ioInovai

← Blog

Compliance 10 min čtení Napsal: Radek Palla

AI Act v praxi: co to znamená pro vaše firemní workflow

AI Act je evropská regulace, která postupně mění, jak musí firmy navrhovat, nasazovat a provozovat AI systémy. Není to „nová GDPR" - je to jinak koncipovaná regulace s odstupňovanými pravidly podle rizika. Pro řadu firem s interními dokumentovými workflow nebudou požadavky dramatické, ale je potřeba už dnes vědět, co se po nich bude chtít. Bez právnického žargonu, z pohledu praktického nasazení.

Co AI Act stručně je

Nařízení EU, které stanovuje povinnosti pro tvůrce a provozovatele AI systémů podle toho, jak rizikové jsou. Platí postupně: od 2. února 2025 se uplatňují zakázané praktiky a povinnosti kolem AI gramotnosti, od 2. srpna 2025 pravidla pro obecné AI modely (GPAI) a od 2. srpna 2026 většina pravidel pro AI systémy. Některé high-risk systémy zabudované do regulovaných výrobků mají přechod do 2. srpna 2027.

Pro přesné znění je dobré pracovat s primárními zdroji: nařízením (EU) 2024/1689aktuální implementační časovou osou Evropské komise.

Důležité: AI Act se netýká jen dodavatelů AI, ale i deployerů - firem, které AI nasazují do vlastního provozu. Pokud používáte AI na zpracování dokumentů, schvalování, rozhodování o klientech nebo zaměstnancích, týká se vás to.

Čtyři kategorie rizik

AI Act dělí systémy do čtyř kategorií podle dopadu. U firemních workflow je potřeba hlavně ověřit, zda proces nespadá do high-risk oblasti, například HR, úvěrování, vzdělávání, kritická infrastruktura nebo bezpečnostní komponenty výrobků.

1. Nepřijatelné riziko (zakázáno)

Systémy, které AI Act přímo zakazuje: sociální skórování občanů, manipulace chování s psychickou újmou, biometrická identifikace v reálném čase ve veřejném prostoru (s výjimkami), vytváření databází obličejů scrapováním internetu.

Týká se vás? Pravděpodobně ne - tyhle scénáře jsou mimo běžné firemní nasazení.

2. Vysoké riziko

AI systémy, které zásadně ovlivňují lidská práva, bezpečnost nebo přístup k klíčovým službám. Patří sem:

  • nábor a HR rozhodování (skórování uchazečů, hodnocení zaměstnanců)
  • úvěrové skórování a rozhodování o finančních produktech
  • rozhodování ve vzdělávání (přijímání, hodnocení)
  • kritická infrastruktura
  • bezpečnostní komponenty výrobků
  • AI pro justici nebo státní správu

U těchto systémů máte rozsáhlé povinnosti: risk management, kvalita dat, dokumentace, lidský dohled, transparentnost, evaluace, registrace v EU databázi.

3. Limitované riziko

Mnoho běžných interních AI workflow může spadat sem. Jde o systémy, které pracují s informacemi, pomáhají při rozhodování, ale samy nerozhodují o lidských právech nebo přístupu ke klíčovým službám. Vytěžování dokumentů, klasifikace faktur, kontrola atestů, knowledge assistance nebo QA workflow sem typicky spadnou, pokud nejsou součástí high-risk procesu.

Povinnosti: transparence. Uživatel musí vědět, že pracuje s AI systémem (zvlášť u chatbotů, generovaného obsahu). Organizace musí udržovat základní dokumentaci.

4. Minimální riziko

AI filtry spamu, AI v hrách, jednoduché doporučovací systémy. Bez speciálních povinností, jen doporučená dobrá praxe.

Co to prakticky znamená pro firemní workflow

Pokud vaše firma nasazuje AI na dokumentové procesy (faktury, atesty, normy, QA kontrola) a nerozhodujete automaticky o lidech nebo jejich přístupu ke službám (nábor, úvěry, dávky), typicky půjde o nižší riziko. Přesto je rozumné udělat klasifikaci konkrétního use casu před nasazením.

Pět věcí, které byste měli mít v pořádku bez ohledu na kategorii:

1. Dokumentace modelu a systému

  • Jaký model se používá a pro jaký účel
  • Jaká data na vstupu, jaký výstup
  • Kdo je vlastník procesu a kdo má odpovědnost
  • Jaké jsou limity systému (kde se model neptá nebo chybuje častěji)

2. Lidská kontrola u kritických rozhodnutí

U všeho, co může mít významný důsledek (schválení faktury, akceptace atestu, rozhodnutí o nákupu), má být jasný lidský kontrolní bod. Nemusí kontrolovat každý případ, ale musí být jasné, kdy vstupuje do procesu a kdo odpovědnost nese.

Auto-approve pro nízkorizikové standardní případy je OK, pokud existuje monitoring a možnost zpětné revize.

3. Auditní stopa

U významných rozhodnutí je potřeba být schopen zpětně doložit: jaká data vstupovala, co model vyhodnotil, kdo potvrdil, kdy, s jakým odůvodněním. Pokud auditor položí otázku „proč jste tuhle fakturu schválili 3. dubna 2026?", musíte mít odpověď.

4. Transparentnost k uživatelům

Uživatelé systému (operátoři, zaměstnanci) i případně externí subjekty (klienti, dodavatelé) by měli vědět, že AI je součástí procesu. Ne ve smyslu nutné deklarace na každé obrazovce, ale v interní dokumentaci a komunikaci.

5. Řízení dat

Co se děje s daty, která AI zpracovává? Kam jdou, jak dlouho se uchovávají, kdo má přístup? Pokud zpracováváte osobní údaje, musí to koexistovat s GDPR - AI Act to nenahrazuje, doplňuje.

Co konkrétně dělat dnes

Pokud teprve zvažujete AI nasazení, integrujte následující do návrhu od začátku - vrací se to v rychlosti i v ušetřených nákladech na pozdější úpravy:

  • Mapování rizik před nasazením. Spadá workflow do kategorie vysokého rizika? Pokud ano, platí přísnější režim. Pokud jde o nižší riziko, obvykle řešíte hlavně transparentnost, dokumentaci a dobrou provozní praxi.
  • Lidská validace u všeho kritického. Ne jako check-box, ale jako skutečně funkční kontrolní bod s měřitelnou přidanou hodnotou.
  • Auditní logging od prvního řádku. Snadné kdy se navrhuje, drahé když se doplňuje zpětně.
  • Dokumentace v živém stavu. Ne jednorázový PDF dokument, ale průběžně udržovaný záznam, kdo co kdy změnil a proč.
  • Evaluation pipeline. Měření přesnosti a odchylek v provozu. Bez tohoto nejste schopni dokázat, že systém funguje.

Dobrá zpráva: všech pět věcí je tak jako tak správný způsob, jak nasadit AI. U většiny interních dokumentových workflow nejde o panickou regulaci, ale o to, aby byl provoz popsaný, měřitelný a dohledatelný.

Co to znamená pro výběr dodavatele

Pokud s AI nasazením pomáhá externí partner, zkontrolujte:

  • Umí navrhnout auditovatelné workflow? Nejen model, ale celý proces s logy, eskalacemi, kontrolními body.
  • Dokumentuje model? Jaké verze používá, jak se chová, kde má slabiny.
  • Řeší data governance? Kam data putují, jak se uchovávají, jsou použita k tréninku?
  • Má evaluation framework? Jak se měří přesnost, jak často se kontroluje, jak reaguje na drift.
  • Počítá s compliance? Nejen GDPR, ale i AI Act, a u regulovaných oborů specifické normy.

Pokud dodavatel říká „AI Act? Nedělejte si starosti, to se nás netýká" - buďte opatrní. Týká se to všech, kdo AI navrhují, prodávají nebo provozují v EU. Otázka je jen, v jakém rozsahu.

Timeline, která by vás měla zajímat

  • 2. února 2025: uplatňují se zakázané praktiky a povinnosti kolem AI gramotnosti.
  • 2. srpna 2025: uplatňují se pravidla pro obecné AI modely (GPAI), governance a související části nařízení.
  • 2. srpna 2026: AI Act se obecně začne uplatňovat pro většinu AI systémů, včetně řady povinností pro high-risk systémy.
  • 2. srpna 2027: přichází pozdější termín pro některé high-risk AI systémy zabudované do regulovaných výrobků.

Pokud dnes navrhujete AI workflow, které bude v provozu v roce 2026+, už teď by mělo být navržené tak, aby šlo pravidla doložit. Dodělávat auditní stopu a dokumentaci zpětně bývá drahé.

Spojení s on-prem a data governance

Zajímavý efekt AI Actu a obecně data governance: posiluje argument pro lokální (on-prem) AI řešení u regulovaných odvětví. Důvod: on-prem model, kde data neopouštějí firmu, může mít jednodušší compliance cestu - zodpovědnost je jasná, toky dat jsou kontrolovatelné, auditní stopa je ve vlastní infrastruktuře. U cloudu musíte řešit zpracovatelské smlouvy, sub-processory, mezinárodní transfery.

Neznamená to, že cloud je špatně - pro nižší riziko může být při dobrých smlouvách a kontrolách v pořádku. Ale pro vysoce regulovaná prostředí se on-prem stává silnějším argumentem než kdy dřív. Detail o kdy má on-prem smysl jsem rozebíral v samostatném článku.

Co si z toho odnést

AI Act pro většinu firem s dokumentovými procesy není důvod k panice. Je to ale důvod začlenit compliance myšlení do návrhu AI workflow od začátku, ne až po nasazení. Pět věcí - dokumentace, lidská kontrola, auditní stopa, transparentnost, data governance - je stejně tak správná praxe, jako regulatorní povinnost.

Pokud máte workflow, které dnes tohle neřeší, máte dvě volby: doplnit to proaktivně, nebo to řešit v panice v roce 2026. První volba je o dost levnější.

sekci Bezpečnost popisujeme, jak k AI Actu přistupujeme u klientů - a proč auditovatelnost, lidská validace a transparentnost tvoří základ každého workflow, který navrhujeme.

Poznámka: tento článek je praktický úvod, ne právní poradenství. Pro konkrétní posouzení vaší situace se obraťte na právníka se specializací na AI a data protection.

Připravujete AI nasazení s ohledem na AI Act?

V auditu probereme konkrétní proces, kategorii rizika a compliance požadavky - ještě než začnete stavět.

Nezávazná konzultace Detail bezpečnosti

Související články

Bezpečnost

On-prem AI model: kdy dává smysl a kdy ne

Číst
Zkušenost

5 chyb při nasazování AI, které zabíjí pilot před provozem

Číst