EU AI Act: Kompletní průvodce

Za poslední měsíc jsem měl dvě konzultace, které dokonale ilustrují, jak divoké představy mají lidé o novém Evropském aktu o umělé inteligenci (EU AI Act).

První konzultace byla s lékařskou institucí. Chtěli nasadit AI napříč celou firmou – od administrativy až po klinickou péči. Strávili jsme hodinu a půl tříděním toho, co mohou spustit hned a s čím musí počkat. Plánování směn, fakturace, přepisy porad nebo HR? Úplně v pohodě, jděte do toho. Ale AI asistovaná diagnostika, plánování léčby nebo bodování rizik pacientů? Stopka. Dokud nebudou mít neprůstřelný compliance systém, nesmí se to dotknout ostrého provozu. Určitě ne před blížícím se srpnovým termínem.

Druhý hovor byl se soudcem, který se mě na rovinu zeptal, jestli může používat AI k analýze soudních spisů. Odpověď zněla: „Ano, ale...“ Právní rešerše a shrnutí textů jsou povolené (pokud máte nastavenou kontrolu kvality, která chytá halucinace). Ale jakmile by měla AI analyzovat důkazy, navrhovat výši trestů nebo vyhodnocovat riziko útěku předem, je to absolutně zakázané. Justice spadá pod tu nejpřísnější regulaci.

To jsou ale extrémní případy. Pro 95 % českých firem a majitelů SMBs je realita mnohem jednodušší. Pojďme se podívat na to, co se od vás reálně chce.

Stáhněte si náš EU AI Act kontrolní seznam.

Kdy začne platit EU AI Act?

2. srpen 2026

Pojďme hned na začátku vyjasnit jeden velký mýtus, který teď koluje internetem. Možná jste zachytili zprávu, že Evropská rada a Parlament dosáhly politické dohody a povinnosti pro vysoce rizikové systémy se odkládají až na prosinec 2027.

Pozor: Jde pouze o předběžnou politickou dohodu (v rámci tzv. balíčku Digital Omnibus), ne o schválený zákon. Dokud nebude tato změna oficiálně schválená a publikovaná ve Věstníku EU, legislativně stále platí původní deadline: 2. srpna 2026. Pokud se budete tvářit, že máte čas do roku 2027, riskujete obrovský průšvih a plnou právní odpovědnost. Do srpna musíte mít jasno ve třech věcech:

1. Jaká je vaše oficiální role podle tohoto Aktu.
2. Zda netancujete na tenkém ledě zakázaných praktik.
3. Pokud stavíte automatizace pro klienty, zda máte správně ošetřené smluvní klauzule.

Jaká je vaše role podle EU AI Act? Tři odlišné světy

EU AI Act nezajímá, jak velký máte obrat nebo v jakém oboru podnikáte. Škatulkuje firmy výhradně podle toho, co s umělou inteligencí reálně dělají.

1. Uživatel (User)

Používáte hotové AI nástroje pro svou interní práci.

• Příklady: Píšete texty v ChatGPT, analyzujete reporty v Claude, programátoři používají Cursor a týmové vědomosti máte v Notion AI.
• Vaše povinnosti: Téměř nulové. Stačí si jen pohlídat, že neděláte nic z listu zakázaných praktik (viz níže). Ochranu dat jako takové řešíte klasickým GDPR. Nemusíte se nikde registrovat, vyplňovat stohy papírů ani nic auditovat.

2. Zavádějící subjekt / Nasazovatel (Deployer)

Vezmete AI systém (třeba přes API) a nakonfigurujete ho pro konkrétní účel – velmi často tak, že komunikuje přímo s vašimi zákazníky.

• Příklady: Máte na e-shopu AI chatbota na podporu, nasadili jste hlasového AI asistenta na telefonní linku nebo používáte AI na automatické přepisy lékařských záznamů.
• Vaše povinnosti: Kromě hlídání zákazů máte jednu klíčovou povinnost: Transparentnost. Hned na začátku interakce musíte zákazníkovi jasně říct, že mluví se strojem. Jedna srozumitelná věta stačí.

3. Poskytovatel (Provider)

Tohle je těžká váha. AI systém sami vyvíjíte a prodáváte ho dál jako produkt nebo službu.

• Příklady: Vyvíjíte SaaS aplikaci, která automaticky filtruje a boduje životopisy uchazečů o práci, nebo stavíte fintech nástroj na hodnocení úvěrového rizika.
• Vaše povinnosti: Kompletní compliance balík. Musíte dělat posouzení shody, vést technickou dokumentaci, registrovat se do EU databáze a zajistit lidský dohled nad algoritmy. Pokud spadáte sem, srpen 2026 je pro vás kritický termín a potřebujete specializovaného právníka (běžný ajťák nebo GDPR konzultant to nezachrání).

Agenturní past: Kdo nese právní odpovědnost za AI u klienta?

Pokud vedete marketingovou agenturu, stavíte softwary na zakázku nebo jste no-code implementátoři (stejně jako my v Ninjabotu), zbystřete. Tady se totiž skrývá největší chyták.

Když stavíte AI systém pro klienta, který pomocí něj bude dělat důležitá rozhodnutí o lidech (třeba v náboru, pojištění nebo právních věcech), zákon na vás může začít nahlížet jako na Poskytovatele (Providera), i když si myslíte, že jste jen řadový dodavatel. Pokud ten samý AI workflow překopírujete a prodáte deseti různým klientům, máte na zádech obří compliance batoh, o kterém pravděpodobně ani nevíte.

Ninja řešení z praxe:
Klient je téměř vždy ten, kdo systém provozuje a těží z něj – tedy Nasazovatel (Deployer). Vy jste ti, kdo ho staví (Builder). Aby to tak viděl i zákon, musíte mít ve svých standardních klientských smlouvách jasnou klauzuli: Klient přebírá plnou odpovědnost za compliance ve chvíli, kdy mu systém předáte do ostrého provozu. Bez tohoto papíru visí právní odpovědnost ve vzduchoprázdnu mezi vámi a klientem. Pokud pak jeho chatbot poruší pravidla a přijde kontrola, máte problém oba.

Jaké AI praktiky jsou v EU absolutně zakázané? Rychlý audit

Následující věci jsou v EU plošně zakázané. Neexistuje žádný certifikát nebo klička, jak je zlegalizovat. Dobrá zpráva je, že běžná česká firma je k životu nepotřebuje, ale je dobré si je odškrtnout, abyste měli čisté svědomí:

• Sociální hodnocení (Social scoring): Kádrování lidí a dávání bodů za to, jak se chovají ve společnosti.
• Podprahová manipulace: Používání AI k tomu, abyste skrytě obešli vědomé rozhodování člověka.
• Biometrie v reálném čase: Sledování obličejů kamerami na veřejnosti (výjimky má jen policie).
• Zneužívání zranitelnosti: Cílení na lidi na základě věku, postižení nebo ekonomické situace s cílem změnit jejich chování.
• Odvozování chráněných znaků: Zjišťování rasy, náboženství nebo sexuální orientace z biometrických dat.

Nic nepoužíváte? Skvělé. Můžete v klidu spát. Pro drtivou většinu firem, které používají klasické SaaS nástroje, tímto kontrola končí.

Do jaké úrovně rizika spadá vaše workflow?

Abychom do toho vnesli absolutní jasno, rozdělili jsme běžné firemní scénáře do tří hlavních kategorií podle rizika. Podívejte se, kde se vidíte:

Úroveň A: Minimální riziko (V naprostém pořádku)

Tohle tvoří 90 % všech firemních automatizací. Nemáte žádné speciální povinnosti vůči EU AI Actu, jedete podle klasického GDPR.

• Marketing: Generování textů, postů na sítě, obrázků k článkům, rešerše trhu.
• Administrativa: Zápisy ze schůzek, automatické odpovídání na běžné e-maily, hlídání kalendářů, optimalizace skladových zásob.
• Vývoj: Psaní kódu přes Copilot nebo Cursor, automatické testování softwaru.

Úroveň B: Omezené riziko (Pozor na transparentnost)

AI mluví přímo s lidmi nebo vytváří obsah, který vypadá jako skutečný. Povinnost je jediná: přiznat barvu.

• Zákazničtí chatboti a voiceboti: Stačí na úvod konverzace hodit větu: "Ahoj, jsem AI asistent. S čím vám dnes pomůžu?"
• Syntetická média: Pokud vygenerujete produktovou fotku nebo video, které vypadá reálně, musíte ho jasně označit štítkem (např. "Vygenerováno pomocí AI").

Úroveň C: Vysoké riziko (Zatáhnout za ruční brzdu)

Systém dělá zásadní rozhodnutí o životech, penězích nebo zdraví lidí. Tady končí sranda a do srpna 2026 musíte mít hotový kompletní audit shody.

• HR tech: Nástroje, které automaticky skenují CV a vyřazují lidi z výběrového řízení.
• Finance: Algoritmy, které počítají credit scoring nebo rozhodují, zda člověk dostane půjčku.
• Zdravotnictví: Software, který diagnostikuje nemoci z fotek nebo zdravotních dat.

Jak zajistit soulad s EU AI Act ještě tento týden?

Nehledejte v tom složitosti. Tady je jednoduchý návod, co udělat hned teď:

1. Pokud jste jen UŽIVATEL (Úroveň A)

Uložte si tento článek nebo tabulku níže jako důkaz, že jste interní audit udělali. Používejte Claude a ChatGPT dál na plné pecky. Pouze instruujte tým, že pokud by chtěli AI implementovat přímo do produktu, který hodnotí lidi, musí to nejdřív projít schválením.

2. Pokud máte chatbota na webu (Úroveň B)

Zkontrolujte, zda váš AI widget na webu nebo telefonu na rovinu říká, že je to robot. Pokud ne, přidejte tam tu větu ještě dnes. Upravte text ve svých Zásadách ochrany osobních údajů (Privacy Policy), kde zmíníte, jaké AI nástroje na zpracování dat používáte.

3. Pokud kupujete AI řešení na míru od dodavatele

Než podepíšete smlouvu na nový systém, položte jim tyto 4 klíčové otázky:

• "Je tento systém klasifikován jako vysoce rizikový? Pokud ano, ukažte mi posouzení shody a CE certifikaci." (Pokud dodavatel koktá, je to obří red flag).
• "Jaká data jste použili na trénování a jak hlídáte zaujatost (bias) algoritmů?"
• "Jaké logy systém generuje a budeme k nim mít přístup v případě auditu?"
• "Kdo z nás nese povinnost zaregistrovat systém do EU databáze?"

Rychlá referenční tabulka pro klid v duši

Stáhněte si náš EU AI Act kontrolní seznam.

‍

V tom, když přesně víte, do jaké kategorie vaše firma spadá, je obrovská úleva.

Před 2. srpnem 2026 nemusíte zběsile závodit s obří, neuchopitelnou regulací. Stačí si odpovědět na jednu jedinou otázku: „Jaká je moje role?“

Stavte systémy s klidnou hlavou.

Ninjabot je hrdým partnerem českých firem při zavádění efektivní automatizace. Každý náš článek a doporučení vychází z reálných zkušeností na více než 500 implementovaných projektech. Pokud chcete postavit spolehlivou firemní mašinu, která funguje bez chyb a zbytečného papírování, rádi vám s tím pomůžeme.

Zjistěte, jak můžeme zefektivnit i vaše podnikání, na krátké bezplatné schůzce.