Akt o umjetnoj inteligenciji (AI Act): vodič za hrvatska poduzeća

Akt o umjetnoj inteligenciji (Uredba EU 2024/1689) prvi je sveobuhvatni zakon o umjetnoj inteligenciji na svijetu. Ova europska uredba utvrđuje pravila za razvoj, stavljanje na tržište i korištenje sustava umjetne inteligencije u cijeloj Europskoj uniji, uključujući Hrvatsku.

Što je Akt o umjetnoj inteligenciji?

Uredba (EU) 2024/1689 Europskog parlamenta i Vijeća od 13. lipnja 2024. o utvrđivanju usklađenih pravila o umjetnoj inteligenciji, poznatija kao Akt o umjetnoj inteligenciji (AI Act), službeno je objavljena u Službenom listu Europske unije 12. srpnja 2024. godine.

Što Uredba uređuje?

Prema članku 1. Uredbe, njezin je cilj:

1. Poboljšati funkcioniranje unutarnjeg tržišta utvrđivanjem ujednačenog pravnog okvira za UI sustave
2. Promicati prihvaćanje antropocentrične i pouzdane umjetne inteligencije
3. Jamčiti visoku razinu zaštite zdravlja, sigurnosti i temeljnih prava
4. Zaštititi demokraciju, vladavinu prava i okoliš

Što je sustav umjetne inteligencije?

Prema službenoj definiciji iz članka 3. Uredbe:

„Sustav UI" znači strojni sustav koji je dizajniran za rad s različitim razinama autonomije, koji nakon uvođenja može pokazivati prilagodljivost te koji za eksplicitne ili implicitne ciljeve na temelju ulaznih podataka zaključuje kako generirati izlazne podatke kao što su predviđanja, sadržaj, preporuke ili odluke koje mogu utjecati na fizička ili virtualna okruženja.

Ključni datumi primjene

Uredba se primjenjuje postupno:

Datum	Što stupa na snagu
1. kolovoza 2024.	Stupanje na snagu Uredbe
2. veljače 2025.	Zabrana zabranjenih praksi UI (Poglavlje II)
2. kolovoza 2025.	Pravila o UI modelima opće namjene (Poglavlje V)
2. kolovoza 2026.	Potpuna primjena za visokorizične UI sustave
2. kolovoza 2027.	Primjena za određene visokorizične sustave (Prilog I)

Zabranjene prakse umjetne inteligencije

Poglavlje II Uredbe definira prakse UI koje su strogo zabranjene jer se smatraju neprihvatljivim rizikom za temeljna prava građana.

Zabranjeno je:

1. Podsvjesna manipulacija - korištenje tehnika izvan svijesti osobe radi bitnog narušavanja njezinog ponašanja

2. Iskorištavanje ranjivosti - ciljano iskorištavanje ranjivosti osoba zbog dobi, invaliditeta ili socijalne situacije

3. Socijalno bodovanje - vrednovanje fizičkih osoba na temelju društvenog ponašanja koje dovodi do štetnog postupanja

4. Predviđanje kriminaliteta - procjena rizika da osoba počini kazneno djelo isključivo na temelju profiliranja ili osobina ličnosti

5. Masovno prikupljanje biometrijskih podataka - neselektivno prikupljanje slika lica s interneta ili nadzornih snimaka za baze za prepoznavanje lica

6. Prepoznavanje emocija - na radnom mjestu ili u obrazovnim ustanovama (uz iznimke za medicinske svrhe)

7. Biometrijska kategorizacija - za izvođenje zaključaka o rasi, političkim stavovima, sindikalnom članstvu, vjerskim uvjerenjima ili seksualnoj orijentaciji

8. Biometrijska identifikacija u stvarnom vremenu - na javnim mjestima za potrebe kaznenog progona (uz stroge iznimke)

Kazne za zabranjene prakse:

Do 35 milijuna EUR ili 7% ukupnog godišnjeg prometa na svjetskoj razini (ovisno o tome što je veće).

Visokorizični sustavi UI

Poglavlje III definira visokorizične sustave UI i obveze za njihove pružatelje.

Koji sustavi su visokorizični?

Sustav UI smatra se visokorizičnim ako je:

A) Sastavni dio proizvoda obuhvaćenog EU zakonodavstvom o sigurnosti (Prilog I):

• Strojevi
• Igračke
• Plovila za rekreaciju
• Dizala
• Medicinski proizvodi
• Vozila

B) Samostalni sustav u osjetljivim područjima (Prilog III):

Područje	Primjeri
Biometrija	Daljinska biometrijska identifikacija, kategorizacija
Kritična infrastruktura	Upravljanje prometom, opskrba vodom, plinom, elektrikom
Obrazovanje	Pristup obrazovnim ustanovama, ocjenjivanje učenika
Zapošljavanje	Odabir kandidata, praćenje i ocjenjivanje radnika
Pristup uslugama	Kreditna sposobnost, hitne službe, zdravstveno osiguranje
Kazneni progon	Procjena rizika za žrtve, poligrafi, procjena dokaza
Migracije	Procjena zahtjeva za azil, otkrivanje krivotvorenih isprava
Pravosuđe	Istraživanje činjenica, primjena prava na konkretne slučajeve
Demokratski procesi	Utjecaj na rezultate izbora, glasačko ponašanje

Obveze pružatelja visokorizičnih sustava:

1. Sustav upravljanja rizicima - identificirati, analizirati i procijeniti rizike
2. Upravljanje podacima - osigurati kvalitetu podataka za učenje i testiranje
3. Tehnička dokumentacija - detaljno dokumentirati sustav prije stavljanja na tržište
4. Vođenje evidencije - automatsko bilježenje događaja (zapisnici)
5. Transparentnost - pružiti jasne informacije korisnicima
6. Ljudski nadzor - omogućiti učinkovit nadzor od strane fizičkih osoba
7. Točnost i robusnost - osigurati prikladnu razinu točnosti i kibernetičke sigurnosti
8. Registracija - registrirati sustav u bazi podataka EU prije stavljanja na tržište

Kazne za visokorizične sustave:

Do 15 milijuna EUR ili 3% godišnjeg prometa za nepoštivanje obveza.

UI modeli opće namjene

Poglavlje V uređuje UI modele opće namjene (npr. veliki jezični modeli poput GPT-a).

Obveze pružatelja:

• Izraditi i ažurirati tehničku dokumentaciju
• Pružiti informacije pružateljima UI sustava koji koriste model
• Uspostaviti politiku poštivanja autorskih prava
• Objaviti sažetak sadržaja korištenog za učenje

Modeli sa sistemskim rizikom:

Modeli s vrlo velikim računalnim kapacitetom (više od 10^25 FLOP) smatraju se modelima sa sistemskim rizikom i imaju dodatne obveze:

• Procjena modela prema standardiziranim protokolima
• Procjena i ublažavanje sistemskih rizika
• Praćenje i prijava ozbiljnih incidenata
• Osiguranje odgovarajuće razine kibernetičke zaštite

Obveze transparentnosti

Članak 50. propisuje obveze transparentnosti za određene UI sustave:

Sustavi koji izravno komuniciraju s osobama:

• Korisnici moraju biti obaviješteni da komuniciraju s UI sustavom (osim ako je to očito)

Sustavi koji generiraju sintetički sadržaj:

• Izlazni podaci moraju biti strojno čitljivo označeni kao umjetno generirani
• Odnosi se na: tekst, audio, slike, video

Sustavi za prepoznavanje emocija ili biometrijsku kategorizaciju:

• Osobe izložene sustavu moraju biti obaviještene o njegovom radu

Kako postići usklađenost?

1. Provedite inventuru UI sustava

Identificirajte sve UI sustave koje koristite ili razvijate:

• Što sustav radi?
• Tko su korisnici?
• Koja područja obuhvaća?
• Koji podaci se koriste?

2. Klasificirajte prema riziku

Za svaki sustav odredite kategoriju:

• Zabranjeno → Odmah prekinuti korištenje
• Visok rizik → Primijeniti sve obveze iz Poglavlja III
• Ograničen rizik → Primijeniti obveze transparentnosti
• Minimalan rizik → Dobrovoljne mjere

3. Pripremite dokumentaciju

Za visokorizične sustave:

• Tehnička dokumentacija (članak 11.)
• Zapisnici o radu (članak 12.)
• Upute za korisnike (članak 13.)
• Izjava o sukladnosti EU (članak 47.)

4. Uspostavite ljudski nadzor

• Imenujte odgovorne osobe
• Definirajte procedure za intervenciju
• Osigurajte mogućnost prekida rada sustava
• Dokumentirajte sve intervencije

5. Registrirajte sustave

Visokorizični sustavi moraju biti registrirani u javnoj bazi podataka EU:

• Baza podataka EU za samostalne visokorizične sustave (članak 71.)
• Registracija prije stavljanja na tržište

Nadležna tijela u Hrvatskoj

Hrvatska mora odrediti nacionalna nadležna tijela za provedbu Uredbe:

Uloga	Status
Tijelo za nadzor tržišta	U postupku određivanja
Tijelo za prijavljivanje	U postupku određivanja
Nacionalna kontaktna točka	U postupku određivanja

Očekuje se koordinacija s postojećim regulatorima: AZOP, HAKOM, Zavod za sigurnost informacijskih sustava.

FAQ: Često postavljana pitanja

Koji je službeni naziv propisa na hrvatskom?

Akt o umjetnoj inteligenciji ili puni naziv: Uredba (EU) 2024/1689 Europskog parlamenta i Vijeća od 13. lipnja 2024. o utvrđivanju usklađenih pravila o umjetnoj inteligenciji.

Primjenjuje li se Uredba na moje poduzeće?

Uredba se primjenjuje na:

• Pružatelje koji stavljaju UI sustave na tržište EU
• Korisnike UI sustava u EU
• Pružatelje i korisnike izvan EU čiji sustavi proizvode učinke u EU

Što ako koristim tuđi UI sustav (npr. ChatGPT)?

Kao korisnik imate obveze prema Uredbi, uključujući:

• Korištenje sustava u skladu s uputama
• Ljudski nadzor za visokorizične sustave
• Obveze transparentnosti prema korisnicima

Koje su kazne za neusklađenost?

Vrsta kršenja	Maksimalna kazna
Zabranjene prakse	35 mil. EUR ili 7% prometa
Visokorizični sustavi	15 mil. EUR ili 3% prometa
Netočne informacije	7,5 mil. EUR ili 1% prometa

Za mala i srednja poduzeća primjenjuju se niži iznosi.

Kako se AI Act odnosi na GDPR?

Ove dvije uredbe se nadopunjuju:

• GDPR štiti osobne podatke
• AI Act regulira same sustave UI
• Ako UI sustav obrađuje osobne podatke, primjenjuju se oba propisa

Korisni izvori

• EUR-Lex (službeni tekst): Uredba EU 2024/1689
• Europska komisija: Akt o umjetnoj inteligenciji
• EDPB smjernice: Umjetna inteligencija i zaštita podataka

Zaključak

Akt o umjetnoj inteligenciji donosi temeljite promjene u načinu razvoja i korištenja UI sustava u Europi. Za hrvatska poduzeća ključno je:

1. Provesti analizu postojećih UI sustava
2. Klasificirati rizike prema kategorijama Uredbe
3. Pripremiti dokumentaciju za visokorizične sustave
4. Uspostaviti ljudski nadzor i procedure
5. Pratiti razvoj nacionalnog okvira provedbe

Povezani članci

• GDPR vodič za Hrvatsku - Zaštita podataka zahtjevi za AI sustave
• EU Compliance Playbook za non-EU SaaS - Posebna razmatranja za međunarodne organizacije

Stručna pomoć

Trebate pomoć s usklađivanjem?

Vision Compliance nudi stručnu podršku u pripremi za AI Act - od klasifikacije sustava do izrade tehničke dokumentacije i uspostave procedura upravljanja.

• Usklađenost umjetne inteligencije usluge - EU AI Act usklađenost podrška
• Zaštita podataka usluge - GDPR usklađenost za AI sustave
• Zakažite besplatne konzultacije

---

Izvor: EUR-Lex, Uredba (EU) 2024/1689 Europskog parlamenta i Vijeća od 13. lipnja 2024.