AI ve školství: co si pohlídat v regulacích 2026

V září 2025 vyšla ve Spojených státech první „regulatorní mapa“ nové administrativy – přehled toho, jaké předpisy chtějí úřady vydat a kdy. Pro české čtenáře to může znít vzdáleně. Jenže v praxi se podobné americké požadavky často otisknou do smluv, bezpečnostních standardů a očekávání velkých dodavatelů technologií. A přesně tam dnes stojí AI ve vzdělávání: na datech, smlouvách, zabezpečení a přístupnosti.

Největší mýtus, který v institucích vídám, je tenhle: „AI je hlavně o pedagogice a metodice.“ Pedagogika je důležitá, ale bez datového řízení, právních pravidel a technických kontrol je AI ve školství jen rizikový experiment. Regulační témata pro rok 2026 ukazují, kam se bude tlačit: rychlejší hlášení incidentů, přísnější zacházení s citlivými informacemi, přesnější definice vzdělávacích záznamů a tvrdší nároky na digitální přístupnost.

A protože je tento text součástí série „Umělá inteligence ve veřejné správě a chytrých městech“, budu to rámovat i optikou měst a krajů: školství je často přímo napojené na veřejné rozpočty, infrastrukturu, identitní služby a správu dat. Když se zpřísní pravidla pro státní a municipalitní digitální služby, pocítí to i školy a jejich edtech ekosystém.

Proč regulační agenda v USA řeší i české AI projekty

Krátká odpověď: protože AI ve vzdělávání je z velké části postavená na cloudových službách, dodavatelských řetězcích a bezpečnostních standardech, které se globalizují.

Když velký dodavatel LMS, cloudového úložiště nebo analytiky musí splnit nové smluvní požadavky vůči federálním zákazníkům (např. v oblasti kyberbezpečnosti), promítne to do:

• bezpečnostních dodatků ve smlouvách i mimo USA,
• standardů pro audit a evidenci incidentů,
• požadavků na klasifikaci dat (co je „citlivé“, kde smí být uloženo, jak se šifruje),
• tlaku na přístupnost a inkluzi (typicky přes požadavky WCAG).

Pro české školy, univerzity, města a příspěvkové organizace to znamená jediné: kdo zavádí AI do výuky nebo správy, měl by dnes plánovat compliance „dopředu“, ne až po problému. AI se dá použít nejen k výuce, ale i jako praktický nástroj pro řízení shody – od monitoringu až po dokumentaci.

CUI a NIST: proč je „datová klasifikace“ základ pro AI

Hlavní pointa: jakmile instituce neumí rozlišit typy dat a aplikovat na ně rozdílné zabezpečení, AI projekty se dřív nebo později rozbijí o bezpečnost nebo audit.

V americké agendě se řeší sjednocení práce s tzv. Controlled Unclassified Information (CUI) ve federálních kontraktech. V překladu: citlivé informace, které nejsou tajné, ale mají být chráněné. Přímé paralely v Evropě najdete v praxi kolem citlivých osobních údajů, provozních dat, školních záznamů, případně v režimech jako NIS2 a obecně v kyberbezpečnostních požadavcích pro veřejný sektor.

Pro AI ve školství to dopadá konkrétně takto:

• Trénink a ladění modelů: pokud do tréninku „spadne“ citlivý dataset (studijní výsledky, záznamy o podpůrných opatřeních, disciplinární řízení), problém není jen právní. Je i technický: musíte umět data dohledat, oddělit, odstranit.
• RAG a vyhledávání v dokumentech: nejčastější AI nasazení ve školách je chat nad interními dokumenty. Bez klasifikace dokumentů riskujete, že model bude odpovídat z materiálů, které nemají být široce dostupné.
• Sdílení s dodavateli: jakmile dodavatel pracuje s citlivými daty, začíná být klíčové, co máte ve smlouvě a jaké standardy dodavatel plní.

Praktický krok: „AI-ready“ datová klasifikace do 30 dnů

Nepotřebujete roční projekt. Většině institucí pomůže jednoduchý start:

1. Tři třídy dat: veřejné / interní / citlivé.
2. Jedna tabulka systémů: kde se data ukládají, kdo k nim má přístup, jak se loguje.
3. Jedno pravidlo pro AI: do AI nástrojů smí jen veřejná a interní data; citlivá data jen v řízeném režimu (schválení, audit, šifrování, omezený přístup).

AI může pomoci i tady: automatická klasifikace dokumentů (podle obsahu), návrhy štítků, hledání „citlivých úniků“ v úložištích a e-mailech. Ne jako všemocné řešení, ale jako zrychlovač práce týmu.

Hlášení kyberincidentů: proč je rychlost nepřítel chaosu

Hlavní pointa: čím kratší lhůty pro hlášení incidentů, tím víc vyhrává ten, kdo má proces a automatizaci.

Regulační témata kolem incident reporting směřují k tomu, že organizace budou muset hlásit bezpečnostní incidenty rychleji a konzistentněji, a to napříč dodavateli. V americké debatě se objevují rozdíly typu 8 hodin vs. 72 hodin. Bez ohledu na konkrétní číslo platí, že incidenty se dnes odehrávají rychleji než interní schvalovací kolečka.

U AI ve vzdělávání je navíc specifické riziko: incident nemusí být jen „hack“. Často jde o:

• špatně nastavené sdílení datasetu pro analýzu,
• únik přes špatně publikovaný dokument v RAG indexu,
• nechtěné zpřístupnění dat při testování AI asistenta,
• kompromitaci účtu učitele/administrátora a následné stažení dat.

Jak může AI reálně pomoct s incidenty (bez marketingových slibů)

AI nástroje dávají smysl ve třech bodech:

• Triage alertů: seskupení podobných událostí, odfiltrování šumu, priorita podle dopadu na citlivá data.
• Draft hlášení: automatické vyplnění časové osy, dotčených systémů a kroků mitigace z logů.
• Kontrola konzistence: porovnání incidentu s interními playbooky (co ještě chybí udělat, koho informovat).

Jedna věta, kterou si můžete dát na nástěnku: „Rychlé hlášení není o tom vědět všechno, ale vědět jistě to podstatné.“

Soukromí a školní záznamy: AI projekty stojí na definicích

Hlavní pointa: jakmile se změní nebo zpřesní definice „vzdělávacího záznamu“, mění se i to, co smíte analyzovat a jak to smíte sdílet.

V USA se chystá úprava pravidel k ochraně vzdělávacích záznamů (FERPA) se zaměřením na definici vzdělávacího záznamu, nakládání s osobně identifikovatelnými informacemi a postupy při vyšetřování stížností.

Česká realita má jiné právní názvy, ale podobné praktické dopady: školy a zřizovatelé musí mít jasno v tom, co je studijní záznam, co je osobní údaj, co je „interní poznámka učitele“ a co už je evidence, která podléhá přísnějším pravidlům. U AI se to láme na dvou místech:

• AI analytika žáků a studentů: predikce rizika neúspěchu, doporučení podpory, segmentace podle výkonu. Bez mantinelů snadno vytvoříte systém, který je technicky skvělý, ale právně a eticky neobhajitelný.
• Automatizace komunikace: AI generuje zpětnou vazbu, e-maily rodičům, shrnutí konzultací. Když do promptu teče moc osobních dat, problém je na světě.

Minimální sada pravidel pro „AI a školní data“

Pokud chcete rychlý, ale solidní základ, zaveďte těchto 6 pravidel:

1. Data minimization: do AI posílat jen to, co je nutné pro účel.
2. Oddělení rolí: učitel vidí jiné výstupy než vedení školy nebo zřizovatel.
3. Auditovatelnost: logy, kdo se ptal na co, z jakého zdroje šla odpověď.
4. Zákaz tréninku na citlivých datech bez souhlasu a režimu: default je „ne“.
5. Retence: jak dlouho se uchovávají prompty a výstupy.
6. Lidská odpovědnost: AI doporučuje, člověk rozhoduje – a je to napsané v interních pravidlech.

Přístupnost (WCAG): AI nesmí zhoršit digitální služby

Hlavní pointa: přístupnost už není „nice to have“. U veřejných institucí je to tvrdý požadavek a AI ho může jak splnit, tak potopit.

Americká pravidla pro přístupnost webů a mobilních aplikací veřejných institucí staví na standardu WCAG 2.1 AA a obsahují i odpovědnost za obsah od třetích stran. V kontextu chytrých měst a veřejné správy je to logické: digitální služby jsou nová úřední přepážka.

Pro vzdělávání to znamená, že AI:

• nesmí generovat nepřístupný obsah (např. obrázky bez alternativního popisu, dokumenty bez struktury, videa bez titulků),
• musí být přístupná i samotná rozhraní (chat, doporučovací widgety, interaktivní testy),
• nesmí vytvářet bariéry pro studenty se znevýhodněním.

AI jako pomocník pro přístupnost

Tady mám jasno: AI dává smysl jako „asistent přístupnosti“, pokud je pod dohledem.

• návrhy alternativních popisů obrázků a kontrola jejich kvality,
• automatické titulky a jejich editace,
• kontrola kontrastu a čitelnosti,
• detekce chyb ve struktuře dokumentů a šablon.

Pozor na past: automaticky generované alt-texty nebo titulky bez revize mohou být horší než žádné. Přístupnost je oblast, kde se vyplácí kombinace automatizace a lidské kontroly.

Co si vzít do plánování roku 2026: compliance roadmap pro AI

Hlavní pointa: nejlepší způsob, jak snížit riziko AI projektů, je spojit bezpečnost, právo, data a pedagogiku do jednoho backlogu.

Tady je praktická roadmapa, kterou lze přizpůsobit škole, univerzitě i zřizovateli v rámci chytrého města:

1. Inventura AI use-cases (2 týdny): kde AI používáte dnes, kde ji plánujete, jaká data tečou do modelů.
2. Datová klasifikace + pravidla pro AI (4 týdny): jednoduché třídy dat, jasné „smí/nesmí“.
3. Incident playbook (4 týdny): kdo rozhoduje, kdo hlásí, jaké jsou šablony hlášení, jaké logy musíte mít.
4. Smluvní standard pro dodavatele (6 týdnů): bezpečnostní příloha, práce s daty, retence, audit, subdodavatelé.
5. Přístupnost jako gate (průběžně): každé nové AI rozhraní prochází kontrolou WCAG.

„AI ve vzdělávání není jen nový nástroj. Je to nový způsob práce s důvěrou.“

Rychlý self-check (ano/ne)

• Víme, která data jsou citlivá a kde se ukládají?
• Máme u AI nastavené logování promptů a přístupů (alespoň pro interní audit)?
• Umíme do 24 hodin popsat dopad incidentu na data a služby?
• Máme smluvně ošetřené, že dodavatel netrénuje modely na našich datech?
• Kontrolujeme, že AI výstupy jsou přístupné?

Pokud máte třikrát „ne“, není to ostuda. Je to signál, že AI projekt je potřeba doplnit o „provozní“ část.

Co teď udělat, aby AI přinášela hodnotu (a ne incident)

Regulační agenda na rok 2026 posouvá laťku v oblastech, které jsou pro AI ve vzdělávání klíčové: správa citlivých dat, hlášení incidentů, ochrana záznamů a přístupnost digitálních služeb. A v prostředí veřejné správy a chytrých měst je to ještě ostřejší – protože důvěra občanů a transparentnost služeb jsou součástí zadání.

Další krok je praktický: vyberte si jeden AI use-case (typicky chat nad interními dokumenty nebo generování studijních materiálů) a udělejte na něm „compliance generálku“ podle roadmapy výše. Jakmile jednou postavíte proces, další nasazení už je rychlejší a levnější.

Až budete plánovat AI iniciativy na 1. čtvrtletí 2026, zkuste si položit otázku: Kterou část compliance dokážeme automatizovat tak, aby lidé měli víc času na výuku a služby – a ne na hašení problémů?