Umelá inteligencia mení pravidlá hry: Firmy čakajú prísne kontroly a je tu aj riziko miliónových pokút (ROZHOVOR)

AI Act je legislatíva Európskej únie týkajúca sa umelej inteligencie. Európska regulácia v súčasnosti vstupuje do ďalšej fázy a pre firmy začne byť čoraz konkrétnejšou realitou. Kľúčové povinnosti podľa nariadenia AI Act, najmä pre takzvané vysokorizikové systémy, začnú platiť od augusta 2026.

Podniky v celej Európskej únii tak budú musieť preukázať, že systémy umelej inteligencie používajú transparentne, bezpečne a s jasne nastaveným riadením rizík. Pre mnohé organizácie to znamená nové procesy, dokumentáciu aj zmeny v riadení technológií.

• Ktorých firiem sa nová regulácia dotkne najviac?
• Ide len o veľké technologické spoločnosti, alebo aj o bežné podniky, ktoré používajú AI napríklad pri nábore, marketingu či hodnotení zákazníkov?
• Ako si má firma prakticky vyhodnotiť, či používa vysokorizikový systém AI podľa prílohy III AI Actu?
• Existuje na to metodika alebo odporúčaný postup?
• Aké konkrétne povinnosti čakajú firmy, ktoré vyvíjajú alebo nasadzujú vysokorizikovú AI od augusta 2026?
• Ktoré z nich sú v praxi najnáročnejšie na riadenie rizík, dokumentáciu, logovanie a ľudský dohľad?
• Ak by ste mali firmám odporučiť tri konkrétne kroky, ktoré by mali urobiť ešte v roku 2026, aby sa vyhli pokutám a reputačným škodám, čo by to bolo?

Katarína Mikle, zakladateľka Slovenskej AI aliancie (AISA), sa dlhodobo venuje umelej inteligencii, ochrane osobných údajov a informačnej bezpečnosti. V rozhovore vysvetľuje, v akom stave pripravenosti sú dnes slovenské firmy, ktoré oblasti regulácie budú pre podniky najnáročnejšie a aké konkrétne kroky by mali spoločnosti urobiť ešte predtým, ako začnú platiť najprísnejšie pravidlá.

AI Act a súvisiace povinnosti

Nielen AI Act je príležitosťou. Je ním aj samotná existencia umelej inteligencie a jej využiteľnosť. Prieskumy (napríklad AlmaCareer) ukazujú, že ľudia využívajú AI pri svojej práci. Možno inou otázkou je, či o tom firmy vedia. Poďme sa teda pozrieť na to, aké povinnosti firmy čakajú a najmä na to, ako to môžu využiť vo svoj prospech. 

AI Act vstupuje postupne do účinnosti od februára 2025 a kľúčové povinnosti pre vysokorizikové systémy začnú platiť od augusta 2026. V akom štádiu pripravenosti sú dnes podľa vás slovenské a európske firmy?

Podľa mojich skúseností zo slovenských firiem sa väčšina z nich dnes učí pracovať s AI nástrojmi a testuje ich. Reguláciu a systematický súlad s AI Actom rieši zatiaľ malá časť, typicky regulované odvetvia a firmy, kde AI zasahuje do HR a rozhodovania o ľuďoch. V EÚ je situácia podobne nerovnomerná podľa sektora a veľkosti firmy.

Máte pocit, že firmy berú AI Act ako strategickú prioritu? Alebo ho zatiaľ vnímajú skôr ako ďalšiu reguláciu, ktorú budú riešiť až na poslednú chvíľu?

V praxi často vidím, že firmy reguláciu buď nepoznajú, alebo ju berú ako ďalšiu povinnosť a odkladajú ju na neskôr. Strategicky to riešia skôr tí, ktorí majú vysoké reputačné riziko alebo AI priamo ovplyvňuje ľudí, a to napríklad pri náboroch a hodnotení.

Ktorých firiem sa nová regulácia dotkne najviac? Ide len o veľké technologické spoločnosti, alebo aj o bežné podniky?

Netýka sa to len veľkých technologických firiem. Zasiahne aj bežné podniky, ktoré používajú AI na hodnotenie alebo rozhodovanie o ľuďoch, napríklad v HR, vo vzdelávaní alebo pri hodnotení zákazníkov.

Ako si má firma prakticky vyhodnotiť, či používa vysokorizikový systém AI podľa prílohy III AI Actu? Existuje na to metodika alebo odporúčaný postup?

Firma musí postupovať takto: najprv si spíše všetky činnosti, pri ktorých používa AI a pri každej z nich jasne určí účel a úlohu, a tiež či je provider alebo deployer. Následne musí porovnať tieto prípady s Prílohou III AI Actu. Ak do nej spadajú, spravidla ide o vysokorizikový systém. Potom musí overiť, či sa neuplatní úzka výnimka podľa článku 6, a celý záver stručne zdokumentovať, aby ho vedela preukázať pri kontrole.

Aké konkrétne povinnosti čakajú firmy, ktoré vyvíjajú alebo nasadzujú vysokorizikovú AI od augusta 2026? Ktoré z nich sú v praxi najnáročnejšie – riadenie rizík, dokumentácia, logovanie či ľudský dohľad?

Od 2. augusta 2026 musia mať high risk systémy najmä: riadenie rizík, poriadok v dátach a kvalitu dát, technickú dokumentáciu, logovanie, jasné informácie a návod na použitie, ľudský dohľad a post market monitoring. Najťažšie býva dať do poriadku dáta a preukázať ich kvalitu, pripraviť dokumentáciu, ktorá obstojí pri kontrole, a nastaviť logovanie a dohľad tak, aby fungovali v každodennej prevádzke. Pri high risk AI, ako súčasti regulovaných produktov, sa časť povinností uplatní až od 2. augusta 2027.

zdroj: AISA

Aké sankcie hrozia za porušenie pravidiel a v akých prípadoch môžeme hovoriť o pokutách až do 35 miliónov eur alebo do výšky 7 % z obratu? Sú tieto sankcie reálne, alebo skôr majú pôsobiť ako preventívny strašiak?

Čítaj viac z kategórie: Biznis a startupy