Jak se AI Act týká českých škol
Toto je pracovní souhrn, který jsem vytvořil jako pomůcku pro školy. Nejsem právník a je možné, že v něm budou chyby a nepřesnosti. Pokud na ně narazíte nebo najdete nějaké další užitečné zdroje k tématu, napište je prosím do komentářů.
EU AI Act (nařízení (EU) 2024/1689) je přímo použitelné nařízení EU, které zavádí rizikově orientovaná pravidla pro vývoj, uvádění na trh a používání systémů umělé inteligence. V přechodném období se neuplatňuje „všechno najednou“: klíčové je, že od 2. února 2025 už platí (i) povinnost budovat AI gramotnost u zaměstnanců a osob pracujících se systémy AI a (ii) zákazy určitých praktik (včetně explicitního zákazu rozpoznávání emocí ve vzdělávacích institucích, mimo vymezené výjimky). Většina dalších povinností začne podle aktuálního znění nařízení od 2. srpna 2026, zatímco některé povinnosti navázané na čl. 6 odst. 1 jsou posunuty až na 2. srpna 2027.
Pro české školy (ředitelství, školní IT, učitele) z toho plyne dvojí režim:
-
Co je závazné už teď (k 8. 4. 2026): škola jako „zavádějící subjekt“ má mít nastavené opatření pro AI gramotnost (školení/kompetence/bezpečné používání) a zároveň musí vyloučit zakázané use-casy, zejména systémy, které by ve škole „odvozovaly emoce“ žáků či zaměstnanců (s výjimkou lékařských nebo bezpečnostních důvodů), a obecně manipulativní/exploatační systémy mířící na zranitelnosti např. věku dětí. Pokud používáte nástroje k podpoře výuky, typicky třeba různé chaty, jste „zavádějící subjekt“ a týká se vás tento režim.
-
Co je potřeba připravit před 2. 8. 2026: část školních scénářů spadne do „vysoce rizikové AI“ v oblasti vzdělávání, zejména když AI rozhoduje nebo významně pomáhá při: přijímání/zařazování žáků, hodnocení výsledků učení, určování vzdělávací úrovně či monitoringu a odhalování zakázaného chování při testech (proctoring/„anti-cheating“). Tyto případy jsou výslovně uvedeny v příloze III.
Jakmile škola zavádí vysoce rizikovou AI, bude muset (typicky od 2. 8. 2026, pokud nedojde k legislativní změně) plnit zejména: lidský dohled, „správné použití dle návodu“, kvalitu vstupních dat, monitoring, uchování/provozní práci s protokoly (logy) a – jako veřejný subjekt poskytující veřejnou službu ve vzdělávání – také provést posouzení dopadu na základní práva (FRIA) před zavedením vysoce rizikové AI, s návazným oznámením výsledků orgánu dozoru (formou dotazníku).
V českém kontextu se současně musí školní praxe opřít o GDPR a český rámec ochrany osobních údajů; školy jsou správci osobních údajů a Úřad pro ochranu osobních údajů dlouhodobě publikuje školsky relevantní výklady (např. pro distanční výuku a kameru, obecně k právnímu rámci).
Z hlediska „implementace“ v ČR (instituce a dozor) je podstatné: vláda schválila implementační rámec, v němž jsou popsány role klíčových institucí (MPO, ČTÚ, ÚNMZ, ČAS) a ÚNMZ má plnit roli oznamujícího orgánu; současně existuje pracovní návrh českého adaptačního zákona, který rozděluje dozor mezi ČTÚ/ČNB/ÚOOÚ a řeší i národní registraci některých systémů. K 8. 4. 2026 však z veřejných podkladů plyne hlavně to, že legislativní práce běží a vláda má adaptační zákon v legislativním plánu, nikoli že by byl již vyhlášen jako platný zákon.
Současně je nutné počítat s legislativní nejistotou: v EU v březnu 2026 probíhá proces „digital omnibus“ návrhu, který by mohl posunout použitelnost vysoce rizikových povinností a doplnit další zákazy (např. „AI nudifier“). K 8. 4. 2026 jde ale o návrhy/mandáty (postoj Rady, hlasování/mandát EP), nikoli o definitivní změnu nařízení.
Co je AI Act a jak je strukturován
AI Act je regulace „napříč sektory“, ale s velmi konkrétní logikou: definovat aktéry, vymezit rizikové kategorie a pro část kategorií uložit povinnosti poskytovatelům (tj. těm, kdo AI systém vyvíjí/uvádí na trh) i zavádějícím subjektům (tj. těm, kdo AI používají ve své pravomoci). Z pohledu školy je klíčové si pohlídat dvě základní definice:
- „Poskytovatel“ je subjekt, který vyvíjí systém AI nebo obecný model AI (GPAI) a uvádí jej na trh / do provozu pod vlastním jménem.
- „Zavádějící subjekt“ je subjekt, který v rámci své pravomoci využívá systém AI (nejde o osobní neprofesionální činnost). Škola je v běžném režimu typicky právě „zavádějící subjekt“.
Co jsou šílené zkratky FRIA/DIA a jak se týkají školy
Zkratky FRIA a DIA se objevují v kontextu AI Act a označují posouzení dopadů AI systémů. Jsou důležité hlavně pro organizace (včetně škol), které používají „rizikovější“ AI.
FRIA (Fundamental Rights Impact Assessment) = posouzení dopadů na základní práva
Jde o analýzu, jestli AI:
- neporušuje soukromí
- nediskriminuje (např. žáky podle původu, pohlaví apod.)
- nezasahuje do práv (např. spravedlivé hodnocení)
Např. když škola použije AI na:
- automatické hodnocení testů
- doporučení studijní dráhy
musí si položit otázky:
- Je to férové?
- Může to někoho poškodit?
- Má člověk možnost to zkontrolovat?
DIA – Data / Digital Impact Assessment
DIA = obecně posouzení dopadů na data / digitální prostředí
(v praxi často odpovídá tomu, co známe jako DPIA v GDPR)
Zaměřuje se na:
- jaká data AI používá
- odkud pochází
- jak jsou chráněna
- kdo k nim má přístup
Např. při použití AI nástroje:
- nahrávají se práce studentů?
- ukládají se osobní údaje?
- jde to mimo EU?
škola musí posoudit:
- bezpečnost dat
- soulad s GDPR
Hlavní rozdíl
| Zkratka | Zaměření | Jednoduše |
|---|---|---|
| FRIA | práva lidí | „Neškodí to žákům?“ |
| DIA | data a bezpečnost | „Jsou data v bezpečí?“ |
Stručně: FRIA = etika a práva, DIA = data a ochrana informací.
Rizikové kategorie a obecná logika povinností
AI Act se v praxi často vysvětluje čtyřstupňově (unacceptable / high / limited / low), což je didaktická zkratka pro kombinaci (i) zákazů, (ii) režimu vysoce rizikových systémů a (iii) transparentnostních povinností. V samotném textu nařízení jsou nejdůležitější tyto bloky:
- Zakázané praktiky (unacceptable risk): jsou výslovně zakázány, mj. manipulativní či klamavé techniky působící významnou újmu; využívání zranitelnosti v důsledku věku (děti) apod.; sociální skórování; a pro školy mimořádně podstatné je odvozování emocí ve vzdělávacích institucích (s výjimkou lékařských nebo bezpečnostních důvodů).
- Vysoce rizikové systémy (high risk): definované mj. přílohou III; pro školství je explicitní kategorie „Vzdělávání a odborná příprava“ (přijetí/zařazení, hodnocení, určování úrovně, proctoring).
- Transparentnostní povinnosti (limited risk): týkají se zejména systémů interagujících s lidmi, generujících syntetický obsah, deepfake apod. Povinnosti dopadají na poskytovatele i zavádějící subjekty (např. zveřejnit, že deepfake byl vytvořen či manipulován, nebo informovat osoby vystavené rozpoznávání emocí/biometrické kategorizaci).
- Nízké/minimální riziko (low risk): pro řadu systémů AI nejsou v AI Actu přímé sektorové povinnosti (nad rámec obecné povinnosti AI gramotnosti a jiných právních režimů); i zde však zůstává relevantní GDPR, školské právo, kyberbezpečnost apod.
Časová osa použitelnosti k 8. 4. 2026
Pro plánování ve škole je kritické rozlišit „nařízení existuje“ vs. „nařízení se uplatňuje“. AI Act:
- vstoupil v platnost dvacátým dnem po vyhlášení v Úředním věstníku EU a je přímo použitelný v členských státech;
- od 2. 2. 2025 se použijí kapitoly I a II (tedy mj. AI gramotnost a zákazy);
- od 2. 8. 2026 se použije „většina“ nařízení;
- od 2. 8. 2027 se použije čl. 6 odst. 1 a odpovídající povinnosti (typicky vazba na režim některých produktových „safety component“ scénářů).
Z hlediska školy je proto správné číst rok 2026 jako období, kdy: (a) už musíte mít ošetřenou AI gramotnost a zákazy, ale (b) nejpozději do 2. 8. 2026 musíte mít připravené procesy pro vysoce rizikové a transparentnostní scénáře – pokud je máte nebo plánujete.
Tabulka A: Přehled povinností podle rizikové kategorie a dopad na školu
Obsah tabulky vychází z AI Actu a školsky relevantních ustanovení o vysoce rizikové AI (příloha III, čl. 26–27) a z transparentnosti (čl. 50), včetně časové osy použitelnosti.
| Riziková kategorie (praktická zkratka) | Typické školní příklady | Co je „povinnost“ podle AI Actu | Co to znamená pro školu v praxi |
|---|---|---|---|
| Unacceptable (zakázané) | „Emotion AI“ ve třídě (detekce stresu/pozornosti žáků), manipulativní systémy zneužívající zranitelnost dětí | Nesmí být uváděno na trh / do provozu ani používáno (s vymezenými výjimkami u emocí pro lékařské/bezpečnostní důvody). | Okamžitý „stop“: zákaz v nákupních standardech, zákaz v interní politice, kontrola edtech produktů a jejich marketingových tvrzení; u již nasazených řešení ukončit/odstranit. |
| High (vysoce rizikové) | Přijímací/zařazovací algoritmy, automatizované hodnocení učení, doporučování úrovně vzdělávání, AI pro proctoring/anti-cheating | Zavádějící subjekt musí zajistit správné použití dle návodu, lidský dohled, kvalitu vstupních dat, monitoring, práci s logy; veřejné subjekty a poskytovatelé veřejných služeb mají provést FRIA před zavedením a informovat orgán dozoru; mohou vznikat registrační povinnosti. | Nutný formální proces schvalování a řízení rizik: FRIA (+ často DPIA), určení odpovědných osob, smluvní zajištění dokumentace od dodavatele, nastavení logování a incident managementu, jasná pravidla pro „konečné slovo“ člověka. |
| Limited (transparentnostní povinnosti) | Školní chatbot pro komunikaci se žáky/rodiči; generování syntetického obsahu ve školních materiálech; tvorba „deepfake“ videí pro výuku mediální gramotnosti | Informovat osoby, že komunikují se systémem AI (není-li to zřejmé); u deepfake zveřejnit, že obsah byl uměle vytvořen/manipulován; zvláštní informační režim pro biometrickou kategorizaci/rozpoznávání emocí (pozor: ve škole je rozpoznávání emocí zpravidla zakázané). | Vnitřní standard „označování AI“, pravidla pro školní web a sociální sítě, metodiky pro učitele (kdy a jak označovat), šablony sdělení pro žáky/rodiče; kontrola, zda dodavatel umí technické značení výstupů. |
| Low/Minimal (minimální riziko) | Asistivní nástroje pro přípravu hodin, jazyková korektura, generování nápadů; běžné filtrování spamu | AI Act typicky nestanoví zvláštní režim (mimo obecné zásady a AI gramotnost); stále platí jiné právo (GDPR, školská pravidla, kyberbezpečnost). | Důraz na bezpečné používání, minimalizaci osobních údajů v promtech, smluvní a IT nastavení (účty spravované školou), školení učitelů a evidence používaných nástrojů. |
Konkrétní aplikace a povinnosti pro české školy a školská zařízení
Školy budou nejčastěji v roli zavádějícího subjektu (uživatele v organizačním smyslu), protože využívají AI nástroje dodané třetí stranou. AI Act ale pracuje s jemnou hranicí: škola se může stát „poskytovatelem“ například tehdy, pokud nasadí AI pod vlastním jménem (např. interní systém pro přijímání/klasifikaci) nebo provede změny, které z hlediska nařízení představují „nový systém“ či „podstatnou změnu“ a vyžádají nové posouzení shody.
Kdo je ve škole „zavádějící subjekt“ a kdo „poskytovatel“ (praktické rozlišení)
- Zavádějící subjekt: škola jako právnická osoba (typicky příspěvková organizace) nebo zřizovaná instituce, která v rámci své pravomoci používá AI systém (např. edtech platformu s AI modulem).
- Poskytovatel: dodavatel edtech produktu, provozovatel AI služby či subjekt, který AI vyvinul a uvádí ji na trh/provozuje pod vlastním jménem. Pokud škola vyvine vlastní AI a poskytuje ji dál (např. jiným školám), může se do této role posunout.
Hraniční situace: „pouhé“ používání generativního nástroje (promptování, tvorba výukových materiálů) z vás typicky poskytovatele nedělá; zásadní je, zda přebíráte odpovědnost za systém jako takový (uvádění pod vlastním jménem, podstatná změna, změna zamýšleného účelu). AI Act zároveň naznačuje, že průběžné učení systému po uvedení na trh samo o sobě nemusí být „podstatnou změnou“, pokud je to předem stanoveno a posouzeno poskytovatelem.
Co ve školství typicky spadá do vysoce rizikové AI
Příloha III výslovně označuje za vysoce rizikové systémy AI určené k použití ve vzdělávání a odborné přípravě v těchto situacích:
- určování přístupu/přijetí/zařazení do vzdělávacích institucí,
- hodnocení výsledků učení, včetně využití k usměrňování procesu učení,
- posuzování vhodné úrovně vzdělání, které jednotlivec získá nebo k níž bude mít přístup,
- sledování a odhalování zakázaného chování studentů během testů (typicky proctoring/anti-cheating).
To je klíčové prakticky: ne každé „AI ve výuce“ je high-risk, ale jakmile AI vstoupí do rozhodování o přístupu ke vzdělání, hodnocení a zkoušení s reálnými důsledky, regulátor s tím počítá jako s vysoce rizikovou oblastí (kvůli dopadům na právo na vzdělání a riziku diskriminace).
Povinnosti školy při zavádění vysoce rizikové AI (od 2. 8. 2026 dle aktuálního znění)
AI Act ukládá zavádějícím subjektům vysoce rizikových systémů AI povinnost přijmout technická a organizační opatření, aby se systém používal podle návodu; dále pověřit lidským dohledem způsobilé osoby; hlídat relevanci a reprezentativnost vstupních dat (pokud je škola ovládá); monitorovat provoz a v případě rizika pozastavit použití; a uchovávat logy (minimálně 6 měsíců, pokud právo nestanoví jinak).
Současně je pro školy velmi podstatný čl. 27: před zavedením vysoce rizikové AI mají zavádějící subjekty, které jsou veřejnoprávními nebo soukromými subjekty poskytujícími veřejné služby, provést posouzení dopadu na základní práva (FRIA), které obsahuje popis procesů, rozsahu použití, dotčených skupin, rizik újmy a opatření (včetně lidského dohledu a mechanismů vyřizování stížností). Poté se výsledky oznamují orgánu dozoru na trhu prostřednictvím dotazníku; AI Office má připravit vzor dotazníku i automatizovaný nástroj.
Zvlášť důležité je propojení s GDPR: nařízení výslovně říká, že pokud už škola provedla posouzení vlivu na ochranu osobních údajů (DPIA) podle GDPR, může FRIA „doplnit“ DPIA. To je praktická možnost, jak nevytvářet dva paralelní dokumenty.
Povinnost AI gramotnosti ve škole (platí už nyní)
AI Act ukládá poskytovatelům a zavádějícím subjektům přijmout opatření, aby v co největší možné míře zajistili dostatečnou úroveň gramotnosti v oblasti AI u zaměstnanců a dalších osob, které jejich jménem AI provozují/používají, se zohledněním znalostí, rolí a prostředí použití. Ve školách je praktický dopad jasný: nejde jen o „digitální kompetence žáků“, ale o povinnost organizace zajistit, že učitelé a administrativní pracovníci umí AI používat bezpečně a rozumně (včetně práce s riziky, omyly, bias a ochrany dat).
Interakce s českým právem
AI Act je rámec pro AI, ale nenahrazuje jiné právní režimy. V praxi škol se nejčastěji střetne s ochranou osobních údajů, školským právem a s povinnostmi při zajištění bezpečného IT prostředí.
Ochrana osobních údajů (GDPR) a český rámec
Český dozorový orgán pro ochranu osobních údajů zdůrazňuje GDPR jako základní předpis a uvádí, že do českého prostředí je „adaptováno“ i zákonem o zpracování osobních údajů; zároveň připomíná ústavní rámec (Listina, Charta).
Pro školy je prakticky nejdůležitější, že:
- škola je správce osobních údajů a musí mít právní titul a plnit informační povinnosti;
- u typických školních činností bude právním titulem často výkon úkolu ve veřejném zájmu (což se v praxi odráží i ve výkladech dozorového orgánu, např. k distanční výuce a zapnuté kameře).
- u vysoce rizikových AI se FRIA podle AI Actu může navázat na DPIA podle GDPR, aby škola posoudila nejen soukromí, ale i širší základní práva (nediskriminace, právo na vzdělání, přístupnost).
Školské právo a legitimita využití AI ve výuce
České školské prostředí dnes nemá speciální „zákon o AI ve školách“. Praktické stanovisko v edukaci proto stojí na kombinaci školských předpisů, rámcových programů a obecných povinností školy. Materiály pro školy přímo uvádějí, že používání generativní AI ve výuce je obecně legální a že plošný zákaz nemá sám o sobě jasnou právní oporu; zároveň ale zdůrazňují nutnost respektovat AI Act, GDPR, věkové limity služeb a školní vzdělávací program.
IT bezpečnost a odpovědnost školy jako organizace
Rizika AI ve školách nejsou jen „právní“. Veřejné bezpečnostní autority v ČR upozorňují na rizika spojená s některými produkty a způsoby nakládání s daty (zejména u populárních AI aplikací). To má přímý dopad na školní rozhodování o tom, jaké nástroje použít pro práci s daty žáků a zaměstnanců (včetně textů z interní komunikace, školní matriky apod.).
AI Act navíc u vysoce rizikových systémů velmi explicitně vnímá kybernetickou bezpečnost jako součást „kvality“ systému (přesnost, spolehlivost, kybernetická bezpečnost) a váže ji i na informování zavádějících subjektů v návodu k použití. Pro školy to znamená: i když budete „jen“ uživatel, v nákupu a provozu musíte vyžadovat bezpečnostní parametry a umět je interpretovat.
Praktické dopady na školní IT, nákupy a vnitřní procesy
Školní IT infrastruktura a provoz
Nejčastější praktická změna, kterou AI Act ve školách vyvolá, není „papír navíc“, ale potřeba zavést standardní provozní disciplínu pro AI nástroje:
- Inventář AI nástrojů (co se používá, kdo, k čemu, s jakými daty) – doporučováno i v metodických materiálech pro školy.
- Správa účtů: přednostně školou spravované účty (aby škola měla kontrolu nad přístupy a nastavením), včetně řešení typu školních cloudových licencí; současně pohlídat věkové limity služeb.
- Logování a audit: u potenciálně vysoce rizikových scénářů (hodnocení, proctoring) je potřeba počítat s logy a jejich uchováním (u vysoce rizikových systémů AI Act očekává, že logy budou k dispozici a zavádějící subjekt s nimi bude pracovat).
Nákup licencí, smlouvy a due diligence dodavatelů
Školy často nakupují IT/edtech formou licencí nebo služeb. AI Act zvyšuje význam toho, co je dnes často „podceněná část“ nákupu: smluvní a dokumentační zajištění.
Zavádějící subjekt u vysoce rizikové AI musí používat systém podle návodu a monitorovat jej; bez dobré dokumentace od dodavatele (zamýšlený účel, vyloučené použití, metriky přesnosti, opatření lidského dohledu, bezpečnostní parametry) to nelze dělat realisticky.
Pro generativní AI ve výuce se jako pragmatická opatření doporučuje preferovat školní/edu verze služeb a nástroje, které nevyužívají data uživatelů pro další trénink a jsou v souladu s ochranou osobních údajů; zároveň informovat rodiče a ověřit ochranu dat a věkové limity.
Školení učitelů, školní politiky a komunikace s rodiči
AI gramotnost je povinnost „organizace“; v praxi se bude v českých školách opírat o:
- systémové vzdělávací aktivity a programy (MŠMT informuje o rozsáhlém programu vzdělávání učitelů v AI v roce 2025/2026);
- metodiky a FAQ pro školy (NPI publikuje právně orientované odpovědi a doporučení, včetně přístupu k rodičům a práci s osobními údaji v promtech).
Důležitý praktický závěr, který odpovídá i běžné logice GDPR ve školách: souhlas rodičů nebývá „výchozí nástroj“, pokud jde o legitimní realizaci vzdělávacího programu; zároveň ale roste význam transparentního informování a volby prostředků, které minimalizují únik dat (školní účty, nastavení ochrany dat, jasná pravidla pro prompty).
Doporučení kroků pro vedení školy, IT, učitele a zřizovatele
Níže uvedený postup je koncipován tak, aby byl proveditelný i pro školu bez velkého právního a IT aparátu, ale současně pokrýval „kritická místa“ AI Actu (zejména zákazové scénáře, vysoce rizikové scénáře ve vzdělávání a povinnost AI gramotnosti).
Tabulka B: Kontrolní checklist pro školy k implementaci
Checklist integruje požadavky AI Actu (AI gramotnost, zákazy, vysoce rizikové scénáře, transparentnost) a doporučení pro školní praxi z metodik k AI ve škole.
| Oblast | Kontrolní otázka / úkol | Odpovědnost | Doklad / výstup |
|---|---|---|---|
| Inventář AI | Má škola seznam AI nástrojů (výuka / administrativa / komunikace) a jejich use-case? | Ředitel + IT | Seznam nástrojů, účel, datové toky |
| Klasifikace rizika | Je pro každý use-case určena riziková kategorie (zakázané / vysoce rizikové / transparentnost / nízké)? | IT + pověřenec / právní podpora | Stručná klasifikační karta per nástroj |
| „Stop list“ | Neobsahuje něco odvozování emocí ve škole, manipulaci dětí, jiné zakázané praxe? | Ředitel + IT | Interní zákaz + kontrola dodavatelů |
| AI gramotnost | Má škola plán školení (učitelé, vedení, admin), včetně bezpečného promptování a práce s bias/halucinacemi? | Ředitel | Školící plán, prezenční listiny, interní metodika |
| Ochrana dat | Jsou nastaveny školní účty, minimální sdílení osobních údajů, zásady pro prompty? | IT + pověřenec | Pravidla pro prompty, konfigurace účtů |
| Transparentnost | Má škola pravidlo, kdy informovat o používání AI (chatbot, deepfake, školní web)? | Ředitel + učitelé | Šablony sdělení, značení AI obsahu |
| Vysoce rizikové scénáře | Pokud škola používá/pořizuje AI pro hodnocení/přijímání/proctoring: je připraveno FRIA + (podle potřeby) DPIA? | Ředitel + pověřenec + IT | FRIA/DPIA, rozhodnutí o přijetí rizik |
| Lidský dohled | Je určen „odpovědný člověk“, který má pravomoc výstup AI zastavit/přepsat a rozumí limitům systému? | Ředitel | Jmenování role, pracovní postup |
| Logy a incidenty | Je nastaveno logování a postup pro incidenty (chyby, diskriminace, únik dat) + eskalace k dodavateli? | IT | Incident proces, log retention, kontakty |
| Smlouvy a nákup | Obsahují smlouvy: účel použití, bezpečnostní požadavky, podporu pro audit/posouzení dopadů, režim dat? | Ředitel + zřizovatel + IT | Vzorové doložky, kontrolní protokol |
| Komunikace s rodiči | Jsou rodiče informováni o používání AI a o zpracování osobních údajů (srozumitelně, preventivně)? | Ředitel | Informace na webu / leták / e-mail |
| Revize a audit | Je zaveden cyklus revize (min. 1× ročně nebo při změně nástroje)? | Ředitel + IT | Zápis z revize, aktualizace seznamu |
Doporučení podle role
Ředitelství školy: začněte řízením a odpovědností. AI Act výslovně pracuje s tím, že zavádějící subjekt má mít přijatá organizační opatření a lidský dohled; ve školách to musí mít „majitele“ (ředitel/management). U vysoce rizikových scénářů připravte FRIA (a podle potřeby DPIA) a zaveďte rozhodovací pravidlo „AI nerušitelně neřídí – člověk rozhoduje“.
Školní IT: vaším hlavním úkolem bude minimalizovat datová rizika a zavést standardy nákupu/provozu: školní účty, nastavení služeb, logování, incident management a smluvní požadavky na dodavatele. Z bezpečnostního hlediska je racionální sledovat i veřejná varování k nástrojům, které mohou nakládat s daty rizikově.
Učitelé: soustřeďte se na „bezpečné didaktické použití“: nepoužívat osobní údaje v promtech, respektovat věkové limity, nepouštět AI do hodnocení/zkoušení způsobem, který by bez posouzení dopadů rozhodoval o žákovi. V praxi se osvědčuje pravidlo „AI jako asistent“ pro přípravu a diferenciaci, ale ne jako „automatický soudce“ nad výkonem žáka.
Zřizovatel/obec a resortní úroveň: školy budou potřebovat sdílené vzory (smluvní doložky, FRIA/DPIA šablony, seznam preferovaných nástrojů). Z pohledu státu jde i o institucionální připravenost: vláda pracuje s adaptačním zákonem v legislativním plánu a současně jsou popsány role implementačních institucí (oznamující orgán, dozor, sandbox). Pro zřizovatele je praktické tyto rámce převést do metodické podpory školám, aby nedocházelo k roztříštěnosti praxe.
Zdroje, nejasnosti a právní rizika
Relevantní české a EU zdroje a právní texty
Primární EU text (závazný): Nařízení (EU) 2024/1689 (AI Act) – zejména čl. 4 (AI gramotnost), čl. 5 (zákazy), příloha III (vzdělávání jako vysoce riziková oblast), čl. 26–27 (povinnosti zavádějících subjektů a FRIA), čl. 50 (transparentnost), čl. 113 (časová osa).
EU institucionální kontext a změny: Tiskové zprávy a agendy ukazují, že v roce 2026 běží návrh na zjednodušení a možný posun harmonogramu vysoce rizikových povinností („Omnibus“). Pro školní plánování to představuje právní nejistotu, protože výsledná podoba může změnit termíny.
České oficiální zdroje pro implementaci a dozor:
- Implementační rámec rolí institucí a určení oznamujícího orgánu (ÚNMZ) a dalších institucí (MPO, ČTÚ, ČAS) – publikované ÚNMZ.
- Plán legislativních prací vlády (obsahuje adaptační zákon a cílové termíny předložení a účinnosti v roce 2026).
- Pracovní návrh adaptačního zákona dostupný z MPO (výslovně uvádí, že jde o diskusní podklad a že struktura i paragrafy se mohou měnit; zároveň popisuje rozdělení dozorových rolí).
České oficiální zdroje k ochraně dat ve školách: Výklady a Q&A Úřadu pro ochranu osobních údajů (školství, právní rámec).
Metodická podpora pro školy (praktické): Materiály NPI pro „AI a právo ve škole“, včetně doporučení k rodičům, účtům, promtům a ochraně dat.
Nejasnosti a místa s vyšším právním rizikem
Nejistota harmonogramu a novelizací EU: K 8. 4. 2026 existují návrhy, které by mohly posunout použitelnost vysoce rizikových povinností až na prosinec 2027 a dále rozšiřovat zakázané praktiky. Dokud není legislativní proces dokončen, je to nejisté; školy by měly plánovat podle platného znění (2. 8. 2026) a zároveň sledovat vývoj.
Klasifikace konkrétního nástroje jako „vysoce rizikového“: U některých produktů může dodavatel tvrdit, že „nejde o rozhodování“, nebo že systém spadá do výjimky. U školních scénářů (hodnocení, přijímání, proctoring) je ale příloha III formulována přímo; u hraničních případů (např. AI „jen navrhuje“ známku) bude často nutná právní a procesní analýza dopadu.
Kdy se škola stává poskytovatelem: Pokud škola vyvine či zásadně upraví systém (nebo změní zamýšlený účel) a dá jej do provozu pod svým jménem, může se posunout do role poskytovatele se zásadně vyšší zátěží. Je vhodné mít interní „red flag“ pravidla (např. vlastní model pro přijímání žáků), která automaticky spustí právní konzultaci.
Současné rozdělení dozorových rolí v ČR: Existuje implementační popis rolí institucí a pracovní návrh adaptačního zákona; výsledná podoba dozorového a sankčního rámce v ČR však závisí na dokončení legislativního procesu. U škol je proto rozumné počítat s tím, že se budou upřesňovat kontaktní místa, postupy pro stížnosti a případné registrace.
Propojení FRIA a DPIA: AI Act umožňuje FRIA doplnit DPIA, ale v praxi bude záležet na metodikách orgánů dozoru a na konkrétním kontextu školy. U vysoce rizikových školních systémů zpracovávajících citlivé údaje (např. speciální vzdělávací potřeby) je právní konzultace vysoce doporučená.
Závěr pro praxi: Pokud škola používá AI čistě jako podpůrný nástroj výuky bez rozhodování o žácích, primárními tématy jsou dnes AI gramotnost, ochrana dat a transparentní pravidla. Jakmile AI zasahuje do přijímání, hodnocení a zkoušení, je potřeba se připravit na režim vysoce rizikové AI včetně FRIA a robustního lidského dohledu.