Jak přistupovat k AI a umělé inteligenci ve zdravotnictví z pohledu práva a regulací

Často se setkáváme s tím, že diskuze o AI ve zdravotnictví sklouzává do dvou extrémů. Na jedné straně stojí utopická vize, kde AI vyřeší všechny problémy medicíny. Na druhé straně je dystopický strach z chybujících algoritmů a nahrazení lékařů. Skutečnost, kterou naši právníci v ARROWS při řešení těchto případů denně vidí, leží uprostřed: v komplexní spolupráci člověka a stroje. Skutečnou výzvou pro management nemocnic a technologické firmy není rozhodnutí, zda použít člověka, nebo stroj. Je to o nastavení jasných pravidel, procesů a odpovědnosti mezi člověkem a strojem. A právě zde se technologie setkává s právem.

​Autor článku: ARROWS advokátní kancelář (JUDr. Jakub Dohnal, Ph.D., LL.M., office@arws.cz, +420 245 007 740)

Nová éra medicíny je tady. Jste na ni právně připraveni?

Představte si radiologa, který díky asistenčnímu systému umělé inteligence (AI) odhalí na rentgenovém snímku sotva patrné, časné stádium nádoru, které by jinak mohlo uniknout lidskému oku. Nebo si představte nemocniční software, který v reálném čase optimalizuje obsazenost lůžek a alokaci personálu během krizové situace, a zachraňuje tak životy. Toto není sci-fi. Toto je současnost českého a evropského zdravotnictví, kde umělá inteligence již nyní transformuje diagnostiku, personalizuje léčbu a zefektivňuje provoz.

Tato technologická revoluce přináší obrovské příležitosti: přesnější diagnostiku, snížení zátěže pro přetížený personál a v konečném důsledku kvalitnější a dostupnější péči pro pacienty. S těmito příležitostmi však přichází i nová, bezprecedentní úroveň právní a regulatorní komplexity. Nařízení Evropského parlamentu a Rady (EU) 2024/1689, známé jako AI Act, představuje stejně zásadní změnu pravidel hry, jakou bylo ve své době GDPR. Inovace a regulace se staly dvěma stranami téže mince. Ignorovat jednu znamená ohrozit úspěch té druhé.

Tento report je vaším strategickým průvodcem tímto novým prostředím. Nejde jen o výčet paragrafů. Je to praktická mapa, která vám ukáže, jak se vyhnout rizikům, splnit nové povinnosti a přeměnit regulatorní zátěž v prokazatelnou konkurenční výhodu. Právníci z advokátní kanceláře ARROWS se na tuto problematiku specializují a pomáhají klientům, aby jejich inovativní projekty byly nejen funkční, ale i právně neprůstřelné.

Část 1: AI jako nový standard péče – Proč je tato debata relevantní pro vaši praxi a byznys?

Debata o umělé inteligenci ve zdravotnictví již dávno nepatří do kategorie futuristických vizí. Je to hmatatelná realita, která se přímo dotýká vašeho každodenního provozu, ať už vedete nemocnici, kliniku, nebo vyvíjíte novou medicínskou technologii. Podle průzkumu České asociace umělé inteligence již 64 % českých nemocnic v nějaké podobě AI využívá. Nejedná se přitom jen o velké fakultní nemocnice; technologie pronikají napříč celým sektorem.

Přínosy jsou prokazatelné a měřitelné. Například v nemocnici AGEL Nový Jičín vedlo nasazení AI pro vyhodnocování mamografických snímků ke zvýšení úspěšnosti záchytu karcinomu o pět procent. Jiné systémy pomáhají lékařům analyzovat rentgenové snímky hrudníku, upozorňují na potenciální nálezy a snižují tak riziko přehlédnutí v menších nemocnicích, kde není rentgenolog vždy fyzicky k dispozici, zejména v nočních službách. AI také dramaticky zefektivňuje administrativu. Například v oblasti kontroly hygieny dokáže AI projít tisíce stran záznamů, které by člověk fyzicky nezvládl, a identifikovat riziková místa pro vznik infekcí.

Tento trend je poháněn i dynamickým českým ekosystémem technologických firem. Společnosti jako Carebot (asistence při analýze RTG snímků), MAIA (řešení pro radiologii), Kardi Ai (detekce srdečních arytmií z EKG) nebo Aireen (detekce diabetické retinopatie) jsou důkazem, že v České republice máme špičkové experty a inovativní produkty, které se již úspěšně testují a nasazují v praxi.

Tato rychlá a často decentralizovaná adopce technologií však vytváří významné, i když často skryté, riziko. Zatímco jednotlivá oddělení (např. radiologie) mohou nadšeně implementovat nejnovější AI nástroje, je velmi pravděpodobné, že celoorganizační právní a etické rámce za tímto tempem zaostávají. Vzniká tak "mezera mezi adopcí a governance". Je vysoce pravděpodobné, že zatímco lékaři již těží z přínosů AI, právní oddělení nemocnice ještě není plně připraveno na audit podle přísných pravidel AI Actu. Právníci z ARROWS se s touto situací setkávají a vědí, že prvním krokem k bezpečné inovaci není jen poradenství u nových projektů, ale provedení analýzy souladu (Compliance Gap Analysis) u již zavedených AI systémů. Identifikace a uzavření této mezery je klíčové pro minimalizaci budoucích rizik.

Část 2: AI Act – Nová pravidla hry, která musíte znát

Nařízení o umělé inteligenci, známé jako AI Act, které vstoupilo v platnost 1. srpna 2024, představuje první komplexní právní rámec pro AI na světě. Nejde o pouhé doporučení, ale o přímo použitelné nařízení s dalekosáhlými dopady na každého, kdo AI vyvíjí, nasazuje nebo používá v Evropské unii. Pro sektor zdravotnictví je jeho znalost naprosto klíčová.

AI Act zavádí přístup založený na riziku a dělí AI systémy do čtyř kategorií, které lze přirovnat k pyramidě:

1. Nepřijatelné riziko (Zakázané praktiky): Na vrcholu pyramidy jsou praktiky, které jsou považovány za natolik nebezpečné pro základní práva, že jsou zcela zakázány. Patří sem například systémy sociálního skórování občanů (tzv. social scoring), které by mohly ovlivnit přístup ke zdravotní péči, nebo AI, která by manipulovala chováním a zneužívala zranitelnosti pacientů (např. jejich věku či zdravotního stavu). Tyto zákazy se začnou uplatňovat již 6 měsíců po vstupu nařízení v platnost.
2. Vysoké riziko: Toto je kategorie, která je pro zdravotnictví nejdůležitější. Spadají sem prakticky všechny AI systémy, které mohou mít významný dopad na zdraví a bezpečnost osob. AI Act výslovně klasifikuje jako vysoce rizikové zdravotnické prostředky, které podléhají certifikaci, a dále systémy určené pro třídění pacientů v krizových situacích (triage) nebo systémy pro hodnocení nároků na dávky a služby v oblasti zdravotní péče. Pro tyto systémy platí nejpřísnější pravidla a povinnosti.
3. Omezené riziko: Sem patří systémy, u kterých je hlavní povinností transparentnost. Typickým příkladem jsou chatboti. Uživatel musí být srozumitelně informován, že komunikuje se strojem, nikoli s člověkem.
4. Minimální riziko: Základna pyramidy zahrnuje většinu běžně používaných AI aplikací, jako jsou spamové filtry nebo AI v počítačových hrách. Tyto systémy nepodléhají žádným novým specifickým povinnostem.

Časová osa implementace AI Actu

Pochopení časového harmonogramu je klíčové pro plánování. Přestože nařízení je již v platnosti, jednotlivé povinnosti nabíhají postupně, aby se firmy a instituce stihly připravit:

• 1. srpna 2024: Nařízení vstoupilo v platnost.
• ~ únor 2025 (6 měsíců po platnosti): Začínají platit zákazy praktik s nepřijatelným rizikem.
• ~ srpen 2025 (12 měsíců po platnosti): Začínají platit pravidla pro AI systémy pro všeobecné účely (např. velké jazykové modely).
• ~ srpen 2026 (24 měsíců po platnosti): Začíná platit většina povinností pro vysoce rizikové systémy.
• ~ srpen 2027 (36 měsíců po platnosti): Platí zbývající povinnosti pro vysoce rizikové systémy, které jsou zároveň výrobky podléhajícími jiným unijním předpisům (např. zdravotnické prostředky).

Dvojí certifikace: Výzva pro inovátory v MedTech

Pro vývojáře AI ve zdravotnictví vzniká specifická a náročná situace. Jejich software je často zároveň zdravotnickým prostředkem podle nařízení MDR (Medical Device Regulation) nebo IVDR (In Vitro Diagnostic Regulation) a zároveň vysoce rizikovým AI systémem podle AI Actu. To v praxi znamená nutnost projít dvojí certifikací a splnit dva paralelní, komplexní a náročné soubory pravidel.

Tato dvojí regulatorní zátěž výrazně zvyšuje náklady, časovou náročnost a administrativní složitost uvedení nového produktu na trh. Pro malé a střední podniky a inovativní české startupy to může představovat značnou konkurenční nevýhodu oproti velkým nadnárodním korporacím s rozsáhlými compliance odděleními. Právníci ARROWS se specializují na pomoc klientům s tvorbou

integrované compliance strategie, která efektivně propojuje požadavky MDR/IVDR a AI Actu. Cílem je zefektivnit celý proces, ušetřit zdroje a umožnit i menším inovátorům úspěšně navigovat tímto složitým prostředím.

Klíčové povinnosti pro vysoce rizikové AI systémy

Pokud vyvíjíte nebo ve své nemocnici či klinice nasazujete vysoce rizikový AI systém, musíte splnit řadu přísných požadavků. Tyto povinnosti se týkají jak poskytovatele (vývojáře), tak uživatele (např. nemocnice). Následující tabulka shrnuje ty nejdůležitější.

Tabulka 1: Přehled klíčových povinností pro vysoce rizikové AI systémy dle AI Actu

Povinnost	Klíčový požadavek dle AI Actu	Praktický dopad na vaši organizaci	Odkaz na článek AI Actu
Systém řízení rizik	Zřídit, implementovat, dokumentovat a udržovat systém řízení rizik po celou dobu životního cyklu AI.	Musíte vytvořit a průběžně aktualizovat živý dokument, který identifikuje, hodnotí a zmírňuje všechna předvídatelná rizika pro zdraví, bezpečnost a základní práva. Nejde o jednorázový úkol.	Čl. 9
Správa dat a kvalita	Zajistit, aby trénovací, validační a testovací data byla relevantní, reprezentativní, bez chyb, úplná a měla vhodné statistické vlastnosti. Prověřit možná zkreslení (bias).	Jste odpovědní za kvalitu dat, kterými "krmíte" AI. Poskytnutí nekvalitních nebo nereprezentativních dat (např. s demografickým zkreslením) může vést k diskriminačním výsledkům a vaší spoluodpovědnosti.	Čl. 10
Technická dokumentace	Vytvořit a udržovat podrobnou technickou dokumentaci ještě před uvedením systému na trh. Dokumentace musí prokázat soulad se všemi požadavky.	Musíte být schopni kdykoli předložit regulačním orgánům detailní popis fungování systému, jeho účelu, použitých dat, algoritmů, testování a opatření.	Čl. 11, Příloha IV
Vedení záznamů	Zajistit, aby systémy byly schopny automaticky zaznamenávat události (logy) během svého provozu.	Váš AI systém musí vytvářet auditní stopu, která umožní zpětně vysledovat jeho provoz a vyšetřit případné incidenty nebo chybné výstupy. Tyto logy musíte uchovávat (minimálně 6 měsíců).11	Čl. 12
Transparentnost a informace	Navrhnout systém tak, aby jeho provoz byl pro uživatele transparentní. Poskytnout uživatelům jasné a srozumitelné pokyny k použití.	Lékař používající AI musí rozumět jejím schopnostem a limitům. Musíte poskytnout detailní návod, který vysvětluje, jak systém používat, jak interpretovat jeho výstupy a jaká jsou rizika.	Čl. 13
Lidský dohled	Systém musí být navržen tak, aby nad ním mohly účinně dohlížet fyzické osoby. Musí existovat možnost lidského zásahu, přezkumu a overridingu rozhodnutí AI.	AI nenahrazuje lékaře. Musíte implementovat procesy, které zajistí, že finální rozhodnutí (např. o diagnóze nebo léčbě) vždy činí nebo může přezkoumat a zvrátit kvalifikovaný odborník.	Čl. 14
Přesnost, robustnost a kyberbezpečnost	Dosáhnout přiměřené úrovně přesnosti, robustnosti a kybernetické bezpečnosti po celou dobu životního cyklu systému.	Systém musí být odolný vůči chybám i vnějším útokům. Musíte provádět testování a zajistit robustní ochranu proti kybernetickým hrozbám, které by mohly ohrozit data pacientů nebo funkci systému.	Čl. 15
Posouzení shody a registrace	Provést posouzení shody před uvedením na trh a zaregistrovat vysoce rizikový systém ve veřejné databázi EU.	Podobně jako u jiných certifikovaných výrobků musíte projít formálním procesem posouzení a veřejně deklarovat, že váš systém splňuje všechny zákonné požadavky.	Čl. 19, Čl. 43

 

Část 3: Data – Palivo pro AI a noční můra pro GDPR

Umělá inteligence je hladová po datech. Čím kvalitnější a rozsáhlejší data má k dispozici pro trénink, tím přesnější a spolehlivější jsou její výsledky. Ve zdravotnictví jsou však tato data extrémně citlivá. Právě zde se střetává svět inovací s přísnými pravidly Obecného nařízení o ochraně osobních údajů (GDPR).

Zdravotní údaje jako "zvláštní kategorie"

GDPR definuje údaje o zdravotním stavu jako "zvláštní kategorii osobních údajů" (dříve označované jako citlivé údaje). To znamená, že jejich zpracování je v zásadě zakázáno, pokud nespadá pod některou z přesně vymezených výjimek v článku 9 GDPR. Pro účely trénování a provozu AI ve zdravotnictví přicházejí v úvahu především dva právní tituly:

1. Výslovný souhlas pacienta (čl. 9 odst. 2 písm. a) GDPR): Získání platného, svobodného, konkrétního, informovaného a jednoznačného souhlasu od každého pacienta, jehož data mají být použita, je právně nejčistší cestou. V praxi je to však velmi náročné, zejména u velkých datových sad potřebných pro trénink AI. Pacient musí přesně vědět, k jakému účelu budou jeho data použita, a má právo souhlas kdykoli odvolat.
2. Zpracování nezbytné pro účely... (čl. 9 odst. 2 písm. h), i) GDPR): Zpracování je možné, pokud je nezbytné pro účely preventivního nebo pracovního lékařství, lékařské diagnostiky, poskytování zdravotní péče, nebo z důvodů veřejného zájmu v oblasti veřejného zdraví. Tento titul je relevantní pro provoz AI v klinické praxi, ale jeho použití pro vývoj a trénink nových, komerčních AI modelů je právně složitější a vyžaduje pečlivé posouzení.

Kromě toho může být pro zpracování, které nezahrnuje zvláštní kategorie údajů, relevantní i oprávněný zájem (čl. 6 odst. 1 písm. f) GDPR). Evropský sbor pro ochranu osobních údajů (EDPB) připustil, že oprávněný zájem může být právním titulem pro vývoj AI, ale pouze za předpokladu provedení rigorózního tříkrokového balančního testu. Správce musí prokázat, že jeho zájem je legitimní, zpracování je pro něj nezbytné a že nad jeho zájmem nepřevažují práva a svobody pacientů.

Nevíte si s daným tématem rady?

Povinnost provést DPIA (Posouzení vlivu na ochranu osobních údajů)

Pro jakékoli nasazení nového AI systému, který bude ve velkém rozsahu zpracovávat údaje o zdravotním stavu, je provedení DPIA prakticky vždy povinné. Důvodem je, že takové zpracování splňuje hned několik kritérií vysokého rizika dle GDPR: jde o rozsáhlé zpracování zvláštních kategorií údajů, často zahrnuje systematické vyhodnocování (profilování) a využívá nové technologie. DPIA je proces, jehož cílem je identifikovat a minimalizovat rizika pro práva a svobody pacientů ještě před zahájením zpracování. Advokátní kancelář ARROWS běžně pomáhá klientům s přípravou a revizí DPIA, aby tento dokument obstál při případné kontrole ze strany Úřadu pro ochranu osobních údajů.

Od správce dat ke kurátorovi dat

Požadavky AI Actu na kvalitu trénovacích dat zásadně mění roli a odpovědnost poskytovatele zdravotní péče. Už nestačí být jen "správcem dat" ve smyslu GDPR, jehož hlavní povinností je data chránit. Nemocnice nebo klinika, která poskytuje data pro vývoj AI, se stává "kurátorem dat". Nese tak novou odpovědnost za to, že poskytnutý datový soubor je kvalitní, reprezentativní a neobsahuje zkreslení, která by mohla vést k diskriminačním nebo jinak škodlivým výsledkům AI.

Pokud nemocnice poskytne vývojáři datový soubor, který je demograficky vychýlený, a výsledný algoritmus pak bude hůře diagnostikovat určitou skupinu populace, může nemocnice nést spoluodpovědnost za vzniklou újmu. Nejde už jen o ochranu dat, ale o aktivní zajištění jejich vhodnosti pro vytvoření bezpečného a spravedlivého vysoce rizikového systému. To otevírá potřebu nových specializovaných právních služeb, jako jsou audity datových sad pro AI a příprava smluv o kurátorství dat, které jasně vymezí odpovědnost za kvalitu dat a výkonnost výsledného modelu. I v této oblasti jsou právníci ARROWS připraveni poskytnout expertní poradenství.

Část 4: Kdo nese odpovědnost, když se algoritmus splete?

Představte si scénář, který je noční můrou každého lékaře i pacienta: diagnostický systém AI doporučí nesprávnou léčbu a pacientovi vznikne újma na zdraví. Kdo za to nese právní odpovědnost? Je to vývojář softwaru, nemocnice, která systém nasadila, nebo lékař, který se doporučením řídil?. Odpověď je složitá a zahrnuje komplexní řetězec odpovědnosti.

Současná právní úprava, a to jak v EU, tak v České republice, vychází ze základního principu: odpovědnost v konečném důsledku nese člověk, nikoli robot či algoritmus. AI je vnímána jako nástroj, byť velmi pokročilý. Finální rozhodnutí a odpovědnost za něj zůstává v rukou lidského experta.

V případě pochybení se zkoumá odpovědnost na několika úrovních:

• Odpovědnost poskytovatele (vývojáře) AI: Výrobce softwaru odpovídá za vadu svého výrobku. Pokud byla škoda způsobena chybou v algoritmu, nesprávným návrhem systému nebo nedostatečným testováním, odpovědnost půjde primárně za ním. Český občanský zákoník pamatuje na odpovědnost za škodu způsobenou vadou výrobku (§ 2939 OZ), přičemž za výrobek je považován i software. Prokázat vadu v komplexním "black box" algoritmu je však pro poškozeného pacienta extrémně obtížné.
• Odpovědnost uživatele (nemocnice, kliniky): AI Act zavádí specifické povinnosti i pro "uživatele" vysoce rizikových systémů. Nemocnice má povinnost systém používat v souladu s návodem, zajistit lidský dohled, monitorovat jeho provoz a mít zavedený systém řízení rizik. Pokud nemocnice zanedbá tyto povinnosti – například nedostatečně proškolí personál nebo ignoruje zjevné chybové hlášky systému – ponese spoluodpovědnost. Může také odpovídat jako provozovatel zařízení podle § 2924 OZ.
• Odpovědnost zdravotnického pracovníka (lékaře): Nasazení AI nezbavuje lékaře jeho profesní odpovědnosti postupovat s náležitou odbornou péčí (lege artis). Lékař nesmí slepě přebírat výstupy AI. Musí je kriticky zhodnotit v kontextu svých znalostí a zkušeností, a pokud má pochybnosti, musí doporučení AI ignorovat nebo ověřit jinými metodami. Konečné klinické rozhodnutí je stále jeho.

AI gramotnost jako nový prvek lege artis

S masivním nástupem AI do medicíny se postupně promění i samotný výklad standardu náležité odborné péče. Jakmile se používání určitého diagnostického AI nástroje, který prokazatelně zvyšuje přesnost (např. o 5 % u záchytu karcinomu), stane běžným standardem v oboru, bude se od lékaře očekávat, že tento nástroj umí používat.

Z toho vyplývá, že profesní povinnost lékaře se rozšíří. Nebude zahrnovat jen medicínské znalosti, ale i "AI gramotnost": schopnost správně používat, interpretovat a v případě potřeby i kriticky zhodnotit a odmítnout výstupy standardních technologických nástrojů. Selhání v této oblasti by v budoucnu mohlo být posuzováno jako forma profesního pochybení. Pro nemocnice a kliniky z toho plyne nová povinnost: nejen tyto nástroje pořídit, ale také zajistit a důkladně dokumentovat proškolení svého personálu. Právníci ARROWS mohou pomoci s aktualizací pracovních smluv a interních předpisů tak, aby odrážely tyto nové technologické kompetence a odpovědnosti.

Právní vakuum a význam smluv

Situaci dále komplikuje fakt, že návrh specifické evropské směrnice o odpovědnosti za umělou inteligenci, která měla poškozeným usnadnit dokazování, byl na počátku roku 2025 stažen. Vzniklo tak právní vakuum. V praxi to znamená, že klíčovým a v podstatě jediným efektivním nástrojem pro rozdělení rizik a odpovědností mezi vývojářem a nemocnicí se stává precizně sepsaná smlouva.

Část 5: Praktický manuál pro compliance: Jak se připravit a vyhnout se milionovým pokutám

Teoretické znalosti jsou důležité, ale v byznysu rozhodují praktické kroky a schopnost řídit rizika. Nedodržení pravidel stanovených AI Actem a GDPR není jen akademickým prohřeškem; je spojeno s drakonickými finančními sankcemi, které mohou být pro firmu či nemocnici likvidační.

Sankce, které nelze ignorovat

AI Act, podobně jako GDPR, stanovuje výši pokut v závislosti na závažnosti porušení a globálním obratu společnosti. Je důležité si uvědomit, že tato rizika se mohou sčítat – jedno pochybení při implementaci AI může vést k postihu podle obou nařízení současně.

Tabulka 2: Srovnání sankcí – Rizika nesouladu s AI Act a GDPR

 

Porušení	Maximální sankce dle AI Actu	Maximální sankce dle GDPR	Příklad z praxe
Použití zakázané AI praktiky	Až 35 milionů EUR nebo 7 % z celosvětového ročního obratu (podle toho, co je vyšší).	N/A	Nemocnice by nasadila systém, který na základě sociálního profilu pacienta (např. příjmu) upřednostňuje v přístupu k péči.
Nedodržení povinností u vysoce rizikové AI	Až 15 milionů EUR nebo 3 % z celosvětového ročního obratu.	N/A	Výrobce uvede na trh diagnostický AI software bez provedení posouzení shody, bez technické dokumentace nebo bez zajištění lidského dohledu.
Porušení zásad zpracování osobních údajů	N/A	Až 20 milionů EUR nebo 4 % z celosvětového ročního obratu.	AI systém je trénován na zdravotních datech pacientů bez platného právního titulu (např. bez souhlasu) nebo jsou data nedostatečně zabezpečena.
Poskytnutí nesprávných informací úřadům	Až 7,5 milionu EUR nebo 1,5 % z celosvětového ročního obratu.	Až 10 milionů EUR nebo 2 % z celosvětového ročního obratu.	Firma při kontrole předloží dozorovému orgánu nepravdivou nebo zavádějící dokumentaci o svém AI systému nebo o zpracování osobních údajů.

 

Kromě přímých finančních pokut hrozí i další vážné následky: nařízení stažení systému z trhu, soudní spory o náhradu škody s poškozenými pacienty a v neposlední řadě obrovská reputační újma.

Smlouva s dodavatelem AI: Vaše první linie obrany

Vzhledem k nejasnostem v oblasti zákonné odpovědnosti je smlouva mezi vámi (jako nemocnicí či klinikou) a dodavatelem AI řešení naprosto klíčovým nástrojem pro řízení rizik. Jako uživatel máte podle AI Actu povinnost prověřovat své dodavatele. Vaše smlouva musí být vaší pojistkou. Právníci ARROWS při přípravě a revizi těchto smluv kladou důraz zejména na následující klauzule:

• Rozsah licence a práva k duševnímu vlastnictví (IP): Je nutné jasně definovat, jaká práva získáváte k samotnému softwaru a především k výstupům, které generuje. Můžete je volně používat? Kdo je jejich vlastníkem? Může dodavatel používat vaše data (i anonymizovaná) pro další trénink svých modelů?.
• Záruky a prohlášení dodavatele: Smlouva musí obsahovat výslovné prohlášení dodavatele, že jeho AI systém je v plném souladu s AI Actem, prošel posouzením shody a má veškerou potřebnou dokumentaci.
• Odpovědnost za škodu a odškodnění (Indemnification): Klíčová klauzule, která stanoví, že pokud bude nemocnice sankcionována nebo žalována kvůli vadě v AI systému, dodavatel ji odškodní a pokryje veškeré náklady, pokuty a škody.
• Smlouva o zpracování osobních údajů (DPA): Pokud bude dodavatel jakkoli přicházet do styku s osobními údaji pacientů, je DPA dle článku 28 GDPR naprostou nutností. Musí jasně definovat technická a organizační opatření k ochraně dat.
• Povinnosti součinnosti a auditu: Smlouva by měla dodavateli uložit povinnost poskytnout vám veškerou dokumentaci a součinnost potřebnou pro vaše vlastní compliance (např. pro DPIA) a umožnit provedení auditu.

Případová studie: Jak ARROWS pomohlo nemocnici XY bezpečně implementovat AI pro diagnostiku

Fiktivní příklad založený na reálné praxi

Krajská nemocnice se rozhodla implementovat inovativní AI nástroj od českého startupu pro analýzu CT snímků. Management si byl vědom obrovských klinických přínosů, ale zároveň měl obavy z nových právních rizik. Obrátili se na advokátní kancelář ARROWS.

1. Analýza souladu (Compliance Audit): Tým ARROWS nejprve provedl audit navrhovaného řešení. Potvrdil, že se jedná o vysoce rizikový AI systém dle AI Actu a zároveň o zdravotnický prostředek třídy IIa dle MDR.
2. Revize smlouvy s dodavatelem: Právníci ARROWS kompletně přepracovali návrh smlouvy od dodavatele. Doplnili robustní klauzule o zárukách souladu s AI Actem a MDR, jasné vymezení odpovědnosti za vady a závazek k odškodnění nemocnice v případě problémů.
3. Příprava DPIA: ARROWS ve spolupráci s IT oddělením nemocnice připravilo detailní posouzení vlivu na ochranu osobních údajů (DPIA), které identifikovalo rizika a navrhlo konkrétní opatření k jejich minimalizaci.
4. Interní směrnice a školení: Na základě doporučení ARROWS nemocnice zavedla novou interní směrnici pro používání AI v klinické praxi a zorganizovala povinné, zdokumentované školení pro všechny dotčené lékaře.

Výsledek: Nemocnice mohla inovativní technologii nasadit s jistotou, že splnila všechny regulatorní požadavky. Měla právně zajištěn vztah s dodavatelem a minimalizovala riziko sankcí i odpovědnostních sporů. Z potenciální právní noční můry se stala bezpečná a úspěšná inovace.

Závěr: Budoucnost patří připraveným. ARROWS je váš partner na cestě k bezpečné a úspěšné inovaci.

Umělá inteligence bezpochyby představuje jednu z největších revolucí v historii medicíny. Její potenciál zlepšit diagnostiku, zefektivnit léčbu a zachraňovat životy je obrovský. Jak jsme však ukázali v tomto reportu, tato technologická vlna s sebou přináší komplexní a nekompromisní regulatorní rámec v podobě AI Actu a zpřísněných požadavků GDPR. Pro management nemocnic, kliniky a inovátory v oblasti med-tech již není otázkou zda, ale jak se s touto novou realitou vypořádat.

Ignorování těchto pravidel není strategie, je to hazard s rizikem milionových pokut, soudních sporů a poškození reputace, kterou jste léta budovali. Naopak, proaktivní a strategický přístup k právní compliance se stává klíčovým faktorem úspěchu. Umožňuje nejen minimalizovat rizika, ale také budovat důvěru u pacientů i partnerů a získat rozhodující konkurenční výhodu.

Advokátní kancelář ARROWS v této nové éře stojí po vašem boku. Naši experti se specializují na propojení světa technologií a práva. Rozumíme nejen paragrafům, ale i praktickým potřebám vašeho byznysu a klinické praxe. Neposkytujeme jen obecné právní rady; nabízíme konkrétní, na míru šitá řešení, která vám umožní inovovat s jistotou a klidem. Naše služby zahrnují:

• Komplexní audity souladu (compliance) s AI Actem a GDPR.
• Přípravu a revizi smluv s dodavateli AI řešení.
• Zpracování posouzení vlivu na ochranu osobních údajů (DPIA).
• Tvorbu interních směrnic a politik pro bezpečné využívání AI.
• Zastupování v případě sporů nebo jednání s regulačními orgány.

Umělá inteligence přináší revoluci do zdravotnictví. Nenechte právní nejistotu, aby brzdila váš pokrok. Kontaktujte nás ještě dnes a zjistěte, jak vám expertní tým ARROWS pomůže přeměnit regulatorní výzvy v bezpečnou a úspěšnou inovaci.