1. This Regulation applies to:
1. Denne forordning finder anvendelse på:
(a)
providers placing on the market or putting into service AI systems or placing on the market general-purpose AI models in the Union, irrespective of whether those providers are established or located within the Union or in a third country;
a)
udbydere, der bringer AI-systemer i omsætning eller ibrugtager sådanne eller bringer AI-modeller til almen brug i omsætning i Unionen, uanset om disse udbydere er etableret eller befinder sig i Unionen eller i et tredjeland
(b)
deployers of AI systems that have their place of establishment or are located within the Union;
b)
idriftsættere af AI-systemer, der er etableret eller befinder sig i Unionen
(c)
providers and deployers of AI systems that have their place of establishment or are located in a third country, where the output produced by the AI system is used in the Union;
c)
udbydere og idriftsættere af AI-systemer, der er etableret eller befinder sig i et tredjeland, hvis det output, der produceres af systemet, anvendes i Unionen
(d)
importers and distributors of AI systems;
d)
importører og distributører af AI-systemer
(e)
product manufacturers placing on the market or putting into service an AI system together with their product and under their own name or trademark;
e)
producenter af et produkt, der sammen med deres produkt og under eget navn eller varemærke bringer et AI-system i omsætning eller ibrugtager det
(f)
authorised representatives of providers, which are not established in the Union;
f)
bemyndigede repræsentanter for udbydere, der ikke er etableret i Unionen
(g)
affected persons that are located in the Union.
g)
berørte personer, der befinder sig i Unionen.
2. For AI systems classified as high-risk AI systems in accordance with Article 6(1) related to products covered by the Union harmonisation legislation listed in Section B of Annex I, only Article 6(1), Articles 102 to 109 and Article 112 apply. Article 57 applies only in so far as the requirements for high-risk AI systems under this Regulation have been integrated in that Union harmonisation legislation.
2. For så vidt angår AI-systemer, der er klassificeret som højrisiko-AI-systemer i overensstemmelse med artikel 6, stk. 1, i forbindelse med produkter, der er omfattet af EU-harmoniseringslovgivningen opført i bilag I, afsnit B, finder kun artikel 6, stk. 1, og artikel 102-109 og 112 anvendelse. Artikel 57 finder kun anvendelse, for så vidt kravene til højrisiko-AI-systemer i henhold til denne forordning er blevet integreret i den pågældende EU-harmoniseringslovgivning.
3. This Regulation does not apply to areas outside the scope of Union law, and shall not, in any event, affect the competences of the Member States concerning national security, regardless of the type of entity entrusted by the Member States with carrying out tasks in relation to those competences.
3. Denne forordning finder ikke anvendelse på områder, der falder uden for EU-rettens anvendelsesområde, og berører under alle omstændigheder ikke medlemsstaternes kompetencer vedrørende national sikkerhed, uanset hvilken type enhed medlemsstaterne har bemyndiget til at udføre opgaver i forbindelse med disse kompetencer.
This Regulation does not apply to AI systems where and in so far they are placed on the market, put into service, or used with or without modification exclusively for military, defence or national security purposes, regardless of the type of entity carrying out those activities.
Denne forordning finder ikke anvendelse på AI-systemer, hvis og i det omfang de bringes i omsætning, ibrugtages eller anvendes med eller uden ændring til formål, der udelukkende vedrører militær, forsvar eller national sikkerhed, uanset hvilken type enhed der udfører disse aktiviteter.
This Regulation does not apply to AI systems which are not placed on the market or put into service in the Union, where the output is used in the Union exclusively for military, defence or national security purposes, regardless of the type of entity carrying out those activities.
Denne forordning finder ikke anvendelse på AI-systemer, der ikke bringes i omsætning eller ibrugtages i Unionen, hvis outputtet anvendes i Unionen til formål, der udelukkende vedrører militær, forsvar eller national sikkerhed, uanset hvilken type enhed der udfører disse aktiviteter.
4. This Regulation applies neither to public authorities in a third country nor to international organisations falling within the scope of this Regulation pursuant to paragraph 1, where those authorities or organisations use AI systems in the framework of international cooperation or agreements for law enforcement and judicial cooperation with the Union or with one or more Member States, provided that such a third country or international organisation provides adequate safeguards with respect to the protection of fundamental rights and freedoms of individuals.
4. Denne forordning finder hverken anvendelse på offentlige myndigheder i tredjelande eller internationale organisationer, der er omfattet af denne forordnings anvendelsesområde, jf. stk. 1, hvis disse myndigheder eller organisationer anvender AI-systemer inden for rammerne af internationalt samarbejde eller internationale aftaler om retshåndhævelse og retligt samarbejde med Unionen eller med en eller flere medlemsstater, forudsat at et sådant tredjeland eller en sådan international organisation træffer tilstrækkelige sikkerhedsforanstaltninger med hensyn til beskyttelsen af fysiske personers grundlæggende rettigheder og friheder.
5. This Regulation shall not affect the application of the provisions on the liability of providers of intermediary services as set out in Chapter II of Regulation (EU) 2022/2065.
5. Denne forordning berører ikke anvendelsen af bestemmelserne om udbydere af formidlingstjenesters ansvar som fastsat i kapitel II i forordning (EU) 2022/2065.
6. This Regulation does not apply to AI systems or AI models, including their output, specifically developed and put into service for the sole purpose of scientific research and development.
6. Denne forordning finder ikke anvendelse på AI-systemer eller AI-modeller, herunder deres output, som specifikt er udviklet og ibrugtaget udelukkende med henblik på videnskabelig forskning og udvikling.
7. Union law on the protection of personal data, privacy and the confidentiality of communications applies to personal data processed in connection with the rights and obligations laid down in this Regulation. This Regulation shall not affect Regulation (EU) 2016/679 or (EU) 2018/1725, or Directive 2002/58/EC or (EU) 2016/680, without prejudice to Article 10(5) and Article 59 of this Regulation.
7. EU-retten om beskyttelse af personoplysninger, privatlivets fred og kommunikationshemmeligheden finder anvendelse på personoplysninger, som behandles i forbindelse med de rettigheder og forpligtelser, der er fastsat i denne forordning. Denne forordning berører ikke forordning (EU) 2016/679 eller (EU) 2018/1725 eller direktiv 2002/58/EF eller (EU) 2016/680, uden at det berører nærværende forordnings artikel 10, stk. 5, og artikel 59.
8. This Regulation does not apply to any research, testing or development activity regarding AI systems or AI models prior to their being placed on the market or put into service. Such activities shall be conducted in accordance with applicable Union law. Testing in real world conditions shall not be covered by that exclusion.
8. Denne forordning finder ikke anvendelse på forsknings-, afprøvnings- eller udviklingsaktiviteter vedrørende AI-systemer eller AI-modeller, inden de bringes i omsætning eller ibrugtages. Sådanne aktiviteter gennemføres i overensstemmelse med gældende EU-ret. Afprøvning under faktiske forhold er ikke omfattet af denne undtagelse.
9. This Regulation is without prejudice to the rules laid down by other Union legal acts related to consumer protection and product safety.
9. Denne forordning berører ikke de regler, der er fastsat i andre EU-retsakter vedrørende forbrugerbeskyttelse og produktsikkerhed.
10. This Regulation does not apply to obligations of deployers who are natural persons using AI systems in the course of a purely personal non-professional activity.
10. Denne forordning finder ikke anvendelse på forpligtelser for idriftsættere, som er fysiske personer, der anvender AI-systemer som led i rent personlige ikkeerhvervsmæssige aktiviteter.
11. This Regulation does not preclude the Union or Member States from maintaining or introducing laws, regulations or administrative provisions which are more favourable to workers in terms of protecting their rights in respect of the use of AI systems by employers, or from encouraging or allowing the application of collective agreements which are more favourable to workers.
11. Denne forordning er ikke til hinder for, at Unionen eller medlemsstaterne opretholder eller indfører love, forskrifter eller administrative bestemmelser, der er gunstigere for arbejdstagerne med hensyn til beskyttelse af deres rettigheder i forbindelse med arbejdsgivernes anvendelse af AI-systemer, eller tilskynder til eller tillader anvendelse af kollektive overenskomster, der er gunstigere for arbejdstagerne.
12. This Regulation does not apply to AI systems released under free and open-source licences, unless they are placed on the market or put into service as high-risk AI systems or as an AI system that falls under Article 5 or 50.
12. Denne forordning finder ikke anvendelse på AI-systemer, der frigives i henhold til gratis open source-licenser, medmindre de bringes i omsætning eller ibrugtages som højrisiko-AI-systemer eller et AI-system, der er omfattet af artikel 5 eller 50.
Forbudte former for AI-praksis
1. The following AI practices shall be prohibited:
1. Følgende former for AI-praksis er forbudt:
(a)
the placing on the market, the putting into service or the use of an AI system that deploys subliminal techniques beyond a person’s consciousness or purposefully manipulative or deceptive techniques, with the objective, or the effect of materially distorting the behaviour of a person or a group of persons by appreciably impairing their ability to make an informed decision, thereby causing them to take a decision that they would not have otherwise taken in a manner that causes or is reasonably likely to cause that person, another person or group of persons significant harm;
a)
omsætning, ibrugtagning eller anvendelse af et AI-system, der anvender subliminale teknikker, der rækker ud over den menneskelige bevidsthed, eller bevidst manipulerende eller vildledende teknikker med henblik på eller med det resultat i væsentlig grad at fordreje en persons eller en gruppe af personers adfærd ved betydeligt at hæmme dennes evne til at træffe informerede beslutninger, hvilket får dem til at træffe en beslutning, som de ellers ikke ville have truffet, på en måde, der forvolder eller med rimelig sandsynlighed vil forvolde den pågældende person, en anden person eller en gruppe af personer betydelig skade
(b)
the placing on the market, the putting into service or the use of an AI system that exploits any of the vulnerabilities of a natural person or a specific group of persons due to their age, disability or a specific social or economic situation, with the objective, or the effect, of materially distorting the behaviour of that person or a person belonging to that group in a manner that causes or is reasonably likely to cause that person or another person significant harm;
b)
omsætning, ibrugtagning eller anvendelse af et AI-system, der hos en fysisk person eller en specifik gruppe af personer udnytter sårbarheder på grundlag af alder, handicap eller en særlig social eller økonomisk situation med henblik på eller med det resultat i væsentlig grad at fordreje den pågældende persons eller en til gruppen hørende persons adfærd på en måde, der forvolder eller med rimelig sandsynlighed vil forvolde den pågældende person eller en anden person betydelig skade
(c)
the placing on the market, the putting into service or the use of AI systems for the evaluation or classification of natural persons or groups of persons over a certain period of time based on their social behaviour or known, inferred or predicted personal or personality characteristics, with the social score leading to either or both of the following:
c)
omsætning, ibrugtagning eller anvendelse af AI-systemer til evaluering eller klassificering af fysiske personer eller grupper af personer over en given periode på grundlag af deres sociale adfærd eller kendte, udledte eller forudsagte personlige egenskaber eller personlighedstræk, således at den sociale bedømmelse fører til et af eller begge følgende udfald:
(i)
detrimental or unfavourable treatment of certain natural persons or groups of persons in social contexts that are unrelated to the contexts in which the data was originally generated or collected;
i)
skadelig eller ugunstig behandling af visse fysiske personer eller grupper af personer i sociale sammenhænge, som ikke har noget at gøre med de sammenhænge, i hvilke dataene oprindeligt blev genereret eller indsamlet
(ii)
detrimental or unfavourable treatment of certain natural persons or groups of persons that is unjustified or disproportionate to their social behaviour or its gravity;
ii)
skadelig eller ugunstig behandling af visse fysiske personer eller grupper af personer, som er uberettiget eller uforholdsmæssig i forhold til deres sociale adfærd eller betydningen heraf
(d)
the placing on the market, the putting into service for this specific purpose, or the use of an AI system for making risk assessments of natural persons in order to assess or predict the risk of a natural person committing a criminal offence, based solely on the profiling of a natural person or on assessing their personality traits and characteristics; this prohibition shall not apply to AI systems used to support the human assessment of the involvement of a person in a criminal activity, which is already based on objective and verifiable facts directly linked to a criminal activity;
d)
omsætning, ibrugtagning til dette specifikke formål eller anvendelse af et AI-system til at foretage risikovurderinger af fysiske personer for at vurdere eller forudsige risikoen for, at en fysisk person begår en strafbar handling, hvilket alene er baseret på profilering af en fysisk person eller en vurdering af deres personlighedstræk og personlige egenskaber; dette forbud finder ikke anvendelse på AI-systemer, der anvendes til at understøtte den menneskelige vurdering af en persons involvering i en kriminel aktivitet, som allerede er baseret på objektive og verificerbare kendsgerninger, der er direkte knyttet til en kriminel aktivitet
(e)
the placing on the market, the putting into service for this specific purpose, or the use of AI systems that create or expand facial recognition databases through the untargeted scraping of facial images from the internet or CCTV footage;
e)
omsætning, ibrugtagning til dette specifikke formål eller anvendelse af AI-systemer, der opretter eller udvider ansigtsgenkendelsesdatabaser gennem ikkemålrettet indsamling af ansigtsbilleder fra internettet eller kameraovervågning
(f)
the placing on the market, the putting into service for this specific purpose, or the use of AI systems to infer emotions of a natural person in the areas of workplace and education institutions, except where the use of the AI system is intended to be put in place or into the market for medical or safety reasons;
f)
omsætning, ibrugtagning til dette specifikke formål eller anvendelse af AI-systemer til at udlede følelser hos en fysisk person på arbejdspladser og uddannelsesinstitutioner, undtagen hvis anvendelsen af AI-systemet er tilsigtet at blive bragt i omsætning af medicinske eller sikkerhedsmæssige årsager
(g)
the placing on the market, the putting into service for this specific purpose, or the use of biometric categorisation systems that categorise individually natural persons based on their biometric data to deduce or infer their race, political opinions, trade union membership, religious or philosophical beliefs, sex life or sexual orientation; this prohibition does not cover any labelling or filtering of lawfully acquired biometric datasets, such as images, based on biometric data or categorizing of biometric data in the area of law enforcement;
g)
omsætning, ibrugtagning til dette specifikke formål eller anvendelse af systemer til biometrisk kategorisering, som kategoriserer fysiske personer individuelt på grundlag af deres biometriske data med henblik på at udlede deres race, politiske anskuelser, fagforeningsmedlemskab, religiøse eller filosofiske overbevisning, seksuelle forhold eller seksuelle orientering; dette forbud omfatter ikke mærkning eller filtrering af lovligt indhentede biometriske datasæt såsom billeder på grundlag af biometriske data eller kategorisering af biometriske data på retshåndhævelsesområdet
(h)
the use of ‘real-time’ remote biometric identification systems in publicly accessible spaces for the purposes of law enforcement, unless and in so far as such use is strictly necessary for one of the following objectives:
h)
anvendelse af systemer til biometrisk fjernidentifikation i realtid på offentlige steder med henblik på retshåndhævelse, medmindre og i det omfang en sådan anvendelse er strengt nødvendig til et af følgende formål:
(i)
the targeted search for specific victims of abduction, trafficking in human beings or sexual exploitation of human beings, as well as the search for missing persons;
i)
målrettet eftersøgning af specifikke ofre for bortførelse, menneskehandel eller seksuel udnyttelse af mennesker samt eftersøgning af forsvundne personer
(ii)
the prevention of a specific, substantial and imminent threat to the life or physical safety of natural persons or a genuine and present or genuine and foreseeable threat of a terrorist attack;
ii)
forebyggelse af en specifik, væsentlig og overhængende trussel mod fysiske personers liv eller fysiske sikkerhed eller en reel og aktuel eller reel og forudsigelig trussel om et terrorangreb
(iii)
the localisation or identification of a person suspected of having committed a criminal offence, for the purpose of conducting a criminal investigation or prosecution or executing a criminal penalty for offences referred to in Annex II and punishable in the Member State concerned by a custodial sentence or a detention order for a maximum period of at least four years.
iii)
lokalisering eller identifikation af en person, der mistænkes for at have begået en strafbar handling, med henblik på en strafferetlig efterforskning af eller retsforfølgning eller fuldbyrdelse af en strafferetlig sanktion for overtrædelser, der er omhandlet i bilag II, og som i den pågældende medlemsstat kan straffes med frihedsstraf eller en anden frihedsberøvende foranstaltning af en maksimal varighed på mindst fire år.
Point (h) of the first subparagraph is without prejudice to Article 9 of Regulation (EU) 2016/679 for the processing of biometric data for purposes other than law enforcement.
Første afsnit, litra h), berører ikke artikel 9 i forordning (EU) 2016/679 med hensyn til behandling af biometriske data til andre formål end retshåndhævelse.
2. The use of ‘real-time’ remote biometric identification systems in publicly accessible spaces for the purposes of law enforcement for any of the objectives referred to in paragraph 1, first subparagraph, point (h), shall be deployed for the purposes set out in that point only to confirm the identity of the specifically targeted individual, and it shall take into account the following elements:
2. Anvendelsen af systemer til biometrisk fjernidentifikation i realtid på offentlige steder med henblik på retshåndhævelse til et af de i stk. 1, første afsnit, litra h), omhandlede formål må kun idriftsættes til de formål, der er fastsat i nævnte litra, for at bekræfte den specifikt målrettede persons identitet og skal tage hensyn til følgende elementer:
(a)
the nature of the situation giving rise to the possible use, in particular the seriousness, probability and scale of the harm that would be caused if the system were not used;
a)
karakteren af den situation, der giver anledning til den mulige anvendelse, navnlig alvorligheden, sandsynligheden og omfanget af den skade, der ville blive forvoldt, hvis systemet ikke blev anvendt
(b)
the consequences of the use of the system for the rights and freedoms of all persons concerned, in particular the seriousness, probability and scale of those consequences.
b)
konsekvenserne for alle de berørte personers rettigheder og friheder, navnlig alvorligheden, sandsynligheden og omfanget af disse konsekvenser, hvis systemet anvendes.
In addition, the use of ‘real-time’ remote biometric identification systems in publicly accessible spaces for the purposes of law enforcement for any of the objectives referred to in paragraph 1, first subparagraph, point (h), of this Article shall comply with necessary and proportionate safeguards and conditions in relation to the use in accordance with the national law authorising the use thereof, in particular as regards the temporal, geographic and personal limitations. The use of the ‘real-time’ remote biometric identification system in publicly accessible spaces shall be authorised only if the law enforcement authority has completed a fundamental rights impact assessment as provided for in Article 27 and has registered the system in the EU database according to Article 49. However, in duly justified cases of urgency, the use of such systems may be commenced without the registration in the EU database, provided that such registration is completed without undue delay.
Ved anvendelse af systemer til biometrisk fjernidentifikation i realtid på offentlige steder med henblik på retshåndhævelse til et af de i denne artikels stk. 1, første afsnit, litra h), omhandlede formål overholdes desuden nødvendige og forholdsmæssige sikkerhedsforanstaltninger og betingelser vedrørende anvendelsen i overensstemmelse med den nationale ret, der tillader anvendelse heraf, navnlig for så vidt angår tidsmæssige, geografiske og personmæssige begrænsninger. Anvendelsen af systemet til biometrisk fjernidentifikation i realtid på offentlige steder tillades kun, hvis den retshåndhævende myndighed har gennemført en konsekvensanalyse vedrørende grundlæggende rettigheder som fastsat i artikel 27 og har registreret systemet i EU-databasen i overensstemmelse med artikel 49. I behørigt begrundede hastende tilfælde kan anvendelsen af sådanne systemer dog påbegyndes uden registrering i EU-databasen, forudsat at registreringen afsluttes uden unødigt ophold.
3. For the purposes of paragraph 1, first subparagraph, point (h) and paragraph 2, each use for the purposes of law enforcement of a ‘real-time’ remote biometric identification system in publicly accessible spaces shall be subject to a prior authorisation granted by a judicial authority or an independent administrative authority whose decision is binding of the Member State in which the use is to take place, issued upon a reasoned request and in accordance with the detailed rules of national law referred to in paragraph 5. However, in a duly justified situation of urgency, the use of such system may be commenced without an authorisation provided that such authorisation is requested without undue delay, at the latest within 24 hours. If such authorisation is rejected, the use shall be stopped with immediate effect and all the data, as well as the results and outputs of that use shall be immediately discarded and deleted.
3. Med henblik på stk. 1, første afsnit, litra h), og stk. 2, er hver anvendelse af et system til biometrisk fjernidentifikation i realtid på offentlige steder med henblik på retshåndhævelse betinget af en forudgående tilladelse, der er udstedt af en judiciel myndighed eller en uafhængig administrativ myndighed, hvis afgørelse er bindende i den medlemsstat, hvor anvendelsen skal finde sted, på grundlag af en begrundet anmodning og i overensstemmelse med de nærmere regler i national ret, jf. stk. 5. I behørigt begrundede hastende tilfælde kan anvendelsen af et sådant system dog påbegyndes uden tilladelse, på betingelse af at der anmodes om en sådan tilladelse uden unødigt ophold og senest inden for 24 timer. Hvis en sådan tilladelse afvises, bringes anvendelsen straks til ophør, og alle data såvel som resultater og output af denne anvendelse kasseres og slettes omgående.
The competent judicial authority or an independent administrative authority whose decision is binding shall grant the authorisation only where it is satisfied, on the basis of objective evidence or clear indications presented to it, that the use of the ‘real-time’ remote biometric identification system concerned is necessary for, and proportionate to, achieving one of the objectives specified in paragraph 1, first subparagraph, point (h), as identified in the request and, in particular, remains limited to what is strictly necessary concerning the period of time as well as the geographic and personal scope. In deciding on the request, that authority shall take into account the elements referred to in paragraph 2. No decision that produces an adverse legal effect on a person may be taken based solely on the output of the ‘real-time’ remote biometric identification system.
Den kompetente judicielle myndighed eller en uafhængig administrativ myndighed, hvis afgørelse er bindende, udsteder kun tilladelsen, hvis den på grundlag af objektive beviser eller klare indikationer, den får forelagt, finder det godtgjort, at anvendelsen af det pågældende system til biometrisk fjernidentifikation i realtid er nødvendig og forholdsmæssig for at opfylde et af de i stk. 1, første afsnit, litra h), anførte formål som anført i anmodningen og navnlig fortsat begrænses til, hvad der er strengt nødvendigt for så vidt angår tidsperioden samt det geografiske og personmæssige anvendelsesområde. Når den pågældende myndighed træffer afgørelse om anmodningen, tager den hensyn til de i stk. 2 omhandlede elementer. Der må ikke træffes nogen afgørelse, der har negative retsvirkninger for en person, udelukkende baseret på outputtet af systemet til efterfølgende biometrisk fjernidentifikation i realtid.
4. Without prejudice to paragraph 3, each use of a ‘real-time’ remote biometric identification system in publicly accessible spaces for law enforcement purposes shall be notified to the relevant market surveillance authority and the national data protection authority in accordance with the national rules referred to in paragraph 5. The notification shall, as a minimum, contain the information specified under paragraph 6 and shall not include sensitive operational data.
4. Uden at det berører stk. 3, skal hver anvendelse af et system til biometrisk fjernidentifikation i realtid på offentlige steder med henblik på retshåndhævelse meddeles den relevante markedsovervågningsmyndighed og den nationale databeskyttelsesmyndighed i overensstemmelse med de nationale regler, jf. stk. 5. Meddelelsen skal som minimum indeholde de oplysninger, der er anført i stk. 6, og må ikke indeholde følsomme operationelle data.
5. A Member State may decide to provide for the possibility to fully or partially authorise the use of ‘real-time’ remote biometric identification systems in publicly accessible spaces for the purposes of law enforcement within the limits and under the conditions listed in paragraph 1, first subparagraph, point (h), and paragraphs 2 and 3. Member States concerned shall lay down in their national law the necessary detailed rules for the request, issuance and exercise of, as well as supervision and reporting relating to, the authorisations referred to in paragraph 3. Those rules shall also specify in respect of which of the objectives listed in paragraph 1, first subparagraph, point (h), including which of the criminal offences referred to in point (h)(iii) thereof, the competent authorities may be authorised to use those systems for the purposes of law enforcement. Member States shall notify those rules to the Commission at the latest 30 days following the adoption thereof. Member States may introduce, in accordance with Union law, more restrictive laws on the use of remote biometric identification systems.
5. En medlemsstat kan beslutte at give mulighed for helt eller delvist at tillade anvendelse af systemer til biometrisk fjernidentifikation i realtid på offentlige steder med henblik på retshåndhævelse inden for de begrænsninger og på de betingelser, der er nævnt i stk. 1, første afsnit, litra h), og stk. 2 og 3. De pågældende medlemsstater fastsætter i deres nationale ret de nødvendige nærmere regler for anmodning om, udstedelse af og benyttelse af samt tilsyn og indberetning i forbindelse med de i stk. 3 omhandlede tilladelser. Disse regler præciserer også, til hvilke af de i stk. 1, første afsnit, litra h), anførte formål, herunder for hvilke af de i litra h), nr. iii), nævnte strafbare handlinger, de kompetente myndigheder kan få tilladelse til at anvende disse systemer med henblik på retshåndhævelse. Medlemsstaterne meddeler Kommissionen disse regler senest 30 dage efter vedtagelsen heraf. Medlemsstaterne kan i overensstemmelse med EU-retten indføre mere restriktiv lovgivning om anvendelsen af systemer til biometrisk fjernidentifikation.
6. National market surveillance authorities and the national data protection authorities of Member States that have been notified of the use of ‘real-time’ remote biometric identification systems in publicly accessible spaces for law enforcement purposes pursuant to paragraph 4 shall submit to the Commission annual reports on such use. For that purpose, the Commission shall provide Member States and national market surveillance and data protection authorities with a template, including information on the number of the decisions taken by competent judicial authorities or an independent administrative authority whose decision is binding upon requests for authorisations in accordance with paragraph 3 and their result.
6. De nationale markedsovervågningsmyndigheder og de nationale databeskyttelsesmyndigheder i de medlemsstater, der er blevet underrettet om anvendelsen af systemer til biometrisk fjernidentifikation i realtid på offentlige steder med henblik på retshåndhævelse i henhold til stk. 4, forelægger Kommissionen årlige rapporter om en sådan anvendelse. Med henblik herpå stiller Kommissionen efter anmodning om tilladelser i overensstemmelse med stk. 3 og resultatet heraf en skabelon til rådighed for medlemsstaterne og de nationale markedsovervågnings- og databeskyttelsesmyndigheder, herunder oplysninger om antallet af afgørelser, der er truffet af de kompetente judicielle myndigheder eller en uafhængig administrativ myndighed, hvis afgørelse er bindende.
7. The Commission shall publish annual reports on the use of real-time remote biometric identification systems in publicly accessible spaces for law enforcement purposes, based on aggregated data in Member States on the basis of the annual reports referred to in paragraph 6. Those annual reports shall not include sensitive operational data of the related law enforcement activities.
7. Kommissionen offentliggør årlige rapporter om anvendelsen af systemer til biometrisk fjernidentifikation i realtid på offentlige steder med henblik på retshåndhævelse på grundlag af aggregerede data i medlemsstaterne, der bygger på de i stk. 6 omhandlede årlige rapporter. Disse rapporter må ikke indeholde følsomme operationelle data om de tilknyttede retshåndhævelsesaktiviteter.
8. This Article shall not affect the prohibitions that apply where an AI practice infringes other Union law.
8. Denne artikel berører ikke de forbud, der gælder, hvis en form for AI-praksis overtræder anden EU-ret.
Classification rules for high-risk AI systems
Klassificeringsregler for højrisiko-AI-systemer
1. Irrespective of whether an AI system is placed on the market or put into service independently of the products referred to in points (a) and (b), that AI system shall be considered to be high-risk where both of the following conditions are fulfilled:
1. Uanset om et AI-system bringes i omsætning eller ibrugtages uafhængigt af de i litra a) og b) omhandlede produkter, betragtes AI-systemet som højrisiko, hvis begge følgende betingelser er opfyldt:
(a)
the AI system is intended to be used as a safety component of a product, or the AI system is itself a product, covered by the Union harmonisation legislation listed in Annex I;
a)
AI-systemet tilsigtes anvendt som en sikkerhedskomponent i et produkt, eller AI-systemet er i sig selv et produkt, der er omfattet af den EU-harmoniseringslovgivning, der er anført i bilag I.
(b)
the product whose safety component pursuant to point (a) is the AI system, or the AI system itself as a product, is required to undergo a third-party conformity assessment, with a view to the placing on the market or the putting into service of that product pursuant to the Union harmonisation legislation listed in Annex I.
b)
Det produkt, hvis sikkerhedskomponent i henhold til litra a) er AI-systemet, eller AI-systemet selv som et produkt skal underkastes en overensstemmelsesvurdering foretaget af en tredjepart med henblik på omsætning eller ibrugtagning af produktet i henhold til den EU-harmoniseringslovgivning, der er anført i bilag I.
2. In addition to the high-risk AI systems referred to in paragraph 1, AI systems referred to in Annex III shall be considered to be high-risk.
2. Ud over de højrisiko-AI-systemer, der er omhandlet i stk. 1, betragtes de AI-systemer, der er omhandlet i bilag III, også som højrisiko.
3. By derogation from paragraph 2, an AI system referred to in Annex III shall not be considered to be high-risk where it does not pose a significant risk of harm to the health, safety or fundamental rights of natural persons, including by not materially influencing the outcome of decision making.
3. Uanset stk. 2 betragtes et AI-system, der er omhandlet i bilag III, ikke som højrisiko, hvis det ikke udgør en væsentlig risiko for skade på sundheden, sikkerheden eller fysiske personers grundlæggende rettigheder, herunder ved ikke i væsentlig grad at påvirke resultatet af beslutningstagning.
The first subparagraph shall apply where any of the following conditions is fulfilled:
Første afsnit finder anvendelse, hvis enhver af følgende betingelser er opfyldt:
(a)
the AI system is intended to perform a narrow procedural task;
a)
AI-systemet tilsigtes at udføre en snæver proceduremæssig opgave
(b)
the AI system is intended to improve the result of a previously completed human activity;
b)
AI-systemet tilsigtes at forbedre resultatet af en tidligere afsluttet menneskelig aktivitet
(c)
the AI system is intended to detect decision-making patterns or deviations from prior decision-making patterns and is not meant to replace or influence the previously completed human assessment, without proper human review; or
c)
AI-systemet tilsigtes at påvise beslutningsmønstre eller afvigelser fra tidligere beslutningsmønstre og er ikke tiltænkt at skulle erstatte eller påvirke en tidligere afsluttet menneskelig vurdering uden en ordentlig menneskelig gennemgang, eller
(d)
the AI system is intended to perform a preparatory task to an assessment relevant for the purposes of the use cases listed in Annex III.
d)
AI-systemet tilsigtes at udføre en forberedende opgave inden en vurdering, der er relevant for de anvendelsestilfælde, der er anført i bilag III.
Notwithstanding the first subparagraph, an AI system referred to in Annex III shall always be considered to be high-risk where the AI system performs profiling of natural persons.
Uanset første afsnit betragtes et AI-system, der er omhandlet i bilag III, altid som højrisiko, hvis AI-systemet udfører profilering af fysiske personer.
4. A provider who considers that an AI system referred to in Annex III is not high-risk shall document its assessment before that system is placed on the market or put into service. Such provider shall be subject to the registration obligation set out in Article 49(2). Upon request of national competent authorities, the provider shall provide the documentation of the assessment.
4. En udbyder, som finder, at et AI-system, der er omhandlet i bilag III, ikke er højrisiko, skal dokumentere sin vurdering, inden det pågældende system bringes i omsætning eller ibrugtages. En sådan udbyder er underlagt registreringsforpligtelsen i artikel 49, stk. 2. Efter anmodning fra de nationale kompetente myndigheder fremlægger udbyderen dokumentation for vurderingen.
5. The Commission shall, after consulting the European Artificial Intelligence Board (the ‘Board’), and no later than 2 February 2026, provide guidelines specifying the practical implementation of this Article in line with Article 96 together with a comprehensive list of practical examples of use cases of AI systems that are high-risk and not high-risk.
5. Kommissionen udarbejder efter høring af Det Europæiske Udvalg for Kunstig Intelligens (»AI-udvalget«) og senest den 2. februar 2026 retningslinjer, der præciserer den praktiske gennemførelse af denne artikel i overensstemmelse med artikel 96, sammen med en omfattende liste over praktiske eksempler på anvendelsestilfælde af AI-systemer, der er højrisiko og ikke højrisiko.
6. The Commission is empowered to adopt delegated acts in accordance with Article 97 in order to amend paragraph 3, second subparagraph, of this Article by adding new conditions to those laid down therein, or by modifying them, where there is concrete and reliable evidence of the existence of AI systems that fall under the scope of Annex III, but do not pose a significant risk of harm to the health, safety or fundamental rights of natural persons.
6. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 97 for at ændre nærværende artikels stk. 3, andet afsnit, ved at tilføje nye betingelser til dem, der er fastsat i nævnte stykke, eller ved at ændre dem, hvis der foreligger konkret og pålidelig dokumentation for, at der findes AI-systemer, som hører under anvendelsesområdet i bilag III, men som ikke udgør en væsentlig risiko for skade på fysiske personers sundhed, sikkerhed eller grundlæggende rettigheder.
7. The Commission shall adopt delegated acts in accordance with Article 97 in order to amend paragraph 3, second subparagraph, of this Article by deleting any of the conditions laid down therein, where there is concrete and reliable evidence that this is necessary to maintain the level of protection of health, safety and fundamental rights provided for by this Regulation.
7. Kommissionen vedtager delegerede retsakter i overensstemmelse med artikel 97 for at ændre nærværende artikels stk. 3, andet afsnit, ved at lade enhver af de i nævnte stykke fastsatte betingelser udgå, hvis der foreligger konkret og pålidelig dokumentation for, at dette er nødvendigt for at opretholde det beskyttelsesniveauet for sundheden, sikkerheden og de grundlæggende rettigheder, der er fastsat ved denne forordning.
8. Any amendment to the conditions laid down in paragraph 3, second subparagraph, adopted in accordance with paragraphs 6 and 7 of this Article shall not decrease the overall level of protection of health, safety and fundamental rights provided for by this Regulation and shall ensure consistency with the delegated acts adopted pursuant to Article 7(1), and take account of market and technological developments.
8. Enhver ændring af betingelserne i stk. 3, andet afsnit, vedtaget i overensstemmelse med denne artikels stk. 6 og 7, må ikke reducere det overordnede beskyttelsesniveau for sundheden, sikkerheden og de grundlæggende rettigheder, der er fastsat ved denne forordning, og sikrer overensstemmelse med de delegerede retsakter, der er vedtaget i henhold til artikel 7, stk. 1, og tager hensyn til den markedsmæssige og teknologiske udvikling.
1. A risk management system shall be established, implemented, documented and maintained in relation to high-risk AI systems.
1. Hvad angår højrisiko-AI-systemer oprettes og gennemføres der et risikostyringssystem, som dokumenteres og vedligeholdes.
2. The risk management system shall be understood as a continuous iterative process planned and run throughout the entire lifecycle of a high-risk AI system, requiring regular systematic review and updating. It shall comprise the following steps:
2. Risikostyringssystemet skal forstås som en kontinuerlig iterativ proces, der er planlagt og løber i hele højrisiko-AI-systemets livscyklus, og som kræver regelmæssig systematisk gennemgang og opdatering. Det omfatter følgende trin:
(a)
the identification and analysis of the known and the reasonably foreseeable risks that the high-risk AI system can pose to health, safety or fundamental rights when the high-risk AI system is used in accordance with its intended purpose;
a)
kortlægning og analyse af kendte og med rimelighed forudsigelige risici, som højrisiko-AI-systemet kan udgøre for sundheden, sikkerheden eller de grundlæggende rettigheder, når højrisiko-AI-systemet anvendes i overensstemmelse med dets tilsigtede formål
(b)
the estimation and evaluation of the risks that may emerge when the high-risk AI system is used in accordance with its intended purpose, and under conditions of reasonably foreseeable misuse;
b)
vurdering og evaluering af de risici, der kan opstå, når højrisiko-AI-systemet anvendes i overensstemmelse med dets tilsigtede formål og ved fejlanvendelse, der med rimelighed kan forudses
(c)
the evaluation of other risks possibly arising, based on the analysis of data gathered from the post-market monitoring system referred to in Article 72;
c)
evaluering af andre risici, der kan opstå, på grundlag af analyse af data indsamlet fra systemet til overvågning efter omsætningen, jf. artikel 72
(d)
the adoption of appropriate and targeted risk management measures designed to address the risks identified pursuant to point (a).
d)
vedtagelse af passende og målrettede risikostyringsforanstaltninger, der har til formål at imødegå de risici, der er identificeret i henhold til litra a).
3. The risks referred to in this Article shall concern only those which may be reasonably mitigated or eliminated through the development or design of the high-risk AI system, or the provision of adequate technical information.
3. De i denne artikel omhandlede risici vedrører kun dem, der med rimelighed kan afbødes eller fjernes gennem udviklingen eller udformningen af højrisiko-AI-systemet eller tilvejebringelsen af tilstrækkelige tekniske oplysninger.
4. The risk management measures referred to in paragraph 2, point (d), shall give due consideration to the effects and possible interaction resulting from the combined application of the requirements set out in this Section, with a view to minimising risks more effectively while achieving an appropriate balance in implementing the measures to fulfil those requirements.
4. De i stk. 2, litra d), omhandlede risikostyringsforanstaltninger tager behørigt hensyn til virkningerne og eventuelle interaktioner som følge af den kombinerede anvendelse af kravene i denne afdeling med henblik på at minimere risiciene mere effektivt og samtidig opnå en passende balance i gennemførelsen af foranstaltningerne til opfyldelse af disse krav.
5. The risk management measures referred to in paragraph 2, point (d), shall be such that the relevant residual risk associated with each hazard, as well as the overall residual risk of the high-risk AI systems is judged to be acceptable.
5. De i stk. 2, litra d), omhandlede risikostyringsforanstaltninger er af en sådan art, at de relevante resterende risici, der er forbundet med hver fare, samt den samlede resterende risiko ved højrisiko-AI-systemerne vurderes at være acceptabel.
In identifying the most appropriate risk management measures, the following shall be ensured:
I fastlæggelsen af de mest hensigtsmæssige risikostyringsforanstaltninger sikres følgende:
(a)
elimination or reduction of risks identified and evaluated pursuant to paragraph 2 in as far as technically feasible through adequate design and development of the high-risk AI system;
a)
fjernelse eller begrænsning af de risici, der er identificeret og evalueret i henhold til stk. 2, i det omfang det er teknisk muligt, gennem passende udformning og udvikling af højrisiko-AI-systemet
(b)
where appropriate, implementation of adequate mitigation and control measures addressing risks that cannot be eliminated;
b)
om nødvendigt gennemførelse af passende foranstaltninger til afbødning og kontrol, som imødegår risici, der ikke kan fjernes
(c)
provision of information required pursuant to Article 13 and, where appropriate, training to deployers.
c)
tilvejebringelse af de oplysninger, der kræves i henhold til artikel 13, og, hvis det er relevant, træning af idriftsætterne.
With a view to eliminating or reducing risks related to the use of the high-risk AI system, due consideration shall be given to the technical knowledge, experience, education, the training to be expected by the deployer, and the presumable context in which the system is intended to be used.
Med henblik på fjernelse eller begrænsning af risici i forbindelse med anvendelsen af et højrisiko-AI-system tages der behørigt hensyn til den tekniske viden, erfaring, uddannelse og træning, som kan forventes af idriftsætteren, og den formodentlige kontekst, i hvilken systemet tilsigtes anvendt.
6. High-risk AI systems shall be tested for the purpose of identifying the most appropriate and targeted risk management measures. Testing shall ensure that high-risk AI systems perform consistently for their intended purpose and that they are in compliance with the requirements set out in this Section.
6. Højrisiko-AI-systemer afprøves med henblik på at identificere de mest hensigtsmæssige og målrettede risikostyringsforanstaltninger. Afprøvning sikrer, at højrisiko-AI-systemer yder konsistent i overensstemmelse med deres tilsigtede formål og overholder de krav, der er fastsat i denne afdeling.
7. Testing procedures may include testing in real-world conditions in accordance with Article 60.
7. Afprøvningsprocedurerne kan omfatte afprøvning under faktiske forhold i overensstemmelse med artikel 60.
8. The testing of high-risk AI systems shall be performed, as appropriate, at any time throughout the development process, and, in any event, prior to their being placed on the market or put into service. Testing shall be carried out against prior defined metrics and probabilistic thresholds that are appropriate to the intended purpose of the high-risk AI system.
8. Afprøvning af højrisiko-AI-systemer foretages på et hvilket som helst tidspunkt under hele udviklingsprocessen, alt efter hvad der er relevant, og under alle omstændigheder inden de bringes i omsætning eller ibrugtages. Afprøvningen foretages på grundlag af på forhånd definerede parametre og probabilistiske tærskler, der er passende i forhold til det tilsigtede formål med højrisiko-AI-systemet.
9. When implementing the risk management system as provided for in paragraphs 1 to 7, providers shall give consideration to whether in view of its intended purpose the high-risk AI system is likely to have an adverse impact on persons under the age of 18 and, as appropriate, other vulnerable groups.
9. Ved gennemførelsen af det risikostyringssystem, der er fastsat i stk. 1-7, tager udbyderne hensyn til, om der i betragtning af det tilsigtede formål med højrisiko-AI-systemet er sandsynlighed for, at det har en negativ indvirkning på personer under 18 år og i relevant omfang på andre sårbare grupper.
10. For providers of high-risk AI systems that are subject to requirements regarding internal risk management processes under other relevant provisions of Union law, the aspects provided in paragraphs 1 to 9 may be part of, or combined with, the risk management procedures established pursuant to that law.
10. For udbydere af højrisiko-AI-systemer, der er underlagt krav vedrørende interne risikostyringsprocesser i henhold til andre relevante bestemmelser i EU-retten, kan de aspekter, der er fastsat i stk. 1-9, være en del af eller kombineres med de risikostyringsprocedurer, der er fastlagt i henhold til den pågældende ret.
Obligations of deployers of high-risk AI systems
Forpligtelser for idriftsættere af højrisiko-AI-systemer
1. Deployers of high-risk AI systems shall take appropriate technical and organisational measures to ensure they use such systems in accordance with the instructions for use accompanying the systems, pursuant to paragraphs 3 and 6.
1. Idriftsættere af højrisiko-AI-systemer træffer passende tekniske og organisatoriske foranstaltninger for at sikre, at de anvender disse systemer i overensstemmelse med den brugsanvisning, der ledsager systemerne, jf. stk. 3 og 6.
2. Deployers shall assign human oversight to natural persons who have the necessary competence, training and authority, as well as the necessary support.
2. Idriftsættere overdrager varetagelsen af det menneskelige tilsyn til fysiske personer, der har den nødvendige kompetence, uddannelse og myndighed samt den nødvendige støtte.
3. The obligations set out in paragraphs 1 and 2, are without prejudice to other deployer obligations under Union or national law and to the deployer’s freedom to organise its own resources and activities for the purpose of implementing the human oversight measures indicated by the provider.
3. Forpligtelserne i stk. 1 og 2 berører ikke andre idriftsætterforpligtelser i henhold til EU-retten eller national ret eller idriftsætterens frihed til at tilrettelægge sine egne ressourcer og aktiviteter med henblik på at gennemføre de af udbyderen angivne foranstaltninger til menneskeligt tilsyn.
4. Without prejudice to paragraphs 1 and 2, to the extent the deployer exercises control over the input data, that deployer shall ensure that input data is relevant and sufficiently representative in view of the intended purpose of the high-risk AI system.
4. Uden at dette berører stk. 1 og 2, og i det omfang idriftsætteren udøver kontrol over inputdataene, sikrer denne idriftsætter, at inputdataene er relevante og tilstrækkeligt repræsentative med henblik på højrisiko-AI-systemets tilsigtede formål.
5. Deployers shall monitor the operation of the high-risk AI system on the basis of the instructions for use and, where relevant, inform providers in accordance with Article 72. Where deployers have reason to consider that the use of the high-risk AI system in accordance with the instructions may result in that AI system presenting a risk within the meaning of Article 79(1), they shall, without undue delay, inform the provider or distributor and the relevant market surveillance authority, and shall suspend the use of that system. Where deployers have identified a serious incident, they shall also immediately inform first the provider, and then the importer or distributor and the relevant market surveillance authorities of that incident. If the deployer is not able to reach the provider, Article 73 shall apply mutatis mutandis. This obligation shall not cover sensitive operational data of deployers of AI systems which are law enforcement authorities.
5. Idriftsættere overvåger driften af højrisiko-AI-systemet på grundlag af brugsanvisningen og underretter, hvis det er relevant, udbyderne i overensstemmelse med artikel 72. Hvis idriftsættere har grund til at mene, at anvendelsen af højrisiko-AI-systemet i overensstemmelse med anvisningerne kan resultere i, at AI-systemet udgør en risiko som omhandlet i artikel 79, stk. 1, underretter de uden unødigt ophold udbyderen eller distributøren og den relevante markedsovervågningsmyndighed og stiller anvendelsen af dette system i bero. Hvis idriftsættere har konstateret en alvorlig hændelse, underretter de også omgående først udbyderen og dernæst importøren eller distributøren og de relevante markedsovervågningsmyndigheder om den pågældende hændelse. Hvis idriftsætteren ikke er i stand til at kontakte udbyderen, finder artikel 73 tilsvarende anvendelse. Denne forpligtelse omfatter ikke følsomme operationelle data fra idriftsættere af AI-systemer, som er retshåndhævende myndigheder.
For deployers that are financial institutions subject to requirements regarding their internal governance, arrangements or processes under Union financial services law, the monitoring obligation set out in the first subparagraph shall be deemed to be fulfilled by complying with the rules on internal governance arrangements, processes and mechanisms pursuant to the relevant financial service law.
For idriftsættere, der er finansielle institutioner, som er underlagt krav vedrørende deres interne ledelse, ordninger eller processer i henhold til EU-retten om finansielle tjenesteydelser, anses overvågningsforpligtelsen i første afsnit for at være opfyldt ved overholdelse af reglerne om ordninger, processer og mekanismer for intern ledelse i henhold til den relevante ret om finansielle tjenesteydelser.
6. Deployers of high-risk AI systems shall keep the logs automatically generated by that high-risk AI system to the extent such logs are under their control, for a period appropriate to the intended purpose of the high-risk AI system, of at least six months, unless provided otherwise in applicable Union or national law, in particular in Union law on the protection of personal data.
6. Idriftsættere af højrisiko-AI-systemer opbevarer de logfiler, der genereres automatisk af det pågældende højrisiko-AI-system, i det omfang sådanne logfiler er under deres kontrol, i en periode, der er passende i forhold til det tilsigtede formål med højrisiko-AI-systemet, på mindst seks måneder, medmindre andet er fastsat i gældende EU-ret eller national ret, navnlig EU-retten om beskyttelse af personoplysninger.
Deployers that are financial institutions subject to requirements regarding their internal governance, arrangements or processes under Union financial services law shall maintain the logs as part of the documentation kept pursuant to the relevant Union financial service law.
Idriftsættere, der er finansielle institutioner, som er underlagt krav vedrørende deres interne ledelse, ordninger eller processer i henhold til EU-retten om finansielle tjenesteydelser, beholder logfilerne som en del af den dokumentation, der opbevares i henhold til den relevante EU-ret om finansielle tjenesteydelser.
7. Before putting into service or using a high-risk AI system at the workplace, deployers who are employers shall inform workers’ representatives and the affected workers that they will be subject to the use of the high-risk AI system. This information shall be provided, where applicable, in accordance with the rules and procedures laid down in Union and national law and practice on information of workers and their representatives.
7. Inden ibrugtagning eller anvendelse af et højrisiko-AI-system på arbejdspladsen informerer idriftsættere, som er arbejdsgivere, arbejdstagerrepræsentanter og de berørte arbejdstagere om, at de vil være omfattet af anvendelsen af højrisiko-AI-systemet. Denne information forelægges, hvis det er relevant, i overensstemmelse med de regler og procedurer, der er fastsat i EU-retten og EU-praksis og national ret og praksis om informering af arbejdstagere og deres repræsentanter.
8. Deployers of high-risk AI systems that are public authorities, or Union institutions, bodies, offices or agencies shall comply with the registration obligations referred to in Article 49. When such deployers find that the high-risk AI system that they envisage using has not been registered in the EU database referred to in Article 71, they shall not use that system and shall inform the provider or the distributor.
8. Idriftsættere af højrisiko-AI-systemer, der er offentlige myndigheder eller EU-institutioner, -organer, -kontorer eller -agenturer, overholder de registreringsforpligtelser, der er omhandlet i artikel 49. Når sådanne idriftsættere konstaterer, at det højrisiko-AI-system, de påtænker at anvende, ikke er registreret i den EU-database, der er omhandlet i artikel 71, anvender de ikke dette system og underretter leverandøren eller distributøren.
9. Where applicable, deployers of high-risk AI systems shall use the information provided under Article 13 of this Regulation to comply with their obligation to carry out a data protection impact assessment under Article 35 of Regulation (EU) 2016/679 or Article 27 of Directive (EU) 2016/680.
9. Hvis det er relevant, anvender idriftsættere af højrisiko-AI-systemer de oplysninger, der er fastsat i henhold til denne forordnings artikel 13, til at overholde deres forpligtelse til at foretage en konsekvensanalyse vedrørende databeskyttelse i henhold til artikel 35 i forordning (EU) 2016/679 eller artikel 27 i direktiv (EU) 2016/680.
10. Without prejudice to Directive (EU) 2016/680, in the framework of an investigation for the targeted search of a person suspected or convicted of having committed a criminal offence, the deployer of a high-risk AI system for post-remote biometric identification shall request an authorisation, ex ante, or without undue delay and no later than 48 hours, by a judicial authority or an administrative authority whose decision is binding and subject to judicial review, for the use of that system, except when it is used for the initial identification of a potential suspect based on objective and verifiable facts directly linked to the offence. Each use shall be limited to what is strictly necessary for the investigation of a specific criminal offence.
10. Uden at det berører direktiv (EU) 2016/680, anmoder idriftsætteren af et højrisiko-AI-system til efterfølgende biometrisk fjernidentifikation inden for rammerne af en efterforskning med henblik på en målrettet eftersøgning af en person, der er mistænkt eller tiltalt for at have begået en strafbar handling, om tilladelse fra en judiciel myndighed eller en administrativ myndighed, hvis afgørelse er bindende og underlagt domstolskontrol, til på forhånd eller uden unødigt ophold og senest inden for 48 timer at anvende det pågældende system, medmindre det anvendes til indledende identifikation af en potentiel mistænkt på grundlag af objektive og verificerbare kendsgerninger, der er direkte knyttet til overtrædelsen. Hver anvendelse begrænses til, hvad der er strengt nødvendigt for efterforskningen af en specifik strafbar handling.
If the authorisation requested pursuant to the first subparagraph is rejected, the use of the post-remote biometric identification system linked to that requested authorisation shall be stopped with immediate effect and the personal data linked to the use of the high-risk AI system for which the authorisation was requested shall be deleted.
Hvis den tilladelse, der er anmodet om i henhold til første afsnit, afvises, bringes anvendelsen af systemet til efterfølgende biometrisk fjernidentifikation, der er knyttet til denne tilladelse, der anmodes om, straks til ophør, og de personoplysninger, der er knyttet til anvendelsen af det højrisiko-AI-system, som der blev anmodet om tilladelse til, slettes.
In no case shall such high-risk AI system for post-remote biometric identification be used for law enforcement purposes in an untargeted way, without any link to a criminal offence, a criminal proceeding, a genuine and present or genuine and foreseeable threat of a criminal offence, or the search for a specific missing person. It shall be ensured that no decision that produces an adverse legal effect on a person may be taken by the law enforcement authorities based solely on the output of such post-remote biometric identification systems.
Et sådant højrisiko-AI-system til efterfølgende biometrisk fjernidentifikation må under ingen omstændigheder anvendes til retshåndhævelsesformål på en ikkemålrettet måde uden nogen forbindelse til en strafbar handling, en straffesag, en reel og aktuel eller reel og forudsigelig trussel om en strafbar handling eller eftersøgning af en specifik forsvundet person. Det sikres, at der ikke træffes nogen afgørelse, der har negative retsvirkninger for en person, af de retshåndhævende myndigheder, udelukkende baseret på outputtet af sådanne systemer til efterfølgende biometrisk fjernidentifikation.
This paragraph is without prejudice to Article 9 of Regulation (EU) 2016/679 and Article 10 of Directive (EU) 2016/680 for the processing of biometric data.
Dette stykke berører ikke artikel 9 i forordning (EU) 2016/679 og artikel 10 i direktiv (EU) 2016/680 med hensyn til behandling af biometriske data.
Regardless of the purpose or deployer, each use of such high-risk AI systems shall be documented in the relevant police file and shall be made available to the relevant market surveillance authority and the national data protection authority upon request, excluding the disclosure of sensitive operational data related to law enforcement. This subparagraph shall be without prejudice to the powers conferred by Directive (EU) 2016/680 on supervisory authorities.
Uanset formålet eller idriftsætteren skal hver anvendelse af sådanne højrisiko-AI-systemer dokumenteres i det relevante politiregister og efter anmodning stilles til rådighed for den relevante markedsovervågningsmyndighed og den nationale databeskyttelsesmyndighed, undtagen hvis det drejer sig om videregivelse af følsomme operationelle data vedrørende retshåndhævelse. Dette afsnit berører ikke de beføjelser, der tillægges tilsynsmyndighederne ved direktiv (EU) 2016/680.
Deployers shall submit annual reports to the relevant market surveillance and national data protection authorities on their use of post-remote biometric identification systems, excluding the disclosure of sensitive operational data related to law enforcement. The reports may be aggregated to cover more than one deployment.
Idriftsættere forelægger årlige rapporter for de relevante markedsovervågningsmyndigheder og de relevante nationale databeskyttelsesmyndigheder om deres anvendelse af systemer til efterfølgende biometrisk fjernidentifikation, undtagen hvis det drejer sig om videregivelse af følsomme operationelle data vedrørende retshåndhævelse. Rapporterne kan samles for at dække mere end én idriftsættelse.
Member States may introduce, in accordance with Union law, more restrictive laws on the use of post-remote biometric identification systems.
Medlemsstaterne kan i overensstemmelse med EU-retten indføre mere restriktiv lovgivning om anvendelsen af systemer til efterfølgende biometrisk fjernidentifikation.
11. Without prejudice to Article 50 of this Regulation, deployers of high-risk AI systems referred to in Annex III that make decisions or assist in making decisions related to natural persons shall inform the natural persons that they are subject to the use of the high-risk AI system. For high-risk AI systems used for law enforcement purposes Article 13 of Directive (EU) 2016/680 shall apply.
11. Uden at det berører denne forordnings artikel 50, underretter idriftsættere af de i bilag III omhandlede højrisiko-AI-systemer, der træffer beslutninger eller bistår med at træffe beslutninger vedrørende fysiske personer, de fysiske personer om, at de er genstand for anvendelsen af et højrisiko-AI-system. For højrisiko-AI-systemer, der anvendes til retshåndhævelsesformål, finder artikel 13 i direktiv (EU) 2016/680 anvendelse.
12. Deployers shall cooperate with the relevant competent authorities in any action those authorities take in relation to the high-risk AI system in order to implement this Regulation.
12. Idriftsættere samarbejder med de relevante kompetente myndigheder om ethvert tiltag, som disse myndigheder foretager vedrørende højrisiko-AI-systemet, med henblik på gennemførelse af denne forordning.
Requirements relating to notified bodies
Krav vedrørende bemyndigede organer
1. A notified body shall be established under the national law of a Member State and shall have legal personality.
1. Et bemyndiget organ skal oprettes i henhold til national ret i en medlemsstat og være en juridisk person.
2. Notified bodies shall satisfy the organisational, quality management, resources and process requirements that are necessary to fulfil their tasks, as well as suitable cybersecurity requirements.
2. Bemyndigede organer skal opfylde de organisatoriske krav samt de kvalitetsstyrings-, ressource- og procedurekrav, der er nødvendige for at kunne udføre deres opgaver, samt passende cybersikkerhedskrav.
3. The organisational structure, allocation of responsibilities, reporting lines and operation of notified bodies shall ensure confidence in their performance, and in the results of the conformity assessment activities that the notified bodies conduct.
3. Bemyndigede organers organisationsstruktur, ansvarsfordeling, rapporteringsveje og drift skal sikre, at der er tillid til deres arbejde og til resultaterne af de bemyndigede organers overensstemmelsesvurderingsaktiviteter.
4. Notified bodies shall be independent of the provider of a high-risk AI system in relation to which they perform conformity assessment activities. Notified bodies shall also be independent of any other operator having an economic interest in high-risk AI systems assessed, as well as of any competitors of the provider. This shall not preclude the use of assessed high-risk AI systems that are necessary for the operations of the conformity assessment body, or the use of such high-risk AI systems for personal purposes.
4. Bemyndigede organer skal være uafhængige af udbyderen af højrisiko-AI-systemet, i forbindelse med hvilket de udfører overensstemmelsesvurderingsaktiviteter. Bemyndigede organer skal også være uafhængige af alle andre operatører, der har en økonomisk interesse i højrisiko-AI-systemer, der vurderes, og af enhver konkurrent til udbyderen. Dette er ikke til hinder for at anvende vurderede højrisiko-AI-systemer, som er nødvendige for overensstemmelsesvurderingsorganets drift, eller for at anvende sådanne højrisiko-AI-systemer til personlige formål.
5. Neither a conformity assessment body, its top-level management nor the personnel responsible for carrying out its conformity assessment tasks shall be directly involved in the design, development, marketing or use of high-risk AI systems, nor shall they represent the parties engaged in those activities. They shall not engage in any activity that might conflict with their independence of judgement or integrity in relation to conformity assessment activities for which they are notified. This shall, in particular, apply to consultancy services.
5. Hverken overensstemmelsesvurderingsorganet, dets øverste ledelse eller det personale, der er ansvarligt for at udføre dets overensstemmelsesvurderingsopgaver, må være direkte involveret i udformningen, udviklingen, markedsføringen eller anvendelsen af højrisiko-AI-systemer eller repræsentere parter, der deltager i disse aktiviteter. De må ikke deltage i aktiviteter, som kan være i strid med deres objektivitet eller integritet, når de udfører de aktiviteter i forbindelse med overensstemmelsesvurdering, som de er bemyndiget til at udføre. Dette gælder navnlig rådgivningstjenester.
6. Notified bodies shall be organised and operated so as to safeguard the independence, objectivity and impartiality of their activities. Notified bodies shall document and implement a structure and procedures to safeguard impartiality and to promote and apply the principles of impartiality throughout their organisation, personnel and assessment activities.
6. Bemyndigede organer skal være organiseret og arbejde på en sådan måde, at der i deres aktiviteter sikres uafhængighed, objektivitet og uvildighed. Bemyndigede organer skal dokumentere og gennemføre en struktur og procedurer til sikring af uvildighed og til fremme og anvendelse af principperne om uvildighed i hele deres organisation, hos alt deres personale og i alle deres vurderingsaktiviteter.
7. Notified bodies shall have documented procedures in place ensuring that their personnel, committees, subsidiaries, subcontractors and any associated body or personnel of external bodies maintain, in accordance with Article 78, the confidentiality of the information which comes into their possession during the performance of conformity assessment activities, except when its disclosure is required by law. The staff of notified bodies shall be bound to observe professional secrecy with regard to all information obtained in carrying out their tasks under this Regulation, except in relation to the notifying authorities of the Member State in which their activities are carried out.
7. Bemyndigede organer skal have indført dokumenterede procedurer, der sikrer, at deres personale, udvalg, dattervirksomheder, underentreprenører og eventuelle tilknyttede organer eller personale i eksterne organer i overensstemmelse med artikel 78 opretholder fortroligheden af de oplysninger, som de kommer i besiddelse af under udførelsen af overensstemmelsesvurderingsaktiviteterne, undtagen når videregivelse heraf er påbudt ved lov. Bemyndigede organers personale har tavshedspligt med hensyn til alle oplysninger, det kommer i besiddelse af under udførelsen af sine opgaver i henhold til denne forordning, undtagen over for de bemyndigende myndigheder i den medlemsstat, hvor aktiviteterne udføres.
8. Notified bodies shall have procedures for the performance of activities which take due account of the size of a provider, the sector in which it operates, its structure, and the degree of complexity of the AI system concerned.
8. Bemyndigede organer skal have procedurer for udførelsen af aktiviteterne, der tager behørigt hensyn til en udbyders størrelse, til den sektor, som den opererer inden for, til dens struktur og til, hvor kompleks det pågældende AI-system er.
9. Notified bodies shall take out appropriate liability insurance for their conformity assessment activities, unless liability is assumed by the Member State in which they are established in accordance with national law or that Member State is itself directly responsible for the conformity assessment.
9. Bemyndigede organer skal tegne en passende ansvarsforsikring for deres overensstemmelsesvurderingsaktiviteter, medmindre ansvaret i overensstemmelse med national ret ligger hos den medlemsstat, i hvilken de er etableret, eller medlemsstaten selv er direkte ansvarlig for overensstemmelsesvurderingen.
10. Notified bodies shall be capable of carrying out all their tasks under this Regulation with the highest degree of professional integrity and the requisite competence in the specific field, whether those tasks are carried out by notified bodies themselves or on their behalf and under their responsibility.
10. Bemyndigede organer skal være i stand til at udføre alle deres opgaver i henhold til denne forordning med den størst mulige faglige integritet og den nødvendige kompetence på det specifikke område, uanset om disse opgaver udføres af bemyndigede organer selv eller på deres vegne og på deres ansvar.
11. Notified bodies shall have sufficient internal competences to be able effectively to evaluate the tasks conducted by external parties on their behalf. The notified body shall have permanent availability of sufficient administrative, technical, legal and scientific personnel who possess experience and knowledge relating to the relevant types of AI systems, data and data computing, and relating to the requirements set out in Section 2.
11. Bemyndigede organer skal have tilstrækkelige interne kompetencer til at kunne evaluere de opgaver, der udføres af eksterne parter på deres vegne, effektivt. Det bemyndigede organ skal have permanent adgang til tilstrækkeligt administrativt, teknisk, juridisk og videnskabeligt personale med erfaring og viden vedrørende de relevante typer af AI-systemer, de relevante data og den relevante databehandling og vedrørende kravene i afdeling 2.
12. Notified bodies shall participate in coordination activities as referred to in Article 38. They shall also take part directly, or be represented in, European standardisation organisations, or ensure that they are aware and up to date in respect of relevant standards.
12. Bemyndigede organer skal deltage i det koordinerende arbejde, jf. artikel 38. De skal også deltage direkte eller være repræsenteret i de europæiske standardiseringsorganisationer eller sikre, at de har et ajourført kendskab til relevante standarder.
Ændringer af notifikationer
1. The notifying authority shall notify the Commission and the other Member States of any relevant changes to the notification of a notified body via the electronic notification tool referred to in Article 30(2).
1. Den bemyndigende myndighed meddeler Kommissionen og de øvrige medlemsstater alle relevante ændringer i notifikationen af et bemyndiget organ via det elektroniske notifikationsværktøj, der er omhandlet i artikel 30, stk. 2.
2. The procedures laid down in Articles 29 and 30 shall apply to extensions of the scope of the notification.
2. Procedurerne i artikel 29 og 30 finder anvendelse på udvidelser af rammerne for notifikationen.
For changes to the notification other than extensions of its scope, the procedures laid down in paragraphs (3) to (9) shall apply.
Med hensyn til andre ændringer af notifikationen end udvidelser af rammerne for den, finder procedurerne i stk. 3-9 anvendelse.
3. Where a notified body decides to cease its conformity assessment activities, it shall inform the notifying authority and the providers concerned as soon as possible and, in the case of a planned cessation, at least one year before ceasing its activities. The certificates of the notified body may remain valid for a period of nine months after cessation of the notified body’s activities, on condition that another notified body has confirmed in writing that it will assume responsibilities for the high-risk AI systems covered by those certificates. The latter notified body shall complete a full assessment of the high-risk AI systems affected by the end of that nine-month-period before issuing new certificates for those systems. Where the notified body has ceased its activity, the notifying authority shall withdraw the designation.
3. Hvis et bemyndiget organ beslutter at indstille sine overensstemmelsesvurderingsaktiviteter, underretter det den bemyndigende myndighed og udbyderne hurtigst muligt og i tilfælde af planlagt indstilling mindst ét år, inden dets aktiviteter indstilles. Det bemyndigede organs attester kan forblive gyldige i en periode på ni måneder, efter at det bemyndigede organs aktiviteter er indstillet, forudsat at et andet bemyndiget organ skriftligt har bekræftet, at det vil påtage sig ansvaret for de højrisiko-AI-systemer, der er omfattet af disse attester. Sidstnævnte bemyndigede organ foretager en fuld vurdering af de berørte højrisiko-AI-systemer inden udgangen af denne periode på ni måneder, før det udsteder nye attester for disse systemer. Hvis det bemyndigede organ har indstillet sine aktiviteter, trækker den bemyndigende myndighed udpegelsen tilbage.
4. Where a notifying authority has sufficient reason to consider that a notified body no longer meets the requirements laid down in Article 31, or that it is failing to fulfil its obligations, the notifying authority shall without delay investigate the matter with the utmost diligence. In that context, it shall inform the notified body concerned about the objections raised and give it the possibility to make its views known. If the notifying authority comes to the conclusion that the notified body no longer meets the requirements laid down in Article 31 or that it is failing to fulfil its obligations, it shall restrict, suspend or withdraw the designation as appropriate, depending on the seriousness of the failure to meet those requirements or fulfil those obligations. It shall immediately inform the Commission and the other Member States accordingly.
4. Hvis en bemyndigende myndighed har tilstrækkelig grund til at mene, at et bemyndiget organ ikke længere opfylder kravene i artikel 31, eller at det ikke opfylder sine forpligtelser, skal den bemyndigende myndighed hurtigst muligt undersøge sagen med den størst mulige omhu. I den forbindelse skal den underrette det berørte bemyndigede organ om sine indvendinger og giver det mulighed for at tilkendegive sine synspunkter. Hvis en bemyndigende myndighed konkluderer, at det bemyndigede organ ikke længere opfylder kravene i artikel 31, eller at det ikke opfylder sine forpligtelser, skal den begrænse, suspendere eller tilbagetrække udpegelsen, alt efter hvad der er relevant, afhængigt af hvor alvorlig den manglende opfyldelse af kravene eller forpligtelserne er. Den underretter omgående Kommissionen og de øvrige medlemsstater herom.
5. Where its designation has been suspended, restricted, or fully or partially withdrawn, the notified body shall inform the providers concerned within 10 days.
5. Hvis et bemyndiget organs udpegelse er blevet suspenderet, begrænset eller helt eller delvist tilbagetrukket, underretter dette organ de pågældende udbydere inden for ti dage.
6. In the event of the restriction, suspension or withdrawal of a designation, the notifying authority shall take appropriate steps to ensure that the files of the notified body concerned are kept, and to make them available to notifying authorities in other Member States and to market surveillance authorities at their request.
6. Hvis en udpegelse begrænses, suspenderes eller tilbagetrækkes, træffer den bemyndigende myndighed de nødvendige foranstaltninger for at sikre, at det pågældende bemyndigede organs sager opbevares, og for at stille dem til rådighed for bemyndigende myndigheder i andre medlemsstater og for markedsovervågningsmyndighederne efter disses anmodning.
7. In the event of the restriction, suspension or withdrawal of a designation, the notifying authority shall:
7. Hvis en udpegelse begrænses, suspenderes eller tilbagetrækkes, skal den bemyndigende myndighed:
(a)
assess the impact on the certificates issued by the notified body;
a)
vurdere indvirkningen på attester, der er udstedt af det bemyndigede organ
(b)
submit a report on its findings to the Commission and the other Member States within three months of having notified the changes to the designation;
b)
forelægge en rapport om sine resultater til Kommissionen og de øvrige medlemsstater senest tre måneder efter, at den har givet meddelelse om ændringerne af udpegelsen
(c)
require the notified body to suspend or withdraw, within a reasonable period of time determined by the authority, any certificates which were unduly issued, in order to ensure the continuing conformity of high-risk AI systems on the market;
c)
pålægge det bemyndigede organ at suspendere eller tilbagetrække alle de attester, der uretmæssigt er blevet udstedt, inden for en rimelig tidsfrist, der fastsættes af myndigheden, for at sikre, at højrisiko-AI-systemer fortsat er i overensstemmelse hermed på markedet
(d)
inform the Commission and the Member States about certificates the suspension or withdrawal of which it has required;
d)
underrette Kommissionen og medlemsstaterne om attester, som den har kræves suspenderet eller tilbagetrukket
(e)
provide the national competent authorities of the Member State in which the provider has its registered place of business with all relevant information about the certificates of which it has required the suspension or withdrawal; that authority shall take the appropriate measures, where necessary, to avoid a potential risk to health, safety or fundamental rights.
e)
give de nationale kompetente myndigheder i den medlemsstat, hvor udbyderen har sit registrerede forretningssted, alle relevante oplysninger om de attester, for hvilke den har krævet suspension eller tilbagetrækning. Den pågældende myndighed træffer de fornødne foranstaltninger, hvis det er nødvendigt, for at undgå en potentiel risiko for sundhed, sikkerhed eller grundlæggende rettigheder.
8. With the exception of certificates unduly issued, and where a designation has been suspended or restricted, the certificates shall remain valid in one of the following circumstances:
8. Med undtagelse af uretmæssigt udstedte attester og i tilfælde, hvor en udpegelse er blevet inddraget eller begrænset, vedbliver attesterne med at være gyldige i et af følgende tilfælde:
(a)
the notifying authority has confirmed, within one month of the suspension or restriction, that there is no risk to health, safety or fundamental rights in relation to certificates affected by the suspension or restriction, and the notifying authority has outlined a timeline for actions to remedy the suspension or restriction; or
a)
den bemyndigende myndighed har senest én måned efter suspensionen eller begrænsningen bekræftet, at der ikke er nogen risiko for sundhed, sikkerhed eller grundlæggende rettigheder vedrørende attester, der er berørt af suspensionen eller begrænsningen, og den bemyndigende myndighed har anført en frist for tiltag til at afhjælpe suspensionen eller begrænsningen, eller
(b)
the notifying authority has confirmed that no certificates relevant to the suspension will be issued, amended or re-issued during the course of the suspension or restriction, and states whether the notified body has the capability of continuing to monitor and remain responsible for existing certificates issued for the period of the suspension or restriction; in the event that the notifying authority determines that the notified body does not have the capability to support existing certificates issued, the provider of the system covered by the certificate shall confirm in writing to the national competent authorities of the Member State in which it has its registered place of business, within three months of the suspension or restriction, that another qualified notified body is temporarily assuming the functions of the notified body to monitor and remain responsible for the certificates during the period of suspension or restriction.
b)
den bemyndigende myndighed har bekræftet, at ingen attester af relevans for suspensionen vil blive udstedt, ændret eller genudstedt under suspensionen eller begrænsningen, og anfører, hvorvidt det bemyndigede organ har kapacitet til at fortsætte overvågningen og fortsat være ansvarligt for eksisterende udstedte attester i suspensions- eller begrænsningsperioden; hvis den bemyndigende myndighed fastslår, at det bemyndigede organ ikke er i stand til at støtte eksisterende udstedte attester, bekræfter udbyderen af det system, der er omfattet af attesten, senest tre måneder efter suspensionen eller begrænsningen skriftligt over for de nationale kompetente myndigheder i den medlemsstat, hvor vedkommende har sit registrerede forretningssted, at et andet kvalificeret bemyndiget organ midlertidigt varetager det bemyndigede organs funktioner med hensyn til at overvåge og forblive ansvarligt for attesterne i suspensions- eller begrænsningsperioden.
9. With the exception of certificates unduly issued, and where a designation has been withdrawn, the certificates shall remain valid for a period of nine months under the following circumstances:
9. Med undtagelse af uretmæssigt udstedte attester og i tilfælde, hvor en udpegelse er blevet tilbagetrukket, vedbliver attesterne med at være gyldige i en periode på ni måneder i følgende tilfælde:
(a)
the national competent authority of the Member State in which the provider of the high-risk AI system covered by the certificate has its registered place of business has confirmed that there is no risk to health, safety or fundamental rights associated with the high-risk AI systems concerned; and
a)
den nationale kompetente myndighed i den medlemsstat, hvor udbyderen af det højrisiko-AI-system, der er omfattet af attesten, har sit registrerede forretningssted, har bekræftet, at der ikke er nogen risiko for sundhed, sikkerhed eller grundlæggende rettigheder i forbindelse med de pågældende højrisiko-AI-systemer, og
(b)
another notified body has confirmed in writing that it will assume immediate responsibility for those AI systems and completes its assessment within 12 months of the withdrawal of the designation.
b)
et andet bemyndiget organ har skriftligt bekræftet, at det straks varetager ansvaret for disse AI-systemer, og færdiggør sin vurdering inden 12 måneder efter tilbagetrækning af udpegelsen.
In the circumstances referred to in the first subparagraph, the national competent authority of the Member State in which the provider of the system covered by the certificate has its place of business may extend the provisional validity of the certificates for additional periods of three months, which shall not exceed 12 months in total.
Under de omstændigheder, der er omhandlet i første afsnit, kan den kompetente nationale myndighed i den medlemsstat, hvor udbyderen af det system, der er omfattet af attesten, har sit forretningssted, forlænge attesternes foreløbige gyldighed i yderligere perioder på tre måneder, dog i alt højst 12 måneder.
The national competent authority or the notified body assuming the functions of the notified body affected by the change of designation shall immediately inform the Commission, the other Member States and the other notified bodies thereof.
Den kompetente nationale myndighed eller det bemyndigede organ, der varetager funktionerne for det bemyndigede organ, der er berørt af ændringen af udpegelsen, underretter omgående Kommissionen, de øvrige medlemsstater og de øvrige bemyndigede organer herom.
Overensstemmelsesvurdering
1. For high-risk AI systems listed in point 1 of Annex III, where, in demonstrating the compliance of a high-risk AI system with the requirements set out in Section 2, the provider has applied harmonised standards referred to in Article 40, or, where applicable, common specifications referred to in Article 41, the provider shall opt for one of the following conformity assessment procedures based on:
1. Hvad angår højrisiko-AI-systemer, der er opført i bilag III, punkt 1, skal udbyderen, såfremt denne ved påvisningen af, at et højrisiko-AI-system overholder kravene i afdeling 2, har anvendt harmoniserede standarder omhandlet i artikel 40 eller, hvis det er relevant, fælles specifikationer omhandlet i artikel 41, vælge en af følgende overensstemmelsesvurderingsprocedurer på grundlag af:
(a)
the internal control referred to in Annex VI; or
a)
intern kontrol omhandlet i bilag VI, eller
(b)
the assessment of the quality management system and the assessment of the technical documentation, with the involvement of a notified body, referred to in Annex VII.
b)
vurdering af kvalitetsstyringssystemet og vurdering af den tekniske dokumentation med inddragelse af et bemyndiget organ omhandlet i bilag VII.
In demonstrating the compliance of a high-risk AI system with the requirements set out in Section 2, the provider shall follow the conformity assessment procedure set out in Annex VII where:
Ved påvisning af et højrisiko-AI-systems overensstemmelse med kravene i afdeling 2 følger udbyderen overensstemmelsesvurderingsproceduren i bilag VII, hvis:
(a)
harmonised standards referred to in Article 40 do not exist, and common specifications referred to in Article 41 are not available;
a)
der ikke findes harmoniserede standarder omhandlet i artikel 40, og der ikke findes fælles specifikationer omhandlet i artikel 41
(b)
the provider has not applied, or has applied only part of, the harmonised standard;
b)
udbyderen ikke har anvendt eller kun har anvendt en del af den harmoniserede standard
(c)
the common specifications referred to in point (a) exist, but the provider has not applied them;
c)
de i litra a) omhandlede fælles specifikationer findes, men udbyderen ikke har anvendt dem
(d)
one or more of the harmonised standards referred to in point (a) has been published with a restriction, and only on the part of the standard that was restricted.
d)
én eller flere af de i litra a) omhandlede harmoniserede standarder er blevet offentliggjort med en begrænsning og kun med hensyn til den del af standarden, som er genstand for begrænsning.
For the purposes of the conformity assessment procedure referred to in Annex VII, the provider may choose any of the notified bodies. However, where the high-risk AI system is intended to be put into service by law enforcement, immigration or asylum authorities or by Union institutions, bodies, offices or agencies, the market surveillance authority referred to in Article 74(8) or (9), as applicable, shall act as a notified body.
Med henblik på den overensstemmelsesvurderingsprocedure, der er omhandlet i bilag VII, kan udbyderen vælge hvilket som helst af de bemyndigede organer. Hvis højrisiko-AI-systemet tilsigtes ibrugtaget af retshåndhævende myndigheder, indvandringsmyndigheder, asylmyndigheder eller EU-institutioner, -organer, -kontorer eller -agenturer, fungerer den markedsovervågningsmyndighed, der er omhandlet i artikel 74, stk. 8 eller 9, alt efter hvad der er relevant, imidlertid som bemyndiget organ.
2. For high-risk AI systems referred to in points 2 to 8 of Annex III, providers shall follow the conformity assessment procedure based on internal control as referred to in Annex VI, which does not provide for the involvement of a notified body.
2. Hvad angår de højrisiko-AI-systemer, der er omhandlet i bilag III, punkt 2-8, skal udbyderne følge overensstemmelsesvurderingsproceduren på grundlag af intern kontrol som omhandlet i bilag VI, som ikke foreskriver inddragelse af et bemyndiget organ.
3. For high-risk AI systems covered by the Union harmonisation legislation listed in Section A of Annex I, the provider shall follow the relevant conformity assessment procedure as required under those legal acts. The requirements set out in Section 2 of this Chapter shall apply to those high-risk AI systems and shall be part of that assessment. Points 4.3., 4.4., 4.5. and the fifth paragraph of point 4.6 of Annex VII shall also apply.
3. For højrisiko-AI-systemer, som er omfattet af EU-harmoniseringslovgivningen, der er opført i bilag I, afsnit A, skal udbyderen følge den relevante overensstemmelsesvurderingsprocedure som krævet i henhold til disse retsakter. Kravene i dette kapitels afdeling 2 finder anvendelse på disse højrisiko-AI-systemer og skal indgå i den nævnte vurdering. Punkt 4.3, 4.4 og 4.5 samt bilag VII, punkt 4.6, femte afsnit, finder også anvendelse.
For the purposes of that assessment, notified bodies which have been notified under those legal acts shall be entitled to control the conformity of the high-risk AI systems with the requirements set out in Section 2, provided that the compliance of those notified bodies with requirements laid down in Article 31(4), (5), (10) and (11) has been assessed in the context of the notification procedure under those legal acts.
Med henblik på denne vurdering har bemyndigede organer, der er blevet notificeret i henhold til disse retsakter, ret til at kontrollere højrisiko-AI-systemernes overensstemmelse med kravene i afdeling 2, forudsat at disse bemyndigede organers overholdelse af kravene i artikel 31, stk. 4, 5, 10 og 11, er blevet vurderet i forbindelse med notifikationsproceduren i henhold til disse retsakter.
Where a legal act listed in Section A of Annex I enables the product manufacturer to opt out from a third-party conformity assessment, provided that that manufacturer has applied all harmonised standards covering all the relevant requirements, that manufacturer may use that option only if it has also applied harmonised standards or, where applicable, common specifications referred to in Article 41, covering all requirements set out in Section 2 of this Chapter.
Hvis en retsakt, der er opført i bilag I, afsnit A, giver producenten mulighed for at fravælge en af tredjepart udført overensstemmelsesvurdering, forudsat at producenten har anvendt alle de harmoniserede standarder, der omfatter alle de relevante krav, kan producenten kun anvende denne mulighed, hvis vedkommende også har anvendt harmoniserede standarder eller, hvis det er relevant, fælles specifikationer omhandlet i artikel 41, der omfatter alle kravene i dette kapitels afdeling 2.
4. High-risk AI systems that have already been subject to a conformity assessment procedure shall undergo a new conformity assessment procedure in the event of a substantial modification, regardless of whether the modified system is intended to be further distributed or continues to be used by the current deployer.
4. Højrisiko-AI-systemer, der allerede har været genstand for en overensstemmelsesvurderingsprocedure, skal underkastes en ny overensstemmelsesvurderingsprocedure i tilfælde af væsentlige ændringer, uanset om det ændrede system tilsigtes videredistribueret eller fortsat anvendes af den nuværende idriftsætter.
For high-risk AI systems that continue to learn after being placed on the market or put into service, changes to the high-risk AI system and its performance that have been pre-determined by the provider at the moment of the initial conformity assessment and are part of the information contained in the technical documentation referred to in point 2(f) of Annex IV, shall not constitute a substantial modification.
For højrisiko-AI-systemer, der bliver ved med at lære efter at være bragt i omsætning eller ibrugtaget, udgør ændringer af højrisiko-AI-systemet og dets ydeevne, som udbyderen har fastlagt på forhånd på tidspunktet for den indledende overensstemmelsesvurdering, og som er en del af oplysningerne i den tekniske dokumentation, der er omhandlet i bilag IV, punkt 2, litra f), ikke en væsentlig ændring.
5. The Commission is empowered to adopt delegated acts in accordance with Article 97 in order to amend Annexes VI and VII by updating them in light of technical progress.
5. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 97 for at ændre bilag VI og VII ved at ajourføre dem i lyset af den tekniske udvikling.
6. The Commission is empowered to adopt delegated acts in accordance with Article 97 in order to amend paragraphs 1 and 2 of this Article in order to subject high-risk AI systems referred to in points 2 to 8 of Annex III to the conformity assessment procedure referred to in Annex VII or parts thereof. The Commission shall adopt such delegated acts taking into account the effectiveness of the conformity assessment procedure based on internal control referred to in Annex VI in preventing or minimising the risks to health and safety and protection of fundamental rights posed by such systems, as well as the availability of adequate capacities and resources among notified bodies.
6. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 97 for at ændre nærværende artikels stk. 1 og 2 for at underkaste de i bilag III, punkt 2-8, omhandlede højrisiko-AI-systemer overensstemmelsesvurderingsproceduren i bilag VII eller dele heraf. Kommissionen vedtager sådanne delegerede retsakter under hensyntagen til effektiviteten af overensstemmelsesvurderingsproceduren på grundlag af intern kontrol omhandlet i bilag VI med hensyn til at forebygge eller minimere de risici for sundhed, sikkerhed og beskyttelsen af de grundlæggende rettigheder, som sådanne systemer medfører, samt hvorvidt der er tilstrækkelig kapacitet og ressourcer i de bemyndigede organer.
Transparency obligations for providers and deployers of certain AI systems
Gennemsigtighedsforpligtelser for udbydere og idriftsættere af visse AI-systemer
1. Providers shall ensure that AI systems intended to interact directly with natural persons are designed and developed in such a way that the natural persons concerned are informed that they are interacting with an AI system, unless this is obvious from the point of view of a natural person who is reasonably well-informed, observant and circumspect, taking into account the circumstances and the context of use. This obligation shall not apply to AI systems authorised by law to detect, prevent, investigate or prosecute criminal offences, subject to appropriate safeguards for the rights and freedoms of third parties, unless those systems are available for the public to report a criminal offence.
1. Udbydere skal sikre, at AI-systemer, der er tilsigtet at interagere direkte med fysiske personer, udformes og udvikles på en sådan måde, at de pågældende fysiske personer oplyses om, at de interagerer med et AI-system, medmindre dette er indlysende ud fra en rimeligt velinformeret, opmærksom og forsigtig fysisk persons synspunkt ud fra omstændighederne og anvendelsessammenhængen. Denne forpligtelse finder ikke anvendelse på AI-systemer, der ved lov er godkendt til at afsløre, forebygge, efterforske eller retsforfølge strafbare handlinger, med forbehold af passende sikkerhedsforanstaltninger for tredjemands rettigheder og friheder, medmindre disse systemer er tilgængelige for offentligheden med henblik på at anmelde en strafbar handling.
2. Providers of AI systems, including general-purpose AI systems, generating synthetic audio, image, video or text content, shall ensure that the outputs of the AI system are marked in a machine-readable format and detectable as artificially generated or manipulated. Providers shall ensure their technical solutions are effective, interoperable, robust and reliable as far as this is technically feasible, taking into account the specificities and limitations of various types of content, the costs of implementation and the generally acknowledged state of the art, as may be reflected in relevant technical standards. This obligation shall not apply to the extent the AI systems perform an assistive function for standard editing or do not substantially alter the input data provided by the deployer or the semantics thereof, or where authorised by law to detect, prevent, investigate or prosecute criminal offences.
2. Udbydere af AI-systemer, herunder AI-systemer til almen brug, der genererer syntetisk lyd-, billed-, video- eller tekstindhold, sikrer, at AI-systemets output er mærket i et maskinlæsbart format og kan spores som kunstigt genereret eller manipuleret. Udbyderne sikrer, at deres tekniske løsninger er effektive, interoperable, robuste og pålidelige, i det omfang dette er teknisk muligt, under hensyntagen til de særlige forhold og begrænsninger for forskellige typer indhold, gennemførelsesomkostningerne og det generelt anerkendte aktuelle tekniske niveau, som kan være afspejlet i relevante tekniske standarder. Denne forpligtelse finder ikke anvendelse, i det omfang AI-systemerne udfører en hjælpefunktion med henblik på standardredigering eller ikke i væsentlig grad ændrer de inputdata, der leveres af idriftsætteren eller semantikken heraf, eller, hvis det ved lov er tilladt for at afsløre, forebygge, efterforske eller retsforfølge strafbare handlinger.
3. Deployers of an emotion recognition system or a biometric categorisation system shall inform the natural persons exposed thereto of the operation of the system, and shall process the personal data in accordance with Regulations (EU) 2016/679 and (EU) 2018/1725 and Directive (EU) 2016/680, as applicable. This obligation shall not apply to AI systems used for biometric categorisation and emotion recognition, which are permitted by law to detect, prevent or investigate criminal offences, subject to appropriate safeguards for the rights and freedoms of third parties, and in accordance with Union law.
3. Idriftsættere af et system til følelsesgenkendelse eller et system til biometrisk kategorisering underretter de fysiske personer, der udsættes herfor, om driften af systemet og behandler personoplysningerne i overensstemmelse med forordning (EU) 2016/679 og (EU) 2018/1725 og direktiv (EU) 2016/680, alt efter hvad der er relevant. Denne forpligtelse finder ikke anvendelse på AI-systemer, der anvendes til biometrisk kategorisering og følelsesgenkendelse, og som i ved lov er godkendt til at afsløre, forebygge eller efterforske strafbare handlinger, med forbehold af passende sikkerhedsforanstaltninger for tredjemands rettigheder og frihedsrettigheder og i overensstemmelse med EU-retten.
4. Deployers of an AI system that generates or manipulates image, audio or video content constituting a deep fake, shall disclose that the content has been artificially generated or manipulated. This obligation shall not apply where the use is authorised by law to detect, prevent, investigate or prosecute criminal offence. Where the content forms part of an evidently artistic, creative, satirical, fictional or analogous work or programme, the transparency obligations set out in this paragraph are limited to disclosure of the existence of such generated or manipulated content in an appropriate manner that does not hamper the display or enjoyment of the work.
4. Idriftsættere af et AI-system, der genererer eller manipulerer billed-, lyd- eller videoindhold, der udgør en deepfake, skal oplyse, at indholdet er blevet genereret kunstigt eller manipuleret. Denne forpligtelse gælder ikke, hvis anvendelsen ved lov er tilladt for at afsløre, forebygge, efterforske eller retsforfølge strafbare handlinger. Hvis indholdet er en del af et oplagt kunstnerisk, kreativt, satirisk, fiktivt eller tilsvarende arbejde eller program, er gennemsigtighedsforpligtelserne i dette stykke begrænset til oplysning om eksistensen af sådant genereret eller manipuleret indhold på en passende måde, der ikke er til gene for visningen eller nydelsen af værket.
Deployers of an AI system that generates or manipulates text which is published with the purpose of informing the public on matters of public interest shall disclose that the text has been artificially generated or manipulated. This obligation shall not apply where the use is authorised by law to detect, prevent, investigate or prosecute criminal offences or where the AI-generated content has undergone a process of human review or editorial control and where a natural or legal person holds editorial responsibility for the publication of the content.
Idriftsættere af et AI-system, der genererer eller manipulerer tekst, der offentliggøres med det formål at informere offentligheden om spørgsmål af offentlig interesse, skal oplyse, at teksten er blevet kunstigt genereret eller manipuleret. Denne forpligtelse finder ikke anvendelse, hvis anvendelsen ved lov er tilladt for at afsløre, forebygge, efterforske eller retsforfølge strafbare handlinger, eller hvis det AI-genererede indhold har gennemgået en proces med menneskelig gennemgang eller redaktionel kontrol, og hvis en fysisk eller juridisk person har det redaktionelle ansvar for offentliggørelsen af indholdet.
5. The information referred to in paragraphs 1 to 4 shall be provided to the natural persons concerned in a clear and distinguishable manner at the latest at the time of the first interaction or exposure. The information shall conform to the applicable accessibility requirements.
5. De oplysninger, der er omhandlet i stk. 1-4, gives til de pågældende fysiske personer på en klar og synlig måde senest på tidspunktet for den første interaktion eller eksponering. Oplysningerne skal være i overensstemmelse med gældende tilgængelighedskrav.
6. Paragraphs 1 to 4 shall not affect the requirements and obligations set out in Chapter III, and shall be without prejudice to other transparency obligations laid down in Union or national law for deployers of AI systems.
6. Stk. 1-4 berører ikke kravene og forpligtelserne i kapitel III og berører ikke andre gennemsigtighedsforpligtelser, der er fastsat i EU-retten eller national ret, for idriftsættere af AI-systemer.
7. The AI Office shall encourage and facilitate the drawing up of codes of practice at Union level to facilitate the effective implementation of the obligations regarding the detection and labelling of artificially generated or manipulated content. The Commission may adopt implementing acts to approve those codes of practice in accordance with the procedure laid down in Article 56 (6). If it deems the code is not adequate, the Commission may adopt an implementing act specifying common rules for the implementation of those obligations in accordance with the examination procedure laid down in Article 98(2).
7. AI-kontoret tilskynder til og letter udarbejdelsen af praksiskodekser på EU-plan for at lette en effektiv gennemførelse af forpligtelserne vedrørende påvisning og mærkning af kunstigt genereret eller manipuleret indhold. Kommissionen kan vedtage gennemførelsesretsakter for at godkende disse praksiskodekser efter proceduren i artikel 56, stk. 6. Hvis Kommissionen finder, at kodeksen ikke er tilstrækkelig, kan den vedtage en gennemførelsesretsakt, der præciserer de fælles regler for gennemførelsen af disse forpligtelser efter undersøgelsesproceduren, jf. artikel 98, stk. 2.
1. The AI Office shall encourage and facilitate the drawing up of codes of practice at Union level in order to contribute to the proper application of this Regulation, taking into account international approaches.
1. AI-kontoret tilskynder til og letter udarbejdelsen af praksiskodekser på EU-plan for at bidrage til en korrekt anvendelse af denne forordning under hensyntagen til internationale tilgange.
2. The AI Office and the Board shall aim to ensure that the codes of practice cover at least the obligations provided for in Articles 53 and 55, including the following issues:
2. AI-kontoret og AI-udvalget tilstræber at sikre, at praksiskodekserne som minimum omfatter de forpligtelser, der er fastsat i artikel 53 og 55, herunder følgende spørgsmål:
(a)
the means to ensure that the information referred to in Article 53(1), points (a) and (b), is kept up to date in light of market and technological developments;
a)
midlerne til at sikre, at de oplysninger, der er omhandlet i artikel 53, stk. 1, litra a) og b), holdes ajour i lyset af den markedsmæssige og teknologiske udvikling
(b)
the adequate level of detail for the summary about the content used for training;
b)
resuméet af det indhold, der anvendes til uddannelse, er tilstrækkeligt detaljeret
(c)
the identification of the type and nature of the systemic risks at Union level, including their sources, where appropriate;
c)
identifikationen af typen og arten af de systemiske risici på EU-plan, herunder deres kilder, hvis det er relevant
(d)
the measures, procedures and modalities for the assessment and management of the systemic risks at Union level, including the documentation thereof, which shall be proportionate to the risks, take into consideration their severity and probability and take into account the specific challenges of tackling those risks in light of the possible ways in which such risks may emerge and materialise along the AI value chain.
d)
foranstaltningerne, procedurerne og de nærmere bestemmelser for vurdering og styring af de systemiske risici på EU-plan, herunder dokumentation herfor, som skal stå i et rimeligt forhold til risiciene, tage hensyn til, hvor alvorlige og sandsynlige de er, og tage hensyn til de specifikke udfordringer i forbindelse med styringen af disse risici i lyset af de mulige måder, hvorpå sådanne risici kan opstå og vise sig i AI-værdikæden.
3. The AI Office may invite all providers of general-purpose AI models, as well as relevant national competent authorities, to participate in the drawing-up of codes of practice. Civil society organisations, industry, academia and other relevant stakeholders, such as downstream providers and independent experts, may support the process.
3. AI-kontoret kan opfordre alle udbydere af AI-modeller til almen brug samt relevante nationale kompetente myndigheder til at deltage i udarbejdelsen af praksiskodekser. Civilsamfundsorganisationer, industrien, den akademiske verden og andre relevante interessenter såsom downstreamudbydere og uafhængige eksperter kan støtte processen.
4. The AI Office and the Board shall aim to ensure that the codes of practice clearly set out their specific objectives and contain commitments or measures, including key performance indicators as appropriate, to ensure the achievement of those objectives, and that they take due account of the needs and interests of all interested parties, including affected persons, at Union level.
4. AI-kontoret og AI-udvalget tilstræber at sikre, at praksiskodekserne klart fastsætter deres specifikke mål og indeholder forpligtelser eller foranstaltninger, herunder i relevant omfang centrale resultatindikatorer, for at sikre realiseringen af disse mål, og at de tager behørigt hensyn til alle interesserede parters, herunder berørte personers, behov og interesser på EU-plan.
5. The AI Office shall aim to ensure that participants to the codes of practice report regularly to the AI Office on the implementation of the commitments and the measures taken and their outcomes, including as measured against the key performance indicators as appropriate. Key performance indicators and reporting commitments shall reflect differences in size and capacity between various participants.
5. AI-kontoret tilstræber at sikre, at deltagerne i praksiskodekserne regelmæssigt aflægger rapport til AI-kontoret om gennemførelsen af forpligtelserne og de trufne foranstaltninger og deres resultater, herunder i relevant omfang målt i forhold til de centrale resultatindikatorer. De centrale resultatindikatorer og rapporteringsforpligtelserne skal afspejle forskelle i størrelse og kapacitet mellem de forskellige deltagere.
6. The AI Office and the Board shall regularly monitor and evaluate the achievement of the objectives of the codes of practice by the participants and their contribution to the proper application of this Regulation. The AI Office and the Board shall assess whether the codes of practice cover the obligations provided for in Articles 53 and 55, and shall regularly monitor and evaluate the achievement of their objectives. They shall publish their assessment of the adequacy of the codes of practice.
6. AI-kontoret og AI-udvalget overvåger og evaluerer regelmæssigt deltagernes realisering af praksiskodeksernes mål og deres bidrag til en korrekt anvendelse af denne forordning. AI-kontoret og AI-udvalget vurderer, om praksiskodekserne dækker de forpligtelser, der er fastsat i artikel 53 og 55, og overvåger og evaluerer regelmæssigt realiseringen af deres mål. De offentliggør deres vurdering af, om praksiskodekserne er fyldestgørende.
The Commission may, by way of an implementing act, approve a code of practice and give it a general validity within the Union. That implementing act shall be adopted in accordance with the examination procedure referred to in Article 98(2).
Kommissionen kan ved en gennemførelsesretsakt godkende en praksiskodeks og give den generel gyldighed i Unionen. Denne gennemførelsesretsakt vedtages efter undersøgelsesproceduren, jf. artikel 98, stk. 2.
7. The AI Office may invite all providers of general-purpose AI models to adhere to the codes of practice. For providers of general-purpose AI models not presenting systemic risks this adherence may be limited to the obligations provided for in Article 53, unless they declare explicitly their interest to join the full code.
7. AI-kontoret kan opfordre samtlige udbydere af AI-modeller til almen brug til at overholde praksiskodekser. For udbydere af AI-modeller til almen brug, der ikke frembyder systemiske risici, kan denne overholdelse begrænses til de forpligtelser, der er fastsat i artikel 53, medmindre de udtrykkeligt tilkendegiver deres interesse i at tilslutte sig den fulde kodeks.
8. The AI Office shall, as appropriate, also encourage and facilitate the review and adaptation of the codes of practice, in particular in light of emerging standards. The AI Office shall assist in the assessment of available standards.
8. AI-kontoret skal, alt efter hvad der er relevant, også tilskynde til og lette gennemgangen og tilpasningen af praksiskodekserne, navnlig i lyset af nye standarder. AI-kontoret bistår ved vurderingen af tilgængelige standarder.
9. Codes of practice shall be ready at the latest by 2 May 2025. The AI Office shall take the necessary steps, including inviting providers pursuant to paragraph 7.
9. Praksiskodekser skal være klar senest den 2. maj 2025. AI-kontoret tager de nødvendige skridt, herunder indbyder udbydere i henhold til stk. 7.
If, by 2 August 2025, a code of practice cannot be finalised, or if the AI Office deems it is not adequate following its assessment under paragraph 6 of this Article, the Commission may provide, by means of implementing acts, common rules for the implementation of the obligations provided for in Articles 53 and 55, including the issues set out in paragraph 2 of this Article. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 98(2).
Hvis en praksiskodeks ikke kan færdiggøres senest den 2. august 2025, eller hvis AI-kontoret efter sin vurdering i henhold til denne artikels stk. 6 finder, at den ikke er fyldestgørende, kan Kommissionen ved hjælp af gennemførelsesretsakter fastsætte fælles regler for gennemførelsen af de forpligtelser, der er fastsat i artikel 53 og 55, herunder spørgsmålene i nærværende artikels stk. 2. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 98, stk. 2.
Reguleringsmæssige AI-sandkasser
1. Member States shall ensure that their competent authorities establish at least one AI regulatory sandbox at national level, which shall be operational by 2 August 2026. That sandbox may also be established jointly with the competent authorities of other Member States. The Commission may provide technical support, advice and tools for the establishment and operation of AI regulatory sandboxes.
1. Medlemsstaterne sikrer, at deres kompetente myndigheder opretter mindst én reguleringsmæssig AI-sandkasse på nationalt plan, som skal være operationel senest den 2. august 2026. Denne sandkasse kan også oprettes i fællesskab med andre medlemsstaters kompetente myndigheder. Kommissionen kan yde teknisk støtte, rådgivning og værktøjer til oprettelse og drift af reguleringsmæssige AI-sandkasser.
The obligation under the first subparagraph may also be fulfilled by participating in an existing sandbox in so far as that participation provides an equivalent level of national coverage for the participating Member States.
Forpligtelsen i henhold til første afsnit kan også opfyldes ved deltagelse i en eksisterende sandkasse, for så vidt som denne deltagelse giver de deltagende medlemsstater et tilsvarende nationalt dækningsniveau.
2. Additional AI regulatory sandboxes at regional or local level, or established jointly with the competent authorities of other Member States may also be established.
2. Der kan også oprettes yderligere reguleringsmæssige AI-sandkasser på regionalt eller lokalt plan eller i fællesskab med andre medlemsstaters kompetente myndigheder.
3. The European Data Protection Supervisor may also establish an AI regulatory sandbox for Union institutions, bodies, offices and agencies, and may exercise the roles and the tasks of national competent authorities in accordance with this Chapter.
3. Den Europæiske Tilsynsførende for Databeskyttelse kan også oprette en reguleringsmæssig AI-sandkasse for EU-institutioner, -organer, -kontorer og -agenturer og varetage de nationale kompetente myndigheders roller og opgaver i overensstemmelse med dette kapitel.
4. Member States shall ensure that the competent authorities referred to in paragraphs 1 and 2 allocate sufficient resources to comply with this Article effectively and in a timely manner. Where appropriate, national competent authorities shall cooperate with other relevant authorities, and may allow for the involvement of other actors within the AI ecosystem. This Article shall not affect other regulatory sandboxes established under Union or national law. Member States shall ensure an appropriate level of cooperation between the authorities supervising those other sandboxes and the national competent authorities.
4. Medlemsstaterne sikrer, at de kompetente myndigheder, der er omhandlet i stk. 1 og 2, tildeler tilstrækkelige ressourcer til, at denne artikel overholdes effektivt og rettidigt. Hvis det er relevant, samarbejder de nationale kompetente myndigheder med andre relevante myndigheder og kan gøre det muligt at inddrage andre aktører i AI-økosystemet. Denne artikel berører ikke andre reguleringsmæssige sandkasser, der er oprettet i henhold til EU-retten eller national ret. Medlemsstaterne sikrer et passende samarbejde mellem de myndigheder, der fører tilsyn med disse andre sandkasser, og de nationale kompetente myndigheder.
5. AI regulatory sandboxes established under paragraph 1 shall provide for a controlled environment that fosters innovation and facilitates the development, training, testing and validation of innovative AI systems for a limited time before their being placed on the market or put into service pursuant to a specific sandbox plan agreed between the providers or prospective providers and the competent authority. Such sandboxes may include testing in real world conditions supervised therein.
5. Reguleringsmæssig AI-sandkasser, der oprettes i henhold til stk. 1, skal tilvejebringe et kontrolleret miljø, der fremmer innovation og letter udvikling, træning, afprøvning og validering af innovative AI-systemer i et begrænset tidsrum, inden de bringes i omsætning eller tages i brug i henhold til en specifik sandkasseplan, som aftales mellem udbyderne eller de potentielle udbydere og den kompetente myndighed. Sådanne sandkasser kan omfatte afprøvning under faktiske forhold under tilsyn i sandkasserne.
6. Competent authorities shall provide, as appropriate, guidance, supervision and support within the AI regulatory sandbox with a view to identifying risks, in particular to fundamental rights, health and safety, testing, mitigation measures, and their effectiveness in relation to the obligations and requirements of this Regulation and, where relevant, other Union and national law supervised within the sandbox.
6. De kompetente myndigheder yder, alt efter hvad der er relevant, vejledning, tilsyn og støtte inden for den reguleringsmæssige AI-sandkasse med henblik på at identificere risici, navnlig for grundlæggende rettigheder, sundhed og sikkerhed, afprøvning, afbødende foranstaltninger og deres effektivitet i forbindelse med forpligtelserne og kravene i denne forordning og, hvis det er relevant, anden EU-ret og national ret, der føres tilsyn med inden for sandkassen.
7. Competent authorities shall provide providers and prospective providers participating in the AI regulatory sandbox with guidance on regulatory expectations and how to fulfil the requirements and obligations set out in this Regulation.
7. De kompetente myndigheder giver udbydere og potentielle udbydere, der deltager i den reguleringsmæssige AI-sandkasse, vejledning om reguleringsmæssige forventninger og om, hvordan de opfylder de krav og forpligtelser, der er fastsat i denne forordning.
Upon request of the provider or prospective provider of the AI system, the competent authority shall provide a written proof of the activities successfully carried out in the sandbox. The competent authority shall also provide an exit report detailing the activities carried out in the sandbox and the related results and learning outcomes. Providers may use such documentation to demonstrate their compliance with this Regulation through the conformity assessment process or relevant market surveillance activities. In this regard, the exit reports and the written proof provided by the national competent authority shall be taken positively into account by market surveillance authorities and notified bodies, with a view to accelerating conformity assessment procedures to a reasonable extent.
Efter anmodning fra udbyderen eller den potentielle udbyder af AI-systemet forelægger den kompetente myndighed en skriftlig dokumentation for de aktiviteter, der er udført med succes i sandkassen. Den kompetente myndighed forelægger også en slutrapport med en detaljeret beskrivelse af de aktiviteter, der er gennemført i sandkassen, og de dermed forbundne resultater og læringsresultater. Udbydere kan anvende sådan dokumentation til at påvise, at de overholder denne forordning gennem overensstemmelsesvurderingsprocessen eller relevante markedsovervågningsaktiviteter. I denne forbindelse tager markedsovervågningsmyndighederne og de bemyndigede organer positivt hensyn til slutrapporterne og den skriftlige dokumentation fra den nationale kompetente myndighed med henblik på at fremskynde overensstemmelsesvurderingsprocedurerne i rimeligt omfang.
8. Subject to the confidentiality provisions in Article 78, and with the agreement of the provider or prospective provider, the Commission and the Board shall be authorised to access the exit reports and shall take them into account, as appropriate, when exercising their tasks under this Regulation. If both the provider or prospective provider and the national competent authority explicitly agree, the exit report may be made publicly available through the single information platform referred to in this Article.
8. Med forbehold af fortrolighedsbestemmelserne i artikel 78 og med samtykke fra udbyderen eller den potentielle udbyder har Kommissionen og AI-udvalget tilladelse til at få adgang til slutrapporterne og tager, alt efter hvad der er relevant, hensyn til disse, når de udfører deres opgaver i henhold til denne forordning. Hvis både udbyderen eller den potentielle udbyder og den nationale kompetente myndighed når til udtrykkelig enighed, kan slutrapporten gøres offentligt tilgængelig via den centrale informationsplatform, der er omhandlet i nærværende artikel.
9. The establishment of AI regulatory sandboxes shall aim to contribute to the following objectives:
9. Oprettelsen af reguleringsmæssige AI-sandkasser har til formål at bidrage til følgende mål:
(a)
improving legal certainty to achieve regulatory compliance with this Regulation or, where relevant, other applicable Union and national law;
a)
at forbedre retssikkerheden med henblik på at opnå overholdelse af bestemmelserne i denne forordning eller, hvis det er relevant, anden gældende EU-ret og national ret
(b)
supporting the sharing of best practices through cooperation with the authorities involved in the AI regulatory sandbox;
b)
at støtte udvekslingen af bedste praksis gennem samarbejde med de myndigheder, der er involveret i den reguleringsmæssige AI-sandkasse
(c)
fostering innovation and competitiveness and facilitating the development of an AI ecosystem;
c)
at fremme innovation og konkurrenceevne og lette udviklingen af et AI-økosystem
(d)
contributing to evidence-based regulatory learning;
d)
at bidrage til evidensbaseret lovgivningsmæssig læring
(e)
facilitating and accelerating access to the Union market for AI systems, in particular when provided by SMEs, including start-ups.
e)
at lette og fremskynde adgangen til EU-markedet for AI-systemer, navnlig når de leveres af SMV'er, herunder iværksættervirksomheder.
10. National competent authorities shall ensure that, to the extent the innovative AI systems involve the processing of personal data or otherwise fall under the supervisory remit of other national authorities or competent authorities providing or supporting access to data, the national data protection authorities and those other national or competent authorities are associated with the operation of the AI regulatory sandbox and involved in the supervision of those aspects to the extent of their respective tasks and powers.
10. I det omfang de innovative AI-systemer omfatter behandling af personoplysninger eller på anden måde henhører under tilsynsområdet for andre nationale myndigheder eller kompetente myndigheder, der giver eller understøtter adgang til data, sikrer de nationale kompetente myndigheder, at de nationale databeskyttelsesmyndigheder og disse andre nationale eller kompetente myndigheder er tilknyttet driften af den reguleringsmæssige AI-sandkasse og involveret i tilsynet med disse aspekter i henhold til deres respektive opgaver og beføjelser.
11. The AI regulatory sandboxes shall not affect the supervisory or corrective powers of the competent authorities supervising the sandboxes, including at regional or local level. Any significant risks to health and safety and fundamental rights identified during the development and testing of such AI systems shall result in an adequate mitigation. National competent authorities shall have the power to temporarily or permanently suspend the testing process, or the participation in the sandbox if no effective mitigation is possible, and shall inform the AI Office of such decision. National competent authorities shall exercise their supervisory powers within the limits of the relevant law, using their discretionary powers when implementing legal provisions in respect of a specific AI regulatory sandbox project, with the objective of supporting innovation in AI in the Union.
11. De reguleringsmæssige AI-sandkasser berører ikke de tilsynsbeføjelser eller korrigerende beføjelser, som de kompetente myndigheder, der fører tilsyn med sandkasserne, har, herunder på regionalt eller lokalt plan. Enhver væsentlig risiko for sundhed og sikkerhed og grundlæggende rettigheder, der konstateres under udviklingen og afprøvningen af sådanne AI-systemer, fører til passende afbødning. De nationale kompetente myndigheder har beføjelse til midlertidigt eller permanent at suspendere afprøvningsprocessen eller deltagelse i sandkassen, hvis der ikke er mulighed for effektiv afbødning, og meddeler AI-kontoret denne afgørelse. De nationale kompetente myndigheder udøver deres tilsynsbeføjelser inden for rammerne af den relevante ret, idet de anvender deres skønsbeføjelser, når de gennemfører retlige bestemmelser for et specifikt projekt vedrørende reguleringsmæssige AI-sandkasser, med det formål at støtte innovation inden for AI i Unionen.
12. Providers and prospective providers participating in the AI regulatory sandbox shall remain liable under applicable Union and national liability law for any damage inflicted on third parties as a result of the experimentation taking place in the sandbox. However, provided that the prospective providers observe the specific plan and the terms and conditions for their participation and follow in good faith the guidance given by the national competent authority, no administrative fines shall be imposed by the authorities for infringements of this Regulation. Where other competent authorities responsible for other Union and national law were actively involved in the supervision of the AI system in the sandbox and provided guidance for compliance, no administrative fines shall be imposed regarding that law.
12. Udbydere og potentielle udbydere, der deltager i den reguleringsmæssige AI-sandkasse, forbliver ansvarlige i henhold til gældende EU-ansvarsret og gældende national ansvarsret for enhver skade, der påføres tredjeparter som følge af de forsøg, der finder sted i sandkassen. Såfremt de potentielle udbydere overholder den specifikke plan og vilkårene og betingelserne for deres deltagelse og i god tro følger den nationale kompetente myndigheds vejledning, pålægger myndighederne dog ingen administrative bøder for overtrædelse af denne forordning. I tilfælde af at andre kompetente myndigheder med ansvar for anden EU-ret og national ret har været aktivt involveret i tilsynet med AI-systemet i sandkassen og givet vejledning om overholdelse, pålægges der ingen administrative bøder i forbindelse med den pågældende ret.
13. The AI regulatory sandboxes shall be designed and implemented in such a way that, where relevant, they facilitate cross-border cooperation between national competent authorities.
13. De reguleringsmæssige AI-sandkasser udformes og gennemføres på en sådan måde, at de letter det grænseoverskridende samarbejde mellem de nationale kompetente myndigheder, hvis det er relevant.
14. National competent authorities shall coordinate their activities and cooperate within the framework of the Board.
14. De nationale kompetente myndigheder koordinerer deres aktiviteter og samarbejder inden for AI-udvalgets rammer.
15. National competent authorities shall inform the AI Office and the Board of the establishment of a sandbox, and may ask them for support and guidance. The AI Office shall make publicly available a list of planned and existing sandboxes and keep it up to date in order to encourage more interaction in the AI regulatory sandboxes and cross-border cooperation.
15. De nationale kompetente myndigheder underretter AI-kontoret og AI-udvalget om oprettelsen af en sandkasse og kan anmode dem om støtte og vejledning. AI-kontoret offentliggør en liste over planlagte og eksisterende sandkasser og ajourfører den for at tilskynde til større interaktion i de reguleringsmæssige AI-sandkasser og tværnationalt samarbejde.
16. National competent authorities shall submit annual reports to the AI Office and to the Board, from one year after the establishment of the AI regulatory sandbox and every year thereafter until its termination, and a final report. Those reports shall provide information on the progress and results of the implementation of those sandboxes, including best practices, incidents, lessons learnt and recommendations on their setup and, where relevant, on the application and possible revision of this Regulation, including its delegated and implementing acts, and on the application of other Union law supervised by the competent authorities within the sandbox. The national competent authorities shall make those annual reports or abstracts thereof available to the public, online. The Commission shall, where appropriate, take the annual reports into account when exercising its tasks under this Regulation.
16. De nationale kompetente myndigheder forelægger AI-kontoret og AI-udvalget årlige rapporter, fra og med ét år efter oprettelsen af den reguleringsmæssige AI-sandkasse og derefter hvert år indtil dens ophør, og en slutrapport. Disse rapporter skal indeholde oplysninger om fremskridt med og resultater af gennemførelsen af de pågældende sandkasser, herunder bedste praksis, hændelser, indhøstede erfaringer og anbefalinger vedrørende deres udformning og, hvis det er relevant, anvendelsen og den eventuelle revision af denne forordning, herunder tilhørende delegerede retsakter og gennemførelsesretsakter, og anvendelsen af anden EU-ret, som de kompetente myndigheder fører tilsyn med inden for sandkassen. De nationale kompetente myndigheder gør disse årlige rapporter eller sammendrag heraf offentligt tilgængelige online. Kommissionen tager, hvis det er relevant, hensyn til de årlige rapporter, når den udfører sine opgaver i henhold til denne forordning.
17. The Commission shall develop a single and dedicated interface containing all relevant information related to AI regulatory sandboxes to allow stakeholders to interact with AI regulatory sandboxes and to raise enquiries with competent authorities, and to seek non-binding guidance on the conformity of innovative products, services, business models embedding AI technologies, in accordance with Article 62(1), point (c). The Commission shall proactively coordinate with national competent authorities, where relevant.
17. Kommissionen udvikler en fælles og særlig grænseflade, der indeholder alle relevante oplysninger vedrørende reguleringsmæssige AI-sandkasser, for at give interessenter mulighed for at interagere med reguleringsmæssige AI-sandkasser og rette forespørgsler til de kompetente myndigheder og søge ikkebindende vejledning om overensstemmelsen af innovative produkter, tjenester og forretningsmodeller, der integrerer AI-teknologier, i overensstemmelse med artikel 62, stk. 1, litra c). Kommissionen koordinerer proaktivt med nationale kompetente myndigheder, hvis det er relevant.
Testing of high-risk AI systems in real world conditions outside AI regulatory sandboxes
Afprøvning af højrisiko-AI-systemer under faktiske forhold uden for reguleringsmæssige AI-sandkasser
1. Testing of high-risk AI systems in real world conditions outside AI regulatory sandboxes may be conducted by providers or prospective providers of high-risk AI systems listed in Annex III, in accordance with this Article and the real-world testing plan referred to in this Article, without prejudice to the prohibitions under Article 5.
1. Afprøvning af højrisiko-AI-systemer under faktiske forhold uden for reguleringsmæssige AI-sandkasser kan udføres af udbydere eller potentielle udbydere af højrisiko-AI-systemer, der er opført i bilag III, i overensstemmelse med denne artikel og den plan for afprøvning under faktiske forhold, der er omhandlet i denne artikel, uden at det berører forbuddene i henhold til artikel 5.
The Commission shall, by means of implementing acts, specify the detailed elements of the real-world testing plan. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 98(2).
Kommissionen præciserer ved hjælp af gennemførelsesretsakter de nærmere elementer i planen for afprøvning under faktiske forhold. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 98, stk. 2.
This paragraph shall be without prejudice to Union or national law on the testing in real world conditions of high-risk AI systems related to products covered by Union harmonisation legislation listed in Annex I.
Nærværende stykke berører ikke EU-ret eller national ret om afprøvning under faktiske forhold af højrisiko-AI-systemer i forbindelse med produkter, der er omfattet af EU-harmoniseringslovgivningen, der er opført i bilag I.
2. Providers or prospective providers may conduct testing of high-risk AI systems referred to in Annex III in real world conditions at any time before the placing on the market or the putting into service of the AI system on their own or in partnership with one or more deployers or prospective deployers.
2. Udbydere eller potentielle udbydere kan selv eller i partnerskab med en eller flere idriftsættere eller potentielle idriftsættere gennemføre afprøvning af de højrisiko-AI-systemer, der er omhandlet i bilag III, under faktiske forhold på et hvilket som helst tidspunkt, inden AI-systemet bringes i omsætning eller ibrugtages.
3. The testing of high-risk AI systems in real world conditions under this Article shall be without prejudice to any ethical review that is required by Union or national law.
3. Afprøvning af højrisiko-AI-systemer under faktiske forhold i henhold til denne artikel berører ikke enhver anden etisk gennemgang, der er påkrævet i henhold til EU-retten eller national ret.
4. Providers or prospective providers may conduct the testing in real world conditions only where all of the following conditions are met:
4. Udbydere eller potentielle udbydere må kun udføre afprøvningen under faktiske forhold, hvis alle følgende betingelser er opfyldt:
(a)
the provider or prospective provider has drawn up a real-world testing plan and submitted it to the market surveillance authority in the Member State where the testing in real world conditions is to be conducted;
a)
udbyderen eller den potentielle udbyder har udarbejdet en plan for afprøvning under faktiske forhold og forelagt den for markedsovervågningsmyndigheden i den medlemsstat, hvor afprøvningen skal udføres under faktiske forhold
(b)
the market surveillance authority in the Member State where the testing in real world conditions is to be conducted has approved the testing in real world conditions and the real-world testing plan; where the market surveillance authority has not provided an answer within 30 days, the testing in real world conditions and the real-world testing plan shall be understood to have been approved; where national law does not provide for a tacit approval, the testing in real world conditions shall remain subject to an authorisation;
b)
markedsovervågningsmyndigheden i den medlemsstat, hvor afprøvningen under faktiske forhold skal udføres, har godkendt afprøvningen under faktiske forhold og planen for afprøvning under faktiske forhold; hvis markedsovervågningsmyndigheden ikke har givet et svar inden for 30 dage, betragtes afprøvningen under faktiske forhold og planen for afprøvning under faktiske forhold som godkendt; hvis national ret ikke indeholder bestemmelser om stiltiende godkendelse, skal der fortsat foreligge en tilladelse til afprøvning under faktiske forhold
(c)
the provider or prospective provider, with the exception of providers or prospective providers of high-risk AI systems referred to in points 1, 6 and 7 of Annex III in the areas of law enforcement, migration, asylum and border control management, and high-risk AI systems referred to in point 2 of Annex III has registered the testing in real world conditions in accordance with Article 71(4) with a Union-wide unique single identification number and with the information specified in Annex IX; the provider or prospective provider of high-risk AI systems referred to in points 1, 6 and 7 of Annex III in the areas of law enforcement, migration, asylum and border control management, has registered the testing in real-world conditions in the secure non-public section of the EU database according to Article 49(4), point (d), with a Union-wide unique single identification number and with the information specified therein; the provider or prospective provider of high-risk AI systems referred to in point 2 of Annex III has registered the testing in real-world conditions in accordance with Article 49(5);
c)
udbyderen eller den potentielle udbyder med undtagelse af udbydere eller potentielle udbydere af højrisiko-AI-systemer, der er omhandlet i bilag III, punkt 1, 6 og 7, inden for retshåndhævelse, migrationsstyring, asylforvaltning og grænsekontrol, og af højrisiko-AI-systemer, der er omhandlet i bilag III, punkt 2, har registreret afprøvningen under faktiske forhold i overensstemmelse med artikel 71, stk. 4, med et EU-dækkende unikt individuelt identifikationsnummer og de oplysninger, der er angivet i bilag IX; udbyderen eller den potentielle udbyder af højrisiko-AI-systemer, der er omhandlet i bilag III, punkt 1, 6 og 7, inden for retshåndhævelse, migrationsstyring, asylforvaltning og grænsekontrol, har registreret afprøvningen under faktiske forhold i den sikre ikkeoffentlige del af EU-databasen, jf. artikel 49, stk. 4, litra d), med et EU-dækkende unikt individuelt identifikationsnummer og de oplysninger, der er angivet i nævnte litra; udbyderen eller den potentielle udbyder af højrisiko-AI-systemer, der er omhandlet i bilag III, punkt 2, har registreret afprøvningen under faktiske forhold i overensstemmelse med artikel 49, stk. 5
(d)
the provider or prospective provider conducting the testing in real world conditions is established in the Union or has appointed a legal representative who is established in the Union;
d)
den udbyder eller potentielle udbyder, der udfører afprøvningen under faktiske forhold, er etableret i Unionen eller har udpeget en retlig repræsentant, der er etableret i Unionen
(e)
data collected and processed for the purpose of the testing in real world conditions shall be transferred to third countries only provided that appropriate and applicable safeguards under Union law are implemented;
e)
data, der indsamles og behandles med henblik på afprøvning under faktiske forhold, må kun overføres til tredjelande, forudsat at der er gennemført passende og gældende sikkerhedsforanstaltninger i henhold til EU-retten
(f)
the testing in real world conditions does not last longer than necessary to achieve its objectives and in any case not longer than six months, which may be extended for an additional period of six months, subject to prior notification by the provider or prospective provider to the market surveillance authority, accompanied by an explanation of the need for such an extension;
f)
afprøvningen under faktiske forhold varer ikke længere end nødvendigt for at nå målene herfor og under ingen omstændigheder længere end seks måneder, som kan forlænges i en yderligere periode på seks måneder, forudsat at udbyderen eller den potentielle udbyder på forhånd har underrettet markedsovervågningsmyndigheden ledsaget af en redegørelse for behovet for en sådan forlængelse
(g)
the subjects of the testing in real world conditions who are persons belonging to vulnerable groups due to their age or disability, are appropriately protected;
g)
de personer, der er genstand for afprøvningen under faktiske forhold, og som er personer, der tilhører sårbare grupper på grund af deres alder eller handicap, beskyttes på passende vis
(h)
where a provider or prospective provider organises the testing in real world conditions in cooperation with one or more deployers or prospective deployers, the latter have been informed of all aspects of the testing that are relevant to their decision to participate, and given the relevant instructions for use of the AI system referred to in Article 13; the provider or prospective provider and the deployer or prospective deployer shall conclude an agreement specifying their roles and responsibilities with a view to ensuring compliance with the provisions for testing in real world conditions under this Regulation and under other applicable Union and national law;
h)
hvis en udbyder eller potentiel udbyder organiserer afprøvningen under faktiske forhold i samarbejde med en eller flere idriftsættere eller potentielle idriftsættere, er sidstnævnte blevet informeret om alle de aspekter af afprøvningen, der er relevante for deres beslutning om at deltage, og har modtaget den relevante brugsanvisning til AI-systemet, jf. artikel 13; udbyderen eller den potentielle udbyder og idriftsætteren eller den potentielle idriftsætter skal indgå en aftale, der præciserer deres roller og ansvar med henblik på at sikre overholdelse af bestemmelserne om afprøvning under faktiske forhold i henhold til denne forordning og i henhold til anden gældende EU-ret og national ret
(i)
the subjects of the testing in real world conditions have given informed consent in accordance with Article 61, or in the case of law enforcement, where the seeking of informed consent would prevent the AI system from being tested, the testing itself and the outcome of the testing in the real world conditions shall not have any negative effect on the subjects, and their personal data shall be deleted after the test is performed;
i)
de personer, der er genstand for afprøvningen under faktiske forhold, har givet informeret samtykke i overensstemmelse med artikel 61 eller i tilfælde af retshåndhævelse, hvis indhentning af informeret samtykke ville forhindre, at AI-systemet afprøves, og selve afprøvningen og resultatet af afprøvningen under faktiske forhold må ikke have nogen negativ indvirkning på forsøgspersonerne, og deres personoplysninger slettes, efter at afprøvningen er udført
(j)
the testing in real world conditions is effectively overseen by the provider or prospective provider, as well as by deployers or prospective deployers through persons who are suitably qualified in the relevant field and have the necessary capacity, training and authority to perform their tasks;
j)
afprøvningen under faktiske forhold overvåges effektivt af udbyderen eller den potentielle udbyder samt af idriftsættere eller potentielle idriftsættere gennem personer, der er tilstrækkeligt kvalificerede på det relevante område og har den nødvendige kapacitet, uddannelse og myndighed til at udføre deres opgaver
(k)
the predictions, recommendations or decisions of the AI system can be effectively reversed and disregarded.
k)
AI-systemets forudsigelser, anbefalinger eller beslutninger kan effektivt omgøres og tilsidesættes.
5. Any subjects of the testing in real world conditions, or their legally designated representative, as appropriate, may, without any resulting detriment and without having to provide any justification, withdraw from the testing at any time by revoking their informed consent and may request the immediate and permanent deletion of their personal data. The withdrawal of the informed consent shall not affect the activities already carried out.
5. Enhver forsøgsperson, der medvirker i afprøvningen under faktiske forhold, eller vedkommendes retligt udpegede repræsentant, alt efter hvad der er relevant, kan, uden at det medfører ulemper og uden at skulle give nogen begrundelse, når som helst trække sig tilbage fra afprøvningen ved at trække sit informerede samtykke tilbage og anmode om øjeblikkeligt og permanent at få sine personoplysninger slettet. Tilbagetrækningen af det informerede samtykke berører ikke de allerede udførte aktiviteter.
6. In accordance with Article 75, Member States shall confer on their market surveillance authorities the powers of requiring providers and prospective providers to provide information, of carrying out unannounced remote or on-site inspections, and of performing checks on the conduct of the testing in real world conditions and the related high-risk AI systems. Market surveillance authorities shall use those powers to ensure the safe development of testing in real world conditions.
6. I overensstemmelse med artikel 75 tillægger medlemsstaterne deres markedsovervågningsmyndigheder beføjelser til at kræve oplysninger, som udbydere og potentielle udbydere skal indgive, til at foretage uanmeldte fjerninspektioner eller inspektioner på stedet og til at foretage kontrol af, hvordan afprøvningen udføres under faktiske forhold, og de relaterede højrisiko-AI-systemer. Markedsovervågningsmyndighederne anvender disse beføjelser til at sørge for, at afprøvningen under faktiske forhold forløber sikkert.
7. Any serious incident identified in the course of the testing in real world conditions shall be reported to the national market surveillance authority in accordance with Article 73. The provider or prospective provider shall adopt immediate mitigation measures or, failing that, shall suspend the testing in real world conditions until such mitigation takes place, or otherwise terminate it. The provider or prospective provider shall establish a procedure for the prompt recall of the AI system upon such termination of the testing in real world conditions.
7. Enhver alvorlig hændelse, der konstateres under afprøvningen under faktiske forhold, indberettes til den nationale markedsovervågningsmyndighed i overensstemmelse med artikel 73. Udbyderen eller den potentielle udbyder træffer straks afbødende foranstaltninger eller, hvis dette ikke er muligt, suspenderer afprøvningen under faktiske forhold, indtil en sådan afhjælpning finder sted, eller, hvis dette ikke sker, bringer den til ophør. Udbyderen eller den potentielle udbyder indfører en procedure for øjeblikkelig tilbagekaldelse af AI-systemet efter en sådan afslutning af afprøvningen under faktiske forhold.
8. Providers or prospective providers shall notify the national market surveillance authority in the Member State where the testing in real world conditions is to be conducted of the suspension or termination of the testing in real world conditions and of the final outcomes.
8. Udbydere eller potentielle udbydere giver den nationale markedsovervågningsmyndighed i den medlemsstat, hvor afprøvningen under faktiske forhold udføres, meddelelse om suspensionen eller afslutningen af afprøvningen under faktiske forhold og om de endelige resultater.
9. The provider or prospective provider shall be liable under applicable Union and national liability law for any damage caused in the course of their testing in real world conditions.
9. Udbyderen eller den potentielle udbyder er ansvarlige i henhold til gældende EU-ansvarsret og gældende national ansvarsret for enhver skade, der forvoldes i forbindelse med deres afprøvning under faktiske forhold.
Reporting of serious incidents
Indberetning af alvorlige hændelser
1. Providers of high-risk AI systems placed on the Union market shall report any serious incident to the market surveillance authorities of the Member States where that incident occurred.
1. Udbydere af højrisiko-AI-systemer, der bringes i omsætning på EU-markedet, indberetter enhver alvorlig hændelse til markedsovervågningsmyndighederne i de medlemsstater, hvor denne hændelse fandt sted.
2. The report referred to in paragraph 1 shall be made immediately after the provider has established a causal link between the AI system and the serious incident or the reasonable likelihood of such a link, and, in any event, not later than 15 days after the provider or, where applicable, the deployer, becomes aware of the serious incident.
2. Den i stk. 1 omhandlede indberetning foretages umiddelbart efter, at udbyderen har fastslået en årsagssammenhæng mellem AI-systemet og den alvorlige hændelse eller en rimelig sandsynlighed for en sådan sammenhæng, og under alle omstændigheder senest 15 dage efter, at udbyderen eller, hvor det er relevant, idriftsætteren har fået kendskab til den alvorlige hændelse.
The period for the reporting referred to in the first subparagraph shall take account of the severity of the serious incident.
I den i først afsnit omhandlede frist for indberetning tages der hensyn til den alvorlige hændelses alvor.
3. Notwithstanding paragraph 2 of this Article, in the event of a widespread infringement or a serious incident as defined in Article 3, point (49)(b), the report referred to in paragraph 1 of this Article shall be provided immediately, and not later than two days after the provider or, where applicable, the deployer becomes aware of that incident.
3. Uanset denne artikels stk. 2 forelægges den i denne artikels stk. 1 omhandlede rapport i tilfælde af en udbredt overtrædelse eller en alvorlig hændelse som defineret i artikel 3, nr. 49), litra b), omgående og senest to dage efter, at udbyderen eller, hvis det er relevant, idriftsætteren har fået kendskab til den pågældende hændelse.
4. Notwithstanding paragraph 2, in the event of the death of a person, the report shall be provided immediately after the provider or the deployer has established, or as soon as it suspects, a causal relationship between the high-risk AI system and the serious incident, but not later than 10 days after the date on which the provider or, where applicable, the deployer becomes aware of the serious incident.
4. Uanset stk. 2 forelægges rapporten i tilfælde af en persons dødsfald umiddelbart efter, at udbyderen eller idriftsætteren har fastslået, eller så snart vedkommende har mistanke om en årsagssammenhæng mellem højrisiko-AI-systemet og den alvorlige hændelse, og senest ti dage efter den dato, hvor udbyderen eller, hvis det er relevant, idriftsætteren har fået kendskab til den alvorlige hændelse.
5. Where necessary to ensure timely reporting, the provider or, where applicable, the deployer, may submit an initial report that is incomplete, followed by a complete report.
5. Udbyderen eller, hvis det er relevant, idriftsætteren kan om nødvendigt for at sikre rettidig indberetning forelægge en indledende rapport, som ikke er fyldestgørende, efterfulgt af en fyldestgørende rapport.
6. Following the reporting of a serious incident pursuant to paragraph 1, the provider shall, without delay, perform the necessary investigations in relation to the serious incident and the AI system concerned. This shall include a risk assessment of the incident, and corrective action.
6. Efter indberetning af en alvorlig hændelse i henhold til stk. 1 skal udbyderen straks foretage de nødvendige undersøgelser vedrørende den alvorlige hændelse og det pågældende AI-system. Dette omfatter en risikovurdering af hændelsen og korrigerende tiltag.
The provider shall cooperate with the competent authorities, and where relevant with the notified body concerned, during the investigations referred to in the first subparagraph, and shall not perform any investigation which involves altering the AI system concerned in a way which may affect any subsequent evaluation of the causes of the incident, prior to informing the competent authorities of such action.
Udbyderen samarbejder med de kompetente myndigheder og, hvis det er relevant, med det berørte bemyndigede organ under de undersøgelser, der er omhandlet i første afsnit, og må ikke foretage nogen undersøgelse, der medfører ændringer af det pågældende AI-system på en sådan måde, at det kan påvirke en efterfølgende evaluering af årsagerne til hændelsen, uden først at orientere de kompetente myndigheder om et sådant tiltag.
7. Upon receiving a notification related to a serious incident referred to in Article 3, point (49)(c), the relevant market surveillance authority shall inform the national public authorities or bodies referred to in Article 77(1). The Commission shall develop dedicated guidance to facilitate compliance with the obligations set out in paragraph 1 of this Article. That guidance shall be issued by 2 August 2025, and shall be assessed regularly.
7. Når den relevante markedsovervågningsmyndighed modtager en indberetning vedrørende en alvorlig hændelse omhandlet i artikel 3, nr. 49), litra c), underretter den de nationale offentlige myndigheder eller organer, der er omhandlet i artikel 77, stk. 1. Kommissionen udarbejder særlig vejledning for at lette overholdelsen af forpligtelserne i nærværende artikels stk. 1. Denne vejledning udstedes senest den 2. august 2025 og vurderes regelmæssigt.
8. The market surveillance authority shall take appropriate measures, as provided for in Article 19 of Regulation (EU) 2019/1020, within seven days from the date it received the notification referred to in paragraph 1 of this Article, and shall follow the notification procedures as provided in that Regulation.
8. Markedsovervågningsmyndigheden træffer passende foranstaltninger, jf. artikel 19 i forordning (EU) 2019/1020, senest syv dage fra den dato, hvor den modtog den i nærværende artikels stk. 1 omhandlede indberetning, og følger indberetningsprocedurerne som fastsat i nævnte forordning.
9. For high-risk AI systems referred to in Annex III that are placed on the market or put into service by providers that are subject to Union legislative instruments laying down reporting obligations equivalent to those set out in this Regulation, the notification of serious incidents shall be limited to those referred to in Article 3, point (49)(c).
9. I forbindelse med de i bilag III omhandlede højrisiko-AI-systemer, der bringes i omsætning eller ibrugtages af udbydere, som er underlagt Unionens lovgivningsmæssige instrumenter om indberetningsforpligtelser svarende til dem, der er fastsat i denne forordning, begrænses indberetningen af alvorlige hændelser til dem, der er omhandlet i artikel 3, nr. 49), litra c).
10. For high-risk AI systems which are safety components of devices, or are themselves devices, covered by Regulations (EU) 2017/745 and (EU) 2017/746, the notification of serious incidents shall be limited to those referred to in Article 3, point (49)(c) of this Regulation, and shall be made to the national competent authority chosen for that purpose by the Member States where the incident occurred.
10. For højrisiko-AI-systemer, som er sikkerhedskomponenter i udstyr, eller som selv er udstyr, der er omfattet af forordning (EU) 2017/745 og (EU) 2017/746, begrænses indberetningen af alvorlige hændelser til dem, der er omhandlet i nærværende forordnings artikel 3, nr. 49), litra c), og foretages til den nationale kompetente myndighed, som er valgt til dette formål af den medlemsstat, hvor hændelsen fandt sted.
11. National competent authorities shall immediately notify the Commission of any serious incident, whether or not they have taken action on it, in accordance with Article 20 of Regulation (EU) 2019/1020.
11. De nationale kompetente myndigheder underretter omgående Kommissionen om enhver alvorlig hændelse, uanset om de har foretaget tiltag desangående, i overensstemmelse med artikel 20 i forordning (EU) 2019/1020.
Market surveillance and control of AI systems in the Union market
Markedsovervågning og kontrol af AI-systemer på EU-markedet
1. Regulation (EU) 2019/1020 shall apply to AI systems covered by this Regulation. For the purposes of the effective enforcement of this Regulation:
1. Forordning (EU) 2019/1020 finder anvendelse på AI-systemer, der er omfattet af nærværende forordning. Med henblik på effektiv håndhævelse af nærværende forordning gælder følgende:
(a)
any reference to an economic operator under Regulation (EU) 2019/1020 shall be understood as including all operators identified in Article 2(1) of this Regulation;
a)
enhver henvisning til en erhvervsdrivende i henhold til forordning (EU) 2019/1020 skal forstås således, at den omfatter alle operatører, der er omfattet af nærværende forordnings artikel 2, stk. 1
(b)
any reference to a product under Regulation (EU) 2019/1020 shall be understood as including all AI systems falling within the scope of this Regulation.
b)
enhver henvisning til et produkt i henhold til forordning (EU) 2019/1020 skal forstås således, at den omfatter alle AI-systemer, der henhører under nærværende forordnings anvendelsesområde.
2. As part of their reporting obligations under Article 34(4) of Regulation (EU) 2019/1020, the market surveillance authorities shall report annually to the Commission and relevant national competition authorities any information identified in the course of market surveillance activities that may be of potential interest for the application of Union law on competition rules. They shall also annually report to the Commission about the use of prohibited practices that occurred during that year and about the measures taken.
2. Som led i deres rapporteringsforpligtelser i henhold til artikel 34, stk. 4, i forordning (EU) 2019/1020 aflægger markedsovervågningsmyndighederne årligt rapport til Kommissionen og de relevante nationale konkurrencemyndigheder i forbindelse med markedsovervågningsaktiviteter, som kan være af potentiel interesse for anvendelsen af EU-retten om konkurrenceregler. De aflægger også årligt rapport til Kommissionen om anvendelsen af forbudt praksis, der har fundet sted i løbet af det pågældende år, og om de foranstaltninger, der er truffet.
3. For high-risk AI systems related to products covered by the Union harmonisation legislation listed in Section A of Annex I, the market surveillance authority for the purposes of this Regulation shall be the authority responsible for market surveillance activities designated under those legal acts.
3. For så vidt angår højrisiko-AI-systemer, som er knyttet til produkter, der er omfattet af EU-harmoniseringslovgivningen, som er opført i bilag I, afsnit A, er markedsovervågningsmyndigheden med henblik på denne forordning den myndighed, der i henhold til disse retsakter er ansvarlig for markedsovervågningsaktiviteter.
By derogation from the first subparagraph, and in appropriate circumstances, Member States may designate another relevant authority to act as a market surveillance authority, provided they ensure coordination with the relevant sectoral market surveillance authorities responsible for the enforcement of the Union harmonisation legislation listed in Annex I.
Uanset første afsnit og under behørige omstændigheder kan medlemsstaterne udpege en anden relevant myndighed til at fungere som markedsovervågningsmyndighed, forudsat at de sikrer koordinering med de relevante sektorspecifikke markedsovervågningsmyndigheder, der er ansvarlige for håndhævelsen af den EU-harmoniseringslovgivning, der er opført i bilag I.
4. The procedures referred to in Articles 79 to 83 of this Regulation shall not apply to AI systems related to products covered by the Union harmonisation legislation listed in section A of Annex I, where such legal acts already provide for procedures ensuring an equivalent level of protection and having the same objective. In such cases, the relevant sectoral procedures shall apply instead.
4. De procedurer, der er omhandlet i denne forordnings artikel 79-83, finder ikke anvendelse på AI-systemer, som er knyttet til produkter, der er omfattet af EU-harmoniseringslovgivningen, som er opført i bilag I, afsnit A, hvis sådanne retsakter allerede indeholder bestemmelser om procedurer, der sikrer et tilsvarende beskyttelsesniveau og har det samme formål. I sådanne tilfælde finder de relevante sektorprocedurer anvendelse i stedet.
5. Without prejudice to the powers of market surveillance authorities under Article 14 of Regulation (EU) 2019/1020, for the purpose of ensuring the effective enforcement of this Regulation, market surveillance authorities may exercise the powers referred to in Article 14(4), points (d) and (j), of that Regulation remotely, as appropriate.
5. Uden at det berører markedsovervågningsmyndighedernes beføjelser i henhold til artikel 14 i forordning (EU) 2019/1020, kan markedsovervågningsmyndighederne med henblik på at sikre en effektiv håndhævelse af nærværende forordning udøve de beføjelser, der er omhandlet i nævnte forordnings artikel 14, stk. 4, litra d) og j), på afstand, alt efter hvad der er relevant.
6. For high-risk AI systems placed on the market, put into service, or used by financial institutions regulated by Union financial services law, the market surveillance authority for the purposes of this Regulation shall be the relevant national authority responsible for the financial supervision of those institutions under that legislation in so far as the placing on the market, putting into service, or the use of the AI system is in direct connection with the provision of those financial services.
6. For så vidt angår højrisiko-AI-systemer, der bringes i omsætning, ibrugtages eller anvendes af finansielle institutioner, der er omfattet af EU-retten om finansielle tjenesteydelser, er markedsovervågningsmyndigheden med henblik på denne forordning den relevante nationale myndighed, der i henhold til nævnte lovgivning er ansvarlig for det finansielle tilsyn med disse institutioner, såfremt omsætningen, ibrugtagningen eller anvendelsen af AI-systemet er i direkte forbindelse med leveringen af disse finansielle tjenesteydelser.
7. By way of derogation from paragraph 6, in appropriate circumstances, and provided that coordination is ensured, another relevant authority may be identified by the Member State as market surveillance authority for the purposes of this Regulation.
7. Uanset stk. 6 kan medlemsstaten under behørige omstændigheder, og forudsat at der sikres koordinering, udpege en anden relevant myndighed som markedsovervågningsmyndighed med henblik på denne forordning.
National market surveillance authorities supervising regulated credit institutions regulated under Directive 2013/36/EU, which are participating in the Single Supervisory Mechanism established by Regulation (EU) No 1024/2013, should report, without delay, to the European Central Bank any information identified in the course of their market surveillance activities that may be of potential interest for the prudential supervisory tasks of the European Central Bank specified in that Regulation.
Nationale markedsovervågningsmyndigheder, som fører tilsyn med kreditinstitutter, der er reguleret i henhold til direktiv 2013/36/EU, og som deltager i den fælles tilsynsmekanisme, der er oprettet ved forordning (EU) nr. 1024/2013, bør straks indberette alle de oplysninger identificeret i forbindelse med deres markedsovervågningsaktiviteter, som kan være af potentiel interesse for Den Europæiske Centralbanks tilsynsopgaver som fastsat i nævnte forordning, til Den Europæiske Centralbank.
8. For high-risk AI systems listed in point 1 of Annex III to this Regulation, in so far as the systems are used for law enforcement purposes, border management and justice and democracy, and for high-risk AI systems listed in points 6, 7 and 8 of Annex III to this Regulation, Member States shall designate as market surveillance authorities for the purposes of this Regulation either the competent data protection supervisory authorities under Regulation (EU) 2016/679 or Directive (EU) 2016/680, or any other authority designated pursuant to the same conditions laid down in Articles 41 to 44 of Directive (EU) 2016/680. Market surveillance activities shall in no way affect the independence of judicial authorities, or otherwise interfere with their activities when acting in their judicial capacity.
8. For så vidt angår de højrisiko-AI-systemer, der er anført i bilag III, punkt 1, til denne forordning for så vidt systemerne anvendes til retshåndhævelsesformål, grænseforvaltning og retsvæsen og demokrati, og de højrisiko-AI-systemer, der er anført i bilag III, punkt 6, 7 og 8, til denne forordning, udpeger medlemsstaterne med henblik på denne forordning som markedsovervågningsmyndigheder enten de kompetente datatilsynsmyndigheder i henhold til forordning (EU) 2016/679 eller direktiv (EU) 2016/680 eller enhver anden myndighed, der er udpeget på de samme betingelser, der er fastsat i artikel 41-44 i direktiv (EU) 2016/680. Markedsovervågningsaktiviteter må på ingen måde påvirke de judicielle myndigheders uafhængighed eller på anden måde gribe ind i deres aktiviteter, når de handler i deres egenskab af domstol.
9. Where Union institutions, bodies, offices or agencies fall within the scope of this Regulation, the European Data Protection Supervisor shall act as their market surveillance authority, except in relation to the Court of Justice of the European Union acting in its judicial capacity.
9. I tilfælde, hvor EU-institutioner, -organer, -kontorer eller -agenturer er omfattet af denne forordning, fungerer Den Europæiske Tilsynsførende for Databeskyttelse som deres markedsovervågningsmyndighed, undtagen i forbindelse med EU-Domstolen, som handler i sin egenskab af domstol.
10. Member States shall facilitate coordination between market surveillance authorities designated under this Regulation and other relevant national authorities or bodies which supervise the application of Union harmonisation legislation listed in Annex I, or in other Union law, that might be relevant for the high-risk AI systems referred to in Annex III.
10. Medlemsstaterne skal lette koordinering mellem markedsovervågningsmyndigheder, der er udpeget i henhold til denne forordning, og andre relevante nationale myndigheder eller organer, der fører tilsyn med anvendelsen af den EU-harmoniseringslovgivning, der er opført i bilag I, eller anden EU-ret, der kan være relevant for de i bilag III omhandlede højrisiko-AI-systemer.
11. Market surveillance authorities and the Commission shall be able to propose joint activities, including joint investigations, to be conducted by either market surveillance authorities or market surveillance authorities jointly with the Commission, that have the aim of promoting compliance, identifying non-compliance, raising awareness or providing guidance in relation to this Regulation with respect to specific categories of high-risk AI systems that are found to present a serious risk across two or more Member States in accordance with Article 9 of Regulation (EU) 2019/1020. The AI Office shall provide coordination support for joint investigations.
11. Markedsovervågningsmyndighederne og Kommissionen kan foreslå fælles aktiviteter, herunder fælles undersøgelser, som skal gennemføres af enten markedsovervågningsmyndigheder eller af markedsovervågningsmyndigheder sammen med Kommissionen, og som har til formål at fremme overholdelse, identificere manglende overholdelse, øge bevidstheden eller yde vejledning for så vidt angår denne forordning med hensyn til specifikke kategorier af højrisiko-AI-systemer, der anses for at udgøre en alvorlig risiko i to eller flere medlemsstater i overensstemmelse med artikel 9 i forordning (EU) 2019/1020. AI-kontoret sørger for koordinerende støtte til de fælles undersøgelser.
12. Without prejudice to the powers provided for under Regulation (EU) 2019/1020, and where relevant and limited to what is necessary to fulfil their tasks, the market surveillance authorities shall be granted full access by providers to the documentation as well as the training, validation and testing data sets used for the development of high-risk AI systems, including, where appropriate and subject to security safeguards, through application programming interfaces (API) or other relevant technical means and tools enabling remote access.
12. Uden at det berører de beføjelser, der er fastsat i forordning (EU) 2019/1020, og hvis det er relevant og begrænset til, hvad der er nødvendigt for, at markedsovervågningsmyndighederne kan udføre deres opgaver, gives de af udbydere fuld adgang til den dokumentation samt til de trænings-, validerings- og afprøvningsdatasæt, der anvendes til udvikling af højrisiko-AI-systemer, herunder, hvis det er relevant og med forbehold af sikkerhedsforanstaltninger, via programmeringsgrænseflader for applikationer (API'er) eller andre relevante tekniske midler og værktøjer, der muliggør fjernadgang.
13. Market surveillance authorities shall be granted access to the source code of the high-risk AI system upon a reasoned request and only when both of the following conditions are fulfilled:
13. Markedsovervågningsmyndighederne gives efter begrundet anmodning adgang til kildekoden for højrisiko-AI-systemet, og kun når begge følgende betingelser er opfyldt:
(a)
access to source code is necessary to assess the conformity of a high-risk AI system with the requirements set out in Chapter III, Section 2; and
a)
adgang til kildekode er nødvendig for at vurdere, om et højrisiko-AI-system er i overensstemmelse med kravene i kapitel III, afdeling 2, og
(b)
testing or auditing procedures and verifications based on the data and documentation provided by the provider have been exhausted or proved insufficient.
b)
afprøvnings- eller revisionsprocedurer og -verifikationer på grundlag af data og dokumentation fra udbyderen er udtømt eller har vist sig at være utilstrækkelige.
14. Any information or documentation obtained by market surveillance authorities shall be treated in accordance with the confidentiality obligations set out in Article 78.
14. Alle de oplysninger eller al den dokumentation, som markedsovervågningsmyndighederne kommer i besiddelse af, behandles i overensstemmelse med fortrolighedsforpligtelserne fastsat i artikel 78.
Procedure at national level for dealing with AI systems presenting a risk
Procedure på nationalt plan i tilfælde af AI-systemer, der udgør en risiko
1. AI systems presenting a risk shall be understood as a ‘product presenting a risk’ as defined in Article 3, point 19 of Regulation (EU) 2019/1020, in so far as they present risks to the health or safety, or to fundamental rights, of persons.
1. AI-systemer, der udgør en risiko, skal forstås som et »produkt, der udgør en risiko« som defineret i artikel 3, nr. 19), i forordning (EU) 2019/1020, for så vidt de udgør risici for sundhed eller sikkerhed eller for personers grundlæggende rettigheder.
2. Where the market surveillance authority of a Member State has sufficient reason to consider an AI system to present a risk as referred to in paragraph 1 of this Article, it shall carry out an evaluation of the AI system concerned in respect of its compliance with all the requirements and obligations laid down in this Regulation. Particular attention shall be given to AI systems presenting a risk to vulnerable groups. Where risks to fundamental rights are identified, the market surveillance authority shall also inform and fully cooperate with the relevant national public authorities or bodies referred to in Article 77(1). The relevant operators shall cooperate as necessary with the market surveillance authority and with the other national public authorities or bodies referred to in Article 77(1).
2. Hvis en medlemsstats markedsovervågningsmyndighed har tilstrækkelig grund til at mene, at et AI-system udgør en risiko som omhandlet i denne artikels stk. 1, foretager den en evaluering af det pågældende AI-system for så vidt angår dets overholdelse af alle de krav og forpligtelser, der er fastsat i denne forordning. Der lægges særlig vægt på AI-systemer, der udgør en risiko for sårbare grupper. Hvis der identificeres risici for grundlæggende rettigheder, underretter markedsovervågningsmyndigheden også de relevante nationale offentlige myndigheder eller organer, der er omhandlet i artikel 77, stk. 1, og samarbejder fuldt ud med dem. De relevante operatører samarbejder om nødvendigt med markedsovervågningsmyndigheden og med de andre nationale offentlige myndigheder eller organer, der er omhandlet i artikel 77, stk. 1.
Where, in the course of that evaluation, the market surveillance authority or, where applicable the market surveillance authority in cooperation with the national public authority referred to in Article 77(1), finds that the AI system does not comply with the requirements and obligations laid down in this Regulation, it shall without undue delay require the relevant operator to take all appropriate corrective actions to bring the AI system into compliance, to withdraw the AI system from the market, or to recall it within a period the market surveillance authority may prescribe, and in any event within the shorter of 15 working days, or as provided for in the relevant Union harmonisation legislation.
Hvis markedsovervågningsmyndigheden i forbindelse med evalueringen eller i givet fald i samarbejde med den nationale offentlige myndighed, der er omhandlet i artikel 77, stk. 1, konstaterer, at AI-systemet ikke overholder kravene og forpligtelserne i denne forordning, anmoder den uden unødigt ophold den pågældende operatør om at foretage alle fornødne korrigerende tiltag til at sørge for, at AI-systemet overholder kravene og forpligtelserne, tilbagetrække AI-systemet fra markedet eller tilbagekalde det inden for en tidsfrist, som markedsovervågningsmyndigheden kan fastsætte, og under alle omstændigheder inden for 15 arbejdsdage eller som fastsat i den relevante EU-harmoniseringslovgivning.
The market surveillance authority shall inform the relevant notified body accordingly. Article 18 of Regulation (EU) 2019/1020 shall apply to the measures referred to in the second subparagraph of this paragraph.
Markedsovervågningsmyndigheden skal underrette det relevante bemyndigede organ herom. Artikel 18 i forordning (EU) 2019/1020 finder anvendelse på de i dette stykkes andet afsnit omhandlede foranstaltninger.
3. Where the market surveillance authority considers that the non-compliance is not restricted to its national territory, it shall inform the Commission and the other Member States without undue delay of the results of the evaluation and of the actions which it has required the operator to take.
3. Hvis markedsovervågningsmyndigheden konstaterer, at den manglende overholdelse ikke er begrænset til medlemsstatens område, underretter den uden unødigt ophold Kommissionen og de øvrige medlemsstater om resultaterne af evalueringen og om de tiltag, den har pålagt operatøren at foretage.
4. The operator shall ensure that all appropriate corrective action is taken in respect of all the AI systems concerned that it has made available on the Union market.
4. Operatøren sikrer, at der foretages alle fornødne korrigerende tiltag over for alle de pågældende AI-systemer, som denne har gjort tilgængelige EU-markedet.
5. Where the operator of an AI system does not take adequate corrective action within the period referred to in paragraph 2, the market surveillance authority shall take all appropriate provisional measures to prohibit or restrict the AI system’s being made available on its national market or put into service, to withdraw the product or the standalone AI system from that market or to recall it. That authority shall without undue delay notify the Commission and the other Member States of those measures.
5. Hvis AI-systemets operatør ikke foretager tilstrækkelige korrigerende tiltag inden for den frist, der er omhandlet i stk. 2, træffer markedsovervågningsmyndigheden de nødvendige foreløbige foranstaltninger til at forbyde eller begrænse, at AI-systemet gøres tilgængeligt på dens nationale marked eller ibrugtages, tilbagetrække produktet eller det selvstændige AI-system fra dette marked eller tilbagekalde det. Den pågældende myndighed giver uden unødigt ophold Kommissionen og de øvrige medlemsstater meddelelse om disse foranstaltninger.
6. The notification referred to in paragraph 5 shall include all available details, in particular the information necessary for the identification of the non-compliant AI system, the origin of the AI system and the supply chain, the nature of the non-compliance alleged and the risk involved, the nature and duration of the national measures taken and the arguments put forward by the relevant operator. In particular, the market surveillance authorities shall indicate whether the non-compliance is due to one or more of the following:
6. Den i stk. 5 omhandlede underretning skal indeholde alle tilgængelige oplysninger, navnlig de nødvendige oplysninger til identifikation af det AI-system, der ikke overholder kravene, AI-systemets og forsyningskædens oprindelse, arten af den påståede manglende overholdelse og af den pågældende risiko, arten og varigheden af de trufne nationale foranstaltninger samt de synspunkter, som den pågældende operatør har fremsat. Markedsovervågningsmyndighederne oplyser navnlig, om den manglende overholdelse af kravene skyldes et eller flere af følgende:
(a)
non-compliance with the prohibition of the AI practices referred to in Article 5;
a)
manglende overholdelse af forbuddet mod de i artikel 5 omhandlede former for AI-praksis
(b)
a failure of a high-risk AI system to meet requirements set out in Chapter III, Section 2;
b)
et højrisiko-AI-systems manglende opfyldelse af kravene i kapitel III, afdeling 2
(c)
shortcomings in the harmonised standards or common specifications referred to in Articles 40 and 41 conferring a presumption of conformity;
c)
mangler i de harmoniserede standarder eller fælles specifikationer, der er omhandlet i artikel 40 og 41, og som danner grundlag for overensstemmelsesformodningen
(d)
non-compliance with Article 50.
d)
manglende overholdelse af artikel 50.
7. The market surveillance authorities other than the market surveillance authority of the Member State initiating the procedure shall, without undue delay, inform the Commission and the other Member States of any measures adopted and of any additional information at their disposal relating to the non-compliance of the AI system concerned, and, in the event of disagreement with the notified national measure, of their objections.
7. Andre markedsovervågningsmyndigheder end markedsovervågningsmyndigheden i den medlemsstat, der har indledt proceduren, underretter uden unødigt ophold Kommissionen og de øvrige medlemsstater om de trufne foranstaltninger og om yderligere oplysninger, som de måtte råde over, om det pågældende AI-systems manglende overholdelse og om deres indsigelser, hvis de ikke er indforstået med den meddelte nationale foranstaltning.
8. Where, within three months of receipt of the notification referred to in paragraph 5 of this Article, no objection has been raised by either a market surveillance authority of a Member State or by the Commission in respect of a provisional measure taken by a market surveillance authority of another Member State, that measure shall be deemed justified. This shall be without prejudice to the procedural rights of the concerned operator in accordance with Article 18 of Regulation (EU) 2019/1020. The three-month period referred to in this paragraph shall be reduced to 30 days in the event of non-compliance with the prohibition of the AI practices referred to in Article 5 of this Regulation.
8. Hvis der ikke inden for tre måneder efter modtagelsen af den i denne artikels stk. 5 omhandlede underretning er blevet gjort indsigelse af enten en markedsovervågningsmyndighed i en medlemsstat eller af Kommissionen mod en foreløbig foranstaltning truffet af en markedsovervågningsmyndighed i en anden medlemsstat, anses denne foranstaltning for at være berettiget. Dette berører ikke den pågældende operatørs procedurerettigheder i overensstemmelse med artikel 18 i forordning (EU) 2019/1020. Den periode på tre måneder, der er omhandlet i nærværende stykke, nedsættes til 30 dage i tilfælde af manglende overholdelse af forbuddet mod de i nærværende forordnings artikel 5 anførte former for AI-praksis.
9. The market surveillance authorities shall ensure that appropriate restrictive measures are taken in respect of the product or the AI system concerned, such as withdrawal of the product or the AI system from their market, without undue delay.
9. Markedsovervågningsmyndighederne sikrer, at der uden unødigt ophold træffes de fornødne restriktive foranstaltninger med hensyn til det pågældende produkt eller AI-system såsom tilbagetrækning af produktet eller AI-systemet fra deres marked.
1. In accordance with the terms and conditions laid down in this Regulation, Member States shall lay down the rules on penalties and other enforcement measures, which may also include warnings and non-monetary measures, applicable to infringements of this Regulation by operators, and shall take all measures necessary to ensure that they are properly and effectively implemented, thereby taking into account the guidelines issued by the Commission pursuant to Article 96. The penalties provided for shall be effective, proportionate and dissuasive. They shall take into account the interests of SMEs, including start-ups, and their economic viability.
1. I overensstemmelse med de vilkår og betingelser, der er fastsat i denne forordning, fastsætter medlemsstaterne regler om sanktioner og andre håndhævelsesforanstaltninger, som også kan omfatte advarsler og ikkeøkonomiske foranstaltninger, for operatørers overtrædelse af denne forordning og træffer alle nødvendige foranstaltninger for at sikre, at de gennemføres korrekt og effektivt, og dermed tage hensyn til de retningslinjer, som Kommissionen har udstedt i henhold til artikel 96. Sanktionerne skal være effektive, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning. Der tages hensyn til SMV'ers, herunder iværksættervirksomheders, interesser og deres økonomiske levedygtighed.
2. The Member States shall, without delay and at the latest by the date of entry into application, notify the Commission of the rules on penalties and of other enforcement measures referred to in paragraph 1, and shall notify it, without delay, of any subsequent amendment to them.
2. Medlemsstaterne giver straks og senest på anvendelsesdatoen Kommissionen meddelelse om reglerne om sanktioner og andre håndhævelsesforanstaltninger, der er omhandlet i stk. 1, og meddeler den straks enhver efterfølgende ændring heraf.
3. Non-compliance with the prohibition of the AI practices referred to in Article 5 shall be subject to administrative fines of up to EUR 35 000 000 or, if the offender is an undertaking, up to 7 % of its total worldwide annual turnover for the preceding financial year, whichever is higher.
3. Manglende overholdelse af forbud mod de i artikel 5 anførte former for AI-praksis straffes med administrative bøder på op til 35 000 000 EUR eller, hvis lovovertræderen er en virksomhed, op til 7 % af dens samlede globale årlige omsætning i det foregående regnskabsår, alt efter hvilket beløb der er størst.
4. Non-compliance with any of the following provisions related to operators or notified bodies, other than those laid down in Articles 5, shall be subject to administrative fines of up to EUR 15 000 000 or, if the offender is an undertaking, up to 3 % of its total worldwide annual turnover for the preceding financial year, whichever is higher:
4. Manglende overholdelse af en af følgende bestemmelser vedrørende operatører eller bemyndigede organer, bortset fra de bestemmelser, der er fastsat i artikel 5, straffes med administrative bøder på op til 15 000 000 EUR eller, hvis lovovertræderen er en virksomhed, op til 3 % af dens samlede globale årlige omsætning i det foregående regnskabsår, alt efter hvilket beløb der er størst:
(a)
obligations of providers pursuant to Article 16;
a)
forpligtelser for udbydere i henhold til artikel 16
(b)
obligations of authorised representatives pursuant to Article 22;
b)
forpligtelser for bemyndigede repræsentanter i henhold til artikel 22
(c)
obligations of importers pursuant to Article 23;
c)
forpligtelser for importører i henhold til artikel 23
(d)
obligations of distributors pursuant to Article 24;
d)
forpligtelser for distributører i henhold til artikel 24
(e)
obligations of deployers pursuant to Article 26;
e)
forpligtelser for idriftsættere i henhold til artikel 26
(f)
requirements and obligations of notified bodies pursuant to Article 31, Article 33(1), (3) and (4) or Article 34;
f)
krav til og forpligtelser for bemyndigede organer i henhold til artikel 31, artikel 33, stk. 1, 3 og 4, eller artikel 34
(g)
transparency obligations for providers and deployers pursuant to Article 50.
g)
gennemsigtighedsforpligtelser for udbydere og idriftsættere i henhold til artikel 50.
5. The supply of incorrect, incomplete or misleading information to notified bodies or national competent authorities in reply to a request shall be subject to administrative fines of up to EUR 7 500 000 or, if the offender is an undertaking, up to 1 % of its total worldwide annual turnover for the preceding financial year, whichever is higher.
5. Afgivelse af ukorrekte, ufuldstændige eller vildledende oplysninger til bemyndigede organer eller nationale kompetente myndigheder som svar på en anmodning straffes med administrative bøder på op til 7 500 000 EUR eller, hvis lovovertræderen er en virksomhed, op til 1 % af dens samlede globale årlige omsætning i det foregående regnskabsår, alt efter hvilket beløb der er størst.
6. In the case of SMEs, including start-ups, each fine referred to in this Article shall be up to the percentages or amount referred to in paragraphs 3, 4 and 5, whichever thereof is lower.
6. For SMV'er, herunder iværksættervirksomheder, skal hver bøde, der er omhandlet i denne artikel, være op til den procentsats eller det beløb, der er omhandlet i stk. 3, 4 og 5, alt efter hvilken af dem der er lavest.
7. When deciding whether to impose an administrative fine and when deciding on the amount of the administrative fine in each individual case, all relevant circumstances of the specific situation shall be taken into account and, as appropriate, regard shall be given to the following:
7. Når der træffes afgørelse om, hvorvidt der skal pålægges en administrativ bøde, og ved fastsættelsen af den administrative bødes størrelse tages der i hvert enkelt tilfælde hensyn til alle relevante omstændigheder i den specifikke situation, og der tages i relevant omfang hensyn til følgende:
(a)
the nature, gravity and duration of the infringement and of its consequences, taking into account the purpose of the AI system, as well as, where appropriate, the number of affected persons and the level of damage suffered by them;
a)
overtrædelsens art, grovhed og varighed samt dens konsekvenser under hensyntagen til formålet med AI-systemet samt, hvis det er relevant, antallet af berørte personer og omfanget af den skade, de har lidt
(b)
whether administrative fines have already been applied by other market surveillance authorities to the same operator for the same infringement;
b)
hvorvidt andre markedsovervågningsmyndigheder allerede har pålagt den samme operatør administrative bøder for samme overtrædelse
(c)
whether administrative fines have already been applied by other authorities to the same operator for infringements of other Union or national law, when such infringements result from the same activity or omission constituting a relevant infringement of this Regulation;
c)
hvorvidt andre myndigheder allerede har pålagt den samme operatør administrative bøder for overtrædelser af anden EU-ret eller national ret, når sådanne overtrædelser skyldes den samme aktivitet eller undladelse, der udgør en relevant overtrædelse af denne forordning
(d)
the size, the annual turnover and market share of the operator committing the infringement;
d)
størrelsen på den operatør, der har begået overtrædelsen, og dennes årlige omsætning og markedsandel
(e)
any other aggravating or mitigating factor applicable to the circumstances of the case, such as financial benefits gained, or losses avoided, directly or indirectly, from the infringement;
e)
om der er andre skærpende eller formildende faktorer ved sagens omstændigheder såsom opnåede økonomiske fordele eller undgåede tab som direkte eller indirekte følge af overtrædelsen
(f)
the degree of cooperation with the national competent authorities, in order to remedy the infringement and mitigate the possible adverse effects of the infringement;
f)
graden af samarbejde med de nationale kompetente myndigheder for at afhjælpe overtrædelsen og begrænse de negative konsekvenser, som overtrædelsen måtte have givet anledning til
(g)
the degree of responsibility of the operator taking into account the technical and organisational measures implemented by it;
g)
graden af ansvar hos operatøren under hensyntagen til de tekniske og organisatoriske foranstaltninger, som vedkommende har gennemført
(h)
the manner in which the infringement became known to the national competent authorities, in particular whether, and if so to what extent, the operator notified the infringement;
h)
den måde, hvorpå de nationale kompetente myndigheder fik kendskab til overtrædelsen, navnlig om operatøren har underrettet om overtrædelsen, og i givet fald i hvilket omfang
(i)
the intentional or negligent character of the infringement;
i)
hvorvidt overtrædelsen blev begået forsætligt eller uagtsomt
(j)
any action taken by the operator to mitigate the harm suffered by the affected persons.
j)
ethvert tiltag fra operatørens side for at afbøde skaden på de pågældende personer.
8. Each Member State shall lay down rules on to what extent administrative fines may be imposed on public authorities and bodies established in that Member State.
8. Hver medlemsstat fastsætter regler om, i hvilket omfang administrative bøder kan pålægges offentlige myndigheder og organer, der er etableret i den pågældende medlemsstat.
9. Depending on the legal system of the Member States, the rules on administrative fines may be applied in such a manner that the fines are imposed by competent national courts or by other bodies, as applicable in those Member States. The application of such rules in those Member States shall have an equivalent effect.
9. Afhængigt af medlemsstaternes retssystem kan reglerne om administrative bøder anvendes på en sådan måde, at bøderne pålægges af kompetente nationale domstole eller af andre organer, alt efter hvad der er relevant i disse medlemsstater. Anvendelsen af disse regler i disse medlemsstater har tilsvarende virkning.
10. The exercise of powers under this Article shall be subject to appropriate procedural safeguards in accordance with Union and national law, including effective judicial remedies and due process.
10. Udøvelse af beføjelser i henhold til denne artikel skal være underlagt fornødne proceduremæssige sikkerhedsforanstaltninger i overensstemmelse med EU-retten og national ret, herunder effektive retsmidler og retfærdig procedure.
11. Member States shall, on an annual basis, report to the Commission about the administrative fines they have issued during that year, in accordance with this Article, and about any related litigation or judicial proceedings.
11. Medlemsstaterne aflægger årligt rapport til Kommissionen om de administrative bøder, de har udstedt i løbet af det pågældende år, i overensstemmelse med denne artikel, og om eventuelle dermed forbundne tvister eller retssager.
1. The Commission shall assess the need for amendment of the list set out in Annex III and of the list of prohibited AI practices laid down in Article 5, once a year following the entry into force of this Regulation, and until the end of the period of the delegation of power laid down in Article 97. The Commission shall submit the findings of that assessment to the European Parliament and the Council.
1. Kommissionen vurderer behovet for at ændre listen i bilag III og listen over forbudte former for AI-praksis i artikel 5 én gang om året efter denne forordnings ikrafttræden og indtil slutningen af perioden med delegation af beføjelser, der er fastsat i artikel 97. Kommissionen forelægger resultaterne af denne vurdering for Europa-Parlamentet og Rådet.
2. By 2 August 2028 and every four years thereafter, the Commission shall evaluate and report to the European Parliament and to the Council on the following:
2. Senest den 2. august 2028 og hvert fjerde år derefter evaluerer Kommissionen og aflægger rapport til Europa-Parlamentet og Rådet om følgende:
(a)
the need for amendments extending existing area headings or adding new area headings in Annex III;
a)
behovet for ændringer om udvidelse af eksisterende områdeoverskrifter eller tilføjelse af nye områdeoverskrifter i bilag III
(b)
amendments to the list of AI systems requiring additional transparency measures in Article 50;
b)
ændringer af listen over de AI-systemer, der kræver yderligere gennemsigtighedsforanstaltninger i henhold til artikel 50
(c)
amendments enhancing the effectiveness of the supervision and governance system.
c)
ændringer om styrkelse af effektiviteten af tilsyns- og forvaltningssystemet.
3. By 2 August 2029 and every four years thereafter, the Commission shall submit a report on the evaluation and review of this Regulation to the European Parliament and to the Council. The report shall include an assessment with regard to the structure of enforcement and the possible need for a Union agency to resolve any identified shortcomings. On the basis of the findings, that report shall, where appropriate, be accompanied by a proposal for amendment of this Regulation. The reports shall be made public.
3. Senest den 2. august 2029 og hvert fjerde år derefter forelægger Kommissionen Europa-Parlamentet og Rådet en rapport om evaluering og revision af denne forordning. Rapporten skal indeholde en vurdering af håndhævelsesstrukturen og det eventuelle behov for, at et EU-agentur løser eventuelle konstaterede mangler. På grundlag af resultaterne ledsages rapporten i givet fald af et forslag til ændring af denne forordning. Rapporterne offentliggøres.
4. The reports referred to in paragraph 2 shall pay specific attention to the following:
4. I de i stk. 2 omhandlede rapporter lægges der særlig vægt på følgende:
(a)
the status of the financial, technical and human resources of the national competent authorities in order to effectively perform the tasks assigned to them under this Regulation;
a)
status over de nationale kompetente myndigheders finansielle, tekniske og menneskelige ressourcer med henblik på effektivt at udføre de opgaver, de pålægges i henhold til denne forordning
(b)
the state of penalties, in particular administrative fines as referred to in Article 99(1), applied by Member States for infringements of this Regulation;
b)
status over de sanktioner, navnlig de administrative bøder, der er omhandlet i artikel 99, stk. 1, som medlemsstaterne har pålagt som følge af overtrædelser af denne forordning
(c)
adopted harmonised standards and common specifications developed to support this Regulation;
c)
vedtagne harmoniserede standarder og fælles specifikationer, der er udarbejdet til støtte for denne forordning
(d)
the number of undertakings that enter the market after the entry into application of this Regulation, and how many of them are SMEs.
d)
antallet af virksomheder, der kommer ind på markedet efter anvendelsen af denne forordning, og hvor mange af dem der er SMV'er.
5. By 2 August 2028, the Commission shall evaluate the functioning of the AI Office, whether the AI Office has been given sufficient powers and competences to fulfil its tasks, and whether it would be relevant and needed for the proper implementation and enforcement of this Regulation to upgrade the AI Office and its enforcement competences and to increase its resources. The Commission shall submit a report on its evaluation to the European Parliament and to the Council.
5. Senest den 2. august 2028 evaluerer Kommissionen AI-kontorets funktion, og om det har fået tilstrækkelige beføjelser og kompetencer til at udføre sine opgaver, samt om det vil være relevant og nødvendigt for en korrekt gennemførelse og håndhævelse af denne forordning at opgradere AI-Kontoret og dets håndhævelsesbeføjelser og øge dets ressourcer. Kommissionen forelægger en rapport om sin evaluering for Europa-Parlamentet og Rådet.
6. By 2 August 2028 and every four years thereafter, the Commission shall submit a report on the review of the progress on the development of standardisation deliverables on the energy-efficient development of general-purpose AI models, and asses the need for further measures or actions, including binding measures or actions. The report shall be submitted to the European Parliament and to the Council, and it shall be made public.
6. Senest den 2. august 2028 og hvert fjerde år derefter forelægger Kommissionen en rapport om revisionen af fremskridt med udviklingen af standardiseringsdokumentation om en energieffektiv udvikling af AI-modeller til almen brug og vurderer behovet for yderligere foranstaltninger eller tiltag, herunder bindende foranstaltninger eller tiltag. Rapporten forelægges Europa-Parlamentet og Rådet og offentliggøres.
7. By 2 August 2028 and every three years thereafter, the Commission shall evaluate the impact and effectiveness of voluntary codes of conduct to foster the application of the requirements set out in Chapter III, Section 2 for AI systems other than high-risk AI systems and possibly other additional requirements for AI systems other than high-risk AI systems, including as regards environmental sustainability.
7. Senest den 2. august 2028 og hvert tredje år derefter evaluerer Kommissionen virkningen og effektiviteten af frivillige adfærdskodekser med henblik på at fremme anvendelsen af kravene i kapitel III, afdeling 2, på andre AI-systemer end højrisiko-AI-systemer og eventuelt andre yderligere krav til andre AI-systemer end højrisiko-AI-systemer, herunder vedrørende miljømæssig bæredygtighed.
8. For the purposes of paragraphs 1 to 7, the Board, the Member States and national competent authorities shall provide the Commission with information upon its request and without undue delay.
8. Med henblik på stk. 1-7 indgiver AI-udvalget, medlemsstaterne og de nationale kompetente myndigheder oplysninger til Kommissionen på dennes anmodning og uden unødigt ophold.
9. In carrying out the evaluations and reviews referred to in paragraphs 1 to 7, the Commission shall take into account the positions and findings of the Board, of the European Parliament, of the Council, and of other relevant bodies or sources.
9. Når Kommissionen foretager de evalueringer og revisioner, der er omhandlet i stk. 1-7, tager den hensyn til holdninger og resultater fra AI-udvalget, fra Europa-Parlamentet, fra Rådet og fra andre relevante organer eller kilder.
10. The Commission shall, if necessary, submit appropriate proposals to amend this Regulation, in particular taking into account developments in technology, the effect of AI systems on health and safety, and on fundamental rights, and in light of the state of progress in the information society.
10. Kommissionen forelægger om nødvendigt relevante forslag til ændring af denne forordning, navnlig under hensyntagen til den teknologiske udvikling, AI-systemernes indvirkning på sundhed og sikkerhed og de grundlæggende rettigheder og i lyset af fremskridtene i informationssamfundet.
11. To guide the evaluations and reviews referred to in paragraphs 1 to 7 of this Article, the AI Office shall undertake to develop an objective and participative methodology for the evaluation of risk levels based on the criteria outlined in the relevant Articles and the inclusion of new systems in:
11. Som grundlag for de evalueringer og revisioner, der er omhandlet i denne artikels stk. 1-7, påtager AI-kontoret sig at udvikle en objektiv og inddragende metode til evaluering af risikoniveauerne baseret på de kriterier, der er anført i de relevante artikler, og medtagelse af nye systemer i:
(a)
the list set out in Annex III, including the extension of existing area headings or the addition of new area headings in that Annex;
(a)
listen i bilag III, herunder udvidelse af eksisterende områdeoverskrifter eller tilføjelse af nye områdeoverskrifter i nævnte bilag
(b)
the list of prohibited practices set out in Article 5; and
(b)
listen over de forbudte former for praksis, der er omhandlet i artikel 5, og
(c)
the list of AI systems requiring additional transparency measures pursuant to Article 50.
(c)
listen over de AI-systemer, der kræver yderligere gennemsigtighedsforanstaltninger i henhold til artikel 50.
12. Any amendment to this Regulation pursuant to paragraph 10, or relevant delegated or implementing acts, which concerns sectoral Union harmonisation legislation listed in Section B of Annex I shall take into account the regulatory specificities of each sector, and the existing governance, conformity assessment and enforcement mechanisms and authorities established therein.
12. Alle ændringer til denne forordning i medfør af stk. 10 eller relevante delegerede retsakter eller gennemførelsesretsakter, som vedrører den sektorspecifikke EU-harmoniseringslovgivning, der er opført i bilag 1, afsnit B, skal tage hensyn til de enkelte sektorers reguleringsmæssige forhold og eksisterende forvaltning, overensstemmelsesvurdering og håndhævelsesmekanismer og de deri fastsatte myndigheder.
13. By 2 August 2031, the Commission shall carry out an assessment of the enforcement of this Regulation and shall report on it to the European Parliament, the Council and the European Economic and Social Committee, taking into account the first years of application of this Regulation. On the basis of the findings, that report shall, where appropriate, be accompanied by a proposal for amendment of this Regulation with regard to the structure of enforcement and the need for a Union agency to resolve any identified shortcomings.
13. Senest den 2. august 2031 foretager Kommissionen en evaluering af håndhævelsen af denne forordning og aflægger rapport herom til Europa-Parlamentet, Rådet og Det Europæiske Økonomiske og Sociale Udvalg under hensyntagen til denne forordnings første anvendelsesår. På grundlag af resultaterne ledsages rapporten, hvor det er relevant, af et forslag om ændring af denne forordning med hensyn til håndhævelsesstrukturen og behovet for, at et EU-agentur løser eventuelle konstaterede mangler.
Entry into force and application
Ikrafttræden og anvendelse
This Regulation shall enter into force on the twentieth day following that of its publication in the Official Journal of the European Union.
Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.
It shall apply from 2 August 2026.
Den finder anvendelse fra den 2. august 2026.
(a)
Chapters I and II shall apply from 2 February 2025;
a)
kapitel I og II anvendelse fra den 2. februar 2025
(b)
Chapter III Section 4, Chapter V, Chapter VII and Chapter XII and Article 78 shall apply from 2 August 2025, with the exception of Article 101;
b)
kapitel III, afdeling 4, kapitel V, VII og XII og artikel 78 anvendelse fra den 2. august 2025, med undtagelse af artikel 101
(c)
Article 6(1) and the corresponding obligations in this Regulation shall apply from 2 August 2027.
c)
artikel 6, stk. 1, og de tilsvarende forpligtelser i denne forordning anvendelse fra den 2. august 2027.
This Regulation shall be binding in its entirety and directly applicable in all Member States.
Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat.
Done at Brussels, 13 June 2024.
Udfærdiget i Bruxelles, den 13. juni 2024.
For the European Parliament
På Europa-Parlamentets vegne
(1) OJ C 517, 22.12.2021, p. 56.
(1) EUT C 517 af 22.12.2021, s. 56.
(2) OJ C 115, 11.3.2022, p. 5.
(2) EUT C 115 af 11.3.2022, s. 5.
(3) OJ C 97, 28.2.2022, p. 60.
(3) EUT C 97 af 28.2.2022, s. 60.
(4) Position of the European Parliament of 13 March 2024 (not yet published in the Official Journal) and decision of the Council of 21 May 2024.
(4) Europa-Parlamentets holdning af 13. marts 2024 (endnu ikke offentliggjort i EUT) og Rådets afgørelse af 21. maj 2024.
(5) European Council, Special meeting of the European Council (1 and 2 October 2020) — Conclusions, EUCO 13/20, 2020, p. 6.
(5) Det Europæiske Råd, Ekstraordinært møde i Det Europæiske Råd (1. og 2. oktober 2020) – Konklusioner, EUCO 13/20, 2020, s. 6.
(6) European Parliament resolution of 20 October 2020 with recommendations to the Commission on a framework of ethical aspects of artificial intelligence, robotics and related technologies, 2020/2012(INL).
(6) Europa-Parlamentets beslutning af 20. oktober 2020 med henstillinger til Kommissionen om en ramme for etiske aspekter af kunstig intelligens, robotteknologi og relaterede teknologier, 2020/2012(INL).
(7) Regulation (EC) No 765/2008 of the European Parliament and of the Council of 9 July 2008 setting out the requirements for accreditation and repealing Regulation (EEC) No 339/93 (OJ L 218, 13.8.2008, p. 30).
(7) Europa-Parlamentets og Rådets forordning (EF) nr. 765/2008 af 9. juli 2008 om kravene til akkreditering og om ophævelse af forordning (EØF) nr. 339/93 (EUT L 218 af 13.8.2008, s. 30).
(8) Decision No 768/2008/EC of the European Parliament and of the Council of 9 July 2008 on a common framework for the marketing of products, and repealing Council Decision 93/465/EEC (OJ L 218, 13.8.2008, p. 82).
(8) Europa-Parlamentets og Rådets afgørelse nr. 768/2008/EF af 9. juli 2008 om fælles rammer for markedsføring af produkter og om ophævelse af Rådets afgørelse 93/465/EØF (EUT L 218 af 13.8.2008, s. 82).
(9) Regulation (EU) 2019/1020 of the European Parliament and of the Council of 20 June 2019 on market surveillance and compliance of products and amending Directive 2004/42/EC and Regulations (EC) No 765/2008 and (EU) No 305/2011 (OJ L 169, 25.6.2019, p. 1).
(9) Europa-Parlamentets og Rådets forordning (EU) 2019/1020 af 20. juni 2019 om markedsovervågning og produktoverensstemmelse og om ændring af direktiv 2004/42/EF og forordning (EF) nr. 765/2008 og (EU) nr. 305/2011 (EUT L 169 af 25.6.2019, s. 1).
(10) Council Directive 85/374/EEC of 25 July 1985 on the approximation of the laws, regulations and administrative provisions of the Member States concerning liability for defective products (OJ L 210, 7.8.1985, p. 29).
(10) Rådets direktiv 85/374/EØF af 25. juli 1985 om tilnærmelse af medlemsstaternes administrativt eller ved lov fastsatte bestemmelser om produktansvar (EFT L 210 af 7.8.1985, s. 29).
(11) Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) (OJ L 119, 4.5.2016, p. 1).
(11) Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT L 119 af 4.5.2016, s. 1).
(12) Regulation (EU) 2018/1725 of the European Parliament and of the Council of 23 October 2018 on the protection of natural persons with regard to the processing of personal data by the Union institutions, bodies, offices and agencies and on the free movement of such data, and repealing Regulation (EC) No 45/2001 and Decision No 1247/2002/EC (OJ L 295, 21.11.2018, p. 39).
(12) Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF (EUT L 295 af 21.11.2018, s. 39).
(13) Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA (OJ L 119, 4.5.2016, p. 89).
(13) Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA (EUT L 119 af 4.5.2016, s. 89).
(14) Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications) (OJ L 201, 31.7.2002, p. 37).
(14) Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv om databeskyttelse inden for elektronisk kommunikation) (EFT L 201 af 31.7.2002, s. 37).
(15) Regulation (EU) 2022/2065 of the European Parliament and of the Council of 19 October 2022 on a Single Market For Digital Services and amending Directive 2000/31/EC (Digital Services Act) (OJ L 277, 27.10.2022, p. 1).
(15) Europa-Parlamentets og Rådets forordning (EU) 2022/2065 af 19. oktober 2022 om et indre marked for digitale tjenester og om ændring af direktiv 2000/31/EF (forordning om digitale tjenester) (EUT L 277 af 27.10.2022, s. 1).
(16) Directive (EU) 2019/882 of the European Parliament and of the Council of 17 April 2019 on the accessibility requirements for products and services (OJ L 151, 7.6.2019, p. 70).
(16) Europa-Parlamentets og Rådets direktiv (EU) 2019/882 af 17. april 2019 om tilgængelighedskrav for produkter og tjenester (EUT L 151 af 7.6.2019, s. 70).
(17) Directive 2005/29/EC of the European Parliament and of the Council of 11 May 2005 concerning unfair business-to-consumer commercial practices in the internal market and amending Council Directive 84/450/EEC, Directives 97/7/EC, 98/27/EC and 2002/65/EC of the European Parliament and of the Council and Regulation (EC) No 2006/2004 of the European Parliament and of the Council (‘Unfair Commercial Practices Directive’) (OJ L 149, 11.6.2005, p. 22).
(17) Europa-Parlamentets og Rådets direktiv 2005/29/EF af 11. maj 2005 om virksomheders urimelige handelspraksis over for forbrugerne på det indre marked og om ændring af Rådets direktiv 84/450/EØF og Europa-Parlamentets og Rådets direktiv 97/7/EF, 98/27/EF og 2002/65/EF og Europa-Parlamentets og Rådets forordning (EF) nr. 2006/2004 (direktivet om urimelig handelspraksis) (EUT L 149 af 11.6.2005, s. 22).
(18) Council Framework Decision 2002/584/JHA of 13 June 2002 on the European arrest warrant and the surrender procedures between Member States (OJ L 190, 18.7.2002, p. 1).
(18) Rådets rammeafgørelse 2002/584/RIA af 13. juni 2002 om den europæiske arrestordre og om procedurerne for overgivelse mellem medlemsstaterne (EFT L 190 af 18.7.2002, s. 1).
(19) Directive (EU) 2022/2557 of the European Parliament and of the Council of 14 December 2022 on the resilience of critical entities and repealing Council Directive 2008/114/EC (OJ L 333, 27.12.2022, p. 164).
(19) Europa-Parlamentets og Rådets direktiv (EU) 2022/2557 af 14. december 2022 om kritiske enheders modstandsdygtighed og om ophævelse af Rådets direktiv 2008/114/EF (EUT L 333 af 27.12.2022, s. 164).
(20) OJ C 247, 29.6.2022, p. 1.
(20) EUT C 247 af 29.6.2022, s. 1.
(21) Regulation (EU) 2017/745 of the European Parliament and of the Council of 5 April 2017 on medical devices, amending Directive 2001/83/EC, Regulation (EC) No 178/2002 and Regulation (EC) No 1223/2009 and repealing Council Directives 90/385/EEC and 93/42/EEC (OJ L 117, 5.5.2017, p. 1).
(21) Europa-Parlamentets og Rådets forordning (EU) 2017/745 af 5. april 2017 om medicinsk udstyr, om ændring af direktiv 2001/83/EF, forordning (EF) nr. 178/2002 og forordning (EF) nr. 1223/2009 og om ophævelse af Rådets direktiv 90/385/EØF og 93/42/EØF (EUT L 117 af 5.5.2017, s. 1).
(22) Regulation (EU) 2017/746 of the European Parliament and of the Council of 5 April 2017 on in vitro diagnostic medical devices and repealing Directive 98/79/EC and Commission Decision 2010/227/EU (OJ L 117, 5.5.2017, p. 176).
(22) Europa-Parlamentets og Rådets forordning (EU) 2017/746 af 5. april 2017 om medicinsk udstyr til in vitro-diagnostik og om ophævelse af direktiv 98/79/EF og Kommissionens afgørelse 2010/227/EU (EUT L 117 af 5.5.2017, s. 176).
(23) Directive 2006/42/EC of the European Parliament and of the Council of 17 May 2006 on machinery, and amending Directive 95/16/EC (OJ L 157, 9.6.2006, p. 24).
(23) Europa-Parlamentets og Rådets direktiv 2006/42/EF af 17. maj 2006 om maskiner og om ændring af direktiv 95/16/EF (EUT L 157 af 9.6.2006, s. 24).
(24) Regulation (EC) No 300/2008 of the European Parliament and of the Council of 11 March 2008 on common rules in the field of civil aviation security and repealing Regulation (EC) No 2320/2002 (OJ L 97, 9.4.2008, p. 72).
(24) Europa-Parlamentets og Rådets forordning (EF) nr. 300/2008 af 11. marts 2008 om fælles bestemmelser om sikkerhed (security) inden for civil luftfart og om ophævelse af forordning (EF) nr. 2320/2002 (EUT L 97 af 9.4.2008, s. 72).
(25) Regulation (EU) No 167/2013 of the European Parliament and of the Council of 5 February 2013 on the approval and market surveillance of agricultural and forestry vehicles (OJ L 60, 2.3.2013, p. 1).
(25) Europa-Parlamentets og Rådets forordning (EU) nr. 167/2013 af 5. februar 2013 om godkendelse og markedsovervågning af landbrugs- og skovbrugstraktorer (EUT L 60 af 2.3.2013, s. 1).
(26) Regulation (EU) No 168/2013 of the European Parliament and of the Council of 15 January 2013 on the approval and market surveillance of two- or three-wheel vehicles and quadricycles (OJ L 60, 2.3.2013, p. 52).
(26) Europa-Parlamentets og Rådets forordning (EU) nr. 168/2013 af 15. januar 2013 om godkendelse og markedsovervågning af to- og trehjulede køretøjer samt quadricykler (EUT L 60 af 2.3.2013, s. 52).
(27) Directive 2014/90/EU of the European Parliament and of the Council of 23 July 2014 on marine equipment and repealing Council Directive 96/98/EC (OJ L 257, 28.8.2014, p. 146).
(27) Europa-Parlamentets og Rådets direktiv 2014/90/EU af 23. juli 2014 om skibsudstyr og om ophævelse af Rådets direktiv 96/98/EF (EUT L 257 af 28.8.2014, s. 146).
(28) Directive (EU) 2016/797 of the European Parliament and of the Council of 11 May 2016 on the interoperability of the rail system within the European Union (OJ L 138, 26.5.2016, p. 44).
(28) Europa-Parlamentets og Rådets direktiv (EU) 2016/797 af 11. maj 2016 om interoperabilitet i jernbanesystemet i Den Europæiske Union (EUT L 138 af 26.5.2016, s. 44).
(29) Regulation (EU) 2018/858 of the European Parliament and of the Council of 30 May 2018 on the approval and market surveillance of motor vehicles and their trailers, and of systems, components and separate technical units intended for such vehicles, amending Regulations (EC) No 715/2007 and (EC) No 595/2009 and repealing Directive 2007/46/EC (OJ L 151, 14.6.2018, p. 1).
(29) Europa-Parlamentets og Rådets forordning (EU) 2018/858 af 30. maj 2018 om godkendelse og markedsovervågning af motorkøretøjer og påhængskøretøjer dertil samt af systemer, komponenter og separate tekniske enheder til sådanne køretøjer, om ændring af forordning (EF) nr. 715/2007 og (EF) nr. 595/2009 og om ophævelse af direktiv 2007/46/EF (EUT L 151 af 14.6.2018, s. 1).
(30) Regulation (EU) 2018/1139 of the European Parliament and of the Council of 4 July 2018 on common rules in the field of civil aviation and establishing a European Union Aviation Safety Agency, and amending Regulations (EC) No 2111/2005, (EC) No 1008/2008, (EU) No 996/2010, (EU) No 376/2014 and Directives 2014/30/EU and 2014/53/EU of the European Parliament and of the Council, and repealing Regulations (EC) No 552/2004 and (EC) No 216/2008 of the European Parliament and of the Council and Council Regulation (EEC) No 3922/91 (OJ L 212, 22.8.2018, p. 1).
(30) Europa-Parlamentets og Rådets forordning (EU) 2018/1139 af 4. juli 2018 om fælles regler for civil luftfart og oprettelse af Den Europæiske Unions Luftfartssikkerhedsagentur og om ændring af Europa-Parlamentets og Rådets forordning (EF) nr. 2111/2005, (EF) nr. 1008/2008, (EU) nr. 996/2010, (EU) nr. 376/2014 og direktiv 2014/30/EU og 2014/53/EU og om ophævelse af Europa-Parlamentets og Rådets forordning (EF) nr. 552/2004 og (EF) nr. 216/2008 og Rådets forordning (EØF) nr. 3922/91 (EUT L 212 af 22.8.2018, s. 1).
(31) Regulation (EU) 2019/2144 of the European Parliament and of the Council of 27 November 2019 on type-approval requirements for motor vehicles and their trailers, and systems, components and separate technical units intended for such vehicles, as regards their general safety and the protection of vehicle occupants and vulnerable road users, amending Regulation (EU) 2018/858 of the European Parliament and of the Council and repealing Regulations (EC) No 78/2009, (EC) No 79/2009 and (EC) No 661/2009 of the European Parliament and of the Council and Commission Regulations (EC) No 631/2009, (EU) No 406/2010, (EU) No 672/2010, (EU) No 1003/2010, (EU) No 1005/2010, (EU) No 1008/2010, (EU) No 1009/2010, (EU) No 19/2011, (EU) No 109/2011, (EU) No 458/2011, (EU) No 65/2012, (EU) No 130/2012, (EU) No 347/2012, (EU) No 351/2012, (EU) No 1230/2012 and (EU) 2015/166 (OJ L 325, 16.12.2019, p. 1).
(31) Europa-Parlamentets og Rådets forordning (EU) 2019/2144 af 27. november 2019 om krav til typegodkendelse af motorkøretøjer og påhængskøretøjer dertil samt systemer, komponenter og separate tekniske enheder til sådanne køretøjer for så vidt angår deres generelle sikkerhed og beskyttelsen af køretøjspassagerer og bløde trafikanter og om ændring af Europa-Parlamentets og Rådets forordning (EU) 2018/858 og ophævelse af Europa-Parlamentets og Rådets forordning (EF) nr. 78/2009, forordning (EF) nr. 79/2009 og forordning (EF) nr. 661/2009 og Kommissionens forordning (EF) nr. 631/2009, (EU) nr. 406/2010, (EU) nr. 672/2010, (EU) nr. 1003/2010, (EU) nr. 1005/2010, (EU) nr. 1008/2010, (EU) nr. 1009/2010, (EU) nr. 19/2011, (EU) nr. 109/2011, (EU) nr. 458/2011, (EU) nr. 65/2012, (EU) nr. 130/2012, (EU) nr. 347/2012, (EU) nr. 351/2012, (EU) nr. 1230/2012 og (EU) 2015/166 (EUT L 325 af 16.12.2019, s. 1).
(32) Regulation (EC) No 810/2009 of the European Parliament and of the Council of 13 July 2009 establishing a Community Code on Visas (Visa Code) (OJ L 243, 15.9.2009, p. 1).
(32) Europa-Parlamentets og Rådets forordning (EF) nr. 810/2009 af 13. juli 2009 om en fællesskabskodeks for visa (visumkodeks) (EUT L 243 af 15.9.2009, s. 1).
(33) Directive 2013/32/EU of the European Parliament and of the Council of 26 June 2013 on common procedures for granting and withdrawing international protection (OJ L 180, 29.6.2013, p. 60).
(33) Europa-Parlamentets og Rådets direktiv 2013/32/EU af 26. juni 2013 om fælles procedurer for tildeling og fratagelse af international beskyttelse (EUT L 180 af 29.6.2013, s. 60).
(34) Regulation (EU) 2024/900 of the European parliament and of the Council of 13 March 2024 on the transparency and targeting of political advertising (OJ L, 2024/900, 20.3.2024, ELI: http://data.europa.eu/eli/reg/2024/900/oj).
(34) Europa-Parlamentets og Rådets forordning (EU) 2024/900 af 13. marts 2024 om gennemsigtighed og målretning i forbindelse med politisk reklame (EUT L, 2024/900, 20.3.2024, ELI: http://data.europa.eu/eli/reg/2024/900/oj).
(35) Directive 2014/31/EU of the European Parliament and of the Council of 26 February 2014 on the harmonisation of the laws of the Member States relating to the making available on the market of non-automatic weighing instruments (OJ L 96, 29.3.2014, p. 107).
(35) Europa-Parlamentets og Rådets direktiv 2014/31/EU af 26. februar 2014 om harmonisering af medlemsstaternes lovgivning vedrørende tilgængeliggørelse på markedet af ikke-automatiske vægte (EUT L 96 af 29.3.2014, s. 107).
(36) Directive 2014/32/EU of the European Parliament and of the Council of 26 February 2014 on the harmonisation of the laws of the Member States relating to the making available on the market of measuring instruments (OJ L 96, 29.3.2014, p. 149).
(36) Europa-Parlamentets og Rådets direktiv 2014/32/EU af 26. februar 2014 om harmonisering af medlemsstaternes love om tilgængeliggørelse på markedet af måleinstrumenter (EUT L 96 af 29.3.2014, s. 149).
(37) Regulation (EU) 2019/881 of the European Parliament and of the Council of 17 April 2019 on ENISA (the European Union Agency for Cybersecurity) and on information and communications technology cybersecurity certification and repealing Regulation (EU) No 526/2013 (Cybersecurity Act) (OJ L 151, 7.6.2019, p. 15).
(37) Europa-Parlamentets og Rådets forordning (EU) 2019/881 af 17. april 2019 om ENISA (Den Europæiske Unions Agentur for Cybersikkerhed), om cybersikkerhedscertificering af informations- og kommunikationsteknologi og om ophævelse af forordning (EU) nr. 526/2013 (forordningen om cybersikkerhed) (EUT L 151 af 7.6.2019, s. 15).
(38) Directive (EU) 2016/2102 of the European Parliament and of the Council of 26 October 2016 on the accessibility of the websites and mobile applications of public sector bodies (OJ L 327, 2.12.2016, p. 1).
(38) Europa-Parlamentets og Rådets direktiv (EU) 2016/2102 af 26. oktober 2016 om tilgængeligheden af offentlige organers websteder og mobilapplikationer (EUT L 327 af 2.12.2016, s. 1).
(39) Directive 2002/14/EC of the European Parliament and of the Council of 11 March 2002 establishing a general framework for informing and consulting employees in the European Community (OJ L 80, 23.3.2002, p. 29).
(39) Europa-Parlamentets og Rådets direktiv2002/14/EF af 11. marts 2002 om indførelse af en generel ramme for information og høring af arbejdstagerne i Det Europæiske Fællesskab (EFT L 80 af 23.3.2002, s. 29).
(40) Directive (EU) 2019/790 of the European Parliament and of the Council of 17 April 2019 on copyright and related rights in the Digital Single Market and amending Directives 96/9/EC and 2001/29/EC (OJ L 130, 17.5.2019, p. 92).
(40) Europa-Parlamentets og Rådets direktiv (EU) 2019/790 af 17. april 2019 om ophavsret og beslægtede rettigheder på det digitale indre marked og om ændring af direktiv 96/9/EF og 2001/29/EF (EUT L 130 af 17.5.2019, s. 92).
(41) Regulation (EU) No 1025/2012 of the European Parliament and of the Council of 25 October 2012 on European standardisation, amending Council Directives 89/686/EEC and 93/15/EEC and Directives 94/9/EC, 94/25/EC, 95/16/EC, 97/23/EC, 98/34/EC, 2004/22/EC, 2007/23/EC, 2009/23/EC and 2009/105/EC of the European Parliament and of the Council and repealing Council Decision 87/95/EEC and Decision No 1673/2006/EC of the European Parliament and of the Council (OJ L 316, 14.11.2012, p. 12).
(41) Europa-Parlamentets og Rådets forordning (EU) nr. 1025/2012 af 25. oktober 2012 om europæisk standardisering, om ændring af Rådets direktiv 89/686/EØF og 93/15/EØF og Europa-Parlamentets og Rådets direktiv 94/9/EF, 94/25/EF, 95/16/EF, 97/23/EF, 98/34/EF, 2004/22/EF, 2007/23/EF, 2009/23/EF og 2009/105/EF og om ophævelse af Rådets beslutning 87/95/EØF og Europa-Parlamentets og Rådets afgørelse nr. 1673/2006/EF (EUT L 316 af 14.11.2012, s. 12).
(42) Regulation (EU) 2022/868 of the European Parliament and of the Council of 30 May 2022 on European data governance and amending Regulation (EU) 2018/1724 (Data Governance Act) (OJ L 152, 3.6.2022, p. 1).
(42) Europa-Parlamentets og Rådets forordning (EU) 2022/868 af 30. maj 2022 om europæisk datastyring og om ændring af forordning (EU) 2018/1724 (forordning om datastyring) (EUT L 152 af 3.6.2022, s. 1).
(43) Regulation (EU) 2023/2854 of the European Parliament and of the Council of 13 December 2023 on harmonised rules on fair access to and use of data and amending Regulation (EU) 2017/2394 and Directive (EU) 2020/1828 (Data Act) (OJ L, 2023/2854, 22.12.2023, ELI: http://data.europa.eu/eli/reg/2023/2854/oj).
(43) Europa-Parlamentets og Rådets forordning (EU) 2023/2854 af 13. december 2023 om harmoniserede regler om fair adgang til og anvendelse af data og om ændring af forordning (EU) 2017/2394 og direktiv (EU) 2020/1828 (dataforordningen) (EUT L, 2023/2854, 22.12.2023, ELI: http://data.europa.eu/eli/reg/2023/2854/oj).
(44) Commission Recommendation of 6 May 2003 concerning the definition of micro, small and medium-sized enterprises (OJ L 124, 20.5.2003, p. 36).
(44) Kommissionens henstilling 2003/361/EF af 6. maj 2003 om definitionen af mikrovirksomheder, små og mellemstore virksomheder (EUT L 124 af 20.5.2003, s. 36).
(45) Commission Decision of 24.1.2024 establishing the European Artificial Intelligence Office C(2024) 390.
(45) Kommissionens afgørelse af 24. januar 2024 om oprettelse af Det Europæiske Kontor for Kunstig Intelligens (C/2024/390).
(46) Regulation (EU) No 575/2013 of the European Parliament and of the Council of 26 June 2013 on prudential requirements for credit institutions and investment firms and amending Regulation (EU) No 648/2012 (OJ L 176, 27.6.2013, p. 1).
(46) Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 af 26. juni 2013 om tilsynsmæssige krav til kreditinstitutter og investeringsselskaber og om ændring af forordning (EU) nr. 648/2012 (EUT L 176 af 27.6.2013, s. 1).
(47) Directive 2008/48/EC of the European Parliament and of the Council of 23 April 2008 on credit agreements for consumers and repealing Council Directive 87/102/EEC (OJ L 133, 22.5.2008, p. 66).
(47) Europa-Parlamentets og Rådets direktiv 2008/48/EF af 23. april 2008 om forbrugerkreditaftaler og om ophævelse af Rådets direktiv 87/102/EØF (EUT L 133 af 22.5.2008, s. 66).
(48) Directive 2009/138/EC of the European Parliament and of the Council of 25 November 2009 on the taking-up and pursuit of the business of Insurance and Reinsurance (Solvency II) (OJ L 335, 17.12.2009, p. 1).
(48) Europa-Parlamentets og Rådets direktiv 2009/138/EF af 25. november 2009 om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II) (EUT L 335 af 17.12.2009, s. 1).
(49) Directive 2013/36/EU of the European Parliament and of the Council of 26 June 2013 on access to the activity of credit institutions and the prudential supervision of credit institutions and investment firms, amending Directive 2002/87/EC and repealing Directives 2006/48/EC and 2006/49/EC (OJ L 176, 27.6.2013, p. 338).
(49) Europa-Parlamentets og Rådets direktiv 2013/36/EU af 26. juni 2013 om adgang til at udøve virksomhed som kreditinstitut og om tilsyn med kreditinstitutter, om ændring af direktiv 2002/87/EF og om ophævelse af direktiv 2006/48/EF og 2006/49/EF (EUT L 176 af 27.6.2013, s. 338).
(50) Directive 2014/17/EU of the European Parliament and of the Council of 4 February 2014 on credit agreements for consumers relating to residential immovable property and amending Directives 2008/48/EC and 2013/36/EU and Regulation (EU) No 1093/2010 (OJ L 60, 28.2.2014, p. 34).
(50) Europa-Parlamentets og Rådets direktiv 2014/17/ЕU af 4. februar 2014 om forbrugerkreditaftaler i forbindelse med fast ejendom til beboelse og om ændring af direktiv 2008/48/EF og 2013/36/EU og forordning (EU) nr. 1093/2010 (EUT L 60 af 28.2.2014, s. 34).
(51) Directive (EU) 2016/97 of the European Parliament and of the Council of 20 January 2016 on insurance distribution (OJ L 26, 2.2.2016, p. 19).
(51) Europa-Parlamentets og Rådets direktiv (EU) 2016/97 af 20. januar 2016 om forsikringsdistribution (EUT L 26 af 2.2.2016, s. 19).
(52) Council Regulation (EU) No 1024/2013 of 15 October 2013 conferring specific tasks on the European Central Bank concerning policies relating to the prudential supervision of credit institutions (OJ L 287, 29.10.2013, p. 63).
(52) Rådets forordning (EU) nr. 1024/2013 af 15. oktober 2013 om overdragelse af specifikke opgaver til Den Europæiske Centralbank i forbindelse med politikker vedrørende tilsyn med kreditinstitutter (EUT L 287 af 29.10.2013, s. 63).
(53) Regulation (EU) 2023/988 of the European Parliament and of the Council of 10 May 2023 on general product safety, amending Regulation (EU) No 1025/2012 of the European Parliament and of the Council and Directive (EU) 2020/1828 of the European Parliament and the Council, and repealing Directive 2001/95/EC of the European Parliament and of the Council and Council Directive 87/357/EEC (OJ L 135, 23.5.2023, p. 1).
(53) Europa-Parlamentets og Rådets forordning (EU) 2023/988 af 10. maj 2023 om produktsikkerhed i almindelighed, om ændring af Europa-Parlamentets og Rådets forordning (EU) nr. 1025/2012 og Europa-Parlamentets og Rådets direktiv (EU) 2020/1828 og om ophævelse af Europa-Parlamentets og Rådets direktiv 2001/95/EF og Rådets direktiv 87/357/EØF (EUT L 135 af 23.5.2023, s. 1).
(54) Directive (EU) 2019/1937 of the European Parliament and of the Council of 23 October 2019 on the protection of persons who report breaches of Union law (OJ L 305, 26.11.2019, p. 17).
(54) Europa-Parlamentets og Rådets direktiv (EU) 2019/1937 af 23. oktober 2019 om beskyttelse af personer, der indberetter overtrædelser af EU-retten (EUT L 305 af 26.11.2019, s. 17).
(55) OJ L 123, 12.5.2016, p. 1.
(55) EUT L 123 af 12.5.2016, s. 1.
(56) Regulation (EU) No 182/2011 of the European Parliament and of the Council of 16 February 2011 laying down the rules and general principles concerning mechanisms for control by Member States of the Commission’s exercise of implementing powers (OJ L 55, 28.2.2011, p. 13).
(56) Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 af 16. februar 2011 om de generelle regler og principper for, hvordan medlemsstaterne skal kontrollere Kommissionens udøvelse af gennemførelsesbeføjelser (EUT L 55 af 28.2.2011, s. 13).
(57) Directive (EU) 2016/943 of the European Parliament and of the Council of 8 June 2016 on the protection of undisclosed know-how and business information (trade secrets) against their unlawful acquisition, use and disclosure (OJ L 157, 15.6.2016, p. 1).
(57) Europa-Parlamentets og Rådets direktiv (EU) 2016/943 af 8. juni 2016 om beskyttelse af fortrolig knowhow og fortrolige forretningsoplysninger (forretningshemmeligheder) mod ulovlig erhvervelse, brug og videregivelse (EUT L 157 af 15.6.2016, s. 1).
(58) Directive (EU) 2020/1828 of the European Parliament and of the Council of 25 November 2020 on representative actions for the protection of the collective interests of consumers and repealing Directive 2009/22/EC (OJ L 409, 4.12.2020, p. 1).
(58) Europa-Parlamentets og Rådets direktiv (EU) 2020/1828 af 25. november 2020 om adgang til anlæggelse af gruppesøgsmål til beskyttelse af forbrugernes kollektive interesser og om ophævelse af direktiv 2009/22/EF (EUT L 409 af 4.12.2020, s. 1).