Smernica o umelej inteligencii pre firmy: obsah a šablóna
Smernica o AI (AI policy) je vedením spoločnosti schválené, zdokumentované pravidlo, ktoré upravuje rozsah pôsobnosti, povolené a zakázané používanie AI, ochranu údajov, schválené nástroje, označovanie AI obsahu, zodpovednosti, školenia a dôsledky porušení. Podľa ISO/IEC 42001 (klauzula 5.2) je povinná a tvorí rámec pre všetky ciele AI.
Key Takeaways
- ✓Smernica o AI je podľa ISO/IEC 42001 klauzuly 5.2 a kontroly Annex A A.2.3 povinným, vedením spoločnosti schváleným dokumentom - bez nej nie je certifikácia možná.
- ✓Príliš všeobecná smernica ('AI používame zodpovedne') je podľa audítorskej praxe 2024-2026 jednou z najčastejších slabín - musí byť konkrétna, odškrtávateľná a vymáhateľná.
- ✓Povinnými súčasťami sú: rozsah pôsobnosti, princípy, role, povolené/zakázané používanie, schválené nástroje, ochrana údajov, označovanie, školenia, porušenia a záväzný rytmus revízií.
- ✓Povinnosť školenia nadväzuje na EU AI Act čl. 4 (AI kompetencia), ktorý je zachytený cez ISO 42001 klauzulu 7.2 (kompetencia) a 7.3 (povedomie).
- ✓Smernica sa musí preskúmavať minimálne raz ročne a pri zásadných zmenách (nový vysokorizikový agent, nová regulácia, závažný incident, zmena poskytovateľa modelu) - s kontrolou verzií a podpisom schválenia.
Smernica o AI (AI policy) je vedením spoločnosti schválené, zdokumentované pravidlo, ktoré upravuje, ako sa AI v podniku smie používať - a ako nie. Definuje rozsah pôsobnosti, povolené a zakázané používanie, ochranu údajov a dôvernosť, schválené nástroje, označovanie AI obsahu, zodpovednosti, školenia, ako aj dôsledky pri porušeniach. Podľa ISO/IEC 42001:2023 je cez klauzulu 5.2 a kontrolu Annex A A.2.3 povinným dokumentom a tvorí rámec pre všetky merateľné ciele AI.
- Povinnosť, nie nadštandard: Bez zdokumentovanej, vedením spoločnosti schválenej smernice o AI nie je certifikácia ISO 42001 možná (klauzula 5.2 / kontrola A.2.3).
- Konkrétne namiesto frázovité: Všeobecná smernica (\"AI používame zodpovedne\") je podľa audítorskej praxe 2024-2026 jednou z najčastejších výhrad - musí byť odškrtávateľná a vymáhateľná.
- Zabudovaná, nie izolovaná: Musí byť zladená s existujúcimi smernicami o informačnej bezpečnosti, ochrane údajov, etike a HR (kontrola A.2.2).
Načo smernica o AI - a kde je v ISO 42001 ukotvená
Klauzula 5.2 normy ISO/IEC 42001 vyžaduje, aby vrcholové vedenie zaviedlo zdokumentovanú smernicu o AI, ktorá zodpovedá účelu organizácie, poskytuje rámec pre ciele AI a obsahuje záväzok plniť platné požiadavky, ako aj kontinuálne zlepšovanie. Kontrola Annex A A.2.3 to posilňuje a vyžaduje zdokumentované, vedením schválené smerovanie. A.2.2 vyžaduje zladenie s ostatnými firemnými smernicami, A.2.4 pravidelné preskúmanie.
Logika za tým je kaskáda: smernica (5.2) dáva rámec pre merateľné ciele AI (6.2), ktoré sú zasa monitorované cez monitoring (9.1) a manažérske preskúmanie (9.3). Smernica bez následných, merateľných cieľov ostáva bez účinku - a v audite je predmetom výhrad.
Povinný obsah smernice o AI
Smernica o AI použiteľná v regióne DACH pokrýva podľa praxe ISO 42001 nasledujúce stavebné prvky. Hodia sa priamo ako odškrtávateľné členenie.
Časť | Obsah | Vzťah k ISO 42001 |
|---|---|---|
Účel a rozsah pôsobnosti | Ktoré AI systémy, ktoré role (poskytovateľ/prevádzkovateľ/obe), ktoré oblasti a lokality | Klauzula 4.3, 5.2 |
Princípy | Ľudský dohľad, transparentnosť, férovosť, ochrana údajov, bezpečnosť, robustnosť, environmentálna zodpovednosť (orientované na Annex C.2 / princípy OECD) | Klauzula 5.2, Annex C.2 |
Role a zodpovednosti | Vrcholové vedenie, AI Officer/AIMS manažér, control owner | Klauzula 5.3, kontrola A.3.2 |
Povolené a zakázané používanie | Stupne autonómie, limity tool-use, pravidlá eskalácie/HITL, zakázané use-cases | Kontrola A.2.3, A.9.4 |
Ochrana údajov a dôvernosť | Zaobchádzanie s osobnými a dôvernými údajmi v promptoch a retrievale | Annex A.7, vzťah k GDPR |
Schválené nástroje a poskytovatelia | Schválené nástroje, due diligence poskytovateľov | Kontrola A.10.3 |
Označovanie AI obsahu | Transparentnosť voči používateľom, Instructions for Use | Kontrola A.8.2, AI Act čl. 13 |
Posúdenie rizika a vplyvu | Záväzok k posúdeniu rizika a impactu | Klauzula 6.1.2, 6.1.4 |
Školenie a kompetencia | Plán AI kompetencie, ročné školenie | Klauzula 7.2/7.3, AI Act čl. 4 |
Porušenia a vymáhanie | Dôsledky, kanál pre nahlasovanie obáv | Kontrola A.3.3, klauzula 10.1 |
Revízia a kontrola verzií | Minimálne raz ročne, pri zásadnej zmene okamžite; podpis schválenia | Kontrola A.2.4, klauzula 9.3 |
Povolené a zakázané používanie
Toto je jadrom pre každodennú prácu. Pre AI agentov by smernica mala výslovne stanoviť stupne autonómie - read-only, odporúčajúci, konanie so schválením, autonómne konanie - ako aj limity tool-use, pravidlá eskalácie a human-in-the-loop a diverzitu poskytovateľov modelov. Zakázané use-cases patrí explicitne pomenovať, napríklad žiadne autonómne právne poradenstvo alebo žiadne autonómne personálne rozhodnutie bez ľudskej kontroly (HITL). Kontrola A.9.4 je tu rozhodujúca: ak sa agent používa mimo svojho poskytovateľom deklarovaného účelu použitia, môže to byť podľa EU AI Act čl. 25 považované za zásadnú zmenu a vyvolá nové posúdenie vplyvu.
Ochrana údajov a schválené nástroje
Smernica musí upravovať, ktoré údaje smú prúdiť do promptov, retrieval systémov alebo trénovacích dát. Schválené nástroje sa uvádzajú spolu s poskytovateľom; cez kontrolu A.10.3 je stanovená zdokumentovaná due diligence k certifikáciám (ISO 27001, SOC 2 Type II, ISO 42001), postoju k ochrane údajov, subprocesorom a politikám deprecation modelov. Zastaraný zoznam nástrojov alebo nevedený register poskytovateľov patria k najčastejšie kritizovaným bodom.
Označovanie AI obsahu
Transparentnosť je kľúčovým princípom z Annex C.2. Kontrola A.8.2 vyžaduje dokumentáciu systému a informácie pre používateľov - model cards, Instructions for Use, vyhlásenia o schopnostiach a obmedzeniach. To sa úzko zhoduje s EU AI Act čl. 13 (transparentnosť / informácie pre používateľov). Smernica by mala upravovať, kedy a ako sa AI generovaný alebo AI podporovaný obsah označuje.
Školenie a AI kompetencia
Klauzula 7.2 (kompetencia) a 7.3 (povedomie) vyžadujú doklady o tom, že zamestnanci s aktívnymi AI rolami sú vyškolení. To priamo nadväzuje na EU AI Act čl. 4 (AI kompetencia). V nasadeniach agentov je práve tento doklad častou slabinou, pretože kompetencia sa nad rámec čisto technických tímov často nepreukazuje.
ISO 42001 a EU AI Act - most
ISO 42001 nie je harmonizovaná norma a nevytvára predpoklad zhody s EU AI Act. Platí však za najsilnejší organizačný základ pre prípravu na AI Act. Pre smernicu sú relevantné najmä dva články: čl. 4 (AI kompetencia) je zachytený cez klauzuly 7.2/7.3, čl. 13 (transparentnosť/informácie pre používateľov) cez kontroly A.8.2 a A.8.5. Záväzok dodržiavať platné predpisy (GDPR, EU AI Act, odvetvovo špecifická regulácia) patrí výslovne do textu.
Poznámka: Tento príspevok slúži na odbornú orientáciu a nenahrádza právne poradenstvo. Konkrétne povinnosti, odkazy na články a lehoty je v jednotlivom prípade potrebné právne preskúmať.
Šablóna: odškrtávateľné členenie AI policy
```
Smernica o AI [Podnik] - Verzia x.y - Schválenie [Dátum/Vedenie spoločnosti]
- Účel a rozsah pôsobnosti
- Vedúce princípy (ľudský dohľad, transparentnosť, férovosť, ochrana údajov, bezpečnosť, robustnosť)
- Role a zodpovednosti (vedenie, AI Officer/AIMS manažér, control owner)
- Povolené používanie
- Zakázané používanie (negatívny zoznam, napr. autonómne personálne/právne rozhodnutie)
- Ochrana údajov a dôvernosť (prípustné údaje v promptoch/retrievale)
- Schválené nástroje a poskytovatelia (+ due diligence poskytovateľov A.10.3)
- Označovanie AI obsahu (transparentnosť, model cards, Instructions for Use)
- Posúdenie rizika a vplyvu (záväzok)
- Školenie a AI kompetencia (plán, turnus)
- Porušenia a vymáhanie (dôsledky, kanál pre nahlasovanie)
- Záväzok k právu (GDPR, EU AI Act) a kontinuálne zlepšovanie
- Rytmus revízií, kontrola verzií, podpisy schválenia
```
Praktický príklad: merateľné ciele a atestácia školení
Smernica začne pôsobiť až cez merateľné ciele podľa klauzuly 6.2. Stredne veľká firma v regióne DACH (blueprint ISO-A, 500-2 000 zamestnancov) konkretizuje svoju policy napríklad takto:
- Kompetencia (klauzula 7.2 + AI Act čl. 4): \"Všetci zamestnanci s aktívnou AI rolou absolvujú raz ročne školenie AI kompetencie; 100 % atestácia.\"
- Transparentnosť: \"100 % vysokorizikových agentov disponuje do Q3 aktuálnou model card a používateľským inštrukčným listom.\"
- Pokrytie: \"100 % produktívnych AI agentov je do 14 dní po go-live zaregistrovaných v inventári AI a priradených k rizikovej triede.\"
Takéto ciele robia smernicu auditovateľnou a uzatvárajú medzeru medzi nárokom a dokladom - presne tam, kde všeobecné policies zlyhávajú.
Pre agentúry a B2B
Pre marketingové agentúry je smernica o AI relevantná dvojnásobne: interne ako doklad vlastnej kompetencie podľa AI Act čl. 4, externe ako signál dôvery v pitchoch a výberových konaniach - zákazníci z indexov DAX, SMI a ATX čoraz častejšie zisťujú AI governance v RFP. Pre B2B rozhodovateľov je policy prvým, nákladovo nenáročným krokom cesty k ISO 42001 (celkový rozpočet blueprint ISO-A: EUR 50 000-150 000, 9-12 mesiacov, stav 2026): dá sa vo fáze policy stacku vytvoriť za štyri až osem týždňov a kladie základ pre procesy rizika, vplyvu a lifecyklu. Podporujeme pri tvorbe odškrtávateľnej, vymáhateľnej AI policy a jej napojení na merateľné ciele - bez fráz, so zreteľom na auditovateľnosť.
Často kladené otázky
Je smernica o AI zákonne povinná?
V čom sa líši smernica o AI od stratégie AI?
Ako často sa musí smernica o AI aktualizovať?
Ktoré nástroje by mali byť v smernici o AI uvedené ako schválené?
Vzťahuje sa smernica o AI na EU AI Act?
Ísť hlbšie?
Získajte nové analýzy priamo do schránky – alebo sa pozrite, ako tieto poznatky nasadzujeme pre firmy.