Druhého srpna začnou v EU platit povinnosti pro poskytovatele i provozovatele high-risk AI systémů: posouzení shody, technická dokumentace a quality management na straně providerů, uchovávání logů a dohled nad provozem na straně deployerů. Samostatně vstupují v platnost transparentní pravidla pro chatboty, generativní AI a deepfaky, a ta se týkají všech, nejen high-risk systémů. Kdo nasazuje AI v recruitmentu, credit scoringu nebo HR hodnocení, je v zóně. Čekání na odklad přes Digital Omnibus je sázka na legislativní proces, který ještě neskončil. A kdo si myslí, že se ho to netýká, protože „jen používá ChatGPT“ v use casu z Annexu III, pravděpodobně špatně přečetl nařízení.

Sto dnů do deadlinu, který možná neplatí

Situace kolem AI Act je v dubnu 2026 paradoxní. Podle platného znění nařízení Regulation (EU) 2024/1689 začínají 2. srpna 2026 platit povinnosti pro high-risk AI systémy podle Annex III, tedy systémy nasazené v oblastech jako recruitment, credit scoring, risk assessment v životním a zdravotním pojištění, vzdělávání nebo kritická infrastruktura. Současně ale Evropský parlament i Rada podporují odklad těchto povinností prostřednictvím Digital Omnibus on AI: obě instituce navrhují posun pro stand-alone high-risk systémy na 2. prosince 2027 a pro systémy zabudované v regulovaných produktech na 2. srpna 2028. Trialogy probíhají, politická dohoda se podle A&O Shearman očekává v nejbližších týdnech.

Problém je, že Digital Omnibus zatím neprošel. Neprošel trialogem, nebyl schválen, nebyl publikován v Official Journal. EU legislativní procesy se zpožďují s železnou pravidelností, a pokud se tak stane i tentokrát, platí srpnový deadline beze změn. Organizace, které teď zastaví přípravy s tím, že „to přece odloží“, riskují, že se probudí do právně vymahatelných povinností bez jakékoli připravenosti.

Konzervativní postoj je jediný rozumný: připravovat se na srpen 2026 a případný odklad vzít jako bonus.

Co přesně začne platit

AI Act rozlišuje čtyři úrovně rizika. Zakázané praktiky (social scoring, manipulativní AI, plošná biometrická identifikace) platí od února 2025. Povinnosti pro poskytovatele general-purpose AI modelů platí od srpna 2025. Zbývá to nejrozsáhlejší: povinnosti pro high-risk systémy a povinnosti v oblasti transparentnosti podle Article 50.

High-risk systémy: Annex III

Annex III nařízení definuje osm oblastí, kde se AI systém zpravidla klasifikuje jako high-risk:

• biometrie (vzdálená identifikace, rozpoznávání emocí)
• kritická infrastruktura (energetické sítě, doprava, vodárenství)
• vzdělávání (přijímací řízení, hodnocení studentů)
• zaměstnávání (recruitment, screening CV, hodnocení výkonu, přidělování úkolů)
• přístup k základním službám (credit scoring, risk assessment v životním a zdravotním pojištění, sociální dávky)
• prosazování práva
• migrace a hraniční kontrola
• justice a demokratické procesy

Výjimka existuje v čl. 6 odst. 3: provider může argumentovat, že systém nepředstavuje významné riziko, protože plní jen úzkou podpůrnou funkci a výrazně neovlivňuje rozhodovací výstup. Laťka je ale vysoká. Pokud systém profiluje jednotlivce, do výjimky zpravidla nespadne. A dokumentovat sebeklasifikaci mimo high-risk je samo o sobě závazek s regulatorními důsledky.

Pro české vývojářské týmy a firmy jsou klíčové hlavně dvě kategorie: zaměstnávání a přístup k základním službám. AI systém, který filtruje životopisy, hodnotí kandidáty, přiděluje úkoly na základě behaviorálních dat nebo monitoruje výkon zaměstnanců, je podle Annex III high-risk, a to bez ohledu na velikost firmy. Neexistuje žádný obratový práh ani výjimka pro malé týmy. Startup o deseti lidech, který provozuje ATS s AI screeningem pro evropské zaměstnavatele, je v plném rozsahu regulován.

Klasifikační logika stojí na use casu, ne na technologii. LLM použitý na sumarizaci interních dokumentů je minimální riziko. Tentýž model zabudovaný do nástroje na screening kandidátů je high-risk.

Article 12: logování, které nelze obejít

Article 12 požaduje, aby high-risk AI systémy technicky umožňovaly automatické zaznamenávání událostí po celou dobu životnosti systému. Dvě slova v tomto požadavku nesou hlavní váhu. „Automatické“ znamená, že logy musí vznikat bez lidského zásahu v okamžiku události: ruční export nebo periodické snímky nestačí. „Lifetime“ znamená od nasazení do vyřazení, nikoliv jen pro aktuální release.

Co přesně logovat, záleží na kategorii systému. Pro vzdálenou biometrickou identifikaci podle Annex III bodu 1(a) vyžaduje Article 12(3) konkrétně: časové záznamy každého použití, referenční databázi, vstupní data vedoucí ke shodě a identifikaci osob odpovědných za verifikaci výsledků. Pro ostatní high-risk systémy žádný taxativní seznam neexistuje. Klíčovým principem je plná rekonstruovatelnost algoritmických rozhodnutí.

Help Net Security v analýze z dubna 2026 upozorňuje na praktický háček: Article 12 neříká „tamper-proof“, ale pokud vaše logy lze tiše pozměnit a vy to nedokážete vyvrátit, jejich důkazní hodnota je nulová. Finalizovaný technický standard pro logování zatím neexistuje. Dvě relevantní normy, prEN 18229-1 a ISO/IEC DIS 24970, jsou v draftu.

Minimální retenční doba logů je šest měsíců od okamžiku záznamu. Deployer (tedy organizace, která AI systém provozuje, nikoliv ta, která ho vyvinula) nese odpovědnost za uchovávání logů, i když systém nakoupila od externího dodavatele. Nákup AI řešení od třetí strany vás povinnosti nezbavuje, a přesně tady řada firem naráží.

Article 50: transparence pro všechny

Article 50 zavádí povinnosti v oblasti transparentnosti nezávislé na klasifikaci high-risk. Platí pro čtyři scénáře: AI systémy přímo interagující s lidmi (chatboti) musí uživatele informovat, že komunikují se strojem. Generativní AI musí označovat výstupy strojově čitelným způsobem. Systémy rozpoznávání emocí musí o svém provozu informovat dotčené osoby. A deepfaky musí být zřetelně označeny jako uměle vytvořené nebo manipulované.

Evropská komise prostřednictvím AI Office připravuje Code of Practice pro označování AI obsahu, jehož finální verze se očekává v červnu 2026. Code of Practice je formálně dobrovolný, ale regulátoři ho s vysokou pravděpodobností budou používat jako benchmark pro posuzování compliance.

I když Digital Omnibus povinnosti pro high-risk systémy odloží, Article 50 jako celek platí od srpna 2026. Přechodné období se řeší jen u jedné dílčí části: pro systémy uvedené na trh před 2. srpnem 2026 navrhuje Parlament tříměsíční prodloužení do 2. listopadu 2026 na splnění povinnosti strojově čitelného označování výstupů podle čl. 50 odst. 2, Rada šestiměsíční do února 2027. Samotná povinnost informovat uživatele o interakci s AI není předmětem žádného odkladu.

Pokuty: tři stupně a žádná výjimka pro neznalost

Article 99 zavádí třístupňový sankční režim. Za porušení zakázaných praktik (Article 5) hrozí pokuta do 35 milionů EUR nebo 7 % celosvětového ročního obratu, podle toho, co je vyšší. Za nesplnění povinností pro high-risk systémy je horní hranice 15 milionů EUR nebo 3 % obratu. Za poskytnutí zavádějících informací regulátorům 7,5 milionu EUR nebo 1 % obratu. Pro SME a startupy platí mírnější pravidlo: z obou částek se uplatní ta nižší. Ale i 3 % obratu malé firmy představují existenční riziko.

Sankce jsou vyšší než u GDPR, kde maximum činí 20 milionů EUR nebo 4 % obratu. AI Act je v tomto ohledu nejtvrdší procentuální režim v celém balíku unijní digitální regulace.

Jak vypadá příprava v Česku

Česko nemá k dnešnímu dni žádný platný zákon přímo regulující AI. Ministerstvo průmyslu a obchodu připravilo návrh zákona o umělé inteligenci, podle ministerstva záměrně minimalistický, desetistránkový dokument, který nerozšiřuje povinnosti nad rámec EU AI Act. Návrh prochází mezirezortním připomínkovým řízením.

Hlavním dozorovým orgánem má být Český telekomunikační úřad (ČTÚ) jako single point of contact. Další dohledové role připadnou České národní bance a Úřadu pro ochranu osobních údajů. Český úřad pro technickou normalizaci, metrologii a zkušebnictví bude fungovat jako notifying authority pro akreditaci conformity assessment bodies. Na implementaci je podle vládního implementačního plánu alokováno 232 milionů korun na období 2026–2028.

Náměstek ministra a vládní zmocněnec pro AI Jan Kavalírek při představení návrhu zdůraznil, že Česko nechce přidávat administrativní zátěž nad unijní rámec. Pragmatický přístup, který ale zároveň znamená, že výklad sporných bodů bude záviset na unijních guidelines. A ty v řadě případů zatím neexistují.

Co to znamená pro vývojářský tým

AI Act vypadá jako regulace pro právníky, ale její praktické důsledky padají přímo na vývojáře, architekty a provozní týmy.

Inventarizace AI systémů. První krok je zmapovat, kde v organizaci běží AI a jestli některý z těchto systémů spadá do Annex III. To zahrnuje nejen vlastní vývoj, ale i nakoupené SaaS produkty s AI funkcemi: ATS systémy s AI screeningem, analytické platformy hodnotící zaměstnance, credit scoring moduly. Pokud systém profiluje jednotlivce v kontextu Annex III, je high-risk bez ohledu na to, jak ho interně nazýváte.

Logovací infrastruktura. Article 12 vyžaduje logovací schopnost jako funkční požadavek od prvního dne. Inference logy (vstup, výstup, confidence scores, rozhodovací metadata, human-in-the-loop akce) musí vznikat automaticky, být uloženy v imutabilní a auditovatelné podobě s vynucenou retencí minimálně šesti měsíců. Kdo dnes provozuje high-risk AI systém bez strukturovaného logování, neobejde se s konfigurační úpravou. Potřebuje architektonickou změnu.

Conformity assessment a dokumentace je záležitost providerů. Pro většinu Annex III systémů se jedná o self-assessment podle Annex VI, kdy provider sám ověří splnění požadavků. Ale „self-assessment“ neznamená „self-declaration bez podkladů“. Vyžaduje funkční quality management systém, technickou dokumentaci podle Article 11 a evidence, že risk management, data governance a human oversight skutečně fungují. Dokumentace se uchovává deset let.

Transparenční povinnosti jsou jednodušší: každý chatbot, AI asistent nebo generativní systém komunikující s uživatelem musí od srpna 2026 jasně sdělit, že jde o AI. Pokud váš produkt obsahuje AI chat, přidejte disclosure.

Pozor na provider vs. deployer. Většina českých firem bude v pozici deployer, tedy provozovatel AI systému od externího dodavatele. Odpovědnost tím ale neklesá. Deployer musí zajistit, že automaticky generované logy existují a jsou přístupné po dobu minimálně šesti měsíců, monitorovat provoz v souladu s návodem k použití, informovat uživatele o použití AI a hlásit providerovi závažné incidenty. Formální post-market monitoring systém podle čl. 72 je naopak povinností providera. Fundamental Rights Impact Assessment podle čl. 27 pak dopadá na veřejnoprávní subjekty, soukromé subjekty poskytující veřejné služby a na deployery systémů pro úvěrovou bonitu a životní či zdravotní pojištění. Na celý Annex III plošně nedopadá.

Proč vývojáři nemůžou čekat na právníky

Augment Code v praktickém průvodci z dubna 2026 pojmenovává jádro věci: AI Act sice mluví jazykem compliance, ale jeho požadavky jsou v jádru architektonické. Automatické logování inference pipeline, imutabilní audit trail, provenance chain vstupů a výstupů, verzovaná technická dokumentace. S tím si právní oddělení neporadí. Tady musí engineering.

Kdo už provozuje rozumný observability stack, zjistí, že řada požadavků Article 12 se překrývá s tím, co dobré týmy dělají tak jako tak: logování inference, monitoring driftu, verzování modelů. Háček je jinde. AI Act vyžaduje, aby tohle přerostlo z best practice v prokazatelnou, auditovatelnou a právně vymahatelnou schopnost systému.

Na co sázet a čeho se bát

Digital Omnibus má dobré vyhlídky na schválení, protože Parlament i Rada jsou v zásadních bodech ve shodě a kyperské předsednictví z něj udělalo prioritu. Pokud politická dohoda padne v trialogu do konce dubna, formální schválení může přijít v květnu a červnu, publikace v Official Journal v červenci. Těsně před srpnovým deadlinem. To by odložilo high-risk povinnosti na prosinec 2027.

Ale i v tom scénáři platí od srpna 2026 povinnosti Article 50 v oblasti transparentnosti, enforcement pravomoci na úrovni členských států a EU, a pokutový režim. A pokud Omnibus nestihne termín, platí vše.

Kdo dnes provozuje AI v recruitmentu, HR hodnocení, credit scoringu nebo risk assessmentu v pojišťovnictví, stojí před reálnou compliance povinností. Technické standardy nejsou hotové, guidelines Komise se zpožďují, národní dozorové orgány se teprve formují. Čekat, až se všechno usadí, ale znamená retrofitovat pod tlakem. Kdo začne teď, bude připraven.

GDPR nás v roce 2018 naučilo, že organizace, které zaměnily dokumentaci za schopnost, dopadly nejhůř. AI Act směřuje ke stejnému zúčtování – s vyššími pokutami a hlubším zásahem do technické architektury.