EU AI Act: co říká a jak se aktuálně vyvíjí

Autor Zveřejněno dne

Regulation (EU) 2024/1689 of the European Parliament

  • Nařízení (EU) 2024/1689, známé jako Artificial Intelligence Act
    • První komplexní rámec EU pro regulaci AI, založený na čtyřstupňovém hodnocení rizik a na přímé účinnosti v členských státech. Cílem je zajistit bezpečnou, nediskriminační a důvěryhodnou AI a současně podpořit inovace. (Digitální strategie EU)
    • Platnost
      • Zveřejněno v Úředním věstníku 12 července 2024.
      • Nabylo platnosti 1 srpna 2024 (20 dní po zveřejnění).
  • Kde text najdete
    • Úřední věstník L 1689, 12 7 2024 (vícejazyčné znění, včetně češtiny).

Aktuální stav povinností (duben 2026)

AI Act se nezavádí najednou, ale v několika vlnách podle článku 113. Tady je přehled, co už reálně platí a co teprve přijde.

DatumCo začalo / začne platitStav
2. 2. 2025Kapitoly I a II — obecná ustanovení, definice, zakázané praktiky, povinnost AI gramotnosti personáluPlatí
2. 8. 2025Kapitola III sekce 4, kapitoly V, VII, XII a čl. 78 — governance, povinnosti pro poskytovatele general-purpose AI modelů (GPAI), většina ustanovení o pokutáchPlatí
2. 8. 2026Většina zbylých ustanovení — povinnosti pro vysoce rizikové systémy z přílohy III (zaměstnávání, vzdělávání, úvěrování, biometrika, kritická infrastruktura atd.), transparentní povinnosti podle čl. 50Formálně platí, ve hře je odklad (viz Digital Omnibus)
2. 8. 2027Článek 6(1) a navazující povinnosti — high-risk AI jako bezpečnostní komponenty v produktech regulovaných jinými předpisy EU (příloha I: zdravotnické prostředky, hračky, stroje, doprava, letectví…)Formálně platí, Omnibus navrhuje další odklad
  • nepřijatelné riziko – systémy, které ohrožují bezpečnost, práva či důstojnost lidí; zcela zakázané (např. státní sociální skórování, prediktivní policejní profilování, real-time biometrické sledování ve veřejném prostoru)
    • sociální skórování osob, prediktivní policejní profilování
    • masový scraping obličejů, real-time rozpoznávání tváří ve veřejném prostoru
    • emocionální rozpoznávání a biometrická kategorizace ve škole/práci
    • systémy manipulující chováním či zneužívající zranitelnosti uživatelů
  • vysoké riziko – AI v kritické infrastruktuře, zdravotnictví, vzdělávání, zaměstnání, prosazování práva aj.; povinné řízení rizik, technická dokumentace, registrace v databázi EU a trvalý lidský dohled
    • biometrická identifikace/kategorizace (mimo pouhé ověření totožnosti)
    • AI v kritické infrastruktuře, dopravě, energetice
    • vzdělávací přijímačky, proctoring, hodnocení studia
    • nábor, hodnocení výkonu, propouštění; úvěrové a pojistné skórování
    • prosazování práva (profilování, analýza důkazů, odhad recidivy)
    • vízové/azylové řízení, hraniční kontroly, podpora soudních rozhodnutí
  • omezené riziko – systémy, které interagují s uživatelem nebo generují obsah (chatboti, deepfakes) a nejsou vysokorizikové; nutnost jasně informovat uživatele a označovat syntetická média
    • chatboti, hlasoví asistenti (uživatel musí vědět, že mluví s AI)
    • generátory textu, obrázků a deepfake videí (povinné označení)
  • minimální riziko – běžné aplikace typu spam-filtr či doporučovací algoritmy; právní povinnosti nejsou, lze dodržovat dobrovolné kodexy
    • spam-filtry, doporučovače e-shopů/streamovacích služeb, AI v hráčských enginech; zmiňuje shrnutí Komise, v textu zákona pro ně nejsou zvláštní povinnosti

Kdo jste v očích AI Actu? AI Act nerozlišuje jen úroveň rizika, ale i roli firmy v řetězci. Poskytovatel (provider) je ten, kdo AI systém vyvíjí nebo nechá vyvinout a uvede ho na trh. Nasazovatel (deployer) je ten, kdo ho používá v praxi – a to je většina českých firem. Povinnosti nasazovatele jsou lehčí než povinnosti poskytovatele, ale ne nulové: musíte systém používat podle návodu, zajistit lidský dohled, uchovávat logy a u vysoce rizikových systémů provést posouzení dopadu. Prakticky to znamená: i když si AI koupíte jako hotový produkt, odpovědnost za to, jak ho nasadíte, je vaše.

Výjimky

  • obrana a národní bezpečnost – systémy určené výlučně k vojenským či bezpečnostním úkolům členských států spadají z působnosti nařízení úplně ven
  • vědecký výzkum a vývoj – AI vyvíjená / užívaná pouze pro vědecké účely je vyňata, dokud není uvedena na trh ani nasazena v praxi
  • osobní, neprofesionální použití – když systém používá fyzická osoba jen pro vlastní potřebu, AI Act se neuplatní
  • free/open-source software – kód vydaný pod svobodnou licencí nepodléhá pravidlům, pokud nejde o zakázanou či vysokorizikovou funkci
  • real-time dálková biometrická identifikace na veřejnosti – obecně zakázaná, ale policejní orgán ji smí použít výjimečně:
    • pátrání po pohřešovaných či obětech únosů
    • odvrácení hrozícího teroristického útoku
    • identifikace pachatele zvlášť závažného trestného činu
      vždy po předchozím soudním nebo nezávislém povolení a s přísnými limity
  • regulační sandboxy a reálné testování – články 57–60 dovolují dočasně zjemnit povinnosti (např. dokumentaci) v kontrolovaném prostředí pod dohledem příslušného úřadu
  • úlevy pro SME a start-upy – čl. 62 poskytuje zjednodušené šablony posouzení shody a nižší poplatky, aby menší firmy zvládly pravidla ekonomicky

Pokuty

Kromě finančních sankcí mohou orgány nařídit stažení systému z trhu či jeho pozastavení.

  • Zakázané praktiky (čl. 5) – pokuta až 35 mil. EUR nebo 7 % celosvětového ročního obratu, podle toho, co je vyšší.
  • Porušení povinností (vysoké riziko, GPAI, transparentnost atd.) – až 15 mil. EUR nebo 3 % obratu.
  • Nepravdivé či neúplné údaje úřadům – až 7,5 mil. EUR nebo 1 % obratu.
  • SME/start-upy – vždy se uplatní nižší z obou stropů (absolutní částka × procento).

AI Act není sám — doplňuje ho směrnice o odpovědnosti za vadné výrobky

AI Act řeší pravidla před nasazením systému: klasifikuj, zdokumentuj, zajisti dohled. Ale co se stane, když AI systém přesto způsobí škodu? Na to odpovídá nová Směrnice o odpovědnosti za vadné výrobky (2024/2853), která poprvé výslovně zahrnuje software a AI mezi „výrobky“. Pokud AI systém způsobí újmu – třeba chybným rozhodnutím v úvěrovém scoringu nebo špatnou diagnózou – poškozený se může domáhat náhrady po poskytovateli. Směrnice navíc usnadňuje pozici poškozeného: pokud je prokázání vady nebo příčinné souvislosti nadměrně obtížné kvůli technické složitosti produktu, předpokládá se, že výrobek byl vadný a že škoda vznikla v důsledku této vady. Nejde o plný přenos důkazního břemene, ale o domněnku, která v praxi znamená, že výrobce musí aktivně dokazovat, že jeho produkt vadný nebyl. Pro firmy to znamená: AI Act je prevence, směrnice o odpovědnosti je pojistka pro případ, kdy prevence selže. Obojí dohromady vytváří tlak na to, aby AI systémy nebyly jen technicky funkční, ale prokazatelně bezpečné.

Digital Omnibus on AI — klíčový vývoj od listopadu 2025

Dne 19. listopadu 2025 Evropská komise zveřejnila Digital Omnibus, balík legislativních zjednodušení, který zasahuje AI Act, GDPR, Data Act a další digitální předpisy. Pro AI Act je nejvýznamnější návrh odkladu povinností pro vysoce rizikové systémy a několik procesních úprav.

Navržený odklad high-risk povinností

Mechanismus je tzv. „stop-the-clock“ — aplikace pravidel je vázána na rozhodnutí Komise o tom, že jsou k dispozici harmonizované standardy a pokyny. Důvod je praktický: standardy od CEN-CENELEC JTC 21 podle všeho nebudou hotové dřív než koncem roku 2026.

KategoriePůvodní termínNavrhovaný termínBackstop (krajní termín)
High-risk systémy z přílohy III2. 8. 20266 měsíců po rozhodnutí Komise2. 12. 2027
High-risk systémy z přílohy I (v regulovaných produktech)2. 8. 202712 měsíců po rozhodnutí Komise2. 8. 2028
Značení obsahu generativní AI (čl. 50(2)) pro systémy uvedené před 8/20262. 8. 20262. 2. 2027

Kde se nachází legislativní proces (duben 2026)

  • 13. března 2026 — Rada EU schválila obecný přístup. Podpořila pevné termíny 2. 12. 2027 (příloha III) a 2. 8. 2028 (příloha I) místo podmíněného mechanismu Komise.
  • 18. března 2026 — Výbory IMCO a LIBE Evropského parlamentu přijaly společnou zprávu. Sladily se s Radou v pevných termínech a navrhly navíc cílený zákaz AI systémů generujících sexuální obsah bez souhlasu.
  • Duben 2026 — Probíhají trialogy mezi Komisí, Parlamentem a Radou. Politická dohoda se očekává do června 2026, aby odklad mohl nabýt účinnosti před původním termínem 2. 8. 2026.

A co Česko? Gestorem AI Actu v Česku je Ministerstvo průmyslu a obchodu, na které vláda přenesla gesci v květnu 2025. MPO od té doby připravuje implementační zákon o umělé inteligenci – návrh o 26 paragrafech prošel v září 2025 připomínkovým řízením a pokračuje legislativním procesem. Zákon bude minimalistický – AI Act je nařízení s přímou účinností, takže národní úprava řeší hlavně to, kdo bude dozorový orgán a jak budou probíhat kontroly. Problém je, že národní struktura se teprve staví, zatímco evropské termíny běží. Firma, která čeká, až jí český úřad řekne co dělat, přijde pozdě – protože ten úřad zatím sám neví, jak bude vypadat.

Důležité upozornění: Digital Omnibus ještě není schválen. Dokud nebude formálně přijat a publikován v Úředním věstníku, zůstává právně závazným datem pro většinu high-risk povinností 2. srpen 2026. Kdo spoléhá na odklad a přípravu odloží, nemá se z čeho vyhrabat, pokud trialogy uvíznou.

Další důležité změny v Digital Omnibus

  • Nová kategorie Small Mid-Caps (SMC) — firmy do 750 zaměstnanců a 150 mil. € ročního obratu. Dostanou zjednodušenou technickou dokumentaci, lehčí QMS a adaptované výpočty pokut — tedy úlevy dosud dostupné jen SME.
  • Posílení role AI Office — stává se výlučně příslušným pro AI systémy postavené na general-purpose modelech a pro AI integrovanou do velmi velkých online platforem a vyhledávačů (VLOP/VLOSE podle DSA).
  • Zrušení povinné registrace pro AI systémy, které provider sám neklasifikuje jako vysoce rizikové — přechází se na sebehodnocení.
  • AI gramotnost — navrhuje se přenést povinnost z firem na Komisi a členské státy.
  • Zachování čl. 111 — legacy high-risk systémy uvedené na trh před aplikací pravidel nemusí být retrofitovány, pokud nedošlo k významné změně designu.

Co by měla obsahovat interní směrnice pro AI

  • rozsah a účel – kde a proč se AI smí používat
  • klasifikace rizik – podle AI Act (zakázané, vysoké, omezené, minimální)
  • zásady – etika, lidský dohled, transparentnost, ochrana osobních údajů, bezpečnost (railslibraries.org)
  • pravidla pro vstup dat – žádné citlivé ani smluvně chráněné údaje bez výslovného povolení. (railslibraries.org, AI Guardian)
  • role a odpovědnosti – AI/Privacy Officer, vývojáři, uživatelé, audit
  • procesy
    • předimplementační posouzení dopadů (risk & impact assessment)
    • evidence všech AI nástrojů v organizaci
    • schvalování nákupů/externích API
    • kontinuální monitoring výstupů a reportování incidentů
  • školení a osvěta – povinné kurzy AI gramotnosti, zejména pro uživatele vysokorizikových systémů
  • revize směrnice – minimálně 1× ročně nebo při změně legislativy

Praktický postup zavedení

  1. inventarizujte stávající AI a určete rizikovost
  2. doplňte chybějící kontrolní mechanismy (lidský dohled, logging)
  3. nastavte interní approval workflow pro nové AI projekty
  4. vypracujte školení, která pokryjí GDPR + AI Act
  5. sledujte termíny AI Act a plánujte compliance roadmapu dva roky dopředu

Doporučená strategie: asymetrie rizika

Konsenzus právních analytiků je jednoznačný:

Připravujte se proti původnímu datu 2. srpna 2026, ale plánujte, jako by reálný enforcement přišel v prosinci 2027.

Pokud se připravíte a odklad projde, přijdete jen o to, že jste byli včas. Pokud čekáte a Omnibus v trialogu uvízne nebo bude výrazně upraven, nemáte se z čeho vyhrabat. Klasifikace systémů, inventarizace, interní směrnice a AI gramotnost personálu jsou navíc kroky, které na výsledku Omnibusu nezávisejí vůbec — měly by se dělat tak jako tak.

Tipy na zdroje šablon

  • bezplatné vzory interních AI politik (např. originality.ai, PSMJNTEN)
  • finální text EU AI Act a implementační harmonogram

Zdroje