AI nástroje na webech jsou stále běžnější — od chatbotů přes personalizaci obsahu až po AI analytiku a automatizované rozhodování. S příchodem AI Act a ve spojení s GDPR vznikají zcela nové povinnosti, na které mnoho provozovatelů webů není připraveno. V tomto článku vám podrobně vysvětlíme, co AI Act znamená pro váš web, jak souvisí s GDPR, jaké cookies AI nástroje používají a jak to celé správně vyřešit, abyste se vyhnuli pokutám a zároveň mohli moderní technologie naplno využívat.

AI Act: Nová EU legislativa pro umělou inteligenci

AI Act (Nařízení o umělé inteligenci, oficiálně Regulation (EU) 2024/1689) je vůbec první komplexní právní úprava umělé inteligence na světě. Evropský parlament ho schválil v březnu 2024, vstoupil v platnost v srpnu 2024 a jeho jednotlivé části se postupně zavádějí do roku 2027. Pro provozovatele webů jsou klíčová především pravidla, která začala platit od srpna 2025.

Kategorizace rizik podle AI Act

AI Act rozděluje AI systémy do čtyř kategorií podle míry rizika:

  • Nepřijatelné riziko — Zakázané systémy (sociální skóring, manipulace zranitelných skupin, biometrická identifikace v reálném čase na veřejnosti). Tyto systémy na webu pravděpodobně nemáte.
  • Vysoké riziko — Systémy v kritických oblastech (zdravotnictví, vzdělávání, zaměstnanost, přístup k službám). Pokud váš web poskytuje například AI-based hodnocení bonity nebo automatizované rozhodování o přístupu ke službám, spadáte sem.
  • Omezené riziko — Sem spadá většina AI nástrojů na webech: chatboti, generátory obsahu, personalizační systémy. Hlavní povinností je transparentnost.
  • Minimální riziko — Spam filtry, běžné doporučovací systémy. Žádné specifické povinnosti.

Pro většinu českých webů jsou relevantní pravidla pro kategorii „omezeného rizika". To zahrnuje:

  • Chatboti musí uživatele informovat, že komunikují s AI, nikoliv s člověkem
  • AI-generovaný obsah (texty, obrázky, videa) musí být viditelně označen
  • Transparentnost o použití AI je povinná — uživatel musí vědět, že na webu pracuje umělá inteligence

Vztah AI Act a GDPR: Dvojí compliance jako standard

AI Act doplňuje GDPR, ale nenahrazuje ho. Pokud AI nástroj na vašem webu zpracovává jakékoliv osobní údaje — a většina jich to dělá — platí obě nařízení současně. To vytváří komplexní regulatorní rámec, ve kterém se musíte orientovat.

  • GDPR — Vyžaduje právní základ pro zpracování osobních údajů (typicky souhlas), práva subjektů údajů (přístup, výmaz, přenositelnost), zabezpečení dat, DPIA (posouzení vlivu na ochranu údajů) pro riziková zpracování
  • AI Act — Vyžaduje transparentnost o použití AI, kategorizaci rizik, povinnou dokumentaci AI systémů, lidský dohled nad vysokorizikovými systémy

Chatbot, který sbírá osobní údaje (jméno, e-mail, historii konverzací), musí splňovat GDPR i AI Act současně. Dvojí compliance není výjimka, ale pravidlo, které se týká drtivé většiny AI nástrojů na webech.

Praktický příklad: AI chatbot na e-shopu

Představte si český e-shop, který nasadí AI chatbota pro zákaznickou podporu. Z pohledu GDPR musí chatbot získat souhlas pro ukládání cookies (identifikace uživatele, historie konverzací), informovat uživatele o zpracování údajů v privacy policy a mít právní základ pro zpracování dat z konverzací. Z pohledu AI Act musí e-shop zřetelně označit, že zákazník komunikuje s umělou inteligencí, a zajistit, aby AI systém nemanipuloval uživatele k rozhodnutím, která by jinak neučinil. Pokud chatbot zároveň personalizuje nabídky na základě historie nákupů, přidává se povinnost informovat o profilování podle čl. 22 GDPR.

Chatboti na webu a cookies: Podrobný rozbor

Většina chatbotů třetích stran používá celou řadu cookies a trackerů. Pojďme se podívat na nejpopulárnější nástroje a jejich cookie footprint.

Intercom

Intercom používá několik cookies, včetně identifikátoru uživatele (intercom-id-*), session cookie (intercom-session-*) a dalších pro analytiku. Většina z nich má životnost 9 měsíců. Všechny tyto cookies spadají minimálně do kategorie funkčních, některé do marketingových.

Tidio, Drift, Crisp a další

Podobně jako Intercom, i tyto nástroje ukládají identifikátory uživatelů, historii konverzací a analytická data prostřednictvím cookies. Drift je specifický tím, že ukládá i cookies pro sledování návštěvnosti a propojení s CRM systémy, což je jednoznačně marketingové zpracování vyžadující explicitní souhlas.

Vlastní AI chatboti (OpenAI API, Claude API)

Pokud provozujete vlastního chatbota postaveného na API velkých jazykových modelů, cookie situace se liší. Cookies třetích stran obvykle nepoužíváte, ale pokud ukládáte historii konverzací na serveru a identifikujete uživatele pomocí session cookies, stále potřebujete řešit GDPR compliance — zejména informovaný souhlas a transparentnost o tom, že konverzace zpracovává AI.

Klíčové pravidlo je jednoduché: před načtením jakéhokoliv chatbotu třetí strany je nutný aktivní opt-in od uživatele. Chatbot se nesmí načíst, dokud uživatel neudělí souhlas s příslušnou kategorií cookies.

AI analytika a personalizace: Skryté riziko

AI-powered analytické nástroje a personalizační enginy představují z pohledu GDPR a AI Act ještě větší výzvu než chatboti, protože jejich činnost je pro uživatele často neviditelná.

Co tyto nástroje typicky zpracovávají?

  • Behaviorální data — kliknutí, scrollování, čas na stránce, pohyby myši, heatmapy
  • Preference a zájmy odvozené z chování — jaký typ produktů uživatel prohlíží, kdy nakupuje, na co reaguje
  • Predikce budoucího chování — pravděpodobnost nákupu, riziko odchodu, optimální čas pro zobrazení nabídky
  • Segmentaci uživatelů — automatické řazení do skupin na základě AI analýzy

Podle GDPR je profilování uživatelů (čl. 4 odst. 4) citlivé zpracování, které vyžaduje zvláštní pozornost:

  • Explicitní souhlas pro marketingové profilování — nestačí obecný souhlas s cookies, uživatel musí vědět, že dochází k profilování
  • Informování o automatizovaném rozhodování — pokud AI systém automaticky rozhoduje o tom, jakou nabídku uživatel uvidí (například dynamické ceny), musíte o tom informovat
  • Právo odmítnout profilování — uživatel má právo požádat, aby o něm nebylo rozhodováno automatizovaně
  • DPIA — pro rozsáhlé profilování je povinné provést posouzení vlivu na ochranu osobních údajů

Příklady nástrojů, na které si dát pozor

Mezi nejčastější AI analytické nástroje na českých webech patří Hotjar (AI-powered session recordings a heatmapy), Google Analytics 4 s prediktivními metrikami (purchase probability, churn probability), Dynamic Yield a Bloomreach pro personalizaci obsahu, nebo Recombee pro AI doporučovací systémy. Všechny tyto nástroje vyžadují souhlas a měly by být správně kategorizovány v cookie banneru.

Pokuty a enforcement: Co hrozí za nedodržení?

Kombinace GDPR a AI Act vytváří dvouvrstvý sankční systém:

  • GDPR pokuty — Až 20 milionů EUR nebo 4 % ročního globálního obratu (podle toho, co je vyšší). Český ÚOOÚ v roce 2025 udělil několik pokut českým firmám za nedostatečné cookie consent řešení — i když šlo o jednotky milionů korun, trend je jasně vzestupný.
  • AI Act pokuty — Až 35 milionů EUR nebo 7 % ročního obratu za porušení zakázaných praktik, až 15 milionů EUR nebo 3 % obratu za porušení ostatních povinností. Pro weby s chatboty jde typicky o nedostatečnou transparentnost.

Francouzský dozorový úřad CNIL udělil v roce 2025 pokutu 150 000 EUR firmě, která provozovala AI chatbota bez informování uživatelů o tom, že komunikují s AI, a zároveň chatbot sbíral osobní údaje bez platného souhlasu. Toto rozhodnutí je precedentem pro celou EU.

Praktický compliance checklist pro české weby

1. Auditujte AI nástroje na webu

Zmapujte úplně všechny AI služby — chatboty, personalizaci, doporučovací systémy, AI analytiku, automatizovanou tvorbu obsahu. Pro každou službu zjistěte, jaká data sbírá, jaké cookies používá a kam data odesílá. Využijte k tomu automatický scanner cookies, který detekuje i skripty, o kterých možná ani nevíte.

2. Aktualizujte cookie policy a privacy policy

Uveďte AI nástroje v seznamu cookies a vysvětlete, jak zpracovávají data. V privacy policy přidejte sekci o AI — jaké AI systémy používáte, k čemu slouží, jaká data zpracovávají a jaká práva má uživatel. Pokud generujete cookie policy automaticky, ujistěte se, že zahrnuje i AI nástroje.

3. Informujte o AI transparentně

U chatbotů jasně uveďte: „Tento chat využívá umělou inteligenci." Nestačí malý disclaimer na konci stránky — informace musí být viditelná v okamžiku, kdy uživatel začne s chatbotem komunikovat. U AI-generovaného obsahu (blogové příspěvky, popisy produktů, obrázky) přidejte viditelné označení. AI Act vyžaduje, aby uživatel vždy věděl, že interaguje s AI systémem.

4. Zajistěte správné souhlasy v cookie banneru

AI nástroje zařaďte do správných kategorií cookies — chatboti do funkčních nebo marketingových (podle toho, zda sbírají data pro marketing), AI analytika do analytických nebo marketingových. Zajistěte, že se tyto skripty nenačítají před udělením souhlasu uživatelem. Toto je nejčastější chyba — chatbot se zobrazí okamžitě, ještě před tím, než uživatel interaguje s cookie bannerem.

5. Proveďte DPIA pro rozsáhlé AI zpracování

Pokud používáte AI pro automatizované rozhodování, které se týká velkého počtu uživatelů (personalizace, dynamické ceny, prediktivní marketing), měli byste provést posouzení vlivu na ochranu osobních údajů. ÚOOÚ doporučuje DPIA pro jakékoliv AI zpracování, které systematicky profiluje uživatele.

6. Zajistěte lidský dohled

U AI systémů, které rozhodují o zákaznících (automatické schvalování objednávek, credit scoring, personalizované ceny), zajistěte, aby uživatel mohl požádat o lidské přezkoumání rozhodnutí. To vyžaduje jak GDPR (čl. 22), tak AI Act.

Specifika pro český trh

Český ÚOOÚ dosud nezveřejnil specifické pokyny pro AI na webech, ale odkazuje na doporučení EDPB (Evropského sboru pro ochranu osobních údajů). V praxi to znamená, že české weby by měly sledovat zejména pokyny EDPB k AI a GDPR (vydané v prosinci 2024) a stanoviska CNIL a německého BfDI, které jsou v oblasti AI enforcement nejaktivnější.

Pro české firmy je důležité také to, že AI Act se vztahuje na provozovatele AI systémů (deployers) bez ohledu na to, kde sídlí poskytovatel AI. Pokud český e-shop používá amerického chatbota, za compliance odpovídá český e-shop, nikoliv americký poskytovatel.

Jak to řešit s Consentio

S Consentio můžete snadno spravovat souhlasy pro všechny skripty třetích stran včetně AI nástrojů. Stačí přidat chatboty a personalizační skripty do příslušné kategorie cookies a Consentio zajistí, že se načtou až po udělení souhlasu uživatelem. Díky automatickému scanneru cookies navíc nezmeškáte žádný nový AI skript, který se na webu objeví.

Consentio podporuje granulární kategorizaci cookies, takže můžete AI chatbota zařadit do funkčních cookies a AI analytiku do marketingových — přesně podle toho, jak data zpracovávají. Uživatel pak má plnou kontrolu a vy máte jistotu, že dodržujete GDPR i AI Act současně. Registrujte se zdarma a zajistěte compliance vašeho webu ještě dnes.