Splnit.eu
PlatformaDemoEU PředpisyBlogPředběžný přístupO násCeník
||
Přihlásit se
Design partner
← Všechny články
EU AI Act8 min24. května 2026

EU AI Act pro MSP: co reálně musíte řešit v roce 2026

„My AI nevyvíjíme, takže nás AI Act netýká." Tato věta je jedním z nejnebezpečnějších omylů v EU compliance prostoru roku 2026.

Autor: Splnit.eu, Redakce Splnit.eu

V článku

Co je EU AI Act a kdy se plně aplikujeDvě základní role: poskytovatel vs. nasazovatelRiziková klasifikace: klíč k pochopení povinnostíCo musí nasazovatel se systémem vysokého rizika konkrétně dělatPraktický checklist: kde začítNejčastější omyly MSP v kontextu AI ActuTL;DR

Co je EU AI Act a kdy se plně aplikuje

EU AI Act (Nařízení EU č. 2024/1689) vstoupil v platnost v srpnu 2024. Povinnosti se zavádějí postupně:

**Pro MSP je klíčový srpen 2026** — od tohoto data musíte plně plnit povinnosti pro systémy vysokého rizika, které ve firmě nasazujete.

TermínCo vstupuje v platnost
Únor 2025Zákaz AI systémů s nepřijatelným rizikem (okamžitě závazné)
Srpen 2025Povinnosti pro poskytovatele a nasazovatele systémů obecného účelu (GPAI)
Srpen 2026Plná aplikace — povinnosti pro systémy vysokého rizika (kapitola III)
2027 a dálRozšíření na AI systémy ve stávajících produktech regulovaných jinými právními předpisy

Dvě základní role: poskytovatel vs. nasazovatel

EU AI Act rozlišuje, co s AI systémem děláte:

Poskytovatel (provider)

Firma, která AI systém vyvíjí a uvádí na trh — ať už jako samostatný produkt nebo jako součást jiného produktu. Pokud váš SaaS produkt obsahuje AI funkce (doporučovací engine, prediktivní analytika, automatizované rozhodování) a nabízíte ho zákazníkům, jste poskytovatel.

**Povinnosti poskytovatele jsou nejpřísnější** — technická dokumentace, conformity assessment, CE označení u systémů vysokého rizika, registrace v EU databázi.

Nasazovatel (deployer)

Firma, která AI systém jiného subjektu používá pro vlastní účely — ať už interně nebo jako součást vlastní služby zákazníkům. Pokud používáte Salesforce AI, GitHub Copilot, AI HR nástroj třetí strany — jste nasazovatel.

**Povinnosti nasazovatele jsou mírnější, ale reálné** — zejména u systémů vysokého rizika.

**Praktická otázka pro váš produkt:** Rozhoduje AI systém autonomně o věcech, které ovlivňují vaše zákazníky nebo jejich zákazníky? Pokud ano — pravděpodobně nejste jen nasazovatel, ale i poskytovatel.

Riziková klasifikace: klíč k pochopení povinností

EU AI Act třídí AI systémy do kategorií podle míry rizika. Vaše povinnosti závisí primárně na tom, do jaké kategorie váš AI systém spadá.

Nepřijatelné riziko — zakázáno

Tyto systémy je zakázáno vyvíjet, prodávat i používat:

**Pro MSP prakticky irelevantní** — pokud nepracujete pro bezpečnostní složky nebo státní aparát.

  • Sociální skórování státem (hodnocení občanů na základě jejich chování)
  • Manipulativní AI, která využívá psychologické slabosti nebo podprahové techniky
  • Biometrická identifikace osob v reálném čase na veřejných místech (až na výjimky pro bezpečnostní složky)
  • AI systémy predikující kriminální chování na základě osobnostních rysů
  • Neoprávněné skenování obličeje a vytváření databází

Vysoké riziko — nejpřísnější povinnosti

Toto je kategorie, kde většina MSP podceňuje svou expozici.

**Systém vysokého rizika je každý AI systém, který:**

**Kdy se to týká MSP v praxi:**

**Klíčový test:** Má AI systém přímý nebo nepřímý vliv na rozhodnutí, která ovlivňují lidská práva, přístup k příležitostem nebo fyzickou bezpečnost lidí?

  • 1. Je součástí produktu regulovaného specifickými EU direktivami (zdravotnické prostředky, hračky, automobily, letectví), NEBO
  • 2. Spadá do jedné z oblastí Přílohy III AI Actu:
  • Biometrická identifikace a kategorizace
  • Kritická infrastruktura (energetika, voda, doprava)
  • **Vzdělávání a odborné vzdělávání** (hodnocení studentů, přijímací procesy)
  • **Zaměstnání a řízení pracovníků** — sem spadá velká část HR nástrojů
  • Přístup k základním soukromým a veřejným službám (úvěrové skórování, pojišťovnictví)
  • Bezpečnostní složky a trestní justice
  • Migrace a správa hranic
  • Příklad AI nástroje: AI HR systém filtrující životopisy | Kategorie: ⚠️ Vysoké riziko | Proč: Rozhoduje o přístupu k zaměstnání
  • Příklad AI nástroje: AI hodnotící výkon zaměstnanců | Kategorie: ⚠️ Vysoké riziko | Proč: Ovlivňuje pracovní podmínky
  • Příklad AI nástroje: AI chatbot zákaznické podpory | Kategorie: ✅ Omezené nebo min. riziko | Proč: Nepřijímá rozhodnutí, jen komunikuje
  • Příklad AI nástroje: Prediktivní analytika prodejů | Kategorie: ✅ Minimální riziko | Proč: Nepřímo ovlivňuje lidi
  • Příklad AI nástroje: AI přepis hovorů | Kategorie: ✅ Minimální riziko | Proč: Podpůrný nástroj, ne rozhodovací
  • Příklad AI nástroje: AI pro scoring zákazníků / úvěrů | Kategorie: ⚠️ Vysoké riziko | Proč: Ovlivňuje přístup k finančním službám
  • Příklad AI nástroje: GitHub Copilot | Kategorie: ✅ Minimální riziko | Proč: Podpůrný nástroj pro vývojáře

Omezené riziko — transparentnost

Tyto systémy nemají přísné povinnosti, ale musejí být transparentní:

**Praktický dopad pro MSP:** Pokud váš produkt nebo zákaznická podpora využívá AI chatbota — musíte uživatele informovat, že mluví s AI. To platí od již od srpna 2026.

  • **Chatboti** musejí být označeni jako AI — uživatel musí vědět, že komunikuje s automatizovaným systémem, ne člověkem.
  • **Syntetická média** (deepfake, AI generovaný obraz/video/audio) musejí být označena jako uměle vytvořená.
  • **AI generovaný text** vydávaný za zprávy nebo jiný autorský obsah musí být označen.

Minimální riziko — bez specifických povinností

Naprostá většina AI nástrojů v podnikání spadá sem:

Pro tyto systémy AI Act nevyžaduje žádné specifické povinnosti — ale dobrá praxe zahrnuje základní dokumentaci o tom, jaké AI nástroje používáte a proč.

  • Spam filtry, antivir s ML prvky
  • AI doporučovací systémy (Netflix typ)
  • Prediktivní analytika pro interní rozhodování
  • AI nástroje produktivity (přepis, shrnutí, asistence při psaní)
  • Většina AI vývojářských nástrojů

Co musí nasazovatel se systémem vysokého rizika konkrétně dělat

1. Inventura a riziková klasifikace — první a nejdůležitější krok

Než plníte jakékoli povinnosti, musíte vědět, jaké AI systémy používáte. Projděte:

Pro každý systém určete: jde o systém vysokého rizika? Kdo je jeho poskytovatel? Jakou má dokumentaci?

  • Všechny SaaS nástroje a jejich AI funkce (zkontrolujte conditions of service)
  • HR systémy — zejména jakékoli automatizované hodnocení nebo filtrování
  • CRM s AI skórováním zákazníků
  • Bezpečnostní nástroje s AI detekcí

2. Zajistit technickou dokumentaci od providera

Než nasadíte systém vysokého rizika, musíte mít k dispozici technickou dokumentaci, která vám umožní posoudit, zda systém funguje tak, jak má. Vyžádejte si od poskytovatele:

Pokud vám to provider odmítne poskytnout — je to varovný signál.

  • Popis funkcionality a limitací systému
  • Informace o tréninkových datech (bylo použití dat zákonné?)
  • Výsledky testování a hodnocení přesnosti
  • Informace o tom, jak systém funguje při hraniční nebo neobvyklé vstupu (edge cases)

3. Zajistit lidský dohled (human oversight)

Pro systémy vysokého rizika musí existovat mechanismus, který umožňuje lidské přezkoumání a přepsání AI rozhodnutí.

**Co to konkrétně znamená:**

V praxi: pokud AI HR systém označí uchazeče jako nevhodného, musí existovat člověk, který toto rozhodnutí může přezkoumat a případně zvrátit. AI nesmí být jediným a konečným rozhodovacím prvkem v záležitostech, které mají právní nebo jiný závažný dopad na fyzické osoby.

**Jak to dokumentovat:** Zdokumentujte proces — kdo rozhodnutí AI přezkoumává, v jakých situacích, jak se přezkum zaznamenává.

4. Transparentnost vůči dotčeným osobám

Pokud AI systém vysokého rizika používáte v oblastech, kde zasahuje do práv nebo příležitostí fyzických osob (HR, úvěrování, vzdělávání), musíte tyto osoby informovat, že jsou předmětem automatizovaného zpracování.

**Příklad:** Zaměstnanci musejí být informováni, pokud HR systém používá AI ke sledování výkonu nebo hodnocení — a to způsobem, který je srozumitelný, ne jen skrytý v pracovní smlouvě.

5. Vedení záznamů o používání

Nasazovatelé systémů vysokého rizika musejí uchovávat záznamy o automaticky generovaných lozích na dobu odpovídající systému a použití — minimálně po dobu stanovenou provozovatelem nebo sektorovou legislativou.

**Prakticky:** Ujistěte se, že váš AI systém loguje svá rozhodnutí a že tyto logy uchováváte. Pro HR systémy to znamená uchovávat záznamy o AI hodnoceních po dobu stanovenou zákoníkem práce.

6. Posouzení dopadů na základní práva (FRIA)

Toto je povinné pro specifické kategorie nasazovatelů — zejména veřejné orgány a soukromé subjekty poskytující veřejné služby, pokud nasazují systémy vysokého rizika v oblastech uvedených v příloze III.

Pro typické MSP jde o okrajový požadavek, ale pokud vaše firma poskytuje platformy pro vzdělávání, HR procesy nebo hodnocení zákazníků ve větším měřítku — konzultujte s právníkem, zda FRIA potřebujete.

Praktický checklist: kde začít

Krok 1: Inventura AI nástrojů

  • [ ] Vytvořte seznam všech AI nástrojů a SaaS produktů s AI funkcemi, které ve firmě používáte
  • [ ] Pro každý nástroj: kdo je poskytovatel, co AI funkce dělá, koho se týká
  • [ ] Označte nástroje, které ovlivňují rozhodnutí o lidech (HR, zákazníci, finance)

Krok 2: Riziková klasifikace

  • [ ] Pro každý nástroj z předchozího kroku: odpovídá popis funkce některé kategorii v Příloze III AI Actu?
  • [ ] Pokud ano: systém je vysokého rizika → pokračujte kroky 3–6
  • [ ] Pokud ne: systém je minimálního nebo omezeného rizika → jen transparentnost (krok 7)

Krok 3–6: Pro systémy vysokého rizika

  • [ ] Vyžádejte si technickou dokumentaci od poskytovatele
  • [ ] Zdokumentujte mechanismus lidského dohledu
  • [ ] Zkontrolujte, že dotčené osoby jsou informovány o AI zpracování
  • [ ] Ověřte, že systém loguje svá rozhodnutí a záznamy uchováváte

Krok 7: Transparentnost

  • [ ] Jsou vaši chatboti a AI asistenti označeni jako AI vůči uživatelům?
  • [ ] Pokud generujete obsah pomocí AI pro zákazníky nebo veřejnost, je označen jako AI generovaný?

Nejčastější omyly MSP v kontextu AI Actu

**„Vendor to vyřeší za nás."** Ne úplně. Pokud jste nasazovatel systému vysokého rizika, máte vlastní povinnosti — bez ohledu na to, co udělal nebo neudělal vendor. Vendor odpovídá za svou část (technická dokumentace, conformity assessment), vy odpovídáte za svou (lidský dohled, informování osob, záznamy).

**„Naše AI jen doporučuje, nerozhoduje."** Hranice mezi doporučením a rozhodnutím je tenčí, než vypadá. Pokud AI filtruje životopisy a HR manažer přijme 95 % jejích doporučení bez přezkumu, AI fakticky rozhoduje. Regulace se dívá na skutečný vliv, ne formální popis.

**„Nemáme žádné AI systémy."** Každý SaaS produkt, který používáte, pravděpodobně má AI funkce — od spamových filtrů po CRM skórování. Proveďte inventuru — výsledky vás mohou překvapit.

TL;DR

  • EU AI Act se plně aplikuje od srpna 2026. Pokud používáte AI nástroje ve firmě, máte povinnosti nasazovatele.
  • Největší riziko: HR systémy s AI hodnocením nebo filtrováním. To je Příloha III → vysoké riziko.
  • Pro systémy vysokého rizika: vyžádejte si dokumentaci od vendora, zajistěte lidský dohled, informujte dotčené osoby, uchovávejte záznamy.
  • Prvním krokem je inventura AI nástrojů — bez ní nevíte, kde stojíte.
  • Transparentnost (označení chatbotů jako AI) platí pro všechny firmy, bez výjimky, od srpna 2026.

Související přehled předpisu

Otevřít přehled: EU AI Act →

Splňte požadavky bez zbytečné byrokracie

Splnit.eu automatizuje compliance pro NIS2, GDPR, ISO 27001 a EU AI Act. Sledujte svůj stav v reálném čase.

Začít zdarma
Splnit.eu

Platforma v předběžném přístupu pro automatizaci compliance v EU.

Měsíční přehled EU předpisů

Produkt

  • Monitoring
  • Integrace
  • Trust Center
  • Bezpečnost
  • Stav
  • Předběžný přístup
  • O nás
  • Ceník
  • Srovnání
  • Partneři

Předpisy

  • NIS2
  • EU AI Act
  • GDPR
  • ISO 27001

Kontakt

Splnit.eu — OSVČ, Olomouc

Olomouc, Česká republika

hello@splnit.eu
GDPRNIS2ISO 27001Vyhl. č. 410/2025 Sb.

© 2026 Splnit · Všechna práva vyhrazena

SoukromíPodmínkyCookiesDPA
||