Hledat

Zpět na blog

AI Act: právní analýza AI systému – jak probíhá a kolik stojí

Pavel Čech 13. 4. 2026

AI Act_právní analýza AI systému – jak probíhá a kolik stojí

Nevíte, do jaké rizikové kategorie váš AI systém spadá? Právní analýza podle AI Actu vám to řekne –⁠⁠⁠⁠⁠⁠ a ukáže, co konkrétně musíte udělat. Do srpna 2026 se regulace dotkne většiny firem, které AI vyvíjejí nebo provozují.

Přehled nejčastějších otázek

1. Co je právní analýza AI systému

Právní analýza AI systému je odborné posouzení, které určí, do jaké rizikové kategorie podle AI Actu váš systém spadá, jaké regulatorní povinnosti se na vás vztahují a co konkrétně musíte udělat pro dosažení souladu. Je to výchozí bod každého AI compliance procesu, něco jako audit AI systému z pohledu práva. Compliance roadmapa, která je součástí analýzy, je konkrétní plán kroků zasazený do časového harmonogramu AI Actu (nařízení 2024/1689, plný text na EUR-Lex).

AI Act vstupuje v platnost postupně a do srpna 2026 dopadne na většinu firem, které vyvíjejí nebo provozují AI. Jde o první komplexní regulaci umělé inteligence na světě, která pokrývá celý hodnotový řetězec od vývoje přes nasazení až po distribuci (viz také přehled na Digitální Česko a Evropská komise – AI policy).

2. Proč potřebujete právní analýzu AI systému

AI Act (nařízení Evropského parlamentu a Rady (EU) 2024/1689) je první komplexní právní rámec pro regulaci umělé inteligence na světě. Zavádí rizikový přístup. Čím větší riziko váš AI systém představuje pro zdraví, bezpečnost nebo základní práva osob, tím přísnější pravidla musíte splnit.

Problém? Většina firem neví, do jaké rizikové kategorie jejich systém spadá. A právě to je první a nejdůležitější otázka, protože od ní se odvíjí úplně všechno ostatní: jaké povinnosti máte, jakou dokumentaci musíte připravit, jaké pokuty vám hrozí a do kdy to všechno musíte stihnout. Bez písemné právní analýzy firma nemá jistotu, že její AI systém není zakázaný.

Pokuty za porušení AI Actu dosahují až 35 milionů EUR nebo 7 % celosvětového ročního obratu, podle toho, co je vyšší.

Pro srovnání: maximální sankce podle GDPR jsou 20 milionů EUR nebo 4 % obratu. To je věc, kterou stojí za to mít zmapovanou dopředu.

Právní analýza AI systému je proto výchozím bodem každého compliance procesu. Bez ní nevíte, zda váš systém podléhá povinnostem, které už platí (například zákazy z článku 5 AI Actu, účinné od února 2025), nebo zda vás čekají rozsáhlé compliance povinnosti pro vysoce rizikové systémy (s účinností od srpna 2026).

Analýzu typicky poptávají firmy a organizace ve třech situacích:

  • Před uvedením AI produktu na trh: chtějí vědět, jaké regulatorní povinnosti musí splnit, aby mohly legálně prodávat nebo licencovat svůj AI systém v EU.
  • Při komercializaci výzkumného projektu: univerzity a výzkumná centra, která chtějí přenést AI technologii do praxe (spin-off, licence, SaaS), potřebují právní rámec.
  • Při nasazení AI systému třetí strany: korporáty, které zavádějí AI nástroje do svých procesů (HR, zákaznický servis, rozhodování), potřebují vědět, jaké povinnosti mají jako provozovatelé (deployers).

3. Pro koho je analýza určena

AI Act rozlišuje několik rolí v hodnotovém řetězci a každá má jiné povinnosti. Právní analýza je relevantní pro všechny. Podrobnější přehled naleznete na naší stránce AI compliance pack.

Role podle AI Actu Kdo to je v praxi Typická potřeba
Poskytovatel (provider) Firma, která AI systém vyvíjí a uvádí na trh pod svým jménem Klasifikace rizik, compliance roadmapa, dokumentace, texty pro uživatele
Zavádějící subjekt (deployer) Firma, která AI systém nasazuje ve svém prostředí (nemocnice, úřad, banka, HR) Posouzení povinností, posouzení dopadů do podnikových procesů, AI gramotnost
Dovozce / distributor Firma, která AI systém dováží do EU nebo distribuuje dál Ověření, že provider splnil povinnosti; vlastní compliance povinnosti
Downstream integrátor Firma, která integruje GPAI model (např. GPT, Claude) do svého produktu Posouzení, zda se integrací nestala poskytovatelem; povinnosti vůči GPAI modelům
💡Downstream integrátor je firma, která integruje model AI pro obecné účely (tzv. GPAI model, např. GPT-4, Claude, Gemini) do vlastního produktu nebo služby. Touto integrací může získat postavení poskytovatele AI systému s plnou škálou compliance povinností.
Nevíte, do jaké role spadáte? Domluvte si nezávaznou konzultaci. Pomůžeme vám to určit během 30 minut.
Sjednat konzultaci zdarma

3. Co se v analýze posuzuje

Právní analýza AI systému podle AI Actu (někdy označovaná také jako audit AI systému nebo posouzení shody AI) má jasně danou strukturu. Její rozsah se liší případ od případu, ale vždy pokrývá tyto klíčové oblasti:

3.1 Klasifikace rizik jádro celé analýzy

AI Act rozlišuje čtyři úrovně rizika. Analýza systematicky prochází každou z nich a posuzuje, zda se na váš systém vztahuje:

Úroveň rizika Co to znamená Příklady
Nepřijatelné Systém je zakázán — nesmí být uveden na trh ani provozován v EU Sociální scoring, manipulace zranitelných osob, plošná biometrická identifikace
Vysoké Systém podléhá přísným požadavkům (dokumentace, testování, monitoring, registrace) AI v HR, creditscoring, biometrie, kritická infrastruktura, vzdělávání, justice
Omezené Povinnosti transparentnosti — informovat uživatele o interakci s AI, označit syntetický obsah Chatboty, generátory textu/obrazu, deepfake systémy, rozpoznávání emocí
Minimální Žádné specifické povinnosti (mimo obecné — AI gramotnost) Spam filtry, AI v hrách, optimalizace logistiky

 

Klasifikace není triviální. Jeden a tentýž systém může spadat do různých kategorií v závislosti na tom, kde a jak je nasazen. Překladač znakového jazyka je v běžné komunikaci systém s omezeným rizikem. Ale nasaďte ho na úřadě, kde překlad ovlivňuje přístup občana k veřejné službě, a rázem se pohybujete na hranici vysoce rizikového systému.

Proto je analýza vždy prováděna s ohledem na konkrétní zamýšlené účely a kontexty nasazení vašeho systému ne „od stolu".

3.2 Posouzení zakázaných praktik

Prvním krokem je vyloučení, že váš systém nespadá mezi zakázané AI praktiky definované v článku 5 AI Actu. To jsou systémy, které EU považuje za nepřijatelné z hlediska základních práv — například podprahové manipulativní techniky, zneužívání zranitelnosti osob, sociální scoring nebo plošná biometrická identifikace na veřejných místech.

Zákazy platí od 2. února 2025, pokud jste si tímto testem dosud neprošli, měli byste to udělat co nejdříve.

3.3 Posouzení high-risk kategorií

Pokud systém není zakázaný, posuzujeme, zda spadá pod některou z osmi kategorií vysoce rizikových AI systémů uvedených v příloze III nařízení. Ty zahrnují mimo jiné biometrii, kritickou infrastrukturu, vzdělávání, zaměstnávání, přístup k veřejným službám, vymáhání práva, migraci a justici. Dále se jedná o systémy podléhající povinnosti posouzení shody.

Analýza prochází všech osm kategorií systematicky a ke každé uvádí, zda je relevantní pro váš systém a proč. To je důležité nejen pro vaši interní jistotu, ale i pro případnou komunikaci s dozorovým orgánem.

3.4 Výjimky z klasifikace

I systém, který formálně spadá pod kategorie vysoce rizikový, nemusí být finálně jako vysoce rizikový posouzen. AI Act obsahuje výjimku pro systémy, které plní úzce zaměřený procesní úkol, nepředstavují významné riziko a neslouží k profilování osob. Analýza posuzuje, zda se tato výjimka na váš případ vztahuje. Pokud ano, dokumentuje to způsobem, který obstojí při případné kontrole.

3.5 Povinnosti transparentnosti

I systémy s omezeným rizikem mají povinnosti. Musíte informovat uživatele, že komunikují s AI systémem. Pokud váš systém generuje syntetický obsah (text, obraz, video, hlas), musí být výstupy označeny ve strojově čitelném formátu. Pokud systém rozpoznává emoce nebo provádí biometrickou kategorizaci, musíte o tom uživatele informovat.

Analýza identifikuje, které konkrétní povinnosti transparentnosti se na váš systém vztahují, a navrhne, jak je implementovat.

3.6 Tréninková data a GDPR

Pokud váš AI systém pracuje s osobními údaji, ať už při tréninku modelu, nebo při provozu, analýza posuzuje i soulad s GDPR. Více o našich službách v oblasti ochrany osobních údajů na stránce Ochrana osobních údajů.

Zaměřujeme se zejména na:

  • Právní základ pro zpracování tréninkových dat (souhlas, oprávněný zájem, plnění smlouvy)
  • Potřebu provést DPIA (posouzení vlivu na ochranu osobních údajů) u AI systémů je DPIA často povinná
  • Licenční podmínky datasetů třetích stran některé zdroje výslovně zakazují použití pro trénink AI
  • Povinnosti informovat dotčené osoby o zpracování jejich dat

3.7 GPAI modely

Pokud váš systém využívá modely AI pro obecné účely (GPT, Claude, Gemini, Llama apod.), posuzujeme, zda se na vás jako downstream integrátora vztahují povinnosti z kapitoly V AI Actu a zda integrací modelu do vlastního produktu nezískáváte pozici poskytovatele s plnými compliance povinnostmi.

4. Jak analýza probíhá krok za krokem

Celý proces od první konzultace po předání hotové analýzy typicky trvá 14 týdny v závislosti na složitosti systému. Tady jsou jednotlivé kroky:

  1. Úvodní konzultace Projdeme váš systém, jeho účel, technickou architekturu a zamýšlené kontexty nasazení. Typicky 3060 minut online. Tato schůzka je zdarma.
  2. Dotazník a podklady Zašleme vám strukturovaný dotazník pokrývající technický popis systému, zamýšlené účely, cílové uživatele, zpracování dat, obchodní model a regulatorní kontext. Čím konkrétnější odpovědi, tím přesnější analýza.
  3. Právní analýza Na základě podkladů provedeme komplexní klasifikaci systému podle AI Actu. Posoudíme zakázané praktiky, high-risk kategorie, výjimky, povinnosti transparentnosti, GDPR aspekty a povinnosti související s GPAI modely.
  4. Compliance roadmapa Navrhneme konkrétní krátkodobé, střednědobé a průběžné kroky, které musíte udělat pro dosažení souladu včetně časového harmonogramu navázaného na deadliny AI Actu.
  5. Návrhy textů a dokumentace Podle rozsahu zakázky připravíme návrhy informačních textů pro koncové uživatele (transparentní povinnost dle čl. 50), disclaimer odpovědnosti a další dokumentaci potřebnou pro compliance.
  6. Předání a follow-up Analýzu předáme jako písemný dokument a projdeme ji s vámi na schůzce. Zodpovíme dotazy a domluvíme případné další kroky (implementace, DPIA, smluvní dokumentace, školení AI gramotnosti).

5. Co je výstupem a co s ním dál

Výstupem právní analýzy AI systému je písemný právní dokument (typicky 1525 stran), který obsahuje podrobnou argumentaci ke každé z posuzovaných high-risk kategorií a jasný klasifikační závěr. Konkrétně:

  • Klasifikační závěr do jaké ze 4 rizikových kategorií (nepřijatelné, vysoké, omezené, minimální) váš systém spadá a proč.
  • Přehled povinností konkrétní povinnosti (transparentnost, dokumentace, AI gramotnost, registrace apod.) s odkazy na relevantní články nařízení.
  • Compliance roadmapa krátkodobé kroky (do 3 měsíců), střednědobé (do 12 měsíců) a průběžné kroky, zasazené do časového harmonogramu AI Actu.
  • Návrhy textů pro uživatele informace o AI systému, disclaimer odpovědnosti, upozornění na omezení systému — texty připravené k implementaci.
  • Doporučení k GDPR posouzení potřeby DPIA, doporučení k tréninkovým datům a licenčním podmínkám datasetů.

S tímto dokumentem máte jasný obrázek o tom, kde stojíte a co musíte udělat. Pro většinu firem je analýza výchozím bodem navazují na ni konkrétní implementační kroky:

  • Příprava technické dokumentace pro high-risk systémy
  • Provedení DPIA a posouzení vlivu na základní práva
  • Nastavení obchodních smluv (licence, SaaS smlouvy) s ohledem na AI Act
  • Školení AI gramotnosti pro tým
  • Průběžný monitoring regulatorních změn

6. Časový harmonogram AI Actu

AI Act nabíhá postupně. Tady jsou klíčové milníky, které potřebujete znát:

  • 1. srpna 2024 AI Act vstoupil v platnost.
  • 2. února 2025 ✅ Zákaz nepřijatelných AI praktik (článek 5) a povinnost AI gramotnosti (článek 4). Již platí.
  • 2. srpna 2025 Povinnosti pro GPAI modely (kapitola V). Týká se poskytovatelů modelů jako GPT, Claude apod. a downstream integrátorů.
  • 2. srpna 2026 Hlavní vlna: povinnosti transparentnosti (článek 50), požadavky na vysoce rizikové systémy (příloha III), povinnosti provozovatelů, registrace, pokuty v plném rozsahu.
  • 2. srpna 2027 Požadavky na vysoce rizikové systémy dle přílohy I (regulované produkty zdravotnické prostředky, strojní zařízení apod.).

Do srpna 2026 zbývá méně než 5 měsíců. Pokud vyvíjíte nebo nasazujete AI systém, který může spadat pod přílohu III nebo pod povinnosti transparentnosti dle článku 50, je čas začít. Implementace compliance opatření trvá týdny až měsíce a čas teče.

7. Kolik analýza stojí a jak dlouho trvá

Rozsah (a tedy i cena) se liší podle složitosti systému, počtu zamýšlených kontextů nasazení a toho, zda potřebujete i navazující dokumentaci. Orientačně:

Rozsah Co zahrnuje Cena Doba
Základní analýza Klasifikace rizik + přehled povinností + stručná roadmapa od 30 000 Kč Pár dní
Kompletní analýza Vše výše + compliance roadmapa + návrhy textů + GDPR posouzení od 50 000 Kč 1–2 týdny
Analýza + implementace Kompletní analýza + DPIA + smluvní dokumentace + školení AI gramotnosti individuálně 1–3 měsíce

 

💡 Začněte nezávaznou konzultací zdarma. Řeknete nám o svém AI systému. My vám řekneme, co potřebujete udělat a kolik to bude stát.

Sjednat konzultaci zdarma

Často kladené dotazy

Odpovídáme na nejčastější dotazy k nařízení o umělé inteligenci (AI Act), které vstoupilo v platnost v srpnu 2024 a jehož klíčové povinnosti nabývají účinnosti postupně do roku 2026.

1
Potřebuji analýzu, i když můj systém není high-risk?
Ano, právě proto, abyste to měli zdokumentované. Pokud váš systém spadá pod „omezené riziko", musíte plnit povinnosti transparentnosti, které platí od srpna 2026. A pokud je systém „minimální riziko", stále platí povinnost AI gramotnosti (článek 4, účinná od února 2025). Navíc, písemná analýza je vaše pojistka pro případ, že dozorový orgán bude mít jiný názor na klasifikaci.
2
Jsem startup – vztahuje se na mě AI Act?
Pokud vyvíjíte AI systém a uvádíte ho na trh v EU (nebo pro uživatele v EU), tak ano, bez ohledu na velikost firmy. AI Act neobsahuje výjimku pro malé podniky. Obsahuje pouze některé úlevy v regulačních sandboxech a při posuzování pokut.
3
Používáme GPT/Claude API ve svém produktu – musíme řešit AI Act?
Ano. Integrací GPAI modelu do svého produktu se pravděpodobně stáváte poskytovatelem AI systému ve smyslu AI Actu. Máte vlastní povinnosti podle toho, jak rizikový váš produkt je. Toto je přesně ten typ situace, kde analýza přinese jasno.
4
Nasazujeme AI systém třetí strany (jsme deployer) – potřebujeme analýzu?
AI Act ukládá povinnosti i provozovatelům (deployers), nejen vývojářům. Pokud nasazujete vysoce rizikový systém, musíte mimo jiné provést posouzení dopadů na základní práva, zajistit AI gramotnost a dodržovat pravidla pro lidský dohled. Analýza vám ukáže, které povinnosti se na vás vztahují.
5
Stačí si analýzu udělat interně?
Technicky ano, AI Act to nezakazuje. Ale klasifikace vyžaduje detailní znalost nařízení včetně odůvodnění, prováděcích materiálů, výjimek a hranic mezi kategoriemi. Některé hranice jsou interpretačně nejasné (například kdy je analýza mimiky „rozpoznáváním emocí" a kdy ne). Nezávislá právní analýza vám dává jistotu, která obstojí i při kontrole.
6
Můj systém zpracovává biometrická data – je automaticky high-risk?
Ne nutně. Záleží na účelu zpracování. Biometrická identifikace na dálku může být zakázaná, high-risk nebo i jen omezené riziko — záleží na konkrétním kontextu nasazení. To je přesně případ, kde je potřeba pečlivá právní analýza.
7
Jak se připravit na AI Act?
Příprava začíná právní analýzou vašeho AI systému, která určí rizikovou kategorii a konkrétní povinnosti. Následně je třeba připravit dokumentaci, zajistit školení AI gramotnosti pro tým, implementovat požadavky transparentnosti a nastavit interní procesy pro průběžný soulad. Klíčové je začít včas — implementace compliance opatření trvají týdny až měsíce.
Řešíte AI regulaci?
Provedli jsme desítky analýz AI systémů pro klienty z IT, zdravotnictví, fintech a vzdělávání, od překladu znakového jazyka po finanční nástroje. Domluvte si nezávaznou úvodní konzultaci – online, 30 minut, zdarma.


Kontaktujte nás

Potřebujete v této oblasti pomoct?

Neplatné telefonní číslo

Kdo se vám bude věnovat?

Pavel Čech-2

Pavel Čech

Softwarové právo Právo duševního vlastnictví

Sdílejte tento článek na sociálních sítích

Facebook ↗ Linkedin ↗