Governance a zodpovědnosti

Verze: 1.0 | Efektivní od: 1. ledna 2026

1. Účel

Tento dokument definuje organizační strukturu, role a zodpovědnosti pro zajištění souladu s AI Act, NIS2 a GDPR.

2. Roles & Accountability

Role	Zodpovědnost	Reportuje
CEO	Celková zodpovědnost za compliance, budget allocation	Board
CTO	AI systems governance, risk classification, vendor audit, model monitoring	COO
CISO	NIS2 compliance, incident response, penetration testing, audit trail	COO
DPO	GDPR compliance, DSAR handling, privacy impact assessment, regulatory liaison	CLO
CLO (Legal)	Regulatory strategy, AI Act high-risk assessment, contracts, sanctions review	CEO
Product Manager	User transparency (AI disclosures), product design privacy, testing	CTO
Engineering Lead	Implementation of technical controls, data encryption, audit logging	CTO
Compliance Officer	Day-to-day compliance tracking, documentation, training coordination	CLO

3. Governance Cadence

3.1 Měsíční sync

Účastníci: CTO, CISO, DPO, Compliance Officer Agenda:

Compliance progress review
Incident review (pokud byly)
Risk register update
Upcoming deadlines

3.2 Čtvrtletní Board review

Účastníci: CEO, C-level, Board members Agenda:

Compliance scorecard
Budget vs. actual
Key risks a mitigace
Regulatory updates

3.3 Roční external audit

Účastníci: All + External auditor Scope:

ISO 27001 audit
GDPR readiness assessment
AI Act compliance review

4. Decision Matrix

Rozhodnutí	Approval level
Nový AI systém (low-risk)	CTO
Nový AI systém (high-risk)	CTO + Legal + CEO
Vendor s přístupem k datům	CISO + DPO
Data breach response	CEO + CISO + DPO
Policy změna	CLO + CEO
Budget >€50k	CEO + Board

5. Escalation Path

Level 1: Owner (CTO/CISO/DPO)
    ↓ (pokud nemůže vyřešit do 24h)
Level 2: C-level meeting
    ↓ (pokud critical nebo regulatory)
Level 3: CEO + Legal
    ↓ (pokud vyžaduje board approval)
Level 4: Board

6. Documentation Requirements

Typ dokumentu	Retention	Owner
Policy documents	5 let po změně	CLO
Audit logs	5 let	CISO
DPIA	5 let po ukončení zpracování	DPO
Incident reports	5 let	CISO
Training records	3 roky	HR
Meeting minutes	3 roky	Compliance

7. Training Requirements

Role	Požadované školení	Frekvence
Všichni zaměstnanci	GDPR basics	Ročně
Všichni zaměstnanci	Phishing awareness	Čtvrtletně
Engineering	Secure coding	Pololetně
Product / Data Science	AI governance, bias testing	Čtvrtletně
Leadership	Compliance risks, incident response	Ročně

8. Certifikace

Role	Požadovaná certifikace
CISO	CISSP, CISM, nebo CEH
DPO	CIPP/E nebo GDPR certification
CTO	AI governance training (interní/externí)

9. Regulatory Contacts

Autorita	Kontakt	Účel	Escalation
ÚOOÚ (Czech DPA)	podatelna@uoou.cz	GDPR breaches, stížnosti	DPO + CEO
NÚKIB	https://portal.nukib.gov.cz	NIS2 incidents	CISO + CEO
DG Justice (EU)	–	AI Act high-risk	Legal + CEO

10. Policy Review

Čtvrtletně: Review incident log, compliance metrics, risk register
Pololetně: Update dle regulatory changes
Ročně: Formální policy review + board approval

Příští revize: Q2 2026