GPAI — Povinnosti deployerů

Praktický průvodce pro každou organizaci, která používá AI nástroje obecného účelu.

Kdo je GPAI deployer?

Deployer je každá organizace, která používá AI systém obecného účelu (General-Purpose AI) v rámci své činnosti — pod vlastní odpovědností.

Příklady

Scénář	Role vaší firmy
Zaměstnanci používají ChatGPT pro přípravu emailů	Deployer
Vývojáři píší kód s GitHub Copilot	Deployer
Marketing generuje texty v Claude	Deployer
Zákaznický servis nasadil AI chatbot	Deployer
HR screening CVs přes AI nástroj	Deployer
Účetní používá Copilot v Excelu	Deployer

Deployer vs. Provider — klíčové rozlišení

Pokud vaši zaměstnanci používají jakýkoliv AI nástroj v práci, jste GPAI deployer. Nezáleží na tom, zda máte 5 nebo 500 zaměstnanců. Nezáleží na tom, zda AI platíte nebo používáte zdarma.

Timeline — Co platí a od kdy?

Datum	Co platí	Článek	Status
2.2.2025	AI literacy povinnost	Čl. 4	✅ JIŽ PLATÍ
2.2.2025	Zakázané praktiky	Čl. 5	✅ JIŽ PLATÍ
2.8.2025	GPAI pravidla, governance, sankce	Čl. 53–56	✅ JIŽ PLATÍ
2.8.2026	High-risk AI plná použitelnost	Čl. 6–49	⏳

Článek 26 — Povinnosti deployerů

Článek 26 nařízení EU 2024/1689 definuje osm klíčových povinností pro každého deployera AI systému. Níže je rozklad každé z nich s praktickým dopadem pro českou firmu.

(1) Technická a organizační opatření

Deployeři přijmou vhodná technická a organizační opatření, aby zajistili, že AI systémy používají v souladu s návodem k použití.

Co to znamená prakticky:

Přečtěte si Terms of Service a dokumentaci každého AI nástroje
Dodržujte limity a doporučení poskytovatele (acceptable use policy)
Nepoužívejte AI nástroje k účelům, pro které nejsou určeny
Vytvořte interní AI Acceptable Use Policy (AUP) definující povolené a zakázané použití

(2) Kompetentní osoby pro dohled

Deployeři zajistí, aby osoby odpovědné za dohled nad AI systémy měly dostatečnou AI literacy.

Co to znamená prakticky:

Určete konkrétní osoby odpovědné za AI v organizaci (nemusí být na plný úvazek)
Tyto osoby musí projít školením AI literacy (čl. 4)
Doporučeno: CTO/CISO + vedoucí oddělení, která AI aktivně používají
Dokumentujte kompetence a absolvovaná školení

(3) Relevantnost vstupních dat

Deployeři zajistí, aby vstupní data byla relevantní s ohledem na zamýšlený účel AI systému.

Co to znamená prakticky:

Neodesílejte do AI systémů data, která tam nepatří (osobní údaje, health data, financial data bez šifrování)
Definujte pravidla pro to, jaká data smí a nesmí do AI vstupovat
Zvláštní pozor na GDPR — osobní údaje ve promptech podléhají zpracování
Vytvořte klasifikaci dat: veřejná / interní / důvěrná / přísně důvěrná + pravidla pro AI

(4) Monitoring fungování AI

Deployeři sledují fungování AI systému na základě návodu k použití.

Co to znamená prakticky:

Pravidelně kontrolujte kvalitu AI výstupů (accuracy, hallucinations, bias)
Zaznamenávejte incidenty — kdy AI poskytlo špatný, zavádějící nebo škodlivý výstup
Nastavte proces pro eskalaci problémů (kdo řeší, jak rychle)
Doporučeno: čtvrtletní revize kvality AI výstupů

(5) Informační povinnost vůči zaměstnancům

Deployeři informují zaměstnance a jejich zástupce o nasazení AI systému na pracovišti.

Co to znamená prakticky:

Informujte zaměstnance, že v organizaci se používají AI nástroje
Sdělte, které nástroje to jsou a k čemu slouží
Pokud AI ovlivňuje rozhodování o zaměstnancích (hodnocení, plánování), informujte předem
Konzultujte s odbory / zástupci zaměstnanců (pokud existují)
Doporučeno: interní oznámení + FAQ dokument

(6) Uchování logů

Deployeři uchovávají logy automaticky generované AI systémem po dobu přiměřenou zamýšlenému účelu, nejméně však 6 měsíců.

Co to znamená prakticky:

Uchovávejte historii interakcí s AI (prompty + odpovědi) minimálně 6 měsíců
Enterprise licence (ChatGPT Enterprise, Claude for Business, Copilot for Microsoft 365) zpravidla logy uchovávají
Free tier a osobní účty typicky logy neuchovávají dostatečně — to je problém
Zvažte centralizovaný přístup přes enterprise licence místo individuálních účtů
Ujistěte se, že logy neobsahují osobní údaje, nebo řešte v souladu s GDPR

(7) DPIA povinnost

Před nasazením high-risk AI systému provede deployer posouzení vlivu na ochranu osobních údajů (DPIA) dle GDPR.

Co to znamená prakticky:

Pokud AI zpracovává osobní údaje ve velkém rozsahu, proveďte DPIA (čl. 35 GDPR)
Zvláště relevantní pro: AI v HR, zákaznickém servisu, marketingové personalizaci
Pro standardní GPAI use (interní asistence bez osobních údajů) DPIA typicky není nutná
V případě pochybností konzultujte s DPO / GDPR specialistou

(8) Spolupráce s dozorovými orgány

Deployeři spolupracují s příslušnými dozorovými orgány na jejich žádost.

Co to znamená prakticky:

Na vyžádání poskytnete informace o svém AI nasazení
Uchovávejte dokumentaci tak, aby byla předložitelná (inventura, AUP, logy, školení)
V ČR dozorový orgán pro AI Act zatím není formálně ustanoven — očekává se, že jím bude Úřad pro umělou inteligenci (při ČTÚ nebo jako samostatný subjekt)
Připravte se na to, že orgán může požádat o přístup k logům, dokumentaci, smlouvám

Článek 50 — Transparenční povinnosti

Článek 50 doplňuje povinnosti deployerů o transparentnost vůči osobám, které s AI interagují.

(1) Informování o interakci s AI

Pokud vaši zákazníci nebo uživatelé komunikují s AI systémem, musí být informováni, že interagují s AI, nikoliv s člověkem.

Kanál	Správná implementace	Špatně
Chatbot na webu	”Komunikujete s AI asistentem. Pro spojení s člověkem napište ‘operátor’.”	Žádné označení
Voicebot na lince	”Tento hovor zpracovává AI asistent společnosti XY.”	Přehrát AI hlas bez upozornění
Email	”Tento email byl připraven s asistencí AI a zkontrolován [jméno].”	Odeslat AI odpověď jako by ji psal člověk

(2) Označování AI-generovaného obsahu

AI-generované texty, obrázky, audio a video určené veřejnosti musí být jako takové označeny.

Příklady správného označení:

MARKETING:
"Ilustrace vytvořena pomocí AI" (u AI-generovaného obrázku)

BLOG POST:
"Tento článek byl vytvořen s asistencí AI a editován redakcí."

SOCIÁLNÍ SÍTĚ:
Použijte dostupné platformové nástroje pro označení AI obsahu.

(3) Automatizované rozhodování

Pokud AI systém provádí rozhodnutí ovlivňující fyzické osoby, musí být tyto osoby informovány.

Relevantní scénáře pro české firmy:

AI-powered zákaznické třídicí systémy (routing, prioritizace)
Automatické hodnocení dodavatelů
AI scoring v rámci obchodních procesů

(4) Výjimky

Transparenční povinnost se nevztahuje na:

AI použité v kontextu umělecké tvorby, kde je to zřejmé z kontextu
Satiru a parodii využívající AI
AI nástroje pro interní analytiku bez dopadu na práva třetích osob

DPA požadavky — Smlouvy s poskytovateli AI

Používání GPAI nástrojů vyžaduje smluvní zajištění ochrany dat, zejména pokud do AI vstupují jakákoliv firemní nebo osobní data.

Přehled poskytovatelů

Poskytovatel	Produkt	DPA / smluvní dokument	Kde najdete
OpenAI	ChatGPT, GPT API	DPA, Enterprise Agreement	platform.openai.com/policies
Anthropic	Claude, API	Terms of Service, Commercial Agreement	anthropic.com/terms
Microsoft	Copilot (M365, GitHub)	DPA (součást M365 Enterprise Agreement)	Microsoft Trust Center
Google	Gemini, Vertex AI	Cloud DPA, Enterprise Agreement	cloud.google.com/terms
GitHub	Copilot	GitHub Customer Agreement + DPA	github.com/customer-terms

Co musí DPA obsahovat

Oblast	Požadavek	Proč je to důležité
Účel zpracování	Jasná definice, k čemu poskytovatel data zpracovává	GDPR čl. 28
Bezpečnostní opatření	Šifrování, přístupové kontroly, incident response	Ochrana firemních dat
Geografické omezení	Kde jsou data zpracovávána (EU / US / jiné)	GDPR transfer rules, Schrems II
Právo na audit	Možnost ověřit dodržování DPA	Compliance dokazatelnost
Sub-zpracovatelé	Seznam a schvalovací proces sub-procesorů	Kontrola nad data flow
Incident reporting	Lhůty a postup hlášení bezpečnostních incidentů	GDPR čl. 33 — 72 hodin
Retence a výmaz	Jak dlouho data uchovávají a jak mažou	Right to erasure
Trénink modelu	Zda se vaše data používají k trénování modelu	Klíčové — Enterprise licence typicky ne, free tier ano

Praktické kroky — Implementační checklist

Fáze 1: Inventura (Týden 1)

Zmapovat všechny AI nástroje používané v organizaci (formální i neformální)
Identifikovat kdo je používá, k jakému účelu a jak často
Klasifikovat použití: interní asistence / zákaznický kontakt / rozhodování o osobách
Zkontrolovat existující DPA a smlouvy s poskytovateli AI
Identifikovat Shadow AI — nástroje používané bez vědomí vedení
Zdokumentovat výsledky do AI inventáře

Fáze 2: Dokumentace (Týden 2)

Vytvořit AI Acceptable Use Policy (AUP) — co je povoleno, co zakázáno
Definovat schvalovací proces pro zavedení nových AI nástrojů
Nastavit logging a archivaci AI interakcí (min. 6 měsíců dle čl. 26(6))
Připravit oznámení pro zaměstnance o nasazení AI (čl. 26(5))
Definovat klasifikaci dat ve vztahu k AI (co smí/nesmí do promptu)
Zdokumentovat odpovědné osoby za AI dohled (čl. 26(2))

Fáze 3: Školení (Týden 3)

AI literacy školení pro všechny zaměstnance (čl. 4) — co je AI, jak funguje, jaká jsou rizika
Specifické školení pro aktivní uživatele AI nástrojů — prompt engineering, bezpečnost, limity
Školení pro management — governance, odpovědnost, compliance
Dokumentace absolvování školení (prezenční listina, certifikát)
Ověření znalostí (quiz, test, praktická ukázka)
Plán opakování školení (min. 1x ročně, při změně nástrojů)

Fáze 4: Smluvní zajištění (Týden 4)

Uzavřít DPA se všemi poskytovateli AI, kde DPA chybí
Přejít z free tier na enterprise licence (kde je to relevantní)
Zkontrolovat, zda poskytovatelé nepoužívají data k tréninku modelu
Ověřit geografické umístění zpracování dat (EU preference)
Zkontrolovat sub-zpracovatele u každého poskytovatele

Fáze 5: Monitoring (Průběžně)

Nastavit pravidelnou revizi AI inventáře (čtvrtletně)
Sledovat incidenty a near-misses (špatné AI výstupy, úniky dat)
Aktualizovat AUP podle nových nástrojů a regulací
Provádět audity dodržování AUP (namátkové kontroly)
Monitorovat změny v podmínkách poskytovatelů (ToS updates)
Připravit podklady pro případný dohledový audit

GPAI vs. High-Risk — Kdy potřebujete více

Většina českých firem je GPAI deployer — používá obecně-účelové AI nástroje k podpoře své činnosti. Povinnosti jsou zvládnutelné. Ale pokud AI používáte k rozhodování o lidech, vstupujete do high-risk režimu s podstatně přísnějšími požadavky.

Srovnání povinností

Povinnost	Minimální riziko	GPAI Deployer	High-Risk
AI literacy (čl. 4)	✅	✅	✅
AUP / interní politika	Doporučeno	✅	✅
DPA s poskytovatelem	Doporučeno	✅	✅
Logging (6 měsíců)	Ne	✅	✅ (5 let)
Informování zaměstnanců	Doporučeno	✅	✅
Transparentnost (čl. 50)	Ne	✅ (pokud user-facing)	✅
DPIA	Ne	Při zpracování os. údajů	✅
Risk Management System	Ne	Ne	✅
Conformity Assessment	Ne	Ne	✅
FRIA	Ne	Ne	✅
EU registrace	Ne	Ne	✅

Nejčastější chyby

1. “GPAI nás netýká, nemáme vlastní AI”

Nemáte vlastní AI model? To je irelevantní. Pokud zaměstnanci používají ChatGPT, Copilot nebo Claude — a to i na free tier, i na vlastním telefonu pro pracovní účely — jste deployer. Používání ≠ vývoj. AI Act reguluje obojí.

2. “Máme NDA, stačí to”

NDA chrání důvěrnost informací mezi dvěma stranami. NDA ≠ DPA. Data Processing Agreement (DPA) je specifický smluvní dokument vyžadovaný GDPR (čl. 28), který řeší zpracování osobních údajů. Potřebujete obojí.

3. “Zakážeme AI a máme pokoj”

Zákaz AI nevyřeší problém — vytvoří nový. Zaměstnanci budou AI používat i tak, jen skrytě (Shadow AI). Shadow AI je horší než regulované AI, protože nemáte přehled o tom, jaká data do AI vstupují. Lepší strategie: regulovat, školit a monitorovat.

4. “To řeší IT”

AI governance není IT projekt. Týká se celé organizace — HR (školení, informování zaměstnanců), Legal (smlouvy, compliance), Management (strategie, odpovědnost), Marketing (transparentnost obsahu). IT zajišťuje technickou implementaci, ale vlastníkem je vedení firmy.

5. “Jsme malá firma, na nás se to nevztahuje”

AI Act nemá výjimku pro malé firmy v oblasti deployerských povinností. Čl. 4 (AI literacy) a čl. 26 (deployer obligations) se vztahují na všechny organizace bez ohledu na velikost. SME mají určité úlevy v oblasti high-risk povinností, ale základní deployer povinnosti platí univerzálně.

6. “Free ChatGPT stačí pro firemní použití”

Free tier u většiny GPAI nástrojů používá vaše data k trénování modelu, neposkytuje DPA, nemá enterprise-grade logging a neumožňuje centrální správu. Pro firemní nasazení potřebujete enterprise nebo business licenci, která tyto problémy řeší.

Sankce za nedodržení

Typ porušení	Maximální pokuta
Porušení deployer povinností (čl. 26)	až 15 mil. EUR nebo 3 % globálního obratu
Porušení transparentnosti (čl. 50)	až 15 mil. EUR nebo 3 % globálního obratu
Nesplnění AI literacy (čl. 4)	až 10 mil. EUR nebo 2 % globálního obratu
Poskytnutí nepravdivých informací orgánu	až 7,5 mil. EUR nebo 1 % globálního obratu

Příklad: Firma s obratem 50 mil. EUR — maximální pokuta za porušení čl. 26 je 1,5 mil. EUR (3 % obratu).

Další kroky

✅ Pochopili jste deployer povinnosti
→ Proveďte AI inventuru
→ Klasifikujte rizika
→ Projděte compliance checklist

Zdroje

AI Act full text (EUR-Lex) — nařízení EU 2024/1689
Článek 26 — Povinnosti deployerů
Článek 50 — Transparenční povinnosti
AI Act Article Index
EDPB Guidelines on AI