AI governance vo firme — smernica, AI officer, vendor management

Implementácia umelej inteligencie vo firme nie je iba technologický projekt — je to právny a manažérsky proces, ktorý musí spĺňať povinnosti podľa AI Act-u, GDPR, autorského zákona, zákona o ochrane obchodného tajomstva a sektorových predpisov. Centrálnym nástrojom je AI governance smernica — interný predpis, ktorý vymedzuje, aké AI nástroje firma používa, ako sú klasifikované podľa rizika, kto je AI officer (zodpovedná osoba za AI compliance), ako prebieha vendor management a aký režim sa uplatňuje pri vstupe firemných údajov do AI nástrojov. Tento sub-hub zhŕňa stavbu AI governance vo firme — od základnej smernice cez klasifikáciu nástrojov, ochranu obchodného tajomstva podľa zákona č. 215/2002 Z. z. až po referenčnú normu ISO/IEC 42001 (manažérsky systém pre AI).

Prečo AI governance — zákonné dôvody

AI governance je právna nevyhnutnosť z viacerých dôvodov:

• AI Act ukladá poskytovateľovi aj používateľovi (deployer) vysokorizikových AI systémov povinnosti riadenia rizík, ľudského dohľadu, monitoringu a oznamovania incidentov. Pre splnenie týchto povinností je potrebný organizačný rámec — smernica, určenie zodpovedných osôb, procesy.
• GDPR ukladá pri AI s automatizovaným rozhodovaním (čl. 22) povinnosť informovania, opatrení na zabezpečenie práva na ľudský zásah, DPIA podľa čl. 35.
• § 415 Občianskeho zákonníka ukladá všeobecnú prevenčnú povinnosť — pri AI sa porušenie môže prejaviť ako zodpovednosť za škodu podľa § 420 OZ (viď zodpovednosť za škodu spôsobenú AI).
• Zákon č. 215/2002 Z. z. o ochrane obchodného tajomstva vyžaduje primerané opatrenia na zachovanie tajomstva — vstup firemných údajov do AI nástrojov tretej strany môže byť porušením povinnosti zachovať tajomstvo.
• Sektorové regulácie — pri AI v zdravotníctve (zákon o poskytovateľoch zdravotnej starostlivosti), v bankovníctve (NBS dohľad, ICAAP, ICT risk), v energetike (kybernetická bezpečnosť, NIS2).

Bez formalizovanej AI governance je firma vystavená riziku regulatórnej sankcie, zodpovednosti za škodu, úniku obchodného tajomstva a reputačnej ujmy.

AI governance smernica — obsahové minimum

AI governance smernica je centrálny interný predpis, ktorý vymedzuje pravidlá použitia AI vo firme. Obsahové minimum:

1. Účel a pôsobnosť smernice — definícia AI nástroja pre účely smernice, koho sa smernica týka (zamestnanci, externí spolupracovníci, dodávatelia).
2. Klasifikácia AI nástrojov — postup zaradenia nástroja do rizikovej kategórie (viď nižšie).
3. Zoznam povolených a zakázaných AI nástrojov — register schválených nástrojov, postup schvaľovania nových.
4. Pravidlá pre vstup údajov do AI — kategórie údajov, ktoré nie je možné zadávať do AI tretej strany (obchodné tajomstvo, osobné údaje klientov, klasifikované informácie).
5. Pravidlá pre používanie AI výstupov — povinnosť overovania (faktická kontrola, ľudský dohľad), označovanie AI-generovaného obsahu navonok.
6. Vendor management — proces hodnotenia poskytovateľov AI, povinné zmluvné doložky, audit licenčných podmienok.
7. Pravidlá pre vývoj a nasadenie vlastných AI systémov — procesy posúdenia rizík, DPIA, dokumentácia, ľudský dohľad.
8. Logovanie a monitoring — záznamy o použití AI, monitoring incidentov.
9. Reakcia na incident — postup pri zistení vážneho incidentu (chyba AI s následkami, únik údajov, sťažnosť dotknutej osoby).
10. Školenie a komunikácia — povinné školenie zamestnancov, frekvencia, dokumentácia.
11. Zodpovednosti a kompetencie — AI officer, DPO, manažment, IT, jednotky biznisu.
12. Sankcie pri porušení smernice — odkaz na pracovnoprávny rámec a Zákonník práce.

Klasifikácia AI nástrojov vo firme

Klasifikácia AI nástroja je kľúčový krok, ktorý určuje povinnosti pre nástroj — od jednoduchého schvaľovacieho procesu pri nízkorizikovom chatbote po komplexnú DPIA pri HR AI alebo medical AI. Praktický model klasifikácie:

Typ nástroja	Riziká	Režim vo firme
Konzumentský chatbot (zákaznícka podpora, FAQ)	Halucinácie, dezinformácia, zneužitie konkurentom, povinnosti transparentnosti podľa čl. 50 AI Act.	Stredné riziko. Vyžaduje sa: informácia, že komunikuje AI, ľudský dohľad nad citlivými otázkami, log konverzácií, eskalácia na človeka.
Interný produktivitný AI (ChatGPT, Claude, Copilot)	Únik obchodného tajomstva, únik osobných údajov, autorské problémy s výstupmi.	Stredné riziko. Vyžaduje sa: vendor due diligence (zmluva s data processing addendum), zákaz vstupu citlivých údajov, povolené nástroje, školenie zamestnancov.
HR AI (triedenie CV, hodnotenie zamestnancov)	Vysokorizikový podľa Prílohy III AI Act. Čl. 22 GDPR (automatizované rozhodovanie). Diskriminácia.	Vysoké riziko. Vyžaduje sa: DPIA, posúdenie zhody, ľudský dohľad, logovanie, antidiskriminačné testy, informácia uchádzačovi, alternatívny manuálny proces.
Finančný AI (scoring úverov, fraud detection)	Vysokorizikový podľa Prílohy III. Čl. 22 GDPR. Sektorový dohľad NBS.	Vysoké riziko. Plný compliance rámec AI Act + GDPR + sektorové predpisy.
Medical AI (diagnostika, podpora rozhodovania)	Vysokorizikový. PLD recast (medical device). Zodpovednosť za škodu na zdraví.	Vysoké riziko. CE označenie ako medical device, AI Act, zákon o liekoch a zdravotníckych pomôckach, klinické validácie.
AI v marketingu a obchode (personalizácia, A/B testing)	Profilovanie pod čl. 22 GDPR (v závislosti od dôsledkov), DSA pri online platforme.	Stredné riziko. Posúdenie, či ide o automatizované rozhodovanie podľa čl. 22 GDPR, informačná povinnosť, opt-out.

Klasifikácia je živý proces — pri pridaní novej funkcie nástroja, zmene použitia alebo zmene právneho rámca sa nástroj preklasifikuje.

AI officer — zodpovedná osoba pre AI compliance

AI Act neukladá výslovne povinnosť určiť „AI officera" ako formálnu rolu, ale pre praktickú implementáciu compliance je určenie zodpovednej osoby nevyhnutnosťou. Vo väčších organizáciách sa AI officer typicky ustanovuje samostatne; v menších firmách rolu môže kumulatívne plniť zodpovedná osoba (DPO) alebo compliance officer.

Kompetencie AI officera:

• Vedenie registra AI nástrojov a ich klasifikácia.
• Schvaľovanie nasadenia nových AI nástrojov.
• Koordinácia DPIA pri AI s osobnými údajmi.
• Audit zmlúv s poskytovateľmi AI (vendor management).
• Reakcia na incident (chyba AI, únik údajov, sťažnosť).
• Reporting manažmentu — pravidelný a ad-hoc.
• Školenia zamestnancov.
• Sledovanie regulačného vývoja (AI Act, ETSI/CEN štandardy, ISO/IEC 42001).
• Kontakt s dozornými orgánmi (Úrad na ochranu osobných údajov SR, dohliadací orgán AI Act-u).

Vendor management — audit poskytovateľov AI

Väčšina AI nástrojov používaných firmami je od tretích poskytovateľov (najmä OpenAI, Anthropic, Microsoft, Google, AWS, lokálne vendory). Vendor management v AI vyžaduje:

1. Due diligence poskytovateľa — kde má sídlo, akú má reputáciu, či dodržiava AI Act a GDPR, či má SOC 2 alebo ISO/IEC 27001 certifikáciu, či má insurance.
2. Audit licenčných podmienok (Terms of Use, EULA) — práva k výstupom, indemnity, limitation of liability, governing law, dispute resolution. Zvlášť pozorne pri klauzulách, ktoré umožňujú poskytovateľovi použiť vstupy klienta na ďalší tréning.
3. Data Processing Addendum (DPA) — ak poskytovateľ spracúva osobné údaje v mene firmy, je sprostredkovateľom podľa čl. 28 GDPR. DPA musí obsahovať povinné prvky podľa čl. 28 ods. 3 GDPR.
4. Štandardné zmluvné doložky (SCC) — ak údaje idú mimo EEA (typicky USA), prenos musí byť zabezpečený mechanizmom podľa kap. V GDPR (SCC, BCR, adekvátne rozhodnutie). Pri USA aktuálne EU-US Data Privacy Framework (DPF).
5. SLA a incident reporting — povinnosť poskytovateľa hlásiť bezpečnostné incidenty v lehote, ktorá umožní splnenie 72-hodinovej lehoty podľa čl. 33 GDPR.
6. Práva auditu — kontraktuálne právo audit poskytovateľa alebo aspoň prijatie auditných správ tretej strany (SOC 2, ISO).
7. Exit stratégia — možnosť ukončenia zmluvy a získanie údajov v štandardnom formáte.

Obchodné tajomstvo — zákon č. 215/2002 Z. z. a AI

Zákon č. 215/2002 Z. z. (správne pomenovanie: Obchodný zákonník č. 513/1991 Zb., § 17 a nasl. — definícia obchodného tajomstva v slovenskom práve je primárne v Obchodnom zákonníku; zákon č. 215/2002 Z. z. upravuje ochranu utajovaných skutočností, ktoré sú samostatným režimom). Pre obchodné tajomstvo platí § 17 Obchodného zákonníka — obchodným tajomstvom sú skutočnosti obchodnej, výrobnej alebo technickej povahy, ktoré majú skutočnú alebo aspoň potenciálnu materiálnu alebo nemateriálnu hodnotu, nie sú v príslušných obchodných kruhoch bežne dostupné a podnikateľ ich primerane utajuje.

Pri AI nástrojoch vznikajú dve typické riziká:

• Vstup obchodného tajomstva do AI tretej strany — zamestnanec zadáva citlivé firemné údaje (zmluvy, finančné plány, technické riešenia) do chatbotu, ktorý ich môže použiť na tréning ďalších modelov. Tým firma stráca primerané opatrenia na utajenie a riskuje stratu charakteru obchodného tajomstva.
• Únik obchodného tajomstva cez výstup AI — AI vytrénovaná na firemných údajoch môže pri výstupe znova „vyzradiť" časti tréningových dát.

AI governance smernica musí preto jednoznačne zakázať vstup obchodného tajomstva do AI tretej strany alebo povoliť iba enterprise verziu nástroja s explicitnou zmluvnou zárukou, že vstupy nebudú použité na tréning.

ISO/IEC 42001 — manažérsky systém pre AI

ISO/IEC 42001 je medzinárodná norma vydaná v decembri 2023, ktorá definuje manažérsky systém pre AI (AI Management System — AIMS). Nie je zákonom, ale poskytuje referenčný rámec pre stavbu AI governance, ktorý je v súlade s AI Act-om. Norma pokrýva:

• kontext organizácie a stakeholder analysis,
• politika AI a ciele,
• posúdenie rizík a príležitostí,
• kompetencie, povedomie, komunikácia,
• operatívne plánovanie a kontrola,
• hodnotenie výkonu, interný audit,
• nepretržité zlepšovanie.

Pre firmy, ktoré usilujú o vyššiu zrelosť AI governance alebo o certifikáciu, ISO/IEC 42001 predstavuje praktický rámec. Pre účely AI Act-u nie je ISO/IEC 42001 obligatórna, ale jej dodržiavanie môže pri auditoch a kontrolách slúžiť ako preukaz primeranosti opatrení.

Pracovnoprávny rozmer — AI a zamestnanec

Implementácia AI vo firme má aj pracovnoprávny rozmer:

• Pracovná zmluva alebo interná smernica musí stanoviť pravidlá použitia AI nástrojov zamestnancom — povolené nástroje, zákaz vstupu citlivých údajov, povinnosť overovania výstupov.
• Monitoring zamestnancov pomocou AI (analýza komunikácie, produktivita, attendance) je obvykle pod čl. 22 GDPR a § 78 zákona č. 18/2018 Z. z. (zamestnanecké údaje). Vyžaduje DPIA, informovanie a primeranosť.
• Diskriminačné AI rozhodnutia v HR môžu byť porušením antidiskriminačného zákona č. 365/2004 Z. z. — pri náborovom AI je preto potrebné vykonávať bias testing a zachovať ľudský dohľad pri konečnom rozhodnutí.
• Použitie AI na pracovisku ako téma na kolektívne vyjednávanie — pri zavedení AI s významným dopadom na pracovné podmienky je vhodná konzultácia so zástupcami zamestnancov.

Náš prístup k AI governance

• AI gap analýza — audit existujúceho AI portfólia, identifikácia právnych rizík a chýbajúcich opatrení.
• AI governance smernica — návrh smernice na mieru firmy, vrátane registra nástrojov, klasifikácie a procesov.
• Vendor management balík — vzorové zmluvné doložky, audit licenčných podmienok najpoužívanejších AI nástrojov.
• DPIA a posúdenie zhody — pre konkrétne vysokorizikové AI nasadenia.
• Pracovnoprávny rámec — návrh doplnenia pracovných zmlúv, internej smernice o použití AI, monitoring zamestnancov.
• Školenia — školenia pre manažment, IT, HR a všeobecne pre zamestnancov.
• Prepojenie s ostatnými oblasťami — AI Act, GDPR, zodpovednosť za škodu, autorské právo.

Cenovú ponuku pripravujeme individuálne podľa veľkosti firmy, rozsahu AI portfólia a požadovaného balíka. Pre úvodné posúdenie zámeru je k dispozícii platená vstupná konzultácia s advokátom.