AI Act više nije tema rezervisana isključivo za velike tehnološke kompanije. Naime, ukoliko vaša organizacija koristi ChatGPT, Copilot, AI chatbotove, AI recruitment alate ili posluje sa EU klijentima, velika je verovatnoća da će pitanja AI compliance-a uskoro postati deo svakodnevnog poslovanja, vendor due diligence procesa i ugovornih odnosa.

Drugim rečima, za veliki broj kompanija prvo ozbiljno pitanje u vezi sa AI regulativom verovatno neće doći od regulatora, već od međunarodnog partnera, procurement tima ili enterprise klijenta koji traži informacije o korišćenju AI alata, zaštiti podataka i internim AI governance procedurama.

U tom kontekstu, AI compliance postepeno prestaje da bude isključivo pravno ili tehnološko pitanje. Naprotiv, ono sve više postaje pitanje poslovne održivosti, upravljanja rizicima, ugovornih odnosa i tržišnog poverenja.

Napomena: Iako je tekst pisan na srpskom jeziku, određeni termini ostavljeni su u originalu na engleskom. Naime, izrazi poput “compliance”, “vendor due diligence”, “human oversight” ili “AI governance” danas su postali toliko sastavni deo međunarodne poslovne i regulatorne prakse da bi njihovo doslovno prevođenje na pojedinim mestima zvučalo neprirodno ili, iskreno, pomalo smešno, čak i nama koji smo ovaj tekst pripremili.

Autor teksta: Jelena Eremić, saradnik u STATT-u. Jelena je diplomirala na Pravnom fakultetu Univerziteta u Beogradu, sa iskustvom u oblasti regulatornog istraživanja, pravnog pisanja i međunarodne komunikacije. Tokom dosadašnjeg rada učestvovala je u projektima i praksama u pravosudnim institucijama, međunarodnim organizacijama i privatnom sektoru, sa posebnim interesovanjem za savremena pravna i regulatorna pitanja.

Tekst pregledao i odobrio: Miomir Stojković, osnivač i advokat u STATT-u.

AI više nije samo IT tema

Veštačka inteligencija danas više nije rezervisana isključivo za tehnološke kompanije, startup ekosistem ili razvoj kompleksnih AI modela. Naprotiv, AI alati postepeno postaju deo svakodnevnog poslovanja u gotovo svim industrijama.

Naime, zaposleni danas koriste ChatGPT za sastavljanje email komunikacije, sažimanje dokumenata, analizu ugovora i pripremu poslovnih sadržaja. Istovremeno, kompanije integrišu Copilot, AI chatbotove, AI recruitment alate i različite oblike automatizacije u HR, marketing, customer support, prodaju i interne operativne procese.

Štaviše, veliki broj organizacija već koristi AI funkcionalnosti iako toga često nije potpuno svestan. Na primer, AI danas postaje sastavni deo SaaS platformi, CRM sistema, marketing alata, customer support rešenja i enterprise softvera koji se svakodnevno koriste u poslovanju.

U tom kontekstu, pitanje više nije da li kompanija koristi AI, već:

• na koji način ga koristi;
• ko ima pristup AI alatima;
• koje podatke zaposleni unose u AI sisteme;
• i da li organizacija ima kontrolu nad potencijalnim pravnim, ugovornim i poslovnim rizicima.

Upravo zbog toga AI governance i AI compliance postepeno prestaju da budu tema rezervisana za IT sektor. Sledstveno navedenom, ova pitanja sve više postaju deo standardnih compliance, risk management i procurement procedura kompanija koje posluju međunarodno.

Šta je EU AI Act — i zašto je važan i van Evropske unije

Evropska unija usvojila je 2024. godine EU AI Act, odnosno prvi sveobuhvatni regulatorni okvir posvećen veštačkoj inteligenciji na globalnom nivou. Premda se u javnosti AI Act često opisuje kao „zakon o veštačkoj inteligenciji“, njegov stvarni značaj znatno je širi.

Naime, AI Act ne reguliše samo razvoj AI sistema, već i način na koji se oni koriste, integrišu i plasiraju na tržište. U tom smislu, regulativa obuhvata veoma različite poslovne modele — od kompanija koje razvijaju AI proizvode, pa sve do organizacija koje koriste AI alate u svakodnevnom poslovanju ili ih integrišu u postojeće SaaS i enterprise platforme.

Istovremeno, AI Act uvodi tzv. „risk-based approach“, odnosno pristup zasnovan na proceni rizika. Drugim rečima, nisu svi AI sistemi regulisani na isti način. Što je veći potencijalni uticaj AI sistema na prava pojedinaca, zapošljavanje, pristup uslugama ili donošenje važnih odluka, to su regulatorne obaveze strožije.

Međutim, jedan od najvažnijih razloga zbog kojih je AI Act relevantan i za kompanije iz Srbije jeste njegova ekstrateritorijalna primena.

Naime, prema članu 2 AI Act-a, za primenu regulative nije presudno gde je kompanija registrovana, već da li se AI sistem ili njegovi outputs koriste na tržištu Evropske unije. Upravo zbog toga AI Act može postati relevantan i za organizacije koje formalno nemaju sedište u EU.

U praksi, to može obuhvatiti veoma različite situacije. Na primer:

• kompanija iz Srbije razvija AI alat za EU klijente;
• domaći SaaS proizvod koristi AI funkcionalnosti za korisnike u EU;
• outsourcing kompanija pruža AI-related development ili support usluge evropskim partnerima;
• organizacija integriše generativni AI u platformu čiji se rezultati koriste unutar Evropske unije;
• HR ili recruitment platforma koristi AI za rangiranje kandidata za međunarodne klijente.

Kada se u praksi govori o „generativnom AI-u“, najčešće se misli na AI alate koji mogu kreirati novi sadržaj, i to uključujući tekst, email komunikaciju, fotografije, video sadržaj, prezentacije, analize ili programski kod, sve na osnovu korisničkih instrukcija. Upravo takvi sistemi, poput ChatGPT-a, Copilot-a ili Gemini-ja, danas sve češće postaju deo svakodnevnog poslovanja kompanija.

Sledstveno navedenom, veliki broj kompanija iz Srbije može doći u kontakt sa AI compliance pitanjima iako formalno nije registrovan unutar Evropske unije.

Sa druge strane, za mnoge organizacije prvi praktični kontakt sa AI Act-om verovatno neće doći direktno od regulatora. Naprotiv, mnogo je verovatnije da će pitanja AI governance-a, transparency mera i korišćenja AI alata otvoriti međunarodni partneri, enterprise klijenti ili procurement timovi tokom vendor onboarding i due diligence procesa.

Upravo zbog toga AI Act danas postaje ne samo regulatorno, već i poslovno, ugovorno i strateško pitanje za kompanije koje posluju međunarodno.

EU već radi na pojednostavljenju AI Act-a

Premda se AI Act često predstavlja kao stroga i veoma kompleksna regulativa, važno je razumeti da Evropska unija istovremeno već radi i na njegovom pojednostavljenju i praktičnijoj implementaciji.

Naime, nakon usvajanja AI Act-a, veliki broj kompanija, industrijskih udruženja i tehnoloških organizacija ukazao je na potencijalne probleme povezane sa prevelikim regulatornim opterećenjem, preklapanjem različitih digitalnih propisa i komplikovanom praktičnom primenom pojedinih AI compliance obaveza. Posebno su se otvorila pitanja u vezi sa visokim troškovima usklađivanja, sporijom inovacijom i dodatnim administrativnim zahtevima za kompanije koje razvijaju ili koriste AI sisteme.

Upravo zbog toga Evropska komisija pokrenula je tzv. „Digital Omnibus on AI“, odnosno paket izmena i pojednostavljenja čiji je cilj da se određene AI Act obaveze učine jasnijim, praktičnijim i održivijim za poslovanje.

U tom kontekstu, fokus više nije isključivo na regulaciji AI sistema, već i na:

• smanjenju nepotrebnog administrativnog opterećenja;
• jasnijem odnosu AI Act-a sa drugim EU propisima;
• lakšoj implementaciji za kompanije;
• podršci inovacijama i razvoju AI tehnologija;
• i postepenijem uvođenju pojedinih compliance obaveza.

Istovremeno, deo predloženih izmena odnosi se i na odlaganje pojedinih rokova za high-risk AI sisteme, naročito u oblastima u kojima industrija smatra da još ne postoje dovoljno jasni tehnički standardi i praktične smernice za implementaciju.

Sa druge strane, važno je naglasiti da cilj ovih promena nije odustajanje od AI regulative niti potpuna deregulacija tržišta. Naprotiv, Evropska unija i dalje zadržava osnovni „risk-based“ pristup AI Act-a, kao i fokus na zaštiti bezbednosti, fundamentalnih prava, transparentnosti i odgovornog korišćenja veštačke inteligencije.

Međutim, u svetlu navedenog, sve je očiglednije da evropski regulator pokušava da pronađe balans između inovacije i upravljanja rizicima. Drugim rečima, cilj više nije samo kontrola AI sistema, već i stvaranje regulatornog okruženja koje će omogućiti praktičnu i održivu primenu AI tehnologija u poslovanju.

Upravo zbog toga kompanije danas ne bi trebalo da posmatraju AI Act isključivo kao rigidnu regulatornu prepreku. Stoga je verovatno preciznije govoriti o postepenom razvoju AI governance standarda koji će se vremenom prilagođavati tržištu, tehnološkom razvoju i realnim potrebama poslovanja.

Gde kompanije iz Srbije najčešće dolaze u kontakt sa AI compliance pitanjima

Premda se AI Act često povezuje prvenstveno sa razvojem kompleksnih AI modela i velikim tehnološkim kompanijama, u praksi se AI compliance pitanja danas otvaraju u veoma različitim industrijama i poslovnim procesima.

Naime, veliki broj organizacija već koristi AI alate kroz svakodnevni rad zaposlenih, SaaS platforme, automatizaciju poslovanja ili integracije sa međunarodnim enterprise sistemima. Upravo zbog toga AI governance i AI compliance pitanja postepeno postaju relevantna i za kompanije koje formalno ne razvijaju sopstvene AI sisteme.

U tom kontekstu, određene oblasti poslovanja danas su posebno izložene AI-related pravnim, ugovornim i regulatornim pitanjima.

HR i recruitment AI

Jedna od najosetljivijih oblasti odnosi se na korišćenje AI sistema u procesima zapošljavanja i upravljanja ljudskim resursima.

Na primer, kompanije danas sve češće koriste AI alate za:

• automatski CV screening;
• rangiranje kandidata;
• analizu intervjua;
• procenu kandidata;
• preporuke u vezi sa zapošljavanjem;
• i automatizaciju recruitment procesa.

Međutim, upravo ovakvi AI sistemi mogu otvoriti pitanja diskriminacije, transparentnosti i načina donošenja odluka. U svetlu navedenog, AI Act posebno obraća pažnju na AI sisteme koji mogu imati uticaj na zapošljavanje, profesionalni razvoj ili pristup tržištu rada.

Stoga se u praksi sve češće postavljaju pitanja:

• da li AI sistem favorizuje određene profile kandidata;
• kako AI donosi preporuke;
• da li postoji ljudski nadzor nad odlukama;
• i da li kompanija može objasniti način funkcionisanja AI alata koji koristi u recruitment procesu.

ChatGPT u svakodnevnom radu

Za veliki broj organizacija najveći AI rizik danas ne predstavlja razvoj sopstvenog AI sistema, već svakodnevna upotreba generativnih AI alata od strane zaposlenih.

Naime, zaposleni danas koriste ChatGPT, Copilot i slične AI alate za:

• sastavljanje email komunikacije;
• pripremu ugovora;
• analizu dokumenata;
• izradu prezentacija;
• sažimanje poslovnih sadržaja;
• obradu internih informacija;
• pa čak i za pomoć prilikom rada sa source code-om.

Međutim, unošenje poverljivih poslovnih informacija, podataka klijenata, internih dokumenata ili source code-a u generativne AI sisteme može otvoriti pitanja:

• zaštite poslovne tajne;
• GDPR compliance-a;
• poverljivosti komunikacije;
• intelektualne svojine;
• i ugovornih obaveza prema međunarodnim partnerima.

Upravo zbog toga veliki broj međunarodnih kompanija danas uvodi interna pravila o korišćenju generativnog AI-a, kao i ograničenja u vezi sa unošenjem poverljivih podataka u AI alate.

Marketing i AI-generated content

AI compliance pitanja danas postaju relevantna i za marketinške agencije, creative timove i kompanije koje koriste generativni AI za kreiranje sadržaja.

Na primer, AI alati danas se koriste za:

• generisanje reklama;
• AI-generated fotografije;
• synthetic media;
• personalizovane video sadržaje;
• chatbot komunikaciju;
• copywriting;
• i automatizovane marketing kampanje.

Sa druge strane, ovakva upotreba AI sistema može otvoriti pitanja transparentnosti, obaveze informisanja korisnika i odgovornosti za AI-generated sadržaj.

Posebno osetljivo pitanje može nastati kada korisnik nije svestan da komunicira sa AI chatbotom ili kada AI-generated sadržaj može proizvesti pogrešan ili misleading utisak.

U tom kontekstu, transparency obaveze iz AI Act-a postaju naročito relevantne za kompanije koje koriste chatbotove, synthetic media i generativni AI u komunikaciji sa korisnicima.

SaaS i outsourcing kompanije

Za veliki broj domaćih IT kompanija AI compliance pitanja verovatno će se najpre otvoriti kroz odnose sa međunarodnim klijentima.

Naime, kompanije iz Srbije danas veoma često razvijaju SaaS platforme, AI integrations ili outsourcing rešenja za EU enterprise klijente. Upravo zbog toga međunarodni partneri sve češće traže informacije o:

• AI governance procedurama;
• employee AI usage pravilima;
• zaštiti podataka;
• human oversight mehanizmima;
• i načinu korišćenja AI alata unutar organizacije.

Sledstveno navedenom, AI compliance danas postepeno postaje deo standardnih vendor onboarding, procurement i due diligence procedura u međunarodnom poslovanju.

Healthcare i fintech sektor

Posebno osetljivo područje može predstavljati korišćenje AI sistema u healthcare i fintech sektoru.

Naime, AI alati koji analiziraju medicinske podatke, procenjuju zdravstvena stanja, obrađuju finansijske informacije ili učestvuju u automated decision-making procesima mogu otvoriti dodatna regulatorna i compliance pitanja.

U praksi, to može uključivati:

• obradu sensitive data;
• kreditni scoring;
• fraud detection;
• procenu podobnosti za finansijske usluge;
• healthcare analitiku;
• ili AI-assisted donošenje odluka.

Upravo zbog potencijalnog uticaja ovakvih AI sistema na prava korisnika, pristup uslugama i donošenje važnih odluka, određeni use-caseovi mogu potpasti pod strožiji regulatorni režim AI Act-a.

U svetlu navedenog, jasno je da AI compliance pitanja danas više nisu rezervisana isključivo za tehnološke gigante ili AI startup kompanije. Naprotiv, ona postepeno postaju deo svakodnevnog poslovanja velikog broja organizacija koje koriste AI alate, sarađuju sa međunarodnim partnerima ili integrišu AI funkcionalnosti u svoje poslovne procese.

Šta EU klijenti i procurement timovi već sada traže

Za veliki broj kompanija prvi ozbiljan kontakt sa AI compliance pitanjima verovatno neće doći kroz regulatorni nadzor ili formalni postupak pred nadležnim organima. Naprotiv, u praksi se ova pitanja danas najčešće pojavljuju kroz vendor onboarding procedure, procurement procese i due diligence zahteve međunarodnih partnera.

Naime, veliki broj EU kompanija već uvodi interne AI governance standarde i proširuje postojeće compliance procedure na korišćenje AI sistema i generativnih AI alata.

U tom kontekstu, kompanije iz Srbije koje posluju sa međunarodnim partnerima sve češće mogu očekivati pitanja u vezi sa:

• korišćenjem ChatGPT-a i drugih AI alata unutar organizacije;
• internim AI policy dokumentima;
• employee AI usage pravilima;
• zaštitom poverljivih podataka;
• human oversight mehanizmima;
• AI-generated sadržajem;
• i načinom upravljanja AI-related rizicima.

Drugim rečima, AI compliance postepeno postaje deo standardnih enterprise procurement očekivanja.

AI policy i interna pravila korišćenja AI alata

Jedno od prvih pitanja koje međunarodni partneri danas sve češće postavljaju jeste da li organizacija poseduje internu AI policy i jasna pravila o korišćenju AI alata od strane zaposlenih.

Na primer, partner može tražiti informacije o:

• tome koji AI alati su dozvoljeni za korišćenje;
• da li zaposleni koriste privatne AI naloge;
• koje informacije smeju biti unete u AI sisteme;
• i da li postoje interna ograničenja u vezi sa poverljivim podacima ili poslovnom dokumentacijom.

Posebno u enterprise okruženju, interna AI governance pravila danas sve češće postaju standardni deo compliance infrastrukture kompanije.

AI questionnaires i vendor due diligence

Istovremeno, međunarodni partneri danas sve češće šalju posebne AI questionnaires i AI due diligence upitnike tokom pregovora, vendor onboarding procesa ili ugovornog usklađivanja.

Takvi upitnici mogu sadržati pitanja kao što su:

• da li organizacija koristi generativni AI;
• koji AI sistemi se koriste u poslovanju;
• da li AI učestvuje u donošenju odluka;
• kako funkcioniše human oversight;
• da li postoji AI risk assessment;
• i na koji način organizacija kontroliše employee AI use.

Sledstveno navedenom, za veliki broj kompanija AI compliance danas postaje pitanje poslovne spremnosti i sposobnosti da odgovore na očekivanja međunarodnih partnera.

Human oversight i kontrola AI odluka

Posebno značajno pitanje odnosi se na tzv. „human oversight“, odnosno ljudski nadzor nad AI sistemima i AI-assisted procesima donošenja odluka.

Naime, međunarodni partneri sve češće žele potvrdu da AI sistemi ne funkcionišu potpuno autonomno u oblastima koje mogu imati značajan uticaj na korisnike, zaposlene ili poslovne odluke.

To može uključivati:

• AI recruitment alate;
• customer scoring sisteme;
• fraud detection modele;
• automated decision-making procese;
• ili AI-generated preporuke koje utiču na poslovne odluke.

U tom kontekstu, kompanije sve češće moraju da pokažu da postoji ljudska kontrola nad ključnim odlukama i mogućnost provere AI-generated rezultata.

Confidentiality i zaštita poverljivih podataka

Jedno od praktično najvažnijih pitanja danas odnosi se na poverljivost podataka i unošenje poslovnih informacija u generativne AI sisteme.

Na primer, međunarodni klijent može zahtevati potvrdu:

• da zaposleni ne unose confidential client data u ChatGPT;
• da source code nije izložen javnim AI modelima;
• da postoje ograničenja za korišćenje generativnog AI-a;
• i da organizacija ima procedure za zaštitu poslovne tajne i poverljivih informacija.

Upravo zbog toga AI governance danas postaje usko povezano sa:

• GDPR compliance-om;
• cybersecurity procedurama;
• zaštitom poslovne tajne;
• i internim pravilima upravljanja podacima.

Disclosure i transparentnost korišćenja AI sistema

Sa druge strane, određeni međunarodni partneri danas traže i dodatni nivo transparentnosti u vezi sa korišćenjem AI sistema.

To može uključivati:

• disclosure da je određeni sadržaj AI-generated;
• informacije o korišćenju AI chatbotova;
• potvrdu da korisnik zna kada komunicira sa AI sistemom;
• ili ugovorne obaveze u vezi sa korišćenjem AI-generated sadržaja i automatizovanih procesa.

Posebno u marketingu, SaaS sektoru i customer support okruženju, transparency zahtevi postepeno postaju deo standardnih ugovornih i procurement očekivanja.

AI governance kao novo poslovno očekivanje

U svetlu navedenog, AI governance danas više nije pitanje rezervisano isključivo za IT ili legal timove. Naprotiv, ono postepeno postaje deo standardnih enterprise governance, procurement i vendor management procedura.

Upravo zbog toga kompanije koje posluju međunarodno sve češće imaju potrebu da:

• mapiraju AI alate koje koriste;
• definišu interna pravila korišćenja AI sistema;
• uspostave AI governance procedure;
• pripreme odgovore za AI due diligence procese;
• i usklade poslovne procese sa očekivanjima međunarodnih partnera i EU tržišta.

Da li zaposleni smeju da koriste ChatGPT na poslu?

Kratak odgovor je — najčešće da, ali uz veoma jasna interna pravila i odgovarajuće kontrole.

Naime, za veliki broj kompanija danas najveći AI rizik ne predstavlja razvoj sopstvenog AI sistema, već svakodnevno korišćenje generativnih AI alata od strane zaposlenih.

Zaposleni danas koriste ChatGPT, Copilot i slične AI alate za:

• sastavljanje email komunikacije;
• sažimanje dokumenata;
• analizu ugovora;
• pripremu prezentacija;
• obradu podataka;
• pomoć pri pisanju source code-a;
• i svakodnevne administrativne zadatke.

Međutim, upravo ovakva upotreba AI alata može otvoriti ozbiljna pitanja u vezi sa:

• poverljivošću podataka;
• GDPR compliance-om;
• zaštitom poslovne tajne;
• intelektualnom svojinom;
• cybersecurity rizicima;
• i ugovornim obavezama prema klijentima i partnerima.

Gde nastaje najveći rizik?

Najveći praktični problem najčešće nastaje onda kada zaposleni unose:

• client data;
• interne dokumente;
• poverljive poslovne informacije;
• finansijske podatke;
• source code;
• ili interne strategijske materijale
  u javno dostupne generativne AI sisteme.

Drugim rečima, problem često nije samo korišćenje AI alata, već činjenica da organizacija nema kontrolu nad time:

• koje informacije zaposleni unose;
• ko koristi AI alate;
• preko kojih naloga;
• i pod kojim uslovima.

Posebno osetljivo pitanje predstavljaju privatni AI nalozi zaposlenih, odnosno situacije u kojima zaposleni koriste privatne ChatGPT ili druge AI account-e za obradu poslovnih informacija van kontrolisanog enterprise okruženja.

U takvim slučajevima organizacija često nema:

• evidenciju korišćenja AI alata;
• kontrolu nad unosom podataka;
• mogućnost internog nadzora;
• niti jasna pravila u vezi sa AI governance procedurama.

Samsung slučaj: zašto je postao važan za AI governance

Jedan od prvih globalno poznatih primera praktičnih AI governance problema dogodio se upravo u kompaniji Samsung.

Naime, zaposleni su koristili ChatGPT za pomoć prilikom rada sa internim source code-om i poverljivim poslovnim dokumentima. Međutim, upravo unošenje takvih informacija u generativni AI sistem otvorilo je pitanja zaštite poverljivih podataka i kontrole nad internim informacijama.

U svetlu navedenog, veliki broj međunarodnih kompanija nakon toga uvodi:

• ograničenja za korišćenje generativnog AI-a;
• zabranu unošenja confidential data u public AI systems;
• interna AI governance pravila;
• employee AI usage procedure;
• i posebne enterprise AI platforme sa dodatnim bezbednosnim kontrolama.

AI alati, GDPR i zaštita podataka

Korišćenje generativnih AI sistema može otvoriti i pitanja zaštite podataka o ličnosti, naročito kada zaposleni unose:

• podatke klijenata;
• HR dokumentaciju;
• podatke zaposlenih;
• zdravstvene informacije;
• ili druge oblike personal data.

U tom kontekstu, AI governance danas se veoma često prepliće sa:

• GDPR compliance-om;
• data governance procedurama;
• cybersecurity zahtevima;
• i pravilima o zaštiti poslovne tajne.

Stoga se sve češće postavlja pitanje:

• da li zaposleni smeju da koriste AI alate;
• koje AI sisteme mogu koristiti;
• koje informacije ne smeju unositi;
• i da li organizacija ima odgovarajuću kontrolu nad korišćenjem AI sistema.

Da li kompanije treba da zabrane ChatGPT?

U praksi, odgovor najčešće nije potpuna zabrana.

Naprotiv, veliki broj organizacija danas pokušava da uspostavi balans između:

• produktivnosti zaposlenih;
• korišćenja AI alata;
• zaštite poverljivih podataka;
• i upravljanja pravnim i poslovnim rizicima.

Upravo zbog toga kompanije sve češće usvajaju:

• interne AI policy dokumente;
• pravila o employee AI use;
• AI approval procedure;
• ograničenja za unos poverljivih podataka;
• i interne AI governance mehanizme.

Sledstveno navedenom, pitanje danas više nije: „Da li zaposleni koriste AI?“, već zapravo „Da li organizacija ima kontrolu nad načinom na koji se AI koristi u poslovanju?“

High-risk AI sistemi — kada AI postaje ozbiljno regulisan

Jedan od najvažnijih koncepata EU AI Act-a odnosi se na tzv. „high-risk AI systems“, odnosno AI sisteme visokog rizika.

Međutim, važno je razumeti da AI Act ne polazi od pretpostavke da je svaka veštačka inteligencija automatski problematična ili zabranjena. Naprotiv, osnovna ideja regulative jeste da nivo regulatornih obaveza zavisi od potencijalnog uticaja koji određeni AI sistem može imati na ljude, njihova prava, bezbednost ili pristup važnim uslugama.

Drugim rečima, problem nije samo tehnologija sama po sebi, već način na koji se AI koristi u praksi.

Šta zapravo znači „high-risk AI“?

AI sistem može postati „high-risk“ onda kada učestvuje u donošenju odluka ili procesima koji mogu imati značajan uticaj na pojedince.

U tom kontekstu, AI Act posebno obraća pažnju na AI sisteme koji se koriste u oblastima kao što su:

• zapošljavanje;
• obrazovanje;
• healthcare;
• finansijske usluge;
• kreditni scoring;
• critical infrastructure;
• pristup osnovnim uslugama;
• i određeni oblici automated decision-making procesa.

Stoga nije dovoljno posmatrati samo vrstu AI tehnologije. Naprotiv, regulatorni značaj veoma često zavisi od konkretnog poslovnog konteksta i načina upotrebe AI sistema.

AI u zapošljavanju i HR procesima

Jedan od najčešće pominjanih primera odnosi se upravo na AI sisteme koji učestvuju u procesima zapošljavanja.

Na primer, kompanija može koristiti AI alat za:

• automatski screening kandidata;
• rangiranje CV-jeva;
• procenu kandidata;
• analizu video intervjua;
• ili preporuke u vezi sa zapošljavanjem.

Međutim, upravo u ovakvim situacijama otvaraju se pitanja:

• diskriminacije;
• transparentnosti;
• tačnosti AI preporuka;
• i ljudskog nadzora nad donošenjem odluka.

U svetlu navedenog, AI Act ovakve use-caseove tretira znatno ozbiljnije nego, na primer, AI alat koji se koristi samo za generisanje marketinškog sadržaja.

Kreditni scoring i finansijske usluge

Slično tome, AI sistemi koji učestvuju u proceni kreditne sposobnosti ili donošenju finansijskih odluka mogu imati direktan uticaj na pristup korisnika finansijskim uslugama.

Na primer, AI može učestvovati u:

• credit scoring procesima;
• proceni rizika;
• fraud detection sistemima;
• ili proceni podobnosti za određene finansijske proizvode.

Međutim, ukoliko AI sistem proizvodi netačne, diskriminatorne ili netransparentne rezultate, posledice mogu biti veoma ozbiljne za korisnike.

Upravo zbog toga AI Act za određene finansijske AI sisteme predviđa strožije compliance, transparency i governance obaveze.

Healthcare i obrada osetljivih podataka

Posebno osetljivo područje odnosi se na healthcare sektor i AI sisteme koji obrađuju medicinske ili druge sensitive podatke.

Na primer, AI alati danas mogu učestvovati u:

• analizi medicinskih podataka;
• proceni zdravstvenih stanja;
• dijagnostičkoj podršci;
• healthcare analitici;
• ili automatizovanoj obradi zdravstvenih informacija.

U takvim slučajevima regulatorni fokus nije samo na funkcionalnosti AI sistema, već i na potencijalnom uticaju na zdravlje, bezbednost i prava korisnika.

Istovremeno, ovde se veoma često prepliću:

• AI Act;
• GDPR;
• cybersecurity;
• i posebna pravila koja važe za healthcare i medical device sektor.

AI u obrazovanju i critical infrastructure sektorima

AI compliance pitanja mogu postati posebno značajna i u obrazovanju i critical infrastructure sektorima.

Na primer, AI sistemi mogu učestvovati u:

• proceni rezultata učenika;
• evaluaciji kandidata;
• upravljanju infrastrukturnim sistemima;
• energetici;
• transportu;
• ili drugim oblastima u kojima AI odluke mogu imati šire posledice po društvo i bezbednost.

Upravo zbog potencijalnog uticaja na prava pojedinaca i funkcionisanje važnih sistema, AI Act za određene use-caseove u ovim oblastima predviđa stroži regulatorni režim.

Zašto je ovo važno za kompanije?

Za veliki broj organizacija najvažnije pitanje danas nije:
„Da li koristimo AI?“,

već:
„Da li način na koji koristimo AI može potpasti pod high-risk kategoriju?“

Naime, mnoge kompanije često intuitivno ne prepoznaju da određeni AI use-case može otvoriti dodatne regulatorne i compliance obaveze.

Upravo zbog toga procena AI rizika danas postepeno postaje deo:

• legal analiza;
• vendor due diligence procesa;
• enterprise governance procedura;
• i standardnog risk management pristupa u međunarodnom poslovanju.

Sledstveno navedenom, AI Act danas ne reguliše samo razvoj AI tehnologije, već i način na koji organizacije koriste AI u poslovnim procesima koji mogu imati značajan uticaj na ljude, prava korisnika i donošenje važnih odluka.

Transparency pravila i AI-generated sadržaj

Jedna od najaktuelnijih tema u okviru EU AI Act-a odnosi se upravo na transparency obaveze i korišćenje AI-generated sadržaja.

Naime, razvoj generativnog AI-a doveo je do toga da danas gotovo svako može kreirati:

• AI-generated fotografije;
• video sadržaje;
• synthetic media;
• chatbot komunikaciju;
• AI-generated glasove;
• i različite oblike deepfake sadržaja
  koji često izgledaju veoma realistično.

Upravo zbog toga AI Act uvodi posebna transparency pravila čiji je osnovni cilj da korisnici budu jasno informisani kada komuniciraju sa AI sistemom ili kada konzumiraju sadržaj generisan upotrebom veštačke inteligencije.

Drugim rečima, fokus regulatora nije samo na samoj tehnologiji, već i na sprečavanju obmane, manipulacije i stvaranja pogrešnog utiska kod korisnika.

Kada korisnik mora da zna da komunicira sa AI-em?

Prema AI Act-u, određeni AI sistemi moraće da ispune transparency obaveze, naročito kada:

• korisnik komunicira sa chatbotom;
• AI generiše sadržaj;
• AI učestvuje u kreiranju synthetic media;
• ili postoji mogućnost da korisnik pomisli da je sadržaj autentičan ili da komunicira sa stvarnom osobom.

U praksi, to može značiti:

• AI disclaimer-e;
• obaveštenja korisnicima;
• označavanje AI-generated sadržaja;
• ili druge mehanizme transparentnosti.

Na primer, kompanija koja koristi AI chatbot za customer support može imati obavezu da jasno informiše korisnika da ne razgovara sa čovekom, već sa AI sistemom.

Slično tome, korišćenje AI-generated fotografija, video sadržaja ili synthetic media u marketingu može otvoriti pitanje da li korisnik treba da bude obavešten da je sadržaj generisan ili modifikovan korišćenjem AI tehnologije.

AI-generated informacije i rizik od netačnih sadržaja

Istovremeno, transparency i human oversight pitanja danas postaju posebno važna i u vezi sa AI-generated informacijama i sadržajem.

Naime, generativni AI sistemi danas mogu kreirati veoma uverljive sažetke, odgovore i interpretacije sadržaja, čak i kada informacije nisu potpuno tačne. Upravo zbog toga poslednjih godina raste zabrinutost u vezi sa tzv. „AI hallucinations“, odnosno situacijama u kojima AI sistemi proizvode netačne, nepotpune ili misleading informacije predstavljene kao pouzdane činjenice.

Posebnu pažnju izazvala su i upozorenja velikih medijskih organizacija u vezi sa netačnim AI-generated summary sadržajem. BBC je, između ostalog, ukazao na slučajeve u kojima su generativni AI sistemi proizvodili pogrešne ili misleading sažetke vesti i informacija, uprkos tome što su se pozivali na kredibilne izvore.

U svetlu navedenog, sve veći značaj danas dobijaju:

• human review procedure;
• AI output verification;
• transparency mehanizmi;
• i interna pravila kontrole AI-generated sadržaja.

Drugim rečima, pitanje više nije samo da li AI može generisati sadržaj, već i ko proverava tačnost, pouzdanost i posledice takvog sadržaja pre njegove upotrebe u poslovanju, medijima ili komunikaciji sa korisnicima.

Deepfake sadržaj i reputacioni rizici

Posebno osetljivo pitanje danas predstavljaju deepfake tehnologije i AI-generated sadržaj koji imitira stvarne osobe, glasove ili događaje.

Naime, razvoj generativnog AI-a omogućio je kreiranje veoma realističnih fotografija, video sadržaja i audio zapisa koji mogu proizvesti ozbiljne reputacione, pravne i bezbednosne posledice.

U poslednjih nekoliko godina zabeležen je značajan rast slučajeva u kojima su AI sistemi korišćeni za:

• kreiranje lažnih video sadržaja;
• imitaciju glasova;
• AI-generated reklame;
• deepfake prevare;
• i neovlašćeno generisanje kompromitujućih sadržaja koji uključuju stvarne osobe.

Posebnu pažnju regulatora i javnosti izazivaju slučajevi AI-generated seksualizovanih fotografija i video sadržaja kreiranih bez saglasnosti osoba koje se na njima prikazuju.

Na primer, australijski sudovi trenutno vode jedan od prvih značajnih postupaka po novim zakonima koji kriminalizuju kreiranje i distribuciju AI-generated deepfake pornografije bez pristanka. Ovaj slučaj dodatno pokazuje da regulatorni i pravni rizici povezani sa generativnim AI-em više nisu teorijsko pitanje, već oblast koja sve češće dovodi do konkretnih sudskih i regulatornih postupaka.

U svetlu navedenog, transparency, disclosure i AI governance pitanja danas postaju relevantna ne samo za tehnološke platforme, već i za kompanije koje koriste AI-generated sadržaj u marketingu, komunikaciji i poslovanju.

AI-generated sadržaj i poslovna odgovornost

Sa druge strane, važno je razumeti da transparency pitanja nisu relevantna samo za velike tehnološke platforme.

Naprotiv, i kompanije koje koriste generativni AI u marketingu, customer support-u, prodaji ili komunikaciji sa korisnicima mogu otvoriti pitanja:

• transparentnosti;
• disclosure obaveza;
• odgovornosti za AI-generated sadržaj;
• i potencijalnog misleading efekta prema korisnicima ili partnerima.

U tom kontekstu, AI governance danas sve češće podrazumeva:

• interna pravila o korišćenju AI-generated sadržaja;
• procedure za proveru sadržaja;
• označavanje synthetic media;
• i dodatne kontrole u vezi sa komunikacijom prema korisnicima i tržištu.

Zašto su transparency pravila važna za kompanije?

U svetlu navedenog, transparency obaveze iz AI Act-a danas imaju mnogo širi značaj od same regulatorne usklađenosti.

Naime, KLJUČNO pitanje je da li korisnici, partneri i tržište razumeju kada i na koji način AI učestvuje u komunikaciji, sadržaju i donošenju odluka?

Upravo zbog toga transparency i disclosure pravila postepeno postaju deo:

• AI governance procedura;
• marketing compliance-a;
• vendor due diligence procesa;
• i standardnih enterprise očekivanja u međunarodnom poslovanju.

AI policy i AI governance — šta kompanije realno treba da imaju

Kako AI alati postaju deo svakodnevnog poslovanja, sve veći broj organizacija dolazi do istog praktičnog pitanja:
„Kako zapravo kontrolisati korišćenje AI sistema unutar kompanije?“

Naime, u velikom broju organizacija zaposleni danas koriste ChatGPT, Copilot i druge generativne AI alate bez jasnih internih pravila, često preko privatnih naloga i bez formalnih procedura u vezi sa poverljivim podacima, AI-generated sadržajem ili zaštitom poslovnih informacija.

Upravo zbog toga AI governance danas postepeno postaje deo standardnih enterprise compliance i risk management procedura.

Drugim rečima, kompanije sve češće imaju potrebu da uspostave interna pravila koja definišu:

• koji AI alati smeju da se koriste;
• ko može koristiti AI sisteme;
• za koje svrhe se AI može koristiti;
• koje informacije ne smeju biti unete u AI sisteme;
• i na koji način organizacija kontroliše AI-related rizike.

Dozvoljeni AI alati i kontrola korišćenja AI sistema

Jedno od osnovnih pitanja odnosi se upravo na to koje AI alate organizacija dozvoljava za korišćenje.

Na primer, kompanije danas sve češće definišu:

• da li zaposleni smeju koristiti javno dostupne AI sisteme;
• da li je dozvoljena upotreba privatnih AI account-a;
• koje AI platforme su odobrene za poslovnu upotrebu;
• i da li određeni AI alati prolaze internu security ili compliance proveru pre korišćenja.

U tom kontekstu, AI governance danas postaje usko povezano sa:

• cybersecurity procedurama;
• zaštitom podataka;
• vendor management procesima;
• i internim IT pravilima organizacije.

Zabranjeni podaci i zaštita poverljivih informacija

Istovremeno, jedan od najvažnijih delova interne AI policy odnosi se na definisanje podataka koji ne smeju biti uneti u generativne AI sisteme.

To može uključivati:

• client confidential data;
• poslovne tajne;
• source code;
• interne strategijske dokumente;
• finansijske podatke;
• HR dokumentaciju;
• personal data;
• ili druge poverljive informacije.

Naime, upravo unošenje ovakvih podataka u generativne AI alate danas predstavlja jedan od najvećih praktičnih AI governance rizika za kompanije.

Stoga veliki broj organizacija uvodi:

• zabranu unošenja poverljivih podataka u public AI systems;
• posebna pravila za obradu client data;
• interne AI usage procedure;
• i dodatne kontrole za sensitive informacije.

Employee AI use i interna pravila za zaposlene

Kako korišćenje generativnog AI-a postaje deo svakodnevnog rada zaposlenih, kompanije sve češće uvode posebna employee AI use pravila.

Na primer, interna AI policy može definisati:

• u kojim situacijama zaposleni smeju koristiti AI;
• da li AI-generated sadržaj mora biti proveravan;
• kada je potreban human review;
• da li zaposleni moraju prijaviti korišćenje AI sistema;
• i ko snosi odgovornost za AI-generated output.

Upravo zbog toga AI governance danas više nije samo tehnološko pitanje, već i pitanje organizacione odgovornosti, interne kontrole i upravljanja poslovnim rizicima.

Approval process i human review

Poseban značaj danas dobijaju i approval procedure i human oversight mehanizmi.

Naime, veliki broj organizacija uvodi interne procese kojima se definiše:

• ko odobrava korišćenje novih AI alata;
• kada je potreban legal ili compliance review;
• koji AI sistemi zahtevaju dodatnu procenu rizika;
• i u kojim slučajevima AI-generated sadržaj mora biti proveravan od strane čoveka pre upotrebe.

Ovakvi mehanizmi postaju naročito važni:

• kod AI-generated sadržaja;
• automated decision-making procesa;
• customer-facing AI sistema;
• i AI alata koji obrađuju sensitive podatke ili učestvuju u donošenju važnih poslovnih odluka.

Dokumentacija i AI risk assessment

Istovremeno, kompanije danas sve češće uvode i osnovne AI documentation i AI risk assessment procedure.

To može uključivati:

• evidenciju AI alata koji se koriste unutar organizacije;
• procenu AI-related rizika;
• dokumentovanje načina korišćenja AI sistema;
• evidenciju AI vendor-a;
• i interne AI governance procedure.

Premda veliki broj kompanija još uvek nema formalizovan AI governance framework, međunarodni partneri i enterprise klijenti danas sve češće očekuju da organizacija može pokazati određeni nivo kontrole, dokumentacije i upravljanja AI-related rizicima.

Praktični AI compliance alati i smernice

Istovremeno, Evropska unija postepeno razvija i praktične alate namenjene kompanijama koje pokušavaju da razumeju i implementiraju AI governance i AI compliance procedure u poslovanju.

Jedan od primera jeste i zvanični AI Act Service Desk Evropske komisije, odnosno centralna platforma namenjena pružanju praktičnih informacija, smernica i osnovnih compliance alata u vezi sa primenom EU AI Act-a. Platforma trenutno uključuje:

• AI Act Explorer;
• FAQ sekcije;
• Compliance Checker alate;
• i mogućnost postavljanja pitanja u vezi sa AI Act obavezama.

U tom kontekstu, razvoj ovakvih platformi dodatno pokazuje da fokus evropskog regulatora više nije isključivo na donošenju pravila, već i na praktičnoj implementaciji AI governance standarda i podršci organizacijama koje koriste AI sisteme u poslovanju.

Za kompanije koje posluju međunarodno, ovakvi alati mogu predstavljati koristan izvor za:

• osnovnu procenu AI-related obaveza;
• razumevanje high-risk use-caseova;
• pripremu AI governance procedura;
• i usklađivanje poslovnih procesa sa očekivanjima međunarodnih partnera i EU tržišta.

AI governance kao novo standardno poslovno očekivanje

U svetlu navedenog, AI governance danas postepeno prestaje da bude tema rezervisana isključivo za tehnološke gigante ili velike enterprise sisteme.

Naprotiv, kako AI alati postaju deo svakodnevnog poslovanja, interna AI policy, human oversight procedure i AI risk assessment sve više postaju standardna poslovna očekivanja u međunarodnom poslovanju.

U svetlu navedenog, korišćenje AI sistema danas postepeno prestaje da bude pitanje individualne inicijative zaposlenih ili isključivo tehnološke odluke. Naprotiv, AI governance sve više postaje deo standardnog korporativnog upravljanja, interne kontrole i upravljanja poslovnim rizicima.