Jak sestavit registr AI za 90 minut (akt o UI)
Registr AI pro evropské malé a střední firmy podle čl. 26 aktu o UI a pokynů ICO sestavíte v pěti krocích za 90 minut. Startovací sloupce, úskalí, pravidla odpovědnosti.

Většina evropských malých a středních firem pohlíží na registr AI jako na těžkopádný dokument, který sepíše, až přituhne vymáhání aktu o UI. To je omyl. Funkční verze 1 vznikne za devadesát minut, pokud ji pojmete jako přehled na straně zavádějícího subjektu, a ne jako compliance artefakt. Níže je pětikrokový postup, který s provozními manažery procházíme v rámci našich auditních zakázek — tentýž, který do pátečního odpoledne dostane rizikový obraz podle přílohy III na jednu stránku a získá prostor odvést tu pomalejší práci pořádně.
Stručná odpověď. Registr AI je přehled všech systémů AI ve vaší organizaci na straně zavádějícího subjektu, předpokládaný povinnostmi podle čl. 26 aktu o UI [1] a sladěný s pokyny ICO podle UK GDPR [2]. Funkční verze 1 vznikne u firem do 200 zaměstnanců za devadesát minut: 15 minut na výpis, 20 na zařazení do rizikových úrovní podle přílohy III, 25 na vyplnění základních sloupců a 30 na určení odpovědných osob a namátkovou prověrku dohledu.
Co je registr AI?
Registr AI je k povinnostem zavádějícího subjektu podle čl. 26 tím, čím jsou záznamy o činnostech zpracování (ROPA) k čl. 30 UK GDPR: živým přehledem, který pojmenuje každý systém, zařadí jeho rizikovou úroveň a přiřadí odpovědnou osobu. Je to dokument, o který si jako první řekne vyšetřovatel ICO, nákupní oddělení nebo tým bezpečnosti dodavatelů na straně firemního zákazníka.
Akt o UI formát registru v textu nařízení nepředepisuje. Čl. 26 odst. 5 vyžaduje, aby zavádějící subjekty u vysoce rizikových systémů zajistily lidský dohled jmenovitě určenou kompetentní osobou; čl. 26 odst. 6 vyžaduje protokolování vysoce rizikových použití po dobu nejméně šesti měsíců [1]. Registr je provozní podloží, díky němuž je obojí viditelné. ICO od roku 2023 jasně uvádí, že AI zpracovávající osobní údaje podle UK GDPR spouští kázeň posouzení vlivu na ochranu osobních údajů (DPIA) a povinnosti odpovědnosti [2], a auditní sada nástrojů ICO pro AI vyjmenovává druhy strukturovaných záznamů, které bude firma potřebovat [3]. Žádný regulátor konkrétní nástroj nenařizuje. Tabulka, která pojmenuje správné sloupce a přiřadí správné vlastníky, v testu obstojí.
Proč devadesát minut funguje (a co vám nepřinese)
Registr není cílová stanice. Je to mapa. Devadesát minut stačí, aby vyplynulo, jaká AI se používá, aby se zařadila její riziková úroveň a přiřadila se odpovědnost — trojice faktů, kterou musí každý zavádějící subjekt doložit dřív, než se zeptá regulátor, zákazník nebo představenstvo. Co za devadesát minut nezískáte: posouzení dopadů na základní práva podle čl. 27 pro každý systém podle přílohy III, kurikulum gramotnosti v oblasti AI podle čl. 4 přiměřené roli, balíček prověrky dodavatelů pokrývající smlouvy o zpracování a dokumentaci modelů (model cards), ani plně sepsaný protokol lidského dohledu [1]. To jsou navazující okruhy práce, vymezené podle toho, co registr odhalí.
Důležitější než dokonalost je dodržet časový limit. V našich auditních zakázkách firmy, které k registru přistupují jako k několikatýdennímu projektu, jej obvykle nevyprodukují; firmy, které verzi 1 ohraničí na devadesát minut, mají registr hned první den a pak jej iterují. Povinnosti podle čl. 26 jsou průběžné, ne jednorázové, takže verze 1, kterou umíte aktualizovat, má rozhodně větší cenu než verze 3, kterou jste ani nezačali.
Jak probíhá 90minutový postup tvorby registru AI?
Krok 1 — Vypište každý používaný systém AI (15 minut)
Tři zdroje pokryjí většinu toho, co najdete. Placená předplatná SaaS vytáhněte z účetnictví nebo z výpisu firemní karty — na seznam patří každý dodavatel, který má v názvu produktu „AI“, „ML“, „Copilot“, „Assistant“ nebo „Insight“. Vestavěnou AI vytáhněte ze stávajících platforem — Microsoft 365 Copilot, funkce Google Workspace Gemini, Salesforce Einstein, HubSpot Breeze, automatické odpovědi v Outlooku, shrnutí schůzek v Teams, to vše spadá do rozsahu, ať placené, či ne. Stínovou AI zmapujte jedním odstavcem v celofiremní zprávě s dotazem, jaké nástroje AI zaměstnanci den co den používají, včetně neplacených spotřebitelských účtů.
Stínovou AI berte jako součást rozsahu. Zaměstnanec, který vloží životopis do bezplatného účtu ChatGPT, dělá z firmy vysoce rizikový zavádějící subjekt podle ustanovení aktu o UI o zaměstnávání [1] a data zároveň opouštějí vaše prostředí podle UK GDPR [2]. Úkolem registru je to odhalit, ne hlídkovat. Hlídkování přijde v kroku 4, až budete vědět, co tam je.
Krok 2 — Zařaďte každý systém do rizikové úrovně podle přílohy III (20 minut)
Příloha III aktu o UI vyjmenovává osm vysoce rizikových oblastí [1]: biometrickou identifikaci, kritickou infrastrukturu, vzdělávání a odbornou přípravu, zaměstnávání a řízení pracovníků, přístup k základním službám, vymáhání práva, migraci a ochranu hranic a výkon spravedlnosti. Pro malé a střední firmy bývají živými spouštěči obvykle zaměstnávání (třídění životopisů, hodnocení výkonu, automatizované plánování směn), přístup ke službám (úvěrová rozhodnutí, oceňování pojištění) a vzdělávání (hodnocení školení, certifikace).
Každý systém na seznamu označte jako jeden z těchto: vysoce rizikový (shoda s přílohou III), s omezeným rizikem (povinnosti transparentnosti podle čl. 50), s minimálním rizikem (žádné konkrétní povinnosti nad rámec gramotnosti podle čl. 4) nebo zavádějící subjekt obecné AI (model GPAI jako základ chatbota či asistenta) [1]. Většina firemních sad spadá do dvou až tří úrovní. Zařazení je věcí zavádějícího subjektu; nelze je delegovat na dodavatele a neovlivňuje je velikost firmy.
Krok 3 — Vyplňte deset základních sloupců (25 minut)
Sloupce, které si na registru zavádějícího subjektu zaslouží své místo:
- Název systému — jak mu vaši lidé den co den říkají.
- Dodavatel — právnická osoba stojící za produktem.
- Model nebo verze — je-li známa (např. GPT-4o, Claude 3.5, Gemini 1.5, vlastní řešení).
- Účel — jedna věta popisující, o čem systém rozhoduje nebo co generuje.
- Riziková úroveň — vysoké / omezené / minimální / zavádějící subjekt GPAI.
- Zpracovávané osobní údaje — ano/ne, plus kategorie podle UK GDPR.
- Právní základ — právní základ podle čl. 6 UK GDPR (oprávněný zájem, smlouva, souhlas atd.).
- Odpovědná osoba — jmenovitě určený jednotlivec, ne tým či role.
- Protokolování podle čl. 26 odst. 6 — ano/ne/nerelevantní u vysoce rizikových nasazení.
- Datum zavedení — minimálně měsíc a rok.
Tabulka s těmito deseti sloupci odpovídá na první otázku, kterou každý regulátor, zákazník či člen představenstva položí. Cokoli nad rámec je práce iterativní, ne práce verze 1. Odolejte nutkání přidávat sloupce, dokud všech deset nevyplníte napříč každým řádkem.
Krok 4 — Určete odpovědnou osobu ke každému systému (15 minut)
Čl. 26 odst. 5 vyžaduje, aby zavádějící subjekty u vysoce rizikových systémů zajistily lidský dohled kompetentní, odpovědnou osobou s pravomocí systém pozastavit nebo jeho rozhodnutí zvrátit [1]. Přeneste to do registru tak, že ke každému řádku podle přílohy III uvedete skutečného jednotlivce — ne roli jako „vedoucí IT“ nebo „vedoucí provozu“. Odpovědná osoba potřebuje tři vlastnosti: dokáže číst výstupy systému, má pravomoc jej vypnout a je v registru dosažitelná jménem.
U systémů mimo přílohu III určete vlastníka stejně tak. Formální povinnost je lehčí; kázeň je táž. Provozní manažeři a seniorní vedoucí jsou ve většině firem přirozenými vlastníky; CTO ani CDO není potřeba.
Krok 5 — Namátkově prověřte lidský dohled u jednoho vysoce rizikového systému (15 minut)
U svého nejrizikovějšího řádku podle přílohy III projděte tři otázky: kontroluje člověk výstup AI dřív, než dopadne na člověka (test člověka ve smyčce); dokáže ten člověk rozhodnutí AI v praxi zvrátit (test pravomoci); dostal člověk roli odpovídající školení podle čl. 4 (test gramotnosti) [1]? Odpovědi zapište do volného textového sloupce „poznámky k lidskému dohledu“ vedle deseti základních sloupců.
Protokol lidského dohledu za patnáct minut nedokončíte. Cílem je odhalit, kde je mezera, ne ji uzavřít. Řádek se zápisem „žádná lidská kontrola u třídění životopisů; mezeru uzavřít do 30 dnů“ je přesně ten správný výstup. Úkolem registru je mezeru zviditelnit; její uzavření je samostatný okruh práce a samostatný rozpočet.

Kterých pět úskalí zabije verzi 1 registru AI?
- Pojetí registru jako jednorázového dokumentu. Povinnosti podle čl. 26 jsou průběžné; registr je živý artefakt, který se přezkoumává alespoň čtvrtletně a aktualizuje vždy, když je zaveden nový systém AI nebo když dodavatel vydá zásadní změnu modelu.
- Přehlédnutí stínové AI. Neplacené spotřebitelské účty a soukromé relace v Copilotu jsou kategorie s nejvyšším výskytem a nejnižší viditelností. Pokud je registr neodhalí, lže.
- Nákup „compliance nástroje“ ještě před výpisem. Compliance SaaS od dodavatele vaše použití nezařadí — to dokáže jen váš tým. Nejdřív tabulka, nástroj později (nebo nikdy; pro firmy do 200 zaměstnanců udržovaná tabulka stačí).
- Přiřazení role místo osoby. „Tým IT“ nelze vyrozumět. Jmenovitě určeného jednotlivce s telefonním číslem ano. Čl. 26 odst. 5 předpokládá to druhé [1].
- Úplné vynechání gramotnosti podle čl. 4. Čl. 4 platí od 2. února 2025 pro každého zaměstnance používajícího AI, přiměřeně jeho roli [1]. Není to úroveň — povinnost podle čl. 4 vyvstává u každého systému. Uveďte ji v registru i tehdy, když je samotné kurikulum navazující prací.
Co dělat po devadesáti minutách
Registr slouží k odhalování. Obvykle z něj vzejdou tři navazující okruhy práce:
- Vymezení FRIA pro každý řádek podle přílohy III, podle čl. 27 aktu o UI [1] — samostatný, hlubší dokument, který sloupec rizikové úrovně v registru spíše iniciuje, než nahrazuje.
- Kurikulum gramotnosti v oblasti AI podle čl. 4 — přiměřené roli, vymezené podle sloupce odpovědných osob v registru, ne podle počtu zaměstnanců.
- Balíček prověrky dodavatelů — smlouvy o zpracování, dokumentace modelů, původ GPAI, vymezený podle sloupce dodavatelů v registru a aktualizovaný při obnově nákupu.
To jsou okruhy práce, které přístup navržený od počátku pokryje zhruba za dvanáct týdnů za 18 000–32 000 £ podle naší zkušenosti ze zakázek, a tytéž okruhy práce, které dodatečné (zpětné) zavádění pokryje za šest stlačených týdnů za 85 000–145 000 £ — násobek odpovídající datům MIT Sloan o období po GDPR, podle nichž firmy v EU pod tlakem vymáhání omezily ukládaná data o 26 % a výpočetní výkon o 15 % [4]. Registr je nejlevnější možný první tah proti této aritmetice.
Shrnutí
AI Register in 90 Minutes — a deployer-side inventory │ ├─ The five-step build │ ├─ List (15m) — paid, embedded, and shadow AI in scope │ ├─ Risk-tier (20m) — match each system to Annex III │ ├─ Ten columns (25m) — the audit-ready floor, no more │ ├─ Name owners (15m) — a person per system, not a team │ └─ Spot-check (15m) — surface the oversight gap, don't close it │ ├─ Why timebox v1 │ ├─ A living map — Article 26 duties are continuous │ └─ v1 you update beats v3 you never start │ └─ What it doesn't buy └─ Downstream — FRIA, Article 4 literacy, vendor due diligence
Související přehledy
- Řízení AI od prvního dne: kolik malé a střední firmy stojí dodatečné zavádění shody — základní článek, který tento návod doplňuje. Přečtěte si jej kvůli aritmetice nákladů, případu Northbridge a sedmi artefaktům řízení od prvního dne.
- Vaše firma nepotřebuje víc nástrojů AI. Potřebuje strategii AI.EN — předřazený text o tom, proč na schváleném seznamu AI záleží víc než na kterémkoli jednotlivém předplatném, a o sekvenci auditu a konsolidace, která jej vytvoří.
Naposledy aktualizováno: květen 2026. Verze 1.0.
Frequently Asked Questions
Nahrazuje registr AI záznamy o činnostech zpracování podle GDPR?
Zaměstnanci používají bezplatný ChatGPT a spotřebitelský Copilot. Patří to do registru?
Naše firma sídlí mimo EU. Vztahuje se akt o UI na náš registr?
Kdo by měl registr AI vlastnit ve firmě bez CTO?
Jak často máme registr aktualizovat?
Stačí tabulka, nebo potřebujeme specializovaný nástroj GRC?
Sources
- 1.Regulation (EU) 2024/1689 — Artificial Intelligence Act — European Parliament and of the Council · 2024
- 2.Guidance on AI and Data Protection — Information Commissioner's Office (ICO) · 2023
- 3.AI and Data Protection Risk Toolkit / AI Auditing Framework — Information Commissioner's Office (ICO) · 2023
- 4.GDPR's Effects on Firm Data and Computation Use (Bessen, Janßen, Peukert, Seamans) — MIT Sloan · 2022
Want this run on your business?
AI Foundation Audit — a structured assessment of your AI footprint: integration risks, governance gaps, ROI opportunities. Delivered as a comprehensive report you can act on.
You receive your Executive Report and Implementation Brief — tailored to your business and delivered immediately.