AI Regulativa Watch

AI Act u praksi — compliance checklist za SaaS firme 2026

EU AI Act compliance za SaaS firme 2026 — klasifikacija rizika, obaveze, rokovi i checklist za provajdere AI sistema. Informativni pravni vodič.

Uredba (EU) 2024/1689 — poznata kao EU AI Act — stupila je na snagu 1. avgusta 2024. i uvodi gradiranu regulaciju AI sistema zavisno od nivoa rizika. Za SaaS kompanije koje integrišu ili razvijaju AI funkcionalnosti, pitanje nije da li će biti obaveza, već koje konkretno i kada. Ovaj tekst je informativnog karaktera i ne zamenjuje individualni pravni savet.

Klasifikacija rizika: četiri nivoa

AI Act deli AI sisteme na četiri kategorije:

Neprihvatljiv rizik — zabranjeni sistemi (zabrane se primenjuju od 2. februara 2025): – Kognitivna manipulacija korisnika koja zaobilazi slobodnu volju – Masovni biometrijski nadzor u javnim prostorima (uz uske izuzetke za bezbednosne organe) – Socijalni rejting od strane javnih vlasti – AI koji eksploatiše ranjivosti (uzrast, invaliditet)

Visoki rizik — strogi zahtevi (primena od avgusta 2026. za nove sisteme): – Sistemi u oblasti zapošljavanja (selekcija CV-jeva, procena radnog učinka) – Kritična infrastruktura (energetika, vodosnabdevanje) – Obrazovanje i stručno osposobljavanje – Pristup javnim uslugama i beneficijama – Migracija, azil i granična kontrola – Primena zakona

Ograničen rizik — obaveze transparentnosti: – Chatbotovi moraju informisati korisnike da razgovaraju sa AI – Deep-fake sadržaj mora biti označen – AI-generisani tekst koji se distribuira na veliku skalu

Minimalni rizik — bez posebnih obaveza po AI Act-u (filteri za neželjenu poštu, preporučni sistemi koji nisu visokog rizika).

Šta AI Act zahteva od provajdera visokog rizika

Ako Vaš SaaS sistem potpada pod “visoki rizik”, obaveze su supstancijalne:

1. Sistem upravljanja rizicima (Član 9) — Kontinuirani proces identifikacije, procene i ublažavanja rizika tokom čitavog životnog ciklusa sistema.

2. Upravljanje podacima (Član 10) — Trening i test skupovi podataka moraju biti relevantni, reprezentativni i slobodni od grešaka koje bi mogle dovesti do diskriminacije.

3. Tehnička dokumentacija (Član 11 + Aneks IV) — Detaljan opis sistema: namena, arhitektura, tokovi podataka, metrike performansi, ograničenja.

4. Automatsko logovanje (Član 12) — Sistemi visokog rizika moraju automatski beležiti aktivnosti u meri koja omogućava naknadnu rekonstrukciju odluka (post-market monitoring).

5. Transparentnost prema korisnicima (Član 13) — Jasna uputstva za upotrebu, ograničenja i nadgledanje od strane čoveka.

6. Nadzor od strane čoveka (Član 14) — Mere koje omogućavaju operatorima da preuzmu kontrolu, pauziraju ili isključe sistem.

7. Tačnost, robustnost, bezbednost (Član 15)

8. Conformity Assessment (Član 43) — Samoprocena (za većinu sistema visokog rizika) ili nezavisna procena (za određene kategorije). Afiks CE oznake. Registracija u EU bazi podataka.

GPAI modeli — poseban režim

Uredba uvodi posebna pravila za modele opšte namene (GPAI — General Purpose AI), kao što su veliki jezički modeli. Provajderi GPAI modela moraju:

  • Objaviti tehničku dokumentaciju
  • Objaviti sažetak podataka korišćenih za trening
  • Implementirati politiku poštovanja autorskih prava
  • Sistemi visokog rizika izgrađeni na GPAI-u nasleđuju obaveze visokog rizika.

Compliance checklist za SaaS firme (2025–2026)

Odmah (zabrane aktivne od 2. februara 2025.): – [ ] Proverite da nijedna AI funkcionalnost ne spada u kategoriju zabranjenih sistema – [ ] Dokumentujte analizu za internu upotrebu

Do avgusta 2026. (visoki rizik — novi sistemi): – [ ] Klasifikujte svaki AI sistem koji razvijate ili koristite – [ ] Za visoki rizik: pokrenite sistem upravljanja rizicima – [ ] Pripremite tehničku dokumentaciju po Aneksu IV – [ ] Implementirajte automatsko logovanje aktivnosti – [ ] Osigurajte mehanizam human-in-the-loop – [ ] Sprovedite conformity assessment i registrujte se u EU bazi

Transparentnost (odmah za chatbotove i deep-fake): – [ ] Obezbedite notifikaciju korisnicima da komuniciraju sa AI – [ ] Označite AI-generisani sadržaj gde je primenljivo

Srbija i EU AI Act

AI Act se primenjuje na provajdere AI sistema koji stavljaju sisteme na tržište EU ili ih koriste u EU — bez obzira na sedište kompanije. Srpska SaaS firma koja prodaje EU klijentima podleže AI Act-u. Srbija kao zemlja kandidat nema obavezu direktne primene, ali harmonizacija zakona je verovatna u narednom periodu.

Česta pitanja (Q&A)

Da li se AI Act primenjuje na srpsku firmu koja prodaje SaaS u EU? Da. AI Act ima eksteritorijalnu primenu — primenjuje se na provajdere bez obzira na sedište, ako stavljaju AI sisteme na tržište EU ili ako se njihovi sistemi koriste u EU.

Koji SaaS sistemi su “visokog rizika”? Visoki rizik uključuje sisteme za selekciju zaposlenih (CV screening), procenu kreditnog rizika, sisteme u obrazovanju i javnim uslugama. Preporučni sistemi e-commerce tipično nisu visokog rizika.

Šta je conformity assessment i da li moram da angažujem treće lice? Za većinu visokih rizika dovoljna je samoprocena uz dokumentaciju. Nezavisna treća strana obavezna je za biometrijske sisteme i sisteme u kritičnoj infrastrukturi.

Koje su kazne za kršenje AI Act-a? Do 35 miliona EUR ili 7% globalnog godišnjeg prihoda za zabranjene sisteme; do 15 miliona EUR ili 3% za ostale visokorizične povrede; do 7,5 miliona EUR ili 1% za netačne informacije regulatoru.

Zaključak

EU AI Act je operativan. Pitanje nije da li će Vaš SaaS biti pod lupom — pitanje je kada. Klasifikacija sistema, dokumentacija i priprema za conformity assessment su gradljivi procesi ako počnete na vreme. Ako sačekate da vas regulator kontaktira, prostor za manevar se drastično sužava.

Izvori

Sadržaj sajta je informativnog karaktera i ne predstavlja pravni savet. Za konkretne pravne savete obratite se direktno advokatu. Kancelarija posluje u skladu sa Zakonom o advokaturi i Kodeksom profesionalne etike advokata.

Scroll to Top