Soulad s EU AI Act pro malé a střední podniky. Ustanovení specifická pro MSP, přístup k sandboxům, snížené poplatky a praktické pokyny pro provozovatele a vývojáře AI.
EU AI Act a MSP — dobré zprávy
EU AI Act (nařízení (EU) 2024/1689) se vztahuje na všechny organizace uvádějící nebo používající systémy AI na trhu EU bez ohledu na jejich velikost. Regulatorní realita je však pro většinu malých a středních podniků podstatně méně zatěžující, než jak ji líčí mediální titulky, a to z jednoho zásadního důvodu: naprostá většina MSP AI využívá, nikoli vytváří.
MSP, který si předplácí CRM s funkcemi AI, nasazuje chatbota od dodavatele SaaS nebo využívá cloudový software pro předpověď poptávky, je v terminologii EU AI Act provozovatelem — nikoli poskytovatelem. Povinnosti provozovatelů jsou systematicky nižší než povinnosti poskytovatelů. Poskytovatelé nesou hlavní zátěž posouzení shody, technické dokumentace, označení CE a registrace. Provozovatelé mají užší soubor povinností zaměřený na správné používání, lidský dohled a oznamování incidentů.
Nad rámec rozlišení provozovatel/poskytovatel obsahuje EU AI Act samostatný soubor ustanovení specifických pro MSP, která zajišťují strukturální podporu: přednostní přístup k regulatorním sandboxům, snížené poplatky za posouzení shody a vyhrazené jednotné kontaktní místo na národní úrovni. Tato ustanovení odrážejí výslovný záměr zákonodárce zabránit tomu, aby se AI Act stal nepřiměřenou překážkou pro menší účastníky trhu.
Tento průvodce vymezuje, co EU AI Act v praxi znamená pro MSP — ať již využíváte nástroje AI třetích stran, nasazujete AI v kontaktu se zákazníky, nebo sami vytváříte a komercializujete produkt AI.
Ustanovení specifická pro MSP v nařízení
EU AI Act obsahuje čtyři ustanovení, která se vztahují konkrétně na MSP (podniky splňující prahovou hodnotu stanovenou doporučením Komise 2003/361/ES: méně než 250 zaměstnanců a buď roční obrat nepřesahující 50 milionů EUR, nebo celková bilanční suma nepřesahující 43 milionů EUR) a na startupy.
Čl. 55 — Přednostní přístup k regulatorním sandboxům
Čl. 55 stanoví, že regulatorní sandboxes pro AI — kontrolovaná prostředí pro vývoj a testování AI před uvedením na trh — musí být přednostně přístupné MSP a startupům. Přístup je bezplatný nebo podléhá sníženým poplatkům a zúčastněné organizace získávají přímé vedení od příslušného orgánu. Přístup k sandboxu umožňuje identifikaci rizik před uvedením na trh a regulatorní dialog v chráněném prostředí, bez následků plynoucích z umístění nevyhovujícího produktu na trh. MSP vytvářející systémy AI by měly vnímat účast v sandboxu jako nástroj pro zajištění souladu i jako mechanismus přímé komunikace s dozorovým orgánem před spuštěním produktu.
Čl. 96 — Snížené poplatky za posouzení shody
Pokud vysoce rizikový systém AI vyžaduje posouzení shody třetí stranou prostřednictvím oznámeného subjektu (platí pro systémy uvedené v příloze III bodech 1, 6 a 7 a pro AI v oblasti zdravotnických prostředků podle čl. 6 odst. 1), čl. 96 zavazuje členské státy, aby pro malé podniky zavedly snížené poplatky. Mikropodniky — ty s méně než 10 zaměstnanci a ročním obratem nebo bilanční sumou nepřesahující 2 miliony EUR — mají nárok na ještě větší snížení. Přesné výše poplatků jsou stanoveny na úrovni členského státu a liší se podle jurisdikce; aktuální hodnoty může poskytnout příslušný národní orgán pro AI nebo síť Enterprise Europe Network.
Čl. 85 — Jednotné kontaktní místo
Čl. 85 zavazuje národní dozorové orgány pro AI, aby zřídily vyhrazené jednotné kontaktní místo pro MSP. To znamená, že MSP hledající pokyny k povinnostem vyplývajícím z AI Act nemusí procházet více regulatorními útvary ani koordinovat postup napříč fragmentovanými orgány. Jednotné kontaktní místo poskytuje informace, směruje dotazy na příslušnou funkci a usnadňuje žádosti o přístup do sandboxu. Toto ustanovení výrazně snižuje administrativní náklady spojené s porozuměním regulatorním povinnostem.
Čl. 9 odst. 5 — Přiměřené řízení rizik
Čl. 9 odst. 5 stanoví, že systém řízení rizik vyžadovaný od poskytovatelů vysoce rizikových systémů AI může být zaveden přiměřeně, s přihlédnutím k velikosti a struktuře organizace. Pro MSP vystupující jako poskytovatel vysoce rizikového systému to znamená, že ačkoli musí být splněny veškeré věcné požadavky systému řízení rizik, formát dokumentace, složitost procesů a řídicí struktura mohou být přizpůsobeny skutečné kapacitě organizace — za předpokladu, že to nenarušuje cíle ochrany stanoveného rámce.
Jste poskytovatel nebo provozovatel? — rozhodovací rámec pro MSP
Nejdůležitějším předběžným určením pro každý MSP zabývající se EU AI Act je otázka, zda v případě každého systému AI, který používá nebo nabízí, vystupuje jako poskytovatel, nebo jako provozovatel.
Poskytovatel (čl. 3 odst. 3): Organizace, která vyvíjí systém AI nebo si nechá systém AI vyvinout, a uvádí jej na trh nebo do provozu pod vlastním názvem nebo značkou — za úplatu nebo bezplatně. Zahrnuje MSP, které:
- Vytvářejí softwarový produkt zahrnující AI (včetně modelů AI přístupných přes API) a prodávají nebo licencují tento produkt zákazníkům;
- Vyvíjejí interně model nebo aplikaci AI a nasazují ji jako službu pro koncové uživatele mimo organizaci;
- Podstatně mění systém AI třetí strany způsobem, který mění jeho zamýšlený účel.
Provozovatel (čl. 3 odst. 4): Organizace, která používá systém AI na vlastní odpovědnost pro profesionální účely. Zahrnuje MSP, které:
- Předplácejí si produkty SaaS s integrovanými funkcemi AI (CRM, ERP, účetní software s podporou AI);
- Používají chatbota nebo konverzační AI třetí strany na svém webu;
- Přistupují k cloudovým API pro AI (zpracování přirozeného jazyka, klasifikace obrazu, doporučovací systémy) výhradně za účelem automatizace interních procesů nebo vylepšení vlastních služeb, aniž by nabízely schopnost AI jako funkci produktu třetím stranám;
- Pořizují HR software, nástroje pro předpověď zásob nebo zákaznické analytické nástroje od externích dodavatelů.
Klíčový hraniční případ: MSP, který integruje externí API pro AI do svého vlastního produktu určeného zákazníkům a tuto schopnost propaguje jako funkci svého produktu, je ve vztahu k této funkci AI poskytovatelem — nikoli pouze provozovatelem základního API. Právní subjekt, který definuje zamýšlený účel, kontroluje uživatelský zážitek a uvádí produkt na trh, nese povinnosti poskytovatele podle čl. 16, bez ohledu na to, odkud model AI pochází.
Klíčové povinnosti provozovatele pro MSP využívající AI třetích stran
Pro většinu MSP — ty, které nasazují nástroje AI třetích stran, nikoli vyvíjejí vlastní — se uplatňují tyto povinnosti podle čl. 26 a souvisejících ustanovení.
Používat systémy AI v souladu s pokyny poskytovatele
Provozovatelé musí používat vysoce rizikové systémy AI výhradně v souladu s pokyny poskytovatele k použití dodanými podle čl. 13. Použití systému AI k účelům přesahujícím jeho dokumentovaný zamýšlený účel nebo v konfiguracích, které poskytovatel nevalidoval, přenáší část odpovědnosti za soulad na provozovatele a může zneplatnit posouzení shody systému.
Určit odpovědnou osobu pro lidský dohled
Čl. 26 odst. 1 vyžaduje, aby provozovatelé pověřili dohledem nad AI kvalifikovanou osobu v rámci organizace. Pro většinu MSP to bude jmenovitě určená osoba (nikoli nutně specializovaný pracovník pro soulad s AI), která rozumí funkci systému, jeho známým omezením a okolnostem, za nichž je nutný lidský zásah. Toto pověření by mělo být zdokumentováno.
Uchovávat provozní protokoly
Pokud vysoce rizikové systémy AI automaticky generují protokoly (čl. 12), musí je provozovatelé uchovávat po zákonem stanovenou dobu — podle AI Act obecně šest měsíců, pokud sektorová legislativa nevyžaduje delší dobu uchovávání. Provozovatelé musí ověřit, že jejich smlouva s dodavatelem zaručuje přístup k protokolům a potvrzuje jejich formát a úplnost.
Oznamovat závažné incidenty poskytovateli
Čl. 26 odst. 5 vyžaduje, aby provozovatelé oznámili poskytovateli jakékoli závažné incidenty nebo poruchy zjištěné při používání. Pokud je provozující organizace veřejnoprávním subjektem, oznamovací povinnosti se vztahují i na národní dozorový orgán pro AI. Pro MSP provozovatele v soukromém sektoru je primárním kanálem přímé oznámení poskytovateli, který pak nese vlastní povinnost informovat orgán podle čl. 73.
Provést posouzení dopadu na základní práva tam, kde je to relevantní
Čl. 27 vyžaduje, aby veřejnoprávní subjekty nasazující vysoce rizikovou AI dokončily před nasazením posouzení dopadu na základní práva. Soukromým MSP nasazujícím vysoce rizikovou AI — zejména v oblasti HR, úvěrového hodnocení nebo rozhodovacích procesů ve vztahu k zákazníkům — je důrazně doporučeno provést rovnocenné posouzení, protože prokazuje náležitou péči a podstatně snižuje riziko vynucování.
Přezkoumat smlouvy s dodavateli
Provozovatelé z řad MSP musí zajistit, aby jejich smlouvy s dodavateli AI zahrnovaly: dokumentaci o shodě a pokyny k použití; potvrzení registrace v databázi EU, je-li vyžadováno; specifikaci možností protokolování a přístupových práv; závazek dodavatele k oznamování incidentů a nápravě; a informace o povinnostech týkajících se aktualizací nebo úprav, které mohou ovlivnit stav shody systému.
Pokud vyvíjíte AI — povinnosti a podpora pro MSP jako poskytovatele
MSP, které vyvíjejí a komercializují systémy AI, jsou poskytovateli a nesou plné povinnosti poskytovatele podle kapitoly III pro jakýkoli vysoce rizikový systém. Rozsah těchto povinností je značný: systém řízení kvality (čl. 17), technická dokumentace podle přílohy IV, správa dat podle čl. 10, protokolování podle čl. 12, požadavky na transparentnost podle čl. 13, koncepce lidského dohledu podle čl. 14 a standardy přesnosti a robustnosti podle čl. 15. U systémů uvedených v příloze III, které vyžadují posouzení oznámeným subjektem, se postupuje v souladu s čl. 43.
Praktickým výchozím bodem pro MSP jako poskytovatele je určení klasifikace rizika:
- Je systém AI pokryt čl. 5 (zakázané praktiky)? Pokud ano, vývoj musí být zastaven nebo zásadně přepracován před jakoukoli tržní aktivitou.
- Kvalifikuje se systém jako vysoce rizikový podle čl. 6 odst. 1 (bezpečnostní komponenta regulovaného produktu) nebo přílohy III (vyjmenované oblasti aplikace zahrnující biometrickou identifikaci, kritickou infrastrukturu, vzdělávání, zaměstnanost, základní služby, vymáhání práva, migraci a spravedlnost)?
- Kvalifikuje se systém pouze jako model AI pro obecné účely řízený čl. 51–56, bez klasifikace jako vysoce rizikový?
- Vztahují se na systém pouze povinnosti transparentnosti podle čl. 50 (rozpoznávání emocí, deepfake, chatboty)?
Pro MSP, jejichž systémy nespadají do kategorií vysoce rizikových a zakázaných, je soulad podstatně jednodušší: povinnosti transparentnosti podle čl. 50, soulad s GDPR a sektorové povinnosti vyplývající z příslušného národního nebo unijního práva.
Pro MSP vyvíjející vysoce rizikovou AI je regulatorní sandbox podle čl. 55 nejdůležitějším dostupným nástrojem. Účast v sandboxu umožňuje předmarketingové testování pod regulatorním dohledem, poskytuje zdokumentované důkazy o úsilí o soulad v dobré víře a může identifikovat nápravná opatření dříve, než se z nich stanou věci řešené vynucováním. Žádosti se podávají národnímu jednotnému kontaktnímu místu (čl. 85).
Praktické kroky pro soulad MSP
Krok 1 — Inventarizujte všechny systémy AI v provozu nebo ve vývoji. Vytvořte seznam každého nástroje AI, produktu SaaS, cloudového API a interně vyvinutého modelu. Zaznamenejte dodavatele, funkci a to, zda MSP vystupuje jako poskytovatel nebo provozovatel u každého z nich.
Krok 2 — Klasifikujte každý systém podle kategorie rizika. Aplikujte na každý systém rámec čl. 5 / čl. 6 / příloha III / čl. 50. Pokud je klasifikace nejasná, využijte k pokynům jednotné kontaktní místo podle čl. 85.
Krok 3 — U role provozovatele: proveďte audit smluv s dodavateli. Ověřte, že každý dodavatel AI dodal dokumentaci vyžadovanou podle čl. 13 a že smlouva řeší protokolování, oznamování incidentů a povinnosti týkající se aktualizací. Identifikujte mezery k opětovnému projednání.
Krok 4 — U role poskytovatele: zahajte postup posouzení shody. Určete, zda váš vysoce rizikový systém AI vyžaduje vlastní posouzení (čl. 43 odst. 2) nebo posouzení třetí stranou prostřednictvím oznámeného subjektu (čl. 43 odst. 1). Požádejte o přístup k sandboxu podle čl. 55, pokud je systém ve vývoji. Kontaktujte oznámený subjekt včas, abyste pochopili časové i finanční dopady, a dbejte na své oprávnění ke sníženým poplatkům pro MSP podle čl. 96.
Krok 5 — Zaveďte povinnosti provozovatele podle čl. 26 u všech vysoce rizikových systémů. Určete osoby odpovědné za dohled, zdokumentujte jejich odpovědnosti, ověřte postupy uchovávání protokolů a potvrďte kanály pro oznamování incidentů.
Krok 6 — Zaveďte cyklus přezkumu AI Act. EU AI Act je živý rámec. Určete odpovědnou osobu, která bude sledovat pokyny Úřadu EU pro AI, aktualizace národních orgánů a změny v klasifikacích přílohy III. Naplánujte každoroční interní přezkum inventáře systémů a stavu souladu.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Ano. Pokud váš MSP integruje model AI třetí strany (včetně přístupu přes API) do produktu nebo služby, kterou uvádíte na trh nebo uvádíte do provozu pod vlastním názvem či značkou, jste klasifikováni jako **poskytovatel** podle **čl. 3 odst. 3** EU AI Act. Platí to bez ohledu na to, zda byl základní model vytvořen jinou společností. Povinnosti poskytovatele — včetně technické dokumentace, posouzení shody, označení CE (u vysoce rizikových systémů) a registrace — jsou vaší odpovědností. Pokud upstream poskytovatel modelu dodá dokumentaci o shodě a pokyny k použití, tyto dokumenty vaše úsilí o soulad podpoří, ale nemohou ho nahradit. Čl. 55 a čl. 96 obsahují podpůrná opatření specifická pro MSP ke snížení zátěže spojené se souladem.
Záleží na dvou faktorech: povaze chatbota a na tom, co dělá. Za prvé, pokud jde o **systém využívající AI pro obecné účely**, který komunikuje s uživateli, musí splňovat **povinnost transparentnosti podle čl. 50**: uživatelé musí být informováni, že komunikují se systémem AI, pokud to není z kontextu zřejmé. Za druhé, pokud chatbot plní funkce, které ho kvalifikují jako vysoce rizikový — například předvýběr uchazečů o zaměstnání, hodnocení úvěruschopnosti nebo přijímání rozhodnutí s právními nebo výraznými osobními dopady — uplatní se i dodatečné povinnosti pro vysoce rizikové systémy. Jednoduchý chatbot pro FAQ nebo navigaci produktem, který využívá poskytovatele SaaS třetí strany (kde vystupujete jako provozovatel), primárně zakládá požadavek transparentnosti podle čl. 50 a povinnosti provozovatele podle čl. 26, zejména správné používání v souladu s pokyny a oznamování incidentů.
**Regulatorní sandbox pro AI** je kontrolované testovací prostředí zřízené národními dozorovými orgány pro AI, v němž mohou poskytovatelé AI — včetně startupů a MSP — vyvíjet, testovat a validovat systémy AI před uvedením na trh, a to za přímého regulatorního vedení. Sandboxům se věnují **čl. 57–63** EU AI Act. **Čl. 55 přiznává MSP a startupům přednostní přístup** a účast je bezplatná nebo podléhá sníženým poplatkům. Žádosti se podávají přímo národnímu orgánu odpovědnému za AI Act ve vašem členském státě. V rámci sandboxu může orgán udělit omezené výjimky z konkrétních požadavků, aby umožnil skutečné testování; jakýkoli produkt uvedený na trh po skončení období sandboxu musí následně splňovat veškeré příslušné povinnosti. Pro získání postupů pro podávání žádostí se obraťte na národní jednotné kontaktní místo pro MSP (**čl. 85**).
Registrace v **databázi EU pro vysoce rizikové systémy AI** podle **čl. 49** je povinná pouze tehdy, je-li váš systém klasifikován jako **vysoce rizikový** podle čl. 6 nebo přílohy III. Poskytovatelé vysoce rizikových systémů musí provést registraci před uvedením na trh; provozovatelé, kteří jsou veřejnoprávními subjekty, musí rovněž registrovat před zahájením používání. Většina MSP, které provozují systémy AI třetích stran (jako spotřebitelé SaaS nebo API), nejsou povinny se registrovat — tato povinnost náleží poskytovateli. Je-li váš MSP poskytovatelem vysoce rizikového systému AI, je registrace povinná bez ohledu na velikost podniku, přičemž podpůrná ustanovení čl. 55 a 96 se uplatní ke snížení příslušných nákladů a procesní složitosti. Databáze je veřejně přístupná a spravuje ji Úřad EU pro AI.
Před nasazením systému AI třetí strany, zejména pokud může být vysoce rizikový, by váš MSP měl smluvně požadovat a obdržet: (1) **EU prohlášení o shodě** nebo rovnocennou dokumentaci o shodě; (2) **pokyny k použití** vyžadované čl. 13, včetně zamýšleného účelu, známých omezení a požadavků na lidský dohled; (3) potvrzení, že systém byl **registrován v databázi EU**, je-li to vyžadováno; (4) informace o **možnostech protokolování** systému a o tom, jak lze k protokolům přistupovat nebo je načítat; (5) **postupy dodavatele pro oznamování incidentů** a jeho povinnosti informovat vás o poruchách nebo aktualizacích ovlivňujících soulad; a (6) informace o **charakteristikách zpracování dat** systému relevantních pro vaše povinnosti podle GDPR. Absence těchto dokumentů u dodavatele nabízejícího systém AI v citlivé oblasti představuje závažné riziko z hlediska souladu.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.