Preskočiť na obsah
11.2Pokročilý8 min

Triedy rizika podľa EU AI Act jednoducho vysvetlené: 4 stupne s príkladmi

Blck Alpaca·
Definition

Triedy rizika podľa EU AI Act rozdeľujú systémy AI do štyroch stupňov: neprijateľné riziko (zakázané, čl. 5), vysoké riziko (čl. 6, príloha III/I), obmedzené riziko s povinnosťami transparentnosti (čl. 50) a minimálne riziko. Rozhodujúci je konkrétny účel použitia, nie technológia. Zaradenie určuje povinnosti a pokuty až do 35 miliónov eur.

Key Takeaways

  • EU AI Act pozná štyri triedy rizika: neprijateľné (zakázané), vysoké, obmedzené (transparentnosť) a minimálne. Rozhodujúca nie je technológia, ale konkrétny účel použitia systému AI.
  • Väčšina marketingových a B2B chatbotov spadá do triedy obmedzeného rizika (čl. 50) a potrebuje len zverejnenie informácie, že používatelia komunikujú s AI.
  • Vysokorizikovým sa agent AI stáva až prostredníctvom prípadu použitia, napríklad screening životopisov (príloha III bod 4) alebo úverový scoring (bod 5). V rámci prípadu podľa prílohy III zostáva profilovanie fyzických osôb vždy vysokorizikové, výnimka podľa čl. 6 ods. 3 sa tu nikdy neuplatní.
  • Zakázané praktiky (čl. 5) platia už od 2. februára 2025 a priamo sa týkajú marketingu a HR, napríklad rozpoznávania emócií na pracovisku.
  • Pokuty sa pohybujú od 7,5 mil. eur, resp. 1,5 percenta (kompetencia v oblasti AI), cez 15 mil. eur, resp. 3 percentá (transparentnosť, povinnosti prevádzkovateľa), až po 35 mil. eur, resp. 7 percent obratu skupiny (zakázané praktiky).
  • Povinnosti pre vysoké riziko podľa prílohy III boli prostredníctvom Digital Omnibus posunuté na 2. decembra 2027 (stav 2026, s výhradou zmeny). Až do formálneho prijatia zostáva 2. august 2026 právne záväzným dátumom.

Triedy rizika podľa EU AI Act zaraďujú každý systém AI do jedného zo štyroch stupňov: neprijateľné riziko (zakázané), vysoké riziko, obmedzené riziko s povinnosťami transparentnosti a minimálne riziko. Rozhodujúca nie je technológia, ale konkrétny účel použitia. Toto zaradenie určuje, ktoré povinnosti platia a aké vysoké je riziko pokuty.

Dôležité na úvod: nariadenie o AI (nariadenie (EÚ) 2024/1689) nepozná vlastný právny pojem pre agentov AI ani agentickú AI. Agent AI sa vždy zaraďuje ako bežný systém AI podľa čl. 3 ods. 1, na základe jeho účelu použitia. Práve preto sa oplatí podrobne sa pozrieť na štyri triedy rizika.

  • Štyri triedy, jedno meradlo: zaradenie sa riadi prípadom použitia, nie modelom. Ten istý chatbot môže byť podľa úlohy minimálny alebo vysokorizikový.
  • Väčšina B2B aplikácií je nekritická: marketingoví agenti, interní znalostní asistenti a boty zákazníckeho servisu takmer vždy spadajú do dvoch nižších stupňov.
  • Vysoké riziko vzniká prostredníctvom účelu: HR screening, úverový scoring alebo tvorba cien poistenia zaraďujú systém AI do vysokorizikovej oblasti. V rámci takého prípadu podľa prílohy III zostáva profilovanie fyzických osôb vždy vysokorizikové.

Štyri triedy rizika v prehľade

EU AI Act buduje takzvanú pyramídu rizika. Čím vyššie je potenciálne riziko pre zdravie, bezpečnosť alebo základné práva, tým prísnejšie sú povinnosti. Nasledujúca tabuľka zhŕňa triedy rizika, typické príklady a kľúčové povinnosti.

Trieda rizika

Príklady (agenti AI/chatboty)

Kľúčové povinnosti

Neprijateľné / zakázané (čl. 5)

Rozpoznávanie emócií na pracovisku, sociálne skórovanie, manipulatívni marketingoví agenti pod prahom vedomia

Úplne zakázané, od 2. februára 2025

Vysoké riziko (čl. 6, príloha III/I)

Agent na screening životopisov, agent na úverové rozhodnutia, agent na tvorbu cien poistenia, AI v kritickej infraštruktúre

Riadenie rizík, správa údajov, technická dokumentácia, ľudský dohľad, posúdenie zhody

Obmedzené riziko (čl. 50)

Chatbot zákazníckeho servisu, hlasový agent, marketingový obsah generovaný AI, deepfakes

Transparentnosť: zverejnenie interakcie s AI, označenie syntetického obsahu

Minimálne riziko

Interný znalostný agent nad necitlivými dokumentmi, copilot na generovanie kódu, prediktívna údržba

Žiadne podstatné povinnosti okrem kompetencie v oblasti AI (čl. 4)

Dôležité: stupne sa navzájom nevylučujú. Jeden jediný agent môže súčasne spadať pod čl. 5, čl. 50 a prostredníctvom svojho základného modelu pod pravidlá GPAI.

Stupeň 1: Neprijateľné riziko (zakázané, čl. 5)

Osem praktík je v celej EÚ úplne zakázaných. Platia už od 2. februára 2025 a vzťahuje sa na ne najvyšší rámec pokút. Pre marketing a HR sú obzvlášť relevantné:

  • Manipulatívne alebo klamlivé techniky so značnou ujmou, napríklad marketingoví agenti optimalizovaní na presviedčanie, ktorí zneužívajú kognitívne skreslenia pod prahom vedomého vnímania (čl. 5 ods. 1 písm. a).
  • Zneužívanie slabostí z dôvodu veku, zdravotného postihnutia alebo sociálno-ekonomickej situácie, napríklad agenti, ktorí oslovujú starších zákazníkov nevýhodnými finančnými produktmi (písm. b).
  • Sociálne skórovanie verejnými alebo súkromnými aktérmi s nevýhodným zaobchádzaním v nesúvisiacich kontextoch (písm. c).
  • Rozpoznávanie emócií na pracovisku a vo vzdelávacích inštitúciách. HR analytický agent, ktorý z videa, audia alebo biometrie odvodzuje náladu, sústredenie alebo stres zamestnancov, je v pracovnom kontexte zakázaný (písm. f). Výnimky na medicínske a bezpečnostné účely sú úzke.

Digital Omnibus (politická dohoda zo 7. mája 2026) doplnil deviaty zákaz: systémy AI, ktoré vytvárajú nekonsenzuálny intímny obsah alebo materiál zneužívania generovaný AI, musia byť do 2. decembra 2026 stiahnuté z trhu.

Stupeň 2: Vysokorizikový systém AI (čl. 6, prílohy III a I)

Do vysokorizikovej oblasti vedú dve cesty. Príloha I zachytáva AI ako bezpečnostný komponent regulovaných výrobkov (napríklad strojov, zdravotníckych pomôcok). Príloha III uvádza osem samostatných kategórií, medzi nimi obzvlášť relevantné pre B2B:

  • Zamestnanie a personálne riadenie (bod 4): nábor, screening životopisov, hodnotenie výkonu, povýšenie, prepustenie, prideľovanie úloh.
  • Základné súkromné a verejné služby (bod 5): posudzovanie úverovej bonity a úverový scoring (okrem odhaľovania podvodov), posudzovanie rizika a tvorba cien v životnom a zdravotnom poistení.
  • Kritická infraštruktúra (bod 2): AI ako bezpečnostný komponent pri prevádzke elektriny, vody, plynu alebo dopravy.

Dôležitú výnimku upravuje čl. 6 ods. 3: ani prípad použitia podľa prílohy III nie je vysokorizikový, ak systém plní len úzko vymedzenú procesnú úlohu, zlepšuje výsledok ukončenej ľudskej činnosti, rozpoznáva odchýlky bez toho, aby nahrádzal ľudské posúdenie, alebo preberá prípravnú úlohu. Avšak: profilovanie fyzických osôb zostáva vždy vysokorizikové a je z tejto výnimky vylúčené (čl. 6 ods. 3 pododsek 2). Kto sa opiera o výnimku, musí zdokumentovať odôvodnenie a zaregistrovať ho v databáze EÚ (čl. 6 ods. 4, čl. 49 ods. 2).

Vysokorizikové systémy si okrem iného vyžadujú systém riadenia rizík (čl. 9), správu údajov (čl. 10), technickú dokumentáciu (čl. 11 s prílohou IV), vedenie záznamov (čl. 12), ľudský dohľad (čl. 14), ako aj presnosť, robustnosť a kybernetickú bezpečnosť (čl. 15). Prevádzkovateľov sa navyše týkajú povinnosti podľa čl. 26, medzi nimi v regióne DACH často podceňovaná povinnosť informovať zamestnancov a zástupcov zamestnancov pred nasadením (čl. 26 ods. 7).

Stupeň 3: Obmedzené riziko a povinnosti transparentnosti (čl. 50)

Sem spadá väčšina marketingových a dialógových aplikácií so zákazníkmi. Platia výlučne povinnosti transparentnosti, žiadne podstatné vysokorizikové požiadavky:

  • Čl. 50 ods. 1: systémy AI, ktoré priamo interagujú s ľuďmi, musia byť navrhnuté tak, aby používatelia rozpoznali, že hovoria s AI, ibaže je to z kontextu zjavné. Táto povinnosť sa týka poskytovateľa. Pozor pri re-brandingu white-label chatbota: vtedy sa sami stávate poskytovateľom a nesiete túto povinnosť.
  • Čl. 50 ods. 2: poskytovatelia AI, ktorá vytvára syntetický audio, obrazový, video alebo textový obsah, musia výstupy strojovo čitateľne označiť ako umelo vytvorené.
  • Čl. 50 ods. 4: prevádzkovatelia musia zverejniť deepfakes. Pri textoch generovaných AI o témach verejného záujmu povinnosť odpadá, ak za redakčnú zodpovednosť prevzal človek.

Povinnosti platia od 2. augusta 2026; technická lehota na označovanie a vodoznaky končí podľa Digital Omnibus 2. decembra 2026.

Stupeň 4: Minimálne riziko

Všetko ostatné, napríklad spamové filtre, interní RAG agenti nad necitlivými dokumentmi alebo code copiloti na interné použitie. Žiadne podstatné povinnosti okrem kompetencie v oblasti AI podľa čl. 4 a dobrovoľných kódexov správania (čl. 95).

Kam spadajú typickí agenti AI?

Prax ukazuje: ten istý technický stack môže podľa úlohy spadať do úplne odlišných tried. Príklady z výskumu:

  • Agent na marketingový copywriting (interný): minimálne, plus označenie podľa čl. 50 ods. 2.
  • Chatbot zákazníckeho servisu v obchode: obmedzené riziko (čl. 50 ods. 1).
  • Interný agent na riadenie znalostí: minimálne.
  • Agent na screening životopisov: vysoké riziko (príloha III bod 4).
  • Agent na úverové rozhodnutia: vysoké riziko (príloha III bod 5 písm. b).
  • Agent na odhaľovanie podvodov pri platobných kartách: minimálne/obmedzené, vďaka výslovnej výnimke. Ak sa ten istý model opätovne použije na úverový scoring, zaradenie sa preklopí.
  • Rozpoznávanie nálady zamestnancov na pracovisku: zakázané (čl. 5 ods. 1 písm. f).

Častý omyl: „Používame len Microsoft 365 Copilot, takže sa nás to netýka." Nesprávne. Kto používa Copilot na prípravu rozhodnutia súvisiaceho so zamestnaním, pohybuje sa v prílohe III bode 4. Prevádzkovateľ je zodpovedný operátor podľa čl. 26.

Konkrétny príklad s číslami

Rakúsky priemyselný stredne veľký podnik nasadzuje agenta na screening životopisov, ktorý ročne predtrieďuje približne 3 000 žiadostí. Tým ide o jednoznačný vysokorizikový prípad podľa prílohy III bod 4 písm. a, pretože systém ovplyvňuje rozhodnutia o zamestnaní a profiluje osoby.

Dôsledky: agent potrebuje ľudský dohľad (recruiteri preverujú každé poradie) a informovanie zamestnancov pred uvedením do prevádzky (čl. 26 ods. 7). Zástupcov zamestnancov treba zapojiť podľa § 91 ArbVG, čo môže v praxi predĺžiť rollout o 3 až 6 mesiacov. Povinné posúdenie vplyvu na základné práva (FRIA podľa čl. 27) sa naopak súkromnoprávneho podniku pri čisto HR screeningovom prípade netýka: FRIA je pre súkromných prevádzkovateľov predpísaná len pri úverovej bonite (príloha III bod 5 písm. b) a tvorbe cien životného/zdravotného poistenia (bod 5 písm. c), ako aj pre verejné orgány a poskytovateľov verejných služieb. Dobrovoľné preverenie základných práv napriek tomu zostáva dobrou praxou.

Finančné riziko je značné. Stupne pokút podľa čl. 99 sú odstupňované:

Stupeň

Maximálna pokuta

Spúšťač

Stupeň 1

35 mil. eur alebo 7 % celosvetového ročného obratu

Zakázané praktiky (čl. 5)

Stupeň 2

15 mil. eur alebo 3 %

Povinnosti prevádzkovateľa (čl. 26), transparentnosť (čl. 50), registrácia (čl. 49)

Stupeň 3

7,5 mil. eur alebo 1,5 %

Kompetencia v oblasti AI (čl. 4), nepravdivé údaje úradom

Pri MSP a startupoch platí podľa čl. 99 ods. 6 vždy nižšia z oboch súm; Digital Omnibus rozširuje túto ochranu na malé spoločnosti so strednou kapitalizáciou (mid-cap).

Časová výhrada: Digital Omnibus

Stav 2026, s výhradou zmeny: politická dohoda o Digital Omnibus zo 7. mája 2026 posúva povinnosti pre vysoké riziko podľa prílohy III na 2. decembra 2027 a podľa prílohy I na 2. augusta 2028, pokiaľ k formálnemu prijatiu dôjde pred 2. augustom 2026. Dovtedy zostáva pôvodný 2. august 2026 právne záväzným štandardným dátumom. Nezmenene v platnosti sú zákazy (čl. 5, od 2. februára 2025), kompetencia v oblasti AI (čl. 4), pravidlá GPAI (od 2. augusta 2025) a rámec pokút. Pauza v oblasti správy a riadenia teda nie je možnosťou.

Pre agentúry a B2B

Pre agentúry: zaradenie do triedy rizika patrí na začiatok každého projektu AI, nie na jeho koniec. Kto pre zákazníkov stavia chatboty alebo marketingových agentov, mal by povinnosť transparentnosti podľa čl. 50 zohľadňovať od začiatku a pri re-brandingu cudzích systémov preveriť svoju vlastnú rolu poskytovateľa. Pre B2B rozhodovateľov: vytvorte si inventár svojich aplikácií AI, priraďte každú k triede rizika a venujte osobitnú pozornosť skoku z minimálneho na vysoké riziko, ktorý často nepozorovane vzniká novým zdrojom údajov alebo novým účelom použitia. Blck Alpaca vás podporí pri klasifikácii a pri budovaní spoľahlivej dokumentácie súladu.

Upozornenie: tento príspevok slúži na všeobecnú informáciu a nenahrádza právne poradenstvo. Pre záväzné posúdenie vášho konkrétneho prípadu prosím vyhľadajte kvalifikovanú právnu pomoc.

Často kladené otázky

Koľko tried rizika pozná EU AI Act?
EU AI Act pozná štyri triedy rizika pre systémy AI: neprijateľné riziko (zakázané praktiky podľa čl. 5), vysoké riziko (čl. 6 v spojení s prílohami I a III), obmedzené riziko s povinnosťami transparentnosti (čl. 50) a minimálne riziko. Súbežne s tým existuje vlastný režim pre modely GPAI (čl. 51 až 55), ktorý sa uplatňuje na úrovni modelu.
Do ktorej triedy rizika spadá chatbot zákazníckeho servisu?
Typický chatbot zákazníckeho servisu v obchode spadá do triedy obmedzeného rizika a podlieha len povinnosti transparentnosti podľa čl. 50 ods. 1: používatelia musia byť schopní rozpoznať, že hovoria s AI. Vysokorizikovým sa chatbot stáva až vtedy, keď prijíma rozhodnutia o prístupe k základným službám, napríklad hodnotí úverovú bonitu.
Čo znamená neprijateľné riziko v EU AI Act?
Neprijateľné riziko označuje praktiky AI, ktoré sú podľa čl. 5 úplne zakázané, napríklad sociálne skórovanie, manipulatívne techniky so značnou ujmou alebo rozpoznávanie emócií na pracovisku. Tieto zákazy platia už od 2. februára 2025. Porušenia môžu byť sankcionované až do 35 miliónov eur alebo 7 percent celosvetového ročného obratu.
Kedy platia povinnosti pre vysoké riziko podľa EU AI Act?
Pôvodne bol stanovený 2. august 2026. Digital Omnibus (politická dohoda zo 7. mája 2026) posúva povinnosti pre vysoké riziko podľa prílohy III na 2. decembra 2027 a AI bezpečnosti výrobkov podľa prílohy I na 2. augusta 2028. Stav 2026 a s výhradou zmeny: až do formálneho prijatia zostáva 2. august 2026 právne záväzným dátumom.
Robí používanie Microsoft 365 Copilot z mojej firmy vysokorizikového prevádzkovateľa?
Nie prostredníctvom samotného nástroja, ale prostredníctvom účelu použitia. Kto používa Copilot len na podporu tvorby textu, zostáva v minimálnom riziku. Ak sa však Copilot používa na prípravu rozhodnutia súvisiaceho so zamestnaním, ako je výber uchádzačov, prevádzkovateľ sa pohybuje vo vysokorizikovej oblasti podľa prílohy III bodu 4 a nesie povinnosti prevádzkovateľa podľa čl. 26.
Potrebujem pre každého vysokorizikového agenta posúdenie vplyvu na základné práva?
Nie. FRIA podľa čl. 27 je pre súkromných prevádzkovateľov povinná len pri posudzovaní úverovej bonity (príloha III bod 5 písm. b) a pri tvorbe cien životného/zdravotného poistenia (bod 5 písm. c), okrem toho pre verejné orgány a súkromných poskytovateľov verejných služieb. Čisto HR screeningový agent (bod 4) ju pre súkromnoprávny podnik automaticky nevyvoláva, vyvoláva však ostatné povinnosti prevádzkovateľa podľa čl. 26.

Ísť hlbšie?

Získajte nové analýzy priamo do schránky – alebo sa pozrite, ako tieto poznatky nasadzujeme pre firmy.

Odoberať newsletterNaše služby
PreviousAkt EÚ o umelej inteligencii: harmonogram a lehoty 2024–2027 (stav 2026)NextČlánok 4 EU AI Act: Povinnosť kompetencie v oblasti AI (AI literacy) zrozumiteľne vysvetlená