EU AI Act v praxi: čo znamená nová legislatíva pre české firmy

Nariadenie Európskeho parlamentu a Rady (EU) 2024/1689, známe ako EU AI Act, nadobudlo účinnosť 1. augusta 2024 a jednotlivé povinnosti sa spúšťajú postupne. Pre českú B2B firmu to nie je abstraktný bruselský dokument. Do roku 2027 sa kľúčové časti dotknú väčšiny firemných AI systémov.

Tento text nie je právne stanovisko. Je to praktický rámec, ktorý pomáha pochopiť, čo riešiť, v akom poradí a kedy zapojiť právnika alebo externý audit.

1. Čo AI Act je a prečo vznikol

EU AI Act je prvá komplexná regulácia AI na svete. Cieľom je zvýšiť bezpečnosť a dôveru v AI systémy bez úplného zastavenia inovácií. Pracuje s princípom risk-based approach: rôzne systémy majú rôzne povinnosti podľa rizika.

Pôsobnosť je široká. Netýka sa len dodávateľov AI, ale aj firiem, ktoré AI používajú, integrujú alebo poskytujú jej výstupy zákazníkom.

2. Časový harmonogram

Povinnosti nabiehajú postupne. Niektoré zákazy a všeobecné požiadavky platia skôr, high-risk systémy a podrobnejšie povinnosti majú dlhšie prechodné obdobia. Firma by však nemala čakať na posledný termín, pretože inventarizácia a dokumentácia AI systémov trvá mesiace.

3. Štyri kategórie rizika

Neprijateľné riziko

Zakázané praktiky, napríklad manipulatívne systémy alebo niektoré formy sociálneho skórovania. Firma by mala overiť, že nič podobné nepoužíva ani nepriamo cez dodávateľa.

Vysoké riziko

Systémy s dopadom na zamestnanie, vzdelanie, zdravotníctvo, financie, kritickú infraštruktúru alebo prístup k službám. Tu vzniká najviac povinností.

Obmedzené riziko

Typicky chatboty a generatívne nástroje, kde je povinná transparentnosť. Používateľ má vedieť, že komunikuje s AI.

Minimálne riziko

Bežné nízkorizikové použitie, napríklad interné nástroje na texty alebo sumarizáciu bez citlivého rozhodovania.

4. Povinnosti pri high-risk AI

• Risk management: identifikácia, hodnotenie a zmierňovanie rizík.
• Data governance: kvalita dát, bias, reprezentatívnosť a dokumentácia zdrojov.
• Technická dokumentácia: popis systému, účel, modely, dáta a obmedzenia.
• Logovanie: záznamy o používaní a rozhodnutiach.
• Transparentnosť: informácie pre používateľov a prevádzkovateľov.
• Human oversight: človek musí vedieť zasiahnuť pri rizikových rozhodnutiach.
• Presnosť a robustnosť: testovanie kvality, bezpečnosti a kybernetickej odolnosti.
• Conformity assessment: posúdenie zhody podľa kategórie systému.
• Registrácia: pri niektorých systémoch zápis do EU databázy.
• Post-market monitoring: sledovanie systému po nasadení.

5. Sankcie

Sankcie môžu byť vysoké a závisia od typu porušenia. Dôležitejšie než samotná pokuta je však reputačné a obchodné riziko. Veľkí zákazníci budú čoraz častejšie žiadať dôkaz, že dodávateľ používa AI zodpovedne.

6. Vzťah ku GDPR

GDPR rieši osobné údaje, AI Act rieši riziká AI systémov. Prekrývajú sa pri automatizovanom rozhodovaní, HR, scoringu, zákazníckych dátach a transparentnosti. Súlad s GDPR automaticky neznamená súlad s AI Act a naopak.

7. Vzťah k NIS2

NIS2 a kybernetická bezpečnosť sú dôležité najmä tam, kde AI zasahuje do kritických procesov, infraštruktúry alebo bezpečnostných rozhodnutí. AI systém musí mať prístupové práva, monitoring, incident management a auditnú stopu.

8. Praktický plán pre firmu

Krok 1: inventarizácia AI systémov

Zistite, kde vo firme používate AI: interné nástroje, SaaS, chatboty, scoring, HR, zákaznícka podpora, dokumenty.

Krok 2: klasifikácia rizika

Každý systém zaradíte do kategórie rizika a označíte vlastníka.

Krok 3: gap analýza

Porovnajte aktuálny stav s povinnosťami: dokumentácia, dáta, logy, dohľad, zmluvy a bezpečnosť.

Krok 4: roadmapa compliance

Určite priority, termíny, rozpočet a zodpovednosti.

Krok 5: technické opatrenia

Logovanie, role-based access, monitoring, testovanie kvality a bezpečnostné kontroly.

Krok 6: procesné opatrenia

Interné smernice, školenia, schvaľovanie nových AI nástrojov a incident proces.

Krok 7: externý audit

Pri high-risk alebo zákaznícky citlivých systémoch sa oplatí nezávislé posúdenie.

9. Čo nás v praxi prekvapilo

Firmy často nevedia, koľko AI nástrojov už používajú. Najväčšie riziko nie je oficiálny projekt, ale tieňové používanie verejných nástrojov bez pravidiel.

10. Kedy potrebujete externú pomoc

Ak AI používa osobné údaje, rozhoduje o ľuďoch, vstupuje do HR, financií, zdravotníctva, bezpečnosti alebo zákazníckych práv, zapojte právnika, bezpečnostného experta a technického partnera.

11. Dobrá správa

AI Act nie je len brzda. Dobre pripravená compliance dokumentácia zvyšuje dôveru zákazníkov, skracuje enterprise nákupné procesy a odlišuje seriózne firmy od improvizácie.

Záver: nepanikárte, ale začnite

Najhoršia stratégia je čakať. Začnite inventarizáciou AI systémov, klasifikáciou rizika a základnými pravidlami používania. Potom riešte high-risk systémy do hĺbky.

Ak chcete pripraviť AI Act roadmapu pre vašu firmu, napíšte nám. Pomôžeme s inventarizáciou, technickými opatreniami a výberom bezpečnej architektúry.

Často kladené otázky (FAQ)

Kedy musí byť firma compliant?

Termíny závisia od typu systému a povinnosti. Prakticky však treba začať hneď, pretože dokumentácia, procesy a technické opatrenia sa nedajú pripraviť za týždeň.

Spadá zákaznícky chatbot pod high-risk?

Bežný chatbot zákazníckej podpory zvyčajne patrí do obmedzeného rizika, ale závisí od toho, či robí rozhodnutia s významným dopadom na človeka.

Aký je rozdiel medzi GDPR a AI Act?

GDPR chráni osobné údaje. AI Act reguluje riziká AI systémov. V praxi sa často riešia spolu.