Kaip per 90 minučių sukurti DI registrą (ES DI aktas)
90 minučių trukmės penkių žingsnių DI registras, kurio Europos MVĮ reikia pagal ES DI akto 26 straipsnį ir ICO gaires. Pradiniai stulpeliai, spąstai, atsakingųjų taisyklės.

Dauguma Europos MVĮ DI registrą laiko sunkiasvoriu darbu, kurį parengs tada, kai įsigalios ES DI akto vykdymo užtikrinimas. Tai kategorijos klaida. Veikianti v1 versija užtrunka devyniasdešimt minučių, jei ją apibrėšite kaip diegėjo pusės sąvadą, o ne kaip atitikties artefaktą. Žemiau — penkių žingsnių kūrimo eiga, kurią su operacijų vadovais pereiname savo audito projektuose; ta pati, kuri III priedo rizikos vaizdą sutelkia į vieną lapą iki penktadienio popietės ir suteikia erdvės lėtesnį darbą atlikti kaip pridera.
Trumpas atsakymas. DI registras — tai diegėjo pusės sąvadas apie kiekvieną Jūsų organizacijos DI sistemą, numatytas ES DI akto 26 straipsnio diegėjo pareigų [1] ir suderintas su ICO gairėmis pagal UK GDPR [2]. Veikianti v1 versija MVĮ, turinčioms mažiau nei 200 darbuotojų, užtrunka devyniasdešimt minučių: 15 minučių surašyti, 20 — priskirti rizikos pakopą pagal III priedą, 25 — užpildyti pagrindinius stulpelius ir 30 — paskirti atsakinguosius bei patikrinti priežiūrą.
Kas yra DI registras?
DI registras 26 straipsnio diegėjo pareigoms yra tai, kas duomenų tvarkymo veiklos įrašai — UK GDPR 30 straipsniui: gyvas sąvadas, kuris įvardija kiekvieną sistemą, klasifikuoja jos rizikos pakopą ir paskiria atsakingą asmenį. Tai dokumentas, kurio pirmiausia paprašys ICO tyrėjas, pirkimų skyrius ar įmonės kliento tiekėjų saugumo komanda.
ES DI aktas registro formato reglamento tekste nenustato. 26 straipsnio 5 dalis reikalauja, kad didelės rizikos sistemų diegėjai užtikrintų žmogaus atliekamą priežiūrą, kurią vykdo įvardytas, kompetentingas asmuo; 26 straipsnio 6 dalis reikalauja didelės rizikos naudojimo atvejus registruoti bent šešis mėnesius [1]. Registras yra operacinis pagrindas, dėl kurio abi šios pareigos tampa matomos. ICO nuo 2023 m. aiškiai nurodo, kad asmens duomenis tvarkanti DI pagal UK GDPR įjungia poveikio duomenų apsaugai vertinimo drausmę ir atskaitomybės pareigas [2], o ICO DI audito rinkinys išvardija, kokių struktūruotų įrašų MVĮ prireiks [3]. Joks reguliuotojas nenurodo konkretaus įrankio. Skaičiuoklė, kuri įvardija teisingus stulpelius ir paskiria teisingus atsakinguosius, patikrą atlaiko.
Kodėl devyniasdešimt minučių veikia (ir ko jos Jums neduoda)
Registras — ne tikslas. Tai žemėlapis. Devyniasdešimties minučių pakanka atskleisti, kokia DI naudojama, klasifikuoti jos rizikos pakopą ir paskirti atskaitomybę — tos trys faktų grupės, kurias kiekvienas diegėjas privalo įrodyti dar prieš reguliuotojui, klientui ar valdybai paklausiant. Ko devyniasdešimt minučių Jums neduoda: poveikio pagrindinėms teisėms vertinimo pagal 27 straipsnį kiekvienai III priedo sistemai, vaidmeniui proporcingos DI raštingumo programos pagal 4 straipsnį, tiekėjų išsamaus patikrinimo rinkinio, apimančio duomenų tvarkymo sutartis ir modelių korteles, ar iki galo aprašyto žmogaus atliekamos priežiūros protokolo [1]. Tai tolesnės darbų gijos, apibrėžiamos pagal tai, ką atskleidžia registras.
Darbo apriboto laiku drausmė svarbesnė už nugludinimą. Mūsų audito projektuose tos MVĮ, kurios registrą laiko kelių savaičių projektu, paprastai jo taip ir neparengia; tos, kurios v1 versiją apriboja devyniasdešimčia minučių, registrą parengia pirmą dieną ir paskui jį tobulina. 26 straipsnio pareigos yra tęstinės, o ne vienkartinės, todėl v1 versija, kurią galite atnaujinti, verta tikrai daugiau nei v3 versija, kurios dar nepradėjote.
Kaip vyksta 90 minučių DI registro kūrimo eiga?
1 žingsnis — Surašykite kiekvieną naudojamą DI sistemą (15 minučių)
Trys šaltiniai apima didžiąją dalį to, ką rasite. Mokamas SaaS prenumeratas surinkite iš finansų apskaitos ar išlaidų kortelės — į sąrašą patenka bet kuris tiekėjas, kurio produkto pavadinime yra „AI", „ML", „Copilot", „Assistant" ar „Insight". Integruotą DI surinkite iš jau naudojamų platformų — „Microsoft 365 Copilot", „Google Workspace Gemini" funkcijos, „Salesforce Einstein", „HubSpot Breeze", „Outlook" automatiniai atsakymai, „Teams" susitikimų santraukos visi patenka į taikymo sritį, nesvarbu, mokami ar ne. Šešėlinę DI surinkite vienos pastraipos žinute visam kolektyvui, paklausdami, kokius DI įrankius darbuotojai naudoja kasdien, įskaitant nemokamas asmenines paskyras.
Šešėlinę DI laikykite patenkančia į taikymo sritį. Darbuotojas, įklijuojantis CV į nemokamą ChatGPT paskyrą, padaro MVĮ didelės rizikos III priedo diegėju pagal ES DI akto įdarbinimo nuostatas [1], o duomenys palieka Jūsų aplinką pagal UK GDPR [2]. Registro užduotis — tai atskleisti, o ne kontroliuoti. Kontrolė ateina 4 žingsnyje, kai jau žinote, kas yra.
2 žingsnis — Kiekvienai sistemai pagal III priedą priskirkite rizikos pakopą (20 minučių)
ES DI akto III priedas išvardija aštuonias didelės rizikos sritis [1]: biometrinį tapatybės nustatymą, ypatingos svarbos infrastruktūrą, švietimą ir profesinį mokymą, įdarbinimą ir darbuotojų valdymą, prieigą prie esminių paslaugų, teisėsaugą, migraciją ir sienų kontrolę bei teisingumo vykdymą. MVĮ aktualiausi veiksniai paprastai yra įdarbinimas (CV atranka, veiklos vertinimas, automatinis grafikų sudarymas), prieiga prie paslaugų (kredito sprendimai, draudimo kainodara) ir švietimas (mokymo vertinimai, sertifikavimai).
Kiekvieną sąrašo sistemą pažymėkite viena iš: didelės rizikos (atitinka III priedą), ribotos rizikos (skaidrumo pareigos pagal 50 straipsnį), minimalios rizikos (jokių specifinių pareigų, išskyrus 4 straipsnio raštingumą) arba bendrosios paskirties DI diegėjas (bendrosios paskirties DI modelį naudojant kaip pokalbių roboto ar pagalbinės priemonės pagrindą) [1]. Daugumos MVĮ rinkiniai pasiskirsto po dvi ar tris pakopas. Klasifikavimas — diegėjo sprendimas; jo negalima perduoti tiekėjui ir jam neturi įtakos įmonės dydis.
3 žingsnis — Užpildykite dešimt pagrindinių stulpelių (25 minutės)
Stulpeliai, kurie diegėjo registre pelno savo vietą:
- Sistemos pavadinimas — kaip darbuotojai ją vadina kasdien.
- Tiekėjas — juridinis asmuo, stovintis už produkto.
- Modelis ar versija — kur žinoma (pvz., GPT-4o, Claude 3.5, Gemini 1.5, savos kūrybos).
- Naudojimo atvejis — vienas sakinys, apibūdinantis, ką sistema nusprendžia ar sukuria.
- Rizikos pakopa — didelė / ribota / minimali / bendrosios paskirties DI diegėjas.
- Tvarkomi asmens duomenys — taip / ne, plius kategorijos pagal UK GDPR.
- Teisėtas tvarkymo pagrindas — UK GDPR 6 straipsnio pagrindas (teisėtas interesas, sutartis, sutikimas ir t. t.).
- Atsakingas asmuo — įvardytas asmuo, o ne komanda ar vaidmuo.
- 26 straipsnio 6 dalies registravimas — taip / ne / netaikoma didelės rizikos diegimams.
- Įdiegimo data — bent mėnuo ir metai.
Skaičiuoklė su šiais dešimčia stulpelių atsako į pirmą klausimą, kurį užduos kiekvienas reguliuotojas, klientas ar valdybos narys. Visa, kas daugiau, yra tobulinimo, o ne v1 versijos darbas. Atsispirkite norui pridėti stulpelių, kol neužpildysite visų dešimties kiekvienoje eilutėje.
4 žingsnis — Kiekvienai sistemai paskirkite atsakingą asmenį (15 minučių)
26 straipsnio 5 dalis reikalauja, kad didelės rizikos sistemų diegėjai užtikrintų žmogaus atliekamą priežiūrą, kurią vykdo kompetentingas, atsakingas asmuo, turintis įgaliojimus sistemą sustabdyti ar perimti jos valdymą [1]. Perkelkite tai į savo registrą, įvardydami konkretų asmenį prie kiekvienos III priedo eilutės — ne vaidmenį, pavyzdžiui, „IT vadovas" ar „operacijų vadovas". Atsakingam asmeniui reikia trijų savybių: jis geba perskaityti sistemos rezultatus, turi įgaliojimus ją išjungti ir yra pasiekiamas pagal vardą Jūsų registre.
Sistemoms, nepatenkančioms į III priedą, atsakingąjį įvardykite vis tiek. Formali pareiga lengvesnė, bet drausmė ta pati. Operacijų vadovai ir vyresnieji vadovai daugumoje MVĮ yra natūralūs atsakingieji; techninio ar duomenų direktoriaus nereikia.
5 žingsnis — Patikrinkite žmogaus atliekamą priežiūrą vienai didelės rizikos sistemai (15 minučių)
Didžiausios rizikos III priedo eilutei pereikite per tris klausimus: ar žmogus peržiūri DI rezultatą prieš jam paveikiant žmogų (žmogaus sprendimų grandinėje patikra); ar tas žmogus praktiškai gali perimti DI sprendimą (įgaliojimų patikra); ar žmogui suteiktas vaidmenį atitinkantis mokymas pagal 4 straipsnį (raštingumo patikra) [1]? Atsakymai keliauja į laisvo teksto „žmogaus atliekamos priežiūros pastabų" stulpelį šalia dešimties pagrindinių stulpelių.
Žmogaus atliekamos priežiūros protokolo per penkiolika minučių nebaigsite. Tikslas — atskleisti, kur yra spraga, o ne ją užverti. Eilutė „CV atrankai nėra žmogaus peržiūros; spragą užverti per 30 dienų" — tai būtent teisingas rezultatas. Registro užduotis — padaryti spragą matomą; jos užvėrimas yra atskira darbų gija ir atskiras biudžetas.

Kurie penki spąstai pražudo v1 DI registrą?
- Registro laikymas vienkartiniu dokumentu. 26 straipsnio pareigos yra tęstinės; registras — gyvas artefaktas, peržiūrimas bent kas ketvirtį ir atnaujinamas, kai įdiegiama nauja DI sistema arba tiekėjas išleidžia didelį modelio pakeitimą.
- Šešėlinės DI praleidimas. Nemokamos asmeninės paskyros ir asmeniniai Copilot seansai yra dažniausiai pasitaikanti, mažiausiai matoma kategorija. Jei registras jų neatskleidžia, jis meluoja.
- „Atitikties įrankio" pirkimas prieš surašymą. Tiekėjo atitikties SaaS Jūsų naudojimo atvejų neklasifikuos — tai gali padaryti tik Jūsų komanda. Pirma skaičiuoklė, įrankis vėliau (arba niekada; MVĮ, turinčioms mažiau nei 200 darbuotojų, prižiūrimos skaičiuoklės pakanka).
- Vaidmens, o ne asmens paskyrimas. „IT komandos" iškviesti negalima. Įvardyto asmens su telefono numeriu — galima. 26 straipsnio 5 dalis numato pastarąjį [1].
- Visiškas 4 straipsnio raštingumo praleidimas. 4 straipsnis nuo 2025 m. vasario 2 d. taikomas kiekvienam DI naudojančiam darbuotojui, proporcingai jo vaidmeniui [1]. Tai ne pakopa — kiekviena sistema sukelia 4 straipsnio pareigą. Pažymėkite ją registre net tada, kai pati programa yra tolesnis darbas.
Ką daryti po devyniasdešimties minučių
Registras — tai atradimo sluoksnis. Nuo jo paprastai pakyla trys tolesnės darbų gijos:
- Poveikio pagrindinėms teisėms vertinimo (FRIA) apimtis kiekvienai III priedo eilutei, pagal ES DI akto 27 straipsnį [1] — atskiras, gilesnis dokumentas, kurį registro rizikos pakopos stulpelis inicijuoja, o ne pakeičia.
- 4 straipsnio raštingumo programa — proporcinga vaidmeniui, apibrėžiama pagal registro atsakingo asmens stulpelį, o ne pagal darbuotojų skaičių.
- Tiekėjų išsamaus patikrinimo rinkinys — duomenų tvarkymo sutartys, modelių kortelės, bendrosios paskirties DI kilmė, apibrėžiamas pagal registro tiekėjo stulpelį ir atnaujinamas atnaujinant pirkimus.
Tai darbų gijos, kurias iš anksto suplanuotas požiūris pagal mūsų projektų patirtį apima maždaug per dvylika savaičių už 18 000–32 000 £, ir tos pačios gijos, kurias retrospektyvus požiūris apima per šešias suspaustas savaites už 85 000–145 000 £ — daugiklis, suderinamas su MIT Sloan duomenimis apie ES įmones, kurios po GDPR vykdymo spaudimo saugomų duomenų sumažino 26 %, o skaičiavimų — 15 % [4]. Registras yra pigiausias įmanomas pirmasis ėjimas prieš šią aritmetiką.
Santrauka
AI Register in 90 Minutes — a deployer-side inventory │ ├─ The five-step build │ ├─ List (15m) — paid, embedded, and shadow AI in scope │ ├─ Risk-tier (20m) — match each system to Annex III │ ├─ Ten columns (25m) — the audit-ready floor, no more │ ├─ Name owners (15m) — a person per system, not a team │ └─ Spot-check (15m) — surface the oversight gap, don't close it │ ├─ Why timebox v1 │ ├─ A living map — Article 26 duties are continuous │ └─ v1 you update beats v3 you never start │ └─ What it doesn't buy └─ Downstream — FRIA, Article 4 literacy, vendor due diligence
Susiję įžvalgos
- AI Governance From Day One: SMB Cost of Retrofitting Compliance — pagrindinis straipsnis, kurį šis vadovas papildo. Skaitykite jį dėl sąnaudų aritmetikos, Northbridge atvejo ir septynių pirmosios dienos valdysenos artefaktų.
- Your SMB Doesn't Need More AI Tools. It Needs an AI Strategy.EN — ankstesnis tekstas apie tai, kodėl patvirtintas DI sąrašas svarbesnis už bet kurią atskirą prenumeratą, ir audito bei konsolidavimo seka, kuri jį sukuria.
Atnaujinta: 2026 m. gegužė. 1.0 versija.
Frequently Asked Questions
Ar DI registras pakeičia GDPR duomenų tvarkymo veiklos įrašus?
Mūsų darbuotojai naudoja nemokamą ChatGPT ir asmeninį Copilot. Ar tai įtraukiama į registrą?
Mūsų MVĮ įsikūrusi ne ES. Ar ES DI aktas taikomas mūsų registrui?
Kas MVĮ, neturinčioje techninio direktoriaus, turėtų atsakyti už DI registrą?
Kaip dažnai turėtume atnaujinti registrą?
Ar pakanka skaičiuoklės, ar mums reikia atskiro GRC įrankio?
Sources
- 1.Regulation (EU) 2024/1689 — Artificial Intelligence Act — European Parliament and of the Council · 2024
- 2.Guidance on AI and Data Protection — Information Commissioner's Office (ICO) · 2023
- 3.AI and Data Protection Risk Toolkit / AI Auditing Framework — Information Commissioner's Office (ICO) · 2023
- 4.GDPR's Effects on Firm Data and Computation Use (Bessen, Janßen, Peukert, Seamans) — MIT Sloan · 2022
Want this run on your business?
AI Foundation Audit — a structured assessment of your AI footprint: integration risks, governance gaps, ROI opportunities. Delivered as a comprehensive report you can act on.
You receive your Executive Report and Implementation Brief — tailored to your business and delivered immediately.