Prvá časť článku bola zameraná na samotný rámec AI Act – jeho klasifikáciu rizík, vzťah k GDPR a kľúčové povinnosti vývojárov vysokorizikových systémov. V tejto časti sa posuneme ďalej: pozrieme sa na doplnkové regulácie, ktoré zásadne ovplyvňujú spracovanie dát, prístupnosť digitálnych služieb a celkový dizajn AI riešení.
Kapitola IV: Doplnkové regulácie a strategické rámce
Súlad s AI Act a GDPR je základom, ale úspešný vývoj AI si vyžaduje aj pochopenie iných komplementárnych regulácií, ktoré ovplyvňujú prístup k dátam a dizajn systémov.
4.1. Akt o údajoch (Data Act): Vplyv na dáta a ich zdieľanie pre AI
Cieľom Data Act je teda podporovať zdieľanie údajov a inovácie a predchádzať zmluvným a technickým uzamknutiam, ktoré používateľom bránia zmeniť poskytovateľa služieb. Zákon sa vzťahuje okrem iného na výrobcov pripojených zariadení, poskytovateľov cloudových služieb a všetky spoločnosti, ktoré zhromažďujú alebo používajú údaje generované produktmi internetu vecí (IoT).
Poskytovatelia dátových služieb a spoločnosti, ktoré navrhujú, vyrábajú alebo zavádzajú produkty s podporou internetu vecí, budú musieť preskúmať a zrevidovať svoje zmluvné rámce a stratégie správy údajov, aby splnili tieto povinnosti.
Zákon zavádza nové pravidlá na uľahčenie zmeny medzi poskytovateľmi služieb spracúvania údajov, ktoré môžu vyžadovať, aby držitelia údajov zmenili svoje produkty, aby dosiahli cieľ zákona "prístup už v návrhu", aby sa údaje mohli ľahko prenášať.
Tento zákon zahŕňa osobné (napr. poloha, spôsoby používania) aj neosobné údaje (napr. údaje zo senzorov, výkon stroja). Napríklad logistická firma prevádzkujúca nákladné vozidlá s podporou internetu vecí musí mať prístup k údajom v reálnom čase a zdieľať ich s poskytovateľom údržby tretej strany, čo jej umožní využívať iného poskytovateľa údržby ako pôvodného výrobcu.
Povinnosť umožniť takéto zdieľanie prináleží držiteľom údajov – zvyčajne výrobcom alebo poskytovateľom služieb, ktorí kontrolujú prístup k údajom. Musia zabezpečiť, aby boli údaje sprístupnené na požiadanie, a to buď priamo používateľovi, alebo tretej strane určenej používateľom. To si vyžaduje, aby spoločnosti investovali do technickej infraštruktúry a interných procesov, ktoré podporujú včasný, bezpečný a interoperabilný prístup k údajom.
Dôležité je, že zdieľanie údajov s používateľom musí byť poskytované bezplatne. Ak používateľ dá držiteľovi údajov pokyn na prenos údajov tretej strane, môže od tejto tretej strany požadovať spravodlivú kompenzáciu, ale len za náklady, ktoré priamo vznikli pri sprístupňovaní údajov. Používateľom sa nemusia účtovať poplatky za prevody.
Dodržiavanie zákona o údajoch môže byť zložité, najmä ak ide o osobné údaje. Spoločnosti musia posúdiť každú žiadosť podľa všeobecného nariadenia EÚ o ochrane údajov (GDPR), aby zabezpečili právny základ pre zdieľanie, pretože zákon o údajoch nemá prednosť pred existujúcimi pravidlami ochrany údajov.
Ochrana pred nekalými zmluvnými podmienkami
S cieľom podporiť spravodlivý prístup k údajom akt o údajoch obmedzuje používanie nekalých zmluvných podmienok uložených spoločnosťami s výrazne väčšou vyjednávacou silou, najmä veľkými podnikmi, analogicky ako smernica o nekalých podmienkach v spotrebiteľských zmluvách. To je obzvlášť dôležité v odvetviach, kde dominantní hráči kontrolujú kritické prevádzkové údaje.
Podniky by mali aktívne preskúmať existujúce zmluvy a vzory zmlúv s cieľom identifikovať a zmeniť doložky, ktoré by mohli patriť do ktorejkoľvek kategórie, najmä v dohodách o zdieľaní údajov s malými a strednými podnikmi.
Povinnosti zdieľania údajov medzi podnikmi a verejnou správou
V prípade núdzového stavu, ako je pandémia alebo prírodná katastrofa, môžu verejné orgány požiadať súkromný sektor o prístup k údajom. Takéto žiadosti musia byť primerané, odôvodnené a obmedzené na to, čo je nevyhnutne potrebné. Tieto ustanovenia sa vzťahujú na podniky, ktoré majú k dispozícii údaje relevantné pre krízové riadenie, ako sú prevádzkovatelia dopravy, spoločnosti zaoberajúce sa inteligentnou infraštruktúrou alebo poskytovatelia logistických služieb, a vyžadujú od nich, aby mali zavedené jasné postupy na rýchlu a bezpečnú reakciu na oficiálne žiadosti. Záchranné služby môžu napríklad požiadať súkromné monitorovacie systémy infraštruktúry o údaje v reálnom čase počas nepriaznivého počasia na koordináciu úsilia o reakciu na katastrofy.
V týchto núdzových scenároch sa od spoločností vo všeobecnosti vyžaduje, aby poskytli prístup bez náhrady. Naopak, keď orgány verejnej moci požadujú údaje na účely verejného záujmu, ktoré nie sú núdzové, zákon o údajoch zabezpečuje, že spoločnosti majú nárok na spravodlivú kompenzáciu, ktorá pokrýva náklady vynaložené na prípravu a prenos údajov.
Prenosnosť cloudových služieb
V Data Act sa vyžaduje, aby poskytovatelia cloudových služieb vrátane spoločností zaoberajúcich sa infraštruktúrou ako službou (IaaS), platformou ako službou (PaaS) a softvérom ako službou (SaaS), ktoré pôsobia v EÚ alebo ponúkajú služby zákazníkom v EÚ, zjednodušili proces zmeny poskytovateľa pre používateľov s cieľom znížiť závislosť od konkrétneho poskytovateľa. To zahŕňa zabezpečenie interoperability a zabránenie nadmerným zmluvným alebo technickým prekážkam migrácie údajov.
Napríklad spoločnosť používajúca cloudovú analytickú platformu umelej inteligencie (AI) musí byť schopná prenášať svoje údaje a modely do konkurenčnej služby bez zbytočných obmedzení.
Poskytovatelia cloudu sú teraz povinní odstrániť alebo obmedziť zmluvné doložky o uzamknutí, sprehľadniť ceny za prenos a odpojenie údajov a zabezpečiť, aby ich služby boli navrhnuté s ohľadom na interoperabilitu. To zahŕňa technickú kompatibilitu pre prenos údajov, aplikácií a digitálnych aktív medzi službami, ako aj štandardizované rozhrania a formáty údajov, ak je to možné.
Pre podnikových používateľov cloudových služieb toto ustanovenie posilňuje ich schopnosť zachovať si kontrolu nad svojimi osobnými údajmi a digitálnymi aktívami. Spoločnosti môžu teoreticky profitovať zo zvýšenej flexibility, znížených nákladov na zmenu a väčšej konkurencie medzi poskytovateľmi.
V praxi však tieto opatrenia nemusia v plnej miere dosiahnuť zamýšľaný účinok plynulej zmeny poskytovateľa, keďže tvorba cien a technická interoperabilita sú len časťou širšej výzvy.
Mnoho spoločností čelí značným organizačným a prevádzkovým prekážkam pri pokuse o migráciu z jednej cloudovej služby do druhej. Napríklad rozdiely v architektúre služieb, proprietárnych technológiách alebo závislostiach od aplikačných programovacích rozhraní (API) špecifických pre poskytovateľa môžu sťažiť replikáciu výkonu a funkčnosti v novom prostredí.
Záruky proti prístupu vlád tretích krajín
Data Act obsahuje ustanovenia na ochranu iných ako osobných údajov uchovávaných v EÚ pred žiadosťami o prístup zo strany vlád tretích krajín (t. j. vlád krajín mimo EÚ). Cieľom týchto opatrení je zvýšiť transparentnosť a právnu istotu, pokiaľ ide o podmienky, za ktorých je možné získať prístup k takýmto údajom alebo ich preniesť zahraničným orgánom.
Toto ustanovenie je obzvlášť dôležité pre spoločnosti a subjekty, ktoré spracúvajú alebo uchovávajú iné ako osobné údaje v rámci EÚ, vrátane poskytovateľov cloudových služieb, sprostredkovateľov údajov a podnikov ponúkajúcich digitálne produkty a služby.
V prípade dotknutých spoločností to znamená, že budú musieť posúdiť, či je zahraničná žiadosť o prístup v súlade s právom EÚ, a možno budú musieť napadnúť takéto žiadosti, ak sú nezákonné podľa zákona o údajoch.
Spoločnosti musia tiež zabezpečiť, aby každý prenos iných ako osobných údajov do tretej krajiny spĺňal osobitné záruky a podmienky vrátane súdneho povolenia a dodržiavania základných práv.
V praxi to zvyšuje zodpovednosť spoločností za dôkladné vyhodnocovanie požiadaviek na prístup k údajom a udržiavanie spoľahlivých interných postupov na spracovanie medzinárodných žiadostí o údaje. Poskytuje im tiež silnejšie právne dôvody na odolávanie tlaku zahraničných orgánov, hoci ako mnohé spoločnosti videli v prípade GDPR, v praxi sa ľahšie povie, ako urobí, odolávať platným vládnym požiadavkám na prístup k údajom.
Je však kľúčové pochopiť, že Data Act a AI Act sú komplementárne, ale vytvárajú novú komplexnú vrstvu správy údajov. Hoci Data Act podporuje zdieľanie dát, tak AI spoločnosti, ktoré chcú tieto dáta využiť, musia zabezpečiť, že spĺňajú prísne požiadavky AI Act na kvalitu dát, ich reprezentatívnosť a nediskriminačnosť. Ak ide o osobné údaje, stále podliehajú aj všetkým povinnostiam, právam a zásadám GDPR. Spoločnosť preto nemôže dáta len tak jednoducho „nasávať“; ale musí mať robustné interné procesy, ktoré dokážu túto mozaiku regulácií riadiť.
4.2. Európsky akt o prístupnosti (EAA- European Accessibility Act): Inkluzívny dizajn a AI
Európsky akt o prístupnosti (EAA) je smernica, ktorá má zlepšiť prístupnosť digitálnych produktov a služieb v EÚ, najmä pre osoby so zdravotným postihnutím. Hoci sa AI Act priamo o EAA nezmieňuje, tak AI systémy, ktoré sa používajú v oblastiach ako e-commerce, bankové alebo e-learningové služby (ktoré sú zároveň vysokorizikové podľa AI Act), musia spĺňať technické požiadavky EAA. To zahŕňa kompatibilitu so softvérom na čítanie obrazovky, klávesnicovú navigáciu a jasné používateľské rozhranie. Na dosiahnutie tohto súladu môžu byť použité práve AI technológie, napríklad AI-generované titulky alebo zvukové popisy, ktoré zlepšujú prístupnosť audiovizuálneho obsahu.
Kto musí EAA vyhovieť?
EAA sa vzťahuje na podniky so sídlom v EÚ aj na globálne organizácie slúžiace obyvateľom EÚ a má vplyv na širokú škálu priemyselných odvetví vrátane vysielateľov.
Vysielatelia a streamingové platformy, ako sú služby videa na požiadanie a platformy na živé vysielanie:
Poskytovatelia elektronického vzdelávania vrátane spoločností EdTech, univerzít a online platforiem odbornej prípravy
Poskytovatelia elektronického obchodu a digitálnych služieb ponúkajúci obsah, produkty alebo zákaznícku podporu prostredníctvom webových stránok a mobilných aplikácií
Organizácie verejného sektora, ktoré musia zabezpečiť prístupnosť pre všetkých občanov
Medzi základné požiadavky na prístupnosť patria:
Titulky – všetok audiovizuálny obsah musí obsahovať presné titulky na podporu nepočujúcich alebo nedoslýchavých osôb.
Zvukové popisy – videá by mali obsahovať popisný hovorený komentár, aby sa zlepšila dostupnosť pre zrakovo postihnutých používateľov.
Kompatibilita čítačiek obrazovky – webové stránky, platformy a aplikácie musia byť plne navigovateľné pomocou asistenčných technológií, ako sú čítačky obrazovky.
Navigácia pomocou klávesnice – Digitálne služby musia byť použiteľné bez myši, aby sa zabezpečila dostupnosť pre osoby s motorickým postihnutím.
Jasné a intuitívne používateľské rozhranie – Platformy musia obsahovať dobre štruktúrovaný obsah, správny farebný kontrast a ľahko ovládateľné rozhrania, aby vyhovovali používateľom s kognitívnymi alebo zrakovými poruchami.
Pre vysielateľov a pre video platformy sú teraz titulky a titulky povinné, čo si vyžaduje aktualizáciu technológií, pracovných postupov a monitorovania dodržiavania predpisov. Mnoho organizácií bude musieť investovať do nástrojov prístupnosti založených na umelej inteligencii, školiť tímy v oblasti osvedčených postupov a vykonávať pravidelné audity, aby splnili vyvíjajúce sa právne normy.
4.3. Europrivacy: Strategická hodnota certifikácie
Europrivacy je dobrovoľný certifikačný mechanizmus, ktorý bol oficiálne schválený Európskym výborom pre ochranu údajov (EDPB) a je uznávaný vo všetkých členských štátoch EÚ. Hoci nie je povinný, je špeciálne navrhnutý k tomu, aby odstránil obrovský kus formalizmu, ktoré prevádzkovatelia osobných údajov majú vo svojich interných GDPR agendách, ale aj pre nové technológie vrátane AI. Pre spoločnosti vyvíjajúce AI ponúka certifikácia Europrivacy viacero strategických výhod:
Zníženie rizika: Certifikát je považovaný za zmierňujúci faktor pri určovaní administratívnych pokút podľa GDPR.
Budovanie dôvery: Pečať Europrivacy slúži ako dôkaz pre zákazníkov a partnerov, že spoločnosť berie ochranu údajov vážne a prešla prísnym nezávislým auditom.
Konkurenčná výhoda: Certifikácia odlišuje spoločnosť od konkurencie a zlepšuje prístup na trh, najmä pri cezhraničných dátových prenosoch.
4.4. Medzinárodné normy (ISO 42001) ako rámec pre riadenie AI
ISO/IEC 42001 je medzinárodný štandard pre systémy manažmentu umelej inteligencie (AIMS), ktorý poskytuje systematický prístup k riadeniu rizík a príležitostí spojených s AI. Podobne ako pri certifikácii Europrivacy, je ISO 42001 dobrovoľný, ale jeho dodržiavanie je de-facto osvedčeným postupom pre implementáciu komplexnej správy AI. Pre AI vývojárov je tento štandard cenný, pretože poskytuje jasný rámec pre implementáciu požiadaviek AI Act a GDPR v praxi a zároveň preukazuje zodpovednosť a buduje dôveru u investorov a zákazníkov.
Kapitola V: Praktické odporúčania a implementačný plán pre spoločnosť
Na základe analýzy celého regulačného rámca je možné navrhnúť konkrétny, štvorstupňový plán, ako môže vývojárska spoločnosť zabezpečiť komplexný súlad.
5.1. Krok 1: Audit AI portfólia a posúdenie rizík
Spoločnosť musí začať vytvorením detailného inventára všetkých svojich súčasných a plánovaných AI systémov. Následne je nevyhnutné preskúmať tento inventár s cieľom identifikovať potenciálne porušenia, najmä pokiaľ ide o zakázané praktiky, ako je používanie biometrie na necielené účely. Každý systém by mal byť kategorizovaný podľa miery rizika (vysoké, limitované, minimálne). Pre všetky vysokorizikové systémy je kľúčové vykonať posúdenie vplyvu AI (AIIA), a ak spracúvajú osobné údaje, aj posúdenie vplyvu na ochranu údajov (DPIA).
5.2. Krok 2: Zriadenie interného riadiaceho rámca (Governance Framework)
Ďalším krokom je zriadenie interného rámca pre riadenie AI. To zahŕňa vytvorenie špecializovaného tímu pre správu AI a implementáciu systému riadenia kvality (QMS) a systému riadenia rizík (RMS), ktoré budú fungovať ako nepretržité procesy. Je dôležité jasne rozdeliť zodpovednosti v rámci organizácie a zabezpečiť, že všetci zamestnanci sú „AI gramotní“ a rozumejú pravidlám.
5.3. Krok 3: Implementácia technických a organizačných opatrení
Na základe vyššie uvedených požiadaviek musí spoločnosť zaviesť konkrétne opatrenia:
Kvalita dát a zaujatosť: Zriadenie postupov na zabezpečenie, že tréningové dáta sú relevantné, reprezentatívne a neobsahujú zaujatosti.
Transparentnosť a dohľad: Implementácia mechanizmov na zabezpečenie ľudského dohľadu a intervencie.
Dokumentácia a záznamy: Vytvorenie a udržiavanie komplexnej technickej dokumentácie a automatické logovanie udalostí.
5.4. Krok 4: Kontinuálne monitorovanie, audit a certifikácia
Súlad je dynamický proces. Spoločnosť musí pravidelne vykonávať interné audity a testovanie na zabezpečenie, že AI systém naďalej spĺňa všetky požiadavky.15 Pre externé overenie a demonštráciu zodpovednosti voči partnerom a investorom sa odporúča zvážiť dobrovoľnú certifikáciu, ako je
Záver a výhľad do budúcnosti
Analýza ukazuje, že európsky regulačný rámec pre AI je komplexný a vzájomne prepojený. Pre vývojárske spoločnosti, ktoré chcú vyvíjať a predávať vysokorizikovú AI na trhu EÚ, platí, že súlad nie je voliteľný, ale je to Must Have. Namiesto toho, aby sa na regulácie pozeralo ako na prekážku, by mali byť vnímané ako strategická výhoda. Proaktívny prístup, ktorý integruje etiku, bezpečnosť a transparentnosť do celého životného cyklu AI riešenia, nielenže znižuje právne a finančné riziká, ale aj buduje silnú značku a otvára prístup na globálny trh.
EÚ týmto vytvára svetový štandard, ktorý núti spoločnosti vyvíjať nielen výkonné, ale aj bezpečné, etické a dôveryhodné AI systémy. Postupné nadobúdanie účinnosti jednotlivých častí AI Act, od zákazu neakceptovateľných praktík vo februári 2025 až po povinnosti pre vysokorizikové systémy v auguste 2026, dáva spoločnostiam čas na strategickú prípravu. V tomto zmysle sa súlad stáva katalyzátorom inovácií a základom pre dôveryhodnú budúcnosť umelej inteligencie.
