Čtyři stupně rizika v AI Actu
Regulace AI v Evropské unii je postavena na přístupu založeném na riziku. AI Act definuje čtyři kategorie, do kterých spadají všechny AI systémy provozované na území EU. Správná klasifikace je prvním a zásadním krokem ke splnění regulatorních povinností.
Nepřijatelné riziko — zakázané systémy
Do této kategorie spadají AI systémy, které představují jasnou hrozbu pro základní práva občanů EU. Zákazy platí od února 2025 a zahrnují:
- Systémy sociálního bodování státem nebo soukromými subjekty, pokud vedou k nepříznivému zacházení v nesouvisejících kontextech.
- Biometrickou identifikaci na dálku v reálném čase na veřejně přístupných prostranstvích pro účely vymáhání práva (s úzkými výjimkami).
- AI systémy využívající podprahové techniky nebo zranitelnosti specifických skupin osob.
- Prediktivní policejní systémy založené na profilování.
Vysoké riziko — regulované systémy
Vysoce rizikové AI systémy jsou jádrem regulace AI Actu. Příloha III nařízení taxativně vyjmenovává oblasti, v nichž nasazené AI systémy spadají do této kategorie:
- Biometrická identifikace a kategorizace — systémy pro vzdálenou biometrickou identifikaci (mimo zakázané případy).
- Kritická infrastruktura — AI řídící bezpečnostní komponenty v dopravě, energetice, vodárenství.
- Vzdělávání — systémy rozhodující o přístupu ke vzdělání nebo hodnotící studenty.
- Zaměstnanost — AI nástroje pro nábor, screening životopisů, hodnocení zaměstnanců nebo rozhodování o povýšení a ukončení pracovního poměru. Patří sem například nástroje jako HireVue nebo automatizované ATS systémy.
- Přístup k základním službám — credit scoring, hodnocení pojistného rizika, stanovení ceny zdravotního pojištění.
- Vymáhání práva, migrace a soudnictví — polygrafy, hodnocení rizik, systémy pro zpracování žádostí o azyl.
Omezené riziko — povinnost transparentnosti
Systémy s omezeným rizikem podléhají primárně povinnosti informovat uživatele. Spadají sem:
- Chatboty — uživatel musí vědět, že komunikuje s AI, nikoliv s člověkem.
- Generátory obsahu — synteticky generovaný obsah (text, obrázky, audio, video) musí být označen jako vytvořený AI. Týká se to například výstupů Midjourney, DALL-E nebo Sora.
- Systémy rozpoznávání emocí — v kontextech, kde jsou povoleny, musí být subjekt informován.
Minimální riziko — bez specifické regulace
Většina AI systémů spadá do kategorie minimálního rizika a nepodléhá specifickým povinnostem podle AI Actu. Příklady zahrnují spamové filtry, doporučovací systémy v e-shopech, AI pro optimalizaci logistiky nebo prediktivní údržbu strojů.
Jak provést klasifikaci ve vaší firmě
Doporučujeme sestavit inventář všech AI systémů a pro každý z nich posoudit účel použití, oblast nasazení a potenciální dopad na práva fyzických osob. Správná klasifikace není jednorázová aktivita — při každé změně účelu nebo rozsahu použití AI systému je nutné klasifikaci přehodnotit.
GDPR24 tým
Specialisté na ochranu osobních údajů