EU AI Act: praktický kontrolní seznam pro firmy

EU AI Act je nyní v platnosti a většina ustanovení ovlivňujících podniky nasazující AI systémy platí od srpna 2026. Pokud vaše organizace používá AI k podpoře rozhodování v oblastech jako HR, hodnocení úvěrů, přístup ke vzdělání nebo správa kritické infrastruktury, pravděpodobně máte co do činění s vysoce rizikovým systémem podle klasifikace Aktu. Tento kontrolní seznam je praktickým výchozím bodem — nikoli právním poradcem — který vám pomůže pochopit, co je požadováno a proč on-premise AI s Privonis může compliance výrazně usnadnit.

Krok 1: Klasifikujte svůj AI systém podle kategorie rizika

Akt rozděluje AI systémy do čtyř úrovní: nepřijatelné riziko (zakázáno), vysoké riziko (přísné povinnosti), omezené riziko (povinnosti transparentnosti) a minimální riziko (žádné specifické požadavky). Většina podnikových nasazení AI — nástroje pro nábor, hodnocení zákazníků, zpracování dokumentů pro regulovaná rozhodnutí — spadá do kategorie vysokého nebo omezeného rizika. Nesprávná klasifikace vysoce rizikového systému jako omezeného rizika je v této fázi nejčastější compliance chybou.

Krok 2: Sestavte technickou dokumentaci

Vysoce rizikové systémy musí být před uvedením na trh nebo do provozu doprovázeny podrobnou technickou dokumentací. Tato dokumentace musí popisovat zamýšlený účel, použitá trénovací data, metriky výkonu, předvídatelné scénáře zneužití a opatření pro řízení rizik. Pokud nasazujete základní model třetí strany prostřednictvím API, může být získání této dokumentace od poskytovatele obtížné nebo nemožné. Self-hosted modely vám dávají plnou viditelnost do zásobníku.

• Obecný popis: zamýšlený účel, historie verzí, interakce s jinými systémy.
• Návrh a vývoj: správa dat, metodologie trénování, popis architektury.
• Validace a testování: metriky výkonu, testovací datasety, známá omezení.
• Řízení rizik: identifikovaná rizika, zmírňující opatření, hodnocení zbytkového rizika.
• Postmarketový monitoring: plán sledování výkonu po nasazení.
• Záznamy a logy: auditovatelná stopa výstupů systému, zejména pro vysoce rizikové rozhodnutí.

Krok 3: Implementujte mechanismy lidského dohledu

Akt požaduje, aby vysoce rizikové AI systémy byly navrženy tak, aby umožňovaly fyzickým osobám efektivně dohlížet a zasahovat během používání. To znamená, že systém musí být schopen být zastaven, přepsán nebo opraven lidským operátorem. Znamená to také, že rozhraní musí prezentovat výstupy způsobem, který kompetentní člověk dokáže smysluplně interpretovat a napadnout. Autonomní rozhodování bez člověka ve smyčce je povoleno pouze v přísně vymezených scénářích, a i tehdy s úplným logováním.

Compliance není zaškrtnutí políčka — je to architektonické rozhodnutí. Zabudujte dohled od prvního dne, ne jako dodatečný nápad.

Krok 4: Správa dat a překryv s GDPR

AI Act zavádí požadavky na správu dat pro trénovací a validační datasety, které stojí vedle — a v některých oblastech se překrývají s — vašimi stávajícími povinnostmi GDPR. Musíte dokumentovat původ trénovacích dat, zajistit, aby byla reprezentativní a bez předsudků, které by mohly vést k diskriminačním výstupům, a uchovávat záznamy o rozhodnutích o zpracování dat. Pokud jsou zapojeny osobní údaje (a ve většině podnikových kontextů budou), musí být činnosti zpracování dat vašeho AI systému také pokryty zákonným základem v souladu s GDPR, smlouvou o zpracování dat s jakýmkoli zpracovatelem a tam, kde je to relevantní, posouzením dopadu na ochranu osobních údajů (DPIA).

Proč on-premise AI zjednodušuje compliance

Když odesíláte data do cloudového AI API, zavádíte zpracovatele třetí strany, potenciální přeshraniční přenos dat a závislost na dokumentaci a auditních schopnostech tohoto poskytovatele — to vše vytváří compliance složitost. Provoz AI na vaší vlastní infrastruktuře s Privonis eliminuje datový tok třetí strany zcela. Ovládáte model, logy, oprávnění přístupu a zásady uchovávání. Vaše data zůstávají v EU. Vaše auditní stopa je vaše. Nejde jen o soukromí: jde o schopnost demonstrovat regulátorovi compliance s důkazy, které skutečně držíte. AI Act je složitý, ale firmy nejlépe připravené splnit jeho požadavky jsou ty, které od začátku udržují skutečnou kontrolu nad svými AI systémy.