Beta

Source: OJ L, 2024/1689, 12.7.2024

Current language: SV

Artikel 26 Skyldigheter för tillhandahållare av AI-system med hög risk

    1. Tillhandahållareen fysisk eller juridisk person, offentlig myndighet, en byrå eller annat organ som under eget överinseende använder ett AI-system, utom när AI-systemet används inom ramen för en personlig icke-yrkesmässig verksamhet. av AI-systemett maskinbaserat system som är utformat för att fungera med varierande grad av autonomi och som kan uppvisa anpassningsförmåga efter införande och som, för uttryckliga eller underförstådda mål, drar slutsatser härledda från den indata det tar emot, om hur utdata såsom förutsägelser, innehåll, rekommendationer eller beslut som kan påverka fysiska eller virtuella miljöer ska genereras. med hög riskkombinationen av sannolikheten för skada och denna skadas allvarlighetsgrad. ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att de använder sådana system i enlighet med de bruksanvisningar som åtföljer systemen, enligt punkterna 3 och 6.

    1. Tillhandahållareen fysisk eller juridisk person, offentlig myndighet, en byrå eller annat organ som under eget överinseende använder ett AI-system, utom när AI-systemet används inom ramen för en personlig icke-yrkesmässig verksamhet. ska tilldela fysiska personer som har nödvändig kompetens, utbildning och auktoritet samt nödvändigt stöd uppgiften att utöva mänsklig kontroll.

    1. De skyldigheter som fastställs i punkterna 1 och 2 påverkar inte andra skyldigheter för tillhandahållareen fysisk eller juridisk person, offentlig myndighet, en byrå eller annat organ som under eget överinseende använder ett AI-system, utom när AI-systemet används inom ramen för en personlig icke-yrkesmässig verksamhet. enligt unionsrätten eller nationell rätt eller tillhandahållarens frihet att organisera sina egna resurser och sin egen verksamhet i syfte att genomföra de åtgärder för mänsklig kontroll som leverantören anger.

    1. Utan att det påverkar tillämpningen av punkterna 1 och 2 ska tillhandahållaren, i den mån tillhandahållaren utövar kontroll över indatadata som lämnas till eller anskaffas direkt av ett AI-system och som utgör den grund på vilken systemet producerar utdata., säkerställa att indatadata som lämnas till eller anskaffas direkt av ett AI-system och som utgör den grund på vilken systemet producerar utdata. är relevanta och tillräckligt representativa med tanke på det avsedda ändamålet med AI-systemet med hög riskkombinationen av sannolikheten för skada och denna skadas allvarlighetsgrad..

    1. Tillhandahållareen fysisk eller juridisk person, offentlig myndighet, en byrå eller annat organ som under eget överinseende använder ett AI-system, utom när AI-systemet används inom ramen för en personlig icke-yrkesmässig verksamhet. ska övervaka driften av AI-systemet med hög riskkombinationen av sannolikheten för skada och denna skadas allvarlighetsgrad. på grundval av bruksanvisningen och, i förekommande fall, informera leverantörerna i enlighet med artikel 72. Om tillhandahållareen fysisk eller juridisk person, offentlig myndighet, en byrå eller annat organ som under eget överinseende använder ett AI-system, utom när AI-systemet används inom ramen för en personlig icke-yrkesmässig verksamhet. har skäl att tro att användningen av AI-systemet med hög riskkombinationen av sannolikheten för skada och denna skadas allvarlighetsgrad. i enlighet med instruktionerna kan leda till att AI-systemet utgöra en riskkombinationen av sannolikheten för skada och denna skadas allvarlighetsgrad. i den mening som avses i artikel 79.1 ska de, utan oskäligt dröjsmål, informera leverantören eller distributören och den berörda marknadskontrollmyndigheten och tillfälligt avbryta användningen av det systemet. Om tillhandahållareen fysisk eller juridisk person, offentlig myndighet, en byrå eller annat organ som under eget överinseende använder ett AI-system, utom när AI-systemet används inom ramen för en personlig icke-yrkesmässig verksamhet. har fastställt en allvarlig incidenten incident eller ett fel i ett AI-system som direkt eller indirekt orsakar något av följande:Dödsfall eller allvarlig skada på en persons hälsa.En allvarlig och oåterkallelig störning av förvaltningen eller driften av kritisk infrastruktur.Åsidosättande av skyldigheter enligt unionsrätten avsedda att skydda grundläggande rättigheter.Allvarlig skada på egendom eller på miljön. ska de också omedelbart informera först leverantören och sedan importören eller distributören och de berörda marknadskontrollsmyndigheterna om den incidenten. Om tillhandahållaren inte kan nå leverantören ska artikel 73 gälla i tillämpliga delar. Denna skyldighet omfattar inte känsliga operativa uppgifteroperativa uppgifter som rör verksamhet för att förebygga, förhindra, upptäcka, utreda eller lagföra brott och vars röjande skulle kunna äventyra straffrättsliga förfarandens integritet. om tillhandahållareen fysisk eller juridisk person, offentlig myndighet, en byrå eller annat organ som under eget överinseende använder ett AI-system, utom när AI-systemet används inom ramen för en personlig icke-yrkesmässig verksamhet. av AI-systemett maskinbaserat system som är utformat för att fungera med varierande grad av autonomi och som kan uppvisa anpassningsförmåga efter införande och som, för uttryckliga eller underförstådda mål, drar slutsatser härledda från den indata det tar emot, om hur utdata såsom förutsägelser, innehåll, rekommendationer eller beslut som kan påverka fysiska eller virtuella miljöer ska genereras. som är brottsbekämpande myndigheter.

    2. För tillhandahållareen fysisk eller juridisk person, offentlig myndighet, en byrå eller annat organ som under eget överinseende använder ett AI-system, utom när AI-systemet används inom ramen för en personlig icke-yrkesmässig verksamhet. som är finansinstitut som omfattas av krav avseende sina interna styrelseformer, arrangemang eller processer enligt unionsrätten om finansiella tjänster ska övervakningsskyldigheten i första stycket anses vara uppfylld genom att reglerna om interna styrelseformer, arrangemang, processer och mekanismer enligt relevant unionsrätt om finansiella tjänster följs.

    1. Tillhandahållareen fysisk eller juridisk person, offentlig myndighet, en byrå eller annat organ som under eget överinseende använder ett AI-system, utom när AI-systemet används inom ramen för en personlig icke-yrkesmässig verksamhet. av AI-systemett maskinbaserat system som är utformat för att fungera med varierande grad av autonomi och som kan uppvisa anpassningsförmåga efter införande och som, för uttryckliga eller underförstådda mål, drar slutsatser härledda från den indata det tar emot, om hur utdata såsom förutsägelser, innehåll, rekommendationer eller beslut som kan påverka fysiska eller virtuella miljöer ska genereras. med hög riskkombinationen av sannolikheten för skada och denna skadas allvarlighetsgrad. ska spara de loggar som genereras automatiskt av det AI-systemet med hög riskkombinationen av sannolikheten för skada och denna skadas allvarlighetsgrad., i den mån sådana loggar står under deras kontroll, under en period som är lämplig för det avsedda ändamålet med AI-systemet med hög riskkombinationen av sannolikheten för skada och denna skadas allvarlighetsgrad., dock i minst sex månader, om inte annat föreskrivs i tillämplig unionsrätt eller nationell rätt, i synnerhet unionsrätten om skydd av personuppgifterpersonuppgifter enligt definitionen i artikel 4.1 i förordning (EU) 2016/679..

    2. Tillhandahållareen fysisk eller juridisk person, offentlig myndighet, en byrå eller annat organ som under eget överinseende använder ett AI-system, utom när AI-systemet används inom ramen för en personlig icke-yrkesmässig verksamhet. som är finansinstitut som omfattas av krav avseende sina interna styrelseformer, arrangemang eller processer enligt unionsrätten om finansiella tjänster ska bevara loggar som en del av den dokumentation som ska bevaras enligt relevant unionsrätt om finansiella tjänster.

    1. Innan ett AI-systemett maskinbaserat system som är utformat för att fungera med varierande grad av autonomi och som kan uppvisa anpassningsförmåga efter införande och som, för uttryckliga eller underförstådda mål, drar slutsatser härledda från den indata det tar emot, om hur utdata såsom förutsägelser, innehåll, rekommendationer eller beslut som kan påverka fysiska eller virtuella miljöer ska genereras. med hög riskkombinationen av sannolikheten för skada och denna skadas allvarlighetsgrad. tas i bruk eller används på en arbetsplats ska tillhandahållareen fysisk eller juridisk person, offentlig myndighet, en byrå eller annat organ som under eget överinseende använder ett AI-system, utom när AI-systemet används inom ramen för en personlig icke-yrkesmässig verksamhet. som är arbetsgivare informera arbetstagarrepresentanterna och de berörda arbetstagarna om att de kommer att vara föremål för användning av AI-systemet med hög riskkombinationen av sannolikheten för skada och denna skadas allvarlighetsgrad.. Denna information ska, i tillämpliga fall, tillhandahållas i enlighet med de regler och förfaranden som fastställs i unionsrätten och nationell rätt samt praxis i fråga om information till arbetstagare och deras representanter.

    1. Tillhandahållareen fysisk eller juridisk person, offentlig myndighet, en byrå eller annat organ som under eget överinseende använder ett AI-system, utom när AI-systemet används inom ramen för en personlig icke-yrkesmässig verksamhet. av AI-systemett maskinbaserat system som är utformat för att fungera med varierande grad av autonomi och som kan uppvisa anpassningsförmåga efter införande och som, för uttryckliga eller underförstådda mål, drar slutsatser härledda från den indata det tar emot, om hur utdata såsom förutsägelser, innehåll, rekommendationer eller beslut som kan påverka fysiska eller virtuella miljöer ska genereras. med hög riskkombinationen av sannolikheten för skada och denna skadas allvarlighetsgrad. som är offentliga myndigheter eller unionens institutioner, organ eller byråer ska fullgöra de registreringsskyldigheter som avses i artikel 49. Om dessa tillhandahållareen fysisk eller juridisk person, offentlig myndighet, en byrå eller annat organ som under eget överinseende använder ett AI-system, utom när AI-systemet används inom ramen för en personlig icke-yrkesmässig verksamhet. finner att det AI-systemett maskinbaserat system som är utformat för att fungera med varierande grad av autonomi och som kan uppvisa anpassningsförmåga efter införande och som, för uttryckliga eller underförstådda mål, drar slutsatser härledda från den indata det tar emot, om hur utdata såsom förutsägelser, innehåll, rekommendationer eller beslut som kan påverka fysiska eller virtuella miljöer ska genereras. med hög riskkombinationen av sannolikheten för skada och denna skadas allvarlighetsgrad. som de avser att använda inte har registrerats i den EU-databas som avses i artikel 71 får de inte använda det systemet och ska informera leverantören eller distributören.

    1. I tillämpliga fall ska tillhandahållareen fysisk eller juridisk person, offentlig myndighet, en byrå eller annat organ som under eget överinseende använder ett AI-system, utom när AI-systemet används inom ramen för en personlig icke-yrkesmässig verksamhet. av AI-systemett maskinbaserat system som är utformat för att fungera med varierande grad av autonomi och som kan uppvisa anpassningsförmåga efter införande och som, för uttryckliga eller underförstådda mål, drar slutsatser härledda från den indata det tar emot, om hur utdata såsom förutsägelser, innehåll, rekommendationer eller beslut som kan påverka fysiska eller virtuella miljöer ska genereras. med hög riskkombinationen av sannolikheten för skada och denna skadas allvarlighetsgrad. använda den information som tillhandahålls enligt artikel 13 i denna förordning för att fullgöra sin skyldighet att genomföra en konsekvensbedömning avseende dataskydd enligt artikel 35 i förordning (EU) 2016/679 eller artikel 27 i direktiv (EU) 2016/680.

    1. Inom ramen för en utredning för målinriktad sökning av en person som misstänks ha begått ett brott eller som har dömts för att ha begått ett brott ska tillhandahållaren av ett AI-systemett maskinbaserat system som är utformat för att fungera med varierande grad av autonomi och som kan uppvisa anpassningsförmåga efter införande och som, för uttryckliga eller underförstådda mål, drar slutsatser härledda från den indata det tar emot, om hur utdata såsom förutsägelser, innehåll, rekommendationer eller beslut som kan påverka fysiska eller virtuella miljöer ska genereras. med hög riskkombinationen av sannolikheten för skada och denna skadas allvarlighetsgrad. för biometrisk fjärridentifiering i efterhand, utan att det påverkar tillämpningen av direktiv (EU) 2016/680, på förhand eller utan oskäligt dröjsmål och senast inom 48 timmar, av en rättslig myndighet eller en administrativ myndighet vars beslut är bindande och föremål för rättslig prövning begära tillstånd för användning av det systemet, utom när det används för den inledande identifieringen av en potentiell misstänkt på grundval av objektiva och verifierbara fakta med direkt anknytning till brottet. Varje användning ska begränsas till vad som är absolut nödvändigt för att utreda ett specifikt brott.

    2. Om det tillstånd som begärts enligt första stycket nekas ska användningen av det system för biometrisk fjärridentifieringett AI-system vars syfte är att identifiera fysiska personer utan deras aktiva medverkan, vanligtvis på distans, genom jämförelse av en persons biometriska uppgifter med de biometriska uppgifterna i en referensdatabas. i efterhand som är kopplat till det begärda tillståndet upphöra med omedelbar verkan, och de personuppgifterpersonuppgifter enligt definitionen i artikel 4.1 i förordning (EU) 2016/679. som är kopplade till användningen av det AI-systemett maskinbaserat system som är utformat för att fungera med varierande grad av autonomi och som kan uppvisa anpassningsförmåga efter införande och som, för uttryckliga eller underförstådda mål, drar slutsatser härledda från den indata det tar emot, om hur utdata såsom förutsägelser, innehåll, rekommendationer eller beslut som kan påverka fysiska eller virtuella miljöer ska genereras. med hög riskkombinationen av sannolikheten för skada och denna skadas allvarlighetsgrad. för vilket tillståndet begärdes ska raderas.

    3. Under inga omständigheter får ett sådant AI-systemett maskinbaserat system som är utformat för att fungera med varierande grad av autonomi och som kan uppvisa anpassningsförmåga efter införande och som, för uttryckliga eller underförstådda mål, drar slutsatser härledda från den indata det tar emot, om hur utdata såsom förutsägelser, innehåll, rekommendationer eller beslut som kan påverka fysiska eller virtuella miljöer ska genereras. med hög riskkombinationen av sannolikheten för skada och denna skadas allvarlighetsgrad. för biometrisk fjärridentifiering i efterhand användas för brottsbekämpande ändamål på ett icke målinriktat sätt, utan koppling till ett brott, ett straffrättsligt förfarande, ett verkligt och aktuellt eller verkligt och förutsebart hot om ett brott eller sökning efter en specifik försvunnen person. Det ska säkerställas att inget beslut som har negativa rättsliga följder för en person får fattas av de brottsbekämpande myndigheterna enbart på grundval av utdata från sådana system för biometrisk fjärridentifieringett AI-system vars syfte är att identifiera fysiska personer utan deras aktiva medverkan, vanligtvis på distans, genom jämförelse av en persons biometriska uppgifter med de biometriska uppgifterna i en referensdatabas. i efterhand.

    4. Denna punkt påverkar inte tillämpningen av artikel 9 i förordning (EU) 2016/679 och artikel 10 i direktiv (EU) 2016/680 avseende behandling av biometriska uppgifterpersonuppgifter som erhållits genom särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken, såsom ansiktsbilder eller fingeravtrycksuppgifter..

    5. Oavsett ändamål eller tillhandahållareen fysisk eller juridisk person, offentlig myndighet, en byrå eller annat organ som under eget överinseende använder ett AI-system, utom när AI-systemet används inom ramen för en personlig icke-yrkesmässig verksamhet. ska varje användning av sådana AI-systemett maskinbaserat system som är utformat för att fungera med varierande grad av autonomi och som kan uppvisa anpassningsförmåga efter införande och som, för uttryckliga eller underförstådda mål, drar slutsatser härledda från den indata det tar emot, om hur utdata såsom förutsägelser, innehåll, rekommendationer eller beslut som kan påverka fysiska eller virtuella miljöer ska genereras. med hög riskkombinationen av sannolikheten för skada och denna skadas allvarlighetsgrad. dokumenteras i den relevanta polisakten och på begäran göras tillgänglig för den berörda marknadskontrollmyndigheten och den nationella dataskyddsmyndigheten, med undantag för utlämnande av känsliga operativa uppgifteroperativa uppgifter som rör verksamhet för att förebygga, förhindra, upptäcka, utreda eller lagföra brott och vars röjande skulle kunna äventyra straffrättsliga förfarandens integritet. som rör brottsbekämpningverksamhet som genomförs av brottsbekämpande myndigheter eller på deras vägnar för att förebygga, förhindra, utreda, upptäcka eller lagföra brott eller verkställa straffrättsliga påföljder, inbegripet att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten.. Detta stycke påverkar inte de befogenheter som tilldelas tillsynsmyndigheterna genom direktiv (EU) 2016/680.

    6. Tillhandahållareen fysisk eller juridisk person, offentlig myndighet, en byrå eller annat organ som under eget överinseende använder ett AI-system, utom när AI-systemet används inom ramen för en personlig icke-yrkesmässig verksamhet. ska lämna in årliga rapporter till de berörda marknadskontrollmyndigheterna och nationella dataskyddsmyndigheterna om sin användning av system för biometrisk fjärridentifieringett AI-system vars syfte är att identifiera fysiska personer utan deras aktiva medverkan, vanligtvis på distans, genom jämförelse av en persons biometriska uppgifter med de biometriska uppgifterna i en referensdatabas. i efterhand, med undantag för utlämnande av känsliga operativa uppgifteroperativa uppgifter som rör verksamhet för att förebygga, förhindra, upptäcka, utreda eller lagföra brott och vars röjande skulle kunna äventyra straffrättsliga förfarandens integritet. som rör brottsbekämpningverksamhet som genomförs av brottsbekämpande myndigheter eller på deras vägnar för att förebygga, förhindra, utreda, upptäcka eller lagföra brott eller verkställa straffrättsliga påföljder, inbegripet att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten.. Rapporterna får aggregeras för att täcka mer än en användning.

    7. Medlemsstaterna får införa mer restriktiva lagar om användningen av system för biometrisk fjärridentifieringett AI-system vars syfte är att identifiera fysiska personer utan deras aktiva medverkan, vanligtvis på distans, genom jämförelse av en persons biometriska uppgifter med de biometriska uppgifterna i en referensdatabas. i efterhand i enlighet med unionsrätten.

    1. Utan att det påverkar tillämpningen av artikel 50 i denna förordning ska tillhandahållareen fysisk eller juridisk person, offentlig myndighet, en byrå eller annat organ som under eget överinseende använder ett AI-system, utom när AI-systemet används inom ramen för en personlig icke-yrkesmässig verksamhet. av AI-systemett maskinbaserat system som är utformat för att fungera med varierande grad av autonomi och som kan uppvisa anpassningsförmåga efter införande och som, för uttryckliga eller underförstådda mål, drar slutsatser härledda från den indata det tar emot, om hur utdata såsom förutsägelser, innehåll, rekommendationer eller beslut som kan påverka fysiska eller virtuella miljöer ska genereras. med hög riskkombinationen av sannolikheten för skada och denna skadas allvarlighetsgrad. som avses i bilaga III och som fattar beslut eller hjälper till att fatta beslut som rör fysiska personer informera de fysiska personerna om att de är föremål för användning av AI-systemet med hög riskkombinationen av sannolikheten för skada och denna skadas allvarlighetsgrad.. När det gäller AI-systemett maskinbaserat system som är utformat för att fungera med varierande grad av autonomi och som kan uppvisa anpassningsförmåga efter införande och som, för uttryckliga eller underförstådda mål, drar slutsatser härledda från den indata det tar emot, om hur utdata såsom förutsägelser, innehåll, rekommendationer eller beslut som kan påverka fysiska eller virtuella miljöer ska genereras. med hög riskkombinationen av sannolikheten för skada och denna skadas allvarlighetsgrad. som används för brottsbekämpande ändamål ska artikel 13 i direktiv (EU) 2016/680 tillämpas.

    1. Tillhandahållareen fysisk eller juridisk person, offentlig myndighet, en byrå eller annat organ som under eget överinseende använder ett AI-system, utom när AI-systemet används inom ramen för en personlig icke-yrkesmässig verksamhet. ska samarbeta med de berörda behöriga myndigheterna i alla åtgärder som dessa myndigheter vidtar med avseende på AI-systemet med hög riskkombinationen av sannolikheten för skada och denna skadas allvarlighetsgrad. i syfte att genomföra denna förordning.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod