VKEd — EL tehisintellekti seaduse vastavusjuhend

EL tehisintellekti seaduse nõuete täitmine väikeste ja keskmise suurusega ettevõtete jaoks. VKE-spetsiifilised sätted, juurdepääs regulatiivsetele liivakastidele, vähendatud tasud ning praktiline juhendmaterjal tehisintellekti kasutajatele ja arendajatele.

EL tehisintellekti seadus ja VKEd — head uudised

EL tehisintellekti seadus (määrus (EL) 2024/1689) kohaldub kõigile organisatsioonidele, kes lasevad tehisintellektisüsteeme EL turule või kasutavad neid seal, sõltumata suurusest. Kuid regulatiivne tegelikkus enamiku väikeste ja keskmise suurusega ettevõtete jaoks on pealkirjades vihjatust märkimisväärselt vähem koormav, ja seda ühe põhjapaneva põhjuse tõttu: valdav enamus VKEsid kasutab tehisintellekti, mitte ei loo seda.

VKE, kes tellib tehisintellektiga täiendatud CRM-i, võtab kasutusele SaaS-tarnija vestlusroboti või kasutab pilvepõhist nõudlusprognoositarkvara, on EL tehisintellekti seaduse terminoloogias kasutaja — mitte pakkuja. Kasutajakohustused on süstemaatiliselt kergemad kui pakkujakohustused. Pakkujatel lasub vastavushindamise, tehnilise dokumentatsiooni, CE-märgise ja registreerimise põhikohustus. Kasutajatel on sihipärasem kohustuste kogum, mis keskendub õigele kasutusele, inimjärelevalvele ja intsidentidest teavitamisele.

Lisaks kasutaja ja pakkuja eristusele sisaldab EL tehisintellekti seadus eraldi VKE-spetsiifiliste sätete paketti, mis pakub strukturaalset tuge: eelisjuurdepääs regulatiivsetele liivakastidele, vähendatud vastavushindamistasud ja pühendatud kontaktpunkt riiklikul tasandil. Need sätted peegeldavad seadusandja selget kavatsust takistada tehisintellekti seadusel muutumast ebaproportsionaalseks tõkkeks väiksematele turuosalistele.

Käesolev juhend selgitab, mida EL tehisintellekti seadus tähendab VKE jaoks praktikas — olgu selleks kolmanda osapoole tehisintellektivahendite kasutamine, tehisintellekti kasutusele võtmine kliendiga suhtlemise kontekstis või oma tehisintellektitoote arendamine ja turustamine.

VKE-spetsiifilised sätted määruses

EL tehisintellekti seadus sisaldab nelja sätet, mis kohalduvad spetsiifiliselt VKEdele (ettevõtted, kes vastavad komisjoni soovituse 2003/361/EÜ künnisele: vähem kui 250 töötajat ning aastane käive kuni 50 miljonit eurot või bilansimaht kuni 43 miljonit eurot) ja idufirmadele.

Art. 55 — Eelisjuurdepääs regulatiivsetele liivakastidele

Art. 55 sätestab, et regulatiivsed tehisintellekti liivakastid — järelevalvealused keskkonnad tehisintellekti arendamiseks ja katsetamiseks enne turule laskmist — peavad olema VKEdele ja idufirmadele eelisjärjekorras kättesaadavad. Juurdepääs on tasuta või soodustariifiga ning osalevad organisatsioonid saavad otse suunist pädevalt asutuselt. Liivakastis osalemine võimaldab turueelset riskide tuvastamist ja regulatiivset dialoogi kaitstud keskkonnas, ilma et kaasnevad mittevastava turule laskmise tagajärjed. VKEd, kes arendavad tehisintellektisüsteeme, peaksid käsitlema liivakastis osalemist nii vastavusvahendina kui ka mehhanismina otseseks suhtluseks järelevalveasutusega enne toote turule laskmist.

Art. 96 — Vähendatud tasud vastavushindamise eest

Kui kõrge riskitasemega tehisintellektisüsteem nõuab kolmanda osapoole vastavushindamist teavitatud asutuse poolt (kohaldatav Annex III punktides 1, 6 ja 7 loetletud süsteemidele ning meditsiiniseadmete tehisintellektile art. 6(1) alusel), nõuab art. 96 liikmesriikidelt väikeettevõtete jaoks vähendatud tasude kehtestamist. Mikroettevõtted — need, kellel on vähem kui 10 töötajat ning aastane käive või bilansimaht kuni 2 miljonit eurot — on õigustatud veelgi suuremate vähenduste saamiseks. Täpsed tasumäärad kehtestatakse liikmesriigi tasandil ja need erinevad jurisdiktsiooniti; praegused arvud saab esitada asjakohane riiklik tehisintellekti asutus või Enterprise Europe Network.

Art. 85 — Ühtne kontaktpunkt

Art. 85 kohustab riiklikke tehisintellekti järelevalveasutusi looma VKEdele pühendatud ühtse kontaktpunkti. See tähendab, et VKE, kes otsib tehisintellekti seaduse kohustuste osas juhendamist, ei pea navigeerima mitmes regulatiivses osakonnas ega koordineerima killustatud asutuste vahel. Ühtne kontaktpunkt annab teavet, suunab päringud sobivale funktsioonile ja hõlbustab liivakastirakendusi. See säte vähendab oluliselt regulatiivsete kohustuste mõistmise halduskulusid.

Art. 9(5) — Proportsionaalne riskijuhtimine

Art. 9(5) sätestab, et kõrge riskitasemega tehisintellektisüsteemide pakkujatelt nõutavat riskijuhtimissüsteemi võib rakendada proportsionaalselt, arvestades organisatsiooni suurust ja struktuuri. Kõrge riskitasemega süsteemi pakkujana tegutseva VKE jaoks tähendab see, et kuigi riskijuhtimissüsteemi kõik sisulised nõuded peavad olema täidetud, võib dokumentatsiooni vormi, protsessi keerukust ja juhtimisstruktuuri kohandada vastavalt organisatsiooni tegelikule võimekusele — tingimusel, et see ei kahjusta raamistiku kaitseeesmärke.

Kas te olete pakkuja või kasutaja? — Otsustusraamistik VKEdele

Kõige olulisem esialgne kindlaksmääramine iga VKE jaoks, kes tegeleb EL tehisintellekti seadusega, on see, kas ta tegutseb iga kasutatava või pakutava tehisintellektisüsteemi osas pakkujana või kasutajana.

Pakkuja (art. 3(3)): Organisatsioon, kes arendab tehisintellektisüsteemi või laseb seda arendada, ning laseb selle turule või võtab kasutusele oma nime või kaubamärgi all — kas tasu eest või tasuta. See hõlmab VKEsid, kes:

Loovad tarkvararakenduse, mis sisaldab tehisintellekti (sealhulgas API kaudu kasutatavaid tehisintellektimudeleid), ning müüvad või litsentseerivad seda toodet klientidele;
Arendavad tehisintellektimudelit või -rakendust organisatsioonisiseselt ning pakuvad seda teenusena väljastpoolt organisatsiooni olevatele lõppkasutajatele;
Muudavad kolmanda osapoole tehisintellektisüsteemi oluliselt viisil, mis muudab selle ettenähtud otstarvet.

Kasutaja (art. 3(4)): Organisatsioon, kes kasutab tehisintellektisüsteemi oma pädevuse alusel kutseotstarbel. See hõlmab VKEsid, kes:

Tellivad SaaS-tooteid koos integreeritud tehisintellektifunktsioonidega (tehisintellektiga täiendatud CRM, ERP, raamatupidamistarkvara);
Kasutavad oma veebisaidil kolmanda osapoole vestlusrobotit või vestluspõhist tehisintellekti;
Kasutavad pilvepõhiseid tehisintellekti API-sid (loomuliku keele töötlus, pildituvastus, soovitusmootorid) ainuüksi sisemiste töövoogude automatiseerimiseks või oma teenuste täiustamiseks, ilma et pakutaks tehisintellektivõimekust tootefunktsioonina kolmandatele isikutele;
Hangivad personalitarkvara, varude prognoosimise või kliendianalüütika tööriistu välistarnijatelt.

Kriitiline piirjuhtum: VKE, kes integreerib välise tehisintellekti API oma kliendile suunatud tootesse ja turustab seda võimekust oma toote funktsioonina, on selle tehisintellektifunktsionaalsuse osas pakkuja — mitte pelgalt alusliku API kasutaja. Juriidiline isik, kes määratleb ettenähtud otstarbe, kontrollib kasutajakogemust ja laseb toote turule, kannab pakkujakohustusi art. 16 alusel, olenemata sellest, kust tehisintellektimudel pärineb.

Kolmanda osapoole tehisintellekti kasutavate VKEde peamised kasutajakohustused

Enamiku VKEde — nende jaoks, kes kasutavad kolmanda osapoole tehisintellektivahendeid, mitte ei loo oma süsteeme — kohalduvad järgmised kohustused art. 26 ja sellega seotud sätete alusel.

Tehisintellektisüsteemide kasutamine vastavalt pakkuja juhistele

Kasutajad peavad kasutama kõrge riskitasemega tehisintellektisüsteeme üksnes vastavalt pakkuja kasutusjuhistele, mis on esitatud art. 13 kohaselt. Tehisintellektisüsteemi kasutamine eesmärkidel, mis ületavad selle dokumenteeritud ettenähtud otstarvet, või konfiguratsioonides, mida pakkuja ei ole valideerinud, kannab osa vastavusvastutusest kasutajale üle ning võib muuta süsteemi vastavushindamise kehtetuks.

Vastutava inimjärelevalve määramine

Art. 26(1) nõuab kasutajatelt, et nad omistaksid tehisintellekti järelevalve eest vastutuse organisatsiooni kvalifitseeritud isikule. Enamiku VKEde puhul on see nimega isik (mitte tingimata pühendatud tehisintellekti vastavusametnik), kes mõistab süsteemi funktsiooni, selle teadaolevaid piiranguid ja asjaolusid, millal on nõutav inimsekkumine. See määramine tuleks dokumenteerida.

Tegevuslogide säilitamine

Kui kõrge riskitasemega tehisintellektisüsteemid genereerivad logisid automaatselt (art. 12), peavad kasutajad säilitama neid logisid seadusega nõutud aja jooksul — tehisintellekti seaduse kohaselt üldiselt kuus kuud, välja arvatud juhul, kui valdkonnaspetsiifilised õigusaktid nõuavad pikemat säilitamist. Kasutajad peavad kontrollima, et nende tarnijaleping annab juurdepääsu logidele ja kinnitab nende vormi ja täielikkuse.

Tõsistest intsidentidest teavitamine pakkujat

Art. 26(5) nõuab kasutajatelt, et nad teavitaksid pakkujat igast tõsisest intsidendist või rikkest, mis avastati kasutamise käigus. Kui kasutajaks on avalik-õiguslik asutus, ulatuvad teavitamiskohustused riikliku tehisintellekti järelevalveasutuseni. Erasektori VKE-kasutajate jaoks on peamine kanal otsene teavitamine pakkujat, kellel on omakorda kohustus teavitada asutust art. 73 alusel.

Põhiõiguste mõjuhinnangu koostamine vajaduse korral

Art. 27 nõuab, et kõrge riskitasemega tehisintellekti kasutusele võtvad avaliku sektori asutused viivad enne kasutuselevõttu läbi põhiõiguste mõjuhinnangu. Erasektori VKEdele, kes võtavad kasutusele kõrge riskitasemega tehisintellekti — eriti personalijuhtimise, krediidihindamise või kliendiga suhtlemise otsustamise kontekstis — on tungivalt soovitatav koostada samaväärne hinnang, kuna see tõendab hoolsust ja vähendab oluliselt täitmise riski.

Tarnijalepingute läbivaatamine

VKE-kasutajad peavad tagama, et nende tehisintellekti tarnijatega sõlmitud lepingud sisaldavad: vastavusdokumentatsiooni ja kasutusjuhiseid; kinnitust EL andmebaasis registreerimise kohta, kus see on nõutav; logimise võimekuse ja juurdepääsuõiguste kirjeldust; tarnija kohustust intsidentidest teavitamise ja heastamise osas; ning teavet värskendamis- või muutmiskohustuste kohta, mis võivad mõjutada süsteemi vastavusstaatust.

Kui te arendate tehisintellekti — VKE pakkujakohustused ja tugi

VKEd, kes arendavad ja turustavad tehisintellektisüsteeme, on pakkujad ning kannavad täielikke pakkujakohustusi III peatüki alusel kõigi kõrge riskitasemega süsteemide osas. Nende kohustuste ulatus on märkimisväärne: kvaliteedijuhtimissüsteem (art. 17), tehniline dokumentatsioon vastavalt Annex IV, andmehaldus vastavalt art. 10, logimine vastavalt art. 12, läbipaistvusnõuded vastavalt art. 13, inimjärelevalve disain vastavalt art. 14 ning täpsuse ja robustsuse standardid vastavalt art. 15. Teavitatud asutuse hindamist nõudvate Annex III süsteemide puhul järgib vastavusrada art. 43.

VKE pakkuja praktiline lähtepunkt on riskiklassifikatsiooni kindlaksmääramine:

Kas tehisintellektisüsteem kuulub art. 5 alla (keelatud tavad)? Sellisel juhul tuleb arendus lõpetada või põhjalikult ümber korraldada enne mis tahes turutegevust.
Kas süsteem kvalifitseerub kõrge riskitasemega süsteemiks art. 6(1) (reguleeritud toote ohutuskomponent) või Annex III alusel (loetletud rakendusalad, sealhulgas biomeetriline tuvastamine, kriitiline infrastruktuur, haridus, tööhõive, olulised teenused, õiguskaitse, ränne, õigusemõistmine)?
Kas süsteem kvalifitseerub ainult üldotstarbeliseks tehisintellektimudeliks, mida reguleerivad art. 51–56, ilma kõrge riskitaseme klassifikatsioonita?
Kas süsteem kuulub ainult art. 50 läbipaistvuskohustuste alla (emotsioonituvastus, süvavõltsingud, vestlusrobotid)?

VKEde jaoks, kelle süsteemid ei kuulu kõrge riskitasemega ega keelatud kategooriasse, on vastavus märkimisväärselt kergem: art. 50 läbipaistvuse avalikustamine, GDPR-iga vastavusse viimine ning valdkonnaspetsiifilised kohustused kohaldatava riikliku või EL õiguse alusel.

Kõrge riskitasemega tehisintellekti arendavate VKEde jaoks on art. 55 regulatiivne liivakast kõige olulisem kättesaadav vahend. Liivakastis osalemine võimaldab turueelset katsetamist regulatiivse järelevalve all, annab dokumenteeritud tõendeid heausksest vastavuspüüdlusest ja võimaldab tuvastada parandusmeetmed enne, kui need muutuvad täitmisküsimusteks. Taotlused esitatakse riiklikule ühtse kontaktpunkti kaudu (art. 85).

VKE vastavuse praktilised sammud

1. samm — Koostage inventuur kõigist kasutatavatest või arendataavatest tehisintellektisüsteemidest. Loetlege kõik tehisintellektivahendid, SaaS-tooted, pilvepõhised API-d ja organisatsioonisiseselt arendatud mudelid. Märkige iga puhul tarnija, funktsioon ja see, kas VKE tegutseb pakkuja või kasutajana.

2. samm — Klassifitseerige iga süsteem riskikategooria järgi. Rakendage iga süsteemi suhtes art. 5 / art. 6 / Annex III / art. 50 raamistikku. Kui klassifikatsioon on ebaselge, kasutage art. 85 ühtset kontaktpunkti juhendamiseks.

3. samm — Kasutajarolli puhul: auditeerige tarnijalepinguid. Veenduge, et iga tehisintellekti tarnija on esitanud art. 13 kohaselt nõutava dokumentatsiooni ning et leping käsitleb logimist, intsidentidest teavitamist ja värskenduskriteeriume. Märkige puudused ümberläbirääkimiste jaoks.

4. samm — Pakkujarolli puhul: alustage vastavusrada. Määrake kindlaks, kas teie kõrge riskitasemega tehisintellektisüsteem nõuab enesehinnangu (art. 43(2)) või kolmanda osapoole teavitatud asutuse hindamist (art. 43(1)). Taotlege liivakastiligipääsu art. 55 alusel, kui süsteem on arendamisel. Võtke teavitatud asutusega varakult ühendust, et mõista ajakava ja tasude mõjusid, arvestades teie õigust VKE tasuvähendusele art. 96 alusel.

5. samm — Rakendage art. 26 kasutajakohustused kõigi kõrge riskitasemega süsteemide puhul. Määrake järelevalvepersoonid, dokumenteerige nende kohustused, kontrollige logu säilitamise menetlusi ja kinnitage intsidentidest teavitamise kanalid.

6. samm — Kehtestage tehisintellekti seaduse ülevaatustsükkel. EL tehisintellekti seadus on elav raamistik. Määrake vastutav isik EL tehisintellekti büroost pärineva juhendmaterjali, riiklike asutuste uuenduste ja Annex III klassifikatsioonide muudatuste jälgimiseks. Planeerige iga-aastane siseülevaatus süsteemi inventuurist ja vastavusstaatusest.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-20 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

Kas meie VKE, mis kasutab oma tootes OpenAI API-t, on tehisintellekti seaduse tähenduses pakkuja?

Jah. Kui teie VKE integreerib kolmanda osapoole tehisintellekti mudeli (sealhulgas API kaudu) tootesse või teenusesse, mille te lasete turule või võtate kasutusele oma nime või kaubamärgi all, loetakse teid **pakkujaks** EL tehisintellekti seaduse **art. 3(3)** tähenduses. See kehtib sõltumata sellest, kas alusmudeli on loonud mõni teine ettevõte. Pakkuja kohustused — sealhulgas tehniline dokumentatsioon, vastavushindamine, CE-märgis (kõrge riskitasemega süsteemide puhul) ja registreerimine — lasuvad teie õlul. Kui ülesvoolu mudelipakkuja esitab vastavusdokumentatsiooni ja kasutusjuhised, toetavad need dokumendid teie vastavuspüüdlusi, kuid ei asenda neid. Art. 55 ja art. 96 näevad ette VKE-spetsiifilised tugimeetmed, et vastavuskohustuse täitmise koormust leevendada.

Kas meie VKE veebisaidil olev vestlusrobot peab vastama EL tehisintellekti seaduse nõuetele?

See sõltub kahest tegurist: vestlusroboti olemusest ja selle funktsioonidest. Esiteks, kui vestlusrobot on **üldotstarbeline tehisintellektipõhine süsteem**, mis suhtleb kasutajatega, peab see vastama **art. 50 läbipaistvuskohustusele**: kasutajaid tuleb teavitada sellest, et nad suhtlevad tehisintellektisüsteemiga, välja arvatud juhul, kui see on kontekstist ilmne. Teiseks, kui vestlusrobot täidab funktsioone, mis kvalifitseeruvad kõrge riskitasemega funktsioonideks — näiteks tööotsijate eelvalik, krediidivõimelisuse hindamine või õiguslike või oluliste isiklike tagajärgedega otsuste tegemine —, kohalduvad täiendavad kõrge riskitasemega kohustused. Lihtne KKK- või tootenavi vestlusrobot, mis kasutab kolmanda osapoole SaaS-pakkuja lahendust (kus teie olete kasutaja), käivitab peamiselt art. 50 läbipaistvusnõude ning art. 26 kohased kasutajakohustused, eelkõige juhiste kohase kasutamise ja intsidentidest teavitamise.

Mis on regulatiivne tehisintellekti liivakast ja kuidas meie idufirma saab sellele juurdepääsu?

**Regulatiivne tehisintellekti liivakast** on riiklike tehisintellekti järelevalveasutuste loodud järelevalvealune katsekeskkond, kus tehisintellekti pakkujad — sealhulgas idufirmad ja VKEd — saavad tehisintellektisüsteeme arendada, katsetada ja valideerida enne turule laskmist, saades otse regulatiivset suunist. Liivakaste reguleerivad EL tehisintellekti seaduse **art. 57–63**. **Art. 55 annab VKEdele ja idufirmadele eelisjuurdepääsu** ning osalemine on tasuta või soodustariifiga. Taotlused esitatakse otse liikmesriigi tehisintellekti seaduse eest vastutavale riiklikule asutusele. Liivakastis võib asutus anda piiratud erandeid konkreetsetest nõuetest, et võimaldada tegelikku katsetamist; iga toode, mis lastakse turule pärast liivakastiperioodi, peab seejärel vastama kõikidele kohaldatavatele kohustustele. Taotlusmenetluse teadasaamiseks pöörduge VKEde riikliku kontaktpunkti poole (**art. 85**).

Kas meil on vaja registreerida oma tehisintellektisüsteem EL andmebaasis?

Registreerimine **kõrge riskitasemega tehisintellektisüsteemide EL andmebaasis** vastavalt **art. 49-le** on nõutav ainult juhul, kui teie süsteem on klassifitseeritud **kõrge riskitasemega** art. 6 või Annex III alusel. Kõrge riskitasemega süsteemide pakkujad peavad registreeruma enne turule laskmist; avalik-õiguslikud asutused, kes on kasutajad, peavad samuti registreeruma enne kasutuselevõttu. Enamik VKEsid, kes kasutavad kolmanda osapoole tehisintellektisüsteeme (SaaS- või API-tarbijatena), ei pea registreerima — see kohustus lasub pakkujal. Kui teie VKE on kõrge riskitasemega tehisintellektisüsteemi pakkuja, on registreerimine kohustuslik olenemata ettevõtte suurusest, kuigi art. 55 ja 96 tugisätted kohalduvad seotud kulude ja menetlusliku keerukuse vähendamiseks. Andmebaas on avalikult kättesaadav ja seda haldab EL tehisintellekti büroo.

Milliseid dokumente peaksime oma tehisintellekti tarnijalt enne nende süsteemi kasutuselevõttu nõudma?

Enne kolmanda osapoole tehisintellektisüsteemi kasutuselevõttu, eriti sellise, mis võib olla kõrge riskitasemega, peaks teie VKE lepinguliselt nõudma ja hankima: (1) **EL vastavusdeklaratsiooni** või samaväärse vastavusdokumentatsiooni; (2) **kasutusjuhised** vastavalt art. 13 nõuetele, sealhulgas ettenähtud otstarve, teadaolevad piirangud ja inimjärelevalve nõuded; (3) kinnituse, et süsteem on **EL andmebaasis registreeritud**, kui see on nõutav; (4) teavet süsteemi **logivõimaluste** kohta ning selle kohta, kuidas logidele pääseda juurde või neid hankida; (5) tarnija **intsidentidest teavitamise menetlused** ja nende kohustused teavitada teid riketest või vastavust mõjutavatest värskendustest; ning (6) teavet süsteemi **andmetöötluse omaduste** kohta, mis on asjakohane teie GDPR-kohustuste seisukohalt. Nende dokumentide puudumine tundlikus valdkonnas tegutseva tehisintellektisüsteemi tarnija puhul kujutab endast olulist vastavusriski.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.