EU AI Act avgust 2026: GPAI dosje za uporabnike
2. avgust 2026 je datum, ko EU regulatorji dobijo izvršilne pristojnosti za GPAI — in ko banke, zavarovalnice in bolnišnice dobijo prvi obisk, ne prodajalci modelov.
- avgust 2026 ni rok za ponudnike, ki ga lahko čakate. To je datum, ko regulirane evropske organizacije prevzamejo pogodbeno in operativno odgovornost za GPAI obveznosti, ki jih niso nikoli podpisale — edina zagovorljiva drža pa je dosje za preverjanje na strani uporabnikov, zgrajen pred zaključkom nabave, ne šele po prihodu pisma regulatorjev.
Vsaka pravna pisarna predstavlja ta datum z vidika ponudnikov modelov: kaj morajo objaviti OpenAI, Anthropic, Mistral in Meta. Pravo tveganje pa leži eno raven niže, pri bankah, zavarovalnicah, bolnišnicah in TSO-jih, ki podedujejo asimetrično odgovornost brez objavljenih smernic za revizijo tega, kar ti ponudniki dejansko razkrijejo. Ta objava je ta priročnik.
Kaj se aktivira 2. avgusta 2026 — in kaj se je že aktiviralo leta 2025
Avgust 2026 pomeni izvršilne pristojnosti, ne novih obveznosti. GPAI dolžnosti pod poglavjem V so aktivne od 2. avgusta 2025 za vse modele, postavljene na trg po tem datumu; obstoječi GPAI modeli imajo čas do 2. avgusta 2027 [1][3]. Vsak najnaprednejši model, ki ga je vaša ekipa nabavila v zadnjih dvanajstih mesecih, je že v dosegu. Če nimate dokazne mape o njem, ste že zaostali.
To, kar se spremeni 2. avgusta 2026, so zobje Komisije. Evropski urad za AI lahko zahteva informacije od GPAI ponudnikov, izvaja vrednotenja modelov, zahteva popravne ukrepe, omeji modele z EU trga in naloži globe do višje vrednosti med 3% svetovnega letnega prometa ali 15 milijonov evrov [1]. Isti datum naredi obveznosti visokotveganih AI sistemov pod prilogo III praktično pomembne [2]. Dva režima se aktivirata isti dan, oba se dotikajo istih podjetniških delovnih tokov.
Če vaš načrt skladnosti obravnava avgust 2026 kot začetni signal, ste napačno prebrali koledar. Začetni signal je zazvonil pred letom dni. Avgust 2026 je čas, ko sodnik stopi na igrišče.
Past za uporabnike: vaša banka podeduje GPAI odgovornost, ki je niste podpisali
Klic API-ja v najnaprednejši model vas naredi navzdolni ponudnik, ne GPAI ponudnik [4]. To se sliši pomirjujoče do naslednjega stavka: če je aplikacija, ki jo gradite na vrhu, visokotvegan AI sistem — ocenjevanje kreditov, razvrščanje zahtevkov, podpora kliničnih odločitev, preverjanje zaposlenih, nadzor kritične infrastrukture — nosite polne visokotvegane obveznosti poleg tistega, kar naj bi izpolnil upstream GPAI ponudnik [4][2].
Vaš ponudnik ureja 53. člen o transparentnosti, povzetke podatkov za usposabljanje in avtorskopravno politiko. Vi urejate upravljanje tveganj, upravljanje podatkov, človeški nadzor, spremljanje po uvedbi na trg in oceno skladnosti za visokotvegan sistem, ki ste ga zgradili. Oba sklada povezuje ena krhka predpostavka: da je dokumentacija GPAI ponudnika dovolj dobra, da podpre vašo navzdolno oceno skladnosti. Če ni — če je povzetek podatkov za usposabljanje tri strani marketinškega jezika — je prvi klic regulatorja k vam, ker ste entiteta, ki postavlja visokotvegan sistem na EU trg.
Izbira ponudnikov ni več samo o kakovosti modela in ceni na žeton. Gre za to, ali bo mapa 53. člena ponudnika zdržala pod vašo mapo skladnosti priloge III. Večina nabavnih ekip tega vprašanja še ni postavila.
Ocenite povzetke podatkov za usposabljanje: OpenAI, Anthropic, Meta, Mistral po eni metriki
- člen pravi, da morajo GPAI ponudniki objaviti ‘dovolj podroben’ povzetek podatkov za usposabljanje, ki pokriva vire, metodologijo zbiranja, kategorije podatkov in filtriranje [4]. Ne definira dovolj podrobno, in najnaprednejši laboratoriji so to vrzel brali agresivno. Objavljeni povzetki se razlikujejo za red velikosti v dejansko vsebino.
Primerjajte razkritja med seboj, preden pristanejo v podatkovni sobi. Sedem dimenzij, 0–3 vsaka: imenovani podatkovni viri proti generičnim kategorijam, jezikovno in geografsko pokritje, razčlenitev vrst vsebine, datumski obsegi zbiranja, kvantitativna razčlenitev po virih, metodologija filtriranja in deduplikacije ter ravnanje z opt-out TDM [5][1]. Karkoli pod 14/21 je vrzel v dokumentaciji, ki jo morate zapolniti sami.
Evropski urad za AI je objavil prostovoljni GPAI kodeks prakse julija 2025, in upoštevanje ustvarja domnevo skladnosti s pripadajočimi obveznostmi [4]. Prvo vprašanje nabave: ali je ponudnik podpisal kodeks? Če ne, je drugo vprašanje zakaj — in odgovor gre v vašo revizijsko mapo.
9 artefaktov, ki jih potrebuje vaš dosje uporabnika pred podpisom nabave
Ekipe za skladnost nenehno sprašujejo, kaj dokumentirati. Odgovor je fiksni dosje, sestavljen pred podpisom pogodbe: (1) inventar modelov, ki povezuje vsako GPAI integracijo z delovnim tokom podjetja in klasifikacijo tveganj; (2) objavljen povzetek podatkov za usposabljanje ponudnika, ocenjen proti zgornji metriki; (3) EU politika skladnosti z avtorskimi pravicami ponudnika in TDM opt-out potrditev [4]; (4) klasifikacija sistemskega tveganja, ki potrjuje, ali je model prečkal prag 10²⁵ FLOPs računskega usposabljanja, ki sproži obveznosti 55. člena [4]; (5) paket informacij za navzdolne uporabnike, ki ga ponudnik zagotavlja pod 53. členom(1)(b); (6) dokaze vrednotenja, vključno z razkritim adverzijalnim testiranjem; (7) SLA za poročanje resnih incidentov ponudnika, ki mora za modele sistemskega tveganja podpreti 15-dnevno poročanje [4]; (8) pogodbene odškodnine za kršitve 53. člena; (9) mapiranje nameščenega sistema proti visokotveganih kategorij priloge III.
Vsak artefakt je obrambni. Samo povzetek podatkov za usposabljanje vzame 3–6 tednov medfunkcijskega dela preko pravnih, podatkovnega inženirstva, usposabljanja modelov in politik [5] — to je za ponudnika, ki ga proizvaja. Pregled uporabnika je krajši, vendar ga ni mogoče preskočiti, ker je dosje vaš edini odgovor v trenutku, ko regulator vpraša, zakaj ste zaupali razkritju ponudnika.
Sestavite ga pred zaključkom nabave. Po podpisu je vaš pogajalski vzvod izginil in artefakti, ki jih niste zahtevali, so artefakti, ki jih ne boste dobili.
Pogodbeni jezik, ki se mu bodo ponudniki upirali (vseeno ga zahtevajte)
Standardne pogodbe najnaprednejših modelov potiskajo GPAI odgovornost navzdol preko klavzul omejitve odgovornosti, širokih izjav o rezultatih in molka o nadomestilu za regulatorne kršitve. Za samostojnega podjetnika, ki gradi klepetalnik, je to komercialna nevšečnost. Za reguliranega uporabnika, ki postavlja visokotvegan sistem na EU trg, je to nesprejemljiva razporeditev tveganj.
Trije kavlji so ne-pogajalni. Prvič, izrecno nadomestilo za kršitve 53. člena, ki jih lahko pripišemo ponudniku — vključno z neuspešno tehnično dokumentacijo, neuspešnimi informacijami za navzdolne ponudnike in neskladnim povzetkom podatkov za usposabljanje [4]. Drugič, revizijske pravice proti tehnični dokumentaciji ponudnika, izvršene preko neodvisne tretje osebe pod NDA, če ponudnik zavrne neposreden dostop. Tretjič, pogodbeni kavlj za GPAI kodeks prakse: ponudnik se drži, in umik upoštevanja je materialna kršitev. Ponudniki se bodo upirali vsem trem. Odidite ali dokumentirajte preostalo tveganje v svoji revizijski mapi in ga ocenite.
Za modele sistemskega tveganja dodajte četrto klavzulo: obvestilo o resnem incidentu vam daleč znotraj 15-dnevnega okna, ki ga ponudnik dolguje uradu za AI [4], da lahko izpolnite svoje lastne navzdolne dolžnosti poročanja.
Lokalno sklepanje je vzvod skladnosti, ne le suverenost
Poganjanje odprto-težinskega modela znotraj vašega perimetra ne izniči GPAI pravil. Stori nekaj bolj koristnega: zruši problem preverjanja upstream ponudnika v vaše lastno nadzorovano okolje. Povzetek podatkov za usposabljanje, ki ga ne morete izvleči od najnaprednejšega ponudnika, je tisti, ki ga sami proizvajate za odprto-težinski model, katerega uteži, podatkovne liste in modelno kartico nadzorujete. Prag 10²⁵ FLOPs sistemskega tveganja [4] sedi daleč nad družinami Llama, Mistral, Gemma in Qwen — kar pomeni, da se težke obveznosti 55. člena za adverzialno testiranje, oceno sistemskega tveganja in poročanje o kibernetski varnosti ne pripnejo.
Naprava WaveNode, ki poganja Gemma ali Llama znotraj vašega perimetra, prestavi prvi klic regulatorja. Ste še vedno uporabnik z visokotveganih obveznostmi, če je delovni tok visokotvegan — vendar se problem preverjanja upstream GPAI spremeni v interno vajo dokumentiranja namesto adversarnega pogajanja s pravno ekipo ameriškega ponudnika. Za delovne tokove ocenjevanja kreditov, razvrščanja zahtevkov in kliničnih odločitev, že klasificirane visokotvegane pod prilogo III, je to razlika med zagovorljivo revizijsko mapo in trajno contingentno odgovornostjo.
WaveNode je zgrajen natančno za to držo: lokalno GPU sklepanje na infrastrukturi stranke, odprto-težinski modeli z dokumentiranim izvorom, RAG s sledparnjem citatov in revizijska sled, ki vsak odgovor poveže nazaj z izvornim dokumentom, stranjo in revizijo. Glejte /enterprise-ai-on-premise za model namestitve in /customers/eles za produkcijsko referenco pri slovenskem nacionalnem TSO, ki poganja NEXUS. Za okvirjanje na nabavni strani /blog/on-premise-ai-vs-cloud-ai-don-t-choose-a-platform-classify- obravnava korak klasifikacije delovne obremenitve.
90-dnevni šprint pripravljenosti proti 3% svetovnega prometa
En sam pregled povzetka podatkov za usposabljanje traja 3–6 tednov medfunkcijskega dela [5]. Za srednje veliko reguliran uporabnik s petimi do petnajstimi GPAI integracijami to obsega 90-dnevni šprint pripravljenosti preko treh delovnih tokov: inventar modelov in klasifikacija (tedni 1–3), zbiranje in ocenjevanje dosjejev ponudnikov (tedni 4–9), pogodbena sanacija in mapiranje visokih tveganj (tedni 10–13). Osebje: en vodja skladnosti, en AI arhitekt, en nabavni pravnik, delčni DPO. Proračun: nizke šestmestne številke, od začetka do konca.
Izpostavljenost kazni: globe 101. člena za GPAI kršitve dosežejo višjo vrednost med 3% svetovnega letnega prometa ali 15 milijonov evrov [1]. Kršitve prepovedane AI pod 5. členom dosežejo 7% ali 35 milijonov evrov. Za regulirano skupino pri 5 milijard evrov prihodkov je 3% strop 150 milijonov evrov. Šprint se povrne, če prepreči en sam uveljavitveni ukrep z zgolj delno globo.
Zgradite dosje zdaj, dokler še nadzorujete nabavni vzvod in časovnico dokumentacije. 3. avgusta 2026 regulatorji ne bodo vprašali vašega ponudnika za dosje. Vprašali bodo vas. Uporabniki, ki bodo zgradili verificirajočo mapo vnaprej, bodo tisti, ki bodo še vedno v produkciji.
Poglejte, kako WaveNode gradi dosje uporabnika v lokalno sklepanje — https://wavenetic.com/#platform