Evropský AI ACT: Odklad není amnestie
Evropa odkládá pravidla pro umělou inteligenci, protože na jejich složitost sama není připravená, píše v komentáři pro Newstream advokát Pavol Szabo. To ale neznamená, že zůstává jen právní vakuum.
Firmy si do kalendáře zakroužkovaly 2. srpna 2026. Den, kdy měl evropský akt o umělé inteligenci (AI Act) naplno dopadnout na organizace, které už AI významně pro svou činnost využívají. Nábor a hodnocení zaměstnanců, vzdělávání, úvěry, některé veřejné služby nebo rozpoznávání lidí podle obličeje a dalších tělesných znaků. Pro mnoho podniků to nebyla vzdálená evropská politika, ale velmi konkrétní otázka: máme hotový soupis svých systémů, smlouvy, dokumentaci, lidskou kontrolu a postup pro hlídání změn?
Teď se do tohoto kalendáře vkládá nový list takzvaný Digital Omnibus – jeden velký předpis, kterým Evropská unie najednou upravuje hned několik digitálních zákonů, a mezi nimi i pravidla pro umělou inteligenci. Pozor ale na jednu věc: ačkoli se na jeho podobě shodly Rada EU i Evropský parlament, celý proces ještě není u konce. Chybí konečné schválení Radou a vyhlášení v Úředním věstníku EU. Pravidla se tedy ještě definitivně nezměnila. Jisté však je, že Unie je těsně před cílenou úpravou, která má firmám dát více času, ale samotnou podstatu AI Actu nechává beze změny.
Regulace za dynamikou změn
A právě v tom je jádro pudla. Nejde o kapitulaci před umělou inteligencí, ale o tiché přiznání, že na tak složitou regulaci zatím není připravena ani sama Evropa. Chybí závazné technické normy, jednotné postupy, část podpůrných nástrojů i dozorové úřady, které by měly nová pravidla v praxi vymáhat. Vzniká tak zvláštní past: zákon chce být přísný, ale jak ho doopravdy splnit, zůstává hádankou. Firmy pak riziko neřídí. Jen tipují, co bude úřad později považovat za dostatečné.
Dohodnutý Omnibus proto posouvá ty nejdůležitější povinnosti. U samostatných vysoce rizikových systémů umělé inteligence se mají rozběhnout až 2. prosince 2027. U systémů zabudovaných do výrobků, které už podléhají vlastním přísným pravidlům, pak 2. srpna 2028. V praxi to znamená, že jinak poběží čas třeba u umělé inteligence v personalistice (HR) a jinak u té, která je součástí takto regulovaného výrobku. Logika je rozumná: kde už nějaká kontrola výrobku existuje, nemá smysl vyrábět druhou vrstvu úplně stejných papírů.
Přísněji na „lechtivý“ obsah
Omnibus ale není jen o odkladu. V jednom bodě naopak přitvrzuje. Nově se má zakázat nabízet nástroje, které slouží k výrobě nebo úpravě sexuálního či intimního obsahu bez souhlasu konkrétní osoby, a také materiálů zachycujících zneužívání dětí. Řečeno srozumitelně: takzvané „svlékací“ aplikace a nástroje na výrobu podobných podvrhů – tedy realisticky vypadajících, ale uměle vyrobených fotek a videí, kterým se říká deepfake – mají dostat jasnou stopku. U části povinného označování obsahu vytvořeného umělou inteligencí dostanou systémy uvedené na trh před 2. srpnem 2026 čas na přizpůsobení do 2. prosince 2026. Unie tím říká něco podstatného: u složitých povinností pro nejrizikovější systémy se čas přidat dá, ale u nejškodlivějšího zneužití se čekat nebude.
Pro české firmy z toho plyne nepohodlná, ale jednoduchá lekce. Odklad není strategie. Kdo dnes zastaví přípravu, nebude za rok a půl odpočatý. Bude jen stejně nepřipravený, s kratším časem a větším počtem systémů v provozu.
Uplatnit zdravý rozum
Smysl má jiný postup. Zjistit, kde se ve firmě umělá inteligence používá. Kdo ji dodal. K čemu slouží. Jaká data zpracovává. Kdo schvaluje její nasazení. Kdo hlídá změny samotného AI systému, dat, účelu nebo míry samostatnosti systému. Kdo a na základě čeho rozhodl, že systém mezi ty vysoce rizikoví nepatří. U dobře řízené firmy by to neměl být detektivní úkol. Měl by to být běžný řádek v mapě digitálních rizik, zkrátka vzít rozum do hrsti.
Přechodná pravidla navíc vytvářejí zvláštní časovou mezeru. U řady starších vysoce rizikových systémů naskočí plné povinnosti až ve chvíli, kdy je firma zásadně přepracuje, zatímco systémy určené pro úřady a veřejné orgány mají pevný konečný termín 2. srpna 2030. O to důležitější je vést si u každého důležitého systému umělé inteligence jakýsi „rodný list“ – tedy mít poznamenané aspoň jeho účel, verzi, dodavatele, zpracovávaná data, hranice použití, datum nasazení a přehled pozdějších změn.
Komplexnější než jak se zdá
AI Act navíc nestojí osamoceně. Pokud systém pracuje s osobními údaji, platí dál pravidla jejich ochrany (GDPR), a to bez ohledu na použitou technologii. Je jedno, jestli údaje zpracovává člověk, jednoduchý program, nebo model, který umí psát plynulé věty. Pokud umělá inteligence ovlivňuje zákazníky, nastupují pravidla proti klamavým a agresivním obchodním praktikám. Pokud zasáhne do tváře, hlasu, pověsti nebo soukromí konkrétního člověka, české právo zná ochranu osobnosti. Pokud jde o software ve zdravotnickém přístroji, přidávají se evropská pravidla pro zdravotnické prostředky. Ve finančnictví se připojují požadavky na kybernetickou a provozní odolnost a v online prostředí mohou platit i unijní pravidla pro digitální služby. AI Act je důležitý nosný sloup. Není to ale celá budova.
Totéž platí pro ochranu spotřebitelů. Ta nezačíná až dnem, kdy se rozběhne další část AI Actu. Kdo zneužije model k nezákonnému zpracování osobních údajů, se za Omnibus neschová. Kdo láká zákazníky na falešné recenze, chatboty vydávající se za živého člověka nebo cílený nátlak šitý na míru, nevstupuje do žádného právního vakua. A kdo vyrobí podvržené video zasahující do intimity nebo důstojnosti člověka, řeší nejen evropská pravidla pro umělou inteligenci, ale i odpovědnost podle dalších zákonů.
Rozhodne kvalita managementu
Nejtěžší proto není právnická definice toho, co je systém umělé inteligence. Nejtěžší je manažerská kázeň. Vedení firmy nemusí rozumět každému technickému detailu modelu. Musí ale umět doložit, že důležitá digitální rizika nenechává na nadšení jednotlivců, interní improvizaci a podmínkách dodavatele. Péče řádného hospodáře se v digitální době čím dál víc scvrkává do jediné otázky: věděli jste, co vám ve firmě běží, a měli jste to pod kontrolou?
Digital Omnibus tak může být užitečnou opravou. Umí ubrat paniku, narovnat část termínů a dát firmám šanci se připravit bez zbytečného divadla. Nesmí se ale číst jako omluvenka. Víc času neznamená prázdniny od pravidel. Je to poslední rozumné okno, kdy si firmy mohou v umělé inteligenci udělat pořádek v klidu, a ne na poslední chvíli.
Autorem komentáře je Pavol Szabo, partner v advokátní kanceláři Chrenek, Toman, Kotrba
Sankce proti Rusku poprvé nedostanou jen půlroční prodloužení. Lídři EU se dohodli na dalších 12 měsících, což umožnila i změna postoje Budapešti po nástupu nového maďarského premiéra Pétera Magyara.
Konec půlročních dohadů. EU prodloužila protiruské sankce rovnou na rok
Politika
