AI Act (Uredba EU 2024/1689) prvi je sveobuhvatni zakon o umjetnoj inteligenciji na svijetu. Izravno se primjenjuje u svim EU državama, uključujući Hrvatsku. Koristi pristup temeljen na riziku s četiri razine, od zabranjenih praksi do minimalnog rizika. Kazne dosežu do 35 milijuna EUR ili 7% globalnog prometa za zabranjene prakse.
Ključne činjenice
- AI Act je prva sveobuhvatna regulativa o umjetnoj inteligenciji na svijetu i izravno se primjenjuje u svim EU državama.
- Koristi pristup temeljen na riziku: zabranjene prakse, visok rizik, ograničen rizik, minimalan rizik.
- Zabranjene prakse (socijalno bodovanje, masovno biometrijsko praćenje) već su na snazi od 2. veljače 2025.
- Kazne dosežu do 35 milijuna EUR ili 7% globalnog prometa za zabranjene prakse.
- Čak i korisnici tuđih AI sustava (npr. ChatGPT) imaju obveze prema Uredbi.
Sadržaj
- Što je Akt o umjetnoj inteligenciji?
- Pristup temeljen na riziku (4 razine)
- Ključni datumi primjene
- Zabranjene prakse umjetne inteligencije
- Visokorizični sustavi UI
- UI modeli opće namjene
- Obveze transparentnosti
- Kazne i sankcije
- Kako postići usklađenost: 5 koraka
- Nadležna tijela u Hrvatskoj
- AI Act i GDPR: sinergije
- Česta pitanja
- Zaključak
Što je Akt o umjetnoj inteligenciji?
Akt o umjetnoj inteligenciji (Uredba EU 2024/1689) europska je uredba o usklađenim pravilima za umjetnu inteligenciju, objavljena 12. srpnja 2024. Kao uredba, izravno se primjenjuje u svim EU državama bez nacionalne transpozicije, uključujući Hrvatsku. Utvrđuje pravila za razvoj, stavljanje na tržište i korištenje AI sustava.
Službena definicija sustava UI
Prema članku 3. Uredbe:
„Sustav UI" znači strojni sustav koji je dizajniran za rad s različitim razinama autonomije, koji nakon uvođenja može pokazivati prilagodljivost te koji za eksplicitne ili implicitne ciljeve na temelju ulaznih podataka zaključuje kako generirati izlazne podatke kao što su predviđanja, sadržaj, preporuke ili odluke koje mogu utjecati na fizička ili virtualna okruženja.
Na koga se primjenjuje?
- Pružatelje koji razvijaju ili stavljaju UI sustave na tržište EU
- Korisnike UI sustava u EU (poduzeća koja koriste AI alate)
- Pružatelje i korisnike izvan EU čiji sustavi proizvode učinke unutar EU
Ključna činjenica
AI Act se ne primjenjuje samo na razvijatelje AI sustava. Ako vaša tvrtka koristi bilo koji AI alat (od ChatGPT-a za korisničku podršku do algoritma za odabir kandidata), imate obveze prema ovoj Uredbi.
Pristup temeljen na riziku
AI Act uvodi pristup u četiri razine rizika: što je rizik veći, to su strože obveze:
| Razina rizika | Opis | Primjeri | Regulatorni pristup |
|---|---|---|---|
| Neprihvatljiv rizik | Prakse koje ugrožavaju temeljna prava | Socijalno bodovanje, masovno biometrijsko praćenje | Potpuna zabrana |
| Visok rizik | Sustavi u osjetljivim područjima | Zapošljavanje, kreditne odluke, medicinska dijagnostika | Stroge obveze prije stavljanja na tržište |
| Ograničen rizik | Sustavi koji izravno komuniciraju s ljudima |
Stručni savjet
Većina poduzeća koja koriste AI alate nalazit će se u kategoriji "ograničen rizik" s obvezama transparentnosti. Međutim, ako koristite AI za donošenje odluka o ljudima (zapošljavanje, kreditne odluke, pristup uslugama), gotovo sigurno spadate u visokorizičnu kategoriju s puno strožim zahtjevima.
Ključni datumi primjene
Uredba se primjenjuje postupno:
| Datum | Što stupa na snagu | Status |
|---|---|---|
| 1. kolovoza 2024. | Stupanje na snagu Uredbe | Provedeno |
| 2. veljače 2025. | Zabrana zabranjenih praksi UI (Poglavlje II) | Već na snazi |
| 2. kolovoza 2025. | Pravila o UI modelima opće namjene (Poglavlje V) | Nadolazeće |
| 2. kolovoza 2026. | Potpuna primjena za visokorizične UI sustave | U pripremi |
Ključni pokazatelji
2. veljače 2025.: Datum od kojeg su zabranjene prakse već kažnjive
€35M: Maksimalna kazna za zabranjene prakse
7%: Kazna kao postotak globalnog prometa za najteža kršenja
4: Razine rizika u regulatornom okviru
Zabranjene prakse umjetne inteligencije
Poglavlje II Uredbe definira prakse UI koje su strogo zabranjene jer se smatraju neprihvatljivim rizikom za temeljna prava. Ove zabrane već su na snazi od 2. veljače 2025.
Zabranjeno je:
-
Podsvjesna manipulacija: korištenje tehnika izvan svijesti osobe radi bitnog narušavanja ponašanja koje uzrokuje ili je vjerojatno da će uzrokovati značajnu štetu
-
Iskorištavanje ranjivosti: ciljano iskorištavanje ranjivosti osoba zbog dobi, invaliditeta ili specifične socijalne situacije
-
Socijalno bodovanje: vrednovanje fizičkih osoba na temelju društvenog ponašanja ili osobina ličnosti koje dovodi do štetnog ili nepovoljnog postupanja
-
Predviđanje kriminaliteta: procjena rizika da osoba počini kazneno djelo isključivo na temelju profiliranja ili osobina ličnosti
-
Masovno prikupljanje biometrijskih podataka: neselektivno prikupljanje slika lica s interneta ili nadzornih snimaka za baze za prepoznavanje lica
-
Prepoznavanje emocija: na radnom mjestu ili u obrazovnim ustanovama (uz iznimke za medicinske i sigurnosne svrhe)
-
Biometrijska kategorizacija: za izvođenje zaključaka o rasi, političkim stavovima, sindikalnom članstvu, vjerskim uvjerenjima ili seksualnoj orijentaciji
-
na javnim mjestima za potrebe kaznenog progona (uz stroge, usko definirane iznimke)
Upozorenje
Ove zabrane već vrijede. Ako vaša organizacija koristi bilo koji AI sustav koji bi mogao spadati u navedene kategorije (primjerice, alat za prepoznavanje emocija zaposlenika ili sustav za biometrijsku kategorizaciju), potrebna je hitna revizija i prilagodba.
Visokorizični sustavi UI
Poglavlje III definira visokorizične sustave UI i detaljne obveze za njihove pružatelje i korisnike.
Koja područja su obuhvaćena?
| Područje | Primjeri visokorizičnih sustava |
|---|---|
| Biometrija | Daljinska biometrijska identifikacija, kategorizacija osoba |
| Kritična infrastruktura | Upravljanje prometom, opskrba vodom, plinom, električnom energijom |
| Obrazovanje | Pristup obrazovnim ustanovama, ocjenjivanje učenika, proctoring |
| Zapošljavanje | Odabir kandidata, praćenje i ocjenjivanje radnog učinka |
| Pristup uslugama | Kreditna sposobnost, hitne službe, zdravstveno osiguranje |
| Kazneni progon | Procjena rizika za žrtve, poligrafi, procjena dokaza |
8 obveza za pružatelje visokorizičnih sustava
- Sustav upravljanja rizicima: identificirati, analizirati, procijeniti i ublažiti rizike
- Upravljanje podacima: osigurati kvalitetu, reprezentativnost i relevantnost podataka za učenje
- Tehnička dokumentacija: detaljno dokumentirati sustav prije stavljanja na tržište
- Vođenje evidencije: automatsko bilježenje svih relevantnih događaja (log zapisnici)
- Transparentnost: pružiti jasne, razumljive informacije korisnicima
- Ljudski nadzor: omogućiti učinkovit nadzor od strane kvalificiranih osoba
- Točnost i robusnost: osigurati prikladnu razinu točnosti i kibernetičke sigurnosti
- Registracija: registrirati sustav u javnoj bazi podataka EU prije stavljanja na tržište
Stručni savjet
Ako koristite AI za odabir kandidata pri zapošljavanju ili procjenu kreditne sposobnosti, to su klasični visokorizični sustavi. Čak i ako koristite tuđi alat (npr. SaaS rješenje), kao korisnik imate obveze osigurati ljudski nadzor, transparentnost prema pogođenim osobama i praćenje rada sustava.
UI modeli opće namjene
Poglavlje V uređuje UI modele opće namjene, poput velikih jezičnih modela (GPT, Claude, Gemini i slični).
Obveze pružatelja modela opće namjene
- Izraditi i ažurirati tehničku dokumentaciju
- Pružiti informacije pružateljima UI sustava koji koriste model
- Uspostaviti politiku poštivanja autorskih prava
- Objaviti sažetak sadržaja korištenog za učenje modela
Modeli sa sistemskim rizikom
Modeli s vrlo velikim računalnim kapacitetom (više od 10^25 FLOP) smatraju se modelima sa sistemskim rizikom i imaju dodatne obveze:
- Procjena modela prema standardiziranim protokolima
- Procjena i ublažavanje sistemskih rizika
- Praćenje i prijava ozbiljnih incidenata Europskom uredu za UI
- Osiguranje odgovarajuće razine kibernetičke zaštite
Obveze transparentnosti
Članak 50. propisuje obveze transparentnosti za određene UI sustave, neovisno o razini rizika:
| Tip sustava | Obveza |
|---|---|
| Sustavi koji komuniciraju s osobama | Korisnici moraju znati da komuniciraju s UI (osim kad je očito) |
| Sustavi koji generiraju sintetički sadržaj | Izlazni podaci moraju biti strojno čitljivo označeni kao AI-generirani |
| Sustavi za prepoznavanje emocija | Pogođene osobe moraju biti obaviještene o radu sustava |
| Deepfake sustavi | Sadržaj mora biti označen kao umjetno generiran ili manipuliran |
Važno
Ako vaša tvrtka koristi chatbot za korisničku podršku pokretan AI-jem, korisnici moraju biti jasno obaviješteni da komuniciraju s automatiziranim sustavom. Skrivanje AI interakcije krši Uredbu.
Kazne i sankcije
AI Act uvodi trostupanjski sustav kazni:
| Vrsta kršenja | Maksimalna kazna | Alternativa (% prometa) |
|---|---|---|
| Zabranjene prakse | €35 milijuna | 7% globalnog godišnjeg prometa |
| Visokorizični sustavi | €15 milijuna | 3% globalnog godišnjeg prometa |
| Netočne informacije | €7,5 milijuna | 1% globalnog godišnjeg prometa |
Za mala i srednja poduzeća primjenjuju se niži iznosi. Uvijek se uzima manji od dva navedena praga.
Ključna statistika
Kazna od 35 milijuna EUR ili 7% prometa za zabranjene prakse značajno nadilazi čak i GDPR-ove maksimalne kazne (20M EUR / 4%). EU ovim jasno signalizira da uzima regulaciju AI izuzetno ozbiljno.
Kako postići usklađenost
Korak 1: Provedite inventuru UI sustava
Identificirajte sve UI sustave koje vaša organizacija razvija, koristi ili nabavlja:
- Što sustav radi i koja mu je namjena?
- Tko su krajnji korisnici i pogođene osobe?
- Koja područja i sektore obuhvaća?
- Koji podaci se koriste za učenje i rad?
Korak 2: Klasificirajte prema razini rizika
Za svaki identificirani sustav odredite kategoriju:
- Zabranjeno → Odmah prekinuti korištenje
- Visok rizik → Primijeniti sve obveze iz Poglavlja III
- Ograničen rizik → Primijeniti obveze transparentnosti (čl. 50)
- Minimalan rizik → Dobrovoljne mjere i kodeksi ponašanja
Korak 3: Pripremite dokumentaciju
Za visokorizične sustave:
- Tehnička dokumentacija prema članku 11.
- Zapisnici o radu sustava prema članku 12.
- Upute za korisnike prema članku 13.
- Izjava o sukladnosti EU prema članku 47.
Korak 4: Uspostavite ljudski nadzor
- Imenujte odgovorne osobe za nadzor svakog visokorizičnog sustava
- Definirajte procedure za intervenciju i prekid rada
- Osigurajte tehničku mogućnost prekida u svakom trenutku
- Dokumentirajte sve ljudske intervencije i njihove razloge
Korak 5: Registrirajte sustave i pratite promjene
- Registrirajte visokorizične sustave u javnoj bazi podataka EU (čl. 71)
- Uspostavite kontinuirano praćenje rada sustava nakon puštanja u rad
- Pratite ažuriranja Uredbe, delegiranih akata i smjernica Europskog ureda za UI
Nadležna tijela u Hrvatskoj
Hrvatska mora odrediti nacionalna nadležna tijela za provedbu Akta o umjetnoj inteligenciji:
| Uloga | Očekivano tijelo | Status |
|---|---|---|
| Tijelo za nadzor tržišta | U postupku određivanja | Koordinacija s postojećim regulatorima |
| Tijelo za prijavljivanje | U postupku određivanja | Za ocjenjivanje tijela za ocjenjivanje sukladnosti |
| Nacionalna kontaktna točka | U postupku određivanja | Koordinacija s Europskim uredom za UI |
Očekuje se suradnja s: AZOP (za pitanja osobnih podataka u AI sustavima), HAKOM (za telekomunikacijski sektor), ZSIS (za kibernetičku sigurnost AI sustava).
AI Act i GDPR
Ove dvije uredbe se nadopunjuju i često primjenjuju istovremeno:
| Aspekt | AI Act | GDPR |
|---|---|---|
| Fokus | Regulacija samih UI sustava | Zaštita osobnih podataka |
| Opseg | Pružatelji i korisnici UI sustava | Svi koji obrađuju osobne podatke |
| Nadzorno tijelo (HR) | U postupku određivanja | AZOP |
| Primjena | Ako sustav koristi AI tehnologiju | Ako sustav obrađuje osobne podatke |
Stručni savjet
Ako vaš AI sustav obrađuje osobne podatke (a većina ih obrađuje), primjenjuju se oba propisa istovremeno. To znači da uz AI Act obveze morate osigurati i GDPR usklađenost: pravnu osnovu za obradu, transparentnost, prava ispitanika i potencijalno procjenu učinka na zaštitu podataka (DPIA).
Česta pitanja
Na koga se odnosi EU AI Act?
AI Act se odnosi na pružatelje i korisnike AI sustava na tržištu EU, neovisno o sjedištu. Obveze ovise o razini rizika sustava. Najviše obveza nose visokorizični sustavi. Provjerite razinu rizika.
Otkad se primjenjuje AI Act?
AI Act stupio je na snagu 2024., a obveze se uvode postupno do 2026. i 2027. Zabrane nedopuštenih praksi i pravila za sustave opće namjene primjenjuju se prvi. Priprema počinje sada.
Što ako koristimo AI alate drugih dobavljača?
I korisnici imaju obveze: nadzor čovjeka, transparentnost i primjerenu uporabu. Odgovornost se dijeli s pružateljem. Inventar AI sustava prvi je korak. Popišite svoje AI sustave.
Primjenjuje li se AI Act na moje poduzeće?
Ako razvijate, stavljate na tržište ili koristite bilo koji UI sustav u EU, da. Uredba se primjenjuje i na pružatelje i na korisnike UI sustava.
Što ako koristim tuđi AI sustav (npr. ChatGPT, Copilot)?
Kao korisnik imate obveze: korištenje u skladu s uputama pružatelja, ljudski nadzor za visokorizične primjene i obveze transparentnosti prema krajnjim korisnicima.
Koje su kazne za neusklađenost?
Do €35M ili 7% prometa za zabranjene prakse, €15M ili 3% za visokorizične sustave, €7,5M ili 1% za netočne informacije. Za MSP primjenjuju se niži pragovi.
Koji je službeni naziv na hrvatskom?
Akt o umjetnoj inteligenciji, puni naziv: Uredba (EU) 2024/1689 Europskog parlamenta i Vijeća od 13. lipnja 2024. o utvrđivanju usklađenih pravila o umjetnoj inteligenciji.
Kako se AI Act odnosi na GDPR?
Nadopunjuju se. Ako AI sustav obrađuje osobne podatke, primjenjuju se oba propisa. GDPR štiti podatke, AI Act regulira sam sustav.
Tko će provoditi nadzor u Hrvatskoj?
Nadležna tijela još se određuju. Očekuje se koordinacija između AZOP-a, HAKOM-a i ZSIS-a, uz novu ulogu nacionalne kontaktne točke za Europski ured za UI.
Zaključak
Akt o umjetnoj inteligenciji donosi najtemeljitije promjene u regulaciji tehnologije od donošenja GDPR-a. Za hrvatska poduzeća, bez obzira razvijaju li vlastite AI sustave ili koriste tuđe, razumijevanje i usklađivanje s ovom Uredbom postaje hitni prioritet.
Strateški zaključci za 2026.
- Zabrane su već na snazi. Od 2. veljače 2025. zabranjene prakse su kažnjive. Revidirajte postojeće AI sustave odmah.
- Korisnici nisu izuzeti. Čak i ako samo koristite tuđi AI alat, imate regulatorne obveze.
- Inventura je prvi korak. Bez popisa svih AI sustava u organizaciji nemoguće je procijeniti rizike i obveze.
- Ljudski nadzor je obvezan. Za visokorizične sustave potrebna je kvalificirana osoba s ovlastima za intervenciju.
- AI Act + GDPR = dvostruka usklađenost. Većina AI sustava obrađuje osobne podatke. Planirajte usklađenost s oba propisa paralelno.
Povezani članci
- Što je GDPR? Kompletni vodič za 2026.: Temelji zaštite osobnih podataka u AI sustavima
- DPIA: Procjena učinka na zaštitu podataka: Obvezna procjena za visokorizične AI sustave
Trebate pomoć s AI Act usklađivanjem?
Vision Compliance nudi stručnu podršku za pripremu na Akt o umjetnoj inteligenciji:
- Klasifikacija AI sustava: Inventura i procjena razine rizika
- Izrada dokumentacije: Tehnička dokumentacija, zapisi i izjave o sukladnosti
- Uspostava ljudskog nadzora: Procedure, imenovanja i obuka odgovornih osoba
- GDPR + AI Act usklađenost: Integrirana procjena za sustave koji obrađuju osobne podatke
Zakažite besplatne konzultacije →
Izvori:
Robert savjetuje organizacije o GDPR-u, NIS2, EU AI Actu i financijskoj regulativi, isporučuje dokumentaciju spremnu za reviziju i programe usklađenosti u reguliranim industrijama.