Skip to content

Jak sestavit registr AI za 90 minut (akt o UI)

Registr AI pro evropské malé a střední firmy podle čl. 26 aktu o UI a pokynů ICO sestavíte v pěti krocích za 90 minut. Startovací sloupce, úskalí, pravidla odpovědnosti.

Jak sestavit registr AI za 90 minut (akt o UI)
Methodology by Daniela PiskackovaCo-founder & AI Audit Lead

Většina evropských malých a středních firem pohlíží na registr AI jako na těžkopádný dokument, který sepíše, až přituhne vymáhání aktu o UI. To je omyl. Funkční verze 1 vznikne za devadesát minut, pokud ji pojmete jako přehled na straně zavádějícího subjektu, a ne jako compliance artefakt. Níže je pětikrokový postup, který s provozními manažery procházíme v rámci našich auditních zakázek — tentýž, který do pátečního odpoledne dostane rizikový obraz podle přílohy III na jednu stránku a získá prostor odvést tu pomalejší práci pořádně.

Stručná odpověď. Registr AI je přehled všech systémů AI ve vaší organizaci na straně zavádějícího subjektu, předpokládaný povinnostmi podle čl. 26 aktu o UI [1] a sladěný s pokyny ICO podle UK GDPR [2]. Funkční verze 1 vznikne u firem do 200 zaměstnanců za devadesát minut: 15 minut na výpis, 20 na zařazení do rizikových úrovní podle přílohy III, 25 na vyplnění základních sloupců a 30 na určení odpovědných osob a namátkovou prověrku dohledu.

Co je registr AI?

Registr AI je k povinnostem zavádějícího subjektu podle čl. 26 tím, čím jsou záznamy o činnostech zpracování (ROPA) k čl. 30 UK GDPR: živým přehledem, který pojmenuje každý systém, zařadí jeho rizikovou úroveň a přiřadí odpovědnou osobu. Je to dokument, o který si jako první řekne vyšetřovatel ICO, nákupní oddělení nebo tým bezpečnosti dodavatelů na straně firemního zákazníka.

Akt o UI formát registru v textu nařízení nepředepisuje. Čl. 26 odst. 5 vyžaduje, aby zavádějící subjekty u vysoce rizikových systémů zajistily lidský dohled jmenovitě určenou kompetentní osobou; čl. 26 odst. 6 vyžaduje protokolování vysoce rizikových použití po dobu nejméně šesti měsíců [1]. Registr je provozní podloží, díky němuž je obojí viditelné. ICO od roku 2023 jasně uvádí, že AI zpracovávající osobní údaje podle UK GDPR spouští kázeň posouzení vlivu na ochranu osobních údajů (DPIA) a povinnosti odpovědnosti [2], a auditní sada nástrojů ICO pro AI vyjmenovává druhy strukturovaných záznamů, které bude firma potřebovat [3]. Žádný regulátor konkrétní nástroj nenařizuje. Tabulka, která pojmenuje správné sloupce a přiřadí správné vlastníky, v testu obstojí.

Proč devadesát minut funguje (a co vám nepřinese)

Registr není cílová stanice. Je to mapa. Devadesát minut stačí, aby vyplynulo, jaká AI se používá, aby se zařadila její riziková úroveň a přiřadila se odpovědnost — trojice faktů, kterou musí každý zavádějící subjekt doložit dřív, než se zeptá regulátor, zákazník nebo představenstvo. Co za devadesát minut nezískáte: posouzení dopadů na základní práva podle čl. 27 pro každý systém podle přílohy III, kurikulum gramotnosti v oblasti AI podle čl. 4 přiměřené roli, balíček prověrky dodavatelů pokrývající smlouvy o zpracování a dokumentaci modelů (model cards), ani plně sepsaný protokol lidského dohledu [1]. To jsou navazující okruhy práce, vymezené podle toho, co registr odhalí.

Důležitější než dokonalost je dodržet časový limit. V našich auditních zakázkách firmy, které k registru přistupují jako k několikatýdennímu projektu, jej obvykle nevyprodukují; firmy, které verzi 1 ohraničí na devadesát minut, mají registr hned první den a pak jej iterují. Povinnosti podle čl. 26 jsou průběžné, ne jednorázové, takže verze 1, kterou umíte aktualizovat, má rozhodně větší cenu než verze 3, kterou jste ani nezačali.

Jak probíhá 90minutový postup tvorby registru AI?

Krok 1 — Vypište každý používaný systém AI (15 minut)

Tři zdroje pokryjí většinu toho, co najdete. Placená předplatná SaaS vytáhněte z účetnictví nebo z výpisu firemní karty — na seznam patří každý dodavatel, který má v názvu produktu „AI“, „ML“, „Copilot“, „Assistant“ nebo „Insight“. Vestavěnou AI vytáhněte ze stávajících platforem — Microsoft 365 Copilot, funkce Google Workspace Gemini, Salesforce Einstein, HubSpot Breeze, automatické odpovědi v Outlooku, shrnutí schůzek v Teams, to vše spadá do rozsahu, ať placené, či ne. Stínovou AI zmapujte jedním odstavcem v celofiremní zprávě s dotazem, jaké nástroje AI zaměstnanci den co den používají, včetně neplacených spotřebitelských účtů.

Stínovou AI berte jako součást rozsahu. Zaměstnanec, který vloží životopis do bezplatného účtu ChatGPT, dělá z firmy vysoce rizikový zavádějící subjekt podle ustanovení aktu o UI o zaměstnávání [1] a data zároveň opouštějí vaše prostředí podle UK GDPR [2]. Úkolem registru je to odhalit, ne hlídkovat. Hlídkování přijde v kroku 4, až budete vědět, co tam je.

Krok 2 — Zařaďte každý systém do rizikové úrovně podle přílohy III (20 minut)

Příloha III aktu o UI vyjmenovává osm vysoce rizikových oblastí [1]: biometrickou identifikaci, kritickou infrastrukturu, vzdělávání a odbornou přípravu, zaměstnávání a řízení pracovníků, přístup k základním službám, vymáhání práva, migraci a ochranu hranic a výkon spravedlnosti. Pro malé a střední firmy bývají živými spouštěči obvykle zaměstnávání (třídění životopisů, hodnocení výkonu, automatizované plánování směn), přístup ke službám (úvěrová rozhodnutí, oceňování pojištění) a vzdělávání (hodnocení školení, certifikace).

Každý systém na seznamu označte jako jeden z těchto: vysoce rizikový (shoda s přílohou III), s omezeným rizikem (povinnosti transparentnosti podle čl. 50), s minimálním rizikem (žádné konkrétní povinnosti nad rámec gramotnosti podle čl. 4) nebo zavádějící subjekt obecné AI (model GPAI jako základ chatbota či asistenta) [1]. Většina firemních sad spadá do dvou až tří úrovní. Zařazení je věcí zavádějícího subjektu; nelze je delegovat na dodavatele a neovlivňuje je velikost firmy.

Krok 3 — Vyplňte deset základních sloupců (25 minut)

Sloupce, které si na registru zavádějícího subjektu zaslouží své místo:

  1. Název systému — jak mu vaši lidé den co den říkají.
  2. Dodavatel — právnická osoba stojící za produktem.
  3. Model nebo verze — je-li známa (např. GPT-4o, Claude 3.5, Gemini 1.5, vlastní řešení).
  4. Účel — jedna věta popisující, o čem systém rozhoduje nebo co generuje.
  5. Riziková úroveň — vysoké / omezené / minimální / zavádějící subjekt GPAI.
  6. Zpracovávané osobní údaje — ano/ne, plus kategorie podle UK GDPR.
  7. Právní základ — právní základ podle čl. 6 UK GDPR (oprávněný zájem, smlouva, souhlas atd.).
  8. Odpovědná osoba — jmenovitě určený jednotlivec, ne tým či role.
  9. Protokolování podle čl. 26 odst. 6 — ano/ne/nerelevantní u vysoce rizikových nasazení.
  10. Datum zavedení — minimálně měsíc a rok.

Tabulka s těmito deseti sloupci odpovídá na první otázku, kterou každý regulátor, zákazník či člen představenstva položí. Cokoli nad rámec je práce iterativní, ne práce verze 1. Odolejte nutkání přidávat sloupce, dokud všech deset nevyplníte napříč každým řádkem.

Krok 4 — Určete odpovědnou osobu ke každému systému (15 minut)

Čl. 26 odst. 5 vyžaduje, aby zavádějící subjekty u vysoce rizikových systémů zajistily lidský dohled kompetentní, odpovědnou osobou s pravomocí systém pozastavit nebo jeho rozhodnutí zvrátit [1]. Přeneste to do registru tak, že ke každému řádku podle přílohy III uvedete skutečného jednotlivce — ne roli jako „vedoucí IT“ nebo „vedoucí provozu“. Odpovědná osoba potřebuje tři vlastnosti: dokáže číst výstupy systému, má pravomoc jej vypnout a je v registru dosažitelná jménem.

U systémů mimo přílohu III určete vlastníka stejně tak. Formální povinnost je lehčí; kázeň je táž. Provozní manažeři a seniorní vedoucí jsou ve většině firem přirozenými vlastníky; CTO ani CDO není potřeba.

Krok 5 — Namátkově prověřte lidský dohled u jednoho vysoce rizikového systému (15 minut)

U svého nejrizikovějšího řádku podle přílohy III projděte tři otázky: kontroluje člověk výstup AI dřív, než dopadne na člověka (test člověka ve smyčce); dokáže ten člověk rozhodnutí AI v praxi zvrátit (test pravomoci); dostal člověk roli odpovídající školení podle čl. 4 (test gramotnosti) [1]? Odpovědi zapište do volného textového sloupce „poznámky k lidskému dohledu“ vedle deseti základních sloupců.

Protokol lidského dohledu za patnáct minut nedokončíte. Cílem je odhalit, kde je mezera, ne ji uzavřít. Řádek se zápisem „žádná lidská kontrola u třídění životopisů; mezeru uzavřít do 30 dnů“ je přesně ten správný výstup. Úkolem registru je mezeru zviditelnit; její uzavření je samostatný okruh práce a samostatný rozpočet.

Sestavení registru AI za 90 minut jako časově ohraničený postup: výpis systémů za 15 minut, zařazení do rizikových úrovní podle přílohy III za 20, vyplnění deseti základních sloupců za 25, určení odpovědného vlastníka za 15 a namátková prověrka dohledu za 15.
Sestavení registru AI za 90 minut jako časově ohraničený postup.

Kterých pět úskalí zabije verzi 1 registru AI?

  • Pojetí registru jako jednorázového dokumentu. Povinnosti podle čl. 26 jsou průběžné; registr je živý artefakt, který se přezkoumává alespoň čtvrtletně a aktualizuje vždy, když je zaveden nový systém AI nebo když dodavatel vydá zásadní změnu modelu.
  • Přehlédnutí stínové AI. Neplacené spotřebitelské účty a soukromé relace v Copilotu jsou kategorie s nejvyšším výskytem a nejnižší viditelností. Pokud je registr neodhalí, lže.
  • Nákup „compliance nástroje“ ještě před výpisem. Compliance SaaS od dodavatele vaše použití nezařadí — to dokáže jen váš tým. Nejdřív tabulka, nástroj později (nebo nikdy; pro firmy do 200 zaměstnanců udržovaná tabulka stačí).
  • Přiřazení role místo osoby. „Tým IT“ nelze vyrozumět. Jmenovitě určeného jednotlivce s telefonním číslem ano. Čl. 26 odst. 5 předpokládá to druhé [1].
  • Úplné vynechání gramotnosti podle čl. 4. Čl. 4 platí od 2. února 2025 pro každého zaměstnance používajícího AI, přiměřeně jeho roli [1]. Není to úroveň — povinnost podle čl. 4 vyvstává u každého systému. Uveďte ji v registru i tehdy, když je samotné kurikulum navazující prací.

Co dělat po devadesáti minutách

Registr slouží k odhalování. Obvykle z něj vzejdou tři navazující okruhy práce:

  1. Vymezení FRIA pro každý řádek podle přílohy III, podle čl. 27 aktu o UI [1] — samostatný, hlubší dokument, který sloupec rizikové úrovně v registru spíše iniciuje, než nahrazuje.
  2. Kurikulum gramotnosti v oblasti AI podle čl. 4 — přiměřené roli, vymezené podle sloupce odpovědných osob v registru, ne podle počtu zaměstnanců.
  3. Balíček prověrky dodavatelů — smlouvy o zpracování, dokumentace modelů, původ GPAI, vymezený podle sloupce dodavatelů v registru a aktualizovaný při obnově nákupu.

To jsou okruhy práce, které přístup navržený od počátku pokryje zhruba za dvanáct týdnů za 18 000–32 000 £ podle naší zkušenosti ze zakázek, a tytéž okruhy práce, které dodatečné (zpětné) zavádění pokryje za šest stlačených týdnů za 85 000–145 000 £ — násobek odpovídající datům MIT Sloan o období po GDPR, podle nichž firmy v EU pod tlakem vymáhání omezily ukládaná data o 26 % a výpočetní výkon o 15 % [4]. Registr je nejlevnější možný první tah proti této aritmetice.

Shrnutí

AI Register in 90 Minutes — a deployer-side inventory
│
├─ The five-step build
│   ├─ List (15m) — paid, embedded, and shadow AI in scope
│   ├─ Risk-tier (20m) — match each system to Annex III
│   ├─ Ten columns (25m) — the audit-ready floor, no more
│   ├─ Name owners (15m) — a person per system, not a team
│   └─ Spot-check (15m) — surface the oversight gap, don't close it
│
├─ Why timebox v1
│   ├─ A living map — Article 26 duties are continuous
│   └─ v1 you update beats v3 you never start
│
└─ What it doesn't buy
    └─ Downstream — FRIA, Article 4 literacy, vendor due diligence

Související přehledy


Naposledy aktualizováno: květen 2026. Verze 1.0.

Frequently Asked Questions

Nahrazuje registr AI záznamy o činnostech zpracování podle GDPR?
Ne, jde o dva doplňující se přehledy s odlišným právním základem. Záznamy o činnostech zpracování (ROPA) jsou povinné podle čl. 30 UK GDPR a mapují toky osobních údajů. Registr AI je jejich protějšek na straně zavádějícího subjektu podle čl. 26 aktu o UI a pokynů ICO; eviduje každý systém AI bez ohledu na to, zda zpracovává osobní údaje. Mnoho systémů je v obou, ale jejich vzájemné propojení je obousměrně typu jeden k mnoha.
Zaměstnanci používají bezplatný ChatGPT a spotřebitelský Copilot. Patří to do registru?
Ano. Povinnosti zavádějícího subjektu podle čl. 26 platí pro firmu bez ohledu na to, zda je předplatné AI firemní, nebo spotřebitelské, placené, nebo bezplatné. Jakmile zaměstnanec použije nástroj AI při práci, je firma zavádějícím subjektem a systém patří do registru. Bezplatné spotřebitelské účty navíc obvykle postrádají smlouvu o zpracování osobních údajů, kterou nabízí firemní úroveň, a riziko podle UK GDPR tak spíše zvyšují, než snižují.
Naše firma sídlí mimo EU. Vztahuje se akt o UI na náš registr?
U firem se sídlem mimo EU je přímá použitelnost aktu o UI užší, ale málokdy nulová. Akt působí extrateritoriálně, když se výstup systému využívá uvnitř EU, k čemuž u produktů SaaS a B2B služeb dochází běžně. I bez vazby na EU národní regulátoři logiku zavádějícího subjektu sledují — ICO sladil své pokyny k AI s aktem už od roku 2023 a obdobné evropské jurisdikce mimo EU jej následují. Registr postavený podle čl. 26 těmto směrům vyhoví také.
Kdo by měl registr AI vlastnit ve firmě bez CTO?
Provozní ředitel, vedoucí compliance nebo seniorní osoba podřízená jednateli. Vedení registru je práce redakční, nikoli technická: udržovat řádky, aktualizovat rizikové úrovně při změnách systémů a každé čtvrtletí urgovat odpovědné osoby. Běžný model je jeden určený vlastník, který registr vede zhruba tři hodiny za čtvrtletí, a vedle něj jmenovitě určená odpovědná osoba u každého řádku nesoucí vlastní povinnosti k danému systému.
Jak často máme registr aktualizovat?
Reálné minimum je čtvrtletně, plus aktualizace řízená událostmi vždy, když pořídíte nový systém AI nebo přijde zásadní změna modelu (například přechod dodavatele z jedné generace modelu na další). U vysoce rizikových řádků podle přílohy III se záznamy v protokolu obnovují průběžně podle čl. 26 odst. 6. Statický registr rok starý v testu doložitelnosti před regulátorem či nákupním týmem firmy neobstojí.
Stačí tabulka, nebo potřebujeme specializovaný nástroj GRC?
Pro firmy zhruba do 200 zaměstnanců tabulka stačí. Auditní váhu nesou sloupce, jmenovitě určení vlastníci a kázeň čtvrtletní aktualizace, nikoli platforma. Excel či Google Tabulky s omezeným přístupem a historií verzí požadavku na doložitelnost vyhoví. Specializované nástroje GRC se vyplatí zhruba nad 500 zaměstnanců nebo patnáct a více systémů AI; pod touto hranicí režie nástroje převáží úsporu času.

Sources

  1. 1.Regulation (EU) 2024/1689 — Artificial Intelligence ActEuropean Parliament and of the Council · 2024
  2. 2.Guidance on AI and Data ProtectionInformation Commissioner's Office (ICO) · 2023
  3. 3.AI and Data Protection Risk Toolkit / AI Auditing FrameworkInformation Commissioner's Office (ICO) · 2023
  4. 4.GDPR's Effects on Firm Data and Computation Use (Bessen, Janßen, Peukert, Seamans)MIT Sloan · 2022

Want this run on your business?

AI Foundation Audit — a structured assessment of your AI footprint: integration risks, governance gaps, ROI opportunities. Delivered as a comprehensive report you can act on.

Start your audit

You receive your Executive Report and Implementation Brief — tailored to your business and delivered immediately.