AI Act 2026 pro malé firmy v ČR: praktický checklist před srpnem
Evropský AI Act není téma jen pro korporace a výrobce modelů. Od srpna 2026 dopadne v praxi i na malé firmy v Česku, které používají nástroje pro nábor, zákaznickou podporu, marketing, monitoring zaměstnanců nebo práci s dokumenty. Nejde o to „mít AI“, ale poznat, kdy už firma vstupuje do režimu povinností: jako poskytovatel, nasazovatel, dovozce nebo distributor systému AI.
Pro menší podnik je největší riziko obvykle prozaičtější než vysoké pokuty: koupí službu, která vypadá jako běžná automatizace, ale ve skutečnosti spadá do regulovaného použití. Druhý častý problém je dokumentace. Pokud dnes ve firmě někdo používá generativní AI k práci s osobními údaji, rozhodování o lidech nebo k automatizaci komunikace, je vhodné začít s evidencí použití, smluvním prověřením dodavatelů a interními pravidly ještě před létem 2026.
Pokud si potřebujete nejprve ujasnit rozdíly mezi běžnými AI asistenty a firemními nástroji, hodí se přehled na AIVýběr. Pro orientaci v kategoriích můžete projít i rozcestník kategorií AI nástrojů, kde je dobře vidět, jak snadno se marketingový nebo HR software může překlopit do regulovaného režimu.
Co se od srpna 2026 reálně změní pro malé firmy
Srpen 2026 je pro většinu podniků důležitý proto, že se naplno začnou uplatňovat pravidla pro vysoce rizikové AI systémy a povinnosti napříč řetězcem. Malá firma přitom nemusí sama nic „trénovat“. Stačí, že nasadí hotový systém do oblasti, kde AI Act pracuje s vyšším rizikem: například při náboru, hodnocení zaměstnanců, přístupu ke vzdělávání, úvěrovém scoringu nebo biometrické identifikaci.
Co dělat: do konce 1. čtvrtletí 2026 si udělejte inventuru všech AI nástrojů podle konkrétního použití, ne podle názvu aplikace. U každého nástroje si zapište tři věci: k čemu se používá, nad kým nebo nad čím rozhoduje a zda pracuje s osobními údaji.
Pro koho: zejména pro firmy do 50 zaměstnanců, které mají AI rozptýlenou mezi marketingem, obchodem, HR a zákaznickou podporou bez centrálního vlastníka.
Kdy to nepoužívat: nestačí spoléhat na seznam aplikací v účetnictví nebo IT. Nástroje typu ChatGPT, Microsoft Copilot, Notion AI či různé CRM doplňky bývají placené kartou mimo standardní nákupní proces a v oficiálním seznamu se vůbec neobjeví.
Z hlediska rolí je zásadní rozlišit, zda jste jen uživatel, nebo také upravujete chování systému pro klienty či zaměstnance. Jakmile třeba agentura postaví klientovi vlastní chatbot na cizím modelu, už nemusí být jen „běžným uživatelem“. Povinnosti pak mohou být širší než u prostého interního nasazení.
Oficiální text a harmonogram je vhodné sledovat přímo u Evropské komise: https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai a v portálu EUR-Lex: https://eur-lex.europa.eu/.
První krok: rozdělit firemní AI do čtyř hromádek podle rizika
Bez rozdělení podle rizika se nedá rozhodnout, co stačí ponechat v lehkém režimu a co už vyžaduje přísnější správu. V malé firmě obvykle vzniknou čtyři skupiny.
1. Zakázaná použití
Sem mohou spadat případy, které AI Act přímo zakazuje nebo velmi přísně omezuje, typicky některé formy manipulačního použití nebo nepřípustného biometrického sledování. Pro většinu malých firem je to signál jednoduchý: vyhnout se nákupu nástrojů slibujících „tajnou analýzu emocí“, „skryté hodnocení kandidátů podle videa“ nebo „automatické odhalení nespolehlivosti zaměstnance z mimiky“.
Co dělat: do nákupních pravidel doplňte zákaz pořizovat nástroje s analýzou emocí, profilováním z biometrie a autonomním hodnocením lidí bez právního posouzení.
Pro koho: pro HR, bezpečnostní agentury, retail se kamerovými systémy a školy či vzdělávací firmy.
Kdy to nepoužívat: nepoužívejte marketingové sliby dodavatele jako důkaz souladu. U těchto funkcí je nutné vycházet z oficiální dokumentace produktu a právního posouzení konkrétního nasazení.
2. Vysoce rizikové systémy
To je z pohledu malých firem nejdůležitější skupina. Typickým příkladem je AI v náboru, třídění životopisů, doporučování kandidátů, hodnocení zaměstnanců nebo rozhodování o přístupu k zásadním službám.
Co dělat: u těchto nástrojů ověřte, zda dodavatel poskytuje technickou dokumentaci, návod k použití, popis omezení, požadavky na lidský dohled a informace pro vedení záznamů.
Pro koho: pro firmy s vlastním HR, agentury práce, call centra a společnosti používající scoring zaměstnanců nebo uchazečů.
Kdy to nepoužívat: nepoužívejte je pro plně automatické vyřazení kandidáta bez lidské revize, pokud výstup významně ovlivňuje jeho šanci získat práci.
3. Systémy s povinností transparentnosti
Tady bývají chatboti, generování textu, obrazu či hlasu a situace, kdy musí být uživatel zřetelně informován, že komunikuje s AI nebo že obsah byl uměle vytvořen.
Co dělat: doplňte označení chatbotů na webu, v zákaznické podpoře a u AI generovaného audiovizuálního obsahu. V interních šablonách e-mailů a ticketů nastavte větu, že první návrh odpovědi mohl být vytvořen za pomoci AI a podléhá kontrole pracovníka.
Pro koho: pro e-shopy, SaaS firmy, marketingové agentury a poskytovatele online podpory.
Kdy to nepoužívat: neskrývejte AI za údajně „živého operátora“, pokud zákazník ve skutečnosti komunikuje s automatem.
4. Běžné interní použití s nízkým dopadem
Sem často patří sumarizace schůzek, návrhy textů, překlady nebo hledání v interních dokumentech. I tady ale zůstává povinnost řešit bezpečnost, smlouvy a ochranu dat.
Co dělat: stanovte seznam povolených nástrojů a typů dat, která do nich smějí zaměstnanci vkládat.
Pro koho: pro účetní kanceláře, malé výrobní firmy, agentury a obchodní týmy.
Kdy to nepoužívat: nevkládejte do veřejných verzí AI služeb neanonymizované smlouvy, zdravotní údaje, mzdová data ani neveřejný zdrojový kód bez schváleného režimu.
Nákupní checklist: co chtít po dodavateli AI ještě před podpisem smlouvy
Malé firmy často chybují v tom, že koupí AI funkci jako běžný SaaS doplněk. U AI nástrojů ale nestačí ceník a DPA. Potřebujete vědět, jaké jsou limity systému, kdo je odpovědný za aktualizace, jak se řeší logování a zda dodavatel umožní lidský dohled.
Co dělat: pošlete dodavateli předem krátký dotazník o 10 bodech. Minimální obsah: účel použití, kategorie rizika, podmínky nasazení, omezení přesnosti, lidský dohled, logy, retenční doba dat, subdodavatelé, lokalita zpracování, postup při incidentu.
Pro koho: pro jednatele, nákupčí, IT správce a vedoucí HR, kteří objednávají nástroj jménem firmy.
Kdy to nepoužívat: nestačí akceptovat obecný marketingový dokument typu „Responsible AI principles“. Ten obvykle neřeší konkrétní povinnosti pro vaše nasazení.
U reálných služeb se vyplatí ověřit i obchodní podmínky a administrativní funkce. Například:
- OpenAI ChatGPT Team / Enterprise – řešte správu workspace, retenční pravidla, vypnutí trénování na datech zákazníka podle aktuálních podmínek a auditní nastavení. Orientační cena: ChatGPT Team kolem 25–30 USD za uživatele měsíčně při ročním závazku, dle aktuálního ceníku. Oficiální zdroj: https://openai.com/business/chatgpt-pricing/.
- Microsoft Copilot for Microsoft 365 – ověřte licenční předpoklady, řízení přístupů přes Microsoft 365, auditní logy a zásady Data Loss Prevention. Orientační cena: kolem 30 USD za uživatele měsíčně, dle regionu a smlouvy. Oficiální zdroj: https://www.microsoft.com/en-us/microsoft-365/copilot/business.
- Google Workspace s Gemini – důležité jsou administrační politiky, logování a režim práce s firemními daty v rámci Google Workspace. Orientační ceny se liší podle tarifu. Oficiální zdroj: https://workspace.google.com/.
Výsledek tohoto kroku má být praktický: u každého nástroje vědět, zda je vhodný pro interní psaní, zda smí pracovat s osobními údaji a zda se smí použít v HR nebo zákaznickém rozhodování. Pokud odpovědi nedostanete, je to samo o sobě varovný signál.
HR a nábor: oblast, kde malé firmy chybují nejčastěji
Právě nábor bývá první místo, kde se z pohodlné automatizace stane vysoce rizikové použití. Týká se to nástrojů pro screening CV, automatické skórování uchazečů, doporučování shortlistu nebo analýzu video pohovorů.
Co dělat: zaveďte pravidlo, že AI smí v HR pouze třídit administrativní duplicity, sumarizovat podklady a navrhovat otázky. Nesmí sama rozhodnout o vyřazení kandidáta bez přezkoumatelného lidského zásahu.
Pro koho: pro firmy, které najímají ve větších objemech, personální agentury a franchisy s více pobočkami.
Kdy to nepoužívat: nepoužívejte AI analýzu obličeje, hlasu nebo emocí při pohovoru, pokud dodavatel tvrdí, že z nich odvodí „motivaci“, „poctivost“ nebo „kulturní fit“. Takové funkce jsou regulatorně i důkazně velmi problematické.
Praktický scénář: malý e-shop nabírá skladníky a zákaznickou podporu. Používá ATS systém, který umí doporučit kandidáty podle minulých náborů. Pokud systém fakticky vytváří pořadí uchazečů a náborář se jím řídí, je třeba posoudit, zda nejde o vysoce rizikové nasazení. Bezpečnější nastavení je použít AI jen pro extrakci údajů z CV a tvorbu shrnutí, zatímco finální výběr kritérií a rozhodnutí zůstane na člověku s povinností zdůvodnění.
Výhodou je, že i bez drahého compliance projektu lze udělat tři levné kroky: napsat interní HR směrnici na 2–3 strany, zapnout logování práce náborářů v ATS a doplnit formulaci do informací pro uchazeče. Orientační externí právní revize takového základního nastavení se u menších kanceláří může pohybovat zhruba od 10 000 do 30 000 Kč podle rozsahu; jde o orientační údaj, nikoli pevný ceník.
Marketing, obsah a zákaznická podpora: hlavně transparentnost a ochrana dat
V marketingu a podpoře nebývá hlavním problémem vysoké riziko, ale kombinace tří věcí: klamání uživatele, práce s osobními údaji a nekontrolované generování chybných informací. To je přesně oblast, kde se dá většina rizik snížit jednoduchým procesem.
Co dělat: zaveďte povinnou kontrolu výstupů AI před publikací, pravidlo pro označování chatbotů a zákaz vkládání celých databází zákazníků do neschválených nástrojů.
Pro koho: pro e-shopy, B2B služby, agentury spravující kampaně a firmy s helpdeskem.
Kdy to nepoužívat: nepoužívejte veřejný chatbot k odpovědím na reklamace, vracení zboží nebo individuální smluvní podmínky bez pevně omezené znalostní báze a lidské eskalace.
Praktický scénář: firma nasadí chatbot na web a propojí ho s FAQ. To je rozumné, pokud je jasně označeno, že jde o automatizovaného asistenta, pokud uživatel snadno přepne na člověka a pokud odpovědi nezasahují do právních či finančních rozhodnutí. Naopak propojit chatbot přímo na interní dokumenty bez oprávnění a nechat ho improvizovat nad neveřejnými daty je častý recept na únik informací.
U generovaného obsahu řešte dvě roviny. První je pravdivost a odpovědnost za obchodní tvrzení. Druhá je autorskoprávní a smluvní čistota vstupů. U obrázků a videí navíc sledujte podmínky služby. Reálné nástroje jako Adobe Firefly, Midjourney nebo Canva AI mají odlišná pravidla komerčního využití, moderace a nakládání s výstupy; vždy vycházejte z aktuálních podmínek poskytovatele na oficiálním webu.
Pokud vybíráte nástroj pro obsahový tým, může být užitečné srovnání v přehledech na AIVýběr, například na hubu AI generátory textu, kde je dobře vidět, že mezi nástroji jsou velké rozdíly v jazykové kvalitě, administraci i firemním režimu.
Dokumentace, logy a interní směrnice: minimum, bez kterého to nepůjde
Malá firma nepotřebuje hned rozsáhlý governance program, ale bez základní dokumentace neprokáže, že AI používá řízeně. Z hlediska praxe stačí začít čtyřmi dokumenty, které lze připravit během několika týdnů.
Co dělat: připravte 1) registr AI nástrojů, 2) pravidla povolených dat, 3) odpovědnosti rolí a schvalování nových nástrojů, 4) postup pro incident a reklamaci chybného výstupu.
Pro koho: pro všechny firmy, které mají více než několik uživatelů AI a chtějí omezit „shadow AI“ mimo kontrolu IT a vedení.
Kdy to nepoužívat: nesepisujte obecnou směrnici opsanou z internetu bez vazby na konkrétní nástroje. Takový dokument nepomůže zaměstnancům rozhodnout, co smějí udělat zítra ráno v praxi.
V registru má být minimálně název nástroje, vlastník ve firmě, účel, typ vstupních dat, kategorie rizika, schválené použití, zakázané použití, dodavatel, smluvní podklad a datum poslední revize. U logů není nutné archivovat každý prompt, pokud to nedává smysl, ale potřebujete být schopni dohledat, kdo nástroj používal, pro jaký proces a kdo ověřil kritický výstup.
Rozumný standard pro menší podnik je čtvrtletní revize registru a jednorázové školení pro zaměstnance. Orientační cena základního interního workshopu vedeného externistou se na českém trhu může pohybovat přibližně mezi 15 000 a 50 000 Kč podle délky a přípravy; opět jde o orientační údaj.
Jak sladit AI Act s GDPR, kyberbezpečností a smlouvami
AI Act není náhradou za GDPR ani bezpečnostní pravidla. V malé firmě se tyto oblasti potkávají hlavně tam, kde zaměstnanci vkládají do AI osobní údaje, obchodní tajemství nebo dokumenty klientů. Častý omyl je myslet si, že když má služba evropský datový region, je vše vyřešeno. Není.
Co dělat: proveďte rychlé posouzení datových toků: jaká data do nástroje vstupují, kde jsou zpracována, kdo k nim má přístup a jak dlouho se uchovávají. Podle výsledku upravte DPA, přístupová práva a retenční nastavení.
Pro koho: pro firmy zpracovávající životopisy, zákaznické tikety, smlouvy, účetní podklady nebo citlivou interní dokumentaci.
Kdy to nepoužívat: nepovolujte „Bring Your Own AI“ pro osobní účty zaměstnanců, pokud firma neumí doložit, kam data odcházejí a za jakých podmínek se zpracovávají.
Praktický scénář: účetní kancelář chce používat generativní AI pro shrnutí smluv a vysvětlení fakturačních rozdílů. To dává smysl jen tehdy, pokud se používá schválený firemní účet, je nastaven omezený přístup, existuje smluvní rámec se zpracovatelem a citlivé údaje jsou před vložením minimalizovány nebo anonymizovány. V opačném případě je bezpečnější omezit AI jen na šablony a obecné dotazy bez klientských dat.
Vedle GDPR myslete i na bezpečnostní povinnosti podle sektoru a velikosti firmy. U nástrojů napojených na e-mail, cloudové úložiště, CRM nebo interní wiki je zásadní vícefaktorové ověření, role-based access control a audit administrativních změn. To není „právní nadstavba“, ale technický základ, bez kterého se firemní AI velmi rychle stane zdrojem incidentu.
Praktický plán po měsících: co stihnout do srpna 2026 bez chaosu
Malé firmy nepotřebují velký transformační projekt. Potřebují pořadí kroků. Níže je realistický plán pro podnik, který dnes používá několik AI nástrojů napříč odděleními.
Leden až březen 2026
- Sepsat registr všech AI nástrojů včetně neoficiálně používaných služeb.
- Rozdělit použití na nízké riziko, transparentnost, vysoce rizikové a zakázané či nevhodné scénáře.
- Zastavit nové nákupy bez schválení vlastníkem procesu.
Co dělat: jmenujte jednu odpovědnou osobu, typicky provozního manažera, IT manažera nebo DPO, která registr povede.
Pro koho: pro firmy od 10 zaměstnanců výše, kde už AI nepoužívá jen zakladatel.
Kdy to nepoužívat: neodkládejte inventuru na právníka; většinu seznamu musí dodat sama firma, ne externista.
Duben až květen 2026
- Prověřit dodavatele a doplnit chybějící smluvní a bezpečnostní informace.
- Vydat krátkou interní směrnici pro práci s AI a zakázané vstupy.
- U HR a zákaznické podpory upravit procesy tak, aby kritická rozhodnutí přezkoumával člověk.
Co dělat: připravte jednu stránku zakázaných použití a rozpošlete ji vedoucím týmů.
Pro koho: pro manažery oddělení, kteří rozhodují o konkrétních nástrojích a pracovních postupech.
Kdy to nepoužívat: nesnažte se řešit vše najednou. Začněte odděleními s nejvyšším dopadem na lidi a data.
Červen až červenec 2026
- Otestovat logování, eskalaci incidentů a způsob reklamace chybných výstupů.
- Školit zaměstnance na konkrétních firemních scénářích, ne obecně o „AI“.
- Doplnit transparentní označení chatbotů a AI generovaného obsahu tam, kde je to nutné.
Co dělat: proveďte jeden interní test: záměrně vložte do procesu chybný AI výstup a ověřte, kdo a kdy ho zachytí.
Pro koho: pro vedoucí provozu, supportu, HR a marketingu.
Kdy to nepoužívat: nenechávejte školení na poslední týden. U zaměstnanců musí být zřejmé, co se mění v jejich každodenní práci.
Limity: co AI Act nevyřeší a kde malé firmy často čekají příliš mnoho
Regulace sama o sobě nezajistí, že model nebude halucinovat, že text bude obchodně použitelný nebo že zaměstnanec nepoužije neschválený nástroj. AI Act nastavuje rámec odpovědnosti a podmínky použití, ale kvalitu procesu musíte dodat sami.
Co dělat: nastavte měřitelné limity pro použití AI: kde je povinná lidská kontrola, jaká chybovost je ještě přijatelná a které úkoly jsou mimo povolený rozsah.
Pro koho: pro firmy, které očekávají, že AI zrychlí práci, ale nechtějí nést nekontrolované reputační a právní riziko.
Kdy to nepoužívat: nepoužívejte generativní AI jako jediný zdroj faktických informací pro právní, daňové, zdravotní nebo personální rozhodnutí.
Další limit je rozpočtový. Menší podnik může mít pocit, že compliance bude drahá. Ve skutečnosti se dá většina základů zvládnout levněji než jeden větší incident: inventura nástrojů, jednoduchá směrnice, prověření tří klíčových dodavatelů a školení pro rizikové týmy. Nákladově je dražší chaos, kdy každý používá jiný nástroj na jiném účtu a firma nemá přehled o datech ani odpovědnosti.
FAQ
Musí malá firma v ČR kvůli AI Actu jmenovat zvláštního compliance manažera?
Obvykle ne. U menších podniků stačí určit konkrétní odpovědnou osobu a rozdělit role mezi vedení, IT, HR a právní podporu. Důležité je, aby někdo vedl registr nástrojů a schvaloval riziková nasazení.
Používáme ChatGPT jen na návrhy textů. Spadáme do vysokého rizika?
Samo o sobě ne. Rizikové je konkrétní použití. Pokud nástroj slouží jen k tvorbě návrhů textů a neovlivňuje rozhodování o lidech nebo přístupu k zásadním službám, obvykle půjde spíše o nízké riziko s důrazem na ochranu dat a kontrolu výstupu.
Je nutné označovat každý text vytvořený s pomocí AI?
Ne vždy. Povinnost transparentnosti závisí na typu použití. U chatbotů a některých syntetických výstupů je označení důležité, ale interní pracovní draft nebo text po zásadní redakční úpravě člověkem nemusí automaticky vyžadovat stejné označení. Rozhodující je kontext a to, zda by mohl být uživatel uveden v omyl.
Co když dodavatel odmítne poskytnout detailní dokumentaci?
Je to varovný signál, zejména u HR, scoringu nebo jiných citlivých procesů. U méně rizikových nástrojů lze zvolit omezený interní režim bez osobních údajů. U rizikového použití je bezpečnější hledat dodavatele, který doloží parametry, limity a podmínky nasazení.
Stačí nám GDPR dokumentace, nebo potřebujeme něco navíc?
Nestačí. GDPR řeší osobní údaje, zatímco AI Act cílí na použití AI systémů, transparentnost, lidský dohled, dokumentaci a další specifické povinnosti. Dokumenty se překrývají, ale nejsou zaměnitelné.
Hrozí malým firmám vysoké pokuty hned od srpna 2026?
Riziko sankcí existuje, ale v praxi bývá dříve vidět problém provozní a smluvní: špatně nastavený nábor, neoznačený chatbot, únik dat nebo nemožnost doložit, jak firma k rozhodnutí dospěla. Proto se vyplatí řešit hlavně procesy, evidenci a výběr dodavatelů.
Závěr
Pro malou firmu v Česku není nejdůležitější znát celý text AI Actu zpaměti. Důležité je udělat do srpna 2026 pět praktických věcí: sepsat používané nástroje, rozdělit je podle rizika, prověřit dodavatele, upravit procesy v HR a zákaznické podpoře a zavést krátká interní pravidla pro data a odpovědnost. Kdo to odkládá, obvykle naráží ne na složitost práva, ale na to, že ve firmě nikdo neví, co se vlastně používá.
Dobrá zpráva je, že většina potřebných kroků je zvládnutelná i bez velkého rozpočtu. Začněte tam, kde AI ovlivňuje lidi, peníze a citlivá data. Právě tam je přínos evidence, transparentnosti a lidské kontroly největší — a právě tam se malá firma nejrychleji vyhne drahým chybám.
Doporučený AI stack pro realizaci
Vyber si nástroje podle rozpočtu a úrovně automatizace. Níže je přímý přehled služeb pro realizaci projektu.
| Služba | Popis služby | Nabídka |
|---|---|---|
| NordVPN | VPN služba pro ochranu soukromí a bezpečné připojení. | Otevřít nabídku |
| Semrush | SEO a marketingová platforma pro analýzu a růst návštěvnosti. | Otevřít nabídku |
| Make | Pokročilá vizuální automatizace workflow a integrací. | Otevřít nabídku |
| Hostinger | Webhosting a domény pro rychlé spuštění webu. | Otevřít nabídku |
| Fiverr | Marketplace pro freelancery a externí specialisty. | Otevřít nabídku |
| Adobe | Kreativní nástroje pro grafiku, video a digitální obsah. | Otevřít nabídku |
| Canva | Online design nástroj pro grafiku, prezentace a sociální sítě. | Otevřít nabídku |
| Jasper | AI nástroj pro marketingové texty a obsahové kampaně. | Otevřít nabídku |
Poznámka: U uvedených služeb používáme affiliate odkazy. Pokud přes ně provedete nákup, můžeme získat provizi bez navýšení ceny pro vás.
Odkazy v článku
- OpenAI
- Notion AI
- Adobe
- https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai
- https://eur-lex.europa.eu/
- https://www.microsoft.com/en-us/microsoft-365/copilot/business
Zdroje ilustracnich obrazku
Vlastni ilustracni obrazek byl vytvoren pomoci OpenAI Images API.
Doporučení ke čtení
NordVPN v praxi: 20 konkrétních situací, kde chráníte data i soukromí
Případová studie: jak agentura zkrátila reporting z 6 hodin na 90 minut bez navýšení licencí
Případová studie: česká agentura zrychlila reporting o 60 % díky AI workflow
