Does the EU AI Act apply to my small business?

Yes, but for most SMEs the requirements are minimal. If you only use AI for internal productivity (ChatGPT, Copilot), you need transparency but nothing heavier. It gets serious if you use AI in high-risk decisions (HR selection, credit scoring).

Do I have to stop using ChatGPT?

No. Daily ChatGPT use (emails, documentation, summaries) is low-risk. You need to make sure staff don't enter GDPR-protected personal data, and use a business plan (Business or Enterprise) where data isn't used for training.

Has Estonia added anything on top?

Estonia applies the EU AI Act directly — no additional national requirements. The Data Protection Inspectorate (AKI) is the supervisory authority. Estonia's AI strategy (Kratt) supports compliance.

Where to get more help?

AKI's website (aki.ee), the European Commission AI Office (digital-strategy.ec.europa.eu), AIRE EDIH (Estonia's AI hub). For companies needing practical help: our 'AI for Leaders' training covers regulations at a strategic level.

EU AI Act 2026 — Estonian business compliance | AI Treening

Lühivastus

EU AI Act jõustub etappidena. Olulised 2026 kuupäevad:

2. veebruar 2025 (juba kehtiv): keelatud tavad (sotsiaalne skooring, manipulatiivsed AI-süsteemid)
2. august 2025 (juba kehtiv): üldotstarbeliste AI mudelite (GPAI) nõuded
2. august 2026 (peamine kuupäev): kõrge riskiga AI-süsteemide nõuded
2. august 2027: täielik jõustumine kõikidele süsteemidele

Enamus Eesti VKE-sid kasutab AI-d "piiratud riskiga" kategoorias (näiteks ChatGPT igapäevatöös) — neile kehtivad ainult läbipaistvuse nõuded (kasutajat tuleb teavitada AI kasutusest). Kõrge riskiga kohustused puudutavad spetsiifilisi kasutusvaldkondi.

Riski-kategooriad

EU AI Act jagab AI süsteemid 4 riskitasandile:

Vastuvõtmatu risk — keelatud (sotsiaalne skoorimine, alateadlik manipulatsioon, biomeetriline tuvastamine reaalajas avalikus ruumis)
Kõrge risk — lubatud kõrgendatud nõuetega (personali värbamine, krediidi hindamine, hariduse hindamine, kriitiline infrastruktuur)
Piiratud risk — läbipaistvuse nõuded (chatbotid, deepfake, sünteetiline meedia)
Minimaalne risk — pole erinõudeid (AI mängude vastased, spämmi-filtrid)

Kõrge riskiga süsteemid Eestis — kus see kohaldub?

Eesti VKE-de jaoks olulised kõrge riskiga kasutusjuhud:

Personali — AI värbamise filtreerimisel, töötajate hindamisel või edutamisel (näiteks CV-de automaatne filtreerimine)
Krediit ja kindlustus — AI laenutaotluste või kindlustusriskide hindamisel
Haridus — AI eksamite hindamisel või õpilaste edenemise jälgimisel
Kriitiline infrastruktuur — AI energia, vee, transpordi süsteemides
Õigussüsteem — AI kohtuasjade analüüsis või õigusabi vajaduse hindamisel

Kui teie ettevõte ei tegele ühegi neist, kuid kasutate ChatGPT-d / Claude'i igapäevatöös — teie peamine kohustus on läbipaistvus: kui kasutaja suhtleb chatbotiga, tuleb seda öelda; kui sisu on AI-genereeritud, tuleb seda märgistada.

Kõrge riskiga süsteemide kohustused

Kui teie kasutusjuht on kõrge riskiga, peate tagama:

Riski juhtimissüsteem — dokumenteeritud protsess riskide tuvastamiseks ja maandamiseks
Andmete kvaliteet — treeningandmed peavad olema asjakohased, esinduslikud, piisavalt täielikud
Tehniline dokumentatsioon — süsteemi disain, kasutusotstarve, piirangud
Inimese kontroll — süsteemi peab saama jälgida ja sekkuda
Täpsus, robustsus ja küberturve — testimisplaan ja monitooring
CE-märgis — vastavushinnangu pärast
Avalik register — registreerimine EU AI andmebaasis

GPAI (üldotstarbelised mudelid) ja teie

GPT-5, Claude, Gemini, Llama on üldotstarbelised AI mudelid (GPAI). Kohustused on peamiselt mudelipakkujatel (OpenAI, Anthropic, Google, Meta) — nemad peavad pakkuma tehnilist dokumentatsiooni, järgima autoriõiguse nõudeid, märgistama AI-genereeritud sisu jne.

Kasutajana (teie ettevõte) on teie kohustused üldjuhul piiratud:

Teavitada kasutajaid, kui nad suhtlevad AI-ga
Märgistada AI-genereeritud pildid / video / audio (deepfake'i ennetus)
Tagada, et AI ei kasutata keelatud viisil (manipulatsioon, sotsiaalne skoorimine)

Sanktsioonid

Keelatud tavade rikkumine: kuni €35M või 7% globaalsest käibest (suurem)
Kõrge riskiga süsteemide nõuete rikkumine: kuni €15M või 3% käibest
Vale info regulaatorile: kuni €7,5M või 1% käibest

VKE-dele on sanktsioonid madalamad, kuid mainekahjud Eesti turul võivad olla olulisemad.

Mida teha praegu?

Kaardistage, kus teie ettevõttes AI-d kasutatakse (sh ChatGPT igapäevaselt)
Klassifitseerige riski-tasandi järgi (enamikele on minimaalne või piiratud)
Lisage läbipaistvus: kui kasutate chatbotti, ütke seda; kui sisu on AI-genereeritud, märgistage
Kõrge riskiga juhtumid: alustage vastavustööd kohe, kui veel pole tehtud — 2. august 2026 on lähedal
Koolitage meeskond: AI-d kasutavad töötajad peavad teadma reegleid (mida tohib promptisse panna, mida mitte)

EU AI Act 2026 — what applies to Estonian businesses and when

Lühivastus

Riski-kategooriad

Kõrge riskiga süsteemid Eestis — kus see kohaldub?

Kõrge riskiga süsteemide kohustused

GPAI (üldotstarbelised mudelid) ja teie

Sanktsioonid

Mida teha praegu?

Frequently asked questions.

Related articles.

What is Artificial Intelligence? Simple Explanation & Practical Overview

AI agents for business 2026 — what they are and how to use them

Want to go deeper?