Beancount.io LogoBeancount.io

Akt EÚ o umelej inteligencii dopadá na americké SaaS spoločnosti už tento august: Praktický sprievodca dodržiavaním predpisov

14 minúty čítaniaMike ThriftMike Thrift
Akt EÚ o umelej inteligencii dopadá na americké SaaS spoločnosti už tento august: Praktický sprievodca dodržiavaním predpisov

Ak dodávate softvér zákazníkovi v Berlíne, Paríži alebo Amsterdame — a váš produkt sa takmer akýmkoľvek spôsobom dotýka AI — 2. august 2026 je dátum, ktorý by ste si mali v kalendári dodržiavania predpisov zakrúžkovať. To je deň, kedy sa Nariadenie (EÚ) 2024/1689, známejšie ako Akt EÚ o umelej inteligencii (EU AI Act), stane plne vynútiteľným pre povinnosti týkajúce sa transparentnosti a kedy sa aktivujú právomoci Komisie v oblasti presadzovania pravidiel nad všeobecne použiteľnými modelmi AI. Pokuty môžu dosiahnuť až 7 % celosvetového ročného obratu. A nie, nezáleží na tom, že vaše sídlo je v San Franciscu, vaše servery vo Virgínii a váš tím nikdy nevkročil do Bruselu.

Väčšina amerických zakladateľov, s ktorými hovoríme, má mentálny model Aktu EÚ o AI vypožičaný z GDPR: pár cookie bannerov, aktualizácia zásad ochrany osobných údajov, možno Dodatok o spracúvaní údajov (DPA). Akt o AI je iný. Reguluje produkt, nielen údaje. Prideľuje povinnosti podľa rolí — poskytovateľ, používateľ (nasadzovateľ), distribútor, dovozca, splnomocnený zástupca — a ukladá povinnosť posudzovania zhody pred uvedením na trh, technickú dokumentáciu, monitorovanie po uvedení na trh a registráciu v databáze pre celú EÚ predtým, ako sa vysokorizikový systém môže legálne dostať k európskemu používateľovi. Sankcie sú vyššie ako pri GDPR. Dosah dotazníkov v rámci obstarávania je širší. A zákon má extraterritoriálny dosah zakotvený v článku 2.

Tento sprievodca prechádza tým, čo americké SaaS spoločnosti, poskytovatelia základných modelov a vývojári AI agentov skutočne potrebujú urobiť odteraz až do ďalšieho súboru termínov, zhruba v poradí, v akom by ste to mali robiť.

Prvý krok: Zistite, či sa na vás Akt vzťahuje

Rozsah pôsobnosti Aktu je širší, než väčšina amerických zakladateľov očakáva. Článok 2 sa vzťahuje na:

  • Poskytovateľov uvádzajúcich systémy AI na trh EÚ alebo uvádzajúcich ich do prevádzky v EÚ, bez ohľadu na to, kde je poskytovateľ usadený
  • Používateľov (nasadzovateľov) so sídlom v EÚ
  • Poskytovateľov a používateľov so sídlom mimo EÚ, ak sa výstup systému AI používa v EÚ

Posledný bod je pascou. Ak váš systém AI so sídlom v USA spracúva prepis, generuje marketingový e-mail, vyhodnocuje životopis alebo sumarizuje zmluvu a výsledný výstup používa príjemca so sídlom v EÚ, spadáte do rozsahu pôsobnosti, aj keď sa žiadny Európan nikdy priamo nedotkne vášho API. Americký predajca právnych technológií, ktorého súhrny skončia v spise holandskej právnickej firmy, spadá do rozsahu pôsobnosti. Americký náborový nástroj, ktorého poradie kandidátov kontroluje manažér náboru v Mníchove, spadá do rozsahu pôsobnosti. Americký chatbot vložený do SaaS aplikácie predanej francúzskemu zákazníkovi spadá do rozsahu pôsobnosti.

Praktický filter pre väčšinu B2B SaaS spoločností je jednoduchší: ak sú niektorí z vašich platiacich zákazníkov alebo koncoví používatelia vašich zákazníkov v EÚ, predpokladajte, že sa na vás Akt vzťahuje, a postupujte od toho ďalej.

Druhý krok: Klasifikujte svoju rolu a rizikovú úroveň vášho systému

Akt prideľuje povinnosti na základe toho, čo robíte, nie toho, ako sa nazývate. Väčšina SaaS spoločností spadá do jednej alebo viacerých z týchto kategórií súčasne:

  • Poskytovateľ — uvádzate systém AI na trh pod vlastným menom alebo ochrannou známkou. Ide o takmer každého predajcu SaaS, ktorý dodáva funkcie AI.
  • Používateľ (nasadzovateľ) — používate systém AI vo svojej kompetencii (napríklad v produkte používate model tretej strany). Používatelia majú ľahšie povinnosti ako poskytovatelia, ale sú reálne.
  • Poskytovateľ všeobecne použiteľného modelu AI — vyvíjate alebo dolaďujete základný model, ktorý je schopný plniť mnoho úloh. Väčšina amerických SaaS spoločností nie sú poskytovatelia GPAI; konzumujete modely GPAI od niekoho iného. Ale ak dolaďujete Llamu alebo staviate vlastný základný model, možno ste prekročili hranicu.
  • Splnomocnený zástupca — vyžaduje sa pre poskytovateľov vysokorizikových systémov a modelov GPAI mimo EÚ (viac o tom nižšie).

Klasifikácia rizika je druhou osou. Akt vytvára štyri úrovne:

ÚroveňPríkladyČo to znamená
Neprijateľné (Článok 5)Sociálne bodovanie, rozpoznávanie emócií na pracovisku, necielené hromadné sťahovanie údajov z tváríÚplný zákaz od 2. februára 2025
Vysokorizikové (Príloha III)AI používaná pri nábore, bodovaní úverov, prijímacom konaní na vzdelávanie, biometrickej identifikácii, kritickej infraštruktúre, presadzovaní právaÚplné posúdenie zhody, označenie CE, registrácia v databáze EÚ
Obmedzené riziko (Článok 50)Chatboty, generátory deepfake, rozpoznávanie emócií (mimo pracoviska)Len povinnosti týkajúce sa transparentnosti
Minimálne rizikoSpamové filtre, AI vo videohrách, poradie vyhľadávania vylepšené pomocou AIŽiadne špecifické povinnosti

Väčšina amerických B2B SaaS produktov, ktoré pridali funkciu AI do existujúcich pracovných postupov, spadá do kategórie obmedzeného rizika a má povinnosti týkajúce sa transparentnosti podľa článku 50. Výnimky sú dôležité: čokoľvek, čo sa týka rozhodnutí o zamestnaní, prijímania na vzdelávanie, úverovej bonity, biometrie alebo základných verejných služieb, sa presúva do vysokorizikovej kategórie a predstavuje výrazne náročnejšiu úlohu.

Krok tri: Zapíšte si termíny, ktoré sa vás týkajú

Povinnosti vyplývajúce z nariadenia sa zavádzajú postupne v priebehu troch rokov. Tu je sprehľadnený časový harmonogram v jeho aktuálnej podobe:

  • 2. februára 2025 — Zakázané postupy v oblasti AI (článok 5) a povinnosti týkajúce sa gramotnosti v oblasti AI (článok 4) nadobudli účinnosť. Ak váš produkt implementuje niektorý zo zakázaných postupov podľa článku 5, prestaňte s tým. Ešte dnes.
  • 2. augusta 2025 — Nadobudli účinnosť ustanovenia o správe a povinnosti týkajúce sa modelov GPAI. Nové modely GPAI uvedené na trh po tomto dátume musia spĺňať požiadavky okamžite. Modely, ktoré existovali pred týmto dátumom, majú čas do 2. augusta 2027.
  • 2. augusta 2026 — Kľúčový dátum. Povinnosti týkajúce sa transparentnosti podľa článku 50 nadobúdajú účinnosť. Povinnosti pre vysokorizikové systémy podľa prílohy III sa stávajú vynútiteľnými. Aktivujú sa právomoci Komisie na presadzovanie pravidiel voči modelom GPAI, vrátane možnosti ukladať pokuty. Začína platiť požiadavka na splnomocneného zástupcu podľa článku 22 pre poskytovateľov vysokorizikových systémov z krajín mimo EÚ.
  • 2. augusta 2027 — Existujúce modely GPAI musia dosiahnuť úplný súlad. Vysokorizikové systémy zabudované do už regulovaných výrobkov (hračky, zdravotnícke pomôcky, stroje) spadajú pod rámec nariadenia.
  • 2. decembra 2027 — Vysokorizikové systémy, ktoré sú už v prevádzke v špecifických kategóriách prílohy III (biometria, kritická infraštruktúra, vzdelávanie, zamestnanosť, migrácia, azyl, hraničná kontrola), musia dosiahnuť súlad.
  • 2. augusta 2028 — Vysokorizikové systémy zabudované v regulovaných výrobkoch (výťahy, hračky atď.) dosahujú plnú vynútiteľnosť.

Pre typickú americkú SaaS spoločnosť, ktorá poskytuje četbota alebo AI asistenta zákazníkom v EÚ, je praktickým blízkym termínom 2. august 2026 pre transparentnosť podľa článku 50. Pre poskytovateľov základných modelov a platforiem AI agentov sa okno na presadzovanie GPAI otvára v ten istý deň.

Krok štyri: Zabezpečte transparentnosť podľa článku 50

Ak váš produkt patrí do kategórie s obmedzeným rizikom, toto je časť, ktorá je najdôležitejšia. Článok 50 vyžaduje štyri špecifické zverejnenia:

  1. Zverejnenie informácií o četbotoch: Ak osoba komunikuje so systémom AI, musí byť informovaná, že komunikuje s AI – pokiaľ to nie je zrejmé z kontextu. Slovo „zrejmé“ v tejto vete nesie veľkú váhu. Konzervatívny výklad odporúča pridať explicitné upozornenie pri prvej interakcii.
  2. Označovanie syntetického obsahu: Obrazový, zvukový, video alebo textový obsah vygenerovaný alebo manipulovaný AI musí byť označený v strojovo čitateľnom formáte, ktorý je detegovateľný ako umelý. To v praxi znamená vodoznaky alebo metadáta o pôvode (napr. C2PA).
  3. Označovanie deepfakes: Obsah predstavujúci deepfake musí byť označený ako umelo vygenerovaný alebo manipulovaný.
  4. Označovanie textov vo verejnom záujme: Text vygenerovaný AI publikovaný s cieľom informovať verejnosť o záležitostiach verejného záujmu musí byť zverejnený ako vygenerovaný AI, pokiaľ neprešiel ľudskou redakčnou kontrolou s redakčnou zodpovednosťou.

Vybudovanie tejto vrstvy transparentnosti nie je technicky náročné, ale vyžaduje si koordináciu medzi produktom, dizajnom a právnym oddelením. Pár vzorov, ktoré sa nám osvedčili:

  • Malý štítok „AI-assisted“ v chatovacom rozhraní s tooltipom odkazujúcim na dlhšiu stránku s informáciami.
  • Metadáta o pôvode vložené v čase generovania prostredníctvom štandardu C2PA pre akékoľvek mediálne výstupy.
  • Knižnica schválených textov pre informovanie, lokalizovaná do všetkých jazykov EÚ, v ktorých je váš produkt dostupný.
  • Interná politika, podľa ktorej akýkoľvek obsah vo „verejnom záujme“ (súhrny správ, politické témy, zdravotné informácie) prechádza ľudskou redakčnou kontrolou a je logovaný.

Krok päť: Ustanovte splnomocneného zástupcu v EÚ (ak ho potrebujete)

Článok 22 vyžaduje od poskytovateľov so sídlom v tretích krajinách – čo zahŕňa aj USA – aby písomne poverili splnomocneného zástupcu v EÚ pred uvedením vysokorizikového systému AI na trh Únie. Článok 54 ukladá podobnú povinnosť poskytovateľom modelov GPAI.

Ak dodávate iba systémy s obmedzeným rizikom s povinnosťami transparentnosti podľa článku 50, nepotrebujete zástupcu podľa článku 22. Ak poskytujete vysokorizikové systémy alebo modely GPAI, potrebujete ho – a jeho výber si vyžaduje čas. Povinnosti zástupcu zahŕňajú:

  • Overenie, či bolo vypracované EÚ vyhlásenie o zhode a technická dokumentácia.
  • Uchovávanie dokumentácie pre potreby národných príslušných orgánov po dobu desiatich rokov.
  • Spoluprácu s orgánmi pri nápravných opatreniach, stiahnutí z trhu alebo vrátení výrobkov.
  • Preposielanie sťažností, správ o incidentoch a oznámení o závažných incidentoch vám.
  • Ukončenie poverenia (a informovanie orgánov), ak si neplníte svoje povinnosti.

Zástupca na seba nemôže prevziať vaše kľúčové povinnosti poskytovateľa podľa článkov 9 až 17 – táto zodpovednosť zostáva na vás. Sú v podstate vašou zodpovednou prítomnosťou v EÚ a vaším kontaktným bodom pre Úrad pre AI a národné orgány dozoru nad trhom.

Ceny za služby splnomocneného zástupcu sa pre menších poskytovateľov ustálili v rozmedzí 5 000 až 25 000 EUR ročne v závislosti od zložitosti systému, počtu obsluhovaných členských štátov EÚ a rozsahu kontroly dokumentácie. Rozpočtujte na to rovnako, ako počítate s nákladmi na registrovaného agenta v Delaware.

Krok šesť: Vytvorte dokumentačný rámec

Či už dodávate vysokorizikový systém alebo model GPAI, ste povinní viesť dokumentáciu. Nariadenie vymenúva niekoľko dokumentov, ktoré musia existovať a byť aktuálne:

  • Technická dokumentácia (Príloha IV pre vysokorizikové systémy, Príloha XI pre modely GPAI) — architektúra systému, postupy správy údajov, metodika trénovania, výsledky hodnotenia, známe obmedzenia.
  • Dokumentácia systému riadenia rizík (Článok 9) — identifikácia predvídateľných rizík, zmierňujúce opatrenia, kritériá prijateľnosti zostatkového rizika.
  • Dokumentácia o správe údajov (Článok 10) — zdroje trénovacích, validačných a testovacích údajov, kritériá kvality údajov, skúmanie predpojatosti.
  • Záznamy o logovaní (Článok 12) — automatické záznamy udalostí v dostatočnom detaile na umožnenie monitorovania po uvedení na trh.
  • Návrh ľudského dohľadu (Článok 14) — ako môžu ľudskí operátori interpretovať výstupy, zasahovať, meniť rozhodnutia alebo vypnúť systém.
  • Plán monitorovania po uvedení na trh (Článok 72) — ako budete zhromažďovať, analyzovať a reagovať na údaje o výkonnosti v reálnom svete a na incidenty.
  • EÚ vyhlásenie o zhode (Článok 47) — právne potvrdenie, že váš systém spĺňa požiadavky nariadenia.
  • Označenie CE — umiestnené na produkte, indikujúce zhodu.

Pre poskytovateľov GPAI sa Kódex postupov zverejnený Úradom pre AI v júli 2025 stal de facto základom pre súlad. Je dobrovoľný, ale prihlásenie sa k nemu demonštruje dobrú vôľu a poskytuje vám výhodnejšie zaobchádzanie pri akomkoľvek následnom posudzovaní vynútiteľnosti. Tri kapitoly kódexu – Transparentnosť, Autorské práva a Bezpečnosť a ochrana – úzko kopírujú to, čo bude Úrad pre AI hľadať, keď v auguste 2026 začne vykonávať svoje právomoci.

Siedmy krok: Pripravte sa na vlnu obstarávacích dotazníkov

Pre väčšinu amerických SaaS spoločností nebude prvým praktickým prejavom Aktu EÚ o AI zaklopanie na dvere z Úradu pre AI. Bude to obstarávací dotazník od právneho tímu európskeho zákazníka, ktorý sa bude pýtať, aké modely používate, na akých trénovacích údajoch boli postavené, aké máte kontrolné mechanizmy na zabránenie zakázanému použitiu, ako vyzerajú vaše opatrenia týkajúce sa rezidencie údajov a či máte zástupcu podľa článku 22.

Tieto dotazníky prichádzajú už teraz – dávno pred dátumom účinnosti v auguste 2026 – pretože európski kupujúci si chcú zmluvne podchytiť vyhovujúcich dodávateľov ešte pred konečným termínom. V regulovaných odvetviach (financie, zdravotníctvo, štátna správa, školstvo) sa predajné cykly predlžujú, pretože kupujúci pridávajú hĺbkovú previerku (diligence) špecifickú pre Akt o AI. Zakladatelia, ktorí dokážu s istotou odpovedať na dotazník v prvom týždni predajného cyklu, uzavrú obchody, ktoré ich menej pripravení konkurenti stratia.

Vytvorte si už teraz stály balík informácií (fact pack) k Aktu o AI. Mal by obsahovať:

  • Jednostranové zhrnutie vašej roly (poskytovateľ/používateľ/obaja), úrovne rizika a príslušných povinností
  • Zoznam používaných základných modelov s informáciami o subdodávateľoch a údajmi v štýle DPA (zmluva o spracúvaní údajov)
  • Vaše zverejnenia informácií o transparentnosti (článok 50)
  • Vašu dokumentáciu o správe údajov a trénovacích údajoch, v prípade potreby v redigovanej podobe
  • Váš postup reakcie na incidenty a ohlasovania závažných incidentov
  • Kópiu mandátu vášho splnomocneného zástupcu, ak sa na vás vzťahuje

Ako do seba zapadajú GDPR, Akt o údajoch a DSA

Akt o AI nenahrádza existujúce právo EÚ. On ho dopĺňa. Vysoko rizikový systém, ktorý spracúva osobné údaje, je regulovaný Aktom o AI aj GDPR a povinnosti sa sčítavajú. Článok 26 ods. 8 Aktu o AI výslovne zachováva požiadavku GDPR na posúdenie vplyvu na ochranu údajov (DPIA) pre používateľov vysoko rizikových systémov. Povinnosti zdieľania údajov a zmeny poskytovateľa podľa Aktu o údajoch (Data Act) sa uplatňujú súbežne s posudzovaním zhody podľa Aktu o AI. Pravidlá transparentnosti odporúčacích systémov podľa Aktu o digitálnych službách (DSA) sa uplatňujú nad rámec článku 50.

V praxi to znamená, že váš program súladu s predpismi potrebuje integrovaný záznam. Jedna funkcia AI môže spustiť GDPR DPIA, posúdenie rizík podľa Aktu o AI, zverejnenie informácií podľa článku 50, správu o transparentnosti odporúčacieho systému podľa DSA a záväzok k prenosnosti podľa Aktu o údajoch. Považovať tieto procesy za samostatné pracovné prúdy je cesta k chybám. Považovať ich za jeden program so zdieľanou dokumentáciou je spôsob, ako si zachovať zdravý rozum.

Ako v skutočnosti vyzerajú pokuty

Štruktúra sankcií podľa článku 99 Aktu má tri úrovne:

  • Zakázané praktiky (porušenie článku 5): Do 35 miliónov EUR alebo 7 % celosvetového ročného obratu, podľa toho, ktorá hodnota je vyššia
  • Väčšina ostatných povinností (články 8-15, článok 50, povinnosti GPAI podľa článku 101): Do 15 miliónov EUR alebo 3 % celosvetového ročného obratu, podľa toho, ktorá hodnota je vyššia
  • Zavádzajúce informácie pre orgány: Do 7,5 milióna EUR alebo 1 % celosvetového ročného obratu, podľa toho, ktorá hodnota je vyššia

Pre MSP, vrátane startupov, sú pokuty zastropované na nižšej z oboch hodnôt, nie vyššej. To je reálny ústupok, ale 1 % z výnosov je pre SaaS spoločnosť vo fáze Series B stále významné číslo a definícia „MSP“ podľa EÚ končí pri obrate 50 miliónov EUR – väčšina amerických SaaS spoločností v rastovej fáze je nad touto hranicou.

Prvá vlna vynucovacích opatrení koncom roka 2026 a v roku 2027 sa pravdepodobne zameria na najväčších a najviditeľnejších poskytovateľov – laboratóriá základných modelov a veľké spotrebiteľské AI produkty. Národné orgány dozoru nad trhom však majú široké právomoci a vyšetrovania na základe sťažností sa môžu zamerať na akéhokoľvek poskytovateľa. Plánujte na priemerný scenár, nie na ten najhorší: pravdepodobne nebudete prví pokutovaní, ale nechcete byť zakladateľom, ktorý vysvetľuje správnej rade, prečo sú výnosy spoločnosti v EÚ momentálne zablokované až do predloženia nápravného akčného plánu.

Zabudujte súlad do inžinierstva, nie vedľa neho

Tímy zodpovedné za súlad (compliance), ktoré s Aktom o AI bojujú najviac, sú tie, ktoré ho vnímajú ako právne cvičenie „prilepené“ na hotový produkt. Tímy, ktoré ho zvládajú hladko, ho vnímajú ako systémové konštrukčné obmedzenie: správa údajov zabudovaná do dátovej vrstvy, logovanie zabudované do inferenčnej vrstvy, ľudský dohľad zabudovaný do UX, zverejňovanie informácií o transparentnosti zabudované do knižnice komponentov. Požiadavky Aktu sú väčšinou veci, ktoré by dobre navrhnutý AI produkt mal aj tak robiť – robustné vyhodnocovanie, jasná dokumentácia, štruktúrovaná reakcia na incidenty, transparentné UX. Akt ich len robí právne povinnými.

Konkrétne pre amerických zakladateľov je zmena v zmýšľaní v uznaní toho, že EÚ nie je voliteľný trh, ktorý môžete odložiť na „neskôr“. Extrateritoriálny dosah Aktu prostredníctvom „výstupu v EÚ“ znamená, že aj malé B2B kontrakty vás môžu dostať do jeho pôsobnosti. A dynamika obstarávacích dotazníkov znamená, že pripravenosť je konkurenčnou výhodou už teraz, nie len položkou v zozname povinností.

Udržujte aj svoje finančné záznamy v stave pripravenom na audit

Ak škálujete SaaS spoločnosť do EÚ, súlad s Aktom o AI je len jednou časťou väčšej dokumentačnej výzvy. Budete potrebovať aj čisté finančné záznamy, obhájiteľné uznávanie výnosov pre predplatné vo viacerých jurisdikciách, dokumentáciu k transferovému oceňovaniu a podania v rámci VAT-MOSS. Rovnaký inžiniersky inštinkt, ktorý vedie k čistej, verzovanej dokumentácii o súlade, by mal viesť aj vaše finančné účtovníctvo: v čistom texte (plain-text), auditovateľné a preskúmateľné človekom alebo AI audítorom.

Udržujte svoje financie rovnako transparentné ako vašu AI

Hlbšie ponaučenie z aktu o umelej inteligencii (AI Act) – že dokumentácia, auditovateľnosť a transparentnosť sú dnes konkurenčnými výhodami – platí rovnako aj pre vaše účtovníctvo. Beancount.io poskytuje textové účtovníctvo (plain-text accounting), ktoré vám poskytuje úplnú transparentnosť a kontrolu verzií nad vašimi finančnými záznamami s rovnakou, človekom čitateľnou a strojom spracovateľnou štruktúrou, akú vyžaduje moderný súlad s predpismi. Žiadne čierne skrinky, žiadna závislosť od dodávateľa a účtovný denník, ktorý si môže priamo prečítať audítor (alebo váš vlastný AI agent). Začnite zadarmo a zistite, prečo vývojári a finanční profesionáli budujúci spoločnosti orientované na AI prechádzajú na textové účtovníctvo.