24. 9. 2025
ID: 120064upozornění pro uživatele

Evropská pravidla pro univerzální AI: Jaké povinnosti přinášejí nové pokyny Komise?

Od 2. srpna 2025 vstupuje v účinnost část nařízení Evropské unie o umělé inteligenci (AI Act), která přináší nová pravidla pro poskytovatele univerzálních AI modelů (GPAI), jako jsou ChatGPT, Gemini či Claude. Evropská komise zároveň vydala podrobné pokyny, které vysvětlují, koho se povinnosti týkají, jak má být zpracována technická dokumentace, jaké informace musí obsahovat shrnutí chráněných dat a jak má fungovat interní politika k autorským právům. Dokumentace rovněž specifikuje kritéria, kdy se model považuje za tzv. systemický GPAI, který podléhá přísnějšímu režimu. Cílem je zajistit bezpečné a transparentní využívání AI, ochranu práv uživatelů a prevenci rizik spojených s masovým nasazením těchto technologií.

Evropská unie se dlouhodobě snaží najít rovnováhu mezi podporou inovací v oblasti umělé inteligence a potřebou právní jistoty a ochrany základních práv. Jedním z nejvýraznějších projevů této snahy je nařízení o umělé inteligenci (dále také pouze jako „AI Act“), jehož část věnovaná univerzálním modelům tzv. GPAI (General-Purpose AI) vstoupila v účinnost 2. srpna letošního roku. Tato pravidla se budou vztahovat zejména na nejznámější a nejpoužívanější platformy, jako jsou ChatGPT, Gemini nebo méně známý Claude.

V červenci letošního roku zveřejnila Evropská komise dokument s názvem Guidelines on the Scope of the Obligations for GPAI Models, který poskytuje podrobný výklad povinností vyplývajících z nařízení o umělé inteligenci pro poskytovatele tzv. univerzálních modelů umělé inteligence (General-Purpose AI Models, dále jen „GPAI modely“). Pokyny konkretizují, na koho se tyto povinnosti vztahují, co přesně musí dotčené subjekty od srpna 2025 plnit, a jak mají vypadat jednotlivé výstupy – zejména technická dokumentace, shrnutí chráněného obsahu použitých dat nebo informace určené uživatelům modelů.

Ačkoli se nejedná o právně závazný akt, jde o autoritativní výklad Komise, který bude při výkladu a uplatňování AI Actu v praxi hrát zásadní roli, a to nejen pro poskytovatele AI technologií, ale i pro právníky, compliance specialisty a veřejnou správu. Tento článek přináší přehled toho, koho se nová pravidla týkají, jaké konkrétní povinnosti bude od srpna 2025 nutné dodržovat, a v jakých případech se mohou uplatnit výjimky, například u některých open-source modelů, které si vysvětlíme dále.

Ještě než se k jednotlivým povinnostem dostaneme, stojí za to vyjasnit si základní pojmy. Termínem GPAI model se rozumí model umělé inteligence, který je schopen vykonávat širokou škálu úloh a funkcí, aniž by byl určen pro konkrétní, předem definovaný účel. Právě tato flexibilita umožňuje jeho opětovné použití v různých kontextech. Může být například základem jazykového asistenta, nástroje pro analýzu dat nebo podpory rozhodování. Důležité je odlišit GPAI model od samotného systému umělé inteligence. GPAI tvoří základní stavební prvek (foundation model), který se může stát součástí většího systému AI s konkrétní funkcí nebo účelem.

Pokyny vymezují, kdo je poskytovatelem GPAI modelu: jde především o osoby, které model vyvinou nebo jako první zpřístupní na trhu EU. Prakticky to může být vývojář modelu, poskytovatel přístupu prostřednictvím API (aplikační rozhraní), provozovatel veřejného repozitáře, kde je model zveřejněn, nebo integrátor, který model začlení do tzv. „Software as a Service“ (SaaS) řešení. Důležité je, že pravidla se vztahují i na subjekty mimo EU, pokud zpřístupní GPAI model uživatelům na území Unie – podléhají stejnému režimu jako unijní poskytovatelé.

Jedním z důležitých pojmů, který dokument vykládá, je také „uvedení na trh“ (placing on the market). Zatímco v jiných oblastech technické regulace může mít tento pojem úzký výklad, v kontextu AI Actu zahrnuje jakýkoli způsob zpřístupnění GPAI modelu koncovým uživatelům v EU, ať už se jedná o jeho zveřejnění ve veřejném repozitáři, zpřístupnění přes API nebo integraci do softwaru dostupného evropským uživatelům. Nehraje přitom roli, zda je přístup ke GPAI modelu poskytován za úplatu, nebo zdarma. Rozhodujícím faktorem je samotné  zpřístupnění.

Nyní se přesuneme k výkladu článku 53 AI Actu, který se týká klíčových povinností poskytovatelů GPAI modelů. Tyto povinnosti zahrnují vedení technické dokumentace, poskytování informací dalším uživatelům modelu (tzv. „downstream deployerům“), zveřejňování shrnutí chráněného obsahu použitých dat pro trénink a zavedení vnitřní politiky pro dodržování autorského práva.

Začněme technickou dokumentací. Podle nařízení je její vedení povinné pro všechny GPAI modely, bez ohledu na to, zda jsou komerčně poskytované či open-source. Dokumentace by měla zahrnovat mimo jiné popis architektury modelu, metody použité při trénování, aplikovaná bezpečnostní opatření, jakož i testovací scénáře a jejich výsledky. Cílem je umožnit jak orgánům, tak odborné veřejnosti posoudit, zda je model používán odpovědně a v souladu s právním rámcem EU.

Další povinností je poskytnutí přiměřených informací uživatelům, kteří GPAI model dále využívají nebo implementují. Tito tzv. „downstream deployeři“ musí mít k dispozici základní přehled o tom, jak model funguje, jaká má omezení a jak ho používat bezpečně a odpovědně. I když se může zdát, že jde o samozřejmost, Komise touto povinností reaguje na praktické nedostatky v transparentnosti u mnoha modelů, které jsou v současnosti na trhu.

Jedním z méně diskutovaných aspektů je povinnost zveřejnit shrnutí chráněného obsahu, který byl použit při tréninku modelu. Pokud byly použity datové sady, které mohou být chráněny autorským právem, musí poskytovatel GPAI modelu zveřejnit jejich obecné shrnutí. Nejde přitom o seznam konkrétních titulů nebo autorů, postačí uvést např. kategorie dat, jako jsou „online encyklopedie“, „vědecké publikace“ nebo „novinové články“. Komise doporučuje vytvořit standardizovanou šablonu, která usnadní vyplňování i aktualizaci těchto shrnutí. Ty totiž musí být průběžně doplňována, zejména pokud dojde k výrazné změně modelu či jeho přeučení.

Poslední, ale neméně důležitou povinností je zavedení tzv. copyright policy – tedy interního postupu, který má zajistit, že při trénování modelu nedochází k porušování práv třetích osob. Komise tuto povinnost chápe široce: může zahrnovat právní analýzu zdrojů dat, uzavření licenčních smluv i technická opatření k identifikaci a vyloučení nelegálního obsahu. Tato politika má být nejen formální, ale také skutečně aplikovaná v praxi, a v případě kontroly ji bude třeba doložit.

A pokud si při čtení kladete otázku, co se vlastně rozumí „tréninkem modelu“, odpověď není složitá. Stejně jako se člověk učí určité dovednosti opakováním a zpětnou vazbou, i modely umělé inteligence se „učí“ na základě rozsáhlých datových sad, které jim pomáhají zlepšovat výkonnost, přesnost nebo schopnost porozumění. A právě v této fázi vznikají největší právní i etická rizika, a proto na ni AI Act klade takový důraz.

Daný výklad se dále věnuje tomu, kdy může být GPAI model považován za model se systémovým rizikem (tzv. Systemic GPAI model). To nastane ve dvou případech – buď tehdy, když model při tréninku spotřeboval více než 10²⁵ FLOP („floating point operations“ – výpočetních operací s desetinnými čísly), nebo pokud jej Komise výslovně za systemický označí. FLOP je technická jednotka měřící výpočetní výkon; v tomto případě slouží jako ukazatel rozsahu a složitosti modelu. Hranice 10²⁵ FLOP odpovídá modelům nejvyšší kategorie, tedy těm, které se v praxi mohou stát základem pro široce používané systémy s významným společenským dopadem. Jakmile model tuto definici naplní, vztahují se na něj zpřísněná pravidla. Poskytovatel je především povinen notifikovat Komisi, a to nejpozději do dvou týdnů od uvedení modelu na trh. Spolu s tím přichází další povinnosti, které mají zajistit vyšší úroveň bezpečnosti a odpovědného používání modelu. Patří mezi ně zejména zavedení interního řízení rizik, pravidelné testování modelu (včetně tzv. red-teamingu – simulovaného zneužití modelu k nelegitimním účelům), sledování a hlášení incidentů, pokud by model způsobil škodu nebo fungoval v rozporu s očekáváním, a také přijetí odpovídajících kyberbezpečnostních opatření.

Tyto povinnosti mají zabránit tomu, aby velmi výkonné modely unikly do prostředí, kde by mohly být zneužity, aby ohrozily stabilitu informačního prostoru, hospodářskou soutěž či základní práva uživatelů.

Na druhou stranu, některé GPAI modely poskytované jako open source mohou být od části uvedených povinností osvobozeny. Týká se to však pouze modelů, které splňují přesnou definici open-source podle výkladu Evropské komise. Takový model musí mít volně přístupný zdrojový kód i váhy modelu, být doplněn o dostupnou dokumentaci a informace o použitých datech pro trénink, nesmí být omezen na nekomerční využití a jeho používání nesmí vyžadovat registraci ani jiný schvalovací proces. Je však nutné zdůraznit, že pokud je open-source model zároveň považován za systemický GPAI, výjimky se na něj nevztahují a poskytovatel musí plnit všechny povinnosti v plném rozsahu.

V současné době mohou poskytovatelé GPAI modelů prokazovat svůj soulad s AI Actem mimo jiné prostřednictvím tzv. Code of Practice nebo jiných nástrojů tzv. soft law. GPAI Code of Practice, který Evropská komise představila 10. července 2025, je dobrovolný kodex, jenž má poskytovatelům pomoci plnit požadavky AI Actu v praxi. Obsahuje tři hlavní oblasti: transparentnost, dodržování autorských práv a bezpečnost včetně kybernetické ochrany, zejména u systemických modelů. Komise uznává dodržování tohoto kodexu jako nejjednodušší způsob, jak prokázat soulad s právními požadavky, a řada velkých technologických společností se k němu již přihlásila. Dodržování těchto kodexů je zatím dobrovolné, avšak Komise předpokládá, že v budoucnu se stanou důležitým prvkem compliance v oblasti AI. Pokud by se ukázalo, že dobrovolná samoregulace nepostačuje, může Komise vydat tzv. common specifications – závazné technické normy, které již budou právně vymahatelné. Na jejich přijetí si však ještě budeme muset počkat.

Co to všechno znamená pro firmy a podnikatele, kteří GPAI modely vyvíjejí nebo poskytují? Od 2. srpna 2025 by již měli mít provedenou analýzu, zda jejich model spadá pod definici GPAI. Na základě toho je vhodné mít alespoň rámcovou technickou dokumentaci, rozhodnout se, zda využijí Code of Practice, a v případě systemických modelů nastavit interní procesy pro notifikace, testování, sledování incidentů a další povinnosti, o nichž jsme se zmínili výše. Zvláštní pozornost si zaslouží notifikační povinnost u systemických GPAI modelů, která musí být splněna do dvou týdnů od uvedení modelu na trh. To je velmi krátká lhůta, a proto je nutné jí věnovat velkou pozornost.

Závěrem lze říci, že nové povinnosti přinášejí nejen regulatorní zátěž, ale i příležitost. Poskytovatelé, kteří se začnou připravovat včas, získají konkurenční výhodu, protože budou schopni rychle a bez větších komplikací reagovat na požadavky zákazníků, partnerů i regulačních orgánů. Vzhledem k rychlému vývoji AI technologií je navíc pravděpodobné, že právní rámec se bude dále vyvíjet. Ti, kteří budou mít dobře nastavené procesy už nyní, se na budoucí změny adaptují mnohem snáz.


Mgr. Sára Kocmánková



MELKUS KEJLA & PARTNERS advokátní kancelář s.r.o.
 

Washingtonova 1624/5
110 00 Praha 1
 

Tel.:   +420 725 907 365
e-mail: info@melkuskejla.cz

Zdroje:

  1. EU AI Act: Compliance Deadline of August 2, 2025, for General-Purpose AI Models – Lexology.
  2. Co je API a k čemu slouží? [Zdroj online - Co je API a k čemu slouží?].
  3. Akt o umělé inteligenci: Jak mají poskytovatelé obecných AI modelů postupovat, aby splnili požadavky zákona – Právní prostor.


© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz


Mgr. Sára Kocmánková (MELKUS KEJLA & PARTNERS)
24. 9. 2025

Poslat článek emailem

*) povinné položky

Další články: