Od vodičáku k algoritmom – a späť.
Vo februári 2025 vstúpila do platnosti ďalšia z významných povinností vyplývajúcich z nariadenia Európskeho parlamentu a Rady EÚ 2024/1689, ktorou sa stanovujú harmonizované pravidlá v oblasti umelej inteligencie, známe pod názvom AI Act.
Zatiaľ čo väčšina pozornosti sa doteraz sústreďovala na zakázané systémy (čl. 5) a vysokorizikové AI (čl. 6 a nasl.), do praxe prichádza aj menej diskutovaný, no v compliance zásadný článok 4 o povinnosti zabezpečiť primeranú úroveň AI gramotnosti (AI literacy).
Tento článok bol dopísaný ako parlamentný ‚prílepok‘, teda nepochádza z prapôvodného návrhu Európskej komisie. Aj preto dlho absentovali akékoľvek vysvetlenia ako sa má jeho požiadavka napĺňať. Až zriadený Európsky AI Office začal publikovať tzv. living repository – otvorenú databázu reálnych príkladov z praxe.
Čo vlastne článok 4 hovorí?
Parafrázovane: Článok 4 požaduje, aby všetci, ktorí sa podieľajú na navrhovaní, vývoji, implementácii alebo používaní AI systémov, mali primeranú úroveň vedomostí a zručností v oblasti AI – a to v rozsahu primeranom ich úlohe a kontextu nasadenia systému. Inými slovami: vývojár má vedieť viac ako bežný zamestnanec, ale ani marketingové oddelenie nesmie zostať v úplnej tme.
Povinnosť je formulovaná relatívne: „prijímajú opatrenia na čo najlepšie zabezpečenie dostatočnej úrovne gramotnosti v oblasti AI svojich zamestnancov a ostatných osôb“, čo zvyšuje význam transparentnej dokumentácie a schopnosti preukázať primeranosť postupu pri kontrole.
K dnešnému dňu síce ešte nie je oficiálne určený dozorný orgán pre túto oblasť na Slovensku (14.5.2025), no článok 4 je plne platný a účinný. To znamená, že aj v budúcnosti môže dozorný orgán (samozrejme, v rámci zákonných limitov) spätne kontrolovať plnenie tejto povinnosti odo dňa jej účinnosti.
Z toho vyplýva, že ignorovať povinnosť stanovenú článkom 4 AI Actu sa nemusí vyplatiť. A možno ešte dôležitejšie než samotná pokuta je schopnosť preukázať svoju spôsobilosť spolupracovať na trhu a chrániť svoj biznis model. Umelá inteligencia totiž prináša viacero výziev v oblasti ochrany autorských práv – a napokon sa vám môže stať, že odberateľ síce poďakuje za dodanú prácu, no odmietne uhradiť licenčnú odmenu, ak nebude dostatočne zrejmé, že licencia vôbec vzniknúť mohla.
Inými slovami, ide o dvojsečný meč – nestačí vyvíjať AI, treba ju aj používať zákonne a zodpovedne, pretože v prípade zlyhania AI systému môže dôjsť nielen k reputačnej strate, ale aj k súdnym sporom o platnosť licenčného vzťahu či uplatneniu náhrady škody.
Vodičský preukaz pre AI?
Ak hľadáte metaforu, ktorá túto povinnosť vystihuje, najčastejšie sa v akademickej debate používa prirovnanie k vodičáku. Tak ako vodič auta musí vedieť:
- Ako auto funguje (základy mechaniky) – v AI ekvivalente ide o základné porozumenie algoritmov, vstupov a výstupov;
- Pozná značky a pravidlá premávky – v AI zase rozlišovanie úrovní rizika, povinností a zákazov;
- Vie jazdiť, teda správne používať AI systém v súlade s účelom a reguláciou.
Rovnako aj ‚AI používateľ‘ musí vedieť odhadnúť hranice bezpečného a zákonného správania systému. Článok 4 sa netýka len vývojárov, ale aj projektových manažérov, testerov, právnikov, obchodníkov a, áno, aj HR oddelenia a iných.
Ako si vybudovať program AI gramotnosti vo firme?
- Prvým krokom je zmapovanie kľúčových rolí a ich kontaktu s AI. Nie každá rola potrebuje hlboké technické vzdelanie. Ale každá potrebuje základný rámec: čo znamenajú úrovne rizika (zakázané, vysoké, obmedzené, minimálne)? Ako vyzerá legálne použiteľný AI systém? Kedy je povinná dokumentácia, audit, alebo notifikácia dozornému orgánu?
- Druhým krokom je definovanie minimálneho rozsahu vedomostí pre každú rolu. Od vývojárov očakávame pochopenie princípov návrhu AI systémov, schopnosť vkladať etické požiadavky do dizajnu (napr. podľa IEEE 7000), a porozumenie štandardom ako ISO/IEC 42001 alebo NIST AI RMF. Marketing, obchod či právne oddelenie však musia identifikovať rizikové prípady použitia, musia vedieť odlíšiť zakázanú praktiku od legálnej a musia vedieť, kedy kontaktovať AI/Legal tím.
- Tretím krokom je nastavenie cyklu školení a ich revízie. Školenia nech sú krátke, úderné, viazané na konkrétnu rolu. Využívajte mikrolearning alebo online moduly. Raz ročne prehodnoťte ich obsah podľa vývoja noriem a AI trhu.
Living repository je otvorená databáza príkladov dobrej praxe (best practices), ktorú spravuje Európsky AI Office a ktorá slúži na podporu výučby a výmeny poznatkov v oblasti AI gramotnosti.
Obsahuje konkrétne ukážky ako rôzne organizácie v EÚ pristupujú k napĺňaniu požiadaviek článku 4 AI Actu – teda k zvyšovaniu povedomia, ku školeniam, interným politikám a hodnoteniu pripravenosti zamestnancov.
Hoci nejde o právne záväzný výklad, repository predstavuje referenčný zdroj uznávaný EÚ inštitúciou a ako taký môže významne pomôcť pri obhajobe zvoleného postupu v rámci compliance. Jeho využitie sa odporúča ako súčasť state-of-the-art prístupu k implementácii AI gramotnosti. https://digital-strategy.ec.europa.eu/en/library/living-repository-foster-learning-and-exchange-ai-literacy
Namiesto ‚pečiatky‘ sledujte štandardy
Zatiaľ neexistuje oficiálna certifikácia AI gramotnosti podľa článku 4 AI Actu. Všetko stojí na dôkazoch ‚state-of-the-art‘, čo je najlepšie reprezentované zosúladením školení s medzinárodnými rámcami: ISO/IEC 42001 – manažérsky systém pre AI, ideálny pre väčšie firmy. IEEE 7000-2021 – návod, ako navrhovať systémy s ohľadom na etické riziká. NIST AI RMF 1.0 – systematická mapa rizík a spôsob ich mitigácie. Zosúladenie obsahu s týmito štandardmi nie je len otázka ‚compliance‘, ale obranyschopnosti pri kontrole.
To však nie je jediný spôsob, ako naplniť požiadavky článku 4. V mnohých prípadoch je vhodné nasledovať aj sektorové iniciatívy, ktoré dokážu nastaviť primerané podmienky a zabezpečiť prenos vzdelávania nielen na interných zamestnancov, ale aj na externých spolupracovníkov či dodávateľov.
Aj tu si však treba dať pozor na tzv. ‚pečiatkových mágov‘ – tých, ktorí ešte včera ‚certifikovali‘ kybernetickú bezpečnosť neexistujúcimi nástrojmi alebo sľubovali výstupy, ktoré náš právny poriadok vôbec nepozná. Dobrovoľné zapojenie sa do profesijných iniciatív alebo zavedenie školení podľa externého partnera má zmysel iba vtedy, ak ide o rešpektované odborné subjekty.
Odporúčame preto kontaktovať buď etablované odborné združenia, renomované spoločnosti, alebo advokátske kancelárie, ktoré sa AI regulácii a zodpovednému nasadzovaniu systémov venujú na profesionálnej úrovni. Zárukou nie je pečiatka, ale odbornosť kancelárie alebo firiem, ktoré sa na príprave vzdelávacích rámcov reálne podieľali – ideálne v zhode s platným právnym stavom a medzinárodnými štandardmi.
Čo sa stane, ak to necháte plávať?
V prípade porušenia článku 4 AI Actu hrozí firmám pokuta až do výšky 7 % z ich celkového ročného obratu na globálnej úrovni – čo je viac než podľa GDPR. Ešte závažnejším dôsledkom však môže byť reputačná strata spoločnosti. Tie, ktoré nevedia preukázať úroveň AI gramotnosti vo svojich tímoch riskujú vylúčenie z výberových konaní/verejných zakázok, stratu dôvery partnerov a oslabenie pozície na trhu.
Zároveň sa zvyšuje riziko interných zlyhaní – nesprávneho použitia AI systému, porušenia zákazu, diskriminačného správania sa alebo bezpečnostného incidentu, ktoré môžu viesť k zmluvným sporom, sankciám alebo strate zákazníka. V konečnom dôsledku môže byť ignorovanie tejto povinnosti výrazne nákladnejšie než investícia do zodpovedného školenia a dokumentácie.
Tri kroky, ktoré môžete urobiť zajtra
Začnite rýchlou internou analýzou (gap-analýzou): zmapujte, ktoré tímy a roly vo vašej organizácii prichádzajú do kontaktu s AI systémami, a vyhodnoťte, aká je ich aktuálna úroveň povedomia a pripravenosti vo vzťahu k článku 4 AI Actu. Nezabúdajte, že povinnosť sa netýka len technických pracovníkov, AI dnes ovplyvňuje aj právne oddelenia, HR, obchod, marketing či vedenie projektov.
Ako druhý krok si zvoľte dôveryhodný referenčný rámec, ktorý poslúži ako základ pre školenia – ideálne taký, ktorý vychádza z medzinárodne uznávaných štandardov. ISO/IEC 42001, NIST AI RMF či IEEE 7000 sú overené nástroje, ktoré umožňujú navrhnúť školenia v súlade s požiadavkami ‚state-of-the-art‘. Tým sa vyhnete falošnej istote založenej na pochybných ‚certifikáciách‘ alebo marketingových prísľuboch.
Tretím krokom je stanovenie interného časového rámca: určte, dokedy má každý zamestnanec v relevantnej roli absolvovať úvodné školenie. Pokiaľ zvažujete zapojenie externého partnera odporúčame vybrať si etablované odborné združenia, renomované spoločnosti alebo advokátske kancelárie, ktoré sa oblasti regulácie a riadenia AI venujú na profesionálnej úrovni. Vyhýbajte sa tzv. ‚pečiatkovým mágom‘ – subjektom, ktoré ešte donedávna sľubovali ‚certifikácie‘ kybernetickej bezpečnosti neexistujúcimi nástrojmi a dnes ponúkajú ‚zaručené rýchlokurzy AI compliance‘, ktoré nemajú oporu v práve. V tejto oblasti neexistuje rýchle riešenie – zárukou je iba odbornosť a preukázateľná prax daného partnera.
Záver (a otvorená ponuka)
AI Act nám síce nepriniesol detailný návod na kľúč, ale dal nám niečo cennejšie – jasne vymedzený rámec zodpovednosti. Článok 4 nevyžaduje formálnu certifikáciu, no očakáva, že každá organizácia bude schopná preukázať pochopenie rizík, ktoré AI prináša, a že jej zamestnanci vedia so systémami umelej inteligencie narábať zákonne, bezpečne a zodpovedne.
Ignorovať túto povinnosť znamená vystaviť firmu právnym, reputačným aj obchodným rizikám, ktoré môžu mať dlhodobé následky. Naopak, organizácie, ktoré dnes do vzdelávania investujú – rozumne, adresne a s dôrazom na relevantné roly – si budujú nielen compliance kapacitu, ale aj konkurenčnú výhodu.
Ak potrebujete navrhnúť školenie, nastaviť interný systém overovania AI gramotnosti alebo len získať druhý názor na to, či to, čo máte, zodpovedá očakávaniam trhu a regulácie, ozvite sa. Riešenie existuje – dôležité je nezačať neskoro. Pretože v ére AI neprežijú len najinovatívnejší, ale najpripravenejší.
