AI ve firmách pod dohledem EU: Jak nové evropské pokyny mění povinnosti poskytovatelů a uživatelů umělé inteligence
Evropská regulace umělé inteligence už dávno není „něco, co přijde jednou v budoucnu“. AI ve firmách pod dohledem EU je realita – část povinností už platí, další začnou být vynucovány v nejbližších měsících a letech. Tento článek vysvětluje, jak AI Act a nové evropské pokyny mění konkrétní povinnosti poskytovatelů i uživatelů umělé inteligence, jaké hrozí sankce a co dnes musí podnikatelé a manažeři reálně dělat, pokud chtějí AI ve firmě využívat bezpečně a legálně.
Obsah článku
Proč je AI ve firmách pod dohledem EU a co z toho plyne
Evropský AI Act (nařízení (EU) 2024/1689) je prvním komplexním právním rámcem pro umělou inteligenci na světě a jeho ambicí je současně podpořit inovace a ochránit zdraví, bezpečnost, základní práva a demokratické hodnoty. Na rozdíl od měkčích etických kodexů jde o přímo závazné nařízení, které se automaticky uplatní ve všech členských státech a vytváří harmonizovaná pravidla pro vývoj, uvádění na trh a využívání systémů AI.
Z pohledu podnikatelů to znamená, že AI už není „neregulovaným prostorem“, ale oblastí s obdobnou mírou regulace jako ochrana osobních údajů (GDPR) nebo kybernetická bezpečnost (NIS2). Na druhé straně AI Act deklarovaně brání roztříštění národních úprav a má zajišťovat volný pohyb AI produktů a služeb na jednotném trhu.
Klíčovým principem AI Actu je přístup založený na riziku. Čím vyšší dopad systém AI může mít na zdraví, bezpečnost či základní práva, tím přísnější požadavky na jeho návrh, testování, dokumentaci, dohled a transparentnost.
Na jednom konci spektra stojí systémy s minimálním nebo nulovým rizikem, pro které AI Act nestanoví zvláštní povinnosti; typicky jde o běžné filtry spamu nebo AI v počítačových hrách. Na opačném konci jsou zakázané praktiky s „nepřijatelným rizikem“, které jsou v EU jednoduše zakázány bez možnosti běžné výjimky, a uprostřed stojí systémy s omezeným a vysokým rizikem.
Z pohledu firem je zásadní, že AI Act se nevztahuje jen na technologické společnosti vyvíjející vlastní AI modely, ale i na široké spektrum běžných podniků, které AI „jen“ implementují ve svých procesech. Při zavádění interních AI nástrojů proto často dává smysl řešit i právní nastavení celé implementace umělé inteligence (AI) včetně rolí a odpovědností podle AI Actu. Regulace výslovně dopadá na poskytovatele, dovozce, distributory i tzv. deployery (zavádějící subjekty), tedy firmy, které AI systémy používají v rámci své profesionální činnosti, včetně orgánů veřejné moci.
Exteritoriální dosah znamená, že povinnosti vznikají i subjektům mimo EU, pokud jejich AI systémy nebo jejich výstupy jsou používány v Unii. V praxi to znamená, že například americký nebo asijský dodavatel AI řešení nasazeného v ČR musí respektovat evropská pravidla a často jmenovat autorizovaného zástupce v EU.
Důležité je i to, že AI Act nevzniká ve vzduchoprázdnu. Pro firmy se prolíná s dalšími předpisy, zejména s GDPR, předpisy o odpovědnosti za škodu, sektorovými regulacemi (bankovnictví, zdravotnictví, energetika) a nově také s pravidly pro kybernetickou bezpečnost a datovou ekonomiku. Praktický rámec, jak ve firmě nastavit procesy a odpovědnosti tak, aby se tato pravidla propojila bez zbytečných mezer, shrnuje také novinka AI governance ve firmách: Jak to udělat správně, aby nehrozily právní problémy a pokuty. Právní realita je tedy složitější než pouhé „splnění AI Actu“ – při návrhu a nasazení AI je typicky nutné řešit zároveň ochranu osobních údajů, smluvní vztahy se zákazníky a dodavateli, bezpečnostní standardy i daňové dopady.
Právníci ARROWS advokátní kanceláře v praxi často vidí, že firmy se soustředí jen na jeden z těchto předpisů (například na GDPR), ale podcení specifické povinnosti AI Actu nebo návaznost na smluvní odpovědnost, což může později vést k pokutám, sporům i blokaci klíčových projektů.
Harmonogram: Co už platí a jaké nové pokyny EU přibyly
AI Act neplatí „najednou“, ale jeho účinnost je rozložena do několika fází, doplněných o sekundární legislativu, pokyny Komise a dobrovolné kodexy praxe. Z hlediska firemního plánování je zásadní porozumět tomu, co už je vymáhatelné dnes a jaké nové povinnosti podniky čekají v nejbližších letech. Do plánování je vhodné zahrnout i smluvní a bezpečnostní dopady, které obvykle spadají do oblasti IT a softwarového práva, kyberbezpečnosti.
Co platí od února 2025: Zákazy praktik
Od února 2025 se uplatňují pravidla pro „nepřijatelné“ AI praktiky. Zaprvé, v celé EU platí zákaz osmi typů AI praktik, které jsou považovány za neslučitelné s hodnotami Unie a základními právy.
Patří sem mimo jiné podprahové a manipulativní techniky, které zásadně narušují schopnost člověka rozhodovat svobodně. Dále sem patří systémy zneužívající zranitelnost osob podle věku, zdravotního postižení či socioekonomické situace. Za zakázané jsou považovány také systémy sociálního skórování obyvatel a určité formy prediktivního policejního dohledu.
Patří sem rovněž necílené shromažďování biometrických dat z internetu pro účely rozpoznávání obličejů. Zakázáno je také rozpoznávání emocí na pracovišti a ve vzdělávacích institucích. K souvisejícím požadavkům na bezpečnost a compliance (zejména u veřejných institucí) se podrobněji věnuje i článek Kybernetická bezpečnost a AI Act: Compliance pro nemocnice a veřejné instituce. Do této kategorie spadá i biometrická kategorizace podle citlivých znaků. V zásadě sem patří také použití AI pro živou biometrickou identifikaci osob na veřejnosti mimo úzce vymezené výjimky.
Za porušení těchto absolutních zákazů hrozí nejvyšší sankce – až 35 milionů EUR, nebo u podniků až 7 % celosvětového ročního obratu za předchozí účetní období, podle toho, která částka je vyšší. U malých a středních podniků se používá nižší z obou hodnot, ale i tak se jedná o potenciálně likvidační pokuty.
Právníci ARROWS advokátní kanceláře se v praxi setkávají s tím, že firmy někdy ani netuší, že určité HR nástroje, marketingové technologie nebo bezpečnostní systémy mohou spadat do zakázaných praktik – typicky jde o experimentální rozpoznávání emocí zaměstnanců či žáků, o agresivní behaviorální marketing kombinující AI a psychometriku, nebo o využití necíleného scrapingu fotografií pro rozpoznávání obličejů.
Co platí od května 2025: Pravidla pro obecné modely (GPAI)
Druhou vlnu povinností představují pravidla pro tzv. obecné modely umělé inteligence (General-Purpose AI, GPAI), která se začala uplatňovat od května 2025. Jde o modely, které byly vytrénovány s vysokým výpočetním výkonem a jsou schopny generovat text, obraz, audio nebo video pro širokou škálu použití – typicky velké jazykové modely, generátory obrázků nebo multimodální modely, které dnes firmy využívají prostřednictvím API nebo cloudových služeb.
Poskytovatelé těchto modelů musí nově zajistit technickou dokumentaci popisující architekturu modelu, tréninkové metody, použité výpočetní zdroje, schopnosti a omezení modelu a typická rizika použití. Dále musí zveřejnit shrnutí tréninkových dat použitých k výuce modelu, a to podle šablony připravené Komisí, a nastavit vnitřní pravidla zajišťující respektování autorského práva, včetně reakce na tzv. TDM opt-out, tedy výslovné vyloučení datových sad z text-and-data miningu.
Pro modely se systémovým rizikem (například ty nejvýkonnější nad určitým prahem FLOPs) se přidávají další povinnosti, jako je pravidelné testování robustnosti, posuzování a mitigace systémových rizik, hlášení incidentů a povinná registrace vůči Evropské komisi.
Aby průmysl zvládl tyto požadavky plnit, byla připravena dobrovolná verze Kodexu správné praxe pro GPAI, který Komise označila jako vhodný nástroj pro prokazování souladu s článkem 53 AI Actu. Poskytovatelé, kteří kodex podepíší a budou jej dodržovat, mohou těžit z nižší administrativní zátěže a vyšší právní jistoty, protože se předpokládá, že plněním kodexu naplní i některé zákonné povinnosti.
Z pohledu podnikových uživatelů to znamená, že je vhodné se dodavatele velkého modelu ptát, zda je signatářem tohoto kodexu a jak konkrétně své povinnosti plní. Právníci ARROWS advokátní kanceláře klientům pomáhají s prověřením dodavatelů a s úpravou smluvní dokumentace tak, aby odpovědnost za AI byla jasně rozdělena.
Co přichází: Srpen 2026, červenec 2027 a další milníky
Od srpna 2026 bude AI Act obecně plně použitelný pro většinu ustanovení, s výjimkou některých vysoce rizikových systémů, pro které byl dohodnut delší přechodný režim. Právě v tomto období začnou v praxi „kousat“ zejména požadavky na transparentnost interaktivních AI systémů a na označování AI generovaného obsahu podle článku 50 AI Actu.
Poskytovatelé AI systémů určených k přímé interakci s lidmi budou muset zajistit, aby uživatelé byli jasně informováni, že komunikují s AI, pokud to není zjevné z kontextu, a aby syntetický obsah (text, obraz, audio, video) byl označen jako umělý alespoň v podobě strojově čitelného identifikátoru. Deployeři deepfake obsahu pak budou muset pro koncové uživatele zajistit viditelné označení, že jde o generovaný či manipulovaný obsah.
Současně se od srpna 2026 rozběhne režim centrální EU databáze vysoce rizikových AI systémů, do které budou muset poskytovatelé i někteří deployeři své systémy registrovat před uvedením na trh nebo do provozu. Povinnost se týká zejména systémů z přílohy III AI Actu (například AI pro přidělování sociálních dávek, posuzování bonity, určité HR nástroje, biometrické identifikační systémy) a má umožnit transparentnější dohled trhu i vzájemné učení regulátorů.
Další významný milník nastane v červenci 2027, kdy se postupně začnou uplatňovat pravidla pro vysoce rizikové AI systémy integrované jako bezpečnostní součást regulovaných výrobků (například výtahy, hračky nebo zdravotnické prostředky). Z pohledu českých podniků to bude zvláště citlivé v sektorech, kde už dnes AI získává významné místo – například v bankovnictví, pojišťovnictví, zdravotnictví nebo v dopravní infrastruktuře.
Nové pokyny Komise z posledních měsíců
Kromě samotného textu AI Actu hraje v praxi čím dál větší roli tzv. terciární právo – prováděcí a delegované akty, pokyny a kodexy praxe, které mají sjednotit výklad klíčových pojmů a pomoci firmám naplnit požadavky AI Actu. V posledních dvanácti měsících přibylo několik dokumentů, které zásadně ovlivňují praxi poskytovatelů i uživatelů.
V květnu 2026 Komise vydala návrh pokynů ke klasifikaci vysoce rizikových AI systémů podle článku 6 AI Actu. Tyto pokyny se snaží vysvětlit, kdy je systém považován za vysoce rizikový buď proto, že je bezpečnostní součástí regulovaného výrobku, nebo proto, že spadá do některé z oblastí uvedených v příloze III. Dokument obsahuje řadu praktických příkladů, kdy konkrétní AI řešení má být jako vysoce rizikové vnímáno a kdy nikoliv, což je klíčové zejména pro firmy v oblastech HR, úvěrování, zdravotnictví nebo veřejných služeb.
Dalším důležitým dokumentem je návrh pokynů a šablony pro hlášení závažných incidentů podle článku 73 AI Actu. Poskytovatelé vysoce rizikových systémů budou muset od srpna 2026 oznamovat vnitrostátním orgánům závažné incidenty, které vedly nebo mohly vést k újmě na zdraví, významné majetkové škodě nebo závažnému porušení základních práv. Návrh pokynů vysvětluje, co se považuje za incident, jaké informace mají být hlášeny a jak se tato povinnost propojuje s jinými režimy (například s GDPR či sektorovými pravidly).
Ještě předtím vydala Komise pokyny pro poskytovatele obecných modelů AI, které upřesňují rozsah jejich povinností a vykládají klíčové pojmy jako „podstatná změna modelu“, „systémové riziko“ nebo „model GPAI“. Tyto pokyny doplňují zmiňovaný Kodex GPAI a společně dávají poskytovatelům i uživatelům relativně jasný obraz o tom, kdy a jak se pravidla na ně vztahují.
V oblasti transparentnosti AI generovaného obsahu pak Komise připravuje Kodex správné praxe pro detekci a označování AI obsahu, jehož návrh byl zveřejněn v první polovině roku 2026 a finální verze se očekává v létě téhož roku. Kodex má definovat technické standardy pro vodoznaky, metadata a další identifikátory a doporučit i vizuální označení deepfake obsahu.
Z pohledu firemních manažerů to znamená, že sledování AI Actu už dnes neznamená jen hlídat „jeden zákon“, ale že je nutné systematicky monitorovat také navazující pokyny, šablony a kodexy, které postupně konkretizují, co bude kontrolní orgán reálně vyžadovat.
Právníci ARROWS advokátní kanceláře proto klientům doporučují nastavit interní proces, v němž někdo odpovídá za „regulatory watch“ v oblasti AI, podobně jako je tomu u GDPR nebo NIS2, a pravidelně aktualizovat jak interní směrnice, tak smlouvy s dodavateli a zákazníky.
Povinnosti poskytovatelů AI: Od definice role k posouzení shody
AI Act klade velký důraz na rozlišení rolí v hodnotovém řetězci AI – poskytovatelů, deployerů, dovozců, distributorů a dalších subjektů. Poskytovatelem je ten, kdo vyvíjí systém AI nebo má systém upraven tak, aby byl poskytován pod jeho jménem nebo obchodní značkou, bez ohledu na to, zda je usazen v EU nebo mimo ni. V praxi se pod tuto definici vejdou jak velcí vývojáři vlastních modelů, tak integrátoři, kteří systém zásadně upraví a uvádějí jej na trh jako vlastní řešení.
Pro firmy je kritické si tuto roli správně vyjasnit, protože právě poskytovateli ukládá AI Act nejrozsáhlejší sadu povinností, zejména u vysoce rizikových systémů a u GPAI modelů. Pokud se firma mylně domnívá, že je „pouze uživatelem“, ale fakticky systém značně modifikuje, trénuje na vlastních datech a nabízí zákazníkům jako vlastní produkt, může nést odpovědnost poskytovatele, včetně povinnosti provést posouzení shody a registraci v EU databázi.
Právníci ARROWS advokátní kanceláře proto klientům doporučují už v rané fázi projektu vyjasnit, kdo je v jaké roli – a tuto alokaci rolí a povinností promítnout do smluv a obchodních podmínek.
Vysoce rizikové systémy: Systém řízení rizik, data a dokumentace
U vysoce rizikových AI systémů stanoví AI Act podrobné požadavky, které musí poskytovatel splnit ještě před uvedením systému na trh nebo do provozu. Patří sem zejména povinnost zavést průběžný systém řízení rizik, zajišťující identifikaci, analýzu, evaluaci a mitigaci rizik spojených s AI během celého životního cyklu.
S tím úzce souvisí požadavky na data a data governance – trénovací, validační a testovací datasety musí být relevantní, reprezentativní, dostatečně kvalitní, a to se zohledněním konkrétního geografického, kontextového a funkčního prostředí, v němž má systém fungovat.
AI Act zároveň vyžaduje, aby u těchto datasetů poskytovatel aplikoval robustní data governance praktiky – měl zdokumentovaný původ dat, procesy sběru, anotace, čištění, agregace, zkoumal přítomnost možných biasů a přijal opatření k jejich detekci, předcházení a nápravě.
Výjimečně připouští i zpracování zvláštních kategorií osobních údajů pro účely detekce a nápravy biasu, ovšem jen za přísných podmínek, včetně technických a organizačních opatření k minimalizaci rizik a striktního omezení přístupu. V praxi se tak poskytovatel vysoce rizikového systému dostává do pozice, kdy musí prokázat, že jeho AI není jen „technicky funkční“, ale i nediskriminační, bezpečná a respektující základní práva.
Nedílnou součástí povinností je také vedení technické dokumentace, která musí podrobně popisovat systém, jeho účel, architekturu, použitá data, metody tréninku, testování i výsledky hodnocení. Dokumentace má umožnit dozorovým orgánům posoudit soulad systému s požadavky AI Actu, a proto musí být průběžně aktualizována, nikoliv vytvořena jednorázově na začátku projektu. Stejně tak musí systém automaticky zaznamenávat události (logy), aby bylo možné zpětně dohledat, jak došlo k určitému rozhodnutí nebo incidentu, a tyto logy musí být uchovávány po dobu stanovenou nařízením.
Posouzení shody a role notifikovaných osob
Vysoce rizikové AI systémy musí před uvedením na trh projít posouzením shody. AI Act rozlišuje, zda jde o systém, který je bezpečnostní součástí produktu regulovaného jiným harmonizačním předpisem (například zdravotnický prostředek), nebo o systém spadající do samostatné kategorie podle přílohy III.
V prvním případě se posouzení shody obvykle provádí jako součást existujícího režimu (například podle nařízení o zdravotnických prostředcích), přičemž notifikovaná osoba posuzuje i splnění požadavků AI Actu. V druhém případě může poskytovatel ve většině situací využít postup vnitřní kontroly (bez účasti notifikované osoby), ovšem za podmínky, že použil harmonizované normy nebo společné specifikace, pokud existují.
Pokud poskytovatel harmonizované normy nebo společné specifikace neaplikuje, nebo existují omezení jejich použití, je povinen využít posouzení shody s účastí notifikované osoby podle příslušného modulu. V České republice je oznamujícím orgánem pro určení notifikovaných osob v oblasti AI Úřad pro technickou normalizaci, metrologii a státní zkušebnictví (ÚNMZ), který bude dohlížet na to, aby notifikované osoby splňovaly své povinnosti nezávislosti, odborné způsobilosti a nestrannosti.
Pro poskytovatele to v praxi znamená nutnost počítat s časem a náklady na posouzení shody, a to zejména u složitějších systémů nebo tam, kde nejsou k dispozici harmonizované normy. Součástí procesu posouzení shody je i vypracování EU prohlášení o shodě a označení systému značkou CE, což signalizuje splnění relevantních požadavků. Bez platného posouzení shody a registrace v EU databázi nesmí být vysoce rizikový systém uveden na trh ani do provozu, což v praxi může znamenat pozastavení celého projektu nebo nemožnost přístupu na trh EU.
Právníci ARROWS advokátní kanceláře zde podnikům pomáhají jak s nastavením vnitřních procesů pro compliance, tak s koordinací s notifikovanými osobami a dozorovými orgány, aby se předešlo zásadním zpožděním nebo nákladným přepracováním systému.
Sankce a odpovědnost poskytovatele
Jak již bylo uvedeno, AI Act zavádí odstupňovaný systém sankcí, který je v některých ohledech srovnatelný s GDPR. Nejvyšší pokuty (do 35 milionů EUR nebo 7 % celosvětového obratu) se týkají porušení zákazu zakázaných praktik podle článku 5.
Za porušení ostatních povinností, například povinností poskytovatele u vysoce rizikových systémů nebo GPAI, mohou být uloženy pokuty až 15 milionů EUR nebo 3 % celosvětového obratu. Za poskytnutí nepravdivých, neúplných nebo zavádějících informací dozorovým orgánům hrozí pokuty až 7,5 milionu EUR nebo 1 % obratu.
AI Act zároveň zdůrazňuje princip proporcionality, takže výše pokut má brát v úvahu povahu, závažnost a délku trvání porušení, počet dotčených osob, finanční přínos porušení, míru spolupráce s orgány dohledu a také skutečnost, zda jde o SME či startup. V návrhu připravované směrnice o odpovědnosti za AI se navíc počítá s tím, že porušení povinností dle AI Actu může vést k obrácení nebo zmírnění důkazního břemene ve sporech o náhradu škody.
Pokud firma nedodržela určité povinnosti, má se za to, že právě toto pochybení souvisí se vzniklou škodou. To ještě zvyšuje význam řádné dokumentace a průkazného plnění povinností.
Pro poskytovatele to v praxi znamená, že nesoulad s AI Actem může vést nejen k vysokým pokutám a zákazu uvedení systému na trh, ale také k soudním sporům a reputačnímu poškození. Řada firem proto dnes vnímá nastavení robustního compliance programu v oblasti AI jako investici do důvěryhodnosti produktu, nikoli jen jako náklad na regulaci. Právníci ARROWS advokátní kanceláře v takových situacích klientům pomáhají jak s preventivním nastavením systému řízení rizik, tak s obranou proti sankcím a se zastupováním před dozorovými orgány a soudy.
Povinnosti uživatelů (deployers): AI gramotnost, transparentnost a dohled
Deployerem (zavádějícím subjektem) je podle AI Actu ten, kdo používá AI systém v rámci své profesionální činnosti, bez ohledu na to, zda systém vyvinul nebo koupil od třetí strany. Pro většinu běžných firem v ČR bude právě role deployera typická – využívají AI v HR, marketingu, analýze dat, řízení zásob, zákaznickém servisu či v jiných procesech, ale nevyvíjejí vlastní modely.
Častou chybou je představa, že za soulad s AI Actem odpovídá primárně dodavatel. Nařízení však ukládá deployerovi vlastní povinnosti, zejména u vysoce rizikových systémů a u systémů, které přímo interagují s koncovými uživateli.
Deployeři musí například zajistit, aby AI systémy používali v souladu se zamýšleným účelem definovaným poskytovatelem, a nesmí je bez dalšího používat v jiném kontextu, zvláště pokud by to vedlo ke zvýšení rizik. Dále musí zajistit odpovídající úroveň AI gramotnosti u osob, které systémy používají nebo jejich výstupy vyhodnocují. V případě vysoce rizikových systémů musí implementovat lidský dohled, monitorovat výkon systému, uchovávat logy a dodržovat další technické a organizační požadavky včetně posouzení dopadů na ochranu osobních údajů podle GDPR.
Nasazování vysoce rizikové AI ve firmě
Pokud firma nasazuje vysoce rizikovou AI, například nástroj pro automatizovaný screening kandidátů, systém pro posuzování bonity zákazníků, AI pro rozhodování o přidělení veřejných benefitů nebo AI podporující klinická rozhodnutí ve zdravotnictví, její povinnosti jsou mnohem širší.
Vedle povinnosti zajistit, že systém má platné posouzení shody a je registrován v EU databázi, což je primární odpovědnost poskytovatele, musí deployer implementovat lidský dohled. Dále musí zajistit zacházení s logy. Je také povinen pravidelně vyhodnocovat výkon systému v reálném prostředí. Současně musí zavést postupy pro řešení incidentů a stížností.
Například banka, která nasazuje AI pro posuzování úvěruschopnosti, musí nejen ověřit dodavatele a získat od něj technickou dokumentaci, ale také zajistit, že její pracovníci rozumějí principům fungování systému, umějí interpretovat jeho výstupy a mají proces, jak výstupy v případě potřeby korigovat.
Současně musí provést posouzení vlivu na ochranu osobních údajů (DPIA) podle GDPR a řešit případné diskriminační dopady na různé skupiny klientů. Podobně zaměstnavatel, který využívá AI v náboru, musí zapojit DPO, analyzovat rizika diskriminace a jasně komunikovat kandidátům, že část procesu je podporována AI.
Právníci ARROWS advokátní kanceláře zde často vidí, že firmy mají tendenci spoléhat na marketingová prohlášení dodavatele („naše AI je compliant“) bez hlubšího ověření. V kontextu AI Actu je však nezbytné provést vlastní due diligence, vyžádat si konkrétní dokumenty (popis systému, účel, omezení, výsledky testů) a zakotvit odpovědnost a součinnost dodavatele přímo ve smlouvě. Jinak se deployer vystavuje riziku, že v případě incidentu ponese hlavní odpovědnost vůči regulatorům i poškozeným osobám.
Transparentnost vůči uživatelům a klientům
Článek 50 AI Actu zavádí obecné transparentnostní povinnosti pro poskytovatele a deployery omezeně rizikových systémů, které interagují s lidmi nebo generují obsah. Deployer, který nasazuje chatbot, musí zajistit, aby uživatel byl od první interakce jasně informován, že komunikuje s AI, pokud to není zjevné.
Stejně tak pokud firma publikuje text, zvuk nebo video generované AI s cílem informovat veřejnost o věcech veřejného zájmu, má povinnost zveřejnit, že daný obsah byl generován nebo významně upraven AI, ledaže prošel plnou redakční kontrolou a nese lidskou editoriální odpovědnost.
Zvláštní režim platí pro deepfake obsah – deployeři (tedy typicky firmy, instituce nebo profesionálové), kteří deepfake využívají v rámci své podnikatelské či profesní činnosti, budou od srpna 2026 povinni obsah viditelně označit tak, aby běžný uživatel poznal, že jde o umělý nebo manipulovaný záznam.
Výjimky jsou plánovány pro zjevně umělecká, satirická nebo fiktivní díla, kde postačí vhodné upozornění v úvodu či v titulcích, a pro použití v rámci detekce a vyšetřování trestné činnosti. V praxi tedy například marketingová agentura, která vytvoří deepfake video pro klientskou kampaň, bude muset od srpna 2026 počítat s povinností viditelného označení, jinak riskuje sankce za porušení článku 50.
Evidence, monitoring a incident management
Deployeři vysoce rizikových systémů budou mít povinnost vést evidenci nasazení systému, uchovávat záznamy o důležitých parametrech provozu a implementovat proces monitoringu incidentů, včetně spolupráce s poskytovatelem při jejich hlášení dozorovým orgánům.
V praxi jde o analogii s některými režimy v oblasti zdravotnických prostředků nebo kybernetické bezpečnosti – firma musí mít jasnou interní proceduru, jak incident identifikovat, vyhodnotit závažnost, zdokumentovat a v případě potřeby jej eskalovat směrem k poskytovateli a regulatorním orgánům.
Mnoho firem dnes žádný centralizovaný incident management pro AI nemá – potenciální problémy se řeší ad hoc v jednotlivých odděleních. V kontextu AI Actu však bude nezbytné tyto procesy sjednotit, definovat odpovědné role (například AI officer nebo pracovní skupinu pro AI governance) a nastavit jasné vazby na stávající mechanismy pro kyberbezpečnostní incidenty či porušení ochrany osobních údajů.
Právníci ARROWS advokátní kanceláře klientům často pomáhají s vytvořením jednotného rámce pro AI incidenty, který zahrnuje právní, technickou i reputační rovinu, včetně připravených komunikačních scénářů směrem k regulatorům, partnerům a veřejnosti.
Nejčastější otázky k základním povinnostem poskytovatelů a deployerů
1. Jak poznáme, zda jsme poskytovatel nebo jen uživatel (deployer)?
Rozhoduje, zda systém vyvíjíte či zásadně upravujete a uvádíte na trh pod svým jménem, nebo jej „jen“ používáte ve své činnosti. V praxi může být situace složitější u firem, které nad dodaným modelem staví vlastní řešení. V takových případech je vhodné provést právní analýzu rolí a upravit tomu smlouvy, s čímž vám mohou právníci ARROWS advokátní kanceláře pomoci.
2. Stačí, když nám dodavatel písemně potvrdí, že jeho AI je „compliant“?
Pouhé prohlášení dodavatele obvykle nestačí, zejména u vysoce rizikových systémů. Jako deployer musíte provést vlastní prověření, vyžádat si technickou dokumentaci, informace o posouzení shody a jasně rozdělit odpovědnost za případné incidenty. Právníci ARROWS advokátní kanceláře pomáhají klientům tato ujednání zapracovat do smluv tak, aby se minimalizovalo riziko jednostranného přenesení odpovědnosti.
3. Musíme už dnes interně školit zaměstnance o AI?
Povinnost zajišťovat AI gramotnost pro deployery a poskytovatele vysoce rizikových systémů se uplatní od srpna 2026. Již dnes je však vhodné zavádět interní pravidla pro používání AI nástrojů a školení zaměstnanců, aby byli na plnou účinnost AI Actu připraveni. Rozsah školení by měl odpovídat typu používaných nástrojů a rolím zaměstnanců. ARROWS advokátní kancelář klientům pomáhá připravit jak obsah školení, tak interní směrnice a dokumentaci, aby bylo splnění povinnosti průkazné.
Transparentnost, označování AI obsahu a deepfaky
Článek 50 AI Actu je pro mnoho firem jedním z nejviditelnějších ustanovení, protože přímo ovlivňuje komunikaci se zákazníky a uživateli. Klade povinnost informovat osoby, že interagují s AI systémem, a označovat AI generovaný nebo manipulovaný obsah, pokud je to nezbytné pro zachování důvěry a ochranu uživatelů.
Povinnost informovat o interakci s AI se uplatní u systémů, jejichž účelem je přímo komunikovat s lidmi – typicky chatboty, virtuální asistenti nebo voiceboti v zákaznických službách. Výjimkou jsou situace, kdy je z kontextu zřejmé, že jde o stroj, nebo když je AI používána pro detekci a vyšetřování trestných činů se specifickými zárukami.
Pro generativní AI systémy platí, že poskytovatelé musí zajistit, aby výstupy byly označeny alespoň v podobě strojově čitelného příznaku, který umožní detekci AI obsahu například sociálními sítěmi, vyhledávači a nástroji pro ověřování faktů. Implementace bude zpravidla technická – vodoznaky, metadata nebo kryptografické značky vložené do souboru tak, aby nebyly snadno odstranitelné.
Od srpna 2026 se navíc uplatní povinnost některých deployerů, zejména v oblasti médií, marketingu a veřejné komunikace, viditelně označit AI generovaný obsah, pokud slouží k informování veřejnosti o záležitostech veřejného zájmu nebo pokud jde o deepfake.
Deepfake obsah: Přísnější režim a výjimky
Deepfake je specifickou kategorií AI generovaného nebo upraveného obsahu, který napodobuje existující osoby, místa nebo události takovým způsobem, že může být mylně považován za autentický. Právní úprava k němu přistupuje přísněji, protože deepfaky mohou být zneužity k dezinformacím, podvodům, vydírání či jiným formám zásahu do osobnostních práv a důvěry ve veřejný diskurz.
AI Act proto ukládá deployerům deepfake obsahu, kteří jej používají v rámci podnikání nebo profesionální činnosti, povinnost viditelně označit, že obsah byl generován či manipulován AI. Prakticky to znamená, že pokud například marketingová agentura vytvoří video, v němž fiktivní podoba známé osobnosti propaguje produkt, nebo pokud politická kampaň použije manipulovaný záznam, musí být obsah jasně označen jako umělý.
Komise připravuje kodex praxe pro označování AI obsahu, který má doporučit konkrétní formy označení, například vizuální ikonu „AI“ nebo textové upozornění v rámci videa. Výjimky se týkají zjevně uměleckých, satirických či fikčních děl, u nichž by povinnost výrazného označení mohla nepřiměřeně narušit uživatelský zážitek; zde postačí přiměřené upozornění, že dílo využívá AI. V praxi tedy například marketingová agentura, která vytvoří deepfake video pro klientskou kampaň, bude muset od srpna 2026 počítat s povinností viditelného označení, jinak riskuje sankce za porušení článku 50.
Technické standardy a kodex transparentnosti
Technické detaily označování AI obsahu se budou postupně standardizovat prostřednictvím harmonizovaných norem a kodexů praxe. Návrhy počítají s vícevrstvým označováním – kombinací vodoznaků, metadat a případně i veřejně dostupných nástrojů pro ověřování AI obsahu. Poskytovatelé AI systémů budou muset tato technická řešení implementovat do svých produktů, zatímco deployeři budou povinni je aktivně využívat a nezbavovat se odpovědnosti tím, že označování v praxi vypnou.
Z praktického hlediska se zde otevírá prostor pro smluvní ujednání mezi poskytovatelem a deployerem – například jaké standardy označování jsou implementovány, jaké záruky poskytovatel dává a jak se řeší případné porušení povinností.
ARROWS advokátní kancelář v těchto situacích klientům pomáhá nastavit smlouvy tak, aby rozdělení povinností a odpovědnosti odpovídalo tomu, kdo má technickou a organizační kontrolu nad tím, jak je AI obsah vytvářen a publikován.
|
Možné problémy |
Jak pomáhá ARROWS (office@arws.cz) |
|
Nesprávné nebo chybějící označování AI obsahu : firma publikuje texty, obrázky či videa generované AI bez zřejmého označení, přestože jde o obsah určený k informování veřejnosti. |
Nastavení interních směrnic a procesů pro používání generativní AI a označování výstupů : právníci ARROWS advokátní kanceláře připraví pravidla pro marketing, PR a interní komunikaci tak, aby odpovídala AI Actu i dalším předpisům a byla reálně proveditelná. |
|
Neoznačené deepfaky v kampani : agentura vytvoří deepfake video s podobou reálné osoby a klient jej použije v reklamě nebo politické komunikaci bez jasného upozornění. |
Právní a smluvní nastavení spolupráce s agenturami : ARROWS advokátní kancelář pomůže zakotvit odpovědnost za označování deepfake obsahu v mandátních smlouvách a zajistí, aby klient nebyl vystaven neúměrným sankcím za pochybení dodavatele. |
|
Chaotická transparentnost u chatbotů : různé kanály (web, aplikace, call centrum) informují uživatele o použití AI různým způsobem, nebo vůbec, což mate klienty i regulátory. |
Audit interaktivních AI systémů a návrh jednotné komunikační strategie : právníci ARROWS advokátní kanceláře provedou přehled existujících chatbotů a voicebotů a navrhnou jednotný způsob informování uživatelů v souladu s článkem 50 AI Actu. |
|
Konflikt s ochranou spotřebitele : AI generovaný obsah přikrášluje vlastnosti produktu či služby a může být vnímán jako klamavá reklama i přes označení AI. |
Kombinované právní posouzení podle AI Actu, spotřebitelského a soutěžního práva : ARROWS advokátní kancelář vyhodnotí marketingové koncepty z pohledu více právních režimů a navrhne bezpečnou formu kampaně. |
|
Nedostatečná evidence, jaký obsah je tvořen AI : firma neumí doložit, kde byla AI použita, což komplikuje reakci na incidenty či dotazy regulatorů. |
Zavedení evidence a governance AI obsahu : právníci ARROWS advokátní kanceláře pomohou vytvořit praktický registr AI nástrojů a typových použití tak, aby firma měla přehled a mohla rychle reagovat na požadavky dohledu. |
Klasifikace rizik: Hranice mezi „běžným softwarem“ a AI a proč na tom záleží
AI Act rozlišuje čtyři základní úrovně rizika: nepřijatelné (zakázané), vysoké, omezené a minimální či nulové. Zakázané praktiky jsme již popsali; u vysoce rizikových systémů platí detailní požadavky na návrh, data, testování, dokumentaci a dozor; u omezeně rizikových systémů se zaměřuje především na transparentnost vůči uživatelům; a systémy s minimálním nebo žádným rizikem nejsou AI Actem na zvláštní povinnosti cíleny.
Drtivá většina běžných firemních aplikací spadá do kategorií omezeného nebo minimálního rizika, ale i zde platí obecné právní předpisy – zejména GDPR, autorské právo a spotřebitelské právo.
Klíčové pro manažery je pochopit, že klasifikace systému má přímý dopad na rozsah povinností a potenciální sankce. Například chatbot na webu s omezeným rizikem bude vyžadovat relativně jednoduché kroky (informovat uživatele, že jde o AI, kontrolovat obsah a řešit stížnosti), zatímco systém pro automatizované přidělování úvěrů bude jako vysoce rizikový vyžadovat komplexní compliance režim.
Nesprávná klasifikace – například když firma považuje vysoce rizikový systém za „běžný software“ – může vést k tomu, že neplní povinnosti, aniž by si to uvědomovala, a vystavuje se riziku sankcí a sporů.
Jak rozlišit AI od běžného softwaru
AI Act se snaží odlišit „skutečnou AI“ od tradičního softwaru zejména podle míry autonomie a adaptivity – zda systém používá techniky strojového učení, optimalizuje své chování na základě dat a generuje výstupy, které mohou ovlivnit fyzické nebo virtuální prostředí. Jednoduše řečeno, pokud jde o statický program s pevně danou logikou typu „if-then-else“, nejde o AI systém ve smyslu nařízení.
Naopak modely a algoritmy, které se učí z dat, přizpůsobují se novým situacím a samostatně generují doporučení nebo rozhodnutí, do definice AI spadají. V praxi může být hranice nejasná, například u sofistikovaných expertních systémů nebo analytických nástrojů s prvky statistického modelování. Zde je vhodné konzultovat nejen technickou dokumentaci, ale i právní výklad, včetně pokynů Komise a budoucích harmonizovaných norem.
Pokud existuje rozumná pochybnost, vyplatí se spíše konzervativní přístup – tj. počítat s aplikací AI Actu – než riskovat, že dozorový orgán systém následně označí za AI a vyčte firmě nesplnění povinností. Právníci ARROWS advokátní kanceláře klientům pomáhají s technicko-právním posouzením konkrétních řešení a s jejich zařazením do správné kategorie rizika.
Jak může pomoci ARROWS advokátní kancelář
Regulace umělé inteligence a nové evropské pokyny představují pro firmy kombinaci právní, technické a organizační výzvy. Zvlášť náročné je, že AI Act se prolíná s řadou dalších předpisů – GDPR, NIS2, sektorová regulace, autorské právo, spotřebitelské právo, ochrana osobnostních práv či pravidla hospodářské soutěže. Laik nebo přetížený manažer často vidí jen část obrazu a může podcenit méně zjevná rizika, například odpovědnost za škodu způsobenou AI, důkazní situaci ve sporu nebo potenciální blokaci transakce či projektu ze strany regulatorů.
Právníci ARROWS advokátní kanceláře se dlouhodobě věnují digitálnímu právu, ochraně osobních údajů a regulaci technologií a AI. V praxi klientům pomáhají mimo jiné s komplexní AI gap analýzou, při níž identifikují používané AI systémy, určí role a rizikové kategorie, zhodnotí stávající procesy a dokumentaci a navrhnou konkrétní kroky k dosažení souladu.
Dále připravují a revidují smlouvy s dodavateli AI řešení i s klienty, tak aby správně alokovaly odpovědnost, zohledňovaly požadavky AI Actu, GDPR a dalších předpisů a chránily obchodní zájmy klienta. Součástí služeb je i nastavení interní governance – od přípravy směrnic pro používání AI, přes definici rolí a odpovědností, až po návrh procesu pro schvalování nových AI projektů a řešení incidentů.
ARROWS advokátní kancelář zajišťuje také odborná školení pro management, IT, HR i další týmy, aby AI gramotnost ve firmě nebyla jen „odškrtnutou“ povinností, ale skutečným nástrojem pro zodpovědné používání AI. V případě kontrol ze strany dozorových orgánů nebo v situacích, kdy hrozí sankce, pak právníci kanceláře klienty zastupují, vedou s orgány odborný dialog a připravují strategii obrany.
Důležitým prvkem je také pojištění odpovědnosti – ARROWS advokátní kancelář je pojištěna na profesní odpovědnost až do výše 400 000 000 Kč, což poskytuje klientům další úroveň jistoty při svěřování komplexních a rizikových projektů. V mezinárodních případech, kde AI systémy fungují přes hranice, může kancelář díky síti ARROWS International koordinovat právní podporu v různých jurisdikcích a zajistit, aby byl přístup k regulaci AI konzistentní napříč trhy.
Pokud zvažujete nasazení AI ve firmě, nebo už AI používáte a chcete mít jistotu, že plníte rostoucí požadavky AI Actu a souvisejících evropských pokynů, je vhodný čas začít se systematickou přípravou. Právníci ARROWS advokátní kanceláře vám mohou pomoci jak s úvodním zmapováním situace, tak s dlouhodobým nastavením compliance programu, aby vaše AI projekty byly technicky inovativní, právně bezpečné a obchodně udržitelné. V případě zájmu se můžete kdykoli obrátit na office@arws.cz.
Závěrečné shrnutí
Evropská regulace umělé inteligence už dnes zásadně mění způsob, jakým firmy AI vyvíjejí a používají. AI ve firmách pod dohledem EU není pouze slogan, ale právní realita, která se postupně promítá do každodenní praxe providerů i uživatelů AI. Od zákazu osmi nepřijatelných praktik a pravidel pro poskytovatele obecných AI modelů, přes nadcházející povinnosti v oblasti transparentnosti a označování AI obsahu – všechny tyto prvky vytvářejí rámec, v němž bude AI v evropském podnikání fungovat v následujících letech.
Pro podnikatele, management a investory to znamená nejen nové náklady a administrativu, ale také možnost odlišit se jako důvěryhodný partner, který AI používá zodpovědně a předvídatelně. Rizika plynoucí z podcenění AI Actu nejsou jen v podobě pokut – hrozí také zamítnutí přístupu na trh, pozastavení projektů, soudní spory o náhradu škody, ztráta vyjednávací pozice vůči partnerům nebo reputační újma v očích klientů a veřejnosti. Na druhé straně firmy, které se na regulaci připraví včas, mohou AI využívat s menší právní nejistotou a snadněji přesvědčit zákazníky, investory i regulátory o bezpečnosti svých řešení.
Realita regulace AI je zároveň komplikovanější, než se může na první pohled zdát. Vedle samotného AI Actu je nutné brát v úvahu navazující pokyny a kodexy Komise, národní adaptační zákony, harmonizované normy a souběžné režimy jako GDPR, NIS2 či sektorové předpisy. Mnoho kroků, které vypadají jednoduše – například nasazení chatbotu, využití generativní AI v marketingu nebo zavedení AI v HR – v sobě skrývá řadu právních a praktických detailů, které laik obvykle nevidí.
Proto se vyplatí neimprovizovat, ale pracovat s odborníky, kteří kombinují právní a byznysový pohled. Pokud nechcete riskovat chyby, škody, průtahy nebo pokuty a zároveň chcete AI ve vaší firmě využívat naplno a bezpečně, můžete tuto oblast bezpečně svěřit právníkům z ARROWS advokátní kanceláře. Pomohou vám nastavit procesy, smlouvy i interní pravidla tak, aby odpovídala aktuálnímu právnímu stavu a zároveň podporovala vaše obchodní cíle. Pro nezávaznou konzultaci se na nás můžete obrátit na office@arws.cz.
FAQ: Nejčastější otázky k AI ve firmách pod dohledem EU
1. Musíme se AI Actem zabývat, i když AI jen „lehce“ používáme v kancelářském softwaru?
Ano, AI Act se vztahuje na všechny subjekty, které AI systémy v rámci své profesionální činnosti používají, byť u většiny běžných nástrojů půjde o režim omezeného nebo minimálního rizika. V praxi to znamená, že budete muset řešit zejména AI gramotnost (od srpna 2026), transparentnost vůči uživatelům a základní interní pravidla pro používání AI. Pokud si nejste jisti, zda vaše nástroje do regulace spadají a v jakém rozsahu, mohou vám právníci ARROWS advokátní kanceláře provést rychlé posouzení a navrhnout přiměřené kroky – stačí se ozvat na office@arws.cz.
2. Jsme startup vyvíjející AI produkt – kdy se z nás stává „poskytovatel“ a co to přesně znamená?
Jakmile vyvíjíte AI systém nebo zásadně modifikujete existující model a uvádíte jej na trh pod svým jménem nebo značkou, vystupujete jako poskytovatel. To s sebou nese povinnost zajistit soulad systému s AI Actem, včetně posouzení shody u vysoce rizikových systémů, vedení technické dokumentace, evidence a případné registrace v EU databázi. Právníci ARROWS advokátní kanceláře vám pomohou nastavit compliance program tak, aby nebrzdil inovaci, ale zároveň vás chránil před zásadními riziky – kontaktujte nás na office@arws.cz.
3. Používáme velké jazykové modely poskytované globálním hráčem – dopadá na nás i režim pro GPAI?
Primární povinnosti podle pravidel pro GPAI dopadají na poskytovatele modelů, ale deployer by měl vědět, zda jeho dodavatel tyto povinnosti plní, například zda poskytuje shrnutí tréninkových dat, technickou dokumentaci a respektuje autorské právo. Pokud nad modelem stavíte vlastní řešení a uvádíte ho na trh, můžete se sami stát poskytovatelem a část povinností se na vás přenese. ARROWS advokátní kancelář vám může pomoci posoudit, kde přesně v řetězci stojíte, a nastavit smlouvy i interní procesy tak, aby bylo jasno, kdo za co odpovídá – ozvěte se na office@arws.cz.
Upozornění: Informace obsažené v tomto článku mají pouze obecný informativní charakter a slouží k základní orientaci v problematice dle právního stavu k roku 2026. Ačkoliv dbáme na maximální přesnost obsahu, právní předpisy a jejich výklad se v čase vyvíjejí. Jsme ARROWS advokátní kancelář, subjekt zapsaný u České advokátní komory (náš orgán dohledu), a pro maximální bezpečí klientů jsme pojištěni pro případ profesní odpovědnosti s limitem 400.000.000 Kč. Pro ověření aktuálního znění předpisů a jejich aplikace na vaši konkrétní situaci je nezbytné kontaktovat přímo ARROWS advokátní kancelář (office@arws.cz). Neneseme odpovědnost za případné škody vzniklé samostatným užitím informací z tohoto článku bez předchozí individuální právní konzultace.
Čtěte také
- IMPLEMENTACE UMĚLÉ INTELIGENCE (AI)
- Papírové obchodní nabídky ve firmách: Kdy může marketingová komunikace představovat právní riziko
- GDPR
- IT A SOFTWAROVÉ PRÁVO, KYBERBEZPEČNOST
- Smlouvy a vyjednávání
- Právníci z ARROWS pomohli propojit svět technologií a obchodu
- Zajištění legislativní shody pro online podílové investice
- Právní posouzení kvízových a soutěžních aplikací: Kdy je nutná licence na hazard?
- Jednotný evropský patent v praxi: Jak efektivně bránit své inovace na celém trhu EU proti plagiátorům