EU AI Act: čo to znamená pre firmu nasadzujúcu AI

Väčšina firiem, ktoré dnes nasadzujú AI, predpokladá, že regulácia sa ich netýka — že EU AI Act je starosť veľkých technologických spoločností, ktoré modely vyvíjajú. Tento predpoklad je nesprávny. Ak váš podnik AI systém prevádzkuje, integruje alebo ďalej dodáva — ste nasadzujúca strana (deployer) v zmysle nariadenia, a máte vlastné zákonné povinnosti. Porušenie môže znamenať pokutu do 3 % globálneho ročného obratu alebo 15 miliónov eur, podľa toho, čo je vyššie.

Tento článok nie je právna porada a výklad niektorých ustanovení ešte stále podlieha spresneniu. Je to praktická orientačná mapa: kde ste z pohľadu EU AI Act, čo väčšina high-risk nasadení vyžaduje, a čo si overiť ešte pred tým, ako projekt skolaudujete do produkcie.

Kedy a čo vstúpilo v platnosť

EU AI Act je nariadenie EÚ — platí priamo vo všetkých členských štátoch vrátane Slovenska, bez potreby národnej transpozície. Nadobudlo účinnosť v auguste 2024, ale povinnosti sa zavádzajú postupne:

• Február 2025: Zákaz AI systémov s neprijateľným rizikom (manipulatívne techniky, sociálny skóring, biometrická kategorizácia v reálnom čase na verejných priestranstvách).
• August 2025: Povinnosti pre poskytovateľov GPAI modelov (modely všeobecného účelu, ako sú veľké jazykové modely) plus zverejnenie Code of Practice. Od tohto termínu platí aj pokutovanie.
• August 2026: Vstup do platnosti väčšiny zostávajúcich ustanovení — vrátane povinností pre high-risk AI systémy. Toto je termín, ktorý sa týka väčšiny B2B nasadení.

Ak teda dnes nasadzujete AI v oblastiach kritickej infraštruktúry, HR, riadení prístupu, vzdelávaní alebo zdravotníctve — máte do augusta 2026 čas pripraviť sa. Nie veľa.

Štyri rizikové kategórie — kde sa nachádzate

EU AI Act triedi AI systémy do kategórií podľa rizika. Kategória určuje, aké povinnosti platia.

Neprijateľné riziko — zakázané aplikácie. Sem patria systémy sociálneho skóringu občanov štátom, manipulatívne techniky využívajúce podprahové podnety, biometrická identifikácia v reálnom čase na verejných miestach. Pre B2B priemyselné nasadenia je táto kategória spravidla irelevantná.

Vysoké riziko (high-risk) — najprísnejšia regulácia pre povolené systémy. Príloha III nariadenia taxatívne vymenúva oblasti: biometrická identifikácia, kritická infraštruktúra (energia, voda, doprava), vzdelávanie (prijímanie, hodnotenie), zamestnanie a HR (nábor, hodnotenie výkonu, prepúšťanie), prístup k podstatným súkromným a verejným službám (scoring pri úveroch, núdzové volania), presadzovanie práva, správa migrácie, výkon spravodlivosti. Chatbot v zákazníckej podpore spravidla nie je high-risk — ale chatbot, ktorý triážuje lekárske požiadavky alebo rozhoduje o zamietnutí žiadosti o pôžičku, môže byť.

Obmedzené riziko — transparentnostné povinnosti. Systémy, ktoré interagujú s ľuďmi (chatboty), syntetizujú obsah (deepfake, AI-generovaný text), musia byť jasne označené. Používateľ musí vedieť, že komunikuje s AI, ak to nie je samozrejmé z kontextu.

Minimálne riziko — žiadne špeciálne povinnosti. Veľká väčšina B2B AI aplikácií (spracovanie dokumentov, prediktívna analytika, odporúčacie systémy) sem patrí — ak nespĺňa kritériá vyšších kategórií.

Praktická demarkácia: Ak váš AI systém vstupuje do rozhodnutí, ktoré majú právne alebo podobne závažné účinky na fyzické osoby, alebo ak pracuje v oblastiach z Prílohy III — preveďte klasifikáciu. Ak pracujete výhradne s internou dátovou analytikou bez dopadov na fyzické osoby, ste pravdepodobne v minimálnom riziku.

Povinnosti nasadzujúcej strany pri high-risk systémoch

Článok 26 EU AI Act definuje povinnosti deployer-a — teda firmy, ktorá high-risk systém prevádzkuje, aj keď ho nevyvinula. Kľúčové body:

Technické a organizačné opatrenia. Musíte zaviesť primerané opatrenia na správne a zamýšľané používanie systému v súlade s návodom poskytovateľa. Toto zahŕňa konfiguráciu, prístupové práva, monitoring.

Ľudský dohľad (human oversight). Pri high-risk systémoch musíte zabezpečiť, aby výstupy AI revidoval a overoval kompetentný človek pred prijatím opatrenia s dopadom na fyzickú osobu. Nestačí, že systém má tlačidlo "override" — overovacia osoba musí mať potrebné kompetencie a reálnu možnosť rozhodnutie zmeniť. V priemyselnom prostredí to znamená definovať zodpovedné role a zdokumentovať postup.

Monitoring. Musíte monitorovať správanie systému v produkčnom prostredí, identifikovať riziká a anomálie. Ak zistíte, že systém funguje inak ako zamýšľané, máte povinnosť informovať poskytovateľa. Toto je silný argument pre observability AI agentov a evals ako nie-voliteľný, ale compliance-povinný prvok.

Záznamy a logy. Pri high-risk systémoch musíte uchovávať logy prevádzky v rozsahu, ktorý umožňuje post-hoc audit. Retenčné doby závisí od sektora. Ak AI systém robí rozhodnutia v HR alebo finančných službách — logy sú dôkazový materiál.

Notifikácia dotknutých osôb. Fyzické osoby, na ktoré sa vzťahuje rozhodnutie high-risk AI systému, majú právo vedieť, že AI bolo použité. V praxi to znamená komunikáciu v procesoch (napr. informácia v odmietnutí žiadosti, v HR rozhodnutí).

Data governance. Tréningové a validačné datasety pre high-risk systémy musia spĺňať požiadavky na relevantnosť, reprezentatívnosť a absenciu diskriminačných vzorov. Ak systém dodávate vy — toto je povinnosť poskytovateľa. Ak ho nasadzujete — musíte overiť, že poskytovateľ túto dokumentáciu má.

Risk management — čo to v praxi znamená

EU AI Act vyžaduje pre high-risk systémy kontinuálny risk management počas celého životného cyklu, nie jednorazové posúdenie pri nasadení. V praxi to znamená:

• Pred nasadením: Zdokumentovaná analýza rizík — aké škody môže systém spôsobiť, aká je pravdepodobnosť, aké sú mitigácie. Nie narýchlo spísaný dokument, ale živý artefakt, ktorý sa aktualizuje pri každej podstatnej zmene systému.
• Počas prevádzky: Pravidelná revízia — zmenil sa use-case? Zmenil sa model? Zmenili sa vstupné dáta? Každá z týchto zmien môže zmeniť rizikový profil.
• Po incidente: Zdokumentovaný postup reakcie, notifikácia regulátorovi, ak incident mal závažný dopad.

Z hľadiska metodológie je risk management podľa EU AI Act blízky tomu, čo firmy robia pri ISO 27001 alebo GDPR DPIA — nejde o nový koncept, len o nové uplatnenie v oblasti AI. Ak máte existujúci bezpečnostný ISMS framework, rozšírte ho o AI-špecifické kontroly namiesto budovania paralelnej štruktúry.

Dokumentácia — čo mať pripravené

Toto je oblasť, kde väčšina firiem zaostáva najviac. EU AI Act predpokladá, že high-risk systémy majú dostupnú technickú dokumentáciu — nie pre audítorov, ale ako živý nástroj riadenia. Minimálne:

• Opis systému a jeho zamýšľaného účelu — čo systém robí, na aké rozhodnutia sa používa, kto sú dotknuté osoby.
• Architektúra a dátové toky — kde dáta vstupujú, kde sa spracúvajú, kde sa ukladajú výstupy.
• Tréningové a validačné datasety (ak ste poskytovateľ) — pôvod, rozsah, opatrenia na kvalitu, absenciu bias.
• Výsledky testovania a validácie — vrátane edge cases a zlyhání. Toto priamo súvisí s tým, ako merať kvalitu LLM aplikácie.
• Human oversight postup — kto, ako a kedy reviduje výstupy AI.
• Risk register — identifikované riziká, mitigácie, zodpovednosti.
• Postup pri incidentoch — eskalácia, notifikácia, nápravné opatrenia.

Záznamy sa musia uchovávať po dobu, ktorá zodpovedá regulačnému kontextu systému — vo finančných službách a zdravotníctve typicky niekoľko rokov.

Priesečník s GDPR

EU AI Act a GDPR sa navzájom dopĺňajú — AI Act nezrušuje ani nenahradí GDPR. Ak váš AI systém spracúva osobné údaje (čo väčšina business aplikácií robí), platia súčasne oba predpisy.

Kľúčové priesečníky:

Právny základ spracúvania. Aj keď AI Act umožňuje nejaký processing, stále potrebujete GDPR legal basis — súhlas, oprávnený záujem, zmluva. Nasadenie AI v HR bez explicitného právneho základu je porušenie GDPR, nie len AI Act.

DPIA (Data Protection Impact Assessment). Ak high-risk AI systém spracúva osobné údaje, veľmi pravdepodobne spustí povinnosť DPIA podľa GDPR článku 35. V praxi má zmysel robiť DPIA a AI Act risk assessment súbežne — zdieľajú veľkú časť podkladov.

Práva dotknutých osôb. GDPR zaručuje právo na vysvetlenie automatizovaného rozhodnutia. AI Act dopĺňa, že dotknutá osoba musí byť informovaná o použití AI. Kombinácia: procesy musia vedieť poskytnúť ľudsky zrozumiteľné vysvetlenie, prečo AI rozhodlo tak ako rozhodlo. Toto má priamy dopad na to, aké eval procesy staviate a ako logujete rozhodnutia.

Dáta na tréning. Ak fine-tunujete model na vlastných firemných dátach, ktoré obsahujú osobné údaje — potrebujete na to právny základ. Toto je oblasť, kde GDPR a LLM nad firemnými dátami kladie ďalšie požiadavky. Anonymizácia pred trénovaním je riešenie, ale musí to byť skutočná anonymizácia — pseudonymizácia v zmysle GDPR nestačí.

Transparentnostné povinnosti pre systémy s obmedzeným rizikom

Aj keď váš systém nie je high-risk, môžu platiť transparentnostné povinnosti. Relevantné pre väčšinu B2B firiem, ktoré nasadzujú chatboty alebo generatívny AI:

• Každý systém, ktorý interaguje s ľuďmi textom alebo hlasom a mohol by byť zamenený za ľudský, musí byť označený ako AI — ak to nie je zrejmé z kontextu.
• Systémy generujúce syntetický obsah (texty, obrázky, audio, video) pre verejnosť musia byť strojovo detekovateľne označené (watermarking alebo metadata).
• Výnimka existuje pre systémy, kde AI charakter je zrejmý z kontextu (napr. používateľ sám spustil AI generátor).

V praxi: ak nasadzujete AI asistenta v zákazníckej podpore — vo vstupnej komunikácii musí byť zrejmé, že ide o AI. Ak generujete marketingový obsah pomocou AI — zvážte, ako toto označenie integrujete.

Čo robiť teraz — prioritný checklist

August 2026 je menej ako rok. Pre firmy s komplexnejšími systémami to nie je veľa času. Odporúčaný postup:

1. 1.Klasifikácia portfólia — prejdite všetky AI systémy a zhodnoťte, do ktorej kategórie spadajú. Ak máte pochybnosti, konzultujte s právnikom so zameraním na technologickú reguláciu.
2. 2.High-risk systémy prioritne — pre každý high-risk systém spustite risk assessment a inventár dokumentácie. Identifikujte medzery.
3. 3.Human oversight audit — sú vaše procesy schopné reálneho ľudského dohľadu, alebo je to len formalita? Definujte zodpovedné role, kompetencie, eskalačné cesty.
4. 4.Logging a monitoring — zaistite, že máte logy na úrovni, ktorá umožňuje post-hoc audit. Ak nasadzujete AI agentov, toto je obzvlášť kritické.
5. 5.GDPR × AI Act súbeh — ak ešte nemáte DPIA pre AI systémy spracúvajúce osobné údaje, doplňte.
6. 6.Dodávateľský reťazec — ak kupujete AI systém od externého dodávateľa, vyžiadajte si technickú dokumentáciu podľa AI Act. Nedostupnosť dokumentácie je varovný signál.
7. 7.Interné vzdelávanie — ľudia zodpovední za human oversight musia rozumieť limitom systémov, ktoré revidujú. "Schválim, lebo AI to odporučilo" nie je ľudský dohľad.

Časté otázky

Týka sa EU AI Act aj malých firiem?

Áno. Nariadenie neobsahuje výnimku pre malé a stredné podniky pri high-risk kategórii. Existujú len mierne úľavy pre malé firmy v oblasti technickej dokumentácie — ale základné povinnosti (human oversight, risk management, záznamy) platia rovnako. Ak ste SME a nasadzujete AI v HR alebo pri rozhodnutiach o prístupe k službám, povinnosti sa vás týkajú.

Chatbot v zákazníckej podpore — je to high-risk?

Vo väčšine prípadov nie — ak chatbot len odpovedá na otázky a ľudský operátor rozhoduje o podstatných záležitostiach. Ale pozor na edge cases: chatbot, ktorý triážuje zdravotné požiadavky a na základe odozvy AI sa odosiela alebo neodosiela záchranná pomoc, môže byť klasifikovaný inak. Vždy posúďte konkrétny use-case, nie len formu (chatbot vs. iné).

Ak používame model ako OpenAI alebo Anthropic, zodpovedajú oni?

Poskytovatelia modelov majú vlastné povinnosti — najmä pri GPAI modeloch (transparentnosť, copyright, bezpečnostné testovanie). Ale Article 26 je adresovaný deployer-om — to ste vy. Poskytovateľ modelu nie je zodpovedný za to, na čo ich model vo vašom produkte použijete. Zodpovednosť za nasadenie, use-case, human oversight a dokumentáciu nesie nasadzujúca firma.

Ako sa líši EU AI Act od GDPR z pohľadu pokút?

GDPR: pokuty až do 4 % globálneho obratu alebo 20 miliónov eur (podľa toho, čo je vyššie) za najzávažnejšie porušenia. EU AI Act: pokuty až do 3 % globálneho obratu alebo 15 miliónov eur pre nasadzujúce strany pri high-risk porušeniach; prísnejšie pre zakázané praktiky (7 % / 35M). Oba predpisy môžu byť porušené súčasne tou istou situáciou — kumulácia pokút je možná.

Čo ak náš systém nie je high-risk, ale dáta spracúvame v cloude mimo EÚ?

AI Act je v tomto bode samostatný problém od toho, kde sa dáta spracúvajú — to riadi GDPR. Ale oba predpisy sa typicky porušia súbežne: nasadenie high-risk AI systému s osobnými dátami, bez DPIA, na infraštruktúre bez štandardných zmluvných doložiek, je štvorité porušenie. Nasadenia v regulovaných odvetviach (zdravotníctvo, finančné služby) majú ešte sektorové pravidlá navyše. Pre tieto prípady je argument pre on-prem alebo EU-hosted LLM nielen technický, ale aj compliance-driven.

*EU AI Act zaviedol nový typ zodpovednosti — nielen za to, čo firmy robia s dátami, ale za to, čo AI systémy robia s ľuďmi. Dobrá správa je, že firmy, ktoré majú poriadok v GDPR procese a bezpečnostnom riadení, majú solídny základ. MP Industrial Solutions pomáha technickým tímom posúdiť, kde sa nachádzajú z pohľadu compliance, a nastaviť dokumentáciu, monitoring a human oversight procesy skôr, než príde termín alebo audit.*