← Blog
Legislativa & Compliance11 min čteníTím PTR Group

AI Act compliance pro firmy: Checklist 2026/2027

AI Act je už platný. Firmy, které dnes nasazují AI nástroje — od ChatGPT přes interní agenty až po HR scoring — musí do srpna 2026 vědět, do které rizikové kategorie patří. Tady je checklist, který vás provede krok za krokem.

Nařízení Evropského parlamentu a Rady (EU) 2024/1689 — obecně známé jako AI Act— nabylo účinnosti 1. srpna 2024. Není to návrh, není to plán do budoucna. Je to platné evropské právo, které se přímo vztahuje na každou firmu v EU, jež AI systémy vyvíjí, nasazuje nebo používá. Přesto většina středoevropských SME o svých povinnostech stále neví — nebo je odkládá s tím, že „to ještě nezačalo platit."

Začalo. První sankce za zakázané AI systémy jsou možné od 2. srpna 2025. Povinnosti pro modely obecného účelu (GPAI) nastupují 2. srpna 2026. Plný rozsah pravidel pro vysoce rizikové AI systémy bude vymahatelný od 2. srpna 2027. Máte okno na přípravu — ale není neomezené.

Tento článek není právnický komentář. Je to operační průvodce: co AI Act říká v praxi, jak klasifikovat vaše AI nástroje a co konkrétně udělat v roce 2026, abyste byli připraveni. Pokud vás zajímá hlubší technický audit vašich AI systémů, podívejte se na náš AI Readiness Audit.

Co vlastně AI Act reguluje

AI Act se vztahuje na firmy ve dvou hlavních rolích: provideři (ti, kdo AI systémy vyvíjejí nebo dávají na trh) a deployers (ti, kdo AI systémy používají ve svých procesech). Pro většinu středoevropských SME je relevantní role deployer — tedy firmy, které nasazují hotové AI nástroje od externích dodavatelů (Microsoft Copilot, ChatGPT Enterprise, AI moduly v ERP, HR screening nástroje a podobně).

Klíčové je pochopit, že nařízení nestanovuje zákaz AI. Reguluje míru rizika a k ní přiřazuje proporcionální povinnosti. Čím vyšší riziko, tím větší compliance závazek. Většina běžných byznys nástrojů spadá do kategorií s minimálními nebo omezenými požadavky. Problémy nastávají tehdy, když firma neví, ve které kategorii její AI systém je.

Čtyři rizikové kategorie: kde stojí vaše firma

1. Nepřijatelné riziko — zakázané systémy

Tyto AI systémy jsou v EU úplně zakázané od 2. srpna 2025. Patří sem například biometrická identifikace osob v reálném čase na veřejných místech, systémy sociálního skórování (hodnocení lidí na základě jejich chování), manipulativní AI využívající podprahové techniky, nebo systémy na predikci kriminálního chování na základě demografických profilů. Pro většinu firem je pravděpodobnost nasazení takových systémů nízká — ale pokud máte jakýkoliv biometrický nebo behaviorální skórovací nástroj, ověřte si jeho klasifikaci prioritně.

2. Vysoké riziko — přísné povinnosti

Vysoce rizikové AI systémy podléhají rozsáhlým požadavkům: dokumentace, hodnocení shody, registrace v databázi EU, lidský dohled a řízení rizik. Do této kategorie spadají AI systémy používané v oblastech jako vzdělávání (systémy na hodnocení výkonu žáků), zaměstnávání (HR screening, hodnocení uchazečů a výkon zaměstnanců), přístup k základním službám (scoring pro úvěry, pojištění), kritická infrastruktura a další citlivé oblasti. Pokud používáte AI k rozhodování o zaměstnancích — například automatický screening CV — jste pravděpodobně deployer vysoce rizikového systému.

3. Omezené riziko — transparentnost

Systémy jako chatboti, deepfake generátory nebo AI asistenti při zákaznickém servisu spadají do této kategorie. Hlavní povinnost je transparentnost: uživatel musí vědět, že komunikuje s AI. Tento požadavek je relativně jednoduchý na splnění — stačí jasné označení v rozhraní nebo uvítací zprávě.

4. Minimální riziko — žádné speciální povinnosti

Většina běžných AI nástrojů pro produktivitu — spamové filtry, doporučovací systémy v e-commerce, AI pro úpravu textu, automatické překlady — patří sem. Zákon pro ně nestanovuje speciální povinnosti, ačkoliv se doporučuje dodržování dobrovolných kodexů chování. Dobrá zpráva: pokud vaše firma používá AI primárně k interním produktivním účelům, jste pravděpodobně v této kategorii.

2. srp 2026

datum nástupu povinností pro GPAI modely

GPAI modely: co to znamená pro vás

Od 2. srpna 2026 vstupují v platnost pravidla pro modely obecného účelu(General Purpose AI, GPAI) — tedy velké jazykové modely jako GPT-4, Claude nebo Gemini. Povinnosti dopadají primárně na providery těchto modelů (OpenAI, Anthropic, Google), ne na firmy, které je jen používají přes API. Pro vás jako deployera to znamená především jedno: ujistěte se, že váš dodavatel GPAI modelu má vlastní dokumentaci a technickou kartu modelu v souladu s AI Act. Tento požadavek by měl být součástí vaší vendor due diligence.

Národní regulátoři — v České republice ÚOOÚ a v Slovenské republice ÚNMS — zatím konkrétní pokyny pro deployery nezveřejnili. Podrobné implementační pokyny se očekávají ve druhé polovině roku 2026, kdy Evropská komise dokončí podpůrné kodexy chování a harmonizované normy. Do té doby platí přímo text nařízení 2024/1689.

Compliance nasazení AI

  • Inventura AI systémů před nasazením
  • Klasifikace rizika podle přílohy III AI Act
  • Smlouva s dodavatelem obsahuje AI Act klauzule
  • Zaměstnanci jsou školeni o fungování AI nástroje
  • Lidský dohled je zdokumentovaný při rozhodnutích
  • Interní kontaktní bod pro AI compliance

Rizikové nasazení AI

  • AI nástroje nasazované bez formálního schválení
  • Neznámá riziková kategorie systému
  • Dodavatelská smlouva neobsahuje AI Act požadavky
  • Zaměstnanci neznají limity nástroje
  • Automatizovaná rozhodnutí bez záznamu o dohledu
  • Odpovědnost za compliance není přiřazena

Checklist: 7 kroků pro SME v roce 2026

Compliance s AI Act nemusí být drtivý projekt. Pro většinu středoevropských malých a středních firem se dá zvládnout ve fázích v průběhu několika měsíců. Tady je operační plán.

  1. Inventura AI systémů

    Zmapujte všechny AI nástroje, které vaše firma používá — včetně SaaS produktů s AI funkcemi, které jste si ani nemuseli vědomě vybírat (např. AI v CRM, automatické třídění podpůrných ticketů, nástroje na analýzu sentimentu). Vytvořte seznam: název nástroje, dodavatel, účel použití, kdo v organizaci ho používá a na jaká rozhodnutí má vliv. Bez tohoto seznamu nemůžete ani začít.

  2. Klasifikace rizika každého systému

    Pro každý nástroj ze seznamu určete rizikovou kategorii podle AI Act. Klíčová otázka: Ovlivňuje tento systém rozhodnutí o lidech v oblastech uvedených v příloze III? (zaměstnávání, vzdělávání, přístup ke službám, bezpečnost). Pokud ano, pravděpodobně jde o vysoce rizikový systém. Pokud systém jen generuje obsah nebo zpracovává interní data bez dopadu na rozhodnutí o osobách, jste s největší pravděpodobností v kategorii minimálního rizika.

  3. Vendor due diligence

    Pro každý identifikovaný AI systém si od dodavatele vyžádejte dokumentaci podle AI Act: technickou kartu modelu (technical documentation), informace o trénování a testování, a prohlášení o shodě pro vysoce rizikové systémy. Doplňte do smluv AI Act klauzule — včetně povinnosti dodavatele informovat vás o změnách systému, které mohou změnit jeho rizikovou klasifikaci. Při výběru nových AI nástrojů (např. přes AI implementaci) zapracujte tato kritéria přímo do výběrových kritérií.

  4. Dokumentace a záznamy

    Pro vysoce rizikové AI systémy je vedení záznamů zákonnou povinností. Zdokumentujte: jaký systém se používá, k jakým účelům, kdo je odpovědný za jeho dohled a jaký je postup eskalace při podezření na chybu nebo zaujatost. I pro systémy nižšího rizika je interní dokumentace rozumná — chrání vás při případném auditu nebo reklamaci ze strany zákazníka.

  5. Školení zaměstnanců

    AI Act explicitně vyžaduje, aby deployers zajistili AI literacy — tedy základní gramotnost a kompetence — u zaměstnanců pracujících s AI systémy (čl. 4). Nestačí systém nainstalovat. Tým musí rozumět tomu, co nástroj dělá, co nedělá, a kdy je třeba zasáhnout lidským úsudkem. Naplánujte základní školení pro každou skupinu uživatelů — zvláště pro ty, kteří s AI dělají rozhodnutí o jiných lidech.

  6. Nastavení interního řízení (governance)

    Určete, kdo v organizaci odpovídá za AI compliance. Pro většinu SME to nebude samostatná pozice, ale přidaná odpovědnost stávajícího manažera (např. COO, IT manažer, právník). Vytvořte jednoduchou politiku schvalování nových AI nástrojů: kdo musí odsouhlasit nasazení nového AI systému před jeho spuštěním? I jeden e-mailový krok navíc může zabránit nasazení nekvalifikovaného nástroje.

  7. Monitoring a revize

    AI Act není jednorázový úkol. Systémy se mění, nové verze mění fungování modelu, dodavatelé upravují podmínky. Nastavte si roční cyklus revize: překontrolujte inventuru, ověřte, zda se nezměnila klasifikace některého systému, a zkontrolujte smluvní podmínky s klíčovými AI dodavateli. Sledujte i vývoj sekundární legislativy — harmonizované normy a kodexy chování, které Komise průběžně vydává.

Compliance jako příležitost, ne zátěž

Inventura a klasifikace AI systémů má vedlejší efekt, který většina firem přehlédne: přinutí vás zjistit, co vlastně používáte a proč. Mnoho organizací zjistí, že platí za AI nástroje, které nikdo aktivně nevyužívá, nebo že duplicitní systémy dělají totéž bez koordinace. Pokud vás zajímá, jak z této inventury vytěžit i provozní užitek, podívejte se na náš článek o snižování operačních nákladů pomocí AI.

Firmy, které přistupují k AI Act compliance systematicky, získávají interní registr AI systémů, jasnou odpovědnost za technologická rizika a lepší základ pro vyjednávání s dodavateli. To jsou výhody, které mají hodnotu i bez regulačního tlaku.

Cílem není naplnit šanon dokumenty. Cílem je vědět, co vaše systémy dělají — a mít o tom důkaz, když se někdo zeptá.

Potřebujete AI Act audit?

Pomůžeme vám zmapovat AI systémy ve vaší firmě, klasifikovat je podle AI Act a nastavit compliance procesy. Bez zbytečné byrokracie.

Bezplatná konzultácia