Kako v 90 minutah zgraditi register UI (Akt EU o UI)
V petih korakih in 90 minutah do registra UI, ki ga evropska MSP potrebujejo po členu 26 Akta EU o UI in smernicah ICO. Začetni stolpci, pasti, pravila o lastništvu.

Večina evropskih MSP register UI obravnava kot zajeten izdelek, ki ga bodo pripravili, ko bo izvrševanje Akta EU o UI začelo gristi. To je napaka v kategoriji. Delujoča različica v1 vzame devetdeset minut, če jo zastavite kot popis na strani uvajalca, ne kot izdelek za izkazovanje skladnosti. Spodaj je gradnja v petih korakih, ki jo v naših revizijskih projektih izvajamo z vodji operacij — ista, ki sliko tveganja po Prilogi III spravi na eno stran do petka popoldne in si prisluži prostor, da kasneje počasnejše delo opravite kot je treba.
Hiter odgovor. Register UI je popis vseh sistemov UI v vaši organizaciji na strani uvajalca, ki ga predvidevajo obveznosti uvajalca iz člena 26 Akta EU o UI [1] in je usklajen s smernicami ICO po UK GDPR [2]. Delujoča različica v1 za MSP z manj kot 200 zaposlenimi vzame devetdeset minut: 15 minut za popis, 20 za razvrstitev tveganja glede na Prilogo III, 25 za izpolnjevanje osnovnih stolpcev in 30 za dodelitev lastnikov ter naključno preverjanje nadzora.
Kaj je register UI?
Register UI je za obveznosti uvajalca iz člena 26 to, kar je evidenca dejavnosti obdelave za člen 30 UK GDPR: živ popis, ki imensko navede vsak sistem, razvrsti njegovo stopnjo tveganja in dodeli odgovorno osebo. To je dokument, ki ga bo preiskovalec ICO, nabavni oddelek ali ekipa za varnost dobaviteljev pri poslovni stranki zahteval prvega.
Akt EU o UI oblike registra v besedilu uredbe ne predpisuje. Člen 26(5) od uvajalcev visokotveganih sistemov zahteva, da zagotovijo človeški nadzor po imensko navedeni, usposobljeni osebi; člen 26(6) zahteva beleženje uporabe visokotveganih sistemov za najmanj šest mesecev [1]. Register je operativna podlaga, ki oboje napravi vidno. ICO že od leta 2023 jasno sporoča, da UI, ki po UK GDPR obdeluje osebne podatke, sproži disciplino ocene učinka v zvezi z varstvom podatkov (DPIA) in obveznosti glede odgovornosti [2], revizijski komplet ICO za UI pa našteva vrste strukturiranih zapisov, ki jih bo MSP potrebovalo [3]. Noben regulator ne predpisuje določenega orodja. Preglednica, ki poimenuje prave stolpce in dodeli prave lastnike, preizkus prestane.
Zakaj devetdeset minut deluje (in česa vam ne kupi)
Register ni cilj. Je zemljevid. Devetdeset minut zadošča, da razkrijete, katera UI je v uporabi, razvrstite njeno stopnjo tveganja in dodelite odgovornost — trojico dejstev, ki jo mora vsak uvajalec izkazati, preden regulator, stranka ali uprava postavi vprašanje. Česa vam devetdeset minut ne kupi: ocene učinka na temeljne pravice po členu 27 za vsak sistem iz Priloge III, programa usposabljanja o UI po členu 4, sorazmernega vlogi, paketa skrbnega pregleda dobaviteljev s pogodbami o obdelavi in opisi modelov ali v celoti izpisanega protokola človeškega nadzora [1]. To so kasnejši delovni tokovi, zastavljeni glede na to, kar register razkrije.
Disciplina časovne omejitve šteje bolj kot dovršenost. V naših revizijskih projektih tista MSP, ki register obravnavajo kot večtedenski projekt, ga običajno ne pripravijo; tista, ki različico v1 časovno omejijo na devetdeset minut, register pripravijo prvi dan in ga nato izpopolnjujejo. Obveznosti po členu 26 so trajne, ne enkratne, zato je različica v1, ki jo lahko posodabljate, vredna strogo več kot različica v3, ki je sploh še niste začeli.
Kako poteka delovni tok 90-minutnega registra UI?
1. korak — Popišite vse sisteme UI v uporabi (15 minut)
Trije viri pokrijejo večino tega, kar boste našli. Plačane naročnine SaaS potegnite iz finančne evidence ali kartice za stroške — vsak ponudnik, ki ima v imenu izdelka "AI", "ML", "Copilot", "Assistant" ali "Insight", sodi na seznam. Vgrajeno UI potegnite iz obstoječih platform — Microsoft 365 Copilot, funkcije Gemini v Google Workspace, Salesforce Einstein, HubSpot Breeze, samodejni odgovori v Outlooku in povzetki sestankov v Teams so vsi v obsegu, plačani ali ne. Sivo UI potegnite iz enoodstavčnega sporočila vsem zaposlenim z vprašanjem, katera orodja UI uporabljajo iz dneva v dan, vključno z neplačanimi zasebnimi računi.
Sivo UI obravnavajte kot vključeno v obseg. Zaposleni, ki življenjepis prilepi v brezplačni račun ChatGPT, MSP po določbah Akta EU o UI o zaposlovanju spremeni v uvajalca visokotveganega sistema [1], podatki pa po UK GDPR zapustijo vaše okolje [2]. Naloga registra je, da to razkrije, ne da nadzira. Nadzor pride v 4. koraku, ko veste, kaj je tam.
2. korak — Vsak sistem razvrstite po stopnji tveganja glede na Prilogo III (20 minut)
Priloga III k Aktu EU o UI našteva osem visokotveganih področij [1]: biometrično identifikacijo, kritično infrastrukturo, izobraževanje in poklicno usposabljanje, zaposlovanje in upravljanje delavcev, dostop do bistvenih storitev, kazenski pregon, migracije in nadzor meja ter izvajanje pravosodja. Pri MSP so živi sprožilci običajno zaposlovanje (pregledovanje življenjepisov, razvrščanje uspešnosti, samodejno razporejanje), dostop do storitev (kreditne odločitve, oblikovanje cen zavarovanj) in izobraževanje (ocenjevanje usposabljanj, certificiranje).
Vsak sistem na seznamu označite kot enega od: visokotvegani (ustreza Prilogi III), z omejenim tveganjem (obveznosti glede preglednosti po členu 50), z minimalnim tveganjem (brez posebnih obveznosti razen usposobljenosti po členu 4) ali uvajalec UI za splošne namene (uporaba modela UI za splošne namene kot ogrodja za klepetalnika ali pomočnika) [1]. Večina naborov pri MSP se razporedi v dve ali tri stopnje. Razvrstitev je presoja uvajalca; je ni mogoče prenesti na ponudnika in nanjo ne vpliva velikost podjetja.
3. korak — Izpolnite deset osnovnih stolpcev (25 minut)
Stolpci, ki si na registru uvajalca prislužijo svoje mesto:
- Ime sistema — kakor mu zaposleni pravijo iz dneva v dan.
- Ponudnik — pravni subjekt za izdelkom.
- Model ali različica — kjer je znana (npr. GPT-4o, Claude 3.5, Gemini 1.5, lastni razvoj).
- Primer uporabe — en stavek, ki opisuje, kaj sistem odloča ali ustvarja.
- Stopnja tveganja — visoka / omejena / minimalna / uvajalec UI za splošne namene.
- Vključeni osebni podatki — DA/NE, ob tem vrste po UK GDPR.
- Pravna podlaga — podlaga po členu 6 UK GDPR (zakoniti interes, pogodba, privolitev itd.).
- Odgovorna oseba — imensko navedena oseba, ne ekipa ali vloga.
- Beleženje po členu 26(6) — DA/NE/N. r. za uvedbe visokotveganih sistemov.
- Datum uvedbe — najmanj mesec in leto.
Preglednica s temi desetimi stolpci odgovori na prvo vprašanje, ki ga bo postavil vsak regulator, stranka ali član uprave. Vse onkraj tega je izpopolnjevanje, ne delo za različico v1. Uprite se nagonu po dodajanju stolpcev, dokler niste izpolnili vseh desetih v vsaki vrstici.
4. korak — Za vsak sistem imenujte odgovorno osebo (15 minut)
Člen 26(5) od uvajalcev visokotveganih sistemov zahteva, da zagotovijo človeški nadzor po usposobljeni, odgovorni osebi s pooblastilom, da sistem zaustavi ali preglasi [1]. To v registru udejanite tako, da ob vsaki vrstici iz Priloge III imensko navedete dejansko osebo — ne vloge, kot je "vodja IT" ali "vodja operacij". Odgovorna oseba potrebuje tri lastnosti: zna brati izhode sistema, ima pooblastilo, da ga izklopi, in je v vašem registru dosegljiva po imenu.
Za sisteme zunaj Priloge III lastnika imenujte vseeno. Formalna obveznost je lažja; disciplina je enaka. Vodje operacij in višji vodje so v večini MSP naravni lastniki; tehnični direktor ali direktor za podatke ni potreben.
5. korak — Naključno preverite človeški nadzor pri enem visokotveganem sistemu (15 minut)
Pri vrstici z najvišjim tveganjem iz Priloge III pojdite skozi tri vprašanja: ali človek pregleda izhod UI, preden ta vpliva na posameznika (preizkus človeka v zanki); ali lahko ta človek v praksi preglasi odločitev UI (preizkus pooblastila); ali je človek prejel usposabljanje, primerno vlogi, po členu 4 (preizkus usposobljenosti) [1]? Odgovori gredo v prosto besedilni stolpec "opombe o človeškem nadzoru" ob desetih osnovnih stolpcih.
Protokola človeškega nadzora v petnajstih minutah ne boste dokončali. Cilj je razkriti, kje je vrzel, ne je zapreti. Vrstica z besedilom "ni človeškega pregleda pri pregledovanju življenjepisov; vrzel za zaprtje v 30 dneh" je natanko pravi rezultat. Naloga registra je, da vrzel napravi vidno; njeno zapiranje je ločen delovni tok in ločen proračun.

Katerih pet pasti ubije različico v1 registra UI?
- Obravnavanje registra kot enkratnega dokumenta. Obveznosti po členu 26 so trajne; register je živ izdelek, ki ga pregledate vsaj vsako četrtletje in osvežite vsakič, ko je uveden nov sistem UI ali ko ponudnik objavi večjo spremembo modela.
- Spregledana siva UI. Neplačani zasebni računi in osebne seje Copilota so kategorija z največ incidenti in najmanj vidnosti. Če jih register ne razkrije, laže.
- Nakup "orodja za skladnost" pred popisom. Programska oprema dobavitelja za skladnost vaših primerov uporabe ne bo razvrstila — to zmore le vaša ekipa. Najprej preglednica, orodje kasneje (ali nikoli; za MSP z manj kot 200 zaposlenimi vzdrževana preglednica zadošča).
- Dodelitev vloge namesto osebe. "Ekipe IT" ni mogoče poklicati. Imensko navedeno osebo s telefonsko številko je mogoče. Člen 26(5) predvideva slednje [1].
- Popolno preskakovanje usposobljenosti po členu 4. Člen 4 od 2. februarja 2025 velja za vsakega zaposlenega, ki uporablja UI, sorazmerno z njegovo vlogo [1]. To ni stopnja — vsak sistem sproži obveznost po členu 4. Zabeležite jo v register, tudi ko je sam program kasnejše delo.
Kaj storiti po devetdesetih minutah
Register je sloj za odkrivanje. Z njega običajno vzletijo trije nadaljnji delovni tokovi:
- Zastavitev ocene učinka na temeljne pravice (FRIA) za vsako vrstico iz Priloge III po členu 27 Akta EU o UI [1] — ločen, poglobljen dokument, ki ga stolpec stopnje tveganja v registru sproži, ne nadomesti.
- Program usposabljanja o UI po členu 4 — sorazmeren vlogi, zastavljen glede na stolpec odgovorne osebe v registru, ne glede na število zaposlenih.
- Paket skrbnega pregleda dobaviteljev — pogodbe o obdelavi, opisi modelov, izvor UI za splošne namene; zastavljen glede na stolpec ponudnika v registru in osvežen ob obnovi naročila.
To so delovni tokovi, ki jih po naših projektnih izkušnjah vgrajeni pristop pokrije v približno dvanajstih tednih za 18.000–32.000 £, isti delovni tokovi pa naknadni pristop pokrije v šestih stisnjenih tednih za 85.000–145.000 £ — množitelj, skladen s podatki MIT Sloan po uvedbi GDPR, po katerih so podjetja v EU pod pritiskom izvrševanja shranjene podatke zmanjšala za 26 % in računanje za 15 % [4]. Register je najcenejša možna prva poteza proti tej računici.
Povzetek
AI Register in 90 Minutes — a deployer-side inventory │ ├─ The five-step build │ ├─ List (15m) — paid, embedded, and shadow AI in scope │ ├─ Risk-tier (20m) — match each system to Annex III │ ├─ Ten columns (25m) — the audit-ready floor, no more │ ├─ Name owners (15m) — a person per system, not a team │ └─ Spot-check (15m) — surface the oversight gap, don't close it │ ├─ Why timebox v1 │ ├─ A living map — Article 26 duties are continuous │ └─ v1 you update beats v3 you never start │ └─ What it doesn't buy └─ Downstream — FRIA, Article 4 literacy, vendor due diligence
Sorodni vpogledi
- Upravljanje UI od prvega dne: Strošek naknadnega doseganja skladnosti za MSP — temeljni članek, ki ga ta vodnik podpira. Preberite ga za računico stroškov, primer Northbridge in sedem izdelkov upravljanja od prvega dne.
- Vaše MSP ne potrebuje več orodij UI. Potrebuje strategijo UI.EN — predhodni članek o tem, zakaj je odobren seznam UI pomembnejši od katere koli posamezne naročnine, in o zaporedju revizije in konsolidacije, ki ga ustvari.
Zadnja posodobitev: maj 2026. Različica 1.0.
Frequently Asked Questions
Ali register UI nadomesti evidenco dejavnosti obdelave po GDPR?
Naši zaposleni uporabljajo brezplačni ChatGPT in zasebni Copilot. Ali to šteje za register?
Naše MSP ima sedež zunaj EU. Ali za naš register velja Akt EU o UI?
Kdo naj bo v MSP brez tehničnega direktorja lastnik registra UI?
Kako pogosto naj register osvežimo?
Ali zadošča preglednica ali potrebujemo namensko orodje GRC?
Sources
- 1.Regulation (EU) 2024/1689 — Artificial Intelligence Act — European Parliament and of the Council · 2024
- 2.Guidance on AI and Data Protection — Information Commissioner's Office (ICO) · 2023
- 3.AI and Data Protection Risk Toolkit / AI Auditing Framework — Information Commissioner's Office (ICO) · 2023
- 4.GDPR's Effects on Firm Data and Computation Use (Bessen, Janßen, Peukert, Seamans) — MIT Sloan · 2022
Want this run on your business?
AI Foundation Audit — a structured assessment of your AI footprint: integration risks, governance gaps, ROI opportunities. Delivered as a comprehensive report you can act on.
You receive your Executive Report and Implementation Brief — tailored to your business and delivered immediately.