29. lipnja 2026. Vijeće Europske unije dalo je konačno odobrenje za Digital Omnibus o umjetnoj inteligenciji, čime se obveze za sustave visokog rizika iz EU Akta o umjetnoj inteligenciji odgađaju s 2. kolovoza 2026. na 2. prosinca 2027. za samostalne sustave, odnosno na 2. kolovoza 2028. za umjetnu inteligenciju ugrađenu u regulirane proizvode. Glasovanje je održano pet tjedana prije izvornog krajnjeg roka, nakon dva neuspjela trijaloga u travnju i svibnju 2026., koji su timove za usklađenost ostavili u pripremi za rok koji je mogao, ali i nije morao, opstati.

Odgoda nije povlačenje iz provedbe. U istom razdoblju 2026. godine Europska komisija kaznila je Temu s 200 milijuna eura na temelju Akta o digitalnim uslugama, irski Visoki sud potvrdio je kaznu od 530 milijuna eura protiv TikToka na temelju GDPR-a, a nacionalna nadzorna tijela prešla su iz "faze praćenja" u aktivne DORA inspekcije u bankarskom i osiguravateljskom sektoru. Europski pravilnik o umjetnoj inteligenciji, podacima i platformama istovremeno se piše i provodi, po satovima koji rijetko idu zajedno.

Za voditelje upravljanja umjetnom inteligencijom, službenike za zaštitu podataka i službenike za digitalnu usklađenost koji pokrivaju EU, Ujedinjeno Kraljevstvo i Švicarsku, ta kombinacija, pomicanje rokova uz istodobne aktivne kazne, jest stvarno operativno okruženje za ostatak 2026. godine.

Je li rok za sustave visokog rizika iz EU Akta o umjetnoj inteligenciji još 2. kolovoza 2026.?

Ne, ne nakon što Digital Omnibus o umjetnoj inteligenciji bude objavljen u Službenom listu, što se očekuje u srpnju 2026., tri dana nakon čega stupa na snagu. Uredba (EU) 2024/1689 izvorno je odredila 2. kolovoza 2026. za sustave visokog rizika iz Priloga III, koji obuhvaćaju zapošljavanje, kreditno bodovanje, biometrijsku identifikaciju, obrazovanje, migracije i primjenu u kaznenom progonu, te 2. kolovoza 2027. za sustave ugrađene u proizvode iz Priloga I. Europski parlament odobrio je tekst Omnibusa 16. lipnja 2026. sa 423 glasa za, a Vijeće je 29. lipnja 2026. potvrdilo nove datume, 2. prosinca 2027. i 2. kolovoza 2028.

Dvije obveze kreću u suprotnom smjeru. Prijelazno razdoblje za vodene žigove i označavanje sadržaja generiranog umjetnom inteligencijom prema članku 50. skraćeno je s šest na tri mjeseca, čime se novi rok od 2. prosinca 2026. primjenjuje na sustave koji su već na tržištu, a Omnibus dodaje potpunu zabranu generiranja neprivoljenog seksualnog ili intimnog sadržaja i materijala o seksualnom iskorištavanju djece generiranog umjetnom inteligencijom, odredbu bez ikakve odgode. Sve do objave u Službenom listu, izvorni datum 2. kolovoza 2026. ostaje pravno obvezujući, pa organizacije koje klasificiraju sustave prema Prilogu III ne mogu jednostavno prekinuti pripreme.

Koliko je snažno Europska komisija provodi Akt o digitalnim uslugama?

Dovoljno snažno da je u razdoblju od šest mjeseci izrekla dvije kazne s devet nula. 5. prosinca 2025. Komisija je kaznila platformu X s 120 milijuna eura, svojom prvom odlukom o nepoštivanju DSA-a, zbog obmanjujućeg dizajna značke za provjeru identiteta plavom kvačicom, oglasnog repozitorija koji nije zadovoljio zahtjeve za objavu iz članka 39. i prepreka pristupu istraživačima koje su kršile članak 40. stavak 12. Platforma X dobila je 60 radnih dana za rješavanje problema s kvačicom i 90 dana za podnošenje potpunog plana otklanjanja nedostataka, a odluku je u veljači 2026. osporila pred Općim sudom Europske unije, čime je to postao prvi sudski test provedbe DSA-a.

28. svibnja 2026. Komisija je Temu kaznila s 200 milijuna eura, odnosno 0,38 posto njegovog globalnog prometa od 53 milijarde eura, zbog neprovođenja odgovarajuće procjene rizika sposobne prepoznati nezakonite i opasne proizvode na svojoj tržnici. Temu ima rok do 28. kolovoza 2026. za podnošenje plana korektivnih mjera, a širja istraga Komisije o Temuovim sustavima preporuka i moderaciji sadržaja i dalje je otvorena. Oba slučaja izgrađena su na obvezama sistemskog rizika iz članaka 34. i 35., istim odredbama koje svaku vrlo veliku internetsku platformu i tražilicu drže pod stalnim nadzorom Komisije, područje na kojem nadzor propisa po platformama otkriva novu istragu istog dana kada je otvorena, a ne kada dospije u naslove.

Koje tijelo doista odlučuje u GDPR predmetu kada podaci prelaze granice?

Na temelju mehanizma jedinstvene kontaktne točke, odlučuje tijelo za zaštitu podataka u državi glavnog poslovnog nastana poduzeća, a za većinu globalnih platformi to je Irska. Odluka irskog Povjerenstva za zaštitu podataka od 2. svibnja 2025. kaznila je TikTok s 530 milijuna eura, od čega 45 milijuna zbog neispravnog obavještavanja korisnika prema članku 13. stavku 1. točki (f), a 485 milijuna zbog nezakonitog prijenosa podataka korisnika iz EGP-a u Kinu prema članku 46. stavku 1., nakon što je utvrđeno da TikTok nije mogao dokazati da njegove standardne ugovorne klauzule pružaju zaštitu podataka u EGP-u u biti jednakovrijednu onoj koju zahtijeva GDPR. 3. lipnja 2026. irski Visoki sud potvrdio je i utvrđenje odgovornosti i iznos kazne, no vratio je nalog o obustavi budućih prijenosa regulatoru na ponovno razmatranje, ostavljajući TikToku mogućnost da nastavi prenositi europske podatke u Kinu dok se ta konkretna točka ponovno razmatra.

Kumulativne kazne irskog Povjerenstva za zaštitu podataka sada iznose 4,04 milijarde eura od 2018. godine, s odlukom protiv Mete od 1,2 milijarde eura iz 2023. koja je i dalje na vrhu. U cijeloj EU, prema istraživanju DLA Piper iz siječnja 2026., provedba za 2025. iznosi približno 1,2 milijarde eura, što je jednako 2024. godini i podiže ukupnu vrijednost provedbe u EU od stupanja GDPR-a na snagu 2018. na 7,1 milijardu eura. Za službenika za usklađenost praktična je poruka da odabir nadležnog tijela nije administrativna formalnost, već određuje čiji pristup provedbi, rokovi i sklonost prekograničnim kaznama zapravo upravljaju predmetom.

Prepisuje li se i GDPR usporedno s Aktom o umjetnoj inteligenciji?

Da, kroz isti Digital Omnibus paket, koji je Komisija predložila 19. studenoga 2025. kao COM(2025) 837. Prijedlogom bi se osobni podaci ponovno definirali tako da pseudonimizirani podaci ne budu smatrani osobnim podacima za subjekt koji nema sredstva za ponovnu identifikaciju osobe, poduzećima bi se omogućilo pozivanje na legitimni interes kao pravnu osnovu za obuku ili rad modela umjetne inteligencije uz određene zaštitne mjere, pravila o pristanku na kolačiće premjestila bi se iz Direktive o e-privatnosti u GDPR s jednim klikom pristanka valjanog šest mjeseci, te bi se stvorila jedinstvena kontaktna točka za prijavu povreda podataka i incidenata u kibernetičkoj sigurnosti.

Europski odbor za zaštitu podataka i Europski nadzornik za zaštitu podataka u veljači 2026. izdali su zajedničko mišljenje kojim podupiru dijelove koji se odnose na administrativno pojednostavljenje, ali izričito pozivaju suzakonodavce da ne usvoje ponovnu definiciju osobnih podataka, upozoravajući da bi to suzilo temeljno pravo na zaštitu podataka izvan onoga što bi tehnička izmjena smjela učiniti. Sredinom 2026. dosje se još nalazi u redovnom zakonodavnom postupku, a odbori za industriju i za građanske slobode u Parlamentu zajednički su nadležni, što znači da tekst GDPR-a koji poduzeće danas poštuje ne mora biti tekst GDPR-a koji će biti na snazi kada program obuke umjetne inteligencije koji sada osmišljava zaživi.

Što Akt o digitalnim tržištima, Akt o podacima i DORA dodaju uz Akt o umjetnoj inteligenciji i GDPR?

Akt o digitalnim tržištima ima svoj vlastiti kolotečin provedbe protiv istih pristupnika. 22. travnja 2025. Komisija je kaznila Apple s 500 milijuna eura zbog kršenja odredbi protiv usmjeravanja korisnika prema članku 5. stavku 4., a Metu s 200 milijuna eura zbog njezinog modela oglašavanja "plati ili pristani" prema članku 5. stavku 2., prvih kazni za nepoštivanje pravila donesenih na temelju DMA-a. Prvi trogodišnji pregled Komisije, objavljen 3. svibnja 2026. kao COM(2026) 178, zaključio je da je propis prikladan za svrhu bez potrebe za zakonodavnim izmjenama, dok specifikacijski postupci pokrenuti protiv Google Playa i Google pretraživanja u siječnju 2026. i dalje traju.

Akt o podacima počeo se primjenjivati 12. rujna 2025., dajući korisnicima povezanih proizvoda i usluga pravo pristupa podacima koje ti proizvodi generiraju te, gdje je to izvedivo, pravo na njihovo dijeljenje s trećim stranama u stvarnom vremenu. Obveze projektiranja koje zahtijevaju da povezani proizvodi podatke učine dostupnima po zadanim postavkama stupaju na snagu 12. rujna 2026., a pravedni, razumni i nediskriminirajući ugovorni uvjeti primjenjuju se na sve B2B ugovore o razmjeni podataka potpisane nakon rujna 2025., a proširuju se i na određene dugotrajne postojeće ugovore od rujna 2027. Kada su uključeni osobni podaci, kazne prema Aktu o podacima prate razine GDPR-a, do 20 milijuna eura ili 4 posto globalnog prometa.

Za financijske subjekte konkretno, prijelazno razdoblje DORA-e završilo je s 2025. godinom. Od prvog tromjesečja 2026. ESB, BaFin, AMF, CSSF i druga nacionalna nadležna tijela prešla su iz pregleda spremnosti u formalne nadzorne procjene upravljanja IKT rizicima, ugovora s trećim stranama i prijavljivanja incidenata, uz kazne do 2 posto svjetskog prometa za institucije i do 1 milijun eura osobno za članove uprave koji ne postupe po izvješćima o IKT riziku.

InstrumentStatus (srpanj 2026.)Ključni datum za praćenje
Akt o UI, Prilog III, visoki rizikOmnibus usvojen, čeka objavu u Službenom listu2. prosinca 2027. (bio 2. kolovoza 2026.)
Akt o UI, članak 50., transparentnostPrijelazno razdoblje skraćeno Omnibusom2. prosinca 2026.
Provedba sistemskog rizika DSA-aAktivna, dvije izrečene kazne, jedna u žalbenom postupku28. kolovoza 2026. (Temuov plan korektivnih mjera)
GDPR (slučaj prijenosa podataka TikToka)Odgovornost i kazna potvrđene, mjera ponovno otvorenaPonovno razmatranje irskog Povjerenstva u tijeku
Reforma GDPR-a (Digital Omnibus)U redovnom zakonodavnom postupkuDatum usvajanja nije određen
Obveze pristupnika prema DMA-uDvije izrečene kazne, pregled dovršen, bez izmjenaSpecifikacijski postupak protiv Googlea u tijeku
Obveze projektiranja prema Aktu o podacimaOsnovna pravila na snazi od rujna 2025.12. rujna 2026.
Nadzorna provedba DORA-ePrijelazno razdoblje završeno, aktivne procjeneU tijeku, prema nacionalnom nadležnom tijelu

Osam instrumenata, osam vremenskih rokova, a najmanje tri su se materijalno promijenila samo u prvoj polovici 2026. godine. Funkcija usklađenosti koja to prati putem proračunske tablice udaljena je jedno propušteno priopćenje Vijeća od izgradnje programa oko roka koji više ne vrijedi, a upravo je to praznina koju je Obsidianov AI pomoćnik osmišljen zatvoriti: ne kao zamjena za pravnu procjenu, već kao provjereni regulatorni pomoćnik koji prijavljuje trenutak kada delegirani akt prođe nadzor ili kazna postane konačna.

Što bi tim za usklađenost trebao učiniti sljedeće?

Počnite razdvajanjem obvezujućeg teksta Akta o umjetnoj inteligenciji od izmjena koje su još u tijeku: nastavite s radom na klasifikaciji prema Prilogu III uz pretpostavku da bi se 2. kolovoza 2026. još moglo primjenjivati, dok pratite kretanje Omnibusa prema objavi u Službenom listu, tako da novi datum 2. prosinca 2027. bude potvrđen a ne samo pretpostavljen. Paralelno, provedbu DSA-e i DMA-e tretirajte kao dokaz o tome što regulatori zapravo prioritiziraju, procjene sistemskog rizika i ograničenja usmjeravanja, a ne oslanjajte se samo na tekst propisa.

Za timove koji upravljaju izloženošću GDPR-u u više EU poslovnih nastana, potvrdite koje nadzorno tijelo ima glavnu nadležnost za svaku aktivnost obrade i pratite pregovore o Digital Omnibusu radi promjena definicije osobnih podataka koje bi mogle utjecati na programe obuke umjetne inteligencije koji su već u tijeku. Obsidianov MCP za AI asistente omogućuje da to praćenje radi unutar alata koje timovi za usklađenost već koriste, a trenutačni planovi pokazuju kako nadzor po jurisdikcijama prati korak s pravilnikom koji se u prvoj polovici 2026. promijenio tri puta.