ComplianceForge AI
Svi članci

EU AI Act compliance u 7 dana: praktični vodič za mala i srednja poduzeća

Koristite AI u poslovanju? EU AI Act se odnosi i na vas — čak i s 5 zaposlenika. Evo kako se uskladiti u 7 dana, korak po korak.

8 min čitanja
ComplianceForge AI

"We have AI features. We're nowhere near ready." — ovako je jedan SaaS founder na Redditu opisao svoju situaciju s EU AI Actom. Ako vam ovo zvuči poznato, niste sami.

Većina malih i srednjih poduzeća (SMB) koristi AI alate svakodnevno — ChatGPT za email, Midjourney za vizuale, AI chatbot za podršku korisnicima — ali malo tko razmišlja o regulatornim obavezama. A one su već na snazi.

Članak 4 (AI literacy) i Članak 5 (zabranjene prakse) aktivni su od veljače 2025. Kazne: do €35 milijuna ili 7% globalnog prometa za zabranjene prakse, do €15 milijuna ili 3% za nepoštivanje AI literacy obveze.

Dobra vijest: usklađivanje nije tako komplicirano kao što zvuči. U ovom vodiču pokazujemo kako u 7 dana možete napraviti temelje compliance programa — bez pravnog tima, bez konzultanata za €500/sat, bez panike.

Tko mora brinuti o EU AI Actu?

Kratko: svatko tko koristi ili razvija AI sustave unutar EU ili za EU korisnike.

Kako je Martin Warner istaknuo u svom videu koji je pogledalo 157.000 ljudi: "Thinking your business is too small to be affected? Think again. If you're selling to or processing data from even one EU customer, you're in the game."

To uključuje:

  • Marketinšku agenciju koja koristi AI za generiranje sadržaja
  • SaaS startup s AI featureima u proizvodu
  • Računovodstveni ured koji koristi AI za analizu dokumenata
  • Bilo koju firmu koja koristi ChatGPT, Copilot ili sličan alat u poslovnim procesima

Koliko to košta? Prema EU Made Simple analizi, compliance za SMB-ove košta 1-2.7% godišnjeg prihoda. Ali — nekompliance košta više. Značajno više.

Dan 1-2: Napravite inventar AI sustava

Prije nego možete biti usklađeni, morate znati što uopće koristite. Većina firmi nema potpunu sliku — AI alati se uvuku u svakodnevni rad bez formalnog odobrenja.

Što napraviti:

  1. Popis svih AI alata — ne samo one koje ste vi kupili. Pitajte svaki odjel: marketing, prodaju, HR, IT, customer support. Česti primjeri koje firme zaborave:

    • Grammarly ili ChatGPT koje zaposlenici koriste "privatno" za poslovne zadatke
    • AI funkcije ugrađene u postojeće alate (Notion AI, Canva Magic, Excel Copilot)
    • Chatbotovi na web stranici
    • AI za automatsku obradu emailova ili ticketova

  2. Za svaki alat zapišite:

    • Tko ga koristi i u kojem odjelu
    • Za što se koristi (namjena)
    • Koje podatke obrađuje (osobni, poslovni, javni)
    • Tko je provider i ima li dokumentaciju sukladnosti

  3. Provjerite governance: Postoji li proces odobravanja novih AI alata? Ako ne — ovo je prvi gap koji treba zatvoriti.

Output dana 1-2: Kompletan popis AI sustava s osnovnim metapodacima.

Savjet: Naš compliance upitnik vodi vas kroz ovaj proces korak po korak — koraci 1-3 pokrivaju upravo inventar i kategorizaciju AI alata.

Dan 3: Klasificirajte rizik svakog sustava

EU AI Act kategorizira AI sustave u 4 razine rizika:

RazinaOpisPrimjerObveze
ZabranjenoAI prakse koje su potpuno zabranjeneSocial scoring zaposlenika, manipulativni AIZabrana korištenja, kazne do €35M
Visoki rizikAI u kritičnim područjimaAI za zapošljavanje, kreditni scoring, biometrijaKompletna dokumentacija, ljudski nadzor, risk management
Ograničeni rizikAI koji zahtijeva transparentnostChatbotovi, AI-generirani sadržajObveza označavanja i informiranja korisnika
Minimalni rizikVećina uobičajenih AI alataSpam filteri, preporuke sadržajaBez specifičnih obveza (osim AI literacy)

Što napraviti:

  1. Za svaki alat iz inventara odredite razinu rizika. Ključna pitanja:

    • Utječe li AI na prava ili pristup uslugama? (zapošljavanje, krediti, obrazovanje → visoki rizik)
    • Komunicira li AI s ljudima koji možda ne znaju da razgovaraju s AI? (chatbot → ograničeni rizik)
    • Generira li sadržaj koji bi netko mogao zamijeniti za ljudski? (deepfake, sintetički tekst → ograničeni rizik)

  2. Posebno provjerite Članak 5 — zabranjene prakse. Jeste li sigurni da nijedan alat ne radi:

    • Emotion recognition na radnom mjestu
    • Social scoring zaposlenika ili korisnika
    • Manipulaciju ranjivih skupina
    • Generiranje nekonsenzualnog seksualnog sadržaja (nudifier alati — nova zabrana od Omnibus VII)

Output dana 3: Svaki AI sustav ima dodijeljenu razinu rizika.

Savjet: Naš besplatni Quick Check daje instant klasifikaciju — unesite opis AI sustava i dobijete kategoriju rizika u 2 minute.

Dan 4-5: Generirajte ključne dokumente

Dokumentacija je srž EU AI Act compliance-a. Dobra vijest za SMB-ove: ne trebate sve dokumente odjednom. Počnite s tri najvažnija:

1. AI Inventory Register (Annex IV)

Formalizirani popis svih AI sustava — ono što ste napravili u danu 1-2, ali u strukturiranom formatu. Uključuje:

  • Naziv i verzija sustava
  • Provider i kontakt
  • Namjena i kontekst korištenja
  • Razina rizika
  • Odgovorna osoba

2. AI Acceptable Use Policy (Članak 4, 26)

Interni dokument koji definira pravila korištenja AI u firmi:

  • Koji AI alati su odobreni
  • Postupak za uvođenje novih AI alata
  • Što zaposlenici smiju i ne smiju raditi s AI-jem
  • Kako postupiti kad AI daje pogrešan output

3. AI Risk Assessment (Članak 9)

Procjena rizika za svaki AI sustav visokog ili ograničenog rizika:

  • Identificirani rizici i njihova vjerojatnost
  • Potencijalni utjecaj na korisnike i temeljnih prava
  • Mjere ublažavanja za svaki rizik
  • Tko je odgovoran za monitoring

Što napraviti:

Za svaki dokument: prikupite podatke iz inventara (dan 1-2) i klasifikacije (dan 3), zatim generirajte draft.

Output dana 4-5: Tri ključna compliance dokumenta u draftu.

Savjet: ComplianceForge AI automatski generira svih 10 compliance dokumenata na temelju vaših odgovora u upitniku — uključujući ova tri, plus Transparency Notice, FRIA, AI Literacy Program i druge.

Dan 6: Napravite akcijski plan

Dokumenti su temelj, ali compliance je živi proces. Dan 6 je za pretvaranje dokumenata u konkretne akcije.

Što napraviti:

  1. Iz risk assessmenta izvucite sve identificirane rizike i za svaki definirajte:

    • Konkretnu akciju za ublažavanje
    • Odgovornu osobu
    • Rok za implementaciju
    • Kriterij provjere (kako ćete znati da je napravljeno)

  2. Prioritizirajte po hitnosti:

    • Odmah: Sve vezano za Članak 5 (zabranjene prakse) — ovo je već aktivno
    • Ovaj mjesec: AI literacy program (Članak 4) — također već aktivno
    • Do studenog 2026.: Transparency obveze (Članak 50) — označavanje AI sadržaja
    • Do prosinca 2027.: High-risk compliance (za standalone sustave)

  3. Postavite recurring review — compliance nije jednokratni projekt. Preporučujemo mjesečni pregled statusa.

Output dana 6: Strukturirani akcijski plan s rokovima i odgovornim osobama.

Dan 7: Pregled, verifikacija i delegiranje

Zadnji dan je za kvalitetu i odgovornost.

Što napraviti:

  1. Pregledajte sve dokumente s barem jednom drugom osobom (four-eyes princip). Jedna osoba piše, druga verificira. Pitanja za verifikaciju:

    • Jesmo li popisali sve AI sustave? (provjerite s voditeljima odjela)
    • Je li klasifikacija rizika ispravna? (usporedite s primjerima u regulativi)
    • Pokrivaju li dokumenti sve identificirane rizike?

  2. Delegirajte odgovornosti:

    • Tko prati promjene u regulativi?
    • Tko odobrava nove AI alate?
    • Tko provodi AI literacy trening?
    • Tko je kontakt za regulator ako zatraži informacije?

  3. Dokumentirajte odluke — ne zato što vas regulator traži, nego zato što za 6 mjeseci nećete pamtiti zašto ste nešto odlučili.

Output dana 7: Verificirani dokumenti, jasne odgovornosti, zakazani sljedeći pregled.

Nakon 7 dana: što dalje?

Čestitamo — imate temelje. Ali ovo nije "napravi i zaboravi" situacija.

Ongoing obveze:

  • Mjesečno: Pregledajte inventar — novi AI alati? Promjene u korištenju?
  • Kvartalno: Ažurirajte risk assessment — novi rizici? Nove mjere?
  • Kad se promijeni regulativa: Provjerite utjecaj na vaš compliance (kao Omnibus VII promjene)
  • Kad uvedete novi AI alat: Provedite klasifikaciju prije korištenja

Ključni rokovi za 2026-2028:

RokObavezaStatus
Veljača 2025.Zabranjene prakse (Art. 5), AI literacy (Art. 4)VEĆ AKTIVNO
Kolovoz 2025.GPAI model obvezeVEĆ AKTIVNO
Studeni 2026.Transparency obveze (Art. 50)8 mjeseci
Prosinac 2027.High-risk standalone sustavi21 mjesec
Kolovoz 2028.High-risk embedded sustavi29 mjeseci

Ne trebate to raditi sami

Ovaj vodič daje okvir, ali izrada compliance dokumenata od nule zahtijeva poznavanje regulatornih zahtjeva, mapiranje na vaš specifičan kontekst i puno copy-paste iz pravnih izvora.

ComplianceForge AI automatizira taj proces:

  1. Compliance upitnik (15 min) — 9 koraka koji pokrivaju sve aspekte vašeg korištenja AI-a
  2. Automatska klasifikacija — decision tree koji prati logiku EU AI Acta (Art. 5 → Art. 6 → Annex III → Art. 50)
  3. Compliance score — vidite gdje stojite po 8 dimenzija (inventar, policy, nadzor, dokumentacija...)
  4. 10 generiranih dokumenata — od AI inventara do tehničke dokumentacije, prilagođeni vašim odgovorima
  5. Akcijski plan — konkretni koraci s rokovima, delegiranjem i verifikacijom

Upitnik traje 15 minuta. Rezultate dobijete odmah.

Izvori: EU AI Act — Europski parlament, Martin Warner — YouTube, EU Made Simple — YouTube, LegalNodes, Sombra

Želite saznati svoj compliance status?

Besplatan upitnik, AI klasifikacija i compliance score u 30 minuta.

Stariji članakTraces vs Evidence: Zašto policy dokumenti nisu dovoljni za EU AI Act
Noviji članakEU AI Act: Što se promijenilo nakon Omnibus VII (ožujak 2026.)