AI Act compliance pre slovenské firmy: Checklist 2026/2027

Nariadenie Európskeho parlamentu a Rady (EÚ) 2024/1689 — všeobecne známe ako AI Act — nadobudlo účinnosť 1. augusta 2024. Nie je to návrh, nie je to plán do budúcnosti. Je to platné európske právo, ktoré sa priamo vzťahuje na každú firmu v EÚ, ktorá AI systémy vyvíja, nasadzuje alebo používa. Napriek tomu väčšina slovenských SME o svojich povinnostiach stále nevie — alebo ich odsúva s tým, že „to ešte nezačalo platiť.“

Začalo. Prvé sankcie za zakázané AI systémy sú možné od 2. augusta 2025. Povinnosti pre systémy všeobecného účelu (GPAI) nastupujú 2. augusta 2026. Plný rozsah pravidiel pre vysokorizikové AI systémy bude vymáhateľný od 2. augusta 2027. Máte okno na prípravu — ale nie je neobmedzené.

Tento článok nie je právnický komentár. Je to operačný sprievodca: čo AI Act hovorí v praxi, ako klasifikovať vaše AI nástroje a čo konkrétne urobiť v roku 2026, aby ste boli pripravení. Ak vás zaujíma hlbší technický audit vašich AI systémov, pozrite sa na náš AI Readiness Audit.

Čo vlastne AI Act reguluje

AI Act sa vzťahuje na firmy v dvoch hlavných rolách: provideri (tí, čo AI systémy vyvíjajú alebo dávajú na trh) a deployers (tí, čo AI systémy používajú vo svojich procesoch). Pre väčšinu slovenských SME je relevantná rola deployer — teda firmy, ktoré nasadzujú hotové AI nástroje od externých dodávateľov (Microsoft Copilot, ChatGPT Enterprise, AI moduly v ERP, HR screening nástroje a podobne).

Kľúčové je pochopiť, že nariadenie nestanovuje zákaz AI. Reguluje mieru rizika a k nej priraďuje proporcionálne povinnosti. Čím vyššie riziko, tým väčší compliance záväzok. Väčšina bežných biznis nástrojov spadá do kategórií s minimálnymi alebo obmedzenými požiadavkami. Problémy nastávajú vtedy, keď firma nevie, v akej kategórii jej AI systém je.

Štyri rizikové kategórie: kde stojí vaša firma

1. Neprijateľné riziko — zakázané systémy

Tieto AI systémy sú v EÚ úplne zakázané od 2. augusta 2025. Patrí sem napríklad biometrická identifikácia osôb v reálnom čase na verejných miestach, systémy sociálneho skórovania (hodnotenie ľudí na základe ich správania), manipulatívne AI využívajúce podvedomé techniky, alebo systémy na predikciu kriminálneho správania na základe demografických profilov. Pre slovenské firmy je pravdepodobnosť nasadenia takýchto systémov nízka — ale ak máte akýkoľvek biometrický alebo behaviorálny skórovací nástroj, overte si jeho klasifikáciu prioritne.

2. Vysoké riziko — prísne povinnosti

Vysokorizikové AI systémy podliehajú rozsiahlym požiadavkám: dokumentácia, hodnotenie zhody, registrácia v databáze EÚ, ľudský dohľad a riadenie rizík. Do tejto kategórie spadajú AI systémy používané v oblastiach ako vzdelávanie (systémy na hodnotenie výkonu žiakov), zamestnávanie (HR screening, hodnotenie uchádzačov a výkon zamestnancov), prístup k základným službám (scoring pre úvery, poistenie), kritická infraštruktúra, a ďalšie citlivé oblasti. Ak používate AI na rozhodovanie o zamestnancoch — napríklad automatický screening CV — ste pravdepodobne deployer vysokorizikového systému.

3. Obmedzené riziko — transparentnosť

Systémy ako chatboty, deepfake generátory alebo AI asistenti pri zákazníckom servise spadajú do tejto kategórie. Hlavná povinnosť je transparentnosť: používateľ musí vedieť, že komunikuje s AI. Táto požiadavka je relatívne jednoduchá na splnenie — stačí jasné označenie v rozhraní alebo uvítacej správe.

4. Minimálne riziko — žiadne špeciálne povinnosti

Väčšina bežných AI nástrojov pre produktivitu — spamové filtre, odporúčacie systémy v e-commerce, AI na úpravu textu, automatické preklady — patrí sem. Zákon pre ne nestanovuje špeciálne povinnosti, hoci sa odporúča dodržiavanie dobrovoľných kódexov správania. Dobrá správa: ak vaša firma používa AI primárne na interné produktivitné účely, ste pravdepodobne v tejto kategórii.

GPAI modely: čo to znamená pre vás

Od 2. augusta 2026 vstupujú do platnosti pravidlá pre modely všeobecného účelu(General Purpose AI, GPAI) — teda veľké jazykové modely ako GPT-4, Claude alebo Gemini. Povinnosti dopadajú primárne na providerov týchto modelov (OpenAI, Anthropic, Google), nie na firmy, ktoré ich len používajú cez API. Pre vás ako deployer to znamená predovšetkým jedno: ubezpečte sa, že váš dodávateľ GPAI modelu má vlastnú dokumentáciu a technickú kartu modelu v súlade s AI Act. Táto požiadavka by mala byť súčasťou vašej vendor due diligence.

Slovenský regulátor — v kontexte AI Act je ním Úrad pre normalizáciu, metrológiu a skúšobníctvo SR (ÚNMS SR) — zatiaľ konkrétne usmernenia pre deployers nezverejnil. Podrobné implementačné pokyny sa očakávajú v druhej polovici roka 2026, keď Európska komisia dokončí podporné kódexy správania a harmonizované normy. Dovtedy platí priamo text nariadenia 2024/1689.

Checklist: 7 krokov pre slovenské SME v roku 2026

Compliance s AI Act nemusí byť zdrvujúci projekt. Pre väčšinu slovenských malých a stredných firiem sa dá zvládnuť vo fázach v priebehu niekoľkých mesiacov. Tu je operačný plán.

1. Inventúra AI systémov

   Zmapujte všetky AI nástroje, ktoré vaša firma používa — vrátane SaaS produktov s AI funkciami, ktoré ste si ani nemuseli vedome vybrat (napr. AI v CRM, automatické triedy podporných ticketov, nástroje na analýzu sentimentu). Vytvorte zoznam: názov nástroja, dodávateľ, účel použitia, kto v organizácii ho používa a na aké rozhodnutia vplýva. Bez tohto zoznamu nemôžete ani začať.

2. Klasifikácia rizika každého systému

   Pre každý nástroj zo zoznamu určite rizikovú kategóriu podľa AI Act. Kľúčová otázka: Ovplyvňuje tento systém rozhodnutia o ľuďoch v oblastiach uvedených v prílohe III? (zamestnávanie, vzdelávanie, prístup k službám, bezpečnosť). Ak áno, pravdepodobne ide o vysokorizikový systém. Ak systém len generuje obsah alebo spracováva interné dáta bez dopadu na rozhodnutia o osobách, ste s najväčšou pravdepodobnosťou v kategórii minimálneho rizika.

3. Vendor due diligence

   Pre každý identifikovaný AI systém si od dodávateľa vyžiadajte dokumentáciu podľa AI Act: technickú kartu modelu (technical documentation), informácie o trénovaní a testovaní, a prehlásenie o zhode pre vysokorizikové systémy. Doplňte do zmlúv AI Act klauzuly — vrátane povinnosti dodávateľa informovať vás o zmenách systému, ktoré môžu zmeniť jeho rizikovú klasifikáciu. Pri výbere nových AI nástrojov (napr. cez AI implementáciu) zapracujte tieto kritériá priamo do výberových kritérií.

4. Dokumentácia a záznamy

   Pre vysokorizikové AI systémy je vedenie záznamov zákonnou povinnosťou. Zdokumentujte: aký systém sa používa, na aké účely, kto je zodpovedný za jeho dohľad a aký je postup eskalácie pri podozrení na chybu alebo zaujatosť. Aj pre systémy nižšieho rizika je interná dokumentácia rozumná — chráni vás pri prípadnom audite alebo reklamácii zo strany zákazníka.

5. Školenie zamestnancov

   AI Act explicitne vyžaduje, aby deployers zabezpečili AI literacy— teda základnú gramotnosť a kompetencie — u zamestnancov pracujúcich s AI systémami (čl. 4). Nestačí systém nainštalovať. Tím musí rozumieť tomu, čo nástroj robí, čo nerobí, a kedy treba zasiahnuť ľudský úsudok. Naplánujte základné školenie pre každú skupinu používateľov — osobitne pre tých, ktorí s AI robia rozhodnutia o iných ľuďoch.

6. Nastavenie interného riadenia (governance)

   Určite, kto v organizácii zodpovedá za AI compliance. Pre väčšinu SME to nebude samostatná pozícia, ale pridaná zodpovednosť existujúceho manažéra (napr. COO, IT manažér, právnik). Vytvorte jednoduchú politiku schvaľovania nových AI nástrojov: kto musí odsúhlasiť nasadenie nového AI systému pred jeho spustením? Aj jeden e-mailový krok navyše môže zabrániť nasadeniu nekvalifikovaného nástroja.

7. Monitoring a revízia

   AI Act nie je jednorazová úloha. Systémy sa menia, nové verzie menia fungovanie modelu, dodávatelia upravujú podmienky. Nastavte si ročný cyklus revízie: prekontrolujte inventúru, overte, či sa nezmenila klasifikácia niektorého systému, a skontrolujte zmluvné podmienky s kľúčovými AI dodávateľmi. Sledujte aj vývoj sekundárnej legislatívy — harmonizované normy a kódexy správania, ktoré Komisia priebežne vydáva.

Compliance ako príležitosť, nie záťaž

Inventúra a klasifikácia AI systémov má vedľajší efekt, ktorý väčšina firiem prehliadne: prinúti vás zistiť, čo vlastne používate a prečo. Mnohé organizácie zistia, že platia za AI nástroje, ktoré nikto aktívne nevyužíva, alebo že duplicitné systémy robia to isté bez koordinácie. Ak vás zaujíma, ako z tejto inventúry vyťažiť aj prevádzkový úžitok, pozrite si náš článok o znižovaní operačných nákladov pomocou AI.

Firmy, ktoré pristupujú k AI Act compliance systematicky, získavajú interný register AI systémov, jasnú zodpovednosť za technologické riziká a lepší základ pre rokovania s dodávateľmi. Toto sú výhody, ktoré majú hodnotu aj bez regulačného tlaku.

Cieľom nie je naplniť šanóniku dokumentmi. Cieľom je vedieť, čo vaše systémy robia — a mať o tom dôkaz, keď sa niekto opýta.