Preskočiť na obsah

Riadenie AI od prvého dňa: čo stojí malú spoločnosť dorábanie súladu

Regulácia AI sa zbieha — akt EÚ o umelej inteligencii (august 2026), zákony štátov USA, Ázia. Spoločnosti, ktoré riadenie nastavia od prvého dňa, sa vyhnú pasci nákladov na dorábanie, akú priniesol GDPR.

Faktúra za dorábaný súlad s reguláciou AI sa vynára vedľa schodiska míľnikov aktu EÚ o umelej inteligencii — v námorníckej modrej a koralovej na krémovej.
Metodika: Daniela PiskackovaCo-founder & AI Audit Lead

V júni 2020 zaplatil 180-členný britský distribútor, ktorého budeme volať Northbridge Trading, 142 000 £ za dorobenie GDPR: register záznamov o spracúvaní, tri posúdenia vplyvu (DPIA), príručku pre porušenia, šesť zmlúv s dodávateľmi a prestavbu CRM podľa zásady špecificky navrhnutej ochrany údajov, ktorú tí istí konzultanti vyčíslili na 28 000 £, keby ju boli navrhli o dva roky skôr. Prevádzkový riaditeľ, ktorý tie faktúry podpísal, dnes hľadí na ten istý zlom — tentokrát s AI.

Faktúra za dorábanie, s ktorou nikto nepočítal

Northbridge Trading je zliatina, poskladaná zo štyroch reálnych zákaziek z rokov 2019 až 2021. Mená sme zmenili; čísla sú skutočné. Záleží na vzore, pretože sa práve chystá zopakovať.

V máji 2018 Northbridge spustil GDPR so šablónou politiky za 200 £ a s pocitom, že práca je hotová. V máji 2020 prišla prvá žiadosť dotknutej osoby o prístup; nasledovalo tesne odvrátené porušenie pri integrácii miezd; o dva týždne neskôr prišla sťažnosť na ICO. Do 3. štvrťroka 2020 si spoločnosť najala externého advokáta a inžiniera pre ochranu súkromia, aby postavili register spracovateľských činností, tri posúdenia vplyvu na ochranu údajov, príručku reakcie na incidenty, šesť zmlúv o spracúvaní osobných údajov s dodávateľmi a prestavbu CRM s kontrolami špecificky navrhnutej ochrany údajov dorobenými do už bežiacich tokov dát. Účet vyšiel zhruba na päťnásobok východiska pri nastavení od začiatku, na ktoré tá istá poradenská spoločnosť vyčíslila architektúru z roku 2017 — a zaplatil sa pod tlakom regulátora.

O šesť rokov neskôr ten istý prevádzkový riaditeľ prevádzkuje tri nástroje AI nasadené počas roka 2025: asistenta na selekciu životopisov, sumarizátor obchodných hovorov a chatbota zákazníckej podpory. Žiadny register AI, žiadne zatriedenie prípadov použitia podľa rizika, žiadna dokumentácia podľa článku 26, žiadny vzdelávací program gramotnosti podľa článku 4. Akt EÚ o umelej inteligencii nadobudol účinnosť 1. augusta 2024 [1]; harmonogram Komisie kladie plnú uplatniteľnosť vrátane väčšiny povinností pri vysokorizikových systémoch na 2. augusta 2026 [2]. Nástroj na selekciu životopisov je vysokorizikový podľa prílohy III. Usmernenie ICO k AI je pre britské malé a stredné spoločnosti záväzné podľa UK GDPR už od roku 2023 [7]. „Odmietam,“ hovorí nám, „vypisovať ten šek druhýkrát.“

Zbiehanie: prečo „počkajme a uvidíme“ prestalo byť rozumné v roku 2024

„Globálne zbiehanie“, ktoré poháňa argument pre nastavenie od začiatku, nie je marketingové heslo. V roku 2024 sa regulačný objem stal merateľným a spoločná technická chrbtica viditeľnou.

Čísla, ktoré by ste pred regulátorom nemali prehliadnuť

AI Index 2025 od Stanford HAI zaznamenáva 59 federálnych regulácií AI vydaných v USA v roku 2024, viac než dvojnásobok roka 2023, naprieč dvojnásobným počtom úradov [3]. Štáty USA prijali za jediný rok 131 zákonov o AI, oproti 49 kumulatívne do roku 2023 [3]. Legislatívne zmienky o AI vzrástli o 21,3 % naprieč 75 krajinami v roku 2024 [3]. Pre prevádzkového riaditeľa, ktorý sa rozhoduje, či konať teraz alebo počkať, tento objem nie je šum v pozadí. Je to signál.

Nariadenie (EÚ) 2024/1689 nadobudlo účinnosť 1. augusta 2024 [1]. Fázovaný harmonogram Komisie je najjasnejšia zverejnená cestovná mapa, akú máme: zakázané praktiky účinné od 2. februára 2025; povinnosti pri modeloch AI na všeobecné účely účinné od 2. augusta 2025; plná uplatniteľnosť na vysokorizikové systémy od 2. augusta 2026; pravidlá pre vysokorizikové systémy zabudované do výrobkov posunuté na 2. augusta 2027 [2]. Toto nie je jeden zlom. Je to schodisko. Spoločnosti, ktoré počkajú až na najvyšší schod, už dva zmeškali.

Spoločná kotva: OECD, NIST, ISO/IEC 42001

Pod objemom sedí spoločná chrbtica, vďaka ktorej je riadenie nastavené zavčasu odolné naprieč jurisdikciami. Zásady AI od OECD, revidované v máji 2024, prijalo 47 a viac krajín [4]. Tvoria výslovný základ pre zosúladenie EÚ, Spojeného kráľovstva, USA a G7. Rámec riadenia rizík umelej inteligencie NIST 1.0 usporadúva povinnosti okolo štyroch funkcií: riadiť, mapovať, merať a zvládať [5]. Program noriem aktu EÚ o umelej inteligencii odkazuje na toto jadro; britská príručka AI (február 2025) kodifikuje 10 zásad pre vládnu AI a signalizuje rovnocenné normy pre svoj dodávateľský reťazec [6].

ISO/IEC 42001 sa stala certifikáciou na úrovni obstarávania, ktorú si kupujúci zo stredného trhu dnes pýtajú. Riadenie navrhnuté na priesečníku zásad OECD, funkcií NIST a požiadaviek ICO prežije sprísnenie ktoréhokoľvek jednotlivého režimu. Spoločná chrbtica pohltí odchýlky.

Harmonogram aktu EÚ o umelej inteligencii: nadobudnutie účinnosti august 2024; zakázané praktiky a povinnosti gramotnosti v oblasti AI február 2025; pravidlá pre AI na všeobecné účely august 2025; plné povinnosti pri vysokorizikových systémoch august 2026; vysokorizikové výrobky so zabudovanou AI august 2027.
Harmonogram aktu EÚ o umelej inteligencii, od nadobudnutia účinnosti po plné povinnosti pri vysokorizikových systémoch v auguste 2026.

Prečo sa „súlad rieši dodávateľ“ rozpadne pod článkom 26?

Najťažšia veta, akú napísať na marketingovej stránke ktoréhokoľvek dodávateľa, znie: „Úlohu nasadzujúceho subjektu na vás preniesť nevieme.“ Podľa aktu EÚ o umelej inteligencii je hranica medzi poskytovateľom a nasadzujúcim subjektom výslovná a neposúva sa tým, že ste si kúpili podnikovú úroveň.

Model zdieľanej zodpovednosti zrozumiteľne

Článok 16 určuje, čo musí spraviť poskytovateľ: posúdenie zhody, technickú dokumentáciu, monitorovanie po uvedení na trh [1]. Článok 26 určuje, čo musí spraviť nasadzujúci subjekt: používať systém podľa pokynov, zabezpečiť ľudský dohľad, udržiavať vstupné údaje relevantné, logovať vysokorizikové použitia aspoň šesť mesiacov a informovať dotknutých zamestnancov a zákazníkov [1]. Článok 4 navrstvuje povinnosť gramotnosti v oblasti AI na každého zamestnanca, ktorý AI používa, primerane jeho role, bez ohľadu na to, ktorý model beží na pozadí [1]. Článok 50 vyžaduje, aby používatelia vedeli, kedy komunikujú s AI, naprieč všetkými rizikovými úrovňami [1].

Tie štyri články popisujú povinnosti, ktoré ležia na spoločnosti. Zmluva o spracúvaní, ktorú dodávateľ podpíše, ich neprerozdelí.

Čo ChatGPT Enterprise a Copilot neprenesú

V okamihu, keď britská spoločnosť vloží životopis do ChatGPT, aby ním vyselektovala uchádzačov, stáva sa vysokorizikovým nasadzujúcim subjektom podľa prílohy III [1]. Toto zatriedenie prípadu použitia je vec nasadzujúceho subjektu. Stránka OpenAI Enterprise Privacy pokrýva záruky na strane modelu: žiadny tréning na firemných dátach, šifrovanie, auditné logy. Nezatriedi váš prípad použitia, nenapíše váš protokol ľudského dohľadu, nezaškolí vašich ľudí ani neudrží vaše logy nasadzujúceho subjektu podľa článku 26 ods. 6. Spoločnosť so 40 zamestnancami, ktorá prevádzkuje AI na selekciu životopisov, nesie tie isté povinnosti podľa článku 26 ako zamestnávateľ z indexu FTSE 100. Veľkosť spoločnosti v klasifikačnom pravidle nefiguruje.

Podľa UK GDPR sa vzťah prevádzkovateľa údajov riadi rovnakou logikou. Osobné údaje v prompte robia zo spoločnosti prevádzkovateľa. Práva dotknutých osôb sa na dodávateľa delegovať nedajú.

ICO má jasno už od roku 2023

Usmernenie ICO k AI pokrýva, ako sa zásady UK GDPR uplatňujú na AI spracúvajúcu osobné údaje, vrátane požiadaviek na DPIA, zmierňovania zaujatosti a automatizovaného rozhodovania [7]. Usmernenie je v revízii po prijatí zákona Data (Use and Access) Act 2025, ktorý nadobudol účinnosť 19. júna 2025 [7]. Audítorský súbor nástrojov ICO pre AI poskytuje konkrétne kontrolné zoznamy naprieč riadením, zodpovednosťou, transparentnosťou a právami jednotlivcov [8]. Tie kontrolné zoznamy popisujú, čo nasadzujúci subjekt potrebuje predtým, než príde ICO na návštevu, nie potom. Tri nástroje spoločnosti Northbridge nemajú nič z toho. Zmluva o spracúvaní od dodávateľa kryje dodávateľa. Medzera patrí nasadzujúcemu subjektu.

Empirické dôkazy o nákladoch na dorábanie GDPR: čo vieme

Empirický argument pre nastavenie riadenia zavčasu nestojí na intuícii. Stojí na tom, čo sa stalo spoločnostiam v EÚ, ktoré v roku 2018 brali GDPR ako čosi druhoradé.

MIT Sloan / Bessen a kol. — jediná veľkovzorková štúdia o dorábaní, akú máme

Štúdia MIT Sloan / Bessen, Janßen, Peukert a Seamans porovnala spoločnosti v EÚ a mimo EÚ po tom, ako sa v máji 2018 začalo presadzovanie. Zistenia sú priame: spoločnosti v EÚ znížili objem uložených dát o 26 % a využívanie výpočtov o 15 % oproti kontrolným spoločnostiam mimo EÚ [9]. Pokles sa sústredil v skupine, ktorá ochranu súkromia od začiatku nenavrhla — v skupine, ktorá dorábala. Nešlo o pokuty ani o právne poplatky. Boli to prevádzkové výpadky: zrušené produkty, vymazané marketingové dátové sady, integrácie prestavané od nuly. Spoločnosti, ktoré ochranu súkromia navrhli už od roku 2016, vstrebali tú istú reguláciu bez týchto rezov.

Northbridge Trading šiel cestou dorábania. Spustil súlad s GDPR v roku 2018 so šablónou politiky za 200 £ a skutočné náklady objavil o dva roky neskôr. Dáta MIT Sloan popisujú presne to, za čo zaplatil: architektonickú prerábku, ktorá prichádza, keď povinnosti súladu vťahujete do systému, ktorý nebol navrhnutý ich uniesť.

Násobok 2,4× za dorábanie

Odvetvové porovnania nákladov na dorábanie dospievajú k rovnakému záveru z nákladovej strany: spoločnosti, ktoré sa pridali neskoro, zaplatili zhruba 2,4-násobok toho, čo zaplatili konkurenti s nastavením od začiatku — naprieč ROPA, DPIA, registrami právneho základu, procesmi pre porušenia, prerokovaním zmlúv o spracúvaní a prerábkou CRM.

Každá z týchto kategórií GDPR sa priamo premieta do náprotivku v akte o AI. Register AI nahrádza ROPA. Posúdenie vplyvu na základné práva podľa článku 27 nahrádza DPIA z GDPR. Logovanie nasadzujúceho subjektu podľa článku 26 ods. 6 nahrádza záznam o porušeniach. Kategórie sú tie isté; previazanie je hlbšie. Modely AI, prompty a pracovné postupy sú architektonicky prepletené spôsobmi, akými toky dát neboli. Vytrhnúť logovacie body alebo kontroly dohľadu z nasadeného AI reťazca je inžinierske prepísanie, nie dokument politiky. Práve preto Northbridgov násobok zhruba 5× pohodlne sedí v rozsahu, ktorý odvetvové dáta pod tlakom presadzovania predpovedajú.

Aritmetika nákladov pre malú spoločnosť: nastavenie od začiatku verzus dorábanie, položka po položke

Násobok za dorábanie a prevádzkové dáta MIT Sloan sú užitočné kotvy, no prevádzková riaditeľka potrebuje čísla, ktoré dá do materiálu pre predstavenstvo. Tu je aritmetika pre spoločnosť so 180 zamestnancami, ktorá prevádzkuje tri nástroje AI.

Východisko pri nastavení od začiatku pre spoločnosť so 180 zamestnancami a 3 nástrojmi AI

Nastaviť riadenie AI od začiatku, rozložené do dvanástich týždňov, stojí podľa našej skúsenosti zo zákaziek:

  • Register AI a zatriedenie prípadov použitia podľa rizika: 4 – 6 dní internej práce plus revízia konzultanta za 2 000 – 4 000 £
  • Vzdelávací program gramotnosti podľa článku 4 (90-minútový základ pre všetkých zamestnancov; celodenný pre vlastníkov AI): 3 000 – 5 000 £
  • Protokol ľudského dohľadu a logovanie podľa článku 26 ods. 6 zabudované do architektúry: 4 000 – 6 000 £ na inžiniering plus 2-dňová právna revízia
  • Balík previerky dodávateľov pokrývajúci zmluvy o spracúvaní, karty modelov a stopu zverejnení pre AI na všeobecné účely: 2 000 – 3 000 £

Orientačne všetko zahrnuté pri nastavení od začiatku: 18 000 – 32 000 £ počas dvanástich týždňov.

Rozpočet na dorábanie pod tlakom presadzovania (3. štvrťrok 2026)

Dorobiť tú istú sadu pod tlakom 3. štvrťroka 2026 vyjde podstatne vyššie:

  • Externý advokát vymedzujúci expozíciu podľa prílohy III po incidente: 15 000 – 25 000 £
  • FRIA (článok 27) a obnova DPIA na troch už nasadených nástrojoch: 20 000 – 35 000 £
  • Dorobenie logovania a prestavba pracovného postupu ľudského dohľadu: 40 000 – 70 000 £
  • Konzultácie so zamestnancami, informačné oznámenia a zverejnenia voči zákazníkom: 8 000 – 12 000 £

Orientačne všetko zahrnuté pri dorábaní: 85 000 – 145 000 £ za šesť až dvanásť týždňov stlačenej nápravy. Pomer vychádza zhruba od 2,7× do 5,1×, čím reprodukuje spodnú hranicu odvetvového porovnania a dosahuje hornú hranicu spoločnosti Northbridge.

Prečo je násobok horší než pri GDPR

Násobok za dorábanie AI tlačia nad hodnotu GDPR tri štrukturálne dôvody. Po prvé, AI pracovné postupy sú prepletené: prompty, verzie modelov a nadväzné automatizované akcie sú prepojené už návrhom, takže plocha na refaktorovanie je väčšia než pri prepájaní tokov dát. Po druhé, prestavby v obstarávaní bežia súbežne s lehotou regulátora. Spoločnosť, ktorá počas nápravy prehráva tendre, platí oba náklady naraz. Po tretie, strop sankcií je vyšší. Článok 99 stanovuje pokuty až do výšky 7 % celkového celosvetového ročného obratu alebo 35 miliónov € za zakázané praktiky [1]. Smernica o zodpovednosti za AI pridáva expozíciu voči občianskoprávnym nárokom, akú GDPR negenerovalo.

Pre britskú spoločnosť s ročným obratom 25 miliónov £ dosahuje konzervatívny základný výpočet (pred zľavami pre malé a stredné podniky) 750 000 € [1]. Náklady na nastavenie od začiatku nie sú réžia na súlad. Sú poistkou proti pokute, ktorá je ich násobkom.

Nastaviť riadenie od začiatku stojí ilustračných 18 000 až 32 000 libier počas 12 týždňov; dorobiť ho neskôr stojí 85 000 až 145 000 libier, zhruba 2,7- až 5,1-násobok.
Nastavenie riadenia od začiatku verzus jeho neskoršie dorábanie, ilustračný 2,7- až 5,1-násobok nákladov.

Ktorých sedem výstupov tvorí riadenie AI od prvého dňa?

Riadenie AI od prvého dňa pre spoločnosť s 50 až 500 zamestnancami nie je abstraktné. Je to sedem výstupov, ktoré postavíte za dva týždne.

1 – 3: inventár a zatriedenie

Výstup 1 — register AI. Jednostranová schéma: názov systému, dodávateľ, model, prípad použitia, triedy údajov, riziková úroveň, vlastník, protokol dohľadu a dátum revízie. Nepotrebuje konzultanta, aby vznikol; potrebuje disciplínu, aby sa udržiaval.

Výstup 2 — rozhodovací strom na zatriedenie prípadov použitia podľa rizika. Naviazaný na kategórie prílohy III: selekcia v zamestnaní, úverové hodnotenie, prístup k vzdelaniu, biometrická identifikácia a kritická infraštruktúra [1]. Ak sa nástroj dotkne ktoréhokoľvek z týchto pracovných postupov, spúšťa povinnosti pre vysokorizikové systémy.

Výstup 3 — balík previerky dodávateľov. Zmluva o spracúvaní osobných údajov, karta modelu, zverejnenie pre AI na všeobecné účely, súhrn posúdenia zhody a zoznam sub-dodávateľov. Záleží tu na tom, či je základný poskytovateľ signatárom kódexu postupov pre AI na všeobecné účely [13].

4 – 5: prevádzkovať a chrániť

Výstup 4 — protokol ľudského dohľadu. Článok 26 ods. 5 vyžaduje menovaného človeka, ktorý môže preskúmať a prevážiť ktorékoľvek automatizované rozhodnutie [1]. Protokol určuje, kto je tá osoba, postup prevažovania, kritériá eskalácie a kadenciu revízie.

Výstup 5 — vzdelávací program gramotnosti v oblasti AI podľa článku 4. 90-minútový základ pre všetkých zamestnancov, polodenný pre pokročilých používateľov a celodenný pre vlastníkov AI, obnovovaný raz ročne [1]. Článok 4 sa vzťahuje na všetky nasadzujúce subjekty bez ohľadu na dodávateľa a proporcionalita sa škáluje s rolou, nie s počtom zamestnancov.

6 – 7: dokumentovať a reagovať

Výstup 6 — proces logovania a hlásenia incidentov. Logy nasadzujúceho subjektu podľa článku 26 ods. 6, monitorovanie driftu modelu a kontroly bezpečnostného životného cyklu z Usmernení NCSC pre bezpečný vývoj systémov AI, spoločného usmernenia s CISA a 21 medzinárodnými kybernetickými agentúrami [10]. Zabudujte log do architektúry; dokumenty politiky bez inžinierskych háčikov pri audite zlyhajú.

Výstup 7 — balík transparentnosti a informovania zamestnancov. Oznámenia pre používateľov podľa článku 50 pri AI smerujúcej k zákazníkom, informovanie zamestnancov podľa článku 26 ods. 7 pri akejkoľvek AI, ktorá monitoruje zamestnancov, a jasná cesta na podanie sťažnosti [1].

Ukotvené v rámcoch posvätených regulátormi

Každý výstup sa premieta do kontrolných zoznamov riadenia a zodpovednosti z audítorského rámca ICO pre AI [8] a do jadra NIST AI RMF: riadiť, mapovať, merať a zvládať [5]. ISO/IEC 42001 sa premieta na tú istú sadu siedmich výstupov. Postavte ich raz a vyhovejú viacerým režimom naraz.

Obstarávanie je mechanizmus presadzovania, ktorý vám vaši zákazníci predsunuli

Každý výsledok vo vyhľadávači rámcuje presadzovanie aktu o AI cez optiku pokút od regulátora. Ani jeden nespomína, čo britské malé a stredné spoločnosti predávajúce na stredný trh a do veľkých podnikov už v roku 2026 zisťujú: dotazník kupujúceho tam bol skôr.

Čo si dnes pýtajú kupujúci zo stredného trhu a z veľkých podnikov

Dotazníky pre dodávateľov v neskorých fázach britských tendrov dnes odkazujú na rodiny kontrol ISO/IEC 42001 a na štvorfunkčné jadro NIST AI RMF [5]. Žiadajú dôkaz o registri AI a o zatriedení prípadov použitia podľa rizika, zdokumentovaný protokol ľudského dohľadu voči článku 26 ods. 5 [1] a zverejnenie sub-dodávateľov s pôvodom modelu AI na všeobecné účely: ktorý základový model, ktorý poskytovateľ, ktorý signatár kódexu postupov [13]. Tímy obstarávania nečakajú na usmernenie k presadzovaniu. Chránia vlastné dodávateľské reťazce pred zodpovednosťou, ktorá tečie proti prúdu, keď nástroj AI dodávateľa spustí incident.

Sedem výstupov z predchádzajúcej časti je presne to, čo si dodávateľský dotazník v sekcii 9 pýta.

Northbridge prehráva tender v 2. štvrťroku 2026

Northbridge Trading sa uchádzal o trojročnú zákazku za 420 000 £ s regulovaným zákazníkom zo stredného trhu v 2. štvrťroku 2026. Sekcia 9 znela: „Veďte register AI, proces FRIA a protokol ľudského dohľadu — predložte dôkaz.“ Northbridge nevedel odpovedať. Zákazka pripadla konkurentovi s jednostranovým registrom a so súborom politík vystavaným podľa NIST. Prestavba poháňaná obstarávaním teraz sedí na vrchu lehoty regulátora. Tikajú obe hodiny.

Dedičstvo verejného sektora

Britské spoločnosti predávajúce do štátnej správy čelia tej istej norme cez iný kanál. Vládna príručka AI zverejnená vo februári 2025 stanovuje 10 zásad pokrývajúcich etické používanie, zodpovednosť, transparentnosť a riadenie životného cyklu a dodávatelia ich dedia ako zmluvné podmienky [6]. Akčný plán DSIT pre príležitosti AI, prijatý v plnom rozsahu v januári 2025, posilňuje zodpovedné nasadzovanie AI ako očakávanie voči dodávateľskému reťazcu [11]. Úvodná správa CMA o základových modeloch AI pridáva optiku ochrany spotrebiteľa a hospodárskej súťaže, ktorá sa kladie nad každé nasadenie základového modelu [12].

To, že zostanete pod radarom regulátora, vás pred dotazníkom kupujúceho nezachráni. Northbridge na to prišiel draho.

Čo digitálny súborný predpis odkladá — a čo NEODKLADÁ

Titulok digitálneho súborného predpisu z novembra 2025 („EÚ odkladá akt o AI“) neobstojí pri pozornom čítaní samotného návrhu. Zmätok je pochopiteľný. Titulok nie je presný.

Čo je už účinné a nedotknuté

Štyri povinnosti sú už účinné a žiadny výsledok súborného predpisu sa ich nedotkne. Zákaz zakázaných praktík je účinný od 2. februára 2025 [2]. Povinnosť gramotnosti v oblasti AI podľa článku 4 je účinná od 2. februára 2025 [1]. Povinnosti poskytovateľov modelov AI na všeobecné účely a režim kódexu postupov nadobudli účinnosť 2. augusta 2025 [2]. A UK GDPR je už záväzné pre každú britskú organizáciu, ktorá spracúva osobné údaje, malé a stredné spoločnosti nevynímajúc; usmernenie ICO k AI a ochrane údajov je výkladom regulátora, ako sa tento zákon uplatňuje na systémy AI — nie zákonný kódex, ale praktické východisko súladu, voči ktorému bude ICO posudzovať [7].

Čo digitálny súborný predpis v skutočnosti navrhuje

Súborný predpis navrhuje úzky odklad režimu posudzovania zhody pri vysokorizikových systémoch podľa prílohy III, požiadaviek na technickú dokumentáciu a na registráciu v databáze EÚ pre poskytovateľov konkrétnych kategórií vysokorizikových systémov AI. Nenavrhuje odložiť povinnosti nasadzujúcich subjektov podľa článku 26, požiadavky transparentnosti podľa článku 50, povinnosti gramotnosti podľa článku 4 ani disciplínu dokumentácie FRIA. Tieto povinnosti zostávajú na zverejnenom harmonograme.

Trialóg uviazol 28. apríla 2026. Preloženie termínu bolo v čase písania ešte v riešení. Zverejnená lehota Komisie preto zostáva právne záväzným východiskom [2]. Spoločnosti, ktoré si prečítali „odložené na rok 2027“ a na základe toho odložili návrh riadenia, sú už pozadu za povinnosťami na strane nasadzujúceho subjektu, ktoré sa nikdy neposunuli.

Stabilné jadro, ktorého sa žiadny výsledok súborného predpisu nedotkne

Riadenie navrhnuté voči stabilnému jadru (zatriedenie podľa rizika podľa prípadu použitia, ľudský dohľad, logovanie nasadzujúceho subjektu, dokumentácia FRIA a DPIA, školenie gramotnosti v oblasti AI, zverejňovanie pre transparentnosť) prežije ktorúkoľvek verziu súborného predpisu, ktorá nakoniec príde. Čo sa naprieč verziami súborného predpisu mení, je to, v ktorej prílohe prípad použitia sedí — nie to, či spoločnosť potrebuje register, protokol dohľadu a proces pre incidenty. „Máme čas do roku 2027“ nie je výklad, ktorý text podopiera.

Ako môže spoločnosť postaviť riadenie AI za 90 dní?

Dvanásť týždňov stačí na to, aby ste dodali riadenie navrhnuté od začiatku, ak je práca usporiadaná do postupnosti. Tu je plán týždeň po týždni pre spoločnosť s 50 až 500 zamestnancami, ktorá začína od nuly.

Týždne 1 – 3 — zinventarizovať a zatriediť

Objavte každý nástroj AI v používaní vrátane tieňovej AI: Copilot zabudovaný v Microsoft 365, AI v rozšíreniach prehliadača, okrajové SaaS moduly s funkciami AI, ktoré váš tím obstarávania nikdy výslovne nezhodnotil. Postavte register AI a každému systému priraďte vlastníka. Spustite rozhodovací strom zatriedenia podľa rizika voči prílohe III a označte akúkoľvek expozíciu pri selekcii v HR, úverovom hodnotení, vzdelávaní, biometrickej identifikácii či kritickej infraštruktúre [1]. Pri každom systéme spracúvajúcom osobné údaje spravte rýchlu revíziu právneho základu podľa UK GDPR [7].

Týždne 4 – 7 — prevádzkovať a dokumentovať

Pripravte protokol ľudského dohľadu pre každý vysokorizikový a obmedzene rizikový systém: menovaný človek, postup prevažovania, kritériá eskalácie, kadencia revízie (výstup 4). Zaveďte logovanie podľa článku 26 ods. 6 všade, kde to platforma podporuje; inak postavte log na strane nasadzujúceho subjektu. Nenechávajte to na dokumenty politiky [8]. Spustite vzdelávací program gramotnosti podľa článku 4: najprv 90-minútový základ pre všetkých zamestnancov, potom hĺbkové sedenia pre pokročilých používateľov a vlastníkov AI [1]. Obnovte DPIA a FRIA voči súboru nástrojov ICO pre každý vysokorizikový systém [8].

Týždne 8 – 12 — pripravené na obstarávanie a revízia

Postavte balík previerky dodávateľov: zmluvy o spracúvaní, karty modelov, pôvod modelu AI na všeobecné účely, zoznamy sub-dodávateľov a status signatára kódexu postupov pre každého poskytovateľa základového modelu [13]. Zverejnite informačné oznámenia podľa článku 50 pri AI smerujúcej k zákazníkom; informujte dotknutých zamestnancov podľa článku 26 ods. 7 [1]. Zmapujte sedem výstupov voči formátu dotazníka obstarávania, aký posielajú kupujúci zo stredného trhu: rodiny kontrol ISO/IEC 42001 a funkcie NIST AI RMF [5]. Naplánujte prvú štvrťročnú revíziu riadenia a vymenujte zodpovedného vlastníka z vrcholového manažmentu podľa požiadavky súboru nástrojov ICO [8].

Dva antivzory, ktorým sa treba vyhnúť

Prvý: kúpiť predplatné nástroja za 40 000 £ predtým, než je register naplnený. Nástroj bez vymedzeného rozsahu riadenia je divadlo. Nástroj odhalí riziká, ktoré spoločnosť ešte nedefinovala.

Druhý: brať gramotnosť podľa článku 4 ako jednorazový webinár. Povinnosť je priebežná a primeraná role [1]. 90-minútové úvodné sedenie naplní základ; nenaplní ročnú obnovu ani hĺbkové sedenia pre vlastníkov AI. Architektonické prepísanie, za ktoré platili tí, čo dorábali GDPR, prišlo preto, že dokumenty politiky sa napísali a inžiniering sa preskočil. Ten istý vzor aplikovaný na AI prináša ten istý výsledok.

Naučená lekcia

Lekcia, ktorú Northbridge už zaplatil

V júni 2020 prevádzkový riaditeľ spoločnosti Northbridge podpísal faktúry za 142 000 £ na dorobenie GDPR oproti východisku 28 000 £ pri nastavení od začiatku. Nebolo to zlyhanie obstarávania. Bolo to to, čo sa stane, keď kompetentný prevádzkovateľ berie súlad ako niečo, čo sa navrství až keď produkt funguje. Dáta MIT Sloan menia túto skúsenosť na vzor: spoločnosti v EÚ po roku 2018 znížili objem uložených dát o 26 % a výpočtov o 15 %, pričom dopad bol najťažší u spoločností, ktoré ochranu súkromia nepostavili od prvého dňa [9]. Akt o AI sa práve chystá učiť túto lekciu druhýkrát.

Dorábanie riadenia AI dopadá horšie, lebo logovanie, ľudský dohľad a prompty sú prepletené s architektúrou pracovných postupov. Obstarávanie presadzuje akt skôr než regulátori. Sedem výstupov stojí 18 000 – 32 000 £ pri nastavení od začiatku; pri dorábaní pod tlakom presadzovania a obstarávania súčasne stojí 85 000 – 145 000 £. Aritmetika nie je jemná.

Zhrnutie

AI governance from day one — why retrofitting costs more
│
├─ The retrofit trap
│   ├─ GDPR precedent — one SMB paid ~5x to bolt it on late
│   ├─ AI Act is worse — prompts & logs entangle with workflow
│   └─ The numbers — design-in £18-32k vs retrofit £85-145k
│
├─ You can't outsource it
│   ├─ Article 26 — the deployer's job stays with the SMB
│   └─ Buying Copilot — vendor covers the model, not your use case
│
└─ Act now, not in 2027
    ├─ Procurement first — RFP questionnaires enforce before fines
    ├─ Omnibus myth — it defers providers, not deployer duties
    └─ Seven artefacts — register, oversight, logging, literacy

Súvisiace poznatky

Často kladené otázky

Odkedy platí akt EÚ o umelej inteligencii pre britské malé a stredné spoločnosti a ktoré povinnosti sú už účinné?
Je to schodisko, nie jeden zlom. Nariadenie nadobudlo účinnosť 1. augusta 2024. Zakázané praktiky sú účinné od 2. februára 2025; povinnosti gramotnosti v oblasti AI podľa článku 4 od toho istého dňa; povinnosti poskytovateľov modelov AI na všeobecné účely od 2. augusta 2025; plná uplatniteľnosť na vysokorizikové systémy nastáva 2. augusta 2026; pravidlá pre vysokorizikové systémy zabudované do výrobkov 2. augusta 2027. Britské malé a stredné spoločnosti, ktoré obsluhujú zákazníkov v EÚ, spadajú do exteritoriálnej pôsobnosti a usmernenie ICO k AI je záväzné podľa UK GDPR už od roku 2023.
Koľko stojí dorobiť riadenie AI v porovnaní s jeho nastavením od začiatku pre spoločnosť so 180 zamestnancami?
Nastavenie od začiatku počas dvanástich týždňov vyjde na 18 000 – 32 000 £: register AI, vzdelávací program gramotnosti podľa článku 4, protokol ľudského dohľadu s logovaním podľa článku 26 ods. 6 a balík previerky dodávateľov. Dorobiť tú istú sadu pod tlakom presadzovania a obstarávania v 3. štvrťroku 2026 vyjde na 85 000 – 145 000 £ za šesť až dvanásť stlačených týždňov, čo je 2,7- až 5,1-násobok. Precedens GDPR v spoločnosti Northbridge stál zhruba päťnásobok a MIT Sloan zistil, že spoločnosti v EÚ po roku 2018 znížili objem uložených dát o 26 % a výpočtov o 15 % — sústredené práve v skupine, ktorá súlad dorábala.
Prenáša nákup ChatGPT Enterprise alebo Microsoft Copilot súlad s aktom o AI na dodávateľa?
Nie. Článok 16 určuje, čo musí spraviť poskytovateľ: posúdenie zhody, technickú dokumentáciu, monitorovanie po uvedení na trh. Článok 26 určuje, čo musí spraviť nasadzujúci subjekt: používať systém podľa pokynov, zabezpečiť ľudský dohľad, udržiavať vstupné údaje relevantné, logovať vysokorizikové použitia aspoň šesť mesiacov, informovať dotknutých zamestnancov a zákazníkov. V okamihu, keď britská spoločnosť vloží životopis do ChatGPT, aby ním vyselektovala uchádzačov, stáva sa vysokorizikovým nasadzujúcim subjektom podľa prílohy III. Veľkosť spoločnosti v klasifikačnom pravidle nefiguruje.
Ako vlastne vyzerá riadenie AI od prvého dňa pre malú spoločnosť?
Sedem výstupov, ktoré postavíte za dva týždne: register AI so zoznamom každého systému s dodávateľom, modelom, prípadom použitia, rizikovou úrovňou a vlastníkom; rozhodovací strom na zatriedenie prípadov použitia podľa rizika naviazaný na prílohu III; balík previerky dodávateľov pokrývajúci zmluvu o spracúvaní, kartu modelu a pôvod modelu AI na všeobecné účely; protokol ľudského dohľadu s menovanou zodpovednou osobou podľa článku 26 ods. 5; vzdelávací program gramotnosti v oblasti AI podľa článku 4; proces logovania a hlásenia incidentov podľa článku 26 ods. 6; informačné oznámenia pri AI smerujúcej k zákazníkom a informačné balíky pre zamestnancov.
Odkladá digitálny súborný predpis z novembra 2025 akt EÚ o umelej inteligencii natoľko, že spoločnosť môže počkať?
Nie. Súborný predpis navrhuje úzky odklad len pre režim posudzovania zhody pri vysokorizikových systémoch podľa prílohy III, a to pre poskytovateľov. Neodkladá povinnosti nasadzujúcich subjektov podľa článku 26, požiadavky transparentnosti podľa článku 50, povinnosti gramotnosti podľa článku 4 ani disciplínu dokumentácie posúdenia vplyvu na základné práva (FRIA). Zakázané praktiky, povinnosti pri modeloch AI na všeobecné účely a usmernenie ICO podľa UK GDPR sú už účinné a nedotknuté. Trialóg uviazol 28. apríla 2026, takže zverejnená lehota Komisie zostáva právne záväzným východiskom. „Máme čas do roku 2027“ nie je výklad, ktorý text podopiera.
Čo je posúdenie vplyvu na základné práva (FRIA) podľa článku 27 aktu EÚ o umelej inteligencii a kto ho musí vykonať?
FRIA je povinnosť podľa článku 27, ktorá od určitých nasadzujúcich subjektov — orgánov verejnej moci a súkromných prevádzkovateľov vysokorizikových systémov podľa prílohy III v regulovaných funkciách, ako je hodnotenie úverovej bonity či stanovovanie poistného — žiada posúdiť vplyv na základné práva pred prvým použitím a obnoviť ho pri podstatnej zmene. Rozsah pokrýva dotknuté osoby, frekvenciu a dĺžku používania, druhy ujmy, opatrenia ľudského dohľadu a mechanizmy podávania sťažností. Britské malé a stredné spoločnosti, ktoré obsluhujú zákazníkov v EÚ, sú v exteritoriálnej pôsobnosti. Digitálny súborný predpis disciplínu FRIA neodkladá; nastaviť ju popri registri AI sa vyhne dorábaniu.
Pomôže certifikácia ISO 42001 s pripravenosťou na akt EÚ o umelej inteligencii, alebo ide o samostatné línie súladu?
ISO 42001 a akt EÚ o umelej inteligencii sa dopĺňajú, neprekrývajú. ISO 42001 vymedzuje systém riadenia AI — role riadenia, register AI, identifikáciu rizík, interný audit — čo priamo urýchľuje cestu nastavenia od začiatku: register AI, balík previerky dodávateľov, vzdelávací program gramotnosti podľa článku 4, logovanie podľa článku 26 ods. 6. Sama osebe však neplní posúdenie zhody poskytovateľa podľa článku 16, FRIA podľa článku 27 ani transparentnosť podľa článku 50. Berte ISO 42001 ako chrbticu riadenia a samotný akt ako právnu rovinu; potrebné je oboje.

Zdroje

  1. 1.Nariadenie (EÚ) 2024/1689 — akt o umelej inteligenciiEurópsky parlament a Rada · 2024
  2. 2.Regulačný rámec pre AIEurópska komisia · 2024
  3. 3.AI Index Report 2025 — kapitola 6: politika a riadenieStanford Institute for Human-Centered AI (HAI) · 2025
  4. 4.Zásady AI (revidované v máji 2024)OECD · 2024
  5. 5.Rámec riadenia rizík umelej inteligencie (AI RMF 1.0)NIST · 2023
  6. 6.Príručka umelej inteligencie pre vládu Spojeného kráľovstvaUK Government Digital Service / DSIT · 2025
  7. 7.Usmernenie k AI a ochrane údajovInformation Commissioner's Office (ICO) · 2023
  8. 8.Súbor nástrojov pre riziká AI a ochrany údajov / rámec auditu AIInformation Commissioner's Office (ICO) · 2023
  9. 9.Vplyvy GDPR na využívanie dát a výpočtov v spoločnostiach (Bessen, Janßen, Peukert, Seamans)MIT Sloan · 2022
  10. 10.Usmernenia pre bezpečný vývoj systémov AINational Cyber Security Centre (NCSC) · 2023
  11. 11.Akčný plán pre príležitosti AIUK Department for Science, Innovation and Technology (DSIT) · 2025
  12. 12.Základové modely AI: úvodná správaCompetition and Markets Authority (CMA) · 2023
  13. 13.Usmernenia pre poskytovateľov modelov AI na všeobecné účelyEurópska komisia · 2024

Chcete to spustiť na vašej spoločnosti?

AI Foundation Audit — štruktúrované posúdenie vašej AI stopy: riziká integrácie, medzery v riadení, príležitosti pre ROI. Dodané ako komplexná správa, podľa ktorej môžete konať.

Spustiť audit

Dostanete svoju strategickú správu a implementačné zadanie — prispôsobené vašej spoločnosti a dodané okamžite.