Výstupní dokumenty L1
9 výstupních dokumentů L1
L1 — Align generuje 9 dokumentů rozdělených do dvou kategorií: 5 policy dokumentů (P1–P5) a 4 školící materiály (T1–T4). Každý dokument řeší konkrétní regulační požadavek nebo provozní potřebu.
Souhrnná tabulka
| Kód | Název | Verdikt | Hlavní právní základ |
|---|---|---|---|
| P1 | Politika přijatelného využití AI | ✅ Povinné | AI Act čl. 4, GDPR, ZP |
| P2 | Referenční karta AI | 🟡 Nice-to-have | — |
| P3 | Směrnice pro klasifikaci dat | ✅ Povinné | GDPR čl. 5, 9, 32 |
| P4 | Rozhodovací strom pro nové AI | 🟡 Nice-to-have | — |
| P5 | Protokol pro hlášení incidentů | ✅ Povinné | GDPR čl. 33/34, NIS2 čl. 23, AI Act čl. 62 |
| T1 | Školící prezentace | ✅ Silně doporučené | AI Act čl. 4, GDPR čl. 39 |
| T2 | Znalostní kvíz | 🟡 Nice-to-have | — (auditní důkaz) |
| T3 | FAQ pro zaměstnance | 🟡 Nice-to-have | — |
| T4 | Data Act Awareness | ⚠️ Podmíněně relevantní | Data Act (dle scope) |
Verdikty
- ✅ Povinné — Přímo vyžadováno legislativou. Bez tohoto dokumentu hrozí sankce.
- ✅ Silně doporučené — Zákon explicitně nevyžaduje tento přesný formát, ale bez něj obtížně prokážete soulad.
- 🟡 Nice-to-have — Není regulačně vyžadováno, ale výrazně usnadňuje adopci a slouží jako podpůrný důkaz.
- ⚠️ Podmíněně relevantní — Závisí na tom, zda vaše organizace spadá do scope příslušné regulace.
P1 — Politika přijatelného využití AI
Problém: Zaměstnanci používají AI nástroje, ale neexistují formální pravidla.
Co obsahuje:
- Povolené a zakázané způsoby využití AI
- Pravidla pro práci s daty (co smí/nesmí vstoupit do AI)
- Odpovědnosti zaměstnanců a vedení
- Podmínky pro zavádění nových AI nástrojů
- Kontrolní a revizní mechanismy
Regulační validace:
- AI Act čl. 4 — Organizace musí zajistit AI gramotnost; politika je formální rámec
- GDPR čl. 5 — Zásady minimalizace dat při práci s AI
- Zákoník práce — Odpovědnost zaměstnavatele za pravidla používání nástrojů
Verdikt: ✅ Povinné — Bez dokumentované politiky nemáte jak prokázat soulad s čl. 4 AI Actu.
P2 — Referenční karta AI
Problém: Zaměstnanci potřebují rychlý přehled pravidel, ne 20stránkový dokument.
Co obsahuje:
- Jednostránkový souhrn klíčových pravidel
- DOs a DON’Ts pro práci s AI
- Kontakty pro hlášení problémů
- QR kód na plnou politiku
Verdikt: 🟡 Nice-to-have — Usnadňuje praktickou implementaci.
P3 — Směrnice pro klasifikaci dat
Problém: Zaměstnanci nevědí, která data smí zadávat do AI nástrojů.
Co obsahuje:
- 4 úrovně klasifikace dat (Veřejné / Interní / Důvěrné / Přísně důvěrné)
- Příklady dat v každé kategorii
- Pravidla pro AI zpracování podle klasifikace
- Postup při nechtěném zadání citlivých dat
Regulační validace:
- GDPR čl. 5 — Zásada minimalizace dat
- GDPR čl. 9 — Zvláštní kategorie osobních údajů
- GDPR čl. 32 — Bezpečnostní opatření úměrná riziku
Verdikt: ✅ Povinné — GDPR vyžaduje přiměřená bezpečnostní opatření, která předpokládají klasifikaci dat.
P4 — Rozhodovací strom pro nové AI
Problém: Kdo a jak rozhoduje o zavedení nového AI nástroje?
Co obsahuje:
- Flowchart pro schvalování nových AI nástrojů
- Kritéria hodnocení (bezpečnost, GDPR, rizikovost)
- Eskalační matice (kdo schvaluje co)
- Checklist před nasazením
Verdikt: 🟡 Nice-to-have — Důležitý pro větší organizace, kde rozhoduje více lidí.
P5 — Protokol pro hlášení incidentů
Problém: Co dělat, když se stane incident s AI (únik dat, chybné rozhodnutí, bias)?
Co obsahuje:
- Definice AI incidentu
- Postup hlášení (kdo, komu, do kdy)
- Eskalační matice podle závažnosti
- Povinná oznámení regulátorům
- Šablona pro záznam incidentu
Regulační validace:
- GDPR čl. 33 — Oznámení porušení dozorového úřadu do 72 hodin
- GDPR čl. 34 — Oznámení subjektu údajů při vysokém riziku
- NIS2 čl. 23 — Hlášení závažných incidentů (pokud v scope NIS2)
- AI Act čl. 62 — Hlášení závažných incidentů s AI systémy
Verdikt: ✅ Povinné — Povinné hlášení incidentů vyžaduje GDPR, podmíněně NIS2 a AI Act.
T1 — Školící prezentace
Problém: Zaměstnanci potřebují proškolit, ale neexistuje standardizovaný materiál.
Co obsahuje: 24 slidů pokrývajících AI gramotnost — od základů přes regulační rámec po firemní pravidla.
Regulační validace:
- AI Act čl. 4 — Požadavek na AI gramotnost personálu
- GDPR čl. 39 — DPO má za úkol školení pracovníků
Verdikt: ✅ Silně doporučené — Nejpřímější cesta k prokázání AI gramotnosti.
T2 — Znalostní kvíz
Problém: Jak prokázat, že zaměstnanci skutečně pochopili pravidla?
Co obsahuje: 18 otázek, hranice 80 %, vysvětlení odpovědí, unikátní výsledkový kód s HMAC integritou.
Verdikt: 🟡 Nice-to-have — Silný auditní důkaz. T1 + T2 = nejsilnější argument vůči regulátorovi.
T3 — FAQ pro zaměstnance
Problém: Po školení mají zaměstnanci opakující se dotazy.
Co obsahuje: 8 tematických sekcí s praktickými odpověďmi.
Verdikt: 🟡 Nice-to-have — Snižuje zátěž na IT/compliance oddělení.
T4 — Data Act Awareness
Problém: Data Act přináší nové povinnosti pro firmy s IoT a cloud daty.
Co obsahuje: Přehled Data Actu, práva uživatelů, povinnosti při přepínání cloud služeb.
Verdikt: ⚠️ Podmíněně relevantní — Důležité pokud spadáte do scope Data Actu.
Matice: Regulace × Dokument
| Regulace | P1 | P2 | P3 | P4 | P5 | T1 | T2 | T3 | T4 |
|---|---|---|---|---|---|---|---|---|---|
| AI Act čl. 4 | ✅ | ✅ | |||||||
| AI Act čl. 5 | ✅ | ✅ | |||||||
| AI Act čl. 6 | ✅ | ||||||||
| AI Act čl. 62 | ✅ | ||||||||
| GDPR čl. 5 | ✅ | ✅ | |||||||
| GDPR čl. 9 | ✅ | ||||||||
| GDPR čl. 32 | ✅ | ||||||||
| GDPR čl. 33/34 | ✅ | ||||||||
| GDPR čl. 39 | ✅ | ||||||||
| NIS2 čl. 23 | ✅ | ||||||||
| Data Act | ✅ | ||||||||
| Zákoník práce | ✅ |