Dne 19. listopadu 2025 představila Evropská komise (Komise) první oficiální návrh legislativního balíčku Digital Omnibus[1], jehož hlavním cílem je modernizovat a zpřehlednit oblast evropského digitálního práva. Společně se základním balíčkem Digital Omnibus byl rovněž zveřejněn samostatný návrh Digital Omnibus o AI[2].
Pokud Vás zajímá základní legislativní balíček Digital Omnibus, odkazujeme na naše předchozí články zde: Digital Omnibus: návrh změn GDPR v digitální éře EU a Digital Omnibus: návrh změn Data Act v digitální éře EU.
Digital Omnibus o AI je cílené změnové nařízení, jehož cílem je zajistit, aby nařízení (EU) 2024/1689[3] (AI Akt) mohlo být zaváděno hladce, jednotně a tempem odpovídajícím skutečné technické i institucionální připravenosti Evropy.
Právo EU označuje pojem „omnibus“ jako legislativní nástroj, který současně mění více existujících předpisů, aby se sladily a odstranily rozpory. Digital Omnibus o AI tak fakticky funguje jako korekční a sjednocující nástroj rychle se rozrůstajícího digitálního práva EU. Jeho ambicí je zajistit větší soudržnost a vnitřní konzistenci mezi Aktem o AI a dalšími klíčovými předpisy, jako jsou například právě GDPR[4], Data Act[5], Cyber Resilience Act[6] a další, ale i sektorové bezpečnostní předpisy, a tím snížit regulatorní roztříštěnost i právní nejistotu na jednotném evropském trhu. Nejde o deregulaci, ale o praktickou optimalizaci.
Zveřejnění Digitálního omnibusu pro AI předcházely měsíce konzultací se zástupci podnikatelského sektoru, malými a středními podniky, veřejností i členskými státy EU. Tyto diskuse ukázaly, že navzdory široké podpoře cílů Aktu o AI, vyvolává jeho implementační rámec značnou nejistotu. Ta pramení zejména ze zpoždění při jmenování vnitrostátních orgánů, mezer v harmonizovaných normách a složitých vazeb mezi AI Aktem a dalšími předpisy EU v oblasti digitální ekonomiky. Digital Omnibus o AI na tyto problémy přímo reaguje.
Co je tedy konkrétně obsahem Digital Omnibus o AI?
V jádru návrh sleduje několik vzájemně propojených cílů: sjednocení klíčových lhůt a harmonogramů, zefektivnění a zpřehlednění překrývajících se povinností, odstranění zbytečné administrativní zátěže pro podniky i orgány dohledu a vyjasnění vztahů mezi AI Aktem a dalšími právními předpisy EU. Současně posiluje mechanismy vymáhání tam, kde je to vzhledem k povaze systémů AI nezbytné, zejména prostřednictvím centralizovaného dohledu na úrovni EU.
Změna lhůt, účinnosti a přechodných ustanovení
Jedním z nejdůležitějších zásahů Digital Omnibus o AI je navržená úprava účinnosti vlny povinností pro vysoce rizikové AI systémy. Návrh zavádí podmíněný mechanismus, v jehož rámci se začátek uplatňování těchto povinností výslovně váže na dostupnost klíčových podpůrných nástrojů pro compliance, zejména harmonizovaných norem, společných specifikací a pokynů Komise.
Smyslem této změny je reagovat na nejistotu způsobenou jejich opožděným přijetím a poskytnout podnikům reálný a předvídatelný časový prostor pro přípravu na nové regulatorní požadavky. Jakmile Komise formálně potvrdí, že jsou tyto nástroje k dispozici, začnou se ustanovení Aktu o AI upravující vysoce rizikové systémy uplatňovat ve dvou fázích.
U tzv. „samostatných“ vysoce rizikových systémů AI uvedených v příloze III AI Aktu – například systémů pro hodnocení úvěruschopnosti, půjde o lhůtu šesti měsíců. U vysoce rizikových systémů regulovaných zvláštními sektorovými právními předpisy uvedenými v příloze I AI Aktu, typicky zdravotnických prostředků, se použitelnost odloží o dvanáct měsíců.
Současně návrh zavádí pevné „záchytné“ termíny, které mají zabránit dalšímu neomezenému odkládání povinností. Pokud by Komise dostupnost norem, specifikací a pokynů formálně nepotvrdila, začnou se povinnosti pro vysoce rizikové systémy uplatňovat nejpozději:
- od 2. prosince 2027 u systémů z přílohy III AI Aktu;
- od 2. srpna 2028 u systémů z přílohy I AI Aktu.
Povinnosti pro vysoce rizikové AI systémy přitom zahrnují zejména podrobné požadavky na správu dat, transparentnost, technickou dokumentaci, lidský dohled a robustnost AI systémů. V návaznosti na nové časování jsou rovněž technicky upravena přechodná období pro AI systémy již uvedené na trh nebo do provozu tak, aby odpovídala novým datům použitelnosti těchto povinností a nedocházelo k nejasnostem ohledně toho, na které AI systémy se nové režimy vztahují.
Přechodné období pro označování výstupů generativní AI
AI Akt ukládá poskytovatelům generativních systémů AI povinnost označovat uměle vytvořený nebo manipulovaný obsah, jako je syntetické audio, video nebo text. Digital Omnibus o AI navrhuje odložit začátek účinnosti těchto povinností na 2. února 2027 u AI systémů, které byly uvedeny na trh před 2. srpnem 2026.
Smyslem tohoto odkladu je poskytnout poskytovatelům generativních AI modelů, založených na obecných modelech AI, neboli General Purpose AI (GPAI modely), přiměřený čas k technickému a organizačnímu přizpůsobení jejich řešení novým povinnostem, aniž by došlo k narušení trhu. Zároveň tím návrh reflektuje skutečnost, že se teprve připravuje kodex zásad (GPAI Code of Practice), který má sloužit jako praktické vodítko pro uplatňování povinností transparentnosti a označování výstupů generativní AI podle AI Aktu.
Zvláštní právní základ pro práci s citlivými údaji při testování biasu
Digital Omnibus o AI zavádí nový článek 4a AI Aktu, který vytváří výslovný právní základ pro výjimečné zpracování zvláštních kategorií osobních údajů při vývoji, testování a ladění systémů AI. Poskytovatelům i provozovatelům AI systémů se tím umožňuje zpracovávat citlivé osobní údaje za účelem detekce, měření a nápravy systematických zkreslení (biasu), a to v situacích, kdy pro dosažení tohoto cíle neexistuje jiná technicky či metodicky srovnatelná alternativa.
Toto oprávnění je však vázáno na splnění přísných materiálních i procesních záruk. Zpracování musí být nezbytné a přiměřené sledovanému účelu, omezené na minimum potřebných údajů a podléhat vhodným technickým a organizačním opatřením, včetně omezení přístupu, dokumentace nezbytnosti a povinnosti výmazu údajů po dosažení účelu zpracování.
Návrh touto změnou reaguje na dlouhodobý praktický problém, že bez práce s citlivými demografickými charakteristikami je v řadě případů fakticky nemožné bias spolehlivě identifikovat a korigovat. Nový článek 4a AI Aktu tak poskytuje právně jasnější a předvídatelnější rámec pro odpovědný vývoj férových AI systémů, aniž by byl oslaben standard ochrany soukromí podle GDPR.
Posílená role Evropského úřadu pro AI
Digital Omnibus o AI navrhuje výrazně posílit postavení Evropského úřadu pro AI (European AI Office) a vytváří z něj centrální dohledový orgán pro vybrané kategorie systémů AI.
Evropský úřad pro AI (AI Office) bude nově přímo dohlížet zejména na:
- AI systémy, založené na GPAI modelech, pokud jak samotný model, tak i navazující AI systém pocházejí od téhož poskytovatele;
- AI systémy, integrované do velmi velkých online platforem nebo velmi velkých online vyhledávačů.
S tím souvisí i výrazné rozšíření pravomocí AI Office, kterými by mělo být například získání oprávnění vyžadovat dokumentaci od povinného subjektu dle AI Aktu, kontrolovat a posuzovat datové sady, provádět inspekce, dohlížet na testování v reálném provozu, hodnotit související rizika a ukládat sankce v mezích stanovených AI Aktem. Výslovně by byl AI Office rovněž zmocněn provádět předběžná posouzení shody AI systémů ještě před jejich uvedením na trh.
Návrh současně stanovuje, že AI Office nebude dohlížet na systémy AI zabudované do výrobků regulovaných sektorovými právními předpisy uvedenými v příloze I AI Aktu (např. zdravotnické prostředky, strojní zařízení či letecké systémy). Dohled nad těmito systémy zůstává i nadále v působnosti příslušných sektorových dozorových orgánů podle zvláštních právních předpisů.
Revidované požadavky na AI gramotnost
Stávající znění AI Aktu ukládá poskytovatelům a provozovatelům systémů AI povinnost zajistit dostatečnou úroveň AI gramotnosti osob, které se podílejí na jejich provozu a používání. Tyto povinnosti jsou dlouhodobě kritizovány jako vágní a administrativně zatěžující, zejména pro menší podniky.
Digital Omnibus o AI proto navrhuje přesunout hlavní odpovědnost za podporu AI gramotnosti z provozovatelů na Komisi a členské státy. Nový článek 4 AI Aktu by tak ukládal Komisi a členským státům, aby poskytovatele a provozovatele AI aktivně povzbuzovaly k zajištění dostatečné úrovně AI gramotnosti prostřednictvím nezávazných nástrojů, jako jsou školení, informační zdroje a výměna osvědčených postupů.
Tato změna by se však nedotkla jiných výslovných školicích povinností podle AI Aktu, například u provozovatelů vysoce rizikových AI systémů.
Zjednodušení registrace a technické dokumentace
Digital Omnibus o AI zužuje některé registrační povinnosti, zejména u AI systémů, u nichž poskytovatel dospěl k závěru, že nespadají do kategorie vysoce rizikových podle čl. 6 odst. 3 AI Aktu, protože nepředstavují významné riziko pro zdraví, bezpečnost nebo základní práva jednotlivců. V takových případech budou poskytovatelé povinni své posouzení výjimky pouze interně zdokumentovat, nikoli se registrovat ani tyto systémy zapisovat do databáze EU. Tím se má výrazně snížit administrativní zátěž.
Současně návrh rozšiřuje některé regulační úlevy, které dosud náležely pouze malým a středním podnikům (SME), i na tzv. malé mid-cap podniky (small mid-caps, SMC). Na SMC se tak nově vztahuje zjednodušený režim technické dokumentace, úlevy v oblasti systému řízení kvality (QMS) a mírnější režim pro výpočet správních pokut. Zjednodušený režim QMS, který byl dosud vyhrazen pouze mikropodnikům, se zároveň rozšiřuje i na SME.
Cílem těchto změn je snížit nepřiměřenou administrativní zátěž podniků, které sice nespadají do klasické definice SME, ale z hlediska compliance kapacit a nákladové struktury se nacházejí v obdobně zranitelné pozici.
Návrh dále zavádí princip tzv. „single application“ a „single assessment“ pro subjekty, které působí jako notifikované osoby (conformity assessment bodies) jak podle AI Aktu, tak podle sektorových právních předpisů uvedených v příloze I AI Aktu.
Namísto paralelních a duplicitních notifikačních řízení tak bude možné podat jednotnou žádost a projít jediným procesem posouzení, což má zjednodušit administrativu, zkrátit délku notifikačních řízení a snížit regulatorní zátěž jak pro samotné notifikované osoby, tak pro výrobce regulovaných produktů.
Regulační sandboxy a testování v reálném prostředí
Návrh rozšiřuje možnosti využívání regulačních sandboxů a testování v reálném prostředí jako nástrojů, které mají propojit dohled nad AI s podporou inovací. Počítá přitom se zřízením celoevropského regulačního sandboxu provozovaného AI Office, zejména pro systémy AI založené na modelech GPAI vyvinutých stejným poskytovatelem.
Vedle národních sandboxů tak má vzniknout dvouvrstvá struktura, v níž má EU sandbox od roku 2028 umožnit přeshraniční experimentování, zejména v odvětvích, kde by plné posouzení shody jinak výrazně brzdilo inovace, jako je doprava, zdravotnická technika, energetika či pokročilá výroba.
Současně se rozšiřují možnosti testování v reálném prostředí i mimo sandboxy. Poskytovatelé vysoce rizikových AI systémů, včetně těch zabudovaných do výrobků regulovaných sektorovými předpisy z přílohy I AI Aktu, budou moci své systémy testovat za kontrolovaných podmínek a pod dohledem. Členské státy mohou s Komisí uzavírat dobrovolné dohody o koordinaci těchto projektů. Cílem je urychlit vývoj bezpečné a právně vyhovující AI bez nutnosti předčasného masového nasazení.
Závěrem
Digital Omnibus o AI představuje koncepční revizi způsobu, jakým má být AI Akt v praxi zaváděn a vymáhán. Přestože je návrh formálně rámován jako technické a implementační „doladění“ již přijaté regulace, jeho přijetí bude mít citelné dopady jak na poskytovatele a provozovatele systémů AI, tak na dozorové orgány. Směřuje k větší jednotnosti, technické proveditelnosti a snížení administrativní zátěže, aniž by byl oslaben ochranný účel samotného AI Aktu.
Současně však nejde pouze o neutrální zjednodušení pravidel. Digital Omnibus o AI posouvá rovnováhu mezi podporou inovací a intenzitou regulatorního dohledu: na jedné straně prodlužuje lhůty, rozšiřuje sandboxy a zmírňuje některé formální povinnosti, na straně druhé však posiluje centralizovaný dohled Evropského úřadu pro AI, zejména u modelů AI obecného určení (GPAI) a velmi velkých online platforem.
Pro podniky působící v EU to znamená dvojí výzvu. Na jedné straně lze očekávat vyšší právní jistotu, předvídatelnější harmonogram povinností a snížení části compliance zátěže, zejména u vysoce rizikových systémů AI, registračních povinností, post-market monitoringu či požadavků na AI gramotnost. Na straně druhé však návrh otevírá i nové strategické otázky, například ohledně připravenosti na dohled AI Office, zapojení do regulačních sandboxů, nastavení governance modelů pro GPAI a celkového řízení rizik spojených s provozem AI.
Vzhledem k tomu, že Digital Omnibus o AI je zatím ve fázi legislativního návrhu a bude dále projednáván Evropským parlamentem a Radou, lze očekávat další úpravy jeho znění. Pro organizace, které AI Akt již implementují nebo jejich dopady teprve vyhodnocují, bude klíčové průběžně sledovat vývoj návrhu a včas přizpůsobit interní procesy, dokumentaci i technická řešení tak, aby byly na nový regulatorní rámec připraveny s dostatečným předstihem.
V případě jakýchkoli dotazů k dopadům Digital Omnibus o AI, AI Aktu, Digital Omnibus, či dalším oblastem EU regulace a compliance jsme Vám v PEYTON legal k dispozici.
[1] Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL amending Regulations (EU) 2016/679, (EU) 2018/1724, (EU) 2018/1725, (EU) 2023/2854 and Directives 2002/58/EC, (EU) 2022/2555 and (EU) 2022/2557 as regards the simplification of the digital legislative framework, and repealing Regulations (EU) 2018/1807, (EU) 2019/1150, (EU) 2022/868, and Directive (EU) 2019/1024 (Digital Omnibus).
[2] Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL amending Regulations (EU) 2024/1689 and (EU) 2018/1139 as regards the simplification of the implementation of harmonised rules on artificial intelligence (Digital Omnibus on AI)
[3] NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2024/1689 ze dne 13. června 2024, kterým se stanoví harmonizovaná pravidla pro umělou inteligenci a mění nařízení (ES) č. 300/2008, (EU) č. 167/2013, (EU) č. 168/2013, (EU) 2018/858, (EU) 2018/1139 a (EU) 2019/2144 a směrnice 2014/90/EU, (EU) 2016/797 a (EU) 2020/1828 (akt o umělé inteligenci)
[4] Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (GDPR).
[5] Nařízení Evropského parlamentu a Rady (EU) 2023/2854 ze dne 13. prosince 2023 o harmonizovaných pravidlech pro přístup k údajům a jejich využívání (nařízení o datech) (Data Act).
[6] Nařízení Evropského Parlamentu a Rady (EU) 2024/2847 ze dne 23. října 2024 o horizontálních požadavcích na kybernetickou bezpečnost produktů s digitálními prvky a o změně nařízení (EU) č. 168/2013 a (EU) 2019/1020 a směrnice (EU) 2020/1828 (akt o kybernetické odolnosti)
Mgr. Jakub Málek, managing partner – malek@plegal.cz
JUDr. Tereza Pechová, advokátní koncipientka – pechova@plegal.cz
22. 1. 2026