DIU, Alm.del - 2024-25 - Bilag 11: Lovudkast: Forslag til lov om supplerende bestemmelser til Europa-Parlamentets og Rådets forordning om kunstig intelligens (Lov om forbudte former for AI), fra ministeren for digitalisering

Udvalget for Digitalisering og It 2024-25
DIU Alm.del Bilag 11
Offentligt

Den Europæiske Unions

Tidende

L-udgaven

2024/1689

EUROPA-PARLAMENTETS OG RÅDETS FORORDNING (EU) 2024/1689

af 13. juni 2024

om harmoniserede regler for kunstig intelligens og om ændring af forordning (EF) nr. 300/2008, (EU)

nr. 167/2013, (EU) nr. 168/2013, (EU) 2018/858, (EU) 2018/1139 og (EU) 2019/2144 samt direktiv

2014/90/EU, (EU) 2016/797 og (EU) 2020/1828 (forordningen om kunstig intelligens)

(EØS-relevant tekst)

12.7.2024

EUROPA-PARLAMENTET OG RÅDET FOR DEN EUROPÆISKE UNION HAR —

under henvisning til traktaten om Den Europæiske Unions funktionsmåde, særlig artikel 16 og 114,

under henvisning til forslag fra Europa-Kommissionen,

efter fremsendelse af udkast til lovgivningsmæssig retsakt til de nationale parlamenter,

under henvisning til udtalelse fra Det Europæiske Økonomiske og Sociale Udvalg (

under henvisning til udtalelse fra Den Europæiske Centralbank (

under henvisning til udtalelse fra Regionsudvalget (

efter den almindelige lovgivningsprocedure (

), og

ud fra følgende betragtninger:

(1)

Formålet med denne forordning er at forbedre det indre markeds funktion ved at fastlægge ensartede retlige rammer,

navnlig for udvikling, omsætning, ibrugtagning og anvendelse af kunstig intelligens-systemer (»AI-systemer«)

i Unionen i overensstemmelse med Unionens værdier, at fremme udbredelsen af menneskecentreret og troværdig

kunstig intelligens (»AI«), samtidig med at der sikres et højt beskyttelsesniveau for sundhed, sikkerhed og

grundlæggende rettigheder som nedfældet i Den Europæiske Unions charter om grundlæggende rettigheder

(»chartret«), herunder demokrati, retsstatsprincippet og miljøbeskyttelse, at beskytte mod skadelige virkninger af

AI-systemer i Unionen og at støtte innovation. Denne forordning sikrer fri bevægelighed for AI-baserede varer og

tjenesteydelser og forhindrer således medlemsstaterne i at indføre restriktioner for udvikling, markedsføring og

anvendelse af AI-systemer, medmindre det udtrykkeligt er tilladt i henhold til denne forordning.

Denne forordning bør anvendes i overensstemmelse med Unionens værdier som nedfældet i chartret, der letter

beskyttelsen af fysiske personer, virksomheder, demokrati, retsstatsprincippet og miljøbeskyttelse, samtidig med at

innovation og beskæftigelse fremmes, og Unionen gøres førende inden for udbredelsen af troværdig AI.

AI-systemer kan nemt idriftsættes i en lang række sektorer af økonomien og i mange dele af samfundet, herunder på

tværs af grænserne, og kan nemt udspredes i hele Unionen. Visse medlemsstater har allerede undersøgt, om det er

muligt at vedtage nationale regler til sikring af, at AI er troværdig og sikker, og at den udvikles og anvendes

i overensstemmelse med forpligtelserne vedrørende grundlæggende rettigheder. Forskellige nationale regler kan føre

til fragmenteringen af det indre marked og kan mindske retssikkerheden for operatører, der udvikler, importerer eller

anvender AI-systemer. Der bør derfor sikres et ensartet og højt beskyttelsesniveau i hele Unionen med henblik på at

opnå troværdig AI, samtidig med at forskelle, der hæmmer den frie bevægelighed for samt innovation, idriftsættelse

og udbredelse af AI-systemer og relaterede produkter og tjenesteydelser på det indre marked, bør forhindres ved at

EUT C 517 af 22.12.2021, s. 56.

EUT C 115 af 11.3.2022, s. 5.

EUT C 97 af 28.2.2022, s. 60.

Europa-Parlamentets holdning af 13. marts 2024 (endnu ikke offentliggjort i EUT) og Rådets afgørelse af 21. maj 2024.

(2)

(3)

(

)

(

)

(

)

(

)

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

1/144

DIU, Alm.del - 2024-25 - Bilag 11: Lovudkast: Forslag til lov om supplerende bestemmelser til Europa-Parlamentets og Rådets forordning om kunstig intelligens (Lov om forbudte former for AI), fra ministeren for digitalisering

EUT L af 12.7.2024

fastsætte ensartede forpligtelser for operatører og sikre en ensartet beskyttelse af tvingende hensyn til

samfundsinteresser og personers rettigheder i hele det indre marked på grundlag af artikel 114 i traktaten om

Den Europæiske Unions funktionsmåde (TEUF). For så vidt som denne forordning indeholder specifikke regler om

beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger vedrørende begrænsninger

i anvendelsen af AI-systemer til biometrisk fjernidentifikation med henblik på retshåndhævelse, i anvendelsen af

AI-systemer til risikovurderinger af fysiske personer med henblik på retshåndhævelse og i anvendelsen af

AI-systemer til biometrisk kategorisering med henblik på retshåndhævelse, er det desuden hensigtsmæssigt at basere

denne forordning på artikel 16 i TEUF for så vidt angår disse specifikke regler. I lyset af disse specifikke regler og

anvendelsen af artikel 16 i TEUF bør Det Europæiske Databeskyttelsesråd høres.

(4)

AI er en vifte af teknologier i hurtig udvikling, som bidrager til brede økonomiske, miljømæssige og

samfundsmæssige fordele på tværs af hele spektret af industrier og sociale aktiviteter. Ved at forbedre forudsigelser,

optimere operationer og ressourceallokering og skræddersy de digitale løsninger, der er tilgængelige for

enkeltpersoner og organisationer, kan anvendelsen af AI give virksomheder vigtige konkurrencemæssige fordele

og fremme socialt og miljømæssigt gavnlige resultater, f.eks. inden for sundhedspleje, landbrug, fødevaresikkerhed,

uddannelse, medier, sport, kultur, infrastrukturforvaltning, energi, transport og logistik, offentlige tjenester,

sikkerhed, retsvæsen, ressource- og energieffektivitet, miljøovervågning, bevarelse og genopretning af biodiversitet

og økosystemer samt modvirkning af og tilpasning til klimaændringer.

(5)

Samtidig kan AI, afhængigt af omstændighederne med hensyn til dens specifikke anvendelse, brug og teknologiske

udviklingsniveau, skabe risici og skade samfundsinteresser og grundlæggende rettigheder, der er beskyttet af

EU-retten. En sådan skade kan være af materiel eller immateriel karakter, herunder fysisk, psykisk, samfundsmæssig

eller økonomisk.

(6)

I betragtning af den store indvirkning, som AI kan have på samfundet, og behovet for at opbygge tillid er det

afgørende, at AI og de lovgivningsmæssige rammer herfor udvikles i overensstemmelse med Unionens værdier, der

er nedfældet i artikel 2 i traktaten om Den Europæiske Union (TEU), og de grundlæggende rettigheder og friheder,

der er nedfældet i traktaterne og, i henhold til artikel 6 i TEU, chartret. Det bør være en forudsætning, at AI er en

menneskecentreret teknologi. Det bør tjene som et redskab for mennesker med det endelige mål at øge menneskers

trivsel.

(7)

For at sikre et ensartet højt beskyttelsesniveau for samfundsinteresser med hensyn til sundhed, sikkerhed og

grundlæggende rettigheder bør der fastsættes fælles regler for højrisiko-AI-systemer. Disse regler bør være

i overensstemmelse med chartret, være ikkeforskelsbehandlende og i overensstemmelse med Unionens internationale

handelsforpligtelser. De bør også tage hensyn til den europæiske erklæring om digitale rettigheder og principper for

det digitale årti og de etiske retningslinjer for troværdig AI fra Ekspertgruppen på Højt Niveau vedrørende Kunstig

Intelligens (AI-ekspertgruppen).

(8)

Der er derfor behov for en EU-retlig ramme, der fastsætter harmoniserede regler for AI, for at fremme udviklingen,

brugen og udbredelsen af AI på det indre marked, som samtidig opfylder et højt beskyttelsesniveau for

samfundsinteresser såsom sundhed og sikkerhed og beskyttelse af grundlæggende rettigheder, herunder demokrati,

retsstatsprincippet og miljøbeskyttelse, som anerkendt og beskyttet i EU-retten. For at nå dette mål bør der fastsættes

regler for omsætning, ibrugtagning og anvendelse af visse AI-systemer for at sikre et velfungerende indre marked og

lade disse systemer drage fordel af princippet om fri bevægelighed for varer og tjenesteydelser. Disse regler bør være

klare og robuste med hensyn til at beskytte de grundlæggende rettigheder, støtte nye innovative løsninger og

muliggøre et europæisk økosystem af offentlige og private aktører, der skaber AI-systemer i overensstemmelse med

Unionens værdier og frigør potentialet ved den digitale omstilling i alle regioner i Unionen. Med fastsættelsen af disse

regler samt foranstaltninger til støtte for innovation med et særligt fokus på små og mellemstore virksomheder

(SMV'er), herunder iværksættervirksomheder, støtter denne forordning målet om at fremme en europæisk

menneskecentreret tilgang til AI og om at være førende på verdensplan inden for udvikling af sikker, troværdig og

etisk AI som anført af Det Europæiske Råd (

), og den sikrer beskyttelse af etiske principper, således som

Europa-Parlamentet specifikt har anmodet om (

Det Europæiske Råd, Ekstraordinært møde i Det Europæiske Råd (1. og 2. oktober 2020) – Konklusioner, EUCO 13/20, 2020, s. 6.

Europa-Parlamentets beslutning af 20. oktober 2020 med henstillinger til Kommissionen om en ramme for etiske aspekter af

kunstig intelligens, robotteknologi og relaterede teknologier, 2020/2012(INL).

(

)

(

)

2/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

(9)

Der bør fastsættes harmoniserede regler for omsætning, ibrugtagning og anvendelse af højrisiko-AI-systemer

i overensstemmelse med Europa-Parlamentets og Rådets forordning (EF) nr. 765/2008 (

), Europa-Parlamentets og

Rådets afgørelse nr. 768/2008/EF (

) og Europa-Parlamentets og Rådets forordning (EU) 2019/1020 (

) (den nye

lovgivningsmæssige ramme for markedsføring af produkter). De harmoniserede regler, der er fastsat i nærværende

forordning, bør finde anvendelse på tværs af sektorer og bør i overensstemmelse med den nye lovgivningsmæssige

ramme ikke berøre gældende EU-ret, navnlig om databeskyttelse, forbrugerbeskyttelse, grundlæggende rettigheder,

beskæftigelse og beskyttelse af arbejdstagere og produktsikkerhed, som nærværende forordning supplerer. Som følge

heraf forbliver alle rettigheder og retsmidler, som er fastsat i en sådan EU-ret for forbrugere og andre personer, som

AI-systemer kan have en negativ indvirkning på, herunder for så vidt angår erstatning for eventuelle skader i henhold

til Rådets direktiv 85/374/EØF (

), uberørte og finder fuldt ud anvendelse. Endvidere bør denne forordning

i forbindelse med beskæftigelse og beskyttelse af arbejdstagere derfor ikke berøre EU-retten om socialpolitik og

national arbejdsret, der overholder EU-retten, vedrørende ansættelsesvilkår og arbejdsforhold, herunder sundhed og

sikkerhed på arbejdspladsen, og forholdet mellem arbejdsgivere og arbejdstagere. Denne forordning bør heller ikke

påvirke udøvelsen af de grundlæggende rettigheder, der anerkendes i medlemsstaterne og på EU-plan, herunder

retten eller friheden til at strejke eller til at foretage andre tiltag, der er omfattet af specifikke ordninger for

arbejdsmarkedsrelationer i medlemsstaterne, samt retten til at forhandle, indgå og håndhæve kollektive

overenskomster eller retten til at foretage kollektive tiltag i overensstemmelse med national ret. Denne forordning

bør ikke berøre de bestemmelser, der tilstræber at forbedre arbejdsvilkårene for platformsarbejde, der er fastsat i et

direktiv vedtaget af Europa-Parlamentets og Rådets direktiv om forbedring af arbejdsvilkårene for platformsarbejde.

Derudover har denne forordning til formål at styrke effektiviteten af sådanne eksisterende rettigheder og retsmidler

ved at fastsætte specifikke krav og forpligtelser, herunder med hensyn til AI-systemers gennemsigtighed, tekniske

dokumentation og registrering. Desuden bør de forpligtelser, der pålægges forskellige operatører, der er involveret

i AI-værdikæden i henhold til denne forordning, finde anvendelse, uden at det berører national ret, der overholder

EU-retten, hvorved anvendelsen af visse AI-systemer begrænses, hvis sådan national ret falder uden for denne

forordnings anvendelsesområde eller forfølger andre legitime mål af samfundsmæssig interesse end dem, der

forfølges med denne forordning. For eksempel bør national arbejdsret og national ret om beskyttelse af mindreårige,

dvs. personer under 18 år, under hensyntagen til generel bemærkning nr. 25 (2021) om børns rettigheder

vedrørende det digitale miljø fra FN's Komité for Barnets Rettigheder, for så vidt de ikke er specifikke for AI-systemer

og forfølger andre legitime mål af samfundsmæssig interesse, ikke berøres af denne forordning.

(10)

Den grundlæggende ret til beskyttelse af personoplysninger er navnlig sikret ved Europa-Parlamentets og Rådets

forordning (EU) 2016/679 (

) og (EU) 2018/1725 (

) samt Europa-Parlamentets og Rådets direktiv

(EU) 2016/680 (

). Europa-Parlamentets og Rådets direktiv 2002/58/EF (

) beskytter desuden privatlivets fred og

kommunikationshemmeligheden, herunder med fastsættelse af betingelser for lagring af personoplysninger og andre

oplysninger end personoplysninger i terminaludstyr og for adgang til terminaludstyr. Disse EU-retsakter danner

grundlaget for bæredygtig og ansvarlig databehandling, herunder når datasæt omfatter en blanding af

personoplysninger og andre data end personoplysninger. Nærværende forordning har ikke til formål at påvirke

anvendelsen af gældende EU-ret om behandling af personoplysninger, herunder de opgaver og beføjelser, der

påhviler de uafhængige tilsynsmyndigheder med kompetence til at overvåge, at disse instrumenter overholdes.Den

berører heller ikke de forpligtelser for udbydere og idriftsættere af AI-systemer i deres rolle som dataansvarlige eller

databehandlere, der følger af EU-retten eller national ret om beskyttelse af personoplysninger, for så vidt

udformningen, udviklingen eller anvendelsen af AI-systemer omfatter behandling af personoplysninger. Det er også

Europa-Parlamentets og Rådets forordning (EF) nr. 765/2008 af 9. juli 2008 om kravene til akkreditering og om ophævelse af

forordning (EØF) nr. 339/93 (EUT L 218 af 13.8.2008, s. 30).

Europa-Parlamentets og Rådets afgørelse nr. 768/2008/EF af 9. juli 2008 om fælles rammer for markedsføring af produkter og om

ophævelse af Rådets afgørelse 93/465/EØF (EUT L 218 af 13.8.2008, s. 82).

Europa-Parlamentets og Rådets forordning (EU) 2019/1020 af 20. juni 2019 om markedsovervågning og produktoverensstemmelse

og om ændring af direktiv 2004/42/EF og forordning (EF) nr. 765/2008 og (EU) nr. 305/2011 (EUT L 169 af 25.6.2019, s. 1).

Rådets direktiv 85/374/EØF af 25. juli 1985 om tilnærmelse af medlemsstaternes administrativt eller ved lov fastsatte bestemmelser

om produktansvar (EFT L 210 af 7.8.1985, s. 29).

Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med

behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel

forordning om databeskyttelse) (EUT L 119 af 4.5.2016, s. 1).

Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse

med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne

oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF (EUT L 295 af 21.11.2018, s. 39).

Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med

kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge

strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets

rammeafgørelse 2008/977/RIA (EUT L 119 af 4.5.2016, s. 89).

Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af

privatlivets fred i den elektroniske kommunikationssektor (direktiv om databeskyttelse inden for elektronisk kommunikation) (EFT

L 201 af 31.7.2002, s. 37).

(

)

(

)

(

)

(

)

(

)

(

)

(

)

(

)

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

3/144

EUT L af 12.7.2024

hensigtsmæssigt at præcisere, at registrerede bevarer alle de rettigheder og garantier, som de har i henhold til

EU-retten, herunder rettigheder i forbindelse med helt automatiseret individuel beslutningstagning, herunder

profilering. Harmoniserede regler for omsætning, ibrugtagning og anvendelse af AI-systemer, der er fastsat i henhold

til nærværende forordning, bør lette en effektiv gennemførelse og muliggøre udøvelsen af de registreredes

rettigheder og andre retsmidler, der er sikret i medfør af EU-retten om beskyttelse af personoplysninger og andre

grundlæggende rettigheder.

(11)

Denne forordning berører ikke bestemmelserne om ansvar for udbydere af formidlingstjenester som fastsat

i Europa-Parlamentets og Rådets forordning (EU) 2022/2065 (

(12)

Begrebet »AI-system« i denne forordning bør defineres klart og bør nøje afstemmes med det arbejde, der udføres af

internationale organisationer, som arbejder med AI, for at sikre retssikkerhed, lette international konvergens og bred

accept, og samtidig være fleksibelt nok til at tage højde for den hurtige teknologiske udvikling på dette område.

Desuden bør definitionen baseres på centrale egenskaber ved AI-systemer, der adskiller det fra enklere traditionelle

softwaresystemer eller programmeringstilgange, og bør ikke omfatte systemer, der er baseret på de regler, der

udelukkende er defineret af fysiske personer til automatisk at udføre operationer. En central egenskab ved

AI-systemer er deres evne til at udlede. Denne evne til at udlede henviser til processen med at opnå output såsom

forudsigelser, indhold, anbefalinger eller beslutninger, der kan påvirke fysiske og virtuelle miljøer, og til

AI-systemernes evne til at udlede modeller eller algoritmer, eller begge dele, fra input eller data. De teknikker, der

muliggør udledning ved opbygningen af et AI-system, omfatter maskinlæringstilgange, der af data lærer, hvordan

bestemte mål kan nås, og logik- og videnbaserede tilgange, der udleder indhold fra indkodet viden eller symbolsk

repræsentation af den opgave, der skal løses. Et AI-systems evne til at udlede går videre end grundlæggende

databehandling ved at muliggøre læring, ræsonnement eller modellering. Udtrykket »maskinbaseret« henviser til det

forhold, at AI-systemer kører på maskiner. Henvisningen til eksplicitte eller implicitte mål understreger, at

AI-systemer kan fungere i overensstemmelse med eksplicit definerede mål eller implicitte mål. AI-systemets mål kan

adskille sig fra det tilsigtede formål med AI-systemet i en specifik sammenhæng. Med henblik på denne forordning

bør miljøer forstås som de sammenhænge, hvori AI-systemerne fungerer, mens output genereret af AI-systemet

afspejler forskellige funktioner, der udføres af AI-systemer og omfatter forudsigelser, indhold, anbefalinger eller

beslutninger. AI-systemer er udformet til at fungere med varierende grader af autonomi, hvilket betyder, at de har en

vis grad af uafhængighed fra menneskelig medvirken og har evnen til at fungere uden menneskelig indgriben. Den

tilpasningsevne, som et AI-system kan udvise efter idriftsættelsen, henviser til selvlæringskapacitet, der gør det

muligt for systemet at ændre sig, mens det er i brug. AI-systemer kan anvendes selvstændigt eller som en del af et

produkt, uanset om systemet er fysisk integreret i produktet (indlejret), eller tjene produktets funktionalitet uden at

være integreret deri (ikke indlejret).

(13)

Begrebet »idriftsætter«, der er omhandlet i denne forordning, bør fortolkes som enhver fysisk eller juridisk person,

herunder en offentlig myndighed, et agentur eller et andet organ, der anvender et AI-system under sin myndighed,

medmindre AI-systemet anvendes som led i en personlig ikkeerhvervsmæssig aktivitet. Afhængigt af typen af

AI-system kan anvendelsen af systemet påvirke andre personer end idriftsætteren.

(14)

Begrebet »biometriske data«, der anvendes i denne forordning, bør fortolkes i lyset af begrebet biometriske data som

defineret i artikel 4, nr. 14), i forordning (EU) 2016/679, artikel 3, nr. 18), i forordning (EU) 2018/1725 og artikel 3,

nr. 13), i direktiv (EU) 2016/680. Biometriske data kan muliggøre autentifikation, identifikation eller kategorisering

af fysiske personer og genkendelse af fysiske personers følelser.

(15)

Begrebet »biometrisk identifikation«, der er omhandlet i denne forordning, bør defineres som automatiseret

genkendelse af fysiske, fysiologiske og adfærdsmæssige menneskelige egenskaber som f.eks. ansigt, øjenbevægelser,

kropsform, stemme, prosodi, gangart, kropsholdning, hjerterytme, blodtryk, lugt og tasteanslagskarakteristika med

det formål at fastslå en persons identitet ved at sammenligne personens biometriske data med de biometriske data

om personer, der er lagret i en referencedatabase, uanset om denne person har givet sit samtykke hertil eller ej. Dette

udelukker AI-systemer, der tilsigtes anvendt til biometrisk verifikation, som omfatter autentifikation, hvis eneste

formål er at bekræfte, at en bestemt fysisk person er den person, vedkommende hævder at være, og bekræfte en

fysisk persons identitet udelukkende med det formål at få adgang til en tjeneste, låse udstyr op eller have sikker

adgang til lokaler.

Europa-Parlamentets og Rådets forordning (EU) 2022/2065 af 19. oktober 2022 om et indre marked for digitale tjenester og om

ændring af direktiv 2000/31/EF (forordning om digitale tjenester) (EUT L 277 af 27.10.2022, s. 1).

(

)

4/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

(16)

Begrebet »biometrisk kategorisering«, der er omhandlet i denne forordning, bør defineres som placering af fysiske

personer i bestemte kategorier på grundlag af deres biometriske data. Sådanne specifikke kategorier kan vedrøre

aspekter som køn, alder, hårfarve, øjenfarve, tatoveringer, adfærdsmønstre eller personlighedstræk, sprog, religion,

tilhørsforhold til et nationalt mindretal samt seksuel eller politisk orientering. Dette omfatter ikke systemer til

biometrisk kategorisering, som er en rent accessorisk funktion, der er uløseligt forbundet med en anden kommerciel

tjeneste, og som indebærer, at funktionen af objektive tekniske grunde ikke kan anvendes uden den primære tjeneste,

og at integrationen af denne funktion eller funktionalitet ikke er et middel til at omgå anvendelsen af reglerne i denne

forordning. Eksempelvis kan filtre, der kategoriserer ansigts- eller kropstræk, som anvendes på onlinemarkeds-

pladser, udgøre en sådan accessorisk funktion, da de kun kan anvendes i forbindelse med den primære tjeneste, der

består i at sælge et produkt ved at give forbrugeren mulighed for se visningen af produktet på sig selv og hjælpe

forbrugeren med at træffe en købsbeslutning. Filtre, der anvendes på sociale onlinenetværkstjenester, og som

kategoriserer ansigts- eller kropstræk for at give brugerne mulighed for at tilføje eller ændre billeder eller videoer, kan

også betragtes som en accessorisk funktion, da et sådant filter ikke kan anvendes uden den primære tjeneste i de

sociale netværkstjenester, der består i deling af indhold online.

(17)

Begrebet »system til biometrisk fjernidentifikation«, der er omhandlet i denne forordning, bør defineres funktionelt

som et AI-system, der er tilsigtet identifikation af fysiske personer uden deres aktive medvirken, typisk på afstand,

ved at sammenligne en persons biometriske data med de biometriske data i en referencedatabase, uanset hvilken

specifik teknologi, hvilke specifikke processer eller hvilke specifikke typer biometriske data der anvendes. Sådanne

systemer til biometrisk fjernidentifikation anvendes typisk til at opfatte flere personer eller deres adfærd samtidigt for

i væsentlig grad at lette identifikationen af fysiske personer uden deres aktive medvirken. Dette udelukker

AI-systemer, der tilsigtes anvendt til biometrisk verifikation, som omfatter autentifikation, hvis eneste formål er at

bekræfte, at en bestemt fysisk person er den person, vedkommende hævder at være, og bekræfte en fysisk persons

identitet udelukkende med det formål at få adgang til en tjeneste, låse udstyr op eller have sikkerhedsadgang til

lokaler. Denne udelukkelse begrundes med, at sådanne systemer sandsynligvis vil have en mindre indvirkning på

fysiske personers grundlæggende rettigheder sammenlignet med systemerne til biometrisk fjernidentifikation, der

kan anvendes til behandling af et stort antal personers biometriske data uden deres aktive medvirken. Hvis der er tale

om realtidssystemer, sker optagelsen af de biometriske data, sammenligningen og identifikationen øjeblikkeligt,

næsten øjeblikkeligt eller under alle omstændigheder uden væsentlig forsinkelse. I denne forbindelse bør der ikke

være mulighed for at omgå denne forordnings bestemmelser om realtidsanvendelse af de pågældende AI-systemer

ved at foranledige mindre forsinkelser. Realtidssystemer omfatter anvendelse af direkte eller lettere forskudt materiale

såsom videooptagelser, der genereres af et kamera eller andet udstyr med tilsvarende funktioner. Er der derimod tale

om systemer til efterfølgende biometrisk identifikation, er de biometriske data allerede blevet optaget, og

sammenligningen og identifikationen finder først sted efter en væsentlig forsinkelse. Der er tale om materiale såsom

billeder eller videooptagelser, der genereres af TV-overvågningskameraer eller privat udstyr, og som er genereret

inden systemets anvendelse for så vidt angår de pågældende fysiske personer.

(18)

Begrebet »system til følelsesgenkendelse«, der er omhandlet i denne forordning, bør defineres som et AI-system, der

har til formål at identificere eller udlede fysiske personers følelser eller hensigter på grundlag af deres biometriske

data. Begrebet henviser til følelser eller hensigter såsom lykke, sorgfuldhed, vrede, forbavselse, afsky, forlegenhed,

begejstring, skam, foragt, tilfredshed og morskab. Det omfatter ikke fysiske tilstande såsom smerte eller træthed,

herunder f.eks. systemer, der anvendes til at påvise træthedstilstanden hos professionelle piloter eller førere med

henblik på at forebygge ulykker. Det omfatter heller ikke den blotte påvisning af umiddelbart synlige udtryk, fagter

eller bevægelser, medmindre de anvendes til at identificere eller udlede følelser. Disse udtryk kan være simple

ansigtsudtryk såsom en panderynken eller et smil eller fagter såsom bevægelse af hænder, arme eller hoved eller

karakteristika ved en persons stemme såsom en hævet stemme eller hvisken.

(19)

I denne forordning bør begrebet offentligt sted forstås som ethvert fysisk sted, der er tilgængeligt for et ubestemt

antal fysiske personer, og uanset om det pågældende sted er privatejet eller offentligt ejet, og uanset den aktivitet,

som stedet kan anvendes til, såsom til handel, f.eks. butikker, restauranter og caféer, til tjenesteydelser, f.eks. banker,

erhvervsmæssige aktiviteter og hotel-, restaurations- og oplevelsesbranchen, til sport, f.eks. svømmebassiner,

fitnesscentre og stadioner, til transport, f.eks. bus-, metro- og jernbanestationer, lufthavne og transportmidler, til

underholdning, f.eks. biografer, teatre, museer og koncert- og konferencesale, eller til fritid eller andet, f.eks.

offentlige veje og pladser, parker, skove og legepladser. Et sted bør også klassificeres som værende offentligt

tilgængeligt, hvis adgangen, uanset eventuelle kapacitets- eller sikkerhedsrestriktioner, er underlagt visse forud

fastsatte betingelser, som kan opfyldes af et ubestemt antal personer, såsom køb af en billet eller et rejsebevis,

forudgående registrering eller det at have en bestemt alder. Derimod bør et sted ikke anses for at være offentligt

tilgængeligt, hvis adgangen er begrænset til specifikke og definerede fysiske personer i henhold til enten EU-retten

eller national ret, der er direkte knyttet til den offentlige sikkerhed, eller gennem en klar viljestilkendegivelse fra den

5/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

person, der har den relevante myndighed over stedet. Den faktiske mulighed for adgang alene såsom en ulåst dør

eller en åben låge i et hegn indebærer ikke, at stedet er et offentligt sted, hvis der er indikationer eller

omstændigheder, der tyder på det modsatte, såsom skilte, der forbyder eller begrænser adgangen. Virksomheds- og

fabrikslokaler samt kontorer og arbejdspladser, der kun tilsigtes at være tilgængelige for relevante medarbejdere og

tjenesteydere, er ikke offentlige steder. Offentlige steder bør ikke omfatte fængsler eller grænsekontrol. Visse andre

områder kan bestå af både offentlige steder og ikkeoffentlige steder såsom forhallen til en privat beboelsesejendom,

som det er nødvendigt at gå igennem for at få adgang til en læges kontor, eller en lufthavn. Online steder er ikke

omfattet, da der ikke er tale om fysiske steder. Om et givet sted betragtes som offentligt, bør imidlertid afgøres fra

sag til sag under hensyntagen til de særlige forhold i den enkelte situation.

(20)

For at opnå de største fordele ved AI-systemer, samtidig med at de grundlæggende rettigheder, sundheden og

sikkerheden beskyttes, og for at muliggøre demokratisk kontrol bør AI-færdigheder udstyre udbydere, idriftsættere

og berørte personer med de nødvendige begreber til at træffe informerede beslutninger vedrørende AI-systemer.

Disse begreber kan variere med hensyn til den relevante kontekst og kan omfatte forståelse af den korrekte

anvendelse af tekniske elementer i AI-systemets udviklingsfase, de foranstaltninger, der skal anvendes under dets

anvendelse, passende måder at fortolke AI-systemets output på, og i tilfælde af berørte personer den viden, der er

nødvendig for at forstå, hvordan beslutninger truffet med hjælp fra AI vil have indvirkning på dem. I forbindelse med

anvendelsen af denne forordning bør AI-færdigheder give alle relevante aktører i AI-værdikæden den indsigt, der er

nødvendig for at sikre passende overholdelse og korrekt håndhævelse heraf. Desuden kan den brede gennemførelse

af foranstaltninger vedrørende AI-færdigheder og indførelsen af passende opfølgende tiltag bidrage til at forbedre

arbejdsvilkårene og i sidste ende understøtte konsoliderings- og innovationsstien for troværdig AI i Unionen. Det

Europæiske Udvalg for Kunstig Intelligens (»AI-udvalget«) bør støtte Kommissionen med henblik på at fremme

AI-færdighedsværktøjer samt offentlighedens kendskab til og forståelse af fordele, risici, sikkerhedsforanstaltninger,

rettigheder og forpligtelser i forbindelse med anvendelsen af AI-systemer. I samarbejde med de relevante interessenter

bør Kommissionen og medlemsstaterne lette udarbejdelsen af frivillige adfærdskodekser for at fremme

AI-færdigheder blandt personer, der beskæftiger sig med udvikling, drift og anvendelse af AI.

(21)

For at sikre lige vilkår og en effektiv beskyttelse af fysiske personers rettigheder og friheder i hele Unionen bør de

regler, der fastsættes ved denne forordning, finde anvendelse på udbydere af AI-systemer på en ikkeforsk-

elsbehandlende måde, uanset om de er etableret i Unionen eller i et tredjeland, og på idriftsættere af AI-systemer, der

er etableret i Unionen.

(22)

I betragtning af deres digitale karakter bør visse AI-systemer være omfattet af denne forordnings anvendelsesområde,

selv når de ikke bringes i omsætning, ibrugtages eller anvendes i Unionen. Dette er f.eks. tilfældet, når en operatør,

der er etableret i Unionen, indgår kontrakter om visse tjenesteydelser med en operatør, der er etableret i et tredjeland,

i forbindelse med en aktivitet, der skal udføres af et AI-system, der kan betegnes som højrisiko. Under disse

omstændigheder ville det AI-system, der anvendes i tredjelandet af operatøren, kunne behandle data, der lovligt er

indsamlet i og overført fra Unionen, og levere outputtet fra dette AI-systems behandling til den kontraherende

operatør i Unionen, uden at dette AI-system bringes i omsætning, ibrugtages eller anvendes i Unionen. For at

forhindre omgåelse af denne forordning og sikre en effektiv beskyttelse af fysiske personer i Unionen, bør denne

forordning også finde anvendelse på udbydere og idriftsættere af AI-systemer, der er etableret i et tredjeland, i det

omfang det output, der produceres af disse systemer, tilsigtes anvendt i Unionen.For at tage hensyn til eksisterende

ordninger og særlige behov for fremtidigt samarbejde med udenlandske partnere, med hvem der udveksles

oplysninger og bevismateriale, bør denne forordning ikke finde anvendelse på offentlige myndigheder i et tredjeland

og internationale organisationer, når disse handler inden for rammerne af samarbejdsaftaler eller internationale

aftaler indgået på EU-plan eller nationalt plan om retshåndhævelse og retligt samarbejde med Unionen eller

medlemsstaterne, forudsat at det relevante tredjeland eller den relevante internationale organisation giver

tilstrækkelige sikkerhedsforanstaltninger med hensyn til beskyttelsen af fysiske personers grundlæggende rettigheder

og friheder. Dette kan, hvor relevant, omfatte aktiviteter udført af enheder, som af tredjelande har fået overdraget

ansvaret for at udføre specifikke opgaver til støtte for en sådan retshåndhævelse og et sådant retligt samarbejde.

Sådanne samarbejdsrammer eller aftaler er oprettet bilateralt mellem medlemsstaterne og tredjelande eller mellem

Den Europæiske Union, Europol og andre EU-agenturer og tredjelande og internationale organisationer. De

myndigheder, der har kompetence til at føre tilsyn med de retshåndhævende og retslige myndigheder i henhold til

denne forordning, bør vurdere, om disse samarbejdsrammer eller internationale aftaler indeholder tilstrækkelige

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

6/144

EUT L af 12.7.2024

sikkerhedsforanstaltninger med hensyn til beskyttelse af fysiske personers grundlæggende rettigheder og friheder. De

modtagende nationale myndigheder og EU-institutioner, -organer, -kontorer og -agenturer, der anvender sådanne

output i Unionen, forbliver ansvarlige for at sikre, at deres anvendelse overholder EU-retten. Når disse internationale

aftaler revideres, eller der indgås nye i fremtiden, bør de kontraherende parter gøre deres yderste for at tilpasse disse

aftaler til kravene i denne forordning.

(23)

Denne forordning bør også finde anvendelse på EU-institutioner, -organer, -kontorer og -agenturer, når de fungerer

som udbyder eller idriftsætter af et AI-system.

(24)

Hvis og i det omfang AI-systemer bringes i omsætning, ibrugtages eller anvendes med eller uden ændringer af

sådanne systemer til militære formål, forsvarsformål eller formål vedrørende national sikkerhed, bør disse udelukkes

fra denne forordnings anvendelsesområde, uanset hvilken type enhed der udfører disse aktiviteter, f.eks. om det er en

offentlig eller privat enhed. For så vidt angår militære og forsvarsmæssige formål begrundes en sådan udelukkelse

både i medfør af artikel 4, stk. 2, i TEU, og i de særlige forhold, der gør sig gældende for medlemsstaternes

forsvarspolitik og den fælles EU-forsvarspolitik, der er omfattet af afsnit V, kapitel 2, i TEU, og som er underlagt

folkeretten, og som derfor er den mest hensigtsmæssige retlige ramme for regulering af AI-systemer i forbindelse

med anvendelsen af dødbringende magtanvendelse og andre AI-systemer i forbindelse med militære og

forsvarsmæssige aktiviteter. For så vidt angår formål vedrørende den nationale sikkerhed begrundes udelukkelsen

både i den omstændighed, at den nationale sikkerhed forbliver medlemsstaternes eneansvar i overensstemmelse med

artikel 4, stk. 2, i TEU, og i den særlige karakter af og de operationelle behov i forbindelse med aktiviteter vedrørende

den nationale sikkerhed og specifikke nationale regler, der finder anvendelse på disse aktiviteter. Hvis et AI-system,

der er udviklet, bragt i omsætning, ibrugtaget eller anvendt til militære formål, forsvarsformål eller formål

vedrørende den nationale sikkerhed, anvendes uden for disse midlertidigt eller permanent til andre formål, f.eks.

civile eller humanitære formål, retshåndhævelsesformål eller hensynet til den offentlige sikkerhed, vil et sådant

system ikke desto mindre være omfattet af denne forordnings anvendelsesområde. I så fald bør den enhed, der

anvender AI-systemet til andre formål end militære formål, forsvarsformål eller formål vedrørende den nationale

sikkerhed, sikre, at AI-systemet overholder denne forordning, medmindre systemet allerede overholder denne

forordning. AI-systemer, der bringes i omsætning eller ibrugtages til et udelukket formål, dvs. militært formål,

forsvarsformål eller formål vedrørende den nationale sikkerhed, og et eller flere ikkeudelukkede formål, f.eks. civile

formål eller retshåndhævelse, falder ind under denne forordnings anvendelsesområde, og udbydere af disse systemer

bør sikre overholdelse af denne forordning. I disse tilfælde bør det forhold, at et AI-system kan være omfattet af

denne forordnings anvendelsesområde, ikke berøre muligheden for, at enheder, der udfører aktiviteter vedrørende

den nationale sikkerhed, forsvarsaktiviteter og militæraktiviteter, uanset hvilken type enhed der udfører disse

aktiviteter, anvender AI-systemer til formål vedrørende den nationale sikkerhed, militære formål og forsvarsformål,

idet en sådan anvendelse er udelukket fra denne forordnings anvendelsesområde. Et AI-system, der bringes

i omsætning til civile formål eller retshåndhævelsesformål, og som anvendes med eller uden ændringer til militære

formål, forsvarsformål eller formål vedrørende den nationale sikkerhed, bør ikke være omfattet af denne forordnings

anvendelsesområde, uanset hvilken type enhed der udfører disse aktiviteter.

(25)

Denne forordning bør støtte innovation, bør respektere forskningsfriheden og bør ikke undergrave forsknings- og

udviklingsaktivitet. Det er derfor nødvendigt at udelukke AI-systemer og -modeller, der specifikt er udviklet og

ibrugtaget udelukkende med henblik på videnskabelig forskning og udvikling. Det er desuden nødvendigt at sikre, at

denne forordning ikke på anden måde påvirker videnskabelig forsknings- og udviklingsaktivitet med AI-systemer

eller -modeller, inden de bringes i omsætning eller ibrugtages. Med hensyn til produktorienteret forsknings-,

afprøvnings- og udviklingsaktivitet vedrørende AI-systemer eller -modeller bør bestemmelserne i denne forordning

heller ikke finde anvendelse, inden disse systemer og modeller ibrugtages eller bringes i omsætning. Denne

udelukkelse berører ikke forpligtelsen til at overholde denne forordning, når et AI-system, der falder ind under denne

forordnings anvendelsesområde, bringes i omsætning eller ibrugtages som følge af en sådan forsknings- og

udviklingsaktivitet, eller anvendelsen af bestemmelser om reguleringsmæssige AI-sandkasser og afprøvning under

faktiske forhold. Uden at det berører udelukkelsen af AI-systemer, der specifikt er udviklet og ibrugtaget udelukkende

med henblik på videnskabelig forskning og udvikling, bør ethvert andet AI-system, der kan anvendes til udførelse af

enhver forsknings- og udviklingsaktivitet, desuden fortsat være omfattet af bestemmelserne i denne forordning.

Under alle omstændigheder bør enhver forsknings- og udviklingsaktivitet udføres i overensstemmelse med

anerkendte etiske og professionelle standarder for videnskabelig forskning og bør gennemføres i overensstemmelse

med gældende EU-ret.

(26)

For at indføre et forholdsmæssigt og effektivt sæt bindende regler for AI-systemer bør der anvendes en klart defineret

risikobaseret tilgang. Denne tilgang bør tilpasse typen og indholdet af sådanne regler til graden og omfanget af de

risici, som AI-systemer kan generere. Det er derfor nødvendigt at forbyde visse former for uacceptabel AI-praksis, at

fastsætte krav til højrisiko-AI-systemer og forpligtelser for de relevante operatører og at fastsætte gennemsigtig-

hedsforpligtelser for visse AI-systemer.

7/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

(27)

EUT L af 12.7.2024

Selv om den risikobaserede tilgang danner grundlag for et forholdsmæssigt og effektivt sæt bindende regler, er det

vigtigt at minde om de etiske retningslinjer for troværdig kunstig intelligens fra 2019, der er udarbejdet af den

uafhængige AI-ekspertgruppe, som Kommissionen har udpeget. I disse retningslinjer udviklede AI-ekspertgruppen

syv ikkebindende etiske principper for AI, som tilsigter at bidrage til at sikre, at AI er troværdig og etisk forsvarlig. De

syv principper omfatter: menneskelig handlemulighed og menneskeligt tilsyn, teknologisk robusthed og sikkerhed,

privatlivets fred og datastyring, gennemsigtighed, mangfoldighed, ikkeforskelsbehandling og retfærdighed, social og

miljømæssig velfærd samt ansvarlighed. Uden at det berører de retligt bindende krav i denne forordning og anden

gældende EU-ret, bidrager disse retningslinjer til udformningen af sammenhængende, troværdig og menneske-

centreret AI i overensstemmelse med chartret og med de værdier, som Unionen bygger på. Ifølge

AI-ekspertgruppens retningslinjer forstås der ved menneskelig handlemulighed og menneskeligt tilsyn, at

AI-systemer udvikles og anvendes som et redskab, der betjener mennesker, respekterer menneskers værdighed og

personlige uafhængighed, og som fungerer på en måde, der kan styres og tilses af mennesker på passende vis. Ved

teknisk robusthed og sikkerhed forstås, at AI-systemer udvikles og anvendes på en måde, der giver mulighed for

robusthed i tilfælde af problemer og modstandsdygtighed over for forsøg på at ændre AI-systemets anvendelse eller

ydeevne, således at tredjeparters ulovlige anvendelse tillades, og minimerer utilsigtet skade. Ved privatlivets fred og

datastyring forstås, at AI-systemer udvikles og anvendes i overensstemmelse med reglerne for beskyttelse af

privatlivets fred og databeskyttelse, samtidig med at behandlingen af data lever op til høje standarder for kvalitet og

integritet. Ved gennemsigtighed forstås, at AI-systemer udvikles og anvendes på en måde, der giver mulighed for

passende sporbarhed og forklarlighed, samtidig med at personer gøres opmærksom på, at de kommunikerer eller

interagerer med et AI-system, og at idriftsætterne informeres behørigt om det pågældende AI-systems kapacitet og

begrænsninger og berørte personer om deres rettigheder. Ved mangfoldighed, ikkeforskelsbehandling og

retfærdighed forstås, at AI-systemer udvikles og anvendes på en måde, der inkluderer forskellige aktører og

fremmer lige adgang, ligestilling mellem kønnene og kulturel mangfoldighed, samtidig med at forskelsbehandlende

virkninger og urimelige bias, der er forbudt i henhold til EU-retten eller national ret, undgås. Ved social og

miljømæssig velfærd forstås, at AI-systemer udvikles og anvendes på en bæredygtig og miljøvenlig måde og på en

måde, der gavner alle mennesker, samtidig med at de langsigtede virkninger for den enkelte, samfundet og

demokratiet overvåges og vurderes. Anvendelsen af disse principper bør så vidt muligt omsættes i udformningen og

anvendelsen af AI-modeller. De bør under alle omstændigheder tjene som grundlag for udarbejdelsen af

adfærdskodekser i henhold til denne forordning. Alle interessenter, herunder industrien, den akademiske verden,

civilsamfundet og standardiseringsorganisationer, opfordres til i relevant omfang at tage hensyn til de etiske

principper ved udviklingen af frivillig bedste praksis og standarder.

(28)

Ud over de mange nyttige anvendelser af AI kan den også misbruges og resultere i nye og effektive værktøjer til

manipulerende, udnyttende og socialt kontrollerende former for praksis. Sådanne former for praksis er særlig

skadelige og krænkende og bør forbydes, fordi de er i modstrid med Unionens værdier om respekt for menneskelig

værdighed, frihed, ligestilling, demokrati og retsstatsprincippet og de grundlæggende rettigheder, der er nedfældet

i chartret, herunder retten til beskyttelse mod forskelsbehandling, retten til databeskyttelse og retten til privatlivets

fred og børns rettigheder.

(29)

AI-baserede manipulerende teknikker kan anvendes til at overtale personer til at udvise uønsket adfærd eller til at

vildlede dem ved at nudge dem til at træffe beslutninger på en måde, der undergraver og hæmmer deres autonomi,

beslutningstagning og frie valg. Omsætning, ibrugtagning eller anvendelse af visse AI-systemer med det formål eller

den virkning i væsentlig grad at fordreje menneskers adfærd, hvorved der sandsynligvis vil opstå betydelige skader,

der navnlig kan have tilstrækkeligt vigtige negative indvirkninger på fysisk eller psykisk sundhed eller finansielle

interesser, er særligt farlige og bør derfor forbydes. Sådanne AI-systemer anvender subliminale komponenter såsom

lyd-, billed- eller videostimuli, som mennesker ikke kan opfatte, eftersom disse stimuli ligger uden for den

menneskelige opfattelsesevne, eller andre manipulerende eller vildledende teknikker, der undergraver eller svækker

menneskers autonomi, beslutningstagning eller frie valg på måder, hvor mennesker ikke er bevidste om disse

teknikker, eller, hvis de er bevidste om dem, stadig kan blive vildledt eller ikke er i stand til at kontrollere eller modstå

dem. Dette kan lettes f.eks. ved hjælp af maskine-hjerne-grænseflader eller virtuel virkelighed, da de giver mulighed

for en højere grad af kontrol over, hvilke stimuli der præsenteres for personer, for så vidt som de i væsentlig grad kan

fordreje deres adfærd på betydelig skadelig vis. Desuden kan AI-systemer også på anden måde udnytte sårbarheder

hos en person eller en specifik gruppe af mennesker på grund af deres alder, handicap som omhandlet

i Europa-Parlamentets og Rådets direktiv (EU) 2019/882 (

) eller en specifik social eller økonomisk situation, der

sandsynligvis vil gøre disse personer mere sårbare over for udnyttelse, såsom personer, der lever i ekstrem fattigdom,

og etniske eller religiøse mindretal.Sådanne AI-systemer kan bringes i omsætning, ibrugtages eller anvendes med den

hensigt eller det resultat i væsentlig grad at fordreje en persons adfærd og på en måde, der forvolder eller med rimelig

sandsynlighed kan forventes at ville forvolde den pågældende eller en anden person eller persongrupper betydelig

skade, herunder skade, der kan akkumuleres over tid, og bør derfor forbydes. Det er ikke nødvendigvis muligt at

Europa-Parlamentets og Rådets direktiv (EU) 2019/882 af 17. april 2019 om tilgængelighedskrav for produkter og tjenester (EUT

L 151 af 7.6.2019, s. 70).

(

)

8/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

antage, at der er en hensigt om at fordreje adfærd, hvis fordrejningen skyldes faktorer uden for AI-systemet, som er

uden for udbyderens eller idriftsætterens kontrol, dvs. faktorer, der ikke med rimelighed kan forudses, og som

udbyderen eller idriftsætteren af AI-systemet derfor ikke kan afbøde. Under alle omstændigheder er det ikke

nødvendigt, at udbyderen eller idriftsætteren har til hensigt at forvolde betydelig skade, forudsat at en sådan skade er

resultatet af AI-baserede manipulerende eller udnyttende former for praksis. Forbuddene mod sådanne former for

AI-praksis supplerer bestemmelserne i Europa-Parlamentets og Rådets direktiv 2005/29/EF (

), navnlig at urimelig

handelspraksis, der forårsager økonomisk eller finansiel skade for forbrugerne, er forbudt under alle

omstændigheder, uanset om den indføres ved hjælp af AI-systemer eller på anden måde. Forbuddene mod

manipulerende og udnyttende former for praksis i denne forordning bør ikke berøre lovlig praksis i forbindelse med

lægebehandling såsom psykologbehandling af psykisk sygdom eller fysisk rehabilitering, når disse former for praksis

udføres i overensstemmelse med gældende ret og medicinske standarder, for eksempel enkeltpersoners eller deres

retlige repræsentanters udtrykkelige samtykke. Desuden bør almindelig og legitim handelspraksis, for eksempel på

reklameområdet, der overholder gældende ret, ikke i sig selv anses for at udgøre skadelige AI-baserede

manipulerende former for praksis.

(30)

Systemer til biometrisk kategorisering, der er baseret på fysiske personers biometriske data, såsom en persons ansigt

eller fingeraftryk, med henblik på at udlede en persons politiske anskuelser, fagforeningsmedlemskab, religiøse eller

filosofiske overbevisning, race, seksuelle forhold eller seksuelle orientering, bør forbydes. Dette forbud bør ikke

omfatte lovlig mærkning, filtrering eller kategorisering af biometriske datasæt, der er indhentet i overensstemmelse

med EU-retten eller national ret i henhold til biometriske data, såsom sortering af billeder efter hårfarve eller

øjenfarve, som f.eks. kan anvendes inden for retshåndhævelse.

(31)

AI-systemer, hvor offentlige eller private aktører gør brug af social bedømmelse af fysiske personer, kan føre til

forskelsbehandlende resultater og udelukkelse af visse grupper. De kan dermed krænke retten til værdighed og

ikkeforskelsbehandling og værdierne lighed og retfærdighed. Sådanne AI-systemer evaluerer eller klassificerer fysiske

personer eller grupper heraf på grundlag af en lang række datapunkter i tilknytning til deres sociale adfærd i flere

sammenhænge eller kendte, udledte eller forudsagte personlige egenskaber eller personlighedstræk over en vis

periode. Den sociale bedømmelse, der leveres af sådanne AI-systemer, kan føre til skadelig eller ugunstig behandling

af fysiske personer eller hele grupper heraf i sociale sammenhænge, som ikke har noget at gøre med den

sammenhæng, i hvilken dataene oprindeligt blev genereret eller indsamlet, eller til skadelig behandling, der er

uforholdsmæssig eller uberettiget i forhold til betydningen af deres sociale adfærd. AI-systemer, der indebærer

sådanne uacceptable former for bedømmelsespraksis, og som fører til et sådant skadeligt eller ugunstigt udfald, bør

derfor forbydes. Dette forbud bør ikke berøre lovlige former for praksis med evaluering af fysiske personer, der

udføres med et specifikt formål i overensstemmelse med EU-retten og national ret.

(32)

Anvendelsen af AI-systemer til biometrisk fjernidentifikation i realtid af fysiske personer på offentlige steder med

henblik på retshåndhævelse er særligt indgribende i de berørte personers rettigheder og friheder, for så vidt som det

kan påvirke privatlivets fred for en stor del af befolkningen, skabe en følelse af konstant overvågning og indirekte

afskrække fra udøvelsen af forsamlingsfriheden og andre grundlæggende rettigheder. Tekniske unøjagtigheder

i AI-systemer, der er tilsigtet biometrisk fjernidentifikation af fysiske personer, kan føre til resultater behæftet med

bias og have forskelsbehandlende virkning. Sådanne mulige resultater behæftet med bias og forskelsbehandlende

virkninger er særligt relevante med hensyn til alder, etnicitet, race, køn og handicap. Desuden indebærer den

øjeblikkelige virkning og de begrænsede muligheder for yderligere kontrol eller justeringer i forbindelse med

anvendelsen af sådanne systemer, der fungerer i realtid, øgede risici for rettigheder og friheder for de berørte

personer i forbindelse med eller påvirket af retshåndhævelsesaktiviteter.

(33)

Anvendelsen af disse systemer med henblik på retshåndhævelse bør derfor forbydes, undtagen i udtømmende

opregnede og snævert definerede situationer, hvor anvendelsen er strengt nødvendig for at opfylde en væsentlig

samfundsinteresse, hvis betydning vejer tungere end risiciene. Disse situationer omfatter eftersøgning af visse ofre for

kriminalitet, herunder forsvundne personer, visse trusler mod fysiske personers liv eller fysiske sikkerhed eller om et

terrorangreb, samt lokalisering eller identifikation af gerningsmænd, der har begået, eller af personer, der mistænkes

for at have begået, de strafbare handlinger, der er opført i et bilag til denne forordning, hvis disse strafbare handlinger

Europa-Parlamentets og Rådets direktiv 2005/29/EF af 11. maj 2005 om virksomheders urimelige handelspraksis over for

forbrugerne på det indre marked og om ændring af Rådets direktiv 84/450/EØF og Europa-Parlamentets og Rådets direktiv 97/7/EF,

98/27/EF og 2002/65/EF og Europa-Parlamentets og Rådets forordning (EF) nr. 2006/2004 (direktivet om urimelig handelspraksis)

(EUT L 149 af 11.6.2005, s. 22).

(

)

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

9/144

EUT L af 12.7.2024

i den berørte medlemsstat kan straffes med frihedsstraf eller en anden frihedsberøvende foranstaltning af en

maksimal varighed på mindst fire år, og som de er defineret i denne medlemsstats ret. En sådan tærskel for

frihedsstraf eller anden frihedsberøvende foranstaltning i overensstemmelse med national ret bidrager til at sikre, at

lovovertrædelsen er af tilstrækkelig alvorlig karakter til potentielt at berettige anvendelsen af systemer til biometrisk

fjernidentifikation i realtid. Desuden er listen over strafbare handlinger fastlagt i et bilag til denne forordning baseret

på de 32 strafbare handlinger, der er opregnet i Rådets rammeafgørelse 2002/584/RIA (

), og tager hensyn til, at

nogle af disse strafbare handlinger i praksis er mere relevante end andre, idet anvendelsen af biometrisk

fjernidentifikation i realtid sandsynligvis i meget varierende grad kan være nødvendig og forholdsmæssig med

henblik på lokalisering eller identifikation af en gerningsmand, der har begået, eller af en person, der mistænkes for

at have begået, strafbare handlinger, der er opført på listen, og under hensyntagen til de sandsynlige forskelle

i alvorligheden, sandsynligheden og omfanget af skaden eller mulige negative konsekvenser. En overhængende fare

for fysiske personers liv eller fysiske sikkerhed kan også hidrøre fra en alvorlig afbrydelse af kritisk infrastruktur som

defineret i artikel 2, nr. 4), i Europa-Parlamentets og Rådets direktiv (EU) 2022/2557 (

), hvor afbrydelse eller

ødelæggelse af en sådan kritisk infrastruktur ville medføre overhængende fare for en persons liv eller fysiske

sikkerhed, herunder gennem alvorlig skade på forsyningen af befolkningen med grundlæggende fornødenheder eller

på udøvelsen af statens centrale funktion. Desuden bør denne forordning bevare de retshåndhævende myndigheders,

grænsekontrolmyndighedernes, indvandringsmyndighedernes eller asylmyndighedernes mulighed for at foretage

identitetskontrol under tilstedeværelse af den pågældende person i overensstemmelse med de betingelser, der er

fastsat i EU-retten og national ret for en sådan kontrol. Navnlig bør retshåndhævende myndigheder,

grænsekontrolmyndigheder, indvandringsmyndigheder eller asylmyndigheder kunne anvende informationssystemer

i overensstemmelse med EU-retten eller national ret til at identificere personer, der under en identitetskontrol enten

nægter at blive identificeret eller ikke er i stand til at oplyse eller bevise deres identitet, uden at det i henhold til denne

forordning kræves, at der indhentes forhåndstilladelse. Dette kan f.eks. være en person, der er involveret i en

forbrydelse, og som er uvillig eller ude af stand til på grund af en ulykke eller en helbredstilstand at afsløre sin

identitet over for de retshåndhævende myndigheder.

(34)

For at sikre at disse systemer anvendes på en ansvarlig og forholdsmæssig måde, er det også vigtigt at fastslå, at der

i hver af disse udtømmende opregnede og snævert definerede situationer bør tages hensyn til visse elementer,

navnlig med hensyn til situationens karakter, som ligger til grund for anmodningen, og konsekvenserne af

anvendelsen for alle berørte personers rettigheder og friheder samt de sikkerhedsforanstaltninger og betingelser, der

er fastsat for brugen. Anvendelsen af systemer til biometrisk fjernidentifikation i realtid på offentlige steder med

henblik på retshåndhævelse bør kun idriftsættes til at bekræfte den specifikt målrettede persons identitet og bør

begrænses til, hvad der er strengt nødvendigt for så vidt angår tidsperioden samt det geografiske og personmæssige

anvendelsesområde, navnlig med hensyn til beviserne eller indikationerne vedrørende truslerne, ofrene eller

gerningsmanden. Anvendelsen af systemet til biometrisk fjernidentifikation i realtid på offentlige steder bør kun

tillades, hvis den relevante retshåndhævende myndighed har gennemført en konsekvensanalyse vedrørende

grundlæggende rettigheder og, medmindre andet er fastsat i denne forordning, har registreret systemet i databasen

som fastsat i denne forordning. Referencedatabasen over personer bør være passende for hvert enkelt

anvendelsestilfælde i hver af de ovennævnte situationer.

(35)

Enhver anvendelse af et system til biometrisk fjernidentifikation i realtid på offentlige steder med henblik på

retshåndhævelse bør være betinget af en udtrykkelig og specifik tilladelse fra en medlemsstats judicielle myndighed

eller uafhængige administrative myndighed, hvis afgørelse er bindende. En sådan tilladelse bør i princippet indhentes

forud for anvendelsen af AI- systemet med henblik på at identificere en eller flere personer. Undtagelser fra denne

regel bør tillades i behørigt begrundede hastende tilfælde, dvs. i situationer, hvor behovet for at anvende de

pågældende systemer er af en sådan art, at det er praktisk og objektivt umuligt at indhente en tilladelse, inden

anvendelsen af AI-systemet påbegyndes. I sådanne hastende situationer bør anvendelsen af AI-systemet begrænses til

det absolut nødvendige minimum og bør være underlagt passende sikkerhedsforanstaltninger og betingelser som

fastsat i national ret og præciseret i forbindelse med hver enkelt hastesag af den retshåndhævende myndighed selv.

Desuden bør den retshåndhævende myndighed i sådanne situationer anmode om en sådan tilladelse og samtidig

begrunde, hvorfor den ikke har været i stand til at anmode om den tidligere, uden unødigt ophold og senest inden

for 24 timer. Hvis en sådan tilladelse afvises, bør anvendelsen af systemer til biometrisk identifikation i realtid, der er

knyttet til den pågældende tilladelse, indstilles med øjeblikkelig virkning, og alle data vedrørende en sådan

anvendelse bør kasseres og slettes. Sådanne data omfatter inputdata, der er erhvervet direkte af et AI-system ved

Rådets rammeafgørelse 2002/584/RIA af 13. juni 2002 om den europæiske arrestordre og om procedurerne for overgivelse mellem

medlemsstaterne (EFT L 190 af 18.7.2002, s. 1).

Europa-Parlamentets og Rådets direktiv (EU) 2022/2557 af 14. december 2022 om kritiske enheders modstandsdygtighed og om

ophævelse af Rådets direktiv 2008/114/EF (EUT L 333 af 27.12.2022, s. 164).

(

)

(

)

10/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

anvendelsen af et sådant system, samt resultater og output af den anvendelse, der er knyttet til den pågældende

tilladelse. Det bør ikke omfatte input, der er erhvervet lovligt i overensstemmelse med anden EU-ret eller national ret.

Under alle omstændigheder bør der ikke træffes nogen afgørelse, der har negative retsvirkninger for en person,

udelukkende baseret på outputtet af systemet til biometrisk fjernidentifikation.

(36)

Den relevante markedsovervågningsmyndighed og den nationale databeskyttelsesmyndighed bør for at kunne udføre

deres opgaver i overensstemmelse med kravene fastsat i denne forordning og i de nationale regler underrettes om

hver anvendelse af »systemet til biometrisk identifikation i realtid«. Markedsovervågningsmyndighederne og de

nationale databeskyttelsesmyndigheder, der er blevet underrettet, bør forelægge Kommissionen en årlig rapport om

anvendelsen af systemer til biometrisk identifikation i realtid.

(37)

Endvidere bør det inden for denne forordnings udtømmende rammer fastsættes, at en sådan anvendelse på en

medlemsstats område i overensstemmelse med denne forordning kun bør være mulig, hvis og i det omfang den

pågældende medlemsstat har besluttet udtrykkeligt at give mulighed for at tillade en sådan anvendelse i sine

detaljerede bestemmelser i national ret. Det står derfor medlemsstaterne frit for i henhold til denne forordning slet

ikke at fastsætte en sådan mulighed eller kun at fastsætte en sådan mulighed med hensyn til nogle af de mål, der

i henhold til denne forordning kan begrunde en godkendt anvendelse. Sådanne nationale regler bør meddeles

Kommissionen inden for 30 dage efter deres vedtagelse.

(38)

Anvendelsen af AI-systemer til biometrisk fjernidentifikation i realtid af fysiske personer på offentlige steder med

henblik på retshåndhævelse indebærer nødvendigvis behandling af biometriske data. De bestemmelser i denne

forordning, der med forbehold af visse undtagelser forbyder en sådan anvendelse, og som har grundlag i artikel 16

i TEUF, bør finde anvendelse som lex specialis, for så vidt angår reglerne om behandling af biometriske data

i artikel 10 i direktiv (EU) 2016/680 og således regulere anvendelsen og behandlingen af biometriske data på en

udtømmende måde. En sådan anvendelse og behandling bør derfor kun være mulig, i det omfang det er foreneligt

med den ramme, der er fastsat i denne forordning, uden at der uden for denne ramme er mulighed for, at de

kompetente myndigheder, når de handler med henblik på retshåndhævelse, kan anvende sådanne systemer og

i forbindelse hermed behandle sådanne data af de grunde, der er anført i artikel 10 i direktiv (EU) 2016/680. I denne

sammenhæng har denne forordning ikke til formål at tilvejebringe retsgrundlaget for behandling af

personoplysninger i henhold til artikel 8 i direktiv (EU) 2016/680. Anvendelsen af systemer til biometrisk

fjernidentifikation i realtid på offentlige steder til andre formål end retshåndhævelse, herunder af kompetente

myndigheder, bør imidlertid ikke være omfattet af den specifikke ramme for en sådan anvendelse med henblik på

retshåndhævelse som fastsat i denne forordning. En sådan anvendelse til andre formål end retshåndhævelse bør

derfor ikke være underlagt kravet om en tilladelse i henhold til denne forordning og de gældende detaljerede

bestemmelser i national ret, der kan give denne tilladelse virkning.

(39)

Enhver behandling af biometriske data og andre personoplysninger i forbindelse med anvendelsen af AI-systemer til

biometrisk identifikation, undtagen i forbindelse med anvendelsen af systemer til biometrisk fjernidentifikation

i realtid på offentlige steder med henblik på retshåndhævelse som reguleret ved denne forordning, bør fortsat

overholde alle de krav, der følger af artikel 10 i direktiv (EU) 2016/680. Med henblik på andre formål end

retshåndhævelse forbyder artikel 9, stk. 1, i forordning (EU) 2016/679 og artikel 10, stk. 1, i forordning

(EU) 2018/1725 behandling af biometriske data med begrænsede undtagelser som fastsat i disse artikler. I henhold

til artikel 9, stk. 1, i forordning (EU) 2016/679 har anvendelsen af biometrisk fjernidentifikation til andre formål end

retshåndhævelse allerede været genstand for forbudsafgørelser fra nationale databeskyttelsesmyndigheder.

(40)

I medfør af artikel 6a i protokol nr. 21 om Det Forenede Kongeriges og Irlands stilling, for så vidt angår området med

frihed, sikkerhed og retfærdighed, der er knyttet som bilag til TEU og TEUF, er Irland ikke bundet af regler fastsat

i denne forordnings artikel 5, stk. 1, første afsnit, litra g), i det omfang den finder anvendelse på brugen af systemer

til biometrisk kategorisering til aktiviteter inden for politisamarbejde og retligt samarbejde i straffesager, artikel 5,

stk. 1, første afsnit, litra d), i det omfang den finder anvendelse på brugen af AI-systemer, der er omfattet af nævnte

bestemmelse, artikel 5, stk. 1, første afsnit, litra h), og stk. 2-6, og artikel 26, stk. 10, der er vedtaget på grundlag af

artikel 16 i TEUF vedrørende medlemsstaternes behandling af personoplysninger under udøvelsen af aktiviteter, der

er omfattet af tredje del, afsnit V, kapitel 4 eller 5, i TEUF, når Irland ikke er bundet af regler vedrørende former for

strafferetligt samarbejde eller politisamarbejde, der kræver overholdelse af de bestemmelser, der er fastsat på

grundlag af artikel 16 i TEUF.

(41)

I medfør af artikel 2 og 2a i protokol nr. 22 om Danmarks stilling, der er knyttet som bilag til TEU og TEUF, er de

regler, der er fastsat i denne forordnings artikel 5, stk. 1, første afsnit, litra g), i det omfang den finder anvendelse på

brugen af systemer til biometrisk kategorisering til aktiviteter inden for politisamarbejde og retligt samarbejde

i straffesager, artikel5, stk. 1, første afsnit, litra d), i det omfang den finder anvendelse på brugen af AI-systemer, der

er omfattet af nævnte bestemmelse, artikel 5, stk. 1, første afsnit, litra h), og stk. 2-6, og artikel 26, stk. 10, der er

11/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

vedtaget på grundlag af artikel 16 i TEUF vedrørende medlemsstaternes behandling af personoplysninger under

udøvelsen af aktiviteter, der er omfattet af tredje del, afsnit V, kapitel 4 eller 5, i TEUF, ikke bindende for og finder

ikke anvendelse i Danmark.

(42)

I overensstemmelse med uskyldsformodningen bør fysiske personer i Unionen altid dømmes på grundlag af deres

faktiske adfærd. Fysiske personer bør aldrig dømmes på grundlag af AI-forudsagt adfærd, der alene er baseret på

deres profilering, personlighedstræk eller personlige egenskaber såsom nationalitet, fødested, bopæl, antal børn,

gældsbyrde eller biltype, uden at der er begrundet mistanke om, at den pågældende person er involveret i kriminel

aktivitet baseret på objektive verificerbare kendsgerninger, og uden menneskelig vurdering heraf. Risikovurderinger,

der udføres med hensyn til fysiske personer med det formål at vurdere risikoen for, at de begår lovovertrædelser, eller

forudsige forekomsten af en faktisk eller potentiel strafbar handling alene baseret på profilering af dem eller

vurdering af deres personlighedstræk og personlige egenskaber, bør derfor forbydes. Under alle omstændigheder

henviser dette forbud ikke til eller berører ikke risikoanalyser, der ikke er baseret på profilering af enkeltpersoner eller

på enkeltpersoners personlighedstræk og personlige egenskaber, såsom AI-systemer, der anvender risikoanalyser til

at vurdere sandsynligheden for virksomheders økonomiske svig på grundlag af mistænkelige transaktioner eller

risikoanalyseværktøjer til at forudsige sandsynligheden for toldmyndighedernes lokalisering af narkotika eller

ulovlige varer, f.eks. på grundlag af kendte narkotikaruter.

(43)

Omsætning, ibrugtagning til dette specifikke formål eller anvendelse af AI-systemer, der opretter eller udvider

ansigtsgenkendelsesdatabaser gennem ikkemålrettet indsamling af ansigtsbilleder fra internettet eller kameraover-

vågning, bør forbydes, da denne praksis øger følelsen af masseovervågning og kan føre til grove krænkelser af de

grundlæggende rettigheder, herunder retten til privatlivets fred.

(44)

Der er alvorlig bekymring over det videnskabelige grundlag for AI-systemer, der har til formål at identificere eller

udlede følelser, navnlig da følelser varierer betydeligt på tværs af kulturer og situationer og endda hos en enkelt

person. Blandt de vigtigste mangler ved sådanne systemer er den begrænsede pålidelighed, manglen på specificitet og

den begrænsede generaliserbarhed. AI-systemer, der identificerer eller udleder fysiske personers følelser eller

hensigter på grundlag af deres biometriske data, kan derfor føre til forskelsbehandlende resultater og kan være

indgribende i de berørte personers rettigheder og friheder. Sådanne systemer kan i betragtning af den ulige

magtfordeling på arbejdspladsen eller uddannelsesstedet, kombineret med disse systemers indgribende karakter, føre

til skadelig eller ugunstig behandling af visse fysiske personer eller hele grupper heraf. Omsætningen, ibrugtagningen

eller anvendelsen af AI-systemer, der er tilsigtet at påvise enkeltpersoners følelsesmæssige tilstand i situationer, der

vedrører arbejdspladsen og uddannelsesstedet, bør derfor forbydes. Dette forbud bør ikke omfatte AI-systemer, der

bringes i omsætning udelukkende af medicinske eller sikkerhedsmæssige årsager, såsom systemer tilsigtet terapeutisk

brug.

(45)

Former for praksis, der er forbudt i henhold til EU-retten, herunder databeskyttelsesretten, retten om

ikkeforskelsbehandling, forbrugerbeskyttelsesretten og konkurrenceretten, bør ikke berøres af denne forordning.

(46)

Højrisiko-AI-systemer bør kun bringes i omsætning på EU-markedet, ibrugtages eller anvendes, hvis de overholder

visse obligatoriske krav. Disse krav bør sikre, at højrisiko-AI-systemer, der er tilgængelige i Unionen, eller hvis output

på anden måde anvendes i Unionen, ikke udgør uacceptable risici for vigtige samfundsinteresser i Unionen som

anerkendt og beskyttet i EU-retten. På grundlag af den nye lovgivningsmæssige ramme, som præciseret

i Kommissionens meddelelse om den blå vejledning om gennemførelsen af EU's produktregler 2022 (

), er den

generelle regel, at mere end én EU-harmoniseringslovgivningsretsakt såsom Europa-Parlamentets og Rådets

forordning (EU) 2017/745 (

) og (EU) 2017/746 (

) eller Europa-Parlamentets og Rådets direktiv 2006/42/EF (

)

kan finde anvendelse på ét produkt, da tilgængeliggørelsen eller ibrugtagningen kun kan finde sted, når produktet

EUT C 247 af 29.6.2022, s. 1.

Europa-Parlamentets og Rådets forordning (EU) 2017/745 af 5. april 2017 om medicinsk udstyr, om ændring af direktiv

2001/83/EF, forordning (EF) nr. 178/2002 og forordning (EF) nr. 1223/2009 og om ophævelse af Rådets direktiv 90/385/EØF og

93/42/EØF (EUT L 117 af 5.5.2017, s. 1).

Europa-Parlamentets og Rådets forordning (EU) 2017/746 af 5. april 2017 om medicinsk udstyr til in vitro-diagnostik og om

ophævelse af direktiv 98/79/EF og Kommissionens afgørelse 2010/227/EU (EUT L 117 af 5.5.2017, s. 176).

Europa-Parlamentets og Rådets direktiv 2006/42/EF af 17. maj 2006 om maskiner og om ændring af direktiv 95/16/EF (EUT L 157

af 9.6.2006, s. 24).

(

)

(

)

(

)

(

)

12/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

overholder al gældende EU-harmoniseringslovgivning. For at sikre konsekvens og undgå unødvendige administrative

byrder eller omkostninger bør udbydere af et produkt, der indeholder et eller flere højrisiko-AI-systemer, som

kravene i nærværende forordning og kravene i EU-harmoniseringslovgivningen opført i et bilag til nærværende

forordning, finder anvendelse på, have fleksibilitet med hensyn til at træffe operationelle beslutninger om, hvordan

det sikres, at et produkt, der indeholder et eller flere AI-systemer, overholder alle gældende krav i EU-harmoniserings-

lovgivningen på en optimal måde. AI-systemer, der identificeres som højrisiko, bør begrænses til systemer, der har en

betydelig skadelig indvirkning på personers sundhed, sikkerhed og grundlæggende rettigheder i Unionen, og en

sådan begrænsning bør minimere enhver potentiel restriktion for international handel.

AI-systemer kan have negative virkninger for personers sundhed og sikkerhed, navnlig når sådanne systemer

anvendes som produkters sikkerhedskomponenter. I overensstemmelse med målene for EU-harmoniseringslov-

givningen om at lette den frie bevægelighed for produkter i det indre marked og sørge for, at kun sikre produkter, der

desuden overholder alle de stillede krav, kommer ind på markedet, er det vigtigt, at de sikkerhedsrisici, som et

produkt som helhed kan udgøre på grund af dets digitale komponenter, herunder AI-systemer, behørigt forebygges

og afbødes. F.eks. bør stadig mere autonome robotter, hvad enten det er i forbindelse med fremstilling eller personlig

bistand og pleje, være i stand til at fungere sikkert og udføre deres funktioner i komplekse miljøer. Også

i sundhedssektoren, hvor det drejer sig direkte om liv og sundhed, bør stadig mere avancerede diagnosesystemer og

systemer, der understøtter menneskers beslutninger, være pålidelige og nøjagtige.

Omfanget af et AI-systems negative indvirkning på de grundlæggende rettigheder, der er beskyttet af chartret, er

særlig relevant, når et AI-system klassificeres som højrisiko. Disse rettigheder omfatter retten til menneskelig

værdighed, respekt for privatliv og familieliv, beskyttelse af personoplysninger, ytrings- og informationsfrihed,

forsamlings- og foreningsfrihed, retten til ikkeforskelsbehandling, retten til uddannelse, forbrugerbeskyttelse,

arbejdstagerrettigheder, rettigheder for personer med handicap, ligestilling mellem kønnene, intellektuelle

ejendomsrettigheder, retten til effektive retsmidler og til en retfærdig rettergang, retten til et forsvar og

uskyldsformodningen samt retten til god forvaltning. Ud over disse rettigheder er det vigtigt at fremhæve det

forhold, at børn har specifikke rettigheder som fastsat i artikel 24 i chartret og i De Forenede Nationers konvention

om barnets rettigheder, yderligere udviklet i generel bemærkning nr. 25 vedrørende det digitale miljø fra FN's Komité

for Barnets Rettigheder, som begge kræver, at der tages hensyn til børns sårbarhed, og at der ydes den beskyttelse og

omsorg, der er nødvendig for deres trivsel. Den grundlæggende ret til et højt miljøbeskyttelsesniveau, der er

nedfældet i chartret og gennemført i Unionens politikker, bør også tages i betragtning ved vurderingen af

alvorligheden af den skade, som et AI-system kan forvolde, herunder i forbindelse med personers sundhed og

sikkerhed.

For så vidt angår højrisiko-AI-systemer, der er sikkerhedskomponenter i produkter eller systemer, eller som selv er

produkter eller systemer, der er omfattet af anvendelsesområdet for Europa-Parlamentets og Rådets forordning

(EF) nr. 300/2008 (

), Europa-Parlamentets og Rådets forordning (EU) nr. 167/2013 (

), Europa-Parlamentets og

Rådets forordning (EU) nr. 168/2013 (

), Europa-Parlamentets og Rådets direktiv 2014/90/EU (

), Europa-

Parlamentets og Rådets direktiv (EU) 2016/797 (

), Europa-Parlamentets og Rådets forordning (EU) 2018/858 (

Europa-Parlamentets og Rådets forordning (EU) 2018/1139 (

) og Europa-Parlamentets og Rådets forordning

Europa-Parlamentets og Rådets forordning (EF) nr. 300/2008 af 11. marts 2008 om fælles bestemmelser om sikkerhed (security)

inden for civil luftfart og om ophævelse af forordning (EF) nr. 2320/2002 (EUT L 97 af 9.4.2008, s. 72).

Europa-Parlamentets og Rådets forordning (EU) nr. 167/2013 af 5. februar 2013 om godkendelse og markedsovervågning af

landbrugs- og skovbrugstraktorer (EUT L 60 af 2.3.2013, s. 1).

Europa-Parlamentets og Rådets forordning (EU) nr. 168/2013 af 15. januar 2013 om godkendelse og markedsovervågning af to- og

trehjulede køretøjer samt quadricykler (EUT L 60 af 2.3.2013, s. 52).

Europa-Parlamentets og Rådets direktiv 2014/90/EU af 23. juli 2014 om skibsudstyr og om ophævelse af Rådets direktiv 96/98/EF

(EUT L 257 af 28.8.2014, s. 146).

Europa-Parlamentets og Rådets direktiv (EU) 2016/797 af 11. maj 2016 om interoperabilitet i jernbanesystemet i Den Europæiske

Union (EUT L 138 af 26.5.2016, s. 44).

Europa-Parlamentets og Rådets forordning (EU) 2018/858 af 30. maj 2018 om godkendelse og markedsovervågning af

motorkøretøjer og påhængskøretøjer dertil samt af systemer, komponenter og separate tekniske enheder til sådanne køretøjer, om

ændring af forordning (EF) nr. 715/2007 og (EF) nr. 595/2009 og om ophævelse af direktiv 2007/46/EF (EUT L 151 af 14.6.2018,

s. 1).

Europa-Parlamentets og Rådets forordning (EU) 2018/1139 af 4. juli 2018 om fælles regler for civil luftfart og oprettelse af Den

Europæiske Unions Luftfartssikkerhedsagentur og om ændring af Europa-Parlamentets og Rådets forordning (EF) nr. 2111/2005,

(EF) nr. 1008/2008, (EU) nr. 996/2010, (EU) nr. 376/2014 og direktiv 2014/30/EU og 2014/53/EU og om ophævelse af

Europa-Parlamentets og Rådets forordning (EF) nr. 552/2004 og (EF) nr. 216/2008 og Rådets forordning (EØF) nr. 3922/91 (EUT

L 212 af 22.8.2018, s. 1).

(47)

(48)

(49)

(

)

(

)

(

)

(

)

(

)

(

)

(

)

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

13/144

EUT L af 12.7.2024

(EU) 2019/2144 (

), bør disse retsakter ændres for at sikre, at Kommissionen, på grundlag af de særlige tekniske og

reguleringsmæssige forhold i hver enkelt sektor og uden at gribe ind i de eksisterende forvaltnings-,

overensstemmelsesvurderings- og håndhævelsesmekanismer og myndigheder, der er fastsat heri, tager hensyn til

de obligatoriske krav til højrisiko-AI-systemer, der er fastsat i nærværende forordning, når den vedtager relevante

delegerede retsakter eller gennemførelsesretsakter på grundlag af disse retsakter.

(50)

For så vidt angår AI-systemer, der er sikkerhedskomponenter i produkter, eller som selv er produkter, der er omfattet

af anvendelsesområdet for en vis EU-harmoniseringslovgivning, der er opført i et bilag til denne forordning, er det

hensigtsmæssigt at klassificere dem som højrisiko i henhold til denne forordning, hvis det pågældende produkt

overensstemmelsesvurderes af en tredjeparts overensstemmelsesvurderingsorgan i henhold til den relevante

EU-harmoniseringslovgivning. Sådanne produkter er navnlig maskiner, legetøj, elevatorer, udstyr og sikringssyste-

mer tilsigtet anvendelse i eksplosionsfarlig atmosfære, radioudstyr, trykudstyr, udstyr til fritidsfartøjer, tovbaneanlæg,

gasapparater, medicinsk udstyr, in vitro-diagnostisk medicinsk udstyr, bilindustrien og luftfart.

(51)

Klassificeringen af et AI-system som højrisiko i henhold til denne forordning bør ikke nødvendigvis betyde, at det

produkt, hvori AI-systemet indgår som sikkerhedskomponent, eller selve AI-systemet som produkt betragtes som

højrisiko i henhold til de kriterier, der er fastsat i den relevante EU-harmoniseringslovgivning, der finder anvendelse

på produktet. Dette er navnlig tilfældet med forordning (EU) 2017/745 og (EU) 2017/746, hvor en tredjepart

foretager overensstemmelsesvurderinger af mellemrisiko- og højrisikoprodukter.

(52)

For så vidt angår selvstændige AI-systemer, dvs. andre højrisiko-AI-systemer end dem, der er produkters

sikkerhedskomponenter, eller selv er produkter, bør de klassificeres som højrisiko, hvis de set i lyset af deres

tilsigtede formål udgør en høj risiko for skade på sundhed og sikkerhed eller personers grundlæggende rettigheder,

idet der tages hensyn til både sandsynligheden for den mulige skade og dens alvorlighed, og hvis de anvendes på en

række specifikt foruddefinerede områder, der er angivet i denne forordning. Disse systemer udpeges ved hjælp af den

samme metode og ud fra de samme kriterier som i forbindelse med eventuelle fremtidige ændringer af listen over

højrisiko-AI-systemer, som Kommissionen bør tillægges beføjelser til at vedtage ved hjælp af delegerede retsakter for

at tage hensyn til den hurtige teknologiske udvikling samt de potentielle ændringer i anvendelsen af AI-systemer.

(53)

Det er også vigtigt at præcisere, at der kan være særlige tilfælde, hvor AI-systemer, der henvises til i foruddefinerede

områder som angivet i denne forordning, ikke medfører en væsentlig risiko for at skade de retlige interesser, der

beskyttes på disse områder, fordi de ikke i væsentlig grad påvirker beslutningstagningen eller ikke skader disse

interesser væsentligt. Med henblik på denne forordning bør et AI-system, der ikke i væsentlig grad påvirker resultatet

af beslutningstagning, forstås som et AI-system, der ikke har indvirkning på substansen og dermed resultatet af

beslutningstagning, uanset om den er menneskelig eller automatiseret. Et AI-system, der ikke i væsentlig grad

påvirker resultatet af beslutningstagning, kan omfatte situationer, hvor en eller flere af følgende betingelser er

opfyldt. Den første sådanne betingelse bør være, at AI-systemet er tilsigtet at udføre en snæver proceduremæssig

opgave, f.eks. et AI-system, der omdanner ustrukturerede data til strukturerede data, et AI-system, der klassificerer

indgående dokumenter i kategorier, eller et AI-system, der anvendes til at påvise duplikater blandt et stort antal

ansøgninger. Disse opgaver er så snævre og begrænsede, at de kun udgør begrænsede risici, som ikke øges som følge

af anvendelsen af et AI-system i en af de sammenhænge, der er opført som en højrisikoanvendelse i et bilag til denne

Europa-Parlamentets og Rådets forordning (EU) 2019/2144 af 27. november 2019 om krav til typegodkendelse af motorkøretøjer

og påhængskøretøjer dertil samt systemer, komponenter og separate tekniske enheder til sådanne køretøjer for så vidt angår deres

generelle sikkerhed og beskyttelsen af køretøjspassagerer og bløde trafikanter og om ændring af Europa-Parlamentets og Rådets

forordning (EU) 2018/858 og ophævelse af Europa-Parlamentets og Rådets forordning (EF) nr. 78/2009, forordning (EF) nr. 79/2009

og forordning (EF) nr. 661/2009 og Kommissionens forordning (EF) nr. 631/2009, (EU) nr. 406/2010, (EU) nr. 672/2010,

(EU) nr. 1003/2010, (EU) nr. 1005/2010, (EU) nr. 1008/2010, (EU) nr. 1009/2010, (EU) nr. 19/2011, (EU) nr. 109/2011,

(EU) nr. 458/2011, (EU) nr. 65/2012, (EU) nr. 130/2012, (EU) nr. 347/2012, (EU) nr. 351/2012, (EU) nr. 1230/2012 og

(EU) 2015/166 (EUT L 325 af 16.12.2019, s. 1).

(

)

14/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

forordning. Den anden betingelse bør være, at den opgave, AI-systemet udfører, er tilsigtet at forbedre resultatet af en

tidligere afsluttet menneskelig aktivitet, der kan være relevant med henblik på de højrisikoanvendelser, der er opført

i et bilag til denne forordning. I betragtning af disse karakteristika tilføjer AI-systemet kun et ekstra lag til en

menneskelig aktivitet og udgør dermed en lavere risiko. Denne betingelse ville f.eks. gælde AI-systemer, der er

tilsigtet at forbedre det sprog, der er anvendt i tidligere udarbejdede dokumenter, f.eks. hvad angår professionel tone

og akademisk sprogbrug eller ved at tilpasse teksten til et bestemt produktbudskab. Den tredje betingelse bør være,

at AI-systemet er tilsigtet at påvise beslutningsmønstre eller afvigelser fra tidligere beslutningsmønstre. Risikoen vil

være lavere, fordi anvendelsen af AI-systemet følger efter en tidligere afsluttet menneskelig vurdering, som det ikke er

tiltænkt at skulle erstatte eller påvirke uden en ordentlig menneskelig gennemgang. Sådanne AI-systemer omfatter f.

eks. systemer, der ud fra en lærers bestemte bedømmelsesmønster kan anvendes til efterfølgende at kontrollere, om

læreren kan have afveget fra bedømmelsesmønstret, således at potentielle uoverensstemmelser eller uregelmæssig-

heder identificeres. Den fjerde betingelse bør være, at AI-systemet er tilsigtet kun at udføre en forberedende opgave

inden en vurdering, der er relevant med henblik på de AI-systemer, der er opført i et bilag til denne forordning,

hvilket gør den mulige virkning af systemets output meget lav med hensyn til at udgøre en risiko for den

efterfølgende vurdering. Denne betingelse omfatter bl.a. intelligente løsninger til filhåndtering, som indeholder

forskellige funktioner såsom indeksering, søgning, tekst- og talebehandling eller sammenkobling af data til andre

datakilder, eller AI-systemer, der anvendes til oversættelse af oprindelige dokumenter. Under alle omstændigheder

bør AI-systemer, som anvendes i tilfælde af højrisikoanvendelser, der er opført i et bilag til denne forordning,

betragtes som at udgøre en betydelig risiko for skade på fysiske personers sundhed, sikkerhed eller grundlæggende

rettigheder, hvis AI-systemet indebærer profilering som omhandlet i artikel 4, nr. 4), i forordning (EU) 2016/679,

eller artikel 3, nr. 4), i direktiv (EU) 2016/680 eller artikel 3, nr. 5), i forordning (EU) 2018/1725. For at sikre

sporbarhed og gennemsigtighed bør en udbyder, der skønner, at et AI-system ikke udgør en høj risiko på grundlag af

de ovenfor omhandlede betingelser, udarbejde dokumentation for vurderingen, inden systemet bringes i omsætning

eller ibrugtages, og bør efter anmodning forelægge denne dokumentation for de nationale kompetente myndigheder.

En sådan udbyder bør være forpligtet til at registrere AI-systemet i den EU-database, der oprettes i henhold til

nærværende forordning. Med henblik på at give yderligere vejledning om den praktiske gennemførelse af de

betingelser, i henhold til hvilke de AI-systemer, der er opført i et bilag til nærværende forordning, undtagelsesvis er

ikkehøjrisiko, bør Kommissionen efter høring af AI-udvalget udarbejde retningslinjer, der præciserer denne praktiske

gennemførelse, suppleret med en omfattende liste over praktiske eksempler på anvendelsestilfælde af AI-systemer,

der er højrisiko, og anvendelsestilfælde, der ikke er.

(54)

Da biometriske data udgør en særlig kategori af personoplysninger, er det hensigtsmæssigt at klassificere flere

kritiske anvendelsestilfælde af biometriske systemer som højrisiko, for så vidt som deres anvendelse er tilladt

i henhold til relevant EU-ret og national ret. Tekniske unøjagtigheder i AI-systemer, der er tilsigtet biometrisk

fjernidentifikation af fysiske personer, kan føre til resultater behæftet med bias og have forskelsbehandlende virkning.

Risikoen for sådanne mulige resultater behæftet med bias og forskelsbehandlende virkninger er særligt relevante med

hensyn til alder, etnicitet, race, køn og handicap. Systemer til biometrisk fjernidentifikation bør derfor klassificeres

som højrisiko i betragtning af de risici, systemerne udgør. En sådan klassificering udelukker AI-systemer, der tilsigtes

anvendt til biometrisk verifikation, herunder autentifikation, hvis eneste formål er at bekræfte, at en bestemt fysisk

person er den person, vedkommende hævder at være, og bekræfte en fysisk persons identitet udelukkende med det

formål at få adgang til en tjeneste, låse udstyr op eller have sikker adgang til lokaler. Desuden bør AI-systemer, der

tilsigtes anvendt til biometrisk kategorisering ifølge følsomme egenskaber eller karakteristika, som er beskyttet

i henhold til artikel 9, stk. 1, i forordning (EU) 2016/679, på grundlag af biometriske data, for så vidt som disse ikke

er forbudt i henhold til nærværende forordning, og systemer til følelsesgenkendelse, der ikke er forbudt i henhold til

nærværende forordning, klassificeres som højrisiko. Biometriske systemer, der udelukkende er tilsigtet anvendt til at

muliggøre cybersikkerhedsforanstaltninger og foranstaltninger til beskyttelse af personoplysninger, bør ikke

betragtes som højrisiko-AI-systemer.

(55)

For så vidt angår forvaltning og drift af kritisk infrastruktur bør AI-systemer, der tilsigtes anvendt som

sikkerhedskomponenter i forvaltningen og driften af kritisk digital infrastruktur som opført i bilaget, punkt 8, til

direktiv (EU) 2022/2557, vejtrafik og forsyning af vand, gas, varme og elektricitet, klassificeres som højrisiko, da

svigt eller funktionsfejl i disse systemer kan bringe menneskers liv og sundhed i fare i stor målestok og føre til

betydelige forstyrrelser i de sociale og økonomiske aktiviteter. Sikkerhedskomponenter i kritisk infrastruktur,

herunder kritisk digital infrastruktur, er systemer, der anvendes til direkte at beskytte den kritiske infrastrukturs

fysiske integritet eller personers sundhed og sikkerhed og ejendom, men som ikke er nødvendige for, at systemet kan

15/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

fungere. Svigt eller funktionsfejl i sådanne komponenter kan direkte medføre risici for den kritiske infrastrukturs

fysiske integritet og dermed risici for personers sundhed og sikkerhed og ejendom. Komponenter, der udelukkende

tilsigtes anvendt til cybersikkerhedsformål, bør ikke betragtes som sikkerhedskomponenter. Eksempler på

sikkerhedskomponenter i en sådan kritisk infrastruktur kan omfatte systemer til overvågning af vandtryk eller

brandalarmkontrolsystemer i cloudcomputingcentre.

(56)

Det er vigtigt at idriftsætte AI-systemer inden for uddannelse for at fremme digital uddannelse og træning af høj

kvalitet og for at give alle lærende og lærere mulighed for at tilegne sig og dele de nødvendige digitale færdigheder og

kompetencer, herunder mediekendskab, og kritisk tænkning, til at deltage aktivt i økonomien, samfundet og de

demokratiske processer. AI-systemer, der anvendes inden for uddannelse eller erhvervsuddannelse, navnlig til at

bestemme adgang eller optagelse, til at fordele personer på uddannelsesinstitutioner eller uddannelser på alle

niveauer, til at evaluere personers læringsudbytte, til at bedømme en persons nødvendige uddannelsesniveau og

væsentligt påvirke den uddannelse, som den pågældende person vil modtage eller vil kunne få adgang til, eller til at

overvåge og opdage forbudt adfærd blandt studerende under prøver, bør dog klassificeres som højrisiko-AI-systemer,

da de kan afgøre en persons uddannelsesmæssige og arbejdsmæssige livsforløb og dermed kan påvirke denne

persons mulighed for at sikre sig et livsgrundlag. Hvis sådanne systemer udformes og anvendes forkert, kan de være

særligt indgribende og krænke retten til uddannelse samt retten til ikke at blive forskelsbehandlet og gøre historiske

forskelsbehandlingsmønstre permanente, f.eks. mod kvinder, bestemte aldersgrupper, personer med handicap eller

personer af bestemt racemæssig eller etnisk oprindelse eller med en bestemt seksuel orientering.

(57)

AI-systemer, der anvendes inden for beskæftigelse, forvaltning af arbejdskraft og adgang til selvstændig

erhvervsvirksomhed, navnlig til rekruttering og udvælgelse af personer, til at træffe beslutninger, der påvirker

vilkårene for det arbejdsrelaterede forhold, forfremmelse og ophør af arbejdsmæssige kontraktforhold, til fordeling af

opgaver på grundlag af individuel adfærd, personlighedstræk eller personlige egenskaber og til overvågning og

evaluering af personer i arbejdsmæssige kontraktforhold, bør også klassificeres som højrisiko, da de kan have en

betydelig indvirkning på disse personers fremtidige karrieremuligheder, livsgrundlag og arbejdstagerrettigheder. De

relevante arbejdsmæssige kontraktforhold bør på en meningsfuld måde omfatte ansatte og personer, der leverer

tjenesteydelser via platforme som omhandlet i Kommissionens arbejdsprogram for 2021. Gennem hele

rekrutteringsprocessen og i forbindelse med evaluering, forfremmelse eller fastholdelse af personer i arbejdsrelaterede

kontraktforhold kan sådanne systemer gøre historiske forskelsbehandlingsmønstre permanente, f.eks. mod kvinder,

bestemte aldersgrupper, personer med handicap eller personer af bestemt racemæssig eller etnisk oprindelse eller

med en bestemt seksuel orientering. AI-systemer, der anvendes til at overvåge disse personers præstationer og

adfærd, kan også underminere deres grundlæggende ret til databeskyttelse og ret til privatlivets fred.

(58)

Et andet område, hvor anvendelsen af AI-systemer kræver særlig opmærksomhed, er adgangen til og benyttelsen af

visse væsentlige private og offentlige tjenester og de ydelser, der er nødvendige for, at mennesker kan deltage fuldt ud

i samfundet eller forbedre deres levestandard. Navnlig er fysiske personer, der ansøger om eller modtager væsentlige

offentlige bistandsydelser og -tjenester fra offentlige myndigheder, dvs. sundhedstjenester, socialsikringsydelser,

sociale tjenester, der yder beskyttelse i tilfælde af barsel, sygdom, arbejdsulykker, afhængighed eller alderdom og tab

af beskæftigelse samt social bistand og boligstøtte, typisk afhængige af sådanne ydelser og tjenester og befinder sig

i en sårbar situation i forhold til de ansvarlige myndigheder. Hvis der anvendes AI-systemer til at afgøre, om der skal

gives afslag på sådanne ydelser og tjenester, eller om de skal tildeles, nedsættes, tilbagekaldes eller kræves

tilbagebetalt af myndighederne, herunder om modtagerne reelt er berettigede til disse ydelser eller tjenester, kan disse

systemer have en betydelig indvirkning på menneskers livsgrundlag og kan krænke deres grundlæggende rettigheder

såsom retten til social beskyttelse, ikkeforskelsbehandling, menneskelig værdighed eller adgang til effektive

retsmidler, og de bør derfor klassificeres som højrisiko. Ikke desto mindre bør denne forordning ikke hindre

udviklingen eller anvendelsen af innovative tilgange i den offentlige forvaltning, som står til at kunne drage fordel af

en bredere anvendelse af AI-systemer, der er i overensstemmelse med reglerne og er sikre, forudsat at de ikke

indebærer en høj risiko for juridiske og fysiske personer. Desuden bør AI-systemer, der anvendes til at evaluere

fysiske personers kreditvurdering eller kreditværdighed, klassificeres som højrisiko-AI-systemer, da de afgør

menneskers adgang til finansielle ressourcer eller væsentlige tjenester såsom bolig, elektricitet og telekommunika-

tionstjenester. AI-systemer, der anvendes til disse formål, kan føre til forskelsbehandling mellem personer eller

grupper og kan gøre historiske forskelsbehandlingsmønstre permanente, f.eks. på grundlag af racemæssig eller etnisk

oprindelse, køn, handicap, alder eller seksuel orientering, eller være med til at skabe nye former for

forskelsbehandlende virkning. AI-systemer, der er fastsat i EU-retten med henblik på at afsløre svig i forbindelse

med tilbud af finansielle tjenesteydelser og for i tilsynsøjemed at beregne kreditinstitutters og forsikringsselskabers

kapitalkrav, bør dog ikke betragtes som højrisiko i henhold til denne forordning. Desuden kan AI-systemer, der

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

16/144

EUT L af 12.7.2024

tilsigtes anvendt til risikovurdering og prisfastsættelse i forbindelse med fysiske personer for så vidt angår syge- og

livsforsikring, også have en betydelig indvirkning på menneskers livsgrundlag og kan, hvis de ikke udformes,

udvikles og anvendes behørigt, krænke deres grundlæggende rettigheder og have alvorlige konsekvenser for

menneskers liv og sundhed, herunder økonomisk udstødelse og forskelsbehandling. Endelig bør AI-systemer, der

anvendes til at vurdere og klassificere fysiske personers nødopkald eller til at udsende beredskabstjenester

i nødsituationer eller til at tildele prioriteter i forbindelse hermed, herunder fra politi, brandmænd og lægehjælp,

samt patientsorteringssystemer for førstehjælp, også klassificeres som højrisiko, da de træffer beslutninger

i situationer, der er meget kritiske for menneskers liv og sundhed og for deres ejendom.

(59)

I betragtning af deres rolle og ansvar, er retshåndhævende myndigheders tiltag, der omfatter visse anvendelser af

AI-systemer, kendetegnet ved en betydelig magtubalance og kan føre til overvågning, anholdelse eller

frihedsberøvelse af fysiske personer samt have andre negative indvirkninger på de grundlæggende rettigheder, der

er sikret i chartret. Navnlig kan AI-systemer udvælge personer på forskelsbehandlende eller anden ukorrekt eller

uretfærdig måde, hvis de ikke er trænet med data af høj kvalitet, ikke opfylder passende krav med hensyn til deres

ydeevne, nøjagtighed og robusthed eller ikke er korrekt udformet og afprøvet, før de bringes i omsætning eller på

anden måde ibrugtages. Desuden kan udøvelsen af vigtige processuelle grundlæggende rettigheder såsom retten til

adgang til effektive retsmidler, retten til en retfærdig rettergang og retten til et forsvar samt uskyldsformodningen

hindres, navnlig hvis sådanne AI-systemer ikke er tilstrækkeligt gennemsigtige, forklarlige og dokumenterede. Derfor

bør en række AI-systemer, der tilsigtes anvendt i retshåndhævelsesmæssig sammenhæng, hvor det er særlig vigtigt

med nøjagtighed, pålidelighed og gennemsigtighed for at undgå negative virkninger, bevare offentlighedens tillid og

sikre ansvarlighed og effektive retsmidler, klassificeres som højrisiko, for så vidt som deres anvendelse er tilladt

i henhold til relevant EU-ret og national ret. I betragtning af aktiviteternes karakter og de risici, der er forbundet

hermed, bør disse højrisiko-AI-systemer navnlig omfatte AI-systemer, der er tilsigtet anvendt af eller på vegne af

retshåndhævende myndigheder eller af EU-institutioner, -organer, -kontorer eller -agenturer til støtte for

retshåndhævende myndigheder til vurdering af risikoen for, at en fysisk person bliver offer for strafbare handlinger,

som polygrafer og lignende værktøjer, til vurdering af pålideligheden af bevismateriale i forbindelse med

efterforskning eller retsforfølgning af strafbare handlinger og, for så vidt som det ikke er forbudt i henhold til denne

forordning, til vurdering af risikoen for, at en fysisk person begår eller på ny begår lovovertrædelser, der ikke

udelukkende er baseret på profilering af fysiske personer eller vurdering af fysiske personers eller gruppers

personlighedstræk og personlige egenskaber eller tidligere kriminelle adfærd, samt til profilering i forbindelse med

afsløring, efterforskning eller retsforfølgelse af strafbare handlinger. AI-systemer, der specifikt er tilsigtet anvendt til

skatte- og toldmyndigheders administrative procedurer og til finansielle efterretningstjenesters udførelse af

administrative opgaver, der omfatter analyse af oplysninger i henhold til EU-retten om bekæmpelse af hvidvask af

penge, bør ikke klassificeres som højrisiko-AI-systemer, der anvendes af retshåndhævende myndigheder med henblik

på forebyggelse, afsløring, efterforskning og retsforfølgning af strafbare handlinger. Retshåndhævende og andre

relevante myndigheders anvendelse af AI-værktøjer bør ikke blive en faktor, der bidrager til ulighed eller eksklusion.

Den indvirkning, som anvendelsen af AI-værktøjer har på mistænktes ret til forsvar, bør ikke ignoreres, navnlig

vanskelighederne ved at skaffe meningsfulde oplysninger om, hvordan disse systemer fungerer, og de deraf følgende

vanskeligheder ved at anfægte resultaterne heraf i retten, navnlig for fysiske personer, der efterforskes.

(60)

AI-systemer, der anvendes inden for migrationsstyring, asylforvaltning og grænsekontrol, berører personer, der ofte

befinder sig i en særlig sårbar situation, og som er afhængige af resultatet af de kompetente offentlige myndigheders

tiltag. Nøjagtigheden, den ikkeforskelsbehandlende karakter og gennemsigtigheden af de AI-systemer, der anvendes

i disse sammenhænge, har derfor særlig betydning med hensyn til at sikre, at de berørte personers grundlæggende

rettigheder respekteres, navnlig deres ret til fri bevægelighed, ikkeforskelsbehandling, beskyttelse af privatlivets fred

og personoplysninger, international beskyttelse og god forvaltning. Derfor bør der, for så vidt som deres anvendelse

er tilladt i henhold til relevant EU-ret og national ret, foretages en højrisikoklassificering af AI-systemer, der er

tilsigtet anvendt af eller på vegne af de kompetente offentlige myndigheder eller af EU-institutioner, -organer,

-kontorer eller -agenturer, der er ansvarlige for opgaver inden for migrationsstyring, asylforvaltning og

grænsekontrol, som polygrafer og lignende værktøjer, til at vurdere visse risici, som fysiske personer, der indrejser

til en medlemsstats område eller ansøger om visum eller asyl, udgør, til at bistå de kompetente offentlige

myndigheder i behandlingen, herunder tilhørende vurdering af pålideligheden af bevismateriale, af ansøgninger om

asyl, visum og opholdstilladelse og hertil relaterede klager med henblik på at fastslå, om de fysiske personer, der

ansøger, er berettigede, med henblik på at opdage, genkende eller identificere fysiske personer i forbindelse med

migrationsstyring, asylforvaltning og grænsekontrolforvaltning, bortset fra verificering af rejselegitimation.

AI-systemer, der anvendes inden for migrationsstyring, asylforvaltning og grænsekontrol, og som er omfattet af

denne forordning, bør overholde de relevante proceduremæssige krav i Europa-Parlamentets og Rådets forordning

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

17/144

EUT L af 12.7.2024

(EF) nr. 810/2009 (

), Europa-Parlamentets og Rådets direktiv 2013/32/EU (

) og anden relevant EU-ret.

Anvendelsen af AI-systemer inden for migrationsstyring, asylforvaltning og grænsekontrol bør under ingen

omstændigheder benyttes af medlemsstater eller EU-institutioner, -organer, -kontorer eller -agenturer som en måde at

omgå deres internationale forpligtelser i henhold til FN's konvention om flygtninges retsstilling indgået i Genève den

28. juli 1951, som ændret ved protokollen af 31. januar 1967, og de bør heller ikke anvendes på en måde, der

krænker princippet om non-refoulement eller nægter sikre og effektive lovlige adgangsveje til Unionens område,

herunder retten til international beskyttelse.

(61)

Visse AI-systemer, der er tilsigtet anvendelse inden for retspleje og i demokratiske processer, bør klassificeres som

højrisiko i betragtning af deres potentielt betydelige indvirkning på demokratiet, retsstatsprincippet, individets

frihedsrettigheder samt retten til adgang til effektive retsmidler og retten til en retfærdig rettergang. Navnlig for at

imødegå risikoen for bias, fejl og uigennemsigtighed bør de AI-systemer, der tilsigtes anvendt af judicielle

myndigheder eller på deres vegne for at bistå judicielle myndigheder med at fortolke fakta og lovgivningen og

anvende lovgivningen på konkrete sagsforhold, klassificeres som højrisiko. AI-systemer, der tilsigtes anvendt af

alternative tvistbilæggelsesorganer til disse formål, bør også betragtes som højrisiko, når resultaterne af den

alternative tvistbilæggelsesprocedure har retsvirkninger for parterne. Anvendelsen af AI-værktøjer kan understøtte,

men bør ikke erstatte dommernes beslutningskompetence eller retsvæsenets uafhængighed, da den endelige

beslutningstagning fortsat skal være en menneskedrevet aktivitet. Klassificeringen af AI-systemer som højrisiko bør

dog ikke omfatte AI-systemer, der kun tilsigtes supplerende administrative aktiviteter, som ikke har indflydelse på

den egentlige retspleje i de enkelte sager, som f.eks. anonymisering eller pseudonymisering af retsafgørelser,

dokumenter eller data, kommunikation mellem personale eller administrative opgaver.

(62)

Uden at det berører de regler, der er fastsat i Europa-Parlamentets og Rådets forordning (EU) 2024/900 (

), og for at

imødegå risikoen for unødig ekstern indblanding i retten til at stemme, der er nedfældet i chartrets artikel 39, og for

negative indvirkninger på demokratiet og retsstatsprincippet bør AI-systemer, der tilsigtes anvendt til at påvirke

resultatet af et valg eller en folkeafstemning eller fysiske personers stemmeadfærd i forbindelse med udøvelsen af

deres stemme ved valg eller folkeafstemninger, klassificeres som højrisiko-AI-systemer med undtagelse af

AI-systemer, hvis output fysiske personer ikke er direkte eksponeret for, såsom værktøjer, der anvendes til at

organisere, optimere og strukturere politiske kampagner ud fra et administrativt og logistisk synspunkt.

(63)

Klassificeringen af et AI-system som et højrisiko-AI-system i henhold til denne forordning bør ikke fortolkes således,

at anvendelsen af systemet er lovlig i medfør af andre EU-retsakter eller i medfør af national ret, der er forenelig med

EU-retten, som f.eks. om beskyttelsen af personoplysninger, brug af polygrafer og lignende værktøjer eller andre

systemer til at påvise fysiske personers følelsesmæssige tilstand. Enhver sådan anvendelse bør fortsat udelukkende

ske i overensstemmelse med de gældende krav, der følger af chartret og gældende afledt EU-ret og national ret.

Denne forordning bør ikke forstås som et retsgrundlag for behandling af personoplysninger, herunder særlige

kategorier af personoplysninger, hvis det er relevant, medmindre andet specifikt er fastsat i denne forordning.

(64)

For at begrænse risiciene fra højrisiko-AI-systemer, der bringes i omsætning eller ibrugtages og for at sikre en høj

grad af troværdighed, bør der gælde visse obligatoriske krav for højrisiko-AI-systemer, under hensyntagen til det

tilsigtede formål og i forbindelse med anvendelsen af AI-systemet og i overensstemmelse med det risikostyrings-

system, som udbyderen skal indføre. De foranstaltninger, som udbyderne vedtager for at overholde de obligatoriske

krav i denne forordning, bør tage højde for det generelt anerkendte aktuelle teknologiske niveau inden for AI og være

forholdsmæssige og effektive med hensyn til at nå denne forordnings mål. På grundlag af den nye

lovgivningsmæssige ramme, som præciseret i Kommissionens meddelelse om den blå vejledning om gennemførelsen

af EU's produktregler 2022, er den generelle regel, at mere end én EU-harmoniseringslovgivningsretsakt kan finde

anvendelse på ét produkt, da tilgængeliggørelsen eller ibrugtagningen kun kan finde sted, når produktet overholder

al gældende EU-harmoniseringslovgivning. Farerne ved de AI-systemer, der er omfattet af kravene i denne

forordning, vedrører andre aspekter end den gældende EU-harmoniseringslovgivning, og kravene i denne forordning

vil derfor supplere den gældende EU-harmoniseringslovgivning. Maskiner eller medicinsk udstyr, der indeholder et

AI-system, kan f.eks. udgøre risici, der ikke er omfattet af de væsentlige sikkerheds- og sundhedskrav i den relevante

Europa-Parlamentets og Rådets forordning (EF) nr. 810/2009 af 13. juli 2009 om en fællesskabskodeks for visa (visumkodeks) (EUT

L 243 af 15.9.2009, s. 1).

Europa-Parlamentets og Rådets direktiv 2013/32/EU af 26. juni 2013 om fælles procedurer for tildeling og fratagelse af

international beskyttelse (EUT L 180 af 29.6.2013, s. 60).

Europa-Parlamentets og Rådets forordning (EU) 2024/900 af 13. marts 2024 om gennemsigtighed og målretning i forbindelse med

politisk reklame (EUT L, 2024/900, 20.3.2024, ELI: http://data.europa.eu/eli/reg/2024/900/oj).

(

)

(

)

(

)

18/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

EU-harmoniseringslovgivning, da denne sektorspecifikke ret ikke omhandler risici, der er specifikke for AI-systemer.

Dette kræver, at de forskellige retsakter anvendes samtidigt og på supplerende vis. For at sikre konsekvens og undgå

en unødvendig administrativ byrde eller unødvendige omkostninger bør udbydere af et produkt, der indeholder et

eller flere højrisiko-AI-systemer, som kravene i denne forordning samt kravene i EU-harmoniseringslovgivningen

baseret på den nye lovgivningsmæssige ramme og opført i et bilag til denne forordning finder anvendelse på, have

fleksibilitet med hensyn til at træffe operationelle beslutninger om, hvordan det sikres, at et produkt, der indeholder

et eller flere AI-systemer, overholder alle gældende krav i denne EU-harmoniseringslovgivning på en optimal måde.

Denne fleksibilitet kan f.eks. betyde, at udbyderen beslutter at integrere en del af de nødvendige afprøvnings- og

rapporteringsprocesser, oplysninger og dokumentation, der kræves i henhold til denne forordning, i allerede

eksisterende dokumentation og procedurer, som kræves i henhold til den gældende EU-harmoniseringslovgivning,

der er baseret på den nye lovgivningsmæssige ramme, og som er opført i et bilag til denne forordning. Dette bør på

ingen måde underminere udbyderens forpligtelse til at overholde alle gældende krav.

(65)

Risikostyringssystemet bør bestå af en kontinuerlig iterativ proces, der er planlagt og løber i hele høj-

risiko-AI-systemets livscyklus. Denne proces bør sigte mod at identificere og afbøde de relevante risici ved

AI-systemer for sundheden, sikkerheden og de grundlæggende rettigheder. Risikostyringssystemet bør regelmæssigt

revideres og ajourføres for at sikre dets fortsatte effektivitet samt begrundelse og dokumentation for eventuelle

væsentlige beslutninger og tiltag, der træffes eller foretages i henhold til denne forordning. Denne proces bør sikre, at

udbyderen identificerer risici eller negative indvirkninger og gennemfører afbødende foranstaltninger for kendte og

rimeligt forudsigelige risici ved AI-systemer for sundheden, sikkerheden og de grundlæggende rettigheder i lyset af

deres tilsigtede formål og fejlanvendelse, der med rimelighed kan forudses, herunder de mulige risici som følge af

interaktionen mellem AI-systemet og det miljø, som systemet fungerer i. Risikostyringssystemet bør indføre de mest

hensigtsmæssige risikostyringsforanstaltninger i lyset af det aktuelle teknologiske niveau inden for AI. Udbyderen

bør ved identifikation af de mest hensigtsmæssige risikostyringsforanstaltninger dokumentere og forklare de valg,

der er truffet, og, hvis det er relevant, inddrage eksperter og eksterne interessenter. I forbindelse med identifikation af

fejlanvendelse, der med rimelighed kan forudses, af højrisiko-AI-systemer bør udbyderen medtage anvendelser af

AI-systemer, som, selv om de ikke er direkte omfattet af det tilsigtede formål og fastsat i brugsanvisningen, ikke desto

mindre med rimelighed kan forventes at skyldes let forudsigelig menneskelig adfærd i forbindelse med et bestemt

AI-systems specifikke karakteristika og anvendelse. Alle kendte eller forudsigelige omstændigheder, som i forbindelse

med anvendelse af højrisiko-AI-systemet i overensstemmelse med dets tilsigtede formål eller ved fejlanvendelse, der

med rimelighed kan forudses, kan medføre risici for menneskers sundhed og sikkerhed eller grundlæggende

rettigheder, bør medtages i den brugsanvisning, som leveres af udbyderen. Dette skal sikre, at idriftsætteren er

bekendt med og tager hensyn hertil, når vedkommende anvender højrisiko-AI-systemet. Identifikation og

gennemførelse af risikobegrænsende foranstaltninger for forudsigelig fejlanvendelse i henhold til denne forordning

bør ikke kræve specifikke yderligere træning for højrisiko-AI-systemet fra udbyderens side for at afhjælpe

forudsigelig fejlanvendelse. Udbyderne opfordres imidlertid til at overveje sådanne yderligere træningsforanstalt-

ninger for at afbøde fejlanvendelser, der med rimelighed kan forudses, når det er nødvendigt og hensigtsmæssigt.

(66)

Der bør gælde krav for højrisiko-AI-systemer med hensyn til risikostyring, kvaliteten og relevansen af anvendte

datasæt, teknisk dokumentation og registrering, gennemsigtighed og formidling af oplysninger til idriftsætterne,

menneskeligt tilsyn og robusthed, nøjagtighed og cybersikkerhed. Disse krav er nødvendige for effektivt at mindske

risiciene for sundhed, sikkerhed og grundlæggende rettigheder. Da ingen foranstaltninger, der er mindre

begrænsende for handelen, er tilgængelige på rimelig vis, er disse krav ikke uberettigede handelsrestriktioner.

(67)

Data af høj kvalitet og adgang til data af høj kvalitet spiller en afgørende rolle med hensyn til at skabe struktur og

sikre mange AI-systemers ydeevne, navnlig når der anvendes teknikker, der omfatter træning af modeller, så det

sikres, at højrisiko-AI-systemet yder som tilsigtet og på sikker vis og ikke bliver en kilde til forskelsbehandling, som

er forbudt i henhold til EU-retten. Datasæt af høj kvalitet til træning, validering og afprøvning kræver, at der indføres

passende former for datastyrings- og dataforvaltningspraksis. Datasæt til træning, validering og afprøvning,

herunder mærkninger, bør være relevante, tilstrækkeligt repræsentative og i videst muligt omfang fejlfrie og

fuldstændige i lyset af AI-systemets tilsigtede formål. For at lette overholdelsen af EU-databeskyttelsesretten såsom

forordning (EU) 2016/679 bør datastyrings- og -forvaltningspraksis i tilfælde af personoplysninger omfatte

gennemsigtighed med hensyn til det oprindelige formål med dataindsamlingen. Datasættene bør også have de

tilstrækkelige statistiske egenskaber, herunder med hensyn til de personer eller grupper af personer, som

højrisiko-AI-systemet er tilsigtet at blive anvendt på, med særlig vægt på afbødning af mulige bias i datasættene, som

sandsynligvis vil påvirke menneskers sundhed og sikkerhed, have en negativ indvirkning på grundlæggende

rettigheder eller føre til forskelsbehandling, der er forbudt i henhold til EU-retten, navnlig hvis dataoutput påvirker

19/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

input til fremtidige operationer (»feedbacksløjfer«). Bias kan f.eks. være en iboende del af de underliggende datasæt,

navnlig når der anvendes historiske data, eller kan genereres, når systemerne implementeres under virkelige forhold.

De resultater, der leveres af AI-systemer, kan påvirkes af sådanne iboende bias, som er tilbøjelige til gradvist at øges

og derved videreføre og forstærke eksisterende forskelsbehandling, navnlig for personer, der tilhører bestemte

sårbare grupper, herunder racemæssige eller etniske grupper. Kravet om, at datasættene så vidt muligt skal være

fuldstændige og fejlfrie, bør ikke påvirke anvendelsen af teknikker til beskyttelse af privatlivets fred i forbindelse med

udvikling og afprøvning af AI-systemer. Navnlig bør datasæt, i det omfang det er nødvendigt af hensyn til deres

tilsigtede formål, tage hensyn til de karakteristiske træk, egenskaber eller elementer, der er særlige for den specifikke

geografiske, kontekstuelle, adfærdsmæssige eller funktionelle ramme, inden for hvilken AI-systemet tiltænkes

anvendt. Kravene vedrørende datastyring kan overholdes ved at gøre brug af tredjeparter, der tilbyder certificerede

overholdelsestjenester, herunder verifikation af datastyring og datasætintegritet samt datatrænings-, validerings- og

afprøvningspraksis, for så vidt som det sikres, at datakravene i denne forordning overholdes.

(68)

Med henblik på udvikling og vurdering af højrisiko-AI-systemer bør visse aktører, som for eksempel udbydere,

bemyndigede organer og andre relevante enheder såsom europæiske digitale innovationsknudepunkter, afprøvnings-

og forsøgsfaciliteter og forskere, have adgang til og kunne anvende datasæt af høj kvalitet inden for

aktivitetsområderne for de aktører, som er relateret til denne forordning. Fælles europæiske dataområder, som

Kommissionen har oprettet, og lette af datadeling mellem virksomheder og med myndigheder i samfundets interesse

vil være afgørende for at sikre pålidelig, ansvarlig og ikkeforskelsbehandlende adgang til data af høj kvalitet til

træning, validering og afprøvning af AI-systemer. På sundhedsområdet vil det europæiske sundhedsdataområde for

eksempel lette ikkeforskelsbehandlende adgang til sundhedsdata og træning af AI-algoritmer på disse datasæt på en

måde, der beskytter privatlivets fred, er sikker, rettidig, gennemsigtig og troværdig og underlagt en passende

institutionel styring. Relevante kompetente myndigheder, herunder sektorspecifikke myndigheder, der giver eller

understøtter adgang til data, kan også understøtte tilvejebringelsen af data af høj kvalitet til træning, validering og

afprøvning af AI-systemer.

(69)

Retten til privatlivets fred og til beskyttelse af personoplysninger skal sikres i hele AI-systemets livscyklus. I den

forbindelse finder principperne om dataminimering og databeskyttelse gennem design og databeskyttelse gennem

standardindstillinger som fastsat i EU-databeskyttelsesretten anvendelse, når personoplysninger behandles.

Foranstaltninger, der træffes af udbydere for at sikre overholdelse af disse principper, kan ikke blot omfatte

anonymisering og kryptering, men også anvendelse af teknologi, der gør det muligt at overføre algoritmer til data og

opnå oplæring af AI-systemer uden overførsel mellem parterne eller kopiering af de rå eller strukturerede data, uden

at dette berører kravene til datastyring i denne forordning.

(70)

For at beskytte andres ret mod den forskelsbehandling, der kan opstå som følge af bias i AI-systemer, bør udbyderne

undtagelsesvis, i det omfang det er strengt nødvendigt for at sikre påvisning og korrektion af bias i forbindelse med

højrisiko-AI-systemer, med forbehold af passende sikkerhedsforanstaltninger for fysiske personers grundlæggende

rettigheder og friheder og efter anvendelse af alle gældende betingelser, der er fastsat i denne forordning, ud over

betingelserne i forordning (EU) 2016/679 og (EU) 2018/1725 samt direktiv (EU) 2016/680, også kunne behandle

særlige kategorier af personoplysninger som et spørgsmål af væsentlig samfundsinteresse som omhandlet i artikel 9,

stk. 2, litra g), i forordning (EU) 2016/679 og artikel 10, stk. 2, litra g), i forordning (EU) 2018/1725.

(71)

Det er afgørende, at der foreligger forståelige oplysninger om, hvordan højrisiko-AI-systemer er blevet udviklet, og

hvordan de yder i hele deres levetid for at gøre det muligt at spore disse systemer, kontrollere overholdelsen af

kravene i denne forordning samt sikre overvågning af deres operationer og overvågning efter omsætningen. Det

kræver, at der føres fortegnelser og stilles en teknisk dokumentation til rådighed, som indeholder de oplysninger, der

er nødvendige for at vurdere AI-systemets overholdelse af de relevante krav og letter overvågning efter omsætningen.

Sådanne oplysninger bør omfatte systemets generelle egenskaber, kapacitet og begrænsninger, algoritmer, data,

trænings-, afprøvnings- og valideringsprocesser samt dokumentation for det relevante risikostyringssystem og være

udarbejdet på en klar og forståelig måde. Den tekniske dokumentation skal holdes tilstrækkeligt ajour i hele

AI-systemets levetid. Højrisiko-AI-systemer bør teknisk muliggøre automatisk registrering af hændelser ved hjælp af

logfiler under systemets levetid.

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

20/144

EUT L af 12.7.2024

(72)

For at imødegå bekymringer vedrørende visse AI-systemers uigennemsigtighed og kompleksitet og hjælpe

idriftsættere med at opfylde deres forpligtelser i henhold til denne forordning bør der kræves gennemsigtighed for

højrisiko-AI-systemer, inden de bringes i omsætning eller ibrugtages. Højrisiko-AI-systemer bør udformes på en

måde, der gør det muligt for idriftsættere at forstå, hvordan AI-systemet fungerer, evaluere dets funktionalitet og

forstå dets styrker og begrænsninger. Højrisiko-AI-systemer bør ledsages af passende oplysninger i form af

brugsanvisninger. Sådanne oplysninger bør omfatte AI-systemets egenskaber, kapacitet og begrænsninger for dets

ydeevne. Disse kan omfatte oplysninger om mulige kendte og forudsigelige omstændigheder i forbindelse med

anvendelse af højrisiko-AI-systemet, herunder udbredelsestiltag, der kan påvirke systemets adfærd og ydeevne, under

hvilke AI-systemet kan medføre risici for sundhed, sikkerhed og grundlæggende rettigheder, om de ændringer, som

udbyderen på forhånd har fastlagt og vurderet med henblik på overensstemmelse, og om de relevante

foranstaltninger til menneskeligt tilsyn, herunder foranstaltninger til at lette idriftsætteres fortolkning af AI-systemets

output. Gennemsigtighed, herunder den ledsagende brugsanvisning, bør hjælpe idriftsættere med at anvende

systemet og støtte deres informerede beslutningstagning. Idriftsættere bør bl.a. være bedre i stand til at træffe det

korrekte valg af det system, de har til hensigt at anvende, i lyset af de forpligtelser, der gælder for dem, være

informeret om de tilsigtede og udelukkede anvendelser og anvende AI-systemet korrekt og som det er

hensigtsmæssigt. For at gøre oplysningerne i brugsanvisningen mere læsbare og tilgængelige, bør der, hvis det er

relevant, medtages illustrative eksempler, f.eks. om begrænsninger og om AI-systemets tilsigtede og udelukkede

anvendelser. Udbyderne bør sikre, at al dokumentation, herunder brugsanvisningen, indeholder meningsfulde,

omfattende, tilgængelige og forståelige oplysninger, der tager hensyn til behov for målgruppen af idriftsættere og

deres forventede viden. Brugsanvisningen bør stilles til rådighed på et for målgruppen af idriftsættere letforståeligt

sprog, som fastsat af den pågældende medlemsstat.

(73)

Højrisiko-AI-systemer bør udformes og udvikles på en sådan måde, at fysiske personer kan overvåge deres funktion

og sikre, at de anvendes som tilsigtet, og at deres virkninger håndteres i hele systemets livscyklus. Med henblik herpå

bør udbyderen af systemet fastlægge passende foranstaltninger til menneskeligt tilsyn, inden systemet bringes

i omsætning eller ibrugtages. Hvis det er relevant, bør sådanne foranstaltninger navnlig sikre, at systemet er

underlagt indbyggede driftsmæssige begrænsninger, som ikke kan tilsidesættes af systemet selv, og reagerer på den

menneskelige operatør, og at de fysiske personer, som har fået til opgave at varetage det menneskelige tilsyn, har den

nødvendige kompetence, uddannelse og myndighed til at varetage rollen. Det er også afgørende i relevant omfang at

sikre, at højrisiko-AI-systemer indeholder mekanismer, der kan vejlede og informere en fysisk person, som har fået

til opgave at varetage det menneskelige tilsyn, til at træffe informerede beslutninger om, hvorvidt, hvornår og

hvordan der skal gribes ind for at undgå negative konsekvenser eller risici, eller standse systemet, hvis det ikke

fungerer som tilsigtet. I betragtning af de betydelige konsekvenser for personer i tilfælde af et ukorrekt match fra

visse systemer til biometrisk identifikation er det hensigtsmæssigt at fastsætte et skærpet krav om menneskeligt tilsyn

for disse systemer, således at idriftsætteren ikke foretager tiltag eller træffer beslutninger på grundlag af den

identifikation, der er frembragt af systemet, medmindre den er blevet verificeret og bekræftet separat af mindst to

fysiske personer. Disse personer kan være fra en eller flere enheder og omfatte den person, der driver eller anvender

systemet. Dette krav bør ikke medføre unødvendige byrder eller forsinkelser, og det kan være tilstrækkeligt, at de

forskellige personers særskilte verifikationer automatisk registreres i de logfiler, der genereres af systemet.

I betragtning af de særlige forhold, der gør sig gældende inden for retshåndhævelse, migration, grænsekontrol og

asyl, bør dette krav ikke finde anvendelse, når EU-retten eller national ret anser anvendelsen af dette krav for at være

uforholdsmæssig.

(74)

Højrisiko-AI-systemer bør yde konsistent i hele deres livscyklus og have et passende niveau af nøjagtighed,

robusthed og cybersikkerhed i lyset af deres tilsigtede formål og i overensstemmelse med det generelt anerkendte

aktuelle teknologiske niveau. Kommissionen og relevante organisationer og interessenter opfordres til at tage

behørigt hensyn til afbødningen af risici og de negative indvirkninger ved AI-systemet. Det forventede niveau for

ydeevneparametre bør angives i den ledsagende brugsanvisning. Udbyderne opfordres indtrængende til at videregive

disse oplysninger til idriftsætterne på en klar og letforståelig måde uden misforståelser eller vildledende udsagn.

EU-ret om retslig metrologi, herunder Europa-Parlamentets og Rådets direktiv 2014/31/EU (

) og 2014/32/EU (

har til formål at sikre målingernes nøjagtighed og bidrage til gennemsigtighed og retfærdighed i handelstransaktioner.

I denne forbindelse bør Kommissionen, alt efter hvad der er relevant og i samarbejde med relevante interessenter og

organisationer såsom metrologi- og benchmarkingmyndigheder, tilskynde til udvikling af benchmarks og

målemetoder for AI-systemer. Kommissionen bør herved notere sig og samarbejde med internationale partnere,

der arbejder med metrologi og relevante måleindikatorer vedrørende AI.

Europa-Parlamentets og Rådets direktiv 2014/31/EU af 26. februar 2014 om harmonisering af medlemsstaternes lovgivning

vedrørende tilgængeliggørelse på markedet af ikke-automatiske vægte (EUT L 96 af 29.3.2014, s. 107).

Europa-Parlamentets og Rådets direktiv 2014/32/EU af 26. februar 2014 om harmonisering af medlemsstaternes love om

tilgængeliggørelse på markedet af måleinstrumenter (EUT L 96 af 29.3.2014, s. 149).

(

)

(

)

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

21/144

(75)

EUT L af 12.7.2024

Teknisk robusthed er et centralt krav for højrisiko-AI-systemer. De bør være modstandsdygtige i forbindelse med

skadelig eller på anden vis uønsket adfærd, der kan skyldes begrænsninger i systemerne eller det miljø, som

systemerne fungerer i (f.eks. fejl, svigt, uoverensstemmelser og uventede situationer). Der bør derfor træffes tekniske

og organisatoriske foranstaltninger for at sikre højrisiko-AI-systemers robusthed, f.eks. ved at udforme og udvikle

passende tekniske løsninger for at forebygge eller minimere denne skadelige eller på anden måde uønskede adfærd.

Disse tekniske løsninger kan f.eks. omfatte mekanismer, der gør det muligt for systemet på sikker vis at afbryde dets

drift (»fail-safe plans«), hvis der opstår visse uregelmæssigheder, eller hvis driften ligger uden for visse forudbestemte

grænser. Manglende beskyttelse mod disse risici kan have sikkerhedsmæssige konsekvenser eller en negativ

indvirkning på de grundlæggende rettigheder, f.eks. som følge af fejlagtige beslutninger eller forkerte output eller

output behæftet med bias genereret af AI-systemet.

(76)

Cybersikkerhed spiller en afgørende rolle med hensyn til at sikre, at AI-systemer er modstandsdygtige over for

ondsindede tredjeparters forsøg på at ændre deres anvendelse, adfærd eller ydeevne eller bringe deres

sikkerhedsegenskaber i fare ved at udnytte systemets sårbarheder. Cyberangreb mod AI-systemer kan udnytte

AI-specifikke aktiver såsom træningsdatasæt (f.eks. dataforgiftning) eller trænede modeller (f.eks. ondsindede angreb

eller »membership inference«) eller udnytte sårbarheder i AI-systemets digitale aktiver eller den underliggende

IKT-infrastruktur. For at sikre et cybersikkerhedsniveau, der er passende i forhold til risiciene, bør udbydere af

højrisiko-AI-systemer træffe passende foranstaltninger såsom sikkerhedskontroller, idet der også i relevant omfang

tages hensyn til den underliggende IKT-infrastruktur.

(77)

Uden at det berører de krav til robusthed og nøjagtighed, der er fastsat i denne forordning, kan

højrisiko-AI-systemer, der er omfattet af anvendelsesområdet for en forordning vedtaget af Europa-Parlamentet og

Rådet om horisontale cybersikkerhedskrav til produkter med digitale elementer, i overensstemmelse med nævnte

forordning påvise overholdelse af cybersikkerhedskravene i nærværende forordning ved at opfylde de væsentlige

cybersikkerhedskrav, der er fastsat i nævnte forordning. Når højrisiko-AI-systemer opfylder de væsentlige krav i en

forordning vedtaget af Europa-Parlamentet og Rådet om horisontale cybersikkerhedskrav til produkter med digitale

elementer, bør de anses for at overholde cybersikkerhedskravene i nærværende forordning, for så vidt opfyldelsen af

disse krav påvises ved EU-overensstemmelseserklæringen eller dele heraf udstedt i henhold til nævnte forordning.

Med henblik herpå bør vurderingen af de cybersikkerhedsrisici, der er forbundet med et produkt med digitale

elementer klassificeret som et højrisiko-AI-system i henhold til nærværende forordning, og som foretages i henhold

til en forordning vedtaget af Europa-Parlamentet og Rådet om horisontale cybersikkerhedskrav til produkter med

digitale elementer tage hensyn til risici for et AI-systems cyberrobusthed for så vidt angår uautoriserede tredjeparters

forsøg på at ændre dets anvendelse, adfærd eller ydeevne, herunder AI-specifikke sårbarheder såsom dataforgiftning

eller ondsindede angreb, samt, hvis det er relevant, risici for grundlæggende rettigheder som krævet i nærværende

forordning.

(78)

Overensstemmelsesvurderingsproceduren i denne forordning bør finde anvendelse i forbindelse med de væsentlige

cybersikkerhedskrav til et produkt med digitale elementer, der er omfattet af en forordning vedtaget af

Europa-Parlamentet og Rådet om horisontale cybersikkerhedskrav til produkter med digitale elementer og

klassificeret som et højrisiko-AI-system i henhold til nærværende forordning. Denne regel bør dog ikke resultere i en

reduktion af det nødvendige sikkerhedsniveau for kritiske produkter med digitale elementer, der er omfattet af en

forordning vedtaget af Europa-Parlamentet og Rådet om horisontale cybersikkerhedskrav til produkter med digitale

elementer. Uanset denne regel bør højrisiko-AI-systemer, der er omfattet af anvendelsesområdet for nærværende

forordning og også betragtes som vigtige og kritiske produkter med digitale elementer i henhold til en forordning

vedtaget af Europa-Parlamentet og Rådet om horisontale cybersikkerhedskrav til produkter med digitale elementer,

og som proceduren for overensstemmelsesvurdering baseret på intern kontrol fastsat i et bilag til nærværende

forordning finder anvendelse på, derfor være omfattet af bestemmelserne om overensstemmelsesvurdering i en

forordning vedtaget af Europa-Parlamentet og Rådet om horisontale cybersikkerhedskrav til produkter med digitale

elementer for så vidt angår de væsentlige cybersikkerhedskrav i nævnte forordning. I så fald bør de respektive

bestemmelser om overensstemmelsesvurdering baseret på intern kontrol, der er fastsat i et bilag til nærværende

forordning, finde anvendelse på alle de øvrige aspekter, der er omfattet af nærværende forordning. På grundlag af

ENISA's viden og ekspertise om cybersikkerhedspolitik og de opgaver, som ENISA har fået tildelt i henhold til

Europa-Parlamentets og Rådets forordning (EU) 2019/881 (

), bør Kommissionen samarbejde med ENISA om

spørgsmål vedrørende cybersikkerhed i forbindelse med AI-systemer.

Europa-Parlamentets og Rådets forordning (EU) 2019/881 af 17. april 2019 om ENISA (Den Europæiske Unions Agentur for

Cybersikkerhed), om cybersikkerhedscertificering af informations- og kommunikationsteknologi og om ophævelse af forordning

(EU) nr. 526/2013 (forordningen om cybersikkerhed) (EUT L 151 af 7.6.2019, s. 15).

(

)

22/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

(79)

Det er passende, at en bestemt fysisk eller juridisk person, defineret som udbyderen, påtager sig ansvar for

omsætningen eller ibrugtagningen af et højrisiko-AI-system, uanset om denne fysiske eller juridiske person er den

person, der har udformet eller udviklet systemet.

(80)

Unionen og alle medlemsstaterne er som underskrivere af De Forenede Nationers konvention om rettigheder for

personer med handicap juridisk forpligtede til at beskytte personer med handicap mod forskelsbehandling og

fremme deres ligestilling med henblik på at sikre, at personer med handicap har adgang på lige fod med andre til

informations- og kommunikationsteknologier og -systemer, og med henblik på at sikre respekten for personer med

handicaps privatliv. På grund af den voksende betydning og brug af AI-systemer bør anvendelsen af universelle

designprincipper på alle nye teknologier og tjenesteydelser sikre en fuldstændig og ligelig adgang for alle, der

potentielt berøres af eller benytter AI-teknologier, herunder personer med handicap, på en måde, der fuldt ud tager

hensyn til deres iboende værdighed og mangfoldighed. Det er derfor afgørende, at udbyderne sikrer fuld overholdelse

af tilgængelighedskravene, herunder Europa-Parlamentets og Rådets direktiv (EU) 2016/2102 (

) og direktiv

(EU) 2019/882. Udbyderne bør sikre overholdelsen af disse krav gennem design. Derfor bør de nødvendige

foranstaltninger så vidt muligt integreres i udformningen af højrisiko-AI-systemet.

(81)

Udbyderen bør etablere et solidt kvalitetsstyringssystem, sikre gennemførelsen af den påkrævede overensstemmel-

sesvurderingsprocedure, udarbejde den relevante dokumentation og etablere et robust system til overvågning efter

omsætningen. Udbydere af højrisiko-AI-systemer, der er underlagt forpligtelser vedrørende kvalitetsstyringssystemer

i henhold til relevant sektorspecifik EU-ret, bør have mulighed for at medtage elementerne i det kvalitetsstyrings-

system, der er fastsat i denne forordning, som en del af det eksisterende kvalitetsstyringssystem, der er fastsat i denne

anden sektorspecifikke EU-ret. Komplementariteten mellem denne forordning og eksisterende sektorspecifik EU-ret

bør også tages i betragtning i fremtidige standardiseringsaktiviteter eller retningslinjer vedtaget af Kommissionen.

Offentlige myndigheder, der ibrugtager højrisiko-AI-systemer til egen brug, kan vedtage og gennemføre reglerne for

kvalitetsstyringssystemet som en del af det kvalitetsstyringssystem, der er vedtaget på nationalt eller regionalt plan,

alt efter hvad der er relevant, under hensyntagen til de særlige forhold i sektoren og den pågældende offentlige

myndigheds kompetencer og organisation.

(82)

For at muliggøre håndhævelsen af denne forordning og skabe lige vilkår for operatørerne og under hensyntagen til

de forskellige former for tilgængeliggørelse af digitale produkter er det vigtigt at sikre, at en person, der er etableret

i Unionen, under alle omstændigheder kan give myndighederne alle de nødvendige oplysninger om et AI-systems

overensstemmelse med reglerne. Udbydere, der er etableret i tredjelande, bør, inden deres AI-systemer gøres

tilgængelige i Unionen, derfor ved skriftligt mandat udpege en bemyndiget repræsentant, der er etableret i Unionen.

Denne bemyndigede repræsentant spiller en central rolle med hensyn til at sikre, at højrisiko-AI-systemer, der

bringes i omsætning eller ibrugtages i Unionen af disse udbydere, der ikke er etableret i Unionen, overholder

kravene, og som deres kontaktperson i Unionen.

(83)

I lyset af arten og kompleksiteten af værdikæden for AI-systemer og i overensstemmelse med den nye

lovgivningsmæssige ramme er det vigtigt at sikre retssikkerheden og lette overholdelsen af denne forordning. Det er

derfor nødvendigt at præcisere den rolle og de specifikke forpligtelser, der påhviler relevante operatører i denne

værdikæde såsom importører og distributører, der kan bidrage til udviklingen af AI-systemer. I visse situationer kan

disse operatører optræde i mere end én rolle på samme tid og bør derfor kumulativt opfylde alle relevante

forpligtelser, der er forbundet med disse roller. F.eks. kan en operatør fungere som distributør og importør på

samme tid.

(84)

For at sikre retssikkerheden er det nødvendigt at præcisere, at enhver distributør, importør, idriftsætter eller anden

tredjepart under visse særlige omstændigheder bør betragtes som udbyder af et højrisiko-AI-system og derfor påtage

sig alle de relevante forpligtelser. Dette vil være tilfældet, hvis den pågældende part anbringer sit navn eller

varemærke på et højrisiko-AI-system, der allerede er bragt i omsætning eller ibrugtaget, uden at det berører

kontraktlige ordninger om, at forpligtelserne er fordelt anderledes. Dette vil også være tilfældet, hvis den pågældende

part foretager en væsentlig ændring af et højrisiko-AI-system, der allerede er bragt i omsætning eller allerede er

ibrugtaget på en sådan måde, at det forbliver et højrisiko-AI-system i overensstemmelse med denne forordning, eller

hvis denne ændrer det tilsigtede formål med et AI-system, herunder et AI-system til almen brug, der ikke er blevet

klassificeret som højrisiko, og som allerede er bragt i omsætning eller ibrugtaget, på en sådan måde, at AI-systemet

bliver et højrisiko-AI-system i overensstemmelse med denne forordning. Disse bestemmelser bør finde anvendelse,

uden at det berører mere specifikke bestemmelser, der er fastsat i særlig EU-harmoniseringslovgivning baseret på den

nye lovgivningsmæssige ramme, som denne forordning bør finde anvendelse sammen med. F.eks. bør artikel 16,

Europa-Parlamentets og Rådets direktiv (EU) 2016/2102 af 26. oktober 2016 om tilgængeligheden af offentlige organers websteder

og mobilapplikationer (EUT L 327 af 2.12.2016, s. 1).

(

)

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

23/144

EUT L af 12.7.2024

stk. 2, i forordning (EU) 2017/745, der fastsætter, at visse ændringer ikke bør betragtes som ændringer af udstyr, der

kan påvirke dets overholdelse af gældende krav, fortsat finde anvendelse på højrisiko-AI-systemer, der er medicinsk

udstyr som omhandlet i nævnte forordning.

(85)

AI-systemer til almen brug kan anvendes som højrisiko-AI-systemer i sig selv eller som komponenter i andre

højrisiko-AI-systemer. Derfor bør udbydere af sådanne systemer på grund af deres særlige karakter og for at sikre en

rimelig ansvarsfordeling i hele AI-værdikæden, uanset om de kan anvendes som højrisiko-AI-systemer som sådan af

andre udbydere eller som komponenter i højrisiko-AI-systemer, og medmindre andet er fastsat i denne forordning,

arbejde tæt sammen med udbyderne af de relevante højrisiko-AI-systemer, så de kan overholde de relevante

forpligtelser i henhold til denne forordning og med de kompetente myndigheder, der er fastsat i henhold til denne

forordning.

(86)

Hvis den udbyder, der oprindeligt bragte AI-systemet i omsætning eller ibrugtog det, på de betingelser, der er fastsat

i denne forordning, ikke længere bør anses for at være udbyder i denne forordnings forstand, og når denne udbyder

ikke udtrykkeligt har udelukket ændringen af AI-systemet til et højrisiko-AI-system, bør den tidligere udbyder ikke

desto mindre arbejde tæt sammen og stille de nødvendige oplysninger til rådighed og give den tekniske adgang og

anden bistand, som med rimelighed kan forventes, og som kræves for at opfylde forpligtelserne i denne forordning,

navnlig hvad angår overholdelse af overensstemmelsesvurderingen af højrisiko-AI-systemer.

(87)

Hvis et højrisiko-AI-system, som er en sikkerhedskomponent i et produkt, der er omfattet af anvendelsesområdet for

EU-harmoniseringslovgivning baseret på den nye lovgivningsmæssige ramme, desuden ikke bringes i omsætning

eller ibrugtages uafhængigt af produktet, bør producenten af produktet defineret i den pågældende lovgivning

overholde de forpligtelser, der påhviler udbyderen i henhold til denne forordning, og bør navnlig sikre, at det

AI-system, der er indlejret i slutproduktet, overholder kravene i denne forordning.

(88)

I AI-værdikæden leverer flere parter ofte AI-systemer, værktøjer og tjenester, men også komponenter eller processer,

som udbyderen indarbejder i AI-systemet til forskellige formål, herunder modeltræning, fornyet modeltræning,

modelafprøvning og -evaluering, integration i software eller andre aspekter af modeludvikling. Disse parter spiller en

vigtig rolle i værdikæden over for udbyderen af det højrisiko-AI-system, som deres AI-systemer, værktøjer, tjenester,

komponenter eller processer er integreret i, og bør ved skriftlig aftale give denne udbyder den nødvendige

information, kapacitet, tekniske adgang og anden bistand på grundlag af det generelt anerkendte aktuelle

teknologiske niveau, således at udbyderen er i stand til fuldt ud at overholde forpligtelserne i denne forordning uden

at bringe deres egne intellektuelle ejendomsrettigheder eller forretningshemmeligheder i fare.

(89)

Tredjeparter, der gør andre værktøjer, tjenester, processer eller AI-komponenter tilgængelige for offentligheden end

AI-modeller til almen brug, bør ikke være forpligtet til at overholde krav rettet mod ansvar i hele AI-værdikæden,

navnlig mod den udbyder, der har anvendt eller integreret dem, når disse værktøjer, tjenester, processer eller

AI-komponenter gøres tilgængelige i henhold til en gratis open source-licens. Udviklere af andre gratis open

source-værktøjer, -tjenester, -processer eller -AI-komponenter end AI-modeller til almen brug bør dog tilskyndes til

at gennemføre bredt indførte former for dokumentationspraksis såsom modelkort og datablade som en måde at

fremskynde informationsdeling i hele AI-værdikæden på og derved fremme troværdige AI-systemer i Unionen.

(90)

Kommissionen kan udvikle og anbefale frivillige standardaftalevilkår mellem udbydere af højrisiko-AI-systemer og

tredjeparter, der leverer værktøjer, tjenester, komponenter eller processer, som anvendes eller integreres

i højrisiko-AI-systemer, for at lette samarbejdet i hele værdikæden. Når Kommissionen udarbejder frivillige

standardaftalevilkår, tager den også hensyn til eventuelle kontraktlige krav, der gælder i specifikke sektorer eller

forretningsscenarier.

(91)

I betragtning af AI-systemers karakter og de risici for sikkerheden og de grundlæggende rettigheder, der kan være

forbundet med deres anvendelse, herunder behovet for at sikre korrekt overvågning af et AI-systems ydeevne

i virkelige rammer, bør der fastsættes specifikke ansvarsområder for idriftsættere. Idriftsættere bør navnlig træffe

passende tekniske og organisatoriske foranstaltninger for at sikre, at de anvender højrisiko-AI-systemer

i overensstemmelse med brugsanvisningen, og der bør fastsættes visse andre forpligtelser med hensyn til

overvågning af AI-systemernes funktion og med hensyn til registrering, alt efter hvad der er relevant. Idriftsættere

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

24/144

EUT L af 12.7.2024

bør desuden sikre, at de personer, som har fået til opgave at gennemføre brugsanvisningen og det menneskelige

tilsyn som fastsat i denne forordning, har den nødvendige kompetence, navnlig et passende niveau af AI-færdigheder,

-træning og -myndighed til at udføre disse opgaver korrekt. Disse forpligtelser bør ikke berøre andre af

idriftsætterens forpligtelser i forbindelse med højrisiko-AI-systemer i henhold til EU-retten eller national ret.

(92)

Denne forordning berører ikke arbejdsgivernes forpligtelser til at informere eller høre arbejdstagerne eller deres

repræsentanter i henhold til EU-retten og EU-praksis eller national ret og praksis, herunder Europa-Parlamentets og

Rådets direktiv 2002/14/EF (

), om beslutninger om at ibrugtage eller anvende AI-systemer. Det er fortsat

nødvendigt at sikre, at arbejdstagerne og deres repræsentanter informeres om den planlagte idriftsættelse af

højrisiko-AI-systemer på arbejdspladsen, hvis betingelserne for disse informations- eller informations- og

høringsforpligtelser i andre retlige instrumenter ikke er opfyldt. En sådan ret til information er desuden accessorisk

og nødvendig i forhold til målet om at beskytte de grundlæggende rettigheder, der ligger til grund for denne

forordning. Der bør derfor fastsættes et informationskrav med henblik herpå i denne forordning, uden at det berører

arbejdstagernes eksisterende rettigheder.

(93)

Risici i forbindelse med AI-systemer kan være resultatet af den måde, sådanne systemer er udformet på, men risici

kan også stamme fra måden, hvorpå sådanne AI-systemer anvendes. Idriftsættere af højrisiko-AI-systemer spiller

derfor en afgørende rolle i at sikre, at de grundlæggende rettigheder beskyttes og i at supplere udbyderens

forpligtelser i forbindelse med udviklingen af AI-systemet. Idriftsætterne er bedst i stand til at forstå, hvordan

højrisiko-AI-systemet vil blive anvendt konkret, og kan derfor afdække potentielle risici, der ikke var forudset

i udviklingsfasen, takket være et mere præcist kendskab til anvendelseskonteksten, de personer eller grupper af

personer, der kan blive berørt, herunder sårbare grupper. Idriftsættere af de højrisiko-AI-systemer, der er opført i et

bilag til denne forordning, spiller også en afgørende rolle med hensyn til at informere fysiske personer og bør, når de

træffer beslutninger eller bistår med at træffe beslutninger vedrørende fysiske personer, om nødvendigt underrette de

fysiske personer om, at de er omfattet af anvendelsen af højrisiko-AI-systemet. Disse oplysninger bør omfatte det

tilsigtede formål og typen af beslutninger, det træffer. Idriftsætteren bør ligeledes oplyse de fysiske personer om deres

ret til en forklaring som fastsat i denne forordning. For så vidt angår højrisiko-AI-systemer, der anvendes til

retshåndhævelsesformål, bør denne forpligtelse gennemføres i overensstemmelse med artikel 13 i direktiv

(EU) 2016/680.

(94)

Enhver behandling af biometriske data, der indgår i anvendelsen af AI-systemer til biometrisk identifikation med

henblik på retshåndhævelse, skal overholde artikel 10 i direktiv (EU) 2016/680, som kun tillader en sådan

behandling, når det er strengt nødvendigt, forudsat at behandlingen er omfattet af de fornødne sikker-

hedsforanstaltninger for den registreredes rettigheder og frihedsrettigheder, og hvis hjemlet i EU-retten eller

medlemsstaternes nationale ret. En sådan anvendelse skal, når den er tilladt, også overholde principperne i artikel 4,

stk. 1, i direktiv (EU) 2016/680, herunder lovlighed, rimelighed og gennemsigtighed, formålsbegrænsning, rigtighed

og begrænsning af opbevaring.

(95)

Uden at det berører gældende EU-ret, navnlig forordning (EU) 2016/679 og direktiv (EU) 2016/680, bør brugen af

systemer til efterfølgende biometrisk fjernidentifikation, i betragtning af den indgribende karakter af systemer til

efterfølgende biometrisk fjernidentifikation, være underlagt sikkerhedsforanstaltninger. Systemer til efterfølgende

biometrisk fjernidentifikation bør altid anvendes på en måde, der er forholdsmæssig, legitim og strengt nødvendig,

og dermed, for så vidt angår de personer, der skal identificeres, være målrettet stedet og den tidsmæssige rækkevidde

og være baseret på et lukket datasæt af lovligt erhvervede videooptagelser. Under alle omstændigheder bør systemer

til efterfølgende biometrisk fjernidentifikation ikke anvendes inden for retshåndhævelse til at føre vilkårlig

overvågning. Betingelserne for efterfølgende biometrisk fjernidentifikation bør under alle omstændigheder ikke

danne grundlag for at omgå betingelserne for forbuddet mod og de strenge undtagelser for biometrisk

fjernidentifikation i realtid.

(96)

For effektivt at sikre, at de grundlæggende rettigheder beskyttes, bør idriftsættere af højrisiko-AI-systemer, der er

offentligretlige organer, eller private enheder, der leverer offentlige tjenester, og idriftsættere af visse

højrisiko-AI-systemer, der er opført i et bilag til denne forordning, såsom banker eller forsikringsselskaber, foretage

en konsekvensanalyse vedrørende grundlæggende rettigheder inden ibrugtagning. Tjenester, der er vigtige for

enkeltpersoner, og som er af offentlig karakter, kan også leveres af private enheder. Private enheder, der leverer

sådanne offentlige tjenester, er knyttet til samfundsnyttige opgaver såsom. inden for uddannelse, sundhedspleje,

sociale tjenester, boliger og retspleje. Formålet med konsekvensanalysen vedrørende grundlæggende rettigheder er, at

idriftsætteren skal identificere de specifikke risici for rettighederne for enkeltpersoner eller grupper af enkeltpersoner,

der sandsynligvis vil blive berørt, og identificere de foranstaltninger, der skal træffes, hvis disse risici skulle opstå.

Europa-Parlamentets og Rådets direktiv2002/14/EF af 11. marts 2002 om indførelse af en generel ramme for information og høring

af arbejdstagerne i Det Europæiske Fællesskab (EFT L 80 af 23.3.2002, s. 29).

(

)

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

25/144

EUT L af 12.7.2024

Konsekvensanalysen bør udføres før idriftsættelse af højrisiko-AI-systemet og bør ajourføres, når idriftsætteren

vurderer, at de relevante faktorer har ændret sig. Konsekvensanalysen bør identificere idriftsætterens relevante

processer, i hvilke højrisiko-AI-systemet vil blive anvendt i overensstemmelse med dets tilsigtede formål, og bør

indeholde en beskrivelse af den periode og hyppighed, hvori systemet tilsigtes anvendt, samt af specifikke kategorier

af fysiske personer og grupper, der sandsynligvis vil blive berørt i den specifikke anvendelsessammenhæng. Analysen

bør også omfatte kortlægning af specifikke risici for skade, der sandsynligvis vil påvirke disse personers eller

gruppers grundlæggende rettigheder. I forbindelse med denne analyse bør idriftsætteren tage hensyn til oplysninger,

der er relevante for en korrekt analyse af konsekvenser, herunder, men ikke begrænset til, de oplysninger, som

udbyderen af højrisiko-AI-systemet giver i brugsanvisningen. I lyset af de kortlagte risici bør idriftsætteren afgøre,

hvilke foranstaltninger der skal træffes, hvis disse risici skulle opstå, herunder f.eks. ledelsesordninger i den specifikke

anvendelsessammenhæng, såsom ordninger for menneskeligt tilsyn i henhold til brugsanvisningen eller

klagebehandlings- og erstatningsprocedurer, da de kan bidrage til at afbøde risici for grundlæggende rettigheder

i konkrete anvendelsestilfælde. Efter at have foretaget denne konsekvensanalyse bør idriftsætteren underrette den

relevante markedsovervågningsmyndighed. For at indsamle de relevante oplysninger, der er nødvendige for at

foretage konsekvensanalysen, kan idriftsættere af højrisiko-AI-systemer, navnlig når AI-systemer anvendes i den

offentlige sektor, inddrage relevante interessenter, herunder repræsentanter for grupper af personer, der sandsynligvis

vil blive berørt af AI-systemet, uafhængige eksperter og civilsamfundsorganisationer i gennemførelsen af sådanne

konsekvensanalyser og udformningen af foranstaltninger, der skal træffes, hvis risiciene opstår. Det Europæiske

Kontor for Kunstig Intelligens (»AI-kontoret«) bør udvikle en skabelon til et spørgeskema for at lette overholdelsen og

mindske den administrative byrde for idriftsættere.

(97)

Begrebet AI-modeller til almen brug bør af hensyn til retssikkerheden defineres klart og adskilles fra begrebet

AI-systemer. Definitionen bør baseres på de vigtigste funktionelle karakteristika ved en AI-model til almen brug,

navnlig generaliteten og kapaciteten til med kompetence at udføre en lang række forskellige opgaver. Disse modeller

trænes typisk med store mængder data ved hjælp af forskellige metoder såsom ved selvovervåget, ikkeovervåget eller

forstærket læring. AI-modeller til almen brug kan bringes i omsætning på forskellige måder, herunder via biblioteker

eller programmeringsgrænseflader for applikationer (API'er), som direkte download eller som fysisk kopi. Disse

modeller kan ændres yderligere eller finjusteres til nye modeller. Selv om AI-modeller er væsentlige komponenter

i AI-systemer, udgør de ikke i sig selv AI-systemer. AI-modeller kræver, at der tilføjes yderligere komponenter, f.eks.

en brugergrænseflade, for at blive til AI-systemer. AI-modeller er typisk integreret i og udgør en del af AI-systemer.

Denne forordning fastsætter specifikke regler for AI-modeller til almen brug og for AI-modeller til almen brug, der

udgør systemiske risici, som også bør finde anvendelse, når disse modeller integreres eller indgår i et AI-system. Det

forudsættes, at forpligtelserne for udbydere af AI-modeller til almen brug bør finde anvendelse, når AI-modellerne til

almen brug er bragt i omsætning.Når udbyderen af en AI-model til almen brug integrerer en egen model i sit eget

AI-system, der gøres tilgængeligt på markedet eller ibrugtages, bør den pågældende model betragtes som at være

bragt i omsætning, og derfor bør forpligtelserne i denne forordning for modeller fortsat finde anvendelse foruden

forpligtelserne for AI-systemer. De forpligtelser, der er fastsat for modeller, bør under alle omstændigheder ikke finde

anvendelse, når en egen model anvendes til rent interne processer, som ikke er væsentlige for leveringen af et

produkt eller en tjeneste til tredjeparter, og fysiske personers rettigheder ikke berøres. I betragtning af deres potentielt

væsentlige negative virkninger bør AI-modeller til almen brug med systemisk risiko altid være underlagt de relevante

forpligtelser i henhold til denne forordning. Definitionen bør ikke omfatte AI-modeller, der anvendes, inden de

bringes i omsætning, udelukkende med henblik på forsknings-, udviklings- og prototypeaktiviteter. Dette berører

ikke forpligtelsen til at overholde denne forordning, når en model bringes i omsætning efter sådanne aktiviteter.

(98)

Mens en models generalitet blandt andet også kan bestemmes af en række parametre, bør modeller med mindst en

milliard parametre, og som er trænet med en stor mængde data ved hjælp af selvovervågning, i stor skala betragtes

som at udvise betydelig generalitet og kompetence til at udføre en lang række forskellige opgaver.

(99)

Store generative AI-modeller er et typisk eksempel på en AI-model til almen brug, da de giver mulighed for fleksibel

generering af indhold, f.eks. i form af tekst, lyd, billeder eller video, der let kan tilpasses en lang række forskellige

opgaver.

(100)

Hvis en AI-model til almen brug integreres i eller udgør en del af et AI-system, bør dette system betragtes som at

være et AI-system til almen brug, når dette system som følge af denne integration har kapacitet til at tjene en række

forskellige formål. Et AI-system til almen brug kan anvendes direkte, eller det kan integreres i andre AI-systemer.

26/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

(101)

Udbydere af AI-modeller til almen brug har en særlig rolle og et særligt ansvar i AI-værdikæden, da de modeller, de

leverer, kan danne grundlag for en række downstreamsystemer, der ofte leveres af downstreamudbydere, og som

kræver en god forståelse af modellerne og deres kapacitet, både for at gøre det muligt at integrere sådanne modeller

i deres produkter og for at opfylde deres forpligtelser i henhold til denne eller andre forordninger. Der bør derfor

fastsættes forholdsmæssige gennemsigtighedsforanstaltninger, herunder udarbejdelse og ajourføring af dokumenta-

tion og formidling af oplysninger om AI-modellen til almen brug med henblik på downstreamudbydernes

anvendelse heraf. Den tekniske dokumentation bør udarbejdes og ajourføres af udbyderen af AI-modellen til almen

brug med henblik på efter anmodning at stille den til rådighed for AI-kontoret og de nationale kompetente

myndigheder. Minimumssættet af elementer, der skal medtages i sådan dokumentation, bør fastsættes i særlige bilag

til denne forordning. Kommissionen bør have beføjelse til at ændre disse bilag ved hjælp af delegerede retsakter

i lyset af den teknologiske udvikling.

(102)

Software og data, herunder modeller frigivet i henhold til en gratis open source-licens, der gør det muligt at dele dem

åbent, og hvor brugerne frit kan få adgang til, anvende, ændre og videregive dem eller ændrede versioner heraf, kan

bidrage til forskning og innovation på markedet og skabe betydelige vækstmuligheder for Unionens økonomi.

AI-modeller til almen brug, som er frigivet i henhold til gratis open source-licenser, bør betragtes som at sikre en høj

grad af gennemsigtighed og åbenhed, hvis deres parametre, herunder vægtene, oplysningerne om modelarkitekturen

og oplysningerne om modelanvendelsen, gøres offentligt tilgængelige. Licensen bør også betragtes som gratis og

open source, når den giver brugerne mulighed for at køre, kopiere, distribuere, undersøge, ændre og forbedre

software og data, herunder modeller, forudsat at den oprindelige udbyder af modellen krediteres, og at de identiske

eller sammenlignelige distributionsvilkår overholdes.

(103)

Gratis open source-AI-komponenter omfatter software og data, herunder modeller og AI-modeller til almen brug,

værktøjer, tjenester eller processer i et AI-system. Gratis open source-AI-komponenter kan leveres gennem

forskellige kanaler, herunder deres udvikling i åbne databaser. Med henblik på denne forordning bør

AI-komponenter, der leveres mod en pris, eller som der på anden vis tjenes penge på, herunder gennem levering

af teknisk støtte eller andre tjenester, bl.a. gennem en softwareplatform, i forbindelse med AI-komponenten, eller

anvendelse af personoplysninger af andre årsager end udelukkende for at forbedre softwarens sikkerhed,

kompatibilitet eller interoperabilitet, med undtagelse af transaktioner mellem mikrovirksomheder, ikke være

omfattet af undtagelserne for gratis open source-AI-komponenter. Det forhold, at AI-komponenter stilles til rådighed

gennem åbne databaser, bør ikke i sig selv udgøre en monetarisering.

(104)

Udbydere af AI-modeller til almen brug, der frigives i henhold til en gratis open source-licens, og hvis parametre,

herunder vægtene, oplysningerne om modelarkitekturen og oplysningerne om modelanvendelsen, gøres offentligt

tilgængelige, bør være omfattet af undtagelser for så vidt angår de krav om gennemsigtighed, der stilles til

AI-modeller til almen brug, medmindre de kan anses for at udgøre en systemisk risiko, i hvilket tilfælde det forhold,

at modellen er gennemsigtig og ledsaget af en open source-licens, ikke bør betragtes som tilstrækkelig grund til at

udelukke, at forpligtelserne i henhold til denne forordning overholdes. I betragtning af at frigivelsen af AI-modeller

til almen brug i henhold til en gratis open source-licens ikke nødvendigvis afslører væsentlige oplysninger om det

datasæt, der anvendes til træning eller finjustering af modellen, og om hvordan overholdelsen af ophavsretten derved

blev sikret, bør undtagelsen for AI-modeller til almen brug fra overholdelse af krav om gennemsigtighed under alle

omstændigheder ikke vedrøre forpligtelsen til at udarbejde en sammenfatning af det indhold, der anvendes til

modeltræning, og forpligtelsen til at indføre en politik, der overholder EU-retten om ophavsret, navnlig med hensyn

til at identificere og overholde forbeholdet af rettigheder i henhold til artikel 4, stk. 3, i Europa-Parlamentets og

Rådets direktiv (EU) 2019/790 (

(105)

AI-modeller til almen brug, navnlig store generative AI-modeller, der kan generere tekst, billeder og andet indhold,

giver unikke innovationsmuligheder, men også udfordringer for kunstnere, forfattere og andre skabere og den måde,

hvorpå deres kreative indhold skabes, distribueres, anvendes og forbruges. Udviklingen og træningen af sådanne

modeller kræver adgang til store mængder tekst, billeder, videoer og andre data. Tekst- og dataminingteknikker kan

anvendes i vid udstrækning i denne forbindelse til søgning og analyse af sådant indhold, som kan være beskyttet af

ophavsret og beslægtede rettigheder. Enhver anvendelse af ophavsretligt beskyttet indhold kræver tilladelse fra den

pågældende rettighedshaver, medmindre der gælder relevante undtagelser og indskrænkninger i ophavsretten.

Direktiv (EU) 2019/790 indførte undtagelser og indskrænkninger, der tillader reproduktion og udtræk af værker eller

andre frembringelser med henblik på tekst- og datamining på visse betingelser. I henhold til disse regler kan

(

)

Europa-Parlamentets og Rådets direktiv (EU) 2019/790 af 17. april 2019 om ophavsret og beslægtede rettigheder på det digitale

indre marked og om ændring af direktiv 96/9/EF og 2001/29/EF (EUT L 130 af 17.5.2019, s. 92).

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

27/144

EUT L af 12.7.2024

rettighedshavere vælge at forbeholde deres rettigheder til deres værker eller andre frembringelser for at forhindre

tekst- og datamining, medmindre dette sker med henblik på videnskabelig forskning. Hvis retten til fravalg

udtrykkeligt er blevet forbeholdt på passende vis, skal udbydere af AI-modeller til almen brug indhente en tilladelse

fra rettighedshaverne, hvis de ønsker at udføre tekst- og datamining i forbindelse med sådanne værker.

(106)

Udbydere, der bringer AI-modeller til almen brug i omsætning på EU-markedet, bør sikre overholdelse af de

relevante forpligtelser i denne forordning. Med henblik herpå bør udbydere af AI-modeller til almen brug indføre en

politik, der overholder EU-retten om ophavsret og beslægtede rettigheder, navnlig med hensyn til at identificere og

overholde det forbehold af rettigheder, som rettighedshaverne har givet udtryk for i henhold til artikel 4, stk. 3,

i direktiv (EU) 2019/790. Enhver udbyder, der bringer en AI-model til almen brug i omsætning på EU-markedet, bør

overholde denne forpligtelse, uanset i hvilken jurisdiktion de ophavsretligt relevante handlinger, der ligger til grund

for træningen af disse AI-modeller til almen brug, finder sted. Dette er nødvendigt for at sikre lige vilkår for udbydere

af AI-modeller til almen brug, da ingen udbyder bør kunne opnå en konkurrencemæssig fordel på EU-markedet ved

at anvende lavere ophavsretlige standarder end dem, der er fastsat i Unionen.

(107)

For at øge gennemsigtigheden af de data, der anvendes i forbindelse med forhåndstræning og træning af AI-modeller

til almen brug, herunder tekst og data, der er beskyttet af ophavsret, er det tilstrækkeligt, at udbydere af sådanne

modeller udarbejder og offentliggør en tilstrækkeligt detaljeret sammenfatning af det indhold, der anvendes til

træning af AI-modellen til almen brug. Under behørig hensyntagen til behovet for at beskytte forretningshemme-

ligheder og fortrolige forretningsoplysninger bør denne sammenfatning generelt have et bredt anvendelsesområde

i stedet for at være teknisk detaljeret, så det bliver lettere for parter med legitime interesser, herunder indehavere af

ophavsret, at udøve og håndhæve deres rettigheder i henhold til EU-retten, f.eks. ved at opregne de vigtigste

datasamlinger eller datasæt, der er gået til at træne modellen, såsom store private eller offentlige databaser eller

dataarkiver, og ved at give en beskrivende redegørelse for andre anvendte datakilder. Det er hensigtsmæssigt, at

AI-kontoret tilvejebringer en skabelon for sammenfatningen, som bør være enkel og effektiv, og giver udbyderen

mulighed for at fremsende den krævede sammenfatning i beskrivende tekst.

(108)

Hvad angår de forpligtelser, der pålægges udbydere af AI-modeller til almen brug, til at indføre en politik med

henblik på at overholde EU-retten om ophavsret og offentliggøre en sammenfatning af det indhold, der anvendes til

træningen, bør AI-kontoret overvåge, om udbyderen har opfyldt disse forpligtelser uden at verificere eller vurdere

træningsdataene for hvert enkelt værk med hensyn til overholdelse af ophavsretten. Denne forordning berører ikke

håndhævelsen af ophavsretsreglerne som fastsat i EU-retten.

(109)

Overholdelsen af de forpligtelser, der gælder for udbydere af AI-modeller til almen brug, bør stå i et rimeligt forhold

til og være proportionalt med typen af modeludbyder, bortset fra behovet for overholdelse for personer, der udvikler

eller anvender modeller til ikkeprofessionelle eller videnskabelige forskningsformål, og som ikke desto mindre bør

tilskyndes til frivilligt at overholde disse krav. Uden at det berører EU-retten om ophavsret, bør der ved overholdelsen

af disse forpligtelser tages behørigt hensyn til udbyderens størrelse, og SMV'er, herunder iværksættervirksomheder,

bør have mulighed for forenklede måder at overholde reglerne på, som ikke bør indebære uforholdsmæssigt store

omkostninger og ikke modvirke anvendelsen af sådanne modeller. I tilfælde af en ændring eller finjustering af en

model bør forpligtelserne for udbydere af AI-modeller til almen brug begrænses til denne ændring eller finjustering,

f.eks. ved at supplere den allerede eksisterende tekniske dokumentation med oplysninger om ændringerne, herunder

nye træningsdatakilder, som et middel til at overholde værdikædeforpligtelserne i denne forordning.

(110)

AI-modeller til almen brug kan udgøre systemiske risici, som omfatter, men ikke er begrænset til, faktiske negative

virkninger, der med rimelighed kan forudses, i forbindelse med større ulykker, forstyrrelser i kritiske sektorer og

alvorlige konsekvenser for folkesundheden og sikkerheden, enhver faktisk negativ virkning, der med rimelighed kan

forudses, for demokratiske processer, offentlig og økonomisk sikkerhed samt formidling af ulovligt, falsk eller

forskelsbehandlende indhold. Det skal forstås sådan, at systemiske risici øges med modelkapaciteter og

modelrækkevidde, kan opstå i hele modellens livscyklus og påvirkes af betingelser for misbrug, modelpålidelighed,

modelrimelighed og modelsikkerhed, graden af modellens autonomi, dens adgang til værktøjer, nye eller

28/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

kombinerede metoder, frigivelses- og distributionsstrategier, potentialet til at fjerne beskyttelsesforanstaltninger og

andre faktorer. Navnlig har internationale tilgange hidtil vist, at det er nødvendigt at være opmærksom på risici fra

potentielt bevidst misbrug eller utilsigtede problemer med kontrol i forbindelse med tilpasning til menneskelig

hensigt, kemiske, biologiske, radiologiske og nukleare risici, f.eks. hvordan adgangsbarrierer kan sænkes, herunder

for udvikling, erhvervelse eller anvendelse af våben, offensive cyberkapaciteter, f.eks. hvordan metoder til opdagelse,

udnyttelse eller operationel brug af sårbarheder kan muliggøres, virkningerne af interaktion og brug af værktøjer,

herunder f.eks. kapaciteten til at kontrollere fysiske systemer og gribe ind i kritisk infrastruktur, risici fra modeller,

der fremstiller kopier af sig selv eller bliver »selvkopierende« eller træner andre modeller, hvordan modeller kan

medføre skadelig bias og forskelsbehandling med risici for enkeltpersoner, lokalsamfund eller samfund, lettelse af

desinformation eller krænkelse af privatlivets fred med trusler mod demokratiske værdier og menneskerettighederne

samt risiko for, at en bestemt hændelse kan skabe en kædereaktion med betydelige negative virkninger, der kan

påvirke en hel by, en hel domæneaktivitet eller et helt fællesskab.

(111)

Der bør fastlægges en metode til klassificering af AI-modeller til almen brug som AI-modeller til almen brug med

systemiske risici. Da systemiske risici skyldes særlig høj kapacitet, bør en AI-model til almen brug betragtes som at

udgøre systemiske risici, hvis de har kapaciteter med stor virkning, vurderet på grundlag af passende tekniske

værktøjer og metoder, eller en betydelig indvirkning på det indre marked på grund af dens omfang. Ved kapaciteter

med stor virkning i AI-modeller til almen brug forstås kapaciteter, som svarer til eller overstiger de kapaciteter, der er

registreret i de mest avancerede AI-modeller til almen brug. Hele spektret af kapaciteter i en model kan bedre forstås,

efter at den er blevet bragt i omsætning på markedet, eller når idriftsætterne interagerer med modellen. Ifølge det

aktuelle teknologiske niveau på tidspunktet for denne forordnings ikrafttræden er den kumulerede mængde

beregningskraft, der anvendes til træning af AI-modellen til almen brug, målt i flydende kommatalsberegninger, en af

de relevante tilnærmelser for modelkapaciteter. Den kumulerede mængde beregningskraft, der anvendes til træning,

omfatter den beregningskraft, der anvendes på tværs af de aktiviteter og metoder, der er tilsigtet at forbedre

modellens kapaciteter forud for idriftsættelsen, såsom forhåndstræning, generering af syntetiske data og finjustering.

Der bør derfor fastsættes en foreløbig tærskel for flydende kommatalsberegninger, som, hvis den opnås af en

AI-model til almen brug, fører til en formodning om, at modellen er en AI-model til almen brug med systemiske

risici. Denne tærskel bør justeres over tid for at afspejle teknologiske og industrielle ændringer såsom algoritmiske

forbedringer eller øget hardwareeffektivitet og bør suppleres med benchmarks og indikatorer for modelkapacitet.For

at kvalificere dette bør AI-kontoret samarbejde med det videnskabelige samfund, industrien, civilsamfundet og andre

eksperter. Tærskler samt værktøjer og benchmarks til vurdering af kapaciteter med stor virkning bør være stærke

forudsigelsesfaktorer for generaliteten, kapaciteterne og den dermed forbundne systemiske risiko ved AI-modeller til

almen brug og kan tage hensyn til måden, hvorpå modellen vil blive bragt i omsætning, eller antallet af brugere, den

kan påvirke. For at supplere dette system bør Kommissionen have mulighed for at træffe individuelle beslutninger

om, at en AI-model til almen brug udpeges som en AI-model til almen brug med systemisk risiko, hvis det

konstateres, at en sådan model har samme kapaciteter eller en virkning som dem, der fremgår af den fastsatte tærskel.

Denne beslutning bør træffes på grundlag af en samlet vurdering af kriterierne for udpegelse af en AI-model til

almen brug med systemisk risiko, der er fastsat i et bilag til denne forordning, såsom kvaliteten eller størrelsen af

træningsdatasættet, antallet af virksomheds- og slutbrugere, dens input- og outputmetoder, dens grad af autonomi

og skalerbarhed eller de værktøjer, den har adgang til. Efter en begrundet anmodning fra en udbyder, hvis model er

blevet udpeget som en AI-model til almen brug med systemisk risiko, bør Kommissionen tage hensyn til

anmodningen og kan beslutte på ny at vurdere, om AI-modellen til almen brug stadig kan anses for at frembyde

systemiske risici.

(112)

Det er også nødvendigt at klargøre en procedure til klassificering af en AI-model til almen brug med systemiske

risici. En AI-model til almen brug, som opfylder den gældende tærskel for kapaciteter med stor virkning, må

formodes at være en AI-model til almen brug med systemisk risiko. Udbyderen bør underrette AI-kontoret senest to

uger efter, at kravene er opfyldt, eller det bliver kendt, at en AI-model til almen brug vil opfylde de krav, der fører til

formodningen. Dette er navnlig relevant i forbindelse med tærsklen for flydende kommatalsberegninger, eftersom

træning af AI-modeller til almen brug kræver betydelig planlægning, som omfatter forhåndsallokering af

beregningskraftsressourcer, og udbydere af AI-modeller til almen brug kan derfor have kendskab til, om deres model

opfylder tærsklen, inden træningen afsluttes. I forbindelse med denne notifikation bør udbyderen kunne påvise, at en

AI-model til almen brug som følge af dens specifikke karakteristika undtagelsesvis ikke udgør systemiske risici, og at

den derfor ikke bør klassificeres som en AI-model til almen brug med systemiske risici. Denne oplysning er nyttig for

AI-kontoret med henblik på at foregribe omsætningen af AI-modeller til almen brug med systemiske risici, så

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

29/144

EUT L af 12.7.2024

udbyderne tidligt kan begynde at samarbejde med AI-kontoret. Denne oplysning er navnlig vigtig for så vidt angår

AI-modeller til almen brug, som efter planen skal frigives som open source, eftersom de nødvendige foranstaltninger

til at sikre overholdelse af forpligtelserne i medfør af denne forordning kan være vanskeligere at gennemføre efter

frigivelsen af modellen som open source.

(113)

Hvis Kommissionen får kendskab til, at en AI-model til almen brug opfylder kravene til klassificering som en

AI-model til almen brug med systemisk risiko, som tidligere enten ikke var kendt, eller som den relevante udbyder

har undladt at underrette Kommissionen om, bør Kommissionen have beføjelse til at udpege den som sådan. I tillæg

til AI-kontorets overvågningsaktiviteter bør et system med kvalificerede varslinger sikre, at AI-kontoret af det

videnskabelige panel får kendskab til AI-modeller til almen brug, som eventuelt bør klassificeres som AI-modeller til

almen brug med systemisk risiko.

(114)

Udbydere af AI-modeller til almen brug, som udgør systemiske risici, bør foruden de forpligtelser, der er fastsat for

udbydere af AI-modeller til almen brug, være underlagt forpligtelser med det formål at identificere og afbøde disse

risici og sikre et tilstrækkeligt cybersikkerhedsbeskyttelsesniveau, uanset om de leveres som en selvstændig model

eller er indlejret i et AI-system eller et produkt. For at nå disse mål bør denne forordning kræve, at udbydere

foretager de nødvendige modelevalueringer, navnlig inden de første gang bringes i omsætning, herunder

gennemførelse og dokumentation af afprøvning af modeller mod ondsindet brug, herunder også i relevant omfang,

gennem intern eller uafhængig ekstern afprøvning. Udbydere af AI-modeller til almen brug med systemiske risici bør

desuden løbende vurdere og afbøde systemiske risici, herunder f.eks. ved at indføre risikostyringspolitikker såsom

ansvarligheds- og forvaltningsprocesser, gennemføre overvågning efter omsætningen, træffe passende foranstalt-

ninger i hele modellens livscyklus og samarbejde med relevante aktører i AI-værdikæden.

(115)

Udbydere af AI-modeller til almen brug med systemiske risici bør vurdere og afbøde eventuelle systemiske risici.

Hvis udviklingen eller anvendelsen af modellen trods bestræbelser på at identificere og forebygge risici forbundet

med en AI-model til almen brug, som kan udgøre systemiske risici, forårsager en alvorlig hændelse, bør udbyderen af

AI-modellen til almen brug uden unødigt ophold spore hændelsen og indberette alle relevante oplysninger og

eventuelle korrigerende foranstaltninger til Kommissionen og de nationale kompetente myndigheder. Udbydere bør

desuden sikre et tilstrækkeligt cybersikkerhedsbeskyttelsesniveau for modellen og dens fysiske infrastruktur, hvis det

er relevant, i hele modellens livscyklus. Cybersikkerhedsbeskyttelse i forbindelse med systemiske risici, der er knyttet

til ondsindet brug af eller angreb, bør tage behørigt hensyn til utilsigtet modellækage, uautoriserede frigivelser,

omgåelse af sikkerhedsforanstaltninger og forsvar mod cyberangreb, uautoriseret adgang eller modeltyveri. Denne

beskyttelse kan lettes ved at sikre modelvægte, algoritmer, servere og datasæt såsom gennem operationelle

sikkerhedsforanstaltninger med henblik på informationssikkerhed, specifikke cybersikkerhedspolitikker, passende

tekniske og etablerede løsninger samt cyberadgangskontroller og fysiske adgangskontroller, der er tilpasset de

relevante forhold og de involverede risici.

(116)

AI-kontoret bør tilskynde til og lette udarbejdelsen, gennemgangen og tilpasningen af praksiskodekser under

hensyntagen til internationale tilgange. Alle udbydere af AI-modeller til almen brug kan indbydes til at deltage. For at

sikre at praksiskodekser afspejler det aktuelle teknologiske niveau og tager behørigt hensyn til en række forskellige

perspektiver, bør AI-kontoret samarbejde med relevante nationale kompetente myndigheder og kan, hvis det er

relevant, høre civilsamfundsorganisationer og andre relevante interessenter og eksperter, herunder det videnskabelige

panel, om udarbejdelsen af sådanne kodekser. Praksiskodekser bør omfatte forpligtelser for udbydere af AI-modeller

til almen brug og af modeller til almen brug, der udgør systemiske risici. Hvad angår systemiske risici, bør

praksiskodekser derudover bidrage til at opstille en risikotaksonomi for typen og arten af de systemiske risici på

EU-plan, herunder deres kilder. Praksiskodekser bør også fokusere på specifikke risikovurderinger og risiko-

begrænsende foranstaltninger.

(117)

Praksiskodekser bør udgøre et centralt redskab med henblik på korrekt overholdelse af de forpligtelser, der er fastsat

i medfør af denne forordning, og som gælder for udbydere af AI-modeller til almen brug. Udbydere bør kunne

forlade sig på praksiskodekser for at påvise overholdelse af forpligtelserne. Kommissionen kan ved hjælp af

gennemførelsesretsakter beslutte at godkende en praksiskodeks og tillægge den almen gyldighed i Unionen eller

alternativt fastsætte fælles regler for gennemførelsen af de relevante forpligtelser, hvis en praksiskodeks på

tidspunktet for denne forordnings ikrafttræden ikke kan færdiggøres eller af AI-kontoret anses for at være

utilstrækkelig. Når en harmoniseret standard er offentliggjort, og AI-kontoret har vurderet den som egnet til at

30/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

dække de relevante forpligtelser, bør overholdelse af en europæisk harmoniseret standard medføre en formodning

om overensstemmelse hermed fra udbydernes side. Udbydere af AI-modeller til almen brug bør desuden kunne

påvise overensstemmelse ved hjælp af alternative passende metoder, hvis der ikke findes praksiskodekser eller

harmoniserede standarder, eller de vælger ikke at anvende sådanne.

(118)

Denne forordning regulerer AI-systemer og AI-modeller, idet den indfører visse krav og forpligtelser for relevante

markedsaktører, som bringer dem i omsætning, ibrugtager dem eller anvender dem i Unionen, og derved supplerer

forpligtelserne for udbydere af formidlingstjenester, som indlejrer sådanne systemer eller modeller i deres tjenester,

som er reguleret ved forordning (EU) 2022/2065. I det omfang sådanne systemer eller modeller er indlejret

i udpegede meget store onlineplatforme eller meget store onlinesøgemaskiner, er de underlagt den ramme for

risikostyring, som er fastsat i forordning (EU) 2022/2065. De tilsvarende forpligtelser i nærværende forordning må

derfor formodes at være opfyldt, medmindre betydelige systemiske risici, der ikke er omfattet af forordning

(EU) 2022/2065, forekommer og identificeres i sådanne modeller. Inden for disse rammer er udbydere af meget store

onlineplatforme forpligtet til at vurdere potentielle systemiske risici, der hidrører fra udformningen, funktionen og

anvendelsen af deres tjenester, herunder hvordan udformningen af algoritmiske systemer, der anvendes i tjenesten,

kan bidrage til sådanne risici, samt systemiske risici, der hidrører fra potentielt misbrug. Disse udbydere er også

forpligtet til at træffe afbødende foranstaltninger for at overholde de grundlæggende rettigheder.

(119)

I betragtning af innovationshastigheden og den teknologiske udvikling inden for digitale tjenester, som er omfattet af

forskellige EU-retlige instrumenters anvendelsesområde, navnlig under hensyntagen til anvendelsen og opfattelsen af

modtagerne heraf, kan de AI-systemer, der er omfattet af denne forordning, leveres som formidlingstjenester eller

dele heraf som omhandlet i forordning (EU) 2022/2065, som bør fortolkes på en teknologineutral måde.

AI-systemer kan f.eks. anvendes til at levere onlinesøgemaskiner, navnlig i det omfang et AI-system såsom en

onlinechatbot i princippet foretager søgninger på alle websteder, dernæst indarbejder resultaterne i sin eksisterende

viden og anvender den ajourførte viden til at generere et enkelt output, der kombinerer forskellige informations-

kilder.

(120)

De forpligtelser, der pålægges udbydere og idriftsættere af visse AI-systemer i denne forordning, for at give mulighed

for at påvise og oplyse, at outputtet af disse systemer er blevet genereret kunstigt eller manipuleret, er desuden særlig

relevante for at lette en effektiv gennemførelse af forordning (EU) 2022/2065. Dette gælder navnlig for

forpligtelserne for udbydere af meget store onlineplatforme eller meget store onlinesøgemaskiner til at identificere

og afbøde systemiske risici, der kan opstå som følge af formidlingen af indhold, der er blevet kunstigt genereret eller

manipuleret, navnlig risikoen for de faktiske eller forventede negative virkninger for demokratiske processer,

samfundsdebatten og valgprocesser, herunder gennem desinformation.

(121)

Standardisering bør spille en central rolle med hensyn til at levere tekniske løsninger til udbyderne for at sikre

overholdelse af denne forordning i overensstemmelse med det aktuelle teknologiske niveau og fremme innovation

samt konkurrenceevnen og væksten på det indre marked. Overholdelse af harmoniserede standarder som defineret

i artikel 2, nr. 1), litra c), i Europa-Parlamentets og Rådets forordning (EU) nr. 1025/2012 (

), der sædvanligvis

forventes at afspejle det aktuelle teknologiske niveau, bør være et middel for udbydere til at påvise overensstemmelse

med kravene i nærværende forordning. Der bør derfor tilskyndes til en afbalanceret repræsentation af interesser, der

inddrager alle relevante interessenter i udviklingen af standarder, navnlig SMV'er, forbrugerorganisationer og

miljøorganisationer og sociale interessenter i overensstemmelse med artikel 5 og 6 i forordning (EU) nr. 1025/2012.

For at lette overholdelsen bør standardiseringsanmodningerne fremsættes af Kommissionen uden unødigt ophold.

I forbindelse med udarbejdelsen af standardiseringsanmodninger bør Kommissionen høre det rådgivende forum og

AI-udvalget med henblik på at indsamle relevant ekspertise. I mangel af relevante referencer til harmoniserede

standarder bør Kommissionen dog ved hjælp af gennemførelsesretsakter og efter høring af det rådgivende forum

kunne fastsætte fælles specifikationer for visse krav i henhold til nærværende forordning. Den fælles specifikation

bør være en ekstraordinær nødløsning for at lette udbyderens forpligtelse til at overholde kravene i nærværende

forordning, når standardiseringsanmodningen ikke er blevet accepteret af de europæiske standardiseringsorganisa-

tioner, eller når de relevante harmoniserede standarder i utilstrækkelig grad tager hensyn til betænkeligheder

vedrørende grundlæggende rettigheder, eller når de harmoniserede standarder ikke er i overensstemmelse med

anmodningen, eller når der er forsinkelser i vedtagelsen af en passende harmoniseret standard. Hvis en sådan

forsinkelse i vedtagelsen af en harmoniseret standard skyldes den pågældende standards tekniske kompleksitet, bør

(

)

Europa-Parlamentets og Rådets forordning (EU) nr. 1025/2012 af 25. oktober 2012 om europæisk standardisering, om ændring af

Rådets direktiv 89/686/EØF og 93/15/EØF og Europa-Parlamentets og Rådets direktiv 94/9/EF, 94/25/EF, 95/16/EF, 97/23/EF,

98/34/EF, 2004/22/EF, 2007/23/EF, 2009/23/EF og 2009/105/EF og om ophævelse af Rådets beslutning 87/95/EØF og

Europa-Parlamentets og Rådets afgørelse nr. 1673/2006/EF (EUT L 316 af 14.11.2012, s. 12).

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

31/144

EUT L af 12.7.2024

Kommissionen tage dette i betragtning, inden det overvejes at udarbejde fælles specifikationer. Ved udarbejdelsen af

fælles specifikationer tilskyndes Kommissionen til at samarbejde med internationale partnere og internationale

standardiseringsorganer.

(122)

Uden at det berører anvendelsen af harmoniserede standarder og fælles specifikationer, bør udbydere af et

højrisiko-AI-system, som er blevet trænet og afprøvet på data, der afspejler de specifikke geografiske,

adfærdsmæssige, kontekstuelle eller funktionelle rammer, som AI-systemet tilsigtes anvendt inden for, formodes

at være i overensstemmelse med den relevante foranstaltning, der er fastsat i kravet til datastyring i denne forordning.

Uden at det berører kravene til robusthed og nøjagtighed i denne forordning og i overensstemmelse med artikel 54,

stk. 3, i forordning (EU) 2019/881 formodes højrisiko-AI-systemer, der er certificeret, eller for hvilke der er udstedt

en overensstemmelseserklæring inden for rammerne af en cybersikkerhedsordning i henhold til nævnte forordning,

og hvis referencer er offentliggjort i

Den Europæiske Unions Tidende,

at overholde cybersikkerhedskravene

i nærværende forordning, såfremt cybersikkerhedsattesten eller overensstemmelseserklæringen eller dele heraf

dækker cybersikkerhedskravet i nærværende forordning. Dette berører ikke den pågældende cybersikkerhedsord-

nings frivillige karakter.

(123)

For at sikre en høj grad af troværdighed i højrisiko-AI-systemer bør disse systemer underkastes en overensstem-

melsesvurdering, inden de bringes i omsætning eller ibrugtages.

(124)

For så vidt angår højrisiko-AI-systemer, der vedrører produkter, der er omfattet af gældende EU-harmoniserings-

lovgivning baseret på den nye lovgivningsmæssige ramme, bør disse AI-systemers overholdelse af kravene i denne

forordning vurderes som led i den overensstemmelsesvurdering, der allerede er fastsat i nævnte ret, for at minimere

byrden for operatørerne og undgå ethvert muligt overlap. Anvendeligheden af kravene i denne forordning bør derfor

ikke påvirke den specifikke logik, metode eller generelle struktur i overensstemmelsesvurderingen i henhold til den

relevante EU-harmoniseringslovgivning.

(125)

I betragtning af højrisiko-AI-systemers kompleksitet og de med disse forbundne risici er det vigtigt at udvikle en

passende overensstemmelsesvurderingsprocedure for højrisiko-AI-systemer, der involverer bemyndigede organer, en

såkaldt overensstemmelsesvurdering udført af tredjepart. I betragtning af den aktuelle erfaring, som professionelle,

der udfører certificering forud for omsætning, har inden for produktsikkerhed og de relevante risicis forskellige

karakter, bør anvendelsesområdet for tredjeparters overensstemmelsesvurderinger af andre højrisiko-AI-systemer

end dem, der vedrører produkter, dog begrænses, i det mindste i den indledende fase af anvendelsen af denne

forordning. Overensstemmelsesvurderinger af sådanne systemer bør derfor som hovedregel foretages af udbyderen

på dennes eget ansvar, med undtagelse af AI-systemer, der tilsigtes anvendt til biometri.

(126)

Med henblik på tredjeparters overensstemmelsesvurderinger, når der er behov for sådanne, bør bemyndigede organer

notificeres i henhold til denne forordning af de nationale kompetente myndigheder, forudsat at de overholder en

række krav, navnlig med hensyn til uafhængighed, kompetencer, interessekonflikter og passende cybersikkerheds-

krav. De nationale kompetente myndigheder bør sende notifikationen af disse organer til Kommissionen og de andre

medlemsstater ved hjælp af det elektroniske notifikationsværktøj, der er udviklet og forvaltes af Kommissionen

i henhold til artikel R23 i bilag I til afgørelse nr. 768/2008/EF.

(127)

I overensstemmelse med Unionens forpligtelser i henhold til Verdenshandelsorganisationens aftale om tekniske

handelshindringer er det hensigtsmæssigt at lette den gensidige anerkendelse af resultater af overensstemmelses-

vurderinger udarbejdet af de kompetente overensstemmelsesvurderingsorganer, uafhængigt af hvor de er etableret,

forudsat at disse overensstemmelsesvurderingsorganer, der er oprettet i henhold til retten i et tredjeland, opfylder de

gældende krav i denne forordning, og Unionen har indgået aftale herom. I denne forbindelse bør Kommissionen

aktivt undersøge mulige internationale instrumenter til dette formål og navnlig søge at indgå aftaler om gensidig

anerkendelse med tredjelande.

(128)

I overensstemmelse med det almindeligt anerkendte begreb væsentlig ændring for produkter, der er reguleret af

EU-harmoniseringslovgivningen, bør AI-systemet, når der sker en ændring, som kan have indflydelse på

højrisiko-AI-systemets overensstemmelse med denne forordning (f.eks. ændring af styresystem eller soft-

warearkitektur), eller hvis systemets tilsigtede formål ændrer sig, betragtes som et nyt AI-system, der bør

underkastes en ny overensstemmelsesvurdering. Ændringer i algoritmen og ydeevnen af AI-systemer, der fortsætter

med at »lære« efter, at de er bragt i omsætning eller ibrugtaget, dvs. at de automatisk tilpasser, hvordan funktionerne

udføres, bør ikke udgøre en væsentlig ændring, forudsat at disse ændringer er fastlagt på forhånd af udbyderen og

vurderet på tidspunktet for overensstemmelsesvurderingen.

32/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

(129)

Højrisiko-AI-systemer bør være forsynet med CE-mærkning for at vise, at de er i overensstemmelse med denne

forordning, således at de sikres fri bevægelighed på det indre marked. For højrisiko-AI-systemer, der er indlejret i et

produkt, bør der anbringes en fysisk CE-mærkning, som kan suppleres med en digital CE-mærkning. For

højrisiko-AI-systemer, der kun leveres digitalt, bør der anvendes en digital CE-mærkning. Medlemsstaterne bør ikke

skabe uberettigede hindringer for omsætningen eller ibrugtagningen af højrisiko-AI-systemer, der overholder

kravene i denne forordning, og som er forsynet med CE-mærkning.

(130)

Under visse omstændigheder kan hurtig adgang til innovative teknologier være afgørende for personers sundhed og

sikkerhed, miljøbeskyttelse og klimaændringer og for samfundet som helhed. Markedsovervågningsmyndighederne

kan derfor af ekstraordinære hensyn til den offentlige sikkerhed eller beskyttelsen af fysiske personers liv og sundhed,

miljøbeskyttelse og beskyttelse af centrale industrielle og infrastrukturmæssige aktiver tillade omsætning eller

ibrugtagning af AI-systemer, der ikke har været genstand for en overensstemmelsesvurdering. I behørigt begrundede

situationer som fastsat i denne forordning kan de retshåndhævende myndigheder eller civilbeskyttelsesmyndighe-

derne tage et specifikt højrisiko-AI-system i brug uden tilladelse fra markedsovervågningsmyndigheden, forudsat at

der under eller efter anvendelsen anmodes om en sådan tilladelse uden unødigt ophold.

(131)

For at lette Kommissionens og medlemsstaternes arbejde inden for AI og øge gennemsigtigheden for offentligheden

bør udbydere af andre højrisiko-AI-systemer end dem, der vedrører produkter, der er omfattet af relevant gældende

EU-harmoniseringslovgivning, og udbydere, der finder, at et AI-system, der er opført som tilfælde af

højrisikoanvendelser i et bilag til denne forordning, ikke er højrisiko på grundlag af en undtagelse, pålægges at

registrere sig selv og oplysninger om deres AI-system i en EU-database, der skal oprettes og forvaltes af

Kommissionen. Inden anvendelse af et AI-system, der er opført som tilfælde af højrisikoanvendelser i et bilag til

denne forordning, bør idriftsættere af højrisiko-AI-systemer, der er offentlige myndigheder, agenturer eller organer,

registrere sig selv i en sådan database og udvælge det system, de påtænker at anvende.Andre idriftsættere bør have ret

til at gøre dette frivilligt. Denne del af EU-databasen bør være offentligt tilgængelig og gratis, og oplysningerne bør

være lettilgængelige, forståelige og maskinlæsbare. EU-databasen bør også være brugervenlig, f.eks. ved at råde over

søgefunktioner, herunder gennem nøgleord, der gør det muligt for offentligheden at finde relevante oplysninger, der

skal indsendes ved registrering af højrisiko-AI-systemer, og om højrisiko-AI-systemers anvendelsestilfælde fastsat i et

bilag til denne forordning, som højrisiko-AI-systemerne svarer til. Enhver væsentlig ændring af højrisiko-AI-sy-

stemer bør også registreres i EU-databasen. For højrisiko-AI-systemer inden for retshåndhævelse og migrations-

styring, asylforvaltning og grænsekontrol bør registreringsforpligtelserne opfyldes i en sikker ikkeoffentlig del af

EU-databasen. Adgang til den sikre ikkeoffentlige del bør være strengt begrænset til Kommissionen og til

markedsovervågningsmyndighederne for så vidt angår deres nationale del af den pågældende database.

Højrisiko-AI-systemer inden for kritisk infrastruktur bør kun registreres på nationalt plan. Kommissionen bør

være dataansvarlig for EU-databasen i overensstemmelse med forordning (EU) 2018/1725. For at sikre at

EU-databasen fungerer efter hensigten, når den tages i idriftsættes, bør proceduren for oprettelse af databasen

omfatte, at Kommissionen udarbejder funktionsspecifikationer, samt en uafhængig revisionsrapport. Kommissionen

bør tage hensyn til cybersikkerhedsrisici, når den udfører sine opgaver som dataansvarlig for EU-databasen. For at

maksimere offentlighedens tilgængelighed og anvendelse af EU-databasen bør EU-databasen, herunder oplysninger,

der stilles til rådighed igennem den, overholde kravene i medfør af direktiv (EU) 2019/882.

(132)

Visse AI-systemer, der er tilsigtet at interagere med fysiske personer eller generere indhold, kan indebære særlige

risici for imitation eller vildledning, uanset om de er klassificeret som højrisiko eller ej. Under visse omstændigheder

bør anvendelsen af disse systemer derfor være underlagt særlige gennemsigtighedsforpligtelser, uden at dette berører

kravene og forpligtelserne for højrisiko-AI-systemer, og målrettede undtagelser for at tage hensyn til særlige behov

inden for retshåndhævelse. Fysiske personer bør navnlig underrettes om, at de interagerer med et AI-system,

medmindre dette er indlysende ud fra en rimelig oplyst, opmærksom og velunderrettet fysisk persons synspunkt

under hensyntagen til omstændighederne og anvendelsessammenhængen. Ved gennemførelsen af denne forpligtelse

bør der tages hensyn til egenskaber hos fysiske personer, der tilhører sårbare grupper på grund af deres alder eller

handicap, i det omfang AI-systemet er tilsigtet også at interagere med disse grupper. Fysiske personer bør desuden

underrettes, når de udsættes for AI-systemer, der ved at behandle personernes biometriske data kan genkende eller

udlede følelserne eller hensigterne hos disse personer eller placere dem i specifikke kategorier. Sådanne specifikke

kategorier kan vedrøre aspekter såsom køn, alder, hårfarve, øjenfarve, tatoveringer, personlighedstræk, etnisk

oprindelse, personlige præferencer og interesser. Sådanne oplysninger og underretninger bør gives i formater, der er

tilgængelige for personer med handicap.

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

33/144

EUT L af 12.7.2024

(133)

En række AI-systemer kan generere store mængder syntetisk indhold, som bliver stadig vanskeligere for mennesker

at adskille fra menneskegenereret og autentisk indhold. Disse systemers brede tilgængelighed og øgede kapaciteter

har en betydelig indvirkning på integriteten af og tilliden til informationsøkosystemet, hvilket skaber nye risici for

misinformation og manipulation i stor målestok, svig, imitation eller vildledning af forbrugerne. I lyset af disse

virkninger, det hurtige teknologiske tempo og behovet for nye metoder og teknikker til sporing af oplysningernes

oprindelse bør udbydere af disse systemer pålægges at indlejre tekniske løsninger, som muliggør markering i et

maskinlæsbart format og påvisning af, at outputtet er blevet genereret eller manipuleret af et AI-system og ikke af et

menneske. Sådanne teknikker og metoder bør være tilstrækkeligt pålidelige, interoperable, effektive og robuste, i det

omfang dette er teknisk muligt, under hensyntagen til tilgængelige teknikker eller en kombination af sådanne

teknikker såsom vandmærker, metadataidentifikationer, kryptografiske metoder til påvisning af indholdets

oprindelse og ægthed, registreringsmetoder, fingeraftryk eller andre teknikker, alt efter hvad der kan være relevant.

Udbydere bør ved gennemførelsen af denne forpligtelse tage hensyn til de forskellige typer indholds særlige forhold

og begrænsninger og markedsudviklinger på området, som er afspejlet i det generelt anerkendte aktuelle

teknologiske niveau. Sådanne teknikker og metoder kan gennemføres på AI-systemniveau eller AI-modelniveau, som

omfatter AI-modeller til almen brug, der genererer indhold, og derved gøre det nemmere for AI-systemets

downstreamudbyder at opfylde denne forpligtelse. Det bør fastsættes, at hvis denne mærkningsforpligtelse skal

forblive forholdsmæssig, bør den ikke omfatte AI-systemer, der primært udfører en hjælpefunktion med henblik på

standardredigering, eller AI-systemer, der ikke i væsentlig grad ændrer de inputdata, der leveres af idriftsætteren, eller

semantikken heraf.

(134)

I forlængelse af de tekniske løsninger, som udbydere af AI-systemet anvender, bør de idriftsættere, der anvender et

AI-system til at generere eller manipulere billed-, lyd- eller videoindhold, der i væsentlig grad ligner faktiske personer,

genstande, steder, enheder eller begivenheder, og som fejlagtigt vil fremstå ægte eller sandfærdigt for en person

(»deepfakes«), også klart og synligt oplyse, at indholdet er kunstigt skabt eller manipuleret, ved at mærke AI-outputtet

i overensstemmelse hermed og oplyse om dets kunstige oprindelse. Overholdelse af denne gennemsigtighedsfor-

pligtelse bør ikke fortolkes således, at anvendelse af AI-systemet eller dets output hindrer ytringsfriheden eller retten

til frihed for kunst og videnskab, der er sikret ved chartret, navnlig når indholdet er en del af et åbenlyst kreativt,

satirisk, kunstnerisk, fiktivt eller tilsvarende arbejde eller program, med forbehold af passende sikkerhedsforan-

staltninger for tredjemands rettigheder og friheder. I disse tilfælde er gennemsigtighedsforpligtelsen for deepfakes

fastsat i denne forordning begrænset til oplysning om eksistensen af sådant genereret eller manipuleret indhold på en

passende måde, der ikke er til gene for visningen eller nydelsen af værket, herunder den normale udnyttelse og

anvendelse heraf, samtidig med at værkets nytteværdi og kvalitet bevares. En lignende oplysningspligt bør desuden

tilstræbes for AI-genereret eller manipuleret tekst, for så vidt den offentliggøres med det formål at informere

offentligheden om spørgsmål af offentlig interesse, medmindre det AI-genererede indhold har gennemgået en proces

med menneskelig gennemgang eller redaktionel kontrol, og en fysisk eller juridisk person har det redaktionelle

ansvar for offentliggørelsen af indholdet.

(135)

Uden at det berører disse gennemsigtighedsforpligtelsers obligatoriske karakter og fulde anvendelighed, kan

Kommissionen også tilskynde til og lette udarbejdelsen af praksiskodekser på EU-plan for at lette en effektiv

gennemførelse af forpligtelserne til påvisning og mærkning af kunstigt genereret eller manipuleret indhold, herunder

til støtte for praktiske ordninger for i relevant omfang at gøre sporingsmekanismerne tilgængelige og lette

samarbejdet med andre aktører i værdikæden, formidle indhold eller kontrollere dets ægthed og oprindelse, så

offentligheden effektivt kan adskille AI-genereret indhold.

(136)

De forpligtelser, der pålægges udbydere og idriftsættere af visse AI-systemer i denne forordning, for at gøre det

muligt at påvise og oplyse, at outputtet af disse systemer er blevet genereret kunstigt eller manipuleret, er særlig

relevante for at lette en effektiv gennemførelse af forordning (EU) 2022/2065. Dette gælder navnlig for

forpligtelserne for udbydere af meget store onlineplatforme eller meget store onlinesøgemaskiner til at identificere

og afbøde systemiske risici, der kan opstå som følge af formidlingen af indhold, der er blevet kunstigt genereret eller

manipuleret, navnlig risikoen for de faktiske eller forventede negative virkninger for demokratiske processer,

samfundsdebatten og valgprocesser, herunder gennem desinformation. Kravet om mærkning af indhold genereret af

AI-systemer i henhold til nærværende forordning berører ikke forpligtelsen i artikel 16, stk. 6, i forordning

(EU) 2022/2065 for udbydere af oplagringstjenester til at behandle anmeldelser om ulovligt indhold, som er

modtaget i henhold til nævnte forordnings artikel 16, stk. 1, og bør ikke påvirke vurderingen af og afgørelsen om det

specifikke indholds lovlighed. Denne vurdering bør udelukkende foretages under henvisning til reglerne om

lovligheden af indholdet.

34/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

(137)

Overholdelse af de gennemsigtighedsforpligtelser for AI-systemer, som er omfattet af denne forordning, bør ikke

fortolkes således, at anvendelsen af systemet eller dets output er lovlig i henhold til denne forordning eller anden

EU-ret eller ret i medlemsstaterne, og bør ikke berøre andre gennemsigtighedsforpligtelser for idriftsættere af

AI-systemer i EU-retten eller national ret.

(138)

AI er en hurtigt voksende familie af teknologier, der kræver myndighedstilsyn og et sikkert og kontrolleret miljø til

forsøg, samtidig med at der sikres ansvarlig innovation og integration af passende sikkerhedsforanstaltninger og

risikobegrænsende foranstaltninger. For at sikre en lovgivningsmæssig ramme, der fremmer innovation og er

fremtidssikret og modstandsdygtig over for forstyrrelser, bør medlemsstaterne sikre, at deres nationale kompetente

myndigheder opretter mindst én reguleringsmæssig AI-sandkasse på nationalt plan for at lette udviklingen og

afprøvningen af innovative AI-systemer under strengt myndighedstilsyn, før disse systemer bringes i omsætning eller

på anden måde ibrugtages. Medlemsstaterne kan også opfylde denne forpligtelse ved at deltage i allerede eksisterende

reguleringsmæssige sandkasser eller oprette en sandkasse sammen med én eller flere medlemsstaters kompetente

myndigheder, for så vidt som denne deltagelse giver de deltagende medlemsstater et tilsvarende nationalt

dækningsniveau. Reguleringsmæssige AI-sandkasser kan oprettes i fysisk, digital eller hybrid form og kan tilpasses

fysiske såvel som digitale produkter. De oprettende myndigheder bør også sikre de reguleringsmæssige AI-sandkasser

tilstrækkelige ressourcer, herunder finansielle og menneskelige ressourcer, til at fungere.

(139)

Formålet med de reguleringsmæssige AI-sandkasser bør være at fremme innovation inden for kunstig intelligens ved

at skabe et kontrolleret forsøgs- og afprøvningsmiljø i udviklingsfasen forud for omsætning med henblik på at sikre,

at de innovative AI-systemer er i overensstemmelse med denne forordning og anden relevant EU-ret og national ret.

De reguleringsmæssige AI-sandkasser bør endvidere øge retssikkerheden for innovatorer og de kompetente

myndigheders tilsyn og forståelse af de muligheder, nye risici og virkninger, der er forbundet med anvendelsen af AI,

lette lovgivningsmæssig læring for myndigheder og virksomheder, herunder med henblik på fremtidige tilpasninger

af den retlige ramme, støtte samarbejdet og udvekslingen af bedste praksis med de myndigheder, der er involveret

i den reguleringsmæssige AI-sandkasse, samt fremskynde adgangen til markeder, herunder ved at fjerne hindringer

for SMV'er, herunder iværksættervirksomheder. Reguleringsmæssige AI-sandkasser bør være bredt tilgængelige i hele

Unionen, og der bør lægges særlig vægt på deres tilgængelighed for SMV'er, herunder iværksættervirksomheder.

Deltagelsen i den reguleringsmæssige AI-sandkasse bør fokusere på spørgsmål, der skaber retsusikkerhed for

udbydere og potentielle udbydere med hensyn til at innovere, eksperimentere med kunstig intelligens i Unionen og

bidrage til evidensbaseret lovgivningsmæssig læring. Tilsynet med AI-systemerne i den reguleringsmæssige

AI-sandkasse bør derfor omfatte deres udvikling, træning, afprøvning og validering, inden systemerne bringes

i omsætning eller ibrugtages samt begrebet og forekomsten af væsentlige ændringer, der kan kræve en ny

overensstemmelsesvurderingsprocedure. Enhver væsentlig risiko, der konstateres under udviklingen og afprøvningen

af sådanne AI-systemer, bør afbødes i tilstrækkelig grad, og hvis dette ikke er muligt, bør udviklings- og

afprøvningsprocessen suspenderes. Hvis det er relevant, bør de nationale kompetente myndigheder, der opretter

reguleringsmæssige AI-sandkasser, samarbejde med andre relevante myndigheder, herunder dem, der fører tilsyn

med beskyttelsen af grundlæggende rettigheder, og de kan muliggøre inddragelse af andre aktører i AI-økosystemet

såsom nationale eller europæiske standardiseringsorganisationer, bemyndigede organer, afprøvnings- og forsøgs-

faciliteter, forsknings- og forsøgslaboratorier, europæiske digitale innovationsknudepunkter og relevante interes-

senter og civilsamfundsorganisationer. For at sikre en ensartet gennemførelse i hele Unionen samt stordriftsfordele

bør der fastsættes fælles regler for gennemførelsen af de reguleringsmæssige AI-sandkasser og en ramme for

samarbejde mellem de relevante myndigheder, der er involveret i tilsynet med sandkasserne. Reguleringsmæssige

AI-sandkasser, der oprettes i henhold til denne forordning, bør ikke berøre anden ret, der giver mulighed for at

oprette andre sandkasser, der har til formål at sikre overholdelse af anden ret end denne forordning. Hvis det er

relevant, bør de relevante kompetente myndigheder med ansvar for disse andre reguleringsmæssige sandkasser også

overveje fordelene ved at anvende disse sandkasser med henblik på at sikre AI-systemers overensstemmelse med

denne forordning. Efter aftale mellem de nationale kompetente myndigheder og deltagerne i den reguleringsmæssige

AI-sandkasse kan der også gennemføres og føres tilsyn med afprøvning under faktiske forhold inden for rammerne

af den reguleringsmæssige AI-sandkasse.

(140)

Denne forordning bør udgøre retsgrundlaget for udbyderne og de potentielle udbydere i den reguleringsmæssige

AI-sandkasse til kun på bestemte betingelser at anvende personoplysninger, der er indsamlet til andre formål med

henblik på udvikling af visse samfundsnyttige AI-systemer inden for rammerne af den reguleringsmæssige

AI-sandkasse, jf. artikel 6, stk. 4, og artikel 9, stk. 2, litra g), i forordning (EU) 2016/679 og artikel 5, 6 og 10

i forordning (EU) 2018/1725, og uden at det berører artikel 4, stk. 2, og artikel 10 i direktiv (EU) 2016/680. Alle

andre forpligtelser for databehandlere og rettigheder for registrerede i henhold til forordning (EU) 2016/679 og

(EU) 2018/1725 samt direktiv (EU) 2016/680 finder fortsat anvendelse. Især bør nærværende forordning ikke

udgøre et retsgrundlag som omhandlet i artikel 22, stk. 2, litra b), i forordning (EU) 2016/679 og artikel 24, stk. 2,

litra b), i forordning (EU) 2018/1725. Udbydere og potentielle udbydere i den reguleringsmæssige AI-sandkasse bør

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

35/144

EUT L af 12.7.2024

sørge for passende sikkerhedsforanstaltninger og samarbejde med de kompetente myndigheder, herunder ved at

følge deres vejledning og handle hurtigt og i god tro for i tilstrækkelig grad at afbøde eventuelle konstaterede

betydelige risici med hensyn til sikkerhed, sundhed og de grundlæggende rettigheder, som måtte opstå under

udviklingen, afprøvningen og forsøgene i denne sandkasse.

(141)

For at fremskynde udviklingen og omsætningen af de højrisiko-AI-systemer, der er opført i et bilag til denne

forordning, er det vigtigt, at udbydere eller potentielle udbydere af sådanne systemer også kan drage fordel af en

særlig ordning for afprøvning af disse systemer under faktiske forhold uden at deltage i en reguleringsmæssig

AI-sandkasse. I sådanne tilfælde og under hensyntagen til de mulige konsekvenser af en sådan afprøvning for

enkeltpersoner bør det imidlertid sikres, at denne forordning indfører passende og fornødne sikkerhedsforan-

staltninger og betingelser for udbydere eller potentielle udbydere. Sådanne garantier bør bl.a. omfatte anmodning om

fysiske personers informerede samtykke til at deltage i afprøvninger under faktiske forhold med undtagelse af

retshåndhævelse, hvis indhentning af informeret samtykke ville forhindre AI-systemet i at blive afprøvet.

Registreredes samtykke til at deltage i sådanne afprøvninger i henhold til denne forordning adskiller sig fra og

berører ikke de registreredes samtykke til behandling af deres personoplysninger i henhold til den relevante

databeskyttelsesret. Det er også vigtigt at minimere risiciene og give de kompetente myndigheder mulighed for at

føre tilsyn og dermed kræve, at potentielle udbydere har en plan for afprøvning under faktiske forhold, som

forelægges for den kompetente markedsovervågningsmyndighed, registrerer afprøvningen i særlige dele

i EU-databasen med forbehold af visse begrænsede undtagelser, fastsætter begrænsninger for den periode, inden

for hvilken afprøvningen kan finde sted, og stiller krav om yderligere sikkerhedsforanstaltninger for personer, der

tilhører visse sårbare grupper, samt om en skriftlig aftale, der definerer potentielle udbyderes og idriftsætteres rolle

og ansvarsområder og et effektivt tilsyn fra det kompetente personales side, som er involveret i afprøvningen under

faktiske forhold. Der bør desuden tilstræbes yderligere sikkerhedsforanstaltninger for at sikre, at AI-systemets

forudsigelser, anbefalinger eller beslutninger reelt kan omgøres og ses bort fra, og at personoplysninger beskyttes og

slettes, når de registrerede har trukket deres samtykke til at deltage i afprøvningen tilbage, uden at det berører deres

rettigheder som registrerede i henhold til EU-databeskyttelsesretten. For så vidt angår overførsel af data bør det

tilstræbes, at data, der indsamles og behandles med henblik på afprøvning under faktiske forhold, kun bør overføres

til tredjelande, hvis der gennemføres passende og gældende sikkerhedsforanstaltninger i henhold til EU-retten,

navnlig i overensstemmelse med grundlag for overførsel af personoplysninger i henhold til EU-databeskyt-

telsesretten, mens der for andre data end personoplysninger indføres passende sikkerhedsforanstaltninger

i overensstemmelse med EU-retten såsom Europa-Parlamentets og Rådets forordning (EU) 2022/868 (

) og

(EU) 2023/2854 (

(142)

For at sikre at AI fører til socialt og miljømæssigt gavnlige resultater, tilskyndes medlemsstaterne til at støtte og

fremme forskning i og udvikling af AI-løsninger til støtte for socialt og miljømæssigt gavnlige resultater såsom

AI-baserede løsninger for at øge tilgængeligheden for personer med handicap, bekæmpe socioøkonomiske uligheder

eller opfylde miljømål ved at afsætte tilstrækkelige ressourcer, herunder offentlig finansiering og EU-finansiering, og,

hvis det er relevant, og forudsat at støtteberettigelses- og udvælgelseskriterierne er opfyldt, ved navnlig at tage højde

for projekter, der forfølger sådanne mål. Sådanne projekter bør baseres på princippet om tværfagligt samarbejde

mellem AI-udviklere, eksperter i ulighed og ikkeforskelsbehandling, tilgængelighed, forbrugerrettigheder, miljø-

rettigheder og digitale rettigheder samt akademikere.

(143)

For at fremme og beskytte innovation er det vigtigt at tage særligt hensyn til interesserne hos SMV'er, herunder

iværksættervirksomheder, som er udbydere eller idriftsættere af AI-systemer. Med henblik herpå bør medlems-

staterne udarbejde initiativer, der er rettet mod disse operatører, herunder vedrørende oplysning og informations-

formidling. Medlemsstaterne bør give SMV'er, herunder iværksættervirksomheder, der har vedtægtsmæssigt

hjemsted eller en filial i Unionen, prioriteret adgang til de reguleringsmæssige AI-sandkasser, forudsat at de opfylder

støtteberettigelsesbetingelserne og udvælgelseskriterierne, og uden at andre udbydere og potentielle udbydere

udelukkes fra at få adgang til sandkasserne, såfremt de samme betingelser og kriterier er opfyldt. Medlemsstaterne

bør udnytte eksisterende kanaler og, hvis det er relevant, etablere nye særlige kanaler for kommunikation med

SMV'er, herunder iværksættervirksomheder, idriftsættere, andre innovatorer og, alt efter hvad der er relevant, lokale

offentlige myndigheder, med henblik på at støtte SMV'er gennem hele deres udviklingsforløb ved at yde vejledning

og besvare spørgsmål om gennemførelsen af denne forordning. Hvis det er relevant, bør disse kanaler arbejde

sammen om at skabe synergier og sikre ensartethed i deres vejledning til SMV'er, herunder iværksættervirksomheder,

og idriftsættere. Medlemsstaterne bør desuden lette deltagelse af SMV'er og andre relevante interessenter

i standardiseringsudviklingsprocessen. Desuden bør der tages hensyn til de særlige interesser og behov hos udbydere,

(

)

(

)

Europa-Parlamentets og Rådets forordning (EU) 2022/868 af 30. maj 2022 om europæisk datastyring og om ændring af forordning

(EU) 2018/1724 (forordning om datastyring) (EUT L 152 af 3.6.2022, s. 1).

Europa-Parlamentets og Rådets forordning (EU) 2023/2854 af 13. december 2023 om harmoniserede regler om fair adgang til og

anvendelse af data og om ændring af forordning (EU) 2017/2394 og direktiv (EU) 2020/1828 (dataforordningen) (EUT L,

2023/2854, 22.12.2023, ELI: http://data.europa.eu/eli/reg/2023/2854/oj).

36/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

der er SMV'er, herunder iværksættervirksomheder, når bemyndigede organer fastsætter gebyrer for overensstem-

melsesvurderinger. Kommissionen bør regelmæssigt vurdere certificerings- og efterlevelsesomkostningerne for

SMV'er, herunder iværksættervirksomheder, gennem gennemsigtige høringer og arbejde sammen med medlems-

staterne om at nedbringe disse omkostninger. Omkostninger forbundet med oversættelse af obligatorisk

dokumentation og kommunikation med myndigheder kan f.eks. udgøre en betydelig omkostning for udbydere

og andre operatører, navnlig mindre udbydere og operatører. Medlemsstaterne bør eventuelt sørge for, at et af de

sprog, som de bestemmer sig for og accepterer til de relevante udbyderes dokumentation og til kommunikation med

operatørerne, er et sprog, der forstås bredt af flest mulige idriftsættere på tværs af grænserne. For at imødekomme

SMV'ers, herunder iværksættervirksomheder, specifikke behov bør Kommissionen efter anmodning fra AI-udvalget

tilvejebringe standardiserede skabeloner for de områder, der er omfattet af denne forordning. Desuden bør

Kommissionen supplere medlemsstaternes indsats ved at stille en central informationsplatform med brugervenlige

oplysninger om denne forordning til rådighed for alle udbydere og idriftsættere, idet den tilrettelægger passende

kommunikationskampagner for at øge bevidstheden om de forpligtelser, der følger af denne forordning, og evaluerer

og fremmer konvergensen af bedste praksis i offentlige udbudsprocedurer i forbindelse med AI-systemer.

Mellemstore virksomheder, der indtil for nylig var små virksomheder som omhandlet i bilaget til Kommissionens

henstilling 2003/361/EF (

), bør have adgang til disse støtteforanstaltninger, eftersom disse nye mellemstore

virksomheder undertiden kan mangle de juridiske ressourcer og den uddannelse, der er nødvendig for at sikre en

korrekt forståelse og overholdelse af denne forordning.

(144)

For at fremme og beskytte innovation bør AI-on-demand-platformen og alle relevante EU-finansieringsprogrammer

og -projekter såsom programmet for et digitalt Europa og Horisont Europa, der gennemføres af Kommissionen og

medlemsstaterne på EU-plan eller nationalt plan, i relevant omfang bidrage til at nå denne forordnings mål.

(145)

For at minimere risiciene i gennemførelsen som følge af manglende viden og ekspertise på markedet samt for at gøre

det lettere for udbydere, navnlig SMV'er, herunder iværksættervirksomheder, og bemyndigede organer at overholde

deres forpligtelser i medfør af denne forordning bør navnlig AI-on-demand-platformen, de europæiske digitale

innovationsknudepunkter og de afprøvnings- og forsøgsfaciliteter, som Kommissionen og medlemsstaterne har

oprettet på EU-plan eller nationalt plan, bidrage til gennemførelsen af denne forordning. Inden for rammerne af

deres respektive opgave- og kompetenceområde kan AI-on-demand-platformen, de europæiske digitale innova-

tionsknudepunkter og afprøvnings- og forsøgsfaciliteterne navnlig yde teknisk og videnskabelig støtte til udbydere

og bemyndigede organer.

(146)

I lyset af nogle operatørers meget beskedne størrelse og for at sikre proportionalitet med hensyn til

innovationsomkostninger er det desuden hensigtsmæssigt at give mikrovirksomheder mulighed for at opfylde en

af de dyreste forpligtelser, nemlig etablering af et kvalitetsstyringssystem, der på en forenklet måde vil mindske den

administrative byrde og omkostningerne for disse virksomheder uden at påvirke beskyttelsesniveauet og behovet for

overholdelse af kravene til højrisiko-AI-systemer. Kommissionen bør udarbejde retningslinjer med henblik på at

præcisere, hvilke elementer i kvalitetsstyringssystemet mikrovirksomheder skal opfylde på denne forenklede måde.

(147)

Kommissionen bør så vidt muligt lette adgangen til afprøvnings- og forsøgsfaciliteter for organer, grupper eller

laboratorier, der er oprettet eller akkrediteret i henhold til relevant EU-harmoniseringslovgivning, og som udfører

opgaver i forbindelse med overensstemmelsesvurderinger af produkter eller udstyr, der er omfattet af

EU-harmoniseringslovgivningen. Dette er navnlig tilfældet for ekspertpaneler, ekspertlaboratorier og referencela-

boratorier på området for medicinsk udstyr, jf. forordning (EU) 2017/745 og (EU) 2017/746.

(148)

Denne forordning bør fastsætte en forvaltningsramme, som gør det muligt både at koordinere og støtte anvendelsen

af denne forordning på nationalt plan samt opbygge kapaciteter på EU-plan og inddrage interessenter inden for AI.

En effektiv gennemførelse og håndhævelse af denne forordning kræver en forvaltningsramme, som gør det muligt at

koordinere og opbygge central ekspertise på EU-plan. AI-kontoret blev oprettet ved Kommissionens afgørelse (

) og

har som mission at udvikle Unionens ekspertise og kapaciteter inden for AI og bidrage til gennemførelsen af EU-ret

om AI. Medlemsstaterne bør lette AI-kontorets opgaver med henblik på at støtte udviklingen af Unionens ekspertise

og kapaciteter på EU-plan og styrke det digitale indre markeds funktion. Der bør endvidere oprettes et AI-udvalg

bestående af repræsentanter for medlemsstaterne, et videnskabeligt panel til at integrere det videnskabelige samfund

og et rådgivende forum, der skal bidrage med input fra interessenter til gennemførelsen af denne forordning, både på

(

)

(

)

Kommissionens henstilling 2003/361/EF af 6. maj 2003 om definitionen af mikrovirksomheder, små og mellemstore virksomheder

(EUT L 124 af 20.5.2003, s. 36).

Kommissionens afgørelse af 24. januar 2024 om oprettelse af Det Europæiske Kontor for Kunstig Intelligens (C/2024/390).

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

37/144

EUT L af 12.7.2024

EU-plan og nationalt plan. Udviklingen af Unionens ekspertise og kapaciteter bør også indebære, at eksisterende

ressourcer og ekspertise udnyttes, navnlig gennem synergier med strukturer, der er opbygget i forbindelse med

håndhævelse på EU-plan af anden ret, og synergier med tilhørende initiativer på EU-plan såsom fællesforetagendet

EuroHPC og AI-afprøvnings- og -forsøgsfaciliteter under programmet for et digitalt Europa.

(149)

For at lette en gnidningsløs, effektiv og harmoniseret gennemførelse af denne forordning bør der nedsættes et

AI-udvalg. AI-udvalget bør afspejle AI-økosystemets forskellige interesser og bestå af repræsentanter for

medlemsstaterne. AI-udvalget bør være ansvarligt for en række rådgivningsopgaver såsom udtalelser, henstillinger,

rådgivning eller bidrag til vejledning om spørgsmål vedrørende gennemførelsen af denne forordning, herunder med

hensyn til håndhævelsesspørgsmål, tekniske specifikationer eller eksisterende standarder i forbindelse med de krav,

der er fastsat i denne forordning, samt rådgive og bistå Kommissionen og medlemsstaterne og deres nationale

kompetente myndigheder i forbindelse med specifikke spørgsmål vedrørende AI. For at give medlemsstaterne en vis

fleksibilitet med hensyn til udpegelsen af deres repræsentanter i AI-udvalget kan sådanne repræsentanter være alle

personer tilhørende offentlige enheder, som bør have de relevante kompetencer og beføjelser til at lette koordinering

på nationalt plan og bidrage til udførelsen af AI-udvalgets opgaver. AI-udvalget bør nedsætte to stående

undergrupper for at tilvejebringe en platform for samarbejde og udveksling mellem markedsovervågnings-

myndigheder og bemyndigende myndigheder om spørgsmål vedrørende henholdsvis markedsovervågning og

bemyndigede organer. Den stående undergruppe for markedsovervågning bør fungere som den administrative

samarbejdsgruppe (ADCO) i forbindelse med denne forordning som omhandlet i artikel 30 i forordning

(EU) 2019/1020. I overensstemmelse med artikel 33 i nævnte forordning bør Kommissionen støtte aktiviteterne

i den stående undergruppe for markedsovervågning ved at foretage markedsevalueringer eller -undersøgelser, navnlig

med henblik på at identificere aspekter af nærværende forordning, der kræver specifik og hurtig koordinering

mellem markedsovervågningsmyndighederne. AI-udvalget kan nedsætte andre stående eller midlertidige

undergrupper, alt efter hvad der er relevant, med henblik på at behandle specifikke spørgsmål. AI-udvalget bør

også i relevant omfang samarbejde med relevante EU-organer, -ekspertgrupper og -netværk, der er aktive inden for

rammerne af relevant EU-ret, herunder navnlig dem, der er aktive i henhold til den relevante EU-ret om data, digitale

produkter og tjenester.

(150)

Med henblik på at sikre inddragelse af interessenter i gennemførelsen og anvendelsen af denne forordning bør der

oprettes et rådgivende forum, som skal rådgive og yde teknisk ekspertise til AI-udvalget og Kommissionen. For at

sikre en varieret og afbalanceret repræsentation af interessenter med kommercielle og ikkekommercielle interesser og

inden for kategorien af kommercielle interesser for så vidt angår SMV'er og andre virksomheder bør det rådgivende

forum bl.a. bestå af industrien, iværksættervirksomheder, SMV'er, den akademiske verden, civilsamfundet, herunder

arbejdsmarkedets parter, samt Agenturet for Grundlæggende Rettigheder, ENISA, Den Europæiske Standardise-

ringsorganisation (CEN), Den Europæiske Komité for Elektroteknisk Standardisering (Cenelec) og Det Europæiske

Standardiseringsinstitut for Telekommunikation (ETSI).

(151)

For at støtte gennemførelsen og håndhævelsen af denne forordning, navnlig AI-kontorets overvågningsaktiviteter

med hensyn til AI-modeller til almen brug, bør der oprettes et videnskabeligt panel af uafhængige eksperter. De

uafhængige eksperter, der udgør det videnskabelige panel, bør udvælges på grundlag af ajourført videnskabelig eller

teknisk ekspertise inden for AI og varetage deres opgaver upartisk og objektivt og sikre fortroligheden af oplysninger

og data, der indhentes under udførelsen af deres opgaver og aktiviteter. For at gøre det muligt at styrke de nationale

kapaciteter, der er nødvendige for en effektiv håndhævelse af denne forordning, bør medlemsstaterne kunne anmode

om støtte til deres håndhævelsesaktiviteter fra den pulje af eksperter, der udgør det videnskabelige panel.

(152)

For at støtte passende håndhævelse af AI-systemer og styrke medlemsstaternes kapaciteter bør der oprettes

EU-støttestrukturer for afprøvning af AI, som stilles til rådighed for medlemsstaterne.

(153)

Medlemsstaterne spiller en central rolle i anvendelsen og håndhævelsen af denne forordning. I den forbindelse bør

hver medlemsstat udpege mindst én bemyndigende myndighed og mindst én markedsovervågningsmyndighed som

nationale kompetente myndigheder til at føre tilsyn med anvendelsen og gennemførelsen af denne forordning.

Medlemsstaterne kan beslutte at udpege enhver type offentlig enhed til at udføre de nationale kompetente

myndigheders opgaver som omhandlet i denne forordning i overensstemmelse med deres specifikke nationale

organisatoriske karakteristika og behov. For at øge organisationseffektiviteten for medlemsstaternes vedkommende

og oprette et centralt kontaktpunkt for offentligheden og andre modparter på nationalt plan og EU-plan bør hver

medlemsstat udpege en markedsovervågningsmyndighed, der skal fungere som centralt kontaktpunkt.

38/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

(154)

De nationale kompetente myndigheder bør udøve deres beføjelser uafhængigt, upartisk og uden bias for derved at

beskytte principperne om objektivitet i deres aktiviteter og opgaver og for at sikre anvendelsen og gennemførelsen af

denne forordning. Medlemmerne af disse myndigheder bør afholde sig fra ethvert tiltag, der er uforenelig med deres

beføjelser, og være underlagt fortrolighedsreglerne i denne forordning.

(155)

For at sikre at udbydere af højrisiko-AI-systemer tager erfaringerne med anvendelse af højrisiko-AI-systemer

i betragtning, når de vil forbedre deres systemer og udformnings- og udviklingsprocessen, eller kan foretage

eventuelle korrigerende tiltag rettidigt, bør alle udbydere have indført et system til overvågning efter omsætningen.

Hvis det er relevant, bør overvågning efter omsætningen omfatte en analyse af interaktionen med andre AI-systemer,

herunder andet udstyr og software. Overvågning efter omsætningen bør ikke omfatte følsomme operationelle data

fra idriftsættere, som er retshåndhævende myndigheder. Dette system er også afgørende for at sikre, at eventuelle

risici som følge af AI-systemer, der fortsætter med at »lære« efter at være bragt i omsætning eller ibrugtaget, kan

imødegås mere effektivt og rettidigt. I den forbindelse bør udbyderne også forpligtes til at have indført et system til at

indberette alvorlige hændelser til de relevante myndigheder, som skyldes anvendelsen af deres AI-systemer, dvs. en

hændelse eller funktionsfejl, der fører til dødsfald eller alvorlig sundhedsskade, alvorlig og uoprettelig forstyrrelse

i forvaltningen og driften af kritisk infrastruktur, overtrædelser af forpligtelser i henhold til den del af EU-retten, der

har til formål at beskytte de grundlæggende rettigheder, eller alvorlig skade på ejendom eller miljøet.

(156)

For at sikre en hensigtsmæssig og effektiv håndhævelse af de krav og forpligtelser, der er fastsat i denne forordning,

som repræsenterer Unionens harmoniseringslovgivning, bør det system til markedsovervågning og produktover-

ensstemmelse, der er indført ved forordning (EU) 2019/1020, finde anvendelse i sin helhed. Markedsovervåg-

ningsmyndigheder, der er udpeget i henhold til nærværende forordning, bør alle have håndhævelsesbeføjelser som

fastsat i nærværende forordning og i forordning (EU) 2019/1020 og bør udøve deres beføjelser og udføre deres

opgaver uafhængigt, upartisk og uden bias. Selv om de fleste AI-systemer ikke er underlagt specifikke krav og

forpligtelser i henhold til nærværende forordning, kan markedsovervågningsmyndighederne træffe foranstaltninger

vedrørende alle AI-systemer, når de udgør en risiko i overensstemmelse med nærværende forordning. På grund af

den særlige karakter af EU-institutioner, -agenturer og -organer, der er omfattet af nærværende forordnings

anvendelsesområde, er det hensigtsmæssigt at udpege Den Europæiske Tilsynsførende for Databeskyttelse som

kompetent markedsovervågningsmyndighed for dem. Dette bør ikke berøre medlemsstaternes udpegelse af nationale

kompetente myndigheder. Markedsovervågningsaktiviteter bør ikke påvirke de tilsynsbelagte enheders evne til at

udføre deres opgaver uafhængigt, når en sådan uafhængighed er påbudt i henhold til EU-retten.

(157)

Denne forordning berører ikke kompetencerne, opgaverne, beføjelserne og uafhængigheden hos relevante nationale

offentlige myndigheder eller organer, der fører tilsyn med anvendelsen af EU-retten om beskyttelse af grundlæggende

rettigheder, herunder ligestillingsorganer og databeskyttelsesmyndigheder. Hvis det er nødvendigt for deres mandat,

bør disse nationale offentlige myndigheder eller organer også have adgang til al den dokumentation, der er

udarbejdet i henhold til denne forordning. Der bør fastsættes en særlig beskyttelsesprocedure for at sikre passende og

rettidig håndhævelse over for AI-systemer, som udgør en risiko for sundhed, sikkerhed og grundlæggende

rettigheder. Proceduren for sådanne AI-systemer, som udgør en risiko, bør anvendes på højrisiko-AI-systemer, der

udgør en risiko, forbudte systemer, der er bragt i omsætning, ibrugtaget eller anvendt i strid med de forbudte former

for praksis, der er fastsat i denne forordning, og AI-systemer, der er gjort tilgængelige i strid med de

gennemsigtighedskrav, der er fastsat i denne forordning, og som udgør en risiko.

(158)

EU-retten om finansielle tjenesteydelser omfatter regler og krav vedrørende intern ledelse og risikostyring, som

finder anvendelse på regulerede finansielle institutioner i forbindelse med leveringen af sådanne tjenester, også når de

gør brug af AI-systemer. For at sikre en sammenhængende anvendelse og håndhævelse af forpligtelserne i henhold til

denne forordning og de relevante regler og krav i EU-retsakter om finansielle tjenesteydelser bør de kompetente

myndigheder for tilsyn med og håndhævelse af disse retsakter, navnlig kompetente myndigheder som defineret

i Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 (

) og Europa-Parlamentets og Rådets

direktiv 2008/48/EF (

), 2009/138/EF (

), 2013/36/EU (

), 2014/17/EU (

) og (EU) 2016/97 (

), udpeges som

(

)

(

)

(

)

(

)

(

)

(

)

Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 af 26. juni 2013 om tilsynsmæssige krav til kreditinstitutter og

investeringsselskaber og om ændring af forordning (EU) nr. 648/2012 (EUT L 176 af 27.6.2013, s. 1).

Europa-Parlamentets og Rådets direktiv 2008/48/EF af 23. april 2008 om forbrugerkreditaftaler og om ophævelse af Rådets

direktiv 87/102/EØF (EUT L 133 af 22.5.2008, s. 66).

Europa-Parlamentets og Rådets direktiv 2009/138/EF af 25. november 2009 om adgang til og udøvelse af forsikrings- og

genforsikringsvirksomhed (Solvens II) (EUT L 335 af 17.12.2009, s. 1).

Europa-Parlamentets og Rådets direktiv 2013/36/EU af 26. juni 2013 om adgang til at udøve virksomhed som kreditinstitut og om

tilsyn med kreditinstitutter, om ændring af direktiv 2002/87/EF og om ophævelse af direktiv 2006/48/EF og 2006/49/EF (EUT

L 176 af 27.6.2013, s. 338).

Europa-Parlamentets og Rådets direktiv 2014/17/ЕU af 4. februar 2014 om forbrugerkreditaftaler i forbindelse med fast ejendom til

beboelse og om ændring af direktiv 2008/48/EF og 2013/36/EU og forordning (EU) nr. 1093/2010 (EUT L 60 af 28.2.2014, s. 34).

Europa-Parlamentets og Rådets direktiv (EU) 2016/97 af 20. januar 2016 om forsikringsdistribution (EUT L 26 af 2.2.2016, s. 19).

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

39/144

EUT L af 12.7.2024

kompetente myndigheder inden for deres respektive kompetenceområder med henblik på at føre tilsyn med

gennemførelsen af nærværende forordning, herunder også markedsovervågningsaktiviteter, for så vidt angår

AI-systemer, der leveres eller anvendes af finansielle institutioner, som er regulerede, og som der føres tilsyn med,

medmindre medlemsstaterne beslutter at udpege en anden myndighed til at udføre disse markedsovervågnings-

opgaver. Disse kompetente myndigheder bør have alle beføjelser i henhold til denne forordning og forordning

(EU) 2019/1020 til at håndhæve nærværende forordnings krav og forpligtelser, herunder beføjelser til at udføre ex

post-markedsovervågningsaktiviteter, der, alt efter hvad der er relevant, kan integreres i deres eksisterende

tilsynsmekanismer og -procedurer i henhold til den relevante EU-ret om finansielle tjenesteydelser. Det bør

fastsættes, at de nationale myndigheder, der er ansvarlige for tilsynet med kreditinstitutter, som er reguleret ved

direktiv 2013/36/EU, og som deltager i den fælles tilsynsmekanisme, der er oprettet ved Rådets forordning

(EU) nr. 1024/2013 (

), når de fungerer som markedsovervågningsmyndigheder i henhold til nærværende

forordning, straks bør indberette alle oplysninger, som identificeres i forbindelse med deres markedsovervågnings-

aktiviteter, og som kan være af potentiel interesse for Den Europæiske Centralbanks tilsynsopgaver som fastsat

i nævnte forordning, til Den Europæiske Centralbank. For yderligere at styrke sammenhængen mellem nærværende

forordning og de regler, der gælder for kreditinstitutter, der er reguleret ved direktiv 2013/36/EU, bør nogle af

udbydernes proceduremæssige forpligtelser i forbindelse med risikostyring, overvågning efter omsætningen og

dokumentation indarbejdes i de eksisterende forpligtelser og procedurer i henhold i direktiv 2013/36/EU. For at

undgå overlapninger bør der også overvejes begrænsede undtagelser for så vidt angår udbydernes kvalitetsstyrings-

system og den overvågningsforpligtelse, der pålægges idriftsættere af højrisiko-AI-systemer, i det omfang disse

gælder for kreditinstitutter, der er reguleret ved direktiv 2013/36/EU. Den samme ordning bør gælde for forsikrings-

og genforsikringsselskaber og forsikringsholdingselskaber i henhold til direktiv 2009/138/EF og forsikringsfor-

midlere i henhold til direktiv (EU) 2016/97 og andre typer finansielle institutioner, der er underlagt krav vedrørende

intern ledelse, ordninger eller processer, der er fastsat i henhold til den relevante EU-ret om finansielle tjenesteydelser,

for at sikre konsekvens og ligebehandling i den finansielle sektor.

(159)

Hver markedsovervågningsmyndighed for højrisiko-AI-systemer inden for biometri som opført i et bilag til denne

forordning, for så vidt disse systemer anvendes med henblik på retshåndhævelse og migrationsstyring,

asylforvaltning og grænsekontrol eller retspleje og demokratiske processer, bør have undersøgelsesbeføjelser og

korrigerende beføjelser, herunder som minimum beføjelse til at få adgang til alle personoplysninger, der behandles,

og til alle de oplysninger, der er nødvendige for at varetage sine opgaver. Markedsovervågningsmyndighederne bør

kunne udøve deres beføjelser i fuld uafhængighed. Enhver begrænsning i deres adgang til følsomme operationelle

data i henhold til denne forordning bør ikke berøre de beføjelser, som de har fået tillagt ved direktiv (EU) 2016/680.

Ingen undtagelse om videregivelse af data til de nationale databeskyttelsesmyndigheder i henhold til denne

forordning bør påvirke disse myndigheders nuværende eller fremtidige beføjelser uden for denne forordnings

anvendelsesområde.

(160)

Markedsovervågningsmyndighederne og Kommissionen bør kunne foreslå fælles aktiviteter, herunder fælles

undersøgelser, som skal gennemføres af markedsovervågningsmyndigheder eller af markedsovervågningsmyndighe-

der sammen med Kommissionen, og som har til formål at fremme overholdelse, identificere manglende

overholdelse, øge bevidstheden og yde vejledning for så vidt angår denne forordning med hensyn til specifikke

kategorier af højrisiko-AI-systemer, der anses for at udgøre en alvorlig risiko i to eller flere medlemsstater. Der bør

gennemføres fælles aktiviteter til fremme af overholdelse i overensstemmelse med artikel 9 i forordning

(EU) 2019/1020. AI-kontoret bør sørge for koordinerende støtte til de fælles undersøgelser.

(161)

Det er nødvendigt at præcisere ansvarsområder og kompetenceområder på EU-plan og nationalt plan for så vidt

angår AI-systemer, der bygger på AI-modeller til almen brug. For at undgå, at kompetenceområderne overlapper

med hinanden, hvis et AI-system bygger på en AI-model til almen brug, og modellen og systemet leveres af den

(

)

Rådets forordning (EU) nr. 1024/2013 af 15. oktober 2013 om overdragelse af specifikke opgaver til Den Europæiske Centralbank

i forbindelse med politikker vedrørende tilsyn med kreditinstitutter (EUT L 287 af 29.10.2013, s. 63).

40/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

samme udbyder, bør tilsynet finde sted på EU-plan gennem AI-kontoret, som i den forbindelse bør have

markedsovervågningsmyndighedens beføjelser som omhandlet i forordning (EU) 2019/1020. I alle andre tilfælde er

de nationale markedsovervågningsmyndigheder fortsat ansvarlige for tilsynet med AI-systemer. Hvad angår

AI-systemer til almen brug, som kan anvendes direkte af idriftsættere til mindst ét formål, der er klassificeret som

højrisiko, bør markedsovervågningsmyndighederne dog samarbejde med AI-Kontoret om at foretage evalueringer af

overholdelsen og underrette AI-udvalget og andre markedsovervågningsmyndigheder i overensstemmelse hermed.

Markedsovervågningsmyndighederne bør desuden kunne anmode AI-kontoret om bistand, hvis markedsovervåg-

ningsmyndigheden ikke er i stand til at afslutte en undersøgelse af et højrisiko-AI-system som følge af manglende

adgang til visse oplysninger vedrørende AI-modeller til almen brug, som højrisiko-AI-systemet er bygget på.

I sådanne tilfælde bør proceduren for gensidig bistand i grænseoverskridende sager i kapitel VI i forordning

(EU) 2019/1020 finde tilsvarende anvendelse.

(162)

For at udnytte den centraliserede EU-ekspertise og synergier bedst muligt på EU-plan bør Kommissionen tillægges

beføjelser til at føre tilsyn med og håndhæve forpligtelserne for udbydere af AI-modeller til almen brug. AI-kontoret

bør kunne foretage alle nødvendige tiltag for at overvåge, om denne forordning gennemføres effektivt for så vidt

angår AI-modeller til almen brug. Det bør både på eget initiativ på baggrund af resultaterne af sine

overvågningsaktiviteter eller efter anmodning fra markedsovervågningsmyndigheder i overensstemmelse med de

betingelser, der er fastsat i denne forordning, kunne undersøge mulige overtrædelser af reglerne for udbydere af

AI-modeller til almen brug. For at understøtte AI-kontoret med at foretage en effektiv overvågning bør det give

downstreamudbydere mulighed for at indgive klager over mulige overtrædelser af reglerne om udbydere af

AI-modeller og -systemer til almen brug.

(163)

Med henblik på at supplere forvaltningssystemerne for AI-modeller til almen brug bør det videnskabelige panel

støtte AI-kontorets overvågningsaktiviteter og kan i visse tilfælde sende kvalificerede varslinger til AI-kontoret,

hvilket udløser opfølgende foranstaltninger såsom undersøgelser. Dette bør være tilfældet, hvis det videnskabelige

panel har begrundet mistanke om, at en AI-model til almen brug udgør en konkret og identificerbar risiko på

EU-plan. Dette bør desuden være tilfældet, hvis det videnskabelige panel har begrundet mistanke om, at en AI-model

til almen brug opfylder de kriterier, der medfører en klassificering som en AI-model til almen brug med systemisk

risiko. For at give det videnskabelige panel de oplysninger, der er nødvendige for at varetage disse opgaver, bør der

findes en mekanisme, hvorved det videnskabelige panel kan anmode Kommissionen om at kræve dokumentation

eller oplysninger fra en udbyder.

(164)

AI-kontoret bør kunne foretage de nødvendige tiltag til at overvåge, at de forpligtelser for udbydere af AI-modeller til

almen brug, der er fastsat i denne forordning, gennemføres og overholdes effektivt. AI-kontoret bør kunne

undersøge mulige overtrædelser i overensstemmelse med de beføjelser, der er fastsat i denne forordning, herunder

ved at anmode om dokumentation og oplysninger, foretage evalueringer samt ved at anmode udbydere af

AI-modeller til almen brug om at træffe foranstaltninger. For at gøre brug af uafhængig ekspertise bør AI-kontoret

ved gennemførelse af evalueringer kunne inddrage uafhængige eksperter, som foretager evalueringer på dets vegne.

Overholdelse af forpligtelserne bør bl.a. kunne håndhæves gennem anmodninger om at træffe passende

foranstaltninger, herunder risikobegrænsende foranstaltninger i tilfælde af konstaterede systemiske risici samt

tilgængeliggørelse på markedet, tilbagetrækning eller tilbagekaldelse af modellen. Såfremt der skulle opstå behov ud

over de procedurerettigheder, der er fastsat i denne forordning, bør udbydere af AI-modeller til almen brug som en

sikkerhedsforanstaltning råde over de procedurerettigheder, der er fastsat i artikel 18 i forordning (EU) 2019/1020,

som bør finde tilsvarende anvendelse, uden at dette berører de mere specifikke procedurerettigheder fastsat

i nærværende forordning.

(165)

Udviklingen af andre AI-systemer end højrisiko-AI-systemer i overensstemmelse med kravene i denne forordning

kan føre til en større udbredelse af etisk og troværdig AI i Unionen. Udbydere af AI-systemer, der ikke er højrisiko,

bør tilskyndes til at udarbejde adfærdskodekser, herunder tilhørende forvaltningsmekanismer, med det formål at

fremme frivillig anvendelse af visse af eller alle de obligatoriske krav, der gælder for højrisiko-AI-systemer, og som er

tilpasset i lyset af det tilsigtede formål med systemerne og den lavere risiko, og under hensyntagen til de tilgængelige

tekniske løsninger og industriens bedste praksis såsom model og datakort. Udbydere og, alt efter hvad der er

relevant, idriftsættere af alle AI-systemer, højrisiko eller ej, og AI-modeller bør også tilskyndes til på frivillig basis at

anvende yderligere krav vedrørende f.eks. elementerne i Unionens etiske retningslinjer for troværdig AI, miljømæssig

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

41/144

EUT L af 12.7.2024

bæredygtighed, foranstaltninger vedrørende AI-færdigheder, inklusiv og mangfoldig udformning og udvikling af

AI-systemer, herunder med fokus på sårbare personer og tilgængelighed for personer med handicap, deltagelse af

interessenter med inddragelse i relevant omfang af relevante interessenter såsom erhvervslivet og civilsamfunds-

organisationer, den akademiske verden, forskningsorganisationer, fagforeninger og forbrugerbeskyttelsesorganisa-

tioner i udformning og udvikling af AI-systemer og mangfoldighed i udviklingsteamene, herunder kønsbalance. For

at sikre at de frivillige adfærdskodekser er effektive, bør de baseres på klare mål og centrale resultatindikatorer til

måling af realiseringen af disse mål. De bør også udvikles på en inklusiv måde og i relevant omfang med inddragelse

af relevante interessenter såsom erhvervslivet og civilsamfundsorganisationer, den akademiske verden, forsknings-

organisationer, fagforeninger og forbrugerbeskyttelsesorganisationer. Kommissionen kan udvikle initiativer, bl.a. på

sektorniveau, for at lette mindskelsen af tekniske hindringer for grænseoverskridende udveksling af data til

AI-udvikling, herunder med hensyn til dataadgangsinfrastruktur og semantisk og teknisk interoperabilitet af

forskellige typer data.

(166)

Det er vigtigt, at AI-systemer vedrørende produkter, der ikke er højrisikoprodukter i overensstemmelse med denne

forordning og derfor ikke skal overholde kravene for højrisiko-AI-systemer, ikke desto mindre er sikre, når de

bringes i omsætning eller ibrugtages. Med henblik på at bidrage til dette mål vil Europa-Parlamentets og Rådets

forordning (EU) 2023/988 (

) finde anvendelse som sikkerhedsnet.

(167)

For at sikre et tillidsfuldt og konstruktivt samarbejde mellem de kompetente myndigheder på EU-plan og nationalt

plan bør alle de parter, der er involveret i anvendelsen af denne forordning, respektere fortroligheden af oplysninger

og data, der er indhentet under udførelsen af deres opgaver i overensstemmelse med EU-retten eller national ret. De

bør udføre deres opgaver og aktiviteter på en sådan måde, at de navnlig beskytter intellektuelle ejendomsrettigheder,

fortrolige forretningsoplysninger og forretningshemmeligheder, en effektiv gennemførelse af denne forordning,

offentlige og nationale sikkerhedsinteresser, strafferetlige og administrative procedurers integritet og klassificerede

informationers integritet.

(168)

Overholdelsen af denne forordning bør kunne håndhæves ved pålæg af sanktioner og andre håndhævelses-

foranstaltninger. Medlemsstaterne bør træffe alle nødvendige foranstaltninger til at sikre, at bestemmelserne i denne

forordning gennemføres, herunder ved at fastsætte sanktioner for overtrædelse heraf, som er effektive, står i et

rimeligt forhold til overtrædelsen og har afskrækkende virkning, og at princippet om ne bis in idem respekteres. For

at styrke og harmonisere de administrative sanktioner for overtrædelse af denne forordning bør der fastsættes øvre

grænser for fastsættelse af administrative bøder for visse specifikke overtrædelser. Ved vurdering af bødernes

størrelse bør medlemsstaterne i hvert enkelt tilfælde tage hensyn til alle relevante omstændigheder i den specifikke

situation, navnlig under behørig hensyntagen til overtrædelsens art, grovhed og varighed og dens konsekvenser samt

til udbyderens størrelse, navnlig hvis udbyderen er en SMV, herunder en iværksættervirksomhed. Den Europæiske

Tilsynsførende for Databeskyttelse bør have beføjelse til at pålægge de EU-institutioner, -agenturer og -organer, der er

omfattet af denne forordnings anvendelsesområde, bøder.

(169)

Overholdelse af de forpligtelser for udbydere af AI-modeller til almen brug, der pålægges i henhold til denne

forordning, bør bl.a. kunne håndhæves ved hjælp af bøder. Med henblik herpå bør der også fastsættes passende

bødeniveauer for overtrædelse af disse forpligtelser, herunder manglende overholdelse af de foranstaltninger, som

Kommissionen har anmodet om i overensstemmelse med denne forordning, som er genstand for passende

forældelsesfrister i overensstemmelse med proportionalitetsprincippet. Alle afgørelser, der træffes af Kommissionen

i medfør af denne forordning, underkastes fornyet prøvelse ved EU-Domstolen i overensstemmelse med TEUF,

herunder EU-Domstolens fulde prøvelsesret vedrørende sanktioner i henhold til artikel 261 i TEUF.

(170)

EU-retten og national ret indeholder allerede bestemmelser om effektive retsmidler for fysiske og juridiske personer,

hvis rettigheder og frihedsrettigheder påvirkes negativt af anvendelsen af AI-systemer. Uden at det berører disse

retsmidler, bør enhver fysisk eller juridisk person, der har grund til at mene, at der er sket en overtrædelse af denne

forordning, have ret til at indgive en klage til den relevante markedsovervågningsmyndighed.

(171)

De berørte personer bør have ret til at få en forklaring, hvis en idriftsætters afgørelse hovedsagelig er baseret på

output fra visse højrisiko-AI-systemer, der er omfattet af anvendelsesområdet for denne forordning, og hvis

afgørelsen har retsvirkninger eller på tilsvarende måde i væsentlig grad påvirker disse personer på en måde, som de

(

)

Europa-Parlamentets og Rådets forordning (EU) 2023/988 af 10. maj 2023 om produktsikkerhed i almindelighed, om ændring af

Europa-Parlamentets og Rådets forordning (EU) nr. 1025/2012 og Europa-Parlamentets og Rådets direktiv (EU) 2020/1828 og om

ophævelse af Europa-Parlamentets og Rådets direktiv 2001/95/EF og Rådets direktiv 87/357/EØF (EUT L 135 af 23.5.2023, s. 1).

42/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

anser for at have negativ indvirkning på deres sundhed, sikkerhed eller grundlæggende rettigheder. Denne forklaring

bør være klar og meningsfuld og danne et grundlag, ud fra hvilket de berørte personer kan udøve deres rettigheder.

Retten til at få en forklaring bør ikke gælde for anvendelsen af AI-systemer, for hvilke undtagelser eller

begrænsninger følger af EU-retten eller national ret, og bør kun gælde, for så vidt denne rettighed ikke allerede er

fastsat i EU-retten.

(172)

Personer, der fungerer som »whistleblowere« i forbindelse med overtrædelser af denne forordning, bør beskyttes

i henhold til EU-retten. Europa-Parlamentets og Rådets direktiv (EU) 2019/1937 (

) bør derfor finde anvendelse på

indberetning af overtrædelser af denne forordning og på beskyttelsen af personer, der indberetter sådanne

overtrædelser.

(173)

For at den lovgivningsmæssige ramme om nødvendigt kan tilpasses, bør beføjelsen til at vedtage retsakter delegeres

til Kommissionen i overensstemmelse med artikel 290 i TEUF for at ændre betingelserne for, at et AI-system ikke skal

betragtes som værende højrisiko, listen over højrisiko-AI-systemer, bestemmelserne vedrørende teknisk

dokumentation, indholdet af EU-overensstemmelseserklæringen, bestemmelserne vedrørende overensstemmelses-

vurderingsprocedurer, bestemmelserne om fastsættelse af de højrisiko-AI-systemer, på hvilke overensstemmelses-

vurderingsproceduren på grundlag af en vurdering af kvalitetsstyringssystemet og en vurdering af den tekniske

dokumentation bør finde anvendelse, tærsklen, benchmarks og indikatorer, herunder ved at supplere disse

benchmarks og indikatorer, i reglerne om klassificering af AI-modeller til almen brug med systemisk risiko,

kriterierne for udpegelse af AI-modeller til almen brug med systemisk risiko, den tekniske dokumentation for

udbydere af AI-modeller til almen brug og gennemsigtighedsoplysningerne for udbydere af AI-modeller til almen

brug. Det er navnlig vigtigt, at Kommissionen gennemfører relevante høringer under sit forberedende arbejde,

herunder på ekspertniveau, og at disse høringer gennemføres i overensstemmelse med principperne i den

interinstitutionelle aftale af 13. april 2016 om bedre lovgivning (

). For at sikre lige deltagelse i forberedelsen af

delegerede retsakter modtager Europa-Parlamentet og Rådet navnlig alle dokumenter på samme tid som

medlemsstaternes eksperter, og deres eksperter har systematisk adgang til møder i Kommissionens ekspertgrupper,

der beskæftiger sig med forberedelse af delegerede retsakter.

(174)

I betragtning af den hastige teknologiske udvikling og den tekniske ekspertise, der er nødvendig for effektivt at

anvende denne forordning, bør Kommissionen evaluere og revidere denne forordning senest den 2. august 2029 og

derefter hvert fjerde år og aflægge rapport til Europa-Parlamentet og Rådet. Under hensyntagen til konsekvenserne

for denne forordnings anvendelsesområde bør Kommissionen desuden foretage en vurdering af behovet for at ændre

listen over højrisiko-AI-systemer og listen over forbudte praksisser én gang om året. Senest den 2. august 2028 og

derefter hvert fjerde år bør Kommissionen ydermere evaluere og aflægge rapport til Europa-Parlamentet og Rådet

om behovet for at ændre listen over højrisikoområdeoverskrifter i bilaget til denne forordning, de AI-systemer, der er

omfattet af gennemsigtighedsforpligtelserne, effektiviteten af tilsyns- og forvaltningssystemet og fremskridt med

udviklingen af standardiseringsdokumentation om en energieffektiv udvikling af AI-modeller til almen brug,

herunder behovet for yderligere foranstaltninger eller tiltag. Endelig bør Kommissionen senest den 2. august 2028

og derefter hvert tredje år evaluere virkningen og effektiviteten af frivillige adfærdskodekser med henblik på at

fremme anvendelsen af de fastsatte krav til højrisiko-AI-systemer i tilfælde af andre AI-systemer end

højrisiko-AI-systemer og eventuelt andre yderligere krav til sådanne AI-systemer.

(175)

For at sikre ensartede betingelser for gennemførelsen af denne forordning bør Kommissionen tillægges

gennemførelsesbeføjelser. Disse beføjelser bør udøves i overensstemmelse med Europa-Parlamentets og Rådets

forordning (EU) nr. 182/2011 (

(176)

Målet for denne forordning, nemlig at forbedre det indre markeds funktion og fremme udbredelsen af

menneskecentreret og troværdig AI og samtidig sikre et højt niveau af beskyttelse af sundhed, sikkerhed og de

grundlæggende rettigheder, der er nedfældet i chartret, herunder demokratiet, retsstatsprincippet og miljøbeskyttelse,

mod skadelige virkninger af AI-systemer i Unionen og støtte innovation, kan ikke i tilstrækkelig grad opfyldes af

medlemsstaterne, men kan på grund af handlingens omfang eller virkninger bedre nås på EU-plan; Unionen kan

(

)

(

)

(

)

Europa-Parlamentets og Rådets direktiv (EU) 2019/1937 af 23. oktober 2019 om beskyttelse af personer, der indberetter

overtrædelser af EU-retten (EUT L 305 af 26.11.2019, s. 17).

EUT L 123 af 12.5.2016, s. 1.

Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 af 16. februar 2011 om de generelle regler og principper for, hvordan

medlemsstaterne skal kontrollere Kommissionens udøvelse af gennemførelsesbeføjelser (EUT L 55 af 28.2.2011, s. 13).

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

43/144

EUT L af 12.7.2024

derfor vedtage foranstaltninger i overensstemmelse med nærhedsprincippet, jf. artikel 5 i TEU. I overensstemmelse

med proportionalitetsprincippet, jf. nævnte artikel, går denne forordning ikke videre, end hvad der er nødvendigt for

at nå dette mål.

(177)

Med henblik på at sikre retssikkerheden, sikre en passende tilpasningsperiode for operatører og undgå

markedsforstyrrelser, herunder ved at sikre kontinuitet i anvendelsen af AI-systemer, bør denne forordning kun

finde anvendelse på højrisiko-AI-systemer, der er bragt i omsætning eller ibrugtaget inden den generelle

anvendelsesdato, hvis disse systemer fra denne dato er genstand for betydelige ændringer af deres udformning eller

tilsigtede formål. Det er hensigtsmæssigt at præcisere, at begrebet betydelig ændring i denne henseende bør forstås

som indholdsmæssigt ækvivalent med begrebet væsentlig ændring, som kun anvendes i forbindelse med

højrisiko-AI-systemer i medfør af denne forordning. Undtagelsesvist og i lyset af offentlig ansvarlighed bør

operatører af AI-systemer, som er komponenter i de store IT-systemer, der er oprettet ved de retsakter, der er opført

i et bilag til denne forordning, og operatører af højrisiko-AI-systemer, der er tilsigtet anvendt af offentlige

myndigheder, henholdsvis tage de nødvendige skridt til at overholde kravene i denne forordning inden udgangen af

2030 og senest den 2. august 2030.

(178)

Udbydere af højrisiko-AI-systemer tilskyndes til frivilligt at begynde at overholde de relevante forpligtelser i denne

forordning allerede i overgangsperioden.

(179)

Denne forordning bør finde anvendelse fra den 2. august 2026. Under hensyntagen til den uacceptable risiko, der på

visse måder er forbundet med anvendelsen af AI, bør forbuddene og de almindelige bestemmelser i denne forordning

dog finde anvendelse allerede fra den 2. februar 2025. Selv om den fulde virkning af disse forbud følger med

indførelsen af forvaltningen og håndhævelsen af denne forordning, er det vigtigt at foregribe anvendelsen af

forbuddene for at tage hensyn til uacceptable risici, som har indvirkning på andre procedurer såsom i civilretten.

Infrastrukturen i forbindelse med forvaltnings- og overensstemmelsesvurderingssystemet bør desuden være

operationel inden den 2. august 2026, og bestemmelserne om bemyndigede organer og forvaltningsstruktur bør

derfor finde anvendelse fra den 2. august 2025. I betragtning af de hastige teknologiske fremskridt og udbredelsen af

AI-modeller til almen brug bør forpligtelserne for udbydere af AI-modeller til almen brug finde anvendelse fra den

2. august 2025. Praksiskodekser skal være klar senest den 2. maj 2025 med henblik på at gøre det muligt for

udbyderne rettidigt at påvise overholdelse. AI-kontoret bør sikre, at klassificeringsregler og -procedurer er ajourførte

i lyset af den teknologiske udvikling. Desuden bør medlemsstaterne fastsætte og meddele Kommissionen

bestemmelserne om sanktioner, herunder administrative bøder, og sikre, at de er gennemført korrekt og effektivt på

datoen for denne forordnings anvendelse. Bestemmelserne om sanktioner bør derfor finde anvendelse fra den

2. august 2025.

(180)

Den Europæiske Tilsynsførende for Databeskyttelse og Det Europæiske Databeskyttelsesråd er blevet hørt

i overensstemmelse med artikel 42, stk. 1 og 2, i forordning (EU) 2018/1725 og afgav deres fælles udtalelse den

18. juni 2021 —

VEDTAGET DENNE FORORDNING:

KAPITEL I

ALMINDELIGE BESTEMMELSER

Artikel 1

Genstand

Formålet med denne forordning er at forbedre det indre markeds funktion og fremme udbredelsen af

menneskecentreret og troværdig kunstig intelligens (AI) og samtidig sikre et højt niveau af beskyttelse af sundhed,

sikkerhed og de grundlæggende rettigheder, der er nedfældet i chartret, herunder demokratiet, retsstatsprincippet og

miljøbeskyttelse, mod de skadelige virkninger af AI-systemer i Unionen og støtte innovation.

Ved denne forordning fastsættes:

a) harmoniserede regler for omsætning, ibrugtagning og anvendelse af AI-systemer i Unionen

44/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

b) forbud mod visse former for AI-praksis

c) specifikke krav til højrisiko-AI-systemer og forpligtelser for operatører af sådanne systemer

d) harmoniserede gennemsigtighedsregler for bestemte AI-systemer

e) harmoniserede regler for omsætning af AI-modeller til almen brug

f) regler om overvågning efter omsætningen, markedsovervågning, forvaltning og håndhævelse

g) foranstaltninger til støtte for innovation med særligt fokus på SMV'er, herunder iværksættervirksomheder.

Artikel 2

Anvendelsesområde

Denne forordning finder anvendelse på:

a) udbydere, der bringer AI-systemer i omsætning eller ibrugtager sådanne eller bringer AI-modeller til almen brug

i omsætning i Unionen, uanset om disse udbydere er etableret eller befinder sig i Unionen eller i et tredjeland

b) idriftsættere af AI-systemer, der er etableret eller befinder sig i Unionen

c) udbydere og idriftsættere af AI-systemer, der er etableret eller befinder sig i et tredjeland, hvis det output, der produceres

af systemet, anvendes i Unionen

d) importører og distributører af AI-systemer

e) producenter af et produkt, der sammen med deres produkt og under eget navn eller varemærke bringer et AI-system

i omsætning eller ibrugtager det

f) bemyndigede repræsentanter for udbydere, der ikke er etableret i Unionen

g) berørte personer, der befinder sig i Unionen.

For så vidt angår AI-systemer, der er klassificeret som højrisiko-AI-systemer i overensstemmelse med artikel 6, stk. 1,

i forbindelse med produkter, der er omfattet af EU-harmoniseringslovgivningen opført i bilag I, afsnit B, finder kun artikel 6,

stk. 1, og artikel 102-109 og 112 anvendelse. Artikel 57 finder kun anvendelse, for så vidt kravene til højrisiko-AI-systemer

i henhold til denne forordning er blevet integreret i den pågældende EU-harmoniseringslovgivning.

Denne forordning finder ikke anvendelse på områder, der falder uden for EU-rettens anvendelsesområde, og berører

under alle omstændigheder ikke medlemsstaternes kompetencer vedrørende national sikkerhed, uanset hvilken type enhed

medlemsstaterne har bemyndiget til at udføre opgaver i forbindelse med disse kompetencer.

Denne forordning finder ikke anvendelse på AI-systemer, hvis og i det omfang de bringes i omsætning, ibrugtages eller

anvendes med eller uden ændring til formål, der udelukkende vedrører militær, forsvar eller national sikkerhed, uanset

hvilken type enhed der udfører disse aktiviteter.

Denne forordning finder ikke anvendelse på AI-systemer, der ikke bringes i omsætning eller ibrugtages i Unionen, hvis

outputtet anvendes i Unionen til formål, der udelukkende vedrører militær, forsvar eller national sikkerhed, uanset hvilken

type enhed der udfører disse aktiviteter.

Denne forordning finder hverken anvendelse på offentlige myndigheder i tredjelande eller internationale

organisationer, der er omfattet af denne forordnings anvendelsesområde, jf. stk. 1, hvis disse myndigheder eller

organisationer anvender AI-systemer inden for rammerne af internationalt samarbejde eller internationale aftaler om

retshåndhævelse og retligt samarbejde med Unionen eller med en eller flere medlemsstater, forudsat at et sådant tredjeland

eller en sådan international organisation træffer tilstrækkelige sikkerhedsforanstaltninger med hensyn til beskyttelsen af

fysiske personers grundlæggende rettigheder og friheder.

Denne forordning berører ikke anvendelsen af bestemmelserne om udbydere af formidlingstjenesters ansvar som

fastsat i kapitel II i forordning (EU) 2022/2065.

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

45/144

EUT L af 12.7.2024

Denne forordning finder ikke anvendelse på AI-systemer eller AI-modeller, herunder deres output, som specifikt er

udviklet og ibrugtaget udelukkende med henblik på videnskabelig forskning og udvikling.

EU-retten om beskyttelse af personoplysninger, privatlivets fred og kommunikationshemmeligheden finder

anvendelse på personoplysninger, som behandles i forbindelse med de rettigheder og forpligtelser, der er fastsat i denne

forordning. Denne forordning berører ikke forordning (EU) 2016/679 eller (EU) 2018/1725 eller direktiv 2002/58/EF eller

(EU) 2016/680, uden at det berører nærværende forordnings artikel 10, stk. 5, og artikel 59.

Denne forordning finder ikke anvendelse på forsknings-, afprøvnings- eller udviklingsaktiviteter vedrørende

AI-systemer eller AI-modeller, inden de bringes i omsætning eller ibrugtages. Sådanne aktiviteter gennemføres

i overensstemmelse med gældende EU-ret. Afprøvning under faktiske forhold er ikke omfattet af denne undtagelse.

Denne forordning berører ikke de regler, der er fastsat i andre EU-retsakter vedrørende forbrugerbeskyttelse og

produktsikkerhed.

10.

Denne forordning finder ikke anvendelse på forpligtelser for idriftsættere, som er fysiske personer, der anvender

AI-systemer som led i rent personlige ikkeerhvervsmæssige aktiviteter.

11.

Denne forordning er ikke til hinder for, at Unionen eller medlemsstaterne opretholder eller indfører love, forskrifter

eller administrative bestemmelser, der er gunstigere for arbejdstagerne med hensyn til beskyttelse af deres rettigheder

i forbindelse med arbejdsgivernes anvendelse af AI-systemer, eller tilskynder til eller tillader anvendelse af kollektive

overenskomster, der er gunstigere for arbejdstagerne.

12.

Denne forordning finder ikke anvendelse på AI-systemer, der frigives i henhold til gratis open source-licenser,

medmindre de bringes i omsætning eller ibrugtages som højrisiko-AI-systemer eller et AI-system, der er omfattet af artikel 5

eller 50.

Artikel 3

Definitioner

I denne forordning forstås ved:

1) »AI-system«: et maskinbaseret system, som er udformet med henblik på at fungere med en varierende grad af autonomi,

og som efter idriftsættelsen kan udvise en tilpasningsevne, og som til eksplicitte eller implicitte mål af det input, det

modtager, udleder, hvordan det kan generere output såsom forudsigelser, indhold, anbefalinger eller beslutninger, som

kan påvirke fysiske eller virtuelle miljøer

2) »risiko«: kombinationen af sandsynligheden for, at der opstår en skade, og den pågældende skades alvor

3) »udbyder«: en fysisk eller juridisk person, en offentlig myndighed, et agentur eller et andet organ, der udvikler eller får

udviklet et AI-system eller en AI-model til almen brug og bringer dem i omsætning eller ibrugtager AI-systemet under

eget navn eller varemærke, enten mod betaling eller gratis

4) »idriftsætter«: en fysisk eller juridisk person, en offentlig myndighed, et agentur eller et andet organ, der anvender et

AI-system under sin myndighed, medmindre AI-systemet anvendes som led i en personlig ikkeerhvervsmæssig aktivitet

5) »bemyndiget repræsentant«: en fysisk eller juridisk person, der befinder sig eller er etableret i Unionen, og som har

modtaget og accepteret et skriftligt mandat fra en udbyder af et AI-system eller en AI-model til almen brug til på

dennes vegne at opfylde og udføre de forpligtelser og procedurer, der er fastsat i denne forordning

6) »importør«: en fysisk eller juridisk person, som befinder sig eller er etableret i Unionen, og som bringer et AI-system

i omsætning, der bærer en i et tredjeland etableret fysisk eller juridisk persons navn eller varemærke

7) »distributør«: en fysisk eller juridisk person i forsyningskæden, bortset fra udbyderen eller importøren, som gør et

AI-system tilgængeligt på EU-markedet

8) »operatør«: en udbyder, producent af et produkt, idriftsætter, bemyndiget repræsentant, importør eller distributør

46/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

9) »omsætning«: den første tilgængeliggørelse af et AI-system eller en AI-model til almen brug på EU-markedet

10) »tilgængeliggørelse på markedet«: levering af et AI-system eller en AI-model til almen brug med henblik på distribution

eller anvendelse på EU-markedet som led i erhvervsvirksomhed mod eller uden vederlag

11) »ibrugtagning«: levering af et AI-system til anvendelse for første gang enten direkte til idriftsætteren eller til egen brug

i Unionen i overensstemmelse med dets tilsigtede formål

12) »tilsigtet formål«: den anvendelse, som et AI-system af udbyderen er tilsigtet, herunder den specifikke sammenhæng og

de specifikke betingelser for anvendelse som angivet i de oplysninger, udbyderen giver i brugsanvisningen, reklame-

eller salgsmaterialet og reklame- og salgserklæringerne samt i den tekniske dokumentation

13) »fejlanvendelse, der med rimelighed kan forudses«: anvendelse af et AI-system på en måde, der ikke er

i overensstemmelse med systemets tilsigtede formål, men som kan skyldes menneskelig adfærd eller interaktion

med andre systemer, herunder andre AI-systemer, der med rimelighed kan forudses

14) »sikkerhedskomponent«: en komponent i et produkt eller et AI-system, som har en sikkerhedsfunktion for det

pågældende produkt eller AI-system eller i tilfælde af svigt eller funktionsfejl, som bringer personers sundhed og

sikkerhed eller ejendom i fare, i produktet eller systemet

15) »brugsanvisning«: oplysninger fra udbyderen med henblik på at informere idriftsætteren om navnlig et AI-systems

tilsigtede formål og korrekte anvendelse

16) »tilbagekaldelse af et AI-system«: enhver foranstaltning, der har til formål at opnå, at et AI-system, der allerede er gjort

tilgængeligt for idriftsætterne, returneres til udbyderen eller tages ud af drift eller deaktiveres

17) »tilbagetrækning af et AI-system«: enhver foranstaltning, der har til formål at forhindre, at et AI-system

i forsyningskæden gøres tilgængeligt på markedet

18) »et AI-systems ydeevne«: et AI-systems evne til at opfylde det tilsigtede formål

19) »bemyndigende myndighed«: den nationale myndighed, der er ansvarlig for at indføre og gennemføre de nødvendige

procedurer for vurdering, udpegelse og notifikation af overensstemmelsesvurderingsorganer og for overvågning heraf

20) »overensstemmelsesvurdering«: processen til påvisning af, om de i kapitel III, afdeling 2, fastsatte krav vedrørende et

højrisiko-AI-system er opfyldt

21) »overensstemmelsesvurderingsorgan«: et organ, der som tredjepart udfører overensstemmelsesvurderingsaktiviteter,

herunder afprøvning, certificering og inspektion

22) »bemyndiget organ«: et overensstemmelsesvurderingsorgan, der er notificeret i overensstemmelse med denne

forordning og anden relevant EU-harmoniseringslovgivning

23) »væsentlig ændring«: en ændring af et AI-system efter dets omsætning eller ibrugtagning, som ikke er forudset eller

planlagt i udbyderens indledende overensstemmelsesvurdering, og som følge af hvilken AI-systemets overholdelse af de

i kapitel III, afdeling 2, fastsatte krav påvirkes eller medfører en ændring af det tilsigtede formål, med henblik på hvilket

AI-systemet er vurderet

24) »CE-mærkning«: en mærkning, hvormed en udbyder angiver, at et AI-system er i overensstemmelse med de krav, der er

fastsat i kapitel III, afdeling 2, og anden gældende EU-harmoniseringslovgivning, og om anbringelse af denne mærkning

25) »system til overvågning efter omsætningen«: alle aktiviteter, som udbydere af AI-systemer udfører for at samle og

gennemgå erfaringer med anvendelse af de AI-systemer, de bringer i omsætning eller ibrugtager, med henblik på at

afdække eventuelle behov for omgående at foretage nødvendige, korrigerende eller forebyggende tiltag

26) »markedsovervågningsmyndighed«: den nationale myndighed, der udfører aktiviteterne og træffer foranstaltningerne

i henhold til forordning (EU) 2019/1020

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

47/144

EUT L af 12.7.2024

27) »harmoniseret standard«: en harmoniseret standard som defineret i artikel 2, nr. 1), litra c), i forordning

(EU) nr. 1025/2012

28) »fælles specifikation«: et sæt af tekniske specifikationer som defineret i artikel 2, nr. 4), i forordning (EU) nr. 1025/2012,

der giver mulighed for at overholde visse krav, der er fastsat i nærværende forordning

29) »træningsdata«: data, der anvendes til træning af et AI-system ved hjælp af tilpasning af dets lærbare parametre

30) »valideringsdata«: data, der anvendes til at foretage en evaluering af det trænede AI-system og til at justere systemets

ikkelærbare parametre og dets læringsproces med henblik på bl.a. at forhindre undertilpasning eller overtilpasning

31) »valideringsdatasæt«: et separat datasæt eller en del af træningsdatasættet, enten som et fast eller variabelt split

32) »afprøvningsdata«: data, der anvendes til en uafhængig evaluering af AI-systemet for at bekræfte systemets forventede

ydeevne, inden det bringes i omsætning eller ibrugtages

33) »inputdata«: data, der leveres til eller hentes direkte af et AI-system, og på grundlag af hvilke systemet leverer et output

34) »biometriske data«: personoplysninger som følge af specifik teknisk behandling vedrørende en fysisk persons fysiske,

fysiologiske eller adfærdsmæssige karakteristika som f.eks. ansigtsbilleder eller fingeraftryksoplysninger

35) »biometrisk identifikation«: automatiseret genkendelse af fysiske, fysiologiske, adfærdsmæssige eller psykologiske

menneskelige træk med henblik på at fastslå en fysisk persons identitet ved at sammenligne den pågældende persons

biometriske data med biometriske data om enkeltpersoner lagret i en database

36) »biometrisk verifikation«: automatiseret, en-til-en-verifikation, herunder autentificering, af fysiske personers identitet

ved at sammenligne deres biometriske data med tidligere afgivne biometriske data

37) »særlige kategorier af personoplysninger«: de kategorier af personoplysninger, der er omhandlet i artikel 9, stk. 1,

i forordning (EU) 2016/679, artikel 10 i direktiv (EU) 2016/680 og artikel 10, stk. 1, i forordning (EU) 2018/1725

38) »følsomme operationelle data«: operationelle data vedrørende aktiviteter med henblik på forebyggelse, afsløring,

efterforskning eller retsforfølgning af strafbare handlinger, hvis videregivelse kan bringe straffesagens integritet i fare

39) »system til følelsesgenkendelse«: et AI-system, der har til formål at genkende eller udlede fysiske personers følelser eller

hensigter på grundlag af deres biometriske data

40) »system til biometrisk kategorisering«: et AI-system, der har til formål at placere fysiske personer i bestemte kategorier

på grundlag af deres biometriske data, medmindre de understøtter en anden kommerciel tjeneste og er strengt

nødvendige af objektive tekniske årsager

41) »system til biometrisk fjernidentifikation«: et AI-system, der har til formål at identificere fysiske personer uden deres

aktive deltagelse, typisk på afstand, ved at sammenligne en persons biometriske data med de biometriske data i en

referencedatabase

42) »system til biometrisk fjernidentifikation i realtid«: et system til biometrisk fjernidentifikation, hvor optagelse af

biometriske data, sammenligning og identifikation alle finder sted uden væsentlig forsinkelse, omfattende ikke blot

øjeblikkelig identifikation, men også begrænsede, korte forsinkelser for at undgå omgåelse

43) »system til efterfølgende biometrisk fjernidentifikation«: et system til biometrisk fjernidentifikation, som ikke er et

system til biometrisk fjernidentifikation i realtid

44) »offentligt sted«: ethvert offentligt eller privatejet fysisk sted, der er tilgængeligt for et ubestemt antal fysiske personer,

uanset om der kan gælde visse adgangsbetingelser, og uanset de potentielle kapacitetsbegrænsninger

48/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

45) »retshåndhævende myndigheder«:

a) enhver offentlig myndighed, der er kompetent med hensyn til at forebygge, efterforske, afsløre eller retsforfølge

strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den

offentlige sikkerhed, eller

b) ethvert andet organ eller enhver anden enhed, som i henhold til medlemsstaternes nationale ret udøver offentlig

myndighed og offentlige beføjelser med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare

handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige

sikkerhed

46) »retshåndhævelse«: aktiviteter, som udføres af retshåndhævende myndigheder eller på deres vegne, med hensyn til at

forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder

beskytte mod og forebygge trusler mod den offentlige sikkerhed

47) »AI-kontoret«: Kommissionens funktion med at bidrage til gennemførelsen og overvågningen af og tilsynet med

AI-systemer og AI-modeller til almen brug og AI-forvaltning, der er fastsat i Kommissionens afgørelse af 24. januar

2024; henvisninger i denne forordning til AI-kontoret forstås som henvisninger til Kommissionen

48) »national kompetent myndighed«: en bemyndigende myndighed eller en markedsovervågningsmyndighed; for så vidt

angår AI-systemer, der tages i brug eller anvendes af EU-institutioner, -agenturer, -kontorer og -organer, forstås

henvisninger til nationale kompetente myndigheder eller markedsovervågningsmyndigheder i denne forordning som

henvisninger til Den Europæiske Tilsynsførende for Databeskyttelse

49) »alvorlig hændelse«: en hændelse eller funktionsfejl i et AI-system, som direkte eller indirekte fører til et af følgende

udfald:

a) et menneskes død eller alvorlig skade på et menneskes helbred

b) en alvorlig og uoprettelig forstyrrelse i forvaltningen eller driften af kritisk infrastruktur

c) overtrædelse af forpligtelser i henhold til den del af EU-retten, der har til formål at beskytte de grundlæggende

rettigheder

d) alvorlig skade på ejendom eller miljøet

50) »personoplysninger«: personoplysninger som defineret i artikel 4, nr. 1), i forordning (EU) 2016/679

51) »andre data end personoplysninger«: andre data end personoplysninger som defineret i artikel 4, nr. 1), i forordning

(EU) 2016/679

52) »profilering«: profilering som defineret artikel 4, nr. 4), i forordning (EU) 2016/679

53) »plan for afprøvning under faktiske forhold«: et dokument, der beskriver mål, metode, geografisk, befolkningsmæssig

og tidsmæssig rækkevidde, overvågning, tilrettelæggelse og gennemførelse af afprøvning under faktiske forhold

54) »sandkasseplan«: et dokument, der er opnået enighed om mellem den deltagende udbyder og den kompetente

myndighed, og som beskriver mål, betingelser, tidsramme, metode og kravene for de aktiviteter, der udføres inden for

sandkassen

55) »reguleringsmæssig AI-sandkasse«: en kontrolleret ramme, som er oprettet af en kompetent myndighed, og som giver

udbydere eller potentielle udbydere af AI-systemer mulighed for, hvis det er relevant, under faktiske forhold at udvikle,

træne, validere og afprøve et innovativt AI-system i henhold til en sandkasseplan i en begrænset periode under

reguleringsmæssigt tilsyn

56) »AI-færdigheder«: færdigheder, viden og forståelse, der giver udbydere, idriftsættere og berørte personer mulighed for

under hensyntagen til deres respektive rettigheder og forpligtelser i forbindelse med denne forordning at idriftsætte

AI-systemer på et informeret grundlag samt at øge bevidstheden om muligheder og risici ved AI og den mulige skade,

som den kan forvolde

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

49/144

EUT L af 12.7.2024

57) »afprøvning under faktiske forhold«: midlertidig afprøvning af et AI-system med henblik på dets tilsigtede formål under

faktiske forhold uden for et laboratorium eller på anden måde simuleret miljø med henblik på at indsamle pålidelige og

solide data og vurdere og verificere AI-systemets overensstemmelse med kravene i denne forordning, og det er ikke

ensbetydende med at bringe AI-systemet i omsætning eller ibrugtage det som omhandlet i denne forordning, forudsat

at alle betingelserne i henhold til artikel 57 eller 60 er opfyldt

58) »forsøgsperson« med henblik på afprøvning under faktiske forhold: en fysisk person, der deltager i afprøvning under

faktiske forhold

59) »informeret samtykke«: en forsøgspersons frie, specifikke, utvetydige og frivillige tilkendegivelse af sin vilje til at deltage

i en bestemt afprøvning under faktiske forhold efter at være blevet informeret om alle aspekter af afprøvningen, der er

relevante for forsøgspersonens beslutning om at deltage

60) »deepfake«: et ved hjælp af AI genereret eller manipuleret billed-, lyd- eller videoindhold, der i væsentlig grad ligner

faktiske personer, genstande, steder, enheder eller begivenheder, og som fejlagtigt vil fremstå ægte eller sandfærdigt

61) »udbredt overtrædelse«: enhver handling eller undladelse, der er i strid med EU-retten, som beskytter enkeltpersoners

interesser, og som:

a) har skadet eller må antages at kunne skade de kollektive interesser for enkeltpersoner med bopæl i mindst to

medlemsstater ud over den medlemsstat, hvor:

i) handlingen eller undladelsen har sin oprindelse eller har fundet sted

ii) den pågældende udbyder eller, hvis det er relevant, dennes bemyndigede repræsentant befinder sig eller er

etableret, eller

iii) idriftsætteren er etableret, når overtrædelsen bliver begået af idriftsætteren

b) har skadet, skader eller må antages at kunne skade enkeltpersoners kollektive interesser og har fælles træk, herunder

samme ulovlige praksis og tilsidesættelse af den samme interesse, og begås samtidigt af den samme operatør

i mindst tre medlemsstater

62) »kritisk infrastruktur«: kritisk infrastruktur som defineret i artikel 2, nr. 4), i direktiv (EU) 2022/2557

63) »AI-model til almen brug«: en AI-model, herunder når en sådan AI-model er trænet med en stor mængde data ved

hjælp af selvovervågning i stor skala, som udviser betydelig generalitet og har kompetence til at udføre en lang række

forskellige opgaver, uanset hvordan modellen bringes i omsætning, og som kan integreres i en række

downstreamsystemer eller -applikationer, bortset fra AI-modeller, der anvendes til forsknings-, udviklings- og

prototypeaktiviteter, inden de bringes i omsætning

64) »kapaciteter med stor virkning«: kapaciteter, som svarer til eller overstiger de kapaciteter, der er registreret i de mest

avancerede AI-modeller til almen brug

65) »systemisk risiko«: en risiko, der er specifik for kapaciteter med stor virkning i AI-modeller til almen brug, og som har

betydelig indvirkning på EU-markedet på grund af deres omfang eller på grund af faktiske negative virkninger, der med

rimelighed kan forudses, for folkesundheden, sikkerheden, den offentlige sikkerhed, de grundlæggende rettigheder eller

samfundet som helhed, som kan opformeres i stor skala i hele værdikæden

66) »AI-system til almen brug«: et AI-system, som er baseret på en AI-model til almen brug, og som har kapacitet til at

opfylde en række forskellige formål, både til direkte anvendelse og til integration i andre AI-systemer

67) »flydende kommatalsberegning«: enhver matematisk beregning eller ligning, der omfatter flydende kommatal, som er

en delmængde af de reelle tal, der typisk vises på computere i form af et heltal med fast præcision, som justeres med en

heltalseksponent med fastlagt basis

68) »downstreamudbyder«: en udbyder af et AI-system, herunder et AI-system til almen brug, som integrerer en AI-model,

uanset om AI-modellen leveres af udbyderen selv og integreres vertikalt eller leveres af en anden enhed på grundlag af

kontraktforhold.

50/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

Artikel 4

AI-færdigheder

Udbydere og idriftsættere af AI-systemer træffer foranstaltninger til i videst muligt omfang at sikre et tilstrækkeligt niveau af

AI-færdigheder hos deres personale og andre personer, der er involveret i drift og anvendelse af AI-systemer på deres vegne,

og tager herved hensyn til disse personers tekniske viden, erfaring og uddannelse og den kontekst, hvori AI-systemerne skal

anvendes, og de personer eller grupper af personer, som AI-systemerne skal anvendes på.

KAPITEL II

FORBUDTE FORMER FOR AI-PRAKSIS

Artikel 5

Forbudte former for AI-praksis

Følgende former for AI-praksis er forbudt:

a) omsætning, ibrugtagning eller anvendelse af et AI-system, der anvender subliminale teknikker, der rækker ud over den

menneskelige bevidsthed, eller bevidst manipulerende eller vildledende teknikker med henblik på eller med det resultat

i væsentlig grad at fordreje en persons eller en gruppe af personers adfærd ved betydeligt at hæmme dennes evne til at

træffe informerede beslutninger, hvilket får dem til at træffe en beslutning, som de ellers ikke ville have truffet, på en

måde, der forvolder eller med rimelig sandsynlighed vil forvolde den pågældende person, en anden person eller en

gruppe af personer betydelig skade

b) omsætning, ibrugtagning eller anvendelse af et AI-system, der hos en fysisk person eller en specifik gruppe af personer

udnytter sårbarheder på grundlag af alder, handicap eller en særlig social eller økonomisk situation med henblik på eller

med det resultat i væsentlig grad at fordreje den pågældende persons eller en til gruppen hørende persons adfærd på en

måde, der forvolder eller med rimelig sandsynlighed vil forvolde den pågældende person eller en anden person betydelig

skade

c) omsætning, ibrugtagning eller anvendelse af AI-systemer til evaluering eller klassificering af fysiske personer eller

grupper af personer over en given periode på grundlag af deres sociale adfærd eller kendte, udledte eller forudsagte

personlige egenskaber eller personlighedstræk, således at den sociale bedømmelse fører til et af eller begge følgende

udfald:

i) skadelig eller ugunstig behandling af visse fysiske personer eller grupper af personer i sociale sammenhænge, som

ikke har noget at gøre med de sammenhænge, i hvilke dataene oprindeligt blev genereret eller indsamlet

ii) skadelig eller ugunstig behandling af visse fysiske personer eller grupper af personer, som er uberettiget eller

uforholdsmæssig i forhold til deres sociale adfærd eller betydningen heraf

d) omsætning, ibrugtagning til dette specifikke formål eller anvendelse af et AI-system til at foretage risikovurderinger af

fysiske personer for at vurdere eller forudsige risikoen for, at en fysisk person begår en strafbar handling, hvilket alene er

baseret på profilering af en fysisk person eller en vurdering af deres personlighedstræk og personlige egenskaber; dette

forbud finder ikke anvendelse på AI-systemer, der anvendes til at understøtte den menneskelige vurdering af en persons

involvering i en kriminel aktivitet, som allerede er baseret på objektive og verificerbare kendsgerninger, der er direkte

knyttet til en kriminel aktivitet

e) omsætning, ibrugtagning til dette specifikke formål eller anvendelse af AI-systemer, der opretter eller udvider

ansigtsgenkendelsesdatabaser gennem ikkemålrettet indsamling af ansigtsbilleder fra internettet eller kameraovervågning

f) omsætning, ibrugtagning til dette specifikke formål eller anvendelse af AI-systemer til at udlede følelser hos en fysisk

person på arbejdspladser og uddannelsesinstitutioner, undtagen hvis anvendelsen af AI-systemet er tilsigtet at blive bragt

i omsætning af medicinske eller sikkerhedsmæssige årsager

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

51/144

EUT L af 12.7.2024

g) omsætning, ibrugtagning til dette specifikke formål eller anvendelse af systemer til biometrisk kategorisering, som

kategoriserer fysiske personer individuelt på grundlag af deres biometriske data med henblik på at udlede deres race,

politiske anskuelser, fagforeningsmedlemskab, religiøse eller filosofiske overbevisning, seksuelle forhold eller seksuelle

orientering; dette forbud omfatter ikke mærkning eller filtrering af lovligt indhentede biometriske datasæt såsom billeder

på grundlag af biometriske data eller kategorisering af biometriske data på retshåndhævelsesområdet

h) anvendelse af systemer til biometrisk fjernidentifikation i realtid på offentlige steder med henblik på retshåndhævelse,

medmindre og i det omfang en sådan anvendelse er strengt nødvendig til et af følgende formål:

i) målrettet eftersøgning af specifikke ofre for bortførelse, menneskehandel eller seksuel udnyttelse af mennesker samt

eftersøgning af forsvundne personer

ii) forebyggelse af en specifik, væsentlig og overhængende trussel mod fysiske personers liv eller fysiske sikkerhed eller

en reel og aktuel eller reel og forudsigelig trussel om et terrorangreb

iii) lokalisering eller identifikation af en person, der mistænkes for at have begået en strafbar handling, med henblik på

en strafferetlig efterforskning af eller retsforfølgning eller fuldbyrdelse af en strafferetlig sanktion for overtrædelser,

der er omhandlet i bilag II, og som i den pågældende medlemsstat kan straffes med frihedsstraf eller en anden

frihedsberøvende foranstaltning af en maksimal varighed på mindst fire år.

Første afsnit, litra h), berører ikke artikel 9 i forordning (EU) 2016/679 med hensyn til behandling af biometriske data til

andre formål end retshåndhævelse.

Anvendelsen af systemer til biometrisk fjernidentifikation i realtid på offentlige steder med henblik på

retshåndhævelse til et af de i stk. 1, første afsnit, litra h), omhandlede formål må kun idriftsættes til de formål, der er

fastsat i nævnte litra, for at bekræfte den specifikt målrettede persons identitet og skal tage hensyn til følgende elementer:

a) karakteren af den situation, der giver anledning til den mulige anvendelse, navnlig alvorligheden, sandsynligheden og

omfanget af den skade, der ville blive forvoldt, hvis systemet ikke blev anvendt

b) konsekvenserne for alle de berørte personers rettigheder og friheder, navnlig alvorligheden, sandsynligheden og

omfanget af disse konsekvenser, hvis systemet anvendes.

Ved anvendelse af systemer til biometrisk fjernidentifikation i realtid på offentlige steder med henblik på retshåndhævelse til

et af de i denne artikels stk. 1, første afsnit, litra h), omhandlede formål overholdes desuden nødvendige og forholdsmæssige

sikkerhedsforanstaltninger og betingelser vedrørende anvendelsen i overensstemmelse med den nationale ret, der tillader

anvendelse heraf, navnlig for så vidt angår tidsmæssige, geografiske og personmæssige begrænsninger. Anvendelsen af

systemet til biometrisk fjernidentifikation i realtid på offentlige steder tillades kun, hvis den retshåndhævende myndighed

har gennemført en konsekvensanalyse vedrørende grundlæggende rettigheder som fastsat i artikel 27 og har registreret

systemet i EU-databasen i overensstemmelse med artikel 49. I behørigt begrundede hastende tilfælde kan anvendelsen af

sådanne systemer dog påbegyndes uden registrering i EU-databasen, forudsat at registreringen afsluttes uden unødigt

ophold.

Med henblik på stk. 1, første afsnit, litra h), og stk. 2, er hver anvendelse af et system til biometrisk fjernidentifikation

i realtid på offentlige steder med henblik på retshåndhævelse betinget af en forudgående tilladelse, der er udstedt af en

judiciel myndighed eller en uafhængig administrativ myndighed, hvis afgørelse er bindende i den medlemsstat, hvor

anvendelsen skal finde sted, på grundlag af en begrundet anmodning og i overensstemmelse med de nærmere regler

i national ret, jf. stk. 5. I behørigt begrundede hastende tilfælde kan anvendelsen af et sådant system dog påbegyndes uden

tilladelse, på betingelse af at der anmodes om en sådan tilladelse uden unødigt ophold og senest inden for 24 timer. Hvis en

sådan tilladelse afvises, bringes anvendelsen straks til ophør, og alle data såvel som resultater og output af denne anvendelse

kasseres og slettes omgående.

Den kompetente judicielle myndighed eller en uafhængig administrativ myndighed, hvis afgørelse er bindende, udsteder kun

tilladelsen, hvis den på grundlag af objektive beviser eller klare indikationer, den får forelagt, finder det godtgjort, at

anvendelsen af det pågældende system til biometrisk fjernidentifikation i realtid er nødvendig og forholdsmæssig for at

opfylde et af de i stk. 1, første afsnit, litra h), anførte formål som anført i anmodningen og navnlig fortsat begrænses til,

52/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

hvad der er strengt nødvendigt for så vidt angår tidsperioden samt det geografiske og personmæssige anvendelsesområde.

Når den pågældende myndighed træffer afgørelse om anmodningen, tager den hensyn til de i stk. 2 omhandlede elementer.

Der må ikke træffes nogen afgørelse, der har negative retsvirkninger for en person, udelukkende baseret på outputtet af

systemet til efterfølgende biometrisk fjernidentifikation i realtid.

Uden at det berører stk. 3, skal hver anvendelse af et system til biometrisk fjernidentifikation i realtid på offentlige

steder med henblik på retshåndhævelse meddeles den relevante markedsovervågningsmyndighed og den nationale

databeskyttelsesmyndighed i overensstemmelse med de nationale regler, jf. stk. 5. Meddelelsen skal som minimum

indeholde de oplysninger, der er anført i stk. 6, og må ikke indeholde følsomme operationelle data.

En medlemsstat kan beslutte at give mulighed for helt eller delvist at tillade anvendelse af systemer til biometrisk

fjernidentifikation i realtid på offentlige steder med henblik på retshåndhævelse inden for de begrænsninger og på de

betingelser, der er nævnt i stk. 1, første afsnit, litra h), og stk. 2 og 3. De pågældende medlemsstater fastsætter i deres

nationale ret de nødvendige nærmere regler for anmodning om, udstedelse af og benyttelse af samt tilsyn og indberetning

i forbindelse med de i stk. 3 omhandlede tilladelser. Disse regler præciserer også, til hvilke af de i stk. 1, første afsnit, litra h),

anførte formål, herunder for hvilke af de i litra h), nr. iii), nævnte strafbare handlinger, de kompetente myndigheder kan få

tilladelse til at anvende disse systemer med henblik på retshåndhævelse. Medlemsstaterne meddeler Kommissionen disse

regler senest 30 dage efter vedtagelsen heraf. Medlemsstaterne kan i overensstemmelse med EU-retten indføre mere

restriktiv lovgivning om anvendelsen af systemer til biometrisk fjernidentifikation.

De nationale markedsovervågningsmyndigheder og de nationale databeskyttelsesmyndigheder i de medlemsstater, der

er blevet underrettet om anvendelsen af systemer til biometrisk fjernidentifikation i realtid på offentlige steder med henblik

på retshåndhævelse i henhold til stk. 4, forelægger Kommissionen årlige rapporter om en sådan anvendelse. Med henblik

herpå stiller Kommissionen efter anmodning om tilladelser i overensstemmelse med stk. 3 og resultatet heraf en skabelon til

rådighed for medlemsstaterne og de nationale markedsovervågnings- og databeskyttelsesmyndigheder, herunder

oplysninger om antallet af afgørelser, der er truffet af de kompetente judicielle myndigheder eller en uafhængig

administrativ myndighed, hvis afgørelse er bindende.

Kommissionen offentliggør årlige rapporter om anvendelsen af systemer til biometrisk fjernidentifikation i realtid på

offentlige steder med henblik på retshåndhævelse på grundlag af aggregerede data i medlemsstaterne, der bygger på de

i stk. 6 omhandlede årlige rapporter. Disse rapporter må ikke indeholde følsomme operationelle data om de tilknyttede

retshåndhævelsesaktiviteter.

Denne artikel berører ikke de forbud, der gælder, hvis en form for AI-praksis overtræder anden EU-ret.

KAPITEL III

HØJRISIKO-AI-SYSTEMER

AFDELING 1

Klassificering af AI-systemer som højrisiko

Artikel 6

Klassificeringsregler for højrisiko-AI-systemer

Uanset om et AI-system bringes i omsætning eller ibrugtages uafhængigt af de i litra a) og b) omhandlede produkter,

betragtes AI-systemet som højrisiko, hvis begge følgende betingelser er opfyldt:

a) AI-systemet tilsigtes anvendt som en sikkerhedskomponent i et produkt, eller AI-systemet er i sig selv et produkt, der er

omfattet af den EU-harmoniseringslovgivning, der er anført i bilag I.

b) Det produkt, hvis sikkerhedskomponent i henhold til litra a) er AI-systemet, eller AI-systemet selv som et produkt skal

underkastes en overensstemmelsesvurdering foretaget af en tredjepart med henblik på omsætning eller ibrugtagning af

produktet i henhold til den EU-harmoniseringslovgivning, der er anført i bilag I.

Ud over de højrisiko-AI-systemer, der er omhandlet i stk. 1, betragtes de AI-systemer, der er omhandlet i bilag III, også

som højrisiko.

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

53/144

EUT L af 12.7.2024

Uanset stk. 2 betragtes et AI-system, der er omhandlet i bilag III, ikke som højrisiko, hvis det ikke udgør en væsentlig

risiko for skade på sundheden, sikkerheden eller fysiske personers grundlæggende rettigheder, herunder ved ikke i væsentlig

grad at påvirke resultatet af beslutningstagning.

Første afsnit finder anvendelse, hvis enhver af følgende betingelser er opfyldt:

a) AI-systemet tilsigtes at udføre en snæver proceduremæssig opgave

b) AI-systemet tilsigtes at forbedre resultatet af en tidligere afsluttet menneskelig aktivitet

c) AI-systemet tilsigtes at påvise beslutningsmønstre eller afvigelser fra tidligere beslutningsmønstre og er ikke tiltænkt at

skulle erstatte eller påvirke en tidligere afsluttet menneskelig vurdering uden en ordentlig menneskelig gennemgang, eller

d) AI-systemet tilsigtes at udføre en forberedende opgave inden en vurdering, der er relevant for de anvendelsestilfælde, der

er anført i bilag III.

Uanset første afsnit betragtes et AI-system, der er omhandlet i bilag III, altid som højrisiko, hvis AI-systemet udfører

profilering af fysiske personer.

En udbyder, som finder, at et AI-system, der er omhandlet i bilag III, ikke er højrisiko, skal dokumentere sin vurdering,

inden det pågældende system bringes i omsætning eller ibrugtages. En sådan udbyder er underlagt registreringsforpligtelsen

i artikel 49, stk. 2. Efter anmodning fra de nationale kompetente myndigheder fremlægger udbyderen dokumentation for

vurderingen.

Kommissionen udarbejder efter høring af Det Europæiske Udvalg for Kunstig Intelligens (»AI-udvalget«) og senest den

2. februar 2026 retningslinjer, der præciserer den praktiske gennemførelse af denne artikel i overensstemmelse med

artikel 96, sammen med en omfattende liste over praktiske eksempler på anvendelsestilfælde af AI-systemer, der er højrisiko

og ikke højrisiko.

Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 97 for at ændre

nærværende artikels stk. 3, andet afsnit, ved at tilføje nye betingelser til dem, der er fastsat i nævnte stykke, eller ved at

ændre dem, hvis der foreligger konkret og pålidelig dokumentation for, at der findes AI-systemer, som hører under

anvendelsesområdet i bilag III, men som ikke udgør en væsentlig risiko for skade på fysiske personers sundhed, sikkerhed

eller grundlæggende rettigheder.

Kommissionen vedtager delegerede retsakter i overensstemmelse med artikel 97 for at ændre nærværende artikels

stk. 3, andet afsnit, ved at lade enhver af de i nævnte stykke fastsatte betingelser udgå, hvis der foreligger konkret og

pålidelig dokumentation for, at dette er nødvendigt for at opretholde det beskyttelsesniveauet for sundheden, sikkerheden

og de grundlæggende rettigheder, der er fastsat ved denne forordning.

Enhver ændring af betingelserne i stk. 3, andet afsnit, vedtaget i overensstemmelse med denne artikels stk. 6 og 7, må

ikke reducere det overordnede beskyttelsesniveau for sundheden, sikkerheden og de grundlæggende rettigheder, der er

fastsat ved denne forordning, og sikrer overensstemmelse med de delegerede retsakter, der er vedtaget i henhold til artikel 7,

stk. 1, og tager hensyn til den markedsmæssige og teknologiske udvikling.

Artikel 7

Ændring af bilag III

Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 97 for at ændre

bilag III ved at tilføje eller ændre anvendelsestilfælde af højrisiko-AI-systemer, hvis begge følgende betingelser er opfyldt:

a) AI-systemerne tilsigtes anvendt på et af de områder, der er anført i bilag III

b) AI-systemerne udgør en risiko for skade på sundheden og sikkerheden eller for negativ indvirkning på de grundlæggende

rettigheder, og denne risiko svarer til eller er større end risikoen for skade eller negativ indvirkning ved de

højrisiko-AI-systemer, der allerede er omhandlet i bilag III.

54/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

Ved vurderingen af betingelsen i henhold til stk. 1, litra b), tager Kommissionen hensyn til følgende kriterier:

a) det tilsigtede formål med AI-systemet

b) i hvilket omfang et AI-system er blevet anvendt eller sandsynligvis vil blive anvendt

c) arten og omfanget af de data, der behandles og anvendes af AI-systemet, navnlig om der behandles særlige kategorier af

personoplysninger

d) i hvilket omfang AI-systemet handler autonomt, og muligheden for at et menneske kan underkende en afgørelse eller

anbefalinger, som kan føre til potentiel skade

e) i hvilket omfang anvendelsen af et AI-system allerede har forvoldt skade på sundheden og sikkerheden, har haft negativ

indvirkning på de grundlæggende rettigheder eller har skabt betydelig bekymring med hensyn til sandsynligheden for en

sådan skade eller negativ indvirkning som påvist i f.eks. rapporter eller dokumenterede påstande, der er forelagt for de

nationale kompetente myndigheder, eller i andre rapporter, alt efter hvad der er relevant

f) det potentielle omfang af en sådan skade eller negativ indvirkning, navnlig med hensyn til dens størrelse og dens

mulighed for påvirkning af flere personer eller for uforholdsmæssig påvirkning af en særlig gruppe af personer

g) i hvilket omfang personer, der er potentielt skadede eller er ofre for en negativ indvirkning, er afhængige af det resultat,

et AI-system giver, navnlig hvis det af praktiske eller juridiske grunde ikke med rimelighed er muligt at fravælge resultatet

h) i hvilket omfang der er magtmæssig ubalance, eller de personer, der er potentielt skadede eller er ofre for en negativ

indvirkning, befinder sig i en sårbar situation i forhold til idriftsætteren af et AI-system, navnlig som følge af status,

autoritet, viden, økonomiske eller sociale omstændigheder eller alder

i) i hvilket omfang det resultat, der fremkommer ved inddragelse af et AI-system, let kan korrigeres eller ændres under

hensyntagen til de tilgængelige tekniske løsninger til at korrigere eller ændre det, idet resultater, der har en negativ

indvirkning på sundheden, sikkerheden eller de grundlæggende rettigheder, ikke anses for let at kunne korrigeres eller

ændres

j) omfanget af og sandsynligheden for fordele ved idriftsættelsen af AI-systemet for enkeltpersoner, grupper eller

samfundet som helhed, herunder mulige forbedringer af produktsikkerheden

k) i hvilket omfang gældende EU-ret indeholder bestemmelser om:

i) effektive retsmidler med hensyn til de risici, der er forbundet med et AI-system, med undtagelse af erstatningskrav

ii) effektive foranstaltninger til at forebygge eller i væsentlig grad minimere disse risici.

Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 97 for at ændre

listen i bilag III ved at fjerne højrisiko-AI-systemer, hvis begge følgende betingelser er opfyldt:

a) det pågældende højrisiko-AI-system udgør ikke længere nogen væsentlig risiko for de grundlæggende rettigheder,

sundheden eller sikkerheden under hensyntagen til kriterierne i stk. 2

b) fjernelsen reducerer ikke det generelle beskyttelsesniveau for sundhed, sikkerhed og grundlæggende rettigheder

i henhold til EU-retten.

AFDELING 2

Krav til højrisiko-AI-systemer

Artikel 8

Overholdelse af krav

Højrisiko-AI-systemer skal overholde de krav, der er fastsat i denne afdeling, under hensyntagen til deres tilsigtede

formål og det generelt anerkendte aktuelle teknologiske niveau for AI og AI-relaterede teknologier. Ved sikringen af, at disse

krav overholdes, tages det risikostyringssystem, der er omhandlet i artikel 9, i betragtning.

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

55/144

EUT L af 12.7.2024

Hvis et produkt indeholder et AI-system, som kravene i denne forordning samt kravene i den EU-harmoniserings-

lovgivning, der er anført i bilag I, afsnit A, finder anvendelse på, er producenterne ansvarlige for at sikre, at deres produkt

fuldt ud overholder alle gældende krav i den gældende EU-harmoniseringslovgivning. For at sikre at de høj-

risiko-AI-systemer, der er omhandlet i stk. 1, overholder kravene i denne afdeling, og for at sikre sammenhæng, undgå

overlap og minimere yderligere byrder skal udbyderne have mulighed for i relevant omfang at integrere de nødvendige

afprøvnings- og rapporteringsprocesser, oplysninger og den nødvendige dokumentation, som de stiller til rådighed

vedrørende deres produkt, i dokumentation og procedurer, der allerede eksisterer og kræves i henhold til den

EU-harmoniseringslovgivning, der er anført i bilag I, afsnit A.

Artikel 9

Risikostyringssystem

Hvad angår højrisiko-AI-systemer oprettes og gennemføres der et risikostyringssystem, som dokumenteres og

vedligeholdes.

Risikostyringssystemet skal forstås som en kontinuerlig iterativ proces, der er planlagt og løber i hele

højrisiko-AI-systemets livscyklus, og som kræver regelmæssig systematisk gennemgang og opdatering. Det omfatter

følgende trin:

a) kortlægning og analyse af kendte og med rimelighed forudsigelige risici, som højrisiko-AI-systemet kan udgøre for

sundheden, sikkerheden eller de grundlæggende rettigheder, når højrisiko-AI-systemet anvendes i overensstemmelse med

dets tilsigtede formål

b) vurdering og evaluering af de risici, der kan opstå, når højrisiko-AI-systemet anvendes i overensstemmelse med dets

tilsigtede formål og ved fejlanvendelse, der med rimelighed kan forudses

c) evaluering af andre risici, der kan opstå, på grundlag af analyse af data indsamlet fra systemet til overvågning efter

omsætningen, jf. artikel 72

d) vedtagelse af passende og målrettede risikostyringsforanstaltninger, der har til formål at imødegå de risici, der er

identificeret i henhold til litra a).

De i denne artikel omhandlede risici vedrører kun dem, der med rimelighed kan afbødes eller fjernes gennem

udviklingen eller udformningen af højrisiko-AI-systemet eller tilvejebringelsen af tilstrækkelige tekniske oplysninger.

De i stk. 2, litra d), omhandlede risikostyringsforanstaltninger tager behørigt hensyn til virkningerne og eventuelle

interaktioner som følge af den kombinerede anvendelse af kravene i denne afdeling med henblik på at minimere risiciene

mere effektivt og samtidig opnå en passende balance i gennemførelsen af foranstaltningerne til opfyldelse af disse krav.

De i stk. 2, litra d), omhandlede risikostyringsforanstaltninger er af en sådan art, at de relevante resterende risici, der er

forbundet med hver fare, samt den samlede resterende risiko ved højrisiko-AI-systemerne vurderes at være acceptabel.

I fastlæggelsen af de mest hensigtsmæssige risikostyringsforanstaltninger sikres følgende:

a) fjernelse eller begrænsning af de risici, der er identificeret og evalueret i henhold til stk. 2, i det omfang det er teknisk

muligt, gennem passende udformning og udvikling af højrisiko-AI-systemet

b) om nødvendigt gennemførelse af passende foranstaltninger til afbødning og kontrol, som imødegår risici, der ikke kan

fjernes

c) tilvejebringelse af de oplysninger, der kræves i henhold til artikel 13, og, hvis det er relevant, træning af idriftsætterne.

Med henblik på fjernelse eller begrænsning af risici i forbindelse med anvendelsen af et højrisiko-AI-system tages der

behørigt hensyn til den tekniske viden, erfaring, uddannelse og træning, som kan forventes af idriftsætteren, og den

formodentlige kontekst, i hvilken systemet tilsigtes anvendt.

56/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

Højrisiko-AI-systemer afprøves med henblik på at identificere de mest hensigtsmæssige og målrettede risiko-

styringsforanstaltninger. Afprøvning sikrer, at højrisiko-AI-systemer yder konsistent i overensstemmelse med deres

tilsigtede formål og overholder de krav, der er fastsat i denne afdeling.

Afprøvningsprocedurerne kan omfatte afprøvning under faktiske forhold i overensstemmelse med artikel 60.

Afprøvning af højrisiko-AI-systemer foretages på et hvilket som helst tidspunkt under hele udviklingsprocessen, alt

efter hvad der er relevant, og under alle omstændigheder inden de bringes i omsætning eller ibrugtages. Afprøvningen

foretages på grundlag af på forhånd definerede parametre og probabilistiske tærskler, der er passende i forhold til det

tilsigtede formål med højrisiko-AI-systemet.

Ved gennemførelsen af det risikostyringssystem, der er fastsat i stk. 1-7, tager udbyderne hensyn til, om der

i betragtning af det tilsigtede formål med højrisiko-AI-systemet er sandsynlighed for, at det har en negativ indvirkning på

personer under 18 år og i relevant omfang på andre sårbare grupper.

10.

For udbydere af højrisiko-AI-systemer, der er underlagt krav vedrørende interne risikostyringsprocesser i henhold til

andre relevante bestemmelser i EU-retten, kan de aspekter, der er fastsat i stk. 1-9, være en del af eller kombineres med de

risikostyringsprocedurer, der er fastlagt i henhold til den pågældende ret.

Artikel 10

Data og datastyring

De højrisiko-AI-systemer, der gør brug af teknikker, som omfatter træning af AI-modeller med data, udvikles på

grundlag af trænings-, validerings- og afprøvningsdatasæt, der opfylder de kvalitetskriterier, der er omhandlet i stk. 2-5, når

sådanne datasæt anvendes.

Trænings-, validerings- og afprøvningsdatasæt skal være underlagt former for datastyrings- og dataforvaltningspraksis,

som er tilpasset højrisiko-AI-systemets tilsigtede formål. Disse former for praksis vedrører navnlig:

a) de relevante valg med hensyn til udformning

b) dataindsamlingsprocesser og dataenes oprindelse og, hvis der er tale om personoplysninger, det oprindelige formål med

dataindsamlingen

c) relevant dataforberedelsesbehandling såsom annotation, mærkning, rensning, opdatering, berigelse og aggregering

d) formuleringen af antagelser, navnlig med hensyn til de oplysninger, som dataene skal måle og repræsentere

e) en vurdering af tilgængeligheden, mængden og egnetheden af de datasæt, der er nødvendige

f) undersøgelse med hensyn til mulige bias, der sandsynligvis vil påvirke personers sundhed og sikkerhed, have negativ

indvirkning på de grundlæggende rettigheder eller føre til forskelsbehandling, som er forbudt i henhold til EU-retten,

navnlig hvis dataoutput påvirker input til fremtidige operationer

g) passende foranstaltninger til at påvise, forebygge og afbøde de mulige bias, der er identificeret i henhold til litra f)

h) kortlægning af relevante datamangler eller datautilstrækkeligheder, som forhindrer overholdelse af denne forordning, og

hvordan de kan afhjælpes.

Trænings-, validerings- og afprøvningsdatasæt skal i betragtning af det tilsigtede formål være relevante, tilstrækkeligt

repræsentative og i videst muligt omfang fejlfrie og fuldstændige. De skal have de tilstrækkelige statistiske egenskaber,

herunder, hvis det er relevant, med hensyn til de personer eller grupper af personer, på hvilke højrisiko-AI-systemet tilsigtes

anvendt. Disse egenskaber kan opfyldes for de enkelte datasæt eller for en kombination heraf.

I datasæt tages der, i det omfang det er nødvendigt i lyset af deres tilsigtede formål, hensyn til de egenskaber eller

elementer, der er særlige for den specifikke geografiske, kontekstuelle, adfærdsmæssige eller funktionelle ramme, inden for

hvilken højrisiko-AI-systemet tilsigtes anvendt.

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

57/144

EUT L af 12.7.2024

I det omfang det er strengt nødvendigt for at sikre, at bias i forbindelse med højrisiko-AI-systemer påvises og

korrigeres i overensstemmelse med denne artikels stk. 2, litra f) og g), kan udbydere af sådanne systemer undtagelsesvis

behandle særlige kategorier af personoplysninger, med forbehold af passende sikkerhedsforanstaltninger med hensyn til

fysiske personers grundlæggende rettigheder og friheder. Ud over bestemmelserne i forordning (EU) 2016/679 og

(EU) 2018/1725 samt direktiv (EU) 2016/680 skal følgende betingelser overholdes for at udføre en sådan behandling:

a) påvisning og korrektion af bias kan ikke opnås effektivt ved behandling af andre data, herunder syntetiske eller

anonymiserede data

b) de særlige kategorier af personoplysninger er underlagt tekniske begrænsninger for videreanvendelse af personoplys-

ninger og de mest avancerede sikkerhedsforanstaltninger og foranstaltninger til beskyttelse af privatlivet fred, herunder

pseudonymisering

c) de særlige kategorier af personoplysninger er underlagt foranstaltninger, der skal sikre, at de behandlede

personoplysninger er sikrede, beskyttede og omfattet af passende sikkerhedsforanstaltninger, herunder streng kontrol

og dokumentation af adgangen, for at undgå misbrug og sikre, at kun autoriserede personer har adgang til disse

personoplysninger med passende fortrolighedsforpligtelser

d) de særlige kategorier af personoplysninger må ikke transmitteres til, overføres til eller på anden måde tilgås af andre

parter

e) de særlige kategorier af personoplysninger slettes, når bias er blevet korrigeret, eller når opbevaringsperioden for

personoplysningerne udløber, alt efter hvad der indtræffer først

f) fortegnelserne over behandlingsaktiviteter i henhold til forordning (EU) 2016/679 og (EU) 2018/1725 samt direktiv

(EU) 2016/680 indeholder en begrundelse for, hvorfor behandlingen af særlige kategorier af personoplysninger var

strengt nødvendig for at opdage og korrigere bias, og hvorfor dette mål ikke kunne nås ved behandling af andre data.

Ved udvikling af højrisiko-AI-systemer, der ikke gør brug af teknikker, der omfatter træning af AI-modeller, finder

stk. 2-5 kun anvendelse på afprøvningsdatasættene.

Artikel 11

Teknisk dokumentation

Den tekniske dokumentation for et højrisiko-AI-system udarbejdes, inden systemet bringes i omsætning eller

ibrugtages, og holdes ajour.

Den tekniske dokumentation udarbejdes således, at den påviser, at højrisiko-AI-systemet overholder de krav, der er fastsat

i denne afdeling, og at de oplysninger, der er nødvendige for at vurdere AI-systemets overholdelse af disse krav, gives på en

klar og forståelig måde til de nationale kompetente myndigheder og bemyndigede organer. Den skal som minimum

indeholde de i bilag IV fastsatte elementer. SMV'er, herunder iværksættervirksomheder, kan fremlægge de elementer i den

tekniske dokumentation, der er anført i bilag IV, på en forenklet måde. Med henblik herpå udarbejder Kommissionen en

forenklet formular for teknisk dokumentation, der er målrettet små virksomheders og mikrovirksomheders behov. Hvis en

SMV, herunder en iværksættervirksomhed, vælger at fremlægge de oplysninger, der kræves i bilag IV, på en forenklet måde,

anvender den formularen, der er omhandlet i dette stykke. Bemyndigede organer skal acceptere formularen med henblik på

overensstemmelsesvurderingen.

Hvis et højrisiko-AI-system tilknyttet et produkt, der er omfattet af den i bilag I, afsnit A, anførte

EU-harmoniseringslovgivning, bringes i omsætning eller ibrugtages, udarbejdes der et enkelt sæt teknisk dokumentation,

der indeholder alle de oplysninger, der er fastsat i stk. 1, samt de oplysninger, der kræves i henhold til disse retsakter.

Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 97 for at ændre

bilag IV, hvis det i lyset af den tekniske udvikling er nødvendigt for, at den tekniske dokumentation giver alle de oplysninger,

der er nødvendige for at vurdere, om systemet overholder de krav, der er fastsat i denne afdeling.

58/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

Artikel 12

Registrering

Højrisiko-AI-systemer skal teknisk muliggøre automatisk registrering af hændelser (»logfiler«) under systemets levetid.

For at sikre en passende grad af sporbarhed i højrisiko-AI-systemets funktion i forhold til systemets tilsigtede formål

skal logningskapaciteten muliggøre registrering af hændelser, der er relevante for:

a) identifikation af situationer, der kan medføre, at højrisiko-AI-systemet udgør en risiko som omhandlet i artikel 79, stk. 1,

eller en væsentlig ændring

b) lettelse af overvågningen efter omsætningen, jf. artikel 72, og

c) overvågning af driften af højrisiko-AI-systemer, jf. artikel 26, stk. 5.

For så vidt angår de højrisiko-AI-systemer, der er omhandlet i bilag III, punkt 1, litra a), omfatter logningskapaciteten

som minimum:

a) registrering af tidsperioden for hver anvendelse af systemet (startdato og -klokkeslæt samt slutdato og -klokkeslæt for

hver anvendelse)

b) den referencedatabase, med hvilken systemet har sammenholdt inputdata

c) de inputdata, som i søgningen har givet et match

d) identifikation af de fysiske personer, der er involveret i verifikationen af resultaterne, jf. artikel 14, stk. 5.

Artikel 13

Gennemsigtighed og formidling af oplysninger til idriftsætterne

Højrisiko-AI-systemer udformes og udvikles på en sådan måde, at deres drift er tilstrækkelig gennemsigtig til, at

idriftsætterne kan fortolke et systems output og anvende det korrekt. Der sikres en passende type og grad af

gennemsigtighed med henblik på at opnå overholdelse af de relevante udbyder- og idriftsætterforpligtelser, der er fastsat

i afdeling 3.

Højrisiko-AI-systemer ledsages af en brugsanvisning i et passende digitalt format eller på anden vis, som indeholder

kortfattede, fuldstændige, korrekte og klare oplysninger, som er relevante, tilgængelige og forståelige for idriftsætterne.

Brugsanvisningen skal som minimum indeholde følgende oplysninger:

a) identitet på og kontaktoplysninger for udbyderen og dennes eventuelle bemyndigede repræsentant

b) højrisiko-AI-systemets egenskaber, kapacitet og begrænsninger for dets ydeevne, herunder:

i) det tilsigtede formål

ii) det niveau af nøjagtighed, herunder systemets parametre, robusthed og cybersikkerhed, jf. artikel 15, i forhold til

hvilket højrisiko-AI-systemet er afprøvet og valideret, og som kan forventes, samt alle kendte og forudsigelige

omstændigheder, der kan have indvirkning på det forventede niveau af nøjagtighed, robusthed og cybersikkerhed

iii) alle kendte eller forudsigelige omstændigheder i forbindelse med anvendelse af højrisiko-AI-systemet i overens-

stemmelse med dets tilsigtede formål eller ved fejlanvendelse, der med rimelighed kan forudses, der kan medføre

risici for sundhed og sikkerhed eller grundlæggende rettigheder, jf. artikel 9, stk. 2

iv) hvis det er relevant, højrisiko-AI-systemets tekniske kapacitet og egenskaber til at give oplysninger, som er relevante

for at forklare dets output

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

59/144

EUT L af 12.7.2024

v) hvis det er relevant, dets ydeevne for så vidt angår de specifikke personer eller grupper af personer, på hvilke

systemet tilsigtes anvendt

vi) hvis det er relevant, specifikationer for inputdataene eller andre relevante oplysninger med hensyn til de anvendte

trænings-, validerings- og afprøvningsdatasæt under hensyntagen til højrisiko-AI-systemets tilsigtede formål

vii) hvis det er relevant, oplysninger, der sætter idriftsætterne i stand til at fortolke højrisiko-AI-systemets output og

anvende det korrekt

c) eventuelle ændringer af højrisiko-AI-systemet og dets ydeevne, som udbyderen på forhånd har fastsat på tidspunktet for

den indledende overensstemmelsesvurdering

d) foranstaltninger til menneskeligt tilsyn, jf. artikel 14, herunder de tekniske foranstaltninger, der er indført for at lette

idriftsætternes fortolkning af højrisiko-AI-systemers output

e) de nødvendige beregningskrafts- og hardwareressourcer, højrisiko-AI-systemets forventede levetid og eventuelle

nødvendige vedligeholdelses- og plejeforanstaltninger, herunder deres hyppighed, for at sikre, at AI-systemet fungerer

korrekt, herunder med hensyn til softwareopdateringer

f) hvis det er relevant, en beskrivelse af de mekanismer, der er medtaget i højrisiko-AI-systemet, og som giver idriftsætterne

mulighed for på korrekt vis at indsamle, lagre og fortolke logfilerne i overensstemmelse med artikel 12.

Artikel 14

Menneskeligt tilsyn

Højrisiko-AI-systemer udformes og udvikles på en sådan måde, herunder med passende menneske-maskin-

e-grænsefladeværktøjer, at fysiske personer effektivt kan overvåge dem i den periode, hvor de er i brug.

Menneskeligt tilsyn har til formål at forebygge eller minimere de risici for sundhed, sikkerhed eller grundlæggende

rettigheder, der kan opstå, når et højrisiko-AI-system anvendes i overensstemmelse med dets tilsigtede formål eller under

forhold med fejlanvendelse, der med rimelighed kan forudses, navnlig hvis sådanne risici fortsat består trods anvendelsen af

andre krav, der er fastsat i denne afdeling.

Tilsynsforanstaltningerne skal stå i et rimeligt forhold til risiciene, graden af autonomi og den kontekst, som

højrisiko-AI-systemet anvendes i, og sikres ved hjælp af en af eller samtlige følgende typer foranstaltninger:

a) foranstaltninger, der er fastlagt og, hvis det er teknisk muligt, indbygget i højrisiko-AI-systemet fra udbyderens side,

inden systemet bringes i omsætning eller ibrugtages

b) foranstaltninger, der er fastlagt af udbyderen, inden højrisiko-AI-systemet bringes i omsætning eller ibrugtages, og som

er egnede til at blive gennemført af idriftsætteren.

Med henblik på gennemførelsen af stk. 1, 2 og 3 leveres højrisiko-AI-systemet til idriftsætteren på en sådan måde, at

det er muligt for fysiske personer, der har fået til opgave at varetage menneskeligt tilsyn, alt efter hvad der er relevant og

forholdsmæssigt, at:

a) forstå højrisiko-AI-systemets relevante kapacitet og begrænsninger korrekt og være i stand til at overvåge dets drift på

behørig vis, herunder med henblik på at opdage og håndtere uregelmæssigheder, funktionsforstyrrelser og uventet

ydeevne

b) være opmærksomme på den mulige tendens til automatisk eller i overdreven grad af forlade sig på output frembragt af et

højrisiko-AI-system (automatiseringsbias), navnlig for så vidt angår højrisiko-AI-systemer, der anvendes til at give

oplysninger eller anbefalinger til afgørelser, der skal træffes af fysiske personer

c) fortolke højrisiko-AI-systemets output korrekt under hensyntagen til f.eks. de tilgængelige fortolkningsværktøjer og

-metoder

60/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

d) beslutte i en særlig situation ikke at anvende højrisiko-AI-systemet eller på anden måde se bort fra, tilsidesætte eller

omgøre outputtet fra højrisiko-AI-systemet

e) gribe ind i højrisiko-AI-systemets drift eller afbryde systemet ved hjælp af en »stopknap« eller en lignende procedure,

som gør det muligt at afbryde systemet i en sikker tilstand.

For så vidt angår de højrisiko-AI-systemer, der er omhandlet i bilag III, punkt 1, litra a), sikrer de foranstaltninger, der

er omhandlet i denne artikels stk. 3, desuden, at idriftsætteren ikke foretager noget tiltag eller træffer nogen beslutninger på

grundlag af en identifikation, der følger af systemet, medmindre denne identifikation er blevet verificeret og bekræftet

særskilt af mindst to fysiske personer med den nødvendige kompetence, uddannelse og myndighed.

Kravet om særskilt verifikation foretaget af mindst to fysiske personer finder ikke anvendelse på højrisiko-AI-systemer, der

anvendes med henblik på retshåndhævelse, migrationsstyring, grænsekontrol og asylforvaltning, hvis anvendelsen af dette

krav efter EU-retten eller national ret skønnes uforholdsmæssig.

Artikel 15

Nøjagtighed, robusthed og cybersikkerhed

Højrisiko-AI-systemer udformes og udvikles på en sådan måde, at de opnår et passende niveau af nøjagtighed,

robusthed og cybersikkerhed, og at de i disse henseender yder konsistent i hele deres livscyklus.

For at håndtere de tekniske aspekter af, hvordan de passende niveauer af nøjagtighed og robusthed, der er fastsat

i stk. 1, og andre relevante ydeevneparametre måles, tilskynder Kommissionen, alt efter hvad der er relevant, i samarbejde

med relevante interessenter og organisationer såsom metrologi- og benchmarkingmyndigheder til udvikling af benchmarks

og målemetoder.

Højrisiko-AI-systemers niveau og relevante parametre med hensyn til nøjagtighed angives i den ledsagende

brugsanvisning.

Højrisiko-AI-systemer skal være så modstandsdygtige som muligt over for fejl, svigt og uoverensstemmelser, der kan

forekomme i systemet eller i det miljø, som systemet fungerer i, navnlig på grund af systemets interaktion med fysiske

personer eller andre systemer. I denne henseende træffes der tekniske og organisatoriske foranstaltninger.

Højrisiko-AI-systemers robusthed kan opnås ved hjælp af tekniske redundansløsninger, som kan omfatte backupplaner eller

»fail-safe plans«.

De højrisiko-AI-systemer, der fortsætter med at lære efter at være bragt i omsætning eller ibrugtaget, udvikles på en sådan

måde med henblik på i videst muligt omfang at fjerne eller reducere risikoen for, at eventuelt output behæftet med bias

påvirker input i fremtidige operationer (feedbacksløjfer), og sikre, at sådanne feedbacksløjfer behørigt imødegås ved hjælp af

passende afbødende foranstaltninger.

Højrisiko-AI-systemer skal være modstandsdygtige over for uautoriserede tredjeparters forsøg på at ændre deres

anvendelse, output eller ydeevne ved at udnytte systemsårbarheder.

De tekniske løsninger, der har til formål at sikre cybersikkerhed i forbindelse med højrisiko-AI-systemer, skal stå i et

passende forhold til de relevante omstændigheder og risiciene.

De tekniske løsninger til afhjælpning af AI-specifikke sårbarheder omfatter, alt efter hvad der er relevant, foranstaltninger til

at forebygge, opdage, reagere på, afværge og kontrollere angreb, der søger at manipulere træningsdatasættet

(dataforgiftning), eller forhåndstrænede komponenter, der anvendes i træning (modelforgiftning), input, der er udformet

til at få AI-modellen til at begå fejl (ondsindede eksempler eller modelunddragelse), fortrolighedsangreb eller modelfejl.

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

61/144

AFDELING 3

EUT L af 12.7.2024

Forpligtelser for udbydere og idriftsættere af højrisiko-AI-systemer og andre parter

Artikel 16

Forpligtelser for udbydere af højrisiko-AI-systemer

Udbydere af højrisiko-AI-systemer skal:

a) sørge for, at deres højrisiko-AI-systemer overholder de krav, der er fastsat i afdeling 2

b) angive deres navn, registrerede firmanavn eller registrerede varemærke og kontaktadresse på højrisiko-AI-systemet, eller,

hvis dette ikke er muligt, på dets emballage eller i den medfølgende dokumentation, alt efter hvad der er relevant

c) have indført et kvalitetsstyringssystem, der er i overensstemmelse med artikel 17

d) opbevare den dokumentation, der er omhandlet i artikel 18

e) opbevare de logfiler, der automatisk genereres af deres højrisiko-AI-systemer, når logfilerne er under deres kontrol, som

omhandlet i artikel 19

f) sørge for, at højrisiko-AI-systemet underkastes den relevante overensstemmelsesvurderingsprocedure som omhandlet

i artikel 43, inden systemet bringes i omsætning eller ibrugtages

g) udarbejde en EU-overensstemmelseserklæring i overensstemmelse med artikel 47

h) anbringe CE-mærkningen på højrisiko-AI-systemet eller, hvis dette ikke er muligt, på dets emballage eller i den

medfølgende dokumentation, for at angive overensstemmelse med denne forordning i overensstemmelse med artikel 48

i) overholde de registreringsforpligtelser, der er omhandlet i artikel 49, stk. 1

j) foretage de nødvendige korrigerende tiltag og fremlægge oplysningerne som krævet i henhold til artikel 20

k) efter begrundet anmodning fra en national kompetent myndighed påvise, at højrisiko-AI-systemet er i overensstemmelse

med de krav, der er fastsat i afdeling 2

l) sikre, at højrisiko-AI-systemet overholder tilgængelighedskravene i overensstemmelse med direktiv (EU) 2016/2102 og

(EU) 2019/882.

Artikel 17

Kvalitetsstyringssystem

Udbydere af højrisiko-AI-systemer indfører et kvalitetsstyringssystem, der sikrer overensstemmelse med denne

forordning. Systemet dokumenteres på en systematisk og velordnet måde i form af skriftlige politikker, procedurer og

anvisninger og skal som minimum omfatte følgende aspekter:

a) en strategi for overholdelse af lovgivningen, herunder overholdelse af overensstemmelsesvurderingsprocedurer og

procedurer for forvaltning af ændringer af højrisiko-AI-systemet

b) teknikker, procedurer og systematiske tiltag, der skal anvendes til udformningen, kontrollen af udformningen og

verifikationen af udformningen af højrisiko-AI-systemet

c) teknikker, procedurer og systematiske tiltag, der skal anvendes til udvikling, kvalitetskontrol og kvalitetssikring af

højrisiko-AI-systemet

d) undersøgelses-, afprøvnings- og valideringsprocedurer, der gennemføres før, under og efter udviklingen af

højrisiko-AI-systemet, samt den hyppighed, hvormed de gennemføres

62/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

e) tekniske specifikationer, herunder standarder, der anvendes, og, hvis de relevante harmoniserede standarder ikke

anvendes fuldt ud eller ikke omfatter alle de relevante krav, der er fastsat i afdeling 2, de midler, der skal anvendes for at

sikre, at højrisiko-AI-systemet overholder disse krav

f) systemer til og procedurer for dataforvaltning, herunder dataopsamling, dataindsamling, dataanalyse, datamærkning,

datalagring, datafiltrering, datamining, dataaggregering, dataopbevaring og enhver anden handling vedrørende data,

som udføres forud for og med henblik på omsætning eller ibrugtagning af højrisiko-AI-systemer

g) det risikoforvaltningssystem, der er omhandlet i artikel 9

h) oprettelse, implementering og vedligeholdelse af et system til overvågning efter omsætningen i overensstemmelse med

artikel 72

procedurer for indberetning af en alvorlig hændelse i overensstemmelse med artikel 73

håndtering af kommunikation med nationale kompetente myndigheder, andre relevante myndigheder, herunder dem,

der giver eller understøtter adgang til data, bemyndigede organer, andre operatører, kunder eller andre interesserede

parter

k) systemer til og procedurer for registrering af al relevant dokumentation og alle relevante oplysninger

ressourceforvaltning, herunder foranstaltninger vedrørende forsyningssikkerhed

m) en ansvarlighedsramme, der fastlægger ledelsens og det øvrige personales ansvar med hensyn til alle de aspekter, der er

anført i dette stykke.

Gennemførelsen af de aspekter, der er omhandlet i stk. 1, skal stå i et rimeligt forhold til størrelsen af udbyderens

organisation. Udbyderne skal under alle omstændigheder respektere den grad af strenghed og det beskyttelsesniveau, der

kræves for at sikre, at deres højrisiko-AI-systemer er i overensstemmelse med denne forordning.

Udbydere af højrisiko-AI-systemer, der er underlagt forpligtelser vedrørende kvalitetssikringssystemer eller en

tilsvarende funktion i henhold til relevant sektorspecifik EU-ret, kan medtage de aspekter, der er anført i stk. 1, som en del af

kvalitetsstyringssystemerne i henhold til denne ret.

For de udbydere, der er finansielle institutioner, som er underlagt krav vedrørende deres interne ledelse, ordninger

eller processer i henhold til EU-retten om finansielle tjenesteydelser, anses forpligtelsen til at indføre et kvalitetsstyrings-

system med undtagelse af denne artikels stk. 1, litra g), h) og i), for at være opfyldt ved overholdelse af reglerne om

ordninger eller processer for intern ledelse i henhold til den relevante EU-ret om finansielle tjenesteydelser. Med henblik

herpå tages der hensyn til alle de harmoniserede standarder, der er omhandlet i artikel 40.

Artikel 18

Opbevaring af dokumentation

Udbyderen skal i ti år, efter at højrisiko-AI-systemet er blevet bragt i omsætning eller ibrugtaget, kunne forelægge de

nationale kompetente myndigheder:

a) den i artikel 11 omhandlede tekniske dokumentation

b) dokumentationen vedrørende det i artikel 17 omhandlede kvalitetsstyringssystem

c) dokumentationen vedrørende ændringer, der er godkendt af bemyndigede organer, hvis det er relevant

d) de afgørelser og andre dokumenter, der er udstedt af de bemyndigede organer, hvis det er relevant

e) den i artikel 47 omhandlede EU-overensstemmelseserklæring.

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

63/144

EUT L af 12.7.2024

Hver medlemsstat fastsætter, på hvilke betingelser den i stk. 1 omhandlede dokumentation fortsat er til rådighed for

de nationale kompetente myndigheder i den periode, der er anført i nævnte stykke, i de tilfælde, hvor en udbyder eller

dennes bemyndigede repræsentant, der er etableret på dens område, går konkurs eller indstiller sine aktiviteter inden

udløbet af denne periode.

De udbydere, der er finansielle institutioner, som er underlagt krav vedrørende deres interne ledelse, ordninger eller

processer i henhold til EU-retten om finansielle tjenesteydelser, beholder den tekniske dokumentation som en del af den

dokumentation, der opbevares i henhold til den relevante EU-ret om finansielle tjenesteydelser.

Artikel 19

Automatisk genererede logfiler

Udbydere af højrisiko-AI-systemer opbevarer de i artikel 12, stk. 1, omhandlede logfiler, der genereres automatisk af

deres højrisiko-AI-systemer, i det omfang sådanne logfiler er under deres kontrol. Uden at det berører gældende EU-ret eller

national ret, opbevares logfilerne i en periode, der er passende i forhold til det tilsigtede formål med højrisiko-AI-systemet,

på mindst seks måneder, medmindre andet er fastsat i gældende EU-ret eller national ret, navnlig EU-retten om beskyttelse

af personoplysninger.

De udbydere, der er finansielle institutioner, som er underlagt krav vedrørende deres interne ledelse, ordninger eller

processer i henhold til EU-retten om finansielle tjenesteydelser, beholder de logfiler, der automatisk genereres af deres

højrisiko-AI-systemer som en del af den dokumentation, der opbevares i henhold til den relevante ret om finansielle

tjenesteydelser.

Artikel 20

Korrigerende tiltag og oplysningspligt

De udbydere af højrisiko-AI-systemer, der mener eller har grund til at mene, at et højrisiko-AI-system, som de har

bragt i omsætning eller ibrugtaget, ikke er i overensstemmelse med denne forordning, foretager omgående de nødvendige

korrigerende tiltag til at bringe det pågældende system i overensstemmelse hermed, tilbagetrække det, tage det ud af drift

eller tilbagekalde det, alt efter hvad der er relevant. De underretter distributørerne af det pågældende højrisiko-AI-system og

om nødvendigt idriftsætterne, den bemyndigede repræsentant samt importører herom.

Hvis et højrisiko-AI-system udgør en risiko som omhandlet i artikel 79, stk. 1, og udbyderen får kendskab til denne

risiko, undersøger denne omgående årsagerne i samarbejde med den indberettende idriftsætter, hvis det er relevant, og

underretter de markedsovervågningsmyndigheder, der er kompetente for det pågældende højrisiko-AI-system, og, hvis det

er relevant, det bemyndigede organ, der har udstedt en attest for det pågældende højrisiko-AI-system i overensstemmelse

med artikel 44, navnlig om arten af den manglende overholdelse og om eventuelle relevante korrigerende tiltag, der er

foretaget.

Artikel 21

Samarbejde med kompetente myndigheder

Udbydere af højrisiko-AI-systemer giver efter begrundet anmodning fra en kompetent myndighed denne myndighed

alle de fornødne oplysninger og al den fornødne dokumentation for at påvise, at højrisiko-AI-systemet er

i overensstemmelse med de krav, der er fastsat i afdeling 2, på et sprog, som den pågældende myndighed let kan forstå,

og på et af EU-institutionernes officielle sprog som angivet af den pågældende medlemsstat.

Efter begrundet anmodning fra en kompetent myndighed giver udbydere, alt efter hvad der er relevant, også den

anmodende kompetente myndighed adgang til de automatisk genererede logfiler af højrisiko-AI-systemet, der er omhandlet

i artikel 12, stk. 1, i det omfang sådanne logfiler er under deres kontrol.

Alle de oplysninger, som en kompetent myndighed kommer i besiddelse af i henhold til denne artikel, behandles

i overensstemmelse med fortrolighedsforpligtelserne fastsat i artikel 78.

64/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

Artikel 22

Bemyndigede repræsentanter for udbydere af højrisiko-AI-systemer

Udbydere, der er etableret i tredjelande, udpeger, inden deres højrisiko-AI-systemer gøres tilgængelige på

EU-markedet, ved skriftligt mandat en bemyndiget repræsentant, der er etableret i Unionen.

Udbyderen skal gøre det muligt for sin bemyndigede repræsentant at udføre de opgaver, der er fastsat i det mandat,

vedkommende har modtaget fra udbyderen.

Den bemyndigede repræsentant udfører de opgaver, der er fastsat i det mandat, vedkommende har modtaget fra

udbyderen. Vedkommende skal på anmodning give markedsovervågningsmyndighederne en kopi af mandatet på et af

EU-institutionernes officielle sprog som angivet af den kompetente myndighed. Med henblik på denne forordning sætter

mandatet den bemyndigede repræsentant i stand til at udføre følgende opgaver:

a) at kontrollere, at den EU-overensstemmelseserklæring, der er omhandlet i artikel 47, og den tekniske dokumentation,

der er omhandlet i artikel 11, er blevet udarbejdet, og at en passende overensstemmelsesvurderingsprocedure er blevet

gennemført af udbyderen

b) i en periode på ti år efter, at højrisiko-AI-systemet er blevet bragt i omsætning eller ibrugtaget, at kunne forelægge de

kompetente myndigheder og nationale myndigheder eller organer, der er omhandlet i artikel 74, stk. 10,

kontaktoplysningerne for den udbyder, der udpegede den bemyndigede repræsentant, en kopi af den i artikel 47

omhandlede EU-overensstemmelseserklæringen, den tekniske dokumentation og, hvis det er relevant, den attest, der er

udstedt af det bemyndigede organ

c) efter begrundet anmodning at give de kompetente myndigheder alle de fornødne oplysninger og al den fornødne

dokumentation, herunder den, der er omhandlet i dette afsnits litra b), for at påvise, at et højrisiko-AI-system er

i overensstemmelse med kravene fastsat i afdeling 2, herunder adgang til logfilerne som omhandlet i artikel 12, stk. 1,

der genereres automatisk af højrisiko-AI-systemet, i det omfang sådanne logfiler er under udbyderens kontrol

d) efter begrundet anmodning at samarbejde med de kompetente myndigheder om ethvert tiltag, som sidstnævnte foretager

i forbindelse med højrisiko-AI-systemet, navnlig med henblik på at reducere og afhjælpe de risici, som

højrisiko-AI-systemet udgør

e) hvis det er relevant, at overholde registreringsforpligtelserne, jf. artikel 49, stk. 1, eller, hvis registreringen foretages af

udbyderen selv, sikre, at de oplysninger, der er omhandlet i bilag VIII, afsnit A, punkt 3, er korrekte.

Mandatet giver beføjelse til, at den bemyndigede repræsentant, ud over eller i stedet for udbyderen, kan modtage

henvendelser fra de kompetente myndigheder om alle spørgsmål relateret til at sikre overholdelse af denne forordning.

Den bemyndigede repræsentant bringer mandatet til ophør, hvis vedkommende mener eller har grund til at mene, at

udbyderen handler i strid med sine forpligtelser i henhold til denne forordning. I så fald underretter den omgående den

relevante markedsovervågningsmyndighed samt, hvis det er relevant, det relevante bemyndigede organ om mandatets

ophør og begrundelsen herfor.

Artikel 23

Forpligtelser for importører

Importører sikrer, før de bringer et højrisiko-AI-system i omsætning, at systemet er i overensstemmelse med denne

forordning, ved at kontrollere, at:

a) udbyderen af dette højrisiko-AI-system har gennemført den relevante overensstemmelsesvurderingsprocedure, jf.

artikel 43

b) udbyderen har udarbejdet den tekniske dokumentation i overensstemmelse med artikel 11 og bilag IV

c) systemet er forsynet med den krævede CE-mærkning og ledsages af den i artikel 47 omhandlede EU-overensstem-

melseserklæring og brugsanvisning

d) udbyderen har udpeget en bemyndiget repræsentant i overensstemmelse med artikel 22, stk. 1.

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

65/144

EUT L af 12.7.2024

Hvis en importør har tilstrækkelig grund til at mene, at et højrisiko-AI-system ikke er i overensstemmelse med denne

forordning eller er forfalsket eller ledsaget af forfalsket dokumentation, må vedkommende ikke bringe systemet

i omsætning, før det er blevet bragt i overensstemmelse hermed. Hvis højrisiko-AI-systemet udgør en risiko som omhandlet

i artikel 79, stk. 1, underretter importøren udbyderen af systemet, den bemyndigede repræsentant og markedsovervåg-

ningsmyndighederne herom.

Importører angiver deres navn, registrerede firmanavn eller registrerede varemærke og kontaktadresse på

højrisiko-AI-systemet og på dets emballage eller i den medfølgende dokumentation, hvis det er relevant.

Importører sikrer, at opbevarings- og transportbetingelserne, hvis det er relevant, for højrisiko-AI-systemer, som de

har ansvaret for, ikke bringer dets overholdelse af kravene fastsat i afdeling 2 i fare.

Importører opbevarer i ti år efter, at højrisiko-AI-systemet er blevet bragt i omsætning eller ibrugtaget, en kopi af den

attest, der er udstedt af det bemyndigede organ, hvis det er relevant, af brugsanvisningen og af den i artikel 47 omhandlede

EU-overensstemmelseserklæring.

Importører giver efter begrundet anmodning og på et sprog, som de relevante myndigheder let kan forstå, disse

myndigheder alle de fornødne oplysninger og al den fornødne dokumentation, herunder den, der er omhandlet i stk. 5, for

at påvise, at et højrisiko-AI-system er i overensstemmelse med kravene i afdeling 2. Med henblik herpå skal de også sikre, at

den tekniske dokumentation kan stilles til rådighed for disse myndigheder.

Importører samarbejder med de relevante kompetente myndigheder om ethvert tiltag, som disse myndigheder

foretager vedrørende et højrisiko-AI-system, som importørerne har bragt i omsætning, navnlig med henblik på at reducere

eller afbøde de risici, som det udgør.

Artikel 24

Forpligtelser for distributører

Distributører kontrollerer, før de gør et højrisiko-AI-system tilgængeligt på markedet, at det er forsynet med den

krævede CE-mærkning, at det ledsages af en kopi af den i artikel 47 omhandlede EU-overensstemmelseserklæring og

brugsanvisning, og at udbyderen og importøren af dette system, alt efter hvad der er relevant, har opfyldt deres respektive

forpligtelser som fastsat i artikel 16, litra b) og c), og artikel 23, stk. 3.

Hvis en distributør på grundlag af oplysningerne i dennes besiddelse mener eller har grund til at mene, at et

højrisiko-AI-system ikke er i overensstemmelse med kravene i afdeling 2, må vedkommende ikke gøre høj-

risiko-AI-systemet tilgængeligt på markedet, før systemet er blevet bragt i overensstemmelse med de nævnte krav. Hvis

højrisiko-AI-systemet ydermere udgør en risiko som omhandlet i artikel 79, stk. 1, underretter distributøren udbyderen

eller importøren af systemet, alt efter hvad der er relevant, herom.

Distributører sikrer, hvis det er relevant, at opbevarings- og transportbetingelserne for højrisiko-AI-systemer, som de

har ansvaret for, ikke bringer systemets overholdelse af kravene i afdeling 2 i fare.

Hvis en distributør på grundlag af oplysningerne i dennes besiddelse mener eller har grund til at mene, at et

højrisiko-AI-system, som vedkommende har gjort tilgængeligt på markedet, ikke er i overensstemmelse med kravene

i afdeling 2, foretager vedkommende de nødvendige korrigerende tiltag for at bringe systemet i overensstemmelse med disse

krav, tilbagetrække det eller tilbagekalde det eller sikrer, at udbyderen, importøren eller enhver relevant operatør, alt efter

hvad der er relevant, foretager disse korrigerende tiltag. Hvis højrisiko-AI-systemet udgør en risiko som omhandlet

i artikel 79, stk. 1, orienterer distributøren omgående udbyderen eller importøren af systemet og de myndigheder, der er

kompetente for det pågældende højrisiko-AI-system, herom og giver navnlig nærmere oplysninger om den manglende

overholdelse og de foretagne korrigerende tiltag.

Efter begrundet anmodning fra en relevant kompetent myndighed giver distributører af et højrisiko-AI-system denne

myndighed alle fornødne oplysninger og al fornøden dokumentation vedrørende deres handlinger i henhold til stk. 1-4 for

at påvise, at dette højrisiko-AI-system er i overensstemmelse med kravene i afdeling 2.

Distributører samarbejder med de relevante kompetente myndigheder om ethvert tiltag, som disse myndigheder

foretager vedrørende et højrisiko-AI-system, som distributørerne har bragt i omsætning, navnlig med henblik på at reducere

eller afbøde de risici, som det udgør.

66/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

Artikel 25

Ansvar i hele AI-værdikæden

Enhver distributør, importør, idriftsætter eller anden tredjepart anses for at være udbyder af et højrisiko-AI-system

med henblik på denne forordning og er underlagt forpligtelserne for udbydere, jf. artikel 16, i følgende tilfælde:

a) de anbringer deres navn eller varemærke på et højrisiko-AI-system, der allerede er bragt i omsætning eller ibrugtaget,

uden at det berører kontraktlige ordninger om, at forpligtelserne er fordelt anderledes

b) de foretager en væsentlig ændring af et højrisiko-AI-system, der allerede er bragt i omsætning eller allerede er ibrugtaget,

på en sådan måde, at det forbliver et højrisiko-AI-system i henhold til artikel 6

c) de ændrer det tilsigtede formål med et AI-system, herunder et AI-system til almen brug, der ikke er klassificeret som

højrisiko og allerede er bragt i omsætning eller ibrugtaget, på en sådan måde, at det pågældende AI-system bliver et

højrisiko-AI-system i overensstemmelse med artikel 6.

Hvis de omstændigheder, der er omhandlet i stk. 1, indtræffer, anses den udbyder, der oprindeligt bragte AI-systemet

i omsætning eller ibrugtog det, ikke længere for at være udbyder af dette specifikke AI-system i denne forordnings forstand.

Denne oprindelige udbyder skal arbejde tæt sammen med nye udbydere og stille de nødvendige oplysninger til rådighed og

give den teknisk adgang og anden bistand, som med rimelighed kan forventes, og som kræves for at opfylde forpligtelserne

i denne forordning, navnlig hvad angår overholdelse af overensstemmelsesvurderingen af højrisiko-AI-systemer. Dette

stykke finder ikke anvendelse i de tilfælde, hvor den oprindelige udbyder klart har præciseret, at dennes AI-system ikke skal

ændres til et højrisiko-AI-system og dermed ikke er omfattet af forpligtelsen til at udlevere dokumentationen.

Hvad angår højrisiko-AI-systemer, der er sikkerhedskomponenter i produkter, der er omfattet af EU-harmoniserings-

lovgivningen opført i bilag I, afsnit A, anses producenten for at være udbyderen af højrisiko-AI-systemet og underlægges

forpligtelserne i henhold til artikel 16 i følgende tilfælde:

a) Højrisiko-AI-systemet bringes i omsætning sammen med produktet under producentens navn eller varemærke.

b) Højrisiko-AI-systemet ibrugtages under producentens navn eller varemærke, efter at produktet er bragt i omsætning.

Udbyderen af et højrisiko-AI-system og den tredjepart, der leverer et AI-system, værktøjer, tjenester, komponenter

eller processer, der anvendes eller integreres i et højrisiko-AI-system, skal ved skriftlig aftale præcisere de nødvendige

oplysninger, kapacitet, teknisk adgang og anden bistand på grundlag af det generelt anerkendte aktuelle teknologiske niveau,

så udbydere af højrisiko-AI-systemet er i stand til fuldt ud at overholde forpligtelserne i denne forordning. Dette stykke

finder ikke anvendelse på tredjeparter, der gør andre værktøjer, tjenester, processer eller komponenter, der ikke er

AI-modeller til almen brug, tilgængelige for offentligheden i henhold til en gratis open source-licens.

AI-kontoret kan udvikle og anbefale frivillige standardaftalevilkår mellem udbydere af højrisiko-AI-systemer og tredjeparter,

der leverer værktøjer, tjenester, komponenter eller processer, som anvendes til eller integreres i højrisiko-AI-systemer. Når

AI-kontoret udarbejder disse frivillige standardaftalevilkår, tager det også hensyn til eventuelle kontraktlige krav, der gælder

i specifikke sektorer eller forretningsscenarier. De frivillige standardaftalevilkår offentliggøres og stilles gratis til rådighed i et

letanvendeligt elektronisk format.

Stk. 2 og 3 berører ikke behovet for at overholde og beskytte intellektuelle ejendomsrettigheder, fortrolige

forretningsoplysninger og forretningshemmeligheder i overensstemmelse med EU-retten og national ret.

Artikel 26

Forpligtelser for idriftsættere af højrisiko-AI-systemer

Idriftsættere af højrisiko-AI-systemer træffer passende tekniske og organisatoriske foranstaltninger for at sikre, at de

anvender disse systemer i overensstemmelse med den brugsanvisning, der ledsager systemerne, jf. stk. 3 og 6.

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

67/144

EUT L af 12.7.2024

Idriftsættere overdrager varetagelsen af det menneskelige tilsyn til fysiske personer, der har den nødvendige

kompetence, uddannelse og myndighed samt den nødvendige støtte.

Forpligtelserne i stk. 1 og 2 berører ikke andre idriftsætterforpligtelser i henhold til EU-retten eller national ret eller

idriftsætterens frihed til at tilrettelægge sine egne ressourcer og aktiviteter med henblik på at gennemføre de af udbyderen

angivne foranstaltninger til menneskeligt tilsyn.

Uden at dette berører stk. 1 og 2, og i det omfang idriftsætteren udøver kontrol over inputdataene, sikrer denne

idriftsætter, at inputdataene er relevante og tilstrækkeligt repræsentative med henblik på højrisiko-AI-systemets tilsigtede

formål.

Idriftsættere overvåger driften af højrisiko-AI-systemet på grundlag af brugsanvisningen og underretter, hvis det er

relevant, udbyderne i overensstemmelse med artikel 72. Hvis idriftsættere har grund til at mene, at anvendelsen af

højrisiko-AI-systemet i overensstemmelse med anvisningerne kan resultere i, at AI-systemet udgør en risiko som omhandlet

i artikel 79, stk. 1, underretter de uden unødigt ophold udbyderen eller distributøren og den relevante markedsovervåg-

ningsmyndighed og stiller anvendelsen af dette system i bero. Hvis idriftsættere har konstateret en alvorlig hændelse,

underretter de også omgående først udbyderen og dernæst importøren eller distributøren og de relevante markeds-

overvågningsmyndigheder om den pågældende hændelse. Hvis idriftsætteren ikke er i stand til at kontakte udbyderen,

finder artikel 73 tilsvarende anvendelse. Denne forpligtelse omfatter ikke følsomme operationelle data fra idriftsættere af

AI-systemer, som er retshåndhævende myndigheder.

For idriftsættere, der er finansielle institutioner, som er underlagt krav vedrørende deres interne ledelse, ordninger eller

processer i henhold til EU-retten om finansielle tjenesteydelser, anses overvågningsforpligtelsen i første afsnit for at være

opfyldt ved overholdelse af reglerne om ordninger, processer og mekanismer for intern ledelse i henhold til den relevante

ret om finansielle tjenesteydelser.

Idriftsættere af højrisiko-AI-systemer opbevarer de logfiler, der genereres automatisk af det pågældende

højrisiko-AI-system, i det omfang sådanne logfiler er under deres kontrol, i en periode, der er passende i forhold til det

tilsigtede formål med højrisiko-AI-systemet, på mindst seks måneder, medmindre andet er fastsat i gældende EU-ret eller

national ret, navnlig EU-retten om beskyttelse af personoplysninger.

Idriftsættere, der er finansielle institutioner, som er underlagt krav vedrørende deres interne ledelse, ordninger eller

processer i henhold til EU-retten om finansielle tjenesteydelser, beholder logfilerne som en del af den dokumentation, der

opbevares i henhold til den relevante EU-ret om finansielle tjenesteydelser.

Inden ibrugtagning eller anvendelse af et højrisiko-AI-system på arbejdspladsen informerer idriftsættere, som er

arbejdsgivere, arbejdstagerrepræsentanter og de berørte arbejdstagere om, at de vil være omfattet af anvendelsen af

højrisiko-AI-systemet. Denne information forelægges, hvis det er relevant, i overensstemmelse med de regler og procedurer,

der er fastsat i EU-retten og EU-praksis og national ret og praksis om informering af arbejdstagere og deres repræsentanter.

Idriftsættere af højrisiko-AI-systemer, der er offentlige myndigheder eller EU-institutioner, -organer, -kontorer eller

-agenturer, overholder de registreringsforpligtelser, der er omhandlet i artikel 49. Når sådanne idriftsættere konstaterer, at

det højrisiko-AI-system, de påtænker at anvende, ikke er registreret i den EU-database, der er omhandlet i artikel 71,

anvender de ikke dette system og underretter leverandøren eller distributøren.

Hvis det er relevant, anvender idriftsættere af højrisiko-AI-systemer de oplysninger, der er fastsat i henhold til denne

forordnings artikel 13, til at overholde deres forpligtelse til at foretage en konsekvensanalyse vedrørende databeskyttelse

i henhold til artikel 35 i forordning (EU) 2016/679 eller artikel 27 i direktiv (EU) 2016/680.

10.

Uden at det berører direktiv (EU) 2016/680, anmoder idriftsætteren af et højrisiko-AI-system til efterfølgende

biometrisk fjernidentifikation inden for rammerne af en efterforskning med henblik på en målrettet eftersøgning af en

person, der er mistænkt eller tiltalt for at have begået en strafbar handling, om tilladelse fra en judiciel myndighed eller en

administrativ myndighed, hvis afgørelse er bindende og underlagt domstolskontrol, til på forhånd eller uden unødigt

ophold og senest inden for 48 timer at anvende det pågældende system, medmindre det anvendes til indledende

identifikation af en potentiel mistænkt på grundlag af objektive og verificerbare kendsgerninger, der er direkte knyttet til

overtrædelsen. Hver anvendelse begrænses til, hvad der er strengt nødvendigt for efterforskningen af en specifik strafbar

handling.

Hvis den tilladelse, der er anmodet om i henhold til første afsnit, afvises, bringes anvendelsen af systemet til efterfølgende

biometrisk fjernidentifikation, der er knyttet til denne tilladelse, der anmodes om, straks til ophør, og de personoplysninger,

der er knyttet til anvendelsen af det højrisiko-AI-system, som der blev anmodet om tilladelse til, slettes.

68/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

Et sådant højrisiko-AI-system til efterfølgende biometrisk fjernidentifikation må under ingen omstændigheder anvendes til

retshåndhævelsesformål på en ikkemålrettet måde uden nogen forbindelse til en strafbar handling, en straffesag, en reel og

aktuel eller reel og forudsigelig trussel om en strafbar handling eller eftersøgning af en specifik forsvundet person. Det

sikres, at der ikke træffes nogen afgørelse, der har negative retsvirkninger for en person, af de retshåndhævende

myndigheder, udelukkende baseret på outputtet af sådanne systemer til efterfølgende biometrisk fjernidentifikation.

Dette stykke berører ikke artikel 9 i forordning (EU) 2016/679 og artikel 10 i direktiv (EU) 2016/680 med hensyn til

behandling af biometriske data.

Uanset formålet eller idriftsætteren skal hver anvendelse af sådanne højrisiko-AI-systemer dokumenteres i det relevante

politiregister og efter anmodning stilles til rådighed for den relevante markedsovervågningsmyndighed og den nationale

databeskyttelsesmyndighed, undtagen hvis det drejer sig om videregivelse af følsomme operationelle data vedrørende

retshåndhævelse. Dette afsnit berører ikke de beføjelser, der tillægges tilsynsmyndighederne ved direktiv (EU) 2016/680.

Idriftsættere forelægger årlige rapporter for de relevante markedsovervågningsmyndigheder og de relevante nationale

databeskyttelsesmyndigheder om deres anvendelse af systemer til efterfølgende biometrisk fjernidentifikation, undtagen

hvis det drejer sig om videregivelse af følsomme operationelle data vedrørende retshåndhævelse. Rapporterne kan samles

for at dække mere end én idriftsættelse.

Medlemsstaterne kan i overensstemmelse med EU-retten indføre mere restriktiv lovgivning om anvendelsen af systemer til

efterfølgende biometrisk fjernidentifikation.

11.

Uden at det berører denne forordnings artikel 50, underretter idriftsættere af de i bilag III omhandlede

højrisiko-AI-systemer, der træffer beslutninger eller bistår med at træffe beslutninger vedrørende fysiske personer, de fysiske

personer om, at de er genstand for anvendelsen af et højrisiko-AI-system. For højrisiko-AI-systemer, der anvendes til

retshåndhævelsesformål, finder artikel 13 i direktiv (EU) 2016/680 anvendelse.

12.

Idriftsættere samarbejder med de relevante kompetente myndigheder om ethvert tiltag, som disse myndigheder

foretager vedrørende højrisiko-AI-systemet, med henblik på gennemførelse af denne forordning.

Artikel 27

Konsekvensanalyse vedrørende grundlæggende rettigheder for højrisiko-AI-systemer

Inden idriftsættelse af et højrisiko-AI-system omhandlet i artikel 6, stk. 2, undtagen højrisiko-AI-systemer, der tilsigtes

anvendt på det område, der er anført i bilag III, punkt 2, foretager idriftsættere, der er offentligretlige organer eller private

enheder, der leverer offentlige tjenester, og idriftsættere af de højrisiko-AI-systemer, der er omhandlet i bilag III, punkt 5,

litra b) og c), en analyse af konsekvensen for grundlæggende rettigheder, som anvendelsen af et sådant system kan medføre.

Med henblik herpå foretager idriftsætterne en konsekvensanalyse bestående af:

a) en beskrivelse af idriftsætterens processer, i hvilke højrisiko-AI-systemet vil blive anvendt i overensstemmelse med dets

tilsigtede formål

b) en beskrivelse af den periode og hyppighed, inden for hvilken hvert højrisiko-AI-system tilsigtes anvendt

c) de kategorier af fysiske personer og grupper, som forventes at blive påvirket af dets anvendelse i den specifikke kontekst

d) de specifikke risici for skade, der sandsynligvis vil påvirke de kategorier af fysiske personer eller grupper af personer, som

er identificeret i henhold til dette stykkes litra c), under hensyntagen til oplysningerne fra udbyderen, jf. artikel 13

e) en beskrivelse af gennemførelsen af foranstaltninger til menneskeligt tilsyn i overensstemmelse med brugsanvisningen

f) de foranstaltninger, der skal træffes, hvis disse risici opstår, herunder ordningerne for intern ledelse og klagemekanismer.

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

69/144

EUT L af 12.7.2024

Den i stk. 1 fastsatte forpligtelse gælder for den første anvendelse af højrisiko-AI-systemet. Idriftsætteren kan

i lignende tilfælde anvende tidligere gennemførte konsekvensanalyser vedrørende grundlæggende rettigheder eller

eksisterende konsekvensanalyser, som udbyderen har foretaget. Hvis idriftsætteren under anvendelsen af højrisiko-AI-sy-

stemet finder, at nogle af de elementer, der er anført i stk. 1, har ændret sig eller ikke længere er ajourførte, tager

idriftsætteren de nødvendige skridt til at ajourføre oplysningerne.

Når den i stk. 1 omhandlede konsekvensanalyse er foretaget, meddeler idriftsætteren markedsovervågnings-

myndigheden resultaterne heraf og forelægger den i denne artikels stk. 5 omhandlede udfyldte skabelon som en del af

meddelelsen. I det tilfælde, som er omhandlet i artikel 46, stk. 1, kan idriftsættere undtages fra denne meddelelsespligt.

Hvis nogle af de forpligtelser, der er fastsat i denne artikel, allerede er opfyldt ved den konsekvensanalyse vedrørende

databeskyttelse, der foretages i henhold til artikel 35 i forordning (EU) 2016/679 eller artikel 27 i direktiv (EU) 2016/680,

supplerer den i nærværende artikels stk. 1 omhandlede konsekvensanalyse vedrørende grundlæggende rettigheder den

pågældende konsekvensanalyse vedrørende databeskyttelse.

AI-kontoret udarbejder en skabelon til et spørgeskema, herunder gennem et automatiseret værktøj, der skal gøre det

lettere for idriftsættere at overholde deres forpligtelser i henhold til denne artikel på en forenklet måde.

AFDELING 4

Bemyndigende myndigheder og bemyndigede organer

Artikel 28

Bemyndigende myndigheder

Hver medlemsstat udpeger eller opretter mindst én bemyndigende myndighed med ansvar for at indføre og

gennemføre de nødvendige procedurer for vurdering, udpegelse og notifikation af overensstemmelsesvurderingsorganer og

for overvågning heraf. Disse procedurer udvikles i samarbejde mellem de bemyndigende myndigheder i alle medlemsstater.

Medlemsstaterne kan beslutte, at den i stk. 1 omhandlede vurdering og overvågning skal foretages af et nationalt

akkrediteringsorgan som omhandlet i og i overensstemmelse med forordning (EF) nr. 765/2008.

Bemyndigende myndigheder oprettes, organiseres og drives på en sådan måde, at der ikke opstår interessekonflikter

med overensstemmelsesvurderingsorganerne, og at der sikres objektivitet og uvildighed i deres aktiviteter.

Bemyndigende myndigheder er organiseret på en sådan måde, at afgørelser om notifikation af overensstemmelses-

vurderingsorganer træffes af kompetente personer, der ikke er identiske med dem, der har foretaget vurderingen af disse

organer.

Bemyndigende myndigheder hverken tilbyder eller leverer aktiviteter, som udføres af overensstemmelsesvurderings-

organer, eller nogen form for rådgivningstjeneste på kommercielt eller konkurrencemæssigt grundlag.

Bemyndigende myndigheder sikrer, at de oplysninger, de kommer i besiddelse af, behandles fortroligt

i overensstemmelse med artikel 78.

Bemyndigende myndigheder skal have et tilstrækkelig stort kompetent personale til, at de kan udføre deres opgaver

behørigt. Det kompetente personale skal have den ekspertise, der er nødvendig for deres funktion, hvis det er relevant, på

områder såsom informationsteknologier, AI og jura, herunder tilsyn med grundlæggende rettigheder.

Artikel 29

Ansøgning om notifikation af et overensstemmelsesvurderingsorgan

Overensstemmelsesvurderingsorganer indgiver en ansøgning om notifikation til den bemyndigende myndighed i den

medlemsstat, hvor de er etableret.

70/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

Ansøgningen om notifikation ledsages af en beskrivelse af de overensstemmelsesvurderingsaktiviteter, det eller de

overensstemmelsesvurderingsmoduler og de typer AI-systemer, som overensstemmelsesvurderingsorganet hævder at være

kompetent til, samt af en eventuel akkrediteringsattest udstedt af et nationalt akkrediteringsorgan, hvori det bekræftes, at

overensstemmelsesvurderingsorganet opfylder kravene i artikel 31.

Alle gyldige dokumenter vedrørende eksisterende udpegelser af det ansøgende bemyndigede organ i henhold til enhver

anden EU-harmoniseringslovgivning tilføjes.

Hvis det pågældende overensstemmelsesvurderingsorgan ikke kan forelægge en akkrediteringsattest, forelægger det

den bemyndigende myndighed al den dokumentation, der er nødvendig for verifikationen, anerkendelsen og den

regelmæssige overvågning af, at det overholder kravene i artikel 31.

For bemyndigede organer, der er udpeget i henhold til enhver anden EU-harmoniseringslovgivning, kan alle

dokumenter og attester, der er knyttet til disse udpegelser, alt efter hvad der er relevant, anvendes til at understøtte deres

udpegelsesprocedure i henhold til denne forordning. Det bemyndigede organ ajourfører den i denne artikels stk. 2 og 3

omhandlede dokumentation, når der sker relevante ændringer, for at give myndigheden med ansvar for bemyndigede

organer mulighed for at overvåge og verificere, at alle krav i artikel 31 løbende er opfyldt.

Artikel 30

Notifikationsprocedure

De bemyndigende myndigheder må kun bemyndige overensstemmelsesvurderingsorganer, som opfylder kravene

i artikel 31.

De bemyndigende myndigheder underretter Kommissionen og de øvrige medlemsstater om hvert overensstemmel-

sesvurderingsorgan, der er omhandlet i stk. 1, ved hjælp af det elektroniske notifikationsværktøj, der er udviklet og forvaltes

af Kommissionen.

Den notifikationen, der er omhandlet i denne artikels stk. 2, skal indeholde fyldestgørende oplysninger om

overensstemmelsesvurderingsaktiviteterne, overensstemmelsesvurderingsmodulet eller -modulerne, de pågældende typer

AI-systemer og den relevante dokumentation for kompetencen. Hvis en bemyndigelse ikke er baseret på en

akkrediteringsattest som omhandlet i artikel 29, stk. 2, skal den bemyndigende myndighed forelægge Kommissionen og

de øvrige medlemsstater dokumentation, der bekræfter overensstemmelsesvurderingsorganets kompetence og de ordninger,

der er indført for at sikre, at der regelmæssigt føres tilsyn med organet, og at organet også fremover vil opfylde de

i artikel 31 fastsatte krav.

Det pågældende overensstemmelsesvurderingsorgan må kun udføre aktiviteter som bemyndiget organ, hvis

Kommissionen og de øvrige medlemsstater ikke har gjort indsigelse inden for to uger efter en bemyndigende myndigheds

notifikation, hvis den indeholder en akkrediteringsattest, jf. artikel 29, stk. 2, eller senest to måneder efter den

bemyndigende myndigheds notifikation, hvis den indeholder den dokumentation, der er omhandlet i artikel 29, stk. 3.

Hvis der gøres indsigelse, hører Kommissionen straks de relevante medlemsstater og overensstemmelsesvurderings-

organet. Med henblik herpå træffer Kommissionen afgørelse om, hvorvidt tilladelsen er berettiget. Kommissionen retter sin

afgørelse til den pågældende medlemsstat og det relevante overensstemmelsesvurderingsorgan.

Artikel 31

Krav vedrørende bemyndigede organer

Et bemyndiget organ skal oprettes i henhold til national ret i en medlemsstat og være en juridisk person.

Bemyndigede organer skal opfylde de organisatoriske krav samt de kvalitetsstyrings-, ressource- og procedurekrav, der

er nødvendige for at kunne udføre deres opgaver, samt passende cybersikkerhedskrav.

Bemyndigede organers organisationsstruktur, ansvarsfordeling, rapporteringsveje og drift skal sikre, at der er tillid til

deres arbejde og til resultaterne af de bemyndigede organers overensstemmelsesvurderingsaktiviteter.

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

71/144

EUT L af 12.7.2024

Bemyndigede organer skal være uafhængige af udbyderen af højrisiko-AI-systemet, i forbindelse med hvilket de

udfører overensstemmelsesvurderingsaktiviteter. Bemyndigede organer skal også være uafhængige af alle andre operatører,

der har en økonomisk interesse i højrisiko-AI-systemer, der vurderes, og af enhver konkurrent til udbyderen. Dette er ikke

til hinder for at anvende vurderede højrisiko-AI-systemer, som er nødvendige for overensstemmelsesvurderingsorganets

drift, eller for at anvende sådanne højrisiko-AI-systemer til personlige formål.

Hverken overensstemmelsesvurderingsorganet, dets øverste ledelse eller det personale, der er ansvarligt for at udføre

dets overensstemmelsesvurderingsopgaver, må være direkte involveret i udformningen, udviklingen, markedsføringen eller

anvendelsen af højrisiko-AI-systemer eller repræsentere parter, der deltager i disse aktiviteter. De må ikke deltage

i aktiviteter, som kan være i strid med deres objektivitet eller integritet, når de udfører de aktiviteter i forbindelse med

overensstemmelsesvurdering, som de er bemyndiget til at udføre. Dette gælder navnlig rådgivningstjenester.

Bemyndigede organer skal være organiseret og arbejde på en sådan måde, at der i deres aktiviteter sikres

uafhængighed, objektivitet og uvildighed. Bemyndigede organer skal dokumentere og gennemføre en struktur og

procedurer til sikring af uvildighed og til fremme og anvendelse af principperne om uvildighed i hele deres organisation,

hos alt deres personale og i alle deres vurderingsaktiviteter.

Bemyndigede organer skal have indført dokumenterede procedurer, der sikrer, at deres personale, udvalg,

dattervirksomheder, underentreprenører og eventuelle tilknyttede organer eller personale i eksterne organer i overens-

stemmelse med artikel 78 opretholder fortroligheden af de oplysninger, som de kommer i besiddelse af under udførelsen af

overensstemmelsesvurderingsaktiviteterne, undtagen når videregivelse heraf er påbudt ved lov. Bemyndigede organers

personale har tavshedspligt med hensyn til alle oplysninger, det kommer i besiddelse af under udførelsen af sine opgaver

i henhold til denne forordning, undtagen over for de bemyndigende myndigheder i den medlemsstat, hvor aktiviteterne

udføres.

Bemyndigede organer skal have procedurer for udførelsen af aktiviteterne, der tager behørigt hensyn til en udbyders

størrelse, til den sektor, som den opererer inden for, til dens struktur og til, hvor kompleks det pågældende AI-system er.

Bemyndigede organer skal tegne en passende ansvarsforsikring for deres overensstemmelsesvurderingsaktiviteter,

medmindre ansvaret i overensstemmelse med national ret ligger hos den medlemsstat, i hvilken de er etableret, eller

medlemsstaten selv er direkte ansvarlig for overensstemmelsesvurderingen.

10.

Bemyndigede organer skal være i stand til at udføre alle deres opgaver i henhold til denne forordning med den størst

mulige faglige integritet og den nødvendige kompetence på det specifikke område, uanset om disse opgaver udføres af

bemyndigede organer selv eller på deres vegne og på deres ansvar.

11.

Bemyndigede organer skal have tilstrækkelige interne kompetencer til at kunne evaluere de opgaver, der udføres af

eksterne parter på deres vegne, effektivt. Det bemyndigede organ skal have permanent adgang til tilstrækkeligt

administrativt, teknisk, juridisk og videnskabeligt personale med erfaring og viden vedrørende de relevante typer af

AI-systemer, de relevante data og den relevante databehandling og vedrørende kravene i afdeling 2.

12.

Bemyndigede organer skal deltage i det koordinerende arbejde, jf. artikel 38. De skal også deltage direkte eller være

repræsenteret i de europæiske standardiseringsorganisationer eller sikre, at de har et ajourført kendskab til relevante

standarder.

Artikel 32

Formodning om overensstemmelse med krav vedrørende bemyndigede organer

Hvis et overensstemmelsesvurderingsorgan påviser, at det er i overensstemmelse med kriterierne i de relevante

harmoniserede standarder eller dele heraf, hvortil der er offentliggjort referencer i

Den Europæiske Unions Tidende,

formodes

det at overholde kravene i artikel 31, for så vidt de gældende harmoniserede standarder dækker disse krav.

72/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

Artikel 33

Dattervirksomheder i tilknytning til bemyndigede organer og underentreprise

Hvis et bemyndiget organ giver bestemte opgaver i forbindelse med overensstemmelsesvurderingen i underentreprise

eller anvender en dattervirksomhed, skal det sikre, at underentreprenøren eller dattervirksomheden opfylder kravene

i artikel 31, og underrette den bemyndigende myndighed herom.

Bemyndigede organer har det fulde ansvar for de opgaver, som udføres af en underentreprenør eller dattervirksomhed.

Aktiviteter kan kun gives i underentreprise eller udføres af en dattervirksomhed, hvis udbyderen har givet sit

samtykke hertil. Bemyndigede organer skal gøre en liste over deres dattervirksomheder offentligt tilgængelig.

De relevante dokumenter vedrørende vurderingen af underentreprenørens eller dattervirksomhedens kvalifikationer

og det arbejde, som de har udført i henhold til denne forordning, stilles til rådighed for den bemyndigende myndighed i en

periode på fem år fra datoen for afslutningen af underentreprisen.

Artikel 34

Bemyndigede organers operationelle forpligtelser

Bemyndigede organer skal verificere, at højrisiko-AI-systemer er i overensstemmelse med overensstemmelses-

vurderingsprocedurerne i artikel 43.

Bemyndigede organer skal under udførelsen af deres aktiviteter undgå unødvendige byrder for udbyderne og tage

behørigt hensyn til udbyderens størrelse, den sektor, som den opererer inden for, dens struktur og til, hvor kompleks det

pågældende højrisiko-AI-system er, navnlig med henblik på at minimere administrative byrder og overholdelsesom-

kostninger for mikrovirksomheder og små virksomheder som omhandlet i henstilling 2003/361/EF. Det bemyndigede

organ skal dog respektere den grad af strenghed og det beskyttelsesniveau, der kræves for, at højrisiko-AI-systemet

overholder kravene i denne forordning.

Bemyndigede organer skal stille al relevant dokumentation til rådighed og efter anmodning forelægge denne, herunder

udbyderens dokumentation, for den bemyndigende myndighed, der er omhandlet i artikel 28, så denne myndighed kan

udføre sine vurderings-, udpegelses-, notifikations- og overvågningsaktiviteter og lette vurderingen anført i denne afdeling.

Artikel 35

Identifikationsnumre for og lister over bemyndigede organer

Kommissionen tildeler hvert bemyndiget organ ét identifikationsnummer, også selv om organet er notificeret

i henhold til mere end én EU-retsakt.

Kommissionen offentliggør listen over organer, der er notificeret i henhold til denne forordning, herunder deres

identifikationsnumre og de aktiviteter, med henblik på hvilke de er notificeret. Kommissionen sikrer, at listen ajourføres.

Artikel 36

Ændringer af notifikationer

Den bemyndigende myndighed meddeler Kommissionen og de øvrige medlemsstater alle relevante ændringer

i notifikationen af et bemyndiget organ via det elektroniske notifikationsværktøj, der er omhandlet i artikel 30, stk. 2.

Procedurerne i artikel 29 og 30 finder anvendelse på udvidelser af rammerne for notifikationen.

Med hensyn til andre ændringer af notifikationen end udvidelser af rammerne for den, finder procedurerne i stk. 3-9

anvendelse.

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

73/144

EUT L af 12.7.2024

Hvis et bemyndiget organ beslutter at indstille sine overensstemmelsesvurderingsaktiviteter, underretter det den

bemyndigende myndighed og udbyderne hurtigst muligt og i tilfælde af planlagt indstilling mindst ét år, inden dets

aktiviteter indstilles. Det bemyndigede organs attester kan forblive gyldige i en periode på ni måneder, efter at det

bemyndigede organs aktiviteter er indstillet, forudsat at et andet bemyndiget organ skriftligt har bekræftet, at det vil påtage

sig ansvaret for de højrisiko-AI-systemer, der er omfattet af disse attester. Sidstnævnte bemyndigede organ foretager en fuld

vurdering af de berørte højrisiko-AI-systemer inden udgangen af denne periode på ni måneder, før det udsteder nye attester

for disse systemer. Hvis det bemyndigede organ har indstillet sine aktiviteter, trækker den bemyndigende myndighed

udpegelsen tilbage.

Hvis en bemyndigende myndighed har tilstrækkelig grund til at mene, at et bemyndiget organ ikke længere opfylder

kravene i artikel 31, eller at det ikke opfylder sine forpligtelser, skal den bemyndigende myndighed hurtigst muligt

undersøge sagen med den størst mulige omhu. I den forbindelse skal den underrette det berørte bemyndigede organ om

sine indvendinger og giver det mulighed for at tilkendegive sine synspunkter. Hvis en bemyndigende myndighed

konkluderer, at det bemyndigede organ ikke længere opfylder kravene i artikel 31, eller at det ikke opfylder sine

forpligtelser, skal den begrænse, suspendere eller tilbagetrække udpegelsen, alt efter hvad der er relevant, afhængigt af hvor

alvorlig den manglende opfyldelse af kravene eller forpligtelserne er. Den underretter omgående Kommissionen og de

øvrige medlemsstater herom.

Hvis et bemyndiget organs udpegelse er blevet suspenderet, begrænset eller helt eller delvist tilbagetrukket, underretter

dette organ de pågældende udbydere inden for ti dage.

Hvis en udpegelse begrænses, suspenderes eller tilbagetrækkes, træffer den bemyndigende myndighed de nødvendige

foranstaltninger for at sikre, at det pågældende bemyndigede organs sager opbevares, og for at stille dem til rådighed for

bemyndigende myndigheder i andre medlemsstater og for markedsovervågningsmyndighederne efter disses anmodning.

Hvis en udpegelse begrænses, suspenderes eller tilbagetrækkes, skal den bemyndigende myndighed:

a) vurdere indvirkningen på attester, der er udstedt af det bemyndigede organ

b) forelægge en rapport om sine resultater til Kommissionen og de øvrige medlemsstater senest tre måneder efter, at den

har givet meddelelse om ændringerne af udpegelsen

c) pålægge det bemyndigede organ at suspendere eller tilbagetrække alle de attester, der uretmæssigt er blevet udstedt,

inden for en rimelig tidsfrist, der fastsættes af myndigheden, for at sikre, at højrisiko-AI-systemer fortsat er

i overensstemmelse hermed på markedet

d) underrette Kommissionen og medlemsstaterne om attester, som den har kræves suspenderet eller tilbagetrukket

e) give de nationale kompetente myndigheder i den medlemsstat, hvor udbyderen har sit registrerede forretningssted, alle

relevante oplysninger om de attester, for hvilke den har krævet suspension eller tilbagetrækning. Den pågældende

myndighed træffer de fornødne foranstaltninger, hvis det er nødvendigt, for at undgå en potentiel risiko for sundhed,

sikkerhed eller grundlæggende rettigheder.

Med undtagelse af uretmæssigt udstedte attester og i tilfælde, hvor en udpegelse er blevet inddraget eller begrænset,

vedbliver attesterne med at være gyldige i et af følgende tilfælde:

a) den bemyndigende myndighed har senest én måned efter suspensionen eller begrænsningen bekræftet, at der ikke er

nogen risiko for sundhed, sikkerhed eller grundlæggende rettigheder vedrørende attester, der er berørt af suspensionen

eller begrænsningen, og den bemyndigende myndighed har anført en frist for tiltag til at afhjælpe suspensionen eller

begrænsningen, eller

b) den bemyndigende myndighed har bekræftet, at ingen attester af relevans for suspensionen vil blive udstedt, ændret eller

genudstedt under suspensionen eller begrænsningen, og anfører, hvorvidt det bemyndigede organ har kapacitet til at

fortsætte overvågningen og fortsat være ansvarligt for eksisterende udstedte attester i suspensions- eller begrænsnings-

perioden; hvis den bemyndigende myndighed fastslår, at det bemyndigede organ ikke er i stand til at støtte eksisterende

udstedte attester, bekræfter udbyderen af det system, der er omfattet af attesten, senest tre måneder efter suspensionen

eller begrænsningen skriftligt over for de nationale kompetente myndigheder i den medlemsstat, hvor vedkommende har

sit registrerede forretningssted, at et andet kvalificeret bemyndiget organ midlertidigt varetager det bemyndigede organs

funktioner med hensyn til at overvåge og forblive ansvarligt for attesterne i suspensions- eller begrænsningsperioden.

74/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

Med undtagelse af uretmæssigt udstedte attester og i tilfælde, hvor en udpegelse er blevet tilbagetrukket, vedbliver

attesterne med at være gyldige i en periode på ni måneder i følgende tilfælde:

a) den nationale kompetente myndighed i den medlemsstat, hvor udbyderen af det højrisiko-AI-system, der er omfattet af

attesten, har sit registrerede forretningssted, har bekræftet, at der ikke er nogen risiko for sundhed, sikkerhed eller

grundlæggende rettigheder i forbindelse med de pågældende højrisiko-AI-systemer, og

b) et andet bemyndiget organ har skriftligt bekræftet, at det straks varetager ansvaret for disse AI-systemer, og færdiggør sin

vurdering inden 12 måneder efter tilbagetrækning af udpegelsen.

Under de omstændigheder, der er omhandlet i første afsnit, kan den kompetente nationale myndighed i den medlemsstat,

hvor udbyderen af det system, der er omfattet af attesten, har sit forretningssted, forlænge attesternes foreløbige gyldighed

i yderligere perioder på tre måneder, dog i alt højst 12 måneder.

Den kompetente nationale myndighed eller det bemyndigede organ, der varetager funktionerne for det bemyndigede organ,

der er berørt af ændringen af udpegelsen, underretter omgående Kommissionen, de øvrige medlemsstater og de øvrige

bemyndigede organer herom.

Artikel 37

Anfægtelse af bemyndigede organers kompetence

Kommissionen undersøger om nødvendigt alle tilfælde, hvor der er grund til at betvivle et bemyndiget organs

kompetence eller et bemyndiget organs fortsatte opfyldelse af kravene i artikel 31 og dets gældende ansvarsområder.

Den bemyndigende myndighed forelægger efter anmodning Kommissionen alle relevante oplysninger vedrørende

notifikationen af det pågældende bemyndigede organ eller opretholdelsen af dets kompetence.

Kommissionen sikrer, at alle de følsomme oplysninger, som den kommer i besiddelse af som led i sine undersøgelser

i henhold til denne artikel, behandles fortroligt i overensstemmelse med artikel 78.

Hvis Kommissionen konstaterer, at et bemyndiget organ ikke eller ikke længere opfylder kravene i forbindelse med sin

notifikation, underretter den den bemyndigende medlemsstat herom og anmoder den om at træffe de nødvendige

korrigerende foranstaltninger, herunder om nødvendigt suspension eller tilbagetrækning af notifikationen. Hvis den

bemyndigende myndighed ikke træffer de nødvendige foranstaltninger, kan Kommissionen ved hjælp af en gennem-

førelsesretsakt suspendere, begrænse eller tilbagetrække udpegelsen. Denne gennemførelsesretsakt vedtages efter

undersøgelsesproceduren, jf. artikel 98, stk. 2.

Artikel 38

Koordinering af bemyndigede organer

Kommissionen sikrer, at der med hensyn til højrisiko-AI-systemer etableres passende koordinering og samarbejde

mellem de bemyndigede organer, der er aktive inden for overensstemmelsesvurderingsprocedurer i henhold til denne

forordning, i form af en sektorspecifik gruppe af bemyndigede organer, og at det styres på forsvarlig måde.

Hver bemyndigende myndighed sørger for, at de organer, den har bemyndiget, deltager i arbejdet i en gruppe, jf.

stk. 1, enten direkte eller gennem udpegede repræsentanter.

Kommissionen sørger for udveksling af viden og bedste praksis mellem de bemyndigede myndigheder.

75/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

Artikel 39

Tredjelandes overensstemmelsesvurderingsorganer

EUT L af 12.7.2024

Overensstemmelsesvurderingsorganer, der er oprettet i henhold til retten i et tredjeland, med hvilket Unionen har indgået en

aftale, kan godkendes til at udføre bemyndigede organers aktiviteter i henhold til denne forordning, forudsat at de opfylder

kravene i artikel 31, eller at de sikrer et tilsvarende overensstemmelsesniveau.

AFDELING 5

Standarder, overensstemmelsesvurdering, attester, registrering

Artikel 40

Harmoniserede standarder og standardiseringsdokumentation

Højrisiko-AI-systemer eller AI-modeller til almen brug, som er i overensstemmelse med harmoniserede standarder

eller dele heraf, hvis referencer er offentliggjort i

Den Europæiske Unions Tidende

i overensstemmelse med forordning

(EU) nr. 1025/2012, formodes at være i overensstemmelse med kravene i dette kapitels afdeling 2 eller, alt efter hvad der er

relevant, med forpligtelserne i nærværende forordnings kapitel V, afdeling 2 og 3, for så vidt de nævnte standarder omfatter

disse krav eller forpligtelser.

I overensstemmelse med artikel 10 i forordning (EU) nr. 1025/2012 fremsætter Kommissionen uden unødigt ophold

standardiseringsanmodninger, der dækker alle kravene i dette kapitels afdeling 2, og, alt efter hvad der er relevant,

standardiseringsanmodninger, der dækker forpligtelserne i nærværende forordnings kapitel V, afdeling 2 og 3.

I standardiseringsanmodningen anmodes der også om dokumentation vedrørende rapporterings- og dokumentations-

processer med henblik på at forbedre AI-systemernes ressourceydeevne såsom reduktion af højrisiko-AI-systemets forbrug

af energi og af andre ressourcer i løbet af dets livscyklus og vedrørende energieffektiv udvikling af AI-modeller til almen

brug. I forbindelse med udarbejdelsen af en standardiseringsanmodning hører Kommissionen AI-udvalget og relevante

interessenter, herunder det rådgivende forum.

Når Kommissionen fremsætter en standardiseringsanmodning til de europæiske standardiseringsorganisationer, præciserer

den, at standarderne skal være klare, overensstemmende, herunder med de standarder, der er udviklet i de forskellige

sektorer for produkter, der er omfattet af den gældende EU-harmoniseringslovgivning, som er opført i bilag I, og søge at

sikre, at højrisiko-AI-systemer eller AI-modeller til almen brug, som bringes i omsætning eller tages i brug i Unionen,

opfylder de relevante krav eller forpligtelser i nærværende forordning.

Kommissionen anmoder de europæiske standardiseringsorganisationer om at dokumentere deres bedste indsats for at nå de

mål, der er omhandlet i dette stykkes første og andet afsnit, i overensstemmelse med artikel 24 i forordning

(EU) nr. 1025/2012.

Deltagerne i standardiseringsprocessen skal søge at fremme investering og innovation inden for AI, herunder gennem

øget retssikkerhed, samt EU-markedets konkurrenceevne og vækst, at bidrage til at styrke globalt samarbejde om

standardisering og tage højde for eksisterende internationale standarder inden for kunstig intelligens, som stemmer overens

med Unionens værdier, grundlæggende rettigheder og interesser, og at styrke multiinteressentforvaltning, der sikrer en

afbalanceret repræsentation af interesser og effektiv deltagelse af alle relevante interessenter i overensstemmelse med

artikel 5, 6 og 7 i forordning (EU) nr. 1025/2012.

Artikel 41

Fælles specifikationer

Kommissionen kan vedtage gennemførelsesretsakter om fastlæggelse af fælles specifikationer for kravene i dette

kapitels afdeling 2 eller, alt efter hvad der er relevant, for forpligtelserne i kapitel V, afdeling 2 og 3, hvis følgende betingelser

er opfyldt:

a) Kommissionen har i henhold til artikel 10, stk. 1, i forordning (EU) nr. 1025/2012 anmodet en eller flere europæiske

standardiseringsorganisationer om at udarbejde en harmoniseret standard for kravene i dette kapitels afdeling 2 eller,

hvis det er relevant, for forpligtelserne i kapitel V, afdeling 2 og 3, og:

i) anmodningen er ikke blevet imødekommet af nogen af de europæiske standardiseringsorganisationer, eller

76/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

ii) de harmoniserede standarder, der behandler den pågældende anmodning, er ikke blevet leveret inden for den frist,

der er fastsat i overensstemmelse med artikel 10, stk. 1, i forordning (EU) nr. 1025/2012, eller

iii) de relevante harmoniserede standarder tager ikke i tilstrækkelig grad hensyn til de grundlæggende rettigheder, eller

iv) de harmoniserede standarder er ikke i overensstemmelse med anmodningen, og

b) ingen reference til harmoniserede standarder, der dækker de krav, der er omhandlet i dette kapitels afdeling 2, eller, hvis

det er relevant, forpligtelserne i kapitel V, afdeling 2 og 3, er offentliggjort i

Den Europæiske Unions Tidende

i overensstemmelse med forordning (EU) nr. 1025/2012, og ingen reference af denne art forventes at blive offentliggjort

inden for et rimeligt tidsrum.

Når Kommissionen udarbejder de fælles specifikationer, skal den høre det rådgivende forum, der er omhandlet i artikel 67.

De gennemførelsesretsakter, der er omhandlet i dette stykkes første afsnit, vedtages efter undersøgelsesproceduren, jf.

artikel 98, stk. 2.

Inden Kommissionen udarbejder et udkast til gennemførelsesretsakt, underretter den det udvalg, der er omhandlet

i artikel 22 i forordning (EU) nr. 1025/2012, om, at den anser betingelserne i nærværende artikels stk. 1 for opfyldt.

Højrisiko-AI-systemer eller AI-modeller til almen brug, som er i overensstemmelse med de fælles specifikationer, der

er omhandlet i stk. 1, eller dele af disse specifikationer, formodes at være i overensstemmelse med kravene fastsat i dette

kapitels afdeling 2 eller, alt efter hvad der er relevant, at overholde forpligtelserne omhandlet i kapital V, afdeling 2 og 3, for

så vidt de nævnte fælles specifikationer omfatter disse forpligtelser.

Hvis en europæisk standardiseringsorganisation vedtager en harmoniseret standard og fremlægger denne for

Kommissionen med henblik på offentliggørelse af referencen hertil i

Den Europæiske Unions Tidende,

skal Kommissionen

foretage en vurdering af den harmoniserede standard i overensstemmelse med forordning (EU) nr. 1025/2012. Når

referencen til en harmoniseret standard offentliggøres i

Den Europæiske Unions Tidende,

ophæver Kommissionen de

gennemførelsesretsakter, der er omhandlet i stk. 1, eller dele deraf, der omfatter de samme krav, der er fastsat i dette kapitels

afdeling 2 eller, hvis det er relevant, at de samme forpligtelser, der er fastsat i kapital V, afdeling 2 og 3.

Hvis udbydere af højrisiko-AI-systemer eller AI-modeller til almen brug ikke overholder de fælles specifikationer, der

er omhandlet i stk. 1, skal de behørigt begrunde, at de har indført tekniske løsninger, der opfylder de krav, der er omhandlet

i dette kapitels afdeling 2 eller, alt efter hvad der er relevant, overholder de forpligtelser, der er fastsat i kapital V, afdeling 2

og 3, i et omfang, som mindst svarer hertil.

Hvis en medlemsstat finder, at en fælles specifikation ikke fuldt ud opfylder kravene fastsat i afdeling 2 eller, alt efter

hvad der er relevant, overholder forpligtelserne fastsat i kapital V, afdeling 2 og 3, underretter den Kommissionen herom

med en detaljeret redegørelse. Kommissionen vurderer disse oplysninger og ændrer, hvis det er relevant, gennem-

førelsesretsakten om fastlæggelse af den pågældende fælles specifikation.

Artikel 42

Formodning om overensstemmelse med visse krav

Højrisiko-AI-systemer, der er blevet trænet og afprøvet på data, som afspejler de specifikke geografiske,

adfærdsmæssige, kontekstuelle eller funktionelle rammer, som de tilsigtes anvendt inden for, formodes at overholde de

relevante krav i artikel 10, stk. 4.

Højrisiko-AI-systemer, der er certificeret, eller for hvilke der er udstedt en overensstemmelseserklæring i henhold til en

cybersikkerhedsordning i henhold til forordning (EU) 2019/881, og hvis referencer er offentliggjort i

Den Europæiske Unions

Tidende,

formodes at overholde cybersikkerhedskravene i nærværende forordnings artikel 15, såfremt cybersikkerhedsatte-

sten eller overensstemmelseserklæringen eller dele heraf dækker disse krav.

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

77/144

Artikel 43

Overensstemmelsesvurdering

EUT L af 12.7.2024

Hvad angår højrisiko-AI-systemer, der er opført i bilag III, punkt 1, skal udbyderen, såfremt denne ved påvisningen af,

at et højrisiko-AI-system overholder kravene i afdeling 2, har anvendt harmoniserede standarder omhandlet i artikel 40

eller, hvis det er relevant, fælles specifikationer omhandlet i artikel 41, vælge en af følgende overensstemmelses-

vurderingsprocedurer på grundlag af:

a) intern kontrol omhandlet i bilag VI, eller

b) vurdering af kvalitetsstyringssystemet og vurdering af den tekniske dokumentation med inddragelse af et bemyndiget

organ omhandlet i bilag VII.

Ved påvisning af et højrisiko-AI-systems overensstemmelse med kravene i afdeling 2 følger udbyderen overensstemmel-

sesvurderingsproceduren i bilag VII, hvis:

a) der ikke findes harmoniserede standarder omhandlet i artikel 40, og der ikke findes fælles specifikationer omhandlet

i artikel 41

b) udbyderen ikke har anvendt eller kun har anvendt en del af den harmoniserede standard

c) de i litra a) omhandlede fælles specifikationer findes, men udbyderen ikke har anvendt dem

d) én eller flere af de i litra a) omhandlede harmoniserede standarder er blevet offentliggjort med en begrænsning og kun

med hensyn til den del af standarden, som er genstand for begrænsning.

Med henblik på den overensstemmelsesvurderingsprocedure, der er omhandlet i bilag VII, kan udbyderen vælge hvilket som

helst af de bemyndigede organer. Hvis højrisiko-AI-systemet tilsigtes ibrugtaget af retshåndhævende myndigheder,

indvandringsmyndigheder, asylmyndigheder eller EU-institutioner, -organer, -kontorer eller -agenturer, fungerer den

markedsovervågningsmyndighed, der er omhandlet i artikel 74, stk. 8 eller 9, alt efter hvad der er relevant, imidlertid som

bemyndiget organ.

Hvad angår de højrisiko-AI-systemer, der er omhandlet i bilag III, punkt 2-8, skal udbyderne følge overensstem-

melsesvurderingsproceduren på grundlag af intern kontrol som omhandlet i bilag VI, som ikke foreskriver inddragelse af et

bemyndiget organ.

For højrisiko-AI-systemer, som er omfattet af EU-harmoniseringslovgivningen, der er opført i bilag I, afsnit A, skal

udbyderen følge den relevante overensstemmelsesvurderingsprocedure som krævet i henhold til disse retsakter. Kravene

i dette kapitels afdeling 2 finder anvendelse på disse højrisiko-AI-systemer og skal indgå i den nævnte vurdering. Punkt 4.3,

4.4 og 4.5 samt bilag VII, punkt 4.6, femte afsnit, finder også anvendelse.

Med henblik på denne vurdering har bemyndigede organer, der er blevet notificeret i henhold til disse retsakter, ret til at

kontrollere højrisiko-AI-systemernes overensstemmelse med kravene i afdeling 2, forudsat at disse bemyndigede organers

overholdelse af kravene i artikel 31, stk. 4, 5, 10 og 11, er blevet vurderet i forbindelse med notifikationsproceduren

i henhold til disse retsakter.

Hvis en retsakt, der er opført i bilag I, afsnit A, giver producenten mulighed for at fravælge en af tredjepart udført

overensstemmelsesvurdering, forudsat at producenten har anvendt alle de harmoniserede standarder, der omfatter alle de

relevante krav, kan producenten kun anvende denne mulighed, hvis vedkommende også har anvendt harmoniserede

standarder eller, hvis det er relevant, fælles specifikationer omhandlet i artikel 41, der omfatter alle kravene i dette kapitels

afdeling 2.

Højrisiko-AI-systemer, der allerede har været genstand for en overensstemmelsesvurderingsprocedure, skal

underkastes en ny overensstemmelsesvurderingsprocedure i tilfælde af væsentlige ændringer, uanset om det ændrede

system tilsigtes videredistribueret eller fortsat anvendes af den nuværende idriftsætter.

For højrisiko-AI-systemer, der bliver ved med at lære efter at være bragt i omsætning eller ibrugtaget, udgør ændringer af

højrisiko-AI-systemet og dets ydeevne, som udbyderen har fastlagt på forhånd på tidspunktet for den indledende

overensstemmelsesvurdering, og som er en del af oplysningerne i den tekniske dokumentation, der er omhandlet i bilag IV,

punkt 2, litra f), ikke en væsentlig ændring.

Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 97 for at ændre

bilag VI og VII ved at ajourføre dem i lyset af den tekniske udvikling.

78/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 97 for at ændre

nærværende artikels stk. 1 og 2 for at underkaste de i bilag III, punkt 2-8, omhandlede højrisiko-AI-systemer

overensstemmelsesvurderingsproceduren i bilag VII eller dele heraf. Kommissionen vedtager sådanne delegerede retsakter

under hensyntagen til effektiviteten af overensstemmelsesvurderingsproceduren på grundlag af intern kontrol omhandlet

i bilag VI med hensyn til at forebygge eller minimere de risici for sundhed, sikkerhed og beskyttelsen af de grundlæggende

rettigheder, som sådanne systemer medfører, samt hvorvidt der er tilstrækkelig kapacitet og ressourcer i de bemyndigede

organer.

Artikel 44

Attester

Attester, der udstedes af bemyndigede organer i overensstemmelse med bilag VII, udfærdiges på et sprog, som er

letforståeligt for de relevante myndigheder i den medlemsstat, hvor det bemyndigede organ er etableret.

Attester er gyldige i den periode, de angiver, og som ikke må overstige fem år for AI-systemer, der er omfattet af

bilag I, og fire år for AI-systemer, der er omfattet af bilag III. På udbyderens anmodning kan en attests gyldighedsperiode

forlænges med yderligere perioder på hver højst fem år for AI-systemer, der er omfattet af bilag I, og fire år for AI-systemer,

der er omfattet af bilag III, på grundlag af en fornyet vurdering i overensstemmelse med gældende overensstemmelses-

vurderingsprocedurer. Et eventuelt tillæg til en attest forbliver gyldigt, forudsat at den attest, det supplerer, er gyldig.

Hvis et bemyndiget organ fastslår, at et AI-system ikke længere opfylder kravene i afdeling 2, skal det under iagttagelse

af proportionalitetsprincippet suspendere eller tilbagetrække den udstedte attest eller begrænse den, medmindre udbyderen

af systemet gennem passende korrigerende tiltag og inden for en passende frist fastsat af det bemyndigede organ sikrer

overholdelse af de pågældende krav. Det bemyndigede organ skal begrunde sin afgørelse.

De bemyndigede organers afgørelser, herunder om udstedte overensstemmelsesattester, skal kunne appelleres.

Artikel 45

Oplysningsforpligtelser for bemyndigede organer

Bemyndigede organer skal oplyse den bemyndigende myndighed om følgende:

a) alle EU-vurderingsattester for teknisk dokumentation, eventuelle tillæg til disse attester og eventuelle godkendelser af

kvalitetsstyringssystemer, der er udstedt i overensstemmelse med kravene i bilag VII

b) alle afslag på, begrænsninger af, suspensioner af eller tilbagetrækninger af EU-vurderingsattester for teknisk

dokumentation eller godkendelser af kvalitetsstyringssystemer udstedt i overensstemmelse med kravene i bilag VII

c) alle forhold, der har indflydelse på omfanget af eller betingelserne for notifikationen

d) alle anmodninger om oplysninger om overensstemmelsesvurderingsaktiviteter, som de har modtaget fra markeds-

overvågningsmyndighederne

e) efter anmodning, overensstemmelsesvurderingsaktiviteter, der er udført inden anvendelsesområdet for deres

notifikation, og enhver anden aktivitet, der er udført, herunder grænseoverskridende aktiviteter og underentreprise.

Hvert bemyndiget organ skal underrette de øvrige bemyndigede organer om:

a) afviste, suspenderede eller tilbagetrukne godkendelser af kvalitetsstyringssystemer samt, efter anmodning, udstedte

godkendelser af kvalitetsstyringssystemer

b) EU-vurderingsattester for teknisk dokumentation eller tillæg hertil, som det har afvist, tilbagetrukket, suspenderet eller

på anden måde begrænset, og, efter anmodning, de attester og/eller tillæg hertil, som det har udstedt.

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

79/144

EUT L af 12.7.2024

Hvert bemyndiget organ skal give de øvrige bemyndigede organer, som udfører lignende overensstemmelses-

vurderingsaktiviteter vedrørende de samme typer AI-systemer, relevante oplysninger om spørgsmål vedrørende negative og,

efter anmodning, positive overensstemmelsesvurderingsresultater.

Bemyndigende myndigheder sikrer, at de oplysninger, de kommer i besiddelse af, behandles fortroligt

i overensstemmelse med artikel 78.

Artikel 46

Undtagelse fra overensstemmelsesvurderingsprocedure

Uanset artikel 43 og efter behørigt begrundet anmodning kan enhver markedsovervågningsmyndighed tillade, at

specifikke højrisiko-AI-systemer bringes i omsætning eller ibrugtages på den pågældende medlemsstats område af

ekstraordinære hensyn til den offentlige sikkerhed eller beskyttelse af menneskers liv og sundhed, miljøbeskyttelse eller

beskyttelse af centrale industrielle og infrastrukturmæssige aktiver. Tilladelsen gælder kun for en begrænset periode, mens

de nødvendige overensstemmelsesvurderingsprocedurer gennemføres, under hensyntagen til de ekstraordinære hensyn, der

begrunder undtagelsen. Gennemførelsen af disse procedurer skal ske uden unødigt ophold.

I behørigt begrundede hastende tilfælde af ekstraordinære hensyn til den offentlige sikkerhed eller i tilfælde af en

specifik, væsentlig og overhængende fare for fysiske personers liv eller fysiske sikkerhed kan de retshåndhævende

myndigheder eller civilbeskyttelsesmyndighederne ibrugtage et specifikt højrisiko-AI-system uden den tilladelse, der er

omhandlet i stk. 1, forudsat at der anmodes om en sådan tilladelse under eller efter anvendelsen uden unødigt ophold. Hvis

den i stk. 1 omhandlede tilladelse afvises, skal anvendelsen af højrisiko-AI-systemet indstilles med øjeblikkelig virkning, og

alle resultater og output af en sådan anvendelse skal omgående kasseres.

Den i stk. 1 omhandlede tilladelse udstedes kun, hvis markedsovervågningsmyndigheden konkluderer, at

højrisiko-AI-systemet overholder kravene i afdeling 2. Markedsovervågningsmyndigheden underretter Kommissionen og

de øvrige medlemsstater om enhver tilladelse, der udstedes i henhold til stk. 1 og 2. Denne forpligtelse omfatter ikke

følsomme operationelle oplysninger i forbindelse med de retshåndhævende myndigheders aktiviteter.

Hvis der ikke inden for 15 kalenderdage efter modtagelsen af de i stk. 3 omhandlede oplysninger er blevet gjort

indsigelse af en medlemsstat eller Kommissionen mod en tilladelse udstedt af en markedsovervågningsmyndighed i en

medlemsstat i overensstemmelse med stk. 1, anses denne tilladelse for at være berettiget.

Hvis en medlemsstat inden for 15 kalenderdage efter modtagelsen af den i stk. 3 omhandlede underretning gør

indsigelse mod en tilladelse, der er udstedt af en markedsovervågningsmyndighed i en anden medlemsstat, eller hvis

Kommissionen finder, at tilladelsen er i strid med EU-retten, eller at medlemsstaternes konklusion vedrørende systemets

overholdelse af kravene som omhandlet i stk. 3 er ubegrundet, hører Kommissionen straks den relevante medlemsstat.

Operatørerne skal høres og have mulighed for at fremsætte deres synspunkter. På denne baggrund træffer Kommissionen

afgørelse om, hvorvidt tilladelsen er berettiget. Kommissionen retter sin afgørelse til den pågældende medlemsstat og til de

relevante operatører.

Hvis Kommissionen finder, at tilladelsen er uberettiget, tilbagetrækkes den af markedsovervågningsmyndigheden i den

pågældende medlemsstat.

For højrisiko-AI-systemer vedrørende produkter, der er omfattet af EU-harmoniseringslovgivningen, som er opført

i bilag I, afsnit A, finder kun undtagelserne fra overensstemmelsesvurderingen, der er fastsat i den pågældende

EU-harmoniseringslovgivning, anvendelse.

Artikel 47

EU-overensstemmelseserklæring

Udbyderen udarbejder en skriftlig, maskinlæsbar, fysisk eller elektronisk undertegnet EU-overensstemmelseserklæring

for hvert højrisiko-AI-system og opbevarer den, så den i ti år efter, at højrisiko-AI-systemet er blevet bragt i omsætning eller

ibrugtaget, står til rådighed for de nationale kompetente myndigheder. Det skal af EU-overensstemmelseserklæringen

fremgå, hvilket højrisiko-AI-system den vedrører. Et eksemplar af EU-overensstemmelseserklæringen indgives til de

relevante nationale kompetente myndigheder.

80/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

Det skal af EU-overensstemmelseserklæringen fremgå, at det pågældende højrisiko-AI-system opfylder kravene

i afdeling 2. EU-overensstemmelseserklæringen skal indeholde de oplysninger, der er fastsat i bilag V, og skal oversættes til

et sprog, der let kan forstås af de nationale kompetente myndigheder i de medlemsstater, hvor højrisiko-AI-systemet bringes

i omsætning eller gøres tilgængeligt.

For højrisiko-AI-systemer, der er omfattet af anden EU-harmoniseringslovgivning, i henhold til hvilken der også

kræves en EU-overensstemmelseserklæring, udarbejdes der en enkelt EU-overensstemmelseserklæring for al EU-ret, der

finder anvendelse på højrisiko-AI-systemet. Erklæringen skal indeholde alle de oplysninger, der er påkrævet for at

identificere, hvilken EU-harmoniseringslovgivning erklæringen vedrører.

Ved at udarbejde EU-overensstemmelseserklæringen står udbyderen inde for, at kravene i afdeling 2 overholdes.

Udbyderen skal sørge for at holde EU-overensstemmelseserklæringen ajour, alt efter hvad der er relevant.

Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 97 for at ændre

bilag V ved at ajourføre indholdet af EU-overensstemmelseserklæringen, der er fastsat i nævnte bilag, for at indføre

elementer, der bliver nødvendige i lyset af den tekniske udvikling.

Artikel 48

CE-mærkning

CE-mærkningen er underlagt de generelle principper fastsat i artikel 30 i forordning (EF) nr. 765/2008.

For højrisiko-AI-systemer, som leveres digitalt, anvendes der kun en digital CE-mærkning, hvis den er let at tilgå via

den grænseflade, hvorfra det pågældende system tilgås, eller via en lettilgængelig maskinlæsbar kode eller andre elektroniske

midler.

CE-mærkningen skal i tilknytning til højrisiko-AI-systemer anbringes synligt, letlæseligt og således, at den ikke kan

slettes. Hvis højrisiko-AI-systemet er af en sådan art, at dette ikke er muligt eller berettiget, anbringes mærkningen på

emballagen eller i den medfølgende dokumentation, alt efter hvad der relevant.

Hvis det er relevant, skal CE-mærkningen følges af identifikationsnummeret for det bemyndigede organ, der er

ansvarligt for overensstemmelsesvurderingsprocedurerne i artikel 43. Det bemyndigede organs identifikationsnummer

anbringes af organet selv eller efter dettes anvisninger af udbyderen eller af udbyderens bemyndigede repræsentant.

Identifikationsnummeret skal også fremgå af salgsfremmende materiale, som nævner, at højrisiko-AI-systemet opfylder

kravene til CE-mærkning.

Hvis højrisiko-AI-systemet er omfattet af anden EU-ret, som også indeholder bestemmelser om anbringelsen af

CE-mærkning, skal CE-mærkningen angive, at højrisiko-AI-systemet ligeledes opfylder kravene i denne anden ret.

Artikel 49

Registrering

Inden et højrisiko-AI-system, der er opført i bilag III, med undtagelse af de højrisiko-AI-systemer, der er omhandlet

i bilag III, punkt 2, bringes i omsætning eller ibrugtages, skal udbyderen eller, hvis det er relevant, den bemyndigede

repræsentant registrere sig selv og deres system i den EU-database, der er omhandlet i artikel 71.

Inden et AI-system, for hvilket udbyderen har konkluderet, at det ikke udgør en høj risiko i overensstemmelse med

artikel 6, stk. 3, bringes i omsætning eller tages i brug, registrerer den pågældende udbyder eller, hvis det er relevant, den

bemyndigede repræsentant sig selv og dette system i den EU-database, der er omhandlet i artikel 71.

Inden et højrisiko-AI-system, der er opført i bilag III, med undtagelse af de højrisiko-AI-systemer, der er omhandlet

i bilag III, punkt 2, ibrugtages eller anvendes, skal idriftsættere, som er offentlige myndigheder, EU-institutioner, -organer,

-kontorer eller -agenturer eller personer, der handler på deres vegne, lade sig registrere, vælge systemet og registrere dets

anvendelse i den EU-database, der er omhandlet i artikel 71.

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

81/144

EUT L af 12.7.2024

For de højrisiko-AI-systemer, der er omhandlet i bilag III, punkt 1, 6 og 7, inden for retshåndhævelse og

migrationsstyring, asylforvaltning og grænsekontrol, foretages den registrering, der er omhandlet i denne artikels stk. 1, 2

og 3, i en sikker ikkeoffentlig del af den EU-database, der er omhandlet i artikel 71, og omfatter kun følgende oplysninger,

alt efter hvad der er relevant, der er omhandlet i:

a) bilag VIII, afsnit A, punkt 1-10, med undtagelse af punkt 6, 8 og 9

b) bilag VIII, afsnit B, punkt 1-5 og 8 og 9

c) bilag VIII, afsnit C, punkt 1-3

d) bilag IX, punkt 1, 2, 3 og 5.

Kun Kommissionen og de nationale myndigheder, der er omhandlet i artikel 74, stk. 8, har adgang til de respektive

begrænsede afsnit i den EU-database, der er opført i nærværende stykkes første afsnit.

Højrisiko-AI-systemer, der er omhandlet i bilag III, punkt 2, registreres på nationalt plan.

KAPITEL IV

GENNEMSIGTIGHEDSFORPLIGTELSER FOR UDBYDERE OG IDRIFTSÆTTERE AF VISSE AI-SYSTEMER

Artikel 50

Gennemsigtighedsforpligtelser for udbydere og idriftsættere af visse AI-systemer

Udbydere skal sikre, at AI-systemer, der er tilsigtet at interagere direkte med fysiske personer, udformes og udvikles på

en sådan måde, at de pågældende fysiske personer oplyses om, at de interagerer med et AI-system, medmindre dette er

indlysende ud fra en rimeligt velinformeret, opmærksom og forsigtig fysisk persons synspunkt ud fra omstændighederne og

anvendelsessammenhængen. Denne forpligtelse finder ikke anvendelse på AI-systemer, der ved lov er godkendt til at afsløre,

forebygge, efterforske eller retsforfølge strafbare handlinger, med forbehold af passende sikkerhedsforanstaltninger for

tredjemands rettigheder og friheder, medmindre disse systemer er tilgængelige for offentligheden med henblik på at

anmelde en strafbar handling.

Udbydere af AI-systemer, herunder AI-systemer til almen brug, der genererer syntetisk lyd-, billed-, video- eller

tekstindhold, sikrer, at AI-systemets output er mærket i et maskinlæsbart format og kan spores som kunstigt genereret eller

manipuleret. Udbyderne sikrer, at deres tekniske løsninger er effektive, interoperable, robuste og pålidelige, i det omfang

dette er teknisk muligt, under hensyntagen til de særlige forhold og begrænsninger for forskellige typer indhold,

gennemførelsesomkostningerne og det generelt anerkendte aktuelle tekniske niveau, som kan være afspejlet i relevante

tekniske standarder. Denne forpligtelse finder ikke anvendelse, i det omfang AI-systemerne udfører en hjælpefunktion med

henblik på standardredigering eller ikke i væsentlig grad ændrer de inputdata, der leveres af idriftsætteren eller semantikken

heraf, eller, hvis det ved lov er tilladt for at afsløre, forebygge, efterforske eller retsforfølge strafbare handlinger.

Idriftsættere af et system til følelsesgenkendelse eller et system til biometrisk kategorisering underretter de fysiske

personer, der udsættes herfor, om driften af systemet og behandler personoplysningerne i overensstemmelse med

forordning (EU) 2016/679 og (EU) 2018/1725 og direktiv (EU) 2016/680, alt efter hvad der er relevant. Denne forpligtelse

finder ikke anvendelse på AI-systemer, der anvendes til biometrisk kategorisering og følelsesgenkendelse, og som i ved lov

er godkendt til at afsløre, forebygge eller efterforske strafbare handlinger, med forbehold af passende sikkerhedsforan-

staltninger for tredjemands rettigheder og frihedsrettigheder og i overensstemmelse med EU-retten.

Idriftsættere af et AI-system, der genererer eller manipulerer billed-, lyd- eller videoindhold, der udgør en deepfake,

skal oplyse, at indholdet er blevet genereret kunstigt eller manipuleret. Denne forpligtelse gælder ikke, hvis anvendelsen ved

lov er tilladt for at afsløre, forebygge, efterforske eller retsforfølge strafbare handlinger. Hvis indholdet er en del af et oplagt

kunstnerisk, kreativt, satirisk, fiktivt eller tilsvarende arbejde eller program, er gennemsigtighedsforpligtelserne i dette

stykke begrænset til oplysning om eksistensen af sådant genereret eller manipuleret indhold på en passende måde, der ikke

er til gene for visningen eller nydelsen af værket.

Idriftsættere af et AI-system, der genererer eller manipulerer tekst, der offentliggøres med det formål at informere

offentligheden om spørgsmål af offentlig interesse, skal oplyse, at teksten er blevet kunstigt genereret eller manipuleret.

Denne forpligtelse finder ikke anvendelse, hvis anvendelsen ved lov er tilladt for at afsløre, forebygge, efterforske eller

retsforfølge strafbare handlinger, eller hvis det AI-genererede indhold har gennemgået en proces med menneskelig

gennemgang eller redaktionel kontrol, og hvis en fysisk eller juridisk person har det redaktionelle ansvar for

offentliggørelsen af indholdet.

82/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

De oplysninger, der er omhandlet i stk. 1-4, gives til de pågældende fysiske personer på en klar og synlig måde senest

på tidspunktet for den første interaktion eller eksponering. Oplysningerne skal være i overensstemmelse med gældende

tilgængelighedskrav.

Stk. 1-4 berører ikke kravene og forpligtelserne i kapitel III og berører ikke andre gennemsigtighedsforpligtelser, der er

fastsat i EU-retten eller national ret, for idriftsættere af AI-systemer.

AI-kontoret tilskynder til og letter udarbejdelsen af praksiskodekser på EU-plan for at lette en effektiv gennemførelse

af forpligtelserne vedrørende påvisning og mærkning af kunstigt genereret eller manipuleret indhold. Kommissionen kan

vedtage gennemførelsesretsakter for at godkende disse praksiskodekser efter proceduren i artikel 56, stk. 6. Hvis

Kommissionen finder, at kodeksen ikke er tilstrækkelig, kan den vedtage en gennemførelsesretsakt, der præciserer de fælles

regler for gennemførelsen af disse forpligtelser efter undersøgelsesproceduren, jf. artikel 98, stk. 2.

KAPITEL V

AI-MODELLER TIL ALMEN BRUG

AFDELING 1

Klassificeringsregler

Artikel 51

Klassificering af AI-modeller til almen brug som AI-modeller til almen brug med systemisk risiko

En AI-model til almen brug klassificeres som en AI-model til almen brug med systemisk risiko, hvis den opfylder et

eller flere af følgende betingelser:

a) den har kapaciteter med stor virkning evalueret på grundlag af passende tekniske værktøjer og metoder, herunder

indikatorer og benchmarks

b) på grundlag af en afgørelse truffet af Kommissionen på eget initiativ eller efter en kvalificeret varsling fra det

videnskabelige panel har den kapaciteter eller virkning, der svarer til dem, der er fastsat i litra a), under hensyntagen til

kriterierne i bilag XIII.

En AI-model til almen brug antages at have kapaciteter med stor virkning i henhold til stk. 1, litra a), når den

kumulerede mængde beregningskraft, der anvendes til dens træning, målt i flydende kommatalsberegninger, er større end

Kommissionen vedtager delegerede retsakter i overensstemmelse med artikel 97 for at ændre de tærskler, der er anført

i nærværende artikels stk. 1 og 2, samt for at supplere benchmarks og indikatorer i lyset af den teknologiske udvikling

såsom algoritmiske forbedringer eller øget hardwareeffektivitet, når det er nødvendigt, således at disse tærskler afspejler det

aktuelle tekniske niveau.

Artikel 52

Fremgangsmåde

Hvis en AI-model til almen brug opfylder betingelsen i artikel 51, stk. 1, litra a), giver den relevante udbyder

Kommissionen meddelelse så hurtigt som muligt og under alle omstændigheder senest to uger efter, at dette krav er opfyldt,

eller det bliver kendt, at det vil blive opfyldt. Meddelelsen skal indeholde de oplysninger, der er nødvendige for at påvise, at

det relevante krav er opfyldt. Hvis Kommissionen får kendskab til en AI-model til almen brug, der frembyder systemiske

risici, som den ikke har fået meddelelse om, kan den beslutte at udpege den som en model med systemisk risiko.

Udbyderen af en AI-model til almen brug, der opfylder betingelsen omhandlet i artikel 51, stk. 1, litra a), kan sammen

med dens meddelelse fremlægge tilstrækkeligt underbyggede argumenter til at påvise, at AI-modellen til almen brug, selv

om den opfylder det pågældende krav, undtagelsesvis ikke frembyder systemiske risici på grund af dens specifikke

karakteristika og derfor ikke bør klassificeres som en AI-model til almen brug med systemisk risiko.

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

83/144

EUT L af 12.7.2024

Hvis Kommissionen konkluderer, at de argumenter, der er fremsat i henhold til stk. 2, ikke er tilstrækkeligt

underbyggede, og den relevante udbyder ikke har været i stand til at påvise, at AI-modellen til almen brug på grund af sine

specifikke karakteristika ikke frembyder systemiske risici, afviser den disse argumenter, og AI-modellen til almen brug

betragtes som en AI-model til almen brug med systemisk risiko.

Kommissionen kan udpege en AI-model til almen brug som frembydende systemiske risici på eget initiativ eller efter

en kvalificeret varsling fra det videnskabelige panel i henhold til artikel 90, stk. 1, litra a) på grundlag af kriterierne

i bilag XIII.

Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 97 for at ændre

bilag XIII ved at præcisere og ajourføre kriterierne i nævnte bilag.

Efter en begrundet anmodning fra en udbyder, hvis model er blevet udpeget som en AI-model til almen brug med

systemisk risiko i henhold til stk. 4, tager Kommissionen hensyn til anmodningen og kan beslutte på ny at vurdere, om

AI-modellen til almen brug stadig kan anses for at frembyde systemiske risici på grundlag af kriterierne i bilag XIII. En sådan

anmodning skal indeholde objektive, detaljerede og nye grunde, der er kommet frem siden udpegelsesafgørelsen. Udbydere

kan tidligst seks måneder efter udpegelsesafgørelsen anmode om en fornyet vurdering. Hvis Kommissionen efter sin

fornyede vurdering beslutter at opretholde udpegelsen som en AI-model til almen brug med systemisk risiko, kan

udbyderne tidligst seks måneder efter denne afgørelse anmode om en fornyet vurdering.

Kommissionen sikrer, at der offentliggøres en liste over AI-modeller til almen brug med systemisk risiko, og

ajourfører løbende denne liste, uden at det berører behovet for at overholde og beskytte intellektuelle ejendomsrettigheder

og fortrolige forretningsoplysninger eller forretningshemmeligheder i overensstemmelse med EU-retten og national ret.

AFDELING 2

Forpligtelser for udbydere af AI-modeller til almen brug

Artikel 53

Forpligtelser for udbydere af AI-modeller til almen brug

Udbydere af AI-modeller til almen brug skal:

a) udarbejde og løbende ajourføre den tekniske dokumentation til modellen, herunder dens trænings- og afprøvnings-

proces og resultaterne af evalueringen af den, som mindst skal indeholde de oplysninger, der er fastsat i bilag XI, med

henblik på efter anmodning at forelægge den for AI-kontoret og de nationale kompetente myndigheder

b) udarbejde og løbende ajourføre oplysninger og dokumentation og stille disse til rådighed for udbydere af AI-systemer,

som har til hensigt at integrere AI-modellen til almen brug i deres AI-systemer. Uden at det berører behovet for at

respektere og beskytte intellektuelle ejendomsrettigheder og fortrolige forretningsoplysninger eller forretningshemme-

ligheder i overensstemmelse med EU-retten og national ret, skal oplysningerne og dokumentationen:

i) give udbydere af AI-systemer mulighed for at få en god forståelse af kapaciteterne og begrænsningerne i AI-modellen

til almen brug og overholde deres forpligtelser i henhold til denne forordning, og

ii) som minimum indeholde de i bilag XII fastsatte elementer

c) indføre en politik, der overholder EU-retten om ophavsret og beslægtede rettigheder, navnlig med henblik på at

identificere og overholde, herunder ved hjælp af de nyeste teknologier, et forbehold vedrørende rettigheder, der

udtrykkes i henhold til artikel 4, stk. 3, i direktiv (EU) 2019/790

d) udarbejde og offentliggøre en tilstrækkeligt detaljeret sammenfatning om det indhold, der anvendes til træning af

AI-modellen til almen brug, i overensstemmelse med en skabelon, der leveres af AI-kontoret.

84/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

Forpligtelserne i stk. 1, litra a) og b), finder ikke anvendelse på udbydere af AI-modeller, der frigives i henhold til en

gratis open source-licens, der giver mulighed for adgang til, anvendelse, ændring og distribution af modellen, og hvis

parametre, herunder vægtene, oplysningerne om modelarkitekturen og oplysningerne om modelanvendelsen, gøres

offentligt tilgængelige. Denne undtagelse finder ikke anvendelse på AI-modeller til almen brug med systemiske risici.

Udbydere af AI-modeller til almen brug samarbejder om nødvendigt med Kommissionen og de nationale kompetente

myndigheder i forbindelse med udøvelsen af deres kompetencer og beføjelser i henhold til denne forordning.

Udbydere af AI-modeller til almen brug kan basere sig på praksiskodekser som omhandlet i artikel 56 for at påvise

overholdelse af forpligtelserne i nærværende artikels stk. 1, indtil der er offentliggjort en harmoniseret standard.

Overholdelse af europæiske harmoniserede standarder giver udbydere formodning om overensstemmelse, i det omfang

disse standarder dækker disse forpligtelser. Udbydere af AI-modeller til almen brug, som ikke overholder en godkendt

praksiskodeks, eller som ikke overholder en europæisk harmoniseret standard, skal påvise alternative passende måder for

overensstemmelse med henblik på Kommissionens vurdering.

For at lette overholdelsen af bilag XI, navnlig punkt 2, litra d) og e), i nævnte bilag, tillægges Kommissionen beføjelser

til at vedtage delegerede retsakter i overensstemmelse med artikel 97 for at præcisere måle- og beregningsmetoder med

henblik på at muliggøre sammenlignelig og verificerbar dokumentation.

Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 97, stk. 2, for at

ændre bilag XI og XII i lyset af den teknologiske udvikling.

Alle de oplysninger eller al den dokumentation, der indhentes i henhold til denne artikel, herunder forretnings-

hemmeligheder, behandles i overensstemmelse med fortrolighedsforpligtelserne fastsat i artikel 78.

Artikel 54

Bemyndigede repræsentanter for udbydere af AI-modeller til almen brug

Før en AI-model til almen brug bringes i omsætning på EU-markedet, udnævner udbydere, der er etableret

i tredjelande, ved skriftligt mandat en bemyndiget repræsentant, der er etableret i Unionen.

Udbyderen skal gøre det muligt for sin bemyndigede repræsentant at udføre de opgaver, der er fastsat i det mandat,

vedkommende har modtaget fra udbyderen.

Den bemyndigede repræsentant udfører de opgaver, der er fastsat i det mandat, vedkommende har modtaget fra

udbyderen. Vedkommende skal på anmodning give AI-kontoret en kopi af mandatet på et af EU-institutionernes officielle

sprog. Med henblik på denne forordning sætter mandatet den bemyndigede repræsentant i stand til at udføre følgende

opgaver:

a) kontrollere, at den tekniske dokumentation, der er omhandlet i bilag XI, er udarbejdet, og at alle de forpligtelser, der er

omhandlet i artikel 53 og, hvis det er relevant, artikel 55, er blevet opfyldt af udbyderen

b) opbevare en kopi af den tekniske dokumentation, der er omhandlet i bilag XI, så den står til rådighed for AI-kontoret og

de nationale kompetente myndigheder, i en periode på ti år, efter at AI-modellen til almen brug er bragt i omsætning, og

kontaktoplysningerne på den udbyder, der har udnævnt den bemyndigede repræsentant

c) efter en begrundet anmodning give AI-kontoret alle de oplysninger og al den dokumentation, herunder den, der er

omhandlet i litra b), som kræves for at påvise overholdelse af forpligtelserne i dette kapitel

d) efter en begrundet anmodning samarbejde med AI-kontoret og de kompetente myndigheder om ethvert tiltag, som de

foretager i forbindelse med AI-modellen til almen brug, herunder når modellen er integreret i AI-systemer, der bringes

i omsætning eller ibrugtages i Unionen.

Mandatet giver den bemyndigede repræsentant, ud over eller i stedet for udbyderen, beføjelse til at modtage

henvendelser fra AI-kontoret eller de kompetente myndigheder om alle spørgsmål relateret til at sikre overholdelse af denne

forordning.

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

85/144

EUT L af 12.7.2024

Den bemyndigede repræsentant bringer mandatet til ophør, hvis vedkommende mener eller har grund til at mene, at

udbyderen handler i strid med sine forpligtelser i henhold til denne forordning. I så fald underretter vedkommende også

omgående AI-kontoret om ophøret af mandatet og årsagerne hertil.

Forpligtelsen i denne artikel finder ikke anvendelse på udbydere af AI-modeller til almen brug, der frigives i henhold

til en gratis open source-licens, der giver mulighed for adgang til, anvendelse, ændring og distribution af modellen, og hvis

parametre, herunder vægtene, oplysningerne om modelarkitekturen og oplysningerne om modelanvendelsen, gøres

offentligt tilgængelige, medmindre AI-modellen til almen brug frembyder systemiske risici.

AFDELING 3

Forpligtelser for udbydere af AI-modeller til almen brug med systemisk risiko

Artikel 55

Forpligtelser for udbydere af AI-modeller til almen brug med systemisk risiko

Ud over de forpligtelser, der er opført i artikel 53 og 54, skal udbydere af AI-modeller til almen brug med systemisk

risiko:

a) foretage modelevaluering i overensstemmelse med standardiserede protokoller og værktøjer, der afspejler det aktuelle

tekniske niveau, herunder gennemførelse og dokumentation af kontradiktorisk afprøvning af modellen med henblik på

at identificere og afbøde systemiske risici

b) vurdere og afbøde mulige systemiske risici på EU-plan, herunder deres kilder, der kan skyldes udvikling, omsætning eller

anvendelse af AI-modeller til almen brug med systemisk risiko

c) uden unødigt ophold følge, dokumentere og indberette relevante oplysninger om alvorlige hændelser og mulige

korrigerende foranstaltninger til håndtering heraf til AI-kontoret og, alt efter hvad der er relevant, til de nationale

kompetente myndigheder

d) sikre et tilstrækkeligt niveau af cybersikkerhedsbeskyttelse for AI-modellen til almen brug med systemisk risiko og

modellens fysiske infrastruktur.

Udbydere af AI-modeller til almen brug med systemisk risiko kan basere sig på praksiskodekser som omhandlet

i artikel 56 for at påvise overholdelse af forpligtelserne i nærværende artikels stk. 1, indtil der er offentliggjort en

harmoniseret standard. Overholdelse af europæiske harmoniserede standarder giver udbydere formodning om overens-

stemmelse, i det omfang disse standarder dækker disse forpligtelser. Udbydere af AI-modeller til almen brug med systemiske

risici, som ikke overholder en godkendt praksiskodeks, eller som ikke overholder en europæisk harmoniseret standard, skal

påvise alternative passende måder for overensstemmelse med henblik på Kommissionens vurdering.

Alle de oplysninger eller al den dokumentation, der indhentes i henhold til denne artikel, herunder forretnings-

hemmeligheder, behandles i overensstemmelse med fortrolighedsforpligtelserne fastsat i artikel 78.

AFDELING 4

Praksiskodekser

Artikel 56

Praksiskodekser

AI-kontoret tilskynder til og letter udarbejdelsen af praksiskodekser på EU-plan for at bidrage til en korrekt anvendelse

af denne forordning under hensyntagen til internationale tilgange.

AI-kontoret og AI-udvalget tilstræber at sikre, at praksiskodekserne som minimum omfatter de forpligtelser, der er

fastsat i artikel 53 og 55, herunder følgende spørgsmål:

86/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

a) midlerne til at sikre, at de oplysninger, der er omhandlet i artikel 53, stk. 1, litra a) og b), holdes ajour i lyset af den

markedsmæssige og teknologiske udvikling

b) resuméet af det indhold, der anvendes til uddannelse, er tilstrækkeligt detaljeret

c) identifikationen af typen og arten af de systemiske risici på EU-plan, herunder deres kilder, hvis det er relevant

d) foranstaltningerne, procedurerne og de nærmere bestemmelser for vurdering og styring af de systemiske risici på

EU-plan, herunder dokumentation herfor, som skal stå i et rimeligt forhold til risiciene, tage hensyn til, hvor alvorlige og

sandsynlige de er, og tage hensyn til de specifikke udfordringer i forbindelse med styringen af disse risici i lyset af de

mulige måder, hvorpå sådanne risici kan opstå og vise sig i AI-værdikæden.

AI-kontoret kan opfordre alle udbydere af AI-modeller til almen brug samt relevante nationale kompetente

myndigheder til at deltage i udarbejdelsen af praksiskodekser. Civilsamfundsorganisationer, industrien, den akademiske

verden og andre relevante interessenter såsom downstreamudbydere og uafhængige eksperter kan støtte processen.

AI-kontoret og AI-udvalget tilstræber at sikre, at praksiskodekserne klart fastsætter deres specifikke mål og indeholder

forpligtelser eller foranstaltninger, herunder i relevant omfang centrale resultatindikatorer, for at sikre realiseringen af disse

mål, og at de tager behørigt hensyn til alle interesserede parters, herunder berørte personers, behov og interesser på

EU-plan.

AI-kontoret tilstræber at sikre, at deltagerne i praksiskodekserne regelmæssigt aflægger rapport til AI-kontoret om

gennemførelsen af forpligtelserne og de trufne foranstaltninger og deres resultater, herunder i relevant omfang målt

i forhold til de centrale resultatindikatorer. De centrale resultatindikatorer og rapporteringsforpligtelserne skal afspejle

forskelle i størrelse og kapacitet mellem de forskellige deltagere.

AI-kontoret og AI-udvalget overvåger og evaluerer regelmæssigt deltagernes realisering af praksiskodeksernes mål og

deres bidrag til en korrekt anvendelse af denne forordning. AI-kontoret og AI-udvalget vurderer, om praksiskodekserne

dækker de forpligtelser, der er fastsat i artikel 53 og 55, og overvåger og evaluerer regelmæssigt realiseringen af deres mål.

De offentliggør deres vurdering af, om praksiskodekserne er fyldestgørende.

Kommissionen kan ved en gennemførelsesretsakt godkende en praksiskodeks og give den generel gyldighed i Unionen.

Denne gennemførelsesretsakt vedtages efter undersøgelsesproceduren, jf. artikel 98, stk. 2.

AI-kontoret kan opfordre samtlige udbydere af AI-modeller til almen brug til at overholde praksiskodekser. For

udbydere af AI-modeller til almen brug, der ikke frembyder systemiske risici, kan denne overholdelse begrænses til de

forpligtelser, der er fastsat i artikel 53, medmindre de udtrykkeligt tilkendegiver deres interesse i at tilslutte sig den fulde

kodeks.

AI-kontoret skal, alt efter hvad der er relevant, også tilskynde til og lette gennemgangen og tilpasningen af

praksiskodekserne, navnlig i lyset af nye standarder. AI-kontoret bistår ved vurderingen af tilgængelige standarder.

Praksiskodekser skal være klar senest den 2. maj 2025. AI-kontoret tager de nødvendige skridt, herunder indbyder

udbydere i henhold til stk. 7.

Hvis en praksiskodeks ikke kan færdiggøres senest den 2. august 2025, eller hvis AI-kontoret efter sin vurdering i henhold

til denne artikels stk. 6 finder, at den ikke er fyldestgørende, kan Kommissionen ved hjælp af gennemførelsesretsakter

fastsætte fælles regler for gennemførelsen af de forpligtelser, der er fastsat i artikel 53 og 55, herunder spørgsmålene

i nærværende artikels stk. 2. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 98, stk. 2.

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

87/144

KAPITEL VI

FORANSTALTNINGER TIL STØTTE FOR INNOVATION

EUT L af 12.7.2024

Artikel 57

Reguleringsmæssige AI-sandkasser

Medlemsstaterne sikrer, at deres kompetente myndigheder opretter mindst én reguleringsmæssig AI-sandkasse på

nationalt plan, som skal være operationel senest den 2. august 2026. Denne sandkasse kan også oprettes i fællesskab med

andre medlemsstaters kompetente myndigheder. Kommissionen kan yde teknisk støtte, rådgivning og værktøjer til

oprettelse og drift af reguleringsmæssige AI-sandkasser.

Forpligtelsen i henhold til første afsnit kan også opfyldes ved deltagelse i en eksisterende sandkasse, for så vidt som denne

deltagelse giver de deltagende medlemsstater et tilsvarende nationalt dækningsniveau.

Der kan også oprettes yderligere reguleringsmæssige AI-sandkasser på regionalt eller lokalt plan eller i fællesskab med

andre medlemsstaters kompetente myndigheder.

Den Europæiske Tilsynsførende for Databeskyttelse kan også oprette en reguleringsmæssig AI-sandkasse for

EU-institutioner, -organer, -kontorer og -agenturer og varetage de nationale kompetente myndigheders roller og opgaver

i overensstemmelse med dette kapitel.

Medlemsstaterne sikrer, at de kompetente myndigheder, der er omhandlet i stk. 1 og 2, tildeler tilstrækkelige

ressourcer til, at denne artikel overholdes effektivt og rettidigt. Hvis det er relevant, samarbejder de nationale kompetente

myndigheder med andre relevante myndigheder og kan gøre det muligt at inddrage andre aktører i AI-økosystemet. Denne

artikel berører ikke andre reguleringsmæssige sandkasser, der er oprettet i henhold til EU-retten eller national ret.

Medlemsstaterne sikrer et passende samarbejde mellem de myndigheder, der fører tilsyn med disse andre sandkasser, og de

nationale kompetente myndigheder.

Reguleringsmæssig AI-sandkasser, der oprettes i henhold til stk. 1, skal tilvejebringe et kontrolleret miljø, der fremmer

innovation og letter udvikling, træning, afprøvning og validering af innovative AI-systemer i et begrænset tidsrum, inden de

bringes i omsætning eller tages i brug i henhold til en specifik sandkasseplan, som aftales mellem udbyderne eller de

potentielle udbydere og den kompetente myndighed. Sådanne sandkasser kan omfatte afprøvning under faktiske forhold

under tilsyn i sandkasserne.

De kompetente myndigheder yder, alt efter hvad der er relevant, vejledning, tilsyn og støtte inden for den

reguleringsmæssige AI-sandkasse med henblik på at identificere risici, navnlig for grundlæggende rettigheder, sundhed og

sikkerhed, afprøvning, afbødende foranstaltninger og deres effektivitet i forbindelse med forpligtelserne og kravene i denne

forordning og, hvis det er relevant, anden EU-ret og national ret, der føres tilsyn med inden for sandkassen.

De kompetente myndigheder giver udbydere og potentielle udbydere, der deltager i den reguleringsmæssige

AI-sandkasse, vejledning om reguleringsmæssige forventninger og om, hvordan de opfylder de krav og forpligtelser, der er

fastsat i denne forordning.

Efter anmodning fra udbyderen eller den potentielle udbyder af AI-systemet forelægger den kompetente myndighed en

skriftlig dokumentation for de aktiviteter, der er udført med succes i sandkassen. Den kompetente myndighed forelægger

også en slutrapport med en detaljeret beskrivelse af de aktiviteter, der er gennemført i sandkassen, og de dermed forbundne

resultater og læringsresultater. Udbydere kan anvende sådan dokumentation til at påvise, at de overholder denne forordning

gennem overensstemmelsesvurderingsprocessen eller relevante markedsovervågningsaktiviteter. I denne forbindelse tager

markedsovervågningsmyndighederne og de bemyndigede organer positivt hensyn til slutrapporterne og den skriftlige

dokumentation fra den nationale kompetente myndighed med henblik på at fremskynde overensstemmelsesvurderings-

procedurerne i rimeligt omfang.

Med forbehold af fortrolighedsbestemmelserne i artikel 78 og med samtykke fra udbyderen eller den potentielle

udbyder har Kommissionen og AI-udvalget tilladelse til at få adgang til slutrapporterne og tager, alt efter hvad der er

relevant, hensyn til disse, når de udfører deres opgaver i henhold til denne forordning. Hvis både udbyderen eller den

potentielle udbyder og den nationale kompetente myndighed når til udtrykkelig enighed, kan slutrapporten gøres offentligt

tilgængelig via den centrale informationsplatform, der er omhandlet i nærværende artikel.

Oprettelsen af reguleringsmæssige AI-sandkasser har til formål at bidrage til følgende mål:

a) at forbedre retssikkerheden med henblik på at opnå overholdelse af bestemmelserne i denne forordning eller, hvis det er

relevant, anden gældende EU-ret og national ret

88/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

b) at støtte udvekslingen af bedste praksis gennem samarbejde med de myndigheder, der er involveret i den

reguleringsmæssige AI-sandkasse

c) at fremme innovation og konkurrenceevne og lette udviklingen af et AI-økosystem

d) at bidrage til evidensbaseret lovgivningsmæssig læring

e) at lette og fremskynde adgangen til EU-markedet for AI-systemer, navnlig når de leveres af SMV'er, herunder

iværksættervirksomheder.

10.

I det omfang de innovative AI-systemer omfatter behandling af personoplysninger eller på anden måde henhører

under tilsynsområdet for andre nationale myndigheder eller kompetente myndigheder, der giver eller understøtter adgang til

data, sikrer de nationale kompetente myndigheder, at de nationale databeskyttelsesmyndigheder og disse andre nationale

eller kompetente myndigheder er tilknyttet driften af den reguleringsmæssige AI-sandkasse og involveret i tilsynet med disse

aspekter i henhold til deres respektive opgaver og beføjelser.

11.

De reguleringsmæssige AI-sandkasser berører ikke de tilsynsbeføjelser eller korrigerende beføjelser, som de

kompetente myndigheder, der fører tilsyn med sandkasserne, har, herunder på regionalt eller lokalt plan. Enhver væsentlig

risiko for sundhed og sikkerhed og grundlæggende rettigheder, der konstateres under udviklingen og afprøvningen af

sådanne AI-systemer, fører til passende afbødning. De nationale kompetente myndigheder har beføjelse til midlertidigt eller

permanent at suspendere afprøvningsprocessen eller deltagelse i sandkassen, hvis der ikke er mulighed for effektiv

afbødning, og meddeler AI-kontoret denne afgørelse. De nationale kompetente myndigheder udøver deres tilsynsbeføjelser

inden for rammerne af den relevante ret, idet de anvender deres skønsbeføjelser, når de gennemfører retlige bestemmelser

for et specifikt projekt vedrørende reguleringsmæssige AI-sandkasser, med det formål at støtte innovation inden for AI

i Unionen.

12.

Udbydere og potentielle udbydere, der deltager i den reguleringsmæssige AI-sandkasse, forbliver ansvarlige i henhold

til gældende EU-ansvarsret og gældende national ansvarsret for enhver skade, der påføres tredjeparter som følge af de

forsøg, der finder sted i sandkassen. Såfremt de potentielle udbydere overholder den specifikke plan og vilkårene og

betingelserne for deres deltagelse og i god tro følger den nationale kompetente myndigheds vejledning, pålægger

myndighederne dog ingen administrative bøder for overtrædelse af denne forordning. I tilfælde af at andre kompetente

myndigheder med ansvar for anden EU-ret og national ret har været aktivt involveret i tilsynet med AI-systemet

i sandkassen og givet vejledning om overholdelse, pålægges der ingen administrative bøder i forbindelse med den

pågældende ret.

13.

De reguleringsmæssige AI-sandkasser udformes og gennemføres på en sådan måde, at de letter det

grænseoverskridende samarbejde mellem de nationale kompetente myndigheder, hvis det er relevant.

14.

De nationale kompetente myndigheder koordinerer deres aktiviteter og samarbejder inden for AI-udvalgets rammer.

15.

De nationale kompetente myndigheder underretter AI-kontoret og AI-udvalget om oprettelsen af en sandkasse og

kan anmode dem om støtte og vejledning. AI-kontoret offentliggør en liste over planlagte og eksisterende sandkasser og

ajourfører den for at tilskynde til større interaktion i de reguleringsmæssige AI-sandkasser og tværnationalt samarbejde.

16.

De nationale kompetente myndigheder forelægger AI-kontoret og AI-udvalget årlige rapporter, fra og med ét år efter

oprettelsen af den reguleringsmæssige AI-sandkasse og derefter hvert år indtil dens ophør, og en slutrapport. Disse

rapporter skal indeholde oplysninger om fremskridt med og resultater af gennemførelsen af de pågældende sandkasser,

herunder bedste praksis, hændelser, indhøstede erfaringer og anbefalinger vedrørende deres udformning og, hvis det er

relevant, anvendelsen og den eventuelle revision af denne forordning, herunder tilhørende delegerede retsakter og

gennemførelsesretsakter, og anvendelsen af anden EU-ret, som de kompetente myndigheder fører tilsyn med inden for

sandkassen. De nationale kompetente myndigheder gør disse årlige rapporter eller sammendrag heraf offentligt tilgængelige

online. Kommissionen tager, hvis det er relevant, hensyn til de årlige rapporter, når den udfører sine opgaver i henhold til

denne forordning.

17.

Kommissionen udvikler en fælles og særlig grænseflade, der indeholder alle relevante oplysninger vedrørende

reguleringsmæssige AI-sandkasser, for at give interessenter mulighed for at interagere med reguleringsmæssige

AI-sandkasser og rette forespørgsler til de kompetente myndigheder og søge ikkebindende vejledning om overens-

stemmelsen af innovative produkter, tjenester og forretningsmodeller, der integrerer AI-teknologier, i overensstemmelse

med artikel 62, stk. 1, litra c). Kommissionen koordinerer proaktivt med nationale kompetente myndigheder, hvis det er

relevant.

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

89/144

Artikel 58

Nærmere ordninger for og funktionsmåden af reguleringsmæssige AI-sandkasser

EUT L af 12.7.2024

For at undgå fragmentering i Unionen vedtager Kommissionen gennemførelsesretsakter, der fastsætter de nærmere

ordninger for oprettelse, udvikling, gennemførelse, drift af og tilsyn med de reguleringsmæssige AI-sandkasser.

Gennemførelsesretsakterne skal omfatte fælles principper vedrørende følgende punkter:

a) støtteberettigelse og udvælgelseskriterier med henblik på deltagelse i den reguleringsmæssige AI-sandkasse

b) procedurer for anvendelse, deltagelse, overvågning, udtræden fra og afslutning af den reguleringsmæssige AI-sandkasse,

herunder sandkasseplanen og slutrapporten

c) hvilke vilkår og betingelser der gælder for deltagerne.

Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 98, stk. 2.

De i stk. 1 omhandlede gennemførelsesretsakter skal sikre:

a) at reguleringsmæssige AI-sandkasser er åbne for enhver ansøgende udbyder eller potentiel udbyder af et AI-system, som

opfylder støtteberettigelses- og udvælgelseskriterierne, som skal være gennemsigtige og fair, og at de nationale

kompetente myndigheder underretter ansøgerne om deres afgørelse senest tre måneder efter ansøgningen

b) at reguleringsmæssige AI-sandkasser giver bred og lige adgang og holder trit med efterspørgslen efter deltagelse;

udbydere og potentielle udbydere kan også indgive ansøgninger i partnerskab med idriftsættere eller andre relevante

tredjeparter

c) at de nærmere ordninger for og betingelser vedrørende reguleringsmæssige AI-sandkasser i videst mulig udstrækning

støtter fleksibilitet for nationale kompetente myndigheder til at oprette og drive deres reguleringsmæssige AI-sandkasser

d) at adgang til de reguleringsmæssige AI-sandkasser er gratis for SMV'er, herunder iværksættervirksomheder, uden at det

berører ekstraordinære omkostninger, som de nationale kompetente myndigheder kan få dækket på fair og

forholdsmæssig vis

e) at de ved hjælp af læringsresultaterne fra de reguleringsmæssige AI-sandkasser gør det lettere for udbydere og potentielle

udbydere at overholde overensstemmelsesvurderingsforpligtelserne i henhold til denne forordning og frivilligt at

anvende adfærdskodekserne, som er omhandlet i artikel 95

f) at de reguleringsmæssige AI-sandkasser letter inddragelsen af andre relevante aktører inden for AI-økosystemet såsom

bemyndigede organer og standardiseringsorganisationer, SMV'er, herunder iværksættervirksomheder, virksomheder,

innovatorer, afprøvnings- og forsøgsfaciliteter, forsknings- og forsøgslaboratorier og europæiske digitale innovations-

knudepunkter, ekspertisecentre, individuelle forskere, med henblik på at muliggøre og lette samarbejdet med den

offentlige og private sektor

g) at procedurer, processer og administrative krav vedrørende ansøgning om, udvælgelse af, deltagelse i og udtræden af den

reguleringsmæssige AI-sandkasse er enkle, letforståelige og klart kommunikeret, så det bliver lettere for SMV'er, herunder

iværksættervirksomheder, med begrænset juridisk og administrativ kapacitet at deltage, og strømlines i hele Unionen for

at undgå fragmentering, samt at deltagelse i en reguleringsmæssig AI-sandkasse oprettet af en medlemsstat eller af Den

Europæiske Tilsynsførende for Databeskyttelse anerkendes gensidigt og ensartet og har samme retsvirkning i hele

Unionen

h) at deltagelse i den reguleringsmæssige AI-sandkasse begrænses til en periode, der er passende til projektets kompleksitet

og omfang, og som kan forlænges af den nationale kompetente myndighed

i) at reguleringsmæssige AI-sandkasser letter udviklingen af værktøjer og infrastruktur til afprøvning, benchmarking,

vurdering og forklaring af dimensioner af AI-systemer, der er relevante for reguleringsmæssig læring såsom nøjagtighed,

robusthed og cybersikkerhed, samt foranstaltninger til at mindske risici for de grundlæggende rettigheder og samfundet

som helhed.

Potentielle udbydere i de reguleringsmæssige AI-sandkasser, navnlig SMV'er og iværksættervirksomheder, henvises,

hvis det er relevant, til føridriftsættelsestjenester såsom vejledning om gennemførelsen af denne forordning, til andre

værdiforøgende tjenester såsom hjælp med standardiseringsdokumenter og certificering, afprøvnings- og forsøgsfaciliteter,

europæiske digitale innovationsknudepunkter og ekspertisecentre.

90/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

Hvis de nationale kompetente myndigheder overvejer at tillade afprøvning under faktiske forhold under tilsyn inden

for rammerne af en reguleringsmæssig AI-sandkasse, der skal oprettes i henhold til denne artikel, aftaler de specifikt

vilkårene og betingelserne for en sådan afprøvning og navnlig de fornødne sikkerhedsforanstaltninger med deltagerne med

henblik på at beskytte de grundlæggende rettigheder, sundheden og sikkerheden. Hvis det er relevant, samarbejder de med

andre nationale kompetente myndigheder med henblik på at sikre en ensartet praksis i hele Unionen.

Artikel 59

Viderebehandling af personoplysninger med henblik på udvikling af visse samfundsnyttige AI-systemer i den

reguleringsmæssige AI-sandkasse

I den reguleringsmæssige AI-sandkasse må personoplysninger, der er lovligt indsamlet til andre formål, kun behandles

med henblik på udvikling, træning og afprøvning af visse AI-systemer i sandkassen, når alle følgende betingelser er opfyldt:

a) AI-systemer skal udvikles med henblik på beskyttelse af væsentlige samfundsinteresser, der varetages af en offentlig

myndighed eller anden fysisk eller juridisk person, og på et eller flere af følgende områder:

i) den offentlige sikkerhed og folkesundheden, herunder opsporing af sygdomme, diagnoser, forebyggelse, overvågning

og behandling samt forbedring af sundhedssystemerne

ii) et højt beskyttelsesniveau og forbedring af miljøkvaliteten, beskyttelse af biodiversiteten, beskyttelse mod forurening,

foranstaltninger vedrørende den grønne omstilling, foranstaltninger vedrørende modvirkning af og tilpasning til

klimaændringer

iii) energibæredygtighed

iv) sikkerhed og modstandsdygtighed i transportsystemerne og mobilitet, kritisk infrastruktur og netværk

v) effektivitet og kvalitet i den offentlige forvaltning og offentlige tjenester

b) de behandlede oplysninger skal være nødvendige for at overholde et eller flere af de krav, der er omhandlet i kapitel III,

afdeling 2, såfremt disse krav ikke praktisk kan opfyldes ved behandling af anonymiserede eller syntetiske oplysninger

eller andre oplysninger end personoplysninger

c) der skal foreligge effektive overvågningsmekanismer til at konstatere, om der kan opstå høje risici for de registreredes

rettigheder og frihedsrettigheder, som omhandlet i artikel 35 i forordning (EU) 2016/679 og artikel 39 i forordning

(EU) 2018/1725, i forbindelse med forsøgene i sandkassen, samt beredskabsmekanismer til straks at afbøde disse risici

og om nødvendigt standse behandlingen

d) alle personoplysninger, der skal behandles i forbindelse med sandkassen, skal befinde sig i et funktionelt adskilt, isoleret

og beskyttet databehandlingsmiljø under den potentielle udbyders kontrol, og kun autoriserede personer har adgang til

disse data

e) udbyderne kan kun dele de oprindeligt indsamlede data yderligere i overensstemmelse med EU-databeskyttelsesretten;

personoplysninger, der er skabt i sandkassen, kan ikke deles uden for sandkassen

f) enhver behandling af personoplysninger i forbindelse med sandkassen fører hverken til foranstaltninger eller afgørelser,

der berører de registrerede, eller påvirker anvendelsen af deres rettigheder fastsat i EU-retten om beskyttelse af

personoplysninger

g) alle personoplysninger, der skal behandles i forbindelse med sandkassen, skal beskyttes gennem passende tekniske og

organisatoriske foranstaltninger og slettes, når deltagelsen i sandkassen afsluttes, eller når opbevaringsperioden for

personoplysningerne udløber

h) logfilerne over behandlingen af personoplysninger i forbindelse med sandkassen opbevares, så længe de deltager

i sandkassen, medmindre andet er fastsat i EU-retten eller national ret

i) en fuldstændig og detaljeret beskrivelse af processen og begrundelsen for træningen, afprøvningen og valideringen af

AI-systemet opbevares sammen med afprøvningsresultaterne som en del af den tekniske dokumentation omhandlet

i bilag IV

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

91/144

EUT L af 12.7.2024

j) der offentliggøres på de kompetente myndigheders websted et kort resumé af det AI-projekt, der er udviklet

i sandkassen, dets mål og dets forventede resultater; denne forpligtelse omfatter ikke følsomme operationelle oplysninger

i forbindelse med aktiviteter, der udføres af retshåndhævende myndigheder, grænsekontrolmyndigheder, indvandrings-

myndigheder eller asylmyndigheder.

Med henblik på at forebygge, efterforske, opdage eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige

sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed, under de retshåndhævende

myndigheders kontrol og ansvar baseres behandlingen af personoplysninger i reguleringsmæssige AI-sandkasser på særlig

EU-ret eller national ret og på de samme kumulative betingelser som omhandlet i stk. 1.

Stk. 1 berører ikke EU-ret eller national ret, der udelukker behandling til andre formål end dem, der udtrykkeligt er

nævnt i den pågældende ret, og heller ikke EU-ret eller national ret, der fastsætter grundlaget for behandling af

personoplysninger, som er nødvendig med henblik på udvikling, afprøvning eller træning af innovative AI-systemer, eller

noget andet retsgrundlag, der overholder EU-retten om beskyttelse af personoplysninger.

Artikel 60

Afprøvning af højrisiko-AI-systemer under faktiske forhold uden for reguleringsmæssige AI-sandkasser

Afprøvning af højrisiko-AI-systemer under faktiske forhold uden for reguleringsmæssige AI-sandkasser kan udføres af

udbydere eller potentielle udbydere af højrisiko-AI-systemer, der er opført i bilag III, i overensstemmelse med denne artikel

og den plan for afprøvning under faktiske forhold, der er omhandlet i denne artikel, uden at det berører forbuddene

i henhold til artikel 5.

Kommissionen præciserer ved hjælp af gennemførelsesretsakter de nærmere elementer i planen for afprøvning under

faktiske forhold. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 98, stk. 2.

Nærværende stykke berører ikke EU-ret eller national ret om afprøvning under faktiske forhold af højrisiko-AI-systemer

i forbindelse med produkter, der er omfattet af EU-harmoniseringslovgivningen, der er opført i bilag I.

Udbydere eller potentielle udbydere kan selv eller i partnerskab med en eller flere idriftsættere eller potentielle

idriftsættere gennemføre afprøvning af de højrisiko-AI-systemer, der er omhandlet i bilag III, under faktiske forhold på et

hvilket som helst tidspunkt, inden AI-systemet bringes i omsætning eller ibrugtages.

Afprøvning af højrisiko-AI-systemer under faktiske forhold i henhold til denne artikel berører ikke enhver anden etisk

gennemgang, der er påkrævet i henhold til EU-retten eller national ret.

Udbydere eller potentielle udbydere må kun udføre afprøvningen under faktiske forhold, hvis alle følgende betingelser

er opfyldt:

a) udbyderen eller den potentielle udbyder har udarbejdet en plan for afprøvning under faktiske forhold og forelagt den for

markedsovervågningsmyndigheden i den medlemsstat, hvor afprøvningen skal udføres under faktiske forhold

b) markedsovervågningsmyndigheden i den medlemsstat, hvor afprøvningen under faktiske forhold skal udføres, har

godkendt afprøvningen under faktiske forhold og planen for afprøvning under faktiske forhold; hvis markedsovervåg-

ningsmyndigheden ikke har givet et svar inden for 30 dage, betragtes afprøvningen under faktiske forhold og planen for

afprøvning under faktiske forhold som godkendt; hvis national ret ikke indeholder bestemmelser om stiltiende

godkendelse, skal der fortsat foreligge en tilladelse til afprøvning under faktiske forhold

c) udbyderen eller den potentielle udbyder med undtagelse af udbydere eller potentielle udbydere af højrisiko-AI-systemer,

der er omhandlet i bilag III, punkt 1, 6 og 7, inden for retshåndhævelse, migrationsstyring, asylforvaltning og

grænsekontrol, og af højrisiko-AI-systemer, der er omhandlet i bilag III, punkt 2, har registreret afprøvningen under

faktiske forhold i overensstemmelse med artikel 71, stk. 4, med et EU-dækkende unikt individuelt identifikations-

nummer og de oplysninger, der er angivet i bilag IX; udbyderen eller den potentielle udbyder af højrisiko-AI-systemer,

der er omhandlet i bilag III, punkt 1, 6 og 7, inden for retshåndhævelse, migrationsstyring, asylforvaltning og

grænsekontrol, har registreret afprøvningen under faktiske forhold i den sikre ikkeoffentlige del af EU-databasen, jf.

artikel 49, stk. 4, litra d), med et EU-dækkende unikt individuelt identifikationsnummer og de oplysninger, der er angivet

i nævnte litra; udbyderen eller den potentielle udbyder af højrisiko-AI-systemer, der er omhandlet i bilag III, punkt 2, har

registreret afprøvningen under faktiske forhold i overensstemmelse med artikel 49, stk. 5

92/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

d) den udbyder eller potentielle udbyder, der udfører afprøvningen under faktiske forhold, er etableret i Unionen eller har

udpeget en retlig repræsentant, der er etableret i Unionen

e) data, der indsamles og behandles med henblik på afprøvning under faktiske forhold, må kun overføres til tredjelande,

forudsat at der er gennemført passende og gældende sikkerhedsforanstaltninger i henhold til EU-retten

f) afprøvningen under faktiske forhold varer ikke længere end nødvendigt for at nå målene herfor og under ingen

omstændigheder længere end seks måneder, som kan forlænges i en yderligere periode på seks måneder, forudsat at

udbyderen eller den potentielle udbyder på forhånd har underrettet markedsovervågningsmyndigheden ledsaget af en

redegørelse for behovet for en sådan forlængelse

g) de personer, der er genstand for afprøvningen under faktiske forhold, og som er personer, der tilhører sårbare grupper

på grund af deres alder eller handicap, beskyttes på passende vis

h) hvis en udbyder eller potentiel udbyder organiserer afprøvningen under faktiske forhold i samarbejde med en eller flere

idriftsættere eller potentielle idriftsættere, er sidstnævnte blevet informeret om alle de aspekter af afprøvningen, der er

relevante for deres beslutning om at deltage, og har modtaget den relevante brugsanvisning til AI-systemet, jf. artikel 13;

udbyderen eller den potentielle udbyder og idriftsætteren eller den potentielle idriftsætter skal indgå en aftale, der

præciserer deres roller og ansvar med henblik på at sikre overholdelse af bestemmelserne om afprøvning under faktiske

forhold i henhold til denne forordning og i henhold til anden gældende EU-ret og national ret

i) de personer, der er genstand for afprøvningen under faktiske forhold, har givet informeret samtykke i overensstemmelse

med artikel 61 eller i tilfælde af retshåndhævelse, hvis indhentning af informeret samtykke ville forhindre, at AI-systemet

afprøves, og selve afprøvningen og resultatet af afprøvningen under faktiske forhold må ikke have nogen negativ

indvirkning på forsøgspersonerne, og deres personoplysninger slettes, efter at afprøvningen er udført

j) afprøvningen under faktiske forhold overvåges effektivt af udbyderen eller den potentielle udbyder samt af idriftsættere

eller potentielle idriftsættere gennem personer, der er tilstrækkeligt kvalificerede på det relevante område og har den

nødvendige kapacitet, uddannelse og myndighed til at udføre deres opgaver

k) AI-systemets forudsigelser, anbefalinger eller beslutninger kan effektivt omgøres og tilsidesættes.

Enhver forsøgsperson, der medvirker i afprøvningen under faktiske forhold, eller vedkommendes retligt udpegede

repræsentant, alt efter hvad der er relevant, kan, uden at det medfører ulemper og uden at skulle give nogen begrundelse,

når som helst trække sig tilbage fra afprøvningen ved at trække sit informerede samtykke tilbage og anmode om

øjeblikkeligt og permanent at få sine personoplysninger slettet. Tilbagetrækningen af det informerede samtykke berører ikke

de allerede udførte aktiviteter.

I overensstemmelse med artikel 75 tillægger medlemsstaterne deres markedsovervågningsmyndigheder beføjelser til

at kræve oplysninger, som udbydere og potentielle udbydere skal indgive, til at foretage uanmeldte fjerninspektioner eller

inspektioner på stedet og til at foretage kontrol af, hvordan afprøvningen udføres under faktiske forhold, og de relaterede

højrisiko-AI-systemer. Markedsovervågningsmyndighederne anvender disse beføjelser til at sørge for, at afprøvningen under

faktiske forhold forløber sikkert.

Enhver alvorlig hændelse, der konstateres under afprøvningen under faktiske forhold, indberettes til den nationale

markedsovervågningsmyndighed i overensstemmelse med artikel 73. Udbyderen eller den potentielle udbyder træffer straks

afbødende foranstaltninger eller, hvis dette ikke er muligt, suspenderer afprøvningen under faktiske forhold, indtil en sådan

afhjælpning finder sted, eller, hvis dette ikke sker, bringer den til ophør. Udbyderen eller den potentielle udbyder indfører en

procedure for øjeblikkelig tilbagekaldelse af AI-systemet efter en sådan afslutning af afprøvningen under faktiske forhold.

Udbydere eller potentielle udbydere giver den nationale markedsovervågningsmyndighed i den medlemsstat, hvor

afprøvningen under faktiske forhold udføres, meddelelse om suspensionen eller afslutningen af afprøvningen under faktiske

forhold og om de endelige resultater.

Udbyderen eller den potentielle udbyder er ansvarlige i henhold til gældende EU-ansvarsret og gældende national

ansvarsret for enhver skade, der forvoldes i forbindelse med deres afprøvning under faktiske forhold.

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

93/144

Artikel 61

EUT L af 12.7.2024

Informeret samtykke til at deltage i afprøvning under faktiske forhold uden for reguleringsmæssige AI-sandkasser

Med henblik på afprøvning under faktiske forhold i henhold til artikel 60 indhentes der frit informeret samtykke fra

forsøgspersoner, inden de deltager i sådanne forsøg, og efter at de er blevet behørigt informeret med præcise, klare,

relevante og forståelige oplysninger om:

a) afprøvningens art og formål under faktiske forhold, og hvilke mulige ulemper der kan være forbundet med deres

deltagelse

b) de betingelser, hvorunder afprøvningen under faktiske forhold skal udføres, herunder den forventede varighed af

forsøgspersonens eller forsøgspersonernes deltagelse

c) deres rettigheder og garantier for så vidt angår deres deltagelse, navnlig deres ret til at nægte at deltage i og retten til når

som helst at trække sig tilbage fra afprøvningen under faktiske forhold, uden at det medfører ulemper, og uden at der

skal gives nogen begrundelse herfor

d) ordninger for anmodning om omgørelse eller tilsidesættelse af AI-systemets forudsigelser, anbefalinger eller beslutninger

e) det EU-dækkende unikke individuelle identifikationsnummer for afprøvningen under faktiske forhold i overensstemmelse

med artikel 60, stk. 4, litra c), og kontaktoplysninger på den udbyder eller dennes retlige repræsentant, hos hvem der kan

indhentes yderligere oplysninger.

Det informerede samtykke dateres og dokumenteres, og der gives en kopi til forsøgspersonerne eller deres retlige

repræsentant.

Artikel 62

Foranstaltninger for udbydere og idriftsættere, navnlig SMV'er, herunder iværksættervirksomheder

Medlemsstaterne skal foretage følgende tiltag:

a) give SMV'er, herunder iværksættervirksomheder, der har vedtægtsmæssigt hjemsted eller en filial i Unionen, prioriteret

adgang til de reguleringsmæssige AI-sandkasser, i det omfang de opfylder deltagelsesbetingelserne og udvælgelses-

kriterierne; den prioriterede adgang afskærer ikke andre SMV'er, herunder iværksættervirksomheder, end dem, der er

omhandlet i dette stykke, fra at få adgang til den reguleringsmæssige AI-sandkasse, forudsat at de også opfylder

deltagelsesbetingelserne og udvælgelseskriterierne

b) organisere specifikke oplysnings- og uddannelsesaktiviteter om anvendelsen af denne forordning, der er skræddersyet til

behovene hos SMV'er, herunder iværksættervirksomheder, idriftsættere og, alt efter hvad der er relevant, lokale offentlige

myndigheder

c) benytte eksisterende særlige kanaler og, hvis det er relevant, etablere nye kanaler til kommunikation med SMV'er,

herunder iværksættervirksomheder, idriftsættere, andre innovatorer og, alt efter hvad der er relevant, lokale offentlige

myndigheder for at yde rådgivning og besvare forespørgsler om gennemførelsen af denne forordning, herunder for så

vidt angår deltagelse i reguleringsmæssige AI-sandkasser

d) lette SMV'ers og andre relevante interessenters deltagelse i standardiseringsudviklingsprocessen.

Der tages hensyn til SMV-udbyderes, herunder iværksættervirksomheder, særlige interesser og behov ved fastsættelsen

af gebyrerne for overensstemmelsesvurdering i henhold til artikel 43, idet gebyrerne nedsættes i forhold til deres størrelse,

markedsstørrelse og andre relevante indikatorer.

AI-kontoret skal foretage følgende tiltag:

a) tilvejebringe standardiserede skabeloner for de områder, der er omfattet af denne forordning, som angivet af AI-udvalget

i dets anmodning

b) udvikle og vedligeholde en fælles informationsplatform, der giver alle operatører i hele Unionen letanvendelige

oplysninger i forbindelse med denne forordning

94/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

c) tilrettelægge passende kommunikationskampagner for at øge bevidstheden om de forpligtelser, der følger af denne

forordning

d) evaluere og fremme konvergensen af bedste praksis i offentlige udbudsprocedurer i forbindelse med AI-systemer.

Artikel 63

Undtagelser for særlige operatører

Mikrovirksomheder som omhandlet i henstilling 2003/361/EF kan overholde visse elementer i det kvalitetsstyrings-

system, der kræves i henhold til denne forordnings artikel 17, på en forenklet måde, forudsat at de ikke har

partnervirksomheder eller tilknyttede virksomheder som omhandlet i nævnte henstilling. Med henblik herpå udvikler

Kommissionen retningslinjer for de elementer i kvalitetsstyringssystemet, der kan overholdes på en forenklet måde under

hensyntagen til mikrovirksomhedernes behov uden at påvirke beskyttelsesniveauet eller behovet for overholdelse af kravene

til højrisiko-AI-systemer.

Denne artikels stk. 1 skal ikke fortolkes således, at det fritager disse operatører for at opfylde andre krav eller

forpligtelser, der er fastsat i denne forordning, herunder dem, der er fastsat i artikel 9, 10, 11, 12, 13, 14, 15, 72 og 73.

KAPITEL VII

FORVALTNING

AFDELING 1

Forvaltning på EU-plan

Artikel 64

AI-kontoret

Kommissionen udvikler EU-ekspertise og -kapacitet inden for AI gennem AI-kontoret.

Medlemsstaterne letter de opgaver, der overdrages til AI-kontoret, som afspejlet i denne forordning.

Artikel 65

Oprettelse af Det Europæiske Udvalg for Kunstig Intelligens og dets struktur

Der oprettes herved et Europæisk Udvalg for Kunstig Intelligens (»AI-udvalget«).

AI-udvalget består af én repræsentant pr. medlemsstat. Den Europæiske Tilsynsførende for Databeskyttelse deltager

som observatør. AI-kontoret deltager også i AI-udvalgets møder uden at deltage i afstemningerne. AI-udvalget kan indbyde

andre nationale myndigheder, organer eller eksperter og EU-myndigheder, -organer eller -eksperter til møderne fra sag til

sag, hvis de spørgsmål, der drøftes, er relevante for dem.

Hver repræsentant udpeges af deres medlemsstat for en periode på tre år, der kan forlænges én gang.

Medlemsstaterne sikrer, at deres repræsentanter i AI-udvalget:

a) har de relevante kompetencer og beføjelser i deres medlemsstat til at kunne bidrage aktivt til udførelsen af AI-udvalgets

opgaver, der er omhandlet i artikel 66

b) udpeges som eneste kontaktpunkt for AI-udvalget og, hvis det er relevant, idet der tages hensyn til medlemsstaternes

behov, som eneste kontaktpunkt for interessenter

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

95/144

EUT L af 12.7.2024

c) har beføjelse til at lette sammenhæng og koordinering mellem de nationale kompetente myndigheder i deres

medlemsstat for så vidt angår gennemførelsen af denne forordning, herunder gennem indsamling af relevante data og

oplysninger med henblik på udførelse af deres opgaver i AI-udvalget.

De udpegede repræsentanter for medlemsstaterne vedtager AI-udvalgets forretningsorden med to tredjedeles flertal.

Forretningsordenen fastlægger navnlig procedurer for udvælgelsesprocessen, varigheden af mandatet for og en beskrivelse

af formandskabets opgaver, de nærmere afstemningsordninger og tilrettelæggelsen af AI-udvalgets og dets undergruppers

aktiviteter.

AI-udvalget opretter to stående undergrupper for at tilvejebringe en platform for samarbejde og udveksling mellem

markedsovervågningsmyndighederne og underretning af myndigheder om spørgsmål vedrørende henholdsvis markeds-

overvågning og bemyndigede organer.

Den stående undergruppe for markedsovervågning bør fungere som den administrative samarbejdsgruppe (ADCO)

i forbindelse med denne forordning som omhandlet i artikel 30 i forordning (EU) 2019/1020.

AI-udvalget kan i relevant omfang nedsætte andre stående eller midlertidige undergrupper med henblik på at behandle

specifikke spørgsmål. Hvis det er relevant, kan repræsentanter for det rådgivende forum omhandlet i artikel 67 indbydes til

sådanne undergrupper eller til specifikke møder i disse undergrupper som observatører.

AI-udvalget skal være organiseret og arbejde på en sådan måde, at der i dets arbejde sikres objektivitet og uvildighed.

AI-udvalgets formandskab varetages af en af repræsentanterne for medlemsstaterne. AI-kontoret varetager

sekretariatsfunktionen for AI-udvalget, indkalder til møderne efter anmodning fra formanden og udarbejder dagsordenen

i overensstemmelse med AI-udvalgets opgaver i henhold til denne forordning og dens forretningsorden.

Artikel 66

AI-udvalgets opgaver

AI-udvalget rådgiver og bistår Kommissionen og medlemsstaterne med henblik på at lette en ensartet og effektiv anvendelse

af denne forordning. Med henblik herpå kan AI-udvalget navnlig:

a) bidrage til koordineringen mellem de nationale kompetente myndigheder, der er ansvarlige for anvendelsen af denne

forordning, og i samarbejde og efter aftale med de pågældende markedsovervågningsmyndigheder støtte markeds-

overvågningsmyndigheders fælles aktiviteter, der er omhandlet i artikel 74, stk. 11

b) indsamle og udveksle teknisk og reguleringsmæssig ekspertise og bedste praksis blandt medlemsstaterne

c) yde rådgivning om gennemførelsen af denne forordning, navnlig med hensyn til håndhævelsen af reglerne om

AI-modeller til almen brug

d) bidrage til harmonisering af administrative former for praksis i medlemsstaterne, herunder i forbindelse med

undtagelsen fra de overensstemmelsesvurderingsprocedurer, der er omhandlet i artikel 46, reguleringsmæssige

AI-sandkassers funktion og afprøvning under faktiske forhold, der er omhandlet i artikel 57, 59 og 60

e) på anmodning af Kommissionen eller på eget initiativ fremsætte henstillinger og afgive skriftlige udtalelser om alle

relevante spørgsmål vedrørende gennemførelsen af denne forordning og dens ensartede og effektive anvendelse,

herunder:

i) om udarbejdelse og anvendelse af adfærdskodekser og praksiskodekser i henhold til denne forordning samt af

Kommissionens retningslinjer

ii) evalueringen og revisionen af denne forordning i medfør af artikel 112, herunder for så vidt angår de

indberetninger af alvorlige hændelser, der er omhandlet i artikel 73, og funktionen af den EU-database, der er

omhandlet i artikel 71, udarbejdelsen af delegerede retsakter eller gennemførelsesretsakter og for så vidt angår

eventuelle tilpasninger af denne forordning til den EU-harmoniseringslovgivning, der er opført i bilag I

iii) om tekniske specifikationer eller eksisterende standarder vedrørende de i kapitel III, afdeling 2, fastsatte krav

96/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

iv) om anvendelsen af harmoniserede standarder eller fælles specifikationer, der er omhandlet i artikel 40 og 41

v) tendenser såsom europæisk global konkurrenceevne inden for AI, udbredelsen af AI i Unionen og udviklingen af

digitale færdigheder

vi) tendenser vedrørende udviklingen i typologien af AI-værdikæder, navnlig vedrørende de deraf følgende

konsekvenser med hensyn til ansvarlighed

vii) om det potentielle behov for ændring af bilag III i overensstemmelse med artikel 7 og om det potentielle behov for

en eventuel revision af artikel 5 i medfør af artikel 112 under hensyntagen til relevant tilgængelig dokumentation

og den seneste teknologiske udvikling

f) støtte Kommissionen i at fremme AI-færdigheder, offentlighedens kendskab til og forståelse af fordele, risici,

sikkerhedsforanstaltninger og rettigheder og forpligtelser i forbindelse med anvendelsen af AI-systemer

g) lette udarbejdelsen af fælles kriterier og en fælles forståelse blandt markedsoperatører og kompetente myndigheder af de

relevante begreber i denne forordning, herunder ved at bidrage til udarbejdelse af benchmarks

h) samarbejde, alt efter hvad der er relevant, med andre EU-institutioner, -organer, -kontorer og -agenturer samt relevante

EU-ekspertgrupper og -netværk, navnlig inden for produktsikkerhed, cybersikkerhed, konkurrence, digitale tjenester og

medietjenester, finansielle tjenesteydelser, forbrugerbeskyttelse, databeskyttelse og beskyttelse af grundlæggende

rettigheder

bidrage til et effektivt samarbejde med de kompetente myndigheder i tredjelande og med internationale organisationer

bistå de nationale kompetente myndigheder og Kommissionen med udviklingen af den organisatoriske og tekniske

ekspertise, der er nødvendig for gennemførelsen af denne forordning, herunder ved at bidrage til vurderingen af

uddannelsesbehovene for personale i de medlemsstater, der er involveret i gennemførelsen af denne forordning

k) bistå AI-kontoret med at støtte de nationale kompetente myndigheder i etableringen og udviklingen af

reguleringsmæssige AI-sandkasser og lette samarbejdet og informationsudvekslingen mellem reguleringsmæssige

AI-sandkasser

bidrage til og yde relevant rådgivning om udarbejdelsen af vejledningsdokumenter

m) rådgive Kommissionen i forbindelse med internationale spørgsmål om AI

n) afgive udtalelser til Kommissionen om de kvalificerede varslinger vedrørende AI-modeller til almen brug

o) modtage udtalelser fra medlemsstaterne om kvalificerede varslinger vedrørende AI-modeller til almen brug og om

nationale erfaringer og praksis vedrørende overvågning og håndhævelse af AI-systemer, navnlig de systemer, der

integrerer AI-modeller til almen brug.

Artikel 67

Det rådgivende forum

Der oprettes et rådgivende forum til at yde teknisk ekspertise til og rådgive AI-udvalget og Kommissionen og bidrage

til deres opgaver i henhold til denne forordning.

Det rådgivende forums medlemmer skal repræsentere et afbalanceret udvalg af interessenter, herunder industrien,

iværksættervirksomheder, SMV'er, civilsamfundet og den akademiske verden. Der skal være balance mellem det rådgivende

forums medlemmer med hensyn til kommercielle og ikkekommercielle interesser og inden for kategorien af kommercielle

interesser med hensyn til SMV'er og andre virksomheder.

Kommissionen udpeger medlemmerne af det rådgivende forum i overensstemmelse med kriterierne i stk. 2 blandt

interessenter med anerkendt ekspertise inden for AI.

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

97/144

EUT L af 12.7.2024

Mandatperioden for medlemmerne af det rådgivende forum er to år, som kan forlænges med højst fire år.

Agenturet for Grundlæggende Rettigheder, ENISA, Den Europæiske Standardiseringsorganisation (CEN), Den

Europæiske Komité for Elektroteknisk Standardisering (Cenelec) og Det Europæiske Standardiseringsinstitut for

Telekommunikation (ETSI) er permanente medlemmer af det rådgivende forum.

Det rådgivende forum fastsætter selv sin forretningsorden. Det vælger to medformænd blandt sine medlemmer

i overensstemmelse med kriterierne i stk. 2. Medformændenes mandatperiode er på to år og kan forlænges én gang.

Det rådgivende forum afholder møder mindst to gange om året. Det rådgivende forum kan indbyde eksperter og

andre interessenter til sine møder.

Det rådgivende forum kan udarbejde udtalelser, anbefalinger og skriftlige bidrag på anmodning af AI-udvalget eller

Kommissionen.

Det rådgivende forum kan oprette stående eller midlertidige underudvalg, alt efter hvad der er relevant med henblik

på undersøgelse af specifikke spørgsmål vedrørende denne forordnings formål.

10.

Det rådgivende forum udarbejder en årlig rapport om sine aktiviteter. Denne rapport offentliggøres.

Artikel 68

Videnskabeligt panel af uafhængige eksperter

Kommissionen fastsætter ved hjælp af en gennemførelsesretsakt bestemmelser om oprettelse af et videnskabeligt panel

af uafhængige eksperter (»det videnskabelige panel«), der skal støtte håndhævelsesaktiviteterne i henhold til denne

forordning. Denne gennemførelsesretsakt vedtages efter undersøgelsesproceduren, jf. artikel 98, stk. 2.

Det videnskabelige panel skal bestå af eksperter, der udvælges af Kommissionen på grundlag af den ajourførte

videnskabelige eller tekniske ekspertise inden for AI, der er nødvendig med henblik på de opgaver, der er fastsat i stk. 3, og

skal kunne påvise, at alle følgende betingelser er opfyldt:

a) særlig ekspertise og kompetence og videnskabelig eller teknisk ekspertise inden for AI

b) uafhængighed af udbydere af AI-systemer eller AI-modeller til almen brug

c) evne til at udføre aktiviteter omhyggeligt, nøjagtigt og objektivt.

Kommissionen fastsætter i samråd med AI-udvalget antallet af eksperter i panelet i overensstemmelse med de nødvendige

behov og sikrer en fair kønsmæssig og geografisk repræsentation.

Det videnskabelige panel rådgiver og støtter AI-kontoret, navnlig med hensyn til følgende opgaver:

a) støtte gennemførelsen og håndhævelsen af denne forordning for så vidt angår AI-modeller og -systemer til almen brug,

navnlig ved at:

i) varsle AI-kontoret om mulige systemiske risici på EU-plan ved AI-modeller til almen brug i overensstemmelse med

artikel 90

ii) bidrage til udvikling af værktøjer og metoder til at evaluere kapaciteterne i AI-modeller og -systemer til almen brug,

herunder gennem benchmarks

iii) yde rådgivning om klassificering af AI-modeller til almen brug med systemisk risiko

iv) yde rådgivning om klassificering af forskellige AI-modeller og -systemer til almen brug

98/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

v) bidrage til udviklingen af værktøjer og skabeloner

b) støtte markedsovervågningsmyndighederne arbejde efter disses anmodning

c) støtte grænseoverskridende markedsovervågningsaktiviteter som omhandlet i artikel 74, stk. 11, uden at dette berører

markedsovervågningsmyndighedernes beføjelser

d) støtte AI-kontoret i udførelsen af dets opgaver inden for rammerne af EU-beskyttelsesproceduren i henhold til artikel 81.

Eksperterne i det videnskabelige panel udfører deres opgaver uvildigt og objektivt og sikrer fortroligheden af de

oplysninger og data, der er indhentet under udførelsen af deres opgaver og aktiviteter. De må hverken søge eller modtage

instrukser fra nogen, når de udfører deres opgaver i henhold til stk. 3. Hver ekspert udfærdiger en interesseerklæring, der

gøres offentligt tilgængelig. AI-kontoret etablerer systemer og procedurer til aktivt at håndtere og forebygge potentielle

interessekonflikter.

Den gennemførelsesretsakt, der er omhandlet i stk. 1, skal indeholde bestemmelser om betingelserne, procedurerne og

de nærmere ordninger for, hvordan det videnskabelige panel og dets medlemmer kan sende varslinger og anmode

AI-kontoret om bistand til udførelsen af det videnskabelige panels opgaver.

Artikel 69

Medlemsstaternes adgang til puljen af eksperter

Medlemsstaterne kan anmode eksperter i det videnskabelige panel om at støtte deres håndhævelsesaktiviteter

i henhold til denne forordning.

Medlemsstaterne kan pålægges at betale gebyrer for den rådgivning og støtte, som eksperterne yder. Gebyrernes

struktur og størrelse samt størrelsen og strukturen af de omkostninger, der kan kræves erstattet, fastsættes i den

gennemførelsesretsakt, der er omhandlet i artikel 68, stk. 1, under hensyntagen til målene om en passende gennemførelse af

denne forordning, omkostningseffektivitet og nødvendigheden af at sikre, at alle medlemsstater har effektiv adgang til

eksperter.

Kommissionen letter medlemsstaternes rettidige adgang til eksperterne efter behov og sikrer, at kombinationen af

støtteaktiviteter, som udføres af EU-AI-afprøvningsstøtte i henhold til artikel 84, og eksperter i henhold til nærværende

artikel tilrettelægges effektivt og giver den bedst mulige merværdi.

AFDELING 2

Nationale kompetente myndigheder

Artikel 70

Udpegelse af nationale kompetente myndigheder og centrale kontaktpunkter

Hver medlemsstat opretter eller udpeger som nationale kompetente myndigheder mindst én bemyndigende

myndighed og mindst én markedsovervågningsmyndighed med henblik på denne forordning. Disse nationale kompetente

myndigheder udøver deres beføjelser uafhængigt, upartisk og uden bias for derved at beskytte objektiviteten i deres

aktiviteter og opgaver og for at sikre anvendelsen og gennemførelsen af denne forordning. Medlemmerne af disse

myndigheder afholder sig fra ethvert tiltag, som er uforenelig med deres hverv. Forudsat at disse principper overholdes, kan

sådanne aktiviteter og opgaver udføres af en eller flere udpegede myndigheder i overensstemmelse med medlemsstatens

organisatoriske behov.

Medlemsstaterne meddeler Kommissionen identiteten af de bemyndigende myndigheder og markedsovervågnings-

myndighederne og disse myndigheders opgaver samt eventuelle efterfølgende ændringer heraf. Medlemsstaterne

offentliggør senest den 2. august 2025 oplysninger om, hvordan de kompetente myndigheder og de centrale

kontaktpunkter kan kontaktes ved hjælp af elektroniske kommunikationsmidler. Medlemsstaterne udpeger en markeds-

overvågningsmyndighed til at fungere som centralt kontaktpunkt for denne forordning og underretter Kommissionen om

identiteten af det centrale kontaktpunkt. Kommissionen offentliggør en liste over de centrale kontaktpunkter.

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

99/144

EUT L af 12.7.2024

Medlemsstaterne sikrer, at deres nationale kompetente myndigheder tilføres tilstrækkelige tekniske, finansielle og

menneskelige ressourcer og infrastruktur, til at de kan udføre deres opgaver effektivt i henhold til denne forordning. De

nationale kompetente myndigheder skal navnlig råde over et tilstrækkeligt antal medarbejdere på fast basis, hvis

kompetencer og ekspertise spænder over en indgående forståelse af AI-teknologier, data og databehandling, beskyttelse af

personoplysninger, cybersikkerhed, grundlæggende rettigheder, sundheds- og sikkerhedsrisici og viden om gældende

standarder og retlige krav. Medlemsstaterne skal årligt vurdere og om nødvendigt ajourføre de kompetence- og

ressourcebehov, der er omhandlet i dette stykke.

De nationale kompetente myndigheder skal træffe passende foranstaltninger for at sikre et tilstrækkeligt niveau af

cybersikkerhed.

De nationale kompetente myndigheder handler i forbindelse med udførelsen af deres opgaver i overensstemmelse med

fortrolighedsforpligtelserne fastsat i artikel 78.

Senest den 2. august 2025 og én gang hvert andet år derefter aflægger medlemsstaterne rapport til Kommissionen om

status for de nationale kompetente myndigheders finansielle og menneskelige ressourcer med en vurdering af deres

tilstrækkelighed. Kommissionen videresender disse oplysninger til AI-udvalget med henblik på drøftelse og eventuelle

henstillinger.

Kommissionen letter udvekslingen af erfaringer mellem de nationale kompetente myndigheder.

De nationale kompetente myndigheder kan yde vejledning og rådgivning om gennemførelsen af denne forordning,

navnlig til SMV'er, herunder iværksættervirksomheder, under hensyntagen til AI-udvalgets og Kommissionens vejledning og

rådgivning, alt efter hvad der er relevant. Når de nationale kompetente myndigheder agter at yde vejledning og rådgivning

i forbindelse med et AI-system på områder, der er omfattet af anden EU-ret, skal de nationale kompetente myndigheder

i henhold til denne EU-ret høres, alt efter hvad der er relevant.

Hvis EU-institutioner, -organer, -kontorer eller -agenturer er omfattet af denne forordnings anvendelsesområde,

fungerer Den Europæiske Tilsynsførende for Databeskyttelse som den kompetente myndighed for tilsynet med dem.

KAPITEL VIII

EU-DATABASE FOR HØJRISIKO-AI-SYSTEMER

Artikel 71

EU-database for højrisiko-AI-systemer opført i bilag III

Kommissionen opretter og vedligeholder i samarbejde med medlemsstaterne en EU-database med de i denne artikels

stk. 2 og 3 omhandlede oplysninger vedrørende højrisiko-AI-systemer, jf. artikel 6, stk. 2, som er registreret

i overensstemmelse med artikel 49 og 60, og AI-systemer, der ikke anses som højrisiko-AI-systemer i henhold til artikel 6,

stk. 3, og som er registeret i overensstemmelse med artikel 6, stk. 4, og artikel 49. Ved fastsættelsen af

funktionsspecifikationerne for en sådan database hører Kommissionen de relevante eksperter og, når den ajourfører

funktionsspecifikationerne for en sådan database, hører Kommissionen AI-udvalget.

De data, der er anført i bilag VIII, afsnit A og B, indlæses i EU-databasen af udbyderen eller, hvis det er relevant, af den

bemyndigede repræsentant.

De data, der er anført i bilag VIII, afsnit C, indlæses i EU-databasen af den idriftsætter, som er eller handler på vegne af

en offentlig myndighed eller et offentligt agentur eller organ i overensstemmelse med artikel 49, stk. 3 og 4.

Med undtagelse af det afsnit, der er omhandlet i artikel 49, stk. 4, og artikel 60, stk. 4, litra c), skal oplysningerne

i EU-databasen, der er registreret i overensstemmelse med artikel 49, kunne tilgås og være offentligt tilgængelige på en

brugervenlig måde. Oplysningerne bør være lette at finde rundt i og maskinlæsbare. De oplysninger, der registreres

i overensstemmelse med artikel 60, må kun være tilgængelige for markedsovervågningsmyndighederne og Kommissionen,

medmindre den potentielle udbyder eller udbyderen har givet sit samtykke til, at oplysningerne også gøres tilgængelige for

offentligheden.

EU-databasen må kun indeholde personoplysninger, i det omfang det er nødvendigt for at indsamle og behandle

oplysninger i overensstemmelse med denne forordning. Disse oplysninger omfatter navne og kontaktoplysninger på de

fysiske personer, der er ansvarlige for registrering af systemet og har retlig beføjelse til at repræsentere udbyderen eller

idriftsætteren, alt efter hvad der er relevant.

100/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

Kommissionen er dataansvarlig for EU-databasen. Den stiller tilstrækkelig teknisk og administrativ støtte til rådighed

for udbydere, potentielle udbydere og idriftsættere. EU-databasen skal overholde gældende tilgængelighedskrav.

KAPITEL IX

OVERVÅGNING EFTER OMSÆTNINGEN, UDVEKSLING AF OPLYSNINGER OG MARKEDSOVERVÅGNING

AFDELING 1

Overvågning efter omsætningen

Artikel 72

Udbydernes overvågning efter omsætningen og plan for overvågning efter omsætningen for højrisiko-AI-syste-

mer

Udbyderne skal oprette og dokumentere et system til overvågning efter omsætningen på en måde, der står i et rimeligt

forhold til arten af AI-teknologierne og risiciene ved højrisiko-AI-systemet.

Systemet til overvågning efter omsætningen indsamler, dokumenterer og analyserer relevante data, som idriftsætterne

kan afgive, eller som kan indsamles via andre kilder, om højrisiko-AI-systemers ydeevne i hele deres levetid, og som giver

udbyderen mulighed for at evaluere, at AI-systemerne løbende overholder de i kapitel III, afdeling 2, fastsatte krav. Hvis det

er relevant, skal overvågning efter omsætningen omfatte en analyse af interaktionen med andre AI-systemer. Denne

forpligtelse omfatter ikke følsomme operationelle data om idriftsættere, som er retshåndhævende myndigheder.

Systemet til overvågning efter omsætningen skal baseres på en plan for overvågning efter omsætningen. Planen for

overvågning efter omsætningen skal være en del af den tekniske dokumentation, der er omhandlet i bilag IV. Kommissionen

vedtager senest den 2. februar 2026 en gennemførelsesretsakt om detaljerede bestemmelser om en model for planen for

overvågning efter omsætningen og listen over elementer, der skal indgå i planen. Denne gennemførelsesretsakt vedtages

efter undersøgelsesproceduren, jf. artikel 98, stk. 2.

For højrisiko-AI-systemer, der er omfattet af EU-harmoniseringslovgivningen, som er opført i bilag I, afsnit A, hvor

der allerede er etableret et system til og en plan for overvågning efter omsætningen i henhold til nævnte lovgivning, skal

udbyderne med henblik på at sikre sammenhæng, undgå overlap og minimere yderligere byrder have mulighed for, alt efter

hvad der er relevant, at integrere de nødvendige elementer, der er beskrevet i stk. 1, 2 og 3, ved hjælp af den model, der er

omhandlet i stk. 3, i allerede eksisterende systemer og planer i henhold til nævnte lovgivning, forudsat at dette opnår et

tilsvarende beskyttelsesniveau.

Dette stykkes første afsnit finder også anvendelse på de i bilag III, punkt 5, omhandlede højrisiko-AI-systemer, der bringes

i omsætning eller ibrugtages af finansielle institutioner, som er underlagt krav i henhold til EU-retten om finansielle

tjenesteydelser for så vidt angår deres interne ledelse, ordninger eller processer.

AFDELING 2

Udveksling af oplysninger om alvorlige hændelser

Artikel 73

Indberetning af alvorlige hændelser

Udbydere af højrisiko-AI-systemer, der bringes i omsætning på EU-markedet, indberetter enhver alvorlig hændelse til

markedsovervågningsmyndighederne i de medlemsstater, hvor denne hændelse fandt sted.

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

101/144

EUT L af 12.7.2024

Den i stk. 1 omhandlede indberetning foretages umiddelbart efter, at udbyderen har fastslået en årsagssammenhæng

mellem AI-systemet og den alvorlige hændelse eller en rimelig sandsynlighed for en sådan sammenhæng, og under alle

omstændigheder senest 15 dage efter, at udbyderen eller, hvor det er relevant, idriftsætteren har fået kendskab til den

alvorlige hændelse.

I den i først afsnit omhandlede frist for indberetning tages der hensyn til den alvorlige hændelses alvor.

Uanset denne artikels stk. 2 forelægges den i denne artikels stk. 1 omhandlede rapport i tilfælde af en udbredt

overtrædelse eller en alvorlig hændelse som defineret i artikel 3, nr. 49), litra b), omgående og senest to dage efter, at

udbyderen eller, hvis det er relevant, idriftsætteren har fået kendskab til den pågældende hændelse.

Uanset stk. 2 forelægges rapporten i tilfælde af en persons dødsfald umiddelbart efter, at udbyderen eller idriftsætteren

har fastslået, eller så snart vedkommende har mistanke om en årsagssammenhæng mellem højrisiko-AI-systemet og den

alvorlige hændelse, og senest ti dage efter den dato, hvor udbyderen eller, hvis det er relevant, idriftsætteren har fået

kendskab til den alvorlige hændelse.

Udbyderen eller, hvis det er relevant, idriftsætteren kan om nødvendigt for at sikre rettidig indberetning forelægge en

indledende rapport, som ikke er fyldestgørende, efterfulgt af en fyldestgørende rapport.

Efter indberetning af en alvorlig hændelse i henhold til stk. 1 skal udbyderen straks foretage de nødvendige

undersøgelser vedrørende den alvorlige hændelse og det pågældende AI-system. Dette omfatter en risikovurdering af

hændelsen og korrigerende tiltag.

Udbyderen samarbejder med de kompetente myndigheder og, hvis det er relevant, med det berørte bemyndigede organ

under de undersøgelser, der er omhandlet i første afsnit, og må ikke foretage nogen undersøgelse, der medfører ændringer af

det pågældende AI-system på en sådan måde, at det kan påvirke en efterfølgende evaluering af årsagerne til hændelsen, uden

først at orientere de kompetente myndigheder om et sådant tiltag.

Når den relevante markedsovervågningsmyndighed modtager en indberetning vedrørende en alvorlig hændelse

omhandlet i artikel 3, nr. 49), litra c), underretter den de nationale offentlige myndigheder eller organer, der er omhandlet

i artikel 77, stk. 1. Kommissionen udarbejder særlig vejledning for at lette overholdelsen af forpligtelserne i nærværende

artikels stk. 1. Denne vejledning udstedes senest den 2. august 2025 og vurderes regelmæssigt.

Markedsovervågningsmyndigheden træffer passende foranstaltninger, jf. artikel 19 i forordning (EU) 2019/1020,

senest syv dage fra den dato, hvor den modtog den i nærværende artikels stk. 1 omhandlede indberetning, og følger

indberetningsprocedurerne som fastsat i nævnte forordning.

I forbindelse med de i bilag III omhandlede højrisiko-AI-systemer, der bringes i omsætning eller ibrugtages af

udbydere, som er underlagt Unionens lovgivningsmæssige instrumenter om indberetningsforpligtelser svarende til dem, der

er fastsat i denne forordning, begrænses indberetningen af alvorlige hændelser til dem, der er omhandlet i artikel 3, nr. 49),

litra c).

10.

For højrisiko-AI-systemer, som er sikkerhedskomponenter i udstyr, eller som selv er udstyr, der er omfattet af

forordning (EU) 2017/745 og (EU) 2017/746, begrænses indberetningen af alvorlige hændelser til dem, der er omhandlet

i nærværende forordnings artikel 3, nr. 49), litra c), og foretages til den nationale kompetente myndighed, som er valgt til

dette formål af den medlemsstat, hvor hændelsen fandt sted.

11.

De nationale kompetente myndigheder underretter omgående Kommissionen om enhver alvorlig hændelse, uanset

om de har foretaget tiltag desangående, i overensstemmelse med artikel 20 i forordning (EU) 2019/1020.

AFDELING 3

Håndhævelse

Artikel 74

Markedsovervågning og kontrol af AI-systemer på EU-markedet

Forordning (EU) 2019/1020 finder anvendelse på AI-systemer, der er omfattet af nærværende forordning. Med

henblik på effektiv håndhævelse af nærværende forordning gælder følgende:

102/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

a) enhver henvisning til en erhvervsdrivende i henhold til forordning (EU) 2019/1020 skal forstås således, at den omfatter

alle operatører, der er omfattet af nærværende forordnings artikel 2, stk. 1

b) enhver henvisning til et produkt i henhold til forordning (EU) 2019/1020 skal forstås således, at den omfatter alle

AI-systemer, der henhører under nærværende forordnings anvendelsesområde.

Som led i deres rapporteringsforpligtelser i henhold til artikel 34, stk. 4, i forordning (EU) 2019/1020 aflægger

markedsovervågningsmyndighederne årligt rapport til Kommissionen og de relevante nationale konkurrencemyndigheder

i forbindelse med markedsovervågningsaktiviteter, som kan være af potentiel interesse for anvendelsen af EU-retten om

konkurrenceregler. De aflægger også årligt rapport til Kommissionen om anvendelsen af forbudt praksis, der har fundet sted

i løbet af det pågældende år, og om de foranstaltninger, der er truffet.

For så vidt angår højrisiko-AI-systemer, som er knyttet til produkter, der er omfattet af EU-harmoniseringslov-

givningen, som er opført i bilag I, afsnit A, er markedsovervågningsmyndigheden med henblik på denne forordning den

myndighed, der i henhold til disse retsakter er ansvarlig for markedsovervågningsaktiviteter.

Uanset første afsnit og under behørige omstændigheder kan medlemsstaterne udpege en anden relevant myndighed til at

fungere som markedsovervågningsmyndighed, forudsat at de sikrer koordinering med de relevante sektorspecifikke

markedsovervågningsmyndigheder, der er ansvarlige for håndhævelsen af den EU-harmoniseringslovgivning, der er opført

i bilag I.

De procedurer, der er omhandlet i denne forordnings artikel 79-83, finder ikke anvendelse på AI-systemer, som er

knyttet til produkter, der er omfattet af EU-harmoniseringslovgivningen, som er opført i bilag I, afsnit A, hvis sådanne

retsakter allerede indeholder bestemmelser om procedurer, der sikrer et tilsvarende beskyttelsesniveau og har det samme

formål. I sådanne tilfælde finder de relevante sektorprocedurer anvendelse i stedet.

Uden at det berører markedsovervågningsmyndighedernes beføjelser i henhold til artikel 14 i forordning

(EU) 2019/1020, kan markedsovervågningsmyndighederne med henblik på at sikre en effektiv håndhævelse af nærværende

forordning udøve de beføjelser, der er omhandlet i nævnte forordnings artikel 14, stk. 4, litra d) og j), på afstand, alt efter

hvad der er relevant.

For så vidt angår højrisiko-AI-systemer, der bringes i omsætning, ibrugtages eller anvendes af finansielle institutioner,

der er omfattet af EU-retten om finansielle tjenesteydelser, er markedsovervågningsmyndigheden med henblik på denne

forordning den relevante nationale myndighed, der i henhold til nævnte lovgivning er ansvarlig for det finansielle tilsyn med

disse institutioner, såfremt omsætningen, ibrugtagningen eller anvendelsen af AI-systemet er i direkte forbindelse med

leveringen af disse finansielle tjenesteydelser.

Uanset stk. 6 kan medlemsstaten under behørige omstændigheder, og forudsat at der sikres koordinering, udpege en

anden relevant myndighed som markedsovervågningsmyndighed med henblik på denne forordning.

Nationale markedsovervågningsmyndigheder, som fører tilsyn med kreditinstitutter, der er reguleret i henhold til

direktiv 2013/36/EU, og som deltager i den fælles tilsynsmekanisme, der er oprettet ved forordning (EU) nr. 1024/2013,

bør straks indberette alle de oplysninger identificeret i forbindelse med deres markedsovervågningsaktiviteter, som kan være

af potentiel interesse for Den Europæiske Centralbanks tilsynsopgaver som fastsat i nævnte forordning, til Den Europæiske

Centralbank.

For så vidt angår de højrisiko-AI-systemer, der er anført i bilag III, punkt 1, til denne forordning for så vidt systemerne

anvendes til retshåndhævelsesformål, grænseforvaltning og retsvæsen og demokrati, og de højrisiko-AI-systemer, der er

anført i bilag III, punkt 6, 7 og 8, til denne forordning, udpeger medlemsstaterne med henblik på denne forordning som

markedsovervågningsmyndigheder enten de kompetente datatilsynsmyndigheder i henhold til forordning (EU) 2016/679

eller direktiv (EU) 2016/680 eller enhver anden myndighed, der er udpeget på de samme betingelser, der er fastsat

i artikel 41-44 i direktiv (EU) 2016/680. Markedsovervågningsaktiviteter må på ingen måde påvirke de judicielle

myndigheders uafhængighed eller på anden måde gribe ind i deres aktiviteter, når de handler i deres egenskab af domstol.

I tilfælde, hvor EU-institutioner, -organer, -kontorer eller -agenturer er omfattet af denne forordning, fungerer Den

Europæiske Tilsynsførende for Databeskyttelse som deres markedsovervågningsmyndighed, undtagen i forbindelse med

EU-Domstolen, som handler i sin egenskab af domstol.

10.

Medlemsstaterne skal lette koordinering mellem markedsovervågningsmyndigheder, der er udpeget i henhold til

denne forordning, og andre relevante nationale myndigheder eller organer, der fører tilsyn med anvendelsen af den

EU-harmoniseringslovgivning, der er opført i bilag I, eller anden EU-ret, der kan være relevant for de i bilag III omhandlede

højrisiko-AI-systemer.

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

103/144

EUT L af 12.7.2024

11.

Markedsovervågningsmyndighederne og Kommissionen kan foreslå fælles aktiviteter, herunder fælles undersøgelser,

som skal gennemføres af enten markedsovervågningsmyndigheder eller af markedsovervågningsmyndigheder sammen med

Kommissionen, og som har til formål at fremme overholdelse, identificere manglende overholdelse, øge bevidstheden eller

yde vejledning for så vidt angår denne forordning med hensyn til specifikke kategorier af højrisiko-AI-systemer, der anses

for at udgøre en alvorlig risiko i to eller flere medlemsstater i overensstemmelse med artikel 9 i forordning (EU) 2019/1020.

AI-kontoret sørger for koordinerende støtte til de fælles undersøgelser.

12.

Uden at det berører de beføjelser, der er fastsat i forordning (EU) 2019/1020, og hvis det er relevant og begrænset til,

hvad der er nødvendigt for, at markedsovervågningsmyndighederne kan udføre deres opgaver, gives de af udbydere fuld

adgang til den dokumentation samt til de trænings-, validerings- og afprøvningsdatasæt, der anvendes til udvikling af

højrisiko-AI-systemer, herunder, hvis det er relevant og med forbehold af sikkerhedsforanstaltninger, via program-

meringsgrænseflader for applikationer (API'er) eller andre relevante tekniske midler og værktøjer, der muliggør fjernadgang.

13.

Markedsovervågningsmyndighederne gives efter begrundet anmodning adgang til kildekoden for højrisiko-AI-sy-

stemet, og kun når begge følgende betingelser er opfyldt:

a) adgang til kildekode er nødvendig for at vurdere, om et højrisiko-AI-system er i overensstemmelse med kravene

i kapitel III, afdeling 2, og

b) afprøvnings- eller revisionsprocedurer og -verifikationer på grundlag af data og dokumentation fra udbyderen er udtømt

eller har vist sig at være utilstrækkelige.

14.

Alle de oplysninger eller al den dokumentation, som markedsovervågningsmyndighederne kommer i besiddelse af,

behandles i overensstemmelse med fortrolighedsforpligtelserne fastsat i artikel 78.

Artikel 75

Gensidig bistand, markedsovervågning og kontrol med AI-systemer til almen brug

Hvis et AI-system er baseret på en AI-model til almen brug, og modellen og systemet er udviklet af den samme

udbyder, har AI-kontoret beføjelser til at overvåge og føre tilsyn med, om det pågældende AI-system overholder kravene

i denne forordning. For at varetage sine overvågnings- og tilsynsopgaver skal AI-kontoret have alle beføjelser som

markedsovervågningsmyndighed, der er fastsat i denne afdeling og forordning (EU) 2019/1020.

Hvis de relevante markedsovervågningsmyndigheder har tilstrækkelig grund til at mene, at AI-systemer til almen

brug, som kan anvendes direkte af idriftsættere til mindst ét formål, der er klassificeret som højrisiko i henhold til denne

forordning, ikke overholder kravene i denne forordning, samarbejder de med AI-kontoret om at foretage evalueringer af

overholdelsen og underretter AI-udvalget og andre markedsovervågningsmyndigheder i overensstemmelse hermed.

Hvis en markedsovervågningsmyndighed ikke er i stand til at afslutte sin undersøgelse af højrisiko-AI-systemet som

følge af manglende adgang til visse oplysninger vedrørende AI-modellen til almen brug, selv om den har udfoldet alle de

nødvendige bestræbelser på at indhente disse oplysninger, kan den fremsætte en begrundet anmodning til AI-kontoret,

hvorved adgangen til disse oplysninger skal håndhæves. I dette tilfælde skal AI-kontoret straks og under alle

omstændigheder inden for 30 dage give den anmodende myndighed alle oplysninger, som AI-kontoret anser for at være

relevante for at fastslå, om et højrisiko-AI-system overholder gældende regler eller ej. Markedsovervågningsmyndighederne

sikrer, at de oplysninger, som de kommer i besiddelse af, behandles fortroligt i overensstemmelse med denne forordnings

artikel 78. Proceduren i kapitel VI i forordning (EU) 2019/1020 finder tilsvarende anvendelse.

Artikel 76

Markedsovervågningsmyndighedernes tilsyn med afprøvning under faktiske forhold

Markedsovervågningsmyndighederne har kompetencer og beføjelser til at sikre, at afprøvning under faktiske forhold

er i overensstemmelse med denne forordning.

104/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

Hvis der udføres afprøvning under faktiske forhold for AI-systemer, som der føres tilsyn med i den

reguleringsmæssige AI-sandkasse i henhold til artikel 58, kontrollerer markedsovervågningsmyndighederne overholdelsen

af artikel 60 som led i deres tilsynsrolle for den reguleringsmæssige AI-sandkasse. Disse myndigheder kan, alt efter hvad der

er relevant, tillade, at afprøvningen under faktiske forhold udføres af udbyderen eller den potentielle udbyder som en

undtagelse fra betingelserne i artikel 60, stk. 4, litra f) og g).

Hvis en markedsovervågningsmyndighed er blevet underrettet af den potentielle udbyder, udbyderen eller enhver

tredjepart om en alvorlig hændelse eller har andre grunde til at mene, at betingelserne i artikel 60 og 61 ikke er opfyldt, kan

den træffe en af følgende afgørelser på sit område, alt efter hvad der er relevant:

a) suspendere eller afslutte afprøvningen under faktiske forhold

b) kræve, at udbyderen eller den potentielle udbyder og idriftsætteren eller den potentielle idriftsætter ændrer et hvilket som

helst aspekt af afprøvningen under faktiske forhold.

Hvis en markedsovervågningsmyndighed har truffet en afgørelse omhandlet i denne artikels stk. 3 eller har gjort

indsigelse som omhandlet i artikel 60, stk. 4, litra b), skal afgørelsen eller indsigelsen indeholde en begrundelse herfor og

angive, hvordan udbyderen eller den potentielle udbyder kan anfægte afgørelsen eller indsigelsen.

Hvis en markedsovervågningsmyndighed har truffet en afgørelse omhandlet i stk. 3, meddeler den, hvis det er

relevant, begrundelsen herfor til markedsovervågningsmyndighederne i de andre medlemsstater, hvor AI-systemet er blevet

afprøvet i overensstemmelse med planen for afprøvning.

Artikel 77

Beføjelser tillagt myndigheder, der beskytter de grundlæggende rettigheder

Nationale offentlige myndigheder eller organer, der fører tilsyn med eller håndhæver overholdelsen af forpligtelser

i henhold til EU-retten om beskyttelse af de grundlæggende rettigheder, herunder retten til beskyttelse mod

forskelsbehandling, i forbindelse med anvendelsen af højrisiko-AI-systemer omhandlet i. bilag III har beføjelse til at

anmode om og få adgang til al dokumentation, der er udarbejdet eller opretholdt i henhold til denne forordning, på et

tilgængeligt sprog og i et tilgængeligt format, hvis adgang til denne dokumentation er nødvendig for effektivt at kunne

udøve deres mandater inden for rammerne af deres jurisdiktion. Den relevante offentlige myndighed eller det relevante

offentlige organ underretter markedsovervågningsmyndigheden i den pågældende medlemsstat om enhver sådan

anmodning.

Senest den 2. november 2024 identificerer hver medlemsstat de offentlige myndigheder eller organer, der er

omhandlet i stk. 1, og offentliggør en liste. Medlemsstaterne meddeler listen til Kommissionen og de øvrige medlemsstater

og holder listen ajour.

Hvis den i stk. 1 omhandlede dokumentation er utilstrækkelig til at fastslå, om der er sket en tilsidesættelse af

forpligtelser i henhold til den del af EU-retten, der beskytter de grundlæggende rettigheder, kan den offentlige myndighed

eller det offentlige organ, der er omhandlet i stk. 1, fremsætte en begrundet anmodning til markedsovervågnings-

myndigheden om at tilrettelægge afprøvning af højrisiko-AI-systemet ved hjælp af tekniske midler. Markedsovervågnings-

myndigheden tilrettelægger afprøvningen med tæt inddragelse af den anmodende offentlige myndighed eller det

anmodende offentlige organ inden for rimelig tid efter anmodningen.

Alle de oplysninger eller al den dokumentation, som de i denne artikels stk. 1 omhandlede nationale offentlige

myndigheder eller organer kommer i besiddelse af i henhold til denne artikel, behandles i overensstemmelse med

fortrolighedsforpligtelserne fastsat i artikel 78.

Artikel 78

Fortrolighed

Kommissionen, markedsovervågningsmyndighederne og bemyndigede organer og enhver anden fysisk eller juridisk

person, der er involveret i anvendelsen af denne forordning, respekterer i overensstemmelse med EU-retten eller national ret

fortroligheden af oplysninger og data, som de kommer i besiddelse af under udførelsen af deres opgaver og aktiviteter, på en

sådan måde, at de navnlig beskytter:

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

105/144

EUT L af 12.7.2024

a) intellektuelle ejendomsrettigheder og fysiske eller juridiske personers fortrolige forretningsoplysninger eller forret-

ningshemmeligheder, herunder kildekode, med undtagelse af de tilfælde, der er omhandlet i artikel 5 i Europa-

Parlamentets og Rådets direktiv (EU) 2016/943 (

)

b) den effektive gennemførelse af denne forordning, navnlig for så vidt angår inspektioner, undersøgelser eller revisioner

c) offentlige og nationale sikkerhedsinteresser

d) strafferetlige eller administrative procedurers gennemførelse

e) informationer, der er klassificeret i henhold til EU-retten eller national ret.

De myndigheder, der er involveret i anvendelsen af denne forordning i henhold til stk. 1, må kun anmode om data,

der er strengt nødvendige for at vurdere den risiko, som AI-systemer udgør, og for at udøve deres beføjelser

i overensstemmelse med denne forordning og med forordning (EU) 2019/1020. De skal indføre passende og effektive

cybersikkerhedsforanstaltninger for at beskytte sikkerheden og fortroligheden af de indsamlede oplysninger og data og slette

de indsamlede data, så snart de ikke længere er nødvendige til det formål, som de blev indsamlet til, i overensstemmelse

med gældende EU-ret eller national ret.

Uden at det berører stk. 1 og 2 må oplysninger, der udveksles fortroligt mellem de nationale kompetente

myndigheder eller mellem de nationale kompetente myndigheder og Kommissionen, ikke videregives uden forudgående

høring af den oprindelige nationale kompetente myndighed og idriftsætteren i tilfælde, hvor højrisiko-AI-systemer

omhandlet i bilag III, punkt 1, 6 eller 7, anvendes af retshåndhævende myndigheder, grænsekontrolmyndigheder,

indvandringsmyndigheder eller asylmyndigheder, og hvis en sådan videregivelse ville bringe offentlige og nationale

sikkerhedsinteresser i fare. Denne udveksling af oplysninger omfatter ikke følsomme operationelle oplysninger i forbindelse

med aktiviteter, der udføres af retshåndhævende myndigheder, grænsekontrolmyndigheder, indvandringsmyndigheder eller

asylmyndigheder.

I tilfælde, hvor de retshåndhævende myndigheder, indvandringsmyndighederne eller asylmyndighederne er udbydere af

højrisiko-AI-systemer, der er omhandlet i bilag III, punkt 1, 6 eller 7, skal den tekniske dokumentation, der er omhandlet

i bilag IV, forblive hos disse myndigheder. Disse myndigheder sikrer, at de markedsovervågningsmyndigheder, der er

omhandlet i artikel 74, stk. 8 og 9, alt efter hvad der er relevant, efter anmodning omgående kan få adgang til

dokumentationen eller få en kopi heraf. Kun det af markedsovervågningsmyndighedens personale, der har et passende

sikkerhedsgodkendelsesniveau, må få adgang til dokumentationen eller en kopi heraf.

Stk. 1, 2 og 3 berører ikke Kommissionens, medlemsstaternes og deres relevante myndigheders samt de bemyndigede

organers rettigheder eller forpligtelser med hensyn til udveksling af oplysninger og udsendelse af advarsler, herunder

i forbindelse med grænseoverskridende samarbejde, eller de berørte parters forpligtelse til at afgive oplysninger inden for

rammerne af medlemsstaternes strafferet.

Kommissionen og medlemsstaterne kan om nødvendigt og i overensstemmelse med relevante bestemmelser

i internationale aftaler og handelsaftaler udveksle fortrolige oplysninger med reguleringsmyndigheder i tredjelande, med

hvilke de har indgået bilaterale eller multilaterale fortrolighedsordninger, der sikrer en tilstrækkelig grad af fortrolighed.

Artikel 79

Procedure på nationalt plan i tilfælde af AI-systemer, der udgør en risiko

AI-systemer, der udgør en risiko, skal forstås som et »produkt, der udgør en risiko« som defineret i artikel 3, nr. 19),

i forordning (EU) 2019/1020, for så vidt de udgør risici for sundhed eller sikkerhed eller for personers grundlæggende

rettigheder.

Hvis en medlemsstats markedsovervågningsmyndighed har tilstrækkelig grund til at mene, at et AI-system udgør en

risiko som omhandlet i denne artikels stk. 1, foretager den en evaluering af det pågældende AI-system for så vidt angår dets

overholdelse af alle de krav og forpligtelser, der er fastsat i denne forordning. Der lægges særlig vægt på AI-systemer, der

udgør en risiko for sårbare grupper. Hvis der identificeres risici for grundlæggende rettigheder, underretter

markedsovervågningsmyndigheden også de relevante nationale offentlige myndigheder eller organer, der er omhandlet

i artikel 77, stk. 1, og samarbejder fuldt ud med dem. De relevante operatører samarbejder om nødvendigt med

markedsovervågningsmyndigheden og med de andre nationale offentlige myndigheder eller organer, der er omhandlet

i artikel 77, stk. 1.

(

)

Europa-Parlamentets og Rådets direktiv (EU) 2016/943 af 8. juni 2016 om beskyttelse af fortrolig knowhow og fortrolige

forretningsoplysninger (forretningshemmeligheder) mod ulovlig erhvervelse, brug og videregivelse (EUT L 157 af 15.6.2016, s. 1).

106/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

Hvis markedsovervågningsmyndigheden i forbindelse med evalueringen eller i givet fald i samarbejde med den nationale

offentlige myndighed, der er omhandlet i artikel 77, stk. 1, konstaterer, at AI-systemet ikke overholder kravene og

forpligtelserne i denne forordning, anmoder den uden unødigt ophold den pågældende operatør om at foretage alle

fornødne korrigerende tiltag til at sørge for, at AI-systemet overholder kravene og forpligtelserne, tilbagetrække AI-systemet

fra markedet eller tilbagekalde det inden for en tidsfrist, som markedsovervågningsmyndigheden kan fastsætte, og under alle

omstændigheder inden for 15 arbejdsdage eller som fastsat i den relevante EU-harmoniseringslovgivning.

Markedsovervågningsmyndigheden skal underrette det relevante bemyndigede organ herom. Artikel 18 i forordning

(EU) 2019/1020 finder anvendelse på de i dette stykkes andet afsnit omhandlede foranstaltninger.

Hvis markedsovervågningsmyndigheden konstaterer, at den manglende overholdelse ikke er begrænset til

medlemsstatens område, underretter den uden unødigt ophold Kommissionen og de øvrige medlemsstater om resultaterne

af evalueringen og om de tiltag, den har pålagt operatøren at foretage.

Operatøren sikrer, at der foretages alle fornødne korrigerende tiltag over for alle de pågældende AI-systemer, som

denne har gjort tilgængelige EU-markedet.

Hvis AI-systemets operatør ikke foretager tilstrækkelige korrigerende tiltag inden for den frist, der er omhandlet

i stk. 2, træffer markedsovervågningsmyndigheden de nødvendige foreløbige foranstaltninger til at forbyde eller begrænse,

at AI-systemet gøres tilgængeligt på dens nationale marked eller ibrugtages, tilbagetrække produktet eller det selvstændige

AI-system fra dette marked eller tilbagekalde det. Den pågældende myndighed giver uden unødigt ophold Kommissionen

og de øvrige medlemsstater meddelelse om disse foranstaltninger.

Den i stk. 5 omhandlede underretning skal indeholde alle tilgængelige oplysninger, navnlig de nødvendige

oplysninger til identifikation af det AI-system, der ikke overholder kravene, AI-systemets og forsyningskædens oprindelse,

arten af den påståede manglende overholdelse og af den pågældende risiko, arten og varigheden af de trufne nationale

foranstaltninger samt de synspunkter, som den pågældende operatør har fremsat. Markedsovervågningsmyndighederne

oplyser navnlig, om den manglende overholdelse af kravene skyldes et eller flere af følgende:

a) manglende overholdelse af forbuddet mod de i artikel 5 omhandlede former for AI-praksis

b) et højrisiko-AI-systems manglende opfyldelse af kravene i kapitel III, afdeling 2

c) mangler i de harmoniserede standarder eller fælles specifikationer, der er omhandlet i artikel 40 og 41, og som danner

grundlag for overensstemmelsesformodningen

d) manglende overholdelse af artikel 50.

Andre markedsovervågningsmyndigheder end markedsovervågningsmyndigheden i den medlemsstat, der har indledt

proceduren, underretter uden unødigt ophold Kommissionen og de øvrige medlemsstater om de trufne foranstaltninger og

om yderligere oplysninger, som de måtte råde over, om det pågældende AI-systems manglende overholdelse og om deres

indsigelser, hvis de ikke er indforstået med den meddelte nationale foranstaltning.

Hvis der ikke inden for tre måneder efter modtagelsen af den i denne artikels stk. 5 omhandlede underretning er

blevet gjort indsigelse af enten en markedsovervågningsmyndighed i en medlemsstat eller af Kommissionen mod en

foreløbig foranstaltning truffet af en markedsovervågningsmyndighed i en anden medlemsstat, anses denne foranstaltning

for at være berettiget. Dette berører ikke den pågældende operatørs procedurerettigheder i overensstemmelse med artikel 18

i forordning (EU) 2019/1020. Den periode på tre måneder, der er omhandlet i nærværende stykke, nedsættes til 30 dage

i tilfælde af manglende overholdelse af forbuddet mod de i nærværende forordnings artikel 5 anførte former for AI-praksis.

Markedsovervågningsmyndighederne sikrer, at der uden unødigt ophold træffes de fornødne restriktive

foranstaltninger med hensyn til det pågældende produkt eller AI-system såsom tilbagetrækning af produktet eller

AI-systemet fra deres marked.

Artikel 80

Procedure i tilfælde af AI-systemer, der af udbyderen er klassificeret som ikkehøjrisiko, i forbindelse med

anvendelsen af bilag III

Hvis en markedsovervågningsmyndighed har tilstrækkelig grund til at mene, at et AI-system, der af udbyderen er

klassificeret som ikkehøjrisiko i henhold til artikel 6, stk. 3, faktisk er højrisiko, foretager markedsovervågnings-

myndigheden en evaluering af det pågældende AI-system med hensyn til dets klassificering som et højrisiko-AI-system på

grundlag af de betingelser, der er fastsat i artikel 6, stk. 3, og Kommissionens retningslinjer.

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

107/144

EUT L af 12.7.2024

Hvis markedsovervågningsmyndigheden som led i denne evaluering konstaterer, at det pågældende AI-system er

højrisiko, pålægger den uden unødigt ophold den relevante udbyder at foretage alle fornødne tiltag til at bringe AI-systemet

i overensstemmelse med de krav og forpligtelser, der er fastsat i denne forordning, samt foretage fornødne korrigerende

tiltag inden for en tidsfrist, som markedsovervågningsmyndigheden kan fastsætte.

Hvis markedsovervågningsmyndigheden konstaterer, at anvendelsen af det pågældende AI-system ikke er begrænset til

medlemsstatens område, underretter den uden unødigt ophold Kommissionen og de øvrige medlemsstater om resultaterne

af evalueringen og om de tiltag, den har pålagt udbyderen at foretage.

Udbyderen sikrer, at der foretages alle de nødvendige tiltag til at bringe AI-systemet i overensstemmelse med kravene

og forpligtelserne i denne forordning. Hvis den pågældende udbyder af et AI-system ikke bringer AI-systemet

i overensstemmelse med disse krav og forpligtelser inden for den tidsfrist, der er omhandlet i denne artikels stk. 2, straffes

udbyderen med bøder i overensstemmelse med artikel 99.

Udbyderen sikrer, at der foretages alle fornødne korrigerende tiltag over for alle de pågældende AI-systemer, som

denne har gjort tilgængelige EU-markedet.

Hvis udbyderen af det pågældende AI-system ikke foretager tilstrækkelige korrigerende tiltag inden for den tidsfrist,

der er omhandlet i denne artikels stk. 2, finder artikel 79, stk. 5-9, anvendelse.

Hvis markedsovervågningsmyndigheden som led i evalueringen i henhold til denne artikels stk. 1 konstaterer, at

AI-systemet er blevet fejlklassificeret af udbyderen som ikkehøjrisiko for at omgå anvendelsen af kravene i kapitel III,

afdeling 2, straffes udbyderen med bøder i overensstemmelse med artikel 99.

Ved udøvelsen af deres beføjelse til at overvåge anvendelsen af denne artikel og i overensstemmelse med artikel 11

i forordning (EU) 2019/1020 kan markedsovervågningsmyndighederne foretage passende kontroller under særlig

hensyntagen til oplysninger, der er lagret i den EU-database, der er omhandlet i nærværende forordnings artikel 71.

Artikel 81

Beskyttelsesprocedure på EU-plan

Hvis markedsovervågningsmyndigheden i en medlemsstat inden for tre måneder efter modtagelsen af den i artikel 79,

stk. 5, omhandlede underretning eller inden for 30 dage i tilfælde af manglende overholdelse af forbuddet mod de i artikel 5

anførte former for AI-praksis har gjort indsigelse mod en foranstaltning truffet af en anden markedsovervågnings-

myndighed, eller hvis Kommissionen finder, at foranstaltningen er i strid med EU-retten, hører Kommissionen uden unødigt

ophold den relevante medlemsstats markedsovervågningsmyndighed og den eller de relevante operatører og evaluerer den

nationale foranstaltning. På grundlag af resultaterne af denne evaluering træffer Kommissionen senest seks måneder efter

den i artikel 79, stk. 5, omhandlede underretning afgørelse om, hvorvidt den nationale foranstaltning er berettiget, eller

inden for 60 dage i tilfælde af manglende overholdelse af forbuddet mod de i artikel 5 anførte former for AI-praksis og

meddeler sin afgørelse til markedsovervågningsmyndigheden i den pågældende medlemsstat. Kommissionen underretter

også alle andre markedsovervågningsmyndigheder om sin afgørelse.

Hvis Kommissionen anser den foranstaltning, der er truffet af den relevante medlemsstat, for at være berettiget, sikrer

alle medlemsstater, at de træffer de fornødne restriktive foranstaltninger med hensyn til det pågældende AI-system, f.eks.

krav om tilbagetrækning af AI-systemet fra deres marked uden unødigt ophold, og underretter Kommissionen herom. Hvis

Kommissionen anser den nationale foranstaltning for ikke at være berettiget, trækker den pågældende medlemsstat

foranstaltningen tilbage og underretter Kommissionen herom.

Hvis den nationale foranstaltning anses for at være berettiget, og hvis AI-systemets manglende overholdelse tilskrives

mangler ved de harmoniserede standarder eller fælles specifikationer, der er omhandlet i denne forordnings artikel 40 og

41, anvender Kommissionen proceduren i artikel 11 i forordning (EU) nr. 1025/2012.

Artikel 82

AI-systemer, som overholder kravene, men som udgør en risiko

Hvis en medlemsstats markedsovervågningsmyndighed efter at have foretaget en vurdering i henhold til artikel 79 og

efter høring af den relevante nationale offentlige myndighed, der er omhandlet i artikel 77, stk. 1, finder, at et

højrisiko-AI-system, selv om det overholder kravene i denne forordning, alligevel udgør en risiko for personers sundhed

eller sikkerhed, for grundlæggende rettigheder eller for andre aspekter vedrørende beskyttelse af samfundsinteresser, skal

den pålægge den relevante operatør uden unødigt ophold at træffe alle nødvendige foranstaltninger for at sikre, at det

pågældende AI-system, når det bringes i omsætning eller ibrugtages, ikke længere udgør en sådan risiko, inden for en

tidsfrist, som den kan fastsætte.

108/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

Udbyderen eller en anden relevant operatør sikrer, at der foretages korrigerende tiltag med hensyn til alle de

pågældende AI-systemer, som vedkommende har gjort tilgængelige på EU-markedet, inden for den tidsfrist, der er fastsat af

medlemsstatens markedsovervågningsmyndighed, der er omhandlet stk. 1.

Medlemsstaterne underretter omgående Kommissionen og de øvrige medlemsstater om resultaterne i henhold til

stk. 1. Denne underretning skal indeholde alle tilgængelige oplysninger, især de nødvendige data til identifikation af de

pågældende AI-systemer, AI-systemets oprindelse og forsyningskæde, arten af den pågældende risiko og arten og

varigheden af de trufne nationale foranstaltninger.

Kommissionen hører uden unødigt ophold de berørte medlemsstater og de relevante operatører og vurderer de trufne

nationale foranstaltninger. På grundlag af resultaterne af denne vurdering træffer Kommissionen afgørelse om, hvorvidt

foranstaltningen er berettiget, og foreslår om nødvendigt andre passende foranstaltninger.

Kommissionen meddeler omgående sin afgørelse til de pågældende medlemsstater og til de relevante operatører. Den

underretter også de øvrige medlemsstater.

Artikel 83

Formel manglende overholdelse

Hvis en medlemsstats markedsovervågningsmyndighed konstaterer et af følgende forhold, pålægger den den

pågældende udbyder at bringe den manglende overholdelse til ophør inden for en tidsfrist, som den kan fastsætte:

a) CE-mærkningen er anbragt i modstrid med artikel 48

b) CE-mærkningen er ikke anbragt

c) den i artikel 47 omhandlede EU-overensstemmelseserklæring er ikke udarbejdet

d) den i artikel 47 omhandlede EU-overensstemmelseserklæring er ikke udarbejdet korrekt

e) den i artikel 71 omhandlede registrering i EU-databasen er ikke foretaget

f) der er, hvor det er relevant, ikke udpeget nogen bemyndiget repræsentant

g) den tekniske dokumentation er ikke tilgængelig.

Hvis der fortsat er tale om manglende overholdelse omhandlet i stk. 1, skal markedsovervågningsmyndigheden i den

pågældende medlemsstat træffe nødvendige og forholdsmæssige foranstaltninger for at begrænse eller forbyde, at

højrisiko-AI-systemet gøres tilgængeligt på markedet, eller for at sikre, at det straks tilbagekaldes eller tilbagetrækkes fra

markedet.

Artikel 84

EU-støttestrukturer for afprøvning af AI

Kommissionen udpeger en eller flere EU-støttestrukturer for afprøvning af AI til at udføre de opgaver, der er anført

i artikel 21, stk. 6, i forordning (EU) 2019/1020 inden for AI.

Uden at det berører de opgaver, der er omhandlet i stk. 1, skal EU-støttestrukturer for afprøvning af AI også yde

uafhængig teknisk eller videnskabelig rådgivning på anmodning af AI-udvalget, Kommissionen eller markedsovervåg-

ningsmyndighederne.

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

109/144

AFDELING 4

EUT L af 12.7.2024

Retsmidler

Artikel 85

Ret til at indgive klage til en markedsovervågningsmyndighed

Uden at det berører andre administrative klageadgange eller adgang til retsmidler, kan enhver fysisk eller juridisk person, der

har grund til at mene, at der er sket en overtrædelse af bestemmelserne i denne forordning, indgive klager til den relevante

markedsovervågningsmyndighed.

I overensstemmelse med forordning (EU) 2019/1020 tages sådanne klager i betragtning med henblik på at udføre

markedsovervågningsaktiviteterne og behandles i overensstemmelse med de særlige procedurer, som markedsovervåg-

ningsmyndighederne har fastlagt dertil.

Artikel 86

Ret til at få en forklaring om individuel beslutningstagning

Enhver berørt person, der er omfattet af en afgørelse truffet af idriftsætteren på grundlag af output fra et

højrisiko-AI-system opført i bilag III, med undtagelse af systemerne opført i nævnte bilags punkt 2, og som har

retsvirkninger eller på tilsvarende måde i væsentlig grad påvirker den pågældende person på en måde, som de anser for at

have negativ indvirkning på vedkommendes sundhed, sikkerhed eller grundlæggende rettigheder, har ret til at få en klar og

meningsfuld forklaring fra idriftsætteren om AI-systemets rolle i beslutningsprocessen og hovedelementerne i den trufne

afgørelse.

Stk. 1 finder ikke anvendelse på anvendelsen af AI-systemer, for hvilke undtagelser fra eller begrænsninger af

forpligtelsen i henhold til nævnte stykke følger af EU-retten eller national ret, der overholder EU-retten.

Denne artikel finder kun anvendelse, for så vidt den i stk. 1 omhandlede ret ikke på anden vis er fastsat i EU-retten.

Artikel 87

Indberetning af overtrædelser og beskyttelse af indberettende personer

Direktiv (EU) 2019/1937 finder anvendelse på indberetning af overtrædelser af denne forordning og på beskyttelsen af

personer, der indberetter sådanne overtrædelser.

AFDELING 5

Tilsyn, undersøgelser, håndhævelse og overvågning i forbindelse med udbydere af AI-modeller til almen brug

Artikel 88

Håndhævelse af forpligtelser for udbydere af AI-modeller til almen brug

Kommissionen har enekompetence til at føre tilsyn med og håndhæve kapitel V under hensyntagen til de

proceduremæssige garantier i henhold til artikel 94. Kommissionen overdrager gennemførelsen af disse opgaver til

AI-kontoret, uden at dette berører Kommissionens organisationsbeføjelser og kompetencefordelingen mellem medlems-

staterne og Unionen på grundlag af traktaterne.

Uden at det berører artikel 75, stk. 3, kan markedsovervågningsmyndighederne anmode Kommissionen om at udøve

de beføjelser, der er fastsat i denne afdeling, hvis dette er nødvendigt og forholdsmæssigt for at bistå med udførelsen af deres

opgaver i henhold til denne forordning.

110/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

Artikel 89

Overvågningstiltag

AI-kontoret kan for at kunne udføre de opgaver, der tildeles det i henhold til denne afdeling, foretage de nødvendige

tiltag for at overvåge, at udbydere af AI-modeller til almen brug gennemfører og overholder denne forordning effektivt,

herunder overholder godkendte praksiskodekser.

Downstreamudbydere har ret til at indgive en klage over en overtrædelse af denne forordning. En klage skal være

behørigt begrundet og som minimum indeholde:

a) kontaktpunktet for udbyderen af den pågældende AI-model til almen brug

b) en beskrivelse af de relevante kendsgerninger, de pågældende bestemmelser i denne forordning og årsagen til, at

downstreamudbyderen mener, at udbyderen af den pågældende AI-model til almen brug har overtrådt denne forordning

c) alle andre oplysninger, som downstreamudbyderen, som sendte anmodningen, anser for relevante, herunder i givet fald

oplysninger indsamlet på eget initiativ.

Artikel 90

Varslinger om systemiske risici fra det videnskabelige panel

Det videnskabelige panel kan sende en kvalificeret varsling til AI-kontoret, hvis det har begrundet mistanke om, at:

a) en AI-model til almen brug udgør en konkret identificerbar risiko på EU-plan, eller

b) en AI-model til almen brug opfylder betingelserne omhandlet i artikel 51.

Efter en sådan kvalificeret varsling kan Kommissionen gennem AI-kontoret og efter at have underrettet AI-udvalget

udøve de beføjelser, der er fastsat i denne afdeling, med henblik på at vurdere sagen. AI-kontoret underretter AI-udvalget

om enhver foranstaltning i henhold til artikel 91-94.

En kvalificeret varsling skal være behørigt begrundet og som minimum indeholde:

a) kontaktpunktet for udbyderen af den pågældende AI-model til almen brug med systemisk risiko

b) en beskrivelse af de relevante kendsgerninger og årsager til varslingen fra det videnskabelige panel

c) alle andre oplysninger, som det videnskabelige panel anser for relevante, herunder i givet fald oplysninger indsamlet på

eget initiativ.

Artikel 91

Beføjelse til at anmode om dokumentation og oplysninger

Kommissionen kan anmode udbyderen af den pågældende AI-model til almen brug om at stille den dokumentation til

rådighed, som udbyderen har udarbejdet i overensstemmelse med artikel 53 og 55, eller eventuelle yderligere oplysninger,

som er nødvendige for at vurdere, om udbyderen overholder denne forordning.

Inden anmodningen om oplysninger sendes, kan AI-kontoret indlede en struktureret dialog med udbyderen af

AI-modellen til almen brug.

Efter en behørigt begrundet anmodning fra det videnskabelige panel kan Kommissionen fremsætte en anmodning om

oplysninger til en udbyder af en AI-model til almen brug, hvis adgangen til oplysninger er nødvendig og forholdsmæssig for

udførelsen af det videnskabelige panels opgaver i henhold til artikel 68, stk. 2.

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

111/144

EUT L af 12.7.2024

Anmodningen om oplysninger skal angive retsgrundlaget og formålet med anmodningen, præcisere, hvilke

oplysninger der anmodes om, fastsætte tidsfristen, inden for hvilken oplysningerne skal fremlægges, og angive de bøder, der

er fastsat i artikel 101, for at afgive ukorrekte, ufuldstændige eller vildledende oplysninger.

Udbyderen af den pågældende AI-model til almen brug eller dennes repræsentant skal afgive de oplysninger, der

anmodes om. Såfremt det drejer sig om juridiske personer, selskaber eller firmaer, eller hvis udbyderen ikke har status som

juridisk person, skal de personer, som ved lov eller ifølge deres vedtægter har beføjelse til at repræsentere dem, afgive de

oplysninger, der anmodes om på vegne af udbyderen af den pågældende AI-model til almen brug. Behørigt

befuldmægtigede advokater kan afgive oplysninger på deres klienters vegne. Klienterne bærer dog det fulde ansvar,

såfremt de afgivne oplysninger er ufuldstændige, ukorrekte eller vildledende.

Artikel 92

Beføjelse til at foretage evalueringer

AI-kontoret kan efter høring af AI-udvalget foretage evalueringer af den pågældende AI-model til almen brug:

a) med henblik på at vurdere, om udbyderen overholder forpligtelserne i henhold til denne forordning, hvis de indsamlede

oplysninger i henhold til artikel 91 er utilstrækkelige, eller

b) med henblik på at undersøge systemiske risici på EU-plan for AI-modeller til almen brug med systemisk risiko, navnlig

efter en kvalificeret varsling fra det videnskabelige panel i overensstemmelse med artikel 90, stk. 1, litra a).

Kommissionen kan beslutte at udpege uafhængige eksperter til at foretage evalueringer på dens vegne, herunder fra

det videnskabelige panel, der er oprettet i henhold til artikel 68. Uafhængige eksperter, der udpeges til denne opgave, skal

opfylde kriterierne anført i artikel 68, stk. 2.

Med henblik på stk. 1 kan Kommissionen anmode om adgang til den pågældende AI-model til almen brug via API'er

eller andre hensigtsmæssige tekniske midler og værktøjer, herunder kildekode.

Anmodningen om adgang skal angive retsgrundlaget, formålet med og begrundelsen for anmodningen og fastsætte

tidsfristen, inden for hvilken der skal gives adgang, samt bøder, der er fastsat i artikel 101, ved manglende adgang.

Udbydere af den pågældende AI-model til almen brug eller dennes repræsentant skal afgive de oplysninger, der

anmodes om. Såfremt det drejer sig om juridiske personer, selskaber eller firmaer, eller hvis udbyderen ikke har status som

juridisk person, skal de personer, som ved lov eller ifølge deres vedtægter har beføjelse til at repræsentere dem, give den

adgang, der anmodes om på vegne af udbyderen af den pågældende AI-model til almen brug.

Kommissionen vedtager gennemførelsesretsakter, der fastsætter de nærmere ordninger og bestemmelser og betingelser

for evalueringerne, herunder de nærmere ordninger for inddragelse af uafhængige eksperter, og proceduren for udvælgelse

heraf. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 98, stk. 2.

Inden der anmodes om adgang til den pågældende AI-model til almen brug, kan AI-kontoret indlede en struktureret

dialog med udbyderen af AI-modellen til almen brug for at indsamle flere oplysninger om den interne afprøvning af

modellen, interne sikkerhedsforanstaltninger til forebyggelse af systemiske risici og andre interne procedurer og

foranstaltninger, som udbyderen har truffet for at afbøde sådanne risici.

Artikel 93

Beføjelse til at anmode om foranstaltninger

Hvis det er nødvendigt og hensigtsmæssigt, kan Kommissionen anmode udbyderne om at:

a) træffe passende foranstaltninger til at overholde forpligtelserne i artikel 53 og 54

112/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

b) gennemføre afbødende foranstaltninger, hvis den evaluering, der foretages i overensstemmelse med artikel 92, har givet

anledning til alvorlig og begrundet mistanke om en systemisk risiko på EU-plan

c) begrænse tilgængeliggørelsen på markedet, tilbagetrække eller tilbagekalde modellen.

Inden der anmodes om foranstaltninger, kan AI-kontoret indlede en struktureret dialog med udbyderen af

AI-modellen til almen brug.

Hvis udbyderen af AI-modellen til almen brug med systemisk risiko under den strukturerede dialog, der er omhandlet

i stk. 2, afgiver tilsagn om at gennemføre afbødende foranstaltninger for at afhjælpe en systemisk risiko på EU-plan, kan

Kommissionen ved en afgørelse gøre disse tilsagn bindende og erklære, at der ikke er yderligere grundlag for handling.

Artikel 94

Erhvervsdrivendes procedurerettigheder i forbindelse med AI-modellen til almen brug

Artikel 18 i forordning (EU) 2019/1020 finder tilsvarende anvendelse på udbydere af AI-modellen til almen brug, uden at

dette berører de mere specifikke procedurerettigheder, som er fastsat i nærværende forordning.

KAPITEL X

ADFÆRDSKODEKSER OG RETNINGSLINJER

Artikel 95

Adfærdskodekser for frivillig anvendelse af specifikke krav

AI-kontoret og medlemsstaterne tilskynder til og letter udarbejdelsen af adfærdskodekser, herunder tilhørende

forvaltningsmekanismer, der har til formål at fremme frivillig anvendelse af visse af eller alle de i kapitel III, afdeling 2,

fastsatte krav på AI-systemer, der ikke er højrisiko-AI-systemer, under hensyntagen til de tilgængelige tekniske løsninger og

industriens bedste praksis, der gør det muligt at anvende sådanne krav.

AI-kontoret og medlemsstaterne letter udarbejdelsen af adfærdskodekser vedrørende frivillig anvendelse, herunder fra

idriftsætternes side, af specifikke krav til alle AI-systemer på grundlag af klare mål og centrale resultatindikatorer til måling

af realiseringen af disse mål, herunder elementer såsom, men ikke begrænset til:

a) relevante elementer fastsat i Unionens etiske retningslinjer for troværdig AI

b) vurdering og minimering af AI-systemers indvirkning på miljømæssig bæredygtighed, herunder med hensyn til

energieffektiv programmering og teknikker til effektiv udformning, træning og anvendelse af AI

c) fremme af AI-færdigheder, navnlig hos personer, der beskæftiger sig med udvikling, drift og anvendelse af AI

d) fremme af en inklusiv og mangfoldig udformning af AI-systemer, herunder gennem oprettelse af inklusive og

mangfoldige udviklingsteams og fremme af interessenters inddragelse i denne proces

e) vurdering og forebyggelse af, at AI-systemer har negativ indvirkning på sårbare personer eller grupper af sårbare

personer, herunder for så vidt angår tilgængelighed for personer med handicap, samt på ligestilling mellem kønnene.

Adfærdskodekser kan udarbejdes af individuelle udbydere eller idriftsættere af AI-systemer, af organisationer, der

repræsenterer dem, eller af begge, herunder med inddragelse af eventuelle interesserede parter og deres repræsentative

organisationer, herunder civilsamfundsorganisationer og den akademiske verden. Adfærdskodekser kan omfatte et eller

flere AI-systemer under hensyntagen til ligheden mellem de relevante systemers tilsigtede formål.

Når AI-kontoret og medlemsstaterne tilskynder til og letter udarbejdelsen af adfærdskodekser, tager de hensyn til

SMV'ers, herunder iværksættervirksomheders, særlige interesser og behov.

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

113/144

Artikel 96

Retningslinjer fra Kommissionen om gennemførelsen af denne forordning

EUT L af 12.7.2024

Kommissionen udarbejder retningslinjer for den praktiske gennemførelse af denne forordning, navnlig for:

a) anvendelsen af de krav og forpligtelser, der er omhandlet i artikel 8-15 og artikel 25

b) de forbudte former for praksis, der er omhandlet i artikel 5

c) den praktiske gennemførelse af bestemmelserne om væsentlig ændring

d) den praktiske gennemførelse af gennemsigtighedsforpligtelserne i artikel 50

e) detaljerede oplysninger om forholdet mellem denne forordning og EU-harmoniseringslovgivningen, der er opført

i bilag I, samt anden relevant EU-ret, herunder for så vidt angår konsekvens i håndhævelsen deraf

f) anvendelsen af definitionen af et AI-system som fastsat i artikel 3, nr. 1).

Når Kommissionen udsteder sådanne retningslinjer, skal den være særlig opmærksom på behovene hos SMV'er, herunder

iværksættervirksomheder, hos lokale offentlige myndigheder og i sektorer, der med størst sandsynlighed vil blive berørt af

denne forordning.

Der skal med de retningslinjer, der er omhandlet i dette stykkes første afsnit, tages behørigt hensyn til det generelt

anerkendte aktuelle teknologiske niveau inden for AI samt til relevante harmoniserede standarder og fælles specifikationer,

der er omhandlet i artikel 40 og 41, eller til de harmoniserede standarder eller tekniske specifikationer, der er fastsat

i henhold til EU-harmoniseringsretten.

På anmodning af medlemsstaterne eller AI-kontoret eller på eget initiativ ajourfører Kommissionen tidligere vedtagne

retningslinjer, når det skønnes nødvendigt.

KAPITEL XI

DELEGATION AF BEFØJELSER OG UDVALGSPROCEDURE

Artikel 97

Udøvelse af de delegerede beføjelser

Beføjelsen til at vedtage delegerede retsakter tillægges Kommissionen på de i denne artikel fastlagte betingelser.

Beføjelsen til at vedtage delegerede retsakter, jf. artikel 6, stk. 6 og 7, artikel 7, stk. 1 og 3, artikel 11, stk. 3, artikel 43,

stk. 5 og 6, artikel 47, stk. 5, artikel 51, stk. 3, artikel 52, stk. 4, og artikel 53, stk. 5 og 6, tillægges Kommissionen for en

periode på fem år fra den 1. august 2024. Kommissionen udarbejder en rapport vedrørende delegationen af beføjelser

senest ni måneder inden udløbet af femårsperioden. Delegationen af beføjelser forlænges stiltiende for perioder af samme

varighed, medmindre Europa-Parlamentet eller Rådet modsætter sig en sådan forlængelse senest tre måneder inden udløbet

af hver periode.

Den i artikel 6, stk. 6 og 7, artikel 7, stk. 1 og 3, artikel 11, stk. 3, artikel 43, stk. 5 og 6, artikel 47, stk. 5, artikel 51,

stk. 3, artikel 52, stk. 4, og artikel 53, stk. 5 og 6, omhandlede delegation af beføjelser kan til enhver tid tilbagekaldes af

Europa-Parlamentet eller Rådet. En afgørelse om tilbagekaldelse bringer delegationen af de beføjelser, der er angivet i den

pågældende afgørelse, til ophør. Den får virkning dagen efter offentliggørelsen af afgørelsen i

Den Europæiske Unions Tidende

eller på et senere tidspunkt, der angives i afgørelsen. Den berører ikke gyldigheden af delegerede retsakter, der allerede er

i kraft.

Inden vedtagelsen af en delegeret retsakt hører Kommissionen eksperter, som er udpeget af hver enkelt medlemsstat,

i overensstemmelse med principperne i den interinstitutionelle aftale af 13. april 2016 om bedre lovgivning.

114/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

Så snart Kommissionen vedtager en delegeret retsakt, giver den samtidigt Europa-Parlamentet og Rådet meddelelse

herom.

Enhver delegeret retsakt vedtaget i henhold til artikel 6, stk. 6 eller 7, artikel 7, stk. 1 eller 3, artikel 11, stk. 3,

artikel 43, stk. 5 eller 6, artikel 47, stk. 5, artikel 51, stk. 3, artikel 52, stk. 4, eller artikel 53, stk. 5 eller 6, træder kun

i kraft, hvis hverken Europa-Parlamentet eller Rådet har gjort indsigelse inden for en frist på tre måneder fra meddelelsen af

den pågældende retsakt til Europa-Parlamentet og Rådet, eller hvis Europa-Parlamentet og Rådet inden udløbet af denne

frist begge har underrettet Kommissionen om, at de ikke agter at gøre indsigelse. Fristen forlænges med tre måneder på

Europa-Parlamentets eller Rådets initiativ.

Artikel 98

Udvalgsprocedure

Kommissionen bistås af et udvalg. Dette udvalg er et udvalg som omhandlet i forordning (EU) nr. 182/2011.

Når der henvises til dette stykke, finder artikel 5 i forordning (EU) nr. 182/2011 anvendelse.

KAPITEL XII

SANKTIONER

Artikel 99

Sanktioner

I overensstemmelse med de vilkår og betingelser, der er fastsat i denne forordning, fastsætter medlemsstaterne regler

om sanktioner og andre håndhævelsesforanstaltninger, som også kan omfatte advarsler og ikkeøkonomiske

foranstaltninger, for operatørers overtrædelse af denne forordning og træffer alle nødvendige foranstaltninger for at sikre,

at de gennemføres korrekt og effektivt, og dermed tage hensyn til de retningslinjer, som Kommissionen har udstedt

i henhold til artikel 96. Sanktionerne skal være effektive, stå i et rimeligt forhold til overtrædelsen og have afskrækkende

virkning. Der tages hensyn til SMV'ers, herunder iværksættervirksomheders, interesser og deres økonomiske levedygtighed.

Medlemsstaterne giver straks og senest på anvendelsesdatoen Kommissionen meddelelse om reglerne om sanktioner

og andre håndhævelsesforanstaltninger, der er omhandlet i stk. 1, og meddeler den straks enhver efterfølgende ændring

heraf.

Manglende overholdelse af forbud mod de i artikel 5 anførte former for AI-praksis straffes med administrative bøder

på op til 35 000 000 EUR eller, hvis lovovertræderen er en virksomhed, op til 7 % af dens samlede globale årlige omsætning

i det foregående regnskabsår, alt efter hvilket beløb der er størst.

Manglende overholdelse af en af følgende bestemmelser vedrørende operatører eller bemyndigede organer, bortset fra

de bestemmelser, der er fastsat i artikel 5, straffes med administrative bøder på op til 15 000 000 EUR eller, hvis

lovovertræderen er en virksomhed, op til 3 % af dens samlede globale årlige omsætning i det foregående regnskabsår, alt

efter hvilket beløb der er størst:

a) forpligtelser for udbydere i henhold til artikel 16

b) forpligtelser for bemyndigede repræsentanter i henhold til artikel 22

c) forpligtelser for importører i henhold til artikel 23

d) forpligtelser for distributører i henhold til artikel 24

e) forpligtelser for idriftsættere i henhold til artikel 26

f) krav til og forpligtelser for bemyndigede organer i henhold til artikel 31, artikel 33, stk. 1, 3 og 4, eller artikel 34

g) gennemsigtighedsforpligtelser for udbydere og idriftsættere i henhold til artikel 50.

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

115/144

EUT L af 12.7.2024

Afgivelse af ukorrekte, ufuldstændige eller vildledende oplysninger til bemyndigede organer eller nationale

kompetente myndigheder som svar på en anmodning straffes med administrative bøder på op til 7 500 000 EUR eller, hvis

lovovertræderen er en virksomhed, op til 1 % af dens samlede globale årlige omsætning i det foregående regnskabsår, alt

efter hvilket beløb der er størst.

For SMV'er, herunder iværksættervirksomheder, skal hver bøde, der er omhandlet i denne artikel, være op til den

procentsats eller det beløb, der er omhandlet i stk. 3, 4 og 5, alt efter hvilken af dem der er lavest.

Når der træffes afgørelse om, hvorvidt der skal pålægges en administrativ bøde, og ved fastsættelsen af den

administrative bødes størrelse tages der i hvert enkelt tilfælde hensyn til alle relevante omstændigheder i den specifikke

situation, og der tages i relevant omfang hensyn til følgende:

a) overtrædelsens art, grovhed og varighed samt dens konsekvenser under hensyntagen til formålet med AI-systemet samt,

hvis det er relevant, antallet af berørte personer og omfanget af den skade, de har lidt

b) hvorvidt andre markedsovervågningsmyndigheder allerede har pålagt den samme operatør administrative bøder for

samme overtrædelse

c) hvorvidt andre myndigheder allerede har pålagt den samme operatør administrative bøder for overtrædelser af anden

EU-ret eller national ret, når sådanne overtrædelser skyldes den samme aktivitet eller undladelse, der udgør en relevant

overtrædelse af denne forordning

d) størrelsen på den operatør, der har begået overtrædelsen, og dennes årlige omsætning og markedsandel

e) om der er andre skærpende eller formildende faktorer ved sagens omstændigheder såsom opnåede økonomiske fordele

eller undgåede tab som direkte eller indirekte følge af overtrædelsen

f) graden af samarbejde med de nationale kompetente myndigheder for at afhjælpe overtrædelsen og begrænse de negative

konsekvenser, som overtrædelsen måtte have givet anledning til

g) graden af ansvar hos operatøren under hensyntagen til de tekniske og organisatoriske foranstaltninger, som

vedkommende har gennemført

h) den måde, hvorpå de nationale kompetente myndigheder fik kendskab til overtrædelsen, navnlig om operatøren har

underrettet om overtrædelsen, og i givet fald i hvilket omfang

i) hvorvidt overtrædelsen blev begået forsætligt eller uagtsomt

j) ethvert tiltag fra operatørens side for at afbøde skaden på de pågældende personer.

Hver medlemsstat fastsætter regler om, i hvilket omfang administrative bøder kan pålægges offentlige myndigheder og

organer, der er etableret i den pågældende medlemsstat.

Afhængigt af medlemsstaternes retssystem kan reglerne om administrative bøder anvendes på en sådan måde, at

bøderne pålægges af kompetente nationale domstole eller af andre organer, alt efter hvad der er relevant i disse

medlemsstater. Anvendelsen af disse regler i disse medlemsstater har tilsvarende virkning.

10.

Udøvelse af beføjelser i henhold til denne artikel skal være underlagt fornødne proceduremæssige sikker-

hedsforanstaltninger i overensstemmelse med EU-retten og national ret, herunder effektive retsmidler og retfærdig

procedure.

11.

Medlemsstaterne aflægger årligt rapport til Kommissionen om de administrative bøder, de har udstedt i løbet af det

pågældende år, i overensstemmelse med denne artikel, og om eventuelle dermed forbundne tvister eller retssager.

Artikel 100

Administrative bøder til EU-institutioner, -organer, -kontorer og -agenturer

Den Europæiske Tilsynsførende for Databeskyttelse kan pålægge de EU-institutioner, -organer, -kontorer og

-agenturer, der er omfattet af denne forordnings anvendelsesområde, administrative bøder. Når der træffes afgørelse om,

hvorvidt der skal pålægges en administrativ bøde, og ved fastsættelsen af den administrative bødes størrelse tages der i hvert

enkelt tilfælde hensyn til alle relevante omstændigheder i den specifikke situation, og der tages behørigt hensyn til følgende:

116/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

a) overtrædelsens art, grovhed og varighed samt dens konsekvenser, under hensyntagen til formålet med det pågældende

AI-system, samt, hvis det er relevant, antallet af berørte personer og omfanget af den skade, de har lidt

b) graden af ansvar hos EU-institutionen, -organet, -kontoret eller -agenturet under hensyntagen til de tekniske og

organisatoriske foranstaltninger, som de har gennemført

c) ethvert tiltag, der foretages af EU-institutionen, -organet, -kontoret eller -agenturet for at afhjælpe den skade, som de

berørte personer har lidt

d) graden af samarbejde med Den Europæiske Tilsynsførende for Databeskyttelse med henblik på at afhjælpe overtrædelsen

og afbøde de mulige negative virkninger af overtrædelsen, herunder overholdelse af enhver af de foranstaltninger, som

Den Europæiske Tilsynsførende for Databeskyttelse tidligere har pålagt den pågældende EU-institution eller det

pågældende EU-organ, -kontor eller -agentur med hensyn til samme genstand

e) eventuelle lignende overtrædelser, som den pågældende EU-institution eller det pågældende EU-organ, EU-kontor eller

EU-agentur tidligere har begået

f) den måde, hvorpå Den Europæiske Tilsynsførende for Databeskyttelse fik kendskab til overtrædelsen, navnlig om den

pågældende EU-institution eller det pågældende EU-organ, -kontor eller -agentur gav underretning om overtrædelsen, og

i givet fald i hvilket omfang

g) EU-institutionens, -organets, -kontorets eller -agenturets årlige budget.

Manglende overholdelse af forbuddet mod de i artikel 5 anførte former for AI-praksis straffes med administrative

bøder på op til 1 500 000 EUR.

AI-systemets manglende overholdelse af ethvert krav eller enhver forpligtelse i henhold til denne forordning, bortset

fra kravene i artikel 5, straffes med administrative bøder på op til 750 000 EUR.

Inden der træffes afgørelse i henhold til denne artikel, giver Den Europæiske Tilsynsførende for Databeskyttelse den

pågældende EU-institution eller det pågældende EU-organ, -kontor eller -agentur, der er genstand for de procedurer, som

gennemføres af Den Europæiske Tilsynsførende for Databeskyttelse, mulighed for at blive hørt om genstanden for den

mulige overtrædelse. Den Europæiske Tilsynsførende for Databeskyttelse baserer udelukkende sine afgørelser på elementer

og forhold, som de berørte parter har haft mulighed for at fremsætte bemærkninger til. Eventuelle klagere inddrages i vid

udstrækning i proceduren.

De deltagende parters ret til forsvar skal sikres fuldt ud i procedureforløbet. De har ret til aktindsigt i Den Europæiske

Tilsynsførende for Databeskyttelses sagsakter med forbehold af fysiske personers eller virksomheders berettigede interesse

i at beskytte deres personoplysninger eller forretningshemmeligheder.

Midler, der er indsamlet ved pålæg af bøder i henhold til denne artikel, bidrager til Unionens almindelige budget.

Bøderne berører ikke den effektive funktion af den EU-institution eller det EU-organ, -kontor eller -agentur, der er blevet

pålagt bøden.

Den Europæiske Tilsynsførende for Databeskyttelse underretter hvert år Kommissionen om de administrative bøder,

den har pålagt i henhold til denne artikel, og om eventuelle tvister eller retssager, den har indledt.

Artikel 101

Bøder til udbydere af AI-modeller til almen brug

Kommissionen kan pålægge udbydere af AI-modeller til almen brug bøder på op til 3 % af deres årlige samlede globale

omsætning i det foregående regnskabsår eller 15 000 000 EUR, alt efter hvilket beløb der er størst, når Kommissionen

finder, at udbyderen forsætligt eller uagtsomt:

a) har overtrådt de relevante bestemmelser i denne forordning

b) har undladt at efterkomme en anmodning om et dokument eller om oplysninger i henhold til artikel 91 eller har afgivet

ukorrekte, ufuldstændige eller vildledende oplysninger

c) har undladt at efterkomme en foranstaltning, der er anmodet om i henhold til artikel 93

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

117/144

EUT L af 12.7.2024

d) har undladt at give Kommissionen adgang til AI-modellen til almen brug eller AI-modellen til almen brug med systemisk

risiko med henblik på at foretage en evaluering i henhold til artikel 92.

Ved fastsættelse af bødens eller tvangsbødens størrelse tages overtrædelsens karakter, alvor og varighed i betragtning under

behørig hensyntagen til proportionalitets- og rimelighedsprincippet. Kommissionen tager også hensyn til forpligtelser, der

er indgået i overensstemmelse med artikel 93, stk. 3, eller i de relevante praksiskodekser i overensstemmelse med artikel 56.

Inden Kommissionen vedtager afgørelsen i henhold til stk. 1, meddeler den sine foreløbige resultater til udbyderen af

AI-modellen til almen brug og giver vedkommende mulighed for at blive hørt.

Bøder, der pålægges i overensstemmelse med denne artikel, skal være effektive, stå i et rimeligt forhold til

overtrædelsen og have afskrækkende virkning.

Information om de bøder, der pålægges i henhold til denne artikel, meddeles også AI-udvalget, alt efter hvad der er

relevant.

EU-Domstolen har fuld prøvelsesret med hensyn til Kommissionens afgørelser om fastsættelse af bøder i henhold til

denne artikel. Den kan annullere, nedsætte eller forhøje den pålagte bøde.

Kommissionen vedtager gennemførelsesretsakter med de nærmere ordninger og proceduremæssige sikkerhedsfor-

anstaltninger for procedurerne med henblik på eventuel vedtagelse af afgørelser i henhold til denne artikels stk. 1. Disse

gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 98, stk. 2.

KAPITEL XIII

AFSLUTTENDE BESTEMMELSER

Artikel 102

Ændring af forordning (EF) nr. 300/2008

I artikel 4, stk. 3, i forordning (EF) nr. 300/2008, tilføjes følgende afsnit:

»Når der vedtages detaljerede foranstaltninger vedrørende tekniske specifikationer og procedurer for godkendelse og brug af

sikkerhedsudstyr vedrørende kunstig intelligens-systemer som omhandlet i Europa-Parlamentets og Rådets forordning

(EU) 2024/1689 (*), skal der tages hensyn til kravene i nævnte forordnings kapital III, afdeling 2.

(*)

Europa-Parlamentets og Rådets forordning (EU) 2024/1689 af 13. juni 2024 om harmoniserede regler for kunstig

intelligens og om ændring af forordning (EF) nr. 300/2008, (EU) nr. 167/2013, (EU) nr. 168/2013, (EU) 2018/858,

(EU) 2018/1139 og (EU) 2019/2144 samt direktiv 2014/90/EU, (EU) 2016/797 og (EU) 2020/1828 (forordningen

om kunstig intelligens) (EUT L, 2024/1689, 12.7.2024, ELI: http://data.europa.eu/eli/reg/2024/1689/oj).«

Artikel 103

Ændring af forordning (EU) nr. 167/2013

I artikel 17, stk. 5, i forordning (EU) nr. 167/2013 tilføjes følgende afsnit:

»Når der i henhold til første afsnit vedtages delegerede retsakter vedrørende kunstig intelligens-systemer, som er

sikkerhedskomponenter som omhandlet i Europa-Parlamentets og Rådets forordning (EU) 2024/1689 (*), skal der tages

hensyn til kravene i nævnte forordnings kapitel III, afdeling 2.

(*)

Europa-Parlamentets og Rådets forordning (EU) 2024/1689 af 13. juni 2024 om harmoniserede regler for kunstig

intelligens og om ændring af forordning (EF) nr. 300/2008, (EU) nr. 167/2013, (EU) nr. 168/2013, (EU) 2018/858,

(EU) 2018/1139 og (EU) 2019/2144 samt direktiv 2014/90/EU, (EU) 2016/797 og (EU) 2020/1828 (forordningen

om kunstig intelligens) (EUT L, 2024/1689, 12.7.2024, ELI: http://data.europa.eu/eli/reg/2024/1689/oj).«

118/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

Artikel 104

Ændring af forordning (EU) nr. 168/2013

I artikel 22, stk. 5, i forordning (EU) nr. 168/2013 tilføjes følgende afsnit:

»Når der i henhold til første afsnit vedtages delegerede retsakter vedrørende kunstig intelligens-systemer, som er

sikkerhedskomponenter som omhandlet i Europa-Parlamentets og Rådets forordning (EU) 2024/1689 (*), skal der tages

hensyn til kravene i nævnte forordnings kapitel III, afdeling 2.

(*)

Europa-Parlamentets og Rådets forordning (EU) 2024/1689 af 13. juni 2024 om harmoniserede regler for kunstig

intelligens og om ændring af forordning (EF) nr. 300/2008, (EU) nr. 167/2013, (EU) nr. 168/2013, (EU) 2018/858,

(EU) 2018/1139 og (EU) 2019/2144 samt direktiv 2014/90/EU, (EU) 2016/797 og (EU) 2020/1828 (forordningen

om kunstig intelligens) (EUT L, 2024/1689, 12.7.2024, ELI: http://data.europa.eu/eli/reg/2024/1689/oj).«

Artikel 105

Ændring af direktiv 2014/90/EU

I artikel 8 i direktiv 2014/90/EU tilføjes følgende stykke:

»5.

For så vidt angår kunstig intelligens-systemer, som er sikkerhedskomponenter som omhandlet i Europa-Parlamentets

og Rådets forordning (EU) 2024/1689 (*), tager Kommissionen, når den udfører sine aktiviteter i henhold til stk. 1, og når

den vedtager tekniske specifikationer og afprøvningsstandarder i overensstemmelse med stk. 2 og 3, hensyn til kravene

i nævnte forordnings kapitel III, afdeling 2.

(*)

Europa-Parlamentets og Rådets forordning (EU) 2024/1689 af 13. juni 2024 om harmoniserede regler for kunstig

intelligens og om ændring af forordning (EF) nr. 300/2008, (EU) nr. 167/2013, (EU) nr. 168/2013, (EU) 2018/858,

(EU) 2018/1139 og (EU) 2019/2144 samt direktiv 2014/90/EU, (EU) 2016/797 og (EU) 2020/1828 (forordningen

om kunstig intelligens) (EUT L, 2024/1689, 12.7.2024, ELI: http://data.europa.eu/eli/reg/2024/1689/oj).«

Artikel 106

Ændring af direktiv (EU) 2016/797

I artikel 5 i direktiv (EU) 2016/797 tilføjes følgende stykke:

»12.

Når der i henhold til stk. 1 vedtages delegerede retsakter eller i henhold til stk. 11 vedtages gennemførelsesretsakter

vedrørende kunstig intelligens-systemer, som er sikkerhedskomponenter som omhandlet i Europa-Parlamentets og Rådets

forordning (EU) 2024/1689 (*), skal der tages hensyn til kravene i nævnte forordnings kapitel III, afdeling 2.

(*)

Europa-Parlamentets og Rådets forordning (EU) 2024/1689 af 13. juni 2024 om harmoniserede regler for kunstig

intelligens og om ændring af forordning (EF) nr. 300/2008, (EU) nr. 167/2013, (EU) nr. 168/2013, (EU) 2018/858,

(EU) 2018/1139 og (EU) 2019/2144 samt direktiv 2014/90/EU, (EU) 2016/797 og (EU) 2020/1828 (forordningen

om kunstig intelligens) (EUT L, 2024/1689, 12.7.2024, ELI: http://data.europa.eu/eli/reg/2024/1689/oj).«

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

119/144

Artikel 107

Ændring af forordning (EU) 2018/858

I artikel 5 i forordning (EU) 2018/858 tilføjes følgende stykke:

EUT L af 12.7.2024

»4.

Når der i henhold til stk. 3 vedtages delegerede retsakter vedrørende kunstig intelligens-systemer, som er

sikkerhedskomponenter som omhandlet i Europa-Parlamentets og Rådets forordning (EU) 2024/1689 (*), skal der tages

hensyn til kravene i nævnte forordnings kapitel III, afdeling 2.

(*)

Europa-Parlamentets og Rådets forordning (EU) 2024/1689 af 13. juni 2024 om harmoniserede regler for kunstig

intelligens og om ændring af forordning (EF) nr. 300/2008, (EU) nr. 167/2013, (EU) nr. 168/2013, (EU) 2018/858,

(EU) 2018/1139 og (EU) 2019/2144 samt direktiv 2014/90/EU, (EU) 2016/797 og (EU) 2020/1828 (forordningen

om kunstig intelligens) (EUT L, 2024/1689, 12.7.2024, ELI: http://data.europa.eu/eli/reg/2024/1689/oj).«

Artikel 108

Ændring af forordning (EU) 2018/1139

I forordning (EU) 2018/1139 foretages følgende ændringer:

1) I artikel 17 tilføjes følgende stykke:

»3.

Uden at det berører stk. 2, når der i henhold til stk. 1 vedtages gennemførelsesretsakter vedrørende kunstig

intelligens-systemer, som er sikkerhedskomponenter som omhandlet i Europa-Parlamentets og Rådets forordning

(EU) 2024/1689 (*), skal der tages hensyn til kravene i nævnte forordnings kapitel III, afdeling 2.

(*)

Europa-Parlamentets og Rådets forordning (EU) 2024/1689 af 13. juni 2024 om harmoniserede regler for kunstig

intelligens og om ændring af forordning (EF) nr. 300/2008, (EU) nr. 167/2013, (EU) nr. 168/2013,

(EU) 2018/858, (EU) 2018/1139 og (EU) 2019/2144 samt direktiv 2014/90/EU, (EU) 2016/797 og

(EU) 2020/1828 (forordningen om kunstig intelligens) (EUT L, 2024/1689, 12.7.2024, ELI: http://data.europa.

eu/eli/reg/2024/1689/oj).«

2) I artikel 19 tilføjes følgende stykke:

»4.

Når der i henhold til stk. 1 og 2 vedtages delegerede retsakter vedrørende kunstig intelligens-systemer, som er

sikkerhedskomponenter som omhandlet i forordning (EU) 2024/1689, skal der tages hensyn til kravene i nævnte

forordnings kapitel III, afdeling 2.«

3) I artikel 43 tilføjes følgende stykke:

»4.

Når der i henhold til stk. 1 vedtages gennemførelsesretsakter vedrørende kunstig intelligens-systemer, som er

sikkerhedskomponenter som omhandlet i forordning (EU) 2024/1689, skal der tages hensyn til kravene i nævnte

forordnings kapitel III, afdeling 2.«

4) I artikel 47 tilføjes følgende stykke:

»3.

Når der i henhold til stk. 1 og 2 vedtages delegerede retsakter vedrørende kunstig intelligens-systemer, som er

sikkerhedskomponenter som omhandlet i forordning (EU) 2024/1689, skal der tages hensyn til kravene i nævnte

forordnings kapitel III, afdeling 2.«

5) I artikel 57 tilføjes følgende afsnit:

»Når der vedtages sådanne gennemførelsesretsakter vedrørende kunstig intelligens-systemer, som er sikkerhedskom-

ponenter som omhandlet i forordning (EU) 2024/1689, skal der tages hensyn til kravene i nævnte forordnings

kapitel III, afdeling 2.«

120/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

6) I artikel 58 tilføjes følgende stykke:

»3.

Når der i henhold til stk. 1 og 2 vedtages delegerede retsakter vedrørende kunstig intelligens-systemer, som er

sikkerhedskomponenter som omhandlet i forordning (EU) 2024/1689, skal der tages hensyn til kravene i nævnte

forordnings kapitel III, afdeling 2.«

Artikel 109

Ændring af forordning (EU) 2019/2144

I artikel 11 i forordning (EU) 2019/2144 tilføjes følgende stykke:

»3.

Når der i henhold til stk. 2 vedtages gennemførelsesretsakter vedrørende kunstig intelligens-systemer, som er

sikkerhedskomponenter som omhandlet i Europa-Parlamentets og Rådets forordning (EU) 2024/1689 (*), skal der tages

hensyn til kravene i nævnte forordning kapitel III, afdeling 2.

(*)

Europa-Parlamentets og Rådets forordning (EU) 2024/1689 af 13. juni 2024 om harmoniserede regler for kunstig

intelligens og om ændring af forordning (EF) nr. 300/2008, (EU) nr. 167/2013, (EU) nr. 168/2013, (EU) 2018/858,

(EU) 2018/1139 og (EU) 2019/2144 samt direktiv 2014/90/EU, (EU) 2016/797 og (EU) 2020/1828 (forordningen

om kunstig intelligens) (EUT L, 2024/1689, 12.7.2024, ELI: http://data.europa.eu/eli/reg/2024/1689/oj).«

Artikel 110

Ændring af direktiv (EU) 2020/1828

I bilag I til Europa-Parlamentets og Rådets direktiv (EU) 2020/1828 (

) tilføjes følgende punkt:

»68) Europa-Parlamentets og Rådets forordning (EU) 2024/1689 af 13. juni 2024 om harmoniserede regler for kunstig

intelligens og om ændring af forordning (EF) nr. 300/2008, (EU) nr. 167/2013, (EU) nr. 168/2013, (EU) 2018/858,

(EU) 2018/1139 og (EU) 2019/2144 samt direktiv 2014/90/EU, (EU) 2016/797 og (EU) 2020/1828 (forordningen

om kunstig intelligens) (EUT L, 2024/1689, 12.7.2024, ELI: http://data.europa.eu/eli/reg/2024/1689/oj).«

Artikel 111

AI-systemer, der allerede er bragt i omsætning eller ibrugtaget, og AI-modeller til almen brug, der allerede er

bragt i omsætning

Uden at det berører anvendelsen af artikel 5 som omhandlet i artikel 113, stk. 3, litra a), skal AI-systemer, som er

komponenter i de store IT-systemer, der er oprettet ved de retsakter, der er opført i bilag X, og som er blevet bragt

i omsætning eller ibrugtaget inden den 2. august 2027, bringes i overensstemmelse med denne forordning senest den

31. december 2030.

De krav, der er fastsat i denne forordning, skal tages i betragtning ved den evaluering, som skal foretages i henhold til de

retsakter, der er opført i bilag X, af hvert af de store IT-systemer, der er oprettet ved disse retsakter, og hvis disse retsakter

erstattes eller ændres.

Uden at det berører anvendelsen af artikel 5 som omhandlet i artikel 113, stk. 3, litra a), finder denne forordning kun

anvendelse på operatører af andre højrisiko-AI-systemer end de systemer, der er omhandlet i nærværende artikels stk. 1, og

som er bragt i omsætning eller ibrugtaget inden den 2. august 2026, hvis disse systemer fra denne dato er genstand for

betydelige ændringer af deres udformning. I alle tilfælde skal udbydere og idriftsættere af højrisiko-AI-systemer, der tilsigtes

anvendt af offentlige myndigheder, tage de nødvendige skridt til at overholde kravene og forpligtelserne i denne forordning

senest den 2. august 2030.

Udbydere af AI-modeller til almen brug, der er bragt i omsætning før den 2. august 2025, tager de nødvendige skridt

til at overholde de forpligtelser, der er fastsat i denne forordning, senest den 2. august 2027.

(

)

Europa-Parlamentets og Rådets direktiv (EU) 2020/1828 af 25. november 2020 om adgang til anlæggelse af gruppesøgsmål til

beskyttelse af forbrugernes kollektive interesser og om ophævelse af direktiv 2009/22/EF (EUT L 409 af 4.12.2020, s. 1).

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

121/144

Artikel 112

Evaluering og revision

EUT L af 12.7.2024

Kommissionen vurderer behovet for at ændre listen i bilag III og listen over forbudte former for AI-praksis i artikel 5

én gang om året efter denne forordnings ikrafttræden og indtil slutningen af perioden med delegation af beføjelser, der er

fastsat i artikel 97. Kommissionen forelægger resultaterne af denne vurdering for Europa-Parlamentet og Rådet.

Senest den 2. august 2028 og hvert fjerde år derefter evaluerer Kommissionen og aflægger rapport til

Europa-Parlamentet og Rådet om følgende:

a) behovet for ændringer om udvidelse af eksisterende områdeoverskrifter eller tilføjelse af nye områdeoverskrifter

i bilag III

b) ændringer af listen over de AI-systemer, der kræver yderligere gennemsigtighedsforanstaltninger i henhold til artikel 50

c) ændringer om styrkelse af effektiviteten af tilsyns- og forvaltningssystemet.

Senest den 2. august 2029 og hvert fjerde år derefter forelægger Kommissionen Europa-Parlamentet og Rådet en

rapport om evaluering og revision af denne forordning. Rapporten skal indeholde en vurdering af håndhævelsesstrukturen

og det eventuelle behov for, at et EU-agentur løser eventuelle konstaterede mangler. På grundlag af resultaterne ledsages

rapporten i givet fald af et forslag til ændring af denne forordning. Rapporterne offentliggøres.

I de i stk. 2 omhandlede rapporter lægges der særlig vægt på følgende:

a) status over de nationale kompetente myndigheders finansielle, tekniske og menneskelige ressourcer med henblik på

effektivt at udføre de opgaver, de pålægges i henhold til denne forordning

b) status over de sanktioner, navnlig de administrative bøder, der er omhandlet i artikel 99, stk. 1, som medlemsstaterne

har pålagt som følge af overtrædelser af denne forordning

c) vedtagne harmoniserede standarder og fælles specifikationer, der er udarbejdet til støtte for denne forordning

d) antallet af virksomheder, der kommer ind på markedet efter anvendelsen af denne forordning, og hvor mange af dem der

er SMV'er.

Senest den 2. august 2028 evaluerer Kommissionen AI-kontorets funktion, og om det har fået tilstrækkelige beføjelser

og kompetencer til at udføre sine opgaver, samt om det vil være relevant og nødvendigt for en korrekt gennemførelse og

håndhævelse af denne forordning at opgradere AI-Kontoret og dets håndhævelsesbeføjelser og øge dets ressourcer.

Kommissionen forelægger en rapport om sin evaluering for Europa-Parlamentet og Rådet.

Senest den 2. august 2028 og hvert fjerde år derefter forelægger Kommissionen en rapport om revisionen af

fremskridt med udviklingen af standardiseringsdokumentation om en energieffektiv udvikling af AI-modeller til almen brug

og vurderer behovet for yderligere foranstaltninger eller tiltag, herunder bindende foranstaltninger eller tiltag. Rapporten

forelægges Europa-Parlamentet og Rådet og offentliggøres.

Senest den 2. august 2028 og hvert tredje år derefter evaluerer Kommissionen virkningen og effektiviteten af frivillige

adfærdskodekser med henblik på at fremme anvendelsen af kravene i kapitel III, afdeling 2, på andre AI-systemer end

højrisiko-AI-systemer og eventuelt andre yderligere krav til andre AI-systemer end højrisiko-AI-systemer, herunder

vedrørende miljømæssig bæredygtighed.

Med henblik på stk. 1-7 indgiver AI-udvalget, medlemsstaterne og de nationale kompetente myndigheder oplysninger

til Kommissionen på dennes anmodning og uden unødigt ophold.

Når Kommissionen foretager de evalueringer og revisioner, der er omhandlet i stk. 1-7, tager den hensyn til

holdninger og resultater fra AI-udvalget, fra Europa-Parlamentet, fra Rådet og fra andre relevante organer eller kilder.

122/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

10.

Kommissionen forelægger om nødvendigt relevante forslag til ændring af denne forordning, navnlig under

hensyntagen til den teknologiske udvikling, AI-systemernes indvirkning på sundhed og sikkerhed og de grundlæggende

rettigheder og i lyset af fremskridtene i informationssamfundet.

11.

Som grundlag for de evalueringer og revisioner, der er omhandlet i denne artikels stk. 1-7, påtager AI-kontoret sig at

udvikle en objektiv og inddragende metode til evaluering af risikoniveauerne baseret på de kriterier, der er anført i de

relevante artikler, og medtagelse af nye systemer i:

(a) listen i bilag III, herunder udvidelse af eksisterende områdeoverskrifter eller tilføjelse af nye områdeoverskrifter i nævnte

bilag

(b) listen over de forbudte former for praksis, der er omhandlet i artikel 5, og

12.

Alle ændringer til denne forordning i medfør af stk. 10 eller relevante delegerede retsakter eller gennem-

førelsesretsakter, som vedrører den sektorspecifikke EU-harmoniseringslovgivning, der er opført i bilag 1, afsnit B, skal tage

hensyn til de enkelte sektorers reguleringsmæssige forhold og eksisterende forvaltning, overensstemmelsesvurdering og

håndhævelsesmekanismer og de deri fastsatte myndigheder.

13.

Senest den 2. august 2031 foretager Kommissionen en evaluering af håndhævelsen af denne forordning og aflægger

rapport herom til Europa-Parlamentet, Rådet og Det Europæiske Økonomiske og Sociale Udvalg under hensyntagen til

denne forordnings første anvendelsesår. På grundlag af resultaterne ledsages rapporten, hvor det er relevant, af et forslag om

ændring af denne forordning med hensyn til håndhævelsesstrukturen og behovet for, at et EU-agentur løser eventuelle

konstaterede mangler.

Artikel 113

Ikrafttræden og anvendelse

Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i

Den Europæiske Unions Tidende.

Den finder anvendelse fra den 2. august 2026.

Dog finder:

a) kapitel I og II anvendelse fra den 2. februar 2025

b) kapitel III, afdeling 4, kapitel V, VII og XII og artikel 78 anvendelse fra den 2. august 2025, med undtagelse af artikel 101

c) artikel 6, stk. 1, og de tilsvarende forpligtelser i denne forordning anvendelse fra den 2. august 2027.

Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat.

Udfærdiget i Bruxelles, den 13. juni 2024.

På Europa-Parlamentets vegne

Formand

R. METSOLA

På Rådets vegne

Formand

M. MICHEL

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

123/144

BILAG I

EUT L af 12.7.2024

Liste over EU-harmoniseringslovgivning

Afsnit A. Liste over EU-harmoniseringslovgivning baseret på den nye lovgivningsmæssige ramme

Europa-Parlamentets og Rådets direktiv 2006/42/EF af 17. maj 2006 om maskiner og om ændring af

direktiv 95/16/EF (EUT L 157 af 9.6.2006, s. 24)

Europa-Parlamentets og Rådets direktiv 2009/48/EF af 18. juni 2009 om sikkerhedskrav til legetøj (EUT L 170 af

30.6.2009, s. 1)

Europa-Parlamentets og Rådets direktiv 2013/53/EU af 20. november 2013 om fritidsfartøjer og personlige fartøjer

og om ophævelse af direktiv 94/25/EF (EUT L 354 af 28.12.2013, s. 90)

Europa-Parlamentets og Rådets direktiv 2014/33/EU af. 26. februar 2014 om harmonisering af medlemsstaternes

love om elevatorer og sikkerhedskomponenter til elevatorer (EUT L 96 af 29.3.2014, s. 251)

Europa-Parlamentets og Rådets direktiv 2014/34/EU af 26. februar 2014 om harmonisering af medlemsstaternes

love om materiel og sikringssystemer til anvendelse i en potentielt eksplosiv atmosfære (EUT L 96 af 29.3.2014,

s. 309)

Europa-Parlamentets og Rådets direktiv 2014/53/EU af 16. april 2014 om harmonisering af medlemsstaternes love

om tilgængeliggørelse af radioudstyr på markedet og om ophævelse af direktiv 1999/5/EF (EUT L 153 af 22.5.2014,

s. 62)

Europa-Parlamentets og Rådets direktiv 2014/68/EU af 15. maj 2014 om harmonisering af medlemsstaternes

lovgivning om tilgængeliggørelse på markedet af trykbærende udstyr (EUT L 189 af 27.6.2014, s. 164)

Europa-Parlamentets og Rådets forordning (EU) 2016/424 af 9. marts 2016 om tovbaneanlæg og om ophævelse af

direktiv 2000/9/EF (EUT L 81 af 31.3.2016, s. 1)

Europa-Parlamentets og Rådets forordning (EU) 2016/425 af 9. marts 2016 om personlige værnemidler og om

ophævelse af Rådets direktiv 89/686/EØF (EUT L 81 af 31.3.2016, s. 51)

Europa-Parlamentets og Rådets forordning (EU) 2016/426 af 9. marts 2016 om apparater, der forbrænder

gasformigt brændstof, og om ophævelse af direktiv 2009/142/EF (EUT L 81 af 31.3.2016, s. 99)

Europa-Parlamentets og Rådets forordning (EU) 2017/745 af 5. april 2017 om medicinsk udstyr, om ændring af

direktiv 2001/83/EF, forordning (EF) nr. 178/2002 og forordning (EF) nr. 1223/2009 og om ophævelse af Rådets

direktiv 90/385/EØF og 93/42/EØF (EUT L 117 af 5.5.2017, s. 1)

Europa-Parlamentets og Rådets forordning (EU) 2017/746 af 5. april 2017 om medicinsk udstyr til in

vitro-diagnostik og om ophævelse af direktiv 98/79/EF og Kommissionens afgørelse 2010/227/EU (EUT L 117 af

5.5.2017, s. 176).

Afsnit B. Liste over anden EU-harmoniseringslovgivning

13.

Europa-Parlamentets og Rådets forordning (EF) nr. 300/2008 af 11. marts 2008 om fælles bestemmelser om

sikkerhed inden for civil luftfart og om ophævelse af forordning (EF) nr. 2320/2002 (EUT L 97 af 9.4.2008, s. 72)

Europa-Parlamentets og Rådets forordning (EU) nr. 168/2013 af 15. januar 2013 om godkendelse og

markedsovervågning af to- og trehjulede køretøjer samt quadricykler (EUT L 60 af 2.3.2013, s. 52)

Europa-Parlamentets og Rådets forordning (EU) nr. 167/2013 af 5. februar 2013 om godkendelse og

markedsovervågning af landbrugs- og skovbrugstraktorer (EUT L 60 af 2.3.2013, s. 1)

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

10.

11.

12.

14.

15.

124/144

EUT L af 12.7.2024

16.

17.

18.

Europa-Parlamentets og Rådets direktiv 2014/90/EU af 23. juli 2014 om skibsudstyr og om ophævelse af Rådets

direktiv 96/98/EF (EUT L 257 af 28.8.2014, s. 146)

Europa-Parlamentets og Rådets direktiv (EU) 2016/797 af 11. maj 2016 om interoperabilitet i jernbanesystemet

i Den Europæiske Union (EUT L 138 af 26.5.2016, s. 44)

Europa-Parlamentets og Rådets forordning (EU) 2018/858 af 30. maj 2018 om godkendelse og markeds-

overvågning af motorkøretøjer og påhængskøretøjer dertil samt af systemer, komponenter og separate tekniske

enheder til sådanne køretøjer, om ændring af forordning (EF) nr. 715/2007 og (EF) nr. 595/2009 og om ophævelse

af direktiv 2007/46/EF (EUT L 151 af 14.6.2018, s. 1)

Europa-Parlamentets og Rådets forordning (EU) 2019/2144 af 27. november 2019 om krav til typegodkendelse af

motorkøretøjer og påhængskøretøjer dertil samt systemer, komponenter og separate tekniske enheder til sådanne

køretøjer for så vidt angår deres generelle sikkerhed og beskyttelsen af køretøjspassagerer og bløde trafikanter og om

ændring af Europa-Parlamentets og Rådets forordning (EU) 2018/858 og ophævelse af Europa-Parlamentets og

Rådets forordning (EF) nr. 78/2009, forordning (EF) nr. 79/2009 og forordning (EF) nr. 661/2009 og

Kommissionens forordning (EF) nr. 631/2009, (EU) nr. 406/2010, (EU) nr. 672/2010, (EU) nr. 1003/2010,

(EU) nr. 1005/2010, (EU) nr. 1008/2010, (EU) nr. 1009/2010, (EU) nr. 19/2011, (EU) nr. 109/2011,

(EU) nr. 458/2011, (EU) nr. 65/2012, (EU) nr. 130/2012, (EU) nr. 347/2012, (EU) nr. 351/2012, (EU) nr. 1230/2012

og (EU) 2015/166 (EUT L 325 af 16.12.2019, s. 1)

Europa-Parlamentets og Rådets forordning (EU) 2018/1139 af 4. juli 2018 om fælles regler for civil luftfart og

oprettelse af Den Europæiske Unions Luftfartssikkerhedsagentur og om ændring af Europa-Parlamentets og Rådets

forordning (EF) nr. 2111/2005, (EF) nr. 1008/2008, (EU) nr. 996/2010, (EU) nr. 376/2014 og direktiv 2014/30/EU

og 2014/53/EU og om ophævelse af Europa-Parlamentets og Rådets forordning (EF) nr. 552/2004 og

(EF) nr. 216/2008 og Rådets forordning (EØF) nr. 3922/91 (EUT L 212 af 22.8.2018, s. 1) for så vidt angår

konstruktion, fremstilling og omsætning af luftfartøjer, som er omhandlet i nævnte forordnings artikel 2, stk. 1,

litra a) og b), hvis det drejer sig om ubemandede luftfartøjer og tilhørende motorer, propeller, dele og udstyr til

fjernkontrol af disse luftfartøjer.

19.

20.

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

125/144

BILAG II

EUT L af 12.7.2024

Liste over strafbare handlinger omhandlet i artikel 5, stk. 1, første afsnit, litra h), nr. iii)

Strafbare handlinger omhandlet i artikel 5, stk. 1, første afsnit, litra h), nr. iii):

— terrorisme

— menneskehandel

— seksuel udnyttelse af børn og børnepornografi

— ulovlig handel med narkotika eller psykotrope stoffer

— ulovlig handel med våben, ammunition eller sprængstoffer

— forsætligt manddrab og grov legemsbeskadigelse

— ulovlig handel med menneskeorganer eller -væv

— ulovlig handel med nukleare eller radioaktive materialer

— bortførelse, frihedsberøvelse eller gidseltagning

— forbrydelser, der er omfattet af Den Internationale Straffedomstols kompetence

— skibs- eller flykapring

— voldtægt

— miljøkriminalitet

— organiseret eller væbnet røveri

— sabotage

— deltagelse i en kriminel organisation, der er involveret i en eller flere af ovennævnte strafbare handlinger.

126/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

BILAG III

Højrisiko-AI-systemer omhandlet i artikel 6, stk. 2

Højrisiko-AI-systemer i henhold til artikel 6, stk. 2, er de AI-systemer, der er opført under et af følgende områder:

Biometri, for så vidt som dets anvendelse er tilladt i henhold til relevant EU-ret eller national ret:

a) systemer til biometrisk fjernidentifikation.

Dette omfatter ikke AI-systemer, der er tilsigtet biometrisk verifikation, og hvis eneste formål er at bekræfte, at en

bestemt fysisk person er den person, vedkommende hævder at være

b) AI-systemer, der er tilsigtet biometrisk kategorisering i henhold til følsomme eller beskyttede egenskaber eller

karakteristika på grundlag af udledning af disse egenskaber eller karakteristika

c) AI-systemer, der er tilsigtet følelsesgenkendelse.

Kritisk infrastruktur: AI-systemer, der tilsigtes anvendt som sikkerhedskomponenter i forvaltningen og driften af

kritisk digital infrastruktur, vejtrafik eller forsyning af vand, gas, varme og elektricitet.

Uddannelse og erhvervsuddannelse:

a) AI-systemer, der tilsigtes anvendt til at bestemme fysiske personers adgang til eller optagelse eller deres fordeling

på uddannelsesinstitutioner på alle niveauer

b) AI-systemer, der tilsigtes anvendt til at evaluere læringsresultater, herunder når disse resultater anvendes til at

styre fysiske personers læringsproces på uddannelsesinstitutioner på alle niveauer

c) AI-systemer, der tilsigtes anvendt til at bedømme det nødvendige uddannelsesniveau, som den enkelte vil få eller

vil kunne få adgang til, i forbindelse med eller inden for uddannelsesinstitutioner på alle niveauer

d) AI-systemer, der tilsigtes anvendt til at overvåge og opdage forbudt adfærd blandt studerende under prøver

i forbindelse med eller inden for uddannelsesinstitutioner på alle niveauer.

Beskæftigelse, forvaltning af arbejdstagere og adgang til selvstændig virksomhed:

a) AI-systemer, der tilsigtes anvendt til rekruttering eller udvælgelse af fysiske personer, navnlig til at indrykke

målrettede jobannoncer, analysere og filtrere jobansøgninger og evaluere kandidater

b) AI-systemer, der tilsigtes anvendt til at træffe beslutninger, der påvirker vilkårene for arbejdsrelaterede forhold,

forfremmelse eller afskedigelse i arbejdsrelaterede kontraktforhold, til at fordele opgaver på grundlag af individuel

adfærd eller personlighedstræk eller personlige egenskaber eller til at overvåge og evaluere personers præstationer

og adfærd i sådanne forhold.

Adgang til og benyttelse af væsentlige private tjenester og væsentlige offentlige tjenester og ydelser:

a) AI-systemer, der tilsigtes anvendt af offentlige myndigheder eller på vegne af offentlige myndigheder til at vurdere

fysiske personers berettigelse til væsentlige offentlige bistandsydelser og -tjenester, herunder sundhedstjenester,

samt til at tildele, nedsætte, tilbagekalde eller kræve tilbagebetaling af sådanne ydelser og tjenester

b) AI-systemer, der tilsigtes anvendt til at evaluere fysiske personers kreditværdighed eller fastslå deres

kreditvurdering, med undtagelse af AI-systemer, der anvendes til at afsløre økonomisk svig

c) AI-systemer, der tilsigtes anvendt til at foretage risikovurdering og prisfastsættelse for så vidt angår fysiske

personer i forbindelse med livs- og sygeforsikring

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

127/144

EUT L af 12.7.2024

d) AI-systemer, der er tilsigtet at evaluere og klassificere nødopkald fra fysiske personer eller til at blive anvendt til at

sende beredskabstjenester i nødsituationer eller til at tildele prioriteter i forbindelse hermed, herunder udrykning

af politi, brandslukning og lægehjælp samt patientsorteringssystemer for førstehjælp

Retshåndhævelse, for så vidt som deres anvendelse er tilladt i henhold til relevant EU-ret eller national ret:

a) AI-systemer, der tilsigtes anvendt af eller på vegne af retshåndhævende myndigheder eller af EU-institutioner,

-organer, -kontorer eller -agenturer til støtte for retshåndhævende myndigheder eller på deres vegne til at vurdere

risikoen for, at en fysisk person bliver offer for strafbare handlinger

b) AI-systemer, der tilsigtes anvendt af eller på vegne af retshåndhævende myndigheder eller af EU-institutioner,

-organer, -kontorer eller -agenturer til støtte for retshåndhævende myndigheder som polygrafer eller lignende

værktøjer

c) AI-systemer, der tilsigtes anvendt af eller på vegne af retshåndhævende myndigheder eller af EU-institutioner,

-organer, -kontorer eller -agenturer til støtte for retshåndhævende myndigheder til at vurdere pålideligheden af

bevismateriale i forbindelse med efterforskning eller retsforfølgning af strafbare handlinger

d) AI-systemer, der tilsigtes anvendt af retshåndhævende myndigheder eller på deres vegne eller af EU-institutioner,

-organer, -kontorer eller -agenturer til støtte for retshåndhævende myndigheder til at vurdere risikoen for, at en

fysisk person begår eller på ny begår lovovertrædelser, der ikke udelukkende er baseret på profilering af fysiske

personer som omhandlet i artikel 3, stk. 4, i direktiv (EU) 2016/680, eller til at vurdere fysiske personers eller

gruppers personlighedstræk og personlige egenskaber eller tidligere kriminelle adfærd

e) AI-systemer, der tilsigtes anvendt af eller på vegne af retshåndhævende myndigheder eller af EU-institutioner,

-organer, -kontorer eller -agenturer til støtte for retshåndhævende myndigheder til profilering af fysiske personer

som omhandlet i artikel 3, stk. 4, i direktiv (EU) 2016/680 i forbindelse med afsløring, efterforskning eller

retsforfølgning af strafbare handlinger.

Migrationsstyring, asylforvaltning og grænsekontrol, for så vidt som deres anvendelse er tilladt i henhold til relevant

EU-ret eller national ret:

a) AI-systemer, der tilsigtes anvendt af eller på vegne af kompetente offentlige myndigheder eller af EU-institutioner,

-organer, -kontorer eller -agenturer som polygrafer eller lignende værktøjer

b) AI-systemer, der tilsigtes anvendt af eller på vegne af kompetente offentlige myndigheder eller af EU-institutioner,

-organer, -kontorer eller -agenturer til at vurdere en risiko, herunder en sikkerhedsrisiko, en risiko for irregulær

migration eller en sundhedsrisiko, som udgøres af en fysisk person, der har til hensigt at rejse ind i eller er indrejst

i en medlemsstat

c) AI-systemer, der tilsigtes anvendt af eller på vegne af kompetente offentlige myndigheder eller af EU-institutioner,

-organer, -kontorer eller -agenturer til at bistå kompetente offentlige myndigheder i behandlingen af ansøgninger

om asyl, visum eller opholdstilladelser og hertil relaterede klager med henblik på at fastslå, om de fysiske

personer, der ansøger, er berettigede, herunder tilhørende vurdering af pålideligheden af bevismateriale

d) AI-systemer, der tilsigtes anvendt af eller på vegne af kompetente offentlige myndigheder eller af EU-institutioner,

-organer, -kontorer eller -agenturer i forbindelse med migrationsstyring, asylforvaltning eller grænsekontrol med

henblik på at opdage, genkende eller identificere fysiske personer, bortset fra kontrol af rejselegitimation.

Retspleje og demokratiske processer:

a) AI-systemer, der tilsigtes anvendt af judicielle myndigheder eller på deres vegne til at bistå en judiciel myndighed

med at undersøge og fortolke fakta og retten og anvende retten på konkrete sagsforhold eller til at blive anvendt

på en lignende måde i forbindelse med alternativ tvistbilæggelse

128/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

b) AI-systemer, der tilsigtes anvendt til at påvirke resultatet af et valg eller en folkeafstemning eller fysiske personers

stemmeadfærd i forbindelse med udøvelsen af deres stemme ved valg eller folkeafstemninger. Dette omfatter ikke

AI-systemer, hvis output fysiske personer ikke er direkte eksponeret for, såsom værktøjer, der anvendes til at

organisere, optimere eller strukturere politiske kampagner ud fra et administrativt eller logistisk synspunkt.

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

129/144

BILAG IV

EUT L af 12.7.2024

Teknisk dokumentation omhandlet i artikel 11, stk. 1

Den tekniske dokumentation, der er omhandlet i artikel 11, stk. 1, skal som minimum indeholde følgende oplysninger, alt

efter hvad der er relevant for det pågældende AI-system:

En generel beskrivelse af AI-systemet, herunder:

a) det tilsigtede formål, udbyderens navn samt systemets dato og version, der afspejler sammenhængen med

tidligere versioner

b) hvis det er relevant, hvordan AI-systemet interagerer med eller kan bruges til at interagere med hardware eller

software, herunder med andre AI-systemer, der ikke er en del af selve AI-systemet

c) versionerne af relevant software eller firmware og eventuelle krav vedrørende opdateringer

d) en beskrivelse af alle de former, hvori AI-systemet bringes i omsætning eller ibrugtages, såsom softwarepakke

indlejret i hardware, downloads eller API'er

e) en beskrivelse af den hardware, som AI-systemet tilsigtes at køre på

f) hvis AI-systemet er komponent i produkter, fotografier eller illustrationer, der viser disse produkters eksterne

karakteristika, mærkning og interne layout

g) en grundlæggende beskrivelse af den brugergrænseflade, der stilles til rådighed for idriftsætteren

h) brugsanvisning til idriftsætteren og en grundlæggende beskrivelse af den brugergrænseflade, der stilles til

rådighed for idriftsætteren, hvis det er relevant.

En detaljeret beskrivelse af elementerne i AI-systemet og af processen for dets udvikling, herunder:

a) de metoder og trin, der er brugt i udviklingen af AI-systemet, herunder, hvis det er relevant, anvendelse af

forhåndstrænede systemer eller værktøjer leveret af tredjeparter, og hvordan disse er blevet anvendt, integreret

eller ændret af udbyderen

b) systemets konstruktionsspecifikationer, dvs. AI-systemets og algoritmernes generelle logik, navnlig de vigtigste

valg med hensyn til udformning, herunder begrundelser og antagelser, herunder med hensyn til personer eller

grupper af personer, som systemet tilsigtes anvendt på, de overordnede klassificeringsvalg, hvad systemet er

udformet til at optimere for og relevansen af de forskellige parametre, en beskrivelse af systemets forventede

output og outputkvalitet samt beslutninger om eventuelle trade-offs i de tekniske løsninger, der er valgt for at

overholde kravene i kapitel III, afdeling 2

c) en beskrivelse af systemarkitekturen, der forklarer, hvordan softwarekomponenterne bygger på eller føder ind

i hinanden og integreres i den samlede anvendelse; de beregningskraftsressourcer, der anvendes til at udvikle,

træne, afprøve og validere AI-systemet

d) hvis det er relevant, datakravene i form af datablade, der beskriver de anvendte træningsmetoder og -teknikker og

de anvendte træningsdatasæt, herunder en generel beskrivelse af disse datasæt, oplysninger om deres oprindelse,

omfang og vigtigste karakteristika, hvordan dataene er indhentet og udvalgt, mærkningsprocedurer (f.eks. for

læring med tilsyn) og datarensningsmetoder (f.eks. påvisning af outliere)

e) vurdering af de foranstaltninger til menneskeligt tilsyn, der er nødvendige i overensstemmelse med artikel 14,

herunder en vurdering af de tekniske foranstaltninger, der er nødvendige for at lette idriftsætternes fortolkning af

AI-systemets output, i overensstemmelse med artikel 13, stk. 3, litra d)

f) hvis det er relevant, en detaljeret beskrivelse af på forhånd fastlagte ændringer af AI-systemet og dets ydeevne

sammen med alle relevante oplysninger vedrørende de tekniske løsninger, der er valgt for at sikre, at AI-systemet

til stadighed overholder de relevante krav i kapitel III, afdeling 2

g) de anvendte validerings- og afprøvningsprocedurer, herunder oplysninger om de anvendte validerings- og

afprøvningsdata og deres vigtigste karakteristika, parametre til måling af nøjagtighed, robusthed og overholdelse

af andre relevante krav i kapitel III, afdeling 2, samt potentielt forskelsbehandlende virkninger samt

afprøvningslogfiler og alle afprøvningsrapporter, der er dateret og underskrevet af de ansvarlige personer,

herunder med hensyn til forudbestemte ændringer som omhandlet i litra f)

130/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

h) indførte cybersikkerhedsforanstaltninger.

Detaljerede oplysninger om overvågningen af AI-systemet, dets funktion og kontrollen hermed, navnlig med hensyn

til dets kapacitet og begrænsninger i ydeevne, herunder nøjagtighedsgraden for specifikke personer eller grupper af

personer, som systemet tilsigtes anvendt på, og det samlede forventede nøjagtighedsniveau i forhold til det tilsigtede

formål, de forventede utilsigtede resultater og kilder til risici for sundhed og sikkerhed, grundlæggende rettigheder

og forskelsbehandling i lyset af AI-systemets tilsigtede formål, foranstaltningerne til menneskeligt tilsyn

i overensstemmelse med artikel 14, herunder de tekniske foranstaltninger, der er indført for at lette idriftsætternes

fortolkning af AI-systemets output, samt specifikationer for inputdata, alt efter hvad der er relevant.

En beskrivelse af ydeevneparametrenes egnethed til det specifikke AI-system.

En detaljeret beskrivelse af risikostyringssystemet i overensstemmelse med artikel 9.

En beskrivelse af relevante ændringer, som udbyderen foretager af systemet i løbet af dets livscyklus.

En liste over de helt eller delvis anvendte harmoniserede standarder, hvis referencer er offentliggjort i

Den Europæiske

Unions Tidende,

samt, hvis disse harmoniserede standarder ikke er blevet anvendt, en detaljeret beskrivelse af de

løsninger, der er anvendt for at opfylde kravene i kapitel III, afdeling 2, herunder en liste over andre relevante

tekniske specifikationer, som er anvendt.

En kopi af den i artikel 47 omhandlede EU-overensstemmelseserklæring.

En detaljeret beskrivelse af det system, der er indført til evaluering af AI-systemets ydeevne, efter at systemet er bragt

i omsætning, i overensstemmelse med artikel 72, herunder planen for overvågning efter omsætningen, der er

omhandlet i artikel 72, stk. 3.

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

131/144

BILAG V

EUT L af 12.7.2024

EU-overensstemmelseserklæring

EU-overensstemmelseserklæringen, der er omhandlet i artikel 47, skal indeholde følgende oplysninger:

AI-systemets navn, type og enhver yderligere entydig reference, der gør det muligt at identificere og spore

AI-systemet

udbyderens navn og adresse eller, hvis det er relevant, den bemyndigede repræsentants navn og adresse

en erklæring om, at den i artikel 47 omhandlede EU-overensstemmelseserklæring udstedes på udbyderens ansvar

en erklæring om, at AI-systemet er i overensstemmelse med denne forordning og eventuelt med al anden relevant

EU-ret, der fastsætter bestemmelser om udstedelse af den i artikel 47 omhandlede EU-overensstemmelseserklæring

hvis et AI-system indbefatter behandling af personoplysninger, en erklæring om, at AI-systemet overholder

forordning (EU) 2016/679 og (EU) 2018/1725 samt direktiv (EU) 2016/680

referencer til de relevante anvendte harmoniserede standarder eller referencer til anden fælles specifikation, som der

erklæres overensstemmelse med

hvis det er relevant, navnet og identifikationsnummeret på det bemyndigede organ, en beskrivelse af den

gennemførte overensstemmelsesvurderingsprocedure og identifikation af den udstedte attest

udstedelsessted og -dato for erklæringen, navn og stilling på den person, der har underskrevet den, samt en angivelse

af, for hvem eller på hvis vegne vedkommende har underskrevet, og underskrift.

132/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

BILAG VI

Procedurer for overensstemmelsesvurdering baseret på intern kontrol

Proceduren for overensstemmelsesvurdering baseret på intern kontrol er overensstemmelsesvurderingsproceduren

baseret på punkt 2, 3 og 4.

Udbyderen verificerer, at det etablerede kvalitetsstyringssystem overholder kravene i artikel 17.

Udbyderen undersøger oplysningerne i den tekniske dokumentation med henblik på at vurdere, hvorvidt

AI-systemet overholder de relevante væsentlige krav i kapitel III, afdeling 2.

Udbyderen verificerer også, at udformnings- og udviklingsprocessen for AI-systemet og dets overvågning efter

omsætningen som omhandlet i artikel 72 er i overensstemmelse med den tekniske dokumentation.

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

133/144

BILAG VII

EUT L af 12.7.2024

Overensstemmelse baseret på en vurdering af kvalitetsstyringssystemet og en vurdering af den

tekniske dokumentation

Indledning

Overensstemmelse baseret på en vurdering af kvalitetsstyringssystemet og en vurdering af den tekniske

dokumentation er overensstemmelsesvurderingsproceduren baseret på punkt 2-5.

Oversigt

Det godkendte kvalitetsstyringssystem for udformning, udvikling og afprøvning af AI-systemer i henhold til

artikel 17 undersøges i overensstemmelse med punkt 3 og er underlagt den i punkt 5 omhandlede overvågning.

AI-systemets tekniske dokumentation undersøges i overensstemmelse med punkt 4.

3.1.

Kvalitetsstyringssystem

Udbyderens ansøgning skal omfatte:

a) udbyderens navn og adresse samt navn og adresse på udbyderens bemyndigede repræsentant, hvis ansøgningen

indgives af denne

b) listen over AI-systemer, der er omfattet af det samme kvalitetsstyringssystem

c) den tekniske dokumentation for hvert AI-system, der er omfattet af det samme kvalitetsstyringssystem

d) dokumentationen vedrørende kvalitetsstyringssystemet, som skal omfatte alle de aspekter, der er anført

i artikel 17

e) en beskrivelse af de procedurer, der er indført for at sikre, at kvalitetsstyringssystemet fortsat er fyldestgørende og

effektivt

f) en skriftlig erklæring om, at samme ansøgning ikke er blevet indgivet til et andet bemyndiget organ.

3.2.

Det bemyndigede organ vurderer kvalitetsstyringssystemet for at afgøre, om det opfylder kravene omhandlet

i artikel 17.

Afgørelsen meddeles udbyderen eller dennes bemyndigede repræsentant.

Meddelelsen skal indeholde konklusionerne af vurderingen af kvalitetsstyringssystemet og en begrundelse for

afgørelsen.

3.3.

3.4.

Det godkendte kvalitetsstyringssystem skal fortsat gennemføres og vedligeholdes af udbyderen, således at det

forbliver hensigtsmæssigt og effektivt.

Enhver tilsigtet ændring af det godkendte kvalitetsstyringssystem eller listen over AI-systemer, der er omfattet af

dette, skal af udbyderen meddeles det bemyndigede organ.

Det bemyndigede organ vurderer de foreslåede ændringer og afgør, om det ændrede kvalitetsstyringssystem stadig

opfylder de i punkt 3.2 omhandlede krav, eller om en fornyet vurdering er nødvendig.

Det bemyndigede organ meddeler udbyderen sin afgørelse. Meddelelsen skal indeholde konklusionerne af

undersøgelsen af de foreslåede ændringer og en begrundelse for afgørelsen.

4.1.

Kontrol af den tekniske dokumentation

Ud over den i punkt 3 omhandlede ansøgning, skal udbyderen til det bemyndigede organ indsende en ansøgning om

vurdering af den tekniske dokumentation vedrørende det AI-system, som denne agter at bringe i omsætning eller

ibrugtage, og som er omfattet af det kvalitetsstyringssystem, der er omhandlet i punkt 3.

Ansøgningen skal indeholde:

a) udbyderens navn og adresse

b) en skriftlig erklæring om, at samme ansøgning ikke er blevet indgivet til et andet bemyndiget organ

c) den i bilag IV omhandlede tekniske dokumentation.

4.2.

134/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

4.3.

Den tekniske dokumentation vurderes af det bemyndigede organ. Hvis det er relevant og begrænset til, hvad der er

nødvendigt for, at det bemyndigede organ kan udføre sine opgaver, gives det fuld adgang til de anvendte trænings-,

validerings- og afprøvningsdatasæt, herunder, hvis det er relevant, og med forbehold af sikkerhedsforanstaltninger,

via API'er eller andre relevante tekniske midler og værktøjer, der muliggør fjernadgang.

I forbindelse med vurderingen af den tekniske dokumentation kan det bemyndigede organ kræve, at udbyderen

fremlægger yderligere dokumentation eller udfører yderligere afprøvninger for at muliggøre en korrekt vurdering af

AI-systemets overensstemmelse med kravene i kapitel III, afdeling 2. Hvis det bemyndigede organ ikke er tilfreds

med de afprøvninger, som udbyderen har foretaget, skal det bemyndigede organ selv foretage de nødvendige

afprøvninger direkte, alt efter hvad der er relevant.

Hvis det er nødvendigt for at vurdere, om højrisiko-AI-systemet er i overensstemmelse med kravene i kapitel III,

afdeling 2, skal det bemyndigede organ, efter at alle andre rimelige metoder til at verificere overensstemmelsen er

udtømt eller har vist sig utilstrækkelige, og efter begrundet anmodning gives adgang til AI-systemets

træningsmodeller og trænede modeller, herunder dets relevante parametre. En sådan adgang er omfattet af

gældende EU-ret om beskyttelse af intellektuel ejendom og forretningshemmeligheder.

Det bemyndigede organs afgørelse meddeles udbyderen eller dennes bemyndigede repræsentant. Meddelelsen skal

indeholde konklusionerne af vurderingen af den tekniske dokumentation og en begrundelse for afgørelsen.

Hvis AI-systemet er i overensstemmelse med kravene i kapitel III, afdeling 2, udsteder det bemyndigede organ en

EU-vurderingsattest for teknisk dokumentation. Attesten skal indeholde udbyderens navn og adresse, undersøgel-

seskonklusionerne, eventuelle betingelser for dets gyldighed og de nødvendige data til identifikation af AI-systemet.

Attesten og bilagene hertil skal indeholde alle relevante oplysninger, der gør det muligt at vurdere AI-systemets

overensstemmelse med kravene, herunder, hvis det er relevant, kontrol under brug.

Hvis AI-systemet ikke er i overensstemmelse med kravene i kapitel III, afdeling 2, afviser det bemyndigede organ at

udstede en EU-vurderingsattest for teknisk dokumentation og oplyser ansøgeren herom og giver en detaljeret

begrundelse for afslaget.

Hvis AI-systemet ikke opfylder kravet vedrørende de data, der anvendes til at træne det, skal AI-systemet gentrænes,

inden der ansøges om en ny overensstemmelsesvurdering. I dette tilfælde skal det bemyndigede organs begrundede

afgørelse om afslag på udstedelse af en EU-vurderingsattest for teknisk dokumentation indeholde specifikke

betragtninger om kvaliteten af de data, der er anvendt til at træne AI-systemet, navnlig om årsagerne til manglende

overholdelse.

4.7.

Enhver ændring af AI-systemet, der kan påvirke AI-systemets overholdelse af kravene eller systemets tilsigtede

formål, skal vurderes af det bemyndigede organ, der har udstedt EU-vurderingsattesten for teknisk dokumentation.

Udbyderen skal underrette det bemyndigede organ om sin hensigt om at indføre nogen af ovennævnte ændringer,

eller hvis denne på anden måde bliver opmærksom på forekomsten af sådanne ændringer. Det bemyndigede organ

vurderer de tilsigtede ændringer og afgør, om disse ændringer kræver en ny overensstemmelsesvurdering

i overensstemmelse med artikel 43, stk. 4, eller om de kan behandles ved hjælp af et tillæg til EU-vurderingsattesten

for teknisk dokumentation. I sidstnævnte tilfælde vurderer det bemyndigede organ ændringerne, meddeler

udbyderen sin afgørelse og udsteder, såfremt ændringerne godkendes, et tillæg til EU-vurderingsattesten for teknisk

dokumentation til udbyderen.

Overvågning af det godkendte kvalitetsstyringssystem

Formålet med den overvågning, der udføres af det bemyndigede organ, der er omhandlet i punkt 3, er at sikre, at

udbyderen behørigt overholder vilkårene og betingelserne i det godkendte kvalitetsstyringssystem.

Med henblik på vurdering skal udbyderen give det bemyndigede organ adgang til de lokaler, hvor udformningen,

udviklingen eller afprøvningen af AI-systemerne finder sted. Udbyderen skal yderligere give det bemyndigede organ

alle nødvendige oplysninger.

Det bemyndigede organ aflægger jævnligt kontrolbesøg for at sikre, at udbyderen vedligeholder og anvender

kvalitetsstyringssystemet, og det udsteder en revisionsrapport til udbyderen. I forbindelse med disse kontrolbesøg

kan det bemyndigede organ foretage yderligere afprøvninger af de AI-systemer, for hvilke der er udstedt en

EU-vurderingsattest for teknisk dokumentation.

4.4.

4.5.

4.6.

5.1.

5.2.

5.3.

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

135/144

BILAG VIII

EUT L af 12.7.2024

Oplysninger, der skal indsendes ved registrering af højrisiko-AI-systemer i overensstemmelse med

artikel 49

Afsnit A — Oplysninger, der skal indsendes af udbydere af højrisiko-AI-systemer i overensstemmelse med artikel 49, stk. 1

Følgende oplysninger skal forelægges og derefter holdes ajourført med hensyn til højrisiko-AI-systemer, der skal registreres

i overensstemmelse med artikel 49, stk. 1:

10.

11.

12.

udbyderens navn, adresse og kontaktoplysninger

hvis oplysninger forelægges af en anden person på vegne af udbyderen, denne persons navn, adresse og

kontaktoplysninger

den bemyndigede repræsentants navn, adresse og kontaktoplysninger, hvis det er relevant

AI-systemets handelsnavn og enhver yderligere entydig reference, der gør det muligt at identificere og spore

AI-systemet

en beskrivelse af det tilsigtede formål med AI-systemet og af de komponenter og funktioner, der understøttes af dette

AI-system

en grundlæggende og kortfattet beskrivelse af de oplysninger, der anvendes af systemet (data, input), og dets

driftslogik

AI-systemets status (i omsætning eller i drift, ikke længere i omsætning/i drift, tilbagekaldt)

type, nummer og udløbsdato for den attest, der er udstedt af det bemyndigede organ, samt navn eller

identifikationsnummer på det pågældende bemyndigede organ, hvis det er relevant

en scannet kopi af den i punkt 8 omhandlede attest, hvis det er relevant

enhver medlemsstat, hvor AI-systemet har været bragt i omsætning, ibrugtaget eller gjort tilgængeligt i Unionen

en kopi af den i artikel 47 omhandlede EU-overensstemmelseserklæring

brugsanvisning i elektronisk form, dog gives disse oplysninger ikke for højrisiko-AI-systemer inden for

retshåndhævelse og migrationsstyring, asylforvaltning og grænsekontrol, der er omhandlet i bilag III, punkt 1, 6

og 7

en URL for yderligere oplysninger (valgfrit).

13.

Afsnit B — Oplysninger, der skal indsendes af udbydere af højrisiko-AI-systemer i overensstemmelse med artikel 49, stk. 2

Følgende oplysninger skal forelægges og derefter holdes ajourført med hensyn til højrisiko-AI-systemer, der registreres

i overensstemmelse med artikel 49, stk. 2:

136/144

udbyderens navn, adresse og kontaktoplysninger

hvis oplysninger forelægges af en anden person på vegne af udbyderen, denne persons navn, adresse og

kontaktoplysninger

den bemyndigede repræsentants navn, adresse og kontaktoplysninger, hvis det er relevant

AI-systemets handelsnavn og enhver yderligere entydig reference, der gør det muligt at identificere og spore

AI-systemet

en beskrivelse af det tilsigtede formål med AI-systemet

den eller de betingelser i medfør af artikel 6, stk. 3, på grundlag af hvilke(n) AI-systemet ikke betragtes som højrisiko

en kort sammenfatning af grundene at, AI-systemet ikke betragtes som højrisiko i forbindelse med anvendelse af

proceduren i artikel 6, stk. 3

AI-systemets status (i omsætning eller i drift, ikke længere i omsætning/i drift, tilbagekaldt)

enhver medlemsstat, hvor AI-systemet har været bragt i omsætning, ibrugtaget eller gjort tilgængeligt i Unionen.

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

Afsnit C — Oplysninger, der skal indsendes af idriftsættere af højrisiko-AI-systemer i overensstemmelse med artikel 49,

stk. 3

Følgende oplysninger skal forelægges og derefter holdes ajourført med hensyn til højrisiko-AI-systemer, der registreres

i overensstemmelse med artikel 49, stk. 3:

idriftsætterens navn, adresse og kontaktoplysninger

navn, adresse og kontaktoplysninger på enhver person, der indsender oplysninger på vegne af idriftsætteren

URL'en for indlæsningen af AI-systemet i EU-databasen for udbyderen af AI-systemet

et sammendrag af resultaterne af den konsekvensanalyse vedrørende grundlæggende rettigheder, der er foretaget

i overensstemmelse med artikel 27

et sammendrag af konsekvensanalysen vedrørende databeskyttelse foretaget i overensstemmelse med artikel 35

i forordning (EU) 2016/679 eller artikel 27 i direktiv (EU) 2016/680 som specificeret i nærværende forordnings

artikel 26, stk. 8, hvis det er relevant.

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

137/144

BILAG IX

EUT L af 12.7.2024

Oplysninger, der skal indsendes ved registrering af højrisiko-AI-systemer anført i bilag III

i forbindelse med afprøvning under faktiske forhold i overensstemmelse med artikel 60

Følgende oplysninger skal forelægges og derefter holdes ajourført med hensyn til afprøvning under faktiske forhold, der

registreres i overensstemmelse med artikel 60:

et EU-dækkende unikt individuelt identifikationsnummer for afprøvningen under faktiske forhold

navn og kontaktoplysninger på udbyderen eller den potentielle udbyder og på de idriftsættere, der er involveret

i afprøvningen under faktiske forhold

en kort beskrivelse af AI-systemet, dets tilsigtede formål og andre oplysninger, der er nødvendige for at identificere

systemet

et sammendrag af de vigtigste karakteristika ved planen for afprøvning under faktiske forhold

oplysninger om suspendering eller afslutning af afprøvningen under faktiske forhold.

138/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

BILAG X

Lovgivningsmæssige EU-retsakter om store IT-systemer inden for området med frihed, sikkerhed og retfærdighed

Schengeninformationssystemet

a) Europa-Parlamentets og Rådets forordning (EU) 2018/1860 af 28. november 2018 om brug af Schengenin-

formationssystemet i forbindelse med tilbagesendelse af tredjelandsstatsborgere med ulovligt ophold (EUT L 312

af 7.12.2018, s. 1)

b) Europa-Parlamentets og Rådets forordning (EU) 2018/1861 af 28. november 2018 om oprettelse, drift og brug

af Schengeninformationssystemet (SIS) på området ind- og udrejsekontrol, om ændring af konventionen om

gennemførelse af Schengenaftalen og om ændring og ophævelse af forordning (EF) nr. 1987/2006 (EUT L 312 af

7.12.2018, s. 14)

c) Europa-Parlamentets og Rådets forordning (EU) 2018/1862 af 28. november 2018 om oprettelse, drift og brug

af Schengeninformationssystemet (SIS) på området politisamarbejde og strafferetligt samarbejde, om ændring og

ophævelse af Rådets afgørelse 2007/533/RIA og om ophævelse af Europa-Parlamentets og Rådets forordning

(EF) nr. 1986/2006 og Kommissionens afgørelse 2010/261/EU (EUT L 312 af 7.12.2018, s. 56).

Visuminformationssystemet

a) Europa-Parlamentets og Rådets forordning (EU) 2021/1133 af 7. juli 2021 om ændring af forordning

(EU) nr. 603/2013, (EU) 2016/794, (EU) 2018/1862, (EU) 2019/816 og (EU) 2019/818 for så vidt angår

fastsættelse af betingelserne for adgang til andre EU-informationssystemer med henblik på visuminformations-

systemet (EUT L 248 af 13.7.2021, s. 1)

b) Europa-Parlamentets og Rådets forordning (EU) 2021/1134 af 7. juli 2021 om ændring af Europa-Parlamentets

og Rådets forordning (EF) nr. 767/2008, (EF) nr. 810/2009, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240,

(EU) 2018/1860, (EU) 2018/1861, (EU) 2019/817 og (EU) 2019/1896 og om ophævelse af Rådets beslutning

2004/512/EF og Rådets afgørelse 2008/633/RIA, med henblik på reform af visuminformationssystemet (EUT

L 248 af 13.7.2021, s. 11).

Eurodac

Europa-Parlamentets og Rådets forordning (EU) 2024/1358 af 14. maj 2024 om oprettelse af »Eurodac« til

sammenligning af biometriske oplysninger med henblik på effektiv anvendelse af Europa-Parlamentets og Rådets

forordning (EU) 2024/1315 og (EU) 2024/1350 og Rådets direktiv 2001/55/EF og på identificering af

tredjelandsstatsborgere og statsløse med ulovligt ophold og om medlemsstaternes retshåndhævende myndigheders

og Europols adgang til at indgive anmodning om sammenligning med Eurodacoplysninger med henblik på

retshåndhævelse, om ændring af Europa-Parlamentets og Rådets forordning (EU) 2018/1240 og (EU) 2019/818 og

om ophævelse af Europa-Parlamentets og Rådets forordning (EU) nr. 603/2013 (EUT L, 2024/1358, 22.5.2024,

ELI: http://data.europa.eu/eli/reg/2024/1358/oj).

Ind- og udrejsesystemet

Europa-Parlamentets og Rådets forordning (EU) 2017/2226 af 30. november 2017 om oprettelse af et ind- og

udrejsesystem til registrering af ind- og udrejseoplysninger og oplysninger om nægtelse af indrejse vedrørende

tredjelandsstatsborgere, der passerer medlemsstaternes ydre grænser, om fastlæggelse af betingelserne for adgang til

ind- og udrejsesystemet til retshåndhævelsesformål og om ændring af konventionen om gennemførelse af

Schengenaftalen og forordning (EF) nr. 767/2008 og (EU) nr. 1077/2011 (EUT L 327 af 9.12.2017, s. 20).

Det europæiske system vedrørende rejseinformation og rejsetilladelse

a) Europa-Parlamentets og Rådets forordning (EU) 2018/1240 af 12. september 2018 om oprettelse af et europæisk

system vedrørende rejseinformation og rejsetilladelse (ETIAS) og om ændring af forordning (EU) nr. 1077/2011,

(EU) nr. 515/2014, (EU) 2016/399, (EU) 2016/1624 og (EU) 2017/2226 (EUT L 236 af 19.9.2018, s. 1)

b) Europa-Parlamentets og Rådets forordning (EU) 2018/1241 af 12. september 2018 om ændring af forordning

(EU) 2016/794 med henblik på oprettelse af et europæisk system vedrørende rejseinformation og rejsetilladelse

(ETIAS) (EUT L 236 af 19.9.2018, s. 72).

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

139/144

EUT L af 12.7.2024

Det europæiske informationssystem vedrørende strafferegistre for statsborgere i tredjelande og statsløse

Europa-Parlamentets og Rådets forordning (EU) 2019/816 af 17. april 2019 om oprettelse af et centralt system til

bestemmelse af, hvilke medlemsstater der ligger inde med oplysninger om straffedomme afsagt over tredjelands-

statsborgere og statsløse personer (ECRIS-TCN) for at supplere det europæiske informationssystem vedrørende

strafferegistre, og om ændring af forordning (EU) 2018/1726 (EUT L 135 af 22.5.2019, s. 1).

Interoperabilitet

a) Europa-Parlamentets og Rådets forordning (EU) 2019/817 af 20. maj 2019 om fastsættelse af en ramme for

interoperabilitet mellem EU-informationssystemer vedrørende grænser og visum og om ændring af Europa-

Parlamentets og Rådets forordning (EF) nr. 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240,

(EU) 2018/1726 og (EU) 2018/1861, Rådets beslutning 2004/512/EF og Rådets afgørelse 2008/633/RIA (EUT

L 135 af 22.5.2019, s. 27)

b) Europa-Parlamentets og Rådets forordning (EU) 2019/818 af 20. maj 2019 om fastsættelse af en ramme for

interoperabilitet mellem EU-informationssystemer vedrørende politisamarbejde og retligt samarbejde, asyl og

migration og om ændring af forordning (EU) 2018/1726, (EU) 2018/1862 og (EU) 2019/816 (EUT L 135 af

22.5.2019, s. 85).

140/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

BILAG XI

Teknisk dokumentation omhandlet i artikel 53, stk. 1, litra a) — teknisk dokumentation for udbydere

af AI-modeller til almen brug

Afsnit 1

Oplysninger, der skal forelægges af alle udbydere af AI-modeller til almen brug

Den tekniske dokumentation omhandlet i artikel 53, stk. 1, litra a), skal som minimum indeholde følgende oplysninger, alt

efter hvad der er relevant for modellens størrelse og risikoprofil:

En generel beskrivelse af AI-modellen til almen brug, herunder:

a) de opgaver, som modellen tilsigtes at udføre, og typen og arten af AI-systemer, som den kan integreres i

b) gældende acceptable anvendelsespolitikker

c) frigivelsesdato og distributionsmetoder

d) parametrenes arkitektur og antal

e) modalitet (f.eks. tekst, billede) og format af input og output

f) licensen.

En detaljeret beskrivelse af elementerne i den model, der er omhandlet i punkt 1, og relevante oplysninger om

udviklingsprocessen, herunder følgende elementer:

a) de tekniske midler (f.eks. brugsanvisning, infrastruktur, værktøjer), der er nødvendige for, at AI-modellen til

almen brug kan integreres i AI-systemer

b) modellens konstruktionsspecifikationer og træningsprocessen, herunder træningsmetoder og -teknikker, de

vigtigste valg med hensyn til udformning, herunder begrundelser og antagelser, hvad modellen er udformet til at

optimere for og relevansen af de forskellige parametre, alt efter hvad der er relevant

c) oplysninger om de data, der anvendes til træning, afprøvning og validering, hvis det er relevant, herunder

dataenes type og oprindelse og kurateringsmetoder (f.eks. rensning, filtrering osv.), antallet af datapunkter, deres

omfang og vigtigste karakteristika, hvordan dataene er indhentet og udvalgt, samt alle andre foranstaltninger til at

opdage uegnede datakilder og metoder til at opdage identificerbare bias, hvor det er relevant

d) de beregningskraftsressourcer, der anvendes til at træne modellen (f.eks. antal flydende kommatalsberegninger),

træningstid og andre relevante detaljer vedrørende træningen

e) modellens kendte eller anslåede energiforbrug.

For så vidt angår litra e) kan energiforbruget, hvis modellens energiforbrug er ukendt, baseres på oplysninger om

anvendte beregningskraftsressourcer.

Afsnit 2

Yderligere oplysninger, der skal forelægges af udbydere af AI-modeller til almen brug med systemisk risiko

En detaljeret beskrivelse af evalueringsstrategierne, herunder evalueringsresultater, på grundlag af tilgængelige

offentlige evalueringsprotokoller og -værktøjer eller på anden måde af andre evalueringsmetoder. Evaluerings-

strategierne skal omfatte evalueringskriterier, parametre og metoder til identifikation af begrænsninger.

Hvis det er relevant, en detaljeret beskrivelse af de foranstaltninger, der er truffet med henblik på at gennemføre

intern og/eller ekstern kontradiktorisk afprøvning (f.eks. red teaming), modeltilpasninger, herunder tilpasning og

finjustering.

141/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

Hvis det er relevant, en detaljeret beskrivelse af systemarkitekturen, der forklarer, hvordan softwarekomponenterne

bygger på eller føder ind i hinanden og integreres i den samlede anvendelse.

142/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

EUT L af 12.7.2024

BILAG XII

Gennemsigtighedsoplysninger omhandlet i artikel 53, stk. 1, litra b) — teknisk dokumentation for

udbydere af AI-modeller til almen brug til downstreamudbydere, der integrerer modellen i deres

AI-system

Oplysningerne omhandlet i artikel 53, stk. 1, litra b), skal som minimum omfatte følgende:

En generel beskrivelse af AI-modellen til almen brug, herunder:

a) de opgaver, som modellen tilsigtes at udføre, og typen og arten af AI-systemer, som den kan integreres i

b) gældende acceptable anvendelsespolitikker

c) frigivelsesdato og distributionsmetoder

d) hvis det er relevant, hvordan modellen interagerer eller kan bruges til at interagere med hardware eller software,

der ikke er en del af selve modellen

e) versioner af relevant software vedrørende anvendelsen af AI-modellen til almen brug, hvis det er relevant

f) parametrenes arkitektur og antal

g) modalitet (f.eks. tekst, billede) og format af input og output

h) licensen til modellen.

En beskrivelse af elementerne i modellen og af processen for dens udvikling, herunder:

a) de tekniske midler (f.eks. brugsanvisning, infrastruktur, værktøjer), der er nødvendige for, at AI-modellen til

almen brug kan integreres i AI-systemer

b) modalitet (f.eks. tekst, billede osv.) og format af input og output og deres maksimale størrelse (f.eks.

kontekstvinduesstørrelse osv.)

c) oplysninger om de data, der anvendes til træning, afprøvning og validering, hvis det er relevant, herunder

dataenes type og oprindelse og kurateringsmetoder.

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

143/144

BILAG XIII

EUT L af 12.7.2024

Kriterier for udpegelse af AI-modeller til almen brug med systemisk risiko, jf. artikel 51

Med henblik på at fastslå, at en AI-model til almen brug har kapaciteter eller virkninger, der svarer til dem, der er fastsat

i artikel 51, stk. 1, litra a), tager Kommissionen hensyn til følgende kriterier:

antal parametre i modellen

datasættets kvalitet eller størrelse, f.eks. målt ved hjælp af tokens

den mængde beregningskraft, der anvendes til træning af modellen, målt i flydende kommatalsberegninger eller

angivet ved en kombination af andre variabler såsom anslåede træningsomkostninger, anslået tid til træningen eller

anslået energiforbrug til træningen

modellens input- og outputmetoder, f.eks. tekst til tekst (store sprogmodeller), tekst til billede, multimodalitet og de

nyeste tærskler til bestemmelse af kapaciteter med stor virkning for hver modalitet, samt den specifikke type input

og output (f.eks. biologiske sekvenser)

benchmarks og evalueringer af modellens kapaciteter, herunder hensyntagen til antal opgaver uden yderligere

træning, tilpasningsevne til at lære nye, særskilte opgaver, dens grad af autonomi og skalerbarhed og de værktøjer,

den har adgang til

om den har stor indvirkning på det indre marked på grund af dens omfang, hvilket formodes at være tilfældet, når

den er blevet gjort tilgængelig for mindst 10 000 registrerede erhvervsbrugere etableret i Unionen

antal registrerede slutbrugere.

144/144

ELI: http://data.europa.eu/eli/reg/2024/1689/oj