AI Act — nová regulačná realita
Európska únia ako prvá na svete vytvorila komplexnú reguláciu umelej inteligencie. Nariadenie AI Act (Regulation (EU) 2024/1689) nadobudlo účinnosť 1. augusta 2024 a uplatňuje sa postupne: prvé povinnosti platia od 2. februára 2025, hlavná časť od 2. augusta 2026, plná aplikácia od 2. augusta 2027. Každý podnik, ktorý nasadzuje systémy AI v prevádzkovej činnosti v EÚ, sa s nimi musí oboznámiť.
AI Act nezakazuje umelú inteligenciu — reguluje ju na základe prístupu založeného na riziku. Čím vyššie riziko, tým prísnejšie požiadavky. Väčšina biznisových aplikácií AI patrí do kategórií nízkeho alebo obmedzeného rizika, čo znamená pomerne ľahké povinnosti. Ale existujú oblasti, kde sú požiadavky veľmi prísne.
Harmonogram nadobudnutia účinnosti (Art. 113)
- 1. augusta 2024 — nadobudnutie účinnosti nariadenia
- 2. februára 2025 — uplatňujú sa zákazy nebezpečných praktík (Kapitola II, Art. 5) a povinnosť AI gramotnosti (Art. 4)
- 2. augusta 2025 — povinnosti pre poskytovateľov všeobecných modelov AI (Kapitola V) a ustanovenia o dozorných orgánoch a pokutách
- 2. augusta 2026 — uplatňujú sa povinnosti pre systémy vysokého rizika (Kapitola III), transparentnosť chatbotov a deepfakov (Art. 50), regulačné sandboxy
- 2. augusta 2027 — plná aplikácia vrátane povinností pre systémy vysokého rizika zabudované v produktoch podliehajúcich už existujúcim harmonizačným reguláciám EÚ (Príloha I)
Klasifikácia rizika systémov AI
AI Act rozdeľuje systémy AI do štyroch kategórií rizika:
- Neprijateľné riziko (zakázané, Art. 5) — systémy manipulujúce ľudským správaním pod prahom vedomia, sociálne skórovanie vládami, biometrický dohľad v reálnom čase (s výnimkami), rozpoznávanie emócií na pracovisku a vo vzdelávaní, prediktívne kriminálne profilovanie. Tieto systémy sú zakázané.
- Vysoké riziko (Kapitola III, Art. 6-27) — AI používaná v nábore, poskytovaní úverov, zdravotníctve, vzdelávaní, výkone spravodlivosti, kritickej infraštruktúre. Najprísnejšie požiadavky: dokumentácia, testovanie, transparentnosť, ľudský dozor, registrácia v databáze EÚ.
- Obmedzené riziko (Art. 50) — chatboty, deepfaky, systémy generujúce obsah. Povinnosť transparentnosti: používateľ musí vedieť, že komunikuje s AI, a obsah generovaný AI musí byť označený strojovo čitateľným spôsobom.
- Minimálne riziko — väčšina biznisových aplikácií AI: filtre spamu, odporúčania produktov, automatizácia interných procesov. Minimálne alebo žiadne povinnosti.
Kto je poskytovateľ a kto používateľ systému AI?
AI Act rozlišuje dve kľúčové úlohy. Poskytovateľ (provider) je subjekt, ktorý vytvára a uvádza systém AI na trh. Deployer je subjekt, ktorý používa systém AI v hospodárskej činnosti. Povinnosti sú odlišné pre každú úlohu — poskytovatelia majú prísnejšie požiadavky týkajúce sa technickej dokumentácie a certifikácie.
Firma, ktorá si kúpi hotové riešenie AI od poskytovateľa a používa ho na vlastné procesy, je deployer. Firma, ktorá prispôsobuje alebo fine-tunuje model na vlastné aplikácie, sa môže stať poskytovateľom so všetkými dôsledkami.
Povinnosti deployerov systémov vysokého rizika (Art. 26)
Ak vaša firma používa systém AI vysokého rizika (napr. skóringový systém v úverovom procese, nástroj na preselekciu životopisov, systém podpory lekárskej diagnostiky), musíte:
- Zabezpečiť ľudský dozor nad rozhodnutiami systému AI
- Viesť prevádzkové logy minimálne 6 mesiacov
- Vykonať posúdenie vplyvu na základné práva (FRIA, Art. 27)
- Informovať zamestnancov o systémoch AI, ktoré sa ich týkajú
- Oznamovať vážne incidenty a poruchy príslušnému dozornému orgánu
Regulačné sandboxy (Art. 57-63)
AI Act predpokladá regulačné sandboxy — mechanizmus, ktorý umožňuje firmám testovať inovatívne systémy AI pod dohľadom dozorného orgánu v kontrolovanom prostredí. Každý členský štát má povinnosť spustiť aspoň jeden sandbox do 2. augusta 2026. Pre firmy rozvíjajúce riešenia AI v oblastiach vysokého rizika je to praktická cesta k získaniu spätnej väzby regulátorov ešte pred plnou certifikáciou.
Sankcie (Art. 99)
Pokuty za porušenie AI Act sú odstupňované v závislosti od typu porušenia:
- do 35 mil. EUR alebo 7% globálneho ročného obratu (vyššia suma) za uplatňovanie zakázaných praktík (Art. 5)
- do 15 mil. EUR alebo 3% globálneho ročného obratu za porušenie ostatných povinností nariadenia
- do 7,5 mil. EUR alebo 1% globálneho ročného obratu za poskytovanie nepravdivých, neúplných alebo zavádzajúcich informácií dozorným orgánom
Pre MSP a startupy sa uplatňuje nižšia z dvoch súm, aby sa zabránilo neprimeranému zaťaženiu.
Ako ESKOM.AI podporuje súlad s AI Act
ESKOM.AI pomáha organizáciám pripraviť sa na požiadavky AI Act. Ponúkame audit existujúcich systémov AI z hľadiska klasifikácie rizika, vypracovanie technickej dokumentácie, implementáciu mechanizmov ľudského dozoru a logovania, ako aj školenia pre tímy zodpovedné za compliance. Každé nové nasadenie AI v našom prevedení je navrhnuté s ohľadom na súlad s AI Act od prvého dňa.