EU Artificial Intelligence Act (regulace umělé inteligence)

Autor Zveřejněno dne

Regulation (EU) 2024/1689 of the European Parliament

  • Nařízení (EU) 2024/1689, známé jako Artificial Intelligence Act
    • První komplexní rámec EU pro regulaci AI, založený na čtyřstupňovém hodnocení rizik a na přímé účinnosti v členských státech. Cílem je zajistit bezpečnou, nediskriminační a důvěryhodnou AI a současně podpořit inovace. (Digitální strategie EU)
    • Platnost
      • Zveřejněno v Úředním věstníku 12 července 2024.
      • Nabylo platnosti 1 srpna 2024 (20 dní po zveřejnění).
    • Postupná použitelnost ustanovení
      • Kapitoly I–II (definice, správa): od 2 února 2025
      • Kapitola III/4, V, VII, XII (+ čl. 78): od 2 srpna 2025
      • Většina povinností pro vysoce rizikové systémy: od 2 srpna 2026
      • Dodatečné povinnosti pro systémové GPAI: od 2 srpna 2027
    • Kde text najdete
      • Úřední věstník L 1689, 12 7 2024 (vícejazyčné znění, včetně češtiny).
  • nepřijatelné riziko – systémy, které ohrožují bezpečnost, práva či důstojnost lidí; zcela zakázané (např. státní sociální skórování, prediktivní policejní profilování, real-time biometrické sledování ve veřejném prostoru)
    • sociální skórování osob, prediktivní policejní profilování
    • masový scraping obličejů, real-time rozpoznávání tváří ve veřejném prostoru
    • emocionální rozpoznávání a biometrická kategorizace ve škole/práci
    • systémy manipulující chováním či zneužívající zranitelnosti uživatelů
  • vysoké riziko – AI v kritické infrastruktuře, zdravotnictví, vzdělávání, zaměstnání, prosazování práva aj.; povinné řízení rizik, technická dokumentace, registrace v databázi EU a trvalý lidský dohled
    • biometrická identifikace/kategorizace (mimo pouhé ověření totožnosti)
    • AI v kritické infrastruktuře, dopravě, energetice
    • vzdělávací přijímačky, proctoring, hodnocení studia
    • nábor, hodnocení výkonu, propouštění; úvěrové a pojistné skórování
    • prosazování práva (profilování, analýza důkazů, odhad recidivy)
    • vízové/azylové řízení, hraniční kontroly, podpora soudních rozhodnutí
  • omezené riziko – systémy, které interagují s uživatelem nebo generují obsah (chatboti, deepfakes) a nejsou vysokorizikové; nutnost jasně informovat uživatele a označovat syntetická média
    • chatboti, hlasoví asistenti (uživatel musí vědět, že mluví s AI)
    • generátory textu, obrázků a deepfake videí (povinné označení)
  • minimální riziko – běžné aplikace typu spam-filtr či doporučovací algoritmy; právní povinnosti nejsou, lze dodržovat dobrovolné kodexy
    • spam-filtry, doporučovače e-shopů/streamovacích služeb, AI v hráčských enginech; zmiňuje shrnutí Komise, v textu zákona pro ně nejsou zvláštní povinnosti

Výjimky

  • obrana a národní bezpečnost – systémy určené výlučně k vojenským či bezpečnostním úkolům členských států spadají z působnosti nařízení úplně ven
  • vědecký výzkum a vývoj – AI vyvíjená / užívaná pouze pro vědecké účely je vyňata, dokud není uvedena na trh ani nasazena v praxi
  • osobní, neprofesionální použití – když systém používá fyzická osoba jen pro vlastní potřebu, AI Act se neuplatní
  • free/open-source software – kód vydaný pod svobodnou licencí nepodléhá pravidlům, pokud nejde o zakázanou či vysokorizikovou funkci
  • real-time dálková biometrická identifikace na veřejnosti – obecně zakázaná, ale policejní orgán ji smí použít výjimečně:
    • pátrání po pohřešovaných či obětech únosů
    • odvrácení hrozícího teroristického útoku
    • identifikace pachatele zvlášť závažného trestného činu
      vždy po předchozím soudním nebo nezávislém povolení a s přísnými limity
  • regulační sandboxy a reálné testování – články 57–60 dovolují dočasně zjemnit povinnosti (např. dokumentaci) v kontrolovaném prostředí pod dohledem příslušného úřadu
  • úlevy pro SME a start-upy – čl. 62 poskytuje zjednodušené šablony posouzení shody a nižší poplatky, aby menší firmy zvládly pravidla ekonomicky

Pokuty

Kromě finančních sankcí mohou orgány nařídit stažení systému z trhu či jeho pozastavení.

  • Zakázané praktiky (čl. 5) – pokuta až 35 mil. EUR nebo 7 % celosvětového ročního obratu, podle toho, co je vyšší.
  • Porušení povinností (vysoké riziko, GPAI, transparentnost atd.) – až 15 mil. EUR nebo 3 % obratu.
  • Nepravdivé či neúplné údaje úřadům – až 7,5 mil. EUR nebo 1 % obratu.
  • SME/start-upy – vždy se uplatní nižší z obou stropů (absolutní částka × procento).

Co by měla obsahovat interní směrnice pro AI

  • rozsah a účel – kde a proč se AI smí používat
  • klasifikace rizik – podle AI Act (zakázané, vysoké, omezené, minimální)
  • zásady – etika, lidský dohled, transparentnost, ochrana osobních údajů, bezpečnost (railslibraries.org)
  • pravidla pro vstup dat – žádné citlivé ani smluvně chráněné údaje bez výslovného povolení. (railslibraries.org, AI Guardian)
  • role a odpovědnosti – AI/Privacy Officer, vývojáři, uživatelé, audit
  • procesy
    • předimplementační posouzení dopadů (risk & impact assessment)
    • evidence všech AI nástrojů v organizaci
    • schvalování nákupů/externích API
    • kontinuální monitoring výstupů a reportování incidentů
  • školení a osvěta – povinné kurzy AI gramotnosti, zejména pro uživatele vysokorizikových systémů
  • revize směrnice – minimálně 1× ročně nebo při změně legislativy

Praktický postup zavedení

  1. inventarizujte stávající AI a určete rizikovost
  2. doplňte chybějící kontrolní mechanismy (lidský dohled, logging)
  3. nastavte interní approval workflow pro nové AI projekty
  4. vypracujte školení, která pokryjí GDPR + AI Act
  5. sledujte termíny AI Act a plánujte compliance roadmapu dva roky dopředu

Tipy na zdroje šablon

  • bezplatné vzory interních AI politik (např. Originality.ai, NTEN, PSMJ) (originality.ai, PSMJNTEN)
  • finální text EU AI Act a implementační harmonogram