MSP — Príručka súladu s nariadením EU AI Act

Súlad s nariadením EU AI Act pre malé a stredné podniky. Osobitné ustanovenia pre MSP, prístup k regulačným sandboxom, znížené poplatky a praktické usmernenia pre prevádzkovateľov a vývojárov systémov AI.

EU AI Act a MSP — priaznivé správy

Nariadenie EU AI Act (nariadenie (EÚ) 2024/1689) sa vzťahuje na všetky organizácie, ktoré uvádzajú systémy AI na trh EÚ alebo ich v rámci neho používajú, bez ohľadu na veľkosť. Regulačná realita pre väčšinu malých a stredných podnikov je však podstatne menej zaťažujúca, ako naznačujú titulky médií, a to z jedného základného dôvodu: prevažná väčšina MSP systémy AI využíva, nie vyvíja.

MSP, ktoré si predplatí CRM s funkciami AI, nasadí chatbota od dodávateľa SaaS alebo využíva cloudový softvér na predpovedanie dopytu, je v terminológii EU AI Act prevádzkovateľom — nie poskytovateľom. Povinnosti prevádzkovateľa sú systematicky ľahšie ako povinnosti poskytovateľa. Poskytovatelia nesú hlavné bremeno posúdenia zhody, technickej dokumentácie, označenia CE a registrácie. Prevádzkovatelia majú cieľavedomejší súbor povinností zameraných na správne používanie, ľudský dohľad a oznamovanie incidentov.

Okrem rozlišovania medzi prevádzkovateľom a poskytovateľom obsahuje EU AI Act osobitný súbor ustanovení pre MSP, ktoré poskytujú štrukturálnu podporu: prednostný prístup k regulačným sandboxom, znížené poplatky za posúdenie zhody a vyhradené kontaktné miesto na národnej úrovni. Tieto ustanovenia odrážajú výslovný zámer normotvorcu zabrániť tomu, aby sa EU AI Act stal neprimeranou prekážkou pre menších účastníkov trhu.

Táto príručka vysvetľuje, čo EU AI Act v praxi znamená pre MSP — či už využívate nástroje AI tretích strán, nasadzujete AI v kontexte komunikácie so zákazníkmi, alebo sami vyvíjate a uvádzate na trh produkt AI.

Osobitné ustanovenia pre MSP v nariadení

EU AI Act obsahuje štyri ustanovenia, ktoré sa vzťahujú osobitne na MSP (podniky spĺňajúce prahovú hodnotu podľa odporúčania Komisie 2003/361/ES: menej ako 250 zamestnancov a ročný obrat nepresahujúci 50 miliónov EUR alebo celková bilančná suma nepresahujúca 43 miliónov EUR) a na startupy.

Čl. 55 — Prednostný prístup k regulačným sandboxom

Čl. 55 stanovuje, že regulačné sandoxy pre AI — kontrolované prostredia na vývoj a testovanie AI pred uvedením na trh — budú prednostne prístupné pre MSP a startupy. Prístup je bezplatný alebo podlieha zníženým poplatkom a zúčastnené organizácie získavajú priame usmernenie od príslušného orgánu. Prístup do sandboxu umožňuje identifikáciu rizík pred uvedením na trh a regulačný dialóg v chránenom prostredí, bez následkov plynúcich z nesúladného uvedenia na trh. MSP, ktoré vyvíjajú systémy AI, by mali považovať účasť v sandboxe za nástroj súladu aj za mechanizmus priameho zapojenia do komunikácie s orgánom dohľadu pred spustením produktu.

Čl. 96 — Znížené poplatky za posúdenie zhody

V prípadoch, keď systém AI s vysokým rizikom vyžaduje posúdenie zhody treťou stranou zo strany notifikovaného orgánu (uplatňuje sa na systémy uvedené v prílohe III bodoch 1, 6 a 7 a na AI v zdravotníckych pomôckach podľa čl. 6 ods. 1), čl. 96 zaväzuje členské štáty zaviesť znížené poplatky pre malé podniky. Mikropodniky — tie s menej ako 10 zamestnancami a ročným obratom alebo celkovou bilančnou sumou nepresahujúcou 2 milióny EUR — majú nárok na ešte väčšie zníženie. Presné sadzby poplatkov sa stanovujú na úrovni členských štátov a líšia sa podľa krajiny; príslušný národný orgán pre AI alebo sieť Enterprise Europe Network môže poskytnúť aktuálne informácie.

Čl. 85 — Jednotné kontaktné miesto

Čl. 85 zaväzuje národné orgány dohľadu nad AI zriadiť vyhradené jednotné kontaktné miesto pre MSP. To znamená, že MSP hľadajúce usmernenie k povinnostiam podľa EU AI Act nemusí prechádzať viacerými regulačnými odbormi ani koordinovať postup naprieč roztrieštenými orgánmi. Jednotné kontaktné miesto poskytuje informácie, smeruje otázky na príslušnú funkciu a uľahčuje podávanie žiadostí o prístup do sandboxu. Toto ustanovenie výrazne znižuje administratívne náklady spojené s pochopením regulačných povinností.

Čl. 9 ods. 5 — Primeraný systém riadenia rizík

Čl. 9 ods. 5 stanovuje, že systém riadenia rizík, ktorý sa vyžaduje od poskytovateľov systémov AI s vysokým rizikom, možno implementovať primeraným spôsobom s prihliadnutím na veľkosť a štruktúru organizácie. Pre MSP, ktoré vystupuje ako poskytovateľ systému s vysokým rizikom, to znamená, že hoci musia byť splnené všetky vecné požiadavky systému riadenia rizík, formát dokumentácie, zložitosť procesov a štruktúra riadenia môžu byť prispôsobené skutočným kapacitám organizácie — za predpokladu, že tým nebudú narušené ciele ochrany stanovené rámcom.

Ste poskytovateľom alebo prevádzkovateľom? — Rozhodovací rámec pre MSP

Najdôležitejším predbežným zistením pre každé MSP, ktoré sa zaoberá EU AI Act, je určenie, či vystupuje ako poskytovateľ alebo prevádzkovateľ v súvislosti s každým systémom AI, ktorý používa alebo ponúka.

Poskytovateľ (čl. 3 ods. 3): Organizácia, ktorá vyvíja systém AI alebo si ho nechá vyvinúť a uvádza ho na trh alebo do prevádzky pod vlastným menom alebo značkou — či už za úhradu alebo bezplatne. Zahŕňa MSP, ktoré:

Vytvárajú softvérový produkt obsahujúci AI (vrátane modelov AI sprístupnených cez API) a predávajú alebo licencujú tento produkt zákazníkom;
Vyvíjajú model AI alebo aplikáciu interne a prevádzkujú ju ako službu pre koncových používateľov mimo organizácie;
Podstatne modifikujú systém AI tretej strany spôsobom, ktorý mení jeho zamýšľaný účel.

Prevádzkovateľ (čl. 3 ods. 4): Organizácia, ktorá používa systém AI pod vlastnou právomocou na profesionálne účely. Zahŕňa MSP, ktoré:

Si predplácajú produkty SaaS so zabudovanými funkciami AI (CRM, ERP alebo účtovný softvér s AI);
Používajú chatbota alebo konverzačnú AI tretej strany na svojej webovej stránke;
Pristupujú k cloudovým API pre AI (spracovanie prirodzeného jazyka, klasifikácia obrázkov, odporúčacie systémy) výlučne s cieľom automatizovať interné pracovné postupy alebo vylepšiť vlastné služby, bez toho, aby ponúkali funkciu AI ako produktovú vlastnosť tretím stranám;
Obstarávajú HR softvér, nástroje na predpovedanie zásob alebo nástroje na analýzu zákazníkov od externých dodávateľov.

Kritický hraničný prípad: MSP, ktoré integruje externé API pre AI do vlastného produktu určeného zákazníkom a uvádza túto funkciu na trh ako vlastnosť svojho produktu, je vo vzťahu k tejto funkcii AI poskytovateľom — nie len prevádzkovateľom základného API. Právna osoba, ktorá definuje zamýšľaný účel, kontroluje skúsenosť používateľov a uvádza produkt na trh, nesie povinnosti poskytovateľa podľa čl. 16, bez ohľadu na pôvod modelu AI.

Kľúčové povinnosti prevádzkovateľa pre MSP využívajúce AI tretích strán

Pre väčšinu MSP — tých, ktoré prevádzkujú nástroje AI tretích strán, nie sami vyvíjajú vlastné — sa podľa čl. 26 a súvisiacich ustanovení uplatňujú nasledujúce povinnosti.

Používanie systémov AI v súlade s pokynmi poskytovateľa

Prevádzkovatelia musia používať systémy AI s vysokým rizikom len v súlade s pokynmi poskytovateľa na používanie poskytnutými podľa čl. 13. Používanie systému AI na účely presahujúce jeho zdokumentovaný zamýšľaný účel alebo v konfiguráciách, ktoré poskytovateľ neoveroval, prenáša časť zodpovednosti za súlad na prevádzkovateľa a môže ohroziť posúdenie zhody systému.

Určenie zodpovednej osoby pre ľudský dohľad

Čl. 26 ods. 1 vyžaduje, aby prevádzkovatelia zverili zodpovednosť za dohľad nad AI kvalifikovanej osobe v rámci organizácie. Pre väčšinu MSP to bude konkrétna menovaná osoba (nie nevyhnutne samostatný pracovník pre súlad v oblasti AI), ktorá rozumie funkcii systému, jeho známym obmedzeniam a okolnostiam, za ktorých je potrebný ľudský zásah. Toto poverenie by malo byť zdokumentované.

Uchovávanie prevádzkových záznamov

Ak systémy AI s vysokým rizikom automaticky generujú záznamy (čl. 12), prevádzkovatelia musia tieto záznamy uchovávať po zákonom stanovenú dobu — spravidla šesť mesiacov podľa EU AI Act, pokiaľ odvetvové predpisy nevyžadujú dlhšiu dobu uchovávania. Prevádzkovatelia musia overiť, že ich zmluva s dodávateľom zaručuje prístup k záznamom a potvrdzuje ich formát a úplnosť.

Oznamovanie závažných incidentov poskytovateľovi

Čl. 26 ods. 5 ukladá prevádzkovateľom povinnosť oznámiť poskytovateľovi každý závažný incident alebo poruchu zistenú počas používania. V prípadoch, keď prevádzkovateľom je verejnoprávny orgán, sa oznamovacie povinnosti rozširujú aj na národný orgán dohľadu nad AI. Pre MSP v súkromnom sektore je primárnym kanálom priame oznámenie poskytovateľovi, ktorý potom nesie vlastné povinnosti oznámenia orgánu podľa čl. 73.

Vykonanie posúdenia vplyvu na základné práva, ak sa to vyžaduje

Čl. 27 vyžaduje, aby verejnoprávne orgány prevádzkujúce AI s vysokým rizikom pred nasadením vykonali posúdenie vplyvu na základné práva. MSP v súkromnom sektore prevádzkujúce AI s vysokým rizikom — najmä v oblasti ľudských zdrojov, posudzovania úveruschopnosti alebo rozhodovania vo vzťahu k zákazníkom — sa dôrazne odporúča vykonať rovnocenné posúdenie, keďže preukazuje náležitú starostlivosť a podstatne znižuje riziko vynucovania.

Kontrola zmlúv s dodávateľmi

MSP ako prevádzkovatelia musia zabezpečiť, aby ich zmluvy s dodávateľmi AI obsahovali: dokumentáciu o zhode a pokyny na používanie; potvrdenie registrácie v databáze EÚ, ak sa to vyžaduje; špecifikáciu možností zaznamenávania a prístupových práv; záväzok dodávateľa k oznamovaniu incidentov a ich náprave; a informácie o povinnostiach aktualizácie alebo úpravy, ktoré môžu ovplyvniť stav zhody systému.

Ak vyvíjate AI — povinnosti MSP ako poskytovateľa a dostupná podpora

MSP, ktoré vyvíjajú a uvádzajú na trh systémy AI, sú poskytovateľmi a nesú plné povinnosti poskytovateľa podľa kapitoly III pre každý systém, ktorý je systémom s vysokým rizikom. Rozsah týchto povinností je rozsiahly: systém riadenia kvality (čl. 17), technická dokumentácia podľa prílohy IV, správa údajov podľa čl. 10, zaznamenávanie podľa čl. 12, požiadavky na transparentnosť podľa čl. 13, návrh ľudského dohľadu podľa čl. 14 a normy presnosti a robustnosti podľa čl. 15. Pre systémy podľa prílohy III vyžadujúce posúdenie notifikovaným orgánom sa postup zhody riadi čl. 43.

Praktickým vstupným bodom pre MSP ako poskytovateľa je určenie klasifikácie rizika:

Je systém AI pokrytý čl. 5 (zakázané praktiky)? Ak áno, vývoj musí byť zastavený alebo zásadne preštruktúrovaný pred akoukoľvek trhovou aktivitou.
Kvalifikuje sa systém ako systém s vysokým rizikom podľa čl. 6 ods. 1 (bezpečnostná súčasť regulovaného produktu) alebo prílohy III (vymedzené oblasti aplikácie vrátane biometrickej identifikácie, kritickej infraštruktúry, vzdelávania, zamestnanosti, základných služieb, presadzovania práva, migrácie a súdnictva)?
Kvalifikuje sa systém len ako model AI na všeobecné účely upravený čl. 51 – 56, bez klasifikácie vysokého rizika?
Vzťahujú sa na systém len povinnosti transparentnosti podľa čl. 50 (rozpoznávanie emócií, deepfake, chatboty)?

Pre MSP, ktorých systémy nespadajú do kategórií vysokého rizika a zakázaných praktík, je súlad podstatne jednoduchší: povinnosti transparentnosti podľa čl. 50, súlad s GDPR a odvetvové povinnosti podľa uplatniteľného národného alebo práva EÚ.

Pre MSP vyvíjajúce AI s vysokým rizikom je regulačný sandbox podľa čl. 55 najdôležitejším dostupným nástrojom. Účasť v sandboxe umožňuje testovanie pred uvedením na trh pod regulačným dohľadom, poskytuje zdokumentovaný dôkaz úsilia o súlad v dobrej viere a môže identifikovať nápravné opatrenia skôr, ako sa stanú predmetom vynucovania. Žiadosti sa podávajú národnému jednotnému kontaktnému miestu (čl. 85).

Praktické kroky pre súlad MSP

Krok 1 — Inventarizujte všetky systémy AI v prevádzke alebo vo vývoji. Zostavte zoznam každého nástroja AI, produktu SaaS, cloudového API a interne vyvinutého modelu. Zaznamenajte dodávateľa, funkciu a to, či MSP pri každom z nich vystupuje ako poskytovateľ alebo prevádzkovateľ.

Krok 2 — Klasifikujte každý systém podľa kategórie rizika. Uplatnite rámec čl. 5 / čl. 6 / prílohy III / čl. 50 na každý systém. Ak je klasifikácia neistá, využite jednotné kontaktné miesto podľa čl. 85 na usmernenie.

Krok 3 — Pre roly prevádzkovateľa: preskúmajte zmluvy s dodávateľmi. Overte, či každý dodávateľ AI poskytol dokumentáciu požadovanú podľa čl. 13 a či zmluva rieši zaznamenávanie, oznamovanie incidentov a povinnosti v súvislosti s aktualizáciami. Identifikujte medzery na opätovné rokovanie.

Krok 4 — Pre roly poskytovateľa: začnite postup zhody. Určite, či váš systém AI s vysokým rizikom vyžaduje vlastné posúdenie (čl. 43 ods. 2) alebo posúdenie treťou stranou — notifikovaným orgánom (čl. 43 ods. 1). Podajte žiadosť o prístup do sandboxu podľa čl. 55, ak je systém vo vývoji. Včas nadviažte kontakt s notifikovaným orgánom, aby ste pochopili časový harmonogram a finančné dôsledky, a pritom zohľadnite svoje oprávnenie na zníženie poplatkov pre MSP podľa čl. 96.

Krok 5 — Implementujte povinnosti prevádzkovateľa podľa čl. 26 pre všetky systémy s vysokým rizikom. Určte zodpovedné osoby pre dohľad, zdokumentujte ich zodpovednosti, overte postupy uchovávania záznamov a potvrďte kanály na oznamovanie incidentov.

Krok 6 — Zaveďte cyklus preskúmania EU AI Act. EU AI Act je živý rámec. Poverite zodpovednú osobu sledovaním usmernení Úradu EÚ pre AI, aktualizácií národných orgánov a zmien v klasifikáciách prílohy III. Naplánujte ročné interné preskúmanie inventára systémov a stavu súladu.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-20 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

Je naše MSP, ktoré vo svojom produkte využíva OpenAI API, poskytovateľom v zmysle EU AI Act?

Áno. Ak vaše MSP integruje model AI tretej strany (vrátane prístupu cez API) do produktu alebo služby, ktorú uvádza na trh alebo do prevádzky pod vlastným menom alebo značkou, je klasifikované ako **poskytovateľ** v zmysle **čl. 3 ods. 3** nariadenia EU AI Act. Platí to bez ohľadu na to, či základný model vytvorila iná spoločnosť. Povinnosti poskytovateľa — vrátane technickej dokumentácie, posúdenia zhody, označenia CE (pri systémoch s vysokým rizikom) a registrácie — sú vašou zodpovednosťou. Ak dodávateľ základného modelu poskytne dokumentáciu o zhode a pokyny na používanie, tieto dokumenty podporujú vaše úsilie o súlad, ale nenahrádzajú ho. Čl. 55 a čl. 96 stanovujú podporné mechanizmy pre MSP s cieľom znížiť záťaž spojenú so súladom.

Musí chatbot na webovej stránke nášho MSP spĺňať požiadavky EU AI Act?

Závisí to od dvoch faktorov: povahy chatbota a jeho funkcií. Po prvé, ak ide o **systém využívajúci umelú inteligenciu na všeobecné účely**, ktorý komunikuje s používateľmi, musí spĺňať **povinnosť transparentnosti podľa čl. 50**: používatelia musia byť informovaní, že komunikujú so systémom AI, pokiaľ to nie je z kontextu zrejmé. Po druhé, ak chatbot vykonáva funkcie, ktoré ho zaraďujú do kategórie vysokého rizika — napríklad predbežný výber uchádzačov o zamestnanie, posudzovanie bonity alebo rozhodovanie s právnymi alebo závažnými osobnými dôsledkami — uplatňujú sa ďalšie povinnosti vyplývajúce z klasifikácie vysokého rizika. Jednoduchý chatbot na zodpovedanie otázok alebo navigáciu v produktoch, ktorý využíva poskytovateľa SaaS tretej strany (pričom vy vystupujete ako prevádzkovateľ), zakladá predovšetkým povinnosť transparentnosti podľa čl. 50 a povinnosti prevádzkovateľa podľa čl. 26, najmä správne používanie v súlade s pokynmi a oznamovanie incidentov.

Čo je regulačný sandbox pre AI a ako môže náš startup získať prístup?

**Regulačný sandbox pre AI** je kontrolované testovacie prostredie zriadené národnými orgánmi dohľadu nad AI, v ktorom môžu poskytovatelia AI — vrátane startupov a MSP — vyvíjať, testovať a validovať systémy AI pred uvedením na trh, a to s priamym regulačným usmernením. Sandoxy sa riadia **čl. 57 – 63** nariadenia EU AI Act. **Čl. 55 zaručuje MSP a startupom prednostný prístup** a účasť je bezplatná alebo podlieha zníženým poplatkom. Žiadosti sa podávajú priamo národnému orgánu zodpovednému za EU AI Act v príslušnom členskom štáte. V rámci sandboxu môže orgán udeliť obmedzené výnimky z niektorých požiadaviek s cieľom umožniť skutočné testovanie; každý produkt uvedený na trh po skončení obdobia sandboxu musí následne spĺňať všetky uplatniteľné povinnosti. Kontaktujte národné kontaktné miesto pre MSP (**čl. 85**), kde získate informácie o postupe podávania žiadostí.

Musíme zaregistrovať náš systém AI v databáze EÚ?

Registrácia v **databáze EÚ pre systémy AI s vysokým rizikom** podľa **čl. 49** je povinná len vtedy, ak je váš systém klasifikovaný ako **systém s vysokým rizikom** podľa čl. 6 alebo prílohy III. Poskytovatelia systémov s vysokým rizikom musia vykonať registráciu pred uvedením na trh; prevádzkovatelia, ktorí sú verejnoprávnymi orgánmi, musia taktiež vykonať registráciu pred začatím používania. Väčšina MSP, ktoré prevádzkujú systémy AI tretích strán (ako odberatelia SaaS alebo API), nemá povinnosť registrácie — táto povinnosť spočíva na poskytovateľovi. Ak je vaše MSP poskytovateľom systému AI s vysokým rizikom, registrácia je povinná bez ohľadu na veľkosť spoločnosti, hoci sa uplatňujú podporné ustanovenia čl. 55 a 96 na zníženie súvisiacich nákladov a procedurálnej zložitosti. Databáza je verejne prístupná a spravuje ju Úrad EÚ pre AI.

Aké dokumenty by sme mali požadovať od dodávateľa AI pred nasadením jeho systému?

Pred nasadením systému AI tretej strany, najmä takého, ktorý môže byť systémom s vysokým rizikom, by vaše MSP malo zmluvne požadovať a získať: (1) **Vyhlásenie EÚ o zhode** alebo rovnocennú dokumentáciu o zhode; (2) **pokyny na používanie** podľa čl. 13, vrátane zamýšľaného účelu, známych obmedzení a požiadaviek na ľudský dohľad; (3) potvrdenie, že systém bol **zaregistrovaný v databáze EÚ**, ak sa to vyžaduje; (4) informácie o **možnostiach zaznamenávania** systému a o spôsobe prístupu k záznamom alebo ich získavania; (5) **postupy dodávateľa pre oznamovanie incidentov** a jeho povinnosti informovať vás o poruchách alebo aktualizáciách ovplyvňujúcich súlad; a (6) informácie o **charakteristikách spracovania údajov** systému, ktoré sú relevantné pre vaše povinnosti podľa GDPR. Absencia týchto dokumentov od dodávateľa ponúkajúceho systém AI v citlivej oblasti predstavuje závažné riziko z hľadiska súladu.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.