AI Act vstoupil v platnost 1. srpna 2024 a evropská regulace umělé inteligence tím přestala být abstraktní. V roce 2026 už nejde o to, zda pravidla jednou přijdou. Jde o to, které povinnosti se týkají konkrétního systému, kdo je poskytovatel, kdo nasazovatel a jak firma doloží, že ví, co používá. Pro české banky, pojišťovny, HR týmy, výrobce zdravotnických prostředků a dodavatele softwaru je to provozní úkol, ne právní seminář.
Termíny nejsou jednoduchá přímka
Původní harmonogram AI Actu počítal s postupným náběhem. Zakázané praktiky začaly dopadat po šesti měsících, pravidla pro obecné AI modely po roce a většina pravidel po dvou letech, tedy od 2. srpna 2026. U vysokorizikových systémů vestavěných do regulovaných výrobků se počítalo s delším horizontem do 2. srpna 2027.
V květnu 2026 ale Rada a Parlament oznámily politickou dohodu na zjednodušení části pravidel, která podle oficiální komunikace posouvá některé samostatné vysokorizikové systémy na 2. prosince 2027. To je důležité, ale nebezpečné pro výklad. Dohoda neznamená, že firmy mohou přestat pracovat. Znamená, že musí sledovat finální znění, technické standardy a národní dohled. Regulace se zpřesňuje za běhu.
Nejprve inventura, potom compliance
Největší chyba českých firem je začít přípravou šablony dokumentace bez inventury. AI Act pracuje s rolí systému a kontextem použití. Stejný model může být nízkorizikový při sumarizaci veřejných článků a vysokorizikový, pokud ovlivňuje nábor, úvěrové rozhodnutí nebo přístup ke vzdělání.
První krok je proto seznam AI systémů. Nejen velké modely. Patří sem scoring, doporučování, OCR s rozhodovací logikou, fraud detection, HR matching, chatbot s přístupem k osobním údajům i nástroje pro prioritu požadavků. U každého systému má firma znát účel, vlastníka, dodavatele, data, uživatele, dopad na člověka a způsob lidského dohledu.
Vysoké riziko není nálepka pro marketing
Kategorie vysokého rizika je pro B2B nejdůležitější. Neříká, že systém je špatný. Říká, že ovlivňuje citlivé oblasti a musí splnit přísnější požadavky: řízení rizik, kvalitu dat, technickou dokumentaci, záznamy, transparentnost pro uživatele, lidský dohled, přesnost, robustnost a kybernetickou bezpečnost. To jsou slova z regulace, ale v praxi znamenají konkrétní práci pro produkt, data, právní i bezpečnostní tým.
Dodavatelé budou muset umět dodat dokumentaci a nasazovatelé budou muset rozumět tomu, jak systém používají. Nestačí mít v kontraktu větu, že nástroj je compliant. Banka nebo zaměstnavatel nemůže přenést celé riziko na SaaS dodavatele, pokud systém zasadí do vlastního procesu a nechá podle něj jednat lidi.
Zvláštní pozornost si zaslouží změnové řízení. AI systém není jednou dodané pravidlo v aplikaci. Mění se model, data, prompt, workflow i chování uživatelů. Pokud firma používá externí model přes API, může se změnit i podkladová verze, aniž by interní tým přepsal jediný řádek. U vysokorizikových systémů proto nestačí vstupní posouzení. Bude potřeba sledovat drift, incidenty, stížnosti, zásahy člověka a odchylky v dopadu na skupiny uživatelů. To je oblast, kde se compliance potkává s MLOps.
U českých firem bude praktickým problémem i vlastnictví agendy. Právní oddělení rozumí regulaci, ale ne vždy zná technické chování modelu. Data science tým rozumí metrikám, ale nemusí mít mandát měnit proces. Produkt vlastní uživatelský tok, compliance vlastní pravidla a IT vlastní provoz. AI Act nutí tyto role spojit. Bez společného vlastníka se příprava rozpadne do šanonu bez vlivu na systém.
Nejlepší příprava proto začíná u governance výboru, který má pravomoc zastavit use case, nejen připomínkovat dokument. Bez takového mandátu se odpovědnost ztratí přesně ve chvíli, kdy regulátor položí první konkrétní provozní otázku.
Co to znamená
Proč na tom záleží: AI Act zavádí jazyk, kterým budou o AI mluvit auditoři, právníci, procurement a regulátoři. Firmy, které dnes nemají inventář, budou později dohánět nejen dokumentaci, ale i rozhodnutí, kdo je za který systém odpovědný. To je dražší než včasné mapování.
Nejpraktičtější přístup pro rok 2026 je třívrstvý. Za prvé, inventarizovat všechny AI systémy a rozdělit je podle rizika. Za druhé, u systémů s dopadem na lidi zavést minimální dokumentaci: účel, data, omezení, metriky, lidský dohled a incidentní postup. Za třetí, upravit nákupní proces tak, aby nový AI dodavatel nemohl projít bez technických a právních informací.
AI Act nebude hodnotit, zda firma působí moderně. Bude se ptát, zda rozumí vlastním systémům. To je zdravý posun. Většina vážných problémů s AI nevzniká proto, že model existuje. Vzniká proto, že ho někdo nasadí do rozhodování bez evidence, testování a jasné odpovědnosti.
Proč je to důležité
Adopce AI v českém prostředí už není otázkou prestiže, ale konkurenceschopnosti. Firmy, které začnou letos, získají zásadní časovou výhodu.
Pondělní redakční briefing
Pravidelný přehled o AI v českém byznysu přímo do vaší schránky. Bez spamu, jen data.