Umelá inteligencia vo svetle nového Nariadenia o AI (AI Aktu) - poznáte svoje povinnosti?

Umelá inteligencia (AI) už dávno nie je len technologická novinka. Firmy ju dnes používajú pri nábore, hodnotení zamestnancov, zákazníckej podpore, bezpečnosti, výrobe či rozhodovaní o prístupe k službám.

Práve preto Európska únia prijala komplexnú právnu reguláciu pre využívanie umelej inteligencie - Nariadenie o umelej inteligencii („AI Akt“). Jeho cieľ je jednoduchý: umožniť rozvoj AI, ale zároveň nastaviť hranice tam, kde môže zasiahnuť do bezpečnosti, práv alebo postavenia jednotlivca.

Ak vás zaujíma, aké povinnosti vám z novoprijatého AI Aktu vyplývajú, v nasledujúcom článku sa dozviete všetky podstatné informácie.

1.    Aké sú regulované subjekty?

Pre firmy je dôležité najmä to, že AI Akt sa nepozerá len na vývojárov technológií. Povinnosti sa môžu týkať aj subjektov, ktoré AI „len“ používajú.

Ak AI systém vyvíjate alebo ho uvádzate na trh pod vlastným menom, spravidla budete v postavení poskytovateľa (provider).

Ak ho vo svojej organizácii používate pri konkrétnych procesoch (napríklad na triedenie životopisov, monitorovanie zamestnancov, predikciu výpadkov elektriny, riadenie bezpečnostných systémov alebo rôzne hodnotenia) typicky pôjde o nasadzujúci subjekt (deployer). [1]

Práve od tejto role, resp. účelu použitia AI, sa bude odvíjať rozsah vašich povinností.

2.    Základné povinnosti podľa AI aktu

Medzi kľúčové povinnosti nasadzujúcich subjektov a poskytovateľov patrí:

• Človek má posledné slovo (ľudský dohľad): Na výstupy AI sa nemožno spoliehať. Dohľad nad nimi musí zabezpečovať fyzická osoba, ktorá je schopná identifikovať anomálie a riziká. Ideálne by malo ísť o experta s prienikom vedomostí z IT a práva.
• Technické a organizačné opatrenia: Nasadzujúci subjekt zodpovedá za prijatie opatrení, ktoré zabránia zneužitiu systému.
• AI gramotnosť vašich zamestnancov: Ste povinní vzdelávať svojich pracovníkov, aby rozumeli možnostiam a limitom systémov, s ktorými prichádzajú do styku (tzv. AI literacy).
• Pozor na riziká - kontinuálny Risk Management: Hodnotenie rizík nie je jednorazový úkon, ale priebežný proces.
• Povinnosť vykonať hodnotenie vplyvu na základné práva (FRIA): Verejný sektor a subjekty poskytujúce služby vo verejnom záujme (zdravotníctvo, bankovníctvo, doprava) musia vypracovať detailné posúdenie dopadov na práva občanov.
• Poriadok v dokumentácii a záznamoch: Musíte byť schopní kedykoľvek preukázať, že pravidlá dodržiavate. Systém musí automaticky ukladať záznamy (logy) o svojej činnosti a musíte transparentne informovať každého, koho sa použitie AI týka.
• Oficiálna registrácia: Ako poskytovateľ musíte systém oficiálne zaregistrovať a potvrdiť, že spĺňa všetky normy EÚ (tzv. „vyhlásenie o zhode“).
• Návod a kvalita dát: Ste povinní vytvoriť zrozumiteľné príručky, dbať na čistotu dát, kybernetickú bezpečnosť a presnosť celého systému. [2]

Nepostačuje tak iba prijatie novej dokumentácie, ale je potrebná aj vedomá a systematická zmena prístupu k používaniu v AI pri každodennom fungovaní firmy. 

3.    Aké sú úrovne posudzovaného rizika podľa AI aktu?

Jednotlivé konkrétne práva a povinnosti poskytovateľ a nasadzujúcich subjektov následne závisia od miery rizikovosti daného systému. AI Akt teda nečlení technológie primárne podľa toho, čo dokážu, ale podľa toho, akú mieru rizika predstavujú pre práva a bezpečnosť človeka. Podľa toho AI Akt rozdeľuje AI systémy do nasledovných štyroch úrovní rizikovosti:

1.     Najviac rizikovou úrovňou sú tzv. zakázané systémy (zakázané praktiky využívajúce AI), ktoré sú založené na zneužívaní zraniteľnosti jednotlivca. Medzi zakázané praktiky patria napríklad techniky:

• manipulácie správania,
• sociálne bodovanie osôb,
• tvorba databáz na rozpoznávanie tváre, či
• sledovanie a vyhodnocovanie emócií na pracoviskách alebo v školskom prostredí. [3]

Zakázané systémy nemožno vôbec používať. Výnimky predstavujú situácie používania AI v prípadoch ochrany bezpečnosti a zdravia (napríklad detekcia možného infarktu u vodiča kamiónu).Ďalšou, podľa nášho názoru najzásadnejšou kategóriou, ktorá určuje väčšinu povinností vyplývajúcich z AI Aktu, sú . Za vysokorizikové systémy možno považovať používanie AI v oblastiach ako je: 

2.     Ďalšou, podľa nášho názoru najzásadnejšou kategóriou, ktorá určuje väčšinu povinností vyplývajúcich z AI Aktu, sú vysokorizikové AI systémy. Za vysokorizikové systémy možno považovať používanie AI v oblastiach ako je: [4]

• Identifikácia a bezpečnosť: Biometria, profilovanie, rozpoznávanie emócií a správa kritickej infraštruktúry (energetika, voda, plyn).
• Sociálne istoty a právo: Rozhodovanie v zamestnaní, vzdelávaní, prístup k dávkam a úverom, trestné právo, migrácia a azylové konania.
• Regulované produkty: AI v doprave (autá, lietadlá, lode), v zdravotníckych pomôckach a v nebezpečných prevádzkach (stroje, výťahy, hračky).

Ak používate alebo plánujete v budúcnosti používať AI v niektorom z týchto prípadov, AI Akt vyžaduje prísne plnenie celého radu povinností: od zaistenia kvality dát cez podrobné dokumentácie a testovanie až po povinný ľudský dohľad a uchovávanie záznamov o fungovaní systému. Cieľom je, aby sa zabránilo tomu, že rozhodnutie AI bude nepredvídateľné alebo diskriminačné.

3.    Treťou kategóriou sú systémy s obmedzeným rizikom (napríklad chatboty ako je Gemini, ChatGPT, Perplexity či Copilot, ktoré musia spĺňať najmä požiadavku transparentnosti).

Ide o systémy, ktoré interagujú s ľuďmi alebo generujú obsah, pričom používateľ musí byť jasne informovaný, že komunikuje so strojom alebo že zobrazený výsledok bol vytvorený umelou inteligenciou.

4.    Poslednou kategóriou sú systémy s minimálnym rizikom (napríklad AI systém zabudovaný do počítačovej hry).

Tieto technológie predstavujú zanedbateľné nebezpečenstvo pre práva či bezpečnosť občanov, a preto na ne legislatíva nekladie žiadne z vyššie vymedzených povinností.

4.    Aké hrozia sankcie?

Dôkazom toho, že Európska únia berie reguláciu AI vážne, sú drakonické pokuty, ktoré môžu slovenské orgány dohľadu ukladať:

• až do 35 miliónov EUR (alebo 7 % celkového celosvetového ročného obratu) za používanie zakázaných systémov;
• až do 15 miliónov EUR (alebo 3 % celosvetového ročného obratu) za nesplnenie povinností poskytovateľa či nasadzovateľa.

Dôležité je aj to, že podnik sa spravidla nezbaví zodpovednosti len tým, že pochybenie urobil konkrétny zamestnanec. Ak organizácia nezabezpečila primerané interné pravidlá, dohľad, školenie alebo kontrolu používania AI, riziko nesie ona sama.

V praxi preto treba rozlišovať, kto zlyhal a v akej fáze. Ak je chyba vo vývoji alebo nastavení systému, zodpovednosť môže byť na strane poskytovateľa. Ak však organizácia systém používa v rozpore s návodom, bez dostatočného dohľadu alebo bez primeranej odbornej pripravenosti, zodpovednosť môže dopadnúť priamo na ňu.

5.    Compliance checklist

Umelá inteligencia prestáva byť čistou IT témou a stáva sa kritickou agendou pre compliance a riadenie rizík.

Pre úspešný prechod na nové pravidlá odporúčame nasledovné kroky:

• Audit systémov: Identifikujte všetky používané a plánované AI nástroje vo firme.
• Určite svoju rolu: Rozlíšte, či AI vyvíjate alebo len používate – určuje to mieru vašej zodpovednosti.
• Správna klasifikácia: Preverte, či vaše systémy nespadajú do kategórie zakázaných praktík alebo vysokorizikových systémov.
• Nastavenie pravidiel: Zaveďte interný systém riadenia, ľudský dohľad, technickú dokumentáciu a upravte kontrakty s dodávateľmi tak, aby jasne definovali zodpovednosť a súlad s legislatívou.
• Školenie zamestnancov: Zvýšte AI gramotnosť tímu s dôrazom na bezpečnosť a etiku.

6.    Orgán dohľadu nad AI na Slovensku

Na Slovensku sa momentálne pripravuje nový zákon v oblasti umelej inteligencie, ktorý má určiť systém dohľadu a príslušné orgány. [5]

Návrh tohto zákona počíta s tým, že hlavným „orgánom dohľadu“ bude Ministerstvo investícií, regionálneho rozvoja a informatizácie SR (MIRRI), pričom v závislosti od oblasti použitia AI budú do dohľadu vstupovať aj ďalšie sektorové orgány, napríklad Úrad na ochranu osobných údajov, Národný bezpečnostný úrad alebo Slovenská obchodná inšpekcia.

7.    Dôležité časové míľniky

• AI Akt nadobudol účinnosť 01.08.2024.
• Zakázané praktiky a povinnosť zabezpečovať AI gramotnosť sa začali uplatňovať už od 02.02.2025.
• AI Akt sa začne plnohodnotne uplatňovať od 02.08.2026, pričom osobitný odklad do 02.08. 2027 platí pre pravidlá pre vysokorizikové AI systémy, ktoré sú súčasťou regulovaných výrobkov. [6]

Inými slovami: na prípravu ešte existuje čas, ale už nie tak veľa, ako si mnohé podniky myslia.

Záver

AI Akt predstavuje zásadný míľnik v regulácii moderných technológií. Podobne ako GDPR svojho času zásadne predefinovalo ochranu osobných údajov, AI Akt prináša nový rámec pre umelú inteligenciu a úplne nové pravidlá a povinnosti. Podniky tak čaká náročná úloha: identifikovať, na ktoré ich systémy sa legislatíva vzťahuje, upraviť interné procesy a pripraviť sa na zvýšený dohľad zo strany regulačných orgánov.

Práve preto sa oplatí myslieť dopredu. Prevencia v podobe právneho auditu a nastavenie compliance procesov podľa AI Aktu stojí zlomok v porovnaní s rizikom likvidačných pokút.

Radi Vám pomôžeme s revíziou vašich systémov tak, aby sme zabezpečili ich plnú funkčnosť a legislatívnu súladnosť s AI Aktom, preto nás neváhajte kontaktovať.

---

[1]    Čl. 3 bod 3.4. AI Aktu.

^[2]    Jednotlivé povinnosti a požiadavky počnúc čl. 8 – 56 AI Aktu.

^[3]    Čl. 5 AI Aktu.

^[4]    Čl. 6 AI Aktu v súvislosti s prílohou III AI Aktu.

[5]    Znenie návrhu zákona a jeho legislatívny proces nájdete tu: https://www.slov-lex.sk/elegislativa/legislativne-procesy/SK/LP/2025/401.

^[6]    EÚ sa predbežne dohodla na odložení pravidiel pre vysokorizikové systémy AI, napríklad využívajúce biometrické údaje alebo súvisiace s kritickou infraštruktúrou a presadzovaním práva, z pôvodného termínu 2. augusta 2026 na 2. december 2027.