AI Regulativa Watch

Izazovi Implementacije EU Zakona o Veštačkoj Inteligenciji (AI Act) za Preduzeća: Priprema za Usklađenost

Sveobuhvatan pregled obaveza preduzeća prema EU AI Act-u — klasifikacija rizika, rokovi usklađenosti, dokumentacija i sankcije. Praktični vodič za privredne subjekte.

Evropska unija usvojila je Zakon o veštačkoj inteligenciji (AI Act, Uredba (EU) 2024/1689) kao prvi sveobuhvatni regulativni okvir za veštačku inteligenciju u svetu. Uredba je objavljena u Službenom listu EU 12. jula 2024. godine, a stupila je na snagu 1. avgusta 2024. godine. Ovaj propis uvodi rigorozne zahteve za sve privredne subjekte koji razvijaju, uvoze, distribuiraju ili koriste AI sisteme na tržištu EU. Preduzeća koja se ne pripreme na vreme izlažu se ozbiljnim finansijskim i reputacionim rizicima. Ovaj tekst je informativnog karaktera i ne zamenjuje individualni pravni savet.

Osnove EU AI Act-a: Struktura i Logika Rizika

EU AI Act počiva na pristupu zasnovanom na proceni rizika. Svi AI sistemi klasifikuju se u četiri kategorije prema stepenu potencijalnog rizika koji nose po zdravlje, bezbednost i osnovna prava građana.

Neprihvatljivi rizik — najstroža kategorija obuhvata sisteme koji su potpuno zabranjeni. Tu spadaju: AI sistemi za socijalno bodovanje (social scoring) od strane javnih vlasti, manipulativne tehnike koje zaobilaze slobodnu volju korisnika, te određene primene biometrijske identifikacije u realnom vremenu na javnim mestima.

Visoki rizik — ovo je centralna kategorija AI Act-a. Sistemi koji potpadaju pod nju moraju ispuniti čitav niz tehničkih i organizacionih zahteva pre nego što mogu biti pušteni u upotrebu. Radi se o AI sistemima koji se koriste u kritičnoj infrastrukturi, obrazovanju, zapošljavanju, pristupu socijalnim beneficijama, nadzoru granica, pravosuđu i sličnim oblastima sa značajnim uticajem na živote pojedinaca.

Ograničeni rizik — sistemi poput čet-botova podležu obavezama transparentnosti: korisnici moraju biti obavešteni da komuniciraju sa AI sistemom.

Minimalni rizik — najveći broj AI aplikacija (video igre sa AI elementima, spam filteri) spada u ovu kategoriju i nije predmet posebnih regulatornih obaveza.

Ko su Obveznici i Koje Uloge Nose

AI Act definiše nekoliko ključnih uloga u lancu vrednosti AI sistema:

Pružalac (provider) je privredni subjekt koji razvija AI sistem ili koji stavlja AI sistem na tržište pod sopstvenim imenom ili zaštitnim znakom. Na pružaoce sistema visokog rizika padaju najteže obaveze — uspostavljanje sistema upravljanja rizicima, tehnička dokumentacija, registracija u EU bazi podataka, usklađenost sa standardima tačnosti i robustnosti.

Korisnik (deployer/user) je svako pravno ili fizičko lice koje upotrebljava AI sistem u profesionalnom kontekstu. Obaveze korisnika su nešto lakše od pružalačkih, ali nisu zanemarljive — posebno u pogledu transparentnosti prema krajnjim korisnicima i nadgledanja rada sistema.

Uvoznik i distributer snose odgovornost za to da AI sistemi koje stavljaju u promet ispunjavaju zahteve regulative.

Preduzeća koja istovremeno razvijaju i primenjuju vlastite AI sisteme preuzimaju kombinovane obaveze obe uloge.

Konkretne Obaveze za Sisteme Visokog Rizika

Za AI sisteme klasifikovane kao visokorizični, AI Act propisuje skup konkretnih zahteva:

Sistem upravljanja rizicima — pružalac mora uspostaviti, implementirati i dokumentovati kontinuirani proces identifikacije, analize i mitigacije rizika tokom celog životnog ciklusa sistema.

Podaci i upravljanje podacima — skupovi podataka za treniranje, validaciju i testiranje moraju biti relevantni, reprezentativni i bez nedopustivog pristrasnog efekta (bias). Zahteva se dokumentacija o provenijenciji podataka.

Tehnička dokumentacija — mora biti sačinjena pre puštanja sistema u promet i redovno ažurirana. Ona obuhvata opis namene, tehničke karakteristike, performanse, ograničenja i mere ublažavanja rizika.

Beleženje (logging) — visokorizični AI sistemi moraju biti sposobni za automatsko evidentiranje događaja tokom rada, kako bi se u slučaju incidenta mogao rekonstruisati tok radnji.

Transparentnost prema korisnicima — mora se obezbediti jasno, razumljivo uputstvo za upotrebu koje korisnicima omogućava informisanu primenu sistema.

Nadgledanje od strane čoveka — sistem mora biti projektovan tako da ga fizičko lice može efikasno nadgledati, intervenisati i, po potrebi, isključiti.

Tačnost, robustnost i kibernetička bezbednost — sistem mora dostizati odgovarajući nivo performansi uz otpornost na greške i pokušaje zloupotrebe.

Rokovi i Fazna Primena

AI Act stupio je na snagu 1. avgusta 2024. godine, ali se njegove odredbe primenjuju fazno. Odredbe o zabranjenim praksama primenjuju se od 2. februara 2025. godine, a obaveze za opštenamenske AI modele (General Purpose AI — GPAI) od 2. avgusta 2025. godine. Zahtevi za sisteme visokog rizika imaju duži prelazni period — prema dostupnim informacijama, rokovi primene ovih odredbi bili su predmet naknadnih izmena i odlaganja na nivou EU, pa preduzeća treba da se konsultuju sa aktuelnim tekstom regulative i relevantnim smernicama nadležnih organa kako bi proverila tačne rokove koji se na njih primenjuju do datuma objavljivanja ovog teksta i nakon njega.

Sankcije i Nadzor

AI Act predviđa visoke kazne za prekršioce. Za najteže povrede, poput korišćenja zabranjenih AI sistema, propisane su novčane kazne do 35 miliona evra ili do 7% ukupnog globalnog godišnjeg prometa — u zavisnosti od toga koji iznos je veći. Za povrede obaveza vezanih za sisteme visokog rizika primenjuju se kazne do 15 miliona evra ili do 3% prometa. Za dostavljanje netačnih ili obmanjujućih informacija nadzornim telima propisane su kazne do 7,5 miliona evra ili do 1% prometa.

Nacionalna nadzorna tela u svakoj državi članici EU biće odgovorna za sprovođenje propisa, a Evropska kancelarija za veštačku inteligenciju (AI Office) preuzima koordinišuću ulogu na nivou EU.

Strategija Usklađivanja: Gde Početi

Preduzeća koja žele proaktivno pristupiti usklađenosti trebalo bi da preduzmu sledeće korake:

Prvo, mapiranje AI sistema — potpuna inventura svih AI alata i sistema koje preduzeće razvija ili koristi, sa identifikacijom njihove namene i konteksta primene.

Drugo, procena rizika — za svaki identifikovani sistem potrebno je utvrditi u koju kategoriju rizika spada prema AI Act-u.

Treće, analiza jaza — za visokorizične sisteme, proceniti u kojoj meri su trenutne prakse u skladu sa zahtevima i identifikovati neusklađenosti.

Četvrto, izrada akcionog plana — definisati prioritete, resurse i rokove za sprovođenje neophodnih prilagođavanja.

Peto, imenovanje AI compliance funkcije — bez obzira na veličinu preduzeća, neophodna je osoba ili tim zadužen za praćenje i sprovođenje usklađenosti.

Česta pitanja (Q&A)

Da li EU AI Act važi i za preduzeća izvan EU koja pružaju AI usluge evropskim korisnicima? Da. Slično kao GDPR (General Data Protection Regulation, Uredba (EU) 2016/679), AI Act ima ekstrateritorijalni doseg. Primenjuje se na sve pružaoce AI sistema čiji rezultati rada imaju efekte u EU, bez obzira na sedište kompanije.

Šta je GPAI i zašto je relevantan? Opštenamenski AI modeli (General Purpose AI — GPAI) su modeli kao što su veliki jezički modeli koji se mogu primenjivati u velikom broju različitih konteksta. AI Act uvodi posebne obaveze za pružaoce GPAI modela koji se integrišu u druge sisteme, uključujući obaveze transparentnosti i, za najmoćnije modele, sistematsku procenu rizika.

Mora li svako preduzeće koje koristi AI alate (ChatGPT za internu komunikaciju) biti usklađeno? Korišćenje opšte dostupnih AI alata za interne svrhe minimalne rizičnosti uglavnom ne povlači posebne obaveze. Međutim, ako preduzeće integriše AI u sopstvene procese ili proizvode koji utiču na treća lica, posebno u oblastima klasifikovanim kao visoki rizik, obaveze nastaju.

Šta znači oznaka CE za AI sisteme? Za visokorizične AI sisteme, AI Act predviđa obaveznost CE oznake kao potvrde da su ispunjeni relevantni zahtevi regulative, uz prethodnu ocenu usklađenosti koja u određenim slučajevima podrazumeva uključivanje notifikovanog tela.

Zaključak

EU AI Act transformiše način na koji preduzeća moraju pristupati razvoju i primeni veštačke inteligencije. Regulativa nije samo birokratski zahtev — ona postavlja temelje za poverenje u AI sisteme i dugoročnu održivost digitalne ekonomije. Preduzeća koja odmah otpočnu proces usklađenosti biće u boljem položaju od onih koja to ostave za poslednji trenutak. Proaktivan pristup ne samo da smanjuje regulatorne rizike već i gradi konkurentsku prednost.

Ukoliko želite proceniti u kojoj meri su vaše AI aktivnosti usklađene sa EU AI Act-om i koje konkretne korake treba preduzeti, zakažite konsultaciju sa našim timom specijalizovanim za regulativu veštačke inteligencije.

Izvori

Sadržaj sajta je informativnog karaktera i ne predstavlja pravni savet. Za konkretne pravne savete obratite se direktno advokatu. Kancelarija posluje u skladu sa Zakonom o advokaturi i Kodeksom profesionalne etike advokata.

Scroll to Top