AI Act 2026 checklist pre chatboty, HR nástroje a interné AI workflowy
AI Act nie je iba problém modelov a veľkých technologických firiem. Dotkne sa aj bežných spoločností, ktoré používajú AI v zákazníckej komunikácii, HR, interných workflowoch, marketingu alebo rozhodovacích procesoch.
Praktický prvý krok nie je právna analýza na 80 strán. Je to AI register: zoznam nástrojov, účelov, dát, vlastníkov, vendorov, rizík, logovania a ľudskej kontroly. Bez tohto zoznamu firma často ani nevie, čo má posudzovať.
Tento článok nie je právne poradenstvo. Je to technicko-organizačný checklist pre manažment, IT a product ownerov.
Časová os, ktorú treba poznať
Európska komisia uvádza, že AI Act vstúpil do platnosti 1. augusta 2024. Plná aplikácia je plánovaná od 2. augusta 2026, s výnimkami a prechodnými obdobiami. Zakázané praktiky a AI literacy povinnosti sa začali uplatňovať od 2. februára 2025. Pravidlá pre GPAI modely sa začali uplatňovať od 2. augusta 2025. Pri niektorých vysokorizikových systémoch vložených do regulovaných produktov je prechodné obdobie dlhšie.
Dôležité je aj to, že Európska komisia v roku 2025 navrhla zjednodušenia implementácie. Znamená to, že firmy majú sledovať aktuálne usmernenia, nie pracovať s jedným starým PDF navždy.
Ktoré použitia AI preveriť ako prvé
Začnite tam, kde AI komunikuje s ľuďmi, spracúva osobné údaje alebo môže ovplyvniť rozhodnutie.
Typické oblasti:
- chatbot na webe alebo v aplikácii,
- AI v zákazníckej podpore,
- HR screening, hodnotenie CV alebo worker management,
- interný agent s prístupom do CRM, ERP, e-mailu alebo dokumentov,
- generovaný marketingový obsah, obraz, hlas alebo video,
- scoring zákazníkov, priorít, rizík alebo prístupu k službe.
HR témy majú vlastné riziko. Ak používate AI pri nábore alebo zamestnávaní, pozrite si aj náš článok AI Act a HR: vysokorizikové AI v zamestnávaní.
AI register ako minimum
| Položka | Čo zapísať | |---|---| | Názov nástroja | napríklad web chatbot, CRM agent, HR screening | | Owner | business vlastník a technický vlastník | | Účel | čo nástroj robí a prečo | | Dáta | vstupy, osobné údaje, citlivé údaje, zdroje | | Vendor | vlastné riešenie, SaaS, API provider, model provider | | Používatelia | zamestnanci, zákazníci, kandidáti, partneri | | Riziko | nízke, stredné, vysoké a dôvod | | Ľudský dohľad | kde človek kontroluje alebo schvaľuje výstup | | Transparentnosť | ako je používateľ informovaný | | Logovanie | čo sa loguje a ako dlho | | Stav | návrh, pilot, produkcia, vypnuté |
AI register je užitočný aj mimo compliance. Manažment zistí, kde sa AI používa duplicitne, kde unikajú dáta a kde treba technické pravidlá.
Technické kontroly pre AI workflow
Pri každom internom AI workflowe si položte tieto otázky:
- Má nástroj jasného vlastníka?
- Je zdokumentovaný účel a rozsah použitia?
- Vieme, aké dáta spracúva?
- Má používateľ informáciu, že komunikuje s AI alebo že AI významne prispela k výstupu?
- Sú prístupy obmedzené na minimum?
- Logujú sa vstupy, výstupy, nástroje a rozhodnutia?
- Vie človek zastaviť alebo zmeniť rizikový výstup?
- Existuje incident proces?
- Je vendor schopný dodať dokumentáciu?
- Má firma pravidlá pre generovaný obsah?
Pri vlastnom softvéri sa tieto kontroly dajú navrhnúť od začiatku. Pri hotových SaaS nástrojoch si treba vypýtať, čo vendor reálne poskytuje.
Čo spraviť v prvých 30 dňoch
- Zmapujte všetky AI nástroje vo firme.
- Určite ownera pre každý nástroj.
- Rozdeľte použitia podľa rizika.
- Označte AI v kontakte so zákazníkom, HR a rozhodovaní.
- Skontrolujte vendorov a dáta.
- Zaveste rizikové agentické akcie na schvaľovanie.
- Zaveďte základné logovanie.
- Pripravte pravidlá pre generovaný obsah.
- Vyškolte používateľov na bezpečné použitie AI.
- Vyberte jeden workflow, ktorý technicky spevníte ako prvý.
Kde vie pomôcť RISE
RISE nevystupuje ako právny poradca. Naša hodnota je v technickej implementácii pravidiel: AI register, logovanie, approval workflow, role management, bezpečné integrácie, audit existujúcich nástrojov a návrh pilotov s nižším rizikom.
Compliance bez implementácie ostane dokument. Implementácia bez governance je riziko. Firma potrebuje oboje. Ak chcete zmapovať svoje AI nástroje a pripraviť technické kontroly, začnite cez AI automatizáciu alebo kontakt.
Zdroje
- European Commission: AI Act
- AI Act Service Desk: Frequently Asked Questions
- European Commission: GPAI Code of Practice
FAQ
Vzťahuje sa AI Act aj na firmy, ktoré AI iba používajú?
Áno, podľa konkrétneho použitia môžu mať povinnosti aj nasadzovatelia alebo používatelia AI systémov. Rozsah závisí od účelu a rizikovej kategórie.
Sú AI agenti samostatná kategória?
Podľa AI Act Service Desk nie sú AI agenti samostatná kategória. Pravidlá sa určujú podľa toho, čo agent robí a do akej rizikovej kategórie použitie patrí.
Musí byť chatbot označený ako AI?
Pri systémoch, ktoré komunikujú s fyzickými osobami, treba riešiť transparentnosť. Konkrétny text a forma závisia od implementácie.
Je tento článok právne poradenstvo?
Nie. Je to technicko-organizačný checklist. Pri právnom posúdení zapojte právnika alebo compliance špecialistu.
Prečítajte si ďalšie články
Váš AI nástroj na nábor môže byť vysokorizikový podľa AI Act. Tu je, čo to znamená.
AI Act platí v plnom rozsahu od 2. augusta 2026. AI na pracovné inzeráty, triedenie CV a hodnotenie kandidátov spadá pod vysokorizikové pravidlá.
AI agent vo firme: governance checklist pred CRM, ERP alebo e-mailom
AI agent vie šetriť hodiny práce, ale iba vtedy, keď má pred napojením na produkčné systémy jasné práva, logy, schvaľovanie, vlastníkov a postup pri chybe.
NIS2 pre vývojárov: bezpečnostný baseline pre SaaS, ERP a HR systémy
Vaši enterprise klienti vám začnú posielať NIS2 dotazníky. Tu je, čo softvérové firmy potrebujú vedieť o bezpečnostnom baseline, incident response a dodávateľských povinnostiach.