zacatky

AI Act 2026 – co musí vědět každý uživatel

Průvodce EU AI Act 2026 jednoduše pro běžné lidi. Co zákon říká, jak ovlivní vaše každodenní používání AI a co musí vědět firmy v ČR.

16 min read
AI Act 2026 – co musí vědět každý uživatel

Proč si to přečíst – i když vás zákony nebaví

EU AI Act je historicky první komplexní zákon regulující umělou inteligenci na světě a Evropská unie se jím stala globálním průkopníkem v oblasti technologické regulace. Zatímco jiné světové mocnosti jako USA, Čína nebo Indie stále hledají cestu mezi inovacemi a ochranou občanů, Evropa šla napřed a vytvořila závazný právní rámec, který platí pro všechny – od malých startupů v Brně až po technologické giganty v Silicon Valley, pokud chtějí nabízet své služby na evropském trhu. Technologické firmy jako OpenAI, Google nebo Microsoft už dnes přizpůsobují své produkty požadavkům tohoto zákona, a to platí globálně, ne jen pro evropské zákazníky.

Ale proč by vás to mělo zajímat, pokud nejste právník ani manažer velké firmy? Odpověď je jednoduchá: AI Act přímo ovlivňuje to, jak se k vám chovají nástroje, které možná používáte každý den. Máte právo vědět, kdy s vámi komunikuje AI a ne skutečný člověk. Máte právo na vysvětlení, proč vás algoritmus odmítl při žádosti o půjčku nebo vás neposunul dál v přijímacím řízení. Máte právo na lidský přezkum automatizovaných rozhodnutí, která zásadně ovlivňují váš život. AI Act tato práva výslovně kodifikuje a vynucuje jejich dodržování – a to je věc, která se vás jako běžného uživatele týká zcela konkrétně.

Co je EU AI Act – bez právnického žargonu

EU AI Act (Nařízení EU 2024/1689) vstoupil formálně v platnost v srpnu 2024 po letech příprav, veřejných konzultací a intenzivního politického vyjednávání v Bruselu. Jde o nařízení Evropského parlamentu a Rady, což má zásadní právní dopad: nařízení platí přímo ve všech 27 členských státech EU bez nutnosti převádět ho do národních zákonů, jak je tomu u směrnic. Česká republika tedy nemusí nic implementovat – zákon platí automaticky a přímo.

Používáš AI nástroje? Řekni nám jak →

Zúčastnit se průzkumu

Základní filozofií AI Actu je takzvaný přístup založený na riziku. Různé AI systémy mají velmi odlišný dopad na lidské životy, a přísnost pravidel by tomu měla odpovídat. Je zásadní rozdíl mezi doporučovacím algoritmem streamovací služby a AI systémem, který rozhoduje o tom, zda získáte hypotéku. Zákon proto neklade stejné požadavky na oba typy systémů – reaguje proporcionálně na skutečné riziko. Cílem není AI zakázat ani brzdit inovace, ale zajistit, aby technologie, která stále více prostupuje do rozhodování o lidských životech, byla bezpečná, transparentní a respektovala základní práva.

Důležité je říci si také to, čím AI Act není. Není to plošný zákaz umělé inteligence ani opatření namířené proti konkrétním firmám. Drtivá většina každodenních AI aplikací – od filtru spamu v e-mailu přes doporučování filmů na Netflixu až po chatboty zákaznické podpory – spadá do kategorie minimálního rizika a čelí minimálním nebo žádným novým povinnostem. Zákon cílí na specifické, dobře vymezené případy, kde automatizovaná rozhodnutí mohou mít závažné a obtížně napravitelné důsledky pro jednotlivce, a tam klade přiměřené záruky.

Čtyři kategorie rizika – přehledně

Zákon rozděluje AI systémy do čtyř kategorií podle míry rizika. Pochopení těchto kategorií je klíčem k tomu, abyste věděli, co zákon znamená pro konkrétní nástroje a situace.

Nepřijatelné riziko (zakázáno od února 2025)

Tato kategorie zahrnuje AI systémy natolik nebezpečné pro základní práva, že jsou v EU zcela a bezpodmínečně zakázány. Zákaz vstoupil v platnost v únoru 2025 a žádná výjimka pro firmy ani veřejné instituce neexistuje.

Do zakázané kategorie patří především systémy pro manipulaci chováním pomocí podprahových stimulů – tedy AI, která ovlivňuje vaše rozhodnutí způsobem, který si neuvědomujete a který jde proti vašim vlastním zájmům. Konkrétní příklad: reklamní bot, který analyzuje vaše psychologické slabosti a využívá je k tomu, aby vás přiměl koupit věci, které nepotřebujete, nebo k podpoře určitého politického kandidáta, aniž byste si uvědomili, že jste manipulováni.

Sociální bodování občanů – tedy přidělování skóre lidem na základě jejich chování v reálném nebo online životě a omezování přístupu ke službám, cestování, vzdělání nebo zaměstnání na základě tohoto skóre – je systém, který Čína částečně realizuje a který je v EU zcela nepřijatelný. Stejně tak jsou zakázány systémy, které cíleně využívají zranitelnost specifických skupin – dětí, seniorů nebo lidí s duševním onemocněním – k manipulaci jejich chování ve prospěch třetích stran.

A konečně, s přísně vymezenými výjimkami pro závažnou kriminalitu, je zakázána biometrická identifikace v reálném čase na veřejných místech. Živé rozpoznávání obličejů kamerami na ulicích, v nákupních centrech nebo na stadionech – to je v EU zakázáno, pokud nejde o schválené policejní operace proti terorismu nebo při hledání pohřešovaných osob.

Vysoké riziko (nová pravidla od srpna 2026)

Systémy s vysokým rizikem nejsou zakázány, ale musí splňovat přísné povinnosti, které vstupují v plnou platnost v srpnu 2026. Všechny tyto systémy mají jedno společné: jejich rozhodnutí nebo doporučení mají zásadní a přímý dopad na životy konkrétních lidí.

Do kategorie vysokého rizika zákon zařazuje AI v náboru a řízení lidských zdrojů – software pro třídění životopisů, hodnocení kandidátů u pohovorů nebo doporučení k propuštění. Dále AI ve vzdělávání, například systémy hodnotící testy nebo sledující docházku a chování studentů. Vysokoriziková je AI v zákaznickém úvěrování – algoritmy, které rozhodují o tom, zda a za jakých podmínek dostanete půjčku nebo kreditní kartu. Patří sem také AI v soudnictví, jako jsou nástroje hodnotící pravděpodobnost recidivy pachatelů, nebo AI v kritické infrastruktuře – energetika, zásobování vodou, dopravní systémy.

Všechny tyto systémy musí mít podrobnou technickou dokumentaci, musí být testovány před nasazením, musí mít zajištěn průběžný lidský dohled a musí být registrovány v veřejné evropské databázi AI systémů. Firmy, které je provozují, musí být schopny kdykoli doložit, jak systém funguje, jak byl testován a jak jsou chráněna práva osob, které jsou jím dotčeny.

Omezené riziko (pravidla transparentnosti)

Systémy s omezeným rizikem nepodléhají přísné regulaci jako systémy s vysokým rizikem, ale musí splňovat základní požadavky transparentnosti vůči uživatelům. Klíčovým pravidlem je, že chatboti musí uživateli jasně říci, že komunikuje s AI – to OpenAI, Anthropic i Google již dlouho praktikují a splňují. Deepfake videa a fotografie – realisticky vypadající syntetický obsah zobrazující skutečné osoby – musí být označeny jako AI-generated, a to automatickými, strojově čitelnými označeními. Stejná povinnost platí pro AI-generovaný text v kontextech s vysokými společenskými sázkami, jako jsou politické kampaně nebo mediální obsah.

Minimální riziko (žádná nová pravidla)

Do kategorie minimálního rizika spadá naprostá většina spotřebitelských AI aplikací. Patří sem spam filtry, AI v počítačových hrách, doporučovací algoritmy Netflixu a Spotify, vyhledávací algoritmy, AI asistenti pro psaní textu v kancelářských aplikacích. Sem patří i ChatGPT, Claude nebo Gemini při běžném každodenním použití – psaní e-mailů, generování nápadů, vyhledávání informací, překlad textů. Na tyto systémy se nevztahují žádné nové povinnosti nad rámec obecných požadavků transparentnosti, které jsme zmínili výše.

Časová osa – co platí kdy

Zákon nevstoupil v platnost najednou. Implementace probíhá v několika přesně stanovených vlnách, přičemž každá vlna přináší nové povinnosti:

  • Srpen 2024 – AI Act vstoupil formálně v platnost. Od tohoto okamžiku začaly běžet přechodné lhůty pro jednotlivé kategorie.
  • Únor 2025 – Zákazy týkající se nepřijatelného rizika začaly platit. Žádný subjekt v EU nesmí od tohoto data provozovat AI systémy zařazené do zakázané kategorie – sociální scoring, manipulativní AI, biometrická surveillance v reálném čase.
  • Srpen 2025 – Vstoupila v platnost pravidla pro modely obecného účelu (General Purpose AI Models, GPAI), jako jsou GPT-4, Claude nebo Gemini. Poskytovatelé těchto modelů musí splňovat povinnosti transparentnosti, dokumentace o trénování a bezpečnostního testování.
  • Srpen 2026 – Plná aplikace pravidel pro vysokorizikové systémy. Tento milník je nejdůležitější pro firmy, které používají nebo vyvíjejí AI v HR, finančnictví, vzdělávání, zdravotnictví nebo jiných citlivých oblastech.
  • 2027 – Specifická pravidla pro AI systémy v regulovaných sektorech (zdravotnictví, letectví, automobily), kde platí současně sektorová legislativa, a pro starší systémy nasazené před vstupem zákona v platnost.

Co se změní pro vás jako uživatele

Jako běžný uživatel AI nástrojů pocítíte změny na několika frontách. Chatboti a virtuální asistenti – ať už jde o zákaznickou podporu e-shopu, bankovní poradce v mobilní aplikaci nebo AI asistenta na webu úřadu – vám musí jasně říci, že jde o AI, a nesmí předstírat, že jsou lidé. Výjimkou jsou čistě zábavní aplikace nebo hry, kde uživatel výslovně a vědomě souhlasí s tím, že chce komunikovat s fiktivní postavou.

Deepfake videa, fotografie a audio nahrávky musí být označeny jako AI-generated obsah. To je zásadní krok v boji proti dezinformacím a manipulaci veřejného mínění, protože dnes je téměř nemožné pouhým okem rozlišit reálné video od vysoce kvalitního deepfake. Zákon ukládá tuto povinnost výrobcům nástrojů i těm, kdo obsah šíří ve veřejném prostoru – platí tedy i pro politické strany a mediální organizace.

Pokud vás AI systém odmítne při žádosti o zaměstnání nebo úvěr, máte právo na vysvětlení a právo na lidský přezkum tohoto rozhodnutí. To je právo, které v Česku mnozí lidé dosud nevyužívají – nebo nevědí, že ho mají. AI zákaznická podpora musí umožnit přepojení na živého pracovníka, pokud o to požádáte. Chatboti nesmí předstírat, že jsou lidé – jediná výjimka platí pro zábavní chatboty, kde uživatel s takovým nastavením výslovně souhlasí.

Co musí vědět české firmy

Pro české firmy je klíčové vědět, kdo je v ČR národním dozorovým orgánem pro AI Act. Tím je Český telekomunikační úřad (ČTÚ), který přebírá roli primárního dozoru nad dodržováním AI Act v Česku. ČTÚ bude úzce spolupracovat s ÚOOÚ (Úřadem pro ochranu osobních údajů) v případech, kde se AI Act prolíná s GDPR, tedy všude, kde AI systémy zpracovávají osobní data.

Dobrou zprávou pro menší podnikatele je, že AI Act obsahuje výjimky a zjednodušená pravidla pro malé a střední podniky (SME) a startupy. Pokud jste malá firma s omezenými zdroji a omezených dopadem svých AI systémů, nebudete automaticky čelit stejné byrokracii jako nadnárodní korporace. ČTÚ navíc zavádí regulatorní sandbox pro AI startupy – prostředí, kde mohou testovat inovativní AI produkty pod dohledem regulátora, aniž by okamžitě podléhaly plné regulatorní zátěži.

Pokud vaše firma používá nebo vyvíjí vysokorizikové AI systémy – například software pro screening životopisů, hodnocení bonity klientů nebo sledování výkonu zaměstnanců – musíte do srpna 2026 zajistit: podrobnou technickou dokumentaci systému, testování před nasazením a jeho výsledky, procesy lidského dohledu nad automatizovanými rozhodnutími a registraci v evropské veřejné databázi AI systémů.

Pokuty za porušení AI Act jsou výrazně vyšší než například za porušení GDPR: až 35 milionů eur nebo 7 % ročního globálního obratu (podle toho, co je vyšší) za provozování zakázaných systémů. Za porušení povinností u vysokorizikových systémů hrozí pokuta až 15 milionů eur nebo 3 % obratu. Prvním praktickým krokem pro každou firmu by měl být audit AI systémů – sestavit úplný seznam všech AI nástrojů, které firma používá nebo vyvíjí (včetně komerčního SaaS software s AI funkcemi), a klasifikovat každý z nich podle rizikových kategorií AI Actu.

Jak AI Act ovlivní nástroje které denně používáte

Podívejme se konkrétně na nástroje, se kterými se denně setkáváte, a co pro ně AI Act znamená v praxi.

ChatGPT a Claude – tyto nástroje již splňují základní povinnost transparentnosti: jasně komunikují, že jde o AI. Jako modely obecného účelu podléhají pravidlům platným od srpna 2025, včetně povinnosti dokumentace schopností modelu a bezpečnostního testování. Při běžném použití pro psaní, brainstorming nebo vyhledávání informací jde o minimální riziko bez nových povinností pro uživatele.

HR AI nástroje (screening životopisů, hodnocení pohovorů, doporučení k náboru nebo propouštění) – od srpna 2026 jednoznačně vysokorizikové systémy. Firmy, které je nasazují, musí zajistit dokumentaci, testování, registraci v EU databázi a právo kandidátů nebo zaměstnanců na vysvětlení a lidský přezkum.

Microsoft Copilot ve Wordu, Outlooku nebo Teams – pro psaní textů, sumarizaci e-mailů nebo asistenci při práci jde o minimální riziko bez nových povinností. Situace se mění, pokud je Copilot integrován do systémů pro HR rozhodování nebo zpracování citlivých osobních dat.

AI credit scoring v bankách a fintech firmách – jednoznačně vysoké riziko od srpna 2026. Banky a úvěrové instituce musí zákazníkovi zajistit právo vědět, že o jeho žádosti rozhodoval algoritmus, právo na vysvětlení logiky rozhodnutí a právo na lidský přezkum.

Rozpoznávání obličejů v obchodech a na akcích – pravděpodobně zakázáno nebo výrazně omezeno jako biometrická identifikace v reálném čase na veřejných místech. Výjimky existují pouze pro přesně vymezené policejní operace a za přísných podmínek soudního schválení.

GDPR vs AI Act – jak se liší

Mnozí si pletou GDPR a AI Act, protože oba zákony se týkají technologií a mají chránit občany. Jsou to však zásadně odlišné předpisy, které se vzájemně doplňují, ale nenahrazují. GDPR (Obecné nařízení o ochraně osobních údajů) reguluje, jak jsou zpracovávána osobní data – kdo k nim má přístup, jak dlouho jsou uchovávána, jaká práva má subjekt údajů a co se stane při jejich úniku. AI Act naproti tomu reguluje, jak se chovají AI systémy a jaké riziko představují pro základní práva a bezpečnost – bez ohledu na to, zda pracují s osobními daty.

V praxi se tyto zákony překrývají zejména u AI systémů, které zpracovávají osobní data a zároveň automatizovaně rozhodují o lidech. Například AI systém pro hodnocení kreditního rizika musí splňovat jak GDPR (právo na přístup k datům a vysvětlení automatizovaného rozhodnutí), tak AI Act (dokumentace systému, testování, lidský dohled jako vysokorizikový systém). Compliance officer nebo DPO (Data Protection Officer) v české firmě musí rozumět oběma zákonům a jejich vzájemné interakci – GDPR compliance nestačí. Více o bezpečnosti AI a ochraně dat najdete v článku AI a bezpečnost dat – co potřebujete vědět o GDPR.

Jak funguje v Česku

Česká republika má specifickou situaci. Průzkumy z roku 2025 ukázaly, že až 40 % českých firem si není vědomých svých povinností vyplývajících z AI Actu – to je výrazně více než průměr EU a signalizuje velkou potřebu osvěty a poradenství v nadcházejících měsících. Přitom tlak na implementaci sílí, protože klíčový milník pro vysokorizikové systémy – srpen 2026 – se rychle blíží.

Česká vláda sama aktivně nasazuje AI v různých oblastech veřejné správy, například na Finanční správě pro automatickou detekci daňových úniků a anomálií v přiznáních, nebo na různých úřadech pro zpracování žádostí. I tyto státní AI systémy budou muset splňovat požadavky AI Actu, pokud spadají do vysokorizikové kategorie – stát není z dodržování zákona vyňat.

ČTÚ jako národní dozorový orgán pro AI Act spolupracuje s ÚOOÚ na případech, kde se prolínají AI a ochrana osobních dat. Pro startupy a inovativní firmy jsou k dispozici regulatorní sandboxy, kde lze testovat AI produkty pod dohledem regulátora bez plné regulatorní zátěže – to je příležitost, kterou by české technologické firmy neměly přehlédnout. Česká národní strategie pro AI zdůrazňuje důraz na etické používání technologií a vzdělávání veřejnosti o AI, což je v souladu s filosofií AI Actu.

Praktický checklist pro firmy

Pokud nevíte, kde začít s přípravou na AI Act, použijte tento checklist jako první orientaci:

  • [ ] Sestavil/a jsem seznam AI systémů které firma používá nebo vyvíjí (včetně komerčního softwaru s AI funkcemi)
  • [ ] Klasifikoval/a jsem každý systém podle rizikové kategorie AI Actu (nepřijatelné / vysoké / omezené / minimální)
  • [ ] Pro vysokorizikové systémy mám konkrétní plán compliance do srpna 2026
  • [ ] Zaměstnanci jsou informováni o AI Act pravidlech a vědí, jak se zákon dotýká jejich práce
  • [ ] Vím, kdo je náš národní dozorový orgán (ČTÚ – Český telekomunikační úřad, ctu.cz)
  • [ ] Pro HR AI systémy: mám zdokumentovaný proces lidského přezkumu automatizovaných rozhodnutí
  • [ ] Pro chatboty a virtuální asistenty na webu: jasně komunikuji uživatelům, že jde o AI

Pokud chcete jít dál a budovat vlastní AI workflow efektivně a v souladu s pravidly, přečtěte si náš průvodce Jak vytvořit vlastní AI workflow.

Časté otázky (FAQ)

Musím se AI Act řídit jako jednotlivec (ne firma)?

Ne, AI Act se vztahuje na poskytovatele a provozovatele AI systémů – tedy na firmy a organizace, které AI vyvíjejí nebo nasazují jako součást svých produktů nebo služeb. Jako jednotlivec-uživatel z AI Actu naopak čerpáte práva: právo vědět, že komunikujete s AI, právo na vysvětlení automatizovaných rozhodnutí, která se vás dotýkají, nebo právo na lidský přezkum. Zákon tedy na vás jako fyzickou osobu povinnosti neklade – chrání vás.

Co hrozí firmám za porušení AI Act?

Sankce jsou výrazně vyšší než například za porušení GDPR. Za provozování zcela zakázaných AI systémů (kategorie nepřijatelného rizika) hrozí pokuta až 35 milionů eur nebo 7 % ročního globálního obratu – podle toho, co je vyšší. Za porušení povinností u vysokorizikových systémů hrozí až 15 milionů eur nebo 3 % obratu. Záměrné uvádění nepravdivých informací dozorovým orgánům je sankcionováno pokutou až 7,5 milionu eur. Pokuty jsou stanovovány s přihlédnutím k velikosti firmy, takže malé podniky nebudou automaticky čelit nejvyšším částkám.

Je ChatGPT „vysokorizikový" systém?

ChatGPT jako obecný nástroj pro psaní, vyhledávání a konverzaci spadá do kategorie modelů obecného účelu (GPAI), nikoliv do kategorie vysokorizikových systémů. Podléhá pravidlům platným od srpna 2025 – hlavně povinnosti transparentnosti a dokumentace – ale pro běžné uživatele to nic nemění. Jiná situace nastane, pokud firmy ChatGPT integrují do systémů pro HR rozhodování, hodnocení kreditního rizika nebo jiné vysokorizikové aplikace. Pak by celý výsledný systém mohl být klasifikován jako vysokorizikový, bez ohledu na to, jaký AI model je pod ním.

Jak poznám, jestli AI rozhodovala o mně?

V současnosti neexistuje povinnost vás automaticky a proaktivně informovat o každém automatizovaném rozhodnutí, ale máte právo se zeptat. Pod GDPR (článek 22) máte právo vědět, zda o vás probíhá automatizované rozhodování s právními nebo podobně závažnými účinky, a požádat o lidský přezkum. AI Act tato práva posiluje a rozšiřuje specificky pro vysokorizikové systémy. Prakticky: pokud vás odmítne banka, pojišťovna, pronajímatel nebo zaměstnavatel, a máte podezření, že za rozhodnutím stál algoritmus, máte právo písemně požádat o vysvětlení a přezkum.

Kde najdu aktuální informace o AI Act v češtině?

Nejdůležitějšími zdroji jsou webové stránky ČTÚ (ctu.cz), kde je sekce věnovaná AI regulaci, a Evropská komise (digital-strategy.ec.europa.eu/cs), kde jsou dostupné oficiální texty, průvodce i přeložené dokumenty. Podrobné analýzy vydávají česky think-tanky jako Centrum pro bezpečné státy nebo Europeum. Na portálu euroskop.cz najdete srozumitelná shrnutí unijní legislativy včetně AI Actu.

Jak se připravit na AI Act jako malá firma?

Začněte auditem: sepište si všechny AI systémy a nástroje, které ve firmě používáte nebo vyvíjíte – od chatbotů na webu přes nástroje pro analýzu dat a HR software až po komerční platformy s vestavěnou AI. Pak klasifikujte každý systém podle rizikové kategorie. Velmi pravděpodobně zjistíte, že většina vašich nástrojů spadá do minimálního nebo omezeného rizika a nevyžaduje žádné zásadní změny. Pokud najdete vysokorizikové systémy, kontaktujte ČTÚ nebo AI compliance poradce a začněte připravovat potřebnou dokumentaci s dostatečným předstihem před srpnem 2026. A využijte možnosti regulatorního sandboxu, pokud vyvíjíte inovativní AI produkt.

#AI Act#regulace AI#EU#legislativa