← Vse objave
26. maj 2026

AI Act za slovenska mikropodjetja: 5-minutni vodič, ne 50-stranski dokument

Za 99 % slovenskih MSP je AI Act 5-minutna odločitev: trije 'NE' na kontrolnem seznamu, štirje datumi in ena stran AI literacy politike.

AI Act za slovenska mikropodjetja: 5-minutni vodič, ne 50-stranski dokument

Za 99 % slovenskih mikro in malih podjetij je AI Act 5-minutna odločitev, ne 50-stranski compliance projekt. Če uporabljate ChatGPT za pisanje ponudb, Copilot za Excel ali Waveflow za zajem računov, ste v očeh uredbe uporabnik (deployer), ne ponudnik (provider) — in to je edina razlika, ki za vas dejansko šteje.

Vse drugo, kar boste prebrali — strateški izzivi, ocene tveganj, governance okviri — je napisano za razvijalce temeljnih modelov in za podjetja, ki AI uporabljajo za zaposlovanje, kreditiranje ali javne storitve. Vi tega ne počnete. Ta tekst je za pekarno s ChatGPT-jem, za s.p. svetovalca s Claudom, za trgovino z Waveflowom. Po petih minutah boste vedeli, v katero stopnjo tveganja spadate, do katerega datuma morate kaj storiti in zakaj za to ne potrebujete odvetnika.

Deployer ali provider: edino razlikovanje, ki za vas šteje

AI Act loči dve vlogi, in 90 % njegove vsebine se nanaša samo na eno. Provider razvija, trenira in ponuja AI model naprej — OpenAI, Anthropic, Google, Mistral. Deployer ste vi, ki to orodje uporabljate v svojem poslu. Za providerje veljajo obveznosti glede dokumentacije temeljnih modelov, testiranja, varnostnih ocen in transparentnosti učnih podatkov. Za vas kot deployerja velja en odstavek: če AI ne uporabljate v visokorizičnem kontekstu, morate samo zagotoviti, da vaši ljudje znajo z orodjem ravnati.

Če v svoj produkt ne vgrajujete lastnega AI modela in ga ne prodajate naprej kot AI sistem, ste deployer. Pika. V Sloveniji je 99,8 % vseh podjetij MSP in zaposlujejo skoraj 70 % ljudi [2] — in praktično nihče od njih ne gradi lastnih temeljnih modelov.

Ko boste naslednjič brali članek o 'compliance izzivih AI Acta za MSP', preverite, ali avtor predpostavlja, da vi razvijate AI. Skoraj zagotovo ne razvijate. Članek je napisan za napačnega bralca.

Časovnica je tako kratka, da jo zapišete na listek

AI Act ima štiri datume. 02.02.2025: stopijo v veljavo prepovedi (družbeno točkovanje, biometrična identifikacija v realnem času, manipulativni AI) in obveznost AI literacy iz 5. člena. 02.08.2026: začnejo veljati obveznosti za General-Purpose AI modele — to obvezuje providerje, ne vas. 02.08.2027: stopijo v veljavo zahteve za visokorizične AI sisteme po Prilogi III. Februar 2024: uredba sprejeta, samo historični kontekst.

Vse drugo so prehodna obdobja, ki jih vaši dobavitelji rešujejo namesto vas. OpenAI, Microsoft, Google in lokalni ponudniki, kot je Waveflow, imajo svoje pravne ekipe. Vaša naloga je izbrati plačljive oziroma poslovne verzije teh orodij in do 02.02.2025 zagotoviti minimalno AI pismenost zaposlenih.

Štirje datumi. En listek. Če vam svetovalec predstavlja časovnico s petnajstimi mejniki in delegiranimi akti, vam prodaja konzultacijske ure.

Trije 'NE' in ste minimalno tvegani

AI Act deli sisteme v štiri stopnje: prepovedane prakse, visokorizični sistemi, sistemi z omejenim tveganjem (transparentnost) in minimalno tvegani sistemi. Za slovensko mikropodjetje je določitev stopnje triminutna vaja. Vprašajte se: 1) Ali uporabljate AI za odločanje o zaposlovanju ali ocenjevanju zaposlenih? 2) Ali uporabljate AI za odločanje o dostopu do kreditov, zavarovanj ali javnih storitev? 3) Ali uporabljate AI za odločanje, ki vpliva na sodne ali pravne postopke?

Trikrat NE pomeni minimalno ali kvečjemu omejeno tveganje. To je realnost slovenskih MSP: pisanje besedil, marketinške objave, povzemanje sestankov, prevodi, zajem podatkov iz računov (invoice extraction), klepetalniki za podporo strankam, generiranje slik za socialna omrežja, pomoč pri kodi. Nič od tega ni visokorizično.

Za sisteme z omejenim tveganjem velja ena obveznost: transparentnost. Če uporabnik komunicira s klepetalnikom, mora to vedeti. Če objavljate AI-generirano vsebino, jo morate v določenih primerih označiti. Nalepka, ne revizija.

Računovodski AI kot Waveflow ni visokorizičen — in to ni mnenje

Invoice extraction iz PDF računov, vodenje KIR in KPR, priprava DDV-O obrazca s polji f11, f21, f23, f23a, f25, f31, f31a, f32, f32a, f35, f41, f51 in f52, generiranje FURS-ready XML izvoza, samoobdavčitev, VIES preverjanja in priprava UPN QR podatkov — nič od tega ne spada med visokorizične AI sisteme po Prilogi III. Priloga III taksativno našteva biometriko, kritično infrastrukturo, izobraževanje, zaposlovanje, dostop do bistvenih storitev, kazenski pregon, migracije in sodstvo. Računovodstvo MSP-ja na tem seznamu ni.

Za uporabo AI accountanta tipa Waveflow zato ne potrebujete ocene tveganja po členu 9, CE označevanja, notifikacije FURS-u ali imenovanega skladnostnega uradnika. Potrebujete audit log — zapis, kateri račun je AI obdelal, kdaj, s kakšnim rezultatom in kdo je to potrdil. Ta zapis vodi ponudnik orodja namesto vas in ga predložite, če FURS kdaj vpraša.

Pravilo: če AI piše osnutek, človek pa podpiše DDV-O in odda v eDavke, ste v jasni coni omejenega tveganja. Šele če bi AI samostojno oddajal obrazce brez človeške presoje, bi se pogovor spremenil — nobeno resno računovodsko orodje v Sloveniji tega ne počne.

AI literacy je edina obveznost, ki jo morate dejansko izpolniti

Od 02.02.2025 5. člen AI Acta zahteva 'zadostno raven pismenosti o AI' pri zaposlenih, ki z AI orodji delajo. To je edina obveznost AI Acta, ki dejansko zadeva vsa slovenska podjetja s ChatGPT-jem. In jo izpolnite v enem popoldnevu.

Konkretno: ena do dve strani internega dokumenta, ki pove, katera orodja smete uporabljati, katerih podatkov vanje ne smete vnašati (osebni podatki strank, poslovne skrivnosti, neobjavljeni finančni podatki), kdo je kontaktna oseba in kako preverjate AI rezultate, preden gredo v produkcijo. 30-minutno usposabljanje. Podpisni list. Konec.

Praktičen primer: Co-sylab uporablja enterprise verzije ChatGPT in Microsoft 365 Copilot prav zato, da podatki ne odtekajo in da se modeli ne učijo iz njihovih interakcij [4]. Točno takšne odločitve in njihova obrazložitev sodijo v vaš AI literacy dokument. AI4SI vodič GZS dodaja, da večina poskusov uvajanja UI propade, kadar podjetja stavijo izključno na tehnologijo brez urejenih podatkov, procesov in kulture [1] — AI literacy torej ni birokracija, ampak način, kako preprečite, da AI projekt propade.

Kazni do 35 milijonov EUR niso za vas

V vsakem članku o AI Actu boste prebrali, da kazni segajo do €35.000.000,00 ali 7 % letnega svetovnega prometa. Resnično — a ti zneski ciljajo na providerje temeljnih modelov in na izvajalce prepovedanih praks (družbeno točkovanje, biometrična identifikacija v realnem času). Za s.p. v Mariboru, ki s ChatGPT-jem piše opise izdelkov, je tveganje takšne kazni ničelno.

Kazni za deployerje obstajajo, a so bistveno nižje in ciljajo na konkretne kršitve — npr. uporabo visokorizičnega sistema brez človeškega nadzora. Če opravite trije 'NE' in dokumentirate AI literacy, kazenski okvir 35 milijonov nima realne aplikacije.

Razlog, zakaj se velika številka ponavlja v naslovih, je preprost: prodaja konzultacijske pakete. V Sloveniji je 66 % podjetij kot oviro za AI navedlo pomanjkanje znanja in 55 % pomanjkanje financiranja [3]. To pomanjkanje znanja je tržna priložnost za svetovalce, ki strah pakirajo v skladnostne projekte. Razumite razliko med deployerjem in providerjem in 35 milijonov se umakne v ozadje.

30 dni dela. Nikoli več.

Teden 1: popis. Seznam vseh AI orodij, ki jih v podjetju kdorkoli uporablja — ChatGPT, Claude, Gemini, Copilot, Midjourney, Waveflow, prevajalniki, klepetalniki na spletni strani. Pri vsakem: kdo, za kaj, brezplačno ali plačljivo. To je vaš AI register na eni A4 strani.

Teden 2: klasifikacija. Za vsak primer uporabe odgovorite na tri 'NE' vprašanja. Vsi 'NE' → minimalno tveganje. Klepetalnik s strankami ali javno objavljena AI vsebina → 'omejeno tveganje — transparentnost'. En sam 'DA' (npr. AI ocenjuje kandidate) → primer opustite ali se posvetujte s pravnikom. To je edini scenarij, kjer pravnika dejansko potrebujete.

Teden 3: politika in usposabljanje. Napišite dvostransko interno politiko (katera orodja, kateri podatki, kdo je kontakt, kako preverjati rezultate). 30-minutno usposabljanje. Podpisni list. Dokumentirajte odločitev za plačljive verzije orodij z obrazložitvijo glede podatkovne varnosti — kot Co-sylab [4]. itSMF Slovenija ugotavlja, da je 98 % MSP odvisnih od IT, a samo 19 % zaposluje IT strokovnjake [5]; politiko zato napišete sami, v slovenščini, brez latinščine.

Teden 4: dobavitelji. Za vsako poslovno kritično AI orodje (npr. Waveflow za računovodstvo) preverite, ali ponudnik vodi audit log, ali ima jasna pravila glede obdelave podatkov in ali načrtuje prilagoditve do 02.08.2026 in 02.08.2027. Za sofinanciranje digitalizacije in AI usposabljanj uporabite vavčerje GOV.SI z do 60 % sofinanciranjem, do €9.999,00 na vavčer in skupno do €30.000,00 na leto na podjetje [2].

AI Act za slovensko mikropodjetje ni 50-stranski compliance projekt, ampak en list papirja s tremi 'NE' in štirimi datumi. Kdor vam prodaja kaj več, prodaja strah, ne skladnosti.

Pogosta vprašanja

Ali moram kot s.p. ali mikropodjetje AI Act prijaviti FURS-u ali kakšnemu drugemu organu?
Ne. Za deployerje minimalno ali omejeno tveganih AI sistemov ni nobene obveznosti registracije, notifikacije ali prijave — niti pri FURS-u, niti pri AJPES, niti pri morebitnem prihodnjem slovenskem AI nadzornem organu. Registrirati se morajo samo providerji visokorizičnih sistemov v evropski bazi podatkov. Vaš ChatGPT, Copilot ali Waveflow račun ostane interna zadeva.
Ali AI Act zahteva, da označim vsako vsebino, ki sem jo ustvaril z AI?
Ne za vsako, ampak samo v specifičnih primerih. Označiti morate deepfake vsebine (avdio, video, slike, ki realistično prikazujejo osebe ali dogodke) in AI-generirana besedila, ki so objavljena z namenom obveščanja javnosti o zadevah javnega interesa. LinkedIn objava, opis izdelka v spletni trgovini ali interni povzetek sestanka označevanja ne zahtevajo. Klepetalnik na vaši spletni strani pa mora obiskovalcu razkriti, da gre za AI.
Kdo v podjetju mora opraviti AI literacy usposabljanje in kako pogosto?
Vsi zaposleni, ki AI orodja dejansko uporabljajo v delovnem procesu — tajnica s ChatGPT-jem, računovodja z Waveflowom, marketinški specialist z Midjourneyjem. Tisti, ki AI ne uporabljajo, izvzeti. Usposabljanje ni predpisano po obliki ali pogostosti, zato zadošča 30-minutni interni sestanek ob uvedbi orodja in osvežitev ob menjavi orodja ali pomembnejši posodobitvi politike. Podpisni list je vaš dokaz.
Sem računovodski servis, ki strankam ponuja AI-podprto obdelavo dokumentov. Sem provider ali deployer?
Deployer. Provider postanete šele, če bi sami trenirali AI model in ga ponujali pod svojo blagovno znamko kot AI sistem. Če uporabljate Waveflow, Microsoft 365 Copilot ali drugo obstoječe orodje in z njim obdelujete račune za stranke, ste deployer — tudi kadar storitev zaračunavate naprej. Vaša obveznost je AI literacy zaposlenih in pogodbeno urejen tok podatkov s stranko.
Kako AI Act vpliva na varstvo osebnih podatkov strank, ki jih vnašam v ChatGPT?
AI Act tega ne ureja — to je domena GDPR in ZVOP-2, ki sta veljala že prej. AI Act predpostavlja, da GDPR spoštujete, in dodaja samo zahtevo po AI pismenosti. V praksi to pomeni: brezplačni ChatGPT za podatke strank ni primeren, ker se modeli učijo iz vnosov; uporabite enterprise ali poslovne verzije z opt-out klavzulo. Ta odločitev sodi v vaš AI literacy dokument kot pravilo, ne kot priporočilo.
Kaj če stranka ali revizor zahteva dokazilo o skladnosti z AI Actom?
Pripravite tri dokumente: AI register (seznam orodij in primerov uporabe), klasifikacijo tveganj (trije 'NE' z datumom pregleda) in AI literacy politiko s podpisnim listom. Skupaj največ pet strani. Za deployerja minimalno ali omejeno tveganih sistemov ni predpisanega obrazca skladnosti — CE oznake, izjave o skladnosti in tehnične dokumentacije po členu 11 so obveznosti providerja, ne vaše.

Viri

  1. AI4SI / GZS — Vodič uvajanja umetne inteligence v MSP
  2. Mala in srednje velika podjetja | GOV.SI
  3. IT Law — News (Nacionalna strategija UI 2030)
  4. Podjetna Slovenija, november 2025 — primer Co-sylab
  5. itSMF Slovenija — Upravljanje storitev IT za MSP

Sorodne vsebine