EU AI Act + GDPR: Какво ръководството трябва да подготви до август 2026

Две дати, които почти никой европейски борд няма в календара си

През последните месеци разговаряхме с над три дузини ръководни екипи в DACH региона за AI съответствие. Един въпрос се появява във всеки разговор: кои регулаторни задължения всъщност идват към нас? В приблизително половината от тези срещи се оказва, че двете ключови дати не са известни. Ето ги.

2 февруари 2025 маркира денят, в който задължението за AI Literacy от член 4 на EU AI Act влезе в сила в пълен обем. Всеки, който внедрява AI системи в организацията си, трябва да гарантира, че лицата, които работят с тях, разполагат с достатъчна AI компетентност. Това задължение е в сила повече от година, и много малко са го въвели.

3 август 2026 е денят, в който националните органи за пазарен надзор започват да го налагат. Глоби до 35 милиона евро или 7 % от глобалния годишен оборот, в зависимост от това коя сума е по-висока.

Между тези две дати остава около едно тримесечие за подготовка. Това не е много.

Какво всъщност означава „AI Literacy" в практиката

Изкушението е голямо темата да се прехвърли на отдела по човешки ресурси и всички да бъдат пратени през едночасово e-learning. Това не е, което Европейската комисия имаше предвид с член 4.

„Достатъчна AI компетентност" трябва да се калибрира спрямо няколко фактора: техническа подготовка на служителите, конкретната AI система, която използват, рисковия клас на случая на употреба и групата клиенти или засегнатите лица, върху които AI системата влияе.

Пример от практиката. Сътрудник, използващ ChatGPT за чернови на имейли, се нуждае от различно обучение от HR специалист, провеждащ AI-подкрепен предварителен подбор на кандидати. Последният оперира приложение с висок риск според EU AI Act и попада под по-строги изисквания, дори ако никога не е отварял ChatGPT.

Важно: трябва да документирате мерките. Кой кога какво обучение е получил. При проверка тежестта на доказване е върху компанията, не върху органа. Добре водена програма за AI Champions покрива много от тези Literacy изисквания като страничен ефект и произвежда документацията по пътя.

Три ежедневни случая на употреба, които бързо стават с висок риск

Повечето компании, които консултираме, подценяват колко бързо привидно безобиден случай на употреба се плъзга в категорията „висок риск" на EU AI Act. Три типични примера.

Подбор на персонал. Всеки AI инструмент, който предварително сортира кандидатури или оценява автобиографии, е с висок риск. Дори когато човек прави окончателно решение. Дори когато инструментът дава само ранкинг резултат.

Кредитна оценка. Всеки AI компонент, който влияе на кредитоспособността, попада под висок риск. За крайни потребители и за бизнес клиенти с характеристики на потребителски кредит.

Оценка на служителите. Инструменти, влияещи на представянето, поведението или достъпа до работа, принадлежат към най-строгата категория. Това включва и много „неутрални" продуктивни табла, когато се използват при оценки на представянето.

Ако един от тези случаи на употреба тече в организацията ви, се нуждаете от повече от обучения. Нуждаете се от система за управление на риска, техническа документация, процедури за човешки надзор и в много случаи оценка на съответствието.

Как EU AI Act и GDPR работят заедно

GDPR не е заменен. Той все още се прилага, и се активира винаги, когато лични данни са въвлечени.

Какво се промени: има втори слой за съответствие, организиран по рискови класове на AI системи, не по категории данни. На практика това означава:

Все още се нуждаете от GDPR регистрите си, от вашите AVV договори, от TOM документацията си. Допълнително се нуждаете от инвентаризация на всички AI системи, включително рискова класификация. При нарушение, което попада под двата режима, се прилага по-високата глоба. Без двойна санкция.

Добра новина: организациите с добре поддържан GDPR регистър вече са свършили 60 % от работата за EU AI Act. Това е разширение, не нов старт.

Невидимата пропаст: Shadow AI

Повечето бордове мислят за „AI съответствие" първо в смисъл на официални системи. Най-скъпите инциденти обаче редовно идват от служители, използващи лични чатботове по собствена инициатива. Рискът от Shadow AI, със средни 670 000 евро допълнителни разходи на инцидент, е измерим и добре документиран. Честна инвентаризация преди август 2026 трябва да включва тези неофициални инструменти, иначе документира само това, което IT отделът може да види.

Прагматична контролна карта преди август 2026

Какво трябва да бъде на място до крайния срок, възможно най-просто.

Първо, инвентаризация на всички AI системи в употреба. Включително неофициалните. Включително AI функциите, вградени в съществуващи софтуери (Outlook, CRM, ERP, продажбени плъгини).

Второ, рискова класификация по система. Кои попадат под „забранени", кои под „с висок риск", кои под „с ограничен риск"?

Трето, Acceptable Use Policy за неодобрени инструменти. Ясна, кратка, изпълнима.

Четвърто, програма за AI Literacy с обучение по роли. Не един курс за всички.

Пето, документация на мерките. Кой кога е обучен, кои инструменти са разгърнати, какъв рисков клас се прилага за всеки случай на употреба.

Шесто, ясен ескалационен път за инциденти. Кой решава, когато AI система направи грешка или служител е използвал неодобрен инструмент?

Започнете сега

Задължението за съответствие е реално, графикът е стегнат, решението е изпълнимо. Помагаме на организации през инвентаризация, рискова класификация и създаване на структури за Literacy. Типичен проект отнема шест до десет седмици. Ако това е въпрос за вас, свържете се с нас.

Източници

• EU AI Act, член 4 (AI Literacy)
• EU AI Act, член 99 (Санкции)
• Европейска комисия, „AI Literacy – Questions & Answers", Digital Strategy 2025
• Latham & Watkins, „Upcoming EU AI Act Obligations: Mandatory Training and Prohibited Practices", 2025