Druhá vlna povinností dle AI Aktu

První vlnou povinností dle AI Aktu, která odstartovala regulaci AI v rámci Evropské unie, jsme se zabývali již v našem minulém článku: Začala platit první vlna povinností dle AI Aktu.

Druhá vlna povinností se bude týkat především obecných modelů AI neboli General Purpose Artificial Intelligence (dále jen „GPAI modely“) a transparentnosti jejich užívání, notifikovaných subjektů posuzujících shodu, národních dozorových orgánů a režimu důvěrnosti informací. Zároveň se rozbíhá i režim sankcí a pokut, který vytváří rámec pro vymáhání povinností vůči poskytovatelům, dovozcům, distributorům a uživatelům AI systémů.

Reklama

Korporace – rozdělování zisku a jiných vlastních zdrojů v kapitálových společnostech (online - živé vysílání) - 3.9.2025

3.9.2025 09:003 975 Kč s DPH
3 285 Kč bez DPH

Koupit

Co nás tedy od 2. 8. 2025 čeká?

Transparentnost a odpovědnost u GPAI modelů

Jedním z nejvýznamnějších pilířů nadcházející fáze regulace je Kapitola V AI Aktu, která se věnuje právě GPAI modelům. Kapitola V AI Aktu reaguje zejména na prudký rozvoj těchto GPAI modelů, které lze adaptovat pro širokou škálu použití od chatovacích asistentů po analýzu obrazu či tvorbu obsahu.

GPAI model je typem AI systému dle AI Aktu, který je definován jako model AI, včetně případů, kdy je tento model AI trénován velkým množstvím dat s využitím vlastního dohledu ve velkém měřítku, který vykazuje významnou obecnost a je schopen kompetentně plnit širokou škálu různých úkolů bez ohledu na způsob, jakým je daný model uveden na trh, a který lze začlenit do různých navazujících systémů nebo aplikací, s výjimkou modelů AI, které se používají pro činnosti výzkumu, vývoje nebo činnosti zaměřené na tvorbu prototypů před jejich uvedením na trh[1].

Na rozdíl od vysoce rizikových AI systémů (jako jsou například AI systémy používané k rozpoznávání obličejů ve veřejném prostoru, AI systémy pro rozhodování v oblasti zdravotní péče, algoritmy pro hodnocení uchazečů o zaměstnání či systémy pro rozhodování v oblasti poskytování úvěrů), nejsou GPAI modely přímo vázány na jeden konkrétní účel, proto jejich regulace představuje samostatnou výzvu.

Od 2. 8. 2025 budou mít všichni poskytovatelé GPAI modelů povinnost zajistit vysokou míru transparentnosti. Tato povinnost zahrnuje zejména vedení technické dokumentace, obsahující detailní informace o tréninkových metodách; použité výpočetní síle specifikaci modelu, jeho schopnostech, rizicích a potenciálních použitích. Poskytovatelé GPAI modelů musí navíc veřejně poskytnout srozumitelné souhrnné informace o tréninkových datech, včetně případného použití obsahu, chráněného autorskými právy či právy duševního vlastnictví.  

V České republice bude plnění těchto povinností podpořeno tzv. regulatorním sandboxem, který bude provozovat Česká agentura pro standardizaci (dále jen „ČAS“).[2] Firmy v něm budou moci testovat své GPAI modely za podpory státu a ověřovat jejich soulad s požadavky AI Aktu. Ministerstvo průmyslu a obchodu (dále jen „MPO“), které je hlavním gestorem implementace, připravuje také návrh národní legislativy reflektující tyto požadavky.[3]

Novinkou je také povinnost poskytovat návod k použití GPAI modelů, který musí uživatele informovat o jeho fungování, limitech, možnostech integrace a potenciálních rizicích. Pokud je GPAI model využit jako komponenta ve vysoce rizikovém AI systému (např. ty určené pro využití v oblasti zdravotnictví), je poskytovatel GPAI modelu povinen spolupracovat s vývojářem konečného AI systému. To znamená, že bude muset poskytovat technickou podporu, dokumentaci a případně se podílet na posuzováni shody.

Ještě přísnější pravidla platí pro tzv. GPAI modely se systémovým rizikem ve smyslu článku 51 AI Aktu, zejména s ohledem na jejich výkonnost a výpočetní kapacitu, kdy hovoříme o GPAI modelu s velkým dopadem. U GPAI modelů se systémovým rizikem musí poskytovatelé pravidelně testovat jejich výkon, robustnost a odolnost proti zneužití, zavést systém řízení rizik a hlásit incidenty. Zároveň musí tyto GPAI modely zaregistrovat u Evropské komise.

Evropská komise současně vydala 18. června 2025 Pokyny k rozsahu povinností pro poskytovatele modelů umělé inteligence obecného účelu (GPAI) podle AI Aktu (dále jen „Pokyny“)[4]. Pokyny poskytují výklad Evropské komise ohledně povinností poskytovatelů GPAI modelů. Ačkoli nejsou právně závazné, poskytují cenný náhled na to, jaký přístup pravděpodobně zaujmou národní regulátoři při výkladu a prosazování jednotlivých povinností dle AI Aktu.

Oznamující orgány: nový pilíř pro posuzování shody

Od 2. 8. 2025 budou členské státy EU povinny určit, případně akreditovat, oznamující orgány podle podmínek stanovených v AI Aktu. Oznamující orgány musí být technicky způsobilé, nezávislé a nestranné. Podléhají také dohledu ze strany národních akreditačních orgánů a jejich činnost bude koordinována na evropské úrovni.

Česká republika určila Úřad pro technickou normalizaci, metrologii a státní zkušebnictví (dále jen „ÚNMZ“) jako oznamující orgán, který bude registrovat a dohlížet na notifikované subjekty posuzující shodu AI systémů. Certifikaci samotnou však ÚNMZ provádět nebude. Tu zajistí specializované organizace, které splní podmínky a budou nahlášeny Evropské komisi.[5]

Úkolem oznamujících orgánů bude ověřit, zda AI systémy splňují požadavky uvedené v přílohách II a IV AI Aktu, včetně požadavků týkající se kvality dat, řízení rizik, robustnosti AI systémů, lidského dohledu nebo kybernetické bezpečnosti. Výsledkem bude vydání osvědčení o shodě, které umožní vést daný systém na evropský trh. Zároveň bude možné certifikaci omezit nebo odebrat, pokud se zjistí nedostatky nebo nové okolnosti, které zvyšují riziko pro uživatele nebo dotčené osoby.

Je také důležité zmínit, že oznamujícím orgánem se nesmí stát žádná organizace, která sama vyvíjí nebo prodává AI systémy z důvodu možného střetu zájmů. V praxi tak půjde zejména o nezávislé specializované a certifikační instituce.

Dozorové orgány

Podle Kapitoly VII AI Aktu budou členské státy EU nově povinny jmenovat národní dozorové orgány, které budou odpovídat za kontrolu uplatňování pravidel AI Aktu na svém území. Tyto orgány musí být nezávislé, mít dostatečné lidské i finanční zdroje a pravomoci k provádění šetření, inspekcí, vyžadování dokumentace a v krajních případech až k zákazu provozu rizikových AI systémů.

Zřízení funkční správní struktury má klíčový význam pro to, aby se z AI Aktu nestal pouze formální předpis, ale skutečně účinný nástroj pro ochranu základních práv, bezpečnosti a právní jistoty v digitálním prostoru.

V České republice bylo MPO jmenováno hlavním koordinátorem implementace. Byl rovněž jmenován vládní zmocněnec pro AI a zřízeno Kompetenční centrum pro AI ve státní správě.[6]

V souhrnu budou klíčovými institucemi budou dle AI Aktu v rámci České republiky:

• MPO, jakožto hlavní koordinátor implementaci AI Aktu v České republice; 
• Český telekomunikační úřad (dále jen „ČTÚ“), jakožto orgán dozoru nad trhem, který bude zajišťovat dodržování pravidel AI Aktu v oblasti tržní regulace;
• ÚNMZ, jakožto oznamující orgán, který bude jmenovat a oznamovat subjekty posuzování shody a monitorovat jejich činnost v souladu s požadavky AI Aktu; a
• ČAS, jakožto orgán zodpovídající za vytvoření a správu regulatorního sandboxu.

Na úrovni EU a v rámci horizontální koordinace bude zároveň zřízen tzv. Evropský výbor pro umělou inteligenci (European Artificial Intelligence Board, EAIB), jehož členy budou zástupci všech národních dozorových orgánů a Evropské komise. Úkolem tohoto výboru bude podporovat jednotné uplatňování nařízení, vydávat pokyny, sbírat data o dopadech regulace a usnadňovat informací mezi státy.

Ochrana důvěrných informací

Zejména pro technologické firmy a poskytovatele systémů AI je důležité ustanovení článku 78 AI Aktu (Důvěrnost). AI Akt totiž přiznává dozorovým orgánům a dalším relevantním institucím rozsáhlý přistup k dokumentaci, zdrojovým datům a interním informacím o vývoji AI systémů. Článek 78 AI Aktu proto výslovně stanoví, že veškeré důvěrné informace včetně obchodních tajemství, technických specifikací nebo složení tréninkových dat, musí být chráněny před neoprávněným zveřejněním.

Povinnost zachování důvěrnosti informací se vztahuje nejen na úředníky a zaměstnance dozorových orgánů, ale také na členy notifikovaných subjektů, odborné poradce, členy Evropského výboru pro AI a další zapojené osoby. Výjimku tvoří pouze případy, kdy je sdělení informací nezbytné pro výkon pravomocí podle práva EU, například při soudních řízeních nebo v rámci přeshraniční spolupráce.

V České republice budou pravidla důvěrnosti řešena v rámci národní legislativy, kterou připravuje MPO. Opatření se mají promítnout do vnitřních předpisů dozorových orgánů, aby byla zajištěna ochrana obchodních tajemství a technické dokumentace.

Sankce a pokuty dle AI Aktu

V rámci druhé vlny povinností dle AI Aktu, nabývají účinku také články 99 a 100 AI Aktu, podle kterých se začnou poprvé uplatňovat první sankce a správní pokuty v rámci regulace AI. AI Akt tímto zajišťuje, že porušení povinností nebude pouze symbolické, ale bude spojeno s reálnými následky.

Nejvyšší sankce se vztahují na porušení absolutních zákazů uvedených v článku 5 AI Aktu – zakázaných praktik AI, jako je například nasazení zakázaných AI systémů, například AI systémy využívající podprahové techniky, škodlivou manipulaci a klamání, využívání zranitelnosti uživatelů a další. V takových případech může pokuta dosáhnout až 35 milionů EUR nebo 7 % celosvětového ročního obratu podniku, podle toho, která částka je vyšší.

Za méně závažná porušení, jako je například nedodržení povinností týkajících se dokumentace, registrace a transparentnosti, se pokuty pohybují do výše 15 milionů EUR nebo 3 % obratu. Pro fyzické osoby nebo malé a střední podniky může být sankce upravena s ohledem na přiměřenost.

Článek 100 AI Aktu ukládá členským státům povinnost zajistit, aby sankční režim byl efektivní, přiměřený a odrazující. Státy zároveň mohou zavést další sankce, včetně trestněprávních, pokud to jejich právní řád umožňuje. Tím vzniká vícestupňový systém odpovědnosti, který se vztahuje jak na poskytovatele a vývojáře, tak na dovozce, distributory, uživatele a v některých případech i správní orgány a veřejné instituce.

Závěrem

Dnem 2. srpna 2025 tedy vstupuje v účinnost klíčová část AI Aktu, která mění přístup k vývoji, používání a regulaci umělé inteligence v EU. Firmy, poskytovatelé GPAI modelů, distributoři, dovozci, veřejné orgány i notifikované subjekty budou muset aktivně plnit nové povinnosti. Transparentnost, dokumentace, lidský dohled a řízení rizik již nejsou jen etické ambice, ale stávají se právně vymahatelným standardem.

Zároveň se poprvé rozbíhá sankční režim, který umožňuje významné finanční postihy za porušení pravidel a povinností, postupně vstupujících v platnost dle AI Aktu. To znamená, že jakékoli opomenutí, například absence návodu u GPAI modelu, nedodání dokumentace, nebo zanedbání oznamovací povinnosti, může mít přímé právní důsledky. Vysoké pokuty mají sloužit jako motivace k odpovědnému přístupu už od začátku.

V nejbližší době bude klíčové sledovat sekundární legislativu a prováděcí akty, které upřesní technické standardy a doplní funkční prvky systému. Pro všechny dotčené subjekty je proto vhodná chvíle k interním auditům, vymezení odpovědností a vyhodnocení toho, zda jejich technologie nebo činnost spadá pod regulovanou oblast.

Dalším milníkem pro AI regulaci, který nás v budoucnu čeká, je 2. srpen 2026, kdy vstoupí v platnost zbývající ustanovení AI Aktu, s výjimkou článku 6(1). Článek 6(1) AI Aktu, který upravuje klasifikaci vysoce rizikových AI systémů dle přílohy III AI Aktu, začne platit až od 2. srpna 2027.  

Mgr. Jakub Málek,
managing partner

Mgr. Tereza Pechová
advokátní koncipientka

Anna Němcová,
právní asistentka