Průvodci souladu s EU AI Act pro zdravotnictví, HR, veřejný sektor, dopravu, pojišťovnictví, maloobchod, malé a střední podniky a vzdělávání.
Jak sektor ovlivňuje míru expozice vůči EU AI Act
EU AI Act je horizontální právní předpis — vztahuje se na AI systémy uváděné na trh nebo do provozu ve všech sektorech hospodářství v Evropské unii. Praktická zátěž spojená se souladu však není jednotná. Sektor určuje, které kategorie vysoce rizikové AI z Annex III jsou relevantní, které předchozí regulatorní rámce zakládají překrývající se povinnosti a které národní nebo unijní dozorové orgány budou mít jurisdikci nad nasazením AI.
Zákon zavádí vrstvenou architekturu rizik: zakázané praktiky podle Art. 5, vysoce riziková AI podle Art. 6 a Annex III, povinnosti pro obecnou umělou inteligenci (GPAI) podle Art. 51 až Art. 55 a povinnosti transparentnosti podle Art. 50. Všechny sektory podléhají zákazu zakázaných praktik a vrstvě transparentnosti dle Art. 50. Povinnosti z Annex III pro vysoce rizikovou AI dopadají selektivně podle toho, jakou AI organizace nasazuje a za jakým účelem.
Pochopení sektorové expozice začíná zmapováním provozních případů užití AI oproti kategoriím Annex III. Organizace musí rovněž posoudit, zda nasazená AI představuje model GPAI ve smyslu Art. 3(63), a zda jakékoliv dodavatelské vztahy zakládají povinnosti poskytovatele nebo provozovatele GPAI.
Porozumění Annex III podle sektoru
Annex III EU AI Act vymezuje 8 kategorií samostatné vysoce rizikové AI. Každá kategorie se vztahuje na konkrétní odvětví a případy užití AI.
Kategorie 1 — Biometrie (průřezová)
Art. 6 ve spojení s bodem 1 Annex III pokrývá AI systémy pro biometrickou identifikaci a biometrickou kategorizaci fyzických osob. Biometrická identifikace na dálku v reálném čase ve veřejně přístupných prostorech orgány činnými v trestním řízení je zakázána podle Art. 5(1)(h), nikoli pouze vysoce riziková. Biometrická identifikace ex post a systémy biometrické kategorizace využívané v zaměstnání, kontrole hranic, orgány činnými v trestním řízení (v povolených mezích) a řízení přístupu zůstávají v kategorii vysoce rizikových. Každá organizace nasazující systémy rozpoznávání obličeje, snímání otisků prstů, rozpoznávání hlasu nebo podobné systémy pro rozhodnutí se závažnými důsledky spadá do působnosti zákona.
Kategorie 2 — Kritická infrastruktura (doprava, energetika, vodní hospodářství)
Bod 2 Annex III pokrývá AI využívanou jako bezpečnostní komponenty při správě a provozu kritické digitální infrastruktury, silničního provozu, zásobování vodou, zásobování plynem, tepelného a elektrického zásobování. Dopravní operátoři, správci energetické sítě, vodárenské společnosti a poskytovatelé digitální infrastruktury musí posoudit, zda jejich AI systémy splňují tato kritéria. Annex I AI Actu se zde rovněž uplatní: bezpečnostní komponenty AI zabudované do produktů regulovaných Annex I (strojní zařízení, vozidla, letecká technika pro civilní letectví, železniční systémy) jsou vysoce rizikové podle Art. 6(1), nikoli dle Annex III.
Kategorie 3 — Vzdělávání a odborná příprava
Bod 3 Annex III pokrývá AI, která rozhoduje o přístupu ke vzdělávacím zařízením, zařazuje studenty na vzdělávací dráhy, hodnotí výkon při zkouškách nebo testech, posuzuje vzdělávací výsledky, které podstatně ovlivňují budoucí příležitosti, a monitoruje chování studentů při hodnoceních. Platformy EdTech, univerzity, poskytovatelé odborné přípravy a zkušební orgány musí posoudit své AI nástroje vůči těmto kritériím.
Kategorie 4 — Zaměstnanost a HR
Bod 4 Annex III pokrývá AI využívanou při náboru a výběru zaměstnanců (třídění životopisů, pořadí kandidátů, automatizovaná analýza pohovorů), rozhodnutích o povýšení, ukončení pracovního poměru, přidělování úkolů pracovníkům platforem, monitorování chování zaměstnanců a hodnocení výkonu. Tato kategorie je svým rozsahem jedna z nejširších — prakticky každá organizace využívající AI v HR procesech musí posoudit soulad s předpisy. Povinnost se vztahuje na AI užívanou zaměstnavateli, personálními agenturami a platformami gig ekonomiky.
Kategorie 5 — Základní soukromé a veřejné služby (finance, pojišťovnictví, oblast přiléhající ke zdravotnictví, dávky)
Bod 5 Annex III je nejširší kategorií, která zahrnuje AI využívanou při posuzování úvěruschopnosti a úvěrovém scoringu fyzických osob, hodnocení pojistného rizika a stanovení pojistného, posuzování nároku na veřejné dávky a sociální služby a rozhodování o výjezdu záchranných složek. Tato kategorie přímo zasahuje banky, pojišťovny, veřejné správy a poskytovatele sociálních služeb. AI v oblasti zdraví, která hodnotí osoby pro účely pojistné způsobilosti, sem rovněž spadá, čímž vzniká překryv povinností finančního sektoru a zdravotnictví.
Kategorie 6, 7 a 8 — Orgány činné v trestním řízení, migrace, justice
Body 6, 7 a 8 Annex III se zaměřují na orgány veřejné moci a jejich dodavatele technologií. AI pro orgány činné v trestním řízení (skóring rizika, predikce recidivy, predikce trestné činnosti, hodnocení důkazů), AI pro migraci a ochranu hranic (posuzování azylového rizika, ověřování dokladů, zpracování žádostí) a AI pro justici a demokratické procesy (nástroje pro soudní výzkum, AI v oblasti voleb) jsou všechny vysoce rizikové. Tyto kategorie se primárně týkají policejních orgánů, pohraničních agentur, azylových soudů, obecných soudů a jejich smluvních dodavatelů AI.
Sektorové průvodce
Každý z níže uvedených specializovaných průvodců mapuje povinnosti EU AI Act na konkrétní regulatorní kontext, typické případy užití AI a architekturu prosazování práva v daném sektoru.
Zdravotnictví a vědy o živé přírodě
AI ve zdravotnictví působí na průsečíku EU AI Act, nařízení o zdravotnických prostředcích (MDR) a nařízení o diagnostice in vitro (IVDR). AI systémy, které se kvalifikují jako zdravotnické prostředky, jsou regulovány primárně podle MDR/IVDR, avšak nadále podléhají povinnostem AI Actu týkajícím se základních práv a transparentnosti. Bod 5 Annex III zachycuje AI využívanou pro skóring zdravotních rizik v pojišťovnictví a posuzování nároku na veřejné dávky. Podpora klinického rozhodování, diagnostická AI, nástroje pro třídění pacientů a AI pro objev léčiv nesou specifické povinnosti v závislosti na jejich regulatorní klasifikaci.
HR a nábor zaměstnanců
Bod 4 Annex III řadí prakticky všechny AI procesy v oblasti HR do kategorie vysoce rizikových. Nástroje pro třídění životopisů, platformy pro psychometrické hodnocení, automatizovaná analýza video pohovorů, systémy řízení výkonu a AI pro plánování pracovní síly musí splňovat povinnosti poskytovatele i provozovatele. Tento průvodce se zabývá povinnostmi zaměstnavatelů jako provozovatelů podle Art. 26, požadavky na správu dat podle Art. 10 a interakcí s omezeními profilování dle GDPR.
Veřejný sektor a justice
Veřejné orgány jsou současně provozovateli vysoce rizikové AI i subjekty, které budou příslušné národní orgány zkoumat nejpečlivěji. Body 5 až 8 Annex III společně pokrývají velkou část AI ve veřejném sektoru: stanovování nároku na dávky, AI pro záchranné složky, nástroje orgánů činných v trestním řízení, systémy pro správu hranic a soudní AI. Tento průvodce se věnuje specifickým povinnostem veřejných provozovatelů, mandátům transparentnosti pro automatizovaná rozhodnutí dotýkající se občanů a průsečíku s GDPR a směrnicí o prosazování práva.
Doprava a kritická infrastruktura
Dopravní operátoři musí navigovat jak bodem 2 Annex III (bezpečnostní komponenty v kritické infrastruktuře), tak regulací bezpečnosti produktů dle Annex I. AI v systémech autonomních vozidel, řízení železničního provozu, řízení letového provozu, přístavních operacích a logistickém plánování tras může vyvolat klasifikaci jako vysoce riziková prostřednictvím více cest. Tento průvodce se věnuje interakci s nařízeními EASA, směrnicí o bezpečnosti železnic a úloze oznámených subjektů při posuzování shody.
Malé a střední podniky
Malé a střední podniky čelí stejným povinnostem EU AI Act jako velké organizace, jsou-li poskytovateli vysoce rizikové AI nebo provozovateli využívajícími vysoce rizikovou AI. Zákon však stanoví mechanismy přiměřenosti. Tento průvodce vysvětluje možnosti zjednodušené technické dokumentace, přístup do regulatorních sandboxů podle Art. 57 až Art. 63 a způsob, jak nastavit minimální, avšak právně dostačující program souladu. Zabývá se rovněž expozicí malých a středních podniků jako provozovatelů nástrojů AI třetích stran.
Pojišťovnictví
AI v pojišťovnictví podléhá bodu 5(b) Annex III (hodnocení rizika a stanovení pojistného pro životní pojištění a zdravotní pojištění fyzických osob) a prolíná se s požadavky Solvency II na správu modelů a využívání interních modelů. AI pro stanovování pojistného v oblasti motorových vozidel, zdravotního pojištění, pojištění majetku a životního pojištění, nástroje pro pojistná upisovací rozhodnutí a systémy automatizovaného vyřizování pojistných událostí si vyžadují posouzení. Tento průvodce se věnuje úlohám EIOPA a národních pojišťovacích dohledů vedle rámce NCA dle AI Actu.
Maloobchod a kontaktní centra
Maloobchod a provoz zákaznického servisu jsou primárně ovlivněny povinnostmi transparentnosti podle Art. 50 — zveřejňování AI generovaného obsahu, identifikace chatbotů a označování deepfake obsahu — a zaměstnaneckou AI dle bodu 4 Annex III. Systémy rozpoznávání emocí využívané v zákaznickém prostředí jsou výslovně regulovány. Tento průvodce se věnuje AI v online maloobchodu, doporučovacím enginům, automatizovanému zákaznickému servisu a řízení pracovní síly v kontaktních centrech.
Vzdělávání a EdTech
Bod 3 Annex III řadí vzdělávací AI do kategorie vysoce rizikových tam, kde rozhoduje o přístupu ke vzdělávacím dráhám nebo je podstatně ovlivňuje, nebo hodnotí výsledky. Tento průvodce se věnuje povinnostem poskytovatelů EdTech, univerzit, orgánů odborné přípravy a veřejných zkušebních orgánů. Zahrnuje adaptivní vzdělávací platformy, software pro dohled při zkouškách, automatizované hodnocení esejů a nástroje pro predikci rizika u studentů.
Finanční sektor (bankovnictví)
Průvodce pro bankovní sektor se věnuje úvěrovému scoringu a posuzování úvěruschopnosti podle bodu 5(b) Annex III, AI pro detekci podvodů, algoritmickým obchodním systémům, nástrojům AML/KYC a platformám pro automatizované investiční poradenství. Zkoumá vrstvení povinností EU AI Act na DORA, MiFID II, CRR/CRD a pokyny EBA. Primárním tématem je průsečík požadavků AI Actu na správu modelů a stávajících rámců řízení modelového rizika podle pokynů EBA.
Průřezové povinnosti
Několik povinností EU AI Act platí bez ohledu na sektor. Každá organizace působící v EU musí těmto základním požadavkům rozumět.
Zakázané praktiky — Art. 5
Art. 5 zavádí absolutní zákazy účinné od 2. února 2025. Tyto zákazy platí pro každý sektor bez výjimky: sublimální manipulační techniky způsobující újmu, zneužívání zranitelnosti fyzických osob, sociální skóring ze strany veřejných orgánů, biometrická identifikace na dálku v reálném čase orgány činnými v trestním řízení ve veřejných prostorech (s výhradou úzkých výjimek), rozpoznávání emocí na pracovišti a ve vzdělávacích zařízeních (mimo specifikované účely), biometrická kategorizace využívající citlivé charakteristiky a prediktivní policing založený výlučně na profilování. Žádná sektorová výjimka tyto zákazy nepřekonává.
Povinnosti transparentnosti — Art. 50
Art. 50 ukládá poskytovatelům a provozovatelům AI systémů, které interagují s fyzickými osobami, povinnost zveřejnit povahu AI při dané interakci. To platí pro chatboty, virtuální asistenty, automatizované systémy kontaktních center a každý AI systém navržený tak, aby se jevil jako lidský. Obsah generovaný AI — syntetická média, deepfaky, text — musí být označen strojově čitelným způsobem. Tyto povinnosti platí pro maloobchod, finanční služby, nástroje ve zdravotnictví určené pro komunikaci s pacienty, veřejné služby pro občany a každý jiný sektor nasazující konverzační nebo generativní AI.
Povinnosti v oblasti GPAI modelů — Art. 51 až Art. 55
Organizace, které nasazují modely GPAI — velké jazykové modely, základní modely, multimodální AI — musí posoudit, zda jsou provozovateli GPAI modelu třetí strany nebo poskytovateli systému integrujícího GPAI. Poskytovatelé GPAI nesou povinnosti podle Art. 53 (transparentnost vůči následným poskytovatelům, politika autorských práv, přehled trénovacích dat). Modely GPAI se systémovým rizikem nesou dodatečné povinnosti podle Art. 55. Každý sektor využívající komerční API základních modelů nebo vlastní základní modely musí tyto povinnosti posoudit.
Malé a střední podniky a přiměřené povinnosti
Malé a střední podniky představují většinu podniků v EU a rostoucí podíl poskytovatelů a provozovatelů AI systémů. EU AI Act nevytváří plošnou výjimku pro malé a střední podniky, avšak Art. 9(5), Art. 11 a Art. 16 vyžadují, aby povinnosti poskytovatele byly přiměřené velikosti a kapacitě organizace.
Rámec regulatorního sandboxu (Art. 57 až Art. 63) je specificky navržen tak, aby malým a středním podnikům a startupům poskytoval řízené vývojové prostředí, snižoval regulatorní nejistotu a umožňoval přímý přístup ke konzultacím s příslušným národním orgánem. Účast nezaručuje potvrzení souladu, avšak poskytuje strukturovanou cestu na trh pro inovativní AI produkty.
Pro malé a střední podniky jednající jako provozovatelé vysoce rizikové AI poskytnuté třetí stranou platí povinnosti podle Art. 26 — posouzení případu užití, implementace lidského dohledu, posouzení dopadu na základní práva. Rozsah požadované dokumentace a monitorování je přiměřený, avšak právní povinnosti nejsou prominuty.
Specializovaný průvodce pro malé a střední podniky poskytuje plán souladu přizpůsobený menším organizacím a zahrnuje stanovení priorit, minimální životaschopnou dokumentaci, due diligence dodavatelů a postupy přístupu do sandboxu.
Prosazování práva
EU AI Act vytváří vrstvenou architekturu prosazování práva s výraznými sektorovými dimenzemi.
Příslušné národní orgány
Každý členský stát EU určí jeden nebo více příslušných národních orgánů (NCA) podle Art. 70. NCA jsou odpovědné za povolování regulatorních sandboxů, provádění dohledu nad trhem, přijímání dat postmarketového monitorování od poskytovatelů, šetření podezřelých porušení a ukládání správních pokut podle Art. 99 až Art. 101. Maximální pokuty dosahují výše 35 milionů EUR nebo 7 % celosvětového ročního obratu za porušení zakázaných praktik dle Art. 5.
Sektoroví regulátoři jako orgány tržního dohledu
Art. 74(8) a Art. 74(9) umožňují sektorovým regulátorům působit jako orgány tržního dohledu pro AI ve svých doménách. Evropský orgán pro bankovnictví (EBA), Evropský orgán pro pojišťovnictví a zaměstnanecké penzijní pojištění (EIOPA), Evropský orgán pro cenné papíry a trhy (ESMA), Evropská agentura pro léčivé přípravky (EMA) a Agentura Evropské unie pro bezpečnost letectví (EASA) mají každý svou úlohu při dohledu nad AI v rámci svých regulatorních oblastí. To zakládá dvojkolejnou expozici vůči prosazování práva: AI systém banky pro úvěrový scoring může být prošetřován jak národním finančním regulátorem uplatňujícím povinnosti z Annex III, tak NCA provádějícím dohled nad trhem dle AI Actu.
Evropský úřad pro umělou inteligenci
Evropský úřad pro AI, zřízený podle Art. 64 až Art. 70, disponuje přímou pravomocí k prosazování práva vůči poskytovatelům GPAI modelů. Pro organizace nasazující GPAI modely se systémovým rizikem je Úřad pro AI primárním regulatorním partnerem — nikoli národní NCA. Sektороví regulátoři nemají přímou jurisdikci nad modely GPAI jako takovými, avšak následné AI systémy integrující GPAI nadále podléhají národnímu a sektorovému dohledu.
Harmonogram prosazování práva
Zákaz praktik podle Art. 5 platí od 2. února 2025. Povinnosti GPAI podle Art. 51 až Art. 55 nabyly účinnosti 2. srpna 2025. Veškeré povinnosti pro vysoce rizikové AI systémy dle Annex III — zahrnující všech osm kategorií a veškeré povinnosti poskytovatele i provozovatele — platí od 2. prosince 2027 (prodlouženo z původního termínu 2. srpna 2026 změnou Digital Omnibus z roku 2025). Organizace ve všech sektorech by měly zacházet s obdobím do prosince 2027 jako s aktivním oknem pro dosažení souladu, nikoli jako s přechodným obdobím.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Ano. EU AI Act se uplatňuje jednotně v celé EU, avšak jeho praktický dopad se v jednotlivých sektorech výrazně liší. Annex III zákona přímo mapuje kategorie vysoce rizikové umělé inteligence na jednotlivá odvětví — AI v oblasti zaměstnanosti cílí na HR a personální agentury, AI pro hodnocení úvěruschopnosti cílí na finance a pojišťovnictví, biometrické systémy cílí na orgány činné v trestním řízení a ochranu hranic. Provozovatelé v silně regulovaných sektorech (zdravotnictví, finance, doprava) čelí navíc AI Actu vrstvícímu se na stávající sektorově specifické právní předpisy, což může vyvolat dodatečné povinnosti nebo vyžadovat koordinaci mezi dozorovými orgány.
Zdravotnictví, finanční služby a veřejný sektor nesou kumulativně nejrozsáhlejší povinnosti. AI ve zdravotnictví se prolíná s nařízením o zdravotnických prostředcích (MDR) a nařízením o diagnostice in vitro (IVDR); AI ve finančním sektoru se prolíná s DORA, MiFID II a Solvency II; AI ve veřejném sektoru se dotýká kategorií 5 až 8 Annex III (základní služby, orgány činné v trestním řízení, migrace a justice). Každý z těchto sektorů musí být v souladu s rámcem EU AI Act i s předchozí sektorovou regulací, přičemž některé povinnosti platí souběžně.
Malé a střední podniky osvobozeny nejsou, zákon však stanoví přiměřená opatření. Art. 9(5) vyžaduje, aby systémy řízení rizik byly přiměřené velikosti a povaze poskytovatele. Art. 11 a Art. 16 umožňují zjednodušenou technickou dokumentaci pro malé a střední podniky. Art. 57 až Art. 63 zakládají regulatorní sandboxové prostředí, do něhož mohou malé a střední podniky vstoupit pod dohledem příslušného národního orgánu. Povinnosti provozovatele podle Art. 26 se rovněž vztahují na malé a střední podniky využívající vysoce rizikovou AI, avšak s méně náročnými procesními požadavky než u poskytovatelů.
Art. 70 až Art. 77 EU AI Act zavádí víceúrovňovou architektoniku prosazování práva. Každý členský stát určí příslušný národní orgán (NCA) odpovědný za prosazování AI Actu. Tam, kde AI systémy působí v regulovaných sektorech — finanční služby, zdravotnictví, letectví, železnice — koordinují sektorově specifické regulátory (EBA, EIOPA, ESMA, EMA, EASA) svou činnost s NCA. Evropský úřad pro AI zajišťuje centrální dohled nad modely GPAI. Tato paralelní struktura znamená, že AI systém finanční instituce může být auditován jak NCA, tak sektorovým regulátorem finančního trhu, kteří uplatňují odlišné, avšak překrývající se rámce.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.