EU AI Act: Co začne platit 2. srpna 2026 a jak se připravit

· 22 min čtení · Kategorie: novinky
EU AI Act: Co začne platit 2. srpna 2026 a jak se připravit

Za 104 dní přestane být provoz stovek tisíc AI systémů v Evropě legální bez splněných požadavků EU AI Act. 2. srpna 2026 vstoupí v plnou účinnost jádro nařízení — povinnosti pro vysoce rizikové systémy, enforcement obecných AI modelů, sankce až 35 milionů eur nebo 7 % globálního obratu. Notifikovaných orgánů, které mají vydat certifikát shody, je k dubnu 2026 v celé EU devět. Pro stovky tisíc systémů. Za sto čtyři dnů. Tento článek nedává další přehled rizikové pyramidy — dává den-po-dni plán od dneška do 2. srpna, Kč kalkulace pokut pro tři velikosti českých firem, rozhodovací strom „jsem vysoké riziko?", vendor questionnaire pro OpenAI, Anthropic a Google, a emergency protokol pro firmy, které nestíhají.

TL;DR — Co si z článku odnést

  • 2. 8. 2026 začnou tvrdě platit povinnosti pro vysoce rizikové AI systémy (Annex III) — HR screening, credit scoring, biometrika, kritická infrastruktura, vzdělávání. Bez certifikátu shody, CE značky a zápisu v EU databázi hrozí pokuta až 15 milionů eur nebo 3 % obratu; za zakázané praktiky až 35 milionů eur nebo 7 %.
  • Český dozor má vést ČTÚ jako single contact point, v biometrice a osobních údajích ÚOOÚ, ve financích ČNB. Rozpočet 232 milionů Kč na roky 2026–2028. Regulační sandbox se teprve rodí — firmy, které se přihlásí, získají 2 roky na testování bez sankcí za procedurální selhání.
  • Realistický plán na 104 dní. Článek dává 15týdenní kalendář, matici 5 rolí × 4 fáze (CEO, právník, CTO, produkt, dev), vendor questionnaire, 8sloupcovou inventory šablonu a emergency protokol. Souvisí s kompletním průvodcem regulací AI v Česku a GDPR průnikem.
104 dní Zbývá do plné účinnosti 2. 8. 2026 (k 20. 4. 2026)
35 mil. € Maximální pokuta za zakázané praktiky (nebo 7 % globálního obratu)
9 Notifikovaných orgánů v celé EU pro vysoce rizikové AI (stav 04/2026)
35,7 % Firem v EU se cítí adekvátně připraveno (Deloitte, 2025)

1. Co konkrétně začne platit 2. srpna 2026

EU AI Act (Nařízení Evropského parlamentu a Rady 2024/1689) vstoupil v platnost už 1. srpna 2024. Povinnosti ale nabíhají postupně. Datum 2. srpna 2026 je přitom nejtvrdší milník — ten den se z papírového nařízení stává vynutitelná realita pro firmy, které vyvíjejí nebo nasazují vysoce rizikové AI systémy.

Nejdůležitější odpověď v 50 slovech: 2. srpna 2026 vstoupí v účinnost povinnosti pro vysoce rizikové systémy podle Přílohy III — risk management, datová governance, technická dokumentace, logy, lidský dozor, přesnost a kybernetická bezpečnost. Současně začne Evropská komise vynucovat povinnosti obecných AI modelů a spustí se národní dozor nad celým rozsahem nařízení.

Pět balíků povinností, které spustí deadline

Pod jedním datem se skrývá několik samostatných režimů. Laik je snadno splete do jedné povinnosti — v praxi jde o pět různých skupin firem, z nichž každá má jinou práci před sebou.

První balík — vysoce rizikové systémy (Annex III). Firmy, které vyvíjejí nebo prodávají AI pro nábor, credit scoring, biometrickou identifikaci, vzdělávací hodnocení, vymáhání práva, migraci, justici nebo kritickou infrastrukturu, musí mít hotový certifikát shody, CE značku, technickou dokumentaci a zápis v EU databázi vysoce rizikových AI systémů. Bez toho systém nesmí být na trhu.

Druhý balík — nasazovatelé (deployers) vysoce rizikových systémů. Firma, která takový systém jen používá (a není sama vývojářem), nemá o mnoho lehčí život. Musí vést logy minimálně 6 měsíců, zajistit lidský dozor, informovat dotčené osoby a v řadě případů provést posouzení dopadů na základní práva (FRIA) podle článku 27.

Třetí balík — poskytovatelé obecných AI modelů (GPAI). Povinnosti pro OpenAI, Anthropic, Google, Mistral a další už formálně platí od srpna 2025. Teprve od 2. srpna 2026 je ale smí Evropská komise vynucovat — žádat technickou dokumentaci, přístup k modelu, nebo ukládat pokuty. Code of Practice, který firmám dává „bezpečný přístav" při prokazování souladu, je finální od července 2025.

Čtvrtý balík — transparentnost podle článku 50. Chatboti musí uživatele informovat, že komunikuje se strojem. Deepfake a syntetický obsah musí být strojově čitelně značený. Systémy na rozpoznávání emocí a biometrickou kategorizaci musí dotčenou osobu proaktivně informovat. Pokuta za porušení: až 15 milionů eur nebo 3 % globálního obratu.

Pátý balík — národní dozor. Každý členský stát má k 2. srpnu 2026 mít funkční dozorový orgán, notifikovaná místa, kontaktní místo a alespoň jeden regulační sandbox. Česko má určené tři primární orgány — ČTÚ jako hlavní, ÚOOÚ pro osobní údaje a biometriku, ČNB pro finanční sektor.

Co naopak NEBUDE platit hned 2. srpna 2026

Nařízení má ještě jeden odložený režim. Povinnosti pro AI systémy vestavěné do produktů regulovaných podle Přílohy I — zdravotnické prostředky, hračky, strojní zařízení, výtahy, lanovky, osobní ochranné prostředky, plavidla, civilní letectví — vstoupí v účinnost až 2. srpna 2027. Výrobce zdravotnické softwarové AI má tedy ještě rok navíc. Ne rok klidu — rok na synchronizaci AI Actu s Medical Device Regulation.

Časová osa EU AI Act — kdy co platí
8/2024 Vstup v platnost 2/2025 Zakázané praktiky + AI gramotnost 8/2025 GPAI povinnosti + governance + sankce 2. 8. 2026 PLNÁ ÚČINNOST Annex III high-risk + enforcement GPAI + národní dozor 8/2027 Annex I embedded zdravotnictví, hračky, stroje Dnes je 20. 4. 2026. Do fialového milníku zbývá 104 dní.

Odložený termín pro Annex I má praktický důvod — výrobci v těchto sektorech už léta pracují v režimu CE značek, notifikovaných orgánů a harmonizovaných norem. Integrace AI Actu do existujících procedur vyžaduje víc než jen rok příprav. Není to úleva, je to uznání složitosti.

2. Jste vysoké riziko? Rozhodovací strom za 60 sekund

Největší slepá skvrna českých firem se točí kolem jedné otázky: jsme, nebo nejsme high-risk? Odpověď určuje, zda čeká firmu rutinní compliance za pár desítek tisíc korun, nebo certifikační maraton s rozpočtem v milionech. Správné zařazení navíc není volba marketingová — pokud firma systém v Annex III kategorii prohlásí za nerizikový neoprávněně, může ji to stát 15 milionů eur.

Stručně: Vysoce rizikový AI systém podle Přílohy III je takový, který působí v jedné z osmi citlivých oblastí (biometrika, kritická infrastruktura, vzdělávání, zaměstnání, základní služby, vymáhání práva, migrace, justice) a zároveň ovlivňuje rozhodování o konkrétní osobě. Výjimka článku 6(3) platí jen pro úzké procedurální úkoly a zlepšování výsledku lidské činnosti — a musí být zdokumentována.

Sedm otázek rozhodovacího stromu

Následujících sedm otázek odpovídejte postupně. První ano, kterou narazíte v kladu, klasifikuje systém. Pokud se dostanete až na konec bez jediného ano, jste mimo režim vysoce rizikových systémů — pravděpodobně ale stále spadáte pod povinnosti transparentnosti podle článku 50.

Rozhodovací strom: Je můj AI systém vysoké riziko?
1. Spadá do oblasti Annex III? ANO 2. Bezpečnostní komponenta (Annex I)? NE 3. Rozhoduje o konkrétní osobě? ANO 4. Jen úzká procedurální úloha? NE 5. Jen zlepšuje výsledek lidské činnosti? NE 6. Provádí jen přípravný úkol? NE Výsledek: VYSOCE RIZIKOVÝ — čl. 6(2) + Příloha III NE → mimo režim (jen transparentnost čl. 50) NE Výjimka 6(3) platí (nutná dokumentace) ANO

Výjimka článku 6(3) nezní triviálně. Poskytovatel musí formálně zdokumentovat, proč systém do režimu high-risk nespadá, a dokumentaci uchovat pro případnou kontrolu. Národní dozor může takový výrok přezkoumat a při nesouladu systém do high-risk zařadit zpětně — s pokutami, které se počítají od uvedení na trh.

Osm oblastí Annex III — rychlý přehled

Příloha III obsahuje osm tematických skupin. Firma nepotřebuje znát nařízení slovo od slova, ale musí vědět, kam její systémy patří:

Pět typických českých případů — kam patří

Teorie ale nerozhoduje. Rozhoduje konkrétní systém v konkrétní firmě. Pět českých scénářů, které vidíme u klientů nejčastěji:

ScénářVerdiktProč
HR tool, který filtruje životopisy a navrhuje kandidáty Vysoké riziko Annex III bod 4(a) — screening a evaluace kandidátů ovlivňuje rozhodnutí o osobě.
Zákaznický chatbot, který odpovídá na FAQ a předává člověku Jen čl. 50 Není v Annex III, nutná je jen transparentnost — uživatel musí vědět, že komunikuje s AI.
Biometrická brána pro zaměstnance do kanceláře (obličej) Vysoké riziko Annex III bod 1(a) — biometrická identifikace v reálném čase v prostorách s veřejným přístupem.
Credit scoring pro půjčky do 50 tisíc Kč na e-shopu Vysoké riziko Annex III bod 5(b) — hodnocení bonity fyzických osob bez ohledu na výši úvěru.
AI asistent pro interní porady — zápisy a akční body Mimo režim Není v Annex III, nejedná se o rozhodnutí o osobě. Více o AI pro zápisy.

Pozor na zakázané praktiky — čl. 5

Paralelně s režimem vysoce rizikových systémů existuje úplný zákaz některých AI praktik (čl. 5). Ten platí už od února 2025. Pokud firma provozuje AI pro sociální scoring, manipulativní subliminální vlivy, rozpoznávání emocí zaměstnanců na pracovišti nebo studentů ve škole, prediktivní policejní práci založenou výhradně na profilování, nebo necílené shromažďování obličejů, nehrozí pokuta za špatnou dokumentaci — hrozí pokuta 35 milionů eur za nelegální činnost.

3. Kolik vás to bude stát — Kč kalkulace

Evropské číslo 35 milionů eur je pro českou firmu abstraktní. Přepočet i na menší sankční kategorie dává reálnější obraz rizika. Pokuty AI Actu jsou v hrubém typu postavené jako u GDPR — dvě čísla, vyšší z nich, přičemž procento obratu se počítá z celosvětového (nikoliv jen evropského) obratu skupiny.

Stručně: Kalkulace pokut využívá mechanismus „vyšší z dvou čísel". Pro zakázané praktiky je to 35 milionů eur nebo 7 % celosvětového obratu, pro porušení povinností vysoce rizikových systémů 15 milionů eur nebo 3 %, pro nesprávné informace regulátorovi 7,5 milionu eur nebo 1 %. SME mají nárok na proporcionální sníženou sazbu, ale horní strop zůstává.

Tři velikosti českých firem — tři rozdílná rizika

Následující tabulka používá realistické obraty tří typů českých firem a počítá maximální sankci ve všech třech kategoriích AI Actu. Hodnoty v korunách používají kurz ~25 Kč/€ platný v dubnu 2026.

Velikost firmy Globální obrat Zakázané praktiky (7 %) Non-compliance (3 %) Nesprávné info (1 %)
Malá CZ firma (e-shop, SaaS startup) 50 mil. Kč 3,5 mil. Kč 1,5 mil. Kč 500 tis. Kč
Střední firma (B2B software, retail chain) 500 mil. Kč 35 mil. Kč 15 mil. Kč 5 mil. Kč
Velká firma (banka, telco, pojišťovna) 5 mld. Kč 875 mil. Kč
(cap €35M = ~880 mil. Kč)		 375 mil. Kč
(cap €15M = ~375 mil. Kč)		 125 mil. Kč
(cap €7,5M = ~187 mil. Kč)

U malé firmy typicky strop v absolutních eurech neplatí — pokuta roste s obratem. U velkých firem naopak absolutní strop (35/15/7,5 milionu eur) často zůstává pod 7/3/1 procentem obratu, takže cap chrání ty největší, nikoliv nejmenší. To je obrácená logika než u GDPR a má to význam zejména pro české skupiny s globální matkou.

Kolik stojí compliance — reálné náklady, ne strašení

Pokuty jsou strop — realita bývá jiná. Skutečná investice do compliance pro vysoce rizikový systém se v roce 2026 pohybuje v dobře předvídatelných pásmech, které mapuje analýza Softwareseni na základě vzorku 200+ evropských projektů:

Položka Jednorázově Ročně Poznámka
Základní QMS setup a dokumentace 3,75–6,25 mil. Kč Systém řízení kvality podle čl. 17 — risk management, datová governance, logy.
Conformity assessment (self-assessment) 750 tis.–1,75 mil. Kč Platí pro systémy, které využívají harmonizovanou normu.
Conformity assessment (notified body) 1,25–3,75 mil. Kč Povinné pro ~30–40 % systémů — zejména biometriku a bezpečnostní komponenty.
Post-market monitoring 1–2 mil. Kč Incident reporting, telemetrie, pravidelné audity.
AI gramotnost zaměstnanců (čl. 4) 50–500 tis. Kč 50–200 tis. Kč Vstupní školení + opakování. Nutné už od února 2025.
Právní a externí konzultace 200 tis.–1 mil. Kč 100–400 tis. Kč Klauzule ve smlouvách, FRIA, interakce s dozorem.

SME úleva — proporcionální poplatky

Článek 62 nařízení ukládá notifikovaným orgánům povinnost účtovat malým a středním podnikům poplatky úměrné jejich velikosti a tržnímu podílu. Startupy s méně než 10 zaměstnanci a obratem do 2 milionů eur ročně si mohou nárokovat snížení až o 60 %. Nárok se uplatňuje přímo při zadání conformity assessmentu, nikoliv zpětně — je potřeba doložit účetní závěrkou a výpisem z obchodního rejstříku. Pokud firma nárok neuplatní, orgán ho sám od sebe nepočítá.

Skryté náklady, o kterých se nemluví

Nad rámec účtovaných položek přichází tři další kategorie výdajů, které v rozpočtech chybí nejčastěji:

Souhrnně: pro malou firmu s jedním high-risk systémem se reálná investice do souladu pohybuje mezi 5 a 10 miliony korunami v prvním roce a 1–3 miliony ročně poté. Pro střední firmu se systémem nasazeným ve více zemích je to spíše 15–40 milionů v prvním roce. V porovnání s pokutou 35 milionů eur je to proporcionální — ale jen tehdy, pokud firma ví, že má zdroje plánovat.

4. Týden po týdnu — 100denní plán do 2. srpna 2026

Tato sekce je jádrem článku. Obsahuje patnáct týdnů konkrétních úkolů — od úvodní schůzky 20. dubna po finální spuštění 2. srpna. Plán je rozdělen do čtyř fází: inventory (T-15 až T-12), governance (T-11 až T-8), technical controls (T-7 až T-4), certifikace a release (T-3 až T-0). Každá fáze má vlastní cíl a výstup, který se předává do další.

Stručně: Čtyři fáze 100denního plánu jsou inventory, governance, technical controls a certifikace. Prvních 4 týdnů věnuje firma mapování všech AI systémů a klasifikaci rizik. Následující 4 týdny staví dokumentaci a smlouvy. Další 4 týdny implementuje logy, evals, lidský dozor. Poslední 3 týdny prochází certifikací a ostrým nasazením.

Fáze 1: Inventory + klasifikace (20. 4. – 17. 5. / T-15 až T-12)

Bez inventáře není strategie. Firma, která neví, co má, nemůže prokázat soulad. První čtyři týdny proto zní nudně, ale bez nich se zbytek rozpadne.

Fáze 2: Governance + dokumentace (18. 5. – 14. 6. / T-11 až T-8)

Druhá fáze řeší papíry — ale ne samoúčelně. Každý dokument slouží jako důkaz v případě kontroly. Bez něj firma nic neprokáže, i kdyby reálně dělala všechno správně.

Fáze 3: Technical controls + evaluace (15. 6. – 12. 7. / T-7 až T-4)

Třetí fáze je nejtechničtější. Týmy v ní implementují to, co se v předchozích fázích popsalo — logy, lidský dozor, cybersecurity, evals. Zde se nejčastěji zjistí, že odhady v předchozích fázích byly optimistické.

Fáze 4: Conformity assessment + spuštění (13. 7. – 2. 8. / T-3 až T-0)

Poslední tři týdny jsou o formálním aktu shody. Zde je kritická rychlost — notifikované orgány mají kapacitu plně obsazenou a pozdní objednávky už nevezmou.

15týdenní kalendář příprav — 20. 4. → 2. 8. 2026
Fáze 1 — Inventory + klasifikace T-15 → T-12 20. 4. – 17. 5. 2026 Fáze 2 — Governance + dokumentace T-11 → T-8 18. 5. – 14. 6. 2026 Fáze 3 — Technical controls + evaluace T-7 → T-4 15. 6. – 12. 7. 2026 Fáze 4 — Conformity + go-live T-3 → T-0 13. 7. – 2. 8. 2026 Dnes (20. 4. 2026) → Plná účinnost (2. 8. 2026) — 15 týdnů, 104 dní

Proč začít dnes, i když vypadá srpen daleko

Notifikované orgány a externí konzultanti se bukují dopředu. Kdo zavolá v červnu, zjistí, že volné sloty jsou na podzim. Dokumentace technické dokumentace pro komplexní systém zabere 4–6 týdnů čistého času. Čtyři týdny na inventory nezní jako málo, protože inventory je sám o sobě politická práce — odhalí systémy, o kterých management netušil. Startup, který odkládá kick-off do května, reálně vejde do deadlinu bez certifikace.

5. Kdo ve firmě co dělá — role matrix

Plán bez rolí je jen přání. EU AI Act výslovně ukládá povinnost jasně rozdělit odpovědnost — a při kontrole se dozor ptá jmenovitě: kdo je compliance lead, kdo podepsal risk management, kdo schválil dokumentaci. Následující matice rozdělí patnáct týdnů mezi pět typických rolí v české firmě.

Stručně: Pět klíčových rolí v přípravě na AI Act je generální ředitel (rozpočet a odpovědnost), právník (smlouvy, DPA, FRIA), CTO (technická infrastruktura a logy), produktový manažer (UI transparentnost) a senior vývojář (evals, data governance, release gate). Každá role má odpovědnost napříč čtyřmi fázemi přípravy — od inventáře po post-market monitoring.

Matice role × fáze

Role Fáze 1 (T-15 → T-12) Fáze 2 (T-11 → T-8) Fáze 3 (T-7 → T-4) Fáze 4 (T-3 → T-0)
CEO / jednatel Kick-off, rozpočet, jmenování lead Schválení dokumentace, risk signoff Eskalace blokérů, schválení rozpočtu navíc Finální podpis Declaration of Conformity
Právník / compliance Klasifikace rizik, právní přezkum DPA, vendor smlouvy, AI klauzule FRIA, interakce s dozorem Registrace v EU databázi, komunikace
CTO / IT Technical inventory, architektura Datová governance, QMS framework Logy, monitoring, cybersecurity Conformity assessment, penetrační test
Product manager User flow audit, mapování dotčených Transparentnost UI, instrukce uživatele Human oversight UX, incident flow Release komunikace, scénáře zákaznické podpory
Senior vývojář Klasifikace technického stacku Bias testing, datová provenance Evals, red-teaming, adversarial testy Release gate, post-market monitoring

V menší firmě se role sloučí — jednatel a CTO mohou být jedna osoba, právník externí. Podstata zůstává: každá buňka v matici musí mít jméno, ne jen funkci. „To řeší IT" není odpověď, kterou dozor akceptuje.

Kde se role nejčastěji zasekávají

Z praxe českých firem, které už prošly prvním kolem příprav, vyplývají tři opakované chyby v obsazení rolí. Všechny tři jdou opravit bez dodatečného náboru:

6. AI vendor questionnaire — co se ptát OpenAI, Anthropic a Google

Většina českých firem není vývojářem GPAI modelu — je jeho deployerem. Odpovědnost za soulad proto sdílejí s poskytovatelem: OpenAI, Anthropic, Google, Mistral, Meta nebo třeba Cohere. Pokud před 2. srpnem 2026 nemáte od každého vendora písemné odpovědi na následujících osm otázek, vaše compliance stojí na důvěře — a důvěra není důkaz.

Stručně: Před nasazením AI modelu od externího dodavatele potřebuje firma doložit osm bodů: signatura Code of Practice, technická dokumentace podle článku 53, copyright policy, auditní logy pro post-market monitoring, incident reporting, rozdělení odpovědnosti ve smlouvě, DPA s AI addendem a primární usazení v EU. Bez písemné odpovědi na každý bod firma nemá prokazatelný soulad.

Osm otázek, které patří do každého vendor review

Srovnání hlavních GPAI poskytovatelů (stav 04/2026)

Poskytovatel Code of Practice Usazení v EU Enterprise DPA Audit logy
OpenAI Ano (celý) Dublin (Irsko) Ano (Enterprise + API) API logy, retence konfigurovatelná
Anthropic Ano (celý) Dublin (Irsko) Ano (Enterprise) Claude for Work logs + API
Google (Gemini) Ano, s výhradami Dublin (Irsko) Ano (Workspace + Vertex AI) Vertex AI logy, Workspace audit
Mistral AI Ano Paříž (Francie) Ano (Enterprise Platform) La Plateforme logs
Meta (Llama) Částečně (ne Safety) Dublin (Irsko) Ano Self-hosted = logy na klientovi

Červené vlajky, kdy měnit dodavatele

Vendor není partner v compliance, pokud odmítá odpovědět na některou z osmi otázek písemně, nepodepsal Code of Practice v žádné kapitole, nemá zástupce v EU a nabízí pouze generický DPA z roku 2022. U vysoce rizikového nasazení jsou to diskvalifikační kritéria. Možná alternativa je self-hosted open-source model — firma si pak dělá compliance sama, ale má 100 % viditelnost.

7. AI system inventory — jak zmapovat, co vlastně používáte

Inventory je základ všeho dalšího. Bez něj nelze klasifikovat rizika, připravit dokumentaci ani prokázat soulad. Šablona na tuto sekci má osm sloupců a je navržená tak, aby ji zvládl vyplnit netechnický vedoucí oddělení za 30–60 minut na každý systém.

Stručně: AI inventory šablona potřebuje osm sloupců: název systému, účel, vstupní data, výstup, rozhodovací vliv, dodavatel/režim hostingu, kategorie rizika a odpovědná osoba. Proces zabere menší firmě 2–3 týdny a musí zahrnout i stínovou AI — nástroje, které zaměstnanci používají soukromě.

Šablona inventory — osm sloupců

Sloupec Co zapsat Příklad
1. Název systému Pracovní i obchodní název „HR Screening Bot" / Greenhouse AI Screening
2. Účel K čemu se systém reálně používá Předfiltrace životopisů pro juniorní IT pozice
3. Vstupní data Typ dat, osobní údaje ano/ne, zdroj CV (PDF), email, telefon, LinkedIn profil
4. Výstup Co systém produkuje Skóre 0–100, shortlist top 10 kandidátů
5. Rozhodovací vliv Mění výstup reálně rozhodnutí o osobě? Ano, 85 % kandidátů pod skórem 30 recruiter neotvírá
6. Dodavatel a režim hostingu Vendor, cloud/on-prem, zda je GPAI nad ním Greenhouse + GPT-5 přes Azure OpenAI (EU region)
7. Kategorie rizika Zakázané / vysoké / limited / minimal Vysoké riziko — Annex III bod 4(a)
8. Odpovědná osoba Jmenovitě, ne funkce Pavla Nováková, HR Manager

Kde hledat stínovou AI

Podle průzkumu IBM Cost of Data Breach 2025 používá 68 % zaměstnanců AI nástroje, které IT nesankcionovalo. V malé firmě je číslo ještě vyšší. Nejčastější skryté zdroje:

Praktický tip: anonymní anketa všem zaměstnancům s garancí bez sankce odhalí 2–3× víc systémů než audit SaaS nákladů. Více o problému stínové AI v samostatném článku o shadow AI.

Risk scoring — co s inventářem dál

Po dokončení inventáře přichází klasifikace. Každý systém dostane jednoduché skóre podle čtyř dimenzí, aby tým věděl, kde začít:

  1. Rizikový stupeň AI Actu (zakázané / vysoké / limited / minimal) — od toho se odvíjí všechno ostatní.
  2. Kritičnost pro byznys (stop nasazení = jaký dopad?) — 1–5.
  3. Počet dotčených osob — od jednotek po statisíce.
  4. Dozorová oblast — ČTÚ / ÚOOÚ / ČNB / více současně.

Výstup risk scoringu rozhodne o prioritě — kterým systémům se věnovat v T-15 a T-14 a které zatím odložit.

8. České dozorové orgány — kdo komu píše

Česko zvolilo „minimalistický" model implementace — nerozšiřuje evropské povinnosti, ale pouze určuje, kdo bude dohlížet. Dohled je přitom rozdělený mezi tři orgány, což má výhodu specializace, ale u firmy s pestrým portfoliem AI znamená několikanásobnou kontrolu. Přehled kompetencí je potřeba mít před tím, než firmě začne chodit regulatorní korespondence.

Stručně: Dohled nad AI Actem v Česku povede ČTÚ jako single contact point a hlavní dozor, ÚOOÚ pro biometrická data a osobní údaje, ČNB pro finanční sektor. Na implementaci je alokováno 232 milionů korun z veřejného rozpočtu pro roky 2026–2028. Regulační sandbox se připravuje ve spolupráci MPO a ČTÚ — firmy, které se do něj přihlásí, získají 2 roky na testování bez sankcí za procedurální selhání.

Kompetence tří hlavních orgánů

Orgán Gesce Typické případy Jak se přihlásit
ČTÚ — Český telekomunikační úřad Single contact point, hlavní dozor, registrace vysoce rizikových systémů Obecné porušení Annex III, chybějící dokumentace, neregistrovaný systém Datová schránka, zvláštní AI sekce připravovaná pro 2026 Q3
ÚOOÚ — Úřad pro ochranu osobních údajů Biometrická data, průnik s GDPR, AI gramotnost v agendě osobních údajů Biometrická brána, HR screening, rozpoznávání emocí, deepfakes Standardní GDPR kanály rozšířené o AI agendu
ČNB — Česká národní banka AI systémy ve finančním sektoru Credit scoring, pojišťovací algoritmy, bankovní chatboti, AML/fraud detection Existující dohledové kanály ČNB

Regulační sandbox — proč se vyplatí přihlásit

Článek 57 AI Actu ukládá každému členskému státu povinnost mít alespoň jeden regulační sandbox do 2. srpna 2026. Česko ho připravuje v gesci MPO ve spolupráci s ČTÚ. Sandbox dá firmě čtyři výhody, které jinde nezíská:

Přihláška se bude podávat přes ČTÚ. Předpokládaná kapacita: 10–20 projektů v prvním roce. Kdo se přihlásí včas a má smysluplný use-case (ideálně s veřejnoprávním dopadem — zdravotnictví, doprava, vzdělávání), má reálnou šanci.

První 48 hodin po dopisu od dozoru

Pokud firma obdrží písemnou výzvu od ČTÚ nebo ÚOOÚ, první dva dny rozhodují o dalším průběhu. Standardní postup:

  1. Hodina 1 — nepotvrdit, neodmítnout. Dopis projít s interním právníkem, identifikovat deadline na odpověď (typicky 15–30 dní) a rozsah dotazu.
  2. Den 1 — mlčenlivost. Zakázat zaměstnancům veřejně komentovat, zejména na LinkedIn a X. Informovat pouze management a projektový tým.
  3. Den 1 — zmrazit systém. Pokud se dotaz týká konkrétního AI systému, povolit jen čtecí provoz, aby se neprodukovaly nové logy, které by měnily rozsah kontroly.
  4. Den 2 — draftovat odpověď. Ne hned odesílat. Odpověď by měl přečíst externí právní konzultant specializovaný na AI Act, než podpis odejde.
  5. Den 2 — archivovat důkazy. Exportovat aktuální stav dokumentace, logů, DPA, risk registru. Uložit nezávisle — SharePoint i kopie u externisty.

9. Emergency protokol — co dělat, když nestíháte

Ne každá firma začne 20. dubna. Reálně bude mnoho firem v panice v červnu nebo červenci. Tato sekce popisuje tři scénáře krize a konkrétní kroky, jak minimalizovat škodu. Ve všech případech platí pravidlo: dokumentovaný pokus o soulad má větší hodnotu než nic.

Stručně: Pokud firma nestíhá deadline 2. srpna 2026, má tři základní cesty. Malá firma s jedním systémem ho může dočasně vypnout, doložit dokumentaci a vrátit do provozu po certifikaci. Střední firma může přeřadit systémy do limited risk režimu přes článek 6(3), pokud to skutečně sedí. Startup s produktem na trhu bez QMS by měl urychleně získat third-party konzultaci a případně požádat o vstup do regulačního sandboxu.

Scénář A — malá firma, jeden AI systém, < 30 dní do deadlinu

Situace: Česká e-commerce firma s 12 zaměstnanci používá AI nástroj pro credit scoring při odložené platbě. Inventory začali v červnu, klasifikaci v půli července. Je 10. července, zbývají tři týdny.

Co dělat:

Scénář B — střední firma, víc systémů, chybí dokumentace

Situace: B2B SaaS firma s 80 zaměstnanci, 6 AI systémů v různých stádiích — 2 vysoce rizikové (HR tool, recommendation engine), 4 limited risk. K 1. červnu má inventory, ale nulovou technickou dokumentaci.

Co dělat:

Scénář C — startup s produktem na trhu, bez QMS

Situace: Český startup se 7 zaměstnanci má v produkci biometrickou bránu pro sportovní zařízení. Klient z Německa. QMS žádný, dokumentace v hlavě CTO.

Co dělat:

Kdy prostě AI vypnout

Existuje situace, kdy je nejlepším krokem dočasné odstavení AI systému a návrat k neautomatizovanému procesu. Platí zejména u malých firem, u kterých je AI komponenta „nice to have", ne jádro produktu. Odstavení není selhání — je to racionální risk management. Dozor opakovaně v guidance zdůrazňuje, že dočasné vypnutí zhodnotí jako dobrou vůli, nikoliv jako přiznání viny.

„Evropa nejde cestou inovace bez omezení ani cestou kompletního zákazu. Jde cestou řízeného rizika — a kdo to neumí řídit, má dva roky na to se to naučit, nebo odejít."

— Arthur Mensch, CEO Mistral AI, veřejná kritika AI Actu 2024

10. Reality check — vynutí to vůbec někdo?

Skeptický pohled patří do každého článku o regulaci. AI Act je první svého druhu, kapacita dozoru je nízká, harmonizované normy nejsou hotové. Znamená to, že se v prvním roce nic nestane? Odpověď je komplikovanější než „ano" nebo „ne" a zaslouží si reálný pohled, nikoliv marketing.

Stručně: Vynucení AI Actu v prvním roce bude omezené a zaměří se na zjevné případy — velké GPAI poskytovatele, biometrické systémy a jasné porušení zakázaných praktik. Malé firmy s méně viditelnými high-risk systémy nejsou prioritou roku 2026. To neznamená, že regulace neplatí — občanskoprávní žaloby, kolektivní žaloby a reputační riziko fungují nezávisle na státním dozoru.

Enforcement status k dubnu 2026

Faktický stav je následující: za prvních osm měsíců platnosti zákazu praktik z článku 5 nebyla v EU veřejně oznámena jediná pokuta. Evropská komise má AI Office s kapacitou zhruba 140 lidí, z nichž část se stále rekrutuje. Členské státy notifikovaly competent authorities pomalu — k srpnu 2025 jich bylo plně hotových zhruba osm z dvaceti sedmi.

Ani české orgány na tom nejsou lépe. ČTÚ musí doplnit AI expertízu, ÚOOÚ metodiku pro biometriku, ČNB specializovaný tým. Pozvolný start vynucení je proto daný spíš technicky než politicky — kapacita reálně chybí.

Proč to neznamená, že lze čekat

Stav dozoru je ale jen jedna z pěti cest, kudy může firma dostat zásah. Další čtyři jsou nezávislé na státu:

Kdo skončí na seznamu první vlny

Praxe z jiných EU regulací (GDPR, DSA, DMA) ukazuje jasný vzorec první vlny vynucení:

  1. Největší porušovatelé — firmy, kde je porušení veřejně viditelné a mediálně sledované (zakázané sociální scoring pokusy, biometrika v retailu, deepfake politická reklama).
  2. Velcí GPAI poskytovatelé — typicky jako „ukázkové případy" pro stanovení precedentu. Nejpravděpodobnější jsou OpenAI a Meta, které budou čelit proceduralním pokutám za dokumentaci.
  3. Sektory s existujícím sektorovým dozorem — bankovnictví, pojišťovnictví, zdravotnictví. Tam jsou dozory zavedené a přičlenit AI agendu je rychlejší.
  4. Firmy po občanskoprávní žalobě — pokud civilní soud potvrdí porušení, dozor navazuje.

Malá česká firma s interním HR nástrojem pravděpodobně není v první vlně. Ve druhé a třetí ale ano — a těch už se nevyhne.

11. Sedm chyb, které dělají české firmy právě teď

Následující seznam vznikl z rozhovorů s konzultanty, právníky a interními compliance leady v českých firmách, které prošly prvním kolem příprav. Jsou to chyby, které nestačí pojmenovat — je potřeba je aktivně korigovat.

Stručně: Typické chyby českých firem v přípravě na AI Act jsou bagatelizace role deployera, spoléhání na vendora místo vlastního inventáře, formální plnění AI gramotnosti, odkládání FRIA, čekání na harmonizované normy, ignorace stínové AI a přesvědčení, že podepsané DPA řeší všechny povinnosti. Každou lze napravit v rámci 15týdenního plánu.

Sedm chyb, které poznáte v zrcadle
1. „Jsme jen uživatel, odpovědnost má OpenAI." Role deployera (nasazovatele) má vlastní povinnosti — logy, lidský dozor, FRIA, informování dotčených osob. Bez jejich plnění firma porušuje nařízení nezávisle na vendorovi.
2. Spoléhání na vendora místo vlastního inventáře. OpenAI ani Anthropic neřeknou firmě, kde všude má ve svém stacku AI. Inventory je kompetence zákazníka, ne dodavatele. Bez něj nic dalšího nefunguje.
3. AI gramotnost brané jako „školení za 2 hodiny". Čl. 4 vyžaduje přiměřenou úroveň gramotnosti vzhledem k roli — jiná pro recruitera, jiná pro software engineera, jiná pro management. Jednorázové video nesplňuje.
4. FRIA až po zavedení systému. Fundamental Rights Impact Assessment se musí provést před uvedením vysoce rizikového systému deployery v regulovaných oblastech. Ex post FRIA nesplňuje čl. 27 a nedá se obhájit.
5. Čekání na harmonizované normy CEN/CENELEC. Normy nejsou hotové, ale AI Act platí bez ohledu na ně. Firma musí soulad prokazovat alternativně — přímo proti textu nařízení, na základě risk management systému a technické dokumentace. Čekání na normy je v srpnu 2026 pozdě.
6. Odmítání stínové AI problému. „Nemáme shadow AI, my jsme malá firma" — reálně je ve 80 % menších firem. Nepřiznání v inventáři vede k neúplné klasifikaci. Více v článku o shadow AI.
7. „Máme DPA, máme vyřešeno." Data Processing Agreement řeší GDPR, ne AI Act. Oba rámce se překrývají, ale AI Act vyžaduje samostatné klauzule — copyright policy vendora, přístup k logům, odpovědnost za bias. Aktualizace DPA bez AI addenda nestačí.

12. FAQ — nejčastější otázky k 2. srpnu 2026

Musí OSVČ s ChatGPT dělat conformity assessment?

Pokud OSVČ používá ChatGPT pouze pro generování textů, nápadů a běžné kancelářské úkoly, nespadá pod žádnou high-risk kategorii. Povinnost je na straně vendora (OpenAI). OSVČ se ale vztahuje AI gramotnost podle čl. 4, pokud má zaměstnance, a transparentnost podle čl. 50, pokud AI výstup zveřejňuje jako obsah vytvořený AI (například marketingové texty na webu).

Co když provozujeme AI systém jen pro interní zaměstnance, ne pro zákazníky?

Interní nasazení neosvobozuje od nařízení, pokud systém spadá do Annex III. HR screening bot používaný jen recruitery je pořád vysoce rizikový, protože ovlivňuje rozhodnutí o kandidátech. Monitoring zaměstnanců pro hodnocení výkonu je výslovně v Annex III bod 4(b). AI pro interní zápisy z porad naopak mimo režim je.

Kolik stojí školení AI gramotnosti podle článku 4?

Realistické pásmo pro malou firmu (do 20 zaměstnanců) je 50–150 tisíc Kč za vstupní kolo a 30–80 tisíc Kč ročně na opakování. Střední firma (do 250 zaměstnanců) počítá s 200–500 tisíci Kč jednorázově. Alternativou je e-learning od specializovaných vzdělávacích firem, který vyjde levněji, ale kvalita kolísá. Osvědčený postup: základní e-learning pro všechny + rozšířené prezenční školení pro role, které AI reálně používají.

Jsme startup s méně než 10 zaměstnanci — máme nárok na úlevy?

Ano, v několika směrech. Článek 62 zaručuje proporcionální poplatky u notifikovaných orgánů. Článek 57 preferuje SME a startupy při přijímání do regulačního sandboxu. Článek 9 umožňuje zjednodušené QMS úměrné velikosti firmy. Nárok je potřeba uplatnit aktivně — notifikovaný orgán ho sám nezohledňuje.

Co když jsme už v produkci a máme high-risk systém — musíme ho stáhnout?

Záleží na tom, kdy byl uveden na trh. Článek 111 obsahuje transitional provisions pro systémy uvedené před 2. srpnem 2026 — pro ně platí povinnost souladu až do 2. srpna 2027, pokud nedojde k významné změně. „Významná změna" ale zahrnuje i změny trénovacích dat, architektury nebo use-case. Většina produkčních systémů projde alespoň jednou významnou změnou za rok, takže se na ně nový režim aplikuje dřív než později.

Dvě věci, které udělat dnes — ne zítra

Nejefektivnější první kroky jsou dva a oba se dají udělat do konce dneška: (1) Jmenujte AI compliance lead — konkrétní osobu, ne funkci. Nezáleží, že je to interim nebo že dělá ještě tři jiné věci. Důležité je, že existuje odpovědnost. (2) Rozjeďte AI inventory — pošlete jednoduchý email všem vedoucím oddělení s šablonou osmi sloupců a deadlinem na pátek 3. května. To stačí. Ta druhá věc, kterou nejde udělat zítra, je conformity assessment. Ten se rezervuje týdny dopředu a v květnu už bude kapacita notifikovaných orgánů utlumená. Patnáct týdnů zní jako dost. V praxi čtrnáct z nich bude stačit s bídou — pokud začnete v pátém, firma to nedá.

Zdroje a další čtení

Související články