Pokloni za geek-a | PC Press
PCPress.rs Image
Business PR 

Priručnik za usklađenost AI sistema sa propisima EU – novi praktičan alat za kompanije

PC Press

Novi regulatorni pejzaž

Usvajanjem Akta o veštačkoj inteligenciji (AI Act), Evropska unija uspostavila je sveobuhvatan regulatorni okvir za razvoj i primenu digitalnih tehnologija visokog rizika. Ovaj propis, objavljen 2024. godine, predstavlja prvi sveobuhvatni zakon na globalnom nivou koji uređuje ne samo tehničke i bezbednosne aspekte veštačke inteligencije, već i njen uticaj na ostvarivanje i zaštitu osnovnih prava građana. Paralelno sa AI Act-om, obaveze koje proizlaze iz Opšte uredbe o zaštiti podataka (GDPR) usvojene još 2016. godine, ostaju u punoj meri primenjive.

PCPress.rs Image

Usklađivanje poslovanja sa propisima je više od pravne obaveze – danas ono predstavlja preduslov za uspešno poslovanje. Za kompanije koje razvijaju ili primenjuju AI sisteme, obaveze usklađivanja imaju još veći značaj, imajući u vidu uticaj tehnologija na poslovne procese, svakodnevnicu i prava građana. Zato sve kompanije koje razvijaju i primenjuju AI alate, a posebno one koje su usmerene na tržište Evropske unije, treba ozbiljno da pristupe primeni Akta o veštačkoj inteligenciji, i drugih propisa relevantnih za poslovanje IT industrije, poput onih u oblasti zaštite podataka, informacione bezbednosti, zaštite autorskih prava. Pored visokih propisanih kazni (o tome više u nastavku), neusklađenost nosi i rizike narušene reputacije i poverenja korisnika u proizvod.

Kako bi se ovi rizici izbegli već u fazi razvoja proizvoda, Tamara Zavišić i Ana Toskić Cvetinović razvile su praktični priručnik namenjen kompanija i organizacijama koje razvijaju ili koriste AI sisteme (AI DPIA Handbook (2025)). Priručnik predstavlja set koraka i nudi detaljnu metodologiju za sprovođenje obaveza procena uticaja na zaštitu podataka i ljudska prava, propisanih Aktom o veštačkoj inteligenciji i Opštom uredbom o zaštiti podataka.

Datalab serveri

Naime, primenom ova dva akta uvodi se dvostruka odgovornost za kompanije: sprovođenje procene uticaja na zaštitu podataka (DPIA – Data Protection Impact Assessment) i nova obaveza sprovođenja procene uticaja na osnovna prava (FRIA – Fundamental Rights Impact Assessment). Iako različiti po fokusu i metodologiji, ovi instrumenti u praksi funkcionišu kao jedinstven mehanizam zaštite građana, ali i kao test otpornosti i odgovornosti samih organizacija. Oba akta relevantna su ne samo za kompanije koje svoje proizvode razvijaju i plasiraju na tržište EU, već i za one koje ostaju u okvirima Srbije – naša zemlja još 2018. godine usvojila je Zakon o zaštiti podataka o ličnosti, po uzoru na GDPR, dok je trenutno u izradi zakon koji bi, po ugledu na AI Act, trebalo da reguliše razvoj i primenu veštačke inteligencije.

Pročitajte i:  Amazon testira veštačku inteligenciju koja automatski prevodi knjige

Šta je DPIA i zašto je specifičan u kontekstu AI

DPIA nije nova obaveza: ona postoji od stupanja na snagu GDPR-a 2018. godine. Propisuje se u slučajevima kada je verovatan visok rizik po prava i slobode pojedinaca, poput profilisanja, automatizovanog donošenja odluka ili obrade posebnih kategorija podataka. DPIA podrazumeva proces u kome rukovalac podacima o ličnosti, najčešće uz podršku stručnjaka za zaštitu podataka, procenjuje rizike planirane obrade, njihov uticaj na lica na koja se podaci odnose, i predviđa mere kojima se ti rizici mogu umanjiti. U pogledu sadržine, standardni DPIA obuhvata opis obrade, procenu nužnosti i proporcionalnosti, identifikaciju rizika i predlog mera.

U kontekstu veštačke inteligencije, ovaj okvir dobija dodatne dimenzije. AI sisteme odlikuju dinamičnost, složenost i često netransparentan način funkcionisanja („black box“ modeli). Njihovo ponašanje u velikoj meri zavisi od obima i kvaliteta podataka, dok rizici prevazilaze klasične izazove zaštite privatnosti i obuhvataju diskriminaciju, halucinacije i manipulaciju informacijama.

Zbog toga se u stručnoj praksi sve češće govori o AI-specifičnom DPIA-u. Ovaj pristup podrazumeva detaljnu analizu trening podataka, procenu performansi modela, testiranje na pristrasnost, kao i uspostavljanje mehanizama za ljudski nadzor. Bez ovih dodatnih komponenti, tradicionalni DPIA gubi značajan deo svoje funkcionalnosti u AI okruženju.

FRIA: širi pogled na osnovna prava

Pored DPIA, AI Act uvodi i obavezu sprovođenja FRIA za subjekte koji primenjuju visokorizične AI sisteme, posebno u javnom sektoru i u uslugama od javnog interesa.

Za razliku od DPIA, koji se fokusira isključivo na zaštitu podataka, FRIA obuhvata širi spektar prava i sloboda, uključujući zabranu diskriminacije, slobodu izražavanja, pravo na pravičan postupak i jednak pristup uslugama. Drugim rečima, dok DPIA odgovara na pitanje „da li se lični podaci obrađuju zakonito i bezbedno“, FRIA preispituje „da li primena AI sistema može narušiti temeljna građanska prava“.

Uvođenje FRIA ne predstavlja formalno proširenje, već normativno priznanje da rizici koje generiše veštačka inteligencija prevazilaze domenu privatnosti i direktno zadiru u osnovne demokratske vrednosti.

PCPress.rs Image

Kada je DPIA obavezan

GDPR jasno propisuje okidače za sprovođenje DPIA:

  • donošenje odluka sa pravnim ili drugim značajnim efektom na lica, a koje se sprovodi na osnovu profilisanja ili druge vrste automatizovane obrade podataka sa cilje procene stanja ili osobina lica,
  • sistemski nadzor javih površina u velikoj meri,
  • obrada posebnih vrsta podataka velikog obima.
Pročitajte i:  Apple M5 čip povećava AI performanse sa novim 'Neural Accelerators'

Velika većina slučajeva upotrebe veštačke inteligencije potpada pod ove kriterijume. Ukoliko, i pored sprovođenja svih predviđenih mera, rizik ostane visok, obavezna je prethodna konsultacija sa nadležnim organom za zaštitu podataka. U praksi, to znači da sistemi koji donose odluke o zapošljavanju, kreditnoj sposobnosti ili pristupu javnim uslugama ne mogu biti implementirani bez sprovođenja sveobuhvatnog DPIA-a.

Metodologija sprovođenja

Sproveden na adekvatan način, AI DPIA i FRIA obuhvataju šest ključnih koraka:

  1. Definisanje obima i konteksta – svrha sistema, korisnici i pogođene grupe.
  2. Mapiranje podataka i modela – izvori, način obrade, treniranje i validacija.
  3. Procena neophodnosti i proporcionalnosti – analiza da li je AI rešenje optimalno ili postoje manje invazivne alternative.
  4. Identifikacija rizika – privatnost, diskriminacija, transparentnost, manipulacija.
  5. Definisanje mera zaštite – tehničke, kadrovske i organizacione mere, ljudski nadzor, transparentnost prema korisnicima.
  6. Procena rezidualnog rizika – odluka o spremnosti sistema ili potrebi za konsultacijom sa regulatorom.

Ovaj postupak nužno zahteva multidisciplinarni pristup, koji uključuje pravnike, stručnjake za zaštitu podataka, inženjere i menadžere rizika.

Posledice nesprovođenja

Neizvršavanje ili neadekvatno sprovođenje DPIA predstavlja povredu obaveza iz GDPR-a i povlači sankcije iz „nižeg“ razreda – do 10 miliona evra ili 2% globalnog godišnjeg prometa. Ukoliko, i pored sprovedenog DPIA, rizik ostane visok, obavezna je prethodna konsultacija sa nadzornim organom, koji može naložiti ograničenje ili zabranu obrade, odnosno povlačenje sistema sa tržišta. Viši nivo kazni (do 20 miliona evra ili 4% prometa) primenjuje se kada se propusti u vezi sa DPIA javljaju zajedno sa ozbiljnijim povredama osnovnih načela obrade podataka.

AI Act predviđa zaseban režim sankcija: propuštanje obaveza vezanih za visokorizične sisteme – uključujući i izostanak FRIA tamo gde je obavezna – može dovesti do kazni do 15 miliona evra ili 3% globalnog prometa, dok je najviši prag, 35 miliona evra ili 7%, rezervisan za najteže povrede, poput sprovođenja zabranjenih praksi.

Pročitajte i:  Najpopularniji AI generator slika i videa

Između papira i prakse: Priručnik kao praktičan alat

Dosadašnja praksa pokazuje da mnoge organizacije DPIA i FRIA posmatraju tek kao administrativne obrasce koje je potrebno popuniti. Takav pristup ne samo da ne ispunjava regulatorne zahteve, već propušta i suštinsku svrhu ovih instrumenata – proaktivno prepoznavanje i upravljanje rizicima.

Za kompanije, razlika je jasna: između dokumenta koji ostaje „na papiru“ i alata koji obezbeđuje i pravnu sigurnost i poverenje korisnika.

AI Handbook daje praktične korake za ispunjenje ovih obaveza i, jednom primenjen, može postati deo radnih procesa u kompaniji.

Ono što ovaj Priručnik izdvaja jeste:

  • integracija obaveza iz GDPR-a i AI Act-a u jedinstvenu metodologiju,
  • operativni alati poput upitnika, matrica rizika i predložaka za direktnu upotrebu u timovima,
  • sektorski specifični moduli za oblasti poput zdravstva, finansija, javnog sektora i zapošljavanja,
  • praktična orijentacija – od planiranja, preko implementacije, do kontinuiranog monitoringa, bez suvišne teorijske razrade.

AI DPIA i FRIA nisu administrativna formalnost, već regulatorni filteri kroz koje će morati da prođe svaki ozbiljan AI proizvod namenjen evropskom tržištu. Istovremeno, oni predstavljaju i instrument poslovne otpornosti – mehanizam kojim se obezbeđuje da sistem neće biti povučen sa tržišta, osporen pred regulatorom ili sankcionisan zbog rizika koji je mogao biti pravovremeno prepoznat i otklonjen.

Za organizacije koje žele da budu spremne, AI DPIA Handbook pruža strukturisan, praktično primenljiv i sektorski relevantan okvir. U kontekstu jasno definisane regulative i značajnih novčanih kazni, sprovođenje ovih procena više nije pitanje izbora, već poslovna nužnost.

Priručnik možete poručiti na adresi dpia@etikai.net, sa napomenom da li naručujete priručnik na srpskom ili engleskom jeziku. Korišćenjem promo koda PC Press-a tokom oktobra ostvarujete 10% popusta!

Facebook komentari:
Tagovi:

Leave a Reply

Your email address will not be published. Required fields are marked *