Oblasti a scope

Průvodce pro určení, které EU regulace se vztahují na vaši organizaci.

---

Rychlý test

Otázka 1: Používáte AI systémy?

Používáte nebo vyvíjíte AI/ML systémy?

Odpověď	Výsledek
ANO — Vyvíjíte vlastní AI	AI Act se vás týká — Provider povinnosti
ANO — Používáte third-party AI (Claude, GPT)	AI Act se vás týká — Deployer povinnosti
ANO — Prodáváte AI řešení	AI Act se vás týká — Distributor povinnosti
NE	AI Act se vás netýká (ale sledujte vývoj)

Otázka 2: Poskytujete kritické služby?

Jste v některém z těchto sektorů?

Sektor	NIS2 kategorie
Cloud computing, DNS, data centra	Essential
Bankovnictví, pojišťovnictví	Essential
Zdravotnictví, nemocnice	Essential
Energie, doprava	Essential
Veřejná správa	Essential
Online marketplace, vyhledávače	Important
Výroba (stroje, elektronika, potraviny)	Important
Poštovní služby, odpady	Important
Žádný z výše	Pravděpodobně mimo scope (ověřte s právníkem dle velikosti)

Otázka 3: Zpracováváte osobní údaje?

Zpracováváte data o fyzických osobách (jména, emaily, IP, cookies…)?

Odpověď	Výsledek
ANO — Zákazníci	GDPR se vás týká — musíte mít právní základ
ANO — Zaměstnanci	GDPR se vás týká — musíte mít právní základ
ANO — Uživatelé webu	GDPR se vás týká — cookie consent, privacy policy
ANO — B2B kontakty	GDPR se vás týká — legitimate interest (ale opatrně)
NE	GDPR se vás netýká (velmi vzácné)

---

AI Act Scope

Kdo spadá pod AI Act?

Role	Definice	Příklad	Povinnosti
Provider	Vyvíjí/trénuje AI	Vlastní ML modely	Nejvyšší
Deployer	Nasazuje AI	Používá Claude v produktu	Střední
Importer	Dováží AI z non-EU	US AI systém v EU	Střední
Distributor	Distribuuje AI	Reselling AI	Nižší

Klasifikace rizik

Rozhodovací strom AI Act

Krok 1: Je váš AI systém v seznamu zakázaných praktik (Art. 5)?

Odpověď	Klasifikace	Příklady
ANO	ZAKÁZÁNO — STOP, nepoužívat	Real-time biometric ID bez consent, Social scoring, Emotion recognition dětí, Subliminal manipulation

Krok 2: Je váš AI systém v Annex III (high-risk oblasti)?

Odpověď	Klasifikace	Příklady
ANO	HIGH-RISK — Plné povinnosti	Credit scoring, Employment/HR decisions, Health diagnostics, Education access, Law enforcement, Essential services access

Krok 3: Interaguje váš AI přímo s uživateli?

Odpověď	Klasifikace	Příklady
ANO	MEDIUM-RISK — Transparentnost	Chatboty, Generativní AI, Deepfakes
NE	LOW-RISK — Minimální povinnosti	Spam filtry, Interní analytics, Recommendation (bez dopadu na práva)

---

NIS2 Scope

Kritéria pro určení scope

Kritérium	Essential	Important	Out of Scope
Sektor	Annex I	Annex II	Ostatní
Velikost	>250 zaměstnanců NEBO	>50 zaměstnanců NEBO	<50 zaměstnanců A
Obrat	>€50M	>€10M	<€10M

Annex I - Essential Entities (vyšší povinnosti)

Sektor	Příklady
Energie	Elektřina, plyn, ropa, vodík, district heating
Doprava	Letecká, železniční, vodní, silniční
Bankovnictví	Úvěrové instituce
Finanční trhy	Burzy, clearing houses
Zdravotnictví	Nemocnice, laboratoře, farmacie, výrobci med. prostředků
Pitná voda	Dodavatelé pitné vody
Odpadní vody	Zpracování odpadních vod
Digitální infrastruktura	DNS, TLD, cloud computing, data centra, CDN
ICT služby B2B	Managed services, security services
Veřejná správa	Ústřední orgány, regionální (nad threshold)
Vesmír	Satelitní operátoři

Annex II - Important Entities (nižší povinnosti)

Sektor	Příklady
Poštovní služby	Kurýři, poštovní operátoři
Odpady	Zpracování odpadu
Chemie	Výroba a distribuce chemikálií
Potraviny	Výroba a distribuce potravin
Výroba	Zdravotnické prostředky, počítače, elektronika, stroje, motorová vozidla
Digitální služby	Online marketplace, search engines, social networks
Výzkum	Výzkumné organizace

NIS2 Decision Tree

Rozhodovací strom NIS2

Krok 1: Jste v sektoru Annex I nebo Annex II?

• NE — Pravděpodobně OUT OF SCOPE (ale ověřte supply chain requirements)

Krok 2: Máte >250 zaměstnanců NEBO >50M EUR obrat?

Odpověď	Annex I	Annex II
ANO	ESSENTIAL ENTITY (vyšší povinnosti)	IMPORTANT ENTITY (nižší povinnosti)

Krok 3: Máte >50 zaměstnanců NEBO >10M EUR obrat?

Odpověď	Annex I	Annex II
ANO	ESSENTIAL ENTITY	IMPORTANT ENTITY
NE	Pravděpodobně OUT OF SCOPE (některé výjimky — viz právník)	Pravděpodobně OUT OF SCOPE (některé výjimky — viz právník)

---

GDPR Scope

Kdo spadá pod GDPR?

GDPR se vztahuje na každou organizaci, která:

1. Sídlí v EU a zpracovává osobní údaje
2. Sídlí mimo EU ale:
   • Nabízí zboží/služby osobám v EU
   • Monitoruje chování osob v EU

Typy zpracování

Typ dat	Příklady	Právní základ
Zákazníci	Jména, emaily, objednávky	Smlouva
Zaměstnanci	Mzdy, docházka, hodnocení	Smlouva + Zákon
Marketing	Newsletter, cookies	Souhlas
Analytics	IP adresy, device info	Oprávněný zájem
Zdravotní	Diagnózy, záznamy	Explicitní souhlas + Zákon

Special Category Data (Art. 9)

Zvláštní kategorie vyžadují explicitní souhlas:

• Rasový/etnický původ
• Politické názory
• Náboženské přesvědčení
• Členství v odborech
• Genetická data
• Biometrická data
• Zdravotní data
• Sexuální orientace

---

Matice překryvu

Sektor	AI Act	NIS2	GDPR
SaaS/Cloud	Applies	Applies	Applies
Finance	Applies	Applies	Applies
Healthcare	Applies	Applies	Applies
E-commerce	Applies	Depends on size	Applies
Manufacturing	Applies	Depends on size	Applies
Consulting	Applies	Likely not	Applies
Media	Applies	Likely not	Applies

---

Příklady scénářů

Scénář 1: SaaS Startup (50 zaměstnanců, €5M obrat)

Regulace	Applicable?	Důvod
AI Act	✅ Ano	Používají Claude pro customer support
NIS2	⚠️ Možná	Cloud computing, ale pod threshold
GDPR	✅ Ano	Customer data, employee data

Scénář 2: Banka (500 zaměstnanců, €100M obrat)

Regulace	Applicable?	Důvod
AI Act	✅ Ano (High-Risk)	Credit scoring, fraud detection
NIS2	✅ Ano (Essential)	Annex I - Banking
GDPR	✅ Ano	Customer financial data

Scénář 3: Výrobní firma (100 zaměstnanců, €20M obrat)

Regulace	Applicable?	Důvod
AI Act	✅ Ano (Low-Med)	Quality control AI, analytics
NIS2	✅ Ano (Important)	Annex II - Manufacturing
GDPR	✅ Ano	Employee data, B2B contacts

---

Další kroky

1. Určete scope pro každou regulaci
2. Konzultujte s právníkem pro edge cases
3. Zdokumentujte rozhodnutí pro audit trail
4. Začněte s compliance → Checklisty