Novi standardi za AI i SaaS ugovore

Autor:Naumović i partneri

Šta se desi kada vaš „pametni“ SaaS sistem donese odluku koju niko u firmi ne razume, a klijent vam pošalje mejl sa pitanjem: „Ko je sada odgovoran – vi, mi ili algoritam?“ U 2025. više ne prolazi odgovor „to samo softver tako radi“. Novi standardi za AI i SaaS ugovore traže da tačno znate ko snosi rizik za halucinacije modela, ko drži prava nad generisanim sadržajem i šta se zapravo dešava sa podacima korisnika – posebno ako radite iz Srbije, ali ciljate EU tržište.

Zašto „stari“ SaaS ugovori više ne rade?

Klasični SaaS ugovori su pisani za stabilne, predvidive sisteme: softver ima bug, vi ga ispravite i idemo dalje. AI uvodi potpuno drugačiju dinamiku – model uči, menja se, generiše sadržaj koji ni sam vendor ne može do kraja da predvidi. Klijent odjednom ne kupuje „alat“, već uslugu donošenja odluka ili generisanja sadržaja, i očekuje da neko stoji iza tih izlaza. Zato ugovor mora da odgovori na tri pitanja: koliki rizik vendor preuzima, šta je „prihvatljiva“ greška AI sistema i kada klijent zapravo koristi AI na sopstveni rizik.

Odgovornost: ko plaća ceh kada AI pogreši?

Prva velika promena su klauzule o odgovornosti. Standardni „low cap + širok disclaimer“ pristup je pod pritiskom, jer AI greške mogu dovesti do regulatornih kazni, reputacione štete i masovnih tužbi. U praksi, sve češće se uvode: posebne carve‑out klauzule za AI rizike (povreda podataka, diskriminatorni outputi, povreda IP prava trećih lica), različiti limiti odgovornosti – niži cap za opštu štetu, viši ili posebni cap za povrede privatnosti i sigurnosti, kao i obavezne procene uticaja (DPIA, AI risk assessment) koje se eksplicitno pominju u ugovoru. Za domaće igrače to znači da „copy‑paste“ ugovori sa generičkim „no liability for AI decisions“ formulacijama postaju crvena zastavica za ozbiljne klijente, posebno iz EU.

IP: čiji su podaci, modeli i outputi?

Druga linija fronta je intelektualna svojina. U AI + SaaS svetu moraju jasno da se razdvoje: background IP vendora (model, kod, infrastruktura), podaci klijenta (inputi, datasetovi, istorija korišćenja) i generisani outputi (tekst, slike, preporuke). Dobar moderan ugovor zato radi sledeće: potvrđuje da klijent zadržava vlasništvo nad svojim podacima, daje klijentu pravo korišćenja konkretnih outputa za svoje poslovne svrhe bez dodatne naknade i ograničava vendoru korišćenje tih podataka za treniranje – npr. samo anonimno, samo u okviru istog proizvoda, nikako za javne modele. Za timove iz Srbije ovo je posebno važno, jer strani partneri gotovo uvek pitaju: da li vaš model „guta“ poverljive podatke i koristi li ih za treniranje bilo čega van mog tenant‑a? Ako odgovor nije kristalno jasan u ugovoru, posao lako odlazi konkurenciji.

Zaštita podataka: GDPR kao de facto standard za sve

Treća ključna oblast je zaštita podataka. Čak i ako ste fizički i pravno u Srbiji, čim obrađujete podatke građana EU kroz SaaS ili AI, nalazite se pod GDPR kišobranom. To znači da klijenti očekuju: precizno regulisane uloge (ko je kontrolor, ko je obrađivač, ima li zajedničkog kontrolora), jasan pravni osnov za obradu – posebno za profilisanje i automatizovano odlučivanje, transparentan opis rada modela (barem na nivou kategorija podataka, svrhe, rizika) i detaljna pravila o čuvanju, brisanju i prenosu podataka. Ugovor više ne može da stane u dve stranice; dodatak o zaštiti podataka (DPA) postaje praktično obavezan, a kod naprednijih AI rešenja očekuju se i reference na DPIA i interne politike upravljanja algoritmima.

Šta ovo konkretno znači za srpske AI i SaaS timove?

Ako ste srpski startup ili tehnološka kancelarija koja radi za takve klijente, praktične posledice su vrlo opipljive. Treba vam novi „AI + SaaS“ ugovor koji već u startu ima: posebna poglavlja o odgovornosti za AI funkcionalnosti, jasne IP odredbe (posebno za trening modela) i robustan dodatak o zaštiti podataka usklađen sa GDPR, čak i kada neposredno primenjujete domaće pravo. U pregovorima sa strancima, plus je ako možete da ponudite razumljiv „explainability“ deo – mini‑sažetak kako vaš sistem funkcioniše, gde su granice njegove pouzdanosti i šta ne sme da se radi sa njim. U 2026. pravni rizik za AI ne nestaje, ali se može dosta pripitomiti – pod uslovom da vaš ugovor više ne tretira algoritam kao običan komad koda, već kao partnera koji može da pogreši, i to skupo, i za vas i za klijenta.

Šta ovo konkretno znači za klijenta koji koristi AI i SaaS u Srbiji?

Iz ugla klijenta, AI i SaaS više nisu „cool gadget“, već izvor vrlo opipljivih pravnih i poslovnih rizika. Ako posluješ iz Srbije, ali koristiš cloud rešenja za obradu podataka klijenata, zaposlenih ili korisnika iz EU, u igri su i domaći propisi i GDPR, bez obzira što ugovor potpisuješ sa „stranim vendorom“. Praktično, svaki ozbiljan klijent danas treba da uradi barem tri stvari: da pre ugovaranja traži jasan opis AI funkcionalnosti (šta tačno sistem radi, na kojim podacima, sa kojim ograničenjima), da pregovara o klauzulama odgovornosti – posebno za curenje podataka i „pogrešne“ AI odluke – i da proveri gde se podaci fizički čuvaju i da li ima prenosa van zemlje ili EU.

Za domaće kompanije najveći šok često bude to što „default“ SaaS ugovori retko štite interese korisnika u meri u kojoj oni misle da jesu. Tipični ugovori favorizuju vendora: niski limiti odgovornosti, široke dozvole za korišćenje podataka, maglovite formulacije o brisanju i retko pominjanje procena rizika. Zato je za klijente u Srbiji gotovo neophodno da pre većih AI i SaaS implementacija uključe pravne stručnjake koji razumeju tehnologiju i regulativu – to nisu obični komercijalni ugovori u privredi, to su složeni pravni odnosi koji treba da tretiraju ozbiljne pravne rizike. Preskakanje tog koraka je kao da kupite kvalitetan hirurški konac, dobru anesteziju i instrumente – i onda odlučite da operaciju izvedete sami.

Da li nam ovaj rizik odgovara, da li smo spremni da ga preuzmemo, i ako jesmo – po kojoj ceni?

Zakažite konsultaciju>

Poslednji tekstovi