EU Akt o veštačkoj inteligenciji i njegova primena u Srbiji

Da li vaša kompanija razvija vrhunski AI sistem koji (će) se koristi širom EU ili je veštačka inteligencija deo vašeg poslovanja?

Ako da: Da li znate koja sve pravila morate da poštujete i koje sve dokumente morate da imate da ostanete u okvirima EU regulative kada je u pitanju veštačka inteligencija?

Ukoliko niste sigurni koji je odgovor na prethodno pitanje, onda je ovaj tekst za vas.

U njemu ćete saznati:

• Koji propisi pravno uređuju razvoj i korišćenje vašeg AI sistema;
• Na koja pravna pitanja treba da obratite naročitu pažnju, a tiče se vaših AI sistema;
• Koje su to ključne compliance obaveze vaše kompanije u vezi veštačke inteligencije.

Za više informacija, nastavite da čitate.

1. Šta je veštačka inteligencija uopšte?

Prema EU Zakonu o veštačkoj inteligenciji (dalje: AI Akt), zvanična definicija veštačke inteligencije, odnosno njenih sistema, glasi ovako:

„Sistem veštačke inteligencije (AI sistem) je mašinski sistem koji je dizajniran da funkcioniše sa različitim nivoima autonomije i koji može pokazivati prilagodljivost nakon primene, te koji za eksplicitne ili implicitne ciljeve zaključuje, na osnovu unosa koje prima, kako generisati izlaze kao što su predviđanja, sadržaj, preporuke ili odluke koje mogu uticati na fizička ili virtuelna okruženja.“

E sada, šta to uopšte znači?

S obzirom da je ovakva definicija poprilično suvoparna i verovatno nerazumljiva većini, odlučili smo da je malo uprostimo i pokušamo da objasnimo drugačije.

Veštačka inteligencija omogućava mašinama da obavljaju zadatke koji obično zahtevaju ljudsku inteligenciju. To uključuje sposobnost učenja, zaključivanja, prepoznavanja obrazaca, obrade jezika i donošenja odluka.

Naime, AI sistem je svaki sistem koji koristi podatke kako bi donosio odluke ili pružao korisne informacije, neretko i bez direktnog uplitanja čoveka. 

To su na primer uređaji poput Siri, Google Assistant-a i Alexe (pametni asistenti) koji koriste AI za prepoznavanje govora i pružanje odgovora na pitanja, pomažući korisnicima u pretrazi informacija i upravljanju uređajima. 

Takođe, sve popularniji chatbotovi zasnovani na AI, prevashodno za komunikaciju sa korisnicima, automatizaciju odgovora i pružanje brže podrške. Najpopularniji među njima su ChatGPT i Gemini koje sve više ljudi koristi svakodnevno.

Dalje, platforme kao što su Netflix, YouTube i Spotify koriste AI za analizu korisničkih navika i predlaganje filmova, serija, muzike i video zapisa na osnovu prethodnih interesovanja. Onda Google Translate i slični servisi koriste AI za prevođenje tekstova i govora, uzimajući u obzir kontekst kako bi prevodi bili precizniji.

Tu su naravno i nezaobilazne kamere na pametnim telefonima koje koriste AI za automatsko poboljšavanje slika, prepoznavanje lica i otključavanje uređaja pomoću biometrijskih podataka, zatim tehnologije autonomnih vozila koje koristi AI za analizu podataka sa senzora i kamera, omogućavajući automobilima da prepoznaju prepreke, znakove i druga vozila, onda AI sistemi koje pomažu lekarima u analizi medicinskih slika, prepoznavanju bolesti i donošenju preciznijih dijagnoza, čime se poboljšava efikasnost lečenja itd.

Iako veštačka inteligencija donosi brojne koristi pojedincima i društvu u različitim oblastima života i poslovanja, njena primena, način korišćenja i stepen tehnološkog razvoja mogu stvoriti određene rizike. 

Ovi rizici mogu ugroziti postojeće vrednosti, osnovna prava i slobode građana, kao i javne interese, te se pojavila potreba da se razvoj, testiranje, uvoz, distribucija i/ili korišćenje veštačke inteligencije stavi pod pravne okvire.

Dakle, ako koristite, uvozite ili distribuirate neki od AI sistema ili imate ideju kako još AI može da se koristi u svakodnevnom životu i/ili poslovanju i razvijate svoj sistem morate da imate u vidu propise koji regulišu kako se veštačka inteligencija razvija i koristi.

Upravo o tome ćemo govoriti više u narednim pasusima.

2. Pravna regulativa veštačke inteligencije u EU 

Kao što smo gore spomenuli, u Evropskoj Uniji veštačka inteligencija je regulisana putem AI Akt-a. 

Ovaj „Zakon“ je na snazi od 1. avgusta 2024. godine, dok je primena pojedinih odredbi (zabranjeni sistemi) već počela od 2. februara 2025. godine.

Cilj navedenog akta jeste uspostavljanje jedinstvenog pravnog okvira unutar Evropske unije, koji će regulisati razvoj, plasiranje na tržište, upotrebu i korišćenje sistema veštačke inteligencije. Ovim se nastoji podstaći razvoj pouzdane i etički usmerene veštačke inteligencije koja će garantovati visok nivo zaštite osnovnih prava i vrednosti.

AI Akt primenjuje strategiju procene rizika, pri čemu su pravne obaveze i mere prilagođene nivou rizika koji određeni AI sistem može predstavljati za prava pojedinaca i društvo u celini.

Ovaj akt identifikuje četiri nivoa rizika:

1. Neprihvatljiv rizik – Sistemi koji su u suprotnosti sa osnovnim vrednostima EU i predstavljaju ozbiljnu pretnju pravima građana, te su zbog toga zabranjeni.

Ovo uključuje sisteme veštačke inteligencije koji koji koriste skrivene ili manipulativne tehnike da utiču na ponašanje lica, sisteme kojima se iskorišćavaju ranjivosti određenih grupa na osnovu faktora kao što su godine, invaliditet ili društvena situacija da bi se iskrivilo njihovo ponašanje, sisteme koji isključivo na osnovu profilisanja ili osobina ličnosti imaju za cilj procenu ili predviđanje rizika da će određeno lice da izvrši krivično delo, sisteme za zaključivanje emocija fizičkog lica na radnom mestu i ostalo.

2. Visok rizik – Sistemi koji mogu značajno uticati na pojedince i društvo i podložni su strogoj regulaciji.

Visokorizični sistemi veštačke inteligencije uključuju sisteme koji vrše profilisanje lica, biometrijske sisteme, sisteme u oblasti kritične infrastrukture, obrazovanja, zapošljavanja, pristupa osnovnim javnim uslugama, sprovođenju zakona, imigraciji i graničnoj kontroli, administraciji pravosuđa i demokratskim procesima.

3. Ograničen rizik – AI sistemi koji nemaju visok rizik, ali interaktuju sa ljudima, te stoga podležu određenim kontrolama.
4. Minimalan rizik – Sistemi koji nisu predmet posebne regulative.

Dodatno, Zakon posebno reguliše modele veštačke inteligencije opšte namene, odnosno modele veštačke inteligencije koji su sposobni da kompetentno obavljaju širok spektar različitih zadataka bez obzira na način na koji se model plasira na tržište i koji se može integrisati u različite sisteme ili aplikacije (kao što je široko korišćen ChatGPT) i uvodi posebne obaveze za njihove provajdere i korisnike.

U suštini, što je veći rizik koji AI sistem nosi, to su stroža pravila za njegov razvoj i primenu.

3. Zašto je AI Akt važan za kompanije u Srbiji?

Dobro, zašto pišemo o AI Aktu EU kada je to propis koji se primenjuju u EU? Kakve to veze ima sa kompanijama u Srbiji?

Ukratko, EU AI Akt, slično kao i GDPR, ima kako teritorijalnu, tako i eksteritorijalnu primenu.

To znači da ne morate imati sedište na teritoriji EU da bi se propis na vas primenjivao, odnosno AI Akt uspostavlja čitav niz obaveza za sve aktere uključene u razvoj, primenu i upotrebu veštačke inteligencije, od provajdera, preko uvoznika i distributera, do korisnika veštačke inteligencije u Evropskoj Uniji, ali i izvan nje.

Dakle, to obuhvata i srpske kompanije koje posluju unutar EU i rade na razvoju, primeni i plasmanu AI sistema. To u suštini obuhvata kompanije:

• koje razvijaju AI sisteme u Srbiji, ali ih uvoze ili distribuiraju na tržištu EU, čak i ako nisu fizički prisutne na teritoriji Evropske Unije, i bilo da jer reč o gotovim proizvodima ili softverskim rešenjima (npr. IT kompanija iz Srbije razvija sistem za analizu medicinskih slika i nudi ga bolnicama u Nemačkoj).

• programere ili korisnike AI sistema ako se izlazni rezultati AI sistema upotrebljavaju u Uniji (npr. Kompanije koje koriste AI alate za automatizaciju korisničke podrške ili analizu podataka).

• proizvođače proizvoda koji stavljaju na tržište ili u upotrebu AI sistem zajedno sa svojim proizvodom i pod vlastitim imenom ili žigom (npr. Fabrika iz Srbije proizvodi pametne uređaje sa ugrađenim AI sistemima za upravljanje potrošnjom energije i izvozi ih u Francusku).

• vlasnike bilo kog AI sistema, ako isti zahvata na lica na teritoriji EU (kako bi se zaštitila lica na teritoriji EU, u slučaju da AI sistem utiče na njih, a nije primenljiv neki od drugih uslova za primenu AI Akta). 

Poprilično široka primena AI Akta na kompanije koje nemaju sedište u EU, zar ne?

Da li to dalje znači da ovaj propis nije relevantan za srpske kompanije koje posluju samo na nacionalnom tržištu?

Daleko od toga. 

Kako Srbija trenutno nema poseban zakon kojim je veštačka inteligencija pravno uređena (iako ima Etičke smernice i Strategiju prema kojoj je jedan od ciljeva usvajanje posebnog zakona koji reguliše AI), najbezbedniji i najstrategičniji pristup za srpske kompanije jeste usklađivanje sa EU regulativom, jer će to obezbediti dugoročnu usklađenost i sa domaćim zakonima kada budu doneti. 

Dodatno, usklađivanje domaćeg zakonodavstva sa propisima EU je jedan od ključnih uslova za članstvo u EU.

Dakle, gotovo je izvesno da će na isti način na koji je GDPR uticao na razvoj srpskog Zakona o zaštiti podataka o ličnosti, AI Akt oblikovati budući Zakon o veštačkoj inteligenciji u Srbiji. 

4. Koje su obaveze po AI Akt-u?

Obaveze prema AI Aktu zavise od nivoa rizika koji određeni AI sistem predstavlja.

• Neprihvatljiv rizik: Sistemi veštačke inteligencije, za koje smatra da nose neprihvatljivi rizik, su zabranjeni. 

• Visok rizik: Sistemi veštačke inteligencije koji se koriste u kritičnim oblastima kao što su infrastruktura, obrazovanje, zapošljavanje i sprovođenje zakona klasifikovani su kao visoko-rizični. 

AI Akt uvodi razne uslove koje visokorizični sistemi moraju da ispune, kao što su upravljanje rizikom, kvalitet i bezbednost podataka, transparentnost, dokumentovanje performansi, održavanja i ažuriranja sistema, ljudski nadzor i tačnost, dok će se kompanije koje obezbeđuju ili primenjuju tu tehnologiju suočiti sa obavezama u vezi sa registracijom, upravljanjem kvalitetom, testiranjem sistema, praćenjem, vođenjem evidencije i izveštavanjem o incidentu.

• Ograničeni rizik: AI sistemi sa ograničenim rizikom podležu određenim obavezama, kao što su transparentnost, odnosno korisnici moraju biti obavešteni da komuniciraju sa veštačkom inteligencijom (npr. chatbotovi), a veštački generisan sadržaj (slike, video, glas) mora biti jasno označen kao takav.

• Nizak rizik: Za ostale sisteme veštačke inteligencije koje AI Akt posebno ne reguliše se smatra da imaju nizak rizik, te se AI Aktom ne nameću posebne obaveze prilikom njihovom razvijanja, testiranja ili upotrebe. To uključuje većinu aplikacija, uključujući AI filtere za slike ili sisteme za automatsko prevođenje.

Dodatno, za provajdere modela veštačke inteligencije AI Akt propisuje obaveze da izrade i ažuriraju tehničku dokumentaciju modela, uključujući proces obuke i testiranja i rezultate njegove evaluacije, zatim da izrade, ažuriraju i učine dostupnim informacije i dokumentaciju provajderima sistema veštačke inteligencije koji nameravaju da integrišu model veštačke inteligencije opšte namene u svoj sistem veštačke inteligencije, da uspostave politiku poštovanja zakona Unije o autorskim pravima i ostalo.

Dakle, kako smo gore već naveli, što je veći rizik, to su veće i obaveze koje programeri ili već korisnici takvih sistema moraju da ispune.

5. Kada počinje da se primenjuje AI Akt?

AI Akt je na snazi od 1. avgusta 2024. godine, dok je zabrana za sisteme sa neprihvatljivim rizikom već počela da se primenjuje od 2. februara 2025. godine

Od 2. avgusta 2025. godine počinju da se primenjuju obaveze dobavljača modela veštačke inteligencije opšte namene, osim za modele koji su stavljeni na tržište pre tog datuma, u kom slučaju imaju dodatni rok od 24 meseca da se usaglase sa obavezama propisanim Zakonom (dakle ukupno 36 meseci od stupanja na snagu Zakona), kao i odredbe o poverljivosti i kaznama

Od 2. avgusta 2026. godine počinju da se primenjuju obaveze za visokorizične sisteme veštačke inteligencije.

Detaljan vremenski početak primene svih odredbi AI Akta možete pronaći ovde.

6. Kako se pripremiti za AI Akt?

Došli smo do verovatno najvažnijeg dela ovog teksta, a to je: Šta vaša kompanija može da uradi već sada da bude u skladu sa postojećim, a verovatno i budućim propisima u čijem je fokusu veštačka inteligencija?

Za početak, može da uradi sledeće:

1. Procena rizika veštačke inteligencije

Rekli smo da prema AI Aktu, vaše obaveze zavise od rizika koji vaš AI sistem proizvodi. Dakle, da biste znali koje su uopšte vaše obaveze, morate sprovesti procenu rizika.

Veštačka inteligencija, odnosno njeni rizici, procenjuju se putem pristupa zasnovanog na nivou rizika koji AI sistem može predstavljati po zdravlje, bezbednost i osnovna prava pojedinaca. 

U suštini, vaša obaveza bi bila da razmotrite scenarije u kojima bi vaš AI sistem mogao izazvati štetu nekom licu i da ustanovite kolika je verovatnoća nastanka te štete i ukoliko bi nastala, kolika bi bila ta šteta.

Čisto da naglasimo, nije dovoljno da izvršite procenu rizika samo kada razvijate, testirate ili uvodite AI sistem, već je potrebno i da periodično evaluirate njegove performanse. 

Dakle, neophodna je kontinuirana procena rizika vašeg AI sistema, kako sa tehničke, tako i sa pravne strane. 

2. Procena usaglašenosti sa AI Aktom

Kada ste ustanovili kojoj kategoriji rizika vaši AI sistemi pripadaju, a time i koje obaveze imate po AI Aktu, naredni korak jeste detaljna procena oblasti u kojima vaši trenutni sistemi, procesi i kontrole ne ispunjavaju zahteve tog akta. 

Ta analiza bi trebalo da uključuje:

• gde su specifične praznine u usaglašenosti koje će biti potrebno popraviti;
• koji su potrebni procesi za usklađenost, uključujući i dokumentaciju koju bi trebalo pripremiti i primeniti, kao i sve strateške promene koje bi trebalo izvršiti; 
• obim ulaganja i resursa za usaglašenost koje ćete možda morati da izvršite, odnosno angažujete i
• razvijanje okvira upravljanja veštačkom inteligencijom koji odgovara poslovnim sistemima veštačke inteligencije.

Ukoliko do ove faze niste angažovali advokata za veštačku inteligenciju savetujemo da to sada učinite, jer će vam advokat za veštačku inteligenciju pomoći da predmetnu analizu usaglašenosti sprovedete na pravi način, da vam predloži kako da popunite “šupljine” i time pomogne da izbegnete plaćanje basnoslovnih kazni koje su predviđene AI Aktom.

3. Primena mera radi ublažavanja neusaglašenosti

Nakon što se utvrdili neusaglašenosti, pokušajte u periodu do početka primene AI Akta, da uvedete mere zaštite, odnosno mere za ublažavanje uticaja na sve identifikovane rizike. 

Preduzimanjem proaktivnih mera sada, sistemi veštačke inteligencije vaše organizacije, bilo da se provajder, izvoznik, distributer ili korisnik, će biti usklađeni sa novim režimom kada AI Akt počne “u punom kapacitetu“ da se primenjuje, čime ćete moći da nastavite nasmetano da ih koristite i izbegnete potencijalne visoke sankcije propisane za nepoštovanje tog akta.

Za sisteme koji spadaju u kategoriju visokog rizika, ove mere recimo mogu uključivati:

• uspostavljanje mehanizama ljudskog nadzora kako bi se osigurala sigurnost i usklađenost,
• sprovođenje mera transparentnosti da bi se otkrili podaci koje koriste sistemi i rasvetlili način na koji odluke donose sistem veštačke inteligencije,
• uspostavljanje procedura za upravljanje rizikom, uključujući testiranje i dokumentovanje kvaliteta podataka,
• sprovođenje mera sajber bezbednosti za zaštitu sistema od potencijalnih napada.

Za sisteme veštačke inteligencije sa ograničenim ili minimalnim rizicima, mere za ublažavanje mogu da uključuju:

• Otkrivanje korisnicima da su u interakciji sa veštačkom inteligencijom, a ne sa ljudima,
• Usvajanje kodeksa ponašanja oko etičke upotrebe veštačke inteligencije,
• Implementacija odgovarajućih mera zaštite podataka.

Navedeno nije samo u skladu sa regulatornim zahtevima, već i podstiče poverenje među korisnicima i zainteresovanim stranama.

Takođe, ne zaboravite da ustanovite ko tačno u okviru vaše kompanije ima pravo da pristupi AI sistemu i da ga koristi.

I naravno sve dokumentovati, dokumentovati, dokumentovati!

4. Sprovođenje internih pravila i procedura

Složićete se, nije dovoljno samo sastaviti sve akte koje pravna regulativa zahteva da vaša kompanija poseduje kada je u pitanju veštačka inteligencija. Pravila, procesi i mehanizmi u tim aktima moraju biti i sprovedeni u praksi.

To znači da će vaši sledeći koraci biti da:

• Sprovedete edukaciju/e zaposlenih o gore navedenim internim pravilima i procedurama, jer je važno da vaši zaposleni razumeju na koji način i u koje svrhe smeju/ne smeju koristiti veštačku inteligenciju u okviru vaše kompanije kako ne bi došlo do slučajnih (a skupih) pravnih propusta sa njihove strane;
• Postavite odgovornu osobu ili tim zadužen za sprovođenje i praćenje usklađenosti sa AI regulativom. Ova osoba će takođe biti zadužena za dokumentovanje svih potencijalnih problema ili odstupanja;
• Uspostavite procedure za prijavu potencijalnih nepravilnosti u radu AI sistema (možete napravite formulare i/ili platformu koja omogućava zaposlenima, korisnicima i drugim zainteresovanim stranama da prijave predmetne nepravilnosti);
• Pratite zakonske promene (npr. kada bude donete smernice za sprovođenje AI Akta koje će vam olakšati u njegovoj primeni ili nacionalni propis koji uređuje oblast veštačke inteligencije) i uskladite interne dokumente sa njima (što će, ukoliko angažujete advokata za veštačku inteligenciju već sada, verovatno biti neznatan posao kasnije).

Dodatno, trebalo bi uspostaviti tzv. PMS (postmarket monitoring sistem) koji prati performanse vašeg AI sistema u stvarnim uslovima rada, povratne informacije korisnika, i reaguje na prijave problema.

Najzad, redovno testirate i ažurirate vaš AI sistem u skladu sa tehnološkim inovacijama, a naročito zarad povećanja njegove tačnosti, bezbednosti i otpornosti.

7. Koje su kazna za nepoštovanje AI Akt-a?

Ako ste se lepo pripremili za primenu AI Akta, znatno ste smanjili mogućnost kažnjavanja vaše organizacije za nepoštovanje AI Akta.

Kazna u slučaju nepoštovanja AI Akta koja se odnosi na zabranu upotrebe određenih sistema veštačke inteligencije iznosi čak do 35.000.000 eura ili do 7% ukupnog svetskog godišnjeg prometa za prethodnu finansijsku godinu, koji god da je iznos veći. 

Neusaglašenost sa većinom drugih odredbi Zakona o veštačkoj inteligenciji nosi sa sobom kaznu do 15.000.000 EUR ili do 3% ukupnog svetskog godišnjeg prometa za prethodnu finansijsku godinu, koji god da je iznos veći. 

Najzad, kazna za dostavljanje netačnih, nepotpunih ili obmanjujućih informacija nadležnim organima iznosi do 7 500 000 EUR ili do 1 % ukupnog svetskog godišnjeg prometa za prethodnu finansijsku godinu, koji god da je iznos veći. 

Sudeći kako su nadzorni organi u EU kažnjavali za nepoštovanje GDPR-a, može se očekivati da će nastaviti sa tom praksom i za nepoštovanje odredbi AI Akta. Što znači, nije za šalu, vreme je da počnete sa pripremama i usaglašavanjem. 

8. AI Akt: Izazov ili prilika za kompanije u Srbiji?

Iako AI Akt predstavlja izazov, on takođe otvara nove prilike za srpske kompanije. Usklađivanje sa strogim EU standardima može poboljšati reputaciju kompanija i povećati poverenje klijenata. 

Pored toga, AI Akt može podstaći razvoj novih tehnologija i rešenja koja su u skladu sa etičkim principima, pri čemu Srbija zaista ima potencijal da postane lider u ovoj oblasti, s obzirom na rastući broj stručnjaka za AI i IT.

Kompanije u Srbiji, posebno one koje se bave razvojem AI rešenja, moraju pažljivo pratiti razvoj situacije u vezi sa AI Aktom. Srbija, kao zemlja koja teži integraciji sa EU, verovatno će usvojiti slične propise u budućnosti. 

Stoga, usklađivanje sa EU standardima nije samo imperativ u cilju izbegavanja propisanih (basnoslovnih) kazni, već otvara vrata evropskom tržištu i priprema kompanije za buduće domaće propise.