Nariadenie o umelej inteligencii (AI Act), rezonuje naprieč celou Európskou úniou. Čo to znamená pre majiteľov malých a stredných podnikov (MSP)? Platí, že dopad AI Actu nezávisí od veľkosti Vašej firmy, ale od typu a rizík umelej inteligencie, ktorú používate. AI Act od MSP vyžaduje systematický prístup: mať prehľad o tom, aké AI nástroje v ich firme fungujú, kto za nich zodpovedá a aké riziká môžu predstavovať. Robustnosť a povinnosti budú menšie a jednoduchšie v prípade MSP, ktorí používajú AI na bežné účely (rozumej napríklad administratívu, marketing, zákaznícku podporu). Tu je postup pre nasadzujúcu firmu:

1. Inventúra AI nástrojov

Aby ste mohli posúdiť riziká a nastaviť pravidlá, musíte najprv vedieť, aké AI systémy vôbec používate. Preto je kľúčová ich inventúra. Preto prvým a priam najdôležitejším krokom je vytvorenie súpisu všetkých nástrojov s prvkami AI, ktoré sa vo Vašej firme používajú na pracovné účely. Tento súpis musí zahŕňať nielen oficiálne zavedené systémy, ale aj nástroje, ktoré pracovníci začali používať sami na zefektívnenie svojej práce (napr. verejne dostupné verzie ChatGPT, Copilot a pod.). Výsledkom inventúry bude interný dokument, ktorý by mal minimálne zaznamenať názov systému, účel jeho použitia, zodpovednú osobu (kto vo firme zodpovedá za jeho správu a dohľad) a základné riziká tohto AI nástroja. Bude slúžiť ako základ pre ďalšiu analýzu a dôkaz, že používanie AI máte pod aktívnou kontrolou.

2. Interná smernica o používaní AI

V druhom kroku je potrebné vytvoriť internú smernicu, aby firma zabezpečila zodpovedné používanie AI v jej štruktúre. Definujte schválené AI nástroje, ktoré sú povolené na pracovné účely. Určite zákazy alebo limity aké údaje alebo informácie sa do AI nástrojov nesmú vkladať (napr. osobné údaje zákazníkov, interné know-how, finančné dáta). Definujte schvaľovací proces – kto a ako rozhoduje o zavedení nového AI nástroja a zodpovednosť voči otázkam pracovníkov alebo všeobecne problémov. To do akej miery detailná a precizovaná má byť táto smernica závisí od typu a rizík AI nástroja. Ak napríklad pracujete s AI nástrojom, ktorý spadá do kategórie vysokého rizika v oblasti HR, vaše interné procesy musia spĺňať výrazne prísnejšie pravidlá – vrátane povinného testovania systému a zabezpečenia primeraného ľudského dohľadu.

3. Analýza rizík AI nástroja

V ďalšom kroku analyzujte riziká AI nástroja a posúďte jeho reálne dopady. Pýtajte sa ako môže používanie AI ovplyvniť Vaše okolie – zákazníkov, zamestnancov alebo obchodných partnerov. Identifikujte či AI systém:

  • je spoľahlivý. Napríklad neprodukuje zavádzajúce alebo nesprávne informácie, ktoré by niekoho poškodili.
  • je spravodlivý. Mohol by znevýhodniť alebo diskriminovať?
  • chráni súkromie. Ak pracuje s osobnými údajmi, prebieha to v súlade s GDPR a existuje na to právny základ?

Výstupom by mal byť písomný záznam.

4. Monitoring a aktívny dohľad

Po samotnom nasadení AI nástroja nastupuje fáza aktívneho dohľadu nad ním a jeho monitoringu. Keďže sa AI nástroje aktualizujú vyvíjajú a mení sa ich správanie, je potrebné nad nimi vykonávať priebežný dohľad. Monitoring zahŕňa:

  1. kontrolu výstupov – v prípade generatívnej AI je dôležité mať určenú osobu, ktorá overuje správnosť a kvalitu výstupov pred ich použitím,
  2. sledovanie aktualizácií a nových verzií – pričom sa opätovne skúmajú riziká a dopady AI nástroja a
  3. evidenciu incidentov – zaznamenávajú sa problémy, chyby alebo sťažnosti spojené s fungovaním AI nástroja.

Cieľom mapovania nie je len byrokratický zoznam. Slúži na pochopenie toho, ako vaša firma reálne funguje, a na riadenie rizík spojených s modernými technológiami. Evidovať a regulovať používanie AI nástrojov je dnes už nevyhnutnosťou pre každú zodpovednú firmu. Odporúčame mať ľahko dohľadateľnú všetku relevantnú dokumentáciu najmä pre prípady internej potreby alebo kontroly zo strany Národného orgánu dohľadu (napr. MIRRI alebo iného špecializovaný úradu). Riešením je vytvoriť kontrolný zoznam dokumentácie, ktorý bude obsahovať všetky vyššie informácie spomenuté v tomto článku a navyše aj potvrdenia o školení zamestnancov a záznamy o prípadných bezpečnostných incidentoch. Príprava na AI Act znamená pre väčšinu MSP zavedenie dobrej „digitálnej hygieny“ a poriadku v procesoch.