Nařízení (EU) 2024/1689 o umělé inteligenci (AI Act): jak OpenKBS zajišťuje shodu pro podniky

Nařízení (EU) 2024/1689 Evropského parlamentu a Rady (AI Act) je prvním legislativním aktem na světě, který reguluje systémy umělé inteligence. Nařízení vstoupilo v platnost dne 1. srpna 2024 a uplatňuje se postupně, přičemž plné uplatňování je od 2. srpna 2026.

Jako nařízení EU se AI Act uplatňuje přímo ve všech členských státech Evropské unie, včetně České republiky, bez nutnosti vnitrostátní transpozice.

Povinnost v oblasti gramotnosti v oblasti AI podle čl. 4 Nařízení platí od 2. února 2025. Organizace využívající systémy AI jsou již povinny zajistit dostatečnou úroveň gramotnosti v oblasti AI svého personálu.

Integrovaný audit shody v OpenKBS Studio

OpenKBS Studio obsahuje integrovaný AI Act Compliance Skill, který automaticky audituje projekt a generuje strukturovanou zprávu o shodě. Skill analyzuje, jaké modely AI jsou používány, klasifikuje je podle rizikových kategorií podle Přílohy III, ověřuje přítomnost mechanismů lidského dohledu, opatření pro sledovatelnost a transparentnost a vytváří dokumentovanou zprávu připravenou k předložení regulačním orgánům nebo pro interní audit. Proces se spouští jedinou instrukcí pro agenta AI a nevyžaduje žádnou další konfiguraci.

Postupné uplatňování

DatumCo vstupuje v platnost
1. srpna 2024Nařízení vstupuje v platnost
2. února 2025Zakázané praktiky AI (čl. 5) a povinnost gramotnosti AI (čl. 4)
2. srpna 2025Pravidla pro modely AI pro obecné účely (GPAI)
2. srpna 2026Plné uplatňování: vysoce rizikové systémy AI, posuzování shody, sankce
2. srpna 2027Vysoce rizikové systémy podle Přílohy I (vysoce rizikové AI zabudované do produktů: zdravotnické prostředky, stroje, hračky)

Povinnost gramotnosti v oblasti AI (čl. 4)

Čl. 4 Nařízení (EU) 2024/1689 ukládá poskytovatelům a subjektům zavádějícím systémy AI povinnost přijmout opatření zajišťující dostatečnou úroveň gramotnosti v oblasti AI jejich personálu a osob provozujících systémy AI jejich jménem.

Koho se to týká

Povinnost se vztahuje na:

  • zaměstnance, kteří používají nástroje AI v každodenní práci;
  • manažery, kteří přijímají rozhodnutí na základě výsledků AI;
  • týmy pro výběr dodavatelů a technologií;
  • dodavatele a externí personál provozující systémy AI jménem organizace;
  • řídící orgány s dohledovými funkcemi nad systémy AI.

Co se požaduje

Nařízení nepředepisuje konkrétní formát, dobu trvání ani školící program. Standardem je přiměřenost vzhledem k roli s ohledem na technické znalosti, zkušenosti, vzdělání a kontext použití systému AI.

Obecná (generická) školení, která neřeší konkrétní systémy AI používané v organizaci, jsou považována za nedostatečná. Školení musí pokrývat:

  • schopnosti a omezení konkrétních systémů AI;
  • rizika spojená s jejich použitím;
  • kritické hodnocení výsledků AI;
  • etické úvahy, včetně předsudků a spravedlnosti;
  • postupy pro hlášení incidentů.

Jak prokázat shodu

Organizace musí udržovat:

  • politiku přijatelného použití AI (AI Acceptable Use Policy);
  • politiku gramotnosti AI (struktura školení, odpovědnosti, cyklus aktualizace);
  • záznamy o provedených školeních s daty, účastníky a obsahem;
  • výsledky hodnocení prokazující porozumění (nikoli jen účast);
  • deník aktualizací programu.

Sankce

AI Act nestanoví přímou pokutu na úrovni EU za nesplnění povinností podle čl. 4. Tři úrovně sankcí čl. 99 se vztahují na jiná porušení: až 35 mil. EUR nebo 7 % celosvětového ročního obratu za zakázané praktiky (čl. 5), až 15 mil. EUR nebo 3 % za povinnosti subjektů zavádějících systémy (čl. 26), až 7,5 mil. EUR nebo 1 % za nepravdivé informace. Členské státy mohou stanovit vlastní sankce za porušení čl. 4.

Zakázané praktiky AI (čl. 5)

Od 2. února 2025 je zakázáno osm kategorií praktik AI:

  1. Manipulativní techniky AI způsobující újmu;
  2. Zneužívání zranitelností (věk, zdravotní postižení, socioekonomická situace);
  3. Sociální hodnocení (social scoring);
  4. Predikce individuálního rizika spáchání trestného činu;
  5. Necílené shromažďování obrazů obličejů z internetu nebo z kamerového dohledu;
  6. Rozpoznávání emocí na pracovišti a ve vzdělávání;
  7. Biometrická kategorizace podle chráněných charakteristik;
  8. Biometrická identifikace v reálném čase na veřejných prostranstvích (s omezenými výjimkami pro orgány činné v trestním řízení).

Bod 6 je přímo použitelný pro jakoukoli organizaci využívající AI v řízení lidských zdrojů.

Vysoce rizikové systémy AI (Příloha III)

Příloha III Nařízení definuje osm oblastí, ve kterých jsou systémy AI klasifikovány jako vysoce rizikové:

OblastPříklady
BiometrieDálková biometrická identifikace, rozpoznávání emocí
Kritická infrastrukturaŘízení energetických sítí, doprava, zásobování vodou
VzděláváníPřijímání, hodnocení, zařazování do skupin
Zaměstnanost a řízení pracovníkůVýběr kandidátů, screening životopisů, hodnocení výkonu, rozhodnutí o povýšení nebo propuštění
Přístup k základním službámÚvěrový scoring, pojištění, sociální pomoc
Vymáhání právaHodnocení důkazů, prediktivní policejní činnost
Migrace a hraniční kontrolaPosuzování žádostí o víza, dohled nad hranicemi
SpravedlnostPrávní analýza, prediktivní nástroje pro soudní rozhodnutí

Povinnosti subjektů zavádějících vysoce rizikové systémy (čl. 26)

Organizace zavádějící vysoce rizikové systémy AI jsou povinny:

  • používat systémy v souladu s pokyny poskytovatele;
  • zajistit lidský dohled kompetentními osobami;
  • zaručit, že vstupní data jsou vhodná a reprezentativní;
  • monitorovat provoz systému a hlásit závažné incidenty;
  • uchovávat automaticky generované protokoly po dobu nejméně 6 měsíců;
  • informovat zástupce zaměstnanců a dotčené zaměstnance před zavedením;
  • u systémů v oblasti zaměstnanosti — informovat uchazeče, že se AI podílí na výběrovém řízení.

Jak OpenKBS řeší požadavky AI Act

Sledovatelnost operací AI (čl. 12, čl. 26)

OpenKBS provozuje veškerou infrastrukturu AI svých enterprise klientů na platformě, včetně jednotného proxy AI pro přístup k více modelům AI (OpenAI, Anthropic, Google).

Každé volání modelu AI prochází přes proxy, který zaznamenává:

  • jaký model AI byl použit a jaká verze;
  • časové razítko požadavku;
  • počet vstupních a výstupních tokenů;
  • identifikátor projektu.

Tato data jsou uchovávána v infrastruktuře klienta a jsou dostupná pro audit. Řeší požadavky na sledovatelnost výsledků (čl. 12) a uchovávání protokolů (čl. 26, odst. 6).

Lidský dohled by design (čl. 14, čl. 26)

Architektura OpenKBS je navržena tak, aby výsledky AI nebyly automaticky prováděny bez lidského zásahu. Pro enterprise klienty:

  • systémy AI fungují v rámci spravovaného prostředí s kontrolovaným přístupem;
  • pro kritická rozhodnutí (HR, finance, operace) se uplatňuje schvalovací workflow — AI generuje doporučení, oprávněná osoba je potvrdí nebo zamítne;
  • každá nová verze řešení prochází strukturovaným procesem bezpečnostní revize před nasazením do produkčního prostředí.

Transparentnost a označování obsahu AI (čl. 50)

OpenKBS poskytuje enterprise klientům nástroje pro označování obsahu generovaného AI:

  • metadata o původu — každá odpověď AI může obsahovat informace o modelu, verzi a datu generování;
  • komponenta pro zveřejnění (AI Disclosure) — připravena k integraci do aplikací klienta, informující koncové uživatele, že komunikují s AI nebo že obsah byl generován AI.

Gramotnost v oblasti AI (čl. 4)

OpenKBS poskytuje enterprise klientům dokumentaci a poradenství ohledně:

  • schopností a omezení modelů AI dostupných prostřednictvím platformy;
  • rizik v různých kategoriích použití;
  • osvědčených postupů pro kritické hodnocení výsledků AI;
  • postupů pro hlášení incidentů.

Tato dokumentace může sloužit jako základ interního programu gramotnosti AI organizace.

Zpráva o shodě (čl. 11, čl. 26)

OpenKBS poskytuje enterprise klientům specializovaný skill pro automatizované generování zpráv o shodě s AI Act. Skill se instaluje v OpenKBS Studio jedním kliknutím ze sekce Skills a aktivuje se instrukcí pro agenta AI (např. "vygeneruj zprávu o shodě s AI Act"). Agent shromažďuje data z logů proxy AI, analyzuje kód projektu a generuje strukturovanou zprávu obsahující:

Inventarizaci systémů AI:

  • úplný seznam modelů AI používaných v projektu (např. Claude Sonnet 4.6, GPT-4.1, Gemini 2.5 Flash);
  • verze modelů a poskytovatelé;
  • počet volání na model za zvolené období;
  • celková spotřeba vstupních a výstupních tokenů.

Klasifikaci rizik:

  • automatické vyhodnocení rizikové kategorie podle Přílohy III (vysoké riziko, omezené, minimální);
  • identifikaci oblastí spadajících do působnosti vysoce rizikových systémů (zaměstnanost, finance, vzdělávání);
  • doporučení dalších opatření v případě vysoce rizikového AI.

Status opatření pro shodu:

  • přítomnost AI Act Compliance Skill v projektu;
  • status mechanismů lidského dohledu (schvalovací workflow);
  • přítomnost a úplnost protokolů sledovatelnosti;
  • status komponenty AI Disclosure;
  • přítomnost AI Acceptable Use Policy a politiky gramotnosti AI.

Generovaný artefakt: Zpráva je generována jako strukturovaný dokument (PDF/JSON), připravený k předložení regulačním orgánům, interním auditorským výborům nebo k archivaci jako artefakt shody. Periodické generování (např. čtvrtletní) zajišťuje dokumentovanou historii využívání AI v organizaci.

Zakázané praktiky a AI Act Compliance Skill

OpenKBS integruje do enterprise projektů specializovaný skill pro shodu — sadu pravidel, kterou agent AI automaticky načte. Tato pravidla zahrnují:

Zakázané operace:

  • rozpoznávání emocí v kontextu zaměstnanosti nebo vzdělávání;
  • sociální hodnocení fyzických osob;
  • biometrická kategorizace podle chráněných charakteristik;
  • manipulativní techniky zneužívající zranitelnosti.

Povinné postupy:

  • protokolování každého rozhodnutí AI se vstupními daty, výstupními daty, modelem a časovým razítkem;
  • u rozhodnutí v oblastech zaměstnanosti, financí a vzdělávání — pozastavení a vyžádání potvrzení od oprávněné osoby;
  • přidání metadat o původu AI ke generovanému obsahu;
  • generování hodnocení rizik při zavádění nových funkcionalit AI.

Konsolidace dodavatelského řetězce AI

Organizace využívající modely AI od více poskytovatelů (OpenAI, Anthropic, Google) musí spravovat shodu pro každého zvlášť — různé podmínky použití, různé datové politiky, různé úrovně transparentnosti.

OpenKBS konsoliduje přístup k více modelům AI prostřednictvím jednotného proxy, provozovaného v infrastruktuře EU platformy. Klient komunikuje s jedním poskytovatelem (OpenKBS), který řídí integraci s poskytovateli AI.

To snižuje:

  • počet poskytovatelů podléhajících samostatnému hodnocení;
  • složitost správy různých datových politik;
  • administrativní zátěž při dokumentování dodavatelského řetězce AI.

Bezpečnost infrastruktury

AI Act nefunguje izolovaně — organizace spadající do působnosti Směrnice (EU) 2022/2555 (NIS2) musí zajistit shodu s oběma akty současně. OpenKBS řeší oba rámce prostřednictvím:

  • Samostatný účet AWS pro každého enterprise klienta — úplná izolace a možnost převodu;
  • EU Data Residency — data jsou hostována v regionu AWS eu-central-1 (Frankfurt, Německo);
  • Serverless architektura — snížená plocha pro útok, automatické bezpečnostní aktualizace;
  • Šifrování — TLS 1.2+ při přenosu, AES-256 v klidu;
  • Auditní protokol — sledování všech administrativních akcí.

Podrobný popis pokrytí NIS2 je dostupný v publikaci o Směrnici (EU) 2022/2555.

Shrnutí: pokrytí klíčových požadavků

Požadavek AI ActJak jej OpenKBS řeší
Gramotnost AI (čl. 4)Dokumentace, poradenství a materiály pro program gramotnosti AI
Zakázané praktiky (čl. 5)AI Act Compliance Skill s integrovanými zákazy
Sledovatelnost (čl. 12)Protokoly proxy AI: model, verze, časové razítko, projekt
Lidský dohled (čl. 14, 26)Schvalovací workflow pro vysoce riziková rozhodnutí
Transparentnost (čl. 50)Komponenta AI Disclosure a metadata o původu
Protokolování (čl. 26, odst. 6)Automatické ukládání protokolů v infrastruktuře klienta
Technická dokumentace (čl. 11)Automatizovaná zpráva o shodě na projekt
Informování zaměstnanců (čl. 26, odst. 7)Poradenství ohledně oznamovacích postupů
Řízení dodavatelského řetězceKonsolidované proxy AI — jeden poskytovatel místo mnoha
NIS2 + AI Act společněJednotná infrastruktura pokrývající oba akty

Další krok

Pokud vaše organizace využívá systémy AI a musí zajistit shodu s Nařízením (EU) 2024/1689, kontaktujte nás pro konzultaci ohledně:

  • vyhodnocení současného využívání AI vzhledem k požadavkům Nařízení;
  • klasifikace systémů AI podle rizikových kategorií;
  • implementace AI Act Compliance Skill ve spravovaném prostředí;
  • generování zprávy o shodě pro regulační orgány nebo interní audit;
  • programu gramotnosti AI pro zaměstnance.

Popsané služby pro shodu s AI Act — compliance skill, audit využívání AI, workflow lidského dohledu a zpráva o shodě — jsou součástí plánu Enterprise od OpenKBS.

Tato publikace má výhradně informativní charakter a nepředstavuje právní poradenství. Pro konkrétní otázky týkající se uplatňování Nařízení (EU) 2024/1689 se obraťte na kvalifikovaného právního poradce.

Book a Strategy Call
Nařízení o AIAI Actgramotnost AIvysoce rizikové AIshodaAWSenterpriseOpenKBS