AI Act 2025: Praktický průvodce pro české firmy

Věděli jste, že nedodržení AI Act může vést k pokutám až 35 milionů eur nebo 7 % celosvětového ročního obratu vaší firmy? AI Act vstoupil v platnost 1. srpna 2024 ve všech 27 členských státech EU a přináší první komplexní právní rámec pro umělou inteligenci na světě.

Tento přelomový evropský zákon kategorizuje AI systémy podle míry rizika od minimálního po nepřípustné a zavádí jasná pravidla pro jejich vývoj, nasazení i provoz. Zatímco většina povinností pro vysoce rizikové systémy nabude účinnosti od 2. srpna 2026, požadavky pro obecně použitelné modely (GPAI) začnou platit již od 2. srpna 2025. Právě proto je důležité, abyste se začali připravovat co nejdříve. V tomto praktickém průvodci vám pomůžeme porozumět AI legislativě a ukážeme, jaké konkrétní kroky musíte podniknout, abyste byli v souladu s tímto zásadním nařízením EU.

Kategorizace AI systémů podle úrovně rizika

AI Act zavádí přelomový přístup založený na riziku, který rozděluje AI systémy do čtyř kategorií podle míry potenciálního ohrožení základních práv, zdraví nebo bezpečnosti osob. Tento odstupňovaný přístup umožňuje regulovat pouze ty systémy, které představují skutečné riziko.

Nepřijatelné riziko: zakázané praktiky

AI Act zcela zakazuje osm praktik, které jsou považovány za nepřijatelné riziko:

• Systémy používající manipulativní nebo klamavé techniky k ovlivnění rozhodování

• Zneužívání zranitelností osob (věk, ekonomická situace, zdravotní postižení)

• Sociální skórování vedoucí k neoprávněnému znevýhodnění

• Predikce kriminálního chování založená pouze na osobnostních rysech

• Vytváření databází obličejů prostřednictvím neadresného skenování internetu nebo CCTV

• Rozpoznávání emocí na pracovišti a ve vzdělávacích institucích

• Biometrická kategorizace odvozující citlivé osobní údaje (rasa, politické názory, náboženství)

• Biometrická identifikace v reálném čase na veřejných místech (s výjimkami pro bezpečnostní účely)

Vysoké riziko: systémy s dopadem na práva a bezpečnost

Systémy s vysokým rizikem podléhají přísným požadavkům, ale nejsou zakázány. Patří sem především:

• Komponenty kritické infrastruktury

• Systémy pro vzdělávání a řízení kariéry

• Nástroje pro nábor zaměstnanců a řízení pracovníků

• Systémy ovlivňující přístup k základním službám (např. úvěrové hodnocení)

• Biometrická identifikace a kategorizace

• Systémy pro vymáhání práva a správu migrace

Pro tyto systémy platí přísné povinnosti včetně řízení rizik, zajištění kvalitních dat, technické dokumentace, lidského dohledu a robustnosti.

Omezené riziko: požadavky na transparentnost

AI systémy s omezeným rizikem podléhají pouze požadavkům na transparentnost. Jde především o:

• Chatboty a systémy pro interakci s lidmi

• Generativní AI vytvářející syntetický obsah

• Systémy vytvářející tzv. deepfakes

• Biometrické kategorizační systémy

U těchto systémů musí být uživatelé informováni, že komunikují s AI, a uměle vytvořený obsah musí být označený.

Minimální riziko: dobrovolná opatření

Většina AI systémů spadá do kategorie minimálního rizika a nepodléhá žádným povinným regulacím. Tato kategorie zahrnuje:

• Spamové filtry

• Doporučovací systémy pro zábavu

• Videohry s využitím AI

• Základní analytické nástroje

AI Act tak zajišťuje, že pouze opravdu rizikové systémy budou podléhat regulaci, zatímco většina běžných aplikací může fungovat bez omezení.

Specifické požadavky na GPAI a generativní modely

Nové evropské nařízení přináší dodatečné povinnosti specificky pro poskytovatele obecně použitelných AI modelů (GPAI) a generativních systémů. Pojďme se podívat na konkrétní požadavky, které musí splnit.

Technická dokumentace a popis schopností

Poskytovatelé GPAI modelů musí vypracovat podrobnou technickou dokumentaci ještě před uvedením na trh. Tato dokumentace musí být následně zpřístupněna downstream poskytovatelům i dozorovým orgánům. Primárně obsahuje:

• Detailní popis tréninkového a testovacího procesu včetně výsledků evaluace

• Informace o schopnostech a omezeních modelu

• Specifikace vstupních dat a architektura modelu

Menší firmy a startupy mohou využít zjednodušené formy dokumentace, kterou Evropská komise vytvoří speciálně pro jejich potřeby. Nicméně, tato dokumentace musí stále prokazovat shodu s AI Actem.

Zveřejnění trénovacích dat a autorská práva

AI Act zavádí bezprecedentní požadavek na transparentnost ohledně tréninkových dat. Konkrétně poskytovatelé GPAI musí:

• Vytvořit a zveřejnit dostatečně podrobné shrnutí obsahu použitého pro trénink modelů

• Dodržovat předepsanou šablonu vydanou AI Office

• Zavést politiku dodržování autorského práva EU

Tyto povinnosti mají zajistit respektování autorských práv a poskytnout základní transparentnost ohledně zdrojů dat. Směrnice EU o autorském právu zavedla výjimky pro vytěžování textu a dat (TDM), avšak poskytovatelé musí respektovat tzv. opt-out mechanismy, kdy si držitelé práv mohou vyhradit práva ke svému obsahu.

Hlášení incidentů a hodnocení systémových rizik

Pro modely GPAI se systémovým rizikem (trénované s více než 10^25 FLOPS výpočetních operací) platí navíc tyto povinnosti:

• Provádět hodnocení modelů včetně adversarial testování

• Posuzovat a zmírňovat potenciální systémová rizika

• Sledovat, dokumentovat a hlásit závažné incidenty bez zbytečného odkladu

• Zajistit adekvátní úroveň kybernetické bezpečnosti

Při závažném incidentu musí být oznámení podáno do 2 dnů v případě rozsáhlých problémů, do 10 dnů v případě úmrtí a do 15 dnů pro ostatní závažné incidenty.

Poskytovatelé GPAI modelů musí Evropskou komisi informovat do dvou týdnů, pokud jejich model dosáhne nebo pravděpodobně dosáhne prahové hodnoty pro systémové riziko. Na základě oznámení může Komise rozhodnout, zda model představuje systémové riziko, i když poskytovatel může toto zařazení rozporovat.

Implementace a dohled nad dodržováním zákona

Pro zajištění efektivního uplatňování AI Act vzniká v EU komplexní dohledový systém, který kombinuje centrální a národní úroveň dozoru.

Role AI Office a AI Board v EU

Evropský úřad pro umělou inteligenci (AI Office) hraje klíčovou úlohu při implementaci AI Actu. Tento úřad sídlí v rámci Evropské komise a má výhradní pravomoc dohlížet na poskytovatele GPAI modelů [1]. AI Office koordinuje národní orgány, poskytuje technickou podporu a prosazuje jednotné uplatňování nařízení ve všech členských státech.

Evropský výbor pro umělou inteligenci (AI Board) funguje jako poradní orgán složený ze zástupců všech členských států EU a je podporován AI Office [2]. Výbor pomáhá koordinovat spolupráci mezi členskými státy a sdílí technické i regulační odborné znalosti za účelem zajištění jednotného uplatňování AI Actu.

Národní dozorové orgány a jejich pravomoci

Každý členský stát musí do 2. srpna 2025 ustanovit národní kompetentní orgány [3]:

• Orgány dozoru nad trhem, které kontrolují dodržování pravidel pro AI systémy včetně zákazů a požadavků pro vysoce rizikové systémy

• Oznamující orgány, které posuzují a monitorují subjekty provádějící posuzování shody

V České republice byl Úřad pro technickou normalizaci, metrologii a státní zkušebnictví (ÚNMZ) určen jako oznamující orgán a Český telekomunikační úřad (ČTÚ) jako orgán dozoru nad trhem [4]. Tyto orgány musí fungovat nezávisle, nestranně a bez předpojatosti [5].

Regulatory sandboxes pro testování AI

Každý členský stát musí do 2. srpna 2026 vytvořit alespoň jeden regulační sandbox [6]. Tyto kontrolované prostředí umožňují vývojářům testovat AI systémy pod dohledem regulátorů před uvedením na trh.

Regulační sandboxes nabízejí zejména pro malé a střední podniky významné výhody:

• Snížení nákladů na dodržování předpisů

• Usnadnění vstupu na trh

• Možnost získat dokumentaci prokazující soulad s AI Act [7]

Poskytovatelé v sandboxech zůstávají odpovědní za případné škody způsobené třetím stranám, ale jsou chráněni před správními pokutami, pokud v dobré víře dodržují pokyny [6].

Dopady AI Actu na české firmy a doporučené kroky

České firmy musí začít s přípravou na implementaci AI Act co nejdříve. Ministerstvo průmyslu a obchodu připravilo minimalistický návrh pro implementaci evropské regulace s cílem vytvořit prostředí, kde se AI může plně rozvíjet bez zbytečné administrativní zátěže [8].

Jak se připravit na audit a posouzení shody

Především vytvořte kompletní inventář všech AI systémů ve vaší organizaci včetně jejich rizikových klasifikací a příslušných regulačních požadavků. Zdokumentujte účel každého systému, zdroje dat a rozhodovací procesy [9]. U vysoce rizikových systémů je povinné posouzení shody před uvedením na trh [10].

Vytvoření akčního plánu a interní dokumentace

Následně vytvořte dokumentaci prokazující správu dat, včetně postupů pro ověření přesnosti, integrity a vhodnosti datových sad [11]. Zavedení modelových karet (model cards) poskytne auditorům počáteční přehled o systému a dostupných informacích [11]. Důležité je také nastavení postupů pro správu incidentů a řízení rizik.

Školení zaměstnanců a nastavení odpovědností

Od 2. února 2025 budete muset zajistit, aby všichni zaměstnanci používající AI systémy měli dostatečnou AI gramotnost [12]. Školení by mělo být přizpůsobeno konkrétním potřebám různých rolí – například HR týmy potřebují znát rizika diskriminace, zatímco marketingové týmy musí rozumět potenciálním porušením autorských práv [13].

Potřebujete pomoc s implementací AI ve vaší společnosti v souladu s AI Actem? Podívejte se na naše služby nebo nás kontaktujte - můžeme vám pomoci s implementací AI do vaší firmy.

Závěr

AI Act bezpochyby představuje zásadní změnu v regulaci umělé inteligence nejen v České republice, ale v celé Evropské unii. Přestože některé požadavky nabývají účinnosti až v roce 2026, mnohé povinnosti, zejména pro poskytovatele GPAI modelů, začínají platit již od srpna 2025. Vzhledem k těmto blížícím se termínům musíte začít s přípravami co nejdříve.

Kategorizace AI systémů podle úrovně rizika vám umožňuje rychle identifikovat, jaké povinnosti se vztahují konkrétně na vaši organizaci. Následně můžete efektivně alokovat zdroje a připravit potřebnou technickou dokumentaci, procesy řízení rizik a zajistit dostatečnou transparentnost.

České firmy by tedy měly věnovat zvláštní pozornost vytvoření kompletního inventáře svých AI systémů, vypracování interní dokumentace a zajištění školení zaměstnanců. Zároveň je důležité sledovat kroky národních dozorových orgánů, především ČTÚ a ÚNMZ, které budou hrát klíčovou roli při implementaci AI Actu v České republice.

Potřebujete pomoc s implementací AI ve vaší společnosti v souladu s AI Actem? Podívejte se na naše služby nebo nás kontaktujte - můžeme vám pomoci s implementací AI do vaší firmy.

Včasná příprava a strategický přístup k regulaci umělé inteligence vám pomůže nejen vyhnout se vysokým pokutám, ale především využít konkurenční výhody, kterou dobře implementované a etické AI systémy poskytují. Pamatujte, že AI Act nemá za cíl bránit inovacím, ale zajistit, aby vývoj umělé inteligence probíhal bezpečně a odpovědně.

Klíčové poznatky

AI Act přináší první komplexní regulaci umělé inteligence v EU s pokutami až 35 milionů eur. České firmy musí začít s přípravou okamžitě, protože klíčové termíny se rychle blíží.

• Kategorizace podle rizika: AI systémy se dělí do čtyř kategorií - od zakázaných praktik po minimální riziko s odpovídajícími povinnostmi • Brzké termíny pro GPAI: Požadavky na obecně použitelné modely začínají platit již od srpna 2025, ne až 2026 • Povinná dokumentace: Vytvořte kompletní inventář AI systémů, technickou dokumentaci a procesy řízení rizik před auditem • Školení zaměstnanců: Od února 2025 musí mít všichni uživatelé AI systémů dostatečnou AI gramotnost přizpůsobenou jejich roli • Národní dozor: ČTÚ a ÚNMZ budou klíčové orgány pro implementaci - sledujte jejich pokyny a využijte regulatory sandboxes

Včasná příprava není jen o vyhnutí se pokutám, ale o získání konkurenční výhody prostřednictvím eticky implementovaných AI systémů, které budou v souladu s nejpřísnějšími světovými standardy.

Odkazy

[1] - https://digital-strategy.ec.europa.eu/en/policies/ai-office
[2] - https://digital-strategy.ec.europa.eu/en/policies/ai-board
[3] - https://digital-strategy.ec.europa.eu/en/policies/ai-act-governance-and-enforcement
[4] - https://www.peytonlegal.cz/en/obligations-under-the-ai-act-is-coming/
[5] - https://digital-strategy.ec.europa.eu/en/policies/market-surveillance-authorities-under-ai-act
[6] - https://artificialintelligenceact.eu/ai-regulatory-sandbox-approaches-eu-member-state-overview/
[7] - https://www.digitalsme.eu/ai-act-compliance-made-easier-help-is-on-its-way-for-smes-developing-ai-solutions/
[8] - https://mpo.gov.cz/en/guidepost/for-the-media/press-releases/the-ministry-of-industry-and-trade-has-prepared-a-draft-law-on-artificial-intelligence----289865/
[9] - https://verityai.co/blog/ai-compliance-audit-complete-guide
[10] - https://juliana-jackson.com/eu-ai-act-explained/
[11] - https://www.edpb.europa.eu/system/files/2024-06/ai-auditing_checklist-for-ai-auditing-scores_edpb-spe-programme_en.pdf
[12] - https://www.lw.com/en/insights/upcoming-eu-ai-act-obligations-mandatory-training-and-prohibited-practices
[13] - https://www.schoenherr.eu/content/mandatory-ai-training-for-employees-in-the-eu-your-guide-to-compliance