Jak legálně využít AI v oblasti zdraví, výživy a longevity produktů

Vstupujete do světa umělé inteligence (AI) v oblasti zdraví, výživy nebo longevity produktů? Pak se připravte na revoluci, ale i na komplexní právní prostředí. Tento článek vám poskytne jasný a srozumitelný návod, jak se zorientovat v klíčových evropských nařízeních – AI Act, GDPR a MDR. Dozvíte se, jaká rizika vám hrozí a jak je proměnit v konkurenční výhodu.

Potřebujete s tématem poradit? Obraťte se na advokátní kancelář ARROWS na e-mail office@arws.cz nebo telefon +420 245 007 740. Váš dotaz rád zodpoví "Mgr. Jan Pavlík", expert na dané téma.

AI mění pravidla hry ve zdravotnictví. Jste připraveni na ta právní?

Umělá inteligence již není pouhou vizí budoucnosti; je to transformační síla, která přetváří sektor zdravotnictví, výživy a wellness před našima očima. Od hyper-personalizovaných výživových plánů generovaných na základě genetických dat a životního stylu až po prediktivní modely, které dokáží odhalit riziko chronických onemocnění dříve, než se projeví první příznaky, AI otevírá dosud nevídané možnosti pro zlepšení lidského zdraví a prodloužení života.

Tato vlna inovací je však provázena zavedením robustního a přísného právního rámce. Každá společnost, která vyvíjí, prodává nebo i jen používá AI nástroje v tomto citlivém sektoru na území EU, se musí vypořádat s komplexním propletencem tří klíčových regulací:

1. AI Act(Nařízení o umělé inteligenci)
2. MDR(Nařízení o zdravotnických prostředcích)
3. GDPR(Obecné nařízení o ochraně osobních údajů)

V praxi často vidíme, že technologická implementace v nemocnicích či wellness centrech předbíhá vytvoření celoorganizačních právních a etických rámců. Vzniká tak nebezpečná "mezera mezi adopcí a governance", kdy je špičková technologie nasazena bez adekvátního právního zajištění, což vystavuje organizaci obrovským rizikům při případném auditu.

Pro firmy, které tuto složitost zvládnou, se však regulatorní shoda stává silnou konkurenční výhodou. Prokazatelný soulad s nejpřísnějšími světovými standardy buduje důvěru u klientů, partnerů i investorů a otevírá dveře na nejlukrativnější trhy. V ARROWS se specializujeme na transformaci této regulatorní zátěže ve strategickou výhodu pro naše klienty. Pro právní konzultaci nás kontaktujte na office@arws.cz.

AI Act: Jste "vysoce rizikoví"? Proč je tato otázka klíčová pro váš byznys

Nařízení (EU) 2024/1689, známé jako AI Act, které vstoupilo v platnost 1. srpna 2024, je prvním komplexním zákonem o umělé inteligenci na světě. Zavádí přístup založený na hodnocení rizik, který dělí AI systémy do několika kategorií. Pro vás, jakožto hráče v oblasti zdraví, je naprosto zásadní kategorie "vysoce rizikových" systémů.

Prakticky jakýkoli AI systém, který může mít dopad na zdraví a bezpečnost člověka, spadá do této kategorie. Patří sem například software pro diagnostiku, systémy pro třídění pacientů v urgentní medicíně, AI asistující při chirurgických zákrocích nebo nástroje pro hodnocení nároků na zdravotní péči. Pokud váš produkt spadá do této kategorie, musíte splnit řadu přísných povinností ještě před jeho uvedením na trh.

Tyto povinnosti se nevztahují pouze na vývojáře (poskytovatele), ale i na organizace, které tyto systémy nasazují (zavádějící subjekty), jako jsou nemocnice nebo soukromé kliniky. Mnoho zdravotnických zařízení se mylně domnívá, že zajištění souladu je výhradně problémem jejich dodavatele. AI Act však jasně stanovuje povinnosti i pro ně, například zajistit adekvátní lidský dohled nebo používat systém v souladu s návodem.

Mezi klíčové povinnosti pro vysoce rizikové AI systémy patří:

• Zavedení systému řízení rizik po celou dobu životního cyklu AI.
• Zajištění vysoké kvality datových sad pro trénink, validaci a testování, aby byly reprezentativní a bez chyb a zkreslení.
• Vytvoření podrobné technické dokumentace prokazující soulad s nařízením.
• Zajištění možnosti efektivního lidského dohledu nad fungováním systému.
• Dosažení vysoké úrovně přesnosti, robustnosti a kybernetické bezpečnosti.

Kvalita trénovacích dat je přitom bodem, kde se AI Act přímo protíná s GDPR. Použití zkreslených datových sad může vést nejen k diskriminačním výsledkům a porušení AI Actu, ale zároveň i k porušení zásady spravedlnosti dle GDPR, což vás vystavuje riziku postihu z obou stran.

Naši právníci v ARROWS jsou připraveni vám pomoci s komplexním auditem souladu vašeho AI řešení. Napište nám na office@arws.cz.

Nevíte si s daným tématem rady?

FAQ – Právní tipy k AI Actu

Co přesně znamená "lidský dohled" v praxi?

Znamená to, že musíte navrhnout a implementovat procesy, které umožní člověku kdykoli zasáhnout, přehodnotit nebo zastavit rozhodnutí učiněné AI systémem, zejména pokud by mohlo mít vážné následky. Nejde jen o možnost "vypnout" systém, ale o skutečnou kontrolu. Potřebujete nastavit interní směrnice pro lidský dohled? Spojte se s námi na office@arws.cz.

Musím registrovat svůj AI systém v nějaké databázi?

Ano, poskytovatelé vysoce rizikových AI systémů musí své systémy před uvedením na trh zaregistrovat ve veřejné databázi EU. To platí i pro některé uživatele z řad veřejných orgánů. Pro pomoc s registračním procesem se obraťte na naše experty na office@arws.cz.

Kdy se z vaší aplikace stává zdravotnický prostředek? Klíč k nařízení MDR

Hranice mezi lifestylovou wellness aplikací a regulovaným zdravotnickým prostředkem je často tenčí, než se zdá. Pokud váš software neslouží jen k prostému záznamu dat, ale aktivně je analyzuje za účelem diagnózy, prevence, monitorování nebo léčby, s největší pravděpodobností se na něj vztahuje Nařízení (EU) 2017/745 o zdravotnických prostředcích (MDR).

Software se kvalifikuje jako zdravotnický prostředek (Medical Device Software – MDSW), pokud splňuje tři základní kritéria:

• Má sám o sobě lékařský účel (např. diagnostika, prognóza, léčba).
• Provádí s daty více než jen ukládání, archivaci nebo jednoduché vyhledávání – přidává lékařskou hodnotu.
• Je určen ve prospěch jednotlivých pacientů.

Pro AI software je obzvláště důležité tzv. Pravidlo 11 v příloze VIII nařízení MDR. Toto pravidlo v praxi znamená, že většina softwaru, který poskytuje informace pro diagnostická nebo terapeutická rozhodnutí, je automaticky zařazena do vyšší rizikové třídy (typicky IIa nebo IIb). 

Pro vývojáře AI ve zdravotnictví to představuje obrovskou výzvu – tzv. dvojí certifikaci. Váš produkt musí projít náročným posouzením shody podle MDR a zároveň splnit všechny přísné požadavky na vysoce rizikové systémy podle AI Actu. To je komplexní, nákladný a časově náročný proces, který vyžaduje bezchybnou právní strategii od samého počátku.

Rizika spojená s klasifikací softwaru a certifikací

Rizika a sankce	Jak pomáhá ARROWS
Chybná klasifikace softwaru: Váš produkt je ve skutečnosti zdravotnický prostředek, ale neprošel posouzením shody. Hrozí stažení z trhu, pokuty a zákazy činnosti.	Právní stanovisko ke klasifikaci produktu: Provedeme detailní analýzu a určíme, zda váš software spadá pod MDR. Chcete znát právní status vaší aplikace? Napište na office@arws.cz.
Podcenění rizikové třídy dle Pravidla 11: Váš software je zařazen do vyšší třídy, než jste předpokládali, což vyžaduje zapojení oznámeného subjektu a náročnější klinické hodnocení.	Strategie pro posuzování shody: Pomůžeme vám připravit strategii a dokumentaci pro oznámený subjekt, aby proces proběhl hladce. Potřebujete pomoc s přípravou na certifikaci? Kontaktujte nás na office@arws.cz.
Dvojí certifikační zátěž (MDR + AI Act): Paralelní plnění dvou komplexních nařízení vede k obrovským nákladům, zpožděním a administrativní zátěži, která ohrožuje váš business case.	Integrovaná compliance strategie: Vypracujeme strategii, která efektivně propojuje požadavky MDR a AI Actu, šetří vaše zdroje a zrychluje uvedení na trh. Pro okamžité řešení vaší situace nám napište na office@arws.cz.
Nedostatečná technická dokumentace: Chybějící nebo neúplná dokumentace vede k zamítnutí certifikace a nutnosti nákladného přepracování.	Příprava a revize technické dokumentace: Zajistíme, aby vaše dokumentace splňovala všechny požadavky MDR i AI Actu. Naši právníci jsou připraveni vám pomoci – napište na office@arws.cz.

Zdravotní data pod drobnohledem GDPR: Jak trénovat AI a neporušit zákon?

AI je "hladová" po datech. Čím kvalitnější data má k dispozici, tím přesnější jsou její výsledky. Ve zdravotnictví jsou však tato data extrémně citlivá. GDPR je v článku 9 definuje jako "zvláštní kategorii osobních údajů", jejichž zpracování je v zásadě zakázáno. Existují však výjimky, které umožňují jejich legální zpracování pro účely AI, nejčastěji se jedná o:

• Výslovný souhlas subjektu údajů (pacienta): Právně nejčistší, ale v praxi pro rozsáhlé trénovací sady velmi obtížně získatelný a spravovatelný.
• Zpracování pro účely preventivního lékařství, lékařské diagnózy nebo veřejného zdraví: Relevantní pro klinickou praxi, ale složitější pro komerční vývoj.

Před jakýmkoli rozsáhlým zpracováním zdravotních údajů pro účely AI je prakticky vždy povinné provést tzv. Posouzení vlivu na ochranu osobních údajů (DPIA). Jedná se o proces, jehož cílem je identifikovat a minimalizovat rizika pro práva a svobody pacientů ještě před zahájením zpracování.

S požadavky AI Actu na kvalitu dat se navíc mění role poskytovatele zdravotní péče. Už nestačí být jen "správcem dat" ve smyslu GDPR. Nemocnice, která poskytuje data pro vývoj AI, se stává "kurátorem dat". Nese tak novou odpovědnost za to, že datový soubor je kvalitní, reprezentativní a bez zkreslení, která by mohla vést k diskriminačním výsledkům.

Naši specialisté pro Vás:

Pro naše klienty s mezinárodní působností je situace ještě složitější. Přenos dat mezi EU a USA pro trénink globálních modelů vyžaduje detailní znalost pravidel GDPR pro mezinárodní transfery i amerického zákona HIPAA.

Díky naší síti ARROWS International jsme schopni zajistit soulad vašeho datového řetězce napříč jurisdikcemi. Pro mezinárodní právní poradenství nám napište na office@arws.cz.

FAQ – Právní tipy k GDPR a zdravotním datům

Je anonymizace dat řešením, jak se vyhnout GDPR?

Skutečná anonymizace, kdy nelze osobu žádným způsobem znovu identifikovat, data z působnosti GDPR vyjímá. Dosáhnout jí je ale technicky i právně velmi náročné. Častěji se používá pseudonymizace, která rizika snižuje, ale data stále podléhají GDPR. Potřebujete posoudit vaši metodu anonymizace? Neváhejte se obrátit na naši kancelář – office@arws.cz.

Co se stane, když nezpracuji DPIA, i když jsem měl?

Nezpracování povinného DPIA je samo o sobě závažným porušením GDPR a může vést k vysokým pokutám ze strany Úřadu pro ochranu osobních údajů, a to i v případě, že k žádnému úniku dat nedošlo. Pro pomoc s přípravou DPIA nás kontaktujte na office@arws.cz.

Kdo nese odpovědnost, když se AI splete? Nová éra smluv a odpovědnosti

Představte si situaci: diagnostický AI systém doporučí nesprávnou léčbu a pacientovi vznikne újma. Kdo je odpovědný? Vývojář softwaru? Nemocnice, která systém nasadila? Nebo lékař, který se doporučením řídil? Tato otázka je jedním z největších právních oříšků nové éry.

Evropská unie na tuto výzvu reaguje revidovanou Směrnicí 2024/2853 o odpovědnosti za vadné výrobky (PLD). Ta nově explicitně zahrnuje software a AI systémy. Výrobci tak nesou objektivní odpovědnost za škodu způsobenou vadou svého produktu, a to i v případech, kdy vada vznikne až po uvedení na trh v důsledku samoučení algoritmu nebo chybějící bezpečnostní aktualizace.

Situaci však komplikuje fakt, že návrh specifické směrnice o odpovědnosti za AI byl na začátku roku 2025 stažen. Vzniklo tak právní vakuum, které dramaticky zvyšuje význam smluvních ujednání. Právě precizně sepsaná smlouva mezi vývojářem AI a zdravotnickým zařízením je nyní klíčovým nástrojem pro rozdělení rizik a vymezení odpovědnosti.

Řízení rizik odpovědnosti ve smlouvách s dodavateli AI

Rizika a sankce	Jak pomáhá ARROWS
Nejasně vymezená odpovědnost za škodu: V případě poškození pacienta není jasné, zda je odpovědný vývojář AI, nemocnice, nebo lékař. To vede k drahým a zdlouhavým soudním sporům.	Precizní vymezení odpovědnosti a odškodnění: Připravíme smlouvu, která jasně definuje odpovědnostní vztahy a chrání vás před neoprávněnými nároky. Spojte se s námi na office@arws.cz a získejte právní řešení na míru.
Nedostatečné záruky souladu s AI Actem a MDR: Váš dodavatel vám dodá systém, který nesplňuje regulatorní požadavky, a odpovědnost padá i na vás jako na uživatele.	Příprava a revize smluv se zárukami souladu: Zajistíme, aby vaše smlouvy obsahovaly silné záruky od dodavatele, že jeho systém je plně v souladu s evropskou legislativou. Potřebujete revizi smlouvy? Napište na office@arws.cz.
Problémy s daty a duševním vlastnictvím: Není jasné, komu patří data vytvořená systémem nebo vylepšení modelu, což ohrožuje vaši investici a budoucí inovace.	Vyjednání licenčních podmínek a práv k IP: Pomůžeme vám nastavit vlastnická a licenční práva tak, aby chránila vaše obchodní zájmy a data. Pro okamžité řešení vaší situace nám napište na office@arws.cz.
"Black box" problém a nedostatek transparentnosti: Dodavatel vám odmítá poskytnout informace o fungování algoritmu, což vám znemožňuje plnit povinnost lidského dohledu a obhájit se při sporu.	Zajištění práv na audit a přístup k dokumentaci: Do smluv zakotvíme vaše právo na přístup k technické dokumentaci a logům, což je klíčové pro splnění povinností dle AI Actu. Neváhejte se obrátit na naši kancelář – office@arws.cz.

Sankce, které mohou zničit byznys: Proč se nevyplatí podcenit AI Act a GDPR

Podcenění nových pravidel se může dramaticky prodražit. Jak AI Act, tak GDPR stanovují sankce, které mohou být pro firmu likvidační. Je klíčové si uvědomit, že tato rizika se mohou sčítat – jedno pochybení může vést k postihu podle obou nařízení současně.

Sankce dle AI Actu: Za neplnění povinností u vysoce rizikových systémů hrozí pokuty až do výše 15 milionů EUR nebo 3 % z celosvětového ročního obratu. Za použití zakázaných AI praktik (např. manipulativní techniky) se sankce šplhají až k 35 milionům EUR nebo 7 % z celosvětového ročního obratu.

Sankce dle GDPR: Za nejzávažnější porušení, jako je zpracování citlivých údajů bez platného právního titulu, hrozí pokuty až do výše 20 milionů EUR nebo 4 % z celosvětového ročního obratu.

Kromě přímých finančních postihů hrozí i další vážné následky, jako je nařízení stáhnout produkt z trhu, nákladné soudní spory o náhradu škody a v neposlední řadě nenapravitelná reputační újma.

Na koho se můžete obrátit?

Od regulatorní zátěže ke konkurenční výhodě s ARROWS

Orientace v propletenci AI Actu, MDR a GDPR je bezpochyby náročná. Jak jsme si ukázali, rizika jsou reálná a sankce vysoké. Správně uchopená strategie však dokáže tuto regulatorní zátěž proměnit ve vaši klíčovou konkurenční výhodu. Důvěryhodnost a prokazatelný soulad s nejpřísnějšími pravidly se stávají novou měnou na trhu se zdravím a wellness.

V ARROWS se na tuto oblast specializujeme. Naše zkušenosti z dlouhodobé spolupráce s více než 150 akciovými společnostmi a 250 společnostmi s ručením omezeným nám dávají unikátní vhled do potřeb byznysu. Díky síti ARROWS International řešíme denně případy s mezinárodním prvkem a jsme připraveni zajistit soulad vašeho projektu napříč hranicemi.

Nečekejte, až se problém objeví. Proměňte regulatorní výzvy ve vaši příležitost. Spojte se s námi na office@arws.cz a domluvte si úvodní konzultaci, kde probereme, jak můžeme pomoci právě vašemu projektu.

FAQ – Nejčastější právní dotazy k využití AI ve zdravotnictví

Naše společnost sídlí mimo EU, ale naše AI aplikace je dostupná na evropském trhu. Vztahuje se na nás AI Act?

Ano, jednoznačně. AI Act má tzv. extrateritoriální působnost. Vztahuje se na všechny poskytovatele, kteří uvádějí AI systémy na trh v EU, bez ohledu na to, kde sídlí. Stejně tak se vztahuje na subjekty mimo EU, pokud je výstup jejich AI systému používán v Unii. Pokud řešíte podobný problém, kontaktujte nás na office@arws.cz.

Vyvíjíme AI pro "wellness", která dává jen obecná doporučení. Může být i tak považována za zdravotnický prostředek?

Může. Pokud vaše aplikace na základě individuálních dat uživatele poskytuje doporučení s cílem prevence nebo zmírnění nemoci (např. "na základě vašich dat vám hrozí riziko X, doporučujeme Y"), je velmi pravděpodobné, že splní definici zdravotnického prostředku dle MDR. Hranice je tenká a vyžaduje individuální posouzení. Pro právní analýzu vaší aplikace nám napište na office@arws.cz.

Jaký je rozdíl mezi anonymizovanými a pseudonymizovanými daty pro trénink AI a proč je to z pohledu GDPR důležité?

Anonymizovaná data jsou taková, u kterých byla trvale odstraněna veškerá vazba na konkrétní osobu a nelze ji žádným způsobem znovu identifikovat. Na taková data se GDPR nevztahuje. Pseudonymizovaná data jsou data, kde byly přímé identifikátory nahrazeny kódem, ale stále existuje možnost (např. pomocí dodatečných informací) osobu znovu identifikovat. Tato data stále podléhají ochraně GDPR. Potřebujete právní pomoc s nastavením datových procesů? Kontaktujte nás na office@arws.cz.

Co je to "posouzení dopadu na základní práva" (Fundamental Rights Impact Assessment) a kdo ho musí provádět?

Jedná se o novou povinnost zavedenou AI Actem pro zavádějící subjekty (např. nemocnice, pojišťovny), které nasazují vysoce rizikové AI systémy. Cílem je posoudit, jaký dopad bude mít systém na základní práva osob (např. právo na soukromí, nediskriminaci). Jde o proces podobný DPIA podle GDPR, ale se širším zaměřením. Naši právníci jsou připraveni vám pomoci – napište na office@arws.cz.

Jakou roli hrají v prokazování shody nové standardy jako ISO/IEC 42001 nebo normy od CEN-CENELEC?

Tyto normy hrají klíčovou roli. AI Act předpokládá vytvoření tzv. harmonizovaných norem. Pokud výrobce prokáže, že jeho systém splňuje požadavky příslušné harmonizované normy, bude se předpokládat, že je v souladu s požadavky nařízení (tzv. presumpce shody). Dodržování standardů jako ISO/IEC 42001 (management AI) nebo ISO 13485 (management kvality u ZP) bude de facto nezbytné. Pro okamžité řešení vaší situace nám napište na office@arws.cz.

Co je to "vysvětlitelná AI" (XAI) a může nám pomoci splnit regulatorní požadavky na transparentnost?

Vysvětlitelná AI (Explainable AI) je přístup k vývoji AI, jehož cílem je, aby rozhodnutí "černé skříňky" byla srozumitelná pro člověka. Implementace XAI metod může významně pomoci splnit požadavky AI Actu na transparentnost a lidský dohled, protože umožňuje lékařům pochopit, proč AI dospěla k určitému doporučení, a lépe tak posoudit jeho relevanci. Pokud řešíte otázky transparentnosti vašich AI modelů, kontaktujte nás na office@arws.cz.

Nechcete tenhle problém řešit sami? Advokátní kanceláři ARROWS věří více než 2000 klientů a jsme oceněni jako Právnická firma roku 2024. Podívejte se ZDE na naše reference a bude nám ctí pomoci vám při řešení vašeho problému. Poptávka je zdarma.