AI Act v praxi: co se v roce 2026 mění pro evropské firmy

Evropský AI Act se v debatách často popisuje jako „první komplexní regulace umělé inteligence na světě“. Pro firmy je ale důležitější něco jiného: v roce 2026 se z obecného právního rámce stává sada konkrétních povinností, které dopadnou na nákup, vývoj, nasazení i správu AI systémů. Nařízení vstoupilo v platnost 1. srpna 2024, část pravidel se začala používat už 2. února 2025 a plná použitelnost většiny režimu přichází 2. srpna 2026. Výjimku mají jen některé vysoce rizikové systémy zabudované do regulovaných produktů, u nichž běží delší přechodné období do 2. srpna 2027.

Pro vedení firem to znamená jednoduchou změnu perspektivy. AI Act už není téma pro právní oddělení „na později“, ale pro management, compliance, IT, bezpečnost i HR současně. Navíc přichází v době, kdy používání AI ve firmách rychle roste. OECD uvádí, že v roce 2025 používalo AI 20,2 % firem v zemích, kde jsou data k dispozici, zatímco v roce 2024 to bylo 14,2 % a v roce 2023 jen 8,7 %. Regulace tedy nepřichází do prázdna, ale do prostředí, kde se AI už stala běžnou součástí provozu.

První důležitá praktická věc je pochopit, že AI Act neřeší všechny AI systémy stejně. Logika nařízení je založena na riziku. Některé praktiky jsou zakázané, některé systémy spadají do režimu vysokého rizika, jiných se týkají hlavně požadavky na transparentnost a u obecně použitelných modelů, tedy GPAI, vzniká zvláštní sada povinností. Evropská komise už v únoru 2025 vydala výkladové pokyny k zakázaným praktikám a uvedla příklady jako škodlivou manipulaci, social scoring nebo některé formy biometrické identifikace v reálném čase.

Pro firmy je to důležité hlavně proto, že nestačí vědět, že „nějakou AI používají“; musí vědět, do jaké regulatorní kategorie jejich použití spadá.

Z pohledu roku 2026 se dají změny rozdělit do tří vrstev. První vrstva už fakticky běží. Od 2. února 2025 se používají pravidla pro zakázané AI praktiky a také povinnost přijmout opatření k dostatečné AI gramotnosti zaměstnanců a dalších osob, které s AI systémy ve firmě pracují. Evropská komise v Q&A výslovně uvádí, že nejde o povinnost mít certifikát ani povinně zřídit „AI officera“, ale organizace mají být schopné doložit, že lidé, kteří AI používají nebo spravují, rozumějí jejím možnostem, rizikům a správnému použití. Pouhé poslat zaměstnancům návod často nemusí stačit.

To je pro firmy možná méně nápadná, ale velmi podstatná změna. AI gramotnost není jen školení o promptování. V evropském pojetí zahrnuje schopnost rozumět tomu, kde systém může selhat, jak funguje lidský dohled, jaká data do něj smí zaměstnanec zadávat a jaké dopady může mít jeho použití na zákazníka nebo zaměstnance. Právě tady se AI Act protíná s bezpečností, interními politikami i ochranou osobních údajů.

Druhá vrstva se týká modelů GPAI, tedy obecných modelů, na nichž stojí dnešní generativní AI. Povinnosti pro poskytovatele těchto modelů vstoupily do použitelnosti 2. srpna 2025 a od 2. srpna 2026 začne Komise jejich dodržování přímo vymáhat, včetně pokut. Z pohledu běžné firmy je důležité, že i když sama model nevyvíjí, často staví své nástroje, asistenty nebo interní workflow právě na těchto externích modelech.

To zvyšuje význam smluvních vztahů s dodavateli, dokumentace, znalosti původu modelu a jasného rozdělení odpovědností v dodavatelském řetězci.

Třetí vrstva dopadá od 2. srpna 2026 na transparentnost AI generovaného obsahu. Evropská komise v prosinci 2025 zveřejnila první návrh kodexu k označování a značkování AI generovaného či manipulovaného obsahu. Současně připravuje výklad, který má vyjasnit rozsah povinností podle článku 50. Prakticky to znamená, že firmy, které profesionálně používají generativní AI pro tvorbu obsahu, budou muset věnovat větší pozornost označování deepfaků a některých textů vytvářených AI ve věcech veřejného zájmu.

Téma, které bylo dosud spíše reputační, se tak posouvá do oblasti formální compliance.

Nejčastější omyl firem je představa, že AI Act je problém pouze pro vývojáře „vysokorizikové AI“. Ve skutečnosti se v roce 2026 mění hlavně požadavky na řízení organizace. Firma musí vědět, jaké AI používá, kdo je poskytovatel a kdo nasazující subjekt, jaká data do systémů tečou, kde vzniká rozhodování s dopadem na lidi a kdo nese odpovědnost za dohled.

Jinými slovy: rozhodující už není jen to, zda máte licenci na nástroj, ale zda máte mapu jeho použití a pravidla jeho provozu. Tento posun je důležitý zejména pro personální oblast, marketing, zákaznickou péči, finanční služby nebo zdravotnictví, kde AI může přímo ovlivňovat práva, příležitosti nebo bezpečnost jednotlivců.

V českém kontextu je důležité, že gestorem AI Actu bylo určeno Ministerstvo průmyslu a obchodu a na podzim 2025 ministerstvo oznámilo přípravu minimalistického návrhu českého zákona k implementaci evropského rámce. Jinými slovy, domácí institucionální architektura se teprve dotváří, ale firmy by neměly čekat, až bude vše detailně „dovyjasněno“ na národní úrovni.

Evropské termíny běží bez ohledu na to, zda je podnik interně připraven.

Zajímavý je i další rozměr: v roce 2025 Komise navrhla v balíčku Digital Simplification určité úpravy implementace AI Actu, aby byl režim pro podniky srozumitelnější a praktičtější. Sama Komise například uvádí návrh na úpravu časování některých pravidel pro high-risk systémy a v dokumentech k AI literacy navrhuje přesun části obecné podpory AI gramotnosti více na členské státy a Komisi.

Současně ale platí podstatná věc: jde o návrhy, nikoli o signál, že firmy mohou přípravu odložit. Naopak, rok 2026 je obdobím, kdy se ukáže rozdíl mezi organizacemi, které mají AI governance jako běžnou součást řízení, a těmi, které AI pořizovaly spíše živelně.

Pro podniky tedy není nejrozumnější reakcí hledat univerzální „checklist pro AI Act“. Přínosnější je rozdělit si téma do čtyř praktických otázek. Kde ve firmě AI skutečně používáme? Kdo za ni nese odpovědnost? Jaká rizika z toho vznikají pro lidi, data a rozhodování? A máme k tomu dokumentaci, školení a dohled?

Firmy, které si tyto otázky zodpoví včas, pravděpodobně zjistí, že AI Act není primárně zákaz používání AI. Je to spíš tlak na dospělejší správu technologie, která se už mezitím stala součástí každodenního provozu.

Rok 2026 nepřináší jednu velkou změnu, ale okamžik, kdy se několik dosud oddělených vrstev AI regulace propojí do praxe. Už dnes platí zákaz některých AI praktik a povinnost rozvíjet AI gramotnost. Od 2. srpna 2026 se přidává hlavní použitelnost AI Actu, transparentnost AI generovaného obsahu a tvrdší vymáhání pravidel pro poskytovatele GPAI modelů. Pro evropské firmy z toho plyne jednoduchý závěr: nejde jen o právní soulad, ale o schopnost řídit AI jako standardní součást podnikových procesů. Kdo si včas udělá pořádek v rolích, datech, dokumentaci a školení, bude mít výrazně menší problém než ten, kdo čeká na „poslední přesné metodické stanovisko“.