← Nazaj na vse objave
13. junij 2026TechRevati

EU AI Act v produkciji: kontrolni seznam za inženirske ekipe

Praktičen kontrolni seznam za uvajanje umetne inteligence v EU: stopnje tveganja, obveznosti GPAI, beleženje, človeški nadzor in prekrivanje z GDPR.

  • skladnost
  • ai
  • eu-ai-act

Kako poskrbimo, da je umetna inteligenca, ki jo uvajamo v EU, skladna z EU AI Act?

Začnite tako, da vsak sistem umetne inteligence, ki ga uvajate, razvrstite po njegovi stopnji tveganja, nato pa nanj pripnite obveznosti, ki jih ta stopnja zahteva, še preden funkcionalnost doseže uporabnike. Večina ekip pri skladnosti pade ne zato, ker bi bila pravila eksotična, temveč zato, ker nikoli niso zapisale, v katero stopnjo funkcionalnost spada, kdo je zanjo odgovoren in kje se nahaja revizijska sled. EU AI Act (Regulation (EU) 2024/1689) je zgrajen okoli teh stopenj in skoraj vsaka inženirska obveznost izhaja iz tega, da najprej pravilno opravimo razvrstitev.

To je kontrolni seznam za razvoj, ne pravni nasvet — in odraža naš pristop k uvajanju izdelkov umetne inteligence v EU pri TechRevati, ki temelji na produkcijskem delu s sistemi za pridobivanje (retrieval) in agentskimi sistemi.

Katere so stopnje tveganja po EU AI Act in kaj posamezna zahteva?

Akt razvršča sisteme umetne inteligence v štiri široke kategorije. Višja kot je stopnja, težja je obveznost.

| Stopnja | Primeri | Glavna obveznost | | --- | --- | --- | | Prepovedano | Družbeno točkovanje (social scoring), manipulativni ali izkoriščevalski sistemi, določena biometrična kategorizacija | Ne gradite in ne uvajajte. Pika. | | Visoko tveganje | Umetna inteligenca v zaposlovanju, kreditiranju, izobraževanju, kritični infrastrukturi, medicinskih pripomočkih in podobnih posledično pomembnih področjih | Upravljanje tveganj, upravljanje podatkov, tehnična dokumentacija, beleženje, človeški nadzor, točnost/robustnost, ugotavljanje skladnosti | | Omejeno tveganje (transparentnost) | Klepetalni roboti, vsebina, ustvarjena ali prirejena z umetno inteligenco (sintetično besedilo, slika, zvok, video) | Razkrijte, da uporabnik komunicira z umetno inteligenco; označite sintetično vsebino | | Minimalno tveganje | Filtri za neželeno pošto, gradniki za priporočila, večina internih orodij | Brez posebnih obveznosti onkraj obstoječe zakonodaje; priporočena je prostovoljna dobra praksa |

Dve praktični opombi. Prvič, "visoko tveganje" je opredeljeno predvsem z uporabnim primerom in kontekstom, ne s tem, kako pameten je model — preprost klasifikator, ki odloča, kdo dobi posojilo, je visokega tveganja; zmogljiv model, ki povzema vaše lastne zapiske, običajno ni. Drugič, kadar ste v dvomih, razvrstite navzgor in dokumentirajte, zakaj.

Kaj "visoko tveganje" dejansko zahteva od inženirske ekipe?

Sistem z visokim tveganjem dolguje opredeljen paket kontrol. Tisti, ki padejo na ramena inženiringa:

  • Sistem upravljanja tveganj — dokumentiran, neprekinjen proces za prepoznavanje in zmanjševanje predvidljivih tveganj skozi celoten življenjski cikel, ne enkratna potrditev.
  • Upravljanje podatkov — podatki za učenje, validacijo in testiranje morajo biti relevantni ter, kolikor je izvedljivo, točni in reprezentativni; dokumentirajte izvor in znane vrzeli.
  • Tehnična dokumentacija — vzdrževan zapis o zasnovi sistema, predvidenem namenu in zgornjih kontrolah, ki ga sproti posodabljate, ko uvajate.
  • Beleženje in sledljivost — samodejno zapisovanje dogodkov skozi celotno življenjsko dobo sistema, da je mogoče vedenje naknadno rekonstruirati.
  • Človeški nadzor — resnična oseba lahko razume, spremlja in posega — vključno s potjo za zaustavitev/preglasitev.
  • Točnost, robustnost in kibernetska varnost — primerne uporabnemu primeru, z omejitvami, navedenimi pošteno.

Ugotavljanje skladnosti in registracija sta običajno odgovornost ponudnika pred vstopom na trg — vendar inženiring proizvede večino dokazov, na katerih ti koraki temeljijo.

Kaj pa GPAI in temeljni modeli?

GPAI pomeni umetno inteligenco za splošne namene (general-purpose AI) — temeljni model, ki ga je mogoče prilagoditi mnogim nalogam (veliki jezikovni in multimodalni modeli, na katerih danes gradi večina ekip). Akt določa obveznosti za ponudnike teh modelov, ki se razlikujejo od obveznosti, ki jih imate vi kot uvajalec, ki gradi izdelek na vrhu.

Od ponudnikov GPAI se pričakuje, da vzdržujejo tehnično dokumentacijo, objavijo povzetek vsebine, uporabljene za učenje, in vzpostavijo politiko za spoštovanje avtorske zakonodaje EU. Modeli, za katere se presodi, da nosijo sistemsko tveganje — največji in najzmogljivejši — nosijo težje obveznosti, vključno z vrednotenjem modela, kontradiktornim (adversarial) testiranjem in poročanjem o incidentih.

Za večino produktnih ekip je sporočilo ožje: običajno ste uvajalec, ne ponudnik GPAI. Izberite model, čigar ponudnik izpolnjuje te obveznosti, zabeležite, na kateri model in različico se zanašate, ter na vrh dodajte lastne kontrole za uporabni primer. V trenutku, ko temeljni model bistveno dodatno priučite (fine-tune) ali ga preimenujete kot svojega, ponovno preverite, ali se zdaj obveznosti ponudnika prenesejo na vas.

Kako se to prekriva z GDPR?

Močno — in večino dela lahko ponovno uporabite. AI Act ureja sistem; GDPR ureja osebne podatke, ki tečejo skozenj. Če vaša umetna inteligenca obdeluje osebne podatke, veljata oba hkrati.

  • DPIA (ocena učinka na varstvo podatkov) po GDPR in dokumentacija o upravljanju tveganj iz Akta pokrivata večinoma isto področje — napišite ju tako, da se sklicujeta druga na drugo, namesto da podvajata trud.
  • Minimizacija podatkov je načelo GDPR, ki hkrati zadovolji pričakovanja Akta glede upravljanja podatkov: ne zajemajte polj, ki jih ne potrebujete, in ne hranite dnevnikov dlje, kot lahko upravičite.
  • Zakonita podlaga, omejitev namena in pravice posameznikov, na katere se nanašajo osebni podatki še vedno veljajo za podatke za učenje, pozive (prompts) in izhode. Pridobivanje (retrieval) je pogosta past: indeksiranje dokumenta ne podeli nove zakonite podlage za njegovo prikazovanje.

Kontrolni seznam za razvoj

To preverite pri vsaki funkcionalnosti umetne inteligence, preden gre v produkcijo:

  1. Razvrstite sistem po stopnji tveganja in zabeležite utemeljitev ob kodi. Ponovite, ko se uporabni primer spremeni.
  2. Imenujte odgovornega lastnika za držo skladnosti — osebo, ne odbor.
  3. Preslikajte tokove podatkov — kateri osebni podatki vstopajo, kje se nahajajo, kako dolgo se hranijo in kakšna je zakonita podlaga za vsakega.
  4. Vzpostavite strukturirano beleženje, odporno proti spreminjanju (tamper-evident) vhodov, modela/različice, ključnih odločitev in izhodov, z zagovorljivo dobo hrambe.
  5. Zgradite pot z človekom v zanki (human-in-the-loop) za vsako posledično odločitev: pregled, preglasitev, zaustavitev.
  6. Pripnite in zabeležite izvor modela — model, različica, ponudnik — in potrdite, da ponudnik izpolnjuje svoje obveznosti GPAI.
  7. Uvedite obvestila o transparentnosti — povejte uporabnikom, kdaj se pogovarjajo z umetno inteligenco; označite vsebino, ustvarjeno ali prirejeno z umetno inteligenco.
  8. Tehnično dokumentacijo pišite sproti med gradnjo, pod nadzorom različic ob kodi.
  9. Pošteno navedite omejitve — meje točnosti, znane načine odpovedi, uporabe izven obsega.
  10. Načrtujte ritem ponovnih pregledov, da razvrstitev in kontrole sledijo izdelku.

Kdaj se EU AI Act uporablja?

Akt se uvaja postopno skozi več let (približno od 2024 do 2027), ne pa naenkrat. Prepovedi sistemov z nesprejemljivim tveganjem so začele veljati najprej, sledijo obveznosti glede GPAI in upravljanja, celoten režim za visoko tveganje pa pride zadnji. Točni datumi in prehodna obdobja so odvisni od kategorije — preverite trenutni rok za svojo stopnjo v uradnem besedilu ali pri pravnem svetovalcu in ne v objavi na blogu, saj je časovnica del, ki se je najverjetneje premaknil, odkar je bilo to napisano.

FAQ

Ali je moj klepetalni robot po EU AI Act visokega tveganja? Običajno privzeto ne. Klepetalni robot za podporo strankam ali pomočnik praviloma spada pod pravila transparentnosti za omejeno tveganje — uporabnikom morate povedati, da komunicirajo z umetno inteligenco. Visokega tveganja postane le, če se uporablja na posledično pomembnem področju, ki ga Akt navaja (na primer pri sprejemanju ali bistvenem vplivanju na odločitve o zaposlovanju, kreditiranju ali varnosti).

Ali moram označevati vsebino, ustvarjeno z umetno inteligenco? Da, kjer to velja. Od ponudnikov in uvajalcev sistemov, ki ustvarjajo ali prirejajo sintetično besedilo, sliko, zvok ali video, se pričakuje, da to vsebino označijo kot ustvarjeno z umetno inteligenco in razkrijejo prirejanje, da ljudje niso zavedeni o tem, kar vidijo.

Uporabljamo le model tretje osebe prek API — smo s tem oproščeni? Ne. Ste uvajalec, kar s seboj nosi lastne obveznosti: transparentnost, človeški nadzor in vaše kontrole za uporabni primer. Obveznosti ponudnika GPAI ne pokrivajo, kako se vaš izdelek obnaša v vaših rokah.

Ali skladnost z AI Act nadomesti GDPR? Ne — tečeta vzporedno. Če se vaš sistem dotika osebnih podatkov, GDPR še naprej velja v celoti. Dokumentacijo iz Akta in svojo DPIA obravnavajte kot dopolnjujoči se ter dokaze ponovno uporabite pri obeh.

Kako EU-suvereno, na revizijo pripravljeno uvajanje to olajša

Več obveznosti postane opazno lažjih, kadar je uvajanje zasnovano zanje že od prvega dne. Hramba podatkov in sklepanja (inference) znotraj EU — na primer poganjanje na modelih Mistral AI z vektorsko shrambo Qdrant pod rezidenco podatkov v EU — poenostavi prekrivanje z GDPR in zgodbo o upravljanju podatkov, saj vam poleg vsega ostalega ni treba razmišljati o čezmejnih prenosih. Strukturirano beleženje, pripet izvor modela in vgrajena pot za človeški nadzor zgornji kontrolni seznam iz papirologije spremenijo v lastnosti sistema. Modeli, gostovani v ZDA, ostajajo veljavna možnost za marsikatero obremenitev; bistvo je izbirati premišljeno in revizijsko sled v vsakem primeru ohranjati.

Takšna na revizijo pripravljena drža je način, kako pri TechRevati gradimo umetno inteligenco: najprej razvrstimo, beležimo, kar je pomembno, ohranjamo človeka v zanki in poskrbimo, da so dokazi o skladnosti stranski produkt dobrega inženiringa in ne hitenja tik pred zagonom.