2. srpna 2025 vstoupila v platnost klíčová část Evropského Aktu o umělé inteligenci (AI Act). Zaměřuje se na obecné modely AI (GPAI) jako ChatGPT, Gemini nebo Claude. Nové předpisy přináší zásadní změny pro poskytovatele AI systémů v EU, konkrétně
požadavky na technickou dokumentaci
transparentnost použitých tréninkových dat a řízení rizik
zároveň zavádějí rozsáhlý systém dozorů na úrovni EU i členských států
Kodex a průvodce plněním AI Aktu
Evropská komise vydala dobrovolný Kodex správné praxe, který poskytovatelům AI modelů usnadňuje plnění náročných požadavků AI Aktu zejména v oblasti bezpečnosti, transparentnosti a respektu k autorským právům u tréninkových dat.
Kromě praktických vzorů technické dokumentace obsahuje kodex i šablony pro audity, které pomáhají vnitřní kontrole shody s regulací. Poskytovatelé, kteří kodex nepřijmou, musí stále prokazovat, že přijali vhodná a účinná opatření k zajištění souladu s AI pravidly.
ISO 42001 jako framework bezpečného využívání AI
S příchodem nových pravidel je nezbytné zavést rozsáhlá školení zaměstnanců a uživatelů AI o etických, právních a bezpečnostních aspektech využívání AI systémů. Školení by mělo zahrnovat správné používání AI, povinnosti vyplývající z AI Aktu a souvisejících předpisů, stejně jako procesy řízení rizik. Audity pak slouží jako pravidelný mechanismus ověřování dodržování těchto pravidel, dokumentace a interních kontrolních procesů. Tyto kroky jsou již nyní požadovány i v souvislosti s obecnějšími zásadami kybernetické bezpečnosti a ochrany dat, a od února 2025 jsou povinné dle AI Aktu.
Vazba na GDPR: Ochrana osobních údajů v AI systémech
Velmi důležitým aspektem nové regulace je její úzké provázání s Obecným nařízením o ochraně osobních údajů (GDPR). Většina AI modelů zpracovává osobní údaje, a proto se na ně vztahují zásady GDPR – například minimalizace zpracování, účelová omezení, transparentnost, práva subjektů údajů (přístup, oprava, výmaz) a požadavky na zabezpečení dat.
AI Akt sice stanoví nové povinnosti zejména pro vysoce rizikové modely, ale zároveň je třeba je aplikovat v souladu s GDPR. Vysoce rizikové AI systémy musejí například zajistit, že použité datové sady nejsou diskriminační, jsou aktuální a přesné, a proces automatizovaného rozhodování je pod lidským dohledem. To minimalizuje rizika porušení práv subjektů údajů, která GDPR chrání.
Další součástí GDPR je povinnost informovat subjekty údajů o použití AI, a to transparentně a srozumitelně. AI Akt toto dále rozšiřuje požadavky na transparentnost a vysvětlitelnost rozhodnutí AI systémů, zejména u vysoce rizikových aplikací, což reflektuje rostoucí potřebu ochrany soukromí a práv jednotlivců v digitálním prostředí.
Dopad AI Aktu na organizace
Organizace by měly přesně identifikovat, které AI systémy používají a jaká rizika tyto systémy představují. Následně musí zavést interní mechanismy řízení rizik, technické a organizační opatření, dokumentaci a pravidelné audity souladu s AI Aktem a GDPR. Součástí je také důkladné školení pracovníků v oblastech bezpečnosti, etiky a ochrany dat.
Přechodné období do 2. srpna 2027 dávalo firmám čas k adaptaci, avšak již od srpna 2025 platí pro nové modely přísné požadavky, které nevyžadují kompromisy v ochraně dat nebo bezpečnosti.
Rostoucí regulační rámec
Propojení AI Aktu a GDPR vytváří robustní regulační rámec, který má za cíl nejen podpořit inovace v oblasti AI, ale především chránit základní práva občanů EU v digitálním prostoru. Přicházející povinnosti kladou velký důraz na školení a audity jako nástroje pro zajištění odpovědného, právně a eticky korektního používání umělé inteligence.
Tím se potvrzuje, že kompetence v oblasti ochrany osobních údajů je nezastupitelná i v kontextu regulace AI. Důkladná příprava a zároveň vzdělávání zaměstnanců a uživatelů AI systémů je proto klíčová pro úspěšné fungování organizací v nové éře digitální regulace.
