Právo IT

Uživatelé čím dál více vyhledávají informace pomocí AI, která je pro ně automaticky získává, třídí a využívá z veřejně dostupných webových stránek. Toto takzvané scrapování však na weby vytváří velký nápor, který může mít i parametry kybernetického útoku.

Povinnost oznamovat incidenty různým dozorovým úřadům vyplývá z řady regulací - GDPR, DORA, směrnice NIS2, směrnice CER... Připravujete se na reporting incidentů spojených s využitím AI?

Dlouho očekávaný nový zákon o kybernetické bezpečnosti vstupuje v účinnost od 1. listopadu 2025. Zákon zásadně promění způsob, jakým firmy v České republice přistupují k ochraně svých dat a informačních systémů. Pravidla, která byla dosud spíše doménou IT oddělení, se nově stávají i právní a manažerskou otázkou nejvyšší úrovně řízení.

Evropská komise uložila společnosti Google pokutu ve výši 2,95 miliardy eur za porušení pravidel hospodářské soutěže.

Společně se podíváme na celou řadu povinností, které vás budou trápit ve chvíli, kdy budete implementovat informační systém, který obsahuje AI, nebo jakýkoliv nástroj umělé inteligence. Podíváme se nejenom na AI Act, ale na celou řadu dalších regulací. Celé jsme se to pokusili vtělit do abecedy, ale nemusíte se bát, některá písmenka budeme přeskakovat. Vítejte u Abecedy implementace AI.

Technologický vývoj posledních let způsobil, že téma umělé inteligence a robotiky již nelze vnímat jako vzdálenou budoucnost. To, co ještě před deseti lety působilo jako science fiction, se dnes stává běžnou součástí našeho života. Inteligentní stroje pomáhají při chirurgických zákrocích, podílejí se na dopravě, kontrolují kvalitu výrobků v továrnách a postupně pronikají i do veřejného prostoru.

Nadpis je trošku zavádějící, protože když jsem tento příspěvek připravoval, bylo to ještě před blackoutem ve Španělsku a výpadky v Dánsku, kde odstavují větrné elektrárny. Příspěvek má tedy téma spíše oslího můstku.

Zákon č. 264/2025 Sb., o kybernetické bezpečnosti, účinný od 1. listopadu 2025, přináší komplexní úpravu práv a povinností v oblasti kyberbezpečnosti. Česká republika tak reaguje na rostoucí hrozby novou legislativou.

Ještě do konce 20. století platilo, že většina technologií měla buď přímý, nebo nepřímý původ ve vojenském prostředí, či souvisela s inovacemi pro vojenské účely. Tato doba je pryč a aktuálně naopak většina inovací přichází z prostředí civilního.

V úterý 16. září 2025 proběhlo v prostorách pražského Obecního domu již druhé diskuzní setkání pořádané Advokátní asociací pro AI ve spolupráci s prg.ai. Workshop s názvem Regulace, AI a advokacie – zákulisí legislativy a advokátních inovací otevřel otázky nejen o budoucnosti regulace AI na evropské i národní úrovni.

Třetí část stanoviska se zaměřuje na praktické rozlišení jednotlivých typů výzkumných studií a jejich právní rámec ve světle platné legislativy, včetně novely § 55b zákona o zdravotních službách. Autoři vysvětlují rozdíly mezi retrospektivními, prospektivními, intervenčními a post-marketingovými studiemi a uvádějí, které zákonné tituly zpracování a organizační postupy jsou v těchto případech přiměřené a obhajitelné. Zvláštní pozornost je věnována dopadům nařízení EU o evropském prostoru pro zdravotní údaje (EHDS), který zásadně promění režim sekundárního využití dat. Závěrečná část shrnuje hlavní poznatky a doporučení pro správce osobních údajů ve zdravotnictví, zejména fakultní nemocnice, a upozorňuje na potřebu dalšího zpřesnění právní úpravy v oblasti výzkumu.

V roce 2022 na veřejnost poprvé vyšel velký jazykový model, který změnil chápání celé řady z nás ohledně toho, co jsme si do té doby představovali pod umělou inteligencí. Dnes se umělá inteligence jako jedna z nových technologií dostává nejenom k nám do advokacie, za což jsme já i kolegové určitě rádi, ale i ke klientům, kteří samozřejmě mají k tomuto tématu celou řadu zvídavých dotazů. AI se přirozeně dostává i do českého soudnictví.

Druhá část stanoviska se zaměřuje na výklad zákonných titulů zpracování osobních údajů podle GDPR, které jsou relevantní při využívání údajů pacientů pro vědecké a výzkumné účely ve zdravotnictví. Autoři rozlišují aplikaci jednotlivých právních základů dle čl. 6 a čl. 9 GDPR podle typu správce a povahy výzkumu, a upozorňují i na rizika bezsouhlasového režimu. Pozornost je věnována také informační povinnosti vůči pacientům.

Dne 19. srpna 2025 nabyl účinnosti nový zákon o kritické infrastruktuře, který transponuje směrnici CER. Co nový zákon o kritické infrastruktuře přináší a jak souvisí s novým zákonem o kybernetické bezpečnosti? Na to se podíváme dále v tomto článku.

První část stanoviska se zabývá terminologií užitou relevantními právními předpisy a jejími dopady do aplikační praxe. Autoři porovnávají pojmy anonymizace a pseudonymizace, s tím, že pro potřeby zdravotnictví a biomedicínského výzkumu akcentují pseudonymizaci, přičemž oporu pro svůj výklad nacházejí přímo v GDPR. Hlavní myšlenkou je zde zachování vysoké využitelnosti zdravotních dat pro výzkumné účely při současném zachování plné ochrany práv pacientů v režimu GDPR. Komplikované otázky týkající se samotného pojmu anonymizace z právního hlediska a anonymizačních nástrojů po technické stránce však již stanovisko neřeší a tyto zůstávají otevřeny pro samostatné pojednání.