Riadenie AI od prvého dňa: čo stojí malú spoločnosť dorábanie súladu
Regulácia AI sa zbieha — akt EÚ o umelej inteligencii (august 2026), zákony štátov USA, Ázia. Spoločnosti, ktoré riadenie nastavia od prvého dňa, sa vyhnú pasci nákladov na dorábanie, akú priniesol GDPR.

V júni 2020 zaplatil 180-členný britský distribútor, ktorého budeme volať Northbridge Trading, 142 000 £ za dorobenie GDPR: register záznamov o spracúvaní, tri posúdenia vplyvu (DPIA), príručku pre porušenia, šesť zmlúv s dodávateľmi a prestavbu CRM podľa zásady špecificky navrhnutej ochrany údajov, ktorú tí istí konzultanti vyčíslili na 28 000 £, keby ju boli navrhli o dva roky skôr. Prevádzkový riaditeľ, ktorý tie faktúry podpísal, dnes hľadí na ten istý zlom — tentokrát s AI.
Faktúra za dorábanie, s ktorou nikto nepočítal
Northbridge Trading je zliatina, poskladaná zo štyroch reálnych zákaziek z rokov 2019 až 2021. Mená sme zmenili; čísla sú skutočné. Záleží na vzore, pretože sa práve chystá zopakovať.
V máji 2018 Northbridge spustil GDPR so šablónou politiky za 200 £ a s pocitom, že práca je hotová. V máji 2020 prišla prvá žiadosť dotknutej osoby o prístup; nasledovalo tesne odvrátené porušenie pri integrácii miezd; o dva týždne neskôr prišla sťažnosť na ICO. Do 3. štvrťroka 2020 si spoločnosť najala externého advokáta a inžiniera pre ochranu súkromia, aby postavili register spracovateľských činností, tri posúdenia vplyvu na ochranu údajov, príručku reakcie na incidenty, šesť zmlúv o spracúvaní osobných údajov s dodávateľmi a prestavbu CRM s kontrolami špecificky navrhnutej ochrany údajov dorobenými do už bežiacich tokov dát. Účet vyšiel zhruba na päťnásobok východiska pri nastavení od začiatku, na ktoré tá istá poradenská spoločnosť vyčíslila architektúru z roku 2017 — a zaplatil sa pod tlakom regulátora.
O šesť rokov neskôr ten istý prevádzkový riaditeľ prevádzkuje tri nástroje AI nasadené počas roka 2025: asistenta na selekciu životopisov, sumarizátor obchodných hovorov a chatbota zákazníckej podpory. Žiadny register AI, žiadne zatriedenie prípadov použitia podľa rizika, žiadna dokumentácia podľa článku 26, žiadny vzdelávací program gramotnosti podľa článku 4. Akt EÚ o umelej inteligencii nadobudol účinnosť 1. augusta 2024 [1]; harmonogram Komisie kladie plnú uplatniteľnosť vrátane väčšiny povinností pri vysokorizikových systémoch na 2. augusta 2026 [2]. Nástroj na selekciu životopisov je vysokorizikový podľa prílohy III. Usmernenie ICO k AI je pre britské malé a stredné spoločnosti záväzné podľa UK GDPR už od roku 2023 [7]. „Odmietam,“ hovorí nám, „vypisovať ten šek druhýkrát.“
Zbiehanie: prečo „počkajme a uvidíme“ prestalo byť rozumné v roku 2024
„Globálne zbiehanie“, ktoré poháňa argument pre nastavenie od začiatku, nie je marketingové heslo. V roku 2024 sa regulačný objem stal merateľným a spoločná technická chrbtica viditeľnou.
Čísla, ktoré by ste pred regulátorom nemali prehliadnuť
AI Index 2025 od Stanford HAI zaznamenáva 59 federálnych regulácií AI vydaných v USA v roku 2024, viac než dvojnásobok roka 2023, naprieč dvojnásobným počtom úradov [3]. Štáty USA prijali za jediný rok 131 zákonov o AI, oproti 49 kumulatívne do roku 2023 [3]. Legislatívne zmienky o AI vzrástli o 21,3 % naprieč 75 krajinami v roku 2024 [3]. Pre prevádzkového riaditeľa, ktorý sa rozhoduje, či konať teraz alebo počkať, tento objem nie je šum v pozadí. Je to signál.
Nariadenie (EÚ) 2024/1689 nadobudlo účinnosť 1. augusta 2024 [1]. Fázovaný harmonogram Komisie je najjasnejšia zverejnená cestovná mapa, akú máme: zakázané praktiky účinné od 2. februára 2025; povinnosti pri modeloch AI na všeobecné účely účinné od 2. augusta 2025; plná uplatniteľnosť na vysokorizikové systémy od 2. augusta 2026; pravidlá pre vysokorizikové systémy zabudované do výrobkov posunuté na 2. augusta 2027 [2]. Toto nie je jeden zlom. Je to schodisko. Spoločnosti, ktoré počkajú až na najvyšší schod, už dva zmeškali.
Spoločná kotva: OECD, NIST, ISO/IEC 42001
Pod objemom sedí spoločná chrbtica, vďaka ktorej je riadenie nastavené zavčasu odolné naprieč jurisdikciami. Zásady AI od OECD, revidované v máji 2024, prijalo 47 a viac krajín [4]. Tvoria výslovný základ pre zosúladenie EÚ, Spojeného kráľovstva, USA a G7. Rámec riadenia rizík umelej inteligencie NIST 1.0 usporadúva povinnosti okolo štyroch funkcií: riadiť, mapovať, merať a zvládať [5]. Program noriem aktu EÚ o umelej inteligencii odkazuje na toto jadro; britská príručka AI (február 2025) kodifikuje 10 zásad pre vládnu AI a signalizuje rovnocenné normy pre svoj dodávateľský reťazec [6].
ISO/IEC 42001 sa stala certifikáciou na úrovni obstarávania, ktorú si kupujúci zo stredného trhu dnes pýtajú. Riadenie navrhnuté na priesečníku zásad OECD, funkcií NIST a požiadaviek ICO prežije sprísnenie ktoréhokoľvek jednotlivého režimu. Spoločná chrbtica pohltí odchýlky.

Prečo sa „súlad rieši dodávateľ“ rozpadne pod článkom 26?
Najťažšia veta, akú napísať na marketingovej stránke ktoréhokoľvek dodávateľa, znie: „Úlohu nasadzujúceho subjektu na vás preniesť nevieme.“ Podľa aktu EÚ o umelej inteligencii je hranica medzi poskytovateľom a nasadzujúcim subjektom výslovná a neposúva sa tým, že ste si kúpili podnikovú úroveň.
Model zdieľanej zodpovednosti zrozumiteľne
Článok 16 určuje, čo musí spraviť poskytovateľ: posúdenie zhody, technickú dokumentáciu, monitorovanie po uvedení na trh [1]. Článok 26 určuje, čo musí spraviť nasadzujúci subjekt: používať systém podľa pokynov, zabezpečiť ľudský dohľad, udržiavať vstupné údaje relevantné, logovať vysokorizikové použitia aspoň šesť mesiacov a informovať dotknutých zamestnancov a zákazníkov [1]. Článok 4 navrstvuje povinnosť gramotnosti v oblasti AI na každého zamestnanca, ktorý AI používa, primerane jeho role, bez ohľadu na to, ktorý model beží na pozadí [1]. Článok 50 vyžaduje, aby používatelia vedeli, kedy komunikujú s AI, naprieč všetkými rizikovými úrovňami [1].
Tie štyri články popisujú povinnosti, ktoré ležia na spoločnosti. Zmluva o spracúvaní, ktorú dodávateľ podpíše, ich neprerozdelí.
Čo ChatGPT Enterprise a Copilot neprenesú
V okamihu, keď britská spoločnosť vloží životopis do ChatGPT, aby ním vyselektovala uchádzačov, stáva sa vysokorizikovým nasadzujúcim subjektom podľa prílohy III [1]. Toto zatriedenie prípadu použitia je vec nasadzujúceho subjektu. Stránka OpenAI Enterprise Privacy pokrýva záruky na strane modelu: žiadny tréning na firemných dátach, šifrovanie, auditné logy. Nezatriedi váš prípad použitia, nenapíše váš protokol ľudského dohľadu, nezaškolí vašich ľudí ani neudrží vaše logy nasadzujúceho subjektu podľa článku 26 ods. 6. Spoločnosť so 40 zamestnancami, ktorá prevádzkuje AI na selekciu životopisov, nesie tie isté povinnosti podľa článku 26 ako zamestnávateľ z indexu FTSE 100. Veľkosť spoločnosti v klasifikačnom pravidle nefiguruje.
Podľa UK GDPR sa vzťah prevádzkovateľa údajov riadi rovnakou logikou. Osobné údaje v prompte robia zo spoločnosti prevádzkovateľa. Práva dotknutých osôb sa na dodávateľa delegovať nedajú.
ICO má jasno už od roku 2023
Usmernenie ICO k AI pokrýva, ako sa zásady UK GDPR uplatňujú na AI spracúvajúcu osobné údaje, vrátane požiadaviek na DPIA, zmierňovania zaujatosti a automatizovaného rozhodovania [7]. Usmernenie je v revízii po prijatí zákona Data (Use and Access) Act 2025, ktorý nadobudol účinnosť 19. júna 2025 [7]. Audítorský súbor nástrojov ICO pre AI poskytuje konkrétne kontrolné zoznamy naprieč riadením, zodpovednosťou, transparentnosťou a právami jednotlivcov [8]. Tie kontrolné zoznamy popisujú, čo nasadzujúci subjekt potrebuje predtým, než príde ICO na návštevu, nie potom. Tri nástroje spoločnosti Northbridge nemajú nič z toho. Zmluva o spracúvaní od dodávateľa kryje dodávateľa. Medzera patrí nasadzujúcemu subjektu.
Empirické dôkazy o nákladoch na dorábanie GDPR: čo vieme
Empirický argument pre nastavenie riadenia zavčasu nestojí na intuícii. Stojí na tom, čo sa stalo spoločnostiam v EÚ, ktoré v roku 2018 brali GDPR ako čosi druhoradé.
MIT Sloan / Bessen a kol. — jediná veľkovzorková štúdia o dorábaní, akú máme
Štúdia MIT Sloan / Bessen, Janßen, Peukert a Seamans porovnala spoločnosti v EÚ a mimo EÚ po tom, ako sa v máji 2018 začalo presadzovanie. Zistenia sú priame: spoločnosti v EÚ znížili objem uložených dát o 26 % a využívanie výpočtov o 15 % oproti kontrolným spoločnostiam mimo EÚ [9]. Pokles sa sústredil v skupine, ktorá ochranu súkromia od začiatku nenavrhla — v skupine, ktorá dorábala. Nešlo o pokuty ani o právne poplatky. Boli to prevádzkové výpadky: zrušené produkty, vymazané marketingové dátové sady, integrácie prestavané od nuly. Spoločnosti, ktoré ochranu súkromia navrhli už od roku 2016, vstrebali tú istú reguláciu bez týchto rezov.
Northbridge Trading šiel cestou dorábania. Spustil súlad s GDPR v roku 2018 so šablónou politiky za 200 £ a skutočné náklady objavil o dva roky neskôr. Dáta MIT Sloan popisujú presne to, za čo zaplatil: architektonickú prerábku, ktorá prichádza, keď povinnosti súladu vťahujete do systému, ktorý nebol navrhnutý ich uniesť.
Násobok 2,4× za dorábanie
Odvetvové porovnania nákladov na dorábanie dospievajú k rovnakému záveru z nákladovej strany: spoločnosti, ktoré sa pridali neskoro, zaplatili zhruba 2,4-násobok toho, čo zaplatili konkurenti s nastavením od začiatku — naprieč ROPA, DPIA, registrami právneho základu, procesmi pre porušenia, prerokovaním zmlúv o spracúvaní a prerábkou CRM.
Každá z týchto kategórií GDPR sa priamo premieta do náprotivku v akte o AI. Register AI nahrádza ROPA. Posúdenie vplyvu na základné práva podľa článku 27 nahrádza DPIA z GDPR. Logovanie nasadzujúceho subjektu podľa článku 26 ods. 6 nahrádza záznam o porušeniach. Kategórie sú tie isté; previazanie je hlbšie. Modely AI, prompty a pracovné postupy sú architektonicky prepletené spôsobmi, akými toky dát neboli. Vytrhnúť logovacie body alebo kontroly dohľadu z nasadeného AI reťazca je inžinierske prepísanie, nie dokument politiky. Práve preto Northbridgov násobok zhruba 5× pohodlne sedí v rozsahu, ktorý odvetvové dáta pod tlakom presadzovania predpovedajú.
Aritmetika nákladov pre malú spoločnosť: nastavenie od začiatku verzus dorábanie, položka po položke
Násobok za dorábanie a prevádzkové dáta MIT Sloan sú užitočné kotvy, no prevádzková riaditeľka potrebuje čísla, ktoré dá do materiálu pre predstavenstvo. Tu je aritmetika pre spoločnosť so 180 zamestnancami, ktorá prevádzkuje tri nástroje AI.
Východisko pri nastavení od začiatku pre spoločnosť so 180 zamestnancami a 3 nástrojmi AI
Nastaviť riadenie AI od začiatku, rozložené do dvanástich týždňov, stojí podľa našej skúsenosti zo zákaziek:
- Register AI a zatriedenie prípadov použitia podľa rizika: 4 – 6 dní internej práce plus revízia konzultanta za 2 000 – 4 000 £
- Vzdelávací program gramotnosti podľa článku 4 (90-minútový základ pre všetkých zamestnancov; celodenný pre vlastníkov AI): 3 000 – 5 000 £
- Protokol ľudského dohľadu a logovanie podľa článku 26 ods. 6 zabudované do architektúry: 4 000 – 6 000 £ na inžiniering plus 2-dňová právna revízia
- Balík previerky dodávateľov pokrývajúci zmluvy o spracúvaní, karty modelov a stopu zverejnení pre AI na všeobecné účely: 2 000 – 3 000 £
Orientačne všetko zahrnuté pri nastavení od začiatku: 18 000 – 32 000 £ počas dvanástich týždňov.
Rozpočet na dorábanie pod tlakom presadzovania (3. štvrťrok 2026)
Dorobiť tú istú sadu pod tlakom 3. štvrťroka 2026 vyjde podstatne vyššie:
- Externý advokát vymedzujúci expozíciu podľa prílohy III po incidente: 15 000 – 25 000 £
- FRIA (článok 27) a obnova DPIA na troch už nasadených nástrojoch: 20 000 – 35 000 £
- Dorobenie logovania a prestavba pracovného postupu ľudského dohľadu: 40 000 – 70 000 £
- Konzultácie so zamestnancami, informačné oznámenia a zverejnenia voči zákazníkom: 8 000 – 12 000 £
Orientačne všetko zahrnuté pri dorábaní: 85 000 – 145 000 £ za šesť až dvanásť týždňov stlačenej nápravy. Pomer vychádza zhruba od 2,7× do 5,1×, čím reprodukuje spodnú hranicu odvetvového porovnania a dosahuje hornú hranicu spoločnosti Northbridge.
Prečo je násobok horší než pri GDPR
Násobok za dorábanie AI tlačia nad hodnotu GDPR tri štrukturálne dôvody. Po prvé, AI pracovné postupy sú prepletené: prompty, verzie modelov a nadväzné automatizované akcie sú prepojené už návrhom, takže plocha na refaktorovanie je väčšia než pri prepájaní tokov dát. Po druhé, prestavby v obstarávaní bežia súbežne s lehotou regulátora. Spoločnosť, ktorá počas nápravy prehráva tendre, platí oba náklady naraz. Po tretie, strop sankcií je vyšší. Článok 99 stanovuje pokuty až do výšky 7 % celkového celosvetového ročného obratu alebo 35 miliónov € za zakázané praktiky [1]. Smernica o zodpovednosti za AI pridáva expozíciu voči občianskoprávnym nárokom, akú GDPR negenerovalo.
Pre britskú spoločnosť s ročným obratom 25 miliónov £ dosahuje konzervatívny základný výpočet (pred zľavami pre malé a stredné podniky) 750 000 € [1]. Náklady na nastavenie od začiatku nie sú réžia na súlad. Sú poistkou proti pokute, ktorá je ich násobkom.

Ktorých sedem výstupov tvorí riadenie AI od prvého dňa?
Riadenie AI od prvého dňa pre spoločnosť s 50 až 500 zamestnancami nie je abstraktné. Je to sedem výstupov, ktoré postavíte za dva týždne.
1 – 3: inventár a zatriedenie
Výstup 1 — register AI. Jednostranová schéma: názov systému, dodávateľ, model, prípad použitia, triedy údajov, riziková úroveň, vlastník, protokol dohľadu a dátum revízie. Nepotrebuje konzultanta, aby vznikol; potrebuje disciplínu, aby sa udržiaval.
Výstup 2 — rozhodovací strom na zatriedenie prípadov použitia podľa rizika. Naviazaný na kategórie prílohy III: selekcia v zamestnaní, úverové hodnotenie, prístup k vzdelaniu, biometrická identifikácia a kritická infraštruktúra [1]. Ak sa nástroj dotkne ktoréhokoľvek z týchto pracovných postupov, spúšťa povinnosti pre vysokorizikové systémy.
Výstup 3 — balík previerky dodávateľov. Zmluva o spracúvaní osobných údajov, karta modelu, zverejnenie pre AI na všeobecné účely, súhrn posúdenia zhody a zoznam sub-dodávateľov. Záleží tu na tom, či je základný poskytovateľ signatárom kódexu postupov pre AI na všeobecné účely [13].
4 – 5: prevádzkovať a chrániť
Výstup 4 — protokol ľudského dohľadu. Článok 26 ods. 5 vyžaduje menovaného človeka, ktorý môže preskúmať a prevážiť ktorékoľvek automatizované rozhodnutie [1]. Protokol určuje, kto je tá osoba, postup prevažovania, kritériá eskalácie a kadenciu revízie.
Výstup 5 — vzdelávací program gramotnosti v oblasti AI podľa článku 4. 90-minútový základ pre všetkých zamestnancov, polodenný pre pokročilých používateľov a celodenný pre vlastníkov AI, obnovovaný raz ročne [1]. Článok 4 sa vzťahuje na všetky nasadzujúce subjekty bez ohľadu na dodávateľa a proporcionalita sa škáluje s rolou, nie s počtom zamestnancov.
6 – 7: dokumentovať a reagovať
Výstup 6 — proces logovania a hlásenia incidentov. Logy nasadzujúceho subjektu podľa článku 26 ods. 6, monitorovanie driftu modelu a kontroly bezpečnostného životného cyklu z Usmernení NCSC pre bezpečný vývoj systémov AI, spoločného usmernenia s CISA a 21 medzinárodnými kybernetickými agentúrami [10]. Zabudujte log do architektúry; dokumenty politiky bez inžinierskych háčikov pri audite zlyhajú.
Výstup 7 — balík transparentnosti a informovania zamestnancov. Oznámenia pre používateľov podľa článku 50 pri AI smerujúcej k zákazníkom, informovanie zamestnancov podľa článku 26 ods. 7 pri akejkoľvek AI, ktorá monitoruje zamestnancov, a jasná cesta na podanie sťažnosti [1].
Ukotvené v rámcoch posvätených regulátormi
Každý výstup sa premieta do kontrolných zoznamov riadenia a zodpovednosti z audítorského rámca ICO pre AI [8] a do jadra NIST AI RMF: riadiť, mapovať, merať a zvládať [5]. ISO/IEC 42001 sa premieta na tú istú sadu siedmich výstupov. Postavte ich raz a vyhovejú viacerým režimom naraz.
Obstarávanie je mechanizmus presadzovania, ktorý vám vaši zákazníci predsunuli
Každý výsledok vo vyhľadávači rámcuje presadzovanie aktu o AI cez optiku pokút od regulátora. Ani jeden nespomína, čo britské malé a stredné spoločnosti predávajúce na stredný trh a do veľkých podnikov už v roku 2026 zisťujú: dotazník kupujúceho tam bol skôr.
Čo si dnes pýtajú kupujúci zo stredného trhu a z veľkých podnikov
Dotazníky pre dodávateľov v neskorých fázach britských tendrov dnes odkazujú na rodiny kontrol ISO/IEC 42001 a na štvorfunkčné jadro NIST AI RMF [5]. Žiadajú dôkaz o registri AI a o zatriedení prípadov použitia podľa rizika, zdokumentovaný protokol ľudského dohľadu voči článku 26 ods. 5 [1] a zverejnenie sub-dodávateľov s pôvodom modelu AI na všeobecné účely: ktorý základový model, ktorý poskytovateľ, ktorý signatár kódexu postupov [13]. Tímy obstarávania nečakajú na usmernenie k presadzovaniu. Chránia vlastné dodávateľské reťazce pred zodpovednosťou, ktorá tečie proti prúdu, keď nástroj AI dodávateľa spustí incident.
Sedem výstupov z predchádzajúcej časti je presne to, čo si dodávateľský dotazník v sekcii 9 pýta.
Northbridge prehráva tender v 2. štvrťroku 2026
Northbridge Trading sa uchádzal o trojročnú zákazku za 420 000 £ s regulovaným zákazníkom zo stredného trhu v 2. štvrťroku 2026. Sekcia 9 znela: „Veďte register AI, proces FRIA a protokol ľudského dohľadu — predložte dôkaz.“ Northbridge nevedel odpovedať. Zákazka pripadla konkurentovi s jednostranovým registrom a so súborom politík vystavaným podľa NIST. Prestavba poháňaná obstarávaním teraz sedí na vrchu lehoty regulátora. Tikajú obe hodiny.
Dedičstvo verejného sektora
Britské spoločnosti predávajúce do štátnej správy čelia tej istej norme cez iný kanál. Vládna príručka AI zverejnená vo februári 2025 stanovuje 10 zásad pokrývajúcich etické používanie, zodpovednosť, transparentnosť a riadenie životného cyklu a dodávatelia ich dedia ako zmluvné podmienky [6]. Akčný plán DSIT pre príležitosti AI, prijatý v plnom rozsahu v januári 2025, posilňuje zodpovedné nasadzovanie AI ako očakávanie voči dodávateľskému reťazcu [11]. Úvodná správa CMA o základových modeloch AI pridáva optiku ochrany spotrebiteľa a hospodárskej súťaže, ktorá sa kladie nad každé nasadenie základového modelu [12].
To, že zostanete pod radarom regulátora, vás pred dotazníkom kupujúceho nezachráni. Northbridge na to prišiel draho.
Čo digitálny súborný predpis odkladá — a čo NEODKLADÁ
Titulok digitálneho súborného predpisu z novembra 2025 („EÚ odkladá akt o AI“) neobstojí pri pozornom čítaní samotného návrhu. Zmätok je pochopiteľný. Titulok nie je presný.
Čo je už účinné a nedotknuté
Štyri povinnosti sú už účinné a žiadny výsledok súborného predpisu sa ich nedotkne. Zákaz zakázaných praktík je účinný od 2. februára 2025 [2]. Povinnosť gramotnosti v oblasti AI podľa článku 4 je účinná od 2. februára 2025 [1]. Povinnosti poskytovateľov modelov AI na všeobecné účely a režim kódexu postupov nadobudli účinnosť 2. augusta 2025 [2]. A UK GDPR je už záväzné pre každú britskú organizáciu, ktorá spracúva osobné údaje, malé a stredné spoločnosti nevynímajúc; usmernenie ICO k AI a ochrane údajov je výkladom regulátora, ako sa tento zákon uplatňuje na systémy AI — nie zákonný kódex, ale praktické východisko súladu, voči ktorému bude ICO posudzovať [7].
Čo digitálny súborný predpis v skutočnosti navrhuje
Súborný predpis navrhuje úzky odklad režimu posudzovania zhody pri vysokorizikových systémoch podľa prílohy III, požiadaviek na technickú dokumentáciu a na registráciu v databáze EÚ pre poskytovateľov konkrétnych kategórií vysokorizikových systémov AI. Nenavrhuje odložiť povinnosti nasadzujúcich subjektov podľa článku 26, požiadavky transparentnosti podľa článku 50, povinnosti gramotnosti podľa článku 4 ani disciplínu dokumentácie FRIA. Tieto povinnosti zostávajú na zverejnenom harmonograme.
Trialóg uviazol 28. apríla 2026. Preloženie termínu bolo v čase písania ešte v riešení. Zverejnená lehota Komisie preto zostáva právne záväzným východiskom [2]. Spoločnosti, ktoré si prečítali „odložené na rok 2027“ a na základe toho odložili návrh riadenia, sú už pozadu za povinnosťami na strane nasadzujúceho subjektu, ktoré sa nikdy neposunuli.
Stabilné jadro, ktorého sa žiadny výsledok súborného predpisu nedotkne
Riadenie navrhnuté voči stabilnému jadru (zatriedenie podľa rizika podľa prípadu použitia, ľudský dohľad, logovanie nasadzujúceho subjektu, dokumentácia FRIA a DPIA, školenie gramotnosti v oblasti AI, zverejňovanie pre transparentnosť) prežije ktorúkoľvek verziu súborného predpisu, ktorá nakoniec príde. Čo sa naprieč verziami súborného predpisu mení, je to, v ktorej prílohe prípad použitia sedí — nie to, či spoločnosť potrebuje register, protokol dohľadu a proces pre incidenty. „Máme čas do roku 2027“ nie je výklad, ktorý text podopiera.
Ako môže spoločnosť postaviť riadenie AI za 90 dní?
Dvanásť týždňov stačí na to, aby ste dodali riadenie navrhnuté od začiatku, ak je práca usporiadaná do postupnosti. Tu je plán týždeň po týždni pre spoločnosť s 50 až 500 zamestnancami, ktorá začína od nuly.
Týždne 1 – 3 — zinventarizovať a zatriediť
Objavte každý nástroj AI v používaní vrátane tieňovej AI: Copilot zabudovaný v Microsoft 365, AI v rozšíreniach prehliadača, okrajové SaaS moduly s funkciami AI, ktoré váš tím obstarávania nikdy výslovne nezhodnotil. Postavte register AI a každému systému priraďte vlastníka. Spustite rozhodovací strom zatriedenia podľa rizika voči prílohe III a označte akúkoľvek expozíciu pri selekcii v HR, úverovom hodnotení, vzdelávaní, biometrickej identifikácii či kritickej infraštruktúre [1]. Pri každom systéme spracúvajúcom osobné údaje spravte rýchlu revíziu právneho základu podľa UK GDPR [7].
Týždne 4 – 7 — prevádzkovať a dokumentovať
Pripravte protokol ľudského dohľadu pre každý vysokorizikový a obmedzene rizikový systém: menovaný človek, postup prevažovania, kritériá eskalácie, kadencia revízie (výstup 4). Zaveďte logovanie podľa článku 26 ods. 6 všade, kde to platforma podporuje; inak postavte log na strane nasadzujúceho subjektu. Nenechávajte to na dokumenty politiky [8]. Spustite vzdelávací program gramotnosti podľa článku 4: najprv 90-minútový základ pre všetkých zamestnancov, potom hĺbkové sedenia pre pokročilých používateľov a vlastníkov AI [1]. Obnovte DPIA a FRIA voči súboru nástrojov ICO pre každý vysokorizikový systém [8].
Týždne 8 – 12 — pripravené na obstarávanie a revízia
Postavte balík previerky dodávateľov: zmluvy o spracúvaní, karty modelov, pôvod modelu AI na všeobecné účely, zoznamy sub-dodávateľov a status signatára kódexu postupov pre každého poskytovateľa základového modelu [13]. Zverejnite informačné oznámenia podľa článku 50 pri AI smerujúcej k zákazníkom; informujte dotknutých zamestnancov podľa článku 26 ods. 7 [1]. Zmapujte sedem výstupov voči formátu dotazníka obstarávania, aký posielajú kupujúci zo stredného trhu: rodiny kontrol ISO/IEC 42001 a funkcie NIST AI RMF [5]. Naplánujte prvú štvrťročnú revíziu riadenia a vymenujte zodpovedného vlastníka z vrcholového manažmentu podľa požiadavky súboru nástrojov ICO [8].
Dva antivzory, ktorým sa treba vyhnúť
Prvý: kúpiť predplatné nástroja za 40 000 £ predtým, než je register naplnený. Nástroj bez vymedzeného rozsahu riadenia je divadlo. Nástroj odhalí riziká, ktoré spoločnosť ešte nedefinovala.
Druhý: brať gramotnosť podľa článku 4 ako jednorazový webinár. Povinnosť je priebežná a primeraná role [1]. 90-minútové úvodné sedenie naplní základ; nenaplní ročnú obnovu ani hĺbkové sedenia pre vlastníkov AI. Architektonické prepísanie, za ktoré platili tí, čo dorábali GDPR, prišlo preto, že dokumenty politiky sa napísali a inžiniering sa preskočil. Ten istý vzor aplikovaný na AI prináša ten istý výsledok.
Naučená lekcia
Lekcia, ktorú Northbridge už zaplatil
V júni 2020 prevádzkový riaditeľ spoločnosti Northbridge podpísal faktúry za 142 000 £ na dorobenie GDPR oproti východisku 28 000 £ pri nastavení od začiatku. Nebolo to zlyhanie obstarávania. Bolo to to, čo sa stane, keď kompetentný prevádzkovateľ berie súlad ako niečo, čo sa navrství až keď produkt funguje. Dáta MIT Sloan menia túto skúsenosť na vzor: spoločnosti v EÚ po roku 2018 znížili objem uložených dát o 26 % a výpočtov o 15 %, pričom dopad bol najťažší u spoločností, ktoré ochranu súkromia nepostavili od prvého dňa [9]. Akt o AI sa práve chystá učiť túto lekciu druhýkrát.
Dorábanie riadenia AI dopadá horšie, lebo logovanie, ľudský dohľad a prompty sú prepletené s architektúrou pracovných postupov. Obstarávanie presadzuje akt skôr než regulátori. Sedem výstupov stojí 18 000 – 32 000 £ pri nastavení od začiatku; pri dorábaní pod tlakom presadzovania a obstarávania súčasne stojí 85 000 – 145 000 £. Aritmetika nie je jemná.
Zhrnutie
AI governance from day one — why retrofitting costs more │ ├─ The retrofit trap │ ├─ GDPR precedent — one SMB paid ~5x to bolt it on late │ ├─ AI Act is worse — prompts & logs entangle with workflow │ └─ The numbers — design-in £18-32k vs retrofit £85-145k │ ├─ You can't outsource it │ ├─ Article 26 — the deployer's job stays with the SMB │ └─ Buying Copilot — vendor covers the model, not your use case │ └─ Act now, not in 2027 ├─ Procurement first — RFP questionnaires enforce before fines ├─ Omnibus myth — it defers providers, not deployer duties └─ Seven artefacts — register, oversight, logging, literacy
Súvisiace poznatky
- Lokálne LLM verzus cloudové LLM: bezpečnosť údajov — nesprávna otázka (2026)EN — sada kontrol klasifikácie údajov a DLP, ktorú týchto sedem výstupov riadenia predpokladá ako už zavedenú.
- Človek v slučke nie je dohľad. Je to návrhová disciplína. — ako sa povinnosť ľudského dohľadu podľa článku 26 stáva fungujúcim prahovým systémom namiesto rituálu schvaľovania.
- 50 otázok, ktoré si položiť pred zavedením AI: sprievodca pre kupujúcich z malých a stredných spoločnostíEN — diligencia vo fáze nákupu, ktorá odhalí medzery vo výstupoch riadenia pred podpisom v obstarávaní, nie po ňom.
Často kladené otázky
Odkedy platí akt EÚ o umelej inteligencii pre britské malé a stredné spoločnosti a ktoré povinnosti sú už účinné?
Koľko stojí dorobiť riadenie AI v porovnaní s jeho nastavením od začiatku pre spoločnosť so 180 zamestnancami?
Prenáša nákup ChatGPT Enterprise alebo Microsoft Copilot súlad s aktom o AI na dodávateľa?
Ako vlastne vyzerá riadenie AI od prvého dňa pre malú spoločnosť?
Odkladá digitálny súborný predpis z novembra 2025 akt EÚ o umelej inteligencii natoľko, že spoločnosť môže počkať?
Čo je posúdenie vplyvu na základné práva (FRIA) podľa článku 27 aktu EÚ o umelej inteligencii a kto ho musí vykonať?
Pomôže certifikácia ISO 42001 s pripravenosťou na akt EÚ o umelej inteligencii, alebo ide o samostatné línie súladu?
Zdroje
- 1.Nariadenie (EÚ) 2024/1689 — akt o umelej inteligencii — Európsky parlament a Rada · 2024
- 2.Regulačný rámec pre AI — Európska komisia · 2024
- 3.AI Index Report 2025 — kapitola 6: politika a riadenie — Stanford Institute for Human-Centered AI (HAI) · 2025
- 4.Zásady AI (revidované v máji 2024) — OECD · 2024
- 5.Rámec riadenia rizík umelej inteligencie (AI RMF 1.0) — NIST · 2023
- 6.Príručka umelej inteligencie pre vládu Spojeného kráľovstva — UK Government Digital Service / DSIT · 2025
- 7.Usmernenie k AI a ochrane údajov — Information Commissioner's Office (ICO) · 2023
- 8.Súbor nástrojov pre riziká AI a ochrany údajov / rámec auditu AI — Information Commissioner's Office (ICO) · 2023
- 9.Vplyvy GDPR na využívanie dát a výpočtov v spoločnostiach (Bessen, Janßen, Peukert, Seamans) — MIT Sloan · 2022
- 10.Usmernenia pre bezpečný vývoj systémov AI — National Cyber Security Centre (NCSC) · 2023
- 11.Akčný plán pre príležitosti AI — UK Department for Science, Innovation and Technology (DSIT) · 2025
- 12.Základové modely AI: úvodná správa — Competition and Markets Authority (CMA) · 2023
- 13.Usmernenia pre poskytovateľov modelov AI na všeobecné účely — Európska komisia · 2024
Chcete to spustiť na vašej spoločnosti?
AI Foundation Audit — štruktúrované posúdenie vašej AI stopy: riziká integrácie, medzery v riadení, príležitosti pre ROI. Dodané ako komplexná správa, podľa ktorej môžete konať.
Dostanete svoju strategickú správu a implementačné zadanie — prispôsobené vašej spoločnosti a dodané okamžite.