Řízení AI

Verze: 1.0 | Efektivní od: 1. ledna 2026

1. Účel

Tato směrnice definuje, jak organizace řídí vývoj, nasazení a používání AI systémů v souladu s AI Act (EU 2024/1689).

2. Scope

Směrnice se vztahuje na:

Všechny AI/ML systémy vyvíjené interně
Third-party AI (Claude, GPT, atd.)
AI embedded v produktech
AI používané v interních procesech

3. AI Klasifikace & Risk Assessment

3.1 Inventura AI systémů

Každý AI systém musí být zdokumentován:

Pole	Popis
AI System ID	Unikátní identifikátor
Název	Popisný název
Typ	Internal / Third-party / Embedded
Účel	Business use case
Zodpovědná osoba	Kdo je zodpovědný
Risk Level	Prohibited / High / Medium / Low
Status	Development / Testing / Production / Retired

3.2 Risk Klasifikace

Step 1: Identifikujte AI systém

Step 2: Klasifikujte dle rizika:

Kategorie	Příklady	Akce
Zakázáno	Real-time biometric ID, social scoring, manipulation	STOP – nepoužívat
High-Risk	Credit scoring, employment, health, education	Full compliance
Medium-Risk	Chatbots, deepfakes, emotion recognition	Transparentnost
Low-Risk	Spam filters, analytics, recommendations	Minimální

Step 3: Dokumentujte rozhodnutí

4. High-Risk AI – Povinné kontroly

4.1 Před nasazením (Pre-deployment)

Kontrola	Popis
Design Audit	Je AI nutná? Existuje alternativa?
Data Assessment	Training data quality, bias check
DPIA	Data Protection Impact Assessment
Technical Documentation	Model card, limitations, testing
Human Oversight Design	Appeal process, override capability

4.2 Po nasazení (Post-deployment)

Kontrola	Frekvence
Performance Monitoring	Continuous
Bias Testing	Měsíčně
Accuracy Validation	Čtvrtletně
Incident Review	Při incidentu
Re-certification	Ročně

5. GPAI (Third-Party AI)

5.1 Povolené použití

Vendor	Povolené use cases	Omezení
Claude (Anthropic)	Content, analysis, coding	No PII without encryption
GPT-4 (OpenAI)	Content, analysis, coding	No PII without encryption
Perplexity	Research, search	No confidential data

5.2 Mandatory Controls

Před použitím GPAI:

5.3 Zakázané praktiky s GPAI

❌ Odesílání PII (jména, emaily, čísla)
❌ Odesílání zdravotních dat
❌ Odesílání finančních dat
❌ Odesílání confidential business data
❌ Automatizované rozhodování bez human review

6. AI Development Lifecycle

6.1 Fáze vývoje

7. AI Incident Management

7.1 Definice AI incidentu

Typ	Příklad	Severity
Bias	Diskriminační výstupy	High
Hallucination	Fakticky nesprávné informace	Medium
Privacy breach	PII v outputs	Critical
Malfunction	Systém nefunguje	Medium
Security	Adversarial attack	Critical

7.2 Response Process

8. User Transparency

8.1 Povinná upozornění

Situace	Upozornění
Chatbot	”Komunikujete s AI asistentem”
AI recommendation	”Tento obsah doporučuje AI”
AI decision	”Toto rozhodnutí bylo podpořeno AI”
Deepfake/synthetic	”Tento obsah byl vytvořen AI”

8.2 Right to Explanation

Pokud AI ovlivňuje rozhodnutí o osobě:

Subjekt má právo vědět, že AI bylo použito
Subjekt má právo na vysvětlení faktorů
Subjekt má právo na human review

9. Documentation Requirements

9.1 Model Card (pro každý AI systém)

Sekce	Obsah
Overview	Účel, owner, status
Training Data	Zdroje, size, preprocessing
Architecture	Model type, parameters
Performance	Accuracy, limitations
Fairness	Bias testing results
Limitations	Known issues, edge cases
Intended Use	Approved use cases
Prohibited Use	What NOT to use it for

9.2 Retention

Dokument	Retention
Model Card	Lifetime of model + 5 let
Training Data Info	Lifetime of model + 5 let
Testing Results	5 let
Incident Reports	5 let
Audit Logs	5 let

10. Training & Awareness

Role	Školení	Frekvence
All employees	AI basics, acceptable use	Ročně
Data Science	Bias testing, fairness	Čtvrtletně
Product	AI transparency, UX	Pololetně
Legal	AI Act requirements	Ročně
Leadership	AI governance, risk	Ročně

11. Policy Review

Čtvrtletně: Review AI inventory, incidents
Pololetně: Update dle regulatory changes
Ročně: Full policy review + board approval

Příští revize: Q2 2026