Regulační základ
Regulační základ L1
L1 — Align stojí na pěti regulačních pilířích. Tato stránka shrnuje klíčové požadavky, které L1 adresuje, a ukazuje, proč každá komponenta L1 existuje.
AI Act (Nařízení EU 2024/1689)
Nejdůležitější regulace pro L1. AI Act zavádí první komplexní právní rámec pro umělou inteligenci v EU.
Klíčové články pro L1
| Článek | Požadavek | Co L1 řeší | Deadline |
|---|---|---|---|
| Čl. 4 | AI gramotnost personálu | Školení (T1 + T2), Politika (P1) | ✅ 2.2.2025 |
| Čl. 5 | Zakázané AI praktiky | Školení (T1), Politika (P1) | ✅ 2.2.2025 |
| Čl. 6 | Klasifikace rizik AI systémů | Inventář (fáze 3), Klasifikace (fáze 4) | 2.8.2026 |
| Čl. 62 | Hlášení závažných incidentů | Incident protokol (P5) | 2.8.2026 |
| Annex III | Kategorie vysokorizikových systémů | Klasifikace (fáze 4), Assessment (fáze 5) | 2.8.2026 |
| Annex IV | Technická dokumentace high-risk | Annex IV Assessment (51 položek) | 2.8.2026 |
Sankce
- Zakázané praktiky (čl. 5): až 35 mil. EUR nebo 7 % obratu
- Ostatní porušení: až 15 mil. EUR nebo 3 % obratu
- Pro SME a startupy: nižší z absolutní částky nebo procenta obratu
GDPR (Nařízení EU 2016/679)
GDPR platí od května 2018 a zůstává klíčové pro AI, protože většina AI systémů zpracovává osobní údaje.
Klíčové články pro L1
| Článek | Požadavek | Co L1 řeší |
|---|---|---|
| Čl. 5 | Zásady zpracování (minimalizace, účelové omezení) | Klasifikace dat (P3), Politika (P1) |
| Čl. 9 | Zvláštní kategorie údajů (zdravotní, biometrické…) | Klasifikace dat (P3) |
| Čl. 32 | Bezpečnostní opatření úměrná riziku | Klasifikace dat (P3), Implementace (fáze 9) |
| Čl. 33 | Oznámení porušení dozorovému úřadu (72h) | Incident protokol (P5) |
| Čl. 34 | Oznámení subjektu údajů | Incident protokol (P5) |
| Čl. 39 | Úkoly DPO — školení pracovníků | Školení (T1 + T2) |
Sankce
- Závažná porušení: až 20 mil. EUR nebo 4 % celosvětového obratu
- Méně závažná: až 10 mil. EUR nebo 2 % obratu
NIS2 (Směrnice EU 2022/2555)
NIS2 se vztahuje na organizace v kritických a důležitých sektorech (energetika, doprava, zdravotnictví, digitální infrastruktura, veřejná správa…). Transpoziční lhůta do českého práva: do 11. listopadu 2026.
Klíčové články pro L1
| Článek | Požadavek | Co L1 řeší |
|---|---|---|
| Čl. 23 | Hlášení závažných bezpečnostních incidentů | Incident protokol (P5) |
| Čl. 21 | Opatření pro řízení kybernetických rizik | Implementace (fáze 9) |
Podmíněná relevance
NIS2 je relevantní pro L1 pouze pokud vaše organizace spadá do scope NIS2.
Data Act (Nařízení EU 2023/2854)
Data Act reguluje sdílení dat, přístup k IoT datům a podmínky přepínání cloud služeb.
Klíčové deadlines
| Datum | Požadavek |
|---|---|
| 12.9.2025 | Hlavní ustanovení v účinnosti |
| 12.1.2027 | Zákaz switching fees |
Co L1 řeší
- T4 — Data Act Awareness — Přehled dopadů pro organizaci
- Podmíněně relevantní: primárně pro firmy v IoT, průmyslu a cloud sektoru
Zákoník práce
Český zákoník práce stanoví odpovědnost zaměstnavatele za pravidla pro používání pracovních nástrojů, bezpečnost a školení zaměstnanců. L1 politika (P1) formalizuje pravidla pro AI jako pracovní nástroj.
Souhrnná matice: Regulace × L1 komponenta
| L1 komponenta | AI Act | GDPR | NIS2 | Data Act | ZP |
|---|---|---|---|---|---|
| P1 Politika AI | ✅ | ✅ | ✅ | ||
| P2 Referenční karta | |||||
| P3 Klasifikace dat | ✅ | ||||
| P4 Rozhodovací strom | ✅ | ||||
| P5 Incident protokol | ✅ | ✅ | ✅ | ||
| T1 Školení | ✅ | ✅ | |||
| T2 Kvíz | |||||
| T3 FAQ | |||||
| T4 Data Act | ✅ | ||||
| Readiness Scan | ✅ | ✅ | |||
| Gap Analysis | ✅ | ✅ | ✅ | ✅ | |
| Sovereignty Scan | ✅ | ✅ | |||
| AI Inventář | ✅ | ||||
| Klasifikace | ✅ | ||||
| Annex IV Assessment | ✅ | ||||
| GPAI Assessment | ✅ | ||||
| Implementace | ✅ | ✅ | ✅ | ✅ |
Co v L1 není
- DPIA pro AI (GDPR čl. 35) — Vyžaduje specializovaný přístup DPO
- ROPA pro AI (GDPR čl. 30) — Mimo scope L1
- Plný Conformity Assessment (AI Act čl. 43) — Vyžaduje notifikovaný subjekt