Evropska unija je z Uredbo (EU) 2024/1689 (AI Act) uvedla nov regulativni okvir, ki prinaša specifične in zavezujoče obveznosti za ponudnike General‑Purpose AI (GPAI) modelov. Od 2. avgusta 2025 so določene obveznosti že v veljavi, druge pa imajo prehodna obdobja. Orodje za pomoč pri izpolnjevanju teh obveznosti je Kodeks ravnanja (Code of Practice – CoP), skupaj z vedenjskimi smernicami in obiskovalnimi predlogi / predlogi osnutki smernic. Steptoe+3Paul, Weiss+3Stibbe+3
Za IKT podjetja to pomeni, da razvoj AI rešitev ne sme biti le tehničen izziv, temveč tudi pravni: kaj so konkretne obveznosti glede transparentnosti, avtorskih pravic in varnosti, in kako se hitro prilagoditi.
Spodaj so glavni pravni elementi (iz AI Act + CoP + smernic), ki jih IKT podjetja morajo poznati in implementirati:
Obveznost
Kaj vključuje / kaj se zahteva
Zakaj je pomembno za IKT podjetja
Tehnična dokumentacija
Podrobna dokumentacija modela: tehnične značilnosti, viri učnih podatkov (dataset provenance – sledljivost izvora podatkov), postopki obdelave, omejitve modela (kje model ne deluje zanesljivo). Vir: Stibbe
Omogoča preglednost in je osnova pri pogajanjih s partnerji ali investitorji. Hkrati zmanjša pravna tveganja in podjetju olajša odzivanje, če regulator zahteva pojasnila.
Javni povzetek učnih vsebin (Training Data Summary)
Obveznost uporabe standardizirane predloge (template), ki vključuje: modalitete (npr. tekst, slike, zvok), velikost in pokritost podatkov, glavne spletne domene, informacije o spoštovanju pravice opt-out (pravica imetnikov avtorskih pravic, da prepovejo uporabo njihovih del za učenje AI). Vir: Paul Weiss, EU Digital Strategy
Povečuje transparentnost do regulatorjev, uporabnikov in poslovnih partnerjev. Podjetje z jasnim povzetkom podatkov pridobi zaupanje in lažje sodeluje v verigah vrednosti (t. i. downstream providers – podjetja, ki gradijo rešitve na podlagi obstoječih modelov).
Politika skladnosti z avtorskimi pravicami
Vzpostavitev interne politike: ocenjevanje, ali so podatki zakonito pridobljeni; upoštevanje avtorskih pravic; dokumentiranje spoštovanja opt-out zahtevkov; spremljanje sodne prakse.
Vir: Stibbe, Steptoe
Preprečuje pravne spore in zahteve po odškodninah. Dobre politike zmanjšajo tveganje kazni in ščitijo ugled podjetja v očeh uporabnikov in partnerjev.
Varnost in sistemska tveganja (Safety & Security)
Za modele s sistemskim tveganjem (frontier models – zelo zmogljivi modeli, ki lahko povzročijo večje družbene ali gospodarske posledice): izvajanje rednih ocen tveganja, notranjih in zunanjih revizij, zaščita infrastrukture (strežniki, podatkovne baze), incidentno poročanje in spremljanje celotnega življenjskega cikla modela.
Zelo pomembno za podjetja, ki gradijo ali uporabljajo napredne modele (npr. GPT, Claude, Gemini). Brez robustnih varnostnih procesov je tveganje za regulatorne kazni in izgubo zaupanja uporabnikov zelo visoko.
3. Praktični koraki za IKT podjetja v Sloveniji
Da bi se podjetja izognila pravnim tveganjem in hkrati izkoristila priložnosti, ki jih prinaša nova ureditev umetne inteligence, priporočamo naslednje korake:
Pregled obstoječih AI sistemov (t. i. audit)
Podjetja naj preverijo, kateri modeli, ki jih razvijajo, uporabljajo ali ponujajo na trgu, bi se lahko šteli za splošnonamenske AI modele (GPAI) oziroma za modele s sistemskim tveganjem. Pri tem je ključno pregledati:
· vire uporabljenih podatkov,
· sklenjene pogodbe in licence,
· obseg pravic do uporabe,
· vzpostavitev dokumentacijskih procesov
Treba je uvesti standardne obrazce in predloge za dokumentacijo modelov (npr. model documentation form), vzpostaviti postopek spremljanja sprememb modela in protokole za redne revizije. Uporaba že pripravljenih (odprtokodnih) predlog lahko občutno skrajša čas in stroške priprave.
Razvoj politike glede avtorskih pravic
Podjetja naj oblikujejo notranjo politiko, ki vključuje:
· osnovno usposabljanje zaposlenih,
· vključitev pravnih strokovnjakov,
· jasne pogoje uporabe podatkov,
· spoštovanje opt-out pravic imetnikov avtorskih pravic,
· mehanizme za hitro odzivanje na morebitne zahtevke lastnikov pravic
Varnost, upravljanje tveganj in poročanje incidentov
Vzpostaviti je treba sistem za:
· ocenjevanje tveganj,
· določitev odgovornih oseb,
· spremljanje dejanske uporabe modelov,
· prijavljanje in beleženje incidentov,
· sprejemanje popravnih oziroma sanacijskih ukrepov.
4. Sodelovanje z regulatorji in podpis Kodeksa ravnanja
Podjetja se lahko odločijo za podpis Kodeksa ravnanja za GPAI, kar prinaša dodatno pravno varnost in signalizira zavezanost transparentnosti. Če se podjetje za podpis ne odloči, je vseeno ključno, da ima dokumentirano dokazilo, da izpolnjuje enakovredne standarde, kot jih predvideva zakonodaja.
5. Pravna tveganja in sankcije
Neizpolnjevanje obveznosti (npr. s CoP, dokumentacije, avtorskih politik) lahko pripelje do uradnih inšpekcijskih postopkov, odgovornosti za povzročeno škodo, izgube zaupanja strank in težav pri vstopu na EU trg.
Podjetja morajo vedeti, da so tudi neevropski ponudniki zavezani, če njihov model deluje na evropskem trgu.
6. Zaključek
Evropska zakonodaja glede AI se hitro razvija – obveznosti za razvojnike GPAI modelov so zdaj jasno opredeljene: transparentnost, dokumentacija, spoštovanje avtorskih pravic in varnost. IKT podjetja, ki jih to zadeva, se morajo aktivno pripraviti, ne le teoretično, ampak z vzpostavitvijo procesov in politik že danes.
Ti pravni in operativni okvirji so tudi priložnost: podjetja, ki izstopajo po skladnosti, etiki in transparentnosti, si lahko pridobijo prednost na trgu, zaupanje partnerjev in uporabnikov, ter preprečijo tveganja, ki jih prinaša.