1. AI Act a AI Policy
Nařízení EU o umělé inteligenci (AI Act) přináší první komplexní právní rámec pro vývoj, používání a nasazení AI systémů. Zásadním způsobem mění právní odpovědnost firem, které AI vyvíjejí, provozují nebo integrují do svých produktů a služeb. Kromě toho by každá organizace využívající AI měla mít vnitřní politiku (AI Policy), která stanoví pravidla jejího etického a legálního používání.
Proč to mám řešit?
Protože AI Act ukládá nové povinnosti včetně posuzování rizik, zajištění transparentnosti a zavádění compliance postupů. Firemní právník musí rozumět novým pravidlům, jinak firmě hrozí sankce i reputační újma.
Co se mění?
Dochází k nové klasifikaci AI systémů podle rizikovosti. Pro vysocerizikové systémy (např. AI ve zdravotnictví nebo HR) jsou zaváděny přísné požadavky na dokumentaci, testování, lidský dohled a shodu s požadavky na bezpečnost.
Pro koho je to důležité?
Pro firmy, které AI vyvíjejí, dodávají nebo používají. Zásadní je to pro právníky ve firmách působících v oblastech jako HR tech, zdravotnictví, fintech, e-commerce nebo veřejný sektor.
Co hrozí při opomenutí nebo špatném nastavení?
Správní sankce až 35 milionů EUR nebo 7 % celosvětového obratu. Dále riziko neplatnosti smluv, odpovědnosti za škodu nebo ztráty důvěry zákazníků.
Jak vám může pomoci SEDLAKOVA LEGAL?
Díky našemu know-how a zkušenostmi s nastavováním AI policy v předních AI first společnostech získáte regulatorní jistotu, aniž by inovace ve firmě musela zpomalit.
Pomůžeme vám projít novým AI Actem od prvního použití AI až po hotovou firemní AI Policy. Nejprve bleskově zmapujeme všechny vaše AI systémy, zařadíme je do správné rizikové kategorie a nastavíme konkrétní kroky k souladu – od povinných záznamů o datech a algoritmech až po doložky v dodavatelských smlouvách. Současně navrhneme ucelený governance rámec: interní pravidla etického používání AI, schvalovací workflow, lidský dohled i metriky pro spravedlivost a robustnost modelů, přeložené do jasných úkolů pro běžné lidi. Umíme zajistit školení pro vývojáře, manažery i HR.
2. Zákon o kybernetické bezpečnosti + zákon o kritické infrastruktuře
Pro firemní právníky bude nový zákon o kybernetické bezpečnosti docela výzva. Přinese nové compliance povinnosti, řízení rizik, hodnocení aktiv, řízení dodavatelů, nastavení bezpečnostních procesů. V praxi to znamená, že firemní právník bude muset začít nejprve tím, že si identifikuje, zda na jeho společnost bude regulace dopadat či nikoliv. Následně, pokud regulace na společnost dopadne, bude v pozici „projekťáka”, který bude řídit plnění všech povinností.
Proč to mám řešit?
Tak jako se v roce 2018 stalo GDPR buzzwordem pro zákazníky, dodavatele, zaměstnance, bude buzzword právě i kybernetická bezpečnost. Důležité ale je si uvědomit, že díky kybernetické bezpečnosti zajišťujeme kontinuitu podnikání. Tedy bez dobré bezpečnosti podnikání můžeme rovnou zavřít.
Co se mění?
Nový zákon výrazně rozšiřuje okruh povinných subjektů – dotkne se i firem, které dosud žádné zákonné povinnosti neměly. Zavádí se povinnost hlásit incidenty, provádět pravidelné audity, bezpečnostní opatření a smluvní zabezpečení vztahů s dodavateli. Vše je rozděleno do dvou režimů – nižších a vyšších povinností. Tomu také odpovídá rozsah regulace.
Pro koho je to důležité?
Pro provozovatele IT služeb, cloudů, výrobní podniky, nemocnice, dodavatele do veřejné správy, energetiku, dopravu i pro jejich právní zástupce. Teoreticky si však každá firma musí projít procesem samoidentifikace, zda na ni zákon dopadne či nikoliv.
Co hrozí při opomenutí nebo špatném nastavení?
Zákon sice nastavuje některé sankce, které však nejsou úplně to, čím je vhodné „strašit”. Mnohem důležitější jsou následky, které může způsobit bezpečnostní incident, ať už půjde o kybernetický útok nebo jiný problém. Špatně řízená bezpečnost totiž může společnost stát stovky tisíc, miliony nebo i celé podnikání.
Jak vám může pomoci SEDLAKOVA LEGAL?
V SEDLAKOVA LEGAL umíme pomoct se všemi fázemi implementace kybernetické bezpečnosti. Od provedení identifikace, přes nastavení bezpečnostních opatření až po řízení dodavatelů a školení. Jsme parťákem pro ty, kteří hledají řešení pod jednou střechou. Vše nezajišťujeme sami, ale máme kolem sebe vytvořenou síť partnerů.
3. DORA (Digital Operational Resilience Act)
DORA přináší nová pravidla pro kybernetickou odolnost v oblasti finančních služeb. Dotýká se bank, pojišťoven, fintechů i jejich ICT dodavatelů. Z právního pohledu je klíčové správné nastavení smluv, řízení rizik a řízení vztahů s třetími stranami.
Proč to mám řešit?
Protože regulatorní tlak na finanční sektor sílí. Právníci musí zajistit, že firma má smluvně podchycené veškeré technologické dodavatele a že je schopna reagovat na incidenty v souladu s DORA. Na druhé straně IT dodavatel pro finanční sektor musí mít dobře nastavené procesy pro hodnocení smluv a vyhodnocení jejich rizikovosti a obsahu.
Co se mění?
DORA zavádí detailní požadavky na řízení ICT rizik, reporting incidentů, testování odolnosti a povinnosti vůči ICT poskytovatelům, včetně možnosti jejich inspekce regulačními orgány.
Pro koho je to důležité?
Pro finanční instituce a fintech firmy, včetně všech dodavatelů, kteří poskytují digitální služby těmto subjektům – včetně právníků, kteří s těmito subjekty spolupracují.
Co hrozí při opomenutí nebo špatném nastavení?
Sankce ze strany ČNB nebo evropských regulátorů, nemožnost pokračovat v poskytování služeb, ztráta klientely. Smluvní spory a odpovědnost za škody.
Jak vám může pomoci SEDLAKOVA LEGAL?
S naší expertizou v oblasti IT práva a ochrany dat umíme poskytnout pomocnou ruku při vyjednávání a tvorbě smluvní dokumentace mezi dodavateli IT služeb a finančními institucemi. Dále jsme schopni zajistit posouzení dopadů DORA na vaše podnikání.
4. Zákon o přístupnosti digitálních služeb
Zákon o přístupnosti digitálních služeb přenáší do českého práva požadavky evropské směrnice a ukládá subjektům povinnost zajistit, aby jejich weby a aplikace byly přístupné i pro osoby se zdravotním postižením. Týká se nejen veřejné správy, ale i některých soukromých firem.
Proč to mám řešit?
Protože nepřístupný web může znamenat nejen ztrátu zákazníků, ale i porušení zákona. Právník musí zajistit, že smlouvy s dodavateli webových a softwarových služeb obsahují povinnosti k přístupnosti.
Co se mění?
Rozšiřuje se okruh povinných subjektů a zpřesňují se požadavky na technické standardy (WCAG). Subjekty musí publikovat prohlášení o přístupnosti a zajistit průběžnou správu.
Pro koho je to důležité?
Pro veřejné instituce, samosprávy, školy, nemocnice, ale i některé e-shopy a podniky nabízející „základní“ služby (banky, energetika). Právníci musí hlídat povinnost nejen u klientů, ale i u vlastních webových nástrojů.
Co hrozí při opomenutí nebo špatném nastavení?
Sankce od Úřadu vlády, veřejná ostuda, možné žaloby nebo šetření ombudsmana. Riziko vyloučení z veřejných zakázek.
Jak vám může pomoci SEDLAKOVA LEGAL?
Během chvíle zjistíme, které vaše weby, aplikace a produkty spadají pod zákon. Pokud na vás nový zákon o přístupnosti dopadá, vypracujeme oficiální „Prohlášení“ v CZ/EN + šablonu pro každou novou microsite. Pokud nemáte vlastní IT experty, tak vás propojíme s IT partnery, kteří se na přístupnost specializují.
5. Datové regulace – DSA (Digital Services Act)
Nařízení DSA upravuje odpovědnost poskytovatelů digitálních služeb, jako jsou online platformy, marketplace nebo cloudová řešení. Klade důraz na transparentnost, moderaci obsahu a ochranu uživatelů. Právníci musí řešit compliance dokumentaci, pravidla pro obsah, mechanismy stížností i komunikaci s autoritami.
Proč to mám řešit?
Protože i technologická firma může být podle DSA odpovědná za obsah, který nevyprodukovala. Právní oddělení musí mít připraveny interní postupy a dokumentaci, která splňuje nové povinnosti.
Co se mění?
Zpřísňují se požadavky na oznamovací mechanismy, podávání zpráv, označování reklam, spolupráci s autoritami a ochranu základních práv uživatelů. Zvláštní režim platí pro „velké platformy“ (VLOPs).
Pro koho je to důležité?
Pro provozovatele digitálních platforem, hostingových služeb, SaaS aplikací, e-commerce i online komunit. A pro právníky, kteří pro tyto firmy nastavují obchodní podmínky a compliance.
Co hrozí při opomenutí nebo špatném nastavení?
Sankce až do výše 6 % celosvětového obratu, blokace služby, reputační škody, v krajním případě i trestní odpovědnost.
Jak vám může pomoci Sedlakova Legal?
Během několika dnů zmapujeme, které povinnosti DSA se na vaši službu vztahují (hosting, SaaS, marketplace, komunita apod.) a kde máte největší mezery. Dostanete jasný plán kroků – co řešit hned kvůli sankčním rizikům a co lze odložit.
Vypracujeme či upravíme pravidla moderace obsahu, notice-and-action workflow, interní eskalační schéma i protokol pro mimořádné události. Naučíme lidi rozpoznat oznámení o nezákonném obsahu, správně ho zaevidovat a vyřešit do zákonné lhůty. Aktualizujeme Terms of Service, Data Processing Agreements a smlouvy s dodavateli tak, aby DSA-rizika nesla správná strana.
(Text byl publikován v rámci spolupráce s advokátní kanceláří SEDLAKOVA LEGAL.)
