Skip to content

Kako v 90 minutah zgraditi register UI (Akt EU o UI)

V petih korakih in 90 minutah do registra UI, ki ga evropska MSP potrebujejo po členu 26 Akta EU o UI in smernicah ICO. Začetni stolpci, pasti, pravila o lastništvu.

Kako v 90 minutah zgraditi register UI (Akt EU o UI)
Methodology by Daniela PiskackovaCo-founder & AI Audit Lead

Večina evropskih MSP register UI obravnava kot zajeten izdelek, ki ga bodo pripravili, ko bo izvrševanje Akta EU o UI začelo gristi. To je napaka v kategoriji. Delujoča različica v1 vzame devetdeset minut, če jo zastavite kot popis na strani uvajalca, ne kot izdelek za izkazovanje skladnosti. Spodaj je gradnja v petih korakih, ki jo v naših revizijskih projektih izvajamo z vodji operacij — ista, ki sliko tveganja po Prilogi III spravi na eno stran do petka popoldne in si prisluži prostor, da kasneje počasnejše delo opravite kot je treba.

Hiter odgovor. Register UI je popis vseh sistemov UI v vaši organizaciji na strani uvajalca, ki ga predvidevajo obveznosti uvajalca iz člena 26 Akta EU o UI [1] in je usklajen s smernicami ICO po UK GDPR [2]. Delujoča različica v1 za MSP z manj kot 200 zaposlenimi vzame devetdeset minut: 15 minut za popis, 20 za razvrstitev tveganja glede na Prilogo III, 25 za izpolnjevanje osnovnih stolpcev in 30 za dodelitev lastnikov ter naključno preverjanje nadzora.

Kaj je register UI?

Register UI je za obveznosti uvajalca iz člena 26 to, kar je evidenca dejavnosti obdelave za člen 30 UK GDPR: živ popis, ki imensko navede vsak sistem, razvrsti njegovo stopnjo tveganja in dodeli odgovorno osebo. To je dokument, ki ga bo preiskovalec ICO, nabavni oddelek ali ekipa za varnost dobaviteljev pri poslovni stranki zahteval prvega.

Akt EU o UI oblike registra v besedilu uredbe ne predpisuje. Člen 26(5) od uvajalcev visokotveganih sistemov zahteva, da zagotovijo človeški nadzor po imensko navedeni, usposobljeni osebi; člen 26(6) zahteva beleženje uporabe visokotveganih sistemov za najmanj šest mesecev [1]. Register je operativna podlaga, ki oboje napravi vidno. ICO že od leta 2023 jasno sporoča, da UI, ki po UK GDPR obdeluje osebne podatke, sproži disciplino ocene učinka v zvezi z varstvom podatkov (DPIA) in obveznosti glede odgovornosti [2], revizijski komplet ICO za UI pa našteva vrste strukturiranih zapisov, ki jih bo MSP potrebovalo [3]. Noben regulator ne predpisuje določenega orodja. Preglednica, ki poimenuje prave stolpce in dodeli prave lastnike, preizkus prestane.

Zakaj devetdeset minut deluje (in česa vam ne kupi)

Register ni cilj. Je zemljevid. Devetdeset minut zadošča, da razkrijete, katera UI je v uporabi, razvrstite njeno stopnjo tveganja in dodelite odgovornost — trojico dejstev, ki jo mora vsak uvajalec izkazati, preden regulator, stranka ali uprava postavi vprašanje. Česa vam devetdeset minut ne kupi: ocene učinka na temeljne pravice po členu 27 za vsak sistem iz Priloge III, programa usposabljanja o UI po členu 4, sorazmernega vlogi, paketa skrbnega pregleda dobaviteljev s pogodbami o obdelavi in opisi modelov ali v celoti izpisanega protokola človeškega nadzora [1]. To so kasnejši delovni tokovi, zastavljeni glede na to, kar register razkrije.

Disciplina časovne omejitve šteje bolj kot dovršenost. V naših revizijskih projektih tista MSP, ki register obravnavajo kot večtedenski projekt, ga običajno ne pripravijo; tista, ki različico v1 časovno omejijo na devetdeset minut, register pripravijo prvi dan in ga nato izpopolnjujejo. Obveznosti po členu 26 so trajne, ne enkratne, zato je različica v1, ki jo lahko posodabljate, vredna strogo več kot različica v3, ki je sploh še niste začeli.

Kako poteka delovni tok 90-minutnega registra UI?

1. korak — Popišite vse sisteme UI v uporabi (15 minut)

Trije viri pokrijejo večino tega, kar boste našli. Plačane naročnine SaaS potegnite iz finančne evidence ali kartice za stroške — vsak ponudnik, ki ima v imenu izdelka "AI", "ML", "Copilot", "Assistant" ali "Insight", sodi na seznam. Vgrajeno UI potegnite iz obstoječih platform — Microsoft 365 Copilot, funkcije Gemini v Google Workspace, Salesforce Einstein, HubSpot Breeze, samodejni odgovori v Outlooku in povzetki sestankov v Teams so vsi v obsegu, plačani ali ne. Sivo UI potegnite iz enoodstavčnega sporočila vsem zaposlenim z vprašanjem, katera orodja UI uporabljajo iz dneva v dan, vključno z neplačanimi zasebnimi računi.

Sivo UI obravnavajte kot vključeno v obseg. Zaposleni, ki življenjepis prilepi v brezplačni račun ChatGPT, MSP po določbah Akta EU o UI o zaposlovanju spremeni v uvajalca visokotveganega sistema [1], podatki pa po UK GDPR zapustijo vaše okolje [2]. Naloga registra je, da to razkrije, ne da nadzira. Nadzor pride v 4. koraku, ko veste, kaj je tam.

2. korak — Vsak sistem razvrstite po stopnji tveganja glede na Prilogo III (20 minut)

Priloga III k Aktu EU o UI našteva osem visokotveganih področij [1]: biometrično identifikacijo, kritično infrastrukturo, izobraževanje in poklicno usposabljanje, zaposlovanje in upravljanje delavcev, dostop do bistvenih storitev, kazenski pregon, migracije in nadzor meja ter izvajanje pravosodja. Pri MSP so živi sprožilci običajno zaposlovanje (pregledovanje življenjepisov, razvrščanje uspešnosti, samodejno razporejanje), dostop do storitev (kreditne odločitve, oblikovanje cen zavarovanj) in izobraževanje (ocenjevanje usposabljanj, certificiranje).

Vsak sistem na seznamu označite kot enega od: visokotvegani (ustreza Prilogi III), z omejenim tveganjem (obveznosti glede preglednosti po členu 50), z minimalnim tveganjem (brez posebnih obveznosti razen usposobljenosti po členu 4) ali uvajalec UI za splošne namene (uporaba modela UI za splošne namene kot ogrodja za klepetalnika ali pomočnika) [1]. Večina naborov pri MSP se razporedi v dve ali tri stopnje. Razvrstitev je presoja uvajalca; je ni mogoče prenesti na ponudnika in nanjo ne vpliva velikost podjetja.

3. korak — Izpolnite deset osnovnih stolpcev (25 minut)

Stolpci, ki si na registru uvajalca prislužijo svoje mesto:

  1. Ime sistema — kakor mu zaposleni pravijo iz dneva v dan.
  2. Ponudnik — pravni subjekt za izdelkom.
  3. Model ali različica — kjer je znana (npr. GPT-4o, Claude 3.5, Gemini 1.5, lastni razvoj).
  4. Primer uporabe — en stavek, ki opisuje, kaj sistem odloča ali ustvarja.
  5. Stopnja tveganja — visoka / omejena / minimalna / uvajalec UI za splošne namene.
  6. Vključeni osebni podatki — DA/NE, ob tem vrste po UK GDPR.
  7. Pravna podlaga — podlaga po členu 6 UK GDPR (zakoniti interes, pogodba, privolitev itd.).
  8. Odgovorna oseba — imensko navedena oseba, ne ekipa ali vloga.
  9. Beleženje po členu 26(6) — DA/NE/N. r. za uvedbe visokotveganih sistemov.
  10. Datum uvedbe — najmanj mesec in leto.

Preglednica s temi desetimi stolpci odgovori na prvo vprašanje, ki ga bo postavil vsak regulator, stranka ali član uprave. Vse onkraj tega je izpopolnjevanje, ne delo za različico v1. Uprite se nagonu po dodajanju stolpcev, dokler niste izpolnili vseh desetih v vsaki vrstici.

4. korak — Za vsak sistem imenujte odgovorno osebo (15 minut)

Člen 26(5) od uvajalcev visokotveganih sistemov zahteva, da zagotovijo človeški nadzor po usposobljeni, odgovorni osebi s pooblastilom, da sistem zaustavi ali preglasi [1]. To v registru udejanite tako, da ob vsaki vrstici iz Priloge III imensko navedete dejansko osebo — ne vloge, kot je "vodja IT" ali "vodja operacij". Odgovorna oseba potrebuje tri lastnosti: zna brati izhode sistema, ima pooblastilo, da ga izklopi, in je v vašem registru dosegljiva po imenu.

Za sisteme zunaj Priloge III lastnika imenujte vseeno. Formalna obveznost je lažja; disciplina je enaka. Vodje operacij in višji vodje so v večini MSP naravni lastniki; tehnični direktor ali direktor za podatke ni potreben.

5. korak — Naključno preverite človeški nadzor pri enem visokotveganem sistemu (15 minut)

Pri vrstici z najvišjim tveganjem iz Priloge III pojdite skozi tri vprašanja: ali človek pregleda izhod UI, preden ta vpliva na posameznika (preizkus človeka v zanki); ali lahko ta človek v praksi preglasi odločitev UI (preizkus pooblastila); ali je človek prejel usposabljanje, primerno vlogi, po členu 4 (preizkus usposobljenosti) [1]? Odgovori gredo v prosto besedilni stolpec "opombe o človeškem nadzoru" ob desetih osnovnih stolpcih.

Protokola človeškega nadzora v petnajstih minutah ne boste dokončali. Cilj je razkriti, kje je vrzel, ne je zapreti. Vrstica z besedilom "ni človeškega pregleda pri pregledovanju življenjepisov; vrzel za zaprtje v 30 dneh" je natanko pravi rezultat. Naloga registra je, da vrzel napravi vidno; njeno zapiranje je ločen delovni tok in ločen proračun.

Gradnja 90-minutnega registra UI kot časovno omejen potek: popis sistemov v 15 minutah, razvrstitev tveganja glede na Prilogo III v 20, izpolnitev desetih osnovnih stolpcev v 25, imenovanje odgovornega lastnika v 15 in naključno preverjanje nadzora v 15.
Gradnja 90-minutnega registra UI kot časovno omejen delovni tok.

Katerih pet pasti ubije različico v1 registra UI?

  • Obravnavanje registra kot enkratnega dokumenta. Obveznosti po členu 26 so trajne; register je živ izdelek, ki ga pregledate vsaj vsako četrtletje in osvežite vsakič, ko je uveden nov sistem UI ali ko ponudnik objavi večjo spremembo modela.
  • Spregledana siva UI. Neplačani zasebni računi in osebne seje Copilota so kategorija z največ incidenti in najmanj vidnosti. Če jih register ne razkrije, laže.
  • Nakup "orodja za skladnost" pred popisom. Programska oprema dobavitelja za skladnost vaših primerov uporabe ne bo razvrstila — to zmore le vaša ekipa. Najprej preglednica, orodje kasneje (ali nikoli; za MSP z manj kot 200 zaposlenimi vzdrževana preglednica zadošča).
  • Dodelitev vloge namesto osebe. "Ekipe IT" ni mogoče poklicati. Imensko navedeno osebo s telefonsko številko je mogoče. Člen 26(5) predvideva slednje [1].
  • Popolno preskakovanje usposobljenosti po členu 4. Člen 4 od 2. februarja 2025 velja za vsakega zaposlenega, ki uporablja UI, sorazmerno z njegovo vlogo [1]. To ni stopnja — vsak sistem sproži obveznost po členu 4. Zabeležite jo v register, tudi ko je sam program kasnejše delo.

Kaj storiti po devetdesetih minutah

Register je sloj za odkrivanje. Z njega običajno vzletijo trije nadaljnji delovni tokovi:

  1. Zastavitev ocene učinka na temeljne pravice (FRIA) za vsako vrstico iz Priloge III po členu 27 Akta EU o UI [1] — ločen, poglobljen dokument, ki ga stolpec stopnje tveganja v registru sproži, ne nadomesti.
  2. Program usposabljanja o UI po členu 4 — sorazmeren vlogi, zastavljen glede na stolpec odgovorne osebe v registru, ne glede na število zaposlenih.
  3. Paket skrbnega pregleda dobaviteljev — pogodbe o obdelavi, opisi modelov, izvor UI za splošne namene; zastavljen glede na stolpec ponudnika v registru in osvežen ob obnovi naročila.

To so delovni tokovi, ki jih po naših projektnih izkušnjah vgrajeni pristop pokrije v približno dvanajstih tednih za 18.000–32.000 £, isti delovni tokovi pa naknadni pristop pokrije v šestih stisnjenih tednih za 85.000–145.000 £ — množitelj, skladen s podatki MIT Sloan po uvedbi GDPR, po katerih so podjetja v EU pod pritiskom izvrševanja shranjene podatke zmanjšala za 26 % in računanje za 15 % [4]. Register je najcenejša možna prva poteza proti tej računici.

Povzetek

AI Register in 90 Minutes — a deployer-side inventory
│
├─ The five-step build
│   ├─ List (15m) — paid, embedded, and shadow AI in scope
│   ├─ Risk-tier (20m) — match each system to Annex III
│   ├─ Ten columns (25m) — the audit-ready floor, no more
│   ├─ Name owners (15m) — a person per system, not a team
│   └─ Spot-check (15m) — surface the oversight gap, don't close it
│
├─ Why timebox v1
│   ├─ A living map — Article 26 duties are continuous
│   └─ v1 you update beats v3 you never start
│
└─ What it doesn't buy
    └─ Downstream — FRIA, Article 4 literacy, vendor due diligence

Sorodni vpogledi


Zadnja posodobitev: maj 2026. Različica 1.0.

Frequently Asked Questions

Ali register UI nadomesti evidenco dejavnosti obdelave po GDPR?
Ne, gre za dopolnjujoča se popisa z različnima pravnima podlagama. Evidenca dejavnosti obdelave je obvezna po členu 30 UK GDPR in popisuje tokove osebnih podatkov. Register UI je nasprotni del na strani uvajalca po členu 26 Akta EU o UI in smernicah ICO ter popisuje vsak sistem UI ne glede na to, ali obdeluje osebne podatke. Mnogi sistemi se pojavijo v obeh, a navzkrižno sklicevanje je v obeh smereh ena proti mnogim.
Naši zaposleni uporabljajo brezplačni ChatGPT in zasebni Copilot. Ali to šteje za register?
Da. Obveznosti uvajalca po členu 26 veljajo za MSP ne glede na to, ali je naročnina na UI službena ali zasebna, plačljiva ali brezplačna. V trenutku, ko zaposleni pri delu uporabi orodje UI, je MSP uvajalec in sistem sodi v register. Brezplačni zasebni računi praviloma tudi nimajo pogodbe o obdelavi podatkov, ki jo nudi poslovni paket, kar izpostavljenost po UK GDPR zvišuje in ne znižuje.
Naše MSP ima sedež zunaj EU. Ali za naš register velja Akt EU o UI?
Za MSP s sedežem zunaj EU je neposredna uporaba Akta EU o UI ožja, a redko nična. Akt seže zunaj ozemlja, kadar se izhod sistema uporablja v EU, kar se pri izdelkih SaaS in storitvah B2B dogaja redno. Tudi brez izpostavljenosti v EU nacionalni regulatorji sledijo logiki uvajalca iz Akta — ICO usklajuje britanske smernice o UI z njim že od leta 2023, podobno pa ravnajo druge evropske jurisdikcije zunaj EU. Register, zasnovan po členu 26, zadosti tudi tem nacionalnim smerem razvoja.
Kdo naj bo v MSP brez tehničnega direktorja lastnik registra UI?
Direktor operacij, vodja skladnosti ali višji vodja, ki poroča izvršnemu direktorju. Register je uredniško, ne tehnično delo: vzdrževanje vrstic, osveževanje stopenj tveganja ob spremembah sistemov in vsako četrtletje preverjanje odgovornih oseb. Pogost vzorec pri MSP je en imenovani lastnik, ki register vodi približno tri ure na četrtletje, poleg tega pa imenovana odgovorna oseba za vsako vrstico nosi svoje obveznosti, vezane na sistem.
Kako pogosto naj register osvežimo?
Vsako četrtletje je za MSP realna spodnja meja, k temu pa še osvežitev ob dogodku, kadar koli je nabavljen nov sistem UI ali izide večja sprememba modela (na primer, ko ponudnik preide z ene generacije modela na naslednjo). Za visokotvegane vrstice iz Priloge III se zapisi beleženja po členu 26(6) osvežujejo sproti. Statičen register, star leto dni, ne prestane preizkusa dokazljivosti pred regulatorjem ali nabavno ekipo podjetja.
Ali zadošča preglednica ali potrebujemo namensko orodje GRC?
Za MSP z manj kot približno 200 zaposlenimi preglednica zadošča. Težo revizije nosijo stolpci, imenovani lastniki in disciplina četrtletnega osveževanja, ne platforma. Excel ali Google Preglednice z omejenim dostopom in zgodovino različic zadostijo zahtevi po dokazljivosti. Namenska orodja GRC postanejo koristna nad približno 500 zaposlenimi ali petnajstimi sistemi UI; pod tem stroški orodja presežejo prihranek časa.

Sources

  1. 1.Regulation (EU) 2024/1689 — Artificial Intelligence ActEuropean Parliament and of the Council · 2024
  2. 2.Guidance on AI and Data ProtectionInformation Commissioner's Office (ICO) · 2023
  3. 3.AI and Data Protection Risk Toolkit / AI Auditing FrameworkInformation Commissioner's Office (ICO) · 2023
  4. 4.GDPR's Effects on Firm Data and Computation Use (Bessen, Janßen, Peukert, Seamans)MIT Sloan · 2022

Want this run on your business?

AI Foundation Audit — a structured assessment of your AI footprint: integration risks, governance gaps, ROI opportunities. Delivered as a comprehensive report you can act on.

Start your audit

You receive your Executive Report and Implementation Brief — tailored to your business and delivered immediately.