EDPS Compass: jak bude EDPS vykonávat dohled nad AI v institucích EU – tržní dozor, notifikační orgán a čtyři strategické pilíře
Evropský inspektor ochrany údajů (EDPS) zveřejnil na jaře 2026 strategický dokument nazvaný „Towards Trustworthy AI in the EU Public Administration: The EDPS Compass for its New Role under the AI Act". Dokument popisuje, jak bude EDPS vykonávat zcela nové pravomoci, které mu pro období 2026–2027 svěřuje AI Act. Newsletter EDPS z 1. 5. 2026 a Newsletter NicFab z 5. 5. 2026 oba na Compass znovu upozornily ve chvíli, kdy první orgány a agentury EU spouštějí testovací nasazení AI systémů a poprvé tak naráží na praktické otázky dohledu.
Dvojí role EDPS pod AI Actem
Pro AI systémy používané institucemi a agenturami EU (European Union Institutions, EUIs) se EDPS stává dvěma věcmi současně.
Tržní dozor (market surveillance authority). Nad používáním AI systémů ze strany institucí EU bude EDPS dohlížet stejným způsobem, jakým národní úřady dohlížejí nad AI v privátním sektoru a národní veřejné správě. Praktickým dopadem je, že EDPS získá pravomoc požadovat dokumentaci k AI systémům, provádět inspekce, ukládat nápravná opatření a při závažných porušeních i sankce. Pro EU instituce, které dnes berou ochranu dat především jako compliance povinnost, to znamená novou kapitolu – AI systémy jsou nově předmětem aktivního a samostatného dohledu.
Notifikační orgán (notified body). U vysokorizikových AI systémů, jejichž provozovatelem nebo poskytovatelem je některá z institucí EU, bude EDPS plnit roli notifikačního orgánu. Provádí tedy posouzení shody (conformity assessment) podle AI Actu před tím, než systém vstoupí do provozu. Tato role je pro evropský dozorový rámec v ochraně dat zcela nová: dosud nebyly národní DPA primárně technickými notifikačními orgány. EDPS si k tomu už v minulosti začal budovat kapacity – v květnu 2024 spustil AI Preparedness Strategy a zřídil samostatnou AI Unit.
Čtyři strategické pilíře EDPS Compass
Compass strukturuje plán EDPS do čtyř pilířů.
První pilíř: definice nových úkolů a strategická vize pod AI Actem. EDPS popisuje, jak hodlá vykonávat své pravomoci v praxi – od identifikace AI systémů v EU institucích přes nastavení kritérií rizikovosti až po způsob spolupráce s národními DPA, které dohlíží nad AI v jiných sektorech. Důraz je kladen na kontinuitu: EDPS vykonává souběžně dohled podle nařízení 2018/1725 (ekvivalent GDPR pro EU instituce) a podle AI Actu. Compass má zajistit, aby si tyto dva rámce vzájemně neodporovaly.
Druhý pilíř: operační přístup k dohledu nad AI systémy. EDPS stanovuje, jakým způsobem bude posuzovat dokumentaci AI systémů, jak provádět testy a jak vyhodnocovat lidský dohled. Pro instituce EU, které AI nasazují, to znamená novou očekávatelnou úroveň dokumentace – Compass je tedy vlastně i checklistem, podle čeho se připravit. Inspirací jsou existující auditní rámce z bankovního i farmaceutického sektoru, kde podobný typ regulovaného dohledu funguje řadu let.
Třetí pilíř: lidskocentrický pohled na AI. EDPS opakovaně zdůrazňuje, že AI v institucích EU má sloužit lidem, ne automatizovat rozhodování. Compass proto klade důraz na transparentní informování dotčených osob, na možnost se odvolat proti rozhodnutí, kterého se AI účastnila, a na kvalitu lidského dohledu (human oversight). Nejde jen o formální požadavek – EDPS bude požadovat doložení, že lidský dohled je smysluplný, ne pouze formální „klikání ano".
Čtvrtý pilíř: spolupráce s ostatními regulátory a stakeholdery. EDPS hodlá těsně koordinovat s Evropským sborem pro ochranu osobních údajů (EDPB), s ENISA i s národními DPA. Cílem je vyhnout se rozdílným výkladům AI Actu napříč členskými státy. Compass proto deklaruje ochotu zveřejňovat výklady, vedení a šablony, které mohou převzít i jiné dozorové orgány.
Co Compass znamená pro privátní sektor mimo EU instituce
Compass je formálně určen pro dohled nad AI v institucích a agenturách EU. Pro privátní sektor a národní veřejnou správu však slouží jako důležitý ukazatel toho, jak se výklad AI Actu bude vyvíjet i v jurisdikcích, které dohlíží národní úřady.
Praktické dopady jsou minimálně tři. Za prvé, Compass nastavuje benchmark dokumentace: standard, který EDPS očekává od institucí EU, se s velkou pravděpodobností přenese i do očekávání národních DPA vůči privátnímu sektoru. Za druhé, výklady určitých konceptů AI Actu (například co znamená „smysluplný lidský dohled" v praxi) bude EDPS publikovat jako první, a národní DPA budou mít tendenci je přejímat. Za třetí, Compass formuje očekávání auditorů a poradenských firem – ti při kontrolách v privátním sektoru začnou používat stejnou logiku, kterou EDPS popsal pro EU instituce.
Pro DPO, právníky compliance i AI týmy v firmách to znamená praktický důsledek: pokud připravujete posouzení rizik, dokumentaci nebo politiky pro vysokorizikový AI systém, je užitečné se s textem Compassu seznámit a využít jej jako jeden z referenčních materiálů. Plný text dokumentu je 370 KB PDF a je k dispozici v anglickém jazyce na webu EDPS.
Časový horizont a další očekávaný vývoj
Compass platí pro období 2026–2027 a EDPS sám naznačuje, že po prvních dvou letech praxe dojde k jeho revizi. Pro stejné období se očekává, že národní DPA postupně publikují vlastní obdoby – některé už začaly (například francouzský CNIL či italský Garante mají vlastní AI strategie, byť v jiném formátu). Soulad mezi nimi a Compassem EDPS ovlivní, jak konzistentně se bude AI Act napříč EU vykládat.
Další články
Nové zranitelnosti v katalogu CISA KEV – vydání 19b
Italský Garante: hotely a B&B nesmí dlouhodobě uchovávat kopie občanských průkazů hostů, posílá oznámení do oboru po sérii incidentů
