EU AI Act v praxi: Co znamená nová legislativa pro české firmy

Nařízení Evropského parlamentu a Rady (EU) 2024/1689 — známé jako EU AI Act — nabylo účinnosti 1. srpna 2024 a postupně aktivuje jednotlivé povinnosti. Pro českou B2B firmu to není abstraktní bruselský dokument; do roku 2027 se všechny klíčové části aplikují na cokoliv, co používáte z oblasti AI. Tento článek je praktický průvodce — bez paniky, s konkrétními povinnostmi, deadliny a kroky pro vaši firmu.

Důležitý disclaimer na začátek: tento text není právní stanovisko. AI Act je nový a interpretace se vyvíjí. Pro konkrétní compliance doporučujeme konzultaci s advokátem specializovaným na technologické právo. Tady ale dostanete praktický rámec, který vám pomůže pochopit, co řešit a v jakém pořadí.

1. Co AI Act vlastně je a proč vznikl

EU AI Act je první komplexní regulace AI na světě. Cílem je zajistit bezpečnost a důvěru v AI systémy při zachování inovační kapacity Evropy. Pracuje na principu risk-based approach — různé AI systémy mají různé povinnosti podle míry rizika, které nesou.

Působnost je extra-teritoriální. Pokud váš AI systém používají uživatelé v EU, musíte AI Act dodržovat — i když firma sídlí mimo EU. Stejný princip jako u GDPR.

2. Časový harmonogram aplikace

Aktuálně (duben 2026) jsme tedy v fázi, kdy platí zákazy + obecné povinnosti pro foundation modely. Za 4 měsíce (srpen 2026) se aktivuje hlavní balík povinností pro high-risk systémy. Pokud váš AI systém spadá do high-risk kategorie a ještě nejste compliant, je nejvyšší čas začít.

3. Čtyři kategorie rizika — kde spadá vaše AI

Kategorie 1: Nepřijatelné riziko (zakázané)

Tyto AI systémy jsou v EU od února 2025 zakázané:

• Sociální skóring občanů (v stylu čínského systému)
• Real-time biometrická identifikace na veřejných místech (s výjimkami pro orgány činné v trestním řízení)
• Emoční rozpoznávání v práci a školách
• Manipulativní AI cílící na zranitelné skupiny
• Predictive policing založené na profilování

Pro 99 % B2B firem irelevantní — ale dobré vědět.

Kategorie 2: Vysoké riziko (high-risk)

Sem spadají AI systémy v regulovaných oblastech:

• Medical devices — AI v zdravotnické technice
• Kritická infrastruktura — energie, doprava
• Vzdělávání — AI rozhodující o přijetí, hodnocení
• Zaměstnanost — AI v náboru, hodnocení zaměstnanců, propouštění
• Přístup k základním službám — credit scoring, pojištění, sociální benefity
• Vymáhání práva — AI v policii a justici
• Migrace a azyl
• Soudnictví a demokratické procesy

Pro českou B2B firmu nejčastější high-risk use case: HR AI nástroje. Pokud má váš HR agent ovlivňovat rozhodnutí o náboru, povýšení nebo propuštění, musíte plnit high-risk povinnosti.

Kategorie 3: Omezené riziko (limited risk)

AI systémy s povinností transparentnosti:

• Chatboti — uživatel musí vědět, že komunikuje s AI
• Deepfakes — musí být označené
• Emotion recognition v B2B (mimo zákazy)
• Biometric categorisation

Většina B2B chatbotů spadá sem. Povinnost: transparentnost.

Kategorie 4: Minimální riziko (minimal risk)

Vše ostatní. AI ve spam filtrech, AI v doporučovacích systémech e-shopu, AI v účetních nástrojích na vytěžování faktur. Žádné AI Act povinnosti, jen doporučení dobrovolných code of conduct.

Většina B2B AI použití (vytěžování faktur, RAG nad firemními daty, AI v zákaznické podpoře u běžných produktů) spadá sem nebo do limited risk.

4. Klíčové povinnosti pro high-risk AI systémy

Pokud váš systém spadá do high-risk, čekají vás tyto povinnosti:

1. Risk management system

Dokumentovaný proces identifikace, posouzení a zmírnění rizik AI systému. Aktualizovaný po celou dobu životního cyklu.

2. Data governance

Tréninková data musí být relevantní, reprezentativní, bez diskriminace. Dokumentace původu, vlastností a omezení dat.

3. Technická dokumentace

Detailní popis systému: architektura, datové sety, training procedury, monitoring, výkonnostní metriky. Musí být dostupná regulátorovi.

4. Logování

Automatické logy událostí pro auditovatelnost. Minimálně 6 měsíců retence (často víc).

5. Transparentnost a informace pro uživatele

Uživatel musí dostat jasné instrukce, jaký je účel, omezení, předpokládaný výkon a jak interpretovat výstupy.

6. Human oversight

Lidská kontrola nad rozhodováním AI. Možnost zasáhnout, přepsat, vypnout systém.

7. Accuracy, robustness a cybersecurity

Systém musí splňovat technické standardy přesnosti, odolnosti vůči chybám a bezpečnosti proti útokům.

8. Conformity assessment

Před uvedením na trh: vlastní (interní) nebo externí (notifikovaná osoba) posouzení shody. CE označení.

9. Registration v EU databázi

Registrace high-risk systému v centrální EU databázi.

10. Post-market monitoring

Kontinuální monitoring výkonu po nasazení. Reporting incidentů.

5. Sankce — co reálně hrozí

AI Act má pokuty vyšší než GDPR:

• Zakázané praktiky: až 35 milionů EUR nebo 7 % globálního obratu (vyšší z toho)
• Porušení povinností high-risk: až 15 mil. EUR nebo 3 % obratu
• Nesprávné informace regulátorovi: až 7,5 mil. EUR nebo 1 % obratu

Pro českou střední firmu s obratem 200 mil. Kč to znamená potenciální pokutu řádu desítek milionů korun. Kontrolním orgánem v ČR bude Český telekomunikační úřad (ČTÚ) ve spolupráci s ÚOOÚ.

6. Vztah k GDPR — jak to spolu funguje

AI Act nenahrazuje GDPR, ale doplňuje ho. Pokud váš AI systém zpracovává osobní data, musíte plnit obě regulace zároveň. V praxi to znamená:

• DPIA (Data Protection Impact Assessment) podle GDPR + Fundamental Rights Impact Assessment podle AI Act u high-risk systémů
• Záznam o činnostech zpracování (GDPR) + technická dokumentace (AI Act)
• Práva subjektů údajů (GDPR) + právo na vysvětlení AI rozhodnutí (AI Act)

Pro firmy s existujícím GDPR programem je rozšíření o AI Act povinnosti přibližně o 30–50 % větší kapacita compliance týmu.

7. Vztah k NIS2 a kybernetické bezpečnosti

Druhá regulace, kterou musíte zvážit, je NIS2 Directive (transponovaná do ČR jako Zákon o kybernetické bezpečnosti). Pokud spadáte pod NIS2 (energetika, doprava, zdravotnictví, finance, výroba s obratem nad 50 mil. EUR a další):

• Vaše AI systémy jsou součástí kybernetického bezpečnostního managementu
• Incidenty na AI systémech musíte hlásit do 24 hodin (NÚKIB)
• Penetrační testy musí pokrývat AI komponenty
• Supply chain security se vztahuje i na AI dodavatele

Pro firmy pod NIS2 je AI Act + NIS2 + GDPR komplexní balík, který nelze řešit ad hoc. Doporučujeme dedikovaného compliance officera nebo externí konsulting.

8. Praktický plán pro českou firmu — 7 kroků

Krok 1: Inventarizace AI systémů

Sepište všechny AI nástroje, které firma používá: vlastní vývoj, SaaS (ChatGPT, Microsoft Copilot), AI funkce v ERP/CRM. Často se zjistí 15–30 systémů, o kterých vedení netušilo.

Krok 2: Klasifikace rizika

Pro každý systém určete kategorii (zakázané / high-risk / limited / minimal). Většina spadne do limited nebo minimal — ale identifikujte high-risk přesně, tam je největší práce.

Krok 3: Gap analýza

Pro high-risk systémy: které z 10 povinností (viz sekce 4) splňujete a které ne? Typicky 60–80 % chybí.

Krok 4: Roadmap k compliance

Plán na 6–12 měsíců s prioritami. Co je nutné dokončit do srpna 2026 (pro existující high-risk), co lze později.

Krok 5: Technická opatření

Logování, monitoring, dokumentace, human oversight UI. Často vyžaduje vývojářské úsilí — počítejte 100–400 hodin podle komplexity.

Krok 6: Procesní opatření

Aktualizace interních směrnic, školení zaměstnanců, jmenování AI compliance officera (může být součást rolí DPO nebo compliance manager).

Krok 7: Externí audit

Pro high-risk systémy vyžadované, pro ostatní doporučené. Cena 80 000 – 400 000 Kč podle rozsahu.

9. Co nás v praxi nejvíc překvapilo u klientů

Z praxe Apertia.ai při AI Act assessmentech:

• HR AI je nejčastější high-risk překvapení — firmy nevědí, že jejich screening CV nástroj nebo performance management systém spadá pod high-risk
• Microsoft Copilot v Office jako AI systém — ano, oficiálně je to AI use, vyžaduje politiku použití
• Třetí strany jsou bezbrané — váš dodavatel CRM s AI funkcemi je často AI providerem, ale nezná své povinnosti
• Dokumentace neexistuje — 90 % firem nemá technickou dokumentaci AI systémů ve formátu, který AI Act vyžaduje

10. Kdy potřebujete externí pomoc

Pokud platí jedno z následujícího, doporučujeme externí konsulting:

• Provozujete jakýkoliv high-risk AI systém
• Spadáte pod NIS2
• Plánujete AI v regulovaných produktech (zdravotnictví, finance)
• Vyvíjíte AI produkty pro EU trh
• Máte více než 5 AI systémů v provozu

V Apertii pomáháme s AI Act compliance jako součást širší AI strategie. Cena audit + roadmap typicky 120 000 – 350 000 Kč podle velikosti firmy a počtu AI systémů.

11. Dobré zprávy: AI Act je příležitost

AI Act compliance se na první pohled tváří jako náklad. Ve skutečnosti přináší výhody:

• Konkurenční diferenciace — zákazníci preferují důvěryhodné AI
• Riziko management — strukturovaný přístup eliminuje technický dluh
• Lepší AI — povinnost dokumentace a monitoring vede k lepším systémům
• Připravenost na budoucnost — další regulace přijdou (US, UK, Asia)

Firmy, které AI Act zvládnou v 2026, budou v 2027–2028 výrazně lépe pozicované než ty, které kompliance odkládají.

Závěr: Nepanikařte, ale začněte

EU AI Act není apokalypsa, ale ani věc, kterou lze ignorovat. Pro většinu B2B firem to znamená několikaměsíční projekt na inventarizaci, klasifikaci a doplnění chybějících technických a procesních opatření. Nejdřív zjistěte, co vlastně provozujete — a pak řešte podle priorit.

Pokud potřebujete pomoct s AI Act assessmentem, gap analýzou nebo přípravou compliance roadmapy, napište nám přes kontakt. Náš tým má zkušenost s desítkami AI implementací včetně compliance pro regulované sektory. Pro automotive specifické use casy doporučujeme i sesterský projekt AutoERP, který má AI řešení s ohledem na regulatorní požadavky automotive sektoru.

Často kladené otázky (FAQ)

Kdy přesně musí být moje firma EU AI Act compliant?

Záleží na typu AI. Zákazy platí od 2. 2. 2025 (relevantní pro 1 % firem). Povinnosti pro general-purpose AI modely od 2. 8. 2025 (řeší providers jako OpenAI, ne uživatelé). Hlavní povinnosti pro high-risk AI systémy od 2. 8. 2026. Pro AI v regulovaných produktech od 2. 8. 2027. Pokud máte high-risk AI v provozu nebo ho plánujete, máte deadline srpen 2026.

Spadá náš AI agent na zákaznickou podporu pod high-risk?

Téměř jistě ne. Standardní zákaznický chatbot spadá do kategorie limited risk — povinnost je jen transparentnost (uživatel musí vědět, že komunikuje s AI). High-risk by byl pouze pokud rozhoduje o přístupu k základním službám (např. credit scoring, pojištění). Většina B2B chatbotů má jednu jednoduchou povinnost: jasné označení AI.

Jaký je rozdíl mezi GDPR a EU AI Act?

GDPR chrání osobní data při jakémkoliv zpracování. AI Act chrání bezpečnost a fundamentální práva při použití AI systémů. Doplňují se — pokud váš AI zpracovává osobní data, musíte plnit obě regulace zároveň. AI Act přidává nové povinnosti (risk management, technická dokumentace, human oversight, conformity assessment), které GDPR nezná.