AI Act pro české firmy 2026: kompletní průvodce povinnostmi

Nařízení Evropského parlamentu a Rady (EU) 2024/1689, známé jako AI Act, je první komplexní regulace umělé inteligence na světě. V platnosti je od 1. srpna 2024 a má fázovou účinnost — různé povinnosti se aktivují postupně mezi únorem 2025 a srpnem 2027. Pro českou firmu klíčové jsou tři milníky: únor 2025 (AI gramotnost), srpen 2025 (povinnosti GPAI poskytovatelů) a srpen 2026 (transparentnost + high-risk systémy).

AI Act platí přímo — není potřeba český prováděcí zákon, ačkoliv ten je v přípravě. Dozorovým orgánem v ČR byl určen Český telekomunikační úřad (ČTÚ), nikoliv Úřad pro ochranu osobních údajů, jak by se intuitivně zdálo. To je důležitý detail: o AI compliance se v Česku jedná s ČTÚ, nikoliv s ÚOOÚ (ten řeší GDPR, což je samostatná agenda i když se s AI Actem často překrývá).

Co je AI Act a koho se týká

AI Act je horizontální nařízení, které reguluje jakýkoliv systém umělé inteligence uvedený na trh, do provozu nebo používaný v EU. Definice AI systému je široká — vychází z mezinárodního OECD standardu a zahrnuje strojové učení, velké jazykové modely (LLM), počítačové vidění, expertní systémy i kombinace deterministických algoritmů s ML komponentou.

Pravidla nedopadají jen na poskytovatele (kdo AI vyrábí), ale i na uživatele („deployery"), dovozce a distributory. Pro běžnou českou firmu je nejčastější role deployer — tj. někdo, kdo AI nakoupil nebo má v cloudu (ChatGPT, Microsoft Copilot, Google Gemini, Claude, Midjourney) a používá ji v rámci své podnikatelské činnosti.

Důležitý princip: AI Act se vztahuje na využití, ne na velikost firmy. Pokud OSVČ s jediným zaměstnancem používá ChatGPT v každodenní práci, povinnost AI gramotnosti platí stejně jako pro tisícihlavou korporaci. Velikost firmy ovlivňuje jen rozsah opatření (proporcionalita), ne fakt povinnosti.

Rizikový přístup — čtyři kategorie AI

AI Act dělí systémy do čtyř kategorií podle úrovně rizika, které představují pro lidi a společnost:

1. Zakázané praktiky (od února 2025)

Nepřípustné použití AI, které je v EU plošně zakázáno bez výjimky. Patří sem:

• Sociální skóring občanů státem nebo firmou (čínský model)
• Podprahová manipulace zranitelných osob (děti, osoby se zdravotním postižením, ekonomicky zranitelní)
• Biometrická kategorizace na základě citlivých údajů (náboženství, etnický původ, sexuální orientace)
• Reálná biometrická identifikace ve veřejném prostoru orgány činnými v trestním řízení (s úzkými výjimkami pro závažné trestné činy)
• Predikce kriminality výhradně na základě profilu
• Rozpoznávání emocí v zaměstnání a školství (s výjimkou bezpečnostních a zdravotnických důvodů)
• Plošné scrapování fotografií obličejů z internetu pro tvorbu databází pro identifikaci

2. Vysoce rizikové (high-risk) systémy

AI použitá v citlivých oblastech, kde má rozhodnutí vliv na práva a životy lidí. Pravidla pro tuto kategorii platí od 2. srpna 2026. Patří sem AI použitá pro:

• HR a zaměstnávání — screening CV, hodnocení uchazečů, automatizované propouštění, monitoring výkonu zaměstnanců
• Vzdělávání — automatizované hodnocení žáků, predikce výsledků, přijímání na školy
• Úvěrové scoring a rozhodování o úvěrech fyzických osob (vyjma podvodu)
• Pojišťovnictví — risk scoring zdravotního a životního pojištění
• Veřejné služby — přidělování sociálních dávek, stanovení podpor
• Migration management — žádosti o vízum, žádosti o azyl
• Justice a vymáhání práva — predikce recidivy, podpora rozhodnutí soudů
• Biometrická identifikace a kategorizace mimo zakázaný režim
• Kritická infrastruktura — energetika, doprava, vodárenství

Pro high-risk systémy musí provozovatel zajistit: technickou dokumentaci systému, posouzení rizik, lidský dohled (human oversight), logování rozhodnutí po dobu minimálně 6 měsíců, vysokou kvalitu trénovacích dat a transparentní informace pro dotčené osoby.

3. Omezené riziko — transparentnost

Systémy, které musí být uživatelům „přiznané" — člověk musí vědět, že komunikuje s AI nebo že vidí AI-generovaný obsah. Pravidla platí od 2. srpna 2026. Patří sem:

• Chatboti a voiceboti — uživatel musí být informován, že komunikuje s AI, ne s živým člověkem (pokud to není zjevné z kontextu)
• Deepfake obsah — AI obraz, audio nebo video napodobující skutečnou osobu musí být označen
• AI-generovaný text o věcech veřejného zájmu — pokud je publikován za účelem informování veřejnosti (zprávy, články), musí být označen, ledaže prošel lidskou editorskou kontrolou
• Systémy rozpoznávání emocí — pokud nejsou zakázané (viz výše), pak musí být uživateli oznámeno, že jsou jeho emoce analyzovány

4. Minimální riziko

Zbytek AI použití — spamové filtry, AI v hrách, AI navigace, doporučovací systémy v e-shopech. Pro tyto účely žádné povinné regulace nejsou. Doporučují se dobrovolné kodexy chování.

Harmonogram účinnosti — co kdy začíná platit

1. srpna 2024 — vstoupil v platnost

AI Act formálně začal platit. Žádné povinnosti zatím nedopadají — jen běží přechodná lhůta.

2. února 2025 — zákazy + AI gramotnost

První skutečné povinnosti. Zakázané praktiky jsou ode dneška protiprávní. A — kritická povinnost pro každou firmu — článek 4 AI Actu o AI gramotnosti vstupuje v účinnost. Detaily níže v sekci „AI gramotnost".

2. srpna 2025 — povinnosti GPAI

Poskytovatelé obecných AI modelů (General-Purpose AI, GPAI) — tedy OpenAI, Anthropic, Google, Meta, Mistral, xAI a další — mají od tohoto data povinnost:

• Zveřejnit technickou dokumentaci modelu
• Zveřejnit shrnutí trénovacích dat (s ohledem na autorská práva)
• Mít zavedenou politiku pro dodržování copyright (EU směrnice 2019/790)
• U „systémově významných" GPAI navíc: posouzení rizik, kybernetická bezpečnost, monitorování incidentů

Pro běžnou českou firmu, která GPAI jen používá, je tato fáze relevantní jen nepřímo — máš jistotu, že tvůj poskytovatel ChatGPT/Claude/Gemini má povinnost zveřejnit technické info, které pak používáš jako vstup do vlastního compliance.

2. srpna 2026 — transparentnost + high-risk

Nejvýznamnější datum pro většinu českých firem. Aktivují se:

• Všechny transparenční povinnosti (chatboti, deepfake, AI obsah)
• Povinnosti pro vysoce rizikové systémy uvedené v Příloze III AI Actu
• Plné pravomoci dozorových orgánů — v ČR ČTÚ — k ukládání sankcí

2. srpna 2027 — finální fáze

Účinnost pro high-risk AI vestavěnou do regulovaných produktů (zdravotnické prostředky, hračky, automobily, výtahy). Pro typickou českou firmu nebývá relevantní.

AI gramotnost (článek 4) — platí už od února 2025

Tohle je první povinnost, která se týká téměř každé firmy v ČR, a často se podceňuje, protože „nezní jako regulace" — ale je to plnohodnotná povinnost s vymahatelností ze strany ČTÚ.

Článek 4 AI Actu zavádí povinnost zajistit dostatečnou úroveň AI gramotnosti u všech, kteří se podílí na provozu AI systému jménem firmy — tj. zaměstnanci, externí spolupracovníci, subdodavatelé. Evropská komise v květnu 2025 v podrobném vysvětlení uvedla, že povinnost není splněna tím, že se zaměstnancům pošle odkaz na video „jak používat ChatGPT". To je doslova označeno jako „neefektivní a nedostatečné".

Co musí AI gramotnost obsahovat (dle Evropské komise):

• Porozumění principu fungování AI — co je LLM, co je deterministický model, jak funguje halucinace, kde jsou limity
• Schopnost kriticky posoudit výstupy — ne slepě kopírovat, co AI vygeneruje
• Znalost rizik spojených s daty — co se stane, když do veřejného ChatGPT vložím obchodní tajemství nebo osobní údaje klientů
• Znalost firemních pravidel — která data smí do AI a která ne
• Vědomí povinné transparentnosti — kdy je potřeba uživateli říct, že obsah generoval AI

Co musí firma doložit

ČTÚ ani Evropská komise nepředepisují konkrétní formu školení. Doloženo musí být písemně:

• AI Use Policy / interní směrnice — dokument, kde firma definuje, jaké AI nástroje smí zaměstnanci používat, k čemu, a jaká data tam nesmí dávat.
• Záznam o proškolení — kdo, kdy a v jakém rozsahu absolvoval školení o AI. Doporučuje se elektronický podpis nebo e-learningový záznam.
• Pravidelná aktualizace — AI se mění rychle. Roční opakování školení je rozumný standard.

Transparentnost od srpna 2026 — praktické dopady

Chatboti a voiceboti

Od 2. 8. 2026 musí každý chatbot na webu nebo voicebot (telefonní AI) explicitně informovat uživatele, že komunikuje s AI. Forma sdělení musí být jasná, rozpoznatelná a v jazyce uživatele. Doporučené formulace:

• „Komunikujete s virtuálním asistentem (AI). Pro spojení s živým operátorem napište 'operátor'."
• „Jsem AI chatbot. Mé odpovědi nejsou právním poradenstvím."

Výjimka platí, pokud je AI povaha „zjevná z kontextu" — typicky chatbot s ikonou robota a názvem „AI Assistant" splní povinnost i bez explicitního textu. Ale lepší je explicitní disclosure — zbavíš se rizika sporu se ČTÚ.

Deepfake obsah

Jakýkoliv AI obraz, audio nebo video, který napodobuje skutečnou osobu, místo, událost nebo fakt, musí být označen jako AI-generovaný. Standardní metody:

• Vodoznak nebo viditelný text přímo v obraze („AI generated" / „vytvořeno AI")
• Metadata (C2PA, IPTC) — strojově čitelná informace v souboru
• Doprovodný popisek u obrazu/videa na sociální síti nebo webu

Marketing agentury, které generují AI obrazy pro klienty (např. ilustrace v reklamní kampani), musí klientům dodávat materiály už označené nebo jasně instruovat klienta, jak označení provést. Riziko nese deployer = ten, kdo obsah zveřejní.

AI-generované texty

Pravidlo se týká především textů publikovaných za účelem informovat veřejnost o věcech veřejného zájmu — zprávy, novinářské články, politické komentáře, vědecké interpretace. Pokud takový text vznikl plně AI a nebyl podroben lidské editorské kontrole, musí být označen.

Pro běžné firemní použití (marketingový text na webu, popisky produktů, e-mailové šablony) tato povinnost neplatí — předpokládá se, že prošly redakční kontrolou, i kdyby AI je předkoncipovala.

Vysoce rizikové systémy — co musíš splnit

Pokud tvá firma od 2. 8. 2026 provozuje AI v některé z výše uvedených kategorií (HR screening, úvěrové scoring, atd.), nejde o žádnou formalitu. Povinnosti jsou rozsáhlé a zahrnují:

• Technická dokumentace AI systému — popis modelu, trénovacích dat, validace, omezení
• Risk management system — průběžné identifikování a mitigace rizik
• Data governance — vysoká kvalita, reprezentativnost a relevantnost trénovacích dat
• Lidský dohled (human oversight) — možnost člověka zasáhnout, přerušit a změnit rozhodnutí
• Logování rozhodnutí po dobu minimálně 6 měsíců (typicky 6 let pro auditní účely)
• Transparentní informace pro dotčené osoby — uchazeč o práci ví, že CV hodnotí AI; žadatel o úvěr ví, že scoring dělá algoritmus
• Posouzení dopadu na základní práva (Fundamental Rights Impact Assessment, FRIA) — pro veřejnoprávní deployery povinné, pro soukromé doporučené
• Registrace v EU databázi high-risk systémů (pro některé typy)

Český telekomunikační úřad — váš nový dozor

Volba ČTÚ jako dozorového orgánu pro AI Act vyvolala kontroverze — proč ne ÚOOÚ, který má zkušenosti s GDPR? Důvody:

• ČTÚ má technické kapacity pro hodnocení složitých digitálních systémů (tradičně dohlíží na telekomunikace a digitální služby).
• ÚOOÚ je přetížen GDPR agendou.
• AI Act se s GDPR překrývá, ale není totožný — jiný předmět (AI bezpečnost vs. ochrana osobních údajů).

Co to znamená pro firmy:

• O AI compliance jednáte s ČTÚ, ne s ÚOOÚ. Pokud ale AI zpracovává osobní údaje, máte zároveň GDPR povinnosti vůči ÚOOÚ — dvě paralelní agendy.
• ČTÚ má pravomoc vyžádat dokumentaci, provádět kontroly na místě a ukládat pokuty.
• Sankce ČTÚ jsou napadnutelné u soudu (Nejvyšší správní soud), ale řízení trvá roky — preventivní compliance se vyplatí.

Sankce — kolik vás stojí porušení

AI Act zavádí třístupňový systém sankcí podle závažnosti porušení:

Top tier — zakázané praktiky

Pokud firma porušuje zákazy podle článku 5 (sociální skóring, podprahová manipulace, biometrika citlivých údajů, atd.): až 35 mil. EUR nebo 7 % globálního ročního obratu — podle toho, co je vyšší. Pro typickou českou firmu je 7 % obratu daleko menší než 35 mil. EUR, ale principálně je strop nastaven pro nadnárodní korporace.

Střední tier — non-compliance high-risk

Porušení povinností pro vysoce rizikové systémy: až 15 mil. EUR nebo 3 % globálního obratu.

Nižší tier — nepřesné informace a transparentnost

Porušení povinnosti transparentnosti (chatbot nezveřejněn, deepfake neoznačen): až 7,5 mil. EUR nebo 1 % globálního obratu.

Proporcionalita pro malé firmy

AI Act článek 99(7) vyžaduje, aby při ukládání sankcí byla zohledněna velikost firmy, ekonomická situace, povaha porušení a předchozí compliance historie. Pro mikrofirmy a startupy se v praxi očekávají sankce výrazně pod stropem — typicky desítky až stovky tisíc EUR za vážná porušení. Ale princip „velký strop, proporcionální dopad" mění incentivy — firmy berou compliance vážněji, protože nikdo nechce být první test case.

Český soud: AI-only dílo není autorské dílo

Jeden z prvních významných českých rozhodnutí k AI vydal Městský soud v Praze v roce 2024 ve věci plakátu plně vygenerovaného AI bez lidského tvůrčího zásahu. Klíčové závěry:

• AI-generated dílo bez prokazatelného lidského tvůrčího vstupu není autorským dílem podle autorského zákona č. 121/2000 Sb.
• Není tedy chráněno autorskými právy — kdokoliv jej může užívat komerčně.
• Lidský zásah ve formě „kliknutí na prompt" není dostatečný pro vznik tvůrčího prvku.
• Pokud člověk AI obraz významně edituje, ladí, doplňuje nebo kompozičně upravuje, lidský vstup může postačit pro autorské dílo.

Tohle není přímo AI Act povinnost, ale praktický dopad pro firmy je velký:

• Pokud používáte AI generovaný obsah pro marketing/branding,nemůžete jeho užití zákazat konkurenci (není to vaše chráněné dílo).
• Smlouvy s AI nástroji (Midjourney, DALL-E) řeší licenci k použití, ne autorství.
• Pokud chcete chránit „AI brand identity", potřebujete lidský tvůrčí zásah dokumentovaný v procesu (úprava, kombinace s lidskou ilustrací, kompoziční rozhodnutí).

Compliance checklist pro českou firmu

Praktický seznam dokumentů a opatření, které by měla mít připravená každá firma do srpna 2026:

A) AI Use Policy

Interní směrnice (1–10 stran podle velikosti firmy):

• Schválené AI nástroje a zakázané AI nástroje
• Co se smí a co se nesmí do AI vkládat (osobní údaje, obchodní tajemství, kód, klientská data)
• Pravidla pro označování AI-generovaného obsahu navenek
• Odpovědná osoba ve firmě (AI champion / DPO)
• Sankce za porušení (pracovněprávní rovina)

B) AI Literacy Training Record

Doklad o proškolení každého zaměstnance — datum, rozsah, podpis nebo e-learning záznam. Aktualizace minimálně 1×ročně.

C) AI Risk Assessment

Pro každý AI systém ve firmě:

• K čemu se používá, kdo má přístup
• Klasifikace rizika (zakázané / high-risk / limited / minimální)
• Identifikované rizika a mitigace
• Plán reakce na incidenty

D) Chatbot Disclosure

Pokud provozujete chatbot / voicebot:

• Explicitní zpráva o AI charakteru asistenta
• Možnost přepnutí na živého operátora (doporučeno)
• Informace v dokumentaci o trénovacích datech

E) Deepfake / AI obsah označování

Pravidlo, jak se značí AI generovaný obsah ve firemních materiálech — viditelný vodoznak, metadata, popisek.

F) HR AI procesy (pokud relevantní)

• Informování uchazečů o AI screeningu CV
• Lidský dohled — člověk musí potvrdit vyřazení
• Logování rozhodnutí AI
• Procesní právo na vysvětlení (uchazeč může požádat o odůvodnění)

G) GDPR koordinace

AI Act se nepřekrývá s GDPR — doplňuje ho. Pokud AI zpracovává osobní údaje, máte navíc:

• DPIA (Data Protection Impact Assessment) podle GDPR
• Informování subjektů údajů o AI zpracování
• Právo na lidský přezkum automatizovaného rozhodnutí (čl. 22 GDPR)

Praktický postup: jak začít

1. Inventarizace AI nástrojů ve firmě. Sepiš všechno, co používáš nebo plánuješ — od ChatGPT po HR screening, od chatbota na webu po AI nástroje od dodavatelů v jejich SaaS produktech. Často firmy mají AI tam, kde si to neuvědomují (Microsoft Copilot v Office 365, Google Workspace AI features, Salesforce Einstein).
2. Klasifikuj rizikové kategorie. Z každého nástroje urči: zakázaný / high-risk / limited / minimální. U pochybnosti zvol vyšší kategorii (bezpečnější).
3. Napiš AI Use Policy. Krátký, srozumitelný dokument. Šablony jsou dostupné — Microsoft, Google, IAPP, česká advokátní kancelář Havel & Partners zveřejnily veřejné vzory.
4. Proškol tým. 1–2 hodiny prezentace + Q&A. Doložené účastí, podpisy nebo e-learning recordem.
5. Nasaď transparenční opatření. Pokud máš chatbot, deepfake produkty, AI texty — do srpna 2026 musí být označené.
6. Sleduj vývoj českého prováděcího zákona. MPSV a Ministerstvo průmyslu připravují národní implementační zákon — ten může doplnit specifika (např. notifikace ČTÚ, výjimky pro malé firmy).

Časté otázky k AI Actu

Jsem OSVČ a používám ChatGPT na texty. Týká se mě AI Act?

Ano, jako uživatele (deployer). Konkrétně:

• AI gramotnost — pro sebe sama. Můžeš si „prokázat" sebevzděláváním (kurzy, dokumentace), nemusí jít o externí certifikát.
• Žádné data klientů do ChatGPT bez souhlasu — z GDPR důvodů (paralelní agenda).
• Označení AI obsahu — pokud generuješ pro veřejnou publikaci o veřejně zajímavých tématech (publicistika, PR), označit. Pro běžný marketing zboží není povinné.

Máme na webu chatbot postavený na ChatGPT. Co musíme udělat?

Do 2. srpna 2026:

• Přidat disclosure — „Komunikujete s AI"
• Možnost přepnutí na živého operátora (doporučeno, není přímo povinné, ale výrazně snižuje riziko sporu)
• Mít AI Use Policy
• Vyhodnotit, zda chatbot zpracovává osobní údaje (GDPR)

Pokud chatbot dělá rozhodnutí o uživateli (např. odmítá ho jako klienta, schvaluje úvěr), spadáš pod high-risk a vstupují další povinnosti.

Používáme HR software, který sám AI filtruje CV. Co s tím?

Pokud AI vyřazuje uchazeče bez lidského zásahu, jste v high-risk kategorii. Postup:

• Zaveďte lidské revize před vyřazením
• Informujte uchazeče o AI screeningu (typicky v inzerátu)
• Vyžádejte si od poskytovatele HR softwaru technickou dokumentaci AI (oni mají povinnost ji mít)
• Zaveďte logování (kdo, kdy, na základě čeho byl vyřazen)

Generuji deepfake memy se známými lidmi pro firemní soc. sítě. Mohu?

Můžete, pokud:

• Memy jsou jasně označené jako AI generated (vodoznak nebo popisek)
• Nedochází k poškození pověsti dotčené osoby (občanský zákoník § 81 a násl. — ochrana osobnosti)
• Nepoužíváte cizí fotku jako trénovací data bez licence (autorský zákon)

Praxe: většina českých firem deepfake známých osob nevyužívá — riziko soudních sporů (i mimo AI Act) je vysoké.

Jsme rodinná firma se 4 zaměstnanci. Vážně musíme řešit AI Act?

Ano, ale proporcionálně. Tři reálná opatření:

• 2stránková AI Use Policy podepsaná všemi 4 zaměstnanci
• 1 hodina týmového školení o AI (klidně řízeného šéfem) s dokumentovaným zápisem
• Pokud máš chatbot na webu, disclosure do srpna 2026

Náklady: 0 Kč až 5 000 Kč (advokátní šablona, když si nejste jistí). Rozhodně méně než pokuta i v proporcionalizované verzi.

AI Use Policy a interní směrnice z vlastní šablony za 2 minuty

Mnoho compliance dokumentů potřebných pro AI Act — AI Use Policy, Training Record, Risk Assessment, Chatbot Disclosure — se opakuje napříč firmou nebo pro různé klienty (pokud jste advokát/konzultant). Pokud máš vlastní Word šablonu AI policy, NDA s AI klauzulemi nebo směrnici GDPR-AI koordinace, nahraj ji do Dokumentomatu, klikni místa k vyplnění (název firmy, IČO, odpovědná osoba, používané AI nástroje, datum) a generuj vyplněné kopie .docx + PDF za pár sekund místo ručního přepisování v každém Wordu zvlášť.

Vlastní vzor nemáš? Stáhni veřejně dostupné šablony AI policy od advokátních kanceláří (Havel & Partners, ROWAN LEGAL, Kinstellar publikují vzory) a nahraj ji do Dokumentomatu jako svou základní šablonu. Funguje s jakýmkoliv .docx souborem — Dokumentomat sám nedrží katalog hotových šablon, je to generátor pro tvé vlastní vzory.

Zaregistruj se zdarma— 5 dokumentů měsíčně zdarma. Advokáti a compliance konzultanti s opakovanými klienty používají Starter za 299 Kč/měs s 50 dokumenty a uložením vlastních šablon pro celý tým.

Další čtení

• GDPR ve smlouvách: co musí obsahovat — paralelní agenda k AI Actu
• NDA / mlčenlivost: jak na to — chránění firemních dat při použití AI
• Kdy potřebuješ právníka — a kdy stačí vzor (platí i pro AI compliance)