AI Act: Odpovídáme na nejčastější otázky klientů

Ačkoli AI Act platí již od 1. 8. 2024, reálné povinnosti nabývají platnost postupně. I proto firmy občas podceňují naléhavost této legislativy. Sepsali jsme pro vás nejčastější otázky a odpovědi ohledně AI Actu, abyste měli všechny informace přehledně pohromadě.

Kdy pro nás reálně začínají povinnosti?

Zákaz nekalých praktik a povinnost zajistit AI gramotnost zaměstnanců platí od 2. 2. 2025.
Pravidla pro GPAI (obecné modely) a účinnost sankcí nastala od 2. 8. 2025.
Od 2. 8. 2026 bude AI Act účinný ve zbývajícím rozsahu s výjimkou požadavků na „high-risk“ systémy.
Od 2. 8. 2027 bude AI Act závazný v plném rozsahu.

Jsme „poskytovatel“, když vyvíjíme SaaS a přitom integrujeme cizí AI model?

Poskytovatelem podle nařízení je ten, kdo vyvine nebo nechá vyvinout AI systém/model a uvede ho na trh EU pod svým jménem. Pokud obecný model AI uvedete na trh EU v rámci svého SaaS jako první, nebo pokud je podstatně upravíte – změníte např. jeho účel, schopnosti či systémová rizika, můžete se stát poskytovatelem se všemi povinnostmi. 

Jak poznáme, zda náš produkt spadá do kategorie „high-risk“?

High-risk je (i) bezpečnostní součást produktu regulovaného některým z předpisů uvedených v příloze I AI Act (např. zdravotnické prostředky), pokud se na takový produkt vztahuje povinnost posouzení shody za účelem jeho uvedení na trh, nebo (ii) užití vyjmenované v příloze III AI Act (biometrika, kritická infrastruktura, vzdělávání, HR, přístup k službám, vymáhání práva, migrace, justice). 

Pokud si myslíte, že vaše řešení z přílohy III významné riziko nepředstavuje, musíte své posouzení zdokumentovat a systém AI registrovat do databáze EU.

Máme ve firmě nástroj na předvýběr kandidátů/monitoring výkonu – je to „high-risk“?

Ano, systémy AI k náboru fyzických osob spadají do přílohy III (zaměstnání a řízení pracovníků). Pokud nepatříte mezi úzce specifikované výjimky z čl. 6(3), počítejte s režimem high-risk. 

Jak detailní má být logování?

AI Act stanoví pro high-risk systémy AI povinnost umožnit automatické logování relevantních událostí a uchovávat tyto záznamy min. 6 měsíců. Požadavek na přesný obsah logů se řídí účelem a technickými požadavky daného systému AI. Konkrétní požadavky stanoví čl. 12 pouze pro high-risk systémy AI v oblasti biometriky.

Co přesně má obsahovat technická dokumentace a existuje „light“ verze pro malé a střední podniky (SME)?

Technickou dokumentaci musíte zpracovat, pokud uvádíte na trh vysoce rizikový systém AI. Její obsah podrobně stanoví Příloha IV nařízení (popis systému, účel, návod k použití, popis architektury i procesu vývoje systému atd.). Malé a střední podniky budou moci části dokumentace zpracovat zjednodušeně, k tomu Komise připraví speciální formulář.

V jakém jazyce mají být návody a podklady pro úřady?

Členské státy by měly pro komunikaci ohledně posuzování vysoce rizikových systémů AI stanovit konkrétní úřední jazyk, a to nejen jejich vlastní úřední jazyk, ale i takový úřední jazyk EU, které mu rozumí co nejvyšší počet přeshraničních zavádějících subjektů. 

Nařízení stanoví základní obsah návodu k použití high-risk systémů AI, konkrétní úřední jazyk pro ně ale nepředepisuje. Platí ale, že informace z návodu mají být zavádějícím subjektům přístupné a srozumitelné.  

Vyvíjíme/poskytujeme LLM API – vztahují se na nás GPAI pravidla od 2. 8. 2025?

Pokud uvedete obecný model AI na trh EU prostřednictvím API (aplikační programovací rozhraní), jste považovaní za poskytovatele a pravidla se na vás vztahují.

Jsme „open-source“ poskytovatel GPAI – jsme z části osvobozeni?

Je to možné. Nařízení se vztahuje jen na některé open-source systémy. Na váš model AI se uplatní, pokud je vysoce rizikový, představuje systémové riziko, porušuje některý ze zákazů užití umělé inteligence stanovených nařízením, nebo pokud má specifické funkce uvedené v čl. 50 nařízení. Sem patří např. přímá interakce s lidmi, syntetické vytváření zvukových či obrazových záznamů aj.

Musíme vždy označovat chatbotí/deepfake výstupy?

Ano. Pokud používáte AI, která interaguje s lidmi, a není zcela zřejmé, že jde o AI, musíte na využití AI uživatele upozornit. Pokud váš systém AI vytváří obsah, který by se mohl jevit jako autentický, ať už jde o obraz, zvukové záznamy či videa, nebo pokud s takovým obsahem manipuluje, musíte zveřejnit informaci o tom, že byl obsah vytvořen uměle, nebo že s ním bylo manipulováno.

Kdy potřebujeme FRIA (posouzení dopadů na základní práva) jako provozovatelé?

FRIA je povinné před zavedením high-risk systémů AI veřejnoprávními subjekty a soukromými subjekty poskytujícími veřejné služby (např. vzdělávání, zdravotnictví). Povinné je také pro soukromé subjekty zavádějící vysoce rizikové systémy AI určené k posuzování úvěruschopnosti či pojistného rizika a stanovení cen pro životní a zdravotní pojištění. Výsledky se (s výjimkami) oznamují národnímu dozorovému orgánu.

Kdo nás bude v ČR kontrolovat a kde řešit certifikaci posouzení shody)?

Vláda pověřila Ministerstvo průmyslu a obchodu koordinací implementace nařízení a uložila mu do 31. října předložit návrh zákona o umělé inteligenci.  Český telekomunikační úřad byl jmenován orgánem dozoru nad trhem, Česká agentura pro standardizaci bude odpovídat za vytvoření regulačního sandboxu. 

Úřad pro technickou normalizaci, metrologii a státní zkušebnictví (ÚNMZ) se stal oznamujícím orgánem, který bude jmenovat a oznamovat subjekty posuzování shody. Pokud jste podle nařízení povinni provést posouzení shody high-risk systému AI a nestačí jen interní kontrola, zajistí certifikaci nezávislá organizace, o jejíž kompetenci k provedení certifikace musí rozhodnout ÚNMZ.

Jaké jsou režimy posuzování shody?

Většina high-risk provozovatelů/poskytovatelů z přílohy III (body 2–8) může použít interní kontrolu (bez zapojení tzv. oznámeného subjektu). Pokud však high-risk spadá zároveň pod sektorové předpisy z přílohy I (např. zdravotnické prostředky), jedete podle dané sektorové legislativy a typicky do hry vstupuje tzv. oznámený subjekt, např. Úřad pro technickou normalizaci, metrologii a státní zkušebnictví či jím jmenovaná instituce. 

Jaké jsou sankce?

Za zakázané praktiky až 35 mil. € nebo 7 % celosvětového obratu za předchozí rok; za jiné závažné porušení až 15 mil. € nebo 3 % celosvětového ročního obratu za předchozí rok. Prováděcí předpis upravující konkrétní přestupky zatím v České republice nebyl přijat.