EU AI Act Usklađenost 2026: Što Svaka Tvrtka Koja Koristi AI Mora Znati

EU AI Act — prvi sveobuhvatni pravni okvir za umjetnu inteligenciju na svijetu — stupio je na snagu u kolovozu 2024. godine, a njegove odredbe primjenjuju se postupno do 2026. i 2027. Ako vaša tvrtka koristi AI u bilo kakvom kontekstu koji se tiče korisnika ili donošenja odluka, gotovo sigurno ste obuhvaćeni propisom.

Ovaj post preskače pravni žargon i daje vam ono što vam stvarno treba: koja pravila se primjenjuju na vas, do kada, i što poduzeti.

Napomena: Ovo je praktični vodič, a ne pravni savjet. Za obvezujuće odluke o usklađenosti, konzultirajte kvalificiranog pravnika koji poznaje EU AI regulativu.

Četverostupanjski Okvir Rizika

EU AI Act klasificira AI sustave u četiri razine rizika. Vaše obveze rastu s razinom rizika.

Razina	Primjeri	Obveza
Neprihvatljiv	Socijalno bodovanje, biometrički nadzor u realnom vremenu na javnim mjestima, subliminalna manipulacija	Potpuna zabrana. Kazne do 35 milijuna € ili 7% globalnog prometa.
Visoki rizik	Odabir životopisa, kreditno bodovanje, medicinski uređaji, kritična infrastruktura, alati za kazneni progon	Obvezna procjena sukladnosti, upravljanje rizicima, upravljanje podacima, ljudski nadzor, transparentnost prema korisnicima.
Ograničeni rizik	Chatbotovi, generatori deepfakea, alati za prepoznavanje emocija	Obveze transparentnosti — korisnici moraju znati da komuniciraju s AI-jem.
Minimalni rizik	AI filteri e-pošte, preporučiteljski motori, većina internih alata za produktivnost	Nema obveznih zahtjeva; potiče se dobrovoljno pridržavanje kodeksa prakse.

Većina tvrtki koje koriste Claude ili slične LLM-ove za internu produktivnost, stvaranje sadržaja ili chatbotove za korisničku podršku spada u kategoriju Ograničenog rizika. Ključna obveza: jasno obavijestiti korisnike da komuniciraju s AI sustavom.

Što Se Promijenilo u 2026.

Veljača 2025. — Stupila na snagu zabrana zabranjenih praksi AI sustavi s neprihvatljivim rizikom postali su nezakoniti diljem EU-a. Zabranjeni su socijalno bodovanje od strane javnih tijela, biometrijska kategorizacija na temelju osjetljivih atributa i AI koji iskorištava psihološke ranjivosti.

Kolovoz 2025. — Pravila za GPAI i obveze upravljanja Primijenila su se pravila za modele opće namjene (GPAI) — koja obuhvaćaju temeljne modele poput Claudea, GPT-4o i Mistrala. Pružatelji moraju objaviti model kartice, poštivati autorsko pravo i provoditi protivničko testiranje.

2026. (u tijeku) — Finalizacija Kodeksa prakse Ured EU-a za AI finalizirao je dobrovoljni Kodeks prakse za pružatelje GPAI-a. Anthropic, Google i Microsoft među su potpisnicima. Pridržavanje Kodeksa stvara presumpciju sukladnosti.

Kolovoz 2026. — Pune obveze za visokorizični AI Primjenjuje se puni režim za visokorizični AI. Alati za odabir životopisa, sustavi za odlučivanje o kreditima i medicinski AI moraju dovršiti procjene sukladnosti i registrirati se u bazi podataka EU-a.

GPAI Modeli: Što Pružatelji Poput Anthropica Moraju Učiniti

Modeli opće namjene s dovoljnom sposobnošću (mjereno u FLOP-ovima korištenim za treniranje, s trenutnim pragom od 10²⁵ FLOP-ova) podliježu dodatnim obvezama:

Tehnička dokumentacija — objaviti dovoljno detaljnu model karticu koja pokriva podatke za treniranje, arhitekturu i namijenjenu upotrebu.
Usklađenost s autorskim pravima — dokumentirati da podaci za treniranje poštuju EU zakon o autorskim pravima, uključujući iznimku za rudarenje tekstom i podacima.
Protivničko testiranje — provoditi red-teaming prije postavljanja i dijeliti rezultate s Uredom EU-a za AI na zahtjev.
Modeli sa sistemskim rizikom — modeli iznad višeg praga sposobnosti suočavaju se s dodatnim protivničkim testiranjem, izvješćivanjem o incidentima i obvezama kibernetičke sigurnosti.

Anthropic je surađivao s Uredom EU-a za AI i sudjeluje u procesu GPAI Kodeksa prakse. Claude modeli koji se koriste putem Anthropic API-ja imaju koristi od Anthropicovog rada na usklađenosti na razini pružatelja — ali implementatori (to ste vi) još uvijek imaju vlastite obveze.

Što Implementatori Claudea Moraju Učiniti

Čak i ako samo pozivate Claude API, vi ste implementator prema Zakonu. U praksi to znači:

Za implementacije Ograničenog rizika (Chatbot)

Dodajte jasnu obavijest da korisnici komuniciraju s AI sustavom prije početka razgovora.
Ne dizajnirajte sustav da obmanjuje korisnike da misle da razgovaraju s čovjekom.
Ako generirate sintetički audio, video ili slike, označite ih kao AI-generirane.

Za implementacije Visokog rizika

Provedite Procjenu utjecaja na temeljna prava prije postavljanja.
Implementirajte sustav upravljanja rizicima s dokumentiranim postupcima ljudskog nadzora.
Čuvajte zapise dovoljne za naknadnu reviziju (minimum 6 mjeseci za većinu slučajeva upotrebe).
Odredite osobu odgovornu za usklađenost s AI-jem (Zakon ne zahtijeva namjensku ulogu, ali odgovornost mora biti dokumentirana).
Registrirajte sustav u bazi podataka EU-a prije postavljanja krajnjim korisnicima.
Prijavite incident nadležnom nacionalnom tijelu u roku od 15 radnih dana od svakog ozbiljnog incidenta.

Obveza Transparentnosti u Praksi

Najneposredniji zahtjev za većinu malih i srednjih poduzeća ujedno je i najjednostavniji: recite ljudima da razgovaraju s AI-jem. Jedna rečenica na početku chat widgeta — "Ovaj asistent pokreće AI. Za složena pitanja možete kontaktirati čovjeka na [e-mail]." — ispunjava temeljnu obvezu.

Što ne smijete raditi:

Dati AI-ju ljudsko ime i personu bez ikakve obavijesti da je pokrenut AI-jem.
Dizajnirati sustav da negira da je AI kada ga iskreno pitaju.
Koristiti AI za prepoznavanje emocija zaposlenika ili korisnika bez obavijesti i, u mnogim slučajevima, pristanka.

Praktični Popis za Usklađenost u 2026.

Evo minimalnog popisa za malo ili srednje poduzeće koje koristi Claude ili sličan LLM u kontekstu prema korisnicima:

Klasificirajte svoj slučaj upotrebe — Je li to korisnička podrška (Ograničeni rizik)? Odabir životopisa (Visoki rizik)? Interno pretraživanje (Minimalni rizik)? Znajte svoju razinu rizika prije svega ostalog.
Dodajte obavijest o AI-ju — Ažurirajte poruku dobrodošlice chatbota, podnožje e-pošte ili korisničko sučelje aplikacije da otkrijete uključenost AI-ja.
Pregledajte prakse s podacima — Osigurajte da se podaci koje unosite u upite (evidencija korisnika, podaci zaposlenika) tretiraju u skladu s GDPR-om. AI Act i GDPR se ovdje u velikoj mjeri preklapaju.
Dokumentirajte svoj sustav — Napišite opis od jedne stranice što AI radi, koje podatke obrađuje i kakav je ljudski nadzor na snazi. To je vaša osnovna tehnička dokumentacija.
Uspostavite put eskalacije — Odluke s visokim ulozima (kredit, zapošljavanje, medicinske) moraju imati opciju ljudskog pregleda. Dokumentirajte je.
Pratite i bilježite — Omogućite bilježenje u vašim LLM pozivima dovoljno za istraživanje pritužbi ili anomalnih izlaza.
Ostanite u toku — Ured EU-a za AI redovito objavljuje smjernice. Pretplatite se na njihov bilten i preispitajte svoju poziciju usklađenosti svakih šest mjeseci.

Kazne i Provedba

Zakon daje nacionalnim tijelima za nadzor tržišta ovlasti za istraživanje, naređivanje ispravaka i izricanje kazni. Struktura kazni:

Zabranjene prakse: do 35 milijuna € ili 7% globalnog godišnjeg prometa (što je više).
Nesukladnost s visokorizičnim AI-jem: do 15 milijuna € ili 3% globalnog prometa.
Dostavljanje netočnih informacija vlastima: do 7,5 milijuna € ili 1,5% prometa.
Proporcionalnost za MSP: Zakon zahtijeva od tijela da uzmu u obzir veličinu tvrtke i financijsku sposobnost. Razvijaju se specifične smjernice EU-a za MSP.

Provedba u 2026. usredotočena je prvenstveno na slučajeve visokog rizika i zabranjenih praksi. Ured EU-a za AI naznačio je da će prioritizirati sistemske GPAI modele prije nego se okrene MSP implementatorima u razinama nižeg rizika. Proaktivna usklađenost ipak je daleko jeftinija od reaktivnog saniranja.

Kako Ovo Utječe na AI Strategiju

EU AI Act nije samo kutija za označavanje — mijenja način na koji poduzeća dizajniraju AI sustave. Obrasci koje vidimo kod klijenata:

Čovjek u petlji kao zadano — Timovi koji su dizajnirali agentni AI s punom automatizacijom dodaju prolaze za ljudski pregled za konsekvente odluke.
Revizijski tragovi od prvog dana — Bilježenje unosa i izlaza upita sada je standardni zahtjev dizajna, a ne naknadna misao.
Provjera dobavljača — Nabavni timovi traže od AI dobavljača tehničku dokumentaciju i pridržavanje GPAI Kodeksa prakse prije potpisivanja ugovora.
Konvergencija privatnosti i AI-ja — Službenici za zaštitu podataka i voditelji za usklađenost s AI-jem počinju surađivati. Načela minimizacije podataka prema GDPR-u izravno se primjenjuju na cjevovode treniranja i fine-tuninga.

Zaključak: Za većinu MSP-ova koji koriste Claude za produktivnost ili korisničku podršku, usklađenost je ostvariva za nekoliko dana rada — uglavnom dodavanjem obavijesti o transparentnosti i dokumentiranjem slučaja upotrebe. Implementacije visokog rizika zahtijevaju dugotrajniji trud, idealno počevši sada ispred roka u kolovozu 2026.

Resursi

Trebate Pomoć s EU AI Act Usklađenošću?

Pomažemo hrvatskim i europskim tvrtkama klasificirati slučajeve upotrebe AI-ja, implementirati zahtjeve transparentnosti i izgraditi dokumentaciju spremnu za reviziju — kako biste mogli postavljati s povjerenjem bez pravne izloženosti.

Razgovarajte s Ekspertom za AI Usklađenost