Když jsme v LK Media poprvé podrobně analyzovali, co tenhle nový evropský zákon o umělé inteligenci reálně znamená, polil mě studený pot. Jako agentura jsme na AI doslova postavení. Pomáháme klientům automatizovat procesy, zkracujeme práci z týdnů na hodiny, generujeme texty, analyzujeme data. A najednou se ukázalo, že spousta věcí, které celý trh bere jako běžný standard, je z pohledu nové regulace minimálně na hraně. Nebo za ní.
Museli jsme od základů přehodnotit, jak AI pro klienty (i pro sebe) používáme.
Drtivá většina firem v Česku zatím žije v blažené nevědomosti. Myslí si, že se jich regulace AI netýká, protože přece „nevyvíjejí vlastní ChatGPT“. Omyl. Obrovský omyl. Právní jazyk je sice suchý a nesrozumitelný, ale dopady jsou naprosto reálné pro každého, kdo ve firmě klikne na enter v jakémkoliv AI nástroji.
Nalijme si čistého vína. Nechci vás strašit, chci vás připravit.
Shrnutí pro ty, kteří nemají čas
- AI Act oficiálně vstoupil v platnost už v srpnu 2024. Nečeká se na nějaké magické datum v budoucnu, hodiny už tikají.
- Některé povinnosti UŽ platí — od února 2025 máte ze zákona povinnost zajistit takzvanou AI gramotnost pro všechny své lidi.
- Finanční postihy jsou astronomické. Strop je 35 milionů eur nebo 7 % celosvětového obratu (podle toho, co je vyšší).
- Do srpna 2026 musí drtivá většina firem plně přiznat barvu — pokud na webu používáte chatbota, zákazník musí jasně vědět, že si nepíše s živým člověkem.
- V České republice na to celé nebude dohlížet ÚOOÚ jako u osobních údajů, ale překvapivě Český telekomunikační úřad (ČTÚ).
Co je AI Act a proč vás to zajímá
Zkusme to lidsky. AI Act EU je vůbec první komplexní zákon o umělé inteligenci na světě. A má jednu naprosto zásadní vlastnost: je to nařízení, nikoliv směrnice.
Proč na tom záleží? Směrnici musí každý stát nejdřív složitě přepsat do vlastních zákonů (což u nás obvykle trvá roky a vznikne z toho kočkopes). Nařízení platí přímo. Prostě bum, a je to tady.
Základní chyták, na kterém teď spousta majitelů firem pohoří, je slovíčko „deployer“ (v české verzi nařízení překládané dost krkolomně jako „zavádějící subjekt“ nebo prostě ten, kdo AI nasazuje). Vy si možná myslíte, že regulace míří jen na giganty jako OpenAI, Google nebo Microsoft. Ti jsou v kategorii „poskytovatelů“ a mají samozřejmě ten nejpřísnější metr.
Ale vy, jako e-shop, který používá AI na psaní popisků produktů, nebo jako účetní firma, co si nechá AIčkem vytěžovat faktury, jste deployer.
A máte povinnosti.
Vzpomeňte si na jaro 2018. GDPR hysterie. Kdo čekal na poslední chvíli, ten platil nesmyslné částky za narychlo spíchnuté audity, nebo prostě dojel na pokutách. AI Act je v mnoha ohledech ještě přísnější. Zatímco u GDPR byl strašákem strop 20 milionů eur, tady jsme na 35 milionech.
AI Act vs. GDPR — poučení z minulosti
Když už jsme nakousli to GDPR, pojďme si tyhle dva strašáky postavit vedle sebe, ať vidíte, v čem je rozdíl.
Co přesně řešíme | GDPR (Ochrana osobních údajů) | AI Act (Regulace umělé inteligence) |
Maximální pokuta | 20 milionů EUR nebo 4 % obratu | 35 milionů EUR nebo 7 % obratu |
Hlavní cíl | Ochrana soukromí a dat lidí | Bezpečí, zdraví a základní práva |
Přístup k regulaci | Plošný (víceméně pro všechny stejně) | Odstupňovaný podle 4 kategorií rizika |
Vzpomínáte, jak to vypadalo těsně před květnem 2018? Firmy, co čekaly na poslední chvíli, krutě doplatily. Právníci a konzultanti byli vyprodaní na měsíce dopředu a ti, co zbyli, si účtovali nesmyslné „přirážky za paniku„. Spousta podnikatelů to tehdy podcenila a pak jen zírali na tučné pokuty od ÚOOÚ. U AI Actu se řítíme do úplně stejné zdi, jen v mnohem větší rychlosti.
AI Act je navíc technologicky i právně mnohem komplexnější. On totiž nestojí ve vzduchoprázdnu, ale brutálně se prolíná právě s GDPR a do toho ještě s novou kyberbezpečnostní směrnicí NIS2. A tady přichází ta nejhorší zpráva pro vaši peněženku: pokud váš AI systém poruší pravidla pro umělou inteligenci a zároveň u toho neoprávněně zpracuje osobní údaje, úřady to neberou jako jeden prohřešek. Firma v takovém případě čelí pokutám z OBOU nařízení najednou. Zkuste si ta procenta z obratu sečíst, to už je částka, která položí i hodně stabilní byznys.
Timeline — co platí kdy (vizuální přehled)
Legislativa se mění rychle, do toho se neustále hlasuje o výjimkách a posunech. Berte to s lehkou rezervou, tohle je stav, který platí k dubnu 2026.
- Srpen 2024: Vstup v platnost ✅ (Tady to celé oficiálně začalo).
- Únor 2025: Zákaz nepřijatelných praktik + povinná AI gramotnost ✅ (Tohle UŽ PLATÍ, i když se o tom skoro nemluví).
- Srpen 2025: Povinnosti pro poskytovatele velkých modelů (tzv. GPAI) ✅ (UŽ PLATÍ).
- Srpen 2026: Pravidla transparentnosti (povinné označování chatbotů, deepfakes) a regulace high-risk systémů ⏳ (ZA 4 MĚSÍCE).
(Malá odbočka: Kolem high-risk systémů je teď trochu zmatek. Evropský parlament nedávno v rámci takzvaného Omnibusu odhlasoval poměrem 569:45 posun účinnosti pro některé vysoce rizikové systémy až na prosinec 2027. Ale pozor — ještě to není definitivně schválené Radou EU, takže se na ten odklad rozhodně nespoléhejte.)
4 kategorie rizik — do které spadáte vy?
Evropská unie na to šla přes rizika. Nezakazuje technologii jako takovou, ale omezuje to, k čemu ji používáte. Rozdělili to do čtyř škatulek.
1. Zakázané systémy (Tohle prostě nesmíte)
Naprosté tabu. Sem patří věci, které znějí jako z Black Mirror. Social scoring (bodování občanů jako v Číně), podprahová manipulace (AI, co vás nutí udělat něco, co byste normálně neudělali), biometrické třídění lidí podle rasy nebo politických názorů.
Pro firmy je tu ale jeden obrovský vykřičník: rozpoznávání emocí na pracovišti. Pokud byste chtěli nasadit AI kamery nebo software, který podle výrazu tváře zaměstnanců hodnotí, jestli jsou dostatečně motivovaní nebo jestli nemají depresi — zapomeňte na to. Rovnou. Stejně tak sem spadají různé „nudifier„ aplikace na generování falešných nahotinek. Za tohle padá ta maximální pokuta 35 milionů eur.
2. High-risk (Vysoce rizikové systémy)
Tady začíná ta pravá byrokracie. Jde o 8 specifických oblastí, kde AI rozhoduje o osudech lidí. Justice, kritická infrastruktura, školství (AI co hodnotí u zkoušek).
A hlavně — HR a nábory.
Abychom byli úplně přesní, AI Act definuje přesně těchto 8 vysoce rizikových oblastí: biometrie, kritická infrastruktura (např. řízení dopravy nebo vody), vzdělávání, zaměstnanost (HR), přístup k základním službám (např. bankovnictví), práce policie, migrace a nakonec justice.
Pojďme si to ukázat na konkrétních příkladech pro běžné české firmy. Pokud jako banka nebo nebankovka nasadíte AI credit scoring, který automaticky vyhodnocuje, jestli Frantovi z Horní Dolní dáte hypotéku, jste po krk v high-risk kategorii. Úplně stejně jste na tom, pokud ve firmě používáte moderní HR software s AI screeningem životopisů. Nástroje jako Recruitee, HireVue nebo další platformy, které automaticky projíždějí CVčka a vyřazují kandidáty, vás automaticky hážou do téhle přísné škatulky. Nebo AI, která hodnotí výkon vašich zaměstnanců pro účely povýšení – to je taky high-risk.
A čeká vás peklo. Musíte mít dokonalou technickou dokumentaci, zavedený robustní risk management a hlavně — musíte zajistit „human oversight„. Člověk z masa a kostí musí mít vždy možnost to AIčko vypnout nebo jeho rozhodnutí přepsat. Dále musíte logovat historii rozhodování AI minimálně 6 měsíců dozadu, abyste při kontrole prokázali, proč algoritmus rozhodl tak, jak rozhodl. A třešnička na dortu? Než takový systém vůbec začnete používat, musíte projít formálním posouzením shody (tzv. conformity assessment) a získat pro něj CE značku, podobně jako když prodáváte elektroniku nebo dětské hračky.
3. Omezené riziko (Tady je drtivá většina z nás)
Sem spadají chatboty, generování AI obrázků, deepfakes a AI texty. Vaše jediná, ale naprosto klíčová povinnost je transparentnost.
Musíte lidem říct, že se baví se strojem.
Pokud máte na e-shopu zákaznickou podporu, kterou vyřizuje AI, musí tam být jasně napsáno: „Jsem AI asistent“. Zákazník nesmí žít v iluzi, že si píše s paní Janičkou z Brna. Je tu ale jedna docela vtipná výjimka. Pokud AI vygeneruje text, ale vy ho před publikováním jako člověk zkontrolujete, upravíte a vezmete za něj redakční zodpovědnost, nemusíte ho nálepkou „Vygenerováno AI“ označovat.
Tohle je naprosto zásadní zpráva pro všechny marketéry, copywritery a obsahové agentury. Znamená to, že se z vašich blogů, newsletterů a postů na sítě nestane přehlídka povinných varování jak na krabičce od cigaret. Zákonodárci naštěstí pochopili, že AI je dnes v podstatě pokročilý psací stroj. Podmínkou ale je ten lidský faktor — text nesmí jít z ChatGPT rovnou na web. Musí projít lidskou redakcí a podepsaný autor (nebo firma) za něj nese plnou právní i faktickou odpovědnost. Pokud tohle dodržíte, jste z obliga a žádné AI štítky lepit nemusíte.
4. Minimální riziko (Pohoda)
Spam filtry. Překladače. Algoritmy, co vám na e-shopu doporučují podobné produkty. AI ve videohrách. Tady nemáte žádné povinnosti. Můžete si to používat, jak chcete.
Abychom si to shrnuli na českých reáliích:
Když má lokální e-shop chatbota na dotazy k dopravě, je to omezené riziko. Když česká korporace nasadí AI na filtrování životopisů, je to high-risk. Když si marketér nechá napsat návrh newsletteru od ChatGPT a pak ho sám doladí, je to minimální riziko.
Vidíte ten rozdíl? Záleží na použití, ne na nástroji samotném.
Shadow AI — ten největší průšvih
Tohle je věc, ze které nespí šéfové IT oddělení po celém světě. A měli byste z ní nespát i vy.
Podle posledních dat 57 % zaměstnanců vkládá citlivá firemní data do neschválených AI nástrojů. A 78 % lidí si doslova „nosí vlastní AI do práce“ — prostě si na mobilu nebo v prohlížeči otevřou svůj osobní účet u nějakého AI nástroje, protože firemní systémy jsou moc pomalé nebo zakázané.
Tohle je časovaná bomba.
Představte si Pepu z obchodu. Pepa je super obchodník, ale nerad čte dlouhé texty. A zrovna mu přišla od klienta obří, šedesátistránková smlouva o mlčenlivosti (NDA) a spolupráci. Pepa si řekne: „Nejsem blbej, ušetřím čas.“ Vezme to PDF, hodí ho do bezplatné verze ChatGPT nebo nějakého náhodného PDF-shrnovače, co našel na Googlu, a napíše prompt: „Shrň mi hlavní rizika v této smlouvě.“
Pepa je nadšený, za minutu má výsledek.
Co Pepa neví? Právě odeslal kompletní klientská data, obchodní tajemství a osobní údaje na servery třetí strany, kde se na nich ten model může učit. Právní oddělení by v tu chvíli pravděpodobně spáchalo rituální sebevraždu. Došlo k porušení NDA, k porušení GDPR a k porušení interních směrnic.
Shadow AI (stínová umělá inteligence) znamená, že vaši lidi používají AI, vy o tom nevíte, nemáte nad tím kontrolu a nesete za to plnou právní zodpovědnost.
Co UŽ musíte splňovat (a možná nesplňujete)
Jak jsem psala v timeline nahoře, jedna zásadní věc už platí od února 2025. Jmenuje se to AI gramotnost (AI literacy).
Evropská unie si řekla, že když už ty stroje nasazujeme, lidi musí chápat, jak fungují. A nařídila firmám, aby zajistily dostatečnou úroveň AI gramotnosti pro všechny zaměstnance, kteří s těmito systémy pracují.
Ne, nestačí poslat do firemního Slacku odkaz na desetiminutové video na YouTube.
Evropská komise se k tomu vyjádřila docela jasně. Musíte mít prokazatelný systém školení. Musíte lidem vysvětlit, jak AI funguje, jaká má rizika (halucinace, bias), co do ní smí dávat za data a co ne. A pozor — netýká se to jen kmenových zaměstnanců na HPP. Musíte proškolit i dodavatele a IČaře, pokud v rámci práce pro vás sahají do vašich AI systémů.
Zodpovědnost za to nese vedení firmy. Pokud přijde kontrola, musíte ukázat dokumentaci: kdo byl proškolen, kdy, z čeho a jak jste ověřili, že to pochopil. Pokud tohle nemáte, jste už teď v přestupku.
Praktický checklist — co udělat teď, co do léta, co do konce roku
Teorie je fajn, ale co s tím v praxi? Rozdělila jsem to do tří fází, abyste to mohli začít řešit postupně a nezhroutili se z toho.
IHNED (Hoří to)
Včera bylo pozdě. Tohle musíte vyřešit během následujících týdnů.
- Vytvořte interní AI směrnici: Jasná pravidla na jednu A4. Co se smí používat, co se nesmí, jaká data jsou přísně zakázaná vkládat do veřejných modelů.
- Udělejte audit Shadow AI: Zeptejte se lidí (ideálně anonymně), co reálně používají. Budete se hodně divit.
- Zajistěte školení AI gramotnosti: Udělejte pořádný workshop. Nechte si to podepsat. Založte do HR složek.
- Prověřte zakázané praktiky: Ujistěte se, že vaše IT nebo HR neexperimentuje s nějakým softwarem na sledování nálady lidí přes webkamery.
DO SRPNA 2026 (Čas na přípravu)
Tohle je váš hlavní milník pro transparentnost.
- Inventura AI systémů: Sepište si do tabulky úplně všechno, kde firma používá AI. Od Canvy přes ChatGPT až po specializované účetní softwary.
- Klasifikace rizik: Ke každému řádku v tabulce přiřaďte jednu ze 4 kategorií (Minimal, Limited, High-risk, Unacceptable).
- Označte chatboty: Pokud máte na webu automatickou podporu, přidejte disclaimer. „Jsem AI, ne člověk.„
- Prověřte dodavatele: Pokud vám externí agentura dělá marketing, zeptejte se jich, jak s AI pracují oni a jestli to mají ošetřené. (Jako LK Media posíláme klientům náš AI manifest automaticky).
DO KONCE 2026 / 2027 (Těžká váha)
Pokud jste zjistili, že máte high-risk systémy (třeba to AI filtrování životopisů), tady začíná ta pravá sranda.
- Zaveďte Risk Management: Proces pro hodnocení rizik před nasazením nového AI nástroje.
- Sepsání technické dokumentace: Detailní popis toho, jak váš high-risk systém funguje.
- Nastavení Human Oversight: Jasný proces, kdo z masa a kostí dohlíží na výstupy AI a jak může její rozhodnutí zvrátit.
- Logging: Zapněte a bezpečně ukládejte logy o tom, jak systém fungoval. Musíte je držet minimálně 6 měsíců.
PRŮBĚŽNĚ (Nekonečný příběh)
Tím, že si odškrtnete tabulky, to bohužel nekončí. AI i zákony se vyvíjejí raketovým tempem.
- Sledujte legislativní vývoj: Evropa ráda věci mění za pochodu. Hlídejte si výstupy z takzvaného omnibusu a případné odklady účinnosti pro váš sektor.
- Monitorujte AI systémy: To, co je dnes bezpečný nástroj, může po zítřejším updatu od vývojáře začít posílat data bůhvíkam. Prověřujte to.
- Aktualizujte školení: AI gramotnost není jednorázová akce. Jak přibývají nové modely a rizika, musíte znalosti týmu updatovat.
- Spolupracujte s AI/IT právníky: Nedělejte si právní analýzy sami přes Google. Najděte si někoho, kdo průniku technologií a práva opravdu rozumí, a mějte ho na speed dialu.
Český kontext — kdo nás bude hlídat
Jak se to celé propíše do české byrokracie? Gestorem (tím, kdo to má politicky na starosti) je Ministerstvo průmyslu a obchodu (MPO). Vládním zmocněncem pro digitalizaci a AI je Jan Kavalírek, který se snaží držet docela rozumný směr.
Ale to hlavní: Kdo vám může reálně napálit tu pokutu?
Zatímco u GDPR všichni znají Úřad pro ochranu osobních údajů, dozor nad AI Actem u nás s největší pravděpodobností dostane Český telekomunikační úřad (ČTÚ). Dává to smysl, mají už pod sebou digitální agendu z jiných evropských nařízení (třeba DSA).
Český adaptační zákon (zákon o umělé inteligenci), který jen technicky propojí evropské nařízení s naším právním řádem, by měl být předložen do září 2025. Dobrá zpráva je, že česká vláda zvolila „minimalistický přístup„. To znamená žádný gold-plating. Nebudou si vymýšlet další přísnější pravidla navíc, prostě jen překlopí to, co vyžaduje Evropa.
Česká agentura pro standardizaci (ČAS) už dokonce rozjíždí takzvaný regulační sandbox. To je pískoviště, kde si firmy mohou pod dohledem úřadů testovat svoje AI řešení a zjišťovat, jestli jsou v souladu se zákonem, aniž by hned dostaly přes prsty.
A jak jsme na tom jako trh? Krásně to ukázal nedávný obří průzkum AI MOMENTUM 2026, do kterého se zapojilo 1033 českých firem. Čísla mluví naprosto jasně: plných 90 % českých firem s AI do budoucna počítá a vidí v ní příležitost. Realita je ale taková, že jen pouhých 11 % z nich ji má reálně ukotvenou v nějaké formální firemní strategii. Zbytek prostě jen tak improvizuje. A improvizace se s AI Actem opravdu neslučuje.
Z tohoto průzkumu vyplynul ještě jeden obrovský problém. Pro 80 % firem je aktuálně největší bariérou pro bezpečné a smysluplné nasazení AI nedostatek interních odborníků. Firmy vědí, že by to měly řešit, ale prostě nemají lidi, kteří by dokázali propojit byznys, technologie a právě novou legislativu do jednoho funkčního celku.
Závěr
Vraťme se na začátek. 35 milionů eur nebo 7 % obratu. To jsou likvidační částky. I když u menších firem budou pokuty samozřejmě nižší a měly by být proporční, riskovat to nedává smysl. Vykašlat se na to je aktuálně to nejhorší byznysové rozhodnutí, které můžete udělat.
V LK Media tohle řešíme denně. Pomáháme firmám s bezpečnou a legální implementací AI. Nejsme jen teoretici od stolu — sami AI používáme na maximum. Nedávno jsme pro jednoho klienta stavěli systém, který zkrátil zpracování specifických dat z 5 týdnů na 1 hodinu. Ale udělali jsme to tak, aby to bylo neprůstřelné z pohledu GDPR i nového AI Actu.
Pokud nechcete trávit noci studiem evropských směrnic, ozvěte se. Projdeme si, jak AI reálně používáte, najdeme vaše „shadow AI„ kostlivce ve skříni a nastavíme pravidla. Konzultace začínají na 3 000 Kč za hodinu. Věřte mi, že je to lepší investice než pak vysvětlovat ČTÚ, proč váš chatbot slíbil zákazníkovi něco, co neměl, a nikdo nevěděl, že to je stroj.
FAQ
Co je AI Act?
Je to první komplexní právní rámec Evropské unie (nařízení) regulující umělou inteligenci. Rozděluje AI systémy do čtyř kategorií podle rizika (od minimálního po zakázané) a stanovuje pravidla pro jejich vývoj a používání.
Kdy začne AI Act platit?
Oficiálně vstoupil v platnost v srpnu 2024. Povinnost AI gramotnosti platí už od února 2025. Klíčová pravidla pro transparentnost (např. označování chatbotů) a vysoce rizikové systémy začnou pro většinu firem platit v srpnu 2026.
Jaké jsou pokuty za porušení AI Act?
Pokuty jsou extrémně vysoké. Za porušení zakázaných praktik hrozí sankce až 35 milionů eur nebo 7 % celosvětového ročního obratu firmy. Za méně závažná porušení (např. chybějící transparentnost) jsou pokuty nižší, ale stále likvidační (až 15 milionů eur).
Musím označovat obsah vytvořený AI?
Ano, pokud jde o interakci se strojem (chatbot) nebo o deepfakes (fotorealistické obrázky, video, audio). Výjimkou jsou texty vygenerované AI, které následně projdou lidskou redakcí a člověk za ně převezme odpovědnost – ty speciálně označovat nemusíte.
Jak se připravit na AI Act?
Začněte auditem toho, jaké nástroje vaši lidé reálně používají (odhalte tzv. shadow AI). Vydejte interní směrnici, zajistěte povinné školení AI gramotnosti pro všechny zaměstnance a zmapujte si, zda nespadáte do kategorie vysoce rizikových systémů (např. při automatizovaném náboru lidí).
