Regulace nových technologií je v současnosti jedním z nejpalčivějších témat pro firmy i IT specialisty. Evropská unie se v této oblasti stala světovým průkopníkem s přijetím Nařízení o umělé inteligenci (Artificial Intelligence Act – AI Act), prvního komplexního právního rámce pro AI na světě. Tento akt, který vstoupil v platnost v srpnu 2024 a bude postupně nabývat plné účinnosti, má zásadní dopad na všechny subjekty, které AI vyvíjejí, dodávají nebo používají na území EU, včetně českých firem a veřejné správy.
Cílem AI Actu je najít rovnováhu mezi podporou inovací a zajištěním bezpečnosti, transparentnosti a dodržování základních práv a hodnot EU v éře umělé inteligence. Pro české podniky to znamená nutnost přehodnotit své stávající i plánované AI systémy a zavést nové procesy, aby se vyhnuly potenciálně likvidačním sankcím.
Základní pilíř: Přístup založený na riziku ⚖️
Základem AI Actu je tzv. přístup založený na riziku (risk-based approach). Nařízení rozděluje systémy umělé inteligence do čtyř kategorií podle potenciální míry ohrožení zdraví, bezpečnosti a základních práv občanů. Od této kategorizace se odvíjí i rozsah regulatorních povinností:
1. Nepřijatelné riziko (Zakázané systémy)
Jedná se o systémy, které jsou považovány za jasnou hrozbu pro základní práva a jsou v EU zcela zakázány. Sem patří například:
- Systémy sociálního kreditního hodnocení (social scoring) ve stylu Číny.
- Některé techniky podprahové manipulace s chováním zranitelných skupin (např. dětí nebo osob se zdravotním postižením).
- Biometrické kategorizační systémy využívající citlivé charakteristiky (rasa, politické názory, sexuální orientace apod.).
- Hromadné a necílené „škrabání“ obličejů (face scraping) z internetu za účelem vytváření databází pro rozpoznávání obličejů.
🗓️ Účinnost: Zákazy těchto praktik začnou platit už od února 2025.
2. Vysoké riziko (High-Risk AI)
Tyto systémy představují značné riziko a podléhají nejpřísnějším požadavkům před uvedením na trh i během provozu. Za vysoce rizikové se považují AI systémy v kritických oblastech, jako jsou:
- Zdravotnictví: Diagnostické a rozhodovací systémy.
- Vzdělávání a nábor zaměstnanců: Hodnocení uchazečů o práci, testování a hodnocení studentů.
- Veřejná správa a prosazování práva: Prediktivní policejní systémy, systémy pro posuzování žádostí o sociální dávky či azyl.
- Kritická infrastruktura: Řízení dopravy, energetické sítě.
- Poskytování úvěrů: Rozhodování o úvěrových žádostech, které má vliv na ekonomickou situaci osob.
Klíčové povinnosti pro vysoce rizikové systémy (pro poskytovatele i uživatele):
- Zavedení systému řízení rizik (identifikace, vyhodnocování a zmírňování rizik po celou dobu životnosti AI).
- Použití vysoce kvalitních datových souborů pro trénování (data musí být relevantní, reprezentativní, bez chyb a minimalizující riziko diskriminace).
- Vedení technické dokumentace a záznamů, které prokazují shodu (audit trail).
- Zajištění transparentnosti a vysvětlitelnosti fungování systému.
- Zavedení lidského dohledu (human oversight).
- Povinnost registrace v celoevropské databázi AI systémů.
- Provedení posouzení shody (Conformity Assessment) před uvedením na trh (podobné jako CE značení u výrobků).
🗓️ Účinnost: Většina povinností pro vysoce rizikové AI začne platit od srpna 2026 (pro systémy zařazené v příloze III) a od srpna 2027 (pro systémy dle přílohy I, pokud jde o harmonizovanou sektorovou legislativu).
3. Omezené riziko (Limited-Risk AI)
Tyto systémy musí splňovat požadavky na transparentnost, aby byl uživatel informován o tom, že jedná s AI. Jedná se například o:
- Chatboty a virtuální asistenty: Uživatel musí být informován, že s ním komunikuje stroj.
- Systémy generující obsah (deepfakes): Vygenerovaný nebo upravený obsah (audio, video, text) musí být jasně označen jako uměle vytvořený nebo zmanipulovaný.
4. Minimální riziko
Většina AI systémů, jako jsou spamové filtry, jednoduché videohry nebo základní AI pro třídění dat, spadá do této kategorie a nepodléhá specifickým povinnostem AI Actu, ale je doporučeno dodržovat dobrovolné kodexy chování.
Dopad na české firmy: Kdo je zasažen a jak se připravit 🇨🇿
AI Act se netýká jen globálních technologických gigantů, ale i českých firem a organizací – a to bez ohledu na jejich velikost nebo to, zda AI vyvíjejí, nebo jen používají.
AI Act rozlišuje klíčové role, které nesou různé povinnosti:
- Poskytovatel (Provider): Firma, která vyvíjí nebo nechává vyvinout AI systém a uvádí ho na trh. Tyto subjekty nesou nejširší spektrum povinností, zejména u vysoce rizikových AI (řízení rizik, dokumentace, posouzení shody).
- Uživatel (Deployer): Firma, která AI systém používá pro svůj provoz (např. nemocnice používající AI pro diagnostiku, banka pro hodnocení úvěrů nebo HR oddělení pro nábor). Uživatelé musí zajistit správné používání AI, dohled nad jejím fungováním a v některých případech také posouzení dopadů na základní práva.
- Dovozce a Distributor: Tyto subjekty musí ověřit, zda AI systém od externího dodavatele splňuje požadavky AI Actu, zejména zda má provedené posouzení shody a potřebnou dokumentaci.
Klíčové kroky pro české firmy:
- Inventura a Klasifikace AI systémů: Provést kompletní přehled všech používaných nebo vyvíjených AI systémů a klasifikovat jejich riziko podle AI Actu. Zjistit, zda některý systém nespadá do kategorie Zakázané nebo Vysoce rizikové.
- AI Compliance Program: Zavedení interních procesů a politik pro řízení rizik spojených s AI (tzv. AI Governance framework). Je nutné určit odpovědnou osobu (např. AI Officer) a zajistit, aby procesy, data a dokumentace odpovídaly požadavkům AI Actu.
- Zajištění Datové Kvality a Transparentnosti: U vysoce rizikové AI investovat do auditu tréninkových dat, zajištění jejich reprezentativnosti a minimalizace zkreslení (bias). Zajistit, aby byla rozhodnutí AI vysvětlitelná (např. transparentní pro klienty nebo zaměstnance).
- AI Gramotnost: Akt vyžaduje zajištění odpovídající AI gramotnosti pro zaměstnance, kteří se systémy AI pracují, což znamená nutnost zavést interní školení.
Sankce za porušení AI Actu: Likvidační pokuty 💰
Nereagování na AI Act nebo úmyslné či nedbalostní porušování jeho ustanovení může mít pro české firmy závažné právní a finanční důsledky, které se v míře přísnosti podobají sankcím známým z nařízení GDPR. AI Act rozlišuje tři úrovně pokut podle závažnosti porušení, přičemž pokuta se vždy stanoví jako vyšší z částek: buď pevně stanovená částka v EUR, nebo procento z celkového ročního celosvětového obratu podniku za předchozí finanční rok.
| Závažnost porušení | Maximální pokuta (částka / obrat) | Příklad porušení |
| Nejzávažnější porušení | 35 milionů EUR nebo 7 % z celosvětového ročního obratu | Použití zakázaných AI systémů (např. sociální skórování, nepovolená biometrická identifikace). |
| Vážné porušení | 15 milionů EUR nebo 3 % z celosvětového ročního obratu | Nedodržení klíčových povinností pro vysoce rizikovou AI (např. chybějící systém řízení rizik, nedostatečná dokumentace, nevyhovující trénovací data). |
| Ostatní porušení | 7,5 milionu EUR nebo 1,5 % z celosvětového ročního obratu | Nesplnění jiných povinností (např. nepravdivé či neúplné informace pro dozorové orgány, nezaregistrování systému AI do databáze EU, menší porušení pravidel transparentnosti). |
💡 Poznámka: Pro malé a střední podniky (SME) nařízení stanovuje snížené limity pro správní pokuty (např. 7,5 milionu EUR nebo 1,5 % za nejzávažnější porušení, 5 milionů EUR nebo 1 % za vážné porušení). Přesto se jedná o velmi vysoké částky, které mohou ohrozit existenci menších firem.
AI Act jako konkurenční výhoda
Ačkoliv AI Act klade na české firmy významné administrativní a finanční nároky, včasná příprava a zavedení robustního systému AI compliance představuje pro firmy také konkurenční výhodu. Systémy, které splňují přísné evropské standardy transparentnosti, bezpečnosti a etiky, mohou získat důvěru klientů a obchodních partnerů v EU i mimo ni.
Pro české IT specialisty a firmy je nyní klíčové:
- Neignorovat regulaci: Průzkumy ukazují, že mnoho českých firem AI Act podceňuje. Je nutné začít s přípravami včas, ideálně ještě před plnou účinností nařízení v roce 2026.
- Implementovat řízení rizik: Přijmout AI Act nikoliv jen jako právní problém, ale jako součást systému řízení kvality a rizik.
- Školit a dokumentovat: Zajistit AI gramotnost zaměstnanců a pečlivě vést veškerou dokumentaci a záznamy o provozu AI systémů.
Regulační rámce nových technologií jsou jasným důkazem, že inovace a etika musí jít ruku v ruce. AI Act v tomto ohledu definuje budoucí směr – pro české firmy představuje výzvu, ale i příležitost stát se lídry v odpovědném a důvěryhodném využívání umělé inteligence.