Digitalizace a regulace AI Act · Nařízení 2024/1689 · MDR · NIS2 · ČTÚ

2. srpna 2026. AI Act, české nemocnice a regulační vrstva, kterou nikdo necvičil

V neděli 2. srpna 2026 nabývá v plném rozsahu účinnosti hlava III Nařízení Evropského parlamentu a Rady (EU) 2024/1689 o umělé inteligenci, lidově AI Act. Pro zdravotnictví to není abstraktní právní událost. Podle veřejných vyjádření České asociace umělé inteligence (CzAIA) z podzimu 2025 už zhruba 64 % českých nemocnic v nějaké podobě AI používá — od triáže rentgenových snímků v Carebot a Aidoc přes prediktory sepse na ARO až po nástroje pro automatickou anonymizaci klinických zpráv. Kolik z nich má dnes hotovou klasifikaci podle čl. 6 a Přílohy III AI Aktu, není veřejně známo — odborné zdroje shodně poukazují na to, že podíl je nízký. Tento článek je o tom, co konkrétně 2. srpna 2026 nastane, jak vrstvení regulací MDR + AI Act + GDPR + NIS2 vytváří unikátní břemeno právě ve zdravotnictví, jaký český implementační zákon předkládá Ministerstvo průmyslu a obchodu — a co by management krajské nemocnice měl mít na stole už dnes.

18. května 2026 · 19 minut čtení · redakce HSPA Monitoru

Pozn. k revizi (11. května 2026): Status článku ponechán jako review-pending. Při kaskádové verifikaci proti primárním zdrojům (EUR-Lex pro Nařízení 2024/1689, tisková zpráva MPO z 26. 9. 2025, MDCG endorsed documents, EUR-Lex pro Směrnici 2024/2853 a sdělení Evropské komise o stažení AI Liability Directive) byly identifikovány a opraveny tyto neshody: (1) citovaný pokyn „MDCG 2025-7 z března 2026" v textu reálně neexistuje — relevantní dokument je MDCG 2025-6 (FAQ on Interplay between MDR/IVDR and AI Act), publikovaný 19. 6. 2025; (2) institucionální schéma českého návrhu zákona o AI bylo opraveno — akreditaci notifikovaných osob zajišťuje ÚNMZ, nikoli ČAS; ČAS spravuje regulační sandbox; do schématu doplněn Veřejný ochránce práv jako orgán ochrany lidských práv, který v návrhu MPO figuruje; (3) stažení AI Liability Directive bylo Komisí oznámeno v Pracovním programu 2025 (11. 2. 2025) a formálně potvrzeno v říjnu 2025, nikoli „v lednu 2025"; (4) Směrnice (EU) 2024/2853 vstoupila v platnost 8. 12. 2024 — transpoziční lhůta do 9. 12. 2026 (původní text mísil oba okamžiky); (5) stav českého návrhu zákona o AI byl k datu revize ověřitelný pouze do fáze meziresortního připomínkového řízení (zveřejněn MPO koncem září 2025) — pasáže o lednovém schválení vládou a o prvním čtení 9. 5. 2026 byly přepsány tak, aby odpovídaly veřejně dohledatelnému stavu. Dále jsou v textu výslovně označeny pasáže, kde jednotlivá specifická čísla a konkrétní seznamy nasazení AI v českých nemocnicích (počty zařízení s Aidoc, Rayvolve, Annalise.ai, Paige; údaj „~7 % nemocnic s uzavřenou klasifikací"; n = 47 v CzAIA průzkumu; údaj „12–28 minut rychleji" u Aidocu; alokace ~350 mil. EUR z KHZG pro AI compliance 2025–2027; PwC EU AI Act Impact Study 2025; McKinsey EU AI Compliance Brief 2025; konkrétní názvy frameworků BfArM/HAS/MHRA) nejsou v této chvíli z primárního strojově dohledatelného zdroje ověřitelné a vyžadují ruční ověření před republikací (Železné pravidlo HSPA Monitoru). Republikace teprve po ručním schválení redakce.

AI Act je první komplexní právní úprava umělé inteligence na světě. Vstoupila v platnost 1. srpna 2024, ale účinnost nabývá ve čtyřech vlnách: zákazy nepřijatelných praktik 2. února 2025, povinnosti pro obecné modely (GPAI) 2. srpna 2025, povinnosti pro vysoce rizikové systémy z Přílohy III 2. srpna 2026 a povinnosti pro vysoce rizikové systémy z Přílohy I (zdravotnické prostředky podle MDR a IVDR) až 2. srpna 2027. Zdravotnictví do tohoto rozvrhu zasahuje hned dvakrát: na jedné straně systémy z Přílohy III bod 5 (přístup k základním službám — typicky triáž, prioritizace pacientů, podpora rozhodování o úhradě nehrazené péče dle § 16 zákona 48/1997 Sb.), na druhé straně samotné zdravotnické prostředky se softwarovou složkou AI z Přílohy I. Pro management nemocnice to znamená, že rok 2026 a 2027 přinášejí dvě odlišné dead-line a dvě odlišné regulační logiky.

AI v českých nemocnicích — výchozí pozice před 2. 8. 2026

64 % nemocnic v ČR používá AI CzAIA podzim 2025 · radiologie ~80 % nasazení

~156 lůžkových zařízení k posouzení + 4 800 ambulancí · 14 ZZS · distributoři · laboratoře

250 mil Kč strop pokuty / sankce za neplnění nebo 2 % obratu (vyšší z obou) za neplnění Přílohy III

2. 8. 2026 účinnost vlny 3 (Příloha III) vlna 4 (Příloha I — MDR/IVDR) 2. 8. 2027

Zdroj: CzAIA komunikace 11/2025, Nařízení EU 2024/1689 čl. 99 (sankce), MPO ČR návrh zákona o AI (9/2025).

AI Act — čtyřvlnný náběh účinnosti (2024 → 2027) ve zdravotnictví

1. 8. 2024
Nařízení 2024/1689 v platnosti

Vstup v platnost. Začíná 24měsíční odklad účinnosti hlavních povinností. Komise spouští EU AI Office.
2. 2. 2025
Vlna 1 — zákazy nepřijatelných praktik (čl. 5)

Sociální skóring státu, manipulativní techniky, prediktory páchání tr. č. pouze z profilování. Bez vazby na zdravotnictví.
2. 8. 2025
Vlna 2 — GPAI (obecné modely)

Povinnosti pro foundation modely. Ve zdravotnictví okrajově — typicky kdo zde nasazuje LLM pro klinickou dokumentaci nebo administrativu.
19. 6. 2025
MDCG 2025-6 — FAQ k souběhu MDR/IVDR + AI Act

Medical Device Coordination Group publikuje pokyn k interakci tří regulací. Předznamenává harmonizaci postupů pro výrobce SaMD.
2. 8. 2026
Vlna 3 — vysoce rizikové z Přílohy III bod 5

Triáž ZZS, prioritizace pacientů, podpora rozhodování o úhradě § 16. Sedm okruhů povinností (čl. 9–15): risk management, data governance, dokumentace, logy, transparentnost, lidský dohled, robustnost + kyber.
Deadline 1
2. 8. 2027
Vlna 4 — Příloha I (zdravotnické prostředky MDR/IVDR)

Radiologie (Aidoc, Annalise, Rayvolve, Carebot), patologie (Paige, PathAI), oftalmologie (IDx-DR), kardiologie EKG, prediktory sepse (Epic, NAVIGATOR), mamografie (Lunit, Therapixel). Dvojí certifikace CE-MDR + AI Act.
Deadline 2

Zdroj: Nařízení EU 2024/1689, MDCG 2025-6 (19. 6. 2025), EU AI Office harmonogram, MDR 2017/745, IVDR 2017/746.

Co se 2. srpna 2026 stane: zákon v krátkosti

Nařízení 2024/1689 dělí AI systémy do čtyř rizikových kategorií. Nepřijatelné (čl. 5 — sociální skóring státu, manipulativní techniky, predikce páchání trestné činnosti pouze z profilování) jsou zakázané od února 2025. Vysoce rizikové (čl. 6 a Přílohy I a III) podléhají od srpna 2026 (Příloha III), respektive srpna 2027 (Příloha I) sedmi okruhům povinností. Omezeně rizikové (čl. 50 — chatboty, deepfake, generování textu a obrazu) podléhají povinnostem transparentnosti od srpna 2026. Minimálně rizikové (filtrování spamu, herní AI, triviální optimalizace) jsou bez specifických povinností. Pro zdravotnictví je rozhodující kategorie „vysoce rizikové“ a v ní rozdělení Přílohy III versus Přílohy I.

Z Přílohy III bod 5 spadají do vysokého rizika systémy „určené pro orgány veřejné moci nebo jejich jménem k posuzování způsobilosti fyzických osob k pobírání základních veřejných dávek a služeb, včetně zdravotní péče“ a „určené k upřednostňování poskytování záchranné zdravotní péče (triáž)“. To zahrnuje například systémy automatické dispečerské triáže záchranné služby, prediktory rizika u pacientů na pohotovosti (Manchester Triage Scale s AI rozšířením), nástroje pro alokaci JIP lůžek během hromadných příjmů a v širším výkladu pravděpodobně i nástroje, které pomáhají revizním lékařům rozhodovat o žádostech podle § 16. Bod 5 se týká právě toho, co od 2. srpna 2026 musí být plně compliant.

Z Přílohy I bod 11–12 spadají do vysokého rizika systémy, které jsou „bezpečnostní složkou“ produktu podléhajícího MDR (Nařízení 2017/745 o zdravotnických prostředcích) nebo IVDR (Nařízení 2017/746 o diagnostických prostředcích in vitro), nebo přímo samostatným zdravotnickým prostředkem typu SaMD (Software as a Medical Device). Sem patří algoritmy pro detekci nálezů v radiologii (Aidoc, Annalise.ai, Rayvolve, Carebot), patologii (Paige, PathAI), oftalmologii (IDx-DR pro screening diabetické retinopatie), kardiologii (analýza EKG), prediktory sepse (Epic Sepsis Model, NAVIGATOR), systémy pro mamografický screening (Lunit Insight, Therapixel) a mnohé další. Tato vrstva má dead-line 2. srpna 2027, ne 2026 — Komise EU jí přiznala další rok kvůli dvojímu certifikačnímu zatížení.

Dvojí regulace: proč je zdravotnictví unikátní zátěž

AI Act ve zdravotnictví neoperuje v právním vakuu. Vrství se na čtyři existující regulační rámce, z nichž každý vyžaduje vlastní compliance proces, vlastní dokumentaci a vlastní dohledový orgán. Prvním je MDR (Nařízení 2017/745), které vyžaduje pro software v kategorii II.a–III certifikaci notifikovanou osobou (v ČR ITC Zlín, EZÚ Praha, Strojírenský zkušební ústav Brno) a klinickou evaluaci podle MDCG 2020-1. Druhým je AI Act se svými sedmi okruhy povinností (čl. 9–15: risk management, data governance, technická dokumentace, logy, transparentnost, lidský dohled, robustnost a kybernetická bezpečnost). Třetím je GDPR (Nařízení 2016/679 a zákon 110/2019 Sb.) s povinnostmi DPIA, právním titulem zpracování zvláštních kategorií osobních údajů (čl. 9 odst. 2 písm. h) — poskytování zdravotní péče), pseudonymizací a omezeným uchováním. Čtvrtým je nový český zákon o kybernetické bezpečnosti transponující NIS2, který nabude účinnosti v průběhu roku 2026 a rozšiřuje regulační okruh z dnešních ~6 KII subjektů na 200+ poskytovatelů zdravotní péče (viz samostatný článek HSPA Monitoru o NIS2).

Vrstvení znamená, že AI radiologický systém kategorie IIa MDR s prediktivní funkcí na 50lůžkové JIP fakultní nemocnice musí mít: notifikovaný certifikát CE-MDR, prohlášení o shodě podle AI Aktu (po srpnu 2027), zaregistrovanou DPIA podle čl. 35 GDPR, dokumentaci řízení dodavatelských rizik podle NIS2 a hlášení incidentů na NÚKIB. To není teoretická konstrukce — Medical Device Coordination Group (MDCG) při Evropské komisi publikoval 19. června 2025 pokyn MDCG 2025-6 (FAQ on Interplay between Medical Devices Regulation, In Vitro Diagnostic Medical Devices Regulation and the Artificial Intelligence Act), který odpovídá na často kladené otázky výrobců AI systémů pro zdravotnické účely o souběhu MDR/IVDR a AI Aktu a předznamenává harmonizaci postupů. V praxi to znamená nového compliance officera, dedikovaný systém pro správu životního cyklu AI modelů (model registry, drift monitoring, retraining log) a vytvoření AI governance výboru jako stálého orgánu.

Sedmero povinností podle čl. 9–15: anatomie compliance

Sedm okruhů povinností pro vysoce rizikové AI (čl. 9–15 AI Aktu)

Čl.	Povinnost	Praktický dopad pro nemocnici	Souběh s
9	risk management systém	ISO 14971 typu životního cyklu modelu	MDR
10	data governance + kvalita dat	bias audit + reprezentativnost trénovacích sad	GDPR čl. 9
11	technická dokumentace	~300 stran per systém (model card + DPIA)	MDR technical file
12	automatické logy	traceability každého rozhodnutí AI	NIS2 incident log
13	transparentnost vůči uživateli	UX disclosure ošetřujícímu lékaři + pacientovi	GDPR čl. 22
14	lidský dohled (human-in-the-loop)	nelze plně automatizovat klinické rozhodnutí	medicínský zákon 372/2011
15	robustnost + kyber + cyber-security	penetrační testy, ochrana proti adversarial attacks	NIS2 264/2025
Zdroj: Nařízení EU 2024/1689 čl. 9–15. Sankční pásma čl. 99: 15 mil EUR / 3 % obratu za neplnění (vyšší z obou).

AI Act formuluje pro vysoce rizikové systémy sedm věcných okruhů povinností. Čl. 9 — systém řízení rizik: poskytovatel (provider) musí zavést a udržovat dokumentovaný proces identifikace, hodnocení a mitigace rizik po celý životní cyklus systému, včetně rizik, která vyplývají z předvídatelného nesprávného použití. Čl. 10 — data governance: trénovací, validační a testovací datové sady musí být reprezentativní, statisticky relevantní a zbavené chyb, zkreslení a zaujatosti. To je u zdravotnictví vážný bod — algoritmus trénovaný převážně na evropské populaci s nízkou prevalencí TBC a vysokou prevalencí osteoporózy nemusí dobře fungovat na pacientech z postsovětského prostoru se zcela jiným epidemiologickým profilem. Čl. 11 — technická dokumentace: rozsahem srovnatelná s technickou dokumentací zdravotnického prostředku podle Přílohy II MDR. Čl. 12 — logy: automatický záznam událostí systému po celou dobu provozu, dohledatelnost každé predikce, retence minimálně 6 měsíců (u zdravotnictví patrně mnohem déle s ohledem na 372/2011 Sb. § 53 — uchování zdravotnické dokumentace).

Čl. 13 — transparentnost vůči uživateli: instrukce pro použití musí jasně popisovat účel, přesnost, robustnost, kybernetickou bezpečnost, omezení a předvídatelné nesprávné použití. To má v klinické praxi bezprostřední dopad na proces informovaného souhlasu pacienta podle § 31 zákona 372/2011 Sb. — pokud se na rozhodnutí o léčbě podílí AI systém, musí být pacient informován v rozsahu odpovídajícím povaze zákroku, byť konkrétní judikatura zatím chybí. Čl. 14 — lidský dohled: provozovatel (deployer) musí zajistit, že AI rozhodnutí může být lidským operátorem zkontrolováno, zpochybněno nebo zrušeno (human-in-the-loop, human-on-the-loop). Praxe „AI navrhne — radiolog jen klikne na schválit“ AI Act explicitně neumožňuje. Čl. 15 — přesnost, robustnost a kybernetická bezpečnost: dokumentované metriky výkonnosti, odolnost vůči adversariálním útokům (data poisoning, model evasion), aktualizace v rámci řízeného životního cyklu.

Český implementační zákon: ČTÚ jako kontaktní bod

Zatímco AI Act je nařízení EU s přímou účinností (tj. nepotřebuje transpoziční zákon), členský stát je povinen jmenovat dozorový orgán a upravit procesní pravidla pro řízení o sankcích, akreditaci notifikovaných osob a národní AI sandboxy. Návrh českého zákona o umělé inteligenci a o změně zákona č. 87/1995 Sb. (a dalších souvisejících zákonů) zveřejnilo Ministerstvo průmyslu a obchodu pro meziresortní připomínkové řízení v závěru září 2025 (tisková zpráva MPO z 26. 9. 2025); důvodová zpráva nese datum 25. 9. 2025. Cílem MPO je účinnost ve druhé polovině roku 2026 — souběžně s nabytím účinnosti hlavy III AI Aktu. K 9. květnu 2026 se podle veřejně dohledatelných zdrojů (eKLEP / monitor zákonyprolidi.cz, registr sněmovních tisků PSP) návrh stále nachází ve fázi mezi vládou a Poslaneckou sněmovnou — samostatný sněmovní tisk dosud nebyl přidělen. Časový skluz mezi cílovou účinností a reálným tempem legislativního procesu je tedy věcným rizikem implementace.

Klíčový rys českého návrhu je institucionální fragmentace dohledu. Český telekomunikační úřad (ČTÚ) se podle MPO stává „single contact point“ podle čl. 70 odst. 2 AI Aktu a generálním dozorovým orgánem pro vysoce rizikové AI systémy mimo specifické sektory. Česká národní banka (ČNB) dohlíží na AI systémy ve finančním sektoru (úvěrové scoring, AML, AI-driven trading). Úřad pro ochranu osobních údajů (ÚOOÚ) dohlíží na AI systémy zpracovávající osobní údaje a provádí dozor nad AI v oblasti zaměstnanosti, vzdělávání a migrace. Úřad pro technickou normalizaci, metrologii a státní zkušebnictví (ÚNMZ) bude akreditovat conformity assessment bodies (CAB) a zajišťovat notifikaci. Česká agentura pro standardizaci (ČAS) bude podle návrhu provozovat regulační sandbox (testovací prostředí podle čl. 57 AI Aktu). Veřejný ochránce práv (Ombudsman) je v návrhu uveden jako orgán ochrany základních lidských práv. Pro zdravotnictví specifický rozcestník neexistuje — Ministerstvo zdravotnictví ČR je ve schématu pouze jako odborný garant, nikoli jako dohledový orgán. Praktický dopad: AI radiologický systém v krajské nemocnici bude pod dozorem ČTÚ pro AI Act a Státního ústavu pro kontrolu léčiv (SÚKL) pro MDR a NÚKIB pro NIS2.

Sankční rámec přebírá maximální pásma AI Aktu (čl. 99): až 35 mil. EUR nebo 7 % celosvětového ročního obratu (vyšší z obou) za použití zakázaných praktik, až 15 mil. EUR nebo 3 % obratu za neplnění povinností u vysoce rizikových systémů, a 7,5 mil. EUR nebo 1 % za poskytnutí nepravdivých informací dohledovému orgánu. Pro nemocnice je relevantní pásmo 15 mil. EUR / 3 % — tj. teoretický strop sankce pro průměrnou krajskou nemocnici s obratem 4 mld. Kč činí 120 mil. Kč. V praxi se přirozeně očekává, že prvotní praxe ČTÚ bude graduální a vzdělávací; podobně jako u GDPR v letech 2018–2020 lze očekávat dvouleté přechodné období, ve kterém budou převažovat výtky a nápravná opatření nad pokutami.

Konkrétní AI v českých nemocnicích: mapa pole

Veřejné zdroje k roli AI v českých nemocnicích — zejména komunikace České asociace umělé inteligence (CzAIA) ze závěru roku 2025, příručka pro nemocnice z 09/2025 distribuovaná všem nemocnicím v ČR a tematické články v Lupa.cz a Euro.cz — uvádějí, že přibližně 64 % nemocnic v ČR využívá AI v nějaké podobě a že dominantní klinickou oblastí je radiologie (řádově ~80 % nasazení). Nejrozšířenějším českým řešením je Carebot (detekce patologií na rentgenech hrudníku), který je podle vyjádření spoluzakladatele M. Misaře nasazen řádově v desítkách českých nemocnic; další zde citované systémy (Aidoc pro akutní neuro/kardio nálezy, Rayvolve, Annalise.ai pro obecnou radiologii, Paige Prostate pro patologii, Lunit Insight pro mamografický second reader, NAVIGATOR pro prediktory sepse, Aireen pro retinální screening, Kardi AI pro EKG monitoring) jsou v ČR podle veřejných oznámení dodavatelů a tiskových zpráv jednotlivých nemocnic přítomny, přesné počty zařízení a konkrétní seznamy nemocnic s jednotlivými systémy ale nejsou v této chvíli z primárního strojově dohledatelného zdroje ověřitelné (CzAIA neuveřejnila kompletní metodologii a anonymizovaná tabulka instalací nebyla publikována). Pro účely tohoto článku proto uvádíme oblasti a typy systémů, nikoli jednotlivá zařízení.

Co je z pohledu AI Aktu klíčové: většina těchto nasazení dnes nemá uzavřenou klasifikaci podle čl. 6 a Přílohy III/I AI Aktu. Sami představitelé CzAIA i právní výklad MPO (důvodová zpráva k návrhu zákona o AI, 25. 9. 2025) vycházejí z předpokladu, že podíl nemocnic s formálně dokumentovanou klasifikací je v ČR nízký; konkrétní procento („~7 %") cirkuluje v odborné publicistice, ale není podloženo veřejnou metodologií průzkumu a v rámci tohoto auditu jej nelze ověřit z primárního zdroje — uvádíme jej proto pouze jako sekundární odhad. To je problém — povinnost klasifikace je na straně provozovatele (deployer, čl. 26), nikoli pouze výrobce (provider, čl. 16). I když výrobce v EU prohlášení o shodě deklaruje, jakou kategorii systém naplňuje, provozovatel je povinen ověřit, zda v jeho konkrétním nasazení nedochází k „substantial modification“ podle čl. 25, která by mohla kategorii posunout. V praxi: pokud nemocnice použije off-label, např. pro pediatrii systém validovaný na dospělých, vstupuje tím do role spolu-provozovatele s rozšířenými povinnostmi.

Investiční horizont: kolik to bude stát krajskou nemocnici

Veřejně dostupné nákladové odhady pro implementaci AI Aktu ve zdravotnictví zatím nepředstavují kalibrovaný benchmark — citace „PwC EU AI Act Impact Study 2025“ a „McKinsey EU AI Compliance Brief 2025“ z předchozí verze tohoto textu nebyly v rámci auditu primárně dohledány a uvádíme proto pouze řádové intervaly jako modelové projekce: jednorázové implementační náklady pro středně velkou krajskou nemocnici (cca 600–1 000 lůžek, 2–4 nasazené high-risk AI systémy) lze řádově odhadnout na nízké jednotky až nižší desítky milionů korun, tedy v intervalu zhruba 8–18 mil. Kč; podíl mezi procesním nastavením (gap analýza, AI inventory, klasifikace, governance), technologickou vrstvou (model registry, drift monitoring, audit trail, security hardening) a externí podporou a školením personálu se pohybuje v rovnoměrných třetinách. Roční provozní náklady v podobném pásmu: 2–6 mil. Kč na compliance officera, periodickou revalidaci modelů, post-market surveillance reporting a externí audity. Tato pásma je nutné chápat jako řádový rámec, ne jako empiricky kalibrovaný benchmark; před republikací doporučujeme nahradit konkrétním cenovým průzkumem v segmentu krajských a fakultních nemocnic.

Tato čísla vstupují do segmentu, který v dohodovacím řízení 2027 nemá samostatnou úhradovou linku. Investice do AI compliance se v současné mechanice úhradové vyhlášky musí krýt z provozního rozpočtu nemocnice — typicky z DRG hospitalizační složky a paušálu na ambulanci. Krajské nemocnice s napjatým rozpočtem (typicky -2 % až -5 % provozní marže) nemají odkud. To vytváří riziko, že část nemocnic prostě 2. srpna 2026 nebude compliant a buď riskne sankci, nebo AI vypne. Druhá varianta je z hlediska kvality péče horší, než si veřejnost uvědomuje — odborné studie AI detektorů akutních nálezů na CT mozku (Aidoc, RapidAI, viz publikace AJNR / Stroke 2020–2023) shodně dokumentují zkrácení času od skenu k expertní detekci o jednotky až desítky minut, což u CMP s indikací k mechanické trombektomii reálně mění outcome; konkrétní číselný interval „12–28 minut“ z předchozí verze textu však z primárního zdroje nebyl v rámci tohoto auditu dohledán a před republikací jej vyžaduje nahradit citací konkrétní publikace nebo údaje vendor white-paperu.

Mezinárodní paralely: kdo si poradil dřív

Německo postavilo AI compliance ve zdravotnictví na souběhu Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM, MDR notifikovaná osoba a dohled nad zdravotnickými prostředky se softwarem) a programu Krankenhauszukunftsfonds (KHZG, federální fond v celkovém objemu 4,3 mld. EUR účinný od října 2020 na digitalizaci nemocnic, z toho 3 mld. EUR z federálního rozpočtu a 1,3 mld. EUR z financování zemí a nemocnic; nejméně 15 % každé dotace muselo cílit na kybernetickou bezpečnost). KHZG sice neměl explicitní AI compliance linku, ale značná část profinancovaných projektů (telemedicína, digitální procesy, IT bezpečnost) vytvořila infrastrukturní základ, na kterém AI Act compliance v Německu staví. Národní jmenování AI Act dozorového orgánu mělo k jaru 2026 ještě probíhat — Spolková síťová agentura (BNetzA) je v této roli připravovaným kandidátem. Konkrétní referenční dokumenty Ärztekammer / SVR Gesundheit a regionálních AI kompetenčních center (např. Bayern) zde citované doporučujeme před republikací nezávisle ověřit (uváděné datum „leden 2026" a počet „38 postupů" nebyly v rámci tohoto auditu z primárního zdroje dohledány).

Francie centralizuje hodnocení zdravotnických prostředků (včetně AI-SaMD) přes Haute Autorité de Santé (HAS) v rámci Commission Nationale d'Évaluation des Dispositifs Médicaux et des Technologies de Santé (CNEDiMTS) — HAS dlouhodobě vydává metodické rámce pro hodnocení digitálních a AI zdravotnických prostředků a pro úhradové rozhodování (SMR/ASMR), Délégation au numérique en santé (DNS) provozuje program Ma Santé 2022 a navazující G_NIUS hub. Konkrétní názvy frameworků a datum jejich vydání v textu vyžadují před republikací ověření z webu has-sante.fr / numerique.sante.gouv.fr. Nizozemsko jde cestou Zorginstituut Nederland a národní normy informační bezpečnosti NEN 7510; pilotní program ZonMw pro AI ve zdravotnictví staví na podmínce veřejné publikace post-market surveillance dat.

Spojené království formálně vně AI Aktu, ale MHRA (Medicines and Healthcare products Regulatory Agency) pokračuje v realizaci „Software and AI as a Medical Device Change Programme“ (publikovaného poprvé 2021 a opakovaně aktualizovaného), který velkou část principů AI Aktu zrcadlí — zejména v oblasti life-cycle managementu, transparentnosti a post-market surveillance. NHS AI Lab — v Británii klíčový aktér — financuje AI nasazení primárně tam, kde je doložený outcome benefit, nikoli pouze efektivita. Spojené státy regulují AI ve zdravotnictví přes FDA Software as a Medical Device (SaMD) framework a přes FDA Predetermined Change Control Plan (PCCP), který umožňuje výrobcům předem registrovat plánované změny modelu (retraining schedule, performance corridor) a tím se vyhnout opakovaným submission cyklům. To je pragmatické řešení pro AI specificky, které EU AI Act zatím nemá — pro EU zůstává každá netriviální změna „substantial modification“ s povinností nové conformity assessment.

Otevřené otázky: odpovědnost, souhlas, financování

Tři problémy zůstávají z české perspektivy nedořešené. Odpovědnost za škodu způsobenou AI systémem: Směrnice o odpovědnosti za vadné výrobky 85/374/EHS prochází modernizací — Směrnice (EU) 2024/2853 vstoupila v platnost 8. prosince 2024, transpoziční lhůta pro členské státy je do 9. prosince 2026 a směrnice se použije na výrobky uvedené na trh po tomto datu; do pojmu „výrobek“ je nově zařazen i software včetně AI systémů. Souběžně Evropská komise v Pracovním programu 2025 (11. února 2025) oznámila stažení návrhu AI Liability Directive z důvodu absence vyhlídky na shodu, formální stažení proběhlo v říjnu 2025 — kauzalita („AI selhal“ → „pacient utrpěl škodu“) tedy zůstává v běžných pravidlech občanského práva. Pro nemocnici jako provozovatele to znamená, že vedle deliktní odpovědnosti podle § 2913–2950 občanského zákoníku riskuje rovněž odpovědnost za neposkytnutí náležité péče podle § 2952 OZ a § 28 zákona 372/2011 Sb. Konkrétní praxe komerčních pojistitelů odpovědnosti zdravotnických zařízení (Allianz, Generali, Kooperativa) ohledně AI inventory jako podkladu pro ratingování pojistné smlouvy je v ČR v rané fázi a zde uvedené tvrzení o roce 2026 z primárního zdroje (oficiální komunikace pojišťoven) v rámci tohoto auditu nebylo dohledáno — uvádíme jej proto jako redakční pozorování trendu, nikoli jako doložený fakt.

Informovaný souhlas pacienta a transparentnost vůči laikovi. § 31 zákona 372/2011 Sb. ukládá poskytovateli povinnost srozumitelně poučit pacienta o povaze a důvodu výkonu, předpokládaném výsledku a možných alternativách. AI Act čl. 13 ukládá transparentnost vůči profesionálnímu uživateli (provozovateli systému, tj. lékaři). Mezi těmito dvěma vrstvami — lékař a pacient — vzniká právní mezera. Musí lékař proaktivně sdělit pacientovi, že na rentgenu jeho hrudníku byl použit AI second reader? Aktuální česká judikatura odpověď nedává; zahraniční literatura (Cohen 2020, JAMA Network Open; Price & Cohen 2019, Nature Medicine) doporučuje ano, alespoň když AI ovlivňuje klinické rozhodnutí. Etická komise ČLK připravuje stanovisko s předpokládanou publikací do konce 2026.

Financování compliance. Na rozdíl od KHZG v Německu nemá ČR vyhrazený federální fond na AI compliance ve zdravotnictví. Existuje sice Národní plán obnovy s komponentou 1.4 (digitalizace zdravotnictví, ~7,7 mld. Kč alokovaných pro 2021–2026), ale ten je primárně určen na elektronickou dokumentaci, eŽádanky, eRecept a propojení s EHDS, nikoli na AI compliance. Diskuse v rámci dohodovacího řízení 2027 o oddělené úhradové komponentě pro AI infrastrukturu je v rané fázi a před koncem volebního období do voleb 2029 se ji pravděpodobně nepodaří dotáhnout. Realistická cesta je aktualizace úhradové vyhlášky pro 2027 (vydávaná do 31. 10. 2026) o explicitní AI compliance buffer — buď přes navýšení DRG koeficientu pro hospitalizace s prokazatelným AI inputem, nebo přes ad hoc grantový systém MZ ČR.

Co lze stihnout do 2. srpna a co musí počkat

Z hlediska české krajské nemocnice je rozumné členění na tři vlny. První vlna — do 2. srpna 2026: AI inventory (kompletní seznam nasazených AI nástrojů včetně v subkontraktu — např. LIS od dodavatele s AI komponentou), klasifikace každého systému podle Přílohy III, AI policy podepsaná ředitelem, jmenování AI compliance officera (kumulovaný úvazek s pověřencem GDPR a manažerem kybernetické bezpečnosti je akceptovatelný), uzavření smluv o provedení role provider/deployer s dodavateli (kdo dělá risk management, kdo logy, kdo informuje pacienta). Toto je ambiciózní, ale zvládnutelné.

Druhá vlna — do konce 2026: implementace technického backbone (model registry, drift monitoring, automatický audit trail), formální risk management dokumentace pro každý high-risk systém, školení 100 % klinického personálu pracujícího s AI nástroji, integrace AI compliance reportingu do interního systému nežádoucích událostí. Třetí vlna — do 2. srpna 2027: reklasifikace všech zdravotnických prostředků s AI komponentou podle Přílohy I (souběh s plnou účinností MDR + AI Act), aktualizace vendor portfolia o EU prohlášení o shodě podle AI Aktu, rozšíření klinické evaluace o AI-specific PMS data. Tato třetí vlna je kapacitně nejnáročnější a pro většinu nemocnic vyžaduje externí podporu.

Závěr: regulace jako infrastruktura kvality, ne jako překážka

AI Act je nejambicióznější legislativní akt EU posledních pěti let — rozsahem srovnatelný s GDPR, dopadem ve zdravotnictví patrně rozsáhlejší. Pro české zdravotnictví přichází ve specifický moment: po reformě LSP/UPS (290/2025 Sb.), souběžně s reformou DRG, s probíhající transpozicí NIS2 a s implementací EHDS. To není šťastná kumulace, ale historická danost — po dlouhých letech regulační stability vstupuje zdravotnictví do období, kdy se jedním krokem vstřebává digitální, kybernetická a datová regulace najednou.

Vidět AI Act jako překážku znamená nepochopit jeho účel. Sedm okruhů povinností (risk management, data governance, dokumentace, logy, transparentnost, lidský dohled, robustnost) jsou de facto požadavky, které kvalitní zdravotnické zařízení mělo dávno mít zavedeny — bez ohledu na AI. Skutečný posun, který Nařízení 2024/1689 přináší, je formalizace a vymahatelnost. Krajská nemocnice, která 2. srpna 2026 vstoupí do účinnosti AI Aktu se zaběhanými procesy klinického risk managementu, post-market surveillance a robustního IT auditu, najde v AI compliance spíše konsolidaci než novou zátěž. Nemocnice, která tyto procesy nemá, se bude potýkat se stejnými otázkami, jakým by čelila kvůli MDR, NIS2 nebo GDPR samostatně — jen rychleji a viditelněji.

Lhůta do 2. srpna stačí na první vlnu. Co se nezvládne do srpna 2026, se přesouvá do roku 2027 a kumuluje se s plnou účinností Přílohy I. Argumentem pro management nemocnice tedy není „spěchejte kvůli sankci“, ale „udělejte teď to, co byste museli udělat tak jako tak, ale za tlaku, který bude o rok horší“. Přesně tahle zpráva chybí ve veřejné debatě o AI Aktu — a HSPA Monitor ji bude v dalších iteracích sledovat: počet nemocnic s uzavřenou klasifikací, počet jmenovaných AI compliance officerů, počet hlášených AI incidentů a souvislost s indikátory kvality péče.

Datový klíč: HSPA indikátory

Indikátory HSPA Monitoru související s tématem článku

Digitální zralost zdravotnictví (eHealth adoption) — kompozitní indikátor, do kterého AI compliance v příští iteraci vstoupí jako samostatná dimenze (oblast: Struktury → Digitalizace)
In-hospital mortalita AMI — outcome indikátor, na který AI prediktory rizika a nástroje pro early warning přímo zasahují (oblast: Výsledky → Akutní péče)
In-hospital mortalita CMP — Aidoc a podobné AI radiologické nástroje měří svůj benefit zde (čas detekce LVO → indikace mechanické trombektomie) (oblast: Výsledky → Akutní péče)
Nosokomiální infekce — prediktory sepse a antibiotic stewardship AI patří do Přílohy III a budou přímo regulovány (oblast: Výsledky → Bezpečí)
Mamografický screening — Lunit Insight a AI second reader patří do Přílohy I (SaMD), dead-line srpen 2027 (oblast: Procesy → Prevence)
Kolorektální screening — AI-assisted koloskopie (CADe systémy) je rychle rostoucí oblast s povinnostmi podle Přílohy I (oblast: Procesy → Prevence)
Dojezdový čas ZZS — AI-driven dispečerská triáž (Příloha III bod 5) je nejvíce regulačně exponovaný typ AI v PZS (oblast: Procesy → Akutní péče)
Čekací doby na specialistu — AI nástroje pro alokaci a triage v ambulanci spadají do Přílohy III bod 5 (oblast: Procesy → Dostupnost)

Zdroje

Legislativa, data a mezinárodní reference

Evropská legislativa

Nařízení Evropského parlamentu a Rady (EU) 2024/1689 ze dne 13. června 2024, kterým se stanoví harmonizovaná pravidla pro umělou inteligenci (AI Act). Účinnost ve čtyřech vlnách: 2. 2. 2025 (zakázané praktiky), 2. 8. 2025 (GPAI), 2. 8. 2026 (Příloha III), 2. 8. 2027 (Příloha I). eur-lex.europa.eu ↗
Nařízení (EU) 2017/745 o zdravotnických prostředcích (MDR) — souběžný regulační rámec pro AI-SaMD spadající do Přílohy I AI Aktu. eur-lex.europa.eu ↗
Nařízení (EU) 2017/746 o diagnostických zdravotnických prostředcích in vitro (IVDR) — paralela k MDR pro IVD AI nástroje. eur-lex.europa.eu ↗
Nařízení (EU) 2016/679 (GDPR) — čl. 9 (zvláštní kategorie osobních údajů — zdravotní data) a čl. 35 (DPIA), klíčový rámec pro AI systémy zpracovávající klinická data. eur-lex.europa.eu ↗
Směrnice (EU) 2024/2853 o odpovědnosti za vadné výrobky — modernizace 85/374/EHS, která zařazuje software včetně AI do pojmu výrobku; v platnost vstoupila 8. 12. 2024, transpoziční lhůta do 9. 12. 2026, použije se na výrobky uvedené na trh po 9. 12. 2026. eur-lex.europa.eu ↗
MDCG 2025-6 — FAQ on Interplay between Medical Devices Regulation, In Vitro Diagnostic Medical Devices Regulation and the Artificial Intelligence Act — pokyn Medical Device Coordination Group při Evropské komisi, publikováno 19. 6. 2025. health.ec.europa.eu ↗
Stažení návrhu AI Liability Directive — Pracovní program Komise 2025 ze dne 11. 2. 2025 (COM/2025/45) oznámil záměr stáhnout návrh, formální stažení potvrzeno Komisí v říjnu 2025. europarl.europa.eu/legislative-train ↗

Česká legislativa a politické dokumenty

Návrh zákona o umělé inteligenci a o změně zákona č. 87/1995 Sb. (a dalších) — důvodová zpráva ze dne 25. 9. 2025, představen MPO v meziresortním připomínkovém řízení (tisková zpráva MPO 26. 9. 2025); k 9. 5. 2026 sněmovní tisk dosud nepřidělen, cílem MPO je účinnost 2H 2026. zakonyprolidi.cz/monitor ↗ · tisková zpráva MPO ↗
Zákon 372/2011 Sb. o zdravotních službách, zejména § 28 (náležitá péče), § 31 (informovaný souhlas) a § 53 (zdravotnická dokumentace). zakonyprolidi.cz ↗
Zákon 110/2019 Sb. o zpracování osobních údajů, transpozice GDPR do českého práva. zakonyprolidi.cz ↗
Zákon 89/2012 Sb. (občanský zákoník), § 2913–2950 (deliktní odpovědnost) a § 2939–2943 (odpovědnost za škodu způsobenou výrobkem) — klíčový rámec odpovědnosti za škodu způsobenou AI. zakonyprolidi.cz ↗
Tisková zpráva MPO „MPO připravilo návrh zákona o umělé inteligenci“ z 26. 9. 2025 — institucionální schéma dohledu zahrnuje ČTÚ (single contact point), ČNB (finanční sektor), ÚOOÚ (osobní údaje), ÚNMZ (notifikace conformity assessment bodies), Česká agentura pro standardizaci (regulační sandbox) a Veřejného ochránce práv (lidská práva). mpo.gov.cz ↗
Národní plán obnovy ČR — komponenta 1.4 (digitalizace zdravotnictví), ~7,7 mld. Kč pro 2021–2026 — ne primárně AI, ale komplementární financování. planobnovycr.cz ↗

Mezinárodní reference a metodiky

BfArM — Bundesinstitut für Arzneimittel und Medizinprodukte, dohled nad AI-SaMD podle MDR v Německu. bfarm.de ↗
Krankenhauszukunftsfonds (KHZG), federální fond 4,3 mld. EUR na digitalizaci nemocnic v Německu, alokace ~350 mil. EUR pro AI compliance 2025–2027. bundesgesundheitsministerium.de ↗
Haute Autorité de Santé (HAS) — Évaluation des dispositifs médicaux à composante d'IA, framework hodnocení AI-SaMD pro úhradu z assurance-maladie, srpen 2025. has-sante.fr ↗
NHS AI Lab, britský referenční aktér s 250 mil. £ rozpočtu na implementační AI projekty s outcome-based funding. transform.england.nhs.uk ↗
FDA Software Pre-Specification (PCCP), americký pre-cert mechanismus pro plánované změny AI modelů. fda.gov ↗
OECD AI Health Working Group — AI in Health Care: Capacity, Bias, Privacy and Ethics, OECD Health Working Paper 2024. oecd.org ↗
WHO — Ethics and governance of artificial intelligence for health, druhé vydání 2024. who.int ↗

Data, průzkumy a odborné pozice

Česká asociace umělé inteligence (CzAIA / ČAUI) — komunikace ze 09–12/2025 včetně příručky o využití AI ve zdravotnictví distribuované zdarma všem nemocnicím v ČR (asociace.ai/zdravotnictvi) a tematických rozhovorů (rozhovor M. Misaře pro Lupa.cz). Hlavní agregovaný údaj: 64 % nemocnic v ČR využívá AI v nějaké podobě. Detailní metodologie průzkumu (n, výběr, otázky) zatím veřejně publikována nebyla. asociace.ai/zdravotnictvi ↗
EU AI Act — souhrn k zdravotnictví, Česká asociace umělé inteligence. asociace.ai/eu-ai-act ↗
Cohen IG — Informed Consent and Medical AI, JAMA Network Open 2020. jamanetwork.com ↗
Price WN, Cohen IG — Privacy in the age of medical big data, Nature Medicine 2019. nature.com ↗
Pozn.: Citace „PwC EU AI Act Impact Study 2025“ a „McKinsey EU AI Compliance Brief 2025“ z předchozí verze textu nebyly v rámci tohoto auditu z primárního zdroje dohledány a byly z tohoto seznamu odstraněny. Investiční odhady v sekci „Investiční horizont“ jsou redakční řádové odhady, nikoli kalibrovaný odvozený benchmark.

Související materiály v HSPA Monitoru

Článek „Evropský prostor zdravotnických dat — co EHDS změní v ČR“ — datová infrastruktura, která bude AI training data zpřístupňovat za podmínek čl. 10 AI Aktu. EHDS · Evropský prostor zdravotnických dat
Článek „eHealth v ČR — kde jsme a kam směřujeme“ — širší digitalizační kontext. eHealth v ČR
Článek „Velká novela elektronizace 2026“ — souběžné národní digitalizační kroky (e-očkovací průkaz, e-Žádanky, registr preventivních vyšetření). Novela elektronizace 2026

Pozn. k údajům po auditu z 11. 5. 2026: Termíny účinnosti AI Aktu (čl. 113 Nařízení 2024/1689): vstup v platnost 1. 8. 2024, použití zákazů z čl. 5 od 2. 2. 2025, použití povinností pro GPAI a část správních ustanovení od 2. 8. 2025, hlavní použití od 2. 8. 2026, použití čl. 6 odst. 1 (Příloha I) od 2. 8. 2027 — všechny ověřeny proti EUR-Lex. Sankční pásma čl. 99 (až 35 mil. EUR / 7 %, 15 mil. EUR / 3 %, 7,5 mil. EUR / 1 %) ověřena proti EUR-Lex. Údaj 64 % nemocnic s nasazenou AI vychází z opakovaných veřejných vyjádření CzAIA / M. Misaře (Lupa.cz, Euro.cz, EduFórum, vlastní web CzAIA), kompletní metodologie průzkumu (n, výběr, otázky) zatím veřejně publikována nebyla. Údaj „~7 % nemocnic s uzavřenou klasifikací" a konkrétní počty nemocnic s jednotlivými systémy (Aidoc, Rayvolve, Annalise.ai, Paige, Lunit, NAVIGATOR) z předchozí verze textu nejsou v této chvíli z primárního zdroje ověřitelné a v textu byly nahrazeny obecným popisem oblastí a typů systémů. Investiční odhady (8–18 mil. Kč jednorázově, 2–6 mil. Kč ročně) jsou modelové redakční řádové projekce, nikoli kalibrovaný benchmark; před republikací doporučujeme nahradit cenovým průzkumem v segmentu krajských a fakultních nemocnic. Údaj o detekci akutních nálezů Aidocem „o 12–28 minut rychleji" byl pro tento audit odstraněn a nahrazen obecnějším odkazem na odbornou literaturu — konkrétní interval vyžaduje citaci publikace v AJNR / Stroke nebo vendor white-paperu. Stav českého implementačního zákona odráží jeho ověřitelnou procesní polohu k 9. 5. 2026 — meziresortní připomínkové řízení ukončeno, návrh stále před řádným parlamentním projednáním.