Článok 27 — Posúdenie vplyvu na základné práva pre systémy umelej inteligencie s vysokým rizikom (Nariadenie EÚ o AI)

Článok 27 Nariadenia (EÚ) 2024/1689 — Posúdenie vplyvu na základné práva pre systémy umelej inteligencie s vysokým rizikom. Oficiálny text, praktická interpretácia, kľúčové povinnosti a dôsledky pre súlad.

Zhrnutie Oficiálneho Textu

Článok 27 Nariadenia (EÚ) 2024/1689 stanovuje povinnosť pre určitých prevádzkovateľov systémov AI s vysokým rizikom vykonať posúdenie vplyvu na základné práva (FRIA) pred uvedením takýchto systémov do prevádzky. Povinnosť sa vzťahuje na prevádzkovateľov, ktorí sú orgánmi spravovanými verejným právom podľa definície v Smernici 2014/24/EÚ, a na prevádzkovateľov, ktorí sú súkromnými subjektmi poskytujúcimi verejné služby — konkrétne v oblastiach bankovníctva, poistenia, zdravotnej starostlivosti, vzdelávania a odbornej prípravy, riadenia zamestnanosti a pracovníkov a správy kritickej infraštruktúry.

Posúdenie musí byť vykonané pred nasadením a musí zahŕňať nasledujúce prvky: opis procesov prevádzkovateľa, v ktorých bude systém AI s vysokým rizikom používaný, a ich účel; kategórie fyzických osôb a skupín, ktoré môžu byť dotknuté; konkrétne riziká pre základné práva, ktoré môžu vyplynúť z používania; konkrétne opatrenia, ktoré prevádzkovateľ hodlá zaviesť na zmiernenie týchto rizík; uvedenie toho, či existujú mechanizmy podávania sťažností alebo odvolacích mechanizmov; a podľa potreby opis vplyvu na deti.

Prevádzkovatelia, na ktorých sa povinnosť vzťahuje, musia tiež notifikovať príslušný orgán dohľadu nad trhom pred nasadením určitých kategórií systémov AI s vysokým rizikom uvedených v Prílohe III. Posúdenie musí vychádzať z informácií poskytnutých poskytovateľom podľa Článku 13 a musí byť zdokumentované a sprístupnené príslušným orgánom.

Čo to znamená v praxi

Pre organizácie v rozsahu pôsobnosti Článok 27 vyžaduje štruktúrovaný, zdokumentovaný proces pred tým, ako akýkoľvek systém AI s vysokým rizikom začne fungovať. Nie je to jednorazové cvičenie — FRIA musí odrážať skutočný kontext nasadenia a musí byť preskúmaná, keď sa tento kontext podstatne zmení.

Verejná nemocnica nasadzujúca systém diagnostiky alebo triedenia pacientov s pomocou AI musí posúdiť, ktoré skupiny pacientov môžu byť nepomerne postihnuté, aké práva sú v stávke (dôstojnosť, nediskriminácia, prístup k zdravotnej starostlivosti) a aké záruky existujú, ak systém produkuje nesprávne odporúčania. Miestny orgán využívajúci systém AI na overovanie nároku na dávky musí identifikovať riziká pre právo na sociálnu ochranu a spravodlivý proces a zdokumentovať, ako bude v praxi fungovať ľudský dohľad.

Súkromné subjekty poskytujúce finančné služby verejnosti — ako platformy na hodnotenie úverového skóre alebo upisovanie poistenia — patria do rozsahu pôsobnosti, ak sa kvalifikujú ako prevádzkovatelia systémov s vysokým rizikom z Prílohy III. Fintech spoločnosť využívajúca model AI na posúdenie žiadostí o úver musí zmapovať demografické skupiny vystavené algoritmickým rozhodnutiam, vyhodnotiť riziko diskriminačných výsledkov a zaviesť zdokumentovanú cestu odvolania.

V praxi by prevádzkovatelia mali integrovať FRIA do svojich existujúcich pracovných tokov posúdenia vplyvu na ochranu údajov (DPIA) podľa GDPR, kde je to relevantné, keďže Článok 27(4) výslovne umožňuje vykonanie oboch posúdení spoločne. Organizácie by mali určiť zodpovedného vlastníka posúdenia, využívať technickú dokumentáciu a pokyny na použitie poskytovateľa ako vstupné údaje a vytvoriť verzionovaný záznam, ktorý možno predložiť dozorným orgánom na požiadanie.

Kľúčové Povinnosti

Vykonať posúdenie vplyvu na základné práva pred nasadením akéhokoľvek systému AI s vysokým rizikom v rozsahu pôsobnosti prevádzkovateľa, pokrývajúce zamýšľané použitie, dotknuté osoby, identifikované riziká a plánované zmierňujúce opatrenia.
Zdokumentovať posúdenie písomne a uchovávať ho na inšpekciu príslušnými orgánmi a orgánmi dohľadu nad trhom na požiadanie.
Notifikovať príslušný orgán dohľadu nad trhom pred nasadením, ak to vyžaduje konkrétna kategória systému AI s vysokým rizikom uvedená v Prílohe III.
Používať informácie a pokyny na použitie poskytnuté poskytovateľom systému AI podľa Článku 13 ako povinný vstup do posúdenia.
Aktualizovať posúdenie, keď sa kontext nasadenia podstatne zmení, vrátane zmien v kategóriách dotknutých osôb, účelu použitia alebo rizikového profilu systému.
Tam, kde sa vyžaduje aj posúdenie vplyvu na ochranu údajov podľa Článku 35 GDPR, môžu byť obe posúdenia vykonané spoločne na zníženie administratívnej záťaže, za predpokladu, že sú pokryté všetky prvky oboch.

Vzťah k Iným Článkom

Článok 27 sa nachádza v Kapitole 3 Hlavy III, ktorá rozdeľuje povinnosti medzi poskytovateľov a prevádzkovateľov. Mal by sa čítať spolu s Článkom 26 (povinnosti prevádzkovateľov všeobecne), ktorý stanovuje širšiu povinnosť prevádzkovateľov používať systémy s vysokým rizikom v súlade s pokynmi poskytovateľa a zavádzať ľudský dohľad. FRIA sa priamo opiera o informácie, ktoré je poskytovateľ povinný poskytnúť podľa Článku 13 (transparentnosť a poskytovanie informácií prevádzkovateľom) a Článku 16(d) (povinnosť poskytovateľa vypracovať technickú dokumentáciu).

Článok 27(4) vytvára priame procedurálne prepojenie s GDPR: kde sa vyžaduje aj DPIA podľa Článku 35 Nariadenia (EÚ) 2016/679, môžu byť obe posúdenia zlúčené. Toto prepojenie je obzvlášť relevantné pre prevádzkovateľov spracúvajúcich osobné údaje, čo bude prípad vo väčšine regulovaných kontextov pokrytých Prílohou III.

Článok 27 sa tiež spája s Článkom 72 (dohľad nad trhom) a Článkom 74 (prístup k údajom), keďže dokončené posúdenie musí byť dostupné príslušným orgánom vykonávajúcim dozorné funkcie.

Časový Plán Súladu

Nariadenie EÚ o AI nadobudlo účinnosť 1. augusta 2024 (dvadsať dní po uverejnení v Úradnom vestníku 12. júla 2024). Jeho ustanovenia sa uplatňujú postupne:

2. februára 2025 — Zákazy neprijateľných praktík AI (Článok 5) nadobudli účinnosť.
2. augusta 2025 — Povinnosti týkajúce sa modelov AI na všeobecné účely (Hlava VIII, Kapitola 2) a ustanovenia o správe nadobudli účinnosť.
2. decembra 2026 — Povinnosti pre systémy AI s vysokým rizikom uvedené v Prílohe I (legislatíva o bezpečnosti výrobkov) nadobudnú účinnosť.
2. augusta 2027 — Povinnosti pre systémy AI s vysokým rizikom uvedené v Prílohe III (samostatné systémy s vysokým rizikom, vrátane tých, ktoré s najväčšou pravdepodobnosťou spustia FRIA podľa Článku 27 v oblastiach ako zamestnanosť, vzdelávanie, biometrická identifikácia a prístup k verejným službám) nadobudnú účinnosť.

Článok 27 spadá do rámca povinností prevádzkovateľov systémov s vysokým rizikom, a preto sa stáva vymáhateľným 2. augusta 2027 pre systémy v Prílohe III a 2. decembra 2026 pre systémy v Prílohe I. Prevádzkovatelia by nemali čakať do týchto lehôt: budovanie procesov FRIA teraz umožňuje organizáciám identifikovať a napraviť riziká pre základné práva pred začiatkom presadzovania a zosúladiť posúdenia s prebiehajúcimi programami DPIA podľa GDPR.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-23 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

Kto je povinný vykonať posúdenie vplyvu na základné práva podľa Článku 27?

Článok 27 sa vzťahuje konkrétne na prevádzkovateľov systémov AI s vysokým rizikom, ktorí sú orgánmi spravovanými verejným právom podľa definície v Smernici 2014/24/EÚ, alebo súkromnými subjektmi poskytujúcimi verejné služby, ako sú bankovníctvo, poistenie, zdravotná starostlivosť alebo vzdelávanie. Nie všetci prevádzkovatelia sú zahrnutí — súkromné spoločnosti pôsobiace výhradne v komerčných kontextoch bez dimenzie verejnej služby sú vo všeobecnosti mimo rozsahu pôsobnosti tejto konkrétnej povinnosti, hoci naďalej podliehajú iným povinnostiam prevádzkovateľov podľa Nariadenia o AI.

Kedy musí byť posúdenie vplyvu na základné práva dokončené?

Posúdenie musí byť vykonané pred nasadením systému AI s vysokým rizikom. Je to preddeploymentová povinnosť, čo znamená, že prevádzkovateľ musí vykonať a zdokumentovať posúdenie pred uvedením systému do prevádzky. Posúdenie by malo byť aktualizované pri podstatných zmenách kontextu nasadenia alebo spôsobu použitia systému.

Aký je rozdiel medzi FRIA podľa Článku 27 a posúdením zhody podľa Článku 43?

Posúdenie zhody podľa Článku 43 vykonáva poskytovateľ alebo sa vykonáva v jeho mene na overenie, že systém AI spĺňa technické požiadavky Kapitoly 2 pred uvedením na trh. FRIA podľa Článku 27 vykonáva prevádzkovateľ na posúdenie konkrétneho vplyvu na základné práva v špecifickom kontexte nasadenia. Sú komplementárne: posúdenie zhody rieši vnútorný súlad systému, zatiaľ čo FRIA rieši skutočný vplyv na jednotlivcov v danom prípade použitia.

Vyžaduje Článok 27 externých audítorov alebo môže byť posúdenie dokončené interne?

Článok 27 výslovne nenariaďuje externý audit. Posúdenie môže byť dokončené interne prevádzkovateľom. Prevádzkovatelia však musia v určitých prípadoch pred nasadením notifikovať príslušný orgán dohľadu nad trhom, a zdokumentované posúdenie musí byť na požiadanie sprístupnené príslušným orgánom. Zapojenie externej odbornosti je najlepšou praxou, najmä v prípade zložitých alebo citlivých kontextov nasadenia.

Aké informácie od poskytovateľa musí prevádzkovateľ použiť pri vykonávaní FRIA?

Prevádzkovatelia musia využívať informácie sprístupnené poskytovateľom podľa Článku 13 (transparentnosť a poskytovanie informácií) a pokyny na použitie. Poskytovatelia sú povinní poskytnúť dostatočné informácie o zamýšľanom účele, možnostiach, obmedzeniach a rizikách systému, aby umožnili prevádzkovateľom vykonať zmysluplné posúdenie vplyvov na základné práva.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.