Mario Mikić-Vučak 14. svibnja 2026.

EU usporava dio AI regulacije: što odgoda znači za tvrtke koje već koriste generativnu AI

EU usporava dio AI regulacije: što odgoda znači za tvrtke koje već koriste generativnu AI

EU AI Act dobiva novi tempo

Europska unija je početkom svibnja 2026. tiho, ali značajno promijenila dinamiku uvođenja najstrožih pravila za umjetnu inteligenciju. Kroz tzv. „digitalni omnibus” paket, Vijeće EU i Europski parlament dogovorili su pomicanje rokova za primjenu obveza na visokorizične AI sustave – one koji se koriste u zapošljavanju, obrazovanju, zdravstvu, financijskim uslugama ili kritičnoj infrastrukturi.

Umjesto početka pune primjene sredinom desetljeća, ključne obveze za visokorizične sustave sada se pomiču na kraj 2027. i tijekom 2028. godine. No, istovremeno je potvrđeno da se rokovi za generativne i tzv. foundation modele ne mijenjaju. Za njih regulacija ostaje na izvornoj putanji EU AI Acta, s početkom primjene već od 2026. i 2027.

Za europske tvrtke koje već koriste generativnu AI poruka je slojevita: dobivaju više vremena za formalno usklađivanje visokorizičnih primjena, ali obveze vezane uz velike jezične i multimodalne modele stižu praktički odmah.

Što se točno odgađa, a što ne?

Visokorizični AI sustavi dobivaju dodatni prostor

Visokorizični AI sustavi, prema EU AI Actu, obuhvaćaju alate koji mogu značajno utjecati na prava građana ili funkcioniranje društva. Primjeri uključuju:

  • automatizirano rangiranje kandidata u selekcijskim postupcima
  • AI sustave za procjenu kreditne sposobnosti i odobravanje kredita
  • algoritamsko odlučivanje u socijalnim naknadama ili osiguranju
  • AI u upravljanju kritičnom infrastrukturom (energetika, promet, zdravstvo)

Za takve sustave EU AI Act propisuje stroge zahtjeve: upravljanje rizicima, kvalitetu datasetova, ljudski nadzor, robusnost modela, vođenje tehničke dokumentacije i detaljne zapise o radu sustava. Upravo je primjena tih obveza pomaknuta na kasnije rokove, kako bi se javni sektor i industrija mogli pripremiti.

Generativni i foundation modeli ostaju pod ranijim rokovima

Sasvim je drugačija situacija za tzv. general-purpose AI (GPAI) i foundation modele – velike jezične i multimodalne modele koji se treniraju na općim datasetovima i zatim prilagođavaju za različite zadatke. Za njih EU nije napravila odgodu.

Pružatelji takvih modela, bilo da se radi o komercijalnim laboratorijima ili otvorenim projektima, morat će već od 2026./2027. ispunjavati niz obveza, među kojima se ističu:

  • transparentnost o korištenim trenirajućim podacima u mjeri u kojoj je to tehnički i pravno moguće
  • dokumentiranje arhitekture, glavnih parametara i namijenjenih područja primjene
  • procjena i ublažavanje sistemskih rizika (dezinformacije, masovna manipulacija, sigurnosni rizici)
  • tehničke mjere za poštovanje autorskih prava, uključujući označavanje generiranog sadržaja

To znači da će i korisnici LLM-ova u EU – čak i kada sami ne razvijaju visokorizične aplikacije – morati razumjeti na kojim se modelima njihov softver temelji i pod kojim uvjetima ih smiju koristiti.

Model-lanac: odgovornost više nije samo na „velikim laboratorijima”

Europska komisija paralelno pokušava pojednostaviti i uskladiti različite regulatorne režime. Cilj je izbjeći situaciju u kojoj se isti AI sustav mora istovremeno prilagođavati AI Actu, GDPR-u, sektorskim pravilima (npr. u financijama ili zdravstvu) i pravilima tržišnog natjecanja.

Poseban fokus stavlja se na AI usluge u oblaku i na ulogu velikih tehnoloških platformi koje kontroliraju pristup modelima. U praksi, većina europskih tvrtki generativnu AI koristi preko API-ja ili cloud platformi, a ne putem vlastitih modela treniranih od nule.

Regulatori zato sve više promatraju cijeli „model-lanac” (model chain):

  • tko je izvorni pružatelj foundation modela
  • tko ga hosta i izlaže kroz cloud ili gateway
  • tko ga integrira u poslovne procese (system integratori, SaaS dobavljači)
  • na koji način ga krajnji korisnici konfiguriraju, nadograđuju i koriste

Odgovornost se neće zaustaviti na razini laboratorija koji je trenirao model. Integratori i krajnji korisnici morat će pokazati da su razumjeli ograničenja modela, proveli osnovne procjene rizika i ugradili zaštitne mehanizme u svoje aplikacije.

Manje tvrtke: olakšanje, ali ne i „prazan prostor”

Za mala i srednja poduzeća odgoda rokova za visokorizične sustave svakako je olakšanje. Ona dobivaju dodatno vrijeme za razvoj internih politika, uspostavu AI governance struktura i ulaganja u stručnjake za usklađenost.

No to ne znači da su sljedeće dvije-tri godine „prazan prostor” bez nadzora. Nadzorna tijela već danas koriste postojeće okvire, prije svega GDPR, kako bi intervenirala u AI rješenja koja ugrožavaju privatnost ili transparentnost.

Primjeri iz prakse već uključuju:

  • kazne za korištenje AI alata za praćenje zaposlenika bez valjane pravne osnove
  • zabrane chatbotova koji masovno prikupljaju osobne podatke bez jasne obavijesti korisnicima
  • intervencije protiv automatskog profiliranja potrošača bez mogućnosti prigovora ili ljudskog pregleda

Tvrtke koje danas eksperimentiraju s generativnim chatbotovima, AI asistentima za korisničku podršku ili internim agentima za automatizaciju procesa moraju već sada ugraditi osnovne zaštite: evidenciju tokova podataka, kontrolu pristupa, jasne politike zadržavanja podataka i mogućnost objašnjavanja ključnih odluka.

Što konkretno znači „urediti generativnu AI”?

Inventura modela i dobavljača

Prvi korak za većinu organizacija je inventura: popis svih AI alata i modela koji se koriste, službeno i neslužbeno. To uključuje:

  • LLM-ove korištene kroz API-je (npr. za generiranje teksta, koda, analiza)
  • generativne modele za slike, video ili audio
  • interno trenirane modele temeljene na foundation modelima (fine-tuning, RAG sustavi)

Za svaki alat treba znati tko je pružatelj, gdje se podaci obrađuju, pod kojim se uvjetima model smije koristiti i koje se kategorije podataka unose (osobni, osjetljivi, poslovno povjerljivi).

Politike podataka i autorskih prava

EU AI Act i postojeća pravila o autorskim pravima stavljaju naglasak na to kako se generativni modeli treniraju i kako se koristi njihov izlaz. Tvrtke bi trebale:

  • ograničiti slanje osjetljivih osobnih podataka u vanjske modele, osim ako postoji jasna pravna osnova i adekvatni ugovorni aranžmani
  • definirati pravila za korištenje generiranog sadržaja (npr. u marketingu, kodiranju, dizajnu)
  • provjeriti kako dobavljač modela pristupa autorskim pravima – postoji li mehanizam za isključenje datasetova, označavanje sadržaja, poštovanje licenci

Za veće organizacije sve češće postaje standard uspostava internog „AI playbooka” – dokumenta koji definira koje su primjene dopuštene, koje zabranjene, a koje zahtijevaju dodatnu procjenu.

Transparentnost prema korisnicima i zaposlenicima

GDPR i AI Act naglašavaju pravo korisnika da znaju kada komuniciraju s AI sustavom, kao i pravo zaposlenika da budu informirani o automatiziranim obradama koje utječu na njihove radne uvjete.

Tvrtke koje uvode AI chatbotove, glasovne asistente ili automatsko odlučivanje trebale bi osigurati:

  • jasne oznake da se radi o AI sustavu, a ne ljudskoj osobi
  • informacije o svrsi obrade i osnovnim logikama odlučivanja
  • mogućnost kontakta s ljudskim operaterom ili prigovora na automatsku odluku

Dvije faze planiranja: od modela do visokorizičnih sustava

Nova dinamika EU AI Acta mijenja način planiranja AI projekata u Europi. Više se ne radi o jednostavnom „čekanju 2028.”, nego o faznom pristupu.

Faza 1 (2026.–2027.): fokus na generativne i foundation modele

U prvoj fazi, tijekom 2026. i 2027., ključni zadatak bit će razumjeti i urediti korištenje velikih jezičnih i multimodalnih modela. To uključuje:

  • mapiranje svih foundation modela i AI servisa koje organizacija koristi
  • procjenu rizika po privatnost, sigurnost i reputaciju
  • uspostavu minimalnih tehničkih i organizacijskih mjera (kontrola pristupa, logiranje, testiranje)
  • uređenje odnosa s dobavljačima u ugovorima (DPA, SLA, odgovornosti u slučaju incidenata)

Tvrtke koje se oslanjaju na vanjske API-je i cloud AI platforme morat će posebno obratiti pozornost na to kako se modeli ažuriraju, gdje se pohranjuju podaci i na koji način se rješavaju incidenti poput curenja podataka ili neželjenog ponašanja modela.

Faza 2 (kraj 2027.–2028.): formalizacija visokorizičnih sustava

Kako se približavaju rokovi za visokorizične AI sustave, drugi zadatak bit će formalizirati AI upravljanje na razini organizacije. To uključuje:

  • uspostavu registra svih AI sustava, s oznakom rizika i područja primjene
  • provođenje procjena učinka na temeljna prava (npr. u zapošljavanju, kreditiranju, obrazovanju)
  • definiranje jasnih uloga i odgovornosti (AI odgovorna osoba, odbor za etiku, linijski menadžeri)
  • uvođenje redovitih revizija modela, datasetova i performansi

Organizacije koje već sada krenu s inventurom svojih AI alata i mapiranjem rizika imat će prednost kada stroža pravila stupe na snagu. Ne samo regulatornu, nego i tržišnu: povjerenje korisnika i partnera postat će važan diferencijator.

Zaključak: manje panike, više sustavnosti

Odgoda rokova za visokorizične AI sustave smanjuje pritisak na europske tvrtke, ali ne uklanja potrebu za djelovanjem. Generativna i foundation AI ostaju u fokusu regulacije već od 2026./2027., a postojeći okviri poput GDPR-a već danas oblikuju granice prihvatljivog korištenja.

Ključ za sljedeće godine bit će sustavan pristup: prvo razumjeti na kojim se modelima poslovanje oslanja, zatim urediti podatke, ugovore i transparentnost, a potom izgraditi formalne strukture upravljanja za visokorizične primjene. Tvrtke koje taj put započnu sada, umjesto da čekaju zadnje rokove, lakše će se prilagoditi i iskoristiti potencijal generativne AI bez nepotrebnih pravnih i reputacijskih rizika.

Povezane objave

Natrag na vrh