Zatraži ponudu
Javite nam se

Nazovite nas +385 95 1234 098
ili nam pišite na ured@presido.hr

Početna Blog Rokovi i izazovi provedbe AI Akta

Rokovi provedbe AI Akta

Svi članci
10.07.2025.

Dok Akt o umjetnoj inteligenciji (AI Act) prelazi iz usvojenog teksta u fazu provedbe, prva polovica 2025. donijela je niz značajnih događaja. To uključuje ažuriranja vremenskog okvira provedbe, konačno objavljivanje Kodeksa prakse za modele umjetne inteligencije opće namjene (GPAI) i javne konzultacije o visokorizičnim AI sustavima. Iako se postiže napredak, put do pune provedbe ostaje složen i sve su veći pozivi za pauzu u provedbi Akta o umjetnoj inteligenciji.

Vremenski okvir provedbe: ključne prekretnice i novi izazovi

Akt o umjetnoj inteligenciji, koji je na snazi ​​od kolovoza 2024., prvi je sveobuhvatni pravni okvir za umjetnu inteligenciju na svijetu.

Kategorizira AI sustave prema riziku i nameće odgovarajuće obveze, s pojačanim zahtjevima za visokorizične i GPAI sustave. Nedavni izvještaj Istraživačke službe Europskog parlamenta (EPRS) ocrtava faznu provedbu:

  • Veljača 2025.: Stupile su na snagu zabrane određenih sustava umjetne inteligencije i zahtjevi za pismenost u području umjetne inteligencije
  • Svibanj 2025.: Rok za Europsku komisiju da objavi Kodekse prakse za GPAI modele
  • Kolovoz 2025.: Počinju se primjenjivati ​​obveze pružatelja GPAI-ja, upravljačke strukture i kazne
  • Kolovoz 2026.: Potpuna primjena preostalih odredbi Akta o umjetnoj inteligenciji
  • Kolovoz 2027.: Primjena pravila klasifikacije za visokorizične sustave

Unatoč ovom strukturiranom vremenskom okviru, provedba nailazi na kašnjenja.

Komisija je naznačila da bi se neki ključni rezultati mogli odgoditi, što postavlja pitanja o spremnosti za provedbu i pravnoj jasnoći.

Jedno od spornijih pitanja je kašnjenje u Kodeksu prakse za GPAI modele. Kodeks, koji je objavljen dva mjeseca nakon predviđenog roka, namijenjen je ponuditi dobrovoljne, ali utjecajne smjernice za razvojne programere.

Kodeks je osmišljen kako bi pomogao industriji da se uskladi s pravilima propisa o umjetnoj inteligenciji opće namjene, koji stupa na snagu 2. kolovoza 2025.

Pravila postaju provediva od strane Ureda za umjetnu inteligenciju Komisije godinu dana kasnije za nove modele i dvije godine kasnije za postojeće modele. Cilj je osigurati da su modeli umjetne inteligencije opće namjene stavljeni na europsko tržište - uključujući i one najmoćnije - sigurni i transparentni.

Kodeks se sastoji od tri poglavlja: Transparentnost i Autorska prava, koja se odnose na sve pružatelje općenitih modela umjetne inteligencije, te  Sigurnost i zaštita, koja su relevantna samo za ograničen broj pružatelja najnaprednijih modela.

Nakon što države članice i Komisija odobre Kodeks, pružatelji modela umjetne inteligencije opće namjene koji dobrovoljno potpišu Kodeks moći će dokazati usklađenost s relevantnim obvezama Zakona o umjetnoj inteligenciji pridržavajući se Kodeksa. Pritom će potpisnici Kodeksa imati koristi od smanjenog administrativnog opterećenja i veće pravne sigurnosti u usporedbi s pružateljima koji usklađenost dokazuju na druge načine. Za sada je Meta jedina velika tehnološka tvrtka koja se izjasnila da neće potpisati Kodeks.

Izvješća sugeriraju da je kašnjenje bilo posljedica različitih stavova među dionicima u vezi s opsegom i provedivošću Kodeksa. Dok se neki zalažu za fleksibilniji pristup, drugi su pozivali na jače zaštitne mjere, posebno u područjima kao što su transparentnost, upravljanje podacima i sistemski rizik.

Regulatorna fleksibilnost?

Dodatno, već složenom procesu provedbe, nedavni signali iz Bruxellesa sugeriraju da bi Komisija mogla biti otvorena za ponovno razmatranje ili ublažavanje određenih aspekata Akta o umjetnoj inteligenciji kako bi podržala inovacije i konkurentnost, pri čemu američka administracija potiče EU da ublaži regulatorna opterećenja.

Što nas očekuje?

Druga polovica 2025. bit će ključna za određivanje putanje Akta o umjetnoj inteligenciji. Ključni događaji koje treba pratiti uključuju:

  • Ishod konzultacija o visokorizičnoj umjetnoj inteligenciji i sve rezultirajuće smjernice
  • Pripreme država članica za rok provedbe u kolovozu 2025., uključujući imenovanje nacionalnih tijela i uspostavu mehanizama provedbe

Za poduzeća poruka ostaje jasna: unatoč kašnjenjima i tekućim raspravama, temeljne obveze Akta o umjetnoj inteligenciji ostaju. Organizacije koje razvijaju ili primjenjuju umjetnu inteligenciju u EU - posebno u područjima visokog rizika ili koje uključuju GPAI - trebale bi nastaviti procjenjivati ​​svoje strategije usklađenosti.

Veljača 2025. bio je početak regulatornog pomaka prema provedbi Akta o umjetnoj inteligenciji. Do kolovoza 2026. cijeli Akt stupit će na snagu. Ulog je visok za financijske institucije – 7 od 8 kategorija visokorizičnih sustava umjetne inteligencije identificiranih Aktom o umjetnoj inteligenciji uključuje obradu osobnih podataka. Drugim riječima, u više od 87% slučajeva koji uključuju visokorizični sustav umjetne inteligencije, usklađenost s GDPR-om bila bi nužna. Financijske institucije, koje redovno rukuju osjetljivim podacima klijenata, moraju poduzeti prve korake.

Pregled

Dok se GDPR primjenjuje samo na osobne podatke, Akt o umjetnoj inteligenciji pokriva razvoj, pružanje i korištenje sustava umjetne inteligencije te se stoga primjenjuje čak i ako se neosobni podaci obrađuju pomoću umjetne inteligencije.

Suprotno GDPR-u, koji se fokusira na obradu osobnih podataka i primjenjuje na voditelje i izvršitelje unutar EU ili koji posluju u EU, Akt o umjetnoj inteligenciji ima širi opseg regulirajući bilo koji sustav umjetne inteligencije koji se koristi ili utječe na pojedince u EU (čak i ako se ne obrađuju nikakvi osobni podaci). Stoga će sustavi umjetne inteligencije koji ne obrađuju osobne podatke ili koji obrađuju osobne podatke osoba izvan EU i dalje spadati u područje primjene Akta o umjetnoj inteligenciji, ali ne i GDPR-a. 

Organizacije će morati harmonizirati primjenu više propisa, zato što se neki preklapaju, posebno u pogledu čuvanja podataka i prava na zaborav, predrasuda i diskriminacije te procjene rizika. Stoga je koordinirani pristup upravljanju visokorizičnim sustavima ključan kako bi se osiguralo ispunjavanje obveza i za Akt o umjetnoj inteligenciji i za GDPR.

Preklapanja

1. Čuvanje podataka i pravo na zaborav

Mnoga AI rješenja pohranjuju podatke dulje vrijeme, na kraju ih koristeći kao dio svog strojnog učenja. Dugotrajno pohranjeni podaci povećavaju rizik od neovlaštenog pristupa (uključujući rizik od kibernetičkih napada) ili zlouporabe. To je također osporilo „pravo na zaborav“ ili pravo na brisanje podataka ispitanika prema GDPR-u. Organizacije bi trebale biti posebno svjesne sljedećeg:

Jasna komunikacija s korisnicima kada se njihovi podaci koriste za AI obuku i/ili predviđanje. U tom smislu, pravo pojedinaca na ograničenje obrade (članak 18. GDPR-a) i pravo pojedinca na prigovor (članak 21. GDPR-a).

Jasno brisanje/brisanje podataka (članak 17. GDPR-a) uvijek bi trebalo biti zajamčeno u tim slučajevima. Nadalje, voditelj bi trebao imati izričitu obvezu obavijestiti ispitanika o primjenjivim rokovima za prigovor, ograničenje, brisanje podataka itd.

2. Predrasude i diskriminacija

AI tehnologije postaju sve naprednije i mogu povezati podatke kako bi otkrile vrlo osjetljive korisničke podatke poput političkih stavova, seksualne orijentacije ili zdravstvenog stanja. Ove skrivene veze stvaraju rizike koji često ostaju nezapaženi, čak i za anonimizirane ili pseudonimizirane podatke koje umjetna inteligencija još uvijek može ponovno identificirati. Ako davatelj podataka nije svjestan toga, to može biti protivno pravu na ispravak (članak 16. GDPR-a), koji korisnicima omogućuje ispravljanje netočnih ili nepotpunih osobnih podataka, ali i protivno GDPR-u u vezi s osjetljivim osobnim podacima (koji otkrivaju rasno ili etničko podrijetlo, političko mišljenje, vjerska ili filozofska uvjerenja ili članstvo u sindikatu), što je strogo zabranjeno (članak 9. GDPR-a).

Temeljita procjena rizika, uključujući DPIA-e kako bi se uključio rizik specifičan za umjetnu inteligenciju, može spriječiti te rizike.

3. Procjena rizika: DPIA-e i procjene sukladnosti

Procjene učinka na zaštitu podataka (DPIA-e) potrebne su prema GDPR-u (članak 35.). To posebno uključuje obradu podataka koja vjerojatno predstavlja visok rizik za prava i slobode pojedinaca, posebno u vezi s osjetljivim osobnim podacima. Akt o umjetnoj inteligenciji ima sličan koncept: Procjene sukladnosti (članak 43. Akta o umjetnoj inteligenciji). Potonje se fokusira na visokorizične AI sustave (kao što su, na primjer, alati za zapošljavanje pokretani AI-om ili korištenje AI-a za profiliranje i automatizaciju pristupa financijskim proizvodima i uslugama), procjenjujući rizike za temeljna ljudska prava, uključujući privatnost i nediskriminaciju.

AI platforme mogu uključivati suradnju između više strana ili koristiti alate i usluge trećih strana što povećava rizik od neovlaštenog pristupa i/ili zlouporabe podataka. Organizacije moraju obratiti posebnu pozornost na osjetljive i osobne podatke koji se prenose izvan EU-a ili u jurisdikcije s različitim propisima o privatnosti.

Prvi koraci za organizacije mogu biti integracija DPIA-a u procjene sukladnosti kako bi se riješili preklapajući zahtjevi, uspostavljanje periodičnih pregleda i dijalog između službenika za zaštitu podataka, timova za usklađenost i timova za razvoj umjetne inteligencije.

Revizija umjetne inteligencije

Čak i ako revizije umjetne inteligencije nisu obvezne prema Aktu o umjetnoj inteligenciji, one mogu dodati vrijednost razumijevanju jesu li ciljevi usklađenosti ispunjeni. Vanjska perspektiva na vaše mjere rizika može vam dati potencijalna poboljšanja i jamstvo u vezi s vašim DPIA-ima.

I što vam ostaje, uskladiti se kako bi ulog bio veći od kazne i rizika koje preuzimate.

Imate pitanja? Kontaktirajte nas!
Odgovaramo u najbržem mogućem roku.

Pročitajte još i ...
Hitna nezakonito slala zahtjeve za donaciju
Napredni seminar za službenike za zaštitu osobnih podataka 4. stupanj
Smjernice za provedbu samoprocjene kibernetičke sigurnosti
Prikaži sve članke
Newsletter
Prijavi se i ostvari eksluzivan pristup novostima iz svijeta GDPR-a.

Presido d.o.o. prikuplja vaše osobne podatke kada pristupite stranici www.presido.hr. Vaša privatnost i osobni podaci su nam bitni te vas stoga obavještavamo da upotrebljavamo kolačiće kako bi vam osigurali bolje korisničko iskustvo i funkcionalnost korištenja stranice.

Više informacija o kolačićima možete pronaći ovdje

Posebno napominjemo kako koristimo kolačiće multimedijskog sadržaja kako bi se mogle očitati neke od naših besplatnih edukacija, video lekcija ili seminara koje vam pružamo radi usavršavanja vaših znanja i kompetencija.

Vaša prava kao ispitanika su pravo na pristup, pravo na brisanje, pravo na ispravak, pravo na prigovor, pravo na prenosivost te pravo na ograničenje obrade. Privolu u bilo kojem trenutku možete povući.

Zahtjeve za ostvarivanjem prava možete poslati na ured@presido.hr. Uvijek smo vam na raspolaganju. 

Shvaćam

Zatvori

Presido d.o.o. prikuplja vaše osobne podatke kada pristupite stranici www.presido.hr. Vaša privatnost i osobni podaci su nam bitni te vas stoga obavještavamo da upotrebljavamo kolačiće kako bi vam osigurali bolje korisničko iskustvo i funkcionalnost korištenja stranice.

Više informacija o kolačićima možete pronaći ovdje

Posebno napominjemo kako koristimo kolačiće multimedijskog sadržaja kako bi se mogle očitati neke od naših besplatnih edukacija, video lekcija ili seminara koje vam pružamo radi usavršavanja vaših znanja i kompetencija.

Vaša prava kao ispitanika su pravo na pristup, pravo na brisanje, pravo na ispravak, pravo na prigovor, pravo na prenosivost te pravo na ograničenje obrade. Privolu u bilo kojem trenutku možete povući.

Zahtjeve za ostvarivanjem prava možete poslati na ured@presido.hr. Uvijek smo vam na raspolaganju.