EU AI Act pro MSP: co reálně musíte řešit v roce 2026
„My AI nevyvíjíme, takže nás AI Act netýká." Tato věta je jedním z nejnebezpečnějších omylů v EU compliance prostoru roku 2026.
Autor: Splnit.eu, Redakce Splnit.eu
Co je EU AI Act a kdy se plně aplikuje
EU AI Act (Nařízení EU č. 2024/1689) vstoupil v platnost v srpnu 2024. Povinnosti se zavádějí postupně:
**Pro MSP je klíčový srpen 2026** — od tohoto data musíte plně plnit povinnosti pro systémy vysokého rizika, které ve firmě nasazujete.
| Termín | Co vstupuje v platnost |
|---|---|
| Únor 2025 | Zákaz AI systémů s nepřijatelným rizikem (okamžitě závazné) |
| Srpen 2025 | Povinnosti pro poskytovatele a nasazovatele systémů obecného účelu (GPAI) |
| Srpen 2026 | Plná aplikace — povinnosti pro systémy vysokého rizika (kapitola III) |
| 2027 a dál | Rozšíření na AI systémy ve stávajících produktech regulovaných jinými právními předpisy |
Dvě základní role: poskytovatel vs. nasazovatel
EU AI Act rozlišuje, co s AI systémem děláte:
Poskytovatel (provider)
Firma, která AI systém vyvíjí a uvádí na trh — ať už jako samostatný produkt nebo jako součást jiného produktu. Pokud váš SaaS produkt obsahuje AI funkce (doporučovací engine, prediktivní analytika, automatizované rozhodování) a nabízíte ho zákazníkům, jste poskytovatel.
**Povinnosti poskytovatele jsou nejpřísnější** — technická dokumentace, conformity assessment, CE označení u systémů vysokého rizika, registrace v EU databázi.
Nasazovatel (deployer)
Firma, která AI systém jiného subjektu používá pro vlastní účely — ať už interně nebo jako součást vlastní služby zákazníkům. Pokud používáte Salesforce AI, GitHub Copilot, AI HR nástroj třetí strany — jste nasazovatel.
**Povinnosti nasazovatele jsou mírnější, ale reálné** — zejména u systémů vysokého rizika.
**Praktická otázka pro váš produkt:** Rozhoduje AI systém autonomně o věcech, které ovlivňují vaše zákazníky nebo jejich zákazníky? Pokud ano — pravděpodobně nejste jen nasazovatel, ale i poskytovatel.
Riziková klasifikace: klíč k pochopení povinností
EU AI Act třídí AI systémy do kategorií podle míry rizika. Vaše povinnosti závisí primárně na tom, do jaké kategorie váš AI systém spadá.
Nepřijatelné riziko — zakázáno
Tyto systémy je zakázáno vyvíjet, prodávat i používat:
**Pro MSP prakticky irelevantní** — pokud nepracujete pro bezpečnostní složky nebo státní aparát.
- Sociální skórování státem (hodnocení občanů na základě jejich chování)
- Manipulativní AI, která využívá psychologické slabosti nebo podprahové techniky
- Biometrická identifikace osob v reálném čase na veřejných místech (až na výjimky pro bezpečnostní složky)
- AI systémy predikující kriminální chování na základě osobnostních rysů
- Neoprávněné skenování obličeje a vytváření databází
Vysoké riziko — nejpřísnější povinnosti
Toto je kategorie, kde většina MSP podceňuje svou expozici.
**Systém vysokého rizika je každý AI systém, který:**
**Kdy se to týká MSP v praxi:**
**Klíčový test:** Má AI systém přímý nebo nepřímý vliv na rozhodnutí, která ovlivňují lidská práva, přístup k příležitostem nebo fyzickou bezpečnost lidí?
- 1. Je součástí produktu regulovaného specifickými EU direktivami (zdravotnické prostředky, hračky, automobily, letectví), NEBO
- 2. Spadá do jedné z oblastí Přílohy III AI Actu:
- Biometrická identifikace a kategorizace
- Kritická infrastruktura (energetika, voda, doprava)
- **Vzdělávání a odborné vzdělávání** (hodnocení studentů, přijímací procesy)
- **Zaměstnání a řízení pracovníků** — sem spadá velká část HR nástrojů
- Přístup k základním soukromým a veřejným službám (úvěrové skórování, pojišťovnictví)
- Bezpečnostní složky a trestní justice
- Migrace a správa hranic
- Příklad AI nástroje: AI HR systém filtrující životopisy | Kategorie: ⚠️ Vysoké riziko | Proč: Rozhoduje o přístupu k zaměstnání
- Příklad AI nástroje: AI hodnotící výkon zaměstnanců | Kategorie: ⚠️ Vysoké riziko | Proč: Ovlivňuje pracovní podmínky
- Příklad AI nástroje: AI chatbot zákaznické podpory | Kategorie: ✅ Omezené nebo min. riziko | Proč: Nepřijímá rozhodnutí, jen komunikuje
- Příklad AI nástroje: Prediktivní analytika prodejů | Kategorie: ✅ Minimální riziko | Proč: Nepřímo ovlivňuje lidi
- Příklad AI nástroje: AI přepis hovorů | Kategorie: ✅ Minimální riziko | Proč: Podpůrný nástroj, ne rozhodovací
- Příklad AI nástroje: AI pro scoring zákazníků / úvěrů | Kategorie: ⚠️ Vysoké riziko | Proč: Ovlivňuje přístup k finančním službám
- Příklad AI nástroje: GitHub Copilot | Kategorie: ✅ Minimální riziko | Proč: Podpůrný nástroj pro vývojáře
Omezené riziko — transparentnost
Tyto systémy nemají přísné povinnosti, ale musejí být transparentní:
**Praktický dopad pro MSP:** Pokud váš produkt nebo zákaznická podpora využívá AI chatbota — musíte uživatele informovat, že mluví s AI. To platí od již od srpna 2026.
- **Chatboti** musejí být označeni jako AI — uživatel musí vědět, že komunikuje s automatizovaným systémem, ne člověkem.
- **Syntetická média** (deepfake, AI generovaný obraz/video/audio) musejí být označena jako uměle vytvořená.
- **AI generovaný text** vydávaný za zprávy nebo jiný autorský obsah musí být označen.
Minimální riziko — bez specifických povinností
Naprostá většina AI nástrojů v podnikání spadá sem:
Pro tyto systémy AI Act nevyžaduje žádné specifické povinnosti — ale dobrá praxe zahrnuje základní dokumentaci o tom, jaké AI nástroje používáte a proč.
- Spam filtry, antivir s ML prvky
- AI doporučovací systémy (Netflix typ)
- Prediktivní analytika pro interní rozhodování
- AI nástroje produktivity (přepis, shrnutí, asistence při psaní)
- Většina AI vývojářských nástrojů
Co musí nasazovatel se systémem vysokého rizika konkrétně dělat
1. Inventura a riziková klasifikace — první a nejdůležitější krok
Než plníte jakékoli povinnosti, musíte vědět, jaké AI systémy používáte. Projděte:
Pro každý systém určete: jde o systém vysokého rizika? Kdo je jeho poskytovatel? Jakou má dokumentaci?
- Všechny SaaS nástroje a jejich AI funkce (zkontrolujte conditions of service)
- HR systémy — zejména jakékoli automatizované hodnocení nebo filtrování
- CRM s AI skórováním zákazníků
- Bezpečnostní nástroje s AI detekcí
2. Zajistit technickou dokumentaci od providera
Než nasadíte systém vysokého rizika, musíte mít k dispozici technickou dokumentaci, která vám umožní posoudit, zda systém funguje tak, jak má. Vyžádejte si od poskytovatele:
Pokud vám to provider odmítne poskytnout — je to varovný signál.
- Popis funkcionality a limitací systému
- Informace o tréninkových datech (bylo použití dat zákonné?)
- Výsledky testování a hodnocení přesnosti
- Informace o tom, jak systém funguje při hraniční nebo neobvyklé vstupu (edge cases)
3. Zajistit lidský dohled (human oversight)
Pro systémy vysokého rizika musí existovat mechanismus, který umožňuje lidské přezkoumání a přepsání AI rozhodnutí.
**Co to konkrétně znamená:**
V praxi: pokud AI HR systém označí uchazeče jako nevhodného, musí existovat člověk, který toto rozhodnutí může přezkoumat a případně zvrátit. AI nesmí být jediným a konečným rozhodovacím prvkem v záležitostech, které mají právní nebo jiný závažný dopad na fyzické osoby.
**Jak to dokumentovat:** Zdokumentujte proces — kdo rozhodnutí AI přezkoumává, v jakých situacích, jak se přezkum zaznamenává.
4. Transparentnost vůči dotčeným osobám
Pokud AI systém vysokého rizika používáte v oblastech, kde zasahuje do práv nebo příležitostí fyzických osob (HR, úvěrování, vzdělávání), musíte tyto osoby informovat, že jsou předmětem automatizovaného zpracování.
**Příklad:** Zaměstnanci musejí být informováni, pokud HR systém používá AI ke sledování výkonu nebo hodnocení — a to způsobem, který je srozumitelný, ne jen skrytý v pracovní smlouvě.
5. Vedení záznamů o používání
Nasazovatelé systémů vysokého rizika musejí uchovávat záznamy o automaticky generovaných lozích na dobu odpovídající systému a použití — minimálně po dobu stanovenou provozovatelem nebo sektorovou legislativou.
**Prakticky:** Ujistěte se, že váš AI systém loguje svá rozhodnutí a že tyto logy uchováváte. Pro HR systémy to znamená uchovávat záznamy o AI hodnoceních po dobu stanovenou zákoníkem práce.
6. Posouzení dopadů na základní práva (FRIA)
Toto je povinné pro specifické kategorie nasazovatelů — zejména veřejné orgány a soukromé subjekty poskytující veřejné služby, pokud nasazují systémy vysokého rizika v oblastech uvedených v příloze III.
Pro typické MSP jde o okrajový požadavek, ale pokud vaše firma poskytuje platformy pro vzdělávání, HR procesy nebo hodnocení zákazníků ve větším měřítku — konzultujte s právníkem, zda FRIA potřebujete.
Praktický checklist: kde začít
Krok 1: Inventura AI nástrojů
- [ ] Vytvořte seznam všech AI nástrojů a SaaS produktů s AI funkcemi, které ve firmě používáte
- [ ] Pro každý nástroj: kdo je poskytovatel, co AI funkce dělá, koho se týká
- [ ] Označte nástroje, které ovlivňují rozhodnutí o lidech (HR, zákazníci, finance)
Krok 2: Riziková klasifikace
- [ ] Pro každý nástroj z předchozího kroku: odpovídá popis funkce některé kategorii v Příloze III AI Actu?
- [ ] Pokud ano: systém je vysokého rizika → pokračujte kroky 3–6
- [ ] Pokud ne: systém je minimálního nebo omezeného rizika → jen transparentnost (krok 7)
Krok 3–6: Pro systémy vysokého rizika
- [ ] Vyžádejte si technickou dokumentaci od poskytovatele
- [ ] Zdokumentujte mechanismus lidského dohledu
- [ ] Zkontrolujte, že dotčené osoby jsou informovány o AI zpracování
- [ ] Ověřte, že systém loguje svá rozhodnutí a záznamy uchováváte
Krok 7: Transparentnost
- [ ] Jsou vaši chatboti a AI asistenti označeni jako AI vůči uživatelům?
- [ ] Pokud generujete obsah pomocí AI pro zákazníky nebo veřejnost, je označen jako AI generovaný?
Nejčastější omyly MSP v kontextu AI Actu
**„Vendor to vyřeší za nás."** Ne úplně. Pokud jste nasazovatel systému vysokého rizika, máte vlastní povinnosti — bez ohledu na to, co udělal nebo neudělal vendor. Vendor odpovídá za svou část (technická dokumentace, conformity assessment), vy odpovídáte za svou (lidský dohled, informování osob, záznamy).
**„Naše AI jen doporučuje, nerozhoduje."** Hranice mezi doporučením a rozhodnutím je tenčí, než vypadá. Pokud AI filtruje životopisy a HR manažer přijme 95 % jejích doporučení bez přezkumu, AI fakticky rozhoduje. Regulace se dívá na skutečný vliv, ne formální popis.
**„Nemáme žádné AI systémy."** Každý SaaS produkt, který používáte, pravděpodobně má AI funkce — od spamových filtrů po CRM skórování. Proveďte inventuru — výsledky vás mohou překvapit.
TL;DR
- EU AI Act se plně aplikuje od srpna 2026. Pokud používáte AI nástroje ve firmě, máte povinnosti nasazovatele.
- Největší riziko: HR systémy s AI hodnocením nebo filtrováním. To je Příloha III → vysoké riziko.
- Pro systémy vysokého rizika: vyžádejte si dokumentaci od vendora, zajistěte lidský dohled, informujte dotčené osoby, uchovávejte záznamy.
- Prvním krokem je inventura AI nástrojů — bez ní nevíte, kde stojíte.
- Transparentnost (označení chatbotů jako AI) platí pro všechny firmy, bez výjimky, od srpna 2026.
Související přehled předpisu
Otevřít přehled: EU AI Act →Splňte požadavky bez zbytečné byrokracie
Splnit.eu automatizuje compliance pro NIS2, GDPR, ISO 27001 a EU AI Act. Sledujte svůj stav v reálném čase.
Začít zdarma