AI governance od prvního dne: kolik stojí dodatečná náprava v SMB
Regulace AI se sbližují — akt o UI (srpen 2026), zákony států USA, Asie. Firmy, které governance navrhnou hned, se vyhnou nákladové pasti dodatečné nápravy ve stylu GDPR.

V červnu 2020 zaplatil britský distributor se 180 zaměstnanci, kterého budeme nazývat Northbridge Trading, 142 000 £ za dodatečné zavedení GDPR: registr záznamů o činnostech zpracování, tři posouzení vlivu na ochranu osobních údajů, příručku pro řešení porušení, šest dodavatelských smluv a přestavbu CRM podle zásady privacy-by-design, kterou titíž poradci ocenili na 28 000 £ za předpokladu, že by byla navržena o dva roky dříve. Provozní ředitel, který tyto faktury podepsal, dnes hledí na týž sráz znovu — tentokrát kvůli AI.
Faktura za dodatečnou nápravu, s níž nikdo nepočítal
Northbridge Trading je složený případ, sešitý ze čtyř skutečných zakázek mezi lety 2019 a 2021. Jména jsme změnili; čísla jsou reálná. Záleží na vzorci, protože se chystá zopakovat.
V květnu 2018 Northbridge zavedl GDPR pomocí šablony zásad za 200 £ a s pocitem, že je hotovo. V květnu 2020 přišla první žádost o přístup subjektu údajů, následovalo téměř-porušení v integraci mzdové agendy a o čtrnáct dní později dorazila stížnost k ICO. Do 3. čtvrtletí 2020 firma najala externího právního poradce a inženýra pro ochranu soukromí, aby vybudovali registr činností zpracování, tři posouzení vlivu na ochranu osobních údajů, příručku reakce na incidenty, šest dodavatelských smluv o zpracování osobních údajů a přestavbu CRM s kontrolami privacy-by-design dodatečně vsazenými do již běžících datových toků. Účet vyšplhal na zhruba pětinásobek základní ceny za zabudování, kterou táž poradenská firma vyčíslila pro architekturu z roku 2017 — a byl uhrazen pod regulačním tlakem.
O šest let později provozuje týž provozní ředitel tři nástroje AI nasazené v průběhu roku 2025: asistenta pro třídění životopisů, sumarizátor obchodních hovorů a chatbota zákaznické podpory. Žádný registr AI, žádná riziková klasifikace případů užití, žádná dokumentace podle čl. 26, žádné kurikulum gramotnosti podle čl. 4. Akt o umělé inteligenci (EU AI Act) vstoupil v platnost 1. srpna 2024 [1]; harmonogram Komise klade plnou použitelnost, včetně většiny povinností pro vysoce rizikové systémy, na 2. srpna 2026 [2]. Nástroj pro třídění životopisů je vysoce rizikový podle přílohy III. Pokyny ICO k AI jsou pro britské malé a střední firmy závazné pod UK GDPR od roku 2023 [7]. „Odmítám," říká nám, „vypsat ten šek podruhé."
Sbližování: proč „počkáme a uvidíme" přestalo být v roce 2024 prozíravé
„Globální sbližování", na němž argument pro zabudování stojí, není marketingový slogan. V roce 2024 se regulační objem stal měřitelným a sdílená technická páteř viditelnou.
Čísla, která nelze přehlédnout
AI Index 2025 od Stanford HAI eviduje 59 federálních předpisů USA k AI vydaných v roce 2024, více než dvojnásobek roku 2023, napříč dvojnásobným počtem agentur [3]. Státy USA přijaly 131 zákonů o AI za jediný rok, oproti 49 kumulativně do roku 2023 [3]. Legislativní zmínky o AI vzrostly o 21,3 % napříč 75 zeměmi v roce 2024 [3]. Pro provozního ředitele rozhodujícího, zda jednat hned, nebo čekat, není tento objem šumem v pozadí. Je to signál.
Nařízení (EU) 2024/1689 nabylo účinnosti 1. srpna 2024 [1]. Fázovaný harmonogram Komise je nejjasnější zveřejněnou cestovní mapou: zakázané praktiky platí od 2. února 2025; povinnosti GPAI od 2. srpna 2025; plná použitelnost pro vysoce rizikové systémy od 2. srpna 2026; pravidla pro vestavěné vysoce rizikové produkty prodloužena na 2. srpna 2027 [2]. To není jeden sráz. Je to schodiště. Firmy, které čekají až na nejvyšší schod, dva už mají za sebou.
Sdílená kotva: OECD, NIST, ISO/IEC 42001
Pod tímto objemem leží sdílená páteř, díky níž je governance navržená včas odolná napříč jurisdikcemi. Zásady OECD pro AI, revidované v květnu 2024, přijalo 47 a více zemí [4]. Tvoří výslovný základ pro sladění EU, Spojeného království, USA a G7. NIST AI Risk Management Framework 1.0 organizuje povinnosti kolem čtyř funkcí: Govern, Map, Measure a Manage [5]. Program norem aktu o UI na toto jádro odkazuje; britský AI Playbook (únor 2025) kodifikuje 10 zásad pro vládní AI a signalizuje rovnocenné normy pro svůj dodavatelský řetězec [6].
ISO/IEC 42001 se stala certifikací na úrovni zadávacích řízení, kterou si kupující na středním trhu nyní vyžadují. Governance navržená na průniku zásad OECD, funkcí NIST a požadavků ICO přežije zpřísnění kteréhokoli jednotlivého režimu. Sdílená páteř variabilitu pohlcuje.

Proč „o soulad se postará dodavatel" padá pod tíhou čl. 26?
Nejtěžší věta, jakou lze napsat na marketingovou stránku kteréhokoli dodavatele, zní: „Práci zavádějícího subjektu za vás převzít nemůžeme." Podle aktu o UI je hranice mezi poskytovatelem a zavádějícím subjektem výslovná a neposouvá se tím, že jste si koupili podnikovou edici.
Model sdílené odpovědnosti srozumitelně
Čl. 16 stanovuje povinnosti poskytovatele: posouzení shody, technickou dokumentaci, monitorování po uvedení na trh [1]. Čl. 26 stanovuje povinnosti zavádějícího subjektu: používat systém podle pokynů, zajistit lidský dohled, udržovat relevanci vstupních dat, uchovávat protokoly o vysoce rizikovém použití nejméně šest měsíců a informovat dotčené zaměstnance a zákazníky [1]. Čl. 4 přidává povinnost gramotnosti v oblasti AI každému zaměstnanci, který AI používá, úměrně jeho roli a bez ohledu na to, jaký model je pod tím [1]. Čl. 50 vyžaduje, aby uživatelé věděli, že komunikují s AI, napříč všemi rizikovými kategoriemi [1].
Tyto čtyři články popisují povinnosti, které leží na malé či střední firmě. Smlouva o zpracování, kterou dodavatel podepíše, je nepřesouvá.
Co ChatGPT Enterprise a Copilot neodebírají z vašich rukou
Jakmile britská firma vloží životopis do ChatGPT k třídění uchazečů, stává se zavádějícím subjektem vysoce rizikového systému podle přílohy III [1]. Klasifikace daného případu užití je věcí zavádějícího subjektu. Stránka OpenAI Enterprise Privacy pokrývá záruky na straně modelu: žádné trénování na firemních datech, šifrování, auditní protokoly. Neklasifikuje váš případ užití, nesepíše váš protokol lidského dohledu, nevyškolí vaše lidi ani nevede vaše protokoly zavádějícího subjektu podle čl. 26 odst. 6. Firma se 40 zaměstnanci provozující AI pro třídění životopisů nese stejné povinnosti podle čl. 26 jako zaměstnavatel z FTSE 100. Velikost firmy v pravidle pro klasifikaci nefiguruje.
Pod UK GDPR se vztah správce dat řídí stejnou logikou. Osobní údaje v promptu činí z firmy správce. Práva subjektu údajů nelze na dodavatele delegovat.
ICO mluví jasně už od roku 2023
Pokyny ICO k AI popisují, jak se zásady UK GDPR vztahují na AI zpracovávající osobní údaje, včetně požadavků na posouzení vlivu na ochranu osobních údajů, zmírňování zkreslení a automatizovaného rozhodování [7]. Pokyny se přezkoumávají v návaznosti na Data (Use and Access) Act 2025, který nabyl účinnosti 19. června 2025 [7]. Auditní sada nástrojů ICO k AI poskytuje konkrétní kontrolní seznamy napříč governance, odpovědností, transparentností a právy jednotlivců [8]. Tyto kontrolní seznamy popisují, co zavádějící subjekt potřebuje předtím, než ICO přijde na návštěvu, ne potom. Tři nástroje Northbridge z toho nemají nic. Dodavatelská smlouva o zpracování kryje dodavatele. Mezera patří zavádějícímu subjektu.
Důkazy o nákladech dodatečné nápravy GDPR: co empiricky víme
Empirický argument pro včasné navržení governance nestojí na intuici. Stojí na tom, co se stalo firmám v EU, které v roce 2018 braly GDPR jako něco, co se vyřeší dodatečně.
MIT Sloan / Bessen a kol. — jediná velkovzorková studie dodatečné nápravy, kterou máme
Studie MIT Sloan / Bessen, Janßen, Peukert a Seamans porovnala firmy v EU a mimo EU poté, co v květnu 2018 začalo vymáhání. Zjištění jsou přímá: firmy v EU omezily ukládaná data o 26 % a využití výpočetních zdrojů o 15 % oproti kontrolním firmám mimo EU [9]. Pokles se soustředil v kohortě, která ochranu soukromí od počátku nenavrhla — v kohortě dodatečné nápravy. Nešlo o pokuty ani právní poplatky. Šlo o provozní narušení: ukončené produkty, vyčištěné marketingové datové sady, integrace přestavěné od základu. Firmy, které ochranu soukromí navrhly už od roku 2016, vstřebaly tutéž regulaci bez těchto škrtů.
Northbridge Trading šel cestou dodatečné nápravy. Soulad s GDPR zavedl v roce 2018 šablonou zásad za 200 £ a skutečné náklady objevil o dva roky později. Data MIT Sloan popisují přesně to, co zaplatil: architektonickou přestavbu, která přichází ve chvíli, kdy povinnosti souladu vtahujete do systému, který nebyl navržen, aby je unesl.
Násobek dodatečné nápravy 2,4×
Oborové srovnávací ukazatele nákladů na dodatečnou nápravu docházejí k témuž závěru z nákladové strany: opozdilé malé a střední firmy zaplatily zhruba 2,4násobek toho, co konkurenti se zabudovaným řešením, napříč ROPA, posouzeními vlivu na ochranu osobních údajů, registry právních základů, procesy řešení porušení, renegociací dodavatelských smluv a přestavbou CRM.
Každá z těchto kategorií GDPR má přímý protějšek v aktu o UI. Registr AI nahrazuje ROPA. Posouzení dopadů na základní práva podle čl. 27 nahrazuje posouzení vlivu na ochranu osobních údajů z GDPR. Evidence zavádějícího subjektu podle čl. 26 odst. 6 nahrazuje protokol o porušeních. Kategorie jsou tytéž; provázanost je hlubší. Modely AI, prompty a pracovní postupy jsou architektonicky spřažené způsobem, jakým datové toky nebyly. Vytrhnout evidenční háčky nebo prvky dohledu z nasazeného AI řetězce je inženýrské přepsání, ne dokument o zásadách. Proto násobek zhruba 5× u Northbridge spadá pohodlně do rozpětí, které oborová data pod tlakem vymáhání předpovídají.
Aritmetika nákladů pro firmu: zabudování vs. dodatečná náprava, položku po položce
Násobek dodatečné nápravy a provozní data MIT Sloan jsou užitečné kotvy, ale provozní ředitelka potřebuje čísla, která může vložit do podkladu pro představenstvo. Zde je aritmetika pro firmu se 180 zaměstnanci, která provozuje tři nástroje AI.
Základ při zabudování pro firmu se 180 zaměstnanci a 3 nástroji AI
Navržení AI governance od počátku, rozložené do dvanácti týdnů, stojí podle našich zkušeností ze zakázek:
- Registr AI a riziková kategorizace případů užití: 4–6 dní interní práce plus poradenská revize za 2 000–4 000 £
- Kurikulum gramotnosti podle čl. 4 (90minutový základ pro všechny zaměstnance; celodenní pro vlastníky AI): 3 000–5 000 £
- Protokol lidského dohledu a evidence podle čl. 26 odst. 6 zabudované do architektury: 4 000–6 000 £ inženýrské práce plus dvoudenní právní revize
- Balíček prověrky dodavatelů pokrývající smlouvy o zpracování, model cards a doklad o zveřejnění GPAI: 2 000–3 000 £
Orientační celková cena zabudování: 18 000–32 000 £ napříč dvanácti týdny.
Rozpočet na dodatečnou nápravu pod tlakem vymáhání (3. čtvrtletí 2026)
Dodatečná náprava téhož souboru pod tlakem 3. čtvrtletí 2026 vyjde podstatně dráž:
- Externí právní poradce vymezující expozici podle přílohy III po incidentu: 15 000–25 000 £
- FRIA (čl. 27) a aktualizace posouzení vlivu na ochranu osobních údajů u tří již nasazených nástrojů: 20 000–35 000 £
- Dodatečná náprava evidence a přestavba pracovního postupu lidského dohledu: 40 000–70 000 £
- Konzultace se zaměstnanci, informace o transparentnosti a sdělení zákazníkům: 8 000–12 000 £
Orientační celková cena dodatečné nápravy: 85 000–145 000 £ za šest až dvanáct týdnů stlačené nápravy. Poměr se pohybuje zhruba od 2,7× do 5,1×, čímž reprodukuje spodní hranici oborového srovnání a dosahuje horní hranice Northbridge.
Proč je násobek horší než u GDPR
Násobek dodatečné nápravy AI tlačí nad hodnotu GDPR tři strukturální důvody. Zaprvé, pracovní postupy AI jsou provázané: prompty, verze modelů a navazující automatizované akce jsou spřažené už ze své podstaty, takže plocha refaktoringu je větší než přepojení datových toků. Zadruhé, přestavba zadávacích procesů běží souběžně s regulační lhůtou. Firma, která prohrává výběrová řízení během nápravy, platí oba náklady současně. Zatřetí, strop sankcí je vyšší. Čl. 99 stanovuje pokuty až 7 % celosvětového ročního obratu nebo 35 milionů EUR za zakázané praktiky [1]. Směrnice o odpovědnosti za AI přidává expozici občanskoprávním nárokům, kterou GDPR nevytvářelo.
Pro britskou firmu s ročním obratem 25 milionů £ dosahuje konzervativní základní výpočet (před úlevami pro malé a střední podniky) 750 000 EUR [1]. Náklad na zabudování není režijní položkou souladu. Je to pojistka proti pokutě, která je jeho mnohonásobkem.

Kterých sedm artefaktů tvoří AI governance od prvního dne?
AI governance od prvního dne pro firmu s 50–500 zaměstnanci není abstraktní. Je to sedm artefaktů, které postavíte za čtrnáct dní.
1–3: Inventura a klasifikace
Artefakt 1 — registr AI. Jednostránkové schéma: název systému, dodavatel, model, případ užití, kategorie dat, riziková kategorie, vlastník, protokol dohledu a datum revize. Nepotřebuje k vytvoření poradce; potřebuje disciplínu k udržování.
Artefakt 2 — rozhodovací strom rizikové kategorizace případů užití. Navázaný na kategorie přílohy III: screening v zaměstnání, úvěrové skórování, přístup ke vzdělání, biometrická identifikace a kritická infrastruktura [1]. Pokud se nástroj dotýká kteréhokoli z těchto postupů, spouští povinnosti pro vysoce rizikové systémy.
Artefakt 3 — balíček prověrky dodavatelů. Smlouva o zpracování osobních údajů, model card, zveřejnění GPAI, shrnutí posouzení shody a seznam dílčích zpracovatelů. Zde záleží na tom, zda je základní poskytovatel signatářem kodexu správné praxe pro GPAI [13].
4–5: Provoz a ochrana
Artefakt 4 — protokol lidského dohledu. Čl. 26 odst. 5 vyžaduje jmenovanou osobu, která může přezkoumat a zvrátit jakékoli automatizované rozhodnutí [1]. Protokol stanovuje, kdo tato osoba je, pracovní postup pro zvrácení rozhodnutí, eskalační kritéria a kadenci revizí.
Artefakt 5 — kurikulum gramotnosti v oblasti AI podle čl. 4. 90minutový základ pro všechny zaměstnance, půldenní pro pokročilé uživatele a celodenní pro vlastníky AI, obnovovaný ročně [1]. Čl. 4 se vztahuje na všechny zavádějící subjekty bez ohledu na dodavatele a proporcionalita se škáluje podle role, ne podle počtu zaměstnanců.
6–7: Dokumentace a reakce
Artefakt 6 — evidence a proces řešení incidentů. Protokoly zavádějícího subjektu podle čl. 26 odst. 6, monitorování driftu modelu a kontroly životního cyklu zabezpečení z dokumentu NCSC Guidelines for Secure AI System Development, společné pokyny s CISA a 21 mezinárodními kybernetickými agenturami [10]. Evidenci zabudujte do architektury; dokumenty o zásadách bez inženýrských háčků u auditu selžou.
Artefakt 7 — balíček transparentnosti a informací pro zaměstnance. Informace pro uživatele podle čl. 50 u AI v kontaktu se zákazníky, informace pro zaměstnance podle čl. 26 odst. 7 u jakékoli AI, která monitoruje zaměstnance, a jasná cesta pro stížnosti [1].
Ukotveno v rámcích posvěcených regulátory
Každý artefakt odpovídá kontrolním seznamům governance a odpovědnosti z auditního rámce ICO k AI [8] a jádru NIST AI RMF: Govern, Map, Measure a Manage [5]. ISO/IEC 42001 se mapuje na týž soubor sedmi artefaktů. Postavte je jednou a uspokojí více režimů současně.
Zadávací řízení jsou mechanismus vymáhání, který předsunuli vaši zákazníci
Každý výsledek ve vyhledávání rámuje vymáhání aktu o UI optikou regulačních pokut. Žádný nezmiňuje to, co britské firmy prodávající na střední trh a do velkých podniků v roce 2026 už zjišťují: dotazník kupujícího tam dorazil dřív.
Co teď kupující ze středního trhu a velkých podniků vyžadují
Dodavatelské dotazníky v britských výběrových řízeních v pozdní fázi nyní odkazují na kontrolní rodiny ISO/IEC 42001 a čtyřfunkční jádro NIST AI RMF [5]. Žádají doklad o registru AI a rizikové kategorizaci případů užití, dokumentovaný protokol lidského dohledu vůči čl. 26 odst. 5 [1] a zveřejnění dílčích zpracovatelů s původem modelu GPAI: který základní model, který poskytovatel, který signatář kodexu správné praxe [13]. Týmy zadávacích řízení nečekají na pokyny k vymáhání. Chrání vlastní dodavatelské řetězce proti odpovědnosti, která putuje směrem nahoru, když nástroj AI některého dodavatele spustí incident.
Sedm artefaktů z předchozí sekce je přesně to, co dodavatelský dotazník v oddílu 9 požaduje.
Northbridge prohrává výběrové řízení ve 2. čtvrtletí 2026
Northbridge Trading se ve 2. čtvrtletí 2026 ucházel o tříletou zakázku za 420 000 £ s regulovaným zákazníkem ze středního trhu. Oddíl 9 zněl: „Veďte registr AI, proces FRIA a protokol lidského dohledu — předložte doklady." Northbridge nedokázal odpovědět. Zakázka připadla konkurentovi s jednostránkovým registrem a sadou zásad strukturovanou podle NIST. Přestavba vynucená zadávacím řízením teď sedí na regulační lhůtě. Tikají obě lhůty zároveň.
Dědictví veřejného sektoru
Britské firmy prodávající státu čelí téže normě jiným kanálem. Vládní AI Playbook zveřejněný v únoru 2025 stanovuje 10 zásad pokrývajících etické užití, odpovědnost, transparentnost a řízení životního cyklu a dodavatelé je dědí jako smluvní podmínky [6]. Akční plán příležitostí AI od DSIT, přijatý v plném rozsahu v lednu 2025, posiluje odpovědné nasazení AI jako očekávání vůči dodavatelskému řetězci [11]. Úvodní zpráva CMA o základních modelech AI přidává optiku ochrany spotřebitele a hospodářské soutěže, která dopadá na jakékoli nasazení základního modelu [12].
Setrvávání pod radarem regulátora vás před dotazníkem kupujícího nezachrání. Northbridge to zjistil draze.
Co Digital Omnibus odkládá — a co NE
Titulek Digital Omnibus z listopadu 2025 („EU odkládá akt o UI") nepřežije pečlivé přečtení samotného návrhu. Zmatek je pochopitelný. Titulek není přesný.
Co už platí a nehnulo se
Čtyři povinnosti už platí a žádný výsledek Omnibusu se jich nedotýká. Zákaz zakázaných praktik platí od 2. února 2025 [2]. Povinnost gramotnosti v oblasti AI podle čl. 4 platí od 2. února 2025 [1]. Povinnosti poskytovatelů GPAI a režim kodexu správné praxe nabyly účinnosti 2. srpna 2025 [2]. A UK GDPR je už závazné pro každou britskou organizaci zpracovávající osobní údaje, malé a střední firmy nevyjímaje; pokyny ICO k AI a ochraně osobních údajů jsou výkladem regulátora, jak se tento předpis vztahuje na systémy AI — nejde o závazný kodex, ale o praktický základ souladu, vůči němuž bude ICO posuzovat [7].
Co Digital Omnibus skutečně navrhuje
Omnibus navrhuje úzký odklad režimu posouzení shody u vysoce rizikových systémů podle přílohy III, požadavků na technickou dokumentaci a registraci v databázi EU pro poskytovatele konkrétních kategorií vysoce rizikových systémů AI. Nenavrhuje odložit povinnosti zavádějících subjektů podle čl. 26, povinnosti transparentnosti podle čl. 50, povinnosti gramotnosti podle čl. 4 ani disciplínu dokumentace FRIA. Tyto povinnosti zůstávají ve zveřejněném harmonogramu.
Trialog uvázl 28. dubna 2026. Nový termín byl v době psaní tohoto textu nedořešen. Zveřejněná lhůta Komise proto zůstává právně rozhodným výchozím stavem [2]. Firmy, které si přečetly „odloženo na rok 2027" a na základě tohoto výkladu odložily návrh governance, už zaostávají za povinnostmi na straně zavádějícího subjektu, které se nikdy nehnuly.
Stabilní jádro, jehož se žádný výsledek Omnibusu nedotkne
Governance postavená na stabilním jádru (riziková klasifikace podle případu užití, lidský dohled, evidence zavádějícího subjektu, dokumentace FRIA a posouzení vlivu na ochranu osobních údajů, školení gramotnosti v oblasti AI, sdělování transparentnosti) přežije, ať nakonec přistane jakákoli verze Omnibusu. Co se napříč verzemi Omnibusu mění, je to, do které přílohy případ užití spadá, ne to, zda firma potřebuje registr, protokol dohledu a proces řešení incidentů. „Máme čas do roku 2027" není výklad, který text podporuje.
Jak může firma vybudovat AI governance za 90 dní?
Dvanáct týdnů stačí k dodání governance navržené od počátku, pokud je práce naplánovaná v posloupnosti. Zde je týdenní plán pro firmu s 50–500 zaměstnanci, která začíná od nuly.
Týdny 1–3 — inventura a klasifikace
Objevte každý nástroj AI v provozu, včetně stínové AI: Copilot vestavěný v Microsoft 365, AI v rozšířeních prohlížeče, specializované moduly SaaS s funkcemi AI, které váš tým zadávacích řízení nikdy výslovně neprověřil. Postavte registr AI a přiřaďte vlastníka každému systému. Projděte strom rizikové kategorizace případů užití podle přílohy III a označte jakoukoli expozici v HR screeningu, úvěrovém skórování, vzdělávání, biometrické identifikaci nebo kritické infrastruktuře [1]. Proveďte rychlou revizi právního základu podle UK GDPR pro každý systém zpracovávající osobní údaje [7].
Týdny 4–7 — provoz a dokumentace
Vypracujte protokol lidského dohledu pro každý vysoce rizikový a omezeně rizikový systém: jmenovaná osoba, pracovní postup pro zvrácení rozhodnutí, eskalační kritéria, kadence revizí (artefakt 4). Zaveďte evidenci podle čl. 26 odst. 6 všude, kde to platforma podporuje; jinak vybudujte protokol na straně zavádějícího subjektu. Nenechávejte to na dokumentech o zásadách [8]. Proveďte kurikulum gramotnosti v oblasti AI podle čl. 4: nejprve 90minutový základ pro všechny zaměstnance, poté hloubkové sezení pro pokročilé uživatele a vlastníky AI [1]. Aktualizujte posouzení vlivu na ochranu osobních údajů a FRIA podle sady nástrojů ICO pro každý vysoce rizikový systém [8].
Týdny 8–12 — připravenost na zadávací řízení a revize
Sestavte balíček prověrky dodavatelů: smlouvy o zpracování, model cards, původ GPAI, seznamy dílčích zpracovatelů a status signatáře kodexu správné praxe pro každého poskytovatele základního modelu [13]. Zveřejněte informace o transparentnosti podle čl. 50 u AI v kontaktu se zákazníky; informujte dotčené zaměstnance podle čl. 26 odst. 7 [1]. Namapujte sedm artefaktů na formát dotazníku zadávacího řízení, který kupující ze středního trhu posílají: kontrolní rodiny ISO/IEC 42001 a funkce NIST AI RMF [5]. Naplánujte první čtvrtletní revizi governance a jmenujte odpovědného vlastníka z vrcholového vedení podle požadavku sady nástrojů ICO [8].
Dva antivzorce, kterým se vyhnout
Zaprvé: nákup nástrojového předplatného za 40 000 £ dřív, než je registr naplněn. Nástroje bez vymezeného rozsahu governance jsou jen divadlo. Nástroj odhalí rizika, která firma ještě nedefinovala.
Zadruhé: brát gramotnost podle čl. 4 jako jednorázový webinář. Povinnost je trvalá a úměrná roli [1]. 90minutové úvodní sezení naplní základ; nenaplní roční obnovu ani hlubší sezení pro vlastníky AI. Architektonická přestavba, kterou zaplatili ti, kdo GDPR řešili dodatečně, přišla proto, že se napsaly dokumenty o zásadách a inženýrská práce se přeskočila. Týž vzorec aplikovaný na AI dává týž výsledek.
Poučení
Poučení, které Northbridge už zaplatil
V červnu 2020 podepsal provozní ředitel Northbridge faktury za 142 000 £ na dodatečné zavedení GDPR oproti základu za zabudování ve výši 28 000 £. Nebylo to selhání zadávacího řízení. Bylo to to, co se stane, když schopný provozovatel bere soulad jako něco, co se navrství, až produkt funguje. Data MIT Sloan mění tuto zkušenost ve vzorec: firmy v EU omezily po roce 2018 ukládaná data o 26 % a výpočty o 15 %, přičemž dopad byl nejtěžší u firem, které ochranu soukromí nezabudovaly od prvního dne [9]. Akt o UI se chystá vyučit tuto lekci podruhé.
Dodatečné nápravy AI governance dopadají hůř, protože evidence, lidský dohled a prompty jsou provázané s architekturou pracovních postupů. Zadávací řízení vymáhají akt dříve než regulátoři. Sedm artefaktů stojí 18 000–32 000 £ při zabudování; stojí 85 000–145 000 £ při dodatečné nápravě pod společným tlakem vymáhání a zadávacích řízení. Aritmetika není nijak subtilní.
Shrnutí
AI governance from day one — why retrofitting costs more │ ├─ The retrofit trap │ ├─ GDPR precedent — one SMB paid ~5x to bolt it on late │ ├─ AI Act is worse — prompts & logs entangle with workflow │ └─ The numbers — design-in £18-32k vs retrofit £85-145k │ ├─ You can't outsource it │ ├─ Article 26 — the deployer's job stays with the SMB │ └─ Buying Copilot — vendor covers the model, not your use case │ └─ Act now, not in 2027 ├─ Procurement first — RFP questionnaires enforce before fines ├─ Omnibus myth — it defers providers, not deployer duties └─ Seven artefacts — register, oversight, logging, literacy
Související poznatky
- Lokální vs. cloudové LLM a zabezpečení dat: špatně položená otázka (2026)EN — sada kontrol klasifikace dat a DLP, kterou těchto sedm artefaktů governance předpokládá jako již zavedenou.
- Člověk ve smyčce není dohled. Je to disciplína návrhu. — jak se povinnost lidského dohledu podle čl. 26 stává funkčním prahovým systémem namísto rituálu schvalování.
- 50 otázek, které si položit před zavedením AI: průvodce pro malé a střední firmyEN — prověrka ve fázi nákupu, která odhalí mezery v artefaktech governance před podpisem zadávacího řízení, ne po něm.
Frequently Asked Questions
Odkdy se akt o UI vztahuje na britské malé a střední firmy a které povinnosti už platí?
Kolik stojí dodatečné zavedení AI governance oproti jejímu zabudování u firmy se 180 zaměstnanci?
Přenáší nákup ChatGPT Enterprise nebo Microsoft Copilot soulad s aktem o UI na dodavatele?
Jak vlastně vypadá AI governance od prvního dne v malé či střední firmě?
Odkládá Digital Omnibus z listopadu 2025 akt o UI natolik, že malá firma může vyčkávat?
Co je posouzení dopadů na základní práva (FRIA) podle čl. 27 aktu o UI a kdo je musí provést?
Pomůže certifikace ISO 42001 s připraveností na akt o UI, nebo jde o oddělené cesty souladu?
Sources
- 1.Regulation (EU) 2024/1689 — Artificial Intelligence Act — European Parliament and of the Council · 2024
- 2.Regulatory Framework on AI — European Commission · 2024
- 3.2025 AI Index Report — Chapter 6: Policy and Governance — Stanford Institute for Human-Centered AI (HAI) · 2025
- 4.AI Principles (revised May 2024) — OECD · 2024
- 5.Artificial Intelligence Risk Management Framework (AI RMF 1.0) — NIST · 2023
- 6.Artificial Intelligence Playbook for the UK Government — UK Government Digital Service / DSIT · 2025
- 7.Guidance on AI and Data Protection — Information Commissioner's Office (ICO) · 2023
- 8.AI and Data Protection Risk Toolkit / AI Auditing Framework — Information Commissioner's Office (ICO) · 2023
- 9.GDPR's Effects on Firm Data and Computation Use (Bessen, Janßen, Peukert, Seamans) — MIT Sloan · 2022
- 10.Guidelines for Secure AI System Development — National Cyber Security Centre (NCSC) · 2023
- 11.AI Opportunities Action Plan — UK Department for Science, Innovation and Technology (DSIT) · 2025
- 12.AI Foundation Models: Initial Report — Competition and Markets Authority (CMA) · 2023
- 13.Guidelines for Providers of General-Purpose AI Models — European Commission · 2024
Want this run on your business?
AI Foundation Audit — a structured assessment of your AI footprint: integration risks, governance gaps, ROI opportunities. Delivered as a comprehensive report you can act on.
You receive your Executive Report and Implementation Brief — tailored to your business and delivered immediately.