• Finální verze očekávána do června 2026

Nedodržení AI Act může vést k významným pokutám:

35 milionů EUR nebo 7 % celosvětového obratu (podle toho, co je vyšší):

• Porušení zakázaných praktik AI
• Nedodržení požadavků na správu dat

15 milionů EUR nebo 3 % celosvětového obratu:

• Nedodržení požadavků na vysoce rizikové systémy
• Nedodržení povinností pro GPAI modely

7,5 milionů EUR nebo 1,5 % celosvětového obratu:

• Poskytnutí nesprávných, neúplných nebo zavádějících informací dozorových orgánům

Pro malé a střední podniky (SME) a startupy existují specifická ustanovení o proporcionálnosti pokut, ale základní povinnosti zůstávají.

Koordinovaná kontrolní akce EDPB pro rok 2026 jasně signalizuje, že transparentnost není jen formální požadavek, ale základní princip ochrany Krok 1: Inventarizace AI systémů (do března 2026)

• Identifikujte všechny AI systémy, které vaše organizace používá, vyvíjí nebo nasazuje
• Zahrnuje i systémy třetích stran a cloudové služby
• Vytvořte AI registry s popisem každého systému

Krok 2: Klasifikace podle rizika (do dubna 2026)

• Určete, zda každý systém spadá do některé kategorie rizika (kritické riziko, vysoké riziko, střední riziko, nízké riziko)
• Zvláštní pozornost věnujte systémům používaným pro rozhodování o právech osob
• V případě nejasností konzultujte s odborníky

Krok 3: Určení rolí (do dubna 2026)

• Jste poskytovatel, provozovatel, importér nebo distributor
• Role určuje specifické povinnosti
• Jedna organizace může mít různé role pro různé systémy

Krok 4: Gap analýza pro vysoce rizikové systémy (do května 2026)

• Porovnejte současný stav s požadavky AI Act
• Identifikujte chybějící dokumentaci, procesy a technické opatření
• Vypracujte action plan s prioritami a deadlines

Krok 5: Implementace compliance opatření (do července 2026)

• Vytvoření nebo úprava systému managementu kvality
• Implementace systému řízení rizik
• Zajištění lidského dohledu a možnosti intervence
• Příprava technické dokumentace
• Nastavení logování a auditních stop

Krok 6: Posouzení shody (do července 2026)

• Provedení interního posouzení shody
• Pro některé systémy zajištění posouzení notifikovanou osobou
• Příprava EU Prohlášení o shodě
• Umístění CE označení

Krok 7: Registrace a transparentnost (do srpna 2026)

• Registrace vysoce rizikových systémů v EU databázi
• Implementace transparentních informací pro uživatele
• Označování AI-generovaného obsahu
• Školení zaměstnanců o nových procesech

Krok 8: Průběžný monitoring (od srpna 2026)

• Provozní monitoring vysoce rizikových systémů
• Hlášení vážných incidentů dozorových orgánům
• Pravidelné přehodnocování rizik
• Aktualizace dokumentace při změnách

Česká republika musí do srpna 2026 určit národní dozorový orgán pro AI Act. Očekává se, že tato role připadne Úřadu pro ochranu osobních údajů (ÚOOÚ) nebo bude vytvořena specializovaná jednotka.

Národní dozorový orgán bude:

• Provádět kontroly dodržování AI Act
• Vyšetřovat stížnosti
• Ukládat sankce za nedodržení
• Poskytovat guidance a interpretace
• Spolupracovat s European AI Office a dalšími národními orgány

Organizace by měly sledovat komunikaci od českých úřadů ohledně:

• Registračních procedur pro vysoce rizikové systémy
• Národních guidelines a interpretačních dokumentů
• Kontaktních bodů pro dotazy
• Případných národních specifik nad rámec EU požadavků

AI Act se významně překrývá s jinými evropskými regulacemi, což vyžaduje integrovaný přístup k compliance:

GDPR (General Data Protection Regulation):

• AI systémy zpracovávající osobní údaje musí dodržovat GDPR
• Právní základ pro zpracování musí být jasný
• AI Act a GDPR se vzájemně doplňují, ne nahrazují

NIS2 (Network and Information Security Directive):

• Poskytovatelé kritické infrastruktury musí dodržovat jak NIS2, tak AI Act
• Požadavky na kybernetickou bezpečnost jsou komplementární

Cyber Resilience Act:

• Produkty s digitálními prvky obsahující AI musí splňovat oba akty
• Požadavky na kybernetickou bezpečnost produktů

Data Act:

• Pravidla pro sdílení dat se vztahují i na data z AI systémů
• Přístup k datům generovaným AI může být regulován

Digital Services Act (DSA):

• Online platformy používající AI pro content moderation musí dodržovat DSA i AI Act

1. Začněte nyní, nečekejte do poslední chvíle

Implementace compliance pro vysoce rizikové systémy může trvat měsíce. Čekání do července 2026 znamená téměř jistě nesplnění termínu.

2. Zapojte multidisciplinární tým

AI compliance není jen IT nebo právní záležitost. Potřebujete experty z:

• IT a dat science
• Právního oddělení
• Compliance a risk managementu
• Business units používajících AI
• Kybernetické bezpečnosti
• Managementu kvality

3. Investujte do nástrojů a automatizace

Existují nástroje pro:

• Nástroje pro správu a řízení AI a evidenci AI systémů
• Automatické logování a auditní stopy
• Monitoring AI systémů v produkci
• Dokumentaci a compliance reporting

4. Zvažte externí podporu

Compliance s AI Act je komplexní. Zvažte:

• Právní poradce se specializací na AI regulaci
• Technické konzultanty pro implementaci opatření
• Notifikované osoby pro posouzení shody
• Školení pro interní týmy

5. Vytvořte AI governance framework

Dlouhodobý přístup k AI vyžaduje:

• Etickou radu nebo pracovní skupinu pro AI
• Jasné procesy pro schvalování nových AI projektů
• Risk assessment framework specifický pro AI
• Standardizované šablony dokumentace
• Pravidelné revize a aktualizace

6. Komunikujte s dodavateli

Pokud používáte AI systémy třetích stran:

• Vyžadujte od dodavatelů potvrzení compliance s AI Act
• Ujistěte se, že máte přístup k potřebné dokumentaci
• Zahrňte AI Act požadavky do smluv s dodavateli
• Pravidelně ověřujte dodržování závazků

AI Act není statický dokument. Očekávají se:

Revize Annexů:

Seznam vysoce rizikových systémů (Annex III) může být aktualizován, pokud se objeví nová rizika.

Harmonizované standardy:

Evropské standardizační organizace (CEN, CENELEC, ETSI) vyvíjejí harmonizované standardy pro AI Act. První sada očekávána v průběhu letošního roku.

Guidance dokumenty:

European AI Office průběžně publikuje interpretační dokumenty a best practices.

Případová práce:

První enforcement akce a soudní rozhodnutí vytvoří precedenty pro interpretaci AI Act.

Mezinárodní harmonizace:

AI Act ovlivňuje globální debatu o AI regulaci. Očekává se sbližování přístupů mezi EU, USA, UK a dalšími jurisdikcemi.

Implementace AI Act představuje významnou výzvu, ale také příležitost. Organizace, které se na ni dobře připraví:

• Získají výhodu v důvěryhodnosti AI
• Vybudují robustnější a bezpečnější AI systémy
• Sníží riziko právních a reputačních problémů
• Budou připraveny na budoucí regulatorní vývoj

Čas k přípravě se krátí. Organizace, které začnou nyní, budou mít dostatečný prostor pro důkladnou implementaci. Ty, které čekají, riskují nedodržení termínu s potenciálně závažnými důsledky.

Pro více informací o compliance s AI Act a dalšími regulatorními požadavky nás kontaktujte