Kako GDPR i EU AI Act utiču na M&A transakcije u IT sektoru

Autor:Naumović i partneri

GDPR i novi EU AI Act danas direktno utiču na evaluaciju IT kompanija i tok M&A transakcija. Za srpske IT firme koje ciljaju EU tržište ključno pitanje je da li je kod, baza podataka i AI model koji se prodaje zaista usklađen sa GDPR‑om i pravilima EU AI Act‑a. U nastavku je praktičan vodič kako ovi propisi utiču na due diligence, ugovore i post‑closing rizike.

Zašto su podaci i AI centar svakog tech deal‑a?

U savremenim M&A transakcijama u IT sektoru više se ne kupuju samo firma i tim – kupuju se kod, podaci i AI modeli. Vrednost targeta sve češće leži u bazi korisnika, istorijskim dataset‑ovima i algoritmima koji ih obrađuju.

Zato GDPR i EU AI Act više nisu fusnota u ugovoru, već faktor koji može:

  • podići ili srušiti evaluaciju,
  • produžiti pregovore mesecima,
  • ili u krajnjem ishodu – potpuno zaustaviti transakciju.

Posebno za srpske IT kompanije koje rade za EU klijente, pitanje je jednostavno: da li ono što se prodaje može zaista da se koristi u EU bez pravne „mine“ ispod površine?

Osnovni zahtevi GDPR i EU AI Act‑a u M&A kontekstu

Za M&A transakcije u IT sektoru, najkritičniji GDPR elementi su: pravna osnova obrade, DPIA, ugovori sa obrađivačima (DPA) i transferi podataka van EU. Kod EU AI Act‑a, fokus je na klasifikaciji AI sistema (high‑risk, general‑purpose, foundation modeli) i dokumentaciji koja prati životni ciklus modela.

GDPR odavno znamo kao „standard“ za lične podatke: pravna osnova, transparentnost, minimizacija, bezbednost, DPIA, ugovori sa procesorima, transferi van EU. Ali u M&A kontekstu, pitanje više nije „da li postoji privacy policy“, već:

  • da li se stvarni tokovi podataka poklapaju sa onim što piše na sajtu,
  • da li se korisnička prava zaista mogu operativno ispuniti,
  • da li postoji istorija incidenata koji će „isplivati“ nakon akvizicije.

EU AI Act dodaje novi sloj: klasifikaciju i kontrolu AI sistema. Posebno su pod lupom:

  • high‑risk sistemi, sa strogim zahtevima oko podataka, nadzora i dokumentacije,
  • foundation i generativni modeli, gde je ključno odakle dolaze trening podaci i kako se štite tuđa autorska prava.

Za kupca, pitanje više nije samo „da li target koristi AI“, već: da li taj AI sutra može da se legalno prodaje u EU i pod kojim uslovima.

Gde najčešće „puca“ u due diligence‑u kod IT i AI kompanija

Tri su tipična mesta gde se M&A priča lomi.

IP nad kodom, modelima i dataset‑ovima

Česta slika je da proizvod izgleda impresivno, a onda se otkrije da:

  • ključne delove koda pisali su frilenseri bez pravilnog prenosa prava,
  • open‑source komponente sa copyleft licencama „zagađuju“ ceo kod,
  • nije jasno ko je zapravo vlasnik AI modela (weights, pipeline, dataset‑ovi).

Na papiru – moderan SaaS. U praksi – IP mozaik koji kupac teško može mirne glave da preuzme.

Pravna osnova obrade ličnih podataka (GDPR)

„Imamo saglasnost korisnika“ često u due diligence‑u postaje:

  • checkbox napisan pre pet godina,
  • preširoke svrhe obrade,
  • oslanjanje na „legitimni interes“ bez ozbiljne analize.

Za kupca, to znači potencijalni rizik od masovnih prigovora korisnika, regulatornih postupaka i nužnosti da se sam proizvod iz temelja redizajnira da bi postao usklađen.

Trening podaci za AI modele i EU AI Act rizici

Ovo je verovatno najklizaviji teren.

Kada se postavi par naizgled jednostavnih pitanja:

  • Odakle su podaci za trening?
  • Pod kojim uslovima su pribavljeni?
  • Da li se uopšte smeju koristiti za tu svrhu?

Često se ispostavi da je odgovor kombinacija web scraping‑a, „public“ dataset‑ova nepoznatog porekla i komercijalnih izvora bez jasne licence za AI trening. U svetu EU AI Act‑a, to više nije detalj za internu diskusiju – to je potencijalni deal‑breaker.

Representations & Warranties: Koje GDPR/EU AI Act klauzule sada moraju da stoje u SPA/APA

Ugovori o prodaji (SPA/APA) danas sve češće imaju poseban blok posvećen podatcima i AI‑u.

Pored opšte klauzule „target poštuje sve propise“, kupci traže konkretne izjave da:

  • je poslovanje usklađeno sa GDPR‑om,
  • postoje adekvatne politike, DPIA i ugovori sa procesorima,
  • AI sistemi su pravilno klasifikovani i, gde je potrebno, usklađeni sa EU AI Act‑om,
  • target ima sva prava na kod, modele i trening podatke.

Nije retkost da se za ove izjave vežu:

  • posebne indemnity klauzule,
  • produženi rokovi odgovornosti,
  • escrow ili hold‑back mehanizmi dok se ne potvrdi da nema „skrivenih kostura“ u data & AI ormanu.

Post‑closing rizici: GDPR kazne, reputacija i „compliance retrofit“

GDPR kazne mogu ići do 20 miliona EUR ili 4% globalnog godišnjeg prometa, što znači da pogrešna procena GDPR/AI rizika u M&A transakciji direktno ugrožava povraćaj investicije.

Čak i kada se transakcija zatvori, GDPR i EU AI Act ostaju kao senka iznad novog vlasnika:

  • Regulatorni rizik – kazne, zabrane obrade, obavezne mere usklađivanja.
  • Reputacioni udar – jedan ozbiljan incident ili medijski tekst o AI zloupotrebama može pocepati vrednost brenda u zemlji u kojoj target tek pokušava da se pozicionira.
  • Tehnički dug – „compliance retrofit“ proizvoda koji nikada nije građen uz GDPR/AI Act u vidu može biti skuplji od samog kupoprodajnog iznosa.

U prevodu: kupac danas ne kupuje samo to šta sistem radi, već i koliko košta da sutra radi u skladu sa pravilima.

Kako se pripremiti pre pregovora – kratka check‑lista

U praksi, dobro pripremljen GDPR i EU AI Act compliance može značajno ubrzati due diligence i povećati valuaciju IT targeta.

Za prodavca

Prodavac koji želi da maksimizuje cenu i ubrza proces treba, pre nego što otvori data room, da:

  • jasno mapira koje podatke obrađuje, zašto i na kom pravnom osnovu,
  • revidira privacy dokumentaciju i ugovore sa procesorima,
  • proveri IP status koda, modela i dataset‑ova (posebno frilenseri i open‑source),
  • napravi osnovni pregled AI sistema: svrha, vrsta, izvori podataka,
  • dokumentuje incidente i korake koje je preduzeo da ih reši.

Takav prodavac ne samo da izgleda ozbiljnije, već šalje poruku da je data & AI compliance deo strategije, a ne nužno zlo.

Za kupca

Kupac bi, paralelno sa finansijskim i pravnim due diligence‑om, trebalo da vodi i poseban:

  • data & AI track – analiza modela poslovanja kroz prizmu podataka,
  • provera da li „ključna imovina“ (kod, modeli, dataset‑ovi) može da se legalno koristi i skalira u EU,
  • procena troškova potencijalne remedijacije – koliko košta da se proizvod zaista dovede na nivo koji EU regulativa zahteva.

Onaj ko ovo preskoči, često tek nakon closing‑a shvati da je kupio proizvod koji mora da „prepiše ispočetka“ da bi opstao na tržištu koje je bio cilj akvizicije.

FAQ – česta pitanja

Šta prvo proveriti u GDPR due diligence‑u IT kompanije?


Najčešće polazište su pravna osnova obrade podataka, ugovori sa obrađivačima (DPA), evidencije obrada i incidenti/kršenja podataka u poslednjih nekoliko godina.

Da li EU AI Act važi i za startap koji nije u EU, ali prodaje AI rešenja EU klijentima?


Da – ako plasiraš AI sistem na EU tržište ili pratiš ponašanje korisnika u EU, EU AI Act će se primenjivati.

Kako M&A kupac može da smanji GDPR/AI rizik?


Kroz detaljan data & AI due diligence, posebne representations & warranties klauzule i, po potrebi, escrow/hold‑back strukture vezane za identifikovane rizike.

Zaključak

Ako planirate M&A transakciju u IT sektoru, pravovremena GDPR i EU AI Act analiza može napraviti razliku između uspešnog deal‑a i skupe pravne zamke.

M&A u IT‑ju se više ne svodi samo na broj korisnika, MRR i roadmap. Iza svakog grafikona rasta krije se pitanje: da li su kod, podaci i AI modeli na kojima sve počiva pravno i regulatorno održivi?

Odgovor na to pitanje danas u velikoj meri određuju GDPR i EU AI Act. Onaj ko ih u pregovorima ignoriše, praktično pristaje da deo kupoprodajne cene prebaci u – rizik.

Poslednji tekstovi