Πώς να φτιάξετε μητρώο ΤΝ σε 90 λεπτά (κανονισμός για την ΤΝ)
Ένα μητρώο ΤΝ σε πέντε βήματα και 90 λεπτά — όσο χρειάζονται οι ευρωπαϊκές ΜΜΕ βάσει του άρθρου 26 του κανονισμού για την ΤΝ και των κατευθύνσεων της ICO. Στήλες εκκίνησης, παγίδες, κανόνες ευθύνης.

Οι περισσότερες ευρωπαϊκές ΜΜΕ αντιμετωπίζουν το μητρώο ΤΝ ως ένα βαρύ παραδοτέο που θα παραγάγουν όταν αρχίσει να δαγκώνει η επιβολή του κανονισμού για την ΤΝ. Αυτό είναι σφάλμα κατηγορίας. Μια λειτουργική έκδοση 1 παίρνει ενενήντα λεπτά, αν την προσεγγίσετε ως ευρετήριο από την πλευρά του φορέα εφαρμογής και όχι ως τεκμήριο συμμόρφωσης. Παρακάτω είναι η κατασκευή πέντε βημάτων που εφαρμόζουμε με τους υπεύθυνους λειτουργιών στις ελεγκτικές μας συνεργασίες — η ίδια που αποτυπώνει σε μία σελίδα μια εικόνα κινδύνου κατά το Παράρτημα III ως το απόγευμα της Παρασκευής και κερδίζει τον χώρο να γίνει στη συνέχεια σωστά η πιο αργή δουλειά.
Σύντομη απάντηση. Το μητρώο ΤΝ είναι το ευρετήριο, από την πλευρά του φορέα εφαρμογής, κάθε συστήματος ΤΝ στον οργανισμό σας, που τεκμαίρεται από τις υποχρεώσεις του φορέα εφαρμογής κατά το άρθρο 26 του κανονισμού για την ΤΝ [1] και ευθυγραμμίζεται με τις κατευθύνσεις της ICO κατά το UK GDPR [2]. Μια λειτουργική έκδοση 1 παίρνει ενενήντα λεπτά για ΜΜΕ κάτω των 200 εργαζομένων: 15 λεπτά για την καταγραφή, 20 για την ταξινόμηση βάσει κινδύνου με γνώμονα το Παράρτημα III, 25 για τη συμπλήρωση των βασικών στηλών και 30 για την ανάθεση ευθυνών και τον δειγματοληπτικό έλεγχο της εποπτείας.
Τι είναι το μητρώο ΤΝ;
Το μητρώο ΤΝ είναι για τις υποχρεώσεις του φορέα εφαρμογής κατά το άρθρο 26 ό,τι είναι τα αρχεία των δραστηριοτήτων επεξεργασίας (ROPA) για το άρθρο 30 του UK GDPR: ένα ζωντανό ευρετήριο που ονομάζει κάθε σύστημα, ταξινομεί την κατηγορία κινδύνου του και αναθέτει ένα αρμόδιο πρόσωπο. Είναι το έγγραφο που θα ζητήσει πρώτο ένας ερευνητής της ICO, ένα τμήμα προμηθειών ή η ομάδα ασφάλειας προμηθευτών ενός εταιρικού πελάτη.
Ο κανονισμός για την ΤΝ δεν ορίζει τη μορφή του μητρώου στο κείμενο του κανονισμού. Το άρθρο 26 παράγραφος 5 απαιτεί οι φορείς εφαρμογής συστημάτων υψηλού κινδύνου να διασφαλίζουν την ανθρώπινη εποπτεία από ένα ορισμένο, ικανό πρόσωπο· το άρθρο 26 παράγραφος 6 απαιτεί την τήρηση αρχείων καταγραφής των χρήσεων υψηλού κινδύνου για τουλάχιστον έξι μήνες [1]. Το μητρώο είναι το λειτουργικό υπόστρωμα που καθιστά ορατά και τα δύο. Η ICO έχει καταστήσει σαφές από το 2023 ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα από ΤΝ κατά το UK GDPR ενεργοποιεί την πειθαρχία της εκτίμησης αντικτύπου σχετικά με την προστασία δεδομένων (DPIA) και υποχρεώσεις λογοδοσίας [2], ενώ η εργαλειοθήκη ελέγχου ΤΝ της ICO απαριθμεί τα είδη δομημένων αρχείων που θα χρειαστεί μια ΜΜΕ [3]. Καμία εποπτική αρχή δεν επιβάλλει συγκεκριμένο εργαλείο. Ένα υπολογιστικό φύλλο που ονομάζει τις σωστές στήλες και αναθέτει τους σωστούς υπεύθυνους περνά το κριτήριο.
Γιατί λειτουργούν τα ενενήντα λεπτά (και τι δεν σας εξασφαλίζουν)
Το μητρώο δεν είναι ο προορισμός. Είναι ο χάρτης. Τα ενενήντα λεπτά αρκούν για να αναδειχθεί ποια ΤΝ χρησιμοποιείται, να ταξινομηθεί η κατηγορία κινδύνου της και να ανατεθεί η ευθύνη — η τριάδα των στοιχείων που κάθε φορέας εφαρμογής πρέπει να αποδείξει προτού τα ζητήσει μια εποπτική αρχή, ένας πελάτης ή το διοικητικό συμβούλιο. Τι δεν σας εξασφαλίζουν τα ενενήντα λεπτά: μια εκτίμηση επιπτώσεων στα θεμελιώδη δικαιώματα (FRIA) κατά το άρθρο 27 για κάθε σύστημα του Παραρτήματος III, ένα πρόγραμμα γραμματισμού στον τομέα της ΤΝ κατά το άρθρο 4 ανάλογο με τον ρόλο, έναν φάκελο δέουσας επιμέλειας προμηθευτών που να καλύπτει συμβάσεις επεξεργασίας και κάρτες μοντέλων, ή ένα πλήρως διατυπωμένο πρωτόκολλο ανθρώπινης εποπτείας [1]. Αυτά είναι μεταγενέστερες εργασίες, οριοθετημένες με βάση όσα αναδεικνύει το μητρώο.
Η πειθαρχία του χρονικού πλαισίου μετράει περισσότερο από τη φινέτσα. Στις ελεγκτικές μας συνεργασίες, οι ΜΜΕ που αντιμετωπίζουν το μητρώο ως έργο πολλών εβδομάδων συνήθως δεν παράγουν κανένα· οι ΜΜΕ που οριοθετούν χρονικά την έκδοση 1 στα ενενήντα λεπτά παράγουν ένα μητρώο την πρώτη μέρα και έπειτα το βελτιώνουν επαναληπτικά. Οι υποχρεώσεις του άρθρου 26 είναι συνεχείς, όχι στιγμιαίες· επομένως μια έκδοση 1 που μπορείτε να επικαιροποιείτε αξίζει σαφώς περισσότερο από μια έκδοση 3 που δεν έχετε καν ξεκινήσει.
Πώς εκτελείται η ροή εργασίας του μητρώου ΤΝ των 90 λεπτών;
Βήμα 1 — Καταγράψτε κάθε σύστημα ΤΝ που χρησιμοποιείται (15 λεπτά)
Τρεις πηγές καλύπτουν τα περισσότερα από όσα θα βρείτε. Αντλήστε τις συνδρομές SaaS επί πληρωμή από το λογιστικό καθολικό ή την κάρτα εξόδων — κάθε προμηθευτής με «AI», «ML», «Copilot», «Assistant» ή «Insight» στην ονομασία του προϊόντος ανήκει στον κατάλογο. Αντλήστε την ενσωματωμένη ΤΝ από τις υπάρχουσες πλατφόρμες σας — το Microsoft 365 Copilot, οι λειτουργίες Google Workspace Gemini, το Salesforce Einstein, το HubSpot Breeze, οι αυτόματες απαντήσεις του Outlook και οι περιλήψεις συσκέψεων του Teams είναι όλα εντός πεδίου, επί πληρωμή ή όχι. Αντλήστε τη shadow AI από ένα μήνυμα μίας παραγράφου προς όλο το προσωπικό, ρωτώντας ποια εργαλεία ΤΝ χρησιμοποιεί καθημερινά, συμπεριλαμβανομένων των μη επί πληρωμή καταναλωτικών λογαριασμών.
Αντιμετωπίστε τη shadow AI ως εντός πεδίου. Ένας εργαζόμενος που επικολλά ένα βιογραφικό σε δωρεάν λογαριασμό ChatGPT καθιστά τη ΜΜΕ φορέα εφαρμογής συστήματος υψηλού κινδύνου κατά το Παράρτημα III, βάσει των διατάξεων του κανονισμού για την ΤΝ περί απασχόλησης [1], ενώ τα δεδομένα εξέρχονται από το περιβάλλον σας κατά το UK GDPR [2]. Δουλειά του μητρώου είναι να το αναδείξει, όχι να το αστυνομεύσει. Η αστυνόμευση έρχεται στο βήμα 4, μόλις γνωρίζετε τι υπάρχει.
Βήμα 2 — Ταξινομήστε κάθε σύστημα βάσει κινδύνου με γνώμονα το Παράρτημα III (20 λεπτά)
Το Παράρτημα III του κανονισμού για την ΤΝ απαριθμεί οκτώ τομείς υψηλού κινδύνου [1]: βιομετρική ταυτοποίηση, κρίσιμες υποδομές, εκπαίδευση και επαγγελματική κατάρτιση, απασχόληση και διαχείριση εργαζομένων, πρόσβαση σε βασικές υπηρεσίες, επιβολή του νόμου, μετανάστευση και έλεγχος συνόρων, και απονομή δικαιοσύνης. Για τις ΜΜΕ, οι ενεργοί παράγοντες ενεργοποίησης είναι συνήθως η απασχόληση (διαλογή βιογραφικών, κατάταξη επιδόσεων, αυτοματοποιημένος προγραμματισμός), η πρόσβαση σε υπηρεσίες (αποφάσεις πιστοδότησης, τιμολόγηση ασφαλίσεων) και η εκπαίδευση (αξιολογήσεις κατάρτισης, πιστοποιήσεις).
Για κάθε σύστημα του καταλόγου σας, χαρακτηρίστε το ως ένα από τα εξής: υψηλού κινδύνου (αντιστοιχία με το Παράρτημα III), περιορισμένου κινδύνου (υποχρεώσεις διαφάνειας κατά το άρθρο 50), ελάχιστου κινδύνου (καμία ειδική υποχρέωση πέραν του γραμματισμού κατά το άρθρο 4) ή φορέα εφαρμογής ΤΝ γενικού σκοπού (χρήση μοντέλου ΤΝ γενικού σκοπού ως ραχοκοκαλιάς για ένα chatbot ή βοηθό) [1]. Οι περισσότερες στοίβες εργαλείων των ΜΜΕ εμπίπτουν σε δύο ή τρεις κατηγορίες. Η ταξινόμηση είναι ευθύνη του φορέα εφαρμογής· δεν εκχωρείται στον προμηθευτή και δεν επηρεάζεται από το μέγεθος της εταιρείας.
Βήμα 3 — Συμπληρώστε τις δέκα βασικές στήλες (25 λεπτά)
Οι στήλες που δικαιολογούν τη θέση τους σε ένα μητρώο του φορέα εφαρμογής:
- Ονομασία συστήματος — πώς το αποκαλεί καθημερινά το προσωπικό σας.
- Προμηθευτής — η νομική οντότητα πίσω από το προϊόν.
- Μοντέλο ή έκδοση — όπου είναι γνωστό (π.χ. GPT-4o, Claude 3.5, Gemini 1.5, εσωτερικής ανάπτυξης).
- Περίπτωση χρήσης — μία πρόταση που περιγράφει τι αποφασίζει ή τι παράγει το σύστημα.
- Κατηγορία κινδύνου — υψηλού / περιορισμένου / ελάχιστου / φορέας εφαρμογής ΤΝ γενικού σκοπού.
- Εμπλοκή δεδομένων προσωπικού χαρακτήρα — Ναι/Όχι, και κατηγορίες κατά το UK GDPR.
- Νομική βάση — η νομική βάση κατά το άρθρο 6 του UK GDPR (έννομο συμφέρον, σύμβαση, συγκατάθεση κ.λπ.).
- Αρμόδιο πρόσωπο — ένα ορισμένο φυσικό πρόσωπο, όχι ομάδα ή ρόλος.
- Τήρηση αρχείων καταγραφής του άρθρου 26 παράγραφος 6 — Ναι/Όχι/Άνευ αντικειμένου για τις χρήσεις υψηλού κινδύνου.
- Ημερομηνία θέσης σε λειτουργία — τουλάχιστον μήνας και έτος.
Ένα υπολογιστικό φύλλο με αυτές τις δέκα στήλες απαντά στο πρώτο ερώτημα που θα θέσει κάθε εποπτική αρχή, πελάτης ή μέλος διοικητικού συμβουλίου. Οτιδήποτε πέραν αυτού είναι επαναληπτική εργασία, όχι εργασία της έκδοσης 1. Αντισταθείτε στην παρόρμηση να προσθέσετε στήλες προτού συμπληρώσετε και τις δέκα σε κάθε γραμμή.
Βήμα 4 — Ορίστε ένα αρμόδιο πρόσωπο ανά σύστημα (15 λεπτά)
Το άρθρο 26 παράγραφος 5 απαιτεί οι φορείς εφαρμογής συστημάτων υψηλού κινδύνου να διασφαλίζουν την ανθρώπινη εποπτεία από ένα ικανό, αρμόδιο πρόσωπο με αρμοδιότητα να αναστείλει ή να παρακάμψει το σύστημα [1]. Μεταφράστε το στο μητρώο σας ονομάζοντας ένα πραγματικό φυσικό πρόσωπο σε κάθε γραμμή του Παραρτήματος III — όχι έναν ρόλο όπως «επικεφαλής πληροφορικής» ή «διευθυντής λειτουργιών». Το αρμόδιο πρόσωπο χρειάζεται τρεις ιδιότητες: να μπορεί να διαβάσει τα αποτελέσματα του συστήματος, να έχει την αρμοδιότητα να το απενεργοποιήσει και να είναι προσβάσιμο ονομαστικά στο μητρώο σας.
Για τα συστήματα εκτός Παραρτήματος III, ορίστε έναν υπεύθυνο έτσι κι αλλιώς. Η τυπική υποχρέωση είναι ελαφρύτερη· η πειθαρχία είναι η ίδια. Οι υπεύθυνοι λειτουργιών και τα ανώτερα στελέχη είναι οι φυσικοί υπεύθυνοι στις περισσότερες ΜΜΕ· δεν απαιτείται CTO ή CDO.
Βήμα 5 — Ελέγξτε δειγματοληπτικά την ανθρώπινη εποπτεία σε ένα σύστημα υψηλού κινδύνου (15 λεπτά)
Για τη γραμμή με τον υψηλότερο κίνδυνο κατά το Παράρτημα III, περάστε από τρία ερωτήματα: ελέγχει ένας άνθρωπος το αποτέλεσμα της ΤΝ προτού επηρεάσει ένα πρόσωπο (η δοκιμή του ανθρώπου στη διαδικασία); μπορεί στην πράξη αυτός ο άνθρωπος να παρακάμψει την απόφαση της ΤΝ (η δοκιμή αρμοδιότητας); έχει λάβει ο άνθρωπος κατάρτιση ανάλογη με τον ρόλο του κατά το άρθρο 4 (η δοκιμή γραμματισμού) [1]; Οι απαντήσεις καταχωρίζονται σε μια στήλη ελεύθερου κειμένου «σημειώσεις ανθρώπινης εποπτείας» δίπλα στις δέκα βασικές στήλες.
Δεν θα ολοκληρώσετε το πρωτόκολλο ανθρώπινης εποπτείας σε δεκαπέντε λεπτά. Στόχος είναι να αναδείξετε πού βρίσκεται το κενό, όχι να το κλείσετε. Μια γραμμή που γράφει «κανένας ανθρώπινος έλεγχος στη διαλογή βιογραφικών· κενό προς κάλυψη εντός 30 ημερών» είναι ακριβώς το σωστό αποτέλεσμα. Δουλειά του μητρώου είναι να κάνει το κενό ορατό· το κλείσιμό του είναι ξεχωριστή εργασία και ξεχωριστός προϋπολογισμός.

Ποιες πέντε παγίδες σκοτώνουν την έκδοση 1 ενός μητρώου ΤΝ;
- Η αντιμετώπιση του μητρώου ως εφάπαξ εγγράφου. Οι υποχρεώσεις του άρθρου 26 είναι συνεχείς· το μητρώο είναι ζωντανό τεκμήριο που επανεξετάζεται τουλάχιστον ανά τρίμηνο και επικαιροποιείται όποτε τίθεται σε λειτουργία νέο σύστημα ΤΝ ή ένας προμηθευτής προωθεί σημαντική αλλαγή μοντέλου.
- Η παράλειψη της shadow AI. Οι μη επί πληρωμή καταναλωτικοί λογαριασμοί και οι προσωπικές συνεδρίες Copilot είναι η κατηγορία με τα περισσότερα περιστατικά και τη μικρότερη ορατότητα. Αν το μητρώο δεν τους αναδεικνύει, ψεύδεται.
- Η αγορά ενός «εργαλείου συμμόρφωσης» πριν από την καταγραφή. Το λογισμικό συμμόρφωσης ενός προμηθευτή δεν θα ταξινομήσει τις δικές σας περιπτώσεις χρήσης — μόνο η ομάδα σας μπορεί. Πρώτα το υπολογιστικό φύλλο, το εργαλείο αργότερα (ή ποτέ· για ΜΜΕ κάτω των 200 εργαζομένων ένα συντηρημένο υπολογιστικό φύλλο αρκεί).
- Η ανάθεση ρόλου αντί προσώπου. Σε μια «ομάδα πληροφορικής» δεν μπορεί κανείς να τηλεφωνήσει· σε ένα ορισμένο πρόσωπο με αριθμό τηλεφώνου, μπορεί. Το άρθρο 26 παράγραφος 5 τεκμαίρει το δεύτερο [1].
- Η πλήρης παράβλεψη του γραμματισμού του άρθρου 4. Το άρθρο 4 ισχύει από τις 2 Φεβρουαρίου 2025 για κάθε εργαζόμενο που χρησιμοποιεί ΤΝ, ανάλογα με τον ρόλο του [1]. Δεν είναι κατηγορία — κάθε σύστημα αναδεικνύει μια υποχρέωση κατά το άρθρο 4. Σημειώστε την στο μητρώο, ακόμη και όταν το ίδιο το πρόγραμμα είναι μεταγενέστερη εργασία.
Τι να κάνετε μετά τα ενενήντα λεπτά
Το μητρώο είναι το επίπεδο της ανακάλυψης. Τρεις εργασίες παρακολούθησης συνήθως απογειώνονται από αυτό:
- Οριοθέτηση της FRIA για κάθε γραμμή του Παραρτήματος III, κατά το άρθρο 27 του κανονισμού για την ΤΝ [1] — ένα ξεχωριστό, βαθύτερο έγγραφο που η στήλη της κατηγορίας κινδύνου του μητρώου εκκινεί, αντί να αντικαθιστά.
- Πρόγραμμα γραμματισμού στον τομέα της ΤΝ κατά το άρθρο 4 — ανάλογο με τον ρόλο, οριοθετημένο με βάση τη στήλη του αρμόδιου προσώπου του μητρώου και όχι με βάση τον αριθμό εργαζομένων.
- Φάκελος δέουσας επιμέλειας προμηθευτών — συμβάσεις επεξεργασίας, κάρτες μοντέλων, προέλευση ΤΝ γενικού σκοπού, οριοθετημένος με βάση τη στήλη προμηθευτή του μητρώου και επικαιροποιούμενος στην ανανέωση των προμηθειών.
Αυτές είναι οι εργασίες που μια εξ αρχής σχεδιασμένη προσέγγιση καλύπτει σε περίπου δώδεκα εβδομάδες έναντι 18.000–32.000 £, σύμφωνα με την εμπειρία μας από τις συνεργασίες, και οι ίδιες εργασίες που μια εκ των υστέρων προσέγγιση καλύπτει σε έξι συμπιεσμένες εβδομάδες έναντι 85.000–145.000 £ — ένας πολλαπλασιαστής συνεπής με τα δεδομένα του MIT Sloan μετά τον ΓΚΠΔ, όπου ευρωπαϊκές επιχειρήσεις περιόρισαν τα αποθηκευμένα δεδομένα κατά 26 % και τους υπολογισμούς κατά 15 % υπό την πίεση της επιβολής [4]. Το μητρώο είναι η φθηνότερη δυνατή πρώτη κίνηση απέναντι σε αυτή την αριθμητική.
Σύνοψη
AI Register in 90 Minutes — a deployer-side inventory │ ├─ The five-step build │ ├─ List (15m) — paid, embedded, and shadow AI in scope │ ├─ Risk-tier (20m) — match each system to Annex III │ ├─ Ten columns (25m) — the audit-ready floor, no more │ ├─ Name owners (15m) — a person per system, not a team │ └─ Spot-check (15m) — surface the oversight gap, don't close it │ ├─ Why timebox v1 │ ├─ A living map — Article 26 duties are continuous │ └─ v1 you update beats v3 you never start │ └─ What it doesn't buy └─ Downstream — FRIA, Article 4 literacy, vendor due diligence
Σχετικές αναλύσεις
- Διακυβέρνηση ΤΝ από την Πρώτη Μέρα: Το Κόστος της Εκ των Υστέρων Συμμόρφωσης για τις ΜΜΕ — το θεμελιώδες άρθρο που υποστηρίζει αυτός ο οδηγός. Διαβάστε το για την αριθμητική του κόστους, την περίπτωση Northbridge και τα επτά τεκμήρια της διακυβέρνησης από την πρώτη μέρα.
- Η ΜΜΕ σας δεν χρειάζεται περισσότερα εργαλεία ΤΝ. Χρειάζεται μια στρατηγική ΤΝ.EN — το προηγούμενο άρθρο για το γιατί ένας εγκεκριμένος κατάλογος ΤΝ μετράει περισσότερο από οποιαδήποτε μεμονωμένη συνδρομή, και η ακολουθία ελέγχου-και-ενοποίησης που τον παράγει.
Τελευταία επικαιροποίηση: Μάιος 2026. Έκδοση 1.0.
Frequently Asked Questions
Αντικαθιστά το μητρώο ΤΝ τα αρχεία δραστηριοτήτων επεξεργασίας του ΓΚΠΔ;
Το προσωπικό μας χρησιμοποιεί δωρεάν ChatGPT και Copilot καταναλωτικής έκδοσης. Μετράνε αυτά για το μητρώο;
Η ΜΜΕ μας εδρεύει εκτός ΕΕ. Ισχύει ο κανονισμός για την ΤΝ για το μητρώο μας;
Ποιος πρέπει να έχει την ευθύνη του μητρώου ΤΝ σε μια ΜΜΕ που δεν διαθέτει CTO;
Πόσο συχνά πρέπει να επικαιροποιούμε το μητρώο;
Αρκεί ένα υπολογιστικό φύλλο ή χρειαζόμαστε ειδικό εργαλείο GRC;
Sources
- 1.Regulation (EU) 2024/1689 — Artificial Intelligence Act — European Parliament and of the Council · 2024
- 2.Guidance on AI and Data Protection — Information Commissioner's Office (ICO) · 2023
- 3.AI and Data Protection Risk Toolkit / AI Auditing Framework — Information Commissioner's Office (ICO) · 2023
- 4.GDPR's Effects on Firm Data and Computation Use (Bessen, Janßen, Peukert, Seamans) — MIT Sloan · 2022
Want this run on your business?
AI Foundation Audit — a structured assessment of your AI footprint: integration risks, governance gaps, ROI opportunities. Delivered as a comprehensive report you can act on.
You receive your Executive Report and Implementation Brief — tailored to your business and delivered immediately.