O čem je tento rozcestník
Níže je praktický „AI-compliance“ rozcestník pro běžné firemní i osobní používání AI v ČR – co (ne)vkládat, kde hrozí právní rizika, a proč existuje EU AI Act. Vycházím z aktuálního znění českých předpisů a přímo použitelných nařízení EU účinných ke dni odpovědi.
Identifikace skutkového stavu
-
Řešíme běžné používání AI nástrojů (chatboti, generátory textu/obrazů, analytické nástroje).
-
Neznáme vaše interní procesy; níže uvádím obecné minimum, které zvládnete zavést hned.
Relevantní právní rámec (výběr)
-
GDPR – zákonnost, citlivé údaje, smlouva se zpracovatelem, DPIA, přenosy do třetích zemí, automatizované rozhodování (čl. 6, 9, 22, 28, 35, 44 GDPR).
-
Občanský zákoník – obchodní tajemství a nekalá soutěž (§ 504; § 2976 a násl.; § 2985 – porušení obchodního tajemství).
-
Autorský zákon – autor je vždy fyzická osoba; AI sama „autorem“ být nemůže (dopad na ochranu výstupu). TDM výjimky (§ 39c a § 39d) pro automatizovanou analýzu textů a dat (vč. „opt-out“ nositelů práv).
-
EU AI Act (nařízení 2024/1689) – rizikové kategorie, povinnosti pro vysoce rizikové systémy, transparentnost (chatboti, označování deepfake/syntetických médií), a rámec pro obecné (GPAI) modely. V platnosti od 1. 8. 2024; povinnosti nabíhají postupně.
-
Nová směrnice o odpovědnosti za vadné výrobky 2024/2853 – rozšiřuje bezzaviněnou odpovědnost i na software/AI (relevantní, když AI výstup způsobí škodu). Transpozice do 12/2026.
-
Antidiskriminační zákon a ZP – rovné zacházení, riziko diskriminace při HR použití AI (screening uchazečů apod.).
Právní kvalifikace a posouzení (hlavní rizika)
Osobní údaje (GDPR)
Vkládáte-li do AI osobní či citlivé údaje (zdraví, biometrie atd.), musíte mít právní titul (typicky souhlas, smlouva, oprávněný zájem), zhodnotit přenosy (mimo EU), uzavřít DPA se zpracovatelem, a u vysoce rizikových zpracování vyhotovit DPIA. Automatizované čistě strojové rozhodnutí s právními účinky vůči osobě je omezené (čl. 22).
Obchodní tajemství / důvěrná data
Co dáte do externí AI bez smluvních záruk, může být ztraceno (prakticky) – ochrana obchodního tajemství platí jen, pokud tajemství aktivně chráníte a nepustíte ven. Neoprávněné zpřístupnění/užití může být nekalá soutěž + náhrada škody.
Autorské právo a TDM
AI výstup: právní ochrana autorským právem vyžaduje tvůrčí činnost člověka; čistě strojový výsledek nebývá autorsky chráněn (pozor na licenční ujednání platformy).
Trénování/analýza: Český AZ má výjimky pro TDM (§ 39c/39d). Pro komerční TDM platí „opt-out“ nositele práv (strojově čitelné vyjádření, že vytěžování zakazuje). Respektujte technické zákazy (robots.txt/metadata).
Diskriminace a HR
Použití AI při náboru/hodnocení může vést k přímé/nepřímé diskriminaci – odpovědnost nese zaměstnavatel. Mějte lidský dohled, audit dat a výstupů.
EU AI Act – proč existuje a co přináší
Cíl: bezpečnost a ochrana základních práv při nasazování AI, jednotná pravidla na EU trhu, prevenci „divokých“ praktik a posílení důvěry. Základní rámec:
-
Zakázané praktiky (např. manipulativní techniky).
-
Vysoce rizikové systémy – povinné řízení rizik, kvalita dat, dokumentace, lidský dohled, registrace.
-
Transparentnost – informovat, když komunikuje chatbot; označovat syntetická média (deepfakes); některé výstupy GPAI značit strojově čitelně.
-
Obecné (GPAI) modely – povinnosti k řízení systémových rizik, dokumentaci a rozkrytí informací vývojářům/nasaditelům. (Vstoupilo v platnost 1. 8. 2024; povinnosti nabíhají postupně 2025–2027.)
Co do AI (ne)vkládat – stručné pravidlo 3×N
Nikdy nevkládejte:
-
Citlivé osobní údaje (zdraví, biometrie, sexualita, politické názory…), pokud nemáte výslovný právní titul a smluvní/technické záruky (DPA, EU-lokalita, retention off).
-
Obchodní tajemství / důvěrné smlouvy do veřejných nebo nejasně smluvně krytých AI kanálů.
-
Cizí chráněné podklady tam, kde nositel práv uplatnil TDM „opt-out“.
Vkládejte jen, když splníte:
-
Anonymizaci/pseudonymizaci (GDPR by design), účel, právní titul, DPA + přenosy.
-
Smluvní režim s poskytovatelem (zpracovatel; logy; retention; retraining-off; auditní záruky).
-
Označování syntetického obsahu (deepfake apod.) dle AI Act.
Nechte si potvrdit (od vendorů):
-
Kde běží data (EU/EHP), jak dlouho se drží, kdo má přístup, zda se nevyužijí k tréninku.
Rizika a limity
-
Únik tajemství: ztráta konkurenční výhody, nekalosoutěžní delikt.
Zákony pro lidi
-
GDPR sankce a reputace: GDPR sankce + náhrady, reputační škoda.
Zákony pro lidi
-
IP spory: IP spory (neoprávněné TDM, neoprávněné užití cizích děl).
Kurzy
-
Produktová odpovědnost: produktová odpovědnost (škoda způsobená AI součástí produktu/služby).
EUR-Lex
Vzor – mini interní směrnice „Bezpečné používání AI“ (zkráceně)
Executive summary
Vstupy do AI: žádná tajemství ani (citlivé) osobní údaje bez titulu/DPA; respektujte TDM „opt-out“.
Výstupy z AI: u externího použití označovat (deepfakes, chatbot), kontrolovat člověkem, mít záznamy.
AI Act je tu proto, aby sjednotil pravidla, chránil základní práva a zavedl povinnosti přiměřené riziku – od úplných zákazů přes povinnosti pro vysoce rizikové AI až po transparentnost.
Checklist dalších kroků
-
Jmenujte AI odpovědnou osobu (právník + IT/bezpečnost).
-
Schvalte AI-safe směrnici (viz vzor) a publikujte ji interně.
-
Uzavřete/aktualizujte DPA s poskytovateli AI; nastavte EU-datacentra a re-training off.
-
Pro HR/credit/scoring udělejte DPIA a stanovte lidský dohled.
-
Zaveďte označování syntetického obsahu a „mluvíte s AI“ notifikace.
-
Nastavte evidenci promptů a výstupů (audit trail).
-
U produktů se software/AI sledujte PLD 2024/2853 a chystanou transpozici (do 12/2026).
Krátká analogie z praxe:
Krátká analogie z praxe: Stejně jako nikdy nevkládáte číslo své kreditky do cizího telefonu, nedávejte obchodní tajemství a osobní data do neznámého AI formuláře bez smluv a pojistek. A co vyjde z AI, označte a zkontrolujte.
⚠️ UPOZORNĚNÍ: Tento článek má pouze informační povahu, je ukázkou práce našeho
AI právního asistenta a není právním poradenstvím. Váš případ může vyžadovat individuální posouzení, pokud nejste odborníkem, obraťte se na poskytovatele právních služeb a to i v případě, že si nejste s něčím jistí. Naše vydavatelství právní aní advokátní služby neposkytuje. AI asistent je nástroj využívající naše know-how a modely umělé inteligence společnosti OpenAI; pokud v článku najdete chybu, prosíme, kontaktujte nás, abychom zpřesnili práci našich AI agentů. Používejte naše vzory smluv a AI asistenta pro ChatGPT získáte zdarma. Děkujeme.
Seznam citací a použitých zdrojů
-
Nařízení (EU) 2024/1689 (AI Act) – oficiální znění (Úř. věst. L 12. 7. 2024; v platnosti od 1. 8. 2024). Znění účinné: průběžné; posl. kontrola: 19-11-2025.
-
Pravidla transparentnosti – shrnutí EU (deepfake/chatbot/GPAI označování). Posl. kontrola: 19-11-2025.
-
Směrnice (EU) 2024/2853 (odpovědnost za vadné výrobky) – zahrnuje software/AI; účinnost a transpozice do 12/2026; posl. kontrola: 19-11-2025.
-
GDPR – čl. 6 (zákonnost), 9 (citlivé údaje), 22 (automatizované rozhodování), 28 (zpracovatel), 35 (DPIA), 44 (předávání). Znění účinné: konsolidované; posl. kontrola: 19-11-2025.
-
Občanský zákoník č. 89/2012 Sb. – § 504 (obchodní tajemství), § 2976 a násl., § 2985. Aktuální znění: 01-07-2025 (verze 17); posl. kontrola: 19-11-2025.
-
Autorský zákon č. 121/2000 Sb. – § 2, § 5 (autor = FO), § 39c–39d (TDM). Aktuální znění: 01-07-2025 (verze 26); posl. kontrola: 19-11-2025.
-
Antidiskriminační zákon č. 198/2009 Sb. – § 2 (základní pojmy). Aktuální znění: průběžné; posl. kontrola: 19-11-2025.
-
Zákoník práce č. 262/2006 Sb. – zásady rovného zacházení. Aktuální znění: 2025; posl. kontrola: 19-11-2025.
Krátká analogie z praxe: Stejně jako nikdy nevkládáte číslo své kreditky do cizího telefonu, nevkládejte obchodní tajemství a osobní data do neznámého AI formuláře bez smluv a pojistek. A co vyjde z AI, označte a zkontrolujte!