Povinnosti vyplývající z nařízení EU o AI pro AI v oblasti zdravotnických prostředků, diagnostických systémů a systémů podpory klinického rozhodování. Zahrnuje interakci s MDR/IVDR a dvojí soulad podle Přílohy I.
Proč má nařízení EU o AI zvláštní význam ve zdravotnictví
Nařízení EU o AI (nařízení (EU) 2024/1689) ukládá nejnáročnější požadavky na soulad právě v oblastech, kde chyby AI mohou mít fatální následky. Zdravotnictví a biotechnologie stojí na průsečíku dvou takových oblastí: strukturální klasifikace AI pro zdravotnické prostředky jako vysoce rizikové podle čl. 6 odst. 1 a stávající regulační hustoty tohoto odvětví dané MDR (EU) 2017/745, IVDR (EU) 2017/746, čl. 9 GDPR a nařízením o klinických hodnoceních (EU) 536/2014.
Pro poskytovatele a provozovatele zdravotnické AI tento průsečík není pouhým sčítáním. Vytváří vícevrstvé soubory povinností, které musí být navrhovány, dokumentovány a monitorovány společně. Systém AI zabudovaný do diagnostického zobrazovacího přístroje musí splňovat posouzení shody oznámenou institucí podle MDR a zároveň samostatné posouzení shody podle nařízení EU o AI. Nemocnice, která nasadí triage nástroj řízený AI, se stává provozovatelem podle čl. 26 s samostatnými povinnostmi, které nelze splnit pouhým spoléháním na označení CE od dodavatele.
Důsledky nesouladu jsou odpovídajícím způsobem závažné. Vnitrostátní dozorné orgány mohou uložit pokuty až do výše 30 milionů EUR nebo 6 % celkového ročního celosvětového obratu za uvedení nevyhovujícího vysoce rizikového AI na trh. Vedle finančních sankcí mohou příkazy ke stažení z trhu, pozastavení klinického používání a povinná nápravná opatření narušit péči o pacienty v širokém měřítku.
Dvojí regulační cesta
Určujícím strukturálním rysem souladu zdravotnické AI je současné uplatňování práva v oblasti bezpečnosti výrobků a práva specifického pro AI. Pokud systém AI tvoří bezpečnostní složku zdravotnického prostředku ve smyslu Přílohy I nařízení EU o AI (s odkazem na nový legislativní rámec), je automaticky klasifikován jako vysoce rizikový podle čl. 6 odst. 1 bez jakéhokoli dalšího posuzování pravděpodobnosti nebo závažnosti újmy. Klasifikace je kategorická.
To znamená, že organizace musí udržovat dvě paralelní cesty posouzení shody — jednu podle MDR nebo IVDR, druhou podle nařízení EU o AI — a musí prokázat soulad s oběma v databázi EU pro vysoce rizikové systémy AI (EUAI DB) před uvedením na trh.
Vysoce rizikové případy použití AI — zdravotnické prostředky a poskytování péče
AI pro diagnostické zobrazování
Systémy AI nasazené v radiologii, patologii a oftalmologii, které analyzují snímky za účelem detekce, klasifikace nebo charakterizace lézí, abnormalit nebo onemocnění, jsou ve všech klinicky relevantních konfiguracích prakticky vždy bezpečnostními složkami zdravotnických prostředků třídy IIa nebo vyšší podle MDR. Jsou proto vysoce rizikové podle čl. 6 odst. 1 a musí splňovat kapitolu III oddíl 2 nařízení EU o AI, zahrnující správu dat (čl. 10), technickou dokumentaci (čl. 11, Příloha IV), automatické zaznamenávání (čl. 12), transparentnost (čl. 13), lidský dohled (čl. 14) a přesnost, robustnost a kybernetickou bezpečnost (čl. 15).
Systémy podpory klinického rozhodování
Nástroje podpory klinického rozhodování (CDS) pokrývají široké spektrum rizik v závislosti na své funkční roli. Klíčovým regulatorním rozlišením je, zda systém klinický úsudek nahrazuje, nebo pouze podporuje:
- Autonomní nebo téměř autonomní výstup: Systém CDS, který generuje doporučení ohledně preskripce, určuje dávkování léčiva pro pacienta nebo klasifikuje pacienta jako vyžadujícího urgentní intervenci bez nutnosti přezkumu klinickým pracovníkem před tím, než je výstup uplatněn, bude pravděpodobně vysoce rizikový podle Přílohy III a potenciálně představuje zdravotnický prostředek podle MDR.
- Filtrovaný výstup pro přezkum klinickým pracovníkem: Systém CDS, který předkládá seřazené diferenciální diagnózy nebo označuje laboratorní výsledky jako abnormální, přičemž kvalifikovaný klinický pracovník přezkoumává a schvaluje každé doporučení před tím, než ovlivní management pacienta, nemusí být kvalifikován jako vysoce rizikový, pokud samostatně nesplňuje kritéria Přílohy III z jiných důvodů.
Toto rozlišení musí být zdokumentováno v prohlášení o zamýšleném účelu systému AI, které tvoří součást technické dokumentace podle zákona o AI i technického spisu podle MDR.
Prioritizace triage pacientů v urgentním prostředí
Systémy AI, které určují pořadí, v jakém pacienti v urgentním prostředí dostávají péči — včetně predikčních modelů sepse a monitorovacích systémů JIP, které spouštějí eskalační protokoly — fungují v podmínkách časového tlaku a klinické složitosti, které kladou na lidský dohled podle čl. 14 zvláště vysoké nároky. Nasazující organizace musí zajistit, aby byl mechanismus dohledu skutečně efektivní: klinický pracovník pověřený odpovědností za dohled musí mít odborné znalosti, přístup k uvažování AI a dostatek času v pracovním postupu k intervenci před tím, než výstup systému ovlivní výsledky pacientů.
AI pro screening duševního zdraví
Nástroje AI používané ke screeningu populací nebo jednotlivých pacientů na duševní onemocnění — skóre rizika deprese, stratifikace rizika sebevraždy, screening vyhoření — aktivují jak vysoce rizikové ustanovení nařízení o AI (pokud ovlivňují přístup k péči nebo přidělování zdrojů), tak čl. 9 GDPR ve zvláště citlivém rozměru. Údaje o duševním zdraví jsou pro účely GDPR zdravotními údaji; jejich zpracování pro trénování AI nebo odvozování vyžaduje zákonný základ podle čl. 9 odst. 2 a vhodné záruky podle čl. 22 (automatizované individuální rozhodování).
Chirurgická robotika a procedury řízené AI
Složky AI integrované do systémů chirurgické robotiky, které v reálném čase přizpůsobují procesní parametry — polohování nástrojů, modulaci haptické zpětné vazby, klasifikaci tkání — jsou bezpečnostními složkami aktivních implantabilních prostředků nebo zdravotnických prostředků třídy III podle MDR. Zátěž posouzením shody je proto nejvyšší dostupná: posouzení oznámenou institucí podle Přílohy IX nebo X MDR, kombinované s posouzením shody podle nařízení EU o AI dle čl. 43. Povinnosti postmarketingového sledování podle obou rámců musí být integrovány do jednoho systému klinického sledování a monitorování výkonu.
Kategorie 5(a) Přílohy III — přístup k základním zdravotnickým službám
Nad rámec cesty pro zdravotnické prostředky bod 5(a) Přílohy III nařízení EU o AI samostatně klasifikuje jako vysoce rizikové systémy AI používané k určování přístupu k základním veřejným službám, včetně zdravotní péče. Systém AI, který určuje, zda pacient splňuje podmínky pro hrazenou léčbu, zda je zařazen na čekací listinu transplantace nebo zda je způsobilý k účasti v klinickém hodnocení, je vysoce rizikový podle tohoto ustanovení, i když není zabudován do zdravotnického prostředku.
Povinnosti poskytovatele vs. provozovatele ve zdravotnictví
Povinnosti poskytovatele
Organizace, které vyvíjejí, uvádějí na trh nebo do provozu vysoce rizikový zdravotnický systém AI jako poskytovatelé podle čl. 16, musí:
- Zavést a implementovat systém řízení kvality (QMS) podle čl. 17, zahrnující kontroly návrhu, řízení rizik v souladu s ISO 14971 (harmonizovanou pro MDR) a postupy postmarketingového monitorování.
- Připravit technickou dokumentaci podle Přílohy IV, zahrnující zamýšlený účel, soubor pro řízení rizik, popisy trénovacích dat, výsledky validace a testování a plán postmarketingového monitorování.
- Zaregistrovat systém v databázi EU před uvedením na trh (čl. 49).
- Zajistit, aby systém nesl označení CE a poskytnout EU prohlášení o shodě.
- Jmenovat oprávněného zástupce v EU, pokud je sídlo poskytovatele mimo EU.
- Uchovávat technickou dokumentaci a záznamy po dobu 10 let od uvedení na trh (čl. 18).
Povinnosti provozovatele
Nemocnice, kliniky, lékárenské sítě a jiné zdravotnické instituce jednající jako provozovatelé vysoce rizikových systémů AI třetích stran nesou povinnosti podle čl. 26, které jsou nezávislé na souladu poskytovatele:
- Implementovat systém v rozsahu pokynů poskytovatele k použití — jakékoli použití mimo tento rozsah může instituci potenciálně reklasifikovat jako poskytovatele.
- Přidělovat odpovědnost za lidský dohled pracovníkům s odborností, pravomocí a nástroji ke sledování a zasahování do provozu systému.
- Vést provozní záznamy po dobu nejméně šesti měsíců, nebo déle, pokud to vyžadují příslušné odvětvové právní předpisy (vigilance MDR, právní předpisy o uchovávání zdravotnické dokumentace).
- Neprodleně hlásit závažné incidenty nebo poruchy poskytovateli a — pokud je ohrožena bezpečnost pacientů — příslušným zdravotním orgánům v rámci postupů vigilance podle čl. 87 MDR.
- Provádět posouzení dopadu na základní práva (FRIA) podle čl. 27 tam, kde je systém AI používán k přijímání nebo podpoře rozhodnutí ovlivňujících jednotlivé pacienty ve velkém měřítku.
Interakce s MDR, IVDR a GDPR
MDR a IVDR: režim dvojího posouzení shody
Čl. 6 odst. 1 nařízení EU o AI, vykládaný ve spojení s Přílohou I, stanovuje cestu bezpečnostní složky. Pokud je systém AI bezpečnostní složkou výrobku regulovaného podle MDR nebo IVDR, musí být posouzení shody podle nařízení EU o AI integrováno do stávajícího postupu MDR/IVDR. Čl. 8 odst. 1 nařízení EU o AI dává přednost odvětvovým pravidlům MDR/IVDR tam, kde ukládají rovnocenné nebo přísnější povinnosti, avšak povinnosti podle nařízení o AI neodstraňuje — upravuje postup, nikoli požadavek.
Pro zdravotnické prostředky třídy IIb a III s vestavěnou AI je povinné posouzení oznámenou institucí podle Přílohy IX MDR (řízení kvality) nebo Přílohy X (přezkoumání typu). Tatáž oznámená instituce, pokud je jmenována podle nařízení o AI, může provést posouzení shody podle nařízení o AI jako součást integrovaného postupu. Pro SaMD třídy I (software jako zdravotnický prostředek) musí výrobci samostatně posoudit, zda systém AI splňuje podmínky pro vysoké riziko podle nařízení o AI z jiných důvodů než čl. 6 odst. 1.
Čl. 9 GDPR a trénovací data
Zdravotní údaje používané k trénování, validaci nebo testování modelů AI jsou zvláštní kategorií osobních údajů podle čl. 9 odst. 1 GDPR. Zpracování je zakázáno bez existence jedné z výjimek v čl. 9 odst. 2, přičemž nejrelevantnější jsou:
- Čl. 9 odst. 2 písm. a): výslovný souhlas subjektu údajů
- Čl. 9 odst. 2 písm. h): zpracování nezbytné pro zdravotnickou diagnostiku nebo poskytování zdravotní péče, s výhradou profesního tajemství
- Čl. 9 odst. 2 písm. j): vědecký výzkum, s výhradou záruk podle čl. 89
Povinnosti správy dat podle čl. 10 nařízení EU o AI — vyžadující dokumentaci původu, metod sběru, reprezentativnosti a známých omezení datových souborů — musí být splněny způsobem, který je v souladu s příslušným zákonným základem podle GDPR. Retrospektivní použití klinických datových souborů bez výslovného souhlasu vyžaduje výjimku pro výzkum a zpravidla také souhlas etické komise podle nařízení o klinických hodnoceních nebo příslušného vnitrostátního právního předpisu o výzkumu.
Integrace postmarketingového sledování
MDR (čl. 83, postmarketingové klinické sledování) i nařízení EU o AI (čl. 72, postmarketingové monitorování) vyžadují průběžný sběr a analýzu dat o výkonu v reálném světě. Tam, kde se oba rámce uplatňují, může jeden integrovaný systém postmarketingového sledování splňovat oba rámce, pokud zachycuje datové body vyžadované každým z nich — včetně požadavků MDR na klinické důkazy a požadavků nařízení o AI na automatické zaznamenávání provozu systému AI.
Orgány dohledu
Evropská agentura pro léčivé přípravky a vnitrostátní agentury pro léčivé přípravky
Evropská agentura pro léčivé přípravky (EMA) nemá přímou vymáhací roli podle nařízení EU o AI pro AI, která nesouvisí s léčivými přípravky, avšak její pokyny k AI při vývoji léčivých přípravků a farmakovigilanci jsou pro biotechnologické společnosti autoritativní. Vnitrostátní agentury pro léčivé přípravky — včetně ANSM (Francie), BfArM (Německo) a jejich protějšků — vykonávají pravomoc dohledu nad trhem podle MDR a IVDR a mohou šetřit systémy AI zabudované do zdravotnických prostředků v rámci svého mandátu postmarketingového sledování.
Oznámené instituce
Pro vysoce rizikové systémy AI, které jsou bezpečnostními složkami zdravotnických prostředků, provádějí oznámené instituce jmenované podle MDR/IVDR a — samostatně nebo společně — podle nařízení EU o AI posouzení shody. Jejich certifikáty jsou předpokladem pro označení CE. Oznámené instituce mohou pozastavit nebo odejmout certifikáty tam, kde postmarketingové sledování odhalí neshody.
Vnitrostátní orgány dohledu nad AI
Každý členský stát EU jmenoval nebo jmenuje vnitrostátní orgán dohledu nad AI (příslušný orgán podle čl. 70 nařízení EU o AI). V odvětví zdravotnictví je vyžadována koordinace mezi orgánem dohledu nad AI a vnitrostátní agenturou pro léčivé přípravky tam, kde se jurisdikce překrývají. Orgán dohledu nad AI má pravomoc vyžadovat dokumentaci, provádět audity, ukládat nápravná opatření a předávat případy k uložení finančních sankcí.
Plán souladu — priority pro zdravotnickou AI
Krok 1: Klasifikace a posouzení rozsahu
Zmapujte všechny systémy AI ve vývoji nebo nasazení podle čl. 6 odst. 1 (bezpečnostní složka zdravotnického prostředku) a bodu 5(a) Přílohy III (přístup k základním službám). Zdokumentujte zamýšlený účel každého systému s dostatečnou přesností pro podporu rozhodnutí o klasifikaci podle nařízení o AI i MDR/IVDR. Zapojte regulatorní poradce pro posouzení hraničních nástrojů CDS.
Krok 2: Plánování dvojího posouzení shody
Pro každý vysoce rizikový systém AI, který je zároveň zdravotnickým prostředkem, identifikujte příslušnou cestu posouzení shody podle MDR/IVDR a zjistěte, zda je příslušná oznámená instituce akreditována také podle nařízení EU o AI. Plánujte posouzení shody jako integrovaný postup, kdykoli je to možné, aby se předešlo zbytečné duplicitě.
Krok 3: Správa dat a soulad s GDPR
Proveďte audit trénovacích a validačních datových souborů pro zdravotnické systémy AI. Zdokumentujte zákonné základy podle čl. 9 odst. 2 GDPR pro všechny zdravotní údaje použité při vývoji modelu. Zaveďte postupy správy dat podle čl. 10 nařízení EU o AI a zajistěte, aby byly promítnuty do technické dokumentace vyžadované Přílohou IV.
Krok 4: Protokoly lidského dohledu
Navrhněte a implementujte mechanismy lidského dohledu podle čl. 14 pro každé vysoce rizikové nasazení AI. Dohled musí být operačně realistický: vyžaduje vyškolené pracovníky, přístupné mechanismy intervence a integraci do pracovního postupu — nikoli pouhé formální zaškrtnutí políčka. V urgentním prostředí s časovým tlakem je nutné věnovat návrhu dohledu zvláštní pozornost.
Krok 5: Integrace postmarketingového sledování
Navrhněte systém postmarketingového sledování, který splňuje požadavky Přílohy III MDR (PMCF) i čl. 72 nařízení EU o AI. Zaveďte postupy hlášení incidentů, které jsou v souladu s lhůtami vigilance MDR (čl. 87: závažné incidenty hlášeny do 15 dnů) a hlášením závažných incidentů podle nařízení o AI dle čl. 73.
Krok 6: Hloubková kontrola provozovatele
Zdravotnické instituce pořizující diagnostické nástroje AI nebo nástroje CDS třetích stran by měly po poskytovatelích vyžadovat EU prohlášení o shodě, pokyny k použití a shrnutí technické dokumentace. Smlouvy o pořízení by měly specifikovat povinnosti uchovávání záznamů, odpovědnosti za hlášení incidentů a hranice povoleného rozsahu použití, aby se předešlo nechtěné reklasifikaci jako poskytovatele.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Nikoli. Posouzení shody podle MDR a IVDR a posouzení shody podle nařízení EU o AI jsou odlišné právní povinnosti, které existují souběžně. Systém AI zabudovaný do zdravotnického prostředku třídy IIb musí splňovat oba regulační rámce samostatně. Pokud je do procesu podle MDR nebo IVDR již zapojena oznámená instituce, může být tato instituce rovněž jmenována jako oznámená instituce podle nařízení o AI, což umožňuje koordinované posouzení, avšak úplný soulad s oběma rámci zůstává povinný.
Nikoli automaticky. Klasifikace závisí na funkci nástroje a míře jeho autonomie. Pokud systém AI nahrazuje nebo v podstatě přehlíží klinický úsudek — například autonomně stanovuje diagnózu nebo předepisuje léčbu — je pravděpodobnější, že bude kvalifikován jako vysoce rizikový podle Přílohy III nebo jako bezpečnostní složka zdravotnického prostředku podle čl. 6 odst. 1. Pokud systém pouze upozorňuje na informace nebo je filtruje pro klinického pracovníka, který si zachovává plnou rozhodovací pravomoc, nemusí spadat pod definici vysoce rizikového, za předpokladu, že nesplňuje jiná kritéria Přílohy III.
Čl. 10 nařízení EU o AI vyžaduje, aby trénovací, validační a testovací datové soubory podléhaly postupům správy dat zahrnujícím původ, metody sběru, známé odchylky a reprezentativnost. V případě zdravotnické AI se tato povinnost prolíná s čl. 9 GDPR, který klasifikuje zdravotní údaje jako zvláštní kategorii osobních údajů a vyžaduje výslovný právní základ — zpravidla výslovný souhlas nebo výjimku podle čl. 9 odst. 2 písm. h) nebo j) — pro jejich zpracování. Poskytovatelé musí dokumentovat složení datových souborů v technické dokumentaci vyžadované Přílohou IV a prokázat, že trénovací data nezavádějí systematické odchylky, které by mohly ohrozit diagnostickou přesnost napříč subpopulacemi pacientů.
Nemocnice jednající jako provozovatelé vysoce rizikových systémů AI podle čl. 26 musí: ověřit, že systém AI nese označení CE a má EU prohlášení o shodě; uplatňovat pokyny poskytovatele k použití; přidělovat odpovědnost za lidský dohled kvalifikovaným klinickým pracovníkům; vést záznamy o provozu systému po dobu nejméně šesti měsíců; a hlásit závažné incidenty nebo poruchy poskytovateli a — pokud je ohrožena bezpečnost pacientů — příslušným zdravotním orgánům podle příslušných pravidel vigilance stanovených MDR. Provozovatelé nesmějí upravovat vysoce rizikové systémy AI způsoby, které mění jejich zamýšlený účel, aniž by tím spustili povinnosti opětovného posouzení.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.