90% organizacija koje koriste AI su korisnici koji integriraju modele trećih strana — OpenAI, Anthropic, Azure AI ili AI SaaS alate. Razumijte svoje obveze: što vam pružatelj mora dati, što vi morate učiniti i kada postajete pružatelj sami.
Stvarnost AI-ja trećih strana: Većina organizacija su korisnici
Većina europskih organizacija koje koriste AI nisu OpenAI, Mistral ni istraživački laboratorij. Integriraju postojeće modele — putem API-ja, SaaS platforme, Azure AI komponente ili priključka poslovnog alata. Salesforce Einstein, Copilot za Microsoft 365, HR chatbot pokrenut velikim jezičnim modelom, rješenje kreditnog bodovanja kupljeno od specijaliziranog dobavljača: u svim tim slučajevima, vi ste korisnik AI sustava koji je izgradio netko drugi.
Ovu poziciju zauzima velika većina organizacija pogođenih EU AI aktom. Ona nosi precizne obveze — različite od onih pružatelja, ali ne neznatne. Može se i razvijati: ako modificirate sustav ili ga preprodajete, vaš pravni status se mijenja.
Razumijevanje vaše pozicije u lancu vrijednosti AI-ja prvi je korak u bilo kakvom nastojanju usklađivanja.
Vaše obveze kao korisnika
Korisničke obveze razlikuju se ovisno o razini rizika AI sustava koji koristite.
Za visokorizične AI sustave (Prilog III)
Ako raspoređujete AI sustav treće strane koji se kvalificira kao visokorizičan (procjena kreditne sposobnosti, biometrijska identifikacija, pregled zapošljavanja, upravljanje kritičnom infrastrukturom itd.), vaše obveze prema Čl. 26 su:
1. Slijedite upute za korištenje Koristite sustav samo za njegovu namijenjenu svrhu i u skladu s uputama koje je pružatelj dužan dostaviti. Korištenje visokorizičnog AI sustava izvan validiranog opsega je povreda usklađenosti čak i ako ste samo korisnik.
2. Dodijelite ljudski nadzor Odredite fizičku osobu s kompetencijom, ovlastima i resursima za provođenje smislenog ljudskog nadzora nad izlazima AI sustava. Ta osoba mora biti u stanju razumjeti što sustav radi, otkrivati anomalije te overridati ili zaustavljati sustav kada je potrebno.
3. Osigurajte kvalitetu ulaznih podataka Osigurajte da su podaci koje unosite u sustav relevantni, dovoljno reprezentativni i prikladni za namijenjenu svrhu u vašem specifičnom kontekstu raspoređivanja. Sustav validiran na jednoj populaciji može se drugačije ponašati na vašoj — to je vaš rizik za upravljanje.
4. Pratite operaciju i otkrivajte anomalije Aktivno pratite operaciju sustava za anomalije, neočekivane izlaze ili degradaciju performansi. Ovo nije odgovornost pružatelja u raspoređivanju — to je vaša.
5. Zadržite zapise Aktivirajte i zadržite automatizirane zapise koje sustav generira za period koji zahtijeva Akt (i bilo koji sektorski propis koji se može primjenjivati). Ne isključujte bilježenje radi uštede pohrane.
6. Prijavite ozbiljne incidente Ako postanete svjesni ozbiljnog incidenta ili kvara — onog koji je uzrokovao ili mogao uzrokovati smrt, ozbiljnu štetu, kršenje temeljnih prava ili značajnu materijalnu štetu — obavijestite pružatelja bez nepotrebnog odlaganja. U nekim slučajevima (osobito gdje raspoređivanje uključuje javne usluge ili aktivnosti bliske kaznenom pravosuđu), može se zahtijevati i izravna prijava nacionalnom tijelu za nadzor tržišta.
7. Procjena utjecaja na temeljna prava (javna tijela) Ako ste javno tijelo, ili privatni subjekt koji raspoređuje AI sustave u područjima koja vjerojatno utječu na temeljna prava (zdravstvo, socijalne usluge, obrazovanje, kazneno pravosuđe), morate provesti Procjenu utjecaja na temeljna prava prije raspoređivanja (Čl. 27).
Za AI sustave samo s transparentnošću (Čl. 50)
Ako raspoređujete chatbot, sustav AI generiranog sadržaja ili alat za prepoznavanje emocija koji nije visokorizičan ali potpada pod obveze transparentnosti Čl. 50, morate:
- Informirati korisnike da komuniciraju s AI sustavom (Čl. 50(1))
- Osigurati da je AI generirani sadržaj tehnički označen (Čl. 50(4)) gdje je primjenjivo
- Informirati izložene osobe kada se koristi prepoznavanje emocija ili biometrijska kategorizacija (Čl. 50(2)–(3))
Ove obveze primjenjuju se čak i pri korištenju API-ja ili SaaS alata treće strane. Pružatelj je odgovoran za izgradnju tehničke sposobnosti; vi ste odgovorni za njeno aktiviranje i osiguravanje da otkrivanje zaista dospije do korisnika.
Za minimalno rizične AI sustave
Nema specifičnih zakonskih obveza prema AI aktu. Primjenjuju se dobrovoljni kodeksi ponašanja. Dobra praxis upravljanja i dalje preporučuje osnovnu dokumentaciju AI sustava u upotrebi i periodičnu provjeru njihovih performansi.
Što zahtijevati od vašeg AI pružatelja treće strane
Vaša sposobnost ispunjavanja korisničkih obveza izravno ovisi o tome što vam pružatelj daje. EU AI akt zahtijeva od pružatelja visokorizičnih AI sustava dostavljanje specifičnih informacija — a pružatelji GPAI modela imaju paralelne obveze dokumentacije. Koristite ovaj kontrolni popis pri nabavi AI-ja trećih strana:
Za bilo koji AI sustav
- Opis sustava: Što sustav radi, koje ulaze prima, koje izlaze generira i koje odluke može utjecati?
- Namijenjena svrha: Za koje slučajeve upotrebe je sustav točno dizajniran, validiran i odobren?
- Poznata ograničenja: Pod kojim uvjetima sustav slabo performira? Koje populacije, jezici ili vrste podataka su izvan validiranog opsega?
- Upute za korištenje: Potpuni skup uputa koje je pružatelj dužan dostaviti prema Čl. 13 za visokorizične sustave
Specifično za visokorizične sustave
- Izjava o sukladnosti ili sažetak rezultata ocjene sukladnosti
- Dokumentacija upravljanja rizicima — koji su rizici identificirani i kako su ublaženi?
- Rezultati testiranja pristranosti i pravednosti — koje zaštićene karakteristike su testirane, koje metrike su korištene i koji su rezultati pronađeni?
- Metrike performansi — točnost, stope lažnih pozitiva/negativnih i performanse razvrstane po relevantnim demografskim skupinama
- Mogućnost bilježenja — potvrda da sustav generira zapise zahtijevane Čl. 12 i upute za pristup i njihovo zadržavanje
- Proces obavještavanja o incidentima — koga kontaktirati, u kojem vremenskom roku i kojim kanalom kada se dogodi ozbiljni incident
- Politika ažuriranja — kako vam pružatelj priopćuje materijalna ažuriranja i koja ponovna validacija se zahtijeva nakon ažuriranja?
Za GPAI modele (API-ji i pristup temeljnom modelu)
- Kartica modela ili tehnički sažetak — sposobnosti, ograničenja, sažetak podataka za obuku, rezultati evaluacije
- Izjava o usklađenosti s autorskim pravima — kako pružatelj rješava zakon o autorskim pravima za podatke obuke i izlaze?
- Politika prihvatljive upotrebe — koji su slučajevi upotrebe zabranjeni od strane pružatelja i što se događa ako ih prekršite?
- Uvjeti obrade podataka — kako pružatelj rukuje vašim ulaznim podacima? Koriste li se za daljnju obuku?
Kada postajete pružatelj
Čl. 25 AI akta ključan je za korisnike AI-ja trećih strana: definira kada korisnik prelazi u pružatelja i preuzima sve obveze pružatelja.
Postajete pružateljem kada:
1. Bitno modificirate visokorizični AI sustav
Ako uzimate visokorizični AI sustav i vršite bitne promjene koje premašuju ono što je pružatelj namjeravao — mijenjate model, trenirate na vašim podacima, mijenjate temeljnu logiku — sada ste pružatelj novog ili bitno modificiranog sustava. Sve obveze pružatelja se primjenjuju: ocjena sukladnosti, tehnička dokumentacija, CE oznaka, registracija u bazi podataka AI EU.
Ključno pitanje: Je li vaša prilagodba "upotreba unutar namijenjenih parametara" ili "razvoj nove sposobnosti"? Fino podešavanje modela na vašim domenskim podacima može ili ne mora biti bitna modifikacija ovisno o stupnju promjene i utječe li na profil rizika.
2. Promjena namijenjene svrhe u visokorizičnu
Ako uzimate sustav koji nije klasificiran kao visokorizičan i raspoređujete ga za visokorizičan slučaj upotrebe — korištenjem generičkog klasifikatora teksta za donošenje odluka o zapošljavanju, na primjer — promijenili ste namijenjenu svrhu na način koji aktivira klasifikaciju visokog rizika. Postajete pružateljem visokorizičnog AI sustava i morate se uskladiti sa svim obvezama pružatelja za to raspoređivanje.
3. Stavljanje sustava na tržište pod vlastitim imenom
Ako kupujete ili licencirate AI sustav i prodajete ga dalje ili nudite drugima kao vlastiti proizvod (white-labelling), stavljate ga na tržište pod vlastitim imenom i postajete pružateljem. Ovo je uobičajeno u SaaS sektoru: integriranje modela treće strane u vlastitu ponudu proizvoda čini vas pružateljem za taj proizvod.
4. Vršenje velikih promjena GPAI modela
Ako uzimate GPAI model i vršite velike modifikacije njegovih sposobnosti ili slučaja upotrebe — šire od finog podešavanja unutar namijenjenih parametara pružatelja — možda postajete pružateljem novog GPAI modela s vašim vlastitim obvezama Poglavlja V.
Ugovorna zaštita za korisnike
Budući da vaše usklađivanje ovisi o tome što vam pružatelj daje, vaši ugovori s AI dobavljačima trećih strana ključan su alat usklađivanja. Ključne klauzule za uključivanje:
Prava na informacije
- Pravo na primanje i redovito ažuriranu verziju uputa za korištenje
- Pravo na pristup izjavi o sukladnosti i sažetku ocjene sukladnosti
- Pravo na primanje rezultata testiranja pristranosti i metrika performansi
- Pravo na primanje dokumentacije materialnih ažuriranja modela prije raspoređivanja
Upravljanje incidentima
- Obveza pružatelja da vas obavijesti o ozbiljnim incidentima ili ranjivostima kojih postanu svjesni, unutar definiranog vremenskog okvira
- Jasan kanal i proces za vas da prijavite incidente pružatelju
- Obveza pružatelja da surađuje s vašim istragama incidenata i regulatornim upitima
Prava revizije
- Pravo na reviziju ili primanje revizijskih izvještaja o usklađenosti pružatelja s obvezama AI akta
- Pravo na zahtjevanje ažurirane dokumentacije kada se dogode značajne promjene
Obveze ažuriranja
- Pružatelj mora vas obavijestiti prije raspoređivanja materijalnih ažuriranja AI sustava
- Pružatelj mora savjetovati je li ažuriranje bitna modifikacija koja zahtijeva ponovnu validaciju
- Kontinuitet dokumentacije — ažurirana tehnička dokumentacija mora biti dostavljna s svakim materijalnim ažuriranjem
Alokacija odgovornosti
- Jasnoća o tome koja je stranka odgovorna za koje obveze prema Čl. 25
- Odšteta za gubitke nastale neusklađenošću pružatelja s obvezama dobavljača
- Odredbe o ograničenju odgovornosti koje ne narušavaju vašu sposobnost ispunjavanja regulatornih obveza
AI tržište dobavljača: Na što paziti
Tržište AI alata i usluga brzo se razvija, a pozicija usklađenosti prema EU AI aktu dobavljača značajno varira:
- Veliki cloud i AI pružatelji (Microsoft, Google, AWS, OpenAI, Anthropic) uložili su znatno u AI upravljanje i dokumentaciju usklađenosti s GPAI-em. Njihovi uvjeti usluge i kartice modela pružaju više informacija od većine ostalih dobavljača.
- Specijalizirani vertikalni AI dobavljači (HR tech, legal tech, fintech, healthtech) su u različitim fazama gotovosti za EU AI akt. Mnogi su MSP-ovi koji još nisu u potpunosti mapirali svoje obveze.
- Ugrađeni AI u SaaS alate (AI značajke u CRM-u, ERP-u, alatima za produktivnost) možda se ne trguje kao "AI produkt" — ali ako donose ili utječu na posljedične odluke o pojedincima, primjenjuju se obveze EU AI akta.
Timovi za nabavu trebali bi dodati pregled usklađenosti prema AI aktu u dubinsku analizu dobavljača — tražeći od dobavljača da potvrde status usklađenosti, dostave dokumentaciju sukladnosti za visokorizične sustave i obvežu se na kontinuirano dijeljenje informacija dok se regulatorni krajolik razvija.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Da, kao korisnike. API pružatelj (OpenAI, Anthropic) je pružatelj GPAI modela i snosi GPAI obveze. Ako gradite aplikaciju na njihovom API-ju i dostavljate je korisnicima, postajete pružatelj te aplikacije (AI sustav). Imate korisničke obveze prema temeljnom GPAI modelu i obveze pružatelja za vaš vlastiti AI sustav.
Za visokorizične AI sustave: dobavljač (kao pružatelj) mora dostaviti upute za korištenje (Čl. 13) i sažetak ocjene sukladnosti ili izjave o sukladnosti. Za GPAI modele: pružatelji moraju dostaviti tehničku dokumentaciju i informacije potrebne za downstream usklađivanje. Ugovorom zahtijevajte: opis sustava, poznata ograničenja, rezultate testiranja pristranosti, metrike performansi i postupke prijave incidenata.
Ugovorom možete alocirati odgovornost između stranaka — ali regulatorna odgovornost ne može se ugovoriti. Ako raspoređujete visokorizični AI sustav, imate korisničke obveze bez obzira na vaš sporazum. Koristite ugovore kako biste osigurali da vam pružatelj daje ono što trebate za ispunjavanje vaših obveza, ne za bijeg od njih.
EU AI akt primjenjuje se na AI sustave stavljene na europsko tržište bez obzira gdje je pružatelj osnovan. Ne-EU pružatelji moraju odrediti ovlaštenog predstavnika u EU-u (Čl. 22) koji ima iste zakonske obveze kao EU osnovan pružatelj. Provjerite ima li dobavljač ovlaštenog predstavnika prije raspoređivanja njihovog AI sustava.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.