26. máj 2026

 

AI Act už nie je téma budúcnosti. Organizácie, ktoré používajú alebo plánujú používať umelú inteligenciu, musia riešiť nielen technológiu, ale aj pravidlá, zodpovednosť, dáta, transparentnosť a kontrolu. Dobrá správa je, že správne zavedenie AI Act-u nemusí znamenať komplikovaný compliance projekt. Ak sa nastaví správna interná smernica, prílohy, schvaľovanie, kontroly a školenia, dá sa celá problematika zvládnuť prakticky a zrozumiteľne. AI Act je založený na rizikách a nerozdáva rovnaké povinnosti každému. Rozhodujúce je, akú rolu organizácia pri AI má a na čo AI používa.

AI Act sa týka oveľa väčšieho počtu organizácií, než si mnohé myslia

Veľa firiem, škôl, miest, nemocníc aj iných organizácií má pocit, že AI Act sa ich týka až vtedy, keď začnú vyvíjať vlastný model. V praxi to tak nie je. AI Act rozlišuje viacero rolí, pričom veľmi častá je rola deployer - teda organizácie, ktorá AI používa vo svojich procesoch. To znamená, že ak používate chatbot, generatívnu AI na obsah, AI funkcionalitu v CRM, nástroj na hodnotenie dát alebo asistenta integrovaného do firemných procesov, AI Act sa vás týka už teraz. Európska komisia zároveň výslovne uvádza, že pravidlá sa vzťahujú na poskytovateľov aj nasadzujúce subjekty podľa typu použitia a úrovne rizika.

Kľúčová otázka nie je „máme AI?“, ale „čo s ňou robíme?“

Pre správne nastavenie povinností nie je rozhodujúci marketingový názov nástroja, ale jeho reálne použitie. Iné požiadavky vznikajú pri internom sumarizačnom nástroji, iné pri chatbote komunikujúcom s klientmi, iné pri systéme, ktorý pomáha rozhodovať o ľuďoch, a ešte iné pri riešení, ktoré organizácia poskytuje ďalej pod vlastným menom.

AI Act je postavený na rizikovom prístupe:

  • zakázané praktiky,
  • vysokorizikové použitia,
  • transparentnosť a bežné nízkorizikové nástroje majú odlišný režim.

Práve preto je prvým praktickým krokom interná klasifikácia toho, čo organizácia reálne nasadzuje, kupuje, integruje alebo vyvíja.

Čo je dnes povinné a čo treba mať pripravené

Podľa oficiálneho harmonogramu AI Act vstúpil do platnosti 1. augusta 2024.

Zákazy neprípustných praktík a povinnosti v oblasti AI literacy sa uplatňujú od 2. februára 2025.

Pravidlá pre GPAI modely sa uplatňujú od 2. augusta 2025 a transparentnostné pravidlá aj väčšina ďalších povinností od 2. augusta 2026.

To znamená, že organizácie by už dnes mali vedieť aspoň to, aké AI nástroje používajú, kto za ne zodpovedá, aké dáta do nich vstupujú a či majú interné pravidlá pre ich používanie.

Najväčšia chyba? Mať AI bez pravidiel, evidencie a zodpovednosti

V praxi nie je najväčším rizikom len to, že organizácia použije „nesprávny“ nástroj. Najčastejšie zlyhanie nastáva vtedy, keď AI vstúpi do procesov bez evidencie, bez kontroly a schvaľovania a bez určenia zodpovednosti. Niekto začne používať generatívnu AI na zmluvy, niekto iný ju napojí na interné dáta, ďalší ju pustí do komunikácie s klientmi a organizácia zrazu nevie, kto nástroj schválil a kto za čo zodpovedá. 

Nie je jasné čo doň ide, ako sa výstupy kontrolujú ani kto rieši incident, ak AI urobí chybný alebo diskriminačný výstup. Pri vysokorizikových AI systémoch AI Act výslovne zdôrazňuje povinnosti ako ľudský dohľad, vhodné vstupné dáta, monitoring, logovanie a reakciu na incidenty.

Najjednoduchší spôsob, ako AI Act zvládnuť: smernica, prílohy, register a workflow

Najlepšie funguje prístup, pri ktorom sa AI Act nezavádza ako jeden „veľký právny dokument“, ale ako jednoduchý riadený proces. V praxi sa nám osvedčuje šesťkrokový základ:

1. Interná smernica pre AI
Tá nastaví základné pravidlá, roly, zakázané použitia, princípy práce s dátami, pravidlá pre generatívnu AI, transparentnosť a incidenty.

2. Praktické prílohy a formuláre
Sem patrí registračná karta AI nástroja, schvaľovací formulár, GDPR/DPIA trigger, vendor checklist, formulár incidentu, auditný checklist, záznam o školení a ďaľšie dokumenty, ktoré jasne nastavia procesy.

3. Centrálny register AI systémov
Register je miesto, kde organizácia eviduje, aké AI používa, na čo a v akej roli, kto je zodpovedný a kedy sa má nástroj znovu prehodnotiť.

4. Schvaľovací workflow pred prvým použitím
Nie každý nástroj potrebuje rovnakú úroveň kontroly, ale každý musí prejsť základným screeningom: čo robí, s akými dátami pracuje, koho sa dotkne a či nejde o citlivý prípad.

5. Kontrolné procesy
Pokiaľ sú nastavené procesy, tie musíme v čase kontrolovať. Smernica AI Act-u priamo prikazuje kontrolnú činnosť. Pre organizáciu to znamá jasne rozdelené právomoci ale aj povinnosti - zavedú sa 3 nové role.

6. AI Koordinátor
Jednou z nich je práve AI Koordinátor - rola ktorá zabezpečí súlad s AI Act-om, smernicou ePrivacy, Data Act-om, GDPR a smernicou NIS2 a príslušnou legislatívou.

Takýto model je zároveň najľahšie kontrolovateľný aj pri rýchlom vývoji AI, pretože nemeníte stále celú smernicu a procesy, ale pracujete s dynamickými prílohami a priebežnou evidenciou.

Generatívna AI je najčastejší zdroj problémov

Pre väčšinu organizácií nie je problémom high-risk AI v zmysle regulácie, ale bežná generatívna AI. ChatGPT, Copilot a podobné nástroje sa dnes používajú na e-maily, zhrnutia, prezentácie, odpovede klientom, interné podklady aj marketingový obsah. Práve preto treba mať jasné interné pravidlá:

  • aké údaje sa do nástrojov smú vkladať,
  • ktoré nástroje sú schválené,
  • kto kontroluje výstupy,
  • ako sa rieši publikovanie AI obsahu
  • a čo sa považuje za zakázané alebo nevhodné použitie.

AI Act zároveň vyžaduje transparentnosť v určitých prípadoch, napríklad pri interakcii človeka s AI, pri deepfake obsahu a pri určitých verejne publikovaných AI-generovaných textoch.

GDPR a AI Act treba riešiť spolu

Ak AI pracuje s osobnými údajmi, profiluje osoby, hodnotí ich alebo vstupuje do rozhodovania o ľuďoch, AI Act nestačí riešiť samostatne. Takéto prípady sa veľmi často prekrývajú s GDPR a niekedy aj s otázkami podľa článku 22 GDPR o automatizovanom rozhodovaní. Prakticky to znamená, že organizácia potrebuje vedieť, či ide o osobné údaje, citlivé údaje, interné alebo obchodne citlivé dáta, kto je dodávateľ, kde sa dáta spracúvajú a či vstupy alebo výstupy nie sú použité na tréning alebo ďalšie zlepšovanie služby. Bez tohto sa AI governance nedá zvládnuť bezpečne ani zákonne.

Transparentnosť, logovanie a incidenty nie sú „doplnok“, ale základ

Mnohé organizácie sa sústredia na to, aby AI čo najrýchlejšie priniesla efekt. Menej už riešia, čo sa stane, keď AI zlyhá. Pritom práve transparentnosť, kontrola výstupov, logovanie a postup pri incidente rozhodujú o tom, či sa problém dá rýchlo zvládnuť. Ak AI komunikuje s ľuďmi, používa sa na obsah smerom navonok alebo zasahuje do citlivých procesov, treba mať vopred určené, kto incident rieši, kto pozastaví používanie nástroja, kto komunikuje s dodávateľom a kto posudzuje, či treba nástroj znovu schváliť alebo úplne vyradiť. AI Act pri deployeroch high-risk AI výslovne pracuje s monitoringom, logmi a spoluprácou pri incidentoch; pri transparentnosti zavádza konkrétne disclosure povinnosti.

Školenie nestačí „raz za rok“ - treba AI literacy podľa roly

AI literacy nie je len formálne zaškolenie. AI Act vyžaduje, aby osoby, ktoré AI vyberajú, prevádzkujú alebo používajú, mali primeranú úroveň znalostí podľa kontextu, skúseností a typu použitia. V praxi je preto efektívnejšie školiť podľa rolí: iné potrebuje bežný používateľ, iné manažér, iné HR, iné marketing a iné tí, ktorí schvaľujú nové AI nástroje alebo riešia incidenty. Práve tak sa dá znížiť administratíva a zároveň zvýšiť reálna bezpečnosť používania AI.

Aké sankcie hrozia pri nesúlade

AI Act obsahuje aj významné sankcie. Za porušenie zakázaných praktík môžu hroziť pokuty až do 35 miliónov eur alebo 7 % celosvetového ročného obratu, podľa toho, ktorá suma je vyššia. Za porušenie ďalších povinností operátorov môže ísť až o 15 miliónov eur alebo 3 % obratu.

Za poskytnutie nesprávnych, neúplných alebo zavádzajúcich informácií môžu sankcie dosiahnuť až 7,5 milióna eur alebo 1 % obratu. Pri SMB a startupoch sa uplatňuje priaznivejšie pravidlo, ale aj tak ide o významné riziko. Najväčší problém však často nie je samotná pokuta, ale reputačný dopad, zdržanie projektu, náhla potreba prepracovať procesy a strata dôvery klientov alebo partnerov.

Ako to zvládnuť čo najľahšie

Z pohľadu zákazníka je najjednoduchší postup takýto:

  • najprv si urobiť prehľad, aké AI nástroje sa už používajú alebo plánujú používať,
  • potom rozdeliť prípady na jednoduché a citlivé,
  • zaviesť jednu internú smernicu a k nej praktické prílohy,
  • nastaviť register a schvaľovanie nových AI nástrojov,
  • určiť zodpovedné role,
  • prepojiť AI Act s GDPR a ďaľšou potrebnou legislatívou, bezpečnosťou a školením,
  • a až následne riešiť detailnejšie sektorové alebo high-risk požiadavky.

Inými slovami: nezačať právnym strachom, ale poriadkom v tom, kto, čo, prečo a s akými dátami používa.

Záver

AI Act sa dá zvládnuť aj bez zbytočne ťažkého projektu. Najlepšie funguje, keď sa z regulácie nestane samostatný papierový svet, ale prirodzená súčasť riadenia technológií, dát a zodpovednosti. Organizácie, ktoré si dnes nastavia jednoduchú smernicu, prílohy, register, workflow a školenia, budú mať nielen lepší súlad s legislatívou, ale aj vyššiu kontrolu nad tým, ako AI reálne používajú.

A to je napokon najdôležitejšie: mať AI pod kontrolou skôr, než začne riadiť procesy bez pravidiel. A s tým vám vieme efektívne pomôcť.

Ing. Lukáš Maliniak

konzultant informačnej bezpečnosti