Průběžný komentář · živý dokument · revize 7. 7. 2026

AI Act

Nařízení (EU) 2024/1689 o umělé inteligenci. Co dělá, od kdy platí které povinnosti a komentář ke každému ze 113 článků a 13 příloh, s úplným zněním. Citace držím proti oficiálnímu českému znění, ne proti shrnutím z druhé ruky.

TL;DR

AI Act je první ucelená regulace umělé inteligence na světě. Neřídí AI podle toho, co je, ale podle toho, kde a k čemu se používá: osm praktik zakazuje úplně, vyjmenované vysoce rizikové použití pouští na trh jen s technickými požadavky a posouzením shody po vzoru CE značení, chatboty a syntetický obsah odbývá informační povinností a zbytek nechává být. Zvláštní režim mají základové modely typu GPT. Povinnosti nabíhají postupně od února 2025 do roku 2028, pokuty šplhají až k 35 milionům eur nebo 7 % celosvětového obratu.

O čem nařízení je

Regulační technika je produktová. AI Act nezná licencovanou profesi „poskytovatel AI", zná výrobek, jeho zamýšlený účel a rizikovou třídu. Tím se podobá režimu strojírenských výrobků nebo zdravotnických prostředků a liší se od stavovské regulace typu advokacie. Povinnosti se věší na role v řetězci. Nejvíc nese poskytovatel (kdo systém vyvíjí a uvádí na trh), méně zavádějící subjekt (kdo ho používá v práci), něco dovozce a distributor. Role nejsou statické, kdo cizí systém přeznačí nebo mu změní účel, přebírá povinnosti poskytovatele.

Riziková pyramida má čtyři patra. Zakázané praktiky (čl. 5) nesmí do EU vůbec. Vysoce rizikové systémy (čl. 6, přílohy I a III: biometrika, školství, zaměstnávání, úvěry, justice a další) projdou jen s řízením rizik, kvalitními daty, dokumentací, logy, lidským dohledem a posouzením shody. Systémy, které potkávají lidi (chatboty, generátory obsahu, deepfake), mají informační povinnosti z čl. 50. Všechno ostatní zůstává volné, s dobrovolnými kodexy.

Zakázané praktiky čl. 5 · zákaz od 2. 2. 2025
Vysoce rizikové systémy čl. 6 + přílohy I a III · od 2. 12. 2027 / 2. 8. 2028
Povinnosti transparentnosti čl. 50 · od 2. 8. 2026
Minimální riziko bez zvláštních povinností · dobrovolné kodexy (čl. 95)
Čím výš, tím tvrdší režim. Lhůty vysokého rizika podle balíku Digital Omnibus, platí po vyhlášení v Úředním věstníku.

Napříč tím běží zvláštní kolej pro obecné modely AI (GPAI): dokumentace, autorskoprávní politika a shrnutí trénovacích dat pro všechny, tvrdší režim evaluací a hlášení incidentů pro modely se systémovým rizikem nad prahem 10^25 FLOPS. Vymáhání vůči nim si drží Komise přes úřad pro AI, na zbytek dohlíží vnitrostátní orgány, vysoce rizikové systémy se registrují do veřejné databáze a dotčené osoby mají právo na stížnost i na vysvětlení rozhodnutí.

Jedna věc, kterou nařízení záměrně nedělá: soukromé právně-poradenské systémy nezařazuje mezi vysoce rizikové (příloha III bod 8 míří na justiční orgány a obdobné užití v mimosoudním řešení sporů). Co z té mezery plyne, sleduje hypotéza H3 na mapě výzkumu a kauza Nippon v. OpenAI.

Kdo jste v řetězci

Povinnosti se odvíjejí od role, ne od velikosti firmy. Rolí můžete mít víc najednou a zeměpis nerozhoduje, nařízení dopadá i na subjekty mimo EU, pokud se výstup jejich systému používá v Unii.

Poskytovatel

Systém vyvíjí (nebo si ho nechává vyvinout) a uvádí ho na trh či do provozu pod vlastním jménem nebo značkou, za úplatu i zdarma. Nese největší balík povinností (čl. 16).

Zavádějící subjekt

Používá systém AI v rámci profesionální činnosti. Nejčastější role běžné firmy, povinnosti v čl. 26 a u vybraných provozovatelů FRIA podle čl. 27.

Dovozce

Uvádí na trh EU systém nesoucí jméno subjektu usazeného mimo Unii (čl. 23).

Distributor

Další článek řetězce, který systém dodává na trh EU a není poskytovatelem ani dovozcem (čl. 24).

Výrobce výrobku s AI

Uvádí na trh výrobek podle přílohy I se zabudovaným vysoce rizikovým systémem pod vlastním jménem, pak nese povinnosti poskytovatele (čl. 25 odst. 3).

Zplnomocněný zástupce

Subjekt v EU písemně pověřený poskytovatelem ze třetí země, drží dokumentaci a je kontaktním bodem orgánů (čl. 22).

Nejčastější past je překlopení role. Kdo cizí systém přeznačí vlastní značkou, podstatně ho změní nebo mu změní účel na vysoce rizikový, stává se poskytovatelem se vším všudy (čl. 25).

Je váš systém vysoce rizikový?

Předběžné zařazení podle čl. 6, krok za krokem odshora dolů. Jakmile dojdete k výsledku, větev končí.

1 Bezpečnostní komponenta výrobku podle přílohy I s posouzením shody třetí stranou?
ANO
Vysoce rizikový čl. 6 odst. 1
NE
2 Spadá použití do některé z oblastí přílohy III?
NE
Není vysoce rizikový
ANO
3 Provádí systém profilování fyzických osob?
ANO
Vysoce rizikový vždy čl. 6 odst. 3
NE
4 Významné riziko pro zdraví, bezpečnost nebo základní práva?
ANO
Vysoce rizikový
NE
5 Plní systém jen dílčí úlohu podle čl. 6 odst. 3?
ANO
Není vysoce rizikový výjimku zdokumentovat a registrovat, čl. 6 odst. 4 a čl. 49 odst. 2
NE
Vysoce rizikový systém
První síto podle čl. 6, plné znění otázek je v krocích níže. Jakmile větev dojde k výsledku, končí.

Krok 1

Je systém bezpečnostní komponentou výrobku podle přílohy I (nebo sám takovým výrobkem) a podléhá posouzení shody třetí stranou?

AnoVysoce rizikový systém (čl. 6 odst. 1).

NePokračuj krokem 2.

Krok 2

Spadá použití systému do některé z oblastí přílohy III?

AnoPokračuj krokem 3.

NeNení vysoce rizikový systém.

Krok 3

Provádí systém profilování fyzických osob?

AnoVysoce rizikový systém vždy (čl. 6 odst. 3 poslední pododstavec).

NePokračuj krokem 4.

Krok 4

Představuje systém významné riziko újmy na zdraví, bezpečnosti nebo základních právech, mimo jiné tím, že podstatně ovlivňuje výsledek rozhodování?

AnoVysoce rizikový systém.

NePokračuj krokem 5.

Krok 5

Plní systém aspoň jednu z podmínek čl. 6 odst. 3? Úzce zaměřený procesní úkol, zlepšení výsledku už dokončené lidské činnosti, odhalování vzorců rozhodování nebo odchylek od nich bez toho, aby bez lidského přezkumu nahrazoval dřívější lidské posouzení, nebo jen přípravný úkol k posouzení.

AnoNení vysoce rizikový systém. Výjimku před uvedením na trh zdokumentuj a systém registruj (čl. 6 odst. 4 a čl. 49 odst. 2).

NeVysoce rizikový systém.

Schéma je orientační první síto, hraniční případy chtějí posouzení nad konkrétním účelem systému a pokyny Komise podle čl. 96.

Povinnosti a lhůty

1. 8. 2024

Nařízení vstoupilo v platnost (dvacátým dnem po vyhlášení v Úředním věstníku). Zatím bez povinností.

2. 2. 2025

Kapitoly I a II. Platí zákazy z čl. 5 (osm zakázaných praktik) a povinnost AI gramotnosti z čl. 4. První datum, které dopadlo na běžné firmy.

2. 8. 2025

Obecné modely AI (kap. V), správa a governance (kap. VII), notifikační orgány (kap. III oddíl 4), sankce (kap. XII kromě čl. 101) a důvěrnost (čl. 78). Státy do tohoto data určily vnitrostátní orgány (čl. 70).

2. 8. 2026

Obecná použitelnost. Transparentnost podle čl. 50 (chatboty, syntetický obsah, deepfake), regulační sandboxy (čl. 57), práva z čl. 85 a 86. Vysoce rizikové systémy podle přílohy III měly nabíhat také, Omnibus je odsunul (viz níže).

2. 12. 2027

Po Omnibusu: povinnosti pro samostatné vysoce rizikové systémy podle přílohy III (původně 2. 8. 2026).

2. 8. 2028

Po Omnibusu: povinnosti pro AI zabudovanou v regulovaných výrobcích podle čl. 6 odst. 1 a přílohy I (původně 2. 8. 2027). K 2. 8. 2027 zůstává povinnost dorovnat obecné modely AI uvedené na trh před 2. 8. 2025 (čl. 111 odst. 3).

2030

Dojezd starých systémů: vysoce rizikové systémy užívané orgány veřejné moci dorovnat do 2. 8. 2030, rozsáhlé informační systémy EU podle přílohy X uvedené před 2. 8. 2027 do 31. 12. 2030 (čl. 111).

Digital Omnibus (stav k 7. 7. 2026)

Balík Digital Omnibus posouvá náběh vysokorizikových povinností: příloha III na 2. 12. 2027, AI ve výrobcích podle přílohy I na 2. 8. 2028. Politická dohoda padla 7. 5. 2026, Evropský parlament ji schválil 16. 6. 2026, Rada 29. 6. 2026, čeká se na vyhlášení v Úředním věstníku. Zákazy, AI gramotnost, transparentnost ani režim obecných modelů se neodkládají. Omnibus zároveň do čl. 5 přidává devátý zákaz, generování materiálu zobrazujícího sexuální zneužívání dětí a nekonsenzuálních intimních snímků, s přechodným obdobím do 2. 12. 2026, a do téhož data dává starším generativním systémům čas na strojově čitelné značení výstupů podle čl. 50.

Česká adaptace

AI Act platí přímo, ale dozor, sandbox, posuzování shody a vymáhání doplňuje národní právo. Český adaptační zákon o umělé inteligenci z dílny Ministerstva průmyslu a obchodu prošel meziresortním připomínkovým řízením a účinnost se odvíjí od dalšího průběhu legislativního procesu (stav k 7. 7. 2026).

Podle projednávaného návrhu má být jednotným kontaktním místem a těžištěm dozoru nad trhem Český telekomunikační úřad, sektorově doplněný mj. ČNB pro finanční služby a ÚOOÚ tam, kde jde o osobní údaje. Úřad pro technickou normalizaci, metrologii a státní zkušebnictví má působit jako oznamující orgán pro subjekty posuzování shody a s jeho rolí se počítá i u národního regulačního sandboxu.

Zajímavý detail pro praxi: AI Act sám pokutu za neprovedení posouzení dopadu na základní práva (FRIA, čl. 27) nestanoví, ve výčtu sankcí čl. 99 odst. 4 tento článek chybí. Projednávaný český návrh tu mezeru zaplňuje vlastní skutkovou podstatou s pokutou až 7,5 mil. eur nebo 1 % obratu. Kdo by FRIA odkládal s tím, že nemá sankci, měl by vědět, že mít ji bude.

Praktická příprava

Cesta k souladu nemusí začínat velkým projektem. Šest kroků, které dávají smysl v tomhle pořadí a pokryjí nejbližší lhůty. Ke kroku pravidel a školení se hodí otevřený kurz AI gramotnosti na tomhle webu, zdarma pod licencí CC BY 4.0.

01

Inventura. Zmapovat, kde všude se AI v organizaci reálně používá, včetně nástrojů, které si týmy pořídily samy mimo oficiální cestu.

02

Klasifikace rizika. Každé použití zařadit do pater pyramidy, od zakázané praktiky po systém bez zvláštních povinností. Pomůže schéma výše.

03

Určení role. U každého systému vědět, jestli jste poskytovatel, zavádějící subjekt, dovozce nebo distributor, a hlídat překlopení role přes čl. 25.

04

Smlouvy s dodavateli. Ošetřit dokumentaci, data, bezpečnost, auditní práva, hlášení incidentů a rozdělení odpovědnosti.

05

Pravidla a školení. Interní pravidla používání AI a školení lidí. Zároveň se tím plní povinnost AI gramotnosti z čl. 4, která běží už od 2. 2. 2025.

06

Dokumentace a monitoring. Souladem nasazení nekončí. Modely, použití i lhůty se mění, dokumentace a revize musí běžet průběžně.

Komentář k ustanovením

Všech 113 článků a 13 příloh, po kapitolách, u každého rovnou stručný komentář. Rozklikni ustanovení a uvnitř je navíc úplné znění. Komentář se prohlubuje průběžně.

Kapitola I · čl. 1–4

Obecná ustanovení

Vymezuje, co nařízení reguluje, na koho dopadá a jakým jazykem mluví. Tady se rozhoduje, jestli vůbec jste v režimu AI Actu.

Čl. 1 Předmět

Dvojí účel, fungující vnitřní trh a důvěryhodná AI chránící zdraví, bezpečnost a základní práva. Interpretační kotva, ke které se sahá při teleologickém výkladu všech dalších ustanovení.

Čl. 2 Oblast působnosti

Extrateritoriální dosah. Dopadá na poskytovatele uvádějící systém na trh v EU bez ohledu na sídlo i na poskytovatele a zavádějící subjekty ze třetích zemí, pokud se výstup systému používá v EU. Mimo režim stojí národní bezpečnost a obrana, vědecký výzkum a vývoj, činnost před uvedením na trh, čistě osobní nepodnikatelské užití a zčásti open-source modely. Členské státy mohou držet přísnější ochranu zaměstnanců.

Čl. 3 Definice

68 definic, na kterých stojí celé nařízení. Systém AI se pozná podle odvozování výstupů ze vstupů, různé míry autonomie a případné adaptability, což rozhoduje, jestli je konkrétní software vůbec v režimu. Nosná je dvojice rolí, poskytovatel (vyvíjí nebo nechává vyvinout a uvádí na trh) a zavádějící subjekt (používá v rámci profesionální činnosti). Většina povinností visí na poskytovateli.

Čl. 4 Gramotnost v oblasti AI

Poskytovatelé i zavádějící subjekty zajišťují dostatečnou úroveň znalostí personálu, který s AI pracuje, s ohledem na kontext a dotčené osoby. Platí od 2. 2. 2025 a je to nejplošnější povinnost nařízení, dopadá i na firmy, které AI jen používají. Prakticky se plní školením, interními pravidly a dokumentací obojího. Přímá pokuta za porušení nehrozí (ve výčtu čl. 99 odst. 4 článek 4 není) a k jejímu splnění slouží otevřený kurz AI gramotnosti na tomhle webu.

Kapitola II · čl. 5

Zakázané postupy

Jediný článek, ale s nejtvrdší sankcí (35 mil. eur nebo 7 % obratu). Osm praktik, které se nesmí vůbec.

Čl. 5 Zakázané postupy v oblasti AI

Zákazy a) až h). Podprahová a manipulativní technika podstatně narušující rozhodování, zneužití zranitelnosti (věk, postižení, sociální a ekonomická situace), social scoring s neodůvodněnými důsledky mimo původní kontext, predikce kriminality čistě z profilování osobnosti, plošný scraping obličejů z internetu a kamerových záznamů, odvozování emocí na pracovišti a ve školách (mimo zdravotní a bezpečnostní důvody), biometrická kategorizace odhalující citlivé znaky a biometrická identifikace na dálku v reálném čase na veřejných místech pro vymáhání práva. U poslední z nich odst. 2 až 7 připouštějí taxativní výjimky (oběti, bezprostřední ohrožení života, pachatelé vyjmenovaných činů) s předchozím povolením soudu nebo nezávislého orgánu. Praktický test před nasazením čehokoli s AI je projít těch osm písmen. A pozor, Digital Omnibus přidává s přechodným obdobím do 2. 12. 2026 devátý zákaz, generování materiálu zobrazujícího sexuální zneužívání dětí a nekonsenzuálních intimních snímků, který dopadá i na systémy, kde je takový výstup rozumně předvídatelný a chybí dostatečné technické pojistky.

Kapitola III · čl. 6–49

Vysoce rizikové systémy AI

Jádro nařízení, produktová regulace po vzoru CE značení. Klasifikace, technické požadavky, povinnosti v řetězci, oznámené subjekty a cesta na trh.

Oddíl 1 · klasifikace (čl. 6–7)

Čl. 6 Klasifikační pravidla pro vysoce rizikové systémy AI

Dvě cesty do vysokého rizika. Systém je bezpečnostní komponentou regulovaného výrobku podle přílohy I s posouzením shody třetí stranou (odst. 1), nebo spadá do oblastí přílohy III (odst. 2), tedy biometrika, kritická infrastruktura, vzdělávání, zaměstnávání, základní služby a úvěry, vymáhání práva, migrace, justice. Odst. 3 dává filtr pro systémy s jen přípravnou nebo pomocnou rolí bez významného rizika, výjimku je ale nutné zdokumentovat a systém registrovat. Profilování fyzických osob je vysoce rizikové vždy. Krokové rozhodovací schéma je na kartě AI Act.

Čl. 7 Změny přílohy III

Komise smí delegovanými akty seznam vysoce rizikových použití doplňovat i zužovat podle kritérií závažnosti a pravděpodobnosti újmy. Mechanismus, kterým bude příloha III žít, sledovat ji je průběžná compliance povinnost sama o sobě.

Oddíl 2 · požadavky na systém (čl. 8–15)

Čl. 8 Soulad s požadavky

Systém plní požadavky oddílu s ohledem na zamýšlený účel a obecně uznávaný stav techniky. U výrobků podle přílohy I se plnění integruje do sektorových postupů, aby se neposuzovalo dvakrát.

Čl. 9 Systém řízení rizik

Kontinuální iterativní proces po celý životní cyklus. Identifikace předvídatelných rizik včetně rozumně předvídatelného zneužití, opatření v návrhu, testování proti metrikám a zvláštní ohled na osoby mladší 18 let a jinak zranitelné skupiny.

Čl. 10 Data a správa dat

Trénovací, validační a testovací sady musí být relevantní, dostatečně reprezentativní a v maximální možné míře bez chyb, s postupy správy dat od sběru přes labeling po detekci a mitigaci zkreslení. Zpracování zvláštních kategorií osobních údajů pro odhalování zkreslení jen za přísných kumulativních podmínek. Pro praxi nejdražší článek nařízení.

Čl. 11 Technická dokumentace

Před uvedením na trh a průběžně aktuální, obsah podle přílohy IV. Malé a střední podniky mohou použít zjednodušený formulář Komise.

Čl. 12 Vedení záznamů

Systém automaticky loguje události po celý životní cyklus tak, aby šla zpětně dohledat riziková situace, podstatná změna i podklad pro monitoring po uvedení na trh.

Čl. 13 Transparentnost a poskytování informací zavádějícím subjektům

Návod k použití se schopnostmi a limity systému, výkonnostními metrikami, známými riziky, požadavky na lidský dohled a údržbu. Bez tohohle článku by zavádějící subjekt nemohl unést vlastní povinnosti z čl. 26.

Čl. 14 Lidský dohled

Dohled musí být účinný, dohlížející osoba rozumí schopnostem a limitům, umí výstup správně interpretovat, nepodlehnout automation bias a zasáhnout nebo systém zastavit. U vzdálené biometrické identifikace nesmí být opatření přijato na základě samotného výstupu bez ověření nejméně dvěma způsobilými fyzickými osobami.

Čl. 15 Přesnost, spolehlivost a kybernetická bezpečnost

Deklarované úrovně přesnosti v návodu, odolnost proti chybám i pokusům o zneužití (data poisoning, adversariální vstupy) a ošetření zpětnovazebních smyček u systémů, které se učí za provozu.

Oddíl 3 · povinnosti v řetězci (čl. 16–27)

Čl. 16 Povinnosti poskytovatelů vysoce rizikových systémů AI

Souhrnný katalog. Zajistit shodu s oddílem 2, mít systém řízení kvality, vést dokumentaci a logy, projít posouzením shody, vydat prohlášení, označit CE, registrovat, přijímat nápravná opatření, spolupracovat s orgány a splnit požadavky na přístupnost podle směrnic (EU) 2016/2102 a 2019/882.

Čl. 17 Systém řízení kvality

Písemně zdokumentovaný systém pokrývající strategii shody, návrh a vývoj, testování, správu dat, řízení rizik, monitoring po uvedení na trh, hlášení incidentů i komunikaci s orgány. Obdoba QMS ze světa zdravotnických prostředků.

Čl. 18 Uchovávání dokumentace

Technická dokumentace, dokumentace QMS, prohlášení o shodě a certifikáty k dispozici orgánům deset let od uvedení systému na trh.

Čl. 19 Automaticky generované protokoly

Logy, které má poskytovatel pod kontrolou, se uchovávají po dobu přiměřenou účelu, nejméně šest měsíců.

Čl. 20 Nápravná opatření a informační povinnost

Nevyhovující systém uvést do shody, stáhnout z trhu, deaktivovat nebo odvolat, a informovat distributory, zavádějící subjekty, zástupce i dovozce.

Čl. 21 Spolupráce s příslušnými orgány

Na odůvodněnou žádost doložit shodu, zpřístupnit dokumentaci a logy v jazyce srozumitelném orgánu.

Čl. 22 Zplnomocněný zástupci poskytovatelů vysoce rizikových systémů AI

Poskytovatel ze třetí země musí mít písemně pověřeného zástupce usazeného v EU, který drží dokumentaci a je kontaktním bodem orgánů. Stejná logika jako u GDPR čl. 27.

Čl. 23 Povinnosti dovozců

Před uvedením ověřit, že proběhlo posouzení shody, existuje dokumentace, systém nese CE a poskytovatel má zástupce. Dovozce se podepisuje na obal a nesmí uvést systém, o kterém ví, že nevyhovuje.

Čl. 24 Povinnosti distributorů

Ověření označení a dokumentů, skladování a přeprava neohrožující shodu a povinnost stáhnout nebo nahlásit systém představující riziko.

Čl. 25 Povinnosti v celém hodnotovém řetězci AI

Nejpodceňovanější článek nařízení. Kdo cizí vysoce rizikový systém opatří vlastní značkou, podstatně ho změní, nebo změní účel obecného systému na vysoce rizikový, stává se poskytovatelem se všemi povinnostmi. Původní poskytovatel předává dokumentaci a dodavatelé komponent uzavírají písemné dohody o součinnosti. Přesně tudy do režimu vklouznou integrátoři stavějící na cizích modelech.

Čl. 26 Povinnosti zavádějících subjektů vysoce rizikových systémů AI

Používat podle návodu, svěřit dohled kompetentním osobám, zajistit relevantní vstupní data, monitorovat provoz, hlásit incidenty, uchovávat logy nejméně šest měsíců, před nasazením na pracovišti informovat zaměstnance a jejich zástupce a informovat osoby, o kterých systém pomáhá rozhodovat.

Čl. 27 Posouzení dopadu vysoce rizikových systémů AI na základní práva

Veřejnoprávní zavádějící subjekty, soukromí poskytovatelé veřejných služeb a zavádějící subjekty u úvěrového scoringu a životního pojištění před prvním použitím popíší procesy, dotčené skupiny, rizika újmy, lidský dohled a nápravná opatření, a oznámí to dozorovému orgánu. Navazuje na DPIA z GDPR, kde už existuje, doplní se.

Oddíl 4 · oznamující orgány a oznámené subjekty (čl. 28–39)

Čl. 28 Oznamující orgány

Každý stát určí orgán, který posuzuje, oznamuje a monitoruje subjekty posuzování shody, s garancí nestrannosti vůči nim.

Čl. 29 Žádost subjektu posuzování shody o oznámení

Subjekt posuzování shody dokládá způsobilost akreditací, případně jinou dokumentací.

Čl. 30 Postup oznamování

Notifikace Komisi a státům elektronicky, s okny pro námitky, teprve pak smí subjekt působit jako oznámený.

Čl. 31 Požadavky na oznámené subjekty

Nezávislost na poskytovatelích i konkurentech, důvěrnost, odborný personál, pojištění odpovědnosti a vnitřní procesy úměrné velikosti klienta.

Čl. 32 Předpoklad shody s požadavky na oznámené subjekty

Akreditace podle harmonizovaných norem zakládá domněnku splnění požadavků čl. 31.

Čl. 33 Dceřiné společnosti oznámených subjektů a zadávání subdodávek

Subdodávka posuzování jen se souhlasem klienta a při zachování plné odpovědnosti oznámeného subjektu.

Čl. 34 Povinnosti týkající se činnosti oznámených subjektů

Posuzovat proporcionálně, nezatěžovat zbytečně malé poskytovatele a dokumentaci držet k dispozici oznamujícímu orgánu.

Čl. 35 Identifikační čísla a seznamy oznámených subjektů

Komise přiděluje čísla a vede veřejný seznam oznámených subjektů.

Čl. 36 Změny v oznámeních

Postup při ztrátě způsobilosti, pozastavení nebo zrušení a osud vydaných certifikátů včetně převodu spisů k jinému subjektu.

Čl. 37 Zpochybnění způsobilosti oznámených subjektů

Komise může způsobilost prošetřit a po státu žádat nápravu včetně zrušení notifikace.

Čl. 38 Koordinace oznámených subjektů

Sektorové skupiny pro sdílení praxe, aby posuzování nedivergovalo mezi státy.

Čl. 39 Subjekty posuzování shody třetích zemí

Za rovnocenných podmínek a na základě dohod mohou činnost vykonávat i subjekty usazené mimo EU.

Oddíl 5 · normy, shoda, certifikáty, registrace (čl. 40–49)

Čl. 40 Harmonizované normy a produkty normalizace

Soulad s harmonizovanou normou zakládá domněnku shody s požadavky, které norma pokrývá. Praktická cesta compliance, normy pro AI Act vznikají v CEN/CENELEC na žádost Komise.

Čl. 41 Společné specifikace

Když normy chybí nebo nestačí, Komise může prováděcím aktem vydat vlastní specifikace se stejným účinkem domněnky.

Čl. 42 Předpoklad shody s určitými požadavky

Dvě zvláštní domněnky. Trénink na datech odpovídajících prostředí nasazení pro reprezentativnost a certifikace kyberbezpečnosti pro čl. 15.

Čl. 43 Posuzování shody

U biometriky si poskytovatel volí mezi interní kontrolou podle přílohy VI a posouzením s oznámeným subjektem podle přílohy VII, u ostatních oblastí přílohy III stačí interní kontrola. Systémy ve výrobcích podle přílohy I jedou v sektorových postupech. Podstatná změna systému znamená nové posouzení.

Čl. 44 Certifikáty

Vydávají oznámené subjekty na omezenou dobu s možností prodloužení, pozastavení a odnětí, proti čemuž existuje odvolací postup.

Čl. 45 Informační povinnosti oznámených subjektů

Hlášení vydaných, odmítnutých, pozastavených a odňatých certifikátů oznamujícímu orgánu a sdílení s ostatními subjekty.

Čl. 46 Odchylka od postupu posuzování shody

Dozorový orgán může z výjimečných důvodů veřejné bezpečnosti, ochrany života a zdraví, životního prostředí nebo klíčových aktiv povolit uvedení na trh bez dokončeného posouzení, dočasně a pod kontrolou.

Čl. 47 EU prohlášení o shodě

Poskytovatel jím na deset let přebírá odpovědnost za shodu, obsah podle přílohy V.

Čl. 48 Označení CE

Viditelně, čitelně, nesmazatelně, u digitálních systémů digitálně, s číslem oznámeného subjektu tam, kde se účastnil.

Čl. 49 Registrace

Poskytovatel se před uvedením na trh registruje do databáze EU podle čl. 71, registrují se i systémy vyňaté filtrem čl. 6 odst. 3 a veřejnoprávní zavádějící subjekty. Citlivé oblasti (vymáhání práva, migrace) jdou do neveřejné části.

Kapitola IV · čl. 50

Transparentnost pro určité systémy

Vrstva pro AI, která není vysoce riziková, ale potkává lidi. Pro soukromé AI chatboty, včetně právních, je to zatím jediná přímo dopadající vrstva nařízení.

Čl. 50 Povinnosti poskytovatelů zavádějící subjektů určitých systémů AI, pokud jde o transparentnost

Povinnosti se dělí podle role. Poskytovatel zajistí, aby člověk poznal, že komunikuje s AI (ledaže je to z kontextu zjevné), a aby syntetický zvuk, obraz, video i text nesly strojově čitelné označení. Zavádějící subjekt informuje osoby vystavené rozpoznávání emocí nebo biometrické kategorizaci, zveřejňuje umělý původ deepfake (u zjevně uměleckých a satirických děl stačí nerušivé přiznání) a označuje AI text zveřejněný k informování veřejnosti o věcech veřejného zájmu, ledaže text prošel lidskou redakční kontrolou a někdo za něj nese redakční odpovědnost. Všechno jasně a rozlišitelně, nejpozději při první interakci, ne schované v podmínkách. Je to informační povinnost, ne požadavek na kvalitu výstupu, proč to u právního poradenství nestačí, rozebírá hypotéza H3 na mapě výzkumu.

Kapitola V · čl. 51–56

Obecné modely AI (GPAI)

Režim pro základové modely typu GPT nebo Claude, odstupňovaný podle systémového rizika.

Čl. 51 Klasifikace obecných modelů AI jako obecných modelů AI se systémovým rizikem

Model má systémové riziko, když jeho schopnosti s velkým dopadem odpovídají prahu tréninkového výpočtu nad 10^25 operací s pohyblivou řádovou čárkou, nebo když ho tak z moci úřední označí Komise podle kritérií přílohy XIII.

Čl. 52 Postup

Poskytovatel oznámí Komisi splnění prahu do dvou týdnů a může argumentovat, že model systémové riziko přesto nepředstavuje. Komise vede a zveřejňuje seznam takových modelů.

Čl. 53 Povinnosti poskytovatelů obecných modelů AI

Technická dokumentace podle přílohy XI, informace pro navazující poskytovatele podle přílohy XII, politika dodržování unijního autorského práva včetně respektu k výhradám vytěžování textů a dat, a veřejné shrnutí trénovacího obsahu podle šablony úřadu pro AI (24. 7. 2025, i česky). Open-source modely mají úlevu z dokumentace, ne z autorského práva a shrnutí.

Čl. 54 Zplnomocnění zástupci poskytovatelů obecných modelů AI

Mimounijní poskytovatelé obecných modelů ustanoví zástupce v EU, obdoba čl. 22.

Čl. 55 Povinnosti poskytovatelů obecných modelů AI se systémovým rizikem

Navíc evaluace modelu včetně adversariálního testování, posuzování a mitigace systémových rizik na úrovni EU, hlášení závažných incidentů úřadu pro AI a kybernetická ochrana modelu i infrastruktury.

Čl. 56 Kodexy správné praxe

Úřad pro AI facilituje kodexy, které plnění kap. V zpraktičťují, hotové měly být do 2. 5. 2025. Dodržování kodexu je cesta, jak prokázat soulad, dokud nejsou harmonizované normy. Kodex správné praxe pro GPAI z 10. 7. 2025 (kapitoly transparentnost, autorské právo, bezpečnost a zabezpečení) Komise a rada pro AI potvrdily jako vhodný dobrovolný nástroj a podepsali ho mimo jiné velcí poskytovatelé modelů.

Kapitola VI · čl. 57–63

Opatření na podporu inovací

Protiváha povinností, sandboxy, testování v reálném světě a úlevy pro menší hráče.

Čl. 57 Regulační sandboxy pro AI

Každý stát zřídí aspoň jeden sandbox do 2. 8. 2026, i společně s jinými státy. Kontrolované prostředí pro vývoj a testování pod vedením orgánů, výstupem je písemná zpráva a doklady, které se počítají u posuzování shody. Účast nezbavuje odpovědnosti, ale postup v dobré víře podle pokynů chrání před pokutami.

Čl. 58 Podrobná ustanovení pro regulační sandboxy pro AI a jejich fungování

Jednotná kritéria a postupy stanoví prováděcí akty Komise, pro malé a střední podniky má být přístup zásadně bezplatný.

Čl. 59 Další zpracování osobních údajů pro účely vývoje určitých systémů AI ve veřejném zájmu v rámci regulačního sandboxu pro AI

Zákonně získané osobní údaje lze v sandboxu dále zpracovat pro vývoj systémů ve významném veřejném zájmu (zdraví, životní prostředí, energetika, doprava, veřejná správa), v odděleném prostředí, s výmazem po skončení.

Čl. 60 Testování vysoce rizikových systémů AI v reálných podmínkách mimo regulační sandboxy pro AI

Vysoce rizikové systémy z přílohy III lze testovat mimo sandbox před uvedením na trh, s plánem testování, registrací, informovaným souhlasem subjektů a stropem šesti měsíců s možností jednoho prodloužení o dalších šest.

Čl. 61 Informovaný souhlas s účastí na testování v reálných podmínkách mimo regulační sandboxy pro AI

Svobodný, konkrétní a dokumentovaný souhlas účastníků testování, s právem kdykoli odstoupit.

Čl. 62 Opatření pro poskytovatele a zavádějící subjekty, zejména malé a střední podniky, včetně podniků začínajících

Přednostní bezplatný přístup do sandboxů, školení, komunikační kanály a poplatky za posuzování shody úměrné velikosti.

Čl. 63 Výjimky pro specifické provozovatele

Mikropodniky mohou vybrané prvky systému řízení kvality plnit zjednodušeně.

Kapitola VII · čl. 64–70

Správa

Institucionální architektura na unijní i národní úrovni.

Čl. 64 Úřad pro AI

Komise soustřeďuje expertízu a výkon přes úřad pro AI, který je zároveň přímým dozorem nad obecnými modely.

Čl. 65 Zřízení a struktura Evropské rady pro umělou inteligenci

Po jednom zástupci z každého státu, koordinační těleso mezi Komisí a národními orgány.

Čl. 66 Úkoly rady

Jednotná aplikace nařízení, stanoviska, doporučení a podpora sladěné správní praxe včetně sandboxů.

Čl. 67 Poradní fórum

Průmysl, malé a střední podniky, akademie a občanská společnost radí radě a Komisi, vyvážené složení.

Čl. 68 Vědecká komise nezávislých odborníků

Odborná opora úřadu, mimo jiné může vydat kvalifikovanou výstrahu o systémovém riziku obecného modelu.

Čl. 69 Přístup ke skupině odborníků ze strany členských států

Státy si mohou z téhož poolu expertů brát podporu pro vlastní dozor.

Čl. 70 Určení příslušných vnitrostátních orgánů a jednotného kontaktního místa

Každý stát určil do 2. 8. 2025 nejméně jeden oznamující orgán a jeden orgán dozoru nad trhem a jednotné kontaktní místo, s garancí zdrojů a kompetencí.

Kapitola IX · čl. 72–94

Dozor a práva dotčených osob

Život po uvedení na trh, od monitoringu přes dozor až po vymáhání vůči obecným modelům.

Monitoring a incidenty (čl. 72–73)

Čl. 72 Monitorování prováděné poskytovateli po uvedení vysoce rizikových systémů AI na trh na trh a plán tohoto monitorování

Poskytovatel aktivně sbírá a vyhodnocuje zkušenosti z provozu podle plánu, který je součástí technické dokumentace, šablonu vydává Komise.

Čl. 73 Oznamování závažných incidentů

Poskytovatel hlásí závažný incident orgánu státu, kde k němu došlo, nejpozději do 15 dnů, při úmrtí do 10 dnů a při rozsáhlém porušení nebo narušení kritické infrastruktury do 2 dnů. Následuje šetření a hlášení o nápravě.

Dozor nad trhem (čl. 74–84)

Čl. 74 Dozor nad trhem a kontrola systémů AI na trhu Unie

Platí režim nařízení o dozoru nad trhem (EU) 2019/1020. Orgány mají přístup k dokumentaci, datům i (za podmínek) zdrojovému kódu, u finančních institucí dozorují sektorové orgány, u biometriky pro vymáhání práva orgány ochrany dat.

Čl. 75 Vzájemná pomoc, dozor nad trhem a kontrola obecných systémů AI

Když systém staví na obecném modelu od téhož poskytovatele, spolupracuje úřad pro AI s národním dozorem, ať se kompetence nepřekrývají.

Čl. 76 Dohled nad testováním v reálných podmínkách vykonávaný orgány dozoru nad trhem

Orgány kontrolují testování podle čl. 60 a mohou ho pozastavit nebo ukončit.

Čl. 77 Pravomoci orgánů chránících základní práva

Vyjmenované národní orgány ochrany základních práv dostávají přístup k dokumentaci, když ji potřebují pro svou působnost.

Čl. 78 Důvěrnost

Ochrana duševního vlastnictví, obchodního tajemství a zdrojového kódu při výkonu dozoru, výměna informací mezi orgány jen v nezbytném rozsahu.

Čl. 79 Postup na vnitrostátní úrovni pro nakládání se systémy AI představujícími riziko

Národní postup hodnocení a opatření (uvedení do souladu, stažení, odvolání) s notifikací Komisi a ostatním státům.

Čl. 80 Postup nakládání se systémy AI, které nejsou při použití přílohy III poskytovatelem klasifikovány jako vysoce rizikové

Orgán může přezkoumat systém, který se klasifikaci vyhnul filtrem čl. 6 odst. 3, a přeřadit ho do vysokého rizika, s pokutou za obcházení.

Čl. 81 Ochranný postup Unie

Spory mezi státy o opatřeních rozhoduje Komise.

Čl. 82 Vyhovující systémy AI, které představují riziko

I formálně shodný systém může představovat riziko pro zdraví, bezpečnost nebo základní práva, pak se opatření nařizují také.

Čl. 83 Formální nesoulad

Chybějící CE, prohlášení, registrace nebo zástupce se napravuje, jinak následuje omezení nebo stažení z trhu.

Čl. 84 Podpůrné struktury Unie pro testování AI

Horizontální technická podpora dozoru (testovací kapacity Unie).

Prostředky nápravy (čl. 85–87)

Čl. 85 Právo vznést stížnost u orgánu dozoru nad trhem

Kdokoli může podat stížnost orgánu dozoru nad trhem, bez dotčení jiných prostředků ochrany.

Čl. 86 Právo na vysvětlení rozhodnutí v konkrétním případě

Osoba dotčená rozhodnutím s právními nebo obdobně významnými účinky, které bylo přijato na základě výstupu vysoce rizikového systému z přílohy III, má právo na jasné a smysluplné vysvětlení role systému a hlavních prvků rozhodnutí. Tichý příbuzný čl. 22 GDPR, ale mířený na proces rozhodování, ne na zpracování dat.

Čl. 87 Oznamování porušení a ochrana oznamujících osob

Na hlášení porušení nařízení se použije směrnice o ochraně oznamovatelů (EU) 2019/1937, v ČR tedy zákon o ochraně oznamovatelů.

Vymáhání vůči obecným modelům (čl. 88–94)

Čl. 88 Vymáhání povinností poskytovatelů obecných modelů AI

Výlučná pravomoc Komise, vykonává ji úřad pro AI.

Čl. 89 Monitorovací opatření

Úřad sleduje plnění a navazující poskytovatelé si mohou stěžovat na porušení proti nim.

Čl. 90 Výstraha vědecké komise ohledně systémového rizika

Kvalifikovaná výstraha o systémovém riziku může spustit hodnocení modelu Komisí.

Čl. 91 Pravomoc požadovat dokumentaci a informace

Komise si od poskytovatele modelu vyžádá dokumentaci a doplňující informace.

Čl. 92 Pravomoc provádět hodnocení

Komise může model hodnotit, i skrze nezávislé experty, včetně přístupu k modelu přes API nebo jiné vhodné prostředky.

Čl. 93 Pravomoc požádat o opatření

Od mitigace rizik přes omezení zpřístupnění až po stažení modelu z trhu.

Čl. 94 Procesní práva provozovatelů spojených s obecnými modely AI

Pro poskytovatele modelů platí procesní záruky obdobné režimu dozoru nad trhem.

Kapitola X · čl. 95–96

Kodexy chování a pokyny

Měkká vrstva pro všechny ostatní.

Čl. 95 Kodexy chování v případě dobrovolného uplatňování konkrétních požadavků

Poskytovatelé systémů mimo vysoké riziko si mohou dobrovolně uložit vybrané požadavky kap. III a k tomu prvky jako udržitelnost, gramotnost, inkluzivní návrh nebo účast dotčených skupin.

Čl. 96 Pokyny Komise týkající se provádění tohoto nařízení

Komise vydává praktické pokyny mimo jiné k požadavkům čl. 8 až 15, k zákazům čl. 5, k čl. 50, ke vztahu k jiným předpisům a k definici systému AI, s ohledem na malé a střední podniky. Pro praxi budou často důležitější než text nařízení sám.

Kapitola XII · čl. 99–101

Sankce

Tři pásma podle závažnosti, vždy vyšší z pevné částky a procenta obratu.

Čl. 99 Sankce

Porušení zákazů z čl. 5 až 35 mil. eur nebo 7 % celosvětového obratu. Porušení ostatních povinností (mj. čl. 16, 25, 26, 50) až 15 mil. eur nebo 3 %. Nepravdivé informace orgánům až 7,5 mil. eur nebo 1 %. Pro malé a střední podniky platí vždy nižší z obou hodnot, jinak vyšší. Státy doplní vlastní režim vymáhání.

Čl. 100 Správní pokuty ukládané orgánům, institucím a jiným subjektům Unie

Orgánům a subjektům Unie ukládá pokuty evropský inspektor ochrany údajů, do 1,5 mil. eur za zakázané praktiky a do 750 tis. eur za ostatní porušení.

Čl. 101 Pokuty pro poskytovatele obecných modelů AI

Ukládá Komise, až 15 mil. eur nebo 3 % obratu, mimo jiné za porušení kap. V nebo nevyhovění opatřením z čl. 93.

Kapitola XIII · čl. 102–113

Závěrečná ustanovení

Novely sektorových předpisů (AI ve výrobcích se reguluje uvnitř sektorových režimů, ne dvojkolejně), přechodná pravidla a náběh.

Čl. 102 Změna nařízení (ES) č. 300/2008

Novela nařízení (ES) č. 300/2008 o ochraně civilního letectví. Prováděcí pravidla k bezpečnostnímu vybavení s AI mají zohledňovat požadavky kap. III oddílu 2.

Čl. 103 Změna nařízení (EU) č. 167/2013

Novela nařízení (EU) č. 167/2013, schvalování zemědělských a lesnických vozidel, stejná logika zohlednění požadavků.

Čl. 104 Změna nařízení (EU) č. 168/2013

Novela nařízení (EU) č. 168/2013, dvoukolová a tříkolová vozidla a čtyřkolky.

Čl. 105 Změna směrnice 2014/90/EU

Novela směrnice 2014/90/EU o lodní výstroji.

Čl. 106 Změny směrnice (EU) 2016/797

Novela směrnice (EU) 2016/797 o interoperabilitě železničního systému.

Čl. 107 Změna nařízení (EU) 2018/858

Novela nařízení (EU) 2018/858 o schvalování motorových vozidel.

Čl. 108 Změny nařízení (EU) 2018/1139

Novely nařízení (EU) 2018/1139 o civilním letectví (rámec EASA).

Čl. 109 Změna nařízení (EU) 2019/2144

Novela nařízení (EU) 2019/2144 o požadavcích na bezpečnost vozidel.

Čl. 110 Změny směrnice (EU) 2020/1828

Porušení AI Actu se přidává do přílohy směrnice (EU) 2020/1828, spotřebitelské organizace tedy mohou podávat zástupné žaloby i za porušení tohoto nařízení. Pro soukromé vymáhání klíčová a přehlížená stopa.

Čl. 111 Systémy AI, které již byly uvedeny na trh nebo do provozu a obecné modely AI již uvedené na trh

Vysoce rizikový systém uvedený před náběhem povinností se dorovnává jen při významné změně návrhu. Orgány veřejné moci dorovnávají vždy, nejpozději do 2. 8. 2030. Rozsáhlé informační systémy EU podle přílohy X uvedené před 2. 8. 2027 do 31. 12. 2030. Obecné modely uvedené před 2. 8. 2025 do 2. 8. 2027.

Čl. 112 Hodnocení a přezkum

Komise pravidelně posuzuje potřebu změn seznamu přílohy III i zákazů a každé čtyři roky celé nařízení hodnotí a podává zprávu, včetně účinnosti sankcí a spotřeby energie u obecných modelů.

Čl. 113 Vstup v platnost a použitelnost

Odstupňovaný náběh povinností, viz časová osa na kartě AI Act. Pozor, lhůty tohoto článku následně mění Digital Omnibus.

Přílohy · I–XIII

Přílohy I–XIII

Přílohy nesou to, co se v textu článků jen odkazuje, seznamy, obsahy dokumentací a kritéria. Příloha III je fakticky nejdůležitější částí celého nařízení.

Příl. I Seznam harmonizačních právních předpisů Unie

Seznam harmonizačních právních předpisů Unie. Oddíl A podle nového legislativního rámce (strojní zařízení, hračky, výtahy, zdravotnické prostředky a další), oddíl B ostatní (letectví, vozidla, lodní výstroj, železnice). Vstupenka do vysokého rizika cestou čl. 6 odst. 1.

Příl. II Seznam trestných činů uvedených v čl. 5 odst. 1 prvním pododstavci písm. h) bodě iii)

Seznam trestných činů, u kterých připadá v úvahu výjimka pro biometrickou identifikaci na dálku v reálném čase podle čl. 5.

Příl. III Vysoce rizikové systémy AI uvedené v čl. 6 odst. 2

Seznam vysoce rizikových použití podle čl. 6 odst. 2 v osmi oblastech, od biometriky přes zaměstnávání a základní služby po justici. Fakticky nejdůležitější část nařízení, Komise ji může měnit podle čl. 7. Bod 8 pokrývá jen výkon spravedlnosti, soukromé právní poradenství tu chybí (viz hypotéza H3 na mapě výzkumu).

Příl. IV Technická dokumentace podle čl. 11 odst. 1

Obsah technické dokumentace podle čl. 11, od popisu systému a jeho vývoje přes data a validaci po řízení rizik a monitoring.

Příl. V EU prohlášení o shodě

Obsah EU prohlášení o shodě podle čl. 47.

Příl. VI Postup posuzování shody založený na interní kontrole

Postup posuzování shody interní kontrolou, bez zapojení třetí strany.

Příl. VII Shoda založená na posouzení systému řízení kvality a na posouzení technické dokumentace

Postup posuzování shody se zapojením oznámeného subjektu, posuzuje se systém řízení kvality a technická dokumentace.

Příl. X Právní předpisy Unie o rozsáhlých informačních systémech v prostoru svobody, bezpečnosti a práva

Právní akty Unie o rozsáhlých informačních systémech v prostoru svobody, bezpečnosti a práva, pro přechodný režim čl. 111 odst. 1.

Příl. XIII Kritéria pro určování obecných modelů AI se systémovým rizikem podle článku 51

Kritéria, podle kterých Komise označuje obecný model za model se systémovým rizikem podle čl. 51 (parametry, kvalita a velikost dat, výpočet, modality, dosah).

Zdroje