Umělá inteligence vstoupila do firemního ERP nenápadně — jako prediktivní forecasting, automatické párování faktur, AI scoring obchodních příležitostí nebo asistent ve schvalování úvěrů. Firmy tyto funkce přijaly jako produktivitní nástroj. AI Act z nich dělá právně regulovanou aktivitu s jasnými povinnostmi.

Tento článek vysvětluje, co přesně AI Act znamená pro firmu, která používá ERP se zabudovanou AI. Pro širší kontext pozri pillar AI v ERP systémech: praktické nasazení 2026.

Kdo jsou “poskytovatel” a “nasazovatel” (deployer)?

AI Act rozlišuje dvě klíčové role:

Poskytovatel (provider): firma, která vyvíjí nebo uvádí AI systém na trh — typicky dodavatel ERP (Modulario, SAP, Salesforce…). Poskytovatel nese největší část povinností: konformitní hodnocení, technická dokumentace, registrace v EU AI databázi.

Nasazovatel (deployer): každá fyzická nebo právnická osoba, která AI systém nasazuje v pracovním nebo komerčním kontextu. Typicky: firma, která ve svém ERP zapne AI funkce a používá je pro obchodní rozhodování.

Pro CZ/SK SMB firmu platí: při používání ERP jste deployer, nikoliv provider. Povinnosti jsou rozsáhlejší u poskytovatele, ale deployer není bez závazků — zvláště u high-risk AI.

Rizikové kategorie AI Act

AI Act dělí AI systémy do čtyř kategorií:

Zakázané praktiky (Annex I)

Absolutně zakázané — žádná výjimka:

  • Sociální skórování občanů vládou
  • Manipulativní podprahové techniky
  • Biometrická surveillance v reálném čase ve veřejném prostoru (s výjimkami pro bezpečnostní složky)
  • AI exploiting zranitelností (věk, invalidita)

Pro firemní ERP: tyto kategorie jsou nerelevantní — žádný mainstream ERP je neimplementuje.

High-risk AI (Annex III)

Vyžaduje nejrozsáhlejší povinnosti deployera. Sem patří AI v:

  • HR — nábor, hodnocení, povyšování, propuštění
  • Vzdělávání — přijímání, hodnocení výkonu studentů
  • Kritická infrastruktura — řízení dopravních, energetických sítí
  • Finanční hodnocení — scoring solventnosti, pojistné riziko fyzické osoby
  • Bezpečnostní složky — biometrika, poligraf

Pro firemní ERP: pokud AI modul hodnotí zaměstnance pro povyšování/propouštění nebo skóruje fyzické osoby pro úvěrové rozhodování — high-risk povinnosti platí.

Omezené riziko (limitované)

Povinnost transparentnosti vůči uživateli — AI musí sdělit, že jde o AI. Typicky: chatboty, AI asistenti.

Minimální riziko

Žádné specifické povinnosti. Typicky: AI pro filtrování spamu, doporučovací systémy v B2B kontextu, prediktivní forecasting pro zásoby.

Většina AI funkcí v ERP pro SMB spadá do kategorie omezené nebo minimální riziko. High-risk nastupuje u HR a finančního hodnocení fyzických osob.

Povinnosti deployera pro high-risk AI

Pokud vaše firma používá high-risk AI (HR modul s AI hodnocením, AI scoring klientů jako fyzických osob), deployer musí zajistit:

1. Registrace v EU AI databázi

High-risk AI systémy musí být zaregistrovány v EU databázi (provozuje EASA). Deployer registruje systém před nasazením.

2. DPIA (Data Protection Impact Assessment)

Kombinace AI Act + GDPR vyžaduje DPIA pro high-risk AI zpracovávající osobní data. DPIA musí obsahovat:

  • Popis AI systému a účelu
  • Hodnocení nezbytnosti a přiměřenosti
  • Analýza rizik pro práva subjektů
  • Opatření ke zmírnění rizik

Detailní návod v cluster článku DPIA pro ERP a CRM systémy.

3. Lidský dohled (human oversight)

Pro high-risk AI platí povinnost effectivního lidského dohledu — systém musí být navržen tak, aby mohl být sledován a přerušen člověkem. Deployer musí:

  • Zavést proceduru pro přezkum AI rozhodnutí
  • Zajistit, že zaměstnanci rozumí limitům AI systému
  • Vést záznamy o případech přerušení nebo přepsání AI doporučení

4. Audit log

AI Act vyžaduje automatické zaznamenávání provozu high-risk AI — “logging by design”. Audit log musí zahrnovat:

  • Vstupy AI systému (data použitá pro rozhodnutí)
  • Výstup (doporučení, skóre)
  • Timestamp a identifikaci uživatele
  • Případné přepsání AI výstupu člověkem

Modulario AI audit log je součástí modulu Lidé a CRM — exportovatelný pro potřeby auditu.

5. Dokumentace a technické záznamy

Deployer musí uchovávat:

  • Technickou dokumentaci AI systému (dostupnou od poskytovatele)
  • Záznamy o nasazení
  • Výsledky interních hodnocení

Povinnosti pro omezené riziko (AI chatboty, asistenti)

Pro AI asistenty a chatboty (omezené riziko) platí povinnost transparentnosti:

  • Uživatel musí být informován, že komunikuje s AI, ne s člověkem
  • AI nesmí vydávat za reálnou osobu (deepfake persona zakázána)

V praxi: pokud váš ERP asistent odpoví uživateli, musí být zřejmé, že jde o AI. Toto Modulario splňuje — AI asistent je vizuálně označen.

Co AI Act neupravuje (pro SMB kontext)

  • Prediktivní forecasting zásob — minimální riziko, žádné povinnosti
  • AI párování faktur s objednávkami — minimální riziko
  • AI scoring B2B klientů (firem, ne fyzických osob) — typicky mimo high-risk
  • AI doporučení pro obchodní příležitosti — omezené riziko, jen transparentnost

Praktický checklist pro deployers v 2026

KrokPopisTermín
Inventář AI funkcí v ERPMapujte, které AI funkce používáteIhned
Kategorizace rizikaZařaďte každou funkci do rizikové kategorieDo 30 dní
High-risk: DPIAPro high-risk AI zpracovávající osobní dataPřed nasazením
High-risk: registrace EU AI DBZaregistrujte systémPřed nasazením
High-risk: audit logOvěřte, že poskytovatel AI log poskytujeDo 3 měsíců
Omezené riziko: transparentnostAI asistenti musí být označeniIhned
Zaměstnanecké školeníHR a manažeři musí chápat limity AIDo 6 měsíců

Modulario a AI Act

Modulario jako poskytovatel:

  • Provádí konformitní hodnocení AI funkcí dle AI Act
  • Poskytuje technickou dokumentaci pro deployers
  • AI asistenti jsou transparentně označeni
  • Audit log AI rozhodnutí je součástí každého AI modulu

Pro high-risk funkce (AI v HR hodnocení) poskytuje Modulario:

  • DPIA šablonu pro deployers
  • Dokumentaci k human oversight proceduře
  • Exportovatelný audit log

Často kladené otázky

Kdo je ‘deployer’ podle AI Act a jaké má povinnosti? Deployer je každá fyzická nebo právnická osoba, která nasazuje AI systém v pracovním nebo komerčním kontextu — typicky firma, která používá ERP nebo CRM se zabudovanými AI funkcemi. Povinnosti závisí na rizikové kategorii: pro high-risk AI (HR rozhodování, úvěrové hodnocení) jsou povinnosti rozsáhlé — DPIA, lidský dohled, audit log. Pro omezené a minimální riziko jsou povinnosti minimální.

Musím jako firma provést DPIA pro AI funkce v ERP? Záleží na kategorii. High-risk AI (HR nábor, hodnocení, úvěrový scoring fyzických osob) vyžaduje DPIA vždy. Prediktivní analýza skladu, forecasting prodeje nebo automatická kategorizace faktur jsou typicky minimální riziko — DPIA povinná není.

Co hrozí za porušení AI Act? Tři pásma sankcí: za zakázané praktiky až 35 mil. EUR nebo 7 % ročního obratu; za neplnění povinností high-risk AI poskytovatelem až 15 mil. EUR nebo 3 % obratu; za nepravdivé informace dozorčímu orgánu až 7,5 mil. EUR nebo 1,5 % obratu. AI Act se plně vztahuje od 2. srpna 2026.