AI Act pre MSP: čo musí mať nasadzujúca firma reálne pripravené

Nariadenie o umelej inteligencii (AI Act), rezonuje naprieč celou Európskou úniou. Čo to znamená pre majiteľov malých a stredných podnikov (MSP)? Platí, že dopad AI Actu nezávisí od veľkosti Vašej firmy, ale od typu a rizík umelej inteligencie, ktorú používate. AI Act od MSP vyžaduje systematický prístup: mať prehľad o tom, aké AI nástroje v ich firme fungujú, kto za nich zodpovedá a aké riziká môžu predstavovať. Robustnosť a povinnosti budú menšie a jednoduchšie v prípade MSP, ktorí používajú AI na bežné účely (rozumej napríklad administratívu, marketing, zákaznícku podporu). Tu je postup pre nasadzujúcu firmu:

1. Inventúra AI nástrojov

Aby ste mohli posúdiť riziká a nastaviť pravidlá, musíte najprv vedieť, aké AI systémy vôbec používate. Preto je kľúčová ich inventúra. Preto prvým a priam najdôležitejším krokom je vytvorenie súpisu všetkých nástrojov s prvkami AI, ktoré sa vo Vašej firme používajú na pracovné účely. Tento súpis musí zahŕňať nielen oficiálne zavedené systémy, ale aj nástroje, ktoré pracovníci začali používať sami na zefektívnenie svojej práce (napr. verejne dostupné verzie ChatGPT, Copilot a pod.). Výsledkom inventúry bude interný dokument, ktorý by mal minimálne zaznamenať názov systému, účel jeho použitia, zodpovednú osobu (kto vo firme zodpovedá za jeho správu a dohľad) a základné riziká tohto AI nástroja. Bude slúžiť ako základ pre ďalšiu analýzu a dôkaz, že používanie AI máte pod aktívnou kontrolou.

2. Interná smernica o používaní AI

V druhom kroku je potrebné vytvoriť internú smernicu, aby firma zabezpečila zodpovedné používanie AI v jej štruktúre. Definujte schválené AI nástroje, ktoré sú povolené na pracovné účely. Určite zákazy alebo limity aké údaje alebo informácie sa do AI nástrojov nesmú vkladať (napr. osobné údaje zákazníkov, interné know-how, finančné dáta). Definujte schvaľovací proces – kto a ako rozhoduje o zavedení nového AI nástroja a zodpovednosť voči otázkam pracovníkov alebo všeobecne problémov. To do akej miery detailná a precizovaná má byť táto smernica závisí od typu a rizík AI nástroja. Ak napríklad pracujete s AI nástrojom, ktorý spadá do kategórie vysokého rizika v oblasti HR, vaše interné procesy musia spĺňať výrazne prísnejšie pravidlá – vrátane povinného testovania systému a zabezpečenia primeraného ľudského dohľadu.

3. Analýza rizík AI nástroja

V ďalšom kroku analyzujte riziká AI nástroja a posúďte jeho reálne dopady. Pýtajte sa ako môže používanie AI ovplyvniť Vaše okolie – zákazníkov, zamestnancov alebo obchodných partnerov. Identifikujte či AI systém:

• je spoľahlivý. Napríklad neprodukuje zavádzajúce alebo nesprávne informácie, ktoré by niekoho poškodili.
• je spravodlivý. Mohol by znevýhodniť alebo diskriminovať?
• chráni súkromie. Ak pracuje s osobnými údajmi, prebieha to v súlade s GDPR a existuje na to právny základ?

Výstupom by mal byť písomný záznam.

4. Monitoring a aktívny dohľad

Po samotnom nasadení AI nástroja nastupuje fáza aktívneho dohľadu nad ním a jeho monitoringu. Keďže sa AI nástroje aktualizujú vyvíjajú a mení sa ich správanie, je potrebné nad nimi vykonávať priebežný dohľad. Monitoring zahŕňa:

1. kontrolu výstupov – v prípade generatívnej AI je dôležité mať určenú osobu, ktorá overuje správnosť a kvalitu výstupov pred ich použitím,
2. sledovanie aktualizácií a nových verzií – pričom sa opätovne skúmajú riziká a dopady AI nástroja a
3. evidenciu incidentov – zaznamenávajú sa problémy, chyby alebo sťažnosti spojené s fungovaním AI nástroja.

Cieľom mapovania nie je len byrokratický zoznam. Slúži na pochopenie toho, ako vaša firma reálne funguje, a na riadenie rizík spojených s modernými technológiami. Evidovať a regulovať používanie AI nástrojov je dnes už nevyhnutnosťou pre každú zodpovednú firmu. Odporúčame mať ľahko dohľadateľnú všetku relevantnú dokumentáciu najmä pre prípady internej potreby alebo kontroly zo strany Národného orgánu dohľadu (napr. MIRRI alebo iného špecializovaný úradu). Riešením je vytvoriť kontrolný zoznam dokumentácie, ktorý bude obsahovať všetky vyššie informácie spomenuté v tomto článku a navyše aj potvrdenia o školení zamestnancov a záznamy o prípadných bezpečnostných incidentoch. Príprava na AI Act znamená pre väčšinu MSP zavedenie dobrej „digitálnej hygieny“ a poriadku v procesoch.

 

Čo znamená pre MSP byť „nasadzujúca firma“ podľa AI Act?

Typicky ste nasadzujúca firma vtedy, keď AI systém používate vo vlastných procesoch alebo voči zákazníkom, aj keď ste ho nevyvinuli. Povinnosti sa viažu na to, ako AI používate (účel, kontext, riziko), nie na to, kto je autor technológie.

Aký je prvý praktický krok, ktorý dá najvyšší efekt?

Urobte inventúru AI: aké nástroje používate (aj „shadow AI“), na čo slúžia, kto je vlastník, aké dáta do nich vstupujú a aké rozhodnutia ovplyvňujú. Bez mapy použitia sa nedá rozumne riadiť riziko ani nastaviť pravidlá.

Čo má minimálne obsahovať interná smernica používania AI?

Zoznam schválených nástrojov, zakázané typy dát (osobné údaje, obchodné tajomstvo bez ochrany), pravidlá schvaľovania nových nástrojov, požiadavky na ľudskú kontrolu výstupov a zodpovednosti (vlastník nástroja, IT bezpečnosť, právnik alebo DPO). Dôležitá je aj politika pre tréning a promptovanie.

Kedy sa z „bežného“ používania môže stať rizikový režim?

Zvýšte pozornosť, ak AI ovplyvňuje prístup k práci (HR), úverom, vzdelaniu, zdravotným službám, hodnoteniu ľudí alebo bezpečnosti. Riziko rastie aj pri automatizovaných rozhodnutiach bez ľudského dohľadu, pri veľkom dopade na jednotlivca alebo pri práci s citlivými dátami.

Ako riešiť dáta a GDPR pri používaní generatívnej AI?

Pravidlo číslo jeden: neposielajte do verejných modelov to, čo by ste neposlali tretej strane. Určte, ktoré dáta sú povolené, anonymizujte alebo pseudonymizujte ich, nastavte retenčné pravidlá a overte zmluvné podmienky poskytovateľa (spracovateľ, prenosy mimo EÚ, tréning na vašich dátach).

Čo znamená „ľudský dohľad“ v praxi a ako ho nastaviť?

Určte, kto výstupy kontroluje a v ktorých scenároch je povinné schválenie pred použitím (napr. komunikácia so zákazníkom, právne texty, cenotvorba). Vytvorte jednoduché pravidlá: čo sa musí overiť, aké zdroje sa použijú a kedy sa výstup nesmie použiť bez eskalácie.

Ako má vyzerať monitoring po nasadení?

Sledujte kvalitu (chybovosť, halucinácie), bezpečnosť (prompt injection, únik dát), drift správania po aktualizáciách modelu a incidenty. Zaveďte evidenciu: verzia nástroja, zmeny nastavení, dátové zdroje, záznamy o problémoch a nápravné opatrenia.

Aké „dôkazy“ má mať MSP pripravené pre audit alebo kontrolu?

Inventúru AI nástrojov, smernicu a školenia, posúdenie rizík pre kľúčové použitia, zmluvné podklady s dodávateľmi, záznamy o incidentoch a monitoringu a popis ľudského dohľadu. Cieľom je dohľadateľnosť: kto rozhodol, na základe čoho a ako sa riadili riziká.