EU AI Act: co znamená pro firmu v roce 2026
Úvod: Proč tenhle článek nepíše právník
Většina českých firem má dnes v produkci AI systémy, které nikdo formálně neklasifikoval podle EU AI Actu. Není to selhání – je to normální stav jara 2026. AI Act je zatím spíš téma konferencí než denní praxe a většina majitelů firem o něm ví, že „něco přijde v srpnu“, ale nemá představu, co by s tím vlastně měli dělat.
Přiznám se rovnou: sám jsem ve stejné pozici. Postavil jsem AI systémy, který dnes běží v produkci. Má kompletní GDPR balík přes 12 dokumentů – smlouvy o zpracování, DPIA, záznamy podle článku 30, balancing testy pro legitimní zájem, plán reakce na incidenty, smlouvy se sub-processory. Co tento projekt zatím nemá, je formální klasifikace podle AI Actu. Soustředili jsme se v prvním kole na GDPR balík, protože ten byl v době nasazení bezpodmínečně nutný a jasně definovaný. Formální AI Act klasifikaci jsem záměrně odložil do doby, až bude jasnější metodika – a ta jasnější teprve začíná být, s pokyny Komise a rýsujícím se Digital Omnibus. Teď ji dopisuju, s předstihem před srpnem 2026.
Říkám to proto, že přesně ve stejné situaci je většina českých firem, jen o tom nemluví nahlas. A to je dobré východisko pro tento článek – místo akademického přehledu dám praktický pohled někoho, kdo tou cestou právě prochází.
Týká se to vaší firmy? Test za pět minut
První otázka, kterou si majitelé firem kladou, zní: „Používáme vůbec AI?“ A pokud si teď říkáte „ne“, pravděpodobně se mýlíte.
AI dnes není jen ChatGPT. Je v Microsoft 365 Copilotu, v antispamu, ve vašem CRM, v marketingových nástrojích, v nástrojích na nábor, v zákaznickém chatbotu na webu, ve webové analytice. AI Act se netýká jen firem, které „dělají AI“ – týká se všech, kteří AI používají. A to je, s odpuštěním, úplně každý.
Čísla to potvrzují: podle OECD v roce 2025 používalo AI přes 20 % firem v měřených zemích. O dva roky dřív to bylo pod 9 %. A to se počítají jen firmy, které o tom vědí – reálné číslo bude vyšší, protože AI funkce dnes běží tiše uvnitř nástrojů, které firma nepovažuje za „umělou inteligenci“.
Pro rychlou orientaci si projděte tento hrubý rozpis. Není to právní klasifikace, je to vodítko, abyste si dokázali přiřadit systémy ve vaší firmě do správné kategorie rizika.
Pravděpodobně minimální nebo omezené riziko
- Microsoft 365 Copilot a podobní asistenti na běžnou kancelářskou práci
- interní RAG chatbot nad firemní dokumentací nebo wiki
- zákaznický chatbot na webu, který informuje o produktech a službách
- AI funkce v marketingových a analytických nástrojích
- antispam a doporučovací algoritmy
Na co firmy zapomínají: váš dodavatel stojí na AI modelu — a vy za to spoluzodpovídáte
Většina AI nástrojů, které dnes firmy kupují, běží na velkých obecných modelech (v jazyce AI Actu „GPAI modely“) od Anthropicu, OpenAI nebo Googlu. Povinnosti pro poskytovatele těchto modelů platí od srpna 2025 a od srpna 2026 je začne Komise aktivně vymáhat. Vás jako firmu to zajímá ze dvou důvodů. Za prvé: pokud váš dodavatel nesplní své povinnosti, vy jako nasazovatel nemáte na čem stavět — chybí vám dokumentace, popis rizik a pravidla použití, které potřebujete pro vlastní compliance. Za druhé: v B2B poptávkách se už dnes objevují otázky typu „na jakém modelu vaše řešení stojí a jaké má certifikace?“. Praktický krok: při nákupu jakéhokoliv AI nástroje se zeptejte dodavatele, na jakém modelu jeho produkt běží, jestli má DPA a jaké certifikace (SOC 2, ISO 27001). Pokud vám neodpoví, je to signál.
Pravděpodobně vysoké riziko
- AI scoring uchazečů o práci nebo automatizované filtrování CV
- AI hodnocení úvěrových nebo pojistných žádostí
- biometrická identifikace v kamerovém systému (pozor: některé use-casy, zejména vzdálená biometrická identifikace v reálném čase ve veřejně přístupných prostorech, mohou spadat až mezi zakázané praktiky podle článku 5)
- AI jako součást bezpečnostních prvků strojů a zařízení
- AI v systémech, které ovlivňují přístup ke vzdělání
Zakázané praktiky
- sociální skórování zaměstnanců
- rozpoznávání emocí na pracovišti nebo ve škole
- biometrická kategorizace osob podle citlivých atributů
Tyto AI systémy jsou typickými zástupci omezeného rizika. Informuje volajícího o nemovitostech, zodpovídá dotazy, předává kontakt. Nerozhoduje o přijetí nájemníka, nefiltruje, nediskriminuje – jen komunikuje. Proto podle našeho předběžného posouzení nespadá mezi vysoce rizikové systémy, ale pod povinnosti transparentnosti podle článku 50 AI Actu – hlavní povinnost je informovat volajícího, že mluví s AI, a ne s člověkem. (Termín „omezené riziko” je běžná zkratka, ale formálně AI Act tuto kategorii jako takovou nepojmenovává – rozlišuje zakázané praktiky, vysoce rizikové systémy, povinnosti transparentnosti a zbytek.) Tuhle povinnost projekt plní od prvního dne – na začátku hovoru asistentka sama říká, že je virtuální, takže volající ví, s čím mluví. Tým kolem řešení jsem zároveň proškolil v AI gramotnosti podle článku 4 – lidé, kteří s ním pracují, vědí, co do něj smí jít, jak se chová a kde jsou jeho limity. Co zatím chybí, je formální dokumentace „na papíře“: klasifikace systému, zápis uvažování o riziku, popis mitigací, záznam o školení. Věcně je všechno v pořádku, chybí jen šanon. A ten teď dopisuju – s předstihem před srpnem 2026, kdy povinnosti transparentnosti začnou formálně platit.
Podobná logika platí i pro AI-generovaný obsah v marketingu. Pokud dnes používáte AI na psaní článků, příspěvků na sociální sítě nebo generování obrázků, od srpna 2026 přibude povinnost určité typy syntetického obsahu označovat. Komise v prosinci 2025 zveřejnila první návrh kodexu, který upřesňuje, co a jak značit. Pro většinu firem to nebude dramatická změna — ale je potřeba o ní vědět dřív, než vám ji vytknete auditor vašeho zákazníka. Téma, které bylo dosud čistě reputační („měli bychom říct, že to psala AI?“), se tím přesouvá do oblasti formální compliance.
Proč to vůbec řešit? Sankce v AI Actu nejsou symbolické. Za provozování zakázaných praktik hrozí pokuta až 35 milionů EUR nebo 7 % globálního ročního obratu (co je vyšší). Za porušení povinností u vysoce rizikových systémů až 15 milionů EUR nebo 3 %. Za nesprávné nebo zavádějící informace poskytnuté úřadům až 7,5 milionu EUR nebo 1 %. Pro SMB firmy (malé a střední podniky) platí snížené stropy, ale i ty se počítají v milionech korun. A to není hlavní riziko – hlavní riziko je ztráta zakázky, kterou nedostanete, protože nedokážete vyplnit compliance sekci v poptávce.
Co firmy obvykle mají vs. co AI Act vyžaduje
Nejdůležitější poznatek celého tohoto článku: AI Act nevyžaduje, aby firma „měla AI v pořádku“. Vyžaduje, aby firma uměla prokázat, že ji má v pořádku. To jsou dvě velmi odlišné věci. První je intuice, druhé je dokumentace.
Rozdíl vypadá prakticky takto:
| Co firmy obvykle mají | Co AI Act vyžaduje navíc |
|---|---|
| Víme, že používáme ChatGPT a Copilota | Inventář všech AI systémů s klasifikací rizika |
| Máme GDPR dokumenty | Technickou dokumentaci dle přílohy IV pro vysoce rizikové systémy* |
| Tušíme, že chatbot má označit, že je AI | Doložené splnění povinností transparentnosti dle čl. 50 (chatboti, deepfakes, AI-generovaný obsah) |
| IT umí nasadit nové nástroje | Dokumentovaný proces řízení rizik* |
| Někdo to asi dohlíží | Popis a evidenci lidského dohledu* |
| Nikdy se nic nestalo | Plán monitoringu po uvedení na trh a reporting incidentů* |
| Lidé to nějak používají | Doložené školení AI gramotnosti (platí už od února 2025) |
* Položky označené hvězdičkou (technická dokumentace dle čl. 11, řízení rizik dle čl. 9, lidský dohled dle čl. 14, post-market monitoring dle čl. 72) dopadají primárně na poskytovatele a nasazovatele vysoce rizikových systémů. Pokud vaše firma provozuje jen chatbota, Copilota a AI v CRM, reálně vás z této tabulky zajímá hlavně inventář, AI gramotnost a povinnost informovat uživatele, že mluví s AI (čl. 50). Zbytek je pro vás relevantní, až když některý systém spadne do vysokého rizika.
U toho projektu jsme dělali plný GDPR balík – DPA, DPIA, záznam podle článku 30, smlouvy se sub-processory, balancing testy pro legitimní zájem, plán reakce na incidenty a další. Dohromady přes 12 dokumentů. A nejtěžší na tom nebylo jejich napsání. Nejtěžší bylo zorientovat se, co všechno vlastně potřebujeme. A to je GDPR, které firmy znají osm let a na které existují tisíce šablon. AI Act je pro většinu firem úplně nové území – a ta orientační fáze zabere první polovinu celého compliance projektu.
Když někdo řekne „my AI Act řešíme”, zeptejte se ho na tři věci: Máte inventář AI systémů? Máte klasifikaci jejich rizika? Máte doložené školení personálu? Pokud je odpověď na všechny tři „ne”, tak jste AI Act zatím spíš zaregistrovali, než aby byl ve fázi řešení. A to je v pořádku — ale je to první, co se vyplatí změnit.
AI gramotnost: povinnost, kterou všichni přehlížejí
Tady je fakt, který většinu lidí překvapí: povinnost zajistit AI gramotnost personálu platí už od 2. února 2025. Není to něco, co přijde v srpnu 2026. Je to povinnost, která už víc než rok platí – a kterou nemá splněnou skoro žádná česká firma.
Co to konkrétně znamená? Článek 4 AI Actu ukládá firmám zajistit, aby personál, který s AI systémy pracuje nebo je jakkoliv ovlivňuje, měl „dostatečnou úroveň AI gramotnosti“. Zákon nestanovuje konkrétní formát ani rozsah školení – ale vyžaduje, aby firma uměla doložit, že se něco stalo.
Prakticky to znamená: pokud u vás někdo používá ChatGPT, Copilota, Gemini nebo jakýkoliv interní AI nástroj při práci, měl by projít školením. A vy byste o tom měli mít záznam.
Zrovna teď takové školení připravuju pro další firmu. Cílem je, aby zaměstnanci pochopili, co AI je, co do ní smí dát a co už ne, jak rozpoznat, že odpověď je nespolehlivá, jak pracovat s výstupy kriticky. Zároveň ale připravuju i verzi pro manažery a ředitele – protože musí přijít „aha moment“, aby pochopili, proč je to povinnost, a ne jen nice-to-have. Ten aha moment v hlavě vedení je důležitější než samotný obsah školení, protože bez něj se ve firmě nic nezmění.
Dobrá zpráva: tohle je nejrychlejší splnitelná část celého AI Actu. Nepotřebujete technickou dokumentaci, nepotřebujete DPIA, nepotřebujete právníka. Potřebujete dvouhodinové školení, dobře připravenou prezentaci a prezenční listinu. A přesto to skoro nikdo nemá. Což je paradoxně dobrá zpráva – je to první krok, který se dá udělat tento týden.
Tlak nepřijde od úřadů. Přijde od zákazníků
V Bruselu se od listopadu 2025 řeší konkrétní návrh odkladu. Evropská komise 19. listopadu 2025 předložila tzv. Digital Omnibus on AI – novelu AI Actu, která původně navrhovala odložit povinnosti pro vysoce rizikové systémy z Annexu III a navázat jejich účinnost na dostupnost harmonizovaných standardů (které zatím CEN a CENELEC nedodaly). Návrh zároveň navrhoval zmírnit povinnost AI gramotnosti podle článku 4 – přenést větší díl odpovědnosti na Komisi a členské státy. Komise navíc 2. února 2026 zmeškala vlastní deadline na vydání pokynů k článku 6 o klasifikaci high-risk systémů a přislíbila draft k dalšímu připomínkování do konce února – finální dokument stále není. To všechno vypadá jako důvod přestat spěchat. Není. Návrh od listopadu rychle postoupil: Rada přijala obecný přístup 13. března 2026, Parlament potvrdil svou pozici v plénu 26. března drtivou většinou (569 hlasů pro, 45 proti), trialogy běží od konce března s cílem politické dohody do 28. dubna. Oba co-zákonodárci se navíc shodují, že původní Komisí navržené vázání na standardy mají nahradit pevná data – vysoce rizikové systémy z Annexu III by platily od 2. prosince 2027, systémy z Annexu I od 2. srpna 2028. Dokud ale není finální text schválen, formálně platí původní termíny. Pozor také na detail, který jde proti dojmu, že „všechno se odkládá”: Parlament navrhl zkrátit přechodné období pro povinnosti označování podle článku 50(2) z původně navrhovaného února 2027 jen na 2. listopad 2026. Pro AI systémy tedy srpen 2026 jako klíčový termín zůstává a po něm přijde už jen krátký doběh. A v B2B praxi se mezitím začíná dít něco jiného: velcí zákazníci a zadavatelé začínají AI Act compliance požadovat jako podmínku v poptávkách a smlouvách. Neřeší, co formálně platí a kdy. Řeší, jestli si vás jako dodavatele dokážou obhájit před vlastním auditorem.
V posledních měsících jsem viděl několik poptávek, kde zadavatel po dodavateli AI řešení vyžaduje analýzu rizik podle EU AI Actu a návrh mitigačních opatření přímo ve smlouvě nebo jako součást dodávky. Nejsou to jen velké korporace – běžné české firmy pod deset milionů obratu. Tohle je trend, který poroste, ne klesne.
Doporučení je jednoduché a nezávisí na tom, co se stane v Bruselu: udělejte si klasifikaci a inventář AI systémů do konce druhého kvartálu 2026. Ne proto, že to nařizuje EU, ale proto, že během letošního roku to po vás bude chtít první velký zákazník a budete mít týden na to, abyste něco vyprodukovali. Raději mít šuplíkovou dokumentaci už teď, než panikařit, když přijde poptávka, kterou nechcete ztratit.
A sankce z AI Actu nejsou jediné riziko. Nová směrnice EU o odpovědnosti za vadné výrobky (2024/2853) poprvé zahrnuje AI mezi výrobky – pokud váš AI systém způsobí zákazníkovi škodu, může se domáhat náhrady. A směrnice mu to usnadňuje: pokud je prokázání vady obtížné kvůli technické složitosti produktu, předpokládá se, že výrobek byl vadný. V praxi to znamená, že vy jako firma musíte dokazovat, že váš systém v pořádku byl. AI Act říká „dodržuj pravidla“, směrnice o odpovědnosti říká „a když je nedodržíš a něco se stane, zaplatíš“. Pro firmu, která dnes nasazuje AI bez dokumentace a bez klasifikace rizik, to není teoretická hrozba – je to konkrétní právní expozice.
Tři věci, které můžete udělat příští týden
Aby tento článek nezůstal jen u „to je složité“, tady jsou tři konkrétní kroky, které dohromady zaberou 2–3 dny práce a dají asi 60 % hodnoty celé přípravy na AI Act.
1. Inventarizace AI systémů (2–4 hodiny)
Posaďte se s IT, s HR a s marketingem a sepište do jedné tabulky všechny AI systémy a funkce, které ve firmě znáte. Sloupce tabulky: název systému, kdo ho používá, jaká data do něj vstupují, kdo je dodavatel, k čemu slouží. Nepřehánějte to s detailem – hlavní věc je mít první verzi seznamu. Bez něj nemůžete udělat žádný další krok.
Téměř určitě zjistíte, že systémů je víc, než jste čekali. Copilot v Office, AI funkce v CRM, chatbot na webu, AI ve vašem marketing automation nástroji, AI v účetním softwaru, AI v HR systému. Z vlastní praxe vidím, že typická česká firma se středním počtem zaměstnanců má obvykle podstatně víc AI funkcí v provozu, než o kolika vedení ví – a rozdíl bývá několikanásobný.
2. První klasifikační průchod (1 den)
Pro každý systém z inventáře si odpovězte na otázku: spadá do minimálního, omezeného, vysokého, nebo zakázaného rizika? Nebuďte dokonalí – buďte první. Odpověď „nejsem si jistý, nechám si poradit“ je platný výsledek. Cílem tohoto kroku je najít systémy, které jednoznačně spadají do vysokého rizika, a ty si označit červeně. U těch budete muset pokračovat s detailnější dokumentací.
Zbývající systémy (omezené a minimální riziko) zvládnete vyřešit jednoduchými opatřeními: informovat uživatele, že komunikuje s AI, zajistit transparentnost, případně doplnit interní pravidla používání.
3. Školení AI gramotnosti (2 hodiny školení + 1 den přípravy)
Udělejte interní workshop pro všechny, kdo AI používají. Vysvětlete, co je AI Act, jaké jsou kategorie rizika, co smí a nesmí jít do vstupu AI systému (pozor zejména na osobní údaje, obchodní tajemství, zdravotnická data), jak poznat, kdy je odpověď AI nespolehlivá, kdy ji ověřit u člověka. Udělejte prezenční listinu, nechte podepsat. Uložte si ji.
Tímto jedním krokem splníte článek 4 AI Actu a máte hotovou jednu z nejjednodušších povinností. A zároveň tím ve firmě zvednete obecné povědomí, což se projeví ve všech dalších krocích.
Závěrem
AI Act není o technologii. Je o viditelnosti. Firmy, které přežijí rok 2026 bez ztráty pověsti a bez ztráty zákazníků, nebudou ty nejtechnicky pokročilejší – budou to ty, které si včas udělaly inventář, základní klasifikaci a proškolily lidi. Žádná raketová věda. Jen práce, kterou je potřeba udělat.
Sám procházím stejnou cestou. Projekt, na kterém pracuju, má produkční AI systém, má kompletní GDPR balík, v těchto týdnech k němu doplňuji formální AI Act klasifikaci a analýzu rizik. Nic z toho není složité, jen to chce čas a soustředění.
Tento článek není právní stanovisko a nenahrazuje analýzu konkrétního systému ani konzultaci s právníkem. Klasifikace každého AI systému závisí na konkrétním kontextu jeho použití a může se lišit od příkladů uvedených v textu.