90 % organizácií používajúcich AI sú nasadzujúce subjekty integrujúce modely tretích strán — OpenAI, Anthropic, Azure AI alebo nástroje AI SaaS. Pochopte svoje povinnosti: čo vám musí poskytnúť poskytovateľ, čo musíte urobiť vy a kedy sa sami stanete poskytovateľom.
Realita AI tretích strán: Väčšina organizácií sú nasadzujúce subjekty
Väčšina európskych organizácií používajúcich AI nie je OpenAI, ani Mistral, ani výskumné laboratórium. Integrujú existujúce modely — cez API, platformu SaaS, komponent Azure AI alebo plugin podnikového nástroja. Salesforce Einstein, Copilot pre Microsoft 365, chatbot ľudských zdrojov poháňaný veľkým jazykovým modelom, riešenie kreditného skórovania zakúpené od špecializovaného dodávateľa: vo všetkých týchto prípadoch ste nasadzujúcim subjektom systému AI vybudovaného niekym iným.
Túto pozíciu zastáva drvivá väčšina organizácií ovplyvnených nariadením EÚ o AI. Nesie presné povinnosti — odlišné od povinností poskytovateľa, ale nezanedbateľné. Môže sa tiež vyvíjať: ak systém modifikujete alebo ďalej predávate, váš právny status sa mení.
Pochopenie vašej pozície v hodnotovom reťazci AI je prvým krokom v akomkoľvek úsilí o súlad.
Vaše povinnosti ako nasadzujúceho subjektu
Povinnosti nasadzujúceho subjektu sa líšia v závislosti od úrovne rizika systému AI, ktorý používate.
Pre vysokorizikové systémy AI (Príloha III)
Ak nasadzujete systém AI tretej strany, ktorý spĺňa podmienky vysokorizikového (hodnotenie úverovej spôsobilosti, biometrická identifikácia, skríning náboru, správa kritickej infraštruktúry atď.), vaše povinnosti podľa čl. 26 sú:
1. Dodržiavajte pokyny na používanie Používajte systém iba na jeho zamýšľaný účel a v súlade s pokynmi, ktoré je poskytovateľ povinný dodať. Používanie vysokorizikového systému AI mimo jeho validovaného rozsahu je zlyhaním súladu, aj keď ste iba nasadzujúcim subjektom.
2. Prideľte ľudský dohľad Vymenovajte fyzickú osobu s kompetenciou, autoritou a zdrojmi na vykonávanie zmysluplného ľudského dohľadu nad výstupmi systému AI. Táto osoba musí byť schopná pochopiť, čo systém robí, detegovať anomálie a prepísať alebo zastaviť systém, keď je to potrebné.
3. Zabezpečte kvalitu vstupných údajov Zabezpečte, aby údaje, ktoré do systému zadávate, boli relevantné, dostatočne reprezentatívne a vhodné pre zamýšľaný účel vo vašom konkrétnom kontexte nasadenia. Systém validovaný na jednej populácii môže fungovať odlišne na vašej — to je vaše riziko na riadenie.
4. Monitorujte prevádzku a detekujte anomálie Aktívne monitorujte prevádzku systému na anomálie, neočakávané výstupy alebo degradáciu výkonu. Toto nie je zodpovednosť poskytovateľa pri nasadení — je to vaša.
5. Uchovávajte protokoly Aktivujte a uchovávajte automatizované protokoly produkované systémom po dobu požadovanú Zákonom (a akoukoľvek sektorovou reguláciou, ktorá môže platiť). Nevypínajte protokolovanie na úsporu nákladov na úložisko.
6. Hláste závažné incidenty Ak sa dozviete o závažnom incidente alebo poruche — tej, ktorá spôsobila alebo mohla spôsobiť smrť, závažné poškodenie, porušenie základných práv alebo výraznú majetkovú škodu — okamžite notifikujte poskytovateľa bez zbytočného odkladu. V niektorých prípadoch (najmä kde nasadenie zahŕňa verejne orientované služby alebo činnosti priľahlé k presadzovaniu práva) môže byť tiež vyžadované priame hlásenie národnému orgánu trhového dohľadu.
7. Hodnotenie vplyvu na základné práva (verejné orgány) Ak ste verejným orgánom alebo súkromným subjektom nasadzujúcim systémy AI v oblastiach pravdepodobne ovplyvňujúcich základné práva (zdravotníctvo, sociálne služby, vzdelávanie, presadzovanie práva), musíte vykonať Hodnotenie vplyvu na základné práva pred nasadením (čl. 27).
Pre systémy AI iba s transparentnosťou (čl. 50)
Ak nasadzujete chatbot, systém obsahu generovaného AI alebo nástroj rozpoznávania emócií, ktorý nie je vysokorizikový, ale spadá pod povinnosti transparentnosti čl. 50, musíte:
- Informovať používateľov, že interagujú so systémom AI (čl. 50 ods. 1)
- Zabezpečiť, aby bol obsah generovaný AI technicky označený (čl. 50 ods. 4), kde je to uplatniteľné
- Informovať dotknuté osoby, keď sa používa rozpoznávanie emócií alebo biometrická kategorizácia (čl. 50 ods. 2–3)
Tieto povinnosti platia aj pri používaní API alebo nástroja SaaS tretej strany. Poskytovateľ je zodpovedný za zabudovanie technickej schopnosti; vy ste zodpovední za jej aktiváciu a zabezpečenie toho, aby zverejnenie skutočne dospelo k používateľom.
Pre systémy AI s minimálnym rizikom
Žiadne konkrétne právne povinnosti podľa nariadenia o AI. Platia dobrovoľné kódexy správania. Osvedčená prax správy napriek tomu odporúča základnú dokumentáciu systémov AI v používaní a pravidelné preskúmanie ich výkonu.
Čo požadovať od vášho poskytovateľa AI tretej strany
Vaša schopnosť plniť povinnosti nasadzujúceho subjektu priamo závisí od toho, čo vám poskytovateľ dá. Nariadenie EÚ o AI vyžaduje, aby poskytovatelia vysokorizikových systémov AI dodali konkrétne informácie — a poskytovatelia modelov GPAI majú paralelné dokumentačné povinnosti. Použite tento kontrolný zoznam pri obstarávaní AI tretej strany:
Pre akýkoľvek systém AI
- Popis systému: Čo systém robí, aké vstupy prijíma, aké výstupy produkuje a aké rozhodnutia môže ovplyvniť?
- Zamýšľaný účel: Presne pre ktoré prípady použitia bol systém navrhnutý, validovaný a schválený?
- Známe obmedzenia: Za akých podmienok systém funguje zle? Ktoré populácie, jazyky alebo typy údajov sú mimo jeho validovaného rozsahu?
- Pokyny na používanie: Úplný súbor pokynov, ktoré je poskytovateľ povinný dodať podľa čl. 13 pre vysokorizikové systémy
Konkrétne pre vysokorizikové systémy
- Vyhlásenie o zhode alebo súhrn výsledkov posúdenia zhody
- Dokumentácia riadenia rizík — aké riziká boli identifikované a ako boli zmiernené?
- Výsledky testovania zaujatosti a spravodlivosti — aké chránené charakteristiky boli testované, aké metriky boli použité a aké výsledky boli nájdené?
- Metriky výkonu — presnosť, miery falzpozitívnych/falznegatívnych a výkon rozčlenený podľa relevantných demografických skupín
- Schopnosť protokolovania — potvrdenie, že systém generuje protokoly požadované čl. 12, a pokyny na ich prístup a uchovávanie
- Postup oznamovania incidentov — koho kontaktovať, v akom časovom rámci a akým kanálom pri závažnom incidente
- Politika aktualizácií — ako vás poskytovateľ informuje o materiálnych aktualizáciách a aká opätovná validácia sa vyžaduje po aktualizáciách?
Pre modely GPAI (API a prístup k základným modelom)
- Karta modelu alebo technický súhrn — schopnosti, obmedzenia, súhrn trénovacích údajov, výsledky hodnotenia
- Vyhlásenie o dodržiavaní autorských práv — ako poskytovateľ rieši autorské právo pre trénovacie údaje a výstupy?
- Politika prijateľného použitia — aké prípady použitia poskytovateľ zakazuje a čo sa stane, ak ich porušíte?
- Podmienky spracovania údajov — ako poskytovateľ spracúva vaše vstupné údaje? Používajú sa na ďalšie trénovanie?
Keď sa stanete poskytovateľom
Čl. 25 nariadenia EÚ o AI je zásadný pre používateľov AI tretích strán: definuje, kedy nasadzujúci subjekt prechádza na poskytovateľa a preberá všetky povinnosti poskytovateľa.
Stávate sa poskytovateľom, keď:
1. Podstatne modifikujete vysokorizikový systém AI
Ak prevezmete vysokorizikový systém AI a vykonáte podstatné zmeny, ktoré prekračujú to, čo poskytovateľ zamýšľal — zmena modelu, preškolovanie na vašich údajoch, zmena základnej logiky — teraz ste poskytovateľom nového alebo podstatne modifikovaného systému. Všetky povinnosti poskytovateľa platia: posúdenie zhody, technická dokumentácia, označenie CE, registrácia v databáze EÚ AI.
Kľúčová otázka: Je vaše prispôsobenie „používaním v rámci zamýšľaných parametrov" alebo „vývojom novej schopnosti"? Dolaďovanie modelu na vašich doménových údajoch môže alebo nemusí byť podstatnou modifikáciou v závislosti od stupňa zmeny a toho, či ovplyvňuje profil rizika.
2. Zmena zamýšľaného účelu na vysokorizikový
Ak prevezmete systém neklasifikovaný ako vysokorizikový a nasadíte ho pre vysokorizikový prípad použitia — napríklad použitie všeobecného klasifikátora textu na rozhodnutia o zamestnaní — zmenili ste zamýšľaný účel spôsobom, ktorý spúšťa klasifikáciu vysokorizikového. Stávate sa poskytovateľom vysokorizikového systému AI a musíte spĺňať všetky povinnosti poskytovateľa pre toto nasadenie.
3. Umiestnenie systému na trh pod vlastným názvom
Ak zakúpite alebo licencujete systém AI a ďalej ho predávate alebo ponúkate iným ako vlastný produkt (white-labelling), umiestňujete ho na trh pod vlastným názvom a stávate sa poskytovateľom. Toto je bežné v sektore SaaS: integrácia modelu tretej strany do vlastnej produktovej ponuky robí z vás poskytovateľa pre tento produkt.
4. Zásadné zmeny modelu GPAI
Ak prevezmete model GPAI a vykonáte zásadné modifikácie jeho schopností alebo prípadu použitia — nad rámec dolaďovania v rámci zamýšľaných parametrov poskytovateľa — môžete sa stať poskytovateľom nového modelu GPAI s vlastnými povinnosťami Kapitoly V.
Zmluvné ochrany pre nasadzujúce subjekty
Keďže váš súlad závisí od toho, čo vám dá poskytovateľ, vaše zmluvy s dodávateľmi AI tretej strany sú kritickým nástrojom súladu. Kľúčové doložky, ktoré treba zahrnúť:
Informačné práva
- Právo na získanie a pravidelne aktualizovanú verziu pokynov na používanie
- Právo na prístup k vyhláseniu o zhode a súhrnu posúdenia zhody
- Právo na získanie výsledkov testovania zaujatosti a metrík výkonu
- Právo na získanie dokumentácie materiálnych aktualizácií modelu pred nasadením
Riadenie incidentov
- Povinnosť poskytovateľa informovať vás o akýchkoľvek závažných incidentoch alebo zraniteľnostiach, o ktorých sa dozvedia, v definovanom časovom rámci
- Jasný kanál a postup pre vás na hlásenie incidentov poskytovateľovi
- Záväzok od poskytovateľa spolupracovať s vašimi vyšetrovaniami incidentov a regulačnými otázkami
Práva na audit
- Právo na audit alebo získanie správ o audite o súlade poskytovateľa s povinnosťami nariadenia o AI
- Právo na vyžiadanie aktualizovanej dokumentácie, keď dôjde k výrazným zmenám
Záväzky aktualizácií
- Poskytovateľ vás musí informovať pred nasadením materiálnych aktualizácií systému AI
- Poskytovateľ musí poradiť, či aktualizácia predstavuje podstatnú modifikáciu vyžadujúcu opätovnú validáciu
- Kontinuita dokumentácie — aktualizovaná technická dokumentácia musí byť dodaná s každou materiálnou aktualizáciou
Alokácia zodpovednosti
- Jasnosť o tom, ktorá strana je zodpovedná za ktoré povinnosti podľa čl. 25
- Odškodnenie za straty vzniknuté z nedodržania záväzkov dodávateľa zo strany poskytovateľa
- Obmedzenia zodpovednosti, ktoré nenarúšajú vašu schopnosť plniť regulačné povinnosti
Trh AI predajcov: Čo sledovať
Trh s nástrojmi a službami AI sa rýchlo vyvíja a pozícia dodávateľov AI v súlade s nariadením EÚ o AI sa výrazne líši:
- Hlavní poskytovatelia cloudu a AI (Microsoft, Google, AWS, OpenAI, Anthropic) investovali výrazne do správy AI a dokumentácie súladu GPAI. Ich podmienky služby a karty modelov poskytujú viac informácií ako väčšina ostatných dodávateľov.
- Špecializovaní dodávatelia vertikálneho AI (HR tech, legal tech, fintech, healthtech) sú v rôznych fázach pripravenosti na nariadenie EÚ o AI. Mnohé sú MSP, ktoré ešte úplne nezmapovali svoje povinnosti.
- AI zabudovaná v nástrojoch SaaS (funkcie AI v CRM, ERP, produktivitných nástrojoch) nemusia byť uvádzané na trh ako „produkty AI" — ale ak robia alebo ovplyvňujú závažné rozhodnutia o jednotlivcoch, platia povinnosti nariadenia EÚ o AI.
Obstarávacie tímy by mali pridať skríning súladu s nariadením o AI do due diligence dodávateľov — pýtajúc sa dodávateľov, aby atestovali svoj status súladu, poskytli dokumentáciu zhody pre vysokorizikové systémy a zaviazali sa k priebežnému zdieľaniu informácií, keď sa regulačné prostredie vyvíja.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Áno, ako nasadzujúce subjekty. Poskytovateľ API (OpenAI, Anthropic) je poskytovateľom modelu GPAI a nesie povinnosti GPAI. Ak na základe ich API budujete aplikáciu a sprístupňujete ju používateľom, stávate sa poskytovateľom tejto aplikácie (systém AI). Voči základnému modelu GPAI máte povinnosti nasadzujúceho subjektu a voči vlastnému systému AI povinnosti poskytovateľa.
Pre vysokorizikové systémy AI: dodávateľ (ako poskytovateľ) musí dodať pokyny na používanie (čl. 13) a súhrn posúdenia zhody alebo vyhlásenie o zhode. Pre modely GPAI: poskytovatelia musia dodať technickú dokumentáciu a informácie potrebné pre downstream súlad. Zmluvne požadujte: popis systému, známe obmedzenia, výsledky testovania zaujatosti, metriky výkonu a postupy hlásenia incidentov.
Zmluvne môžete alokovať zodpovednosť medzi stranami — ale regulačná zodpovednosť nemôže byť prevedená zmluvou. Ak nasadzujete vysokorizikový systém AI, máte povinnosti nasadzujúceho subjektu bez ohľadu na vašu dohodu. Zmluvy používajte na zabezpečenie toho, aby vám poskytovateľ dal to, čo potrebujete na plnenie svojich povinností, nie na ich únik.
Nariadenie EÚ o AI sa vzťahuje na systémy AI umiestnené na európskom trhu bez ohľadu na to, kde je poskytovateľ usadený. Poskytovatelia mimo EÚ musia vymenovať oprávneného zástupcu v EÚ (čl. 22), ktorý má rovnaké právne povinnosti ako poskytovateľ usadený v EÚ. Pred nasadením ich systému AI overte, že dodávateľ má oprávneného zástupcu.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.