Čo je AI Act a od kedy je účinný?

AI Act je Nariadenie Európskeho parlamentu a Rady (EÚ) 2024/1689 o umelej inteligencii. Účinnosť je rozdelená do fáz podľa článku 113 Nariadenia: zakázané praktiky podľa článku 5 sú účinné od 2. februára 2025, povinnosti poskytovateľov všeobecných AI modelov od 2. augusta 2025, vysokorizikové AI systémy podľa Prílohy III sú plne pokryté od 2. augusta 2026 a niektoré ustanovenia týkajúce sa AI systémov ako súčasti regulovaných výrobkov majú prechodné obdobie do 2. augusta 2027.

Aké sú štyri kategórie rizík podľa AI Act?

AI Act rozdeľuje AI systémy do štyroch kategórií podľa miery rizika: 1) zakázané AI praktiky podľa článku 5 (napríklad sociálne skórovanie, manipulatívne techniky podvedomého ovplyvňovania), 2) vysokorizikové AI systémy podľa článku 6 a Prílohy III (HR výber, hodnotenie úverov, kritická infraštruktúra), 3) AI systémy s povinnosťami transparentnosti podľa článku 50 (chatboty, deepfaky, generatívne AI obsahy) a 4) ostatné AI systémy s minimálnymi povinnosťami.

Kedy je AI systém vysokorizikový?

AI systém je vysokorizikový v dvoch situáciách. Po prvé, ak je AI súčasťou výrobku regulovaného harmonizačnou legislatívou EÚ uvedenou v Prílohe I (článok 6 ods. 1 Nariadenia 2024/1689). Po druhé, ak AI patrí do oblasti uvedenej v Prílohe III — napríklad biometrická identifikácia, riadenie kritickej infraštruktúry, vzdelávanie, zamestnávanie a riadenie pracovníkov, prístup k základným službám, presadzovanie práva, migrácia a azyl, a výkon spravodlivosti (článok 6 ods. 2).

Aké povinnosti má poskytovateľ vysokorizikového AI systému?

Poskytovateľ vysokorizikového AI systému musí podľa Hlavy III kapitoly 3 Nariadenia 2024/1689 zaviesť systém riadenia rizík (článok 9), zabezpečiť kvalitu trénovacích, validačných a testovacích súborov údajov (článok 10), vypracovať technickú dokumentáciu (článok 11 a Príloha IV), zaviesť automatické logovanie (článok 12), zabezpečiť transparentnosť a poskytovať informácie používateľom (článok 13), umožniť ľudský dohľad (článok 14), zabezpečiť presnosť, robustnosť a kybernetickú bezpečnosť (článok 15) a vykonať posudzovanie zhody pred uvedením na trh (články 43 — 48).

Aké povinnosti má používateľ (deployer) vysokorizikového AI systému?

Používateľ — v terminológii AI Act "deployer" — vysokorizikového AI systému má podľa článku 26 Nariadenia povinnosť používať AI v súlade s pokynmi poskytovateľa, zabezpečiť reprezentatívnosť vstupných údajov, vykonávať ľudský dohľad, monitorovať fungovanie systému, viesť logy, informovať dotknuté fyzické osoby v zmysle článku 26 ods. 11 a v špecifických prípadoch vykonať posúdenie vplyvu na základné práva podľa článku 27.

Čo sú zakázané AI praktiky podľa článku 5?

Článok 5 Nariadenia 2024/1689 zakazuje uvádzanie na trh, do prevádzky alebo používanie AI systémov, ktoré používajú podvedomé techniky alebo úmyselne manipulatívne či klamlivé techniky s cieľom narušiť rozhodovanie osoby, AI systémov zneužívajúcich zraniteľnosti osôb (vek, zdravotné postihnutie, sociálna alebo ekonomická situácia), AI systémov pre sociálne skórovanie, AI systémov pre profilovanie osôb na účely predpovedania kriminality, AI systémov pre necielené zhromažďovanie obrázkov tvárí z internetu pre rozšírenie databáz rozpoznávania tváre, AI systémov pre rozpoznávanie emócií v práci a vzdelávaní, biometrickej kategorizácie a v zásade aj biometrickej identifikácie na diaľku v reálnom čase vo verejne prístupných priestoroch (s úzkymi výnimkami).

Aké sú povinnosti transparentnosti podľa článku 50?

Článok 50 Nariadenia 2024/1689 ukladá špecifické povinnosti transparentnosti pri AI systémoch, ktoré interagujú s fyzickými osobami (chatboty), pri syntetickom alebo manipulovanom obsahu (deepfake) a pri generatívnych AI systémoch. Poskytovatelia a používatelia musia označiť syntetický obsah strojovo čitateľným spôsobom, informovať osoby, že komunikujú s AI, a v prípade deepfake jasne uviesť, že obsah je umelo vytvorený alebo manipulovaný.

Aké sankcie hrozia za porušenie AI Act?

Sankcie sú upravené v článku 99 Nariadenia 2024/1689. Najvyššie sankcie sú stanovené pre porušenie zákazu podľa článku 5 (zakázané praktiky). Sankcie sa určujú podľa závažnosti porušenia, vplyvu na dotknuté osoby a podľa toho, či ide o fyzickú alebo právnickú osobu. Konkrétne výšky pokút sú v zákonom určenom rozsahu — pri stanovení sa zohľadňuje aj veľkosť podniku a obrat. Pri všeobecných AI modeloch sa uplatňuje samostatný režim podľa článku 101.

Čo musí slovenská firma urobiť pre AI Act compliance?

Slovenská firma by mala v rámci AI Act compliance vykonať tieto kroky: 1) zinventarizovať všetky AI systémy, ktoré vyvíja alebo používa, 2) klasifikovať ich do jednej zo štyroch kategórií rizika, 3) overiť, či niektorý zo systémov nepatrí medzi zakázané praktiky (čl. 5), 4) pri vysokorizikových AI systémoch zabezpečiť plné splnenie povinností Hlavy III, 5) pri systémoch s povinnosťami transparentnosti zabezpečiť označovanie podľa článku 50, 6) implementovať internú AI governance — politiky, ľudský dohľad, logovanie a školenia. Detail compliance pokrýva sub-hub AI governance vo firme .

Ako AI Act interaguje s GDPR?

AI Act a GDPR sú dve samostatné, ale komplementárne regulácie. AI Act sa zameriava na bezpečnosť a dôveryhodnosť AI systémov, GDPR na ochranu osobných údajov. Pri AI systémoch, ktoré spracúvajú osobné údaje, sa uplatňujú obe regulácie súčasne — AI Act ukladá povinnosti k systému ako takému (riadenie rizík, transparentnosť, ľudský dohľad), GDPR k spracúvaniu osobných údajov v ňom (právny základ podľa článku 6, informovanie podľa článkov 13 — 14, DPIA podľa článku 35, právo nepodliehať automatizovanému rozhodovaniu podľa článku 22). Detail prepojenia pokrývame v článku AI a GDPR .

AI Act 2026: 4 kategórie rizík AI systémov a čo to znamená pre slovenské firmy

Publikované: 11. mája 2026 | Aktualizované: 11. mája 2026 | Kategória: Právo umelej inteligencie | Autor: JUDr. Branislav Samec · Advokát, zakladateľ

Tento článok má výlučne informatívny charakter a nepredstavuje právnu radu ani záväzné právne stanovisko. Jeho obsahom je zhrnutie verejne dostupných informácií, pričom aktuálnosť, úplnosť ani správnosť uvedených informácií nie je zaručená. Prečítaním tohto článku nevzniká vzťah advokát – klient. Odporúčame nekonať na základe tohto článku bez konzultácie s advokátom, ktorý posúdi Vašu konkrétnu situáciu. Neváhajte sa obrátiť na našu advokátsku kanceláriu.

Európska únia prijatím Nariadenia (EÚ) 2024/1689 o umelej inteligencii (AI Act) zaviedla prvý komplexný právny rámec pre AI systémy v celosvetovom meradle. Pre slovenské firmy znamená Nariadenie povinnosť posúdiť každý vyvíjaný alebo používaný AI systém z hľadiska miery rizika a splniť povinnosti, ktoré pre danú kategóriu Nariadenie ustanovuje. Tento článok systematicky rozoberá štyri kategórie rizík podľa AI Act, povinnosti poskytovateľov a používateľov (deployerov), časovú os účinnosti podľa článku 113 a praktické kroky compliance pre slovenské podniky. Pre širší regulačný kontext pokračujte na pilier právo umelej inteligencie, pre detail samotného Nariadenia na sub-hub AI Act — Nariadenie (EÚ) 2024/1689.

Čo je AI Act a aký je jeho účel

AI Act je Nariadenie Európskeho parlamentu a Rady (EÚ) 2024/1689 z 13. júna 2024 o umelej inteligencii, ktorým sa menia niektoré legislatívne akty Únie. Nariadenie nadobudlo platnosť 1. augusta 2024 a jeho uplatniteľnosť je rozložená do viacerých fáz podľa článku 113. AI Act stanovuje jednotný právny rámec pre uvádzanie AI systémov na trh, ich uvádzanie do prevádzky a používanie v Európskej únii s cieľom zabezpečiť vysokú úroveň ochrany zdravia, bezpečnosti a základných práv vrátane demokracie, právneho štátu a ochrany životného prostredia.

Nariadenie je založené na rizikovo orientovanom prístupe — namiesto plošnej regulácie všetkých AI systémov ukladá povinnosti diferencované podľa miery rizika, ktoré AI systém predstavuje pre základné práva a verejné záujmy. Štyri kategórie rizík sú jadrom regulačnej štruktúry Nariadenia a každá firma vyvíjajúca alebo používajúca AI v EÚ musí svoje systémy klasifikovať do jednej z týchto kategórií ako prvý krok compliance.

AI Act sa uplatňuje extraterritoriálne — vzťahuje sa nielen na poskytovateľov a používateľov so sídlom v EÚ, ale aj na poskytovateľov so sídlom v tretích krajinách, ak ich AI systémy uvádzajú do prevádzky alebo používajú v EÚ, alebo ak výstup AI systému sa používa v EÚ (článok 2). Slovenská firma teda nemôže uniknúť pôsobnosti Nariadenia tým, že AI systém vyvíja v tretej krajine — postačí, že systém je používaný v EÚ.

Štyri kategórie rizík — prehľad

Jadrom Nariadenia 2024/1689 je rozlišovanie AI systémov do štyroch kategórií rizík. Každá kategória má vlastný regulačný režim — od úplného zákazu cez prísne ex-ante povinnosti až po minimálne povinnosti transparentnosti alebo žiadne osobitné povinnosti.

Kategória	Charakteristika	Právny základ	Účinnosť
1. Zakázané AI praktiky	Úplne zakázané — neprijateľné riziko pre základné práva	článok 5 Nariadenia 2024/1689	od 2. 2. 2025
2. Vysokorizikové AI systémy	Povolené pri splnení prísnych povinností Hlavy III	článok 6 a Príloha III	plne od 2. 8. 2026
3. AI s povinnosťami transparentnosti	Povolené, ale musia byť transparentne označené	článok 50	od 2. 8. 2026
4. Ostatné AI systémy	Bez osobitných povinností podľa AI Act	—	—

Súčasne sa popri týchto štyroch kategóriách Nariadenie venuje aj samostatnej kategórii všeobecných AI modelov (GPAI) podľa Hlavy V, ktorá rieši základné modely (foundation models) ako napríklad veľké jazykové modely. Pri GPAI s vysokým systémovým rizikom (článok 51) sa uplatňujú osobitné povinnosti podľa článkov 53 a 55.

Kategória 1 — Zakázané AI praktiky (článok 5)

Článok 5 Nariadenia 2024/1689 obsahuje vyčerpávajúci zoznam AI praktík, ktoré sú v Európskej únii úplne zakázané. Ide o AI systémy, ktoré predstavujú neprijateľné riziko pre základné práva a hodnoty EÚ. Pri týchto praktikách Nariadenie nepripúšťa žiadnu kategóriu „povoleného vysokého rizika" — sú jednoducho zakázané. Tento zákaz nadobudol účinnosť 2. februára 2025, teda 6 mesiacov po nadobudnutí platnosti Nariadenia.

Úvodná veta článku 5 ods. 1 Nariadenia (EÚ) 2024/1689 znie:

„Zakazujú sa tieto praktiky umelej inteligencie: uvádzanie na trh, uvádzanie do prevádzky alebo používanie systému umelej inteligencie [...]"

Konkrétne článok 5 ods. 1 zakazuje uvádzanie na trh, do prevádzky alebo používanie AI systémov, ktoré:

Používajú podvedomé techniky mimo vedomia osoby alebo úmyselne manipulatívne či klamlivé techniky s cieľom alebo účinkom podstatne narušiť rozhodovanie osoby spôsobom, ktorý jej spôsobuje alebo môže spôsobiť ujmu (písm. a),
Zneužívajú zraniteľnosti fyzickej osoby alebo skupiny osôb v dôsledku ich veku, zdravotného postihnutia, sociálnej alebo ekonomickej situácie (písm. b),
Klasifikujú alebo hodnotia fyzické osoby alebo skupiny osôb počas určitého obdobia na základe ich spoločenského správania alebo známych, vyvodených alebo predpokladaných osobných alebo osobnostných charakteristík (sociálne skórovanie — písm. c),
Vykonávajú posúdenie rizika spáchania trestného činu fyzickou osobou výlučne na základe profilovania alebo posudzovania osobnostných čŕt (písm. d),
Vytvárajú alebo rozširujú databázy rozpoznávania tváre necieleným zhromažďovaním obrazov tvárí z internetu alebo CCTV (písm. e),
Vykonávajú rozpoznávanie emócií v oblasti pracoviska a vzdelávacích inštitúcií (písm. f, s úzkymi medicínskymi alebo bezpečnostnými výnimkami),
Biometricky kategorizujú fyzické osoby na vyvodenie alebo odvodenie ich rasy, politických názorov, členstva v odboroch, náboženského alebo filozofického presvedčenia, sexuálneho života alebo sexuálnej orientácie (písm. g),
Vykonávajú biometrickú identifikáciu na diaľku v reálnom čase vo verejne prístupných priestoroch na účely vymáhania práva (písm. h, s úzkymi výnimkami).

Sankcie za porušenie článku 5 sú podľa článku 99 Nariadenia stanovené v najvyššej kategórii. Pri vývoji alebo nákupe AI systému by mala byť prvým krokom verifikácia, či systém nespadá pod článok 5. Pri pochybnostiach odporúčame individuálnu právnu konzultáciu — viaceré zakázané praktiky majú definičné nuansy, ktoré sa odvíjajú od konkrétneho použitia.

Kategória 2 — Vysokorizikové AI systémy (článok 6 a Príloha III)

Vysokorizikové AI systémy sú jadrom regulačného režimu AI Act. Sú povolené pri splnení prísnych povinností v Hlave III Nariadenia, ale ich uvedenie na trh, uvedenie do prevádzky alebo používanie podlieha posudzovaniu zhody a ďalším ex-ante povinnostiam.

AI systém je vysokorizikový podľa článku 6 Nariadenia 2024/1689 v dvoch základných situáciách:

AI ako bezpečnostná súčasť výrobku regulovaného harmonizačnou legislatívou EÚ (článok 6 ods. 1) — ak je AI bezpečnostnou súčasťou výrobku, ktorý spadá pod legislatívu uvedenú v Prílohe I (napríklad strojárne, hračky, výťahy, zdravotnícke pomôcky, civilné letectvo) a tento výrobok podlieha posudzovaniu zhody tretej strany.
AI v oblastiach uvedených v Prílohe III (článok 6 ods. 2) — ak AI patrí do jednej z taxatívnych oblastí v Prílohe III. Prevádzkovateľ však môže preukázať, že AI systém nepredstavuje významné riziko pre zdravie, bezpečnosť alebo základné práva, a v takom prípade AI nie je vysokorizikový (článok 6 ods. 3 — výnimka).

Príloha III Nariadenia obsahuje osem oblastí, v ktorých sú AI systémy považované za vysokorizikové:

Príloha III	Oblasť	Príklady AI systémov
1.	Biometria	Biometrická identifikácia, biometrická kategorizácia (nie zakázaná podľa čl. 5), rozpoznávanie emócií
2.	Kritická infraštruktúra	AI v riadení energetiky, dopravy, vody, ICT
3.	Vzdelávanie	AI na rozhodovanie o prijatí, hodnotení výsledkov, monitorovaní správania študentov
4.	Zamestnávanie a riadenie pracovníkov	AI v náborovom procese, hodnotení výkonu, prideľovaní úloh, ukončení pracovného pomeru
5.	Prístup k základným službám	AI v hodnotení úverov, v rozhodovaní o sociálnych dávkach, v poistení (zdravotné, životné), v krízovej zdravotnej tiesni
6.	Presadzovanie práva	AI v hodnotení rizika recidívy, v posúdení spoľahlivosti dôkazov, v profilovaní podozrivých
7.	Migrácia, azyl a hraničná kontrola	AI v posúdení rizika, v posúdení žiadostí o azyl, v hraničných kontrolách
8.	Výkon spravodlivosti	AI ako pomoc súdom pri výklade práva alebo aplikácii na konkrétne skutkové stavy

Slovenské firmy najčastejšie prichádzajú do styku s vysokorizikovými AI systémami v oblasti HR a zamestnávania (príloha III bod 4) — napríklad AI nástroje na automatické filtrovanie životopisov, AI hodnotenie pohovorov, AI rozhodovanie o platových úpravách, AI dohľad nad výkonom zamestnancov. Druhou frekventovanou oblasťou je poskytovanie úverov a poistenia (príloha III bod 5) — AI scoringové modely v bankovníctve a poisťovníctve.

Povinnosti pri vysokorizikových AI systémoch

Pri vysokorizikových AI systémoch sa rozdeľujú povinnosti medzi poskytovateľa (provider) — typicky vývojár a uvádzač na trh — a používateľa (deployer) — typicky firma alebo subjekt, ktorý AI systém v rámci svojej činnosti používa.

Povinnosti poskytovateľa podľa Hlavy III kapitoly 3 Nariadenia 2024/1689 zahŕňajú:

Systém riadenia rizík (článok 9) — kontinuálny, iteratívny proces identifikácie, analýzy a mitigácie rizík počas celého životného cyklu AI systému,
Riadenie údajov (článok 10) — kvalita trénovacích, validačných a testovacích súborov údajov, riešenie skreslení (bias), reprezentatívnosť,
Technickú dokumentáciu (článok 11 a Príloha IV) — komplexná dokumentácia AI systému, vrátane účelu, architektúry, metód trénovania, charakteristík údajov a obmedzení,
Logovanie (článok 12) — automatické zaznamenávanie udalostí počas prevádzky systému,
Transparentnosť a informovanie (článok 13) — návod na použitie, informácie o schopnostiach a obmedzeniach systému, predpokladanej presnosti,
Ľudský dohľad (článok 14) — zabezpečenie, aby AI systém mohol byť účinne kontrolovaný osobami,
Presnosť, robustnosť a kybernetickú bezpečnosť (článok 15),
Posudzovanie zhody (články 43 — 48) — ex-ante posúdenie pred uvedením na trh,
Označenie CE a registráciu v databáze EÚ (články 49, 71).

Povinnosti používateľa (deployer) sú v článku 26 Nariadenia. Patria k nim používanie AI v súlade s pokynmi poskytovateľa, zabezpečenie reprezentatívnosti vstupných údajov, vykonávanie ľudského dohľadu, monitorovanie fungovania systému, vedenie logov, oznámenie incidentov, informovanie dotknutých osôb (článok 26 ods. 11) a — pri určitých kategóriách deployerov a oblastiach použitia — vykonanie posúdenia vplyvu na základné práva (FRIA) podľa článku 27.

Detailné požiadavky kompletného compliance programu vo firme rozoberáme v sub-hube AI governance vo firme.

Kategória 3 — AI s povinnosťami transparentnosti (článok 50)

Tretia kategória AI systémov nie je vysokoriziková, ale predstavuje mierne riziko spojené s tým, že fyzická osoba si nemusí byť vedomá, že komunikuje s AI alebo že obsah, ktorý vidí, je generovaný AI. Pre tieto systémy Nariadenie ukladá špecifické povinnosti transparentnosti v článku 50.

Konkrétne článok 50 Nariadenia 2024/1689 ukladá tieto povinnosti:

AI systémy interagujúce s fyzickými osobami (článok 50 ods. 1) — poskytovatelia musia zabezpečiť, aby AI systém, ktorý je určený na priamu interakciu s fyzickými osobami (typicky chatboty), bol navrhnutý a vyvinutý tak, aby fyzické osoby boli informované o tom, že komunikujú s AI. Výnimka platí, ak je to zrejmé z kontextu alebo ak ide o AI systémy oprávnené na presadzovanie práva,
Generatívne AI systémy (článok 50 ods. 2) — poskytovatelia AI systémov, ktoré generujú syntetický audio, obrazový, video alebo textový obsah, musia zabezpečiť, aby výstupy boli strojovo čitateľne označené ako umelo generované alebo manipulované,
Rozpoznávanie emócií a biometrická kategorizácia (článok 50 ods. 3) — deployer musí informovať fyzické osoby vystavené takémuto systému o jeho prevádzke (s výnimkami podľa práva),
Deepfake (článok 50 ods. 4) — deployer musí zverejniť, že obsah bol umelo vytvorený alebo manipulovaný; pri umeleckých dielach môže byť informácia poskytnutá spôsobom, ktorý nenarušuje zážitok.

Povinnosti podľa článku 50 sa kumulujú s povinnosťami pre vysokorizikové systémy, ak je AI systém zároveň vysokorizikový aj patriaci do oblasti transparentnosti. Napríklad chatbot pre rozhodovanie o úveroch je súčasne vysokorizikový (Príloha III bod 5) aj podlieha povinnostiam transparentnosti podľa článku 50 ods. 1.

Kategória 4 — Ostatné AI systémy

Štvrtá kategória zahŕňa všetky AI systémy, ktoré nespadajú pod článok 5, článok 6 ani článok 50. Pre tieto systémy Nariadenie 2024/1689 neukladá osobitné povinnosti — sú voľne povolené.

V tejto kategórii sa nachádza väčšina dnes používaných komerčných AI nástrojov, ktoré nemajú vplyv na základné práva alebo bezpečnostne citlivé oblasti. Príklady: AI filter spamu, AI v hrách, AI v odporúčacích systémoch produktov (s výhradou GDPR), AI nástroje na zlepšenie produktivity (autocomplete, kontrola pravopisu), AI v marketingu (segmentácia bez automatizovaného rozhodovania o jednotlivcoch).

Pri AI systémoch v kategórii 4 však nezaniká povinnosť dodržiavať iné právne predpisy, najmä:

GDPR — pri spracúvaní osobných údajov (články 5, 6, 13, 14, 22, 25, 35),
Autorský zákon č. 185/2015 Z. z. — pri trénovaní modelov na chránenom obsahu (§ 3, § 18),
Občiansky zákonník č. 40/1964 Zb. — pri spôsobenej škode (§ 415, § 420),
Trestný zákon č. 300/2005 Z. z. — pri počítačovej kriminalite (§ 247 — 248a).

Časová os účinnosti AI Act — článok 113

AI Act nadobudol platnosť 1. augusta 2024 dvadsiatym dňom po uverejnení v Úradnom vestníku EÚ. Účinnosť jednotlivých ustanovení je rozložená podľa článku 113 Nariadenia do niekoľkých fáz, aby firmy a verejné orgány mali čas pripraviť sa.

Dátum	Účinnosť	Právny základ
1. 8. 2024	Platnosť Nariadenia	článok 113 — nadobudnutie platnosti
2. 2. 2025	Zakázané AI praktiky účinné	Hlava I a II (čl. 5)
2. 8. 2025	GPAI modely účinné, sankcie účinné	Hlava V (GPAI), Hlava XII (sankcie), riadiace orgány
2. 8. 2026	Plná účinnosť pre vysokorizikové AI Prílohy III a transparentnosť	Väčšina Nariadenia vrátane Hlavy III a článku 50
2. 8. 2027	Vysokorizikové AI ako súčasť regulovaných výrobkov	článok 6 ods. 1 a Príloha I

Pre slovenské firmy je 2. august 2026 kľúčovým dátumom — od tohto dňa platia plné povinnosti pre vysokorizikové AI systémy v Prílohe III aj povinnosti transparentnosti podľa článku 50. Firmy, ktoré k tomuto dátumu prevádzkujú vysokorizikové AI systémy, musia mať plnú dokumentáciu, posudzovanie zhody, ľudský dohľad, logovanie a internú governance v zhode s Nariadením.

Sankcie podľa článku 99

Článok 99 Nariadenia 2024/1689 stanovuje administratívne sankcie za porušenie Nariadenia. Sankčný režim je diferencovaný podľa závažnosti porušenia:

Najvyššia kategória sankcií — za porušenie zákazu podľa článku 5 (zakázané AI praktiky),
Stredná kategória sankcií — za porušenie povinností poskytovateľa alebo deployera pri vysokorizikových AI systémoch (najmä Hlava III kapitola 3, článok 26),
Nižšia kategória sankcií — za poskytovanie nesprávnych, neúplných alebo zavádzajúcich informácií oznámeným orgánom a príslušným orgánom,
Samostatný režim pre GPAI — podľa článku 101 Nariadenia.

Pri stanovení konkrétnej výšky sankcie sa zohľadňujú okolnosti uvedené v článku 99 ods. 7, najmä povaha, závažnosť a trvanie porušenia, počet dotknutých osôb, opatrenia na zmiernenie ujmy, predchádzajúce porušenia, veľkosť a obrat podniku a iné priťažujúce alebo poľahčujúce okolnosti. Slovenský dozorný orgán bude určený zákonom o AI v rámci implementácie Nariadenia do slovenského právneho poriadku.

Compliance pre slovenské firmy — praktický návod

Slovenské firmy by mali AI Act compliance vnímať ako strukturovaný viacstupňový proces. Odporúčaný postup:

Inventarizácia AI systémov — vytvoriť register všetkých AI systémov, ktoré firma vyvíja, používa, nakupuje alebo plánuje uviesť do prevádzky. Pri každom systéme zaznamenať poskytovateľa, účel, oblasť použitia a typ rozhodnutí, ktoré systém podporuje alebo robí.
Klasifikácia rizík — pri každom AI systéme určiť kategóriu rizika podľa AI Act. Najprv overiť, či systém nespadá pod článok 5 (zakázané praktiky). Následne posúdiť, či AI je vysokoriziková podľa článku 6 a Prílohy III. Pri systémoch interagujúcich s fyzickými osobami a pri generatívnych AI overiť aplikabilitu článku 50.
Posúdenie rolí — pri každom systéme určiť, či firma vystupuje ako poskytovateľ (provider), používateľ (deployer), dovozca (importer) alebo distribútor (distributor) — terminológia článkov 22, 23, 24 a 25.
Gap analýza — porovnať aktuálny stav AI systému a internej governance s povinnosťami Nariadenia pre danú kategóriu rizika. Identifikovať nedostatky v dokumentácii, riadení rizík, ľudskom dohľade, logovaní, transparentnosti.
Implementačný plán — stanoviť konkrétne kroky, zodpovedné osoby a termíny tak, aby boli povinnosti splnené do termínu účinnosti (typicky 2. 8. 2026 pre vysokorizikové AI a článok 50).
Implementácia AI governance — zaviesť internú politiku AI, procedúry, ľudský dohľad, školenia, ohlasovanie incidentov a kontrolné mechanizmy.
Pravidelné prehodnocovanie — Nariadenie sa bude dopĺňať delegovanými aktmi a usmerneniami; firma by mala monitorovať vývoj a aktualizovať svoju AI governance.

Pri každom vysokorizikovom AI systéme alebo systéme spadajúcom pod článok 50 odporúčame individuálnu právnu konzultáciu, pretože klasifikácia môže byť hraničná a nesprávne posúdenie vedie k vystaveniu sa sankčnému režimu podľa článku 99. Detail compliance procesu pokrýva sub-hub AI governance vo firme.

AI Act sa nevykonáva v izolácii. Pri AI systémoch, ktoré spracúvajú osobné údaje, sa kumulatívne uplatňuje aj Nariadenie (EÚ) 2016/679 (GDPR) a v Slovenskej republike aj zákon č. 18/2018 Z. z. o ochrane osobných údajov.

GDPR sa pri AI uplatňuje najmä prostredníctvom:

Článok 5 GDPR — princípy zákonnosti, spravodlivosti, transparentnosti, obmedzenia účelu, minimalizácie údajov, presnosti, obmedzenia uchovávania, integrity a dôvernosti, zodpovednosti,
Článok 6 GDPR — právny základ spracúvania osobných údajov,
Články 13 a 14 GDPR — informačná povinnosť voči dotknutej osobe, vrátane informácie o automatizovanom rozhodovaní,
Článok 22 GDPR — právo dotknutej osoby nepodliehať rozhodnutiu založenému výlučne na automatizovanom spracúvaní vrátane profilovania,
Článok 25 GDPR — ochrana údajov uvážlivá podľa návrhu (privacy by design),
Článok 35 GDPR — posúdenie vplyvu na ochranu údajov (DPIA), ktoré je v praxi povinné pri väčšine vysokorizikových AI systémov.

Detail prepojenia AI a GDPR rozoberáme v článku AI a GDPR. Pri zodpovednosti za škodu spôsobenú AI sa popri AI Act uplatňujú Smernica (EÚ) 2024/2853 (PLD recast — AI ako výrobok), Občiansky zákonník č. 40/1964 Zb. (§ 415, § 420, § 421a) a — pri určitých scenároch — aj Trestný zákon č. 300/2005 Z. z. (§ 247 — 248a). Detail tejto problematiky rozoberáme v článku AI a zodpovednosť za škodu.

Záver — AI Act ako východisko AI governance

AI Act prináša pre slovenské firmy systémovú zmenu v prístupe k vývoju a používaniu AI. Štyri kategórie rizík — zakázané praktiky, vysokorizikové AI, AI s povinnosťami transparentnosti a ostatné AI — tvoria základnú regulačnú mriežku, podľa ktorej musia byť všetky AI systémy posúdené. Pri klasifikácii rozhoduje účel, oblasť použitia a charakter AI systému, nie technické riešenie alebo veľkosť firmy.

Kľúčovým termínom pre slovenské firmy je 2. august 2026, ku ktorému majú nadobudnúť plnú účinnosť povinnosti pre vysokorizikové AI systémy a povinnosti transparentnosti podľa článku 50. Do tohto termínu by mala každá firma vykonať inventarizáciu AI, klasifikáciu rizík, gap analýzu a implementovať potrebné kontrolné mechanizmy a dokumentáciu.

AI Act nie je samostatne stojaca regulácia — interaguje s GDPR, PLD recast Smernicou (EÚ) 2024/2853, Občianskym zákonníkom, Trestným zákonom a Autorským zákonom. Komplexné posúdenie AI compliance preto vyžaduje multidisciplinárny pohľad. Pre úvodné posúdenie konkrétneho AI systému alebo plánu AI governance odporúčame platenú vstupnú konzultáciu s advokátom. Pre širší kontext pokračujte na pilier právo umelej inteligencie, pre detail samotného Nariadenia na sub-hub AI Act — Nariadenie (EÚ) 2024/1689 a pre prepojenie s GDPR na článok AI a GDPR.

Tagy: AI Actnariadenie EÚklasifikácia rizíkcompliance2026