Preskočiť na obsah

Ako postaviť register AI za 90 minút (akt EÚ o umelej inteligencii)

90-minútový, päťkrokový postup na register AI, ktorý európske malé a stredné spoločnosti potrebujú podľa článku 26 aktu EÚ o umelej inteligencii a usmernenia ICO. Východiskové stĺpce, úskalia, pravidlá vlastníctva.

Ako postaviť register AI za 90 minút (akt EÚ o umelej inteligencii)
Metodika: Daniela PiskackovaCo-founder & AI Audit Lead

Väčšina európskych malých a stredných spoločností berie register AI ako ťažkú agendu, ktorú vyprodukuje, až keď presadzovanie aktu EÚ o umelej inteligencii zovrie. To je zámena kategórií. Funkčná v1 zaberie deväťdesiat minút, ak ju poňať ako inventár na strane nasadzujúceho subjektu, nie ako súladový artefakt. Nižšie je päťkrokový postup, ktorý vedieme s prevádzkovými lídrami v našich audítorských zákazkách — ten istý, vďaka ktorému je rizikový obraz podľa prílohy III na jednej strane do piatkového popoludnia a ktorý vytvorí priestor robiť tú pomalšiu prácu poriadne až potom.

Stručná odpoveď. Register AI je inventár každého systému AI vo vašej organizácii na strane nasadzujúceho subjektu, ktorý vyžadujú povinnosti nasadzujúceho subjektu podľa článku 26 aktu EÚ o umelej inteligencii [1] a zosúladený s usmernením ICO podľa UK GDPR [2]. Funkčná v1 zaberie spoločnostiam do 200 zamestnancov deväťdesiat minút: 15 minút na spísanie, 20 na zatriedenie podľa rizika voči prílohe III, 25 na vyplnenie jadrových stĺpcov a 30 na priradenie vlastníkov a preverenie dohľadu.

Čo je register AI?

Register AI je k povinnostiam nasadzujúceho subjektu podľa článku 26 tým, čím sú záznamy o spracovateľských činnostiach (ROPA) k článku 30 UK GDPR: živý inventár, ktorý menuje každý systém, klasifikuje jeho rizikovú úroveň a priraďuje zodpovednú osobu. Je to dokument, po ktorom vyšetrovateľ ICO, oddelenie obstarávania alebo tím dodávateľskej bezpečnosti podnikového zákazníka siahne ako po prvom.

Akt EÚ o umelej inteligencii formát registra v texte nariadenia nepredpisuje. Článok 26 ods. 5 vyžaduje, aby nasadzujúce subjekty vysokorizikových systémov zabezpečili ľudský dohľad menovanou, spôsobilou osobou; článok 26 ods. 6 vyžaduje logovanie vysokorizikových použití aspoň šesť mesiacov [1]. Register je prevádzkový substrát, ktorý oboje zviditeľní. ICO má od roku 2023 jasno, že AI spracúvajúca osobné údaje podľa UK GDPR spúšťa disciplínu DPIA a povinnosti zodpovednosti [2], a audítorský súbor nástrojov ICO pre AI vymenúva druhy štruktúrovaných záznamov, ktoré bude spoločnosť potrebovať [3]. Žiadny orgán nepredpisuje konkrétny nástroj. Tabuľka, ktorá pomenuje správne stĺpce a priradí správnych vlastníkov, v teste obstojí.

Prečo deväťdesiat minút funguje (a čo vám nekúpi)

Register nie je cieľ. Je to mapa. Deväťdesiat minút stačí na to, aby ste zviditeľnili, aká AI sa používa, klasifikovali jej rizikovú úroveň a priradili zodpovednosť — trojicu faktov, ktoré musí každý nasadzujúci subjekt vedieť doložiť skôr, než sa opýta orgán, zákazník alebo predstavenstvo. Čo deväťdesiat minút nekúpi: posúdenie vplyvu na základné práva podľa článku 27 pre každý systém z prílohy III, vzdelávací program gramotnosti v oblasti AI podľa článku 4 primeraný role, balík previerky dodávateľov pokrývajúci zmluvy o spracúvaní a karty modelov, ani kompletne spísaný protokol ľudského dohľadu [1]. To sú nadväzné pracovné toky, vymedzené voči tomu, čo register zviditeľní.

Na disciplíne časového rámca záleží viac než na lesku. V našich audítorských zákazkách tie spoločnosti, ktoré register berú ako viactýždňový projekt, ho spravidla nevyprodukujú; spoločnosti, ktoré v1 vtesnajú do deväťdesiatich minút, vyprodukujú register prvý deň a potom ho iterujú. Povinnosti podľa článku 26 sú priebežné, nie bodové, takže v1, ktorú viete aktualizovať, má jednoznačne väčšiu hodnotu než v3, ktorú ste ešte nezačali.

Ako prebieha 90-minútový postup pri registri AI?

Krok 1 — Spíšte každý používaný systém AI (15 minút)

Tri zdroje pokryjú väčšinu toho, čo nájdete. Platené SaaS predplatné vytiahnite z finančnej evidencie alebo z firemnej karty — každý dodávateľ s „AI", „ML", „Copilot", „Assistant" či „Insight" v názve produktu patrí na zoznam. Zabudovanú AI vytiahnite z existujúcich platforiem — Microsoft 365 Copilot, funkcie Gemini v Google Workspace, Salesforce Einstein, HubSpot Breeze, automatické odpovede v Outlooku, súhrny porád v Teams sú všetko v rozsahu, platené, či nie. Tieňovú AI vytiahnite jednoodsekovou hromadnou správou s otázkou, ktoré nástroje AI zamestnanci deň čo deň používajú, vrátane neplatených spotrebiteľských účtov.

Tieňovú AI berte ako v rozsahu. Zamestnanec, ktorý vloží životopis do bezplatného účtu ChatGPT, robí zo spoločnosti vysokorizikový nasadzujúci subjekt podľa ustanovení aktu EÚ o umelej inteligencii o zamestnaní [1] a údaje opúšťajú vaše prostredie podľa UK GDPR [2]. Úlohou registra je to zviditeľniť, nie strážiť. Stráženie príde v kroku 4, keď už viete, čo tam je.

Krok 2 — Zatrieďte každý systém podľa rizika voči prílohe III (20 minút)

Príloha III aktu EÚ o umelej inteligencii vymenúva osem vysokorizikových domén [1]: biometrickú identifikáciu, kritickú infraštruktúru, vzdelávanie a odbornú prípravu, zamestnanie a riadenie pracovníkov, prístup k základným službám, presadzovanie práva, migráciu a kontrolu hraníc a výkon spravodlivosti. Pre malé a stredné spoločnosti sú živými spúšťačmi spravidla zamestnanie (selekcia životopisov, hodnotenie výkonu, automatizované plánovanie zmien), prístup k službám (úverové rozhodnutia, stanovovanie poistného) a vzdelávanie (hodnotenie školení, certifikácie).

Každý systém na zozname označte ako jeden z týchto: vysokorizikový (zhoda s prílohou III), obmedzene rizikový (povinnosti transparentnosti podľa článku 50), minimálne rizikový (žiadne osobitné povinnosti nad rámec gramotnosti podľa článku 4) alebo nasadzujúci subjekt AI na všeobecné účely (používate model na všeobecné účely ako chrbticu chatbota alebo asistenta) [1]. Väčšina firemných systémov spadne do dvoch či troch úrovní. Klasifikácia je vec nasadzujúceho subjektu; nie je delegovateľná na dodávateľa a veľkosť spoločnosti ju neovplyvňuje.

Krok 3 — Vyplňte desať jadrových stĺpcov (25 minút)

Stĺpce, ktoré si v registri nasadzujúceho subjektu zaslúžia miesto:

  1. Názov systému — ako ho zamestnanci deň čo deň volajú.
  2. Dodávateľ — právny subjekt za produktom.
  3. Model alebo verzia — kde je známa (napr. GPT-4o, Claude 3.5, Gemini 1.5, vlastný).
  4. Prípad použitia — jedna veta o tom, čo systém rozhoduje alebo generuje.
  5. Riziková úroveň — vysoká / obmedzená / minimálna / nasadzujúci subjekt na všeobecné účely.
  6. Dotknuté osobné údaje — áno/nie, plus kategórie podľa UK GDPR.
  7. Právny základ — základ podľa článku 6 UK GDPR (oprávnený záujem, zmluva, súhlas atď.).
  8. Zodpovedná osoba — menovaný jednotlivec, nie tím ani rola.
  9. Logovanie podľa článku 26 ods. 6 — áno/nie/neuplatňuje sa pri vysokorizikových nasadeniach.
  10. Dátum nasadenia — minimálne mesiac a rok.

Tabuľka s týmito desiatimi stĺpcami odpovie na prvú otázku, ktorú každý orgán, zákazník či člen predstavenstva položí. Čokoľvek nad rámec je iteratívna práca, nie práca v1. Odolajte nutkaniu pridávať stĺpce, kým ste nevyplnili všetkých desať naprieč každým riadkom.

Krok 4 — Priraďte zodpovednú osobu ku každému systému (15 minút)

Článok 26 ods. 5 vyžaduje, aby nasadzujúce subjekty vysokorizikových systémov zabezpečili ľudský dohľad spôsobilou, zodpovednou osobou s právomocou systém pozastaviť alebo prevážiť [1]. Preložte to do registra tak, že ku každému riadku z prílohy III menujete skutočného jednotlivca — nie rolu ako „vedúci IT" či „vedúci prevádzky". Zodpovedná osoba potrebuje tri vlastnosti: vie čítať výstupy systému, má právomoc ho vypnúť a je vo vašom registri dosiahnuteľná menom.

Pri systémoch mimo prílohy III menujte vlastníka tiež. Formálna povinnosť je miernejšia; disciplína je rovnaká. Prevádzkoví lídri a skúsení manažéri sú vo väčšine malých a stredných spoločností prirodzenými vlastníkmi; CTO ani CDO netreba.

Krok 5 — Preverte ľudský dohľad na jednom vysokorizikovom systéme (15 minút)

Najrizikovejší riadok z prílohy III preveďte tromi otázkami: preskúmava človek výstup AI skôr, než ovplyvní človeka (test človeka v slučke); vie ten človek v praxi rozhodnutie AI prevážiť (test právomoci); dostal ten človek školenie primerané jeho role podľa článku 4 (test gramotnosti) [1]? Odpovede idú do voľnotextového stĺpca „poznámky k ľudskému dohľadu" hneď vedľa desiatich jadrových stĺpcov.

Protokol ľudského dohľadu za pätnásť minút nedokončíte. Cieľom je zviditeľniť, kde je medzera, nie ju uzavrieť. Riadok znejúci „bez ľudskej revízie pri selekcii životopisov; medzeru uzavrieť do 30 dní" je presne ten správny výstup. Úlohou registra je medzeru zviditeľniť; jej uzavretie je samostatný pracovný tok a samostatný rozpočet.

90-minútová stavba registra AI ako časovo ohraničený tok: spísať systémy za 15 minút, zatriediť podľa rizika voči prílohe III za 20, vyplniť desať jadrových stĺpcov za 25, menovať zodpovedného vlastníka za 15 a preveriť dohľad za 15.
90-minútová stavba registra AI ako časovo ohraničený postup.

Ktorých päť úskalí zabije v1 registra AI?

  • Brať register ako jednorazový dokument. Povinnosti podľa článku 26 sú priebežné; register je živý artefakt revidovaný aspoň štvrťročne a obnovovaný vždy, keď sa nasadí nový systém AI alebo dodávateľ vydá veľkú zmenu modelu.
  • Prehliadnuť tieňovú AI. Neplatené spotrebiteľské účty a osobné relácie Copilota sú kategória s najvyšším výskytom incidentov a najnižšou viditeľnosťou. Ak ich register nezviditeľní, klame.
  • Kúpiť „súladový nástroj" pred spísaním. Súladový SaaS od dodávateľa vaše prípady použitia neklasifikuje — to dokáže len váš tím. Najprv tabuľka, nástroj neskôr (alebo nikdy; spoločnostiam do 200 zamestnancov udržiavaná tabuľka stačí).
  • Priradiť rolu namiesto osoby. „IT tím" sa nedá zavolať. Menovaný jednotlivec s telefónnym číslom áno. Článok 26 ods. 5 predpokladá to druhé [1].
  • Úplne vynechať gramotnosť podľa článku 4. Článok 4 sa od 2. februára 2025 vzťahuje na každého zamestnanca používajúceho AI, primerane jeho role [1]. Nie je to úroveň — povinnosť podľa článku 4 zviditeľní každý systém. Poznačte ju do registra, aj keď je samotný program nadväznou prácou.

Čo robiť po deväťdesiatich minútach

Register je vrstva objavu. Spravidla z neho vzlietnu tri nadväzné pracovné toky:

  1. Vymedzenie FRIA pre každý riadok z prílohy III, podľa článku 27 aktu EÚ o umelej inteligencii [1] — samostatný, hlbší dokument, ktorý stĺpec rizikovej úrovne v registri skôr iniciuje, než nahrádza.
  2. Vzdelávací program gramotnosti podľa článku 4 — primeraný role, vymedzený voči stĺpcu zodpovednej osoby v registri, nie voči počtu zamestnancov.
  3. Balík previerky dodávateľov — zmluvy o spracúvaní, karty modelov, pôvod modelu AI na všeobecné účely, vymedzený voči stĺpcu dodávateľa v registri a obnovovaný pri obnove obstarávania.

To sú pracovné toky, ktoré prístup nastavený od začiatku pokrýva podľa našej skúsenosti zo zákaziek zhruba za dvanásť týždňov a 18 000 – 32 000 £, kým rovnaký rozsah dorábaný neskôr stojí šesť stlačených týždňov a 85 000 – 145 000 £ — násobok konzistentný s dátami MIT Sloan po GDPR, podľa ktorých spoločnosti v EÚ pod tlakom presadzovania znížili objem uložených dát o 26 % a výpočtov o 15 % [4]. Register je najlacnejší možný prvý krok vzhľadom na túto aritmetiku.

Zhrnutie

AI Register in 90 Minutes — a deployer-side inventory
│
├─ The five-step build
│   ├─ List (15m) — paid, embedded, and shadow AI in scope
│   ├─ Risk-tier (20m) — match each system to Annex III
│   ├─ Ten columns (25m) — the audit-ready floor, no more
│   ├─ Name owners (15m) — a person per system, not a team
│   └─ Spot-check (15m) — surface the oversight gap, don't close it
│
├─ Why timebox v1
│   ├─ A living map — Article 26 duties are continuous
│   └─ v1 you update beats v3 you never start
│
└─ What it doesn't buy
    └─ Downstream — FRIA, Article 4 literacy, vendor due diligence

Súvisiace poznatky


Naposledy aktualizované: máj 2026. Verzia 1.0.

Často kladené otázky

Nahrádza register AI záznamy o spracovateľských činnostiach (ROPA) podľa GDPR?
Nie, sú to doplnkové inventáre s rozdielnym právnym základom. Záznamy o spracovateľských činnostiach (ROPA) vyžaduje článok 30 UK GDPR a katalogizujú toky osobných údajov. Register AI je ich náprotivok na strane nasadzujúceho subjektu podľa článku 26 aktu EÚ o umelej inteligencii a usmernenia ICO; katalogizuje každý systém AI bez ohľadu na to, či spracúva osobné údaje. Mnohé systémy sú v oboch, no krížový odkaz je obojsmerne jeden k mnohým.
Zamestnanci používajú bezplatný ChatGPT a spotrebiteľský Copilot. Rátajú sa do registra?
Áno. Povinnosti nasadzujúceho subjektu podľa článku 26 platia pre spoločnosť bez ohľadu na to, či je predplatné AI firemné, alebo spotrebiteľské, platené, alebo bezplatné. V okamihu, keď zamestnanec použije nástroj AI pri práci, je spoločnosť nasadzujúcim subjektom a systém patrí do registra. Bezplatné spotrebiteľské účty navyše spravidla nemajú zmluvu o spracúvaní, akú dáva podniková úroveň, čím expozíciu podľa UK GDPR skôr zvyšujú, než znižujú.
Naša spoločnosť sídli mimo EÚ. Vzťahuje sa akt EÚ o umelej inteligencii na náš register?
Pri spoločnostiach mimo EÚ je priama uplatniteľnosť aktu užšia, no málokedy nulová. Akt má extrateritoriálnu pôsobnosť, keď sa výstup systému použije v EÚ, čo je pri SaaS produktoch a B2B službách bežné. Aj bez expozície v EÚ národné orgány logiku nasadzujúceho subjektu sledujú — ICO zosúlaďuje britské usmernenie k AI od roku 2023 a podobné mimoeurópske jurisdikcie ho nasledujú. Register navrhnutý voči článku 26 týmto národným smerovaniam vyhovie tiež.
Kto má vlastniť register AI v spoločnosti bez CTO?
Prevádzkový riaditeľ, vedúci súladu alebo vyššie postavená osoba podriadená konateľovi. Register je redakčná, nie technická práca: udržiavať riadky, obnovovať rizikové úrovne pri zmene systémov a každý štvrťrok pripomínať zodpovedným osobám. Bežný vzor v malých a stredných spoločnostiach je jeden menovaný vlastník, ktorý register vedie zhruba tri hodiny za štvrťrok, plus menovaná zodpovedná osoba pri každom riadku, ktorá nesie vlastné povinnosti viazané na svoj systém.
Ako často máme register obnovovať?
Štvrťročne je pre malé a stredné spoločnosti reálne minimum, plus obnova pri udalosti vždy, keď sa obstará nový systém AI alebo príde veľká zmena modelu (napríklad dodávateľ prejde z jednej generácie modelu na ďalšiu). Pri vysokorizikových riadkoch z prílohy III sa záznamy logu obnovujú priebežne podľa článku 26 ods. 6. Statický register rok starý v teste preukázateľnosti pred orgánom či podnikovým obstarávaním neobstojí.
Stačí tabuľka, alebo potrebujeme špecializovaný GRC nástroj?
Pre spoločnosti do zhruba 200 zamestnancov tabuľka stačí. Audítorskú váhu nesú stĺpce, menovaní vlastníci a disciplína štvrťročnej obnovy, nie platforma. Excel alebo Google Sheets s obmedzeným prístupom a históriou verzií požiadavku preukázateľnosti spĺňa. Špecializované GRC nástroje sa oplatia zhruba nad 500 zamestnancov alebo pätnásť a viac systémov AI; pod touto hranicou réžia nástroja prevýši úsporu času.

Zdroje

  1. 1.Regulation (EU) 2024/1689 — Artificial Intelligence ActEuropean Parliament and of the Council · 2024
  2. 2.Guidance on AI and Data ProtectionInformation Commissioner's Office (ICO) · 2023
  3. 3.AI and Data Protection Risk Toolkit / AI Auditing FrameworkInformation Commissioner's Office (ICO) · 2023
  4. 4.GDPR's Effects on Firm Data and Computation Use (Bessen, Janßen, Peukert, Seamans)MIT Sloan · 2022

Chcete to spustiť na vašej spoločnosti?

AI Foundation Audit — štruktúrované posúdenie vašej AI stopy: riziká integrácie, medzery v riadení, príležitosti pre ROI. Dodané ako komplexná správa, podľa ktorej môžete konať.

Spustiť audit

Dostanete svoju strategickú správu a implementačné zadanie — prispôsobené vašej spoločnosti a dodané okamžite.