Právo IT

V předchozích dílech naší série jsme popsali, jaká rizika jsou s nekontrolovaným využíváním AI ze strany zaměstnanců spojena a jak je lze z pohledu zaměstnavatele řešit. Jednou z klíčových součástí tohoto řešení je i nastavení pravidel, jaké AI nástroje lze využívat, pro jaké úkoly a činnosti či jaká data lze jejich pomocí zpracovávat. Pravidla sepsaná na papíře jsou jedna věc, ale pro skutečné zmírnění rizik spojených s tzv. Shadow AI je nutné jejich dodržování také v praxi kontrolovat.

Rizik spojených s nekontrolovaným a neschváleným využíváním AI nástrojů zaměstnanců (ShadowAI) je celá řada. Jak má organizace využívání umělé inteligence řešit, aby ochránila svá práva a snížila rizika úniku dat či pokut, ale zároveň neudusila iniciativu zaměstnanců a obecně vůli a snahu pracovat efektivněji?

Zaměstnanec si otevře ChatGPT, Gemini, Claude nebo jiný podobný nástroj, začne do něj vkládat pracovní zadání, dokumenty nebo interní data. Jenže zaměstnavatel o tom neví, IT oddělení na jejich používání nedohlíží a tyto nástroje dokonce nebyly zaměstnavatelem ani formálně schváleny. Přesně to je Shadow AI.[1]

Rok 2026 je podle řady expertů obdobím nástupu pragmatismu v oblasti umělé inteligence. Po letech, kdy technologický svět poháněl spíše optimismus a dynamika vývoje než skutečné nasazení do provozu, se pozornost přesouvá k měřitelným přínosům, stabilnímu využití AI v byznysu a ověřování technických i ekonomických limitů současných modelů.

Nový zákon o odolnosti subjektů kritické infrastruktury zásadně mění dosavadní systém ochrany kritické infrastruktury v České republice. Namísto dosavadního modelu založeného na jednotlivých prvcích zavádí přístup zaměřený na subjekty poskytující tzv. základní služby. V prvním článku naší série vysvětlujeme, jak poznat, zda se na vaši organizaci může nový zákon vztahovat, co jsou základní služby a kritéria významnosti a jaký je rozdíl mezi poskytovatelem základní služby a subjektem kritické infrastruktury.

Nový zákon o odolnosti subjektů kritické infrastruktury není jen další položka na vašem compliance seznamu. Pokud se vás týká, mění způsob, jak přemýšlíte o odolnosti firmy, řízení rizik i fyzické bezpečnosti.

Ještě poměrně nedávno jsme v kanceláři pracovali způsobem, který je v advokacii běžný. Všichni advokáti – od juniorních kolegů po partnery – používali zavedené právní databáze a nástroje, které jsou na trhu dlouhodobě považovány za standard.

Kybernetická bezpečnost už není jen problémem IT oddělení. Nová směrnice NIS2 a nový zákon o kybernetické bezpečnosti výrazně rozšiřují okruh regulovaných firem a přinášejí i revoluční změny. Odpovědnost za kybernetická rizika se nově dotýká přímo vedení společnosti.

Není novinkou, že umělá inteligence díky svým nástrojům prostupuje do všech oborů a profesí našeho života, a to včetně práva a advokacie. V té se ukazuje jako obzvlášť dobrý pomocník při jednoduchých činnostech jako jsou úpravy textu či formulace klientských e-mailů až po složitější zadání jako je rešerše odborné problematiky či příprava procesních podání. Právě u později zmiňovaného však může docházet (a taky dochází) ke střetu s hranicemi umělé inteligence.

Pověřenec pro ochranu osobních údajů je ve smyslu GDPR nezávislý odborník, který dohlíží na dodržování pravidel ochrany osobních údajů v dané organizaci. Ochrana osobních údajů je přitom nedílnou součástí širší regulace digitálního prostředí, která v posledních letech zaznamenává výrazný legislativní rozvoj na úrovni Evropské unie. Tento článek se tak zaměřuje na to, jak nová evropská legislativa z oblasti digital/compliance ovlivňuje roli pověřence pro ochranu osobních údajů v současném právním kontextu a zda má tato legislativa potenciál rozšířit či upravit povinnosti osob vykonávajících roli pověřence pro ochranu osobních údajů dle GDPR.

Od 1. listopadu 2025 je v České republice účinný zákon č. 264/2025 Sb., o kybernetické bezpečnosti (dále jen „NZKB“), který se do českého právního řádu implementuje evropskou směrnici NIS2 a představuje zásadní milník v oblasti kybernetické regulace na území České republiky za poslední roky.

Ve zdravotnictví dnes hraje software stále důležitější roli. Překvapením pro mnohé bývá, že za určitých okolností může být klasifikován jako zdravotnický prostředek.

V listopadu začal v České republice platit nový zákon o kybernetické bezpečnosti, který zásadně rozšiřuje okruh regulovaných subjektů. Na základě evropské směrnice NIS2 se povinnosti dotknou celé řady samospráv. Pro ty ostatní vzniká prostor, jak lépe chránit svou infrastrukturu před hackerskými hrozbami.

Jak je to s problematikou pirátských platforem pro sdílení obsahu online z pohledu práva proti nekalé soutěži? Jaké jsou možné nástroje ochrany držitelů autorských práv proti porušování těchto práv na internetu? Mohou být účinným nástrojem z práva nekalé soutěže vycházející nároky vůči pro­vozovatelům platforem pro sdílení obsahu online?

Od 12. září 2025 vstoupilo v účinnosti evropské nařízení o datech (Data Act), které přináší zcela nová pravidla pro nakládání s daty z chytrých zařízení s cílem posílit evropskou datovou ekonomiku. Data Act představuje jeden z klíčových kroků na cestě k vytvoření jednotného evropského trhu s daty a ke zvýšení konkurenceschopnosti Evropy v digitálním světě.

Směrnice NIS 2 významně rozšiřuje okruh společností, které podléhají regulaci v oblasti kybernetické bezpečnosti. Nově se týká nejen provozovatelů kritické infrastruktury, ale i celé řady dalších poskytovatelů služeb napříč sektory.

Uživatelé čím dál více vyhledávají informace pomocí AI, která je pro ně automaticky získává, třídí a využívá z veřejně dostupných webových stránek. Toto takzvané scrapování však na weby vytváří velký nápor, který může mít i parametry kybernetického útoku.

Povinnost oznamovat incidenty různým dozorovým úřadům vyplývá z řady regulací - GDPR, DORA, směrnice NIS2, směrnice CER... Připravujete se na reporting incidentů spojených s využitím AI?

Dlouho očekávaný nový zákon o kybernetické bezpečnosti vstupuje v účinnost od 1. listopadu 2025. Zákon zásadně promění způsob, jakým firmy v České republice přistupují k ochraně svých dat a informačních systémů. Pravidla, která byla dosud spíše doménou IT oddělení, se nově stávají i právní a manažerskou otázkou nejvyšší úrovně řízení.

Evropská komise uložila společnosti Google pokutu ve výši 2,95 miliardy eur za porušení pravidel hospodářské soutěže.

Společně se podíváme na celou řadu povinností, které vás budou trápit ve chvíli, kdy budete implementovat informační systém, který obsahuje AI, nebo jakýkoliv nástroj umělé inteligence. Podíváme se nejenom na AI Act, ale na celou řadu dalších regulací. Celé jsme se to pokusili vtělit do abecedy, ale nemusíte se bát, některá písmenka budeme přeskakovat. Vítejte u Abecedy implementace AI.

Technologický vývoj posledních let způsobil, že téma umělé inteligence a robotiky již nelze vnímat jako vzdálenou budoucnost. To, co ještě před deseti lety působilo jako science fiction, se dnes stává běžnou součástí našeho života. Inteligentní stroje pomáhají při chirurgických zákrocích, podílejí se na dopravě, kontrolují kvalitu výrobků v továrnách a postupně pronikají i do veřejného prostoru.

Nadpis je trošku zavádějící, protože když jsem tento příspěvek připravoval, bylo to ještě před blackoutem ve Španělsku a výpadky v Dánsku, kde odstavují větrné elektrárny. Příspěvek má tedy téma spíše oslího můstku.

Zákon č. 264/2025 Sb., o kybernetické bezpečnosti, účinný od 1. listopadu 2025, přináší komplexní úpravu práv a povinností v oblasti kyberbezpečnosti. Česká republika tak reaguje na rostoucí hrozby novou legislativou.

Ještě do konce 20. století platilo, že většina technologií měla buď přímý, nebo nepřímý původ ve vojenském prostředí, či souvisela s inovacemi pro vojenské účely. Tato doba je pryč a aktuálně naopak většina inovací přichází z prostředí civilního.