Zakázané praktiky AI podle EU AI Actu: na co si dát pozor

Zakázané praktiky AI podle EU AI Actu: na co si dát pozor — níže praktický pohled pro české firmy.

Co je zakázáno

Od 2. února 2025 platí zákaz praktik s „nepřijatelným rizikem“ (např. manipulativní techniky, sociální skóring). Akt o umělé inteligenci (Nařízení (EU) 2024/1689, EU AI Act) je první komplexní právní rámec EU pro AI. Je přímo použitelný ve všech členských státech a vstoupil v platnost 1. srpna 2024 — povinnosti náběhové. Není pravda, že „žádný zákon o AI neexistuje“ (existuje, ten evropský), ani že existuje samostatný „český AI Act“ (závazná pravidla jsou na úrovni EU; Česko je dozoruje a implementuje).

Sankce

Za zakázané praktiky hrozí pokuty až 35 mil. € nebo 7 % celosvětového obratu — nejvyšší v celém AI Actu. Časová osa AI Actu: zakázané praktiky a povinnost AI gramotnosti platí od 2. února 2025; pravidla pro obecné modely AI (GPAI) od 2. srpna 2025; hlavní režim vysoce rizikových systémů (Příloha III) měl původně platit od 2. srpna 2026, ale tzv. Digital Omnibus jej posunul na 2. prosince 2027; systémy vestavěné do regulovaných produktů od 2. srpna 2028. Zákazy a GPAI termíny se NEodsouvají.

Co s tím

Většina firemních nasazení se zakázaných praktik netýká. Většina firemních nasazení AI (interní asistenti, automatizace, vyhledávání nad firemními daty / RAG) NENÍ vysoce riziková ve smyslu AI Actu — hlavní povinností je soulad s GDPR a transparence, ne těžký high-risk režim. Realistické rámování: nejde o „regulace vás zničí“, ale „víme přesně, co platí a od kdy“. Pro jistotu zaveďte interní směrnici pro AI.

Suverenita a rezidence dat

V Česku neexistuje plnohodnotný region žádného z hyperscalerů: nejbližší jsou AWS eu-central-1 (Frankfurt), Microsoft Azure Germany West Central (Frankfurt) nebo Poland Central (Varšava) a Google Cloud europe-west3 (Frankfurt) či europe-central2 (Varšava). Vzdálenost je malá (Praha–Frankfurt ~400 km), takže problém suverenity není o latenci, ale o jurisdikci. US CLOUD Act (2018) a FISA Section 702 umožňují americkým orgánům vynutit u poskytovatelů kontrolovaných z USA vydání dat uložených kdekoli na světě — jurisdikce se řídí vlastnictvím firmy, ne umístěním serveru. Region „v EU“ tedy zajistí datovou rezidenci a GDPR, ale neznamená „mimo americkou jurisdikci“; to potvrzuje i rozsudek Schrems II a neřeší to ani EU-US Data Privacy Framework. Kam ukládat data pro AI — EU region (vlastní účet), čeští/EU poskytovatelé, on-premise, nebo lokální inference.

Protože osFoundry lze provozovat ve vlastní infrastruktuře a připojit evropské či open-weight modely, může běžet ve vašem vlastním účtu v EU regionu nebo on-premise — cesta k rezidenci a suverenitě dat, ne „krabice“ ze zahraničí. (Poctivě: osFoundry má řízený EU region, ale NEMÁ řízený český region; pro data v ČR pod českou jurisdikcí je cesta self-host ve vlastní infrastruktuře nebo u českého poskytovatele, případně local-first.)

Nezávislost a poctivost

dgm je nezávislý integrační partner (není spojen s osFoundry / OS LLC) a není právní ani daňový poradce. dgm zatím nemá dokončené zákaznické integrace, takže níže uvedené scénáře jsou popsány jako typické nebo možné, ne jako realizované projekty.

Toto není právní ani daňové poradenství: pravidla, sazby a termíny se často mění — před rozhodnutím je ověřte u oficiálních zdrojů (ÚOOÚ, MPO, API, CzechInvest, Finanční správa, ČNB).

Závěr

Kontaktujte dgm a proberte svůj scénář a návrh architektury.