Bilag 1

Forordning (EU) 2024/1689

EUROPA-PARLAMENTETS OG RÅDETS FORORDNING (EU) 2024/1689

af 13. juni 2024

om harmoniserede regler for kunstig intelligens og om ændring af forordning (EF) nr. 300/2008, (EU) nr. 167/2013, (EU) nr. 168/2013, (EU) 2018/858, (EU) 2018/1139 og (EU) 2019/2144 samt direktiv 2014/90/EU, (EU) 2016/797 og (EU) 2020/1828 (forordningen om kunstig intelligens)

(EØS-relevant tekst)

EUROPA-PARLAMENTET OG RÅDET FOR DEN EUROPÆISKE UNION HAR -

under henvisning til traktaten om Den Europæiske Unions funktionsmåde, særlig artikel 16 og 114,

under henvisning til forslag fra Europa-Kommissionen,

efter fremsendelse af udkast til lovgivningsmæssig retsakt til de nationale parlamenter,

under henvisning til udtalelse fra Det Europæiske Økonomiske og Sociale Udvalg (1),

under henvisning til udtalelse fra Den Europæiske Centralbank (2),

under henvisning til udtalelse fra Regionsudvalget (3),

efter den almindelige lovgivningsprocedure (4), og

ud fra følgende betragtninger:

(1) Formålet med denne forordning er at forbedre det indre markeds funktion ved at fastlægge ensartede retlige rammer, navnlig for udvikling, omsætning, ibrugtagning og anvendelse af kunstig intelligens-systemer (»AI-systemer«) i Unionen i overensstemmelse med Unionens værdier, at fremme udbredelsen af menneskecentreret og troværdig kunstig intelligens (»AI«), samtidig med at der sikres et højt beskyttelsesniveau for sundhed, sikkerhed og grundlæggende rettigheder som nedfældet i Den Europæiske Unions charter om grundlæggende rettigheder (»chartret«), herunder demokrati, retsstatsprincippet og miljøbeskyttelse, at beskytte mod skadelige virkninger af AI-systemer i Unionen og at støtte innovation. Denne forordning sikrer fri bevægelighed for AI-baserede varer og tjenesteydelser og forhindrer således medlemsstaterne i at indføre restriktioner for udvikling, markedsføring og anvendelse af AI-systemer, medmindre det udtrykkeligt er tilladt i henhold til denne forordning.

(2) Denne forordning bør anvendes i overensstemmelse med Unionens værdier som nedfældet i chartret, der letter beskyttelsen af fysiske personer, virksomheder, demokrati, retsstatsprincippet og miljøbeskyttelse, samtidig med at innovation og beskæftigelse fremmes, og Unionen gøres førende inden for udbredelsen af troværdig AI.

(3) AI-systemer kan nemt idriftsættes i en lang række sektorer af økonomien og i mange dele af samfundet, herunder på tværs af grænserne, og kan nemt udspredes i hele Unionen. Visse medlemsstater har allerede undersøgt, om det er muligt at vedtage nationale regler til sikring af, at AI er troværdig og sikker, og at den udvikles og anvendes i overensstemmelse med forpligtelserne vedrørende grundlæggende rettigheder. Forskellige nationale regler kan føre til fragmenteringen af det indre marked og kan mindske retssikkerheden for operatører, der udvikler, importerer eller anvender AI-systemer. Der bør derfor sikres et ensartet og højt beskyttelsesniveau i hele Unionen med henblik på at opnå troværdig AI, samtidig med at forskelle, der hæmmer den frie bevægelighed for samt innovation, idriftsættelse og udbredelse af AI-systemer og relaterede produkter og tjenesteydelser på det indre marked, bør forhindres ved at

fastsætte ensartede forpligtelser for operatører og sikre en ensartet beskyttelse af tvingende hensyn til samfundsinteresser og personers rettigheder i hele det indre marked på grundlag af artikel 114 i traktaten om Den Europæiske Unions funktionsmåde (TEUF). For så vidt som denne forordning indeholder specifikke regler om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger vedrørende begrænsninger i anvendelsen af AI-systemer til biometrisk fjernidentifikation med henblik på retshåndhævelse, i anvendelsen af AI-systemer til risikovurderinger af fysiske personer med henblik på retshåndhævelse og i anvendelsen af AI-systemer til biometrisk kategorisering med henblik på retshåndhævelse, er det desuden hensigtsmæssigt at basere denne forordning på artikel 16 i TEUF for så vidt angår disse specifikke regler. I lyset af disse specifikke regler og anvendelsen af artikel 16 i TEUF bør Det Europæiske Databeskyttelsesråd høres.

(4) AI er en vifte af teknologier i hurtig udvikling, som bidrager til brede økonomiske, miljømæssige og samfundsmæssige fordele på tværs af hele spektret af industrier og sociale aktiviteter. Ved at forbedre forudsigelser, optimere operationer og ressourceallokering og skræddersy de digitale løsninger, der er tilgængelige for enkeltpersoner og organisationer, kan anvendelsen af AI give virksomheder vigtige konkurrencemæssige fordele og fremme socialt og miljømæssigt gavnlige resultater, f.eks. inden for sundhedspleje, landbrug, fødevaresikkerhed, uddannelse, medier, sport, kultur, infrastrukturforvaltning, energi, transport og logistik, offentlige tjenester, sikkerhed, retsvæsen, ressource- og energieffektivitet, miljøovervågning, bevarelse og genopretning af biodiversitet og økosystemer samt modvirkning af og tilpasning til klimaændringer.

(5) Samtidig kan AI, afhængigt af omstændighederne med hensyn til dens specifikke anvendelse, brug og teknologiske udviklingsniveau, skabe risici og skade samfundsinteresser og grundlæggende rettigheder, der er beskyttet af EU-retten. En sådan skade kan være af materiel eller immateriel karakter, herunder fysisk, psykisk, samfundsmæssig eller økonomisk.

(6) I betragtning af den store indvirkning, som AI kan have på samfundet, og behovet for at opbygge tillid er det afgørende, at AI og de lovgivningsmæssige rammer herfor udvikles i overensstemmelse med Unionens værdier, der er nedfældet i artikel 2 i traktaten om Den Europæiske Union (TEU), og de grundlæggende rettigheder og friheder, der er nedfældet i traktaterne og, i henhold til artikel 6 i TEU, chartret. Det bør være en forudsætning, at AI er en menneskecentreret teknologi. Det bør tjene som et redskab for mennesker med det endelige mål at øge menneskers trivsel.

(7) For at sikre et ensartet højt beskyttelsesniveau for samfundsinteresser med hensyn til sundhed, sikkerhed og grundlæggende rettigheder bør der fastsættes fælles regler for højrisiko-AI-systemer. Disse regler bør være i overensstemmelse med chartret, være ikkeforskelsbehandlende og i overensstemmelse med Unionens internationale handelsforpligtelser. De bør også tage hensyn til den europæiske erklæring om digitale rettigheder og principper for det digitale årti og de etiske retningslinjer for troværdig AI fra Ekspertgruppen på Højt Niveau vedrørende Kunstig Intelligens (AI-ekspertgruppen).

(8) Der er derfor behov for en EU-retlig ramme, der fastsætter harmoniserede regler for AI, for at fremme udviklingen, brugen og udbredelsen af AI på det indre marked, som samtidig opfylder et højt beskyttelsesniveau for samfundsinteresser såsom sundhed og sikkerhed og beskyttelse af grundlæggende rettigheder, herunder demokrati, retsstatsprincippet og miljøbeskyttelse, som anerkendt og beskyttet i EU-retten. For at nå dette mål bør der fastsættes regler for omsætning, ibrugtagning og anvendelse af visse AI-systemer for at sikre et velfungerende indre marked og lade disse systemer drage fordel af princippet om fri bevægelighed for varer og tjenesteydelser. Disse regler bør være klare og robuste med hensyn til at beskytte de grundlæggende rettigheder, støtte nye innovative løsninger og muliggøre et europæisk økosystem af offentlige og private aktører, der skaber AI-systemer i overensstemmelse med Unionens værdier og frigør potentialet ved den digitale omstilling i alle regioner i Unionen. Med fastsættelsen af disse regler samt foranstaltninger til støtte for innovation med et særligt fokus på små og mellemstore virksomheder (SMV'er), herunder iværksættervirksomheder, støtter denne forordning målet om at fremme en europæisk menneskecentreret tilgang til AI og om at være førende på verdensplan inden for udvikling af sikker, troværdig og etisk AI som anført af Det Europæiske Råd (5), og den sikrer beskyttelse af etiske principper, således som Europa-Parlamentet specifikt har anmodet om (6).

(9) Der bør fastsættes harmoniserede regler for omsætning, ibrugtagning og anvendelse af højrisiko-AI-systemer i overensstemmelse med Europa-Parlamentets og Rådets forordning (EF) nr. 765/2008 (7), Europa-Parlamentets og Rådets afgørelse nr. 768/2008/EF (8) og Europa-Parlamentets og Rådets forordning (EU) 2019/1020 (9) (den nye lovgivningsmæssige ramme for markedsføring af produkter). De harmoniserede regler, der er fastsat i nærværende forordning, bør finde anvendelse på tværs af sektorer og bør i overensstemmelse med den nye lovgivningsmæssige ramme ikke berøre gældende EU-ret, navnlig om databeskyttelse, forbrugerbeskyttelse, grundlæggende rettigheder, beskæftigelse og beskyttelse af arbejdstagere og produktsikkerhed, som nærværende forordning supplerer. Som følge heraf forbliver alle rettigheder og retsmidler, som er fastsat i en sådan EU-ret for forbrugere og andre personer, som AI-systemer kan have en negativ indvirkning på, herunder for så vidt angår erstatning for eventuelle skader i henhold til Rådets direktiv 85/374/EØF (10), uberørte og finder fuldt ud anvendelse. Endvidere bør denne forordning i forbindelse med beskæftigelse og beskyttelse af arbejdstagere derfor ikke berøre EU-retten om socialpolitik og national arbejdsret, der overholder EU-retten, vedrørende ansættelsesvilkår og arbejdsforhold, herunder sundhed og sikkerhed på arbejdspladsen, og forholdet mellem arbejdsgivere og arbejdstagere. Denne forordning bør heller ikke påvirke udøvelsen af de grundlæggende rettigheder, der anerkendes i medlemsstaterne og på EU-plan, herunder retten eller friheden til at strejke eller til at foretage andre tiltag, der er omfattet af specifikke ordninger for arbejdsmarkedsrelationer i medlemsstaterne, samt retten til at forhandle, indgå og håndhæve kollektive overenskomster eller retten til at foretage kollektive tiltag i overensstemmelse med national ret. Denne forordning bør ikke berøre de bestemmelser, der tilstræber at forbedre arbejdsvilkårene for platformsarbejde, der er fastsat i et direktiv vedtaget af Europa-Parlamentets og Rådets direktiv om forbedring af arbejdsvilkårene for platformsarbejde. Derudover har denne forordning til formål at styrke effektiviteten af sådanne eksisterende rettigheder og retsmidler ved at fastsætte specifikke krav og forpligtelser, herunder med hensyn til AI-systemers gennemsigtighed, tekniske dokumentation og registrering. Desuden bør de forpligtelser, der pålægges forskellige operatører, der er involveret i AI-værdikæden i henhold til denne forordning, finde anvendelse, uden at det berører national ret, der overholder EU-retten, hvorved anvendelsen af visse AI-systemer begrænses, hvis sådan national ret falder uden for denne forordnings anvendelsesområde eller forfølger andre legitime mål af samfundsmæssig interesse end dem, der forfølges med denne forordning. For eksempel bør national arbejdsret og national ret om beskyttelse af mindreårige, dvs. personer under 18 år, under hensyntagen til generel bemærkning nr. 25 (2021) om børns rettigheder vedrørende det digitale miljø fra FN's Komité for Barnets Rettigheder, for så vidt de ikke er specifikke for AI-systemer og forfølger andre legitime mål af samfundsmæssig interesse, ikke berøres af denne forordning.

(10) Den grundlæggende ret til beskyttelse af personoplysninger er navnlig sikret ved Europa-Parlamentets og Rådets forordning (EU) 2016/679 (11) og (EU) 2018/1725 (12) samt Europa-Parlamentets og Rådets direktiv (EU) 2016/680 (13). Europa-Parlamentets og Rådets direktiv 2002/58/EF (14) beskytter desuden privatlivets fred og kommunikationshemmeligheden, herunder med fastsættelse af betingelser for lagring af personoplysninger og andre oplysninger end personoplysninger i terminaludstyr og for adgang til terminaludstyr. Disse EU-retsakter danner grundlaget for bæredygtig og ansvarlig databehandling, herunder når datasæt omfatter en blanding af personoplysninger og andre data end personoplysninger. Nærværende forordning har ikke til formål at påvirke anvendelsen af gældende EU-ret om behandling af personoplysninger, herunder de opgaver og beføjelser, der påhviler de uafhængige tilsynsmyndigheder med kompetence til at overvåge, at disse instrumenter overholdes. Den berører heller ikke de forpligtelser for udbydere og idriftsættere af AI-systemer i deres rolle som dataansvarlige eller databehandlere, der følger af EU-retten eller national ret om beskyttelse af personoplysninger, for så vidt udformningen, udviklingen eller anvendelsen af AI-systemer omfatter behandling af personoplysninger. Det er også hensigtsmæssigt at præcisere, at registrerede bevarer alle de rettigheder og garantier, som de har i henhold til EU-retten, herunder rettigheder i forbindelse med helt automatiseret individuel beslutningstagning, herunder profilering. Harmoniserede regler for omsætning, ibrugtagning og anvendelse af AI-systemer, der er fastsat i henhold til nærværende forordning, bør lette en effektiv gennemførelse og muliggøre udøvelsen af de registreredes rettigheder og andre retsmidler, der er sikret i medfør af EU-retten om beskyttelse af personoplysninger og andre grundlæggende rettigheder.

(11) Denne forordning berører ikke bestemmelserne om ansvar for udbydere af formidlingstjenester som fastsat i Europa-Parlamentets og Rådets forordning (EU) 2022/2065 (15).

(12) Begrebet »AI-system« i denne forordning bør defineres klart og bør nøje afstemmes med det arbejde, der udføres af internationale organisationer, som arbejder med AI, for at sikre retssikkerhed, lette international konvergens og bred accept, og samtidig være fleksibelt nok til at tage højde for den hurtige teknologiske udvikling på dette område. Desuden bør definitionen baseres på centrale egenskaber ved AI-systemer, der adskiller det fra enklere traditionelle softwaresystemer eller programmeringstilgange, og bør ikke omfatte systemer, der er baseret på de regler, der udelukkende er defineret af fysiske personer til automatisk at udføre operationer. En central egenskab ved AI-systemer er deres evne til at udlede. Denne evne til at udlede henviser til processen med at opnå output såsom forudsigelser, indhold, anbefalinger eller beslutninger, der kan påvirke fysiske og virtuelle miljøer, og til AI-systemernes evne til at udlede modeller eller algoritmer, eller begge dele, fra input eller data. De teknikker, der muliggør udledning ved opbygningen af et AI-system, omfatter maskinlæringstilgange, der af data lærer, hvordan bestemte mål kan nås, og logik- og videnbaserede tilgange, der udleder indhold fra indkodet viden eller symbolsk repræsentation af den opgave, der skal løses. Et AI-systems evne til at udlede går videre end grundlæggende databehandling ved at muliggøre læring, ræsonnement eller modellering. Udtrykket »maskinbaseret« henviser til det forhold, at AI-systemer kører på maskiner. Henvisningen til eksplicitte eller implicitte mål understreger, at AI-systemer kan fungere i overensstemmelse med eksplicit definerede mål eller implicitte mål. AI-systemets mål kan adskille sig fra det tilsigtede formål med AI-systemet i en specifik sammenhæng. Med henblik på denne forordning bør miljøer forstås som de sammenhænge, hvori AI-systemerne fungerer, mens output genereret af AI-systemet afspejler forskellige funktioner, der udføres af AI-systemer og omfatter forudsigelser, indhold, anbefalinger eller beslutninger. AI-systemer er udformet til at fungere med varierende grader af autonomi, hvilket betyder, at de har en vis grad af uafhængighed fra menneskelig medvirken og har evnen til at fungere uden menneskelig indgriben. Den tilpasningsevne, som et AI-system kan udvise efter idriftsættelsen, henviser til selvlæringskapacitet, der gør det muligt for systemet at ændre sig, mens det er i brug. AI-systemer kan anvendes selvstændigt eller som en del af et produkt, uanset om systemet er fysisk integreret i produktet (indlejret), eller tjene produktets funktionalitet uden at være integreret deri (ikke indlejret).

(13) Begrebet »idriftsætter«, der er omhandlet i denne forordning, bør fortolkes som enhver fysisk eller juridisk person, herunder en offentlig myndighed, et agentur eller et andet organ, der anvender et AI-system under sin myndighed, medmindre AI-systemet anvendes som led i en personlig ikkeerhvervsmæssig aktivitet. Afhængigt af typen af AI-system kan anvendelsen af systemet påvirke andre personer end idriftsætteren.

(14) Begrebet »biometriske data«, der anvendes i denne forordning, bør fortolkes i lyset af begrebet biometriske data som defineret i artikel 4, nr. 14), i forordning (EU) 2016/679, artikel 3, nr. 18), i forordning (EU) 2018/1725 og artikel 3, nr. 13), i direktiv (EU) 2016/680. Biometriske data kan muliggøre autentifikation, identifikation eller kategorisering af fysiske personer og genkendelse af fysiske personers følelser.

(15) Begrebet »biometrisk identifikation«, der er omhandlet i denne forordning, bør defineres som automatiseret genkendelse af fysiske, fysiologiske og adfærdsmæssige menneskelige egenskaber som f.eks. ansigt, øjenbevægelser, kropsform, stemme, prosodi, gangart, kropsholdning, hjerterytme, blodtryk, lugt og tasteanslagskarakteristika med det formål at fastslå en persons identitet ved at sammenligne personens biometriske data med de biometriske data om personer, der er lagret i en referencedatabase, uanset om denne person har givet sit samtykke hertil eller ej. Dette udelukker AI-systemer, der tilsigtes anvendt til biometrisk verifikation, som omfatter autentifikation, hvis eneste formål er at bekræfte, at en bestemt fysisk person er den person, vedkommende hævder at være, og bekræfte en fysisk persons identitet udelukkende med det formål at få adgang til en tjeneste, låse udstyr op eller have sikker adgang til lokaler.

(16) Begrebet »biometrisk kategorisering«, der er omhandlet i denne forordning, bør defineres som placering af fysiske personer i bestemte kategorier på grundlag af deres biometriske data. Sådanne specifikke kategorier kan vedrøre aspekter som køn, alder, hårfarve, øjenfarve, tatoveringer, adfærdsmønstre eller personlighedstræk, sprog, religion, tilhørsforhold til et nationalt mindretal samt seksuel eller politisk orientering. Dette omfatter ikke systemer til biometrisk kategorisering, som er en rent accessorisk funktion, der er uløseligt forbundet med en anden kommerciel tjeneste, og som indebærer, at funktionen af objektive tekniske grunde ikke kan anvendes uden den primære tjeneste, og at integrationen af denne funktion eller funktionalitet ikke er et middel til at omgå anvendelsen af reglerne i denne forordning. Eksempelvis kan filtre, der kategoriserer ansigts- eller kropstræk, som anvendes på onlinemarkedspladser, udgøre en sådan accessorisk funktion, da de kun kan anvendes i forbindelse med den primære tjeneste, der består i at sælge et produkt ved at give forbrugeren mulighed for se visningen af produktet på sig selv og hjælpe forbrugeren med at træffe en købsbeslutning. Filtre, der anvendes på sociale onlinenetværkstjenester, og som kategoriserer ansigts- eller kropstræk for at give brugerne mulighed for at tilføje eller ændre billeder eller videoer, kan også betragtes som en accessorisk funktion, da et sådant filter ikke kan anvendes uden den primære tjeneste i de sociale netværkstjenester, der består i deling af indhold online.

(17) Begrebet »system til biometrisk fjernidentifikation«, der er omhandlet i denne forordning, bør defineres funktionelt som et AI-system, der er tilsigtet identifikation af fysiske personer uden deres aktive medvirken, typisk på afstand, ved at sammenligne en persons biometriske data med de biometriske data i en referencedatabase, uanset hvilken specifik teknologi, hvilke specifikke processer eller hvilke specifikke typer biometriske data der anvendes. Sådanne systemer til biometrisk fjernidentifikation anvendes typisk til at opfatte flere personer eller deres adfærd samtidigt for i væsentlig grad at lette identifikationen af fysiske personer uden deres aktive medvirken. Dette udelukker AI-systemer, der tilsigtes anvendt til biometrisk verifikation, som omfatter autentifikation, hvis eneste formål er at bekræfte, at en bestemt fysisk person er den person, vedkommende hævder at være, og bekræfte en fysisk persons identitet udelukkende med det formål at få adgang til en tjeneste, låse udstyr op eller have sikkerhedsadgang til lokaler. Denne udelukkelse begrundes med, at sådanne systemer sandsynligvis vil have en mindre indvirkning på fysiske personers grundlæggende rettigheder sammenlignet med systemerne til biometrisk fjernidentifikation, der kan anvendes til behandling af et stort antal personers biometriske data uden deres aktive medvirken. Hvis der er tale om realtidssystemer, sker optagelsen af de biometriske data, sammenligningen og identifikationen øjeblikkeligt, næsten øjeblikkeligt eller under alle omstændigheder uden væsentlig forsinkelse. I denne forbindelse bør der ikke være mulighed for at omgå denne forordnings bestemmelser om realtidsanvendelse af de pågældende AI-systemer ved at foranledige mindre forsinkelser. Realtidssystemer omfatter anvendelse af direkte eller lettere forskudt materiale såsom videooptagelser, der genereres af et kamera eller andet udstyr med tilsvarende funktioner. Er der derimod tale om systemer til efterfølgende biometrisk identifikation, er de biometriske data allerede blevet optaget, og sammenligningen og identifikationen finder først sted efter en væsentlig forsinkelse. Der er tale om materiale såsom billeder eller videooptagelser, der genereres af TV-overvågningskameraer eller privat udstyr, og som er genereret inden systemets anvendelse for så vidt angår de pågældende fysiske personer.

(18) Begrebet »system til følelsesgenkendelse«, der er omhandlet i denne forordning, bør defineres som et AI-system, der har til formål at identificere eller udlede fysiske personers følelser eller hensigter på grundlag af deres biometriske data. Begrebet henviser til følelser eller hensigter såsom lykke, sorgfuldhed, vrede, forbavselse, afsky, forlegenhed, begejstring, skam, foragt, tilfredshed og morskab. Det omfatter ikke fysiske tilstande såsom smerte eller træthed, herunder f.eks. systemer, der anvendes til at påvise træthedstilstanden hos professionelle piloter eller førere med henblik på at forebygge ulykker. Det omfatter heller ikke den blotte påvisning af umiddelbart synlige udtryk, fagter eller bevægelser, medmindre de anvendes til at identificere eller udlede følelser. Disse udtryk kan være simple ansigtsudtryk såsom en panderynken eller et smil eller fagter såsom bevægelse af hænder, arme eller hoved eller karakteristika ved en persons stemme såsom en hævet stemme eller hvisken.

(19) I denne forordning bør begrebet offentligt sted forstås som ethvert fysisk sted, der er tilgængeligt for et ubestemt antal fysiske personer, og uanset om det pågældende sted er privatejet eller offentligt ejet, og uanset den aktivitet, som stedet kan anvendes til, såsom til handel, f.eks. butikker, restauranter og caféer, til tjenesteydelser, f.eks. banker, erhvervsmæssige aktiviteter og hotel-, restaurations- og oplevelsesbranchen, til sport, f.eks. svømmebassiner, fitnesscentre og stadioner, til transport, f.eks. bus-, metro- og jernbanestationer, lufthavne og transportmidler, til underholdning, f.eks. biografer, teatre, museer og koncert- og konferencesale, eller til fritid eller andet, f.eks. offentlige veje og pladser, parker, skove og legepladser. Et sted bør også klassificeres som værende offentligt tilgængeligt, hvis adgangen, uanset eventuelle kapacitets- eller sikkerhedsrestriktioner, er underlagt visse forud fastsatte betingelser, som kan opfyldes af et ubestemt antal personer, såsom køb af en billet eller et rejsebevis, forudgående registrering eller det at have en bestemt alder. Derimod bør et sted ikke anses for at være offentligt tilgængeligt, hvis adgangen er begrænset til specifikke og definerede fysiske personer i henhold til enten EU-retten eller national ret, der er direkte knyttet til den offentlige sikkerhed, eller gennem en klar viljestilkendegivelse fra den person, der har den relevante myndighed over stedet. Den faktiske mulighed for adgang alene såsom en ulåst dør eller en åben låge i et hegn indebærer ikke, at stedet er et offentligt sted, hvis der er indikationer eller omstændigheder, der tyder på det modsatte, såsom skilte, der forbyder eller begrænser adgangen. Virksomheds- og fabrikslokaler samt kontorer og arbejdspladser, der kun tilsigtes at være tilgængelige for relevante medarbejdere og tjenesteydere, er ikke offentlige steder. Offentlige steder bør ikke omfatte fængsler eller grænsekontrol. Visse andre områder kan bestå af både offentlige steder og ikkeoffentlige steder såsom forhallen til en privat beboelsesejendom, som det er nødvendigt at gå igennem for at få adgang til en læges kontor, eller en lufthavn. Online steder er ikke omfattet, da der ikke er tale om fysiske steder. Om et givet sted betragtes som offentligt, bør imidlertid afgøres fra sag til sag under hensyntagen til de særlige forhold i den enkelte situation.

(20) For at opnå de største fordele ved AI-systemer, samtidig med at de grundlæggende rettigheder, sundheden og sikkerheden beskyttes, og for at muliggøre demokratisk kontrol bør AI-færdigheder udstyre udbydere, idriftsættere og berørte personer med de nødvendige begreber til at træffe informerede beslutninger vedrørende AI-systemer. Disse begreber kan variere med hensyn til den relevante kontekst og kan omfatte forståelse af den korrekte anvendelse af tekniske elementer i AI-systemets udviklingsfase, de foranstaltninger, der skal anvendes under dets anvendelse, passende måder at fortolke AI-systemets output på, og i tilfælde af berørte personer den viden, der er nødvendig for at forstå, hvordan beslutninger truffet med hjælp fra AI vil have indvirkning på dem. I forbindelse med anvendelsen af denne forordning bør AI-færdigheder give alle relevante aktører i AI-værdikæden den indsigt, der er nødvendig for at sikre passende overholdelse og korrekt håndhævelse heraf. Desuden kan den brede gennemførelse af foranstaltninger vedrørende AI-færdigheder og indførelsen af passende opfølgende tiltag bidrage til at forbedre arbejdsvilkårene og i sidste ende understøtte konsoliderings- og innovationsstien for troværdig AI i Unionen. Det Europæiske Udvalg for Kunstig Intelligens (»AI-udvalget«) bør støtte Kommissionen med henblik på at fremme AI-færdighedsværktøjer samt offentlighedens kendskab til og forståelse af fordele, risici, sikkerhedsforanstaltninger, rettigheder og forpligtelser i forbindelse med anvendelsen af AI-systemer. I samarbejde med de relevante interessenter bør Kommissionen og medlemsstaterne lette udarbejdelsen af frivillige adfærdskodekser for at fremme AI-færdigheder blandt personer, der beskæftiger sig med udvikling, drift og anvendelse af AI.

(21) For at sikre lige vilkår og en effektiv beskyttelse af fysiske personers rettigheder og friheder i hele Unionen bør de regler, der fastsættes ved denne forordning, finde anvendelse på udbydere af AI-systemer på en ikkeforskelsbehandlende måde, uanset om de er etableret i Unionen eller i et tredjeland, og på idriftsættere af AI-systemer, der er etableret i Unionen.

(22) I betragtning af deres digitale karakter bør visse AI-systemer være omfattet af denne forordnings anvendelsesområde, selv når de ikke bringes i omsætning, ibrugtages eller anvendes i Unionen. Dette er f.eks. tilfældet, når en operatør, der er etableret i Unionen, indgår kontrakter om visse tjenesteydelser med en operatør, der er etableret i et tredjeland, i forbindelse med en aktivitet, der skal udføres af et AI-system, der kan betegnes som højrisiko. Under disse omstændigheder ville det AI-system, der anvendes i tredjelandet af operatøren, kunne behandle data, der lovligt er indsamlet i og overført fra Unionen, og levere outputtet fra dette AI-systems behandling til den kontraherende operatør i Unionen, uden at dette AI-system bringes i omsætning, ibrugtages eller anvendes i Unionen. For at forhindre omgåelse af denne forordning og sikre en effektiv beskyttelse af fysiske personer i Unionen, bør denne forordning også finde anvendelse på udbydere og idriftsættere af AI-systemer, der er etableret i et tredjeland, i det omfang det output, der produceres af disse systemer, tilsigtes anvendt i Unionen. For at tage hensyn til eksisterende ordninger og særlige behov for fremtidigt samarbejde med udenlandske partnere, med hvem der udveksles oplysninger og bevismateriale, bør denne forordning ikke finde anvendelse på offentlige myndigheder i et tredjeland og internationale organisationer, når disse handler inden for rammerne af samarbejdsaftaler eller internationale aftaler indgået på EU-plan eller nationalt plan om retshåndhævelse og retligt samarbejde med Unionen eller medlemsstaterne, forudsat at det relevante tredjeland eller den relevante internationale organisation giver tilstrækkelige sikkerhedsforanstaltninger med hensyn til beskyttelsen af fysiske personers grundlæggende rettigheder og friheder. Dette kan, hvor relevant, omfatte aktiviteter udført af enheder, som af tredjelande har fået overdraget ansvaret for at udføre specifikke opgaver til støtte for en sådan retshåndhævelse og et sådant retligt samarbejde. Sådanne samarbejdsrammer eller aftaler er oprettet bilateralt mellem medlemsstaterne og tredjelande eller mellem Den Europæiske Union, Europol og andre EU-agenturer og tredjelande og internationale organisationer. De myndigheder, der har kompetence til at føre tilsyn med de retshåndhævende og retslige myndigheder i henhold til denne forordning, bør vurdere, om disse samarbejdsrammer eller internationale aftaler indeholder tilstrækkelige sikkerhedsforanstaltninger med hensyn til beskyttelse af fysiske personers grundlæggende rettigheder og friheder. De modtagende nationale myndigheder og EU-institutioner, -organer, -kontorer og -agenturer, der anvender sådanne output i Unionen, forbliver ansvarlige for at sikre, at deres anvendelse overholder EU-retten. Når disse internationale aftaler revideres, eller der indgås nye i fremtiden, bør de kontraherende parter gøre deres yderste for at tilpasse disse aftaler til kravene i denne forordning.

(23) Denne forordning bør også finde anvendelse på EU-institutioner, -organer, -kontorer og -agenturer, når de fungerer som udbyder eller idriftsætter af et AI-system.

(24) Hvis og i det omfang AI-systemer bringes i omsætning, ibrugtages eller anvendes med eller uden ændringer af sådanne systemer til militære formål, forsvarsformål eller formål vedrørende national sikkerhed, bør disse udelukkes fra denne forordnings anvendelsesområde, uanset hvilken type enhed der udfører disse aktiviteter, f.eks. om det er en offentlig eller privat enhed. For så vidt angår militære og forsvarsmæssige formål begrundes en sådan udelukkelse både i medfør af artikel 4, stk. 2, i TEU, og i de særlige forhold, der gør sig gældende for medlemsstaternes forsvarspolitik og den fælles EU-forsvarspolitik, der er omfattet af afsnit V, kapitel 2, i TEU, og som er underlagt folkeretten, og som derfor er den mest hensigtsmæssige retlige ramme for regulering af AI-systemer i forbindelse med anvendelsen af dødbringende magtanvendelse og andre AI-systemer i forbindelse med militære og forsvarsmæssige aktiviteter. For så vidt angår formål vedrørende den nationale sikkerhed begrundes udelukkelsen både i den omstændighed, at den nationale sikkerhed forbliver medlemsstaternes eneansvar i overensstemmelse med artikel 4, stk. 2, i TEU, og i den særlige karakter af og de operationelle behov i forbindelse med aktiviteter vedrørende den nationale sikkerhed og specifikke nationale regler, der finder anvendelse på disse aktiviteter. Hvis et AI-system, der er udviklet, bragt i omsætning, ibrugtaget eller anvendt til militære formål, forsvarsformål eller formål vedrørende den nationale sikkerhed, anvendes uden for disse midlertidigt eller permanent til andre formål, f.eks. civile eller humanitære formål, retshåndhævelsesformål eller hensynet til den offentlige sikkerhed, vil et sådant system ikke desto mindre være omfattet af denne forordnings anvendelsesområde. I så fald bør den enhed, der anvender AI-systemet til andre formål end militære formål, forsvarsformål eller formål vedrørende den nationale sikkerhed, sikre, at AI-systemet overholder denne forordning, medmindre systemet allerede overholder denne forordning. AI-systemer, der bringes i omsætning eller ibrugtages til et udelukket formål, dvs. militært formål, forsvarsformål eller formål vedrørende den nationale sikkerhed, og et eller flere ikkeudelukkede formål, f.eks. civile formål eller retshåndhævelse, falder ind under denne forordnings anvendelsesområde, og udbydere af disse systemer bør sikre overholdelse af denne forordning. I disse tilfælde bør det forhold, at et AI-system kan være omfattet af denne forordnings anvendelsesområde, ikke berøre muligheden for, at enheder, der udfører aktiviteter vedrørende den nationale sikkerhed, forsvarsaktiviteter og militæraktiviteter, uanset hvilken type enhed der udfører disse aktiviteter, anvender AI-systemer til formål vedrørende den nationale sikkerhed, militære formål og forsvarsformål, idet en sådan anvendelse er udelukket fra denne forordnings anvendelsesområde. Et AI-system, der bringes i omsætning til civile formål eller retshåndhævelsesformål, og som anvendes med eller uden ændringer til militære formål, forsvarsformål eller formål vedrørende den nationale sikkerhed, bør ikke være omfattet af denne forordnings anvendelsesområde, uanset hvilken type enhed der udfører disse aktiviteter.

(25) Denne forordning bør støtte innovation, bør respektere forskningsfriheden og bør ikke undergrave forsknings- og udviklingsaktivitet. Det er derfor nødvendigt at udelukke AI-systemer og -modeller, der specifikt er udviklet og ibrugtaget udelukkende med henblik på videnskabelig forskning og udvikling. Det er desuden nødvendigt at sikre, at denne forordning ikke på anden måde påvirker videnskabelig forsknings- og udviklingsaktivitet med AI-systemer eller -modeller, inden de bringes i omsætning eller ibrugtages. Med hensyn til produktorienteret forsknings-, afprøvnings- og udviklingsaktivitet vedrørende AI-systemer eller -modeller bør bestemmelserne i denne forordning heller ikke finde anvendelse, inden disse systemer og modeller ibrugtages eller bringes i omsætning. Denne udelukkelse berører ikke forpligtelsen til at overholde denne forordning, når et AI-system, der falder ind under denne forordnings anvendelsesområde, bringes i omsætning eller ibrugtages som følge af en sådan forsknings- og udviklingsaktivitet, eller anvendelsen af bestemmelser om reguleringsmæssige AI-sandkasser og afprøvning under faktiske forhold. Uden at det berører udelukkelsen af AI-systemer, der specifikt er udviklet og ibrugtaget udelukkende med henblik på videnskabelig forskning og udvikling, bør ethvert andet AI-system, der kan anvendes til udførelse af enhver forsknings- og udviklingsaktivitet, desuden fortsat være omfattet af bestemmelserne i denne forordning. Under alle omstændigheder bør enhver forsknings- og udviklingsaktivitet udføres i overensstemmelse med anerkendte etiske og professionelle standarder for videnskabelig forskning og bør gennemføres i overensstemmelse med gældende EU-ret.

(26) For at indføre et forholdsmæssigt og effektivt sæt bindende regler for AI-systemer bør der anvendes en klart defineret risikobaseret tilgang. Denne tilgang bør tilpasse typen og indholdet af sådanne regler til graden og omfanget af de risici, som AI-systemer kan generere. Det er derfor nødvendigt at forbyde visse former for uacceptabel AI-praksis, at fastsætte krav til højrisiko-AI-systemer og forpligtelser for de relevante operatører og at fastsætte gennemsigtighedsforpligtelser for visse AI-systemer.

(27) Selv om den risikobaserede tilgang danner grundlag for et forholdsmæssigt og effektivt sæt bindende regler, er det vigtigt at minde om de etiske retningslinjer for troværdig kunstig intelligens fra 2019, der er udarbejdet af den uafhængige AI-ekspertgruppe, som Kommissionen har udpeget. I disse retningslinjer udviklede AI-ekspertgruppen syv ikkebindende etiske principper for AI, som tilsigter at bidrage til at sikre, at AI er troværdig og etisk forsvarlig. De syv principper omfatter: menneskelig handlemulighed og menneskeligt tilsyn, teknologisk robusthed og sikkerhed, privatlivets fred og datastyring, gennemsigtighed, mangfoldighed, ikkeforskelsbehandling og retfærdighed, social og miljømæssig velfærd samt ansvarlighed. Uden at det berører de retligt bindende krav i denne forordning og anden gældende EU-ret, bidrager disse retningslinjer til udformningen af sammenhængende, troværdig og menneskecentreret AI i overensstemmelse med chartret og med de værdier, som Unionen bygger på. Ifølge AI-ekspertgruppens retningslinjer forstås der ved menneskelig handlemulighed og menneskeligt tilsyn, at AI-systemer udvikles og anvendes som et redskab, der betjener mennesker, respekterer menneskers værdighed og personlige uafhængighed, og som fungerer på en måde, der kan styres og tilses af mennesker på passende vis. Ved teknisk robusthed og sikkerhed forstås, at AI-systemer udvikles og anvendes på en måde, der giver mulighed for robusthed i tilfælde af problemer og modstandsdygtighed over for forsøg på at ændre AI-systemets anvendelse eller ydeevne, således at tredjeparters ulovlige anvendelse tillades, og minimerer utilsigtet skade. Ved privatlivets fred og datastyring forstås, at AI-systemer udvikles og anvendes i overensstemmelse med reglerne for beskyttelse af privatlivets fred og databeskyttelse, samtidig med at behandlingen af data lever op til høje standarder for kvalitet og integritet. Ved gennemsigtighed forstås, at AI-systemer udvikles og anvendes på en måde, der giver mulighed for passende sporbarhed og forklarlighed, samtidig med at personer gøres opmærksom på, at de kommunikerer eller interagerer med et AI-system, og at idriftsætterne informeres behørigt om det pågældende AI-systems kapacitet og begrænsninger og berørte personer om deres rettigheder. Ved mangfoldighed, ikkeforskelsbehandling og retfærdighed forstås, at AI-systemer udvikles og anvendes på en måde, der inkluderer forskellige aktører og fremmer lige adgang, ligestilling mellem kønnene og kulturel mangfoldighed, samtidig med at forskelsbehandlende virkninger og urimelige bias, der er forbudt i henhold til EU-retten eller national ret, undgås. Ved social og miljømæssig velfærd forstås, at AI-systemer udvikles og anvendes på en bæredygtig og miljøvenlig måde og på en måde, der gavner alle mennesker, samtidig med at de langsigtede virkninger for den enkelte, samfundet og demokratiet overvåges og vurderes. Anvendelsen af disse principper bør så vidt muligt omsættes i udformningen og anvendelsen af AI-modeller. De bør under alle omstændigheder tjene som grundlag for udarbejdelsen af adfærdskodekser i henhold til denne forordning. Alle interessenter, herunder industrien, den akademiske verden, civilsamfundet og standardiseringsorganisationer, opfordres til i relevant omfang at tage hensyn til de etiske principper ved udviklingen af frivillig bedste praksis og standarder.

(28) Ud over de mange nyttige anvendelser af AI kan den også misbruges og resultere i nye og effektive værktøjer til manipulerende, udnyttende og socialt kontrollerende former for praksis. Sådanne former for praksis er særlig skadelige og krænkende og bør forbydes, fordi de er i modstrid med Unionens værdier om respekt for menneskelig værdighed, frihed, ligestilling, demokrati og retsstatsprincippet og de grundlæggende rettigheder, der er nedfældet i chartret, herunder retten til beskyttelse mod forskelsbehandling, retten til databeskyttelse og retten til privatlivets fred og børns rettigheder.

(29) AI-baserede manipulerende teknikker kan anvendes til at overtale personer til at udvise uønsket adfærd eller til at vildlede dem ved at nudge dem til at træffe beslutninger på en måde, der undergraver og hæmmer deres autonomi, beslutningstagning og frie valg. Omsætning, ibrugtagning eller anvendelse af visse AI-systemer med det formål eller den virkning i væsentlig grad at fordreje menneskers adfærd, hvorved der sandsynligvis vil opstå betydelige skader, der navnlig kan have tilstrækkeligt vigtige negative indvirkninger på fysisk eller psykisk sundhed eller finansielle interesser, er særligt farlige og bør derfor forbydes. Sådanne AI-systemer anvender subliminale komponenter såsom lyd-, billed- eller videostimuli, som mennesker ikke kan opfatte, eftersom disse stimuli ligger uden for den menneskelige opfattelsesevne, eller andre manipulerende eller vildledende teknikker, der undergraver eller svækker menneskers autonomi, beslutningstagning eller frie valg på måder, hvor mennesker ikke er bevidste om disse teknikker, eller, hvis de er bevidste om dem, stadig kan blive vildledt eller ikke er i stand til at kontrollere eller modstå dem. Dette kan lettes f.eks. ved hjælp af maskine-hjerne-grænseflader eller virtuel virkelighed, da de giver mulighed for en højere grad af kontrol over, hvilke stimuli der præsenteres for personer, for så vidt som de i væsentlig grad kan fordreje deres adfærd på betydelig skadelig vis. Desuden kan AI-systemer også på anden måde udnytte sårbarheder hos en person eller en specifik gruppe af mennesker på grund af deres alder, handicap som omhandlet i Europa-Parlamentets og Rådets direktiv (EU) 2019/882 (16) eller en specifik social eller økonomisk situation, der sandsynligvis vil gøre disse personer mere sårbare over for udnyttelse, såsom personer, der lever i ekstrem fattigdom, og etniske eller religiøse mindretal. Sådanne AI-systemer kan bringes i omsætning, ibrugtages eller anvendes med den hensigt eller det resultat i væsentlig grad at fordreje en persons adfærd og på en måde, der forvolder eller med rimelig sandsynlighed kan forventes at ville forvolde den pågældende eller en anden person eller persongrupper betydelig skade, herunder skade, der kan akkumuleres over tid, og bør derfor forbydes. Det er ikke nødvendigvis muligt at antage, at der er en hensigt om at fordreje adfærd, hvis fordrejningen skyldes faktorer uden for AI-systemet, som er uden for udbyderens eller idriftsætterens kontrol, dvs. faktorer, der ikke med rimelighed kan forudses, og som udbyderen eller idriftsætteren af AI-systemet derfor ikke kan afbøde. Under alle omstændigheder er det ikke nødvendigt, at udbyderen eller idriftsætteren har til hensigt at forvolde betydelig skade, forudsat at en sådan skade er resultatet af AI-baserede manipulerende eller udnyttende former for praksis. Forbuddene mod sådanne former for AI-praksis supplerer bestemmelserne i Europa-Parlamentets og Rådets direktiv 2005/29/EF (17), navnlig at urimelig handelspraksis, der forårsager økonomisk eller finansiel skade for forbrugerne, er forbudt under alle omstændigheder, uanset om den indføres ved hjælp af AI-systemer eller på anden måde. Forbuddene mod manipulerende og udnyttende former for praksis i denne forordning bør ikke berøre lovlig praksis i forbindelse med lægebehandling såsom psykologbehandling af psykisk sygdom eller fysisk rehabilitering, når disse former for praksis udføres i overensstemmelse med gældende ret og medicinske standarder, for eksempel enkeltpersoners eller deres retlige repræsentanters udtrykkelige samtykke. Desuden bør almindelig og legitim handelspraksis, for eksempel på reklameområdet, der overholder gældende ret, ikke i sig selv anses for at udgøre skadelige AI-baserede manipulerende former for praksis.

(30) Systemer til biometrisk kategorisering, der er baseret på fysiske personers biometriske data, såsom en persons ansigt eller fingeraftryk, med henblik på at udlede en persons politiske anskuelser, fagforeningsmedlemskab, religiøse eller filosofiske overbevisning, race, seksuelle forhold eller seksuelle orientering, bør forbydes. Dette forbud bør ikke omfatte lovlig mærkning, filtrering eller kategorisering af biometriske datasæt, der er indhentet i overensstemmelse med EU-retten eller national ret i henhold til biometriske data, såsom sortering af billeder efter hårfarve eller øjenfarve, som f.eks. kan anvendes inden for retshåndhævelse.

(31)AI-systemer, hvor offentlige eller private aktører gør brug af social bedømmelse af fysiske personer, kan føre til forskelsbehandlende resultater og udelukkelse af visse grupper. De kan dermed krænke retten til værdighed og ikkeforskelsbehandling og værdierne lighed og retfærdighed. Sådanne AI-systemer evaluerer eller klassificerer fysiske personer eller grupper heraf på grundlag af en lang række datapunkter i tilknytning til deres sociale adfærd i flere sammenhænge eller kendte, udledte eller forudsagte personlige egenskaber eller personlighedstræk over en vis periode. Den sociale bedømmelse, der leveres af sådanne AI-systemer, kan føre til skadelig eller ugunstig behandling af fysiske personer eller hele grupper heraf i sociale sammenhænge, som ikke har noget at gøre med den sammenhæng, i hvilken dataene oprindeligt blev genereret eller indsamlet, eller til skadelig behandling, der er uforholdsmæssig eller uberettiget i forhold til betydningen af deres sociale adfærd. AI-systemer, der indebærer sådanne uacceptable former for bedømmelsespraksis, og som fører til et sådant skadeligt eller ugunstigt udfald, bør derfor forbydes. Dette forbud bør ikke berøre lovlige former for praksis med evaluering af fysiske personer, der udføres med et specifikt formål i overensstemmelse med EU-retten og national ret.

(32) Anvendelsen af AI-systemer til biometrisk fjernidentifikation i realtid af fysiske personer på offentlige steder med henblik på retshåndhævelse er særligt indgribende i de berørte personers rettigheder og friheder, for så vidt som det kan påvirke privatlivets fred for en stor del af befolkningen, skabe en følelse af konstant overvågning og indirekte afskrække fra udøvelsen af forsamlingsfriheden og andre grundlæggende rettigheder. Tekniske unøjagtigheder i AI-systemer, der er tilsigtet biometrisk fjernidentifikation af fysiske personer, kan føre til resultater behæftet med bias og have forskelsbehandlende virkning. Sådanne mulige resultater behæftet med bias og forskelsbehandlende virkninger er særligt relevante med hensyn til alder, etnicitet, race, køn og handicap. Desuden indebærer den øjeblikkelige virkning og de begrænsede muligheder for yderligere kontrol eller justeringer i forbindelse med anvendelsen af sådanne systemer, der fungerer i realtid, øgede risici for rettigheder og friheder for de berørte personer i forbindelse med eller påvirket af retshåndhævelsesaktiviteter.

(33) Anvendelsen af disse systemer med henblik på retshåndhævelse bør derfor forbydes, undtagen i udtømmende opregnede og snævert definerede situationer, hvor anvendelsen er strengt nødvendig for at opfylde en væsentlig samfundsinteresse, hvis betydning vejer tungere end risiciene. Disse situationer omfatter eftersøgning af visse ofre for kriminalitet, herunder forsvundne personer, visse trusler mod fysiske personers liv eller fysiske sikkerhed eller om et terrorangreb, samt lokalisering eller identifikation af gerningsmænd, der har begået, eller af personer, der mistænkes for at have begået, de strafbare handlinger, der er opført i et bilag til denne forordning, hvis disse strafbare handlinger i den berørte medlemsstat kan straffes med frihedsstraf eller en anden frihedsberøvende foranstaltning af en maksimal varighed på mindst fire år, og som de er defineret i denne medlemsstats ret. En sådan tærskel for frihedsstraf eller anden frihedsberøvende foranstaltning i overensstemmelse med national ret bidrager til at sikre, at lovovertrædelsen er af tilstrækkelig alvorlig karakter til potentielt at berettige anvendelsen af systemer til biometrisk fjernidentifikation i realtid. Desuden er listen over strafbare handlinger fastlagt i et bilag til denne forordning baseret på de 32 strafbare handlinger, der er opregnet i Rådets rammeafgørelse 2002/584/RIA (18), og tager hensyn til, at nogle af disse strafbare handlinger i praksis er mere relevante end andre, idet anvendelsen af biometrisk fjernidentifikation i realtid sandsynligvis i meget varierende grad kan være nødvendig og forholdsmæssig med henblik på lokalisering eller identifikation af en gerningsmand, der har begået, eller af en person, der mistænkes for at have begået, strafbare handlinger, der er opført på listen, og under hensyntagen til de sandsynlige forskelle i alvorligheden, sandsynligheden og omfanget af skaden eller mulige negative konsekvenser. En overhængende fare for fysiske personers liv eller fysiske sikkerhed kan også hidrøre fra en alvorlig afbrydelse af kritisk infrastruktur som defineret i artikel 2, nr. 4), i Europa-Parlamentets og Rådets direktiv (EU) 2022/2557 (19), hvor afbrydelse eller ødelæggelse af en sådan kritisk infrastruktur ville medføre overhængende fare for en persons liv eller fysiske sikkerhed, herunder gennem alvorlig skade på forsyningen af befolkningen med grundlæggende fornødenheder eller på udøvelsen af statens centrale funktion. Desuden bør denne forordning bevare de retshåndhævende myndigheders, grænsekontrolmyndighedernes, indvandringsmyndighedernes eller asylmyndighedernes mulighed for at foretage identitetskontrol under tilstedeværelse af den pågældende person i overensstemmelse med de betingelser, der er fastsat i EU-retten og national ret for en sådan kontrol. Navnlig bør retshåndhævende myndigheder, grænsekontrolmyndigheder, indvandringsmyndigheder eller asylmyndigheder kunne anvende informationssystemer i overensstemmelse med EU-retten eller national ret til at identificere personer, der under en identitetskontrol enten nægter at blive identificeret eller ikke er i stand til at oplyse eller bevise deres identitet, uden at det i henhold til denne forordning kræves, at der indhentes forhåndstilladelse. Dette kan f.eks. være en person, der er involveret i en forbrydelse, og som er uvillig eller ude af stand til på grund af en ulykke eller en helbredstilstand at afsløre sin identitet over for de retshåndhævende myndigheder.

(34) For at sikre at disse systemer anvendes på en ansvarlig og forholdsmæssig måde, er det også vigtigt at fastslå, at der i hver af disse udtømmende opregnede og snævert definerede situationer bør tages hensyn til visse elementer, navnlig med hensyn til situationens karakter, som ligger til grund for anmodningen, og konsekvenserne af anvendelsen for alle berørte personers rettigheder og friheder samt de sikkerhedsforanstaltninger og betingelser, der er fastsat for brugen. Anvendelsen af systemer til biometrisk fjernidentifikation i realtid på offentlige steder med henblik på retshåndhævelse bør kun idriftsættes til at bekræfte den specifikt målrettede persons identitet og bør begrænses til, hvad der er strengt nødvendigt for så vidt angår tidsperioden samt det geografiske og personmæssige anvendelsesområde, navnlig med hensyn til beviserne eller indikationerne vedrørende truslerne, ofrene eller gerningsmanden. Anvendelsen af systemet til biometrisk fjernidentifikation i realtid på offentlige steder bør kun tillades, hvis den relevante retshåndhævende myndighed har gennemført en konsekvensanalyse vedrørende grundlæggende rettigheder og, medmindre andet er fastsat i denne forordning, har registreret systemet i databasen som fastsat i denne forordning. Referencedatabasen over personer bør være passende for hvert enkelt anvendelsestilfælde i hver af de ovennævnte situationer.

(35) Enhver anvendelse af et system til biometrisk fjernidentifikation i realtid på offentlige steder med henblik på retshåndhævelse bør være betinget af en udtrykkelig og specifik tilladelse fra en medlemsstats judicielle myndighed eller uafhængige administrative myndighed, hvis afgørelse er bindende. En sådan tilladelse bør i princippet indhentes forud for anvendelsen af AI- systemet med henblik på at identificere en eller flere personer. Undtagelser fra denne regel bør tillades i behørigt begrundede hastende tilfælde, dvs. i situationer, hvor behovet for at anvende de pågældende systemer er af en sådan art, at det er praktisk og objektivt umuligt at indhente en tilladelse, inden anvendelsen af AI-systemet påbegyndes. I sådanne hastende situationer bør anvendelsen af AI-systemet begrænses til det absolut nødvendige minimum og bør være underlagt passende sikkerhedsforanstaltninger og betingelser som fastsat i national ret og præciseret i forbindelse med hver enkelt hastesag af den retshåndhævende myndighed selv. Desuden bør den retshåndhævende myndighed i sådanne situationer anmode om en sådan tilladelse og samtidig begrunde, hvorfor den ikke har været i stand til at anmode om den tidligere, uden unødigt ophold og senest inden for 24 timer. Hvis en sådan tilladelse afvises, bør anvendelsen af systemer til biometrisk identifikation i realtid, der er knyttet til den pågældende tilladelse, indstilles med øjeblikkelig virkning, og alle data vedrørende en sådan anvendelse bør kasseres og slettes. Sådanne data omfatter inputdata, der er erhvervet direkte af et AI-system ved anvendelsen af et sådant system, samt resultater og output af den anvendelse, der er knyttet til den pågældende tilladelse. Det bør ikke omfatte input, der er erhvervet lovligt i overensstemmelse med anden EU-ret eller national ret. Under alle omstændigheder bør der ikke træffes nogen afgørelse, der har negative retsvirkninger for en person, udelukkende baseret på outputtet af systemet til biometrisk fjernidentifikation.

(36) Den relevante markedsovervågningsmyndighed og den nationale databeskyttelsesmyndighed bør for at kunne udføre deres opgaver i overensstemmelse med kravene fastsat i denne forordning og i de nationale regler underrettes om hver anvendelse af »systemet til biometrisk identifikation i realtid«. Markedsovervågningsmyndighederne og de nationale databeskyttelsesmyndigheder, der er blevet underrettet, bør forelægge Kommissionen en årlig rapport om anvendelsen af systemer til biometrisk identifikation i realtid.

(37) Endvidere bør det inden for denne forordnings udtømmende rammer fastsættes, at en sådan anvendelse på en medlemsstats område i overensstemmelse med denne forordning kun bør være mulig, hvis og i det omfang den pågældende medlemsstat har besluttet udtrykkeligt at give mulighed for at tillade en sådan anvendelse i sine detaljerede bestemmelser i national ret. Det står derfor medlemsstaterne frit for i henhold til denne forordning slet ikke at fastsætte en sådan mulighed eller kun at fastsætte en sådan mulighed med hensyn til nogle af de mål, der i henhold til denne forordning kan begrunde en godkendt anvendelse. Sådanne nationale regler bør meddeles Kommissionen inden for 30 dage efter deres vedtagelse.

(38) Anvendelsen af AI-systemer til biometrisk fjernidentifikation i realtid af fysiske personer på offentlige steder med henblik på retshåndhævelse indebærer nødvendigvis behandling af biometriske data. De bestemmelser i denne forordning, der med forbehold af visse undtagelser forbyder en sådan anvendelse, og som har grundlag i artikel 16 i TEUF, bør finde anvendelse som lex specialis, for så vidt angår reglerne om behandling af biometriske data i artikel 10 i direktiv (EU) 2016/680 og således regulere anvendelsen og behandlingen af biometriske data på en udtømmende måde. En sådan anvendelse og behandling bør derfor kun være mulig, i det omfang det er foreneligt med den ramme, der er fastsat i denne forordning, uden at der uden for denne ramme er mulighed for, at de kompetente myndigheder, når de handler med henblik på retshåndhævelse, kan anvende sådanne systemer og i forbindelse hermed behandle sådanne data af de grunde, der er anført i artikel 10 i direktiv (EU) 2016/680. I denne sammenhæng har denne forordning ikke til formål at tilvejebringe retsgrundlaget for behandling af personoplysninger i henhold til artikel 8 i direktiv (EU) 2016/680. Anvendelsen af systemer til biometrisk fjernidentifikation i realtid på offentlige steder til andre formål end retshåndhævelse, herunder af kompetente myndigheder, bør imidlertid ikke være omfattet af den specifikke ramme for en sådan anvendelse med henblik på retshåndhævelse som fastsat i denne forordning. En sådan anvendelse til andre formål end retshåndhævelse bør derfor ikke være underlagt kravet om en tilladelse i henhold til denne forordning og de gældende detaljerede bestemmelser i national ret, der kan give denne tilladelse virkning.

(39) Enhver behandling af biometriske data og andre personoplysninger i forbindelse med anvendelsen af AI-systemer til biometrisk identifikation, undtagen i forbindelse med anvendelsen af systemer til biometrisk fjernidentifikation i realtid på offentlige steder med henblik på retshåndhævelse som reguleret ved denne forordning, bør fortsat overholde alle de krav, der følger af artikel 10 i direktiv (EU) 2016/680. Med henblik på andre formål end retshåndhævelse forbyder artikel 9, stk. 1, i forordning (EU) 2016/679 og artikel 10, stk. 1, i forordning (EU) 2018/1725 behandling af biometriske data med begrænsede undtagelser som fastsat i disse artikler. I henhold til artikel 9, stk. 1, i forordning (EU) 2016/679 har anvendelsen af biometrisk fjernidentifikation til andre formål end retshåndhævelse allerede været genstand for forbudsafgørelser fra nationale databeskyttelsesmyndigheder.

(40) I medfør af artikel 6a i protokol nr. 21 om Det Forenede Kongeriges og Irlands stilling, for så vidt angår området med frihed, sikkerhed og retfærdighed, der er knyttet som bilag til TEU og TEUF, er Irland ikke bundet af regler fastsat i denne forordnings artikel 5, stk. 1, første afsnit, litra g), i det omfang den finder anvendelse på brugen af systemer til biometrisk kategorisering til aktiviteter inden for politisamarbejde og retligt samarbejde i straffesager, artikel 5, stk. 1, første afsnit, litra d), i det omfang den finder anvendelse på brugen af AI-systemer, der er omfattet af nævnte bestemmelse, artikel 5, stk. 1, første afsnit, litra h), og stk. 2-6, og artikel 26, stk. 10, der er vedtaget på grundlag af artikel 16 i TEUF vedrørende medlemsstaternes behandling af personoplysninger under udøvelsen af aktiviteter, der er omfattet af tredje del, afsnit V, kapitel 4 eller 5, i TEUF, når Irland ikke er bundet af regler vedrørende former for strafferetligt samarbejde eller politisamarbejde, der kræver overholdelse af de bestemmelser, der er fastsat på grundlag af artikel 16 i TEUF.

(41) I medfør af artikel 2 og 2a i protokol nr. 22 om Danmarks stilling, der er knyttet som bilag til TEU og TEUF, er de regler, der er fastsat i denne forordnings artikel 5, stk. 1, første afsnit, litra g), i det omfang den finder anvendelse på brugen af systemer til biometrisk kategorisering til aktiviteter inden for politisamarbejde og retligt samarbejde i straffesager, artikel5, stk. 1, første afsnit, litra d), i det omfang den finder anvendelse på brugen af AI-systemer, der er omfattet af nævnte bestemmelse, artikel 5, stk. 1, første afsnit, litra h), og stk. 2-6, og artikel 26, stk. 10, der er vedtaget på grundlag af artikel 16 i TEUF vedrørende medlemsstaternes behandling af personoplysninger under udøvelsen af aktiviteter, der er omfattet af tredje del, afsnit V, kapitel 4 eller 5, i TEUF, ikke bindende for og finder ikke anvendelse i Danmark.

(42) I overensstemmelse med uskyldsformodningen bør fysiske personer i Unionen altid dømmes på grundlag af deres faktiske adfærd. Fysiske personer bør aldrig dømmes på grundlag af AI-forudsagt adfærd, der alene er baseret på deres profilering, personlighedstræk eller personlige egenskaber såsom nationalitet, fødested, bopæl, antal børn, gældsbyrde eller biltype, uden at der er begrundet mistanke om, at den pågældende person er involveret i kriminel aktivitet baseret på objektive verificerbare kendsgerninger, og uden menneskelig vurdering heraf. Risikovurderinger, der udføres med hensyn til fysiske personer med det formål at vurdere risikoen for, at de begår lovovertrædelser, eller forudsige forekomsten af en faktisk eller potentiel strafbar handling alene baseret på profilering af dem eller vurdering af deres personlighedstræk og personlige egenskaber, bør derfor forbydes. Under alle omstændigheder henviser dette forbud ikke til eller berører ikke risikoanalyser, der ikke er baseret på profilering af enkeltpersoner eller på enkeltpersoners personlighedstræk og personlige egenskaber, såsom AI-systemer, der anvender risikoanalyser til at vurdere sandsynligheden for virksomheders økonomiske svig på grundlag af mistænkelige transaktioner eller risikoanalyseværktøjer til at forudsige sandsynligheden for toldmyndighedernes lokalisering af narkotika eller ulovlige varer, f.eks. på grundlag af kendte narkotikaruter.

(43) Omsætning, ibrugtagning til dette specifikke formål eller anvendelse af AI-systemer, der opretter eller udvider ansigtsgenkendelsesdatabaser gennem ikkemålrettet indsamling af ansigtsbilleder fra internettet eller kameraovervågning, bør forbydes, da denne praksis øger følelsen af masseovervågning og kan føre til grove krænkelser af de grundlæggende rettigheder, herunder retten til privatlivets fred.

(44) Der er alvorlig bekymring over det videnskabelige grundlag for AI-systemer, der har til formål at identificere eller udlede følelser, navnlig da følelser varierer betydeligt på tværs af kulturer og situationer og endda hos en enkelt person. Blandt de vigtigste mangler ved sådanne systemer er den begrænsede pålidelighed, manglen på specificitet og den begrænsede generaliserbarhed. AI-systemer, der identificerer eller udleder fysiske personers følelser eller hensigter på grundlag af deres biometriske data, kan derfor føre til forskelsbehandlende resultater og kan være indgribende i de berørte personers rettigheder og friheder. Sådanne systemer kan i betragtning af den ulige magtfordeling på arbejdspladsen eller uddannelsesstedet, kombineret med disse systemers indgribende karakter, føre til skadelig eller ugunstig behandling af visse fysiske personer eller hele grupper heraf. Omsætningen, ibrugtagningen eller anvendelsen af AI-systemer, der er tilsigtet at påvise enkeltpersoners følelsesmæssige tilstand i situationer, der vedrører arbejdspladsen og uddannelsesstedet, bør derfor forbydes. Dette forbud bør ikke omfatte AI-systemer, der bringes i omsætning udelukkende af medicinske eller sikkerhedsmæssige årsager, såsom systemer tilsigtet terapeutisk brug.

(45) Former for praksis, der er forbudt i henhold til EU-retten, herunder databeskyttelsesretten, retten om ikkeforskelsbehandling, forbrugerbeskyttelsesretten og konkurrenceretten, bør ikke berøres af denne forordning.

(46) Højrisiko-AI-systemer bør kun bringes i omsætning på EU-markedet, ibrugtages eller anvendes, hvis de overholder visse obligatoriske krav. Disse krav bør sikre, at højrisiko-AI-systemer, der er tilgængelige i Unionen, eller hvis output på anden måde anvendes i Unionen, ikke udgør uacceptable risici for vigtige samfundsinteresser i Unionen som anerkendt og beskyttet i EU-retten. På grundlag af den nye lovgivningsmæssige ramme, som præciseret i Kommissionens meddelelse om den blå vejledning om gennemførelsen af EU's produktregler 2022 (20), er den generelle regel, at mere end én EU-harmoniseringslovgivningsretsakt såsom Europa-Parlamentets og Rådets forordning (EU) 2017/745 (21) og (EU) 2017/746 (22) eller Europa-Parlamentets og Rådets direktiv 2006/42/EF (23) kan finde anvendelse på ét produkt, da tilgængeliggørelsen eller ibrugtagningen kun kan finde sted, når produktet overholder al gældende EU-harmoniseringslovgivning. For at sikre konsekvens og undgå unødvendige administrative byrder eller omkostninger bør udbydere af et produkt, der indeholder et eller flere højrisiko-AI-systemer, som kravene i nærværende forordning og kravene i EU-harmoniseringslovgivningen opført i et bilag til nærværende forordning, finder anvendelse på, have fleksibilitet med hensyn til at træffe operationelle beslutninger om, hvordan det sikres, at et produkt, der indeholder et eller flere AI-systemer, overholder alle gældende krav i EU-harmoniseringslovgivningen på en optimal måde. AI-systemer, der identificeres som højrisiko, bør begrænses til systemer, der har en betydelig skadelig indvirkning på personers sundhed, sikkerhed og grundlæggende rettigheder i Unionen, og en sådan begrænsning bør minimere enhver potentiel restriktion for international handel.

(47) AI-systemer kan have negative virkninger for personers sundhed og sikkerhed, navnlig når sådanne systemer anvendes som produkters sikkerhedskomponenter. I overensstemmelse med målene for EU-harmoniseringslovgivningen om at lette den frie bevægelighed for produkter i det indre marked og sørge for, at kun sikre produkter, der desuden overholder alle de stillede krav, kommer ind på markedet, er det vigtigt, at de sikkerhedsrisici, som et produkt som helhed kan udgøre på grund af dets digitale komponenter, herunder AI-systemer, behørigt forebygges og afbødes. F.eks. bør stadig mere autonome robotter, hvad enten det er i forbindelse med fremstilling eller personlig bistand og pleje, være i stand til at fungere sikkert og udføre deres funktioner i komplekse miljøer. Også i sundhedssektoren, hvor det drejer sig direkte om liv og sundhed, bør stadig mere avancerede diagnosesystemer og systemer, der understøtter menneskers beslutninger, være pålidelige og nøjagtige.

(48) Omfanget af et AI-systems negative indvirkning på de grundlæggende rettigheder, der er beskyttet af chartret, er særlig relevant, når et AI-system klassificeres som højrisiko. Disse rettigheder omfatter retten til menneskelig værdighed, respekt for privatliv og familieliv, beskyttelse af personoplysninger, ytrings- og informationsfrihed, forsamlings- og foreningsfrihed, retten til ikkeforskelsbehandling, retten til uddannelse, forbrugerbeskyttelse, arbejdstagerrettigheder, rettigheder for personer med handicap, ligestilling mellem kønnene, intellektuelle ejendomsrettigheder, retten til effektive retsmidler og til en retfærdig rettergang, retten til et forsvar og uskyldsformodningen samt retten til god forvaltning. Ud over disse rettigheder er det vigtigt at fremhæve det forhold, at børn har specifikke rettigheder som fastsat i artikel 24 i chartret og i De Forenede Nationers konvention om barnets rettigheder, yderligere udviklet i generel bemærkning nr. 25 vedrørende det digitale miljø fra FN's Komité for Barnets Rettigheder, som begge kræver, at der tages hensyn til børns sårbarhed, og at der ydes den beskyttelse og omsorg, der er nødvendig for deres trivsel. Den grundlæggende ret til et højt miljøbeskyttelsesniveau, der er nedfældet i chartret og gennemført i Unionens politikker, bør også tages i betragtning ved vurderingen af alvorligheden af den skade, som et AI-system kan forvolde, herunder i forbindelse med personers sundhed og sikkerhed.

(49) For så vidt angår højrisiko-AI-systemer, der er sikkerhedskomponenter i produkter eller systemer, eller som selv er produkter eller systemer, der er omfattet af anvendelsesområdet for Europa-Parlamentets og Rådets forordning (EF) nr. 300/2008 (24), Europa-Parlamentets og Rådets forordning (EU) nr. 167/2013 (25), Europa-Parlamentets og Rådets forordning (EU) nr. 168/2013 (26), Europa-Parlamentets og Rådets direktiv 2014/90/EU (27), Europa- Parlamentets og Rådets direktiv (EU) 2016/797 (28), Europa-Parlamentets og Rådets forordning (EU) 2018/858 (29), Europa-Parlamentets og Rådets forordning (EU) 2018/1139 (30) og Europa-Parlamentets og Rådets forordning (EU) 2019/2144 (31), bør disse retsakter ændres for at sikre, at Kommissionen, på grundlag af de særlige tekniske og reguleringsmæssige forhold i hver enkelt sektor og uden at gribe ind i de eksisterende forvaltnings-, overensstemmelsesvurderings- og håndhævelsesmekanismer og myndigheder, der er fastsat heri, tager hensyn til de obligatoriske krav til højrisiko-AI-systemer, der er fastsat i nærværende forordning, når den vedtager relevante delegerede retsakter eller gennemførelsesretsakter på grundlag af disse retsakter.

(50) For så vidt angår AI-systemer, der er sikkerhedskomponenter i produkter, eller som selv er produkter, der er omfattet af anvendelsesområdet for en vis EU-harmoniseringslovgivning, der er opført i et bilag til denne forordning, er det hensigtsmæssigt at klassificere dem som højrisiko i henhold til denne forordning, hvis det pågældende produkt overensstemmelsesvurderes af en tredjeparts overensstemmelsesvurderingsorgan i henhold til den relevante EU-harmoniseringslovgivning. Sådanne produkter er navnlig maskiner, legetøj, elevatorer, udstyr og sikringssystemer tilsigtet anvendelse i eksplosionsfarlig atmosfære, radioudstyr, trykudstyr, udstyr til fritidsfartøjer, tovbaneanlæg, gasapparater, medicinsk udstyr, in vitro-diagnostisk medicinsk udstyr, bilindustrien og luftfart.

(51) Klassificeringen af et AI-system som højrisiko i henhold til denne forordning bør ikke nødvendigvis betyde, at det produkt, hvori AI-systemet indgår som sikkerhedskomponent, eller selve AI-systemet som produkt betragtes som højrisiko i henhold til de kriterier, der er fastsat i den relevante EU-harmoniseringslovgivning, der finder anvendelse på produktet. Dette er navnlig tilfældet med forordning (EU) 2017/745 og (EU) 2017/746, hvor en tredjepart foretager overensstemmelsesvurderinger af mellemrisiko- og højrisikoprodukter.

(52) For så vidt angår selvstændige AI-systemer, dvs. andre højrisiko-AI-systemer end dem, der er produkters sikkerhedskomponenter, eller selv er produkter, bør de klassificeres som højrisiko, hvis de set i lyset af deres tilsigtede formål udgør en høj risiko for skade på sundhed og sikkerhed eller personers grundlæggende rettigheder, idet der tages hensyn til både sandsynligheden for den mulige skade og dens alvorlighed, og hvis de anvendes på en række specifikt foruddefinerede områder, der er angivet i denne forordning. Disse systemer udpeges ved hjælp af den samme metode og ud fra de samme kriterier som i forbindelse med eventuelle fremtidige ændringer af listen over højrisiko-AI-systemer, som Kommissionen bør tillægges beføjelser til at vedtage ved hjælp af delegerede retsakter for at tage hensyn til den hurtige teknologiske udvikling samt de potentielle ændringer i anvendelsen af AI-systemer.

(53) Det er også vigtigt at præcisere, at der kan være særlige tilfælde, hvor AI-systemer, der henvises til i foruddefinerede områder som angivet i denne forordning, ikke medfører en væsentlig risiko for at skade de retlige interesser, der beskyttes på disse områder, fordi de ikke i væsentlig grad påvirker beslutningstagningen eller ikke skader disse interesser væsentligt. Med henblik på denne forordning bør et AI-system, der ikke i væsentlig grad påvirker resultatet af beslutningstagning, forstås som et AI-system, der ikke har indvirkning på substansen og dermed resultatet af beslutningstagning, uanset om den er menneskelig eller automatiseret. Et AI-system, der ikke i væsentlig grad påvirker resultatet af beslutningstagning, kan omfatte situationer, hvor en eller flere af følgende betingelser er opfyldt. Den første sådanne betingelse bør være, at AI-systemet er tilsigtet at udføre en snæver proceduremæssig opgave, f.eks. et AI-system, der omdanner ustrukturerede data til strukturerede data, et AI-system, der klassificerer indgående dokumenter i kategorier, eller et AI-system, der anvendes til at påvise duplikater blandt et stort antal ansøgninger. Disse opgaver er så snævre og begrænsede, at de kun udgør begrænsede risici, som ikke øges som følge af anvendelsen af et AI-system i en af de sammenhænge, der er opført som en højrisikoanvendelse i et bilag til denne forordning. Den anden betingelse bør være, at den opgave, AI-systemet udfører, er tilsigtet at forbedre resultatet af en tidligere afsluttet menneskelig aktivitet, der kan være relevant med henblik på de højrisikoanvendelser, der er opført i et bilag til denne forordning. I betragtning af disse karakteristika tilføjer AI-systemet kun et ekstra lag til en menneskelig aktivitet og udgør dermed en lavere risiko. Denne betingelse ville f.eks. gælde AI-systemer, der er tilsigtet at forbedre det sprog, der er anvendt i tidligere udarbejdede dokumenter, f.eks. hvad angår professionel tone og akademisk sprogbrug eller ved at tilpasse teksten til et bestemt produktbudskab. Den tredje betingelse bør være, at AI-systemet er tilsigtet at påvise beslutningsmønstre eller afvigelser fra tidligere beslutningsmønstre. Risikoen vil være lavere, fordi anvendelsen af AI-systemet følger efter en tidligere afsluttet menneskelig vurdering, som det ikke er tiltænkt at skulle erstatte eller påvirke uden en ordentlig menneskelig gennemgang. Sådanne AI-systemer omfatter f. eks. systemer, der ud fra en lærers bestemte bedømmelsesmønster kan anvendes til efterfølgende at kontrollere, om læreren kan have afveget fra bedømmelsesmønstret, således at potentielle uoverensstemmelser eller uregelmæssigheder identificeres. Den fjerde betingelse bør være, at AI-systemet er tilsigtet kun at udføre en forberedende opgave inden en vurdering, der er relevant med henblik på de AI-systemer, der er opført i et bilag til denne forordning, hvilket gør den mulige virkning af systemets output meget lav med hensyn til at udgøre en risiko for den efterfølgende vurdering. Denne betingelse omfatter bl.a. intelligente løsninger til filhåndtering, som indeholder forskellige funktioner såsom indeksering, søgning, tekst- og talebehandling eller sammenkobling af data til andre datakilder, eller AI-systemer, der anvendes til oversættelse af oprindelige dokumenter. Under alle omstændigheder bør AI-systemer, som anvendes i tilfælde af højrisikoanvendelser, der er opført i et bilag til denne forordning, betragtes som at udgøre en betydelig risiko for skade på fysiske personers sundhed, sikkerhed eller grundlæggende rettigheder, hvis AI-systemet indebærer profilering som omhandlet i artikel 4, nr. 4), i forordning (EU) 2016/679, eller artikel 3, nr. 4), i direktiv (EU) 2016/680 eller artikel 3, nr. 5), i forordning (EU) 2018/1725. For at sikre sporbarhed og gennemsigtighed bør en udbyder, der skønner, at et AI-system ikke udgør en høj risiko på grundlag af de ovenfor omhandlede betingelser, udarbejde dokumentation for vurderingen, inden systemet bringes i omsætning eller ibrugtages, og bør efter anmodning forelægge denne dokumentation for de nationale kompetente myndigheder. En sådan udbyder bør være forpligtet til at registrere AI-systemet i den EU-database, der oprettes i henhold til nærværende forordning. Med henblik på at give yderligere vejledning om den praktiske gennemførelse af de betingelser, i henhold til hvilke de AI-systemer, der er opført i et bilag til nærværende forordning, undtagelsesvis er ikkehøjrisiko, bør Kommissionen efter høring af AI-udvalget udarbejde retningslinjer, der præciserer denne praktiske gennemførelse, suppleret med en omfattende liste over praktiske eksempler på anvendelsestilfælde af AI-systemer, der er højrisiko, og anvendelsestilfælde, der ikke er.

(54) Da biometriske data udgør en særlig kategori af personoplysninger, er det hensigtsmæssigt at klassificere flere kritiske anvendelsestilfælde af biometriske systemer som højrisiko, for så vidt som deres anvendelse er tilladt i henhold til relevant EU-ret og national ret. Tekniske unøjagtigheder i AI-systemer, der er tilsigtet biometrisk fjernidentifikation af fysiske personer, kan føre til resultater behæftet med bias og have forskelsbehandlende virkning. Risikoen for sådanne mulige resultater behæftet med bias og forskelsbehandlende virkninger er særligt relevante med hensyn til alder, etnicitet, race, køn og handicap. Systemer til biometrisk fjernidentifikation bør derfor klassificeres som højrisiko i betragtning af de risici, systemerne udgør. En sådan klassificering udelukker AI-systemer, der tilsigtes anvendt til biometrisk verifikation, herunder autentifikation, hvis eneste formål er at bekræfte, at en bestemt fysisk person er den person, vedkommende hævder at være, og bekræfte en fysisk persons identitet udelukkende med det formål at få adgang til en tjeneste, låse udstyr op eller have sikker adgang til lokaler. Desuden bør AI-systemer, der tilsigtes anvendt til biometrisk kategorisering ifølge følsomme egenskaber eller karakteristika, som er beskyttet i henhold til artikel 9, stk. 1, i forordning (EU) 2016/679, på grundlag af biometriske data, for så vidt som disse ikke er forbudt i henhold til nærværende forordning, og systemer til følelsesgenkendelse, der ikke er forbudt i henhold til nærværende forordning, klassificeres som højrisiko. Biometriske systemer, der udelukkende er tilsigtet anvendt til at muliggøre cybersikkerhedsforanstaltninger og foranstaltninger til beskyttelse af personoplysninger, bør ikke betragtes som højrisiko-AI-systemer.

(55) For så vidt angår forvaltning og drift af kritisk infrastruktur bør AI-systemer, der tilsigtes anvendt som sikkerhedskomponenter i forvaltningen og driften af kritisk digital infrastruktur som opført i bilaget, punkt 8, til direktiv (EU) 2022/2557, vejtrafik og forsyning af vand, gas, varme og elektricitet, klassificeres som højrisiko, da svigt eller funktionsfejl i disse systemer kan bringe menneskers liv og sundhed i fare i stor målestok og føre til betydelige forstyrrelser i de sociale og økonomiske aktiviteter. Sikkerhedskomponenter i kritisk infrastruktur, herunder kritisk digital infrastruktur, er systemer, der anvendes til direkte at beskytte den kritiske infrastrukturs fysiske integritet eller personers sundhed og sikkerhed og ejendom, men som ikke er nødvendige for, at systemet kan fungere. Svigt eller funktionsfejl i sådanne komponenter kan direkte medføre risici for den kritiske infrastrukturs fysiske integritet og dermed risici for personers sundhed og sikkerhed og ejendom. Komponenter, der udelukkende tilsigtes anvendt til cybersikkerhedsformål, bør ikke betragtes som sikkerhedskomponenter. Eksempler på sikkerhedskomponenter i en sådan kritisk infrastruktur kan omfatte systemer til overvågning af vandtryk eller brandalarmkontrolsystemer i cloudcomputingcentre.

(56) Det er vigtigt at idriftsætte AI-systemer inden for uddannelse for at fremme digital uddannelse og træning af høj kvalitet og for at give alle lærende og lærere mulighed for at tilegne sig og dele de nødvendige digitale færdigheder og kompetencer, herunder mediekendskab, og kritisk tænkning, til at deltage aktivt i økonomien, samfundet og de demokratiske processer. AI-systemer, der anvendes inden for uddannelse eller erhvervsuddannelse, navnlig til at bestemme adgang eller optagelse, til at fordele personer på uddannelsesinstitutioner eller uddannelser på alle niveauer, til at evaluere personers læringsudbytte, til at bedømme en persons nødvendige uddannelsesniveau og væsentligt påvirke den uddannelse, som den pågældende person vil modtage eller vil kunne få adgang til, eller til at overvåge og opdage forbudt adfærd blandt studerende under prøver, bør dog klassificeres som højrisiko-AI-systemer, da de kan afgøre en persons uddannelsesmæssige og arbejdsmæssige livsforløb og dermed kan påvirke denne persons mulighed for at sikre sig et livsgrundlag. Hvis sådanne systemer udformes og anvendes forkert, kan de være særligt indgribende og krænke retten til uddannelse samt retten til ikke at blive forskelsbehandlet og gøre historiske forskelsbehandlingsmønstre permanente, f.eks. mod kvinder, bestemte aldersgrupper, personer med handicap eller personer af bestemt racemæssig eller etnisk oprindelse eller med en bestemt seksuel orientering.

(57) AI-systemer, der anvendes inden for beskæftigelse, forvaltning af arbejdskraft og adgang til selvstændig erhvervsvirksomhed, navnlig til rekruttering og udvælgelse af personer, til at træffe beslutninger, der påvirker vilkårene for det arbejdsrelaterede forhold, forfremmelse og ophør af arbejdsmæssige kontraktforhold, til fordeling af opgaver på grundlag af individuel adfærd, personlighedstræk eller personlige egenskaber og til overvågning og evaluering af personer i arbejdsmæssige kontraktforhold, bør også klassificeres som højrisiko, da de kan have en betydelig indvirkning på disse personers fremtidige karrieremuligheder, livsgrundlag og arbejdstagerrettigheder. De relevante arbejdsmæssige kontraktforhold bør på en meningsfuld måde omfatte ansatte og personer, der leverer tjenesteydelser via platforme som omhandlet i Kommissionens arbejdsprogram for 2021. Gennem hele rekrutteringsprocessen og i forbindelse med evaluering, forfremmelse eller fastholdelse af personer i arbejdsrelaterede kontraktforhold kan sådanne systemer gøre historiske forskelsbehandlingsmønstre permanente, f.eks. mod kvinder, bestemte aldersgrupper, personer med handicap eller personer af bestemt racemæssig eller etnisk oprindelse eller med en bestemt seksuel orientering. AI-systemer, der anvendes til at overvåge disse personers præstationer og adfærd, kan også underminere deres grundlæggende ret til databeskyttelse og ret til privatlivets fred.

(58) Et andet område, hvor anvendelsen af AI-systemer kræver særlig opmærksomhed, er adgangen til og benyttelsen af visse væsentlige private og offentlige tjenester og de ydelser, der er nødvendige for, at mennesker kan deltage fuldt ud i samfundet eller forbedre deres levestandard. Navnlig er fysiske personer, der ansøger om eller modtager væsentlige offentlige bistandsydelser og -tjenester fra offentlige myndigheder, dvs. sundhedstjenester, socialsikringsydelser, sociale tjenester, der yder beskyttelse i tilfælde af barsel, sygdom, arbejdsulykker, afhængighed eller alderdom og tab af beskæftigelse samt social bistand og boligstøtte, typisk afhængige af sådanne ydelser og tjenester og befinder sig i en sårbar situation i forhold til de ansvarlige myndigheder. Hvis der anvendes AI-systemer til at afgøre, om der skal gives afslag på sådanne ydelser og tjenester, eller om de skal tildeles, nedsættes, tilbagekaldes eller kræves tilbagebetalt af myndighederne, herunder om modtagerne reelt er berettigede til disse ydelser eller tjenester, kan disse systemer have en betydelig indvirkning på menneskers livsgrundlag og kan krænke deres grundlæggende rettigheder såsom retten til social beskyttelse, ikkeforskelsbehandling, menneskelig værdighed eller adgang til effektive retsmidler, og de bør derfor klassificeres som højrisiko. Ikke desto mindre bør denne forordning ikke hindre udviklingen eller anvendelsen af innovative tilgange i den offentlige forvaltning, som står til at kunne drage fordel af en bredere anvendelse af AI-systemer, der er i overensstemmelse med reglerne og er sikre, forudsat at de ikke indebærer en høj risiko for juridiske og fysiske personer. Desuden bør AI-systemer, der anvendes til at evaluere fysiske personers kreditvurdering eller kreditværdighed, klassificeres som højrisiko-AI-systemer, da de afgør menneskers adgang til finansielle ressourcer eller væsentlige tjenester såsom bolig, elektricitet og telekommunikationstjenester. AI-systemer, der anvendes til disse formål, kan føre til forskelsbehandling mellem personer eller grupper og kan gøre historiske forskelsbehandlingsmønstre permanente, f.eks. på grundlag af racemæssig eller etnisk oprindelse, køn, handicap, alder eller seksuel orientering, eller være med til at skabe nye former for forskelsbehandlende virkning. AI-systemer, der er fastsat i EU-retten med henblik på at afsløre svig i forbindelse med tilbud af finansielle tjenesteydelser og for i tilsynsøjemed at beregne kreditinstitutters og forsikringsselskabers kapitalkrav, bør dog ikke betragtes som højrisiko i henhold til denne forordning. Desuden kan AI-systemer, der tilsigtes anvendt til risikovurdering og prisfastsættelse i forbindelse med fysiske personer for så vidt angår syge- og livsforsikring, også have en betydelig indvirkning på menneskers livsgrundlag og kan, hvis de ikke udformes, udvikles og anvendes behørigt, krænke deres grundlæggende rettigheder og have alvorlige konsekvenser for menneskers liv og sundhed, herunder økonomisk udstødelse og forskelsbehandling. Endelig bør AI-systemer, der anvendes til at vurdere og klassificere fysiske personers nødopkald eller til at udsende beredskabstjenester i nødsituationer eller til at tildele prioriteter i forbindelse hermed, herunder fra politi, brandmænd og lægehjælp, samt patientsorteringssystemer for førstehjælp, også klassificeres som højrisiko, da de træffer beslutninger i situationer, der er meget kritiske for menneskers liv og sundhed og for deres ejendom.

(59) I betragtning af deres rolle og ansvar, er retshåndhævende myndigheders tiltag, der omfatter visse anvendelser af AI-systemer, kendetegnet ved en betydelig magtubalance og kan føre til overvågning, anholdelse eller frihedsberøvelse af fysiske personer samt have andre negative indvirkninger på de grundlæggende rettigheder, der er sikret i chartret. Navnlig kan AI-systemer udvælge personer på forskelsbehandlende eller anden ukorrekt eller uretfærdig måde, hvis de ikke er trænet med data af høj kvalitet, ikke opfylder passende krav med hensyn til deres ydeevne, nøjagtighed og robusthed eller ikke er korrekt udformet og afprøvet, før de bringes i omsætning eller på anden måde ibrugtages. Desuden kan udøvelsen af vigtige processuelle grundlæggende rettigheder såsom retten til adgang til effektive retsmidler, retten til en retfærdig rettergang og retten til et forsvar samt uskyldsformodningen hindres, navnlig hvis sådanne AI-systemer ikke er tilstrækkeligt gennemsigtige, forklarlige og dokumenterede. Derfor bør en række AI-systemer, der tilsigtes anvendt i retshåndhævelsesmæssig sammenhæng, hvor det er særlig vigtigt med nøjagtighed, pålidelighed og gennemsigtighed for at undgå negative virkninger, bevare offentlighedens tillid og sikre ansvarlighed og effektive retsmidler, klassificeres som højrisiko, for så vidt som deres anvendelse er tilladt i henhold til relevant EU-ret og national ret. I betragtning af aktiviteternes karakter og de risici, der er forbundet hermed, bør disse højrisiko-AI-systemer navnlig omfatte AI-systemer, der er tilsigtet anvendt af eller på vegne af retshåndhævende myndigheder eller af EU-institutioner, -organer, -kontorer eller -agenturer til støtte for retshåndhævende myndigheder til vurdering af risikoen for, at en fysisk person bliver offer for strafbare handlinger, som polygrafer og lignende værktøjer, til vurdering af pålideligheden af bevismateriale i forbindelse med efterforskning eller retsforfølgning af strafbare handlinger og, for så vidt som det ikke er forbudt i henhold til denne forordning, til vurdering af risikoen for, at en fysisk person begår eller på ny begår lovovertrædelser, der ikke udelukkende er baseret på profilering af fysiske personer eller vurdering af fysiske personers eller gruppers personlighedstræk og personlige egenskaber eller tidligere kriminelle adfærd, samt til profilering i forbindelse med afsløring, efterforskning eller retsforfølgelse af strafbare handlinger. AI-systemer, der specifikt er tilsigtet anvendt til skatte- og toldmyndigheders administrative procedurer og til finansielle efterretningstjenesters udførelse af administrative opgaver, der omfatter analyse af oplysninger i henhold til EU-retten om bekæmpelse af hvidvask af penge, bør ikke klassificeres som højrisiko-AI-systemer, der anvendes af retshåndhævende myndigheder med henblik på forebyggelse, afsløring, efterforskning og retsforfølgning af strafbare handlinger. Retshåndhævende og andre relevante myndigheders anvendelse af AI-værktøjer bør ikke blive en faktor, der bidrager til ulighed eller eksklusion. Den indvirkning, som anvendelsen af AI-værktøjer har på mistænktes ret til forsvar, bør ikke ignoreres, navnlig vanskelighederne ved at skaffe meningsfulde oplysninger om, hvordan disse systemer fungerer, og de deraf følgende vanskeligheder ved at anfægte resultaterne heraf i retten, navnlig for fysiske personer, der efterforskes.

(60) AI-systemer, der anvendes inden for migrationsstyring, asylforvaltning og grænsekontrol, berører personer, der ofte befinder sig i en særlig sårbar situation, og som er afhængige af resultatet af de kompetente offentlige myndigheders tiltag. Nøjagtigheden, den ikkeforskelsbehandlende karakter og gennemsigtigheden af de AI-systemer, der anvendes i disse sammenhænge, har derfor særlig betydning med hensyn til at sikre, at de berørte personers grundlæggende rettigheder respekteres, navnlig deres ret til fri bevægelighed, ikkeforskelsbehandling, beskyttelse af privatlivets fred og personoplysninger, international beskyttelse og god forvaltning. Derfor bør der, for så vidt som deres anvendelse er tilladt i henhold til relevant EU-ret og national ret, foretages en højrisikoklassificering af AI-systemer, der er tilsigtet anvendt af eller på vegne af de kompetente offentlige myndigheder eller af EU-institutioner, -organer, -kontorer eller -agenturer, der er ansvarlige for opgaver inden for migrationsstyring, asylforvaltning og grænsekontrol, som polygrafer og lignende værktøjer, til at vurdere visse risici, som fysiske personer, der indrejser til en medlemsstats område eller ansøger om visum eller asyl, udgør, til at bistå de kompetente offentlige myndigheder i behandlingen, herunder tilhørende vurdering af pålideligheden af bevismateriale, af ansøgninger om asyl, visum og opholdstilladelse og hertil relaterede klager med henblik på at fastslå, om de fysiske personer, der ansøger, er berettigede, med henblik på at opdage, genkende eller identificere fysiske personer i forbindelse med migrationsstyring, asylforvaltning og grænsekontrolforvaltning, bortset fra verificering af rejselegitimation. AI-systemer, der anvendes inden for migrationsstyring, asylforvaltning og grænsekontrol, og som er omfattet af denne forordning, bør overholde de relevante proceduremæssige krav i Europa-Parlamentets og Rådets forordning (EF) nr. 810/2009 (32), Europa-Parlamentets og Rådets direktiv 2013/32/EU (33) og anden relevant EU-ret. Anvendelsen af AI-systemer inden for migrationsstyring, asylforvaltning og grænsekontrol bør under ingen omstændigheder benyttes af medlemsstater eller EU-institutioner, -organer, -kontorer eller -agenturer som en måde at omgå deres internationale forpligtelser i henhold til FN's konvention om flygtninges retsstilling indgået i Genève den 28. juli 1951, som ændret ved protokollen af 31. januar 1967, og de bør heller ikke anvendes på en måde, der krænker princippet om non-refoulement eller nægter sikre og effektive lovlige adgangsveje til Unionens område, herunder retten til international beskyttelse.

(61) Visse AI-systemer, der er tilsigtet anvendelse inden for retspleje og i demokratiske processer, bør klassificeres som højrisiko i betragtning af deres potentielt betydelige indvirkning på demokratiet, retsstatsprincippet, individets frihedsrettigheder samt retten til adgang til effektive retsmidler og retten til en retfærdig rettergang. Navnlig for at imødegå risikoen for bias, fejl og uigennemsigtighed bør de AI-systemer, der tilsigtes anvendt af judicielle myndigheder eller på deres vegne for at bistå judicielle myndigheder med at fortolke fakta og lovgivningen og anvende lovgivningen på konkrete sagsforhold, klassificeres som højrisiko. AI-systemer, der tilsigtes anvendt af alternative tvistbilæggelsesorganer til disse formål, bør også betragtes som højrisiko, når resultaterne af den alternative tvistbilæggelsesprocedure har retsvirkninger for parterne. Anvendelsen af AI-værktøjer kan understøtte, men bør ikke erstatte dommernes beslutningskompetence eller retsvæsenets uafhængighed, da den endelige beslutningstagning fortsat skal være en menneskedrevet aktivitet. Klassificeringen af AI-systemer som højrisiko bør dog ikke omfatte AI-systemer, der kun tilsigtes supplerende administrative aktiviteter, som ikke har indflydelse på den egentlige retspleje i de enkelte sager, som f.eks. anonymisering eller pseudonymisering af retsafgørelser, dokumenter eller data, kommunikation mellem personale eller administrative opgaver.

(62) Uden at det berører de regler, der er fastsat i Europa-Parlamentets og Rådets forordning (EU) 2024/900 (34), og for at imødegå risikoen for unødig ekstern indblanding i retten til at stemme, der er nedfældet i chartrets artikel 39, og for negative indvirkninger på demokratiet og retsstatsprincippet bør AI-systemer, der tilsigtes anvendt til at påvirke resultatet af et valg eller en folkeafstemning eller fysiske personers stemmeadfærd i forbindelse med udøvelsen af deres stemme ved valg eller folkeafstemninger, klassificeres som højrisiko-AI-systemer med undtagelse af AI-systemer, hvis output fysiske personer ikke er direkte eksponeret for, såsom værktøjer, der anvendes til at organisere, optimere og strukturere politiske kampagner ud fra et administrativt og logistisk synspunkt.

(63) Klassificeringen af et AI-system som et højrisiko-AI-system i henhold til denne forordning bør ikke fortolkes således, at anvendelsen af systemet er lovlig i medfør af andre EU-retsakter eller i medfør af national ret, der er forenelig med EU-retten, som f.eks. om beskyttelsen af personoplysninger, brug af polygrafer og lignende værktøjer eller andre systemer til at påvise fysiske personers følelsesmæssige tilstand. Enhver sådan anvendelse bør fortsat udelukkende ske i overensstemmelse med de gældende krav, der følger af chartret og gældende afledt EU-ret og national ret. Denne forordning bør ikke forstås som et retsgrundlag for behandling af personoplysninger, herunder særlige kategorier af personoplysninger, hvis det er relevant, medmindre andet specifikt er fastsat i denne forordning.

(64) For at begrænse risiciene fra højrisiko-AI-systemer, der bringes i omsætning eller ibrugtages og for at sikre en høj grad af troværdighed, bør der gælde visse obligatoriske krav for højrisiko-AI-systemer, under hensyntagen til det tilsigtede formål og i forbindelse med anvendelsen af AI-systemet og i overensstemmelse med det risikostyringssystem, som udbyderen skal indføre. De foranstaltninger, som udbyderne vedtager for at overholde de obligatoriske krav i denne forordning, bør tage højde for det generelt anerkendte aktuelle teknologiske niveau inden for AI og være forholdsmæssige og effektive med hensyn til at nå denne forordnings mål. På grundlag af den nye lovgivningsmæssige ramme, som præciseret i Kommissionens meddelelse om den blå vejledning om gennemførelsen af EU's produktregler 2022, er den generelle regel, at mere end én EU-harmoniseringslovgivningsretsakt kan finde anvendelse på ét produkt, da tilgængeliggørelsen eller ibrugtagningen kun kan finde sted, når produktet overholder al gældende EU-harmoniseringslovgivning. Farerne ved de AI-systemer, der er omfattet af kravene i denne forordning, vedrører andre aspekter end den gældende EU-harmoniseringslovgivning, og kravene i denne forordning vil derfor supplere den gældende EU-harmoniseringslovgivning. Maskiner eller medicinsk udstyr, der indeholder et AI-system, kan f.eks. udgøre risici, der ikke er omfattet af de væsentlige sikkerheds- og sundhedskrav i den relevante EU-harmoniseringslovgivning, da denne sektorspecifikke ret ikke omhandler risici, der er specifikke for AI-systemer. Dette kræver, at de forskellige retsakter anvendes samtidigt og på supplerende vis. For at sikre konsekvens og undgå en unødvendig administrativ byrde eller unødvendige omkostninger bør udbydere af et produkt, der indeholder et eller flere højrisiko-AI-systemer, som kravene i denne forordning samt kravene i EU-harmoniseringslovgivningen baseret på den nye lovgivningsmæssige ramme og opført i et bilag til denne forordning finder anvendelse på, have fleksibilitet med hensyn til at træffe operationelle beslutninger om, hvordan det sikres, at et produkt, der indeholder et eller flere AI-systemer, overholder alle gældende krav i denne EU-harmoniseringslovgivning på en optimal måde. Denne fleksibilitet kan f.eks. betyde, at udbyderen beslutter at integrere en del af de nødvendige afprøvnings- og rapporteringsprocesser, oplysninger og dokumentation, der kræves i henhold til denne forordning, i allerede eksisterende dokumentation og procedurer, som kræves i henhold til den gældende EU-harmoniseringslovgivning, der er baseret på den nye lovgivningsmæssige ramme, og som er opført i et bilag til denne forordning. Dette bør på ingen måde underminere udbyderens forpligtelse til at overholde alle gældende krav.

(65) Risikostyringssystemet bør bestå af en kontinuerlig iterativ proces, der er planlagt og løber i hele højrisiko-AI-systemets livscyklus. Denne proces bør sigte mod at identificere og afbøde de relevante risici ved AI-systemer for sundheden, sikkerheden og de grundlæggende rettigheder. Risikostyringssystemet bør regelmæssigt revideres og ajourføres for at sikre dets fortsatte effektivitet samt begrundelse og dokumentation for eventuelle væsentlige beslutninger og tiltag, der træffes eller foretages i henhold til denne forordning. Denne proces bør sikre, at udbyderen identificerer risici eller negative indvirkninger og gennemfører afbødende foranstaltninger for kendte og rimeligt forudsigelige risici ved AI-systemer for sundheden, sikkerheden og de grundlæggende rettigheder i lyset af deres tilsigtede formål og fejlanvendelse, der med rimelighed kan forudses, herunder de mulige risici som følge af interaktionen mellem AI-systemet og det miljø, som systemet fungerer i. Risikostyringssystemet bør indføre de mest hensigtsmæssige risikostyringsforanstaltninger i lyset af det aktuelle teknologiske niveau inden for AI. Udbyderen bør ved identifikation af de mest hensigtsmæssige risikostyringsforanstaltninger dokumentere og forklare de valg, der er truffet, og, hvis det er relevant, inddrage eksperter og eksterne interessenter. I forbindelse med identifikation af fejlanvendelse, der med rimelighed kan forudses, af højrisiko-AI-systemer bør udbyderen medtage anvendelser af AI-systemer, som, selv om de ikke er direkte omfattet af det tilsigtede formål og fastsat i brugsanvisningen, ikke desto mindre med rimelighed kan forventes at skyldes let forudsigelig menneskelig adfærd i forbindelse med et bestemt AI-systems specifikke karakteristika og anvendelse. Alle kendte eller forudsigelige omstændigheder, som i forbindelse med anvendelse af højrisiko-AI-systemet i overensstemmelse med dets tilsigtede formål eller ved fejlanvendelse, der med rimelighed kan forudses, kan medføre risici for menneskers sundhed og sikkerhed eller grundlæggende rettigheder, bør medtages i den brugsanvisning, som leveres af udbyderen. Dette skal sikre, at idriftsætteren er bekendt med og tager hensyn hertil, når vedkommende anvender højrisiko-AI-systemet. Identifikation og gennemførelse af risikobegrænsende foranstaltninger for forudsigelig fejlanvendelse i henhold til denne forordning bør ikke kræve specifikke yderligere træning for højrisiko-AI-systemet fra udbyderens side for at afhjælpe forudsigelig fejlanvendelse. Udbyderne opfordres imidlertid til at overveje sådanne yderligere træningsforanstaltninger for at afbøde fejlanvendelser, der med rimelighed kan forudses, når det er nødvendigt og hensigtsmæssigt.

(66) Der bør gælde krav for højrisiko-AI-systemer med hensyn til risikostyring, kvaliteten og relevansen af anvendte datasæt, teknisk dokumentation og registrering, gennemsigtighed og formidling af oplysninger til idriftsætterne, menneskeligt tilsyn og robusthed, nøjagtighed og cybersikkerhed. Disse krav er nødvendige for effektivt at mindske risiciene for sundhed, sikkerhed og grundlæggende rettigheder. Da ingen foranstaltninger, der er mindre begrænsende for handelen, er tilgængelige på rimelig vis, er disse krav ikke uberettigede handelsrestriktioner.

(67) Data af høj kvalitet og adgang til data af høj kvalitet spiller en afgørende rolle med hensyn til at skabe struktur og sikre mange AI-systemers ydeevne, navnlig når der anvendes teknikker, der omfatter træning af modeller, så det sikres, at højrisiko-AI-systemet yder som tilsigtet og på sikker vis og ikke bliver en kilde til forskelsbehandling, som er forbudt i henhold til EU-retten. Datasæt af høj kvalitet til træning, validering og afprøvning kræver, at der indføres passende former for datastyrings- og dataforvaltningspraksis. Datasæt til træning, validering og afprøvning, herunder mærkninger, bør være relevante, tilstrækkeligt repræsentative og i videst muligt omfang fejlfrie og fuldstændige i lyset af AI-systemets tilsigtede formål. For at lette overholdelsen af EU-databeskyttelsesretten såsom forordning (EU) 2016/679 bør datastyrings- og -forvaltningspraksis i tilfælde af personoplysninger omfatte gennemsigtighed med hensyn til det oprindelige formål med dataindsamlingen. Datasættene bør også have de tilstrækkelige statistiske egenskaber, herunder med hensyn til de personer eller grupper af personer, som højrisiko-AI-systemet er tilsigtet at blive anvendt på, med særlig vægt på afbødning af mulige bias i datasættene, som sandsynligvis vil påvirke menneskers sundhed og sikkerhed, have en negativ indvirkning på grundlæggende rettigheder eller føre til forskelsbehandling, der er forbudt i henhold til EU-retten, navnlig hvis dataoutput påvirker input til fremtidige operationer (»feedbacksløjfer«). Bias kan f.eks. være en iboende del af de underliggende datasæt, navnlig når der anvendes historiske data, eller kan genereres, når systemerne implementeres under virkelige forhold. De resultater, der leveres af AI-systemer, kan påvirkes af sådanne iboende bias, som er tilbøjelige til gradvist at øges og derved videreføre og forstærke eksisterende forskelsbehandling, navnlig for personer, der tilhører bestemte sårbare grupper, herunder racemæssige eller etniske grupper. Kravet om, at datasættene så vidt muligt skal være fuldstændige og fejlfrie, bør ikke påvirke anvendelsen af teknikker til beskyttelse af privatlivets fred i forbindelse med udvikling og afprøvning af AI-systemer. Navnlig bør datasæt, i det omfang det er nødvendigt af hensyn til deres tilsigtede formål, tage hensyn til de karakteristiske træk, egenskaber eller elementer, der er særlige for den specifikke geografiske, kontekstuelle, adfærdsmæssige eller funktionelle ramme, inden for hvilken AI-systemet tiltænkes anvendt. Kravene vedrørende datastyring kan overholdes ved at gøre brug af tredjeparter, der tilbyder certificerede overholdelsestjenester, herunder verifikation af datastyring og datasætintegritet samt datatrænings-, validerings- og afprøvningspraksis, for så vidt som det sikres, at datakravene i denne forordning overholdes.

(68) Med henblik på udvikling og vurdering af højrisiko-AI-systemer bør visse aktører, som for eksempel udbydere, bemyndigede organer og andre relevante enheder såsom europæiske digitale innovationsknudepunkter, afprøvnings- og forsøgsfaciliteter og forskere, have adgang til og kunne anvende datasæt af høj kvalitet inden for aktivitetsområderne for de aktører, som er relateret til denne forordning. Fælles europæiske dataområder, som Kommissionen har oprettet, og lette af datadeling mellem virksomheder og med myndigheder i samfundets interesse vil være afgørende for at sikre pålidelig, ansvarlig og ikkeforskelsbehandlende adgang til data af høj kvalitet til træning, validering og afprøvning af AI-systemer. På sundhedsområdet vil det europæiske sundhedsdataområde for eksempel lette ikkeforskelsbehandlende adgang til sundhedsdata og træning af AI-algoritmer på disse datasæt på en måde, der beskytter privatlivets fred, er sikker, rettidig, gennemsigtig og troværdig og underlagt en passende institutionel styring. Relevante kompetente myndigheder, herunder sektorspecifikke myndigheder, der giver eller understøtter adgang til data, kan også understøtte tilvejebringelsen af data af høj kvalitet til træning, validering og afprøvning af AI-systemer.

(69) Retten til privatlivets fred og til beskyttelse af personoplysninger skal sikres i hele AI-systemets livscyklus. I den forbindelse finder principperne om dataminimering og databeskyttelse gennem design og databeskyttelse gennem standardindstillinger som fastsat i EU-databeskyttelsesretten anvendelse, når personoplysninger behandles. Foranstaltninger, der træffes af udbydere for at sikre overholdelse af disse principper, kan ikke blot omfatte anonymisering og kryptering, men også anvendelse af teknologi, der gør det muligt at overføre algoritmer til data og opnå oplæring af AI-systemer uden overførsel mellem parterne eller kopiering af de rå eller strukturerede data, uden at dette berører kravene til datastyring i denne forordning.

(70) For at beskytte andres ret mod den forskelsbehandling, der kan opstå som følge af bias i AI-systemer, bør udbyderne undtagelsesvis, i det omfang det er strengt nødvendigt for at sikre påvisning og korrektion af bias i forbindelse med højrisiko-AI-systemer, med forbehold af passende sikkerhedsforanstaltninger for fysiske personers grundlæggende rettigheder og friheder og efter anvendelse af alle gældende betingelser, der er fastsat i denne forordning, ud over betingelserne i forordning (EU) 2016/679 og (EU) 2018/1725 samt direktiv (EU) 2016/680, også kunne behandle særlige kategorier af personoplysninger som et spørgsmål af væsentlig samfundsinteresse som omhandlet i artikel 9, stk. 2, litra g), i forordning (EU) 2016/679 og artikel 10, stk. 2, litra g), i forordning (EU) 2018/1725.

(71) Det er afgørende, at der foreligger forståelige oplysninger om, hvordan højrisiko-AI-systemer er blevet udviklet, og hvordan de yder i hele deres levetid for at gøre det muligt at spore disse systemer, kontrollere overholdelsen af kravene i denne forordning samt sikre overvågning af deres operationer og overvågning efter omsætningen. Det kræver, at der føres fortegnelser og stilles en teknisk dokumentation til rådighed, som indeholder de oplysninger, der er nødvendige for at vurdere AI-systemets overholdelse af de relevante krav og letter overvågning efter omsætningen. Sådanne oplysninger bør omfatte systemets generelle egenskaber, kapacitet og begrænsninger, algoritmer, data, trænings-, afprøvnings- og valideringsprocesser samt dokumentation for det relevante risikostyringssystem og være udarbejdet på en klar og forståelig måde. Den tekniske dokumentation skal holdes tilstrækkeligt ajour i hele AI-systemets levetid. Højrisiko-AI-systemer bør teknisk muliggøre automatisk registrering af hændelser ved hjælp af logfiler under systemets levetid.

(72) For at imødegå bekymringer vedrørende visse AI-systemers uigennemsigtighed og kompleksitet og hjælpe idriftsættere med at opfylde deres forpligtelser i henhold til denne forordning bør der kræves gennemsigtighed for højrisiko-AI-systemer, inden de bringes i omsætning eller ibrugtages. Højrisiko-AI-systemer bør udformes på en måde, der gør det muligt for idriftsættere at forstå, hvordan AI-systemet fungerer, evaluere dets funktionalitet og forstå dets styrker og begrænsninger. Højrisiko-AI-systemer bør ledsages af passende oplysninger i form af brugsanvisninger. Sådanne oplysninger bør omfatte AI-systemets egenskaber, kapacitet og begrænsninger for dets ydeevne. Disse kan omfatte oplysninger om mulige kendte og forudsigelige omstændigheder i forbindelse med anvendelse af højrisiko-AI-systemet, herunder udbredelsestiltag, der kan påvirke systemets adfærd og ydeevne, under hvilke AI-systemet kan medføre risici for sundhed, sikkerhed og grundlæggende rettigheder, om de ændringer, som udbyderen på forhånd har fastlagt og vurderet med henblik på overensstemmelse, og om de relevante foranstaltninger til menneskeligt tilsyn, herunder foranstaltninger til at lette idriftsætteres fortolkning af AI-systemets output. Gennemsigtighed, herunder den ledsagende brugsanvisning, bør hjælpe idriftsættere med at anvende systemet og støtte deres informerede beslutningstagning. Idriftsættere bør bl.a. være bedre i stand til at træffe det korrekte valg af det system, de har til hensigt at anvende, i lyset af de forpligtelser, der gælder for dem, være informeret om de tilsigtede og udelukkede anvendelser og anvende AI-systemet korrekt og som det er hensigtsmæssigt. For at gøre oplysningerne i brugsanvisningen mere læsbare og tilgængelige, bør der, hvis det er relevant, medtages illustrative eksempler, f.eks. om begrænsninger og om AI-systemets tilsigtede og udelukkede anvendelser. Udbyderne bør sikre, at al dokumentation, herunder brugsanvisningen, indeholder meningsfulde, omfattende, tilgængelige og forståelige oplysninger, der tager hensyn til behov for målgruppen af idriftsættere og deres forventede viden. Brugsanvisningen bør stilles til rådighed på et for målgruppen af idriftsættere letforståeligt sprog, som fastsat af den pågældende medlemsstat.

(73) Højrisiko-AI-systemer bør udformes og udvikles på en sådan måde, at fysiske personer kan overvåge deres funktion og sikre, at de anvendes som tilsigtet, og at deres virkninger håndteres i hele systemets livscyklus. Med henblik herpå bør udbyderen af systemet fastlægge passende foranstaltninger til menneskeligt tilsyn, inden systemet bringes i omsætning eller ibrugtages. Hvis det er relevant, bør sådanne foranstaltninger navnlig sikre, at systemet er underlagt indbyggede driftsmæssige begrænsninger, som ikke kan tilsidesættes af systemet selv, og reagerer på den menneskelige operatør, og at de fysiske personer, som har fået til opgave at varetage det menneskelige tilsyn, har den nødvendige kompetence, uddannelse og myndighed til at varetage rollen. Det er også afgørende i relevant omfang at sikre, at højrisiko-AI-systemer indeholder mekanismer, der kan vejlede og informere en fysisk person, som har fået til opgave at varetage det menneskelige tilsyn, til at træffe informerede beslutninger om, hvorvidt, hvornår og hvordan der skal gribes ind for at undgå negative konsekvenser eller risici, eller standse systemet, hvis det ikke fungerer som tilsigtet. I betragtning af de betydelige konsekvenser for personer i tilfælde af et ukorrekt match fra visse systemer til biometrisk identifikation er det hensigtsmæssigt at fastsætte et skærpet krav om menneskeligt tilsyn for disse systemer, således at idriftsætteren ikke foretager tiltag eller træffer beslutninger på grundlag af den identifikation, der er frembragt af systemet, medmindre den er blevet verificeret og bekræftet separat af mindst to fysiske personer. Disse personer kan være fra en eller flere enheder og omfatte den person, der driver eller anvender systemet. Dette krav bør ikke medføre unødvendige byrder eller forsinkelser, og det kan være tilstrækkeligt, at de forskellige personers særskilte verifikationer automatisk registreres i de logfiler, der genereres af systemet. I betragtning af de særlige forhold, der gør sig gældende inden for retshåndhævelse, migration, grænsekontrol og asyl, bør dette krav ikke finde anvendelse, når EU-retten eller national ret anser anvendelsen af dette krav for at være uforholdsmæssig.

(74) Højrisiko-AI-systemer bør yde konsistent i hele deres livscyklus og have et passende niveau af nøjagtighed, robusthed og cybersikkerhed i lyset af deres tilsigtede formål og i overensstemmelse med det generelt anerkendte aktuelle teknologiske niveau. Kommissionen og relevante organisationer og interessenter opfordres til at tage behørigt hensyn til afbødningen af risici og de negative indvirkninger ved AI-systemet. Det forventede niveau for ydeevneparametre bør angives i den ledsagende brugsanvisning. Udbyderne opfordres indtrængende til at videregive disse oplysninger til idriftsætterne på en klar og letforståelig måde uden misforståelser eller vildledende udsagn. EU-ret om retslig metrologi, herunder Europa-Parlamentets og Rådets direktiv 2014/31/EU (35) og 2014/32/EU (36), har til formål at sikre målingernes nøjagtighed og bidrage til gennemsigtighed og retfærdighed i handelstransaktioner. I denne forbindelse bør Kommissionen, alt efter hvad der er relevant og i samarbejde med relevante interessenter og organisationer såsom metrologi- og benchmarkingmyndigheder, tilskynde til udvikling af benchmarks og målemetoder for AI-systemer. Kommissionen bør herved notere sig og samarbejde med internationale partnere, der arbejder med metrologi og relevante måleindikatorer vedrørende AI.

(75) Teknisk robusthed er et centralt krav for højrisiko-AI-systemer. De bør være modstandsdygtige i forbindelse med skadelig eller på anden vis uønsket adfærd, der kan skyldes begrænsninger i systemerne eller det miljø, som systemerne fungerer i (f.eks. fejl, svigt, uoverensstemmelser og uventede situationer). Der bør derfor træffes tekniske og organisatoriske foranstaltninger for at sikre højrisiko-AI-systemers robusthed, f.eks. ved at udforme og udvikle passende tekniske løsninger for at forebygge eller minimere denne skadelige eller på anden måde uønskede adfærd. Disse tekniske løsninger kan f.eks. omfatte mekanismer, der gør det muligt for systemet på sikker vis at afbryde dets drift (»fail-safe plans«), hvis der opstår visse uregelmæssigheder, eller hvis driften ligger uden for visse forudbestemte grænser. Manglende beskyttelse mod disse risici kan have sikkerhedsmæssige konsekvenser eller en negativ indvirkning på de grundlæggende rettigheder, f.eks. som følge af fejlagtige beslutninger eller forkerte output eller output behæftet med bias genereret af AI-systemet.

(76) Cybersikkerhed spiller en afgørende rolle med hensyn til at sikre, at AI-systemer er modstandsdygtige over for ondsindede tredjeparters forsøg på at ændre deres anvendelse, adfærd eller ydeevne eller bringe deres sikkerhedsegenskaber i fare ved at udnytte systemets sårbarheder. Cyberangreb mod AI-systemer kan udnytte AI-specifikke aktiver såsom træningsdatasæt (f.eks. dataforgiftning) eller trænede modeller (f.eks. ondsindede angreb eller »membership inference«) eller udnytte sårbarheder i AI-systemets digitale aktiver eller den underliggende IKT-infrastruktur. For at sikre et cybersikkerhedsniveau, der er passende i forhold til risiciene, bør udbydere af højrisiko-AI-systemer træffe passende foranstaltninger såsom sikkerhedskontroller, idet der også i relevant omfang tages hensyn til den underliggende IKT-infrastruktur.

(77) Uden at det berører de krav til robusthed og nøjagtighed, der er fastsat i denne forordning, kan højrisiko-AI-systemer, der er omfattet af anvendelsesområdet for en forordning vedtaget af Europa-Parlamentet og Rådet om horisontale cybersikkerhedskrav til produkter med digitale elementer, i overensstemmelse med nævnte forordning påvise overholdelse af cybersikkerhedskravene i nærværende forordning ved at opfylde de væsentlige cybersikkerhedskrav, der er fastsat i nævnte forordning. Når højrisiko-AI-systemer opfylder de væsentlige krav i en forordning vedtaget af Europa-Parlamentet og Rådet om horisontale cybersikkerhedskrav til produkter med digitale elementer, bør de anses for at overholde cybersikkerhedskravene i nærværende forordning, for så vidt opfyldelsen af disse krav påvises ved EU-overensstemmelseserklæringen eller dele heraf udstedt i henhold til nævnte forordning. Med henblik herpå bør vurderingen af de cybersikkerhedsrisici, der er forbundet med et produkt med digitale elementer klassificeret som et højrisiko-AI-system i henhold til nærværende forordning, og som foretages i henhold til en forordning vedtaget af Europa-Parlamentet og Rådet om horisontale cybersikkerhedskrav til produkter med digitale elementer tage hensyn til risici for et AI-systems cyberrobusthed for så vidt angår uautoriserede tredjeparters forsøg på at ændre dets anvendelse, adfærd eller ydeevne, herunder AI-specifikke sårbarheder såsom dataforgiftning eller ondsindede angreb, samt, hvis det er relevant, risici for grundlæggende rettigheder som krævet i nærværende forordning.

(78) Overensstemmelsesvurderingsproceduren i denne forordning bør finde anvendelse i forbindelse med de væsentlige cybersikkerhedskrav til et produkt med digitale elementer, der er omfattet af en forordning vedtaget af Europa-Parlamentet og Rådet om horisontale cybersikkerhedskrav til produkter med digitale elementer og klassificeret som et højrisiko-AI-system i henhold til nærværende forordning. Denne regel bør dog ikke resultere i en reduktion af det nødvendige sikkerhedsniveau for kritiske produkter med digitale elementer, der er omfattet af en forordning vedtaget af Europa-Parlamentet og Rådet om horisontale cybersikkerhedskrav til produkter med digitale elementer. Uanset denne regel bør højrisiko-AI-systemer, der er omfattet af anvendelsesområdet for nærværende forordning og også betragtes som vigtige og kritiske produkter med digitale elementer i henhold til en forordning vedtaget af Europa-Parlamentet og Rådet om horisontale cybersikkerhedskrav til produkter med digitale elementer, og som proceduren for overensstemmelsesvurdering baseret på intern kontrol fastsat i et bilag til nærværende forordning finder anvendelse på, derfor være omfattet af bestemmelserne om overensstemmelsesvurdering i en forordning vedtaget af Europa-Parlamentet og Rådet om horisontale cybersikkerhedskrav til produkter med digitale elementer for så vidt angår de væsentlige cybersikkerhedskrav i nævnte forordning. I så fald bør de respektive bestemmelser om overensstemmelsesvurdering baseret på intern kontrol, der er fastsat i et bilag til nærværende forordning, finde anvendelse på alle de øvrige aspekter, der er omfattet af nærværende forordning. På grundlag af ENISA's viden og ekspertise om cybersikkerhedspolitik og de opgaver, som ENISA har fået tildelt i henhold til Europa-Parlamentets og Rådets forordning (EU) 2019/881 (37), bør Kommissionen samarbejde med ENISA om spørgsmål vedrørende cybersikkerhed i forbindelse med AI-systemer.

(79) Det er passende, at en bestemt fysisk eller juridisk person, defineret som udbyderen, påtager sig ansvar for omsætningen eller ibrugtagningen af et højrisiko-AI-system, uanset om denne fysiske eller juridiske person er den person, der har udformet eller udviklet systemet.

(80) Unionen og alle medlemsstaterne er som underskrivere af De Forenede Nationers konvention om rettigheder for personer med handicap juridisk forpligtede til at beskytte personer med handicap mod forskelsbehandling og fremme deres ligestilling med henblik på at sikre, at personer med handicap har adgang på lige fod med andre til informations- og kommunikationsteknologier og -systemer, og med henblik på at sikre respekten for personer med handicaps privatliv. På grund af den voksende betydning og brug af AI-systemer bør anvendelsen af universelle designprincipper på alle nye teknologier og tjenesteydelser sikre en fuldstændig og ligelig adgang for alle, der potentielt berøres af eller benytter AI-teknologier, herunder personer med handicap, på en måde, der fuldt ud tager hensyn til deres iboende værdighed og mangfoldighed. Det er derfor afgørende, at udbyderne sikrer fuld overholdelse af tilgængelighedskravene, herunder Europa-Parlamentets og Rådets direktiv (EU) 2016/2102 (38) og direktiv (EU) 2019/882. Udbyderne bør sikre overholdelsen af disse krav gennem design. Derfor bør de nødvendige foranstaltninger så vidt muligt integreres i udformningen af højrisiko-AI-systemet.

(81) Udbyderen bør etablere et solidt kvalitetsstyringssystem, sikre gennemførelsen af den påkrævede overensstemmelsesvurderingsprocedure, udarbejde den relevante dokumentation og etablere et robust system til overvågning efter omsætningen. Udbydere af højrisiko-AI-systemer, der er underlagt forpligtelser vedrørende kvalitetsstyringssystemer i henhold til relevant sektorspecifik EU-ret, bør have mulighed for at medtage elementerne i det kvalitetsstyringssystem, der er fastsat i denne forordning, som en del af det eksisterende kvalitetsstyringssystem, der er fastsat i denne anden sektorspecifikke EU-ret. Komplementariteten mellem denne forordning og eksisterende sektorspecifik EU-ret bør også tages i betragtning i fremtidige standardiseringsaktiviteter eller retningslinjer vedtaget af Kommissionen. Offentlige myndigheder, der ibrugtager højrisiko-AI-systemer til egen brug, kan vedtage og gennemføre reglerne for kvalitetsstyringssystemet som en del af det kvalitetsstyringssystem, der er vedtaget på nationalt eller regionalt plan, alt efter hvad der er relevant, under hensyntagen til de særlige forhold i sektoren og den pågældende offentlige myndigheds kompetencer og organisation.

(82) For at muliggøre håndhævelsen af denne forordning og skabe lige vilkår for operatørerne og under hensyntagen til de forskellige former for tilgængeliggørelse af digitale produkter er det vigtigt at sikre, at en person, der er etableret i Unionen, under alle omstændigheder kan give myndighederne alle de nødvendige oplysninger om et AI-systems overensstemmelse med reglerne. Udbydere, der er etableret i tredjelande, bør, inden deres AI-systemer gøres tilgængelige i Unionen, derfor ved skriftligt mandat udpege en bemyndiget repræsentant, der er etableret i Unionen. Denne bemyndigede repræsentant spiller en central rolle med hensyn til at sikre, at højrisiko-AI-systemer, der bringes i omsætning eller ibrugtages i Unionen af disse udbydere, der ikke er etableret i Unionen, overholder kravene, og som deres kontaktperson i Unionen.

(83) I lyset af arten og kompleksiteten af værdikæden for AI-systemer og i overensstemmelse med den nye lovgivningsmæssige ramme er det vigtigt at sikre retssikkerheden og lette overholdelsen af denne forordning. Det er derfor nødvendigt at præcisere den rolle og de specifikke forpligtelser, der påhviler relevante operatører i denne værdikæde såsom importører og distributører, der kan bidrage til udviklingen af AI-systemer. I visse situationer kan disse operatører optræde i mere end én rolle på samme tid og bør derfor kumulativt opfylde alle relevante forpligtelser, der er forbundet med disse roller. F.eks. kan en operatør fungere som distributør og importør på samme tid.

(84) For at sikre retssikkerheden er det nødvendigt at præcisere, at enhver distributør, importør, idriftsætter eller anden tredjepart under visse særlige omstændigheder bør betragtes som udbyder af et højrisiko-AI-system og derfor påtage sig alle de relevante forpligtelser. Dette vil være tilfældet, hvis den pågældende part anbringer sit navn eller varemærke på et højrisiko-AI-system, der allerede er bragt i omsætning eller ibrugtaget, uden at det berører kontraktlige ordninger om, at forpligtelserne er fordelt anderledes. Dette vil også være tilfældet, hvis den pågældende part foretager en væsentlig ændring af et højrisiko-AI-system, der allerede er bragt i omsætning eller allerede er ibrugtaget på en sådan måde, at det forbliver et højrisiko-AI-system i overensstemmelse med denne forordning, eller hvis denne ændrer det tilsigtede formål med et AI-system, herunder et AI-system til almen brug, der ikke er blevet klassificeret som højrisiko, og som allerede er bragt i omsætning eller ibrugtaget, på en sådan måde, at AI-systemet bliver et højrisiko-AI-system i overensstemmelse med denne forordning. Disse bestemmelser bør finde anvendelse, uden at det berører mere specifikke bestemmelser, der er fastsat i særlig EU-harmoniseringslovgivning baseret på den nye lovgivningsmæssige ramme, som denne forordning bør finde anvendelse sammen med. F.eks. bør artikel 16, stk. 2, i forordning (EU) 2017/745, der fastsætter, at visse ændringer ikke bør betragtes som ændringer af udstyr, der kan påvirke dets overholdelse af gældende krav, fortsat finde anvendelse på højrisiko-AI-systemer, der er medicinsk udstyr som omhandlet i nævnte forordning.

(85) AI-systemer til almen brug kan anvendes som højrisiko-AI-systemer i sig selv eller som komponenter i andre højrisiko-AI-systemer. Derfor bør udbydere af sådanne systemer på grund af deres særlige karakter og for at sikre en rimelig ansvarsfordeling i hele AI-værdikæden, uanset om de kan anvendes som højrisiko-AI-systemer som sådan af andre udbydere eller som komponenter i højrisiko-AI-systemer, og medmindre andet er fastsat i denne forordning, arbejde tæt sammen med udbyderne af de relevante højrisiko-AI-systemer, så de kan overholde de relevante forpligtelser i henhold til denne forordning og med de kompetente myndigheder, der er fastsat i henhold til denne forordning.

(86) Hvis den udbyder, der oprindeligt bragte AI-systemet i omsætning eller ibrugtog det, på de betingelser, der er fastsat i denne forordning, ikke længere bør anses for at være udbyder i denne forordnings forstand, og når denne udbyder ikke udtrykkeligt har udelukket ændringen af AI-systemet til et højrisiko-AI-system, bør den tidligere udbyder ikke desto mindre arbejde tæt sammen og stille de nødvendige oplysninger til rådighed og give den tekniske adgang og anden bistand, som med rimelighed kan forventes, og som kræves for at opfylde forpligtelserne i denne forordning, navnlig hvad angår overholdelse af overensstemmelsesvurderingen af højrisiko-AI-systemer.

(87) Hvis et højrisiko-AI-system, som er en sikkerhedskomponent i et produkt, der er omfattet af anvendelsesområdet for EU-harmoniseringslovgivning baseret på den nye lovgivningsmæssige ramme, desuden ikke bringes i omsætning eller ibrugtages uafhængigt af produktet, bør producenten af produktet defineret i den pågældende lovgivning overholde de forpligtelser, der påhviler udbyderen i henhold til denne forordning, og bør navnlig sikre, at det AI-system, der er indlejret i slutproduktet, overholder kravene i denne forordning.

(88) I AI-værdikæden leverer flere parter ofte AI-systemer, værktøjer og tjenester, men også komponenter eller processer, som udbyderen indarbejder i AI-systemet til forskellige formål, herunder modeltræning, fornyet modeltræning, modelafprøvning og -evaluering, integration i software eller andre aspekter af modeludvikling. Disse parter spiller en vigtig rolle i værdikæden over for udbyderen af det højrisiko-AI-system, som deres AI-systemer, værktøjer, tjenester, komponenter eller processer er integreret i, og bør ved skriftlig aftale give denne udbyder den nødvendige information, kapacitet, tekniske adgang og anden bistand på grundlag af det generelt anerkendte aktuelle teknologiske niveau, således at udbyderen er i stand til fuldt ud at overholde forpligtelserne i denne forordning uden at bringe deres egne intellektuelle ejendomsrettigheder eller forretningshemmeligheder i fare.

(89) Tredjeparter, der gør andre værktøjer, tjenester, processer eller AI-komponenter tilgængelige for offentligheden end AI-modeller til almen brug, bør ikke være forpligtet til at overholde krav rettet mod ansvar i hele AI-værdikæden, navnlig mod den udbyder, der har anvendt eller integreret dem, når disse værktøjer, tjenester, processer eller AI-komponenter gøres tilgængelige i henhold til en gratis open source-licens. Udviklere af andre gratis open source-værktøjer, -tjenester, -processer eller -AI-komponenter end AI-modeller til almen brug bør dog tilskyndes til at gennemføre bredt indførte former for dokumentationspraksis såsom modelkort og datablade som en måde at fremskynde informationsdeling i hele AI-værdikæden på og derved fremme troværdige AI-systemer i Unionen.

(90) Kommissionen kan udvikle og anbefale frivillige standardaftalevilkår mellem udbydere af højrisiko-AI-systemer og tredjeparter, der leverer værktøjer, tjenester, komponenter eller processer, som anvendes eller integreres i højrisiko-AI-systemer, for at lette samarbejdet i hele værdikæden. Når Kommissionen udarbejder frivillige standardaftalevilkår, tager den også hensyn til eventuelle kontraktlige krav, der gælder i specifikke sektorer eller forretningsscenarier.

(91) I betragtning af AI-systemers karakter og de risici for sikkerheden og de grundlæggende rettigheder, der kan være forbundet med deres anvendelse, herunder behovet for at sikre korrekt overvågning af et AI-systems ydeevne i virkelige rammer, bør der fastsættes specifikke ansvarsområder for idriftsættere. Idriftsættere bør navnlig træffe passende tekniske og organisatoriske foranstaltninger for at sikre, at de anvender højrisiko-AI-systemer i overensstemmelse med brugsanvisningen, og der bør fastsættes visse andre forpligtelser med hensyn til overvågning af AI-systemernes funktion og med hensyn til registrering, alt efter hvad der er relevant. Idriftsættere bør desuden sikre, at de personer, som har fået til opgave at gennemføre brugsanvisningen og det menneskelige tilsyn som fastsat i denne forordning, har den nødvendige kompetence, navnlig et passende niveau af AI-færdigheder, -træning og -myndighed til at udføre disse opgaver korrekt. Disse forpligtelser bør ikke berøre andre af idriftsætterens forpligtelser i forbindelse med højrisiko-AI-systemer i henhold til EU-retten eller national ret.

(92) Denne forordning berører ikke arbejdsgivernes forpligtelser til at informere eller høre arbejdstagerne eller deres repræsentanter i henhold til EU-retten og EU-praksis eller national ret og praksis, herunder Europa-Parlamentets og Rådets direktiv 2002/14/EF (39), om beslutninger om at ibrugtage eller anvende AI-systemer. Det er fortsat nødvendigt at sikre, at arbejdstagerne og deres repræsentanter informeres om den planlagte idriftsættelse af højrisiko-AI-systemer på arbejdspladsen, hvis betingelserne for disse informations- eller informations- og høringsforpligtelser i andre retlige instrumenter ikke er opfyldt. En sådan ret til information er desuden accessorisk og nødvendig i forhold til målet om at beskytte de grundlæggende rettigheder, der ligger til grund for denne forordning. Der bør derfor fastsættes et informationskrav med henblik herpå i denne forordning, uden at det berører arbejdstagernes eksisterende rettigheder.

(93) Risici i forbindelse med AI-systemer kan være resultatet af den måde, sådanne systemer er udformet på, men risici kan også stamme fra måden, hvorpå sådanne AI-systemer anvendes. Idriftsættere af højrisiko-AI-systemer spiller derfor en afgørende rolle i at sikre, at de grundlæggende rettigheder beskyttes og i at supplere udbyderens forpligtelser i forbindelse med udviklingen af AI-systemet. Idriftsætterne er bedst i stand til at forstå, hvordan højrisiko-AI-systemet vil blive anvendt konkret, og kan derfor afdække potentielle risici, der ikke var forudset i udviklingsfasen, takket være et mere præcist kendskab til anvendelseskonteksten, de personer eller grupper af personer, der kan blive berørt, herunder sårbare grupper. Idriftsættere af de højrisiko-AI-systemer, der er opført i et bilag til denne forordning, spiller også en afgørende rolle med hensyn til at informere fysiske personer og bør, når de træffer beslutninger eller bistår med at træffe beslutninger vedrørende fysiske personer, om nødvendigt underrette de fysiske personer om, at de er omfattet af anvendelsen af højrisiko-AI-systemet. Disse oplysninger bør omfatte det tilsigtede formål og typen af beslutninger, det træffer. Idriftsætteren bør ligeledes oplyse de fysiske personer om deres ret til en forklaring som fastsat i denne forordning. For så vidt angår højrisiko-AI-systemer, der anvendes til retshåndhævelsesformål, bør denne forpligtelse gennemføres i overensstemmelse med artikel 13 i direktiv (EU) 2016/680.

(94) Enhver behandling af biometriske data, der indgår i anvendelsen af AI-systemer til biometrisk identifikation med henblik på retshåndhævelse, skal overholde artikel 10 i direktiv (EU) 2016/680, som kun tillader en sådan behandling, når det er strengt nødvendigt, forudsat at behandlingen er omfattet af de fornødne sikkerhedsforanstaltninger for den registreredes rettigheder og frihedsrettigheder, og hvis hjemlet i EU-retten eller medlemsstaternes nationale ret. En sådan anvendelse skal, når den er tilladt, også overholde principperne i artikel 4, stk. 1, i direktiv (EU) 2016/680, herunder lovlighed, rimelighed og gennemsigtighed, formålsbegrænsning, rigtighed og begrænsning af opbevaring.

(95) Uden at det berører gældende EU-ret, navnlig forordning (EU) 2016/679 og direktiv (EU) 2016/680, bør brugen af systemer til efterfølgende biometrisk fjernidentifikation, i betragtning af den indgribende karakter af systemer til efterfølgende biometrisk fjernidentifikation, være underlagt sikkerhedsforanstaltninger. Systemer til efterfølgende biometrisk fjernidentifikation bør altid anvendes på en måde, der er forholdsmæssig, legitim og strengt nødvendig, og dermed, for så vidt angår de personer, der skal identificeres, være målrettet stedet og den tidsmæssige rækkevidde og være baseret på et lukket datasæt af lovligt erhvervede videooptagelser. Under alle omstændigheder bør systemer til efterfølgende biometrisk fjernidentifikation ikke anvendes inden for retshåndhævelse til at føre vilkårlig overvågning. Betingelserne for efterfølgende biometrisk fjernidentifikation bør under alle omstændigheder ikke danne grundlag for at omgå betingelserne for forbuddet mod og de strenge undtagelser for biometrisk fjernidentifikation i realtid.

(96) For effektivt at sikre, at de grundlæggende rettigheder beskyttes, bør idriftsættere af højrisiko-AI-systemer, der er offentligretlige organer, eller private enheder, der leverer offentlige tjenester, og idriftsættere af visse højrisiko-AI-systemer, der er opført i et bilag til denne forordning, såsom banker eller forsikringsselskaber, foretage en konsekvensanalyse vedrørende grundlæggende rettigheder inden ibrugtagning. Tjenester, der er vigtige for enkeltpersoner, og som er af offentlig karakter, kan også leveres af private enheder. Private enheder, der leverer sådanne offentlige tjenester, er knyttet til samfundsnyttige opgaver såsom. inden for uddannelse, sundhedspleje, sociale tjenester, boliger og retspleje. Formålet med konsekvensanalysen vedrørende grundlæggende rettigheder er, at idriftsætteren skal identificere de specifikke risici for rettighederne for enkeltpersoner eller grupper af enkeltpersoner, der sandsynligvis vil blive berørt, og identificere de foranstaltninger, der skal træffes, hvis disse risici skulle opstå. Konsekvensanalysen bør udføres før idriftsættelse af højrisiko-AI-systemet og bør ajourføres, når idriftsætteren vurderer, at de relevante faktorer har ændret sig. Konsekvensanalysen bør identificere idriftsætterens relevante processer, i hvilke højrisiko-AI-systemet vil blive anvendt i overensstemmelse med dets tilsigtede formål, og bør indeholde en beskrivelse af den periode og hyppighed, hvori systemet tilsigtes anvendt, samt af specifikke kategorier af fysiske personer og grupper, der sandsynligvis vil blive berørt i den specifikke anvendelsessammenhæng. Analysen bør også omfatte kortlægning af specifikke risici for skade, der sandsynligvis vil påvirke disse personers eller gruppers grundlæggende rettigheder. I forbindelse med denne analyse bør idriftsætteren tage hensyn til oplysninger, der er relevante for en korrekt analyse af konsekvenser, herunder, men ikke begrænset til, de oplysninger, som udbyderen af højrisiko-AI-systemet giver i brugsanvisningen. I lyset af de kortlagte risici bør idriftsætteren afgøre, hvilke foranstaltninger der skal træffes, hvis disse risici skulle opstå, herunder f.eks. ledelsesordninger i den specifikke anvendelsessammenhæng, såsom ordninger for menneskeligt tilsyn i henhold til brugsanvisningen eller klagebehandlings- og erstatningsprocedurer, da de kan bidrage til at afbøde risici for grundlæggende rettigheder i konkrete anvendelsestilfælde. Efter at have foretaget denne konsekvensanalyse bør idriftsætteren underrette den relevante markedsovervågningsmyndighed. For at indsamle de relevante oplysninger, der er nødvendige for at foretage konsekvensanalysen, kan idriftsættere af højrisiko-AI-systemer, navnlig når AI-systemer anvendes i den offentlige sektor, inddrage relevante interessenter, herunder repræsentanter for grupper af personer, der sandsynligvis vil blive berørt af AI-systemet, uafhængige eksperter og civilsamfundsorganisationer i gennemførelsen af sådanne konsekvensanalyser og udformningen af foranstaltninger, der skal træffes, hvis risiciene opstår. Det Europæiske Kontor for Kunstig Intelligens (»AI-kontoret«) bør udvikle en skabelon til et spørgeskema for at lette overholdelsen og mindske den administrative byrde for idriftsættere.

(97) Begrebet AI-modeller til almen brug bør af hensyn til retssikkerheden defineres klart og adskilles fra begrebet AI-systemer. Definitionen bør baseres på de vigtigste funktionelle karakteristika ved en AI-model til almen brug, navnlig generaliteten og kapaciteten til med kompetence at udføre en lang række forskellige opgaver. Disse modeller trænes typisk med store mængder data ved hjælp af forskellige metoder såsom ved selvovervåget, ikkeovervåget eller forstærket læring. AI-modeller til almen brug kan bringes i omsætning på forskellige måder, herunder via biblioteker eller programmeringsgrænseflader for applikationer (API'er), som direkte download eller som fysisk kopi. Disse modeller kan ændres yderligere eller finjusteres til nye modeller. Selv om AI-modeller er væsentlige komponenter i AI-systemer, udgør de ikke i sig selv AI-systemer. AI-modeller kræver, at der tilføjes yderligere komponenter, f.eks. en brugergrænseflade, for at blive til AI-systemer. AI-modeller er typisk integreret i og udgør en del af AI-systemer. Denne forordning fastsætter specifikke regler for AI-modeller til almen brug og for AI-modeller til almen brug, der udgør systemiske risici, som også bør finde anvendelse, når disse modeller integreres eller indgår i et AI-system. Det forudsættes, at forpligtelserne for udbydere af AI-modeller til almen brug bør finde anvendelse, når AI-modellerne til almen brug er bragt i omsætning. Når udbyderen af en AI-model til almen brug integrerer en egen model i sit eget AI-system, der gøres tilgængeligt på markedet eller ibrugtages, bør den pågældende model betragtes som at være bragt i omsætning, og derfor bør forpligtelserne i denne forordning for modeller fortsat finde anvendelse foruden forpligtelserne for AI-systemer. De forpligtelser, der er fastsat for modeller, bør under alle omstændigheder ikke finde anvendelse, når en egen model anvendes til rent interne processer, som ikke er væsentlige for leveringen af et produkt eller en tjeneste til tredjeparter, og fysiske personers rettigheder ikke berøres. I betragtning af deres potentielt væsentlige negative virkninger bør AI-modeller til almen brug med systemisk risiko altid være underlagt de relevante forpligtelser i henhold til denne forordning. Definitionen bør ikke omfatte AI-modeller, der anvendes, inden de bringes i omsætning, udelukkende med henblik på forsknings-, udviklings- og prototypeaktiviteter. Dette berører ikke forpligtelsen til at overholde denne forordning, når en model bringes i omsætning efter sådanne aktiviteter.

(98) Mens en models generalitet blandt andet også kan bestemmes af en række parametre, bør modeller med mindst en milliard parametre, og som er trænet med en stor mængde data ved hjælp af selvovervågning, i stor skala betragtes som at udvise betydelig generalitet og kompetence til at udføre en lang række forskellige opgaver.

(99) Store generative AI-modeller er et typisk eksempel på en AI-model til almen brug, da de giver mulighed for fleksibel generering af indhold, f.eks. i form af tekst, lyd, billeder eller video, der let kan tilpasses en lang række forskellige opgaver.

(100) Hvis en AI-model til almen brug integreres i eller udgør en del af et AI-system, bør dette system betragtes som at være et AI-system til almen brug, når dette system som følge af denne integration har kapacitet til at tjene en række forskellige formål. Et AI-system til almen brug kan anvendes direkte, eller det kan integreres i andre AI-systemer.

(101) Udbydere af AI-modeller til almen brug har en særlig rolle og et særligt ansvar i AI-værdikæden, da de modeller, de leverer, kan danne grundlag for en række downstreamsystemer, der ofte leveres af downstreamudbydere, og som kræver en god forståelse af modellerne og deres kapacitet, både for at gøre det muligt at integrere sådanne modeller i deres produkter og for at opfylde deres forpligtelser i henhold til denne eller andre forordninger. Der bør derfor fastsættes forholdsmæssige gennemsigtighedsforanstaltninger, herunder udarbejdelse og ajourføring af dokumentation og formidling af oplysninger om AI-modellen til almen brug med henblik på downstreamudbydernes anvendelse heraf. Den tekniske dokumentation bør udarbejdes og ajourføres af udbyderen af AI-modellen til almen brug med henblik på efter anmodning at stille den til rådighed for AI-kontoret og de nationale kompetente myndigheder. Minimumssættet af elementer, der skal medtages i sådan dokumentation, bør fastsættes i særlige bilag til denne forordning. Kommissionen bør have beføjelse til at ændre disse bilag ved hjælp af delegerede retsakter i lyset af den teknologiske udvikling.

(102) Software og data, herunder modeller frigivet i henhold til en gratis open source-licens, der gør det muligt at dele dem åbent, og hvor brugerne frit kan få adgang til, anvende, ændre og videregive dem eller ændrede versioner heraf, kan bidrage til forskning og innovation på markedet og skabe betydelige vækstmuligheder for Unionens økonomi. AI-modeller til almen brug, som er frigivet i henhold til gratis open source-licenser, bør betragtes som at sikre en høj grad af gennemsigtighed og åbenhed, hvis deres parametre, herunder vægtene, oplysningerne om modelarkitekturen og oplysningerne om modelanvendelsen, gøres offentligt tilgængelige. Licensen bør også betragtes som gratis og open source, når den giver brugerne mulighed for at køre, kopiere, distribuere, undersøge, ændre og forbedre software og data, herunder modeller, forudsat at den oprindelige udbyder af modellen krediteres, og at de identiske eller sammenlignelige distributionsvilkår overholdes.

(103) Gratis open source-AI-komponenter omfatter software og data, herunder modeller og AI-modeller til almen brug, værktøjer, tjenester eller processer i et AI-system. Gratis open source-AI-komponenter kan leveres gennem forskellige kanaler, herunder deres udvikling i åbne databaser. Med henblik på denne forordning bør AI-komponenter, der leveres mod en pris, eller som der på anden vis tjenes penge på, herunder gennem levering af teknisk støtte eller andre tjenester, bl.a. gennem en softwareplatform, i forbindelse med AI-komponenten, eller anvendelse af personoplysninger af andre årsager end udelukkende for at forbedre softwarens sikkerhed, kompatibilitet eller interoperabilitet, med undtagelse af transaktioner mellem mikrovirksomheder, ikke være omfattet af undtagelserne for gratis open source-AI-komponenter. Det forhold, at AI-komponenter stilles til rådighed gennem åbne databaser, bør ikke i sig selv udgøre en monetarisering.

(104) Udbydere af AI-modeller til almen brug, der frigives i henhold til en gratis open source-licens, og hvis parametre, herunder vægtene, oplysningerne om modelarkitekturen og oplysningerne om modelanvendelsen, gøres offentligt tilgængelige, bør være omfattet af undtagelser for så vidt angår de krav om gennemsigtighed, der stilles til AI-modeller til almen brug, medmindre de kan anses for at udgøre en systemisk risiko, i hvilket tilfælde det forhold, at modellen er gennemsigtig og ledsaget af en open source-licens, ikke bør betragtes som tilstrækkelig grund til at udelukke, at forpligtelserne i henhold til denne forordning overholdes. I betragtning af at frigivelsen af AI-modeller til almen brug i henhold til en gratis open source-licens ikke nødvendigvis afslører væsentlige oplysninger om det datasæt, der anvendes til træning eller finjustering af modellen, og om hvordan overholdelsen af ophavsretten derved blev sikret, bør undtagelsen for AI-modeller til almen brug fra overholdelse af krav om gennemsigtighed under alle omstændigheder ikke vedrøre forpligtelsen til at udarbejde en sammenfatning af det indhold, der anvendes til modeltræning, og forpligtelsen til at indføre en politik, der overholder EU-retten om ophavsret, navnlig med hensyn til at identificere og overholde forbeholdet af rettigheder i henhold til artikel 4, stk. 3, i Europa-Parlamentets og Rådets direktiv (EU) 2019/790 (40).

(105) AI-modeller til almen brug, navnlig store generative AI-modeller, der kan generere tekst, billeder og andet indhold, giver unikke innovationsmuligheder, men også udfordringer for kunstnere, forfattere og andre skabere og den måde, hvorpå deres kreative indhold skabes, distribueres, anvendes og forbruges. Udviklingen og træningen af sådanne modeller kræver adgang til store mængder tekst, billeder, videoer og andre data. Tekst- og dataminingteknikker kan anvendes i vid udstrækning i denne forbindelse til søgning og analyse af sådant indhold, som kan være beskyttet af ophavsret og beslægtede rettigheder. Enhver anvendelse af ophavsretligt beskyttet indhold kræver tilladelse fra den pågældende rettighedshaver, medmindre der gælder relevante undtagelser og indskrænkninger i ophavsretten. Direktiv (EU) 2019/790 indførte undtagelser og indskrænkninger, der tillader reproduktion og udtræk af værker eller andre frembringelser med henblik på tekst- og datamining på visse betingelser. I henhold til disse regler kan rettighedshavere vælge at forbeholde deres rettigheder til deres værker eller andre frembringelser for at forhindre tekst- og datamining, medmindre dette sker med henblik på videnskabelig forskning. Hvis retten til fravalg udtrykkeligt er blevet forbeholdt på passende vis, skal udbydere af AI-modeller til almen brug indhente en tilladelse fra rettighedshaverne, hvis de ønsker at udføre tekst- og datamining i forbindelse med sådanne værker.

(106) Udbydere, der bringer AI-modeller til almen brug i omsætning på EU-markedet, bør sikre overholdelse af de relevante forpligtelser i denne forordning. Med henblik herpå bør udbydere af AI-modeller til almen brug indføre en politik, der overholder EU-retten om ophavsret og beslægtede rettigheder, navnlig med hensyn til at identificere og overholde det forbehold af rettigheder, som rettighedshaverne har givet udtryk for i henhold til artikel 4, stk. 3, i direktiv (EU) 2019/790. Enhver udbyder, der bringer en AI-model til almen brug i omsætning på EU-markedet, bør overholde denne forpligtelse, uanset i hvilken jurisdiktion de ophavsretligt relevante handlinger, der ligger til grund for træningen af disse AI-modeller til almen brug, finder sted. Dette er nødvendigt for at sikre lige vilkår for udbydere af AI-modeller til almen brug, da ingen udbyder bør kunne opnå en konkurrencemæssig fordel på EU-markedet ved at anvende lavere ophavsretlige standarder end dem, der er fastsat i Unionen.

(107) For at øge gennemsigtigheden af de data, der anvendes i forbindelse med forhåndstræning og træning af AI-modeller til almen brug, herunder tekst og data, der er beskyttet af ophavsret, er det tilstrækkeligt, at udbydere af sådanne modeller udarbejder og offentliggør en tilstrækkeligt detaljeret sammenfatning af det indhold, der anvendes til træning af AI-modellen til almen brug. Under behørig hensyntagen til behovet for at beskytte forretningshemmeligheder og fortrolige forretningsoplysninger bør denne sammenfatning generelt have et bredt anvendelsesområde i stedet for at være teknisk detaljeret, så det bliver lettere for parter med legitime interesser, herunder indehavere af ophavsret, at udøve og håndhæve deres rettigheder i henhold til EU-retten, f.eks. ved at opregne de vigtigste datasamlinger eller datasæt, der er gået til at træne modellen, såsom store private eller offentlige databaser eller dataarkiver, og ved at give en beskrivende redegørelse for andre anvendte datakilder. Det er hensigtsmæssigt, at AI-kontoret tilvejebringer en skabelon for sammenfatningen, som bør være enkel og effektiv, og giver udbyderen mulighed for at fremsende den krævede sammenfatning i beskrivende tekst.

(108) Hvad angår de forpligtelser, der pålægges udbydere af AI-modeller til almen brug, til at indføre en politik med henblik på at overholde EU-retten om ophavsret og offentliggøre en sammenfatning af det indhold, der anvendes til træningen, bør AI-kontoret overvåge, om udbyderen har opfyldt disse forpligtelser uden at verificere eller vurdere træningsdataene for hvert enkelt værk med hensyn til overholdelse af ophavsretten. Denne forordning berører ikke håndhævelsen af ophavsretsreglerne som fastsat i EU-retten.

(109) Overholdelsen af de forpligtelser, der gælder for udbydere af AI-modeller til almen brug, bør stå i et rimeligt forhold til og være proportionalt med typen af modeludbyder, bortset fra behovet for overholdelse for personer, der udvikler eller anvender modeller til ikkeprofessionelle eller videnskabelige forskningsformål, og som ikke desto mindre bør tilskyndes til frivilligt at overholde disse krav. Uden at det berører EU-retten om ophavsret, bør der ved overholdelsen af disse forpligtelser tages behørigt hensyn til udbyderens størrelse, og SMV'er, herunder iværksættervirksomheder, bør have mulighed for forenklede måder at overholde reglerne på, som ikke bør indebære uforholdsmæssigt store omkostninger og ikke modvirke anvendelsen af sådanne modeller. I tilfælde af en ændring eller finjustering af en model bør forpligtelserne for udbydere af AI-modeller til almen brug begrænses til denne ændring eller finjustering, f.eks. ved at supplere den allerede eksisterende tekniske dokumentation med oplysninger om ændringerne, herunder nye træningsdatakilder, som et middel til at overholde værdikædeforpligtelserne i denne forordning.

(110) AI-modeller til almen brug kan udgøre systemiske risici, som omfatter, men ikke er begrænset til, faktiske negative virkninger, der med rimelighed kan forudses, i forbindelse med større ulykker, forstyrrelser i kritiske sektorer og alvorlige konsekvenser for folkesundheden og sikkerheden, enhver faktisk negativ virkning, der med rimelighed kan forudses, for demokratiske processer, offentlig og økonomisk sikkerhed samt formidling af ulovligt, falsk eller forskelsbehandlende indhold. Det skal forstås sådan, at systemiske risici øges med modelkapaciteter og modelrækkevidde, kan opstå i hele modellens livscyklus og påvirkes af betingelser for misbrug, modelpålidelighed, modelrimelighed og modelsikkerhed, graden af modellens autonomi, dens adgang til værktøjer, nye eller

kombinerede metoder, frigivelses- og distributionsstrategier, potentialet til at fjerne beskyttelsesforanstaltninger og andre faktorer. Navnlig har internationale tilgange hidtil vist, at det er nødvendigt at være opmærksom på risici fra potentielt bevidst misbrug eller utilsigtede problemer med kontrol i forbindelse med tilpasning til menneskelig hensigt, kemiske, biologiske, radiologiske og nukleare risici, f.eks. hvordan adgangsbarrierer kan sænkes, herunder for udvikling, erhvervelse eller anvendelse af våben, offensive cyberkapaciteter, f.eks. hvordan metoder til opdagelse, udnyttelse eller operationel brug af sårbarheder kan muliggøres, virkningerne af interaktion og brug af værktøjer, herunder f.eks. kapaciteten til at kontrollere fysiske systemer og gribe ind i kritisk infrastruktur, risici fra modeller, der fremstiller kopier af sig selv eller bliver »selvkopierende« eller træner andre modeller, hvordan modeller kan medføre skadelig bias og forskelsbehandling med risici for enkeltpersoner, lokalsamfund eller samfund, lettelse af desinformation eller krænkelse af privatlivets fred med trusler mod demokratiske værdier og menneskerettighederne samt risiko for, at en bestemt hændelse kan skabe en kædereaktion med betydelige negative virkninger, der kan påvirke en hel by, en hel domæneaktivitet eller et helt fællesskab.

(111) Der bør fastlægges en metode til klassificering af AI-modeller til almen brug som AI-modeller til almen brug med systemiske risici. Da systemiske risici skyldes særlig høj kapacitet, bør en AI-model til almen brug betragtes som at udgøre systemiske risici, hvis de har kapaciteter med stor virkning, vurderet på grundlag af passende tekniske værktøjer og metoder, eller en betydelig indvirkning på det indre marked på grund af dens omfang. Ved kapaciteter med stor virkning i AI-modeller til almen brug forstås kapaciteter, som svarer til eller overstiger de kapaciteter, der er registreret i de mest avancerede AI-modeller til almen brug. Hele spektret af kapaciteter i en model kan bedre forstås, efter at den er blevet bragt i omsætning på markedet, eller når idriftsætterne interagerer med modellen. Ifølge det aktuelle teknologiske niveau på tidspunktet for denne forordnings ikrafttræden er den kumulerede mængde beregningskraft, der anvendes til træning af AI-modellen til almen brug, målt i flydende kommatalsberegninger, en af de relevante tilnærmelser for modelkapaciteter. Den kumulerede mængde beregningskraft, der anvendes til træning, omfatter den beregningskraft, der anvendes på tværs af de aktiviteter og metoder, der er tilsigtet at forbedre modellens kapaciteter forud for idriftsættelsen, såsom forhåndstræning, generering af syntetiske data og finjustering. Der bør derfor fastsættes en foreløbig tærskel for flydende kommatalsberegninger, som, hvis den opnås af en AI-model til almen brug, fører til en formodning om, at modellen er en AI-model til almen brug med systemiske risici. Denne tærskel bør justeres over tid for at afspejle teknologiske og industrielle ændringer såsom algoritmiske forbedringer eller øget hardwareeffektivitet og bør suppleres med benchmarks og indikatorer for modelkapacitet. For at kvalificere dette bør AI-kontoret samarbejde med det videnskabelige samfund, industrien, civilsamfundet og andre eksperter. Tærskler samt værktøjer og benchmarks til vurdering af kapaciteter med stor virkning bør være stærke forudsigelsesfaktorer for generaliteten, kapaciteterne og den dermed forbundne systemiske risiko ved AI-modeller til almen brug og kan tage hensyn til måden, hvorpå modellen vil blive bragt i omsætning, eller antallet af brugere, den kan påvirke. For at supplere dette system bør Kommissionen have mulighed for at træffe individuelle beslutninger om, at en AI-model til almen brug udpeges som en AI-model til almen brug med systemisk risiko, hvis det konstateres, at en sådan model har samme kapaciteter eller en virkning som dem, der fremgår af den fastsatte tærskel. Denne beslutning bør træffes på grundlag af en samlet vurdering af kriterierne for udpegelse af en AI-model til almen brug med systemisk risiko, der er fastsat i et bilag til denne forordning, såsom kvaliteten eller størrelsen af træningsdatasættet, antallet af virksomheds- og slutbrugere, dens input- og outputmetoder, dens grad af autonomi og skalerbarhed eller de værktøjer, den har adgang til. Efter en begrundet anmodning fra en udbyder, hvis model er blevet udpeget som en AI-model til almen brug med systemisk risiko, bør Kommissionen tage hensyn til anmodningen og kan beslutte på ny at vurdere, om AI-modellen til almen brug stadig kan anses for at frembyde systemiske risici.

(112) Det er også nødvendigt at klargøre en procedure til klassificering af en AI-model til almen brug med systemiske risici. En AI-model til almen brug, som opfylder den gældende tærskel for kapaciteter med stor virkning, må formodes at være en AI-model til almen brug med systemisk risiko. Udbyderen bør underrette AI-kontoret senest to uger efter, at kravene er opfyldt, eller det bliver kendt, at en AI-model til almen brug vil opfylde de krav, der fører til formodningen. Dette er navnlig relevant i forbindelse med tærsklen for flydende kommatalsberegninger, eftersom træning af AI-modeller til almen brug kræver betydelig planlægning, som omfatter forhåndsallokering af beregningskraftsressourcer, og udbydere af AI-modeller til almen brug kan derfor have kendskab til, om deres model opfylder tærsklen, inden træningen afsluttes. I forbindelse med denne notifikation bør udbyderen kunne påvise, at en AI-model til almen brug som følge af dens specifikke karakteristika undtagelsesvis ikke udgør systemiske risici, og at den derfor ikke bør klassificeres som en AI-model til almen brug med systemiske risici. Denne oplysning er nyttig for AI-kontoret med henblik på at foregribe omsætningen af AI-modeller til almen brug med systemiske risici, så udbyderne tidligt kan begynde at samarbejde med AI-kontoret. Denne oplysning er navnlig vigtig for så vidt angår AI-modeller til almen brug, som efter planen skal frigives som open source, eftersom de nødvendige foranstaltninger til at sikre overholdelse af forpligtelserne i medfør af denne forordning kan være vanskeligere at gennemføre efter frigivelsen af modellen som open source.

(113) Hvis Kommissionen får kendskab til, at en AI-model til almen brug opfylder kravene til klassificering som en AI-model til almen brug med systemisk risiko, som tidligere enten ikke var kendt, eller som den relevante udbyder har undladt at underrette Kommissionen om, bør Kommissionen have beføjelse til at udpege den som sådan. I tillæg til AI-kontorets overvågningsaktiviteter bør et system med kvalificerede varslinger sikre, at AI-kontoret af det videnskabelige panel får kendskab til AI-modeller til almen brug, som eventuelt bør klassificeres som AI-modeller til almen brug med systemisk risiko.

(114) Udbydere af AI-modeller til almen brug, som udgør systemiske risici, bør foruden de forpligtelser, der er fastsat for udbydere af AI-modeller til almen brug, være underlagt forpligtelser med det formål at identificere og afbøde disse risici og sikre et tilstrækkeligt cybersikkerhedsbeskyttelsesniveau, uanset om de leveres som en selvstændig model eller er indlejret i et AI-system eller et produkt. For at nå disse mål bør denne forordning kræve, at udbydere foretager de nødvendige modelevalueringer, navnlig inden de første gang bringes i omsætning, herunder gennemførelse og dokumentation af afprøvning af modeller mod ondsindet brug, herunder også i relevant omfang, gennem intern eller uafhængig ekstern afprøvning. Udbydere af AI-modeller til almen brug med systemiske risici bør desuden løbende vurdere og afbøde systemiske risici, herunder f.eks. ved at indføre risikostyringspolitikker såsom ansvarligheds- og forvaltningsprocesser, gennemføre overvågning efter omsætningen, træffe passende foranstaltninger i hele modellens livscyklus og samarbejde med relevante aktører i AI-værdikæden.

(115) Udbydere af AI-modeller til almen brug med systemiske risici bør vurdere og afbøde eventuelle systemiske risici. Hvis udviklingen eller anvendelsen af modellen trods bestræbelser på at identificere og forebygge risici forbundet med en AI-model til almen brug, som kan udgøre systemiske risici, forårsager en alvorlig hændelse, bør udbyderen af AI-modellen til almen brug uden unødigt ophold spore hændelsen og indberette alle relevante oplysninger og eventuelle korrigerende foranstaltninger til Kommissionen og de nationale kompetente myndigheder. Udbydere bør desuden sikre et tilstrækkeligt cybersikkerhedsbeskyttelsesniveau for modellen og dens fysiske infrastruktur, hvis det er relevant, i hele modellens livscyklus. Cybersikkerhedsbeskyttelse i forbindelse med systemiske risici, der er knyttet til ondsindet brug af eller angreb, bør tage behørigt hensyn til utilsigtet modellækage, uautoriserede frigivelser, omgåelse af sikkerhedsforanstaltninger og forsvar mod cyberangreb, uautoriseret adgang eller modeltyveri. Denne beskyttelse kan lettes ved at sikre modelvægte, algoritmer, servere og datasæt såsom gennem operationelle sikkerhedsforanstaltninger med henblik på informationssikkerhed, specifikke cybersikkerhedspolitikker, passende tekniske og etablerede løsninger samt cyberadgangskontroller og fysiske adgangskontroller, der er tilpasset de relevante forhold og de involverede risici.

(116) AI-kontoret bør tilskynde til og lette udarbejdelsen, gennemgangen og tilpasningen af praksiskodekser under hensyntagen til internationale tilgange. Alle udbydere af AI-modeller til almen brug kan indbydes til at deltage. For at sikre at praksiskodekser afspejler det aktuelle teknologiske niveau og tager behørigt hensyn til en række forskellige perspektiver, bør AI-kontoret samarbejde med relevante nationale kompetente myndigheder og kan, hvis det er relevant, høre civilsamfundsorganisationer og andre relevante interessenter og eksperter, herunder det videnskabelige panel, om udarbejdelsen af sådanne kodekser. Praksiskodekser bør omfatte forpligtelser for udbydere af AI-modeller til almen brug og af modeller til almen brug, der udgør systemiske risici. Hvad angår systemiske risici, bør praksiskodekser derudover bidrage til at opstille en risikotaksonomi for typen og arten af de systemiske risici på EU-plan, herunder deres kilder. Praksiskodekser bør også fokusere på specifikke risikovurderinger og risikobegrænsende foranstaltninger.

(117) Praksiskodekser bør udgøre et centralt redskab med henblik på korrekt overholdelse af de forpligtelser, der er fastsat i medfør af denne forordning, og som gælder for udbydere af AI-modeller til almen brug. Udbydere bør kunne forlade sig på praksiskodekser for at påvise overholdelse af forpligtelserne. Kommissionen kan ved hjælp af gennemførelsesretsakter beslutte at godkende en praksiskodeks og tillægge den almen gyldighed i Unionen eller alternativt fastsætte fælles regler for gennemførelsen af de relevante forpligtelser, hvis en praksiskodeks på tidspunktet for denne forordnings ikrafttræden ikke kan færdiggøres eller af AI-kontoret anses for at være utilstrækkelig. Når en harmoniseret standard er offentliggjort, og AI-kontoret har vurderet den som egnet til at dække de relevante forpligtelser, bør overholdelse af en europæisk harmoniseret standard medføre en formodning om overensstemmelse hermed fra udbydernes side. Udbydere af AI-modeller til almen brug bør desuden kunne påvise overensstemmelse ved hjælp af alternative passende metoder, hvis der ikke findes praksiskodekser eller harmoniserede standarder, eller de vælger ikke at anvende sådanne.

(118) Denne forordning regulerer AI-systemer og AI-modeller, idet den indfører visse krav og forpligtelser for relevante markedsaktører, som bringer dem i omsætning, ibrugtager dem eller anvender dem i Unionen, og derved supplerer forpligtelserne for udbydere af formidlingstjenester, som indlejrer sådanne systemer eller modeller i deres tjenester, som er reguleret ved forordning (EU) 2022/2065. I det omfang sådanne systemer eller modeller er indlejret i udpegede meget store onlineplatforme eller meget store onlinesøgemaskiner, er de underlagt den ramme for risikostyring, som er fastsat i forordning (EU) 2022/2065. De tilsvarende forpligtelser i nærværende forordning må derfor formodes at være opfyldt, medmindre betydelige systemiske risici, der ikke er omfattet af forordning (EU) 2022/2065, forekommer og identificeres i sådanne modeller. Inden for disse rammer er udbydere af meget store onlineplatforme forpligtet til at vurdere potentielle systemiske risici, der hidrører fra udformningen, funktionen og anvendelsen af deres tjenester, herunder hvordan udformningen af algoritmiske systemer, der anvendes i tjenesten, kan bidrage til sådanne risici, samt systemiske risici, der hidrører fra potentielt misbrug. Disse udbydere er også forpligtet til at træffe afbødende foranstaltninger for at overholde de grundlæggende rettigheder.

(119) I betragtning af innovationshastigheden og den teknologiske udvikling inden for digitale tjenester, som er omfattet af forskellige EU-retlige instrumenters anvendelsesområde, navnlig under hensyntagen til anvendelsen og opfattelsen af modtagerne heraf, kan de AI-systemer, der er omfattet af denne forordning, leveres som formidlingstjenester eller dele heraf som omhandlet i forordning (EU) 2022/2065, som bør fortolkes på en teknologineutral måde. AI-systemer kan f.eks. anvendes til at levere onlinesøgemaskiner, navnlig i det omfang et AI-system såsom en onlinechatbot i princippet foretager søgninger på alle websteder, dernæst indarbejder resultaterne i sin eksisterende viden og anvender den ajourførte viden til at generere et enkelt output, der kombinerer forskellige informationskilder.

(120) De forpligtelser, der pålægges udbydere og idriftsættere af visse AI-systemer i denne forordning, for at give mulighed for at påvise og oplyse, at outputtet af disse systemer er blevet genereret kunstigt eller manipuleret, er desuden særlig relevante for at lette en effektiv gennemførelse af forordning (EU) 2022/2065. Dette gælder navnlig for forpligtelserne for udbydere af meget store onlineplatforme eller meget store onlinesøgemaskiner til at identificere og afbøde systemiske risici, der kan opstå som følge af formidlingen af indhold, der er blevet kunstigt genereret eller manipuleret, navnlig risikoen for de faktiske eller forventede negative virkninger for demokratiske processer, samfundsdebatten og valgprocesser, herunder gennem desinformation.

(121) Standardisering bør spille en central rolle med hensyn til at levere tekniske løsninger til udbyderne for at sikre overholdelse af denne forordning i overensstemmelse med det aktuelle teknologiske niveau og fremme innovation samt konkurrenceevnen og væksten på det indre marked. Overholdelse af harmoniserede standarder som defineret i artikel 2, nr. 1), litra c), i Europa-Parlamentets og Rådets forordning (EU) nr. 1025/2012 (41), der sædvanligvis forventes at afspejle det aktuelle teknologiske niveau, bør være et middel for udbydere til at påvise overensstemmelse med kravene i nærværende forordning. Der bør derfor tilskyndes til en afbalanceret repræsentation af interesser, der inddrager alle relevante interessenter i udviklingen af standarder, navnlig SMV'er, forbrugerorganisationer og miljøorganisationer og sociale interessenter i overensstemmelse med artikel 5 og 6 i forordning (EU) nr. 1025/2012. For at lette overholdelsen bør standardiseringsanmodningerne fremsættes af Kommissionen uden unødigt ophold. I forbindelse med udarbejdelsen af standardiseringsanmodninger bør Kommissionen høre det rådgivende forum og AI-udvalget med henblik på at indsamle relevant ekspertise. I mangel af relevante referencer til harmoniserede standarder bør Kommissionen dog ved hjælp af gennemførelsesretsakter og efter høring af det rådgivende forum kunne fastsætte fælles specifikationer for visse krav i henhold til nærværende forordning. Den fælles specifikation bør være en ekstraordinær nødløsning for at lette udbyderens forpligtelse til at overholde kravene i nærværende forordning, når standardiseringsanmodningen ikke er blevet accepteret af de europæiske standardiseringsorganisationer, eller når de relevante harmoniserede standarder i utilstrækkelig grad tager hensyn til betænkeligheder vedrørende grundlæggende rettigheder, eller når de harmoniserede standarder ikke er i overensstemmelse med anmodningen, eller når der er forsinkelser i vedtagelsen af en passende harmoniseret standard. Hvis en sådan forsinkelse i vedtagelsen af en harmoniseret standard skyldes den pågældende standards tekniske kompleksitet, bør Kommissionen tage dette i betragtning, inden det overvejes at udarbejde fælles specifikationer. Ved udarbejdelsen af fælles specifikationer tilskyndes Kommissionen til at samarbejde med internationale partnere og internationale standardiseringsorganer.

(122) Uden at det berører anvendelsen af harmoniserede standarder og fælles specifikationer, bør udbydere af et højrisiko-AI-system, som er blevet trænet og afprøvet på data, der afspejler de specifikke geografiske, adfærdsmæssige, kontekstuelle eller funktionelle rammer, som AI-systemet tilsigtes anvendt inden for, formodes at være i overensstemmelse med den relevante foranstaltning, der er fastsat i kravet til datastyring i denne forordning. Uden at det berører kravene til robusthed og nøjagtighed i denne forordning og i overensstemmelse med artikel 54, stk. 3, i forordning (EU) 2019/881 formodes højrisiko-AI-systemer, der er certificeret, eller for hvilke der er udstedt en overensstemmelseserklæring inden for rammerne af en cybersikkerhedsordning i henhold til nævnte forordning, og hvis referencer er offentliggjort i Den Europæiske Unions Tidende, at overholde cybersikkerhedskravene i nærværende forordning, såfremt cybersikkerhedsattesten eller overensstemmelseserklæringen eller dele heraf dækker cybersikkerhedskravet i nærværende forordning. Dette berører ikke den pågældende cybersikkerhedsordnings frivillige karakter.

(123) For at sikre en høj grad af troværdighed i højrisiko-AI-systemer bør disse systemer underkastes en overensstemmelsesvurdering, inden de bringes i omsætning eller ibrugtages.

(124) For så vidt angår højrisiko-AI-systemer, der vedrører produkter, der er omfattet af gældende EU-harmoniseringslovgivning baseret på den nye lovgivningsmæssige ramme, bør disse AI-systemers overholdelse af kravene i denne forordning vurderes som led i den overensstemmelsesvurdering, der allerede er fastsat i nævnte ret, for at minimere byrden for operatørerne og undgå ethvert muligt overlap. Anvendeligheden af kravene i denne forordning bør derfor ikke påvirke den specifikke logik, metode eller generelle struktur i overensstemmelsesvurderingen i henhold til den relevante EU-harmoniseringslovgivning.

(125) I betragtning af højrisiko-AI-systemers kompleksitet og de med disse forbundne risici er det vigtigt at udvikle en passende overensstemmelsesvurderingsprocedure for højrisiko-AI-systemer, der involverer bemyndigede organer, en såkaldt overensstemmelsesvurdering udført af tredjepart. I betragtning af den aktuelle erfaring, som professionelle, der udfører certificering forud for omsætning, har inden for produktsikkerhed og de relevante risicis forskellige karakter, bør anvendelsesområdet for tredjeparters overensstemmelsesvurderinger af andre højrisiko-AI-systemer end dem, der vedrører produkter, dog begrænses, i det mindste i den indledende fase af anvendelsen af denne forordning. Overensstemmelsesvurderinger af sådanne systemer bør derfor som hovedregel foretages af udbyderen på dennes eget ansvar, med undtagelse af AI-systemer, der tilsigtes anvendt til biometri.

(126) Med henblik på tredjeparters overensstemmelsesvurderinger, når der er behov for sådanne, bør bemyndigede organer notificeres i henhold til denne forordning af de nationale kompetente myndigheder, forudsat at de overholder en række krav, navnlig med hensyn til uafhængighed, kompetencer, interessekonflikter og passende cybersikkerhedskrav. De nationale kompetente myndigheder bør sende notifikationen af disse organer til Kommissionen og de andre medlemsstater ved hjælp af det elektroniske notifikationsværktøj, der er udviklet og forvaltes af Kommissionen i henhold til artikel R23 i bilag I til afgørelse nr. 768/2008/EF.

(127) I overensstemmelse med Unionens forpligtelser i henhold til Verdenshandelsorganisationens aftale om tekniske handelshindringer er det hensigtsmæssigt at lette den gensidige anerkendelse af resultater af overensstemmelsesvurderinger udarbejdet af de kompetente overensstemmelsesvurderingsorganer, uafhængigt af hvor de er etableret, forudsat at disse overensstemmelsesvurderingsorganer, der er oprettet i henhold til retten i et tredjeland, opfylder de gældende krav i denne forordning, og Unionen har indgået aftale herom. I denne forbindelse bør Kommissionen aktivt undersøge mulige internationale instrumenter til dette formål og navnlig søge at indgå aftaler om gensidig anerkendelse med tredjelande.

(128) I overensstemmelse med det almindeligt anerkendte begreb væsentlig ændring for produkter, der er reguleret af EU-harmoniseringslovgivningen, bør AI-systemet, når der sker en ændring, som kan have indflydelse på højrisiko-AI-systemets overensstemmelse med denne forordning (f.eks. ændring af styresystem eller softwarearkitektur), eller hvis systemets tilsigtede formål ændrer sig, betragtes som et nyt AI-system, der bør underkastes en ny overensstemmelsesvurdering. Ændringer i algoritmen og ydeevnen af AI-systemer, der fortsætter med at »lære« efter, at de er bragt i omsætning eller ibrugtaget, dvs. at de automatisk tilpasser, hvordan funktionerne udføres, bør ikke udgøre en væsentlig ændring, forudsat at disse ændringer er fastlagt på forhånd af udbyderen og vurderet på tidspunktet for overensstemmelsesvurderingen.

(129) Højrisiko-AI-systemer bør være forsynet med CE-mærkning for at vise, at de er i overensstemmelse med denne forordning, således at de sikres fri bevægelighed på det indre marked. For højrisiko-AI-systemer, der er indlejret i et produkt, bør der anbringes en fysisk CE-mærkning, som kan suppleres med en digital CE-mærkning. For højrisiko-AI-systemer, der kun leveres digitalt, bør der anvendes en digital CE-mærkning. Medlemsstaterne bør ikke skabe uberettigede hindringer for omsætningen eller ibrugtagningen af højrisiko-AI-systemer, der overholder kravene i denne forordning, og som er forsynet med CE-mærkning.

(130) Under visse omstændigheder kan hurtig adgang til innovative teknologier være afgørende for personers sundhed og sikkerhed, miljøbeskyttelse og klimaændringer og for samfundet som helhed. Markedsovervågningsmyndighederne kan derfor af ekstraordinære hensyn til den offentlige sikkerhed eller beskyttelsen af fysiske personers liv og sundhed, miljøbeskyttelse og beskyttelse af centrale industrielle og infrastrukturmæssige aktiver tillade omsætning eller ibrugtagning af AI-systemer, der ikke har været genstand for en overensstemmelsesvurdering. I behørigt begrundede situationer som fastsat i denne forordning kan de retshåndhævende myndigheder eller civilbeskyttelsesmyndighederne tage et specifikt højrisiko-AI-system i brug uden tilladelse fra markedsovervågningsmyndigheden, forudsat at der under eller efter anvendelsen anmodes om en sådan tilladelse uden unødigt ophold.

(131) For at lette Kommissionens og medlemsstaternes arbejde inden for AI og øge gennemsigtigheden for offentligheden bør udbydere af andre højrisiko-AI-systemer end dem, der vedrører produkter, der er omfattet af relevant gældende EU-harmoniseringslovgivning, og udbydere, der finder, at et AI-system, der er opført som tilfælde af højrisikoanvendelser i et bilag til denne forordning, ikke er højrisiko på grundlag af en undtagelse, pålægges at registrere sig selv og oplysninger om deres AI-system i en EU-database, der skal oprettes og forvaltes af Kommissionen. Inden anvendelse af et AI-system, der er opført som tilfælde af højrisikoanvendelser i et bilag til denne forordning, bør idriftsættere af højrisiko-AI-systemer, der er offentlige myndigheder, agenturer eller organer, registrere sig selv i en sådan database og udvælge det system, de påtænker at anvende. Andre idriftsættere bør have ret til at gøre dette frivilligt. Denne del af EU-databasen bør være offentligt tilgængelig og gratis, og oplysningerne bør være lettilgængelige, forståelige og maskinlæsbare. EU-databasen bør også være brugervenlig, f.eks. ved at råde over søgefunktioner, herunder gennem nøgleord, der gør det muligt for offentligheden at finde relevante oplysninger, der skal indsendes ved registrering af højrisiko-AI-systemer, og om højrisiko-AI-systemers anvendelsestilfælde fastsat i et bilag til denne forordning, som højrisiko-AI-systemerne svarer til. Enhver væsentlig ændring af højrisiko-AI-systemer bør også registreres i EU-databasen. For højrisiko-AI-systemer inden for retshåndhævelse og migrationsstyring, asylforvaltning og grænsekontrol bør registreringsforpligtelserne opfyldes i en sikker ikkeoffentlig del af EU-databasen. Adgang til den sikre ikkeoffentlige del bør være strengt begrænset til Kommissionen og til markedsovervågningsmyndighederne for så vidt angår deres nationale del af den pågældende database. Højrisiko-AI-systemer inden for kritisk infrastruktur bør kun registreres på nationalt plan. Kommissionen bør være dataansvarlig for EU-databasen i overensstemmelse med forordning (EU) 2018/1725. For at sikre at EU-databasen fungerer efter hensigten, når den tages i idriftsættes, bør proceduren for oprettelse af databasen omfatte, at Kommissionen udarbejder funktionsspecifikationer, samt en uafhængig revisionsrapport. Kommissionen bør tage hensyn til cybersikkerhedsrisici, når den udfører sine opgaver som dataansvarlig for EU-databasen. For at maksimere offentlighedens tilgængelighed og anvendelse af EU-databasen bør EU-databasen, herunder oplysninger, der stilles til rådighed igennem den, overholde kravene i medfør af direktiv (EU) 2019/882.

(132) Visse AI-systemer, der er tilsigtet at interagere med fysiske personer eller generere indhold, kan indebære særlige risici for imitation eller vildledning, uanset om de er klassificeret som højrisiko eller ej. Under visse omstændigheder bør anvendelsen af disse systemer derfor være underlagt særlige gennemsigtighedsforpligtelser, uden at dette berører kravene og forpligtelserne for højrisiko-AI-systemer, og målrettede undtagelser for at tage hensyn til særlige behov inden for retshåndhævelse. Fysiske personer bør navnlig underrettes om, at de interagerer med et AI-system, medmindre dette er indlysende ud fra en rimelig oplyst, opmærksom og velunderrettet fysisk persons synspunkt under hensyntagen til omstændighederne og anvendelsessammenhængen. Ved gennemførelsen af denne forpligtelse bør der tages hensyn til egenskaber hos fysiske personer, der tilhører sårbare grupper på grund af deres alder eller handicap, i det omfang AI-systemet er tilsigtet også at interagere med disse grupper. Fysiske personer bør desuden underrettes, når de udsættes for AI-systemer, der ved at behandle personernes biometriske data kan genkende eller udlede følelserne eller hensigterne hos disse personer eller placere dem i specifikke kategorier. Sådanne specifikke kategorier kan vedrøre aspekter såsom køn, alder, hårfarve, øjenfarve, tatoveringer, personlighedstræk, etnisk oprindelse, personlige præferencer og interesser. Sådanne oplysninger og underretninger bør gives i formater, der er tilgængelige for personer med handicap.

(133) En række AI-systemer kan generere store mængder syntetisk indhold, som bliver stadig vanskeligere for mennesker at adskille fra menneskegenereret og autentisk indhold. Disse systemers brede tilgængelighed og øgede kapaciteter har en betydelig indvirkning på integriteten af og tilliden til informationsøkosystemet, hvilket skaber nye risici for misinformation og manipulation i stor målestok, svig, imitation eller vildledning af forbrugerne. I lyset af disse virkninger, det hurtige teknologiske tempo og behovet for nye metoder og teknikker til sporing af oplysningernes oprindelse bør udbydere af disse systemer pålægges at indlejre tekniske løsninger, som muliggør markering i et maskinlæsbart format og påvisning af, at outputtet er blevet genereret eller manipuleret af et AI-system og ikke af et menneske. Sådanne teknikker og metoder bør være tilstrækkeligt pålidelige, interoperable, effektive og robuste, i det omfang dette er teknisk muligt, under hensyntagen til tilgængelige teknikker eller en kombination af sådanne teknikker såsom vandmærker, metadataidentifikationer, kryptografiske metoder til påvisning af indholdets oprindelse og ægthed, registreringsmetoder, fingeraftryk eller andre teknikker, alt efter hvad der kan være relevant. Udbydere bør ved gennemførelsen af denne forpligtelse tage hensyn til de forskellige typer indholds særlige forhold og begrænsninger og markedsudviklinger på området, som er afspejlet i det generelt anerkendte aktuelle teknologiske niveau. Sådanne teknikker og metoder kan gennemføres på AI-systemniveau eller AI-modelniveau, som omfatter AI-modeller til almen brug, der genererer indhold, og derved gøre det nemmere for AI-systemets downstreamudbyder at opfylde denne forpligtelse. Det bør fastsættes, at hvis denne mærkningsforpligtelse skal forblive forholdsmæssig, bør den ikke omfatte AI-systemer, der primært udfører en hjælpefunktion med henblik på standardredigering, eller AI-systemer, der ikke i væsentlig grad ændrer de inputdata, der leveres af idriftsætteren, eller semantikken heraf.

(134) I forlængelse af de tekniske løsninger, som udbydere af AI-systemet anvender, bør de idriftsættere, der anvender et AI-system til at generere eller manipulere billed-, lyd- eller videoindhold, der i væsentlig grad ligner faktiske personer, genstande, steder, enheder eller begivenheder, og som fejlagtigt vil fremstå ægte eller sandfærdigt for en person (»deepfakes«), også klart og synligt oplyse, at indholdet er kunstigt skabt eller manipuleret, ved at mærke AI-outputtet i overensstemmelse hermed og oplyse om dets kunstige oprindelse. Overholdelse af denne gennemsigtighedsforpligtelse bør ikke fortolkes således, at anvendelse af AI-systemet eller dets output hindrer ytringsfriheden eller retten til frihed for kunst og videnskab, der er sikret ved chartret, navnlig når indholdet er en del af et åbenlyst kreativt, satirisk, kunstnerisk, fiktivt eller tilsvarende arbejde eller program, med forbehold af passende sikkerhedsforanstaltninger for tredjemands rettigheder og friheder. I disse tilfælde er gennemsigtighedsforpligtelsen for deepfakes fastsat i denne forordning begrænset til oplysning om eksistensen af sådant genereret eller manipuleret indhold på en passende måde, der ikke er til gene for visningen eller nydelsen af værket, herunder den normale udnyttelse og anvendelse heraf, samtidig med at værkets nytteværdi og kvalitet bevares. En lignende oplysningspligt bør desuden tilstræbes for AI-genereret eller manipuleret tekst, for så vidt den offentliggøres med det formål at informere offentligheden om spørgsmål af offentlig interesse, medmindre det AI-genererede indhold har gennemgået en proces med menneskelig gennemgang eller redaktionel kontrol, og en fysisk eller juridisk person har det redaktionelle ansvar for offentliggørelsen af indholdet.

(135) Uden at det berører disse gennemsigtighedsforpligtelsers obligatoriske karakter og fulde anvendelighed, kan Kommissionen også tilskynde til og lette udarbejdelsen af praksiskodekser på EU-plan for at lette en effektiv gennemførelse af forpligtelserne til påvisning og mærkning af kunstigt genereret eller manipuleret indhold, herunder til støtte for praktiske ordninger for i relevant omfang at gøre sporingsmekanismerne tilgængelige og lette samarbejdet med andre aktører i værdikæden, formidle indhold eller kontrollere dets ægthed og oprindelse, så offentligheden effektivt kan adskille AI-genereret indhold.

(136) De forpligtelser, der pålægges udbydere og idriftsættere af visse AI-systemer i denne forordning, for at gøre det muligt at påvise og oplyse, at outputtet af disse systemer er blevet genereret kunstigt eller manipuleret, er særlig relevante for at lette en effektiv gennemførelse af forordning (EU) 2022/2065. Dette gælder navnlig for forpligtelserne for udbydere af meget store onlineplatforme eller meget store onlinesøgemaskiner til at identificere og afbøde systemiske risici, der kan opstå som følge af formidlingen af indhold, der er blevet kunstigt genereret eller manipuleret, navnlig risikoen for de faktiske eller forventede negative virkninger for demokratiske processer, samfundsdebatten og valgprocesser, herunder gennem desinformation. Kravet om mærkning af indhold genereret af AI-systemer i henhold til nærværende forordning berører ikke forpligtelsen i artikel 16, stk. 6, i forordning (EU) 2022/2065 for udbydere af oplagringstjenester til at behandle anmeldelser om ulovligt indhold, som er modtaget i henhold til nævnte forordnings artikel 16, stk. 1, og bør ikke påvirke vurderingen af og afgørelsen om det specifikke indholds lovlighed. Denne vurdering bør udelukkende foretages under henvisning til reglerne om lovligheden af indholdet.

(137) Overholdelse af de gennemsigtighedsforpligtelser for AI-systemer, som er omfattet af denne forordning, bør ikke fortolkes således, at anvendelsen af systemet eller dets output er lovlig i henhold til denne forordning eller anden EU-ret eller ret i medlemsstaterne, og bør ikke berøre andre gennemsigtighedsforpligtelser for idriftsættere af AI-systemer i EU-retten eller national ret.

(138) AI er en hurtigt voksende familie af teknologier, der kræver myndighedstilsyn og et sikkert og kontrolleret miljø til forsøg, samtidig med at der sikres ansvarlig innovation og integration af passende sikkerhedsforanstaltninger og risikobegrænsende foranstaltninger. For at sikre en lovgivningsmæssig ramme, der fremmer innovation og er fremtidssikret og modstandsdygtig over for forstyrrelser, bør medlemsstaterne sikre, at deres nationale kompetente myndigheder opretter mindst én reguleringsmæssig AI-sandkasse på nationalt plan for at lette udviklingen og afprøvningen af innovative AI-systemer under strengt myndighedstilsyn, før disse systemer bringes i omsætning eller på anden måde ibrugtages. Medlemsstaterne kan også opfylde denne forpligtelse ved at deltage i allerede eksisterende reguleringsmæssige sandkasser eller oprette en sandkasse sammen med én eller flere medlemsstaters kompetente myndigheder, for så vidt som denne deltagelse giver de deltagende medlemsstater et tilsvarende nationalt dækningsniveau. Reguleringsmæssige AI-sandkasser kan oprettes i fysisk, digital eller hybrid form og kan tilpasses fysiske såvel som digitale produkter. De oprettende myndigheder bør også sikre de reguleringsmæssige AI-sandkasser tilstrækkelige ressourcer, herunder finansielle og menneskelige ressourcer, til at fungere.

(139) Formålet med de reguleringsmæssige AI-sandkasser bør være at fremme innovation inden for kunstig intelligens ved at skabe et kontrolleret forsøgs- og afprøvningsmiljø i udviklingsfasen forud for omsætning med henblik på at sikre, at de innovative AI-systemer er i overensstemmelse med denne forordning og anden relevant EU-ret og national ret. De reguleringsmæssige AI-sandkasser bør endvidere øge retssikkerheden for innovatorer og de kompetente myndigheders tilsyn og forståelse af de muligheder, nye risici og virkninger, der er forbundet med anvendelsen af AI, lette lovgivningsmæssig læring for myndigheder og virksomheder, herunder med henblik på fremtidige tilpasninger af den retlige ramme, støtte samarbejdet og udvekslingen af bedste praksis med de myndigheder, der er involveret i den reguleringsmæssige AI-sandkasse, samt fremskynde adgangen til markeder, herunder ved at fjerne hindringer for SMV'er, herunder iværksættervirksomheder. Reguleringsmæssige AI-sandkasser bør være bredt tilgængelige i hele Unionen, og der bør lægges særlig vægt på deres tilgængelighed for SMV'er, herunder iværksættervirksomheder. Deltagelsen i den reguleringsmæssige AI-sandkasse bør fokusere på spørgsmål, der skaber retsusikkerhed for udbydere og potentielle udbydere med hensyn til at innovere, eksperimentere med kunstig intelligens i Unionen og bidrage til evidensbaseret lovgivningsmæssig læring. Tilsynet med AI-systemerne i den reguleringsmæssige AI-sandkasse bør derfor omfatte deres udvikling, træning, afprøvning og validering, inden systemerne bringes i omsætning eller ibrugtages samt begrebet og forekomsten af væsentlige ændringer, der kan kræve en ny overensstemmelsesvurderingsprocedure. Enhver væsentlig risiko, der konstateres under udviklingen og afprøvningen af sådanne AI-systemer, bør afbødes i tilstrækkelig grad, og hvis dette ikke er muligt, bør udviklings- og afprøvningsprocessen suspenderes. Hvis det er relevant, bør de nationale kompetente myndigheder, der opretter reguleringsmæssige AI-sandkasser, samarbejde med andre relevante myndigheder, herunder dem, der fører tilsyn med beskyttelsen af grundlæggende rettigheder, og de kan muliggøre inddragelse af andre aktører i AI-økosystemet såsom nationale eller europæiske standardiseringsorganisationer, bemyndigede organer, afprøvnings- og forsøgsfaciliteter, forsknings- og forsøgslaboratorier, europæiske digitale innovationsknudepunkter og relevante interessenter og civilsamfundsorganisationer. For at sikre en ensartet gennemførelse i hele Unionen samt stordriftsfordele bør der fastsættes fælles regler for gennemførelsen af de reguleringsmæssige AI-sandkasser og en ramme for samarbejde mellem de relevante myndigheder, der er involveret i tilsynet med sandkasserne. Reguleringsmæssige AI-sandkasser, der oprettes i henhold til denne forordning, bør ikke berøre anden ret, der giver mulighed for at oprette andre sandkasser, der har til formål at sikre overholdelse af anden ret end denne forordning. Hvis det er relevant, bør de relevante kompetente myndigheder med ansvar for disse andre reguleringsmæssige sandkasser også overveje fordelene ved at anvende disse sandkasser med henblik på at sikre AI-systemers overensstemmelse med denne forordning. Efter aftale mellem de nationale kompetente myndigheder og deltagerne i den reguleringsmæssige AI-sandkasse kan der også gennemføres og føres tilsyn med afprøvning under faktiske forhold inden for rammerne af den reguleringsmæssige AI-sandkasse.

(140) Denne forordning bør udgøre retsgrundlaget for udbyderne og de potentielle udbydere i den reguleringsmæssige AI-sandkasse til kun på bestemte betingelser at anvende personoplysninger, der er indsamlet til andre formål med henblik på udvikling af visse samfundsnyttige AI-systemer inden for rammerne af den reguleringsmæssige AI-sandkasse, jf. artikel 6, stk. 4, og artikel 9, stk. 2, litra g), i forordning (EU) 2016/679 og artikel 5, 6 og 10 i forordning (EU) 2018/1725, og uden at det berører artikel 4, stk. 2, og artikel 10 i direktiv (EU) 2016/680. Alle andre forpligtelser for databehandlere og rettigheder for registrerede i henhold til forordning (EU) 2016/679 og (EU) 2018/1725 samt direktiv (EU) 2016/680 finder fortsat anvendelse. Især bør nærværende forordning ikke udgøre et retsgrundlag som omhandlet i artikel 22, stk. 2, litra b), i forordning (EU) 2016/679 og artikel 24, stk. 2, litra b), i forordning (EU) 2018/1725. Udbydere og potentielle udbydere i den reguleringsmæssige AI-sandkasse bør sørge for passende sikkerhedsforanstaltninger og samarbejde med de kompetente myndigheder, herunder ved at følge deres vejledning og handle hurtigt og i god tro for i tilstrækkelig grad at afbøde eventuelle konstaterede betydelige risici med hensyn til sikkerhed, sundhed og de grundlæggende rettigheder, som måtte opstå under udviklingen, afprøvningen og forsøgene i denne sandkasse.

(141) For at fremskynde udviklingen og omsætningen af de højrisiko-AI-systemer, der er opført i et bilag til denne forordning, er det vigtigt, at udbydere eller potentielle udbydere af sådanne systemer også kan drage fordel af en særlig ordning for afprøvning af disse systemer under faktiske forhold uden at deltage i en reguleringsmæssig AI-sandkasse. I sådanne tilfælde og under hensyntagen til de mulige konsekvenser af en sådan afprøvning for enkeltpersoner bør det imidlertid sikres, at denne forordning indfører passende og fornødne sikkerhedsforanstaltninger og betingelser for udbydere eller potentielle udbydere. Sådanne garantier bør bl.a. omfatte anmodning om fysiske personers informerede samtykke til at deltage i afprøvninger under faktiske forhold med undtagelse af retshåndhævelse, hvis indhentning af informeret samtykke ville forhindre AI-systemet i at blive afprøvet. Registreredes samtykke til at deltage i sådanne afprøvninger i henhold til denne forordning adskiller sig fra og berører ikke de registreredes samtykke til behandling af deres personoplysninger i henhold til den relevante databeskyttelsesret. Det er også vigtigt at minimere risiciene og give de kompetente myndigheder mulighed for at føre tilsyn og dermed kræve, at potentielle udbydere har en plan for afprøvning under faktiske forhold, som forelægges for den kompetente markedsovervågningsmyndighed, registrerer afprøvningen i særlige dele i EU-databasen med forbehold af visse begrænsede undtagelser, fastsætter begrænsninger for den periode, inden for hvilken afprøvningen kan finde sted, og stiller krav om yderligere sikkerhedsforanstaltninger for personer, der tilhører visse sårbare grupper, samt om en skriftlig aftale, der definerer potentielle udbyderes og idriftsætteres rolle og ansvarsområder og et effektivt tilsyn fra det kompetente personales side, som er involveret i afprøvningen under faktiske forhold. Der bør desuden tilstræbes yderligere sikkerhedsforanstaltninger for at sikre, at AI-systemets forudsigelser, anbefalinger eller beslutninger reelt kan omgøres og ses bort fra, og at personoplysninger beskyttes og slettes, når de registrerede har trukket deres samtykke til at deltage i afprøvningen tilbage, uden at det berører deres rettigheder som registrerede i henhold til EU-databeskyttelsesretten. For så vidt angår overførsel af data bør det tilstræbes, at data, der indsamles og behandles med henblik på afprøvning under faktiske forhold, kun bør overføres til tredjelande, hvis der gennemføres passende og gældende sikkerhedsforanstaltninger i henhold til EU-retten, navnlig i overensstemmelse med grundlag for overførsel af personoplysninger i henhold til EU-databeskyttelsesretten, mens der for andre data end personoplysninger indføres passende sikkerhedsforanstaltninger i overensstemmelse med EU-retten såsom Europa-Parlamentets og Rådets forordning (EU) 2022/868 (42) og (EU) 2023/2854 (43).

(142) For at sikre at AI fører til socialt og miljømæssigt gavnlige resultater, tilskyndes medlemsstaterne til at støtte og fremme forskning i og udvikling af AI-løsninger til støtte for socialt og miljømæssigt gavnlige resultater såsom AI-baserede løsninger for at øge tilgængeligheden for personer med handicap, bekæmpe socioøkonomiske uligheder eller opfylde miljømål ved at afsætte tilstrækkelige ressourcer, herunder offentlig finansiering og EU-finansiering, og, hvis det er relevant, og forudsat at støtteberettigelses- og udvælgelseskriterierne er opfyldt, ved navnlig at tage højde for projekter, der forfølger sådanne mål. Sådanne projekter bør baseres på princippet om tværfagligt samarbejde mellem AI-udviklere, eksperter i ulighed og ikkeforskelsbehandling, tilgængelighed, forbrugerrettigheder, miljørettigheder og digitale rettigheder samt akademikere.

(143) For at fremme og beskytte innovation er det vigtigt at tage særligt hensyn til interesserne hos SMV'er, herunder iværksættervirksomheder, som er udbydere eller idriftsættere af AI-systemer. Med henblik herpå bør medlemsstaterne udarbejde initiativer, der er rettet mod disse operatører, herunder vedrørende oplysning og informationsformidling. Medlemsstaterne bør give SMV'er, herunder iværksættervirksomheder, der har vedtægtsmæssigt hjemsted eller en filial i Unionen, prioriteret adgang til de reguleringsmæssige AI-sandkasser, forudsat at de opfylder støtteberettigelsesbetingelserne og udvælgelseskriterierne, og uden at andre udbydere og potentielle udbydere udelukkes fra at få adgang til sandkasserne, såfremt de samme betingelser og kriterier er opfyldt. Medlemsstaterne bør udnytte eksisterende kanaler og, hvis det er relevant, etablere nye særlige kanaler for kommunikation med SMV'er, herunder iværksættervirksomheder, idriftsættere, andre innovatorer og, alt efter hvad der er relevant, lokale offentlige myndigheder, med henblik på at støtte SMV'er gennem hele deres udviklingsforløb ved at yde vejledning og besvare spørgsmål om gennemførelsen af denne forordning. Hvis det er relevant, bør disse kanaler arbejde sammen om at skabe synergier og sikre ensartethed i deres vejledning til SMV'er, herunder iværksættervirksomheder, og idriftsættere. Medlemsstaterne bør desuden lette deltagelse af SMV'er og andre relevante interessenter i standardiseringsudviklingsprocessen. Desuden bør der tages hensyn til de særlige interesser og behov hos udbydere, der er SMV'er, herunder iværksættervirksomheder, når bemyndigede organer fastsætter gebyrer for overensstemmelsesvurderinger. Kommissionen bør regelmæssigt vurdere certificerings- og efterlevelsesomkostningerne for SMV'er, herunder iværksættervirksomheder, gennem gennemsigtige høringer og arbejde sammen med medlemsstaterne om at nedbringe disse omkostninger. Omkostninger forbundet med oversættelse af obligatorisk dokumentation og kommunikation med myndigheder kan f.eks. udgøre en betydelig omkostning for udbydere og andre operatører, navnlig mindre udbydere og operatører. Medlemsstaterne bør eventuelt sørge for, at et af de sprog, som de bestemmer sig for og accepterer til de relevante udbyderes dokumentation og til kommunikation med operatørerne, er et sprog, der forstås bredt af flest mulige idriftsættere på tværs af grænserne. For at imødekomme SMV'ers, herunder iværksættervirksomheder, specifikke behov bør Kommissionen efter anmodning fra AI-udvalget tilvejebringe standardiserede skabeloner for de områder, der er omfattet af denne forordning. Desuden bør Kommissionen supplere medlemsstaternes indsats ved at stille en central informationsplatform med brugervenlige oplysninger om denne forordning til rådighed for alle udbydere og idriftsættere, idet den tilrettelægger passende kommunikationskampagner for at øge bevidstheden om de forpligtelser, der følger af denne forordning, og evaluerer og fremmer konvergensen af bedste praksis i offentlige udbudsprocedurer i forbindelse med AI-systemer. Mellemstore virksomheder, der indtil for nylig var små virksomheder som omhandlet i bilaget til Kommissionens henstilling 2003/361/EF (44), bør have adgang til disse støtteforanstaltninger, eftersom disse nye mellemstore virksomheder undertiden kan mangle de juridiske ressourcer og den uddannelse, der er nødvendig for at sikre en korrekt forståelse og overholdelse af denne forordning.

(144) For at fremme og beskytte innovation bør AI-on-demand-platformen og alle relevante EU-finansieringsprogrammer og -projekter såsom programmet for et digitalt Europa og Horisont Europa, der gennemføres af Kommissionen og medlemsstaterne på EU-plan eller nationalt plan, i relevant omfang bidrage til at nå denne forordnings mål.

(145) For at minimere risiciene i gennemførelsen som følge af manglende viden og ekspertise på markedet samt for at gøre det lettere for udbydere, navnlig SMV'er, herunder iværksættervirksomheder, og bemyndigede organer at overholde deres forpligtelser i medfør af denne forordning bør navnlig AI-on-demand-platformen, de europæiske digitale innovationsknudepunkter og de afprøvnings- og forsøgsfaciliteter, som Kommissionen og medlemsstaterne har oprettet på EU-plan eller nationalt plan, bidrage til gennemførelsen af denne forordning. Inden for rammerne af deres respektive opgave- og kompetenceområde kan AI-on-demand-platformen, de europæiske digitale innovationsknudepunkter og afprøvnings- og forsøgsfaciliteterne navnlig yde teknisk og videnskabelig støtte til udbydere og bemyndigede organer.

(146) I lyset af nogle operatørers meget beskedne størrelse og for at sikre proportionalitet med hensyn til innovationsomkostninger er det desuden hensigtsmæssigt at give mikrovirksomheder mulighed for at opfylde en af de dyreste forpligtelser, nemlig etablering af et kvalitetsstyringssystem, der på en forenklet måde vil mindske den administrative byrde og omkostningerne for disse virksomheder uden at påvirke beskyttelsesniveauet og behovet for overholdelse af kravene til højrisiko-AI-systemer. Kommissionen bør udarbejde retningslinjer med henblik på at præcisere, hvilke elementer i kvalitetsstyringssystemet mikrovirksomheder skal opfylde på denne forenklede måde.

(147) Kommissionen bør så vidt muligt lette adgangen til afprøvnings- og forsøgsfaciliteter for organer, grupper eller laboratorier, der er oprettet eller akkrediteret i henhold til relevant EU-harmoniseringslovgivning, og som udfører opgaver i forbindelse med overensstemmelsesvurderinger af produkter eller udstyr, der er omfattet af EU-harmoniseringslovgivningen. Dette er navnlig tilfældet for ekspertpaneler, ekspertlaboratorier og referencelaboratorier på området for medicinsk udstyr, jf. forordning (EU) 2017/745 og (EU) 2017/746.

(148) Denne forordning bør fastsætte en forvaltningsramme, som gør det muligt både at koordinere og støtte anvendelsen af denne forordning på nationalt plan samt opbygge kapaciteter på EU-plan og inddrage interessenter inden for AI. En effektiv gennemførelse og håndhævelse af denne forordning kræver en forvaltningsramme, som gør det muligt at koordinere og opbygge central ekspertise på EU-plan. AI-kontoret blev oprettet ved Kommissionens afgørelse (45) og har som mission at udvikle Unionens ekspertise og kapaciteter inden for AI og bidrage til gennemførelsen af EU-ret om AI. Medlemsstaterne bør lette AI-kontorets opgaver med henblik på at støtte udviklingen af Unionens ekspertise og kapaciteter på EU-plan og styrke det digitale indre markeds funktion. Der bør endvidere oprettes et AI-udvalg bestående af repræsentanter for medlemsstaterne, et videnskabeligt panel til at integrere det videnskabelige samfund og et rådgivende forum, der skal bidrage med input fra interessenter til gennemførelsen af denne forordning, både på EU-plan og nationalt plan. Udviklingen af Unionens ekspertise og kapaciteter bør også indebære, at eksisterende ressourcer og ekspertise udnyttes, navnlig gennem synergier med strukturer, der er opbygget i forbindelse med håndhævelse på EU-plan af anden ret, og synergier med tilhørende initiativer på EU-plan såsom fællesforetagendet EuroHPC og AI-afprøvnings- og -forsøgsfaciliteter under programmet for et digitalt Europa.

(149) For at lette en gnidningsløs, effektiv og harmoniseret gennemførelse af denne forordning bør der nedsættes et AI-udvalg. AI-udvalget bør afspejle AI-økosystemets forskellige interesser og bestå af repræsentanter for medlemsstaterne. AI-udvalget bør være ansvarligt for en række rådgivningsopgaver såsom udtalelser, henstillinger, rådgivning eller bidrag til vejledning om spørgsmål vedrørende gennemførelsen af denne forordning, herunder med hensyn til håndhævelsesspørgsmål, tekniske specifikationer eller eksisterende standarder i forbindelse med de krav, der er fastsat i denne forordning, samt rådgive og bistå Kommissionen og medlemsstaterne og deres nationale kompetente myndigheder i forbindelse med specifikke spørgsmål vedrørende AI. For at give medlemsstaterne en vis fleksibilitet med hensyn til udpegelsen af deres repræsentanter i AI-udvalget kan sådanne repræsentanter være alle personer tilhørende offentlige enheder, som bør have de relevante kompetencer og beføjelser til at lette koordinering på nationalt plan og bidrage til udførelsen af AI-udvalgets opgaver. AI-udvalget bør nedsætte to stående undergrupper for at tilvejebringe en platform for samarbejde og udveksling mellem markedsovervågningsmyndigheder og bemyndigende myndigheder om spørgsmål vedrørende henholdsvis markedsovervågning og bemyndigede organer. Den stående undergruppe for markedsovervågning bør fungere som den administrative samarbejdsgruppe (ADCO) i forbindelse med denne forordning som omhandlet i artikel 30 i forordning (EU) 2019/1020. I overensstemmelse med artikel 33 i nævnte forordning bør Kommissionen støtte aktiviteterne i den stående undergruppe for markedsovervågning ved at foretage markedsevalueringer eller -undersøgelser, navnlig med henblik på at identificere aspekter af nærværende forordning, der kræver specifik og hurtig koordinering mellem markedsovervågningsmyndighederne. AI-udvalget kan nedsætte andre stående eller midlertidige undergrupper, alt efter hvad der er relevant, med henblik på at behandle specifikke spørgsmål. AI-udvalget bør også i relevant omfang samarbejde med relevante EU-organer, -ekspertgrupper og -netværk, der er aktive inden for rammerne af relevant EU-ret, herunder navnlig dem, der er aktive i henhold til den relevante EU-ret om data, digitale produkter og tjenester.

(150) Med henblik på at sikre inddragelse af interessenter i gennemførelsen og anvendelsen af denne forordning bør der oprettes et rådgivende forum, som skal rådgive og yde teknisk ekspertise til AI-udvalget og Kommissionen. For at sikre en varieret og afbalanceret repræsentation af interessenter med kommercielle og ikkekommercielle interesser og inden for kategorien af kommercielle interesser for så vidt angår SMV'er og andre virksomheder bør det rådgivende forum bl.a. bestå af industrien, iværksættervirksomheder, SMV'er, den akademiske verden, civilsamfundet, herunder arbejdsmarkedets parter, samt Agenturet for Grundlæggende Rettigheder, ENISA, Den Europæiske Standardiseringsorganisation (CEN), Den Europæiske Komité for Elektroteknisk Standardisering (Cenelec) og Det Europæiske Standardiseringsinstitut for Telekommunikation (ETSI).

(151) For at støtte gennemførelsen og håndhævelsen af denne forordning, navnlig AI-kontorets overvågningsaktiviteter med hensyn til AI-modeller til almen brug, bør der oprettes et videnskabeligt panel af uafhængige eksperter. De uafhængige eksperter, der udgør det videnskabelige panel, bør udvælges på grundlag af ajourført videnskabelig eller teknisk ekspertise inden for AI og varetage deres opgaver upartisk og objektivt og sikre fortroligheden af oplysninger og data, der indhentes under udførelsen af deres opgaver og aktiviteter. For at gøre det muligt at styrke de nationale kapaciteter, der er nødvendige for en effektiv håndhævelse af denne forordning, bør medlemsstaterne kunne anmode om støtte til deres håndhævelsesaktiviteter fra den pulje af eksperter, der udgør det videnskabelige panel.

(152) For at støtte passende håndhævelse af AI-systemer og styrke medlemsstaternes kapaciteter bør der oprettes EU-støttestrukturer for afprøvning af AI, som stilles til rådighed for medlemsstaterne.

(153) Medlemsstaterne spiller en central rolle i anvendelsen og håndhævelsen af denne forordning. I den forbindelse bør hver medlemsstat udpege mindst én bemyndigende myndighed og mindst én markedsovervågningsmyndighed som nationale kompetente myndigheder til at føre tilsyn med anvendelsen og gennemførelsen af denne forordning. Medlemsstaterne kan beslutte at udpege enhver type offentlig enhed til at udføre de nationale kompetente myndigheders opgaver som omhandlet i denne forordning i overensstemmelse med deres specifikke nationale organisatoriske karakteristika og behov. For at øge organisationseffektiviteten for medlemsstaternes vedkommende og oprette et centralt kontaktpunkt for offentligheden og andre modparter på nationalt plan og EU-plan bør hver medlemsstat udpege en markedsovervågningsmyndighed, der skal fungere som centralt kontaktpunkt.

(154) De nationale kompetente myndigheder bør udøve deres beføjelser uafhængigt, upartisk og uden bias for derved at beskytte principperne om objektivitet i deres aktiviteter og opgaver og for at sikre anvendelsen og gennemførelsen af denne forordning. Medlemmerne af disse myndigheder bør afholde sig fra ethvert tiltag, der er uforenelig med deres beføjelser, og være underlagt fortrolighedsreglerne i denne forordning.

(155) For at sikre at udbydere af højrisiko-AI-systemer tager erfaringerne med anvendelse af højrisiko-AI-systemer i betragtning, når de vil forbedre deres systemer og udformnings- og udviklingsprocessen, eller kan foretage eventuelle korrigerende tiltag rettidigt, bør alle udbydere have indført et system til overvågning efter omsætningen. Hvis det er relevant, bør overvågning efter omsætningen omfatte en analyse af interaktionen med andre AI-systemer, herunder andet udstyr og software. Overvågning efter omsætningen bør ikke omfatte følsomme operationelle data fra idriftsættere, som er retshåndhævende myndigheder. Dette system er også afgørende for at sikre, at eventuelle risici som følge af AI-systemer, der fortsætter med at »lære« efter at være bragt i omsætning eller ibrugtaget, kan imødegås mere effektivt og rettidigt. I den forbindelse bør udbyderne også forpligtes til at have indført et system til at indberette alvorlige hændelser til de relevante myndigheder, som skyldes anvendelsen af deres AI-systemer, dvs. en hændelse eller funktionsfejl, der fører til dødsfald eller alvorlig sundhedsskade, alvorlig og uoprettelig forstyrrelse i forvaltningen og driften af kritisk infrastruktur, overtrædelser af forpligtelser i henhold til den del af EU-retten, der har til formål at beskytte de grundlæggende rettigheder, eller alvorlig skade på ejendom eller miljøet.

(156) For at sikre en hensigtsmæssig og effektiv håndhævelse af de krav og forpligtelser, der er fastsat i denne forordning, som repræsenterer Unionens harmoniseringslovgivning, bør det system til markedsovervågning og produktoverensstemmelse, der er indført ved forordning (EU) 2019/1020, finde anvendelse i sin helhed. Markedsovervågningsmyndigheder, der er udpeget i henhold til nærværende forordning, bør alle have håndhævelsesbeføjelser som fastsat i nærværende forordning og i forordning (EU) 2019/1020 og bør udøve deres beføjelser og udføre deres opgaver uafhængigt, upartisk og uden bias. Selv om de fleste AI-systemer ikke er underlagt specifikke krav og forpligtelser i henhold til nærværende forordning, kan markedsovervågningsmyndighederne træffe foranstaltninger vedrørende alle AI-systemer, når de udgør en risiko i overensstemmelse med nærværende forordning. På grund af den særlige karakter af EU-institutioner, -agenturer og -organer, der er omfattet af nærværende forordnings anvendelsesområde, er det hensigtsmæssigt at udpege Den Europæiske Tilsynsførende for Databeskyttelse som kompetent markedsovervågningsmyndighed for dem. Dette bør ikke berøre medlemsstaternes udpegelse af nationale kompetente myndigheder. Markedsovervågningsaktiviteter bør ikke påvirke de tilsynsbelagte enheders evne til at udføre deres opgaver uafhængigt, når en sådan uafhængighed er påbudt i henhold til EU-retten.

(157) Denne forordning berører ikke kompetencerne, opgaverne, beføjelserne og uafhængigheden hos relevante nationale offentlige myndigheder eller organer, der fører tilsyn med anvendelsen af EU-retten om beskyttelse af grundlæggende rettigheder, herunder ligestillingsorganer og databeskyttelsesmyndigheder. Hvis det er nødvendigt for deres mandat, bør disse nationale offentlige myndigheder eller organer også have adgang til al den dokumentation, der er udarbejdet i henhold til denne forordning. Der bør fastsættes en særlig beskyttelsesprocedure for at sikre passende og rettidig håndhævelse over for AI-systemer, som udgør en risiko for sundhed, sikkerhed og grundlæggende rettigheder. Proceduren for sådanne AI-systemer, som udgør en risiko, bør anvendes på højrisiko-AI-systemer, der udgør en risiko, forbudte systemer, der er bragt i omsætning, ibrugtaget eller anvendt i strid med de forbudte former for praksis, der er fastsat i denne forordning, og AI-systemer, der er gjort tilgængelige i strid med de gennemsigtighedskrav, der er fastsat i denne forordning, og som udgør en risiko.

(158) EU-retten om finansielle tjenesteydelser omfatter regler og krav vedrørende intern ledelse og risikostyring, som finder anvendelse på regulerede finansielle institutioner i forbindelse med leveringen af sådanne tjenester, også når de gør brug af AI-systemer. For at sikre en sammenhængende anvendelse og håndhævelse af forpligtelserne i henhold til denne forordning og de relevante regler og krav i EU-retsakter om finansielle tjenesteydelser bør de kompetente myndigheder for tilsyn med og håndhævelse af disse retsakter, navnlig kompetente myndigheder som defineret i Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 (46) og Europa-Parlamentets og Rådets direktiv 2008/48/EF (47), 2009/138/EF (48), 2013/36/EU (49), 2014/17/EU (50) og (EU) 2016/97 (51), udpeges som kompetente myndigheder inden for deres respektive kompetenceområder med henblik på at føre tilsyn med gennemførelsen af nærværende forordning, herunder også markedsovervågningsaktiviteter, for så vidt angår AI-systemer, der leveres eller anvendes af finansielle institutioner, som er regulerede, og som der føres tilsyn med, medmindre medlemsstaterne beslutter at udpege en anden myndighed til at udføre disse markedsovervågningsopgaver. Disse kompetente myndigheder bør have alle beføjelser i henhold til denne forordning og forordning (EU) 2019/1020 til at håndhæve nærværende forordnings krav og forpligtelser, herunder beføjelser til at udføre ex post-markedsovervågningsaktiviteter, der, alt efter hvad der er relevant, kan integreres i deres eksisterende tilsynsmekanismer og -procedurer i henhold til den relevante EU-ret om finansielle tjenesteydelser. Det bør fastsættes, at de nationale myndigheder, der er ansvarlige for tilsynet med kreditinstitutter, som er reguleret ved direktiv 2013/36/EU, og som deltager i den fælles tilsynsmekanisme, der er oprettet ved Rådets forordning (EU) nr. 1024/2013 (52), når de fungerer som markedsovervågningsmyndigheder i henhold til nærværende forordning, straks bør indberette alle oplysninger, som identificeres i forbindelse med deres markedsovervågningsaktiviteter, og som kan være af potentiel interesse for Den Europæiske Centralbanks tilsynsopgaver som fastsat i nævnte forordning, til Den Europæiske Centralbank. For yderligere at styrke sammenhængen mellem nærværende forordning og de regler, der gælder for kreditinstitutter, der er reguleret ved direktiv 2013/36/EU, bør nogle af udbydernes proceduremæssige forpligtelser i forbindelse med risikostyring, overvågning efter omsætningen og dokumentation indarbejdes i de eksisterende forpligtelser og procedurer i henhold i direktiv 2013/36/EU. For at undgå overlapninger bør der også overvejes begrænsede undtagelser for så vidt angår udbydernes kvalitetsstyringssystem og den overvågningsforpligtelse, der pålægges idriftsættere af højrisiko-AI-systemer, i det omfang disse gælder for kreditinstitutter, der er reguleret ved direktiv 2013/36/EU. Den samme ordning bør gælde for forsikrings- og genforsikringsselskaber og forsikringsholdingselskaber i henhold til direktiv 2009/138/EF og forsikringsformidlere i henhold til direktiv (EU) 2016/97 og andre typer finansielle institutioner, der er underlagt krav vedrørende intern ledelse, ordninger eller processer, der er fastsat i henhold til den relevante EU-ret om finansielle tjenesteydelser, for at sikre konsekvens og ligebehandling i den finansielle sektor.

(159) Hver markedsovervågningsmyndighed for højrisiko-AI-systemer inden for biometri som opført i et bilag til denne forordning, for så vidt disse systemer anvendes med henblik på retshåndhævelse og migrationsstyring, asylforvaltning og grænsekontrol eller retspleje og demokratiske processer, bør have undersøgelsesbeføjelser og korrigerende beføjelser, herunder som minimum beføjelse til at få adgang til alle personoplysninger, der behandles, og til alle de oplysninger, der er nødvendige for at varetage sine opgaver. Markedsovervågningsmyndighederne bør kunne udøve deres beføjelser i fuld uafhængighed. Enhver begrænsning i deres adgang til følsomme operationelle data i henhold til denne forordning bør ikke berøre de beføjelser, som de har fået tillagt ved direktiv (EU) 2016/680. Ingen undtagelse om videregivelse af data til de nationale databeskyttelsesmyndigheder i henhold til denne forordning bør påvirke disse myndigheders nuværende eller fremtidige beføjelser uden for denne forordnings anvendelsesområde.

(160) Markedsovervågningsmyndighederne og Kommissionen bør kunne foreslå fælles aktiviteter, herunder fælles undersøgelser, som skal gennemføres af markedsovervågningsmyndigheder eller af markedsovervågningsmyndigheder sammen med Kommissionen, og som har til formål at fremme overholdelse, identificere manglende overholdelse, øge bevidstheden og yde vejledning for så vidt angår denne forordning med hensyn til specifikke kategorier af højrisiko-AI-systemer, der anses for at udgøre en alvorlig risiko i to eller flere medlemsstater. Der bør gennemføres fælles aktiviteter til fremme af overholdelse i overensstemmelse med artikel 9 i forordning (EU) 2019/1020. AI-kontoret bør sørge for koordinerende støtte til de fælles undersøgelser.

(161) Det er nødvendigt at præcisere ansvarsområder og kompetenceområder på EU-plan og nationalt plan for så vidt angår AI-systemer, der bygger på AI-modeller til almen brug. For at undgå, at kompetenceområderne overlapper med hinanden, hvis et AI-system bygger på en AI-model til almen brug, og modellen og systemet leveres af den samme udbyder, bør tilsynet finde sted på EU-plan gennem AI-kontoret, som i den forbindelse bør have markedsovervågningsmyndighedens beføjelser som omhandlet i forordning (EU) 2019/1020. I alle andre tilfælde er de nationale markedsovervågningsmyndigheder fortsat ansvarlige for tilsynet med AI-systemer. Hvad angår AI-systemer til almen brug, som kan anvendes direkte af idriftsættere til mindst ét formål, der er klassificeret som højrisiko, bør markedsovervågningsmyndighederne dog samarbejde med AI-Kontoret om at foretage evalueringer af overholdelsen og underrette AI-udvalget og andre markedsovervågningsmyndigheder i overensstemmelse hermed. Markedsovervågningsmyndighederne bør desuden kunne anmode AI-kontoret om bistand, hvis markedsovervågningsmyndigheden ikke er i stand til at afslutte en undersøgelse af et højrisiko-AI-system som følge af manglende adgang til visse oplysninger vedrørende AI-modeller til almen brug, som højrisiko-AI-systemet er bygget på. I sådanne tilfælde bør proceduren for gensidig bistand i grænseoverskridende sager i kapitel VI i forordning (EU) 2019/1020 finde tilsvarende anvendelse.

(162) For at udnytte den centraliserede EU-ekspertise og synergier bedst muligt på EU-plan bør Kommissionen tillægges beføjelser til at føre tilsyn med og håndhæve forpligtelserne for udbydere af AI-modeller til almen brug. AI-kontoret bør kunne foretage alle nødvendige tiltag for at overvåge, om denne forordning gennemføres effektivt for så vidt angår AI-modeller til almen brug. Det bør både på eget initiativ på baggrund af resultaterne af sine overvågningsaktiviteter eller efter anmodning fra markedsovervågningsmyndigheder i overensstemmelse med de betingelser, der er fastsat i denne forordning, kunne undersøge mulige overtrædelser af reglerne for udbydere af AI-modeller til almen brug. For at understøtte AI-kontoret med at foretage en effektiv overvågning bør det give downstreamudbydere mulighed for at indgive klager over mulige overtrædelser af reglerne om udbydere af AI-modeller og -systemer til almen brug.

(163) Med henblik på at supplere forvaltningssystemerne for AI-modeller til almen brug bør det videnskabelige panel støtte AI-kontorets overvågningsaktiviteter og kan i visse tilfælde sende kvalificerede varslinger til AI-kontoret, hvilket udløser opfølgende foranstaltninger såsom undersøgelser. Dette bør være tilfældet, hvis det videnskabelige panel har begrundet mistanke om, at en AI-model til almen brug udgør en konkret og identificerbar risiko på EU-plan. Dette bør desuden være tilfældet, hvis det videnskabelige panel har begrundet mistanke om, at en AI-model til almen brug opfylder de kriterier, der medfører en klassificering som en AI-model til almen brug med systemisk risiko. For at give det videnskabelige panel de oplysninger, der er nødvendige for at varetage disse opgaver, bør der findes en mekanisme, hvorved det videnskabelige panel kan anmode Kommissionen om at kræve dokumentation eller oplysninger fra en udbyder.

(164) AI-kontoret bør kunne foretage de nødvendige tiltag til at overvåge, at de forpligtelser for udbydere af AI-modeller til almen brug, der er fastsat i denne forordning, gennemføres og overholdes effektivt. AI-kontoret bør kunne undersøge mulige overtrædelser i overensstemmelse med de beføjelser, der er fastsat i denne forordning, herunder ved at anmode om dokumentation og oplysninger, foretage evalueringer samt ved at anmode udbydere af AI-modeller til almen brug om at træffe foranstaltninger. For at gøre brug af uafhængig ekspertise bør AI-kontoret ved gennemførelse af evalueringer kunne inddrage uafhængige eksperter, som foretager evalueringer på dets vegne. Overholdelse af forpligtelserne bør bl.a. kunne håndhæves gennem anmodninger om at træffe passende foranstaltninger, herunder risikobegrænsende foranstaltninger i tilfælde af konstaterede systemiske risici samt tilgængeliggørelse på markedet, tilbagetrækning eller tilbagekaldelse af modellen. Såfremt der skulle opstå behov ud over de procedurerettigheder, der er fastsat i denne forordning, bør udbydere af AI-modeller til almen brug som en sikkerhedsforanstaltning råde over de procedurerettigheder, der er fastsat i artikel 18 i forordning (EU) 2019/1020, som bør finde tilsvarende anvendelse, uden at dette berører de mere specifikke procedurerettigheder fastsat i nærværende forordning.

(165) Udviklingen af andre AI-systemer end højrisiko-AI-systemer i overensstemmelse med kravene i denne forordning kan føre til en større udbredelse af etisk og troværdig AI i Unionen. Udbydere af AI-systemer, der ikke er højrisiko, bør tilskyndes til at udarbejde adfærdskodekser, herunder tilhørende forvaltningsmekanismer, med det formål at fremme frivillig anvendelse af visse af eller alle de obligatoriske krav, der gælder for højrisiko-AI-systemer, og som er tilpasset i lyset af det tilsigtede formål med systemerne og den lavere risiko, og under hensyntagen til de tilgængelige tekniske løsninger og industriens bedste praksis såsom model og datakort. Udbydere og, alt efter hvad der er relevant, idriftsættere af alle AI-systemer, højrisiko eller ej, og AI-modeller bør også tilskyndes til på frivillig basis at anvende yderligere krav vedrørende f.eks. elementerne i Unionens etiske retningslinjer for troværdig AI, miljømæssig bæredygtighed, foranstaltninger vedrørende AI-færdigheder, inklusiv og mangfoldig udformning og udvikling af AI-systemer, herunder med fokus på sårbare personer og tilgængelighed for personer med handicap, deltagelse af interessenter med inddragelse i relevant omfang af relevante interessenter såsom erhvervslivet og civilsamfundsorganisationer, den akademiske verden, forskningsorganisationer, fagforeninger og forbrugerbeskyttelsesorganisationer i udformning og udvikling af AI-systemer og mangfoldighed i udviklingsteamene, herunder kønsbalance. For at sikre at de frivillige adfærdskodekser er effektive, bør de baseres på klare mål og centrale resultatindikatorer til måling af realiseringen af disse mål. De bør også udvikles på en inklusiv måde og i relevant omfang med inddragelse af relevante interessenter såsom erhvervslivet og civilsamfundsorganisationer, den akademiske verden, forskningsorganisationer, fagforeninger og forbrugerbeskyttelsesorganisationer. Kommissionen kan udvikle initiativer, bl.a. på sektorniveau, for at lette mindskelsen af tekniske hindringer for grænseoverskridende udveksling af data til AI-udvikling, herunder med hensyn til dataadgangsinfrastruktur og semantisk og teknisk interoperabilitet af forskellige typer data.

(166) Det er vigtigt, at AI-systemer vedrørende produkter, der ikke er højrisikoprodukter i overensstemmelse med denne forordning og derfor ikke skal overholde kravene for højrisiko-AI-systemer, ikke desto mindre er sikre, når de bringes i omsætning eller ibrugtages. Med henblik på at bidrage til dette mål vil Europa-Parlamentets og Rådets forordning (EU) 2023/988 (53) finde anvendelse som sikkerhedsnet.

(167) For at sikre et tillidsfuldt og konstruktivt samarbejde mellem de kompetente myndigheder på EU-plan og nationalt plan bør alle de parter, der er involveret i anvendelsen af denne forordning, respektere fortroligheden af oplysninger og data, der er indhentet under udførelsen af deres opgaver i overensstemmelse med EU-retten eller national ret. De bør udføre deres opgaver og aktiviteter på en sådan måde, at de navnlig beskytter intellektuelle ejendomsrettigheder, fortrolige forretningsoplysninger og forretningshemmeligheder, en effektiv gennemførelse af denne forordning, offentlige og nationale sikkerhedsinteresser, strafferetlige og administrative procedurers integritet og klassificerede informationers integritet.

(168) Overholdelsen af denne forordning bør kunne håndhæves ved pålæg af sanktioner og andre håndhævelsesforanstaltninger. Medlemsstaterne bør træffe alle nødvendige foranstaltninger til at sikre, at bestemmelserne i denne forordning gennemføres, herunder ved at fastsætte sanktioner for overtrædelse heraf, som er effektive, står i et rimeligt forhold til overtrædelsen og har afskrækkende virkning, og at princippet om ne bis in idem respekteres. For at styrke og harmonisere de administrative sanktioner for overtrædelse af denne forordning bør der fastsættes øvre grænser for fastsættelse af administrative bøder for visse specifikke overtrædelser. Ved vurdering af bødernes størrelse bør medlemsstaterne i hvert enkelt tilfælde tage hensyn til alle relevante omstændigheder i den specifikke situation, navnlig under behørig hensyntagen til overtrædelsens art, grovhed og varighed og dens konsekvenser samt til udbyderens størrelse, navnlig hvis udbyderen er en SMV, herunder en iværksættervirksomhed. Den Europæiske Tilsynsførende for Databeskyttelse bør have beføjelse til at pålægge de EU-institutioner, -agenturer og -organer, der er omfattet af denne forordnings anvendelsesområde, bøder.

(169) Overholdelse af de forpligtelser for udbydere af AI-modeller til almen brug, der pålægges i henhold til denne forordning, bør bl.a. kunne håndhæves ved hjælp af bøder. Med henblik herpå bør der også fastsættes passende bødeniveauer for overtrædelse af disse forpligtelser, herunder manglende overholdelse af de foranstaltninger, som Kommissionen har anmodet om i overensstemmelse med denne forordning, som er genstand for passende forældelsesfrister i overensstemmelse med proportionalitetsprincippet. Alle afgørelser, der træffes af Kommissionen i medfør af denne forordning, underkastes fornyet prøvelse ved EU-Domstolen i overensstemmelse med TEUF, herunder EU-Domstolens fulde prøvelsesret vedrørende sanktioner i henhold til artikel 261 i TEUF.

(170) EU-retten og national ret indeholder allerede bestemmelser om effektive retsmidler for fysiske og juridiske personer, hvis rettigheder og frihedsrettigheder påvirkes negativt af anvendelsen af AI-systemer. Uden at det berører disse retsmidler, bør enhver fysisk eller juridisk person, der har grund til at mene, at der er sket en overtrædelse af denne forordning, have ret til at indgive en klage til den relevante markedsovervågningsmyndighed.

(171) De berørte personer bør have ret til at få en forklaring, hvis en idriftsætters afgørelse hovedsagelig er baseret på output fra visse højrisiko-AI-systemer, der er omfattet af anvendelsesområdet for denne forordning, og hvis afgørelsen har retsvirkninger eller på tilsvarende måde i væsentlig grad påvirker disse personer på en måde, som de anser for at have negativ indvirkning på deres sundhed, sikkerhed eller grundlæggende rettigheder. Denne forklaring bør være klar og meningsfuld og danne et grundlag, ud fra hvilket de berørte personer kan udøve deres rettigheder. Retten til at få en forklaring bør ikke gælde for anvendelsen af AI-systemer, for hvilke undtagelser eller begrænsninger følger af EU-retten eller national ret, og bør kun gælde, for så vidt denne rettighed ikke allerede er fastsat i EU-retten.

(172) Personer, der fungerer som »whistleblowere« i forbindelse med overtrædelser af denne forordning, bør beskyttes i henhold til EU-retten. Europa-Parlamentets og Rådets direktiv (EU) 2019/1937 (54) bør derfor finde anvendelse på indberetning af overtrædelser af denne forordning og på beskyttelsen af personer, der indberetter sådanne overtrædelser.

(173) For at den lovgivningsmæssige ramme om nødvendigt kan tilpasses, bør beføjelsen til at vedtage retsakter delegeres til Kommissionen i overensstemmelse med artikel 290 i TEUF for at ændre betingelserne for, at et AI-system ikke skal betragtes som værende højrisiko, listen over højrisiko-AI-systemer, bestemmelserne vedrørende teknisk dokumentation, indholdet af EU-overensstemmelseserklæringen, bestemmelserne vedrørende overensstemmelsesvurderingsprocedurer, bestemmelserne om fastsættelse af de højrisiko-AI-systemer, på hvilke overensstemmelsesvurderingsproceduren på grundlag af en vurdering af kvalitetsstyringssystemet og en vurdering af den tekniske dokumentation bør finde anvendelse, tærsklen, benchmarks og indikatorer, herunder ved at supplere disse benchmarks og indikatorer, i reglerne om klassificering af AI-modeller til almen brug med systemisk risiko, kriterierne for udpegelse af AI-modeller til almen brug med systemisk risiko, den tekniske dokumentation for udbydere af AI-modeller til almen brug og gennemsigtighedsoplysningerne for udbydere af AI-modeller til almen brug. Det er navnlig vigtigt, at Kommissionen gennemfører relevante høringer under sit forberedende arbejde, herunder på ekspertniveau, og at disse høringer gennemføres i overensstemmelse med principperne i den interinstitutionelle aftale af 13. april 2016 om bedre lovgivning (55). For at sikre lige deltagelse i forberedelsen af delegerede retsakter modtager Europa-Parlamentet og Rådet navnlig alle dokumenter på samme tid som medlemsstaternes eksperter, og deres eksperter har systematisk adgang til møder i Kommissionens ekspertgrupper, der beskæftiger sig med forberedelse af delegerede retsakter.

(174) I betragtning af den hastige teknologiske udvikling og den tekniske ekspertise, der er nødvendig for effektivt at anvende denne forordning, bør Kommissionen evaluere og revidere denne forordning senest den 2. august 2029 og derefter hvert fjerde år og aflægge rapport til Europa-Parlamentet og Rådet. Under hensyntagen til konsekvenserne for denne forordnings anvendelsesområde bør Kommissionen desuden foretage en vurdering af behovet for at ændre listen over højrisiko-AI-systemer og listen over forbudte praksisser én gang om året. Senest den 2. august 2028 og derefter hvert fjerde år bør Kommissionen ydermere evaluere og aflægge rapport til Europa-Parlamentet og Rådet om behovet for at ændre listen over højrisikoområdeoverskrifter i bilaget til denne forordning, de AI-systemer, der er omfattet af gennemsigtighedsforpligtelserne, effektiviteten af tilsyns- og forvaltningssystemet og fremskridt med udviklingen af standardiseringsdokumentation om en energieffektiv udvikling af AI-modeller til almen brug, herunder behovet for yderligere foranstaltninger eller tiltag. Endelig bør Kommissionen senest den 2. august 2028 og derefter hvert tredje år evaluere virkningen og effektiviteten af frivillige adfærdskodekser med henblik på at fremme anvendelsen af de fastsatte krav til højrisiko-AI-systemer i tilfælde af andre AI-systemer end højrisiko-AI-systemer og eventuelt andre yderligere krav til sådanne AI-systemer.

(175) For at sikre ensartede betingelser for gennemførelsen af denne forordning bør Kommissionen tillægges gennemførelsesbeføjelser. Disse beføjelser bør udøves i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 (56).

(176) Målet for denne forordning, nemlig at forbedre det indre markeds funktion og fremme udbredelsen af menneskecentreret og troværdig AI og samtidig sikre et højt niveau af beskyttelse af sundhed, sikkerhed og de grundlæggende rettigheder, der er nedfældet i chartret, herunder demokratiet, retsstatsprincippet og miljøbeskyttelse, mod skadelige virkninger af AI-systemer i Unionen og støtte innovation, kan ikke i tilstrækkelig grad opfyldes af medlemsstaterne, men kan på grund af handlingens omfang eller virkninger bedre nås på EU-plan; Unionen kan derfor vedtage foranstaltninger i overensstemmelse med nærhedsprincippet, jf. artikel 5 i TEU. I overensstemmelse med proportionalitetsprincippet, jf. nævnte artikel, går denne forordning ikke videre, end hvad der er nødvendigt for at nå dette mål.

(177) Med henblik på at sikre retssikkerheden, sikre en passende tilpasningsperiode for operatører og undgå markedsforstyrrelser, herunder ved at sikre kontinuitet i anvendelsen af AI-systemer, bør denne forordning kun finde anvendelse på højrisiko-AI-systemer, der er bragt i omsætning eller ibrugtaget inden den generelle anvendelsesdato, hvis disse systemer fra denne dato er genstand for betydelige ændringer af deres udformning eller tilsigtede formål. Det er hensigtsmæssigt at præcisere, at begrebet betydelig ændring i denne henseende bør forstås som indholdsmæssigt ækvivalent med begrebet væsentlig ændring, som kun anvendes i forbindelse med højrisiko-AI-systemer i medfør af denne forordning. Undtagelsesvist og i lyset af offentlig ansvarlighed bør operatører af AI-systemer, som er komponenter i de store IT-systemer, der er oprettet ved de retsakter, der er opført i et bilag til denne forordning, og operatører af højrisiko-AI-systemer, der er tilsigtet anvendt af offentlige myndigheder, henholdsvis tage de nødvendige skridt til at overholde kravene i denne forordning inden udgangen af 2030 og senest den 2. august 2030.

(178) Udbydere af højrisiko-AI-systemer tilskyndes til frivilligt at begynde at overholde de relevante forpligtelser i denne forordning allerede i overgangsperioden.

(179) Denne forordning bør finde anvendelse fra den 2. august 2026. Under hensyntagen til den uacceptable risiko, der på visse måder er forbundet med anvendelsen af AI, bør forbuddene og de almindelige bestemmelser i denne forordning dog finde anvendelse allerede fra den 2. februar 2025. Selv om den fulde virkning af disse forbud følger med indførelsen af forvaltningen og håndhævelsen af denne forordning, er det vigtigt at foregribe anvendelsen af forbuddene for at tage hensyn til uacceptable risici, som har indvirkning på andre procedurer såsom i civilretten. Infrastrukturen i forbindelse med forvaltnings- og overensstemmelsesvurderingssystemet bør desuden være operationel inden den 2. august 2026, og bestemmelserne om bemyndigede organer og forvaltningsstruktur bør derfor finde anvendelse fra den 2. august 2025. I betragtning af de hastige teknologiske fremskridt og udbredelsen af AI-modeller til almen brug bør forpligtelserne for udbydere af AI-modeller til almen brug finde anvendelse fra den 2. august 2025. Praksiskodekser skal være klar senest den 2. maj 2025 med henblik på at gøre det muligt for udbyderne rettidigt at påvise overholdelse. AI-kontoret bør sikre, at klassificeringsregler og -procedurer er ajourførte i lyset af den teknologiske udvikling. Desuden bør medlemsstaterne fastsætte og meddele Kommissionen bestemmelserne om sanktioner, herunder administrative bøder, og sikre, at de er gennemført korrekt og effektivt på datoen for denne forordnings anvendelse. Bestemmelserne om sanktioner bør derfor finde anvendelse fra den 2. august 2025.

(180) Den Europæiske Tilsynsførende for Databeskyttelse og Det Europæiske Databeskyttelsesråd er blevet hørt i overensstemmelse med artikel 42, stk. 1 og 2, i forordning (EU) 2018/1725 og afgav deres fælles udtalelse den 18. juni 2021 -

VEDTAGET DENNE FORORDNING:

KAPITEL I

ALMINDELIGE BESTEMMELSER

Artikel 1

Genstand

1. Formålet med denne forordning er at forbedre det indre markeds funktion og fremme udbredelsen af menneskecentreret og troværdig kunstig intelligens (AI) og samtidig sikre et højt niveau af beskyttelse af sundhed, sikkerhed og de grundlæggende rettigheder, der er nedfældet i chartret, herunder demokratiet, retsstatsprincippet og miljøbeskyttelse, mod de skadelige virkninger af AI-systemer i Unionen og støtte innovation.

2. Ved denne forordning fastsættes:

a) harmoniserede regler for omsætning, ibrugtagning og anvendelse af AI-systemer i Unionen

b) forbud mod visse former for AI-praksis

c) specifikke krav til højrisiko-AI-systemer og forpligtelser for operatører af sådanne systemer

d) harmoniserede gennemsigtighedsregler for bestemte AI-systemer

e) harmoniserede regler for omsætning af AI-modeller til almen brug

f) regler om overvågning efter omsætningen, markedsovervågning, forvaltning og håndhævelse

g) foranstaltninger til støtte for innovation med særligt fokus på SMV'er, herunder iværksættervirksomheder.

Artikel 2

Anvendelsesområde

1. Denne forordning finder anvendelse på:

a) udbydere, der bringer AI-systemer i omsætning eller ibrugtager sådanne eller bringer AI-modeller til almen brug i omsætning i Unionen, uanset om disse udbydere er etableret eller befinder sig i Unionen eller i et tredjeland

b) idriftsættere af AI-systemer, der er etableret eller befinder sig i Unionen

c) udbydere og idriftsættere af AI-systemer, der er etableret eller befinder sig i et tredjeland, hvis det output, der produceres af systemet, anvendes i Unionen

d) importører og distributører af AI-systemer

e) producenter af et produkt, der sammen med deres produkt og under eget navn eller varemærke bringer et AI-system i omsætning eller ibrugtager det

f) bemyndigede repræsentanter for udbydere, der ikke er etableret i Unionen

g) berørte personer, der befinder sig i Unionen.

2. For så vidt angår AI-systemer, der er klassificeret som højrisiko-AI-systemer i overensstemmelse med artikel 6, stk. 1, i forbindelse med produkter, der er omfattet af EU-harmoniseringslovgivningen opført i bilag I, afsnit B, finder kun artikel 6, stk. 1, og artikel 102-109 og 112 anvendelse. Artikel 57 finder kun anvendelse, for så vidt kravene til højrisiko-AI-systemer i henhold til denne forordning er blevet integreret i den pågældende EU-harmoniseringslovgivning.

3. Denne forordning finder ikke anvendelse på områder, der falder uden for EU-rettens anvendelsesområde, og berører under alle omstændigheder ikke medlemsstaternes kompetencer vedrørende national sikkerhed, uanset hvilken type enhed medlemsstaterne har bemyndiget til at udføre opgaver i forbindelse med disse kompetencer.

Denne forordning finder ikke anvendelse på AI-systemer, hvis og i det omfang de bringes i omsætning, ibrugtages eller anvendes med eller uden ændring til formål, der udelukkende vedrører militær, forsvar eller national sikkerhed, uanset hvilken type enhed der udfører disse aktiviteter.

Denne forordning finder ikke anvendelse på AI-systemer, der ikke bringes i omsætning eller ibrugtages i Unionen, hvis outputtet anvendes i Unionen til formål, der udelukkende vedrører militær, forsvar eller national sikkerhed, uanset hvilken type enhed der udfører disse aktiviteter.

4. Denne forordning finder hverken anvendelse på offentlige myndigheder i tredjelande eller internationale organisationer, der er omfattet af denne forordnings anvendelsesområde, jf. stk. 1, hvis disse myndigheder eller organisationer anvender AI-systemer inden for rammerne af internationalt samarbejde eller internationale aftaler om retshåndhævelse og retligt samarbejde med Unionen eller med en eller flere medlemsstater, forudsat at et sådant tredjeland eller en sådan international organisation træffer tilstrækkelige sikkerhedsforanstaltninger med hensyn til beskyttelsen af fysiske personers grundlæggende rettigheder og friheder.

5. Denne forordning berører ikke anvendelsen af bestemmelserne om udbydere af formidlingstjenesters ansvar som fastsat i kapitel II i forordning (EU) 2022/2065.

6. Denne forordning finder ikke anvendelse på AI-systemer eller AI-modeller, herunder deres output, som specifikt er udviklet og ibrugtaget udelukkende med henblik på videnskabelig forskning og udvikling.

7. EU-retten om beskyttelse af personoplysninger, privatlivets fred og kommunikationshemmeligheden finder anvendelse på personoplysninger, som behandles i forbindelse med de rettigheder og forpligtelser, der er fastsat i denne forordning. Denne forordning berører ikke forordning (EU) 2016/679 eller (EU) 2018/1725 eller direktiv 2002/58/EF eller (EU) 2016/680, uden at det berører nærværende forordnings artikel 10, stk. 5, og artikel 59.

8. Denne forordning finder ikke anvendelse på forsknings-, afprøvnings- eller udviklingsaktiviteter vedrørende AI-systemer eller AI-modeller, inden de bringes i omsætning eller ibrugtages. Sådanne aktiviteter gennemføres i overensstemmelse med gældende EU-ret. Afprøvning under faktiske forhold er ikke omfattet af denne undtagelse.

9. Denne forordning berører ikke de regler, der er fastsat i andre EU-retsakter vedrørende forbrugerbeskyttelse og produktsikkerhed.

10. Denne forordning finder ikke anvendelse på forpligtelser for idriftsættere, som er fysiske personer, der anvender AI-systemer som led i rent personlige ikkeerhvervsmæssige aktiviteter.

11. Denne forordning er ikke til hinder for, at Unionen eller medlemsstaterne opretholder eller indfører love, forskrifter eller administrative bestemmelser, der er gunstigere for arbejdstagerne med hensyn til beskyttelse af deres rettigheder i forbindelse med arbejdsgivernes anvendelse af AI-systemer, eller tilskynder til eller tillader anvendelse af kollektive overenskomster, der er gunstigere for arbejdstagerne.

12. Denne forordning finder ikke anvendelse på AI-systemer, der frigives i henhold til gratis open source-licenser, medmindre de bringes i omsætning eller ibrugtages som højrisiko-AI-systemer eller et AI-system, der er omfattet af artikel 5 eller 50.

Artikel 3

Definitioner

I denne forordning forstås ved:

1) »AI-system«: et maskinbaseret system, som er udformet med henblik på at fungere med en varierende grad af autonomi, og som efter idriftsættelsen kan udvise en tilpasningsevne, og som til eksplicitte eller implicitte mål af det input, det modtager, udleder, hvordan det kan generere output såsom forudsigelser, indhold, anbefalinger eller beslutninger, som kan påvirke fysiske eller virtuelle miljøer

2) »risiko«: kombinationen af sandsynligheden for, at der opstår en skade, og den pågældende skades alvor

3) »udbyder«: en fysisk eller juridisk person, en offentlig myndighed, et agentur eller et andet organ, der udvikler eller får udviklet et AI-system eller en AI-model til almen brug og bringer dem i omsætning eller ibrugtager AI-systemet under eget navn eller varemærke, enten mod betaling eller gratis

4) »idriftsætter«: en fysisk eller juridisk person, en offentlig myndighed, et agentur eller et andet organ, der anvender et AI-system under sin myndighed, medmindre AI-systemet anvendes som led i en personlig ikkeerhvervsmæssig aktivitet

5) »bemyndiget repræsentant«: en fysisk eller juridisk person, der befinder sig eller er etableret i Unionen, og som har modtaget og accepteret et skriftligt mandat fra en udbyder af et AI-system eller en AI-model til almen brug til på dennes vegne at opfylde og udføre de forpligtelser og procedurer, der er fastsat i denne forordning

6) »importør«: en fysisk eller juridisk person, som befinder sig eller er etableret i Unionen, og som bringer et AI-system i omsætning, der bærer en i et tredjeland etableret fysisk eller juridisk persons navn eller varemærke

7) »distributør«: en fysisk eller juridisk person i forsyningskæden, bortset fra udbyderen eller importøren, som gør et AI-system tilgængeligt på EU-markedet

8) »operatør«: en udbyder, producent af et produkt, idriftsætter, bemyndiget repræsentant, importør eller distributør

9) »omsætning«: den første tilgængeliggørelse af et AI-system eller en AI-model til almen brug på EU-markedet

10) »tilgængeliggørelse på markedet«: levering af et AI-system eller en AI-model til almen brug med henblik på distribution eller anvendelse på EU-markedet som led i erhvervsvirksomhed mod eller uden vederlag

11) »ibrugtagning«: levering af et AI-system til anvendelse for første gang enten direkte til idriftsætteren eller til egen brug i Unionen i overensstemmelse med dets tilsigtede formål

12) »tilsigtet formål«: den anvendelse, som et AI-system af udbyderen er tilsigtet, herunder den specifikke sammenhæng og de specifikke betingelser for anvendelse som angivet i de oplysninger, udbyderen giver i brugsanvisningen, reklame- eller salgsmaterialet og reklame- og salgserklæringerne samt i den tekniske dokumentation

13) »fejlanvendelse, der med rimelighed kan forudses«: anvendelse af et AI-system på en måde, der ikke er i overensstemmelse med systemets tilsigtede formål, men som kan skyldes menneskelig adfærd eller interaktion med andre systemer, herunder andre AI-systemer, der med rimelighed kan forudses

14) »sikkerhedskomponent«: en komponent i et produkt eller et AI-system, som har en sikkerhedsfunktion for det pågældende produkt eller AI-system eller i tilfælde af svigt eller funktionsfejl, som bringer personers sundhed og sikkerhed eller ejendom i fare, i produktet eller systemet

15) »brugsanvisning«: oplysninger fra udbyderen med henblik på at informere idriftsætteren om navnlig et AI-systems tilsigtede formål og korrekte anvendelse

16) »tilbagekaldelse af et AI-system«: enhver foranstaltning, der har til formål at opnå, at et AI-system, der allerede er gjort tilgængeligt for idriftsætterne, returneres til udbyderen eller tages ud af drift eller deaktiveres

17) »tilbagetrækning af et AI-system«: enhver foranstaltning, der har til formål at forhindre, at et AI-system i forsyningskæden gøres tilgængeligt på markedet

18) »et AI-systems ydeevne«: et AI-systems evne til at opfylde det tilsigtede formål

19) »bemyndigende myndighed«: den nationale myndighed, der er ansvarlig for at indføre og gennemføre de nødvendige procedurer for vurdering, udpegelse og notifikation af overensstemmelsesvurderingsorganer og for overvågning heraf

20) »overensstemmelsesvurdering«: processen til påvisning af, om de i kapitel III, afdeling 2, fastsatte krav vedrørende et højrisiko-AI-system er opfyldt

21) »overensstemmelsesvurderingsorgan«: et organ, der som tredjepart udfører overensstemmelsesvurderingsaktiviteter, herunder afprøvning, certificering og inspektion

22) »bemyndiget organ«: et overensstemmelsesvurderingsorgan, der er notificeret i overensstemmelse med denne forordning og anden relevant EU-harmoniseringslovgivning

23) »væsentlig ændring«: en ændring af et AI-system efter dets omsætning eller ibrugtagning, som ikke er forudset eller planlagt i udbyderens indledende overensstemmelsesvurdering, og som følge af hvilken AI-systemets overholdelse af de i kapitel III, afdeling 2, fastsatte krav påvirkes eller medfører en ændring af det tilsigtede formål, med henblik på hvilket AI-systemet er vurderet

24) »CE-mærkning«: en mærkning, hvormed en udbyder angiver, at et AI-system er i overensstemmelse med de krav, der er fastsat i kapitel III, afdeling 2, og anden gældende EU-harmoniseringslovgivning, og om anbringelse af denne mærkning

25) »system til overvågning efter omsætningen«: alle aktiviteter, som udbydere af AI-systemer udfører for at samle og gennemgå erfaringer med anvendelse af de AI-systemer, de bringer i omsætning eller ibrugtager, med henblik på at afdække eventuelle behov for omgående at foretage nødvendige, korrigerende eller forebyggende tiltag

26) »markedsovervågningsmyndighed«: den nationale myndighed, der udfører aktiviteterne og træffer foranstaltningerne i henhold til forordning (EU) 2019/1020

27) »harmoniseret standard«: en harmoniseret standard som defineret i artikel 2, nr. 1), litra c), i forordning (EU) nr. 1025/2012

28) »fælles specifikation«: et sæt af tekniske specifikationer som defineret i artikel 2, nr. 4), i forordning (EU) nr. 1025/2012, der giver mulighed for at overholde visse krav, der er fastsat i nærværende forordning

29) »træningsdata«: data, der anvendes til træning af et AI-system ved hjælp af tilpasning af dets lærbare parametre

30) »valideringsdata«: data, der anvendes til at foretage en evaluering af det trænede AI-system og til at justere systemets ikkelærbare parametre og dets læringsproces med henblik på bl.a. at forhindre undertilpasning eller overtilpasning

31) »valideringsdatasæt«: et separat datasæt eller en del af træningsdatasættet, enten som et fast eller variabelt split

32) »afprøvningsdata«: data, der anvendes til en uafhængig evaluering af AI-systemet for at bekræfte systemets forventede ydeevne, inden det bringes i omsætning eller ibrugtages

33) »inputdata«: data, der leveres til eller hentes direkte af et AI-system, og på grundlag af hvilke systemet leverer et output

34) »biometriske data«: personoplysninger som følge af specifik teknisk behandling vedrørende en fysisk persons fysiske, fysiologiske eller adfærdsmæssige karakteristika som f.eks. ansigtsbilleder eller fingeraftryksoplysninger

35) »biometrisk identifikation«: automatiseret genkendelse af fysiske, fysiologiske, adfærdsmæssige eller psykologiske menneskelige træk med henblik på at fastslå en fysisk persons identitet ved at sammenligne den pågældende persons biometriske data med biometriske data om enkeltpersoner lagret i en database

36) »biometrisk verifikation«: automatiseret, en-til-en-verifikation, herunder autentificering, af fysiske personers identitet ved at sammenligne deres biometriske data med tidligere afgivne biometriske data

37) »særlige kategorier af personoplysninger«: de kategorier af personoplysninger, der er omhandlet i artikel 9, stk. 1, i forordning (EU) 2016/679, artikel 10 i direktiv (EU) 2016/680 og artikel 10, stk. 1, i forordning (EU) 2018/1725

38) »følsomme operationelle data«: operationelle data vedrørende aktiviteter med henblik på forebyggelse, afsløring, efterforskning eller retsforfølgning af strafbare handlinger, hvis videregivelse kan bringe straffesagens integritet i fare

39) »system til følelsesgenkendelse«: et AI-system, der har til formål at genkende eller udlede fysiske personers følelser eller hensigter på grundlag af deres biometriske data

40) »system til biometrisk kategorisering«: et AI-system, der har til formål at placere fysiske personer i bestemte kategorier på grundlag af deres biometriske data, medmindre de understøtter en anden kommerciel tjeneste og er strengt nødvendige af objektive tekniske årsager

41) »system til biometrisk fjernidentifikation«: et AI-system, der har til formål at identificere fysiske personer uden deres aktive deltagelse, typisk på afstand, ved at sammenligne en persons biometriske data med de biometriske data i en referencedatabase

42) »system til biometrisk fjernidentifikation i realtid«: et system til biometrisk fjernidentifikation, hvor optagelse af biometriske data, sammenligning og identifikation alle finder sted uden væsentlig forsinkelse, omfattende ikke blot øjeblikkelig identifikation, men også begrænsede, korte forsinkelser for at undgå omgåelse

43) »system til efterfølgende biometrisk fjernidentifikation«: et system til biometrisk fjernidentifikation, som ikke er et system til biometrisk fjernidentifikation i realtid

44) »offentligt sted«: ethvert offentligt eller privatejet fysisk sted, der er tilgængeligt for et ubestemt antal fysiske personer, uanset om der kan gælde visse adgangsbetingelser, og uanset de potentielle kapacitetsbegrænsninger

45) »retshåndhævende myndigheder«:

a) enhver offentlig myndighed, der er kompetent med hensyn til at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed, eller

b) ethvert andet organ eller enhver anden enhed, som i henhold til medlemsstaternes nationale ret udøver offentlig myndighed og offentlige beføjelser med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed

46) »retshåndhævelse«: aktiviteter, som udføres af retshåndhævende myndigheder eller på deres vegne, med hensyn til at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed

47) »AI-kontoret«: Kommissionens funktion med at bidrage til gennemførelsen og overvågningen af og tilsynet med AI-systemer og AI-modeller til almen brug og AI-forvaltning, der er fastsat i Kommissionens afgørelse af 24. januar 2024; henvisninger i denne forordning til AI-kontoret forstås som henvisninger til Kommissionen

48) »national kompetent myndighed«: en bemyndigende myndighed eller en markedsovervågningsmyndighed; for så vidt angår AI-systemer, der tages i brug eller anvendes af EU-institutioner, -agenturer, -kontorer og -organer, forstås henvisninger til nationale kompetente myndigheder eller markedsovervågningsmyndigheder i denne forordning som henvisninger til Den Europæiske Tilsynsførende for Databeskyttelse

49) »alvorlig hændelse«: en hændelse eller funktionsfejl i et AI-system, som direkte eller indirekte fører til et af følgende udfald:

a) et menneskes død eller alvorlig skade på et menneskes helbred

b) en alvorlig og uoprettelig forstyrrelse i forvaltningen eller driften af kritisk infrastruktur

c) overtrædelse af forpligtelser i henhold til den del af EU-retten, der har til formål at beskytte de grundlæggende rettigheder

d) alvorlig skade på ejendom eller miljøet

50) »personoplysninger«: personoplysninger som defineret i artikel 4, nr. 1), i forordning (EU) 2016/679

51) »andre data end personoplysninger«: andre data end personoplysninger som defineret i artikel 4, nr. 1), i forordning (EU) 2016/679

52) »profilering«: profilering som defineret artikel 4, nr. 4), i forordning (EU) 2016/679

53) »plan for afprøvning under faktiske forhold«: et dokument, der beskriver mål, metode, geografisk, befolkningsmæssig og tidsmæssig rækkevidde, overvågning, tilrettelæggelse og gennemførelse af afprøvning under faktiske forhold

54) »sandkasseplan«: et dokument, der er opnået enighed om mellem den deltagende udbyder og den kompetente myndighed, og som beskriver mål, betingelser, tidsramme, metode og kravene for de aktiviteter, der udføres inden for sandkassen

55) »reguleringsmæssig AI-sandkasse«: en kontrolleret ramme, som er oprettet af en kompetent myndighed, og som giver udbydere eller potentielle udbydere af AI-systemer mulighed for, hvis det er relevant, under faktiske forhold at udvikle, træne, validere og afprøve et innovativt AI-system i henhold til en sandkasseplan i en begrænset periode under reguleringsmæssigt tilsyn

56) »AI-færdigheder«: færdigheder, viden og forståelse, der giver udbydere, idriftsættere og berørte personer mulighed for under hensyntagen til deres respektive rettigheder og forpligtelser i forbindelse med denne forordning at idriftsætte AI-systemer på et informeret grundlag samt at øge bevidstheden om muligheder og risici ved AI og den mulige skade, som den kan forvolde

57) »afprøvning under faktiske forhold«: midlertidig afprøvning af et AI-system med henblik på dets tilsigtede formål under faktiske forhold uden for et laboratorium eller på anden måde simuleret miljø med henblik på at indsamle pålidelige og solide data og vurdere og verificere AI-systemets overensstemmelse med kravene i denne forordning, og det er ikke ensbetydende med at bringe AI-systemet i omsætning eller ibrugtage det som omhandlet i denne forordning, forudsat at alle betingelserne i henhold til artikel 57 eller 60 er opfyldt

58) »forsøgsperson« med henblik på afprøvning under faktiske forhold: en fysisk person, der deltager i afprøvning under faktiske forhold

59) »informeret samtykke«: en forsøgspersons frie, specifikke, utvetydige og frivillige tilkendegivelse af sin vilje til at deltage i en bestemt afprøvning under faktiske forhold efter at være blevet informeret om alle aspekter af afprøvningen, der er relevante for forsøgspersonens beslutning om at deltage

60) »deepfake«: et ved hjælp af AI genereret eller manipuleret billed-, lyd- eller videoindhold, der i væsentlig grad ligner faktiske personer, genstande, steder, enheder eller begivenheder, og som fejlagtigt vil fremstå ægte eller sandfærdigt

61) »udbredt overtrædelse«: enhver handling eller undladelse, der er i strid med EU-retten, som beskytter enkeltpersoners interesser, og som:

a) har skadet eller må antages at kunne skade de kollektive interesser for enkeltpersoner med bopæl i mindst to medlemsstater ud over den medlemsstat, hvor:

i) handlingen eller undladelsen har sin oprindelse eller har fundet sted

ii) den pågældende udbyder eller, hvis det er relevant, dennes bemyndigede repræsentant befinder sig eller er etableret, eller

iii) idriftsætteren er etableret, når overtrædelsen bliver begået af idriftsætteren

b) har skadet, skader eller må antages at kunne skade enkeltpersoners kollektive interesser og har fælles træk, herunder samme ulovlige praksis og tilsidesættelse af den samme interesse, og begås samtidigt af den samme operatør i mindst tre medlemsstater

62) »kritisk infrastruktur«: kritisk infrastruktur som defineret i artikel 2, nr. 4), i direktiv (EU) 2022/2557

63) »AI-model til almen brug«: en AI-model, herunder når en sådan AI-model er trænet med en stor mængde data ved hjælp af selvovervågning i stor skala, som udviser betydelig generalitet og har kompetence til at udføre en lang række forskellige opgaver, uanset hvordan modellen bringes i omsætning, og som kan integreres i en række downstreamsystemer eller -applikationer, bortset fra AI-modeller, der anvendes til forsknings-, udviklings- og prototypeaktiviteter, inden de bringes i omsætning

64) »kapaciteter med stor virkning«: kapaciteter, som svarer til eller overstiger de kapaciteter, der er registreret i de mest avancerede AI-modeller til almen brug

65) »systemisk risiko«: en risiko, der er specifik for kapaciteter med stor virkning i AI-modeller til almen brug, og som har betydelig indvirkning på EU-markedet på grund af deres omfang eller på grund af faktiske negative virkninger, der med rimelighed kan forudses, for folkesundheden, sikkerheden, den offentlige sikkerhed, de grundlæggende rettigheder eller samfundet som helhed, som kan opformeres i stor skala i hele værdikæden

66) »AI-system til almen brug«: et AI-system, som er baseret på en AI-model til almen brug, og som har kapacitet til at opfylde en række forskellige formål, både til direkte anvendelse og til integration i andre AI-systemer

67) »flydende kommatalsberegning«: enhver matematisk beregning eller ligning, der omfatter flydende kommatal, som er en delmængde af de reelle tal, der typisk vises på computere i form af et heltal med fast præcision, som justeres med en heltalseksponent med fastlagt basis

68) »downstreamudbyder«: en udbyder af et AI-system, herunder et AI-system til almen brug, som integrerer en AI-model, uanset om AI-modellen leveres af udbyderen selv og integreres vertikalt eller leveres af en anden enhed på grundlag af kontraktforhold.

Artikel 4

AI-færdigheder

Udbydere og idriftsættere af AI-systemer træffer foranstaltninger til i videst muligt omfang at sikre et tilstrækkeligt niveau af AI-færdigheder hos deres personale og andre personer, der er involveret i drift og anvendelse af AI-systemer på deres vegne, og tager herved hensyn til disse personers tekniske viden, erfaring og uddannelse og den kontekst, hvori AI-systemerne skal anvendes, og de personer eller grupper af personer, som AI-systemerne skal anvendes på.

KAPITEL II

FORBUDTE FORMER FOR AI-PRAKSIS

Artikel 5

Forbudte former for AI-praksis

1. Følgende former for AI-praksis er forbudt:

a) omsætning, ibrugtagning eller anvendelse af et AI-system, der anvender subliminale teknikker, der rækker ud over den menneskelige bevidsthed, eller bevidst manipulerende eller vildledende teknikker med henblik på eller med det resultat i væsentlig grad at fordreje en persons eller en gruppe af personers adfærd ved betydeligt at hæmme dennes evne til at træffe informerede beslutninger, hvilket får dem til at træffe en beslutning, som de ellers ikke ville have truffet, på en måde, der forvolder eller med rimelig sandsynlighed vil forvolde den pågældende person, en anden person eller en gruppe af personer betydelig skade

b) omsætning, ibrugtagning eller anvendelse af et AI-system, der hos en fysisk person eller en specifik gruppe af personer udnytter sårbarheder på grundlag af alder, handicap eller en særlig social eller økonomisk situation med henblik på eller med det resultat i væsentlig grad at fordreje den pågældende persons eller en til gruppen hørende persons adfærd på en måde, der forvolder eller med rimelig sandsynlighed vil forvolde den pågældende person eller en anden person betydelig skade

c) omsætning, ibrugtagning eller anvendelse af AI-systemer til evaluering eller klassificering af fysiske personer eller grupper af personer over en given periode på grundlag af deres sociale adfærd eller kendte, udledte eller forudsagte personlige egenskaber eller personlighedstræk, således at den sociale bedømmelse fører til et af eller begge følgende udfald:

i) skadelig eller ugunstig behandling af visse fysiske personer eller grupper af personer i sociale sammenhænge, som ikke har noget at gøre med de sammenhænge, i hvilke dataene oprindeligt blev genereret eller indsamlet

ii) skadelig eller ugunstig behandling af visse fysiske personer eller grupper af personer, som er uberettiget eller uforholdsmæssig i forhold til deres sociale adfærd eller betydningen heraf

d) omsætning, ibrugtagning til dette specifikke formål eller anvendelse af et AI-system til at foretage risikovurderinger af fysiske personer for at vurdere eller forudsige risikoen for, at en fysisk person begår en strafbar handling, hvilket alene er baseret på profilering af en fysisk person eller en vurdering af deres personlighedstræk og personlige egenskaber; dette forbud finder ikke anvendelse på AI-systemer, der anvendes til at understøtte den menneskelige vurdering af en persons involvering i en kriminel aktivitet, som allerede er baseret på objektive og verificerbare kendsgerninger, der er direkte knyttet til en kriminel aktivitet

e) omsætning, ibrugtagning til dette specifikke formål eller anvendelse af AI-systemer, der opretter eller udvider ansigtsgenkendelsesdatabaser gennem ikkemålrettet indsamling af ansigtsbilleder fra internettet eller kameraovervågning

f) omsætning, ibrugtagning til dette specifikke formål eller anvendelse af AI-systemer til at udlede følelser hos en fysisk person på arbejdspladser og uddannelsesinstitutioner, undtagen hvis anvendelsen af AI-systemet er tilsigtet at blive bragt i omsætning af medicinske eller sikkerhedsmæssige årsager

g) omsætning, ibrugtagning til dette specifikke formål eller anvendelse af systemer til biometrisk kategorisering, som kategoriserer fysiske personer individuelt på grundlag af deres biometriske data med henblik på at udlede deres race, politiske anskuelser, fagforeningsmedlemskab, religiøse eller filosofiske overbevisning, seksuelle forhold eller seksuelle orientering; dette forbud omfatter ikke mærkning eller filtrering af lovligt indhentede biometriske datasæt såsom billeder på grundlag af biometriske data eller kategorisering af biometriske data på retshåndhævelsesområdet

h) anvendelse af systemer til biometrisk fjernidentifikation i realtid på offentlige steder med henblik på retshåndhævelse, medmindre og i det omfang en sådan anvendelse er strengt nødvendig til et af følgende formål:

i) målrettet eftersøgning af specifikke ofre for bortførelse, menneskehandel eller seksuel udnyttelse af mennesker samt eftersøgning af forsvundne personer

ii) forebyggelse af en specifik, væsentlig og overhængende trussel mod fysiske personers liv eller fysiske sikkerhed eller en reel og aktuel eller reel og forudsigelig trussel om et terrorangreb

iii) lokalisering eller identifikation af en person, der mistænkes for at have begået en strafbar handling, med henblik på en strafferetlig efterforskning af eller retsforfølgning eller fuldbyrdelse af en strafferetlig sanktion for overtrædelser, der er omhandlet i bilag II, og som i den pågældende medlemsstat kan straffes med frihedsstraf eller en anden frihedsberøvende foranstaltning af en maksimal varighed på mindst fire år.

Første afsnit, litra h), berører ikke artikel 9 i forordning (EU) 2016/679 med hensyn til behandling af biometriske data til andre formål end retshåndhævelse.

2. Anvendelsen af systemer til biometrisk fjernidentifikation i realtid på offentlige steder med henblik på retshåndhævelse til et af de i stk. 1, første afsnit, litra h), omhandlede formål må kun idriftsættes til de formål, der er fastsat i nævnte litra, for at bekræfte den specifikt målrettede persons identitet og skal tage hensyn til følgende elementer:

a) karakteren af den situation, der giver anledning til den mulige anvendelse, navnlig alvorligheden, sandsynligheden og omfanget af den skade, der ville blive forvoldt, hvis systemet ikke blev anvendt

b) konsekvenserne for alle de berørte personers rettigheder og friheder, navnlig alvorligheden, sandsynligheden og omfanget af disse konsekvenser, hvis systemet anvendes.

Ved anvendelse af systemer til biometrisk fjernidentifikation i realtid på offentlige steder med henblik på retshåndhævelse til et af de i denne artikels stk. 1, første afsnit, litra h), omhandlede formål overholdes desuden nødvendige og forholdsmæssige sikkerhedsforanstaltninger og betingelser vedrørende anvendelsen i overensstemmelse med den nationale ret, der tillader anvendelse heraf, navnlig for så vidt angår tidsmæssige, geografiske og personmæssige begrænsninger. Anvendelsen af systemet til biometrisk fjernidentifikation i realtid på offentlige steder tillades kun, hvis den retshåndhævende myndighed har gennemført en konsekvensanalyse vedrørende grundlæggende rettigheder som fastsat i artikel 27 og har registreret systemet i EU-databasen i overensstemmelse med artikel 49. I behørigt begrundede hastende tilfælde kan anvendelsen af sådanne systemer dog påbegyndes uden registrering i EU-databasen, forudsat at registreringen afsluttes uden unødigt ophold.

3. Med henblik på stk. 1, første afsnit, litra h), og stk. 2, er hver anvendelse af et system til biometrisk fjernidentifikation i realtid på offentlige steder med henblik på retshåndhævelse betinget af en forudgående tilladelse, der er udstedt af en judiciel myndighed eller en uafhængig administrativ myndighed, hvis afgørelse er bindende i den medlemsstat, hvor anvendelsen skal finde sted, på grundlag af en begrundet anmodning og i overensstemmelse med de nærmere regler i national ret, jf. stk. 5. I behørigt begrundede hastende tilfælde kan anvendelsen af et sådant system dog påbegyndes uden tilladelse, på betingelse af at der anmodes om en sådan tilladelse uden unødigt ophold og senest inden for 24 timer. Hvis en sådan tilladelse afvises, bringes anvendelsen straks til ophør, og alle data såvel som resultater og output af denne anvendelse kasseres og slettes omgående.

Den kompetente judicielle myndighed eller en uafhængig administrativ myndighed, hvis afgørelse er bindende, udsteder kun tilladelsen, hvis den på grundlag af objektive beviser eller klare indikationer, den får forelagt, finder det godtgjort, at anvendelsen af det pågældende system til biometrisk fjernidentifikation i realtid er nødvendig og forholdsmæssig for at opfylde et af de i stk. 1, første afsnit, litra h), anførte formål som anført i anmodningen og navnlig fortsat begrænses til,

hvad der er strengt nødvendigt for så vidt angår tidsperioden samt det geografiske og personmæssige anvendelsesområde. Når den pågældende myndighed træffer afgørelse om anmodningen, tager den hensyn til de i stk. 2 omhandlede elementer. Der må ikke træffes nogen afgørelse, der har negative retsvirkninger for en person, udelukkende baseret på outputtet af systemet til efterfølgende biometrisk fjernidentifikation i realtid.

4. Uden at det berører stk. 3, skal hver anvendelse af et system til biometrisk fjernidentifikation i realtid på offentlige steder med henblik på retshåndhævelse meddeles den relevante markedsovervågningsmyndighed og den nationale databeskyttelsesmyndighed i overensstemmelse med de nationale regler, jf. stk. 5. Meddelelsen skal som minimum indeholde de oplysninger, der er anført i stk. 6, og må ikke indeholde følsomme operationelle data.

5. En medlemsstat kan beslutte at give mulighed for helt eller delvist at tillade anvendelse af systemer til biometrisk fjernidentifikation i realtid på offentlige steder med henblik på retshåndhævelse inden for de begrænsninger og på de betingelser, der er nævnt i stk. 1, første afsnit, litra h), og stk. 2 og 3. De pågældende medlemsstater fastsætter i deres nationale ret de nødvendige nærmere regler for anmodning om, udstedelse af og benyttelse af samt tilsyn og indberetning i forbindelse med de i stk. 3 omhandlede tilladelser. Disse regler præciserer også, til hvilke af de i stk. 1, første afsnit, litra h), anførte formål, herunder for hvilke af de i litra h), nr. iii), nævnte strafbare handlinger, de kompetente myndigheder kan få tilladelse til at anvende disse systemer med henblik på retshåndhævelse. Medlemsstaterne meddeler Kommissionen disse regler senest 30 dage efter vedtagelsen heraf. Medlemsstaterne kan i overensstemmelse med EU-retten indføre mere restriktiv lovgivning om anvendelsen af systemer til biometrisk fjernidentifikation.

6. De nationale markedsovervågningsmyndigheder og de nationale databeskyttelsesmyndigheder i de medlemsstater, der er blevet underrettet om anvendelsen af systemer til biometrisk fjernidentifikation i realtid på offentlige steder med henblik på retshåndhævelse i henhold til stk. 4, forelægger Kommissionen årlige rapporter om en sådan anvendelse. Med henblik herpå stiller Kommissionen efter anmodning om tilladelser i overensstemmelse med stk. 3 og resultatet heraf en skabelon til rådighed for medlemsstaterne og de nationale markedsovervågnings- og databeskyttelsesmyndigheder, herunder oplysninger om antallet af afgørelser, der er truffet af de kompetente judicielle myndigheder eller en uafhængig administrativ myndighed, hvis afgørelse er bindende.

7. Kommissionen offentliggør årlige rapporter om anvendelsen af systemer til biometrisk fjernidentifikation i realtid på offentlige steder med henblik på retshåndhævelse på grundlag af aggregerede data i medlemsstaterne, der bygger på de i stk. 6 omhandlede årlige rapporter. Disse rapporter må ikke indeholde følsomme operationelle data om de tilknyttede retshåndhævelsesaktiviteter.

8. Denne artikel berører ikke de forbud, der gælder, hvis en form for AI-praksis overtræder anden EU-ret.

KAPITEL III

HØJRISIKO-AI-SYSTEMER

AFDELING 1

Klassificering af AI-systemer som højrisiko

Artikel 6

Klassificeringsregler for højrisiko-AI-systemer

1. Uanset om et AI-system bringes i omsætning eller ibrugtages uafhængigt af de i litra a) og b) omhandlede produkter, betragtes AI-systemet som højrisiko, hvis begge følgende betingelser er opfyldt:

a) AI-systemet tilsigtes anvendt som en sikkerhedskomponent i et produkt, eller AI-systemet er i sig selv et produkt, der er omfattet af den EU-harmoniseringslovgivning, der er anført i bilag I.

b) Det produkt, hvis sikkerhedskomponent i henhold til litra a) er AI-systemet, eller AI-systemet selv som et produkt skal underkastes en overensstemmelsesvurdering foretaget af en tredjepart med henblik på omsætning eller ibrugtagning af produktet i henhold til den EU-harmoniseringslovgivning, der er anført i bilag I.

2. Ud over de højrisiko-AI-systemer, der er omhandlet i stk. 1, betragtes de AI-systemer, der er omhandlet i bilag III, også som højrisiko.

3. Uanset stk. 2 betragtes et AI-system, der er omhandlet i bilag III, ikke som højrisiko, hvis det ikke udgør en væsentlig risiko for skade på sundheden, sikkerheden eller fysiske personers grundlæggende rettigheder, herunder ved ikke i væsentlig grad at påvirke resultatet af beslutningstagning.

Første afsnit finder anvendelse, hvis enhver af følgende betingelser er opfyldt:

a) AI-systemet tilsigtes at udføre en snæver proceduremæssig opgave

b) AI-systemet tilsigtes at forbedre resultatet af en tidligere afsluttet menneskelig aktivitet

c) AI-systemet tilsigtes at påvise beslutningsmønstre eller afvigelser fra tidligere beslutningsmønstre og er ikke tiltænkt at skulle erstatte eller påvirke en tidligere afsluttet menneskelig vurdering uden en ordentlig menneskelig gennemgang, eller

d) AI-systemet tilsigtes at udføre en forberedende opgave inden en vurdering, der er relevant for de anvendelsestilfælde, der er anført i bilag III.

Uanset første afsnit betragtes et AI-system, der er omhandlet i bilag III, altid som højrisiko, hvis AI-systemet udfører profilering af fysiske personer.

4. En udbyder, som finder, at et AI-system, der er omhandlet i bilag III, ikke er højrisiko, skal dokumentere sin vurdering, inden det pågældende system bringes i omsætning eller ibrugtages. En sådan udbyder er underlagt registreringsforpligtelsen i artikel 49, stk. 2. Efter anmodning fra de nationale kompetente myndigheder fremlægger udbyderen dokumentation for vurderingen.

5. Kommissionen udarbejder efter høring af Det Europæiske Udvalg for Kunstig Intelligens (»AI-udvalget«) og senest den 2. februar 2026 retningslinjer, der præciserer den praktiske gennemførelse af denne artikel i overensstemmelse med artikel 96, sammen med en omfattende liste over praktiske eksempler på anvendelsestilfælde af AI-systemer, der er højrisiko og ikke højrisiko.

6. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 97 for at ændre nærværende artikels stk. 3, andet afsnit, ved at tilføje nye betingelser til dem, der er fastsat i nævnte stykke, eller ved at ændre dem, hvis der foreligger konkret og pålidelig dokumentation for, at der findes AI-systemer, som hører under anvendelsesområdet i bilag III, men som ikke udgør en væsentlig risiko for skade på fysiske personers sundhed, sikkerhed eller grundlæggende rettigheder.

7. Kommissionen vedtager delegerede retsakter i overensstemmelse med artikel 97 for at ændre nærværende artikels stk. 3, andet afsnit, ved at lade enhver af de i nævnte stykke fastsatte betingelser udgå, hvis der foreligger konkret og pålidelig dokumentation for, at dette er nødvendigt for at opretholde det beskyttelsesniveauet for sundheden, sikkerheden og de grundlæggende rettigheder, der er fastsat ved denne forordning.

8. Enhver ændring af betingelserne i stk. 3, andet afsnit, vedtaget i overensstemmelse med denne artikels stk. 6 og 7, må ikke reducere det overordnede beskyttelsesniveau for sundheden, sikkerheden og de grundlæggende rettigheder, der er fastsat ved denne forordning, og sikrer overensstemmelse med de delegerede retsakter, der er vedtaget i henhold til artikel 7, stk. 1, og tager hensyn til den markedsmæssige og teknologiske udvikling.

Artikel 7

Ændring af bilag III

1. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 97 for at ændre bilag III ved at tilføje eller ændre anvendelsestilfælde af højrisiko-AI-systemer, hvis begge følgende betingelser er opfyldt:

a) AI-systemerne tilsigtes anvendt på et af de områder, der er anført i bilag III

b) AI-systemerne udgør en risiko for skade på sundheden og sikkerheden eller for negativ indvirkning på de grundlæggende rettigheder, og denne risiko svarer til eller er større end risikoen for skade eller negativ indvirkning ved de højrisiko-AI-systemer, der allerede er omhandlet i bilag III.

2. Ved vurderingen af betingelsen i henhold til stk. 1, litra b), tager Kommissionen hensyn til følgende kriterier:

a) det tilsigtede formål med AI-systemet

b) i hvilket omfang et AI-system er blevet anvendt eller sandsynligvis vil blive anvendt

c) arten og omfanget af de data, der behandles og anvendes af AI-systemet, navnlig om der behandles særlige kategorier af personoplysninger

d) i hvilket omfang AI-systemet handler autonomt, og muligheden for at et menneske kan underkende en afgørelse eller anbefalinger, som kan føre til potentiel skade

e) i hvilket omfang anvendelsen af et AI-system allerede har forvoldt skade på sundheden og sikkerheden, har haft negativ indvirkning på de grundlæggende rettigheder eller har skabt betydelig bekymring med hensyn til sandsynligheden for en sådan skade eller negativ indvirkning som påvist i f.eks. rapporter eller dokumenterede påstande, der er forelagt for de nationale kompetente myndigheder, eller i andre rapporter, alt efter hvad der er relevant

f) det potentielle omfang af en sådan skade eller negativ indvirkning, navnlig med hensyn til dens størrelse og dens mulighed for påvirkning af flere personer eller for uforholdsmæssig påvirkning af en særlig gruppe af personer

g) i hvilket omfang personer, der er potentielt skadede eller er ofre for en negativ indvirkning, er afhængige af det resultat, et AI-system giver, navnlig hvis det af praktiske eller juridiske grunde ikke med rimelighed er muligt at fravælge resultatet

h) i hvilket omfang der er magtmæssig ubalance, eller de personer, der er potentielt skadede eller er ofre for en negativ indvirkning, befinder sig i en sårbar situation i forhold til idriftsætteren af et AI-system, navnlig som følge af status, autoritet, viden, økonomiske eller sociale omstændigheder eller alder

i) i hvilket omfang det resultat, der fremkommer ved inddragelse af et AI-system, let kan korrigeres eller ændres under hensyntagen til de tilgængelige tekniske løsninger til at korrigere eller ændre det, idet resultater, der har en negativ indvirkning på sundheden, sikkerheden eller de grundlæggende rettigheder, ikke anses for let at kunne korrigeres eller ændres

j) omfanget af og sandsynligheden for fordele ved idriftsættelsen af AI-systemet for enkeltpersoner, grupper eller samfundet som helhed, herunder mulige forbedringer af produktsikkerheden

k) i hvilket omfang gældende EU-ret indeholder bestemmelser om:

i) effektive retsmidler med hensyn til de risici, der er forbundet med et AI-system, med undtagelse af erstatningskrav

ii) effektive foranstaltninger til at forebygge eller i væsentlig grad minimere disse risici.

3. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 97 for at ændre listen i bilag III ved at fjerne højrisiko-AI-systemer, hvis begge følgende betingelser er opfyldt:

a) det pågældende højrisiko-AI-system udgør ikke længere nogen væsentlig risiko for de grundlæggende rettigheder, sundheden eller sikkerheden under hensyntagen til kriterierne i stk. 2

b) fjernelsen reducerer ikke det generelle beskyttelsesniveau for sundhed, sikkerhed og grundlæggende rettigheder i henhold til EU-retten.

AFDELING 2

Krav til højrisiko-AI-systemer

Artikel 8

Overholdelse af krav

1. Højrisiko-AI-systemer skal overholde de krav, der er fastsat i denne afdeling, under hensyntagen til deres tilsigtede formål og det generelt anerkendte aktuelle teknologiske niveau for AI og AI-relaterede teknologier. Ved sikringen af, at disse krav overholdes, tages det risikostyringssystem, der er omhandlet i artikel 9, i betragtning.

2. Hvis et produkt indeholder et AI-system, som kravene i denne forordning samt kravene i den EU-harmoniseringslovgivning, der er anført i bilag I, afsnit A, finder anvendelse på, er producenterne ansvarlige for at sikre, at deres produkt fuldt ud overholder alle gældende krav i den gældende EU-harmoniseringslovgivning. For at sikre at de højrisiko-AI-systemer, der er omhandlet i stk. 1, overholder kravene i denne afdeling, og for at sikre sammenhæng, undgå overlap og minimere yderligere byrder skal udbyderne have mulighed for i relevant omfang at integrere de nødvendige afprøvnings- og rapporteringsprocesser, oplysninger og den nødvendige dokumentation, som de stiller til rådighed vedrørende deres produkt, i dokumentation og procedurer, der allerede eksisterer og kræves i henhold til den EU-harmoniseringslovgivning, der er anført i bilag I, afsnit A.

Artikel 9

Risikostyringssystem

1. Hvad angår højrisiko-AI-systemer oprettes og gennemføres der et risikostyringssystem, som dokumenteres og vedligeholdes.

2. Risikostyringssystemet skal forstås som en kontinuerlig iterativ proces, der er planlagt og løber i hele højrisiko-AI-systemets livscyklus, og som kræver regelmæssig systematisk gennemgang og opdatering. Det omfatter følgende trin:

a) kortlægning og analyse af kendte og med rimelighed forudsigelige risici, som højrisiko-AI-systemet kan udgøre for sundheden, sikkerheden eller de grundlæggende rettigheder, når højrisiko-AI-systemet anvendes i overensstemmelse med dets tilsigtede formål

b) vurdering og evaluering af de risici, der kan opstå, når højrisiko-AI-systemet anvendes i overensstemmelse med dets tilsigtede formål og ved fejlanvendelse, der med rimelighed kan forudses

c) evaluering af andre risici, der kan opstå, på grundlag af analyse af data indsamlet fra systemet til overvågning efter omsætningen, jf. artikel 72

d) vedtagelse af passende og målrettede risikostyringsforanstaltninger, der har til formål at imødegå de risici, der er identificeret i henhold til litra a).

3. De i denne artikel omhandlede risici vedrører kun dem, der med rimelighed kan afbødes eller fjernes gennem udviklingen eller udformningen af højrisiko-AI-systemet eller tilvejebringelsen af tilstrækkelige tekniske oplysninger.

4. De i stk. 2, litra d), omhandlede risikostyringsforanstaltninger tager behørigt hensyn til virkningerne og eventuelle interaktioner som følge af den kombinerede anvendelse af kravene i denne afdeling med henblik på at minimere risiciene mere effektivt og samtidig opnå en passende balance i gennemførelsen af foranstaltningerne til opfyldelse af disse krav.

5. De i stk. 2, litra d), omhandlede risikostyringsforanstaltninger er af en sådan art, at de relevante resterende risici, der er forbundet med hver fare, samt den samlede resterende risiko ved højrisiko-AI-systemerne vurderes at være acceptabel.

I fastlæggelsen af de mest hensigtsmæssige risikostyringsforanstaltninger sikres følgende:

a) fjernelse eller begrænsning af de risici, der er identificeret og evalueret i henhold til stk. 2, i det omfang det er teknisk muligt, gennem passende udformning og udvikling af højrisiko-AI-systemet

b) om nødvendigt gennemførelse af passende foranstaltninger til afbødning og kontrol, som imødegår risici, der ikke kan fjernes

c) tilvejebringelse af de oplysninger, der kræves i henhold til artikel 13, og, hvis det er relevant, træning af idriftsætterne.

Med henblik på fjernelse eller begrænsning af risici i forbindelse med anvendelsen af et højrisiko-AI-system tages der behørigt hensyn til den tekniske viden, erfaring, uddannelse og træning, som kan forventes af idriftsætteren, og den formodentlige kontekst, i hvilken systemet tilsigtes anvendt.

6. Højrisiko-AI-systemer afprøves med henblik på at identificere de mest hensigtsmæssige og målrettede risikostyringsforanstaltninger. Afprøvning sikrer, at højrisiko-AI-systemer yder konsistent i overensstemmelse med deres tilsigtede formål og overholder de krav, der er fastsat i denne afdeling.

7. Afprøvningsprocedurerne kan omfatte afprøvning under faktiske forhold i overensstemmelse med artikel 60.

8. Afprøvning af højrisiko-AI-systemer foretages på et hvilket som helst tidspunkt under hele udviklingsprocessen, alt efter hvad der er relevant, og under alle omstændigheder inden de bringes i omsætning eller ibrugtages. Afprøvningen foretages på grundlag af på forhånd definerede parametre og probabilistiske tærskler, der er passende i forhold til det tilsigtede formål med højrisiko-AI-systemet.

9. Ved gennemførelsen af det risikostyringssystem, der er fastsat i stk. 1-7, tager udbyderne hensyn til, om der i betragtning af det tilsigtede formål med højrisiko-AI-systemet er sandsynlighed for, at det har en negativ indvirkning på personer under 18 år og i relevant omfang på andre sårbare grupper.

10. For udbydere af højrisiko-AI-systemer, der er underlagt krav vedrørende interne risikostyringsprocesser i henhold til andre relevante bestemmelser i EU-retten, kan de aspekter, der er fastsat i stk. 1-9, være en del af eller kombineres med de risikostyringsprocedurer, der er fastlagt i henhold til den pågældende ret.

Artikel 10

Data og datastyring

1. De højrisiko-AI-systemer, der gør brug af teknikker, som omfatter træning af AI-modeller med data, udvikles på grundlag af trænings-, validerings- og afprøvningsdatasæt, der opfylder de kvalitetskriterier, der er omhandlet i stk. 2-5, når sådanne datasæt anvendes.

2. Trænings-, validerings- og afprøvningsdatasæt skal være underlagt former for datastyrings- og dataforvaltningspraksis, som er tilpasset højrisiko-AI-systemets tilsigtede formål. Disse former for praksis vedrører navnlig:

a) de relevante valg med hensyn til udformning

b) dataindsamlingsprocesser og dataenes oprindelse og, hvis der er tale om personoplysninger, det oprindelige formål med dataindsamlingen

c) relevant dataforberedelsesbehandling såsom annotation, mærkning, rensning, opdatering, berigelse og aggregering

d) formuleringen af antagelser, navnlig med hensyn til de oplysninger, som dataene skal måle og repræsentere

e) en vurdering af tilgængeligheden, mængden og egnetheden af de datasæt, der er nødvendige

f) undersøgelse med hensyn til mulige bias, der sandsynligvis vil påvirke personers sundhed og sikkerhed, have negativ indvirkning på de grundlæggende rettigheder eller føre til forskelsbehandling, som er forbudt i henhold til EU-retten, navnlig hvis dataoutput påvirker input til fremtidige operationer

g) passende foranstaltninger til at påvise, forebygge og afbøde de mulige bias, der er identificeret i henhold til litra f)

h) kortlægning af relevante datamangler eller datautilstrækkeligheder, som forhindrer overholdelse af denne forordning, og hvordan de kan afhjælpes.

3. Trænings-, validerings- og afprøvningsdatasæt skal i betragtning af det tilsigtede formål være relevante, tilstrækkeligt repræsentative og i videst muligt omfang fejlfrie og fuldstændige. De skal have de tilstrækkelige statistiske egenskaber, herunder, hvis det er relevant, med hensyn til de personer eller grupper af personer, på hvilke højrisiko-AI-systemet tilsigtes anvendt. Disse egenskaber kan opfyldes for de enkelte datasæt eller for en kombination heraf.

4. I datasæt tages der, i det omfang det er nødvendigt i lyset af deres tilsigtede formål, hensyn til de egenskaber eller elementer, der er særlige for den specifikke geografiske, kontekstuelle, adfærdsmæssige eller funktionelle ramme, inden for hvilken højrisiko-AI-systemet tilsigtes anvendt.

5. I det omfang det er strengt nødvendigt for at sikre, at bias i forbindelse med højrisiko-AI-systemer påvises og korrigeres i overensstemmelse med denne artikels stk. 2, litra f) og g), kan udbydere af sådanne systemer undtagelsesvis behandle særlige kategorier af personoplysninger, med forbehold af passende sikkerhedsforanstaltninger med hensyn til fysiske personers grundlæggende rettigheder og friheder. Ud over bestemmelserne i forordning (EU) 2016/679 og (EU) 2018/1725 samt direktiv (EU) 2016/680 skal følgende betingelser overholdes for at udføre en sådan behandling:

a) påvisning og korrektion af bias kan ikke opnås effektivt ved behandling af andre data, herunder syntetiske eller anonymiserede data

b) de særlige kategorier af personoplysninger er underlagt tekniske begrænsninger for videreanvendelse af personoplysninger og de mest avancerede sikkerhedsforanstaltninger og foranstaltninger til beskyttelse af privatlivet fred, herunder pseudonymisering

c) de særlige kategorier af personoplysninger er underlagt foranstaltninger, der skal sikre, at de behandlede personoplysninger er sikrede, beskyttede og omfattet af passende sikkerhedsforanstaltninger, herunder streng kontrol og dokumentation af adgangen, for at undgå misbrug og sikre, at kun autoriserede personer har adgang til disse personoplysninger med passende fortrolighedsforpligtelser

d) de særlige kategorier af personoplysninger må ikke transmitteres til, overføres til eller på anden måde tilgås af andre parter

e) de særlige kategorier af personoplysninger slettes, når bias er blevet korrigeret, eller når opbevaringsperioden for personoplysningerne udløber, alt efter hvad der indtræffer først

f) fortegnelserne over behandlingsaktiviteter i henhold til forordning (EU) 2016/679 og (EU) 2018/1725 samt direktiv (EU) 2016/680 indeholder en begrundelse for, hvorfor behandlingen af særlige kategorier af personoplysninger var strengt nødvendig for at opdage og korrigere bias, og hvorfor dette mål ikke kunne nås ved behandling af andre data.

6. Ved udvikling af højrisiko-AI-systemer, der ikke gør brug af teknikker, der omfatter træning af AI-modeller, finder stk. 2-5 kun anvendelse på afprøvningsdatasættene.

Artikel 11

Teknisk dokumentation

1. Den tekniske dokumentation for et højrisiko-AI-system udarbejdes, inden systemet bringes i omsætning eller ibrugtages, og holdes ajour.

Den tekniske dokumentation udarbejdes således, at den påviser, at højrisiko-AI-systemet overholder de krav, der er fastsat i denne afdeling, og at de oplysninger, der er nødvendige for at vurdere AI-systemets overholdelse af disse krav, gives på en klar og forståelig måde til de nationale kompetente myndigheder og bemyndigede organer. Den skal som minimum indeholde de i bilag IV fastsatte elementer. SMV'er, herunder iværksættervirksomheder, kan fremlægge de elementer i den tekniske dokumentation, der er anført i bilag IV, på en forenklet måde. Med henblik herpå udarbejder Kommissionen en forenklet formular for teknisk dokumentation, der er målrettet små virksomheders og mikrovirksomheders behov. Hvis en SMV, herunder en iværksættervirksomhed, vælger at fremlægge de oplysninger, der kræves i bilag IV, på en forenklet måde, anvender den formularen, der er omhandlet i dette stykke. Bemyndigede organer skal acceptere formularen med henblik på overensstemmelsesvurderingen.

2. Hvis et højrisiko-AI-system tilknyttet et produkt, der er omfattet af den i bilag I, afsnit A, anførte EU-harmoniseringslovgivning, bringes i omsætning eller ibrugtages, udarbejdes der et enkelt sæt teknisk dokumentation, der indeholder alle de oplysninger, der er fastsat i stk. 1, samt de oplysninger, der kræves i henhold til disse retsakter.

3. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 97 for at ændre bilag IV, hvis det i lyset af den tekniske udvikling er nødvendigt for, at den tekniske dokumentation giver alle de oplysninger, der er nødvendige for at vurdere, om systemet overholder de krav, der er fastsat i denne afdeling.

Artikel 12

Registrering

1. Højrisiko-AI-systemer skal teknisk muliggøre automatisk registrering af hændelser (»logfiler«) under systemets levetid.

2. For at sikre en passende grad af sporbarhed i højrisiko-AI-systemets funktion i forhold til systemets tilsigtede formål skal logningskapaciteten muliggøre registrering af hændelser, der er relevante for:

a) identifikation af situationer, der kan medføre, at højrisiko-AI-systemet udgør en risiko som omhandlet i artikel 79, stk. 1, eller en væsentlig ændring

b) lettelse af overvågningen efter omsætningen, jf. artikel 72, og

c) overvågning af driften af højrisiko-AI-systemer, jf. artikel 26, stk. 5.

3. For så vidt angår de højrisiko-AI-systemer, der er omhandlet i bilag III, punkt 1, litra a), omfatter logningskapaciteten som minimum:

a) registrering af tidsperioden for hver anvendelse af systemet (startdato og -klokkeslæt samt slutdato og -klokkeslæt for hver anvendelse)

b) den referencedatabase, med hvilken systemet har sammenholdt inputdata

c) de inputdata, som i søgningen har givet et match

d) identifikation af de fysiske personer, der er involveret i verifikationen af resultaterne, jf. artikel 14, stk. 5.

Artikel 13

Gennemsigtighed og formidling af oplysninger til idriftsætterne

1. Højrisiko-AI-systemer udformes og udvikles på en sådan måde, at deres drift er tilstrækkelig gennemsigtig til, at idriftsætterne kan fortolke et systems output og anvende det korrekt. Der sikres en passende type og grad af gennemsigtighed med henblik på at opnå overholdelse af de relevante udbyder- og idriftsætterforpligtelser, der er fastsat i afdeling 3.

2. Højrisiko-AI-systemer ledsages af en brugsanvisning i et passende digitalt format eller på anden vis, som indeholder kortfattede, fuldstændige, korrekte og klare oplysninger, som er relevante, tilgængelige og forståelige for idriftsætterne.

3. Brugsanvisningen skal som minimum indeholde følgende oplysninger:

a) identitet på og kontaktoplysninger for udbyderen og dennes eventuelle bemyndigede repræsentant

b) højrisiko-AI-systemets egenskaber, kapacitet og begrænsninger for dets ydeevne, herunder:

i) det tilsigtede formål

ii) det niveau af nøjagtighed, herunder systemets parametre, robusthed og cybersikkerhed, jf. artikel 15, i forhold til hvilket højrisiko-AI-systemet er afprøvet og valideret, og som kan forventes, samt alle kendte og forudsigelige omstændigheder, der kan have indvirkning på det forventede niveau af nøjagtighed, robusthed og cybersikkerhed

iii) alle kendte eller forudsigelige omstændigheder i forbindelse med anvendelse af højrisiko-AI-systemet i overensstemmelse med dets tilsigtede formål eller ved fejlanvendelse, der med rimelighed kan forudses, der kan medføre risici for sundhed og sikkerhed eller grundlæggende rettigheder, jf. artikel 9, stk. 2

iv) hvis det er relevant, højrisiko-AI-systemets tekniske kapacitet og egenskaber til at give oplysninger, som er relevante for at forklare dets output

v) hvis det er relevant, dets ydeevne for så vidt angår de specifikke personer eller grupper af personer, på hvilke systemet tilsigtes anvendt

vi) hvis det er relevant, specifikationer for inputdataene eller andre relevante oplysninger med hensyn til de anvendte trænings-, validerings- og afprøvningsdatasæt under hensyntagen til højrisiko-AI-systemets tilsigtede formål

vii) hvis det er relevant, oplysninger, der sætter idriftsætterne i stand til at fortolke højrisiko-AI-systemets output og anvende det korrekt

c) eventuelle ændringer af højrisiko-AI-systemet og dets ydeevne, som udbyderen på forhånd har fastsat på tidspunktet for den indledende overensstemmelsesvurdering

d) foranstaltninger til menneskeligt tilsyn, jf. artikel 14, herunder de tekniske foranstaltninger, der er indført for at lette idriftsætternes fortolkning af højrisiko-AI-systemers output

e) de nødvendige beregningskrafts- og hardwareressourcer, højrisiko-AI-systemets forventede levetid og eventuelle nødvendige vedligeholdelses- og plejeforanstaltninger, herunder deres hyppighed, for at sikre, at AI-systemet fungerer korrekt, herunder med hensyn til softwareopdateringer

f) hvis det er relevant, en beskrivelse af de mekanismer, der er medtaget i højrisiko-AI-systemet, og som giver idriftsætterne mulighed for på korrekt vis at indsamle, lagre og fortolke logfilerne i overensstemmelse med artikel 12.

Artikel 14

Menneskeligt tilsyn

1. Højrisiko-AI-systemer udformes og udvikles på en sådan måde, herunder med passende menneske-maskine-grænsefladeværktøjer, at fysiske personer effektivt kan overvåge dem i den periode, hvor de er i brug.

2. Menneskeligt tilsyn har til formål at forebygge eller minimere de risici for sundhed, sikkerhed eller grundlæggende rettigheder, der kan opstå, når et højrisiko-AI-system anvendes i overensstemmelse med dets tilsigtede formål eller under forhold med fejlanvendelse, der med rimelighed kan forudses, navnlig hvis sådanne risici fortsat består trods anvendelsen af andre krav, der er fastsat i denne afdeling.

3. Tilsynsforanstaltningerne skal stå i et rimeligt forhold til risiciene, graden af autonomi og den kontekst, som højrisiko-AI-systemet anvendes i, og sikres ved hjælp af en af eller samtlige følgende typer foranstaltninger:

a) foranstaltninger, der er fastlagt og, hvis det er teknisk muligt, indbygget i højrisiko-AI-systemet fra udbyderens side, inden systemet bringes i omsætning eller ibrugtages

b) foranstaltninger, der er fastlagt af udbyderen, inden højrisiko-AI-systemet bringes i omsætning eller ibrugtages, og som er egnede til at blive gennemført af idriftsætteren.

4. Med henblik på gennemførelsen af stk. 1, 2 og 3 leveres højrisiko-AI-systemet til idriftsætteren på en sådan måde, at det er muligt for fysiske personer, der har fået til opgave at varetage menneskeligt tilsyn, alt efter hvad der er relevant og forholdsmæssigt, at:

a) forstå højrisiko-AI-systemets relevante kapacitet og begrænsninger korrekt og være i stand til at overvåge dets drift på behørig vis, herunder med henblik på at opdage og håndtere uregelmæssigheder, funktionsforstyrrelser og uventet ydeevne

b) være opmærksomme på den mulige tendens til automatisk eller i overdreven grad af forlade sig på output frembragt af et højrisiko-AI-system (automatiseringsbias), navnlig for så vidt angår højrisiko-AI-systemer, der anvendes til at give oplysninger eller anbefalinger til afgørelser, der skal træffes af fysiske personer

c) fortolke højrisiko-AI-systemets output korrekt under hensyntagen til f.eks. de tilgængelige fortolkningsværktøjer og -metoder

d) beslutte i en særlig situation ikke at anvende højrisiko-AI-systemet eller på anden måde se bort fra, tilsidesætte eller omgøre outputtet fra højrisiko-AI-systemet

e) gribe ind i højrisiko-AI-systemets drift eller afbryde systemet ved hjælp af en »stopknap« eller en lignende procedure, som gør det muligt at afbryde systemet i en sikker tilstand.

5. For så vidt angår de højrisiko-AI-systemer, der er omhandlet i bilag III, punkt 1, litra a), sikrer de foranstaltninger, der er omhandlet i denne artikels stk. 3, desuden, at idriftsætteren ikke foretager noget tiltag eller træffer nogen beslutninger på grundlag af en identifikation, der følger af systemet, medmindre denne identifikation er blevet verificeret og bekræftet særskilt af mindst to fysiske personer med den nødvendige kompetence, uddannelse og myndighed.

Kravet om særskilt verifikation foretaget af mindst to fysiske personer finder ikke anvendelse på højrisiko-AI-systemer, der anvendes med henblik på retshåndhævelse, migrationsstyring, grænsekontrol og asylforvaltning, hvis anvendelsen af dette krav efter EU-retten eller national ret skønnes uforholdsmæssig.

Artikel 15

Nøjagtighed, robusthed og cybersikkerhed

1. Højrisiko-AI-systemer udformes og udvikles på en sådan måde, at de opnår et passende niveau af nøjagtighed, robusthed og cybersikkerhed, og at de i disse henseender yder konsistent i hele deres livscyklus.

2. For at håndtere de tekniske aspekter af, hvordan de passende niveauer af nøjagtighed og robusthed, der er fastsat i stk. 1, og andre relevante ydeevneparametre måles, tilskynder Kommissionen, alt efter hvad der er relevant, i samarbejde med relevante interessenter og organisationer såsom metrologi- og benchmarkingmyndigheder til udvikling af benchmarks og målemetoder.

3. Højrisiko-AI-systemers niveau og relevante parametre med hensyn til nøjagtighed angives i den ledsagende brugsanvisning.

4. Højrisiko-AI-systemer skal være så modstandsdygtige som muligt over for fejl, svigt og uoverensstemmelser, der kan forekomme i systemet eller i det miljø, som systemet fungerer i, navnlig på grund af systemets interaktion med fysiske personer eller andre systemer. I denne henseende træffes der tekniske og organisatoriske foranstaltninger.

Højrisiko-AI-systemers robusthed kan opnås ved hjælp af tekniske redundansløsninger, som kan omfatte backupplaner eller »fail-safe plans«.

De højrisiko-AI-systemer, der fortsætter med at lære efter at være bragt i omsætning eller ibrugtaget, udvikles på en sådan måde med henblik på i videst muligt omfang at fjerne eller reducere risikoen for, at eventuelt output behæftet med bias påvirker input i fremtidige operationer (feedbacksløjfer), og sikre, at sådanne feedbacksløjfer behørigt imødegås ved hjælp af passende afbødende foranstaltninger.

5. Højrisiko-AI-systemer skal være modstandsdygtige over for uautoriserede tredjeparters forsøg på at ændre deres anvendelse, output eller ydeevne ved at udnytte systemsårbarheder.

De tekniske løsninger, der har til formål at sikre cybersikkerhed i forbindelse med højrisiko-AI-systemer, skal stå i et passende forhold til de relevante omstændigheder og risiciene.

De tekniske løsninger til afhjælpning af AI-specifikke sårbarheder omfatter, alt efter hvad der er relevant, foranstaltninger til at forebygge, opdage, reagere på, afværge og kontrollere angreb, der søger at manipulere træningsdatasættet (dataforgiftning), eller forhåndstrænede komponenter, der anvendes i træning (modelforgiftning), input, der er udformet til at få AI-modellen til at begå fejl (ondsindede eksempler eller modelunddragelse), fortrolighedsangreb eller modelfejl.

AFDELING 3

Forpligtelser for udbydere og idriftsættere af højrisiko-AI-systemer og andre parter

Artikel 16

Forpligtelser for udbydere af højrisiko-AI-systemer

Udbydere af højrisiko-AI-systemer skal:

a) sørge for, at deres højrisiko-AI-systemer overholder de krav, der er fastsat i afdeling 2

b) angive deres navn, registrerede firmanavn eller registrerede varemærke og kontaktadresse på højrisiko-AI-systemet, eller, hvis dette ikke er muligt, på dets emballage eller i den medfølgende dokumentation, alt efter hvad der er relevant

c) have indført et kvalitetsstyringssystem, der er i overensstemmelse med artikel 17

d) opbevare den dokumentation, der er omhandlet i artikel 18

e) opbevare de logfiler, der automatisk genereres af deres højrisiko-AI-systemer, når logfilerne er under deres kontrol, som omhandlet i artikel 19

f) sørge for, at højrisiko-AI-systemet underkastes den relevante overensstemmelsesvurderingsprocedure som omhandlet i artikel 43, inden systemet bringes i omsætning eller ibrugtages

g) udarbejde en EU-overensstemmelseserklæring i overensstemmelse med artikel 47

h) anbringe CE-mærkningen på højrisiko-AI-systemet eller, hvis dette ikke er muligt, på dets emballage eller i den medfølgende dokumentation, for at angive overensstemmelse med denne forordning i overensstemmelse med artikel 48

i) overholde de registreringsforpligtelser, der er omhandlet i artikel 49, stk. 1

j) foretage de nødvendige korrigerende tiltag og fremlægge oplysningerne som krævet i henhold til artikel 20

k) efter begrundet anmodning fra en national kompetent myndighed påvise, at højrisiko-AI-systemet er i overensstemmelse med de krav, der er fastsat i afdeling 2

l) sikre, at højrisiko-AI-systemet overholder tilgængelighedskravene i overensstemmelse med direktiv (EU) 2016/2102 og (EU) 2019/882.

Artikel 17

Kvalitetsstyringssystem

1. Udbydere af højrisiko-AI-systemer indfører et kvalitetsstyringssystem, der sikrer overensstemmelse med denne forordning. Systemet dokumenteres på en systematisk og velordnet måde i form af skriftlige politikker, procedurer og anvisninger og skal som minimum omfatte følgende aspekter:

a) en strategi for overholdelse af lovgivningen, herunder overholdelse af overensstemmelsesvurderingsprocedurer og procedurer for forvaltning af ændringer af højrisiko-AI-systemet

b) teknikker, procedurer og systematiske tiltag, der skal anvendes til udformningen, kontrollen af udformningen og verifikationen af udformningen af højrisiko-AI-systemet

c) teknikker, procedurer og systematiske tiltag, der skal anvendes til udvikling, kvalitetskontrol og kvalitetssikring af højrisiko-AI-systemet

d) undersøgelses-, afprøvnings- og valideringsprocedurer, der gennemføres før, under og efter udviklingen af højrisiko-AI-systemet, samt den hyppighed, hvormed de gennemføres

e) tekniske specifikationer, herunder standarder, der anvendes, og, hvis de relevante harmoniserede standarder ikke anvendes fuldt ud eller ikke omfatter alle de relevante krav, der er fastsat i afdeling 2, de midler, der skal anvendes for at sikre, at højrisiko-AI-systemet overholder disse krav

f) systemer til og procedurer for dataforvaltning, herunder dataopsamling, dataindsamling, dataanalyse, datamærkning, datalagring, datafiltrering, datamining, dataaggregering, dataopbevaring og enhver anden handling vedrørende data, som udføres forud for og med henblik på omsætning eller ibrugtagning af højrisiko-AI-systemer

g) det risikoforvaltningssystem, der er omhandlet i artikel 9

h) oprettelse, implementering og vedligeholdelse af et system til overvågning efter omsætningen i overensstemmelse med artikel 72

i) procedurer for indberetning af en alvorlig hændelse i overensstemmelse med artikel 73

j) håndtering af kommunikation med nationale kompetente myndigheder, andre relevante myndigheder, herunder dem, der giver eller understøtter adgang til data, bemyndigede organer, andre operatører, kunder eller andre interesserede parter

k) systemer til og procedurer for registrering af al relevant dokumentation og alle relevante oplysninger

l) ressourceforvaltning, herunder foranstaltninger vedrørende forsyningssikkerhed

m) en ansvarlighedsramme, der fastlægger ledelsens og det øvrige personales ansvar med hensyn til alle de aspekter, der er anført i dette stykke.

2. Gennemførelsen af de aspekter, der er omhandlet i stk. 1, skal stå i et rimeligt forhold til størrelsen af udbyderens organisation. Udbyderne skal under alle omstændigheder respektere den grad af strenghed og det beskyttelsesniveau, der kræves for at sikre, at deres højrisiko-AI-systemer er i overensstemmelse med denne forordning.

3. Udbydere af højrisiko-AI-systemer, der er underlagt forpligtelser vedrørende kvalitetssikringssystemer eller en tilsvarende funktion i henhold til relevant sektorspecifik EU-ret, kan medtage de aspekter, der er anført i stk. 1, som en del af kvalitetsstyringssystemerne i henhold til denne ret.

4. For de udbydere, der er finansielle institutioner, som er underlagt krav vedrørende deres interne ledelse, ordninger eller processer i henhold til EU-retten om finansielle tjenesteydelser, anses forpligtelsen til at indføre et kvalitetsstyringssystem med undtagelse af denne artikels stk. 1, litra g), h) og i), for at være opfyldt ved overholdelse af reglerne om ordninger eller processer for intern ledelse i henhold til den relevante EU-ret om finansielle tjenesteydelser. Med henblik herpå tages der hensyn til alle de harmoniserede standarder, der er omhandlet i artikel 40.

Artikel 18

Opbevaring af dokumentation

1. Udbyderen skal i ti år, efter at højrisiko-AI-systemet er blevet bragt i omsætning eller ibrugtaget, kunne forelægge de nationale kompetente myndigheder:

a) den i artikel 11 omhandlede tekniske dokumentation

b) dokumentationen vedrørende det i artikel 17 omhandlede kvalitetsstyringssystem

c) dokumentationen vedrørende ændringer, der er godkendt af bemyndigede organer, hvis det er relevant

d) de afgørelser og andre dokumenter, der er udstedt af de bemyndigede organer, hvis det er relevant

e) den i artikel 47 omhandlede EU-overensstemmelseserklæring.

2. Hver medlemsstat fastsætter, på hvilke betingelser den i stk. 1 omhandlede dokumentation fortsat er til rådighed for de nationale kompetente myndigheder i den periode, der er anført i nævnte stykke, i de tilfælde, hvor en udbyder eller dennes bemyndigede repræsentant, der er etableret på dens område, går konkurs eller indstiller sine aktiviteter inden udløbet af denne periode.

3. De udbydere, der er finansielle institutioner, som er underlagt krav vedrørende deres interne ledelse, ordninger eller processer i henhold til EU-retten om finansielle tjenesteydelser, beholder den tekniske dokumentation som en del af den dokumentation, der opbevares i henhold til den relevante EU-ret om finansielle tjenesteydelser.

Artikel 19

Automatisk genererede logfiler

1. Udbydere af højrisiko-AI-systemer opbevarer de i artikel 12, stk. 1, omhandlede logfiler, der genereres automatisk af deres højrisiko-AI-systemer, i det omfang sådanne logfiler er under deres kontrol. Uden at det berører gældende EU-ret eller national ret, opbevares logfilerne i en periode, der er passende i forhold til det tilsigtede formål med højrisiko-AI-systemet, på mindst seks måneder, medmindre andet er fastsat i gældende EU-ret eller national ret, navnlig EU-retten om beskyttelse af personoplysninger.

2. De udbydere, der er finansielle institutioner, som er underlagt krav vedrørende deres interne ledelse, ordninger eller processer i henhold til EU-retten om finansielle tjenesteydelser, beholder de logfiler, der automatisk genereres af deres højrisiko-AI-systemer som en del af den dokumentation, der opbevares i henhold til den relevante ret om finansielle tjenesteydelser.

Artikel 20

Korrigerende tiltag og oplysningspligt

1. De udbydere af højrisiko-AI-systemer, der mener eller har grund til at mene, at et højrisiko-AI-system, som de har bragt i omsætning eller ibrugtaget, ikke er i overensstemmelse med denne forordning, foretager omgående de nødvendige korrigerende tiltag til at bringe det pågældende system i overensstemmelse hermed, tilbagetrække det, tage det ud af drift eller tilbagekalde det, alt efter hvad der er relevant. De underretter distributørerne af det pågældende højrisiko-AI-system og om nødvendigt idriftsætterne, den bemyndigede repræsentant samt importører herom.

2. Hvis et højrisiko-AI-system udgør en risiko som omhandlet i artikel 79, stk. 1, og udbyderen får kendskab til denne risiko, undersøger denne omgående årsagerne i samarbejde med den indberettende idriftsætter, hvis det er relevant, og underretter de markedsovervågningsmyndigheder, der er kompetente for det pågældende højrisiko-AI-system, og, hvis det er relevant, det bemyndigede organ, der har udstedt en attest for det pågældende højrisiko-AI-system i overensstemmelse med artikel 44, navnlig om arten af den manglende overholdelse og om eventuelle relevante korrigerende tiltag, der er foretaget.

Artikel 21

Samarbejde med kompetente myndigheder

1. Udbydere af højrisiko-AI-systemer giver efter begrundet anmodning fra en kompetent myndighed denne myndighed alle de fornødne oplysninger og al den fornødne dokumentation for at påvise, at højrisiko-AI-systemet er i overensstemmelse med de krav, der er fastsat i afdeling 2, på et sprog, som den pågældende myndighed let kan forstå, og på et af EU-institutionernes officielle sprog som angivet af den pågældende medlemsstat.

2. Efter begrundet anmodning fra en kompetent myndighed giver udbydere, alt efter hvad der er relevant, også den anmodende kompetente myndighed adgang til de automatisk genererede logfiler af højrisiko-AI-systemet, der er omhandlet i artikel 12, stk. 1, i det omfang sådanne logfiler er under deres kontrol.

3. Alle de oplysninger, som en kompetent myndighed kommer i besiddelse af i henhold til denne artikel, behandles i overensstemmelse med fortrolighedsforpligtelserne fastsat i artikel 78.

Artikel 22

Bemyndigede repræsentanter for udbydere af højrisiko-AI-systemer

1. Udbydere, der er etableret i tredjelande, udpeger, inden deres højrisiko-AI-systemer gøres tilgængelige på EU-markedet, ved skriftligt mandat en bemyndiget repræsentant, der er etableret i Unionen.

2. Udbyderen skal gøre det muligt for sin bemyndigede repræsentant at udføre de opgaver, der er fastsat i det mandat, vedkommende har modtaget fra udbyderen.

3. Den bemyndigede repræsentant udfører de opgaver, der er fastsat i det mandat, vedkommende har modtaget fra udbyderen. Vedkommende skal på anmodning give markedsovervågningsmyndighederne en kopi af mandatet på et af EU-institutionernes officielle sprog som angivet af den kompetente myndighed. Med henblik på denne forordning sætter mandatet den bemyndigede repræsentant i stand til at udføre følgende opgaver:

a) at kontrollere, at den EU-overensstemmelseserklæring, der er omhandlet i artikel 47, og den tekniske dokumentation, der er omhandlet i artikel 11, er blevet udarbejdet, og at en passende overensstemmelsesvurderingsprocedure er blevet gennemført af udbyderen

b) i en periode på ti år efter, at højrisiko-AI-systemet er blevet bragt i omsætning eller ibrugtaget, at kunne forelægge de kompetente myndigheder og nationale myndigheder eller organer, der er omhandlet i artikel 74, stk. 10, kontaktoplysningerne for den udbyder, der udpegede den bemyndigede repræsentant, en kopi af den i artikel 47 omhandlede EU-overensstemmelseserklæringen, den tekniske dokumentation og, hvis det er relevant, den attest, der er udstedt af det bemyndigede organ

c) efter begrundet anmodning at give de kompetente myndigheder alle de fornødne oplysninger og al den fornødne dokumentation, herunder den, der er omhandlet i dette afsnits litra b), for at påvise, at et højrisiko-AI-system er i overensstemmelse med kravene fastsat i afdeling 2, herunder adgang til logfilerne som omhandlet i artikel 12, stk. 1, der genereres automatisk af højrisiko-AI-systemet, i det omfang sådanne logfiler er under udbyderens kontrol

d) efter begrundet anmodning at samarbejde med de kompetente myndigheder om ethvert tiltag, som sidstnævnte foretager i forbindelse med højrisiko-AI-systemet, navnlig med henblik på at reducere og afhjælpe de risici, som højrisiko-AI-systemet udgør

e) hvis det er relevant, at overholde registreringsforpligtelserne, jf. artikel 49, stk. 1, eller, hvis registreringen foretages af udbyderen selv, sikre, at de oplysninger, der er omhandlet i bilag VIII, afsnit A, punkt 3, er korrekte.

Mandatet giver beføjelse til, at den bemyndigede repræsentant, ud over eller i stedet for udbyderen, kan modtage henvendelser fra de kompetente myndigheder om alle spørgsmål relateret til at sikre overholdelse af denne forordning.

4. Den bemyndigede repræsentant bringer mandatet til ophør, hvis vedkommende mener eller har grund til at mene, at udbyderen handler i strid med sine forpligtelser i henhold til denne forordning. I så fald underretter den omgående den relevante markedsovervågningsmyndighed samt, hvis det er relevant, det relevante bemyndigede organ om mandatets ophør og begrundelsen herfor.

Artikel 23

Forpligtelser for importører

1. Importører sikrer, før de bringer et højrisiko-AI-system i omsætning, at systemet er i overensstemmelse med denne forordning, ved at kontrollere, at:

a) udbyderen af dette højrisiko-AI-system har gennemført den relevante overensstemmelsesvurderingsprocedure, jf. artikel 43

b) udbyderen har udarbejdet den tekniske dokumentation i overensstemmelse med artikel 11 og bilag IV

c) systemet er forsynet med den krævede CE-mærkning og ledsages af den i artikel 47 omhandlede EU-overensstemmelseserklæring og brugsanvisning

d) udbyderen har udpeget en bemyndiget repræsentant i overensstemmelse med artikel 22, stk. 1.

2. Hvis en importør har tilstrækkelig grund til at mene, at et højrisiko-AI-system ikke er i overensstemmelse med denne forordning eller er forfalsket eller ledsaget af forfalsket dokumentation, må vedkommende ikke bringe systemet i omsætning, før det er blevet bragt i overensstemmelse hermed. Hvis højrisiko-AI-systemet udgør en risiko som omhandlet i artikel 79, stk. 1, underretter importøren udbyderen af systemet, den bemyndigede repræsentant og markedsovervågningsmyndighederne herom.

3. Importører angiver deres navn, registrerede firmanavn eller registrerede varemærke og kontaktadresse på højrisiko-AI-systemet og på dets emballage eller i den medfølgende dokumentation, hvis det er relevant.

4. Importører sikrer, at opbevarings- og transportbetingelserne, hvis det er relevant, for højrisiko-AI-systemer, som de har ansvaret for, ikke bringer dets overholdelse af kravene fastsat i afdeling 2 i fare.

5. Importører opbevarer i ti år efter, at højrisiko-AI-systemet er blevet bragt i omsætning eller ibrugtaget, en kopi af den attest, der er udstedt af det bemyndigede organ, hvis det er relevant, af brugsanvisningen og af den i artikel 47 omhandlede EU-overensstemmelseserklæring.

6. Importører giver efter begrundet anmodning og på et sprog, som de relevante myndigheder let kan forstå, disse myndigheder alle de fornødne oplysninger og al den fornødne dokumentation, herunder den, der er omhandlet i stk. 5, for at påvise, at et højrisiko-AI-system er i overensstemmelse med kravene i afdeling 2. Med henblik herpå skal de også sikre, at den tekniske dokumentation kan stilles til rådighed for disse myndigheder.

7. Importører samarbejder med de relevante kompetente myndigheder om ethvert tiltag, som disse myndigheder foretager vedrørende et højrisiko-AI-system, som importørerne har bragt i omsætning, navnlig med henblik på at reducere eller afbøde de risici, som det udgør.

Artikel 24

Forpligtelser for distributører

1. Distributører kontrollerer, før de gør et højrisiko-AI-system tilgængeligt på markedet, at det er forsynet med den krævede CE-mærkning, at det ledsages af en kopi af den i artikel 47 omhandlede EU-overensstemmelseserklæring og brugsanvisning, og at udbyderen og importøren af dette system, alt efter hvad der er relevant, har opfyldt deres respektive forpligtelser som fastsat i artikel 16, litra b) og c), og artikel 23, stk. 3.

2. Hvis en distributør på grundlag af oplysningerne i dennes besiddelse mener eller har grund til at mene, at et højrisiko-AI-system ikke er i overensstemmelse med kravene i afdeling 2, må vedkommende ikke gøre højrisiko-AI-systemet tilgængeligt på markedet, før systemet er blevet bragt i overensstemmelse med de nævnte krav. Hvis højrisiko-AI-systemet ydermere udgør en risiko som omhandlet i artikel 79, stk. 1, underretter distributøren udbyderen eller importøren af systemet, alt efter hvad der er relevant, herom.

3. Distributører sikrer, hvis det er relevant, at opbevarings- og transportbetingelserne for højrisiko-AI-systemer, som de har ansvaret for, ikke bringer systemets overholdelse af kravene i afdeling 2 i fare.

4. Hvis en distributør på grundlag af oplysningerne i dennes besiddelse mener eller har grund til at mene, at et højrisiko-AI-system, som vedkommende har gjort tilgængeligt på markedet, ikke er i overensstemmelse med kravene i afdeling 2, foretager vedkommende de nødvendige korrigerende tiltag for at bringe systemet i overensstemmelse med disse krav, tilbagetrække det eller tilbagekalde det eller sikrer, at udbyderen, importøren eller enhver relevant operatør, alt efter hvad der er relevant, foretager disse korrigerende tiltag. Hvis højrisiko-AI-systemet udgør en risiko som omhandlet i artikel 79, stk. 1, orienterer distributøren omgående udbyderen eller importøren af systemet og de myndigheder, der er kompetente for det pågældende højrisiko-AI-system, herom og giver navnlig nærmere oplysninger om den manglende overholdelse og de foretagne korrigerende tiltag.

5. Efter begrundet anmodning fra en relevant kompetent myndighed giver distributører af et højrisiko-AI-system denne myndighed alle fornødne oplysninger og al fornøden dokumentation vedrørende deres handlinger i henhold til stk. 1-4 for at påvise, at dette højrisiko-AI-system er i overensstemmelse med kravene i afdeling 2.

6. Distributører samarbejder med de relevante kompetente myndigheder om ethvert tiltag, som disse myndigheder foretager vedrørende et højrisiko-AI-system, som distributørerne har bragt i omsætning, navnlig med henblik på at reducere eller afbøde de risici, som det udgør.

Artikel 25

Ansvar i hele AI-værdikæden

1. Enhver distributør, importør, idriftsætter eller anden tredjepart anses for at være udbyder af et højrisiko-AI-system med henblik på denne forordning og er underlagt forpligtelserne for udbydere, jf. artikel 16, i følgende tilfælde:

a) de anbringer deres navn eller varemærke på et højrisiko-AI-system, der allerede er bragt i omsætning eller ibrugtaget, uden at det berører kontraktlige ordninger om, at forpligtelserne er fordelt anderledes

b) de foretager en væsentlig ændring af et højrisiko-AI-system, der allerede er bragt i omsætning eller allerede er ibrugtaget, på en sådan måde, at det forbliver et højrisiko-AI-system i henhold til artikel 6

c) de ændrer det tilsigtede formål med et AI-system, herunder et AI-system til almen brug, der ikke er klassificeret som højrisiko og allerede er bragt i omsætning eller ibrugtaget, på en sådan måde, at det pågældende AI-system bliver et højrisiko-AI-system i overensstemmelse med artikel 6.

2. Hvis de omstændigheder, der er omhandlet i stk. 1, indtræffer, anses den udbyder, der oprindeligt bragte AI-systemet i omsætning eller ibrugtog det, ikke længere for at være udbyder af dette specifikke AI-system i denne forordnings forstand. Denne oprindelige udbyder skal arbejde tæt sammen med nye udbydere og stille de nødvendige oplysninger til rådighed og give den teknisk adgang og anden bistand, som med rimelighed kan forventes, og som kræves for at opfylde forpligtelserne i denne forordning, navnlig hvad angår overholdelse af overensstemmelsesvurderingen af højrisiko-AI-systemer. Dette stykke finder ikke anvendelse i de tilfælde, hvor den oprindelige udbyder klart har præciseret, at dennes AI-system ikke skal ændres til et højrisiko-AI-system og dermed ikke er omfattet af forpligtelsen til at udlevere dokumentationen.

3. Hvad angår højrisiko-AI-systemer, der er sikkerhedskomponenter i produkter, der er omfattet af EU-harmoniseringslovgivningen opført i bilag I, afsnit A, anses producenten for at være udbyderen af højrisiko-AI-systemet og underlægges forpligtelserne i henhold til artikel 16 i følgende tilfælde:

a) Højrisiko-AI-systemet bringes i omsætning sammen med produktet under producentens navn eller varemærke.

b) Højrisiko-AI-systemet ibrugtages under producentens navn eller varemærke, efter at produktet er bragt i omsætning.

4. Udbyderen af et højrisiko-AI-system og den tredjepart, der leverer et AI-system, værktøjer, tjenester, komponenter eller processer, der anvendes eller integreres i et højrisiko-AI-system, skal ved skriftlig aftale præcisere de nødvendige oplysninger, kapacitet, teknisk adgang og anden bistand på grundlag af det generelt anerkendte aktuelle teknologiske niveau, så udbydere af højrisiko-AI-systemet er i stand til fuldt ud at overholde forpligtelserne i denne forordning. Dette stykke finder ikke anvendelse på tredjeparter, der gør andre værktøjer, tjenester, processer eller komponenter, der ikke er AI-modeller til almen brug, tilgængelige for offentligheden i henhold til en gratis open source-licens.

AI-kontoret kan udvikle og anbefale frivillige standardaftalevilkår mellem udbydere af højrisiko-AI-systemer og tredjeparter, der leverer værktøjer, tjenester, komponenter eller processer, som anvendes til eller integreres i højrisiko-AI-systemer. Når AI-kontoret udarbejder disse frivillige standardaftalevilkår, tager det også hensyn til eventuelle kontraktlige krav, der gælder i specifikke sektorer eller forretningsscenarier. De frivillige standardaftalevilkår offentliggøres og stilles gratis til rådighed i et letanvendeligt elektronisk format.

5. Stk. 2 og 3 berører ikke behovet for at overholde og beskytte intellektuelle ejendomsrettigheder, fortrolige forretningsoplysninger og forretningshemmeligheder i overensstemmelse med EU-retten og national ret.

Artikel 26

Forpligtelser for idriftsættere af højrisiko-AI-systemer

1. Idriftsættere af højrisiko-AI-systemer træffer passende tekniske og organisatoriske foranstaltninger for at sikre, at de anvender disse systemer i overensstemmelse med den brugsanvisning, der ledsager systemerne, jf. stk. 3 og 6.

2. Idriftsættere overdrager varetagelsen af det menneskelige tilsyn til fysiske personer, der har den nødvendige kompetence, uddannelse og myndighed samt den nødvendige støtte.

3. Forpligtelserne i stk. 1 og 2 berører ikke andre idriftsætterforpligtelser i henhold til EU-retten eller national ret eller idriftsætterens frihed til at tilrettelægge sine egne ressourcer og aktiviteter med henblik på at gennemføre de af udbyderen angivne foranstaltninger til menneskeligt tilsyn.

4. Uden at dette berører stk. 1 og 2, og i det omfang idriftsætteren udøver kontrol over inputdataene, sikrer denne idriftsætter, at inputdataene er relevante og tilstrækkeligt repræsentative med henblik på højrisiko-AI-systemets tilsigtede formål.

5. Idriftsættere overvåger driften af højrisiko-AI-systemet på grundlag af brugsanvisningen og underretter, hvis det er relevant, udbyderne i overensstemmelse med artikel 72. Hvis idriftsættere har grund til at mene, at anvendelsen af højrisiko-AI-systemet i overensstemmelse med anvisningerne kan resultere i, at AI-systemet udgør en risiko som omhandlet i artikel 79, stk. 1, underretter de uden unødigt ophold udbyderen eller distributøren og den relevante markedsovervågningsmyndighed og stiller anvendelsen af dette system i bero. Hvis idriftsættere har konstateret en alvorlig hændelse, underretter de også omgående først udbyderen og dernæst importøren eller distributøren og de relevante markedsovervågningsmyndigheder om den pågældende hændelse. Hvis idriftsætteren ikke er i stand til at kontakte udbyderen, finder artikel 73 tilsvarende anvendelse. Denne forpligtelse omfatter ikke følsomme operationelle data fra idriftsættere af AI-systemer, som er retshåndhævende myndigheder.

For idriftsættere, der er finansielle institutioner, som er underlagt krav vedrørende deres interne ledelse, ordninger eller processer i henhold til EU-retten om finansielle tjenesteydelser, anses overvågningsforpligtelsen i første afsnit for at være opfyldt ved overholdelse af reglerne om ordninger, processer og mekanismer for intern ledelse i henhold til den relevante ret om finansielle tjenesteydelser.

6. Idriftsættere af højrisiko-AI-systemer opbevarer de logfiler, der genereres automatisk af det pågældende højrisiko-AI-system, i det omfang sådanne logfiler er under deres kontrol, i en periode, der er passende i forhold til det tilsigtede formål med højrisiko-AI-systemet, på mindst seks måneder, medmindre andet er fastsat i gældende EU-ret eller national ret, navnlig EU-retten om beskyttelse af personoplysninger.

Idriftsættere, der er finansielle institutioner, som er underlagt krav vedrørende deres interne ledelse, ordninger eller processer i henhold til EU-retten om finansielle tjenesteydelser, beholder logfilerne som en del af den dokumentation, der opbevares i henhold til den relevante EU-ret om finansielle tjenesteydelser.

7. Inden ibrugtagning eller anvendelse af et højrisiko-AI-system på arbejdspladsen informerer idriftsættere, som er arbejdsgivere, arbejdstagerrepræsentanter og de berørte arbejdstagere om, at de vil være omfattet af anvendelsen af højrisiko-AI-systemet. Denne information forelægges, hvis det er relevant, i overensstemmelse med de regler og procedurer, der er fastsat i EU-retten og EU-praksis og national ret og praksis om informering af arbejdstagere og deres repræsentanter.

8. Idriftsættere af højrisiko-AI-systemer, der er offentlige myndigheder eller EU-institutioner, -organer, -kontorer eller -agenturer, overholder de registreringsforpligtelser, der er omhandlet i artikel 49. Når sådanne idriftsættere konstaterer, at det højrisiko-AI-system, de påtænker at anvende, ikke er registreret i den EU-database, der er omhandlet i artikel 71, anvender de ikke dette system og underretter leverandøren eller distributøren.

9. Hvis det er relevant, anvender idriftsættere af højrisiko-AI-systemer de oplysninger, der er fastsat i henhold til denne forordnings artikel 13, til at overholde deres forpligtelse til at foretage en konsekvensanalyse vedrørende databeskyttelse i henhold til artikel 35 i forordning (EU) 2016/679 eller artikel 27 i direktiv (EU) 2016/680.

10. Uden at det berører direktiv (EU) 2016/680, anmoder idriftsætteren af et højrisiko-AI-system til efterfølgende biometrisk fjernidentifikation inden for rammerne af en efterforskning med henblik på en målrettet eftersøgning af en person, der er mistænkt eller tiltalt for at have begået en strafbar handling, om tilladelse fra en judiciel myndighed eller en administrativ myndighed, hvis afgørelse er bindende og underlagt domstolskontrol, til på forhånd eller uden unødigt ophold og senest inden for 48 timer at anvende det pågældende system, medmindre det anvendes til indledende identifikation af en potentiel mistænkt på grundlag af objektive og verificerbare kendsgerninger, der er direkte knyttet til overtrædelsen. Hver anvendelse begrænses til, hvad der er strengt nødvendigt for efterforskningen af en specifik strafbar handling.

Hvis den tilladelse, der er anmodet om i henhold til første afsnit, afvises, bringes anvendelsen af systemet til efterfølgende biometrisk fjernidentifikation, der er knyttet til denne tilladelse, der anmodes om, straks til ophør, og de personoplysninger, der er knyttet til anvendelsen af det højrisiko-AI-system, som der blev anmodet om tilladelse til, slettes. Et sådant højrisiko-AI-system til efterfølgende biometrisk fjernidentifikation må under ingen omstændigheder anvendes til retshåndhævelsesformål på en ikkemålrettet måde uden nogen forbindelse til en strafbar handling, en straffesag, en reel og aktuel eller reel og forudsigelig trussel om en strafbar handling eller eftersøgning af en specifik forsvundet person. Det sikres, at der ikke træffes nogen afgørelse, der har negative retsvirkninger for en person, af de retshåndhævende myndigheder, udelukkende baseret på outputtet af sådanne systemer til efterfølgende biometrisk fjernidentifikation.

Dette stykke berører ikke artikel 9 i forordning (EU) 2016/679 og artikel 10 i direktiv (EU) 2016/680 med hensyn til behandling af biometriske data.

Uanset formålet eller idriftsætteren skal hver anvendelse af sådanne højrisiko-AI-systemer dokumenteres i det relevante politiregister og efter anmodning stilles til rådighed for den relevante markedsovervågningsmyndighed og den nationale databeskyttelsesmyndighed, undtagen hvis det drejer sig om videregivelse af følsomme operationelle data vedrørende retshåndhævelse. Dette afsnit berører ikke de beføjelser, der tillægges tilsynsmyndighederne ved direktiv (EU) 2016/680.

Idriftsættere forelægger årlige rapporter for de relevante markedsovervågningsmyndigheder og de relevante nationale databeskyttelsesmyndigheder om deres anvendelse af systemer til efterfølgende biometrisk fjernidentifikation, undtagen hvis det drejer sig om videregivelse af følsomme operationelle data vedrørende retshåndhævelse. Rapporterne kan samles for at dække mere end én idriftsættelse.

Medlemsstaterne kan i overensstemmelse med EU-retten indføre mere restriktiv lovgivning om anvendelsen af systemer til efterfølgende biometrisk fjernidentifikation.

11. Uden at det berører denne forordnings artikel 50, underretter idriftsættere af de i bilag III omhandlede højrisiko-AI-systemer, der træffer beslutninger eller bistår med at træffe beslutninger vedrørende fysiske personer, de fysiske personer om, at de er genstand for anvendelsen af et højrisiko-AI-system. For højrisiko-AI-systemer, der anvendes til retshåndhævelsesformål, finder artikel 13 i direktiv (EU) 2016/680 anvendelse.

12. Idriftsættere samarbejder med de relevante kompetente myndigheder om ethvert tiltag, som disse myndigheder foretager vedrørende højrisiko-AI-systemet, med henblik på gennemførelse af denne forordning.

Artikel 27

Konsekvensanalyse vedrørende grundlæggende rettigheder for højrisiko-AI-systemer

1. Inden idriftsættelse af et højrisiko-AI-system omhandlet i artikel 6, stk. 2, undtagen højrisiko-AI-systemer, der tilsigtes anvendt på det område, der er anført i bilag III, punkt 2, foretager idriftsættere, der er offentligretlige organer eller private enheder, der leverer offentlige tjenester, og idriftsættere af de højrisiko-AI-systemer, der er omhandlet i bilag III, punkt 5, litra b) og c), en analyse af konsekvensen for grundlæggende rettigheder, som anvendelsen af et sådant system kan medføre. Med henblik herpå foretager idriftsætterne en konsekvensanalyse bestående af:

a) en beskrivelse af idriftsætterens processer, i hvilke højrisiko-AI-systemet vil blive anvendt i overensstemmelse med dets tilsigtede formål

b) en beskrivelse af den periode og hyppighed, inden for hvilken hvert højrisiko-AI-system tilsigtes anvendt

c) de kategorier af fysiske personer og grupper, som forventes at blive påvirket af dets anvendelse i den specifikke kontekst

d) de specifikke risici for skade, der sandsynligvis vil påvirke de kategorier af fysiske personer eller grupper af personer, som er identificeret i henhold til dette stykkes litra c), under hensyntagen til oplysningerne fra udbyderen, jf. artikel 13

e) en beskrivelse af gennemførelsen af foranstaltninger til menneskeligt tilsyn i overensstemmelse med brugsanvisningen

f) de foranstaltninger, der skal træffes, hvis disse risici opstår, herunder ordningerne for intern ledelse og klagemekanismer.

2. Den i stk. 1 fastsatte forpligtelse gælder for den første anvendelse af højrisiko-AI-systemet. Idriftsætteren kan i lignende tilfælde anvende tidligere gennemførte konsekvensanalyser vedrørende grundlæggende rettigheder eller eksisterende konsekvensanalyser, som udbyderen har foretaget. Hvis idriftsætteren under anvendelsen af højrisiko-AI-systemet finder, at nogle af de elementer, der er anført i stk. 1, har ændret sig eller ikke længere er ajourførte, tager idriftsætteren de nødvendige skridt til at ajourføre oplysningerne.

3. Når den i stk. 1 omhandlede konsekvensanalyse er foretaget, meddeler idriftsætteren markedsovervågningsmyndigheden resultaterne heraf og forelægger den i denne artikels stk. 5 omhandlede udfyldte skabelon som en del af meddelelsen. I det tilfælde, som er omhandlet i artikel 46, stk. 1, kan idriftsættere undtages fra denne meddelelsespligt.

4. Hvis nogle af de forpligtelser, der er fastsat i denne artikel, allerede er opfyldt ved den konsekvensanalyse vedrørende databeskyttelse, der foretages i henhold til artikel 35 i forordning (EU) 2016/679 eller artikel 27 i direktiv (EU) 2016/680, supplerer den i nærværende artikels stk. 1 omhandlede konsekvensanalyse vedrørende grundlæggende rettigheder den pågældende konsekvensanalyse vedrørende databeskyttelse.

5. AI-kontoret udarbejder en skabelon til et spørgeskema, herunder gennem et automatiseret værktøj, der skal gøre det lettere for idriftsættere at overholde deres forpligtelser i henhold til denne artikel på en forenklet måde.

AFDELING 4

Bemyndigende myndigheder og bemyndigede organer

Artikel 28

Bemyndigende myndigheder

1. Hver medlemsstat udpeger eller opretter mindst én bemyndigende myndighed med ansvar for at indføre og gennemføre de nødvendige procedurer for vurdering, udpegelse og notifikation af overensstemmelsesvurderingsorganer og for overvågning heraf. Disse procedurer udvikles i samarbejde mellem de bemyndigende myndigheder i alle medlemsstater.

2. Medlemsstaterne kan beslutte, at den i stk. 1 omhandlede vurdering og overvågning skal foretages af et nationalt akkrediteringsorgan som omhandlet i og i overensstemmelse med forordning (EF) nr. 765/2008.

3. Bemyndigende myndigheder oprettes, organiseres og drives på en sådan måde, at der ikke opstår interessekonflikter med overensstemmelsesvurderingsorganerne, og at der sikres objektivitet og uvildighed i deres aktiviteter.

4. Bemyndigende myndigheder er organiseret på en sådan måde, at afgørelser om notifikation af overensstemmelsesvurderingsorganer træffes af kompetente personer, der ikke er identiske med dem, der har foretaget vurderingen af disse organer.

5. Bemyndigende myndigheder hverken tilbyder eller leverer aktiviteter, som udføres af overensstemmelsesvurderingsorganer, eller nogen form for rådgivningstjeneste på kommercielt eller konkurrencemæssigt grundlag.

6. Bemyndigende myndigheder sikrer, at de oplysninger, de kommer i besiddelse af, behandles fortroligt i overensstemmelse med artikel 78.

7. Bemyndigende myndigheder skal have et tilstrækkelig stort kompetent personale til, at de kan udføre deres opgaver behørigt. Det kompetente personale skal have den ekspertise, der er nødvendig for deres funktion, hvis det er relevant, på områder såsom informationsteknologier, AI og jura, herunder tilsyn med grundlæggende rettigheder.

Artikel 29

Ansøgning om notifikation af et overensstemmelsesvurderingsorgan

1. Overensstemmelsesvurderingsorganer indgiver en ansøgning om notifikation til den bemyndigende myndighed i den medlemsstat, hvor de er etableret.

2. Ansøgningen om notifikation ledsages af en beskrivelse af de overensstemmelsesvurderingsaktiviteter, det eller de overensstemmelsesvurderingsmoduler og de typer AI-systemer, som overensstemmelsesvurderingsorganet hævder at være kompetent til, samt af en eventuel akkrediteringsattest udstedt af et nationalt akkrediteringsorgan, hvori det bekræftes, at overensstemmelsesvurderingsorganet opfylder kravene i artikel 31.

Alle gyldige dokumenter vedrørende eksisterende udpegelser af det ansøgende bemyndigede organ i henhold til enhver anden EU-harmoniseringslovgivning tilføjes.

3. Hvis det pågældende overensstemmelsesvurderingsorgan ikke kan forelægge en akkrediteringsattest, forelægger det den bemyndigende myndighed al den dokumentation, der er nødvendig for verifikationen, anerkendelsen og den regelmæssige overvågning af, at det overholder kravene i artikel 31.

4. For bemyndigede organer, der er udpeget i henhold til enhver anden EU-harmoniseringslovgivning, kan alle dokumenter og attester, der er knyttet til disse udpegelser, alt efter hvad der er relevant, anvendes til at understøtte deres udpegelsesprocedure i henhold til denne forordning. Det bemyndigede organ ajourfører den i denne artikels stk. 2 og 3 omhandlede dokumentation, når der sker relevante ændringer, for at give myndigheden med ansvar for bemyndigede organer mulighed for at overvåge og verificere, at alle krav i artikel 31 løbende er opfyldt.

Artikel 30

Notifikationsprocedure

1. De bemyndigende myndigheder må kun bemyndige overensstemmelsesvurderingsorganer, som opfylder kravene i artikel 31.

2. De bemyndigende myndigheder underretter Kommissionen og de øvrige medlemsstater om hvert overensstemmelsesvurderingsorgan, der er omhandlet i stk. 1, ved hjælp af det elektroniske notifikationsværktøj, der er udviklet og forvaltes af Kommissionen.

3. Den notifikationen, der er omhandlet i denne artikels stk. 2, skal indeholde fyldestgørende oplysninger om overensstemmelsesvurderingsaktiviteterne, overensstemmelsesvurderingsmodulet eller -modulerne, de pågældende typer AI-systemer og den relevante dokumentation for kompetencen. Hvis en bemyndigelse ikke er baseret på en akkrediteringsattest som omhandlet i artikel 29, stk. 2, skal den bemyndigende myndighed forelægge Kommissionen og de øvrige medlemsstater dokumentation, der bekræfter overensstemmelsesvurderingsorganets kompetence og de ordninger, der er indført for at sikre, at der regelmæssigt føres tilsyn med organet, og at organet også fremover vil opfylde de i artikel 31 fastsatte krav.

4. Det pågældende overensstemmelsesvurderingsorgan må kun udføre aktiviteter som bemyndiget organ, hvis Kommissionen og de øvrige medlemsstater ikke har gjort indsigelse inden for to uger efter en bemyndigende myndigheds notifikation, hvis den indeholder en akkrediteringsattest, jf. artikel 29, stk. 2, eller senest to måneder efter den bemyndigende myndigheds notifikation, hvis den indeholder den dokumentation, der er omhandlet i artikel 29, stk. 3.

5. Hvis der gøres indsigelse, hører Kommissionen straks de relevante medlemsstater og overensstemmelsesvurderingsorganet. Med henblik herpå træffer Kommissionen afgørelse om, hvorvidt tilladelsen er berettiget. Kommissionen retter sin afgørelse til den pågældende medlemsstat og det relevante overensstemmelsesvurderingsorgan.

Artikel 31

Krav vedrørende bemyndigede organer

1. Et bemyndiget organ skal oprettes i henhold til national ret i en medlemsstat og være en juridisk person.

2. Bemyndigede organer skal opfylde de organisatoriske krav samt de kvalitetsstyrings-, ressource- og procedurekrav, der er nødvendige for at kunne udføre deres opgaver, samt passende cybersikkerhedskrav.

3. Bemyndigede organers organisationsstruktur, ansvarsfordeling, rapporteringsveje og drift skal sikre, at der er tillid til deres arbejde og til resultaterne af de bemyndigede organers overensstemmelsesvurderingsaktiviteter.

4. Bemyndigede organer skal være uafhængige af udbyderen af højrisiko-AI-systemet, i forbindelse med hvilket de udfører overensstemmelsesvurderingsaktiviteter. Bemyndigede organer skal også være uafhængige af alle andre operatører, der har en økonomisk interesse i højrisiko-AI-systemer, der vurderes, og af enhver konkurrent til udbyderen. Dette er ikke til hinder for at anvende vurderede højrisiko-AI-systemer, som er nødvendige for overensstemmelsesvurderingsorganets drift, eller for at anvende sådanne højrisiko-AI-systemer til personlige formål.

5. Hverken overensstemmelsesvurderingsorganet, dets øverste ledelse eller det personale, der er ansvarligt for at udføre dets overensstemmelsesvurderingsopgaver, må være direkte involveret i udformningen, udviklingen, markedsføringen eller anvendelsen af højrisiko-AI-systemer eller repræsentere parter, der deltager i disse aktiviteter. De må ikke deltage i aktiviteter, som kan være i strid med deres objektivitet eller integritet, når de udfører de aktiviteter i forbindelse med overensstemmelsesvurdering, som de er bemyndiget til at udføre. Dette gælder navnlig rådgivningstjenester.

6. Bemyndigede organer skal være organiseret og arbejde på en sådan måde, at der i deres aktiviteter sikres uafhængighed, objektivitet og uvildighed. Bemyndigede organer skal dokumentere og gennemføre en struktur og procedurer til sikring af uvildighed og til fremme og anvendelse af principperne om uvildighed i hele deres organisation, hos alt deres personale og i alle deres vurderingsaktiviteter.

7. Bemyndigede organer skal have indført dokumenterede procedurer, der sikrer, at deres personale, udvalg, dattervirksomheder, underentreprenører og eventuelle tilknyttede organer eller personale i eksterne organer i overensstemmelse med artikel 78 opretholder fortroligheden af de oplysninger, som de kommer i besiddelse af under udførelsen af overensstemmelsesvurderingsaktiviteterne, undtagen når videregivelse heraf er påbudt ved lov. Bemyndigede organers personale har tavshedspligt med hensyn til alle oplysninger, det kommer i besiddelse af under udførelsen af sine opgaver i henhold til denne forordning, undtagen over for de bemyndigende myndigheder i den medlemsstat, hvor aktiviteterne udføres.

8. Bemyndigede organer skal have procedurer for udførelsen af aktiviteterne, der tager behørigt hensyn til en udbyders størrelse, til den sektor, som den opererer inden for, til dens struktur og til, hvor kompleks det pågældende AI-system er.

9. Bemyndigede organer skal tegne en passende ansvarsforsikring for deres overensstemmelsesvurderingsaktiviteter, medmindre ansvaret i overensstemmelse med national ret ligger hos den medlemsstat, i hvilken de er etableret, eller medlemsstaten selv er direkte ansvarlig for overensstemmelsesvurderingen.

10. Bemyndigede organer skal være i stand til at udføre alle deres opgaver i henhold til denne forordning med den størst mulige faglige integritet og den nødvendige kompetence på det specifikke område, uanset om disse opgaver udføres af bemyndigede organer selv eller på deres vegne og på deres ansvar.

11. Bemyndigede organer skal have tilstrækkelige interne kompetencer til at kunne evaluere de opgaver, der udføres af eksterne parter på deres vegne, effektivt. Det bemyndigede organ skal have permanent adgang til tilstrækkeligt administrativt, teknisk, juridisk og videnskabeligt personale med erfaring og viden vedrørende de relevante typer af AI-systemer, de relevante data og den relevante databehandling og vedrørende kravene i afdeling 2.

12. Bemyndigede organer skal deltage i det koordinerende arbejde, jf. artikel 38. De skal også deltage direkte eller være repræsenteret i de europæiske standardiseringsorganisationer eller sikre, at de har et ajourført kendskab til relevante standarder.

Artikel 32

Formodning om overensstemmelse med krav vedrørende bemyndigede organer

Hvis et overensstemmelsesvurderingsorgan påviser, at det er i overensstemmelse med kriterierne i de relevante harmoniserede standarder eller dele heraf, hvortil der er offentliggjort referencer i Den Europæiske Unions Tidende, formodes det at overholde kravene i artikel 31, for så vidt de gældende harmoniserede standarder dækker disse krav.

Artikel 33

Dattervirksomheder i tilknytning til bemyndigede organer og underentreprise

1. Hvis et bemyndiget organ giver bestemte opgaver i forbindelse med overensstemmelsesvurderingen i underentreprise eller anvender en dattervirksomhed, skal det sikre, at underentreprenøren eller dattervirksomheden opfylder kravene i artikel 31, og underrette den bemyndigende myndighed herom.

2. Bemyndigede organer har det fulde ansvar for de opgaver, som udføres af en underentreprenør eller dattervirksomhed.

3. Aktiviteter kan kun gives i underentreprise eller udføres af en dattervirksomhed, hvis udbyderen har givet sit samtykke hertil. Bemyndigede organer skal gøre en liste over deres dattervirksomheder offentligt tilgængelig.

4. De relevante dokumenter vedrørende vurderingen af underentreprenørens eller dattervirksomhedens kvalifikationer og det arbejde, som de har udført i henhold til denne forordning, stilles til rådighed for den bemyndigende myndighed i en periode på fem år fra datoen for afslutningen af underentreprisen.

Artikel 34

Bemyndigede organers operationelle forpligtelser

1. Bemyndigede organer skal verificere, at højrisiko-AI-systemer er i overensstemmelse med overensstemmelsesvurderingsprocedurerne i artikel 43.

2. Bemyndigede organer skal under udførelsen af deres aktiviteter undgå unødvendige byrder for udbyderne og tage behørigt hensyn til udbyderens størrelse, den sektor, som den opererer inden for, dens struktur og til, hvor kompleks det pågældende højrisiko-AI-system er, navnlig med henblik på at minimere administrative byrder og overholdelsesomkostninger for mikrovirksomheder og små virksomheder som omhandlet i henstilling 2003/361/EF. Det bemyndigede organ skal dog respektere den grad af strenghed og det beskyttelsesniveau, der kræves for, at højrisiko-AI-systemet overholder kravene i denne forordning.

3. Bemyndigede organer skal stille al relevant dokumentation til rådighed og efter anmodning forelægge denne, herunder udbyderens dokumentation, for den bemyndigende myndighed, der er omhandlet i artikel 28, så denne myndighed kan udføre sine vurderings-, udpegelses-, notifikations- og overvågningsaktiviteter og lette vurderingen anført i denne afdeling.

Artikel 35

Identifikationsnumre for og lister over bemyndigede organer

1. Kommissionen tildeler hvert bemyndiget organ ét identifikationsnummer, også selv om organet er notificeret i henhold til mere end én EU-retsakt.

2. Kommissionen offentliggør listen over organer, der er notificeret i henhold til denne forordning, herunder deres identifikationsnumre og de aktiviteter, med henblik på hvilke de er notificeret. Kommissionen sikrer, at listen ajourføres.

Artikel 36

Ændringer af notifikationer

1. Den bemyndigende myndighed meddeler Kommissionen og de øvrige medlemsstater alle relevante ændringer i notifikationen af et bemyndiget organ via det elektroniske notifikationsværktøj, der er omhandlet i artikel 30, stk. 2.

2. Procedurerne i artikel 29 og 30 finder anvendelse på udvidelser af rammerne for notifikationen.

Med hensyn til andre ændringer af notifikationen end udvidelser af rammerne for den, finder procedurerne i stk. 3-9 anvendelse.

3. Hvis et bemyndiget organ beslutter at indstille sine overensstemmelsesvurderingsaktiviteter, underretter det den bemyndigende myndighed og udbyderne hurtigst muligt og i tilfælde af planlagt indstilling mindst ét år, inden dets aktiviteter indstilles. Det bemyndigede organs attester kan forblive gyldige i en periode på ni måneder, efter at det bemyndigede organs aktiviteter er indstillet, forudsat at et andet bemyndiget organ skriftligt har bekræftet, at det vil påtage sig ansvaret for de højrisiko-AI-systemer, der er omfattet af disse attester. Sidstnævnte bemyndigede organ foretager en fuld vurdering af de berørte højrisiko-AI-systemer inden udgangen af denne periode på ni måneder, før det udsteder nye attester for disse systemer. Hvis det bemyndigede organ har indstillet sine aktiviteter, trækker den bemyndigende myndighed udpegelsen tilbage.

4. Hvis en bemyndigende myndighed har tilstrækkelig grund til at mene, at et bemyndiget organ ikke længere opfylder kravene i artikel 31, eller at det ikke opfylder sine forpligtelser, skal den bemyndigende myndighed hurtigst muligt undersøge sagen med den størst mulige omhu. I den forbindelse skal den underrette det berørte bemyndigede organ om sine indvendinger og giver det mulighed for at tilkendegive sine synspunkter. Hvis en bemyndigende myndighed konkluderer, at det bemyndigede organ ikke længere opfylder kravene i artikel 31, eller at det ikke opfylder sine forpligtelser, skal den begrænse, suspendere eller tilbagetrække udpegelsen, alt efter hvad der er relevant, afhængigt af hvor alvorlig den manglende opfyldelse af kravene eller forpligtelserne er. Den underretter omgående Kommissionen og de øvrige medlemsstater herom.

5. Hvis et bemyndiget organs udpegelse er blevet suspenderet, begrænset eller helt eller delvist tilbagetrukket, underretter dette organ de pågældende udbydere inden for ti dage.

6. Hvis en udpegelse begrænses, suspenderes eller tilbagetrækkes, træffer den bemyndigende myndighed de nødvendige foranstaltninger for at sikre, at det pågældende bemyndigede organs sager opbevares, og for at stille dem til rådighed for bemyndigende myndigheder i andre medlemsstater og for markedsovervågningsmyndighederne efter disses anmodning.

7. Hvis en udpegelse begrænses, suspenderes eller tilbagetrækkes, skal den bemyndigende myndighed:

a) vurdere indvirkningen på attester, der er udstedt af det bemyndigede organ

b) forelægge en rapport om sine resultater til Kommissionen og de øvrige medlemsstater senest tre måneder efter, at den har givet meddelelse om ændringerne af udpegelsen

c) pålægge det bemyndigede organ at suspendere eller tilbagetrække alle de attester, der uretmæssigt er blevet udstedt, inden for en rimelig tidsfrist, der fastsættes af myndigheden, for at sikre, at højrisiko-AI-systemer fortsat er i overensstemmelse hermed på markedet

d) underrette Kommissionen og medlemsstaterne om attester, som den har kræves suspenderet eller tilbagetrukket

e) give de nationale kompetente myndigheder i den medlemsstat, hvor udbyderen har sit registrerede forretningssted, alle relevante oplysninger om de attester, for hvilke den har krævet suspension eller tilbagetrækning. Den pågældende myndighed træffer de fornødne foranstaltninger, hvis det er nødvendigt, for at undgå en potentiel risiko for sundhed, sikkerhed eller grundlæggende rettigheder.

8. Med undtagelse af uretmæssigt udstedte attester og i tilfælde, hvor en udpegelse er blevet inddraget eller begrænset, vedbliver attesterne med at være gyldige i et af følgende tilfælde:

a) den bemyndigende myndighed har senest én måned efter suspensionen eller begrænsningen bekræftet, at der ikke er nogen risiko for sundhed, sikkerhed eller grundlæggende rettigheder vedrørende attester, der er berørt af suspensionen eller begrænsningen, og den bemyndigende myndighed har anført en frist for tiltag til at afhjælpe suspensionen eller begrænsningen, eller

b) den bemyndigende myndighed har bekræftet, at ingen attester af relevans for suspensionen vil blive udstedt, ændret eller genudstedt under suspensionen eller begrænsningen, og anfører, hvorvidt det bemyndigede organ har kapacitet til at fortsætte overvågningen og fortsat være ansvarligt for eksisterende udstedte attester i suspensions- eller begrænsningsperioden; hvis den bemyndigende myndighed fastslår, at det bemyndigede organ ikke er i stand til at støtte eksisterende udstedte attester, bekræfter udbyderen af det system, der er omfattet af attesten, senest tre måneder efter suspensionen eller begrænsningen skriftligt over for de nationale kompetente myndigheder i den medlemsstat, hvor vedkommende har sit registrerede forretningssted, at et andet kvalificeret bemyndiget organ midlertidigt varetager det bemyndigede organs funktioner med hensyn til at overvåge og forblive ansvarligt for attesterne i suspensions- eller begrænsningsperioden.

9. Med undtagelse af uretmæssigt udstedte attester og i tilfælde, hvor en udpegelse er blevet tilbagetrukket, vedbliver attesterne med at være gyldige i en periode på ni måneder i følgende tilfælde:

a) den nationale kompetente myndighed i den medlemsstat, hvor udbyderen af det højrisiko-AI-system, der er omfattet af attesten, har sit registrerede forretningssted, har bekræftet, at der ikke er nogen risiko for sundhed, sikkerhed eller grundlæggende rettigheder i forbindelse med de pågældende højrisiko-AI-systemer, og

b) et andet bemyndiget organ har skriftligt bekræftet, at det straks varetager ansvaret for disse AI-systemer, og færdiggør sin vurdering inden 12 måneder efter tilbagetrækning af udpegelsen.

Under de omstændigheder, der er omhandlet i første afsnit, kan den kompetente nationale myndighed i den medlemsstat, hvor udbyderen af det system, der er omfattet af attesten, har sit forretningssted, forlænge attesternes foreløbige gyldighed i yderligere perioder på tre måneder, dog i alt højst 12 måneder.

Den kompetente nationale myndighed eller det bemyndigede organ, der varetager funktionerne for det bemyndigede organ, der er berørt af ændringen af udpegelsen, underretter omgående Kommissionen, de øvrige medlemsstater og de øvrige bemyndigede organer herom.

Artikel 37

Anfægtelse af bemyndigede organers kompetence

1. Kommissionen undersøger om nødvendigt alle tilfælde, hvor der er grund til at betvivle et bemyndiget organs kompetence eller et bemyndiget organs fortsatte opfyldelse af kravene i artikel 31 og dets gældende ansvarsområder.

2. Den bemyndigende myndighed forelægger efter anmodning Kommissionen alle relevante oplysninger vedrørende notifikationen af det pågældende bemyndigede organ eller opretholdelsen af dets kompetence.

3. Kommissionen sikrer, at alle de følsomme oplysninger, som den kommer i besiddelse af som led i sine undersøgelser i henhold til denne artikel, behandles fortroligt i overensstemmelse med artikel 78.

4. Hvis Kommissionen konstaterer, at et bemyndiget organ ikke eller ikke længere opfylder kravene i forbindelse med sin notifikation, underretter den den bemyndigende medlemsstat herom og anmoder den om at træffe de nødvendige korrigerende foranstaltninger, herunder om nødvendigt suspension eller tilbagetrækning af notifikationen. Hvis den bemyndigende myndighed ikke træffer de nødvendige foranstaltninger, kan Kommissionen ved hjælp af en gennemførelsesretsakt suspendere, begrænse eller tilbagetrække udpegelsen. Denne gennemførelsesretsakt vedtages efter undersøgelsesproceduren, jf. artikel 98, stk. 2.

Artikel 38

Koordinering af bemyndigede organer

1. Kommissionen sikrer, at der med hensyn til højrisiko-AI-systemer etableres passende koordinering og samarbejde mellem de bemyndigede organer, der er aktive inden for overensstemmelsesvurderingsprocedurer i henhold til denne forordning, i form af en sektorspecifik gruppe af bemyndigede organer, og at det styres på forsvarlig måde.

2. Hver bemyndigende myndighed sørger for, at de organer, den har bemyndiget, deltager i arbejdet i en gruppe, jf. stk. 1, enten direkte eller gennem udpegede repræsentanter.

3. Kommissionen sørger for udveksling af viden og bedste praksis mellem de bemyndigede myndigheder.

Artikel 39

Tredjelandes overensstemmelsesvurderingsorganer

Overensstemmelsesvurderingsorganer, der er oprettet i henhold til retten i et tredjeland, med hvilket Unionen har indgået en aftale, kan godkendes til at udføre bemyndigede organers aktiviteter i henhold til denne forordning, forudsat at de opfylder kravene i artikel 31, eller at de sikrer et tilsvarende overensstemmelsesniveau.

AFDELING 5

Standarder, overensstemmelsesvurdering, attester, registrering

Artikel 40

Harmoniserede standarder og standardiseringsdokumentation

1. Højrisiko-AI-systemer eller AI-modeller til almen brug, som er i overensstemmelse med harmoniserede standarder eller dele heraf, hvis referencer er offentliggjort i Den Europæiske Unions Tidende i overensstemmelse med forordning (EU) nr. 1025/2012, formodes at være i overensstemmelse med kravene i dette kapitels afdeling 2 eller, alt efter hvad der er relevant, med forpligtelserne i nærværende forordnings kapitel V, afdeling 2 og 3, for så vidt de nævnte standarder omfatter disse krav eller forpligtelser.

2. I overensstemmelse med artikel 10 i forordning (EU) nr. 1025/2012 fremsætter Kommissionen uden unødigt ophold standardiseringsanmodninger, der dækker alle kravene i dette kapitels afdeling 2, og, alt efter hvad der er relevant, standardiseringsanmodninger, der dækker forpligtelserne i nærværende forordnings kapitel V, afdeling 2 og 3. I standardiseringsanmodningen anmodes der også om dokumentation vedrørende rapporterings- og dokumentationsprocesser med henblik på at forbedre AI-systemernes ressourceydeevne såsom reduktion af højrisiko-AI-systemets forbrug af energi og af andre ressourcer i løbet af dets livscyklus og vedrørende energieffektiv udvikling af AI-modeller til almen brug. I forbindelse med udarbejdelsen af en standardiseringsanmodning hører Kommissionen AI-udvalget og relevante interessenter, herunder det rådgivende forum.

Når Kommissionen fremsætter en standardiseringsanmodning til de europæiske standardiseringsorganisationer, præciserer den, at standarderne skal være klare, overensstemmende, herunder med de standarder, der er udviklet i de forskellige sektorer for produkter, der er omfattet af den gældende EU-harmoniseringslovgivning, som er opført i bilag I, og søge at sikre, at højrisiko-AI-systemer eller AI-modeller til almen brug, som bringes i omsætning eller tages i brug i Unionen, opfylder de relevante krav eller forpligtelser i nærværende forordning.

Kommissionen anmoder de europæiske standardiseringsorganisationer om at dokumentere deres bedste indsats for at nå de mål, der er omhandlet i dette stykkes første og andet afsnit, i overensstemmelse med artikel 24 i forordning (EU) nr. 1025/2012.

3. Deltagerne i standardiseringsprocessen skal søge at fremme investering og innovation inden for AI, herunder gennem øget retssikkerhed, samt EU-markedets konkurrenceevne og vækst, at bidrage til at styrke globalt samarbejde om standardisering og tage højde for eksisterende internationale standarder inden for kunstig intelligens, som stemmer overens med Unionens værdier, grundlæggende rettigheder og interesser, og at styrke multiinteressentforvaltning, der sikrer en afbalanceret repræsentation af interesser og effektiv deltagelse af alle relevante interessenter i overensstemmelse med artikel 5, 6 og 7 i forordning (EU) nr. 1025/2012.

Artikel 41

Fælles specifikationer

1. Kommissionen kan vedtage gennemførelsesretsakter om fastlæggelse af fælles specifikationer for kravene i dette kapitels afdeling 2 eller, alt efter hvad der er relevant, for forpligtelserne i kapitel V, afdeling 2 og 3, hvis følgende betingelser er opfyldt:

a) Kommissionen har i henhold til artikel 10, stk. 1, i forordning (EU) nr. 1025/2012 anmodet en eller flere europæiske standardiseringsorganisationer om at udarbejde en harmoniseret standard for kravene i dette kapitels afdeling 2 eller, hvis det er relevant, for forpligtelserne i kapitel V, afdeling 2 og 3, og:

i) anmodningen er ikke blevet imødekommet af nogen af de europæiske standardiseringsorganisationer, eller

ii) de harmoniserede standarder, der behandler den pågældende anmodning, er ikke blevet leveret inden for den frist, der er fastsat i overensstemmelse med artikel 10, stk. 1, i forordning (EU) nr. 1025/2012, eller

iii) de relevante harmoniserede standarder tager ikke i tilstrækkelig grad hensyn til de grundlæggende rettigheder, eller

iv) de harmoniserede standarder er ikke i overensstemmelse med anmodningen, og

b) ingen reference til harmoniserede standarder, der dækker de krav, der er omhandlet i dette kapitels afdeling 2, eller, hvis det er relevant, forpligtelserne i kapitel V, afdeling 2 og 3, er offentliggjort i Den Europæiske Unions Tidende i overensstemmelse med forordning (EU) nr. 1025/2012, og ingen reference af denne art forventes at blive offentliggjort inden for et rimeligt tidsrum.

Når Kommissionen udarbejder de fælles specifikationer, skal den høre det rådgivende forum, der er omhandlet i artikel 67.

De gennemførelsesretsakter, der er omhandlet i dette stykkes første afsnit, vedtages efter undersøgelsesproceduren, jf. artikel 98, stk. 2.

2. Inden Kommissionen udarbejder et udkast til gennemførelsesretsakt, underretter den det udvalg, der er omhandlet i artikel 22 i forordning (EU) nr. 1025/2012, om, at den anser betingelserne i nærværende artikels stk. 1 for opfyldt.

3. Højrisiko-AI-systemer eller AI-modeller til almen brug, som er i overensstemmelse med de fælles specifikationer, der er omhandlet i stk. 1, eller dele af disse specifikationer, formodes at være i overensstemmelse med kravene fastsat i dette kapitels afdeling 2 eller, alt efter hvad der er relevant, at overholde forpligtelserne omhandlet i kapital V, afdeling 2 og 3, for så vidt de nævnte fælles specifikationer omfatter disse forpligtelser.

4. Hvis en europæisk standardiseringsorganisation vedtager en harmoniseret standard og fremlægger denne for Kommissionen med henblik på offentliggørelse af referencen hertil i Den Europæiske Unions Tidende, skal Kommissionen foretage en vurdering af den harmoniserede standard i overensstemmelse med forordning (EU) nr. 1025/2012. Når referencen til en harmoniseret standard offentliggøres i Den Europæiske Unions Tidende, ophæver Kommissionen de gennemførelsesretsakter, der er omhandlet i stk. 1, eller dele deraf, der omfatter de samme krav, der er fastsat i dette kapitels afdeling 2 eller, hvis det er relevant, at de samme forpligtelser, der er fastsat i kapital V, afdeling 2 og 3.

5. Hvis udbydere af højrisiko-AI-systemer eller AI-modeller til almen brug ikke overholder de fælles specifikationer, der er omhandlet i stk. 1, skal de behørigt begrunde, at de har indført tekniske løsninger, der opfylder de krav, der er omhandlet i dette kapitels afdeling 2 eller, alt efter hvad der er relevant, overholder de forpligtelser, der er fastsat i kapital V, afdeling 2 og 3, i et omfang, som mindst svarer hertil.

6. Hvis en medlemsstat finder, at en fælles specifikation ikke fuldt ud opfylder kravene fastsat i afdeling 2 eller, alt efter hvad der er relevant, overholder forpligtelserne fastsat i kapital V, afdeling 2 og 3, underretter den Kommissionen herom med en detaljeret redegørelse. Kommissionen vurderer disse oplysninger og ændrer, hvis det er relevant, gennemførelsesretsakten om fastlæggelse af den pågældende fælles specifikation.

Artikel 42

Formodning om overensstemmelse med visse krav

1. Højrisiko-AI-systemer, der er blevet trænet og afprøvet på data, som afspejler de specifikke geografiske, adfærdsmæssige, kontekstuelle eller funktionelle rammer, som de tilsigtes anvendt inden for, formodes at overholde de relevante krav i artikel 10, stk. 4.

2. Højrisiko-AI-systemer, der er certificeret, eller for hvilke der er udstedt en overensstemmelseserklæring i henhold til en cybersikkerhedsordning i henhold til forordning (EU) 2019/881, og hvis referencer er offentliggjort i Den Europæiske Unions Tidende, formodes at overholde cybersikkerhedskravene i nærværende forordnings artikel 15, såfremt cybersikkerhedsattesten eller overensstemmelseserklæringen eller dele heraf dækker disse krav.

Artikel 43

Overensstemmelsesvurdering

1. Hvad angår højrisiko-AI-systemer, der er opført i bilag III, punkt 1, skal udbyderen, såfremt denne ved påvisningen af, at et højrisiko-AI-system overholder kravene i afdeling 2, har anvendt harmoniserede standarder omhandlet i artikel 40 eller, hvis det er relevant, fælles specifikationer omhandlet i artikel 41, vælge en af følgende overensstemmelsesvurderingsprocedurer på grundlag af:

a) intern kontrol omhandlet i bilag VI, eller

b) vurdering af kvalitetsstyringssystemet og vurdering af den tekniske dokumentation med inddragelse af et bemyndiget organ omhandlet i bilag VII.

Ved påvisning af et højrisiko-AI-systems overensstemmelse med kravene i afdeling 2 følger udbyderen overensstemmelsesvurderingsproceduren i bilag VII, hvis:

a) der ikke findes harmoniserede standarder omhandlet i artikel 40, og der ikke findes fælles specifikationer omhandlet i artikel 41

b) udbyderen ikke har anvendt eller kun har anvendt en del af den harmoniserede standard

c) de i litra a) omhandlede fælles specifikationer findes, men udbyderen ikke har anvendt dem

d) én eller flere af de i litra a) omhandlede harmoniserede standarder er blevet offentliggjort med en begrænsning og kun med hensyn til den del af standarden, som er genstand for begrænsning.

Med henblik på den overensstemmelsesvurderingsprocedure, der er omhandlet i bilag VII, kan udbyderen vælge hvilket som helst af de bemyndigede organer. Hvis højrisiko-AI-systemet tilsigtes ibrugtaget af retshåndhævende myndigheder, indvandringsmyndigheder, asylmyndigheder eller EU-institutioner, -organer, -kontorer eller -agenturer, fungerer den markedsovervågningsmyndighed, der er omhandlet i artikel 74, stk. 8 eller 9, alt efter hvad der er relevant, imidlertid som bemyndiget organ.

2. Hvad angår de højrisiko-AI-systemer, der er omhandlet i bilag III, punkt 2-8, skal udbyderne følge overensstemmelsesvurderingsproceduren på grundlag af intern kontrol som omhandlet i bilag VI, som ikke foreskriver inddragelse af et bemyndiget organ.

3. For højrisiko-AI-systemer, som er omfattet af EU-harmoniseringslovgivningen, der er opført i bilag I, afsnit A, skal udbyderen følge den relevante overensstemmelsesvurderingsprocedure som krævet i henhold til disse retsakter. Kravene i dette kapitels afdeling 2 finder anvendelse på disse højrisiko-AI-systemer og skal indgå i den nævnte vurdering. Punkt 4.3, 4.4 og 4.5 samt bilag VII, punkt 4.6, femte afsnit, finder også anvendelse.

Med henblik på denne vurdering har bemyndigede organer, der er blevet notificeret i henhold til disse retsakter, ret til at kontrollere højrisiko-AI-systemernes overensstemmelse med kravene i afdeling 2, forudsat at disse bemyndigede organers overholdelse af kravene i artikel 31, stk. 4, 5, 10 og 11, er blevet vurderet i forbindelse med notifikationsproceduren i henhold til disse retsakter.

Hvis en retsakt, der er opført i bilag I, afsnit A, giver producenten mulighed for at fravælge en af tredjepart udført overensstemmelsesvurdering, forudsat at producenten har anvendt alle de harmoniserede standarder, der omfatter alle de relevante krav, kan producenten kun anvende denne mulighed, hvis vedkommende også har anvendt harmoniserede standarder eller, hvis det er relevant, fælles specifikationer omhandlet i artikel 41, der omfatter alle kravene i dette kapitels afdeling 2.

4. Højrisiko-AI-systemer, der allerede har været genstand for en overensstemmelsesvurderingsprocedure, skal underkastes en ny overensstemmelsesvurderingsprocedure i tilfælde af væsentlige ændringer, uanset om det ændrede system tilsigtes videredistribueret eller fortsat anvendes af den nuværende idriftsætter.

For højrisiko-AI-systemer, der bliver ved med at lære efter at være bragt i omsætning eller ibrugtaget, udgør ændringer af højrisiko-AI-systemet og dets ydeevne, som udbyderen har fastlagt på forhånd på tidspunktet for den indledende overensstemmelsesvurdering, og som er en del af oplysningerne i den tekniske dokumentation, der er omhandlet i bilag IV, punkt 2, litra f), ikke en væsentlig ændring.

5. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 97 for at ændre bilag VI og VII ved at ajourføre dem i lyset af den tekniske udvikling.

6. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 97 for at ændre nærværende artikels stk. 1 og 2 for at underkaste de i bilag III, punkt 2-8, omhandlede højrisiko-AI-systemer overensstemmelsesvurderingsproceduren i bilag VII eller dele heraf. Kommissionen vedtager sådanne delegerede retsakter under hensyntagen til effektiviteten af overensstemmelsesvurderingsproceduren på grundlag af intern kontrol omhandlet i bilag VI med hensyn til at forebygge eller minimere de risici for sundhed, sikkerhed og beskyttelsen af de grundlæggende rettigheder, som sådanne systemer medfører, samt hvorvidt der er tilstrækkelig kapacitet og ressourcer i de bemyndigede organer.

Artikel 44

Attester

1. Attester, der udstedes af bemyndigede organer i overensstemmelse med bilag VII, udfærdiges på et sprog, som er letforståeligt for de relevante myndigheder i den medlemsstat, hvor det bemyndigede organ er etableret.

2. Attester er gyldige i den periode, de angiver, og som ikke må overstige fem år for AI-systemer, der er omfattet af bilag I, og fire år for AI-systemer, der er omfattet af bilag III. På udbyderens anmodning kan en attests gyldighedsperiode forlænges med yderligere perioder på hver højst fem år for AI-systemer, der er omfattet af bilag I, og fire år for AI-systemer, der er omfattet af bilag III, på grundlag af en fornyet vurdering i overensstemmelse med gældende overensstemmelsesvurderingsprocedurer. Et eventuelt tillæg til en attest forbliver gyldigt, forudsat at den attest, det supplerer, er gyldig.

3. Hvis et bemyndiget organ fastslår, at et AI-system ikke længere opfylder kravene i afdeling 2, skal det under iagttagelse af proportionalitetsprincippet suspendere eller tilbagetrække den udstedte attest eller begrænse den, medmindre udbyderen af systemet gennem passende korrigerende tiltag og inden for en passende frist fastsat af det bemyndigede organ sikrer overholdelse af de pågældende krav. Det bemyndigede organ skal begrunde sin afgørelse.

De bemyndigede organers afgørelser, herunder om udstedte overensstemmelsesattester, skal kunne appelleres.

Artikel 45

Oplysningsforpligtelser for bemyndigede organer

1. Bemyndigede organer skal oplyse den bemyndigende myndighed om følgende:

a) alle EU-vurderingsattester for teknisk dokumentation, eventuelle tillæg til disse attester og eventuelle godkendelser af kvalitetsstyringssystemer, der er udstedt i overensstemmelse med kravene i bilag VII

b) alle afslag på, begrænsninger af, suspensioner af eller tilbagetrækninger af EU-vurderingsattester for teknisk dokumentation eller godkendelser af kvalitetsstyringssystemer udstedt i overensstemmelse med kravene i bilag VII

c) alle forhold, der har indflydelse på omfanget af eller betingelserne for notifikationen

d) alle anmodninger om oplysninger om overensstemmelsesvurderingsaktiviteter, som de har modtaget fra markedsovervågningsmyndighederne

e) efter anmodning, overensstemmelsesvurderingsaktiviteter, der er udført inden anvendelsesområdet for deres notifikation, og enhver anden aktivitet, der er udført, herunder grænseoverskridende aktiviteter og underentreprise.

2. Hvert bemyndiget organ skal underrette de øvrige bemyndigede organer om:

a) afviste, suspenderede eller tilbagetrukne godkendelser af kvalitetsstyringssystemer samt, efter anmodning, udstedte godkendelser af kvalitetsstyringssystemer

b) EU-vurderingsattester for teknisk dokumentation eller tillæg hertil, som det har afvist, tilbagetrukket, suspenderet eller på anden måde begrænset, og, efter anmodning, de attester og/eller tillæg hertil, som det har udstedt.

3. Hvert bemyndiget organ skal give de øvrige bemyndigede organer, som udfører lignende overensstemmelsesvurderingsaktiviteter vedrørende de samme typer AI-systemer, relevante oplysninger om spørgsmål vedrørende negative og, efter anmodning, positive overensstemmelsesvurderingsresultater.

4. Bemyndigende myndigheder sikrer, at de oplysninger, de kommer i besiddelse af, behandles fortroligt i overensstemmelse med artikel 78.

Artikel 46

Undtagelse fra overensstemmelsesvurderingsprocedure

1. Uanset artikel 43 og efter behørigt begrundet anmodning kan enhver markedsovervågningsmyndighed tillade, at specifikke højrisiko-AI-systemer bringes i omsætning eller ibrugtages på den pågældende medlemsstats område af ekstraordinære hensyn til den offentlige sikkerhed eller beskyttelse af menneskers liv og sundhed, miljøbeskyttelse eller beskyttelse af centrale industrielle og infrastrukturmæssige aktiver. Tilladelsen gælder kun for en begrænset periode, mens de nødvendige overensstemmelsesvurderingsprocedurer gennemføres, under hensyntagen til de ekstraordinære hensyn, der begrunder undtagelsen. Gennemførelsen af disse procedurer skal ske uden unødigt ophold.

2. I behørigt begrundede hastende tilfælde af ekstraordinære hensyn til den offentlige sikkerhed eller i tilfælde af en specifik, væsentlig og overhængende fare for fysiske personers liv eller fysiske sikkerhed kan de retshåndhævende myndigheder eller civilbeskyttelsesmyndighederne ibrugtage et specifikt højrisiko-AI-system uden den tilladelse, der er omhandlet i stk. 1, forudsat at der anmodes om en sådan tilladelse under eller efter anvendelsen uden unødigt ophold. Hvis den i stk. 1 omhandlede tilladelse afvises, skal anvendelsen af højrisiko-AI-systemet indstilles med øjeblikkelig virkning, og alle resultater og output af en sådan anvendelse skal omgående kasseres.

3. Den i stk. 1 omhandlede tilladelse udstedes kun, hvis markedsovervågningsmyndigheden konkluderer, at højrisiko-AI-systemet overholder kravene i afdeling 2. Markedsovervågningsmyndigheden underretter Kommissionen og de øvrige medlemsstater om enhver tilladelse, der udstedes i henhold til stk. 1 og 2. Denne forpligtelse omfatter ikke følsomme operationelle oplysninger i forbindelse med de retshåndhævende myndigheders aktiviteter.

4. Hvis der ikke inden for 15 kalenderdage efter modtagelsen af de i stk. 3 omhandlede oplysninger er blevet gjort indsigelse af en medlemsstat eller Kommissionen mod en tilladelse udstedt af en markedsovervågningsmyndighed i en medlemsstat i overensstemmelse med stk. 1, anses denne tilladelse for at være berettiget.

5. Hvis en medlemsstat inden for 15 kalenderdage efter modtagelsen af den i stk. 3 omhandlede underretning gør indsigelse mod en tilladelse, der er udstedt af en markedsovervågningsmyndighed i en anden medlemsstat, eller hvis Kommissionen finder, at tilladelsen er i strid med EU-retten, eller at medlemsstaternes konklusion vedrørende systemets overholdelse af kravene som omhandlet i stk. 3 er ubegrundet, hører Kommissionen straks den relevante medlemsstat. Operatørerne skal høres og have mulighed for at fremsætte deres synspunkter. På denne baggrund træffer Kommissionen afgørelse om, hvorvidt tilladelsen er berettiget. Kommissionen retter sin afgørelse til den pågældende medlemsstat og til de relevante operatører.

6. Hvis Kommissionen finder, at tilladelsen er uberettiget, tilbagetrækkes den af markedsovervågningsmyndigheden i den pågældende medlemsstat.

7. For højrisiko-AI-systemer vedrørende produkter, der er omfattet af EU-harmoniseringslovgivningen, som er opført i bilag I, afsnit A, finder kun undtagelserne fra overensstemmelsesvurderingen, der er fastsat i den pågældende EU-harmoniseringslovgivning, anvendelse.

Artikel 47

EU-overensstemmelseserklæring

1. Udbyderen udarbejder en skriftlig, maskinlæsbar, fysisk eller elektronisk undertegnet EU-overensstemmelseserklæring for hvert højrisiko-AI-system og opbevarer den, så den i ti år efter, at højrisiko-AI-systemet er blevet bragt i omsætning eller ibrugtaget, står til rådighed for de nationale kompetente myndigheder. Det skal af EU-overensstemmelseserklæringen fremgå, hvilket højrisiko-AI-system den vedrører. Et eksemplar af EU-overensstemmelseserklæringen indgives til de relevante nationale kompetente myndigheder.

2. Det skal af EU-overensstemmelseserklæringen fremgå, at det pågældende højrisiko-AI-system opfylder kravene i afdeling 2. EU-overensstemmelseserklæringen skal indeholde de oplysninger, der er fastsat i bilag V, og skal oversættes til et sprog, der let kan forstås af de nationale kompetente myndigheder i de medlemsstater, hvor højrisiko-AI-systemet bringes i omsætning eller gøres tilgængeligt.

3. For højrisiko-AI-systemer, der er omfattet af anden EU-harmoniseringslovgivning, i henhold til hvilken der også kræves en EU-overensstemmelseserklæring, udarbejdes der en enkelt EU-overensstemmelseserklæring for al EU-ret, der finder anvendelse på højrisiko-AI-systemet. Erklæringen skal indeholde alle de oplysninger, der er påkrævet for at identificere, hvilken EU-harmoniseringslovgivning erklæringen vedrører.

4. Ved at udarbejde EU-overensstemmelseserklæringen står udbyderen inde for, at kravene i afdeling 2 overholdes. Udbyderen skal sørge for at holde EU-overensstemmelseserklæringen ajour, alt efter hvad der er relevant.

5. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 97 for at ændre bilag V ved at ajourføre indholdet af EU-overensstemmelseserklæringen, der er fastsat i nævnte bilag, for at indføre elementer, der bliver nødvendige i lyset af den tekniske udvikling.

Artikel 48

CE-mærkning

1. CE-mærkningen er underlagt de generelle principper fastsat i artikel 30 i forordning (EF) nr. 765/2008.

2. For højrisiko-AI-systemer, som leveres digitalt, anvendes der kun en digital CE-mærkning, hvis den er let at tilgå via den grænseflade, hvorfra det pågældende system tilgås, eller via en lettilgængelig maskinlæsbar kode eller andre elektroniske midler.

3. CE-mærkningen skal i tilknytning til højrisiko-AI-systemer anbringes synligt, letlæseligt og således, at den ikke kan slettes. Hvis højrisiko-AI-systemet er af en sådan art, at dette ikke er muligt eller berettiget, anbringes mærkningen på emballagen eller i den medfølgende dokumentation, alt efter hvad der relevant.

4. Hvis det er relevant, skal CE-mærkningen følges af identifikationsnummeret for det bemyndigede organ, der er ansvarligt for overensstemmelsesvurderingsprocedurerne i artikel 43. Det bemyndigede organs identifikationsnummer anbringes af organet selv eller efter dettes anvisninger af udbyderen eller af udbyderens bemyndigede repræsentant. Identifikationsnummeret skal også fremgå af salgsfremmende materiale, som nævner, at højrisiko-AI-systemet opfylder kravene til CE-mærkning.

5. Hvis højrisiko-AI-systemet er omfattet af anden EU-ret, som også indeholder bestemmelser om anbringelsen af CE-mærkning, skal CE-mærkningen angive, at højrisiko-AI-systemet ligeledes opfylder kravene i denne anden ret.

Artikel 49

Registrering

1. Inden et højrisiko-AI-system, der er opført i bilag III, med undtagelse af de højrisiko-AI-systemer, der er omhandlet i bilag III, punkt 2, bringes i omsætning eller ibrugtages, skal udbyderen eller, hvis det er relevant, den bemyndigede repræsentant registrere sig selv og deres system i den EU-database, der er omhandlet i artikel 71.

2. Inden et AI-system, for hvilket udbyderen har konkluderet, at det ikke udgør en høj risiko i overensstemmelse med artikel 6, stk. 3, bringes i omsætning eller tages i brug, registrerer den pågældende udbyder eller, hvis det er relevant, den bemyndigede repræsentant sig selv og dette system i den EU-database, der er omhandlet i artikel 71.

3. Inden et højrisiko-AI-system, der er opført i bilag III, med undtagelse af de højrisiko-AI-systemer, der er omhandlet i bilag III, punkt 2, ibrugtages eller anvendes, skal idriftsættere, som er offentlige myndigheder, EU-institutioner, -organer, -kontorer eller -agenturer eller personer, der handler på deres vegne, lade sig registrere, vælge systemet og registrere dets anvendelse i den EU-database, der er omhandlet i artikel 71.

4. For de højrisiko-AI-systemer, der er omhandlet i bilag III, punkt 1, 6 og 7, inden for retshåndhævelse og migrationsstyring, asylforvaltning og grænsekontrol, foretages den registrering, der er omhandlet i denne artikels stk. 1, 2 og 3, i en sikker ikkeoffentlig del af den EU-database, der er omhandlet i artikel 71, og omfatter kun følgende oplysninger, alt efter hvad der er relevant, der er omhandlet i:

a) bilag VIII, afsnit A, punkt 1-10, med undtagelse af punkt 6, 8 og 9

b) bilag VIII, afsnit B, punkt 1-5 og 8 og 9

c) bilag VIII, afsnit C, punkt 1-3

d) bilag IX, punkt 1, 2, 3 og 5.

Kun Kommissionen og de nationale myndigheder, der er omhandlet i artikel 74, stk. 8, har adgang til de respektive begrænsede afsnit i den EU-database, der er opført i nærværende stykkes første afsnit.

5. Højrisiko-AI-systemer, der er omhandlet i bilag III, punkt 2, registreres på nationalt plan.

KAPITEL IV

GENNEMSIGTIGHEDSFORPLIGTELSER FOR UDBYDERE OG IDRIFTSÆTTERE AF VISSE AI-SYSTEMER

Artikel 50

Gennemsigtighedsforpligtelser for udbydere og idriftsættere af visse AI-systemer

1. Udbydere skal sikre, at AI-systemer, der er tilsigtet at interagere direkte med fysiske personer, udformes og udvikles på en sådan måde, at de pågældende fysiske personer oplyses om, at de interagerer med et AI-system, medmindre dette er indlysende ud fra en rimeligt velinformeret, opmærksom og forsigtig fysisk persons synspunkt ud fra omstændighederne og anvendelsessammenhængen. Denne forpligtelse finder ikke anvendelse på AI-systemer, der ved lov er godkendt til at afsløre, forebygge, efterforske eller retsforfølge strafbare handlinger, med forbehold af passende sikkerhedsforanstaltninger for tredjemands rettigheder og friheder, medmindre disse systemer er tilgængelige for offentligheden med henblik på at anmelde en strafbar handling.

2. Udbydere af AI-systemer, herunder AI-systemer til almen brug, der genererer syntetisk lyd-, billed-, video- eller tekstindhold, sikrer, at AI-systemets output er mærket i et maskinlæsbart format og kan spores som kunstigt genereret eller manipuleret. Udbyderne sikrer, at deres tekniske løsninger er effektive, interoperable, robuste og pålidelige, i det omfang dette er teknisk muligt, under hensyntagen til de særlige forhold og begrænsninger for forskellige typer indhold, gennemførelsesomkostningerne og det generelt anerkendte aktuelle tekniske niveau, som kan være afspejlet i relevante tekniske standarder. Denne forpligtelse finder ikke anvendelse, i det omfang AI-systemerne udfører en hjælpefunktion med henblik på standardredigering eller ikke i væsentlig grad ændrer de inputdata, der leveres af idriftsætteren eller semantikken heraf, eller, hvis det ved lov er tilladt for at afsløre, forebygge, efterforske eller retsforfølge strafbare handlinger.

3. Idriftsættere af et system til følelsesgenkendelse eller et system til biometrisk kategorisering underretter de fysiske personer, der udsættes herfor, om driften af systemet og behandler personoplysningerne i overensstemmelse med forordning (EU) 2016/679 og (EU) 2018/1725 og direktiv (EU) 2016/680, alt efter hvad der er relevant. Denne forpligtelse finder ikke anvendelse på AI-systemer, der anvendes til biometrisk kategorisering og følelsesgenkendelse, og som i ved lov er godkendt til at afsløre, forebygge eller efterforske strafbare handlinger, med forbehold af passende sikkerhedsforanstaltninger for tredjemands rettigheder og frihedsrettigheder og i overensstemmelse med EU-retten.

4. Idriftsættere af et AI-system, der genererer eller manipulerer billed-, lyd- eller videoindhold, der udgør en deepfake, skal oplyse, at indholdet er blevet genereret kunstigt eller manipuleret. Denne forpligtelse gælder ikke, hvis anvendelsen ved lov er tilladt for at afsløre, forebygge, efterforske eller retsforfølge strafbare handlinger. Hvis indholdet er en del af et oplagt kunstnerisk, kreativt, satirisk, fiktivt eller tilsvarende arbejde eller program, er gennemsigtighedsforpligtelserne i dette stykke begrænset til oplysning om eksistensen af sådant genereret eller manipuleret indhold på en passende måde, der ikke er til gene for visningen eller nydelsen af værket.

Idriftsættere af et AI-system, der genererer eller manipulerer tekst, der offentliggøres med det formål at informere offentligheden om spørgsmål af offentlig interesse, skal oplyse, at teksten er blevet kunstigt genereret eller manipuleret. Denne forpligtelse finder ikke anvendelse, hvis anvendelsen ved lov er tilladt for at afsløre, forebygge, efterforske eller retsforfølge strafbare handlinger, eller hvis det AI-genererede indhold har gennemgået en proces med menneskelig gennemgang eller redaktionel kontrol, og hvis en fysisk eller juridisk person har det redaktionelle ansvar for offentliggørelsen af indholdet.

5. De oplysninger, der er omhandlet i stk. 1-4, gives til de pågældende fysiske personer på en klar og synlig måde senest på tidspunktet for den første interaktion eller eksponering. Oplysningerne skal være i overensstemmelse med gældende tilgængelighedskrav.

6. Stk. 1-4 berører ikke kravene og forpligtelserne i kapitel III og berører ikke andre gennemsigtighedsforpligtelser, der er fastsat i EU-retten eller national ret, for idriftsættere af AI-systemer.

7. AI-kontoret tilskynder til og letter udarbejdelsen af praksiskodekser på EU-plan for at lette en effektiv gennemførelse af forpligtelserne vedrørende påvisning og mærkning af kunstigt genereret eller manipuleret indhold. Kommissionen kan vedtage gennemførelsesretsakter for at godkende disse praksiskodekser efter proceduren i artikel 56, stk. 6. Hvis Kommissionen finder, at kodeksen ikke er tilstrækkelig, kan den vedtage en gennemførelsesretsakt, der præciserer de fælles regler for gennemførelsen af disse forpligtelser efter undersøgelsesproceduren, jf. artikel 98, stk. 2.

KAPITEL V

AI-MODELLER TIL ALMEN BRUG

AFDELING 1

Klassificeringsregler

Artikel 51

Klassificering af AI-modeller til almen brug som AI-modeller til almen brug med systemisk risiko

1. En AI-model til almen brug klassificeres som en AI-model til almen brug med systemisk risiko, hvis den opfylder et eller flere af følgende betingelser:

a) den har kapaciteter med stor virkning evalueret på grundlag af passende tekniske værktøjer og metoder, herunder indikatorer og benchmarks

b) på grundlag af en afgørelse truffet af Kommissionen på eget initiativ eller efter en kvalificeret varsling fra det videnskabelige panel har den kapaciteter eller virkning, der svarer til dem, der er fastsat i litra a), under hensyntagen til kriterierne i bilag XIII.

2. En AI-model til almen brug antages at have kapaciteter med stor virkning i henhold til stk. 1, litra a), når den kumulerede mængde beregningskraft, der anvendes til dens træning, målt i flydende kommatalsberegninger, er større end 1025.

3. Kommissionen vedtager delegerede retsakter i overensstemmelse med artikel 97 for at ændre de tærskler, der er anført i nærværende artikels stk. 1 og 2, samt for at supplere benchmarks og indikatorer i lyset af den teknologiske udvikling såsom algoritmiske forbedringer eller øget hardwareeffektivitet, når det er nødvendigt, således at disse tærskler afspejler det aktuelle tekniske niveau.

Artikel 52

Fremgangsmåde

1. Hvis en AI-model til almen brug opfylder betingelsen i artikel 51, stk. 1, litra a), giver den relevante udbyder Kommissionen meddelelse så hurtigt som muligt og under alle omstændigheder senest to uger efter, at dette krav er opfyldt, eller det bliver kendt, at det vil blive opfyldt. Meddelelsen skal indeholde de oplysninger, der er nødvendige for at påvise, at det relevante krav er opfyldt. Hvis Kommissionen får kendskab til en AI-model til almen brug, der frembyder systemiske risici, som den ikke har fået meddelelse om, kan den beslutte at udpege den som en model med systemisk risiko.

2. Udbyderen af en AI-model til almen brug, der opfylder betingelsen omhandlet i artikel 51, stk. 1, litra a), kan sammen med dens meddelelse fremlægge tilstrækkeligt underbyggede argumenter til at påvise, at AI-modellen til almen brug, selv om den opfylder det pågældende krav, undtagelsesvis ikke frembyder systemiske risici på grund af dens specifikke karakteristika og derfor ikke bør klassificeres som en AI-model til almen brug med systemisk risiko.

3. Hvis Kommissionen konkluderer, at de argumenter, der er fremsat i henhold til stk. 2, ikke er tilstrækkeligt underbyggede, og den relevante udbyder ikke har været i stand til at påvise, at AI-modellen til almen brug på grund af sine specifikke karakteristika ikke frembyder systemiske risici, afviser den disse argumenter, og AI-modellen til almen brug betragtes som en AI-model til almen brug med systemisk risiko.

4. Kommissionen kan udpege en AI-model til almen brug som frembydende systemiske risici på eget initiativ eller efter en kvalificeret varsling fra det videnskabelige panel i henhold til artikel 90, stk. 1, litra a) på grundlag af kriterierne i bilag XIII.

Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 97 for at ændre bilag XIII ved at præcisere og ajourføre kriterierne i nævnte bilag.

5. Efter en begrundet anmodning fra en udbyder, hvis model er blevet udpeget som en AI-model til almen brug med systemisk risiko i henhold til stk. 4, tager Kommissionen hensyn til anmodningen og kan beslutte på ny at vurdere, om AI-modellen til almen brug stadig kan anses for at frembyde systemiske risici på grundlag af kriterierne i bilag XIII. En sådan anmodning skal indeholde objektive, detaljerede og nye grunde, der er kommet frem siden udpegelsesafgørelsen. Udbydere kan tidligst seks måneder efter udpegelsesafgørelsen anmode om en fornyet vurdering. Hvis Kommissionen efter sin fornyede vurdering beslutter at opretholde udpegelsen som en AI-model til almen brug med systemisk risiko, kan udbyderne tidligst seks måneder efter denne afgørelse anmode om en fornyet vurdering.

6. Kommissionen sikrer, at der offentliggøres en liste over AI-modeller til almen brug med systemisk risiko, og ajourfører løbende denne liste, uden at det berører behovet for at overholde og beskytte intellektuelle ejendomsrettigheder og fortrolige forretningsoplysninger eller forretningshemmeligheder i overensstemmelse med EU-retten og national ret.

AFDELING 2

Forpligtelser for udbydere af AI-modeller til almen brug

Artikel 53

Forpligtelser for udbydere af AI-modeller til almen brug

1. Udbydere af AI-modeller til almen brug skal:

a) udarbejde og løbende ajourføre den tekniske dokumentation til modellen, herunder dens trænings- og afprøvningsproces og resultaterne af evalueringen af den, som mindst skal indeholde de oplysninger, der er fastsat i bilag XI, med henblik på efter anmodning at forelægge den for AI-kontoret og de nationale kompetente myndigheder

b) udarbejde og løbende ajourføre oplysninger og dokumentation og stille disse til rådighed for udbydere af AI-systemer, som har til hensigt at integrere AI-modellen til almen brug i deres AI-systemer. Uden at det berører behovet for at respektere og beskytte intellektuelle ejendomsrettigheder og fortrolige forretningsoplysninger eller forretningshemmeligheder i overensstemmelse med EU-retten og national ret, skal oplysningerne og dokumentationen:

i) give udbydere af AI-systemer mulighed for at få en god forståelse af kapaciteterne og begrænsningerne i AI-modellen til almen brug og overholde deres forpligtelser i henhold til denne forordning, og

ii) som minimum indeholde de i bilag XII fastsatte elementer

c) indføre en politik, der overholder EU-retten om ophavsret og beslægtede rettigheder, navnlig med henblik på at identificere og overholde, herunder ved hjælp af de nyeste teknologier, et forbehold vedrørende rettigheder, der udtrykkes i henhold til artikel 4, stk. 3, i direktiv (EU) 2019/790

d) udarbejde og offentliggøre en tilstrækkeligt detaljeret sammenfatning om det indhold, der anvendes til træning af AI-modellen til almen brug, i overensstemmelse med en skabelon, der leveres af AI-kontoret.

2. Forpligtelserne i stk. 1, litra a) og b), finder ikke anvendelse på udbydere af AI-modeller, der frigives i henhold til en gratis open source-licens, der giver mulighed for adgang til, anvendelse, ændring og distribution af modellen, og hvis parametre, herunder vægtene, oplysningerne om modelarkitekturen og oplysningerne om modelanvendelsen, gøres offentligt tilgængelige. Denne undtagelse finder ikke anvendelse på AI-modeller til almen brug med systemiske risici.

3. Udbydere af AI-modeller til almen brug samarbejder om nødvendigt med Kommissionen og de nationale kompetente myndigheder i forbindelse med udøvelsen af deres kompetencer og beføjelser i henhold til denne forordning.

4. Udbydere af AI-modeller til almen brug kan basere sig på praksiskodekser som omhandlet i artikel 56 for at påvise overholdelse af forpligtelserne i nærværende artikels stk. 1, indtil der er offentliggjort en harmoniseret standard. Overholdelse af europæiske harmoniserede standarder giver udbydere formodning om overensstemmelse, i det omfang disse standarder dækker disse forpligtelser. Udbydere af AI-modeller til almen brug, som ikke overholder en godkendt praksiskodeks, eller som ikke overholder en europæisk harmoniseret standard, skal påvise alternative passende måder for overensstemmelse med henblik på Kommissionens vurdering.

5. For at lette overholdelsen af bilag XI, navnlig punkt 2, litra d) og e), i nævnte bilag, tillægges Kommissionen beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 97 for at præcisere måle- og beregningsmetoder med henblik på at muliggøre sammenlignelig og verificerbar dokumentation.

6. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 97, stk. 2, for at ændre bilag XI og XII i lyset af den teknologiske udvikling.

7. Alle de oplysninger eller al den dokumentation, der indhentes i henhold til denne artikel, herunder forretningshemmeligheder, behandles i overensstemmelse med fortrolighedsforpligtelserne fastsat i artikel 78.

Artikel 54

Bemyndigede repræsentanter for udbydere af AI-modeller til almen brug

1. Før en AI-model til almen brug bringes i omsætning på EU-markedet, udnævner udbydere, der er etableret i tredjelande, ved skriftligt mandat en bemyndiget repræsentant, der er etableret i Unionen.

2. Udbyderen skal gøre det muligt for sin bemyndigede repræsentant at udføre de opgaver, der er fastsat i det mandat, vedkommende har modtaget fra udbyderen.

3. Den bemyndigede repræsentant udfører de opgaver, der er fastsat i det mandat, vedkommende har modtaget fra udbyderen. Vedkommende skal på anmodning give AI-kontoret en kopi af mandatet på et af EU-institutionernes officielle sprog. Med henblik på denne forordning sætter mandatet den bemyndigede repræsentant i stand til at udføre følgende opgaver:

a) kontrollere, at den tekniske dokumentation, der er omhandlet i bilag XI, er udarbejdet, og at alle de forpligtelser, der er omhandlet i artikel 53 og, hvis det er relevant, artikel 55, er blevet opfyldt af udbyderen

b) opbevare en kopi af den tekniske dokumentation, der er omhandlet i bilag XI, så den står til rådighed for AI-kontoret og de nationale kompetente myndigheder, i en periode på ti år, efter at AI-modellen til almen brug er bragt i omsætning, og kontaktoplysningerne på den udbyder, der har udnævnt den bemyndigede repræsentant

c) efter en begrundet anmodning give AI-kontoret alle de oplysninger og al den dokumentation, herunder den, der er omhandlet i litra b), som kræves for at påvise overholdelse af forpligtelserne i dette kapitel

d) efter en begrundet anmodning samarbejde med AI-kontoret og de kompetente myndigheder om ethvert tiltag, som de foretager i forbindelse med AI-modellen til almen brug, herunder når modellen er integreret i AI-systemer, der bringes i omsætning eller ibrugtages i Unionen.

4. Mandatet giver den bemyndigede repræsentant, ud over eller i stedet for udbyderen, beføjelse til at modtage henvendelser fra AI-kontoret eller de kompetente myndigheder om alle spørgsmål relateret til at sikre overholdelse af denne forordning.

5. Den bemyndigede repræsentant bringer mandatet til ophør, hvis vedkommende mener eller har grund til at mene, at udbyderen handler i strid med sine forpligtelser i henhold til denne forordning. I så fald underretter vedkommende også omgående AI-kontoret om ophøret af mandatet og årsagerne hertil.

6. Forpligtelsen i denne artikel finder ikke anvendelse på udbydere af AI-modeller til almen brug, der frigives i henhold til en gratis open source-licens, der giver mulighed for adgang til, anvendelse, ændring og distribution af modellen, og hvis parametre, herunder vægtene, oplysningerne om modelarkitekturen og oplysningerne om modelanvendelsen, gøres offentligt tilgængelige, medmindre AI-modellen til almen brug frembyder systemiske risici.

AFDELING 3

Forpligtelser for udbydere af AI-modeller til almen brug med systemisk risiko

Artikel 55

Forpligtelser for udbydere af AI-modeller til almen brug med systemisk risiko

1. Ud over de forpligtelser, der er opført i artikel 53 og 54, skal udbydere af AI-modeller til almen brug med systemisk risiko:

a) foretage modelevaluering i overensstemmelse med standardiserede protokoller og værktøjer, der afspejler det aktuelle tekniske niveau, herunder gennemførelse og dokumentation af kontradiktorisk afprøvning af modellen med henblik på at identificere og afbøde systemiske risici

b) vurdere og afbøde mulige systemiske risici på EU-plan, herunder deres kilder, der kan skyldes udvikling, omsætning eller anvendelse af AI-modeller til almen brug med systemisk risiko

c) uden unødigt ophold følge, dokumentere og indberette relevante oplysninger om alvorlige hændelser og mulige korrigerende foranstaltninger til håndtering heraf til AI-kontoret og, alt efter hvad der er relevant, til de nationale kompetente myndigheder

d) sikre et tilstrækkeligt niveau af cybersikkerhedsbeskyttelse for AI-modellen til almen brug med systemisk risiko og modellens fysiske infrastruktur.

2. Udbydere af AI-modeller til almen brug med systemisk risiko kan basere sig på praksiskodekser som omhandlet i artikel 56 for at påvise overholdelse af forpligtelserne i nærværende artikels stk. 1, indtil der er offentliggjort en harmoniseret standard. Overholdelse af europæiske harmoniserede standarder giver udbydere formodning om overensstemmelse, i det omfang disse standarder dækker disse forpligtelser. Udbydere af AI-modeller til almen brug med systemiske risici, som ikke overholder en godkendt praksiskodeks, eller som ikke overholder en europæisk harmoniseret standard, skal påvise alternative passende måder for overensstemmelse med henblik på Kommissionens vurdering.

3. Alle de oplysninger eller al den dokumentation, der indhentes i henhold til denne artikel, herunder forretningshemmeligheder, behandles i overensstemmelse med fortrolighedsforpligtelserne fastsat i artikel 78.

AFDELING 4

Praksiskodekser

Artikel 56

Praksiskodekser

1. AI-kontoret tilskynder til og letter udarbejdelsen af praksiskodekser på EU-plan for at bidrage til en korrekt anvendelse af denne forordning under hensyntagen til internationale tilgange.

2. AI-kontoret og AI-udvalget tilstræber at sikre, at praksiskodekserne som minimum omfatter de forpligtelser, der er fastsat i artikel 53 og 55, herunder følgende spørgsmål:

a) midlerne til at sikre, at de oplysninger, der er omhandlet i artikel 53, stk. 1, litra a) og b), holdes ajour i lyset af den markedsmæssige og teknologiske udvikling

b) resuméet af det indhold, der anvendes til uddannelse, er tilstrækkeligt detaljeret

c) identifikationen af typen og arten af de systemiske risici på EU-plan, herunder deres kilder, hvis det er relevant

d) foranstaltningerne, procedurerne og de nærmere bestemmelser for vurdering og styring af de systemiske risici på EU-plan, herunder dokumentation herfor, som skal stå i et rimeligt forhold til risiciene, tage hensyn til, hvor alvorlige og sandsynlige de er, og tage hensyn til de specifikke udfordringer i forbindelse med styringen af disse risici i lyset af de mulige måder, hvorpå sådanne risici kan opstå og vise sig i AI-værdikæden.

3. AI-kontoret kan opfordre alle udbydere af AI-modeller til almen brug samt relevante nationale kompetente myndigheder til at deltage i udarbejdelsen af praksiskodekser. Civilsamfundsorganisationer, industrien, den akademiske verden og andre relevante interessenter såsom downstreamudbydere og uafhængige eksperter kan støtte processen.

4. AI-kontoret og AI-udvalget tilstræber at sikre, at praksiskodekserne klart fastsætter deres specifikke mål og indeholder forpligtelser eller foranstaltninger, herunder i relevant omfang centrale resultatindikatorer, for at sikre realiseringen af disse mål, og at de tager behørigt hensyn til alle interesserede parters, herunder berørte personers, behov og interesser på EU-plan.

5. AI-kontoret tilstræber at sikre, at deltagerne i praksiskodekserne regelmæssigt aflægger rapport til AI-kontoret om gennemførelsen af forpligtelserne og de trufne foranstaltninger og deres resultater, herunder i relevant omfang målt i forhold til de centrale resultatindikatorer. De centrale resultatindikatorer og rapporteringsforpligtelserne skal afspejle forskelle i størrelse og kapacitet mellem de forskellige deltagere.

6. AI-kontoret og AI-udvalget overvåger og evaluerer regelmæssigt deltagernes realisering af praksiskodeksernes mål og deres bidrag til en korrekt anvendelse af denne forordning. AI-kontoret og AI-udvalget vurderer, om praksiskodekserne dækker de forpligtelser, der er fastsat i artikel 53 og 55, og overvåger og evaluerer regelmæssigt realiseringen af deres mål. De offentliggør deres vurdering af, om praksiskodekserne er fyldestgørende.

Kommissionen kan ved en gennemførelsesretsakt godkende en praksiskodeks og give den generel gyldighed i Unionen. Denne gennemførelsesretsakt vedtages efter undersøgelsesproceduren, jf. artikel 98, stk. 2.

7. AI-kontoret kan opfordre samtlige udbydere af AI-modeller til almen brug til at overholde praksiskodekser. For udbydere af AI-modeller til almen brug, der ikke frembyder systemiske risici, kan denne overholdelse begrænses til de forpligtelser, der er fastsat i artikel 53, medmindre de udtrykkeligt tilkendegiver deres interesse i at tilslutte sig den fulde kodeks.

8. AI-kontoret skal, alt efter hvad der er relevant, også tilskynde til og lette gennemgangen og tilpasningen af praksiskodekserne, navnlig i lyset af nye standarder. AI-kontoret bistår ved vurderingen af tilgængelige standarder.

9. Praksiskodekser skal være klar senest den 2. maj 2025. AI-kontoret tager de nødvendige skridt, herunder indbyder udbydere i henhold til stk. 7.

Hvis en praksiskodeks ikke kan færdiggøres senest den 2. august 2025, eller hvis AI-kontoret efter sin vurdering i henhold til denne artikels stk. 6 finder, at den ikke er fyldestgørende, kan Kommissionen ved hjælp af gennemførelsesretsakter fastsætte fælles regler for gennemførelsen af de forpligtelser, der er fastsat i artikel 53 og 55, herunder spørgsmålene i nærværende artikels stk. 2. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 98, stk. 2.

KAPITEL VI

FORANSTALTNINGER TIL STØTTE FOR INNOVATION

Artikel 57

Reguleringsmæssige AI-sandkasser

1. Medlemsstaterne sikrer, at deres kompetente myndigheder opretter mindst én reguleringsmæssig AI-sandkasse på nationalt plan, som skal være operationel senest den 2. august 2026. Denne sandkasse kan også oprettes i fællesskab med andre medlemsstaters kompetente myndigheder. Kommissionen kan yde teknisk støtte, rådgivning og værktøjer til oprettelse og drift af reguleringsmæssige AI-sandkasser.

Forpligtelsen i henhold til første afsnit kan også opfyldes ved deltagelse i en eksisterende sandkasse, for så vidt som denne deltagelse giver de deltagende medlemsstater et tilsvarende nationalt dækningsniveau.

2. Der kan også oprettes yderligere reguleringsmæssige AI-sandkasser på regionalt eller lokalt plan eller i fællesskab med andre medlemsstaters kompetente myndigheder.

3. Den Europæiske Tilsynsførende for Databeskyttelse kan også oprette en reguleringsmæssig AI-sandkasse for EU-institutioner, -organer, -kontorer og -agenturer og varetage de nationale kompetente myndigheders roller og opgaver i overensstemmelse med dette kapitel.

4. Medlemsstaterne sikrer, at de kompetente myndigheder, der er omhandlet i stk. 1 og 2, tildeler tilstrækkelige ressourcer til, at denne artikel overholdes effektivt og rettidigt. Hvis det er relevant, samarbejder de nationale kompetente myndigheder med andre relevante myndigheder og kan gøre det muligt at inddrage andre aktører i AI-økosystemet. Denne artikel berører ikke andre reguleringsmæssige sandkasser, der er oprettet i henhold til EU-retten eller national ret. Medlemsstaterne sikrer et passende samarbejde mellem de myndigheder, der fører tilsyn med disse andre sandkasser, og de nationale kompetente myndigheder.

5. Reguleringsmæssig AI-sandkasser, der oprettes i henhold til stk. 1, skal tilvejebringe et kontrolleret miljø, der fremmer innovation og letter udvikling, træning, afprøvning og validering af innovative AI-systemer i et begrænset tidsrum, inden de bringes i omsætning eller tages i brug i henhold til en specifik sandkasseplan, som aftales mellem udbyderne eller de potentielle udbydere og den kompetente myndighed. Sådanne sandkasser kan omfatte afprøvning under faktiske forhold under tilsyn i sandkasserne.

6. De kompetente myndigheder yder, alt efter hvad der er relevant, vejledning, tilsyn og støtte inden for den reguleringsmæssige AI-sandkasse med henblik på at identificere risici, navnlig for grundlæggende rettigheder, sundhed og sikkerhed, afprøvning, afbødende foranstaltninger og deres effektivitet i forbindelse med forpligtelserne og kravene i denne forordning og, hvis det er relevant, anden EU-ret og national ret, der føres tilsyn med inden for sandkassen.

7. De kompetente myndigheder giver udbydere og potentielle udbydere, der deltager i den reguleringsmæssige AI-sandkasse, vejledning om reguleringsmæssige forventninger og om, hvordan de opfylder de krav og forpligtelser, der er fastsat i denne forordning.

Efter anmodning fra udbyderen eller den potentielle udbyder af AI-systemet forelægger den kompetente myndighed en skriftlig dokumentation for de aktiviteter, der er udført med succes i sandkassen. Den kompetente myndighed forelægger også en slutrapport med en detaljeret beskrivelse af de aktiviteter, der er gennemført i sandkassen, og de dermed forbundne resultater og læringsresultater. Udbydere kan anvende sådan dokumentation til at påvise, at de overholder denne forordning gennem overensstemmelsesvurderingsprocessen eller relevante markedsovervågningsaktiviteter. I denne forbindelse tager markedsovervågningsmyndighederne og de bemyndigede organer positivt hensyn til slutrapporterne og den skriftlige dokumentation fra den nationale kompetente myndighed med henblik på at fremskynde overensstemmelsesvurderingsprocedurerne i rimeligt omfang.

8. Med forbehold af fortrolighedsbestemmelserne i artikel 78 og med samtykke fra udbyderen eller den potentielle udbyder har Kommissionen og AI-udvalget tilladelse til at få adgang til slutrapporterne og tager, alt efter hvad der er relevant, hensyn til disse, når de udfører deres opgaver i henhold til denne forordning. Hvis både udbyderen eller den potentielle udbyder og den nationale kompetente myndighed når til udtrykkelig enighed, kan slutrapporten gøres offentligt tilgængelig via den centrale informationsplatform, der er omhandlet i nærværende artikel.

9. Oprettelsen af reguleringsmæssige AI-sandkasser har til formål at bidrage til følgende mål:

a) at forbedre retssikkerheden med henblik på at opnå overholdelse af bestemmelserne i denne forordning eller, hvis det er relevant, anden gældende EU-ret og national ret

b) at støtte udvekslingen af bedste praksis gennem samarbejde med de myndigheder, der er involveret i den reguleringsmæssige AI-sandkasse

c) at fremme innovation og konkurrenceevne og lette udviklingen af et AI-økosystem

d) at bidrage til evidensbaseret lovgivningsmæssig læring

e) at lette og fremskynde adgangen til EU-markedet for AI-systemer, navnlig når de leveres af SMV'er, herunder iværksættervirksomheder.

10. I det omfang de innovative AI-systemer omfatter behandling af personoplysninger eller på anden måde henhører under tilsynsområdet for andre nationale myndigheder eller kompetente myndigheder, der giver eller understøtter adgang til data, sikrer de nationale kompetente myndigheder, at de nationale databeskyttelsesmyndigheder og disse andre nationale eller kompetente myndigheder er tilknyttet driften af den reguleringsmæssige AI-sandkasse og involveret i tilsynet med disse aspekter i henhold til deres respektive opgaver og beføjelser.

11. De reguleringsmæssige AI-sandkasser berører ikke de tilsynsbeføjelser eller korrigerende beføjelser, som de kompetente myndigheder, der fører tilsyn med sandkasserne, har, herunder på regionalt eller lokalt plan. Enhver væsentlig risiko for sundhed og sikkerhed og grundlæggende rettigheder, der konstateres under udviklingen og afprøvningen af sådanne AI-systemer, fører til passende afbødning. De nationale kompetente myndigheder har beføjelse til midlertidigt eller permanent at suspendere afprøvningsprocessen eller deltagelse i sandkassen, hvis der ikke er mulighed for effektiv afbødning, og meddeler AI-kontoret denne afgørelse. De nationale kompetente myndigheder udøver deres tilsynsbeføjelser inden for rammerne af den relevante ret, idet de anvender deres skønsbeføjelser, når de gennemfører retlige bestemmelser for et specifikt projekt vedrørende reguleringsmæssige AI-sandkasser, med det formål at støtte innovation inden for AI i Unionen.

12. Udbydere og potentielle udbydere, der deltager i den reguleringsmæssige AI-sandkasse, forbliver ansvarlige i henhold til gældende EU-ansvarsret og gældende national ansvarsret for enhver skade, der påføres tredjeparter som følge af de forsøg, der finder sted i sandkassen. Såfremt de potentielle udbydere overholder den specifikke plan og vilkårene og betingelserne for deres deltagelse og i god tro følger den nationale kompetente myndigheds vejledning, pålægger myndighederne dog ingen administrative bøder for overtrædelse af denne forordning. I tilfælde af at andre kompetente myndigheder med ansvar for anden EU-ret og national ret har været aktivt involveret i tilsynet med AI-systemet i sandkassen og givet vejledning om overholdelse, pålægges der ingen administrative bøder i forbindelse med den pågældende ret.

13. De reguleringsmæssige AI-sandkasser udformes og gennemføres på en sådan måde, at de letter det grænseoverskridende samarbejde mellem de nationale kompetente myndigheder, hvis det er relevant.

14. De nationale kompetente myndigheder koordinerer deres aktiviteter og samarbejder inden for AI-udvalgets rammer.

15. De nationale kompetente myndigheder underretter AI-kontoret og AI-udvalget om oprettelsen af en sandkasse og kan anmode dem om støtte og vejledning. AI-kontoret offentliggør en liste over planlagte og eksisterende sandkasser og ajourfører den for at tilskynde til større interaktion i de reguleringsmæssige AI-sandkasser og tværnationalt samarbejde.

16. De nationale kompetente myndigheder forelægger AI-kontoret og AI-udvalget årlige rapporter, fra og med ét år efter oprettelsen af den reguleringsmæssige AI-sandkasse og derefter hvert år indtil dens ophør, og en slutrapport. Disse rapporter skal indeholde oplysninger om fremskridt med og resultater af gennemførelsen af de pågældende sandkasser, herunder bedste praksis, hændelser, indhøstede erfaringer og anbefalinger vedrørende deres udformning og, hvis det er relevant, anvendelsen og den eventuelle revision af denne forordning, herunder tilhørende delegerede retsakter og gennemførelsesretsakter, og anvendelsen af anden EU-ret, som de kompetente myndigheder fører tilsyn med inden for sandkassen. De nationale kompetente myndigheder gør disse årlige rapporter eller sammendrag heraf offentligt tilgængelige online. Kommissionen tager, hvis det er relevant, hensyn til de årlige rapporter, når den udfører sine opgaver i henhold til denne forordning.

17. Kommissionen udvikler en fælles og særlig grænseflade, der indeholder alle relevante oplysninger vedrørende reguleringsmæssige AI-sandkasser, for at give interessenter mulighed for at interagere med reguleringsmæssige AI-sandkasser og rette forespørgsler til de kompetente myndigheder og søge ikkebindende vejledning om overensstemmelsen af innovative produkter, tjenester og forretningsmodeller, der integrerer AI-teknologier, i overensstemmelse med artikel 62, stk. 1, litra c). Kommissionen koordinerer proaktivt med nationale kompetente myndigheder, hvis det er relevant.

Artikel 58

Nærmere ordninger for og funktionsmåden af reguleringsmæssige AI-sandkasser

1. For at undgå fragmentering i Unionen vedtager Kommissionen gennemførelsesretsakter, der fastsætter de nærmere ordninger for oprettelse, udvikling, gennemførelse, drift af og tilsyn med de reguleringsmæssige AI-sandkasser. Gennemførelsesretsakterne skal omfatte fælles principper vedrørende følgende punkter:

a) støtteberettigelse og udvælgelseskriterier med henblik på deltagelse i den reguleringsmæssige AI-sandkasse

b) procedurer for anvendelse, deltagelse, overvågning, udtræden fra og afslutning af den reguleringsmæssige AI-sandkasse, herunder sandkasseplanen og slutrapporten

c) hvilke vilkår og betingelser der gælder for deltagerne.

Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 98, stk. 2.

2. De i stk. 1 omhandlede gennemførelsesretsakter skal sikre:

a) at reguleringsmæssige AI-sandkasser er åbne for enhver ansøgende udbyder eller potentiel udbyder af et AI-system, som opfylder støtteberettigelses- og udvælgelseskriterierne, som skal være gennemsigtige og fair, og at de nationale kompetente myndigheder underretter ansøgerne om deres afgørelse senest tre måneder efter ansøgningen

b) at reguleringsmæssige AI-sandkasser giver bred og lige adgang og holder trit med efterspørgslen efter deltagelse; udbydere og potentielle udbydere kan også indgive ansøgninger i partnerskab med idriftsættere eller andre relevante tredjeparter

c) at de nærmere ordninger for og betingelser vedrørende reguleringsmæssige AI-sandkasser i videst mulig udstrækning støtter fleksibilitet for nationale kompetente myndigheder til at oprette og drive deres reguleringsmæssige AI-sandkasser

d) at adgang til de reguleringsmæssige AI-sandkasser er gratis for SMV'er, herunder iværksættervirksomheder, uden at det berører ekstraordinære omkostninger, som de nationale kompetente myndigheder kan få dækket på fair og forholdsmæssig vis

e) at de ved hjælp af læringsresultaterne fra de reguleringsmæssige AI-sandkasser gør det lettere for udbydere og potentielle udbydere at overholde overensstemmelsesvurderingsforpligtelserne i henhold til denne forordning og frivilligt at anvende adfærdskodekserne, som er omhandlet i artikel 95

f) at de reguleringsmæssige AI-sandkasser letter inddragelsen af andre relevante aktører inden for AI-økosystemet såsom bemyndigede organer og standardiseringsorganisationer, SMV'er, herunder iværksættervirksomheder, virksomheder, innovatorer, afprøvnings- og forsøgsfaciliteter, forsknings- og forsøgslaboratorier og europæiske digitale innovationsknudepunkter, ekspertisecentre, individuelle forskere, med henblik på at muliggøre og lette samarbejdet med den offentlige og private sektor

g) at procedurer, processer og administrative krav vedrørende ansøgning om, udvælgelse af, deltagelse i og udtræden af den reguleringsmæssige AI-sandkasse er enkle, letforståelige og klart kommunikeret, så det bliver lettere for SMV'er, herunder iværksættervirksomheder, med begrænset juridisk og administrativ kapacitet at deltage, og strømlines i hele Unionen for at undgå fragmentering, samt at deltagelse i en reguleringsmæssig AI-sandkasse oprettet af en medlemsstat eller af Den Europæiske Tilsynsførende for Databeskyttelse anerkendes gensidigt og ensartet og har samme retsvirkning i hele Unionen

h) at deltagelse i den reguleringsmæssige AI-sandkasse begrænses til en periode, der er passende til projektets kompleksitet og omfang, og som kan forlænges af den nationale kompetente myndighed

i) at reguleringsmæssige AI-sandkasser letter udviklingen af værktøjer og infrastruktur til afprøvning, benchmarking, vurdering og forklaring af dimensioner af AI-systemer, der er relevante for reguleringsmæssig læring såsom nøjagtighed, robusthed og cybersikkerhed, samt foranstaltninger til at mindske risici for de grundlæggende rettigheder og samfundet som helhed.

3. Potentielle udbydere i de reguleringsmæssige AI-sandkasser, navnlig SMV'er og iværksættervirksomheder, henvises, hvis det er relevant, til føridriftsættelsestjenester såsom vejledning om gennemførelsen af denne forordning, til andre værdiforøgende tjenester såsom hjælp med standardiseringsdokumenter og certificering, afprøvnings- og forsøgsfaciliteter, europæiske digitale innovationsknudepunkter og ekspertisecentre.

4. Hvis de nationale kompetente myndigheder overvejer at tillade afprøvning under faktiske forhold under tilsyn inden for rammerne af en reguleringsmæssig AI-sandkasse, der skal oprettes i henhold til denne artikel, aftaler de specifikt vilkårene og betingelserne for en sådan afprøvning og navnlig de fornødne sikkerhedsforanstaltninger med deltagerne med henblik på at beskytte de grundlæggende rettigheder, sundheden og sikkerheden. Hvis det er relevant, samarbejder de med andre nationale kompetente myndigheder med henblik på at sikre en ensartet praksis i hele Unionen.

Artikel 59

Viderebehandling af personoplysninger med henblik på udvikling af visse samfundsnyttige AI-systemer i den reguleringsmæssige AI-sandkasse

1. I den reguleringsmæssige AI-sandkasse må personoplysninger, der er lovligt indsamlet til andre formål, kun behandles med henblik på udvikling, træning og afprøvning af visse AI-systemer i sandkassen, når alle følgende betingelser er opfyldt:

a) AI-systemer skal udvikles med henblik på beskyttelse af væsentlige samfundsinteresser, der varetages af en offentlig myndighed eller anden fysisk eller juridisk person, og på et eller flere af følgende områder:

i) den offentlige sikkerhed og folkesundheden, herunder opsporing af sygdomme, diagnoser, forebyggelse, overvågning og behandling samt forbedring af sundhedssystemerne

ii) et højt beskyttelsesniveau og forbedring af miljøkvaliteten, beskyttelse af biodiversiteten, beskyttelse mod forurening, foranstaltninger vedrørende den grønne omstilling, foranstaltninger vedrørende modvirkning af og tilpasning til klimaændringer

iii) energibæredygtighed

iv) sikkerhed og modstandsdygtighed i transportsystemerne og mobilitet, kritisk infrastruktur og netværk

v) effektivitet og kvalitet i den offentlige forvaltning og offentlige tjenester

b) de behandlede oplysninger skal være nødvendige for at overholde et eller flere af de krav, der er omhandlet i kapitel III, afdeling 2, såfremt disse krav ikke praktisk kan opfyldes ved behandling af anonymiserede eller syntetiske oplysninger eller andre oplysninger end personoplysninger

c) der skal foreligge effektive overvågningsmekanismer til at konstatere, om der kan opstå høje risici for de registreredes rettigheder og frihedsrettigheder, som omhandlet i artikel 35 i forordning (EU) 2016/679 og artikel 39 i forordning (EU) 2018/1725, i forbindelse med forsøgene i sandkassen, samt beredskabsmekanismer til straks at afbøde disse risici og om nødvendigt standse behandlingen

d) alle personoplysninger, der skal behandles i forbindelse med sandkassen, skal befinde sig i et funktionelt adskilt, isoleret og beskyttet databehandlingsmiljø under den potentielle udbyders kontrol, og kun autoriserede personer har adgang til disse data

e) udbyderne kan kun dele de oprindeligt indsamlede data yderligere i overensstemmelse med EU-databeskyttelsesretten; personoplysninger, der er skabt i sandkassen, kan ikke deles uden for sandkassen

f) enhver behandling af personoplysninger i forbindelse med sandkassen fører hverken til foranstaltninger eller afgørelser, der berører de registrerede, eller påvirker anvendelsen af deres rettigheder fastsat i EU-retten om beskyttelse af personoplysninger

g) alle personoplysninger, der skal behandles i forbindelse med sandkassen, skal beskyttes gennem passende tekniske og organisatoriske foranstaltninger og slettes, når deltagelsen i sandkassen afsluttes, eller når opbevaringsperioden for personoplysningerne udløber

h) logfilerne over behandlingen af personoplysninger i forbindelse med sandkassen opbevares, så længe de deltager i sandkassen, medmindre andet er fastsat i EU-retten eller national ret

i) en fuldstændig og detaljeret beskrivelse af processen og begrundelsen for træningen, afprøvningen og valideringen af AI-systemet opbevares sammen med afprøvningsresultaterne som en del af den tekniske dokumentation omhandlet i bilag IV

j) der offentliggøres på de kompetente myndigheders websted et kort resumé af det AI-projekt, der er udviklet i sandkassen, dets mål og dets forventede resultater; denne forpligtelse omfatter ikke følsomme operationelle oplysninger i forbindelse med aktiviteter, der udføres af retshåndhævende myndigheder, grænsekontrolmyndigheder, indvandringsmyndigheder eller asylmyndigheder.

2. Med henblik på at forebygge, efterforske, opdage eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed, under de retshåndhævende myndigheders kontrol og ansvar baseres behandlingen af personoplysninger i reguleringsmæssige AI-sandkasser på særlig EU-ret eller national ret og på de samme kumulative betingelser som omhandlet i stk. 1.

3. Stk. 1 berører ikke EU-ret eller national ret, der udelukker behandling til andre formål end dem, der udtrykkeligt er nævnt i den pågældende ret, og heller ikke EU-ret eller national ret, der fastsætter grundlaget for behandling af personoplysninger, som er nødvendig med henblik på udvikling, afprøvning eller træning af innovative AI-systemer, eller noget andet retsgrundlag, der overholder EU-retten om beskyttelse af personoplysninger.

Artikel 60

Afprøvning af højrisiko-AI-systemer under faktiske forhold uden for reguleringsmæssige AI-sandkasser

1. Afprøvning af højrisiko-AI-systemer under faktiske forhold uden for reguleringsmæssige AI-sandkasser kan udføres af udbydere eller potentielle udbydere af højrisiko-AI-systemer, der er opført i bilag III, i overensstemmelse med denne artikel og den plan for afprøvning under faktiske forhold, der er omhandlet i denne artikel, uden at det berører forbuddene i henhold til artikel 5.

Kommissionen præciserer ved hjælp af gennemførelsesretsakter de nærmere elementer i planen for afprøvning under faktiske forhold. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 98, stk. 2.

Nærværende stykke berører ikke EU-ret eller national ret om afprøvning under faktiske forhold af højrisiko-AI-systemer i forbindelse med produkter, der er omfattet af EU-harmoniseringslovgivningen, der er opført i bilag I.

2. Udbydere eller potentielle udbydere kan selv eller i partnerskab med en eller flere idriftsættere eller potentielle idriftsættere gennemføre afprøvning af de højrisiko-AI-systemer, der er omhandlet i bilag III, under faktiske forhold på et hvilket som helst tidspunkt, inden AI-systemet bringes i omsætning eller ibrugtages.

3. Afprøvning af højrisiko-AI-systemer under faktiske forhold i henhold til denne artikel berører ikke enhver anden etisk gennemgang, der er påkrævet i henhold til EU-retten eller national ret.

4. Udbydere eller potentielle udbydere må kun udføre afprøvningen under faktiske forhold, hvis alle følgende betingelser er opfyldt:

a) udbyderen eller den potentielle udbyder har udarbejdet en plan for afprøvning under faktiske forhold og forelagt den for markedsovervågningsmyndigheden i den medlemsstat, hvor afprøvningen skal udføres under faktiske forhold

b) markedsovervågningsmyndigheden i den medlemsstat, hvor afprøvningen under faktiske forhold skal udføres, har godkendt afprøvningen under faktiske forhold og planen for afprøvning under faktiske forhold; hvis markedsovervågningsmyndigheden ikke har givet et svar inden for 30 dage, betragtes afprøvningen under faktiske forhold og planen for afprøvning under faktiske forhold som godkendt; hvis national ret ikke indeholder bestemmelser om stiltiende godkendelse, skal der fortsat foreligge en tilladelse til afprøvning under faktiske forhold

c) udbyderen eller den potentielle udbyder med undtagelse af udbydere eller potentielle udbydere af højrisiko-AI-systemer, der er omhandlet i bilag III, punkt 1, 6 og 7, inden for retshåndhævelse, migrationsstyring, asylforvaltning og grænsekontrol, og af højrisiko-AI-systemer, der er omhandlet i bilag III, punkt 2, har registreret afprøvningen under faktiske forhold i overensstemmelse med artikel 71, stk. 4, med et EU-dækkende unikt individuelt identifikationsnummer og de oplysninger, der er angivet i bilag IX; udbyderen eller den potentielle udbyder af højrisiko-AI-systemer, der er omhandlet i bilag III, punkt 1, 6 og 7, inden for retshåndhævelse, migrationsstyring, asylforvaltning og grænsekontrol, har registreret afprøvningen under faktiske forhold i den sikre ikkeoffentlige del af EU-databasen, jf. artikel 49, stk. 4, litra d), med et EU-dækkende unikt individuelt identifikationsnummer og de oplysninger, der er angivet i nævnte litra; udbyderen eller den potentielle udbyder af højrisiko-AI-systemer, der er omhandlet i bilag III, punkt 2, har registreret afprøvningen under faktiske forhold i overensstemmelse med artikel 49, stk. 5

d) den udbyder eller potentielle udbyder, der udfører afprøvningen under faktiske forhold, er etableret i Unionen eller har udpeget en retlig repræsentant, der er etableret i Unionen

e) data, der indsamles og behandles med henblik på afprøvning under faktiske forhold, må kun overføres til tredjelande, forudsat at der er gennemført passende og gældende sikkerhedsforanstaltninger i henhold til EU-retten

f) afprøvningen under faktiske forhold varer ikke længere end nødvendigt for at nå målene herfor og under ingen omstændigheder længere end seks måneder, som kan forlænges i en yderligere periode på seks måneder, forudsat at udbyderen eller den potentielle udbyder på forhånd har underrettet markedsovervågningsmyndigheden ledsaget af en redegørelse for behovet for en sådan forlængelse

g) de personer, der er genstand for afprøvningen under faktiske forhold, og som er personer, der tilhører sårbare grupper på grund af deres alder eller handicap, beskyttes på passende vis

h) hvis en udbyder eller potentiel udbyder organiserer afprøvningen under faktiske forhold i samarbejde med en eller flere idriftsættere eller potentielle idriftsættere, er sidstnævnte blevet informeret om alle de aspekter af afprøvningen, der er relevante for deres beslutning om at deltage, og har modtaget den relevante brugsanvisning til AI-systemet, jf. artikel 13; udbyderen eller den potentielle udbyder og idriftsætteren eller den potentielle idriftsætter skal indgå en aftale, der præciserer deres roller og ansvar med henblik på at sikre overholdelse af bestemmelserne om afprøvning under faktiske forhold i henhold til denne forordning og i henhold til anden gældende EU-ret og national ret

i) de personer, der er genstand for afprøvningen under faktiske forhold, har givet informeret samtykke i overensstemmelse med artikel 61 eller i tilfælde af retshåndhævelse, hvis indhentning af informeret samtykke ville forhindre, at AI-systemet afprøves, og selve afprøvningen og resultatet af afprøvningen under faktiske forhold må ikke have nogen negativ indvirkning på forsøgspersonerne, og deres personoplysninger slettes, efter at afprøvningen er udført

j) afprøvningen under faktiske forhold overvåges effektivt af udbyderen eller den potentielle udbyder samt af idriftsættere eller potentielle idriftsættere gennem personer, der er tilstrækkeligt kvalificerede på det relevante område og har den nødvendige kapacitet, uddannelse og myndighed til at udføre deres opgaver

k) AI-systemets forudsigelser, anbefalinger eller beslutninger kan effektivt omgøres og tilsidesættes.

5. Enhver forsøgsperson, der medvirker i afprøvningen under faktiske forhold, eller vedkommendes retligt udpegede repræsentant, alt efter hvad der er relevant, kan, uden at det medfører ulemper og uden at skulle give nogen begrundelse, når som helst trække sig tilbage fra afprøvningen ved at trække sit informerede samtykke tilbage og anmode om øjeblikkeligt og permanent at få sine personoplysninger slettet. Tilbagetrækningen af det informerede samtykke berører ikke de allerede udførte aktiviteter.

6. I overensstemmelse med artikel 75 tillægger medlemsstaterne deres markedsovervågningsmyndigheder beføjelser til at kræve oplysninger, som udbydere og potentielle udbydere skal indgive, til at foretage uanmeldte fjerninspektioner eller inspektioner på stedet og til at foretage kontrol af, hvordan afprøvningen udføres under faktiske forhold, og de relaterede højrisiko-AI-systemer. Markedsovervågningsmyndighederne anvender disse beføjelser til at sørge for, at afprøvningen under faktiske forhold forløber sikkert.

7. Enhver alvorlig hændelse, der konstateres under afprøvningen under faktiske forhold, indberettes til den nationale markedsovervågningsmyndighed i overensstemmelse med artikel 73. Udbyderen eller den potentielle udbyder træffer straks afbødende foranstaltninger eller, hvis dette ikke er muligt, suspenderer afprøvningen under faktiske forhold, indtil en sådan afhjælpning finder sted, eller, hvis dette ikke sker, bringer den til ophør. Udbyderen eller den potentielle udbyder indfører en procedure for øjeblikkelig tilbagekaldelse af AI-systemet efter en sådan afslutning af afprøvningen under faktiske forhold.

8. Udbydere eller potentielle udbydere giver den nationale markedsovervågningsmyndighed i den medlemsstat, hvor afprøvningen under faktiske forhold udføres, meddelelse om suspensionen eller afslutningen af afprøvningen under faktiske forhold og om de endelige resultater.

9. Udbyderen eller den potentielle udbyder er ansvarlige i henhold til gældende EU-ansvarsret og gældende national ansvarsret for enhver skade, der forvoldes i forbindelse med deres afprøvning under faktiske forhold.

Artikel 61

Informeret samtykke til at deltage i afprøvning under faktiske forhold uden for reguleringsmæssige AI-sandkasser

1. Med henblik på afprøvning under faktiske forhold i henhold til artikel 60 indhentes der frit informeret samtykke fra forsøgspersoner, inden de deltager i sådanne forsøg, og efter at de er blevet behørigt informeret med præcise, klare, relevante og forståelige oplysninger om:

a) afprøvningens art og formål under faktiske forhold, og hvilke mulige ulemper der kan være forbundet med deres deltagelse

b) de betingelser, hvorunder afprøvningen under faktiske forhold skal udføres, herunder den forventede varighed af forsøgspersonens eller forsøgspersonernes deltagelse

c) deres rettigheder og garantier for så vidt angår deres deltagelse, navnlig deres ret til at nægte at deltage i og retten til når som helst at trække sig tilbage fra afprøvningen under faktiske forhold, uden at det medfører ulemper, og uden at der skal gives nogen begrundelse herfor

d) ordninger for anmodning om omgørelse eller tilsidesættelse af AI-systemets forudsigelser, anbefalinger eller beslutninger

e) det EU-dækkende unikke individuelle identifikationsnummer for afprøvningen under faktiske forhold i overensstemmelse med artikel 60, stk. 4, litra c), og kontaktoplysninger på den udbyder eller dennes retlige repræsentant, hos hvem der kan indhentes yderligere oplysninger.

2. Det informerede samtykke dateres og dokumenteres, og der gives en kopi til forsøgspersonerne eller deres retlige repræsentant.

Artikel 62

Foranstaltninger for udbydere og idriftsættere, navnlig SMV'er, herunder iværksættervirksomheder

1. Medlemsstaterne skal foretage følgende tiltag:

a) give SMV'er, herunder iværksættervirksomheder, der har vedtægtsmæssigt hjemsted eller en filial i Unionen, prioriteret adgang til de reguleringsmæssige AI-sandkasser, i det omfang de opfylder deltagelsesbetingelserne og udvælgelseskriterierne; den prioriterede adgang afskærer ikke andre SMV'er, herunder iværksættervirksomheder, end dem, der er omhandlet i dette stykke, fra at få adgang til den reguleringsmæssige AI-sandkasse, forudsat at de også opfylder deltagelsesbetingelserne og udvælgelseskriterierne

b) organisere specifikke oplysnings- og uddannelsesaktiviteter om anvendelsen af denne forordning, der er skræddersyet til behovene hos SMV'er, herunder iværksættervirksomheder, idriftsættere og, alt efter hvad der er relevant, lokale offentlige myndigheder

c) benytte eksisterende særlige kanaler og, hvis det er relevant, etablere nye kanaler til kommunikation med SMV'er, herunder iværksættervirksomheder, idriftsættere, andre innovatorer og, alt efter hvad der er relevant, lokale offentlige myndigheder for at yde rådgivning og besvare forespørgsler om gennemførelsen af denne forordning, herunder for så vidt angår deltagelse i reguleringsmæssige AI-sandkasser

d) lette SMV'ers og andre relevante interessenters deltagelse i standardiseringsudviklingsprocessen.

2. Der tages hensyn til SMV-udbyderes, herunder iværksættervirksomheder, særlige interesser og behov ved fastsættelsen af gebyrerne for overensstemmelsesvurdering i henhold til artikel 43, idet gebyrerne nedsættes i forhold til deres størrelse, markedsstørrelse og andre relevante indikatorer.

3. AI-kontoret skal foretage følgende tiltag:

a) tilvejebringe standardiserede skabeloner for de områder, der er omfattet af denne forordning, som angivet af AI-udvalget i dets anmodning

b) udvikle og vedligeholde en fælles informationsplatform, der giver alle operatører i hele Unionen letanvendelige oplysninger i forbindelse med denne forordning

c) tilrettelægge passende kommunikationskampagner for at øge bevidstheden om de forpligtelser, der følger af denne forordning

d) evaluere og fremme konvergensen af bedste praksis i offentlige udbudsprocedurer i forbindelse med AI-systemer.

Artikel 63

Undtagelser for særlige operatører

1. Mikrovirksomheder som omhandlet i henstilling 2003/361/EF kan overholde visse elementer i det kvalitetsstyringssystem, der kræves i henhold til denne forordnings artikel 17, på en forenklet måde, forudsat at de ikke har partnervirksomheder eller tilknyttede virksomheder som omhandlet i nævnte henstilling. Med henblik herpå udvikler Kommissionen retningslinjer for de elementer i kvalitetsstyringssystemet, der kan overholdes på en forenklet måde under hensyntagen til mikrovirksomhedernes behov uden at påvirke beskyttelsesniveauet eller behovet for overholdelse af kravene til højrisiko-AI-systemer.

2. Denne artikels stk. 1 skal ikke fortolkes således, at det fritager disse operatører for at opfylde andre krav eller forpligtelser, der er fastsat i denne forordning, herunder dem, der er fastsat i artikel 9, 10, 11, 12, 13, 14, 15, 72 og 73.

KAPITEL VII

FORVALTNING

AFDELING 1

Forvaltning på EU-plan

Artikel 64

AI-kontoret

1. Kommissionen udvikler EU-ekspertise og -kapacitet inden for AI gennem AI-kontoret.

2. Medlemsstaterne letter de opgaver, der overdrages til AI-kontoret, som afspejlet i denne forordning.

Artikel 65

Oprettelse af Det Europæiske Udvalg for Kunstig Intelligens og dets struktur

1. Der oprettes herved et Europæisk Udvalg for Kunstig Intelligens (»AI-udvalget«).

2. AI-udvalget består af én repræsentant pr. medlemsstat. Den Europæiske Tilsynsførende for Databeskyttelse deltager som observatør. AI-kontoret deltager også i AI-udvalgets møder uden at deltage i afstemningerne. AI-udvalget kan indbyde andre nationale myndigheder, organer eller eksperter og EU-myndigheder, -organer eller -eksperter til møderne fra sag til sag, hvis de spørgsmål, der drøftes, er relevante for dem.

3. Hver repræsentant udpeges af deres medlemsstat for en periode på tre år, der kan forlænges én gang.

4. Medlemsstaterne sikrer, at deres repræsentanter i AI-udvalget:

a) har de relevante kompetencer og beføjelser i deres medlemsstat til at kunne bidrage aktivt til udførelsen af AI-udvalgets opgaver, der er omhandlet i artikel 66

b) udpeges som eneste kontaktpunkt for AI-udvalget og, hvis det er relevant, idet der tages hensyn til medlemsstaternes behov, som eneste kontaktpunkt for interessenter

c) har beføjelse til at lette sammenhæng og koordinering mellem de nationale kompetente myndigheder i deres medlemsstat for så vidt angår gennemførelsen af denne forordning, herunder gennem indsamling af relevante data og oplysninger med henblik på udførelse af deres opgaver i AI-udvalget.

5. De udpegede repræsentanter for medlemsstaterne vedtager AI-udvalgets forretningsorden med to tredjedeles flertal. Forretningsordenen fastlægger navnlig procedurer for udvælgelsesprocessen, varigheden af mandatet for og en beskrivelse af formandskabets opgaver, de nærmere afstemningsordninger og tilrettelæggelsen af AI-udvalgets og dets undergruppers aktiviteter.

6. AI-udvalget opretter to stående undergrupper for at tilvejebringe en platform for samarbejde og udveksling mellem markedsovervågningsmyndighederne og underretning af myndigheder om spørgsmål vedrørende henholdsvis markedsovervågning og bemyndigede organer.

Den stående undergruppe for markedsovervågning bør fungere som den administrative samarbejdsgruppe (ADCO) i forbindelse med denne forordning som omhandlet i artikel 30 i forordning (EU) 2019/1020.

AI-udvalget kan i relevant omfang nedsætte andre stående eller midlertidige undergrupper med henblik på at behandle specifikke spørgsmål. Hvis det er relevant, kan repræsentanter for det rådgivende forum omhandlet i artikel 67 indbydes til sådanne undergrupper eller til specifikke møder i disse undergrupper som observatører.

7. AI-udvalget skal være organiseret og arbejde på en sådan måde, at der i dets arbejde sikres objektivitet og uvildighed.

8. AI-udvalgets formandskab varetages af en af repræsentanterne for medlemsstaterne. AI-kontoret varetager sekretariatsfunktionen for AI-udvalget, indkalder til møderne efter anmodning fra formanden og udarbejder dagsordenen i overensstemmelse med AI-udvalgets opgaver i henhold til denne forordning og dens forretningsorden.

Artikel 66

AI-udvalgets opgaver

AI-udvalget rådgiver og bistår Kommissionen og medlemsstaterne med henblik på at lette en ensartet og effektiv anvendelse af denne forordning. Med henblik herpå kan AI-udvalget navnlig:

a) bidrage til koordineringen mellem de nationale kompetente myndigheder, der er ansvarlige for anvendelsen af denne forordning, og i samarbejde og efter aftale med de pågældende markedsovervågningsmyndigheder støtte markedsovervågningsmyndigheders fælles aktiviteter, der er omhandlet i artikel 74, stk. 11

b) indsamle og udveksle teknisk og reguleringsmæssig ekspertise og bedste praksis blandt medlemsstaterne

c) yde rådgivning om gennemførelsen af denne forordning, navnlig med hensyn til håndhævelsen af reglerne om AI-modeller til almen brug

d) bidrage til harmonisering af administrative former for praksis i medlemsstaterne, herunder i forbindelse med undtagelsen fra de overensstemmelsesvurderingsprocedurer, der er omhandlet i artikel 46, reguleringsmæssige AI-sandkassers funktion og afprøvning under faktiske forhold, der er omhandlet i artikel 57, 59 og 60

e) på anmodning af Kommissionen eller på eget initiativ fremsætte henstillinger og afgive skriftlige udtalelser om alle relevante spørgsmål vedrørende gennemførelsen af denne forordning og dens ensartede og effektive anvendelse, herunder:

i) om udarbejdelse og anvendelse af adfærdskodekser og praksiskodekser i henhold til denne forordning samt af Kommissionens retningslinjer

ii) evalueringen og revisionen af denne forordning i medfør af artikel 112, herunder for så vidt angår de indberetninger af alvorlige hændelser, der er omhandlet i artikel 73, og funktionen af den EU-database, der er omhandlet i artikel 71, udarbejdelsen af delegerede retsakter eller gennemførelsesretsakter og for så vidt angår eventuelle tilpasninger af denne forordning til den EU-harmoniseringslovgivning, der er opført i bilag I

iii) om tekniske specifikationer eller eksisterende standarder vedrørende de i kapitel III, afdeling 2, fastsatte krav

iv) om anvendelsen af harmoniserede standarder eller fælles specifikationer, der er omhandlet i artikel 40 og 41

v) tendenser såsom europæisk global konkurrenceevne inden for AI, udbredelsen af AI i Unionen og udviklingen af digitale færdigheder

vi) tendenser vedrørende udviklingen i typologien af AI-værdikæder, navnlig vedrørende de deraf følgende konsekvenser med hensyn til ansvarlighed

vii) om det potentielle behov for ændring af bilag III i overensstemmelse med artikel 7 og om det potentielle behov for en eventuel revision af artikel 5 i medfør af artikel 112 under hensyntagen til relevant tilgængelig dokumentation og den seneste teknologiske udvikling

f) støtte Kommissionen i at fremme AI-færdigheder, offentlighedens kendskab til og forståelse af fordele, risici, sikkerhedsforanstaltninger og rettigheder og forpligtelser i forbindelse med anvendelsen af AI-systemer

g) lette udarbejdelsen af fælles kriterier og en fælles forståelse blandt markedsoperatører og kompetente myndigheder af de relevante begreber i denne forordning, herunder ved at bidrage til udarbejdelse af benchmarks

h) samarbejde, alt efter hvad der er relevant, med andre EU-institutioner, -organer, -kontorer og -agenturer samt relevante EU-ekspertgrupper og -netværk, navnlig inden for produktsikkerhed, cybersikkerhed, konkurrence, digitale tjenester og medietjenester, finansielle tjenesteydelser, forbrugerbeskyttelse, databeskyttelse og beskyttelse af grundlæggende rettigheder

i) bidrage til et effektivt samarbejde med de kompetente myndigheder i tredjelande og med internationale organisationer

j) bistå de nationale kompetente myndigheder og Kommissionen med udviklingen af den organisatoriske og tekniske ekspertise, der er nødvendig for gennemførelsen af denne forordning, herunder ved at bidrage til vurderingen af uddannelsesbehovene for personale i de medlemsstater, der er involveret i gennemførelsen af denne forordning

k) bistå AI-kontoret med at støtte de nationale kompetente myndigheder i etableringen og udviklingen af reguleringsmæssige AI-sandkasser og lette samarbejdet og informationsudvekslingen mellem reguleringsmæssige AI-sandkasser

l) bidrage til og yde relevant rådgivning om udarbejdelsen af vejledningsdokumenter

m) rådgive Kommissionen i forbindelse med internationale spørgsmål om AI

n) afgive udtalelser til Kommissionen om de kvalificerede varslinger vedrørende AI-modeller til almen brug

o) modtage udtalelser fra medlemsstaterne om kvalificerede varslinger vedrørende AI-modeller til almen brug og om nationale erfaringer og praksis vedrørende overvågning og håndhævelse af AI-systemer, navnlig de systemer, der integrerer AI-modeller til almen brug.

Artikel 67

Det rådgivende forum

1. Der oprettes et rådgivende forum til at yde teknisk ekspertise til og rådgive AI-udvalget og Kommissionen og bidrage til deres opgaver i henhold til denne forordning.

2. Det rådgivende forums medlemmer skal repræsentere et afbalanceret udvalg af interessenter, herunder industrien, iværksættervirksomheder, SMV'er, civilsamfundet og den akademiske verden. Der skal være balance mellem det rådgivende forums medlemmer med hensyn til kommercielle og ikkekommercielle interesser og inden for kategorien af kommercielle interesser med hensyn til SMV'er og andre virksomheder.

3. Kommissionen udpeger medlemmerne af det rådgivende forum i overensstemmelse med kriterierne i stk. 2 blandt interessenter med anerkendt ekspertise inden for AI.

4. Mandatperioden for medlemmerne af det rådgivende forum er to år, som kan forlænges med højst fire år.

5. Agenturet for Grundlæggende Rettigheder, ENISA, Den Europæiske Standardiseringsorganisation (CEN), Den Europæiske Komité for Elektroteknisk Standardisering (Cenelec) og Det Europæiske Standardiseringsinstitut for Telekommunikation (ETSI) er permanente medlemmer af det rådgivende forum.

6. Det rådgivende forum fastsætter selv sin forretningsorden. Det vælger to medformænd blandt sine medlemmer i overensstemmelse med kriterierne i stk. 2. Medformændenes mandatperiode er på to år og kan forlænges én gang.

7. Det rådgivende forum afholder møder mindst to gange om året. Det rådgivende forum kan indbyde eksperter og andre interessenter til sine møder.

8. Det rådgivende forum kan udarbejde udtalelser, anbefalinger og skriftlige bidrag på anmodning af AI-udvalget eller Kommissionen.

9. Det rådgivende forum kan oprette stående eller midlertidige underudvalg, alt efter hvad der er relevant med henblik på undersøgelse af specifikke spørgsmål vedrørende denne forordnings formål.

10. Det rådgivende forum udarbejder en årlig rapport om sine aktiviteter. Denne rapport offentliggøres.

Artikel 68

Videnskabeligt panel af uafhængige eksperter

1. Kommissionen fastsætter ved hjælp af en gennemførelsesretsakt bestemmelser om oprettelse af et videnskabeligt panel af uafhængige eksperter (»det videnskabelige panel«), der skal støtte håndhævelsesaktiviteterne i henhold til denne forordning. Denne gennemførelsesretsakt vedtages efter undersøgelsesproceduren, jf. artikel 98, stk. 2.

2. Det videnskabelige panel skal bestå af eksperter, der udvælges af Kommissionen på grundlag af den ajourførte videnskabelige eller tekniske ekspertise inden for AI, der er nødvendig med henblik på de opgaver, der er fastsat i stk. 3, og skal kunne påvise, at alle følgende betingelser er opfyldt:

a) særlig ekspertise og kompetence og videnskabelig eller teknisk ekspertise inden for AI

b) uafhængighed af udbydere af AI-systemer eller AI-modeller til almen brug

c) evne til at udføre aktiviteter omhyggeligt, nøjagtigt og objektivt.

Kommissionen fastsætter i samråd med AI-udvalget antallet af eksperter i panelet i overensstemmelse med de nødvendige behov og sikrer en fair kønsmæssig og geografisk repræsentation.

3. Det videnskabelige panel rådgiver og støtter AI-kontoret, navnlig med hensyn til følgende opgaver:

a) støtte gennemførelsen og håndhævelsen af denne forordning for så vidt angår AI-modeller og -systemer til almen brug, navnlig ved at:

i) varsle AI-kontoret om mulige systemiske risici på EU-plan ved AI-modeller til almen brug i overensstemmelse med artikel 90

ii) bidrage til udvikling af værktøjer og metoder til at evaluere kapaciteterne i AI-modeller og -systemer til almen brug, herunder gennem benchmarks

iii) yde rådgivning om klassificering af AI-modeller til almen brug med systemisk risiko

iv) yde rådgivning om klassificering af forskellige AI-modeller og -systemer til almen brug

v) bidrage til udviklingen af værktøjer og skabeloner

b) støtte markedsovervågningsmyndighederne arbejde efter disses anmodning

c) støtte grænseoverskridende markedsovervågningsaktiviteter som omhandlet i artikel 74, stk. 11, uden at dette berører markedsovervågningsmyndighedernes beføjelser

d) støtte AI-kontoret i udførelsen af dets opgaver inden for rammerne af EU-beskyttelsesproceduren i henhold til artikel 81.

4. Eksperterne i det videnskabelige panel udfører deres opgaver uvildigt og objektivt og sikrer fortroligheden af de oplysninger og data, der er indhentet under udførelsen af deres opgaver og aktiviteter. De må hverken søge eller modtage instrukser fra nogen, når de udfører deres opgaver i henhold til stk. 3. Hver ekspert udfærdiger en interesseerklæring, der gøres offentligt tilgængelig. AI-kontoret etablerer systemer og procedurer til aktivt at håndtere og forebygge potentielle interessekonflikter.

5. Den gennemførelsesretsakt, der er omhandlet i stk. 1, skal indeholde bestemmelser om betingelserne, procedurerne og de nærmere ordninger for, hvordan det videnskabelige panel og dets medlemmer kan sende varslinger og anmode AI-kontoret om bistand til udførelsen af det videnskabelige panels opgaver.

Artikel 69

Medlemsstaternes adgang til puljen af eksperter

1. Medlemsstaterne kan anmode eksperter i det videnskabelige panel om at støtte deres håndhævelsesaktiviteter i henhold til denne forordning.

2. Medlemsstaterne kan pålægges at betale gebyrer for den rådgivning og støtte, som eksperterne yder. Gebyrernes struktur og størrelse samt størrelsen og strukturen af de omkostninger, der kan kræves erstattet, fastsættes i den gennemførelsesretsakt, der er omhandlet i artikel 68, stk. 1, under hensyntagen til målene om en passende gennemførelse af denne forordning, omkostningseffektivitet og nødvendigheden af at sikre, at alle medlemsstater har effektiv adgang til eksperter.

3. Kommissionen letter medlemsstaternes rettidige adgang til eksperterne efter behov og sikrer, at kombinationen af støtteaktiviteter, som udføres af EU-AI-afprøvningsstøtte i henhold til artikel 84, og eksperter i henhold til nærværende artikel tilrettelægges effektivt og giver den bedst mulige merværdi.

AFDELING 2

Nationale kompetente myndigheder

Artikel 70

Udpegelse af nationale kompetente myndigheder og centrale kontaktpunkter

1. Hver medlemsstat opretter eller udpeger som nationale kompetente myndigheder mindst én bemyndigende myndighed og mindst én markedsovervågningsmyndighed med henblik på denne forordning. Disse nationale kompetente myndigheder udøver deres beføjelser uafhængigt, upartisk og uden bias for derved at beskytte objektiviteten i deres aktiviteter og opgaver og for at sikre anvendelsen og gennemførelsen af denne forordning. Medlemmerne af disse myndigheder afholder sig fra ethvert tiltag, som er uforenelig med deres hverv. Forudsat at disse principper overholdes, kan sådanne aktiviteter og opgaver udføres af en eller flere udpegede myndigheder i overensstemmelse med medlemsstatens organisatoriske behov.

2. Medlemsstaterne meddeler Kommissionen identiteten af de bemyndigende myndigheder og markedsovervågningsmyndighederne og disse myndigheders opgaver samt eventuelle efterfølgende ændringer heraf. Medlemsstaterne offentliggør senest den 2. august 2025 oplysninger om, hvordan de kompetente myndigheder og de centrale kontaktpunkter kan kontaktes ved hjælp af elektroniske kommunikationsmidler. Medlemsstaterne udpeger en markedsovervågningsmyndighed til at fungere som centralt kontaktpunkt for denne forordning og underretter Kommissionen om identiteten af det centrale kontaktpunkt. Kommissionen offentliggør en liste over de centrale kontaktpunkter.

3. Medlemsstaterne sikrer, at deres nationale kompetente myndigheder tilføres tilstrækkelige tekniske, finansielle og menneskelige ressourcer og infrastruktur, til at de kan udføre deres opgaver effektivt i henhold til denne forordning. De nationale kompetente myndigheder skal navnlig råde over et tilstrækkeligt antal medarbejdere på fast basis, hvis kompetencer og ekspertise spænder over en indgående forståelse af AI-teknologier, data og databehandling, beskyttelse af personoplysninger, cybersikkerhed, grundlæggende rettigheder, sundheds- og sikkerhedsrisici og viden om gældende standarder og retlige krav. Medlemsstaterne skal årligt vurdere og om nødvendigt ajourføre de kompetence- og ressourcebehov, der er omhandlet i dette stykke.

4. De nationale kompetente myndigheder skal træffe passende foranstaltninger for at sikre et tilstrækkeligt niveau af cybersikkerhed.

5. De nationale kompetente myndigheder handler i forbindelse med udførelsen af deres opgaver i overensstemmelse med fortrolighedsforpligtelserne fastsat i artikel 78.

6. Senest den 2. august 2025 og én gang hvert andet år derefter aflægger medlemsstaterne rapport til Kommissionen om status for de nationale kompetente myndigheders finansielle og menneskelige ressourcer med en vurdering af deres tilstrækkelighed. Kommissionen videresender disse oplysninger til AI-udvalget med henblik på drøftelse og eventuelle henstillinger.

7. Kommissionen letter udvekslingen af erfaringer mellem de nationale kompetente myndigheder.

8. De nationale kompetente myndigheder kan yde vejledning og rådgivning om gennemførelsen af denne forordning, navnlig til SMV'er, herunder iværksættervirksomheder, under hensyntagen til AI-udvalgets og Kommissionens vejledning og rådgivning, alt efter hvad der er relevant. Når de nationale kompetente myndigheder agter at yde vejledning og rådgivning i forbindelse med et AI-system på områder, der er omfattet af anden EU-ret, skal de nationale kompetente myndigheder i henhold til denne EU-ret høres, alt efter hvad der er relevant.

9. Hvis EU-institutioner, -organer, -kontorer eller -agenturer er omfattet af denne forordnings anvendelsesområde, fungerer Den Europæiske Tilsynsførende for Databeskyttelse som den kompetente myndighed for tilsynet med dem.

KAPITEL VIII

EU-DATABASE FOR HØJRISIKO-AI-SYSTEMER

Artikel 71

EU-database for højrisiko-AI-systemer opført i bilag III

1. Kommissionen opretter og vedligeholder i samarbejde med medlemsstaterne en EU-database med de i denne artikels stk. 2 og 3 omhandlede oplysninger vedrørende højrisiko-AI-systemer, jf. artikel 6, stk. 2, som er registreret i overensstemmelse med artikel 49 og 60, og AI-systemer, der ikke anses som højrisiko-AI-systemer i henhold til artikel 6, stk. 3, og som er registeret i overensstemmelse med artikel 6, stk. 4, og artikel 49. Ved fastsættelsen af funktionsspecifikationerne for en sådan database hører Kommissionen de relevante eksperter og, når den ajourfører funktionsspecifikationerne for en sådan database, hører Kommissionen AI-udvalget.

2. De data, der er anført i bilag VIII, afsnit A og B, indlæses i EU-databasen af udbyderen eller, hvis det er relevant, af den bemyndigede repræsentant.

3. De data, der er anført i bilag VIII, afsnit C, indlæses i EU-databasen af den idriftsætter, som er eller handler på vegne af en offentlig myndighed eller et offentligt agentur eller organ i overensstemmelse med artikel 49, stk. 3 og 4.

4. Med undtagelse af det afsnit, der er omhandlet i artikel 49, stk. 4, og artikel 60, stk. 4, litra c), skal oplysningerne i EU-databasen, der er registreret i overensstemmelse med artikel 49, kunne tilgås og være offentligt tilgængelige på en brugervenlig måde. Oplysningerne bør være lette at finde rundt i og maskinlæsbare. De oplysninger, der registreres i overensstemmelse med artikel 60, må kun være tilgængelige for markedsovervågningsmyndighederne og Kommissionen, medmindre den potentielle udbyder eller udbyderen har givet sit samtykke til, at oplysningerne også gøres tilgængelige for offentligheden.

5. EU-databasen må kun indeholde personoplysninger, i det omfang det er nødvendigt for at indsamle og behandle oplysninger i overensstemmelse med denne forordning. Disse oplysninger omfatter navne og kontaktoplysninger på de fysiske personer, der er ansvarlige for registrering af systemet og har retlig beføjelse til at repræsentere udbyderen eller idriftsætteren, alt efter hvad der er relevant.

6. Kommissionen er dataansvarlig for EU-databasen. Den stiller tilstrækkelig teknisk og administrativ støtte til rådighed for udbydere, potentielle udbydere og idriftsættere. EU-databasen skal overholde gældende tilgængelighedskrav.

KAPITEL IX

OVERVÅGNING EFTER OMSÆTNINGEN, UDVEKSLING AF OPLYSNINGER OG MARKEDSOVERVÅGNING

AFDELING 1

Overvågning efter omsætningen

Artikel 72

Udbydernes overvågning efter omsætningen og plan for overvågning efter omsætningen for højrisiko-AI-systemer

1. Udbyderne skal oprette og dokumentere et system til overvågning efter omsætningen på en måde, der står i et rimeligt forhold til arten af AI-teknologierne og risiciene ved højrisiko-AI-systemet.

2. Systemet til overvågning efter omsætningen indsamler, dokumenterer og analyserer relevante data, som idriftsætterne kan afgive, eller som kan indsamles via andre kilder, om højrisiko-AI-systemers ydeevne i hele deres levetid, og som giver udbyderen mulighed for at evaluere, at AI-systemerne løbende overholder de i kapitel III, afdeling 2, fastsatte krav. Hvis det er relevant, skal overvågning efter omsætningen omfatte en analyse af interaktionen med andre AI-systemer. Denne forpligtelse omfatter ikke følsomme operationelle data om idriftsættere, som er retshåndhævende myndigheder.

3. Systemet til overvågning efter omsætningen skal baseres på en plan for overvågning efter omsætningen. Planen for overvågning efter omsætningen skal være en del af den tekniske dokumentation, der er omhandlet i bilag IV. Kommissionen vedtager senest den 2. februar 2026 en gennemførelsesretsakt om detaljerede bestemmelser om en model for planen for overvågning efter omsætningen og listen over elementer, der skal indgå i planen. Denne gennemførelsesretsakt vedtages efter undersøgelsesproceduren, jf. artikel 98, stk. 2.

4. For højrisiko-AI-systemer, der er omfattet af EU-harmoniseringslovgivningen, som er opført i bilag I, afsnit A, hvor der allerede er etableret et system til og en plan for overvågning efter omsætningen i henhold til nævnte lovgivning, skal udbyderne med henblik på at sikre sammenhæng, undgå overlap og minimere yderligere byrder have mulighed for, alt efter hvad der er relevant, at integrere de nødvendige elementer, der er beskrevet i stk. 1, 2 og 3, ved hjælp af den model, der er omhandlet i stk. 3, i allerede eksisterende systemer og planer i henhold til nævnte lovgivning, forudsat at dette opnår et tilsvarende beskyttelsesniveau.

Dette stykkes første afsnit finder også anvendelse på de i bilag III, punkt 5, omhandlede højrisiko-AI-systemer, der bringes i omsætning eller ibrugtages af finansielle institutioner, som er underlagt krav i henhold til EU-retten om finansielle tjenesteydelser for så vidt angår deres interne ledelse, ordninger eller processer.

AFDELING 2

Udveksling af oplysninger om alvorlige hændelser

Artikel 73

Indberetning af alvorlige hændelser

1. Udbydere af højrisiko-AI-systemer, der bringes i omsætning på EU-markedet, indberetter enhver alvorlig hændelse til markedsovervågningsmyndighederne i de medlemsstater, hvor denne hændelse fandt sted.

2. Den i stk. 1 omhandlede indberetning foretages umiddelbart efter, at udbyderen har fastslået en årsagssammenhæng mellem AI-systemet og den alvorlige hændelse eller en rimelig sandsynlighed for en sådan sammenhæng, og under alle omstændigheder senest 15 dage efter, at udbyderen eller, hvor det er relevant, idriftsætteren har fået kendskab til den alvorlige hændelse.

I den i først afsnit omhandlede frist for indberetning tages der hensyn til den alvorlige hændelses alvor.

3. Uanset denne artikels stk. 2 forelægges den i denne artikels stk. 1 omhandlede rapport i tilfælde af en udbredt overtrædelse eller en alvorlig hændelse som defineret i artikel 3, nr. 49), litra b), omgående og senest to dage efter, at udbyderen eller, hvis det er relevant, idriftsætteren har fået kendskab til den pågældende hændelse.

4. Uanset stk. 2 forelægges rapporten i tilfælde af en persons dødsfald umiddelbart efter, at udbyderen eller idriftsætteren har fastslået, eller så snart vedkommende har mistanke om en årsagssammenhæng mellem højrisiko-AI-systemet og den alvorlige hændelse, og senest ti dage efter den dato, hvor udbyderen eller, hvis det er relevant, idriftsætteren har fået kendskab til den alvorlige hændelse.

5. Udbyderen eller, hvis det er relevant, idriftsætteren kan om nødvendigt for at sikre rettidig indberetning forelægge en indledende rapport, som ikke er fyldestgørende, efterfulgt af en fyldestgørende rapport.

6. Efter indberetning af en alvorlig hændelse i henhold til stk. 1 skal udbyderen straks foretage de nødvendige undersøgelser vedrørende den alvorlige hændelse og det pågældende AI-system. Dette omfatter en risikovurdering af hændelsen og korrigerende tiltag.

Udbyderen samarbejder med de kompetente myndigheder og, hvis det er relevant, med det berørte bemyndigede organ under de undersøgelser, der er omhandlet i første afsnit, og må ikke foretage nogen undersøgelse, der medfører ændringer af det pågældende AI-system på en sådan måde, at det kan påvirke en efterfølgende evaluering af årsagerne til hændelsen, uden først at orientere de kompetente myndigheder om et sådant tiltag.

7. Når den relevante markedsovervågningsmyndighed modtager en indberetning vedrørende en alvorlig hændelse omhandlet i artikel 3, nr. 49), litra c), underretter den de nationale offentlige myndigheder eller organer, der er omhandlet i artikel 77, stk. 1. Kommissionen udarbejder særlig vejledning for at lette overholdelsen af forpligtelserne i nærværende artikels stk. 1. Denne vejledning udstedes senest den 2. august 2025 og vurderes regelmæssigt.

8. Markedsovervågningsmyndigheden træffer passende foranstaltninger, jf. artikel 19 i forordning (EU) 2019/1020, senest syv dage fra den dato, hvor den modtog den i nærværende artikels stk. 1 omhandlede indberetning, og følger indberetningsprocedurerne som fastsat i nævnte forordning.

9. I forbindelse med de i bilag III omhandlede højrisiko-AI-systemer, der bringes i omsætning eller ibrugtages af udbydere, som er underlagt Unionens lovgivningsmæssige instrumenter om indberetningsforpligtelser svarende til dem, der er fastsat i denne forordning, begrænses indberetningen af alvorlige hændelser til dem, der er omhandlet i artikel 3, nr. 49), litra c).

10. For højrisiko-AI-systemer, som er sikkerhedskomponenter i udstyr, eller som selv er udstyr, der er omfattet af forordning (EU) 2017/745 og (EU) 2017/746, begrænses indberetningen af alvorlige hændelser til dem, der er omhandlet i nærværende forordnings artikel 3, nr. 49), litra c), og foretages til den nationale kompetente myndighed, som er valgt til dette formål af den medlemsstat, hvor hændelsen fandt sted.

11. De nationale kompetente myndigheder underretter omgående Kommissionen om enhver alvorlig hændelse, uanset om de har foretaget tiltag desangående, i overensstemmelse med artikel 20 i forordning (EU) 2019/1020.

AFDELING 3

Håndhævelse

Artikel 74

Markedsovervågning og kontrol af AI-systemer på EU-markedet

1. Forordning (EU) 2019/1020 finder anvendelse på AI-systemer, der er omfattet af nærværende forordning. Med henblik på effektiv håndhævelse af nærværende forordning gælder følgende:

a) enhver henvisning til en erhvervsdrivende i henhold til forordning (EU) 2019/1020 skal forstås således, at den omfatter alle operatører, der er omfattet af nærværende forordnings artikel 2, stk. 1

b) enhver henvisning til et produkt i henhold til forordning (EU) 2019/1020 skal forstås således, at den omfatter alle AI-systemer, der henhører under nærværende forordnings anvendelsesområde.

2. Som led i deres rapporteringsforpligtelser i henhold til artikel 34, stk. 4, i forordning (EU) 2019/1020 aflægger markedsovervågningsmyndighederne årligt rapport til Kommissionen og de relevante nationale konkurrencemyndigheder i forbindelse med markedsovervågningsaktiviteter, som kan være af potentiel interesse for anvendelsen af EU-retten om konkurrenceregler. De aflægger også årligt rapport til Kommissionen om anvendelsen af forbudt praksis, der har fundet sted i løbet af det pågældende år, og om de foranstaltninger, der er truffet.

3. For så vidt angår højrisiko-AI-systemer, som er knyttet til produkter, der er omfattet af EU-harmoniseringslovgivningen, som er opført i bilag I, afsnit A, er markedsovervågningsmyndigheden med henblik på denne forordning den myndighed, der i henhold til disse retsakter er ansvarlig for markedsovervågningsaktiviteter.

Uanset første afsnit og under behørige omstændigheder kan medlemsstaterne udpege en anden relevant myndighed til at fungere som markedsovervågningsmyndighed, forudsat at de sikrer koordinering med de relevante sektorspecifikke markedsovervågningsmyndigheder, der er ansvarlige for håndhævelsen af den EU-harmoniseringslovgivning, der er opført i bilag I.

4. De procedurer, der er omhandlet i denne forordnings artikel 79-83, finder ikke anvendelse på AI-systemer, som er knyttet til produkter, der er omfattet af EU-harmoniseringslovgivningen, som er opført i bilag I, afsnit A, hvis sådanne retsakter allerede indeholder bestemmelser om procedurer, der sikrer et tilsvarende beskyttelsesniveau og har det samme formål. I sådanne tilfælde finder de relevante sektorprocedurer anvendelse i stedet.

5. Uden at det berører markedsovervågningsmyndighedernes beføjelser i henhold til artikel 14 i forordning (EU) 2019/1020, kan markedsovervågningsmyndighederne med henblik på at sikre en effektiv håndhævelse af nærværende forordning udøve de beføjelser, der er omhandlet i nævnte forordnings artikel 14, stk. 4, litra d) og j), på afstand, alt efter hvad der er relevant.

6. For så vidt angår højrisiko-AI-systemer, der bringes i omsætning, ibrugtages eller anvendes af finansielle institutioner, der er omfattet af EU-retten om finansielle tjenesteydelser, er markedsovervågningsmyndigheden med henblik på denne forordning den relevante nationale myndighed, der i henhold til nævnte lovgivning er ansvarlig for det finansielle tilsyn med disse institutioner, såfremt omsætningen, ibrugtagningen eller anvendelsen af AI-systemet er i direkte forbindelse med leveringen af disse finansielle tjenesteydelser.

7. Uanset stk. 6 kan medlemsstaten under behørige omstændigheder, og forudsat at der sikres koordinering, udpege en anden relevant myndighed som markedsovervågningsmyndighed med henblik på denne forordning.

Nationale markedsovervågningsmyndigheder, som fører tilsyn med kreditinstitutter, der er reguleret i henhold til direktiv 2013/36/EU, og som deltager i den fælles tilsynsmekanisme, der er oprettet ved forordning (EU) nr. 1024/2013, bør straks indberette alle de oplysninger identificeret i forbindelse med deres markedsovervågningsaktiviteter, som kan være af potentiel interesse for Den Europæiske Centralbanks tilsynsopgaver som fastsat i nævnte forordning, til Den Europæiske Centralbank.

8. For så vidt angår de højrisiko-AI-systemer, der er anført i bilag III, punkt 1, til denne forordning for så vidt systemerne anvendes til retshåndhævelsesformål, grænseforvaltning og retsvæsen og demokrati, og de højrisiko-AI-systemer, der er anført i bilag III, punkt 6, 7 og 8, til denne forordning, udpeger medlemsstaterne med henblik på denne forordning som markedsovervågningsmyndigheder enten de kompetente datatilsynsmyndigheder i henhold til forordning (EU) 2016/679 eller direktiv (EU) 2016/680 eller enhver anden myndighed, der er udpeget på de samme betingelser, der er fastsat i artikel 41-44 i direktiv (EU) 2016/680. Markedsovervågningsaktiviteter må på ingen måde påvirke de judicielle myndigheders uafhængighed eller på anden måde gribe ind i deres aktiviteter, når de handler i deres egenskab af domstol.

9. I tilfælde, hvor EU-institutioner, -organer, -kontorer eller -agenturer er omfattet af denne forordning, fungerer Den Europæiske Tilsynsførende for Databeskyttelse som deres markedsovervågningsmyndighed, undtagen i forbindelse med EU-Domstolen, som handler i sin egenskab af domstol.

10. Medlemsstaterne skal lette koordinering mellem markedsovervågningsmyndigheder, der er udpeget i henhold til denne forordning, og andre relevante nationale myndigheder eller organer, der fører tilsyn med anvendelsen af den EU-harmoniseringslovgivning, der er opført i bilag I, eller anden EU-ret, der kan være relevant for de i bilag III omhandlede højrisiko-AI-systemer.

11. Markedsovervågningsmyndighederne og Kommissionen kan foreslå fælles aktiviteter, herunder fælles undersøgelser, som skal gennemføres af enten markedsovervågningsmyndigheder eller af markedsovervågningsmyndigheder sammen med Kommissionen, og som har til formål at fremme overholdelse, identificere manglende overholdelse, øge bevidstheden eller yde vejledning for så vidt angår denne forordning med hensyn til specifikke kategorier af højrisiko-AI-systemer, der anses for at udgøre en alvorlig risiko i to eller flere medlemsstater i overensstemmelse med artikel 9 i forordning (EU) 2019/1020. AI-kontoret sørger for koordinerende støtte til de fælles undersøgelser.

12. Uden at det berører de beføjelser, der er fastsat i forordning (EU) 2019/1020, og hvis det er relevant og begrænset til, hvad der er nødvendigt for, at markedsovervågningsmyndighederne kan udføre deres opgaver, gives de af udbydere fuld adgang til den dokumentation samt til de trænings-, validerings- og afprøvningsdatasæt, der anvendes til udvikling af højrisiko-AI-systemer, herunder, hvis det er relevant og med forbehold af sikkerhedsforanstaltninger, via programmeringsgrænseflader for applikationer (API'er) eller andre relevante tekniske midler og værktøjer, der muliggør fjernadgang.

13. Markedsovervågningsmyndighederne gives efter begrundet anmodning adgang til kildekoden for højrisiko-AI-systemet, og kun når begge følgende betingelser er opfyldt:

a) adgang til kildekode er nødvendig for at vurdere, om et højrisiko-AI-system er i overensstemmelse med kravene i kapitel III, afdeling 2, og

b) afprøvnings- eller revisionsprocedurer og -verifikationer på grundlag af data og dokumentation fra udbyderen er udtømt eller har vist sig at være utilstrækkelige.

14. Alle de oplysninger eller al den dokumentation, som markedsovervågningsmyndighederne kommer i besiddelse af, behandles i overensstemmelse med fortrolighedsforpligtelserne fastsat i artikel 78.

Artikel 75

Gensidig bistand, markedsovervågning og kontrol med AI-systemer til almen brug

1. Hvis et AI-system er baseret på en AI-model til almen brug, og modellen og systemet er udviklet af den samme udbyder, har AI-kontoret beføjelser til at overvåge og føre tilsyn med, om det pågældende AI-system overholder kravene i denne forordning. For at varetage sine overvågnings- og tilsynsopgaver skal AI-kontoret have alle beføjelser som markedsovervågningsmyndighed, der er fastsat i denne afdeling og forordning (EU) 2019/1020.

2. Hvis de relevante markedsovervågningsmyndigheder har tilstrækkelig grund til at mene, at AI-systemer til almen brug, som kan anvendes direkte af idriftsættere til mindst ét formål, der er klassificeret som højrisiko i henhold til denne forordning, ikke overholder kravene i denne forordning, samarbejder de med AI-kontoret om at foretage evalueringer af overholdelsen og underretter AI-udvalget og andre markedsovervågningsmyndigheder i overensstemmelse hermed.

3. Hvis en markedsovervågningsmyndighed ikke er i stand til at afslutte sin undersøgelse af højrisiko-AI-systemet som følge af manglende adgang til visse oplysninger vedrørende AI-modellen til almen brug, selv om den har udfoldet alle de nødvendige bestræbelser på at indhente disse oplysninger, kan den fremsætte en begrundet anmodning til AI-kontoret, hvorved adgangen til disse oplysninger skal håndhæves. I dette tilfælde skal AI-kontoret straks og under alle omstændigheder inden for 30 dage give den anmodende myndighed alle oplysninger, som AI-kontoret anser for at være relevante for at fastslå, om et højrisiko-AI-system overholder gældende regler eller ej. Markedsovervågningsmyndighederne sikrer, at de oplysninger, som de kommer i besiddelse af, behandles fortroligt i overensstemmelse med denne forordnings artikel 78. Proceduren i kapitel VI i forordning (EU) 2019/1020 finder tilsvarende anvendelse.

Artikel 76

Markedsovervågningsmyndighedernes tilsyn med afprøvning under faktiske forhold

1. Markedsovervågningsmyndighederne har kompetencer og beføjelser til at sikre, at afprøvning under faktiske forhold er i overensstemmelse med denne forordning.

2. Hvis der udføres afprøvning under faktiske forhold for AI-systemer, som der føres tilsyn med i den reguleringsmæssige AI-sandkasse i henhold til artikel 58, kontrollerer markedsovervågningsmyndighederne overholdelsen af artikel 60 som led i deres tilsynsrolle for den reguleringsmæssige AI-sandkasse. Disse myndigheder kan, alt efter hvad der er relevant, tillade, at afprøvningen under faktiske forhold udføres af udbyderen eller den potentielle udbyder som en undtagelse fra betingelserne i artikel 60, stk. 4, litra f) og g).

3. Hvis en markedsovervågningsmyndighed er blevet underrettet af den potentielle udbyder, udbyderen eller enhver tredjepart om en alvorlig hændelse eller har andre grunde til at mene, at betingelserne i artikel 60 og 61 ikke er opfyldt, kan den træffe en af følgende afgørelser på sit område, alt efter hvad der er relevant:

a) suspendere eller afslutte afprøvningen under faktiske forhold

b) kræve, at udbyderen eller den potentielle udbyder og idriftsætteren eller den potentielle idriftsætter ændrer et hvilket som helst aspekt af afprøvningen under faktiske forhold.

4. Hvis en markedsovervågningsmyndighed har truffet en afgørelse omhandlet i denne artikels stk. 3 eller har gjort indsigelse som omhandlet i artikel 60, stk. 4, litra b), skal afgørelsen eller indsigelsen indeholde en begrundelse herfor og angive, hvordan udbyderen eller den potentielle udbyder kan anfægte afgørelsen eller indsigelsen.

5. Hvis en markedsovervågningsmyndighed har truffet en afgørelse omhandlet i stk. 3, meddeler den, hvis det er relevant, begrundelsen herfor til markedsovervågningsmyndighederne i de andre medlemsstater, hvor AI-systemet er blevet afprøvet i overensstemmelse med planen for afprøvning.

Artikel 77

Beføjelser tillagt myndigheder, der beskytter de grundlæggende rettigheder

1. Nationale offentlige myndigheder eller organer, der fører tilsyn med eller håndhæver overholdelsen af forpligtelser i henhold til EU-retten om beskyttelse af de grundlæggende rettigheder, herunder retten til beskyttelse mod forskelsbehandling, i forbindelse med anvendelsen af højrisiko-AI-systemer omhandlet i. bilag III har beføjelse til at anmode om og få adgang til al dokumentation, der er udarbejdet eller opretholdt i henhold til denne forordning, på et tilgængeligt sprog og i et tilgængeligt format, hvis adgang til denne dokumentation er nødvendig for effektivt at kunne udøve deres mandater inden for rammerne af deres jurisdiktion. Den relevante offentlige myndighed eller det relevante offentlige organ underretter markedsovervågningsmyndigheden i den pågældende medlemsstat om enhver sådan anmodning.

2. Senest den 2. november 2024 identificerer hver medlemsstat de offentlige myndigheder eller organer, der er omhandlet i stk. 1, og offentliggør en liste. Medlemsstaterne meddeler listen til Kommissionen og de øvrige medlemsstater og holder listen ajour.

3. Hvis den i stk. 1 omhandlede dokumentation er utilstrækkelig til at fastslå, om der er sket en tilsidesættelse af forpligtelser i henhold til den del af EU-retten, der beskytter de grundlæggende rettigheder, kan den offentlige myndighed eller det offentlige organ, der er omhandlet i stk. 1, fremsætte en begrundet anmodning til markedsovervågningsmyndigheden om at tilrettelægge afprøvning af højrisiko-AI-systemet ved hjælp af tekniske midler. Markedsovervågningsmyndigheden tilrettelægger afprøvningen med tæt inddragelse af den anmodende offentlige myndighed eller det anmodende offentlige organ inden for rimelig tid efter anmodningen.

4. Alle de oplysninger eller al den dokumentation, som de i denne artikels stk. 1 omhandlede nationale offentlige myndigheder eller organer kommer i besiddelse af i henhold til denne artikel, behandles i overensstemmelse med fortrolighedsforpligtelserne fastsat i artikel 78.

Artikel 78

Fortrolighed

1. Kommissionen, markedsovervågningsmyndighederne og bemyndigede organer og enhver anden fysisk eller juridisk person, der er involveret i anvendelsen af denne forordning, respekterer i overensstemmelse med EU-retten eller national ret fortroligheden af oplysninger og data, som de kommer i besiddelse af under udførelsen af deres opgaver og aktiviteter, på en sådan måde, at de navnlig beskytter:

a) intellektuelle ejendomsrettigheder og fysiske eller juridiske personers fortrolige forretningsoplysninger eller forretningshemmeligheder, herunder kildekode, med undtagelse af de tilfælde, der er omhandlet i artikel 5 i Europa- Parlamentets og Rådets direktiv (EU) 2016/943 (57)

b) den effektive gennemførelse af denne forordning, navnlig for så vidt angår inspektioner, undersøgelser eller revisioner

c) offentlige og nationale sikkerhedsinteresser

d) strafferetlige eller administrative procedurers gennemførelse

e) informationer, der er klassificeret i henhold til EU-retten eller national ret.

2. De myndigheder, der er involveret i anvendelsen af denne forordning i henhold til stk. 1, må kun anmode om data, der er strengt nødvendige for at vurdere den risiko, som AI-systemer udgør, og for at udøve deres beføjelser i overensstemmelse med denne forordning og med forordning (EU) 2019/1020. De skal indføre passende og effektive cybersikkerhedsforanstaltninger for at beskytte sikkerheden og fortroligheden af de indsamlede oplysninger og data og slette de indsamlede data, så snart de ikke længere er nødvendige til det formål, som de blev indsamlet til, i overensstemmelse med gældende EU-ret eller national ret.

3. Uden at det berører stk. 1 og 2 må oplysninger, der udveksles fortroligt mellem de nationale kompetente myndigheder eller mellem de nationale kompetente myndigheder og Kommissionen, ikke videregives uden forudgående høring af den oprindelige nationale kompetente myndighed og idriftsætteren i tilfælde, hvor højrisiko-AI-systemer omhandlet i bilag III, punkt 1, 6 eller 7, anvendes af retshåndhævende myndigheder, grænsekontrolmyndigheder, indvandringsmyndigheder eller asylmyndigheder, og hvis en sådan videregivelse ville bringe offentlige og nationale sikkerhedsinteresser i fare. Denne udveksling af oplysninger omfatter ikke følsomme operationelle oplysninger i forbindelse med aktiviteter, der udføres af retshåndhævende myndigheder, grænsekontrolmyndigheder, indvandringsmyndigheder eller asylmyndigheder.

I tilfælde, hvor de retshåndhævende myndigheder, indvandringsmyndighederne eller asylmyndighederne er udbydere af højrisiko-AI-systemer, der er omhandlet i bilag III, punkt 1, 6 eller 7, skal den tekniske dokumentation, der er omhandlet i bilag IV, forblive hos disse myndigheder. Disse myndigheder sikrer, at de markedsovervågningsmyndigheder, der er omhandlet i artikel 74, stk. 8 og 9, alt efter hvad der er relevant, efter anmodning omgående kan få adgang til dokumentationen eller få en kopi heraf. Kun det af markedsovervågningsmyndighedens personale, der har et passende sikkerhedsgodkendelsesniveau, må få adgang til dokumentationen eller en kopi heraf.

4. Stk. 1, 2 og 3 berører ikke Kommissionens, medlemsstaternes og deres relevante myndigheders samt de bemyndigede organers rettigheder eller forpligtelser med hensyn til udveksling af oplysninger og udsendelse af advarsler, herunder i forbindelse med grænseoverskridende samarbejde, eller de berørte parters forpligtelse til at afgive oplysninger inden for rammerne af medlemsstaternes strafferet.

5. Kommissionen og medlemsstaterne kan om nødvendigt og i overensstemmelse med relevante bestemmelser i internationale aftaler og handelsaftaler udveksle fortrolige oplysninger med reguleringsmyndigheder i tredjelande, med hvilke de har indgået bilaterale eller multilaterale fortrolighedsordninger, der sikrer en tilstrækkelig grad af fortrolighed.

Artikel 79

Procedure på nationalt plan i tilfælde af AI-systemer, der udgør en risiko

1. AI-systemer, der udgør en risiko, skal forstås som et »produkt, der udgør en risiko« som defineret i artikel 3, nr. 19), i forordning (EU) 2019/1020, for så vidt de udgør risici for sundhed eller sikkerhed eller for personers grundlæggende rettigheder.

2. Hvis en medlemsstats markedsovervågningsmyndighed har tilstrækkelig grund til at mene, at et AI-system udgør en risiko som omhandlet i denne artikels stk. 1, foretager den en evaluering af det pågældende AI-system for så vidt angår dets overholdelse af alle de krav og forpligtelser, der er fastsat i denne forordning. Der lægges særlig vægt på AI-systemer, der udgør en risiko for sårbare grupper. Hvis der identificeres risici for grundlæggende rettigheder, underretter markedsovervågningsmyndigheden også de relevante nationale offentlige myndigheder eller organer, der er omhandlet i artikel 77, stk. 1, og samarbejder fuldt ud med dem. De relevante operatører samarbejder om nødvendigt med markedsovervågningsmyndigheden og med de andre nationale offentlige myndigheder eller organer, der er omhandlet i artikel 77, stk. 1. Hvis markedsovervågningsmyndigheden i forbindelse med evalueringen eller i givet fald i samarbejde med den nationale offentlige myndighed, der er omhandlet i artikel 77, stk. 1, konstaterer, at AI-systemet ikke overholder kravene og forpligtelserne i denne forordning, anmoder den uden unødigt ophold den pågældende operatør om at foretage alle fornødne korrigerende tiltag til at sørge for, at AI-systemet overholder kravene og forpligtelserne, tilbagetrække AI-systemet fra markedet eller tilbagekalde det inden for en tidsfrist, som markedsovervågningsmyndigheden kan fastsætte, og under alle omstændigheder inden for 15 arbejdsdage eller som fastsat i den relevante EU-harmoniseringslovgivning.

Markedsovervågningsmyndigheden skal underrette det relevante bemyndigede organ herom. Artikel 18 i forordning (EU) 2019/1020 finder anvendelse på de i dette stykkes andet afsnit omhandlede foranstaltninger.

3. Hvis markedsovervågningsmyndigheden konstaterer, at den manglende overholdelse ikke er begrænset til medlemsstatens område, underretter den uden unødigt ophold Kommissionen og de øvrige medlemsstater om resultaterne af evalueringen og om de tiltag, den har pålagt operatøren at foretage.

4. Operatøren sikrer, at der foretages alle fornødne korrigerende tiltag over for alle de pågældende AI-systemer, som denne har gjort tilgængelige EU-markedet.

5. Hvis AI-systemets operatør ikke foretager tilstrækkelige korrigerende tiltag inden for den frist, der er omhandlet i stk. 2, træffer markedsovervågningsmyndigheden de nødvendige foreløbige foranstaltninger til at forbyde eller begrænse, at AI-systemet gøres tilgængeligt på dens nationale marked eller ibrugtages, tilbagetrække produktet eller det selvstændige AI-system fra dette marked eller tilbagekalde det. Den pågældende myndighed giver uden unødigt ophold Kommissionen og de øvrige medlemsstater meddelelse om disse foranstaltninger.

6. Den i stk. 5 omhandlede underretning skal indeholde alle tilgængelige oplysninger, navnlig de nødvendige oplysninger til identifikation af det AI-system, der ikke overholder kravene, AI-systemets og forsyningskædens oprindelse, arten af den påståede manglende overholdelse og af den pågældende risiko, arten og varigheden af de trufne nationale foranstaltninger samt de synspunkter, som den pågældende operatør har fremsat. Markedsovervågningsmyndighederne oplyser navnlig, om den manglende overholdelse af kravene skyldes et eller flere af følgende:

a) manglende overholdelse af forbuddet mod de i artikel 5 omhandlede former for AI-praksis

b) et højrisiko-AI-systems manglende opfyldelse af kravene i kapitel III, afdeling 2

c) mangler i de harmoniserede standarder eller fælles specifikationer, der er omhandlet i artikel 40 og 41, og som danner grundlag for overensstemmelsesformodningen

d) manglende overholdelse af artikel 50.

7. Andre markedsovervågningsmyndigheder end markedsovervågningsmyndigheden i den medlemsstat, der har indledt proceduren, underretter uden unødigt ophold Kommissionen og de øvrige medlemsstater om de trufne foranstaltninger og om yderligere oplysninger, som de måtte råde over, om det pågældende AI-systems manglende overholdelse og om deres indsigelser, hvis de ikke er indforstået med den meddelte nationale foranstaltning.

8. Hvis der ikke inden for tre måneder efter modtagelsen af den i denne artikels stk. 5 omhandlede underretning er blevet gjort indsigelse af enten en markedsovervågningsmyndighed i en medlemsstat eller af Kommissionen mod en foreløbig foranstaltning truffet af en markedsovervågningsmyndighed i en anden medlemsstat, anses denne foranstaltning for at være berettiget. Dette berører ikke den pågældende operatørs procedurerettigheder i overensstemmelse med artikel 18 i forordning (EU) 2019/1020. Den periode på tre måneder, der er omhandlet i nærværende stykke, nedsættes til 30 dage i tilfælde af manglende overholdelse af forbuddet mod de i nærværende forordnings artikel 5 anførte former for AI-praksis.

9. Markedsovervågningsmyndighederne sikrer, at der uden unødigt ophold træffes de fornødne restriktive foranstaltninger med hensyn til det pågældende produkt eller AI-system såsom tilbagetrækning af produktet eller AI-systemet fra deres marked.

Artikel 80

Procedure i tilfælde af AI-systemer, der af udbyderen er klassificeret som ikkehøjrisiko, i forbindelse med anvendelsen af bilag III

1. Hvis en markedsovervågningsmyndighed har tilstrækkelig grund til at mene, at et AI-system, der af udbyderen er klassificeret som ikkehøjrisiko i henhold til artikel 6, stk. 3, faktisk er højrisiko, foretager markedsovervågningsmyndigheden en evaluering af det pågældende AI-system med hensyn til dets klassificering som et højrisiko-AI-system på grundlag af de betingelser, der er fastsat i artikel 6, stk. 3, og Kommissionens retningslinjer.

2. Hvis markedsovervågningsmyndigheden som led i denne evaluering konstaterer, at det pågældende AI-system er højrisiko, pålægger den uden unødigt ophold den relevante udbyder at foretage alle fornødne tiltag til at bringe AI-systemet i overensstemmelse med de krav og forpligtelser, der er fastsat i denne forordning, samt foretage fornødne korrigerende tiltag inden for en tidsfrist, som markedsovervågningsmyndigheden kan fastsætte.

3. Hvis markedsovervågningsmyndigheden konstaterer, at anvendelsen af det pågældende AI-system ikke er begrænset til medlemsstatens område, underretter den uden unødigt ophold Kommissionen og de øvrige medlemsstater om resultaterne af evalueringen og om de tiltag, den har pålagt udbyderen at foretage.

4. Udbyderen sikrer, at der foretages alle de nødvendige tiltag til at bringe AI-systemet i overensstemmelse med kravene og forpligtelserne i denne forordning. Hvis den pågældende udbyder af et AI-system ikke bringer AI-systemet i overensstemmelse med disse krav og forpligtelser inden for den tidsfrist, der er omhandlet i denne artikels stk. 2, straffes udbyderen med bøder i overensstemmelse med artikel 99.

5. Udbyderen sikrer, at der foretages alle fornødne korrigerende tiltag over for alle de pågældende AI-systemer, som denne har gjort tilgængelige EU-markedet.

6. Hvis udbyderen af det pågældende AI-system ikke foretager tilstrækkelige korrigerende tiltag inden for den tidsfrist, der er omhandlet i denne artikels stk. 2, finder artikel 79, stk. 5-9, anvendelse.

7. Hvis markedsovervågningsmyndigheden som led i evalueringen i henhold til denne artikels stk. 1 konstaterer, at AI-systemet er blevet fejlklassificeret af udbyderen som ikkehøjrisiko for at omgå anvendelsen af kravene i kapitel III, afdeling 2, straffes udbyderen med bøder i overensstemmelse med artikel 99.

8. Ved udøvelsen af deres beføjelse til at overvåge anvendelsen af denne artikel og i overensstemmelse med artikel 11 i forordning (EU) 2019/1020 kan markedsovervågningsmyndighederne foretage passende kontroller under særlig hensyntagen til oplysninger, der er lagret i den EU-database, der er omhandlet i nærværende forordnings artikel 71.

Artikel 81

Beskyttelsesprocedure på EU-plan

1. Hvis markedsovervågningsmyndigheden i en medlemsstat inden for tre måneder efter modtagelsen af den i artikel 79, stk. 5, omhandlede underretning eller inden for 30 dage i tilfælde af manglende overholdelse af forbuddet mod de i artikel 5 anførte former for AI-praksis har gjort indsigelse mod en foranstaltning truffet af en anden markedsovervågningsmyndighed, eller hvis Kommissionen finder, at foranstaltningen er i strid med EU-retten, hører Kommissionen uden unødigt ophold den relevante medlemsstats markedsovervågningsmyndighed og den eller de relevante operatører og evaluerer den nationale foranstaltning. På grundlag af resultaterne af denne evaluering træffer Kommissionen senest seks måneder efter den i artikel 79, stk. 5, omhandlede underretning afgørelse om, hvorvidt den nationale foranstaltning er berettiget, eller inden for 60 dage i tilfælde af manglende overholdelse af forbuddet mod de i artikel 5 anførte former for AI-praksis og meddeler sin afgørelse til markedsovervågningsmyndigheden i den pågældende medlemsstat. Kommissionen underretter også alle andre markedsovervågningsmyndigheder om sin afgørelse.

2. Hvis Kommissionen anser den foranstaltning, der er truffet af den relevante medlemsstat, for at være berettiget, sikrer alle medlemsstater, at de træffer de fornødne restriktive foranstaltninger med hensyn til det pågældende AI-system, f.eks. krav om tilbagetrækning af AI-systemet fra deres marked uden unødigt ophold, og underretter Kommissionen herom. Hvis Kommissionen anser den nationale foranstaltning for ikke at være berettiget, trækker den pågældende medlemsstat foranstaltningen tilbage og underretter Kommissionen herom.

3. Hvis den nationale foranstaltning anses for at være berettiget, og hvis AI-systemets manglende overholdelse tilskrives mangler ved de harmoniserede standarder eller fælles specifikationer, der er omhandlet i denne forordnings artikel 40 og 41, anvender Kommissionen proceduren i artikel 11 i forordning (EU) nr. 1025/2012.

Artikel 82

AI-systemer, som overholder kravene, men som udgør en risiko

1. Hvis en medlemsstats markedsovervågningsmyndighed efter at have foretaget en vurdering i henhold til artikel 79 og efter høring af den relevante nationale offentlige myndighed, der er omhandlet i artikel 77, stk. 1, finder, at et højrisiko-AI-system, selv om det overholder kravene i denne forordning, alligevel udgør en risiko for personers sundhed eller sikkerhed, for grundlæggende rettigheder eller for andre aspekter vedrørende beskyttelse af samfundsinteresser, skal den pålægge den relevante operatør uden unødigt ophold at træffe alle nødvendige foranstaltninger for at sikre, at det pågældende AI-system, når det bringes i omsætning eller ibrugtages, ikke længere udgør en sådan risiko, inden for en tidsfrist, som den kan fastsætte.

2. Udbyderen eller en anden relevant operatør sikrer, at der foretages korrigerende tiltag med hensyn til alle de pågældende AI-systemer, som vedkommende har gjort tilgængelige på EU-markedet, inden for den tidsfrist, der er fastsat af medlemsstatens markedsovervågningsmyndighed, der er omhandlet stk. 1.

3. Medlemsstaterne underretter omgående Kommissionen og de øvrige medlemsstater om resultaterne i henhold til stk. 1. Denne underretning skal indeholde alle tilgængelige oplysninger, især de nødvendige data til identifikation af de pågældende AI-systemer, AI-systemets oprindelse og forsyningskæde, arten af den pågældende risiko og arten og varigheden af de trufne nationale foranstaltninger.

4. Kommissionen hører uden unødigt ophold de berørte medlemsstater og de relevante operatører og vurderer de trufne nationale foranstaltninger. På grundlag af resultaterne af denne vurdering træffer Kommissionen afgørelse om, hvorvidt foranstaltningen er berettiget, og foreslår om nødvendigt andre passende foranstaltninger.

5. Kommissionen meddeler omgående sin afgørelse til de pågældende medlemsstater og til de relevante operatører. Den underretter også de øvrige medlemsstater.

Artikel 83

Formel manglende overholdelse

1. Hvis en medlemsstats markedsovervågningsmyndighed konstaterer et af følgende forhold, pålægger den den pågældende udbyder at bringe den manglende overholdelse til ophør inden for en tidsfrist, som den kan fastsætte:

a) CE-mærkningen er anbragt i modstrid med artikel 48

b) CE-mærkningen er ikke anbragt

c) den i artikel 47 omhandlede EU-overensstemmelseserklæring er ikke udarbejdet

d) den i artikel 47 omhandlede EU-overensstemmelseserklæring er ikke udarbejdet korrekt

e) den i artikel 71 omhandlede registrering i EU-databasen er ikke foretaget

f) der er, hvor det er relevant, ikke udpeget nogen bemyndiget repræsentant

g) den tekniske dokumentation er ikke tilgængelig.

2. Hvis der fortsat er tale om manglende overholdelse omhandlet i stk. 1, skal markedsovervågningsmyndigheden i den pågældende medlemsstat træffe nødvendige og forholdsmæssige foranstaltninger for at begrænse eller forbyde, at højrisiko-AI-systemet gøres tilgængeligt på markedet, eller for at sikre, at det straks tilbagekaldes eller tilbagetrækkes fra markedet.

Artikel 84

EU-støttestrukturer for afprøvning af AI

1. Kommissionen udpeger en eller flere EU-støttestrukturer for afprøvning af AI til at udføre de opgaver, der er anført i artikel 21, stk. 6, i forordning (EU) 2019/1020 inden for AI.

2. Uden at det berører de opgaver, der er omhandlet i stk. 1, skal EU-støttestrukturer for afprøvning af AI også yde uafhængig teknisk eller videnskabelig rådgivning på anmodning af AI-udvalget, Kommissionen eller markedsovervågningsmyndighederne.

AFDELING 4

Retsmidler

Artikel 85

Ret til at indgive klage til en markedsovervågningsmyndighed

Uden at det berører andre administrative klageadgange eller adgang til retsmidler, kan enhver fysisk eller juridisk person, der har grund til at mene, at der er sket en overtrædelse af bestemmelserne i denne forordning, indgive klager til den relevante markedsovervågningsmyndighed.

I overensstemmelse med forordning (EU) 2019/1020 tages sådanne klager i betragtning med henblik på at udføre markedsovervågningsaktiviteterne og behandles i overensstemmelse med de særlige procedurer, som markedsovervågningsmyndighederne har fastlagt dertil.

Artikel 86

Ret til at få en forklaring om individuel beslutningstagning

1. Enhver berørt person, der er omfattet af en afgørelse truffet af idriftsætteren på grundlag af output fra et højrisiko-AI-system opført i bilag III, med undtagelse af systemerne opført i nævnte bilags punkt 2, og som har retsvirkninger eller på tilsvarende måde i væsentlig grad påvirker den pågældende person på en måde, som de anser for at have negativ indvirkning på vedkommendes sundhed, sikkerhed eller grundlæggende rettigheder, har ret til at få en klar og meningsfuld forklaring fra idriftsætteren om AI-systemets rolle i beslutningsprocessen og hovedelementerne i den trufne afgørelse.

2. Stk. 1 finder ikke anvendelse på anvendelsen af AI-systemer, for hvilke undtagelser fra eller begrænsninger af forpligtelsen i henhold til nævnte stykke følger af EU-retten eller national ret, der overholder EU-retten.

3. Denne artikel finder kun anvendelse, for så vidt den i stk. 1 omhandlede ret ikke på anden vis er fastsat i EU-retten.

Artikel 87

Indberetning af overtrædelser og beskyttelse af indberettende personer

Direktiv (EU) 2019/1937 finder anvendelse på indberetning af overtrædelser af denne forordning og på beskyttelsen af personer, der indberetter sådanne overtrædelser.

AFDELING 5

Tilsyn, undersøgelser, håndhævelse og overvågning i forbindelse med udbydere af AI-modeller til almen brug

Artikel 88

Håndhævelse af forpligtelser for udbydere af AI-modeller til almen brug

1. Kommissionen har enekompetence til at føre tilsyn med og håndhæve kapitel V under hensyntagen til de proceduremæssige garantier i henhold til artikel 94. Kommissionen overdrager gennemførelsen af disse opgaver til AI-kontoret, uden at dette berører Kommissionens organisationsbeføjelser og kompetencefordelingen mellem medlemsstaterne og Unionen på grundlag af traktaterne.

2. Uden at det berører artikel 75, stk. 3, kan markedsovervågningsmyndighederne anmode Kommissionen om at udøve de beføjelser, der er fastsat i denne afdeling, hvis dette er nødvendigt og forholdsmæssigt for at bistå med udførelsen af deres opgaver i henhold til denne forordning.

Artikel 89

Overvågningstiltag

1. AI-kontoret kan for at kunne udføre de opgaver, der tildeles det i henhold til denne afdeling, foretage de nødvendige tiltag for at overvåge, at udbydere af AI-modeller til almen brug gennemfører og overholder denne forordning effektivt, herunder overholder godkendte praksiskodekser.

2. Downstreamudbydere har ret til at indgive en klage over en overtrædelse af denne forordning. En klage skal være behørigt begrundet og som minimum indeholde:

a) kontaktpunktet for udbyderen af den pågældende AI-model til almen brug

b) en beskrivelse af de relevante kendsgerninger, de pågældende bestemmelser i denne forordning og årsagen til, at downstreamudbyderen mener, at udbyderen af den pågældende AI-model til almen brug har overtrådt denne forordning

c) alle andre oplysninger, som downstreamudbyderen, som sendte anmodningen, anser for relevante, herunder i givet fald oplysninger indsamlet på eget initiativ.

Artikel 90

Varslinger om systemiske risici fra det videnskabelige panel

1. Det videnskabelige panel kan sende en kvalificeret varsling til AI-kontoret, hvis det har begrundet mistanke om, at:

a) en AI-model til almen brug udgør en konkret identificerbar risiko på EU-plan, eller

b) en AI-model til almen brug opfylder betingelserne omhandlet i artikel 51.

2. Efter en sådan kvalificeret varsling kan Kommissionen gennem AI-kontoret og efter at have underrettet AI-udvalget udøve de beføjelser, der er fastsat i denne afdeling, med henblik på at vurdere sagen. AI-kontoret underretter AI-udvalget om enhver foranstaltning i henhold til artikel 91-94.

3. En kvalificeret varsling skal være behørigt begrundet og som minimum indeholde:

a) kontaktpunktet for udbyderen af den pågældende AI-model til almen brug med systemisk risiko

b) en beskrivelse af de relevante kendsgerninger og årsager til varslingen fra det videnskabelige panel

c) alle andre oplysninger, som det videnskabelige panel anser for relevante, herunder i givet fald oplysninger indsamlet på eget initiativ.

Artikel 91

Beføjelse til at anmode om dokumentation og oplysninger

1. Kommissionen kan anmode udbyderen af den pågældende AI-model til almen brug om at stille den dokumentation til rådighed, som udbyderen har udarbejdet i overensstemmelse med artikel 53 og 55, eller eventuelle yderligere oplysninger, som er nødvendige for at vurdere, om udbyderen overholder denne forordning.

2. Inden anmodningen om oplysninger sendes, kan AI-kontoret indlede en struktureret dialog med udbyderen af AI-modellen til almen brug.

3. Efter en behørigt begrundet anmodning fra det videnskabelige panel kan Kommissionen fremsætte en anmodning om oplysninger til en udbyder af en AI-model til almen brug, hvis adgangen til oplysninger er nødvendig og forholdsmæssig for udførelsen af det videnskabelige panels opgaver i henhold til artikel 68, stk. 2.

4. Anmodningen om oplysninger skal angive retsgrundlaget og formålet med anmodningen, præcisere, hvilke oplysninger der anmodes om, fastsætte tidsfristen, inden for hvilken oplysningerne skal fremlægges, og angive de bøder, der er fastsat i artikel 101, for at afgive ukorrekte, ufuldstændige eller vildledende oplysninger.

5. Udbyderen af den pågældende AI-model til almen brug eller dennes repræsentant skal afgive de oplysninger, der anmodes om. Såfremt det drejer sig om juridiske personer, selskaber eller firmaer, eller hvis udbyderen ikke har status som juridisk person, skal de personer, som ved lov eller ifølge deres vedtægter har beføjelse til at repræsentere dem, afgive de oplysninger, der anmodes om på vegne af udbyderen af den pågældende AI-model til almen brug. Behørigt befuldmægtigede advokater kan afgive oplysninger på deres klienters vegne. Klienterne bærer dog det fulde ansvar, såfremt de afgivne oplysninger er ufuldstændige, ukorrekte eller vildledende.

Artikel 92

Beføjelse til at foretage evalueringer

1. AI-kontoret kan efter høring af AI-udvalget foretage evalueringer af den pågældende AI-model til almen brug:

a) med henblik på at vurdere, om udbyderen overholder forpligtelserne i henhold til denne forordning, hvis de indsamlede oplysninger i henhold til artikel 91 er utilstrækkelige, eller

b) med henblik på at undersøge systemiske risici på EU-plan for AI-modeller til almen brug med systemisk risiko, navnlig efter en kvalificeret varsling fra det videnskabelige panel i overensstemmelse med artikel 90, stk. 1, litra a).

2. Kommissionen kan beslutte at udpege uafhængige eksperter til at foretage evalueringer på dens vegne, herunder fra det videnskabelige panel, der er oprettet i henhold til artikel 68. Uafhængige eksperter, der udpeges til denne opgave, skal opfylde kriterierne anført i artikel 68, stk. 2.

3. Med henblik på stk. 1 kan Kommissionen anmode om adgang til den pågældende AI-model til almen brug via API'er eller andre hensigtsmæssige tekniske midler og værktøjer, herunder kildekode.

4. Anmodningen om adgang skal angive retsgrundlaget, formålet med og begrundelsen for anmodningen og fastsætte tidsfristen, inden for hvilken der skal gives adgang, samt bøder, der er fastsat i artikel 101, ved manglende adgang.

5. Udbydere af den pågældende AI-model til almen brug eller dennes repræsentant skal afgive de oplysninger, der anmodes om. Såfremt det drejer sig om juridiske personer, selskaber eller firmaer, eller hvis udbyderen ikke har status som juridisk person, skal de personer, som ved lov eller ifølge deres vedtægter har beføjelse til at repræsentere dem, give den adgang, der anmodes om på vegne af udbyderen af den pågældende AI-model til almen brug.

6. Kommissionen vedtager gennemførelsesretsakter, der fastsætter de nærmere ordninger og bestemmelser og betingelser for evalueringerne, herunder de nærmere ordninger for inddragelse af uafhængige eksperter, og proceduren for udvælgelse heraf. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 98, stk. 2.

7. Inden der anmodes om adgang til den pågældende AI-model til almen brug, kan AI-kontoret indlede en struktureret dialog med udbyderen af AI-modellen til almen brug for at indsamle flere oplysninger om den interne afprøvning af modellen, interne sikkerhedsforanstaltninger til forebyggelse af systemiske risici og andre interne procedurer og foranstaltninger, som udbyderen har truffet for at afbøde sådanne risici.

Artikel 93

Beføjelse til at anmode om foranstaltninger

1. Hvis det er nødvendigt og hensigtsmæssigt, kan Kommissionen anmode udbyderne om at:

a) træffe passende foranstaltninger til at overholde forpligtelserne i artikel 53 og 54

b) gennemføre afbødende foranstaltninger, hvis den evaluering, der foretages i overensstemmelse med artikel 92, har givet anledning til alvorlig og begrundet mistanke om en systemisk risiko på EU-plan

c) begrænse tilgængeliggørelsen på markedet, tilbagetrække eller tilbagekalde modellen.

2. Inden der anmodes om foranstaltninger, kan AI-kontoret indlede en struktureret dialog med udbyderen af AI-modellen til almen brug.

3. Hvis udbyderen af AI-modellen til almen brug med systemisk risiko under den strukturerede dialog, der er omhandlet i stk. 2, afgiver tilsagn om at gennemføre afbødende foranstaltninger for at afhjælpe en systemisk risiko på EU-plan, kan Kommissionen ved en afgørelse gøre disse tilsagn bindende og erklære, at der ikke er yderligere grundlag for handling.

Artikel 94

Erhvervsdrivendes procedurerettigheder i forbindelse med AI-modellen til almen brug

Artikel 18 i forordning (EU) 2019/1020 finder tilsvarende anvendelse på udbydere af AI-modellen til almen brug, uden at dette berører de mere specifikke procedurerettigheder, som er fastsat i nærværende forordning.

KAPITEL X

ADFÆRDSKODEKSER OG RETNINGSLINJER

Artikel 95

Adfærdskodekser for frivillig anvendelse af specifikke krav

1. AI-kontoret og medlemsstaterne tilskynder til og letter udarbejdelsen af adfærdskodekser, herunder tilhørende forvaltningsmekanismer, der har til formål at fremme frivillig anvendelse af visse af eller alle de i kapitel III, afdeling 2, fastsatte krav på AI-systemer, der ikke er højrisiko-AI-systemer, under hensyntagen til de tilgængelige tekniske løsninger og industriens bedste praksis, der gør det muligt at anvende sådanne krav.

2. AI-kontoret og medlemsstaterne letter udarbejdelsen af adfærdskodekser vedrørende frivillig anvendelse, herunder fra idriftsætternes side, af specifikke krav til alle AI-systemer på grundlag af klare mål og centrale resultatindikatorer til måling af realiseringen af disse mål, herunder elementer såsom, men ikke begrænset til:

a) relevante elementer fastsat i Unionens etiske retningslinjer for troværdig AI

b) vurdering og minimering af AI-systemers indvirkning på miljømæssig bæredygtighed, herunder med hensyn til energieffektiv programmering og teknikker til effektiv udformning, træning og anvendelse af AI

c) fremme af AI-færdigheder, navnlig hos personer, der beskæftiger sig med udvikling, drift og anvendelse af AI

d) fremme af en inklusiv og mangfoldig udformning af AI-systemer, herunder gennem oprettelse af inklusive og mangfoldige udviklingsteams og fremme af interessenters inddragelse i denne proces

e) vurdering og forebyggelse af, at AI-systemer har negativ indvirkning på sårbare personer eller grupper af sårbare personer, herunder for så vidt angår tilgængelighed for personer med handicap, samt på ligestilling mellem kønnene.

3. Adfærdskodekser kan udarbejdes af individuelle udbydere eller idriftsættere af AI-systemer, af organisationer, der repræsenterer dem, eller af begge, herunder med inddragelse af eventuelle interesserede parter og deres repræsentative organisationer, herunder civilsamfundsorganisationer og den akademiske verden. Adfærdskodekser kan omfatte et eller flere AI-systemer under hensyntagen til ligheden mellem de relevante systemers tilsigtede formål.

4. Når AI-kontoret og medlemsstaterne tilskynder til og letter udarbejdelsen af adfærdskodekser, tager de hensyn til SMV'ers, herunder iværksættervirksomheders, særlige interesser og behov.

Artikel 96

Retningslinjer fra Kommissionen om gennemførelsen af denne forordning

1. Kommissionen udarbejder retningslinjer for den praktiske gennemførelse af denne forordning, navnlig for:

a) anvendelsen af de krav og forpligtelser, der er omhandlet i artikel 8-15 og artikel 25

b) de forbudte former for praksis, der er omhandlet i artikel 5

c) den praktiske gennemførelse af bestemmelserne om væsentlig ændring

d) den praktiske gennemførelse af gennemsigtighedsforpligtelserne i artikel 50

e) detaljerede oplysninger om forholdet mellem denne forordning og EU-harmoniseringslovgivningen, der er opført i bilag I, samt anden relevant EU-ret, herunder for så vidt angår konsekvens i håndhævelsen deraf

f) anvendelsen af definitionen af et AI-system som fastsat i artikel 3, nr. 1).

Når Kommissionen udsteder sådanne retningslinjer, skal den være særlig opmærksom på behovene hos SMV'er, herunder iværksættervirksomheder, hos lokale offentlige myndigheder og i sektorer, der med størst sandsynlighed vil blive berørt af denne forordning.

Der skal med de retningslinjer, der er omhandlet i dette stykkes første afsnit, tages behørigt hensyn til det generelt anerkendte aktuelle teknologiske niveau inden for AI samt til relevante harmoniserede standarder og fælles specifikationer, der er omhandlet i artikel 40 og 41, eller til de harmoniserede standarder eller tekniske specifikationer, der er fastsat i henhold til EU-harmoniseringsretten.

2. På anmodning af medlemsstaterne eller AI-kontoret eller på eget initiativ ajourfører Kommissionen tidligere vedtagne retningslinjer, når det skønnes nødvendigt.

KAPITEL XI

DELEGATION AF BEFØJELSER OG UDVALGSPROCEDURE

Artikel 97

Udøvelse af de delegerede beføjelser

1. Beføjelsen til at vedtage delegerede retsakter tillægges Kommissionen på de i denne artikel fastlagte betingelser.

2. Beføjelsen til at vedtage delegerede retsakter, jf. artikel 6, stk. 6 og 7, artikel 7, stk. 1 og 3, artikel 11, stk. 3, artikel 43, stk. 5 og 6, artikel 47, stk. 5, artikel 51, stk. 3, artikel 52, stk. 4, og artikel 53, stk. 5 og 6, tillægges Kommissionen for en periode på fem år fra den 1. august 2024. Kommissionen udarbejder en rapport vedrørende delegationen af beføjelser senest ni måneder inden udløbet af femårsperioden. Delegationen af beføjelser forlænges stiltiende for perioder af samme varighed, medmindre Europa-Parlamentet eller Rådet modsætter sig en sådan forlængelse senest tre måneder inden udløbet af hver periode.

3. Den i artikel 6, stk. 6 og 7, artikel 7, stk. 1 og 3, artikel 11, stk. 3, artikel 43, stk. 5 og 6, artikel 47, stk. 5, artikel 51, stk. 3, artikel 52, stk. 4, og artikel 53, stk. 5 og 6, omhandlede delegation af beføjelser kan til enhver tid tilbagekaldes af Europa-Parlamentet eller Rådet. En afgørelse om tilbagekaldelse bringer delegationen af de beføjelser, der er angivet i den pågældende afgørelse, til ophør. Den får virkning dagen efter offentliggørelsen af afgørelsen i Den Europæiske Unions Tidende eller på et senere tidspunkt, der angives i afgørelsen. Den berører ikke gyldigheden af delegerede retsakter, der allerede er i kraft.

4. Inden vedtagelsen af en delegeret retsakt hører Kommissionen eksperter, som er udpeget af hver enkelt medlemsstat, i overensstemmelse med principperne i den interinstitutionelle aftale af 13. april 2016 om bedre lovgivning.

5. Så snart Kommissionen vedtager en delegeret retsakt, giver den samtidigt Europa-Parlamentet og Rådet meddelelse herom.

6. Enhver delegeret retsakt vedtaget i henhold til artikel 6, stk. 6 eller 7, artikel 7, stk. 1 eller 3, artikel 11, stk. 3, artikel 43, stk. 5 eller 6, artikel 47, stk. 5, artikel 51, stk. 3, artikel 52, stk. 4, eller artikel 53, stk. 5 eller 6, træder kun i kraft, hvis hverken Europa-Parlamentet eller Rådet har gjort indsigelse inden for en frist på tre måneder fra meddelelsen af den pågældende retsakt til Europa-Parlamentet og Rådet, eller hvis Europa-Parlamentet og Rådet inden udløbet af denne frist begge har underrettet Kommissionen om, at de ikke agter at gøre indsigelse. Fristen forlænges med tre måneder på Europa-Parlamentets eller Rådets initiativ.

Artikel 98

Udvalgsprocedure

1. Kommissionen bistås af et udvalg. Dette udvalg er et udvalg som omhandlet i forordning (EU) nr. 182/2011.

2. Når der henvises til dette stykke, finder artikel 5 i forordning (EU) nr. 182/2011 anvendelse.

KAPITEL XII

SANKTIONER

Artikel 99

Sanktioner

1. I overensstemmelse med de vilkår og betingelser, der er fastsat i denne forordning, fastsætter medlemsstaterne regler om sanktioner og andre håndhævelsesforanstaltninger, som også kan omfatte advarsler og ikkeøkonomiske foranstaltninger, for operatørers overtrædelse af denne forordning og træffer alle nødvendige foranstaltninger for at sikre, at de gennemføres korrekt og effektivt, og dermed tage hensyn til de retningslinjer, som Kommissionen har udstedt i henhold til artikel 96. Sanktionerne skal være effektive, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning. Der tages hensyn til SMV'ers, herunder iværksættervirksomheders, interesser og deres økonomiske levedygtighed.

2. Medlemsstaterne giver straks og senest på anvendelsesdatoen Kommissionen meddelelse om reglerne om sanktioner og andre håndhævelsesforanstaltninger, der er omhandlet i stk. 1, og meddeler den straks enhver efterfølgende ændring heraf.

3. Manglende overholdelse af forbud mod de i artikel 5 anførte former for AI-praksis straffes med administrative bøder på op til 35 000 000 EUR eller, hvis lovovertræderen er en virksomhed, op til 7 % af dens samlede globale årlige omsætning i det foregående regnskabsår, alt efter hvilket beløb der er størst.

4. Manglende overholdelse af en af følgende bestemmelser vedrørende operatører eller bemyndigede organer, bortset fra de bestemmelser, der er fastsat i artikel 5, straffes med administrative bøder på op til 15 000 000 EUR eller, hvis lovovertræderen er en virksomhed, op til 3 % af dens samlede globale årlige omsætning i det foregående regnskabsår, alt efter hvilket beløb der er størst:

a) forpligtelser for udbydere i henhold til artikel 16

b) forpligtelser for bemyndigede repræsentanter i henhold til artikel 22

c) forpligtelser for importører i henhold til artikel 23

d) forpligtelser for distributører i henhold til artikel 24

e) forpligtelser for idriftsættere i henhold til artikel 26

f) krav til og forpligtelser for bemyndigede organer i henhold til artikel 31, artikel 33, stk. 1, 3 og 4, eller artikel 34

g) gennemsigtighedsforpligtelser for udbydere og idriftsættere i henhold til artikel 50.

5. Afgivelse af ukorrekte, ufuldstændige eller vildledende oplysninger til bemyndigede organer eller nationale kompetente myndigheder som svar på en anmodning straffes med administrative bøder på op til 7 500 000 EUR eller, hvis lovovertræderen er en virksomhed, op til 1 % af dens samlede globale årlige omsætning i det foregående regnskabsår, alt efter hvilket beløb der er størst.

6. For SMV'er, herunder iværksættervirksomheder, skal hver bøde, der er omhandlet i denne artikel, være op til den procentsats eller det beløb, der er omhandlet i stk. 3, 4 og 5, alt efter hvilken af dem der er lavest.

7. Når der træffes afgørelse om, hvorvidt der skal pålægges en administrativ bøde, og ved fastsættelsen af den administrative bødes størrelse tages der i hvert enkelt tilfælde hensyn til alle relevante omstændigheder i den specifikke situation, og der tages i relevant omfang hensyn til følgende:

a) overtrædelsens art, grovhed og varighed samt dens konsekvenser under hensyntagen til formålet med AI-systemet samt, hvis det er relevant, antallet af berørte personer og omfanget af den skade, de har lidt

b) hvorvidt andre markedsovervågningsmyndigheder allerede har pålagt den samme operatør administrative bøder for samme overtrædelse

c) hvorvidt andre myndigheder allerede har pålagt den samme operatør administrative bøder for overtrædelser af anden EU-ret eller national ret, når sådanne overtrædelser skyldes den samme aktivitet eller undladelse, der udgør en relevant overtrædelse af denne forordning

d) størrelsen på den operatør, der har begået overtrædelsen, og dennes årlige omsætning og markedsandel

e) om der er andre skærpende eller formildende faktorer ved sagens omstændigheder såsom opnåede økonomiske fordele eller undgåede tab som direkte eller indirekte følge af overtrædelsen

f) graden af samarbejde med de nationale kompetente myndigheder for at afhjælpe overtrædelsen og begrænse de negative konsekvenser, som overtrædelsen måtte have givet anledning til

g) graden af ansvar hos operatøren under hensyntagen til de tekniske og organisatoriske foranstaltninger, som vedkommende har gennemført

h) den måde, hvorpå de nationale kompetente myndigheder fik kendskab til overtrædelsen, navnlig om operatøren har underrettet om overtrædelsen, og i givet fald i hvilket omfang

i) hvorvidt overtrædelsen blev begået forsætligt eller uagtsomt

j) ethvert tiltag fra operatørens side for at afbøde skaden på de pågældende personer.

8. Hver medlemsstat fastsætter regler om, i hvilket omfang administrative bøder kan pålægges offentlige myndigheder og organer, der er etableret i den pågældende medlemsstat.

9. Afhængigt af medlemsstaternes retssystem kan reglerne om administrative bøder anvendes på en sådan måde, at bøderne pålægges af kompetente nationale domstole eller af andre organer, alt efter hvad der er relevant i disse medlemsstater. Anvendelsen af disse regler i disse medlemsstater har tilsvarende virkning.

10. Udøvelse af beføjelser i henhold til denne artikel skal være underlagt fornødne proceduremæssige sikkerhedsforanstaltninger i overensstemmelse med EU-retten og national ret, herunder effektive retsmidler og retfærdig procedure.

11. Medlemsstaterne aflægger årligt rapport til Kommissionen om de administrative bøder, de har udstedt i løbet af det pågældende år, i overensstemmelse med denne artikel, og om eventuelle dermed forbundne tvister eller retssager.

Artikel 100

Administrative bøder til EU-institutioner, -organer, -kontorer og -agenturer

1. Den Europæiske Tilsynsførende for Databeskyttelse kan pålægge de EU-institutioner, -organer, -kontorer og -agenturer, der er omfattet af denne forordnings anvendelsesområde, administrative bøder. Når der træffes afgørelse om, hvorvidt der skal pålægges en administrativ bøde, og ved fastsættelsen af den administrative bødes størrelse tages der i hvert enkelt tilfælde hensyn til alle relevante omstændigheder i den specifikke situation, og der tages behørigt hensyn til følgende:

a) overtrædelsens art, grovhed og varighed samt dens konsekvenser, under hensyntagen til formålet med det pågældende AI-system, samt, hvis det er relevant, antallet af berørte personer og omfanget af den skade, de har lidt

b) graden af ansvar hos EU-institutionen, -organet, -kontoret eller -agenturet under hensyntagen til de tekniske og organisatoriske foranstaltninger, som de har gennemført

c) ethvert tiltag, der foretages af EU-institutionen, -organet, -kontoret eller -agenturet for at afhjælpe den skade, som de berørte personer har lidt

d) graden af samarbejde med Den Europæiske Tilsynsførende for Databeskyttelse med henblik på at afhjælpe overtrædelsen og afbøde de mulige negative virkninger af overtrædelsen, herunder overholdelse af enhver af de foranstaltninger, som Den Europæiske Tilsynsførende for Databeskyttelse tidligere har pålagt den pågældende EU-institution eller det pågældende EU-organ, -kontor eller -agentur med hensyn til samme genstand

e) eventuelle lignende overtrædelser, som den pågældende EU-institution eller det pågældende EU-organ, EU-kontor eller EU-agentur tidligere har begået

f) den måde, hvorpå Den Europæiske Tilsynsførende for Databeskyttelse fik kendskab til overtrædelsen, navnlig om den pågældende EU-institution eller det pågældende EU-organ, -kontor eller -agentur gav underretning om overtrædelsen, og i givet fald i hvilket omfang

g) EU-institutionens, -organets, -kontorets eller -agenturets årlige budget.

2. Manglende overholdelse af forbuddet mod de i artikel 5 anførte former for AI-praksis straffes med administrative bøder på op til 1 500 000 EUR.

3. AI-systemets manglende overholdelse af ethvert krav eller enhver forpligtelse i henhold til denne forordning, bortset fra kravene i artikel 5, straffes med administrative bøder på op til 750 000 EUR.

4. Inden der træffes afgørelse i henhold til denne artikel, giver Den Europæiske Tilsynsførende for Databeskyttelse den pågældende EU-institution eller det pågældende EU-organ, -kontor eller -agentur, der er genstand for de procedurer, som gennemføres af Den Europæiske Tilsynsførende for Databeskyttelse, mulighed for at blive hørt om genstanden for den mulige overtrædelse. Den Europæiske Tilsynsførende for Databeskyttelse baserer udelukkende sine afgørelser på elementer og forhold, som de berørte parter har haft mulighed for at fremsætte bemærkninger til. Eventuelle klagere inddrages i vid udstrækning i proceduren.

5. De deltagende parters ret til forsvar skal sikres fuldt ud i procedureforløbet. De har ret til aktindsigt i Den Europæiske Tilsynsførende for Databeskyttelses sagsakter med forbehold af fysiske personers eller virksomheders berettigede interesse i at beskytte deres personoplysninger eller forretningshemmeligheder.

6. Midler, der er indsamlet ved pålæg af bøder i henhold til denne artikel, bidrager til Unionens almindelige budget. Bøderne berører ikke den effektive funktion af den EU-institution eller det EU-organ, -kontor eller -agentur, der er blevet pålagt bøden.

7. Den Europæiske Tilsynsførende for Databeskyttelse underretter hvert år Kommissionen om de administrative bøder, den har pålagt i henhold til denne artikel, og om eventuelle tvister eller retssager, den har indledt.

Artikel 101

Bøder til udbydere af AI-modeller til almen brug

1. Kommissionen kan pålægge udbydere af AI-modeller til almen brug bøder på op til 3 % af deres årlige samlede globale omsætning i det foregående regnskabsår eller 15 000 000 EUR, alt efter hvilket beløb der er størst, når Kommissionen finder, at udbyderen forsætligt eller uagtsomt:

a) har overtrådt de relevante bestemmelser i denne forordning

b) har undladt at efterkomme en anmodning om et dokument eller om oplysninger i henhold til artikel 91 eller har afgivet ukorrekte, ufuldstændige eller vildledende oplysninger

c) har undladt at efterkomme en foranstaltning, der er anmodet om i henhold til artikel 93

d) har undladt at give Kommissionen adgang til AI-modellen til almen brug eller AI-modellen til almen brug med systemisk risiko med henblik på at foretage en evaluering i henhold til artikel 92.

Ved fastsættelse af bødens eller tvangsbødens størrelse tages overtrædelsens karakter, alvor og varighed i betragtning under behørig hensyntagen til proportionalitets- og rimelighedsprincippet. Kommissionen tager også hensyn til forpligtelser, der er indgået i overensstemmelse med artikel 93, stk. 3, eller i de relevante praksiskodekser i overensstemmelse med artikel 56.

2. Inden Kommissionen vedtager afgørelsen i henhold til stk. 1, meddeler den sine foreløbige resultater til udbyderen af AI-modellen til almen brug og giver vedkommende mulighed for at blive hørt.

3. Bøder, der pålægges i overensstemmelse med denne artikel, skal være effektive, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning.

4. Information om de bøder, der pålægges i henhold til denne artikel, meddeles også AI-udvalget, alt efter hvad der er relevant.

5. EU-Domstolen har fuld prøvelsesret med hensyn til Kommissionens afgørelser om fastsættelse af bøder i henhold til denne artikel. Den kan annullere, nedsætte eller forhøje den pålagte bøde.

6. Kommissionen vedtager gennemførelsesretsakter med de nærmere ordninger og proceduremæssige sikkerhedsforanstaltninger for procedurerne med henblik på eventuel vedtagelse af afgørelser i henhold til denne artikels stk. 1. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 98, stk. 2.

KAPITEL XIII

AFSLUTTENDE BESTEMMELSER

Artikel 102

Ændring af forordning (EF) nr. 300/2008

I artikel 4, stk. 3, i forordning (EF) nr. 300/2008, tilføjes følgende afsnit:

»Når der vedtages detaljerede foranstaltninger vedrørende tekniske specifikationer og procedurer for godkendelse og brug af sikkerhedsudstyr vedrørende kunstig intelligens-systemer som omhandlet i Europa-Parlamentets og Rådets forordning (EU) 2024/1689 (*), skal der tages hensyn til kravene i nævnte forordnings kapital III, afdeling 2.

------------------------

(*) Europa-Parlamentets og Rådets forordning (EU) 2024/1689 af 13. juni 2024 om harmoniserede regler for kunstig intelligens og om ændring af forordning (EF) nr. 300/2008, (EU) nr. 167/2013, (EU) nr. 168/2013, (EU) 2018/858, (EU) 2018/1139 og (EU) 2019/2144 samt direktiv 2014/90/EU, (EU) 2016/797 og (EU) 2020/1828 (forordningen om kunstig intelligens) (EUT L, 2024/1689, 12.7.2024, ELI: http://data.europa.eu/eli/reg/2024/1689/oj).«

Artikel 103

Ændring af forordning (EU) nr. 167/2013

I artikel 17, stk. 5, i forordning (EU) nr. 167/2013 tilføjes følgende afsnit:

»Når der i henhold til første afsnit vedtages delegerede retsakter vedrørende kunstig intelligens-systemer, som er sikkerhedskomponenter som omhandlet i Europa-Parlamentets og Rådets forordning (EU) 2024/1689 (*), skal der tages hensyn til kravene i nævnte forordnings kapitel III, afdeling 2.

------------------------

(*)

Europa-Parlamentets og Rådets forordning (EU) 2024/1689 af 13. juni 2024 om harmoniserede regler for kunstig intelligens og om ændring af forordning (EF) nr. 300/2008, (EU) nr. 167/2013, (EU) nr. 168/2013, (EU) 2018/858, (EU) 2018/1139 og (EU) 2019/2144 samt direktiv 2014/90/EU, (EU) 2016/797 og (EU) 2020/1828 (forordningen om kunstig intelligens) (EUT L, 2024/1689, 12.7.2024, ELI: http://data.europa.eu/eli/reg/2024/1689/oj).«

Artikel 104

Ændring af forordning (EU) nr. 168/2013

I artikel 22, stk. 5, i forordning (EU) nr. 168/2013 tilføjes følgende afsnit:

»Når der i henhold til første afsnit vedtages delegerede retsakter vedrørende kunstig intelligens-systemer, som er sikkerhedskomponenter som omhandlet i Europa-Parlamentets og Rådets forordning (EU) 2024/1689 (*), skal der tages hensyn til kravene i nævnte forordnings kapitel III, afdeling 2.

------------------------

(*)

Europa-Parlamentets og Rådets forordning (EU) 2024/1689 af 13. juni 2024 om harmoniserede regler for kunstig intelligens og om ændring af forordning (EF) nr. 300/2008, (EU) nr. 167/2013, (EU) nr. 168/2013, (EU) 2018/858, (EU) 2018/1139 og (EU) 2019/2144 samt direktiv 2014/90/EU, (EU) 2016/797 og (EU) 2020/1828 (forordningen om kunstig intelligens) (EUT L, 2024/1689, 12.7.2024, ELI: http://data.europa.eu/eli/reg/2024/1689/oj).«

Artikel 105

Ændring af direktiv 2014/90/EU

I artikel 8 i direktiv 2014/90/EU tilføjes følgende stykke:

»5. For så vidt angår kunstig intelligens-systemer, som er sikkerhedskomponenter som omhandlet i Europa-Parlamentets og Rådets forordning (EU) 2024/1689 (*), tager Kommissionen, når den udfører sine aktiviteter i henhold til stk. 1, og når den vedtager tekniske specifikationer og afprøvningsstandarder i overensstemmelse med stk. 2 og 3, hensyn til kravene i nævnte forordnings kapitel III, afdeling 2.

------------------------

(*)

Europa-Parlamentets og Rådets forordning (EU) 2024/1689 af 13. juni 2024 om harmoniserede regler for kunstig intelligens og om ændring af forordning (EF) nr. 300/2008, (EU) nr. 167/2013, (EU) nr. 168/2013, (EU) 2018/858, (EU) 2018/1139 og (EU) 2019/2144 samt direktiv 2014/90/EU, (EU) 2016/797 og (EU) 2020/1828 (forordningen om kunstig intelligens) (EUT L, 2024/1689, 12.7.2024, ELI: http://data.europa.eu/eli/reg/2024/1689/oj).«

Artikel 106

Ændring af direktiv (EU) 2016/797

I artikel 5 i direktiv (EU) 2016/797 tilføjes følgende stykke:

»12. Når der i henhold til stk. 1 vedtages delegerede retsakter eller i henhold til stk. 11 vedtages gennemførelsesretsakter vedrørende kunstig intelligens-systemer, som er sikkerhedskomponenter som omhandlet i Europa-Parlamentets og Rådets forordning (EU) 2024/1689 (*), skal der tages hensyn til kravene i nævnte forordnings kapitel III, afdeling 2.

------------------------

(*)

Europa-Parlamentets og Rådets forordning (EU) 2024/1689 af 13. juni 2024 om harmoniserede regler for kunstig intelligens og om ændring af forordning (EF) nr. 300/2008, (EU) nr. 167/2013, (EU) nr. 168/2013, (EU) 2018/858, (EU) 2018/1139 og (EU) 2019/2144 samt direktiv 2014/90/EU, (EU) 2016/797 og (EU) 2020/1828 (forordningen om kunstig intelligens) (EUT L, 2024/1689, 12.7.2024, ELI: http://data.europa.eu/eli/reg/2024/1689/oj).«

Artikel 107

Ændring af forordning (EU) 2018/858

I artikel 5 i forordning (EU) 2018/858 tilføjes følgende stykke:

»4. Når der i henhold til stk. 3 vedtages delegerede retsakter vedrørende kunstig intelligens-systemer, som er sikkerhedskomponenter som omhandlet i Europa-Parlamentets og Rådets forordning (EU) 2024/1689 (*), skal der tages hensyn til kravene i nævnte forordnings kapitel III, afdeling 2.

------------------------

(*)

Europa-Parlamentets og Rådets forordning (EU) 2024/1689 af 13. juni 2024 om harmoniserede regler for kunstig intelligens og om ændring af forordning (EF) nr. 300/2008, (EU) nr. 167/2013, (EU) nr. 168/2013, (EU) 2018/858, (EU) 2018/1139 og (EU) 2019/2144 samt direktiv 2014/90/EU, (EU) 2016/797 og (EU) 2020/1828 (forordningen om kunstig intelligens) (EUT L, 2024/1689, 12.7.2024, ELI: http://data.europa.eu/eli/reg/2024/1689/oj).«

Artikel 108

Ændring af forordning (EU) 2018/1139

I forordning (EU) 2018/1139 foretages følgende ændringer:

1) I artikel 17 tilføjes følgende stykke:

»3. Uden at det berører stk. 2, når der i henhold til stk. 1 vedtages gennemførelsesretsakter vedrørende kunstig intelligens-systemer, som er sikkerhedskomponenter som omhandlet i Europa-Parlamentets og Rådets forordning (EU) 2024/1689 (*), skal der tages hensyn til kravene i nævnte forordnings kapitel III, afdeling 2.

------------------------

(*)

Europa-Parlamentets og Rådets forordning (EU) 2024/1689 af 13. juni 2024 om harmoniserede regler for kunstig intelligens og om ændring af forordning (EF) nr. 300/2008, (EU) nr. 167/2013, (EU) nr. 168/2013, (EU) 2018/858, (EU) 2018/1139 og (EU) 2019/2144 samt direktiv 2014/90/EU, (EU) 2016/797 og (EU) 2020/1828 (forordningen om kunstig intelligens) (EUT L, 2024/1689, 12.7.2024, ELI: http://data.europa. eu/eli/reg/2024/1689/oj).«

2) I artikel 19 tilføjes følgende stykke:

»4. Når der i henhold til stk. 1 og 2 vedtages delegerede retsakter vedrørende kunstig intelligens-systemer, som er sikkerhedskomponenter som omhandlet i forordning (EU) 2024/1689, skal der tages hensyn til kravene i nævnte forordnings kapitel III, afdeling 2.«

3) I artikel 43 tilføjes følgende stykke:

»4. Når der i henhold til stk. 1 vedtages gennemførelsesretsakter vedrørende kunstig intelligens-systemer, som er sikkerhedskomponenter som omhandlet i forordning (EU) 2024/1689, skal der tages hensyn til kravene i nævnte forordnings kapitel III, afdeling 2.«

4) I artikel 47 tilføjes følgende stykke:

»3. Når der i henhold til stk. 1 og 2 vedtages delegerede retsakter vedrørende kunstig intelligens-systemer, som er sikkerhedskomponenter som omhandlet i forordning (EU) 2024/1689, skal der tages hensyn til kravene i nævnte forordnings kapitel III, afdeling 2.«

5) I artikel 57 tilføjes følgende afsnit:

»Når der vedtages sådanne gennemførelsesretsakter vedrørende kunstig intelligens-systemer, som er sikkerhedskomponenter som omhandlet i forordning (EU) 2024/1689, skal der tages hensyn til kravene i nævnte forordnings kapitel III, afdeling 2.«

6) I artikel 58 tilføjes følgende stykke:

»3. Når der i henhold til stk. 1 og 2 vedtages delegerede retsakter vedrørende kunstig intelligens-systemer, som er sikkerhedskomponenter som omhandlet i forordning (EU) 2024/1689, skal der tages hensyn til kravene i nævnte forordnings kapitel III, afdeling 2.«

Artikel 109

Ændring af forordning (EU) 2019/2144

I artikel 11 i forordning (EU) 2019/2144 tilføjes følgende stykke:

»3. Når der i henhold til stk. 2 vedtages gennemførelsesretsakter vedrørende kunstig intelligens-systemer, som er sikkerhedskomponenter som omhandlet i Europa-Parlamentets og Rådets forordning (EU) 2024/1689 (*), skal der tages hensyn til kravene i nævnte forordning kapitel III, afdeling 2.

------------------------

(*)

Europa-Parlamentets og Rådets forordning (EU) 2024/1689 af 13. juni 2024 om harmoniserede regler for kunstig intelligens og om ændring af forordning (EF) nr. 300/2008, (EU) nr. 167/2013, (EU) nr. 168/2013, (EU) 2018/858, (EU) 2018/1139 og (EU) 2019/2144 samt direktiv 2014/90/EU, (EU) 2016/797 og (EU) 2020/1828 (forordningen om kunstig intelligens) (EUT L, 2024/1689, 12.7.2024, ELI: http://data.europa.eu/eli/reg/2024/1689/oj).«

Artikel 110

Ændring af direktiv (EU) 2020/1828

I bilag I til Europa-Parlamentets og Rådets direktiv (EU) 2020/1828 (58) tilføjes følgende punkt:

»68) Europa-Parlamentets og Rådets forordning (EU) 2024/1689 af 13. juni 2024 om harmoniserede regler for kunstig intelligens og om ændring af forordning (EF) nr. 300/2008, (EU) nr. 167/2013, (EU) nr. 168/2013, (EU) 2018/858, (EU) 2018/1139 og (EU) 2019/2144 samt direktiv 2014/90/EU, (EU) 2016/797 og (EU) 2020/1828 (forordningen om kunstig intelligens) (EUT L, 2024/1689, 12.7.2024, ELI: http://data.europa.eu/eli/reg/2024/1689/oj).«

Artikel 111

AI-systemer, der allerede er bragt i omsætning eller ibrugtaget, og AI-modeller til almen brug, der allerede er bragt i omsætning

1. Uden at det berører anvendelsen af artikel 5 som omhandlet i artikel 113, stk. 3, litra a), skal AI-systemer, som er komponenter i de store IT-systemer, der er oprettet ved de retsakter, der er opført i bilag X, og som er blevet bragt i omsætning eller ibrugtaget inden den 2. august 2027, bringes i overensstemmelse med denne forordning senest den 31. december 2030.

De krav, der er fastsat i denne forordning, skal tages i betragtning ved den evaluering, som skal foretages i henhold til de retsakter, der er opført i bilag X, af hvert af de store IT-systemer, der er oprettet ved disse retsakter, og hvis disse retsakter erstattes eller ændres.

2. Uden at det berører anvendelsen af artikel 5 som omhandlet i artikel 113, stk. 3, litra a), finder denne forordning kun anvendelse på operatører af andre højrisiko-AI-systemer end de systemer, der er omhandlet i nærværende artikels stk. 1, og som er bragt i omsætning eller ibrugtaget inden den 2. august 2026, hvis disse systemer fra denne dato er genstand for betydelige ændringer af deres udformning. I alle tilfælde skal udbydere og idriftsættere af højrisiko-AI-systemer, der tilsigtes anvendt af offentlige myndigheder, tage de nødvendige skridt til at overholde kravene og forpligtelserne i denne forordning senest den 2. august 2030.

3. Udbydere af AI-modeller til almen brug, der er bragt i omsætning før den 2. august 2025, tager de nødvendige skridt til at overholde de forpligtelser, der er fastsat i denne forordning, senest den 2. august 2027.

Artikel 112

Evaluering og revision

1. Kommissionen vurderer behovet for at ændre listen i bilag III og listen over forbudte former for AI-praksis i artikel 5 én gang om året efter denne forordnings ikrafttræden og indtil slutningen af perioden med delegation af beføjelser, der er fastsat i artikel 97. Kommissionen forelægger resultaterne af denne vurdering for Europa-Parlamentet og Rådet.

2. Senest den 2. august 2028 og hvert fjerde år derefter evaluerer Kommissionen og aflægger rapport til Europa-Parlamentet og Rådet om følgende:

a) behovet for ændringer om udvidelse af eksisterende områdeoverskrifter eller tilføjelse af nye områdeoverskrifter i bilag III

b) ændringer af listen over de AI-systemer, der kræver yderligere gennemsigtighedsforanstaltninger i henhold til artikel 50

c) ændringer om styrkelse af effektiviteten af tilsyns- og forvaltningssystemet.

3. Senest den 2. august 2029 og hvert fjerde år derefter forelægger Kommissionen Europa-Parlamentet og Rådet en rapport om evaluering og revision af denne forordning. Rapporten skal indeholde en vurdering af håndhævelsesstrukturen og det eventuelle behov for, at et EU-agentur løser eventuelle konstaterede mangler. På grundlag af resultaterne ledsages rapporten i givet fald af et forslag til ændring af denne forordning. Rapporterne offentliggøres.

4. I de i stk. 2 omhandlede rapporter lægges der særlig vægt på følgende:

a) status over de nationale kompetente myndigheders finansielle, tekniske og menneskelige ressourcer med henblik på effektivt at udføre de opgaver, de pålægges i henhold til denne forordning

b) status over de sanktioner, navnlig de administrative bøder, der er omhandlet i artikel 99, stk. 1, som medlemsstaterne har pålagt som følge af overtrædelser af denne forordning

c) vedtagne harmoniserede standarder og fælles specifikationer, der er udarbejdet til støtte for denne forordning

d) antallet af virksomheder, der kommer ind på markedet efter anvendelsen af denne forordning, og hvor mange af dem der er SMV'er.

5. Senest den 2. august 2028 evaluerer Kommissionen AI-kontorets funktion, og om det har fået tilstrækkelige beføjelser og kompetencer til at udføre sine opgaver, samt om det vil være relevant og nødvendigt for en korrekt gennemførelse og håndhævelse af denne forordning at opgradere AI-Kontoret og dets håndhævelsesbeføjelser og øge dets ressourcer. Kommissionen forelægger en rapport om sin evaluering for Europa-Parlamentet og Rådet.

6. Senest den 2. august 2028 og hvert fjerde år derefter forelægger Kommissionen en rapport om revisionen af fremskridt med udviklingen af standardiseringsdokumentation om en energieffektiv udvikling af AI-modeller til almen brug og vurderer behovet for yderligere foranstaltninger eller tiltag, herunder bindende foranstaltninger eller tiltag. Rapporten forelægges Europa-Parlamentet og Rådet og offentliggøres.

7. Senest den 2. august 2028 og hvert tredje år derefter evaluerer Kommissionen virkningen og effektiviteten af frivillige adfærdskodekser med henblik på at fremme anvendelsen af kravene i kapitel III, afdeling 2, på andre AI-systemer end højrisiko-AI-systemer og eventuelt andre yderligere krav til andre AI-systemer end højrisiko-AI-systemer, herunder vedrørende miljømæssig bæredygtighed.

8. Med henblik på stk. 1-7 indgiver AI-udvalget, medlemsstaterne og de nationale kompetente myndigheder oplysninger til Kommissionen på dennes anmodning og uden unødigt ophold.

9. Når Kommissionen foretager de evalueringer og revisioner, der er omhandlet i stk. 1-7, tager den hensyn til holdninger og resultater fra AI-udvalget, fra Europa-Parlamentet, fra Rådet og fra andre relevante organer eller kilder.

10. Kommissionen forelægger om nødvendigt relevante forslag til ændring af denne forordning, navnlig under hensyntagen til den teknologiske udvikling, AI-systemernes indvirkning på sundhed og sikkerhed og de grundlæggende rettigheder og i lyset af fremskridtene i informationssamfundet.

11. Som grundlag for de evalueringer og revisioner, der er omhandlet i denne artikels stk. 1-7, påtager AI-kontoret sig at udvikle en objektiv og inddragende metode til evaluering af risikoniveauerne baseret på de kriterier, der er anført i de relevante artikler, og medtagelse af nye systemer i:

(a) listen i bilag III, herunder udvidelse af eksisterende områdeoverskrifter eller tilføjelse af nye områdeoverskrifter i nævnte bilag

(b) listen over de forbudte former for praksis, der er omhandlet i artikel 5, og

(c) listen over de AI-systemer, der kræver yderligere gennemsigtighedsforanstaltninger i henhold til artikel 50.

12. Alle ændringer til denne forordning i medfør af stk. 10 eller relevante delegerede retsakter eller gennemførelsesretsakter, som vedrører den sektorspecifikke EU-harmoniseringslovgivning, der er opført i bilag 1, afsnit B, skal tage hensyn til de enkelte sektorers reguleringsmæssige forhold og eksisterende forvaltning, overensstemmelsesvurdering og håndhævelsesmekanismer og de deri fastsatte myndigheder.

13. Senest den 2. august 2031 foretager Kommissionen en evaluering af håndhævelsen af denne forordning og aflægger rapport herom til Europa-Parlamentet, Rådet og Det Europæiske Økonomiske og Sociale Udvalg under hensyntagen til denne forordnings første anvendelsesår. På grundlag af resultaterne ledsages rapporten, hvor det er relevant, af et forslag om ændring af denne forordning med hensyn til håndhævelsesstrukturen og behovet for, at et EU-agentur løser eventuelle konstaterede mangler.

Artikel 113

Ikrafttræden og anvendelse

Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.

Den finder anvendelse fra den 2. august 2026.

Dog finder:

a) kapitel I og II anvendelse fra den 2. februar 2025

b) kapitel III, afdeling 4, kapitel V, VII og XII og artikel 78 anvendelse fra den 2. august 2025, med undtagelse af artikel 101

c) artikel 6, stk. 1, og de tilsvarende forpligtelser i denne forordning anvendelse fra den 2. august 2027.

Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat.

Udfærdiget i Bruxelles, den 13. juni 2024.

På Europa-Parlamentets vegne

Formand

R. METSOLA

På Rådets vegne

Formand

M. MICHEL

(1) EUT C 517 af 22.12.2021, s. 56.

(2) EUT C 115 af 11.3.2022, s. 5.

(3) EUT C 97 af 28.2.2022, s. 60.

(4) Europa-Parlamentets holdning af 13. marts 2024 (endnu ikke offentliggjort i EUT) og Rådets afgørelse af 21. maj 2024.

(5) Det Europæiske Råd, Ekstraordinært møde i Det Europæiske Råd (1. og 2. oktober 2020) - Konklusioner, EUCO 13/20, 2020, s. 6.

(6) Europa-Parlamentets beslutning af 20. oktober 2020 med henstillinger til Kommissionen om en ramme for etiske aspekter af kunstig intelligens, robotteknologi og relaterede teknologier, 2020/2012(INL).

(7) Europa-Parlamentets og Rådets forordning (EF) nr. 765/2008 af 9. juli 2008 om kravene til akkreditering og om ophævelse af forordning (EØF) nr. 339/93 (EUT L 218 af 13.8.2008, s. 30).

(8) Europa-Parlamentets og Rådets afgørelse nr. 768/2008/EF af 9. juli 2008 om fælles rammer for markedsføring af produkter og om ophævelse af Rådets afgørelse 93/465/EØF (EUT L 218 af 13.8.2008, s. 82).

(9) Europa-Parlamentets og Rådets forordning (EU) 2019/1020 af 20. juni 2019 om markedsovervågning og produktoverensstemmelse og om ændring af direktiv 2004/42/EF og forordning (EF) nr. 765/2008 og (EU) nr. 305/2011 (EUT L 169 af 25.6.2019, s. 1).

(10) Rådets direktiv 85/374/EØF af 25. juli 1985 om tilnærmelse af medlemsstaternes administrativt eller ved lov fastsatte bestemmelser om produktansvar (EFT L 210 af 7.8.1985, s. 29).

(11) Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT L 119 af 4.5.2016, s. 1).

(12) Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF (EUT L 295 af 21.11.2018, s. 39).

(13) Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA (EUT L 119 af 4.5.2016, s. 89).

(14) Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv om databeskyttelse inden for elektronisk kommunikation) (EFT L 201 af 31.7.2002, s. 37).

(15) Europa-Parlamentets og Rådets forordning (EU) 2022/2065 af 19. oktober 2022 om et indre marked for digitale tjenester og om ændring af direktiv 2000/31/EF (forordning om digitale tjenester) (EUT L 277 af 27.10.2022, s. 1).

(16) Europa-Parlamentets og Rådets direktiv (EU) 2019/882 af 17. april 2019 om tilgængelighedskrav for produkter og tjenester (EUT L 151 af 7.6.2019, s. 70).

(17) Europa-Parlamentets og Rådets direktiv 2005/29/EF af 11. maj 2005 om virksomheders urimelige handelspraksis over for forbrugerne på det indre marked og om ændring af Rådets direktiv 84/450/EØF og Europa-Parlamentets og Rådets direktiv 97/7/EF, 98/27/EF og 2002/65/EF og Europa-Parlamentets og Rådets forordning (EF) nr. 2006/2004 (direktivet om urimelig handelspraksis) (EUT L 149 af 11.6.2005, s. 22).

(18) Rådets rammeafgørelse 2002/584/RIA af 13. juni 2002 om den europæiske arrestordre og om procedurerne for overgivelse mellem medlemsstaterne (EFT L 190 af 18.7.2002, s. 1).

(19) Europa-Parlamentets og Rådets direktiv (EU) 2022/2557 af 14. december 2022 om kritiske enheders modstandsdygtighed og om ophævelse af Rådets direktiv 2008/114/EF (EUT L 333 af 27.12.2022, s. 164).

(20) EUT C 247 af 29.6.2022, s. 1.

(21) Europa-Parlamentets og Rådets forordning (EU) 2017/745 af 5. april 2017 om medicinsk udstyr, om ændring af direktiv 2001/83/EF, forordning (EF) nr. 178/2002 og forordning (EF) nr. 1223/2009 og om ophævelse af Rådets direktiv 90/385/EØF og 93/42/EØF (EUT L 117 af 5.5.2017, s. 1).

(22) Europa-Parlamentets og Rådets forordning (EU) 2017/746 af 5. april 2017 om medicinsk udstyr til in vitro-diagnostik og om ophævelse af direktiv 98/79/EF og Kommissionens afgørelse 2010/227/EU (EUT L 117 af 5.5.2017, s. 176).

(23) Europa-Parlamentets og Rådets direktiv 2006/42/EF af 17. maj 2006 om maskiner og om ændring af direktiv 95/16/EF (EUT L 157 af 9.6.2006, s. 24).

(24) Europa-Parlamentets og Rådets forordning (EF) nr. 300/2008 af 11. marts 2008 om fælles bestemmelser om sikkerhed (security) inden for civil luftfart og om ophævelse af forordning (EF) nr. 2320/2002 (EUT L 97 af 9.4.2008, s. 72).

(25) Europa-Parlamentets og Rådets forordning (EU) nr. 167/2013 af 5. februar 2013 om godkendelse og markedsovervågning af landbrugs- og skovbrugstraktorer (EUT L 60 af 2.3.2013, s. 1).

(26) Europa-Parlamentets og Rådets forordning (EU) nr. 168/2013 af 15. januar 2013 om godkendelse og markedsovervågning af to- og trehjulede køretøjer samt quadricykler (EUT L 60 af 2.3.2013, s. 52).

(27) Europa-Parlamentets og Rådets direktiv 2014/90/EU af 23. juli 2014 om skibsudstyr og om ophævelse af Rådets direktiv 96/98/EF (EUT L 257 af 28.8.2014, s. 146).

(28) Europa-Parlamentets og Rådets direktiv (EU) 2016/797 af 11. maj 2016 om interoperabilitet i jernbanesystemet i Den Europæiske Union (EUT L 138 af 26.5.2016, s. 44).

(29) Europa-Parlamentets og Rådets forordning (EU) 2018/858 af 30. maj 2018 om godkendelse og markedsovervågning af motorkøretøjer og påhængskøretøjer dertil samt af systemer, komponenter og separate tekniske enheder til sådanne køretøjer, om ændring af forordning (EF) nr. 715/2007 og (EF) nr. 595/2009 og om ophævelse af direktiv 2007/46/EF (EUT L 151 af 14.6.2018, s. 1).

(30) Europa-Parlamentets og Rådets forordning (EU) 2018/1139 af 4. juli 2018 om fælles regler for civil luftfart og oprettelse af Den Europæiske Unions Luftfartssikkerhedsagentur og om ændring af Europa-Parlamentets og Rådets forordning (EF) nr. 2111/2005, (EF) nr. 1008/2008, (EU) nr. 996/2010, (EU) nr. 376/2014 og direktiv 2014/30/EU og 2014/53/EU og om ophævelse af Europa-Parlamentets og Rådets forordning (EF) nr. 552/2004 og (EF) nr. 216/2008 og Rådets forordning (EØF) nr. 3922/91 (EUT L 212 af 22.8.2018, s. 1).

(31) Europa-Parlamentets og Rådets forordning (EU) 2019/2144 af 27. november 2019 om krav til typegodkendelse af motorkøretøjer og påhængskøretøjer dertil samt systemer, komponenter og separate tekniske enheder til sådanne køretøjer for så vidt angår deres generelle sikkerhed og beskyttelsen af køretøjspassagerer og bløde trafikanter og om ændring af Europa-Parlamentets og Rådets forordning (EU) 2018/858 og ophævelse af Europa-Parlamentets og Rådets forordning (EF) nr. 78/2009, forordning (EF) nr. 79/2009 og forordning (EF) nr. 661/2009 og Kommissionens forordning (EF) nr. 631/2009, (EU) nr. 406/2010, (EU) nr. 672/2010, (EU) nr. 1003/2010, (EU) nr. 1005/2010, (EU) nr. 1008/2010, (EU) nr. 1009/2010, (EU) nr. 19/2011, (EU) nr. 109/2011, (EU) nr. 458/2011, (EU) nr. 65/2012, (EU) nr. 130/2012, (EU) nr. 347/2012, (EU) nr. 351/2012, (EU) nr. 1230/2012 og (EU) 2015/166 (EUT L 325 af 16.12.2019, s. 1).

(32) Europa-Parlamentets og Rådets forordning (EF) nr. 810/2009 af 13. juli 2009 om en fællesskabskodeks for visa (visumkodeks) (EUT L 243 af 15.9.2009, s. 1).

(33) Europa-Parlamentets og Rådets direktiv 2013/32/EU af 26. juni 2013 om fælles procedurer for tildeling og fratagelse af international beskyttelse (EUT L 180 af 29.6.2013, s. 60).

(34) Europa-Parlamentets og Rådets forordning (EU) 2024/900 af 13. marts 2024 om gennemsigtighed og målretning i forbindelse med politisk reklame (EUT L, 2024/900, 20.3.2024, ELI: http://data.europa.eu/eli/reg/2024/900/oj).

(35) Europa-Parlamentets og Rådets direktiv 2014/31/EU af 26. februar 2014 om harmonisering af medlemsstaternes lovgivning vedrørende tilgængeliggørelse på markedet af ikke-automatiske vægte (EUT L 96 af 29.3.2014, s. 107).

(36) Europa-Parlamentets og Rådets direktiv 2014/32/EU af 26. februar 2014 om harmonisering af medlemsstaternes love om tilgængeliggørelse på markedet af måleinstrumenter (EUT L 96 af 29.3.2014, s. 149).

(37) Europa-Parlamentets og Rådets forordning (EU) 2019/881 af 17. april 2019 om ENISA (Den Europæiske Unions Agentur for Cybersikkerhed), om cybersikkerhedscertificering af informations- og kommunikationsteknologi og om ophævelse af forordning (EU) nr. 526/2013 (forordningen om cybersikkerhed) (EUT L 151 af 7.6.2019, s. 15).

(38) Europa-Parlamentets og Rådets direktiv (EU) 2016/2102 af 26. oktober 2016 om tilgængeligheden af offentlige organers websteder og mobilapplikationer (EUT L 327 af 2.12.2016, s. 1).

(39) Europa-Parlamentets og Rådets direktiv2002/14/EF af 11. marts 2002 om indførelse af en generel ramme for information og høring af arbejdstagerne i Det Europæiske Fællesskab (EFT L 80 af 23.3.2002, s. 29).

(40) Europa-Parlamentets og Rådets direktiv (EU) 2019/790 af 17. april 2019 om ophavsret og beslægtede rettigheder på det digitale indre marked og om ændring af direktiv 96/9/EF og 2001/29/EF (EUT L 130 af 17.5.2019, s. 92).

(41) Europa-Parlamentets og Rådets forordning (EU) nr. 1025/2012 af 25. oktober 2012 om europæisk standardisering, om ændring af Rådets direktiv 89/686/EØF og 93/15/EØF og Europa-Parlamentets og Rådets direktiv 94/9/EF, 94/25/EF, 95/16/EF, 97/23/EF, 98/34/EF, 2004/22/EF, 2007/23/EF, 2009/23/EF og 2009/105/EF og om ophævelse af Rådets beslutning 87/95/EØF og Europa-Parlamentets og Rådets afgørelse nr. 1673/2006/EF (EUT L 316 af 14.11.2012, s. 12).

(42) Europa-Parlamentets og Rådets forordning (EU) 2022/868 af 30. maj 2022 om europæisk datastyring og om ændring af forordning (EU) 2018/1724 (forordning om datastyring) (EUT L 152 af 3.6.2022, s. 1).

(43) Europa-Parlamentets og Rådets forordning (EU) 2023/2854 af 13. december 2023 om harmoniserede regler om fair adgang til og anvendelse af data og om ændring af forordning (EU) 2017/2394 og direktiv (EU) 2020/1828 (dataforordningen) (EUT L, 2023/2854, 22.12.2023, ELI: http://data.europa.eu/eli/reg/2023/2854/oj).

(44) Kommissionens henstilling 2003/361/EF af 6. maj 2003 om definitionen af mikrovirksomheder, små og mellemstore virksomheder (EUT L 124 af 20.5.2003, s. 36).

(45) Kommissionens afgørelse af 24. januar 2024 om oprettelse af Det Europæiske Kontor for Kunstig Intelligens (C/2024/390).

(46) Europa-Parlamentets og Radets forordning (EU) nr. 575/2013 af 26. juni 2013 om tilsynsmassige krav til kreditinstitutter og investeringsselskaber og om andring af forordning (EU) nr. 648/2012 (EUT L 176 af 27.6.2013, s. 1).

(47) Europa-Parlamentets og Radets direktiv 2008/48/EF af 23. april 2008 om forbrugerkreditaftaler og om ophavelse af Radets direktiv 87/102/EOF (EUT L 133 af 22.5.2008, s. 66).

(48) Europa-Parlamentets og Radets direktiv 2009/138/EF af 25. november 2009 om adgang til og udovelse af forsikrings- og genforsikringsvirksomhed (Solvens II) (EUT L 335 af 17.12.2009, s. 1).

(49) Europa-Parlamentets og Radets direktiv 2013/36/EU af 26. juni 2013 om adgang til at udove virksomhed som kreditinstitut og om tilsyn med kreditinstitutter, om andring af direktiv 2002/87/EF og om ophavelse af direktiv 2006/48/EF og 2006/49/EF (EUT L 176 af 27.6.2013, s. 338).

(50) Europa-Parlamentets og Radets direktiv 2014/17/"EU af 4. februar 2014 om forbrugerkreditaftaler i forbindelse med fast ejendom til beboelse og om andring af direktiv 2008/48/EF og 2013/36/EU og forordning (EU) nr. 1093/2010 (EUT L 60 af 28.2.2014, s. 34).

(51) Europa-Parlamentets og Radets direktiv (EU) 2016/97 af 20. januar 2016 om forsikringsdistribution (EUT L 26 af 2.2.2016, s. 19).

(52) Rådets forordning (EU) nr. 1024/2013 af 15. oktober 2013 om overdragelse af specifikke opgaver til Den Europæiske Centralbank i forbindelse med politikker vedrørende tilsyn med kreditinstitutter (EUT L 287 af 29.10.2013, s. 63).

(53) Europa-Parlamentets og Rådets forordning (EU) 2023/988 af 10. maj 2023 om produktsikkerhed i almindelighed, om ændring af Europa-Parlamentets og Rådets forordning (EU) nr. 1025/2012 og Europa-Parlamentets og Rådets direktiv (EU) 2020/1828 og om ophævelse af Europa-Parlamentets og Rådets direktiv 2001/95/EF og Rådets direktiv 87/357/EØF (EUT L 135 af 23.5.2023, s. 1).

(54) Europa-Parlamentets og Rådets direktiv (EU) 2019/1937 af 23. oktober 2019 om beskyttelse af personer, der indberetter overtrædelser af EU-retten (EUT L 305 af 26.11.2019, s. 17).

(55) EUT L 123 af 12.5.2016, s. 1.

(56) Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 af 16. februar 2011 om de generelle regler og principper for, hvordan medlemsstaterne skal kontrollere Kommissionens udøvelse af gennemførelsesbeføjelser (EUT L 55 af 28.2.2011, s. 13).

(57) Europa-Parlamentets og Rådets direktiv (EU) 2016/943 af 8. juni 2016 om beskyttelse af fortrolig knowhow og fortrolige forretningsoplysninger (forretningshemmeligheder) mod ulovlig erhvervelse, brug og videregivelse (EUT L 157 af 15.6.2016, s.  1).

(58) Europa-Parlamentets og Rådets direktiv (EU) 2020/1828 af 25. november 2020 om adgang til anlæggelse af gruppesøgsmål til beskyttelse af forbrugernes kollektive interesser og om ophævelse af direktiv 2009/22/EF (EUT L 409 af 4.12.2020, s.  1).

BILAG I

Liste over EU-harmoniseringslovgivning

Afsnit A. Liste over EU-harmoniseringslovgivning baseret på den nye lovgivningsmæssige ramme

1. Europa-Parlamentets og Rådets direktiv 2006/42/EF af 17. maj 2006 om maskiner og om ændring af direktiv 95/16/EF (EUT L 157 af 9.6.2006, s. 24)

2. Europa-Parlamentets og Rådets direktiv 2009/48/EF af 18. juni 2009 om sikkerhedskrav til legetøj (EUT L 170 af 30.6.2009, s. 1)

3. Europa-Parlamentets og Rådets direktiv 2013/53/EU af 20. november 2013 om fritidsfartøjer og personlige fartøjer og om ophævelse af direktiv 94/25/EF (EUT L 354 af 28.12.2013, s. 90)

4. Europa-Parlamentets og Rådets direktiv 2014/33/EU af. 26. februar 2014 om harmonisering af medlemsstaternes love om elevatorer og sikkerhedskomponenter til elevatorer (EUT L 96 af 29.3.2014, s. 251)

5. Europa-Parlamentets og Rådets direktiv 2014/34/EU af 26. februar 2014 om harmonisering af medlemsstaternes love om materiel og sikringssystemer til anvendelse i en potentielt eksplosiv atmosfære (EUT L 96 af 29.3.2014, s. 309)

6. Europa-Parlamentets og Rådets direktiv 2014/53/EU af 16. april 2014 om harmonisering af medlemsstaternes love om tilgængeliggørelse af radioudstyr på markedet og om ophævelse af direktiv 1999/5/EF (EUT L 153 af 22.5.2014, s. 62)

7. Europa-Parlamentets og Rådets direktiv 2014/68/EU af 15. maj 2014 om harmonisering af medlemsstaternes lovgivning om tilgængeliggørelse på markedet af trykbærende udstyr (EUT L 189 af 27.6.2014, s. 164)

8. Europa-Parlamentets og Rådets forordning (EU) 2016/424 af 9. marts 2016 om tovbaneanlæg og om ophævelse af direktiv 2000/9/EF (EUT L 81 af 31.3.2016, s. 1)

9. Europa-Parlamentets og Rådets forordning (EU) 2016/425 af 9. marts 2016 om personlige værnemidler og om ophævelse af Rådets direktiv 89/686/EØF (EUT L 81 af 31.3.2016, s. 51)

10. Europa-Parlamentets og Rådets forordning (EU) 2016/426 af 9. marts 2016 om apparater, der forbrænder gasformigt brændstof, og om ophævelse af direktiv 2009/142/EF (EUT L 81 af 31.3.2016, s. 99)

11. Europa-Parlamentets og Rådets forordning (EU) 2017/745 af 5. april 2017 om medicinsk udstyr, om ændring af direktiv 2001/83/EF, forordning (EF) nr. 178/2002 og forordning (EF) nr. 1223/2009 og om ophævelse af Rådets direktiv 90/385/EØF og 93/42/EØF (EUT L 117 af 5.5.2017, s. 1)

12. Europa-Parlamentets og Rådets forordning (EU) 2017/746 af 5. april 2017 om medicinsk udstyr til in vitro-diagnostik og om ophævelse af direktiv 98/79/EF og Kommissionens afgørelse 2010/227/EU (EUT L 117 af 5.5.2017, s. 176).

Afsnit B. Liste over anden EU-harmoniseringslovgivning

13. Europa-Parlamentets og Rådets forordning (EF) nr. 300/2008 af 11. marts 2008 om fælles bestemmelser om sikkerhed inden for civil luftfart og om ophævelse af forordning (EF) nr. 2320/2002 (EUT L 97 af 9.4.2008, s. 72)

14. Europa-Parlamentets og Rådets forordning (EU) nr. 168/2013 af 15. januar 2013 om godkendelse og markedsovervågning af to- og trehjulede køretøjer samt quadricykler (EUT L 60 af 2.3.2013, s. 52)

15. Europa-Parlamentets og Rådets forordning (EU) nr. 167/2013 af 5. februar 2013 om godkendelse og markedsovervågning af landbrugs- og skovbrugstraktorer (EUT L 60 af 2.3.2013, s. 1)

16. Europa-Parlamentets og Rådets direktiv 2014/90/EU af 23. juli 2014 om skibsudstyr og om ophævelse af Rådets direktiv 96/98/EF (EUT L 257 af 28.8.2014, s. 146)

17. Europa-Parlamentets og Rådets direktiv (EU) 2016/797 af 11. maj 2016 om interoperabilitet i jernbanesystemet i Den Europæiske Union (EUT L 138 af 26.5.2016, s. 44)

18. Europa-Parlamentets og Rådets forordning (EU) 2018/858 af 30. maj 2018 om godkendelse og markedsovervågning af motorkøretøjer og påhængskøretøjer dertil samt af systemer, komponenter og separate tekniske enheder til sådanne køretøjer, om ændring af forordning (EF) nr. 715/2007 og (EF) nr. 595/2009 og om ophævelse af direktiv 2007/46/EF (EUT L 151 af 14.6.2018, s. 1)

19. Europa-Parlamentets og Rådets forordning (EU) 2019/2144 af 27. november 2019 om krav til typegodkendelse af motorkøretøjer og påhængskøretøjer dertil samt systemer, komponenter og separate tekniske enheder til sådanne køretøjer for så vidt angår deres generelle sikkerhed og beskyttelsen af køretøjspassagerer og bløde trafikanter og om ændring af Europa-Parlamentets og Rådets forordning (EU) 2018/858 og ophævelse af Europa-Parlamentets og Rådets forordning (EF) nr. 78/2009, forordning (EF) nr. 79/2009 og forordning (EF) nr. 661/2009 og Kommissionens forordning (EF) nr. 631/2009, (EU) nr. 406/2010, (EU) nr. 672/2010, (EU) nr. 1003/2010, (EU) nr. 1005/2010, (EU) nr. 1008/2010, (EU) nr. 1009/2010, (EU) nr. 19/2011, (EU) nr. 109/2011, (EU) nr. 458/2011, (EU) nr. 65/2012, (EU) nr. 130/2012, (EU) nr. 347/2012, (EU) nr. 351/2012, (EU) nr. 1230/2012 og (EU) 2015/166 (EUT L 325 af 16.12.2019, s. 1)

20. Europa-Parlamentets og Rådets forordning (EU) 2018/1139 af 4. juli 2018 om fælles regler for civil luftfart og oprettelse af Den Europæiske Unions Luftfartssikkerhedsagentur og om ændring af Europa-Parlamentets og Rådets forordning (EF) nr. 2111/2005, (EF) nr. 1008/2008, (EU) nr. 996/2010, (EU) nr. 376/2014 og direktiv 2014/30/EU og 2014/53/EU og om ophævelse af Europa-Parlamentets og Rådets forordning (EF) nr. 552/2004 og (EF) nr. 216/2008 og Rådets forordning (EØF) nr. 3922/91 (EUT L 212 af 22.8.2018, s. 1) for så vidt angår konstruktion, fremstilling og omsætning af luftfartøjer, som er omhandlet i nævnte forordnings artikel 2, stk. 1, litra a) og b), hvis det drejer sig om ubemandede luftfartøjer og tilhørende motorer, propeller, dele og udstyr til fjernkontrol af disse luftfartøjer.

BILAG II

Liste over strafbare handlinger omhandlet i artikel 5, stk. 1, første afsnit, litra h), nr. iii)

Strafbare handlinger omhandlet i artikel 5, stk. 1, første afsnit, litra h), nr. iii):

- terrorisme

- menneskehandel

- seksuel udnyttelse af børn og børnepornografi

- ulovlig handel med narkotika eller psykotrope stoffer

- ulovlig handel med våben, ammunition eller sprængstoffer

- forsætligt manddrab og grov legemsbeskadigelse

- ulovlig handel med menneskeorganer eller -væv

- ulovlig handel med nukleare eller radioaktive materialer

- bortførelse, frihedsberøvelse eller gidseltagning

- forbrydelser, der er omfattet af Den Internationale Straffedomstols kompetence

- skibs- eller flykapring

- voldtægt

- miljøkriminalitet

- organiseret eller væbnet røveri

- sabotage

- deltagelse i en kriminel organisation, der er involveret i en eller flere af ovennævnte strafbare handlinger.

BILAG III

Højrisiko-AI-systemer omhandlet i artikel 6, stk. 2

Højrisiko-AI-systemer i henhold til artikel 6, stk. 2, er de AI-systemer, der er opført under et af følgende områder:

1. Biometri, for så vidt som dets anvendelse er tilladt i henhold til relevant EU-ret eller national ret:

a) systemer til biometrisk fjernidentifikation.

Dette omfatter ikke AI-systemer, der er tilsigtet biometrisk verifikation, og hvis eneste formål er at bekræfte, at en bestemt fysisk person er den person, vedkommende hævder at være

b) AI-systemer, der er tilsigtet biometrisk kategorisering i henhold til følsomme eller beskyttede egenskaber eller karakteristika på grundlag af udledning af disse egenskaber eller karakteristika

c) AI-systemer, der er tilsigtet følelsesgenkendelse.

2. Kritisk infrastruktur: AI-systemer, der tilsigtes anvendt som sikkerhedskomponenter i forvaltningen og driften af kritisk digital infrastruktur, vejtrafik eller forsyning af vand, gas, varme og elektricitet.

3. Uddannelse og erhvervsuddannelse:

a) AI-systemer, der tilsigtes anvendt til at bestemme fysiske personers adgang til eller optagelse eller deres fordeling på uddannelsesinstitutioner på alle niveauer

b) AI-systemer, der tilsigtes anvendt til at evaluere læringsresultater, herunder når disse resultater anvendes til at styre fysiske personers læringsproces på uddannelsesinstitutioner på alle niveauer

c) AI-systemer, der tilsigtes anvendt til at bedømme det nødvendige uddannelsesniveau, som den enkelte vil få eller vil kunne få adgang til, i forbindelse med eller inden for uddannelsesinstitutioner på alle niveauer

d) AI-systemer, der tilsigtes anvendt til at overvåge og opdage forbudt adfærd blandt studerende under prøver i forbindelse med eller inden for uddannelsesinstitutioner på alle niveauer.

4. Beskæftigelse, forvaltning af arbejdstagere og adgang til selvstændig virksomhed:

a) AI-systemer, der tilsigtes anvendt til rekruttering eller udvælgelse af fysiske personer, navnlig til at indrykke målrettede jobannoncer, analysere og filtrere jobansøgninger og evaluere kandidater

b) AI-systemer, der tilsigtes anvendt til at træffe beslutninger, der påvirker vilkårene for arbejdsrelaterede forhold, forfremmelse eller afskedigelse i arbejdsrelaterede kontraktforhold, til at fordele opgaver på grundlag af individuel adfærd eller personlighedstræk eller personlige egenskaber eller til at overvåge og evaluere personers præstationer og adfærd i sådanne forhold.

5. Adgang til og benyttelse af væsentlige private tjenester og væsentlige offentlige tjenester og ydelser:

a) AI-systemer, der tilsigtes anvendt af offentlige myndigheder eller på vegne af offentlige myndigheder til at vurdere fysiske personers berettigelse til væsentlige offentlige bistandsydelser og -tjenester, herunder sundhedstjenester, samt til at tildele, nedsætte, tilbagekalde eller kræve tilbagebetaling af sådanne ydelser og tjenester

b) AI-systemer, der tilsigtes anvendt til at evaluere fysiske personers kreditværdighed eller fastslå deres kreditvurdering, med undtagelse af AI-systemer, der anvendes til at afsløre økonomisk svig

c) AI-systemer, der tilsigtes anvendt til at foretage risikovurdering og prisfastsættelse for så vidt angår fysiske personer i forbindelse med livs- og sygeforsikring

d) AI-systemer, der er tilsigtet at evaluere og klassificere nødopkald fra fysiske personer eller til at blive anvendt til at sende beredskabstjenester i nødsituationer eller til at tildele prioriteter i forbindelse hermed, herunder udrykning af politi, brandslukning og lægehjælp samt patientsorteringssystemer for førstehjælp

6. Retshåndhævelse, for så vidt som deres anvendelse er tilladt i henhold til relevant EU-ret eller national ret:

a)AI-systemer, der tilsigtes anvendt af eller på vegne af retshåndhævende myndigheder eller af EU-institutioner, -organer, -kontorer eller -agenturer til støtte for retshåndhævende myndigheder eller på deres vegne til at vurdere risikoen for, at en fysisk person bliver offer for strafbare handlinger

b)AI-systemer, der tilsigtes anvendt af eller på vegne af retshåndhævende myndigheder eller af EU-institutioner, -organer, -kontorer eller -agenturer til støtte for retshåndhævende myndigheder som polygrafer eller lignende værktøjer

c)AI-systemer, der tilsigtes anvendt af eller på vegne af retshåndhævende myndigheder eller af EU-institutioner, -organer, -kontorer eller -agenturer til støtte for retshåndhævende myndigheder til at vurdere pålideligheden af bevismateriale i forbindelse med efterforskning eller retsforfølgning af strafbare handlinger

d)AI-systemer, der tilsigtes anvendt af retshåndhævende myndigheder eller på deres vegne eller af EU-institutioner, -organer, -kontorer eller -agenturer til støtte for retshåndhævende myndigheder til at vurdere risikoen for, at en fysisk person begår eller på ny begår lovovertrædelser, der ikke udelukkende er baseret på profilering af fysiske personer som omhandlet i artikel 3, stk. 4, i direktiv (EU) 2016/680, eller til at vurdere fysiske personers eller gruppers personlighedstræk og personlige egenskaber eller tidligere kriminelle adfærd

e) AI-systemer, der tilsigtes anvendt af eller på vegne af retshåndhævende myndigheder eller af EU-institutioner, -organer, -kontorer eller -agenturer til støtte for retshåndhævende myndigheder til profilering af fysiske personer som omhandlet i artikel 3, stk. 4, i direktiv (EU) 2016/680 i forbindelse med afsløring, efterforskning eller retsforfølgning af strafbare handlinger.

7. Migrationsstyring, asylforvaltning og grænsekontrol, for så vidt som deres anvendelse er tilladt i henhold til relevant EU-ret eller national ret:

a) AI-systemer, der tilsigtes anvendt af eller på vegne af kompetente offentlige myndigheder eller af EU-institutioner, -organer, -kontorer eller -agenturer som polygrafer eller lignende værktøjer

b) AI-systemer, der tilsigtes anvendt af eller på vegne af kompetente offentlige myndigheder eller af EU-institutioner, -organer, -kontorer eller -agenturer til at vurdere en risiko, herunder en sikkerhedsrisiko, en risiko for irregulær migration eller en sundhedsrisiko, som udgøres af en fysisk person, der har til hensigt at rejse ind i eller er indrejst i en medlemsstat

c) AI-systemer, der tilsigtes anvendt af eller på vegne af kompetente offentlige myndigheder eller af EU-institutioner, -organer, -kontorer eller -agenturer til at bistå kompetente offentlige myndigheder i behandlingen af ansøgninger om asyl, visum eller opholdstilladelser og hertil relaterede klager med henblik på at fastslå, om de fysiske personer, der ansøger, er berettigede, herunder tilhørende vurdering af pålideligheden af bevismateriale

d) AI-systemer, der tilsigtes anvendt af eller på vegne af kompetente offentlige myndigheder eller af EU-institutioner, -organer, -kontorer eller -agenturer i forbindelse med migrationsstyring, asylforvaltning eller grænsekontrol med henblik på at opdage, genkende eller identificere fysiske personer, bortset fra kontrol af rejselegitimation.

8. Retspleje og demokratiske processer:

a) AI-systemer, der tilsigtes anvendt af judicielle myndigheder eller på deres vegne til at bistå en judiciel myndighed med at undersøge og fortolke fakta og retten og anvende retten på konkrete sagsforhold eller til at blive anvendt på en lignende måde i forbindelse med alternativ tvistbilæggelse

b) AI-systemer, der tilsigtes anvendt til at påvirke resultatet af et valg eller en folkeafstemning eller fysiske personers stemmeadfærd i forbindelse med udøvelsen af deres stemme ved valg eller folkeafstemninger. Dette omfatter ikke AI-systemer, hvis output fysiske personer ikke er direkte eksponeret for, såsom værktøjer, der anvendes til at organisere, optimere eller strukturere politiske kampagner ud fra et administrativt eller logistisk synspunkt.

BILAG IV

Teknisk dokumentation omhandlet i artikel 11, stk. 1

Den tekniske dokumentation, der er omhandlet i artikel 11, stk. 1, skal som minimum indeholde følgende oplysninger, alt efter hvad der er relevant for det pågældende AI-system:

1. En generel beskrivelse af AI-systemet, herunder:

a) det tilsigtede formål, udbyderens navn samt systemets dato og version, der afspejler sammenhængen med tidligere versioner

b) hvis det er relevant, hvordan AI-systemet interagerer med eller kan bruges til at interagere med hardware eller software, herunder med andre AI-systemer, der ikke er en del af selve AI-systemet

c) versionerne af relevant software eller firmware og eventuelle krav vedrørende opdateringer

d) en beskrivelse af alle de former, hvori AI-systemet bringes i omsætning eller ibrugtages, såsom softwarepakke indlejret i hardware, downloads eller API'er

e) en beskrivelse af den hardware, som AI-systemet tilsigtes at køre på

f) hvis AI-systemet er komponent i produkter, fotografier eller illustrationer, der viser disse produkters eksterne karakteristika, mærkning og interne layout

g) en grundlæggende beskrivelse af den brugergrænseflade, der stilles til rådighed for idriftsætteren

h) brugsanvisning til idriftsætteren og en grundlæggende beskrivelse af den brugergrænseflade, der stilles til rådighed for idriftsætteren, hvis det er relevant.

2. En detaljeret beskrivelse af elementerne i AI-systemet og af processen for dets udvikling, herunder:

a) de metoder og trin, der er brugt i udviklingen af AI-systemet, herunder, hvis det er relevant, anvendelse af forhåndstrænede systemer eller værktøjer leveret af tredjeparter, og hvordan disse er blevet anvendt, integreret eller ændret af udbyderen

b) systemets konstruktionsspecifikationer, dvs. AI-systemets og algoritmernes generelle logik, navnlig de vigtigste valg med hensyn til udformning, herunder begrundelser og antagelser, herunder med hensyn til personer eller grupper af personer, som systemet tilsigtes anvendt på, de overordnede klassificeringsvalg, hvad systemet er udformet til at optimere for og relevansen af de forskellige parametre, en beskrivelse af systemets forventede output og outputkvalitet samt beslutninger om eventuelle trade-offs i de tekniske løsninger, der er valgt for at overholde kravene i kapitel III, afdeling 2

c) en beskrivelse af systemarkitekturen, der forklarer, hvordan softwarekomponenterne bygger på eller føder ind i hinanden og integreres i den samlede anvendelse; de beregningskraftsressourcer, der anvendes til at udvikle, træne, afprøve og validere AI-systemet

d) hvis det er relevant, datakravene i form af datablade, der beskriver de anvendte træningsmetoder og -teknikker og de anvendte træningsdatasæt, herunder en generel beskrivelse af disse datasæt, oplysninger om deres oprindelse, omfang og vigtigste karakteristika, hvordan dataene er indhentet og udvalgt, mærkningsprocedurer (f.eks. for læring med tilsyn) og datarensningsmetoder (f.eks. påvisning af outliere)

e) vurdering af de foranstaltninger til menneskeligt tilsyn, der er nødvendige i overensstemmelse med artikel 14, herunder en vurdering af de tekniske foranstaltninger, der er nødvendige for at lette idriftsætternes fortolkning af AI-systemets output, i overensstemmelse med artikel 13, stk. 3, litra d)

f) hvis det er relevant, en detaljeret beskrivelse af på forhånd fastlagte ændringer af AI-systemet og dets ydeevne sammen med alle relevante oplysninger vedrørende de tekniske løsninger, der er valgt for at sikre, at AI-systemet til stadighed overholder de relevante krav i kapitel III, afdeling 2

g) de anvendte validerings- og afprøvningsprocedurer, herunder oplysninger om de anvendte validerings- og afprøvningsdata og deres vigtigste karakteristika, parametre til måling af nøjagtighed, robusthed og overholdelse af andre relevante krav i kapitel III, afdeling 2, samt potentielt forskelsbehandlende virkninger samt afprøvningslogfiler og alle afprøvningsrapporter, der er dateret og underskrevet af de ansvarlige personer, herunder med hensyn til forudbestemte ændringer som omhandlet i litra f)

h) indførte cybersikkerhedsforanstaltninger.

3. Detaljerede oplysninger om overvågningen af AI-systemet, dets funktion og kontrollen hermed, navnlig med hensyn til dets kapacitet og begrænsninger i ydeevne, herunder nøjagtighedsgraden for specifikke personer eller grupper af personer, som systemet tilsigtes anvendt på, og det samlede forventede nøjagtighedsniveau i forhold til det tilsigtede formål, de forventede utilsigtede resultater og kilder til risici for sundhed og sikkerhed, grundlæggende rettigheder og forskelsbehandling i lyset af AI-systemets tilsigtede formål, foranstaltningerne til menneskeligt tilsyn i overensstemmelse med artikel 14, herunder de tekniske foranstaltninger, der er indført for at lette idriftsætternes fortolkning af AI-systemets output, samt specifikationer for inputdata, alt efter hvad der er relevant.

4. En beskrivelse af ydeevneparametrenes egnethed til det specifikke AI-system.

5. En detaljeret beskrivelse af risikostyringssystemet i overensstemmelse med artikel 9.

6. En beskrivelse af relevante ændringer, som udbyderen foretager af systemet i løbet af dets livscyklus.

7. En liste over de helt eller delvis anvendte harmoniserede standarder, hvis referencer er offentliggjort i Den Europæiske Unions Tidende, samt, hvis disse harmoniserede standarder ikke er blevet anvendt, en detaljeret beskrivelse af de løsninger, der er anvendt for at opfylde kravene i kapitel III, afdeling 2, herunder en liste over andre relevante tekniske specifikationer, som er anvendt.

8. En kopi af den i artikel 47 omhandlede EU-overensstemmelseserklæring.

9. En detaljeret beskrivelse af det system, der er indført til evaluering af AI-systemets ydeevne, efter at systemet er bragt i omsætning, i overensstemmelse med artikel 72, herunder planen for overvågning efter omsætningen, der er omhandlet i artikel 72, stk. 3.

BILAG V

EU-overensstemmelseserklæring

EU-overensstemmelseserklæringen, der er omhandlet i artikel 47, skal indeholde følgende oplysninger:

1. AI-systemets navn, type og enhver yderligere entydig reference, der gør det muligt at identificere og spore AI-systemet

2.udbyderens navn og adresse eller, hvis det er relevant, den bemyndigede repræsentants navn og adresse

3.en erklæring om, at den i artikel 47 omhandlede EU-overensstemmelseserklæring udstedes på udbyderens ansvar

4.en erklæring om, at AI-systemet er i overensstemmelse med denne forordning og eventuelt med al anden relevant EU-ret, der fastsætter bestemmelser om udstedelse af den i artikel 47 omhandlede EU-overensstemmelseserklæring

5.hvis et AI-system indbefatter behandling af personoplysninger, en erklæring om, at AI-systemet overholder forordning (EU) 2016/679 og (EU) 2018/1725 samt direktiv (EU) 2016/680

6.referencer til de relevante anvendte harmoniserede standarder eller referencer til anden fælles specifikation, som der erklæres overensstemmelse med

7.hvis det er relevant, navnet og identifikationsnummeret på det bemyndigede organ, en beskrivelse af den gennemførte overensstemmelsesvurderingsprocedure og identifikation af den udstedte attest

8.udstedelsessted og -dato for erklæringen, navn og stilling på den person, der har underskrevet den, samt en angivelse af, for hvem eller på hvis vegne vedkommende har underskrevet, og underskrift.

BILAG VI

Procedurer for overensstemmelsesvurdering baseret på intern kontrol

1. Proceduren for overensstemmelsesvurdering baseret på intern kontrol er overensstemmelsesvurderingsproceduren baseret på punkt 2, 3 og 4.

2. Udbyderen verificerer, at det etablerede kvalitetsstyringssystem overholder kravene i artikel 17.

3. Udbyderen undersøger oplysningerne i den tekniske dokumentation med henblik på at vurdere, hvorvidt AI-systemet overholder de relevante væsentlige krav i kapitel III, afdeling 2.

4. Udbyderen verificerer også, at udformnings- og udviklingsprocessen for AI-systemet og dets overvågning efter omsætningen som omhandlet i artikel 72 er i overensstemmelse med den tekniske dokumentation.

BILAG VII

Overensstemmelse baseret på en vurdering af kvalitetsstyringssystemet og en vurdering af den tekniske dokumentation

1. Indledning

Overensstemmelse baseret på en vurdering af kvalitetsstyringssystemet og en vurdering af den tekniske dokumentation er overensstemmelsesvurderingsproceduren baseret på punkt 2-5.

2. Oversigt

Det godkendte kvalitetsstyringssystem for udformning, udvikling og afprøvning af AI-systemer i henhold til artikel 17 undersøges i overensstemmelse med punkt 3 og er underlagt den i punkt 5 omhandlede overvågning. AI-systemets tekniske dokumentation undersøges i overensstemmelse med punkt 4.

3. Kvalitetsstyringssystem

3.1. Udbyderens ansøgning skal omfatte:

a) udbyderens navn og adresse samt navn og adresse på udbyderens bemyndigede repræsentant, hvis ansøgningen indgives af denne

b) listen over AI-systemer, der er omfattet af det samme kvalitetsstyringssystem

c) den tekniske dokumentation for hvert AI-system, der er omfattet af det samme kvalitetsstyringssystem

d) dokumentationen vedrørende kvalitetsstyringssystemet, som skal omfatte alle de aspekter, der er anført i artikel 17

e) en beskrivelse af de procedurer, der er indført for at sikre, at kvalitetsstyringssystemet fortsat er fyldestgørende og effektivt

f) en skriftlig erklæring om, at samme ansøgning ikke er blevet indgivet til et andet bemyndiget organ.

3.2. Det bemyndigede organ vurderer kvalitetsstyringssystemet for at afgøre, om det opfylder kravene omhandlet i artikel 17.

Afgørelsen meddeles udbyderen eller dennes bemyndigede repræsentant.

Meddelelsen skal indeholde konklusionerne af vurderingen af kvalitetsstyringssystemet og en begrundelse for afgørelsen.

3.3. Det godkendte kvalitetsstyringssystem skal fortsat gennemføres og vedligeholdes af udbyderen, således at det forbliver hensigtsmæssigt og effektivt.

3.4. Enhver tilsigtet ændring af det godkendte kvalitetsstyringssystem eller listen over AI-systemer, der er omfattet af dette, skal af udbyderen meddeles det bemyndigede organ.

Det bemyndigede organ vurderer de foreslåede ændringer og afgør, om det ændrede kvalitetsstyringssystem stadig opfylder de i punkt 3.2 omhandlede krav, eller om en fornyet vurdering er nødvendig.

Det bemyndigede organ meddeler udbyderen sin afgørelse. Meddelelsen skal indeholde konklusionerne af undersøgelsen af de foreslåede ændringer og en begrundelse for afgørelsen.

4. Kontrol af den tekniske dokumentation

4.1. Ud over den i punkt 3 omhandlede ansøgning, skal udbyderen til det bemyndigede organ indsende en ansøgning om vurdering af den tekniske dokumentation vedrørende det AI-system, som denne agter at bringe i omsætning eller ibrugtage, og som er omfattet af det kvalitetsstyringssystem, der er omhandlet i punkt 3.

4.2. Ansøgningen skal indeholde:

a) udbyderens navn og adresse

b) en skriftlig erklæring om, at samme ansøgning ikke er blevet indgivet til et andet bemyndiget organ

c) den i bilag IV omhandlede tekniske dokumentation.

4.3. Den tekniske dokumentation vurderes af det bemyndigede organ. Hvis det er relevant og begrænset til, hvad der er nødvendigt for, at det bemyndigede organ kan udføre sine opgaver, gives det fuld adgang til de anvendte trænings-, validerings- og afprøvningsdatasæt, herunder, hvis det er relevant, og med forbehold af sikkerhedsforanstaltninger, via API'er eller andre relevante tekniske midler og værktøjer, der muliggør fjernadgang.

4.4. I forbindelse med vurderingen af den tekniske dokumentation kan det bemyndigede organ kræve, at udbyderen fremlægger yderligere dokumentation eller udfører yderligere afprøvninger for at muliggøre en korrekt vurdering af AI-systemets overensstemmelse med kravene i kapitel III, afdeling 2. Hvis det bemyndigede organ ikke er tilfreds med de afprøvninger, som udbyderen har foretaget, skal det bemyndigede organ selv foretage de nødvendige afprøvninger direkte, alt efter hvad der er relevant.

4.5. Hvis det er nødvendigt for at vurdere, om højrisiko-AI-systemet er i overensstemmelse med kravene i kapitel III, afdeling 2, skal det bemyndigede organ, efter at alle andre rimelige metoder til at verificere overensstemmelsen er udtømt eller har vist sig utilstrækkelige, og efter begrundet anmodning gives adgang til AI-systemets træningsmodeller og trænede modeller, herunder dets relevante parametre. En sådan adgang er omfattet af gældende EU-ret om beskyttelse af intellektuel ejendom og forretningshemmeligheder.

4.6. Det bemyndigede organs afgørelse meddeles udbyderen eller dennes bemyndigede repræsentant. Meddelelsen skal indeholde konklusionerne af vurderingen af den tekniske dokumentation og en begrundelse for afgørelsen.

Hvis AI-systemet er i overensstemmelse med kravene i kapitel III, afdeling 2, udsteder det bemyndigede organ en EU-vurderingsattest for teknisk dokumentation. Attesten skal indeholde udbyderens navn og adresse, undersøgelseskonklusionerne, eventuelle betingelser for dets gyldighed og de nødvendige data til identifikation af AI-systemet.

Attesten og bilagene hertil skal indeholde alle relevante oplysninger, der gør det muligt at vurdere AI-systemets overensstemmelse med kravene, herunder, hvis det er relevant, kontrol under brug.

Hvis AI-systemet ikke er i overensstemmelse med kravene i kapitel III, afdeling 2, afviser det bemyndigede organ at udstede en EU-vurderingsattest for teknisk dokumentation og oplyser ansøgeren herom og giver en detaljeret begrundelse for afslaget.

Hvis AI-systemet ikke opfylder kravet vedrørende de data, der anvendes til at træne det, skal AI-systemet gentrænes, inden der ansøges om en ny overensstemmelsesvurdering. I dette tilfælde skal det bemyndigede organs begrundede afgørelse om afslag på udstedelse af en EU-vurderingsattest for teknisk dokumentation indeholde specifikke betragtninger om kvaliteten af de data, der er anvendt til at træne AI-systemet, navnlig om årsagerne til manglende overholdelse.

4.7. Enhver ændring af AI-systemet, der kan påvirke AI-systemets overholdelse af kravene eller systemets tilsigtede formål, skal vurderes af det bemyndigede organ, der har udstedt EU-vurderingsattesten for teknisk dokumentation. Udbyderen skal underrette det bemyndigede organ om sin hensigt om at indføre nogen af ovennævnte ændringer, eller hvis denne på anden måde bliver opmærksom på forekomsten af sådanne ændringer. Det bemyndigede organ vurderer de tilsigtede ændringer og afgør, om disse ændringer kræver en ny overensstemmelsesvurdering i overensstemmelse med artikel 43, stk. 4, eller om de kan behandles ved hjælp af et tillæg til EU-vurderingsattesten for teknisk dokumentation. I sidstnævnte tilfælde vurderer det bemyndigede organ ændringerne, meddeler udbyderen sin afgørelse og udsteder, såfremt ændringerne godkendes, et tillæg til EU-vurderingsattesten for teknisk dokumentation til udbyderen.

5. Overvågning af det godkendte kvalitetsstyringssystem

5.1. Formålet med den overvågning, der udføres af det bemyndigede organ, der er omhandlet i punkt 3, er at sikre, at udbyderen behørigt overholder vilkårene og betingelserne i det godkendte kvalitetsstyringssystem.

5.2. Med henblik på vurdering skal udbyderen give det bemyndigede organ adgang til de lokaler, hvor udformningen, udviklingen eller afprøvningen af AI-systemerne finder sted. Udbyderen skal yderligere give det bemyndigede organ alle nødvendige oplysninger.

5.3. Det bemyndigede organ aflægger jævnligt kontrolbesøg for at sikre, at udbyderen vedligeholder og anvender kvalitetsstyringssystemet, og det udsteder en revisionsrapport til udbyderen. I forbindelse med disse kontrolbesøg kan det bemyndigede organ foretage yderligere afprøvninger af de AI-systemer, for hvilke der er udstedt en EU-vurderingsattest for teknisk dokumentation.

BILAG VIII

Oplysninger, der skal indsendes ved registrering af højrisiko-AI-systemer i overensstemmelse med artikel 49

Afsnit A - Oplysninger, der skal indsendes af udbydere af højrisiko-AI-systemer i overensstemmelse med artikel 49, stk. 1

Følgende oplysninger skal forelægges og derefter holdes ajourført med hensyn til højrisiko-AI-systemer, der skal registreres i overensstemmelse med artikel 49, stk. 1:

1. udbyderens navn, adresse og kontaktoplysninger

2. hvis oplysninger forelægges af en anden person på vegne af udbyderen, denne persons navn, adresse og kontaktoplysninger

3. den bemyndigede repræsentants navn, adresse og kontaktoplysninger, hvis det er relevant

4. AI-systemets handelsnavn og enhver yderligere entydig reference, der gør det muligt at identificere og spore AI-systemet

5. en beskrivelse af det tilsigtede formål med AI-systemet og af de komponenter og funktioner, der understøttes af dette AI-system

6. en grundlæggende og kortfattet beskrivelse af de oplysninger, der anvendes af systemet (data, input), og dets driftslogik

7. AI-systemets status (i omsætning eller i drift, ikke længere i omsætning/i drift, tilbagekaldt)

8. type, nummer og udløbsdato for den attest, der er udstedt af det bemyndigede organ, samt navn eller identifikationsnummer på det pågældende bemyndigede organ, hvis det er relevant

9. en scannet kopi af den i punkt 8 omhandlede attest, hvis det er relevant

10. enhver medlemsstat, hvor AI-systemet har været bragt i omsætning, ibrugtaget eller gjort tilgængeligt i Unionen

11. en kopi af den i artikel 47 omhandlede EU-overensstemmelseserklæring

12. brugsanvisning i elektronisk form, dog gives disse oplysninger ikke for højrisiko-AI-systemer inden for retshåndhævelse og migrationsstyring, asylforvaltning og grænsekontrol, der er omhandlet i bilag III, punkt 1, 6 og 7

13. en URL for yderligere oplysninger (valgfrit).

Afsnit B - Oplysninger, der skal indsendes af udbydere af højrisiko-AI-systemer i overensstemmelse med artikel 49, stk. 2

Følgende oplysninger skal forelægges og derefter holdes ajourført med hensyn til højrisiko-AI-systemer, der registreres i overensstemmelse med artikel 49, stk. 2:

1. udbyderens navn, adresse og kontaktoplysninger

2. hvis oplysninger forelægges af en anden person på vegne af udbyderen, denne persons navn, adresse og kontaktoplysninger

3. den bemyndigede repræsentants navn, adresse og kontaktoplysninger, hvis det er relevant

4. AI-systemets handelsnavn og enhver yderligere entydig reference, der gør det muligt at identificere og spore AI-systemet

5. en beskrivelse af det tilsigtede formål med AI-systemet

6. den eller de betingelser i medfør af artikel 6, stk. 3, på grundlag af hvilke(n) AI-systemet ikke betragtes som højrisiko

7. en kort sammenfatning af grundene at, AI-systemet ikke betragtes som højrisiko i forbindelse med anvendelse af proceduren i artikel 6, stk. 3

8. AI-systemets status (i omsætning eller i drift, ikke længere i omsætning/i drift, tilbagekaldt)

9. enhver medlemsstat, hvor AI-systemet har været bragt i omsætning, ibrugtaget eller gjort tilgængeligt i Unionen.

Afsnit C - Oplysninger, der skal indsendes af idriftsættere af højrisiko-AI-systemer i overensstemmelse med artikel 49, stk. 3

Følgende oplysninger skal forelægges og derefter holdes ajourført med hensyn til højrisiko-AI-systemer, der registreres i overensstemmelse med artikel 49, stk. 3:

1. idriftsætterens navn, adresse og kontaktoplysninger

2. navn, adresse og kontaktoplysninger på enhver person, der indsender oplysninger på vegne af idriftsætteren

3. URL'en for indlæsningen af AI-systemet i EU-databasen for udbyderen af AI-systemet

4. et sammendrag af resultaterne af den konsekvensanalyse vedrørende grundlæggende rettigheder, der er foretaget i overensstemmelse med artikel 27

5. et sammendrag af konsekvensanalysen vedrørende databeskyttelse foretaget i overensstemmelse med artikel 35 i forordning (EU) 2016/679 eller artikel 27 i direktiv (EU) 2016/680 som specificeret i nærværende forordnings artikel 26, stk. 8, hvis det er relevant.

BILAG IX

Oplysninger, der skal indsendes ved registrering af højrisiko-AI-systemer anført i bilag III i forbindelse med afprøvning under faktiske forhold i overensstemmelse med artikel 60

Følgende oplysninger skal forelægges og derefter holdes ajourført med hensyn til afprøvning under faktiske forhold, der registreres i overensstemmelse med artikel 60:

1. et EU-dækkende unikt individuelt identifikationsnummer for afprøvningen under faktiske forhold

2. navn og kontaktoplysninger på udbyderen eller den potentielle udbyder og på de idriftsættere, der er involveret i afprøvningen under faktiske forhold

3. en kort beskrivelse af AI-systemet, dets tilsigtede formål og andre oplysninger, der er nødvendige for at identificere systemet

4. et sammendrag af de vigtigste karakteristika ved planen for afprøvning under faktiske forhold

5. oplysninger om suspendering eller afslutning af afprøvningen under faktiske forhold.

BILAG X

Lovgivningsmæssige EU-retsakter om store IT-systemer inden for området med frihed, sikkerhed og retfærdighed

1. Schengeninformationssystemet

a) Europa-Parlamentets og Rådets forordning (EU) 2018/1860 af 28. november 2018 om brug af Schengeninformationssystemet i forbindelse med tilbagesendelse af tredjelandsstatsborgere med ulovligt ophold (EUT L 312 af 7.12.2018, s. 1)

b) Europa-Parlamentets og Rådets forordning (EU) 2018/1861 af 28. november 2018 om oprettelse, drift og brug af Schengeninformationssystemet (SIS) på området ind- og udrejsekontrol, om ændring af konventionen om gennemførelse af Schengenaftalen og om ændring og ophævelse af forordning (EF) nr. 1987/2006 (EUT L 312 af 7.12.2018, s. 14)

c) Europa-Parlamentets og Rådets forordning (EU) 2018/1862 af 28. november 2018 om oprettelse, drift og brug af Schengeninformationssystemet (SIS) på området politisamarbejde og strafferetligt samarbejde, om ændring og ophævelse af Rådets afgørelse 2007/533/RIA og om ophævelse af Europa-Parlamentets og Rådets forordning (EF) nr. 1986/2006 og Kommissionens afgørelse 2010/261/EU (EUT L 312 af 7.12.2018, s. 56).

2. Visuminformationssystemet

a) Europa-Parlamentets og Rådets forordning (EU) 2021/1133 af 7. juli 2021 om ændring af forordning (EU) nr. 603/2013, (EU) 2016/794, (EU) 2018/1862, (EU) 2019/816 og (EU) 2019/818 for så vidt angår fastsættelse af betingelserne for adgang til andre EU-informationssystemer med henblik på visuminformationssystemet (EUT L 248 af 13.7.2021, s. 1)

b) Europa-Parlamentets og Rådets forordning (EU) 2021/1134 af 7. juli 2021 om ændring af Europa-Parlamentets og Rådets forordning (EF) nr. 767/2008, (EF) nr. 810/2009, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1860, (EU) 2018/1861, (EU) 2019/817 og (EU) 2019/1896 og om ophævelse af Rådets beslutning 2004/512/EF og Rådets afgørelse 2008/633/RIA, med henblik på reform af visuminformationssystemet (EUT L 248 af 13.7.2021, s. 11).

3. Eurodac

Europa-Parlamentets og Rådets forordning (EU) 2024/1358 af 14. maj 2024 om oprettelse af »Eurodac« til sammenligning af biometriske oplysninger med henblik på effektiv anvendelse af Europa-Parlamentets og Rådets forordning (EU) 2024/1315 og (EU) 2024/1350 og Rådets direktiv 2001/55/EF og på identificering af tredjelandsstatsborgere og statsløse med ulovligt ophold og om medlemsstaternes retshåndhævende myndigheders og Europols adgang til at indgive anmodning om sammenligning med Eurodacoplysninger med henblik på retshåndhævelse, om ændring af Europa-Parlamentets og Rådets forordning (EU) 2018/1240 og (EU) 2019/818 og om ophævelse af Europa-Parlamentets og Rådets forordning (EU) nr. 603/2013 (EUT L, 2024/1358, 22.5.2024, ELI: http://data.europa.eu/eli/reg/2024/1358/oj).

4. Ind- og udrejsesystemet

Europa-Parlamentets og Rådets forordning (EU) 2017/2226 af 30. november 2017 om oprettelse af et ind- og udrejsesystem til registrering af ind- og udrejseoplysninger og oplysninger om nægtelse af indrejse vedrørende tredjelandsstatsborgere, der passerer medlemsstaternes ydre grænser, om fastlæggelse af betingelserne for adgang til ind- og udrejsesystemet til retshåndhævelsesformål og om ændring af konventionen om gennemførelse af Schengenaftalen og forordning (EF) nr. 767/2008 og (EU) nr. 1077/2011 (EUT L 327 af 9.12.2017, s. 20).

5. Det europæiske system vedrørende rejseinformation og rejsetilladelse

a) Europa-Parlamentets og Rådets forordning (EU) 2018/1240 af 12. september 2018 om oprettelse af et europæisk system vedrørende rejseinformation og rejsetilladelse (ETIAS) og om ændring af forordning (EU) nr. 1077/2011, (EU) nr. 515/2014, (EU) 2016/399, (EU) 2016/1624 og (EU) 2017/2226 (EUT L 236 af 19.9.2018, s. 1)

b) Europa-Parlamentets og Rådets forordning (EU) 2018/1241 af 12. september 2018 om ændring af forordning (EU) 2016/794 med henblik på oprettelse af et europæisk system vedrørende rejseinformation og rejsetilladelse (ETIAS) (EUT L 236 af 19.9.2018, s. 72).

6. Det europæiske informationssystem vedrørende strafferegistre for statsborgere i tredjelande og statsløse

Europa-Parlamentets og Rådets forordning (EU) 2019/816 af 17. april 2019 om oprettelse af et centralt system til bestemmelse af, hvilke medlemsstater der ligger inde med oplysninger om straffedomme afsagt over tredjelandsstatsborgere og statsløse personer (ECRIS-TCN) for at supplere det europæiske informationssystem vedrørende strafferegistre, og om ændring af forordning (EU) 2018/1726 (EUT L 135 af 22.5.2019, s. 1).

7. Interoperabilitet

a) Europa-Parlamentets og Rådets forordning (EU) 2019/817 af 20. maj 2019 om fastsættelse af en ramme for interoperabilitet mellem EU-informationssystemer vedrørende grænser og visum og om ændring af Europa- Parlamentets og Rådets forordning (EF) nr. 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1726 og (EU) 2018/1861, Rådets beslutning 2004/512/EF og Rådets afgørelse 2008/633/RIA (EUT L 135 af 22.5.2019, s. 27)

b) Europa-Parlamentets og Rådets forordning (EU) 2019/818 af 20. maj 2019 om fastsættelse af en ramme for interoperabilitet mellem EU-informationssystemer vedrørende politisamarbejde og retligt samarbejde, asyl og migration og om ændring af forordning (EU) 2018/1726, (EU) 2018/1862 og (EU) 2019/816 (EUT L 135 af 22.5.2019, s. 85).

BILAG XI

Teknisk dokumentation omhandlet i artikel 53, stk. 1, litra a) - teknisk dokumentation for udbydere af AI-modeller til almen brug

Afsnit 1

Oplysninger, der skal forelægges af alle udbydere af AI-modeller til almen brug

Den tekniske dokumentation omhandlet i artikel 53, stk. 1, litra a), skal som minimum indeholde følgende oplysninger, alt efter hvad der er relevant for modellens størrelse og risikoprofil:

1. En generel beskrivelse af AI-modellen til almen brug, herunder:

a) de opgaver, som modellen tilsigtes at udføre, og typen og arten af AI-systemer, som den kan integreres i

b) gældende acceptable anvendelsespolitikker

c) frigivelsesdato og distributionsmetoder

d) parametrenes arkitektur og antal

e) modalitet (f.eks. tekst, billede) og format af input og output

f) licensen.

2. En detaljeret beskrivelse af elementerne i den model, der er omhandlet i punkt 1, og relevante oplysninger om udviklingsprocessen, herunder følgende elementer:

a) de tekniske midler (f.eks. brugsanvisning, infrastruktur, værktøjer), der er nødvendige for, at AI-modellen til almen brug kan integreres i AI-systemer

b) modellens konstruktionsspecifikationer og træningsprocessen, herunder træningsmetoder og -teknikker, de vigtigste valg med hensyn til udformning, herunder begrundelser og antagelser, hvad modellen er udformet til at optimere for og relevansen af de forskellige parametre, alt efter hvad der er relevant

c) oplysninger om de data, der anvendes til træning, afprøvning og validering, hvis det er relevant, herunder dataenes type og oprindelse og kurateringsmetoder (f.eks. rensning, filtrering osv.), antallet af datapunkter, deres omfang og vigtigste karakteristika, hvordan dataene er indhentet og udvalgt, samt alle andre foranstaltninger til at opdage uegnede datakilder og metoder til at opdage identificerbare bias, hvor det er relevant

d) de beregningskraftsressourcer, der anvendes til at træne modellen (f.eks. antal flydende kommatalsberegninger), træningstid og andre relevante detaljer vedrørende træningen

e) modellens kendte eller anslåede energiforbrug.

For så vidt angår litra e) kan energiforbruget, hvis modellens energiforbrug er ukendt, baseres på oplysninger om anvendte beregningskraftsressourcer.

Afsnit 2

Yderligere oplysninger, der skal forelægges af udbydere af AI-modeller til almen brug med systemisk risiko

1. En detaljeret beskrivelse af evalueringsstrategierne, herunder evalueringsresultater, på grundlag af tilgængelige offentlige evalueringsprotokoller og -værktøjer eller på anden måde af andre evalueringsmetoder. Evalueringsstrategierne skal omfatte evalueringskriterier, parametre og metoder til identifikation af begrænsninger.

2. Hvis det er relevant, en detaljeret beskrivelse af de foranstaltninger, der er truffet med henblik på at gennemføre intern og/eller ekstern kontradiktorisk afprøvning (f.eks. red teaming), modeltilpasninger, herunder tilpasning og finjustering.

3. Hvis det er relevant, en detaljeret beskrivelse af systemarkitekturen, der forklarer, hvordan softwarekomponenterne bygger på eller føder ind i hinanden og integreres i den samlede anvendelse.

BILAG XII

Gennemsigtighedsoplysninger omhandlet i artikel 53, stk. 1, litra b) - teknisk dokumentation for udbydere af AI-modeller til almen brug til downstreamudbydere, der integrerer modellen i deres AI-system

Oplysningerne omhandlet i artikel 53, stk. 1, litra b), skal som minimum omfatte følgende:

1. En generel beskrivelse af AI-modellen til almen brug, herunder:

a) de opgaver, som modellen tilsigtes at udføre, og typen og arten af AI-systemer, som den kan integreres i

b) gældende acceptable anvendelsespolitikker

c) frigivelsesdato og distributionsmetoder

d) hvis det er relevant, hvordan modellen interagerer eller kan bruges til at interagere med hardware eller software, der ikke er en del af selve modellen

e) versioner af relevant software vedrørende anvendelsen af AI-modellen til almen brug, hvis det er relevant

f) parametrenes arkitektur og antal

g) modalitet (f.eks. tekst, billede) og format af input og output

h) licensen til modellen.

2. En beskrivelse af elementerne i modellen og af processen for dens udvikling, herunder:

a) de tekniske midler (f.eks. brugsanvisning, infrastruktur, værktøjer), der er nødvendige for, at AI-modellen til almen brug kan integreres i AI-systemer

b) modalitet (f.eks. tekst, billede osv.) og format af input og output og deres maksimale størrelse (f.eks. kontekstvinduesstørrelse osv.)

c) oplysninger om de data, der anvendes til træning, afprøvning og validering, hvis det er relevant, herunder dataenes type og oprindelse og kurateringsmetoder.

BILAG XIII

Kriterier for udpegelse af AI-modeller til almen brug med systemisk risiko, jf. artikel 51

Med henblik på at fastslå, at en AI-model til almen brug har kapaciteter eller virkninger, der svarer til dem, der er fastsat i artikel 51, stk. 1, litra a), tager Kommissionen hensyn til følgende kriterier:

a) antal parametre i modellen

b) datasættets kvalitet eller størrelse, f.eks. målt ved hjælp af tokens

c) den mængde beregningskraft, der anvendes til træning af modellen, målt i flydende kommatalsberegninger eller angivet ved en kombination af andre variabler såsom anslåede træningsomkostninger, anslået tid til træningen eller anslået energiforbrug til træningen

d) modellens input- og outputmetoder, f.eks. tekst til tekst (store sprogmodeller), tekst til billede, multimodalitet og de nyeste tærskler til bestemmelse af kapaciteter med stor virkning for hver modalitet, samt den specifikke type input og output (f.eks. biologiske sekvenser)

e) benchmarks og evalueringer af modellens kapaciteter, herunder hensyntagen til antal opgaver uden yderligere træning, tilpasningsevne til at lære nye, særskilte opgaver, dens grad af autonomi og skalerbarhed og de værktøjer, den har adgang til

f) om den har stor indvirkning på det indre marked på grund af dens omfang, hvilket formodes at være tilfældet, når den er blevet gjort tilgængelig for mindst 10 000 registrerede erhvervsbrugere etableret i Unionen

g) antal registrerede slutbrugere.

Bemærkninger til lovforslaget

1. Indledning

Formålet med dette lovforslag er at supplere reglerne i forordningen om kunstig intelligens. Forslaget fastsætter således supplerende nationale bestemmelser om kompetence- og straffebestemmelser inden for det nationale råderum, som forordningen om kunstig intelligens giver mulighed for.

Lovforslaget supplerer forordningen om kunstig intelligens, som har til formål at forbedre det indre markeds funktion og fremme udbredelsen af menneskecentreret og troværdig kunstig intelligens (AI) og samtidig sikre et højt niveau af beskyttelse af sundhed, sikkerhed og grundlæggende rettigheder.

Forordningen om kunstig intelligens trådte i kraft den 2. august 2024. Forordningen finder anvendelse fra den 2. august 2026. Dog finder forordningens kapitel I (almindelige bestemmelser) og II (forbudte former for AI-praksis) anvendelse fra den 2. februar 2025. Kapitel III, afdeling 4 (bemyndigende myndigheder og bemyndigede organer), kapitel V (AI-modeller til almen brug), VII (forvaltning) og XII (sanktioner) og artikel 78 (fortrolighed) finder anvendelse fra den 2. august 2025, med undtagelse af artikel 101 (bøder til udbydere af AI-modeller til almen brug). Forordningens artikel 6, stk. 1 (højrisiko kunstig intelligens-systemer, der omhandler produkter), og de tilsvarende forpligtelser i forordningen finder hertil anvendelse fra den 2. august 2027.

Forordningen om kunstig intelligens har direkte virkning i Danmark, hvilket betyder, at der som udgangspunkt ikke må være anden dansk lovgivning, der regulerer forhold, som er reguleret i forordningen. Danmark er således forpligtet til at supplere dansk lovgivning i overensstemmelse med forordningens bestemmelser med virkning fra den 2. august 2025.

Flere bestemmelser i forordningen kræver, at der vedtages supplerende bestemmelser i Danmark af hensyn til anvendelsen af forordningen, herunder kompetence- og straffebestemmelser.

Forordningen om kunstig intelligens har trinvis anvendelse. Med dette lovforslag foreslås supplerende bestemmelser, som skal indrette dansk lovgivning med hensyn til de dele af forordningen, som finder anvendelse fra den 2. februar 2025 samt den 2. august 2025. Der foreslås endvidere enkelte bestemmelser af materiel karakter, som har til hensigt at give udpegede kompetente myndigheder kompetence til blandt andet at afkræve alle oplysninger, som er nødvendige for myndighedernes tilsynsvirksomhed, herunder til fastlæggelse af, om et forhold hører under myndighedernes kompetence.

Digitaliseringsministeriet bemærker, at de enkelte bestemmelser i forordningen om kunstig intelligens har forskellige anvendelsestidspunkter. Som eksempel kan nævnes, at det blandt andet følger af præambelbetragtning 179, at forordningen bør finde anvendelse fra den 2. august 2026, men under hensyntagen til den uacceptable risiko, der på visse områder er forbundet med anvendelsen af AI, finder forbuddene og de almindelige bestemmelser i forordningen dog anvendelse allerede fra den 2. februar 2025. Kapitel XII om sanktioner finder imidlertid først anvendelse fra den 2. august 2025. Forbudte former for AI-praksis kan derfor først medføre sanktioner fra den 2. august 2025. Ikrafttrædelsesdatoen i lovforslaget er således i overensstemmelse med anvendelsestidspunkterne i forordningen om kunstig intelligens.

Digitaliseringsministeriet vil hertil fremsætte forslag til yderligere supplerende lovgivning til de øvrige kapitler i forordningen om kunstig intelligens forud for, at disse dele af forordningen om kunstig intelligens skal finde anvendelse.

2. Lovforslagets hovedpunkter

2.1. Afgrænsning af reglerne om kunstig intelligens

2.1.1. Gældende ret

Der er på nuværende tidspunkt ikke fastsat regler i dansk ret, som supplerer og gennemfører forordningen om kunstig intelligens og dermed regler om udpegning af nationale kompetente myndigheder i overensstemmelse med forordningen. Der er endvidere ikke i dansk ret fastsat generelle regler om kunstig intelligens.

Det følger af artikel 1, stk. 1, at forordningen om kunstig intelligens har til formål at forbedre det indre markeds funktion og fremme udbredelsen af menneskecentreret og troværdig kunstig intelligens (AI) og samtidig sikre et højt niveau af beskyttelse af sundhed, sikkerhed og de grundlæggende rettigheder, der er nedfældet i chartret, herunder demokratiet, retsstatsprincippet og miljøbeskyttelse, mod de skadelige virkninger af AI-systemer i Unionen og støtte innovation.

Det følger af artikel 2, stk. 1, at forordningen finder anvendelse på:

a) udbydere, der bringer AI-systemer i omsætning eller ibrugtager sådanne eller bringer AI-modeller til almen brug i omsætning i Unionen, uanset om disse udbydere er etableret eller befinder sig i Unionen eller i et tredjeland

b) idriftsættere af AI-systemer, der er etableret eller befinder sig i Unionen

c) udbydere og idriftsættere af AI-systemer, der er etableret eller befinder sig i et tredjeland, hvis det output, der produceres af systemet, anvendes i Unionen

d) importører og distributører af AI-systemer

e) producenter af et produkt, der sammen med deres produkt og under eget navn eller varemærke bringer et AI-system i omsætning eller ibrugtager det

f) bemyndigede repræsentanter for udbydere, der ikke er etableret i Unionen

g) berørte personer, der befinder sig i Unionen.

Forordningen om kunstig intelligens omfatter eksempelvis udbydere, såsom udviklere af AI-systemer, der screener CV'er, samt idriftsættere, som eksempelvis de virksomheder, der køber det pågældende system og anvender det i rekrutteringsøjemed.

I forordningens artikel 2, stk. 2-12, er der fastsat regler om, hvornår en række konkrete bestemmelser ikke finder anvendelse.

2.1.2. Digitaliseringsministeriets overvejelser og den foreslåede ordning

Forordningen om kunstig intelligens kræver national lovgivning, hvorfor lovforslaget har til formål at indføre supplerende regler i forbindelse med tilsynet med forordningen om kunstig intelligens kapitel II, navnlig med forbudte former for AI-praksis. Med dette lovforslag foreslås det kun at indføre supplerende lovgivning til de dele af forordningen, der træder i kraft den 2. februar 2025 og den 2. august 2025.

Det er Digitaliseringsministeriets vurdering, at den foreslåede lov vil have samme anvendelsesområde som forordningen om kunstig intelligens.

Der henvises i øvrigt til lovforslagets § 1 og de specielle bemærkninger hertil.

2.2. Udpegning af nationale kompetente myndigheder

2.2.1. Gældende ret

Der er på nuværende tidspunkt ikke fastsat regler i dansk ret, som supplerer og gennemfører forordningen om kunstig intelligens og dermed regler om udpegning af nationale kompetente myndigheder i overensstemmelse med forordningen.

Det følger af artikel 70, stk. 1, i forordningen om kunstig intelligens, at hver medlemsstat opretter eller udpeger som nationale kompetente myndigheder mindst én bemyndigende myndighed og mindst én markedsovervågningsmyndighed. Disse nationale kompetente myndigheder udøver deres beføjelser uafhængigt, upartisk og uden bias for derved at beskytte objektiviteten i deres aktiviteter og opgaver og for at sikre anvendelsen og gennemførelsen af forordningen.

Det følger endvidere af artikel 28, stk. 1, i forordningen om kunstig intelligens, at hver medlemsstat udpeger eller opretter mindst én bemyndigende myndighed med ansvar for at indføre og gennemføre de nødvendige procedurer for vurdering, udpegelse og notifikation af overensstemmelsesvurderingsorganer og for overvågning heraf. Disse procedurer udvikles i samarbejde mellem de bemyndigende myndigheder i alle medlemsstater.

Det følger af artikel 70, stk. 2, 3. pkt., at medlemsstaterne udpeger en markedsovervågningsmyndighed til at fungere som centralt kontaktpunkt for forordningen.

Det følger herudover af præambelbetragtning nr. 153 i forordningen om kunstig intelligens, at der i hver medlemsstat bør udpeges mindst én bemyndigende myndighed og mindst én markedsovervågningsmyndighed som nationale kompetente myndigheder til at føre tilsyn med anvendelsen og gennemførelsen af forordningen om kunstig intelligens. For at øge organisationseffektiviteten for medlemsstaternes vedkommende og oprette et centralt kontaktpunkt for offentligheden og andre modparter på nationalt plan og EU-plan bør hver medlemsstat udpege en markedsovervågningsmyndighed, der skal fungere som centralt kontaktpunkt.

2.2.2. Digitaliseringsministeriets overvejelser og den foreslåede ordning

Det er Digitaliseringsministeriets vurdering, at det er hensigtsmæssigt, at Digitaliseringsstyrelsen, Datatilsynet og Domsstolsstyrelsen i henhold til artikel 70, stk. 1, i forordningen om kunstig intelligens udpeges som markedsovervågningsmyndigheder for tilsynet med forbudte former for AI praksis i henhold til artikel 5 i forordningen om kunstig intelligens.

Det er Digitaliseringsministeriets vurdering, at Digitaliseringsstyrelsen, Datatilsynet og Domstolsstyrelsen har de nødvendige erfaringer med og indsigt i området til at blive udpeget som markedsovervågningsmyndigheder for tilsynet med forbudte former for AI-praksis i henhold til artikel 5 i forordningen om kunstig intelligens.

Det foreslås, at Digitaliseringsstyrelsen udpeges som markedsovervågningsmyndighed for de forbudte former for AI-praksis, som er omfattet af artikel 5, stk. 1, litra a-c, og artikel 5, stk. 1, litra e-f, i forordningen om kunstig intelligens, mens Datatilsynet udpeges som markedsovervågningsmyndighed for de forbudte former for AI-praksis, der er omfattet af artikel 5, stk. 1, litra d, og artikel 5, stk. 1, litra g. Det foreslås dog, at Datatilsynet kun udpeges som markedsovervågningsmyndighed for de dele af artikel 5, stk. 1, litra d og g, som ikke er omfattet af det danske retsforbehold.

Hertil vurderes det hensigtsmæssigt, at Digitaliseringsstyrelsen udpeges som bemyndigende myndighed, i henhold til artikel 28, stk. 1, samt artikel 70, stk. 1.

Derudover foreslås det, at Digitaliseringsstyrelsen udpeges som centralt kontaktpunkt i henhold til artikel 70, stk. 2, 3. pkt., i forordningen om kunstig intelligens.

Dette afspejler beslutningen om at udpege Digitaliseringsstyrelsen som centralt kontaktpunkt for forordningen om kunstig intelligens.

Det er endvidere Digitaliseringsministeriets vurdering, at Domstolsstyrelsen bør udpeges som markedsovervågningsmyndighed for de dele af tilsynet med forbudte former for AI-systemer, som vedrører domstolenes administrative anvendelse af AI-systemer. Afgørelser om domstolenes anvendelse af AI-systemer, når disse anvendes som led i domstolenes judicielle funktioner, træffes dog af vedkommende ret.

Forordningen om kunstig intelligens fastsætter, at de nationale kompetente myndigheder skal udøve deres beføjelser uafhængigt, upartisk og uden bias for derved at beskytte objektiviteten i deres aktiviteter og opgaver og for at sikre anvendelsen og gennemførelsen af forordningen.

Der er efter forordningen om kunstig intelligens tale om et krav til funktionel uafhængighed, hvor de kompetente myndigheder er uafhængige ved varetagelsen af deres opgaver. Dette vil indebære, at regeringen ikke har instruktionsbeføjelse over for kompetente myndigheder vedrørende konkrete sager, der afgøres efter forordningen om kunstig intelligens, dette lovforslag, eller regler udstedt i medfør heraf, herunder i forhold til prioritering og udarbejdelse af vejledning i medfør at dette lovforslag eller regler udstedt i medfør heraf.

Forordningen om kunstig intelligens sikrer, at de udpegede nationale kompetente myndigheder vil blive uafhængige af eventuelle overordnede myndigheder.

Det skal bemærkes, at for så vidt angår Digitaliseringsstyrelsens tilsyn med forbudte AI-systemer, placeres tilsynet i et kontor i Digitaliseringsstyrelsen, der allerede har erfaring med at føre uafhængige tilsyn i henhold til EU-lovgivning, hvor blandt andet instruksadgangen er afskåret.

Da forordningen om kunstig intelligens ikke stiller skærpede krav til, hvordan kompetente myndigheder organisatorisk skal indrettes - i modsætning til databeskyttelsesforordningen - vurderes det som unødigt indgribende at pålægge de øvrige kompetente myndigheder specifikke rammer for, hvordan forpligtelsen om uafhængighed skal løftes internt.

Det foreslås i lovforslaget, at afgørelser truffet af de nationale kompetente myndigheder efter forordningen om kunstig intelligens, den foreslåede lov og regler udstedt i medfør heraf ikke skal kunne indbringes for anden administrativ myndighed.

Det er formålet med den foreslåede bestemmelse at sikre overensstemmelse med kravene i artikel 70, stk. 1, 2. pkt., i forordningen om kunstig intelligens om de nationale kompetente myndigheders uafhængighed.

Der henvises i øvrigt til lovforslagets §§ 2 og 3 og de specielle bemærkninger hertil.

2.3. De nationale kompetente myndigheders opgaver mv.

2.3.1. Gældende ret

Som anført under pkt. 2.1. findes der ikke regler, som supplerer og gennemfører forordningen om kunstig intelligens og dermed regler om de nationale kompetente myndigheders opgaver og beføjelser, når disse er udpeget i henhold til forordningen om kunstig intelligens.

Det fremgår af artikel 74, stk. 1, i forordningen om kunstig intelligens, at forordning (EU) 2019/1020 (forordningen om markedsovervågning og produktoverensstemmelse) finder anvendelse på AI-systemer, der er omfattet af forordningen om kunstig intelligens. Med henblik på effektiv håndhævelse af forordningen om kunstig intelligens skal enhver henvisning til en erhvervsdrivende i henhold til forordning (EU) 2019/1020 forstås således, at den omfatter alle operatører, der er omfattet af forordningen om kunstig intelligens artikel 2, stk. 1, i forordningen om kunstig intelligens, og enhver henvisning til et produkt i henhold til forordning (EU) 2019/1020 skal forstås således, at den omfatter alle AI-systemer, der henhører under anvendelsesområdet for forordningen om kunstig intelligens.

Af præambelbetragtning nr. 156 i forordningen om kunstig intelligens fremgår det blandt andet, at markedsovervågningsmyndigheder, der er udpeget i henhold til forordningen, alle bør have håndhævelsesbeføjelser som fastsat i forordningen om kunstig intelligens og forordning (EU) 2019/1020 om markedsovervågning og produktoverensstemmelse (markedsovervågningsforordningen).

Markedsovervågningsforordningen er suppleret i dansk ret ved lov nr. 799 af 9. juni 2020, med senere ændringer, om produkter og markedsovervågning. I medfør af § 9, stk. 1, i den nævnte lov varetager Sikkerhedsstyrelsen opgaven som kontrolmyndighed, medmindre andet følger af § 9, stk. 2. Den pågældende lov finder imidlertid ikke anvendelse på produkter omfattet af forordningen om kunstig intelligens efter lovens § 2.

Det følger af artikel 99, stk. 1, i forordningen om kunstig intelligens, blandt andet, at medlemsstaterne i overensstemmelse med de vilkår og betingelser, der er fastsat i forordningen om kunstig intelligens, fastsætter regler om sanktioner og andre håndhævelsesforanstaltninger, som også kan omfatte advarsler og ikkeøkonomiske foranstaltninger, for operatørers overtrædelse af forordningen om kunstig intelligens og træffer alle nødvendige foranstaltninger for at sikre, at de gennemføres korrekt og effektivt, og dermed tager hensyn til de retningslinjer, som Europa-Kommissionen har udstedt i henhold til artikel 96 i forordningen om kunstig intelligens. Artikel 99, stk. 1, finder anvendelse allerede fra den 2. august 2025.

Det følger videre af artikel 28, stk. 1, i forordningen om kunstig intelligens, at hver medlemsstat udpeger eller opretter mindst én bemyndigende myndighed med ansvar for at indføre og gennemføre de nødvendige procedurer for vurdering, udpegelse og notifikation af overensstemmelsesvurderingsorganer og for overvågning heraf. Disse procedurer udvikles i samarbejde mellem de bemyndigende myndigheder i alle medlemsstater.

2.3.2. Digitaliseringsministeriets overvejelser og den foreslåede ordning

Markedsovervågningsmyndighederne skal i medfør af forordningen om kunstig intelligens føre tilsyn med forbudte former for AI-praksis fra den 2. august 2025. Det foreslås, at der fra denne dato i medfør af artikel 99, stk. 1, fastsættes nationale regler om blandt andet sanktioner og andre håndhævelsesforanstaltninger, for operatørers overtrædelse af artikel 5, stk. 1, litra a-g, i forordningen om kunstig intelligens.

Digitaliseringsministeriet finder det mest hensigtsmæssigt, at markedsovervågningsmyndighedernes kompetence svarer til de relevante kompetencer, som myndighederne i medfør af henvisningen i artikel 74, stk. 1, i forordningen om kunstig intelligens, til markedsovervågningsforordningen som minimum vil skulle besidde fra den 2. august 2026.

Markedsovervågningsmyndighederne er ansvarlige for at gennemføre aktiviteter og foranstaltninger, der skal sikre, at AI-systemer opfylder de krav, som er fastsat i forordningen om kunstig intelligens.

Digitaliseringsministeriet foreslår på den baggrund, at der blandt andet fastsættes regler om, at markedsovervågningsmyndighederne, fra fysiske og juridiske personer omfattet af artikel 2, stk. 1, litra a-f, i forordningen om kunstig intelligens, kan afkræve alle oplysninger, som er nødvendige for myndighedernes tilsynsvirksomhed, herunder til fastlæggelse af, om forhold hører under myndighedernes kompetence.

Hensigten med den foreslåede bestemmelse er at sikre, at markedsovervågningsmyndighederne har tilstrækkelig mulighed for at søge en sag oplyst. Det er essentielt for både erhvervsdrivende og brugere, at markedsovervågningsmyndighedernes afgørelser træffes på så oplyst et grundlag som muligt. Dette har blandt andet afgørende betydning for vurderingen af, hvor indgribende en foranstaltning der skal træffes samt for at sikre proportionalitet.

Der foreslås hertil, at markedsovervågningsmyndighederne til enhver tid mod behørig legitimation og uden retskendelse skal have adgang til alle erhvervsmæssige lokaliteter hos de fysiske og juridiske personer, som er omfattet af artikel 2, stk. 1, litra a-f, i forordningen om kunstig intelligens, når det er nødvendigt for at påse overholdelse af forordningen om kunstig intelligens, denne lov eller regler udstedt i medfør af loven.

Hensigten med bestemmelsen er at sikre, at markedsovervågningsmyndighederne kan udføre en effektiv kontrol med overholdelsen af forordningen om kunstig intelligens. Digitaliseringsministeriet vurderer desuden, at muligheden for kontrolbesøg uden retskendelse vil have en afskrækkende effekt i forhold til udbredelsen af forbudte AI-systemer.

Digitaliseringsministeriet foreslår herudover, at markedsovervågningsmyndighederne skal kunne være bistået af en eller flere uafhængige sagkyndige i forbindelse med kontrolbesøg og tekniske undersøgelser.

Det foreslås desuden, at markedsovervågningsmyndighederne skal kunne udstede påbud om overholdelse af artikel 5, stk. 1, litra a-g, i forordningen om kunstig intelligens, denne lov og regler fastsat i medfør af denne lov. Hertil foreslås det, at markedsovervågningsmyndighederne skal kunne udstede midlertidige forbud mod levering, markedsføring, udstilling eller anden tilgængeliggørelse af et AI-system, hvis AI-systemet vurderes at kunne udgøre en risiko.

Den foreslåede bestemmelse vil give markedsovervågningsmyndighederne mulighed for midlertidigt at forbyde levering, markedsføring eller tilgængeliggørelse af AI-systemer, hvis de vurderes at være forbudte i henhold til artikel 5, stk. 1, litra a-g. Bestemmelsen vil alene kunne anvendes i de tilfælde, hvor der er en formodning for, at et AI-system udgør en fare, og hvor det vurderes uforsvarligt ud fra et forsigtighedsprincip, at AI-systemet fortsat er i anvendelse, imens markedsovervågningsmyndigheden foretager de nødvendige undersøgelser af systemet med henblik på at træffe afgørelse.

Det foreslås herudover, at markedsovervågningsmyndighederne skal kunne offentliggøre sine afgørelser i sager om forbudte former for AI-praksis. Offentliggørelse vil kunne ske med henblik på at oplyse offentligheden om, at AI-systemet udgør en forbudt form for AI-praksis i henhold til artikel 5, stk. 1, litra a-g.

I den forbindelse bemærkes det, at visse fortrolige oplysninger ikke vil kunne offentliggøres som led i offentliggørelse af myndighedens afgørelser. Dette gælder blandt andet oplysninger om tekniske indretninger eller fremgangsmåder eller om drifts- eller forretningsforhold el.lign., for så vidt det er af væsentlig økonomisk betydning for den person eller virksomhed, oplysningerne angår, at oplysningerne ikke videregives. Offentliggørelse af afgørelser vil desuden være underlagt fortrolighedsreglerne fastlagt i forordningen om kunstig intelligens artikel 78.

Det bemærkes, at enkelte bestemmelser i forordningen om kunstig intelligens træder i kraft på forskellige tidspunkter efter artikel 113 i forordningen om kunstig intelligens. Kapitel I og II finder anvendelse fra den 2. februar 2025, og kapitel III, afdeling 4, kapitel V, VII og XII og artikel 78 finder anvendelse fra den 2. august 2025, med undtagelse af artikel 101.

Med nærværende lovforslag foreslås regler om de nationale kompetente myndigheders opgaver, tilsyn og kontrol i forhold til tilsynet med forbudte former for AI-praksis i henhold til kapitel II i forordningen om kunstig intelligens.

Det foreslås herudover, at den bemyndigende myndighed efter forhandling med ministeren for digitalisering skal kunne fastsætte nærmere regler om indførelse og gennemførelse af nødvendige procedurer for vurdering, udpegelse og notifikation af overensstemmelsesvurderingsorganer og for tilsyn hermed i henhold til artikel 28, stk. 1, i forordningen om kunstig intelligens samt suspension eller tilbagetrækning af udpegning i henhold til artikel 36, stk. 4, i forordningen om kunstig intelligens.

Eksempelvis kan disse regler omfatte krav om, at en juridisk person, der ønsker at blive notificeret som overensstemmelsesvurderingsorgan, skal være akkrediteret af DANAK for de AI-systemer, som organet ønsker at foretage overensstemmelsesvurdering af.

Det foreslås i forbindelse hermed, at den bemyndigende myndighed skal kunne delegere udpegningen af overensstemmelsesvurderingsorganer i et nærmere angivet omfang til andre offentlige myndigheder eller private institutioner, i henhold til artikel 28, stk. 2, i forordningen om kunstig intelligens.

Med den foreslåede bestemmelse vil den bemyndigende myndighed blandt andet få mulighed for at fastsætte regler til implementering af nødvendige bestemmelser i kapitel 3, afdeling 4 (om bemyndigende myndigheder og bemyndigede organer), i forordningen om kunstig intelligens, der finder anvendelse fra den 2. august 2025.

Med den foreslåede bestemmelse vil der blandt andet kunne fastsættes regler om indførelse og gennemførelse af nødvendige procedurer for vurdering, udpegelse og notifikation af overensstemmelsesvurderingsorganer. Der vil endvidere kunne blive fastsat regler om akkreditering, og om hvilke opgaver disse udpegede organer skal udføre.

Der henvises i øvrigt til lovforslagets §§ 4-9 og de specielle bemærkninger hertil.

2.4. Sanktioner

2.4.1. Gældende ret

Som anført under pkt. 2.1 findes der ikke regler, som supplerer forordningen om kunstig intelligens og dermed heller ikke regler om sanktionering af overtrædelser af bestemmelser i forordningen om kunstig intelligens.

Det følger af artikel 99, stk. 1, i forordningen om kunstig intelligens, at medlemsstaterne - i overensstemmelse med de vilkår og betingelser, der er fastsat i forordningen om kunstig intelligens - fastsætter regler om sanktioner og andre håndhævelsesforanstaltninger, som også kan omfatte advarsler og ikkeøkonomiske foranstaltninger, for operatørers overtrædelse af forordningen om kunstig intelligens, og at medlemsstaterne træffer alle nødvendige foranstaltninger for at sikre, at de gennemføres korrekt og effektivt, og dermed tager hensyn til de retningslinjer, som Kommissionen har udstedt i henhold til artikel 96. Det følger endvidere, at sanktionerne skal være effektive, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning. Der tages hensyn til SMV'ers, herunder iværksættervirksomheders, interesser og deres økonomiske levedygtighed.

Det følger videre af artikel 99, stk. 3, at manglende overholdelse af forbud mod de i artikel 5 anførte former for AI-praksis straffes med administrative bøder på op til 35.000.000 EUR eller, hvis lovovertræderen er en virksomhed, op til 7 pct. af dens samlede globale årlige omsætning i det foregående regnskabsår, alt efter hvilket beløb der er størst.

Det følger herudover af artikel 99, stk. 5, at afgivelse af ukorrekte, ufuldstændige eller vildledende oplysninger til bemyndigede organer eller nationale kompetente myndigheder som svar på en anmodning straffes med administrative bøder på op til 7.500.000 EUR eller, hvis lovovertræderen er en virksomhed, op til 1 pct. af dens samlede globale årlige omsætning i det foregående regnskabsår, alt efter hvilket beløb der er størst.

Ved "bemyndiget organ" forstås et overensstemmelsesvurderingsorgan, der er notificeret i overensstemmelse med denne forordning og anden relevant EU-harmoniseringslovgivning. Et overensstemmelsesvurderingsorgan udfører overensstemmelsesvurderingsaktiviteter, herunder afprøvning, certificering og inspektion af AI-systemer.

Slutteligt bemærkes det, at det følger af artikel 99, stk. 9, i forordningen om kunstig intelligens, at afhængigt af medlemsstaternes retssystem kan reglerne om administrative bøder anvendes på en sådan måde, at bøderne pålægges af kompetente nationale domstole eller af andre organer, alt efter hvad der er relevant i disse medlemsstater.

2.4.2. Digitaliseringsministeriets overvejelser og den foreslåede ordning

2.4.2.1. Bødestraf

Det er Digitaliseringsministeriets vurdering, at sanktioner for overtrædelser af forordningens bestemmelser efter dansk ret fastsættes som en strafferetlig sanktion i henhold til artikel 99, stk. 9, 1. pkt., jf. artikel 99, stk. 3 og 5.

Digitaliseringsministeriet finder, at det i lovforslaget bør fastsættes, hvilke bestemmelser i forordningen der er strafbelagt ved overtrædelser. På den måde kan der skabes klarhed over hvilke bestemmelser, der er strafferetligt sanktioneret.

På den baggrund foreslås det, at overtrædelser af følgende bestemmelser i forordningen skal kunne sanktioneres strafferetligt med bøde:

- Overtrædelser af bestemmelserne om forbudte former for AI-praksis i henhold til artikel 5, stk. 1, litra a-g, i forordningen om kunstig intelligens.

- Afgivelse af ukorrekte, ufuldstændige eller vildledende oplysninger til bemyndigede organer eller nationale kompetente myndigheder som svar på en anmodning, jf. artikel 99, stk. 5, i forordningen om kunstig intelligens.

Det foreslås herudover, at overtrædelse af følgende bestemmelser i nærværende lovforslag skal kunne sanktioneres strafferetligt med bøde:

- Undladelse af at efterkomme markedsovervågningsmyndighedens krav efter § 5.

- Hindring i at markedsovervågningsmyndigheden får adgang til lokaliteter efter § 6, stk. 1, eller hindring af markedsovervågningsmyndigheden i at foretage tekniske undersøgelser af et AI-system efter § 6, stk. 2.

- Undladelse af et efterkomme et påbud eller et midlertidigt forbud udstedt efter § 8.

Der henvises i den forbindelse også til pkt. 2.4.2.2. nedenfor og lovforslagets § 11 om muligheden for at fastsætte regler om anvendelse af administrative bødeforelæg.

Det er endvidere Digitaliseringsministeriets vurdering, at det er mest hensigtsmæssigt, hvis forældelsesfristen for overtrædelse af den foreslåede lov, regler udstedt i medfør af loven eller forordningen om kunstig intelligens fastsættes til fem år, under hensyntagen til, at de omfattede straffesager kan antage en vis størrelse og kompleksitet.

Der henvises til lovforslagets § 10 og de specielle bemærkninger hertil.

2.4.2.2. Administrative bødeforelæg

Med lovforslagets § 11 foreslås det, at de kompetente nationale myndigheder efter forhandling med justitsministeren skal kunne fastsætte regler om, at markedsovervågningsmyndighederne i nærmere angivne sager om overtrædelse af forordningen om kunstig intelligens, loven eller regler udstedt i medfør heraf kan udstede administrative bødeforelæg.

Forslaget udgør en hjemmel til fastsættelse af regler, der muliggør hurtig og effektiv behandling af ukomplicerede overtrædelser. Kompetencen i stk. 1 vil alene gælde ved åbenbare og objektivt konstaterbare overtrædelser, hvor overtrædelserne generelt er ensartede og ukomplicerede og uden bevismæssige tvivlsspørgsmål, og hvor bødeudmålingen ligger fast.

Bemyndigelsesbestemmelsen vil kun kunne anvendes efter forhandling med justitsministeren. Det vil hertil være en betingelse, at der skal være tale om sager, der er enkle og ukomplicerede uden bevistvivl og uden tvivl om sanktionsniveau for normalbøder i førstegangstilfælde.

Forslaget retter sig kun mod sager, hvor den, der har begået det strafbare forhold, tilstår det strafbare forhold og er rede til at betale. I tilfælde, hvor den, der har begået overtrædelsen, ikke erklærer sig rede til at betale bøden inden en nærmere angivet frist, vil domstolene afgøre bødespørgsmålet. I sådanne tilfælde vil den relevante kompetente nationale myndighed skulle indgive politianmeldelse sammen med en redegørelse for den kompetente myndigheds vurdering, herunder en vurdering af niveauet for bøden.

Der henvises i øvrigt til lovforslagets §§ 10 og 11 og de specielle bemærkninger hertil.

3. Forholdet til databeskyttelsesforordningen og databeskyttelsesretten

Behandling af personoplysninger i relation til forordningen om kunstig intelligens er reguleret af Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 (databeskyttelsesforordningen) samt lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordningen om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).

Det forudsættes med den foreslåede ordning, at en række myndigheder, herunder Digitaliseringsstyrelsen, Datatilsynet og Domstolsstyrelsen, som led i sagsbehandlingen vil skulle behandle personoplysninger. Markedsovervågningsmyndighederne er dataansvarlige for den del af behandlingen af personoplysninger, der foregår i myndigheden.

Det forslås i lovforslaget, at markedsovervågningsmyndighederne kan afkræve alle oplysninger, som er nødvendige for myndighedernes tilsynsvirksomhed, herunder til fastlæggelse af, om et forhold hører under myndighedernes kompetence fra de fysiske og juridiske personer, som er omfattet af artikel 2, stk. 1, litra a-f, i forordningen om kunstig intelligens.

Ifølge databeskyttelsesforordningens artikel 6, stk. 2 og 3, er det muligt at implementere mere specifikke bestemmelser, der tilpasser anvendelsen af artikel 6, stk. 1, litra c, og artikel 6, stk. 1, litra e. Den foreslåede bestemmelse i § 5 udgør således supplerende retsgrundlag til databeskyttelsesforordningens artikel 6, stk. 1 litra e.

I det omfang myndighederne som led i sagsbehandlingen undtagelsesvist vil komme til at behandle følsomme oplysninger omfattet af databeskyttelsesforordningens art. 9, vil behandlingen i sådanne tilfælde være nødvendig af hensyn til væsentlige samfundsinteresser, som angivet i databeskyttelsesforordningens artikel 9, stk. 2, litra g. Behandlingen vurderes hertil nødvendig for, at markedsovervågningsmyndigheden kan løfte tilsynsforpligtelsen i henhold til artikel 5, stk. 1, litra a-g, i forordningen om kunstig intelligens.

Det vurderes, at den foreslåede bestemmelse er proportional i forhold til de legitime mål og respekterer det væsentligste indhold af retten til databeskyttelse, da behandlingen er betinget af nødvendighed. Det foreslås endvidere i lovforslagets § 7, at markedsovervågningsmyndighederne kan offentliggøre deres afgørelser i sager om forbudte former for AI-praksis i henhold til artikel 5. stk. 1, litra a-g, i forordningen om kunstig intelligens.

Offentliggørelsesordningen kan i nogle tilfælde medføre, at oplysninger, som omfattes af databeskyttelsesforordningens artikel 10, offentliggøres. Den foreslåede bestemmelse udgør således supplerende retsgrundlag til databeskyttelsesforordningens artikel 10.

Digitaliseringsministeriet vurderer, at de samfundsmæssige hensyn bag offentliggørelse er tilstrækkeligt tungtvejende til at etablere en offentliggørelsesordning. Offentliggørelse i henhold til den foreslåede § 7 vil dog kun være nødvendig, når offentliggørelsen sker af hensyn til varetagelsen af private eller offentlige interesser, der klart overstiger hensynet til de interesser, der begrunder hemmeligholdelse af oplysningerne. Det bemærkes, at der ikke vil være tale om systematisk offentliggørelse, men alene offentliggørelse baseret på en konkret vurdering af sagens omstændigheder.

Markedsovervågningsmyndighederne er endvidere berettigede - og efter omstændighederne også forpligtede - til at undlade at offentliggøre oplysninger fra sager, som tilsynet har behandlet, hvis offentlighedens interesse i at få kendskab til oplysningerne findes at burde vige for afgørende hensyn til private og offentlige interesser. I tvivlstilfælde vil det være naturligt at indhente en udtalelse herom fra den dataansvarlige, som er part i sagen, og eventuelt tillige fra den registrerede.

Digitaliseringsministeriet skal afslutningsvist bemærke, at det forudsættes, at de øvrige bestemmelser i databeskyttelsesforordningen og databeskyttelsesloven, herunder de grundlæggende principper i databeskyttelsesforordningens artikel 5 også iagttages, når der behandles personoplysninger i medfør af de forslåede bestemmelser.

Der henvises i øvrigt til lovforslagets § 7 og de specielle bemærkninger hertil.

4. Økonomiske konsekvenser og implementeringskonsekvenser for det offentlige

Det bemærkes overordnet, at lovforslaget supplerer forordningen om kunstig intelligens, som har økonomiske konsekvenser og implementeringskonsekvenser for det offentlige.

Lovforslaget forventes på den baggrund ikke i sig selv at have økonomiske konsekvenser eller implementeringskonsekvenser for det offentlige af betydning. Lovforslaget har ikke i sig selv i øvrigt økonomiske konsekvenser eller implementeringskonsekvenser af betydning for kommunerne eller regionerne.

Forordningen om kunstig intelligens medfører økonomiske konsekvenser for de kompetente myndigheder, som skal føre tilsyn på baggrund heraf, som dog ikke kan henføres til lovforslaget. De forøgede udgifter vedrører løn til medarbejdere, der varetager tilsyns- og håndhævelsesopgaver i relation til forordningen om kunstig intelligens, samt til almindeligt kontorhold, herunder it-understøttelse, efteruddannelse, rejseudgifter ved deltagelse i internationalt arbejde m.v. Dette omfatter navnlig udgifter, som Datatilsynet, Digitaliseringsstyrelsen og Domstolsstyrelsen skal afholde i forbindelse med tilsynet med forbudte former for AI-systemer.

For så vidt angår lovforslagets bemyndigelsesbestemmelser vil der i forbindelse med udstedelsen af eventuelle bekendtgørelser blive foretaget en vurdering af eventuelle økonomiske konsekvenser og implementeringskonsekvenser for det offentlige.

Digitaliseringsministeriet har herudover overvejet, hvorvidt lovforslaget følger de syv principper for digitaliseringsklar lovgivning. Da lovforslaget fungerer som et forordningsbestemt supplement til forordningen om kunstig intelligens, har det ikke selvstændig relevans i forbindelse med de syv principper. Der er heller ikke foreslået yderligere supplerende bestemmelser, som kunne være relevante i denne sammenhæng. Det bemærkes dog, at det supplerende lovforslag er udformet således, at de syv principper for digitaliseringsklar lovgivning iagttages i videst muligt omfang.

5. Økonomiske og administrative konsekvenser for erhvervslivet m.v.

Det bemærkes overordnet, at lovforslaget supplerer forordningen om kunstig intelligens, som har økonomiske og administrative konsekvenser for erhvervslivet mv.

For så vidt angår lovforslagets bemyndigelsesbestemmelser vil der i forbindelse med udstedelsen af eventuelle bekendtgørelser blive foretaget en vurdering af eventuelle økonomiske og administrative konsekvenser for erhvervslivet mv.

Lovforslaget har været sendt til Erhvervsstyrelsens Område for Bedre Regulering (OBR), der på det foreliggende grundlag har vurderet, at lovforslaget medfører administrative konsekvenser i form af omkostninger for erhvervslivet. De administrative konsekvenser følger af fremskaffelsen af oplysninger til markedsovervågningsmyndigheden for virksomheder, hvor der ligeledes kan være tale om ikke-forbudte AI-systemer, jf. § 5.

På baggrund af ovenstående vurderes det, at de samlede administrative konsekvenserne ikke overstiger bagatelgrænsen for forelæggelsen for Regeringens økonomiudvalg på 4 mio. kr., hvorfor de ikke kvantificeres nærmere.

6. Administrative konsekvenser for borgerne

Lovforslaget supplerer forordningen om kunstig intelligens, som har administrative konsekvenser for borgerne.

Lovforslaget forventes på den baggrund ikke i sig selv at have administrative konsekvenser for borgerne af betydning.

7. Klimamæssige konsekvenser

Lovforslaget medfører ikke klimamæssige konsekvenser.

8. Miljø- og naturmæssige konsekvenser

Lovforslaget medfører ikke miljø- og naturmæssige konsekvenser.

9. Forholdet til EU-retten

Lovforslaget fastsætter supplerende bestemmelser til Europa-Parlamentets og Rådets forordning (EU) 2024/1689 af 13. juni 2024 om harmoniserede regler for kunstig intelligens og om ændring af forordning (EF) nr. 300/2008, (EU) nr. 167/2013, (EU) nr. 168/2013, (EU) 2018/858, (EU) 2018/1139 og (EU) 2019/2144 samt direktiv 2014/90/EU, (EU) 2016/797 og (EU) 2020/1828 (forordningen om kunstig intelligens), EU-Tidende 2024, nr. L af 12. juli 2024.

Forordningen om kunstig intelligens finder ikke i sin helhed anvendelse i Danmark. Enkelte af forordningens bestemmelser omfattes af det danske retsforbehold i henhold til protokol nr. 22 om Danmarks stilling. I medfør af retsforbeholdet deltager Danmark ikke i EU's samarbejde på visse områder, herunder områder relateret til politiarbejde, og EU-retlige regler, der vedrører disse områder, er derfor ikke gældende i Danmark.

Forordningen om kunstig intelligens er vedtaget under henvisning til artikel 114 og 16 i TEUF. I henhold til artikel 2a i protokol nr. 22 om Danmarks stilling er regler, der er fastsat på grundlag af artikel 16 i TEUF og som vedrører medlemsstaternes behandling af personoplysninger under udøvelsen af aktiviteter, der er omfattet af TEUF tredje del, afsnit V, kapitel 4 eller 5, ikke bindende for og finder ikke anvendelse i Danmark. Det følger af præambelbetragtning nr. 41 i forordningen om kunstig intelligens, at i medfør af artikel 2 og 2a i protokol nr. 22 om Danmarks stilling, er de regler, der er fastsat i artikel 5, stk. 1, litra g, i forordningen om kunstig intelligens, i det omfang den finder anvendelse på brugen af systemer til biometrisk kategorisering til aktiviteter inden for politisamarbejde og retligt samarbejde i straffesager, artikel 5, stk. 1, litra d, i det omfang den finder anvendelse på brugen af AI-systemer, der er omfattet af nævnte bestemmelse, artikel 5, stk. 1, litra h, og stk. 2-6, og artikel 26, stk. 10, ikke bindende for og finder ikke anvendelse i Danmark.

Forordningen om kunstig intelligens har trinvis anvendelse. Kapitel II om forbudte former for AI-praksis finder anvendelse fra den 2. februar 2025. Kapitel XII om sanktioner finder imidlertid først anvendelse fra den 2. august 2025. Forbudte former for AI-praksis kan derfor først medføre sanktioner fra den 2. august 2025. Ikrafttrædelsesdatoen i lovforslaget er således i overensstemmelse med anvendelsestidspunkterne i forordningen om kunstig intelligens. I den mellemliggende periode vil civilretlige anliggender kunne håndhæves ved domstolene.

10. Hørte myndigheder og organisationer m.v.

Et udkast til lovforslag har i perioden fra den 1. november 2024 til den 29. november 2024 (28 dage) været sendt i høring hos følgende myndigheder og organisationer m.v.:

Advokatsamfundet, AE - Arbejderbevægelsens Erhvervsråd, Akademikerne, ATP, Datatilsynet, Danske Advokater, Danske Iværksættere, Dansk Industri, Den Danske Dommerforening, Domstolsstyrelsen, Erhvervshus Midtjylland, Erhvervshus Nordjylland, Erhvervshus Sjælland, Erhvervshus Sydjylland, Erhvervshus Fyn, Erhvervshus Hovedstaden, Fagbevægelsens Hovedorganisation (FH), FDIH, Institut for Menneskerettigheder, Ingeniørforeningen IDA, IT-Politisk Forening, KMD, KL - Kommunernes Landsforening, Prosa, KOMBIT, Landbrug & Fødevarer, Rådet for Socialt Udsatte, SMV Danmark, Teleindustrien, Dansk IT, Digital Lead, Dataetisk Råd, DIGST/ERST Sekretariat, Dansk Arbejdsgiverforening, Dansk Erhverv, Danske Universiteter, Danske Regioner, DIRA (Dansk Robot Netværk), Finans Danmark, Forbrugerrådet Tænk, F & P, Fonden Dansk Standard, FSR, GTS-foreningen, HK Danmark, IBIZ-center, IT-Branchen, MADE, Nets DanID, NNIT, Odense Robotics, Psykiatrifonden, Rigsrevisionen, Rigsombudsmanden i Grønland, Rigsombudsmanden på Færøerne og Rådet for Digital Sikkerhed.

Bemærkninger til lovforslagets enkelte bestemmelser

Til § 1

Der er på nuværende tidspunkt ikke fastsat regler i dansk ret, som supplerer forordningen om kunstig intelligens.

Det foreslås i § 1, at loven supplerer Europa-Parlamentets og Rådets forordning (EU) 2024/1689 af 13. juni 2024 om harmoniserede regler for kunstig intelligens og om ændring af forordning (EF) nr. 300/2008, (EU) nr. 167/2013, (EU) nr. 168/2013, (EU) 2018/858, (EU) 2018/1139 og (EU) 2019/2144 samt direktiv 2014/90/EU, (EU) 2016/797 og (EU) 2020/1828 (forordningen om kunstig intelligens) jf. bilag 1.

Til § 2

Der er på nuværende tidspunkt ikke fastsat regler i dansk ret om udpegning af nationale kompetente myndigheder i form af bemyndigende myndigheder og markedsovervågningsmyndigheder i henhold til artikel 70, stk. 1, i forordningen om kunstig intelligens.

Det følger af artikel 70, stk. 1, i forordningen om kunstig intelligens, at hver medlemsstat opretter eller udpeger som nationale kompetente myndigheder mindst én bemyndigende myndighed og mindst én markedsovervågningsmyndighed med henblik på overholdelse af forordningen. Disse nationale kompetente myndigheder udøver deres beføjelser uafhængigt, upartisk og uden bias for derved at beskytte objektiviteten i deres aktiviteter og opgaver og for at sikre gennemførelsen af forordningen.

Af forordningens artikel 70, stk. 2, 3. pkt., følger det, at medlemsstaterne udpeger en markedsovervågningsmyndighed til at fungere som centralt kontaktpunkt for forordningen om kunstig intelligens og underretter Kommissionen om identiteten af det centrale kontaktpunkt.

Det følger endvidere af artikel 28, stk. 1, i forordningen om kunstig intelligens, at hver medlemsstat udpeger eller opretter mindst én bemyndigende myndighed med ansvar for at indføre og gennemføre de nødvendige procedurer for vurdering, udpegelse og notifikation af overensstemmelsesvurderingsorganer og for overvågning heraf. Disse procedurer udvikles i samarbejde mellem de bemyndigende myndigheder i alle medlemsstater.

Det foreslås i stk. 1, at Digitaliseringsstyrelsen, Datatilsynet og Domsstolsstyrelsen udpeges som nationale kompetente myndigheder, jf. artikel 70, stk. 1, i forordningen om kunstig intelligens.

Med den foreslåede bestemmelse udpeges Digitaliseringsstyrelsen, Datatilsynet og Domsstolsstyrelsen som nationale kompetente myndigheder.

Med bestemmelsen sikres det, at kravet i forordningen om kunstig intelligens artikel 70, stk. 1, om udpegning af kompetente myndigheder er iagttaget.

Ved "nationale kompetente myndigheder" forstås en bemyndigende myndighed eller en markedsovervågningsmyndighed i henhold til artikel 3, nr. 48, i forordningen om kunstig intelligens.

De bemyndigende myndigheder og markedsovervågningsmyndigheder skal varetage deres opgaver og beføjelser uafhængigt af den pågældende ressortminister og skal være uafhængige af udefrakommende indblanding fra offentlige og private enheder. Dette indebærer også, at de bemyndigende myndigheder og markedsovervågningsmyndigheder ikke vil kunne modtage eller søge instrukser fra andre, herunder vedkommende ressortminister, uanset at de i øvrigt er organisatorisk underlagt det pågældende ressortministerium.

De nationale kompetente myndigheders eventuelle overordnede myndigheder har således ikke instruktionsbeføjelse i de opgaver og sager, som behandles i medfør af den foreslåede lov, herunder i forbindelse med de nationale kompetente myndigheders udførelse af tilsyn og kontrol. De nationale kompetente myndigheder er dermed funktionelt uafhængige af overordnede myndigheder.

De nationale kompetente myndigheder kan i forbindelse med myndighedernes øvrige arbejde være underlagt instruktioner fra overordnede myndigheder, uden at det påvirker den funktionelle uafhængighed på området omfattet af forordningen om kunstig intelligens.

For enkelte sager eller på enkelte områder kan der være behov for særegen fagspecifik ekspertise med henblik på at sikre, at sagerne afgøres på en måde, der stemmer overens med praksis på tilgrænsende fagområder, som henhører under andre myndigheders ressort end den eller de udpegede kompetente myndigheder. I disse tilfælde bør kravet om uafhængighed ikke forhindre muligheden for, at en kompetent myndighed kan rådføre sig eller regelmæssigt udveksle synspunkter med andre myndigheder, herunder retshåndhævende myndigheder, krisestyringsmyndigheder eller øvrige markedsovervågnings- eller datatilsynsmyndigheder samt indhente teknisk bistand m.v.

Det foreslås i stk. 2, at Digitaliseringsstyrelsen udpeges som bemyndigende myndighed, jf. artikel 28, stk. 1, og artikel 70, stk. 1, i forordningen om kunstig intelligens, centralt kontaktpunkt, jf. artikel 70, stk. 2, 3. pkt., i forordningen om kunstig intelligens, og markedsovervågningsmyndighed for de dele af tilsynet med forbudte former for AI-praksis, som er omfattet af artikel 5, stk. 1, litra a-c, og artikel 5, stk. 1, litra e-f, i forordningen om kunstig intelligens.

Ved "bemyndigende myndighed" forstås den nationale myndighed, der er ansvarlig for at indføre og gennemføre de nødvendige procedurer for vurdering, udpegning og notifikation af overensstemmelsesvurderingsorganer og for overvågning heraf i henhold til artikel 3, stk. 19, i forordningen om kunstig intelligens.

Ved "overensstemmelsesvurderingsorgan" forstås et organ, der som tredjepart udfører overensstemmelsesvurderingsaktiviteter, herunder afprøvning, certificering og inspektion. "Overensstemmelsesvurdering" vedrører processen til påvisning af, om de krav til højrisiko-AI-systemer, som er fastsat i kapitel III, afdeling 2, i forordningen om kunstig intelligens, er opfyldt.

Ved "markedsovervågningsmyndighed" forstås den nationale myndighed, der udfører aktiviteterne og træffer foranstaltningerne i henhold til forordning (EU) 2019/1020 i henhold til artikel 3, stk. 26, i forordningen om kunstig intelligens.

Med den foreslåede bestemmelse vil Digitaliseringsstyrelsen blive udpeget som både bemyndigende myndighed og som centralt kontaktpunkt. Det foreslås dermed, at Digitaliseringsstyrelsen tillægges de beføjelser mv., som følger af dette lovforslag og forordningen om kunstig intelligens. Derudover sikres det, at kravet i forordningen om kunstig intelligens artikel 70, stk. 1, om udpegning af kompetente myndigheder samt kravet i forordningens artikel 70, stk. 2, 3. pkt., om udpegning af et centralt kontaktpunkt er iagttaget.

Med den foreslåede bestemmelse vil Digitaliseringsstyrelsen endvidere blive udpeget som markedsovervågningsmyndighed for de dele af tilsynet med forbudte former for AI-praksis, som er omfattet af artikel 5, stk. 1, litra a-c, og artikel 5, stk. 1, litra e-f, i forordningen om kunstig intelligens. Artikel 5, stk. 1, litra a-c, og artikel 5, stk. 1, litra e-f, i forordningen om kunstig intelligens, vedrører blandt andet visse AI-systemer, der anvender subliminale, bevidst manipulerende eller vildledende teknikker, visse AI-systemer, der udnytter sårbarheder på grundlag af alder, handicap eller en særlig social eller økonomisk situation, og visse AI-systemer, som bruges til evaluering eller klassificering af fysiske personer, hvis sociale bedømmelse fører til visse former for skadelig eller ugunstig behandling af fysiske personer eller grupper af personer. Artikel 5, stk. 1, litra e-f, vedrører blandt andet AI-systemer, der opretter eller udvider ansigtsgenkendelsesdatabaser gennem ikkemålrettet indsamling af ansigtsbilleder fra internettet eller kameraovervågning og visse AI-systemer, der bruges til at udlede følelser hos en fysisk person på arbejdspladser og uddannelsesinstitutioner.

Det foreslås i stk. 3, at Datatilsynet udpeges som markedsovervågningsmyndighed for de dele af tilsynet med forbudte former for AI-praksis, der er omfattet af artikel 5, stk. 1, litra d, og artikel 5, stk. 1, litra g, i forordningen om kunstig intelligens.

Med den foreslåede bestemmelse vil Datatilsynet blive udpeget som markedsovervågningsmyndighed for de dele af tilsynet med forbudte former for AI-praksis, der er omfattet af artikel 5, stk. 1, litra d, og artikel 5, stk. 1, litra g. Artikel 5, stk. 1, litra d, vedrører visse AI-systemer, som bruges til at foretage risikovurderinger baseret på profilering af en fysisk person eller en vurdering af deres personlighedstræk og personlige egenskaber for at vurdere eller forudsige risikoen for, at en fysisk person begår en strafbar handling. Artikel 5, stk. 1, litra g, vedrører blandt andet AI-systemer, der bruges til biometrisk kategorisering, som kategoriserer fysiske personer individuelt på grundlag af deres biometriske data med henblik på at udlede deres race, politiske anskuelser, fagforeningsmedlemskab, religiøse eller filosofiske overbevisning, seksuelle forhold eller seksuelle orientering. Datatilsynet er dog kun markedsovervågningsmyndighed for de dele af artikel 5, stk. 1, litra d og g, som ikke er omfattet af det danske retsforbehold.

Det foreslås i stk. 4, at Domstolsstyrelsen udpeges som markedsovervågningsmyndighed for de dele af tilsynet med forbudte former for AI-systemer, som vedrører domstolenes anvendelse af AI-systemer, når domstolene ikke handler i deres egenskab af domstol. Dette vil indebære, at Domstolsstyrelsens tilsyn alene omfatter domstolenes administrative forhold og ikke deres judicielle funktioner.

Det foreslås i stk. 5, at for tilsynet med domstolenes anvendelse af AI-systemer, som ikke omfattes af stk. 4, træffes afgørelser af vedkommende ret. Afgørelsen kan kæres til højere ret. For særlige domstole, hvis afgørelser ikke kan indbringes for højere ret, kan den afgørelse, der er nævnt i 1. pkt., kæres til den landsret, i hvis kreds retten er beliggende. Kærefristen er 4 uger fra den dag, afgørelsen er meddelt den pågældende.

Bestemmelsen vil indebære, at afgørelser om domstolenes anvendelse af AI-systemer, når disse anvendes som led i domstolenes judicielle funktioner, vil blive truffet af vedkommende ret.

Endvidere foreslås det, at afgørelser truffet efter stk. 5, vil kunne kæres til højere ret inden for en kærefrist på 4 uger. For særlige domstole, hvis afgørelser ikke kan indbringes for højere ret, vil afgørelsen kunne kæres til den landsret, i hvis kreds retten er beliggende.

Til § 3

Der er på nuværende tidspunkt ikke fastsat regler i dansk ret om klageadgang i forbindelse med de nationale kompetente myndigheders afgørelser.

Det foreslås i § 3, at de nationale kompetente myndigheders afgørelser efter denne lov, regler udstedt i medfør heraf samt forordningen om kunstig intelligens ikke kan indbringes for anden administrativ myndighed.

Bestemmelsen udelukker, at de nationale kompetente myndigheders afgørelser er undergivet administrativ rekurs. Sådanne afgørelser kan indbringes direkte for domstolene efter grundlovens § 63.

Med bestemmelsen sikres der overensstemmelse med kravene i artikel 70, stk. 1, 2. pkt., i forordningen om kunstig intelligens om de nationale kompetente myndigheders uafhængighed. Digitaliseringsministeriet vurderer, at det er nødvendigt for at sikre markedsovervågningsmyndighedernes uafhængighed, at en afgørelse truffet af markedsovervågningsmyndigheden ikke kan omgøres eller ændres af myndighedens sædvanlige overordnede.

Til § 4

Der er på nuværende tidspunkt ikke fastsat regler i dansk ret om de nationale kompetente myndigheders opgaver i henhold til forordningen om kunstig intelligens.

Det foreslås i § 4, at de nationale kompetente myndigheder påser overholdelsen af forordningen om kunstig intelligens, denne lov og regler udstedt i medfør heraf.

Bestemmelsen skal sammen med de foreslåede §§ 5-9 sikre, at de nationale kompetente myndigheder kan udføre deres opgaver i henhold til forordningen, herunder foretage kontrol og tilsyn.

De nationale kompetente myndigheder omfatter henholdsvis bemyndigende myndigheder og markedsovervågningsmyndigheder.

Til § 5

Der er på nuværende tidspunkt ikke fastsat regler i dansk ret om markedsovervågningsmyndighedernes mulighed for at afkræve oplysninger fra fysiske og juridiske personer som led i et tilsyn i henhold til forordningen om kunstig intelligens.

Det fremgår af præambelbetragtning nr. 156 i forordningen om kunstig intelligens, at markedsovervågningsmyndigheder, der er udpeget i henhold til forordningen, alle bør have håndhævelsesbeføjelser som fastsat i forordningen om kunstig intelligens og forordning (EU) 2019/1020 om markedsovervågning og produktoverensstemmelse (markedsovervågningsforordningen).

Det følger af markedsovervågningsforordningens artikel 14, stk. 4, litra a-c, at markedsovervågningsmyndigheden som minimum skal tillægges beføjelsen til at pålægge erhvervsdrivende at forelægge relevante dokumenter, tekniske specifikationer, data eller oplysninger om overensstemmelse og tekniske aspekter af produktet, herunder adgang til oplysninger om eller fra software, i det omfang en sådan adgang er nødvendig for at vurdere produktets overensstemmelse med lovgivningen. Samtidig skal markedsovervågningsmyndigheden have beføjelser til at pålægge erhvervsdrivende at levere oplysninger om forsyningskæden og distributionsnettet, om produkters tilstedeværelse på markedet og om andre modeller, der har de samme tekniske egenskaber som det pågældende produkt, og oplysninger om ejerskabet til et websted, når de pågældende oplysninger er nødvendige for sagen.

Det foreslås i § 5, at markedsovervågningsmyndighederne fra fysiske og juridiske personer omfattet af artikel 2, stk. 1, litra a-f, i forordningen om kunstig intelligens, kan afkræve alle oplysninger, som er nødvendige for myndighedernes tilsynsvirksomhed, herunder til fastlæggelse af, om et forhold hører under myndighedernes kompetence.

Det er hensigten med den foreslåede bestemmelse, at der kan indhentes oplysninger fra fysiske og juridiske personer omfattet af artikel 2, stk. 1, litra a-f, i forordningen om kunstig intelligens, hvis det findes nødvendigt.

Oplysningspligten er af væsentlig betydning for, at markedsovervågningsmyndighederne kan udføre en effektiv kontrol. Vurderingen af, hvilke oplysninger, der vil blive indhentet, vil altid bero på en proportionalitetsvurdering og karakteren af den dokumentation, der kan kræves, vil variere fra sag til sag. Oplysningspligten vil blandt andet kunne anvendes til, at markedsovervågningsmyndighederne kan pålægge fysiske og juridiske personer omfattet af artikel 2, stk. 1, litra a-f, i forordningen om kunstig intelligens, at forelægge relevante dokumenter, tekniske specifikationer, data eller oplysninger om overensstemmelse og tekniske aspekter af AI-systemet, herunder adgang til software, i det omfang en sådan adgang er nødvendig for at vurdere AI-systemets overensstemmelse med lovgivningen. Markedsovervågningsmyndighederne vil også kunne pålægge fysiske og juridiske personer omfattet af artikel 2, stk. 1, litra a-f, i forordningen om kunstig intelligens, at levere oplysninger om forsyningskæden og distributionsnettet, om AI-systemets tilstedeværelse på markedet og om andre modeller, der har de samme tekniske egenskaber som det pågældende AI-system, og oplysninger om ejerskabet til et websted, når de pågældende oplysninger er nødvendige for sagen.

De oplysninger, markedsovervågningsmyndighederne vil kunne kræve, skal være relevante for det, kontrollen skal belyse, og være tilgængelige for virksomheden. Dette skal ses i sammenhæng med, at markedsovervågningsmyndighederne kun må anmode om data, der er strengt nødvendige for at vurdere den risiko, som AI-systemer udgør, i overensstemmelse med artikel 78, stk. 2, i forordningen om kunstig intelligens.

Markedsovervågningsmyndighederne vil i deres anvendelse af den foreslåede § 5 skulle respektere fortroligheden af oplysninger og data, som myndigheden kommer i besiddelse af under udførelsen af dennes opgaver og aktiviteter i overensstemmelse med artikel 78, stk. 1, i forordningen om kunstig intelligens. Det indebærer eksempelvis, at markedsovervågningsmyndighederne skal håndtere oplysningerne på en sådan måde, at den beskytter intellektuelle ejendomsrettigheder og fysiske eller juridiske personers fortrolige forretningsoplysninger eller forretningshemmeligheder, herunder kildekoder, offentlige og nationale sikkerhedsinteresser og strafferetlige eller administrative procedurers gennemførelse mv.

Den foreslåede bestemmelse afgrænses af det almindelige forbud mod at udsætte andre for selvinkriminering, som det blandt andet kan udledes af Den Europæiske Menneskerettighedskonventions artikel 6 og § 10 i retssikkerhedsloven. Er der konkret mistanke om, at det af oplysningerne vil fremgå, at den pågældende har begået noget strafbart, vil det således ikke kunne kræves, at oplysningerne udleveres. I et sådant tilfælde må sagen overlades til politiets efterforskning.

Til § 6

Der er på nuværende tidspunkt ikke fastsat regler i dansk ret om markedsovervågningsmyndighedernes mulighed for at foretage kontrolbesøg som led i et tilsyn i henhold til forordningen om kunstig intelligens.

Det fremgår af præambelbetragtning nr. 156 i forordningen om kunstig intelligens, at markedsovervågningsmyndigheder, der er udpeget i henhold til forordningen, alle bør have håndhævelsesbeføjelser som fastsat i forordningen om kunstig intelligens og forordning (EU) 2019/1020 om markedsovervågning og produktoverensstemmelse (markedsovervågningsforordningen).

Det følger af markedsovervågningsforordningens artikel 14, stk. 4, litra d og e, at markedsovervågningsmyndigheden som minimum skal tillægges beføjelsen til uden forudgående varsel at foretage inspektion på stedet og fysisk kontrol af produkter, samt beføjelsen til at få adgang til alle lokaler, arealer eller transportmidler, som den pågældende erhvervsdrivende anvender som led i sit erhverv, sin forretning, sit livsværk eller sit fag, for at identificere manglende overensstemmelse og indhente dokumentation.

Det foreslås i stk. 1, at markedsovervågningsmyndighederne til enhver tid mod behørig legitimation og uden retskendelse har adgang til alle erhvervsmæssige lokaliteter hos fysiske og juridiske personer omfattet af artikel 2, stk. 1, litra a-f, i forordningen om kunstig intelligens, når det er nødvendigt for at påse overholdelse af forordningen om kunstig intelligens, denne lov eller regler udstedt i medfør af loven.

Den foreslåede bestemmelse har til formål at sikre, at markedsovervågningsmyndighederne kan udføre en effektiv kontrol med overholdelse af forordningen om kunstig intelligens. Bestemmelsen sikrer, at markedsovervågningsmyndighederne har adgang til alle erhvervsmæssige lokaliteter hos fysiske og juridiske personer omfattet af artikel 2, stk. 1, litra a-f, i forordningen om kunstig intelligens, når det er nødvendigt for at påse overholdelse af forordningen om kunstig intelligens, denne lov eller regler udstedt i medfør heraf.

Den foreslåede ordning vurderes at være proportional, da markedsovervågningsmyndighederne alene vil kunne anvende kontroladgangen i sager, hvor det er afgørende for kontrollens effektivitet. Ligeledes vurderes ordningen at være nødvendig af hensyn til formålet med forordningen om kunstig intelligens, da adgangen til kontrolbesøg skal sikre beskyttelse af borgere mod farerne ved forbudte AI-systemer. Det bemærkes, at krav om forudgående retskendelse er ressourcekrævende, og en fastholdelse af et krav om retskendelse kan derfor medføre en unødig forsinkelse af myndighedens kontrolindsats. Herudover vil et krav om forudgående retskendelse blot være af formel karakter, da kontroladgangen netop er nødvendig af hensyn til effektiv kontrol med overholdelse af forordningen om kunstig intelligens.

På ovenstående baggrund vurderes det, at den foreslåede ordning med kontrolbesøg uden retskendelse fremmer en effektiv håndhævelse af forordningen om kunstig intelligens, beskytter samfundets og borgernes interesser, forebygger misbrug og skaber en afskrækkende effekt mod overtrædelser af forordningen om kunstig intelligens. Det er dog afgørende, at disse besøg sker under betryggende retssikkerhedsgarantier.

Adgangen til kontrolbesøg uden retskendelse vil således ske under strenge retningslinjer og kun efter en konkret vurdering. Kontrolbesøg skal altid dokumenteres, og virksomheder har mulighed for at klage over kontrolbesøg. Kontrolbesøg i henhold til § 6, stk. 1, vil således forudsætte, at markedsovervågningsmyndighederne i det konkrete tilfælde vurderer, at det ikke er muligt at udøve effektiv kontrol med mindre indgribende midler. Markedsovervågningsmyndighederne skal derfor i det konkrete tilfælde vurdere, at kontrolbesøget er nødvendigt af hensyn til formålet med kontrolbesøget samt proportionalt. Dette vil indebære, at markedsovervågningsmyndighederne forinden skal forsøge at indhente oplysninger efter lovforslagets § 5, medmindre formålet med kontrollen ikke kan opnås herved i det konkrete tilfælde.

Den foreslåede bestemmelse giver markedsovervågningsmyndighederne adgang til alle lokaler eller arealer, som den erhvervsdrivende anvender som led i sit erhverv, sin forretning, sit håndværk eller sit fag. Det vil blandt andet omfatte fabrikations-, salgs- og lagerlokaliteter og kan eksempelvis også være kontorlokaler, baglokaler eller udendørs områder tilhørende den erhvervsdrivende. Bestemmelsen giver dog ikke en udvidet adgang til lokaler hos private.

Anvendelsen af den foreslåede bestemmelse vil skulle ske under hensyntagen til bestemmelserne i retssikkerhedsloven, herunder de almindelige regler om fravigelse af varsling af tilsyn. Herudover skal særligt retssikkerhedslovens § 10, om retten til ikke at inkriminere sig selv, iagttages ved anvendelsen af bestemmelsen.

Det vil kun være muligt for markedsovervågningsmyndighederne at anvende den foreslåede bestemmelse til at tilvejebringe oplysninger til brug for kontrollen. Det betyder, at bestemmelsen kan anvendes med henblik på at konstatere, om AI-systemer, der henhører under anvendelsesområdet i forordningen om kunstig intelligens, er i overensstemmelse med reglerne, eller om en erhvervsdrivende lever op til sine forpligtelser. Det kan f.eks. være en kontrol, hvor der er behov for at føre tilsyn med AI-systemer fra en lokalitet uden offentlig adgang. Det skal således være formålet med adgangen, at der skal indhentes oplysninger, der er nødvendige for selve kontrollen. Adgangshjemlen gælder både i relation til proaktive kontroller, hvor markedsovervågningsmyndighederne har planlagt kontrolopgaven på forhånd, og reaktive kontrolopgaver, som oftest sker efter en udefrakommende begivenhed, som f.eks. en anmeldelse eller ulykke.

Hvis det ud fra en samlet betragtning af blandt andet ovenstående elementer vurderes, at det vil være nødvendigt at kontrollere AI-systemer fra ikke-offentligt tilgængelige lokaliteter, vil markedsovervågningsmyndighederne således kunne anvende bestemmelsen.

Konkret vil det f.eks. være nødvendigt, hvis markedsovervågningsmyndighederne ikke kan foretage en effektiv kontrol, fordi der kræves en teknisk vurdering af AI-systemet med assistance fra en teknisk ekspert.

Den foreslåede bestemmelse giver desuden mulighed for, at kontrollen kan finde sted uanmeldt, såfremt myndigheden konkret vurderer, at formålet med kontrollen forspildes ved en forudgående anmeldelse over for den kontrolunderlagte. Det er afgørende for kontrollens effektivitet, at kontrollen kan ske uanmeldt, da varsling kan give virksomheder mulighed for at fjerne dokumentationen for overtrædelserne.

Markedsovervågningsmyndighederne vil kunne foretage uanmeldt kontrol, hvor der vurderes at foreligge dokumentation for en overtrædelse hos den kontrolunderlagte. Konkrete eksempler kan være, hvis en udbyder forsætligt tilgængeliggør et forbudt AI-system, og markedsovervågningsmyndigheden har en formodning om, at dette foreligger dokumenteret hos udbyderen. Myndighedens formodning kan eksempelvis være baseret på oplysninger modtaget fra presseomtale.

Uanmeldte kontrolbesøg tænkes alene anvendt, når der er risiko for, at dokumentationen for den formodede overtrædelse vil kunne bortskaffes eller gå tabt ved en anmeldt kontrolundersøgelse. Hvis dette ikke er tilfældet, skal myndigheden anmelde kontrolbesøget.

Hvis det derimod ikke vil være nødvendigt, herunder proportionalt med det markedsovervågningsmyndigheden vil opnå ved at få adgang til de pågældende lokaler, vil bestemmelsen ikke kunne anvendes. Markedsovervågningsmyndighederne er så henvist til at føre tilsyn fra lokaler, der er offentligt tilgængelige, eller til at afkræve oplysninger i medfør af den foreslåede § 5.

Det foreslås i stk. 2, at markedsovervågningsmyndighederne som led i kontrolbesøget kan foretage tekniske undersøgelser af et AI-system på stedet.

Den foreslåede bestemmelse har til formål at sikre, at markedsovervågningsmyndighederne kan udføre effektiv kontrol ved at sikre, at markedsovervågningsmyndighederne kan foretage tekniske undersøgelser under kontrolbesøg, jf. stk. 1, med henblik på at påse overholdelse af forordningen om kunstig intelligens, denne lov eller regler udstedt i medfør af loven.

Den foreslåede bestemmelse vil kunne anvendes, når markedsovervågningsmyndighederne vurderer, at det er nødvendigt at foretage en teknisk undersøgelse som led i et kontrolbesøg, jf. stk. 1, for at sikre en korrekt sagsoplysning med henblik på at kunne vurdere, om der foreligger en overtrædelse af forordningen om kunstig intelligens, denne lov eller regler udstedt i medfør af loven. Det vil blandt andet kunne omfatte undersøgelser af datasæt og algoritmer til brug for vurdering af, hvorvidt et AI-system anvendes til brug for følelsesgenkendelse.

Bestemmelsen vil eksempelvis være anvendelig i tilfælde af, at omstændigheder under kontrolbesøget nødvendiggør, at undersøgelser eller tests udføres på stedet, mens kontrolbesøget pågår. Det kan eksempelvis være, hvis udbyderens datasæt er af en sådan størrelse, at markedsovermyndigheden ikke har den tekniske kapacitet eller IT-faciliteter til at modtage datasættet og udføre tests heraf internt hos markedsovervågningsmyndigheden selv.

Det foreslås i stk. 3, at markedsovervågningsmyndighederne kan være bistået af en eller flere uafhængige sagkyndige i forbindelse med adgangen efter stk. 1 og tekniske undersøgelser efter stk. 2.

I forbindelse med kontrol, der kræver særligt udstyr eller specialistviden, kan markedsovervågningsmyndighederne have behov for bistand fra en eller flere sagkyndige med henblik på at oplyse sagen i tilstrækkeligt omfang. Den eller de sagkyndige har med den foreslåede bestemmelse adgang til samme sted som markedsovervågningsmyndigheden, så længe den eller de sagkyndige ledsages af mindst en medarbejder fra markedsovervågningsmyndigheden.

Det beror på en konkret og individuel vurdering, om en sagkyndig er uafhængig. Eksempelvis kan markedsovervågningsmyndigheden ikke medbringe en sagkyndig til et kontrolbesøg hos en erhvervsdrivende, hvis den pågældende sagkyndige samtidig er konkurrent til den erhvervsdrivende. Er der tale om et område, hvor der er meget få sagkyndige, vil der således skulle foretages en afvejning af, hvor stort behovet er for at medbringe en sagkyndig over for beskyttelsen af den erhvervsdrivendes forretningshemmeligheder, der må anses som tungtvejende.

Det foreslås i stk. 4, at politiet om nødvendigt yder bistand til kontrollens gennemførelse.

Politiets bistand kan være aktuel i en situation, hvor markedsovervågningsmyndighederne nægtes adgang til en lokalitet ad frivillighedens vej. Der kan i sådanne særlige tilfælde være behov for, at politiet anvender magt for at få adgang til lokaliteten.

Til § 7

Der er på nuværende tidspunkt ikke fastsat regler i dansk ret om de nationale kompetente myndigheders offentliggørelse af afgørelser i henhold til forordningen om kunstig intelligens.

Det følger af artikel 99, stk. 1, i forordningen om kunstig intelligens, at i overensstemmelse med de vilkår og betingelser, der er fastsat i denne forordning, fastsætter medlemsstaterne regler om sanktioner og andre håndhævelsesforanstaltninger, som også kan omfatte advarsler og ikkeøkonomiske foranstaltninger, for operatørers overtrædelse af denne forordning og træffer alle nødvendige foranstaltninger for at sikre, at de gennemføres korrekt og effektivt, og dermed tager hensyn til de retningslinjer, som Kommissionen har udstedt i henhold til artikel 96.

Det følger af artikel 78, stk. 1, i forordningen om kunstig intelligens, at Kommissionen, markedsovervågningsmyndighederne og bemyndigede organer og enhver anden fysisk eller juridisk person, der er involveret i anvendelsen af denne forordning, respekterer i overensstemmelse med EU-retten eller national ret fortroligheden af oplysninger og data, som de kommer i besiddelse af under udførelsen af deres opgaver og aktiviteter, på en sådan måde, at de navnlig beskytter: a) intellektuelle ejendomsrettigheder og fysiske eller juridiske personers fortrolige forretningsoplysninger eller forretningshemmeligheder, herunder kildekode, med undtagelse af de tilfælde, der er omhandlet i artikel 5 i Europa- Parlamentets og Rådets direktiv (EU) 2016/943 (57), b) den effektive gennemførelse af denne forordning, navnlig for så vidt angår inspektioner, undersøgelser eller revisioner, c) offentlige og nationale sikkerhedsinteresser, d) strafferetlige eller administrative procedurers gennemførelse og e) informationer, der er klassificeret i henhold til EU-retten eller national ret.

Det foreslås i § 7, at markedsovervågningsmyndighederne kan offentliggøre sine afgørelser i sager om forbudte former for AI-praksis i henhold til artikel 5, stk. 1, litra a-g, i forordningen om kunstig intelligens.

Bestemmelsen skal sikre, at de udpegede markedsovervågningsmyndigheder, som en nødvendig håndhævelsesforanstaltning, kan offentliggøre afgørelser i sager om forbudte former for AI-praksis i henhold til artikel 5, stk. 1, litra a-g, i forordningen om kunstig intelligens, når tungtvejende samfundsmæssige hensyn taler for offentliggørelse.

Offentliggørelse i henhold til den foreslåede § 7 kan omfatte navnet på den juridiske eller fysiske person, som er adressat for afgørelsen samt oplysninger om strafbare forhold eller mulige strafbare forhold. Markedsovervågningsmyndighederne kan blandt andet vælge at offentliggøre afgørelser i henhold til den foreslåede § 7 for at afværge konkret eller overhængende fare for skade på personer eller for betydelige formuetab. Offentliggørelse kan endvidere ske, hvis offentliggørelsen er nødvendig for, at forbrugere kan varetage deres interesser i forhold til de fysiske eller juridiske personer, som der offentliggøres oplysninger om. Offentliggørelse kan dog aldrig ske, hvis offentliggørelsen vil medføre uforholdsmæssig stor skade for den juridiske eller fysiske person i forhold til de samfundsmæssige hensyn, som taler for offentliggørelse. Det afgørende er, om offentlighedens interesse i at få kendskab til oplysningerne findes at burde vige for afgørende hensyn til private og offentlige interesser.

Det bemærkes, at der ikke er tale om en generel hjemmel til systematisk offentliggørelse, men udelukkende om en mulighed for offentliggørelse baseret på en konkret vurdering, hvor de relevante hensyn i den enkelte sag nøje afvejes.

Der henvises i øvrigt til pkt. 3 i lovforslagets almindelige bemærkninger.

Til § 8

Der er på nuværende tidspunkt ikke fastsat regler i dansk ret om markedsovervågningsmyndighedernes opgaver i forbindelse med tilsynet i henhold til forordningen om kunstig intelligens.

Det foreslås i stk. 1, at markedsovervågningsmyndighederne kan udstede påbud om overholdelse af artikel 5, stk. 1, litra a-g, i forordningen om kunstig intelligens, denne lov og regler fastsat i medfør af denne lov.

Den foreslåede ordning i § 8 medfører, at markedsovervågningsmyndighederne vil kunne påbyde fysiske og juridiske personer omfattet af artikel 2, stk. 1, litra a-f, i forordningen om kunstig intelligens, at overholde artikel 5, stk. 1, litra a-g, i forordningen om kunstig intelligens, denne lov og regler fastsat i medfør af denne lov.

Det foreslås i stk. 2, at markedsovervågningsmyndighederne kan udstede et midlertidigt forbud mod levering, markedsføring, udstilling eller anden tilgængeliggørelse af et AI-system, hvis AI-systemet vurderes at kunne udgøre en risiko. Forbuddet kan rettes mod de fysiske og juridiske personer, som er omfattet af artikel 2, stk. 1, litra a-f, i forordningen om kunstig intelligens. Forbuddets varighed kan ikke strække sig ud over, hvad der er nødvendigt for at træffe kontrolforanstaltninger til brug for undersøgelser eller vurderinger af AI-systemets sikkerhed.

Med den foreslåede bestemmelse kan markedsovervågningsmyndighederne udstede midlertidige forbud mod levering, markedsføring, udstilling eller anden tilgængeliggørelse af etAI-system, hvis AI-systemet vurderes at kunne udgøre et forbudt AI-system i henhold til artikel 5, stk. 1, litra a-g. Et forbud efter den foreslåede bestemmelse vil kunne rettes mod fysiske og juridiske personer i henhold til artikel 2, stk. 1, litra a-f.

Bestemmelsen giver mulighed for at træffe en midlertidig afgørelse om forbud mod et AI-system, mens markedsovervågningsmyndighedernes sagsbehandling og oplysning af sagen pågår. Markedsovervågningsmyndighederne foretager i den forbindelse en proportionalitetsafvejning, så de midler, der anvendes, ikke er mere indgribende end nødvendigt i forhold til det formål, markedsovervågningsmyndighederne ønsker at opnå.

Den foreslåede bestemmelse finder anvendelse i sager, hvor der er en formodning om, at et AI-system udgør en fare, og hvor hensynet til brugeren gør, at det ud fra et forsigtighedsprincip vurderes uforsvarligt, at AI-systemet fortsat er i omsætning, imens markedsovervågningsmyndigheden foretager de nødvendige undersøgelser systemet for derved endeligt at afklare risikoen og træffe endelig afgørelse.

Det er en forudsætning for anvendelsen af bestemmelsen, at der ikke blot er tale om mindre eller formelle mangler, som ikke medfører en reel fare. En bagatelagtig mangel kunne eksempelvis være mindre administrative fejl uden betydning for systemets sikkerhed. Forbuddets varighed må ikke overstige, hvad der er nødvendigt for at gennemføre de relevante undersøgelser og vurderinger. Proportionalitetsprincippet sikrer, at markedsovervågningsmyndighederne handler hurtigt og effektivt for at minimere unødige gener for de involverede parter.

Det foreslås i 2. pkt., at forbuddet kan rettes mod fysiske og juridiske personer omfattet af artikel 2, stk. 1, litra a-f, i forordningen om kunstig intelligens. Den foreslåede bestemmelse finder derfor anvendelse på udbydere, der bringer AI-systemer i omsætning eller ibrugtager sådanne eller bringer AI-modeller til almen brug i omsætning i Unionen, uanset om udbyderne er etableret i eller uden for Unionen; idriftsættere af AI- systemer, der er etableret eller befinder sig i et tredjeland, hvis det output, der produceres af systemet, anvendes i Unionen; importører og distributører af AI-systemer; producenter af et produkt, der sammen med deres produkt og under eget navn eller varemærke bringer et AI-system i omsætning eller ibrugtager det samt bemyndigede repræsentanter for udbydere, der ikke er etableret i Unionen.

Det foreslås i 3. pkt., at forbuddets varighed ikke kan strække sig ud over, hvad der er nødvendigt for at træffe kontrolforanstaltninger til brug for undersøgelser eller vurderinger af AI-systemets sikkerhed.

Angivelsen af, at forbuddets varighed ikke kan strække sig ud over, hvad der er nødvendigt for at foretage de nævnte undersøgelser, er ligeledes udtryk for det almindelige proportionalitetsprincip. Markedsovervågningsmyndighederne sikrer i den forbindelse, at de nødvendige undersøgelser foretages uden unødigt ophold for derved at mindske eventuelle gener for den erhvervsdrivende.

Til § 9

Der er på nuværende tidspunkt ikke fastsat regler i dansk ret om de bemyndigende myndigheders opgaver, tilsyn og kontrol.

Det følger af artikel 28, stk. 1, i forordningen om kunstig intelligens, at hver medlemsstat udpeger eller opretter mindst én bemyndigende myndighed med ansvar for at indføre og gennemføre de nødvendige procedurer for vurdering, udpegning og notifikation af overensstemmelsesvurderingsorganer og for overvågning heraf. Disse procedurer udvikles i samarbejde mellem de bemyndigende myndigheder i alle medlemsstater.

Det foreslås i stk. 1, at den bemyndigende myndighed kan efter forhandling med ministeren for digitalisering fastsætte nærmere regler om indførelse og gennemførelse af nødvendige procedurer for vurdering, udpegelse og notifikation af overensstemmelsesvurderingsorganer og for tilsyn hermed i henhold til artikel 28, stk. 1, i forordningen om kunstig intelligens samt suspension eller tilbagetrækning af udpegning i henhold til artikel 36, stk. 4, i forordningen om kunstig intelligens.

Med den foreslåede bestemmelse får den bemyndigende myndighed mulighed for at fastsætte regler om, at bemyndigende myndigheder efter ansøgning kan udpege bemyndigede organer til at foretage overensstemmelsesvurderingsprocedurer. Overensstemmelsesvurdering vedrører processen til påvisning af, om de krav til højrisiko-AI-systemer, som er fastsat i kapitel III, afdeling 2, i forordningen om kunstig intelligens, er opfyldt.

Det foreslås i stk. 2, at den bemyndigende myndighed kan delegere udpegningen af overensstemmelsesvurderingsorganer i et nærmere angivet omfang til andre offentlige myndigheder eller private institutioner, i henhold til artikel 28, stk. 2, i forordningen om kunstig intelligens.

Bestemmelsen skal give mulighed for, at private og offentlige myndigheder efter delegation kan udføre akkrediteringsfunktioner i henhold til artikel 28, stk. 2, i forordningen om kunstig intelligens. Akkreditering omhandler attestering - foretaget af et nationalt akkrediteringsorgan - af, at et overensstemmelsesvurderingsorgan opfylder de krav, der gælder for overensstemmelsesvurderingsorganer i henhold til kapitel III, afdeling 4, i forordningen om kunstig intelligens.

Til § 10

Der er på nuværende tidspunkt ikke fastsat regler i dansk ret om straf for overtrædelse af regler i forordningen om kunstig intelligens.

Det følger af artikel 99, stk. 1, i forordningen om kunstig intelligens, at i overensstemmelse med de vilkår og betingelser, der er fastsat i denne forordning, fastsætter medlemsstaterne regler om sanktioner og andre håndhævelsesforanstaltninger, som også kan omfatte advarsler og ikkeøkonomiske foranstaltninger, for operatørers overtrædelse af denne forordning og træffer alle nødvendige foranstaltninger for at sikre, at de gennemføres korrekt og effektivt, og dermed tager hensyn til de retningslinjer, som Kommissionen har udstedt i henhold til artikel 96.

Af præambelbetragtning nr. 41 i forordningen om kunstig intelligens følger det, at i medfør af artikel 2 og 2a i protokol nr. 22 om Danmarks stilling, der er knyttet som bilag til TEU og TEUF, er de regler, der er fastsat i forordningen om kunstig intelligens artikel 5, stk. 1, første afsnit, litra g), i det omfang den finder anvendelse på brugen af systemer til biometrisk kategorisering til aktiviteter inden for politisamarbejde og retligt samarbejde i straffesager, artikel 5, stk. 1, første afsnit, litra d), i det omfang den finder anvendelse på brugen af AI-systemer, der er omfattet af nævnte bestemmelse, artikel 5, stk. 1, første afsnit, litra h), og stk. 2-6, og artikel 26, stk. 10, der er vedtaget på grundlag af artikel 16 i TEUF vedrørende medlemsstaternes behandling af personoplysninger under udøvelsen af aktiviteter, der er omfattet af tredje del, afsnit V, kapitel 4 eller 5, i TEUF, ikke bindende for og finder ikke anvendelse i Danmark.

Det foreslås i lovforslagets stk. 1, at det fastsættes, hvilke bestemmelser i forordningen og loven, der er strafbelagt ved overtrædelser.

Det foreslås i stk. 1, nr. 1, at den, der overtræder bestemmelserne om forbudte former for AI-praksis i henhold til artikel 5, stk. 1, litra a-g i forordningen om kunstig intelligens straffes med bøde, medmindre højere straf er forskyldt efter anden lovgivning.

Med den foreslåede bestemmelse straffes overtrædelse af artikel 5, stk. 1, litra a-g, i forordningen om kunstig intelligens.

Digitaliseringsstyrelsen er markedsovervågningsmyndighed for de forbudte former for AI-praksis, som er omfattet af artikel 5, stk. 1, litra a-c, og artikel 5, stk. 1, litra e-f, i forordningen om kunstig intelligens. Artikel 5, stk. 1, litra a-c, vedrører forbudte former for AI-praksis, herunder blandt andet visse AI-systemer, der anvender subliminale, bevidst manipulerende eller vildledende teknikker, visse AI-systemer, der udnytter sårbarheder på grundlag af alder, handicap eller en særlig social eller økonomisk situation, og visse AI-systemer, som bruges til evaluering eller klassificering af fysiske personer, hvis sociale bedømmelse fører til visse former for skadelig eller ugunstig behandling af fysiske personer eller grupper af personer. Artikel 5, stk. 1, litra e-f, vedrører blandt andet AI-systemer, der opretter eller udvider ansigtsgenkendelsesdatabaser gennem ikkemålrettet indsamling af ansigtsbilleder fra internettet eller kameraovervågning og visse AI-systemer, der bruges til at udlede følelser hos en fysisk person på arbejdspladser og uddannelsesinstitutioner. Disse forbudte former for AI-praksis kan med den foreslåede bestemmelse straffes med bøde.

Datatilsynet er markedsovervågningsmyndighed for de forbudte former for AI-praksis, der er omfattet af artikel 5, stk. 1, litra d og artikel 5, stk. 1, litra g, i det omfang disse ikke er omfattet af det danske retsforbehold. Artikel 5, stk. 1, litra d, vedrører visse AI-systemer, som bruges til at foretage risikovurderinger baseret på profilering af en fysisk person eller en vurdering af deres personlighedstræk og personlige egenskaber for at vurdere eller forudsige risikoen for, at en fysisk person begår en strafbar handling. Artikel 5, stk. 1, litra g, vedrører blandt andet AI-systemer, der bruges til biometrisk kategorisering, som kategoriserer fysiske personer individuelt på grundlag af deres biometriske data med henblik på at udlede deres race, politiske anskuelser, fagforeningsmedlemskab, religiøse eller filosofiske overbevisning, seksuelle forhold eller seksuelle orientering. Disse forbudte former for AI-praksis kan med den foreslåede bestemmelse også straffes med bøde, i det omfang disse ikke er omfattet af det danske retsforbehold. Danmark er som følge af retsforbeholdet ikke bundet af forordningens artikel 5, stk. 1, litra g, i det omfang den finder anvendelse på brugen af systemer til biometrisk kategorisering til aktiviteter inden for politisamarbejde og retligt samarbejde i straffesager, og artikel 5, stk. 1, litra d, i det omfang den finder anvendelse på brugen af AI-systemer, der er omfattet af nævnte bestemmelse.

Domstolsstyrelsen er markedsovervågningsmyndighed for de dele af tilsynet med forbudte former for AI-systemer, som vedrører domstolenes administrative anvendelse af AI-systemer. Afgørelser om domstolenes anvendelse af AI-systemer, når disse anvendes som led i domstolenes judicielle funktioner, træffes dog af vedkommende ret.

Det foreslås i stk. 1, nr. 2, at den, der afgiver ukorrekte, ufuldstændige eller vildledende oplysninger til bemyndigede organer eller nationale kompetente myndigheder som svar på en anmodning i henhold til artikel 99, stk. 5, kan straffes med bøde.

De foreslåede bestemmelser tjener to formål:

- At opfylde forordningens krav om sanktionering efter artikel 99, stk. 3, jf. stk. 9, hvor forordningen har et loft for bøder på 35.000.000 euro eller, hvis lovovertræderen er en virksomhed, op til 7 pct. af dens samlede globale årlige omsætning i det foregående regnskabsår, alt efter hvilket beløb der er størst.

- At opfylde forordningens krav om sanktionering efter artikel 99, stk. 5, jf. stk. 9, hvor forordningen har et loft for bøder på 7.500.000 euro eller, hvis lovovertræderen er en virksomhed, op til 1 pct. af dens samlede globale omsætning i det foregående regnskabsår, alt efter hvilket beløb der er størst.

Forbeholdet om, at højere straf kan være forskyldt efter den øvrige lovgivning, har til formål at sikre, at handlinger, der tillige indebærer en overtrædelse af bestemmelser, der kan medføre højere straf, kan henføres under sådanne bestemmelser. Hvis det strafbare forhold omfattes af § 10, stk. 1, nr. 2, samt straffelovens §§ 162 og 163 om afgivelse af urigtige oplysninger til offentlige myndigheder, henhører forholdet således under den bestemmelse, hvorefter den højeste straf er forskyldt.

Formålet med den foreslåede bestemmelse er at supplere artikel 99, stk. 1, i forordningen om kunstig intelligens, hvorefter medlemsstaterne - i overensstemmelse med de vilkår og betingelser, der er fastsat i forordningen - fastsætter regler om blandt andet sanktioner.

Det bemærkes, at det følger af forordningens artikel 99, stk. 6, at for SMV'er, herunder iværksættervirksomheder, skal hver bøde, der er omhandlet i artikel 99 være op til den procentsats eller det beløb, der er omhandlet i blandt andet stk. 3 og 5, alt efter hvilken af dem der er lavest.

Det bemærkes hertil, at ved udmåling af bødestraf skal de fastsatte beløbsgrænser i henhold til artikel 99, stk. 3 og 5, i forordningen om kunstig intelligens overholdes.

Det foreslås i stk. 1, nr. 3, at den, der undlader at give markedsovervågningsmyndighederne oplysninger efter § 5 straffes med bøde, medmindre højere straf er forskyldt efter anden lovgivning.

Med den foreslåede bestemmelse sikres det, at det kan sanktioneres, hvis fysiske og juridiske personer undlader at imødekomme krav fra markedsovervågningsmyndighederne om at afgive oplysninger, som er nødvendige for myndighedernes tilsynsvirksomhed, herunder til fastlæggelse af, om et forhold hører under myndighedernes kompetence.

Den foreslåede bestemmelse afgrænses af det almindelige forbud mod at udsætte andre for selvinkriminering, som det blandt andet kan udledes af Den Europæiske Menneskerettighedskonventions artikel 6 og § 10 i retssikkerhedsloven.

Det foreslås i stk. 1, nr. 4, at den, der undlader at give markedsovervågningsmyndighederne adgang eller hindrer markedsovervågningsmyndighederne i at foretage tekniske undersøgelser af et AI-system efter § 6, stk. 1 og 2, straffes med bøde, medmindre højere straf er forskyldt efter anden lovgivning.

Med den foreslåede bestemmelse sikres det, at det kan sanktioneres, hvis de fysiske og juridiske personer, som er omfattet af artikel 2, stk. 1, litra a-f, i forordningen om kunstig intelligens, ikke giver markedsovervågningsmyndigheden adgang til lokaliteter omfattet af den foreslåede § 6, stk. 1. Tilsvarende sikres det, at det kan sanktioneres, hvis de fysiske og juridiske personer, som er omfattet af artikel 2, stk. 1, litra a-f, i forordningen om kunstig intelligens, hindrer markedsovervågningsmyndigheden i at foretage tekniske undersøgelser af et AI-system på stedet.

Eksempelvis kan der sanktioneres, hvis en kontrolunderlagt nægter at udlevere adgangskoder, som markedsovervågningsmyndigheden skal bruge for at få adgang til nødvendige oplysninger på en computerterminal eller server. Tilsvarende kan det sanktioneres, hvis den kontrolunderlagte krypterer alle oplysninger, så myndighederne skal omgå krypteringen for at få adgang. Endvidere kan der sanktioneres ved fysisk hindring, f.eks. hvis den kontrolunderlagte blokerer adgangen til lokaliteter, som markedsovervågningsmyndigheden har behov for at tilgå i forbindelse med deres undersøgelser.

Det foreslås endeligt i stk. 1, nr. 5, at den, der undlader at efterkomme påbud eller forbud efter § 8, kan straffes med bøde.

Med den foreslåede bestemmelse vil eksempelvis et midlertidigt forbud om at tilgængeliggøre et AI-system, der er udstedt af markedsovervågningsmyndighederne efter § 8, stk. 2, således kunne medføre bødestraf, medmindre højere straf er forskyldt efter anden lovgivning.

Det bemærkes, at strafudmålingen for overtrædelser omfattet af § 10, stk. 1, skal følge artikel 99, stk. 7, i forordningen om kunstig intelligens. Det indebærer, at der i hver enkelt sag skal tages behørigt hensyn til de oplistede hensyn i artikel 99, stk. 7, i forordningen om kunstig intelligens. Der skal eksempelvis tages hensyn til overtrædelsens art, grovhed og varighed, om der er andre skærpende eller formildende faktorer ved sagens omstændigheder såsom opnåede økonomiske fordele eller undgåede tab som direkte eller indirekte følge af overtrædelsen, den måde, hvorpå de nationale kompetente myndigheder fik kendskab til overtrædelsen, navnlig om operatøren har underrettet om overtrædelsen og i givet fald i hvilket omfang. Straffelovens § 51, stk. 3 og 10. kapitel om straffens fastsættelse finder i øvrigt anvendelse.

Der henvises i øvrigt til pkt. 2.4.2.2 i lovforslagets almindelige bemærkninger om udmøntningen af forordningens bestemmelser om administrative bøder i dansk ret.

Det foreslås i stk. 2, at i forskrifter, der udstedes i medfør af loven, kan der fastsættes straf af bøde for overtrædelse af bestemmelser i forskrifterne.

Forslaget indebærer således, at der er adgang til at fastsætte straffebestemmelser i forskrifter, der udstedes i medfør af loven, herunder ved manglende overholdelse af udstedte forbud.

Det foreslås i stk. 3, at der kan pålægges selskaber m.v. (juridiske personer) strafansvar efter reglerne i straffelovens 5. kapitel.

Det bemærkes, at det fremgår af artikel 99, stk. 8, i forordningen om kunstig intelligens, at hver medlemsstat fastsætter regler om, i hvilket omfang administrative bøder kan pålægges offentlige myndigheder og organer, der er etableret i den pågældende medlemsstat.

Statslige myndigheder og kommuner kan ifølge straffelovens § 27, stk. 2, alene straffes i anledning af overtrædelser, der begås ved udøvelse af virksomhed, der svarer til eller kan sidestilles med virksomhed udøvet af private. Offentlige myndigheder kan således alene ifalde strafansvar efter reglerne i straffelovens kapitel 5, i det omfang myndigheden optræder på en måde, der kan sammenlignes med virksomhed, der udøves af en privatperson eller af et selskab, det vil sige i egenskab af driftsherre.

Reglerne i straffelovens kapitel 5 omfatter derimod ikke lovovertrædelser, der begås som led i myndighedsudøvelse. I sådanne tilfælde kan der alene blive tale om personligt strafansvar for de ansvarlige enkeltpersoner.

Det foreslås i stk. 4, at forældelsesfristen for overtrædelse af forordningen om kunstig intelligens, denne lov, eller regler udstedt i medfør heraf er 5 år.

Af straffelovens § 93, stk. 1, følger de almindelige forældelsesfrister for strafbare lovovertrædelser, der skal beregnes efter det strafmaksimum, der er foreskrevet for lovovertrædelsen. Det er således strafferammen for den pågældende lovovertrædelse og ikke den konkrete forskyldte straf, som er afgørende for beregningen af forældelsesfristen. Forældelsesfristen er efter straffelovens § 93, stk. 11, 2 år, når der ikke er hjemlet højere straf end fængsel i 1 år for overtrædelsen.

Den foreslåede bestemmelse vil indebære, at forældelsesfristen for overtrædelse af den foreslåede lov, regler udstedt i medfør af loven eller forordningen om kunstig intelligens fastsættes til 5 år, under hensyntagen til, at de omfattede straffesager kan antage en vis størrelse og kompleksitet.

Der henvises i øvrigt til pkt. 2.4.2 i lovforslagets almindelige bemærkninger.

Til § 11

Der er på nuværende tidspunkt ikke fastsat regler i dansk ret om udstedelse af administrative bødeforelæg for overtrædelse af regler i forordningen om kunstig intelligens.

Det følger af artikel 99, stk. 3, i forordningen om kunstig intelligens, at ved manglende overholdelse af forbud mod de i artikel 5 anførte former for AI-praksis straffes overtrædelsen med administrative bøder på op til 35.000.000 EUR eller, hvis lovovertræderen er en virksomhed, op til 7 % af dens samlede globale årlige omsætning i det foregående regnskabsår, alt efter hvilket beløb der er størst.

Det foreslås i stk. 1, at ministeren for digitalisering efter forhandling med justitsministeren kan fastsætte regler om, at markedsovervågningsmyndigheder i nærmere angivne sager om overtrædelse af forordningen om kunstig intelligens, loven eller regler udstedt i medfør heraf i et bødeforelæg kan tilkendegive, at sagen kan afgøres uden retssag. Det er en betingelse, at den, der har begået overtrædelsen, erklærer sig skyldig i overtrædelsen og erklærer sig rede til inden en nærmere angivet frist at betale bøden, som er angivet i bødeforelægget.

Kompetencen i stk. 1 gælder alene ved åbenbare og objektivt konstaterbare overtrædelser, hvor overtrædelserne generelt er ensartede og ukomplicerede og uden bevismæssige tvivlsspørgsmål, og hvor bødeudmålingen ligger fast.

Bemyndigelsesbestemmelsen vil kun kunne anvendes efter forhandling med justitsministeren. Hertil er det en betingelse, at der skal være tale om sager, der er enkle og ukomplicerede uden bevistvivl eller tvivl om sanktionsniveau for normalbøder i førstegangstilfælde i forskellige situationer, er opfyldt. Bestemmelsen forventes først at kunne anvendes, når der er etableret en omfattende tilsynspraksis, som gør det muligt at afgøre, hvilke sager der kan leve op til disse betingelser.

Der vil kunne udstedes administrative bødeforelæg til såvel fysiske som juridiske personer. Bestemmelsen retter sig kun mod sager, hvor den, der har begået det strafbare forhold, tilstår det strafbare forhold. I tilfælde, hvor den, der har begået overtrædelsen, ikke erklærer sig rede til at betale bøden inden en nærmere angivet frist, vil domstolene afgøre bødespørgsmålet. I sådanne tilfælde vil den relevante nationale kompetente myndighed skulle indgive politianmeldelse sammen med en redegørelse for den nationale kompetente myndigheds vurdering, herunder en vurdering af niveauet for bøden.

Det foreslås i stk. 2, at retsplejelovens regler om krav til indholdet af et anklageskrift og om, at en sigtet ikke er forpligtet til at udtale sig, tilsvarende finder anvendelse på bødeforelæg.

Henvisningen til retsplejelovens regler indebærer for det første, at bødeforelægget skal opfylde de krav, der fremgår af retsplejelovens § 834, stk. 1, nr. 2 og 3, og stk. 2. Bødeforelægget skal således blandt andet angive den regel, der påstås overtrådt, og lovovertrædelsens kendetegn, som de fremgår af reglen, lovovertrædelsens navn, hvis loven indeholder angivelse heraf, straffehjemlen og en kort beskrivelse af det forhold, der påstås begået, med sådan angivelse af tid, sted, genstand, udførelsesmåde og andre nærmere omstændigheder, som er nødvendige for en tilstrækkelig tydelig beskrivelse.

Henvisningen til retsplejelovens regler indebærer for det andet, at den, der påstås at have begået overtrædelsen, ikke har pligt til at udtale sig, og at den pågældende skal vejledes herom.

Det foreslås i stk. 3, at hvis bøden betales i rette tid, eller bliver inddrevet efter vedtagelsen eller afsonet, bortfalder videre forfølgning. Vedtagelsen har samme gentagelsesvirkning som en dom.

Der henvises i øvrigt til pkt. 2.4.2 i lovforslagets almindelige bemærkninger.

Til § 12

Det foreslås i lovforslagets § 12, at loven træder i kraft den 2. august 2025. Med den foreslåede ikrafttrædelsesdato fraviges udgangspunktet om to årlige ikrafttrædelsesdatoer for erhvervsrettet lovgivning. Udgangspunktet fraviges, fordi det følger af Danmarks EU-retlige forpligtelser, at de nationale regler skal træde i kraft på et bestemt tidspunkt.

Det følger af artikel 113, litra b, i forordningen om kunstig intelligens, at en række regler finder anvendelse fra den 2. august 2025.

Kapitel II om forbudte former for AI-praksis finder imidlertid allerede anvendelse fra den 2. februar 2025 i henhold til artikel 113, litra a. Reglerne i denne lov foreslås at træde i kraft på det tidspunkt, hvor forbudte former for AI-praksis kan medføre sanktioner i henhold til kapitel III om sanktioner, der finder anvendelse fra den 2. august 2025.

På den baggrund foreslås den 2. august 2025 som ikrafttrædelsesdato.

Til § 13

Det foreslås i § 13, at loven ikke skal gælde for Færøerne og Grønland.