Kybernetická bezpečnost a AI Act: Compliance pro nemocnice a veřejné instituce

Mgr. Petr Hanzel, LL.M.
Mgr. Petr Hanzel, LL.M.
16.4.2026 | ARROWS advokátní kancelář

České nemocnice a veřejné zdravotnické instituce čelí složité regulační situaci. Povinnosti plynoucí z NIS2, AI Act a GDPR se prolínají a mohou vést k vysokým pokutám. Aby se minimalizovalo riziko sankcí a provozních selhání, je nutné pochopit systémové nároky na compliance. Tento článek podrobně vysvětluje klíčové povinnosti a rizika pro zdravotnictví.

Ilustrativní snímek zachycuje odborníka řešícího problematiku compliance ve zdravotnictví.

Zdravotnická zařízení v České republice čelí bezprecedentně složité regulační situaci. Nařízení NIS2, nový AI Act, GDPR a příslušné české zákony vytvářejí vrstvené povinnosti, které se navzájem prolínají, doplňují a někdy i střetávají.

Nemocnice, které chtějí minimalizovat riziko pokut, sankcí a operačních selhání, musí pochopit, jak tyto regulace fungují jako systém. To znamená, že nestačí je vnímat jen jako oddělené předpisy, ale jako komplexní síť pravidel. Tento článek vysvětluje skutečné nároky na compliance a ukazuje, kde leží nejčastější selhání.

Směrnice NIS2 a zdravotnická zařízení: Nový právní standard

Směrnice NIS2 (Směrnice (EU) 2022/2555 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii) je evropský právní rámec zaměřený na kybernetickou bezpečnost kritické infrastruktury a klíčových služeb. Nejde o obecný standard, nýbrž o povinnost s explicitní prioritou na odvětví, která jsou „základní" pro fungování společnosti. 

Zdravotnické zařízení je v NIS2 vyjmenováno jako sektor považovaný za podstatný, což znamená, že na něj se vztahují nejpřísnější požadavky.

V České republice vstoupila Směrnice NIS2 v platnost převzetím do národního práva prostřednictvím zákona č. 264/2025 Sb., o kybernetické bezpečnosti (dále jen „Cybersecurity Act"), který nabyl účinnosti 1. listopadu 2025. 

Cybersecurity Act se vztahuje na tzv. základní entity a důležité entity. Nemocnice spadá nejčastěji do kategorie základních entit v kritickém sektoru – zdravotnictví.

Zdravotnické zařízení musí zavést a udržovat komplexní systém řízení kybernetických rizik. Při nastavování těchto procesů (včetně governance a odpovědností při nasazení nástrojů) může pomoci i právní podpora pro implementaci umělé inteligence (ai). Tento systém zahrnuje identifikaci hrozeb, odhad jejich dopadu, implementaci bezpečnostních opatření a průběžné monitorování. Nejedná se pouze o jednorázovou investici do softwaru, ale o nepřetržitý proces snižování rizik.

Nemocnice musí výrazně změnit svůj přístup k řízení identit a přístupu (Identity Access Management, IAM). Od listopadu 2025 je povinností zavést zásadu „nejmenších privilegií“. To znamená, že každý zaměstnanec, aplikace i systém smí mít přístup pouze k těm informacím a funkcionalitám, které nezbytně potřebuje pro svou práci.

Prakticky to znamená, že například radiolog, který čte CT snímky, by neměl mít přístup k administrativnímu modulu pro faktury. Stejně tak zdravotní sestra na chirurgii by neměla mít přístup k psychiatrickým záznamům jiného oddělení bez jasného odůvodnění. Tyto zásady jsou klíčové pro ochranu citlivých dat. K praktickému nastavení interních pravidel a smluvních ujednání pro digitální služby (včetně práce s daty) může být užitečné srovnání v článku SaaS platforma v EU: Právní ošetření VOP, GDPR a licenčních ujednání pro AI výstupy.

Zaváděcí opatření pro IAM podle Cybersecurity Act č. 264/2025 Sb. zahrnují vytvoření a dokumentaci politiky IAM a implementaci centralizovaného systému správy identit. Dále je nezbytná zásada „nejmenších privilegií" pro všechny uživatele a silné ověřování, včetně vícefaktorové autentizace (MFA), kde je to možné.

K dalším opatřením patří řádné logování všech pokusů o přístup, včetně těch neúspěšných. Důležité jsou také pravidelné audity a revize přiděleného přístupu, aby se zajistila trvalá relevance a bezpečnost. Toto není teoretické cvičení, ale praktická nutnost.

Pokud nemocnice zjistí, že technický manažer má trvale práva k systému, který už nepoužívá, nebo že zdravotní personál může otevřít cokoliv na kterékoliv pacientově spisu bez dalšího omezení, pak přímo porušuje požadavky Cybersecurity Act.

V případě incidentů je klíčové rychlé hlášení. V praxi se vyplatí mít současně ošetřené i povinnosti podle zdravotnických předpisů, k čemuž se vztahují služby v oblasti zdravotnického práva. Pokud dojde k úniku dat pacientů, útoku na informační systém, znepřístupnění dat (např. ransomware) nebo jiné kybernetické bezpečnostní příhodě, nemocnice musí bez zbytečného odkladu hlásit incident Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB).

Toto hlášení musí proběhnout nejpozději do 72 hodin od okamžiku, kdy se nemocnice o incidentu dozvěděla. V případě specifických předpisů je nutné informovat i další příslušné dohledové orgány. Dodržování této lhůty je zásadní pro minimalizaci dopadů a splnění regulačních požadavků.

Porušení nebo zanedbání těchto povinností může vést k pokutám až 250 milionů Kč nebo 2 % celosvětového obratu organizace, podle toho, co je vyšší. Pro střední nemocnici to znamená reálný finanční dopad, který může ohrožovat provoz a kontinuitu poskytování zdravotní péče.

Praktické dopady NIS2 na provoz nemocnice

Jedna věc je porozumět pravidlům na papíře. Druhá věc je pochopit, co to znamená každý den v nemocnici.

Zdravotnická zařízení mají vysokou fluktuaci – sezónní personál, mateřská dovolená, odchody do penze. Každý nový pracovník musí dostat přístup jen do systémů, které skutečně potřebuje, a jen na dobu, kdy pracuje. Personální dopady (nastavení rolí, odpovědností a dokumentace při nástupech a odchodech) dobře ilustruje i text Partner kanceláře Jakub Oliva pro Hospodářské noviny: chyby v HR, největší rizika vznikají u klíčových lidí a interních procesů. NIS2 vyžaduje, aby byla každá změna zdokumentována a pravidelně auditována. Pokud se to nedělá, pak mají přístup lidé, kteří už v nemocnici nepracují.

Nemocnice často používá externí IT poskytovatele, dodavatele diagnostických systémů nebo cloudové služby pro archivaci dat. Směrnice NIS2 vyžaduje, aby nemocnice měla s každým takovým poskytovatelem smluvně ujednána pravidla kybernetické bezpečnosti.

Zároveň si musí nemocnice ověřit dodržování těchto pravidel, například technickým auditem nebo kontrolou. Pokud externí poskytovatel nemá dostatečné zabezpečení a dojde k úniku dat, primární odpovědnost nese nemocnice, i když data fyzicky ukládal někdo jiný.

Moderní zdravotnické přístroje, jako jsou monitory, ventilátory, infúzní pumpy či diagnostické stroje, jsou připojeny do sítě nemocnice. NIS2 vyžaduje, aby byly součástí komplexní strategie kybernetické bezpečnosti zdravotnického zařízení.

Starší přístroje, které nedisponují moderními bezpečnostními prvky a nelze je aktualizovat, představují významné riziko. S takovými riziky se musí aktivně nakládat, například izolací těchto zařízení od zbytku sítě, aby se minimalizovaly potenciální hrozby.

Všechny tyto situace vyžadují manažerské a technické řešení, které běžná nemocnice bez odborné pomoci nemusí zvládnout. Právníci z ARROWS advokátní kanceláře se zaměřují na audit compliance, přípravu dokumentace a podporu při jednání s dohledovými orgány v těchto situacích.

Nařízení EU o umělé inteligenci (AI Act) a zdravotnické instituce: Nová vrstva regulace pro algoritmy

Co je AI Act a proč se vztahuje na zdravotnictví

Nařízení Evropského parlamentu a Rady (EU) 2024/1689 o harmonizovaných pravidlech pro umělou inteligenci (Nařízení EU o umělé inteligenci), které vstoupilo v platnost 1. srpna 2024, je první komplexní legislativní regulace umělé inteligence na světě. Text si klade otázku: co když algoritmus selže nebo zavádí? Kdo je za to odpovědný? Co když se AI systém naučí něco nežádoucího?

AI Act rozděluje AI systémy do čtyř kategorií podle úrovně rizika, které představují. Tyto kategorie jsou nepřijatelné riziko, vysoké riziko, omezené riziko a minimální riziko. Každá kategorie s sebou nese odlišné regulatorní povinnosti a požadavky.

Systémy s nepřijatelným rizikem jsou zcela zakázány, například sociální skóring, manipulace s chováním nebo rozpoznávání emocí na pracovišti bez medicínského důvodu. Tyto systémy jsou považovány za příliš nebezpečné pro společnost.

AI systémy s vysokým rizikem podléhají přísným požadavkům, a to zejména v medicíně. Mezi ně typicky patří diagnostické pomůcky, klinické rozhodovací podpory a systémy ovlivňující přístup ke službám, které mohou mít zásadní dopad na zdraví a bezpečnost.

Systémy s omezeným rizikem mají transparentní povinnosti, například u chatbotů je třeba upozornit, že jde o AI. AI systémy s minimálním rizikem, jako jsou spam filtry, nemají speciální povinnosti a jsou považovány za bezpečné.

V nemocnicích a zdravotnických institucích se nejčastěji setkáme s vysokorizikovými AI systémy, které vyžadují zvláštní pozornost a dodržování přísných regulačních standardů. Tyto systémy jsou kritické pro diagnostiku a léčbu.

Pravidla pro vysokorizikové AI systémy vstoupí v plnou platnost a použitelnost od 2. srpna 2026. Od tohoto data musí všechny dotčené instituce zajistit plnou shodu s AI Act.

Příklady vysokorizikových AI systémů v nemocnicích:

  • AI na diagnostiku rakoviny z mammografií, RTG snímků, CT dat
  • AI na detekci diabetické retinopatie nebo jiných očních onemocnění
  • AI na podporu klinických rozhodnutí (klinické rozhodovací podpory – CDSS)
  • AI na triage pacientů v urgentních případech
  • AI na prognózu pacienta, předpověď vývoje nemoci
  • AI na alokaci zdravotnických zdrojů

Konkrétní požadavky na vysokorizikové AI v medicíně

1. Systém řízení rizik (Risk Management System)

Nemocnice musí identifikovat a analyzovat všechna předpokládaná rizika, která AI systém může představovat pro zdraví, bezpečnost nebo základní práva pacientů. Patří sem otázky, co se stane, když algoritmus selže nebo udělá chybu, a jaké skupiny pacientů jsou více ohroženy.

Dále je třeba zvážit, co se stane, když se algoritmus naučí něco nežádoucího nebo jak se projeví zkreslení v datech. Tato analýza musí probíhat po celý životní cyklus systému, tedy nejen při zavádění, ale průběžně, jak se systém používá a sbírá nová data.

2. Správa dat s vysokou kvalitou (High-Quality Data Governance)

AI systémy se učí z dat. Pokud jsou tréninková data nějakým způsobem zaujatá (biased), AI systém toto zkreslení zdědí a promítne do svých výsledků. Typickým příkladem je algoritmus na kardiovaskulární riziko, trénovaný primárně na kavkazských pacientech.

Takto trénovaný systém je mnohem méně přesný pro pacienty afrického či asijského původu, což může vést k chybným diagnózám nebo nedostatečné léčbě. Nemocnice proto musí zajistit reprezentativnost dat.

Nemocnice musí zajistit, aby tréninková data byla reprezentativní pro cílovou populaci. Je nutné testovat systém na různých skupinách pacientů a transparentně hlásit, kde má AI systém horší či lepší výkon.

Důležité je také dokumentovat, odkud data pocházejí, jak byla čištěna a upravena. Součástí správy dat je rovněž identifikace a řešení známého zkreslení v datech, aby se předešlo diskriminaci a chybám v diagnostice.

Pokud nemocnice nasadí algoritmus, který byl trénován pouze na datech od mužů, a následně jej použije i pro ženy s podstatně horší přesností, porušila pravidla AI Act. To může mít vážné dopady na péči o pacientky.

3. Technická dokumentace

Před nasazením AI systému je nutné mít kompletní technickou dokumentaci. Ta musí obsahovat podrobný popis systému a jeho účelu, dále pak popis všech vstupů, procesů a výstupů. Dokumentace je klíčová pro transparentnost a auditovatelnost.

Technická dokumentace musí dále obsahovat zprávu o řízení rizik, údaje o tréninkových a testovacích datech, a výsledky testování včetně chybovosti. Nezbytný je i plán monitorování systému po jeho nasazení do provozu.

Tato dokumentace musí být k dispozici v příslušném úředním jazyce a musí být na vyžádání dostupná dohledovým orgánům. Její absence nebo nedostatečnost může vést k závažným sankcím.

4. Lidský dohled (Human Oversight)

Nejdůležitější zásadou je, že algoritmus nesmí rozhodovat sám. Lékař musí mít vždy schopnost porozumět, jak algoritmus pracuje a jaké jsou jeho limity. Zároveň musí být schopen kontrolovat, že algoritmus funguje správně.

Lékař musí mít také možnost ignorovat nebo přepsat výstup algoritmu, pokud se domnívá, že je to v nejlepším zájmu pacienta. V případě, že systém nefunguje správně, musí být lékař schopen jej pozastavit, aby zabránil potenciálnímu poškození pacienta.

To znamená, že AI pro diagnostiku není „druhá diagnostika, kterou můžete ignorovat". Je to systém, který se aktivně monitoruje a musí zůstat pod kontrolou lékaře. Lidský dohled je nezbytný pro zajištění bezpečnosti a kvality péče.

5. Transparentnost a informování pacientů

Pacienti, na kterých se AI používá, musí být o tom informováni. Není povinností sdělit jim všechny detaily algoritmu. Měli by si však být vědomi, že jejich diagnostika či léčba zahrnuje prvek umělé inteligence. To je klíčové pro transparentnost.

Tento požadavek se netýká pouze etiky, ale má konkrétní právní důsledky. Pokud pacient nevěděl, že jeho diagnostiku prováděl algoritmus, a později se dozví, že algoritmus měl chybu, má lepší právní pozici v případném soudním sporu.

Průsečík AI Act s MDR a GDPR

Zde se věci stávají skutečně komplexní. Pokud je váš AI systém součástí medicínského zařízení, například AI modul v diagnostickém softwaru, pak se na něj vztahují současně tři regulace. Tyto regulace se navzájem prolínají a doplňují.

Regulace

Co řeší

Kdy vstupuje v platnost

MDR (Nařízení (EU) 2017/745 o zdravotnických prostředcích)

Bezpečnost a účinnost zdravotnických prostředků

Již v platnosti

AI Act (Nařízení (EU) 2024/1689 o umělé inteligenci)

Algoritmy, jejich rizika, transparentnost, lidský dohled

Plná použitelnost od 2. srpna 2026

GDPR (Nařízení (EU) 2016/679 o ochraně osobních údajů)

Ochrana pacientských dat

Již v platnosti

Všechny tři se na jednom systému vztahují najednou. MDR řeší otázky typu „Je zařízení bezpečné a účinné?", AI Act řeší „Algoritmus nemanipuluje, je transparentní, je pod kontrolou?", GDPR řeší „Jsou pacientská data chráněna?". Tato komplexnost vyžaduje koordinovaný přístup.

Právníci z ARROWS advokátní kanceláře se orientují v tomto trojím propletenci regulací a pomáhají nemocnicím pochopit, které povinnosti se na ně vztahují, jak se navzájem ovlivňují a co konkrétně musí udělat.

GDPR, NIS2 a AI Act: Jak se navzájem ovlivňují u zdravotnických dat

Zdravotnické údaje pod tlakem tří regulací

Zdravotnické údaje, jako jsou údaje o zdravotním stavu, genetické údaje a biometrické údaje, jsou podle GDPR zvláštní kategorií osobních údajů. Tyto údaje podléhají zesílené ochraně, což klade na zdravotnická zařízení zvýšené nároky.

Zdravotnické zařízení je považováno za "správce" těchto údajů a je plně odpovědné za jejich bezpečnost. Zpracování je možné pouze za přísných podmínek, například pro léčebné účely, s výslovným souhlasem pacienta nebo z důvodu významného veřejného zájmu na zdraví.

Při porušení bezpečnosti, například úniku dat, musí nemocnice bez zbytečného odkladu oznámit porušení Úřadu pro ochranu osobních údajů (ÚOOÚ) a dotčeným pacientům. To je klíčové pro minimalizaci dopadů a splnění právních povinností.

Porušení GDPR může vést k pokutám až 20 milionů eur nebo 4 % celosvětového ročního obratu, podle toho, co je vyšší. Tyto sankce zdůrazňují závažnost nedodržování pravidel ochrany osobních údajů.

Poté přichází NIS2 a vyžaduje technickou ochranu těchto dat. To znamená implementaci správné šifry, přístupových práv, logování a řízení incidentů (incident management). NIS2 doplňuje GDPR v technických aspektech zabezpečení.

Následně AI Act dodává, že pokud se tyto údaje používají k trénování AI algoritmu, musí nemocnice zajistit, aby algoritmus nebyl zkreslený, transparentní a pod lidskou kontrolou. AI Act tak rozšiřuje ochranu dat i do sféry umělé inteligence.

Výsledkem je, že nemocnice se musí na údaje dívat současně jako na data, která musí chránit podle GDPR, technicky zabezpečit podle NIS2, a také je bezpečně anonymizovat pro trénink AI bez porušení práv pacientů podle AI Act a GDPR.

Anonymizace vs. re-identifikace: Problém ve skutečnosti

Jedním z kritických bodů je anonymizace dat pro AI trénink. Teoreticky by mělo být možné vzít zdravotnická data, odstranit identifikaci pacienta (jméno, rodné číslo, adresa) a pak je bezpečně použít k trénování algoritmu bez porušení GDPR.

Prakticky je to však mnohem složitější. Evropský sbor pro ochranu osobních údajů (EDPB) vydal v prosinci 2024 Závěr č. 28/2024, který tvrdí, že u mnoha zdravotnických dat je re-identifikace možná, i když jsou údaje považovány za "anonymní".

Pokud máte údaje od pacienta se vzácným onemocněním, můžete ho identifikovat pouze z kombinace věku, pohlaví, kódu okresu a diagnózy. To ukazuje, jak snadno může dojít k re-identifikaci i u zdánlivě anonymních dat.

To znamená, že nemocnice, která si myslí, že bezpečně trénuje AI na "anonymních" datech, se může následně dozvědět, že údaje ve skutečnosti nejsou anonymní a porušila GDPR. Takové situace představují významné právní a reputační riziko.

Související otázky k ochraně zdravotnických dat v AI projektech:
  1. Mohu stejná zdravotnická data použít pro klinickou praxi i pro AI trénink?
    Ano, ale v obou případech potřebujete právní základ. Pro kliniku je to léčebný účel; pro AI trénink může být to buď výslovný souhlas, nebo oprávněný zájem (pokud splníte všechny podmínky GDPR a AI Act). Pokud pacient odmítl být kontaktován při tréninku AI, nemůžete jeho data použít bez nového souhlasu.
  2. Když si data anonymizuji, mohu je pak kdykoli používat?
    Ne. Anonymizace se musí provést správně a musí být testovatelná. Jen proto, že jste odstranili jméno, to neznamená, že jsou data skutečně anonymní. Musíte si být jisti, že není možná re-identifikace. To vyžaduje technickou analýzu a dokumentaci. Bez toho riskujete porušení GDPR.
  3. Co když externí AI poskytovatel trénuje AI na mých datech?
    Pak je externí poskytovatel "zpracovatel" a vy jste "správce". Musíte mít se zpracovatelem písemnou smlouvu o zpracování osobních údajů, která zajistí, že provádí GDPR compliance. Zároveň odpovídáte za bezpečnost dat. Pokud dojde k úniku, odpovídáte vy, i když data fyzicky měl externí poskytovatel.

Střet regulací v praxi: Případová studie

Situace:

Představme si konkrétní situaci, kterou právníci z advokátní kanceláře řešili: Fakultní nemocnice chce implementovat AI systém na detekci rakoviny z mammografických snímků. Systém bude trénován na datech od 50 000 pacientek z nemocnice za posledních 10 let.

Tento systém bude nasazen jako podpůrný nástroj pro radiology a integrován do stávajícího systému pro správu medicínských obrázků. Systém bude pronajat od třetího poskytovatele, konkrétně od AI startupu.

Jaké regulace se tohoto projektu dotýkají?
1. GDPR:

Zdravotnická data (snímky, diagnózy, věk, pohlaví) se použijí pro trénink. To je zpracování osobních údajů, které vyžaduje právní základ. Nemocnice musí mít souhlas pacientek nebo oprávněný zájem.

Zároveň musí zajistit, aby data byla chráněna, což zahrnuje šifrování, přístupová práva a řízení incidentů. Jakékoli porušení zde může mít vážné důsledky pro soukromí pacientů a nemocnici.

2. NIS2:

Data budou uložena v cloudu u třetího poskytovatele a bude do nich přistupovat řada lidí v nemocnici. Musí být proto zavedena IAM, logování a incident management. V případě úniku dat je nutné incident hlásit příslušným úřadům.

3. AI Act:

Systém je vysokorizikový, jelikož se jedná o medicínskou aplikaci. Musí projít posouzením rizik (risk assessment), testováním na zkreslení (bias) a mít zajištěn lidský dohled (human oversight). Dále je nezbytná kompletní technická dokumentace.

Pacienti musí být informováni, že se na nich AI používá. Musí se také pravidelně monitorovat, aby se zjistilo, pokud algoritmus začne být méně přesný na určitých skupinách pacientek, což by mohlo vést k diskriminaci.

4. MDR:

Pokud je systém součástí regulovaného zdravotnického prostředku, musí být také v souladu s Nařízením o zdravotnických prostředcích (MDR). To zahrnuje klinické hodnocení, sledování po uvedení na trh a hlášení incidentů.

5. České právní předpisy:

Kromě evropských nařízení se uplatňují i české právní předpisy. Jde o Zákon o zdravotních službách a podmínkách jejich poskytování, prováděcí vyhlášky a vnitřní předpisy nemocnice na ochranu dat a informační bezpečnost. Všechny musí být v souladu.

Co by měla nemocnice udělat?

Nemocnice by si nejdříve měla nechat od právníků z advokátní kanceláře zpracovat posouzení dopadů na základní práva (Fundamental Rights Impact Assessment) a posouzení vlivu na ochranu osobních údajů (Data Protection Impact Assessment). Tyto analýzy jsou klíčové pro identifikaci rizik.

Dále je nezbytné připravit a schválit politiku AI v nemocnici, která jasně definuje, jak bude umělá inteligence v daném zdravotnickém zařízení řešena. Tato politika zajistí jednotný a bezpečný přístup k AI technologiím.

Klíčové je také podepsat smlouvu s AI poskytovatelem, která bude obsahovat jasné vymezení odpovědností, bezpečnost dat a mlčenlivosti. Musí být zajištěno, aby byla zdravotnická data správně chráněna.

To zahrnuje šifrování dat v přenosu i v klidu, nastavení správných přístupových práv a zálohování. Nezbytné je též zavést lidský dohled (human oversight), kdy radiologové dostanou školení o fungování systému, jeho limitech a postupu v případě selhání.

Nemocnice musí testovat systém na zkreslení (bias) a sledovat, jak funguje na různých věkových skupinách, barvě kůže či BMI. Důležité je zavést sledování po uvedení na trh (post-market monitoring).

Sledování po uvedení na trh znamená průběžně sledovat, jestli algoritmus stále funguje správně. Součástí je také informování pacientů, buď obecně v čekárně, nebo individuálně v procesu diagnostiky. Musí být připraven plán reakce na incidenty (incident response plan).

Takový projekt je složitý a bez právní a technické pomoci nemocnice nemusí dosáhnout správného výsledku.

Právníci z ARROWS advokátní kanceláře pomáhají nemocnicím v těchto projektech – od raného plánování přes kontrolu souladu až po implementaci a sledování po uvedení na trh.

Sankce za porušení: Reálná čísla a dopady

Porušení směrnice NIS2, AI Act nebo GDPR nejsou pouhé administrativní přestupky. Jsou to vážná porušení s reálnými finančními a provozními dopady, které mohou ohrozit samotné fungování zdravotnického zařízení.

Sankce za porušení NIS2 (Cybersecurity Act č. 264/2025 Sb.) mohou dosáhnout výše až 250 milionů Kč nebo 2 % celosvětového ročního obratu organizace, podle toho, co je vyšší. Tato výše pokut představuje značné finanční riziko.

Navíc k pokutám hrozí i osobní odpovědnost členů statutárních orgánů. To znamená, že postiženy mohou být nejen samotné organizace, ale i jednotlivé osoby odpovědné za bezpečnost, což zvyšuje tlak na dodržování předpisů.

Sankce za porušení AI Act (Nařízení (EU) 2024/1689) se liší podle závažnosti. Za porušení zakázaných praktik (Článek 5) hrozí pokuty až 35 milionů eur nebo 7 % celosvětového ročního obratu, podle toho, co je vyšší.

Za porušení ostatních povinností, jako jsou ty týkající se systémů řízení rizik, kvality dat, technické dokumentace, lidského dohledu, přesnosti, robustnosti a kybernetické bezpečnosti (Články 10–50), mohou být uloženy pokuty až 15 milionů eur nebo 3 % celosvětového ročního obratu.

Neposkytnutí správných informací podle AI Act může vést k pokutám až 7,5 milionů eur nebo 1,5 % celosvětového ročního obratu, podle toho, co je vyšší. Tyto sankce odrážejí důležitost transparentnosti a řádného informování.

Za porušení GDPR, například základních zásad ochrany dat nebo získání nedostatečného souhlasu, hrozí pokuty až 20 milionů eur nebo 4 % celosvětového ročního obratu. Tyto sankce jsou jedny z nejvyšších v EU regulacích.

Pro nemocnici s obratem 100 milionů korun ročně to znamená pokuty v řádech desítek milionů korun za jednotlivé porušení. Pokud se porušují hned tři regulace najednou, což není vzácné, pokuty se mohou sčítat, což by mohlo být existenčně ohrožující.

Finanční dopady jsou však jen jednou stranou mince. Horší mohou být další důsledky, jako je přerušení služeb, ztráta důvěry, soudní spory a blokace transakcí, které mohou mít dlouhodobý negativní dopad na nemocnici.

Přerušení služeb: Pokud dojde ke kybernetickému incidentu na základě špatné bezpečnosti (NIS2 compliance), operační systémy se mohou vypnout a nemocnice nebude moci pacienty léčit. Operační sály budou bez systémů, farmaceutické sklady budou nedostupné.

Ztráta důvěry: Jakmile se zjistí, že nemocnice měla špatnou bezpečnost nebo používala AI systém bez transparentnosti, pacienti a lékaři ztrácejí důvěru. To má dlouhodobý dopad na pověst.

Soudní spory: Pacienti, kterých se porušení GDPR nebo AI Act dotklo, mohou žalovat na náhradu škody. Pokud byl pacient diagnostikován AI systémem s pozorovaným zkreslením a má horší výsledky léčby, může žalovat na náhradu škody.

Blokace transakcí: Pokud je nemocnice součástí větší organizace nebo podléhá kontrole investorů, porušení compliance v oblastech jako GDPR, NIS2 a AI Act mohou blokovat fúze, převzetí nebo financování.

Praktické kroky k compliance: Co by měla nemocnice dělat hned

Audit stavu compliance

První věcí, kterou musí nemocnice udělat, je zjistit, kde se nachází. Měla by nechat provést audit compliance, který posoudí klíčové oblasti. To zahrnuje identifikaci všech používaných AI systémů a jejich rizikovost podle AI Act.

Audit by měl dále ověřit, zda jsou pro tyto systémy vedeny příslušné dokumenty, jako jsou posouzení rizik a technická dokumentace, a zda je zajištěn souhlas pacientů. Důležitá je i ochrana zdravotnických dat podle GDPR.

Je třeba posoudit úroveň kybernetické bezpečnosti, včetně řízení identit a přístupu (IAM), logování a řízení incidentů. Audit také zkontroluje, zda jsou AI systémy testovány na zkreslení (bias).

Dále je klíčové ověřit, zda mají lékaři školení, aby věděli, jak správně AI systémy používat. Bez důkladného auditu nemocnice pracuje naslepo a neví, kde se skrývají skutečná rizika a jak je efektivně řešit.

Governance a politika

Nemocnice by měla přijmout písemnou politiku AI, jelikož nepřijaté interní pravidla a tradice nestačí. Tato politika by měla jasně definovat, co AI v kontextu nemocnice znamená a které systémy jsou pro ni vysoce rizikové.

Politika AI musí stanovit, jak se nové AI systémy schvalují před nasazením, včetně určení odpovědné komise nebo schválení ředitele. Rovněž musí být jasně definováno, kdo je odpovědný za compliance, například AI officer, právní oddělení nebo IT.

Dále by měla politika specifikovat, jak se řeší incidenty související s AI, například nesprávná diagnóza nebo únik dat. Také je důležité definovat, jak se komunikuje s pacienty o používání AI.

V neposlední řadě, politika musí popsat, jak se AI systémy monitorují po nasazení. Bez takové politiky jsou rozhodování chaotická a rizika nejsou řádně řízena, což může mít vážné důsledky pro provoz nemocnice.

Školení a povědomí

Lékaři a zdravotnický personál, kteří pracují s AI systémy, musí přesně vědět, co dělají. Neměli by prostě slepě věřit výstupu AI systému, ale měli by rozumět jeho fungování a limitům. To je základem bezpečného využívání AI.

Dále musí vědět, v jaké situaci algoritmus není spolehlivý, například pro určitý věk pacientů. Je nezbytné, aby znali, že mohou přepsat nebo ignorovat výstup AI a jak hlásit, pokud si myslí, že algoritmus nefunguje správně.

To vyžaduje školení, které není jednorázové, ale probíhá průběžně. Pokud dojde k aktualizaci algoritmu, personál musí znovu projít školením, aby byl vždy plně informován o nových funkcích a potenciálních rizicích.

Správa a bezpečnost dat (Data Governance)

Zdravotnická data v AI projektech musí být chráněna podle GDPR a NIS2. Klíčové je šifrování dat v přenosu i v klidu a zavedení přístupových práv, kdy jen ti, kteří potřebují, mají přístup k citlivým informacím.

Nezbytné je také logování, které zaznamenává, kdo přistoupil k datům, kdy a co s nimi dělal. Dále je důležité mít efektivní řízení incidentů pro případ úniku dat a politiku uchovávání dat (Retention policy) pro definování doby jejich uchovávání.

Zároveň musí být data kvalitní pro AI trénink. Musí být reprezentativní pro cílovou populaci, nikoli jen pro muže nebo pacienty z bohatšího okolí. Je nutné je testovat na zkreslení (bias).

Testování zajistí, jak AI funguje na různých skupinách pacientů. Data musí být také řádně dokumentována, včetně informací o původu, čištění a použitých předpokladech. Transparentnost v této oblasti je klíčová.

Monitoring a audit po nasazení

Jakmile je AI systém nasazen, práce teprve začíná. Nemocnice musí průběžně monitorovat výkon algoritmu a sledovat, zda zůstává stejně přesný v čase. Je důležité hledat nové zkreslení.

Dále je nutné zjistit, zda se algoritmus chová stejně na všech skupinách pacientů. Důležitá je také zpětná vazba od lékařů a provádění auditů, které ověří, jak se systém skutečně používá. V případě problémů je nutné je řešit aktualizací.

Bez sledování po uvedení na trh (post-market monitoring) nemocnice neví, jestli ji algoritmus stále slouží správně a bezpečně. Pravidelný monitoring je tedy nezbytný pro udržení shody s regulačními požadavky a pro zajištění kvality péče.

Dokumentace a auditní stopa

Pro všechny výše uvedené kroky musí být k dispozici kompletní dokumentace. Pokud přijde kontrola nebo soudní přelíčení, nemocnice musí být schopna prokázat svá rozhodnutí a přijatá opatření. Dokumentace slouží jako důkaz shody.

Nemocnice musí být schopna ukázat, jaké rozhodnutí bylo učiněno a proč, jaká rizika se posoudila a jaká opatření byla přijata. Důležité je také zaznamenat, kdo rozhodoval a kdy, a jaké audity byly provedeny a jaké byly jejich výsledky.

Bez adekvátní dokumentace nemocnice nemůže prokázat, že jednala v souladu s předpisy. S důkladnou dokumentací má však šanci se obhájit a prokázat svou compliance, což je v dnešním regulačním prostředí klíčové.

Právníci z ARROWS advokátní kanceláře pracují s nemocnicemi na všech těchto krocích. Pomáhají s auditem, přípravou politik, školením managementu, přípravou smluv s AI poskytovateli, monitoringem compliance a zastupováním při kontrolách regulátorů.

Nejčastější chyby a jak se jim vyhnout

Chyba 1: Ignorování AI Act, pokud se myslí, že se netýká „Umělé inteligence"

Mnohé nemocnice si mylně myslí, že AI Act se týká pouze robotiky nebo chatbotů. Realita je však taková, že AI Act se vztahuje na jakýkoli algoritmus, který se používá k podpoře nebo rozhodování v určitém kontextu.

Takové algoritmy mají potenciální dopad na základní práva. Typicky nemocnice ignorují AI Act u algoritmů na diagnostiku z obrázků, u klinických rozhodovacích podpor nebo u starších systémů na predikci mortality.

Tyto systémy jsou podle AI Act vysokorizikové, i když je nemocnice považuje pouze za "software" nebo "pouhou pomůcku". Výsledkem je, že nemocnice je ve faktickém porušení, aniž by si to uvědomovala, což vede k nečekaným kontrolám.

Pak přijde kontrola inspektora a zjistí se, že systém nemá řízení rizik, není dokumentován a pacienti nejsou informováni. To má vážné důsledky pro provoz a pověst zdravotnického zařízení.

Jak se vyhnout: Nechte si provést důkladný audit, který identifikuje, které systémy jsou vysokorizikové podle AI Act. Teprve na základě těchto zjištění můžete efektivně plánovat strategii compliance a minimalizovat rizika.

Chyba 2: Přesvědčení, že anonymizace řeší GDPR problém

Mnoho nemocnic si myslí: "Dáme tréninkové údaje bez jmen a adres – prostě anonymizujeme – a pak můžeme data použít k tréninku AI bez problému." Tato myšlenka je však v praxi často mylná.

Realita je, že anonymizace je velmi obtížná, zvláště u zdravotnických dat. Jak bylo zmíněno, Evropský sbor pro ochranu osobních údajů (EDPB) v Závěru 28/2024 tvrdí, že data lze v mnohých případech re-identifikovat. To komplikuje situaci.

Bezpečně anonymizovat zdravotnická data vyžaduje odborné technické schopnosti a vědeckou rigoróznost. Bez toho nemocnice riskuje, že si bude myslet, že je v souladu s GDPR, ale ve skutečnosti není, což může vést k sankcím.

Jak se vyhnout: Nechte si provést audit od odborníků na privacy engineering a GDPR, kteří posoudí, zda jsou vaše anonymizační opatření skutečně účinná. Pokud si nejste jisti, raději získejte výslovný souhlas pacientů, což je bezpečnější a robustnější řešení.

Chyba 3: Neimplementování lidského dohledu (Human Oversight)

Podle AI Act musí být vysokorizikový AI systém pod lidským dohledem. Lékaři musí být schopni pochopit, jak AI funguje, a mohou ji zrušit, pokud vidí, že nefunguje správně. Mnoho nemocnic toto však ignoruje.

Některé nemocnice si myslí, že lidský dohled je zbytečný, nebo že lékaři budou systémy monitorovat automaticky. Často také nemají čas nebo zdroje na potřebná školení, což vede k nedostatečné implementaci této klíčové povinnosti.

Realitou je, že bez lidského dohledu není možné prokázat compliance s AI Act. A pokud se stane něco špatného, například chybná diagnóza vedoucí k újmě pacienta, nemocnice se nemůže u soudu obhajovat, že "systém to udělal sám".

Jak se vyhnout: Implementujte lidský dohled jako povinnou a nedílnou součást každého AI projektu. To zahrnuje systematická školení, jasné procedury pro monitorování a intervenci, a pravidelné audity, nikoli jen dodatečné opatření.

Chyba 4: Podcenění požadavků NIS2

Cybersecurity Act č. 264/2025 Sb. je nový a mnoho nemocnic si ho ještě pořádně nepřečetlo. Mnohé se domnívají, že staré systémy IT bezpečnosti budou stačit, což je zásadní omyl s potenciálně vážnými důsledky.

Realita je, že NIS2 vyžaduje nový přístup, jako je řízení identit a přístupu (IAM) se zásadou "nejmenších privilegií". Dále je nutné centralizované logování, efektivní řízení incidentů a komplexní technická a organizační opatření.

Pro střední až velkou nemocnici to není otázka pouze aktualizace firewallu. Jde o kompletní reorganizaci IT infrastruktury a procesů, která vyžaduje významné investice a časové nasazení.

Pokud nemocnice tato opatření neimplementuje do 1. listopadu 2025, bude v porušení a může čelit vysokým pokutám, které mohou ohrozit její provoz. Proto je včasná reakce naprosto klíčová.

Jak se vyhnout: Ihned si nechte provést audit NIS2 compliance, abyste získali přehled o aktuálním stavu. Následně připravte podrobný 12-18 měsíční plán implementace. Je kritické nečekat na poslední chvíli, protože proces je časově náročný.

Chyba 5: Slabá smlouva s AI poskytovatelem

Nemocnice si často pronajímá AI systém od třetího poskytovatele. Smlouva je však často příliš krátká a obsahuje jen základní informace, jako je cena, doba a termín výpovědi, a nic víc o odpovědnostech.

Realita je, že když něco selže, nemocnice si myslí, že poskytovatele žaluje. Ale pokud smlouva nezahrnuje odpovědnost za data, bezpečnost, přesnost algoritmu nebo řízení incidentů, nemocnice nese veškerou tíhu sama v případném soudním sporu.

Správná smlouva musí obsahovat klíčové klauzule. Jde o odpovědnost za data, včetně jejich šifrování a mazání, a o přesnost a výkon (Accuracy and performance), které stanoví minimální úroveň funkčnosti AI systému.

Dále je nezbytná reakce na incidenty (Incident response) a právo na audit, které nemocnici umožní kontrolovat bezpečnost a compliance. Smlouva musí definovat záruční lhůty a práva duševního vlastnictví (IP rights), aby bylo jasné, kdo co vlastní.

Jak se vyhnout: Nechte si připravit nebo revidovat smlouvu s AI poskytovatelem právníky z ARROWS advokátní kanceláře. Tito odborníci rozumí jak specifikům umělé inteligence, tak i zdravotnickému právu, a zajistí komplexní ochranu vašich zájmů.

Tabulka rizik: Praktické problémy a řešení

Možné problémy

Jak pomáhá ARROWS (office@arws.cz)

Nemocnice neví, které AI systémy používá nebo jestli jsou vysokorizikové. Bez auditu není možné říci, co je třeba dělat. Riziko: Kontrola inspektora zjistí porušení.

Právníci z ARROWS provádějí komplexní audit AI a správy dat (data governance) v nemocnici. Identifikují všechny AI systémy, jejich rizikovost podle AI Act, a připravují seznam compliance povinností.

Zdravotnická data nejsou dostatečně chráněna; riziko úniku (NIS2, GDPR). Bez správného šifrování, řízení identit a přístupu (IAM) a řízení incidentů (incident handling) jsou data zranitelná. Pokud dojde k úniku, hrozí pokuty a ztráta důvěry pacientů.

ARROWS se podílí na přípravě a revizi datové governance, včetně bezpečnosti datových toků. Pomáhá nemocnici navrhnout systém IAM, šifrování, logování a řízení incidentů v souladu s NIS2 a GDPR.

AI systém nemá dostatečný lidský dohled (Human Oversight); lékaři neví, jak systém funguje. Pokud AI udělá chybu a nikdo to nedetekuje, pacient utrpí újmu a nemocnice je odpovědná.

ARROWS pomáhá navrhnout mechanismy lidského dohledu – školení pro lékaře, procedury na monitorování, pravidla na přepsání AI výstupu. Připravuje dokumentaci, která prokáže, že lidský dohled byl implementován.

Smlouva s AI poskytovatelem je slabá; nemocnice nemůže vymáhat bezpečnost dat nebo přesnost. Pokud se stane incident, nemocnice nemůže poskytovatele žalovat, protože smlouva to neobsahuje.

Právníci z ARROWS připravují nebo revidují smlouvy s AI poskytovateli s klauzulemi na odpovědnost za data, bezpečnost, výkon (performance), řízení incidentů a právo na audit. Chrání nemocnici právně.

Nemocnice neví, jak komunikovat s pacienty o AI; riziko porušení AI Act na transparentnost. Bez informování pacientů nemocnice porušuje AI Act.

ARROWS pomáhá nemocnici navrhnout informační materiály pro pacienty, které splňují požadavky AI Act na transparentnost a zároveň jsou srozumitelné.

Po nasazení AI systému nemocnice nedělá sledování po uvedení na trh (post-market monitoring); neví, zda algoritmus stále funguje správně. Algoritmy se časem degradují nebo se naučí nežádoucí chování. Bez monitoringu je nemocnice slepá.

Právníci z ARROWS pomáhají navrhnout a dokumentovat proces sledování po uvedení na trh – jak se sbírají data, jaké se měří metriky, kdo rozhoduje o aktualizacích. Zajišťují nepřetržitou compliance.

Veřejné instituce: Specifika compliance v komunitním zdravotnictví

Registrace AI systémů

Pokud je nemocnice veřejnou institucí a provozuje vysokorizikový AI systém, musí ho zaregistrovat v celoevropské databázi AI systémů podle AI Act. Tato databáze se má stát veřejně dostupná, alespoň částečně.

Databáze bude sloužit jako přehled o tom, jaké AI systémy se v Evropě používají. Registrace není dobrovolná, ale jedná se o povinnost pro některé vysokorizikové systémy. Pokud ji nemocnice nesplní, porušuje AI Act.

Posouzení dopadů na základní práva (Fundamental Rights Impact Assessment)

Veřejné zdravotnické instituce mají zvláštní povinnost – před nasazením vysokorizikového AI systému musí provést posouzení dopadů na základní práva (Fundamental Rights Impact Assessment). Tato analýza je klíčová pro ochranu práv pacientů.

To znamená, že nemocnice musí formálně analyzovat, jaké skupiny pacientů by mohly být nepříznivě dotčeny AI systémem. Dále je nutné posoudit rizika pro fundamentální práva, jako je právo na zdraví, nediskriminace a soukromí.

Musí být také definována opatření, která se přijímají k minimalizaci těchto rizik. Toto posouzení se musí dodat dohledovému úřadu, což zajišťuje transparentnost a odpovědnost.

Governance a odpovědnost

Veřejné instituce mají jasně definované odpovědnostní řetězce, včetně ředitele, rady a vedení. Správa AI (AI governance) musí být proto nedílnou součástí řídící struktury instituce. To je klíčové pro efektivní dohled.

Související otázky: Compliance veřejných zdravotnických institucí:
  1. Kdo je odpovědný, pokud AI systém selže a pacient utrpí újmu?
    Odpovědnost není soustředěna na jednu osobu. Je to kombinace – poskytovatel AI (prodal systém bez dostatečné bezpečnosti?), nemocnice jako provozovatel (neměla lidský dohled?), lékař (ignoroval varovný signál z AI?). Soudní spor bude zkoumat roli každého. To je důvod, proč je dokumentace tak důležitá – aby bylo jasné, co kdo dělal.
  2. Jak se liší správa AI (AI governance) v soukromé vs. veřejné nemocnici?
    Veřejné nemocnice mají více byrokracie a kontrolních mechanismů, ale také více odpovědnosti vůči veřejnosti. Musí být transparentní a odpovědné (accountable), což znamená více dokumentace a auditů. Soukromé nemocnice mohou být agilnější, ale také více samy odpovídají za rizika.
  3. Lze z AI Actu udělat výjimku pro „veřejný zájem na zdraví"?
    AI Act má některé výjimky pro zdravotnické účely, ale to nejsou "práva" na porušení pravidel. Výjimky se týkají spíš interpretace, co je vysokorizikové nebo podmínek pro zpracování dat. Obě regulace stojí na tom, že zdraví je veřejný zájem, proto je tam více ochrany, ne méně.

Závěr

Zdravotnické instituce v České republice čelí bezprecedentně složité regulační situaci, která se skládá z minimálně tří vzájemně propojených regulací – NIS2, AI Act a GDPR. K tomu se přidávají průsečíky s národním právem a sektorovými normami (MDR).

Tato komplexní situace vyžaduje proaktivní přístup a hluboké porozumění všem regulačním požadavkům, aby se minimalizovala rizika a zajistila plynulá a bezpečná poskytování zdravotní péče v souladu se zákony.

Směrnice NIS2 a Cybersecurity Act č. 264/2025 Sb., který vstoupil v platnost 1. listopadu 2025, vyžadují, aby zdravotnické instituce implementovaly rigorózní kybernetickou bezpečnost. To zahrnuje řízení identit a přístupu (IAM) se zásadou "nejmenších privilegií".

Dále je nutné zavést centralizované logování, efektivní řízení incidentů a pravidelné audity. Porušení hrozí pokutami až 250 milionů Kč a dalšími právními důsledky, což podtrhuje závažnost dodržování těchto předpisů.

Nařízení EU o umělé inteligenci (AI Act), které vstoupilo v platnost 1. srpna 2024 a je v plné použitelnosti od 2. srpna 2026 pro vysokorizikové systémy, zavádí komplexní regulaci umělé inteligence.

Vysokorizikové AI systémy v medicíně, jako jsou ty pro diagnostiku, klinické rozhodovací podpory nebo triage, musí projít řízením rizik, testováním na zkreslení, dokumentací a mít zajištěn lidský dohled. Porušení hrozí pokutami až 35 milionů eur.

GDPR a zdravotnické údaje jako zvláštní kategorie osobních údajů vyžadují zesílenou ochranu, transparentnost a kontrolu. Anonymizace není jednoduché řešení. Moderní interpretace (EDPB Závěr 28/2024) tvrdí, že data lze re-identifikovat.

Možnost re-identifikace zvyšuje nároky na ochranu dat. Prakticky to znamená, že nemocnice musí pochopit, které z jejich AI systémů jsou vysokorizikové a implementovat řízení rizik a lidský dohled, aby zajistila soulad s předpisy.

Prakticky to znamená, že nemocnice musí:

  • Pochopit, které z jejich AI systémů jsou vysokorizikové.
  • Implementovat řízení rizik a lidský dohled.
  • Zajistit, aby zdravotnická data byla chráněna a bezpečná.
  • Pokud trénují AI na pacientských datech, zajistit správné právní základy a bezpečnost.
  • Pravidelně monitorovat a auditovat compliance.
  • Školit personál a vést dokumentaci.
  • Mít připraven plán reakce na incidenty.
  • Registrovat (pokud jsou veřejné instituce) AI systémy v EU databázi.

Bez této strategie a bez odborné právní a technické podpory je nemocnice vystavena vysokému riziku pokut, přerušení služeb, soudních sporů a ztráty důvěry pacientů.

Právníci a poradci z ARROWS advokátní kanceláře mají zkušenosti se všemi aspekty compliance. Orientují se v prolínajících se regulacích, pomohou nemocnici pochopit konkrétní povinnosti, navrhnout strategie a implementaci.

Pokud přijde kontrola nebo incident, pomohou s obranou a řešením. Chcete-li minimalizovat riziko a být si jisti souladem vaší zdravotnické instituce se zákonem, obraťte se na ARROWS advokátní kancelář – office@arws.cz.

Nejčastější otázky k: Kybernetická bezpečnost a AI Act v nemocnicích 

  1. Co mám dělat, pokud nemám čas podívat se na toto všechno a nemám ani IT specialisty na bezpečnost, ani právníky?
    Prvně si nechte udělat audit – externí firma vám řekne, kde se nacházíte a co hrozí. Pak se obraťte na právníky z ARROWS advokátní kanceláře (office@arws.cz), kteří vám pomohou s právní stránkou a s plánováním. Bez auditu a bez právní podpory budete pracovat naslepo.
  2. Pokud mám AI systém, který běžel 5 let bez problémů, musím ho aktualizovat na nový AI Act?
    Ano, AI Act se vztahuje na všechny vysokorizikové AI systémy používané po 2. srpnu 2026, bez ohledu na to, jak staré jsou. Pokud systém splňuje kritéria vysokorizikového AI (což diagnostické systémy typicky jsou), musí být v souladu s AI Act. To znamená řízení rizik, dokumentaci, lidský dohled, monitoring. Právníci z ARROWS vám pomohou posoudit, co konkrétně je třeba udělat.
  3. Jak posoudím, jestli je náš AI systém vysokorizikový?
    Vysokorizikový je systém, který se používá k podpoře nebo rozhodování a který má významný dopad na zdraví nebo základní práva pacientů. Typicky: diagnostika z obrázků, klinická rozhodovací podpora, triage, prognóza, alokace zdrojů. Nejjednodušší je nechat si to posoudit – právníci z ARROWS jsou v tom zkušení.
  4. Musí pacienti formálně souhlasit, pokud se AI použije na jejich datech?
    Záleží na situaci. Pokud se AI používá jako podpůrný nástroj přímo v jejich léčbě (např. AI pomůcka k diagnostice jejich snímku), pak musí být informováni (AI Act). Pokud se jejich data použijí k trénování AI a nejde o jejich vlastní léčbu, pak potřebujete souhlas (GDPR) nebo oprávněný zájem (s podmínkami). Právníci z ARROWS vám pomohou rozlišit situace a navrhnout postup.
  5. Pokud nasadíme AI bez compliance a zjistí se to, jaký trest můžeme očekávat?
    Záleží na závažnosti. Pokud jde o menší administrativní AI bez velkého vlivu, možná jen upozornění a žádost o nápravu. Pokud jde o diagnostický AI bez lidského dohledu, který se používá na tisících pacientech, pak hrozí sankce v milionech korun či eur, hlášení incidentu, audity, možná medializace. Nejjednodušší je compliance řešit od začátku, není to drahé.
  6. Jak dlouho trvá navrhnout a implementovat compliance?
    Záleží na rozsahu. Jednoduchý audit a zpráva – několik měsíců. Plná implementace IAM podle NIS2, politika pro AI, školení – 12-18 měsíců. Právníci z ARROWS vám pomohou s právní stránkou, technickou část řeší vaši IT nebo externí IT firmy. Není to jednorázová věc – compliance je průběžný proces.

Máte další dotazy? Obraťte se na právníky z ARROWS advokátní kanceláře – office@arws.cz. Rádi vám pomůžeme pochopit vaši konkrétní situaci a navrhnout řešení.

Upozornění: Informace obsažené v tomto článku mají pouze obecný informativní charakter a slouží k základní orientaci v problematice dle právního stavu k roku 2026. Ačkoliv dbáme na maximální přesnost obsahu, právní předpisy a jejich výklad se v čase vyvíjejí. Jsme ARROWS advokátní kancelář, subjekt zapsaný u České advokátní komory (náš orgán dohledu), a pro maximální bezpečí klientů jsme pojištěni pro případ profesní odpovědnosti s limitem 400.000.000 Kč. Pro ověření aktuálního znění předpisů a jejich aplikace na vaši konkrétní situaci je nezbytné kontaktovat přímo ARROWS advokátní kancelář (office@arws.cz). Neneseme odpovědnost za případné škody vzniklé samostatným užitím informací z tohoto článku bez předchozí individuální právní konzultace.

Čtěte také