Risk-based approach
Co je risk-based approach
Rizikový přístup (risk-based approach) je princip, který prostupuje všemi klíčovými EU regulacemi. Znamená, že míra povinností a opatření odpovídá míře rizika — čím vyšší riziko, tím přísnější požadavky.
Nejde o “one-size-fits-all” compliance, ale o proporcionální reakci na reálná rizika.
Risk-based approach v AI Act
AI Act definuje čtyři úrovně rizika AI systémů:
| Úroveň rizika | Příklady | Regulace | Platnost |
|---|---|---|---|
| NEPŘIJATELNÉ RIZIKO | Social scoring, manipulace | ZAKÁZÁNO (čl. 5) | Od 2.2.2025 |
| VYSOKÉ RIZIKO | HR, zdravotnictví, justice | PŘÍSNÉ POŽADAVKY (čl. 6-49) | Od 2.8.2026 |
| OMEZENÉ RIZIKO | Chatboty, deepfakes | TRANSPARENTNOST (čl. 50) | Informovat uživatele |
| MINIMÁLNÍ RIZIKO | Spam filtr, herní AI | DOBROVOLNÉ | Doporučené best practices |
Proč na tom záleží
Vaše povinnosti závisí na tom, kam vaše AI systémy spadají. Většina firem provozuje AI s minimálním nebo omezeným rizikem — pro ně platí méně přísné požadavky.
Ale: AI gramotnost (čl. 4) platí pro VŠECHNY úrovně bez výjimky.
Risk-based approach v dalších regulacích
NIS2
- Essential entities (energetika, doprava, zdravotnictví) — přísnější požadavky
- Important entities (výroba, poštovní služby, potraviny) — méně přísné
- Riziko se hodnotí dle dopadu výpadku na společnost
GDPR
- Zpracování vysokého rizika → vyžaduje DPIA (Data Protection Impact Assessment)
- Automatizované rozhodování → zvláštní práva dotčených osob
- Riziko se hodnotí dle dopadu na práva a svobody fyzických osob
Data Act
- Riziko spojené se sdílením dat mezi subjekty
- Ochranná opatření proporcionalní k citlivosti dat
- Zvláštní režim pro obchodní tajemství
Jak rizikový přístup aplikovat
Krok 1: Inventura
Zmapujte všechny AI systémy v organizaci — nejen ty “oficiální”, ale i shadow AI.
Krok 2: Klasifikace
Pro každý systém určete:
- Účel — na co se AI používá
- Kontext — v jakém sektoru/procesu
- Dopad — co se stane, když AI selže nebo rozhodne špatně
- Regulace — pod které regulace spadá
Krok 3: Opatření
Nastavte opatření proporcionální riziku:
- Minimální riziko → základní politika, povědomí zaměstnanců
- Omezené riziko → transparentnost, monitoring
- Vysoké riziko → kompletní compliance program (conformity assessment, human oversight, monitoring)
Klíčové deadliny
| Datum | Regulace | Co platí |
|---|---|---|
| ✅ 2.2.2025 | AI Act | AI gramotnost + zakázané praktiky |
| ✅ 2.8.2025 | AI Act | GPAI pravidla |
| 12.9.2025 | Data Act | Hlavní ustanovení |
| 2.8.2026 | AI Act | High-risk AI — plná použitelnost |
| 11.11.2026 | NIS2 | Full implementation |
Další čtení
- AI gramotnost — povinnost pro všechny úrovně rizika
- Shadow AI — rizika neautorizovaného AI
- AI Act přehled — kompletní průvodce