Poverenec pre umelú inteligenciu: úloha, povinnosti a ukotvenie v podniku
Poverenec pre umelú inteligenciu (AI Officer) je centrálna úloha, ktorá operatívne riadi systém manažérstva AI (KIMS) podľa ISO/IEC 42001: vedie inventár AI, klasifikuje riziká, monitoruje compliance a buduje AI kompetencie. Norma titul záväzne nepredpisuje, no v Clause 5.3 jednoznačne vyžaduje jasne pridelené zodpovednosti za AI a línie podávania správ.
Key Takeaways
- ✓ISO/IEC 42001 v Clause 5.3 explicitne vyžaduje pridelené úlohy v oblasti AI a línie podávania správ, no nepredpisuje pevný titul ako poverenec pre AI alebo AI Officer.
- ✓Hlavnými úlohami sú inventár AI/register agentov (A.4.2), klasifikácia rizík (Clause 6.1.2/8.2), impact assessment (Clause 6.1.4 plus ISO/IEC 42005), údržba Statement of Applicability, ako aj AI literacy/školenia (Clause 7.2/7.3, EU AI Act Art. 4).
- ✓Poverenec pre AI nie je totožný s poverencom pre ochranu osobných údajov: DPO zodpovedá za osobné údaje (GDPR), poverenec pre AI za celý systém manažérstva AI - úlohy sa prekrývajú pri impact assessmente, no navzájom sa nenahrádzajú.
- ✓V stredne veľkých podnikoch DACH sa úloha často kombinuje s CISO alebo poverencom pre ochranu osobných údajov; v koncerne často s CISO/CDO plus líniou podávania správ pre Board-AI-Committee.
- ✓Úloha sa stáva nevyhnutnou najneskôr vtedy, keď je v produkcii viacero AI use-caseov, keď zákaznícke schválenia alebo RFP vyžadujú auditovateľné governance, alebo keď sa usiluje o certifikáciu ISO 42001.
Poverenec pre umelú inteligenciu (AI Officer, niekedy nazývaný aj zodpovedná osoba za AI alebo AIMS Manager) je osoba, ktorá operatívne zodpovedá za systém manažérstva AI (KIMS) podľa ISO/IEC 42001 a riadi ho. ISO/IEC 42001 tento titul záväzne nepredpisuje, no v Clause 5.3 vyžaduje explicitné pridelenie úloh, zodpovedností a línií podávania správ relevantných pre AI. V praxi sa preto zastrešujúca úloha takmer vždy zriaďuje, pretože systém manažérstva potrebuje osobu zodpovednú end-to-end.
- Čo: Centrálna riadiaca úloha pre systém manažérstva AI - inventár, riziko, compliance, kompetencia.
- Povinnosť? Žiadny predpísaný titul, ale pridelené zodpovednosti za AI sú podľa ISO 42001 Clause 5.3 záväzné.
- Vymedzenie: Nie je totožný s poverencom pre ochranu osobných údajov - úlohy sa prekrývajú pri impact assessmente, no navzájom sa nenahrádzajú.
Prečo je úloha potrebná
ISO/IEC 42001:2023 je prvá certifikovateľná norma systému manažérstva pre umelú inteligenciu. Riadi sa štruktúrou Annex SL (ako ISO 27001 alebo ISO 9001) a v Clause 5.3 výslovne vyžaduje, aby vrcholový manažment prideľoval úlohy a línie podávania správ relevantné pre AI. Norma zámerne neuvádza pevný titul. V stredne veľkých organizáciách DACH sa preto funkcia často kombinuje s CISO alebo poverencom pre ochranu osobných údajov, v koncernoch často s CISO alebo CDO - vždy s explicitným ukotvením voči vedeniu spoločnosti alebo Board-AI-Committee.
Praktický dôvod pre jasne pomenovanú úlohu: pri audite ISO 42001 audítori vypočúvajú AI Officera ako osobu s end-to-end znalosťou o KIMS - popri vrcholovom manažmente, zodpovedných za systémy resp. agentov, data stewardoch, CISO, DPO a nákupe. Bez takejto úlohy sa zodpovednosť rozpadá a typické audit findings (zastaraný inventár AI, neudržiavaná Statement of Applicability, chýbajúce doklady o kompetencii) vznikajú takmer nevyhnutne.
Hlavné úlohy poverenca pre AI
Úlohy AI Officera sa odvodzujú priamo z normatívnych klauzúl a kontrol Annex A normy ISO 42001. Nasledujúca tabuľka priraďuje každú úlohu k príslušnému odkazu na normu.
Úloha | Popis |
|---|---|
Inventár AI / register agentov | Úplný zoznam všetkých produktívnych AI systémov a agentov s účelom, ownerom, závislosťami od modelov, zdrojmi údajov a triedou rizika. Najdôležitejší artefakt pre audit sampling (Annex A.4.2). |
Klasifikácia rizík | Definícia a aplikácia procesu rizík AI (kritériá, identifikácia, hodnotenie) a riešenia rizík; metodicky opretá o ISO 31000 a ISO/IEC 23894 (Clause 6.1.2 / 8.2 / 6.1.3). |
Statement of Applicability (SoA) | Návrh a údržba SoA - každá kontrola Annex A s odôvodnením aplikovateľnosti alebo vylúčenia, stavom a dôkazom evidencie. Na certifikáte sa referencuje verziou a dátumom (Clause 6.1.3). |
Impact Assessment | Riadenie posúdenia vplyvu na jednotlivcov, skupiny a spoločnosť; operacionalizované cez ISO/IEC 42005:2025 a Annex A.5 (Clause 6.1.4 / 8.4). |
Monitorovanie compliance | Monitoring výkonu AI, ukazovateľov driftu, biasu a incidentov; príprava management review; sledovanie nezhôd a nápravných opatrení (Clause 9.1 / 9.3 / 10.1). |
AI literacy / školenia | Budovanie a preukazovanie AI kompetencie a awareness; pokrýva Clause 7.2 / 7.3 a povinnosť AI literacy z EU AI Act Art. 4. |
Rozhranie na DPO / CISO / právo | Koordinácia s poverencom pre ochranu osobných údajov (integrácia DPIA), CISO (rozhranie ISO 27001, logging, dodávatelia) a právnym oddelením (regulačné požiadavky). |
Governance dodávateľov a tretích strán | Due diligence a monitoring poskytovateľov foundation modelov a platforiem; dokumentácia rozdelenia provider/deployer (Annex A.10). |
Tri úlohy sú podľa skúseností najčastejšími slabými miestami v auditoch: inventár AI (noví agenti často nie sú registrovaní), impact assessment (najmä pri zákazníckych alebo HR-/úverových agentoch býva príliš plytký) a doklady o kompetencii podľa Clause 7.2 - predovšetkým AI literacy nad rámec technických tímov.
AI literacy: podceňovaná povinnosť
Clause 7.2 (kompetencia) vyžaduje zdokumentované doklady o kompetencii pre všetky osoby s úlohami relevantnými pre AI, Clause 7.3 príslušnú awareness. Posilňuje to EU AI Act Art. 4, ktorý stanovuje povinnosť AI kompetencie (AI literacy). Poverenec pre AI je tu hnacou silou: definuje plán školení, vedie doklady a zabezpečuje, aby boli vyškolení nielen vývojári, ale aj reviewri a používatelia výstupov AI. V mappingu ISO 42001 sa Art. 4 explicitne priraďuje ku Clause 7.2 (kompetencia) a Clause 7.3 (awareness).
Vymedzenie voči poverencovi pre ochranu osobných údajov
Najčastejšia zámena v priestore DACH sa týka vzťahu k poverencovi pre ochranu osobných údajov. Obe úlohy sú nevyhnutné, no nie sú totožné.
Kritérium | Poverenec pre AI (AI Officer) | Poverenec pre ochranu osobných údajov (DPO) |
|---|---|---|
Právny základ | ISO/IEC 42001 (systém manažérstva), EU AI Act ako kontext | |
Oblasť zodpovednosti | Celý systém manažérstva AI (model, výstup, prevádzka, tretie strany) | Spracovanie osobných údajov |
Centrálny nástroj | AI System Impact Assessment (Clause 6.1.4, ISO/IEC 42005) | Posúdenie vplyvu na ochranu údajov (DPIA, Art. 35) |
Owner podľa research | Organizácia / AI Officer | DPO / prevádzkovateľ |
Prienik leží pri impact assessmente. Research odporúča pre deployerov v DACH jednu, dobre štruktúrovanú šablónu AISIA, ktorá spúšťa DPIA-špecifické a FRIA-špecifické podsekcie, keď sú aplikovateľné. Tento postup však vyžaduje právne schválenie, pretože DPIA má vlastný katalóg obsahu (GDPR Art. 35 ods. 7) a FRIA (EU AI Act Art. 27) vlastný katalóg. Personálna únia poverenca pre AI a DPO je v stredne veľkých podnikoch prípustná, pokiaľ nevznikajú konflikty záujmov a zachová sa nezávislosť funkcie interného auditu (Clause 9.2).
Kvalifikácia a ukotvenie
Odborná spôsobilosť sa odvodzuje z Clause 7.2: porozumenie požiadavkám ISO 42001, technická AI literacy, metodika auditu (ISO 19011 ako referencia) a znalosť regulačnej situácie. Norma nevyžaduje určitú certifikáciu, ale zdokumentovanú kompetenciu.
Pri organizačnom ukotvení sa z research ukazujú dva typické vzory:
- Stredne veľký podnik DACH (500-2 000 zamestnancov): AI Officer sa často kombinuje s CISO alebo manažérom ISMS podľa ISO 27001, silne sa opiera o existujúcu infraštruktúru (IT bezpečnosť, program GDPR, manažment dodávateľov) a pracuje so štíhlou policy plus piatimi až siedmimi podpornými postupmi.
- Koncern DACH (od 2 000 zamestnancov): AI Officer sa často kombinuje s CISO alebo CDO, no má explicitnú líniu podávania správ pre Board-AI-Committee. Register rizík AI sa integruje do enterprise risk managementu.
Samotné normatívne ukotvenie sa nachádza v Annex A.3.2 (pridelenie úloh a zodpovedností, oddelenie funkcií) a A.3.3 (oznamovací kanál pre etické obavy súvisiace s AI). AI Officer je tým aj kontaktným miestom pre whistleblowing k témam AI.
Kedy sa úloha stáva nevyhnutnou
ISO 42001 platí pre každú organizáciu, ktorá AI vyvíja, poskytuje alebo používa. Prakticky sa poverenec pre AI stáva nevyhnutným, hneď ako:
- je v produkcii viacero AI use-caseov (v stredne veľkom podniku typicky 3-10 aktívnych use-caseov),
- AI ovplyvňuje osobné alebo obchodne kritické rozhodnutia (zákaznícki, HR, úveroví alebo alokační agenti spúšťajú impact assessmenty a povinnosti loggingu podľa A.6.2.8),
- zákazníci alebo RFP vyžadujú auditovateľné AI governance - zákazníci z DAX/SMI/ATX čoraz častejšie požadujú ISO 42001 vo výberových konaniach,
- alebo sa usiluje o certifikáciu ISO 42001.
Príklad z praxe: poverenec pre AI v deployerovi s 800 osobami
Stredne veľký podnik DACH s približne 800 zamestnancami prevádzkuje päť AI agentov: zákaznícky servis, znalostný asistent, sales copilot, interné vyhľadávanie a HR dokumentový agent. Vedenie spoločnosti vymenuje existujúceho CISO dodatočne za poverenca pre AI. Jeho prvý projekt - inventár AI (A.4.2) - uvádza pri každom agentovi účel, ownera, model a triedu rizika. Stanovujú sa tri merateľné ciele AI (Clause 6.2):
```
Coverage: 100% produktívnych agentov registrovaných a
do 14 dní po go-live klasifikovaných podľa rizika
Kompetencia: 100% atestácia ročného školenia AI literacy
(Clause 7.2 + EU AI Act Art. 4)
Transparentnosť: 100% high-risk agentov s aktuálnym Model Card
a upozornením na používanie do Q3
```
Pri celkovom rozpočte okolo EUR 100 000 (stav 2026, typický pre deployera zo stredne veľkých podnikov v rozsahu EUR 50 000-150 000) pripadá najväčší podiel na budovanie policy/procesov a operatívnu implementáciu Annex A; externé poplatky za audit tvoria približne 15 percent. Časový rámec do certifikátu je 9-12 mesiacov. Poverenec pre AI pritom koordinuje DPO (impact assessment), MLOps lead (logging) a nákup (due diligence dodávateľov).
Diskrétne právne upozornenie
Tento príspevok slúži na odbornú orientáciu a nepredstavuje právne poradenstvo. Konkrétne povinnosti - napríklad k obsahom DPIA podľa GDPR Art. 35, k FRIA podľa EU AI Act Art. 27 alebo k personálnej únii úloh - treba v jednotlivom prípade vyjasniť s kvalifikovanými odborníkmi na právo a ochranu údajov.
Pre agentúry a B2B rozhodovateľov
Kto ako agentúra prevádzkuje AI workflowy pre zákazníkov alebo ako B2B podnik má viacero agentov v produkcii, mal by úlohu poverenca pre AI pomenovať včas - aj bez okamžitého úmyslu certifikácie. Udržiavaný inventár AI, jasná klasifikácia rizík a zdokumentovaná AI literacy sú základom pre obstátie v RFP od koncernových zákazníkov, pretože certifikát ISO 42001 čoraz viac nahrádza časti dodávateľských dotazníkov. Blck Alpaca podporuje podniky DACH pri budovaní auditovateľného AI governance - od definície úloh cez inventár AI až po prípravu na ISO 42001.
Často kladené otázky
Predpisuje ISO 42001 poverenca pre AI?
V čom sa poverenec pre AI líši od poverenca pre ochranu osobných údajov?
Akú kvalifikáciu potrebuje poverenec pre AI?
Odkedy podnik potrebuje poverenca pre AI?
Možno poverenca pre AI kombinovať s CISO?
Ísť hlbšie?
Získajte nové analýzy priamo do schránky – alebo sa pozrite, ako tieto poznatky nasadzujeme pre firmy.