← Nazad na sve tekstove
13. јун 2026.TechRevati

EU AI Act u produkciji: lista provera za inženjerske timove

Praktična lista provera za isporuku AI sistema u EU: nivoi rizika, obaveze za GPAI, logovanje, ljudski nadzor i preklapanje sa GDPR-om.

  • usklađenost
  • ai
  • eu-ai-act

Kako da AI koji isporučujemo u EU učinimo usklađenim sa EU AI Act-om?

Počnite tako što ćete svaki AI sistem koji isporučujete klasifikovati po njegovom nivou rizika, a zatim mu pridružite obaveze koje taj nivo zahteva pre nego što funkcionalnost stigne do korisnika. Većina timova ne uspeva da postigne usklađenost ne zato što su pravila egzotična, već zato što nikada nisu zapisali u koji nivo neka funkcionalnost spada, ko je odgovoran za nju i gde se nalazi revizioni trag. EU AI Act (Regulation (EU) 2024/1689) izgrađen je oko tih nivoa, i gotovo svaka inženjerska obaveza proizilazi iz toga da se klasifikacija prvo uradi kako treba.

Ovo je lista provera za izradu, a ne pravni savet — i odražava kako u TechRevati pristupamo isporuci AI proizvoda u EU, utemeljeno u produkcijskom radu na retrieval i agentskim sistemima.

Koji su nivoi rizika prema EU AI Act-u, i šta svaki od njih obavezuje?

Akt razvrstava AI sisteme u četiri široke kategorije. Što je nivo viši, to je obaveza teža.

| Nivo | Primeri | Osnovna obaveza | | --- | --- | --- | | Zabranjeno | Društveno bodovanje (social scoring), manipulativni ili eksploatatorski sistemi, određena biometrijska kategorizacija | Ne graditi i ne primenjivati. Tačka. | | Visok rizik | AI u zapošljavanju, kreditiranju, obrazovanju, kritičnoj infrastrukturi, medicinskim uređajima i sličnim domenima sa značajnim posledicama | Upravljanje rizikom, upravljanje podacima, tehnička dokumentacija, logovanje, ljudski nadzor, tačnost/robusnost, ocena usaglašenosti | | Ograničen rizik (transparentnost) | Četbotovi, sadržaj generisan ili izmenjen pomoću AI-ja (sintetički tekst, slika, audio, video) | Obavestiti da korisnik komunicira sa AI-jem; označiti sintetički sadržaj | | Minimalan rizik | Filteri za spam, vidžeti za preporuke, većina internih alata | Nema posebnih obaveza izvan postojećih propisa; podstiče se dobrovoljna dobra praksa |

Dve praktične napomene. Prvo, „visok rizik“ definisan je uglavnom slučajem upotrebe i kontekstom, a ne time koliko je model sofisticiran — jednostavan klasifikator koji odlučuje ko dobija kredit jeste visokog rizika; moćan model koji sažima vaše sopstvene beleške najčešće nije. Drugo, kada ste u nedoumici, klasifikujte naviše i dokumentujte zašto.

Šta „visok rizik“ zaista zahteva od inženjerskog tima?

Sistem visokog rizika duguje definisan paket kontrola. Evo onih koje padaju na pleća inženjeringa:

  • Sistem za upravljanje rizikom — dokumentovan, kontinuiran proces identifikacije i ublažavanja predvidivih rizika kroz ceo životni ciklus, a ne jednokratno odobrenje.
  • Upravljanje podacima — podaci za obučavanje, validaciju i testiranje moraju biti relevantni i, koliko je izvodljivo, tačni i reprezentativni; dokumentujte poreklo i poznate praznine.
  • Tehnička dokumentacija — održavan zapis o dizajnu sistema, nameni i gorenavedenim kontrolama, koji se ažurira kako isporučujete.
  • Logovanje i sledljivost — automatsko beleženje događaja tokom celog životnog veka sistema, tako da se ponašanje može rekonstruisati naknadno.
  • Ljudski nadzor — stvarna osoba može da razume, prati i interveniše — uključujući putanju za zaustavljanje/poništavanje.
  • Tačnost, robusnost i sajber-bezbednost — primereni slučaju upotrebe, sa pošteno navedenim ograničenjima.

Ocena usaglašenosti i registracija obično su odgovornost dobavljača (provider-a) pre izlaska na tržište — ali inženjering proizvodi najveći deo dokaza od kojih ti koraci zavise.

Šta je sa GPAI i temeljnim (foundation) modelima?

GPAI znači general-purpose AI — temeljni model koji se može prilagoditi mnogim zadacima (veliki jezički i multimodalni modeli na kojima većina timova danas gradi). Akt postavlja obaveze za dobavljače ovih modela, koje su različite od obaveza koje vi imate kao primenjivač (deployer) koji gradi proizvod povrh njih.

Od GPAI dobavljača se očekuje da održavaju tehničku dokumentaciju, objave sažetak sadržaja korišćenog za obučavanje i uspostave politiku poštovanja propisa EU o autorskim pravima. Modeli za koje se proceni da nose sistemski rizik — najveći i najsposobniji — nose teže obaveze, uključujući evaluaciju modela, adversarijalno testiranje i prijavljivanje incidenata.

Za većinu produktnih timova zaključak je uži: vi ste najčešće primenjivač, a ne GPAI dobavljač. Izaberite model čiji dobavljač ispunjava ove obaveze, zabeležite od kog modela i koje verzije zavisite, i povrh toga dodajte sopstvene kontrole za vaš slučaj upotrebe. Onog trenutka kada suštinski fino-podesite (fine-tune) ili rebrendirate bazni model kao svoj, ponovo proverite da li se sada obaveze dobavljača vežu i za vas.

Kako se ovo preklapa sa GDPR-om?

Znatno — i većinu posla možete da ponovo iskoristite. AI Act uređuje sistem; GDPR uređuje lične podatke koji kroz njega prolaze. Ako vaš AI obrađuje lične podatke, oba se primenjuju istovremeno.

  • DPIA (Data Protection Impact Assessment) prema GDPR-u i dokumentacija o upravljanju rizikom iz Akta pokrivaju velikim delom isti teren — napišite ih tako da se međusobno pozivaju umesto da udvostručujete trud.
  • Minimizacija podataka je princip GDPR-a koji ujedno zadovoljava i očekivanja Akta u pogledu upravljanja podacima: nemojte unositi polja koja vam nisu potrebna i nemojte čuvati logove duže nego što možete da opravdate.
  • Pravni osnov, ograničenje svrhe i prava lica na koja se podaci odnose i dalje važe za podatke za obučavanje, promptove i izlaze. Retrieval je česta zamka: indeksiranje dokumenta ne daje novi pravni osnov da se on prikaže.

Lista provera za izradu

Primenite ovo na svaku AI funkcionalnost pre nego što je isporučite:

  1. Klasifikujte sistem po nivou rizika i zabeležite obrazloženje uz kod. Ponovite klasifikaciju kada se slučaj upotrebe promeni.
  2. Imenujte odgovornog vlasnika za stav o usklađenosti — osobu, a ne odbor.
  3. Mapirajte tokove podataka — koji lični podaci ulaze, gde borave, koliko dugo se čuvaju i koji je pravni osnov za svaki od njih.
  4. Implementirajte strukturirano logovanje otporno na neovlašćene izmene — ulazi, model/verzija, ključne odluke i izlazi, sa odbranjivim rokom čuvanja.
  5. Izgradite putanju sa čovekom u petlji (human-in-the-loop) za svaku odluku sa značajnim posledicama: pregled, poništavanje, zaustavljanje.
  6. Fiksirajte i zabeležite poreklo modela — model, verzija, dobavljač — i potvrdite da dobavljač ispunjava svoje GPAI obaveze.
  7. Isporučite obaveštenja o transparentnosti — recite korisnicima kada razgovaraju sa AI-jem; označite sadržaj generisan ili izmenjen pomoću AI-ja.
  8. Pišite tehničku dokumentaciju dok gradite, pod kontrolom verzija pored koda.
  9. Pošteno navedite ograničenja — granice tačnosti, poznate načine otkazivanja, upotrebe izvan opsega.
  10. Zakažite kadencu ponovnog pregleda kako bi klasifikacija i kontrole pratile razvoj proizvoda.

Kada se EU AI Act primenjuje?

Akt se uvodi postepeno tokom nekoliko godina (otprilike od 2024. do 2027.), a ne odjednom. Zabrane sistema neprihvatljivog rizika stupile su na snagu prve, GPAI i obaveze upravljanja slede, a pun režim za visok rizik dolazi poslednji. Tačni datumi i prelazni periodi zavise od kategorije — proverite aktuelni rok za vaš nivo prema zvaničnom tekstu ili sa pravnim savetnikom, a ne prema blog tekstu, jer je vremenski raspored deo koji se najverovatnije pomerio otkako je ovo napisano.

FAQ

Da li je moj četbot visokog rizika prema EU AI Act-u? Najčešće ne, podrazumevano. Četbot za korisničku podršku ili asistent obično spada pod pravila transparentnosti za ograničen rizik — morate obavestiti korisnike da komuniciraju sa AI-jem. Postaje visokog rizika samo ako se koristi u domenu sa značajnim posledicama koji Akt navodi (na primer, donošenje ili materijalno uticanje na odluke o zapošljavanju, kreditiranju ili bezbednosti).

Da li moram da označavam sadržaj generisan pomoću AI-ja? Da, tamo gde to važi. Od dobavljača i primenjivača sistema koji generišu ili menjaju sintetički tekst, sliku, audio ili video očekuje se da taj sadržaj označe kao generisan pomoću AI-ja i obelodane manipulaciju, kako ljudi ne bi bili dovedeni u zabludu o tome šta vide.

Koristimo isključivo model treće strane preko API-ja — jesmo li onda izvan obaveza? Ne. Vi ste primenjivač, što nosi sopstvene obaveze: transparentnost, ljudski nadzor i kontrole za vaš slučaj upotrebe. Obaveze GPAI dobavljača ne pokrivaju kako se vaš proizvod ponaša u vašim rukama.

Da li usklađenost sa AI Act-om zamenjuje GDPR? Ne — oni teku paralelno. Ako vaš sistem dodiruje lične podatke, GDPR i dalje važi u potpunosti. Posmatrajte dokumentaciju iz Akta i svoj DPIA kao komplementarne, i ponovo iskoristite dokaze za oba.

Kako EU-suverena, za reviziju spremna implementacija ovo olakšava

Nekoliko obaveza postaje primetno lakše kada je implementacija od prvog dana projektovana s njima na umu. Zadržavanje podataka i inferencije unutar EU — na primer, izvršavanje na Mistral AI modelima sa Qdrant vektorskim skladištem uz rezidentnost podataka u EU — pojednostavljuje preklapanje sa GDPR-om i priču o upravljanju podacima, jer ne morate da razmišljate o prekograničnim transferima povrh svega ostalog. Strukturirano logovanje, fiksirano poreklo modela i ugrađena putanja za ljudski nadzor pretvaraju gornju listu provera iz papirologije u svojstva samog sistema. Modeli hostovani u SAD ostaju validna opcija za mnoge poslove; poenta je birati svesno i u oba slučaja održavati revizioni trag.

Taj za reviziju spreman stav je način na koji u TechRevati gradimo AI: prvo klasifikuj, loguj ono što je važno, drži čoveka u petlji i učini dokaze o usklađenosti nusproizvodom dobrog inženjeringa, a ne jurnjavom pred lansiranje.