Skip to content

Kako izgraditi UI registar u 90 minuta (Akt EU-a o umjetnoj inteligenciji)

Izgradnja UI registra u pet koraka i 90 minuta, kakav malim i srednjim poduzećima u EU-u traže članak 26. Akta o umjetnoj inteligenciji i smjernice ICO-a. Početni stupci, zamke, pravila vlasništva.

Kako izgraditi UI registar u 90 minuta (Akt EU-a o umjetnoj inteligenciji)
Methodology by Daniela PiskackovaCo-founder & AI Audit Lead

Većina malih i srednjih poduzeća u Europi gleda na UI registar kao na tešku isporuku koju će izraditi tek kad ovrha Akta o umjetnoj inteligenciji počne gristi. To je pogreška u kategoriji. Funkcionalna verzija 1 nastaje za devedeset minuta ako je zamislite kao popis na strani subjekta koji uvodi sustav, a ne kao dokaz usklađenosti. U nastavku je izgradnja u pet koraka kakvu vodimo s voditeljima operacija u svojim revizijskim angažmanima — ista ona koja sliku rizika prema Prilogu III. stavi na jednu stranicu do petka popodne i potom oslobodi prostor da se sporiji posao odradi kako treba.

Brzi odgovor. UI registar je popis svih UI sustava u vašoj organizaciji na strani subjekta koji uvodi sustav, koji proizlazi iz obveza subjekta koji uvodi sustav iz članka 26. Akta o umjetnoj inteligenciji [1] i usklađen je sa smjernicama ICO-a prema UK GDPR-u [2]. Funkcionalna verzija 1 nastaje za devedeset minuta za poduzeća s do 200 zaposlenika: 15 minuta za popisivanje, 20 za razvrstavanje rizika prema Prilogu III., 25 za ispunjavanje osnovnih stupaca i 30 za dodjelu vlasnika i provjeru nadzora.

Što je UI registar?

UI registar je za obveze subjekta koji uvodi sustav iz članka 26. ono što je evidencija aktivnosti obrade za članak 30. UK GDPR-a: živi popis koji imenuje svaki sustav, razvrstava njegov stupanj rizika i dodjeljuje odgovornu osobu. To je dokument koji će istražitelj ICO-a, odjel nabave ili tim za sigurnost dobavljača kod poslovnog kupca zatražiti prvi.

Akt o umjetnoj inteligenciji ne propisuje format registra u tekstu uredbe. Članak 26. stavak 5. zahtijeva da subjekti koji uvode visokorizične sustave osiguraju ljudski nadzor putem imenovane, kompetentne osobe; članak 26. stavak 6. zahtijeva vođenje zapisa o visokorizičnoj upotrebi tijekom najmanje šest mjeseci [1]. Registar je operativna podloga koja oboje čini vidljivim. ICO od 2023. jasno poručuje da umjetna inteligencija koja obrađuje osobne podatke prema UK GDPR-u pokreće disciplinu procjene učinka na zaštitu podataka i obveze pouzdanosti [2], a ICO-ov priručnik za reviziju umjetne inteligencije nabraja vrste strukturiranih zapisa koje će poduzeće trebati [3]. Nijedan regulator ne nalaže određeni alat. Proračunska tablica koja imenuje prave stupce i dodjeljuje prave vlasnike prolazi test.

Zašto devedeset minuta funkcionira (i što vam ne kupuje)

Registar nije odredište. On je karta. Devedeset minuta dovoljno je da se otkrije koja je umjetna inteligencija u upotrebi, razvrsta njezin stupanj rizika i dodijeli odgovornost — trojac činjenica koji svaki subjekt koji uvodi sustav mora dokazati prije nego što ga regulator, kupac ili uprava pita. Što vam devedeset minuta ne kupuje: procjenu učinka na temeljna prava prema članku 27. za svaki sustav iz Priloga III., kurikul informiranosti o umjetnoj inteligenciji prema članku 4. razmjeran ulozi, paket dubinske analize dobavljača s ugovorima o obradi i karticama modela ni potpuno razrađen protokol ljudskog nadzora [1]. To su nizvodni tokovi rada, omeđeni onime što registar otkrije.

Disciplina vremenskog omeđivanja važnija je od dotjeranosti. U našim revizijskim angažmanima poduzeća koja na registar gledaju kao na višetjedni projekt obično ga ne izrade; poduzeća koja verziju 1 omeđe na devedeset minuta izrade registar prvog dana i potom ga dorađuju. Obveze iz članka 26. trajne su, a ne jednokratne, pa je verzija 1 koju možete ažurirati strogo vrednija od verzije 3 koju niste ni započeli.

Kako teče izrada UI registra u 90 minuta?

1. korak — Popišite svaki UI sustav u upotrebi (15 minuta)

Tri izvora pokrivaju većinu onoga što ćete pronaći. Plaćene SaaS pretplate izvucite iz knjige financija ili kartice troškova — svaki dobavljač s riječju „AI”, „ML”, „Copilot”, „Assistant” ili „Insight” u nazivu proizvoda pripada na popis. Ugrađenu umjetnu inteligenciju izvucite iz postojećih platformi — Microsoft 365 Copilot, Gemini značajke u Google Workspaceu, Salesforce Einstein, HubSpot Breeze, automatski odgovori u Outlooku, sažeci sastanaka u Teamsu — sve je obuhvaćeno, plaćeno ili ne. Sjenovitu umjetnu inteligenciju izvucite iz kratke poruke svim zaposlenicima u kojoj pitate koje UI alate koriste iz dana u dan, uključujući neplaćene potrošačke račune.

Sjenovitu umjetnu inteligenciju tretirajte kao obuhvaćenu. Zaposlenik koji zalijepi životopis u besplatni ChatGPT račun čini poduzeće visokorizičnim subjektom koji uvodi sustav prema odredbama o zapošljavanju iz Akta o umjetnoj inteligenciji [1], a podaci napuštaju vaše okruženje prema UK GDPR-u [2]. Posao je registra da to otkrije, ne da nadzire. Nadzor dolazi u 4. koraku, kad doznate što postoji.

2. korak — Razvrstajte svaki sustav po stupnju rizika prema Prilogu III. (20 minuta)

Prilog III. Akta o umjetnoj inteligenciji nabraja osam visokorizičnih područja [1]: biometrijsku identifikaciju, ključnu infrastrukturu, obrazovanje i strukovno osposobljavanje, zapošljavanje i upravljanje radnicima, pristup ključnim uslugama, kazneni progon, migracije i graničnu kontrolu te sudovanje. Za mala i srednja poduzeća živi su okidači obično zapošljavanje (probir životopisa, rangiranje učinka, automatsko raspoređivanje), pristup uslugama (kreditne odluke, određivanje cijena osiguranja) i obrazovanje (ocjenjivanje obuke, certifikacije).

Svaki sustav s popisa označite kao jedan od sljedećih: visokorizični (odgovara Prilogu III.), sustav ograničenog rizika (obveze transparentnosti prema članku 50.), sustav minimalnog rizika (bez posebnih obveza osim informiranosti iz članka 4.) ili subjekt koji uvodi umjetnu inteligenciju opće namjene (upotreba modela opće namjene kao okosnice za chatbot ili asistenta) [1]. Većina sustava u malim i srednjim poduzećima rasporedi se u dva ili tri stupnja. Razvrstavanje je odluka subjekta koji uvodi sustav; nije ju moguće prenijeti na dobavljača i ne ovisi o veličini poduzeća.

3. korak — Ispunite deset osnovnih stupaca (25 minuta)

Stupci koji zaslužuju svoje mjesto u registru subjekta koji uvodi sustav:

  1. Naziv sustava — kako ga vaši zaposlenici zovu iz dana u dan.
  2. Dobavljač — pravni subjekt iza proizvoda.
  3. Model ili verzija — gdje je poznato (npr. GPT-4o, Claude 3.5, Gemini 1.5, vlastiti).
  4. Slučaj upotrebe — jedna rečenica koja opisuje što sustav odlučuje ili stvara.
  5. Stupanj rizika — visok / ograničen / minimalan / subjekt koji uvodi UI opće namjene.
  6. Uključeni osobni podaci — DA/NE, uz kategorije prema UK GDPR-u.
  7. Zakonita osnova — osnova iz članka 6. UK GDPR-a (legitimni interes, ugovor, privola itd.).
  8. Odgovorna osoba — imenovani pojedinac, ne tim ili uloga.
  9. Vođenje zapisa iz članka 26. stavka 6. — DA/NE/nije primjenjivo za visokorizično uvođenje.
  10. Datum uvođenja — najmanje mjesec i godina.

Proračunska tablica s ovih deset stupaca odgovara na prvo pitanje koje će postaviti svaki regulator, kupac ili član uprave. Sve iznad toga je dorada, a ne posao verzije 1. Oduprite se porivu da dodajete stupce dok ne ispunite svih deset u svakom retku.

4. korak — Imenujte odgovornu osobu za svaki sustav (15 minuta)

Članak 26. stavak 5. zahtijeva da subjekti koji uvode visokorizične sustave osiguraju ljudski nadzor putem kompetentne, odgovorne osobe s ovlasti da sustav zaustavi ili poništi [1]. To prenesite u svoj registar tako da uz svaki redak iz Priloga III. imenujete stvarnog pojedinca — ne ulogu poput „voditelj IT-a” ili „voditelj operacija”. Odgovorna osoba treba tri svojstva: može čitati rezultate sustava, ima ovlast da ga isključi i dostupna je po imenu u vašem registru.

Za sustave izvan Priloga III. ipak imenujte vlasnika. Formalna je obveza lakša; disciplina je ista. Voditelji operacija i viši rukovoditelji prirodni su vlasnici u većini malih i srednjih poduzeća; tehnički direktor ili direktor za podatke nije nužan.

5. korak — Provjerite ljudski nadzor na jednom visokorizičnom sustavu (15 minuta)

Za svoj redak s najvišim rizikom iz Priloga III. prođite kroz tri pitanja: provjerava li čovjek rezultat umjetne inteligencije prije nego što utječe na osobu (test čovjeka u petlji); može li taj čovjek u praksi poništiti odluku umjetne inteligencije (test ovlasti); je li čovjek dobio osposobljavanje primjereno ulozi prema članku 4. (test pismenosti) [1]? Odgovori idu u slobodni tekstualni stupac „napomene o ljudskom nadzoru” uz deset osnovnih stupaca.

Protokol ljudskog nadzora nećete dovršiti u petnaest minuta. Cilj je otkriti gdje je praznina, ne zatvoriti je. Redak koji glasi „nema ljudske provjere probira životopisa; prazninu zatvoriti u roku od 30 dana” upravo je pravi rezultat. Posao je registra da prazninu učini vidljivom; njezino zatvaranje zaseban je tok rada i zaseban proračun.

Izrada UI registra u 90 minuta kao vremenski omeđen tok: popis sustava u 15 minuta, razvrstavanje rizika prema Prilogu III. u 20, ispunjavanje deset osnovnih stupaca u 25, imenovanje odgovornog vlasnika u 15 i provjera nadzora u 15.
Izrada UI registra u 90 minuta kao vremenski omeđen tok rada.

Kojih pet zamki ubija verziju 1 UI registra?

  • Tretiranje registra kao jednokratnog dokumenta. Obveze iz članka 26. trajne su; registar je živi dokument koji se preispituje najmanje tromjesečno i osvježava kad god se uvede novi UI sustav ili dobavljač izda veću promjenu modela.
  • Propuštanje sjenovite umjetne inteligencije. Neplaćeni potrošački računi i osobne Copilot sesije kategorija su s najviše incidenata i najmanjom vidljivošću. Ako ih registar ne otkriva, on laže.
  • Kupnja „alata za usklađenost” prije popisivanja. Tuđa SaaS aplikacija za usklađenost neće razvrstati vaše slučajeve upotrebe — to može samo vaš tim. Prvo proračunska tablica, alat poslije (ili nikad; za poduzeća s do 200 zaposlenika održavana je tablica dovoljna).
  • Dodjela uloge umjesto osobe. „IT tim” ne možete dozvati. Imenovanog pojedinca s telefonskim brojem možete. Članak 26. stavak 5. pretpostavlja potonje [1].
  • Potpuno preskakanje informiranosti iz članka 4. Članak 4. primjenjuje se od 2. veljače 2025. na svakog zaposlenika koji koristi umjetnu inteligenciju, razmjerno njegovoj ulozi [1]. To nije stupanj — svaki sustav otvara obvezu iz članka 4. Zabilježite je u registru čak i kad je sam kurikul nizvodni posao.

Što učiniti nakon devedeset minuta

Registar je sloj otkrivanja. Iz njega obično polete tri naknadna toka rada:

  1. Omeđivanje procjene učinka na temeljna prava za svaki redak iz Priloga III., prema članku 27. Akta o umjetnoj inteligenciji [1] — zaseban, dublji dokument koji stupac stupnja rizika u registru pokreće, a ne zamjenjuje.
  2. Kurikul informiranosti prema članku 4. — razmjeran ulozi, omeđen stupcem odgovorne osobe u registru, a ne brojem zaposlenika.
  3. Paket dubinske analize dobavljača — ugovori o obradi, kartice modela, podrijetlo modela opće namjene, omeđen stupcem dobavljača u registru i osvježen pri obnovi nabave.

To su tokovi rada koje pristup s ugrađenom usklađenošću pokriva u otprilike dvanaest tjedana za 18.000–32.000 GBP prema našem iskustvu iz angažmana, a iste te tokove naknadni pristup pokriva u šest stisnutih tjedana za 85.000–145.000 GBP — množitelj u skladu s podacima MIT Sloana o tome kako su europske tvrtke nakon GDPR-a pod pritiskom ovrhe smanjile pohranjene podatke za 26 % i računanje za 15 % [4]. Registar je najjeftiniji mogući prvi potez protiv te računice.

Sažetak

AI Register in 90 Minutes — a deployer-side inventory
│
├─ The five-step build
│   ├─ List (15m) — paid, embedded, and shadow AI in scope
│   ├─ Risk-tier (20m) — match each system to Annex III
│   ├─ Ten columns (25m) — the audit-ready floor, no more
│   ├─ Name owners (15m) — a person per system, not a team
│   └─ Spot-check (15m) — surface the oversight gap, don't close it
│
├─ Why timebox v1
│   ├─ A living map — Article 26 duties are continuous
│   └─ v1 you update beats v3 you never start
│
└─ What it doesn't buy
    └─ Downstream — FRIA, Article 4 literacy, vendor due diligence

Povezani članci


Posljednje ažurirano: svibanj 2026. Verzija 1.0.

Frequently Asked Questions

Zamjenjuje li UI registar evidenciju aktivnosti obrade prema GDPR-u?
Ne, riječ je o dopunjujućim popisima s različitim pravnim osnovama. Evidencija aktivnosti obrade obvezna je prema članku 30. UK GDPR-a i bilježi tokove osobnih podataka. UI registar je njezin pandan na strani subjekta koji uvodi sustav, prema članku 26. Akta o umjetnoj inteligenciji i smjernicama ICO-a, i bilježi svaki UI sustav bez obzira obrađuje li osobne podatke. Mnogi se sustavi pojavljuju u oba, no veza je u oba smjera jedan-prema-više.
Naši zaposlenici koriste besplatni ChatGPT i potrošački Copilot. Pripadaju li oni u registar?
Da. Obveze subjekta koji uvodi sustav iz članka 26. odnose se na poduzeće bez obzira je li pretplata na umjetnu inteligenciju poslovna ili potrošačka, plaćena ili besplatna. U trenutku kada zaposlenik upotrijebi UI alat u sklopu posla, poduzeće je subjekt koji uvodi sustav, a sustav pripada u registar. Besplatni potrošački računi obično nemaju ni ugovor o obradi podataka koji nudi poslovna razina, čime izloženost prema UK GDPR-u rastu, a ne smanjuju.
Naše poduzeće sjedište ima izvan EU-a. Vrijedi li Akt o umjetnoj inteligenciji za naš registar?
Za poduzeća sa sjedištem izvan EU-a izravna primjena je uža, no rijetko nikakva. Akt seže izvanteritorijalno kada se rezultat sustava upotrebljava unutar EU-a, što je uobičajeno kod SaaS proizvoda i B2B usluga. Čak i bez izloženosti EU-u, nacionalni regulatori prate logiku Akta — ICO svoje smjernice usklađuje s njime od 2023., a slijede ga i srodne neeuropske jurisdikcije. Registar usklađen s člankom 26. zadovoljava i te nacionalne smjerove kretanja.
Tko bi trebao biti vlasnik UI registra u poduzeću bez tehničkog direktora?
Direktor operacija, voditelj usklađenosti ili viša osoba koja izvještava izravno upravu. Registar je uredničke, a ne tehničke naravi: održavanje redaka, osvježavanje stupnjeva rizika pri promjeni sustava i tromjesečno provjeravanje s odgovornim osobama. Uobičajeno je da jedan imenovani vlasnik vodi registar uz otprilike tri sata po tromjesečju, a uz to svaka imenovana odgovorna osoba nosi obveze vezane uz svoj sustav.
Koliko često trebamo osvježavati registar?
Tromjesečno je realistični prag za mala i srednja poduzeća, uz osvježavanje potaknuto događajem kad god se nabavi novi UI sustav ili izađe veća promjena modela (primjerice prijelaz dobavljača s jedne generacije modela na sljedeću). Za visokorizične retke iz Priloga III. zapisi se osvježavaju neprekidno prema članku 26. stavku 6. Statičan registar star godinu dana pada na testu dokazivosti pred regulatorom ili nabavom poslovnog kupca.
Je li proračunska tablica dovoljna ili nam treba namjenski GRC alat?
Za poduzeća s do otprilike 200 zaposlenika proračunska je tablica dovoljna. Težinu revizije nose stupci, imenovani vlasnici i disciplina tromjesečnog osvježavanja, a ne platforma. Excel ili Google Sheets s ograničenim pristupom i poviješću verzija zadovoljavaju zahtjev dokazivosti. Namjenski GRC alati postaju korisni iznad otprilike 500 zaposlenika ili petnaestak UI sustava; ispod toga režija alata premašuje uštedu vremena.

Sources

  1. 1.Regulation (EU) 2024/1689 — Artificial Intelligence ActEuropean Parliament and of the Council · 2024
  2. 2.Guidance on AI and Data ProtectionInformation Commissioner's Office (ICO) · 2023
  3. 3.AI and Data Protection Risk Toolkit / AI Auditing FrameworkInformation Commissioner's Office (ICO) · 2023
  4. 4.GDPR's Effects on Firm Data and Computation Use (Bessen, Janßen, Peukert, Seamans)MIT Sloan · 2022

Want this run on your business?

AI Foundation Audit — a structured assessment of your AI footprint: integration risks, governance gaps, ROI opportunities. Delivered as a comprehensive report you can act on.

Start your audit

You receive your Executive Report and Implementation Brief — tailored to your business and delivered immediately.