Usaglašavanje poslovanja sa GDPR-om i AI Act-om kao jedinstven proces

Avatar photo
Sunday, 04 January 2026 / Published in Internet pravo, IT pravo, Moderno pravo, Zaštita podataka o ličnosti
Efficiency of GDPR compliance, AI governance framework, integrated compliance

Da li je moguće zajedničko usklađivanje sa GDPR‑om i AI Act‑om – i da li se isplati?
 
Evropski propisi o podacima i veštačkoj inteligenciji postaju sve kompleksniji. Posle GDPR‑a, koji je već godinama „zlatni standard“ za zaštitu podataka, na scenu stupa EU AI Act, prvi sveobuhvatni zakon o veštačkoj inteligenciji na svetu.
Logično pitanje svakog biznisa je: da li možemo da radimo zajedničko (sjedinjeno) usklađivanje sa GDPR‑om i AI Act‑om, ili to moraju biti dva potpuno odvojena kompanijska projekta?
Kratak odgovor je: zajedničko usklađivanje je moguće i često vrlo pametno, ali ima i svoje zamke. U nastavku analiziramo:
koje su sličnosti i razlike između GDPR‑a i AI Act‑a,
prednosti integrisanog pristupa usklađivanju,
mane i rizike takvog pristupa,
na šta bi kompanije praktično trebalo da obrate pažnju.

GDPR i AI Act: sličnosti koje „vuku“ ka zajedničkom usklađivanju
 
Iako su pravno i konceptualno različiti, GDPR i AI Act dele nekoliko ključnih tačaka koje olakšavaju integrisani pristup:
1. Fokus na zaštiti osnovnih prava i odgovornoj upotrebi tehnologije
Oba propisa imaju zajednički cilj:
sprečiti da tehnologija ugrozi osnovna prava ljudi, bilo kroz zloupotrebu podataka, diskriminaciju, netransparentne algoritme ili rizične AI sisteme.
GDPR štiti lične podatke i privatnost,
AI Act štiti širi spektar osnovnih prava u kontekstu AI sistema (nediskriminacija, bezbednost, ljudsko dostojanstvo…).
2. Zajednički principi: transparentnost, odgovornost, sigurnost
I GDPR i AI Act:
podstiču transparentnost (jasne informacije korisnicima, objašnjivost odluka tamo gde je moguće),
insistiraju na odgovornosti (accountability) – organizacija mora ne samo da bude usklađena, već i da to može da dokaže,
traže mere bezbednosti i kontrolu rizika (tehničke i organizacione mere, procene rizika, praćenje sistema u praksi).
Zbog toga već postojeće GDPR programe usklađivanja (DPIA, evidencije obrade, politike privatnosti, procedure za prava lica) možemo delimično iskoristiti i kao osnovu za AI governance.
 
GDPR i AI Act: ključne razlike koje moramo imati na umu
 
Da ne bude zabune – AI Act nije „još jedan GDPR“.
1. Predmet regulacije
GDPR se primenjuje samo kad se obrađuju lični podaci.
AI Act se primenjuje na AI sisteme kao tehnologiju, čak i kad ne obrađuju lične podatke (npr. AI za optimizaciju industrijske opreme).
To znači da ćete imati AI sisteme koji padaju pod AI Act, ali ne nužno i pod GDPR, i obrnuto – neke obrade podataka bez AI biće ipak samo GDPR tema.
2. Tip zahteva: „principi“ naspram „tehničkih specifikacija“
GDPR uvodi šire principe (zakonitost, pravičnost, minimizacija podataka, ograničenje svrhe, integritet i poverljivost).
AI Act je mnogo granularniji:
traži konkretne tehničke i organizacione zahteve za high‑risk AI sisteme (kvalitet podataka, ljudski nadzor, robusnost, testiranje, logovanje, dokumentaciju, CE označavanje i dr.).
Ako pravite AI model visokog rizika, AI Act zahteva mnogo detaljniji „tehnički dosije“ od onoga što tipičan GDPR program obično podrazumeva.
3. Pristup zasnovan na riziku
Oba propisa koriste rizik‑bazirani pristup, ali na različit način:
GDPR procenjuje rizik za prava i slobode lica na koje se podaci odnose,
AI Act uvodi kategorizaciju AI sistema po riziku:
neprihvatljiv rizik (zabranjeni sistemi),
high‑risk AI (najjače obaveze),
ograničeni rizik (npr. AI chatbot – transparentnost da je u pitanju AI),
minimalni rizik (većina „običnih“ AI alata).
Ove razlike su važne da ne bismo mešali alate i procedure, ali upravo zato ima smisla praviti jedinstven, ali dobro dizajniran governance okvir.
 
Da li je moguće sjedinjeno usklađivanje sa GDPR i AI Actom?
 
Da, moguće je i ima smisla.
Mnoge kompanije se već odlučuju za integrisani program „data & AI compliance“, umesto dva potpuno odvojena projekta.
U praksi to često znači:
jedan centralni inventar sistema i obrada (data & AI inventory),
jedinstveni proces procene rizika koji objedinjuje:
GDPR DPIA,
AI Act procenu rizika / procenu uticaja na osnovna prava,
zajedničke politike i procedure (data governance, AI governance, sigurnost, incident management),
jedinstvenu governance strukturu (odbor za podatke i AI, uloga DPO‑a, uloga AI governance ili risk menadžera).
Ali da bi sve to radilo, program mora da bude dobro isplaniran, ne samo formalno „lepljenje“ dva propisa u jedan dokument.
 
Prednosti sjedninjenog (integrisanog) usklađivanja sa GDPR‑om i AI Act‑om
 
1. Manje dupliranja, više efikasnosti
Ako se sve radi odvojeno, rizikujete:
dupliranje procena rizika (poseban DPIA, pa poseban AI risk assessment),
dva seta politika koje su slične, ali nisu usklađene,
konfuziju kod timova, ne znaju kome da se jave i kojim putem da guraju projekte,
neki dokumenti mogu zahtevati poznavanje uređenosti ove oblasti (na primer: EULA).
Integrisani pristup omogućava:
jedan proces mapiranja podataka i AI sistema,
jedan centralni registar obrada i AI use‑case‑ova,
ujednačene procedure: kako se pokreće novi AI projekat, kako se proveravaju rizici, ko daje „zeleno svetlo“.
2. Bolji pregled rizika i upravljanje celinom
Kada posmatrate GDPR i AI Act zajedno, dobijate kompletnu sliku rizika:
rizika po privatnost i zaštitu podataka,
rizika po osnovna prava zbog same prirode AI modela (diskriminacija, netransparentne odluke, manipulacija…).
Integrisani pristup olakšava:
da uočite gde vam se javljaju kombinovani rizici (npr. automatizovano odlučivanje temeljeno na ličnim podacima kroz high‑risk AI sistem),
da dizajnirate jednu strategiju ublažavanja rizika, umesto seta nepovezanih mera.
3. Jasnija odgovornost i governance
Kad postoji jedan krovni okvir, lakše je:
jasno definisati ko je odgovoran za šta (DPO, CISO, AI lead, pravna služba, IT, data science),
izbeći „sive zone“ tipa: „da li je ovo GDPR tema, AI Act tema ili IT bezbednost?“.
S tačke gledišta uprave, lakše je:
pratiti napredak,
zahtevati izveštaje,
pokazati nadzornim organima da postoji ozbiljan sistem upravljanja usklađenošću, a ne skup ad hoc dokumenata.
4. Reputacija, poverenje i konkurentska prednost
Sve više klijenata, partnera i investitora postavlja pitanja o:
zaštiti podataka,
odgovornoj upotrebi veštačke inteligencije,
etici i transparentnosti.
Ako možete da komunicirate da imate jedinstven, dobro uređen program usklađivanja sa GDPR‑om i AI Act‑om, to postaje:
signal poverenja,
praktična konkurentska prednost u odnosu na organizacije koje AI uvode stihijski i bez jasnih pravila.
 
Mane i rizici integrisanog usklađivanja
 
Naravno, zajednički program nije magično rešenje. Postoje i ozbiljni izazovi.
1. Rizik „prevelikog spajanja“ – gubi se specifičnost propisa
Ako pokušamo da sve „utrpamo“ u jedan proces i jedan set dokumenata, postoji opasnost da:
zanemarimo specifične zahteve AI Act‑a (npr. detaljna tehnička dokumentacija, obaveze za high‑risk AI sisteme, CE označavanje),
ili da razvodnimo GDPR obaveze, tretirajući ga samo kao jedan „od propisa“.
U praksi je važno:
praviti integrisan okvir, ali zadržati jasne module:
„ovo su zahtevi po GDPR‑u“,
„ovo su specifični zahtevi po AI Act‑u“,
„ovde se preklapaju i možemo ih rešavati zajednički“.
2. Veća složenost za početak
Za organizacije koje tek uvode compliance kulturu, integrisani program može delovati:
previše kompleksno,
kao „ogroman projekat“ koji nikad neće biti završen (a znamo da zadovoljstvo dolazi iz toga što zatvorimo neki projekat i osećamo da je nešto urađeno).
Nekad je praktičnije:
početi od osnovnog GDPR usklađivanja (ako još nije stabilno),
pa postepeno nadograđivati AI governance sloj – ali uz jasno planiranje da se to na kraju spoji u celinu.
3. Opasnost od „check‑the‑box“ pristupa
Ako se sve svede na:
nekoliko checkbox‑ova,
generičke template‑e,
formalno „usklađivanje na papiru“,
rizikujete da:
stvarna praksa u organizaciji ne prati politike,
zaposleni koriste AI alate „ispod radara“,
istinski rizici ostanu neadresirani.
Regulatori su već vrlo jasni: demonstracija usklađenosti ne znači samo postojanje politika, već i to da se one zaista sprovode.
 
Na šta konkretno obratiti pažnju ako želite zajedničko usklađivanje?
 
Ako želite da gradite sjedinjeni GDPR + AI Act okvir, razmislite o sledećim koracima:
Napravite zajednički inventar:
obrada ličnih podataka (GDPR),
AI sistema i use‑case‑ova (AI Act).
Uvedite objedinjenu procenu rizika:
DPIA po GDPR‑u,
procena rizika / uticaja na osnovna prava po AI Act‑u,
sa jedinstvenom metodologijom i matricom rizika.
Definišite jasnu governance strukturu:
kako se odobravaju novi AI projekti,
gde se proveravaju pravni i etički aspekti,
kako se uključuju DPO, pravni tim, IT bezbednost, data science.
Standardizujte dokumentaciju:
zajednički policy za podatke i AI,
šabloni za procene rizika, tehničku dokumentaciju, evidencije, logove,
jasne procedure za incidente i kršenje prava.
Obezbedite obuke i „AI & privacy awareness“ (ovo može biti deo šire obuke o zaštiti podataka):
da ljudi razumeju ne samo GDPR, već i osnove AI rizika i obaveza,
da znaju šta smeju, a šta ne smeju, sa podacima i AI alatima.
 
Zaključak: isplati li se zajedničko usklađivanje sa GDPR‑om i AI Act‑om?
 
Ako biste morali da sažete priču u jednu rečenicu, ona bi mogla da glasi:
Da, sjedinjeno usklađivanje sa GDPR‑om i AI Act‑om je moguće i često veoma racionalno – pogotovo ako govorimo o zajedničkoj proceni rizika jer ona predstavlja integralno rešenje koje ujedno obrađuje podatke i koristi AI u obradi istih. Naravno, ovo može biti uspešno pod uslovom da je dobro dizajnirano i da ne briše razlike između ta dva propisa i ako se koristi samo u kompanijama gde je ovo integralni sistem ili samo na taj deo sistema poslovanja kompanije.
Prednosti su:
manji troškovi i manje dupliranja,
bolja preglednost i upravljanje rizicima,
jača reputacija i poverenje klijenata i partnera.
Mane su:
složenije planiranje,
rizik da se izgubi specifičnost zahteva svakog propisa,
mogućnost da sve ostane na formalnom nivou, bez stvarne promene prakse.
Za većinu ozbiljnih organizacija, naročito onih koje već imaju razvijen GDPR program i aktivno uvode AI u poslovanje, integrisani pristup je logičan sledeći korak.
Ključ je u tome da se usklađivanje ne shvati kao „još jedan pravni trošak“, već kao prilika da se izgradi odgovoran, transparentan i održiv okvir za podatke i veštačku inteligenciju.

NAPOMENA: Ovaj tekst predstavlja stav autora teksta, vezan za istraživanje kroz pripremu doktorske disertacije, kao jedna stavka ovog istraživanja. Ovaj metod se testira u praksi, na poslovanju jedne kompanije sa kojom autor teksta razvija proces. Stavovi iz teksta nemaju karakter pravnog savetovanja, pogotovo nemaju ništa sa pravosudnom delatnošću ili advokatskom strukom u okviru iste. U slučaju da imate sporni predmet koji se odvija pred pravosudnim organima, predlog je da kontaktirate advokata.

AUTOR teksta: Denis Tul