Legislativa

Detailní rozbor klíčových EU regulací pro rok 2025-2026 a dále.

Přehled regulací

Regulace	Předpis	Platnost	Scope
AI Act	EU 2024/1689	Části od 2.2.2025; plně 2.8.2026	AI systémy
NIS2	Zákon o kyberbezpečnosti	11.11.2026	Kritická infrastruktura
GDPR	EU 2016/679	Průběžně	Osobní údaje
DORA	EU 2022/2554	17.1.2025	Finanční sektor (lex specialis)
Data Act	EU 2023/2854	12.9.2025	IoT data, cloud switching

AI Act

Evropská regulace umělé inteligence (EU 2024/1689).

Klíčové body

Klasifikace AI dle rizika (Zakázané / High-Risk / Medium / Low)
Povinná dokumentace a transparentnost
DPIA pro high-risk AI systémy
Povinnosti pro GPAI (obecně-účelové modely jako GPT, Claude)

Deadline

2.2.2025: AI literacy (čl. 4) + zakázané praktiky (čl. 5) — ✅ již platí
2.8.2025: GPAI pravidla (kap. V), governance (kap. VII), sankce (kap. XII) — ✅ již platí
2.8.2026: High-risk AI systémy — plná použitelnost

Sankce

Zakázané praktiky: až 35M EUR (7% obratu)
High-risk porušení: až 15M EUR (3% obratu)

→ Podrobněji o AI Act

NIS2

Směrnice o kybernetické bezpečnosti (Zákon o kybernetické bezpečnosti v ČR).

Klíčové body

Určení scope (Essential / Important / Out of scope)
ISMS (Information Security Management System)
Incident Response Plan
Registrace u NÚKIB

Deadline

1.11.2025: Přechodné období
11.11.2026: Plná implementace

Sankce

Critical infrastructure: až 20M CZK
Essential services: až 10M CZK

→ Podrobněji o NIS2

Obecné nařízení o ochraně osobních údajů (EU 2016/679).

Klíčové body

Záznamy o zpracování (ROPA)
Právní tituly zpracování
Práva subjektů (DSAR)
Data breach notification (72h)

Deadline

Průběžně: Kontinuální povinnost

Sankce

Těžké porušení: až 20M EUR nebo 4% celosvětového obratu
Střední porušení: až 10M EUR (2% obratu)

→ Podrobněji o GDPR

Data Act

Nařízení o spravedlivém přístupu k datům a jejich využívání (EU 2023/2854).

Klíčové body

Přístup k datům z IoT/connected products
Cloud switching práva (vendor lock-in)
B2B data sharing za FRAND podmínek
Zákaz neférových smluvních podmínek

Deadline

12.9.2025: Hlavní ustanovení (již v účinnosti!)
12.9.2026: Data access by design pro nové produkty
12.1.2027: Zákaz switching fees pro cloud služby

Sankce

IoT data access porušení: až 20M EUR (4% obratu) - GDPR režim
Cloud switching porušení: národní sankce

Pro koho je relevantní

Vysoká relevance: Výrobci IoT/connected products, SaaS/cloud poskytovatelé
Střední relevance: Zákazníci cloud služeb (nová práva)
Nízká relevance: Ostatní organizace (pouze awareness)

→ Podrobněji o Data Act

Vzájemné propojení

Příklady překryvu

Případ 1: AI Credit Scoring (High-Risk + Personal Data)

AI Act: DPIA, design audit, testing, human oversight
GDPR: Consent/legal basis, right to explanation
NIS2: Encryption, access control, incident response

Případ 2: Anonymous Analytics (Low-Risk + NO Personal Data)

AI Act: Minimální dokumentace
GDPR: N/A (anonymní data)
NIS2: Standardní bezpečnost

Případ 3: Smart Factory (IoT + AI + NIS2)

Data Act: Přístup k datům z IoT zařízení, data sharing
AI Act: Predictive maintenance jako low-risk AI
NIS2: Výrobní sektor = Important entity
GDPR: Pokud zahrnuje osobní data zaměstnanců

Případ 4: SaaS Provider (Cloud + AI)

Data Act: Cloud switching compliance, data export
AI Act: Pokud obsahuje AI funkce
GDPR: Osobní údaje zákazníků
NIS2: Digitální služby = Important entity

Legislativa

Přehled regulací

AI Act

Klíčové body

Deadline

Sankce

NIS2

Klíčové body

Deadline

Sankce

GDPR

Klíčové body

Deadline

Sankce

Data Act

Klíčové body

Deadline

Sankce

Pro koho je relevantní

Vzájemné propojení

Příklady překryvu

Další kroky