AI Act (32024R1689) eng:fin - Juremy.com render

Official Journal
of the European Union

Euroopan unionin
virallinen lehti

L series

L-sarja

2024/1689

12.7.2024

2024/1689

12.7.2024

REGULATION (EU) 2024/1689 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL

EUROOPAN PARLAMENTIN JA NEUVOSTON ASETUS (EU) 2024/1689,

of 13 June 2024

annettu 13 päivänä kesäkuuta 2024,

laying down harmonised rules on artificial intelligence and amending Regulations (EC) No 300/2008, (EU) No 167/2013, (EU) No 168/2013, (EU) 2018/858, (EU) 2018/1139 and (EU) 2019/2144 and Directives 2014/90/EU, (EU) 2016/797 and (EU) 2020/1828 (Artificial Intelligence Act)

tekoälyä koskevista yhdenmukaistetuista säännöistä ja asetusten (EY) N:o 300/2008, (EU) N:o 167/2013, (EU) N:o 168/2013, (EU) 2018/858, (EU) 2018/1139 ja (EU) 2019/2144 sekä direktiivien 2014/90/EU, (EU) 2016/797 ja (EU) 2020/1828 muuttamisesta (tekoälysäädös)

(Text with EEA relevance)

(ETA:n kannalta merkityksellinen teksti)

THE EUROPEAN PARLIAMENT AND THE COUNCIL OF THE EUROPEAN UNION,

EUROOPAN PARLAMENTTI JA EUROOPAN UNIONIN NEUVOSTO, jotka

Having regard to the Treaty on the Functioning of the European Union, and in particular Articles 16 and 114 thereof,

ottavat huomioon Euroopan unionin toiminnasta tehdyn sopimuksen ja erityisesti sen 16 ja 114 artiklan,

Having regard to the proposal from the European Commission,

ottavat huomioon Euroopan komission ehdotuksen,

After transmission of the draft legislative act to the national parliaments,

sen jälkeen kun esitys lainsäätämisjärjestyksessä hyväksyttäväksi säädökseksi on toimitettu kansallisille parlamenteille,

Having regard to the opinion of the European Economic and Social Committee (1),

ottavat huomioon Euroopan talous- ja sosiaalikomitean lausunnon (1),

Having regard to the opinion of the European Central Bank (2),

ottavat huomioon Euroopan keskuspankin lausunnon (2),

Having regard to the opinion of the Committee of the Regions (3),

ottavat huomioon alueiden komitean lausunnon (3),

Acting in accordance with the ordinary legislative procedure (4),

noudattavat tavallista lainsäätämisjärjestystä (4),

Whereas:

sekä katsovat seuraavaa:

(1)

The purpose of this Regulation is to improve the functioning of the internal market by laying down a uniform legal framework in particular for the development, the placing on the market, the putting into service and the use of artificial intelligence systems (AI systems) in the Union, in accordance with Union values, to promote the uptake of human centric and trustworthy artificial intelligence (AI) while ensuring a high level of protection of health, safety, fundamental rights as enshrined in the Charter of Fundamental Rights of the European Union (the ‘Charter’), including democracy, the rule of law and environmental protection, to protect against the harmful effects of AI systems in the Union, and to support innovation. This Regulation ensures the free movement, cross-border, of AI-based goods and services, thus preventing Member States from imposing restrictions on the development, marketing and use of AI systems, unless explicitly authorised by this Regulation.

(1)

Tämän asetuksen tarkoituksena on parantaa sisämarkkinoiden toimintaa vahvistamalla yhtenäinen oikeudellinen kehys erityisesti unionin arvojen mukaiselle tekoälyjärjestelmien kehittämiselle, markkinoille saattamiselle, käyttöönotolle ja käytölle unionissa, edistää ihmiskeskeisen ja luotettavan tekoälyn käyttöönottoa varmistaen samalla Euroopan unionin perusoikeuskirjassa, jäljempänä ”perusoikeuskirja”, vahvistettu terveyden, turvallisuuden ja perusoikeuksien, mukaan lukien demokratia, oikeusvaltio ja ympäristönsuojelu, suojelun korkea taso, suojautua tekoälyjärjestelmien haitallisilta vaikutuksilta unionissa sekä tukea innovointia. Tällä asetuksella varmistetaan tekoälyyn perustuvien tavaroiden ja palvelujen vapaa liikkuvuus rajojen yli, mikä estää jäsenvaltioita asettamasta tekoälyjärjestelmien kehittämistä, markkinoille saattamista ja käyttöä koskevia rajoituksia, ellei sitä nimenomaisesti sallita tällä asetuksella.

(2)

This Regulation should be applied in accordance with the values of the Union enshrined as in the Charter, facilitating the protection of natural persons, undertakings, democracy, the rule of law and environmental protection, while boosting innovation and employment and making the Union a leader in the uptake of trustworthy AI.

(2)

Tätä asetusta olisi sovellettava perusoikeuskirjassa vahvistettujen unionin arvojen mukaisesti, mikä helpottaa luonnollisten henkilöiden, yritysten, demokratian ja oikeusvaltion sekä ympäristön suojelua ja samalla edistää innovointia ja työllisyyttä sekä varmistaa unionin johtoaseman luotettavan tekoälyn käyttöönotossa.

(3)

AI systems can be easily deployed in a large variety of sectors of the economy and many parts of society, including across borders, and can easily circulate throughout the Union. Certain Member States have already explored the adoption of national rules to ensure that AI is trustworthy and safe and is developed and used in accordance with fundamental rights obligations. Diverging national rules may lead to the fragmentation of the internal market and may decrease legal certainty for operators that develop, import or use AI systems. A consistent and high level of protection throughout the Union should therefore be ensured in order to achieve trustworthy AI, while divergences hampering the free circulation, innovation, deployment and the uptake of AI systems and related products and services within the internal market should be prevented by laying down uniform obligations for operators and guaranteeing the uniform protection of overriding reasons of public interest and of rights of persons throughout the internal market on the basis of Article 114 of the Treaty on the Functioning of the European Union (TFEU). To the extent that this Regulation contains specific rules on the protection of individuals with regard to the processing of personal data concerning restrictions of the use of AI systems for remote biometric identification for the purpose of law enforcement, of the use of AI systems for risk assessments of natural persons for the purpose of law enforcement and of the use of AI systems of biometric categorisation for the purpose of law enforcement, it is appropriate to base this Regulation, in so far as those specific rules are concerned, on Article 16 TFEU. In light of those specific rules and the recourse to Article 16 TFEU, it is appropriate to consult the European Data Protection Board.

(3)

Tekoälyjärjestelmiä voidaan ottaa helposti käyttöön monilla eri talouden ja yhteiskunnan aloilla, myös rajojen yli, ja ne voivat liikkua helposti kaikkialla unionissa. Eräät jäsenvaltiot ovat jo harkinneet kansallisten sääntöjen hyväksymistä sen varmistamiseksi, että tekoäly on luotettavaa ja turvallista ja että sitä kehitetään ja käytetään perusoikeuksia koskevien velvoitteiden mukaisesti. Toisistaan poikkeavat kansalliset säännöt voivat johtaa sisämarkkinoiden pirstoutumiseen ja heikentää tekoälyjärjestelmiä kehittävien, maahantuovien tai käyttävien toimijoiden oikeusvarmuutta. Sen vuoksi olisi varmistettava suojelun yhdenmukainen ja korkea taso koko unionissa, jotta tekoäly saadaan toimimaan luotettavasti, ja samalla estettävä erot, jotka haittaavat tekoälyjärjestelmien ja niihin liittyvien tuotteiden ja palvelujen vapaata liikkuvuutta, innovointia ja käyttöönottoa sisämarkkinoilla, vahvistamalla yhdenmukaiset velvoitteet toimijoille ja takaamalla yleiseen etuun liittyvien pakottavien syiden ja henkilöiden oikeuksien yhdenmukainen suojelu koko sisämarkkinoilla Euroopan unionin toiminnasta tehdyn sopimuksen 114 artiklan mukaisesti. Siltä osin kuin tämä asetus sisältää yksilöiden suojelua henkilötietojen käsittelyssä koskevia erityissääntöjä, joilla rajoitetaan tekoälyjärjestelmien lainvalvontatarkoituksessa tapahtuvaa käyttöä biometristä etätunnistusta, luonnollisia henkilöitä koskevia riskinarviointeja ja biometristä luokittelua varten, tämä asetus on aiheellista perustaa kyseisten erityissääntöjen osalta Euroopan unionin toiminnasta tehdyn sopimuksen 16 artiklaan. Kun otetaan huomioon nämä erityissäännöt ja Euroopan unionin toiminnasta tehdyn sopimuksen 16 artiklan käyttö, on aiheellista kuulla Euroopan tietosuojaneuvostoa.

(4)

AI is a fast evolving family of technologies that contributes to a wide array of economic, environmental and societal benefits across the entire spectrum of industries and social activities. By improving prediction, optimising operations and resource allocation, and personalising digital solutions available for individuals and organisations, the use of AI can provide key competitive advantages to undertakings and support socially and environmentally beneficial outcomes, for example in healthcare, agriculture, food safety, education and training, media, sports, culture, infrastructure management, energy, transport and logistics, public services, security, justice, resource and energy efficiency, environmental monitoring, the conservation and restoration of biodiversity and ecosystems and climate change mitigation and adaptation.

(4)

Tekoäly on nopeasti kehittyvä teknologiakokonaisuus, joka tuottaa monenlaisia taloudellisia, ympäristöön liittyviä ja yhteiskunnallisia hyötyjä kaikilla teollisuudenaloilla ja kaikessa sosiaalisessa toiminnassa. Tekoälyn käyttö voi tarjota yrityksille keskeisiä kilpailuetuja ja tukea yhteiskunnallisesti ja ympäristön kannalta suotuisia tuloksia esimerkiksi terveydenhuollon, maatalouden, elintarviketurvallisuuden, koulutuksen, tiedotusvälineiden, urheilun, kulttuurin, infrastruktuurin hallinnan, energian, liikenteen ja logistiikan, julkisten palvelujen, turvallisuuden, oikeuden, resurssi- ja energiatehokkuuden, ympäristönseurannan, luonnon monimuotoisuuden ja ekosysteemien säilyttämisen ja ennallistamisen sekä ilmastonmuutoksen hillitsemisen ja siihen sopeutumisen aloilla parantamalla ennakointia, optimoimalla toimintoja ja resurssien kohdentamista ja räätälöimällä yksilöille ja organisaatioille tarjolla olevia digitaalisia ratkaisuja.

(5)

At the same time, depending on the circumstances regarding its specific application, use, and level of technological development, AI may generate risks and cause harm to public interests and fundamental rights that are protected by Union law. Such harm might be material or immaterial, including physical, psychological, societal or economic harm.

(5)

Samaan aikaan tekoäly voi sen erityiseen sovellukseen, käyttöön ja teknologisen kehityksen asteeseen liittyvistä olosuhteista riippuen aiheuttaa riskejä ja vahingoittaa unionin oikeudella suojattuja yleisiä etuja ja perusoikeuksia. Tällainen vahinko voi olla aineellista tai aineetonta, kuten fyysistä, psykologista, yhteiskunnallista tai taloudellista vahinkoa.

(6)

Given the major impact that AI can have on society and the need to build trust, it is vital for AI and its regulatory framework to be developed in accordance with Union values as enshrined in Article 2 of the Treaty on European Union (TEU), the fundamental rights and freedoms enshrined in the Treaties and, pursuant to Article 6 TEU, the Charter. As a prerequisite, AI should be a human-centric technology. It should serve as a tool for people, with the ultimate aim of increasing human well-being.

(6)

Kun otetaan huomioon, että tekoälyllä voi olla merkittävä vaikutus yhteiskuntaan ja että on tarpeen rakentaa luottamusta, on erittäin tärkeää, että tekoälyä ja sen sääntelykehystä kehitetään Euroopan unionista tehdyn sopimuksen, jäljempänä ”SEU-sopimus”, 2 artiklassa vahvistettujen unionin arvojen, perussopimuksissa vahvistettujen perusoikeuksien ja -vapauksien sekä SEU-sopimuksen 6 artiklan nojalla perusoikeuskirjan mukaisesti. Tekoälyn ennakkoehtona olisi oltava teknologian ihmiskeskeisyys. Ihmisten olisi voitava käyttää sitä välineenä, jonka perimmäisenä tavoitteena on lisätä heidän hyvinvointiaan.

(7)

In order to ensure a consistent and high level of protection of public interests as regards health, safety and fundamental rights, common rules for high-risk AI systems should be established. Those rules should be consistent with the Charter, non-discriminatory and in line with the Union’s international trade commitments. They should also take into account the European Declaration on Digital Rights and Principles for the Digital Decade and the Ethics guidelines for trustworthy AI of the High-Level Expert Group on Artificial Intelligence (AI HLEG).

(7)

Jotta voidaan varmistaa terveyteen, turvallisuuteen ja perusoikeuksiin liittyvien yleisten etujen suojelun yhdenmukainen ja korkea taso, suuririskisille tekoälyjärjestelmille olisi vahvistettava yhteiset säännöt. Näiden sääntöjen olisi oltava perusoikeuskirjan mukaisia, syrjimättömiä ja yhteensopivia unionin kansainvälisten kauppasitoumusten kanssa. Niissä olisi myös otettava huomioon eurooppalainen julistus digitaalisen vuosikymmenen digitaalisista oikeuksista ja periaatteista ja tekoälyä käsittelevän korkean tason asiantuntijaryhmän luotettavaa tekoälyä koskevat eettiset ohjeet.

(8)

A Union legal framework laying down harmonised rules on AI is therefore needed to foster the development, use and uptake of AI in the internal market that at the same time meets a high level of protection of public interests, such as health and safety and the protection of fundamental rights, including democracy, the rule of law and environmental protection as recognised and protected by Union law. To achieve that objective, rules regulating the placing on the market, the putting into service and the use of certain AI systems should be laid down, thus ensuring the smooth functioning of the internal market and allowing those systems to benefit from the principle of free movement of goods and services. Those rules should be clear and robust in protecting fundamental rights, supportive of new innovative solutions, enabling a European ecosystem of public and private actors creating AI systems in line with Union values and unlocking the potential of the digital transformation across all regions of the Union. By laying down those rules as well as measures in support of innovation with a particular focus on small and medium enterprises (SMEs), including startups, this Regulation supports the objective of promoting the European human-centric approach to AI and being a global leader in the development of secure, trustworthy and ethical AI as stated by the European Council (5), and it ensures the protection of ethical principles, as specifically requested by the European Parliament (6).

(8)

Sen vuoksi tarvitaan unionin oikeudellinen kehys, jossa vahvistetaan tekoälyä koskevat yhdenmukaistetut säännöt, jotta voidaan edistää tekoälyn kehittämistä, käyttöä ja käyttöönottoa sisämarkkinoilla ja samalla taata unionin oikeudessa tunnustettujen ja suojattujen yleisten etujen, kuten terveyden ja turvallisuuden, sekä perusoikeuksien, kuten demokratian, oikeusvaltion ja ympäristön, suojelun korkea taso. Tämän tavoitteen saavuttamiseksi olisi vahvistettava säännöt, joilla säännellään tiettyjen tekoälyjärjestelmien markkinoille saattamista, käyttöönottoa ja käyttöä ja varmistetaan siten sisämarkkinoiden moitteeton toiminta ja annetaan kyseisille järjestelmille mahdollisuus hyötyä tavaroiden ja palvelujen vapaan liikkuvuuden periaatteesta. Näiden sääntöjen olisi oltava selkeitä. Niiden olisi suojeltava hyvin perusoikeuksia, tuettava uusia innovatiivisia ratkaisuja ja mahdollistettava unionin arvojen mukaisia tekoälyjärjestelmiä kehittävien julkisten ja yksityisten toimijoiden eurooppalainen ekosysteemi. Niiden avulla olisi voitava hyödyntää digitalisaation mahdollisuuksia kaikilla unionin alueilla. Vahvistamalla kyseiset säännöt sekä innovointia tukevat toimenpiteet, joissa keskitytään erityisesti pk-yrityksiin, startup-yritykset mukaan luettuna, tällä asetuksella tuetaan Eurooppa-neuvoston asettamaa tavoitetta, jonka mukaan edistetään eurooppalaista ihmiskeskeistä tekoälyä ja unionin olisi oltava globaali edelläkävijä turvallisen, luotettavan ja eettisen tekoälyn kehittämisessä (5), ja varmistetaan eettisten periaatteiden suojelu, kuten Euroopan parlamentti on erityisesti pyytänyt (6).

(9)

Harmonised rules applicable to the placing on the market, the putting into service and the use of high-risk AI systems should be laid down consistently with Regulation (EC) No 765/2008 of the European Parliament and of the Council (7), Decision No 768/2008/EC of the European Parliament and of the Council (8) and Regulation (EU) 2019/1020 of the European Parliament and of the Council (9) (New Legislative Framework). The harmonised rules laid down in this Regulation should apply across sectors and, in line with the New Legislative Framework, should be without prejudice to existing Union law, in particular on data protection, consumer protection, fundamental rights, employment, and protection of workers, and product safety, to which this Regulation is complementary. As a consequence, all rights and remedies provided for by such Union law to consumers, and other persons on whom AI systems may have a negative impact, including as regards the compensation of possible damages pursuant to Council Directive 85/374/EEC (10) remain unaffected and fully applicable. Furthermore, in the context of employment and protection of workers, this Regulation should therefore not affect Union law on social policy and national labour law, in compliance with Union law, concerning employment and working conditions, including health and safety at work and the relationship between employers and workers. This Regulation should also not affect the exercise of fundamental rights as recognised in the Member States and at Union level, including the right or freedom to strike or to take other action covered by the specific industrial relations systems in Member States as well as the right to negotiate, to conclude and enforce collective agreements or to take collective action in accordance with national law. This Regulation should not affect the provisions aiming to improve working conditions in platform work laid down in a Directive of the European Parliament and of the Council on improving working conditions in platform work. Moreover, this Regulation aims to strengthen the effectiveness of such existing rights and remedies by establishing specific requirements and obligations, including in respect of the transparency, technical documentation and record-keeping of AI systems. Furthermore, the obligations placed on various operators involved in the AI value chain under this Regulation should apply without prejudice to national law, in compliance with Union law, having the effect of limiting the use of certain AI systems where such law falls outside the scope of this Regulation or pursues legitimate public interest objectives other than those pursued by this Regulation. For example, national labour law and law on the protection of minors, namely persons below the age of 18, taking into account the UNCRC General Comment No 25 (2021) on children’s rights in relation to the digital environment, insofar as they are not specific to AI systems and pursue other legitimate public interest objectives, should not be affected by this Regulation.

(9)

Suuririskisten tekoälyjärjestelmien markkinoille saattamiseen, käyttöönottoon ja käyttöön sovellettavat yhdenmukaistetut säännöt olisi vahvistettava johdonmukaisesti Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 765/2008 (7), Euroopan parlamentin ja neuvoston päätöksen N:o 768/2008/EY (8) sekä Euroopan parlamentin ja neuvoston asetuksen (EU) 2019/1020 (9), jäljempänä ”uusi lainsäädäntökehys”, kanssa. Tässä asetuksessa säädettyjä yhdenmukaistettuja sääntöjä olisi sovellettava kaikilla aloilla, ja uuden lainsäädäntökehyksen mukaisesti säännöt eivät saisi rajoittaa olemassa olevaa unionin oikeutta, joka koskee erityisesti tietosuojaa, kuluttajansuojaa, perusoikeuksia, työllisyyttä ja työntekijöiden suojelua sekä tuoteturvallisuutta ja jota tällä asetuksella täydennetään. Näin ollen kaikki tällaisessa unionin oikeudessa vahvistetut oikeudet ja oikeussuojakeinot kuluttajille ja muille henkilöille, joihin tekoälyjärjestelmillä voi olla kielteinen vaikutus, mukaan lukien neuvoston direktiivin 85/374/ETY (10) mukainen mahdollisten vahinkojen korvaaminen, säilyvät muuttumattomina ja niitä sovelletaan täysimääräisesti. Tämä asetus ei sen vuoksi saisi työllisyyden ja työntekijöiden suojelun aloilla vaikuttaa sosiaalipolitiikkaa koskevaan unionin oikeuteen eikä unionin oikeuden mukaiseen kansalliseen työlainsäädäntöön, joka koskee työehtoja ja -oloja, mukaan lukien työterveys ja -turvallisuus, sekä työnantajien ja työntekijöiden välistä suhdetta. Tämä asetus ei myöskään saisi vaikuttaa jäsenvaltioissa ja unionin tasolla tunnustettujen perusoikeuksien noudattamiseen, mukaan lukien oikeus tai vapaus ryhtyä lakkoon tai muuhun jäsenvaltioiden työmarkkinajärjestelmien piiriin kuuluvaan toimeen, sekä oikeus neuvotella, tehdä ja panna täytäntöön työehtosopimuksia tai ryhtyä työtaistelutoimiin kansallisen lainsäädännön mukaisesti. Tämä asetus ei saisi vaikuttaa työolojen parantamisesta alustatyössä annettavassa Euroopan parlamentin ja neuvoston direktiivissä vahvistettuihin säännöksiin, joilla pyritään parantamaan työoloja alustatyössä. Tämän lisäksi tällä asetuksella pyritään vahvistamaan tällaisten olemassa olevien oikeuksien ja oikeussuojakeinojen vaikuttavuutta ottamalla käyttöön erityisiä vaatimuksia ja velvoitteita, jotka koskevat muun muassa tekoälyjärjestelmien avoimuutta, teknistä dokumentaatiota ja tietojen säilyttämistä. Lisäksi tämän asetuksen nojalla tekoälyn arvoketjun eri toimijoille asetettuja velvoitteita olisi sovellettava rajoittamatta kansallista lainsäädäntöä, unionin oikeuden mukaisesti, siten, että vaikutuksena on tiettyjen tekoälyjärjestelmien käytön rajoittaminen, silloin kun tällainen lainsäädäntö ei kuulu tämän asetuksen soveltamisalaan tai sillä on muita oikeutettuja yleisen edun mukaisia tavoitteita kuin tässä asetuksessa asetetaan. Tämä asetus ei saisi vaikuttaa esimerkiksi kansalliseen työlainsäädäntöön ja alaikäisten, eli alle 18-vuotiaiden henkilöiden, suojelua koskeviin lakeihin ottaen huomioon lapsen oikeuksien yleissopimuksen yleinen huomautus nro 25 (2021) lapsen oikeuksista suhteessa digitaaliseen ympäristöön siltä osin kuin ne eivät koske tekoälyjärjestelmiä ja niillä on muita oikeutettuja yleisen edun mukaisia tavoitteita.

(10)

The fundamental right to the protection of personal data is safeguarded in particular by Regulations (EU) 2016/679 (11) and (EU) 2018/1725 (12) of the European Parliament and of the Council and Directive (EU) 2016/680 of the European Parliament and of the Council (13). Directive 2002/58/EC of the European Parliament and of the Council (14) additionally protects private life and the confidentiality of communications, including by way of providing conditions for any storing of personal and non-personal data in, and access from, terminal equipment. Those Union legal acts provide the basis for sustainable and responsible data processing, including where data sets include a mix of personal and non-personal data. This Regulation does not seek to affect the application of existing Union law governing the processing of personal data, including the tasks and powers of the independent supervisory authorities competent to monitor compliance with those instruments. It also does not affect the obligations of providers and deployers of AI systems in their role as data controllers or processors stemming from Union or national law on the protection of personal data in so far as the design, the development or the use of AI systems involves the processing of personal data. It is also appropriate to clarify that data subjects continue to enjoy all the rights and guarantees awarded to them by such Union law, including the rights related to solely automated individual decision-making, including profiling. Harmonised rules for the placing on the market, the putting into service and the use of AI systems established under this Regulation should facilitate the effective implementation and enable the exercise of the data subjects’ rights and other remedies guaranteed under Union law on the protection of personal data and of other fundamental rights.

(10)

Henkilötietojen suojaa koskeva perusoikeus on turvattu erityisesti Euroopan parlamentin ja neuvoston asetuksilla (EU) 2016/679 (11) ja (EU) 2018/1725 (12) sekä Euroopan parlamentin ja neuvoston direktiivillä (EU) 2016/680 (13). Lisäksi Euroopan parlamentin ja neuvoston direktiivillä 2002/58/EY (14) suojellaan yksityisyyttä ja viestinnän luottamuksellisuutta, mukaan lukien säätämällä ehdoista, jotka koskevat kaikkien henkilötietojen ja muiden kuin henkilötietojen tallentamista päätelaitteelle ja pääsyä näihin tietoihin. Kyseiset unionin säädökset luovat perustan kestävälle ja vastuulliselle datankäsittelylle, myös silloin kun data-aineistossa on sekä henkilötietoja että muuta dataa kuin henkilötietoja. Tällä asetuksella ei pyritä vaikuttamaan henkilötietojen käsittelyä koskevan voimassa olevan unionin oikeuden soveltamiseen, mukaan lukien kyseisten säädösten noudattamisen valvonnasta vastaavien riippumattomien valvontaviranomaisten tehtävät ja toimivalta.Tämä asetus ei vaikuta niihin tekoälyjärjestelmien tarjoajien ja käyttöönottajien velvoitteisiin rekisterinpitäjinä tai tietojen käsittelijöinä, jotka johtuvat henkilötietojen suojaa koskevasta unionin tai kansallisesta lainsäädännöstä, siltä osin kuin tekoälyjärjestelmien suunnitteluun, kehittämiseen ja käyttöön liittyy henkilötietojen käsittelyä. On myös asianmukaista selventää, että rekisteröidyillä on kaikki tällaisen unionin oikeuden mukaiset oikeudet ja takeet, myös pelkästään automatisoituun yksittäispäätöksentekoon liittyvät oikeudet, mukaan lukien profilointi. Tässä asetuksessa vahvistetuilla yhdenmukaistetuilla säännöillä tekoälyjärjestelmien markkinoille saattamiseksi, käyttöön ottamiseksi tai käyttämiseksi olisi helpotettava henkilötietojen suojaa koskevassa unionin oikeudessa taattujen rekisteröityjen oikeuksien ja muiden oikeussuojakeinojen sekä muiden perusoikeuksien tosiasiallista täytäntöönpanoa ja mahdollistettava niiden käyttö.

(11)

This Regulation should be without prejudice to the provisions regarding the liability of providers of intermediary services as set out in Regulation (EU) 2022/2065 of the European Parliament and of the Council (15).

(11)

Tämä asetus ei saisi rajoittaa Euroopan parlamentin ja neuvoston asetuksessa (EU) 2022/2065 (15) vahvistettujen välityspalvelujen tarjoajien vastuuta koskevien säännösten soveltamista.

(12)

The notion of ‘AI system’ in this Regulation should be clearly defined and should be closely aligned with the work of international organisations working on AI to ensure legal certainty, facilitate international convergence and wide acceptance, while providing the flexibility to accommodate the rapid technological developments in this field. Moreover, the definition should be based on key characteristics of AI systems that distinguish it from simpler traditional software systems or programming approaches and should not cover systems that are based on the rules defined solely by natural persons to automatically execute operations. A key characteristic of AI systems is their capability to infer. This capability to infer refers to the process of obtaining the outputs, such as predictions, content, recommendations, or decisions, which can influence physical and virtual environments, and to a capability of AI systems to derive models or algorithms, or both, from inputs or data. The techniques that enable inference while building an AI system include machine learning approaches that learn from data how to achieve certain objectives, and logic- and knowledge-based approaches that infer from encoded knowledge or symbolic representation of the task to be solved. The capacity of an AI system to infer transcends basic data processing by enabling learning, reasoning or modelling. The term ‘machine-based’ refers to the fact that AI systems run on machines. The reference to explicit or implicit objectives underscores that AI systems can operate according to explicit defined objectives or to implicit objectives. The objectives of the AI system may be different from the intended purpose of the AI system in a specific context. For the purposes of this Regulation, environments should be understood to be the contexts in which the AI systems operate, whereas outputs generated by the AI system reflect different functions performed by AI systems and include predictions, content, recommendations or decisions. AI systems are designed to operate with varying levels of autonomy, meaning that they have some degree of independence of actions from human involvement and of capabilities to operate without human intervention. The adaptiveness that an AI system could exhibit after deployment, refers to self-learning capabilities, allowing the system to change while in use. AI systems can be used on a stand-alone basis or as a component of a product, irrespective of whether the system is physically integrated into the product (embedded) or serves the functionality of the product without being integrated therein (non-embedded).

(12)

Tekoälyjärjestelmän käsite tässä asetuksessa olisi määriteltävä selkeästi ja yhdenmukaistettava mahdollisimman pitkälle tekoälyn alalla parissa kansainvälisten organisaatioiden tekemän työn kanssa, jotta voidaan taata oikeusvarmuus, edistää kansainvälistä lähentymistä ja laajaa hyväksyntää sekä samalla tarjota joustovaraa alan nopean teknologisen kehityksen huomioon ottamiseksi. Lisäksi käsitteen olisi perustuttava tekoälyjärjestelmien keskeisiin ominaisuuksiin, jotka erottavat sen yksinkertaisemmista perinteisistä ohjelmistojärjestelmistä tai ohjelmointitavoista. Se ei saisi kattaa järjestelmiä, jotka perustuvat yksinomaan luonnollisten henkilöiden määrittelemiin sääntöihin toimien suorittamiseksi automaattisesti. Yksi tekoälyjärjestelmien keskeisistä piirteistä on niiden päättelykyky. Päättelykyvyllä tarkoitetaan prosessia, jossa saadaan tuotoksia, kuten ennusteita, sisältöä, suosituksia tai päätöksiä, jotka voivat vaikuttaa fyysiseen ja virtuaaliympäristöön, ja tekoälyjärjestelmien kykyyn johtaa malleja tai algoritmeja tai molempia syöttötiedoista tai datasta. Tekoälyjärjestelmää kehitettäessä käytettäviä päättelyn mahdollistavia tekniikoita ovat esimerkiksi koneoppimismenetelmät, jotka oppivat datan avulla, miten tietyt tavoitteet voivat saavuttaa, ja logiikkaan ja tietämykseen perustuvat menetelmät, jotka päättelevät tuotoksensa koodatun tietämyksen tai ratkaistavan tehtävän symbolisen esityksen perusteella. Tekoälyjärjestelmän päättelykyky on laajempi kuin perustietojenkäsittelyn. Sen ansiosta tekoälyjärjestelmä voi oppia, tehdä johtopäätöksiä tai mallintaa asioita. ”Konepohjaisella” tarkoitetaan, että tekoälyjärjestelmät toimivat koneissa. Eksplisiittisillä ja implisiittisillä tavoitteilla tarkoitetaan, että tekoälyjärjestelmät voivat toimia eksplisiittisesti määriteltyjen tavoitteiden tai implisiittisten tavoitteiden mukaisesti. Tekoälyjärjestelmän tavoitteet voivat erota tekoälyjärjestelmän käyttötarkoituksesta jossakin tietyssä yhteydessä. Tätä asetusta sovellettaessa ympäristöillä olisi katsottava tarkoitettavan olosuhteita, joissa tekoälyjärjestelmät toimivat, kun taas tekoälyjärjestelmän tuotokset kuvaavat tekoälyjärjestelmien suorittamia erilaisia toimintoja ja voivat olla esimerkiksi ennusteita, sisältöä, suosituksia ja päätöksiä. Tekoälyjärjestelmät on suunniteltu toimimaan eriasteisen itsenäisesti, mikä tarkoittaa, että ne toimivat jossakin määrin ihmisen toimista riippumattomasti ja kykenevät ainakin jossakin määrin toimimaan ilman ihmisen ohjausta. Tekoälyjärjestelmän mahdollinen mukautuvuus käyttöönoton jälkeen viittaa itseoppimiskykyyn, jonka avulla järjestelmä voi muuttua käytön aikana. Tekoälyjärjestelmiä voidaan käyttää erillisinä tai tuotteen osina riippumatta siitä, onko järjestelmä fyysisesti integroitu tuotteeseen (sulautettu) vai palveleeko se tuotteen toiminnallisuutta ilman, että se on integroitu siihen (sulauttamaton).

(13)

The notion of ‘deployer’ referred to in this Regulation should be interpreted as any natural or legal person, including a public authority, agency or other body, using an AI system under its authority, except where the AI system is used in the course of a personal non-professional activity. Depending on the type of AI system, the use of the system may affect persons other than the deployer.

(13)

Tässä asetuksessa tarkoitetun ”käyttöönottajan” käsitteen olisi tulkittava tarkoittavan tekoälyjärjestelmää käyttävää luonnollista tai oikeushenkilöä, mukaan lukien viranomainen, virasto tai muu elin, jonka valvonnassa järjestelmää käytetään, paitsi jos tekoälyjärjestelmää käytetään henkilökohtaisessa muussa kuin ammattitoiminnassa. Tekoälyjärjestelmän tyypistä riippuen järjestelmän käyttö voi vaikuttaa muihin henkilöihin kuin käyttöönottajaan.

(14)

The notion of ‘biometric data’ used in this Regulation should be interpreted in light of the notion of biometric data as defined in Article 4, point (14) of Regulation (EU) 2016/679, Article 3, point (18) of Regulation (EU) 2018/1725 and Article 3, point (13) of Directive (EU) 2016/680. Biometric data can allow for the authentication, identification or categorisation of natural persons and for the recognition of emotions of natural persons.

(14)

Tässä asetuksessa käytettyä biometristen tietojen käsitettä olisi tulkittava asetuksen (EU) 2016/679 4 artiklan 14 alakohdassa, asetuksen (EU) 2018/1725 3 artiklan 18 alakohdassa ja direktiivin (EU) 2016/680 3 artiklan 13 alakohdassa määritellyn biometristen tietojen käsitteen perusteella. Biometrisen datan avulla voidaan todentaa, tunnistaa tai luokitella luonnollisia henkilöitä ja tunnistaa heidän tunteitaan.

(15)

The notion of ‘biometric identification’ referred to in this Regulation should be defined as the automated recognition of physical, physiological and behavioural human features such as the face, eye movement, body shape, voice, prosody, gait, posture, heart rate, blood pressure, odour, keystrokes characteristics, for the purpose of establishing an individual’s identity by comparing biometric data of that individual to stored biometric data of individuals in a reference database, irrespective of whether the individual has given its consent or not. This excludes AI systems intended to be used for biometric verification, which includes authentication, whose sole purpose is to confirm that a specific natural person is the person he or she claims to be and to confirm the identity of a natural person for the sole purpose of having access to a service, unlocking a device or having security access to premises.

(15)

Tässä asetuksessa tarkoitettu biometrisen tunnistuksen käsite olisi määriteltävä ihmisen fyysisten, fysiologisten ja käyttäytymiseen liittyvien ominaisuuksien, kuten kasvojen, silmien liikkeen, kehon muodon, äänen, prosodian, kävelyn, asennon, sydämen lyöntitiheyden, verenpaineen, hajun, näppäinpainallusten tai muiden ominaisuuksien automaattiseksi tunnistamiseksi yksilön henkilöllisyyden toteamiseksi vertaamalla kyseisen yksilön biometrisiä tietoja viitetietokantaan tallennettuihin toisten yksilöiden biometrisiin tietoihin riippumatta siitä, onko kyseinen yksilö antanut tähän suostumustaan. Näihin eivät kuulu tekoälyjärjestelmät, joita on tarkoitus käyttää biometriseen todennukseen, joka käsittää tunnistautumisen, ja joiden ainoana tarkoituksena on vahvistaa, että tietty luonnollinen henkilö on se henkilö, joka hän väittää olevansa, sekä vahvistaa luonnollisen henkilön henkilöllisyys ainoastaan jonkin palvelun käyttämiseksi, laitteen lukituksen poistamiseksi tai valvottuun tilaan pääsemiseksi.

(16)

The notion of ‘biometric categorisation’ referred to in this Regulation should be defined as assigning natural persons to specific categories on the basis of their biometric data. Such specific categories can relate to aspects such as sex, age, hair colour, eye colour, tattoos, behavioural or personality traits, language, religion, membership of a national minority, sexual or political orientation. This does not include biometric categorisation systems that are a purely ancillary feature intrinsically linked to another commercial service, meaning that the feature cannot, for objective technical reasons, be used without the principal service, and the integration of that feature or functionality is not a means to circumvent the applicability of the rules of this Regulation. For example, filters categorising facial or body features used on online marketplaces could constitute such an ancillary feature as they can be used only in relation to the principal service which consists in selling a product by allowing the consumer to preview the display of the product on him or herself and help the consumer to make a purchase decision. Filters used on online social network services which categorise facial or body features to allow users to add or modify pictures or videos could also be considered to be ancillary feature as such filter cannot be used without the principal service of the social network services consisting in the sharing of content online.

(16)

Tässä asetuksessa tarkoitettu biometrisen luokittelun käsite olisi määriteltävä luonnollisten henkilöiden luokitteluksi heidän biometristen tietojensa perusteella tiettyihin ryhmiin. Tällaiset ryhmät voivat liittyä esimerkiksi sukupuoleen, ikään, hiustenväriin, silmien väriin, tatuointeihin, käyttäytymiseen tai persoonallisuuspiirteisiin, kieleen, uskontoon, kansalliseen vähemmistöön kuulumiseen taikka seksuaaliseen tai poliittiseen suuntautumiseen. Tähän eivät kuulu biometriset luokittelujärjestelmät, jotka ovat pelkästään toiseen kaupalliseen palveluun olennaisesti liittyvä liitännäistoiminto, mikä tarkoittaa, että kyseistä toimintoa ei voida objektiivisista teknisistä syistä käyttää ilman pääasiallista palvelua, ja kyseisen toiminnon integrointi ei ole keino kiertää tämän asetuksen sääntöjen soveltamista. Esimerkiksi verkkomarkkinapaikoilla käytettävät kasvonpiirteitä tai kehon ominaisuuksia luokittelevat suodattimet voisivat olla tällainen liitännäistoiminto, koska niitä voidaan käyttää ainoastaan pääasiallisen palvelun yhteydessä eli tuotteen myynnissä siten, että kuluttajaa autetaan tekemään ostopäätös esittämällä, miltä tuote näyttäisi hänen yllään. Verkkoyhteisöpalveluissa käytettäviä suodattimia, jotka luokittelevat kasvonpiirteitä tai kehon ominaisuuksia, jotta käyttäjät voivat lisätä kuvia tai videoita tai muokata niitä, voidaan myös pitää liitännäistoimintoina, koska tällaista suodatinta ei voi käyttää ilman pääasiallista palvelua eli verkkoyhteisöpalvelua, jossa sisältöä jaetaan verkossa.

(17)

The notion of ‘remote biometric identification system’ referred to in this Regulation should be defined functionally, as an AI system intended for the identification of natural persons without their active involvement, typically at a distance, through the comparison of a person’s biometric data with the biometric data contained in a reference database, irrespectively of the particular technology, processes or types of biometric data used. Such remote biometric identification systems are typically used to perceive multiple persons or their behaviour simultaneously in order to facilitate significantly the identification of natural persons without their active involvement. This excludes AI systems intended to be used for biometric verification, which includes authentication, the sole purpose of which is to confirm that a specific natural person is the person he or she claims to be and to confirm the identity of a natural person for the sole purpose of having access to a service, unlocking a device or having security access to premises. That exclusion is justified by the fact that such systems are likely to have a minor impact on fundamental rights of natural persons compared to the remote biometric identification systems which may be used for the processing of the biometric data of a large number of persons without their active involvement. In the case of ‘real-time’ systems, the capturing of the biometric data, the comparison and the identification occur all instantaneously, near-instantaneously or in any event without a significant delay. In this regard, there should be no scope for circumventing the rules of this Regulation on the ‘real-time’ use of the AI systems concerned by providing for minor delays. ‘Real-time’ systems involve the use of ‘live’ or ‘near-live’ material, such as video footage, generated by a camera or other device with similar functionality. In the case of ‘post’ systems, in contrast, the biometric data has already been captured and the comparison and identification occur only after a significant delay. This involves material, such as pictures or video footage generated by closed circuit television cameras or private devices, which has been generated before the use of the system in respect of the natural persons concerned.

(17)

Tässä asetuksessa käytetty biometrisen etätunnistusjärjestelmän käsite olisi määriteltävä toiminnallisesti tekoälyjärjestelmäksi, joka on tarkoitettu luonnollisten henkilöiden tunnistamiseen tyypillisesti etäältä ilman heidän aktiivista osallistumistaan vertaamalla henkilön biometrisiä tietoja viitetietokannan sisältämiin biometrisiin tietoihin riippumatta käytetyistä tekniikoista, prosesseista tai biometristen tietojen tyypeistä. Tällaisia biometrisiä etätunnistusjärjestelmiä käytetään tyypillisesti havainnoimaan useita henkilöitä tai heidän käyttäytymistään samanaikaisesti, jotta voidaan merkittävästi helpottaa luonnollisten henkilöiden tunnistamista ilman heidän aktiivista osallistumistaan. Näihin eivät kuulu tekoälyjärjestelmät, joita on tarkoitus käyttää biometriseen todennukseen, joka käsittää tunnistautumisen, ja joiden ainoana tarkoituksena on vahvistaa, että tietty luonnollinen henkilö on se henkilö, joka hän väittää olevansa, sekä vahvistaa luonnollisen henkilön henkilöllisyys ainoastaan jonkin palvelun käyttämiseksi, laitteen lukituksen poistamiseksi tai valvottuun tilaan pääsemiseksi. Tämä soveltamisalan ulkopuolelle jättäminen voidaan perustella sillä, että tällaisilla järjestelmillä on todennäköisesti vähäinen vaikutus luonnollisten henkilöiden perusoikeuksiin verrattuna biometrisiin etätunnistusjärjestelmiin, joita voidaan käyttää suuren ihmismäärän biometristen tietojen käsittelyyn ilman heidän aktiivista osallistumistaan. Reaaliaikaisissa järjestelmissä biometristen tietojen kerääminen, vertailu ja tunnistaminen tapahtuvat välittömästi, lähes välittömästi tai joka tapauksessa ilman merkittävää viivettä. Tältä osin ei pitäisi olla mahdollista kiertää tämän asetuksen sääntöjä, jotka koskevat kyseisten tekoälyjärjestelmien reaaliaikaista käyttöä, käyttämällä vähäisiä viivästyksiä. Reaaliaikaisissa järjestelmissä käytetään kameran tai muun toiminnoltaan samankaltaisen laitteen tuottamaa ”suoraa” tai ”lähes suoraa” materiaalia, kuten videokuvaa. Jälkikäteisissä järjestelmissä biometriset tiedot on sitä vastoin jo kerätty, ja vertailu ja tunnistaminen tapahtuvat vasta merkittävän viiveen jälkeen. Kyse on kameravalvontajärjestelmien tai yksityisten laitteiden tuottamien kuvien tai videokuvan kaltaisesta materiaalista, joka on luotu ennen kuin järjestelmää käytetään asianomaisiin luonnollisiin henkilöihin.

(18)

The notion of ‘emotion recognition system’ referred to in this Regulation should be defined as an AI system for the purpose of identifying or inferring emotions or intentions of natural persons on the basis of their biometric data. The notion refers to emotions or intentions such as happiness, sadness, anger, surprise, disgust, embarrassment, excitement, shame, contempt, satisfaction and amusement. It does not include physical states, such as pain or fatigue, including, for example, systems used in detecting the state of fatigue of professional pilots or drivers for the purpose of preventing accidents. This does also not include the mere detection of readily apparent expressions, gestures or movements, unless they are used for identifying or inferring emotions. Those expressions can be basic facial expressions, such as a frown or a smile, or gestures such as the movement of hands, arms or head, or characteristics of a person’s voice, such as a raised voice or whispering.

(18)

Tässä asetuksessa tarkoitettu tunteentunnistusjärjestelmän käsite olisi määriteltävä tekoälyjärjestelmäksi, jonka avulla luonnollisten henkilöiden tunteita tai aikomuksia voidaan tunnistaa tai päätellä heidän biometristen tietojensa perusteella. Tunteilla tai aikomuksilla tarkoitetaan tässä yhteydessä esimerkiksi onnellisuutta, surua, vihaa, yllättyneisyyttä, inhoa, häpeää, kiihtyneisyyttä, halveksuntaa, tyytyväisyyttä ja huvittuneisuutta. Ne eivät sisällä fyysisiä olotiloja, kuten kipua tai väsymystä, mukaan lukien esimerkiksi järjestelmät, joita käytetään ammattilentäjien tai -kuljettajien väsymyksen havaitsemiseen onnettomuuksien ehkäisemiseksi. Sillä ei myöskään viitata pelkkään ilmeisen selvien ilmeiden, eleiden tai liikkeiden havaitsemiseen, ellei niitä käytetä tunteiden tunnistamiseen tai päättelemiseen. Tällaiset ilmeet voivat olla perusilmeitä, kuten rypistynyt otsa tai hymy, tai eleitä, kuten käsien, käsivarsien tai pään liikkeitä, tai henkilön äänen piirteitä, esimerkiksi korotettua ääntä tai kuiskaamista.

(19)

For the purposes of this Regulation the notion of ‘publicly accessible space’ should be understood as referring to any physical space that is accessible to an undetermined number of natural persons, and irrespective of whether the space in question is privately or publicly owned, irrespective of the activity for which the space may be used, such as for commerce, for example, shops, restaurants, cafés; for services, for example, banks, professional activities, hospitality; for sport, for example, swimming pools, gyms, stadiums; for transport, for example, bus, metro and railway stations, airports, means of transport; for entertainment, for example, cinemas, theatres, museums, concert and conference halls; or for leisure or otherwise, for example, public roads and squares, parks, forests, playgrounds. A space should also be classified as being publicly accessible if, regardless of potential capacity or security restrictions, access is subject to certain predetermined conditions which can be fulfilled by an undetermined number of persons, such as the purchase of a ticket or title of transport, prior registration or having a certain age. In contrast, a space should not be considered to be publicly accessible if access is limited to specific and defined natural persons through either Union or national law directly related to public safety or security or through the clear manifestation of will by the person having the relevant authority over the space. The factual possibility of access alone, such as an unlocked door or an open gate in a fence, does not imply that the space is publicly accessible in the presence of indications or circumstances suggesting the contrary, such as. signs prohibiting or restricting access. Company and factory premises, as well as offices and workplaces that are intended to be accessed only by relevant employees and service providers, are spaces that are not publicly accessible. Publicly accessible spaces should not include prisons or border control. Some other spaces may comprise both publicly accessible and non-publicly accessible spaces, such as the hallway of a private residential building necessary to access a doctor’s office or an airport. Online spaces are not covered, as they are not physical spaces. Whether a given space is accessible to the public should however be determined on a case-by-case basis, having regard to the specificities of the individual situation at hand.

(19)

Tätä asetusta sovellettaessa julkisen tilan käsitteen olisi ymmärrettävä tarkoittavan mitä tahansa fyysistä tilaa, johon määrittämättömällä määrällä luonnollisia henkilöitä on pääsy, riippumatta siitä, onko kyseinen tila yksityisessä vai julkisessa omistuksessa, ja riippumatta toiminnasta, johon tilaa voidaan käyttää, kuten kaupankäyntiin (esimerkiksi kaupat, ravintolat, kahvilat), palveluihin (esimerkiksi pankit, ammatillinen toiminta, majoitus- ja ravitsemisala), urheiluun (esimerkiksi uimahallit, kuntosalit, urheilukentät), liikenteeseen (esimerkiksi linja-auto-, metro- ja rautatieasemat, lentoasemat, liikennevälineet), viihteeseen (esimerkiksi elokuvateatterit, teatterit, museot, konsertti- ja kokoussalit), vapaa-aikaan tai muuhun ajanviettoon (esimerkiksi yleiset tiet ja aukiot, puistot, metsät, leikkikentät). Tila olisi luokiteltava julkiseksi tilaksi myös, jos riippumatta mahdollisista kapasiteetti- tai turvallisuusrajoituksista pääsyyn sovelletaan tiettyjä ennalta määritettyjä edellytyksiä, jotka määrittämätön määrä henkilöitä voi täyttää, kuten lipun tai matkalipun ostamista, ennakkorekisteröitymistä tai tiettyä ikää. Sitä vastoin tilaa ei olisi katsottava julkiseksi tilaksi, jos pääsy on rajattu tietyille ja määritellyille luonnollisille henkilöille joko unionin tai jäsenvaltioiden lainsäädännössä, joka liittyy suoraan yleiseen turvallisuuteen, tai sen henkilön selkeän tahdonilmaisun avulla, jolla on tilaa koskeva asiaankuuluva määräysvalta. Pelkästään pääsyn tosiasiallinen mahdollisuus (esimerkiksi lukitsematon ovi, aidassa oleva avoin portti) ei merkitse sitä, että tila on julkinen tila, jos on olemassa osoituksia tai olosuhteita, jotka viittaavat päinvastaiseen (esimerkiksi pääsyn kieltävät tai sitä rajoittavat merkit). Yritysten ja tehtaiden tilat sekä toimistot ja työpaikat, joihin on tarkoitettu olevan pääsy ainoastaan asiaankuuluvilla työntekijöillä ja palveluntarjoajilla, ovat paikkoja, jotka eivät ole julkisia tiloja. Julkisiin tiloihin ei saisi sisältyä vankiloita tai rajatarkastusasemia. Jotkin muut tilat voivat sisältää sekä tiloja, jotka ovat julkisia, että tiloja, jotka eivät ole julkisia, esimerkiksi yksityisen asuinrakennuksen käytävä, jonka kautta on kuljettava lääkärin vastaanotolle, tai lentoasema. Käsite ei kata myöskään verkkoympäristöjä, sillä ne eivät ole fyysisiä tiloja. Se, onko yleisöllä pääsy tiettyyn tilaan, olisi kuitenkin määritettävä tapauskohtaisesti ottaen huomioon kulloisenkin yksittäisen tilanteen erityispiirteet.

(20)

In order to obtain the greatest benefits from AI systems while protecting fundamental rights, health and safety and to enable democratic control, AI literacy should equip providers, deployers and affected persons with the necessary notions to make informed decisions regarding AI systems. Those notions may vary with regard to the relevant context and can include understanding the correct application of technical elements during the AI system’s development phase, the measures to be applied during its use, the suitable ways in which to interpret the AI system’s output, and, in the case of affected persons, the knowledge necessary to understand how decisions taken with the assistance of AI will have an impact on them. In the context of the application this Regulation, AI literacy should provide all relevant actors in the AI value chain with the insights required to ensure the appropriate compliance and its correct enforcement. Furthermore, the wide implementation of AI literacy measures and the introduction of appropriate follow-up actions could contribute to improving working conditions and ultimately sustain the consolidation, and innovation path of trustworthy AI in the Union. The European Artificial Intelligence Board (the ‘Board’) should support the Commission, to promote AI literacy tools, public awareness and understanding of the benefits, risks, safeguards, rights and obligations in relation to the use of AI systems. In cooperation with the relevant stakeholders, the Commission and the Member States should facilitate the drawing up of voluntary codes of conduct to advance AI literacy among persons dealing with the development, operation and use of AI.

(20)

Jotta saadaan mahdollisimman paljon hyötyä tekoälyjärjestelmistä ja samalla suojellaan perusoikeuksia, terveyttä ja turvallisuutta ja mahdollistetaan demokraattinen valvonta, tarjoajilla, käyttöönottajilla ja henkilöillä, joihin vaikutukset kohdistuvat, olisi oltava riittävä tekoälylukutaito, jotta he ymmärtävät tarvittavat käsitteet ja voivat tehdä tekoälyjärjestelmiä koskevia tietoon perustuvia päätöksiä. Nämä käsitteet voivat vaihdella asiayhteyden mukaan, ja niitä voivat olla esimerkiksi käsitys teknisten elementtien asianmukaisesta soveltamisesta tekoälyjärjestelmän kehitysvaiheessa, järjestelmän käytön aikana sovellettavista toimenpiteistä ja sopivista tavoista tulkita tekoälyjärjestelmän tuotoksia sekä henkilöiden, joihin vaikutukset kohdistuvat, osalta tarvittava tietämys sen ymmärtämiseksi, miten tekoälyn avulla tehdyt päätökset vaikuttavat heihin. Tämän asetuksen soveltamisen yhteydessä kaikilla tekoälyn arvoketjun asiaankuuluvilla toimijoilla olisi oltava riittävä tekoälylukutaito, jotta voidaan varmistaa asetuksen asianmukainen noudattaminen ja täytäntöönpano. Lisäksi toteuttamalla tekoälylukutaitoa koskevia toimia laaja-alaisesti ja ottamalla käyttöön asianmukaiset jatkotoimet voitaisiin osaltaan parantaa työoloja ja viime kädessä lujittaa luotettavaa tekoälyä ja sen innovointipolkua unionissa. Euroopan tekoälyneuvoston, jäljempänä ”tekoälyneuvosto”, olisi tuettava komissiota, jotta voidaan edistää tekoälylukutaidon välineitä sekä yleistä tietoisuutta ja ymmärrystä tekoälyjärjestelmien käyttöön liittyvistä hyödyistä, riskeistä, suojatoimista, oikeuksista ja velvollisuuksista. Komission ja jäsenvaltioiden olisi yhteistyössä asiaankuuluvien sidosryhmien kanssa edistettävä vapaaehtoisten käytännesääntöjen laatimista, jotta voidaan parantaa tekoälyn kehittämisestä, toiminnasta ja käytöstä vastaavien henkilöiden tekoälylukutaitoa.

(21)

In order to ensure a level playing field and an effective protection of rights and freedoms of individuals across the Union, the rules established by this Regulation should apply to providers of AI systems in a non-discriminatory manner, irrespective of whether they are established within the Union or in a third country, and to deployers of AI systems established within the Union.

(21)

Jotta voidaan varmistaa tasapuoliset toimintaedellytykset ja yksilöiden oikeuksien ja vapauksien tehokas suojelu kaikkialla unionissa, tällä asetuksella vahvistettuja sääntöjä olisi sovellettava tekoälyjärjestelmien tarjoajiin syrjimättömällä tavalla riippumatta siitä, ovatko ne sijoittautuneet unioniin vai kolmanteen maahan, sekä unioniin sijoittautuneisiin tekoälyjärjestelmien käyttöönottajiin.

(22)

In light of their digital nature, certain AI systems should fall within the scope of this Regulation even when they are not placed on the market, put into service, or used in the Union. This is the case, for example, where an operator established in the Union contracts certain services to an operator established in a third country in relation to an activity to be performed by an AI system that would qualify as high-risk. In those circumstances, the AI system used in a third country by the operator could process data lawfully collected in and transferred from the Union, and provide to the contracting operator in the Union the output of that AI system resulting from that processing, without that AI system being placed on the market, put into service or used in the Union. To prevent the circumvention of this Regulation and to ensure an effective protection of natural persons located in the Union, this Regulation should also apply to providers and deployers of AI systems that are established in a third country, to the extent the output produced by those systems is intended to be used in the Union. Nonetheless, to take into account existing arrangements and special needs for future cooperation with foreign partners with whom information and evidence is exchanged, this Regulation should not apply to public authorities of a third country and international organisations when acting in the framework of cooperation or international agreements concluded at Union or national level for law enforcement and judicial cooperation with the Union or the Member States, provided that the relevant third country or international organisation provides adequate safeguards with respect to the protection of fundamental rights and freedoms of individuals. Where relevant, this may cover activities of entities entrusted by the third countries to carry out specific tasks in support of such law enforcement and judicial cooperation. Such framework for cooperation or agreements have been established bilaterally between Member States and third countries or between the European Union, Europol and other Union agencies and third countries and international organisations. The authorities competent for supervision of the law enforcement and judicial authorities under this Regulation should assess whether those frameworks for cooperation or international agreements include adequate safeguards with respect to the protection of fundamental rights and freedoms of individuals. Recipient national authorities and Union institutions, bodies, offices and agencies making use of such outputs in the Union remain accountable to ensure their use complies with Union law. When those international agreements are revised or new ones are concluded in the future, the contracting parties should make utmost efforts to align those agreements with the requirements of this Regulation.

(22)

Tiettyjen tekoälyjärjestelmien digitaalisen luonteen vuoksi niiden olisi kuuluttava tämän asetuksen soveltamisalaan myös silloin, kun niitä ei saateta markkinoille, oteta käyttöön eikä käytetä unionissa. Tämä koskee esimerkiksi tilanteita, joissa unioniin sijoittautunut toimija hankkii tiettyjä palveluja kolmanteen maahan sijoittautuneelta toimijalta sellaisen tekoälyjärjestelmän toteuttaman toiminnon osalta, joka katsotaan suuririskiseksi. Tällaisessa tapauksessa kolmanteen maahan sijoittautuneen toimijan käyttämä tekoälyjärjestelmä voisi käsitellä dataa, joka on kerätty unionissa ja siirretty sieltä laillisesti, ja toimittaa unionissa sijaitsevalle hankintasopimuksen tehneelle toimijalle tästä käsittelystä saatavia tekoälyjärjestelmän tuloksia ilman, että kyseistä tekoälyjärjestelmää saatetaan markkinoille, otetaan käyttöön tai käytetään unionissa. Jotta estettäisiin tämän asetuksen kiertäminen ja varmistettaisiin unionissa sijaitsevien luonnollisten henkilöiden tehokas suojelu, tätä asetusta olisi sovellettava myös kolmanteen maahan sijoittautuneisiin tekoälyjärjestelmien tarjoajiin ja käyttöönottajiin siltä osin kuin kyseisten järjestelmien tuottamaa tuotosta on tarkoitus käyttää unionissa.Jotta otettaisiin kuitenkin huomioon olemassa olevat järjestelyt ja erityiset tarpeet tulevaan yhteistyöhön sellaisten ulkomaisten kumppanien kanssa, joiden kanssa vaihdetaan tietoja ja todisteita, tätä asetusta ei pitäisi soveltaa kolmannen maan viranomaisiin eikä kansainvälisiin järjestöihin, kun ne toimivat unionin tai sen jäsenvaltioiden kanssa yhteistyössä tai unionin tai kansallisella tasolla tehtyjen lainvalvontaa ja rikosoikeudellista yhteistyötä koskevien kansainvälisten sopimusten puitteissa edellyttäen, että asiaankuuluva kolmas maa tai kansainvälinen järjestö antaa yksityisyydensuojaa, perusoikeuksia ja yksilön vapauksia koskevat riittävät takeet. Tarvittaessa tämä voi kattaa sellaisten yhteisöjen toimet, joille kolmannet maat ovat antaneet erityistehtäviä, joilla tuetaan tällaista lainvalvonta- ja oikeusyhteistyötä. Tällaisia yhteistyökehyksiä on otettu käyttöön ja tällaisia sopimuksia on tehty kahdenvälisesti jäsenvaltioiden ja kolmansien maiden välillä tai Euroopan unionin, Europolin ja muiden unionin virastojen sekä kolmansien maiden ja kansainvälisten järjestöjen välillä. Viranomaisten, joilla on tämän asetuksen nojalla toimivalta valvoa lainvalvonta- ja oikeusviranomaisia, olisi arvioitava, sisältävätkö nämä yhteistyökehykset tai kansainväliset sopimukset riittävät takeet yksilöiden perusoikeuksien ja -vapauksien suojelemiseksi. Vastaanottavat kansalliset viranomaiset ja unionin toimielimet, elimet ja laitokset, jotka käyttävät tällaisia tuotoksia unionissa, vastaavat sen varmistamisesta, että niiden käyttö on unionin oikeuden mukaista. Kun kyseisiä kansainvälisiä sopimuksia tarkistetaan tai uusia sopimuksia tehdään tulevaisuudessa, sopimuspuolten olisi pyrittävä kaikin keinoin saattamaan kyseiset sopimukset tämän asetuksen vaatimusten mukaisiksi.

(23)

This Regulation should also apply to Union institutions, bodies, offices and agencies when acting as a provider or deployer of an AI system.

(23)

Tätä asetusta olisi sovellettava myös unionin toimielimiin, elimiin ja laitoksiin, kun ne toimivat tekoälyjärjestelmän tarjoajana tai käyttöönottajana.

(24)

If, and insofar as, AI systems are placed on the market, put into service, or used with or without modification of such systems for military, defence or national security purposes, those should be excluded from the scope of this Regulation regardless of which type of entity is carrying out those activities, such as whether it is a public or private entity. As regards military and defence purposes, such exclusion is justified both by Article 4(2) TEU and by the specificities of the Member States’ and the common Union defence policy covered by Chapter 2 of Title V TEU that are subject to public international law, which is therefore the more appropriate legal framework for the regulation of AI systems in the context of the use of lethal force and other AI systems in the context of military and defence activities. As regards national security purposes, the exclusion is justified both by the fact that national security remains the sole responsibility of Member States in accordance with Article 4(2) TEU and by the specific nature and operational needs of national security activities and specific national rules applicable to those activities. Nonetheless, if an AI system developed, placed on the market, put into service or used for military, defence or national security purposes is used outside those temporarily or permanently for other purposes, for example, civilian or humanitarian purposes, law enforcement or public security purposes, such a system would fall within the scope of this Regulation. In that case, the entity using the AI system for other than military, defence or national security purposes should ensure the compliance of the AI system with this Regulation, unless the system is already compliant with this Regulation. AI systems placed on the market or put into service for an excluded purpose, namely military, defence or national security, and one or more non-excluded purposes, such as civilian purposes or law enforcement, fall within the scope of this Regulation and providers of those systems should ensure compliance with this Regulation. In those cases, the fact that an AI system may fall within the scope of this Regulation should not affect the possibility of entities carrying out national security, defence and military activities, regardless of the type of entity carrying out those activities, to use AI systems for national security, military and defence purposes, the use of which is excluded from the scope of this Regulation. An AI system placed on the market for civilian or law enforcement purposes which is used with or without modification for military, defence or national security purposes should not fall within the scope of this Regulation, regardless of the type of entity carrying out those activities.

(24)

Jos ja siltä osin kuin tekoälyjärjestelmiä saatetaan markkinoille, otetaan käyttöön tai käytetään tällaisten järjestelmien muutoksin tai ilman muutoksia sotilaallisiin, puolustuksen tai kansallisen turvallisuuden tarkoituksiin, ne olisi suljettava tämän asetuksen soveltamisalan ulkopuolelle riippumatta siitä, minkä tyyppinen toimija toteuttaa näitä toimia, esimerkiksi siitä, onko se julkinen vai yksityinen toimija. Kun kyseessä ovat sotilaalliset ja puolustustarkoitukset, tällainen soveltamisalan ulkopuolelle sulkeminen perustuu sekä SEU-sopimuksen 4 artiklan 2 kohtaan että SEU-sopimuksen V osaston 2 luvun piiriin kuuluvan jäsenvaltioiden puolustuspolitiikan ja unionin yhteisen puolustuspolitiikan erityispiirteisiin, joihin sovelletaan kansainvälistä julkisoikeutta, joka on näin ollen asianmukaisempi oikeuskehys tekoälyjärjestelmien sääntelylle tappavan voimankäytön yhteydessä ja muiden tekoälyjärjestelmien sääntelylle sotilas- ja puolustustoimien yhteydessä. Kun kyseessä ovat kansallisen turvallisuuden tarkoitukset, tällainen soveltamisalan ulkopuolelle sulkeminen perustuu sekä siihen, että kansallinen turvallisuus kuuluu jäsenvaltioiden yksinomaiseen toimivaltaan SEU 4 artiklan 2 kohdan mukaisesti, että kansallisen turvallisuuden toimien erityisluonteeseen ja operatiivisiin tarpeisiin ja näihin toimiin sovellettaviin erityisiin kansallisiin sääntöihin. Jos sotilaallisiin, puolustuksen tai kansallisen turvallisuuden tarkoituksiin kehitettyä, markkinoille saatettua, käyttöön otettua tai käytettyä tekoälyjärjestelmää kuitenkin käytetään väliaikaisesti tai pysyvästi muihin tarkoituksiin, esimerkiksi siviili- tai humanitaarisiin tarkoituksiin, lainvalvonnan tai yleisen turvallisuuden tarkoituksiin, järjestelmä kuuluu tämän asetuksen soveltamisalaan. Tässä tapauksessa toimijan, joka käyttää tekoälyjärjestelmää muihin kuin sotilaallisiin, puolustuksen tai kansallisen turvallisuuden tarkoituksiin, olisi varmistettava, että tekoälyjärjestelmässä noudatetaan tätä asetusta, jollei järjestelmässä jo noudateta tätä asetusta. Tekoälyjärjestelmät, jotka saatetaan markkinoille tai otetaan käyttöön soveltamisalan ulkopuolelle jääviin tarkoituksiin eli sotilaallisiin, puolustuksen tai kansallisen turvallisuuden tarkoituksiin ja yhteen tai useampaan soveltamisalaan kuuluvaan tarkoitukseen, kuten siviilitarkoituksiin tai lainvalvonnan tarkoituksiin, kuuluvat tämän asetuksen soveltamisalaan ja näiden järjestelmien tarjoajien olisi varmistettava tämän asetuksen noudattaminen. Näissä tapauksissa sen seikan, että tekoälyjärjestelmä voi kuulua tämän asetuksen soveltamisalaan, ei saisi vaikuttaa kansallisen turvallisuuden, puolustuksen ja sotilaallisia toimia toteuttavien toimijoiden, riippumatta siitä, minkä tyyppinen toimija toteuttaa näitä toimia, mahdollisuuteen käyttää tekoälyjärjestelmiä, joiden käyttö on suljettu tämän asetuksen soveltamisalan ulkopuolelle, kansallisen turvallisuuden, sotilaallisiin ja puolustuksen tarkoituksiin. Tekoälyjärjestelmän, joka saatetaan markkinoille siviili- tai lainvalvontatarkoituksia varten ja jota käytetään muutoksin tai ilman muutoksia sotilaallisiin, puolustuksen tai kansallisen turvallisuuden tarkoituksiin, ei pitäisi kuulua tämän asetuksen soveltamisalaan riippumatta siitä, minkä tyyppinen toimija toteuttaa näitä toimia.

(25)

This Regulation should support innovation, should respect freedom of science, and should not undermine research and development activity. It is therefore necessary to exclude from its scope AI systems and models specifically developed and put into service for the sole purpose of scientific research and development. Moreover, it is necessary to ensure that this Regulation does not otherwise affect scientific research and development activity on AI systems or models prior to being placed on the market or put into service. As regards product-oriented research, testing and development activity regarding AI systems or models, the provisions of this Regulation should also not apply prior to those systems and models being put into service or placed on the market. That exclusion is without prejudice to the obligation to comply with this Regulation where an AI system falling into the scope of this Regulation is placed on the market or put into service as a result of such research and development activity and to the application of provisions on AI regulatory sandboxes and testing in real world conditions. Furthermore, without prejudice to the exclusion of AI systems specifically developed and put into service for the sole purpose of scientific research and development, any other AI system that may be used for the conduct of any research and development activity should remain subject to the provisions of this Regulation. In any event, any research and development activity should be carried out in accordance with recognised ethical and professional standards for scientific research and should be conducted in accordance with applicable Union law.

(25)

Tällä asetuksella olisi tuettava innovointia, kunnioitettava tieteen vapautta, eikä se saisi heikentää tutkimus- ja kehitystoimintaa. Sen vuoksi on tarpeen jättää sen soveltamisalan ulkopuolelle tekoälyjärjestelmät ja -mallit, jotka on erityisesti kehitetty ja otettu käyttöön yksinomaan tieteellistä tutkimusta ja kehittämistoimintaa varten. Lisäksi on tarpeen varmistaa, että tämä asetus ei muulla tavoin vaikuta tekoälyjärjestelmiä tai -malleja koskevaan tieteelliseen tutkimukseen ja kehittämistoimintaan ennen niiden markkinoille saattamista tai käyttöönottoa. Tekoälyjärjestelmiä tai -malleja koskevan tuotesuuntautuneen tutkimus-, testaus- ja kehittämistoiminnan osalta tämän asetuksen säännöksiä ei myöskään pitäisi soveltaa ennen näiden järjestelmien ja mallien käyttöönottoa tai markkinoille saattamista. Tämä poissulkeminen ei rajoita velvoitetta noudattaa tätä asetusta, kun tämän asetuksen soveltamisalaan kuuluva tekoälyjärjestelmä saatetaan markkinoille tai otetaan käyttöön tällaisen tutkimus- ja kehitystoiminnan tuloksena, eikä tekoälyn sääntelyn testiympäristöjä ja tosielämän olosuhteissa tapahtuvaa testausta koskevien säännösten soveltamista. Lisäksi kaikkiin muihin tekoälyjärjestelmiin, joita voidaan käyttää tutkimus- ja kehitystoimintaan, olisi sovellettava tämän asetuksen säännöksiä, rajoittamatta sellaisten tekoälyjärjestelmien poissulkemista, jotka on erityisesti kehitetty ja otettu käyttöön yksinomaan tieteellistä tutkimusta ja kehitystoimintaa varten. Kaikissa tutkimus- ja kehitystoimissa olisi joka tapauksessa noudatettava tunnustettuja tutkimuseettisiä ja -ammatillisia periaatteita sekä sovellettavaa unionin oikeutta.

(26)

In order to introduce a proportionate and effective set of binding rules for AI systems, a clearly defined risk-based approach should be followed. That approach should tailor the type and content of such rules to the intensity and scope of the risks that AI systems can generate. It is therefore necessary to prohibit certain unacceptable AI practices, to lay down requirements for high-risk AI systems and obligations for the relevant operators, and to lay down transparency obligations for certain AI systems.

(26)

Tekoälyjärjestelmiä koskevien oikeasuhteisten ja tehokkaiden sitovien sääntöjen käyttöön ottamiseksi olisi noudatettava selkeästi määriteltyä riskiperusteista lähestymistapaa. Tässä lähestymistavassa tällaisten sääntöjen tyyppi ja sisältö olisi sovitettava niiden riskien voimakkuuden ja laajuuden mukaan, joita tekoälyjärjestelmät voivat aiheuttaa. Sen vuoksi on tarpeen kieltää tietyt tekoälyyn liittyvät käytännöt, joita ei voida hyväksyä, vahvistaa suuririskisiä tekoälyjärjestelmiä koskevat vaatimukset ja asianomaisten toimijoiden velvollisuudet sekä asettaa avoimuusvelvoitteita tietyille tekoälyjärjestelmille.

(27)

While the risk-based approach is the basis for a proportionate and effective set of binding rules, it is important to recall the 2019 Ethics guidelines for trustworthy AI developed by the independent AI HLEG appointed by the Commission. In those guidelines, the AI HLEG developed seven non-binding ethical principles for AI which are intended to help ensure that AI is trustworthy and ethically sound. The seven principles include human agency and oversight; technical robustness and safety; privacy and data governance; transparency; diversity, non-discrimination and fairness; societal and environmental well-being and accountability. Without prejudice to the legally binding requirements of this Regulation and any other applicable Union law, those guidelines contribute to the design of coherent, trustworthy and human-centric AI, in line with the Charter and with the values on which the Union is founded. According to the guidelines of the AI HLEG, human agency and oversight means that AI systems are developed and used as a tool that serves people, respects human dignity and personal autonomy, and that is functioning in a way that can be appropriately controlled and overseen by humans. Technical robustness and safety means that AI systems are developed and used in a way that allows robustness in the case of problems and resilience against attempts to alter the use or performance of the AI system so as to allow unlawful use by third parties, and minimise unintended harm. Privacy and data governance means that AI systems are developed and used in accordance with privacy and data protection rules, while processing data that meets high standards in terms of quality and integrity. Transparency means that AI systems are developed and used in a way that allows appropriate traceability and explainability, while making humans aware that they communicate or interact with an AI system, as well as duly informing deployers of the capabilities and limitations of that AI system and affected persons about their rights. Diversity, non-discrimination and fairness means that AI systems are developed and used in a way that includes diverse actors and promotes equal access, gender equality and cultural diversity, while avoiding discriminatory impacts and unfair biases that are prohibited by Union or national law. Social and environmental well-being means that AI systems are developed and used in a sustainable and environmentally friendly manner as well as in a way to benefit all human beings, while monitoring and assessing the long-term impacts on the individual, society and democracy. The application of those principles should be translated, when possible, in the design and use of AI models. They should in any case serve as a basis for the drafting of codes of conduct under this Regulation. All stakeholders, including industry, academia, civil society and standardisation organisations, are encouraged to take into account, as appropriate, the ethical principles for the development of voluntary best practices and standards.

(27)

Riskiperusteinen lähestymistapa toimii perustana oikeasuhteisille ja tehokkaille sitoville säännöille. On kuitenkin tärkeää palauttaa mieleen komission nimittämän tekoälyä käsittelevän korkean tason asiantuntijaryhmän laatimat luotettavaa tekoälyä koskevat eettiset ohjeet vuodelta 2019. Asiantuntijaryhmä laati näihin ohjeisiin seitsemän ei-sitovaa tekoälyä koskevaa eettistä periaatetta, joiden on tarkoitus auttaa varmistamaan, että tekoäly on luotettavaa ja eettisesti hyväksyttävää. Nämä seitsemän periaatetta ovat ihmisen toimijuus ja ihmisen suorittama valvonta, tekninen vakaus ja turvallisuus, yksityisyyden suoja ja datanhallinta, avoimuus, monimuotoisuus, syrjimättömyys ja oikeudenmukaisuus sekä yhteiskunnallinen ja ympäristöön liittyvä hyvinvointi ja vastuuvelvollisuus. Eettisillä ohjeilla edistetään johdonmukaisen, luotettavan ja ihmiskeskeisen tekoälyn suunnittelua perusoikeuskirjan ja unionin perustana olevien arvojen mukaisesti, sanotun kuitenkaan rajoittamatta tämän asetuksen oikeudellisesti sitovien vaatimusten ja muun sovellettavan unionin oikeuden soveltamista. Tekoälyä käsittelevän korkean tason asiantuntijaryhmän eettisten ohjeiden mukaan ihmisen toimijuudella ja ihmisen suorittamalla valvonnalla tarkoitetaan, että tekoälyjärjestelmät kehitetään työkaluiksi ja niitä käytetään työkaluina, jotka palvelevat ihmisiä, kunnioittavat ihmisarvoa ja itsemääräämisoikeutta ja toimivat siten, että ihmisen on mahdollista hallita ja valvoa niitä.Teknisellä vakaudella ja turvallisuudella tarkoitetaan, että tekoälyjärjestelmät kehitetään ja niitä käytetään tavalla, jolla tahattomat ongelmatilanteet voidaan ratkaista vakaasti, jolla tekoälyjärjestelmä voi palautua yrityksistä muuttaa sen käyttöä tai toimintaa siten, että kolmannet osapuolet voisivat käyttää sitä laittomasti, ja jolla pidetään tahattomat haitat mahdollisimman vähäisinä. Yksityisyydellä ja datanhallinnalla tarkoitetaan, että tekoälyjärjestelmät kehitetään ja niitä käytetään yksityisyydensuojaa ja tietosuojaa koskevien säännösten mukaisesti käsiteltäessä tietoja, jotka täyttävät tiukat vaatimukset laadun ja eheyden osalta. Avoimuudella tarkoitetaan, että tekoälyjärjestelmiä kehitetään ja käytetään tavalla, joka mahdollistaa asianmukaisen jäljitettävyyden ja selitettävyyden, saa ihmiset tietoiseksi siitä, että he viestivät tai ovat vuorovaikutuksessa tekoälyjärjestelmän kanssa, ja tiedottaa käyttöönottajille asianmukaisesti kulloisenkin tekoälyjärjestelmän suorituskykyyn liittyvistä valmiuksista ja rajoituksista sekä henkilöille, joihin vaikutukset kohdistuvat, heidän oikeuksistaan. Monimuotoisuudella, syrjimättömyydellä ja oikeudenmukaisuudella tarkoitetaan, että tekoälyjärjestelmiä kehitetään ja käytetään tavalla, jossa on mukana monimuotoisia toimijoita ja jolla edistetään yhtäläisiä mahdollisuuksia, sukupuolten tasa-arvoa ja kulttuurien monimuotoisuutta ja vältetään unionin tai kansallisessa lainsäädännössä kiellettyjä syrjiviä vaikutuksia ja epäoikeudenmukaisia vääristymiä. Sosiaalisella ja ympäristöön liittyvällä hyvinvoinnilla tarkoitetaan, että tekoälyjärjestelmiä kehitetään ja käytetään kestävällä ja ympäristöystävällisellä tavalla sekä siten, että ne ovat hyödyksi kaikille ihmisille, seuraten ja arvioiden samalla pitkän aikavälin vaikutuksia yksilöihin, yhteyskuntaan ja demokratiaan. Nämä periaatteet olisi mahdollisuuksien mukaan otettava huomioon tekoälymallien suunnittelussa ja käytössä. Niiden olisi joka tapauksessa toimittava perustana, kun tämän asetuksen mukaiset käytännesäännöt laaditaan. Kaikkia sidosryhmiä, kuten teollisuutta, tiedeyhteisöä, kansalaisyhteiskuntaa ja standardointijärjestöjä, kannustetaan ottamaan tarvittaessa huomioon eettiset periaatteet, kun ne kehittävät vapaaehtoisia parhaita käytäntöjä ja standardeja.

(28)

Aside from the many beneficial uses of AI, it can also be misused and provide novel and powerful tools for manipulative, exploitative and social control practices. Such practices are particularly harmful and abusive and should be prohibited because they contradict Union values of respect for human dignity, freedom, equality, democracy and the rule of law and fundamental rights enshrined in the Charter, including the right to non-discrimination, to data protection and to privacy and the rights of the child.

(28)

Tekoälyn monien hyödyllisten käyttötarkoitusten lisäksi sitä voidaan myös käyttää väärin, ja se voi tarjota uusia ja tehokkaita välineitä käytäntöihin, joihin liittyy manipulointia, hyväksikäyttöä ja sosiaalista valvontaa. Tällaiset käytännöt ovat erityisen haitallisia ja loukkaavia, ja ne olisi kiellettävä, koska ne ovat ihmisarvon kunnioittamista, vapautta, tasa-arvoa, demokratiaa ja oikeusvaltiota koskevien unionin arvojen sekä perusoikeuskirjassa vahvistettujen perusoikeuksien vastaisia, mukaan lukien oikeus syrjimättömyyteen, tietosuoja ja yksityisyyden suoja sekä lapsen oikeudet.

(29)

AI-enabled manipulative techniques can be used to persuade persons to engage in unwanted behaviours, or to deceive them by nudging them into decisions in a way that subverts and impairs their autonomy, decision-making and free choices. The placing on the market, the putting into service or the use of certain AI systems with the objective to or the effect of materially distorting human behaviour, whereby significant harms, in particular having sufficiently important adverse impacts on physical, psychological health or financial interests are likely to occur, are particularly dangerous and should therefore be prohibited. Such AI systems deploy subliminal components such as audio, image, video stimuli that persons cannot perceive, as those stimuli are beyond human perception, or other manipulative or deceptive techniques that subvert or impair person’s autonomy, decision-making or free choice in ways that people are not consciously aware of those techniques or, where they are aware of them, can still be deceived or are not able to control or resist them. This could be facilitated, for example, by machine-brain interfaces or virtual reality as they allow for a higher degree of control of what stimuli are presented to persons, insofar as they may materially distort their behaviour in a significantly harmful manner. In addition, AI systems may also otherwise exploit the vulnerabilities of a person or a specific group of persons due to their age, disability within the meaning of Directive (EU) 2019/882 of the European Parliament and of the Council (16), or a specific social or economic situation that is likely to make those persons more vulnerable to exploitation such as persons living in extreme poverty, ethnic or religious minorities. Such AI systems can be placed on the market, put into service or used with the objective to or the effect of materially distorting the behaviour of a person and in a manner that causes or is reasonably likely to cause significant harm to that or another person or groups of persons, including harms that may be accumulated over time and should therefore be prohibited. It may not be possible to assume that there is an intention to distort behaviour where the distortion results from factors external to the AI system which are outside the control of the provider or the deployer, namely factors that may not be reasonably foreseeable and therefore not possible for the provider or the deployer of the AI system to mitigate. In any case, it is not necessary for the provider or the deployer to have the intention to cause significant harm, provided that such harm results from the manipulative or exploitative AI-enabled practices. The prohibitions for such AI practices are complementary to the provisions contained in Directive 2005/29/EC of the European Parliament and of the Council (17), in particular unfair commercial practices leading to economic or financial harms to consumers are prohibited under all circumstances, irrespective of whether they are put in place through AI systems or otherwise. The prohibitions of manipulative and exploitative practices in this Regulation should not affect lawful practices in the context of medical treatment such as psychological treatment of a mental disease or physical rehabilitation, when those practices are carried out in accordance with the applicable law and medical standards, for example explicit consent of the individuals or their legal representatives. In addition, common and legitimate commercial practices, for example in the field of advertising, that comply with the applicable law should not, in themselves, be regarded as constituting harmful manipulative AI-enabled practices.

(29)

Tekoälyä hyödyntäviä manipulointitekniikoita voidaan käyttää taivuttelemaan henkilöitä haitallisiin käyttäytymismalleihin tai harhauttamaan heitä suuntaamalla heitä tekemään päätöksiä tavalla, joka horjuttaa ja heikentää heidän itsenäisyyttään, päätöksentekoaan ja valinnanvapauttaan. Sellaisten tekoälyjärjestelmien markkinoille saattaminen, käyttöönotto tai käyttö, joiden tarkoitus on vääristää olennaisesti tai joiden käytön tuloksena vääristetään olennaisesti ihmisten käyttäytymistä, mistä todennäköisesti aiheutuu huomattavia haittoja, joilla on erityisesti riittävän merkittävä kielteinen vaikutus fyysiseen tai psyykkiseen terveyteen taikka taloudellisiin etuihin, on erityisen vaarallista ja se olisi näin ollen kiellettävä. Tällaisissa tekoälyjärjestelmissä käytetään subliminaalisia komponentteja, kuten ääni-, kuva- ja videoärsykkeitä, joita henkilöt eivät voi havaita, koska tällaiset ärsykkeet ovat ihmisen havaitsemiskyvyn ulkopuolella, tai muita manipuloivia tai harhaanjohtavia tekniikkoja, joilla horjutetaan tai heikennetään henkilön itsenäisyyttä, päätöksentekoa ja valinnanvapautta tavoilla, joista ihmiset eivät ole tietoisia tai vaikka olisivatkin, he voivat silti tulla harhaanjohdetuiksi tai eivät pysty hallitsemaan tai vastustamaan niitä. Tällaista harhaanjohtamista voisivat helpottaa esimerkiksi aivojen ja tietokoneen rajapinnat tai virtuaalitodellisuus, koska niiden avulla voidaan paremmin hallita sitä, mitä ärsykkeitä esitetään henkilöille, siinä määrin kuin ne voivat vääristää olennaisesti heidän käyttäytymistään merkittävästi haitallisella tavalla. Lisäksi tekoälyjärjestelmissä voidaan myös muutoin hyödyntää henkilön tai tietyn henkilöryhmän haavoittuvuuksia, jotka liittyvät heidän ikäänsä, Euroopan parlamentin ja neuvoston direktiivissä (EU) 2019/882 (16) tarkoitettuun vammaan tai erityiseen sosiaaliseen tai taloudelliseen tilanteeseen, joka todennäköisesti saattaa nämä henkilöt haavoittuvammiksi hyväksikäytölle, kuten äärimmäisessä köyhyydessä elävät henkilöt tai etniset tai uskonnolliset vähemmistöt.Tällaisia tekoälyjärjestelmiä saatetaan saattaa markkinoille, ottaa käyttöön tai käyttää siten, että tavoitteena tai vaikutuksena on henkilön käytöksen olennainen vääristyminen, ja tavalla, joka aiheuttaa tai kohtuullisella todennäköisyydellä aiheuttaa huomattavaa haittaa kyseiselle henkilölle tai muulle henkilölle tai henkilöryhmälle, mukaan lukien ajan kuluessa mahdollisesti kumuloituvat haitat, ja siksi tekoälyjärjestelmien tällainen käyttö olisi kiellettävä. Voi olla mahdotonta olettaa, että käyttäytymisen vääristyminen on tarkoituksellista, jos käyttäytymisen vääristyminen johtuu tekoälyjärjestelmän ulkopuolisista tekijöistä, jotka eivät ole tarjoajan tai käyttöönottajan hallittavissa, eli tekijöistä, joita tekoälyjärjestelmän tarjoaja tai käyttöönottaja ei voi kohtuudella ennustaa ja näin ollen lieventää. Joka tapauksessa tarjoajalla tai käyttöönottajalla ei tarvitse olla aikomusta aiheuttaa huomattavaa haittaa, vaan kiellon perusteeksi riittää, että tällaista haittaa aiheutuu manipuloivista tai hyväksikäyttävistä tekoälyä hyödyntävistä käytännöistä. Tällaisia tekoälykäytäntöjä koskevilla kielloilla täydennetään Euroopan parlamentin ja neuvoston direktiivissä 2005/29/EY (17) olevia säännöksiä erityisesti siltä osin, että kuluttajille taloudellisia tai rahoituksellisia haittoja aiheuttavat hyvän kauppatavan vastaiset käytännöt kielletään kaikissa olosuhteissa riippumatta siitä, onko ne otettu käyttöön tekoälyjärjestelmien avulla tai muutoin. Tässä asetuksessa säädetyt manipuloivien ja hyväksikäyttävien käytäntöjen kiellot eivät saisi vaikuttaa laillisiin käytäntöihin sairaanhoidon alalla, kuten mielenterveyshäiriöiden psykologiseen hoitoon tai fyysiseen kuntoutumiseen, kun tällaiset käytännöt toteutetaan sovellettavan lainsäädännön ja sovellettavien lääketieteellisten standardien mukaisesti, esimerkiksi edellyttämällä asianomaisten henkilöiden tai heidän edustajiensa nimenomaista suostumusta. Sovellettavan lainsäädännön mukaisten, esimerkiksi mainonnan alalla toteutettavien yleisten ja oikeutettujen kaupallisten menettelyjen ei myöskään saisi itsessään katsoa olevan haitallisia manipuloivia tekoälyä hyödyntäviä käytäntöjä.

(30)

Biometric categorisation systems that are based on natural persons’ biometric data, such as an individual person’s face or fingerprint, to deduce or infer an individuals’ political opinions, trade union membership, religious or philosophical beliefs, race, sex life or sexual orientation should be prohibited. That prohibition should not cover the lawful labelling, filtering or categorisation of biometric data sets acquired in line with Union or national law according to biometric data, such as the sorting of images according to hair colour or eye colour, which can for example be used in the area of law enforcement.

(30)

Olisi kiellettävä biometriset luokittelujärjestelmät, jotka perustuvat luonnollisten henkilöiden biometrisiin tietoihin, kuten henkilön kasvokuva- tai sormenjälkitietoihin, joiden perusteella päätellään tai johdetaan henkilön poliittisia mielipiteitä, ammattiliiton jäsenyyttä, uskonnollista tai filosofista vakaumusta, rotua, seksuaalista käyttäytymistä tai seksuaalista suuntautumista koskevia seikkoja. Tämä kielto ei saisi koskea sellaisten biometristen tietoaineistojen laillista merkitsemistä, suodattamista tai luokittelua, jotka on hankittu biometrisiä tietoja koskevan unionin tai kansallisen lainsäädännön mukaisesti, mukaan lukien hiusten tai silmien värin mukaan tapahtuva kuvien lajittelu, jota voidaan käyttää esimerkiksi lainvalvonnassa.

(31)

AI systems providing social scoring of natural persons by public or private actors may lead to discriminatory outcomes and the exclusion of certain groups. They may violate the right to dignity and non-discrimination and the values of equality and justice. Such AI systems evaluate or classify natural persons or groups thereof on the basis of multiple data points related to their social behaviour in multiple contexts or known, inferred or predicted personal or personality characteristics over certain periods of time. The social score obtained from such AI systems may lead to the detrimental or unfavourable treatment of natural persons or whole groups thereof in social contexts, which are unrelated to the context in which the data was originally generated or collected or to a detrimental treatment that is disproportionate or unjustified to the gravity of their social behaviour. AI systems entailing such unacceptable scoring practices and leading to such detrimental or unfavourable outcomes should therefore be prohibited. That prohibition should not affect lawful evaluation practices of natural persons that are carried out for a specific purpose in accordance with Union and national law.

(31)

Tekoälyjärjestelmät, joiden avulla julkiset tai yksityiset toimijat toteuttavat luonnollisten henkilöiden sosiaalista pisteyttämistä, voivat johtaa syrjiviin tuloksiin ja tiettyjen ryhmien syrjäytymiseen. Ne voivat loukata oikeutta ihmisarvoon ja syrjimättömyyteen sekä tasa-arvon ja oikeussuojan arvoja. Tällaiset tekoälyjärjestelmät arvioivat tai luokittelevat luonnollisia henkilöitä tai henkilöryhmiä tiettyinä ajanjaksoina heidän sosiaaliseen käyttäytymiseensä useissa yhteyksissä liittyvien monien tietopisteiden perusteella tai heidän tunnettujen, pääteltyjen tai ennakoitujen henkilökohtaisten ominaisuuksiensa tai luonteenpiirteidensä perusteella. Tällaisista tekoälyjärjestelmistä saadut sosiaaliset pisteet voivat johtaa luonnollisten henkilöiden tai kokonaisten henkilöryhmien haitalliseen tai epäedulliseen kohteluun sosiaalisissa yhteyksissä, jotka eivät liity siihen asiayhteyteen, jossa tiedot alun perin tuotettiin tai kerättiin, tai haitalliseen kohteluun, joka on suhteetonta tai perusteetonta heidän sosiaalisen käyttäytymisensä vakavuuteen nähden. Tekoälyjärjestelmät, jotka tuottavat tällaisia pisteytyskäytäntöjä, joita ei voida hyväksyä ja jotka johtavat tällaisiin haitallisiin tai epäedullisiin tuloksiin, olisi näin ollen kiellettävä. Tämä kielto ei saisi vaikuttaa luonnollisten henkilöiden lainmukaisiin arviointikäytäntöihin, joita toteutetaan erityistä tarkoitusta varten unionin ja kansallisen lainsäädännön mukaisesti.

(32)

The use of AI systems for ‘real-time’ remote biometric identification of natural persons in publicly accessible spaces for the purpose of law enforcement is particularly intrusive to the rights and freedoms of the concerned persons, to the extent that it may affect the private life of a large part of the population, evoke a feeling of constant surveillance and indirectly dissuade the exercise of the freedom of assembly and other fundamental rights. Technical inaccuracies of AI systems intended for the remote biometric identification of natural persons can lead to biased results and entail discriminatory effects. Such possible biased results and discriminatory effects are particularly relevant with regard to age, ethnicity, race, sex or disabilities. In addition, the immediacy of the impact and the limited opportunities for further checks or corrections in relation to the use of such systems operating in real-time carry heightened risks for the rights and freedoms of the persons concerned in the context of, or impacted by, law enforcement activities.

(32)

Käyttämällä tekoälyjärjestelmiä luonnollisten henkilöiden reaaliaikaiseen biometriseen etätunnistukseen julkisissa tiloissa lainvalvontatarkoituksessa puututaan erityisen pitkälle menevällä tavalla asianomaisten henkilöiden oikeuksiin ja vapauksiin, sillä tämä voi vaikuttaa suuren väestönosan yksityiselämään, synnyttää tunteen jatkuvasta valvonnasta ja estää välillisesti kokoontumisvapauden ja muiden perusoikeuksien käyttämisen. Luonnollisten henkilöiden biometriseen etätunnistukseen tarkoitettujen tekoälyjärjestelmien tekniset epätarkkuudet voivat johtaa vinoutuneisiin tuloksiin ja aiheuttaa syrjiviä vaikutuksia. Tällaiset mahdolliset vinoutuneet tulokset ja syrjivät vaikutukset ovat erityisen merkityksellisiä, kun ne liittyvät ikään, etniseen alkuperään, rotuun, sukupuoleen tai vammaisuuteen. Lisäksi tällaisten reaaliaikaisten järjestelmien käyttöön liittyvien vaikutusten välittömyys ja rajalliset mahdollisuudet lisätarkastuksiin tai korjauksiin lisäävät asianomaisten henkilöiden oikeuksiin ja vapauksiin kohdistuvia riskejä lainvalvontatoimien yhteydessä tai asianomaisten henkilöiden, joihin lainvalvontatoimet vaikuttavat, oikeuksiin ja vapauksiin kohdistuvia riskejä.

(33)

The use of those systems for the purpose of law enforcement should therefore be prohibited, except in exhaustively listed and narrowly defined situations, where the use is strictly necessary to achieve a substantial public interest, the importance of which outweighs the risks. Those situations involve the search for certain victims of crime including missing persons; certain threats to the life or to the physical safety of natural persons or of a terrorist attack; and the localisation or identification of perpetrators or suspects of the criminal offences listed in an annex to this Regulation, where those criminal offences are punishable in the Member State concerned by a custodial sentence or a detention order for a maximum period of at least four years and as they are defined in the law of that Member State. Such a threshold for the custodial sentence or detention order in accordance with national law contributes to ensuring that the offence should be serious enough to potentially justify the use of ‘real-time’ remote biometric identification systems. Moreover, the list of criminal offences provided in an annex to this Regulation is based on the 32 criminal offences listed in the Council Framework Decision 2002/584/JHA (18), taking into account that some of those offences are, in practice, likely to be more relevant than others, in that the recourse to ‘real-time’ remote biometric identification could, foreseeably, be necessary and proportionate to highly varying degrees for the practical pursuit of the localisation or identification of a perpetrator or suspect of the different criminal offences listed and having regard to the likely differences in the seriousness, probability and scale of the harm or possible negative consequences. An imminent threat to life or the physical safety of natural persons could also result from a serious disruption of critical infrastructure, as defined in Article 2, point (4) of Directive (EU) 2022/2557 of the European Parliament and of the Council (19), where the disruption or destruction of such critical infrastructure would result in an imminent threat to life or the physical safety of a person, including through serious harm to the provision of basic supplies to the population or to the exercise of the core function of the State. In addition, this Regulation should preserve the ability for law enforcement, border control, immigration or asylum authorities to carry out identity checks in the presence of the person concerned in accordance with the conditions set out in Union and national law for such checks. In particular, law enforcement, border control, immigration or asylum authorities should be able to use information systems, in accordance with Union or national law, to identify persons who, during an identity check, either refuse to be identified or are unable to state or prove their identity, without being required by this Regulation to obtain prior authorisation. This could be, for example, a person involved in a crime, being unwilling, or unable due to an accident or a medical condition, to disclose their identity to law enforcement authorities.

(33)

Näiden järjestelmien käyttö lainvalvontatarkoituksiin olisi sen vuoksi kiellettävä lukuun ottamatta tyhjentävästi lueteltuja ja kapeasti määriteltyjä tilanteita, joissa käyttö on ehdottoman välttämätöntä sellaisen tärkeän yleisen edun saavuttamiseksi, jonka merkitys on riskejä suurempi. Näihin tilanteisiin kuuluvat tiettyjen rikosten uhrien, myös kadonneiden henkilöiden, etsintä; tietyt luonnollisten henkilöiden henkeen tai fyysiseen turvallisuuteen kohdistuvan uhat tai terrori-iskun uhat; sekä tämän asetuksen liitteessä lueteltujen rikosten tekijöiden tai tällaisista rikoksista epäiltyjen paikantaminen tai tunnistaminen, jos näistä rikoksista voi asianomaisessa jäsenvaltiossa seurata vapaudenmenetyksen käsittävä rangaistus tai turvaamistoimenpide, jonka enimmäisaika on vähintään neljä vuotta, sellaisina kuin ne on määritelty kyseisen jäsenvaltion lainsäädännössä. Tällainen kansallisen lainsäädännön mukaisen vapaudenmenetyksen käsittävän rangaistuksen tai turvaamistoimenpiteen vähimmäisaika auttaa osaltaan varmistamaan, että rikoksen olisi oltava riittävän vakava, jotta sillä voidaan tarvittaessa perustella reaaliaikaisten biometristen etätunnistusjärjestelmien käyttö. Lisäksi tämän asetuksen liitteessä vahvistettu rikosten luettelo perustuu neuvoston puitepäätöksessä 2002/584/YOS (18) lueteltuihin 32 rikokseen ottaen huomioon, että jotkin niistä ovat käytännössä todennäköisesti merkityksellisempiä kuin toiset, koska reaaliaikaiseen biometriseen etätunnistukseen turvautuminen olisi oletettavasti hyvin vaihtelevassa määrin välttämätöntä ja oikeasuhteista, kun eri lueteltujen rikosten tekijöitä tai niistä epäiltyjä pyritään käytännössä paikantamaan tai tunnistamaan ja kun otetaan huomioon todennäköiset erot vahingon tai mahdollisten kielteisten seurausten vakavuudessa, todennäköisyydessä ja laajuudessa. Välitön uhka, joka kohdistuu luonnollisen henkilön henkeen tai fyysiseen turvallisuuteen, voi olla seurausta myös Euroopan parlamentin ja neuvoston direktiivin (EU) 2022/2557 (19) 2 artiklan 4 alakohdassa määritellyn elintärkeän infrastruktuurin vakavasta häiriöstä, kun tällaisen elintärkeän infrastruktuurin vahingoittuminen tai tuhoutuminen johtaisi henkilön henkeen tai fyysiseen turvallisuuteen kohdistuvaan välittömään uhkaan, myös väestölle tarkoitettujen perustarvikkeiden toimitukselle tai valtion ydintehtävien hoitamiselle aiheutuvan vakavan haitan kautta. Lisäksi tässä asetuksessa olisi säilytettävä lainvalvonta-, rajavalvonta-, maahanmuutto- ja turvapaikkaviranomaisten kyky suorittaa henkilöllisyyden toteamistoimia kyseessä olevan henkilön läsnä ollessa unionin ja jäsenvaltioiden lainsäädännössä tällaisille tarkastuksille asetettujen edellytysten mukaisesti. Lainvalvonta-, rajavalvonta-, maahanmuutto- ja turvapaikkaviranomaisten olisi erityisesti voitava käyttää tietojärjestelmiä unionin tai jäsenvaltioiden lainsäädännön mukaisesti tunnistaakseen henkilön, joka henkilöllisyyden toteamisen yhteydessä joko kieltäytyy henkilöllisyyden toteamisesta tai ei pysty ilmoittamaan tai todistamaan henkilöllisyyttään, ilman että niiltä vaaditaan tässä asetuksessa ennakkoluvan saamista. Kyseessä voisi olla esimerkiksi rikokseen osallistunut henkilö, joka ei halua tai pysty onnettomuuden tai sairauden takia ilmoittamaan henkilöllisyyttään lainvalvontaviranomaisille.

(34)

In order to ensure that those systems are used in a responsible and proportionate manner, it is also important to establish that, in each of those exhaustively listed and narrowly defined situations, certain elements should be taken into account, in particular as regards the nature of the situation giving rise to the request and the consequences of the use for the rights and freedoms of all persons concerned and the safeguards and conditions provided for with the use. In addition, the use of ‘real-time’ remote biometric identification systems in publicly accessible spaces for the purpose of law enforcement should be deployed only to confirm the specifically targeted individual’s identity and should be limited to what is strictly necessary concerning the period of time, as well as the geographic and personal scope, having regard in particular to the evidence or indications regarding the threats, the victims or perpetrator. The use of the real-time remote biometric identification system in publicly accessible spaces should be authorised only if the relevant law enforcement authority has completed a fundamental rights impact assessment and, unless provided otherwise in this Regulation, has registered the system in the database as set out in this Regulation. The reference database of persons should be appropriate for each use case in each of the situations mentioned above.

(34)

Sen varmistamiseksi, että näitä järjestelmiä käytetään vastuullisella ja oikeasuhteisella tavalla, on myös tärkeää vahvistaa, että kussakin näistä tyhjentävästi luetellusta ja suppeasti määritellystä tilanteesta olisi otettava huomioon tietyt tekijät, erityisesti pyynnön perusteena olevan tilanteen luonne ja käytön seuraukset kaikkien asianomaisten henkilöiden oikeuksille ja vapauksille sekä käyttöä koskevat suojatoimet ja ehdot. Lisäksi reaaliaikaisia biometrisiä etätunnistusjärjestelmiä olisi käytettävä julkisissa tiloissa lainvalvontatarkoituksessa ainoastaan vahvistamaan kohteena olevan yksilön henkilöllisyys ja tämä käyttö olisi rajoitettava siihen, mikä on ehdottoman välttämätöntä, kun otetaan huomioon tällaisen järjestelmän käytön kesto sekä maantieteellinen ja henkilötason laajuus ja erityisesti uhkia, uhreja tai rikoksentekijää koskevat todisteet tai tiedossa olevat seikat. Reaaliaikaisen biometrisen etätunnistusjärjestelmän käyttö julkisissa tiloissa olisi sallittava vain, jos lainvalvontaviranomainen on saattanut päätökseen perusoikeuksia koskevan vaikutustenarvioinnin ja, jollei tässä asetuksessa toisin säädetä, rekisteröinyt järjestelmän tietokantaan tämän asetuksen mukaisesti. Henkilöitä koskevan viitetietokannan olisi oltava kuhunkin käyttötapaukseen sopiva kussakin edellä mainitussa tapauksessa.

(35)

Each use of a ‘real-time’ remote biometric identification system in publicly accessible spaces for the purpose of law enforcement should be subject to an express and specific authorisation by a judicial authority or by an independent administrative authority of a Member State whose decision is binding. Such authorisation should, in principle, be obtained prior to the use of the AI system with a view to identifying a person or persons. Exceptions to that rule should be allowed in duly justified situations on grounds of urgency, namely in situations where the need to use the systems concerned is such as to make it effectively and objectively impossible to obtain an authorisation before commencing the use of the AI system. In such situations of urgency, the use of the AI system should be restricted to the absolute minimum necessary and should be subject to appropriate safeguards and conditions, as determined in national law and specified in the context of each individual urgent use case by the law enforcement authority itself. In addition, the law enforcement authority should in such situations request such authorisation while providing the reasons for not having been able to request it earlier, without undue delay and at the latest within 24 hours. If such an authorisation is rejected, the use of real-time biometric identification systems linked to that authorisation should cease with immediate effect and all the data related to such use should be discarded and deleted. Such data includes input data directly acquired by an AI system in the course of the use of such system as well as the results and outputs of the use linked to that authorisation. It should not include input that is legally acquired in accordance with another Union or national law. In any case, no decision producing an adverse legal effect on a person should be taken based solely on the output of the remote biometric identification system.

(35)

Jokaisen reaaliaikaisen biometrisen etätunnistusjärjestelmän käytön julkisissa tiloissa lainvalvontatarkoituksessa olisi edellytettävä nimenomaista ja erityistä lupaa jäsenvaltion oikeusviranomaiselta tai riippumattomalta hallintoviranomaiselta, jonka päätös on sitova. Tällainen lupa olisi periaatteessa saatava ennen kuin tekoälyjärjestelmää käytetään henkilön tai henkilöiden tunnistamiseksi. Poikkeuksia tähän sääntöön olisi sallittava asianmukaisesti perustelluissa kiireellisissä tapauksissa eli tilanteissa, joissa kyseisten järjestelmien käyttötarve on sellainen, että luvan saaminen ennen tekoälyjärjestelmän käytön aloittamista on tosiasiallisesti ja objektiivisesti mahdotonta. Tällaisissa kiireellisissä tilanteissa tekoälyjärjestelmän käyttö olisi rajoitettava siihen, mikä on ehdottoman välttämätöntä, ja siihen olisi sovellettava asianmukaisia suojatoimia ja ehtoja, jotka määritellään kansallisessa lainsäädännössä ja jotka lainvalvontaviranomainen itse määrittää kunkin yksittäisen kiireellisen käyttötapauksen yhteydessä. Lisäksi lainvalvontaviranomaisen olisi näissä tilanteissa pyydettävä tällaista lupaa ja esitettävä samalla ilman aiheetonta viivytystä ja viimeistään 24 tunnin kuluessa syyt siihen, miksi se ei ole voinut pyytää lupaa aikaisemmin. Jos lupa evätään, siihen liittyvien reaaliaikaisten biometristen tunnistusjärjestelmien käyttö olisi lopetettava välittömästi ja kaikki tällaiseen käyttöön liittyvät tiedot olisi poistettava. Tällaisia tietoja ovat esimerkiksi syöttötiedot, jotka tekoälyjärjestelmä on sen käytön aikana hankkinut suoraan, sekä kyseiseen lupaan liittyvän käytön tulokset ja tuotokset. Siihen ei pitäisi sisällyttää tietoja, jotka on hankittu laillisesti jonkin muun unionin tai kansallisen lainsäädännön mukaisesti. Missään tapauksessa päätöstä, jolla on henkilöön kohdistuvia kielteisiä oikeusvaikutuksia, ei saisi tehdä pelkästään biometrisen etätunnistusjärjestelmän tuotosten perusteella.

(36)

In order to carry out their tasks in accordance with the requirements set out in this Regulation as well as in national rules, the relevant market surveillance authority and the national data protection authority should be notified of each use of the real-time biometric identification system. Market surveillance authorities and the national data protection authorities that have been notified should submit to the Commission an annual report on the use of real-time biometric identification systems.

(36)

Jotta asianomainen markkinavalvontaviranomainen ja kansallinen tietosuojaviranomainen voisivat hoitaa tehtävänsä tässä asetuksessa ja kansallisissa säännöissä vahvistettujen vaatimusten mukaisesti, niille olisi ilmoitettava aina, kun reaaliaikaista biometristä tunnistusjärjestelmää käytetään. Ilmoituksia saaneiden markkinavalvontaviranomaisten ja kansallisten tietosuojaviranomaisten olisi toimitettava komissiolle vuosittain kertomus reaaliaikaisten biometristen tunnistusjärjestelmien käytöstä.

(37)

Furthermore, it is appropriate to provide, within the exhaustive framework set by this Regulation that such use in the territory of a Member State in accordance with this Regulation should only be possible where and in as far as the Member State concerned has decided to expressly provide for the possibility to authorise such use in its detailed rules of national law. Consequently, Member States remain free under this Regulation not to provide for such a possibility at all or to only provide for such a possibility in respect of some of the objectives capable of justifying authorised use identified in this Regulation. Such national rules should be notified to the Commission within 30 days of their adoption.

(37)

Osana tässä asetuksessa vahvistettuja kattavia puitteita on myös aiheellista säätää, että tällaisen tämän asetuksen mukaisen käytön olisi oltava mahdollista jäsenvaltion alueella vain jos ja siltä osin kuin kyseinen jäsenvaltio on kansallisen lainsäädäntönsä yksityiskohtaisissa säännöissä nimenomaisesti päättänyt säätää mahdollisuudesta sallia tällainen käyttö. Näin ollen jäsenvaltiot voivat tämän asetuksen nojalla olla säätämättä tällaisesta mahdollisuudesta lainkaan tai säätää tällaisesta mahdollisuudesta vain joidenkin tässä asetuksessa yksilöityjen tavoitteiden osalta, joilla sallittu käyttö voidaan perustella. Tällaisista kansallisista säännöistä olisi ilmoitettava komissiolle 30 päivän kuluessa niiden hyväksymisestä.

(38)

The use of AI systems for real-time remote biometric identification of natural persons in publicly accessible spaces for the purpose of law enforcement necessarily involves the processing of biometric data. The rules of this Regulation that prohibit, subject to certain exceptions, such use, which are based on Article 16 TFEU, should apply as lex specialis in respect of the rules on the processing of biometric data contained in Article 10 of Directive (EU) 2016/680, thus regulating such use and the processing of biometric data involved in an exhaustive manner. Therefore, such use and processing should be possible only in as far as it is compatible with the framework set by this Regulation, without there being scope, outside that framework, for the competent authorities, where they act for purpose of law enforcement, to use such systems and process such data in connection thereto on the grounds listed in Article 10 of Directive (EU) 2016/680. In that context, this Regulation is not intended to provide the legal basis for the processing of personal data under Article 8 of Directive (EU) 2016/680. However, the use of real-time remote biometric identification systems in publicly accessible spaces for purposes other than law enforcement, including by competent authorities, should not be covered by the specific framework regarding such use for the purpose of law enforcement set by this Regulation. Such use for purposes other than law enforcement should therefore not be subject to the requirement of an authorisation under this Regulation and the applicable detailed rules of national law that may give effect to that authorisation.

(38)

Tekoälyjärjestelmien käyttö luonnollisten henkilöiden reaaliaikaiseen biometriseen etätunnistukseen julkisissa tiloissa lainvalvontatarkoituksessa edellyttää välttämättä biometristen tietojen käsittelyä. Tämän asetuksen sääntöjä, joissa kielletään tietyin poikkeuksin tällainen käyttö ja jotka perustuvat Euroopan unionin toiminnasta tehdyn sopimuksen 16 artiklaan, olisi sovellettava erityissäännöksinä (lex specialis) suhteessa direktiivin (EU) 2016/680 10 artiklaan sisältyviin biometristen tietojen käsittelyä koskeviin sääntöihin, eli niillä säännellään kattavasti tällaista käyttöä ja siihen liittyvien biometristen tietojen käsittelyä. Sen vuoksi tällaisen käytön ja käsittelyn olisi oltava mahdollista ainoastaan siinä määrin kuin se on yhteensopivaa tässä asetuksessa vahvistetun kehyksen kanssa, eikä toimivaltaisten viranomaisten pitäisi kyseisen kehyksen ulkopuolella lainvalvontatarkoituksessa toimiessaan voida käyttää tällaisia järjestelmiä ja käsitellä niiden yhteydessä tällaisia tietoja direktiivin (EU) 2016/680 10 artiklassa luetelluin perustein. Tässä yhteydessä tämän asetuksen tarkoituksena ei ole muodostaa oikeusperustaa direktiivin (EU) 2016/680 8 artiklan mukaiselle henkilötietojen käsittelylle. Reaaliaikaisten biometristen etätunnistusjärjestelmien käyttöä julkisissa tiloissa muihin tarkoituksiin kuin lainvalvontaan, myös toimivaltaisten viranomaisten toimesta, ei kuitenkaan pitäisi sisällyttää tässä asetuksessa vahvistettuun erityiskehykseen, joka koskee tällaista käyttöä lainvalvontatarkoituksessa. Tällaisen muussa kuin lainvalvontatarkoituksessa tapahtuvan käytön ei sen vuoksi pitäisi edellyttää tämän asetuksen mukaista lupaa eikä sen täytäntöönpanemiseksi annettujen kansallisen lainsäädännön yksityiskohtaisten sääntöjen soveltamista.

(39)

Any processing of biometric data and other personal data involved in the use of AI systems for biometric identification, other than in connection to the use of real-time remote biometric identification systems in publicly accessible spaces for the purpose of law enforcement as regulated by this Regulation, should continue to comply with all requirements resulting from Article 10 of Directive (EU) 2016/680. For purposes other than law enforcement, Article 9(1) of Regulation (EU) 2016/679 and Article 10(1) of Regulation (EU) 2018/1725 prohibit the processing of biometric data subject to limited exceptions as provided in those Articles. In the application of Article 9(1) of Regulation (EU) 2016/679, the use of remote biometric identification for purposes other than law enforcement has already been subject to prohibition decisions by national data protection authorities.

(39)

Kaikessa biometristen tietojen ja muiden henkilötietojen käsittelyssä, joka liittyy tekoälyjärjestelmien käyttöön biometriseen tunnistamiseen muussa yhteydessä kuin tässä asetuksessa säännellyssä reaaliaikaisten biometristen etätunnistusjärjestelmien käytössä julkisissa tiloissa lainvalvontatarkoituksessa olisi edelleen noudatettava kaikkia direktiivin (EU) 2016/680 10 artiklasta johtuvia vaatimuksia. Muita tarkoituksia kuin lainvalvontaa varten asetuksen (EU) 2016/679 9 artiklan 1 kohdassa ja asetuksen (EU) 2018/1725 10 artiklan 1 kohdassa kielletään biometristen tietojen käsittely joitakin kyseisissä artikloissa säädettyjä rajoitettuja poikkeuksia lukuun ottamatta. Asetuksen (EU) 2016/679 9 artiklan 1 kohtaa sovellettaessa kansalliset tietosuojaviranomaiset ovat jo kieltäneet biometrisen etätunnistuksen käytön muihin tarkoituksiin kuin lainvalvontatarkoituksiin.

(40)

In accordance with Article 6a of Protocol No 21 on the position of the United Kingdom and Ireland in respect of the area of freedom, security and justice, as annexed to the TEU and to the TFEU, Ireland is not bound by the rules laid down in Article 5(1), first subparagraph, point (g), to the extent it applies to the use of biometric categorisation systems for activities in the field of police cooperation and judicial cooperation in criminal matters, Article 5(1), first subparagraph, point (d), to the extent it applies to the use of AI systems covered by that provision, Article 5(1), first subparagraph, point (h), Article 5(2) to (6) and Article 26(10) of this Regulation adopted on the basis of Article 16 TFEU which relate to the processing of personal data by the Member States when carrying out activities falling within the scope of Chapter 4 or Chapter 5 of Title V of Part Three of the TFEU, where Ireland is not bound by the rules governing the forms of judicial cooperation in criminal matters or police cooperation which require compliance with the provisions laid down on the basis of Article 16 TFEU.

(40)

Euroopan unionista tehtyyn sopimukseen ja Euroopan unionin toiminnasta tehtyyn sopimukseen liitetyn, Yhdistyneen kuningaskunnan ja Irlannin asemasta vapauden, turvallisuuden ja oikeuden alueen osalta tehdyssä pöytäkirjassa N:o 21 olevan 6 a artiklan mukaisesti Irlantia eivät sido tämän asetuksen 5 artiklan 1 kohdan ensimmäisen alakohdan g alakohdassa vahvistetut säännöt, siltä osin kuin ne koskevat biometristen luokittelujärjestelmien käytöstä poliisiyhteistyössä ja rikosasioissa tehtävässä oikeudellisessa yhteistyössä, 5 artiklan 1 kohdan ensimmäisen alakohdan d alakohdassa vahvistetut säännöt, siltä osin kuin ne koskevat tekoälyjärjestelmien käyttöä, johon kyseisiä säännöksiä sovelletaan sekä 5 artiklan 1 kohdan ensimmäisen alakohdan h alakohdassa, 5 artiklan 2–6 kohdassa ja 26 artiklan 10 kohdassa vahvistetut säännöt, jotka on hyväksytty Euroopan unionin toiminnasta tehdyn sopimuksen 16 artiklan perusteella ja jotka koskevat jäsenvaltioiden suorittamaa henkilötietojen käsittelyä näiden toteuttaessa Euroopan unionin toiminnasta tehdyn sopimuksen kolmannen osan V osaston 4 tai 5 luvun soveltamisalaan kuuluvaa toimintaa, siinä tapauksessa, että Irlantia eivät sido rikosasioissa tehtävän oikeudellisen yhteistyön tai poliisiyhteistyön muotoa koskevat säännöt, jotka edellyttävät Euroopan unionin toiminnasta tehdyn sopimuksen 16 artiklan perusteella vahvistettujen säännösten noudattamista.

(41)

In accordance with Articles 2 and 2a of Protocol No 22 on the position of Denmark, annexed to the TEU and to the TFEU, Denmark is not bound by rules laid down in Article 5(1), first subparagraph, point (g), to the extent it applies to the use of biometric categorisation systems for activities in the field of police cooperation and judicial cooperation in criminal matters, Article 5(1), first subparagraph, point (d), to the extent it applies to the use of AI systems covered by that provision, Article 5(1), first subparagraph, point (h), (2) to (6) and Article 26(10) of this Regulation adopted on the basis of Article 16 TFEU, or subject to their application, which relate to the processing of personal data by the Member States when carrying out activities falling within the scope of Chapter 4 or Chapter 5 of Title V of Part Three of the TFEU.

(41)

Euroopan unionista tehtyyn sopimukseen ja Euroopan unionin toiminnasta tehtyyn sopimukseen liitetyn, Tanskan asemasta tehdyssä pöytäkirjassa N:o 22 olevien 2 ja 2 a artiklan mukaisesti tämän asetuksen 5 artiklan 1 kohdan ensimmäisen alakohdan g alakohdassa vahvistetut säännöt, siltä osin kuin ne koskevat biometristen luokittelujärjestelmien käytöstä poliisiyhteistyössä ja rikosasioissa tehtävässä oikeudellisessa yhteistyössä, 5 artiklan 1 kohdan ensimmäisen alakohdan d alakohdassa vahvistetut säännöt, siltä osin kuin ne koskevat tekoälyjärjestelmien käyttöä, johon kyseisiä säännöksiä sovelletaan sekä 5 artiklan 1 kohdan ensimmäisen alakohdan h alakohdassa, 5 artiklan 2–6 kohdassa ja 26 artiklan 10 kohdassa vahvistetut säännöt, jotka on hyväksytty Euroopan unionin toiminnasta tehdyn sopimuksen 16 artiklan perusteella ja jotka koskevat jäsenvaltioiden suorittamaa henkilötietojen käsittelyä näiden toteuttaessa Euroopan unionin toiminnasta tehdyn sopimuksen kolmannen osan V osaston 4 tai 5 luvun soveltamisalaan kuuluvaa toimintaa, eivät sido Tanskaa eikä niitä sovelleta Tanskaan.

(42)

In line with the presumption of innocence, natural persons in the Union should always be judged on their actual behaviour. Natural persons should never be judged on AI-predicted behaviour based solely on their profiling, personality traits or characteristics, such as nationality, place of birth, place of residence, number of children, level of debt or type of car, without a reasonable suspicion of that person being involved in a criminal activity based on objective verifiable facts and without human assessment thereof. Therefore, risk assessments carried out with regard to natural persons in order to assess the likelihood of their offending or to predict the occurrence of an actual or potential criminal offence based solely on profiling them or on assessing their personality traits and characteristics should be prohibited. In any case, that prohibition does not refer to or touch upon risk analytics that are not based on the profiling of individuals or on the personality traits and characteristics of individuals, such as AI systems using risk analytics to assess the likelihood of financial fraud by undertakings on the basis of suspicious transactions or risk analytic tools to predict the likelihood of the localisation of narcotics or illicit goods by customs authorities, for example on the basis of known trafficking routes.

(42)

Syyttömyysolettaman mukaisesti unionissa olevia luonnollisia henkilöitä olisi aina arvioitava heidän tosiasiallisen käyttäytymisensä perusteella. Luonnollisia henkilöitä ei pitäisi koskaan arvioida tekoälyn ennustaman käyttäytymisen perusteella, kun tämän ennusteen pohjana on pelkästään kyseisten henkilöiden profilointi, persoonallisuuspiirteet tai persoonallisuusominaisuudet, kuten kansallisuus, syntymäpaikka, asuinpaikka, lasten lukumäärä, velkataso tai autotyyppi, ilman, että on perusteltua syytä epäillä kyseisen henkilön osallistuvan rikolliseen toimintaan objektiivisten todennettavissa olevien tosiseikkojen perusteella, ja ilman ihmisen tekemää arviointia niistä. Sen vuoksi olisi kiellettävä luonnollisia henkilöitä koskevat riskinarvioinnit, joiden tarkoituksena on arvioida, miten todennäköisesti he tekevät rikoksia, tai ennakoida todellisen tai mahdollisen rikoksen tapahtumista yksinomaan kyseisten henkilöiden profiloinnin tai persoonallisuuspiirteiden ja persoonallisuusominaisuuksien arvioinnin perusteella. Kielto ei missään tapauksessa koske riskianalytiikkaa, joka ei perustu yksilöiden profilointiin tai yksilöiden persoonallisuuspiirteisiin ja persoonallisuusominaisuuksiin, kuten tekoälyjärjestelmiä, joissa käytetään riskianalytiikkaa yritysten talouspetosten todennäköisyyden arvioimiseksi epäilyttävien liiketoimien perusteella, tai riskianalytiikkavälineitä, joilla tulliviranomaiset voivat ennustaa, kuinka todennäköisesti tietyissä paikoissa esiintyy huumausaineita tai laittomia tavaroita, esimerkiksi tunnettujen salakuljetusreittien perusteella.

(43)

The placing on the market, the putting into service for that specific purpose, or the use of AI systems that create or expand facial recognition databases through the untargeted scraping of facial images from the internet or CCTV footage, should be prohibited because that practice adds to the feeling of mass surveillance and can lead to gross violations of fundamental rights, including the right to privacy.

(43)

Sellaisten tekoälyjärjestelmien markkinoille saattaminen, kyseiseen erityiseen tarkoitukseen käyttöönotto tai käyttö, jotka luovat kasvojentunnistustietokantoja tai laajentavat niitä haravoimalla kasvokuvia kohdentamattomasti internetistä tai valvontakamerakuvista, olisi kiellettävä, koska tämä käytäntö lisää tunnetta joukkovalvonnasta ja voi johtaa perusoikeuksien, myös yksityisyyden suojaa koskevan oikeuden, räikeisiin loukkauksiin.

(44)

There are serious concerns about the scientific basis of AI systems aiming to identify or infer emotions, particularly as expression of emotions vary considerably across cultures and situations, and even within a single individual. Among the key shortcomings of such systems are the limited reliability, the lack of specificity and the limited generalisability. Therefore, AI systems identifying or inferring emotions or intentions of natural persons on the basis of their biometric data may lead to discriminatory outcomes and can be intrusive to the rights and freedoms of the concerned persons. Considering the imbalance of power in the context of work or education, combined with the intrusive nature of these systems, such systems could lead to detrimental or unfavourable treatment of certain natural persons or whole groups thereof. Therefore, the placing on the market, the putting into service, or the use of AI systems intended to be used to detect the emotional state of individuals in situations related to the workplace and education should be prohibited. That prohibition should not cover AI systems placed on the market strictly for medical or safety reasons, such as systems intended for therapeutical use.

(44)

Sellaisten tekoälyjärjestelmien tieteellinen perusta, joilla pyritään havaitsemaan tai päättelemään tunteita, herättää vakavia huolenaiheita erityisesti siksi, että tunteita ilmaistaan huomattavan erilaisin tavoin eri kulttuureissa ja eri tilanteissa; huomattavaa vaihtelua voi esiintyä jopa saman yksilön tunteiden ilmaisussa. Tällaisten järjestelmien keskeisiä puutteita ovat heikko luotettavuus, tarkkuuden puute ja heikko yleistettävyys. Sen vuoksi tekoälyjärjestelmät, jotka havaitsevat tai päättelevät luonnollisten henkilöiden tunteita tai aikomuksia heidän biometristen tietojensa perusteella, voivat tuottaa syrjiviä tuloksia ja loukata asianomaisten henkilöiden oikeuksia ja vapauksia. Kun otetaan huomioon vallan epätasapaino työelämässä tai koulutuksen alalla sekä näiden järjestelmien yksityisyyttä loukkaava luonne, tällaiset järjestelmät voivat johtaa tiettyjen luonnollisten henkilöiden tai kokonaisten henkilöryhmien haitalliseen tai epäedulliseen kohteluun. Sen vuoksi sellaisten tekoälyjärjestelmien markkinoille saattaminen, käyttöönotto tai käyttö, jotka on tarkoitettu yksilöiden emotionaalisen tilan havaitsemiseen työpaikalla ja oppilaitoksissa, olisi kiellettävä. Kielto ei saisi koskea tekoälyjärjestelmiä, jotka saatetaan markkinoille yksinomaan lääketieteellisistä tai turvallisuussyistä, kuten hoitotarkoituksiin käytettäviä järjestelmiä.

(45)

Practices that are prohibited by Union law, including data protection law, non-discrimination law, consumer protection law, and competition law, should not be affected by this Regulation.

(45)

Tämä asetus ei saisi vaikuttaa käytäntöihin, jotka on kielletty unionin oikeudessa, kuten tietosuojaa, syrjimättömyyttä, kuluttajansuojaa ja kilpailua koskevassa lainsäädännössä.

(46)

High-risk AI systems should only be placed on the Union market, put into service or used if they comply with certain mandatory requirements. Those requirements should ensure that high-risk AI systems available in the Union or whose output is otherwise used in the Union do not pose unacceptable risks to important Union public interests as recognised and protected by Union law. On the basis of the New Legislative Framework, as clarified in the Commission notice ‘The “Blue Guide” on the implementation of EU product rules 2022’ (20), the general rule is that more than one legal act of Union harmonisation legislation, such as Regulations (EU) 2017/745 (21) and (EU) 2017/746 (22) of the European Parliament and of the Council or Directive 2006/42/EC of the European Parliament and of the Council (23), may be applicable to one product, since the making available or putting into service can take place only when the product complies with all applicable Union harmonisation legislation. To ensure consistency and avoid unnecessary administrative burdens or costs, providers of a product that contains one or more high-risk AI systems, to which the requirements of this Regulation and of the Union harmonisation legislation listed in an annex to this Regulation apply, should have flexibility with regard to operational decisions on how to ensure compliance of a product that contains one or more AI systems with all applicable requirements of the Union harmonisation legislation in an optimal manner. AI systems identified as high-risk should be limited to those that have a significant harmful impact on the health, safety and fundamental rights of persons in the Union and such limitation should minimise any potential restriction to international trade.

(46)

Suuririskisiä tekoälyjärjestelmiä olisi saatettava unionin markkinoille, otettava käyttöön tai käytettävä vain, jos ne täyttävät tietyt pakolliset vaatimukset. Näillä vaatimuksilla olisi varmistettava, että suuririskiset tekoälyjärjestelmät, jotka ovat saatavilla unionissa tai joiden tuloksia muutoin käytetään unionissa, eivät aiheuta kohtuuttomia riskejä unionin tärkeille julkisille eduille, sellaisina kuin ne on tunnustettu ja suojattu unionin oikeudessa. Uuden lainsäädäntökehyksen perusteella, kuten komission tiedonannossa ”Sininen opas – EU:n tuotesääntöjen täytäntöönpano-opas 2022” (20) selvennetään, yleissääntönä on, että useampaa kuin yhtä unionin yhdenmukaistamislainsäädännön säädöstä, kuten Euroopan parlamentin ja neuvoston asetuksia (EU) 2017/745 (21) ja (EU) 2017/746 (22) tai Euroopan parlamentin ja neuvoston direktiiviä 2006/42/EY (23), voidaan soveltaa yhteen tuotteeseen, koska saataville asettaminen tai käyttöönotto voidaan sallia vain, jos tuote on kaiken sovellettavan unionin yhdenmukaistamislainsäädännön mukainen. Johdonmukaisuuden varmistamiseksi sekä tarpeettomien hallinnollisten rasitteiden ja kustannusten välttämiseksi sellaisen tuotteen, joka sisältää yhden tai useamman suuririskisen tekoälyjärjestelmän, johon sovelletaan tämän asetuksen ja tämän asetuksen liitteessä luetellun unionin yhdenmukaistamislainsäädännön vaatimuksia, tarjoajien olisi oltava joustavia niiden operatiivisten päätösten osalta, joilla varmistetaan parhaalla mahdollisella tavalla yhden tai useamman tekoälyjärjestelmän sisältävän tuotteen vaatimustenmukaisuus kaikkien unionin yhdenmukaistamislainsäädännön säännösten kanssa. Suuririskisiksi määritellyt tekoälyjärjestelmät olisi rajattava järjestelmiin, joilla on merkittävä haitallinen vaikutus ihmisten terveyteen, turvallisuuteen ja perusoikeuksiin unionissa, ja tällaisella rajauksella olisi minimoitava mahdolliset kansainvälisen kaupan rajoitukset.

(47)

AI systems could have an adverse impact on the health and safety of persons, in particular when such systems operate as safety components of products. Consistent with the objectives of Union harmonisation legislation to facilitate the free movement of products in the internal market and to ensure that only safe and otherwise compliant products find their way into the market, it is important that the safety risks that may be generated by a product as a whole due to its digital components, including AI systems, are duly prevented and mitigated. For instance, increasingly autonomous robots, whether in the context of manufacturing or personal assistance and care should be able to safely operate and performs their functions in complex environments. Similarly, in the health sector where the stakes for life and health are particularly high, increasingly sophisticated diagnostics systems and systems supporting human decisions should be reliable and accurate.

(47)

Tekoälyjärjestelmät voivat vaikuttaa haitallisesti ihmisten terveyteen ja turvallisuuteen erityisesti silloin, kun tällaiset järjestelmät toimivat tuotteiden turvakomponentteina. Unionin yhdenmukaistamislainsäädännön tavoitteena on helpottaa tuotteiden vapaata liikkuvuutta sisämarkkinoilla ja varmistaa, että markkinoille pääsee ainoastaan turvallisia ja muuten vaatimustenmukaisia tuotteita, ja näiden tavoitteiden mukaisesti on tärkeää, että turvallisuusriskejä, joita tuotteesta kokonaisuudessaan voi aiheutua sen digitaalisten komponenttien, kuten tekoälyjärjestelmien, vuoksi, ehkäistään ja vähennetään asianmukaisesti. Esimerkiksi yhä autonomisempien robottien olisi voitava toimia ja suorittaa tehtävänsä turvallisesti monimutkaisissa ympäristöissä, olipa kyse sitten valmistuksesta tai henkilökohtaisesta avusta ja huolenpidosta. Samoin terveydenhuoltoalalla, jossa panokset ovat elämän ja terveyden kannalta erityisen suuret, yhä kehittyneempien diagnostiikkajärjestelmien ja ihmisten päätöksiä tukevien järjestelmien olisi oltava luotettavia ja tarkkoja.

(48)

The extent of the adverse impact caused by the AI system on the fundamental rights protected by the Charter is of particular relevance when classifying an AI system as high risk. Those rights include the right to human dignity, respect for private and family life, protection of personal data, freedom of expression and information, freedom of assembly and of association, the right to non-discrimination, the right to education, consumer protection, workers’ rights, the rights of persons with disabilities, gender equality, intellectual property rights, the right to an effective remedy and to a fair trial, the right of defence and the presumption of innocence, and the right to good administration. In addition to those rights, it is important to highlight the fact that children have specific rights as enshrined in Article 24 of the Charter and in the United Nations Convention on the Rights of the Child, further developed in the UNCRC General Comment No 25 as regards the digital environment, both of which require consideration of the children’s vulnerabilities and provision of such protection and care as necessary for their well-being. The fundamental right to a high level of environmental protection enshrined in the Charter and implemented in Union policies should also be considered when assessing the severity of the harm that an AI system can cause, including in relation to the health and safety of persons.

(48)

Tekoälyjärjestelmästä perusoikeuskirjassa suojatuille perusoikeuksille aiheutuvan haitallisen vaikutuksen laajuus on erityisen merkityksellinen, kun tekoälyjärjestelmä luokitellaan suuririskiseksi. Näitä oikeuksia ovat muun muassa oikeus ihmisarvoon, yksityis- ja perhe-elämän kunnioittaminen, henkilötietojen suoja, sananvapaus ja tiedonvälityksen vapaus, kokoontumis- ja yhdistymisvapaus, oikeus syrjimättömyyteen, oikeus koulutukseen, kuluttajansuoja, työntekijöiden oikeudet, vammaisten oikeudet, sukupuolten tasa-arvo, teollis- ja tekijänoikeudet, oikeus tehokkaisiin oikeussuojakeinoihin ja puolueettomaan tuomioistuimeen, oikeus puolustukseen ja syyttömyysolettama sekä oikeus hyvään hallintoon. Näiden oikeuksien lisäksi on tärkeää korostaa, että lapsilla on erityisiä oikeuksia, jotka on vahvistettu perusoikeuskirjan 24 artiklassa ja Yhdistyneiden kansakuntien lapsen oikeuksien yleissopimuksessa, jota on täydennetty digitaalisen ympäristön osalta lapsen oikeuksien yleissopimuksen yleisessä huomautuksessa nro 25, ja joissa molemmissa edellytetään lasten haavoittuvuuden huomioon ottamista ja lasten hyvinvoinnin kannalta välttämättömän suojelun ja huolenpidon tarjoamista. Perusoikeuskirjaan kirjattu ja unionin politiikoissa täytäntöönpantu perusoikeus korkeaan ympäristönsuojelun tasoon olisi myös otettava huomioon arvioitaessa tekoälyjärjestelmästä mahdollisesti aiheutuvan haitan vakavuutta, myös suhteessa ihmisten terveyteen ja turvallisuuteen.

(49)

As regards high-risk AI systems that are safety components of products or systems, or which are themselves products or systems falling within the scope of Regulation (EC) No 300/2008 of the European Parliament and of the Council (24), Regulation (EU) No 167/2013 of the European Parliament and of the Council (25), Regulation (EU) No 168/2013 of the European Parliament and of the Council (26), Directive 2014/90/EU of the European Parliament and of the Council (27), Directive (EU) 2016/797 of the European Parliament and of the Council (28), Regulation (EU) 2018/858 of the European Parliament and of the Council (29), Regulation (EU) 2018/1139 of the European Parliament and of the Council (30), and Regulation (EU) 2019/2144 of the European Parliament and of the Council (31), it is appropriate to amend those acts to ensure that the Commission takes into account, on the basis of the technical and regulatory specificities of each sector, and without interfering with existing governance, conformity assessment and enforcement mechanisms and authorities established therein, the mandatory requirements for high-risk AI systems laid down in this Regulation when adopting any relevant delegated or implementing acts on the basis of those acts.

(49)

Sellaisten suuririskisten tekoälyjärjestelmien osalta, jotka ovat tuotteiden tai järjestelmien turvakomponentteja tai ovat itse tuotteita tai järjestelmiä, jotka kuuluvat Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 300/2008 (24), Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 167/2013 (25), Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 168/2013 (26), Euroopan parlamentin ja neuvoston direktiivin 2014/90/EU (27), Euroopan parlamentin ja neuvoston direktiivin (EU) 2016/797 (28), Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/858 (29), Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1139 (30) ja Euroopan parlamentin ja neuvoston asetuksen (EU) 2019/2144 (31) soveltamisalaan, on asianmukaista muuttaa mainittuja säädöksiä sen varmistamiseksi, että kun komissio hyväksyy mahdollisia asiaa koskevia delegoituja säädöksiä tai täytäntöönpanosäädöksiä mainittujen säädösten perusteella, se ottaa huomioon tässä asetuksessa vahvistetut suuririskisiä tekoälyjärjestelmiä koskevat pakolliset vaatimukset kunkin alan teknisten ja sääntelyllisten ominaispiirteiden perusteella ja puuttumatta mainituilla säädöksillä perustettuihin olemassa oleviin hallinnointi-, vaatimustenmukaisuuden arviointi- ja valvontamekanismeihin ja -viranomaisiin.

(50)

As regards AI systems that are safety components of products, or which are themselves products, falling within the scope of certain Union harmonisation legislation listed in an annex to this Regulation, it is appropriate to classify them as high-risk under this Regulation if the product concerned undergoes the conformity assessment procedure with a third-party conformity assessment body pursuant to that relevant Union harmonisation legislation. In particular, such products are machinery, toys, lifts, equipment and protective systems intended for use in potentially explosive atmospheres, radio equipment, pressure equipment, recreational craft equipment, cableway installations, appliances burning gaseous fuels, medical devices, in vitro diagnostic medical devices, automotive and aviation.

(50)

Tekoälyjärjestelmät, jotka ovat tämän asetuksen liitteessä luetellun tietyn unionin yhdenmukaistamislainsäädännön soveltamisalaan kuuluvien tuotteiden turvakomponentteja tai ovat itse tuotteita, on aiheellista luokitella suuririskisiksi tämän asetuksen mukaisesti, jos kyseiselle tuotteelle tehdään vaatimustenmukaisuuden arviointimenettely kolmatta osapuolta edustavassa vaatimustenmukaisuuden arviointilaitoksessa mainitun asiaa koskevan unionin yhdenmukaistamislainsäädännön mukaisesti. Tällaisia tuotteita ovat erityisesti koneet, lelut, hissit, räjähdysvaarallisissa tiloissa käytettäviksi tarkoitetut laitteet ja suojajärjestelmät, radiolaitteet, painelaitteet, huviveneet, köysiratalaitteistot, kaasumaisia polttoaineita polttavat laitteet sekä lääkinnälliset laitteet, in vitro -diagnostiikkaan tarkoitetut lääkinnälliset laitteet, ajoneuvot ja ilma-alukset.

(51)

The classification of an AI system as high-risk pursuant to this Regulation should not necessarily mean that the product whose safety component is the AI system, or the AI system itself as a product, is considered to be high-risk under the criteria established in the relevant Union harmonisation legislation that applies to the product. This is, in particular, the case for Regulations (EU) 2017/745 and (EU) 2017/746, where a third-party conformity assessment is provided for medium-risk and high-risk products.

(51)

Tekoälyjärjestelmän luokittelun suuririskiseksi tämän asetuksen mukaisesti ei välttämättä pitäisi tarkoittaa sitä, että tuotetta, jonka turvakomponentti on tekoälyjärjestelmä, tai itse tekoälyjärjestelmää tuotteena pidetään suuririskisenä tuotteeseen sovellettavassa asiaa koskevassa unionin yhdenmukaistamislainsäädännössä vahvistettujen perusteiden mukaisesti. Tämä koskee erityisesti asetuksia (EU) 2017/745 ja (EU) 2017/746, joissa säädetään kolmannen osapuolen suorittamasta vaatimustenmukaisuuden arvioinnista keskisuuren ja suuren riskin tuotteille.

(52)

As regards stand-alone AI systems, namely high-risk AI systems other than those that are safety components of products, or that are themselves products, it is appropriate to classify them as high-risk if, in light of their intended purpose, they pose a high risk of harm to the health and safety or the fundamental rights of persons, taking into account both the severity of the possible harm and its probability of occurrence and they are used in a number of specifically pre-defined areas specified in this Regulation. The identification of those systems is based on the same methodology and criteria envisaged also for any future amendments of the list of high-risk AI systems that the Commission should be empowered to adopt, via delegated acts, to take into account the rapid pace of technological development, as well as the potential changes in the use of AI systems.

(52)

Erilliset tekoälyjärjestelmät eli muut suuririskiset tekoälyjärjestelmät kuin ne, jotka ovat tuotteiden turvakomponentteja tai jotka ovat itsenäisiä tuotteita, olisi luokiteltava suuririskisiksi, jos ne suunnitellun käyttötarkoituksensa perusteella aiheuttavat suuren riskin ihmisten terveydelle ja turvallisuudelle tai perusoikeuksille, kun otetaan huomioon sekä mahdollisen haitan vakavuus että sen esiintymistodennäköisyys, ja niitä käytetään tässä asetuksessa erikseen määritellyillä aloilla. Näiden järjestelmien yksilöinti perustuu samoihin menetelmiin ja kriteereihin, joita sovelletaan myös suuririskisten tekoälyjärjestelmien luetteloon tulevaisuudessa tehtäviin muutoksiin. Komissiolle olisi siirrettävä valta hyväksyä tällaisia muutoksia täytäntöönpanosäädöksillä, jotta voidaan ottaa huomioon teknologian nopea kehitys ja tekoälyjärjestelmien käytön mahdolliset muutokset.

(53)

It is also important to clarify that there may be specific cases in which AI systems referred to in pre-defined areas specified in this Regulation do not lead to a significant risk of harm to the legal interests protected under those areas because they do not materially influence the decision-making or do not harm those interests substantially. For the purposes of this Regulation, an AI system that does not materially influence the outcome of decision-making should be understood to be an AI system that does not have an impact on the substance, and thereby the outcome, of decision-making, whether human or automated. An AI system that does not materially influence the outcome of decision-making could include situations in which one or more of the following conditions are fulfilled. The first such condition should be that the AI system is intended to perform a narrow procedural task, such as an AI system that transforms unstructured data into structured data, an AI system that classifies incoming documents into categories or an AI system that is used to detect duplicates among a large number of applications. Those tasks are of such narrow and limited nature that they pose only limited risks which are not increased through the use of an AI system in a context that is listed as a high-risk use in an annex to this Regulation. The second condition should be that the task performed by the AI system is intended to improve the result of a previously completed human activity that may be relevant for the purposes of the high-risk uses listed in an annex to this Regulation. Considering those characteristics, the AI system provides only an additional layer to a human activity with consequently lowered risk. That condition would, for example, apply to AI systems that are intended to improve the language used in previously drafted documents, for example in relation to professional tone, academic style of language or by aligning text to a certain brand messaging. The third condition should be that the AI system is intended to detect decision-making patterns or deviations from prior decision-making patterns. The risk would be lowered because the use of the AI system follows a previously completed human assessment which it is not meant to replace or influence, without proper human review. Such AI systems include for instance those that, given a certain grading pattern of a teacher, can be used to check ex post whether the teacher may have deviated from the grading pattern so as to flag potential inconsistencies or anomalies. The fourth condition should be that the AI system is intended to perform a task that is only preparatory to an assessment relevant for the purposes of the AI systems listed in an annex to this Regulation, thus making the possible impact of the output of the system very low in terms of representing a risk for the assessment to follow. That condition covers, inter alia, smart solutions for file handling, which include various functions from indexing, searching, text and speech processing or linking data to other data sources, or AI systems used for translation of initial documents. In any case, AI systems used in high-risk use-cases listed in an annex to this Regulation should be considered to pose significant risks of harm to the health, safety or fundamental rights if the AI system implies profiling within the meaning of Article 4, point (4) of Regulation (EU) 2016/679 or Article 3, point (4) of Directive (EU) 2016/680 or Article 3, point (5) of Regulation (EU) 2018/1725. To ensure traceability and transparency, a provider who considers that an AI system is not high-risk on the basis of the conditions referred to above should draw up documentation of the assessment before that system is placed on the market or put into service and should provide that documentation to national competent authorities upon request. Such a provider should be obliged to register the AI system in the EU database established under this Regulation. With a view to providing further guidance for the practical implementation of the conditions under which the AI systems listed in an annex to this Regulation are, on an exceptional basis, non-high-risk, the Commission should, after consulting the Board, provide guidelines specifying that practical implementation, completed by a comprehensive list of practical examples of use cases of AI systems that are high-risk and use cases that are not.

(53)

On myös tärkeää selventää, että tietyissä tapauksissa tekoälyjärjestelmät, joihin viitataan tässä asetuksessa täsmennetyillä erikseen määritellyillä aloilla, eivät aiheuta merkittävän haitan riskiä kyseisillä aloilla suojatuille oikeudellisille eduille, koska ne eivät vaikuta olennaisesti päätöksentekoon tai vahingoita kyseisiä etuja merkittävästi. Tätä asetusta sovellettaessa tekoälyjärjestelmän, joka ei olennaisesti vaikuta päätöksenteon tulokseen, olisi katsottava olevan tekoälyjärjestelmä, jolla ei ole vaikutusta päätöksenteon sisältöön ja näin ollen sen tulokseen riippumatta siitä, onko tämä päätöksenteko automatisoitua vai vastaako siitä ihminen. Tekoälyjärjestelmä voidaan katsoa sellaiseksi, joka ei olennaisesti vaikuta päätöksenteon tulokseen, esimerkiksi tilanteissa, joissa yksi tai useampi seuraavista edellytyksistä täyttyy. Ensimmäisenä tällaisena edellytyksenä olisi oltava, että tekoälyjärjestelmä on tarkoitettu suorittamaan suppeaa menettelyllistä tehtävää. Tällaiseksi katsotaan esimerkiksi tekoälyjärjestelmä, joka muuntaa jäsentämättömän datan jäsennellyksi dataksi, tekoälyjärjestelmä, joka luokittelee saapuvia asiakirjoja, tai tekoälyjärjestelmä, jota käytetään päällekkäisyyksien havaitsemiseen useiden sovellusten välillä. Nämä tehtävät ovat niin kapea-alaisia ja rajallisia, että niistä aiheutuu vain vähäisiä riskejä, jotka eivät lisäänny sellaisen tekoälyjärjestelmän käytön yhteydessä, joka mainitaan tämän asetuksen liitteessä suuririskisenä käyttönä. Toisena edellytyksenä olisi oltava, että tekoälyjärjestelmän suorittaman tehtävän tarkoituksena on parantaa aiemmin päätökseen saatetun ihmisen toiminnan tulosta, jolla voi olla merkitystä tämän asetuksen liitteessä luetellun suuririskisen käytön kannalta. Kun otetaan huomioon nämä ominaisuudet, tekoälyjärjestelmä tuottaa vain täydentävän kerroksen ihmisen toiminnalle, jolloin riski on alentunut. Tätä edellytystä sovellettaisiin esimerkiksi tekoälyjärjestelmiin, joiden tarkoituksena on parantaa aiemmin laadituissa asiakirjoissa käytettyä kieltä esimerkiksi ammatillisen sävyn tai akateemisen tyylin osalta tai mukauttamalla teksti tietynlaisen brändiviestinnän mukaiseksi.Kolmantena edellytyksenä olisi oltava, että tekoälyjärjestelmä on tarkoitettu havaitsemaan päätöksentekotapoja tai poikkeamia aiemmista päätöksentekotavoista. Riski olisi alentunut, koska tekoälyjärjestelmän käyttö perustuu ihmisen aiemmin tekemään arviointiin, jota sen ei ole tarkoitus korvata tai johon sen ei ole tarkoitus vaikuttaa ilman asianmukaista ihmisen suorittamaa arviointia. Tällaisia tekoälyjärjestelmiä ovat esimerkiksi järjestelmät, joiden avulla voidaan esimerkiksi tietyn opettajan arvostelutapojen pohjalta tarkistaa jälkikäteen, onko kyseinen opettaja mahdollisesti poikennut arvostelutavoistaan. Näin voidaan ilmoittaa mahdollisista epäjohdonmukaisuuksista tai poikkeamista. Neljäntenä edellytyksenä olisi oltava, että tekoälyjärjestelmä on tarkoitettu suorittamaan tehtävä, joka on ainoastaan tämän asetuksen liitteessä lueteltujen tekoälyjärjestelmien kannalta merkityksellisen arvioinnin valmistelua, jolloin järjestelmän tuotoksen mahdollinen vaikutus on hyvin vähäinen siltä osin kuin se muodostaa riskin arvioinnissa. Tämä edellytys kattaa muun muassa tiedostojen käsittelyä koskevat älykkäät ratkaisut, joihin kuuluu erilaisia toimintoja, kuten indeksointi, haku, tekstin- ja puheenkäsittely tai tietojen yhdistäminen muihin tietolähteisiin, ja tekoälyjärjestelmät, joita käytetään alkuperäisten asiakirjojen kääntämiseen. Tämän asetuksen liitteessä luetelluissa suuririskisen käytön tapauksissa käytetyt tekoälyjärjestelmät olisi joka tapauksessa katsottava aiheuttavan merkittävän haitan riskin terveydelle, turvallisuudelle tai perusoikeuksille, jos tekoälyjärjestelmä edellyttää asetuksen (EU) 2016/679 4 artiklan 4 alakohdassa, direktiivin (EU) 2016/680 3 artiklan 4 alakohdassa tai asetuksen (EU) 2018/1725 3 artiklan 5 alakohdassa tarkoitettua profilointia. Jäljitettävyyden ja avoimuuden varmistamiseksi tarjoajan, joka edellä tarkoitettujen edellytysten perusteella katsoo, että tekoälyjärjestelmä ei ole suuririskinen, olisi laadittava arviointia koskeva dokumentaatio ennen kyseisen järjestelmän markkinoille saattamista tai käyttöönottoa ja toimitettava tämä dokumentaatio pyynnöstä kansallisille toimivaltaisille viranomaisille. Tällainen tarjoaja olisi velvoitettava rekisteröimään tekoälyjärjestelmä tämän asetuksen nojalla perustettuun EU:n tietokantaan. Jotta voidaan antaa lisäohjeita niiden edellytysten käytännön täytäntöönpanosta, joiden mukaisesti tämän asetuksen liitteessä luetellut tekoälyjärjestelmät ovat poikkeuksellisesti muita kuin suuririskisiä, komission olisi tekoälyneuvostoa kuultuaan annettava ohjeet, joissa täsmennetään, että käytännön täytäntöönpanoa täydennetään kattavalla luettelolla, jossa on käytännön esimerkkejä sellaisten tekoälyjärjestelmien käyttötapauksista, jotka ovat suuririskisiä, ja käyttötapauksista, jotka eivät sitä ole.

(54)

As biometric data constitutes a special category of personal data, it is appropriate to classify as high-risk several critical-use cases of biometric systems, insofar as their use is permitted under relevant Union and national law. Technical inaccuracies of AI systems intended for the remote biometric identification of natural persons can lead to biased results and entail discriminatory effects. The risk of such biased results and discriminatory effects is particularly relevant with regard to age, ethnicity, race, sex or disabilities. Remote biometric identification systems should therefore be classified as high-risk in view of the risks that they pose. Such a classification excludes AI systems intended to be used for biometric verification, including authentication, the sole purpose of which is to confirm that a specific natural person is who that person claims to be and to confirm the identity of a natural person for the sole purpose of having access to a service, unlocking a device or having secure access to premises. In addition, AI systems intended to be used for biometric categorisation according to sensitive attributes or characteristics protected under Article 9(1) of Regulation (EU) 2016/679 on the basis of biometric data, in so far as these are not prohibited under this Regulation, and emotion recognition systems that are not prohibited under this Regulation, should be classified as high-risk. Biometric systems which are intended to be used solely for the purpose of enabling cybersecurity and personal data protection measures should not be considered to be high-risk AI systems.

(54)

Biometriset tiedot muodostavat erityisen henkilötietojen ryhmän, joten on aiheellista luokitella suuririskisiksi biometristen järjestelmien useita kriittisiä käyttötapauksia, jos niiden käyttö on sallittua asiaa koskevan unionin ja kansallisen lainsäädännön nojalla. Luonnollisten henkilöiden biometriseen etätunnistukseen tarkoitettujen tekoälyjärjestelmien tekniset epätarkkuudet voivat johtaa vinoutuneisiin tuloksiin ja aiheuttaa syrjiviä vaikutuksia. Tällaisten vinoutuneiden tulosten ja syrjivien vaikutusten riski on erityisen merkityksellinen, kun tulokset tai vaikutukset liittyvät ikään, etniseen alkuperään, rotuun, sukupuoleen tai vammaisuuteen. Biometriset etätunnistusjärjestelmät olisi näin ollen luokiteltava suuririskisiksi niiden aiheuttamien riskien vuoksi. Tällaisen luokittelun ulkopuolelle jäävät tekoälyjärjestelmät, joita on tarkoitus käyttää biometriseen todennukseen, joka käsittää tunnistautumisen, ja joiden ainoana tarkoituksena on vahvistaa, että tietty luonnollinen henkilö on se henkilö, joka hän väittää olevansa, sekä vahvistaa luonnollisen henkilön henkilöllisyys ainoastaan jonkin palvelun käyttämiseksi, laitteen lukituksen poistamiseksi tai valvottuun tilaan pääsemiseksi. Lisäksi tekoälyjärjestelmät, jotka on tarkoitettu käytettäviksi biometriseen luokitteluun sellaisten arkaluonteisten ominaisuuksien tai ominaisuuspiirteiden mukaan, jotka on suojattu asetuksen (EU) 2016/679 9 artiklan 1 kohdan nojalla biometrisinä tietoina, siltä osin kuin tällaisia järjestelmiä ei ole kielletty tässä asetuksessa, ja tunteentunnistusjärjestelmät, joita ei ole kielletty tässä asetuksessa, olisi luokiteltava suuririskisiksi. Biometrisiä järjestelmiä, joita on tarkoitus käyttää yksinomaan kyberturvallisuutta ja henkilötietojen suojaamista koskeviin toimiin, ei olisi katsottava suuririskisiksi tekoälyjärjestelmiksi.

(55)

As regards the management and operation of critical infrastructure, it is appropriate to classify as high-risk the AI systems intended to be used as safety components in the management and operation of critical digital infrastructure as listed in point (8) of the Annex to Directive (EU) 2022/2557, road traffic and the supply of water, gas, heating and electricity, since their failure or malfunctioning may put at risk the life and health of persons at large scale and lead to appreciable disruptions in the ordinary conduct of social and economic activities. Safety components of critical infrastructure, including critical digital infrastructure, are systems used to directly protect the physical integrity of critical infrastructure or the health and safety of persons and property but which are not necessary in order for the system to function. The failure or malfunctioning of such components might directly lead to risks to the physical integrity of critical infrastructure and thus to risks to health and safety of persons and property. Components intended to be used solely for cybersecurity purposes should not qualify as safety components. Examples of safety components of such critical infrastructure may include systems for monitoring water pressure or fire alarm controlling systems in cloud computing centres.

(55)

Kriittisen infrastruktuurin hallinnan ja toiminnan osalta on aiheellista luokitella suuririskisiksi tekoälyjärjestelmät, jotka on tarkoitettu käytettäviksi turvakomponentteina direktiivin (EU) 2022/2557 liitteessä olevassa 8 kohdassa luetellun kriittisen digitaalisen infrastruktuurin, tieliikenteen sekä vesi-, kaasu-, lämmitys- ja sähköhuollon hallinnassa ja toiminnassa, koska niiden viat tai toimintahäiriöt voivat vaarantaa ihmisten hengen ja terveyden suuressa mittakaavassa ja aiheuttaa tuntuvia häiriöitä yhteiskunnallisen ja taloudellisen toiminnan tavanomaisessa harjoittamisessa. Kriittisen infrastruktuurin, mukaan lukien kriittinen digitaalinen infrastruktuuri, turvakomponentit ovat järjestelmiä, joita käytetään suoraan suojaamaan kriittisen infrastruktuurin fyysistä koskemattomuutta tai henkilöiden terveyttä ja turvallisuutta ja omaisuuden turvallisuutta mutta jotka eivät ole tarpeellisia järjestelmän toiminnan kannalta. Tällaisten komponenttien vikaantuminen tai toimintahäiriö saattaa johtaa suoraan riskeihin kriittisen infrastruktuurin fyysiselle koskemattomuudelle ja näin ollen riskeihin henkilöiden terveydelle ja turvallisuudelle ja omaisuuden turvallisuudelle. Komponentteja, jotka on tarkoitettu käytettäviksi pelkästään kyberturvallisuustarkoituksiin, ei pitäisi katsoa turvakomponenteiksi. Esimerkkejä tällaisen kriittisen infrastruktuurin turvakomponenteista voivat olla järjestelmät vedenpaineen seuraamiseksi tai palohälytysohjausjärjestelmät pilvipalvelukeskuksissa.

(56)

The deployment of AI systems in education is important to promote high-quality digital education and training and to allow all learners and teachers to acquire and share the necessary digital skills and competences, including media literacy, and critical thinking, to take an active part in the economy, society, and in democratic processes. However, AI systems used in education or vocational training, in particular for determining access or admission, for assigning persons to educational and vocational training institutions or programmes at all levels, for evaluating learning outcomes of persons, for assessing the appropriate level of education for an individual and materially influencing the level of education and training that individuals will receive or will be able to access or for monitoring and detecting prohibited behaviour of students during tests should be classified as high-risk AI systems, since they may determine the educational and professional course of a person’s life and therefore may affect that person’s ability to secure a livelihood. When improperly designed and used, such systems may be particularly intrusive and may violate the right to education and training as well as the right not to be discriminated against and perpetuate historical patterns of discrimination, for example against women, certain age groups, persons with disabilities, or persons of certain racial or ethnic origins or sexual orientation.

(56)

Tekoälyjärjestelmien käyttöönotto koulutuksessa on tärkeää, jotta voidaan edistää laadukasta digitaalista koulutusta ja antaa kaikille oppijoille ja opettajille mahdollisuus hankkia ja jakaa tarvittavia digitaalisia taitoja ja osaamista, myös medialukutaitoa ja kriittistä ajattelua, jotta he voivat osallistua aktiivisesti talouteen, yhteiskuntaan ja demokraattisiin prosesseihin. Tekoälyjärjestelmiä, joita käytetään yleissivistävässä tai ammatillisessa koulutuksessa, erityisesti kun määritetään pääsyä tai hyväksymistä tai osoitetaan henkilöitä yleissivistävän tai ammatillisen koulutuksen oppilaitoksiin tai ohjelmiin kaikilla tasoilla, arvioidaan henkilöiden oppimistuloksia, arvioidaan yksittäiselle henkilölle soveltuvaa koulutustasoa ja vaikutetaan olennaisesti sen yleissivistävän tai ammatillisen koulutuksen tasoon, jota henkilö myöhemmin saa tai johon hän voi päästä, tai kun kokeiden aikana tarkkaillaan opiskelijoita tai pyritään havaitsemaan kiellettyä käyttäytymistä, olisi kuitenkin pidettävä suuririskisinä tekoälyjärjestelminä, koska ne voivat määrittää henkilön elämän koulutuksellisen ja ammatillisen suunnan ja voivat siten vaikuttaa kyseisen henkilön kykyyn turvata toimeentulonsa. Kun tällaiset järjestelmät suunnitellaan ja niitä käytetään epäasianmukaisesti, ne voivat olla erityisen tunkeilevia ja loukata oikeutta koulutukseen ja oikeutta olla joutumatta syrjityksi, ja ne voivat jatkaa historiallisia syrjinnän muotoja, jotka kohdistuvat esimerkiksi naisiin, tiettyihin ikäryhmiin, vammaisiin henkilöihin tai henkilöihin, joilla on tietty rodullinen tai etninen alkuperä tai seksuaalinen suuntautuminen.

(57)

AI systems used in employment, workers management and access to self-employment, in particular for the recruitment and selection of persons, for making decisions affecting terms of the work-related relationship, promotion and termination of work-related contractual relationships, for allocating tasks on the basis of individual behaviour, personal traits or characteristics and for monitoring or evaluation of persons in work-related contractual relationships, should also be classified as high-risk, since those systems may have an appreciable impact on future career prospects, livelihoods of those persons and workers’ rights. Relevant work-related contractual relationships should, in a meaningful manner, involve employees and persons providing services through platforms as referred to in the Commission Work Programme 2021. Throughout the recruitment process and in the evaluation, promotion, or retention of persons in work-related contractual relationships, such systems may perpetuate historical patterns of discrimination, for example against women, certain age groups, persons with disabilities, or persons of certain racial or ethnic origins or sexual orientation. AI systems used to monitor the performance and behaviour of such persons may also undermine their fundamental rights to data protection and privacy.

(57)

Tekoälyjärjestelmät, joita käytetään työllistämisessä, henkilöstöhallinnossa ja itsenäisen ammatinharjoittamisen mahdollistamisessa, erityisesti henkilöiden rekrytoinnin ja valinnan osalta, sellaisten päätösten tekemisen osalta, jotka vaikuttavat työsuhteen ehtoihin sekä uralla etenemistä ja työsuhteen päättämistä koskeviin työehtoihin, työhön liittyviin sopimussuhteisiin perustuvan tehtävien jakamisen osalta yksilöllisen käyttäytymisen tai personallisuuspiirteiden tai -ominaisuuksien perusteella sekä työhön liittyvissä sopimussuhteissa olevien henkilöiden seurannan tai arvioinnin osalta, olisi myös luokiteltava suuririskisiksi, koska kyseiset järjestelmät voivat vaikuttaa merkittävästi näiden henkilöiden tuleviin uranäkymiin, toimeentuloon ja työntekijöiden oikeuksiin. Näiden työhön liittyvien sopimussuhteiden olisi koskettava merkityksellisellä tavalla myös työntekijöitä ja henkilöitä, jotka tarjoavat palveluja alustojen kautta, kuten komission vuoden 2021 työohjelmassa esitetään. Tällaiset järjestelmät voivat koko rekrytointiprosessin ajan sekä työhön liittyvissä sopimussuhteissa olevien henkilöiden arvioinnin, uralla etenemisen tai työsuhteen jatkamisen yhteydessä pitää yllä historiallisia syrjinnän muotoja, jotka kohdistuvat esimerkiksi naisiin, tiettyihin ikäryhmiin, vammaisiin henkilöihin tai henkilöihin, joilla on tietty rodullinen tai etninen alkuperä tai seksuaalinen suuntautuminen. Tekoälyjärjestelmät, joita käytetään tällaisten henkilöiden suorituskyvyn ja käyttäytymisen seurantaan, voivat heikentää myös heidän tietosuojaansa ja yksityisyyden suojaa koskevia perusoikeuksiaan.

(58)

Another area in which the use of AI systems deserves special consideration is the access to and enjoyment of certain essential private and public services and benefits necessary for people to fully participate in society or to improve one’s standard of living. In particular, natural persons applying for or receiving essential public assistance benefits and services from public authorities namely healthcare services, social security benefits, social services providing protection in cases such as maternity, illness, industrial accidents, dependency or old age and loss of employment and social and housing assistance, are typically dependent on those benefits and services and in a vulnerable position in relation to the responsible authorities. If AI systems are used for determining whether such benefits and services should be granted, denied, reduced, revoked or reclaimed by authorities, including whether beneficiaries are legitimately entitled to such benefits or services, those systems may have a significant impact on persons’ livelihood and may infringe their fundamental rights, such as the right to social protection, non-discrimination, human dignity or an effective remedy and should therefore be classified as high-risk. Nonetheless, this Regulation should not hamper the development and use of innovative approaches in the public administration, which would stand to benefit from a wider use of compliant and safe AI systems, provided that those systems do not entail a high risk to legal and natural persons. In addition, AI systems used to evaluate the credit score or creditworthiness of natural persons should be classified as high-risk AI systems, since they determine those persons’ access to financial resources or essential services such as housing, electricity, and telecommunication services. AI systems used for those purposes may lead to discrimination between persons or groups and may perpetuate historical patterns of discrimination, such as that based on racial or ethnic origins, gender, disabilities, age or sexual orientation, or may create new forms of discriminatory impacts. However, AI systems provided for by Union law for the purpose of detecting fraud in the offering of financial services and for prudential purposes to calculate credit institutions’ and insurance undertakings’ capital requirements should not be considered to be high-risk under this Regulation. Moreover, AI systems intended to be used for risk assessment and pricing in relation to natural persons for health and life insurance can also have a significant impact on persons’ livelihood and if not duly designed, developed and used, can infringe their fundamental rights and can lead to serious consequences for people’s life and health, including financial exclusion and discrimination. Finally, AI systems used to evaluate and classify emergency calls by natural persons or to dispatch or establish priority in the dispatching of emergency first response services, including by police, firefighters and medical aid, as well as of emergency healthcare patient triage systems, should also be classified as high-risk since they make decisions in very critical situations for the life and health of persons and their property.

(58)

Toinen osa-alue, jolla tekoälyjärjestelmien käyttöön on kiinnitettävä erityistä huomiota, on sellaisten olennaisten yksityisten ja julkisten palvelujen ja etujen saatavuus ja käyttö, joita ihmiset tarvitsevat voidakseen osallistua täysipainoisesti yhteiskuntaan tai parantaakseen elintasoaan. Erityisesti luonnolliset henkilöt, jotka hakevat tai saavat viranomaisilta olennaisia julkisen avun etuuksia ja palveluja, kuten terveydenhuoltopalveluja, sosiaaliturvaetuuksia, sosiaalipalveluja, joilla taataan suoja muun muassa raskauden ja synnytyksen aikana ja sairauden, työtapaturman, hoidon tarpeen ja vanhuuden varalta sekä työpaikan menetyksen yhteydessä, ja toimeentuloturvaa ja asumisen tukea, ovat yleensä riippuvaisia näistä etuuksista ja palveluista ja haavoittuvassa asemassa vastuuviranomaisiin nähden. Jos tekoälyjärjestelmiä käytetään sen määrittämiseen, olisiko viranomaisten myönnettävä tai evättävä tällaiset etuudet ja palvelut tai rajoitettava niitä, peruutettava ne tai perittävä ne takaisin, mukaan lukien se, onko edunsaajilla laillinen oikeus tällaisiin etuuksiin tai palveluihin, näillä järjestelmillä voi olla merkittävä vaikutus henkilöiden toimeentuloon ja ne voivat loukata heidän perusoikeuksiaan, kuten oikeutta sosiaaliseen suojeluun, syrjimättömyyteen, ihmisarvoon tai tehokkaisiin oikeussuojakeinoihin, ja ne olisi sen vuoksi luokiteltava suuririskisiksi. Tämä asetus ei kuitenkaan saisi haitata innovatiivisten lähestymistapojen kehittämistä ja käyttöä julkishallinnossa, sillä se hyötyisi vaatimustenmukaisten ja turvallisten tekoälyjärjestelmien laajemmasta käytöstä edellyttäen, että kyseisiin järjestelmiin ei liity suurta oikeushenkilöihin ja luonnollisiin henkilöihin kohdistuvaa riskiä.Lisäksi tekoälyjärjestelmät, joita käytetään arvioitaessa luonnollisten henkilöiden luottopisteytystä tai luottokelpoisuutta, olisi luokiteltava suuririskisiksi tekoälyjärjestelmiksi, koska ne määrittävät kyseisten henkilöiden mahdollisuuden saada taloudellisia resursseja tai olennaisia palveluja, kuten asumis-, sähkö- ja televiestintäpalveluja. Näihin tarkoituksiin käytetyt tekoälyjärjestelmät voivat johtaa henkilöiden tai henkilöryhmien syrjintään ja voivat pitää yllä historiallisia syrjinnän muotoja, jotka perustuvat esimerkiksi rotuun tai etniseen alkuperään, sukupuoleen, vammaisuuteen, ikään tai sukupuoliseen suuntautumiseen, tai luoda uusia syrjiviä vaikutuksia. Tekoälyjärjestelmiä, joista säädetään unionin oikeudessa rahoituspalvelujen tarjoamiseen liittyvien petosten havaitsemiseksi ja vakavaraisuussyistä luottolaitosten ja vakuutusyritysten pääomavaatimusten laskemiseksi, ei kuitenkaan pitäisi katsoa suuririskisiksi tämän asetuksen nojalla. Lisäksi tekoälyjärjestelmillä, joita on tarkoitus käyttää luonnollisia henkilöitä koskevaan riskiarviointiin ja hinnoitteluun sairaus- ja henkivakuutusten tapauksessa, voi myös olla merkittävä vaikutus henkilöiden toimeentuloon ja jos niitä ei ole asianmukaisesti suunniteltu, kehitetty ja käytetty, ne voivat loukata heidän perusoikeuksiaan sekä aiheuttaa vakavia seurauksia ihmisten elämälle ja terveydelle, mukaan lukien taloudellinen syrjäytyminen ja syrjintä. Myös tekoälyjärjestelmät, joita käytetään luonnollisten henkilöiden hätäpuhelujen arvioinnissa ja luokittelussa tai pelastus- ja ensihoitopalvelujen, mukaan lukien poliisi, palokunta ja lääkintäapu sekä kiireellistä ensihoitoa tarvitsevien potilaiden lajittelujärjestelmä, lähettämisessä tai tärkeysjärjestyksen määrittämisessä, olisi luokiteltava suuririskisiksi, koska ne tekevät päätöksiä tilanteissa, jotka ovat erittäin kriittisiä ihmisten hengen ja terveyden ja heidän omaisuutensa kannalta.

(59)

Given their role and responsibility, actions by law enforcement authorities involving certain uses of AI systems are characterised by a significant degree of power imbalance and may lead to surveillance, arrest or deprivation of a natural person’s liberty as well as other adverse impacts on fundamental rights guaranteed in the Charter. In particular, if the AI system is not trained with high-quality data, does not meet adequate requirements in terms of its performance, its accuracy or robustness, or is not properly designed and tested before being put on the market or otherwise put into service, it may single out people in a discriminatory or otherwise incorrect or unjust manner. Furthermore, the exercise of important procedural fundamental rights, such as the right to an effective remedy and to a fair trial as well as the right of defence and the presumption of innocence, could be hampered, in particular, where such AI systems are not sufficiently transparent, explainable and documented. It is therefore appropriate to classify as high-risk, insofar as their use is permitted under relevant Union and national law, a number of AI systems intended to be used in the law enforcement context where accuracy, reliability and transparency is particularly important to avoid adverse impacts, retain public trust and ensure accountability and effective redress. In view of the nature of the activities and the risks relating thereto, those high-risk AI systems should include in particular AI systems intended to be used by or on behalf of law enforcement authorities or by Union institutions, bodies, offices, or agencies in support of law enforcement authorities for assessing the risk of a natural person to become a victim of criminal offences, as polygraphs and similar tools, for the evaluation of the reliability of evidence in in the course of investigation or prosecution of criminal offences, and, insofar as not prohibited under this Regulation, for assessing the risk of a natural person offending or reoffending not solely on the basis of the profiling of natural persons or the assessment of personality traits and characteristics or the past criminal behaviour of natural persons or groups, for profiling in the course of detection, investigation or prosecution of criminal offences. AI systems specifically intended to be used for administrative proceedings by tax and customs authorities as well as by financial intelligence units carrying out administrative tasks analysing information pursuant to Union anti-money laundering law should not be classified as high-risk AI systems used by law enforcement authorities for the purpose of prevention, detection, investigation and prosecution of criminal offences. The use of AI tools by law enforcement and other relevant authorities should not become a factor of inequality, or exclusion. The impact of the use of AI tools on the defence rights of suspects should not be ignored, in particular the difficulty in obtaining meaningful information on the functioning of those systems and the resulting difficulty in challenging their results in court, in particular by natural persons under investigation.

(59)

Lainvalvontaviranomaisten toimille, joihin liittyy tiettyä tekoälyjärjestelmien käyttöä, on ominaista huomattava vallan epätasapaino niiden roolin ja vastuun vuoksi, ja ne voivat johtaa luonnollisen henkilön valvontaan, pidättämiseen tai vapaudenmenetykseen sekä muihin perusoikeuskirjassa taattuihin perusoikeuksiin kohdistuviin haitallisiin vaikutuksiin. Erityisesti jos tekoälyjärjestelmää ei ole koulutettu laadukkaalla datalla, se ei täytä riittäviä vaatimuksia toimintansa, tarkkuutensa tai vakautensa suhteen tai sitä ei ole suunniteltu ja testattu asianmukaisesti ennen markkinoille saattamista tai muuta käyttöönottoa, se voi valikoida henkilöitä syrjivästi tai muulla tavoin väärin tai epäoikeudenmukaisesti. Lisäksi merkittävien menettelyllisten perusoikeuksien, joita ovat muun muassa oikeus tehokkaisiin oikeussuojakeinoihin ja puolueettomaan tuomioistuimeen sekä oikeus puolustukseen ja syyttömyysolettama, käyttö voisi vaikeutua erityisesti silloin, kun tällaiset tekoälyjärjestelmät eivät ole riittävän avoimia, selitettävissä olevia ja dokumentoituja. Sen vuoksi on aiheellista luokitella suuririskisiksi joukko tekoälyjärjestelmiä, jotka on tarkoitettu käytettäviksi lainvalvonnan yhteydessä, siltä osin kuin niiden käyttö on sallittua asiaa koskevan unionin oikeuden ja kansallisen lainsäädännön nojalla, kun tarkkuus, luotettavuus ja avoimuus ovat erityisen tärkeitä haitallisten vaikutusten välttämiseksi, kansalaisten luottamuksen säilyttämiseksi sekä vastuuvelvollisuuden ja tehokkaiden oikeussuojakeinojen varmistamiseksi. Kun otetaan huomioon toimintojen luonne ja niihin liittyvät riskit, näihin suuririskisiin tekoälyjärjestelmiin olisi katsottava kuuluvan erityisesti tekoälyjärjestelmät, joita on tarkoitus käyttää valheenpaljastimina ja vastaavina välineinä lainvalvontaviranomaisten toimesta tai niiden puolesta taikka unionin toimielinten, elinten, toimistojen tai virastojen toimesta lainvalvontaviranomaisten tueksi, jotta voidaan arvioida luonnollisen henkilön riskiä joutua rikoksen uhriksi ja todistusaineiston luotettavuutta rikostutkinnassa tai rikosoikeudellisissa menettelyissä ja, siltä osin kuin sitä ei kielletä tässä asetuksessa, arvioida luonnollisen henkilön rikoksen esiintymisen tai toistumisen riskiä myös muilla keinoilla kuin luonnollisten henkilöiden profiloinnin tai luonnollisten henkilöiden tai ryhmien persoonallisuuspiirteiden ja -ominaisuuksien tai aiemman rikollisen käyttäytymisen arvioinnin perusteella, rikosten paljastamisen, tutkimisen tai rikoksiin liittyvien syytetoimien yhteydessä tapahtuvaa profilointia varten. Tekoälyjärjestelmiä, jotka on erityisesti tarkoitettu käytettäviksi vero- ja tulliviranomaisten hallinnollisissa menettelyissä sekä rahanpesun selvittelykeskuksissa, jotka suorittavat hallinnollisia tehtäviä, joissa analysoidaan tietoja unionin rahanpesunvastaisen lainsäädännön nojalla, ei pitäisi luokitella suuririskisiksi tekoälyjärjestelmiksi, joita lainvalvontaviranomaiset käyttävät rikosten ennalta estämiseen, tutkimiseen, paljastamiseen tai rikoksiin liittyviin syytetoimiin. Lainvalvontaviranomaisten ja muiden asiaankuuluvien viranomaisten harjoittama tekoälyn käyttö ei saisi lisätä eriarvoisuutta tai syrjäytymistä. Tekoälyvälineiden käytön vaikutuksia rikoksesta epäiltyjen puolustusoikeuksiin ei pitäisi jättää huomiotta, etenkään vaikeuksia saada kyseisten järjestelmien toimintaa koskevia merkityksellisiä tietoja ja siitä erityisesti tutkinnan kohteena oleville luonnollisille henkilöille aiheutuvaa ongelmaa haastaa tekoälyvälineiden tulokset tuomioistuimessa.

(60)

AI systems used in migration, asylum and border control management affect persons who are often in particularly vulnerable position and who are dependent on the outcome of the actions of the competent public authorities. The accuracy, non-discriminatory nature and transparency of the AI systems used in those contexts are therefore particularly important to guarantee respect for the fundamental rights of the affected persons, in particular their rights to free movement, non-discrimination, protection of private life and personal data, international protection and good administration. It is therefore appropriate to classify as high-risk, insofar as their use is permitted under relevant Union and national law, AI systems intended to be used by or on behalf of competent public authorities or by Union institutions, bodies, offices or agencies charged with tasks in the fields of migration, asylum and border control management as polygraphs and similar tools, for assessing certain risks posed by natural persons entering the territory of a Member State or applying for visa or asylum, for assisting competent public authorities for the examination, including related assessment of the reliability of evidence, of applications for asylum, visa and residence permits and associated complaints with regard to the objective to establish the eligibility of the natural persons applying for a status, for the purpose of detecting, recognising or identifying natural persons in the context of migration, asylum and border control management, with the exception of verification of travel documents. AI systems in the area of migration, asylum and border control management covered by this Regulation should comply with the relevant procedural requirements set by the Regulation (EC) No 810/2009 of the European Parliament and of the Council (32), the Directive 2013/32/EU of the European Parliament and of the Council (33), and other relevant Union law. The use of AI systems in migration, asylum and border control management should, in no circumstances, be used by Member States or Union institutions, bodies, offices or agencies as a means to circumvent their international obligations under the UN Convention relating to the Status of Refugees done at Geneva on 28 July 1951 as amended by the Protocol of 31 January 1967. Nor should they be used to in any way infringe on the principle of non-refoulement, or to deny safe and effective legal avenues into the territory of the Union, including the right to international protection.

(60)

Muuttoliikkeen hallinnassa, turvapaikka-asioissa ja rajavalvonnassa käytettävät tekoälyjärjestelmät vaikuttavat henkilöihin, jotka ovat usein erityisen haavoittuvassa asemassa ja riippuvaisia toimivaltaisten viranomaisten toimien tuloksista. Näissä yhteyksissä käytettävien tekoälyjärjestelmien tarkkuus, syrjimätön luonne ja avoimuus on sen vuoksi erityisen tärkeää, jotta voidaan taata henkilöiden, joihin vaikutukset kohdistuvat, perusoikeuksien kunnioittaminen, erityisesti heidän oikeutensa vapaaseen liikkuvuuteen, syrjimättömyyteen, yksityiselämän ja henkilötietojen suojaan, kansainväliseen suojeluun ja hyvään hallintoon. Sen vuoksi on aiheellista luokitella suuririskisiksi tekoälyjärjestelmät, siltä osin kuin niiden käyttö on sallittua asiaa koskevan unionin ja kansallisen lainsäädännön nojalla, joita on tarkoitus käyttää valheenpaljastimina ja vastaavina välineinä muuttoliikkeen hallinnassa, turvapaikka-asioissa ja rajavalvonnassa vastaavien toimivaltaisten viranomaisten toimesta tai niiden puolesta taikka vastaavien unionin elinten, toimistojen tai virastojen toimesta; jäsenvaltion alueelle saapuvien tai viisumia tai turvapaikkaa hakevien luonnollisten henkilöiden aiheuttamien tiettyjen riskien arvioimiseen; toimivaltaisten viranomaisten avustamiseen turvapaikka-, viisumi- ja oleskelulupahakemusten ja niihin liittyvien valitusten käsittelyssä, myös todistusaineiston luotettavuuden arvioinnin osalta, kun tavoitteena on vahvistaa asemaa hakevien luonnollisten henkilöiden kelpoisuus; sekä luonnollisten henkilöiden havaitsemiseen, tunnistamiseen tai henkilöllisyyden määrittämiseen muuttoliikkeen, turvapaikka-asioiden ja rajavalvonnan yhteydessä, pois lukien matkustusasiakirjojen tarkastaminen.Tämän asetuksen soveltamisalaan kuuluvien muuttoliikkeen hallinnan, turvapaikka-asioiden ja rajavalvonnan alan tekoälyjärjestelmien olisi oltava Euroopan parlamentin ja neuvoston asetuksessa (EY) N:o 810/2009 (32), Euroopan parlamentin ja neuvoston direktiivissä 2013/32/EU (33) ja muussa asiaa koskevassa unionin oikeudessa säädettyjen asiaankuuluvien menettelyvaatimusten mukaisia. Jäsenvaltioiden tai unionin toimielinten, elinten, toimistojen tai virastojen ei pitäisi missään tapauksessa käyttää tekoälyjärjestelmiä muuttoliikkeen, turvapaikka-asioiden ja rajavalvonnan hallinnassa keinona kiertää Genevessä 28 päivänä heinäkuuta 1951 tehdyn pakolaisten oikeusasemaa koskevan YK:n yleissopimuksen, sellaisena kuin se on muutettuna 31 päivänä tammikuuta 1967 tehdyllä pöytäkirjalla, mukaisia kansainvälisiä velvoitteitaan. Niiden käyttö ei myöskään saisi millään tavoin loukata palauttamiskiellon periaatetta eikä evätä unionin alueelle pääsemiseksi turvallisia ja toimivia laillisia väyliä tai oikeutta kansainväliseen suojeluun.

(61)

Certain AI systems intended for the administration of justice and democratic processes should be classified as high-risk, considering their potentially significant impact on democracy, the rule of law, individual freedoms as well as the right to an effective remedy and to a fair trial. In particular, to address the risks of potential biases, errors and opacity, it is appropriate to qualify as high-risk AI systems intended to be used by a judicial authority or on its behalf to assist judicial authorities in researching and interpreting facts and the law and in applying the law to a concrete set of facts. AI systems intended to be used by alternative dispute resolution bodies for those purposes should also be considered to be high-risk when the outcomes of the alternative dispute resolution proceedings produce legal effects for the parties. The use of AI tools can support the decision-making power of judges or judicial independence, but should not replace it: the final decision-making must remain a human-driven activity. The classification of AI systems as high-risk should not, however, extend to AI systems intended for purely ancillary administrative activities that do not affect the actual administration of justice in individual cases, such as anonymisation or pseudonymisation of judicial decisions, documents or data, communication between personnel, administrative tasks.

(61)

Tietyt oikeudenhoitoon ja demokraattisiin prosesseihin tarkoitetut tekoälyjärjestelmät olisi luokiteltava suuririskisiksi ottaen huomioon niiden mahdollinen merkittävä vaikutus demokratiaan, oikeusvaltioon, yksilön vapauksiin sekä oikeuteen tehokkaisiin oikeussuojakeinoihin ja puolueettomaan tuomioistuimeen. Erityisesti mahdollisten vinoutumien, virheiden ja läpinäkymättömyyden riskeihin puuttumiseksi on aiheellista luokitella suuririskisiksi tekoälyjärjestelmät, joita on tarkoitus käyttää oikeusviranomaisten toimesta tai niiden puolesta ja joiden tarkoituksena on auttaa oikeusviranomaisia tutkimaan ja tulkitsemaan tosiseikkoja ja lainsäädäntöä sekä soveltamaan lainsäädäntöä konkreettisiin tosiseikkoihin. Tekoälyjärjestelmiä, joita vaihtoehtoisten riidanratkaisuelinten on tarkoitus käyttää näihin tarkoituksiin, olisi myös pidettävä suuririskisinä, jos vaihtoehtoisten riidanratkaisumenettelyjen tuloksilla on oikeusvaikutuksia osapuolille. Tekoälyvälineiden käytöllä voidaan tukea mutta se ei saisi korvata tuomareiden päätöksentekovaltaa tai oikeuslaitoksen riippumattomuutta, koska lopullisten päätösten on myös jatkossa oltava ihmisen tekemiä. Tekoälyjärjestelmien luokittelua suuririskiseksi ei kuitenkaan pitäisi ulottaa tekoälyjärjestelmiin, jotka on tarkoitettu puhtaasti hallinnollisiin tukitoimiin, jotka eivät vaikuta oikeudenkäyttöön yksittäisissä tapauksissa, kuten tuomioistuinten päätösten, asiakirjojen tai tietojen anonymisointiin tai pseudonymisointiin, henkilöstön väliseen viestintään tai hallinnollisiin tehtäviin.

(62)

Without prejudice to the rules provided for in Regulation (EU) 2024/900 of the European Parliament and of the Council (34), and in order to address the risks of undue external interference with the right to vote enshrined in Article 39 of the Charter, and of adverse effects on democracy and the rule of law, AI systems intended to be used to influence the outcome of an election or referendum or the voting behaviour of natural persons in the exercise of their vote in elections or referenda should be classified as high-risk AI systems with the exception of AI systems whose output natural persons are not directly exposed to, such as tools used to organise, optimise and structure political campaigns from an administrative and logistical point of view.

(62)

Jotta voidaan puuttua perusoikeuskirjan 39 artiklassa vahvistettuun äänioikeuteen kohdistuviin asiattoman ulkopuolisen sekaantumisen riskeihin sekä riskeihin haitallisista vaikutuksista demokratiaan ja oikeusvaltioon, sellaiset tekoälyjärjestelmät olisi luokiteltava suuririskisiksi, jotka on tarkoitettu käytettäviksi vaikuttamaan vaalien tai kansanäänestysten tulokseen tai vaaleissa tai kansanäänestyksissä äänioikeuttaan käyttävien luonnollisten henkilöiden äänestyskäyttäytymiseen, lukuun ottamatta tekoälyjärjestelmiä, joiden tuotoksille luonnolliset henkilöt eivät suoraan altistu, kuten välineet, joita käytetään poliittisten kampanjoiden hallinnolliseen ja logistiseen järjestämiseen, optimointiin ja jäsentämiseen, sanotun kuitenkaan rajoittamatta Euroopan parlamentin ja neuvoston asetuksessa (EU) 2024/900 (34) säädettyjen sääntöjen soveltamista.

(63)

The fact that an AI system is classified as a high-risk AI system under this Regulation should not be interpreted as indicating that the use of the system is lawful under other acts of Union law or under national law compatible with Union law, such as on the protection of personal data, on the use of polygraphs and similar tools or other systems to detect the emotional state of natural persons. Any such use should continue to occur solely in accordance with the applicable requirements resulting from the Charter and from the applicable acts of secondary Union law and national law. This Regulation should not be understood as providing for the legal ground for processing of personal data, including special categories of personal data, where relevant, unless it is specifically otherwise provided for in this Regulation.

(63)

Sen, että tekoälyjärjestelmä luokitellaan tässä asetuksessa suuririskiseksi tekoälyjärjestelmäksi, ei saisi tulkita osoittavan, että järjestelmän käyttö on laillista muiden unionin säädösten tai unionin oikeuden kanssa yhteensopivan kansallisen lainsäädännön nojalla, jota on annettu esimerkiksi henkilötietojen suojasta tai valheenpaljastimien ja vastaavien välineiden tai muiden järjestelmien käytöstä tai luonnollisen henkilön tunnetilan havaitsemisesta. Tällaisen käytön olisi jatkuttava yksinomaan perusoikeuskirjasta ja sovellettavista unionin johdetun oikeuden säädöksistä ja kansallisesta lainsäädännöstä johtuvien sovellettavien vaatimusten mukaisesti. Tätä asetusta ei pitäisi ymmärtää niin, että siinä säädettäisiin oikeusperustasta henkilötietojen käsittelylle, mukaan lukien tarvittaessa erityiset henkilötietoryhmät, ellei siitä nimenomaisesti toisin säädetä tässä asetuksessa.

(64)

To mitigate the risks from high-risk AI systems placed on the market or put into service and to ensure a high level of trustworthiness, certain mandatory requirements should apply to high-risk AI systems, taking into account the intended purpose and the context of use of the AI system and according to the risk-management system to be established by the provider. The measures adopted by the providers to comply with the mandatory requirements of this Regulation should take into account the generally acknowledged state of the art on AI, be proportionate and effective to meet the objectives of this Regulation. Based on the New Legislative Framework, as clarified in Commission notice ‘The “Blue Guide” on the implementation of EU product rules 2022’, the general rule is that more than one legal act of Union harmonisation legislation may be applicable to one product, since the making available or putting into service can take place only when the product complies with all applicable Union harmonisation legislation. The hazards of AI systems covered by the requirements of this Regulation concern different aspects than the existing Union harmonisation legislation and therefore the requirements of this Regulation would complement the existing body of the Union harmonisation legislation. For example, machinery or medical devices products incorporating an AI system might present risks not addressed by the essential health and safety requirements set out in the relevant Union harmonised legislation, as that sectoral law does not deal with risks specific to AI systems. This calls for a simultaneous and complementary application of the various legislative acts. To ensure consistency and to avoid an unnecessary administrative burden and unnecessary costs, providers of a product that contains one or more high-risk AI system, to which the requirements of this Regulation and of the Union harmonisation legislation based on the New Legislative Framework and listed in an annex to this Regulation apply, should have flexibility with regard to operational decisions on how to ensure compliance of a product that contains one or more AI systems with all the applicable requirements of that Union harmonised legislation in an optimal manner. That flexibility could mean, for example a decision by the provider to integrate a part of the necessary testing and reporting processes, information and documentation required under this Regulation into already existing documentation and procedures required under existing Union harmonisation legislation based on the New Legislative Framework and listed in an annex to this Regulation. This should not, in any way, undermine the obligation of the provider to comply with all the applicable requirements.

(64)

Jotta voidaan vähentää riskejä, joita markkinoille saatetuista tai muuten käyttöön otetuista suuririskisistä tekoälyjärjestelmistä aiheutuu, ja jotta voidaan varmistaa korkea luotettavuuden taso, suuririskisiin tekoälyjärjestelmiin olisi sovellettava tiettyjä pakollisia vaatimuksia ottaen huomioon tekoälyjärjestelmän käyttötarkoitus ja -yhteys ja noudattaen tarjoajan perustamaa riskinhallintajärjestelmää. Toimenpiteissä, joita tarjoajat toteuttavat noudattaakseen tämän asetuksen pakollisia vaatimuksia, olisi otettava huomioon yleisesti tunnustettu tekoälyä koskeva viimeisin kehitys, ja niiden olisi oltava oikeasuhteisia ja tehokkaita tämän asetuksen tavoitteiden saavuttamiseksi. Uuden lainsäädäntökehyksen perusteella, kuten komission tiedonannossa ”Sininen opas – EU:n tuotesääntöjen täytäntöönpano-opas 2022” selvennetään, yleissääntönä on, että useampaa kuin yhtä unionin yhdenmukaistamislainsäädännön säädöstä voidaan soveltaa yhteen tuotteeseen, koska saataville asettaminen tai käyttöönotto voidaan sallia vain, jos tuote on kaiken sovellettavan unionin yhdenmukaistamislainsäädännön mukainen. Tämän asetuksen vaatimusten soveltamisalaan kuuluvien tekoälyjärjestelmien vaarat koskevat eri näkökohtia kuin voimassa oleva unionin yhdenmukaistamislainsäädäntö, minkä vuoksi tämän asetuksen vaatimukset täydentäisivät nykyistä unionin yhdenmukaistamislainsäädäntöä. Esimerkiksi tekoälyjärjestelmän sisältäviin koneisiin tai lääkinnällisiin laitteisiin voi liittyä riskejä, joita ei käsitellä asiaa koskevan unionin yhdenmukaistamislainsäädännön vahvistetuissa olennaisissa terveys- ja turvallisuusvaatimuksissa, koska kyseisessä alakohtaisessa lainsäädännössä ei käsitellä tekoälyjärjestelmille ominaisia riskejä.Tämä edellyttää eri säädösten samanaikaista ja täydentävää soveltamista. Johdonmukaisuuden varmistamiseksi sekä tarpeettoman hallinnollisen rasitteen ja turhien kustannusten välttämiseksi sellaisen tuotteen, joka sisältää yhden tai useamman suuririskisen tekoälyjärjestelmän, johon sovelletaan tämän asetuksen ja tämän asetuksen liitteessä luetellun uuteen lainsäädäntökehykseen perustuvan unionin yhdenmukaistamislainsäädännön vaatimuksia, tarjoajien olisi oltava joustavia niiden operatiivisten päätösten osalta, joilla varmistetaan parhaalla mahdollisella tavalla yhden tai useamman tekoälyjärjestelmän sisältävän tuotteen vaatimustenmukaisuus kaikkien kyseisen unionin yhdenmukaistetun lainsäädännön säännösten kanssa. Tämä joustavuus voisi tarkoittaa esimerkiksi tarjoajan päätöstä sisällyttää osa tämän asetuksen nojalla vaadittavista testaus- ja raportointiprosesseista, tiedoista ja asiakirjoista jo olemassa oleviin asiakirjoihin ja menettelyihin, joita edellytetään tämän asetuksen liitteessä lueteltuun uuteen lainsäädäntökehykseen perustuvassa voimassa olevassa unionin yhdenmukaistamislainsäädännössä. Tämä ei saisi millään tavoin vähentää tarjoajan velvollisuutta noudattaa kaikkia sovellettavia vaatimuksia.

(65)

The risk-management system should consist of a continuous, iterative process that is planned and run throughout the entire lifecycle of a high-risk AI system. That process should be aimed at identifying and mitigating the relevant risks of AI systems on health, safety and fundamental rights. The risk-management system should be regularly reviewed and updated to ensure its continuing effectiveness, as well as justification and documentation of any significant decisions and actions taken subject to this Regulation. This process should ensure that the provider identifies risks or adverse impacts and implements mitigation measures for the known and reasonably foreseeable risks of AI systems to the health, safety and fundamental rights in light of their intended purpose and reasonably foreseeable misuse, including the possible risks arising from the interaction between the AI system and the environment within which it operates. The risk-management system should adopt the most appropriate risk-management measures in light of the state of the art in AI. When identifying the most appropriate risk-management measures, the provider should document and explain the choices made and, when relevant, involve experts and external stakeholders. In identifying the reasonably foreseeable misuse of high-risk AI systems, the provider should cover uses of AI systems which, while not directly covered by the intended purpose and provided for in the instruction for use may nevertheless be reasonably expected to result from readily predictable human behaviour in the context of the specific characteristics and use of a particular AI system. Any known or foreseeable circumstances related to the use of the high-risk AI system in accordance with its intended purpose or under conditions of reasonably foreseeable misuse, which may lead to risks to the health and safety or fundamental rights should be included in the instructions for use that are provided by the provider. This is to ensure that the deployer is aware and takes them into account when using the high-risk AI system. Identifying and implementing risk mitigation measures for foreseeable misuse under this Regulation should not require specific additional training for the high-risk AI system by the provider to address foreseeable misuse. The providers however are encouraged to consider such additional training measures to mitigate reasonable foreseeable misuses as necessary and appropriate.

(65)

Riskinhallintajärjestelmän olisi koostuttava iteratiivisesta prosessista, joka jatkuu suunnitellusti suuririskisen tekoälyjärjestelmän koko elinkaaren ajan. Kyseisellä prosessilla olisi pyrittävä määrittämään ja lieventämään tekoälyjärjestelmien terveyteen, turvallisuuteen ja perusoikeuksiin liittyviä riskejä. Riskinhallintajärjestelmää olisi tarkasteltava ja päivitettävä säännöllisesti, jotta voidaan varmistaa sen jatkuva tehokkuus sekä tämän asetuksen soveltamisalaan kuuluvien merkittävien päätösten ja toteutettujen toimien perustelut ja dokumentointi. Tällä prosessilla olisi varmistettava, että tarjoaja määrittää riskit tai haitalliset vaikutukset ja toteuttaa lieventäviä toimenpiteitä ottaen huomioon tekoälyjärjestelmien käyttötarkoituksen ja kohtuudella ennakoitavissa olevan väärinkäytön, jotta voidaan torjua niiden terveyteen, turvallisuuteen ja perusoikeuksiin kohdistuvia tunnettuja ja kohtuudella ennakoitavissa olevia riskejä, mukaan lukien mahdolliset riskit, jotka johtuvat tekoälyjärjestelmän ja sen toimintaympäristön välisestä vuorovaikutuksesta. Riskinhallintajärjestelmässä olisi otettava käyttöön asianmukaisimmat riskinhallintatoimenpiteet ottaen huomioon tekoälyn viimeisin kehitys. Asianmukaisimpia riskinhallintatoimenpiteitä määrittäessään tarjoajan olisi dokumentoitava ja selitettävä tehdyt valinnat sekä tarvittaessa otettava mukaan asiantuntijoita ja ulkopuolisia sidosryhmiä. Määrittäessään suuririskisten tekoälyjärjestelmien kohtuudella ennakoitavissa olevaa väärinkäyttöä tarjoajan olisi käsiteltävä tekoälyjärjestelmien käyttötarkoitukset, joiden voidaan kohtuudella olettaa johtuvan ihmisen helposti ennustettavissa olevasta käyttäytymisestä tietyn tekoälyjärjestelmän ominaisuuksien ja käytön yhteydessä, vaikka ne eivät kuuluisi suoraan käyttötarkoituksen piiriin ja niitä ei ole mainittu käyttöohjeissa. Kaikki tunnetut tai ennakoitavissa olevat olosuhteet, jotka liittyvät suuririskisen tekoälyjärjestelmän käyttöön sen käyttötarkoituksen mukaisesti tai kohtuudella ennakoitavissa olevissa väärinkäytön olosuhteissa ja jotka voivat aiheuttaa terveyteen, turvallisuuteen tai perusoikeuksiin kohdistuvia riskejä, olisi sisällytettävä tarjoajan antamiin käyttöohjeisiin. Näin varmistetaan, että käyttöönottaja on tietoinen niistä ja ottaa ne huomioon käyttäessään suuririskistä tekoälyjärjestelmää. Tämän asetuksen mukaisten ennakoitavissa olevan väärinkäytön riskinvähentämistoimenpiteiden määrittäminen ja toteuttaminen ei saisi edellyttää tarjoajalta suuririskistä tekoälyjärjestelmää koskevaa erityistä lisäkoulutusta ennakoitavissa olevan väärinkäytön käsittelemiseksi. Tarjoajia kannustetaan kuitenkin harkitsemaan tällaisia lisäkoulutustoimenpiteitä tarpeen mukaan kohtuullisesti ennakoitavissa olevien väärinkäytösten lieventämiseksi.

(66)

Requirements should apply to high-risk AI systems as regards risk management, the quality and relevance of data sets used, technical documentation and record-keeping, transparency and the provision of information to deployers, human oversight, and robustness, accuracy and cybersecurity. Those requirements are necessary to effectively mitigate the risks for health, safety and fundamental rights. As no other less trade restrictive measures are reasonably available those requirements are not unjustified restrictions to trade.

(66)

Suuririskisiin tekoälyjärjestelmiin olisi sovellettava vaatimuksia, jotka koskevat käytettyjen datajoukkojen riskinhallintaa, laatua ja merkityksellisyyttä, teknistä dokumentaatiota ja tietojen säilyttämistä, avoimuutta ja tietojen antamista käyttöönottajille, ihmisen suorittamaa valvontaa sekä vakautta, tarkkuutta ja kyberturvallisuutta. Nämä vaatimukset ovat tarpeen, jotta voidaan tehokkaasti vähentää terveyteen, turvallisuuteen ja perusoikeuksiin kohdistuvia riskejä. Koska muita vähemmän kauppaa rajoittavia toimenpiteitä ei ole kohtuudella käytettävissä, ja näin ollen kyseiset vaatimukset eivät ole perusteettomia kaupan rajoituksia.

(67)

High-quality data and access to high-quality data plays a vital role in providing structure and in ensuring the performance of many AI systems, especially when techniques involving the training of models are used, with a view to ensure that the high-risk AI system performs as intended and safely and it does not become a source of discrimination prohibited by Union law. High-quality data sets for training, validation and testing require the implementation of appropriate data governance and management practices. Data sets for training, validation and testing, including the labels, should be relevant, sufficiently representative, and to the best extent possible free of errors and complete in view of the intended purpose of the system. In order to facilitate compliance with Union data protection law, such as Regulation (EU) 2016/679, data governance and management practices should include, in the case of personal data, transparency about the original purpose of the data collection. The data sets should also have the appropriate statistical properties, including as regards the persons or groups of persons in relation to whom the high-risk AI system is intended to be used, with specific attention to the mitigation of possible biases in the data sets, that are likely to affect the health and safety of persons, have a negative impact on fundamental rights or lead to discrimination prohibited under Union law, especially where data outputs influence inputs for future operations (feedback loops). Biases can for example be inherent in underlying data sets, especially when historical data is being used, or generated when the systems are implemented in real world settings. Results provided by AI systems could be influenced by such inherent biases that are inclined to gradually increase and thereby perpetuate and amplify existing discrimination, in particular for persons belonging to certain vulnerable groups, including racial or ethnic groups. The requirement for the data sets to be to the best extent possible complete and free of errors should not affect the use of privacy-preserving techniques in the context of the development and testing of AI systems. In particular, data sets should take into account, to the extent required by their intended purpose, the features, characteristics or elements that are particular to the specific geographical, contextual, behavioural or functional setting which the AI system is intended to be used. The requirements related to data governance can be complied with by having recourse to third parties that offer certified compliance services including verification of data governance, data set integrity, and data training, validation and testing practices, as far as compliance with the data requirements of this Regulation are ensured.

(67)

Korkealaatuisella datalla ja sen saatavuudella on ensisijainen rooli monien tekoälyjärjestelmien rakenteen luomisen ja suorituskyvyn varmistamisen kannalta, erityisesti kun käytetään tekniikoita, joihin sisältyy mallien kouluttamista, jotta voidaan varmistaa, että suuririskinen tekoälyjärjestelmä toimii tarkoitetulla tavalla ja turvallisesti eikä siitä tule unionin oikeudessa kiellettyä syrjinnän lähdettä. Korkealaatuiset koulutus-, validointi- ja testausdatajoukot edellyttävät asianmukaisten datanhallinta- ja hallinnointikäytäntöjen täytäntöönpanoa. Koulutus-, validointi- ja testausdatajoukkojen, myös tunnisteiden, olisi oltava merkityksellisiä, riittävän edustavia ja niin suurelta osin kuin mahdollista virheettömiä ja täydellisiä järjestelmän käyttötarkoitusta ajatellen. Datanhallinta- ja hallinnointikäytäntöihin olisi henkilötietojen osalta sisällytettävä avoimuus datankeruun alkuperäisestä tarkoituksesta, jotta voidaan helpottaa unionin tietosuojalainsäädännön, kuten asetuksen (EU) 2016/679, noudattamista. Datajoukoilla olisi myös oltava asianmukaiset tilastolliset ominaisuudet, myös niiden henkilöiden tai henkilöryhmien osalta, joihin suuririskistä tekoälyjärjestelmää on tarkoitus käyttää, kiinnittäen erityistä huomiota sellaisten datajoukkojen mahdollisten vinoutumien vähentämiseen, jotka todennäköisesti vaikuttavat henkilöiden terveyteen ja turvallisuuteen, vaikuttavat kielteisesti perusoikeuksiin tai johtavat unionin oikeudessa kiellettyyn syrjintään, erityisesti silloin, kun datan tuotokset vaikuttavat tulevien toimintojen syöttötietoihin (palautesilmukat). Taustalla oleviin datajoukkoihin voi esimerkiksi sisältyä vinoutumia erityisesti silloin, kun käytetään historiallisia tietoja tai kun järjestelmät otetaan käyttöön todellisissa olosuhteissa.Dataan sisältyvät vinoutumat voivat vaikuttaa tekoälyjärjestelmien tuottamiin tuloksiin, ja tällaisilla vinoutumilla on taipumus vähitellen lisääntyä ja siten ylläpitää ja lisätä olemassa olevaa syrjintää erityisesti tiettyihin haavoittuvassa asemassa oleviin ryhmiin, myös rodullisiin tai etnisiin ryhmiin, kuuluvien henkilöiden osalta. Datajoukkojen mahdollisimman suurta täydellisyyttä ja virheettömyyttä koskeva vaatimus ei saisi vaikuttaa yksityisyyden suojaa parantavien tekniikoiden käyttöön tekoälyjärjestelmien kehittämisen ja testauksen yhteydessä. Datajoukoissa olisi otettava erityisesti huomioon niiden käyttötarkoituksen edellyttämässä laajuudessa ne ominaispiirteet, ominaisuudet tai osatekijät, jotka ovat ominaisia sille maantieteelliselle, viitekehyksenä olevalle, käyttäytymiseen liittyvälle tai toiminnalliselle ympäristölle, jossa tekoälyjärjestelmää on tarkoitus käyttää. Datanhallintaan liittyviä vaatimuksia voidaan noudattaa turvautumalla kolmansiin osapuoliin, jotka tarjoavat sertifioituja vaatimustenmukaisuuspalveluja, mukaan lukien datanhallinnan, datajoukkojen eheyden sekä dataa koskevien koulutus-, validointi- ja testauskäytäntöjen todentaminen, kunhan tämän asetuksen datavaatimusten noudattaminen on varmistettu.

(68)

For the development and assessment of high-risk AI systems, certain actors, such as providers, notified bodies and other relevant entities, such as European Digital Innovation Hubs, testing experimentation facilities and researchers, should be able to access and use high-quality data sets within the fields of activities of those actors which are related to this Regulation. European common data spaces established by the Commission and the facilitation of data sharing between businesses and with government in the public interest will be instrumental to provide trustful, accountable and non-discriminatory access to high-quality data for the training, validation and testing of AI systems. For example, in health, the European health data space will facilitate non-discriminatory access to health data and the training of AI algorithms on those data sets, in a privacy-preserving, secure, timely, transparent and trustworthy manner, and with an appropriate institutional governance. Relevant competent authorities, including sectoral ones, providing or supporting the access to data may also support the provision of high-quality data for the training, validation and testing of AI systems.

(68)

Suuririskisten tekoälyjärjestelmien kehittämiseksi ja arvioimiseksi tiettyjen toimijoiden, esimerkiksi tarjoajien, ilmoitettujen laitosten ja muiden asiaankuuluvien tahojen, kuten digitaali-innovaatiokeskittymien, testauslaitosten ja tutkijoiden, olisi voitava saada käyttöönsä ja käyttää korkealaatuisia datajoukkoja tähän asetukseen liittyvillä kyseisten toimijoiden toiminta-aloilla. Komission perustama yhteinen eurooppalainen data-avaruus ja datan jakamisen helpottaminen yritysten välillä ja viranomaisten kanssa yleisen edun nimissä ovat ratkaisevan tärkeitä, jotta voidaan tarjota luotettava, vastuullinen ja syrjimätön pääsy korkealaatuiseen dataan tekoälyjärjestelmien koulutusta, validointia ja testausta varten. Esimerkiksi terveydenhuollon alalla eurooppalainen terveysdata-avaruus helpottaa terveysdatan syrjimätöntä saatavuutta ja tekoälyalgoritmien koulutusta näillä datajoukoilla yksityisyyden suojaavalla, turvallisella, oikea-aikaisella, avoimella ja luotettavalla tavalla ja asianmukaisen institutionaalisen hallinnon alaisena. Asiaankuuluvat toimivaltaiset viranomaiset, myös alakohtaiset viranomaiset, jotka tarjoavat dataa tai tukevat datan saatavuutta, voivat myös tukea korkealaatuisen datan tarjoamista tekoälyjärjestelmien koulutusta, validointia ja testausta varten.

(69)

The right to privacy and to protection of personal data must be guaranteed throughout the entire lifecycle of the AI system. In this regard, the principles of data minimisation and data protection by design and by default, as set out in Union data protection law, are applicable when personal data are processed. Measures taken by providers to ensure compliance with those principles may include not only anonymisation and encryption, but also the use of technology that permits algorithms to be brought to the data and allows training of AI systems without the transmission between parties or copying of the raw or structured data themselves, without prejudice to the requirements on data governance provided for in this Regulation.

(69)

Oikeus yksityisyyteen ja henkilötietojen suojaan on taattava tekoälyjärjestelmän koko elinkaaren ajan. Tässä yhteydessä henkilötietojen käsittelyn osalta sovelletaan tietojen minimoinnin ja sisäänrakennetun ja oletusarvoisen tietosuojan periaatteita, sellaisina kuin niistä säädetään unionin tietosuojalainsäädännössä. Kyseisten periaatteiden noudattamisen varmistamiseksi tarjoajat toteuttavat toimenpiteitä, joihin voi anonymisoinnin ja salauksen lisäksi kuulua myös sellaisen teknologian käyttö, joka mahdollistaa sekä algoritmien tuomisen dataan että tekoälyjärjestelmien kouluttamisen ilman osapuolten välistä siirtoa tai itse raakadatan tai jäsennellyn datan kopiointia, sanotun kuitenkaan rajoittamatta tässä asetuksessa säädettyjen datan hallintaa koskevien vaatimusten soveltamista.

(70)

In order to protect the right of others from the discrimination that might result from the bias in AI systems, the providers should, exceptionally, to the extent that it is strictly necessary for the purpose of ensuring bias detection and correction in relation to the high-risk AI systems, subject to appropriate safeguards for the fundamental rights and freedoms of natural persons and following the application of all applicable conditions laid down under this Regulation in addition to the conditions laid down in Regulations (EU) 2016/679 and (EU) 2018/1725 and Directive (EU) 2016/680, be able to process also special categories of personal data, as a matter of substantial public interest within the meaning of Article 9(2), point (g) of Regulation (EU) 2016/679 and Article 10(2), point (g) of Regulation (EU) 2018/1725.

(70)

Jotta voitaisiin suojella muita tekoälyjärjestelmissä esiintyvästä vinoutumisesta mahdollisesti johtuvalta syrjinnältä, tarjoajien olisi suuririskisten tekoälyjärjestelmien vinoutumien havaitsemisen ja korjaamisen varmistamiseksi voitava, poikkeuksellisesti ja siinä määrin kuin se on ehdottoman välttämätöntä sekä soveltaen luonnollisten henkilöiden perusoikeuksia ja -vapauksia koskevia asianmukaisia suojatoimia sekä kaikkia tässä asetuksessa säädettyjä sovellettavia ehtoja asetuksissa (EU) 2016/679 ja (EU) 2018/1725 sekä direktiivissä (EU) 2016/680 säädettyjen edellytysten lisäksi, käsitellä myös erityisiä henkilötietoryhmiä asetuksen (EU) 2016/679 9 artiklan 2 kohdan g alakohdassa ja asetuksen (EU) 2018/1725 10 artiklan 2 kohdan g alakohdassa tarkoitetun tärkeän yleisen edun nimissä.

(71)

Having comprehensible information on how high-risk AI systems have been developed and how they perform throughout their lifetime is essential to enable traceability of those systems, verify compliance with the requirements under this Regulation, as well as monitoring of their operations and post market monitoring. This requires keeping records and the availability of technical documentation, containing information which is necessary to assess the compliance of the AI system with the relevant requirements and facilitate post market monitoring. Such information should include the general characteristics, capabilities and limitations of the system, algorithms, data, training, testing and validation processes used as well as documentation on the relevant risk-management system and drawn in a clear and comprehensive form. The technical documentation should be kept up to date, appropriately throughout the lifetime of the AI system. Furthermore, high-risk AI systems should technically allow for the automatic recording of events, by means of logs, over the duration of the lifetime of the system.

(71)

Tämän asetuksen vaatimusten noudattamisen todentamisen kannalta on olennaisen tärkeää saada ymmärrettävää tietoa siitä, miten suuririskiset tekoälyjärjestelmät on kehitetty ja miten ne toimivat koko niiden käyttöiän ajan, jotta voidaan mahdollistaa näiden järjestelmien jäljitettävyys sekä niiden toiminnan ja markkinoille saattamisen jälkeinen seuranta. Tämä edellyttää, että tiedot säilytetään ja että saatavilla on tekninen dokumentaatio, joka sisältää tiedot, joita tarvitaan sen arvioimiseksi, onko tekoälyjärjestelmä asiaankuuluvien vaatimusten mukainen, ja markkinoille saattamisen jälkeisen seurannan helpottamiseksi. Tällaisiin tietoihin olisi sisällyttävä järjestelmän yleiset ominaisuudet, valmiudet ja rajoitukset, algoritmit, data, koulutus, testaus- ja validointiprosessit sekä sovellettua riskinhallintajärjestelmää koskevat asiakirjat, ja ne olisi laadittava selkeässä ja ymmärrettävässä muodossa. Tekninen dokumentaatio olisi pidettävä asianmukaisesti ajan tasalla tekoälyjärjestelmän koko käyttöiän ajan. Lisäksi suuririskisissä tekoälyjärjestelmissä olisi mahdollistettava teknisesti tapahtumien automaattinen tallentaminen lokitietojen muodossa järjestelmän käyttöiän keston ajan.

(72)

To address concerns related to opacity and complexity of certain AI systems and help deployers to fulfil their obligations under this Regulation, transparency should be required for high-risk AI systems before they are placed on the market or put it into service. High-risk AI systems should be designed in a manner to enable deployers to understand how the AI system works, evaluate its functionality, and comprehend its strengths and limitations. High-risk AI systems should be accompanied by appropriate information in the form of instructions of use. Such information should include the characteristics, capabilities and limitations of performance of the AI system. Those would cover information on possible known and foreseeable circumstances related to the use of the high-risk AI system, including deployer action that may influence system behaviour and performance, under which the AI system can lead to risks to health, safety, and fundamental rights, on the changes that have been pre-determined and assessed for conformity by the provider and on the relevant human oversight measures, including the measures to facilitate the interpretation of the outputs of the AI system by the deployers. Transparency, including the accompanying instructions for use, should assist deployers in the use of the system and support informed decision making by them. Deployers should, inter alia, be in a better position to make the correct choice of the system that they intend to use in light of the obligations applicable to them, be educated about the intended and precluded uses, and use the AI system correctly and as appropriate. In order to enhance legibility and accessibility of the information included in the instructions of use, where appropriate, illustrative examples, for instance on the limitations and on the intended and precluded uses of the AI system, should be included. Providers should ensure that all documentation, including the instructions for use, contains meaningful, comprehensive, accessible and understandable information, taking into account the needs and foreseeable knowledge of the target deployers. Instructions for use should be made available in a language which can be easily understood by target deployers, as determined by the Member State concerned.

(72)

Jotta voidaan puuttua tiettyjen tekoälyjärjestelmien läpinäkymättömyyteen ja monimutkaisuuteen liittyviin huolenaiheisiin ja auttaa käyttöönottajia täyttämään tämän asetuksen mukaiset velvoitteensa, suuririskisiltä tekoälyjärjestelmiltä olisi edellytettävä avoimuutta, ennen kuin ne saatetaan markkinoille tai otetaan käyttöön. Suuririskiset tekoälyjärjestelmät olisi suunniteltava siten, että käyttöönottajat voivat ymmärtää, miten tekoälyjärjestelmä toimii, arvioida sen toimivuutta ja ymmärtää sen vahvuuksia ja rajoituksia. Suuririskisten tekoälyjärjestelmien mukana olisi oltava asianmukaiset tiedot käyttöohjeiden muodossa. Tällaisiin tietoihin olisi sisällyttävä tekoälyjärjestelmän ominaisuudet, valmiudet ja suorituskyvyn rajoitukset. Nämä kattaisivat tiedot mahdollisista suuririskisen tekoälyjärjestelmän käyttöön liittyvistä tunnetuista ja ennakoitavissa olevista olosuhteista, mukaan lukien käyttöönottajan toiminta, joka voi vaikuttaa järjestelmän käyttäytymiseen ja suorituskykyyn, jolloin tekoälyjärjestelmä voi aiheuttaa terveyteen, turvallisuuteen ja perusoikeuksiin kohdistuvia riskejä; muutoksista, jotka tarjoaja on ennalta määrittänyt ja joiden vaatimustenmukaisuuden se on arvioinut; sekä asiaankuuluvista ihmisen suorittamista valvontatoimenpiteistä, mukaan lukien toimenpiteet, joilla helpotetaan tekoälyjärjestelmän tuotosten tulkintaa käyttöönottajille. Avoimuuden, myös mukana olevien käyttöohjeiden, olisi avustettava käyttöönottajia järjestelmän käytössä ja tuettava heitä tietoon perustuvassa päätöksenteossa. Käyttöönottajilla olisi muun muassa oltava paremmat mahdollisuudet valita, ottaen huomioon niihin sovellettavat velvoitteet, oikea järjestelmä, jota he aikovat käyttää, saada tietoa käyttötarkoituksesta tai käytön esteistä sekä käyttää tekoälyjärjestelmää oikein ja tarpeen mukaan. Käyttöohjeisiin olisi tarvittaessa sisällytettävä havainnollistavia esimerkkejä esimerkiksi tekoälyjärjestelmän rajoituksista sekä käyttötarkoituksesta ja käytön esteistä, jotta voidaan parantaa niihin sisältyvien tietojen luettavuutta ja saatavuutta. Tarjoajien olisi varmistettava, että kaikki asiakirjat, myös käyttöohjeet, sisältävät merkityksellisiä, kattavia, helposti saatavilla olevia ja ymmärrettäviä tietoja, joissa otetaan huomioon kohteena olevien käyttöönottajien tarpeet ja ennakoitavissa oleva tietämys. Käyttöohjeet olisi asetettava saataville kohteena olevien käyttöönottajien helposti ymmärtämällä, asianomaisen jäsenvaltion määräämällä kielellä.

(73)

High-risk AI systems should be designed and developed in such a way that natural persons can oversee their functioning, ensure that they are used as intended and that their impacts are addressed over the system’s lifecycle. To that end, appropriate human oversight measures should be identified by the provider of the system before its placing on the market or putting into service. In particular, where appropriate, such measures should guarantee that the system is subject to in-built operational constraints that cannot be overridden by the system itself and is responsive to the human operator, and that the natural persons to whom human oversight has been assigned have the necessary competence, training and authority to carry out that role. It is also essential, as appropriate, to ensure that high-risk AI systems include mechanisms to guide and inform a natural person to whom human oversight has been assigned to make informed decisions if, when and how to intervene in order to avoid negative consequences or risks, or stop the system if it does not perform as intended. Considering the significant consequences for persons in the case of an incorrect match by certain biometric identification systems, it is appropriate to provide for an enhanced human oversight requirement for those systems so that no action or decision may be taken by the deployer on the basis of the identification resulting from the system unless this has been separately verified and confirmed by at least two natural persons. Those persons could be from one or more entities and include the person operating or using the system. This requirement should not pose unnecessary burden or delays and it could be sufficient that the separate verifications by the different persons are automatically recorded in the logs generated by the system. Given the specificities of the areas of law enforcement, migration, border control and asylum, this requirement should not apply where Union or national law considers the application of that requirement to be disproportionate.

(73)

Suuririskiset tekoälyjärjestelmät olisi suunniteltava ja kehitettävä siten, että luonnolliset henkilöt voivat valvoa niiden toimintaa, varmistaa niiden käytön tarkoitetulla tavalla ja että niiden vaikutuksia käsitellään koko järjestelmän elinkaaren ajan. Tätä varten järjestelmän tarjoajan olisi määritettävä asianmukaiset ihmisen suorittamat valvontatoimenpiteet ennen järjestelmän markkinoille saattamista tai käyttöönottoa. Tällaisilla toimenpiteillä olisi tarvittaessa erityisesti varmistettava, että järjestelmässä on sisäänrakennettuja toiminnallisia rajoituksia, joita järjestelmä ei voi itse ohittaa ja jotka vastaavat ihmiskäyttäjän komentoihin, ja että luonnollisilla henkilöillä, joiden tehtäväksi ihmisen suorittama valvonta on annettu, on tarvittava pätevyys, koulutus ja valtuudet tämän tehtävän hoitamiseksi. On myös olennaisen tärkeää tarpeen mukaan varmistaa, että suuririskiset tekoälyjärjestelmät sisältävät mekanismeja, joilla annetaan ohjausta ja tietoa luonnolliselle henkilölle, jonka tehtäväksi ihmisen suorittama valvonta on annettu jotta hän voi tehdä tietoon perustuvia päätöksiä siitä, milloin ja millä keinoin asiaan on puututtava, jos ollenkaan, jotta voidaan välttää kielteiset seuraukset tai riskit taikka pysäyttää järjestelmä, jos se ei toimi tarkoitetulla tavalla. Ottaen huomioon tiettyjen biometristen tunnistusjärjestelmien virheellisestä tuloksesta henkilöille aiheutuvat merkittävät seuraukset, on asianmukaista säätää tehostettua ihmisen suorittamaa valvontaa koskevasta vaatimuksesta näiden järjestelmien osalta siten, että käyttöönottaja ei voi suorittaa toimea tai tehdä päätöstä järjestelmästä johtuvan tunnistamisen perusteella, ellei vähintään kaksi luonnollista henkilöä ole erikseen varmistanut ja vahvistanut sitä. Nämä henkilöt voivat olla yhdestä tai useammasta toimijasta ja heihin voi sisältyä järjestelmää hoitava tai käyttävä henkilö. Tämä vaatimus ei saisi aiheuttaa tarpeetonta rasitetta tai viiveitä, ja voi olla riittävää, että eri henkilöiden suorittamat erilliset varmistukset tallennetaan automaattisesti järjestelmän tuottamiin lokitietoihin. Kun otetaan huomioon lainvalvontaan, muuttoliikkeeseen, rajavalvontaan ja turvapaikka-asioihin liittyvät erityispiirteet, tätä vaatimusta ei pitäisi soveltaa, jos unionin oikeudessa tai kansallisessa lainsäädännössä katsotaan, että kyseisen vaatimuksen soveltaminen on suhteetonta.

(74)

High-risk AI systems should perform consistently throughout their lifecycle and meet an appropriate level of accuracy, robustness and cybersecurity, in light of their intended purpose and in accordance with the generally acknowledged state of the art. The Commission and relevant organisations and stakeholders are encouraged to take due consideration of the mitigation of risks and the negative impacts of the AI system. The expected level of performance metrics should be declared in the accompanying instructions of use. Providers are urged to communicate that information to deployers in a clear and easily understandable way, free of misunderstandings or misleading statements. Union law on legal metrology, including Directives 2014/31/EU (35) and 2014/32/EU (36) of the European Parliament and of the Council, aims to ensure the accuracy of measurements and to help the transparency and fairness of commercial transactions. In that context, in cooperation with relevant stakeholders and organisation, such as metrology and benchmarking authorities, the Commission should encourage, as appropriate, the development of benchmarks and measurement methodologies for AI systems. In doing so, the Commission should take note and collaborate with international partners working on metrology and relevant measurement indicators relating to AI.

(74)

Suuririskisten tekoälyjärjestelmien olisi toimittava johdonmukaisesti koko elinkaarensa ajan ja saavutettava asianmukainen tarkkuuden, vakauden ja kyberturvallisuuden taso niiden käyttötarkoitus huomioon ottaen ja yleisesti tunnustetun alan viimeisimmän kehityksen mukaisesti. Komissiota sekä asiaankuuluvia järjestöjä ja sidosryhmiä kehotetaan ottamaan asianmukaisesti huomioon tekoälyjärjestelmien aiheuttamien riskien ja negatiivisten vaikutusten vähentäminen. Suorituskykymittareiden odotettu taso olisi ilmoitettava liitteenä olevissa käyttöohjeissa. Tarjoajia kehotetaan välittämään nämä tiedot käyttöönottajille selkeällä ja helposti ymmärrettävällä tavalla, joka ei aiheuta väärinymmärryksiä tai sisällä harhaanjohtavia lausuntoja. Lakisääteistä mittaustoimintaa koskevalla unionin oikeudella, mukaan lukien Euroopan parlamentin ja neuvoston direktiivit 2014/31/EU (35) ja 2014/32/EU (36), pyritään varmistamaan mittausten tarkkuus ja edistämään avoimuutta ja oikeudenmukaisuutta liiketoimissa. Tässä yhteydessä komission olisi tarpeen mukaan edistettävä vertailuarvojen ja mittausmenetelmien kehittämistä tekoälyjärjestelmiä varten yhteistyössä asiaankuuluvien sidosryhmien ja järjestöjen, kuten metrologia- ja vertailuanalyysiviranomaisten, kanssa. Näin toimiessaan komission olisi pantava merkille tekoälyyn liittyvät metrologiaa ja asiaankuuluvia mittausindikaattoreita käsittelevät kansainväliset kumppanit ja tehtävä yhteistyötä niiden kanssa.

(75)

Technical robustness is a key requirement for high-risk AI systems. They should be resilient in relation to harmful or otherwise undesirable behaviour that may result from limitations within the systems or the environment in which the systems operate (e.g. errors, faults, inconsistencies, unexpected situations). Therefore, technical and organisational measures should be taken to ensure robustness of high-risk AI systems, for example by designing and developing appropriate technical solutions to prevent or minimise harmful or otherwise undesirable behaviour. Those technical solution may include for instance mechanisms enabling the system to safely interrupt its operation (fail-safe plans) in the presence of certain anomalies or when operation takes place outside certain predetermined boundaries. Failure to protect against these risks could lead to safety impacts or negatively affect the fundamental rights, for example due to erroneous decisions or wrong or biased outputs generated by the AI system.

(75)

Tekninen vakaus on yksi suuririskisten tekoälyjärjestelmien keskeinen vaatimus. Niiden olisi oltava kestäviä sellaisen haitallisen tai muuten ei-toivotun käyttäytymisen varalta, joka saattaa aiheutua järjestelmien sisäisistä rajoituksista tai järjestelmien toimintaympäristöstä (esimerkiksi virheet, viat, epäjohdonmukaisuudet tai odottamattomat tilanteet). Sen vuoksi olisi toteutettava teknisiä ja organisatorisia toimenpiteitä suuririskisten tekoälyjärjestelmien vakauden varmistamiseksi esimerkiksi suunnittelemalla ja kehittämällä asianmukaisia teknisiä ratkaisuja haitallisen tai muuten ei-toivotun käyttäytymisen estämiseksi tai minimoimiseksi. Näihin teknisiin ratkaisuihin voi sisältyä esimerkiksi mekanismeja, joiden avulla järjestelmä voi turvallisesti keskeyttää toimintansa (vikavarmistussuunnitelmat) tiettyjen poikkeavuuksien esiintyessä tai kun toiminta tapahtuu tiettyjen ennalta määritettyjen rajojen ulkopuolella. Se, ettei näiltä riskeiltä suojauduta, voi johtaa turvallisuusvaikutuksiin tai vaikuttaa kielteisesti perusoikeuksiin esimerkiksi virheellisten päätösten tai tekoälyjärjestelmän tuottamien väärien tai puolueellisten tulosten vuoksi.

(76)

Cybersecurity plays a crucial role in ensuring that AI systems are resilient against attempts to alter their use, behaviour, performance or compromise their security properties by malicious third parties exploiting the system’s vulnerabilities. Cyberattacks against AI systems can leverage AI specific assets, such as training data sets (e.g. data poisoning) or trained models (e.g. adversarial attacks or membership inference), or exploit vulnerabilities in the AI system’s digital assets or the underlying ICT infrastructure. To ensure a level of cybersecurity appropriate to the risks, suitable measures, such as security controls, should therefore be taken by the providers of high-risk AI systems, also taking into account as appropriate the underlying ICT infrastructure.

(76)

Kyberturvallisuudella on ratkaiseva merkitys varmistettaessa, että tekoälyjärjestelmät kestävät järjestelmän haavoittuvuuksia hyödyntävien vihamielisten kolmansien osapuolten yritykset muuttaa niiden käyttöä, käyttäytymistä tai suorituskykyä tai vaarantaa niiden turvallisuusominaisuudet. Tekoälyjärjestelmiin kohdistuvissa kyberhyökkäyksissä voidaan käyttää hyväksi tekoälyyn liittyviä resursseja, kuten koulutusdatajoukkoja (esim. datamyrkytys) tai koulutettuja malleja (esim. adversariaaliset hyökkäykset tai joukkoon kuulumiseen perustuva päättely), tai hyödyntää tekoälyjärjestelmän digitaalisten resurssien tai taustalla olevan tieto- ja viestintätekniikkainfrastruktuurin haavoittuvuuksia. Jotta voidaan varmistaa riskeihin nähden asianmukainen kyberturvallisuuden taso, suuririskisten tekoälyjärjestelmien tarjoajien olisi toteutettava asianmukaisia toimenpiteitä, kuten turvatarkastuksia, ottaen tarvittaessa huomioon myös taustalla oleva tieto- ja viestintätekniikkainfrastruktuuri.

(77)

Without prejudice to the requirements related to robustness and accuracy set out in this Regulation, high-risk AI systems which fall within the scope of a regulation of the European Parliament and of the Council on horizontal cybersecurity requirements for products with digital elements, in accordance with that regulation may demonstrate compliance with the cybersecurity requirements of this Regulation by fulfilling the essential cybersecurity requirements set out in that regulation. When high-risk AI systems fulfil the essential requirements of a regulation of the European Parliament and of the Council on horizontal cybersecurity requirements for products with digital elements, they should be deemed compliant with the cybersecurity requirements set out in this Regulation in so far as the achievement of those requirements is demonstrated in the EU declaration of conformity or parts thereof issued under that regulation. To that end, the assessment of the cybersecurity risks, associated to a product with digital elements classified as high-risk AI system according to this Regulation, carried out under a regulation of the European Parliament and of the Council on horizontal cybersecurity requirements for products with digital elements, should consider risks to the cyber resilience of an AI system as regards attempts by unauthorised third parties to alter its use, behaviour or performance, including AI specific vulnerabilities such as data poisoning or adversarial attacks, as well as, as relevant, risks to fundamental rights as required by this Regulation.

(77)

Suuririskiset tekoälyjärjestelmät, jotka kuuluvat digitaalisia elementtejä sisältävien tuotteiden horisontaalisia kyberturvavaatimuksista annettavan Euroopan parlamentin ja neuvoston asetuksen soveltamisalaan, voivat kyseisen asetuksen mukaisesti osoittaa tässä asetuksessa säädettyjen kyberturvavaatimusten noudattamisen noudattamalla kyseisessä asetuksessa säädettyjä olennaisia kyberturvavaatimuksia, sanotun kuitenkaan rajoittamatta tässä asetuksessa säädettyjen vakautta ja tarkkuutta koskevien vaatimusten soveltamista. Kun suuririskiset tekoälyjärjestelmät täyttävät digitaalisia elementtejä sisältävien tuotteiden horisontaalisia kyberturvavaatimuksista annettavassa asetuksessa säädetyt olennaiset vaatimukset, niiden olisi katsottava olevan tässä asetuksessa säädettyjen kyberturvavaatimusten mukaisia siltä osin kuin kyseisten vaatimusten noudattaminen on osoitettu EU-vaatimustenmukaisuusvakuutuksella tai sen osilla, jotka on myönnetty kyseisen asetuksen nojalla. Sen vuoksi digitaalisia elementtejä sisältävien tuotteiden horisontaalisia kyberturvavaatimuksista annettavan asetuksen nojalla tehtävässä kyberturvallisuusriskien arvioinnissa, joka koskee tässä asetuksessa tarkoitettua digitaalisia elementtejä sisältävää suuririskistä tekoälyjärjestelmää, olisi otettava huomioon tekoälyjärjestelmän kyberresilienssiin kohdistuvat riskit, jotka liittyvät luvattomien kolmansien osapuolten pyrkimyksiin muuttaa sen käyttöä, käyttäytymistä tai suorituskykyä, mukaan lukien tekoälyyn liittyvät erityiset haavoittuvuudet, kuten datamyrkytys tai adversariaaliset hyökkäykset, sekä tapauksen mukaan tässä asetuksessa edellytettyihin perusoikeuksiin kohdistuvat riskit.

(78)

The conformity assessment procedure provided by this Regulation should apply in relation to the essential cybersecurity requirements of a product with digital elements covered by a regulation of the European Parliament and of the Council on horizontal cybersecurity requirements for products with digital elements and classified as a high-risk AI system under this Regulation. However, this rule should not result in reducing the necessary level of assurance for critical products with digital elements covered by a regulation of the European Parliament and of the Council on horizontal cybersecurity requirements for products with digital elements. Therefore, by way of derogation from this rule, high-risk AI systems that fall within the scope of this Regulation and are also qualified as important and critical products with digital elements pursuant to a regulation of the European Parliament and of the Council on horizontal cybersecurity requirements for products with digital elements and to which the conformity assessment procedure based on internal control set out in an annex to this Regulation applies, are subject to the conformity assessment provisions of a regulation of the European Parliament and of the Council on horizontal cybersecurity requirements for products with digital elements insofar as the essential cybersecurity requirements of that regulation are concerned. In this case, for all the other aspects covered by this Regulation the respective provisions on conformity assessment based on internal control set out in an annex to this Regulation should apply. Building on the knowledge and expertise of ENISA on the cybersecurity policy and tasks assigned to ENISA under the Regulation (EU) 2019/881 of the European Parliament and of the Council (37), the Commission should cooperate with ENISA on issues related to cybersecurity of AI systems.

(78)

Tässä asetuksessa säädettyä vaatimustenmukaisuuden arviointimenettelyä olisi sovellettava digitaalisia elementtejä sisältävien tuotteiden horisontaalisia kyberturvavaatimuksista annettavan asetuksen soveltamisalaan kuuluvan ja tämän asetuksen nojalla digitaalisia elementtejä sisältävän suuririskiseksi tekoälyjärjestelmäksi luokitellun tuotteen olennaisiin kyberturvallisuusvaatimuksiin. Tämä pääsääntö ei kuitenkaan saisi johtaa digitaalisia elementtejä sisältävien tuotteiden horisontaalisia kyberturvavaatimuksista annettavan asetuksen soveltamisalaan kuuluvien digitaalisia elementtejä sisältävien kriittisten tuotteiden tarvittavan varmuustason alenemiseen. Tästä säännöstä poiketen suuririskisiin tekoälyjärjestelmiin, jotka kuuluvat tämän asetuksen soveltamisalaan ja joita myös pidetään digitaalisia elementtejä sisältävien tuotteiden horisontaalisia kyberturvavaatimuksista annettavan asetuksen nojalla tärkeinä ja kriittisinä digitaalisia elementtejä sisältävinä tuotteina ja joihin sovelletaan tämän asetuksen liitteessä vahvistettua sisäiseen valvontaan perustuvaa vaatimustenmukaisuuden arviointimenettelyä, sovelletaan digitaalisia elementtejä sisältävien tuotteiden horisontaalisia kyberturvavaatimuksista annettavassa asetuksessa säädettyjä vaatimustenmukaisuuden arviointia koskevia säännöksiä kyseisen asetuksen olennaisten kyberturvallisuusvaatimusten osalta. Tällaisessa tapauksessa kaikkiin muihin tämän asetuksen soveltamisalaan kuuluviin näkökohtiin olisi sovellettava tämän asetuksen liitteessä vahvistettuja asiaankuuluvia säännöksiä, jotka koskevat sisäiseen valvontaan perustuvaa vaatimustenmukaisuuden arviointia. Komission olisi tehtävä yhteistyötä ENISAn kanssa tekoälyjärjestelmien kyberturvallisuuteen liittyvissä kysymyksissä ENISAn kyberturvallisuuspolitiikkaa koskevan tietämyksen ja asiantuntemuksen ja sille Euroopan parlamentin ja neuvoston asetuksen (EU) 2019/881 (37) nojalla osoitettujen tehtävien pohjalta.

(79)

It is appropriate that a specific natural or legal person, defined as the provider, takes responsibility for the placing on the market or the putting into service of a high-risk AI system, regardless of whether that natural or legal person is the person who designed or developed the system.

(79)

On asianmukaista, että tietty tarjoajaksi määritelty luonnollinen tai oikeushenkilö ottaa vastuun suuririskisen tekoälyjärjestelmän markkinoille saattamisesta tai käyttöönotosta riippumatta siitä, onko kyseinen luonnollinen henkilö tai oikeushenkilö järjestelmän suunnittelija tai kehittäjä.

(80)

As signatories to the United Nations Convention on the Rights of Persons with Disabilities, the Union and the Member States are legally obliged to protect persons with disabilities from discrimination and promote their equality, to ensure that persons with disabilities have access, on an equal basis with others, to information and communications technologies and systems, and to ensure respect for privacy for persons with disabilities. Given the growing importance and use of AI systems, the application of universal design principles to all new technologies and services should ensure full and equal access for everyone potentially affected by or using AI technologies, including persons with disabilities, in a way that takes full account of their inherent dignity and diversity. It is therefore essential that providers ensure full compliance with accessibility requirements, including Directive (EU) 2016/2102 of the European Parliament and of the Council (38) and Directive (EU) 2019/882. Providers should ensure compliance with these requirements by design. Therefore, the necessary measures should be integrated as much as possible into the design of the high-risk AI system.

(80)

Vammaisten henkilöiden oikeuksia koskevan Yhdistyneiden kansakuntien yleissopimuksen allekirjoittajina unioni ja jäsenvaltiot ovat oikeudellisesti velvoitettuja suojelemaan vammaisia henkilöitä syrjinnältä ja edistämään heidän yhdenvertaisuuttaan, varmistamaan, että vammaiset henkilöt voivat käyttää tieto- ja viestintäteknologiaa ja -järjestelmiä yhdenvertaisesti muiden kanssa, ja varmistamaan vammaisten henkilöiden yksityisyyden kunnioittamisen. Koska tekoälyjärjestelmät ovat yhä tärkeämpiä ja niitä käytetään yhä enemmän, yleismaailmallisten suunnitteluperiaatteiden soveltamisella kaikkiin uusiin teknologioihin ja palveluihin olisi varmistettava kaikille, joihin tekoälyteknologia mahdollisesti vaikuttaa tai jotka käyttävät sitä, myös vammaisille henkilöille, täysimääräinen ja tasapuolinen mahdollisuus käyttää niitä tavalla, jossa otetaan kaikilta osin huomioon heidän ihmisarvonsa ja monimuotoisuutensa. Sen vuoksi on olennaisen tärkeää, että tarjoajat varmistavat esteettömyysvaatimusten, kuten Euroopan parlamentin ja neuvoston direktiivin (EU) 2016/2102 (38) ja direktiivin (EU) 2019/882, täysimääräisen noudattamisen. Tarjoajien olisi varmistettava, että näitä vaatimuksia noudatetaan sisäänrakennetusti. Sen vuoksi tarvittavat toimenpiteet olisi sisällytettävä mahdollisuuksien mukaan suuririskisen tekoälyjärjestelmän suunnitteluun.

(81)

The provider should establish a sound quality management system, ensure the accomplishment of the required conformity assessment procedure, draw up the relevant documentation and establish a robust post-market monitoring system. Providers of high-risk AI systems that are subject to obligations regarding quality management systems under relevant sectoral Union law should have the possibility to include the elements of the quality management system provided for in this Regulation as part of the existing quality management system provided for in that other sectoral Union law. The complementarity between this Regulation and existing sectoral Union law should also be taken into account in future standardisation activities or guidance adopted by the Commission. Public authorities which put into service high-risk AI systems for their own use may adopt and implement the rules for the quality management system as part of the quality management system adopted at a national or regional level, as appropriate, taking into account the specificities of the sector and the competences and organisation of the public authority concerned.

(81)

Tarjoajan olisi perustettava luotettava laadunhallintajärjestelmä, varmistettava vaaditun vaatimustenmukaisuuden arviointimenettelyn suorittaminen, laadittava asiaa koskeva dokumentaatio ja perustettava vankka markkinoille saattamisen jälkeinen seurantajärjestelmä. Niillä suuririskisten tekoälyjärjestelmien tarjoajilla, joihin sovelletaan asiaankuuluvan alakohtaisen unionin oikeuden mukaisia laadunhallintajärjestelmiä koskevia velvoitteita, olisi oltava mahdollisuus sisällyttää tässä asetuksessa säädetyn laadunhallintajärjestelmän osatekijät osaksi kyseisen muun alakohtaisen unionin oikeuden mukaista nykyistä laadunhallintajärjestelmää. Tämän asetuksen ja voimassa olevan alakohtaisen unionin oikeuden välinen täydentävyys olisi otettava huomioon myös tulevissa standardointitoimissa tai komission hyväksymissä ohjeissa. Viranomaiset, jotka ottavat suuririskisiä tekoälyjärjestelmiä omaan käyttöönsä, voivat tarvittaessa hyväksyä ja panna täytäntöön laadunhallintajärjestelmää koskevat säännöt osana kansallisella tai alueellisella tasolla hyväksyttyä laadunhallintajärjestelmää ottaen huomioon alan erityispiirteet ja asianomaisen viranomaisen toimivallan ja organisaation.

(82)

To enable enforcement of this Regulation and create a level playing field for operators, and, taking into account the different forms of making available of digital products, it is important to ensure that, under all circumstances, a person established in the Union can provide authorities with all the necessary information on the compliance of an AI system. Therefore, prior to making their AI systems available in the Union, providers established in third countries should, by written mandate, appoint an authorised representative established in the Union. This authorised representative plays a pivotal role in ensuring the compliance of the high-risk AI systems placed on the market or put into service in the Union by those providers who are not established in the Union and in serving as their contact person established in the Union.

(82)

Tämän asetuksen täytäntöönpanon mahdollistamiseksi ja tasapuolisten toimintaedellytysten luomiseksi toimijoille ja ottaen huomioon digitaalisten tuotteiden saataville asettamisen eri muodot on tärkeää varmistaa, että unioniin sijoittautunut henkilö voi kaikissa olosuhteissa antaa viranomaisille kaikki tarvittavat tiedot tekoälyjärjestelmän vaatimustenmukaisuudesta. Siksi kolmansiin maihin sijoittautuneiden tarjoajien olisi ennen tekoälyjärjestelmiensä asettamista saataville unionin markkinoilla nimettävä kirjallisella toimeksiannolla unioniin sijoittautunut valtuutettu edustaja. Tällä valtuutetulla edustajalla on olennaisen tärkeä rooli sen varmistamisessa, että näiden unioniin sijoittumattomien tarjoajien unionissa markkinoille saattamat tai käyttöön ottamat suuririskiset tekoälyjärjestelmät ovat vaatimusten mukaisia, ja toimimisessa näiden tarjoajien unioniin sijoittautuneena yhteyshenkilönä.

(83)

In light of the nature and complexity of the value chain for AI systems and in line with the New Legislative Framework, it is essential to ensure legal certainty and facilitate the compliance with this Regulation. Therefore, it is necessary to clarify the role and the specific obligations of relevant operators along that value chain, such as importers and distributors who may contribute to the development of AI systems. In certain situations those operators could act in more than one role at the same time and should therefore fulfil cumulatively all relevant obligations associated with those roles. For example, an operator could act as a distributor and an importer at the same time.

(83)

Ottaen huomioon tekoälyjärjestelmien arvoketjun luonne ja monimutkaisuus sekä uuden lainsäädäntökehyksen noudattaminen on olennaisen tärkeää varmistaa oikeusvarmuus ja helpottaa tämän asetuksen noudattamista. Sen vuoksi on tarpeen selventää kyseisen arvoketjun kaikissa vaiheissa asiaankuuluvien toimijoiden, kuten maahantuojien ja jakelijoiden, roolia ja erityisvelvoitteita, jotka voivat edistää tekoälyjärjestelmien kehittämistä. Tietyissä tilanteissa nämä toimijat voisivat toimia useammassa kuin yhdessä roolissa samanaikaisesti, joten niiden olisi täytettävä kumulatiivisesti kaikki kyseisiin rooleihin liittyvät asiaankuuluvat velvoitteet. Esimerkiksi toimija voisi toimia jakelijana ja maahantuojana samanaikaisesti.

(84)

To ensure legal certainty, it is necessary to clarify that, under certain specific conditions, any distributor, importer, deployer or other third-party should be considered to be a provider of a high-risk AI system and therefore assume all the relevant obligations. This would be the case if that party puts its name or trademark on a high-risk AI system already placed on the market or put into service, without prejudice to contractual arrangements stipulating that the obligations are allocated otherwise. This would also be the case if that party makes a substantial modification to a high-risk AI system that has already been placed on the market or has already been put into service in a way that it remains a high-risk AI system in accordance with this Regulation, or if it modifies the intended purpose of an AI system, including a general-purpose AI system, which has not been classified as high-risk and has already been placed on the market or put into service, in a way that the AI system becomes a high-risk AI system in accordance with this Regulation. Those provisions should apply without prejudice to more specific provisions established in certain Union harmonisation legislation based on the New Legislative Framework, together with which this Regulation should apply. For example, Article 16(2) of Regulation (EU) 2017/745, establishing that certain changes should not be considered to be modifications of a device that could affect its compliance with the applicable requirements, should continue to apply to high-risk AI systems that are medical devices within the meaning of that Regulation.

(84)

Oikeusvarmuuden takaamiseksi on tarpeen selventää, että tietyissä erityisolosuhteissa minkä tahansa jakelijan, maahantuojan, käyttöönottajan tai muun kolmannen osapuolen olisi katsottava olevan suuririskisen tekoälyjärjestelmän tarjoaja, jonka olisi näin ollen vastattava kaikista asiaankuuluvista velvoitteista. Näin katsotaan olevan, jos kyseinen osapuoli laittaa nimensä tai tavaramerkkinsä jo markkinoille saatettuun tai käyttöön otettuun suuririskiseen tekoälyjärjestelmään, sanotun kuitenkaan rajoittamatta sopimusjärjestelyjä, joissa määrätään velvoitteiden jakamisesta muulla tavoin. Näin olisi myös silloin, jos kyseinen osapuoli tekee merkittävän muutoksen jo markkinoille saatettuun tai käyttöön otettuun suuririskiseen tekoälyjärjestelmään siten, että se pysyy suuririskisenä tekoälyjärjestelmänä tämän asetuksen mukaisesti, tai jos se muuttaa sellaisen tekoälyjärjestelmän, myös yleiskäyttöisen tekoälyjärjestelmän, käyttötarkoitusta, jota ei ole luokiteltu suuririskiseksi ja joka on jo saatettu markkinoille tai otettu käyttöön siten, että tekoälyjärjestelmästä tulee suuririskinen tekoälyjärjestelmä tämän asetuksen mukaisesti. Kyseisiä säännöksiä olisi sovellettava rajoittamatta uuteen lainsäädäntökehykseen perustuvassa tietyssä unionin yhdenmukaistamislainsäädännössä vahvistettuja yksityiskohtaisempia säännöksiä, joiden kanssa tätä asetusta olisi sovellettava. Esimerkiksi asetuksen (EU) 2017/745 16 artiklan 2 kohtaa, jonka mukaan tiettyjä muutoksia ei olisi katsottava laitteen muutoksiksi, jotka voisivat vaikuttaa sen vaatimustenmukaisuuteen, olisi edelleen sovellettava suuririskisiin tekoälyjärjestelmiin, jotka ovat kyseisessä asetuksessa tarkoitettuja lääkinnällisiä laitteita.

(85)

General-purpose AI systems may be used as high-risk AI systems by themselves or be components of other high-risk AI systems. Therefore, due to their particular nature and in order to ensure a fair sharing of responsibilities along the AI value chain, the providers of such systems should, irrespective of whether they may be used as high-risk AI systems as such by other providers or as components of high-risk AI systems and unless provided otherwise under this Regulation, closely cooperate with the providers of the relevant high-risk AI systems to enable their compliance with the relevant obligations under this Regulation and with the competent authorities established under this Regulation.

(85)

Yleiskäyttöisiä tekoälyjärjestelmiä voidaan käyttää suuririskisinä tekoälyjärjestelminä itsessään tai ne voivat olla muiden suuririskisten tekoälyjärjestelmien komponentteja. Näin ollen niiden erityisen luonteen vuoksi ja jotta voidaan varmistaa vastuiden oikeudenmukainen jakautuminen tekoälyn arvoketjussa, tällaisten järjestelmien tarjoajien, riippumatta siitä, voivatko muut tarjoajat käyttää näitä järjestelmiä suuririskisinä tekoälyjärjestelminä sellaisinaan tai suuririskisten tekoälyjärjestelmien komponentteina, ja jollei tässä asetuksessa toisin säädetä, olisi tehtävä tiivistä yhteistyötä asiaankuuluvien suuririskisten tekoälyjärjestelmien tarjoajien kanssa, jotta voidaan varmistaa, että niiden osalta noudatetaan tämän asetuksen mukaisia asiaankuuluvia velvoitteita, ja tämän asetuksen nojalla perustettujen toimivaltaisten viranomaisten kanssa.

(86)

Where, under the conditions laid down in this Regulation, the provider that initially placed the AI system on the market or put it into service should no longer be considered to be the provider for the purposes of this Regulation, and when that provider has not expressly excluded the change of the AI system into a high-risk AI system, the former provider should nonetheless closely cooperate and make available the necessary information and provide the reasonably expected technical access and other assistance that are required for the fulfilment of the obligations set out in this Regulation, in particular regarding the compliance with the conformity assessment of high-risk AI systems.

(86)

Jos tässä asetuksessa säädetyin edellytyksin tarjoajaa, joka alun perin saattoi tekoälyjärjestelmän markkinoille tai otti sen käyttöön, ei olisi enää pidettävä tätä asetusta sovellettaessa tarjoajana ja jos kyseinen tarjoaja ei ole nimenomaisesti sulkenut pois tekoälyjärjestelmän muuttamista suuririskiseksi tekoälyjärjestelmäksi, aiemman tarjoajan olisi kuitenkin tehtävä tiivistä yhteistyötä ja asetettava saataville tarvittavat tiedot sekä tarjottava kohtuudella odotettavissa oleva tekninen pääsy ja muuta apua, joita tarvitaan tässä asetuksessa säädettyjen velvoitteiden täyttämiseksi, erityisesti suuririskisten tekoälyjärjestelmien vaatimustenmukaisuuden arvioinnin noudattamisen osalta.

(87)

In addition, where a high-risk AI system that is a safety component of a product which falls within the scope of Union harmonisation legislation based on the New Legislative Framework is not placed on the market or put into service independently from the product, the product manufacturer defined in that legislation should comply with the obligations of the provider established in this Regulation and should, in particular, ensure that the AI system embedded in the final product complies with the requirements of this Regulation.

(87)

Jos suuririskistä tekoälyjärjestelmää, joka on sellaisen tuotteen turvakomponentti, joka kuuluu uuteen lainsäädäntökehykseen perustuvaan unionin yhdenmukaistamislainsäädännön soveltamisalaan, ei saateta markkinoille tai oteta käyttöön tuotteesta erillään, kyseisessä lainsäädännössä määritellyn tuotteen valmistajan olisi lisäksi noudatettava tässä asetuksessa vahvistettuja tarjoajan velvollisuuksia ja erityisesti varmistettava, että lopputuotteeseen sulautettu tekoälyjärjestelmä on tämän asetuksen vaatimusten mukainen.

(88)

Along the AI value chain multiple parties often supply AI systems, tools and services but also components or processes that are incorporated by the provider into the AI system with various objectives, including the model training, model retraining, model testing and evaluation, integration into software, or other aspects of model development. Those parties have an important role to play in the value chain towards the provider of the high-risk AI system into which their AI systems, tools, services, components or processes are integrated, and should provide by written agreement this provider with the necessary information, capabilities, technical access and other assistance based on the generally acknowledged state of the art, in order to enable the provider to fully comply with the obligations set out in this Regulation, without compromising their own intellectual property rights or trade secrets.

(88)

Tekoälyn arvoketjussa usein useat osapuolet toimittavat tekoälyjärjestelmiä, välineitä ja palveluja mutta myös komponentteja tai prosesseja, jotka tarjoaja sisällyttää tekoälyjärjestelmään ja joilla on useita tavoitteita, mukaan lukien mallien kouluttaminen ja uudelleenkouluttaminen, mallien testaus ja arviointi, integrointi ohjelmistoihin tai muut mallien kehittämisen näkökohdat. Kyseisillä osapuolilla on tärkeä rooli arvoketjussa suhteessa sellaisen suuririskisen tekoälyjärjestelmän tarjoajaan, johon niiden tekoälyjärjestelmät, välineet, palvelut, komponentit tai prosessit on integroitu, ja niiden olisi kirjallisella sopimuksella annettava tälle tarjoajalle yleisesti tunnustettuun viimeisimpään kehitykseen perustuvat tarvittavat tiedot, valmiudet, tekninen pääsy ja muu apu, jotta tarjoaja voi noudattaa täysimääräisesti tässä asetuksessa säädettyjä velvoitteita vaarantamatta omia teollis- ja tekijänoikeuksiaan tai liikesalaisuuksiaan.

(89)

Third parties making accessible to the public tools, services, processes, or AI components other than general-purpose AI models, should not be mandated to comply with requirements targeting the responsibilities along the AI value chain, in particular towards the provider that has used or integrated them, when those tools, services, processes, or AI components are made accessible under a free and open-source licence. Developers of free and open-source tools, services, processes, or AI components other than general-purpose AI models should be encouraged to implement widely adopted documentation practices, such as model cards and data sheets, as a way to accelerate information sharing along the AI value chain, allowing the promotion of trustworthy AI systems in the Union.

(89)

Kolmansia osapuolia, jotka asettavat saataville julkisia välineitä, palveluja, prosesseja tai muita tekoälykomponentteja kuin yleiskäyttöinen tekoälymalli, ei saisi velvoittaa, erityisesti niitä käyttäneeseen tai integroineeseen tarjoajaan nähden, noudattamaan vastuita tekoälyn arvoketjussa koskevia vaatimuksia, kun kyseiset välineet, palvelut, prosessit tai tekoälykomponentit asetetaan saataville vapaalla ja avoimen lähdekoodin lisenssillä. Vapaiden ja avoimen lähdekoodin välineiden, palveluiden, prosessien ja muiden tekoälykomponenttien kuin yleiskäyttöisten tekoälymallien kehittäjiä olisi kuitenkin kannustettava noudattamaan dokumentoinnin laajalti hyväksyttyjä käytänteitä, kuten mallikortteja ja tiedotteita, jotta voidaan nopeuttaa tiedon jakamista tekoälyn arvoketjussa ja edistää luotettavia tekoälyjärjestelmiä unionissa.

(90)

The Commission could develop and recommend voluntary model contractual terms between providers of high-risk AI systems and third parties that supply tools, services, components or processes that are used or integrated in high-risk AI systems, to facilitate the cooperation along the value chain. When developing voluntary model contractual terms, the Commission should also take into account possible contractual requirements applicable in specific sectors or business cases.

(90)

Komissio voisi laatia ja suositella vapaaehtoisia mallisopimusehtoja suuririskisten tekoälyjärjestelmien tarjoajien ja sellaisten kolmansien osapuolten välisiä sopimuksia varten, jotka toimittavat välineitä, palveluja, komponentteja tai prosesseja, joita käytetään suuririskisissä tekoälyjärjestelmissä tai integroidaan niihin, yhteistyön helpottamiseksi kaikissa arvoketjun vaiheissa. Laatiessaan ei-sitovia mallisopimusehtoja komission olisi myös otettava huomioon tietyillä aloilla tai tietyissä liiketoimintamalleissa mahdollisesti sovellettavat sopimusperusteiset vaatimukset.

(91)

Given the nature of AI systems and the risks to safety and fundamental rights possibly associated with their use, including as regards the need to ensure proper monitoring of the performance of an AI system in a real-life setting, it is appropriate to set specific responsibilities for deployers. Deployers should in particular take appropriate technical and organisational measures to ensure they use high-risk AI systems in accordance with the instructions of use and certain other obligations should be provided for with regard to monitoring of the functioning of the AI systems and with regard to record-keeping, as appropriate. Furthermore, deployers should ensure that the persons assigned to implement the instructions for use and human oversight as set out in this Regulation have the necessary competence, in particular an adequate level of AI literacy, training and authority to properly fulfil those tasks. Those obligations should be without prejudice to other deployer obligations in relation to high-risk AI systems under Union or national law.

(91)

Kun otetaan huomioon tekoälyjärjestelmien luonne ja niiden käyttöön mahdollisesti liittyvät turvallisuuteen ja perusoikeuksiin kohdistuvat riskit, mukaan lukien tarve varmistaa tekoälyjärjestelmän suorituskyvyn asianmukainen seuranta todellisissa olosuhteissa, on asianmukaista asettaa käyttöönottajille erityisiä vastuita. Käyttöönottajien olisi erityisesti toteutettava teknisiä ja organisatorisia toimenpiteitä, joilla varmistetaan, että ne käyttävät suuririskisiä tekoälyjärjestelmiä käyttöohjeiden mukaisesti, ja tarvittaessa olisi säädettävä tietyistä muista tekoälyjärjestelmien toiminnan seurantaa ja tietojen säilyttämistä koskevista velvoitteista. Lisäksi käyttöönottajien olisi varmistettava, että henkilöillä, joiden tehtäväksi on annettu tässä asetuksessa vahvistettujen käyttöohjeiden ja ihmisen suorittaman valvonnan täytäntöönpano, on tarvittava pätevyys, erityisesti riittävä tekoälylukutaito, koulutus ja valtuudet näiden tehtävien hoitamiseksi asianmukaisesti. Kyseiset velvoitteet eivät saisi vaikuttaa muihin käyttöönottajan velvoitteisiin, jotka liittyvät suuririskisiin tekoälyjärjestelmiin unionin oikeuden tai kansallisen lainsäädännön mukaisesti.

(92)

This Regulation is without prejudice to obligations for employers to inform or to inform and consult workers or their representatives under Union or national law and practice, including Directive 2002/14/EC of the European Parliament and of the Council (39), on decisions to put into service or use AI systems. It remains necessary to ensure information of workers and their representatives on the planned deployment of high-risk AI systems at the workplace where the conditions for those information or information and consultation obligations in other legal instruments are not fulfilled. Moreover, such information right is ancillary and necessary to the objective of protecting fundamental rights that underlies this Regulation. Therefore, an information requirement to that effect should be laid down in this Regulation, without affecting any existing rights of workers.

(92)

Tämä asetus ei vaikuta unionin oikeuden tai kansallisen lainsäädännön, mukaan lukien Euroopan parlamentin ja neuvoston direktiivi 2002/14/EY (39), ja käytännön mukaisiin työnantajien velvollisuuksiin tiedottaa työntekijöille tai heidän edustajilleen ja kuulla heitä tekoälyjärjestelmien käyttöönottoa tai käyttöä koskevista päätöksistä. On silti edelleen tarpeellista varmistaa, että työntekijöille ja heidän edustajilleen tiedotetaan suuririskisten tekoälyjärjestelmien suunnitellusta käyttöönotosta työpaikalla, jos kyseisten tiedotus- ja kuulemisvelvoitteiden edellytykset muissa oikeudellisissa välineissä eivät täyty. Lisäksi tällainen tiedonsaantioikeus on tarpeellinen tämän asetuksen taustalla olevalle perusoikeuksien suojelua koskevalle tavoitteelle ja sen sivutavoite. Sen vuoksi tässä asetuksessa olisi säädettävä kyseistä asiaa koskevasta tietovaatimuksesta, joka ei vaikuta työntekijöiden olemassa oleviin oikeuksiin.

(93)

Whilst risks related to AI systems can result from the way such systems are designed, risks can as well stem from how such AI systems are used. Deployers of high-risk AI system therefore play a critical role in ensuring that fundamental rights are protected, complementing the obligations of the provider when developing the AI system. Deployers are best placed to understand how the high-risk AI system will be used concretely and can therefore identify potential significant risks that were not foreseen in the development phase, due to a more precise knowledge of the context of use, the persons or groups of persons likely to be affected, including vulnerable groups. Deployers of high-risk AI systems listed in an annex to this Regulation also play a critical role in informing natural persons and should, when they make decisions or assist in making decisions related to natural persons, where applicable, inform the natural persons that they are subject to the use of the high-risk AI system. This information should include the intended purpose and the type of decisions it makes. The deployer should also inform the natural persons about their right to an explanation provided under this Regulation. With regard to high-risk AI systems used for law enforcement purposes, that obligation should be implemented in accordance with Article 13 of Directive (EU) 2016/680.

(93)

Vaikka tekoälyjärjestelmiin liittyvät riskit voivat olla seurausta tavasta, jolla tällaiset järjestelmät suunnitellaan, riskit voivat myös johtua siitä, miten tällaisia tekoälyjärjestelmiä käytetään. Suuririskisen tekoälyjärjestelmän käyttöönottajilla on siksi ratkaiseva rooli sen varmistamisessa, että perusoikeuksia suojellaan ja että ne täydentävät tarjoajan velvoitteita, kun tekoälyjärjestelmää kehitetään. Käyttöönottajilla on parhaat mahdollisuudet ymmärtää, miten suuririskistä tekoälyjärjestelmää käytetään konkreettisesti, ja näin ollen he voivat tunnistaa mahdollisia merkittäviä riskejä, joita ei ollut ennakoitu kehitysvaiheessa, koska he tuntevat tarkemmin käyttöyhteyden, henkilöt tai henkilöryhmät, mukaan lukien haavoittuvat asemassa olevat ryhmät, joihin vaikutukset todennäköisesti kohdistuvat. Tämän asetuksen liitteessä lueteltujen suuririskisten tekoälyjärjestelmien käyttöönottajilla on myös ratkaiseva rooli tietojen antamisessa luonnollisille henkilöille ja heidän olisi tapauksen mukaan ilmoitettava luonnollisille henkilöille heihin liittyvästä suuririskisen tekoälyjärjestelmän käytöstä, kun he tekevät tai auttavat tekemään luonnollisia henkilöitä koskevia päätöksiä. Näihin tietoihin olisi sisällyttävä tekoälyjärjestelmän käyttötarkoitus ja sen tekemien päätösten tyyppi. Käyttöönottajan olisi myös ilmoitettava luonnollisille henkilöille heidän oikeudestaan saada selitys tämän artiklan mukaisesti. Lainvalvontatarkoituksiin käytettävien suuririskisten tekoälyjärjestelmien osalta kyseinen velvoite olisi pantava täytäntöön direktiivin (EU) 2016/680 13 artiklan mukaisesti.

(94)

Any processing of biometric data involved in the use of AI systems for biometric identification for the purpose of law enforcement needs to comply with Article 10 of Directive (EU) 2016/680, that allows such processing only where strictly necessary, subject to appropriate safeguards for the rights and freedoms of the data subject, and where authorised by Union or Member State law. Such use, when authorised, also needs to respect the principles laid down in Article 4 (1) of Directive (EU) 2016/680 including lawfulness, fairness and transparency, purpose limitation, accuracy and storage limitation.

(94)

Kaikessa lainvalvontatarpeita varten tehtävän tekoälyjärjestelmien biometrista tunnistamista koskevan käytön yhteydessä biometristen tietojen käsittelyssä on noudatettava direktiivin (EU) 2016/680 10 artiklaa, joka sallii tällaisen käsittelyn vain, jos se on ehdottoman välttämätöntä, edellyttäen, että rekisteröidyn oikeuksiin ja vapauksiin sovelletaan asianmukaisia suojatoimia ja käsittely sallitaan unionin oikeudessa tai jäsenvaltion lainsäädännössä. Tällaisen käytön yhteydessä, silloin kun siihen on lupa, on myös noudatettava direktiivin (EU) 2016/680 4 artiklan 1 kohdassa säädettyjä periaatteita, kuten lainmukaisuutta, oikeudenmukaisuutta ja avoimuutta, käyttötarkoituksen rajoittamista, tarkkuutta ja säilytystä koskevia rajoituksia.

(95)

Without prejudice to applicable Union law, in particular Regulation (EU) 2016/679 and Directive (EU) 2016/680, considering the intrusive nature of post-remote biometric identification systems, the use of post-remote biometric identification systems should be subject to safeguards. Post-remote biometric identification systems should always be used in a way that is proportionate, legitimate and strictly necessary, and thus targeted, in terms of the individuals to be identified, the location, temporal scope and based on a closed data set of legally acquired video footage. In any case, post-remote biometric identification systems should not be used in the framework of law enforcement to lead to indiscriminate surveillance. The conditions for post-remote biometric identification should in any case not provide a basis to circumvent the conditions of the prohibition and strict exceptions for real time remote biometric identification.

(95)

Kun otetaan huomioon jälkikäteisten biometristen etätunnistusjärjestelmien yksityisyyttä loukkaava luonne, jälkikäteisten etätunnistusjärjestelmien käyttöön olisi sovellettava suojatoimia, sanotun kuitenkaan rajoittamatta sovellettavan unionin oikeuden, erityisesti asetuksen (EU) 2016/679 ja direktiivin (EU) 2016/680, soveltamista. Biometrisiä etätunnistusjärjestelmiä olisi aina käytettävä tavalla, joka on oikeasuhteinen, oikeutettu ja ehdottoman välttämätön ja siten kohdennettu tunnistettaviin henkilöihin, sijaintiin ja ajalliseen laajuuteen, ja perustuttava laillisesti hankitun videokuvan suljettuun datajoukkoon. Jälkikäteisiä biometrisiä etätunnistusjärjestelmiä ei saisi missään tapauksessa käyttää lainvalvonnan puitteissa siten, että se voi johtaa mielivaltaiseen valvontaan. Jälkikäteisen biometrisen etätunnistuksen edellytysten ei pitäisi missään tapauksessa olla peruste kiellon edellytysten ja reaaliaikaista biometristä etätunnistusta koskevien tiukkojen poikkeusten kiertämiselle.

(96)

In order to efficiently ensure that fundamental rights are protected, deployers of high-risk AI systems that are bodies governed by public law, or private entities providing public services and deployers of certain high-risk AI systems listed in an annex to this Regulation, such as banking or insurance entities, should carry out a fundamental rights impact assessment prior to putting it into use. Services important for individuals that are of public nature may also be provided by private entities. Private entities providing such public services are linked to tasks in the public interest such as in the areas of education, healthcare, social services, housing, administration of justice. The aim of the fundamental rights impact assessment is for the deployer to identify the specific risks to the rights of individuals or groups of individuals likely to be affected, identify measures to be taken in the case of a materialisation of those risks. The impact assessment should be performed prior to deploying the high-risk AI system, and should be updated when the deployer considers that any of the relevant factors have changed. The impact assessment should identify the deployer’s relevant processes in which the high-risk AI system will be used in line with its intended purpose, and should include a description of the period of time and frequency in which the system is intended to be used as well as of specific categories of natural persons and groups who are likely to be affected in the specific context of use. The assessment should also include the identification of specific risks of harm likely to have an impact on the fundamental rights of those persons or groups. While performing this assessment, the deployer should take into account information relevant to a proper assessment of the impact, including but not limited to the information given by the provider of the high-risk AI system in the instructions for use. In light of the risks identified, deployers should determine measures to be taken in the case of a materialisation of those risks, including for example governance arrangements in that specific context of use, such as arrangements for human oversight according to the instructions of use or, complaint handling and redress procedures, as they could be instrumental in mitigating risks to fundamental rights in concrete use-cases. After performing that impact assessment, the deployer should notify the relevant market surveillance authority. Where appropriate, to collect relevant information necessary to perform the impact assessment, deployers of high-risk AI system, in particular when AI systems are used in the public sector, could involve relevant stakeholders, including the representatives of groups of persons likely to be affected by the AI system, independent experts, and civil society organisations in conducting such impact assessments and designing measures to be taken in the case of materialisation of the risks. The European Artificial Intelligence Office (AI Office) should develop a template for a questionnaire in order to facilitate compliance and reduce the administrative burden for deployers.

(96)

Jotta voidaan varmistaa tehokkaasti perusoikeuksien suojelu, suuririskisten tekoälyjärjestelmien käyttöönottajien, jotka ovat julkisoikeudellisia laitoksia tai julkisia palveluja tarjoavia yksityisiä tahoja ja tiettyjä tämän asetuksen liitteessä lueteltuja suuririskisiä tekoälyjärjestelmiä käyttöön ottavia toimijoita, kuten pankkiyhteisöt tai vakuutusyhtiöt, olisi tehtävä perusoikeuksia koskeva vaikutustenarviointi ennen järjestelmän käyttöönottoa. Myös yksityiset tahot voivat tarjota henkilöille tärkeitä palveluja, jotka ovat luonteeltaan julkisia. Tällaisia julkisia palveluja tarjoavat yksityiset tahot liittyvät yleisen edun mukaisiin tehtäviin, kuten koulutukseen, terveydenhuoltoon, sosiaalipalveluihin, asumiseen ja oikeudenkäyttöön. Perusoikeuksia koskevan vaikutustenarvioinnin tavoitteena on, että käyttöönottaja tunnistaa niiden yksilöiden tai henkilöryhmien oikeuksiin kohdistuvat erityiset riskit, joihin vaikutukset todennäköisesti kohdistuvat, ja määrittää toimenpiteet, jotka on toteutettava tällaisten riskien toteutuessa. Vaikutustenarviointi olisi tehtävä ennen suuririskisen tekoälyjärjestelmän käyttöönottoa, ja sitä olisi päivitettävä, kun käyttöönottaja katsoo, että jokin asiaankuuluvista tekijöistä on muuttunut. Vaikutustenarvioinnissa olisi yksilöitävä käyttöönottajan asiaankuuluvat prosessit, joissa suuririskistä tekoälyjärjestelmää käytetään sen käyttötarkoituksen mukaisesti, ja siihen olisi sisällyttävä kuvaus ajanjaksosta, jolloin järjestelmää on tarkoitus käyttää, ja käytön tiheydestä, sekä tietyistä luonnollisten henkilöiden ja ryhmien joukoista, joihin todennäköisesti kohdistuu vaikutuksia tietyssä käyttöyhteydessä.Arvioinnissa olisi myös tunnistettava sellaiset erityiset riskit, joita aiheutuu haitasta, joka todennäköisesti vaikuttaa kyseisten henkilöiden tai ryhmien perusoikeuksiin. Tätä arviointia tehdessään käyttöönottajan olisi otettava huomioon vaikutusten asianmukaisen arvioinnin kannalta merkitykselliset tiedot, kuten esimerkiksi suuririskisen tekoälyjärjestelmän tarjoajan käyttöohjeissa antamat tiedot. Kun otetaan huomioon tunnistetut riskit, käyttöönottajien olisi määritettävä toimenpiteitä, joita on toteutettava kyseisten riskien toteutuessa ja joihin voi kuulua esimerkiksi kyseisen käyttöyhteyden hallintojärjestelyt, kuten ihmisen suorittamaa valvontaa koskevat järjestelyt käyttöohjeiden mukaisesti tai valitusten käsittely ja muutoksenhakumenettelyt, koska ne voisivat konkreettisissa käyttötapauksissa olla keskeisessä asemassa perusoikeuksiin kohdistuvien riskien vähentämisessä. Kun tällainen vaikutustenarviointi tehty, käyttöönottajan olisi ilmoitettava asiasta asianomaiselle markkinavalvontaviranomaiselle. Jotta voidaan kerätä tarvittavat asiaankuuluvat tiedot vaikutustenarvioinnin toteuttamiseksi, suuririskisten tekoälyjärjestelmien käyttöönottajat voisivat ottaa asiaankuuluvat sidosryhmät, mukaan lukien sellaisten henkilöryhmien edustajat, joihin tekoälyjärjestelmä todennäköisesti vaikuttaa, riippumattomat asiantuntijat ja kansalaisjärjestöt, mukaan tällaisen vaikutustenarvioinnin toteuttamiseen sekä riskien toteutuessa toteutettavien toimenpiteiden suunnitteluun, etenkin jos tekoälyjärjestelmiä käytetään julkisella sektorilla. Euroopan tekoälytoimiston, jäljempänä ”tekoälytoimisto”, olisi laadittava malli kyselylomakkeelle vaatimusten noudattamisen helpottamiseksi ja käyttöönottajille aiheutuvan hallinnollisen rasitteen keventämiseksi.

(97)

The notion of general-purpose AI models should be clearly defined and set apart from the notion of AI systems to enable legal certainty. The definition should be based on the key functional characteristics of a general-purpose AI model, in particular the generality and the capability to competently perform a wide range of distinct tasks. These models are typically trained on large amounts of data, through various methods, such as self-supervised, unsupervised or reinforcement learning. General-purpose AI models may be placed on the market in various ways, including through libraries, application programming interfaces (APIs), as direct download, or as physical copy. These models may be further modified or fine-tuned into new models. Although AI models are essential components of AI systems, they do not constitute AI systems on their own. AI models require the addition of further components, such as for example a user interface, to become AI systems. AI models are typically integrated into and form part of AI systems. This Regulation provides specific rules for general-purpose AI models and for general-purpose AI models that pose systemic risks, which should apply also when these models are integrated or form part of an AI system. It should be understood that the obligations for the providers of general-purpose AI models should apply once the general-purpose AI models are placed on the market. When the provider of a general-purpose AI model integrates an own model into its own AI system that is made available on the market or put into service, that model should be considered to be placed on the market and, therefore, the obligations in this Regulation for models should continue to apply in addition to those for AI systems. The obligations laid down for models should in any case not apply when an own model is used for purely internal processes that are not essential for providing a product or a service to third parties and the rights of natural persons are not affected. Considering their potential significantly negative effects, the general-purpose AI models with systemic risk should always be subject to the relevant obligations under this Regulation. The definition should not cover AI models used before their placing on the market for the sole purpose of research, development and prototyping activities. This is without prejudice to the obligation to comply with this Regulation when, following such activities, a model is placed on the market.

(97)

Yleiskäyttöisten tekoälymallien käsite olisi määriteltävä selkeästi ja erotettava tekoälyjärjestelmien käsitteestä oikeusvarmuuden takaamiseksi. Määritelmän olisi perustuttava yleiskäyttöisen tekoälymallin keskeisiin toiminnallisiin ominaisuuksiin, erityisesti yleisyyteen ja valmiuteen suorittaa pätevästi monenlaisia erillisiä tehtäviä. Näitä malleja koulutetaan yleensä suurilla määrillä dataa ja useilla eri menetelmillä, kuten ohjatulla, ohjaamattomalla tai vahvistavalla oppimisella. Yleiskäyttöisiä tekoälymalleja voidaan saattaa markkinoille eri tavoin, esimerkiksi kirjastojen ja sovellusrajapintojen (API) kautta sekä suoralatauksena tai fyysisenä kopiona. Näitä malleja voidaan edelleen muuttaa tai hienosäätää uusiksi malleiksi. Vaikka tekoälymallit ovat tekoälyjärjestelmien olennaisia osia, ne eivät yksinään muodosta tekoälyjärjestelmiä. Tekoälyjärjestelmät edellyttävät lisäkomponenttien, kuten käyttöliittymän, lisäämistä tekoälymalleihin. Tekoälymallit tyypillisesti integroidaan tekoälyjärjestelmiin ja ovat osa niitä. Tässä asetuksessa vahvistetaan yleiskäyttöisiä tekoälymalleja ja systeemisiä riskejä aiheuttavia yleiskäyttöisiä tekoälymalleja koskevat erityiset säännöt, joita olisi sovellettava myös silloin, kun nämä mallit on integroitu tekoälyjärjestelmään tai ne ovat osa sitä. Olisi katsottava, että yleiskäyttöisten tekoälymallien tarjoajien velvoitteita olisi sovellettava siitä alkaen, kun yleiskäyttöiset tekoälymallit on saatettu markkinoille.Kun yleiskäyttöisen tekoälymallin tarjoaja sisällyttää oman mallin omaan tekoälyjärjestelmäänsä, joka on asetettu saataville markkinoilla tai otettu käyttöön, kyseistä mallia olisi pidettävä markkinoille saatettuna, ja sen vuoksi tämän asetuksen malleja koskevia velvoitteita olisi edelleen sovellettava tekoälyjärjestelmiä koskevien velvoitteiden lisäksi. Malleja koskevia velvoitteita ei kuitenkaan pitäisi missään tapauksessa soveltaa, kun omaa mallia käytetään puhtaasti sisäisissä prosesseissa, jotka eivät ole välttämättömiä tuotteen tai palvelun tarjoamiseksi kolmansille osapuolille eivätkä ne vaikuta luonnollisten henkilöiden oikeuksiin. Ottaen huomioon yleiskäyttöisten tekoälymallien, joihin liittyy systeeminen riski, mahdolliset merkittävät kielteiset vaikutukset, niihin olisi aina sovellettava tämän asetuksen mukaisia asiaankuuluvia velvoitteita. Määritelmän ei pitäisi kattaa tekoälymalleja, joita on käytetty yksinomaan tutkimukseen, kehitykseen ja prototyyppeihin liittyvään toimintaan ennen niiden markkinoille saattamista. Tämä ei vaikuta velvoitteeseen noudattaa tätä asetusta, kun malli saatetaan markkinoille tällaisten toimien jälkeen.

(98)

Whereas the generality of a model could, inter alia, also be determined by a number of parameters, models with at least a billion of parameters and trained with a large amount of data using self-supervision at scale should be considered to display significant generality and to competently perform a wide range of distinctive tasks.

(98)

Vaikka mallin yleisyys voitaisiin muiden kriteerien ohella määrittää myös useiden parametrien perusteella, olisi katsottava, että mallit, joissa parametreja on vähintään miljardi, jotka on koulutettu suurella määrällä dataa ja joissa käytetään laajamittaista itsevalvontaa, ovat hyvin yleisluonteisia ja suorittavat pätevästi monenlaisia erillisiä tehtäviä.

(99)

Large generative AI models are a typical example for a general-purpose AI model, given that they allow for flexible generation of content, such as in the form of text, audio, images or video, that can readily accommodate a wide range of distinctive tasks.

(99)

Suuret generatiiviset tekoälymallit ovat tyypillinen esimerkki yleiskäyttöisestä tekoälymallista, koska ne mahdollistavat joustavan sisällön tuottamisen, esimerkiksi tekstin, äänen, kuvien tai videoiden muodossa, jossa voidaan helposti ottaa huomioon monenlaiset erilliset tehtävät.

(100)

When a general-purpose AI model is integrated into or forms part of an AI system, this system should be considered to be general-purpose AI system when, due to this integration, this system has the capability to serve a variety of purposes. A general-purpose AI system can be used directly, or it may be integrated into other AI systems.

(100)

Kun yleiskäyttöinen tekoälymalli on integroitu tekoälyjärjestelmään tai se on osa sitä, järjestelmää olisi pidettävä yleiskäyttöisenä tekoälyjärjestelmänä, koska tällaisen integroinnin vuoksi tällaisella järjestelmällä on valmiudet palvella erilaisia tarkoituksia. Yleiskäyttöistä tekoälyjärjestelmää voidaan käyttää suoraan tai se voidaan integroida muihin tekoälyjärjestelmiin;

(101)

Providers of general-purpose AI models have a particular role and responsibility along the AI value chain, as the models they provide may form the basis for a range of downstream systems, often provided by downstream providers that necessitate a good understanding of the models and their capabilities, both to enable the integration of such models into their products, and to fulfil their obligations under this or other regulations. Therefore, proportionate transparency measures should be laid down, including the drawing up and keeping up to date of documentation, and the provision of information on the general-purpose AI model for its usage by the downstream providers. Technical documentation should be prepared and kept up to date by the general-purpose AI model provider for the purpose of making it available, upon request, to the AI Office and the national competent authorities. The minimal set of elements to be included in such documentation should be set out in specific annexes to this Regulation. The Commission should be empowered to amend those annexes by means of delegated acts in light of evolving technological developments.

(101)

Yleiskäyttöisten tekoälymallien tarjoajilla on erityinen rooli ja vastuu tekoälyn arvoketjussa, koska niiden tarjoamat mallit voivat muodostaa perustan useille ketjun loppupään järjestelmille, joita tarjoavat usein ketjun loppupään tarjoajat, jotka edellyttävät mallien ja niiden valmiuksien hyvää ymmärtämistä, jotta tällaiset mallit voidaan integroida niiden tuotteisiin ja jotta ne voivat täyttää tämän tai muiden asetusten mukaiset velvoitteensa. Sen vuoksi olisi vahvistettava oikeasuhteiset avoimuuden lisäämistä koskevat toimenpiteet, mukaan lukien asiakirjojen laatiminen ja ajan tasalla pitäminen sekä tietojen antaminen yleiskäyttöisestä tekoälymallista ketjun loppupään tarjoajien käyttöön. Yleiskäyttöisen tekoälymallin tarjoajan olisi laadittava tekniset asiakirjat ja pidettävä ne ajan tasalla, jotta ne voidaan pyynnöstä asettaa tekoälytoimiston ja kansallisten toimivaltaisten viranomaisten saataville. Tällaisiin asiakirjoihin sisällytettävät vähimmäistiedot olisi vahvistettava tämän asetuksen erityisissä liitteissä. Komissiolle olisi siirrettävä valta muuttaa kyseisiä liitteitä delegoiduilla säädöksillä teknologian kehityksen perusteella.

(102)

Software and data, including models, released under a free and open-source licence that allows them to be openly shared and where users can freely access, use, modify and redistribute them or modified versions thereof, can contribute to research and innovation in the market and can provide significant growth opportunities for the Union economy. General-purpose AI models released under free and open-source licences should be considered to ensure high levels of transparency and openness if their parameters, including the weights, the information on the model architecture, and the information on model usage are made publicly available. The licence should be considered to be free and open-source also when it allows users to run, copy, distribute, study, change and improve software and data, including models under the condition that the original provider of the model is credited, the identical or comparable terms of distribution are respected.

(102)

Ohjelmistot ja data, mukaan lukien mallit, jotka on julkaistu vapaalla ja avoimen lähdekoodin lisenssillä, joka mahdollistaa niiden avoimen jakamisen ja jolla käyttäjät voivat vapaasti saada, käyttää, muokata ja jakaa niitä tai niiden muutettuja versioita, voivat edistää tutkimusta ja innovointia markkinoilla ja voivat tarjota merkittäviä kasvumahdollisuuksia unionin taloudelle. Vapailla ja avoimen lähdekoodin lisensseillä julkaistujen yleiskäyttöisten tekoälymallien olisi katsottava varmistavan korkean avoimuuden tason, jos niiden parametrit, mukaan lukien painokertoimet, malliarkkitehtuuria koskevat tiedot ja mallien käyttöä koskevat tiedot, asetetaan julkisesti saataville. Lisenssi olisi pidettävä vapaana ja avoimena lähdekoodina myös silloin, kun se antaa käyttäjille mahdollisuuden käyttää, kopioida, jakaa, tutkia, muuttaa ja parantaa ohjelmistoja ja dataa, mukaan lukien malleja sillä edellytyksellä, että mallin alkuperäinen tarjoaja mainitaan ja että samoja tai vertailukelpoisia jakeluehtoja noudatetaan.

(103)

Free and open-source AI components covers the software and data, including models and general-purpose AI models, tools, services or processes of an AI system. Free and open-source AI components can be provided through different channels, including their development on open repositories. For the purposes of this Regulation, AI components that are provided against a price or otherwise monetised, including through the provision of technical support or other services, including through a software platform, related to the AI component, or the use of personal data for reasons other than exclusively for improving the security, compatibility or interoperability of the software, with the exception of transactions between microenterprises, should not benefit from the exceptions provided to free and open-source AI components. The fact of making AI components available through open repositories should not, in itself, constitute a monetisation.

(103)

Vapaat ja avoimen lähdekoodin tekoälykomponentit kattavat ohjelmistot ja datan, mukaan lukien tekoälyjärjestelmän mallit ja yleiskäyttöiset tekoälymallit, välineet, palvelut tai prosessit. Vapaita ja avoimen lähdekoodin tekoälykomponentteja voidaan tarjota eri kanavien kautta, mukaan lukien niiden kehittäminen avoimissa julkaisuarkistoissa. Tätä asetusta sovellettaessa tekoälykomponenttien, joita tarjotaan maksua vastaan tai muilla tavoin vastikkeellisina, muun muassa tarjoamalla tekoälykomponenttiin liittyvää teknistä tukea tai muita palveluja, myös ohjelmistoalustan kautta, tai käyttämällä henkilötietoja muista kuin yksinomaan ohjelmiston turvallisuuden, yhteensopivuuden tai yhteentoimivuuden parantamiseen liittyvistä syistä, lukuun ottamatta mikroyritysten välisiä kaupallisia toimia, ei pitäisi hyötyä vapaille ja avoimen lähdekoodin tekoälykomponenteille säädetyistä poikkeuksista. Sen, että tekoälykomponentit asetetaan saataville avoimien julkaisuarkistojen kautta, ei sinänsä pitäisi merkitä vastikkeellisuutta.

(104)

The providers of general-purpose AI models that are released under a free and open-source licence, and whose parameters, including the weights, the information on the model architecture, and the information on model usage, are made publicly available should be subject to exceptions as regards the transparency-related requirements imposed on general-purpose AI models, unless they can be considered to present a systemic risk, in which case the circumstance that the model is transparent and accompanied by an open-source license should not be considered to be a sufficient reason to exclude compliance with the obligations under this Regulation. In any case, given that the release of general-purpose AI models under free and open-source licence does not necessarily reveal substantial information on the data set used for the training or fine-tuning of the model and on how compliance of copyright law was thereby ensured, the exception provided for general-purpose AI models from compliance with the transparency-related requirements should not concern the obligation to produce a summary about the content used for model training and the obligation to put in place a policy to comply with Union copyright law, in particular to identify and comply with the reservation of rights pursuant to Article 4(3) of Directive (EU) 2019/790 of the European Parliament and of the Council (40).

(104)

Tarjoajiin, jotka tarjoavat vapaalla ja avoimen lähdekoodin lisenssillä yleiskäyttöisiä tekoälymalleja, joiden parametrit, mukaan lukien painokertoimet sekä malliarkkitehtuuria ja mallin käyttöä koskevat tiedot, asetetaan julkisesti saataville, olisi sovellettava poikkeuksia, jotka koskevat yleiskäyttöisille tekoälymalleille asetettuja avoimuusvaatimuksia, paitsi jos niiden voidaan katsoa aiheuttavan systeemisen riskin, jolloin sitä, että malli on avoin ja siihen liittyy avoimen lähdekoodin lisenssi, ei pitäisi katsoa riittäväksi syyksi olla noudattamatta tämän asetuksen mukaisia velvoitteita. Koska yleiskäyttöisten tekoälymallien käyttöönotto vapaan ja avoimen lähdekoodin lisenssin nojalla ei välttämättä paljasta olennaisia tietoja mallin kouluttamiseen tai hienosäätöön käytetystä datajoukosta ja siitä, miten tekijänoikeuslainsäädännön noudattaminen on varmistettu, yleiskäyttöisiä tekoälymalleja koskeva poikkeus avoimuusvaatimusten noudattamisesta ei saisi missään tapauksessa koskea velvoitetta laatia tiivistelmä mallikoulutuksessa käytetystä sisällöstä ja velvoitetta ottaa käyttöön toimintaperiaatteet unionin tekijänoikeuslainsäädännön noudattamiseksi ja erityisesti oikeuksien pidättämisen tunnistamiseksi ja noudattamiseksi Euroopan parlamentin ja neuvoston direktiivin (EU) 2019/790 (40) 4 artiklan 3 kohdan mukaisesti.

(105)

General-purpose AI models, in particular large generative AI models, capable of generating text, images, and other content, present unique innovation opportunities but also challenges to artists, authors, and other creators and the way their creative content is created, distributed, used and consumed. The development and training of such models require access to vast amounts of text, images, videos and other data. Text and data mining techniques may be used extensively in this context for the retrieval and analysis of such content, which may be protected by copyright and related rights. Any use of copyright protected content requires the authorisation of the rightsholder concerned unless relevant copyright exceptions and limitations apply. Directive (EU) 2019/790 introduced exceptions and limitations allowing reproductions and extractions of works or other subject matter, for the purpose of text and data mining, under certain conditions. Under these rules, rightsholders may choose to reserve their rights over their works or other subject matter to prevent text and data mining, unless this is done for the purposes of scientific research. Where the rights to opt out has been expressly reserved in an appropriate manner, providers of general-purpose AI models need to obtain an authorisation from rightsholders if they want to carry out text and data mining over such works.

(105)

Yleiskäyttöiset tekoälymallit, erityisesti suuret generatiiviset tekoälymallit, jotka pystyvät tuottamaan tekstiä, kuvia ja muuta sisältöä, tarjoavat ainutlaatuisia innovointimahdollisuuksia mutta myös haasteita taiteilijoille, kirjailijoille ja muille luovan sisällön tekijöille sekä sille, miten heidän luovaa sisältöään luodaan, levitetään, käytetään ja kulutetaan. Tällaisten mallien kehittäminen ja kouluttaminen edellyttää valtavia määriä tekstiä, kuvia, videoita ja muuta dataa. Tekstin- ja tiedonlouhintatekniikoita voidaan tässä yhteydessä käyttää laajasti tällaisen tekijänoikeudella ja lähioikeuksilla suojatun sisällön hakemiseen ja analysointiin. Tekijänoikeudella suojatun sisällön käyttö edellyttää asianomaisen oikeudenhaltijan lupaa, paitsi jos sovelletaan asiaankuuluvia tekijänoikeutta koskevia poikkeuksia ja -rajoituksia. Direktiivillä (EU) 2019/790 otettiin käyttöön poikkeuksia ja rajoituksia, jotka sallivat tietyin edellytyksin kappaleenvalmistamisen ja otteiden ottamisen teoksista tai muusta aineistosta tekstin- ja tiedonlouhintaa varten. Näiden sääntöjen mukaan oikeudenhaltijat voivat päättää varata itselleen oikeudet teoksiinsa tai muuhun aineistoonsa tekstin- ja tiedonlouhinnan estämiseksi, ellei tätä tehdä tieteellistä tutkimusta varten. Jos nämä oikeudet on nimenomaisesti ja asianmukaisesti varattu, yleiskäyttöisten tekoälymallien tarjoajien on saatava oikeudenhaltijoilta lupa, jos ne haluavat toteuttaa tällaisia teoksia koskevan tekstin- ja tiedonlouhinnan.

(106)

Providers that place general-purpose AI models on the Union market should ensure compliance with the relevant obligations in this Regulation. To that end, providers of general-purpose AI models should put in place a policy to comply with Union law on copyright and related rights, in particular to identify and comply with the reservation of rights expressed by rightsholders pursuant to Article 4(3) of Directive (EU) 2019/790. Any provider placing a general-purpose AI model on the Union market should comply with this obligation, regardless of the jurisdiction in which the copyright-relevant acts underpinning the training of those general-purpose AI models take place. This is necessary to ensure a level playing field among providers of general-purpose AI models where no provider should be able to gain a competitive advantage in the Union market by applying lower copyright standards than those provided in the Union.

(106)

Tarjoajien, jotka saattavat yleiskäyttöisiä tekoälymalleja unionin markkinoille, olisi varmistettava tässä asetuksessa säädettyjen asiaankuuluvien velvoitteiden noudattaminen. Tätä varten yleiskäyttöisten tekoälymallien tarjoajien olisi otettava käyttöön toimintaperiaatteet, joilla noudatetaan tekijänoikeutta ja lähioikeuksia koskevaa unionin oikeutta ja erityisesti tunnistetaan ja noudatetaan oikeudenhaltijoiden direktiivin (EU) 2019/790 4 artiklan 3 kohdan mukaisesti ilmaisemaa oikeuksien pidättämistä. Kaikkien tarjoajien, jotka saattavat unionin markkinoille yleiskäyttöisen tekoälymallin, olisi noudatettava tätä velvoitetta riippumatta siitä, millä lainkäyttöalueella kyseisten yleiskäyttöisten tekoälymallien koulutuksen perustana olevat tekijänoikeuden kannalta merkitykselliset toimet toteutetaan. Tämä on tarpeen, jotta yleiskäyttöisten tekoälymallien tarjoajille voidaan varmistaa tasapuoliset toimintaedellytykset, joissa yksikään tarjoaja ei saisi unionin markkinoilla kilpailuetua soveltamalla alhaisempia tekijänoikeusstandardeja kuin unionissa.

(107)

In order to increase transparency on the data that is used in the pre-training and training of general-purpose AI models, including text and data protected by copyright law, it is adequate that providers of such models draw up and make publicly available a sufficiently detailed summary of the content used for training the general-purpose AI model. While taking into due account the need to protect trade secrets and confidential business information, this summary should be generally comprehensive in its scope instead of technically detailed to facilitate parties with legitimate interests, including copyright holders, to exercise and enforce their rights under Union law, for example by listing the main data collections or sets that went into training the model, such as large private or public databases or data archives, and by providing a narrative explanation about other data sources used. It is appropriate for the AI Office to provide a template for the summary, which should be simple, effective, and allow the provider to provide the required summary in narrative form.

(107)

Jotta voidaan lisätä sellaisen datan avoimuutta, jota käytetään yleiskäyttöisten tekoälymallien esikoulutuksessa ja koulutuksessa, mukaan lukien tekijänoikeuslainsäädännöllä suojattu teksti ja data, on asianmukaista, että tällaisten mallien tarjoajat laativat ja asettavat julkisesti saataville riittävän yksityiskohtaisen tiivistelmän yleiskäyttöisen tekoälymallin koulutuksessa käytetystä sisällöstä. Samalla kun otetaan asianmukaisesti huomioon tarve suojella liikesalaisuuksia ja luottamuksellisia liiketoimintaa koskevia tietoja, tämän tiivistelmän olisi oltava sisällöltään yleisesti kattava sen sijaan, että se olisi teknisesti yksityiskohtainen, jotta osapuolia, joilla on oikeutettuja etuja, mukaan lukien tekijänoikeuden haltijat, voidaan auttaa käyttämään ja panemaan täytäntöön unionin oikeuden mukaisia oikeuksiaan, ja esimerkiksi luetella tärkeimmät mallin koulutukseen käytetyt tietolähteet tai datajoukot, kuten suuret yksityiset tai julkiset tietokannat tai -arkistot, ja antaa selostus muista käytetyistä tietolähteistä. Olisi asianmukaista, että tekoälytoimisto antaa tiivistelmälle mallin, jonka olisi oltava yksinkertainen ja tehokas ja jonka avulla tarjoaja voi toimittaa vaaditun tiivistelmän selostuksen muodossa.

(108)

With regard to the obligations imposed on providers of general-purpose AI models to put in place a policy to comply with Union copyright law and make publicly available a summary of the content used for the training, the AI Office should monitor whether the provider has fulfilled those obligations without verifying or proceeding to a work-by-work assessment of the training data in terms of copyright compliance. This Regulation does not affect the enforcement of copyright rules as provided for under Union law.

(108)

Yleiskäyttöisten tekoälymallien tarjoajille asetettujen velvoitteiden, jotka koskevat toimintaperiaatteiden käyttöönottoa unionin tekijänoikeuslainsäädännön noudattamiseksi ja koulutuksessa käytettyä sisältöä koskevan tiivistelmän julkisesti saataville asettamista, tekoälytoimiston olisi seurattava, onko tarjoaja täyttänyt kyseiset velvoitteet tarkistamatta tai arvioimatta koulutusdataa teoskohtaisesti tekijänoikeuksien noudattamisen osalta. Tämä asetus ei vaikuta unionin oikeudessa säädettyjen tekijänoikeussääntöjen täytäntöönpanoon.

(109)

Compliance with the obligations applicable to the providers of general-purpose AI models should be commensurate and proportionate to the type of model provider, excluding the need for compliance for persons who develop or use models for non-professional or scientific research purposes, who should nevertheless be encouraged to voluntarily comply with these requirements. Without prejudice to Union copyright law, compliance with those obligations should take due account of the size of the provider and allow simplified ways of compliance for SMEs, including start-ups, that should not represent an excessive cost and not discourage the use of such models. In the case of a modification or fine-tuning of a model, the obligations for providers of general-purpose AI models should be limited to that modification or fine-tuning, for example by complementing the already existing technical documentation with information on the modifications, including new training data sources, as a means to comply with the value chain obligations provided in this Regulation.

(109)

Yleiskäyttöisten tekoälymallien tarjoajiin sovellettavien velvoitteiden noudattamisen olisi oltava oikeasuhtaista mallin tarjoajan tyyppiin nähden, pois lukien ei-ammatillisiin tai tieteellisiin tutkimustarkoituksiin malleja kehittävät tai käyttävät henkilöt, joiden ei tarvitse noudattaa velvoitteita, mutta joita olisi kuitenkin kannustettava noudattamaan niitä vapaaehtoisesti. Kyseisten velvoitteiden noudattamisessa olisi otettava asianmukaisesti huomioon tarjoajan koko ja mahdollistettava pk-yrityksille, myös startup-yrityksille, velvoitteiden noudattamiseksi yksinkertaistetut menettelyt, jotka eivät saisi aiheuttaa kohtuuttomia kustannuksia eivätkä estää tällaisten mallien käyttöä, sanotun kuitenkaan rajoittamatta unionin tekijänoikeuslainsäädännön soveltamista. Jos mallia muutetaan tai hienosäädetään, yleiskäyttöisten tekoälymallien tarjoajien velvoitteet olisi rajattava kyseiseen muutokseen tai hienosäätöön esimerkiksi täydentämällä jo olemassa olevia teknisiä asiakirjoja muutoksia koskevilla tiedoilla, mukaan lukien koulutukseen käytetyt uudet tietolähteet, keinona noudattaa tässä asetuksessa säädettyjä arvoketjuun liittyviä velvoitteita.

(110)

General-purpose AI models could pose systemic risks which include, but are not limited to, any actual or reasonably foreseeable negative effects in relation to major accidents, disruptions of critical sectors and serious consequences to public health and safety; any actual or reasonably foreseeable negative effects on democratic processes, public and economic security; the dissemination of illegal, false, or discriminatory content. Systemic risks should be understood to increase with model capabilities and model reach, can arise along the entire lifecycle of the model, and are influenced by conditions of misuse, model reliability, model fairness and model security, the level of autonomy of the model, its access to tools, novel or combined modalities, release and distribution strategies, the potential to remove guardrails and other factors. In particular, international approaches have so far identified the need to pay attention to risks from potential intentional misuse or unintended issues of control relating to alignment with human intent; chemical, biological, radiological, and nuclear risks, such as the ways in which barriers to entry can be lowered, including for weapons development, design acquisition, or use; offensive cyber capabilities, such as the ways in vulnerability discovery, exploitation, or operational use can be enabled; the effects of interaction and tool use, including for example the capacity to control physical systems and interfere with critical infrastructure; risks from models of making copies of themselves or ‘self-replicating’ or training other models; the ways in which models can give rise to harmful bias and discrimination with risks to individuals, communities or societies; the facilitation of disinformation or harming privacy with threats to democratic values and human rights; risk that a particular event could lead to a chain reaction with considerable negative effects that could affect up to an entire city, an entire domain activity or an entire community.

(110)

Yleiskäyttöiset tekoälymallit voivat aiheuttaa systeemisiä riskejä, joihin kuuluvat muun muassa suuronnettomuuksiin liittyvät tosiasialliset tai kohtuudella ennakoitavissa olevat kielteiset vaikutukset, kriittisten alojen häiriöt ja vakavat seuraukset kansanterveydelle ja turvallisuudelle; mahdolliset tosiasialliset tai kohtuudella ennakoitavissa olevat kielteiset vaikutukset demokraattisiin prosesseihin sekä yleiseen ja taloudelliseen turvallisuuteen; laittoman, väärän tai syrjivän sisällön levittäminen. Systeemisten riskien olisi katsottava lisääntyvän yhdessä mallien valmiuksien ja kattavuuden kanssa, niitä voi esiintyä mallin koko elinkaaren ajan ja niihin vaikuttavat väärinkäytön olosuhteet, mallin luotettavuus, mallin oikeudenmukaisuus ja turvallisuus, mallin itsenäisyyden aste, sen saatavilla olevat välineet, uudet tai yhdistetyt yksityiskohtaiset säännöt, käyttöönotto- ja jakelustrategiat sekä mahdollisuus poistaa suojatoimet ja muut tekijät. Erityisesti kansainvälisissä lähestymistavoissa on tähän mennessä todettu tarve kiinnittää huomiota riskeihin, joita aiheuttavat mahdolliset tahalliset väärinkäytöt tai tahattomat valvontaa koskevat ongelmat, jotka liittyvät yhteensovittamiseen inhimillisen tarkoituksen kanssa; kemialliset, biologiset, säteily- ja ydinriskit, kuten tavat, joilla markkinoille pääsyn esteitä voidaan vähentää, myös aseiden kehittämisen, suunnitteluhankintojen tai käytön osalta; kyberhyökkäysvalmiuksien, kuten haavoittuvuuksien havaitsemisen, hyödyntämisen tai operatiivisen käytön, mahdollistaminen; vuorovaikutuksen ja välineiden käytön vaikutukset, mukaan lukien esimerkiksi kyky valvoa fyysisiä järjestelmiä ja häiritä kriittistä infrastruktuuria; mallien itsensä kopioimiseen tai ”itsejäljentämiseen” tai muiden mallien kouluttamiseen liittyvät riskit; tavat, joilla mallit voivat aiheuttaa haitallisia vinoutumia ja syrjintää, joihin liittyy riskejä yksilöille, yhteisöille tai yhteiskunnille; disinformaation helpottaminen tai yksityisyyden vahingoittaminen demokraattisiin arvoihin ja ihmisoikeuksiin kohdistuvilla uhkilla; sekä riski siitä, että tietty tapahtuma voi johtaa ketjureaktioon, jolla on huomattavia kielteisiä vaikutuksia, jotka voivat vaikuttaa kokonaiseen kaupunkiin, kokonaiseen kohdealueeseen tai kokonaiseen yhteisöön.

(111)

It is appropriate to establish a methodology for the classification of general-purpose AI models as general-purpose AI model with systemic risks. Since systemic risks result from particularly high capabilities, a general-purpose AI model should be considered to present systemic risks if it has high-impact capabilities, evaluated on the basis of appropriate technical tools and methodologies, or significant impact on the internal market due to its reach. High-impact capabilities in general-purpose AI models means capabilities that match or exceed the capabilities recorded in the most advanced general-purpose AI models. The full range of capabilities in a model could be better understood after its placing on the market or when deployers interact with the model. According to the state of the art at the time of entry into force of this Regulation, the cumulative amount of computation used for the training of the general-purpose AI model measured in floating point operations is one of the relevant approximations for model capabilities. The cumulative amount of computation used for training includes the computation used across the activities and methods that are intended to enhance the capabilities of the model prior to deployment, such as pre-training, synthetic data generation and fine-tuning. Therefore, an initial threshold of floating point operations should be set, which, if met by a general-purpose AI model, leads to a presumption that the model is a general-purpose AI model with systemic risks. This threshold should be adjusted over time to reflect technological and industrial changes, such as algorithmic improvements or increased hardware efficiency, and should be supplemented with benchmarks and indicators for model capability. To inform this, the AI Office should engage with the scientific community, industry, civil society and other experts. Thresholds, as well as tools and benchmarks for the assessment of high-impact capabilities, should be strong predictors of generality, its capabilities and associated systemic risk of general-purpose AI models, and could take into account the way the model will be placed on the market or the number of users it may affect. To complement this system, there should be a possibility for the Commission to take individual decisions designating a general-purpose AI model as a general-purpose AI model with systemic risk if it is found that such model has capabilities or an impact equivalent to those captured by the set threshold. That decision should be taken on the basis of an overall assessment of the criteria for the designation of a general-purpose AI model with systemic risk set out in an annex to this Regulation, such as quality or size of the training data set, number of business and end users, its input and output modalities, its level of autonomy and scalability, or the tools it has access to. Upon a reasoned request of a provider whose model has been designated as a general-purpose AI model with systemic risk, the Commission should take the request into account and may decide to reassess whether the general-purpose AI model can still be considered to present systemic risks.

(111)

On aiheellista vahvistaa menetelmä, jolla yleiskäyttöiset tekoälymallit voidaan luokitella yleiskäyttöiseksi tekoälymalliksi, johon liittyy systeemisiä riskejä. Koska systeemiset riskit johtuvat erityisen suurista valmiuksista, yleiskäyttöisen tekoälymallin olisi katsottava aiheuttavan systeemisiä riskejä, jos sillä on vaikutuksiltaan merkittävä suorituskyky, jota arvioidaan asianmukaisten teknisten välineiden ja menetelmien perusteella, tai sen kattavuus vaikuttaa merkittävästi sisämarkkinoihin. Yleiskäyttöisissä tekoälymalleissa vaikutuksiltaan merkittävällä suorituskyvyllä tarkoitetaan suorituskykyä, joka vastaa tai ylittää kehittyneimpiin yleiskäyttöisiin tekoälymalleihin kirjatut valmiudet. Mallin kaikki valmiudet voitaisiin tuntea paremmin sen jälkeen, kun se on saatettu markkinoille tai kun käyttöönottajat ovat vuorovaikutuksessa mallin kanssa. Tämän asetuksen voimaantuloajankohtana viimeisimmän kehityksen mukainen yleiskäyttöisen tekoälymallin kouluttamiseen käytetyn laskentatehon kumulatiivinen määrä liukulukuoperaationa mitattuna on yksi asiaankuuluvista mallin suorituskyvyn approksimaatioista. Koulutukseen käytetyn laskentatehon kumulatiivinen määrä sisältää kaikissa toimissa ja menetelmissä, joiden tarkoituksena on parantaa mallin suorituskykyä ennen käyttöönottoa, kuten esikoulutus, synteettinen datan tuottaminen ja hienosäätö, käytettyä laskentatehoa. Sen vuoksi liukulukuoperaatiolle olisi asetettava alustava kynnysarvo, ja jos yleiskäyttöinen tekoälymalli ylittää sen, voidaan olettaa, että malli on yleiskäyttöinen tekoälymalli, johon liittyy systeemisiä riskejä. Tätä kynnysarvoa olisi mukautettava ajan mittaan teknologisten ja teollisten muutosten, kuten algoritmisten parannusten tai laitteiston tehokkuuden parantamisen, huomioon ottamiseksi, ja sitä olisi täydennettävä mallin suorituskykyä koskevilla vertailuarvoilla ja indikaattoreilla. Tätä varten tekoälytoimiston olisi tehtävä yhteistyötä tiedeyhteisön, teollisuuden, kansalaisyhteiskunnan ja muiden asiantuntijoiden kanssa. Kynnysarvojen sekä vaikutuksiltaan merkittävän suorituskyvyn arvioinnissa käytettävien välineiden ja vertailuarvojen olisi indikoitava vahvasti yleiskäyttöisten tekoälymallien yleisyyttä, niiden suorituskykyä ja niihin liittyvää systeemistä riskiä, ja niissä voitaisiin ottaa huomioon tapa, jolla malli saatetaan markkinoille tai niiden käyttäjien lukumäärä, joihin se voi vaikuttaa. Järjestelmän täydentämiseksi komission olisi voitava tehdä yksittäisiä päätöksiä, joilla tietty yleiskäyttöinen tekoälymalli määritetään yleiskäyttöiseksi tekoälymalliksi, johon liittyy systeeminen riski, jos todetaan, että mallin suorituskyky tai vaikutus on sama kuin asetetun kynnysarvon ylittävillä malleilla. Tämä päätös olisi tehtävä tämän asetuksen liitteessä vahvistettujen perusteiden, joiden mukaisesti nimetään yleiskäyttöinen tekoälymalli, johon liittyy systeeminen riski, yleisen arvioinnin perusteella. Näitä perusteita ovat koulutusdatajoukon laatu ja koko, yritys- ja loppukäyttäjien lukumäärä, mallin syöttötietojen ja tuotosten modaalisuus, sen itsenäisyyden ja skaalattavuuden aste ja sen käytettävissä olevat välineet. Komission olisi otettava huomioon sellaisen tarjoajan perusteltu pyyntö, jonka malli on nimetty yleiskäyttöiseksi tekoälymalliksi, johon liittyy systeeminen riski, ja se voi päättää arvioida uudelleen, voidaanko yleiskäyttöiseen tekoälymalliin katsoa edelleen liittyvän systeemisiä riskejä.

(112)

It is also necessary to clarify a procedure for the classification of a general-purpose AI model with systemic risks. A general-purpose AI model that meets the applicable threshold for high-impact capabilities should be presumed to be a general-purpose AI models with systemic risk. The provider should notify the AI Office at the latest two weeks after the requirements are met or it becomes known that a general-purpose AI model will meet the requirements that lead to the presumption. This is especially relevant in relation to the threshold of floating point operations because training of general-purpose AI models takes considerable planning which includes the upfront allocation of compute resources and, therefore, providers of general-purpose AI models are able to know if their model would meet the threshold before the training is completed. In the context of that notification, the provider should be able to demonstrate that, because of its specific characteristics, a general-purpose AI model exceptionally does not present systemic risks, and that it thus should not be classified as a general-purpose AI model with systemic risks. That information is valuable for the AI Office to anticipate the placing on the market of general-purpose AI models with systemic risks and the providers can start to engage with the AI Office early on. That information is especially important with regard to general-purpose AI models that are planned to be released as open-source, given that, after the open-source model release, necessary measures to ensure compliance with the obligations under this Regulation may be more difficult to implement.

(112)

Lisäksi on aiheellista selventää menettelyä, jonka mukaisesti luokitellaan yleiskäyttöiset tekoälymallit, joihin liittyy systeeminen riski. Yleiskäyttöisen tekoälymallin, joka ylittää vaikutuksiltaan merkittävää suorituskykyä koskevan sovellettavan kynnysarvon, olisi katsottava olevan yleiskäyttöinen tekoälymalli, johon liittyy systeeminen riski. Tarjoajan olisi ilmoitettava tekoälytoimistolle, että yleiskäyttöinen tekoälymalli täyttää tähän olettamaan johtavat edellytykset, viimeistään kahden viikon kuluttua siitä, kun edellytykset täyttyvät tai kun todetaan, että ne tulevat täyttymään. Tämä koskee erityisesti liukulaskutoimitusten kynnysarvoa, sillä yleiskäyttöisten tekoälymallien koulutus on suunniteltava tarkkaan siten, että laskentaresurssit jaetaan etukäteen. Tästä syystä yleiskäyttöisten tekoälymallien tarjoajat tietävät jo ennen koulutuksen päättymistä, ylittääkö niiden tekoälymalli kynnysarvon. Ilmoituksessaan tarjoajan olisi voitava osoittaa, että yleiskäyttöiseen tekoälymalliin ei sen erityispiirteiden vuoksi poikkeuksellisesti liity systeemisiä riskejä ja että sitä ei näin ollen olisi luokiteltava systeemisen riskin yleiskäyttöiseksi tekoälymalliksi. Tämä tieto on arvokasta tekoälytoimistolle, jotta se voi ennakoida sellaisten yleiskäyttöisten tekoälymallien markkinoille saattamista, joihin liittyy systeemisiä riskejä, ja tällä tavoin tarjoajat voivat aloittaa yhteistyön tekoälytoimiston kanssa jo varhaisessa vaiheessa. Tieto on erityisen arvokasta niiden yleiskäyttöisten tekoälymallien osalta, jotka on tarkoitus julkaista avoimen lähdekoodin malleina, koska tämän asetuksen mukaisten velvoitteiden noudattamisen varmistamiseksi tarvittavat toimet voi olla vaikeampi toteuttaa avoimen lähdekoodin mallin julkaisemisen jälkeen.

(113)

If the Commission becomes aware of the fact that a general-purpose AI model meets the requirements to classify as a general-purpose AI model with systemic risk, which previously had either not been known or of which the relevant provider has failed to notify the Commission, the Commission should be empowered to designate it so. A system of qualified alerts should ensure that the AI Office is made aware by the scientific panel of general-purpose AI models that should possibly be classified as general-purpose AI models with systemic risk, in addition to the monitoring activities of the AI Office.

(113)

Jos komissio saa tietoonsa, että yleiskäyttöinen tekoälymalli täyttää edellytykset, jotta se voidaan luokitella systeemisen riskin yleiskäyttöiseksi tekoälymalliksi, ja edellytysten täyttyminen ei joko ole ollut aiemmin tiedossa tai asianomainen tarjoaja ei ole ilmoittanut siitä komissiolle, komissiolle olisi annettava valtuudet nimetä malli vastaavasti. Tekoälytoimiston suorittamaa seurantaa olisi täydennettävä perusteltujen varoitusten järjestelmällä, jolla varmistetaan, että tiedelautakunta ilmoittaa tekoälytoimistolle niistä yleiskäyttöisistä tekoälymalleista, jotka olisi mahdollisesti luokiteltava yleiskäyttöisiksi tekoälymalleiksi, joihin liittyy systeeminen riski.

(114)

The providers of general-purpose AI models presenting systemic risks should be subject, in addition to the obligations provided for providers of general-purpose AI models, to obligations aimed at identifying and mitigating those risks and ensuring an adequate level of cybersecurity protection, regardless of whether it is provided as a standalone model or embedded in an AI system or a product. To achieve those objectives, this Regulation should require providers to perform the necessary model evaluations, in particular prior to its first placing on the market, including conducting and documenting adversarial testing of models, also, as appropriate, through internal or independent external testing. In addition, providers of general-purpose AI models with systemic risks should continuously assess and mitigate systemic risks, including for example by putting in place risk-management policies, such as accountability and governance processes, implementing post-market monitoring, taking appropriate measures along the entire model’s lifecycle and cooperating with relevant actors along the AI value chain.

(114)

Niiden yleiskäyttöisten tekoälymallien tarjoajiin, joihin liittyy systeemisiä riskejä, olisi sovellettava yleiskäyttöisten tekoälymallien tarjoajiin sovellettavien velvoitteiden lisäksi velvoitteita, joiden tarkoituksena on määrittää ja lieventää kyseisiä riskejä ja varmistaa kyberturvallisuussuojan riittävä taso riippumatta siitä, tarjotaanko tekoälymalli erillisenä mallina vai sulautettuna tekoälyjärjestelmään tai tuotteeseen. Kyseisten tavoitteiden saavuttamiseksi tässä asetuksessa olisi edellytettävä, että tarjoajat suorittavat tarvittavat mallin arvioinnit erityisesti ennen niiden ensimmäistä markkinoille saattamista, mukaan lukien mallien adversariaalisen testauksen suorittaminen ja dokumentointi tarvittaessa myös sisäisessä tai riippumattomassa ulkoisessa testauksessa. Niiden yleiskäyttöisten tekoälymallien tarjoajien, joihin liittyy systeemisiä riskejä, olisi lisäksi arvioitava ja lievennettävä systeemisiä riskejä jatkuvasti, esimerkiksi ottamalla käyttöön riskinhallintaa koskevat toimintatavat, kuten vastuuvelvollisuus- ja hallintoprosesseja, suorittamalla markkinoille saattamisen jälkeistä seurantaa, toteuttamalla asianmukaisia toimenpiteitä mallin koko elinkaaren ajan ja tekemällä yhteistyötä tekoälyn arvoketjun asiaankuuluvien toimijoiden kanssa.

(115)

Providers of general-purpose AI models with systemic risks should assess and mitigate possible systemic risks. If, despite efforts to identify and prevent risks related to a general-purpose AI model that may present systemic risks, the development or use of the model causes a serious incident, the general-purpose AI model provider should without undue delay keep track of the incident and report any relevant information and possible corrective measures to the Commission and national competent authorities. Furthermore, providers should ensure an adequate level of cybersecurity protection for the model and its physical infrastructure, if appropriate, along the entire model lifecycle. Cybersecurity protection related to systemic risks associated with malicious use or attacks should duly consider accidental model leakage, unauthorised releases, circumvention of safety measures, and defence against cyberattacks, unauthorised access or model theft. That protection could be facilitated by securing model weights, algorithms, servers, and data sets, such as through operational security measures for information security, specific cybersecurity policies, adequate technical and established solutions, and cyber and physical access controls, appropriate to the relevant circumstances and the risks involved.

(115)

Niiden yleiskäyttöisten tekoälymallien tarjoajien, joihin liittyy systeemisiä riskejä, olisi arvioitava ja lievennettävä mahdollisia systeemisiä riskejä. Jos yleiskäyttöisen tekoälymallin, johon voi liittyä systeemisiä riskejä, kehittäminen tai käyttö aiheuttaa vakavan vaaratilanteen huolimatta pyrkimyksistä tunnistaa ja ehkäistä malliin liittyviä riskejä, yleiskäyttöisen tekoälymallin tarjoajan olisi ilman aiheetonta viivytystä seurattava vaaratilannetta ja raportoitava merkityksellisistä tiedoista ja mahdollisista korjaavista toimenpiteistä komissiolle ja kansallisille toimivaltaisille viranomaisille. Tarjoajien olisi lisäksi varmistettava mallin ja tarvittaessa sen fyysisen infrastruktuurin kyberturvallisuussuojan riittävä taso mallin koko elinkaaren ajan. Kyberturvallisuussuojassa, jolla torjutaan vihamieliseen käyttöön tai hyökkäyksiin liittyviä systeemisiä riskejä, olisi otettava asianmukaisesti huomioon tahaton mallivuoto, luvattomat julkaisut, turvallisuustoimenpiteiden kiertäminen sekä suojautuminen kyberhyökkäyksiltä, luvattomalta pääsyltä tai mallivarkauksilta. Suojaamista voitaisiin helpottaa turvaamalla mallipainokertoimet, algoritmit, palvelimet ja tietokokonaisuudet esimerkiksi tietoturvaa koskevilla operatiivisilla turvallisuustoimenpiteillä, erityisillä kyberturvallisuusperiaatteilla, asianmukaisilla teknisillä ja vakiintuneilla ratkaisuilla sekä kyberkäytön ja fyysisen pääsyn valvonnalla asiaankuuluvista olosuhteista ja riskeistä riippuen.

(116)

The AI Office should encourage and facilitate the drawing up, review and adaptation of codes of practice, taking into account international approaches. All providers of general-purpose AI models could be invited to participate. To ensure that the codes of practice reflect the state of the art and duly take into account a diverse set of perspectives, the AI Office should collaborate with relevant national competent authorities, and could, where appropriate, consult with civil society organisations and other relevant stakeholders and experts, including the Scientific Panel, for the drawing up of such codes. Codes of practice should cover obligations for providers of general-purpose AI models and of general-purpose AI models presenting systemic risks. In addition, as regards systemic risks, codes of practice should help to establish a risk taxonomy of the type and nature of the systemic risks at Union level, including their sources. Codes of practice should also be focused on specific risk assessment and mitigation measures.

(116)

Tekoälytoimiston olisi edistettävä ja helpotettava käytännesääntöjen laatimista, tarkistamista ja mukauttamista ottaen huomioon kansainväliset toimintatavat. Kaikki yleiskäyttöisten tekoälymallien tarjoajat voitaisiin kutsua mukaan tähän toimintaan. Jotta voidaan varmistaa, että käytännesäännöt vastaavat alan viimeisintä kehitystä ja että niissä otetaan asianmukaisesti huomioon eri näkökulmat, tekoälytoimiston olisi käytännesääntöjä laatiessaan tehtävä yhteistyötä asiaankuuluvien kansallisten toimivaltaisten viranomaisten kanssa ja se voisi tarvittaessa kuulla kansalaisjärjestöjä ja muita asiaankuuluvia sidosryhmiä ja asiantuntijoita, myös tiedelautakuntaa. Käytännesääntöjen olisi katettava sekä yleiskäyttöisten tekoälymallien että yleiskäyttöisten tekoälymallien, joihin liittyy systeemisiä riskejä, tarjoajien velvollisuudet. Systeemisten riskien osalta käytännesäännöillä olisi tuettava riskiluokituksen laatimista unionin tason systeemisten riskien, myös niiden lähteiden, tyypistä ja luonteesta. Käytännesäännöissä olisi keskityttävä myös erityisiin riskinarviointi- ja lieventämistoimenpiteisiin.

(117)

The codes of practice should represent a central tool for the proper compliance with the obligations provided for under this Regulation for providers of general-purpose AI models. Providers should be able to rely on codes of practice to demonstrate compliance with the obligations. By means of implementing acts, the Commission may decide to approve a code of practice and give it a general validity within the Union, or, alternatively, to provide common rules for the implementation of the relevant obligations, if, by the time this Regulation becomes applicable, a code of practice cannot be finalised or is not deemed adequate by the AI Office. Once a harmonised standard is published and assessed as suitable to cover the relevant obligations by the AI Office, compliance with a European harmonised standard should grant providers the presumption of conformity. Providers of general-purpose AI models should furthermore be able to demonstrate compliance using alternative adequate means, if codes of practice or harmonised standards are not available, or they choose not to rely on those.

(117)

Käytännesäännöt on tarkoitettu keskeiseksi välineeksi, jolla varmistetaan, että yleiskäyttöisten tekoälymallien tarjoajat noudattavat asianmukaisesti tässä asetuksessa säädettyjä velvoitteita. Tarjoajien olisi pystyttävä osoittamaan velvoitteiden noudattaminen käytännesääntöjen avulla. Komissio voi täytäntöönpanosäädöksillä päättää hyväksyä käytännesäännöt ja todeta ne yleisesti päteviksi unionissa tai vaihtoehtoisesti vahvistaa yhteiset säännöt asiaankuuluvien velvoitteiden täyttämiselle, jos käytännesääntöjä ei saada valmiiksi siihen mennessä, kun tämän asetuksen soveltaminen alkaa, tai jos tekoälytoimisto ei pidä niitä riittävinä. Kun tekoälytoimisto on julkaissut yhdenmukaistetun standardin ja arvioinut sen soveltuvan kattamaan asiaankuuluvat velvoitteet, tarjoajien olisi oletettava täyttävän vaatimukset sen perusteella, että ne noudattavat eurooppalaista yhdenmukaistettua standardia. Yleiskäyttöisten tekoälymallien tarjoajien olisi lisäksi voitava osoittaa vaatimustenmukaisuus asianmukaisilla vaihtoehtoisilla keinoilla, jos käytännesääntöjä tai yhdenmukaistettuja standardeja ei ole saatavilla tai tarjoajat päättävät olla käyttämättä niitä.

(118)

This Regulation regulates AI systems and AI models by imposing certain requirements and obligations for relevant market actors that are placing them on the market, putting into service or use in the Union, thereby complementing obligations for providers of intermediary services that embed such systems or models into their services regulated by Regulation (EU) 2022/2065. To the extent that such systems or models are embedded into designated very large online platforms or very large online search engines, they are subject to the risk-management framework provided for in Regulation (EU) 2022/2065. Consequently, the corresponding obligations of this Regulation should be presumed to be fulfilled, unless significant systemic risks not covered by Regulation (EU) 2022/2065 emerge and are identified in such models. Within this framework, providers of very large online platforms and very large online search engines are obliged to assess potential systemic risks stemming from the design, functioning and use of their services, including how the design of algorithmic systems used in the service may contribute to such risks, as well as systemic risks stemming from potential misuses. Those providers are also obliged to take appropriate mitigating measures in observance of fundamental rights.

(118)

Tällä asetuksella säännellään tekoälyjärjestelmiä ja tekoälymalleja asettamalla tiettyjä vaatimuksia ja velvoitteita niille markkinatoimijoille, jotka saattavat näitä järjestelmiä ja malleja markkinoille tai ottavat niitä käyttöön tai käyttävät niitä unionissa, ja näin täydennetään sellaisten välityspalvelujen tarjoajien velvoitteita, jotka sulauttavat tekoälyjärjestelmiä ja -malleja palveluihinsa, joita säännellään (EU) 2022/2065. Siltä osin kuin tällaiset järjestelmät tai mallit on sulautettu nimettyihin erittäin suuriin verkkoalustoihin tai erittäin suuriin verkossa toimiviin hakukoneisiin, niihin sovelletaan asetuksessa (EU) 2022/2065 säädettyä riskinhallintakehystä. Näin ollen olisi oletettava, että tämän asetuksen vastaavat velvoitteet täyttyvät, jollei tällaisissa malleissa ilmene ja havaita sellaisia merkittäviä systeemisiä riskejä, jotka eivät kuulu asetuksen (EU) 2022/2065 soveltamisalaan. Tässä yhteydessä erittäin suurten verkkoalustojen ja erittäin suurten verkossa toimivien hakukoneiden tarjoajat ovat velvollisia arvioimaan palvelujensa suunnittelusta, toiminnasta ja käytöstä aiheutuvia mahdollisia systeemisiä riskejä, mukaan lukien sitä, miten palvelussa käytettävien algoritmisten järjestelmien suunnittelu voi lisätä tällaisia riskejä, sekä mahdollisesta väärinkäytöstä aiheutuvia systeemisiä riskejä. Kyseiset tarjoajat ovat myös velvollisia toteuttamaan asianmukaisia lieventäviä toimenpiteitä perusoikeuksia noudattaen.

(119)

Considering the quick pace of innovation and the technological evolution of digital services in scope of different instruments of Union law in particular having in mind the usage and the perception of their recipients, the AI systems subject to this Regulation may be provided as intermediary services or parts thereof within the meaning of Regulation (EU) 2022/2065, which should be interpreted in a technology-neutral manner. For example, AI systems may be used to provide online search engines, in particular, to the extent that an AI system such as an online chatbot performs searches of, in principle, all websites, then incorporates the results into its existing knowledge and uses the updated knowledge to generate a single output that combines different sources of information.

(119)

Kun otetaan huomioon unionin oikeuden eri välineiden soveltamisalaan kuuluvien digitaalisten palvelujen nopeatahtinen innovointi ja teknologinen kehitys erityisesti niiden vastaanottajien käytön ja mieltymysten näkökulmasta, tämän asetuksen soveltamisalaan kuuluvia tekoälyjärjestelmiä voidaan tarjota asetuksessa (EU) 2022/2065 tarkoitettuina välityspalveluina tai niiden osina teknologianeutraalisti tulkittuna. Tekoälyjärjestelmiä voidaan käyttää esimerkiksi verkossa toimivien hakukoneiden tarjoamiseen erityisesti siltä osin kuin tekoälyjärjestelmä, kuten verkossa toimiva asiointibotti, suorittaa hakuja periaatteessa kaikilta verkkosivustoilta, sisällyttää haun tulokset olemassa oleviin tietoihinsa ja käyttää päivitettyjä tietoja luodakseen yksittäisen tuotoksen, jossa yhdistyvät eri tietolähteet.

(120)

Furthermore, obligations placed on providers and deployers of certain AI systems in this Regulation to enable the detection and disclosure that the outputs of those systems are artificially generated or manipulated are particularly relevant to facilitate the effective implementation of Regulation (EU) 2022/2065. This applies in particular as regards the obligations of providers of very large online platforms or very large online search engines to identify and mitigate systemic risks that may arise from the dissemination of content that has been artificially generated or manipulated, in particular risk of the actual or foreseeable negative effects on democratic processes, civic discourse and electoral processes, including through disinformation.

(120)

Tässä asetuksessa tiettyjen tekoälyjärjestelmien tarjoajille ja käyttöönottajille asetetut velvoitteet, joiden tarkoituksena on mahdollistaa sen havaitseminen, että näiden järjestelmien tuotokset ovat keinotekoisesti tuotettuja tai käsiteltyjä, ja julkistaa tämä tieto, ovat erityisen merkityksellisiä asetuksen (EU) 2022/2065 tehokkaan täytäntöönpanon helpottamisen kannalta. Tämä koskee erityisesti erittäin suurten verkkoalustojen tai erittäin suurten verkossa toimivien hakukoneiden tarjoajien velvoitteita tunnistaa ja lieventää systeemisiä riskejä, joita voi aiheutua keinotekoisesti tuotetun tai käsitellyn sisällön levittämisestä, erityisesti myös disinformaatiosta johtuva demokraattisiin prosesseihin, kansalaiskeskusteluun ja vaaliprosesseihin kohdistuvien tosiasiallisten tai ennakoitavien kielteisten vaikutusten riski.

(121)

Standardisation should play a key role to provide technical solutions to providers to ensure compliance with this Regulation, in line with the state of the art, to promote innovation as well as competitiveness and growth in the single market. Compliance with harmonised standards as defined in Article 2, point (1)(c), of Regulation (EU) No 1025/2012 of the European Parliament and of the Council (41), which are normally expected to reflect the state of the art, should be a means for providers to demonstrate conformity with the requirements of this Regulation. A balanced representation of interests involving all relevant stakeholders in the development of standards, in particular SMEs, consumer organisations and environmental and social stakeholders in accordance with Articles 5 and 6 of Regulation (EU) No 1025/2012 should therefore be encouraged. In order to facilitate compliance, the standardisation requests should be issued by the Commission without undue delay. When preparing the standardisation request, the Commission should consult the advisory forum and the Board in order to collect relevant expertise. However, in the absence of relevant references to harmonised standards, the Commission should be able to establish, via implementing acts, and after consultation of the advisory forum, common specifications for certain requirements under this Regulation. The common specification should be an exceptional fall back solution to facilitate the provider’s obligation to comply with the requirements of this Regulation, when the standardisation request has not been accepted by any of the European standardisation organisations, or when the relevant harmonised standards insufficiently address fundamental rights concerns, or when the harmonised standards do not comply with the request, or when there are delays in the adoption of an appropriate harmonised standard. Where such a delay in the adoption of a harmonised standard is due to the technical complexity of that standard, this should be considered by the Commission before contemplating the establishment of common specifications. When developing common specifications, the Commission is encouraged to cooperate with international partners and international standardisation bodies.

(121)

Standardoinnilla olisi oltava keskeinen rooli, jotta tarjoajien käyttöön saadaan teknisiä ratkaisuja, joilla voidaan varmistaa tämän asetuksen noudattaminen tekniikan viimeisimmän kehityksen mukaisesti, ja jotta voidaan edistää innovointia, kilpailukykyä ja kasvua sisämarkkinoilla. Tarjoajien olisi voitava osoittaa noudattavansa tämän asetuksen vaatimuksia noudattamalla Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 1025/2012 (41) 2 artiklan 1 kohdan c alakohdassa määriteltyjä yhdenmukaistettuja standardeja, joiden katsotaan yleensä olevan tekniikan viimeisimmän kehityksen mukaisia. Tästä syystä olisi edistettävä etujen tasapainoista edustusta ottamalla standardien laatimiseen mukaan kaikki asiaankuuluvat sidosryhmät, erityisesti pk-yritykset, kuluttajajärjestöt sekä ympäristöalan ja yhteiskunnan sidosryhmät asetuksen (EU) N:o 1025/2012 5 ja 6 artiklan mukaisesti. Vaatimusten noudattamisen helpottamiseksi komission olisi esitettävä standardointipyynnöt ilman aiheetonta viivytystä. Standardointipyyntöä valmistellessaan komission olisi kuultava neuvoa-antavaa foorumia ja tekoälyneuvostoa asiaankuuluvan asiantuntemuksen varmistamiseksi. Jos yhdenmukaistettuihin standardeihin ei kuitenkaan ole tehty asiaankuuluvia viittauksia, komission olisi voitava vahvistaa täytäntöönpanosäädöksillä neuvoa-antavaa foorumia kuultuaan tietyille tämän asetuksen mukaisille vaatimuksille yhteiset eritelmät. Yhteisten eritelmien olisi oltava poikkeuksellinen vararatkaisu, jolla helpotetaan tarjoajan velvoitetta noudattaa tämän asetuksen vaatimuksia, jos mikään eurooppalainen standardointiorganisaatio ei ole hyväksynyt standardointipyyntöä, jos asiaankuuluvat yhdenmukaistetut standardit eivät vastaa riittävällä tavalla perusoikeuksiin liittyviin huolenaiheisiin, jos yhdenmukaistetut standardit eivät ole pyynnön mukaisia tai jos asianmukaisen yhdenmukaistetun standardin hyväksymisessä on viiveitä. Jos tällainen viive yhdenmukaistetun standardin hyväksymisessä johtuu kyseisen standardin teknisestä monimutkaisuudesta, komission olisi otettava tämä huomioon ennen kuin se harkitsee yhteisten eritelmien vahvistamista. Yhteisiä eritelmiä laatiessaan komissiota kannustetaan tekemään yhteistyötä kansainvälisten kumppanien ja kansainvälisten standardointielinten kanssa.

(122)

It is appropriate that, without prejudice to the use of harmonised standards and common specifications, providers of a high-risk AI system that has been trained and tested on data reflecting the specific geographical, behavioural, contextual or functional setting within which the AI system is intended to be used, should be presumed to comply with the relevant measure provided for under the requirement on data governance set out in this Regulation. Without prejudice to the requirements related to robustness and accuracy set out in this Regulation, in accordance with Article 54(3) of Regulation (EU) 2019/881, high-risk AI systems that have been certified or for which a statement of conformity has been issued under a cybersecurity scheme pursuant to that Regulation and the references of which have been published in the Official Journal of the European Union should be presumed to comply with the cybersecurity requirement of this Regulation in so far as the cybersecurity certificate or statement of conformity or parts thereof cover the cybersecurity requirement of this Regulation. This remains without prejudice to the voluntary nature of that cybersecurity scheme.

(122)

On aiheellista olettaa, että sellaisen suuririskisen tekoälyjärjestelmän, joka on koulutettu ja testattu datalla, joka ilmentää erityistä maantieteellistä, käyttäytymiseen liittyvää, viitekehyksenä olevaa tai toiminnallista ympäristöä, jossa tekoälyjärjestelmää on tarkoitus käyttää, tarjoajat noudattavat tässä asetuksessa vahvistetussa datanhallintaa koskevassa vaatimuksessa säädettyä asiaankuuluvaa toimenpidettä, sanotun kuitenkaan rajoittamatta yhdenmukaistettujen standardien ja yhteisten eritelmien käyttöä. Asetuksen (EU) 2019/881 54 artiklan 3 kohdan mukaisesti niiden suuririskisten tekoälyjärjestelmien, jotka on sertifioitu tai joista on annettu vaatimustenmukaisuusilmoitus kyseisen asetuksen mukaisessa kyberturvallisuusjärjestelmässä ja joiden viitetiedot on julkaistu Euroopan unionin virallisessa lehdessä, olisi oletettava täyttävän tämän asetuksen kyberturvallisuusvaatimus siltä osin kuin kyberturvallisuussertifikaatti tai vaatimustenmukaisuusilmoitus tai niiden osat kattavat kyseisen kyberturvallisuusvaatimuksen, sanotun kuitenkaan rajoittamatta tässä asetuksessa vahvistettujen vakautta ja tarkkuutta koskevien vaatimusten soveltamista. Tällä ei rajoiteta kyseisen kyberturvallisuusjärjestelmän vapaaehtoista luonnetta.

(123)

In order to ensure a high level of trustworthiness of high-risk AI systems, those systems should be subject to a conformity assessment prior to their placing on the market or putting into service.

(123)

Jotta voidaan varmistaa suuririskisten tekoälyjärjestelmien korkea luotettavuus, kyseisille järjestelmille olisi tehtävä vaatimustenmukaisuuden arviointi ennen kuin ne saatetaan markkinoille tai otetaan käyttöön.

(124)

It is appropriate that, in order to minimise the burden on operators and avoid any possible duplication, for high-risk AI systems related to products which are covered by existing Union harmonisation legislation based on the New Legislative Framework, the compliance of those AI systems with the requirements of this Regulation should be assessed as part of the conformity assessment already provided for in that law. The applicability of the requirements of this Regulation should thus not affect the specific logic, methodology or general structure of conformity assessment under the relevant Union harmonisation legislation.

(124)

Jotta voidaan minimoida toimijoille aiheutuva rasite ja välttää mahdolliset päällekkäisyydet, tämän asetuksen vaatimusten mukaisuutta on asianmukaista arvioida sellaisten suuririskisten tekoälyjärjestelmien osalta, jotka kuuluvat uuteen lainsäädäntökehykseen perustuvan, voimassa olevan unionin yhdenmukaistamislainsäädännön soveltamisalaan, osana kyseisessä lainsäädännössä jo säädettyä vaatimustenmukaisuuden arviointia. Tämän asetuksen vaatimusten sovellettavuus ei näin ollen saisi vaikuttaa asiaa koskevassa unionin yhdenmukaistamislainsäädännössä säädetyn vaatimustenmukaisuuden arvioinnin erityiseen logiikkaan, menetelmiin tai yleiseen rakenteeseen.

(125)

Given the complexity of high-risk AI systems and the risks that are associated with them, it is important to develop an adequate conformity assessment procedure for high-risk AI systems involving notified bodies, so-called third party conformity assessment. However, given the current experience of professional pre-market certifiers in the field of product safety and the different nature of risks involved, it is appropriate to limit, at least in an initial phase of application of this Regulation, the scope of application of third-party conformity assessment for high-risk AI systems other than those related to products. Therefore, the conformity assessment of such systems should be carried out as a general rule by the provider under its own responsibility, with the only exception of AI systems intended to be used for biometrics.

(125)

Kun otetaan huomioon suuririskisten tekoälyjärjestelmien monimutkaisuus ja niihin liittyvät riskit, on tärkeää kehittää riittävä suuririskisten tekoälyjärjestelmien vaatimustenmukaisuuden arviointimenetelmä, johon ilmoitetut laitokset osallistuvat, eli ns. kolmannen osapuolen suorittama vaatimustenmukaisuuden arviointi. Kun otetaan huomioon markkinoille saattamista edeltävässä vaiheessa toimivien ammattimaisten sertifioijien tämänhetkinen kokemus tuoteturvallisuuden alalla, ja koska asiaan liittyvät riskit ovat luonteeltaan erilaisia, ainakin tämän asetuksen soveltamisen alkuvaiheessa on kuitenkin asianmukaista rajoittaa kolmannen osapuolen suorittaman vaatimustenmukaisuuden arvioinnin soveltamisalaa muiden kuin tuotteisiin liittyvien suuririskisten tekoälyjärjestelmien osalta. Sen vuoksi tarjoajan olisi pääsääntöisesti suoritettava tällaisten järjestelmien vaatimustenmukaisuuden arviointi omalla vastuullaan, lukuun ottamatta ainoastaan tekoälyjärjestelmiä, joita on tarkoitus käyttää biometriikkaan.

(126)

In order to carry out third-party conformity assessments when so required, notified bodies should be notified under this Regulation by the national competent authorities, provided that they comply with a set of requirements, in particular on independence, competence, absence of conflicts of interests and suitable cybersecurity requirements. Notification of those bodies should be sent by national competent authorities to the Commission and the other Member States by means of the electronic notification tool developed and managed by the Commission pursuant to Article R23 of Annex I to Decision No 768/2008/EC.

(126)

Jotta kolmannen osapuolen suorittamat vaatimustenmukaisuuden arvioinnit voidaan tarvittaessa toteuttaa, kansallisten toimivaltaisten viranomaisten olisi ilmoitettava tämän asetuksen nojalla ilmoitetut laitokset edellyttäen, että ne täyttävät tietyt vaatimukset, jotka koskevat erityisesti riippumattomuutta, pätevyyttä ja eturistiriitojen puuttumista sekä asiaankuuluvia kyberturvallisuusvaatimuksia. Kansallisten toimivaltaisten viranomaisten olisi lähetettävä ilmoitus näistä laitoksista komissiolle ja muille jäsenvaltioille käyttäen sähköistä ilmoitusvälinettä, jonka komissio kehittää ja jota se hallinnoi päätöksen N:o 768/2008/EY liitteessä I olevan R23 artiklan nojalla.

(127)

In line with Union commitments under the World Trade Organization Agreement on Technical Barriers to Trade, it is adequate to facilitate the mutual recognition of conformity assessment results produced by competent conformity assessment bodies, independent of the territory in which they are established, provided that those conformity assessment bodies established under the law of a third country meet the applicable requirements of this Regulation and the Union has concluded an agreement to that extent. In this context, the Commission should actively explore possible international instruments for that purpose and in particular pursue the conclusion of mutual recognition agreements with third countries.

(127)

Kaupan teknisistä esteistä tehtyyn Maailman kauppajärjestön sopimukseen perustuvien unionin sitoumusten mukaisesti on asianmukaista helpottaa toimivaltaisten vaatimustenmukaisuuden arviointilaitosten tuottamien vaatimustenmukaisuuden arvioinnin tulosten vastavuoroista tunnustamista riippumatta siitä, mille alueelle nämä laitokset ovat sijoittautuneet, edellyttäen että kolmannen maan lainsäädännön mukaisesti perustetut vaatimustenmukaisuuden arviointilaitokset täyttävät tämän asetuksen sovellettavat vaatimukset ja että unioni on tehnyt asiaa koskevan sopimuksen. Tässä yhteydessä komission olisi aktiivisesti tarkasteltava tätä tarkoitusta varten mahdollisia kansainvälisiä välineitä ja erityisesti pyrittävä tekemään vastavuoroista tunnustamista koskevia sopimuksia kolmansien maiden kanssa.

(128)

In line with the commonly established notion of substantial modification for products regulated by Union harmonisation legislation, it is appropriate that whenever a change occurs which may affect the compliance of a high-risk AI system with this Regulation (e.g. change of operating system or software architecture), or when the intended purpose of the system changes, that AI system should be considered to be a new AI system which should undergo a new conformity assessment. However, changes occurring to the algorithm and the performance of AI systems which continue to ‘learn’ after being placed on the market or put into service, namely automatically adapting how functions are carried out, should not constitute a substantial modification, provided that those changes have been pre-determined by the provider and assessed at the moment of the conformity assessment.

(128)

Unionin yhdenmukaistamislainsäädännössä säänneltyjä tuotteita koskevan yleisesti vahvistetun merkittävän muutoksen käsitteen mukaisesti on aiheellista, että aina kun tapahtuu muutos, joka voi vaikuttaa siihen, onko suuririskinen tekoälyjärjestelmä tämän asetuksen mukainen (esimerkiksi käyttöjärjestelmän tai ohjelmistoarkkitehtuurin muutos), tai kun järjestelmän käyttötarkoitus muuttuu, kyseinen tekoälyjärjestelmä olisi katsottava uudeksi tekoälyjärjestelmäksi, jolle olisi tehtävä uusi vaatimustenmukaisuuden arviointi. Sellaisten tekoälyjärjestelmien algoritmiin ja suorituskykyyn tehtävien muutosten, jotka jatkavat oppimista markkinoille saattamisen tai käyttöönoton jälkeen eli mukauttavat automaattisesti tapaa, jolla toiminnot toteutetaan, ei kuitenkaan pitäisi katsoa muodostavan merkittävää muutosta edellyttäen, että tarjoaja on määritellyt kyseiset muutokset ennalta ja että ne on arvioitu vaatimustenmukaisuuden arvioinnin yhteydessä.

(129)

High-risk AI systems should bear the CE marking to indicate their conformity with this Regulation so that they can move freely within the internal market. For high-risk AI systems embedded in a product, a physical CE marking should be affixed, and may be complemented by a digital CE marking. For high-risk AI systems only provided digitally, a digital CE marking should be used. Member States should not create unjustified obstacles to the placing on the market or the putting into service of high-risk AI systems that comply with the requirements laid down in this Regulation and bear the CE marking.

(129)

Suuririskisissä tekoälyjärjestelmissä olisi oltava CE-merkintä, joka osoittaa niiden olevan tämän asetuksen mukaisia, jotta ne voivat liikkua vapaasti sisämarkkinoilla. Tuotteeseen sulautettuihin suuririskisiin tekoälyjärjestelmiin olisi kiinnitettävä fyysinen CE-merkintä, jota voidaan täydentää digitaalisella CE-merkinnällä. Digitaalisessa muodossa tarjottavissa suuririskisissä tekoälyjärjestelmissä olisi käytettävä digitaalista CE-merkintää. Jäsenvaltiot eivät saisi estää perusteettomasti sellaisten suuririskisten tekoälyjärjestelmien markkinoille saattamista tai käyttöön ottamista, jotka ovat tässä asetuksessa vahvistettujen vaatimusten mukaisia ja joissa on CE-merkintä.

(130)

Under certain conditions, rapid availability of innovative technologies may be crucial for health and safety of persons, the protection of the environment and climate change and for society as a whole. It is thus appropriate that under exceptional reasons of public security or protection of life and health of natural persons, environmental protection and the protection of key industrial and infrastructural assets, market surveillance authorities could authorise the placing on the market or the putting into service of AI systems which have not undergone a conformity assessment. In duly justified situations, as provided for in this Regulation, law enforcement authorities or civil protection authorities may put a specific high-risk AI system into service without the authorisation of the market surveillance authority, provided that such authorisation is requested during or after the use without undue delay.

(130)

Tietyissä olosuhteissa innovatiivisten teknologioiden nopea saatavuus voi olla ratkaisevan tärkeää ihmisten terveyden ja turvallisuuden, ympäristönsuojelun, ilmastonmuutoksen torjunnan sekä koko yhteiskunnan kannalta. Siksi on asianmukaista, että yleiseen turvallisuuteen tai luonnollisten henkilöiden elämän ja terveyden suojeluun, ympäristönsuojeluun sekä keskeisten teollisten resurssien ja infrastruktuurien suojaamiseen liittyvistä poikkeuksellisista syistä markkinavalvontaviranomaiset voisivat sallia sellaisten tekoälyjärjestelmien markkinoille saattamisen tai käyttöönoton, joille ei ole tehty vaatimustenmukaisuuden arviointia. Tässä asetuksessa säädetyissä asianmukaisesti perustelluissa tilanteissa lainvalvontaviranomaiset tai pelastuspalveluviranomaiset voivat ottaa käyttöön tietyn suuririskisen tekoälyjärjestelmän ilman markkinavalvontaviranomaisen lupaa edellyttäen, että tällainen lupa pyydetään ilman aiheetonta viivytystä tekoälyjärjestelmän käytön aikana tai sen jälkeen.

(131)

In order to facilitate the work of the Commission and the Member States in the AI field as well as to increase the transparency towards the public, providers of high-risk AI systems other than those related to products falling within the scope of relevant existing Union harmonisation legislation, as well as providers who consider that an AI system listed in the high-risk use cases in an annex to this Regulation is not high-risk on the basis of a derogation, should be required to register themselves and information about their AI system in an EU database, to be established and managed by the Commission. Before using an AI system listed in the high-risk use cases in an annex to this Regulation, deployers of high-risk AI systems that are public authorities, agencies or bodies, should register themselves in such database and select the system that they envisage to use. Other deployers should be entitled to do so voluntarily. This section of the EU database should be publicly accessible, free of charge, the information should be easily navigable, understandable and machine-readable. The EU database should also be user-friendly, for example by providing search functionalities, including through keywords, allowing the general public to find relevant information to be submitted upon the registration of high-risk AI systems and on the use case of high-risk AI systems, set out in an annex to this Regulation, to which the high-risk AI systems correspond. Any substantial modification of high-risk AI systems should also be registered in the EU database. For high-risk AI systems in the area of law enforcement, migration, asylum and border control management, the registration obligations should be fulfilled in a secure non-public section of the EU database. Access to the secure non-public section should be strictly limited to the Commission as well as to market surveillance authorities with regard to their national section of that database. High-risk AI systems in the area of critical infrastructure should only be registered at national level. The Commission should be the controller of the EU database, in accordance with Regulation (EU) 2018/1725. In order to ensure the full functionality of the EU database, when deployed, the procedure for setting the database should include the development of functional specifications by the Commission and an independent audit report. The Commission should take into account cybersecurity risks when carrying out its tasks as data controller on the EU database. In order to maximise the availability and use of the EU database by the public, the EU database, including the information made available through it, should comply with requirements under the Directive (EU) 2019/882.

(131)

Jotta helpotettaisiin komission ja jäsenvaltioiden työtä tekoälyn alalla ja lisättäisiin avoimuutta yleisöön nähden, muiden kuin asiaa koskevan unionin voimassa olevan yhdenmukaistamislainsäädännön soveltamisalaan kuuluviin tuotteisiin liittyvien suuririskisten tekoälyjärjestelmien tarjoajia sekä tarjoajia, jotka katsovat, että tämän asetuksen liitteessä esitetyissä suuririskisen käytön tapauksissa lueteltu suuririskinen tekoälyjärjestelmä ei ole suuririskinen poikkeuksen perusteella, olisi vaadittava rekisteröimään itsensä ja tiedot tekoälyjärjestelmästään EU:n tietokantaan, jonka komissio perustaa ja jota se hallinnoi. Ennen tämän asetuksen liitteessä esitetyissä suuririskisen käytön tapauksissa luetellun tekoälyjärjestelmän käyttöä suuririskisten tekoälyjärjestelmien käyttöönottajien, jotka ovat viranomaisia, virastoja tai elimiä, olisi rekisteröidyttävä vastaavaan tietokantaan ja valittava järjestelmä, jota ne aikovat käyttää. Muilla käyttöönottajilla olisi oltava oikeus rekisteröityä vapaaehtoisesti. EU:n tietokannan tämän osion olisi oltava julkisesti ja maksutta saatavilla, ja tietojen olisi oltava helposti selattavia, ymmärrettäviä ja koneellisesti luettavia. EU:n tietokannan olisi myös oltava käyttäjäystävällinen, ja siinä olisi esimerkiksi oltava muun muassa avainsanoihin perustuva hakutoiminto, jonka avulla yleisö voi löytää asiaankuuluvia tietoja, jotka on toimitettava suuririskisten tekoälyjärjestelmien rekisteröinnin yhteydessä, ja niiden suuririskisten tekoälyjärjestelmien käytön tapauksia koskevia tietoja, jotka sisältyvät tämän asetuksen suuririskisiä tekoälyjärjestelmiä koskevaan liitteeseen. Myös kaikki suuririskisiin tekoälyjärjestelmiin tehtävät merkittävät muutokset olisi rekisteröitävä EU:n tietokantaan. Lainvalvonnan, muuttoliikkeen hallinnan, turvapaikka-asioiden ja rajavalvonnan alan suuririskisiä tekoälyjärjestelmiä koskevat rekisteröintivelvoitteet olisi täytettävä EU:n tietokannan suojatussa ei-julkisessa osiossa. Pääsy suojattuun ei-julkiseen osioon olisi rajattava tiukasti niin, että se annetaan vain komissiolle sekä markkinavalvontaviranomaisille tietokannan kansallisen osion osalta. Kriittisen infrastruktuurin alan suuririskiset tekoälyjärjestelmät olisi rekisteröitävä ainoastaan kansallisella tasolla. Komission olisi oltava EU:n tietokannan rekisterinpitäjä asetuksen (EU) 2018/1725 mukaisesti. Jotta EU:n tietokanta olisi täysin toimintavalmis, kun se otetaan käyttöön, sen perustamismenettelyyn olisi sisällyttävä komission laatimat toiminnalliset eritelmät ja riippumaton auditointiraportti. Komission olisi otettava huomioon kyberturvallisuusriskit suorittaessaan tehtäviään EU:n tietokannan rekisterinpitäjänä. Jotta voitaisiin maksimoida EU:n tietokannan saatavuus ja käyttö yleisön keskuudessa, EU:n tietokannan ja sen kautta saataville asetettujen tietojen olisi oltava direktiivin (EU) 2019/882 vaatimusten mukaisia.

(132)

Certain AI systems intended to interact with natural persons or to generate content may pose specific risks of impersonation or deception irrespective of whether they qualify as high-risk or not. In certain circumstances, the use of these systems should therefore be subject to specific transparency obligations without prejudice to the requirements and obligations for high-risk AI systems and subject to targeted exceptions to take into account the special need of law enforcement. In particular, natural persons should be notified that they are interacting with an AI system, unless this is obvious from the point of view of a natural person who is reasonably well-informed, observant and circumspect taking into account the circumstances and the context of use. When implementing that obligation, the characteristics of natural persons belonging to vulnerable groups due to their age or disability should be taken into account to the extent the AI system is intended to interact with those groups as well. Moreover, natural persons should be notified when they are exposed to AI systems that, by processing their biometric data, can identify or infer the emotions or intentions of those persons or assign them to specific categories. Such specific categories can relate to aspects such as sex, age, hair colour, eye colour, tattoos, personal traits, ethnic origin, personal preferences and interests. Such information and notifications should be provided in accessible formats for persons with disabilities.

(132)

Tietyt tekoälyjärjestelmät, jotka on tarkoitettu toimimaan vuorovaikutuksessa luonnollisten henkilöiden kanssa tai tuottamaan sisältöä, voivat aiheuttaa erityisiä toisena henkilönä esiintymiseen tai harhaanjohtamiseen liittyviä riskejä riippumatta siitä, luokitellaanko ne suuririskisiksi vai ei. Siksi näiden järjestelmien käyttöön olisi tietyissä olosuhteissa sovellettava erityisiä avoimuusvelvoitteita, sanotun kuitenkaan rajoittamatta suuririskisiä tekoälyjärjestelmiä koskevien vaatimusten ja velvoitteiden soveltamista ja lukuun ottamatta kohdennettuja poikkeuksia lainvalvonnan erityistarpeiden huomioon ottamiseksi. Luonnollisille henkilöille olisi erityisesti ilmoitettava, että he ovat vuorovaikutuksessa tekoälyjärjestelmän kanssa, ellei tämä ole ilmeistä sellaisen luonnollisen henkilön näkökulmasta, joka on suhteellisen valistunut, tarkkaavainen ja huolellinen ottaen huomioon käytön olosuhteet ja asiayhteys. Kyseistä velvoitetta täytäntöön pantaessa olisi otettava huomioon ikänsä tai vammaisuutensa vuoksi haavoittuvassa asemassa oleviin ryhmiin kuuluvien luonnollisten henkilöiden ominaisuuspiirteet siltä osin kuin tekoälyjärjestelmä on tarkoitettu vuorovaikutukseen myös kyseisten ryhmien kanssa. Lisäksi luonnollisille henkilöille olisi ilmoitettava, jos he altistuvat tekoälyjärjestelmille, jotka pystyvät tunnistamaan tai päättelemään näiden henkilöiden tunteet tai aikomukset taikka luokittelemaan heidät tiettyihin ryhmiin, kun ne käsittelevät heidän biometrisiä tietojaan. Tällaiset ryhmät voivat määräytyä esimerkiksi sukupuolen, iän, hiustenvärin, silmien värin, tatuointien, persoonallisuuspiirteiden, etnisen alkuperän, henkilökohtaisten mieltymysten ja kiinnostuksen kohteiden perusteella. Kyseiset tiedot ja ilmoitukset olisi annettava vammaisille henkilöille soveltuvassa muodossa.

(133)

A variety of AI systems can generate large quantities of synthetic content that becomes increasingly hard for humans to distinguish from human-generated and authentic content. The wide availability and increasing capabilities of those systems have a significant impact on the integrity and trust in the information ecosystem, raising new risks of misinformation and manipulation at scale, fraud, impersonation and consumer deception. In light of those impacts, the fast technological pace and the need for new methods and techniques to trace origin of information, it is appropriate to require providers of those systems to embed technical solutions that enable marking in a machine readable format and detection that the output has been generated or manipulated by an AI system and not a human. Such techniques and methods should be sufficiently reliable, interoperable, effective and robust as far as this is technically feasible, taking into account available techniques or a combination of such techniques, such as watermarks, metadata identifications, cryptographic methods for proving provenance and authenticity of content, logging methods, fingerprints or other techniques, as may be appropriate. When implementing this obligation, providers should also take into account the specificities and the limitations of the different types of content and the relevant technological and market developments in the field, as reflected in the generally acknowledged state of the art. Such techniques and methods can be implemented at the level of the AI system or at the level of the AI model, including general-purpose AI models generating content, thereby facilitating fulfilment of this obligation by the downstream provider of the AI system. To remain proportionate, it is appropriate to envisage that this marking obligation should not cover AI systems performing primarily an assistive function for standard editing or AI systems not substantially altering the input data provided by the deployer or the semantics thereof.

(133)

Useat eri tekoälyjärjestelmät voivat tuottaa suuria määriä synteettistä sisältöä, jota on yhä vaikeampi erottaa ihmisen tuottamasta aidosta sisällöstä. Näiden järjestelmien laaja saatavuus ja suorituskyvyn jatkuva kehittyminen vaikuttavat merkittävästi tietoekosysteemin eheyteen ja luotettavuuteen ja synnyttävät uusia riskejä, jotka liittyvät laajamittaiseen väärän tiedon levittämiseen ja tiedonmanipulointiin, petoksiin, toisena henkilönä esiintymiseen ja kuluttajien harhaanjohtamiseen. Kun otetaan huomioon nämä vaikutukset, teknologian nopea kehitys ja tarve kehittää uusia menetelmiä ja tekniikoita tiedon alkuperän jäljittämiseksi, on aiheellista edellyttää, että näiden järjestelmien tarjoajat sulauttavat niihin ratkaisuja, joilla tuotokset voidaan merkitä koneellisesti luettavassa muodossa ja joilla ne voidaan tunnistaa ihmisen sijasta tekoälyn tuottamiksi tai käsittelemiksi. Tällaisten tekniikoiden ja menetelmien olisi oltava riittävän luotettavia, yhteentoimivia, tehokkaita ja luotettavia siinä määrin kuin se on teknisesti mahdollista ottaen huomioon käytettävissä olevat tekniikat ja niiden yhdistelmät, kuten tarpeen mukaan vesileimat, metatietojen tunnistaminen, salausmenetelmät sisällön alkuperän ja aitouden osoittamiseksi, lokikirjausmenetelmät, sormenjäljet tai muut tekniikat. Tätä velvoitetta täyttäessään tarjoajien olisi lisäksi otettava huomioon eri sisältötyyppien ominaispiirteet ja rajoitukset sekä alan teknologian ja markkinoiden merkityksellinen kehitys, jota ilmentää yleisesti tunnustettu alan viimeisin kehitystaso. Nämä tekniikat ja menetelmät voidaan panna täytäntöön tekoälyjärjestelmä- tai tekoälymallitasolla, mukaan lukien sisältöä tuottavat yleiskäyttöiset tekoälymallit, mikä auttaa tekoälyjärjestelmän ketjun loppupään tarjoajia täyttämään tämän velvoitteen. Oikeasuhteisuuden säilyttämiseksi on aiheellista säätää, ettei tämän merkintävelvoitteen pitäisi kattaa tekoälyjärjestelmiä, jotka ensisijaisesti avustavat vakiomuokkaamista tai eivät olennaisesti muuta käyttöönottajan toimittamaa syöttödataa tai sen semantiikkaa.

(134)

Further to the technical solutions employed by the providers of the AI system, deployers who use an AI system to generate or manipulate image, audio or video content that appreciably resembles existing persons, objects, places, entities or events and would falsely appear to a person to be authentic or truthful (deep fakes), should also clearly and distinguishably disclose that the content has been artificially created or manipulated by labelling the AI output accordingly and disclosing its artificial origin. Compliance with this transparency obligation should not be interpreted as indicating that the use of the AI system or its output impedes the right to freedom of expression and the right to freedom of the arts and sciences guaranteed in the Charter, in particular where the content is part of an evidently creative, satirical, artistic, fictional or analogous work or programme, subject to appropriate safeguards for the rights and freedoms of third parties. In those cases, the transparency obligation for deep fakes set out in this Regulation is limited to disclosure of the existence of such generated or manipulated content in an appropriate manner that does not hamper the display or enjoyment of the work, including its normal exploitation and use, while maintaining the utility and quality of the work. In addition, it is also appropriate to envisage a similar disclosure obligation in relation to AI-generated or manipulated text to the extent it is published with the purpose of informing the public on matters of public interest unless the AI-generated content has undergone a process of human review or editorial control and a natural or legal person holds editorial responsibility for the publication of the content.

(134)

Tekoälyjärjestelmän tarjoajien käyttämien teknisten ratkaisujen lisäksi sellaisen tekoälyjärjestelmän käyttöönottajien, joka tuottaa tai käsittelee kuva-, ääni- tai videosisältöä, joka selvästi muistuttaa olemassa olevia henkilöitä, esineitä, paikkoja, toimijoita tai tapahtumia ja joka voi ihmisestä vaikuttaa virheellisesti aidolta tai totuudenmukaiselta (syväväärennökset), olisi ilmoitettava selkeästi ja erikseen, että kyseinen sisältö on tuotettu tai käsitelty keinotekoisesti, merkitsemällä tekoälyn tuotos vastaavasti ja ilmoittamalla sen keinotekoinen alkuperä. Tämän avoimuusvelvoitteen noudattamisen ei pitäisi myöskään tulkita merkitsevän sitä, että tekoälyjärjestelmän tai sen tuotoksen käyttö heikentää perusoikeuskirjassa taattuja oikeutta sananvapauteen ja oikeutta taiteen ja tutkimuksen vapauteen, erityisesti jos sisältö on osa selvästi luovaa, satiirista, taiteellista, fiktiivistä tai vastaavaa teosta tai ohjelmaa, edellyttäen että kolmansien osapuolten oikeudet ja vapaudet turvataan asianmukaisesti. Näissä tapauksissa tässä asetuksessa vahvistettu syväväärennöksiä koskeva avoimuusvelvoite rajoittuu tällaisesta tuotetusta tai käsitellystä sisällöstä ilmoittamiseen asianmukaisesti tavalla, joka ei haittaa teoksen esittämistä tai sen käyttöä, mukaan lukien sen tavanomainen hyödyntäminen ja käyttö, säilyttäen samalla teoksen hyödyllisyys ja laatu. Lisäksi on aiheellista harkita vastaavan ilmoitusvelvollisuuden käyttöönottoa tekoälyn tuottaman tai käsittelemän tekstin osalta siltä osin kuin sen julkaisemisen tarkoituksena on tiedottaa yleisölle yleistä etua koskevista asioista, paitsi jos tekoälyn tuottama sisältö on läpikäynyt ihmisen suorittaman arviointiprosessin tai toimituksellisen valvonnan ja luonnollisella henkilöllä tai oikeushenkilöllä on toimituksellinen vastuu sisällön julkaisemisesta.

(135)

Without prejudice to the mandatory nature and full applicability of the transparency obligations, the Commission may also encourage and facilitate the drawing up of codes of practice at Union level to facilitate the effective implementation of the obligations regarding the detection and labelling of artificially generated or manipulated content, including to support practical arrangements for making, as appropriate, the detection mechanisms accessible and facilitating cooperation with other actors along the value chain, disseminating content or checking its authenticity and provenance to enable the public to effectively distinguish AI-generated content.

(135)

Komissio voi myös kannustaa ja helpottaa käytännesääntöjen laatimista unionin tasolla, jotta voidaan edistää keinotekoisesti tuotetun tai käsitellyn sisällön havaitsemista ja merkitsemistä koskevien velvoitteiden tehokasta täytäntöönpanoa, myös tukea käytännön järjestelyjä, joilla tapauksen mukaan tuodaan havaitsemismekanismit saataville ja helpotetaan yhteistyötä muiden arvoketjun toimijoiden kanssa, levitetään sisältöä tai tarkistetaan sen aitous ja alkuperä, jotta yleisö voi tehokkaasti erottaa tekoälyn tuottaman sisällön muusta sisällöstä, sanotun kuitenkaan vaikuttamatta avoimuusvelvoitteiden pakolliseen luonteeseen ja täyteen sovellettavuuteen.

(136)

The obligations placed on providers and deployers of certain AI systems in this Regulation to enable the detection and disclosure that the outputs of those systems are artificially generated or manipulated are particularly relevant to facilitate the effective implementation of Regulation (EU) 2022/2065. This applies in particular as regards the obligations of providers of very large online platforms or very large online search engines to identify and mitigate systemic risks that may arise from the dissemination of content that has been artificially generated or manipulated, in particular the risk of the actual or foreseeable negative effects on democratic processes, civic discourse and electoral processes, including through disinformation. The requirement to label content generated by AI systems under this Regulation is without prejudice to the obligation in Article 16(6) of Regulation (EU) 2022/2065 for providers of hosting services to process notices on illegal content received pursuant to Article 16(1) of that Regulation and should not influence the assessment and the decision on the illegality of the specific content. That assessment should be performed solely with reference to the rules governing the legality of the content.

(136)

Tässä asetuksessa asetetaan tiettyjen tekoälyjärjestelmien tarjoajille ja käyttöönottajille velvoitteita, joiden tarkoituksena on havaita, että näiden järjestelmien tuotokset ovat keinotekoisesti tuotettuja tai käsiteltyjä, ja julkistaa tämä tieto. Nämä velvoitteet ovat erityisen merkityksellisiä asetuksen (EU) 2022/2065 tehokkaan täytäntöönpanon helpottamisen kannalta. Tämä koskee erityisesti erittäin suurten verkkoalustojen tai erittäin suurten verkossa toimivien hakukoneiden tarjoajien velvoitteita tunnistaa ja lieventää systeemisiä riskejä, joita voi aiheutua keinotekoisesti tuotetun tai käsitellyn sisällön levittämisestä, erityisesti myös disinformaatiosta johtuva demokraattisiin prosesseihin, kansalaiskeskusteluun ja vaaliprosesseihin kohdistuvien tosiasiallisten tai ennakoitavien kielteisten vaikutusten riski. Tämän asetuksen mukainen vaatimus merkitä tekoälyjärjestelmien tuottama sisältö ei rajoita asetuksen (EU) 2022/2065 16 artiklan 6 kohdassa säädettyä säilytyspalvelujen tarjoajien velvoitetta käsitellä kyseisen asetuksen 16 artiklan 1 kohdan mukaisesti saamansa ilmoituksia laittomasta sisällöstä, eikä sen pitäisi vaikuttaa tietyn sisällön laittomuudesta tehtävään arviointiin tai päätökseen. Kyseinen arviointi olisi tehtävä yksinomaan sisällön laillisuutta koskevien sääntöjen perusteella.

(137)

Compliance with the transparency obligations for the AI systems covered by this Regulation should not be interpreted as indicating that the use of the AI system or its output is lawful under this Regulation or other Union and Member State law and should be without prejudice to other transparency obligations for deployers of AI systems laid down in Union or national law.

(137)

Tämän asetuksen kattamien tekoälyjärjestelmien avoimuusvelvoitteiden noudattamisen ei saisi tulkita merkitsevän sitä, että tekoälyjärjestelmän tai sen tuotoksen käyttö on lainmukaista tämän asetuksen tai muun unionin ja jäsenvaltioiden lainsäädännön nojalla, eikä se saisi rajoittaa muiden unionin tai jäsenvaltioiden lainsäädännössä säädettyjen tekoälyjärjestelmien käyttöönottajia koskevien avoimuusvelvoitteiden soveltamista.

(138)

AI is a rapidly developing family of technologies that requires regulatory oversight and a safe and controlled space for experimentation, while ensuring responsible innovation and integration of appropriate safeguards and risk mitigation measures. To ensure a legal framework that promotes innovation, is future-proof and resilient to disruption, Member States should ensure that their national competent authorities establish at least one AI regulatory sandbox at national level to facilitate the development and testing of innovative AI systems under strict regulatory oversight before these systems are placed on the market or otherwise put into service. Member States could also fulfil this obligation through participating in already existing regulatory sandboxes or establishing jointly a sandbox with one or more Member States’ competent authorities, insofar as this participation provides equivalent level of national coverage for the participating Member States. AI regulatory sandboxes could be established in physical, digital or hybrid form and may accommodate physical as well as digital products. Establishing authorities should also ensure that the AI regulatory sandboxes have the adequate resources for their functioning, including financial and human resources.

(138)

Tekoäly on nopeasti kehittyvä teknologiakokonaisuus, joka edellyttää viranomaisvalvontaa sekä turvallista ja valvottua tilaa kokeiluille samalla kun varmistetaan vastuullinen innovointi ja asianmukaisten takeiden ja riskinvähentämistoimenpiteiden integrointi. Jotta voidaan varmistaa innovointia edistävä, tulevaisuuden vaatimukset huomioon ottava ja häiriönsietokykyinen oikeudellinen kehys, jäsenvaltioiden olisi varmistettava, että niiden toimivaltaiset kansalliset viranomaiset perustavat ainakin yhden tekoälyn sääntelyn kansallisen tason testiympäristön, jolla helpotetaan innovatiivisten tekoälyjärjestelmien kehittämistä ja testausta tiukassa viranomaisvalvonnassa, ennen kuin nämä järjestelmät saatetaan markkinoille tai otetaan muulla tavoin käyttöön. Jäsenvaltiot voisivat täyttää tämän velvoitteen myös osallistumalla jo olemassa oleviin sääntelyn testiympäristöihin tai perustamalla testiympäristön yhdessä yhden tai useamman jäsenvaltion toimivaltaisten viranomaisten kanssa, jos osallistuminen tarjoaa osallistuville jäsenvaltioille vastaavan kansallisen kattavuuden. Tekoälyn sääntelyn testiympäristöjä voitaisiin perustaa fyysisessä, digitaalisessa tai hybridimuodossa, ja niissä voitaisiin testata sekä fyysisiä että digitaalisia tuotteita. Perustajaviranomaisten olisi myös varmistettava, että tekoälyn sääntelyn testiympäristöillä on toimintansa edellyttämät riittävät resurssit, mukaan lukien taloudelliset ja henkilöresurssit.

(139)

The objectives of the AI regulatory sandboxes should be to foster AI innovation by establishing a controlled experimentation and testing environment in the development and pre-marketing phase with a view to ensuring compliance of the innovative AI systems with this Regulation and other relevant Union and national law. Moreover, the AI regulatory sandboxes should aim to enhance legal certainty for innovators and the competent authorities’ oversight and understanding of the opportunities, emerging risks and the impacts of AI use, to facilitate regulatory learning for authorities and undertakings, including with a view to future adaptions of the legal framework, to support cooperation and the sharing of best practices with the authorities involved in the AI regulatory sandbox, and to accelerate access to markets, including by removing barriers for SMEs, including start-ups. AI regulatory sandboxes should be widely available throughout the Union, and particular attention should be given to their accessibility for SMEs, including start-ups. The participation in the AI regulatory sandbox should focus on issues that raise legal uncertainty for providers and prospective providers to innovate, experiment with AI in the Union and contribute to evidence-based regulatory learning. The supervision of the AI systems in the AI regulatory sandbox should therefore cover their development, training, testing and validation before the systems are placed on the market or put into service, as well as the notion and occurrence of substantial modification that may require a new conformity assessment procedure. Any significant risks identified during the development and testing of such AI systems should result in adequate mitigation and, failing that, in the suspension of the development and testing process. Where appropriate, national competent authorities establishing AI regulatory sandboxes should cooperate with other relevant authorities, including those supervising the protection of fundamental rights, and could allow for the involvement of other actors within the AI ecosystem such as national or European standardisation organisations, notified bodies, testing and experimentation facilities, research and experimentation labs, European Digital Innovation Hubs and relevant stakeholder and civil society organisations. To ensure uniform implementation across the Union and economies of scale, it is appropriate to establish common rules for the AI regulatory sandboxes’ implementation and a framework for cooperation between the relevant authorities involved in the supervision of the sandboxes. AI regulatory sandboxes established under this Regulation should be without prejudice to other law allowing for the establishment of other sandboxes aiming to ensure compliance with law other than this Regulation. Where appropriate, relevant competent authorities in charge of those other regulatory sandboxes should consider the benefits of using those sandboxes also for the purpose of ensuring compliance of AI systems with this Regulation. Upon agreement between the national competent authorities and the participants in the AI regulatory sandbox, testing in real world conditions may also be operated and supervised in the framework of the AI regulatory sandbox.

(139)

Tekoälyn sääntelyn testiympäristöjen tavoitteena olisi oltava edistää tekoälyyn liittyvää innovointia luomalla hallittu kokeilu- ja testausympäristö kehitysvaiheessa ja markkinoille saattamista edeltävässä vaiheessa, jotta voidaan varmistaa, että innovatiiviset tekoälyjärjestelmät ovat tämän asetuksen ja muun asiaankuuluvan unionin ja jäsenvaltioiden lainsäädännön mukaisia. Lisäksi tekoälyn sääntelyn testiympäristöillä olisi pyrittävä parantamaan innovoijien oikeusvarmuutta ja toimivaltaisten viranomaisten valvontaa sekä ymmärrystä tekoälyn käytön mahdollisuuksista, kehittyvistä riskeistä ja vaikutuksista, helpotettava viranomaisten ja yritysten sääntelyyn liittyvää oppimista, myös oikeudellisen kehyksen tulevia mukautuksia silmällä pitäen, tuettava yhteistyötä ja parhaiden käytäntöjen jakamista tekoälyn sääntelyn testiympäristöön osallistuvien viranomaisten kanssa sekä nopeutettava markkinoille pääsyä muun muassa poistamalla esteitä pk-yrityksiltä, myös startup-yrityksiltä. Tekoälyn sääntelyn testiympäristöjä olisi oltava laajalti käytettävissä kaikkialla unionissa, ja erityistä huomiota olisi kiinnitettävä siihen, että ne ovat pk-yritysten, myös startup-yritysten, saatavilla. Tekoälyn sääntelyn testiympäristöön osallistumisessa olisi painotettava kysymyksiä, jotka aiheuttavat tarjoajille ja mahdollisille tarjoajille oikeudellista epävarmuutta, joka liittyy innovointiin, tekoälyn kokeiluun unionissa ja näyttöön perustuvan sääntelyyn liittyvän oppimisen edistämiseen. Tekoälyjärjestelmien valvonnan tekoälyn sääntelyn testiympäristössä olisi näin ollen katettava järjestelmien kehittäminen, koulutus, testaus ja validointi ennen kuin ne saatetaan markkinoille tai otetaan käyttöön sekä sellaisen merkittävän muutoksen käsite ja esiintyminen, joka saattaa edellyttää uutta vaatimustenmukaisuuden arviointia. Tällaisten tekoälyjärjestelmien kehittämisen ja testauksen aikana havaittuja merkittäviä riskejä olisi vähennettävä asianmukaisesti, ja jos se ei ole mahdollista, kehittämis- ja testausprosessi olisi keskeytettävä. Tekoälyn sääntelyn testiympäristöjä perustavien kansallisten toimivaltaisten viranomaisten olisi tarvittaessa tehtävä yhteistyötä muiden asiaankuuluvien viranomaisten kanssa, mukaan lukien perusoikeuksien suojelua valvovat viranomaiset, ja ne voisivat sallia myös muiden toimijoiden, joita voisivat olla kansalliset ja eurooppalaiset standardointijärjestöt, ilmoitetut laitokset, testaus- ja kokeilulaitokset, tutkimus- ja kokeilulaboratoriot, eurooppalaiset digitaali-innovointikeskittymät ja asiaankuuluvat sidosryhmien ja kansalaisyhteiskunnan organisaatiot, osallistumisen tekoälyekosysteemiin. Yhdenmukaisen täytäntöönpanon varmistamiseksi koko unionissa ja mittakaavaetujen saavuttamiseksi on aiheellista vahvistaa yhteiset säännöt tekoälyn sääntelyn testiympäristöjen toteuttamiselle ja puitteet testiympäristöjen valvontaan osallistuvien asiaankuuluvien viranomaisten väliselle yhteistyölle. Tämän asetuksen nojalla perustetuilla tekoälyn sääntelyn testiympäristöillä ei saisi rajoittaa muun sellaisen lainsäädännön soveltamista, jonka nojalla voidaan perustaa testiympäristöjä, joiden tavoitteena on varmistaa muun lainsäädännön kuin tämän asetuksen noudattaminen. Kyseisistä muista sääntelyn testiympäristöistä vastaavien asiaankuuluvien toimivaltaisten viranomaisten olisi tarvittaessa otettava huomioon hyödyt, joita saadaan myös näiden testiympäristöjen käyttämisestä sen varmistamiseen, että tekoälyjärjestelmät ovat tämän asetuksen mukaisia. Kansallisten toimivaltaisten viranomaisten ja tekoälyn sääntelyn testiympäristöön osallistujien niin sopiessa tosielämän olosuhteissa tapahtuvaa testausta voidaan toteuttaa ja valvoa myös tekoälyn sääntelyn testiympäristön kehyksessä.

(140)

This Regulation should provide the legal basis for the providers and prospective providers in the AI regulatory sandbox to use personal data collected for other purposes for developing certain AI systems in the public interest within the AI regulatory sandbox, only under specified conditions, in accordance with Article 6(4) and Article 9(2), point (g), of Regulation (EU) 2016/679, and Articles 5, 6 and 10 of Regulation (EU) 2018/1725, and without prejudice to Article 4(2) and Article 10 of Directive (EU) 2016/680. All other obligations of data controllers and rights of data subjects under Regulations (EU) 2016/679 and (EU) 2018/1725 and Directive (EU) 2016/680 remain applicable. In particular, this Regulation should not provide a legal basis in the meaning of Article 22(2), point (b) of Regulation (EU) 2016/679 and Article 24(2), point (b) of Regulation (EU) 2018/1725. Providers and prospective providers in the AI regulatory sandbox should ensure appropriate safeguards and cooperate with the competent authorities, including by following their guidance and acting expeditiously and in good faith to adequately mitigate any identified significant risks to safety, health, and fundamental rights that may arise during the development, testing and experimentation in that sandbox.

(140)

Tämän asetuksen olisi muodostettava oikeusperusta tekoälyn sääntelyn testiympäristöön osallistuvia tarjoajia ja mahdollisia tarjoajia varten, jotta ne voivat käyttää muihin tarkoituksiin kerättyjä henkilötietoja tiettyjen yleisen edun mukaisten tekoälyjärjestelmien kehittämiseen tekoälyn sääntelyn testiympäristössä ainoastaan tietyin edellytyksin, asetuksen (EU) 2016/679 6 artiklan 4 kohdan ja 9 artiklan 2 kohdan g alakohdan ja asetuksen (EU) 2018/1725 5, 6 ja 10 artiklan mukaisesti ja rajoittamatta direktiivin (EU) 2016/680 4 artiklan 2 kohdan ja 10 artiklan soveltamista. Kaikkia muita asetusten (EU) 2016/679 ja (EU) 2018/1725 ja direktiivin (EU) 2016/680 mukaisia rekisterinpitäjien velvoitteita ja rekisteröityjen oikeuksia sovelletaan edelleen. Erityisesti on huomattava, ettei tämän asetuksen ole tarkoitus muodostaa asetuksen (EU) 2016/679 22 artiklan 2 kohdan b alakohdassa ja asetuksen (EU) 2018/1725 24 artiklan 2 kohdan b alakohdassa tarkoitettua oikeusperustaa. Tekoälyn sääntelyn testiympäristöön osallistuvien tarjoajien ja mahdollisten tarjoajien olisi varmistettava asianmukaiset takeet ja tehtävä yhteistyötä toimivaltaisten viranomaisten kanssa muun muassa noudattamalla niiden ohjeita ja toimimalla nopeasti ja vilpittömästi lieventääkseen asianmukaisesti mahdollisia havaittuja turvallisuuteen, terveyteen ja perusoikeuksiin kohdistuvia merkittäviä riskejä, joita voi syntyä kyseisessä testiympäristössä tapahtuvan kehittämisen, testauksen ja kokeilun aikana.

(141)

In order to accelerate the process of development and the placing on the market of the high-risk AI systems listed in an annex to this Regulation, it is important that providers or prospective providers of such systems may also benefit from a specific regime for testing those systems in real world conditions, without participating in an AI regulatory sandbox. However, in such cases, taking into account the possible consequences of such testing on individuals, it should be ensured that appropriate and sufficient guarantees and conditions are introduced by this Regulation for providers or prospective providers. Such guarantees should include, inter alia, requesting informed consent of natural persons to participate in testing in real world conditions, with the exception of law enforcement where the seeking of informed consent would prevent the AI system from being tested. Consent of subjects to participate in such testing under this Regulation is distinct from, and without prejudice to, consent of data subjects for the processing of their personal data under the relevant data protection law. It is also important to minimise the risks and enable oversight by competent authorities and therefore require prospective providers to have a real-world testing plan submitted to competent market surveillance authority, register the testing in dedicated sections in the EU database subject to some limited exceptions, set limitations on the period for which the testing can be done and require additional safeguards for persons belonging to certain vulnerable groups, as well as a written agreement defining the roles and responsibilities of prospective providers and deployers and effective oversight by competent personnel involved in the real world testing. Furthermore, it is appropriate to envisage additional safeguards to ensure that the predictions, recommendations or decisions of the AI system can be effectively reversed and disregarded and that personal data is protected and is deleted when the subjects have withdrawn their consent to participate in the testing without prejudice to their rights as data subjects under the Union data protection law. As regards transfer of data, it is also appropriate to envisage that data collected and processed for the purpose of testing in real-world conditions should be transferred to third countries only where appropriate and applicable safeguards under Union law are implemented, in particular in accordance with bases for transfer of personal data under Union law on data protection, while for non-personal data appropriate safeguards are put in place in accordance with Union law, such as Regulations (EU) 2022/868 (42) and (EU) 2023/2854 (43) of the European Parliament and of the Council.

(141)

Jotta voidaan nopeuttaa tämän asetuksen liitteessä lueteltujen suuririskisten tekoälyjärjestelmien kehittämis- ja markkinoille saattamisprosessia, on tärkeää, että tällaisten järjestelmien tarjoajat tai mahdolliset tarjoajat voivat hyötyä myös erityisestä järjestelystä, jossa ne voivat testata näitä järjestelmiä todellisissa olosuhteissa osallistumatta tekoälyn sääntelyn testiympäristöön. Tällaisissa tapauksissa, ottaen huomioon tällaisen testauksen mahdolliset vaikutukset henkilöihin, olisi kuitenkin varmistettava, että tällä asetuksella otetaan käyttöön tarjoajia tai mahdollisia tarjoajia koskevat asianmukaiset ja riittävät takeet ja edellytykset. Näihin takeisiin olisi sisällyttävä muun muassa tietoon perustuvan suostumuksen pyytäminen luonnollisilta henkilöiltä tosielämän olosuhteissa tapahtuvaan testaukseen osallistumiseksi, lukuun ottamatta lainvalvontaa, jossa tietoon perustuvan suostumuksen pyytäminen estäisi tekoälyjärjestelmän testaamisen. Osallistujien antama suostumus tällaiseen testaukseen osallistumisesta tämän asetuksen nojalla on eri kuin rekisteröityjen antama suostumus henkilötietojensa käsittelyyn asiaankuuluvan tietosuojalain nojalla eikä se vaikuta viimeksi mainittuun suostumukseen. Lisäksi on tärkeää minimoida riskit ja mahdollistaa toimivaltaisten viranomaisten suorittama valvonta. Tästä syystä on vaadittava, että mahdolliset tarjoajat toimittavat toimivaltaiselle markkinavalvontaviranomaiselle suunnitelman todellisissa olosuhteissa toteutettavasta testauksesta, rekisteröivät testauksen EU:n tietokannan asiaankuuluviin osioihin joitakin rajoitettuja poikkeuksia lukuun ottamatta, rajaavat ajanjakson, jonka kuluessa testaus voidaan suorittaa, ja edellyttävät lisätakeita sellaisten henkilöiden osalta, jotka kuuluvat tiettyyn haavoittuvassa asemassa olevaan ryhmään, ja kirjallisen sopimuksen, jossa määritellään mahdollisten tarjoajien ja käyttöönottajien tehtävät ja vastuut ja todellisissa olosuhteissa toteutettavaan testaukseen osallistuvan pätevän henkilöstön suorittama valvonta. Lisäksi on aiheellista säätää lisätakeista sen varmistamiseksi, että tekoälyjärjestelmän ennusteet, suositukset ja päätökset voidaan tosiasiallisesti peruuttaa ja jättää huomiotta ja että henkilötiedot suojataan ja että ne poistetaan, kun osallistujat ovat peruuttaneet suostumuksensa testaukseen osallistumisesta, sanotun kuitenkaan rajoittamatta heille unionin tietosuojalainsäädännön mukaisesti rekisteröityinä kuuluvia oikeuksia. Tiedonsiirron osalta on aiheellista säätää, että todellisissa olosuhteissa tapahtuvaa testausta varten kerättyjä ja käsiteltyjä tietoja olisi siirrettävä kolmansiin maihin vain, jos siirrossa noudatetaan unionin oikeuden mukaisesti sovellettavia asianmukaisia takeita, erityisesti unionin tietosuojalainsäädännön mukaisten henkilötietojen siirtoa koskevien perustojen mukaisesti, kun taas muiden kuin henkilötietojen osalta on otettava käyttöön asianmukaiset takeet unionin oikeuden, kuten Euroopan parlamentin ja neuvoston asetusten (EU) 2022/868 (42) ja (EU) 2023/2854 (43), mukaisesti.

(142)

To ensure that AI leads to socially and environmentally beneficial outcomes, Member States are encouraged to support and promote research and development of AI solutions in support of socially and environmentally beneficial outcomes, such as AI-based solutions to increase accessibility for persons with disabilities, tackle socio-economic inequalities, or meet environmental targets, by allocating sufficient resources, including public and Union funding, and, where appropriate and provided that the eligibility and selection criteria are fulfilled, considering in particular projects which pursue such objectives. Such projects should be based on the principle of interdisciplinary cooperation between AI developers, experts on inequality and non-discrimination, accessibility, consumer, environmental, and digital rights, as well as academics.

(142)

Jotta voidaan varmistaa, että tekoälyn käyttö johtaa yhteiskunnan ja ympäristön kannalta suotuisiin tuloksiin, jäsenvaltioita kannustetaan tukemaan ja edistämään sellaisten tekoälyratkaisujen tutkimusta ja kehittämistä, joilla tuetaan yhteiskunnan ja ympäristön kannalta suotuisia tuloksia, kuten tekoälypohjaisia ratkaisuja, joilla parannetaan esteettömyyttä vammaisten henkilöiden kannalta, vähennetään sosiaalis-taloudellista eriarvoisuutta tai saavutetaan ympäristötavoitteita, osoittamalla siihen riittävästi resursseja, myös julkista ja unionin rahoitusta, ja ottamalla tässä yhteydessä huomioon erityisesti tällaisiin tavoitteisiin pyrkivät hankkeet, jos se on asianmukaista ja edellyttäen, että ne täyttävät kelpoisuusvaatimukset ja valintaperusteet. Tällaisten hankkeiden olisi perustuttava tekoälyn kehittäjien ja eriarvoisuuteen, syrjimättömyyteen, saavutettavuuteen, kuluttaja-asioihin, ympäristöön ja digitaalisiin oikeuksiin perehtyneiden asiantuntijoiden sekä tiedeyhteisön välisen poikkitieteellisen yhteistyön periaatteeseen.

(143)

In order to promote and protect innovation, it is important that the interests of SMEs, including start-ups, that are providers or deployers of AI systems are taken into particular account. To that end, Member States should develop initiatives, which are targeted at those operators, including on awareness raising and information communication. Member States should provide SMEs, including start-ups, that have a registered office or a branch in the Union, with priority access to the AI regulatory sandboxes provided that they fulfil the eligibility conditions and selection criteria and without precluding other providers and prospective providers to access the sandboxes provided the same conditions and criteria are fulfilled. Member States should utilise existing channels and where appropriate, establish new dedicated channels for communication with SMEs, including start-ups, deployers, other innovators and, as appropriate, local public authorities, to support SMEs throughout their development path by providing guidance and responding to queries about the implementation of this Regulation. Where appropriate, these channels should work together to create synergies and ensure homogeneity in their guidance to SMEs, including start-ups, and deployers. Additionally, Member States should facilitate the participation of SMEs and other relevant stakeholders in the standardisation development processes. Moreover, the specific interests and needs of providers that are SMEs, including start-ups, should be taken into account when notified bodies set conformity assessment fees. The Commission should regularly assess the certification and compliance costs for SMEs, including start-ups, through transparent consultations and should work with Member States to lower such costs. For example, translation costs related to mandatory documentation and communication with authorities may constitute a significant cost for providers and other operators, in particular those of a smaller scale. Member States should possibly ensure that one of the languages determined and accepted by them for relevant providers’ documentation and for communication with operators is one which is broadly understood by the largest possible number of cross-border deployers. In order to address the specific needs of SMEs, including start-ups, the Commission should provide standardised templates for the areas covered by this Regulation, upon request of the Board. Additionally, the Commission should complement Member States’ efforts by providing a single information platform with easy-to-use information with regards to this Regulation for all providers and deployers, by organising appropriate communication campaigns to raise awareness about the obligations arising from this Regulation, and by evaluating and promoting the convergence of best practices in public procurement procedures in relation to AI systems. Medium-sized enterprises which until recently qualified as small enterprises within the meaning of the Annex to Commission Recommendation 2003/361/EC (44) should have access to those support measures, as those new medium-sized enterprises may sometimes lack the legal resources and training necessary to ensure proper understanding of, and compliance with, this Regulation.

(143)

Innovoinnin edistämiseksi ja suojaamiseksi on tärkeää ottaa erityisesti huomioon pk-yritysten, myös startup-yritysten, intressit tekoälyjärjestelmien tarjoajina ja käyttöönottajina. Tätä varten jäsenvaltioiden olisi kehitettävä kyseisille toimijoille suunnattuja aloitteita, jotka koskevat muun muassa tietämyksen lisäämistä ja tiedotusta. Jäsenvaltioiden olisi annettava niille pk-yrityksille, myös startup-yrityksille, joilla on sääntömääräinen kotipaikka tai sivutoimipiste unionissa, ensisijainen pääsy tekoälyn sääntelyn testiympäristöihin, edellyttäen että ne täyttävät kelpoisuusvaatimukset ja valintaperusteet, mutta jäsenvaltiot eivät saa estää muilta tarjoajilta ja mahdollisilta tarjoajilta pääsyä testiympäristöihin, jos nämä täyttävät samat vaatimukset ja perusteet. Jäsenvaltioiden olisi käytettävä olemassa olevia kanavia ja perustettava tarvittaessa uusia kanavia viestintään pk-yritysten, mukaan lukien startup-yritykset, käyttöönottajat, muut innovoijat ja tarvittaessa paikallisviranomaiset, kanssa, jotta voidaan tukea pk-yrityksiä koko niiden kehityksen ajan antamalla ohjeistusta ja vastaamalla kysymyksiin tämän asetuksen täytäntöönpanosta. Näiden kanavien olisi toimittava tarvittaessa yhteistyössä keskenään synergioiden luomiseksi ja sen varmistamiseksi, että niiden pk-yrityksille, myös startup-yrityksille, ja käyttöönottajille antamat ohjeet ovat yhdenmukaisia. Lisäksi jäsenvaltioiden olisi helpotettava pk-yritysten ja muiden asiaankuuluvien sidosryhmien osallistumista standardien laatimisprosesseihin. Tarjoajina toimivien pk-yritysten, myös startup-yritysten, erityisintressit ja -tarpeet olisi otettava huomioon, kun ilmoitetut laitokset vahvistavat vaatimustenmukaisuuden arvioinnista perittäviä maksuja. Komission olisi arvioitava säännöllisesti sertifioinnista ja vaatimusten noudattamisesta pk-yrityksille, myös startup-yrityksille, aiheutuvia kustannuksia avointen kuulemisten avulla, ja sen olisi pyrittävä alentamaan näitä kustannuksia yhdessä jäsenvaltioiden kanssa. Esimerkiksi pakollisen dokumentaation ja viranomaisviestinnän kääntämisestä voi aiheutua merkittäviä kustannuksia tarjoajille ja muille, etenkin pienemmille toimijoille. Jäsenvaltioiden olisi mahdollisesti varmistettava, että yksi kielistä, jotka ne ovat määrittäneet ja hyväksyneet käytettäväksi asiaankuuluvien tarjoajien dokumentaatiossa ja viestinnässä toimijoiden kanssa, on kieli, jota mahdollisimman monet rajatylittävät käyttöönottajat ymmärtävät. Jotta voidaan vastata pk-yritysten, myös startup-yritysten, erityistarpeisiin, komission olisi tekoälyneuvoston pyynnöstä esitettävä standardoidut mallit tämän asetuksen soveltamisalaan kuuluvia aloja varten. Lisäksi komission olisi täydennettävä jäsenvaltioiden toimia tarjoamalla yhtenäinen tietoalusta, jossa esitetään tätä asetusta koskevia helppokäyttöisiä tietoja kaikille tarjoajille ja käyttöönottajille, järjestämällä asianmukaisia tiedotuskampanjoita tietämyksen lisäämiseksi tästä asetuksesta johtuvista velvoitteista ja arvioimalla ja edistämällä tekoälyjärjestelmiä koskevien julkisten hankintamenettelyjen parhaiden käytäntöjen lähentämistä. Näiden tukitoimien olisi oltava sellaisten keskisuurten yritysten saatavilla, jotka katsottiin viime aikoihin asti komission suosituksen 2003/361/EY (44) liitteessä tarkoitetuiksi pieniksi yrityksiksi, koska tällaisilla uusilla keskisuurilla yrityksillä ei välttämättä aina ole tarvittavia oikeudellisia resursseja ja koulutusta asetuksen asianmukaisen ymmärtämisen ja noudattamisen varmistamiseksi.

(144)

In order to promote and protect innovation, the AI-on-demand platform, all relevant Union funding programmes and projects, such as Digital Europe Programme, Horizon Europe, implemented by the Commission and the Member States at Union or national level should, as appropriate, contribute to the achievement of the objectives of this Regulation.

(144)

Jotta voidaan edistää ja suojella innovointia, tekoälyyn keskittyvän tilauspohjaisen alustan ja kaikkien asiaankuuluvien unionin rahoitusohjelmien ja -hankkeiden, kuten Digitaalinen Eurooppa -ohjelman ja Horisontti Eurooppa -ohjelman, jotka komissio ja jäsenvaltiot panevat täytäntöön unionin tai kansallisella tasolla, olisi tarvittaessa edistettävä tämän asetuksen tavoitteiden saavuttamista.

(145)

In order to minimise the risks to implementation resulting from lack of knowledge and expertise in the market as well as to facilitate compliance of providers, in particular SMEs, including start-ups, and notified bodies with their obligations under this Regulation, the AI-on-demand platform, the European Digital Innovation Hubs and the testing and experimentation facilities established by the Commission and the Member States at Union or national level should contribute to the implementation of this Regulation. Within their respective mission and fields of competence, the AI-on-demand platform, the European Digital Innovation Hubs and the testing and experimentation Facilities are able to provide in particular technical and scientific support to providers and notified bodies.

(145)

Jotta voidaan minimoida markkinoilla olevan tiedon ja asiantuntemuksen puutteesta aiheutuvat riskit täytäntöönpanolle ja tukea tarjoajia, erityisesti pk-yrityksiä, myös startup-yrityksiä, ja ilmoitettuja laitoksia tämän asetuksen mukaisten velvoitteiden noudattamisessa, tekoälyyn keskittyvän tilauspohjaisen alustan, eurooppalaisten digitaali-innovointikeskittymien sekä komission ja jäsenvaltioiden unionin tai kansallisella tasolla perustamien testaus- ja kokeilulaitosten olisi edistettävä tämän asetuksen täytäntöönpanoa. Tekoälyyn keskittyvä tilauspohjainen alusta, eurooppalaiset digitaali-innovointikeskittymät sekä testaus- ja kokeilulaitokset voivat tehtäviensä ja toimivaltuuksiensa puitteissa antaa erityisesti teknistä ja tieteellistä tukea tarjoajille ja ilmoitetuille laitoksille.

(146)

Moreover, in light of the very small size of some operators and in order to ensure proportionality regarding costs of innovation, it is appropriate to allow microenterprises to fulfil one of the most costly obligations, namely to establish a quality management system, in a simplified manner which would reduce the administrative burden and the costs for those enterprises without affecting the level of protection and the need for compliance with the requirements for high-risk AI systems. The Commission should develop guidelines to specify the elements of the quality management system to be fulfilled in this simplified manner by microenterprises.

(146)

Jotta voidaan lisäksi ottaa huomioon joidenkin toimijoiden erittäin pieni koko ja varmistaa innovointikustannusten oikeasuhteisuus, on asianmukaista sallia mikroyritysten täyttää yksi eniten kustannuksia aiheuttavista velvoitteista – eli laadunhallintajärjestelmän perustaminen – yksinkertaistetusti, jotta voidaan vähentää niille aiheutuvaa hallinnollista rasitetta ja kustannuksia vaikuttamatta suojelun tasoon ja tarpeeseen noudattaa suuririskisiä tekoälyjärjestelmiä koskevia vaatimuksia. Komission olisi laadittava suuntaviivat, joissa täsmennetään ne laadunhallintajärjestelmän osiot, jotka mikroyritykset voivat täyttää yksinkertaistetusti.

(147)

It is appropriate that the Commission facilitates, to the extent possible, access to testing and experimentation facilities to bodies, groups or laboratories established or accredited pursuant to any relevant Union harmonisation legislation and which fulfil tasks in the context of conformity assessment of products or devices covered by that Union harmonisation legislation. This is, in particular, the case as regards expert panels, expert laboratories and reference laboratories in the field of medical devices pursuant to Regulations (EU) 2017/745 and (EU) 2017/746.

(147)

On aiheellista, että komissio helpottaa mahdollisuuksien mukaan sellaisten elinten, ryhmien ja laboratorioiden mahdollisuuksia käyttää testaus- ja kokeilulaitoksia, jotka on perustettu tai akkreditoitu asiaa koskevan unionin yhdenmukaistamislainsäädännön nojalla ja jotka suorittavat kyseisen unionin yhdenmukaistamislainsäädännön soveltamisalaan kuuluvien tuotteiden tai laitteiden vaatimustenmukaisuuden arviointiin liittyviä tehtäviä. Tämä koskee erityisesti asetusten (EU) 2017/745 ja (EU) 2017/746 mukaisia lääkinnällisiä laitteita käsitteleviä asiantuntijapaneeleja, asiantuntijalaboratorioita ja vertailulaboratorioita.

(148)

This Regulation should establish a governance framework that both allows to coordinate and support the application of this Regulation at national level, as well as build capabilities at Union level and integrate stakeholders in the field of AI. The effective implementation and enforcement of this Regulation require a governance framework that allows to coordinate and build up central expertise at Union level. The AI Office was established by Commission Decision (45) and has as its mission to develop Union expertise and capabilities in the field of AI and to contribute to the implementation of Union law on AI. Member States should facilitate the tasks of the AI Office with a view to support the development of Union expertise and capabilities at Union level and to strengthen the functioning of the digital single market. Furthermore, a Board composed of representatives of the Member States, a scientific panel to integrate the scientific community and an advisory forum to contribute stakeholder input to the implementation of this Regulation, at Union and national level, should be established. The development of Union expertise and capabilities should also include making use of existing resources and expertise, in particular through synergies with structures built up in the context of the Union level enforcement of other law and synergies with related initiatives at Union level, such as the EuroHPC Joint Undertaking and the AI testing and experimentation facilities under the Digital Europe Programme.

(148)

Tällä asetuksella olisi vahvistettava hallintokehys, jonka avulla voidaan koordinoida ja tukea tämän asetuksen soveltamista kansallisella tasolla sekä vahvistaa valmiuksia unionin tasolla ja ottaa sidosryhmät mukaan tekoälyn alan toimintaan. Tämän asetuksen tehokas täytäntöönpano ja noudattamisen valvonta edellyttävät hallintokehystä, jonka avulla voidaan koordinoida ja kehittää unionin tason keskitettyä asiantuntemusta. Tekoälytoimisto perustettiin komission päätöksellä (45), ja sen tehtävänä on kehittää unionin asiantuntemusta ja valmiuksia tekoälyn alalla ja edistää tekoälyä koskevan unionin oikeuden täytäntöönpanoa. Jäsenvaltioiden olisi helpotettava tekoälytoimiston työtä, jotta voidaan tukea unionin asiantuntemuksen ja unionin tason valmiuksien kehittämistä ja vahvistaa digitaalisten sisämarkkinoiden toimintaa. Lisäksi olisi perustettava jäsenvaltioiden edustajista koostuva tekoälyneuvosto, tiedeyhteisön yhteen tuova tiedelautakunta ja neuvoa-antava foorumi, jonka kautta sidosryhmät voivat antaa panoksensa tämän asetuksen täytäntöönpanoon unionin ja kansallisella tasolla. Unionin asiantuntemuksen ja valmiuksien kehittämisen olisi sisällettävä myös olemassa olevien resurssien ja asiantuntemuksen käyttö erityisesti synergiassa unionin tasolla tapahtuvan muun lainsäädännön täytäntöönpanon yhteydessä perustettujen rakenteiden ja asiaan liittyvien unionin tason aloitteiden kanssa. Näitä ovat Euroopan suurteholaskennan yhteisyritys ja Digitaalinen Eurooppa -ohjelman mukaiset tekoälyn testaus- ja kokeilulaitokset.

(149)

In order to facilitate a smooth, effective and harmonised implementation of this Regulation a Board should be established. The Board should reflect the various interests of the AI eco-system and be composed of representatives of the Member States. The Board should be responsible for a number of advisory tasks, including issuing opinions, recommendations, advice or contributing to guidance on matters related to the implementation of this Regulation, including on enforcement matters, technical specifications or existing standards regarding the requirements established in this Regulation and providing advice to the Commission and the Member States and their national competent authorities on specific questions related to AI. In order to give some flexibility to Member States in the designation of their representatives in the Board, such representatives may be any persons belonging to public entities who should have the relevant competences and powers to facilitate coordination at national level and contribute to the achievement of the Board’s tasks. The Board should establish two standing sub-groups to provide a platform for cooperation and exchange among market surveillance authorities and notifying authorities on issues related, respectively, to market surveillance and notified bodies. The standing subgroup for market surveillance should act as the administrative cooperation group (ADCO) for this Regulation within the meaning of Article 30 of Regulation (EU) 2019/1020. In accordance with Article 33 of that Regulation, the Commission should support the activities of the standing subgroup for market surveillance by undertaking market evaluations or studies, in particular with a view to identifying aspects of this Regulation requiring specific and urgent coordination among market surveillance authorities. The Board may establish other standing or temporary sub-groups as appropriate for the purpose of examining specific issues. The Board should also cooperate, as appropriate, with relevant Union bodies, experts groups and networks active in the context of relevant Union law, including in particular those active under relevant Union law on data, digital products and services.

(149)

Tämän asetuksen sujuvan, tehokkaan ja yhdenmukaisen täytäntöönpanon helpottamiseksi olisi perustettava tekoälyneuvosto. Tekoälyneuvoston olisi edustettava tekoälyekosysteemin eri intressejä ja koostuttava jäsenvaltioiden edustajista. Sen olisi vastattava useista neuvoa-antavista tehtävistä, kuten lausuntojen, suositusten ja neuvojen antamisesta ja ohjeiden edistämisestä tämän asetuksen täytäntöönpanoon liittyvissä asioissa, joita ovat täytäntöönpanon valvonta sekä tässä asetuksessa vahvistettuja vaatimuksia koskevat tekniset eritelmät ja voimassa olevat standardit, ja neuvojen antamisesta komissiolle ja jäsenvaltioille ja niiden kansallisille toimivaltaisille viranomaisille tekoälyyn liittyvissä erityiskysymyksissä. Joustavuuden varmistamiseksi jäsenvaltiot voisivat nimittää tekoälyneuvostoon edustajakseen esimerkiksi julkisyhteisöihin kuuluvia henkilöitä, joilla olisi oltava asiaankuuluva pätevyys ja toimivalta, jotta he voivat helpottaa koordinointia kansallisella tasolla ja osallistua tekoälyneuvoston tehtävien suorittamiseen. Tekoälyneuvoston olisi perustettava kaksi pysyvää alaryhmää, jotka tarjoavat alustan yhteistyölle ja viestinnälle markkinavalvontaviranomaisten kesken kysymyksissä, jotka liittyvät markkinavalvontaan, ja ilmoittamisesta vastaavien viranomaisten kesken kysymyksissä, jotka liittyvät ilmoitettuihin laitoksiin. Markkinavalvonnan pysyvän alaryhmän on tarkoitus toimia asetuksen (EU) 2019/1020 30 artiklassa tarkoitettuna hallinnollisen yhteistyön ryhmänä tämän asetuksen osalta. Kyseisen asetuksen 33 artiklan mukaisesti komission olisi tuettava markkinavalvonnan pysyvän alaryhmän toimia toteuttamalla markkina-arviointeja tai -tutkimuksia erityisesti tämän asetuksen sellaisten näkökohtien määrittämiseksi, jotka edellyttävät erityistä ja kiireellistä koordinointia markkinavalvontaviranomaisten kesken. Tekoälyneuvosto voi tarvittaessa perustaa muita pysyviä tai väliaikaisia alaryhmiä tiettyjen kysymysten tarkastelua varten. Tekoälyneuvoston olisi myös tehtävä tarvittaessa yhteistyötä unionin oikeuden puitteissa aktiivisten unionin elinten, asiantuntijaryhmien ja verkostojen kanssa, mukaan lukien erityisesti ne, joiden toiminta liittyy dataa, digitaalisia tuotteita ja palveluja koskevaan unionin oikeuteen.

(150)

With a view to ensuring the involvement of stakeholders in the implementation and application of this Regulation, an advisory forum should be established to advise and provide technical expertise to the Board and the Commission. To ensure a varied and balanced stakeholder representation between commercial and non-commercial interest and, within the category of commercial interests, with regards to SMEs and other undertakings, the advisory forum should comprise inter alia industry, start-ups, SMEs, academia, civil society, including the social partners, as well as the Fundamental Rights Agency, ENISA, the European Committee for Standardization (CEN), the European Committee for Electrotechnical Standardization (CENELEC) and the European Telecommunications Standards Institute (ETSI).

(150)

Jotta voidaan varmistaa sidosryhmien osallistuminen tämän asetuksen täytäntöönpanoon ja soveltamiseen, olisi perustettava neuvoa-antava foorumi, joka neuvoo tekoälyneuvostoa ja komissiota ja antaa niiden käyttöön teknistä asiantuntemusta. Jotta voidaan varmistaa kaupallisia ja ei-kaupallisia intressejä edustavien sidosryhmien monipuolinen ja tasapainoinen edustus ja jotta pk-yritykset ja muut yritykset olisivat monipuolisesti ja tasapuolisesti edustettuina kaupallisten intressien luokassa, neuvoa-antavassa foorumissa olisi oltava jäseniä muun muassa teollisuudesta, startup- ja pk-yrityksistä, tiedeyhteisöstä, kansalaisyhteiskunnasta, johon kuuluvat myös työmarkkinaosapuolet, sekä perusoikeusvirastosta, ENISAsta, Euroopan standardointikomiteasta (CEN), Euroopan sähkötekniikan standardointikomiteasta (Cenelec) ja Euroopan telealan standardointilaitoksesta (ETSI).

(151)

To support the implementation and enforcement of this Regulation, in particular the monitoring activities of the AI Office as regards general-purpose AI models, a scientific panel of independent experts should be established. The independent experts constituting the scientific panel should be selected on the basis of up-to-date scientific or technical expertise in the field of AI and should perform their tasks with impartiality, objectivity and ensure the confidentiality of information and data obtained in carrying out their tasks and activities. To allow the reinforcement of national capacities necessary for the effective enforcement of this Regulation, Member States should be able to request support from the pool of experts constituting the scientific panel for their enforcement activities.

(151)

Olisi perustettava riippumattomista asiantuntijoista koostuva tiedelautakunta, joka tukee tämän asetuksen täytäntöönpanoa ja noudattamisen valvontaa erityisesti tekoälytoimiston suorittaman yleiskäyttöisten tekoälymallien seurannan osalta. Tiedelautakunnan asiantuntijat olisi valittava tekoälyalan ajantasaisen tieteellisen tai teknisen asiantuntemuksen perusteella, ja heidän olisi suoritettava tehtävänsä puolueettomasti ja objektiivisesti sekä varmistettava tehtäviään ja toimiaan suorittaessaan saamiensa tietojen ja datan luottamuksellisuus. Jotta voidaan lujittaa tämän asetuksen tehokkaan täytäntöönpanon edellyttämiä kansallisia valmiuksia, jäsenvaltioiden olisi voitava pyytää noudattamisen valvontaa varten tukea tiedelautakunnan asiantuntijapoolilta.

(152)

In order to support adequate enforcement as regards AI systems and reinforce the capacities of the Member States, Union AI testing support structures should be established and made available to the Member States.

(152)

Jotta voidaan tukea asianmukaista noudattamisen valvontaa tekoälyjärjestelmien alalla ja lujittaa jäsenvaltioiden valmiuksia, olisi perustettava unionin tekoälyn testauksen tukirakenteita, jotka annetaan jäsenvaltioiden käyttöön.

(153)

Member States hold a key role in the application and enforcement of this Regulation. In that respect, each Member State should designate at least one notifying authority and at least one market surveillance authority as national competent authorities for the purpose of supervising the application and implementation of this Regulation. Member States may decide to appoint any kind of public entity to perform the tasks of the national competent authorities within the meaning of this Regulation, in accordance with their specific national organisational characteristics and needs. In order to increase organisation efficiency on the side of Member States and to set a single point of contact vis-à-vis the public and other counterparts at Member State and Union levels, each Member State should designate a market surveillance authority to act as a single point of contact.

(153)

Jäsenvaltioilla on keskeinen rooli tämän asetuksen soveltamisessa ja noudattamisen valvonnassa. Tältä osin kunkin jäsenvaltion olisi nimettävä vähintään yksi ilmoittamisesta vastaava viranomainen ja vähintään yksi markkinavalvontaviranomainen kansallisiksi toimivaltaisiksi viranomaisiksi valvomaan tämän asetuksen soveltamista ja täytäntöönpanoa. Jäsenvaltiot voivat päättää nimittää minkä tahansa julkisyhteisön suorittamaan tässä asetuksessa tarkoitettuja kansallisten toimivaltaisten viranomaisten tehtäviä erityisten kansallisten organisatoristen ominaisuuksiensa ja tarpeidensa mukaisesti. Jotta voidaan lisätä organisoinnin tehokkuutta jäsenvaltioissa ja perustaa keskitetty yhteyspiste yleisölle ja muille vastaaville tahoille jäsenvaltioissa ja unionissa, kunkin jäsenvaltion olisi nimettävä markkinavalvontaviranomainen, joka toimii keskitettynä yhteyspisteenä.

(154)

The national competent authorities should exercise their powers independently, impartially and without bias, so as to safeguard the principles of objectivity of their activities and tasks and to ensure the application and implementation of this Regulation. The members of these authorities should refrain from any action incompatible with their duties and should be subject to confidentiality rules under this Regulation.

(154)

Kyseisten kansallisten toimivaltaisten viranomaisten olisi käytettävä valtuuksiaan itsenäisesti, puolueettomasti ja ilman ennakkoasenteita, jotta voidaan turvata objektiivisuusperiaatteen noudattaminen niiden toiminnassa ja tehtävien hoitamisessa ja varmistaa tämän asetuksen soveltaminen ja täytäntöönpano. Viranomaisten henkilöstön olisi pidätyttävä kaikesta toiminnasta, joka on ristiriidassa sen tehtävien kanssa, ja siihen olisi sovellettava tämän asetuksen mukaisia luottamuksellisuussääntöjä.

(155)

In order to ensure that providers of high-risk AI systems can take into account the experience on the use of high-risk AI systems for improving their systems and the design and development process or can take any possible corrective action in a timely manner, all providers should have a post-market monitoring system in place. Where relevant, post-market monitoring should include an analysis of the interaction with other AI systems including other devices and software. Post-market monitoring should not cover sensitive operational data of deployers which are law enforcement authorities. This system is also key to ensure that the possible risks emerging from AI systems which continue to ‘learn’ after being placed on the market or put into service can be more efficiently and timely addressed. In this context, providers should also be required to have a system in place to report to the relevant authorities any serious incidents resulting from the use of their AI systems, meaning incident or malfunctioning leading to death or serious damage to health, serious and irreversible disruption of the management and operation of critical infrastructure, infringements of obligations under Union law intended to protect fundamental rights or serious damage to property or the environment.

(155)

Sen varmistamiseksi, että suuririskisten tekoälyjärjestelmien tarjoajat voivat ottaa huomioon suuririskisten tekoälyjärjestelmien käytöstä saadut kokemukset järjestelmiensä ja suunnittelu- ja kehitysprosessiensa parantamiseksi ja toteuttaa ajoissa kaikki mahdolliset korjaavat toimet, kaikilla tarjoajilla olisi oltava käytössä markkinoille saattamisen jälkeinen seurantajärjestelmä. Markkinoille saattamisen jälkeiseen seurantaan olisi tarvittaessa sisällyttävä analyysi vuorovaikutuksesta muiden tekoälyjärjestelmien, myös muiden laitteiden ja ohjelmistojen, kanssa. Markkinoille saattamisen jälkeisen seurannan ei pitäisi kattaa niiden käyttöönottajien arkaluonteisia operatiivisia tietoja, jotka ovat lainvalvontaviranomaisia. Tämä järjestelmä on keskeisessä asemassa myös sen varmistamisessa, että riskeihin, joita voi aiheutua tekoälyjärjestelmistä, jotka jatkavat oppimista markkinoille saattamisen tai käyttöönoton jälkeen, voidaan puuttua tehokkaammin ja oikea-aikaisemmin. Tässä yhteydessä olisi myös edellytettävä, että tarjoajilla on käytössä järjestelmä, jolla ne voivat ilmoittaa asiaankuuluville viranomaisille kaikista vakavista vaaratilanteista, jotka ovat seurausta niiden tekoälyjärjestelmien käytöstä, kuten vaaratilanne tai toimintahäiriö, joka johtaa kuolemaan tai vakavaan terveysvahinkoon, vakava tai peruuttamaton häiriö kriittisen infrastruktuurin hallinnassa ja toiminnassa, perusoikeuksien suojaamiseen tarkoitettujen unionin oikeuden mukaisten velvoitteiden rikkominen tai vakava vahinko omaisuudelle tai ympäristölle.

(156)

In order to ensure an appropriate and effective enforcement of the requirements and obligations set out by this Regulation, which is Union harmonisation legislation, the system of market surveillance and compliance of products established by Regulation (EU) 2019/1020 should apply in its entirety. Market surveillance authorities designated pursuant to this Regulation should have all enforcement powers laid down in this Regulation and in Regulation (EU) 2019/1020 and should exercise their powers and carry out their duties independently, impartially and without bias. Although the majority of AI systems are not subject to specific requirements and obligations under this Regulation, market surveillance authorities may take measures in relation to all AI systems when they present a risk in accordance with this Regulation. Due to the specific nature of Union institutions, agencies and bodies falling within the scope of this Regulation, it is appropriate to designate the European Data Protection Supervisor as a competent market surveillance authority for them. This should be without prejudice to the designation of national competent authorities by the Member States. Market surveillance activities should not affect the ability of the supervised entities to carry out their tasks independently, when such independence is required by Union law.

(156)

Jotta voidaan varmistaa tässä asetuksessa, joka on osa unionin yhdenmukaistamislainsäädäntöä, vahvistettujen vaatimusten ja velvollisuuksien asianmukainen ja tehokas täytäntöönpano, asetuksella (EU) 2019/1020 perustettua markkinavalvontaa ja tuotteiden vaatimustenmukaisuutta koskevaa järjestelmää olisi sovellettava kokonaisuudessaan. Tämän asetuksen mukaisesti nimetyillä markkinavalvontaviranomaisilla olisi oltava kaikki tässä asetuksessa ja asetuksessa (EU) 2019/1020 säädetyt täytäntöönpanovaltuudet, ja niiden olisi käytettävä valtuuksiaan ja suoritettava tehtävänsä itsenäisesti, puolueettomasti ja ilman ennakkokäsityksiä. Vaikka suurimpaan osaan tekoälyjärjestelmiä ei sovelleta tämän asetuksen mukaisia erityisvaatimuksia tai -velvoitteita, markkinavalvontaviranomaiset voivat toteuttaa tekoälyjärjestelmiä koskevia toimenpiteitä, jos järjestelmistä aiheutuu tämän asetuksen mukainen riski. Kun otetaan huomioon tämän asetuksen soveltamisalaan kuuluvien unionin toimielinten, virastojen ja elinten erityisluonne, on aiheellista nimetä niiden toimivaltaiseksi markkinavalvontaviranomaiseksi Euroopan tietosuojavaltuutettu. Tämä ei saisi vaikuttaa jäsenvaltioiden suorittamaan kansallisten toimivaltaisten viranomaisten nimeämiseen. Markkinavalvontatoimet eivät saisi vaikuttaa valvottujen yhteisöjen kykyyn suorittaa tehtävänsä riippumattomasti, kun tällaista riippumattomuutta edellytetään unionin oikeudessa.

(157)

This Regulation is without prejudice to the competences, tasks, powers and independence of relevant national public authorities or bodies which supervise the application of Union law protecting fundamental rights, including equality bodies and data protection authorities. Where necessary for their mandate, those national public authorities or bodies should also have access to any documentation created under this Regulation. A specific safeguard procedure should be set for ensuring adequate and timely enforcement against AI systems presenting a risk to health, safety and fundamental rights. The procedure for such AI systems presenting a risk should be applied to high-risk AI systems presenting a risk, prohibited systems which have been placed on the market, put into service or used in violation of the prohibited practices laid down in this Regulation and AI systems which have been made available in violation of the transparency requirements laid down in this Regulation and present a risk.

(157)

Tämä asetus ei rajoita perusoikeuksien suojelusta annetun unionin oikeuden soveltamista valvovien asiaankuuluvien kansallisten viranomaisten tai elinten, mukaan lukien tasa-arvoelimet ja tietosuojaviranomaiset, toimivaltaa, tehtäviä, valtuuksia ja riippumattomuutta. Näiden kansallisten viranomaisten ja elinten olisi myös voitava saada käyttöönsä kaikki tämän asetuksen nojalla laadittu dokumentaatio, jos se on tarpeen niiden toimeksiannon kannalta. Olisi otettava käyttöön erityinen suojamenettely, jolla varmistetaan riittävä ja oikea-aikainen täytäntöönpano sellaisten tekoälyjärjestelmien osalta, joihin liittyy terveyteen, turvallisuuteen tai perusoikeuksiin kohdistuva riski. Tällaisia riskin aiheuttavia tekoälyjärjestelmiä koskevaa menettelyä olisi sovellettava suuririskisiin tekoälyjärjestelmiin, joihin liittyy riski, kiellettyihin järjestelmiin, jotka on saatettu markkinoille tai otettu käyttöön tai joita käytetään tässä asetuksessa säädettyjen käytäntöjä koskevien kieltojen vastaisesti, ja tekoälyjärjestelmiin, jotka on asetettu saataville tässä asetuksessa säädettyjen avoimuusvaatimusten vastaisesti ja joihin liittyy riski.

(158)

Union financial services law includes internal governance and risk-management rules and requirements which are applicable to regulated financial institutions in the course of provision of those services, including when they make use of AI systems. In order to ensure coherent application and enforcement of the obligations under this Regulation and relevant rules and requirements of the Union financial services legal acts, the competent authorities for the supervision and enforcement of those legal acts, in particular competent authorities as defined in Regulation (EU) No 575/2013 of the European Parliament and of the Council (46) and Directives 2008/48/EC (47), 2009/138/EC (48), 2013/36/EU (49), 2014/17/EU (50) and (EU) 2016/97 (51) of the European Parliament and of the Council, should be designated, within their respective competences, as competent authorities for the purpose of supervising the implementation of this Regulation, including for market surveillance activities, as regards AI systems provided or used by regulated and supervised financial institutions unless Member States decide to designate another authority to fulfil these market surveillance tasks. Those competent authorities should have all powers under this Regulation and Regulation (EU) 2019/1020 to enforce the requirements and obligations of this Regulation, including powers to carry our ex post market surveillance activities that can be integrated, as appropriate, into their existing supervisory mechanisms and procedures under the relevant Union financial services law. It is appropriate to envisage that, when acting as market surveillance authorities under this Regulation, the national authorities responsible for the supervision of credit institutions regulated under Directive 2013/36/EU, which are participating in the Single Supervisory Mechanism established by Council Regulation (EU) No 1024/2013 (52), should report, without delay, to the European Central Bank any information identified in the course of their market surveillance activities that may be of potential interest for the European Central Bank’s prudential supervisory tasks as specified in that Regulation. To further enhance the consistency between this Regulation and the rules applicable to credit institutions regulated under Directive 2013/36/EU, it is also appropriate to integrate some of the providers’ procedural obligations in relation to risk management, post marketing monitoring and documentation into the existing obligations and procedures under Directive 2013/36/EU. In order to avoid overlaps, limited derogations should also be envisaged in relation to the quality management system of providers and the monitoring obligation placed on deployers of high-risk AI systems to the extent that these apply to credit institutions regulated by Directive 2013/36/EU. The same regime should apply to insurance and re-insurance undertakings and insurance holding companies under Directive 2009/138/EC and the insurance intermediaries under Directive (EU) 2016/97 and other types of financial institutions subject to requirements regarding internal governance, arrangements or processes established pursuant to the relevant Union financial services law to ensure consistency and equal treatment in the financial sector.

(158)

Rahoituspalveluja koskevaan unionin oikeuteen sisältyy sisäistä hallintoa ja riskinhallintaa koskevia säännöksiä ja vaatimuksia, joita sovelletaan säänneltyihin rahoituslaitoksiin niiden tarjotessa kyseisiä palveluja, myös silloin, kun ne käyttävät tekoälyjärjestelmiä. Jotta voidaan varmistaa tämän asetuksen mukaisten velvoitteiden ja rahoituspalveluja koskevan unionin säädösten asiaa koskevien sääntöjen ja vaatimusten johdonmukainen soveltaminen ja täytäntöönpano, rahoituspalvelulainsäädännön valvonnasta ja täytäntöönpanosta vastaavat toimivaltaiset viranomaiset, sellaisina kuin ne on määritelty Euroopan parlamentin ja neuvoston asetuksessa (EU) N:o 575/2013 (46) ja Euroopan parlamentin ja neuvoston direktiiveissä 2008/48/EY (47), 2009/138/EY (48), 2013/36/EU (49), 2014/17/EU (50) ja (EU) 2016/97 (51), olisi nimettävä toimivaltuuksiensa puitteissa toimivaltaisiksi viranomaisiksi valvomaan tämän asetuksen täytäntöönpanoa, myös markkinavalvontatoimia, säänneltyjen ja valvottujen rahoituslaitosten tarjoamien tai käyttämien tekoälyjärjestelmien osalta, elleivät jäsenvaltiot päätä nimetä muuta viranomaista täyttämään nämä markkinavalvontatehtävät. Näillä toimivaltaisilla viranomaisilla olisi oltava kaikki tämän asetuksen ja asetuksen (EU) 2019/1020 mukaiset valtuudet valvoa tämän asetuksen vaatimusten ja velvoitteiden noudattamista, mukaan lukien valtuudet toteuttaa jälkikäteen markkinavalvontatoimia, jotka voidaan integroida tarvittaessa niiden olemassa oleviin asiaankuuluvan unionin rahoituspalvelulainsäädännön mukaisiin valvontamekanismeihin ja -menettelyihin. On aiheellista säätää, että kun ne toimivat tämän asetuksen mukaisina markkinavalvontaviranomaisina, kansallisten viranomaisten, jotka vastaavat sellaisten direktiivillä 2013/36/EU säänneltyjen luottolaitosten valvonnasta, jotka osallistuvat neuvoston asetuksella (EU) N:o 1024/2013 (52) perustettuun yhteiseen valvontamekanismiin, olisi ilmoitettava viipymättä Euroopan keskuspankille kaikki markkinavalvontatoimiensa yhteydessä määrittämät tiedot, joilla voi olla merkitystä Euroopan keskuspankin vakavaraisuuden valvontatehtäville sellaisina kuin ne määritetään kyseisessä asetuksessa. Jotta voidaan edelleen lisätä johdonmukaisuutta tämän asetuksen ja direktiivillä 2013/36/EU säänneltyihin luottolaitoksiin sovellettavien sääntöjen välillä, direktiivin 2013/36/EU mukaisiin nykyisiin velvoitteisiin ja menettelyihin on aiheellista sisällyttää myös jotkin tarjoajien menettelylliset velvoitteet, jotka liittyvät riskinhallintaan, markkinoille saattamisen jälkeiseen seurantaan ja dokumentaatioon. Päällekkäisyyksien välttämiseksi olisi säädettävä myös rajoitettuja poikkeuksia tarjoajien laadunhallintajärjestelmään ja suuririskisten tekoälyjärjestelmien käyttöönottajille asetettuun seurantavelvoitteeseen siltä osin kuin niitä sovelletaan direktiivillä 2013/36/EU säänneltyihin luottolaitoksiin. Samaa järjestelyä olisi sovellettava direktiivin 2009/138/EY mukaisiin vakuutus- ja jälleenvakuutusyrityksiin ja vakuutushallintayhtiöihin ja direktiivin (EU) 2016/97 mukaisiin vakuutusedustajiin ja muun tyyppisiin rahoituslaitoksiin, joihin sovelletaan asiaankuuluvan unionin rahoituspalvelulainsäädännön mukaisesti vahvistettuja sisäisiä hallintojärjestelyjä tai -prosesseja koskevia vaatimuksia, jotta voidaan varmistaa johdonmukaisuus ja yhdenvertainen kohtelu rahoitusalalla.

(159)

Each market surveillance authority for high-risk AI systems in the area of biometrics, as listed in an annex to this Regulation insofar as those systems are used for the purposes of law enforcement, migration, asylum and border control management, or the administration of justice and democratic processes, should have effective investigative and corrective powers, including at least the power to obtain access to all personal data that are being processed and to all information necessary for the performance of its tasks. The market surveillance authorities should be able to exercise their powers by acting with complete independence. Any limitations of their access to sensitive operational data under this Regulation should be without prejudice to the powers conferred to them by Directive (EU) 2016/680. No exclusion on disclosing data to national data protection authorities under this Regulation should affect the current or future powers of those authorities beyond the scope of this Regulation.

(159)

Kullakin sellaisten biometriikan alan suuririskisten tekoälyjärjestelmien markkinavalvontaviranomaisella, jotka on lueteltu tämän asetuksen liitteessä, siltä osin kuin kyseisiä järjestelmiä käytetään lainvalvonnan, muuttoliikkeen hallinnan, turvapaikka-asioiden ja rajavalvonnan tarkoituksiin tai oikeudenkäytössä ja demokraattisissa prosesseissa, olisi oltava tehokkaat tutkinta- ja korjaavat valtuudet, mukaan lukien ainakin valtuudet saada pääsy kaikkiin käsiteltäviin henkilötietoihin ja kaikkiin sen tehtävien suorittamisen kannalta tarvittaviin tietoihin. Markkinavalvontaviranomaisten olisi voitava käyttää valtuuksiaan täysin riippumattomasti. Mahdollisten rajoitusten, joita tässä asetuksessa asetetaan markkinaviranomaisten pääsylle arkaluonteisiin operatiivisiin tietoihin, ei pitäisi vaikuttaa niille direktiivillä (EU) 2016/680 annettuihin valtuuksiin. Tässä asetuksessa säädettyjen poikkeusten, jotka koskevat tietojen luovuttamista kansallisille tietosuojaviranomaisille, ei pitäisi vaikuttaa näiden viranomaisten nykyisiin tai tuleviin valtuuksiin tämän asetuksen soveltamisalan ulkopuolella.

(160)

The market surveillance authorities and the Commission should be able to propose joint activities, including joint investigations, to be conducted by market surveillance authorities or market surveillance authorities jointly with the Commission, that have the aim of promoting compliance, identifying non-compliance, raising awareness and providing guidance in relation to this Regulation with respect to specific categories of high-risk AI systems that are found to present a serious risk across two or more Member States. Joint activities to promote compliance should be carried out in accordance with Article 9 of Regulation (EU) 2019/1020. The AI Office should provide coordination support for joint investigations.

(160)

Markkinavalvontaviranomaisten ja komission olisi voitava ehdottaa yhteisiä toimia, myös yhteisiä tutkimuksia, jotka markkinavalvontaviranomaiset toteuttavat itse tai yhdessä komission kanssa ja joiden tavoitteena on edistää vaatimusten noudattamista, havaita vaatimusten noudattamatta jättäminen, lisätä tietämystä ja antaa neuvoja tähän asetukseen liittyvistä asioista ja niistä suuririskisten tekoälyjärjestelmien luokista, joihin on todettu liittyvän vakava riski kahdessa tai useammassa jäsenvaltiossa. Vaatimusten noudattamista edistävät toimet olisi toteutettava asetuksen (EU) 2019/1020 9 artiklan mukaisesti. Tekoälytoimiston olisi annettava koordinointitukea yhteisiä tutkimuksia varten.

(161)

It is necessary to clarify the responsibilities and competences at Union and national level as regards AI systems that are built on general-purpose AI models. To avoid overlapping competences, where an AI system is based on a general-purpose AI model and the model and system are provided by the same provider, the supervision should take place at Union level through the AI Office, which should have the powers of a market surveillance authority within the meaning of Regulation (EU) 2019/1020 for this purpose. In all other cases, national market surveillance authorities remain responsible for the supervision of AI systems. However, for general-purpose AI systems that can be used directly by deployers for at least one purpose that is classified as high-risk, market surveillance authorities should cooperate with the AI Office to carry out evaluations of compliance and inform the Board and other market surveillance authorities accordingly. Furthermore, market surveillance authorities should be able to request assistance from the AI Office where the market surveillance authority is unable to conclude an investigation on a high-risk AI system because of its inability to access certain information related to the general-purpose AI model on which the high-risk AI system is built. In such cases, the procedure regarding mutual assistance in cross-border cases in Chapter VI of Regulation (EU) 2019/1020 should apply mutatis mutandis.

(161)

On aiheellista selventää unionin ja kansallisen tason vastuut ja toimivalta niiden tekoälyjärjestelmien osalta, jotka perustuvat yleiskäyttöisiin tekoälymalleihin. Kun tekoälyjärjestelmä perustuu yleiskäyttöiseen tekoälymalliin ja kun mallia ja järjestelmää tarjoaa sama tarjoaja, valvonta olisi päällekkäisten toimivaltuuksien välttämiseksi toteutettava unionin tasolla tekoälytoimistossa, jolla olisi tätä tarkoitusta varten oltava asetuksessa (EU) 2019/1020 tarkoitetun markkinavalvontaviranomaisen valtuudet. Kaikissa muissa tapauksissa tekoälyjärjestelmien valvonnasta vastaavat kansalliset markkinavalvontaviranomaiset. Niiden yleiskäyttöisten tekoälymallien osalta, joita käyttöönottajat voivat käyttää suoraan vähintään yhteen suuririskiseksi luokiteltuun tarkoitukseen, markkinavalvontaviranomaisten olisi kuitenkin tehtävä yhteistyötä tekoälytoimiston kanssa vaatimustenmukaisuuden arviointien suorittamisessa ja ilmoitettava arviointien tuloksista tekoälyneuvostolle ja muille markkinavalvontaviranomaisille. Lisäksi markkinavalvontaviranomaisten olisi voitava pyytää apua tekoälytoimistolta, jos ne eivät pysty saattamaan päätökseen suuririskistä tekoälyjärjestelmää koskevaa tutkintaa, koska niillä ei ole pääsyä tiettyihin tietoihin, jotka liittyvät yleiskäyttöiseen tekoälymalliin, jonka pohjalta suuririskinen tekoälyjärjestelmä on rakennettu. Tällaisissa tapauksissa olisi sovellettava soveltuvin osin asetuksen (EU) 2019/1020 VI luvussa säädettyä rajatylittävän keskinäisen avunannon menettelyä.

(162)

To make best use of the centralised Union expertise and synergies at Union level, the powers of supervision and enforcement of the obligations on providers of general-purpose AI models should be a competence of the Commission. The AI Office should be able to carry out all necessary actions to monitor the effective implementation of this Regulation as regards general-purpose AI models. It should be able to investigate possible infringements of the rules on providers of general-purpose AI models both on its own initiative, following the results of its monitoring activities, or upon request from market surveillance authorities in line with the conditions set out in this Regulation. To support effective monitoring of the AI Office, it should provide for the possibility that downstream providers lodge complaints about possible infringements of the rules on providers of general-purpose AI models and systems.

(162)

Jotta unionin tason keskitetystä asiantuntemuksesta ja unionin tason synergioista saataisiin paras hyöty, yleiskäyttöisten tekoälymallien tarjoajien valvonnan ja niiden velvoitteiden noudattamisen valvonnan olisi kuuluttava komission toimivaltaan. Tekoälytoimiston olisi voitava toteuttaa kaikki tarvittavat toimet tämän asetuksen tehokkaan täytäntöönpanon seuraamiseksi yleiskäyttöisten tekoälymallien osalta. Sen olisi voitava tutkia yleiskäyttöisten tekoälymallien tarjoajia koskevien sääntöjen mahdollisia rikkomisia sekä omasta aloitteestaan seurantatoimiensa tulosten perusteella tai markkinavalvontaviranomaisten pyynnöstä tässä asetuksessa säädettyjen edellytysten mukaisesti. Jotta voidaan tukea tekoälytoimiston suorittamaa tehokasta seurantaa, tekoälytoimiston olisi tarjottava ketjun loppupään toimijoille mahdollisuus tehdä valituksia yleiskäyttöisten tekoälymallien ja -järjestelmien tarjoajia koskevien sääntöjen mahdollisista rikkomisista.

(163)

With a view to complementing the governance systems for general-purpose AI models, the scientific panel should support the monitoring activities of the AI Office and may, in certain cases, provide qualified alerts to the AI Office which trigger follow-ups, such as investigations. This should be the case where the scientific panel has reason to suspect that a general-purpose AI model poses a concrete and identifiable risk at Union level. Furthermore, this should be the case where the scientific panel has reason to suspect that a general-purpose AI model meets the criteria that would lead to a classification as general-purpose AI model with systemic risk. To equip the scientific panel with the information necessary for the performance of those tasks, there should be a mechanism whereby the scientific panel can request the Commission to require documentation or information from a provider.

(163)

Jotta täydennettäisiin yleiskäyttöisten tekoälymallien hallintojärjestelmiä, tiedelautakunnan olisi tuettava tekoälytoimiston seurantatoimia ja se voi tietyissä tapauksissa toimittaa tekoälytoimistolle perusteltuja varoituksia, joilla käynnistetään jatkotoimia, kuten tutkimuksia. Näin olisi oltava silloin, kun tiedelautakunnalla on aihetta epäillä, että yleiskäyttöinen tekoälymalli aiheuttaa konkreettisen ja tunnistettavan riskin unionin tasolla. Näin olisi oltava myös silloin, kun tiedelautakunnalla on aihetta epäillä, että yleiskäyttöinen tekoälymalli täyttää perusteet, joiden mukaisesti se olisi luokiteltava yleiskäyttöiseksi tekoälymalliksi, johon liittyy systeeminen riski. Jotta tiedelautakunta saisi näiden tehtäviensä suorittamiseen tarvittavat tiedot, olisi perustettava mekanismi, jonka avulla tiedelautakunta voi pyytää komissiota vaatimaan tarjoajalta asiakirjoja tai tietoja.

(164)

The AI Office should be able to take the necessary actions to monitor the effective implementation of and compliance with the obligations for providers of general-purpose AI models laid down in this Regulation. The AI Office should be able to investigate possible infringements in accordance with the powers provided for in this Regulation, including by requesting documentation and information, by conducting evaluations, as well as by requesting measures from providers of general-purpose AI models. When conducting evaluations, in order to make use of independent expertise, the AI Office should be able to involve independent experts to carry out the evaluations on its behalf. Compliance with the obligations should be enforceable, inter alia, through requests to take appropriate measures, including risk mitigation measures in the case of identified systemic risks as well as restricting the making available on the market, withdrawing or recalling the model. As a safeguard, where needed beyond the procedural rights provided for in this Regulation, providers of general-purpose AI models should have the procedural rights provided for in Article 18 of Regulation (EU) 2019/1020, which should apply mutatis mutandis, without prejudice to more specific procedural rights provided for by this Regulation.

(164)

Tekoälytoimiston olisi voitava toteuttaa tarvittavat toimet seuratakseen tässä asetuksessa säädettyjen yleiskäyttöisten tekoälymallien tarjoajia koskevien velvoitteiden tehokasta täytäntöönpanoa ja noudattamista. Tekoälytoimiston olisi voitava tutkia mahdollisia rikkomisia tässä asetuksessa säädettyjen valtuuksiensa mukaisesti, mukaan lukien pyytämällä asiakirjoja ja tietoja, suorittamalla arviointeja ja pyytämällä yleiskäyttöisten tekoälymallien tarjoajia toteuttamaan toimenpiteitä. Jotta voidaan hyödyntää riippumatonta asiantuntemusta arviointien suorittamisessa, tekoälytoimiston olisi voitava pyytää riippumattomia asiantuntijoita suorittamaan arvioinnit sen puolesta. Velvoitteiden noudattamista olisi voitava valvoa muun muassa asianmukaisten toimenpiteiden toteuttamiseen kehottavilla pyynnöillä, mukaan lukien riskinvähentämistoimenpiteet tunnistettujen systeemisten riskien tapauksessa, ja rajoittamalla mallin asettamista saataville markkinoilla, poistamalla se markkinoilta tai soveltamalla mallin palautusmenettelyä. Tässä asetuksessa säädettyjen menettelyllisten oikeuksien lisäksi voidaan tarvittaessa soveltaa takeita, joiden mukaan yleiskäyttöisten tekoälymallien tarjoajilla olisi oltava asetuksen (EU) 2019/1020 18 artiklassa säädetyt menettelylliset oikeudet, joita olisi sovellettava soveltuvin osin, sanotun kuitenkaan rajoittamatta tässä asetuksessa säädettyjen yksityiskohtaisempien menettelyllisten oikeuksien soveltamista.

(165)

The development of AI systems other than high-risk AI systems in accordance with the requirements of this Regulation may lead to a larger uptake of ethical and trustworthy AI in the Union. Providers of AI systems that are not high-risk should be encouraged to create codes of conduct, including related governance mechanisms, intended to foster the voluntary application of some or all of the mandatory requirements applicable to high-risk AI systems, adapted in light of the intended purpose of the systems and the lower risk involved and taking into account the available technical solutions and industry best practices such as model and data cards. Providers and, as appropriate, deployers of all AI systems, high-risk or not, and AI models should also be encouraged to apply on a voluntary basis additional requirements related, for example, to the elements of the Union’s Ethics Guidelines for Trustworthy AI, environmental sustainability, AI literacy measures, inclusive and diverse design and development of AI systems, including attention to vulnerable persons and accessibility to persons with disability, stakeholders’ participation with the involvement, as appropriate, of relevant stakeholders such as business and civil society organisations, academia, research organisations, trade unions and consumer protection organisations in the design and development of AI systems, and diversity of the development teams, including gender balance. To ensure that the voluntary codes of conduct are effective, they should be based on clear objectives and key performance indicators to measure the achievement of those objectives. They should also be developed in an inclusive way, as appropriate, with the involvement of relevant stakeholders such as business and civil society organisations, academia, research organisations, trade unions and consumer protection organisation. The Commission may develop initiatives, including of a sectoral nature, to facilitate the lowering of technical barriers hindering cross-border exchange of data for AI development, including on data access infrastructure, semantic and technical interoperability of different types of data.

(165)

Muiden tekoälyjärjestelmien kuin suuririskisten tekoälyjärjestelmien kehittäminen tämän asetuksen vaatimusten mukaisesti voi johtaa eettisen ja luotettavan tekoälyn laajempaan käyttöönottoon unionissa. Muiden kuin suuririskisten tekoälyjärjestelmien tarjoajia olisi kannustettava laatimaan käytännesääntöjä, mukaan lukien asiaankuuluvat hallintomekanismit, joilla pyritään edistämään joidenkin tai kaikkien suuririskisiin tekoälyjärjestelmiin sovellettavien pakollisten vaatimusten vapaaehtoista soveltamista ja jotka on mukautettu järjestelmien käyttötarkoituksen ja niihin liittyvän pienemmän riskin perusteella ja joissa otetaan huomioon saatavilla olevat tekniset ratkaisut ja alan parhaat käytännöt, kuten malli- ja datakortit. Kaikenlaisten, sekä suuririskisten että muiden tekoälyjärjestelmien ja tekoälymallien tarjoajia ja tapauksen mukaan käyttöönottajia olisi myös kannustettava soveltamaan vapaaehtoisesti lisävaatimuksia, jotka liittyvät esimerkiksi luotettavaa tekoälyä koskevien unionin eettisten ohjeiden osatekijöihin, ympäristökestävyyteen, tekoälylukutaitoa edistäviin toimenpiteisiin, tekoälyjärjestelmien osallistavaan ja monimuotoiseen suunnitteluun ja kehittämiseen, mukaan lukien haavoittuvassa asemassa olevien henkilöiden huomiointi ja vammaisten henkilöiden esteettömyys, sidosryhmien osallistumiseen, mukaan lukien tarvittaessa asiaankuuluvien sidosryhmien, kuten liike-elämän ja kansalaisyhteiskunnan järjestöjen, tiedeyhteisön ja tutkimusorganisaatioiden, ammattiliittojen ja kuluttajansuojajärjestöjen osallistuminen, tekoälyjärjestelmien suunnitteluun ja kehittämiseen sekä kehitysryhmien moninaisuuteen, mukaan lukien sukupuolten tasapuolinen edustus. Jotta voidaan varmistaa vapaaehtoisten käytännesääntöjen tehokkuus, niiden olisi perustuttava selkeisiin tavoitteisiin ja keskeisiin tulosindikaattoreihin, joilla mitataan näiden tavoitteiden saavuttamista. Niitä olisi myös kehitettävä osallistavalla tavalla ottamalla mukaan tarvittaessa asiaankuuluvia sidosryhmiä, kuten liike-elämän ja kansalaisyhteiskunnan järjestöt, tiedeyhteisö ja tutkimusorganisaatiot, ammattiliitot ja kuluttajansuojajärjestöt. Komissio voi kehittää aloitteita, myös alakohtaisia aloitteita, vähentääkseen tekoälyn kehittämistä varten tapahtuvaa rajat ylittävää datanvaihtoa haittaavia teknisiä esteitä, muun muassa datan käyttöinfrastruktuurin sekä eri datatyyppien semanttisen ja teknisen yhteentoimivuuden aloilla.

(166)

It is important that AI systems related to products that are not high-risk in accordance with this Regulation and thus are not required to comply with the requirements set out for high-risk AI systems are nevertheless safe when placed on the market or put into service. To contribute to this objective, Regulation (EU) 2023/988 of the European Parliament and of the Council (53) would apply as a safety net.

(166)

On tärkeää, että tuotteisiin liittyvät tekoälyjärjestelmät, jotka eivät ole tämän asetuksen mukaisesti suuririskisiä ja joiden ei näin ollen tarvitse täyttää suuririskisille tekoälyjärjestelmille vahvistettuja vaatimuksia, ovat kuitenkin turvallisia, kun ne saatetaan markkinoille tai otetaan käyttöön. Tämän tavoitteen saavuttamiseksi Euroopan parlamentin ja neuvoston asetusta (EU) 2023/988 (53) sovellettaisiin turvaverkkona.

(167)

In order to ensure trustful and constructive cooperation of competent authorities on Union and national level, all parties involved in the application of this Regulation should respect the confidentiality of information and data obtained in carrying out their tasks, in accordance with Union or national law. They should carry out their tasks and activities in such a manner as to protect, in particular, intellectual property rights, confidential business information and trade secrets, the effective implementation of this Regulation, public and national security interests, the integrity of criminal and administrative proceedings, and the integrity of classified information.

(167)

Jotta voidaan varmistaa toimivaltaisten viranomaisten luotettava ja rakentava yhteistyö unionin ja kansallisella tasolla, kaikkien tämän asetuksen soveltamiseen osallistuvien osapuolten olisi kunnioitettava tehtäviään suorittaessaan saamiensa tietojen ja datan luottamuksellisuutta unionin tai kansallisen lainsäädännön mukaisesti. Niiden olisi hoidettava tehtävänsä ja toimensa siten, että suojellaan erityisesti teollis- ja tekijänoikeuksia, luottamuksellisia liiketoimintatietoja ja liikesalaisuuksia, tämän asetuksen tehokasta täytäntöönpanoa, yleisiä ja kansallisia turvallisuusetuja, rikosoikeudellisten ja hallinnollisten menettelyjen koskemattomuutta sekä turvallisuusluokiteltujen tietojen eheyttä.

(168)

Compliance with this Regulation should be enforceable by means of the imposition of penalties and other enforcement measures. Member States should take all necessary measures to ensure that the provisions of this Regulation are implemented, including by laying down effective, proportionate and dissuasive penalties for their infringement, and to respect the ne bis in idem principle. In order to strengthen and harmonise administrative penalties for infringement of this Regulation, the upper limits for setting the administrative fines for certain specific infringements should be laid down. When assessing the amount of the fines, Member States should, in each individual case, take into account all relevant circumstances of the specific situation, with due regard in particular to the nature, gravity and duration of the infringement and of its consequences and to the size of the provider, in particular if the provider is an SME, including a start-up. The European Data Protection Supervisor should have the power to impose fines on Union institutions, agencies and bodies falling within the scope of this Regulation.

(168)

Tämän asetuksen noudattamisen varmistamiseksi olisi voitava määrätä seuraamuksia ja muita täytäntöönpanotoimenpiteitä. Jäsenvaltioiden olisi toteutettava kaikki tarvittavat toimenpiteet sen varmistamiseksi, että tämän asetuksen säännökset pannaan täytäntöön, myös säätämällä niiden rikkomiseen sovellettavista tehokkaista, oikeasuhteisista ja varoittavista seuraamuksista, ja ne bis in idem -periaatteen noudattamiseksi. Jotta voidaan tehostaa ja yhdenmukaistaa tämän asetuksen rikkomisesta määrättäviä hallinnollisia seuraamuksia, tietyistä rikkomisista määrättäville hallinnollisille sakoille olisi vahvistettava enimmäismäärät. Sakkojen määrää arvioidessaan jäsenvaltioiden olisi kussakin yksittäistapauksessa otettava huomioon kaikki kyseisen tilanteen kannalta merkittävät olosuhteet sekä erityisesti rikkomisen ja sen seurausten luonne, vakavuus ja kesto sekä tarjoajan organisaation koko erityisesti, jos tarjoaja on pk-yritys, startup-yritykset mukaan lukien. Euroopan tietosuojavaltuutetulla olisi oltava valtuudet määrätä sakkoja tämän asetuksen soveltamisalaan kuuluville unionin toimielimille, virastoille ja elimille.

(169)

Compliance with the obligations on providers of general-purpose AI models imposed under this Regulation should be enforceable, inter alia, by means of fines. To that end, appropriate levels of fines should also be laid down for infringement of those obligations, including the failure to comply with measures requested by the Commission in accordance with this Regulation, subject to appropriate limitation periods in accordance with the principle of proportionality. All decisions taken by the Commission under this Regulation are subject to review by the Court of Justice of the European Union in accordance with the TFEU, including the unlimited jurisdiction of the Court of Justice with regard to penalties pursuant to Article 261 TFEU.

(169)

Yleiskäyttöisten tekoälymallien tarjoajille tämän asetuksen nojalla asetettujen velvoitteiden noudattamisen varmistamiseksi olisi voitava määrätä muun muassa sakkoja. Tätä varten olisi myös vahvistettava asianmukaiset tasot sakoille, joita määrätään kyseisten velvoitteiden rikkomisesta, mukaan lukien komission tämän asetuksen mukaisesti pyytämien toimenpiteiden noudattamatta jättäminen, jollei suhteellisuusperiaatteen mukaisista asianmukaisista vanhentumisajoista muuta johdu. Kaikki tämän asetuksen mukaiset komission päätökset voidaan Euroopan unionin toiminnasta tehdyn Euroopan unionin toiminnasta tehdyn sopimuksen mukaisesti saattaa Euroopan unionin tuomioistuimen tutkittaviksi, mukaan lukien unionin tuomioistuimen täysi harkintavalta seuraamusten osalta Euroopan unionin toiminnasta tehdyn sopimuksen 261 artiklan nojalla.

(170)

Union and national law already provide effective remedies to natural and legal persons whose rights and freedoms are adversely affected by the use of AI systems. Without prejudice to those remedies, any natural or legal person that has grounds to consider that there has been an infringement of this Regulation should be entitled to lodge a complaint to the relevant market surveillance authority.

(170)

Unionin oikeudessa ja kansallisessa lainsäädännössä säädetään jo tehokkaista oikeussuojakeinoista luonnollisille henkilöille ja oikeushenkilöille, joiden oikeuksiin ja vapauksiin tekoälyjärjestelmien käyttö vaikuttaa haitallisesti. Kaikilla luonnollisilla henkilöillä tai oikeushenkilöillä, joilla on perusteita katsoa, että tätä asetusta on rikottu, olisi oltava oikeus tehdä valitus asianomaiselle markkinavalvontaviranomaiselle.

(171)

Affected persons should have the right to obtain an explanation where a deployer’s decision is based mainly upon the output from certain high-risk AI systems that fall within the scope of this Regulation and where that decision produces legal effects or similarly significantly affects those persons in a way that they consider to have an adverse impact on their health, safety or fundamental rights. That explanation should be clear and meaningful and should provide a basis on which the affected persons are able to exercise their rights. The right to obtain an explanation should not apply to the use of AI systems for which exceptions or restrictions follow from Union or national law and should apply only to the extent this right is not already provided for under Union law.

(171)

Henkilöillä, joihin vaikutukset kohdistuvat, olisi oltava oikeus saada selvitys, kun käyttöönottajan päätöksen pääasiallinen perusta on tämän asetuksen soveltamisalaan kuuluvien tiettyjen suuririskisten tekoälyjärjestelmien tuotos ja kun kyseisellä päätöksellä on oikeusvaikutuksia tai se vaikuttaa asianomaisiin henkilöihin vastaavasti merkittävästi tavalla, jonka asianomaiset henkilöt katsovat olevan haitallinen terveyteensä, turvallisuuteensa tai perusoikeuksiinsa nähden. Kyseisen selvityksen olisi oltava selkeä ja merkityksellinen, ja sen olisi tarjottava henkilöille, joihin vaikutukset kohdistuvat, perusta, jonka avulla nämä voivat käyttää oikeuksiaan. Oikeutta selvityksen saamiseen ei pitäisi soveltaa sellaisten tekoälyjärjestelmien käyttöön, joita koskevat poikkeukset tai rajoitukset johtuvat unionin oikeudesta tai kansallisesta lainsäädännöstä, ja tätä olisi sovellettava vain siltä osin kuin kyseessä olevasta oikeudesta ei ole jo säädetty unionin oikeudessa.

(172)

Persons acting as whistleblowers on the infringements of this Regulation should be protected under the Union law. Directive (EU) 2019/1937 of the European Parliament and of the Council (54) should therefore apply to the reporting of infringements of this Regulation and the protection of persons reporting such infringements.

(172)

Henkilöitä, jotka toimivat väärinkäytösten paljastajina tämän asetuksen rikkomistapauksissa, olisi suojeltava unionin oikeuden nojalla. Tämän asetuksen rikkomisesta ilmoittamiseen ja rikkomisesta ilmoittavien henkilöiden suojeluun olisi näin ollen sovellettava Euroopan parlamentin ja neuvoston direktiiviä (EU) 2019/1937 (54).

(173)

In order to ensure that the regulatory framework can be adapted where necessary, the power to adopt acts in accordance with Article 290 TFEU should be delegated to the Commission to amend the conditions under which an AI system is not to be considered to be high-risk, the list of high-risk AI systems, the provisions regarding technical documentation, the content of the EU declaration of conformity the provisions regarding the conformity assessment procedures, the provisions establishing the high-risk AI systems to which the conformity assessment procedure based on assessment of the quality management system and assessment of the technical documentation should apply, the threshold, benchmarks and indicators, including by supplementing those benchmarks and indicators, in the rules for the classification of general-purpose AI models with systemic risk, the criteria for the designation of general-purpose AI models with systemic risk, the technical documentation for providers of general-purpose AI models and the transparency information for providers of general-purpose AI models. It is of particular importance that the Commission carry out appropriate consultations during its preparatory work, including at expert level, and that those consultations be conducted in accordance with the principles laid down in the Interinstitutional Agreement of 13 April 2016 on Better Law-Making (55). In particular, to ensure equal participation in the preparation of delegated acts, the European Parliament and the Council receive all documents at the same time as Member States’ experts, and their experts systematically have access to meetings of Commission expert groups dealing with the preparation of delegated acts.

(173)

Sen varmistamiseksi, että sääntelykehystä voidaan tarvittaessa mukauttaa, komissiolle olisi siirrettävä valta hyväksyä Euroopan unionin toiminnasta tehdyn sopimuksen 290 artiklan mukaisesti säädösvallan siirron nojalla annettavia delegoituja säädöksiä, joilla muutetaan niitä edellytyksiä, joiden nojalla tekoälyjärjestelmää ei ole pidettävä suuririskisenä, suuririskisten tekoälyjärjestelmien luetteloa, teknistä dokumentaatiota koskevia säännöksiä, EU-vaatimustenmukaisuusvakuutuksen sisältöä, vaatimustenmukaisuuden arviointimenettelyjä koskevia säännöksiä, säännöksiä, joilla määritetään suuririskiset tekoälyjärjestelmät, joihin olisi sovellettava laadunhallintajärjestelmän ja teknisen dokumentaation arviointiin perustuvaa vaatimustenmukaisuuden arviointimenettelyä, kynnystä, vertailuarvoja ja indikaattoreita, muun muassa täydentäen kyseisiä vertailuarvoja ja indikaattoreita, joista on säädetty sellaisten yleiskäyttöisten tekoälymallien, joihin liittyy systeeminen riski, luokittelua koskevissa säännöissä, kriteereitä yleiskäyttöisille tekoälymalleille, joihin liittyy systeeminen riski, yleiskäyttöisten tekoälymallien tarjoajia koskevaa teknistä dokumentaatiota ja yleiskäyttöisten tekoälymallien tarjoajia koskevia avoimuustietoja. On erityisen tärkeää, että komissio asiaa valmistellessaan toteuttaa asianmukaiset kuulemiset, myös asiantuntijatasolla, ja että nämä kuulemiset toteutetaan paremmasta lainsäädännöstä 13 päivänä huhtikuuta 2016 tehdyssä toimielinten välisessä sopimuksessa (55) vahvistettujen periaatteiden mukaisesti. Jotta voitaisiin erityisesti varmistaa tasavertainen osallistuminen delegoitujen säädösten valmisteluun, Euroopan parlamentille ja neuvostolle toimitetaan kaikki asiakirjat samaan aikaan kuin jäsenvaltioiden asiantuntijoille, ja Euroopan parlamentin ja neuvoston asiantuntijoilla on järjestelmällisesti oikeus osallistua komission asiantuntijaryhmien kokouksiin, joissa valmistellaan delegoituja säädöksiä.

(174)

Given the rapid technological developments and the technical expertise required to effectively apply this Regulation, the Commission should evaluate and review this Regulation by 2 August 2029 and every four years thereafter and report to the European Parliament and the Council. In addition, taking into account the implications for the scope of this Regulation, the Commission should carry out an assessment of the need to amend the list of high-risk AI systems and the list of prohibited practices once a year. Moreover, by 2 August 2028 and every four years thereafter, the Commission should evaluate and report to the European Parliament and to the Council on the need to amend the list of high-risk areas headings in the annex to this Regulation, the AI systems within the scope of the transparency obligations, the effectiveness of the supervision and governance system and the progress on the development of standardisation deliverables on energy efficient development of general-purpose AI models, including the need for further measures or actions. Finally, by 2 August 2028 and every three years thereafter, the Commission should evaluate the impact and effectiveness of voluntary codes of conduct to foster the application of the requirements provided for high-risk AI systems in the case of AI systems other than high-risk AI systems and possibly other additional requirements for such AI systems.

(174)

Koska teknologia kehittyy nopeasti ja tämän asetuksen tehokas soveltaminen edellyttää teknistä asiantuntemusta, komission olisi arvioitava ja tarkasteltava tätä asetusta uudelleen viimeistään 2 päivänä elokuuta 2029 [viiden vuoden kuluttua asetuksen voimaantulosta] ja sen jälkeen joka neljäs vuosi ja annettava asiasta kertomus Euroopan parlamentille ja neuvostolle. Komission olisi lisäksi arvioitava kerran vuodessa tarvetta muuttaa suuririskisten tekoälyjärjestelmien luetteloa ja kiellettyjen käytäntöjen luetteloa, ottaen huomioon tämän asetuksen soveltamisalaan kohdistuvat vaikutukset. Lisäksi komission olisi 2 päivään elokuuta 2028 mennessä ja sen jälkeen neljän vuoden välein tehtävä arvio, joka koskee tarvetta muuttaa tämän asetuksen liitteessä olevaa suuririskisten alojen otsikoiden luetteloa, avoimuusvelvoitteiden soveltamisalaan kuuluvia tekoälyjärjestelmiä, valvonta- ja hallintojärjestelmän tehokkuutta ja edistymistä yleiskäyttöisten tekoälymallien energiatehokasta kehittämistä koskevien standardointituotteiden kehittämisessä, mukaan lukien lisätoimenpiteiden tai toimien tarve, ja raportoitava tästä Euroopan parlamentille ja neuvostolle. Komission olisi arvioitava 2 päivään elokuuta 2028 mennessä ja sen jälkeen kolmen vuoden välein vapaaehtoisten käytännesääntöjen vaikutusta ja sitä, kuinka tehokkaasti ne edistävät suuririskisiä tekoälyjärjestelmiä koskevien vaatimusten soveltamista muiden kuin suuririskisten tekoälyjärjestelmien tapauksessa ja mahdollisesti muiden tällaisia tekoälyjärjestelmiä koskevien lisävaatimusten soveltamista.

(175)

In order to ensure uniform conditions for the implementation of this Regulation, implementing powers should be conferred on the Commission. Those powers should be exercised in accordance with Regulation (EU) No 182/2011 of the European Parliament and of the Council (56).

(175)

Jotta voidaan varmistaa tämän asetuksen yhdenmukainen täytäntöönpano, komissiolle olisi siirrettävä täytäntöönpanovaltaa. Tätä valtaa olisi käytettävä Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 182/2011 (56) mukaisesti.

(176)

Since the objective of this Regulation, namely to improve the functioning of the internal market and to promote the uptake of human centric and trustworthy AI, while ensuring a high level of protection of health, safety, fundamental rights enshrined in the Charter, including democracy, the rule of law and environmental protection against harmful effects of AI systems in the Union and supporting innovation, cannot be sufficiently achieved by the Member States and can rather, by reason of the scale or effects of the action, be better achieved at Union level, the Union may adopt measures in accordance with the principle of subsidiarity as set out in Article 5 TEU. In accordance with the principle of proportionality as set out in that Article, this Regulation does not go beyond what is necessary in order to achieve that objective.

(176)

Jäsenvaltiot eivät voi riittävällä tavalla saavuttaa tämän asetuksen tavoitetta eli parantaa sisämarkkinoiden toimintaa ja edistää ihmiskeskeisen ja luotettavan tekoälyn käyttöönottoa, samalla varmistaen terveyden, turvallisuuden ja perusoikeuskirjassa vahvistettujen perusoikeuksien suojelun korkea taso, mukaan lukien demokratia, oikeusvaltio ja tekoälyjärjestelmien haitallisia vaikutuksia torjuva ympäristönsuojelu unionissa, ja tukea innovointia, vaan se voidaan toiminnan laajuuden tai vaikutusten vuoksi saavuttaa paremmin unionin tasolla. Sen vuoksi unioni voi toteuttaa toimenpiteitä Euroopan unionista tehdyn sopimuksen 5 artiklassa vahvistetun toissijaisuusperiaatteen mukaisesti. Mainitussa artiklassa vahvistetun suhteellisuusperiaatteen mukaisesti tässä asetuksessa ei ylitetä sitä, mikä on tarpeen tämän tavoitteen saavuttamiseksi.

(177)

In order to ensure legal certainty, ensure an appropriate adaptation period for operators and avoid disruption to the market, including by ensuring continuity of the use of AI systems, it is appropriate that this Regulation applies to the high-risk AI systems that have been placed on the market or put into service before the general date of application thereof, only if, from that date, those systems are subject to significant changes in their design or intended purpose. It is appropriate to clarify that, in this respect, the concept of significant change should be understood as equivalent in substance to the notion of substantial modification, which is used with regard only to high-risk AI systems pursuant to this Regulation. On an exceptional basis and in light of public accountability, operators of AI systems which are components of the large-scale IT systems established by the legal acts listed in an annex to this Regulation and operators of high-risk AI systems that are intended to be used by public authorities should, respectively, take the necessary steps to comply with the requirements of this Regulation by end of 2030 and by 2 August 2030.

(177)

Jotta voidaan taata oikeusvarmuus, varmistaa asianmukainen sopeutumisaika toimijoille ja välttää markkinoiden vääristyminen, myös varmistamalla tekoälyjärjestelmien käytön jatkuvuus, on asianmukaista, että tätä asetusta sovelletaan suuririskisiin tekoälyjärjestelmiin, jotka on saatettu markkinoille tai otettu käyttöön ennen asetuksen yleistä soveltamispäivää, ainoastaan, jos kyseisten järjestelmien suunnitteluun tai käyttötarkoitukseen tehdään kyseisen päivän jälkeen huomattavia muutoksia. On aiheellista selventää, että tässä yhteydessä huomattavan muutoksen käsitteellä olisi tarkoitettava sisällöltään samaa kuin merkittävän muutoksen käsitteellä, jota käytetään ainoastaan tässä asetuksessa tarkoitettujen suuririskisten tekoälyjärjestelmien osalta. Poikkeuksellisesti ja julkisen vastuuvelvollisuuden vuoksi tämän asetuksen liitteessä luetelluilla säädöksillä perustettujen laaja-alaisten tietojärjestelmien komponentteja olevien tekoälyjärjestelmien ylläpitäjien ja viranomaiskäyttöön tarkoitettujen suuririskisten tekoälyjärjestelmien ylläpitäjien olisi toteutettava tarvittavat toimenpiteet, joilla ne osaltaan varmistavat noudattavansa tämän asetuksen vaatimuksia vuoden 2030 loppuun mennessä ja viimeistään 2 päivänä elokuuta 2030.

(178)

Providers of high-risk AI systems are encouraged to start to comply, on a voluntary basis, with the relevant obligations of this Regulation already during the transitional period.

(178)

Suuririskisten tekoälyjärjestelmien tarjoajia kannustetaan aloittamaan vapaaehtoisesti tämän asetuksen asiaankuuluvien velvoitteiden noudattaminen jo siirtymäkauden aikana.

(179)

This Regulation should apply from 2 August 2026. However, taking into account the unacceptable risk associated with the use of AI in certain ways, the prohibitions as well as the general provisions of this Regulation should already apply from 2 February 2025. While the full effect of those prohibitions follows with the establishment of the governance and enforcement of this Regulation, anticipating the application of the prohibitions is important to take account of unacceptable risks and to have an effect on other procedures, such as in civil law. Moreover, the infrastructure related to the governance and the conformity assessment system should be operational before 2 August 2026, therefore the provisions on notified bodies and governance structure should apply from 2 August 2025. Given the rapid pace of technological advancements and adoption of general-purpose AI models, obligations for providers of general-purpose AI models should apply from 2 August 2025. Codes of practice should be ready by 2 May 2025 in view of enabling providers to demonstrate compliance on time. The AI Office should ensure that classification rules and procedures are up to date in light of technological developments. In addition, Member States should lay down and notify to the Commission the rules on penalties, including administrative fines, and ensure that they are properly and effectively implemented by the date of application of this Regulation. Therefore the provisions on penalties should apply from 2 August 2025.

(179)

Tätä asetusta olisi sovellettava 2 päivästä elokuuta 2026. Kun kuitenkin otetaan huomioon tietyt tekoälyn käyttötavat, joita ei voida hyväksyä, kieltoja ja tämän asetuksen yleisiä säännöksiä olisi sovellettava jo 2 päivästä helmikuuta 2025. Vaikka kyseiset kiellot vaikuttavat täysimääräisesti tätä asetusta koskevaan valvontaan ja sen täytäntöönpanoon, kieltojen soveltamistavan ennakointi on tärkeää, jotta voidaan ottaa huomioon sellainen riski, jota ei voida hyväksyä, ja vaikuttaa muihin menettelyihin esimerkiksi siviilioikeudessa. Hallintoon ja vaatimustenmukaisuuden arviointijärjestelmään liittyvän infrastruktuurin olisi lisäksi oltava toiminnassa ennen 2 päivää elokuuta 2026, minkä vuoksi ilmoitettuja laitoksia ja hallintorakennetta koskevia säännöksiä olisi sovellettava 2 päivästä elokuuta 2026. Kun otetaan huomioon teknologian nopea kehitys ja yleiskäyttöisten tekoälymallien käyttöönotto, yleiskäyttöisten tekoälymallien tarjoajia koskevia velvoitteita olisi sovellettava 2 päivästä elokuuta 2025. Käytännesäännöt olisi vahvistettava viimeistään 2 päivänä toukokuuta 2025, jotta tarjoajat voivat ajoissa osoittaa toimintansa vaatimustenmukaisuuden. Tekoälytoimiston olisi varmistettava, että luokitussäännöt ja -menettelyt ovat ajan tasalla teknologian kehitykseen nähden. Jäsenvaltioiden olisi lisäksi vahvistettava säännöt, jotka koskevat seuraamuksia, myös hallinnollisia sakkoja, ja ilmoitettava niistä komissiolle sekä varmistettava, että ne pannaan asianmukaisesti ja tehokkaasti täytäntöön tämän asetuksen soveltamispäivään mennessä. Sen vuoksi seuraamuksia koskevia säännöksiä olisi sovellettava 2 päivästä elokuuta 2025.

(180)

The European Data Protection Supervisor and the European Data Protection Board were consulted in accordance with Article 42(1) and (2) of Regulation (EU) 2018/1725 and delivered their joint opinion on 18 June 2021,

(180)

Euroopan tietosuojavaltuutettua ja Euroopan tietosuojaneuvostoa on kuultu asetuksen (EU) 2018/1725 42 artiklan 1 ja 2 kohdan mukaisesti, ja ne ovat antaneet yhteisen lausuntonsa 18 päivänä kesäkuuta 2021,

HAVE ADOPTED THIS REGULATION:

OVAT HYVÄKSYNEET TÄMÄN ASETUKSEN:

CHAPTER I

I LUKU

GENERAL PROVISIONS

YLEISET SÄÄNNÖKSET

Article 1

1 artikla

Subject matter`

Kohde

1. The purpose of this Regulation is to improve the functioning of the internal market and promote the uptake of human-centric and trustworthy artificial intelligence (AI), while ensuring a high level of protection of health, safety, fundamental rights enshrined in the Charter, including democracy, the rule of law and environmental protection, against the harmful effects of AI systems in the Union and supporting innovation.

1. Tämän asetuksen tarkoituksena on parantaa sisämarkkinoiden toimintaa ja edistää ihmiskeskeisen ja luotettavan tekoälyn käyttöönottoa, samalla kun varmistetaan terveyden, turvallisuuden, perusoikeuskirjassa vahvistettujen perusoikeuksien, mukaan lukien demokratia, oikeusvaltio ja ympäristön korkeatasoinen suojelu, tekoälyjärjestelmien haitallisilta vaikutuksilta unionissa, ja tukea innovointia.

2. This Regulation lays down:

2. Tässä asetuksessa vahvistetaan

(a)

harmonised rules for the placing on the market, the putting into service, and the use of AI systems in the Union;

yhdenmukaistetut säännöt tekoälyjärjestelmien markkinoille saattamiselle, käyttöönotolle ja käytölle unionissa;

(b)

prohibitions of certain AI practices;

tiettyjä tekoälyyn liittyviä käytäntöjä koskevat kiellot;

(c)

specific requirements for high-risk AI systems and obligations for operators of such systems;

suuririskisiä tekoälyjärjestelmiä koskevat erityisvaatimukset ja tällaisiin järjestelmiin liittyvien toimijoiden velvollisuudet;

(d)

harmonised transparency rules for certain AI systems;

avoimuutta koskevat yhdenmukaistetut säännöt tietyille tekoälyjärjestelmille;

(e)

harmonised rules for the placing on the market of general-purpose AI models;

yleiskäyttöisten tekoälymallien markkinoille saattamista koskevat yhdenmukaistetut säännöt;

(f)

rules on market monitoring, market surveillance, governance and enforcement;

markkinoiden seurantaa ja valvontaa sekä hallinnointia ja täytäntöönpanoa koskevat säännöt;

(g)

measures to support innovation, with a particular focus on SMEs, including start-ups.

innovointia tukevat toimenpiteet, joissa keskitytään erityisesti pk-yrityksiin, startup-yritykset mukaan lukien.

Article 2

2 artikla

Scope

Soveltamisala

1. This Regulation applies to:

1. Tätä asetusta sovelletaan

(a)

providers placing on the market or putting into service AI systems or placing on the market general-purpose AI models in the Union, irrespective of whether those providers are established or located within the Union or in a third country;

tekoälyjärjestelmien tarjoajiin, jotka saattavat markkinoille tai ottavat käyttöön tekoälyjärjestelmiä tai saattavat markkinoille yleiskäyttöisiä tekoälymalleja unionissa, riippumatta siitä, ovatko kyseiset tarjoajat sijoittautuneet unioniin tai kolmanteen maahan vai sijaitsevatko ne unionissa tai kolmannessa maassa;

(b)

deployers of AI systems that have their place of establishment or are located within the Union;

unioniin sijoittautuneisiin tai unionissa sijaitseviin tekoälyjärjestelmien käyttöönottajiin;

(c)

providers and deployers of AI systems that have their place of establishment or are located in a third country, where the output produced by the AI system is used in the Union;

kolmannessa maassa kolmanteen maahan sijoittautuneisiin tai sellaisessa sijaitseviin tekoälyjärjestelmien tarjoajiin ja käyttöönottajiin, kun tekoälyjärjestelmän tuottamaa tuotosta käytetään unionissa;

(d)

importers and distributors of AI systems;

tekoälyjärjestelmien maahantuojiin ja jakelijoihin;

(e)

product manufacturers placing on the market or putting into service an AI system together with their product and under their own name or trademark;

tuotteiden valmistajiin, jotka saattavat markkinoille tai ottavat käyttöön tekoälyjärjestelmän yhdessä tuotteensa kanssa ja omalla nimellään tai tavaramerkillään;

(f)

authorised representatives of providers, which are not established in the Union;

muualle kuin unioniin sijoittautuneisiin tarjoajien valtuutettuihin edustajiin;

(g)

affected persons that are located in the Union.

unioniin sijoittautuneisiin henkilöihin, joihin vaikutukset kohdistuvat.

2. For AI systems classified as high-risk AI systems in accordance with Article 6(1) related to products covered by the Union harmonisation legislation listed in Section B of Annex I, only Article 6(1), Articles 102 to 109 and Article 112 apply. Article 57 applies only in so far as the requirements for high-risk AI systems under this Regulation have been integrated in that Union harmonisation legislation.

2. Tekoälyjärjestelmiin, jotka on luokiteltu suuririskisiksi tekoälyjärjestelmiksi 6 artiklan 1 kohdan mukaisesti ja jotka liittyvät liitteessä I olevassa B jaksossa luetellun unionin yhdenmukaistamislainsäädännön soveltamisalaan kuuluviin tuotteisiin, sovelletaan ainoastaan 6 artiklan 1 kohtaa, 102–109 artiklaa ja 112 artiklaa. Asetuksen 57 artiklaa sovelletaan vain siltä osin kuin tämän asetuksen mukaiset suuririskisiä tekoälyjärjestelmiä koskevat vaatimukset on sisällytetty kyseiseen unionin yhdenmukaistamislainsäädäntöön.

3. This Regulation does not apply to areas outside the scope of Union law, and shall not, in any event, affect the competences of the Member States concerning national security, regardless of the type of entity entrusted by the Member States with carrying out tasks in relation to those competences.

3. Tätä asetusta ei sovelleta aloihin, jotka eivät kuulu unionin oikeuden soveltamisalaan, eikä se missään tapauksessa vaikuta kansalliseen turvallisuuteen liittyvään jäsenvaltioiden toimivaltaan riippumatta siitä, minkä tyyppisiä tahoja jäsenvaltiot ovat valtuuttaneet suorittamaan näihin toimivaltuuksiin liittyviä tehtäviä.

This Regulation does not apply to AI systems where and in so far they are placed on the market, put into service, or used with or without modification exclusively for military, defence or national security purposes, regardless of the type of entity carrying out those activities.

Tätä asetusta ei sovelleta tekoälyjärjestelmiin, jos ja siltä osin kuin ne saatetaan markkinoille, otetaan käyttöön tai niitä käytetään muutettuina tai muuttamattomina yksinomaan sotilaallisia, puolustuksen tai kansallisen turvallisuuden tarkoituksia varten, riippumatta kyseisiä toimia toteuttavan toimijan tyypistä.

This Regulation does not apply to AI systems which are not placed on the market or put into service in the Union, where the output is used in the Union exclusively for military, defence or national security purposes, regardless of the type of entity carrying out those activities.

Tätä asetusta ei sovelleta tekoälyjärjestelmiin, joita ei saateta markkinoille tai oteta käyttöön unionissa, jos tuotosta käytetään unionissa yksinomaan sotilaallisia, puolustuksen tai kansallisen turvallisuuden tarkoituksia varten, riippumatta kyseisiä toimia toteuttavan toimijan tyypistä.

4. This Regulation applies neither to public authorities in a third country nor to international organisations falling within the scope of this Regulation pursuant to paragraph 1, where those authorities or organisations use AI systems in the framework of international cooperation or agreements for law enforcement and judicial cooperation with the Union or with one or more Member States, provided that such a third country or international organisation provides adequate safeguards with respect to the protection of fundamental rights and freedoms of individuals.

4. Tätä asetusta ei sovelleta kolmannen maan viranomaisiin eikä tämän asetuksen soveltamisalaan 1 kohdan nojalla kuuluviin kansainvälisiin järjestöihin, jos kyseiset viranomaiset tai järjestöt käyttävät tekoälyjärjestelmiä unionin tai yhden tai useamman jäsenvaltion kanssa tehtyjen lainvalvontaa ja rikosoikeudellista yhteistyötä koskevan kansainvälisen yhteistyön tai sopimusten puitteissa, edellyttäen, että asianomainen kolmas maa tai kansainvälinen järjestö antaa yksityisyydensuojaa, perusoikeuksia ja yksilön vapauksia koskevat riittävät takeet.

5. This Regulation shall not affect the application of the provisions on the liability of providers of intermediary services as set out in Chapter II of Regulation (EU) 2022/2065.

5. Tämä asetus ei vaikuta asetuksen (EU) 2022/2065 II luvussa vahvistettujen välityspalvelujen tarjoajien vastuuta koskevien säännösten soveltamiseen.

6. This Regulation does not apply to AI systems or AI models, including their output, specifically developed and put into service for the sole purpose of scientific research and development.

6. Tätä asetusta ei sovelleta tekoälyjärjestelmiin tai tekoälymalleihin, jotka on erityisesti kehitetty ja otettu käyttöön yksinomaan tieteellistä tutkimusta ja kehittämistä varten, eikä myöskään niiden tuotoksiin.

7. Union law on the protection of personal data, privacy and the confidentiality of communications applies to personal data processed in connection with the rights and obligations laid down in this Regulation. This Regulation shall not affect Regulation (EU) 2016/679 or (EU) 2018/1725, or Directive 2002/58/EC or (EU) 2016/680, without prejudice to Article 10(5) and Article 59 of this Regulation.

7. Henkilötietojen suojaa, yksityisyyttä ja viestinnän luottamuksellisuutta koskevaa unionin oikeutta sovelletaan henkilötietoihin, joita käsitellään tässä asetuksessa säädettyjen oikeuksien ja velvoitteiden yhteydessä. Tämä asetus ei vaikuta asetusten (EU) 2016/679 ja (EU) 2018/1725 eikä direktiivien 2002/58/EY ja (EU) 2016/680 soveltamiseen, sanotun kuitenkaan rajoittamatta tämän asetuksen 10 artiklan 5 kohdan ja 59 artiklan soveltamista.

8. This Regulation does not apply to any research, testing or development activity regarding AI systems or AI models prior to their being placed on the market or put into service. Such activities shall be conducted in accordance with applicable Union law. Testing in real world conditions shall not be covered by that exclusion.

8. Tätä asetusta ei sovelleta mihinkään tekoälyjärjestelmiä tai tekoälymalleja koskevaan tutkimus-, testaus- ja kehittämistoimintaan ennen niiden markkinoille saattamista tai käyttöönottoa. Tällaiset toimet on toteutettava noudattaen sovellettavaa unionin oikeutta. Kyseinen poikkeus ei kata testausta tosielämän olosuhteissa.

9. This Regulation is without prejudice to the rules laid down by other Union legal acts related to consumer protection and product safety.

9. Tällä asetuksella ei rajoiteta muissa kuluttajansuojaan ja tuoteturvallisuuteen liittyvissä unionin säädöksissä vahvistettujen sääntöjen soveltamista.

10. This Regulation does not apply to obligations of deployers who are natural persons using AI systems in the course of a purely personal non-professional activity.

10. Tätä asetusta ei sovelleta niiden käyttöönottajien velvoitteisiin, jotka ovat luonnollisia henkilöitä, jotka käyttävät tekoälyjärjestelmiä pelkästään henkilökohtaisessa muussa kuin ammattitoiminnassa.

11. This Regulation does not preclude the Union or Member States from maintaining or introducing laws, regulations or administrative provisions which are more favourable to workers in terms of protecting their rights in respect of the use of AI systems by employers, or from encouraging or allowing the application of collective agreements which are more favourable to workers.

11. Tällä asetuksella ei estetä unionia tai jäsenvaltioita pitämästä voimassa tai ottamasta käyttöön lakeja, asetuksia tai hallinnollisia määräyksiä, jotka ovat työntekijöiden kannalta suotuisampia ja suojelevat heidän oikeuksiaan liittyen tekoälyjärjestelmien käyttöön työnantajien toimesta, tai kannustamasta soveltamaan työntekijöiden kannalta suotuisampia työehtosopimuksia tai sallimasta niiden soveltamisen.

12. This Regulation does not apply to AI systems released under free and open-source licences, unless they are placed on the market or put into service as high-risk AI systems or as an AI system that falls under Article 5 or 50.

12. Tätä asetusta ei sovelleta vapaisiin ja avoimeen lähdekoodiin perustuviin tekoälyjärjestelmiin, paitsi jos ne saatetaan markkinoille tai otetaan käyttöön suuririskisinä tekoälyjärjestelminä taikka 5 tai 50 artiklan soveltamisalaan kuuluvina tekoälyjärjestelminä.

Article 3

3 artikla

Definitions

Määritelmät

For the purposes of this Regulation, the following definitions apply:

Tässä asetuksessa tarkoitetaan

(1)

‘AI system’ means a machine-based system that is designed to operate with varying levels of autonomy and that may exhibit adaptiveness after deployment, and that, for explicit or implicit objectives, infers, from the input it receives, how to generate outputs such as predictions, content, recommendations, or decisions that can influence physical or virtual environments;

”tekoälyjärjestelmällä” konepohjaista järjestelmää, joka on suunniteltu toimimaan käyttöönoton jälkeen vaihtelevilla autonomian tasoilla ja jossa voi ilmetä mukautuvuutta käyttöönoton jälkeen ja joka päättelee vastaanottamastaan syötteestä eksplisiittisiä tai implisiittisiä tavoitteita varten, miten tuottaa tuotoksia, kuten ennusteita, sisältöä, suosituksia tai päätöksiä, jotka voivat vaikuttaa fyysisiin tai virtuaalisiin ympäristöihin;

(2)

‘risk’ means the combination of the probability of an occurrence of harm and the severity of that harm;

”riskillä” haitan esiintymisen todennäköisyyden ja haitan vakavuuden yhdistelmää;

(3)

‘provider’ means a natural or legal person, public authority, agency or other body that develops an AI system or a general-purpose AI model or that has an AI system or a general-purpose AI model developed and places it on the market or puts the AI system into service under its own name or trademark, whether for payment or free of charge;

”tarjoajalla” luonnollista tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka kehittää tai kehityttää tekoälyjärjestelmän tai yleiskäyttöisen tekoälymallin ja saattaa sen markkinoille tai ottaa tekoälyjärjestelmän käyttöön omalla nimellään tai tavaramerkillään joko maksua vastaan tai maksutta;

(4)

‘deployer’ means a natural or legal person, public authority, agency or other body using an AI system under its authority except where the AI system is used in the course of a personal non-professional activity;

”käyttöönottajalla” luonnollista tai oikeushenkilöä, viranomaista, virastoa tai muuta tahoa, joka käyttää valvonnassaan olevaa tekoälyjärjestelmää, paitsi jos tekoälyjärjestelmää käytetään henkilökohtaisessa muussa kuin ammattitoiminnassa;

(5)

‘authorised representative’ means a natural or legal person located or established in the Union who has received and accepted a written mandate from a provider of an AI system or a general-purpose AI model to, respectively, perform and carry out on its behalf the obligations and procedures established by this Regulation;

”valtuutetulla edustajalla” unionissa sijaitsevaa tai unioniin sijoittautunutta luonnollista tai oikeushenkilöä, joka on saanut ja hyväksynyt tekoälyjärjestelmän tai yleiskäyttöisen tekoälymallin tarjoajan antaman kirjallisen toimeksiannon täyttää ja toteuttaa kyseisen tarjoajan puolesta tässä asetuksessa säädetyt velvollisuudet ja menettelyt;

(6)

‘importer’ means a natural or legal person located or established in the Union that places on the market an AI system that bears the name or trademark of a natural or legal person established in a third country;

”maahantuojalla” unionissa sijaitsevaa tai unioniin sijoittautunutta luonnollista tai oikeushenkilöä, joka saattaa markkinoille tekoälyjärjestelmän, jolla on kolmanteen maahan sijoittautuneen luonnollisen tai oikeushenkilön nimi tai tavaramerkki;

(7)

‘distributor’ means a natural or legal person in the supply chain, other than the provider or the importer, that makes an AI system available on the Union market;

”jakelijalla” muuta toimitusketjuun kuuluvaa luonnollista tai oikeushenkilöä kuin tarjoajaa tai maahantuojaa, joka asettaa tekoälyjärjestelmän saataville unionin markkinoilla;

(8)

‘operator’ means a provider, product manufacturer, deployer, authorised representative, importer or distributor;

”toimijalla” tarjoajaa, tuotteen valmistajaa, käyttöönottajaa, valtuutettua edustajaa, maahantuojaa tai jakelijaa;

(9)

‘placing on the market’ means the first making available of an AI system or a general-purpose AI model on the Union market;

”markkinoille saattamisella” tekoälyjärjestelmän tai yleiskäyttöisen tekoälymallin asettamista ensimmäistä kertaa saataville unionin markkinoilla;

(10)

‘making available on the market’ means the supply of an AI system or a general-purpose AI model for distribution or use on the Union market in the course of a commercial activity, whether in return for payment or free of charge;

10)

”asettamisella saataville markkinoilla” tekoälyjärjestelmän tai yleiskäyttöisen tekoälymallin toimittamista markkinoille liiketoiminnan yhteydessä jakelua tai käyttöä varten joko maksua vastaan tai maksutta;

(11)

‘putting into service’ means the supply of an AI system for first use directly to the deployer or for own use in the Union for its intended purpose;

11)

”käyttöönotolla” tekoälyjärjestelmän toimittamista ensimmäistä käyttöä varten unionissa sen käyttötarkoitukseen suoraan käyttöönottajalle tai omaan käyttöön;

(12)

‘intended purpose’ means the use for which an AI system is intended by the provider, including the specific context and conditions of use, as specified in the information supplied by the provider in the instructions for use, promotional or sales materials and statements, as well as in the technical documentation;

12)

”käyttötarkoituksella” käyttöä, johon tarjoaja on tarkoittanut tekoälyjärjestelmän, mukaan lukien erityinen käyttöyhteys ja erityiset käyttöolosuhteet, siten kuin ne on määritelty tiedoissa, jotka tarjoaja on antanut käyttöohjeissa, markkinointi- tai myyntimateriaaleissa ja -ilmoituksissa sekä teknisessä dokumentaatiossa;

(13)

‘reasonably foreseeable misuse’ means the use of an AI system in a way that is not in accordance with its intended purpose, but which may result from reasonably foreseeable human behaviour or interaction with other systems, including other AI systems;

13)

”kohtuudella ennakoitavissa olevalla väärinkäytöllä” tekoälyjärjestelmän käyttöä tavalla, joka ei ole sen käyttötarkoituksen mukainen mutta joka voi olla seurausta kohtuudella ennakoitavissa olevasta ihmisen käyttäytymisestä tai järjestelmän vuorovaikutuksesta muiden järjestelmien, myös muiden tekoälyjärjestelmien, kanssa;

(14)

‘safety component’ means a component of a product or of an AI system which fulfils a safety function for that product or AI system, or the failure or malfunctioning of which endangers the health and safety of persons or property;

14)

”turvakomponentilla” tuotteen tai tekoälyjärjestelmän komponenttia, joka toteuttaa kyseisen tuotteen tai tekoälyjärjestelmän turvallisuustoimintoa taikka jonka vika tai toimintahäiriö vaarantaa ihmisten terveyden ja turvallisuuden tai omaisuuden turvallisuuden;

(15)

‘instructions for use’ means the information provided by the provider to inform the deployer of, in particular, an AI system’s intended purpose and proper use;

15)

”käyttöohjeilla” tietoja, jotka tarjoaja antaa käyttöönottajalle erityisesti tekoälyjärjestelmän käyttötarkoituksesta ja asianmukaisesta käytöstä;

(16)

‘recall of an AI system’ means any measure aiming to achieve the return to the provider or taking out of service or disabling the use of an AI system made available to deployers;

16)

”tekoälyjärjestelmän palautusmenettelyllä” kaikkia toimenpiteitä, joiden tarkoituksena on palauttaa käyttöönottajien saataville asetettu tekoälyjärjestelmä takaisin sen tarjoajalle tai poistaa se käytöstä tai tehdä sen käyttö mahdottomaksi;

(17)

‘withdrawal of an AI system’ means any measure aiming to prevent an AI system in the supply chain being made available on the market;

17)

”tekoälyjärjestelmän markkinoilta poistamisella” kaikkia toimenpiteitä, joiden tarkoituksena on estää toimitusketjussa olevan tekoälyjärjestelmän asettaminen saataville markkinoilla;

(18)

‘performance of an AI system’ means the ability of an AI system to achieve its intended purpose;

18)

”tekoälyjärjestelmän suorituskyvyllä” tekoälyjärjestelmän kykyä täyttää aiottu käyttötarkoitus;

(19)

‘notifying authority’ means the national authority responsible for setting up and carrying out the necessary procedures for the assessment, designation and notification of conformity assessment bodies and for their monitoring;

19)

”ilmoittamisesta vastaavalla viranomaisella” kansallista viranomaista, joka vastaa vaatimustenmukaisuuden arviointilaitosten arviointiin, nimeämiseen ja ilmoittamiseen sekä niiden seurantaan tarvittavien menettelyjen perustamisesta ja toteuttamisesta;

(20)

‘conformity assessment’ means the process of demonstrating whether the requirements set out in Chapter III, Section 2 relating to a high-risk AI system have been fulfilled;

20)

”vaatimustenmukaisuuden arvioinnilla” prosessia, jolla osoitetaan, täyttyvätkö III luvun 2 jaksossa vahvistetut suuririskistä tekoälyjärjestelmää koskevat vaatimukset;

(21)

‘conformity assessment body’ means a body that performs third-party conformity assessment activities, including testing, certification and inspection;

21)

”vaatimustenmukaisuuden arviointilaitoksella” tahoa, joka suorittaa kolmantena osapuolena vaatimustenmukaisuuden arviointitoimia, kuten testausta, sertifiointia ja tarkastuksia;

(22)

‘notified body’ means a conformity assessment body notified in accordance with this Regulation and other relevant Union harmonisation legislation;

22)

”ilmoitetulla laitoksella” vaatimustenmukaisuuden arviointilaitosta, joka on ilmoitettu tämän asetuksen ja muun asiaankuuluvan unionin yhdenmukaistamislainsäädännön mukaisesti;

(23)

‘substantial modification’ means a change to an AI system after its placing on the market or putting into service which is not foreseen or planned in the initial conformity assessment carried out by the provider and as a result of which the compliance of the AI system with the requirements set out in Chapter III, Section 2 is affected or results in a modification to the intended purpose for which the AI system has been assessed;

23)

”merkittävällä muutoksella” tekoälyjärjestelmään sen markkinoille saattamisen tai käyttöönoton jälkeen tehtyä muutosta, jota tarjoaja ei ennakoi tai suunnittele alustavassa vaatimustenmukaisuuden arvioinnissa ja joka vaikuttaa siihen, miten tekoälyjärjestelmä täyttää tämän asetuksen III luvun 2 jaksossa vahvistetut vaatimukset, tai joka muuttaa käyttötarkoitusta, jota varten tekoälyjärjestelmä on arvioitu;

(24)

‘CE marking’ means a marking by which a provider indicates that an AI system is in conformity with the requirements set out in Chapter III, Section 2 and other applicable Union harmonisation legislation providing for its affixing;

24)

”CE-merkinnällä” merkintää, jolla tarjoaja osoittaa, että tekoälyjärjestelmä on niiden vaatimusten mukainen, jotka vahvistetaan III luvun 2 jaksossa ja muussa sovellettavassa unionin yhdenmukaistamislainsäädännössä ja jossa säädetään merkinnän kiinnittämisestä;

(25)

‘post-market monitoring system’ means all activities carried out by providers of AI systems to collect and review experience gained from the use of AI systems they place on the market or put into service for the purpose of identifying any need to immediately apply any necessary corrective or preventive actions;

25)

”markkinoille saattamisen jälkeisellä seurantajärjestelmällä” kaikkia toimia, joita tekoälyjärjestelmien tarjoajat toteuttavat kerätäkseen ja tarkastellakseen niiden markkinoille saattamien tai käyttöön ottamien tekoälyjärjestelmien käytöstä saatuja kokemuksia, jotta voidaan todeta, onko tarpeen toteuttaa välittömästi tarpeellisia korjaavia tai ennalta ehkäiseviä toimenpiteitä;

(26)

‘market surveillance authority’ means the national authority carrying out the activities and taking the measures pursuant to Regulation (EU) 2019/1020;

26)

”markkinavalvontaviranomaisella” kansallista viranomaista, joka toteuttaa asetuksen (EU) 2019/1020 mukaisia toimia;

(27)

‘harmonised standard’ means a harmonised standard as defined in Article 2(1), point (c), of Regulation (EU) No 1025/2012;

27)

”yhdenmukaistetulla standardilla” asetuksen (EU) N:o 1025/2012 2 artiklan 1 alakohdan c alakohdassa määriteltyä yhdenmukaistettua standardia;

(28)

‘common specification’ means a set of technical specifications as defined in Article 2, point (4) of Regulation (EU) No 1025/2012, providing means to comply with certain requirements established under this Regulation;

28)

”yhteisellä eritelmällä” asetuksen (EU) N:o 1025/2012 2 artiklan 4 alakohdassa määriteltyjä teknisiä eritelmiä, joiden avulla voidaan noudattaa tiettyjä tässä asetuksessa vahvistettuja vaatimuksia;

(29)

‘training data’ means data used for training an AI system through fitting its learnable parameters;

29)

”koulutusdatalla” dataa, jota käytetään tekoälyjärjestelmän kouluttamiseen sovittamalla sen opittavia parametreja;

(30)

‘validation data’ means data used for providing an evaluation of the trained AI system and for tuning its non-learnable parameters and its learning process in order, inter alia, to prevent underfitting or overfitting;

30)

”validointidatalla” dataa, jota käytetään koulutetun tekoälyjärjestelmän arviointiin ja sen ei-opittavien parametrien ja oppimisprosessin hienosäätöön muun muassa ali- tai ylisovittamisen estämiseksi;

(31)

‘validation data set’ means a separate data set or part of the training data set, either as a fixed or variable split;

31)

”validointidatajoukolla” erillistä datajoukkoa tai koulutusdatajoukon osaa joko kiinteällä tai muuttuvalla jaolla;

(32)

‘testing data’ means data used for providing an independent evaluation of the AI system in order to confirm the expected performance of that system before its placing on the market or putting into service;

32)

”testausdatalla” dataa, jota käytetään tekoälyjärjestelmän riippumattomaan arviointiin kyseisen järjestelmän odotetun suorituskyvyn toteamiseksi ennen järjestelmän markkinoille saattamista tai käyttöönottoa;

(33)

‘input data’ means data provided to or directly acquired by an AI system on the basis of which the system produces an output;

33)

”syöttötiedoilla” tekoälyjärjestelmään syötettyä tai sen suoraan hankkimaa dataa, jonka perusteella järjestelmä tuottaa tuloksen;

(34)

‘biometric data’ means personal data resulting from specific technical processing relating to the physical, physiological or behavioural characteristics of a natural person, such as facial images or dactyloscopic data;

34)

”biometrisillä tiedoilla” kaikkia luonnollisen henkilön fyysisiin ja fysiologisiin ominaisuuksiin tai käyttäytymiseen liittyvällä teknisellä käsittelyllä saatuja henkilötietoja, kuten kasvokuvia tai sormenjälkitietoja;

(35)

‘biometric identification’ means the automated recognition of physical, physiological, behavioural, or psychological human features for the purpose of establishing the identity of a natural person by comparing biometric data of that individual to biometric data of individuals stored in a database;

35)

”biometrisellä tunnistuksella” ihmisen fyysisten, fysiologisten, käyttäytymiseen liittyvien tai psykologisten ominaisuuksien automaattista tunnistamista luonnollisen henkilön henkilöllisyyden toteamiseksi vertaamalla kyseisen henkilön biometrisiä tietoja tietokantaan tallennettuihin toisten yksilöiden biometrisiin tietoihin;

(36)

‘biometric verification’ means the automated, one-to-one verification, including authentication, of the identity of natural persons by comparing their biometric data to previously provided biometric data;

36)

”biometrisellä todennuksella” luonnollisten henkilöiden henkilöllisyyden automaattista yksi yhteen -todentamista, tunnistautuminen mukaan lukien, vertaamalla näiden biometrisiä tietoja aiemmin annettuihin biometrisiin tietoihin;

(37)

‘special categories of personal data’ means the categories of personal data referred to in Article 9(1) of Regulation (EU) 2016/679, Article 10 of Directive (EU) 2016/680 and Article 10(1) of Regulation (EU) 2018/1725;

37)

”erityisillä henkilötietoryhmillä” asetuksen (EU) 2016/679 9 artiklan 1 kohdassa, direktiivin (EU) 2016/680 10 artiklassa ja asetuksen (EU) 2018/1725 10 artiklan 1 kohdassa tarkoitettuja henkilötietoryhmiä;

(38)

‘sensitive operational data’ means operational data related to activities of prevention, detection, investigation or prosecution of criminal offences, the disclosure of which could jeopardise the integrity of criminal proceedings;

38)

”arkaluonteisilla operatiivisilla tiedoilla” operatiivisia tietoja, jotka liittyvät rikosten ennalta ehkäisemistä, paljastamista, tutkimista tai niistä syytteeseenpanoa koskeviin toimiin ja joiden paljastaminen voisi vaarantaa rikosoikeudellisen menettelyn luotettavuuden;

(39)

‘emotion recognition system’ means an AI system for the purpose of identifying or inferring emotions or intentions of natural persons on the basis of their biometric data;

39)

”tunteentunnistusjärjestelmällä” tekoälyjärjestelmää, jonka avulla luonnollisten henkilöiden tunteita tai aikomuksia voidaan tunnistaa tai päätellä heidän biometristen tietojensa perusteella;

(40)

‘biometric categorisation system’ means an AI system for the purpose of assigning natural persons to specific categories on the basis of their biometric data, unless it is ancillary to another commercial service and strictly necessary for objective technical reasons;

40)

”biometrisellä luokittelujärjestelmällä” tekoälyjärjestelmää, jonka avulla luonnolliset henkilöt luokitellaan heidän biometristen tietojensa perusteella tiettyihin ryhmiin, paitsi jos se on toisen kaupallisen palvelun oheistoiminto ja se on ehdottoman välttämätön objektiivisista teknisistä syistä;

(41)

‘remote biometric identification system’ means an AI system for the purpose of identifying natural persons, without their active involvement, typically at a distance through the comparison of a person’s biometric data with the biometric data contained in a reference database;

41)

”biometrisellä etätunnistusjärjestelmällä” tekoälyjärjestelmää, jonka avulla luonnolliset henkilöt voidaan tunnistaa ilman heidän aktiivista osallistumistaan – tyypillisesti etäältä – vertaamalla henkilön biometrisiä tietoja viitetietokantaan sisältyviin biometrisiin tietoihin;

(42)

‘real-time remote biometric identification system’ means a remote biometric identification system, whereby the capturing of biometric data, the comparison and the identification all occur without a significant delay, comprising not only instant identification, but also limited short delays in order to avoid circumvention;

42)

”reaaliaikaisella biometrisellä etätunnistusjärjestelmällä” biometristä etätunnistusjärjestelmää, jossa biometristen tietojen kerääminen, vertailu ja tunnistaminen tapahtuvat ilman merkittävää viivettä ja joka kattaa välittömän tunnistamisen lisäksi myös vähäiset viiveet, joilla pyritään ehkäisemään harhaanjohtamista;

(43)

‘post-remote biometric identification system’ means a remote biometric identification system other than a real-time remote biometric identification system;

43)

”jälkikäteisellä biometrisellä etätunnistusjärjestelmällä” muuta kuin reaaliaikaista biometristä etätunnistusjärjestelmää;

(44)

‘publicly accessible space’ means any publicly or privately owned physical place accessible to an undetermined number of natural persons, regardless of whether certain conditions for access may apply, and regardless of the potential capacity restrictions;

44)

”julkisella tilalla” mitä tahansa julkisessa tai yksityisessä omistuksessa olevaa fyysistä paikkaa, johon määrittämättömällä määrällä luonnollisia henkilöitä on pääsy, riippumatta siitä, sovelletaanko tiettyjä pääsyä koskevia edellytyksiä ja riippumatta mahdollisista kapasiteettirajoituksista;

(45)

‘law enforcement authority’ means:

45)

”lainvalvontaviranomaisella”

(a)

any public authority competent for the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and the prevention of threats to public security; or

kaikkia viranomaisia, joiden toimivalta kattaa rikosten ennalta estämisen, tutkimisen, paljastamisen tai rikoksiin liittyvät syytetoimet tai rikosoikeudellisten seuraamusten täytäntöönpanon, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelu ja tällaisten uhkien ehkäisy; tai

(b)

any other body or entity entrusted by Member State law to exercise public authority and public powers for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and the prevention of threats to public security;

kaikkia muita elimiä tai yksiköitä, joille on jäsenvaltion lainsäädännössä annettu tehtäväksi käyttää julkista valtaa tai valtuuksia rikosten ennalta estämiseen, tutkimiseen, paljastamiseen tai rikoksiin liittyviin syytetoimiin tai rikosoikeudellisten seuraamusten täytäntöönpanoon, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelu ja tällaisten uhkien ehkäisy;

(46)

‘law enforcement’ means activities carried out by law enforcement authorities or on their behalf for the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, including safeguarding against and preventing threats to public security;

46)

”lainvalvonnalla” toimia, joita lainvalvontaviranomaiset toteuttavat tai joita toteutetaan niiden puolesta rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelu ja tällaisten uhkien ehkäisy;

(47)

‘AI Office’ means the Commission’s function of contributing to the implementation, monitoring and supervision of AI systems and general-purpose AI models, and AI governance, provided for in Commission Decision of 24 January 2024; references in this Regulation to the AI Office shall be construed as references to the Commission;

47)

”tekoälytoimistolla” komission tehtävää edistää 24 päivänä tammikuuta 2024 tehdyssä komission päätöksessä säädettyä tekoälyjärjestelmien, yleiskäyttöisten tekoälymallien ja tekoälyn hallinnoinnin täytäntöönpanoa, seurantaa ja valvontaa; tässä asetuksessa olevia viittauksia tekoälytoimistoon pidetään viittauksina komissioon;

(48)

‘national competent authority’ means a notifying authority or a market surveillance authority; as regards AI systems put into service or used by Union institutions, agencies, offices and bodies, references to national competent authorities or market surveillance authorities in this Regulation shall be construed as references to the European Data Protection Supervisor;

48)

”kansallisella toimivaltaisella viranomaisella” ilmoittamisesta vastaavaa viranomaista tai markkinavalvontaviranomaista; kun kyseessä ovat unionin toimielinten, virastojen, toimistojen ja elinten käyttöön ottamat tai käyttämät tekoälyjärjestelmät, tässä asetuksessa olevia viittauksia kansallisiin toimivaltaisiin viranomaisiin tai markkinavalvontaviranomaisiin on pidettävä viittauksina Euroopan tietosuojavaltuutettuun;

(49)

‘serious incident’ means an incident or malfunctioning of an AI system that directly or indirectly leads to any of the following:

49)

”vakavalla vaaratilanteella” vaaratilannetta tai tekoälyjärjestelmän toimintahäiriötä, joka suoraan tai välillisesti johtaa johonkin seuraavista:

(a)

the death of a person, or serious harm to a person’s health;

henkilön kuolema tai vakava vahinko henkilön terveydelle;

(b)

a serious and irreversible disruption of the management or operation of critical infrastructure;

vakava tai peruuttamaton häiriö kriittisen infrastruktuurin hallinnassa ja toiminnassa.

(c)

the infringement of obligations under Union law intended to protect fundamental rights;

perusoikeuksien suojaamiseen tarkoitettujen unionin oikeuden mukaisten velvoitteiden rikkominen,

(d)

serious harm to property or the environment;

vakava vahinko omaisuudelle tai ympäristölle;

(50)

‘personal data’ means personal data as defined in Article 4, point (1), of Regulation (EU) 2016/679;

50)

”henkilötiedoilla” asetuksen (EU) 2016/679 4 artiklan 1 alakohdassa määriteltyjä henkilötietoja;

(51)

‘non-personal data’ means data other than personal data as defined in Article 4, point (1), of Regulation (EU) 2016/679;

51)

”muilla kuin henkilötiedoilla” muuta dataa kuin asetuksen (EU) 2016/679 4 artiklan 1 alakohdassa määriteltyjä henkilötietoja;

(52)

‘profiling’ means profiling as defined in Article 4, point (4), of Regulation (EU) 2016/679;

52)

”profiloinnilla” profilointia asetuksen (EU) 2016/679 4 artiklan 4 alakohdassa tarkoitetulla tavalla;

(53)

‘real-world testing plan’ means a document that describes the objectives, methodology, geographical, population and temporal scope, monitoring, organisation and conduct of testing in real-world conditions;

53)

”todellisissa olosuhteissa tapahtuvaa testausta koskevalla suunnitelmalla” asiakirjaa, jossa kuvataan todellisissa olosuhteissa tapahtuvan testauksen tavoitteet, menetelmät, maantieteellinen, väestöä koskeva ja ajallinen laajuus, seuranta, organisointi ja toteuttaminen;

(54)

‘sandbox plan’ means a document agreed between the participating provider and the competent authority describing the objectives, conditions, timeframe, methodology and requirements for the activities carried out within the sandbox;

54)

”testiympäristösuunnitelmalla” osallistuvan tarjoajan ja toimivaltaisen viranomaisen välillä sovittua asiakirjaa, jossa kuvataan testiympäristössä toteutettavien toimien tavoitteet, edellytykset, aikataulu, menetelmät ja vaatimukset;

(55)

‘AI regulatory sandbox’ means a controlled framework set up by a competent authority which offers providers or prospective providers of AI systems the possibility to develop, train, validate and test, where appropriate in real-world conditions, an innovative AI system, pursuant to a sandbox plan for a limited time under regulatory supervision;

55)

”tekoälyn sääntelyn testiympäristöllä” toimivaltaisen viranomaisen perustamaa hallinnoitua kehystä, joka tarjoaa tekoälyjärjestelmien tarjoajille tai mahdollisille tarjoajille mahdollisuuden kehittää, kouluttaa, validoida ja testata tarvittaessa todellisissa olosuhteissa innovatiivista tekoälyjärjestelmää testisuunnitelman mukaisesti rajoitetun ajan viranomaisvalvonnassa;

(56)

‘AI literacy’ means skills, knowledge and understanding that allow providers, deployers and affected persons, taking into account their respective rights and obligations in the context of this Regulation, to make an informed deployment of AI systems, as well as to gain awareness about the opportunities and risks of AI and possible harm it can cause;

56)

”tekoälylukutaidolla” osaamista, tietämystä ja ymmärrystä, joiden avulla tarjoajat, käyttöönottajat ja henkilöt, joihin vaikutukset kohdistuvat, voivat ottaen huomioon oikeutensa ja velvollisuutensa tämän asetuksen puitteissa ottaa tietoon perustuen käyttöön tekoälyjärjestelmiä sekä saada tietoa tekoälyn mahdollisuuksista ja riskeistä ja mahdollisista vahingoista, joita se voi aiheuttaa;

(57)

‘testing in real-world conditions’ means the temporary testing of an AI system for its intended purpose in real-world conditions outside a laboratory or otherwise simulated environment, with a view to gathering reliable and robust data and to assessing and verifying the conformity of the AI system with the requirements of this Regulation and it does not qualify as placing the AI system on the market or putting it into service within the meaning of this Regulation, provided that all the conditions laid down in Article 57 or 60 are fulfilled;

57)

”todellisissa olosuhteissa suoritettavalla testauksella” tekoälyjärjestelmän tilapäistä testaamista käyttötarkoituksensa mukaisesti todellisissa olosuhteissa muualla kuin laboratoriossa tai muulla tavoin simuloidussa ympäristössä luotettavan ja vankan datan keräämiseksi ja tekoälyjärjestelmän vaatimustenmukaisuuden arvioimiseksi ja todentamiseksi tämän asetuksen vaatimuksiin nähden, ja tätä ei katsota tekoälyjärjestelmän saattamiseksi markkinoille tai sen käyttöönottamiseksi tässä asetuksessa tarkoitetulla tavalla, edellyttäen että kaikki 57 tai 60 artiklassa säädetyt edellytykset täyttyvät;

(58)

‘subject’, for the purpose of real-world testing, means a natural person who participates in testing in real-world conditions;

58)

”osallistujalla” todellisissa olosuhteissa tapahtuvan testauksen yhteydessä luonnollista henkilöä, joka osallistuu todellisissa olosuhteissa tapahtuvaan testaukseen;

(59)

‘informed consent’ means a subject’s freely given, specific, unambiguous and voluntary expression of his or her willingness to participate in a particular testing in real-world conditions, after having been informed of all aspects of the testing that are relevant to the subject’s decision to participate;

59)

”tietoon perustuvalla suostumuksella” osallistujan vapaasti annettua, tiettyä, yksiselitteistä ja vapaaehtoista ilmaisua halukkuudestaan osallistua tiettyyn todellisissa olosuhteissa tapahtuvaan testaukseen, sen jälkeen kun hän on saanut tiedot testauksen kaikista näkökohdista, jotka ovat merkityksellisiä osallistujan osallistumispäätöksen kannalta;

(60)

‘deep fake’ means AI-generated or manipulated image, audio or video content that resembles existing persons, objects, places, entities or events and would falsely appear to a person to be authentic or truthful;

60)

”syväväärennöksellä” tekoälyllä tuotettua tai käsiteltyä kuva-, ääni- tai videosisältöä, joka muistuttaa olemassa olevia henkilöitä, esineitä, paikkoja, toimijoita tai tapahtumia ja joka antaa henkilölle valheellisen vaikutelman siitä, että se on aito tai totuudenmukainen;

(61)

‘widespread infringement’ means any act or omission contrary to Union law protecting the interest of individuals, which:

61)

”laajalle levinneellä rikkomisella” yksityishenkilöiden etuja suojaavan unionin oikeuden vastaisia tekoja tai laiminlyöntejä, jotka

(a)

has harmed or is likely to harm the collective interests of individuals residing in at least two Member States other than the Member State in which:

ovat vahingoittaneet tai ovat omiaan vahingoittamaan sellaisten yksityishenkilöiden yhteisiä etuja, joiden asuinpaikka on vähintään kahdessa muussa jäsenvaltiossa kuin siinä,

(i)

the act or omission originated or took place;

jossa teko tai laiminlyönti sai alkunsa tai tapahtui,

(ii)

the provider concerned, or, where applicable, its authorised representative is located or established; or

ii)

jossa asianomainen tarjoaja tai tapauksen mukaan sen valtuutettu edustaja sijaitsee tai jonne se on sijoittautunut tai

(iii)

the deployer is established, when the infringement is committed by the deployer;

iii)

jonne käyttöönottaja on sijoittautunut silloin, kun hän syyllistyy rikkomiseen;

(b)

has caused, causes or is likely to cause harm to the collective interests of individuals and has common features, including the same unlawful practice or the same interest being infringed, and is occurring concurrently, committed by the same operator, in at least three Member States;

ovat vahingoittaneet, vahingoittavat tai ovat omiaan vahingoittamaan yksityishenkilöiden yhteisiä etuja ja joilla on yhteisiä piirteitä, kuten sama lainvastainen menettely tai samat edut rikkomuksen kohteena ja jotka ilmenevät samanaikaisesti ja joiden tekijä on sama toimija vähintään kolmessa jäsenvaltiossa;

(62)

‘critical infrastructure’ means critical infrastructure as defined in Article 2, point (4), of Directive (EU) 2022/2557;

62)

”kriittisellä infrastruktuurilla” direktiivin (EU) 2022/2557 2 artiklan 4 alakohdassa määriteltyä kriittistä infrastruktuuria;

(63)

‘general-purpose AI model’ means an AI model, including where such an AI model is trained with a large amount of data using self-supervision at scale, that displays significant generality and is capable of competently performing a wide range of distinct tasks regardless of the way the model is placed on the market and that can be integrated into a variety of downstream systems or applications, except AI models that are used for research, development or prototyping activities before they are placed on the market;

63)

”yleiskäyttöisellä tekoälymallilla” tekoälymallia, myös silloin, kun tällainen tekoälymalli on koulutettu suurella määrällä dataa käyttäen laajamittaista itsevalvontaa, joka on hyvin yleisluonteinen ja pystyy suorittamaan pätevästi monenlaisia erillisiä tehtäviä riippumatta siitä, miten malli saatetaan markkinoille, ja joka voidaan integroida erilaisiin ketjun loppupään järjestelmiin tai sovelluksiin, lukuun ottamatta tekoälymalleja, joita käytetään tutkimus-, kehitys- tai prototyyppitoimintaan ennen niiden saattamista markkinoille;

(64)

‘high-impact capabilities’ means capabilities that match or exceed the capabilities recorded in the most advanced general-purpose AI models;

64)

”vaikutuksiltaan merkittävällä suorituskyvyllä” suorituskykyä, joka vastaa kehittyneimpien yleiskäyttöisten tekoälymallien mitattuja valmiuksia tai ylittää ne;

(65)

‘systemic risk’ means a risk that is specific to the high-impact capabilities of general-purpose AI models, having a significant impact on the Union market due to their reach, or due to actual or reasonably foreseeable negative effects on public health, safety, public security, fundamental rights, or the society as a whole, that can be propagated at scale across the value chain;

65)

”systeemisellä riskillä” riskiä, joka on yleiskäyttöisten tekoälymallien vaikutuksiltaan merkittävälle suorituskyvylle ominainen ja jolla on merkittävä vaikutus unionin markkinoihin niiden kattavuuden tai kansanterveyteen, turvallisuuteen, yleiseen turvallisuuteen, perusoikeuksiin tai koko yhteiskuntaan kohdistuvien tosiasiallisten tai kohtuudella ennakoitavissa olevien kielteisten vaikutusten vuoksi ja jota voidaan levittää laajamittaisesti koko arvoketjussa;

(66)

‘general-purpose AI system’ means an AI system which is based on a general-purpose AI model and which has the capability to serve a variety of purposes, both for direct use as well as for integration in other AI systems;

66)

”yleiskäyttöisellä tekoälyjärjestelmällä” tekoälyjärjestelmää, joka perustuu yleiskäyttöiseen tekoälymalliin ja joka kykenee palvelemaan erilaisia tarkoituksia sekä suorassa käytössä että muihin tekoälyjärjestelmiin integroituna;

(67)

‘floating-point operation’ means any mathematical operation or assignment involving floating-point numbers, which are a subset of the real numbers typically represented on computers by an integer of fixed precision scaled by an integer exponent of a fixed base;

67)

”liukulukulaskennalla” mitä tahansa matemaattista toimitusta tai tehtävää, johon liittyy liukulukuja, jotka ovat niiden reaalilukujen alajoukko, joita tietokoneissa tyypillisesti esitetään pysyvän arvon kokonaislukuna, jota skaalataan kiinteäkantaisella kokonaislukueksponentilla;

(68)

‘downstream provider’ means a provider of an AI system, including a general-purpose AI system, which integrates an AI model, regardless of whether the AI model is provided by themselves and vertically integrated or provided by another entity based on contractual relations.

68)

”ketjun loppupään tarjoajalla” tekoälyjärjestelmän, myös yleiskäyttöisen tekoälyjärjestelmän, johon on integroitu tekoälymalli, tarjoajaa, riippumatta siitä, onko tekoälymalli niiden itsensä tarjoama ja vertikaalisesti integroitu vai jonkin muun yhteisön sopimussuhteiden perusteella tarjoama.

Article 4

4 artikla

AI literacy

Tekoälylukutaito

Providers and deployers of AI systems shall take measures to ensure, to their best extent, a sufficient level of AI literacy of their staff and other persons dealing with the operation and use of AI systems on their behalf, taking into account their technical knowledge, experience, education and training and the context the AI systems are to be used in, and considering the persons or groups of persons on whom the AI systems are to be used.

Tekoälyjärjestelmien tarjoajien ja käyttöönottajien on parhaansa mukaan toteutettava toimenpiteitä, joilla ne varmistavat henkilöstönsä ja muiden niiden puolesta tekoälyjärjestelmien toiminnasta ja käytöstä vastaavien henkilöiden riittävän tekoälylukutaidon, minkä yhteydessä otetaan huomioon heidän tekninen tietämyksensä, kokemuksensa, koulutuksensa ja tekoälyjärjestelmien käyttöyhteys sekä henkilöt tai henkilöryhmät, joihin tekoälyjärjestelmiä on määrä käyttää.

CHAPTER II

II LUKU

PROHIBITED AI PRACTICES

KIELLETYT TEKOÄLYYN LIITTYVÄT KÄYTÄNNÖT

Article 5

5 artikla

Prohibited AI practices

Kielletyt tekoälyyn liittyvät käytännöt

1. The following AI practices shall be prohibited:

1. Seuraavat tekoälyyn liittyvät käytännöt ovat kiellettyjä:

(a)

the placing on the market, the putting into service or the use of an AI system that deploys subliminal techniques beyond a person’s consciousness or purposefully manipulative or deceptive techniques, with the objective, or the effect of materially distorting the behaviour of a person or a group of persons by appreciably impairing their ability to make an informed decision, thereby causing them to take a decision that they would not have otherwise taken in a manner that causes or is reasonably likely to cause that person, another person or group of persons significant harm;

sellaisen tekoälyjärjestelmän markkinoille saattaminen, käyttöönotto tai käyttö, jossa käytetään subliminaalisia tekniikoita, joita henkilö ei havaitse tietoisesti, tai tarkoituksellisesti manipuloivia tai harhaanjohtavia tekniikoita, joiden tavoitteena on vääristää tai jotka olennaisesti vääristävät henkilön tai henkilöryhmän käyttäytymistä heikentäen tuntuvasti tämän kykyä tehdä tietoinen päätös ja saaden tämän tekemään päätöksen, jota tämä ei olisi muussa tapauksessa tehnyt, tavalla, joka aiheuttaa tai kohtuullisella todennäköisyydellä aiheuttaa kyseiselle henkilölle, toiselle henkilölle tai henkilöryhmälle merkittävää haittaa.

(b)

the placing on the market, the putting into service or the use of an AI system that exploits any of the vulnerabilities of a natural person or a specific group of persons due to their age, disability or a specific social or economic situation, with the objective, or the effect, of materially distorting the behaviour of that person or a person belonging to that group in a manner that causes or is reasonably likely to cause that person or another person significant harm;

sellaisen tekoälyjärjestelmän markkinoille saattaminen, käyttöönotto tai käyttö, jossa hyödynnetään luonnollisen henkilön tai tietyn henkilöryhmän haavoittuvuuksia, jotka liittyvät heidän ikäänsä, vammaansa tai erityiseen sosiaaliseen tai taloudelliseen tilanteeseensa, siten, että tavoitteena tai vaikutuksena on olennaisesti vääristää kyseisen henkilön tai kyseiseen ryhmään kuuluvan henkilön käyttäytymistä tavalla, joka aiheuttaa tai kohtuullisella todennäköisyydellä aiheuttaa kyseiselle henkilölle tai toiselle henkilölle merkittävää haittaa;

(c)

the placing on the market, the putting into service or the use of AI systems for the evaluation or classification of natural persons or groups of persons over a certain period of time based on their social behaviour or known, inferred or predicted personal or personality characteristics, with the social score leading to either or both of the following:

tekoälyjärjestelmien markkinoille saattaminen, käyttöönotto tai käyttö luonnollisten henkilöiden tai henkilöryhmien arvioimiseksi tai luokittelemiseksi tiettynä ajanjaksona heidän sosiaalisen käyttäytymisensä tai tunnettujen, pääteltyjen tai ennakoitujen henkilökohtaisten ominaisuuksiensa tai luonteenpiirteidensä perusteella siten, että sosiaalinen pisteytys johtaa jompaankumpaan tai molempiin seuraavista:

(i)

detrimental or unfavourable treatment of certain natural persons or groups of persons in social contexts that are unrelated to the contexts in which the data was originally generated or collected;

tiettyjen luonnollisten henkilöiden tai henkilöryhmien haitallinen tai epäedullinen kohtelu sosiaalisissa yhteyksissä, jotka eivät liity siihen asiayhteyteen, jossa tiedot alun perin tuotettiin tai kerättiin;

(ii)

detrimental or unfavourable treatment of certain natural persons or groups of persons that is unjustified or disproportionate to their social behaviour or its gravity;

ii)

tiettyjen luonnollisten henkilöiden tai henkilöryhmien haitallinen tai epäedullinen kohtelu, joka on perusteetonta tai suhteetonta heidän sosiaaliseen käyttäytymiseensä tai sen vakavuuteen nähden;

(d)

the placing on the market, the putting into service for this specific purpose, or the use of an AI system for making risk assessments of natural persons in order to assess or predict the risk of a natural person committing a criminal offence, based solely on the profiling of a natural person or on assessing their personality traits and characteristics; this prohibition shall not apply to AI systems used to support the human assessment of the involvement of a person in a criminal activity, which is already based on objective and verifiable facts directly linked to a criminal activity;

tekoälyjärjestelmän markkinoille saattaminen, käyttöönotto tätä erityistarkoitusta varten tai käyttö luonnollisia henkilöitä koskevien riskinarviointien tekemiseen, jotta voidaan arvioida tai ennustaa sen riskiä, että luonnollinen henkilö syyllistyy rikokseen, kun tämä perustuu yksinomaan luonnollisen henkilön profilointiin tai hänen persoonallisuuspiirteidensä ja persoonallisuusominaisuuksiensa arviointiin; tätä kieltoa ei sovelleta tekoälyjärjestelmiin, joita käytetään tukemaan ihmisen tekemää arviointia jonkun henkilön osallistumisesta rikolliseen toimintaan, kun arvio jo perustuu objektiivisiin ja todennettavissa oleviin tosiseikkoihin, jotka liittyvät suoraan rikolliseen toimintaan;

(e)

the placing on the market, the putting into service for this specific purpose, or the use of AI systems that create or expand facial recognition databases through the untargeted scraping of facial images from the internet or CCTV footage;

sellaisten tekoälyjärjestelmien saattaminen markkinoille, käyttöönotto tähän tiettyyn tarkoitukseen tai käyttö, joilla luodaan tai laajennetaan kasvojentunnistustietokantoja haravoimalla kasvokuvia kohdentamattomasti internetistä tai valvontakamerakuvista;

(f)

the placing on the market, the putting into service for this specific purpose, or the use of AI systems to infer emotions of a natural person in the areas of workplace and education institutions, except where the use of the AI system is intended to be put in place or into the market for medical or safety reasons;

tekoälyjärjestelmien markkinoille saattaminen, käyttöönotto tätä tarkoitusta varten tai käyttö luonnollisen henkilön tunteiden päättelemiseksi työpaikalla ja oppilaitoksissa, paitsi jos tekoälyjärjestelmän käyttöä on tarkoitus hyödyntää tai saattaa markkinoille lääketieteellisiin tai turvallisuuteen liittyviin tarkoituksiin;

(g)

the placing on the market, the putting into service for this specific purpose, or the use of biometric categorisation systems that categorise individually natural persons based on their biometric data to deduce or infer their race, political opinions, trade union membership, religious or philosophical beliefs, sex life or sexual orientation; this prohibition does not cover any labelling or filtering of lawfully acquired biometric datasets, such as images, based on biometric data or categorizing of biometric data in the area of law enforcement;

sellaisten biometristen luokittelujärjestelmien markkinoille saattaminen, käyttöönotto tätä tiettyä tarkoitusta varten tai sellaisten biometristen luokittelujärjestelmien käyttö, joissa luonnolliset henkilöt luokitellaan heidän biometristen tietojensa perusteella rodun, poliittisten mielipiteiden, ammattiliiton jäsenyyden, uskonnollisen tai filosofisen vakaumuksen, seksuaalisen käyttäytymisen tai seksuaalisen suuntautumisen perusteella; tämä kielto ei koske laillisesti hankittujen biometristen tietoaineistojen, kuten kuvien, merkitsemistä tai suodattamista biometristen tietojen perusteella lainvalvonta-alalla;

(h)

the use of ‘real-time’ remote biometric identification systems in publicly accessible spaces for the purposes of law enforcement, unless and in so far as such use is strictly necessary for one of the following objectives:

reaaliaikaisten biometristen etätunnistusjärjestelmien käyttö julkisissa tiloissa lainvalvontatarkoituksessa, paitsi jos ja siltä osin kuin se on ehdottoman välttämätöntä jonkin seuraavan tavoitteen saavuttamiseksi:

(i)

the targeted search for specific victims of abduction, trafficking in human beings or sexual exploitation of human beings, as well as the search for missing persons;

kaappauksen, ihmiskaupan ja seksuaalisen hyväksikäytön uhrien kohdennettu etsintä sekä kadonneiden henkilöiden etsiminen;

(ii)

the prevention of a specific, substantial and imminent threat to the life or physical safety of natural persons or a genuine and present or genuine and foreseeable threat of a terrorist attack;

ii)

luonnollisten henkilöiden henkeen tai fyysiseen turvallisuuteen kohdistuvan erityisen, merkittävän ja välittömän uhan taikka aidon ja välittömän tai aidon ja ennakoitavissa olevan terrori-iskun uhan ehkäiseminen;

(iii)

the localisation or identification of a person suspected of having committed a criminal offence, for the purpose of conducting a criminal investigation or prosecution or executing a criminal penalty for offences referred to in Annex II and punishable in the Member State concerned by a custodial sentence or a detention order for a maximum period of at least four years.

iii)

rikoksesta epäillyn henkilön paikantaminen tai tunnistaminen liitteessä II tarkoitettujen rikosten tutkintaa tai syytteeseenpanoa tai rikosoikeudellisen seuraamuksen täytäntöönpanoa varten ja joista voi asianomaisessa jäsenvaltiossa seurata vapaudenmenetyksen käsittävä rangaistus tai turvaamistoimenpide, jonka enimmäisaika on vähintään neljä vuotta.

Point (h) of the first subparagraph is without prejudice to Article 9 of Regulation (EU) 2016/679 for the processing of biometric data for purposes other than law enforcement.

Ensimmäisen alakohdan h alakohta ei rajoita asetuksen (EU) 2016/679 9 artiklan soveltamista, kun kyse on biometristen tietojen käsittelystä muihin tarkoituksiin kuin lainvalvontaan.

2. The use of ‘real-time’ remote biometric identification systems in publicly accessible spaces for the purposes of law enforcement for any of the objectives referred to in paragraph 1, first subparagraph, point (h), shall be deployed for the purposes set out in that point only to confirm the identity of the specifically targeted individual, and it shall take into account the following elements:

2. Kun reaaliaikaisia biometrisiä etätunnistusjärjestelmiä käytetään julkisissa tiloissa lainvalvontatarkoituksessa minkä tahansa 1 kohdan ensimmäisen alakohdan h alakohdassa tarkoitetun tavoitteen saavuttamiseksi, käytön on tapahduttava kyseisessä kohdassa vahvistettuihin tarkoituksiin ainoastaan erityisesti kohteena olevan henkilön henkilöllisyyden vahvistamiseksi, ja siinä on otettava huomioon seuraavat seikat:

(a)

the nature of the situation giving rise to the possible use, in particular the seriousness, probability and scale of the harm that would be caused if the system were not used;

mahdollisen käytön aiheuttavan tilanteen luonne, erityisesti aiheutuvan vahingon vakavuus, todennäköisyys ja laajuus siinä tapauksessa, että järjestelmää ei käytetä;

(b)

the consequences of the use of the system for the rights and freedoms of all persons concerned, in particular the seriousness, probability and scale of those consequences.

järjestelmän käytön seuraukset kaikkien asianomaisten henkilöiden oikeuksille ja vapauksille, erityisesti näiden seurausten vakavuus, todennäköisyys ja laajuus.

In addition, the use of ‘real-time’ remote biometric identification systems in publicly accessible spaces for the purposes of law enforcement for any of the objectives referred to in paragraph 1, first subparagraph, point (h), of this Article shall comply with necessary and proportionate safeguards and conditions in relation to the use in accordance with the national law authorising the use thereof, in particular as regards the temporal, geographic and personal limitations. The use of the ‘real-time’ remote biometric identification system in publicly accessible spaces shall be authorised only if the law enforcement authority has completed a fundamental rights impact assessment as provided for in Article 27 and has registered the system in the EU database according to Article 49. However, in duly justified cases of urgency, the use of such systems may be commenced without the registration in the EU database, provided that such registration is completed without undue delay.

Lisäksi kun reaaliaikaisia biometrisiä etätunnistusjärjestelmiä käytetään julkisissa tiloissa lainvalvontatarkoituksessa minkä tahansa tämän artiklan 1 kohdan ensimmäisen alakohdan h alakohdassa tarkoitetun tavoitteen saavuttamiseksi, on noudatettava käyttöön liittyviä välttämättömiä ja oikeasuhteisia suojatoimia ja edellytyksiä niiden käytön sallivan kansallisen lainsäädännön mukaisesti, erityisesti ajallisia, maantieteellisiä ja henkilötason rajoituksia. Reaaliaikaisen biometrisen etätunnistusjärjestelmän käyttö julkisissa tiloissa sallitaan vain, jos lainvalvontaviranomainen on saattanut päätökseen 27 artiklassa tarkoitetun perusoikeuksia koskevan vaikutustenarvioinnin ja rekisteröinyt järjestelmän EU:n tietokantaan 49 artiklan mukaisesti. Asianmukaisesti perustelluissa kiireellisissä tapauksissa tällaisten järjestelmien käyttö voidaan kuitenkin aloittaa ilman rekisteröintiä EU:n tietokantaan edellyttäen, että rekisteröinti saatetaan päätökseen ilman aiheetonta viivytystä.

3. For the purposes of paragraph 1, first subparagraph, point (h) and paragraph 2, each use for the purposes of law enforcement of a ‘real-time’ remote biometric identification system in publicly accessible spaces shall be subject to a prior authorisation granted by a judicial authority or an independent administrative authority whose decision is binding of the Member State in which the use is to take place, issued upon a reasoned request and in accordance with the detailed rules of national law referred to in paragraph 5. However, in a duly justified situation of urgency, the use of such system may be commenced without an authorisation provided that such authorisation is requested without undue delay, at the latest within 24 hours. If such authorisation is rejected, the use shall be stopped with immediate effect and all the data, as well as the results and outputs of that use shall be immediately discarded and deleted.

3. Edellä olevan 1 kohdan ensimmäisen alakohdan h alakohdan ja 2 kohdan tarkoituksiin jokainen reaaliaikaisen biometrisen etätunnistusjärjestelmän käyttö lainvalvontatarkoituksessa julkisissa tiloissa edellyttää sen jäsenvaltion, jossa käyttö tapahtuu, sellaisen oikeusviranomaisen tai riippumattoman hallintoviranomaisen, jonka päätös on sitova, myöntämää ennakkolupaa, joka annetaan perustellusta pyynnöstä ja 5 kohdassa tarkoitetun kansallisen lainsäädännön yksityiskohtaisten sääntöjen mukaisesti. Asianmukaisesti perustelluissa kiireellisissä tapauksissa tällaisen järjestelmän käyttö voidaan kuitenkin aloittaa ilman lupaa, kunhan asianmukainen lupa pyydetään ilman aiheetonta viivytystä ja viimeistään 24 tunnin kuluessa. Jos tällainen lupa evätään, käyttö on lopetettava välittömästi ja kaikki tiedot sekä tällaiseen käyttöön liittyvät tulokset ja tuotokset on välittömästi poistettava.

The competent judicial authority or an independent administrative authority whose decision is binding shall grant the authorisation only where it is satisfied, on the basis of objective evidence or clear indications presented to it, that the use of the ‘real-time’ remote biometric identification system concerned is necessary for, and proportionate to, achieving one of the objectives specified in paragraph 1, first subparagraph, point (h), as identified in the request and, in particular, remains limited to what is strictly necessary concerning the period of time as well as the geographic and personal scope. In deciding on the request, that authority shall take into account the elements referred to in paragraph 2. No decision that produces an adverse legal effect on a person may be taken based solely on the output of the ‘real-time’ remote biometric identification system.

Toimivaltainen oikeusviranomainen tai riippumaton hallintoviranomainen, jonka päätös on sitova, saa myöntää luvan ainoastaan, jos se katsoo sille esitettyjen objektiivisten todisteiden tai selkeiden seikkojen perusteella, että kyseessä oleva reaaliaikaisen biometrisen etätunnistusjärjestelmän käyttö on välttämätöntä ja oikeasuhteista jonkin 1 kohdan ensimmäisen alakohdan h alakohdassa tarkoitetun ja pyynnössä yksilöidyn tavoitteen saavuttamiseksi, ja se rajoittuu erityisesti siihen, mikä on ehdottoman välttämätöntä ajanjakson sekä maantieteellisen ja henkilötason soveltamisalan osalta. Toimivaltaisen viranomaisen on pyyntöä koskevaa päätöstä tehdessään otettava huomioon 2 kohdassa tarkoitetut seikat. Päätöstä, jolla on henkilöön kohdistuvia kielteisiä oikeusvaikutuksia, ei saa tehdä pelkästään reaaliaikaisen biometrisen etätunnistusjärjestelmän tuotosten perusteella.

4. Without prejudice to paragraph 3, each use of a ‘real-time’ remote biometric identification system in publicly accessible spaces for law enforcement purposes shall be notified to the relevant market surveillance authority and the national data protection authority in accordance with the national rules referred to in paragraph 5. The notification shall, as a minimum, contain the information specified under paragraph 6 and shall not include sensitive operational data.

4. Jokaisesta reaaliaikaisen biometrisen etätunnistusjärjestelmän käytöstä julkisissa tiloissa lainvalvontatarkoituksiin on ilmoitettava asianomaiselle markkinavalvontaviranomaiselle ja kansalliselle tietosuojaviranomaiselle 5 kohdassa tarkoitettujen kansallisten sääntöjen mukaisesti, sanotun kuitenkaan rajoittamatta 3 kohdan soveltamista. Ilmoituksen on sisällettävä vähintään 6 kohdassa täsmennetyt tiedot, eikä se saa sisältää arkaluonteisia operatiivisia tietoja.

5. A Member State may decide to provide for the possibility to fully or partially authorise the use of ‘real-time’ remote biometric identification systems in publicly accessible spaces for the purposes of law enforcement within the limits and under the conditions listed in paragraph 1, first subparagraph, point (h), and paragraphs 2 and 3. Member States concerned shall lay down in their national law the necessary detailed rules for the request, issuance and exercise of, as well as supervision and reporting relating to, the authorisations referred to in paragraph 3. Those rules shall also specify in respect of which of the objectives listed in paragraph 1, first subparagraph, point (h), including which of the criminal offences referred to in point (h)(iii) thereof, the competent authorities may be authorised to use those systems for the purposes of law enforcement. Member States shall notify those rules to the Commission at the latest 30 days following the adoption thereof. Member States may introduce, in accordance with Union law, more restrictive laws on the use of remote biometric identification systems.

5. Jäsenvaltio voi päättää säätää mahdollisuudesta sallia kokonaan tai osittain reaaliaikaisten biometristen etätunnistusjärjestelmien käyttö julkisissa tiloissa lainvalvontatarkoituksessa 1 kohdan ensimmäisen alakohdan h alakohdassa sekä 2 ja 3 kohdassa luetelluin rajoituksin ja edellytyksin. Asianomaisten jäsenvaltioiden on vahvistettava kansallisessa lainsäädännössään tarvittavat yksityiskohtaiset säännöt 3 kohdassa tarkoitettujen lupien pyytämistä, myöntämistä ja käyttöä sekä niihin liittyvää valvontaa ja raportointia varten. Näissä säännöissä on myös täsmennettävä, minkä 1 kohdan ensimmäisen alakohdan h alakohdassa lueteltujen tavoitteiden osalta, myös minkä mainitun h alakohdan iii alakohdassa tarkoitettujen rikosten osalta, toimivaltaisille viranomaisille voidaan antaa lupa käyttää kyseisiä järjestelmiä lainvalvontatarkoituksessa. Jäsenvaltioiden on ilmoitettava näistä säännöistä komissiolle viimeistään 30 päivän kuluttua niiden hyväksymisestä. Jäsenvaltiot voivat unionin oikeuden mukaisesti ottaa käyttöön rajoittavampaa lainsäädäntöä biometristen etätunnistusjärjestelmien käytön osalta.

6. National market surveillance authorities and the national data protection authorities of Member States that have been notified of the use of ‘real-time’ remote biometric identification systems in publicly accessible spaces for law enforcement purposes pursuant to paragraph 4 shall submit to the Commission annual reports on such use. For that purpose, the Commission shall provide Member States and national market surveillance and data protection authorities with a template, including information on the number of the decisions taken by competent judicial authorities or an independent administrative authority whose decision is binding upon requests for authorisations in accordance with paragraph 3 and their result.

6. Kansallisten markkinavalvontaviranomaisten ja jäsenvaltioiden kansallisten tietosuojaviranomaisten, joille on 4 kohdan mukaisesti ilmoitettu reaaliaikaisten biometristen etätunnistusjärjestelmien käytöstä julkisissa tiloissa lainvalvontatarkoituksiin, on toimitettava komissiolle vuosittain raportti tällaisesta käytöstä. Tätä varten komissio toimittaa jäsenvaltioille ja kansallisille markkinavalvonta- ja tietosuojaviranomaisille mallin, joka sisältää tiedot sellaisen toimivaltaisen oikeusviranomaisen tai riippumattoman hallintoviranomaisen, joiden päätös on sitova, tekemien päätösten lukumäärästä, jotka koskevat 3 kohdan mukaisia lupapyyntöjä, ja niiden tuloksista.

7. The Commission shall publish annual reports on the use of real-time remote biometric identification systems in publicly accessible spaces for law enforcement purposes, based on aggregated data in Member States on the basis of the annual reports referred to in paragraph 6. Those annual reports shall not include sensitive operational data of the related law enforcement activities.

7. Komissio julkaisee vuosittaisia raportteja reaaliaikaisten biometristen etätunnistusjärjestelmien käytöstä julkisissa tiloissa lainvalvontatarkoituksiin jäsenvaltioiden yhdistettyjen tietojen nojalla perustuen 6 kohdassa tarkoitettuihin vuosittaisiin raportteihin. Vuosittaisiin raportteihin ei saa sisältyä arkaluonteisia operatiivisia tietoja asiaan liittyvistä lainvalvontatoimista.

8. This Article shall not affect the prohibitions that apply where an AI practice infringes other Union law.

8. Tämä artikla ei vaikuta kieltoihin, joita sovelletaan, jos tekoälyyn liittyvä käytäntö rikkoo muuta unionin oikeutta.

CHAPTER III

III LUKU

HIGH-RISK AI SYSTEMS

SUURIRISKISET TEKOÄLYJÄRJESTELMÄT

SECTION 1

1 JAKSO

Classification of AI systems as high-risk

Tekoälyjärjestelmien luokittelu suuririskisiksi

Article 6

6 artikla

Classification rules for high-risk AI systems

Suuririskisten tekoälyjärjestelmien luokitussäännöt

1. Irrespective of whether an AI system is placed on the market or put into service independently of the products referred to in points (a) and (b), that AI system shall be considered to be high-risk where both of the following conditions are fulfilled:

1. Riippumatta siitä, saatetaanko tekoälyjärjestelmä markkinoille tai otetaanko se käyttöön erillään a ja b alakohdassa tarkoitetuista tuotteista, kyseistä tekoälyjärjestelmää on pidettävä suuririskisenä, jos molemmat seuraavista edellytyksistä täyttyvät:

(a)

the AI system is intended to be used as a safety component of a product, or the AI system is itself a product, covered by the Union harmonisation legislation listed in Annex I;

tekoälyjärjestelmä on tarkoitettu käytettäväksi tuotteen turvakomponenttina tai tekoälyjärjestelmä on itse tuote, joka kuuluu liitteessä I luetellun unionin yhdenmukaistamislainsäädännön soveltamisalaan;

(b)

the product whose safety component pursuant to point (a) is the AI system, or the AI system itself as a product, is required to undergo a third-party conformity assessment, with a view to the placing on the market or the putting into service of that product pursuant to the Union harmonisation legislation listed in Annex I.

tuotteelle, jonka turvakomponentti on a alakohdan mukaisesti tekoälyjärjestelmä, tai tekoälyjärjestelmälle, joka on itse tuote, on tehtävä kolmannen osapuolen suorittama vaatimustenmukaisuuden arviointi kyseisen tuotteen saattamiseksi markkinoille tai käyttöön ottamiseksi liitteessä I luetellun unionin yhdenmukaistamislainsäädännön mukaisesti.

2. In addition to the high-risk AI systems referred to in paragraph 1, AI systems referred to in Annex III shall be considered to be high-risk.

2. Edellä 1 kohdassa tarkoitettujen suuririskisten tekoälyjärjestelmien lisäksi liitteessä III tarkoitettuja tekoälyjärjestelmiä pidetään suuririskisinä.

3. By derogation from paragraph 2, an AI system referred to in Annex III shall not be considered to be high-risk where it does not pose a significant risk of harm to the health, safety or fundamental rights of natural persons, including by not materially influencing the outcome of decision making.

3. Poiketen siitä, mitä 2 kohdassa säädetään, liitteessä III tarkoitettua tekoälyjärjestelmää ei ole pidettävä suuririskisenä, jos se ei aiheuta merkittävää vahingon riskiä luonnollisten henkilöiden terveydelle, turvallisuudelle tai perusoikeuksille, mukaan lukien se, että se ei vaikuta olennaisesti päätöksenteon tulokseen.

The first subparagraph shall apply where any of the following conditions is fulfilled:

Ensimmäistä alakohtaa sovelletaan, jos mikä tahansa seuraavista edellytyksistä täyttyy:

(a)

the AI system is intended to perform a narrow procedural task;

tekoälyjärjestelmän tarkoituksena on suorittaa suppea menettelyllinen tehtävä;

(b)

the AI system is intended to improve the result of a previously completed human activity;

tekoälyjärjestelmän tarkoituksena on parantaa aiemmin suoritetun ihmisen toiminnan tulosta;

(c)

the AI system is intended to detect decision-making patterns or deviations from prior decision-making patterns and is not meant to replace or influence the previously completed human assessment, without proper human review; or

tekoälyjärjestelmän tarkoituksena on havaita päätöksentekotapoja tai poikkeamia aiemmista päätöksentekotavoista, eikä sen tarkoituksena ole korvata aiemmin tehtyä ihmisen tekemää arviota tai vaikuttaa siihen ilman asianmukaista ihmisen suorittamaa arviota; tai

(d)

the AI system is intended to perform a preparatory task to an assessment relevant for the purposes of the use cases listed in Annex III.

tekoälyjärjestelmä on tarkoitettu suorittamaan valmistelutehtävä, joka koskee liitteessä III lueteltujen käyttötapausten kannalta merkityksellistä arviointia.

Notwithstanding the first subparagraph, an AI system referred to in Annex III shall always be considered to be high-risk where the AI system performs profiling of natural persons.

Sen estämättä, mitä ensimmäisessä alakohdassa säädetään, liitteessä III tarkoitettua tekoälyjärjestelmää on aina pidettävä suuririskisenä, jos tekoälyjärjestelmä suorittaa luonnollisten henkilöiden profilointia.

4. A provider who considers that an AI system referred to in Annex III is not high-risk shall document its assessment before that system is placed on the market or put into service. Such provider shall be subject to the registration obligation set out in Article 49(2). Upon request of national competent authorities, the provider shall provide the documentation of the assessment.

4. Tarjoajan, joka katsoo, että liitteessä III tarkoitettu tekoälyjärjestelmä ei ole suuririskinen, on dokumentoitava arvionsa ennen kuin kyseinen järjestelmä saatetaan markkinoille tai otetaan käyttöön. Tällaiseen tarjoajaan sovelletaan 49 artiklan 2 kohdassa säädettyä rekisteröintivelvollisuutta. Tarjoajan on kansallisten toimivaltaisten viranomaisten pyynnöstä toimitettava arviointia koskevat asiakirjat.

5. The Commission shall, after consulting the European Artificial Intelligence Board (the ‘Board’), and no later than 2 February 2026, provide guidelines specifying the practical implementation of this Article in line with Article 96 together with a comprehensive list of practical examples of use cases of AI systems that are high-risk and not high-risk.

5. Komissio antaa Euroopan tekoälyneuvostoa, jäljempänä ”tekoälyneuvosto”, kuultuaan ja viimeistään 2 päivänä helmikuuta 2026 ohjeet, joissa täsmennetään tämän artiklan käytännön täytäntöönpano 96 artiklan mukaisesti, sekä kattavan luettelon käytännön esimerkeistä sellaisten tekoälyjärjestelmien käyttötapauksista, jotka ovat suuririskisiä ja muita kuin suuririskisiä.

6. The Commission is empowered to adopt delegated acts in accordance with Article 97 in order to amend paragraph 3, second subparagraph, of this Article by adding new conditions to those laid down therein, or by modifying them, where there is concrete and reliable evidence of the existence of AI systems that fall under the scope of Annex III, but do not pose a significant risk of harm to the health, safety or fundamental rights of natural persons.

6. Siirretään komissiolle valta antaa delegoituja säädöksiä 97 artiklan mukaisesti tämän artiklan 3 kohdan toisen alakohdan muuttamiseksi lisäämällä uusia ehtoja kyseisessä alakohdassa säädettyihin edellytyksiin tai muuttamalla niitä, jos on konkreettista ja luotettavaa näyttöä sellaisten tekoälyjärjestelmien olemassaolosta, jotka kuuluvat liitteen III soveltamisalaan mutta jotka eivät aiheuta merkittävää vahingon riskiä luonnollisten henkilöiden terveydelle, turvallisuudelle tai perusoikeuksille.

7. The Commission shall adopt delegated acts in accordance with Article 97 in order to amend paragraph 3, second subparagraph, of this Article by deleting any of the conditions laid down therein, where there is concrete and reliable evidence that this is necessary to maintain the level of protection of health, safety and fundamental rights provided for by this Regulation.

7. Komissio antaa delegoituja säädöksiä 97 artiklan mukaisesti tämän artiklan 3 kohdan toisen alakohdan muuttamiseksi poistamalla jonkin siinä säädetyn edellytyksen, jos on konkreettista ja luotettavaa näyttöä siitä, että tämä on tarpeen tässä asetuksessa säädetyn terveyden, turvallisuuden ja perusoikeuksien suojelun tason säilyttämiseksi.

8. Any amendment to the conditions laid down in paragraph 3, second subparagraph, adopted in accordance with paragraphs 6 and 7 of this Article shall not decrease the overall level of protection of health, safety and fundamental rights provided for by this Regulation and shall ensure consistency with the delegated acts adopted pursuant to Article 7(1), and take account of market and technological developments.

8. Tämän artiklan 6 ja 7 kohdan mukaisesti hyväksytyt, 3 kohdan toisessa alakohdassa säädettyihin edellytyksiin tehtävät muutokset eivät saa heikentää tässä asetuksessa säädetyn terveyden, turvallisuuden ja perusoikeuksien suojelun yleistä tasoa, ja niillä on varmistettava johdonmukaisuus 7 artiklan 1 kohdan nojalla annettujen delegoitujen säädösten kanssa ja otettava huomioon markkinoiden ja teknologian kehityksen.

Article 7

7 artikla

Amendments to Annex III

Liitteen III muuttaminen

1. The Commission is empowered to adopt delegated acts in accordance with Article 97 to amend Annex III by adding or modifying use-cases of high-risk AI systems where both of the following conditions are fulfilled:

1. Siirretään komissiolle valta antaa 97 artiklan mukaisesti delegoituja säädöksiä liitteen III muuttamiseksi lisäämällä siihen suuririskisiä tekoälyjärjestelmiä koskevia käyttötapauksia tai muokkaamalla niitä, jos molemmat seuraavista edellytyksistä täyttyvät:

(a)

the AI systems are intended to be used in any of the areas listed in Annex III;

tekoälyjärjestelmiä on tarkoitus käyttää millä tahansa liitteessä III luetelluista aloista;

(b)

the AI systems pose a risk of harm to health and safety, or an adverse impact on fundamental rights, and that risk is equivalent to, or greater than, the risk of harm or of adverse impact posed by the high-risk AI systems already referred to in Annex III.

tekoälyjärjestelmät aiheuttavat terveys- ja turvallisuushaitan riskin tai perusoikeuksiin kohdistuvan kielteisen vaikutuksen riskin, joka on vähintään yhtä suuri kuin liitteessä III jo tarkoitettujen suuririskisten tekoälyjärjestelmien aiheuttaman haitan tai kielteisen vaikutuksen riski.

2. When assessing the condition under paragraph 1, point (b), the Commission shall take into account the following criteria:

2. Arvioidessaan 1 kohdan b alakohdan mukaista edellytystä komissio ottaa huomioon seuraavat perusteet:

(a)

the intended purpose of the AI system;

tekoälyjärjestelmän käyttötarkoitus;

(b)

the extent to which an AI system has been used or is likely to be used;

missä määrin tekoälyjärjestelmää on käytetty tai todennäköisesti käytetään;

(c)

the nature and amount of the data processed and used by the AI system, in particular whether special categories of personal data are processed;

tekoälyjärjestelmän käsittelemien ja käyttämien tietojen luonne ja määrä, erityisesti se, käsitelläänkö erityisiä henkilötietoryhmiä;

(d)

the extent to which the AI system acts autonomously and the possibility for a human to override a decision or recommendations that may lead to potential harm;

missä määrin tekoälyjärjestelmä toimii itsenäisesti, ja missä määrin ihmisen on mahdollista kumota päätös tai suositukset, jotka voisivat aiheuttaa mahdollista haittaa;

(e)

the extent to which the use of an AI system has already caused harm to health and safety, has had an adverse impact on fundamental rights or has given rise to significant concerns in relation to the likelihood of such harm or adverse impact, as demonstrated, for example, by reports or documented allegations submitted to national competent authorities or by other reports, as appropriate;

missä määrin tekoälyjärjestelmän käyttö on jo aiheuttanut haittaa terveydelle ja turvallisuudelle, vaikuttanut kielteisesti perusoikeuksiin tai herättänyt merkittävää huolta tällaisen haitan tai kielteisen vaikutuksen todennäköisyydestä, mikä käy ilmi esimerkiksi kansallisille toimivaltaisille viranomaisille toimitetuista raporteista tai dokumentoiduista väitteistä taikka muista asianmukaisista raporteista;

(f)

the potential extent of such harm or such adverse impact, in particular in terms of its intensity and its ability to affect multiple persons or to disproportionately affect a particular group of persons;

tällaisen haitan tai tällaisen haitallisen vaikutuksen mahdollinen laajuus, erityisesti sen voimakkuus ja kyky vaikuttaa useisiin henkilöihin tai vaikuttaa suhteettomasti erityiseen henkilöryhmään;

(g)

the extent to which persons who are potentially harmed or suffer an adverse impact are dependent on the outcome produced with an AI system, in particular because for practical or legal reasons it is not reasonably possible to opt-out from that outcome;

missä määrin henkilöt, joille mahdollisesti aiheutuu haittaa tai joihin mahdollisesti kohdistuu kielteinen vaikutus, ovat riippuvaisia tekoälyjärjestelmän tuottamasta tuloksesta, erityisesti koska käytännöllisistä tai oikeudellisista syistä ei ole kohtuudella mahdollista olla noudattamatta tätä tulosta;

(h)

the extent to which there is an imbalance of power, or the persons who are potentially harmed or suffer an adverse impact are in a vulnerable position in relation to the deployer of an AI system, in particular due to status, authority, knowledge, economic or social circumstances, or age;

missä määrin on kyse vallan epätasapainosta tai missä määrin henkilöt, joille mahdollisesti aiheutuu haittaa tai kohdistuu kielteinen vaikutus, ovat haavoittuvassa asemassa tekoälyjärjestelmän käyttöönottajaan nähden, erityisesti aseman, valta-aseman, tietämyksen, taloudellisten tai sosiaalisten olosuhteiden tai iän vuoksi;

(i)

the extent to which the outcome produced involving an AI system is easily corrigible or reversible, taking into account the technical solutions available to correct or reverse it, whereby outcomes having an adverse impact on health, safety or fundamental rights, shall not be considered to be easily corrigible or reversible;

missä määrin tekoälyjärjestelmän avulla tuotettu tulos on helposti korjattavissa tai peruutettavissa, kun otetaan huomioon korjaukseen tai peruuttamiseen käytettävissä olevat tekniset ratkaisut, jolloin tulosten, joilla on haitallisia vaikutuksia terveyteen, turvallisuuteen tai perusoikeuksiin, ei katsota olevan helposti korjattavissa tai peruutettavissa;

(j)

the magnitude and likelihood of benefit of the deployment of the AI system for individuals, groups, or society at large, including possible improvements in product safety;

tekoälyjärjestelmän käyttöönotosta yksilöille, ryhmille tai koko yhteiskunnalle koituvan hyödyn suuruus ja todennäköisyys, tuoteturvallisuuden mahdolliset parannukset mukaan lukien;

(k)

the extent to which existing Union law provides for:

missä määrin voimassa olevassa unionin oikeudessa säädetään

(i)

effective measures of redress in relation to the risks posed by an AI system, with the exclusion of claims for damages;

tekoälyjärjestelmän aiheuttamiin riskeihin liittyvistä tehokkaista oikeussuojakeinoista, lukuun ottamatta vahingonkorvausvaateita;

(ii)

effective measures to prevent or substantially minimise those risks.

ii)

tehokkaista toimenpiteistä kyseisten riskien ehkäisemiseksi tai vähentämiseksi merkittävästi.

3. The Commission is empowered to adopt delegated acts in accordance with Article 97 to amend the list in Annex III by removing high-risk AI systems where both of the following conditions are fulfilled:

3. Siirretään komissiolle valta antaa 97 artiklan mukaisesti delegoituja säädöksiä liitteessä III olevan luettelon muuttamiseksi poistamalla siitä suuririskisiä tekoälyjärjestelmiä, jos molemmat seuraavista edellytyksistä täyttyvät:

(a)

the high-risk AI system concerned no longer poses any significant risks to fundamental rights, health or safety, taking into account the criteria listed in paragraph 2;

kyseessä oleva suuririskinen tekoälyjärjestelmä ei enää aiheuta merkittäviä riskejä perusoikeuksiin, terveyteen tai turvallisuuteen nähden ottaen huomioon 2 kohdassa luetellut kriteerit;

(b)

the deletion does not decrease the overall level of protection of health, safety and fundamental rights under Union law.

poisto ei laske unionin oikeuden mukaisen terveyden, turvallisuuden ja perusoikeuksien suojan yleistä tasoa.

SECTION 2

2 JAKSO

Requirements for high-risk AI systems

Suuririskisiä tekoälyjärjestelmiä koskevat vaatimukset

Article 8

8 artikla

Compliance with the requirements

Vaatimustenmukaisuus

1. High-risk AI systems shall comply with the requirements laid down in this Section, taking into account their intended purpose as well as the generally acknowledged state of the art on AI and AI-related technologies. The risk management system referred to in Article 9 shall be taken into account when ensuring compliance with those requirements.

1. Suuririskisten tekoälyjärjestelmien on täytettävä tässä jaksossa säädetyt vaatimukset, ottaen huomioon niiden suunnitellut käyttötarkoitukset sekä tekoälyn ja tekoälyyn liittyvien teknologioiden yleisesti tunnustettu viimeisin kehitys. Jäljempänä olevassa 9 artiklassa tarkoitettu riskinhallintajärjestelmä on otettava huomioon varmistettaessa, että kyseisiä vaatimuksia noudatetaan.

2. Where a product contains an AI system, to which the requirements of this Regulation as well as requirements of the Union harmonisation legislation listed in Section A of Annex I apply, providers shall be responsible for ensuring that their product is fully compliant with all applicable requirements under applicable Union harmonisation legislation. In ensuring the compliance of high-risk AI systems referred to in paragraph 1 with the requirements set out in this Section, and in order to ensure consistency, avoid duplication and minimise additional burdens, providers shall have a choice of integrating, as appropriate, the necessary testing and reporting processes, information and documentation they provide with regard to their product into documentation and procedures that already exist and are required under the Union harmonisation legislation listed in Section A of Annex I.

2. Jos tuote sisältää tekoälyjärjestelmän, johon sovelletaan tämän asetuksen vaatimuksia ja liitteessä I olevassa A jaksossa luetellun unionin yhdenmukaistamislainsäädännön vaatimuksia, tarjoajat ovat vastuussa sen varmistamisesta, että niiden tuote on kaikilta osin vaatimustenmukainen kaikkiin sovellettavan unionin yhdenmukaistamislainsäädännön mukaisiin vaatimuksiin nähden. Varmistaessaan, että 1 kohdassa tarkoitetut suuririskiset tekoälyjärjestelmät ovat tässä jaksossa vahvistettujen vaatimusten mukaisia, ja jotta voidaan varmistaa johdonmukaisuus, välttää päällekkäisyyttä ja minimoida lisärasitteita, tarjoajien on voitava tarvittaessa sisällyttää tarvittavat testaus- ja raportointiprosessit, tiedot ja dokumentaatio, joita ne toimittavat tuotteeseensa liittyen, dokumentaatioon ja menettelyihin, jotka ovat jo olemassa ja joita edellytetään liitteessä I olevassa A jaksossa luetellun unionin yhdenmukaistamislainsäädännön nojalla.

Article 9

9 artikla

Risk management system

Riskinhallintajärjestelmä

1. A risk management system shall be established, implemented, documented and maintained in relation to high-risk AI systems.

1. Suuririskisille tekoälyjärjestelmille on perustettava, pantava täytäntöön ja dokumentoitava riskinhallintajärjestelmä ja sitä on pidettävä yllä.

2. The risk management system shall be understood as a continuous iterative process planned and run throughout the entire lifecycle of a high-risk AI system, requiring regular systematic review and updating. It shall comprise the following steps:

2. Riskinhallintajärjestelmän on käsitettävä iteratiiviseksi prosessiksi, joka jatkuu suunnitellusti suuririskisen tekoälyjärjestelmän koko elinkaaren ajan ja joka on säännöllisesti ja järjestelmällisesti tarkastettava ja saatettava ajan tasalle. Siihen on sisällyttävä seuraavat vaiheet:

(a)

the identification and analysis of the known and the reasonably foreseeable risks that the high-risk AI system can pose to health, safety or fundamental rights when the high-risk AI system is used in accordance with its intended purpose;

niiden tunnettujen ja kohtuudella ennakoitavissa olevien riskien tunnistaminen ja analysointi, joita suuririskinen tekoälyjärjestelmä voi aiheuttaa liittyen terveyteen, turvallisuuteen tai perusoikeuksiin, kun suuririskistä tekoälyjärjestelmää käytetään käyttötarkoituksensa mukaisesti;

(b)

the estimation and evaluation of the risks that may emerge when the high-risk AI system is used in accordance with its intended purpose, and under conditions of reasonably foreseeable misuse;

niiden riskien arviointi, joita voi syntyä, kun suuririskistä tekoälyjärjestelmää käytetään käyttötarkoituksensa mukaisesti ja kohtuudella ennakoitavissa olevissa väärinkäyttöolosuhteissa;

(c)

the evaluation of other risks possibly arising, based on the analysis of data gathered from the post-market monitoring system referred to in Article 72;

muiden mahdollisesti syntyvien riskien arviointi 72 artiklassa tarkoitetusta markkinoille saattamisen jälkeisestä seurantajärjestelmästä kerättyjen tietojen analysoinnin perusteella;

(d)

the adoption of appropriate and targeted risk management measures designed to address the risks identified pursuant to point (a).

sellaisten asianmukaisten ja kohdennettujen riskinhallintatoimenpiteiden hyväksyminen, joiden tarkoituksena on puuttua a alakohdan mukaisesti tunnistettuihin riskeihin.

3. The risks referred to in this Article shall concern only those which may be reasonably mitigated or eliminated through the development or design of the high-risk AI system, or the provision of adequate technical information.

3. Tässä artiklassa tarkoitetut riskit koskevat ainoastaan niitä, joita voidaan kohtuudella lieventää ja poistaa suuririskisen tekoälyjärjestelmän kehittämisen tai suunnittelun avulla tai asianmukaisten teknisten tietojen antamisella.

4. The risk management measures referred to in paragraph 2, point (d), shall give due consideration to the effects and possible interaction resulting from the combined application of the requirements set out in this Section, with a view to minimising risks more effectively while achieving an appropriate balance in implementing the measures to fulfil those requirements.

4. Edellä 2 kohdan d alakohdassa tarkoitetuissa riskinhallintatoimenpiteissä on otettava asianmukaisesti huomioon vaikutukset ja mahdollinen vuorovaikutus, jotka johtuvat tässä jaksossa säädettyjen vaatimusten soveltamisesta yhdessä, jotta voidaan minimoida riskit tehokkaammin ja saavuttaa samalla asianmukainen tasapaino toteutettaessa toimenpiteet kyseisten vaatimusten täyttämiseksi.

5. The risk management measures referred to in paragraph 2, point (d), shall be such that the relevant residual risk associated with each hazard, as well as the overall residual risk of the high-risk AI systems is judged to be acceptable.

5. Edellä 2 kohdan d alakohdassa tarkoitettujen riskinhallintatoimenpiteiden on oltava sellaisia, että kuhunkin vaaraan liittyvän asiaankuuluvan jäännösriskin ja suuririskisten tekoälyjärjestelmien kokonaisjäännösriskin katsotaan olevan hyväksyttävällä tasolla.

In identifying the most appropriate risk management measures, the following shall be ensured:

Tarkoituksenmukaisimpia riskinhallintatoimenpiteitä määritettäessä on varmistettava seuraavat seikat:

(a)

elimination or reduction of risks identified and evaluated pursuant to paragraph 2 in as far as technically feasible through adequate design and development of the high-risk AI system;

2 kohdan nojalla määritettyjen ja arvioitujen riskien poistaminen tai vähentäminen siinä määrin kuin se on teknisesti mahdollista suuririskisen tekoälyjärjestelmän asianmukaisella suunnittelulla ja kehittämisellä;

(b)

where appropriate, implementation of adequate mitigation and control measures addressing risks that cannot be eliminated;

tarvittaessa asianmukaisten riskinvähentämis- ja valvontatoimenpiteiden toteuttaminen sellaisiin riskeihin puuttumiseksi, joita ei voida poistaa;

(c)

provision of information required pursuant to Article 13 and, where appropriate, training to deployers.

vaadittavien tietojen antaminen 13 artiklan mukaisesti ja tarvittaessa käyttöönottajille annettava koulutus.

With a view to eliminating or reducing risks related to the use of the high-risk AI system, due consideration shall be given to the technical knowledge, experience, education, the training to be expected by the deployer, and the presumable context in which the system is intended to be used.

Suuririskisen tekoälyjärjestelmän käyttöön liittyvien riskien poistamiseksi tai vähentämiseksi on otettava asianmukaisesti huomioon käyttöönottajalta odotettava tekninen tietämys, kokemus ja koulutus sekä oletettu yhteys, jossa järjestelmää on tarkoitus käyttää.

6. High-risk AI systems shall be tested for the purpose of identifying the most appropriate and targeted risk management measures. Testing shall ensure that high-risk AI systems perform consistently for their intended purpose and that they are in compliance with the requirements set out in this Section.

6. Suuririskiset tekoälyjärjestelmät on testattava tarkoituksenmukaisimpien ja kohdennetuimpien riskinhallintatoimenpiteiden määrittämiseksi. Testauksella on varmistettava, että suuririskiset tekoälyjärjestelmät toimivat johdonmukaisesti käyttötarkoituksensa mukaisesti ja että ne ovat tässä jaksossa vahvistettujen vaatimusten mukaisia.

7. Testing procedures may include testing in real-world conditions in accordance with Article 60.

7. Testausmenettelyihin voi sisältyä todellisissa olosuhteissa tapahtuva testaus 60 artiklan mukaisesti.

8. The testing of high-risk AI systems shall be performed, as appropriate, at any time throughout the development process, and, in any event, prior to their being placed on the market or put into service. Testing shall be carried out against prior defined metrics and probabilistic thresholds that are appropriate to the intended purpose of the high-risk AI system.

8. Suuririskisten tekoälyjärjestelmien testaus on tapauksen mukaan suoritettava milloin tahansa kehitysprosessin aikana ja joka tapauksessa ennen niiden markkinoille saattamista tai käyttöönottoa. Testauksessa on käytettävä ennalta määriteltyjä mittareita ja todennäköisyyden kynnyksiä, jotka soveltuvat suuririskisen tekoälyjärjestelmän suunniteltuun käyttötarkoitukseen.

9. When implementing the risk management system as provided for in paragraphs 1 to 7, providers shall give consideration to whether in view of its intended purpose the high-risk AI system is likely to have an adverse impact on persons under the age of 18 and, as appropriate, other vulnerable groups.

9. Edellä 1–7 kohdassa kuvattua riskinhallintajärjestelmää täytäntöön pantaessa tarjoajien on kiinnitettävä huomiota siihen, onko suuririskisellä tekoälyjärjestelmällä todennäköisesti sen käyttötarkoitus huomioon ottaen haitallinen vaikutus alle 18-vuotiaisiin henkilöihin ja tarvittaessa muihin haavoittuvassa asemassa oleviin ryhmiin.

10. For providers of high-risk AI systems that are subject to requirements regarding internal risk management processes under other relevant provisions of Union law, the aspects provided in paragraphs 1 to 9 may be part of, or combined with, the risk management procedures established pursuant to that law.

10. Niiden suuririskisten tekoälyjärjestelmien tarjoajien osalta, joihin sovelletaan unionin oikeuden muiden asiaankuuluvien säännösten mukaisia sisäisiä riskinhallintaprosesseja koskevia vaatimuksia, 1–9 kohdassa tarkoitetut näkökohdat voivat olla osa kyseisen lainsäädännön nojalla vahvistettuja riskinhallintamenettelyjä tai voidaan yhdistää niihin.

Article 10

10 artikla

Data and data governance

Data ja datanhallinta

1. High-risk AI systems which make use of techniques involving the training of AI models with data shall be developed on the basis of training, validation and testing data sets that meet the quality criteria referred to in paragraphs 2 to 5 whenever such data sets are used.

1. Suuririskiset tekoälyjärjestelmät, joissa hyödynnetään tekniikoita, joihin sisältyy tekoälymallien kouluttaminen datan avulla, on kehitettävä sellaisten koulutus-, validointi- ja testausdatajoukkojen pohjalta, jotka täyttävät 2–5 kohdassa tarkoitetut laatuvaatimukset, kun tällaisia datajoukkoja käytetään.

2. Training, validation and testing data sets shall be subject to data governance and management practices appropriate for the intended purpose of the high-risk AI system. Those practices shall concern in particular:

2. Koulutus-, validointi- ja testausdatajoukkoihin on sovellettava suuririskisen tekoälyjärjestelmän käyttötarkoitukseen soveltuvia datanhallinta- ja hallinnointikäytäntöjä. Näiden käytäntöjen on koskettava erityisesti seuraavia seikkoja:

(a)

the relevant design choices;

asiaankuuluvat suunnitteluvalinnat;

(b)

data collection processes and the origin of data, and in the case of personal data, the original purpose of the data collection;

datan keruuprosessit ja datan alkuperä sekä henkilötietojen osalta datankeruun alkuperäinen tarkoitus;

(c)

relevant data-preparation processing operations, such as annotation, labelling, cleaning, updating, enrichment and aggregation;

asiaankuuluvat tietojenkäsittelytoimet, kuten huomautusten ja tunnisteiden lisääminen, puhdistus, ajantasaistaminen, rikastaminen ja yhdistäminen;

(d)

the formulation of assumptions, in particular with respect to the information that the data are supposed to measure and represent;

oletusten muotoilu erityisesti niiden tietojen osalta, joita datan on tarkoitus mitata ja edustaa;

(e)

an assessment of the availability, quantity and suitability of the data sets that are needed;

tarvittavien datajoukkojen saatavuuden, määrän ja soveltuvuuden arviointi;

(f)

examination in view of possible biases that are likely to affect the health and safety of persons, have a negative impact on fundamental rights or lead to discrimination prohibited under Union law, especially where data outputs influence inputs for future operations;

sellaisten mahdollisten vinoutumien selvittäminen, jotka todennäköisesti vaikuttavat ihmisten terveyteen ja turvallisuuteen, vaikuttavat kielteisesti perusoikeuksiin tai johtavat unionin oikeudessa kiellettyyn syrjintään, erityisesti silloin, kun tuotokset vaikuttavat tulevien toimintojen syöttötietoihin;

(g)

appropriate measures to detect, prevent and mitigate possible biases identified according to point (f);

asianmukaiset toimenpiteet f alakohdan mukaisesti havaittujen mahdollisten vinoutumien havaitsemiseksi, ehkäisemiseksi ja lieventämiseksi;

(h)

the identification of relevant data gaps or shortcomings that prevent compliance with this Regulation, and how those gaps and shortcomings can be addressed.

sellaisten merkityksellisten puuttuvien tai puutteellisten tietojen tunnistaminen, jotka estävät noudattamasta tätä asetusta, ja se, miten nämä puutteet voidaan korjata.

3. Training, validation and testing data sets shall be relevant, sufficiently representative, and to the best extent possible, free of errors and complete in view of the intended purpose. They shall have the appropriate statistical properties, including, where applicable, as regards the persons or groups of persons in relation to whom the high-risk AI system is intended to be used. Those characteristics of the data sets may be met at the level of individual data sets or at the level of a combination thereof.

3. Koulutus-, validointi- ja testausdatajoukkojen on oltava käyttötarkoitukseen nähden merkityksellisiä, riittävän edustavia ja niin suurelta osin kuin mahdollista virheettömiä ja täydellisiä. Niillä on oltava asianmukaiset tilastolliset ominaisuudet, tarvittaessa myös niiden henkilöiden tai henkilöryhmien osalta, joihin liittyen suuririskistä tekoälyjärjestelmää on tarkoitus käyttää. Kyseiset datajoukkojen ominaisuudet voidaan saavuttaa yksittäisten datajoukkojen tai niiden yhdistelmän tasolla.

4. Data sets shall take into account, to the extent required by the intended purpose, the characteristics or elements that are particular to the specific geographical, contextual, behavioural or functional setting within which the high-risk AI system is intended to be used.

4. Datajoukoissa on otettava käyttötarkoituksen edellyttämässä laajuudessa huomioon ne ominaisuudet tai osatekijät, jotka ovat ominaisia sille maantieteelliselle, viitekehyksenä olevalle, käyttäytymiseen liittyvälle tai toiminnalliselle ympäristölle, jossa suuririskistä tekoälyjärjestelmää on tarkoitus käyttää.

5. To the extent that it is strictly necessary for the purpose of ensuring bias detection and correction in relation to the high-risk AI systems in accordance with paragraph (2), points (f) and (g) of this Article, the providers of such systems may exceptionally process special categories of personal data, subject to appropriate safeguards for the fundamental rights and freedoms of natural persons. In addition to the provisions set out in Regulations (EU) 2016/679 and (EU) 2018/1725 and Directive (EU) 2016/680, all the following conditions must be met in order for such processing to occur:

5. Siinä määrin kuin se on ehdottoman välttämätöntä suuririskisten tekoälyjärjestelmien vinoutumien havaitsemisen ja korjaamisen varmistamiseksi tämän artiklan 2 kohdan f ja g alakohdan mukaisesti, tällaisten järjestelmien tarjoajat voivat poikkeuksellisesti käsitellä erityisiä henkilötietoryhmiä edellyttäen, että luonnollisten henkilöiden perusoikeudet ja -vapaudet turvataan asianmukaisilla suojatoimilla. Tällainen käsittely edellyttää asetuksissa (EU) 2016/679 ja (EU) 2018/1725 ja direktiivissä (EU) 2016/680 vahvistettujen säännösten lisäksi kaikkien seuraavien ehtojen täyttymistä:

(a)

the bias detection and correction cannot be effectively fulfilled by processing other data, including synthetic or anonymised data;

vinoutumia ei voida tehokkaasti havaita ja korjata käsittelemällä muita tietoja, kuten synteettisiä tai anonymisoituja tietoja;

(b)

the special categories of personal data are subject to technical limitations on the re-use of the personal data, and state-of-the-art security and privacy-preserving measures, including pseudonymisation;

erityisiin henkilötietoryhmiin sovelletaan henkilötietojen uudelleenkäyttöä koskevia teknisiä rajoituksia ja viimeisintä kehitystä edustavia tietoturvaa ja yksityisyyden suojaa parantavia toimenpiteitä, kuten pseudonymisointia;

(c)

the special categories of personal data are subject to measures to ensure that the personal data processed are secured, protected, subject to suitable safeguards, including strict controls and documentation of the access, to avoid misuse and ensure that only authorised persons have access to those personal data with appropriate confidentiality obligations;

erityisiin henkilötietoryhmiin kohdistetaan toimenpiteitä, joilla varmistetaan, että käsitellyt henkilötiedot turvataan ja suojataan asianmukaisia suojatoimia noudattaen, mukaan lukien tietoihin pääsyn tiukka valvonta ja dokumentointi, jotta vältetään väärinkäyttö ja varmistetaan, että ainoastaan valtuutetuilla henkilöillä on pääsy kyseisiin henkilötietoihin asianmukaista salassapitovelvollisuutta soveltaen;

(d)

the special categories of personal data are not to be transmitted, transferred or otherwise accessed by other parties;

erityisiä henkilötietoryhmiä ei välitetä, siirretä tai muutoin saateta muiden osapuolten saataville;

(e)

the special categories of personal data are deleted once the bias has been corrected or the personal data has reached the end of its retention period, whichever comes first;

erityisiä henkilötietoryhmiä poistetaan, kun vinoutuma on korjattu tai kun henkilötietojen säilytysaika on päättynyt, sen mukaan kumpi ajankohdista on aikaisempi;

(f)

the records of processing activities pursuant to Regulations (EU) 2016/679 and (EU) 2018/1725 and Directive (EU) 2016/680 include the reasons why the processing of special categories of personal data was strictly necessary to detect and correct biases, and why that objective could not be achieved by processing other data.

asetusten (EU) 2016/679 ja (EU) 2018/1725 sekä direktiivin (EU) 2016/680 mukaisiin käsittelytoimia koskeviin selosteisiin sisältyvät syyt, joiden vuoksi erityisten henkilötietoryhmien käsittely oli ehdottoman välttämätöntä vinoutumien havaitsemiseksi ja korjaamiseksi ja miksi tätä tavoitetta ei voitu saavuttaa käsittelemällä muita tietoja.

6. For the development of high-risk AI systems not using techniques involving the training of AI models, paragraphs 2 to 5 apply only to the testing data sets.

6. Sellaisen suuririskisten tekoälyjärjestelmien kehittämisen osalta, jossa ei käytetä tekniikoita, joihin sisältyy tekoälymallien kouluttaminen, 2–5 kohtaa sovelletaan ainoastaan datajoukkojen testaukseen.

Article 11

11 artikla

Technical documentation

Tekninen dokumentaatio

1. The technical documentation of a high-risk AI system shall be drawn up before that system is placed on the market or put into service and shall be kept up-to date.

1. Suuririskisen tekoälyjärjestelmän tekninen dokumentaatio on laadittava ennen kuin järjestelmä saatetaan markkinoille tai otetaan käyttöön, ja se on pidettävä ajan tasalla.

The technical documentation shall be drawn up in such a way as to demonstrate that the high-risk AI system complies with the requirements set out in this Section and to provide national competent authorities and notified bodies with the necessary information in a clear and comprehensive form to assess the compliance of the AI system with those requirements. It shall contain, at a minimum, the elements set out in Annex IV. SMEs, including start-ups, may provide the elements of the technical documentation specified in Annex IV in a simplified manner. To that end, the Commission shall establish a simplified technical documentation form targeted at the needs of small and microenterprises. Where an SME, including a start-up, opts to provide the information required in Annex IV in a simplified manner, it shall use the form referred to in this paragraph. Notified bodies shall accept the form for the purposes of the conformity assessment.

Tekninen dokumentaatio on laadittava siten, että siinä osoitetaan suuririskisen tekoälyjärjestelmän olevan tässä jaksossa vahvistettujen vaatimusten mukainen ja annetaan kansallisille toimivaltaisille viranomaisille ja ilmoitetuille laitoksille tarvittavat tiedot selkeässä ja ymmärrettävässä muodossa sen arvioimiseksi, täyttääkö tekoälyjärjestelmä kyseiset vaatimukset. Sen on sisällettävä vähintään liitteessä IV esitetyt tiedot. Pk-yritykset, mukaan lukien startup-yritykset, voivat toimittaa liitteessä IV täsmennetyn teknisen dokumentaation osat yksinkertaistetulla tavalla. Tätä varten komissio laatii yksinkertaistetun teknisen dokumentaatiolomakkeen, joka on suunnattu pienten ja mikroyritysten tarpeisiin. Jos pk-yritys, myös startup-yritys, päättää toimittaa liitteessä IV vaaditut tiedot yksinkertaistetussa muodossa, sen on käytettävä tässä kohdassa tarkoitettua lomaketta. Ilmoitettujen laitosten on hyväksyttävä kyseinen lomake vaatimustenmukaisuuden arviointia varten.

2. Where a high-risk AI system related to a product covered by the Union harmonisation legislation listed in Section A of Annex I is placed on the market or put into service, a single set of technical documentation shall be drawn up containing all the information set out in paragraph 1, as well as the information required under those legal acts.

2. Kun markkinoille saatetaan tai käyttöön otetaan suuririskinen tekoälyjärjestelmä, joka liittyy tuotteeseen, johon sovelletaan liitteessä I olevassa A jaksossa lueteltua unionin yhdenmukaistamislainsäädäntöä, on laadittava kootusti tekninen dokumentaatio, joka sisältää kaikki 1 kohdassa esitetyt tiedot sekä kyseisissä säädöksissä vaaditut tiedot.

3. The Commission is empowered to adopt delegated acts in accordance with Article 97 in order to amend Annex IV, where necessary, to ensure that, in light of technical progress, the technical documentation provides all the information necessary to assess the compliance of the system with the requirements set out in this Section.

3. Siirretään komissiolle valta antaa delegoituja säädöksiä 97 artiklan mukaisesti liitteen IV muuttamiseksi tarvittaessa sen varmistamiseksi, että teknisessä dokumentaatiossa annetaan tekniikan kehityksen perusteella kaikki tarvittavat tiedot sen arvioimiseksi, onko järjestelmä tässä jaksossa vahvistettujen vaatimusten mukainen.

Article 12

12 artikla

Record-keeping

Tietojen säilyttäminen

1. High-risk AI systems shall technically allow for the automatic recording of events (logs) over the lifetime of the system.

1. Suuririskisissä tekoälyjärjestelmissä on mahdollistettava teknisesti tapahtumien automaattinen tallentaminen (”lokitiedot”) järjestelmän koko elinkaaren ajan.

2. In order to ensure a level of traceability of the functioning of a high-risk AI system that is appropriate to the intended purpose of the system, logging capabilities shall enable the recording of events relevant for:

2. Jotta voidaan varmistaa sellainen suuririskisen tekoälyjärjestelmän toiminnan jäljitettävyyden taso, joka on oikeassa suhteessa järjestelmän käyttötarkoitukseen, lokitusvalmiuksilla on mahdollistettava sellaisten tapahtumien tallentaminen, jotka ovat merkityksellisiä seuraaville:

(a)

identifying situations that may result in the high-risk AI system presenting a risk within the meaning of Article 79(1) or in a substantial modification;

sellaisten tilanteiden tunnistaminen, jotka voivat johtaa siihen, että suuririskinen tekoälyjärjestelmä aiheuttaa 79 artiklan 1 kohdassa tarkoitetun riskin tai johtaa merkittävään muutokseen;

(b)

facilitating the post-market monitoring referred to in Article 72; and

jäljempänä 72 kohdassa tarkoitetun markkinoille saattamisen jälkeisen seurannan helpottaminen; sekä

(c)

monitoring the operation of high-risk AI systems referred to in Article 26(5).

jäljempänä 26 artiklan 5 kohdassa tarkoitettu suuririskisten tekoälyjärjestelmien toiminnan seuranta.

3. For high-risk AI systems referred to in point 1 (a), of Annex III, the logging capabilities shall provide, at a minimum:

3. Liitteessä III olevan 1 kohdan a alakohdassa tarkoitettujen suuririskisten tekoälyjärjestelmien lokitusvalmiuksiin on sisällyttävä vähintään seuraavat osatekijät:

(a)

recording of the period of each use of the system (start date and time and end date and time of each use);

järjestelmän kunkin käyttöjakson kirjaaminen (kunkin käytön alkamispäivä ja -aika ja päättymispäivä ja -aika);

(b)

the reference database against which input data has been checked by the system;

viitetietokanta, jonka perusteella järjestelmä on tarkastanut syöttötiedot;

(c)

the input data for which the search has led to a match;

syöttötiedot, joiden osalta haku on johtanut tulokseen;

(d)

the identification of the natural persons involved in the verification of the results, as referred to in Article 14(5).

14 artiklan 5 kohdassa tarkoitettujen tulosten tarkastamiseen osallistuvien luonnollisten henkilöiden tunnistetiedot.

Article 13

13 artikla

Transparency and provision of information to deployers

Avoimuus ja tietojen antaminen käyttöönottajille

1. High-risk AI systems shall be designed and developed in such a way as to ensure that their operation is sufficiently transparent to enable deployers to interpret a system’s output and use it appropriately. An appropriate type and degree of transparency shall be ensured with a view to achieving compliance with the relevant obligations of the provider and deployer set out in Section 3.

1. Suuririskiset tekoälyjärjestelmät on suunniteltava ja kehitettävä siten, että varmistetaan, että niiden toiminta on riittävän avointa, jotta käyttöönottajat voivat tulkita järjestelmän tuotoksia ja käyttää niitä asianmukaisesti. On varmistettava sopiva avoimuuden tyyppi ja taso, jotta voidaan taata 3 jaksossa säädettyjen tarjoajan ja käyttöönottajan asiaankuuluvien velvoitteiden noudattaminen.

2. High-risk AI systems shall be accompanied by instructions for use in an appropriate digital format or otherwise that include concise, complete, correct and clear information that is relevant, accessible and comprehensible to deployers.

2. Suuririskisten tekoälyjärjestelmien mukana on oltava käyttöohjeet asianmukaisessa digitaalisessa tai muussa muodossa, ja niissä on annettava ytimekkäitä, täydellisiä, paikkansapitäviä ja selkeitä tietoja, jotka ovat käyttöönottajien kannalta olennaisia, esteettömiä ja ymmärrettäviä.

3. The instructions for use shall contain at least the following information:

3. Käyttöohjeiden on sisällettävä ainakin seuraavat:

(a)

the identity and the contact details of the provider and, where applicable, of its authorised representative;

tarjoajan ja tarvittaessa tämän valtuutetun edustajan henkilöllisyys ja yhteystiedot;

(b)

the characteristics, capabilities and limitations of performance of the high-risk AI system, including:

suuririskisen tekoälyjärjestelmän ominaisuudet, valmiudet ja suorituskyvyn rajoitukset, mukaan lukien seuraavat:

(i)

its intended purpose;

järjestelmän käyttötarkoitus;

(ii)

the level of accuracy, including its metrics, robustness and cybersecurity referred to in Article 15 against which the high-risk AI system has been tested and validated and which can be expected, and any known and foreseeable circumstances that may have an impact on that expected level of accuracy, robustness and cybersecurity;

ii)

15 artiklassa tarkoitettu tarkkuuden, mukaan lukien sen mittarit, vakauden ja kyberturvallisuuden taso, johon nähden suuririskinen tekoälyjärjestelmä on testattu ja validoitu ja jota voidaan odottaa, sekä kaikki tunnetut ja ennakoitavissa olevat olosuhteet, joilla voi olla vaikutusta kyseiseen tarkkuuden, vakauden ja kyberturvallisuuden odotettuun tasoon;

(iii)

any known or foreseeable circumstance, related to the use of the high-risk AI system in accordance with its intended purpose or under conditions of reasonably foreseeable misuse, which may lead to risks to the health and safety or fundamental rights referred to in Article 9(2);

iii)

kaikki tunnetut tai ennakoitavissa olevat olosuhteet, jotka liittyvät suuririskisen tekoälyjärjestelmän käyttöön sen käyttötarkoituksen mukaisesti tai kohtuudella ennakoitavissa olevissa väärinkäytön olosuhteissa ja jotka voivat aiheuttaa 9 artiklan 2 kohdassa tarkoitettuja terveyteen ja turvallisuuteen tai perusoikeuksiin kohdistuvia riskejä;

(iv)

where applicable, the technical capabilities and characteristics of the high-risk AI system to provide information that is relevant to explain its output;

iv)

tapauksen mukaan suuririskisen tekoälyjärjestelmän tekniset valmiudet ja ominaisuudet, jotta voidaan antaa tietoja, jotka ovat merkityksellisiä sen tuotoksen selittämiseksi;

(v)

when appropriate, its performance regarding specific persons or groups of persons on which the system is intended to be used;

tarvittaessa sen käyttäytyminen niiden henkilöiden tai henkilöryhmien osalta, joihin järjestelmää on tarkoitus käyttää;

(vi)

when appropriate, specifications for the input data, or any other relevant information in terms of the training, validation and testing data sets used, taking into account the intended purpose of the high-risk AI system;

vi)

tarvittaessa syöttötietoja koskevat spesifikaatiot tai muut käytettyjä koulutus-, validointi- ja testausdatajoukkoja koskevat olennaiset tiedot ottaen huomioon suuririskisen tekoälyjärjestelmän käyttötarkoitus;

(vii)

where applicable, information to enable deployers to interpret the output of the high-risk AI system and use it appropriately;

vii)

tapauksen mukaan tiedot, joiden avulla käyttöönottajat voivat tulkita suuririskisen tekoälyjärjestelmän tuotoksia ja käyttää niitä asianmukaisesti;

(c)

the changes to the high-risk AI system and its performance which have been pre-determined by the provider at the moment of the initial conformity assessment, if any;

suuririskisen tekoälyjärjestelmän ja sen suorituskyvyn muutokset, jotka tarjoaja on määritellyt ennalta ensimmäisen vaatimustenmukaisuuden arvioinnin yhteydessä, jos sellaisia on;

(d)

the human oversight measures referred to in Article 14, including the technical measures put in place to facilitate the interpretation of the outputs of the high-risk AI systems by the deployers;

14 artiklassa tarkoitetut ihmisen suorittamat valvontatoimenpiteet, mukaan lukien tekniset toimenpiteet, jotka on otettu käyttöön, jotta käyttöönottajien olisi helpompi tulkita suuririskisten tekoälyjärjestelmien tuotoksia;

(e)

the computational and hardware resources needed, the expected lifetime of the high-risk AI system and any necessary maintenance and care measures, including their frequency, to ensure the proper functioning of that AI system, including as regards software updates;

tarvittavat laskenta- ja laiteresurssit, suuririskisen tekoälyjärjestelmän odotettu käyttöikä ja kaikki tarvittavat huolto- ja hoitotoimenpiteet, mukaan lukien niiden aikavälit, joilla varmistetaan tekoälyjärjestelmän asianmukainen toiminta, mukaan lukien ohjelmistopäivitykset;

(f)

where relevant, a description of the mechanisms included within the high-risk AI system that allows deployers to properly collect, store and interpret the logs in accordance with Article 12.

tarpeen mukaan kuvaus suuririskiseen tekoälyjärjestelmään sisältyvistä mekanismeista, joiden avulla käyttöönottajat voivat asianmukaisesti kerätä, tallentaa ja tulkita lokitietoja 12 artiklan mukaisesti.

Article 14

14 artikla

Human oversight

Ihmisen suorittama valvonta

1. High-risk AI systems shall be designed and developed in such a way, including with appropriate human-machine interface tools, that they can be effectively overseen by natural persons during the period in which they are in use.

1. Suuririskiset tekoälyjärjestelmät on suunniteltava ja kehitettävä siten, että luonnolliset henkilöt voivat tehokkaasti valvoa niitä niiden ollessa käytössä, mukaan lukien asianmukaisten käyttöliittymätyökalujen käyttö.

2. Human oversight shall aim to prevent or minimise the risks to health, safety or fundamental rights that may emerge when a high-risk AI system is used in accordance with its intended purpose or under conditions of reasonably foreseeable misuse, in particular where such risks persist despite the application of other requirements set out in this Section.

2. Ihmisen suorittamalla valvonnalla on pyrittävä ehkäisemään tai minimoimaan terveydelle, turvallisuudelle tai perusoikeuksille aiheutuvat riskit, joita voi syntyä, kun suuririskistä tekoälyjärjestelmää käytetään käyttötarkoituksensa mukaisesti tai kohtuudella ennakoitavissa olevissa väärinkäytön olosuhteissa, erityisesti jos tällaiset riskit jatkuvat huolimatta muiden tässä jaksossa vahvistettujen vaatimusten soveltamisesta.

3. The oversight measures shall be commensurate with the risks, level of autonomy and context of use of the high-risk AI system, and shall be ensured through either one or both of the following types of measures:

3. Valvontatoimenpiteiden on oltava oikeassa suhteessa suuririskisen tekoälyjärjestelmän riskeihin, itsenäisyyden tasoon ja käyttöympäristöön, ja ne on varmistettava jommallakummalla tai molemmilla seuraavista toimenpidetyypeistä:

(a)

measures identified and built, when technically feasible, into the high-risk AI system by the provider before it is placed on the market or put into service;

toimenpiteet, jotka tarjoaja on määrittänyt ja, jos se on teknisesti toteutettavissa, sisällyttänyt suuririskiseen tekoälyjärjestelmään ennen sen markkinoille saattamista tai käyttöönottoa;

(b)

measures identified by the provider before placing the high-risk AI system on the market or putting it into service and that are appropriate to be implemented by the deployer.

toimenpiteet, jotka tarjoaja on määrittänyt ennen suuririskisen tekoälyjärjestelmän markkinoille saattamista tai käyttöönottoa ja jotka on tarkoituksenmukaista toteuttaa käyttöönottajan toimesta.

4. For the purpose of implementing paragraphs 1, 2 and 3, the high-risk AI system shall be provided to the deployer in such a way that natural persons to whom human oversight is assigned are enabled, as appropriate and proportionate:

4. Edellä 1, 2 ja 3 kohdan täytäntöönpanoa varten suuririskinen tekoälyjärjestelmä on tarjottava käyttöönottajalle siten, että luonnolliset henkilöt, joiden tehtäväksi ihmisen suorittama valvonta on annettu, voivat tapauksen mukaan ja oikeassa suhteessa niihin nähden

(a)

to properly understand the relevant capacities and limitations of the high-risk AI system and be able to duly monitor its operation, including in view of detecting and addressing anomalies, dysfunctions and unexpected performance;

ymmärtää asianmukaisesti suuririskisen tekoälyjärjestelmän asiaankuuluvat valmiudet ja rajoitukset ja seurata sen toimintaa asianmukaisesti, myös poikkeamien, toimintahäiriöiden ja odottamattoman toiminnan havaitsemiseksi ja niihin puuttumiseksi;

(b)

to remain aware of the possible tendency of automatically relying or over-relying on the output produced by a high-risk AI system (automation bias), in particular for high-risk AI systems used to provide information or recommendations for decisions to be taken by natural persons;

pysyä tietoisina mahdollisesta taipumuksesta luottaa automaattisesti tai liiallisesti suuririskisen tekoälyjärjestelmän tuottamiin tuotoksiin (”automaatiovinouma”), erityisesti sellaisten suuririskisten tekoälyjärjestelmien osalta, joita käytetään tietojen tai suositusten antamiseen luonnollisten henkilöiden tekemiä päätöksiä varten;

(c)

to correctly interpret the high-risk AI system’s output, taking into account, for example, the interpretation tools and methods available;

tulkita oikein suuririskisen tekoälyjärjestelmän tuotoksia ottaen huomioon esimerkiksi käytettävissä olevat tulkintavälineet ja -menetelmät;

(d)

to decide, in any particular situation, not to use the high-risk AI system or to otherwise disregard, override or reverse the output of the high-risk AI system;

päättää missä tahansa erityistilanteessa, että suuririskistä tekoälyjärjestelmää ei käytetä, tai muutoin jättää huomiotta, korjata tai peruuttaa suuririskisen tekoälyjärjestelmän tuotokset;

(e)

to intervene in the operation of the high-risk AI system or interrupt the system through a ‘stop’ button or a similar procedure that allows the system to come to a halt in a safe state.

puuttua suuririskisen tekoälyjärjestelmän toimintaan tai pysäyttää järjestelmän pysäytyspainikkeella tai vastaavalla menettelyllä, jonka avulla järjestelmä voidaan pysäyttää turvalliseen tilaan.

5. For high-risk AI systems referred to in point 1(a) of Annex III, the measures referred to in paragraph 3 of this Article shall be such as to ensure that, in addition, no action or decision is taken by the deployer on the basis of the identification resulting from the system unless that identification has been separately verified and confirmed by at least two natural persons with the necessary competence, training and authority.

5. Liitteessä III olevan 1 kohdan a alakohdassa tarkoitettujen suuririskisten tekoälyjärjestelmien osalta tämän artiklan 3 kohdassa tarkoitetuilla toimenpiteillä on lisäksi varmistettava, että käyttöönottaja ei tee mitään toimia tai päätöstä järjestelmästä seuraavan tunnistamisen perusteella, ellei vähintään kaksi luonnollista henkilöä, joilla on tarvittava pätevyys, koulutus ja valtuudet, ole erikseen todentanut ja vahvistanut sitä.

The requirement for a separate verification by at least two natural persons shall not apply to high-risk AI systems used for the purposes of law enforcement, migration, border control or asylum, where Union or national law considers the application of this requirement to be disproportionate.

Vaatimusta vähintään kahden luonnollisen henkilön erikseen tekemästä todentamisesta ei sovelleta suuririskisiin tekoälyjärjestelmiin, joita käytetään lainvalvonnan, muuttoliikkeen hallinnan, rajavalvonnan tai turvapaikka-asioiden tarkoituksiin, jos unionin tai jäsenvaltioiden lainsäädännössä tämän vaatimuksen soveltaminen katsotaan kohtuuttomaksi.

Article 15

15 artikla

Accuracy, robustness and cybersecurity

Tarkkuus, vakaus ja kyberturvallisuus

1. High-risk AI systems shall be designed and developed in such a way that they achieve an appropriate level of accuracy, robustness, and cybersecurity, and that they perform consistently in those respects throughout their lifecycle.

1. Suuririskiset tekoälyjärjestelmät on suunniteltava ja kehitettävä siten, että ne saavuttavat asianmukaisen tarkkuuden, vakauden ja kyberturvallisuuden tason ja toimivat tässä suhteessa johdonmukaisesti koko elinkaarensa ajan.

2. To address the technical aspects of how to measure the appropriate levels of accuracy and robustness set out in paragraph 1 and any other relevant performance metrics, the Commission shall, in cooperation with relevant stakeholders and organisations such as metrology and benchmarking authorities, encourage, as appropriate, the development of benchmarks and measurement methodologies.

2. Jotta voitaisiin käsitellä teknisiä näkökohtia, jotka liittyvät 1 kohdassa vahvistettujen tarkkuuden ja vakauden tasojen mittaamiseen ja muihin mahdollisiin merkityksellisiin suorituskykymittareihin, komissio kannustaa kehittämään vertailuarvoja ja mittausmenetelmiä, tarvittaessa yhteistyössä asiaankuuluvien sidosryhmien ja organisaatioiden, kuten metrologiasta ja vertailuanalyysista vastaavien viranomaisten, kanssa.

3. The levels of accuracy and the relevant accuracy metrics of high-risk AI systems shall be declared in the accompanying instructions of use.

3. Suuririskisten tekoälyjärjestelmien tarkkuustasot ja niihin liittyvät tarkkuusmittarit on ilmoitettava järjestelmän mukana olevissa käyttöohjeissa.

4. High-risk AI systems shall be as resilient as possible regarding errors, faults or inconsistencies that may occur within the system or the environment in which the system operates, in particular due to their interaction with natural persons or other systems. Technical and organisational measures shall be taken in this regard.

4. Suuririskisten tekoälyjärjestelmien on siedettävä mahdollisimman paljon virheitä, vikoja tai epäjohdonmukaisuuksia, joita saattaa esiintyä järjestelmässä tai ympäristössä, jossa järjestelmä toimii, erityisesti siksi, että järjestelmät ovat vuorovaikutuksessa luonnollisten henkilöiden tai muiden järjestelmien kanssa. Tältä osin on toteutettava teknisiä ja organisatorisia toimenpiteitä.

The robustness of high-risk AI systems may be achieved through technical redundancy solutions, which may include backup or fail-safe plans.

Suuririskisten tekoälyjärjestelmien vakaus voidaan saavuttaa teknisillä vararatkaisuilla, joihin voivat kuulua varasuunnitelmat tai vikavarmistussuunnitelmat.

High-risk AI systems that continue to learn after being placed on the market or put into service shall be developed in such a way as to eliminate or reduce as far as possible the risk of possibly biased outputs influencing input for future operations (feedback loops), and as to ensure that any such feedback loops are duly addressed with appropriate mitigation measures.

Suuririskiset tekoälyjärjestelmät, jotka jatkavat oppimista markkinoille saattamisen tai käyttöönoton jälkeen, on kehitettävä siten, että poistetaan tai vähennetään mahdollisimman suurelta osin riski mahdollisesti vinoutuneista tuotoksista, jotka vaikuttavat tulevien toimintojen syöttötietoihin (palautesilmukat) ja varmistetaan, että tällaisiin palautesilmukoihin puututaan asianmukaisin lieventävin toimenpitein.

5. High-risk AI systems shall be resilient against attempts by unauthorised third parties to alter their use, outputs or performance by exploiting system vulnerabilities.

5. Suuririskisten tekoälyjärjestelmien on kestettävä asiaankuulumattomien ulkopuolisten tahojen yritykset muuttaa järjestelmän käyttöä, tuotoksia tai suorituskykyä hyödyntämällä järjestelmän haavoittuvuuksia.

The technical solutions aiming to ensure the cybersecurity of high-risk AI systems shall be appropriate to the relevant circumstances and the risks.

Suuririskisten tekoälyjärjestelmien kyberturvallisuuden varmistamiseen tähtäävien teknisten ratkaisujen on oltava asianmukaisia asiaan liittyviin olosuhteisiin ja riskeihin nähden.

The technical solutions to address AI specific vulnerabilities shall include, where appropriate, measures to prevent, detect, respond to, resolve and control for attacks trying to manipulate the training data set (data poisoning), or pre-trained components used in training (model poisoning), inputs designed to cause the AI model to make a mistake (adversarial examples or model evasion), confidentiality attacks or model flaws.

Teknisiin ratkaisuihin, joilla puututaan tekoälyn erityisiin haavoittuvuuksiin, on tarvittaessa sisällyttävä toimenpiteitä, joilla ehkäistään, havaitaan ja rajoitetaan sellaisia hyökkäyksiä ja vastataan sellaisiin hyökkäyksiin ja ratkaistaan sellaiset hyökkäykset, joilla pyritään manipuloimaan koulutusdatajoukkoa (datamyrkytys) tai koulutuksessa käytettyjä koulutusta edeltäviä komponentteja (mallimyrkytys), syöttötietoja, joiden tarkoituksena on saada tekoälymalli tekemään virhe (adversariaaliset esimerkit tai mallin kiertäminen), luottamuksellisuushyökkäykset tai mallin puutteet.

SECTION 3

3 JAKSO

Obligations of providers and deployers of high-risk AI systems and other parties

Suuririskisten tekoälyjärjestelmien tarjoajien ja käyttöönottajien sekä muiden osapuolten velvollisuudet

Article 16

16 artikla

Obligations of providers of high-risk AI systems

Suuririskisten tekoälyjärjestelmien tarjoajien velvollisuudet

Providers of high-risk AI systems shall:

Suuririskisten tekoälyjärjestelmien tarjoajien on

(a)

ensure that their high-risk AI systems are compliant with the requirements set out in Section 2;

varmistettava, että niiden suuririskiset tekoälyjärjestelmät ovat 2 jaksossa vahvistettujen vaatimusten mukaisia;

(b)

indicate on the high-risk AI system or, where that is not possible, on its packaging or its accompanying documentation, as applicable, their name, registered trade name or registered trade mark, the address at which they can be contacted;

ilmoitettava suuririskisessä tekoälyjärjestelmässä tai, jos se ei ole mahdollista, sen pakkauksessa tai sen mukana seuraavassa dokumentaatiossa tapauksen mukaan nimensä, rekisteröity tuotenimensä tai rekisteröity tavaramerkkinsä sekä osoite, josta niihin saa yhteyden;

(c)

have a quality management system in place which complies with Article 17;

käytettävä 17 artiklan mukaista laadunhallintajärjestelmää;

(d)

keep the documentation referred to in Article 18;

säilytettävä 18 artiklassa tarkoitettu dokumentaatio;

(e)

when under their control, keep the logs automatically generated by their high-risk AI systems as referred to in Article 19;

säilytettävä 19 artiklassa tarkoitetut suuririskisten tekoälyjärjestelmiensä automaattisesti tuottamat lokitiedot, kun nämä tiedot ovat niiden hallinnassa;

(f)

ensure that the high-risk AI system undergoes the relevant conformity assessment procedure as referred to in Article 43, prior to its being placed on the market or put into service;

varmistettava, että suuririskiselle tekoälyjärjestelmälle tehdään 43 artiklassa tarkoitettu asiaankuuluva vaatimustenmukaisuuden arviointimenettely ennen sen markkinoille saattamista tai käyttöönottoa;

(g)

draw up an EU declaration of conformity in accordance with Article 47;

laadittava EU-vaatimustenmukaisuusvakuutus 47 artiklan mukaisesti;

(h)

affix the CE marking to the high-risk AI system or, where that is not possible, on its packaging or its accompanying documentation, to indicate conformity with this Regulation, in accordance with Article 48;

kiinnitettävä CE-merkintä 48 artiklan mukaisesti suuririskiseen tekoälyjärjestelmään tai, jos se ei ole mahdollista, sen pakkaukseen tai sen mukana seuraavaan dokumentaatioon sen osoittamiseksi, että järjestelmä on tämän asetuksen mukainen;

(i)

comply with the registration obligations referred to in Article 49(1);

noudatettava 49 artiklan 1 kohdassa tarkoitettuja rekisteröintivelvollisuuksia;

(j)

take the necessary corrective actions and provide information as required in Article 20;

toteutettava tarvittavat korjaavat toimenpiteet ja annettava 20 artiklassa vaaditut tiedot;

(k)

upon a reasoned request of a national competent authority, demonstrate the conformity of the high-risk AI system with the requirements set out in Section 2;

osoitettava kansallisen toimivaltaisen viranomaisen perustellusta pyynnöstä, että suuririskinen tekoälyjärjestelmä on 2 jaksossa vahvistettujen vaatimusten mukainen;

(l)

ensure that the high-risk AI system complies with accessibility requirements in accordance with Directives (EU) 2016/2102 and (EU) 2019/882.

varmistettava, että suuririskinen tekoälyjärjestelmä täyttää direktiivien (EU) 2016/2102 ja (EU) 2019/882 mukaiset esteettömyysvaatimukset.

Article 17

17 artikla

Quality management system

Laadunhallintajärjestelmä

1. Providers of high-risk AI systems shall put a quality management system in place that ensures compliance with this Regulation. That system shall be documented in a systematic and orderly manner in the form of written policies, procedures and instructions, and shall include at least the following aspects:

1. Suuririskisten tekoälyjärjestelmien tarjoajien on otettava käyttöön laadunhallintajärjestelmä, jolla varmistetaan tämän asetuksen noudattaminen. Järjestelmä on dokumentoitava järjestelmällisesti ja täsmällisesti kirjallisiksi periaatteiksi, menettelyiksi ja ohjeiksi, ja siihen on sisällyttävä ainakin seuraavat seikat:

(a)

a strategy for regulatory compliance, including compliance with conformity assessment procedures and procedures for the management of modifications to the high-risk AI system;

strategia säännösten noudattamista varten, mukaan lukien vaatimustenmukaisuusmenettelyjen ja suuririskisiin tekoälyjärjestelmiin tehtyjen muutosten hallintamenettelyjen noudattaminen;

(b)

techniques, procedures and systematic actions to be used for the design, design control and design verification of the high-risk AI system;

suuririskisen tekoälyjärjestelmän suunnittelussa, suunnittelun valvonnassa ja rakenteen tarkastuksessa käytettävät tekniikat, menettelyt ja järjestelmälliset toimenpiteet;

(c)

techniques, procedures and systematic actions to be used for the development, quality control and quality assurance of the high-risk AI system;

suuririskisen tekoälyjärjestelmän kehittämisessä, laadunvalvonnassa ja laadunvarmistuksessa käytettävät tekniikat, menettelyt ja järjestelmälliset toimenpiteet;

(d)

examination, test and validation procedures to be carried out before, during and after the development of the high-risk AI system, and the frequency with which they have to be carried out;

tarkastus-, testaus- ja validointimenettelyt, jotka on suoritettava ennen suuririskisen tekoälyjärjestelmän kehittämistä, sen aikana ja sen jälkeen, sekä niiden suoritustiheys;

(e)

technical specifications, including standards, to be applied and, where the relevant harmonised standards are not applied in full or do not cover all of the relevant requirements set out in Section 2, the means to be used to ensure that the high-risk AI system complies with those requirements;

sovellettavat tekniset eritelmät, standardit mukaan luettuina, ja, jos asiaankuuluvia yhdenmukaistettuja standardeja ei sovelleta täysimääräisesti tai ne eivät kata kaikkia 2 jaksossa vahvistettuja asiaankuuluvia vaatimuksia, keinot, joilla varmistetaan, että suuririskinen tekoälyjärjestelmä on kyseisten vaatimusten mukainen;

(f)

systems and procedures for data management, including data acquisition, data collection, data analysis, data labelling, data storage, data filtration, data mining, data aggregation, data retention and any other operation regarding the data that is performed before and for the purpose of the placing on the market or the putting into service of high-risk AI systems;

datanhallintajärjestelmät ja -menettelyt, mukaan lukien datanhankinta, datankeruu, datan analysointi, tunnisteiden lisääminen, datan tallentaminen, datan suodattaminen, datanlouhinta, datan yhdistäminen, datan säilyttäminen ja kaikki muut dataan liittyvät toimet, jotka suoritetaan ennen suuririskisten tekoälyjärjestelmien markkinoille saattamista tai käyttöönottoa ja näitä toimia varten;

(g)

the risk management system referred to in Article 9;

9 artiklassa tarkoitettu riskinhallintajärjestelmä;

(h)

the setting-up, implementation and maintenance of a post-market monitoring system, in accordance with Article 72;

markkinoille saattamisen jälkeistä seurantaa koskevan järjestelmän perustaminen, toteutus ja ylläpito 72 artiklan mukaisesti;

(i)

procedures related to the reporting of a serious incident in accordance with Article 73;

menettelyt, jotka liittyvät vakavasta vaaratilanteesta ilmoittamiseen 73 artiklan mukaisesti;

(j)

the handling of communication with national competent authorities, other relevant authorities, including those providing or supporting the access to data, notified bodies, other operators, customers or other interested parties;

kansallisten toimivaltaisten viranomaisten, muiden asianomaisten viranomaisten, myös niiden, jotka tarjoavat pääsyn dataan tai tukevat sitä, ilmoitettujen laitosten, muiden toimijoiden, asiakkaiden tai muiden asianomaisten osapuolten kanssa käytävän viestinnän järjestäminen.

(k)

systems and procedures for record-keeping of all relevant documentation and information;

järjestelmät ja menettelyt kaiken asiaankuuluvan dokumentaation ja tiedon säilyttämistä varten;

(l)

resource management, including security-of-supply related measures;

resurssien hallinta, mukaan lukien toimitusvarmuuteen liittyvät toimenpiteet;

(m)

an accountability framework setting out the responsibilities of the management and other staff with regard to all the aspects listed in this paragraph.

vastuuvelvollisuuskehys, jossa määritellään johdon ja muun henkilöstön vastuut kaikkien tässä kohdassa lueteltujen seikkojen osalta.

2. The implementation of the aspects referred to in paragraph 1 shall be proportionate to the size of the provider’s organisation. Providers shall, in any event, respect the degree of rigour and the level of protection required to ensure the compliance of their high-risk AI systems with this Regulation.

2. Edellä 1 kohdassa tarkoitettujen seikkojen toteutuksen on oltava oikeassa suhteessa tarjoajan organisaation kokoon. Tarjoajien on joka tapauksessa noudatettava sellaista kurinalaisuutta ja suojelun tasoa, jota edellytetään sen varmistamiseksi, että suuririskinen tekoälyjärjestelmä on tämän asetuksen mukainen.

3. Providers of high-risk AI systems that are subject to obligations regarding quality management systems or an equivalent function under relevant sectoral Union law may include the aspects listed in paragraph 1 as part of the quality management systems pursuant to that law.

3. Suuririskisten tekoälyjärjestelmien tarjoajat, joihin sovelletaan asiaankuuluvan alakohtaisen unionin oikeuden mukaisia laadunhallintajärjestelmiä tai vastaavia toimintoja koskevia velvoitteita, voivat sisällyttää 1 kohdassa kuvatut seikat osaksi kyseisen lainsäädännön mukaisia laadunhallintajärjestelmiä.

4. For providers that are financial institutions subject to requirements regarding their internal governance, arrangements or processes under Union financial services law, the obligation to put in place a quality management system, with the exception of paragraph 1, points (g), (h) and (i) of this Article, shall be deemed to be fulfilled by complying with the rules on internal governance arrangements or processes pursuant to the relevant Union financial services law. To that end, any harmonised standards referred to in Article 40 shall be taken into account.

4. Niiden tarjoajien osalta, jotka ovat rahoituslaitoksia, joihin sovelletaan niiden sisäisiä hallintojärjestelyjä tai -prosesseja koskevia vaatimuksia unionin rahoituspalvelulainsäädännön nojalla, velvoite ottaa käyttöön laadunhallintajärjestelmä lukuun ottamatta tämän artiklan 1 kohdan g, h ja i alakohtaa katsotaan täytetyksi, kun noudatetaan asiaankuuluvan unionin rahoituspalvelulainsäädännön mukaisia sisäisiä hallintojärjestelyjä tai -prosesseja koskevia sääntöjä. Tätä varten on otettava huomioon 40 artiklassa tarkoitetut yhdenmukaistetut standardit.

Article 18

18 artikla

Documentation keeping

Dokumentaation säilyttäminen

1. The provider shall, for a period ending 10 years after the high-risk AI system has been placed on the market or put into service, keep at the disposal of the national competent authorities:

1. Tarjoajan on pidettävä seuraavat asiakirjat kansallisten toimivaltaisten viranomaisten saatavilla 10 vuoden ajan sen jälkeen, kun suuririskinen tekoälyjärjestelmä on saatettu markkinoille tai otettu käyttöön:

(a)

the technical documentation referred to in Article 11;

11 artiklassa tarkoitettu tekninen dokumentaatio,

(b)

the documentation concerning the quality management system referred to in Article 17;

17 artiklassa tarkoitettu laadunhallintajärjestelmää koskeva dokumentaatio,

(c)

the documentation concerning the changes approved by notified bodies, where applicable;

tarvittaessa ilmoitettujen laitosten hyväksymiä muutoksia koskeva dokumentaatio,

(d)

the decisions and other documents issued by the notified bodies, where applicable;

tarvittaessa ilmoitettujen laitosten tekemät päätökset ja niiden antamat muut asiakirjat,

(e)

the EU declaration of conformity referred to in Article 47.

47 artiklassa tarkoitettu EU-vaatimustenmukaisuusvakuutus.

2. Each Member State shall determine conditions under which the documentation referred to in paragraph 1 remains at the disposal of the national competent authorities for the period indicated in that paragraph for the cases when a provider or its authorised representative established on its territory goes bankrupt or ceases its activity prior to the end of that period.

2. Kunkin jäsenvaltion on määritettävä olosuhteet, joissa 1 kohdassa tarkoitettu dokumentaatio on kansallisten toimivaltaisten viranomaisten saatavilla kyseisessä kohdassa esitetyn ajan silloin, kun tarjoaja tai sen alueelle sijoittautunut valtuutettu edustaja menee konkurssiin tai lopettaa toimintansa ennen kyseisen kauden loppua.

3. Providers that are financial institutions subject to requirements regarding their internal governance, arrangements or processes under Union financial services law shall maintain the technical documentation as part of the documentation kept under the relevant Union financial services law.

3. Tarjoajien, jotka ovat rahoituslaitoksia, joihin sovelletaan niiden sisäisiä hallintojärjestelyjä tai -prosesseja koskevia vaatimuksia unionin rahoituspalvelulainsäädännön nojalla, on säilytettävä tekninen dokumentaatio osana asiakirjoja, jotka säilytetään asiaankuuluvan unionin rahoituspalvelulainsäädännön nojalla.

Article 19

19 artikla

Automatically generated logs

Automaattisesti tuotetut lokitiedot

1. Providers of high-risk AI systems shall keep the logs referred to in Article 12(1), automatically generated by their high-risk AI systems, to the extent such logs are under their control. Without prejudice to applicable Union or national law, the logs shall be kept for a period appropriate to the intended purpose of the high-risk AI system, of at least six months, unless provided otherwise in the applicable Union or national law, in particular in Union law on the protection of personal data.

1. Suuririskisten tekoälyjärjestelmien tarjoajien on säilytettävä suuririskisten tekoälyjärjestelmiensä automaattisesti tuottamat 12 artiklan 1 kohdassa tarkoitetut lokitiedot siltä osin kuin tällaiset lokitiedot ovat niiden hallinnassa. Lokitietoja on säilytettävä suuririskisen tekoälyjärjestelmän käyttötarkoitukseen nähden asianmukaisen ajanjakson ajan, kuitenkin vähintään kuusi kuukautta, jollei sovellettavassa unionin tai kansallisessa lainsäädännössä, erityisesti henkilötietojen suojaa koskevassa unionin oikeudessa, toisin säädetä, sanotun kuitenkaan rajoittamatta sovellettavan unionin tai kansallisen lainsäädännön soveltamista.

2. Providers that are financial institutions subject to requirements regarding their internal governance, arrangements or processes under Union financial services law shall maintain the logs automatically generated by their high-risk AI systems as part of the documentation kept under the relevant financial services law.

2. Tarjoajien, jotka ovat rahoituslaitoksia, joihin sovelletaan niiden sisäisiä hallintojärjestelyjä tai -prosesseja koskevia vaatimuksia unionin rahoituspalvelulainsäädännön nojalla, on säilytettävä suuririskisten tekoälyjärjestelmiensä automaattisesti tuottamat lokitiedot osana asiakirjoja, jotka säilytetään asiaankuuluvan rahoituspalvelulainsäädännön nojalla.

Article 20

20 artikla

Corrective actions and duty of information

Korjaavat toimenpiteet ja ilmoitusvelvollisuus

1. Providers of high-risk AI systems which consider or have reason to consider that a high-risk AI system that they have placed on the market or put into service is not in conformity with this Regulation shall immediately take the necessary corrective actions to bring that system into conformity, to withdraw it, to disable it, or to recall it, as appropriate. They shall inform the distributors of the high-risk AI system concerned and, where applicable, the deployers, the authorised representative and importers accordingly.

1. Suuririskisten tekoälyjärjestelmien tarjoajien, jotka katsovat tai joilla on syytä uskoa, että niiden markkinoille saattama tai käyttöön ottama järjestelmä ei ole tämän asetuksen mukainen, on välittömästi toteutettava tarvittavat korjaavat toimenpiteet kyseisen järjestelmän saattamiseksi vaatimusten mukaiseksi, sen poistamiseksi markkinoilta tai käytöstä taikka sitä koskevan palautusmenettelyn järjestämiseksi. Niiden on ilmoitettava asiasta kyseisen suuririskisen tekoälyjärjestelmän jakelijoille ja tarvittaessa käyttöönottajille, valtuutetulle edustajalle ja maahantuojille.

2. Where the high-risk AI system presents a risk within the meaning of Article 79(1) and the provider becomes aware of that risk, it shall immediately investigate the causes, in collaboration with the reporting deployer, where applicable, and inform the market surveillance authorities competent for the high-risk AI system concerned and, where applicable, the notified body that issued a certificate for that high-risk AI system in accordance with Article 44, in particular, of the nature of the non-compliance and of any relevant corrective action taken.

2. Jos suuririskinen tekoälyjärjestelmä aiheuttaa 79 artiklan 1 kohdassa tarkoitetun riskin ja tarjoaja tulee tietoiseksi kyseisestä riskistä, tarjoajan on välittömästi selvitettävä sen syyt tarvittaessa yhteistyössä raportoivan käyttöönottajan kanssa ja ilmoitettava erityisesti vaatimustenvastaisuudesta ja asiaankuuluvista toteutetuista korjaavista toimenpiteistä asianomaisen suuririskisen tekoälyjärjestelmän osalta toimivaltaisille markkinavalvontaviranomaisille ja tarvittaessa sille ilmoitetulle laitokselle, joka on antanut 44 artiklan mukaisesti todistuksen kyseiselle suuririskiselle tekoälyjärjestelmälle.

Article 21

21 artikla

Cooperation with competent authorities

Yhteistyö toimivaltaisten viranomaisten kanssa

1. Providers of high-risk AI systems shall, upon a reasoned request by a competent authority, provide that authority all the information and documentation necessary to demonstrate the conformity of the high-risk AI system with the requirements set out in Section 2, in a language which can be easily understood by the authority in one of the official languages of the institutions of the Union as indicated by the Member State concerned.

1. Suuririskisten tekoälyjärjestelmien tarjoajien on toimivaltaisen viranomaisen perustellusta pyynnöstä toimitettava kyseiselle viranomaiselle kaikki tieto ja dokumentaatio, joka on tarpeen sen osoittamiseksi, että suuririskinen tekoälyjärjestelmä on 2 jaksossa vahvistettujen vaatimusten mukainen, asianomaisen jäsenvaltion ilmaisemalla viranomaisen helposti ymmärtämällä kielellä, joka on yksi unionin toimielinten virallisista kielistä.

2. Upon a reasoned request by a competent authority, providers shall also give the requesting competent authority, as applicable, access to the automatically generated logs of the high-risk AI system referred to in Article 12(1), to the extent such logs are under their control.

2. Tarjoajien on toimivaltaisen viranomaisen perustellusta pyynnöstä myös annettava pyynnön esittäneelle toimivaltaiselle viranomaiselle tapauksen mukaan pääsy 12 artiklan 1 kohdassa tarkoitetun suuririskisen tekoälyjärjestelmän automaattisesti luotuihin lokitietoihin siltä osin kuin tällaiset lokitiedot ovat niiden hallinnassa.

3. Any information obtained by a competent authority pursuant to this Article shall be treated in accordance with the confidentiality obligations set out in Article 78.

3. Kaikkea tietoa, jonka toimivaltainen viranomainen saa tämän artiklan nojalla, on käsiteltävä 78 artiklassa säädettyjen salassapitovelvollisuuksien mukaisesti.

Article 22

22 artikla

Authorised representatives of providers of high-risk AI systems

Suuririskisten tekoälyjärjestelmien tarjoajien valtuutetut edustajat

1. Prior to making their high-risk AI systems available on the Union market, providers established in third countries shall, by written mandate, appoint an authorised representative which is established in the Union.

1. Kolmansiin maihin sijoittautuneiden tarjoajien on ennen suuririskisten tekoälyjärjestelmiensä asettamista saataville unionin markkinoilla nimettävä kirjallisella toimeksiannolla unioniin sijoittautunut valtuutettu edustaja.

2. The provider shall enable its authorised representative to perform the tasks specified in the mandate received from the provider.

2. Tarjoajan on valtuutettava edustajansa suorittamaan tarjoajalta saamassaan toimeksiannossa määritellyt tehtävät.

3. The authorised representative shall perform the tasks specified in the mandate received from the provider. It shall provide a copy of the mandate to the market surveillance authorities upon request, in one of the official languages of the institutions of the Union, as indicated by the competent authority. For the purposes of this Regulation, the mandate shall empower the authorised representative to carry out the following tasks:

3. Valtuutetun edustajan on suoritettava tarjoajalta saamassaan toimeksiannossa määritellyt tehtävät. Valtuutetun edustajan on toimitettava markkinavalvontaviranomaisille pyynnöstä jäljennös toimeksiannosta jollakin toimivaltaisen viranomaisen määrittämällä unionin toimielinten virallisella kielellä. Tämän asetuksen soveltamiseksi toimeksiannossa valtuutetulle edustajalle on annettava valtuudet suorittaa seuraavat tehtävät:

(a)

verify that the EU declaration of conformity referred to in Article 47 and the technical documentation referred to in Article 11 have been drawn up and that an appropriate conformity assessment procedure has been carried out by the provider;

varmistaa, että 47 artiklassa tarkoitettu EU-vaatimustenmukaisuusvakuutus ja 11 artiklassa tarkoitettu tekninen dokumentaatio on laadittu ja että tarjoaja on toteuttanut asianmukaisen vaatimustenmukaisuuden arviointimenettelyn;

(b)

keep at the disposal of the competent authorities and national authorities or bodies referred to in Article 74(10), for a period of 10 years after the high-risk AI system has been placed on the market or put into service, the contact details of the provider that appointed the authorised representative, a copy of the EU declaration of conformity referred to in Article 47, the technical documentation and, if applicable, the certificate issued by the notified body;

pitää toimivaltaisten viranomaisten ja 74 artiklan 10 kohdassa tarkoitettujen kansallisten viranomaisten tai elinten saatavilla 10 vuoden ajan sen jälkeen, kun suuririskinen tekoälyjärjestelmä on saatettu markkinoille tai otettu käyttöön, valtuutetun edustajan nimenneen tarjoajan yhteystiedot, jäljennös 47 artiklassa tarkoitetuista EU-vaatimustenmukaisuusvakuutuksesta, teknisestä dokumentaatiosta ja tarvittaessa ilmoitetun laitoksen antamasta todistuksesta;

(c)

provide a competent authority, upon a reasoned request, with all the information and documentation, including that referred to in point (b) of this subparagraph, necessary to demonstrate the conformity of a high-risk AI system with the requirements set out in Section 2, including access to the logs, as referred to in Article 12(1), automatically generated by the high-risk AI system, to the extent such logs are under the control of the provider;

antaa toimivaltaiselle viranomaiselle perustellusta pyynnöstä kaikki tieto ja dokumentaatio, mukaan lukien edellä olevan b alakohdan mukainen tieto ja dokumentaatio, joka on tarpeen sen osoittamiseksi, että suuririskinen tekoälyjärjestelmä on 2 jaksossa vahvistettujen vaatimusten mukainen, mukaan lukien pääsy suuririskisen tekoälyjärjestelmän automaattisesti tuottamiin 12 artiklan 1 kohdassa tarkoitettuihin lokitietoihin siltä osin kuin tällaiset lokitiedot ovat tarjoajan hallinnassa;

(d)

cooperate with competent authorities, upon a reasoned request, in any action the latter take in relation to the high-risk AI system, in particular to reduce and mitigate the risks posed by the high-risk AI system;

tehdä perustellusta pyynnöstä yhteistyötä toimivaltaisten viranomaisten kanssa kaikissa toimissa, joita nämä toteuttavat suuririskisen tekoälyjärjestelmän suhteen, erityisesti suuririskisen tekoälyjärjestelmän aiheuttamien riskien vähentämiseksi ja lieventämiseksi;

(e)

where applicable, comply with the registration obligations referred to in Article 49(1), or, if the registration is carried out by the provider itself, ensure that the information referred to in point 3 of Section A of Annex VIII is correct.

tarpeen mukaan noudattaa 49 artiklan 1 kohdassa tarkoitettuja rekisteröintivelvoitteita tai, jos rekisteröinnin suorittaa tarjoaja itse, varmistaa, että liitteessä VIII olevan A jakson 3 alakohdassa tarkoitetut tiedot pitävät paikkansa.

The mandate shall empower the authorised representative to be addressed, in addition to or instead of the provider, by the competent authorities, on all issues related to ensuring compliance with this Regulation.

Toimeksiannon ansiosta toimivaltaiset viranomaiset voivat ottaa toimijan lisäksi tai sen puolesta yhteyttä valtuutettuun edustajaan kaikissa tämän asetuksen noudattamisen varmistamiseen liittyvissä kysymyksissä.

4. The authorised representative shall terminate the mandate if it considers or has reason to consider the provider to be acting contrary to its obligations pursuant to this Regulation. In such a case, it shall immediately inform the relevant market surveillance authority, as well as, where applicable, the relevant notified body, about the termination of the mandate and the reasons therefor.

4. Valtuutetun edustajan on päätettävä toimeksianto, jos se katsoo tai sillä on syytä katsoa, että tarjoaja toimii tämän asetuksen mukaisten velvoitteidensa vastaisesti. Tässä tapauksessa sen on välittömästi ilmoitettava toimeksiannon päättymisestä ja sen syistä asiaankuuluvalle markkinavalvontaviranomaiselle sekä tapauksen mukaan asiaankuuluvalle ilmoitetulle laitokselle.

Article 23

23 artikla

Obligations of importers

Maahantuojien velvollisuudet

1. Before placing a high-risk AI system on the market, importers shall ensure that the system is in conformity with this Regulation by verifying that:

1. Suuririskisen tekoälyjärjestelmän maahantuojien on ennen tällaisen järjestelmän markkinoille saattamista varmistettava, että järjestelmä on tämän asetuksen mukainen tarkistamalla, että

(a)

the relevant conformity assessment procedure referred to in Article 43 has been carried out by the provider of the high-risk AI system;

kyseisen suuririskisen tekoälyjärjestelmän tarjoaja on suorittanut 43 artiklassa tarkoitetun asiaankuuluvan vaatimustenmukaisuuden arviointimenettelyn;

(b)

the provider has drawn up the technical documentation in accordance with Article 11 and Annex IV;

tarjoaja on laatinut teknisen dokumentaation 11 artiklan ja liitteen IV mukaisesti;

(c)

the system bears the required CE marking and is accompanied by the EU declaration of conformity referred to in Article 47 and instructions for use;

järjestelmällä on vaadittu CE-merkintä ja sen mukana on 47 artiklassa tarkoitettu EU-vaatimustenmukaisuusvakuutus ja käyttöohjeet.

(d)

the provider has appointed an authorised representative in accordance with Article 22(1).

tarjoaja on nimittänyt valtuutetun edustajan 22 artiklan 1 kohdan mukaisesti.

2. Where an importer has sufficient reason to consider that a high-risk AI system is not in conformity with this Regulation, or is falsified, or accompanied by falsified documentation, it shall not place the system on the market until it has been brought into conformity. Where the high-risk AI system presents a risk within the meaning of Article 79(1), the importer shall inform the provider of the system, the authorised representative and the market surveillance authorities to that effect.

2. Jos maahantuojalla on riittävät syyt katsoa, että suuririskinen tekoälyjärjestelmä ei ole tämän asetuksen mukainen tai se on väärennetty tai sen mukana on väärennetty dokumentaatio, se ei saa saattaa kyseistä tekoälyjärjestelmää markkinoille ennen kuin se on saatettu vaatimusten mukaiseksi. Jos suuririskinen tekoälyjärjestelmä aiheuttaa 79 artiklan 1 kohdassa tarkoitetun riskin, maahantuojan on ilmoitettava asiasta järjestelmän tarjoajalle, valtuutetuille edustajille ja markkinavalvontaviranomaisille.

3. Importers shall indicate their name, registered trade name or registered trade mark, and the address at which they can be contacted on the high-risk AI system and on its packaging or its accompanying documentation, where applicable.

3. Maahantuojien on ilmoitettava nimensä, rekisteröity tuotenimensä tai rekisteröity tavaramerkkinsä sekä osoite, josta maahantuojaan voidaan saada yhteys, suuririskisessä tekoälyjärjestelmässä ja sen pakkauksessa tai tarvittaessa sen mukana seuraavassa dokumentaatiossa.

4. Importers shall ensure that, while a high-risk AI system is under their responsibility, storage or transport conditions, where applicable, do not jeopardise its compliance with the requirements set out in Section 2.

4. Maahantuojien on varmistettava, että sinä aikana, jona suuririskinen tekoälyjärjestelmä on niiden vastuulla, tapauksen mukaan varastointi- tai kuljetusolosuhteet eivät vaaranna sen tämän osaston 2 jaksossa vahvistettujen vaatimusten mukaisuutta.

5. Importers shall keep, for a period of 10 years after the high-risk AI system has been placed on the market or put into service, a copy of the certificate issued by the notified body, where applicable, of the instructions for use, and of the EU declaration of conformity referred to in Article 47.

5. Maahantuojien on säilytettävä 10 vuoden ajan sen jälkeen, kun suuririskinen tekoälyjärjestelmä on saatettu markkinoille tai otettu käyttöön, jäljennös ilmoitetun laitoksen antamasta todistuksesta, tarvittaessa käyttöohjeista ja 47 artiklassa tarkoitetusta EU-vaatimustenmukaisuusvakuutuksesta.

6. Importers shall provide the relevant competent authorities, upon a reasoned request, with all the necessary information and documentation, including that referred to in paragraph 5, to demonstrate the conformity of a high-risk AI system with the requirements set out in Section 2 in a language which can be easily understood by them. For this purpose, they shall also ensure that the technical documentation can be made available to those authorities.

6. Maahantuojien on asiaankuuluvien toimivaltaisten viranomaisten perustellusta pyynnöstä toimitettava niille kaikki tieto ja dokumentaatio, mukaan lukien 5 kohdassa tarkoitettu tieto ja dokumentaatio, joka on tarpeen sen osoittamiseksi, että suuririskinen tekoälyjärjestelmä on 2 jaksossa vahvistettujen vaatimusten mukainen, kyseessä olevan viranomaisen helposti ymmärtämällä kielellä. Tätä varten niiden on myös varmistettava, että tekninen dokumentaatio voidaan asettaa kyseisten viranomaisten saataville.

7. Importers shall cooperate with the relevant competent authorities in any action those authorities take in relation to a high-risk AI system placed on the market by the importers, in particular to reduce and mitigate the risks posed by it.

7. Maahantuojien on tehtävä yhteistyötä asiaankuuluvien toimivaltaisten viranomaisten kanssa kaikissa toimissa, joita kyseiset viranomaiset toteuttavat maahantuojien markkinoille saattaman suuririskisen tekoälyjärjestelmän suhteen, erityisesti sen aiheuttamien riskien vähentämiseksi ja lieventämiseksi.

Article 24

24 artikla

Obligations of distributors

Jakelijoiden velvollisuudet

1. Before making a high-risk AI system available on the market, distributors shall verify that it bears the required CE marking, that it is accompanied by a copy of the EU declaration of conformity referred to in Article 47 and instructions for use, and that the provider and the importer of that system, as applicable, have complied with their respective obligations as laid down in Article 16, points (b) and (c) and Article 23(3).

1. Jakelijoiden on ennen suuririskisen tekoälyjärjestelmän asettamista saataville markkinoilla tarkastettava, että siinä on vaadittu CE-merkintä, että sen mukana on jäljennös 47 artiklassa tarkoitetusta EU-vaatimustenmukaisuusvakuutuksesta ja käyttöohjeista ja että tapauksen mukaan kyseisen järjestelmän tarjoaja ja maahantuoja ovat noudattaneet 16 artiklan b ja c alakohdassa ja 23 artiklan 3 kohdassa säädettyjä velvoitteitaan.

2. Where a distributor considers or has reason to consider, on the basis of the information in its possession, that a high-risk AI system is not in conformity with the requirements set out in Section 2, it shall not make the high-risk AI system available on the market until the system has been brought into conformity with those requirements. Furthermore, where the high-risk AI system presents a risk within the meaning of Article 79(1), the distributor shall inform the provider or the importer of the system, as applicable, to that effect.

2. Mikäli jakelija katsoo tai sillä on hallussaan olevien tietojen perusteella syytä uskoa, että suuririskinen tekoälyjärjestelmä ei ole 2 jaksossa vahvistettujen vaatimusten mukainen, se ei saa asettaa suuririskistä tekoälyjärjestelmää saataville markkinoilla ennen kuin järjestelmä on saatettu kyseisten vaatimusten mukaiseksi. Lisäksi jos suuririskinen tekoälyjärjestelmä aiheuttaa 79 artiklan 1 kohdassa tarkoitetun riskin, jakelijan on ilmoitettava asiasta tapauksen mukaan tarjoajalle tai maahantuojalle.

3. Distributors shall ensure that, while a high-risk AI system is under their responsibility, storage or transport conditions, where applicable, do not jeopardise the compliance of the system with the requirements set out in Section 2.

3. Jakelijoiden on varmistettava, että sinä aikana, jona suuririskinen tekoälyjärjestelmä on niiden vastuulla, tapauksen mukaan varastointi- tai kuljetusolosuhteet eivät vaaranna sen 2 jaksossa vahvistettujen vaatimusten mukaisuutta.

4. A distributor that considers or has reason to consider, on the basis of the information in its possession, a high-risk AI system which it has made available on the market not to be in conformity with the requirements set out in Section 2, shall take the corrective actions necessary to bring that system into conformity with those requirements, to withdraw it or recall it, or shall ensure that the provider, the importer or any relevant operator, as appropriate, takes those corrective actions. Where the high-risk AI system presents a risk within the meaning of Article 79(1), the distributor shall immediately inform the provider or importer of the system and the authorities competent for the high-risk AI system concerned, giving details, in particular, of the non-compliance and of any corrective actions taken.

4. Jakelijan, joka katsoo tai jolla on hallussaan olevien tietojen perusteella syytä uskoa, että sen markkinoilla saataville asettama suuririskinen tekoälyjärjestelmä ei ole 2 jaksossa vahvistettujen vaatimusten mukainen, on toteutettava tarvittavat korjaavat toimenpiteet kyseisen järjestelmän saattamiseksi vaatimusten mukaiseksi, sen poistamiseksi markkinoilta tai sitä koskevan palautusmenettelyn järjestämiseksi tai varmistettava, että tarvittaessa tarjoaja, maahantuoja tai mikä tahansa asiaankuuluva toimija toteuttaa kyseiset korjaavat toimenpiteet. Mikäli suuririskinen tekoälyjärjestelmä aiheuttaa 79 artiklan 1 kohdassa tarkoitetun riskin, jakelijan on välittömästi ilmoitettava asiasta järjestelmän tarjoajalle tai maahantuojalle ja asianomaisen suuririskisen tekoälyjärjestelmän osalta toimivaltaisille viranomaisille ja annettava yksityiskohtaiset tiedot erityisesti vaatimustenvastaisuudesta ja mahdollisesti toteutetuista korjaavista toimenpiteistä.

5. Upon a reasoned request from a relevant competent authority, distributors of a high-risk AI system shall provide that authority with all the information and documentation regarding their actions pursuant to paragraphs 1 to 4 necessary to demonstrate the conformity of that system with the requirements set out in Section 2.

5. Suuririskisen tekoälyjärjestelmän jakelijoiden on asiaankuuluvan toimivaltaisen viranomaisen perustellusta pyynnöstä toimitettava kyseiselle viranomaiselle kaikki niiden 1–4 kohdan mukaisia toimia koskevat tiedot ja dokumentaatio, jotka ovat tarpeen sen osoittamiseksi, että kyseinen järjestelmä on 2 jaksossa vahvistettujen vaatimusten mukainen.

6. Distributors shall cooperate with the relevant competent authorities in any action those authorities take in relation to a high-risk AI system made available on the market by the distributors, in particular to reduce or mitigate the risk posed by it.

6. Jakelijoiden on tehtävä yhteistyötä asiaankuuluvien toimivaltaisten viranomaisten kanssa kaikissa toimissa, joita nämä viranomaiset toteuttavat jakelijoiden markkinoilla saataville asettaman suuririskisen tekoälyjärjestelmän suhteen, erityisesti sen aiheuttamien riskien vähentämiseksi tai lieventämiseksi.

Article 25

25 artikla

Responsibilities along the AI value chain

Vastuut tekoälyn arvoketjussa

1. Any distributor, importer, deployer or other third-party shall be considered to be a provider of a high-risk AI system for the purposes of this Regulation and shall be subject to the obligations of the provider under Article 16, in any of the following circumstances:

1. Mitä tahansa jakelijaa, maahantuojaa, käyttöönottajaa tai muuta kolmatta osapuolta pidetään tätä asetusta sovellettaessa suuririskisen tekoälyjärjestelmän tarjoajana ja niitä koskevat samat velvoitteet kuin tarjoajaa 16 artiklan mukaisesti missä tahansa seuraavissa olosuhteissa:

(a)

they put their name or trademark on a high-risk AI system already placed on the market or put into service, without prejudice to contractual arrangements stipulating that the obligations are otherwise allocated;

ne laittavat nimensä tai tavaramerkkinsä suuririskiseen tekoälyjärjestelmään, joka on jo saatettu markkinoille tai otettu käyttöön, sanotun kuitenkaan rajoittamatta sopimusjärjestelyjä, joissa määrätään, että velvoitteet jaetaan muulla tavoin;

(b)

they make a substantial modification to a high-risk AI system that has already been placed on the market or has already been put into service in such a way that it remains a high-risk AI system pursuant to Article 6;

ne tekevät jo markkinoille saatettuun tai jo käyttöön otettuun suuririskiseen tekoälyjärjestelmään merkittävän muutoksen siten, että se pysyy 6 artiklan mukaisena suuririskisenä tekoälyjärjestelmänä;

(c)

they modify the intended purpose of an AI system, including a general-purpose AI system, which has not been classified as high-risk and has already been placed on the market or put into service in such a way that the AI system concerned becomes a high-risk AI system in accordance with Article 6.

ne muuttavat tekoälyjärjestelmän, myös yleiskäyttöisen tekoälyjärjestelmän, jota ei ole luokiteltu suuririskiseksi ja joka on jo saatettu markkinoille tai otettu käyttöön, käyttötarkoitusta siten, että tekoälyjärjestelmästä tulee 6 artiklan mukainen suuririskinen tekoälyjärjestelmä.

2. Where the circumstances referred to in paragraph 1 occur, the provider that initially placed the AI system on the market or put it into service shall no longer be considered to be a provider of that specific AI system for the purposes of this Regulation. That initial provider shall closely cooperate with new providers and shall make available the necessary information and provide the reasonably expected technical access and other assistance that are required for the fulfilment of the obligations set out in this Regulation, in particular regarding the compliance with the conformity assessment of high-risk AI systems. This paragraph shall not apply in cases where the initial provider has clearly specified that its AI system is not to be changed into a high-risk AI system and therefore does not fall under the obligation to hand over the documentation.

2. Edellä 1 kohdassa tarkoitetuissa tilanteissa tarjoajaa, joka on alun perin saattanut tekoälyjärjestelmän markkinoille tai ottanut sen käyttöön, ei enää pidetä kyseisen tekoälyjärjestelmän tarjoajana tätä asetusta sovellettaessa. Kyseisen alkuperäisen tarjoajan on tehtävä tiivistä yhteistyötä uusien tarjoajien kanssa ja asetettava saataville tarvittavat tiedot ja tarjottava kohtuudella odotettavissa olevat tekninen pääsy ja muu apu, joita tämän asetuksen mukaisten velvoitteiden täyttäminen edellyttää, erityisesti suuririskisten tekoälyjärjestelmien vaatimustenmukaisuuden arvioinnin noudattamisen osalta. Tätä kohtaa ei sovelleta tapauksissa, joissa alkuperäinen tarjoaja on selkeästi täsmentänyt, että sen tekoälyjärjestelmää ei saa muuttaa suuririskiseksi tekoälyjärjestelmäksi eikä siihen sen vuoksi sovelleta dokumentaation luovuttamisvelvoitetta.

3. In the case of high-risk AI systems that are safety components of products covered by the Union harmonisation legislation listed in Section A of Annex I, the product manufacturer shall be considered to be the provider of the high-risk AI system, and shall be subject to the obligations under Article 16 under either of the following circumstances:

3. Niiden suuririskisten tekoälyjärjestelmien osalta, jotka ovat sellaisten tuotteiden turvakomponentteja, joihin sovelletaan liitteessä I olevassa A jaksossa lueteltua unionin yhdenmukaistamislainsäädäntöä, tuotteen valmistajaa pidetään suuririskisen tekoälyjärjestelmän tarjoajana, ja siihen sovelletaan 16 artiklan mukaisia velvoitteita jommassakummassa seuraavista olosuhteista:

(a)

the high-risk AI system is placed on the market together with the product under the name or trademark of the product manufacturer;

suuririskinen tekoälyjärjestelmä saatetaan markkinoille yhdessä tuotteen kanssa tuotteen valmistajan nimellä tai tavaramerkillä;

(b)

the high-risk AI system is put into service under the name or trademark of the product manufacturer after the product has been placed on the market.

suuririskinen tekoälyjärjestelmä otetaan käyttöön tuotteen valmistajan nimellä tai tavaramerkillä sen jälkeen, kun tuote on saatettu markkinoille.

4. The provider of a high-risk AI system and the third party that supplies an AI system, tools, services, components, or processes that are used or integrated in a high-risk AI system shall, by written agreement, specify the necessary information, capabilities, technical access and other assistance based on the generally acknowledged state of the art, in order to enable the provider of the high-risk AI system to fully comply with the obligations set out in this Regulation. This paragraph shall not apply to third parties making accessible to the public tools, services, processes, or components, other than general-purpose AI models, under a free and open-source licence.

4. Suuririskisen tekoälyjärjestelmän tarjoajan ja kolmannen osapuolen, joka toimittaa suuririskisessä tekoälyjärjestelmässä käytettäviä tai siihen integroitavia tekoälyjärjestelmiä, välineitä, palveluja, komponentteja tai prosesseja, on määritettävä kirjallisella sopimuksella tarvittavat tiedot, valmiudet, tekninen pääsy ja muu apu, jotka perustuvat yleisesti tunnustettuun alan viimeisimpään kehitykseen, jotta suuririskisen tekoälyjärjestelmän tarjoaja voi noudattaa täysimääräisesti tämän asetuksen mukaisia velvoitteita. Tätä kohtaa ei sovelleta kolmansiin osapuoliin, jotka asettavat yleisön saataville maksuttomalla ja avoimen lähdekoodin lisenssillä välineitä, palveluja, prosesseja tai komponentteja, jotka ovat muita kuin yleiskäyttöisiä tekoälymalleja.

The AI Office may develop and recommend voluntary model terms for contracts between providers of high-risk AI systems and third parties that supply tools, services, components or processes that are used for or integrated into high-risk AI systems. When developing those voluntary model terms, the AI Office shall take into account possible contractual requirements applicable in specific sectors or business cases. The voluntary model terms shall be published and be available free of charge in an easily usable electronic format.

Tekoälytoimisto voi laatia ja suositella vapaaehtoisia mallisopimusehtoja suuririskisten tekoälyjärjestelmien tarjoajien ja sellaisten kolmansien osapuolten välisiä sopimuksia varten, jotka toimittavat välineitä, palveluja, komponentteja tai prosesseja, joita käytetään suuririskisissä tekoälyjärjestelmissä tai integroidaan niihin. Laatiessaan kyseisiä vapaaehtoisia mallisopimusehtoja tekoälytoimisto ottaa huomioon tietyillä aloilla tai tietyissä liiketoimintamalleissa mahdollisesti sovellettavat sopimusperusteiset vaatimukset. Vapaaehtoiset mallisopimusehdot on julkaistava, ja niiden on oltava saatavilla maksutta helposti käytettävässä sähköisessä muodossa.

5. Paragraphs 2 and 3 are without prejudice to the need to observe and protect intellectual property rights, confidential business information and trade secrets in accordance with Union and national law.

5. Edellä olevat 2 ja 3 kohta eivät rajoita tarvetta kunnioittaa ja suojata teollis- ja tekijänoikeuksia ja luottamuksellisia liiketoimintatietoja ja liikesalaisuuksia unionin ja kansallisen lainsäädännön mukaisesti.

Article 26

26 artikla

Obligations of deployers of high-risk AI systems

Suuririskisten tekoälyjärjestelmien käyttöönottajien velvollisuudet

1. Deployers of high-risk AI systems shall take appropriate technical and organisational measures to ensure they use such systems in accordance with the instructions for use accompanying the systems, pursuant to paragraphs 3 and 6.

1. Suuririskisten tekoälyjärjestelmien käyttöönottajien on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet varmistaakseen, että ne käyttävät tällaisia järjestelmiä niiden mukana seuraavien käyttöohjeiden mukaisesti 3 ja 6 kohdassa säädetyllä tavalla.

2. Deployers shall assign human oversight to natural persons who have the necessary competence, training and authority, as well as the necessary support.

2. Käyttöönottajien on annettava ihmisen suorittama valvonta tehtäväksi luonnollisille henkilöille, joilla on tarvittava pätevyys, koulutus ja valtuudet, sekä annettava tarvittavaa tukea.

3. The obligations set out in paragraphs 1 and 2, are without prejudice to other deployer obligations under Union or national law and to the deployer’s freedom to organise its own resources and activities for the purpose of implementing the human oversight measures indicated by the provider.

3. Edellä 1 ja 2 kohdassa säädetyt velvollisuudet eivät rajoita muiden unionin tai kansallisesta lainsäädännöstä johtuvien käyttöönottajien velvollisuuksien soveltamista eivätkä käyttöönottajan vapautta järjestää omat resurssinsa ja toimintansa tarjoajan ilmoittamien ihmisen suorittamien valvontatoimien toteuttamiseksi.

4. Without prejudice to paragraphs 1 and 2, to the extent the deployer exercises control over the input data, that deployer shall ensure that input data is relevant and sufficiently representative in view of the intended purpose of the high-risk AI system.

4. Siltä osin kuin käyttöönottaja valvoo syöttötietoja, käyttöönottajan on varmistettava, että syöttötiedot ovat merkityksellisiä ja riittävän edustavia suuririskisen tekoälyjärjestelmän käyttötarkoituksen kannalta, sanotun kuitenkaan rajoittamatta 1 ja 2 kohdan soveltamista.

5. Deployers shall monitor the operation of the high-risk AI system on the basis of the instructions for use and, where relevant, inform providers in accordance with Article 72. Where deployers have reason to consider that the use of the high-risk AI system in accordance with the instructions may result in that AI system presenting a risk within the meaning of Article 79(1), they shall, without undue delay, inform the provider or distributor and the relevant market surveillance authority, and shall suspend the use of that system. Where deployers have identified a serious incident, they shall also immediately inform first the provider, and then the importer or distributor and the relevant market surveillance authorities of that incident. If the deployer is not able to reach the provider, Article 73 shall apply mutatis mutandis. This obligation shall not cover sensitive operational data of deployers of AI systems which are law enforcement authorities.

5. Käyttöönottajien on seurattava suuririskisen tekoälyjärjestelmän toimintaa käyttöohjeiden perusteella ja tarvittaessa ilmoitettava asiasta tarjoajille 72 artiklan mukaisesti. Jos käyttöönottajilla on syytä katsoa, että suuririskisen tekoälyjärjestelmän käyttöohjeiden mukainen käyttö voi johtaa siihen, että kyseinen tekoälyjärjestelmä aiheuttaa 79 artiklan 1 kohdassa tarkoitetun riskin, niiden on ilman aiheetonta viivytystä ilmoitettava asiasta tarjoajalle tai jakelijalle ja asianomaiselle markkinavalvontaviranomaiselle ja keskeytettävä kyseisen järjestelmän käyttö. Jos käyttöönottajat ovat havainneet vakavan vaaratilanteen, niiden on myös välittömästi ilmoitettava kyseisestä vaaratilanteesta ensin tarjoajalle ja sen jälkeen tuojalle tai jakelijalle sekä asianomaisille markkinavalvontaviranomaisille. Jos käyttöönottaja ei pysty tavoittamaan tarjoajaa, 73 artiklaa sovelletaan soveltuvin osin. Tätä velvoitetta ei sovelleta niiden tekoälyjärjestelmien käyttöönottajien arkaluonteiseen operatiiviseen tietoon, jotka ovat lainvalvontaviranomaisia.

For deployers that are financial institutions subject to requirements regarding their internal governance, arrangements or processes under Union financial services law, the monitoring obligation set out in the first subparagraph shall be deemed to be fulfilled by complying with the rules on internal governance arrangements, processes and mechanisms pursuant to the relevant financial service law.

Niiden käyttöönottajien osalta, jotka ovat rahoituslaitoksia, joihin sovelletaan niiden sisäisiä hallintojärjestelyjä tai -prosesseja koskevia vaatimuksia unionin rahoituspalvelulainsäädännön nojalla, ensimmäisessä alakohdassa esitetty seurantavelvoite katsotaan täytetyksi, kun noudatetaan asiaankuuluvan rahoituspalvelulainsäädännön mukaisia sisäisiä hallintojärjestelyjä, -prosesseja ja -mekanismeja koskevia sääntöjä.

6. Deployers of high-risk AI systems shall keep the logs automatically generated by that high-risk AI system to the extent such logs are under their control, for a period appropriate to the intended purpose of the high-risk AI system, of at least six months, unless provided otherwise in applicable Union or national law, in particular in Union law on the protection of personal data.

6. Suuririskisten tekoälyjärjestelmien käyttöönottajien on säilytettävä kyseisen suuririskisen tekoälyjärjestelmän automaattisesti tuottamat lokitiedot siltä osin kuin tällaiset lokitiedot ovat heidän hallinnassaan, suuririskisen tekoälyjärjestelmän käyttötarkoitukseen nähden asianmukaisen ajanjakson ajan, kuitenkin vähintään kuuden kuukauden ajan, jollei sovellettavassa unionin tai kansallisessa lainsäädännössä, erityisesti henkilötietojen suojaa koskevassa unionin oikeudessa, toisin säädetä.

Deployers that are financial institutions subject to requirements regarding their internal governance, arrangements or processes under Union financial services law shall maintain the logs as part of the documentation kept pursuant to the relevant Union financial service law.

Käyttöönottajien, jotka ovat rahoituslaitoksia, joihin sovelletaan niiden sisäisiä hallintojärjestelyjä tai -prosesseja koskevia vaatimuksia unionin rahoituspalvelulainsäädännön nojalla, on säilytettävä lokitiedot osana asiakirjoja, jotka säilytetään asiaankuuluvan unionin rahoituspalvelulainsäädännön nojalla.

7. Before putting into service or using a high-risk AI system at the workplace, deployers who are employers shall inform workers’ representatives and the affected workers that they will be subject to the use of the high-risk AI system. This information shall be provided, where applicable, in accordance with the rules and procedures laid down in Union and national law and practice on information of workers and their representatives.

7. Ennen suuririskisen tekoälyjärjestelmän käyttöönottoa tai käyttöä työpaikalla käyttöönottajien, jotka ovat työnantajia, on ilmoitettava työntekijöiden edustajille ja asianomaisille työntekijöille, että heihin sovelletaan suuririskistä tekoälyjärjestelmää. Nämä tiedot on tarvittaessa annettava työntekijöille ja heidän edustajilleen tiedottamista koskevassa unionin ja kansallisessa lainsäädännössä ja käytännössä vahvistettujen sääntöjen ja menettelyjen mukaisesti.

8. Deployers of high-risk AI systems that are public authorities, or Union institutions, bodies, offices or agencies shall comply with the registration obligations referred to in Article 49. When such deployers find that the high-risk AI system that they envisage using has not been registered in the EU database referred to in Article 71, they shall not use that system and shall inform the provider or the distributor.

8. Suuririskisten tekoälyjärjestelmin käyttöönottajien, jotka ovat viranomaisia tai unionin toimielimiä, elimiä tai laitoksia, on noudatettava 49 artiklassa tarkoitettuja rekisteröintivelvollisuuksia. Jos tällaiset käyttöönottajat toteavat, että suuririskistä tekoälyjärjestelmää, jota ne aikovat käyttää, ei ole rekisteröity 71 artiklassa tarkoitettuun EU:n tietokantaan, ne eivät saa käyttää kyseistä järjestelmää ja niiden on ilmoitettava asiasta tarjoajalle tai jakelijalle.

9. Where applicable, deployers of high-risk AI systems shall use the information provided under Article 13 of this Regulation to comply with their obligation to carry out a data protection impact assessment under Article 35 of Regulation (EU) 2016/679 or Article 27 of Directive (EU) 2016/680.

9. Suuririskisten tekoälyjärjestelmien käyttöönottajien on tarvittaessa käytettävä tämän asetuksen 13 artiklan mukaisesti toimitettuja tietoja noudattaakseen velvollisuuttaan tehdä tietosuojaa koskeva vaikutustenarviointi asetuksen (EU) 2016/679 35 artiklan tai direktiivin (EU) 2016/680 27 artiklan mukaisesti.

10. Without prejudice to Directive (EU) 2016/680, in the framework of an investigation for the targeted search of a person suspected or convicted of having committed a criminal offence, the deployer of a high-risk AI system for post-remote biometric identification shall request an authorisation, ex ante, or without undue delay and no later than 48 hours, by a judicial authority or an administrative authority whose decision is binding and subject to judicial review, for the use of that system, except when it is used for the initial identification of a potential suspect based on objective and verifiable facts directly linked to the offence. Each use shall be limited to what is strictly necessary for the investigation of a specific criminal offence.

10. Rikoksesta epäillyn tai tuomitun henkilön kohdennettua etsintää koskevan tutkinnan yhteydessä suuririskisen tekoälyjärjestelmän, joka on tarkoitettu käytettäväksi jälkikäteiseen biometriseen etätunnistukseen, käyttöönottajan on pyydettävä oikeusviranomaiselta tai hallintoviranomaiselta, jonka päätös on sitova ja johon sovelletaan tuomioistuinvalvontaa, lupaa kyseisen järjestelmän käyttöön etukäteen tai ilman aiheetonta viivytystä ja viimeistään 48 tunnin kuluessa kyseisen järjestelmän käyttöön, paitsi jos sitä käytetään mahdollisen epäillyn alustavaan tunnistamiseen rikokseen suoraan liittyvien objektiivisten ja todennettavissa olevien tosiseikkojen perusteella, sanotun kuitenkaan rajoittamatta direktiivin (EU) 2016/680 soveltamista. Kukin käyttö on rajoitettava siihen, mikä on ehdottoman välttämätöntä kyseessä olevan rikoksen tutkintaa varten.

If the authorisation requested pursuant to the first subparagraph is rejected, the use of the post-remote biometric identification system linked to that requested authorisation shall be stopped with immediate effect and the personal data linked to the use of the high-risk AI system for which the authorisation was requested shall be deleted.

Jos ensimmäisen alakohdan nojalla haettu lupa hylätään, kyseiseen lupaan linkitetyn jälkikäteisen biometrisen etätunnistusjärjestelmän käyttö on lopetettava välittömästi ja sen suuririskisen tekoälyjärjestelmän käyttöön liittyvät henkilötiedot, jota varten lupaa haettiin, on poistettava.

In no case shall such high-risk AI system for post-remote biometric identification be used for law enforcement purposes in an untargeted way, without any link to a criminal offence, a criminal proceeding, a genuine and present or genuine and foreseeable threat of a criminal offence, or the search for a specific missing person. It shall be ensured that no decision that produces an adverse legal effect on a person may be taken by the law enforcement authorities based solely on the output of such post-remote biometric identification systems.

Tällaista suuririskistä tekoälyjärjestelmää, joka on tarkoitettu käytettäväksi jälkikäteiseen biometriseen etätunnistukseen, ei saa missään tapauksessa käyttää lainvalvontatarkoituksiin kohdentamattomalla tavalla ilman minkäänlaista yhteyttä tiettyyn rikokseen, rikosoikeudelliseen menettelyyn, todelliseen ja välittömään tai todelliseen ja ennakoitavissa olevaan rikoksen uhkaan tai tietyn kadonneen henkilön etsimiseen. On varmistettava, että päätöstä, jolla on yksittäiseen henkilöön kohdistuvia kielteisiä oikeusvaikutuksia, ei saa tehdä pelkästään tällaisen jälkikäteisen biometrisen etätunnistusjärjestelmän tuotosten perusteella.

This paragraph is without prejudice to Article 9 of Regulation (EU) 2016/679 and Article 10 of Directive (EU) 2016/680 for the processing of biometric data.

Tämä kohta ei rajoita asetuksen (EU) 2016/679 9 artiklan ja direktiivin (EU) 2016/680 10 artiklan soveltamista biometristen tietojen käsittelyn osalta.

Regardless of the purpose or deployer, each use of such high-risk AI systems shall be documented in the relevant police file and shall be made available to the relevant market surveillance authority and the national data protection authority upon request, excluding the disclosure of sensitive operational data related to law enforcement. This subparagraph shall be without prejudice to the powers conferred by Directive (EU) 2016/680 on supervisory authorities.

Käyttötarkoituksesta tai käyttöönottajasta riippumatta tällaisten suuririskisten tekoälyjärjestelmien kaikenlainen käyttö on dokumentoitava asianomaiseen poliisitiedostoon ja asetettava pyynnöstä asianomaisen markkinavalvontaviranomaisen ja kansallisen tietosuojaviranomaisen saataville, lukuun ottamatta lainvalvontaan liittyvien arkaluonteisten operatiivisten tietojen luovuttamista. Tämä alakohta ei rajoita valvontaviranomaisille direktiivin (EU) 2016/680 nojalla annettuja valtuuksia.

Deployers shall submit annual reports to the relevant market surveillance and national data protection authorities on their use of post-remote biometric identification systems, excluding the disclosure of sensitive operational data related to law enforcement. The reports may be aggregated to cover more than one deployment.

Käyttöönottajien on toimitettava asianomaisille markkinavalvonta- ja kansallisille tietosuojaviranomaisille vuosittain raportit jälkikäteisten biometristen etätunnistusjärjestelmien käytöstä, lukuun ottamatta lainvalvontaan liittyvien arkaluonteisten operatiivisten tietojen luovuttamista. Raportit voidaan koota yhteen siten, että ne kattavat useamman kuin yhden käyttökerran.

Member States may introduce, in accordance with Union law, more restrictive laws on the use of post-remote biometric identification systems.

Jäsenvaltiot voivat unionin oikeuden mukaisesti ottaa käyttöön jälkikäteisten biometristen etätunnistusjärjestelmien käyttöä koskevaa rajoittavampaa lainsäädäntöä.

11. Without prejudice to Article 50 of this Regulation, deployers of high-risk AI systems referred to in Annex III that make decisions or assist in making decisions related to natural persons shall inform the natural persons that they are subject to the use of the high-risk AI system. For high-risk AI systems used for law enforcement purposes Article 13 of Directive (EU) 2016/680 shall apply.

11. Sellaisten liitteessä III tarkoitettujen suuririskisten tekoälyjärjestelmien käyttöönottajien, jotka tekevät tai auttavat tekemään luonnollisiin henkilöihin liittyviä päätöksiä, on ilmoitettava luonnollisille henkilöille, että heihin sovelletaan suuririskistä tekoälyjärjestelmää, sanotun kuitenkaan rajoittamatta tämän asetuksen 50 artiklan soveltamista. Lainvalvontatarkoituksiin käytettäviin suuririskisiin tekoälyjärjestelmiin sovelletaan direktiivin (EU) 2016/680 13 artiklaa.

12. Deployers shall cooperate with the relevant competent authorities in any action those authorities take in relation to the high-risk AI system in order to implement this Regulation.

12. Käyttöönottajien on tehtävä yhteistyötä asiaankuuluvien toimivaltaisten viranomaisten kanssa kaikissa toimissa, joita kyseiset viranomaiset toteuttavat suuririskisen tekoälyjärjestelmän suhteen tämän asetuksen täytäntöönpanemiseksi.

Article 27

27 artikla

Fundamental rights impact assessment for high-risk AI systems

Suuririskisten tekoälyjärjestelmien perusoikeusvaikutusten arviointi

1. Prior to deploying a high-risk AI system referred to in Article 6(2), with the exception of high-risk AI systems intended to be used in the area listed in point 2 of Annex III, deployers that are bodies governed by public law, or are private entities providing public services, and deployers of high-risk AI systems referred to in points 5 (b) and (c) of Annex III, shall perform an assessment of the impact on fundamental rights that the use of such system may produce. For that purpose, deployers shall perform an assessment consisting of:

1. Käyttöönottajien, jotka ovat julkisoikeudellisia laitoksia tai julkisia palveluja tarjoavia yksityisiä yhteisöjä, ja liitteessä III olevassa 5 kohdan b ja c alakohdassa tarkoitettujen suuririskisten tekoälyjärjestelmien käyttöönottajien on tehtävä arviointi tällaisen järjestelmän käytön mahdollisista perusoikeusvaikutuksista ennen 6 artiklan 2 kohdassa tarkoitetun suuririskisen tekoälyjärjestelmän käyttöönottoa, lukuun ottamatta suuririskisiä tekoälyjärjestelmiä, jotka on tarkoitettu käytettäviksi liitteessä III olevassa 2 kohdassa luetellulla alueella. Tätä varten käyttöönottajien on suoritettava arviointi, joka sisältää seuraavat:

(a)

a description of the deployer’s processes in which the high-risk AI system will be used in line with its intended purpose;

kuvaus käyttöönottajan prosesseista, joissa suuririskistä tekoälyjärjestelmää käytetään käyttötarkoituksensa mukaisesti;

(b)

a description of the period of time within which, and the frequency with which, each high-risk AI system is intended to be used;

kuvaus ajanjaksosta, jonka kuluessa kutakin suuririskistä tekoälyjärjestelmää on tarkoitus käyttää, ja kuinka usein;

(c)

the categories of natural persons and groups likely to be affected by its use in the specific context;

niiden luonnollisten henkilöiden ja ryhmien luokat, joihin järjestelmän käyttö todennäköisesti vaikuttaa;

(d)

the specific risks of harm likely to have an impact on the categories of natural persons or groups of persons identified pursuant to point (c) of this paragraph, taking into account the information given by the provider pursuant to Article 13;

erityiset sellaisen haitan riskit, joka todennäköisesti kohdistuu tämän kohdan c alakohdan mukaisesti yksilöityihin luokkiin kuuluviin luonnollisiin henkilöihin tai henkilöryhmiin, ottaen huomioon tarjoajan 13 artiklan mukaisesti antamat tiedot;

(e)

a description of the implementation of human oversight measures, according to the instructions for use;

kuvaus ihmisen suorittamien valvontatoimenpiteiden toteuttamisesta käyttöohjeiden mukaisesti;

(f)

the measures to be taken in the case of the materialisation of those risks, including the arrangements for internal governance and complaint mechanisms.

toimenpiteet, jotka on toteutettava kyseisten riskien toteutuessa, mukaan lukien sisäistä hallintoa ja valitusmekanismeja koskevat järjestelyt.

2. The obligation laid down in paragraph 1 applies to the first use of the high-risk AI system. The deployer may, in similar cases, rely on previously conducted fundamental rights impact assessments or existing impact assessments carried out by provider. If, during the use of the high-risk AI system, the deployer considers that any of the elements listed in paragraph 1 has changed or is no longer up to date, the deployer shall take the necessary steps to update the information.

2. Edellä 1 kohdassa säädettyä velvoitetta sovelletaan suuririskisen tekoälyjärjestelmän ensimmäiseen käyttökertaan. Käyttöönottaja voi samanlaisissa tapauksissa tukeutua aiemmin tehtyyn perusoikeusvaikutusten arviointiin tai tarjoajan tekemään olemassa olevaan vaikutustenarviointiin. Jos käyttöönottaja katsoo suuririskisen tekoälyjärjestelmän käytön aikana, että jokin 1 kohdassa luetelluista elementeistä on muuttunut tai ei ole enää ajan tasalla, käyttöönottajan on toteutettava tarvittavat toimenpiteet tietojen päivittämiseksi.

3. Once the assessment referred to in paragraph 1 of this Article has been performed, the deployer shall notify the market surveillance authority of its results, submitting the filled-out template referred to in paragraph 5 of this Article as part of the notification. In the case referred to in Article 46(1), deployers may be exempt from that obligation to notify.

3. Kun tämän artiklan 1 kohdassa tarkoitettu arviointi on suoritettu, käyttöönottajan on ilmoitettava markkinavalvontaviranomaiselle sen tuloksista, ja palautettava tämän artiklan 5 kohdassa tarkoitettu täytetty lomake ilmoituksen osana. Käyttöönottajat voidaan 46 artiklan 1 kohdassa tarkoitetussa tapauksessa vapauttaa tästä ilmoitusvelvoitteesta.

4. If any of the obligations laid down in this Article is already met through the data protection impact assessment conducted pursuant to Article 35 of Regulation (EU) 2016/679 or Article 27 of Directive (EU) 2016/680, the fundamental rights impact assessment referred to in paragraph 1 of this Article shall complement that data protection impact assessment.

4. Jos jokin tässä artiklassa säädetyistä velvoitteista on jo täytetty asetuksen (EU) 2016/679 35 artiklan tai direktiivin (EU) 2016/680 27 artiklan nojalla suoritetun tietosuojaa koskevan vaikutustenarvioinnin avulla, tämän artiklan 1 kohdassa tarkoitetulla perusoikeuksia koskevalla vaikutustenarvioinnilla täydennetään kyseistä tietosuojaa koskevaa vaikutustenarviointia.

5. The AI Office shall develop a template for a questionnaire, including through an automated tool, to facilitate deployers in complying with their obligations under this Article in a simplified manner.

5. Tekoälytoimisto laatii mallin kyselylomakkeelle, käyttämällä myös automaattista välinettä, jotta käyttöönottajia voidaan auttaa täyttämään tämän artiklan mukaiset velvoitteensa yksinkertaistetulla tavalla.

SECTION 4

4 JAKSO

Notifying authorities and notified bodies

Ilmoittamisesta vastaavat viranomaiset ja ilmoitetut laitokset

Article 28

28 artikla

Notifying authorities

Ilmoittamisesta vastaavat viranomaiset

1. Each Member State shall designate or establish at least one notifying authority responsible for setting up and carrying out the necessary procedures for the assessment, designation and notification of conformity assessment bodies and for their monitoring. Those procedures shall be developed in cooperation between the notifying authorities of all Member States.

1. Kunkin jäsenvaltion on nimettävä tai perustettava vähintään yksi ilmoittamisesta vastaava viranomainen, joka vastaa vaatimustenmukaisuuden arviointilaitosten arviointiin, nimeämiseen ja ilmoittamiseen sekä niiden valvontaan liittyvien tarvittavien menettelyjen perustamisesta ja toteuttamisesta. Kyseiset menettelyt on kehitettävä yhteistyössä kaikkien jäsenvaltioiden ilmoittamisesta vastaavien viranomaisten kesken.

2. Member States may decide that the assessment and monitoring referred to in paragraph 1 is to be carried out by a national accreditation body within the meaning of, and in accordance with, Regulation (EC) No 765/2008.

2. Jäsenvaltiot voivat päättää, että 1 kohdassa tarkoitetun arvioinnin ja valvonnan suorittaa asetuksen (EY) N:o 765/2008 mukaisesti mainitussa asetuksessa tarkoitettu kansallinen akkreditointielin.

3. Notifying authorities shall be established, organised and operated in such a way that no conflict of interest arises with conformity assessment bodies, and that the objectivity and impartiality of their activities are safeguarded.

3. Ilmoittamisesta vastaavien viranomaisten on oltava toteutukseltaan, organisaatioltaan ja toiminnaltaan sellaisia, että eturistiriitoja vaatimustenmukaisuuden arviointilaitosten kanssa ei synny ja että niiden toimien objektiivisuus ja puolueettomuus on turvattu.

4. Notifying authorities shall be organised in such a way that decisions relating to the notification of conformity assessment bodies are taken by competent persons different from those who carried out the assessment of those bodies.

4. Ilmoittamisesta vastaavien viranomaisten organisaation on oltava sellainen, että vaatimustenmukaisuuden arviointilaitosten ilmoittamista koskevat päätökset tekevät eri toimivaltaiset henkilöt kuin ne, jotka ovat suorittaneet näiden laitosten arvioinnin.

5. Notifying authorities shall offer or provide neither any activities that conformity assessment bodies perform, nor any consultancy services on a commercial or competitive basis.

5. Ilmoittamisesta vastaavat viranomaiset eivät saa tarjota mitään toimintoja, joita vaatimustenmukaisuuden arviointilaitokset suorittavat, eivätkä mitään konsultointipalveluja kaupallisin tai kilpailullisin perustein.

6. Notifying authorities shall safeguard the confidentiality of the information that they obtain, in accordance with Article 78.

6. Ilmoittamisesta vastaavien viranomaisten on turvattava saamiensa tietojen luottamuksellisuus 78 artiklan mukaisesti.

7. Notifying authorities shall have an adequate number of competent personnel at their disposal for the proper performance of their tasks. Competent personnel shall have the necessary expertise, where applicable, for their function, in fields such as information technologies, AI and law, including the supervision of fundamental rights.

7. Ilmoittamisesta vastaavilla viranomaisilla on oltava käytössään riittävä määrä pätevää henkilöstöä tehtäviensä asianmukaista hoitamista varten. Pätevällä henkilöstöllä on tarvittaessa oltava tehtäviensä edellyttämä asiantuntemus esimerkiksi tietotekniikan, tekoälyn ja lainsäädännön aloilla, mukaan lukien perusoikeuksien valvonta.

Article 29

29 artikla

Application of a conformity assessment body for notification

Vaatimustenmukaisuuden arviointilaitoksen ilmoittamista koskeva hakemus

1. Conformity assessment bodies shall submit an application for notification to the notifying authority of the Member State in which they are established.

1. Vaatimustenmukaisuuden arviointilaitosten on toimitettava ilmoittamista koskeva hakemus sen jäsenvaltion ilmoittamisesta vastaavalle viranomaiselle, johon ne ovat sijoittautuneet.

2. The application for notification shall be accompanied by a description of the conformity assessment activities, the conformity assessment module or modules and the types of AI systems for which the conformity assessment body claims to be competent, as well as by an accreditation certificate, where one exists, issued by a national accreditation body attesting that the conformity assessment body fulfils the requirements laid down in Article 31.

2. Ilmoittamista koskevaan hakemukseen on liitettävä kuvaus vaatimustenmukaisuuden arviointitoimista, vaatimustenmukaisuuden arviointimoduulista tai -moduuleista ja tekoälyjärjestelmätyypeistä, joiden osalta vaatimustenmukaisuuden arviointilaitos katsoo olevansa pätevä, sekä mahdollinen akkreditointitodistus, jonka kansallinen akkreditointielin on antanut ja jossa todistetaan, että vaatimustenmukaisuuden arviointilaitos täyttää 31 artiklassa säädetyt vaatimukset.

Any valid document related to existing designations of the applicant notified body under any other Union harmonisation legislation shall be added.

Hakemukseen on liitettävä kaikki voimassa olevat asiakirjat, jotka liittyvät hakemuksen esittävän ilmoitetun laitoksen voimassa oleviin nimeämisiin jonkin muun unionin yhdenmukaistamislainsäädännön nojalla.

3. Where the conformity assessment body concerned cannot provide an accreditation certificate, it shall provide the notifying authority with all the documentary evidence necessary for the verification, recognition and regular monitoring of its compliance with the requirements laid down in Article 31.

3. Jos asianomainen vaatimustenmukaisuuden arviointilaitos ei voi toimittaa akkreditointitodistusta, sen on toimitettava ilmoittamisesta vastaavalle viranomaiselle kaikki tarpeelliset asiakirjatodisteet, joiden avulla voidaan tarkastaa, tunnustaa ja säännöllisesti valvoa, että se täyttää 31 artiklassa säädetyt vaatimukset.

4. For notified bodies which are designated under any other Union harmonisation legislation, all documents and certificates linked to those designations may be used to support their designation procedure under this Regulation, as appropriate. The notified body shall update the documentation referred to in paragraphs 2 and 3 of this Article whenever relevant changes occur, in order to enable the authority responsible for notified bodies to monitor and verify continuous compliance with all the requirements laid down in Article 31.

4. Kun on kyse muun unionin yhdenmukaistamislainsäädännön nojalla nimetyistä ilmoitetuista laitoksista, kaikkia näihin nimeämisiin liittyviä asiakirjoja ja todistuksia voidaan tarvittaessa käyttää tämän asetuksen mukaisen nimeämismenettelyn tukena. Ilmoitetun laitoksen on päivitettävä tämän artiklan 2 ja 3 kohdassa tarkoitetut asiakirjat aina, kun merkityksellisiä muutoksia esiintyy, jotta ilmoitetuista laitoksista vastaava viranomainen voi seurata ja todentaa, että 31 artiklassa säädettyjä vaatimuksia noudatetaan jatkuvasti.

Article 30

30 artikla

Notification procedure

Ilmoitusmenettely

1. Notifying authorities may notify only conformity assessment bodies which have satisfied the requirements laid down in Article 31.

1. Ilmoittamisesta vastaavat viranomaiset voivat ilmoittaa ainoastaan sellaisia vaatimustenmukaisuuden arviointilaitoksia, jotka ovat täyttäneet 31 artiklassa säädetyt vaatimukset.

2. Notifying authorities shall notify the Commission and the other Member States, using the electronic notification tool developed and managed by the Commission, of each conformity assessment body referred to in paragraph 1.

2. Ilmoittamisesta vastaavien viranomaisten on tehtävä kustakin 1 kohdassa tarkoitetusta vaatimustenmukaisuuden arviointilaitoksesta ilmoitus komissiolle ja muille jäsenvaltioille käyttäen komission kehittämää ja hallinnoimaa sähköistä ilmoitusvälinettä.

3. The notification referred to in paragraph 2 of this Article shall include full details of the conformity assessment activities, the conformity assessment module or modules, the types of AI systems concerned, and the relevant attestation of competence. Where a notification is not based on an accreditation certificate as referred to in Article 29(2), the notifying authority shall provide the Commission and the other Member States with documentary evidence which attests to the competence of the conformity assessment body and to the arrangements in place to ensure that that body will be monitored regularly and will continue to satisfy the requirements laid down in Article 31.

3. Tämän artiklan 2 kohdassa tarkoitetun ilmoituksen on sisällettävä täydelliset tiedot vaatimustenmukaisuuden arviointitoimista, vaatimustenmukaisuuden arviointimoduulista tai -moduuleista, asianomaisista tekoälyjärjestelmätyypeistä sekä asiaankuuluva todistus pätevyydestä. Jos ilmoitus ei perustu 29 artiklan 2 kohdassa tarkoitettuun akkreditointitodistukseen, ilmoittamisesta vastaavan viranomaisen on toimitettava komissiolle ja muille jäsenvaltioille asiakirjatodisteet, joiden avulla voidaan todistaa vaatimustenmukaisuuden arviointilaitoksen pätevyys ja toteutetut järjestelyt, joilla varmistetaan, että laitosta valvotaan säännöllisesti ja että se täyttää edelleen 31 artiklassa säädetyt vaatimukset.

4. The conformity assessment body concerned may perform the activities of a notified body only where no objections are raised by the Commission or the other Member States within two weeks of a notification by a notifying authority where it includes an accreditation certificate referred to in Article 29(2), or within two months of a notification by the notifying authority where it includes documentary evidence referred to in Article 29(3).

4. Asianomainen vaatimustenmukaisuuden arviointilaitos voi suorittaa ilmoitetun laitoksen tehtäviä ainoastaan siinä tapauksessa, että komissio tai muut jäsenvaltiot eivät esitä vastalauseita kahden viikon kuluessa ilmoittamisesta vastaavan viranomaisen ilmoituksesta siinä tapauksessa, että käytetään 29 artiklan 2 kohdassa tarkoitettua akkreditointitodistusta, ja kahden kuukauden kuluessa ilmoittamisesta vastaavan viranomaisen ilmoituksesta siinä tapauksessa, että käytetään 29 artiklan 3 kohdassa tarkoitettuja asiakirjatodisteita.

5. Where objections are raised, the Commission shall, without delay, enter into consultations with the relevant Member States and the conformity assessment body. In view thereof, the Commission shall decide whether the authorisation is justified. The Commission shall address its decision to the Member State concerned and to the relevant conformity assessment body.

5. Jos vastalauseita esitetään, komissio kuulee viipymättä asiaankuuluvia jäsenvaltioita ja vaatimustenmukaisuuden arviointilaitosta. Komissio päättää kyseisten kuulemisten perusteella, onko lupa perusteltu vai ei. Komissio osoittaa päätöksensä asianomaiselle jäsenvaltiolle sekä asiaankuuluvalle vaatimustenmukaisuuden arviointilaitokselle.

Article 31

31 artikla

Requirements relating to notified bodies

Ilmoitettuja laitoksia koskevat vaatimukset

1. A notified body shall be established under the national law of a Member State and shall have legal personality.

1. Ilmoitettu laitos on perustettava jäsenvaltion kansallisen lainsäädännön mukaisesti ja sen on oltava oikeushenkilö.

2. Notified bodies shall satisfy the organisational, quality management, resources and process requirements that are necessary to fulfil their tasks, as well as suitable cybersecurity requirements.

2. Ilmoitettujen laitosten on täytettävä organisaatiota, laadunhallintaa, resursseja ja prosessia koskevat vaatimukset, jotka ovat tarpeen niiden tehtävien suorittamiseksi, sekä asiaankuuluvat kyberturvallisuusvaatimukset.

3. The organisational structure, allocation of responsibilities, reporting lines and operation of notified bodies shall ensure confidence in their performance, and in the results of the conformity assessment activities that the notified bodies conduct.

3. Ilmoitetun laitoksen organisaatiorakenteen, vastuunjaon, raportointisuhteiden ja toiminnan on oltava sellaiset, että niillä varmistetaan luottamus kyseisen laitoksen toimiin ja sen toteuttamien vaatimustenmukaisuuden arviointitoimien tuloksiin.

4. Notified bodies shall be independent of the provider of a high-risk AI system in relation to which they perform conformity assessment activities. Notified bodies shall also be independent of any other operator having an economic interest in high-risk AI systems assessed, as well as of any competitors of the provider. This shall not preclude the use of assessed high-risk AI systems that are necessary for the operations of the conformity assessment body, or the use of such high-risk AI systems for personal purposes.

4. Ilmoitettujen laitosten on oltava riippumattomia sen suuririskisen tekoälyjärjestelmän tarjoajasta, jonka vaatimustenmukaisuutta ne arvioivat. Ilmoitettujen laitosten on oltava riippumattomia myös kaikista muista toimijoista, joilla on arvioitavaan suuririskiseen tekoälyjärjestelmään liittyviä taloudellisia intressejä, sekä kaikista tarjoajan kilpailijoista. Tämä ei sulje pois sellaisten arvioitujen suuririskisten tekoälyjärjestelmien käyttöä, jotka ovat vaatimustenmukaisuuden arviointilaitoksen toimien kannalta tarpeellisia, tai tällaisten suuririskisten tekoälyjärjestelmien käyttöä henkilökohtaisiin tarkoituksiin.

5. Neither a conformity assessment body, its top-level management nor the personnel responsible for carrying out its conformity assessment tasks shall be directly involved in the design, development, marketing or use of high-risk AI systems, nor shall they represent the parties engaged in those activities. They shall not engage in any activity that might conflict with their independence of judgement or integrity in relation to conformity assessment activities for which they are notified. This shall, in particular, apply to consultancy services.

5. Vaatimustenmukaisuuden arviointilaitos, sen ylin johto ja vaatimustenmukaisuuden arviointitehtävien suorittamisesta vastaava henkilöstö eivät saa olla suoraan mukana suuririskisten tekoälyjärjestelmien suunnittelussa, kehityksessä, markkinoinnissa tai käytössä eivätkä saa edustaa näissä toiminnoissa mukana olevia osapuolia. Ne eivät saa osallistua mihinkään toimintaan, joka saattaisivat olla ristiriidassa niiden suorittaman arvioinnin riippumattomuuden kanssa tai vaarantaa niiden luotettavuuden vaatimuksenmukaisuuden arviointitoimissa, joita varten ne on ilmoitettu. Tämä koskee erityisesti konsultointipalveluja.

6. Notified bodies shall be organised and operated so as to safeguard the independence, objectivity and impartiality of their activities. Notified bodies shall document and implement a structure and procedures to safeguard impartiality and to promote and apply the principles of impartiality throughout their organisation, personnel and assessment activities.

6. Ilmoitettujen laitosten on oltava organisaatioltaan ja toiminnaltaan sellaisia, että niiden toimien riippumattomuus, objektiivisuus ja puolueettomuus on turvattu. Ilmoitettujen laitosten on dokumentoitava ja toteutettava rakenne ja menettelyt, joilla turvataan puolueettomuus sekä edistetään ja sovelletaan puolueettomuuden periaatteita koko niiden organisaatiossa ja henkilöstössä ja kaikissa arviointitoimissa.

7. Notified bodies shall have documented procedures in place ensuring that their personnel, committees, subsidiaries, subcontractors and any associated body or personnel of external bodies maintain, in accordance with Article 78, the confidentiality of the information which comes into their possession during the performance of conformity assessment activities, except when its disclosure is required by law. The staff of notified bodies shall be bound to observe professional secrecy with regard to all information obtained in carrying out their tasks under this Regulation, except in relation to the notifying authorities of the Member State in which their activities are carried out.

7. Ilmoitetuilla laitoksilla on oltava käytössään dokumentoidut menettelyt, joilla varmistetaan, että niiden henkilöstö, asiantuntijaryhmät, tytäryhtiöt, alihankkijat ja niihin liittyvät tahot tai ulkoisten tahojen henkilöstö noudattavat 78 artiklan mukaisesti luottamuksellisuutta sellaisten tietojen osalta, jotka ne saavat haltuunsa vaatimustenmukaisuuden arviointitoimien suorittamisen aikana, paitsi kun lainsäädännössä edellytetään tietojen luovuttamista. Ilmoitettujen laitosten henkilöstöllä on vaitiolovelvollisuus kaikkien niiden tietojen suhteen, joita ne saavat suorittaessaan tämän asetuksen mukaisia tehtäviään, paitsi sen jäsenvaltion ilmoittamisesta vastaaviin viranomaisiin nähden, jossa ne toimivat.

8. Notified bodies shall have procedures for the performance of activities which take due account of the size of a provider, the sector in which it operates, its structure, and the degree of complexity of the AI system concerned.

8. Ilmoitetuilla laitoksilla on oltava käytössään menettelyt tehtävien hoitamiseksi siten, että tarjoajan koko, toimiala ja rakenne sekä kyseessä olevan tekoälyjärjestelmän monimutkaisuus otetaan asianmukaisesti huomioon.

9. Notified bodies shall take out appropriate liability insurance for their conformity assessment activities, unless liability is assumed by the Member State in which they are established in accordance with national law or that Member State is itself directly responsible for the conformity assessment.

9. Ilmoitetuilla laitoksilla on oltava asianmukainen vastuuvakuutus vaatimustenmukaisuuden arviointitoimiensa varalle, jollei vastuu kuulu jäsenvaltiolle, johon ne ovat sijoittautuneet, kansallisen lainsäädännön mukaisesti tai jollei jäsenvaltio itse ole suoraan vastuussa vaatimustenmukaisuuden arvioinnista.

10. Notified bodies shall be capable of carrying out all their tasks under this Regulation with the highest degree of professional integrity and the requisite competence in the specific field, whether those tasks are carried out by notified bodies themselves or on their behalf and under their responsibility.

10. Ilmoitettujen laitosten on kyettävä suorittamaan kaikki niille tämän asetuksen mukaisesti kuuluvat tehtävät osoittaen mahdollisimman suurta ammatillista luotettavuutta ja kyseisellä erityisalalla vaadittavaa pätevyyttä riippumatta siitä, suorittavatko ilmoitetut laitokset kyseiset tehtävät itse vai suoritetaanko ne niiden puolesta ja vastuulla.

11. Notified bodies shall have sufficient internal competences to be able effectively to evaluate the tasks conducted by external parties on their behalf. The notified body shall have permanent availability of sufficient administrative, technical, legal and scientific personnel who possess experience and knowledge relating to the relevant types of AI systems, data and data computing, and relating to the requirements set out in Section 2.

11. Ilmoitetuilla laitoksilla on oltava riittävästi sisäistä osaamista, jotta ne voivat tehokkaasti arvioida ulkoisten osapuolten niiden puolesta suorittamat tehtävät. Ilmoitetulla laitoksella on oltava pysyvästi käytettävissään riittävä määrä hallinnollista, teknistä, oikeudellista ja tieteellistä henkilöstöä, jolla on asiaankuuluviin tekoälyjärjestelmätyyppeihin, dataan ja datalaskentaan sekä 2 jaksossa vahvistettuihin vaatimuksiin liittyvää kokemusta ja tietämystä.

12. Notified bodies shall participate in coordination activities as referred to in Article 38. They shall also take part directly, or be represented in, European standardisation organisations, or ensure that they are aware and up to date in respect of relevant standards.

12. Ilmoitettujen laitosten on osallistuttava 38 artiklassa tarkoitettuihin koordinointitoimiin. Niiden on myös osallistuttava suoraan tai oltava edustettuina eurooppalaisissa standardointiorganisaatioissa tai varmistettava, että ne ovat tietoisia asiaa koskevista standardeista ja ajan tasalla niiden suhteen.

Article 32

32 artikla

Presumption of conformity with requirements relating to notified bodies

Olettama ilmoitettuja laitoksia koskevien vaatimusten noudattamisesta

Where a conformity assessment body demonstrates its conformity with the criteria laid down in the relevant harmonised standards or parts thereof, the references of which have been published in the Official Journal of the European Union, it shall be presumed to comply with the requirements set out in Article 31 in so far as the applicable harmonised standards cover those requirements.

Jos vaatimustenmukaisuuden arviointilaitos voi osoittaa olevansa sellaisissa asiaankuuluvissa yhdenmukaistetuissa standardeissa tai niiden osissa vahvistettujen edellytysten mukainen, joiden viitetiedot on julkaistu Euroopan unionin virallisessa lehdessä, sen oletetaan täyttävän 31 artiklassa säädetyt vaatimukset, mikäli sovellettavat yhdenmukaistetut standardit kattavat nämä vaatimukset.

Article 33

33 artikla

Subsidiaries of notified bodies and subcontracting

Ilmoitettujen laitosten tytäryhtiöt ja alihankinta

1. Where a notified body subcontracts specific tasks connected with the conformity assessment or has recourse to a subsidiary, it shall ensure that the subcontractor or the subsidiary meets the requirements laid down in Article 31, and shall inform the notifying authority accordingly.

1. Jos ilmoitettu laitos antaa tietyt vaatimustenmukaisuuden arviointiin liittyvät tehtävät alihankintaan tai käyttää tytäryhtiötä, sen on varmistettava, että alihankkija tai tytäryhtiö täyttää 31 artiklassa säädetyt vaatimukset, ja tiedotettava asiasta ilmoittamisesta vastaavalle viranomaiselle.

2. Notified bodies shall take full responsibility for the tasks performed by any subcontractors or subsidiaries.

2. Ilmoitettujen laitosten on kannettava täysi vastuu tehtävistä, jotka mitkä tahansa alihankkijat tai tytäryhtiöt suorittavat.

3. Activities may be subcontracted or carried out by a subsidiary only with the agreement of the provider. Notified bodies shall make a list of their subsidiaries publicly available.

3. Toimia voidaan antaa alihankintaan tai teettää tytäryhtiöllä ainoastaan, jos siitä on sovittu tarjoajan kanssa. Ilmoitettujen laitosten on asetettava julkisesti saataville luettelo tytäryhtiöistään.

4. The relevant documents concerning the assessment of the qualifications of the subcontractor or the subsidiary and the work carried out by them under this Regulation shall be kept at the disposal of the notifying authority for a period of five years from the termination date of the subcontracting.

4. Asiaankuuluvat asiakirjat, jotka koskevat alihankkijan tai tytäryhtiön pätevyyden arviointia sekä työtä, jonka nämä ovat suorittaneet tämän asetuksen nojalla, on pidettävä ilmoittamisesta vastaavan viranomaisen saatavilla viiden vuoden ajan alihankinnan päättymispäivästä.

Article 34

34 artikla

Operational obligations of notified bodies

Ilmoitettujen laitosten toimintaan liittyvät velvoitteet

1. Notified bodies shall verify the conformity of high-risk AI systems in accordance with the conformity assessment procedures set out in Article 43.

1. Ilmoitettujen laitosten on tarkastettava suuririskisen tekoälyjärjestelmien vaatimustenmukaisuus 43 artiklassa olevien vaatimustenmukaisuuden arviointimenettelyjen mukaisesti.

2. Notified bodies shall avoid unnecessary burdens for providers when performing their activities, and take due account of the size of the provider, the sector in which it operates, its structure and the degree of complexity of the high-risk AI system concerned, in particular in view of minimising administrative burdens and compliance costs for micro- and small enterprises within the meaning of Recommendation 2003/361/EC. The notified body shall, nevertheless, respect the degree of rigour and the level of protection required for the compliance of the high-risk AI system with the requirements of this Regulation.

2. Ilmoitettujen laitosten on vältettävä tarpeetonta rasitetta tarjoajille niiden toteuttaessa toimintaansa ja otettava asianmukaisesti huomioon tarjoajan koko, toimiala, sen rakenne ja kyseisen suuririskisen tekoälyjärjestelmän monimutkaisuus, erityisesti jotta voidaan minimoida suosituksessa 2003/361/EY tarkoitetuille mikroyrityksille ja pienille yrityksille aiheutuvat hallinnolliset rasitteet ja säännösten noudattamisesta aiheutuvat kustannukset. Ilmoitetun laitoksen on kuitenkin noudatettava sellaista tarkkuutta ja suojelun tasoa, jota suuririskisen tekoälyjärjestelmän vaatimustenmukaisuudelta edellytetään tämän asetuksen mukaisesti.

3. Notified bodies shall make available and submit upon request all relevant documentation, including the providers’ documentation, to the notifying authority referred to in Article 28 to allow that authority to conduct its assessment, designation, notification and monitoring activities, and to facilitate the assessment outlined in this Section.

3. Ilmoitettujen laitosten on asetettava saataville ja pyynnöstä toimitettava kaikki asiaankuuluvat asiakirjat, myös tarjoajien dokumentaatio, 28 artiklassa tarkoitetulle ilmoittamisesta vastaavalle viranomaiselle, jotta kyseinen viranomainen voisi suorittaa arviointi-, nimeämis-, ilmoitus- ja seurantatoimensa ja jotta helpotetaan tässä jaksossa kuvattua arviointia.

Article 35

35 artikla

Identification numbers and lists of notified bodies

Ilmoitettujen laitosten tunnusnumerot ja luettelot

1. The Commission shall assign a single identification number to each notified body, even where a body is notified under more than one Union act.

1. Komissio antaa kullekin ilmoitetulle laitokselle yhden tunnusnumeron, vaikka laitos olisi ilmoitettu useamman kuin yhden unionin säädöksen nojalla.

2. The Commission shall make publicly available the list of the bodies notified under this Regulation, including their identification numbers and the activities for which they have been notified. The Commission shall ensure that the list is kept up to date.

2. Komissio julkaisee tämän asetuksen mukaisesti ilmoitettujen laitosten luettelon, joka sisältää niiden tunnusnumerot ja toimet, joita varten ne on ilmoitettu. Komissio huolehtii luettelon pitämisestä ajan tasalla.

Article 36

36 artikla

Changes to notifications

Ilmoituksiin tehtävät muutokset

1. The notifying authority shall notify the Commission and the other Member States of any relevant changes to the notification of a notified body via the electronic notification tool referred to in Article 30(2).

1. Ilmoittamisesta vastaava viranomainen ilmoittaa komissiolle ja muille jäsenvaltioille merkityksellisistä muutoksista ilmoitettua laitosta koskevaan ilmoitukseen käyttäen 30 artiklan 2 kohdassa tarkoitettua sähköistä ilmoitusvälinettä.

2. The procedures laid down in Articles 29 and 30 shall apply to extensions of the scope of the notification.

2. Edellä 29 ja 30 artiklassa vahvistettuja menettelyjä on sovellettava ilmoituksen soveltamisalan laajentamisiin.

For changes to the notification other than extensions of its scope, the procedures laid down in paragraphs (3) to (9) shall apply.

Jäljempänä 3–9 kohdassa vahvistettuja menettelyjä on sovellettava ilmoitusta koskeviin muutoksiin, jotka eivät koske sen soveltamisalan laajentamista.

3. Where a notified body decides to cease its conformity assessment activities, it shall inform the notifying authority and the providers concerned as soon as possible and, in the case of a planned cessation, at least one year before ceasing its activities. The certificates of the notified body may remain valid for a period of nine months after cessation of the notified body’s activities, on condition that another notified body has confirmed in writing that it will assume responsibilities for the high-risk AI systems covered by those certificates. The latter notified body shall complete a full assessment of the high-risk AI systems affected by the end of that nine-month-period before issuing new certificates for those systems. Where the notified body has ceased its activity, the notifying authority shall withdraw the designation.

3. Jos ilmoitettu laitos päättää lopettaa vaatimustenmukaisuuden arviointia koskevat toimensa, sen on tiedotettava asiasta ilmoittamisesta vastaavalle viranomaiselle ja kyseisille tarjoajille mahdollisimman pian ja suunnitellun toimien lopettamisen tapauksessa vähintään yksi vuosi ennen toimien lopettamista. Ilmoitettujen laitosten todistukset voivat pysyä voimassa yhdeksän kuukauden ajan ilmoitetun laitoksen toimien lopettamisesta edellyttäen, että toinen ilmoitettu laitos on kirjallisesti vahvistanut, että se ottaa vastuulleen kyseisten todistusten kattamat suuririskiset tekoälyjärjestelmät. Viimeksi mainitun ilmoitetun laitoksen on saatettava suuririskisten tekoälyjärjestelmien täydellinen arviointi päätökseen kyseisen yhdeksän kuukauden jakson loppuun mennessä ennen uusien todistusten myöntämistä kyseisille järjestelmille. Jos ilmoitettu laitos on lopettanut toimintansa, ilmoittamisesta vastaava viranomainen peruuttaa nimeämisen.

4. Where a notifying authority has sufficient reason to consider that a notified body no longer meets the requirements laid down in Article 31, or that it is failing to fulfil its obligations, the notifying authority shall without delay investigate the matter with the utmost diligence. In that context, it shall inform the notified body concerned about the objections raised and give it the possibility to make its views known. If the notifying authority comes to the conclusion that the notified body no longer meets the requirements laid down in Article 31 or that it is failing to fulfil its obligations, it shall restrict, suspend or withdraw the designation as appropriate, depending on the seriousness of the failure to meet those requirements or fulfil those obligations. It shall immediately inform the Commission and the other Member States accordingly.

4. Jos ilmoittamisesta vastaavalla viranomaisella on riittävä syy katsoa, ettei ilmoitettu laitos enää täytä 31 artiklassa säädettyjä vaatimuksia tai ettei se täytä velvollisuuksiaan, ilmoittamisesta vastaavan viranomaisen on tutkittava asia viipymättä ja perinpohjaisesti. Sen on tässä yhteydessä ilmoitettava asianomaiselle ilmoitetulle laitokselle esitetyistä väitteistä ja annettava sille mahdollisuus esittää näkemyksensä. Jos ilmoittamisesta vastaava viranomainen tulee johtopäätökseen, ettei ilmoitettu laitos enää täytä 31 artiklassa säädettyjä vaatimuksia tai ettei se täytä velvollisuuksiaan, sen on kyseisten vaatimusten tai velvollisuuksien täyttämisen laiminlyönnin vakavuudesta riippuen rajoitettava nimeämistä taikka peruutettava se toistaiseksi tai kokonaan. Sen on ilmoitettava tästä viipymättä komissiolle ja muille jäsenvaltioille.

5. Where its designation has been suspended, restricted, or fully or partially withdrawn, the notified body shall inform the providers concerned within 10 days.

5. Jos sen nimeäminen on peruutettu määräaikaisesti, sitä on rajoitettu tai se on peruutettu kokonaan tai osittain, ilmoitetun laitoksen on tiedotettava asiasta asianomaisille tarjoajille 10 päivän kuluessa.

6. In the event of the restriction, suspension or withdrawal of a designation, the notifying authority shall take appropriate steps to ensure that the files of the notified body concerned are kept, and to make them available to notifying authorities in other Member States and to market surveillance authorities at their request.

6. Jos nimeämistä rajoitetaan tai se peruutetaan määräaikaisesti tai kokonaan, ilmoittamisesta vastaavan viranomaisen on toteutettava asianmukaiset toimenpiteet sen varmistamiseksi, että kyseisen ilmoitetun laitoksen asiakirja-aineistot säilytetään ja pidetään muiden jäsenvaltioiden ilmoittamisesta vastaavien viranomaisten ja markkinavalvontaviranomaisten saatavilla näiden pyynnöstä;

7. In the event of the restriction, suspension or withdrawal of a designation, the notifying authority shall:

7. Kun kyseessä on nimeämisen rajoittaminen, peruuttaminen määräaikaisesti tai peruuttaminen kokonaan, ilmoittamisesta vastaavan viranomaisen on

(a)

assess the impact on the certificates issued by the notified body;

arvioitava vaikutusta ilmoitetun laitoksen antamiin todistuksiin;

(b)

submit a report on its findings to the Commission and the other Member States within three months of having notified the changes to the designation;

toimitettava havainnoistaan raportti komissiolle ja muille jäsenvaltioille kolmen kuukauden kuluessa siitä, kun se on ilmoittanut nimeämiseen tehtävistä muutoksista;

(c)

require the notified body to suspend or withdraw, within a reasonable period of time determined by the authority, any certificates which were unduly issued, in order to ensure the continuing conformity of high-risk AI systems on the market;

vaadittava ilmoitettua laitosta peruuttamaan määräaikaisesti tai kokonaan todistukset, jotka on annettu perusteettomasti, viranomaisen määrittelemän kohtuullisen ajanjakson kuluessa markkinoilla olevien suuririskisten tekoälyjärjestelmien jatkuvan vaatimustenmukaisuuden varmistamiseksi;

(d)

inform the Commission and the Member States about certificates the suspension or withdrawal of which it has required;

ilmoitettava komissiolle ja jäsenvaltioille todistuksista, joiden peruuttamista määräaikaisesti tai peruuttamista kokonaan se on vaatinut.

(e)

provide the national competent authorities of the Member State in which the provider has its registered place of business with all relevant information about the certificates of which it has required the suspension or withdrawal; that authority shall take the appropriate measures, where necessary, to avoid a potential risk to health, safety or fundamental rights.

annettava sen jäsenvaltion kansallisille toimivaltaisille viranomaisille, jossa tarjoajalla on sääntömääräinen kotipaikkansa, kaikki asiaankuuluvat tiedot todistuksista, joiden peruuttamista määräaikaisesti tai kokonaan se on vaatinut. kyseisen viranomaisen on tarvittaessa toteutettava asianmukaiset toimenpiteet terveyteen, turvallisuuteen tai perusoikeuksiin kohdistuvan mahdollisen riskin välttämiseksi.

8. With the exception of certificates unduly issued, and where a designation has been suspended or restricted, the certificates shall remain valid in one of the following circumstances:

8. Lukuun ottamatta perusteettomasti annettuja todistuksia ja jos nimeäminen on peruttu määräaikaisesti tai sitä on rajoitettu, todistukset pysyvät edelleen voimassa jonkin seuraavan edellytyksen toteutuessa:

(a)

the notifying authority has confirmed, within one month of the suspension or restriction, that there is no risk to health, safety or fundamental rights in relation to certificates affected by the suspension or restriction, and the notifying authority has outlined a timeline for actions to remedy the suspension or restriction; or

ilmoittamisesta vastaava viranomainen on vahvistanut kuukauden kuluessa määräaikaisesta peruuttamisesta tai rajoittamisesta, että todistuksiin, joihin määräaikainen peruuttaminen tai rajoittaminen vaikuttaa, ei liity terveydelle, turvallisuudelle tai perusoikeuksille aiheutuvaa riskiä, ja ilmoittamisesta vastaava viranomainen on esittänyt aikataulun ja toimet määräaikaisen peruuttamisen tai rajoittamisen korjaamiseksi; tai

(b)

the notifying authority has confirmed that no certificates relevant to the suspension will be issued, amended or re-issued during the course of the suspension or restriction, and states whether the notified body has the capability of continuing to monitor and remain responsible for existing certificates issued for the period of the suspension or restriction; in the event that the notifying authority determines that the notified body does not have the capability to support existing certificates issued, the provider of the system covered by the certificate shall confirm in writing to the national competent authorities of the Member State in which it has its registered place of business, within three months of the suspension or restriction, that another qualified notified body is temporarily assuming the functions of the notified body to monitor and remain responsible for the certificates during the period of suspension or restriction.

ilmoittamisesta vastaava viranomainen on vahvistanut, että määräaikaisen peruuttamisen kannalta merkityksellisiä todistuksia ei myönnetä, muuteta tai uusita määräaikaisen peruuttamisen tai rajoittamisen aikana ja toteaa, pystyykö ilmoitettu laitos edelleen seuraamaan olemassa olevia myönnettyjä todistuksia määräaikaisen peruuttamisen tai rajoittamisen aikana ja ottamaan niistä vastuun; jos ilmoittamisesta vastaava viranomainen toteaa, että ilmoitettu laitos ei pysty ottamaan vastuuta olemassa olevista myönnetyistä todistuksista, on todistuksen kattaman järjestelmän tarjoajan vahvistettava kirjallisesti sen jäsenvaltion kansallisille toimivaltaisille viranomaisille, jossa sillä on sääntömääräinen kotipaikkansa, kolmen kuukauden kuluessa määräaikaisesta peruuttamisesta tai rajoittamisesta, että toinen pätevä ilmoitettu laitos ottaa väliaikaisesti hoitaakseen ilmoitetun laitoksen tehtävät seurata todistuksia ja ottaa niistä vastuu määräaikaisen peruuttamisen tai rajoittamisen aikana.

9. With the exception of certificates unduly issued, and where a designation has been withdrawn, the certificates shall remain valid for a period of nine months under the following circumstances:

9. Lukuun ottamatta perusteettomasti annettuja todistuksia ja jos nimeäminen on peruttu, todistukset pysyvät voimassa yhdeksän kuukauden ajan seuraavin edellytyksin:

(a)

the national competent authority of the Member State in which the provider of the high-risk AI system covered by the certificate has its registered place of business has confirmed that there is no risk to health, safety or fundamental rights associated with the high-risk AI systems concerned; and

sen jäsenvaltion kansallinen toimivaltainen viranomainen, jossa todistuksen kattaman suuririskisen tekoälyjärjestelmän tarjoajalla on sääntömääräinen kotipaikkansa, on vahvistanut, että kyseisiin suuririskisiin tekoälyjärjestelmiin ei liity terveyteen, turvallisuuteen tai perusoikeuksiin kohdistuvia riskejä; sekä

(b)

another notified body has confirmed in writing that it will assume immediate responsibility for those AI systems and completes its assessment within 12 months of the withdrawal of the designation.

toinen ilmoitettu laitos on kirjallisesti vahvistanut, että se ottaa välittömästi vastuulleen kyseiset tekoälyjärjestelmät ja saattaa niiden arvioinnin päätöksen 12 kuukauden kuluessa nimeämisen peruuttamisesta.

In the circumstances referred to in the first subparagraph, the national competent authority of the Member State in which the provider of the system covered by the certificate has its place of business may extend the provisional validity of the certificates for additional periods of three months, which shall not exceed 12 months in total.

Ensimmäisessä alakohdassa tarkoitetuissa olosuhteissa sen jäsenvaltion kansallinen toimivaltainen viranomainen, jossa todistuksen kattaman järjestelmän tarjoajalla on kotipaikkansa, voi jatkaa todistusten väliaikaista voimassaoloa kolmen kuukauden pituisilla ajanjaksoilla, joiden kokonaiskesto ei saa ylittää 12:ta kuukautta.

The national competent authority or the notified body assuming the functions of the notified body affected by the change of designation shall immediately inform the Commission, the other Member States and the other notified bodies thereof.

Kansallisen toimivaltaisen viranomaisen tai ilmoitetun laitoksen, joka ottaa hoitaakseen nimeämismuutoksen kohteena olevan ilmoitetun laitoksen tehtävät, on viipymättä ilmoitettava asiasta komissiolle, muille jäsenvaltioille ja muille ilmoitetuille laitoksille.

Article 37

37 artikla

Challenge to the competence of notified bodies

Ilmoitettujen laitosten pätevyyden riitauttaminen

1. The Commission shall, where necessary, investigate all cases where there are reasons to doubt the competence of a notified body or the continued fulfilment by a notified body of the requirements laid down in Article 31 and of its applicable responsibilities.

1. Komissio tutkii tarvittaessa kaikki tapaukset, joissa on syytä epäillä laitoksen pätevyyttä tai sitä, täyttääkö ilmoitettu laitos edelleen 31 artiklassa vahvistetut vaatimukset ja siihen sovellettavat velvollisuudet.

2. The notifying authority shall provide the Commission, on request, with all relevant information relating to the notification or the maintenance of the competence of the notified body concerned.

2. Ilmoittamisesta vastaavan viranomaisen on toimitettava komissiolle pyynnöstä kaikki merkitykselliset tiedot, jotka koskevat kyseisen ilmoitetun laitoksen ilmoittamista tai sen pätevyyden ylläpitoa.

3. The Commission shall ensure that all sensitive information obtained in the course of its investigations pursuant to this Article is treated confidentially in accordance with Article 78.

3. Komissio varmistaa, että kaikkia sen tämän artiklan mukaisten tutkimusten yhteydessä saamia arkaluontoisia tietoja käsitellään luottamuksellisesti 78 artiklan mukaisesti.

4. Where the Commission ascertains that a notified body does not meet or no longer meets the requirements for its notification, it shall inform the notifying Member State accordingly and request it to take the necessary corrective measures, including the suspension or withdrawal of the notification if necessary. Where the Member State fails to take the necessary corrective measures, the Commission may, by means of an implementing act, suspend, restrict or withdraw the designation. That implementing act shall be adopted in accordance with the examination procedure referred to in Article 98(2).

4. Jos komissio toteaa, että ilmoitettu laitos ei täytä tai ei enää täytä sen ilmoittamiselle asetettuja vaatimuksia, se ilmoittaa asiasta ilmoituksen tehneelle jäsenvaltiolle asianmukaisesti ja pyytää sitä ryhtymään tarvittaviin korjaaviin toimenpiteisiin, mukaan lukien tarvittaessa ilmoituksen peruuttaminen toistaiseksi tai kokonaan. Jos jäsenvaltio ei toteuta tarvittavia korjaavia toimenpiteitä, komissio voi täytäntöönpanosäädöksellä peruuttaa nimeämisen toistaiseksi, rajoittaa sitä tai peruuttaa sen kokonaan. Tämä täytäntöönpanosäädös hyväksytään 98 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

Article 38

38 artikla

Coordination of notified bodies

Ilmoitettujen laitosten koordinointi

1. The Commission shall ensure that, with regard to high-risk AI systems, appropriate coordination and cooperation between notified bodies active in the conformity assessment procedures pursuant to this Regulation are put in place and properly operated in the form of a sectoral group of notified bodies.

1. Komissio varmistaa, että suuririskisten tekoälyjärjestelmien osalta otetaan käyttöön asianmukainen koordinointi ja yhteistyö sellaisten ilmoitettujen laitosten välillä, jotka toimivat vaatimustenmukaisuuden arviointimenettelyissä tämän asetuksen mukaisesti, ja että koordinointi ja yhteistyö toteutetaan asianmukaisesti ilmoitettujen laitosten alakohtaisen ryhmän muodossa.

2. Each notifying authority shall ensure that the bodies notified by it participate in the work of a group referred to in paragraph 1, directly or through designated representatives.

2. Jokaisen ilmoittamisesta vastaavan viranomaisen on varmistettava, että sen ilmoittamat laitokset osallistuvat kohdassa 1 tarkoitetun ryhmän työhön suoraan tai nimettyjen edustajien välityksellä.

3. The Commission shall provide for the exchange of knowledge and best practices between notifying authorities.

3. Komissio huolehtii osaamisen ja parhaiden käytäntöjen vaihdosta ilmoittamisesta vastaavien viranomaisten välillä.

Article 39

39 artikla

Conformity assessment bodies of third countries

Kolmansien maiden vaatimustenmukaisuuden arviointilaitokset

Conformity assessment bodies established under the law of a third country with which the Union has concluded an agreement may be authorised to carry out the activities of notified bodies under this Regulation, provided that they meet the requirements laid down in Article 31 or they ensure an equivalent level of compliance.

Sellaisen kolmannen maan lainsäädännön mukaisesti perustetut vaatimustenmukaisuuden arviointilaitokset, jonka kanssa unioni on tehnyt sopimuksen, voidaan valtuuttaa suorittamaan ilmoitettujen laitosten toimia tämän asetuksen mukaisesti edellyttäen, että ne täyttävät 31 artiklassa säädetyt vaatimukset tai varmistavat vastaavan vaatimustenmukaisuuden tason.

SECTION 5

5 JAKSO

Standards, conformity assessment, certificates, registration

Standardit, vaatimustenmukaisuuden arviointi, todistukset, rekisteröinti

Article 40

40 artikla

Harmonised standards and standardisation deliverables

Yhdenmukaistetut standardit ja standardointituotteet

1. High-risk AI systems or general-purpose AI models which are in conformity with harmonised standards or parts thereof the references of which have been published in the Official Journal of the European Union in accordance with Regulation (EU) No 1025/2012 shall be presumed to be in conformity with the requirements set out in Section 2 of this Chapter or, as applicable, with the obligations set out in of Chapter V, Sections 2 and 3, of this Regulation, to the extent that those standards cover those requirements or obligations.

1. Suuririskisiä tekoälyjärjestelmiä tai yleiskäyttöisiä tekoälymalleja, jotka ovat sellaisten yhdenmukaistettujen standardien tai niiden osien mukaisia, joiden viitetiedot on julkaistu Euroopan unionin virallisessa lehdessä asetuksen (EU) N:o 1025/2012 mukaisesti, on pidettävä tämän luvun 2 jaksossa vahvistettujen vaatimusten mukaisina tai tapauksen mukaan tämän asetuksen V luvun 2 ja 3 jaksossa vahvistettujen velvoitteiden mukaisina siltä osin kuin kyseiset standardit kattavat nämä vaatimukset tai velvoitteet.

2. In accordance with Article 10 of Regulation (EU) No 1025/2012, the Commission shall issue, without undue delay, standardisation requests covering all requirements set out in Section 2 of this Chapter and, as applicable, standardisation requests covering obligations set out in Chapter V, Sections 2 and 3, of this Regulation. The standardisation request shall also ask for deliverables on reporting and documentation processes to improve AI systems’ resource performance, such as reducing the high-risk AI system’s consumption of energy and of other resources during its lifecycle, and on the energy-efficient development of general-purpose AI models. When preparing a standardisation request, the Commission shall consult the Board and relevant stakeholders, including the advisory forum.

2. Asetuksen (EU) N:o 1025/2012 10 artiklan mukaisesti komissio esittää ilman aiheetonta viivytystä standardointipyyntöjä, jotka kattavat kaikki tämän luvun 2 jaksossa vahvistetut vaatimukset, ja tapauksen mukaan standardointipyyntöjä, jotka kattavat tämän asetuksen V luvun 2 ja 3 jaksossa säädetyt velvoitteet. Standardointipyynnössä on myös pyydettävä tuotteita raportointi- ja dokumentointiprosesseista, joilla parannetaan tekoälyjärjestelmien resurssitehokkuutta, kuten vähennetään suuririskisen tekoälyjärjestelmän energian ja muiden resurssien kulutusta sen elinkaaren aikana sekä kehitetään energiatehokkaasti yleiskäyttöisiä tekoälymalleja. Standardointipyyntöä valmistellessaan komissio kuulee tekoälylautakuntaa ja asiaankuuluvia sidosryhmiä, myös neuvoa-antavaa foorumia.

When issuing a standardisation request to European standardisation organisations, the Commission shall specify that standards have to be clear, consistent, including with the standards developed in the various sectors for products covered by the existing Union harmonisation legislation listed in Annex I, and aiming to ensure that high-risk AI systems or general-purpose AI models placed on the market or put into service in the Union meet the relevant requirements or obligations laid down in this Regulation.

Esittäessään standardointipyynnön eurooppalaisille standardointiorganisaatioille komissio täsmentää, että standardien on oltava selkeitä, yhdenmukaisia, myös eri aloilla kehitetyt standardit liitteessä I luetellun voimassa olevan unionin yhdenmukaistamislainsäädännön soveltamisalaan kuuluville tuotteille, ja niillä on pyrittävä varmistamaan, että unionissa markkinoille saatetut tai käyttöön otetut suuririskiset tekoälyjärjestelmät tai yleiskäyttöiset tekoälymallit täyttävät tässä asetuksessa säädetyt asiaankuuluvat vaatimukset tai velvoitteet.

The Commission shall request the European standardisation organisations to provide evidence of their best efforts to fulfil the objectives referred to in the first and the second subparagraph of this paragraph in accordance with Article 24 of Regulation (EU) No 1025/2012.

Komissio pyytää eurooppalaisia standardointiorganisaatioita esittämään asetuksen (EU) N:o 1025/2012 24 artiklan mukaisesti näyttöä siitä, että ne ovat parhaansa mukaan pyrkineet saavuttamaan tämän kohdan ensimmäisessä ja toisessa alakohdassa tarkoitetut tavoitteet.

3. The participants in the standardisation process shall seek to promote investment and innovation in AI, including through increasing legal certainty, as well as the competitiveness and growth of the Union market, to contribute to strengthening global cooperation on standardisation and taking into account existing international standards in the field of AI that are consistent with Union values, fundamental rights and interests, and to enhance multi-stakeholder governance ensuring a balanced representation of interests and the effective participation of all relevant stakeholders in accordance with Articles 5, 6, and 7 of Regulation (EU) No 1025/2012.

3. Standardointiprosessiin osallistuvien on pyrittävä edistämään tekoälyalan investointeja ja innovointia, myös lisäämällä oikeusvarmuutta, sekä unionin markkinoiden kilpailukykyä ja kasvua sekä osaltaan edistämään maailmanlaajuisen standardointiyhteistyön lujittamista ja sellaisten olemassa olevien tekoälyalan kansainvälisten standardien huomioon ottamista, jotka ovat unionin arvojen, perusoikeuksien ja etujen mukaisia, ja edistämään monisidosryhmäistä hallintoa varmistaen etujen tasapainoinen edustus ja kaikkien asiaankuuluvien sidosryhmien tosiasiallinen osallistuminen asetuksen (EU) N:o 1025/2012 5, 6 ja 7 artiklan mukaisesti.

Article 41

41 artikla

Common specifications

Yhteiset eritelmät

1. The Commission may adopt, implementing acts establishing common specifications for the requirements set out in Section 2 of this Chapter or, as applicable, for the obligations set out in Sections 2 and 3 of Chapter V where the following conditions have been fulfilled:

1. Komissio voi antaa täytäntöönpanosäädöksiä, joilla vahvistetaan yhteiset eritelmät tämän luvun 2 jaksossa säädettyjä vaatimuksia tai tapauksen mukaan V luvun 2 ja 3 jaksossa säädettyjä velvoitteita varten, jos seuraavat edellytykset täyttyvät:

(a)

the Commission has requested, pursuant to Article 10(1) of Regulation (EU) No 1025/2012, one or more European standardisation organisations to draft a harmonised standard for the requirements set out in Section 2 of this Chapter, or, as applicable, for the obligations set out in Sections 2 and 3 of Chapter V, and:

komissio on pyytänyt asetuksen (EU) N:o 1025/2012 10 artiklan 1 kohdan nojalla yhtä tai useampaa eurooppalaista standardointiorganisaatiota laatimaan yhdenmukaistetun standardin tämän luvun 2 jaksossa vahvistettuja vaatimuksia varten tai tapauksen mukaan V luvun 2 ja 3 jaksossa säädettyjä velvoitteita varten:

(i)

the request has not been accepted by any of the European standardisation organisations; or

yksikään eurooppalainen standardointiorganisaatio ei ole hyväksynyt pyyntöä; tai

(ii)

the harmonised standards addressing that request are not delivered within the deadline set in accordance with Article 10(1) of Regulation (EU) No 1025/2012; or

ii)

kyseiseen pyyntöön liittyviä eurooppalaisia yhdenmukaistettuja standardeja ei ole toimitettu asetuksen (EU) N:o 1025/2012 10 artiklan 1 kohdan mukaisesti asetetussa määräajassa; tai

(iii)

the relevant harmonised standards insufficiently address fundamental rights concerns; or

iii)

asiaankuuluvissa yhdenmukaistetuissa standardeissa ei oteta riittävästi huomioon perusoikeuksiin liittyviä huolenaiheita; tai

(iv)

the harmonised standards do not comply with the request; and

iv)

yhdenmukaistetut standardit eivät ole pyynnön mukaisia; ja

(b)

no reference to harmonised standards covering the requirements referred to in Section 2 of this Chapter or, as applicable, the obligations referred to in Sections 2 and 3 of Chapter V has been published in the Official Journal of the European Union in accordance with Regulation (EU) No 1025/2012, and no such reference is expected to be published within a reasonable period.

tämän luvun 2 jaksossa tarkoitetut vaatimukset tai tapauksen mukaan V luvun 2 ja 3 jaksossa säädetyt velvoitteet kattavien yhdenmukaistettujen standardien viitetietoja ei ole julkaistu Euroopan unionin virallisessa lehdessä asetuksen (EU) N:o 1025/2012 mukaisesti, eikä ole odotettavissa, että tällaiset viitetiedot julkaistaan kohtuullisen ajan kuluessa.

When drafting the common specifications, the Commission shall consult the advisory forum referred to in Article 67.

Yhteisiä eritelmiä laatiessaan komissio kuulee 67 artiklassa tarkoitettua neuvoa-antavaa ryhmää.

The implementing acts referred to in the first subparagraph of this paragraph shall be adopted in accordance with the examination procedure referred to in Article 98(2).

Tämän kohdan ensimmäisessä alakohdassa tarkoitetut täytäntöönpanosäädökset hyväksytään 98 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

2. Before preparing a draft implementing act, the Commission shall inform the committee referred to in Article 22 of Regulation (EU) No 1025/2012 that it considers the conditions laid down in paragraph 1 of this Article to be fulfilled.

2. Ennen kuin komissio laatii ehdotuksen täytäntöönpanosäädökseksi, se ilmoittaa asetuksen (EU) N:o 1025/2012 22 artiklassa tarkoitetulle komitealle katsovansa, että tämän artiklan 1 kohdassa säädetyt edellytykset täyttyvät.

3. High-risk AI systems or general-purpose AI models which are in conformity with the common specifications referred to in paragraph 1, or parts of those specifications, shall be presumed to be in conformity with the requirements set out in Section 2 of this Chapter or, as applicable, to comply with the obligations referred to in Sections 2 and 3 of Chapter V, to the extent those common specifications cover those requirements or those obligations.

3. Suuririskisiä tekoälyjärjestelmiä ja yleiskäyttöisiä tekoälymalleja, jotka ovat 1 kohdassa tarkoitettujen yhteisten eritelmien tai kyseisten eritelmien osien mukaisia, on pidettävä tämän luvun 2 jaksossa vahvistettujen vaatimusten tai tapauksen mukaan V luvun 2 ja 3 jaksossa tarkoitettujen velvoitteiden mukaisina siltä osin kuin kyseiset yhteiset eritelmät kattavat nämä vaatimukset tai velvoitteet.

4. Where a harmonised standard is adopted by a European standardisation organisation and proposed to the Commission for the publication of its reference in the Official Journal of the European Union, the Commission shall assess the harmonised standard in accordance with Regulation (EU) No 1025/2012. When reference to a harmonised standard is published in the Official Journal of the European Union, the Commission shall repeal the implementing acts referred to in paragraph 1, or parts thereof which cover the same requirements set out in Section 2 of this Chapter or, as applicable, the same obligations set out in Sections 2 and 3 of Chapter V.

4. Jos eurooppalainen standardointiorganisaatio vahvistaa yhdenmukaistetun standardin ja ehdottaa komissiolle sen viitetietojen julkaisemista Euroopan unionin virallisessa lehdessä, komissio arvioi yhdenmukaistetun standardin asetuksen (EU) N:o 1025/2012 mukaisesti. Kun yhdenmukaistetun standardin viitetiedot julkaistaan Euroopan unionin virallisessa lehdessä, komissio kumoaa 1 kohdassa tarkoitetut täytäntöönpanosäädökset tai niiden osat, jotka kattavat samat tämän luvun 2 jaksossa vahvistetut vaatimukset tai tapauksen mukaan samat V luvun 2 ja 3 jaksossa säädetyt velvoitteet.

5. Where providers of high-risk AI systems or general-purpose AI models do not comply with the common specifications referred to in paragraph 1, they shall duly justify that they have adopted technical solutions that meet the requirements referred to in Section 2 of this Chapter or, as applicable, comply with the obligations set out in Sections 2 and 3 of Chapter V to a level at least equivalent thereto.

5. Jos suuririskisten tekoälyjärjestelmien tai yleiskäyttöisten tekoälymallien tarjoajat eivät noudata 1 kohdassa tarkoitettuja yhteisiä eritelmiä, niiden on perusteltava asianmukaisesti, että ne ovat ottaneet käyttöön tämän luvun 2 jaksossa vahvistetut vaatimukset tai tapauksen mukaan V luvun 2 ja 3 jaksossa säädetyt velvoitteet täyttäviä, vähintään vastaavan tasoisia teknisiä ratkaisuja.

6. Where a Member State considers that a common specification does not entirely meet the requirements set out in Section 2 or, as applicable, comply with obligations set out in Sections 2 and 3 of Chapter V, it shall inform the Commission thereof with a detailed explanation. The Commission shall assess that information and, if appropriate, amend the implementing act establishing the common specification concerned.

6. Jos jäsenvaltio katsoo, että yhteinen eritelmä ei täysin täytä 2 jaksossa vahvistettuja vaatimuksia tai tapauksen mukaan V luvun 2 ja 3 jaksossa säädettyjä velvoitteita, sen on ilmoitettava asiasta komissiolle toimittamalla yksityiskohtainen selvitys. Komissio arvioi kyseiset tiedot ja muuttaa tarvittaessa täytäntöönpanosäädöstä, jolla kyseinen yhteinen eritelmä vahvistetaan.

Article 42

42 artikla

Presumption of conformity with certain requirements

Olettama tiettyjen vaatimusten noudattamisesta

1. High-risk AI systems that have been trained and tested on data reflecting the specific geographical, behavioural, contextual or functional setting within which they are intended to be used shall be presumed to comply with the relevant requirements laid down in Article 10(4).

1. Suuririskisten tekoälyjärjestelmien, jotka on koulutettu ja testattu datalla, joka ilmentää erityistä maantieteellistä, käyttäytymiseen liittyvää, viitekehyksenä olevaa tai toiminnallista ympäristöä, jossa järjestelmiä on tarkoitus käyttää, on katsottava täyttävän 10 artiklan 4 kohdassa vahvistetut asiaankuuluvat vaatimukset.

2. High-risk AI systems that have been certified or for which a statement of conformity has been issued under a cybersecurity scheme pursuant to Regulation (EU) 2019/881 and the references of which have been published in the Official Journal of the European Union shall be presumed to comply with the cybersecurity requirements set out in Article 15 of this Regulation in so far as the cybersecurity certificate or statement of conformity or parts thereof cover those requirements.

2. Suuririskisten tekoälyjärjestelmien, jotka on sertifioitu tai joista on annettu vaatimustenmukaisuusilmoitus asetuksen (EU) 2019/881 mukaisessa kyberturvallisuusjärjestelmässä ja joiden viitetiedot on julkaistu Euroopan unionin virallisessa lehdessä, oletetaan täyttävän tämän asetuksen 15 artiklassa vahvistetut kyberturvallisuusvaatimukset, siltä osin kuin kyberturvallisuussertifikaatti tai vaatimustenmukaisuusilmoitus tai niiden osat kattavat kyseiset vaatimukset.

Article 43

43 artikla

Conformity assessment

Vaatimustenmukaisuuden arviointi

1. For high-risk AI systems listed in point 1 of Annex III, where, in demonstrating the compliance of a high-risk AI system with the requirements set out in Section 2, the provider has applied harmonised standards referred to in Article 40, or, where applicable, common specifications referred to in Article 41, the provider shall opt for one of the following conformity assessment procedures based on:

1. Kun tarjoaja on liitteessä III olevassa 1 kohdassa lueteltujen suuririskisten tekoälyjärjestelmien osalta soveltanut 40 artiklassa tarkoitettuja yhdenmukaistettuja standardeja tai mahdollisuuksien mukaan 41 artiklassa tarkoitettuja yhteisiä eritelmiä osoittaakseen, että suuririskinen tekoälyjärjestelmä on 2 jaksossa vahvistettujen vaatimusten mukainen, tarjoajan on valittava jompikumpi seuraavista vaatimustenmukaisuuden arviointimenettelyistä, jotka perustuvat seuraaviin:

(a)

the internal control referred to in Annex VI; or

liitteessä VI tarkoitettu sisäinen valvonta; tai

(b)

the assessment of the quality management system and the assessment of the technical documentation, with the involvement of a notified body, referred to in Annex VII.

liitteessä VII tarkoitettu laadunhallintajärjestelmän ja teknisen dokumentaation arviointi, johon osallistuu ilmoitettu laitos.

In demonstrating the compliance of a high-risk AI system with the requirements set out in Section 2, the provider shall follow the conformity assessment procedure set out in Annex VII where:

Osoittaessaan, että suuririskinen tekoälyjärjestelmä on 2 jaksossa vahvistettujen vaatimusten mukainen, tarjoajan on noudatettava liitteessä VII vahvistettua vaatimustenmukaisuuden arviointimenettelyä, jos

(a)

harmonised standards referred to in Article 40 do not exist, and common specifications referred to in Article 41 are not available;

40 artiklassa tarkoitettuja yhdenmukaistettuja standardeja ei ole olemassa eikä 41 artiklassa tarkoitettuja yhteisiä eritelmiä ole saatavilla;

(b)

the provider has not applied, or has applied only part of, the harmonised standard;

tarjoaja ei ole soveltanut tai on soveltanut vain osaa yhdenmukaistetusta standardista;

(c)

the common specifications referred to in point (a) exist, but the provider has not applied them;

edellä a alakohdassa tarkoitetut yhteiset eritelmät ovat olemassa, mutta tarjoaja ei ole soveltanut niitä;

(d)

one or more of the harmonised standards referred to in point (a) has been published with a restriction, and only on the part of the standard that was restricted.

yksi tai useampi a alakohdassa tarkoitetuista yhdenmukaistetuista standardeista on julkaistu rajoitetusti ja vain standardin siltä osin, jota rajoitus koskee.

For the purposes of the conformity assessment procedure referred to in Annex VII, the provider may choose any of the notified bodies. However, where the high-risk AI system is intended to be put into service by law enforcement, immigration or asylum authorities or by Union institutions, bodies, offices or agencies, the market surveillance authority referred to in Article 74(8) or (9), as applicable, shall act as a notified body.

Tarjoaja voi valita minkä tahansa ilmoitetuista laitoksista liitteessä VII tarkoitettua vaatimustenmukaisuuden arviointimenettelyä varten. Kuitenkin jos lainvalvonta-, maahanmuutto- tai turvapaikkaviranomaisten tai unionin toimielinten, elinten, toimistojen tai virastojen on tarkoitus ottaa suuririskinen tekoälyjärjestelmä käyttöön, ilmoitettuna laitoksena toimii tapauksen mukaan 74 artiklan 8 tai 9 kohdassa tarkoitettu markkinavalvontaviranomainen.

2. For high-risk AI systems referred to in points 2 to 8 of Annex III, providers shall follow the conformity assessment procedure based on internal control as referred to in Annex VI, which does not provide for the involvement of a notified body.

2. Liitteessä III olevassa 2–8 kohdassa tarkoitettujen suuririskisten tekoälyjärjestelmien osalta tarjoajien on noudatettava liitteessä VI tarkoitettua sisäiseen valvontaan perustuvaa vaatimustenmukaisuuden arviointimenettelyä, jossa ei edellytetä ilmoitetun laitoksen osallistumista.

3. For high-risk AI systems covered by the Union harmonisation legislation listed in Section A of Annex I, the provider shall follow the relevant conformity assessment procedure as required under those legal acts. The requirements set out in Section 2 of this Chapter shall apply to those high-risk AI systems and shall be part of that assessment. Points 4.3., 4.4., 4.5. and the fifth paragraph of point 4.6 of Annex VII shall also apply.

3. Sellaisten suuririskisten tekoälyjärjestelmien osalta, joihin sovelletaan liitteessä I olevassa A jaksossa lueteltua unionin yhdenmukaistamislainsäädäntöä, tarjoajan on noudatettava kyseisissä säädöksissä edellytettyä asiaankuuluvaa vaatimustenmukaisuuden arviointimenettelyä. Kyseisiin suuririskisiin tekoälyjärjestelmiin sovelletaan tämän luvun 2 jaksossa vahvistettuja vaatimuksia, ja niiden on oltava osa tätä arviointia. Lisäksi sovelletaan liitteessä VII olevaa 4.3, 4.4 ja 4.5 kohtaa sekä 4.6 kohdan viidettä kohtaa.

For the purposes of that assessment, notified bodies which have been notified under those legal acts shall be entitled to control the conformity of the high-risk AI systems with the requirements set out in Section 2, provided that the compliance of those notified bodies with requirements laid down in Article 31(4), (5), (10) and (11) has been assessed in the context of the notification procedure under those legal acts.

Tätä arviointia varten ilmoitetuilla laitoksilla, jotka on ilmoitettu kyseisten säädösten mukaisesti, on oikeus valvoa, että suuririskiset tekoälyjärjestelmät ovat 2 jaksossa vahvistettujen vaatimusten mukaisia, edellyttäen, että sitä, että kyseiset ilmoitut laitokset täyttävät 31 artiklan 4, 5, 10 ja 11 kohdassa vahvistetut vaatimukset, on arvioitu kyseisten säädösten mukaisen ilmoitusmenettelyn yhteydessä.

Where a legal act listed in Section A of Annex I enables the product manufacturer to opt out from a third-party conformity assessment, provided that that manufacturer has applied all harmonised standards covering all the relevant requirements, that manufacturer may use that option only if it has also applied harmonised standards or, where applicable, common specifications referred to in Article 41, covering all requirements set out in Section 2 of this Chapter.

Jos liitteessä I olevassa A jaksossa luetellun säädöksen nojalla tuotteen valmistaja voi olla soveltamatta kolmannen osapuolen suorittamaa vaatimustenmukaisuuden arviointia ja edellyttäen, että kyseinen valmistaja on soveltanut kaikkia yhdenmukaistettuja standardeja, jotka kattavat kaikki asiaankuuluvat vaatimukset, kyseinen valmistaja voi käyttää tätä vaihtoehtoa ainoastaan, jos se on myös soveltanut yhdenmukaistettuja standardeja tai mahdollisuuksien mukaan 41 artiklassa tarkoitettuja yhteisiä eritelmiä, jotka kattavat kaikki tämän luvun 2 jaksossa vahvistetut vaatimukset.

4. High-risk AI systems that have already been subject to a conformity assessment procedure shall undergo a new conformity assessment procedure in the event of a substantial modification, regardless of whether the modified system is intended to be further distributed or continues to be used by the current deployer.

4. Suuririskisille tekoälyjärjestelmille, joille on jo tehty vaatimustenmukaisuuden arviointimenettely, on tehtävä uusi vaatimustenmukaisuuden arviointimenettely silloin, kun niitä muutetaan merkittävästi, riippumatta siitä, onko muutettua järjestelmää tarkoitus jaella edelleen vai jatkaako nykyinen käyttöönottaja sen käyttöä.

For high-risk AI systems that continue to learn after being placed on the market or put into service, changes to the high-risk AI system and its performance that have been pre-determined by the provider at the moment of the initial conformity assessment and are part of the information contained in the technical documentation referred to in point 2(f) of Annex IV, shall not constitute a substantial modification.

Sellaisten suuririskisten tekoälyjärjestelmien osalta, jotka jatkavat oppimista markkinoille saattamisen tai käyttöönoton jälkeen, suuririskiseen tekoälyjärjestelmään ja sen suorituskykyyn tehtävät muutokset, jotka tarjoaja on määritellyt ennalta ensimmäisen vaatimustenmukaisuuden arvioinnin yhteydessä ja jotka ovat osa liitteessä IV olevan 2 kohdan f alakohdassa tarkoitettuja tekniseen dokumentaatioon sisältyviä tietoja, eivät muodosta merkittävää muutosta.

5. The Commission is empowered to adopt delegated acts in accordance with Article 97 in order to amend Annexes VI and VII by updating them in light of technical progress.

5. Siirretään komissiolle valta antaa delegoituja säädöksiä 97 artiklan mukaisesti liitteiden VI ja VII muuttamiseksi niiden saattamiseksi ajan tasalle tekniikan kehityksen huomioon ottamiseksi.

6. The Commission is empowered to adopt delegated acts in accordance with Article 97 in order to amend paragraphs 1 and 2 of this Article in order to subject high-risk AI systems referred to in points 2 to 8 of Annex III to the conformity assessment procedure referred to in Annex VII or parts thereof. The Commission shall adopt such delegated acts taking into account the effectiveness of the conformity assessment procedure based on internal control referred to in Annex VI in preventing or minimising the risks to health and safety and protection of fundamental rights posed by such systems, as well as the availability of adequate capacities and resources among notified bodies.

6. Siirretään komissiolle valta antaa delegoituja säädöksiä 97 artiklan mukaisesti tämän artiklan 1 ja 2 kohdan muuttamiseksi, jotta liitteessä III olevassa 2–8 kohdassa tarkoitettuihin suuririskisiin tekoälyjärjestelmiin voidaan soveltaa liitteessä VII tarkoitettua vaatimustenmukaisuuden arviointimenettelyä tai sen osia. Komissio ottaa tällaisia delegoituja säädöksiä hyväksyessään huomioon liitteessä VI tarkoitetun sisäiseen valvontaan perustuvan vaatimustenmukaisuuden arviointimenettelyn tehokkuuden tällaisista järjestelmistä terveydelle ja turvallisuudelle sekä perusoikeuksien suojelulle aiheutuvien riskien ehkäisemisessä tai minimoimisessa sekä riittävien valmiuksien ja resurssien saatavuuden ilmoitetuissa laitoksissa.

Article 44

44 artikla

Certificates

Todistukset

1. Certificates issued by notified bodies in accordance with Annex VII shall be drawn-up in a language which can be easily understood by the relevant authorities in the Member State in which the notified body is established.

1. Ilmoitettujen laitosten liitteen VII mukaisesti antamien todistusten on oltava laadittu kielellä, jota sen jäsenvaltion, johon ilmoitettu laitos on sijoittautunut, asiaankuuluvat viranomaiset ymmärtävät helposti.

2. Certificates shall be valid for the period they indicate, which shall not exceed five years for AI systems covered by Annex I, and four years for AI systems covered by Annex III. At the request of the provider, the validity of a certificate may be extended for further periods, each not exceeding five years for AI systems covered by Annex I, and four years for AI systems covered by Annex III, based on a re-assessment in accordance with the applicable conformity assessment procedures. Any supplement to a certificate shall remain valid, provided that the certificate which it supplements is valid.

2. Todistukset ovat voimassa niissä mainitun ajan, joka saa olla enintään viisi vuotta liitteen I soveltamisalaan kuuluvien tekoälyjärjestelmien osalta ja enintään neljä vuotta liitteen III soveltamisalaan kuuluvien tekoälyjärjestelmien osalta. Tarjoajan pyynnöstä todistuksen voimassaoloa voidaan jatkaa uusilla, enintään viiden vuoden pituisilla jaksoilla liitteen I soveltamisalaan kuuluvien tekoälyjärjestelmien osalta ja enintään neljän vuoden pituisilla jaksoilla liitteen III soveltamisalaan kuuluvien tekoälyjärjestelmien osalta, uudelleenarvioinnin perusteella, joka suoritetaan sovellettavien vaatimustenmukaisuuden arviointimenettelyjen mukaisesti. Todistusten mahdolliset täydennykset ovat voimassa, jos todistus, johon täydennys on tehty, on voimassa.

3. Where a notified body finds that an AI system no longer meets the requirements set out in Section 2, it shall, taking account of the principle of proportionality, suspend or withdraw the certificate issued or impose restrictions on it, unless compliance with those requirements is ensured by appropriate corrective action taken by the provider of the system within an appropriate deadline set by the notified body. The notified body shall give reasons for its decision.

3. Jos ilmoitettu laitos toteaa, ettei suuririskinen tekoälyjärjestelmä enää täytä 2 jaksossa vahvistettuja vaatimuksia, sen on suhteellisuusperiaate huomioon ottaen peruutettava todistus määräaikaisesti tai kokonaan tai asetettava sille rajoituksia, jollei kyseisten vaatimusten noudattamista ole varmistettu siten, että tarjoaja toteuttaa asianmukaiset korjaavat toimenpiteet ilmoitetun laitoksen asettamassa asianmukaisessa määräajassa. Ilmoitetun laitoksen on perusteltava päätöksensä.

An appeal procedure against decisions of the notified bodies, including on conformity certificates issued, shall be available.

Ilmoitettujen laitosten päätöksiä koskeva muutoksenhakumenettely, myös annettujen vaatimustenmukaisuuta koskevien todistusten osalta, on oltava käytössä.

Article 45

45 artikla

Information obligations of notified bodies

Ilmoitettujen laitosten tiedotusvelvollisuudet

1. Notified bodies shall inform the notifying authority of the following:

1. Ilmoitettujen laitosten on tiedotettava ilmoittamisesta vastaavalle viranomaiselle seuraavista:

(a)

any Union technical documentation assessment certificates, any supplements to those certificates, and any quality management system approvals issued in accordance with the requirements of Annex VII;

liitteen VII mukaisesti annetut unionin teknisen dokumentaation arviointitodistukset, näiden todistusten täydennykset ja kaikki laatujärjestelmän hyväksynnät;

(b)

any refusal, restriction, suspension or withdrawal of a Union technical documentation assessment certificate or a quality management system approval issued in accordance with the requirements of Annex VII;

liitteen VII vaatimusten mukaisesti myönnetyn unionin teknisen dokumentaation arviointitodistuksen tai laatujärjestelmän hyväksynnän epääminen, rajoittaminen tai peruuttaminen toistaiseksi tai kokonaan;

(c)

any circumstances affecting the scope of or conditions for notification;

olosuhteet, jotka vaikuttavat ilmoituksen soveltamisalaan tai ehtoihin;

(d)

any request for information which they have received from market surveillance authorities regarding conformity assessment activities;

vaatimustenmukaisuuden arviointitoimia koskevat tietopyynnöt, jotka ne ovat saaneet markkinavalvontaviranomaisilta;

(e)

on request, conformity assessment activities performed within the scope of their notification and any other activity performed, including cross-border activities and subcontracting.

pyynnöstä vaatimustenmukaisuuden arviointitoimet, jotka on suoritettu niitä koskevan ilmoituksen puitteissa, ja mahdollisesti suoritetut muut toimet, mukaan luettuna rajat ylittävät toimet ja alihankinta.

2. Each notified body shall inform the other notified bodies of:

2. Kunkin ilmoitetun laitoksen on tiedotettava muille ilmoitetuille laitoksille seuraavista:

(a)

quality management system approvals which it has refused, suspended or withdrawn, and, upon request, of quality system approvals which it has issued;

laatujärjestelmien hyväksynnät, jotka se on evännyt tai peruuttanut toistaiseksi tai kokonaan, ja pyynnöstä laatujärjestelmien hyväksynnät, jotka se on myöntänyt;

(b)

Union technical documentation assessment certificates or any supplements thereto which it has refused, withdrawn, suspended or otherwise restricted, and, upon request, of the certificates and/or supplements thereto which it has issued.

unionin teknisen dokumentaation arviointitodistukset tai niiden täydennykset, jotka se on evännyt tai peruuttanut toistaiseksi tai joita se on muutoin rajoittanut, sekä pyynnöstä antamansa todistukset ja/tai niiden täydennykset.

3. Each notified body shall provide the other notified bodies carrying out similar conformity assessment activities covering the same types of AI systems with relevant information on issues relating to negative and, on request, positive conformity assessment results.

3. Kunkin ilmoitetun laitoksen on toimitettava muille ilmoitetuille laitoksille, jotka suorittavat samanlaisia, samat tekoälyjärjestelmätyypit kattavia vaatimustenmukaisuuden arviointitoimia, asiaankuuluvat tiedot seikoista, jotka liittyvät vaatimustenmukaisuuden arvioinnin kielteisiin tuloksiin ja pyynnöstä myös myönteisiin tuloksiin.

4. Notified bodies shall safeguard the confidentiality of the information that they obtain, in accordance with Article 78.

4. Ilmoittamisesta vastaavien viranomaisten on turvattava saamiensa tietojen luottamuksellisuus 78 artiklan mukaisesti.

Article 46

46 artikla

Derogation from conformity assessment procedure

Poikkeus vaatimustenmukaisuuden arviointimenettelystä

1. By way of derogation from Article 43 and upon a duly justified request, any market surveillance authority may authorise the placing on the market or the putting into service of specific high-risk AI systems within the territory of the Member State concerned, for exceptional reasons of public security or the protection of life and health of persons, environmental protection or the protection of key industrial and infrastructural assets. That authorisation shall be for a limited period while the necessary conformity assessment procedures are being carried out, taking into account the exceptional reasons justifying the derogation. The completion of those procedures shall be undertaken without undue delay.

1. Poiketen siitä, mitä 43 artiklassa säädetään, ja asianmukaisesti perustellusta pyynnöstä mikä tahansa markkinavalvontaviranomainen voi antaa luvan tiettyjen suuririskisten tekoälyjärjestelmien markkinoille saattamiseen tai käyttöönottoon asianomaisen jäsenvaltion alueella poikkeuksellisista yleiseen turvallisuuteen tai ihmisten elämän ja terveyden suojeluun, ympäristönsuojeluun tai keskeisten teollisten resurssien ja infrastruktuurien suojaamiseen liittyvistä syistä. Lupa on voimassa rajallisen ajanjakson, kun tarvittavia vaatimustenmukaisuuden arviointimenettelyjä suoritetaan, ottaen huomioon poikkeuksen perusteena olevat poikkeukselliset syyt. Nämä menettelyt on saatettava päätökseen ilman aiheetonta viivytystä.

2. In a duly justified situation of urgency for exceptional reasons of public security or in the case of specific, substantial and imminent threat to the life or physical safety of natural persons, law-enforcement authorities or civil protection authorities may put a specific high-risk AI system into service without the authorisation referred to in paragraph 1, provided that such authorisation is requested during or after the use without undue delay. If the authorisation referred to in paragraph 1 is refused, the use of the high-risk AI system shall be stopped with immediate effect and all the results and outputs of such use shall be immediately discarded.

2. Asianmukaisesti perustellussa kiireellisessä tilanteessa, joka johtuu poikkeuksellisista yleiseen turvallisuuteen liittyvistä syistä, tai kun kyseessä on erityinen, merkittävä ja välitön uhka luonnollisten henkilöiden elämälle tai fyysiselle turvallisuudelle, lainvalvontaviranomaiset tai pelastuspalveluviranomaiset voivat ottaa käyttöön tietyn suuririskisen tekoälyjärjestelmän ilman 1 kohdassa tarkoitettua lupaa edellyttäen, että tällainen lupa pyydetään ilman aiheetonta viivytystä tekoälyjärjestelmän käytön aikana tai sen jälkeen. Jos 1 kohdassa tarkoitettu lupa evätään, suuririskisen tekoälyjärjestelmän käyttö on lopetettava välittömästi ja kaikki tällaisen käytön tulokset ja tuotokset on välittömästi hylättävä.

3. The authorisation referred to in paragraph 1 shall be issued only if the market surveillance authority concludes that the high-risk AI system complies with the requirements of Section 2. The market surveillance authority shall inform the Commission and the other Member States of any authorisation issued pursuant to paragraphs 1 and 2. This obligation shall not cover sensitive operational data in relation to the activities of law-enforcement authorities.

3. Edellä 1 kohdassa tarkoitettu lupa voidaan myöntää ainoastaan, jos markkinavalvontaviranomainen toteaa, että suuririskinen tekoälyjärjestelmä täyttää 2 jakson vaatimukset. Markkinavalvontaviranomaisen on ilmoitettava komissiolle ja muille jäsenvaltioille 1 ja 2 kohdan mukaisesti annetuista luvista. Tätä velvoitetta ei sovelleta arkaluonteiseen operatiiviseen tietoon, joka liittyy lainvalvontaviranomaisten toimiin.

4. Where, within 15 calendar days of receipt of the information referred to in paragraph 3, no objection has been raised by either a Member State or the Commission in respect of an authorisation issued by a market surveillance authority of a Member State in accordance with paragraph 1, that authorisation shall be deemed justified.

4. Jos mikään jäsenvaltio tai komissio ei ole 15 kalenteripäivän kuluessa 3 kohdassa tarkoitetun ilmoituksen vastaanottamisesta esittänyt vastalausetta jäsenvaltion markkinavalvontaviranomaisen 1 kohdan mukaisesti antamasta luvasta, luvan katsotaan olevan perusteltu.

5. Where, within 15 calendar days of receipt of the notification referred to in paragraph 3, objections are raised by a Member State against an authorisation issued by a market surveillance authority of another Member State, or where the Commission considers the authorisation to be contrary to Union law, or the conclusion of the Member States regarding the compliance of the system as referred to in paragraph 3 to be unfounded, the Commission shall, without delay, enter into consultations with the relevant Member State. The operators concerned shall be consulted and have the possibility to present their views. Having regard thereto, the Commission shall decide whether the authorisation is justified. The Commission shall address its decision to the Member State concerned and to the relevant operators.

5. Jos 15 kalenteripäivän kuluessa 3 kohdassa tarkoitetun ilmoituksen vastaanottamisesta jokin jäsenvaltio esittää vastalauseita toisen jäsenvaltion markkinavalvontaviranomaisen antamasta luvasta tai jos komissio katsoo, että lupa on unionin oikeuden vastainen tai että 3 kohdassa tarkoitettu järjestelmän vaatimustenmukaisuutta koskeva jäsenvaltioiden päätelmä on perusteeton, komissio aloittaa viipymättä asianomaisen jäsenvaltion kuulemisen; asianomaisia toimijoita on kuultava, ja niillä on oltava mahdollisuus esittää näkemyksensä. Komissio päättää kuulemisten perusteella, onko lupa perusteltu vai ei. Komissio osoittaa päätöksensä asianomaiselle jäsenvaltiolle sekä asianomaiselle toimijalle tai asianomaisille toimijoille.

6. Where the Commission considers the authorisation unjustified, it shall be withdrawn by the market surveillance authority of the Member State concerned.

6. Jos komissio katsoo luvan perusteettomaksi, asianomaisen jäsenvaltion markkinavalvontaviranomaisen on peruutettava se.

7. For high-risk AI systems related to products covered by Union harmonisation legislation listed in Section A of Annex I, only the derogations from the conformity assessment established in that Union harmonisation legislation shall apply.

7. Suuririskisiin tekoälyjärjestelmiin, jotka liittyvät liitteessä I olevassa A jaksossa lueteltuihin unionin yhdenmukaistamislainsäädännön soveltamisalaan kuuluviin tuotteisiin, sovelletaan ainoastaan kyseisessä unionin yhdenmukaistamislainsäädännössä vahvistettuja poikkeuksia vaatimustenmukaisuuden arvioinnista.

Article 47

47 artikla

EU declaration of conformity

EU-vaatimustenmukaisuusvakuutus

1. The provider shall draw up a written machine readable, physical or electronically signed EU declaration of conformity for each high-risk AI system, and keep it at the disposal of the national competent authorities for 10 years after the high-risk AI system has been placed on the market or put into service. The EU declaration of conformity shall identify the high-risk AI system for which it has been drawn up. A copy of the EU declaration of conformity shall be submitted to the relevant national competent authorities upon request.

1. Tarjoajan on laadittava kirjallinen koneluettava, fyysinen tai sähköisesti allekirjoitettu EU-vaatimustenmukaisuusvakuutus kullekin tekoälyjärjestelmälle ja pidettävä se kansallisten toimivaltaisten viranomaisten saatavilla 10 vuoden ajan sen jälkeen, kun suuririskinen tekoälyjärjestelmä on saatettu markkinoille tai otettu käyttöön. EU-vaatimustenmukaisuusvakuutuksessa on yksilöitävä suuririskinen tekoälyjärjestelmä, jota varten se on laadittu. Jäljennös EU-vaatimustenmukaisuusvakuutuksesta on pyynnöstä toimitettava asiaankuuluville kansallisille toimivaltaisille viranomaisille.

2. The EU declaration of conformity shall state that the high-risk AI system concerned meets the requirements set out in Section 2. The EU declaration of conformity shall contain the information set out in Annex V, and shall be translated into a language that can be easily understood by the national competent authorities of the Member States in which the high-risk AI system is placed on the market or made available.

2. EU-vaatimustenmukaisuusvakuutuksessa on ilmoitettava, että kyseinen suuririskinen tekoälyjärjestelmä täyttää tämän osaston 2 jaksossa vahvistetut vaatimukset. EU-vaatimustenmukaisuusvakuutuksen on sisällettävä liitteessä V esitetyt tiedot, ja se on käännettävä kielelle, jota niiden jäsenvaltioiden kansalliset toimivaltaiset viranomaiset, joissa suuririskinen tekoälyjärjestelmä asetetaan markkinoille tai saataville, voivat ymmärtää helposti.

3. Where high-risk AI systems are subject to other Union harmonisation legislation which also requires an EU declaration of conformity, a single EU declaration of conformity shall be drawn up in respect of all Union law applicable to the high-risk AI system. The declaration shall contain all the information required to identify the Union harmonisation legislation to which the declaration relates.

3. Jos suuririskisiin tekoälyjärjestelmiin sovelletaan muuta unionin yhdenmukaistamislainsäädäntöä, jossa myös edellytetään EU-vaatimustenmukaisuusvakuutusta, kaiken suuririskiseen tekoälyjärjestelmään sovellettavan unionin oikeuden osalta on laadittava yksi ainoa EU-vaatimustenmukaisuusvakuutus. Kyseisen vaatimustenmukaisuusvakuutuksen on sisällettävä kaikki tiedot, jotka vaaditaan sen unionin yhdenmukaistamislainsäädännön yksilöimiseksi, johon kyseinen vaatimustenmukaisuusvakuutus liittyy.

4. By drawing up the EU declaration of conformity, the provider shall assume responsibility for compliance with the requirements set out in Section 2. The provider shall keep the EU declaration of conformity up-to-date as appropriate.

4. Laatimalla EU-vaatimustenmukaisuusvakuutuksen tarjoaja ottaa vastuun 2 jaksossa vahvistettujen vaatimusten noudattamisesta. Tarjoajan on pidettävä EU-vaatimustenmukaisuusvakuutus tarvittaessa ajan tasalla.

5. The Commission is empowered to adopt delegated acts in accordance with Article 97 in order to amend Annex V by updating the content of the EU declaration of conformity set out in that Annex, in order to introduce elements that become necessary in light of technical progress.

5. Siirretään komissiolle valta antaa delegoituja säädöksiä 97 artiklan mukaisesti liitteen V muuttamiseksi päivittämällä kyseisessä liitteessä vahvistetun EU-vaatimustenmukaisuusvakuutuksen sisältö, jotta siihen voidaan lisätä osatekijöitä, jotka ovat tarpeen tekniikan kehityksen huomioon ottamiseksi.

Article 48

48 artikla

CE marking

CE-merkintä

1. The CE marking shall be subject to the general principles set out in Article 30 of Regulation (EC) No 765/2008.

1. CE-merkintää koskevat asetuksen (EY) N:o 765/2008 30 artiklassa säädetyt yleiset periaatteet.

2. For high-risk AI systems provided digitally, a digital CE marking shall be used, only if it can easily be accessed via the interface from which that system is accessed or via an easily accessible machine-readable code or other electronic means.

2. Digitaalisessa muodossa tarjottavissa suuririskisissä tekoälyjärjestelmissä on käytettävä digitaalista CE-merkintää vain, jos siihen pääsee helposti kyseisen järjestelmän käyttöliittymän kautta tai helposti saatavilla olevan koneluettavan koodin tai muun sähköisen välineen avulla.

3. The CE marking shall be affixed visibly, legibly and indelibly for high-risk AI systems. Where that is not possible or not warranted on account of the nature of the high-risk AI system, it shall be affixed to the packaging or to the accompanying documentation, as appropriate.

3. CE-merkintä on kiinnitettävä suuririskisiin tekoälyjärjestelmiin näkyvästi, helposti luettavasti ja pysyvästi. Jos tämä ei ole suuririskisen tekoälyjärjestelmän luonteen vuoksi mahdollista tai perusteltua, merkintä on tapauksen mukaan kiinnitettävä pakkaukseen ja mukana tulevaan dokumentaatioon.

4. Where applicable, the CE marking shall be followed by the identification number of the notified body responsible for the conformity assessment procedures set out in Article 43. The identification number of the notified body shall be affixed by the body itself or, under its instructions, by the provider or by the provider’s authorised representative. The identification number shall also be indicated in any promotional material which mentions that the high-risk AI system fulfils the requirements for CE marking.

4. CE-merkinnän yhteyteen on tarvittaessa liitettävä 43 artiklassa säädetyistä vaatimustenmukaisuusmenettelyistä vastuussa olevan ilmoitetun laitoksen tunnusnumero. Ilmoitetun laitoksen tunnusnumeron kiinnittää laitos itse tai sen antamien ohjeiden mukaisesti tarjoaja tai tarjoajan valtuutettu edustaja. Tunnusnumero on ilmoitettava myös kaikessa markkinointimateriaalissa, jossa mainitaan suuririskisen tekoälyjärjestelmän täyttävän CE-merkintää koskevat vaatimukset.

5. Where high-risk AI systems are subject to other Union law which also provides for the affixing of the CE marking, the CE marking shall indicate that the high-risk AI system also fulfil the requirements of that other law.

5. Jos suuririskiset tekoälyjärjestelmät kuuluvat sellaisen muun unionin oikeuden soveltamisalaan, jossa myös säädetään CE-merkinnän kiinnittämisestä, CE-merkintä osoittaa, että suuririskinen tekoälyjärjestelmä täyttää myös kyseisessä muussa lainsäädännössä vahvistetut vaatimukset.

Article 49

49 artikla

Registration

Rekisteröinti

1. Before placing on the market or putting into service a high-risk AI system listed in Annex III, with the exception of high-risk AI systems referred to in point 2 of Annex III, the provider or, where applicable, the authorised representative shall register themselves and their system in the EU database referred to in Article 71.

1. Ennen kuin liitteessä III lueteltu suuririskinen tekoälyjärjestelmä saatetaan markkinoille tai otetaan käyttöön, lukuun ottamatta liitteessä III olevassa 2 kohdassa tarkoitettuja suuririskisiä tekoälyjärjestelmiä, tarjoajan tai tarvittaessa valtuutetun edustajan on rekisteröitävä itsensä ja järjestelmänsä 71 artiklassa tarkoitettuun EU:n tietokantaan.

2. Before placing on the market or putting into service an AI system for which the provider has concluded that it is not high-risk according to Article 6(3), that provider or, where applicable, the authorised representative shall register themselves and that system in the EU database referred to in Article 71.

2. Ennen sellaisen tekoälyjärjestelmän markkinoille saattamista tai käyttöönottoa, jonka osalta tarjoaja on todennut, että se ei ole 6 artiklan 3 kohdan mukaisesti suuririskinen, kyseisen tarjoajan tai tarvittaessa valtuutetun edustajan on rekisteröitävä itsensä ja kyseinen järjestelmä 71 artiklassa tarkoitettuun EU:n tietokantaan.

3. Before putting into service or using a high-risk AI system listed in Annex III, with the exception of high-risk AI systems listed in point 2 of Annex III, deployers that are public authorities, Union institutions, bodies, offices or agencies or persons acting on their behalf shall register themselves, select the system and register its use in the EU database referred to in Article 71.

3. Ennen liitteessä III luetellun suuririskisen tekoälyjärjestelmän käyttöönottoa tai käyttöä, lukuun ottamatta liitteessä III olevassa 2 kohdassa lueteltuja suuririskisiä tekoälyjärjestelmiä, käyttöönottajien, jotka ovat viranomaisia, unionin toimielimiä, elimiä, toimistoja tai virastoja tai niiden puolesta toimivia henkilöitä, on rekisteröidyttävä, valittava järjestelmä ja rekisteröitävä sen käyttö 71 artiklassa tarkoitettuun EU:n tietokantaan.

4. For high-risk AI systems referred to in points 1, 6 and 7 of Annex III, in the areas of law enforcement, migration, asylum and border control management, the registration referred to in paragraphs 1, 2 and 3 of this Article shall be in a secure non-public section of the EU database referred to in Article 71 and shall include only the following information, as applicable, referred to in:

4. Liitteessä III olevassa 1, 6 ja 7 kohdassa tarkoitettujen suuririskisten tekoälyjärjestelmien osalta lainvalvonnan, muuttoliikkeen, turvapaikka-asioiden ja rajavalvonnan aloilla tämän artiklan 1, 2 ja 3 kohdassa tarkoitetun rekisteröinnin on tapahduttava 71 artiklassa tarkoitetun EU:n tietokannan suojattuun ei-julkiseen osaan, ja siihen on sisällyttävä tarvittaessa ainoastaan seuraavat tiedot:

(a)

Section A, points 1 to 10, of Annex VIII, with the exception of points 6, 8 and 9;

A jakso, liitteessä VIII oleva 1–10 kohta lukuun ottamatta 6, 8 ja 9 kohtaa;

(b)

Section B, points 1 to 5, and points 8 and 9 of Annex VIII;

B jakso, liitteessä VIII oleva 1–5 kohta sekä 8 ja 9 kohta;

(c)

Section C, points 1 to 3, of Annex VIII;

C jakso, liitteessä VIII oleva 1–3 kohta;

(d)

points 1, 2, 3 and 5, of Annex IX.

liitteessä IX oleva 1, 2, 3 ja 5 kohta.

Only the Commission and national authorities referred to in Article 74(8) shall have access to the respective restricted sections of the EU database listed in the first subparagraph of this paragraph.

Ainoastaan komissiolla ja 74 artiklan 8 kohdassa tarkoitetuilla kansallisilla viranomaisilla on pääsy tämän kohdan ensimmäisessä alakohdassa luetellun EU:n tietokannan asiaankuuluviin rajoitettuihin osiin.

5. High-risk AI systems referred to in point 2 of Annex III shall be registered at national level.

5. Liitteessä III olevassa 2 kohdassa tarkoitetut suuririskiset tekoälyjärjestelmät on rekisteröitävä kansallisella tasolla.

CHAPTER IV

IV LUKU

TRANSPARENCY OBLIGATIONS FOR PROVIDERS AND DEPLOYERS OF CERTAIN AI SYSTEMS

TIETTYJEN TEKOÄLYJÄRJESTELMIEN TARJOAJIA JA KÄYTTÖÖNOTTAJIA KOSKEVAT AVOIMUUSVELVOITTEET

Article 50

50 artikla

Transparency obligations for providers and deployers of certain AI systems

Tiettyjen tekoälyjärjestelmien tarjoajia ja käyttöönottajia koskevat avoimuusvelvoitteet

1. Providers shall ensure that AI systems intended to interact directly with natural persons are designed and developed in such a way that the natural persons concerned are informed that they are interacting with an AI system, unless this is obvious from the point of view of a natural person who is reasonably well-informed, observant and circumspect, taking into account the circumstances and the context of use. This obligation shall not apply to AI systems authorised by law to detect, prevent, investigate or prosecute criminal offences, subject to appropriate safeguards for the rights and freedoms of third parties, unless those systems are available for the public to report a criminal offence.

1. Tarjoajien on varmistettava, että luonnollisten henkilöiden kanssa suoraan vuorovaikutukseen tarkoitetut tekoälyjärjestelmät suunnitellaan ja toteutetaan siten, että asianomaisille luonnollisille henkilöille ilmoitetaan, että he ovat vuorovaikutuksessa tekoälyjärjestelmän kanssa, ellei tämä ole ilmeistä sellaisen luonnollisen henkilön näkökulmasta, joka on suhteellisen valistunut, tarkkaavainen ja huolellinen ottaen huomioon olosuhteet ja käytön asiayhteys. Tätä velvoitetta ei sovelleta tekoälyjärjestelmiin, joita on lain mukaan sallittua käyttää rikosten paljastamiseen, estämiseen tai tutkimiseen ja rikoksiin liittyviin syytetoimiin, edellyttäen, että kolmansien osapuolten oikeudet ja vapaudet turvataan asianmukaisesti, paitsi jos kyseiset järjestelmät ovat julkisesti saatavilla rikosilmoitusten tekemistä varten.

2. Providers of AI systems, including general-purpose AI systems, generating synthetic audio, image, video or text content, shall ensure that the outputs of the AI system are marked in a machine-readable format and detectable as artificially generated or manipulated. Providers shall ensure their technical solutions are effective, interoperable, robust and reliable as far as this is technically feasible, taking into account the specificities and limitations of various types of content, the costs of implementation and the generally acknowledged state of the art, as may be reflected in relevant technical standards. This obligation shall not apply to the extent the AI systems perform an assistive function for standard editing or do not substantially alter the input data provided by the deployer or the semantics thereof, or where authorised by law to detect, prevent, investigate or prosecute criminal offences.

2. Synteettistä ääni-, kuva-, video- tai tekstisisältöä tuottavien tekoälyjärjestelmien, mukaan lukien yleiskäyttöiset tekoälyjärjestelmät, tarjoajien on varmistettava, että tekoälyjärjestelmän tuotokset merkitään koneellisesti luettavassa muodossa ja että ne voidaan tunnistaa keinotekoisesti tuotetuiksi tai manipuloiduiksi. Tarjoajien on varmistettava siinä määrin kuin se on teknisesti mahdollista, että niiden tekniset ratkaisut ovat tehokkaita, yhteentoimivia, vakaita ja luotettavia, ottaen huomioon monenlaisten sisältöjen erityispiirteet ja rajoitukset, toteuttamiskustannukset ja yleisesti tunnustettu uusin teknologia, jotka voidaan huomioida asianmukaisissa teknisissä standardeissa. Tätä velvoitetta ei sovelleta tapauksissa, joissa tekoälyjärjestelmät avustavat vakiomuokkaamista tai eivät olennaisesti muuta käyttöönottajan toimittamia syöttödataa tai sen semantiikkaa tai jos niitä on lain mukaan sallittua käyttää rikosten paljastamiseen, estämiseen ja tutkimiseen tai rikoksiin liittyviin syytetoimiin.

3. Deployers of an emotion recognition system or a biometric categorisation system shall inform the natural persons exposed thereto of the operation of the system, and shall process the personal data in accordance with Regulations (EU) 2016/679 and (EU) 2018/1725 and Directive (EU) 2016/680, as applicable. This obligation shall not apply to AI systems used for biometric categorisation and emotion recognition, which are permitted by law to detect, prevent or investigate criminal offences, subject to appropriate safeguards for the rights and freedoms of third parties, and in accordance with Union law.

3. Tunteentunnistusjärjestelmän tai biometrisen luokitusjärjestelmän käyttöönottajien on ilmoitettava järjestelmän toiminnasta niille luonnollisille henkilöille, jotka altistuvat järjestelmälle, ja käsiteltävä heidän henkilötietonsa tapauksen mukaan asetuksen (EU) 2016/679, asetuksen (EU) 2018/1725 ja direktiivin (EU) 2016/680 mukaisesti. Tätä velvoitetta ei sovelleta biometriseen luokitteluun ja tunteentunnistamiseen käytettyihin tekoälyjärjestelmiin, joita on lain mukaan luvallista käyttää rikosten paljastamiseen, estämiseen tai tutkimiseen, edellyttäen, että kolmansien osapuolten oikeudet ja vapaudet turvataan asianmukaisesti, ja että unionin oikeuden mukaisesti.

4. Deployers of an AI system that generates or manipulates image, audio or video content constituting a deep fake, shall disclose that the content has been artificially generated or manipulated. This obligation shall not apply where the use is authorised by law to detect, prevent, investigate or prosecute criminal offence. Where the content forms part of an evidently artistic, creative, satirical, fictional or analogous work or programme, the transparency obligations set out in this paragraph are limited to disclosure of the existence of such generated or manipulated content in an appropriate manner that does not hamper the display or enjoyment of the work.

4. Sellaisen tekoälyjärjestelmän, joka tuottaa tai manipuloi syväväärennöksen muodostavaa kuva-, ääni- tai videosisältöä, käyttöönottajien on ilmoitettava, että sisältö on keinotekoisesti tuotettu tai että sitä on manipuloitu. Tätä velvoitetta ei sovelleta, jos käyttö on lain mukaan sallittu rikosten paljastamiseen, estämiseen ja tutkimiseen tai rikoksiin liittyviin syytetoimiin. Jos sisältö on osa selvästi taiteellista, luovaa, satiirista, fiktiivistä tai vastaavaa teosta tai ohjelmaa, tässä kohdassa säädetyt avoimuusvelvoitteet rajoittuvat siihen, että tällaisesta tuotetusta tai manipuloidusta sisällöstä ilmoitetaan asianmukaisesti tavalla, joka ei haittaa teoksen esittämistä tai sen käyttöä.

Deployers of an AI system that generates or manipulates text which is published with the purpose of informing the public on matters of public interest shall disclose that the text has been artificially generated or manipulated. This obligation shall not apply where the use is authorised by law to detect, prevent, investigate or prosecute criminal offences or where the AI-generated content has undergone a process of human review or editorial control and where a natural or legal person holds editorial responsibility for the publication of the content.

Tekoälyjärjestelmän, joka tuottaa tai manipuloi tekstiä, jonka julkaisemisen tarkoituksena on tiedottaa yleisölle yleistä etua koskevista asioista, käyttöönottajien on ilmoitettava, että teksti on keinotekoisesti tuotettu tai sitä on manipuloitu. Tätä velvoitetta ei sovelleta, jos käyttö on lain mukaan sallittu rikosten paljastamiseen, estämiseen, tutkimiseen tai rikoksiin liittyviin syytetoimiin, tai jos tekoälyn tuottama sisältö on läpikäynyt ihmisen suorittaman arviointiprosessin tai toimituksellisen valvonnan ja jos luonnollisella henkilöllä tai oikeushenkilöllä on toimituksellinen vastuu sisällön julkaisemisesta.

5. The information referred to in paragraphs 1 to 4 shall be provided to the natural persons concerned in a clear and distinguishable manner at the latest at the time of the first interaction or exposure. The information shall conform to the applicable accessibility requirements.

5. Edellä 1–4 kohdassa tarkoitetut tiedot on annettava asiaankuuluville luonnollisille henkilöille selkeällä ja selvästi erottuvalla tavalla viimeistään ensimmäisen vuorovaikutuksen tai altistumisen yhteydessä. Tietojen on oltava sovellettavien esteettömyysvaatimusten mukaisia.

6. Paragraphs 1 to 4 shall not affect the requirements and obligations set out in Chapter III, and shall be without prejudice to other transparency obligations laid down in Union or national law for deployers of AI systems.

6. Edellä olevat 1–4 kohta eivät vaikuta III luvussa vahvistettuihin vaatimuksiin ja velvoitteisiin, eivätkä ne rajoita muiden unionin tai kansallisessa lainsäädännössä tekoälyjärjestelmien käyttöönottajille asetettujen avoimuusvelvoitteiden soveltamista.

7. The AI Office shall encourage and facilitate the drawing up of codes of practice at Union level to facilitate the effective implementation of the obligations regarding the detection and labelling of artificially generated or manipulated content. The Commission may adopt implementing acts to approve those codes of practice in accordance with the procedure laid down in Article 56 (6). If it deems the code is not adequate, the Commission may adopt an implementing act specifying common rules for the implementation of those obligations in accordance with the examination procedure laid down in Article 98(2).

7. Tekoälytoimisto kannustaa ja helpottaa käytännesääntöjen laatimista unionin tasolla, jotta voidaan helpottaa keinotekoisesti tuotetun tai manipuloidun sisällön havaitsemista ja merkitsemistä koskevien velvoitteiden tehokasta täytäntöönpanoa. Komissio voi antaa täytäntöönpanosäädöksiä kyseisten käytännesääntöjen hyväksymiseksi 56 artiklan 6 kohdassa säädettyä menettelyä noudattaen. Jos komissio katsoo, että käytännesäännöt eivät ole riittäviä, komissio voi antaa 98 artiklan 2 kohdassa säädettyä tarkastelumenettelyä noudattaen täytäntöönpanosäädös, jossa täsmennetään yhteiset säännöt kyseisten velvoitteiden täytäntöönpanemiseksi.

CHAPTER V

V LUKU

GENERAL-PURPOSE AI MODELS

YLEISKÄYTTÖISET TEKOÄLYMALLIT

SECTION 1

1 JAKSO

Classification rules

Luokitussäännöt

Article 51

51 artikla

Classification of general-purpose AI models as general-purpose AI models with systemic risk

Yleiskäyttöisten tekoälymallien luokittelu yleiskäyttöisiksi tekoälymalleiksi, joihin liittyy systeeminen riski

1. A general-purpose AI model shall be classified as a general-purpose AI model with systemic risk if it meets any of the following conditions:

1. Yleiskäyttöinen tekoälymalli on luokiteltava yleiskäyttöiseksi tekoälymalliksi, johon liittyy systeeminen riski, jos se täyttää jonkin seuraavista edellytyksistä:

(a)

it has high impact capabilities evaluated on the basis of appropriate technical tools and methodologies, including indicators and benchmarks;

sillä on asianmukaisten teknisten välineiden ja menetelmien, mukaan lukien indikaattoreiden ja vertailuarvojen, perusteella arvioituna vaikutuksiltaan merkittävä suorituskyky;

(b)

based on a decision of the Commission, ex officio or following a qualified alert from the scientific panel, it has capabilities or an impact equivalent to those set out in point (a) having regard to the criteria set out in Annex XIII.

sillä on komission päätöksen perusteella, joka on annettu joko oma-aloitteisesti tai tiedelautakunnan perustellun varoituksen seurauksena, valmiudet tai vaikutus, joka vastaa a alakohdassa esitettyjä valmiuksia tai vaikutusta ottaen huomioon liitteessä XIII vahvistetut perusteet.

2. A general-purpose AI model shall be presumed to have high impact capabilities pursuant to paragraph 1, point (a), when the cumulative amount of computation used for its training measured in floating point operations is greater than 1025.

2. Yleiskäyttöisellä tekoälymallilla katsotaan olevan 1 kohdan a alakohdan mukainen vaikutuksiltaan merkittävä suorituskyky, kun sen koulutukseen käytetyn laskennan kumulatiivinen määrä liukulukulaskutoimituksilla mitattuna on suurempi kuin 1025.

3. The Commission shall adopt delegated acts in accordance with Article 97 to amend the thresholds listed in paragraphs 1 and 2 of this Article, as well as to supplement benchmarks and indicators in light of evolving technological developments, such as algorithmic improvements or increased hardware efficiency, when necessary, for these thresholds to reflect the state of the art.

3. Komissio antaa 97 artiklan mukaisesti delegoituja säädöksiä, joilla muutetaan tämän artiklan 1 ja 2 kohdassa lueteltuja kynnysarvoja ja täydennetään vertailuarvoja ja indikaattoreita teknologian kehityksen perusteella, mukaan lukien algoritmien kehittyminen tai laitteiston tehokkuuden kasvu, jotta nämä kynnysarvot vastaisivat tekniikan viimeisintä kehitystä.

Article 52

52 artikla

Procedure

Menettely

1. Where a general-purpose AI model meets the condition referred to in Article 51(1), point (a), the relevant provider shall notify the Commission without delay and in any event within two weeks after that requirement is met or it becomes known that it will be met. That notification shall include the information necessary to demonstrate that the relevant requirement has been met. If the Commission becomes aware of a general-purpose AI model presenting systemic risks of which it has not been notified, it may decide to designate it as a model with systemic risk.

1. Jos yleiskäyttöinen tekoälymalli täyttää 51 artiklan 1 kohdan a alakohdassa tarkoitetun edellytyksen, asianomaisen tarjoajan on ilmoitettava asiasta komissiolle viipymättä ja joka tapauksessa kahden viikon kuluessa siitä, kun kyseinen vaatimus on täytetty tai on tullut ilmi, että se täyttyy. Ilmoituksessa on oltava tiedot, jotka ovat tarpeen sen osoittamiseksi, että asiaankuuluva vaatimus on täytetty. Jos komission tietoon tulee systeemisiä riskejä aiheuttava yleiskäyttöinen tekoälymalli, josta sille ei ole ilmoitettu, se voi päättää nimetä sen malliksi, johon liittyy systeeminen riski.

2. The provider of a general-purpose AI model that meets the condition referred to in Article 51(1), point (a), may present, with its notification, sufficiently substantiated arguments to demonstrate that, exceptionally, although it meets that requirement, the general-purpose AI model does not present, due to its specific characteristics, systemic risks and therefore should not be classified as a general-purpose AI model with systemic risk.

2. Yleiskäyttöisen tekoälymallin tarjoaja, joka täyttää 51 artiklan 1 kohdan a alakohdassa tarkoitetun edellytyksen, voi esittää ilmoituksessaan riittävän pätevät perustelut osoittaakseen, että vaikka yleiskäyttöinen tekoälymalli täyttää kyseisen vaatimuksen, siihen ei sen erityispiirteiden vuoksi liity systeemisiä riskejä, minkä vuoksi sitä ei saisi luokitella yleiskäyttöiseksi tekoälymalliksi, johon liittyy systeeminen riski.

3. Where the Commission concludes that the arguments submitted pursuant to paragraph 2 are not sufficiently substantiated and the relevant provider was not able to demonstrate that the general-purpose AI model does not present, due to its specific characteristics, systemic risks, it shall reject those arguments, and the general-purpose AI model shall be considered to be a general-purpose AI model with systemic risk.

3. Jos komissio katsoo, että 2 kohdan mukaisesti toimitettuja väitteitä ei ole perusteltu riittävästi eikä asianomainen tarjoaja ole pystynyt osoittamaan, että yleiskäyttöiseen tekoälymalliin ei sen erityispiirteiden vuoksi liity systeemisiä riskejä, se hylkää nämä perustelut ja yleiskäyttöinen tekoälymalli katsotaan yleiskäyttöiseksi tekoälymalliksi, johon liittyy systeeminen riski.

4. The Commission may designate a general-purpose AI model as presenting systemic risks, ex officio or following a qualified alert from the scientific panel pursuant to Article 90(1), point (a), on the basis of criteria set out in Annex XIII.

4. Komissio voi nimetä yleiskäyttöisen tekoälymallin systeemisiä riskejä sisältäväksi joko oma-aloitteisesti tai tiedelautakunnan 90 artiklan 1 kohdan a alakohdan mukaisesti antaman perustellun varoituksen seurauksena liitteessä XIII vahvistettujen kriteerien perusteella.

The Commission is empowered to adopt delegated acts in accordance with Article 97 in order to amend Annex XIII by specifying and updating the criteria set out in that Annex.

Siirretään komissiolle valta antaa delegoituja säädöksiä 97 artiklan mukaisesti liitteen XIII muuttamiseksi täsmentämällä ja päivittämällä kyseisessä liitteessä olevat kriteerit.

5. Upon a reasoned request of a provider whose model has been designated as a general-purpose AI model with systemic risk pursuant to paragraph 4, the Commission shall take the request into account and may decide to reassess whether the general-purpose AI model can still be considered to present systemic risks on the basis of the criteria set out in Annex XIII. Such a request shall contain objective, detailed and new reasons that have arisen since the designation decision. Providers may request reassessment at the earliest six months after the designation decision. Where the Commission, following its reassessment, decides to maintain the designation as a general-purpose AI model with systemic risk, providers may request reassessment at the earliest six months after that decision.

5. Komissio voi sellaisen tarjoajan, jonka malli on nimetty yleiskäyttöiseksi tekoälymalliksi, johon liittyy systeeminen riski, perustellun pyynnön pohjalta päättää arvioida uudelleen, voidaanko yleiskäyttöisen tekoälymallin katsoa edelleen aiheuttavan systeemisiä riskejä liitteessä XIII vahvistettujen kriteerien perusteella. Tällaisen pyynnön on sisällettävä objektiiviset, yksityiskohtaiset ja uudet perusteet, jotka ovat tulleet esiin nimeämispäätöksen jälkeen. Tarjoajat voivat pyytää uudelleenarviointia aikaisintaan kuuden kuukauden kuluttua nimeämispäätöksestä. Jos komissio uudelleenarvioinnin jälkeen päättää pitää voimassa nimeämisen yleiskäyttöiseksi tekoälymalliksi, johon liittyy systeeminen riski, tarjoajat voivat pyytää uudelleenarviointia aikaisintaan kuuden kuukauden kuluttua kyseisestä päätöksestä.

6. The Commission shall ensure that a list of general-purpose AI models with systemic risk is published and shall keep that list up to date, without prejudice to the need to observe and protect intellectual property rights and confidential business information or trade secrets in accordance with Union and national law.

6. Komissio varmistaa, että luettelo yleiskäyttöisistä tekoälymalleista, joihin liittyy systeeminen riski, julkaistaan, ja pitää luettelon ajan tasalla, sanotun kuitenkaan rajoittamatta tarvetta noudattaa ja suojella teollis- ja tekijänoikeuksia ja luottamuksellisia liiketoimintatietoja tai liikesalaisuuksia unionin ja kansallisen lainsäädännön mukaisesti.

SECTION 2

2 JAKSO

Obligations for providers of general-purpose AI models

Yleiskäyttöisten tekoälymallien tarjoajien velvoitteet

Article 53

53 artikla

Obligations for providers of general-purpose AI models

Yleiskäyttöisten tekoälymallien tarjoajien velvoitteet

1. Providers of general-purpose AI models shall:

1. Yleiskäyttöisten tekoälymallien tarjoajien on

(a)

draw up and keep up-to-date the technical documentation of the model, including its training and testing process and the results of its evaluation, which shall contain, at a minimum, the information set out in Annex XI for the purpose of providing it, upon request, to the AI Office and the national competent authorities;

laadittava ja pidettävä ajan tasalla mallia koskeva tekninen dokumentaatio, mukaan lukien sen koulutus- ja testausprosessi ja sen arvioinnin tulokset, ja kyseisen dokumentaation on sisällettävä vähintään liitteessä IX esitetyt tiedot, jotta dokumentaatio voidaan pyynnöstä toimittaa tekoälytoimistolle ja kansallisille toimivaltaisille viranomaisille;

(b)

draw up, keep up-to-date and make available information and documentation to providers of AI systems who intend to integrate the general-purpose AI model into their AI systems. Without prejudice to the need to observe and protect intellectual property rights and confidential business information or trade secrets in accordance with Union and national law, the information and documentation shall:

laadittava, pidettävä ajan tasalla tietoja ja dokumentaatiota sekä asetettava niitä sellaisten tekoälyjärjestelmien tarjoajien saataville, jotka aikovat sisällyttää yleiskäyttöisen tekoälymallin tekoälyjärjestelmäänsä. Rajoittamatta tarvetta noudattaa ja suojella teollis- ja tekijänoikeuksia ja luottamuksellisia liiketoimintatietoja tai liikesalaisuuksia unionin ja kansallisen lainsäädännön mukaisesti tietojen ja dokumentaation on

(i)

enable providers of AI systems to have a good understanding of the capabilities and limitations of the general-purpose AI model and to comply with their obligations pursuant to this Regulation; and

annettava tekoälyjärjestelmien tarjoajille hyvä käsitys yleiskäyttöisen tekoälymallin valmiuksista ja rajoituksista ja autettava niitä noudattamaan tämän asetuksen mukaisia velvoitteitaan; ja

(ii)

contain, at a minimum, the elements set out in Annex XII;

ii)

sisällettävä vähintään liitteessä XII esitetyt tiedot;

(c)

put in place a policy to comply with Union law on copyright and related rights, and in particular to identify and comply with, including through state-of-the-art technologies, a reservation of rights expressed pursuant to Article 4(3) of Directive (EU) 2019/790;

vahvistettava toimintapolitiikka tekijänoikeutta ja lähioikeuksia koskevan unionin lainsäädännön noudattamiseksi, erityisesti direktiivin (EU) 2019/790 4 artiklan 3 kohdan mukaisesti ilmaistun oikeuksien pidättämisen tunnistamiseksi ja noudattamiseksi, myös alan viimeisimmän kehityksen mukaisten teknologioiden avulla;

(d)

draw up and make publicly available a sufficiently detailed summary about the content used for training of the general-purpose AI model, according to a template provided by the AI Office.

laadittava ja asetettava julkisesti saataville riittävän yksityiskohtainen tiivistelmä yleiskäyttöisen tekoälymallin koulutuksessa käytetystä sisällöstä tekoälytoimiston toimittaman mallin mukaisesti.

2. The obligations set out in paragraph 1, points (a) and (b), shall not apply to providers of AI models that are released under a free and open-source licence that allows for the access, usage, modification, and distribution of the model, and whose parameters, including the weights, the information on the model architecture, and the information on model usage, are made publicly available. This exception shall not apply to general-purpose AI models with systemic risks.

2. Edellä 1 kohdan a ja b alakohdassa säädettyjä velvoitteita ei sovelleta sellaisten tekoälymallien tarjoajiin, joita tarjotaan maksuttomalla ja avoimen lähdekoodin lisenssillä, joka mahdollistaa mallin saatavuuden, käytön, muuttamisen ja jakelun, ja joiden parametrit, mukaan lukien painokertoimet, tiedot malliarkkitehtuurista sekä tiedot mallin käytöstä, asetetaan julkisesti saataville. Tätä poikkeusta ei sovelleta yleiskäyttöisiin tekoälymalleihin, joihin liittyy systeemisiä riskejä.

3. Providers of general-purpose AI models shall cooperate as necessary with the Commission and the national competent authorities in the exercise of their competences and powers pursuant to this Regulation.

3. Yleiskäyttöisten tekoälymallien tarjoajien on tehtävä tarvittaessa yhteistyötä komission ja kansallisten toimivaltaisten viranomaisten kanssa niiden käyttäessä tämän asetuksen mukaisia toimivaltuuksiaan ja valtuuksiaan.

4. Providers of general-purpose AI models may rely on codes of practice within the meaning of Article 56 to demonstrate compliance with the obligations set out in paragraph 1 of this Article, until a harmonised standard is published. Compliance with European harmonised standards grants providers the presumption of conformity to the extent that those standards cover those obligations. Providers of general-purpose AI models who do not adhere to an approved code of practice or do not comply with a European harmonised standard shall demonstrate alternative adequate means of compliance for assessment by the Commission.

4. Yleiskäyttöisten tekoälymallien tarjoajat voivat tukeutua 56 artiklassa tarkoitettuihin käytännesääntöihin, jotka osoittavat tämän artiklan 1 kohdassa vahvistettujen velvoitteiden noudattamisen, kunnes yhdenmukaistettu standardi julkaistaan. Eurooppalaisten yhdenmukaistettujen standardien noudattaminen antaa tarjoajille vaatimuksenmukaisuusolettaman siltä osin kuin kyseiset standardit kattavat kyseiset velvoitteet. Sellaisten yleiskäyttöisten tekoälymallien tarjoajien, jotka eivät noudata hyväksyttyjä käytännesääntöjä tai eivät noudata eurooppalaisia yhdenmukaistettuja standardeja, on osoitettava riittävät vaihtoehtoiset menetelmät vaatimusten täyttämiseksi komission arviointia varten.

5. For the purpose of facilitating compliance with Annex XI, in particular points 2 (d) and (e) thereof, the Commission is empowered to adopt delegated acts in accordance with Article 97 to detail measurement and calculation methodologies with a view to allowing for comparable and verifiable documentation.

5. Liitteen XI ja erityisesti sen 2 kohdan d ja e alakohdan noudattamisen helpottamiseksi komissiolle siirretään valta antaa 97 artiklan mukaisesti delegoituja säädöksiä, joissa täsmennetään mittaus- ja laskentamenetelmät, jotta dokumentaatio on vertailukelpoista ja todennettavissa olevaa.

6. The Commission is empowered to adopt delegated acts in accordance with Article 97(2) to amend Annexes XI and XII in light of evolving technological developments.

6. Siirretään komissiolle valta antaa 97 artiklan 2 kohdan mukaisesti delegoituja säädöksiä liitteiden XI ja XII muuttamiseksi teknologian kehityksen huomioon ottamiseksi.

7. Any information or documentation obtained pursuant to this Article, including trade secrets, shall be treated in accordance with the confidentiality obligations set out in Article 78.

7. Kaikkea tämän artiklan nojalla saatua tietoa ja dokumentaatiota, mukaan lukien liikesalaisuudet, on käsiteltävä 78 artiklassa säädettyjen salassapitovelvollisuuksien mukaisesti.

Article 54

54 artikla

Authorised representatives of providers of general-purpose AI models

Yleiskäyttöisten tekoälymallien tarjoajien valtuutetut edustajat

1. Prior to placing a general-purpose AI model on the Union market, providers established in third countries shall, by written mandate, appoint an authorised representative which is established in the Union.

1. Kolmansiin maihin sijoittautuneiden tarjoajien on ennen yleiskäyttöisen tekoälymallin asettamista saataville unionin markkinoilla nimettävä kirjallisella toimeksiannolla unioniin sijoittautunut valtuutettu edustaja.

2. The provider shall enable its authorised representative to perform the tasks specified in the mandate received from the provider.

2. Tarjoajan on valtuutettava edustajansa suorittamaan tarjoajalta saamassaan toimeksiannossa määritellyt tehtävät.

3. The authorised representative shall perform the tasks specified in the mandate received from the provider. It shall provide a copy of the mandate to the AI Office upon request, in one of the official languages of the institutions of the Union. For the purposes of this Regulation, the mandate shall empower the authorised representative to carry out the following tasks:

3. Valtuutetun edustajan on suoritettava tarjoajalta saamassaan toimeksiannossa määritellyt tehtävät. Valtuutetun edustajan on toimitettava tekoälytoimiston pyynnöstä jäljennös toimeksiannosta jollakin unionin toimielinten virallisella kielellä. Tämän asetuksen soveltamiseksi toimeksiannossa valtuutetulle edustajalle on annettava valtuudet suorittaa seuraavat tehtävät:

(a)

verify that the technical documentation specified in Annex XI has been drawn up and all obligations referred to in Article 53 and, where applicable, Article 55 have been fulfilled by the provider;

varmistaa, että liitteessä XI määritellyt tekniset asiakirjat on laadittu ja että tarjoaja on täyttänyt kaikki 53 artiklassa ja tapauksen mukaan 55 artiklassa tarkoitetut velvoitteet;

(b)

keep a copy of the technical documentation specified in Annex XI at the disposal of the AI Office and national competent authorities, for a period of 10 years after the general-purpose AI model has been placed on the market, and the contact details of the provider that appointed the authorised representative;

säilyttää jäljennös liitteessä XI määritellystä teknisestä dokumentaatiosta tekoälytoimiston ja kansallisten viranomaisten saatavilla 10 vuoden ajan siitä, kun yleiskäyttöinen tekoälymalli on ollut saatettu markkinoille, sekä sen tarjoajan yhteystiedot, joka on nimennyt valtuutetun edustajan;

(c)

provide the AI Office, upon a reasoned request, with all the information and documentation, including that referred to in point (b), necessary to demonstrate compliance with the obligations in this Chapter;

toimittaa tekoälytoimistolle perustellusta pyynnöstä kaikki tiedot ja dokumentaatio, mukaan lukien b alakohdassa tarkoitettu dokumentaatio, joka on tarpeen tässä luvussa säädettyjen velvoitteiden noudattamisen osoittamiseksi.

(d)

cooperate with the AI Office and competent authorities, upon a reasoned request, in any action they take in relation to the general-purpose AI model, including when the model is integrated into AI systems placed on the market or put into service in the Union.

tehdä perustellusta pyynnöstä yhteistyötä tekoälytoimiston ja toimivaltaisten viranomaisten kanssa kaikkien niiden toimien osalta, joita ne toteuttavat yleiskäyttöisen tekoälymallien osalta, myös silloin, kun malli on integroitu unionissa markkinoille saatettuihin tai käyttöön otettuihin tekoälyjärjestelmiin.

4. The mandate shall empower the authorised representative to be addressed, in addition to or instead of the provider, by the AI Office or the competent authorities, on all issues related to ensuring compliance with this Regulation.

4. Toimeksiannon johdosta tekoälytoimisto tai toimivaltaiset viranomaiset voivat ottaa toimijan lisäksi tai sen puolesta yhteyttä valtuutettuun edustajaan kaikissa tämän asetuksen noudattamisen varmistamiseen liittyvissä kysymyksissä.

5. The authorised representative shall terminate the mandate if it considers or has reason to consider the provider to be acting contrary to its obligations pursuant to this Regulation. In such a case, it shall also immediately inform the AI Office about the termination of the mandate and the reasons therefor.

5. Valtuutetun edustajan on lopetettava toimeksianto, jos se katsoo tai sillä on syytä katsoa, että tarjoaja toimii tämän asetuksen mukaisten velvoitteidensa vastaisesti. Tällaisessa tapauksessa sen on myös välittömästi ilmoitettava tekoälytoimistolle toimeksiannon lopettamisesta ja sen syistä.

6. The obligation set out in this Article shall not apply to providers of general-purpose AI models that are released under a free and open-source licence that allows for the access, usage, modification, and distribution of the model, and whose parameters, including the weights, the information on the model architecture, and the information on model usage, are made publicly available, unless the general-purpose AI models present systemic risks.

6. Tässä artiklassa säädettyä velvoitetta ei sovelleta sellaisten yleiskäyttöisten tekoälymallien tarjoajiin, joita tarjotaan maksuttomalla ja avoimen lähdekoodin lisenssillä, joka mahdollistaa mallin saatavuuden, käytön, muuttamisen ja jakelun, ja joiden parametrit, mukaan lukien painokertoimet, tiedot malliarkkitehtuurista sekä tiedot mallin käytöstä, asetetaan julkisesti saataville, paitsi jos yleiskäyttöiseen tekoälymalliin liittyy systeemisiä riskejä.

SECTION 3

3 JAKSO

Obligations of providers of general-purpose AI models with systemic risk

Yleiskäyttöisten tekoälymallien, joihin liittyy systeeminen riski, tarjoajien velvollisuudet

Article 55

55 artikla

Obligations of providers of general-purpose AI models with systemic risk

Yleiskäyttöisten tekoälymallien, joihin liittyy systeeminen riski, tarjoajien velvollisuudet

1. In addition to the obligations listed in Articles 53 and 54, providers of general-purpose AI models with systemic risk shall:

1. Edellä 53 ja 54 artiklassa lueteltujen velvoitteiden lisäksi yleiskäyttöisten tekoälymallien, joihin liittyy systeeminen riski, tarjoajien on

(a)

perform model evaluation in accordance with standardised protocols and tools reflecting the state of the art, including conducting and documenting adversarial testing of the model with a view to identifying and mitigating systemic risks;

suoritettava mallin arviointia sellaisten standardoitujen protokollien ja välineiden mukaisesti, jotka kuvastavat viimeisintä kehitystä, mukaan lukien mallin adversariaalisen testauksen suorittaminen ja tällaisen testauksen dokumentointi systeemisten riskien tunnistamiseksi ja lieventämiseksi;

(b)

assess and mitigate possible systemic risks at Union level, including their sources, that may stem from the development, the placing on the market, or the use of general-purpose AI models with systemic risk;

arvioitava ja lievennettävä unionin tasolla sellaisia mahdollisia systeemisiä riskejä, niiden lähteet mukaan lukien, jotka voivat johtua yleiskäyttöisten tekoälymallien, joihin liittyy systeeminen riski, kehittämisestä, markkinoille saattamisesta tai käytöstä;

(c)

keep track of, document, and report, without undue delay, to the AI Office and, as appropriate, to national competent authorities, relevant information about serious incidents and possible corrective measures to address them;

seurattava, dokumentoitava ja raportoitava ilman aiheetonta viivytystä tekoälytoimistolle ja tarvittaessa kansallisille toimivaltaisille viranomaisille merkitykselliset tiedot vakavista vaaratilanteista ja mahdollisista korjaavista toimenpiteistä niihin puuttumiseksi;

(d)

ensure an adequate level of cybersecurity protection for the general-purpose AI model with systemic risk and the physical infrastructure of the model.

varmistettava riittävä kyberturvallisuuden suojan taso yleiskäyttöiselle tekoälymallille, johon liittyy systeeminen riski, ja mallin fyysiselle infrastruktuurille.

2. Providers of general-purpose AI models with systemic risk may rely on codes of practice within the meaning of Article 56 to demonstrate compliance with the obligations set out in paragraph 1 of this Article, until a harmonised standard is published. Compliance with European harmonised standards grants providers the presumption of conformity to the extent that those standards cover those obligations. Providers of general-purpose AI models with systemic risks who do not adhere to an approved code of practice or do not comply with a European harmonised standard shall demonstrate alternative adequate means of compliance for assessment by the Commission.

2. Yleiskäyttöisten tekoälymallien, joihin liittyy systeeminen riski, tarjoajat voivat tukeutua 56 artiklassa tarkoitettuihin käytännesääntöihin, jotka osoittavat tämän artiklan 1 kohdassa vahvistettujen velvoitteiden noudattamisen, kunnes yhdenmukaistettu standardi julkaistaan. Eurooppalaisten yhdenmukaistettujen standardien noudattaminen antaa tarjoajille vaatimuksenmukaisuusolettaman siltä osin kuin kyseiset standardit kattavat kyseiset velvoitteet Sellaisten yleiskäyttöisten tekoälymallien tarjoajien, joihin liittyy systeemisiä riskejä ja jotka eivät noudata hyväksyttyjä käytännesääntöjä tai eurooppalaisia yhdenmukaistettuja standardeja, on osoitettava riittävät vaihtoehtoiset menetelmät vaatimusten täyttämiseksi komission arviointia varten.

3. Any information or documentation obtained pursuant to this Article, including trade secrets, shall be treated in accordance with the confidentiality obligations set out in Article 78.

3. Kaikkea tämän artiklan nojalla saatua tietoa ja dokumentaatiota, mukaan lukien liikesalaisuudet, on käsiteltävä 78 artiklassa säädettyjen salassapitovelvollisuuksien mukaisesti.

SECTION 4

4 JAKSO

Codes of practice

Käytännesäännöt

Article 56

56 artikla

Codes of practice

Käytännesäännöt

1. The AI Office shall encourage and facilitate the drawing up of codes of practice at Union level in order to contribute to the proper application of this Regulation, taking into account international approaches.

1. Tekoälytoimisto edistää ja helpottaa käytännesääntöjen laatimista unionin tasolla tämän asetuksen asianmukaisen soveltamisen edistämiseksi ottaen huomioon kansainväliset lähestymistavat.

2. The AI Office and the Board shall aim to ensure that the codes of practice cover at least the obligations provided for in Articles 53 and 55, including the following issues:

2. Tekoälytoimisto ja tekoälyneuvosto pyrkivät varmistamaan, että käytännesäännöt kattavat ainakin 53 ja 55 artiklassa säädetyt velvoitteet, mukaan lukien seuraavat seikat:

(a)

the means to ensure that the information referred to in Article 53(1), points (a) and (b), is kept up to date in light of market and technological developments;

keinot varmistaa, että 53 artiklan 1 kohdan a ja b alakohdassa tarkoitetut tiedot pidetään ajan tasalla markkinoiden ja teknologian kehityksen valossa;

(b)

the adequate level of detail for the summary about the content used for training;

koulutukseen käytettyä sisältöä koskevan tiivistelmän riittävä yksityiskohtaisuuden taso;

(c)

the identification of the type and nature of the systemic risks at Union level, including their sources, where appropriate;

systeemisten riskien tyypin ja luonteen tunnistaminen unionin tasolla, mukaan lukien tarvittaessa niiden lähteet;

(d)

the measures, procedures and modalities for the assessment and management of the systemic risks at Union level, including the documentation thereof, which shall be proportionate to the risks, take into consideration their severity and probability and take into account the specific challenges of tackling those risks in light of the possible ways in which such risks may emerge and materialise along the AI value chain.

unionin tasolla toteutettavan systeemisten riskien arvioinnin ja hallinnoinnin toimenpiteet, menettelyt ja yksityiskohtaiset säännöt, mukaan lukien niiden dokumentointi; arvioinnin ja hallinnoinnin on oltava oikeassa suhteessa riskeihin nähden, niissä on otettava huomioon riskien vakavuus ja todennäköisyys sekä erityiset haasteet, joita näihin riskeihin puuttumiseen liittyy, kun otetaan huomioon mahdolliset tavat, joilla tällaisia riskejä voi syntyä ja joilla ne voivat konkretisoitua tekoälyn arvoketjussa.

3. The AI Office may invite all providers of general-purpose AI models, as well as relevant national competent authorities, to participate in the drawing-up of codes of practice. Civil society organisations, industry, academia and other relevant stakeholders, such as downstream providers and independent experts, may support the process.

3. Tekoälytoimisto voi kutsua kaikki yleiskäyttöisten tekoälymallien tarjoajat ja asiaankuuluvat kansalliset toimivaltaiset viranomaiset osallistumaan käytännesääntöjen laatimiseen. Kansalaisjärjestöt, toimiala, tiedeyhteisö ja muut asiaankuuluvat sidosryhmät, kuten ketjun loppupään tarjoajat ja riippumattomat asiantuntijat, voivat tukea prosessia.

4. The AI Office and the Board shall aim to ensure that the codes of practice clearly set out their specific objectives and contain commitments or measures, including key performance indicators as appropriate, to ensure the achievement of those objectives, and that they take due account of the needs and interests of all interested parties, including affected persons, at Union level.

4. Tekoälytoimisto ja tekoälyneuvosto pyrkivät varmistamaan, että käytännesäännöissä esitetään selkeästi niiden erityistavoitteet ja että ne sisältävät sitoumuksia tai toimenpiteitä, mukaan lukien tarvittaessa keskeiset tulosindikaattorit, joilla varmistetaan näiden tavoitteiden saavuttaminen, ja että niissä otetaan asianmukaisesti huomioon kaikkien asianomaisten osapuolten, myös henkilöiden, joihin vaikutukset kohdistuvat, tarpeet ja edut unionin tasolla.

5. The AI Office shall aim to ensure that participants to the codes of practice report regularly to the AI Office on the implementation of the commitments and the measures taken and their outcomes, including as measured against the key performance indicators as appropriate. Key performance indicators and reporting commitments shall reflect differences in size and capacity between various participants.

5. Tekoälytoimiston on pyrittävä varmistamaan, että käytännesääntöjä noudattavat osapuolet raportoivat säännöllisesti tekoälytoimistolle sitoumusten täytäntöönpanosta ja toteutetuista toimenpiteistä ja niiden tuloksista, myös keskeisillä tulosindikaattoreilla mitattuna tapauksen mukaan. Keskeiset tulosindikaattorit ja raportointisitoumukset kuvaavat eri osallistujien koossa ja valmiuksissa olevia eroja.

6. The AI Office and the Board shall regularly monitor and evaluate the achievement of the objectives of the codes of practice by the participants and their contribution to the proper application of this Regulation. The AI Office and the Board shall assess whether the codes of practice cover the obligations provided for in Articles 53 and 55, and shall regularly monitor and evaluate the achievement of their objectives. They shall publish their assessment of the adequacy of the codes of practice.

6. Tekoälytoimisto ja tekoälyneuvosto seuraavat ja arvioivat säännöllisesti, miten osallistujat saavuttavat käytännesääntöjen tavoitteet ja miten ne edistävät tämän asetuksen asianmukaista soveltamista. Tekoälytoimisto ja tekoälyneuvosto arvioivat, kattavatko käytännesäännöt 53 ja 55 artiklassa säädetyt velvoitteet, ja seuraavat ja arvioivat säännöllisesti käytännesääntöjen tavoitteiden saavuttamista. Ne julkaisevat arvionsa käytännesääntöjen riittävyydestä.

The Commission may, by way of an implementing act, approve a code of practice and give it a general validity within the Union. That implementing act shall be adopted in accordance with the examination procedure referred to in Article 98(2).

Komissio voi hyväksyä käytännesäännöt täytäntöönpanosäädöksellä tehdäkseen niistä yleisesti päteviä unionissa. Tämä täytäntöönpanosäädös hyväksytään 98 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

7. The AI Office may invite all providers of general-purpose AI models to adhere to the codes of practice. For providers of general-purpose AI models not presenting systemic risks this adherence may be limited to the obligations provided for in Article 53, unless they declare explicitly their interest to join the full code.

7. Tekoälytoimisto voi kutsua kaikki yleiskäyttöisten tekoälymallien tarjoajat noudattamaan käytännesääntöjä. Sellaisten yleiskäyttöisten tekoälymallien tarjoajien osalta, joihin ei liity systeemisiä riskejä, sääntöjen noudattaminen voidaan rajoittaa 53 artiklassa säädettyihin velvoitteisiin, paitsi jos ne nimenomaisesti ilmoittavat olevansa kiinnostuneita noudattamaan käytännesääntöjä kokonaisuudessaan.

8. The AI Office shall, as appropriate, also encourage and facilitate the review and adaptation of the codes of practice, in particular in light of emerging standards. The AI Office shall assist in the assessment of available standards.

8. Tekoälytoimisto tarvittaessa myös edistää ja helpottaa käytännesääntöjen tarkistamista ja mukauttamista erityisesti uusien standardien huomioon ottamiseksi. Tekoälytoimisto avustaa käytettävissä olevien standardien arvioinnissa.

9. Codes of practice shall be ready at the latest by 2 May 2025. The AI Office shall take the necessary steps, including inviting providers pursuant to paragraph 7.

9. Käytännesääntöjen on oltava valmiita viimeistään 2 päivänä toukokuuta 2025. Tekoälytoimiston on toteutettava tarvittavat toimenpiteet, mukaan lukien tarjoajien kutsuminen 7 kohdan mukaisesti.

If, by 2 August 2025, a code of practice cannot be finalised, or if the AI Office deems it is not adequate following its assessment under paragraph 6 of this Article, the Commission may provide, by means of implementing acts, common rules for the implementation of the obligations provided for in Articles 53 and 55, including the issues set out in paragraph 2 of this Article. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 98(2).

Jos käytännesääntöjä ei voida viimeistellä viimeistään 2 päivänä elokuuta 2025 tai jos tekoälytoimisto pitää niitä riittämättöminä sen toteutettua arvion tämän artiklan 6 kohdan mukaisesti, komissio voi vahvistaa täytäntöönpanosäädöksillä yhteiset säännöt 53 ja 55 artiklassa säädettyjen velvoitteiden täytäntöönpanemiseksi, mukaan lukien tämän artiklan 2 kohdassa esitetyt seikat. Nämä täytäntöönpanosäädökset hyväksytään 98 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

CHAPTER VI

VI LUKU

MEASURES IN SUPPORT OF INNOVATION

INNOVOINTIA TUKEVAT TOIMENPITEET

Article 57

57 artikla

AI regulatory sandboxes

Tekoälyn sääntelyn testiympäristöt

1. Member States shall ensure that their competent authorities establish at least one AI regulatory sandbox at national level, which shall be operational by 2 August 2026. That sandbox may also be established jointly with the competent authorities of other Member States. The Commission may provide technical support, advice and tools for the establishment and operation of AI regulatory sandboxes.

1. Jäsenvaltioiden on varmistettava, että niiden toimivaltaiset viranomaiset perustavat kansallisella tasolla vähintään yhden tekoälyn sääntelyn testiympäristön, jonka on oltava toiminnassa viimeistään 2 päivänä elokuuta 2026. Kyseinen testiympäristö voidaan perustaa myös muiden jäsenvaltioiden toimivaltaisten viranomaisten kanssa. Komissio voi antaa teknistä tukea, neuvoja ja työkaluja tekoälyn sääntelyn testiympäristöjen perustamista ja toimintaa varten.

The obligation under the first subparagraph may also be fulfilled by participating in an existing sandbox in so far as that participation provides an equivalent level of national coverage for the participating Member States.

Ensimmäisessä alakohdassa asetettu velvoite voidaan täyttää myös osallistumalla olemassa olevaan testiympäristöön, jos kyseinen osallistuminen tarjoaa samantasoisen kansallisen kattavuuden osallistuville jäsenvaltioille.

2. Additional AI regulatory sandboxes at regional or local level, or established jointly with the competent authorities of other Member States may also be established.

2. Lisäksi voidaan perustaa tekoälyn sääntelyn testiympäristöjä alueellisella tai paikallisella tasolla tai yhdessä muiden jäsenvaltioiden toimivaltaisten viranomaisten kanssa.

3. The European Data Protection Supervisor may also establish an AI regulatory sandbox for Union institutions, bodies, offices and agencies, and may exercise the roles and the tasks of national competent authorities in accordance with this Chapter.

3. Euroopan tietosuojavaltuutettu voi myös perustaa tekoälyn sääntelyn testiympäristön unionin toimielimille, elimille, toimistoille ja virastoille ja hoitaa kansallisten toimivaltaisten viranomaisten toimet ja tehtävät tämän luvun mukaisesti.

4. Member States shall ensure that the competent authorities referred to in paragraphs 1 and 2 allocate sufficient resources to comply with this Article effectively and in a timely manner. Where appropriate, national competent authorities shall cooperate with other relevant authorities, and may allow for the involvement of other actors within the AI ecosystem. This Article shall not affect other regulatory sandboxes established under Union or national law. Member States shall ensure an appropriate level of cooperation between the authorities supervising those other sandboxes and the national competent authorities.

4. Jäsenvaltioiden on varmistettava, että 1 ja 2 kohdassa tarkoitetut toimivaltaiset viranomaiset osoittavat riittävät resurssit tämän artiklan noudattamiseksi tehokkaasti ja oikea-aikaisesti. Kansallisten toimivaltaisten viranomaisten on tarvittaessa tehtävä yhteistyötä muiden asiaankuuluvien viranomaisten kanssa, ja ne voivat sallia muiden toimijoiden osallistumisen tekoälyekosysteemiin. Tämä artikla ei vaikuta muihin unionin tai kansallisen lainsäädännön nojalla perustettuihin sääntelyn testiympäristöihin. Jäsenvaltioiden on varmistettava asianmukainen yhteistyön taso kyseisiä muita testiympäristöjä valvovien viranomaisten ja kansallisten toimivaltaisten viranomaisten välillä.

5. AI regulatory sandboxes established under paragraph 1 shall provide for a controlled environment that fosters innovation and facilitates the development, training, testing and validation of innovative AI systems for a limited time before their being placed on the market or put into service pursuant to a specific sandbox plan agreed between the providers or prospective providers and the competent authority. Such sandboxes may include testing in real world conditions supervised therein.

5. Edellä olevan 1 kohdan mukaisesti perustettujen tekoälyn sääntelyn testiympäristöjen on tarjottava valvottu ympäristö, joka edistää innovointia ja helpottaa innovatiivisten tekoälyjärjestelmien kehittämistä, koulutusta, testausta ja validointia rajoitetun ajan ennen kuin ne saatetaan markkinoille tai otetaan käyttöön tarjoajien tai mahdollisten tarjoajien ja toimivaltaisen viranomaisen keskenään sopiman erityisen testiympäristösuunnitelman mukaisesti. Tällaisiin testiympäristöihin voi sisältyä niissä valvottu tosielämän olosuhteissa tapahtuva testaus.

6. Competent authorities shall provide, as appropriate, guidance, supervision and support within the AI regulatory sandbox with a view to identifying risks, in particular to fundamental rights, health and safety, testing, mitigation measures, and their effectiveness in relation to the obligations and requirements of this Regulation and, where relevant, other Union and national law supervised within the sandbox.

6. Toimivaltaisten viranomaisten on tarvittaessa annettava tekoälyn sääntelyn testiympäristössä ohjausta, valvontaa ja tukea, joka liittyy erityisesti perusoikeuksiin, terveyteen ja turvallisuuteen, testaukseen ja lieventäviin toimenpiteisiin liittyvien riskien tunnistamiseen sekä niiden tehokkuuteen suhteessa tämän asetuksen ja asianmukaisissa tapauksissa muun testiympäristössä valvotun unionin ja kansallisen lainsäädännön velvoitteisiin ja vaatimuksiin.

7. Competent authorities shall provide providers and prospective providers participating in the AI regulatory sandbox with guidance on regulatory expectations and how to fulfil the requirements and obligations set out in this Regulation.

7. Toimivaltaisten viranomaisten on annettava tekoälyn sääntelyn testiympäristöön osallistuville tarjoajille ja mahdollisille tarjoajille ohjeita valvonnan odotuksista ja siitä, miten ne täyttävät tässä asetuksessa säädetyt vaatimukset ja velvoitteet.

Upon request of the provider or prospective provider of the AI system, the competent authority shall provide a written proof of the activities successfully carried out in the sandbox. The competent authority shall also provide an exit report detailing the activities carried out in the sandbox and the related results and learning outcomes. Providers may use such documentation to demonstrate their compliance with this Regulation through the conformity assessment process or relevant market surveillance activities. In this regard, the exit reports and the written proof provided by the national competent authority shall be taken positively into account by market surveillance authorities and notified bodies, with a view to accelerating conformity assessment procedures to a reasonable extent.

Toimivaltainen viranomainen esittää tekoälyjärjestelmän tarjoajan tai mahdollisen tarjoajan pyynnöstä kirjallisen todisteen testiympäristössä onnistuneesti suoritetuista toimista. Toimivaltainen viranomainen antaa myös loppuraportin, jossa eritellään testiympäristössä suoritetut toimet sekä niihin liittyvät tulokset ja oppimistulokset. Tarjoajat voivat käyttää tällaisia asiakirjoja osoittaakseen noudattavansa tätä asetusta vaatimustenmukaisuuden arviointimenettelyn tai asiaankuuluvien markkinavalvontatoimien avulla. Tältä osin markkinavalvontaviranomaisten ja ilmoitettujen laitosten on otettava kansallisen toimivaltaisen viranomaisen toimittamat loppuraportit ja kirjallinen todiste huomioon vaatimustenmukaisuuden arviointimenettelyjen nopeuttamiseksi kohtuullisessa määrin.

8. Subject to the confidentiality provisions in Article 78, and with the agreement of the provider or prospective provider, the Commission and the Board shall be authorised to access the exit reports and shall take them into account, as appropriate, when exercising their tasks under this Regulation. If both the provider or prospective provider and the national competent authority explicitly agree, the exit report may be made publicly available through the single information platform referred to in this Article.

8. Jollei 78 artiklan luottamuksellisuussäännöksistä muuta johdu ja tarjoajan tai mahdollisen tarjoajan suostumuksella komissiolla ja tekoälyneuvostolla on oikeus tutustua loppuraportteihin, ja ne ottavat ne tarvittaessa huomioon suorittaessaan tämän asetuksen mukaisia tehtäviään. Jos sekä tarjoaja tai mahdollinen tarjoaja että kansallinen toimivaltainen viranomainen antavat nimenomaisen suostumuksensa, loppuraportti voidaan asettaa yleisön saataville tässä artiklassa tarkoitetun yhtenäisen tietoalustan kautta.

9. The establishment of AI regulatory sandboxes shall aim to contribute to the following objectives:

9. Tekoälyn sääntelyn testiympäristöjen perustamisella on pyrittävä edistämään seuraavia tavoitteita:

(a)

improving legal certainty to achieve regulatory compliance with this Regulation or, where relevant, other applicable Union and national law;

parannetaan oikeusvarmuutta tämän asetuksen säännösten tai tarvittaessa muun sovellettavan unionin ja kansallisen lainsäädännön noudattamiseksi;

(b)

supporting the sharing of best practices through cooperation with the authorities involved in the AI regulatory sandbox;

tuetaan parhaiden käytäntöjen jakamista tekemällä yhteistyötä tekoälyn sääntelyn testiympäristöön osallistuvien viranomaisten kanssa;

(c)

fostering innovation and competitiveness and facilitating the development of an AI ecosystem;

edistetään innovointia ja kilpailukykyä sekä tekoälyekosysteemin kehittämistä;

(d)

contributing to evidence-based regulatory learning;

edistetään näyttöön perustuvaa sääntelyyn liittyvää oppimista;

(e)

facilitating and accelerating access to the Union market for AI systems, in particular when provided by SMEs, including start-ups.

edistetään ja vauhditetaan tekoälyjärjestelmien unionin markkinoille pääsyä, erityisesti kun niitä tarjoavat pk-yritykset, mukaan lukien startup-yritykset.

10. National competent authorities shall ensure that, to the extent the innovative AI systems involve the processing of personal data or otherwise fall under the supervisory remit of other national authorities or competent authorities providing or supporting access to data, the national data protection authorities and those other national or competent authorities are associated with the operation of the AI regulatory sandbox and involved in the supervision of those aspects to the extent of their respective tasks and powers.

10. Kansallisten toimivaltaisten viranomaisten on varmistettava, että siltä osin kuin innovatiivisiin tekoälyjärjestelmiin liittyy henkilötietojen käsittelyä tai ne muutoin kuuluvat muiden tietoihin pääsyä tarjoavien tai sitä tukevien kansallisten viranomaisten tai toimivaltaisten viranomaisten valvonnan piiriin, kansalliset tietosuojaviranomaiset ja kyseiset muut kansalliset tai toimivaltaiset viranomaiset ovat mukana tekoälyn sääntelyn testiympäristön toiminnassa ja näiden näkökohtien valvonnassa, kukin tehtäviensä ja valtuuksiensa laajuudessa.

11. The AI regulatory sandboxes shall not affect the supervisory or corrective powers of the competent authorities supervising the sandboxes, including at regional or local level. Any significant risks to health and safety and fundamental rights identified during the development and testing of such AI systems shall result in an adequate mitigation. National competent authorities shall have the power to temporarily or permanently suspend the testing process, or the participation in the sandbox if no effective mitigation is possible, and shall inform the AI Office of such decision. National competent authorities shall exercise their supervisory powers within the limits of the relevant law, using their discretionary powers when implementing legal provisions in respect of a specific AI regulatory sandbox project, with the objective of supporting innovation in AI in the Union.

11. Tekoälyn sääntelyn testiympäristöt eivät saa vaikuttaa testiympäristöä valvovien toimivaltaisten viranomaisten valvonta- tai korjaaviin valtuuksiin, myöskään alueellisella tai paikallisella tasolla. Tällaisten tekoälyjärjestelmien kehittämisen ja testauksen aikana havaittuja terveyteen ja turvallisuuteen sekä perusoikeuksiin kohdistuvia merkittäviä riskejä on asianmukaisesti vähennettävä. Kansallisilla toimivaltaisilla viranomaisilla on oltava valtuudet keskeyttää testausprosessi tai osallistuminen testiympäristöön toistaiseksi tai kokonaan, jos tehokas lieventäminen ei ole mahdollista, ja niiden on ilmoitettava tällaisesta päätöksestä tekoälytoimistolle. Kansallisten toimivaltaisten viranomaisten on käytettävä valvontavaltuuksiaan asiaankuuluvan lainsäädännön puitteissa käyttäen harkintavaltaansa pannessaan täytäntöön säännöksiä tietyn tekoälyn sääntelyn testiympäristöhankkeen osalta siten, että tavoitteena on tekoälyinnovoinnin tukeminen unionissa.

12. Providers and prospective providers participating in the AI regulatory sandbox shall remain liable under applicable Union and national liability law for any damage inflicted on third parties as a result of the experimentation taking place in the sandbox. However, provided that the prospective providers observe the specific plan and the terms and conditions for their participation and follow in good faith the guidance given by the national competent authority, no administrative fines shall be imposed by the authorities for infringements of this Regulation. Where other competent authorities responsible for other Union and national law were actively involved in the supervision of the AI system in the sandbox and provided guidance for compliance, no administrative fines shall be imposed regarding that law.

12. Tekoälyn sääntelyn testiympäristöön osallistuvat tarjoajat ja mahdolliset tarjoajat ovat sovellettavan unionin ja kansallisen vastuulainsäädännön nojalla edelleen vastuussa vahingoista, joita kolmansille osapuolille mahdollisesti aiheutuu testiympäristössä suoritettavien kokeiden seurauksena. Jos kuitenkin mahdolliset tarjoajat noudattavat erityissuunnitelmaa ja osallistumisensa ehtoja ja ne noudattavat vilpittömässä mielessä kansallisen toimivaltaisen viranomaisten antamia ohjeita, viranomaiset eivät saa määrätä hallinnollisia sakkoja tämän asetuksen rikkomisesta. Jos muusta unionin ja kansallisesta lainsäädännöstä vastaavat muut toimivaltaiset viranomaiset osallistuivat aktiivisesti tekoälyjärjestelmän valvontaan testiympäristössä ja antoivat ohjausta vaatimusten noudattamisesta, kyseisen lainsäädännön osalta ei määrätä hallinnollisia sakkoja.

13. The AI regulatory sandboxes shall be designed and implemented in such a way that, where relevant, they facilitate cross-border cooperation between national competent authorities.

13. Tekoälyn sääntelyn testiympäristöt on suunniteltava ja pantava täytäntöön siten, että niillä helpotetaan tarvittaessa rajatylittävää yhteistyötä kansallisten toimivaltaisten viranomaisten välillä.

14. National competent authorities shall coordinate their activities and cooperate within the framework of the Board.

14. Kansallisten toimivaltaisten viranomaisten on koordinoitava toimintaansa ja tehtävä yhteistyötä tekoälyneuvoston puitteissa.

15. National competent authorities shall inform the AI Office and the Board of the establishment of a sandbox, and may ask them for support and guidance. The AI Office shall make publicly available a list of planned and existing sandboxes and keep it up to date in order to encourage more interaction in the AI regulatory sandboxes and cross-border cooperation.

15. Kansallisten toimivaltaisten viranomaisten on ilmoitettava tekoälytoimistolle ja -neuvostolle testiympäristön perustamisesta, ja ne voivat pyytää niiltä tukea ja ohjeita. Tekoälytoimisto asettaa julkisesti saataville luettelon suunnitelluista ja olemassa olevista testiympäristöistä ja pitää sen ajan tasalla, jotta voidaan lisätä vuorovaikutusta tekoälyn sääntelyn testiympäristöissä ja rajatylittävässä yhteistyössä.

16. National competent authorities shall submit annual reports to the AI Office and to the Board, from one year after the establishment of the AI regulatory sandbox and every year thereafter until its termination, and a final report. Those reports shall provide information on the progress and results of the implementation of those sandboxes, including best practices, incidents, lessons learnt and recommendations on their setup and, where relevant, on the application and possible revision of this Regulation, including its delegated and implementing acts, and on the application of other Union law supervised by the competent authorities within the sandbox. The national competent authorities shall make those annual reports or abstracts thereof available to the public, online. The Commission shall, where appropriate, take the annual reports into account when exercising its tasks under this Regulation.

16. Kansallisten toimivaltaisten viranomaisten on toimitettava vuosikertomus tekoälytoimistolle ja -neuvostolle vuoden kuluttua tekoälyn sääntelyn testiympäristön perustamisesta ja sen jälkeen joka vuosi testiympäristön lopettamiseen saakka, sekä loppukertomus. Näissä kertomuksissa on annettava tietoa testiympäristöjen toteuttamisen etenemisestä ja tuloksista, mukaan lukien niiden perustamiseen liittyvät hyvät käytännöt, vaaratilanteet, saadut kokemukset ja suositukset, sekä tarvittaessa tämän asetuksen, myös siihen liittyvien delegoitujen ja täytäntöönpanosäädösten, soveltamisesta ja mahdollisesta tarkistamisesta ja toimivaltaisten viranomaisten testiympäristössä valvoman unionin oikeuden soveltamisesta. Kansallisten toimivaltaisten viranomaisten on asetettava nämä vuosikertomukset tai niiden tiivistelmät yleisön saataville verkossa. Komissio ottaa vuotuiset raportit tarvittaessa huomioon suorittaessaan tämän asetuksen mukaisia tehtäviään.

17. The Commission shall develop a single and dedicated interface containing all relevant information related to AI regulatory sandboxes to allow stakeholders to interact with AI regulatory sandboxes and to raise enquiries with competent authorities, and to seek non-binding guidance on the conformity of innovative products, services, business models embedding AI technologies, in accordance with Article 62(1), point (c). The Commission shall proactively coordinate with national competent authorities, where relevant.

17. Komissio kehittää keskitetyn erityisen käyttöliittymän, joka sisältää kaikki merkitykselliset tekoälyn sääntelyn testiympäristöihin liittyvät tiedot, jotta sidosryhmät voivat olla vuorovaikutuksessa tekoälyn sääntelyn testiympäristöjen kanssa ja esittää tiedusteluja toimivaltaisille viranomaisille ja pyytää ei-sitovaa ohjeistusta tekoälyteknologiaa sisältävien innovatiivisten tuotteiden, palvelujen tai liiketoimintamallien vaatimustenmukaisuudesta tämän asetuksen 62 artiklan 1 kohdan c alakohdan mukaisesti. Komissio koordinoi toimia ennakoivasti tapauksen mukaan kansallisten toimivaltaisten viranomaisten kanssa.

Article 58

58 artikla

Detailed arrangements for, and functioning of, AI regulatory sandboxes

Tekoälyn sääntelyn testiympäristöjen yksityiskohtaiset järjestelyt ja toiminta

1. In order to avoid fragmentation across the Union, the Commission shall adopt implementing acts specifying the detailed arrangements for the establishment, development, implementation, operation and supervision of the AI regulatory sandboxes. The implementing acts shall include common principles on the following issues:

1. Jotta vältetään hajanaisuus unionissa, komissio hyväksyy täytäntöönpanosäädöksiä, joissa esitetään tekoälyn sääntelyn testiympäristöjen perustamista, kehittämistä, täytäntöönpanoa, toimintaa ja valvontaa koskevat yksityiskohtaiset järjestelyt. Täytäntöönpanosäädöksiin on sisällytettävä yhteiset periaatteet seuraavista kysymyksistä:

(a)

eligibility and selection criteria for participation in the AI regulatory sandbox;

kelpoisuus ja valintaperusteet tekoälyn sääntelyn testiympäristöön osallistumiseksi;

(b)

procedures for the application, participation, monitoring, exiting from and termination of the AI regulatory sandbox, including the sandbox plan and the exit report;

menettelyt tekoälyn sääntelyn testiympäristöön hakemiseksi, osallistumiseksi, sen seuraamiseksi, siitä poistumiseksi ja sen lopettamiseksi, mukaan lukien testiympäristösuunnitelma ja loppuraportti;

(c)

the terms and conditions applicable to the participants.

osallistujiin sovellettavat ehdot ja edellytykset.

Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 98(2).

Nämä täytäntöönpanosäädökset hyväksytään 98 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

2. The implementing acts referred to in paragraph 1 shall ensure:

2. Tämän artiklan 1 kohdassa tarkoitetuilla täytäntöönpanosäädöksillä on varmistettava:

(a)

that AI regulatory sandboxes are open to any applying provider or prospective provider of an AI system who fulfils eligibility and selection criteria, which shall be transparent and fair, and that national competent authorities inform applicants of their decision within three months of the application;

että tekoälyn sääntelyn testiympäristöt ovat avoimia kaikille tekoälyjärjestelmän tarjoajille tai mahdollisille tarjoajille, jotka täyttävät kelpoisuus- ja valintaperusteet, joiden on oltava läpinäkyviä ja oikeudenmukaisia, ja että kansalliset toimivaltaiset viranomaiset ilmoittavat hakijoille päätöksestään kolmen kuukauden kuluessa hakemuksen jättämisestä;

(b)

that AI regulatory sandboxes allow broad and equal access and keep up with demand for participation; providers and prospective providers may also submit applications in partnerships with deployers and other relevant third parties;

että tekoälyn sääntelyn testiympäristöihin on laaja ja yhtäläinen mahdollisuus osallistua, ja ne kykenevät vastaamaan osallistumisesta kiinnostuneiden kysyntään; tarjoajat ja mahdolliset tarjoajat voivat myös jättää hakemuksia yhdessä käyttöönottajien tai muiden asiaankuuluvien kolmansien osapuolten kanssa;

(c)

that the detailed arrangements for, and conditions concerning AI regulatory sandboxes support, to the best extent possible, flexibility for national competent authorities to establish and operate their AI regulatory sandboxes;

että tekoälyn sääntelyn testiympäristöjä koskevat yksityiskohtaiset järjestelyt ja edellytykset tukevat mahdollisimman laajalti kansallisten toimivaltaisten viranomaisten joustavuutta tekoälyn sääntelyn testiympäristöjen perustamisessa ja toiminnassa;

(d)

that access to the AI regulatory sandboxes is free of charge for SMEs, including start-ups, without prejudice to exceptional costs that national competent authorities may recover in a fair and proportionate manner;

että tekoälyn sääntelyn testiympäristöihin pääsy on pk-yrityksille, myös startup-yrityksille, maksutonta, sanotun kuitenkaan rajoittamatta kansallisten toimivaltaisten viranomaisten oikeutta periä poikkeuksellisia kustannuksia oikeudenmukaisesti ja oikeasuhteisesti;

(e)

that they facilitate providers and prospective providers, by means of the learning outcomes of the AI regulatory sandboxes, in complying with conformity assessment obligations under this Regulation and the voluntary application of the codes of conduct referred to in Article 95;

että ne auttavat tarjoajia ja mahdollisia tarjoajia tekoälyn sääntelyn testiympäristöistä saatujen oppimistulosten avulla noudattamaan tämän asetuksen mukaisia vaatimustenmukaisuuden arviointivelvoitteitaan ja toteuttamaan 95 artiklassa tarkoitettujen käytännesääntöjen vapaaehtoisen soveltamisen valvotussa ympäristössä;

(f)

that AI regulatory sandboxes facilitate the involvement of other relevant actors within the AI ecosystem, such as notified bodies and standardisation organisations, SMEs, including start-ups, enterprises, innovators, testing and experimentation facilities, research and experimentation labs and European Digital Innovation Hubs, centres of excellence, individual researchers, in order to allow and facilitate cooperation with the public and private sectors;

että tekoälyn sääntelyn testiympäristöt helpottavat muiden asiaankuuluvien toimijoiden, kuten ilmoitettujen laitosten ja standardointiorganisaatioiden, pk-yritysten, myös startup-yritysten, yritysten, innovoijien, testaus- ja kokeilulaitosten, tutkimus- ja kokeilulaboratorioiden ja eurooppalaisten digitaali-innovointikeskittymien, osaamiskeskusten sekä yksittäiset tutkijoiden, osallistumista tekoälyekosysteemiin, jotta yhteistyö julkisen ja yksityisen sektorin kanssa olisi mahdollista ja helpompaa;

(g)

that procedures, processes and administrative requirements for application, selection, participation and exiting the AI regulatory sandbox are simple, easily intelligible, and clearly communicated in order to facilitate the participation of SMEs, including start-ups, with limited legal and administrative capacities and are streamlined across the Union, in order to avoid fragmentation and that participation in an AI regulatory sandbox established by a Member State, or by the European Data Protection Supervisor is mutually and uniformly recognised and carries the same legal effects across the Union;

että tekoälyn sääntelyn testiympäristöön hakemista, valintaa, siihen osallistumista ja siitä poistumista koskevat menettelyt, prosessit ja hallinnolliset vaatimukset ovat yksinkertaisia, helposti ymmärrettäviä ja niistä tiedotetaan selkeästi, jotta helpotetaan sellaisten pk-yritysten ja startup-yritysten osallistumista, joilla on rajalliset oikeudelliset ja hallinnolliset valmiudet, ja ne yhdenmukaistetaan kautta unionin, jotta vältetään hajanaisuus ja varmistetaan, että osallistuminen jäsenvaltion tai Euroopan tietosuojavaltuutetun perustamaan tekoälyn sääntelyn testiympäristöön tunnustetaan vastavuoroisesti ja yhtäläisesti ja että sillä on samat oikeusvaikutukset kaikkialla unionissa;

(h)

that participation in the AI regulatory sandbox is limited to a period that is appropriate to the complexity and scale of the project and that may be extended by the national competent authority;

että tekoälyn sääntelyn testiympäristöön osallistumisen kesto rajataan ajanjaksoon, joka on asianmukainen suhteessa hankkeen monimutkaisuuteen ja laajuuteen ja jota toimivaltainen kansallinen viranomainen voi pidentää;

(i)

that AI regulatory sandboxes facilitate the development of tools and infrastructure for testing, benchmarking, assessing and explaining dimensions of AI systems relevant for regulatory learning, such as accuracy, robustness and cybersecurity, as well as measures to mitigate risks to fundamental rights and society at large.

että tekoälyn sääntelyn testiympäristöt helpottavat sellaisten välineiden ja infrastruktuurin kehittämistä, joiden avulla voidaan testata, vertailla, arvioida ja selittää tekoälyjärjestelmien sellaisia sääntelyyn liittyvän oppimisen kannalta merkityksellisiä ulottuvuuksia kuin tarkkuus, vakaus ja kyberturvallisuus, sekä toimia perusoikeuksiin ja yleensä yhteiskuntaan kohdistuvien riskien lieventämiseksi.

3. Prospective providers in the AI regulatory sandboxes, in particular SMEs and start-ups, shall be directed, where relevant, to pre-deployment services such as guidance on the implementation of this Regulation, to other value-adding services such as help with standardisation documents and certification, testing and experimentation facilities, European Digital Innovation Hubs and centres of excellence.

3. Tekoälyn sääntelyn testiympäristöön osallistuvat mahdolliset tarjoajat, erityisesti pk-yritykset ja startup-yritykset, ohjataan tarvittaessa saamaan käyttöönottoa edeltäviä palveluja, kuten ohjeita tämän asetuksen täytäntöönpanoa varten, ja muita lisäarvoa tuottavia palveluja, kuten apua standardointiasiakirjojen ja sertifioinnin, testaus- ja kokeilulaitosten, eurooppalaisten digitaali-innovaatiokeskittymien ja osaamiskeskusten kanssa.

4. Where national competent authorities consider authorising testing in real world conditions supervised within the framework of an AI regulatory sandbox to be established under this Article, they shall specifically agree the terms and conditions of such testing and, in particular, the appropriate safeguards with the participants, with a view to protecting fundamental rights, health and safety. Where appropriate, they shall cooperate with other national competent authorities with a view to ensuring consistent practices across the Union.

4. Kun kansalliset toimivaltaiset viranomaiset harkitsevat testauksen sallimista tosielämän olosuhteissa, joita valvotaan tämän artiklan nojalla perustettavan tekoälyn sääntelyn testiympäristön puitteissa, niiden on nimenomaisesti sovittava osallistujien kanssa tällaisen testauksen ehdoista ja edellytyksistä ja erityisesti asianmukaisista suojatoimista perusoikeuksien, terveyden ja turvallisuuden suojelemiseksi. Niiden on tarvittaessa tehtävä yhteistyötä muiden kansallisten toimivaltaisten viranomaisten kanssa yhdenmukaisten käytäntöjen varmistamiseksi koko unionissa.

Article 59

59 artikla

Further processing of personal data for developing certain AI systems in the public interest in the AI regulatory sandbox

Henkilötietojen jatkokäsittely tiettyjen yleisen edun mukaisten tekoälyjärjestelmien kehittämiseksi tekoälyn sääntelyn testiympäristössä

1. In the AI regulatory sandbox, personal data lawfully collected for other purposes may be processed solely for the purpose of developing, training and testing certain AI systems in the sandbox when all of the following conditions are met:

1. Tekoälyn sääntelyn testiympäristössä muihin tarkoituksiin laillisesti kerättyjä henkilötietoja voidaan käsitellä yksinomaan tiettyjen tekoälyjärjestelmien kehittämiseksi, kouluttamiseksi ja testaamiseksi, kun kaikki seuraavat edellytykset täyttyvät:

(a)

AI systems shall be developed for safeguarding substantial public interest by a public authority or another natural or legal person and in one or more of the following areas:

viranomainen tai muu luonnollinen tai oikeushenkilö kehittää tekoälyjärjestelmiä tärkeän yleisen edun turvaamiseksi yhdellä tai useammalla seuraavista aloista:

(i)

public safety and public health, including disease detection, diagnosis prevention, control and treatment and improvement of health care systems;

yleinen turvallisuus ja kansanterveys, mukaan lukien tautien havaitseminen, diagnosointi, ehkäisy, torjunta ja hoito sekä terveydenhuoltojärjestelmien parantaminen;

(ii)

a high level of protection and improvement of the quality of the environment, protection of biodiversity, protection against pollution, green transition measures, climate change mitigation and adaptation measures;

ii)

korkeatasoinen ympäristönsuojelu ja ympäristön laadun parantaminen, luonnon monimuotoisuuden suojelu, pilaantumiselta suojeleminen, vihreän siirtymän toimenpiteet sekä ilmastonmuutoksen hillitsemistä ja siihen sopeutumista koskevat toimenpiteet;

(iii)

energy sustainability;

iii)

kestävä energiatalous;

(iv)

safety and resilience of transport systems and mobility, critical infrastructure and networks;

iv)

liikennejärjestelmien ja liikenteen, kriittisen infrastruktuurin ja verkkojen turvallisuus ja häiriönsietokyky;

(v)

efficiency and quality of public administration and public services;

julkishallinnon ja julkisten palvelujen tehokkuus ja laatu;

(b)

the data processed are necessary for complying with one or more of the requirements referred to in Chapter III, Section 2 where those requirements cannot effectively be fulfilled by processing anonymised, synthetic or other non-personal data;

käsiteltävät tiedot ovat tarpeen yhden tai useamman III luvun 2 jaksossa tarkoitetun vaatimuksen täyttämiseksi, jos kyseisiä vaatimuksia ei voida tehokkaasti täyttää käsittelemällä anonymisoituja tai synteettisiä tietoja tai muita tietoja, jotka eivät ole henkilötietoja;

(c)

there are effective monitoring mechanisms to identify if any high risks to the rights and freedoms of the data subjects, as referred to in Article 35 of Regulation (EU) 2016/679 and in Article 39 of Regulation (EU) 2018/1725, may arise during the sandbox experimentation, as well as response mechanisms to promptly mitigate those risks and, where necessary, stop the processing;

käytössä on tehokkaat seurantamekanismit, joiden avulla voidaan havaita, voiko testiympäristössä tehtävien kokeiden aikana syntyä asetuksen (EU) 2016/679 35 artiklassa ja asetuksen (EU) 2018/1725 39 artiklassa tarkoitettuja rekisteröityjen oikeuksiin ja vapauksiin kohdistuvia suuria riskejä, sekä mekanismeja, joilla näitä riskejä voidaan vähentää nopeasti ja joilla voidaan tarvittaessa lopettaa käsittely;

(d)

any personal data to be processed in the context of the sandbox are in a functionally separate, isolated and protected data processing environment under the control of the prospective provider and only authorised persons have access to those data;

kaikki testiympäristössä käsiteltävät henkilötiedot ovat toiminnallisesti erillisessä, itsenäisessä ja suojatussa tietojenkäsittely-ympäristössä mahdollisten tarjoajien valvonnassa, ja ainoastaan valtuutetuilla henkilöillä on pääsy kyseisiin tietoihin;

(e)

providers can further share the originally collected data only in accordance with Union data protection law; any personal data created in the sandbox cannot be shared outside the sandbox;

tarjoajat voivat jakaa alun perin kerättyjä tietoja edelleen vain unionin tietosuojalainsäädännön mukaisesti. Testiympäristössä luotuja henkilötietoja ei voida jakaa testiympäristön ulkopuolelle;

(f)

any processing of personal data in the context of the sandbox neither leads to measures or decisions affecting the data subjects nor does it affect the application of their rights laid down in Union law on the protection of personal data;

testiympäristössä tapahtuva henkilötietojen käsittely ei johda rekisteröityihin vaikuttaviin toimenpiteisiin tai päätöksiin eikä vaikuta heidän henkilötietojen suojaa koskevassa unionin oikeudessa säädettyjen oikeuksiensa soveltamiseen;

(g)

any personal data processed in the context of the sandbox are protected by means of appropriate technical and organisational measures and deleted once the participation in the sandbox has terminated or the personal data has reached the end of its retention period;

kaikki testiympäristössä käsitellyt henkilötiedot suojataan asianmukaisin teknisin ja organisatorisin keinoin ja poistetaan, kun osallistuminen testiympäristöön on päättynyt tai henkilötietojen säilytysaika päättyy;

(h)

the logs of the processing of personal data in the context of the sandbox are kept for the duration of the participation in the sandbox, unless provided otherwise by Union or national law;

testiympäristössä tapahtuvaa henkilötietojen käsittelyä koskevat lokitiedot säilytetään testiympäristöön osallistumisen ajan, ellei unionin tai kansallisessa lainsäädännössä toisin säädetä;

(i)

a complete and detailed description of the process and rationale behind the training, testing and validation of the AI system is kept together with the testing results as part of the technical documentation referred to in Annex IV;

täydellinen ja yksityiskohtainen kuvaus tekoälyjärjestelmän koulutus-, testaus- ja validointiprosessista ja -perusteista säilytetään yhdessä testaustulosten kanssa osana liitteessä IV tarkoitettua teknistä dokumentaatiota;

(j)

a short summary of the AI project developed in the sandbox, its objectives and expected results is published on the website of the competent authorities; this obligation shall not cover sensitive operational data in relation to the activities of law enforcement, border control, immigration or asylum authorities.

lyhyt tiivistelmä testiympäristössä kehitetystä tekoälyhankkeesta, sen tavoitteista ja odotetuista tuloksista julkaistaan toimivaltaisten viranomaisten verkkosivustolla. Tämä velvoite ei koske arkaluonteista operatiivista tietoa, joka liittyy lainvalvonta-, rajavalvonta-, maahanmuutto- ja turvapaikkaviranomaisten toimiin.

2. For the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, including safeguarding against and preventing threats to public security, under the control and responsibility of law enforcement authorities, the processing of personal data in AI regulatory sandboxes shall be based on a specific Union or national law and subject to the same cumulative conditions as referred to in paragraph 1.

2. Kun tavoitteena on rikosten ennalta estäminen, tutkinta, paljastaminen tai rikoksiin liittyvät syytetoimet taikka rikosoikeudellisten seuraamusten täytäntöönpano, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelu tai tällaisten uhkien ehkäisy, lainvalvontaviranomaisten valvonnassa ja vastuulla, tekoälyn sääntelyn testiympäristöissä tapahtuvan henkilötietojen käsittelyn on perustuttava tiettyyn unionin tai kansalliseen lainsäädäntöön samoin kumulatiivisin edellytyksin kuin edellä 1 kohdassa tarkoitetaan.

3. Paragraph 1 is without prejudice to Union or national law which excludes processing of personal data for other purposes than those explicitly mentioned in that law, as well as to Union or national law laying down the basis for the processing of personal data which is necessary for the purpose of developing, testing or training of innovative AI systems or any other legal basis, in compliance with Union law on the protection of personal data.

3. Edellä oleva 1 kohta ei rajoita sellaisen unionin tai kansallisen lainsäädännön soveltamista, jolla suljetaan pois henkilötietojen käsittely muita kuin kyseisessä lainsäädännössä nimenomaisesti mainittuja tarkoituksia varten, eikä sellaisen unionin tai kansallisen lainsäädännön soveltamista, jossa säädetään perustasta sellaiselle henkilötietojen käsittelylle, joka on tarpeen innovatiivisten tekoälyjärjestelmien kehittämiseksi, testaamiseksi tai kouluttamiseksi, tai muusta oikeusperustasta henkilötietojen suojaa koskevan unionin oikeuden mukaisesti.

Article 60

60 artikla

Testing of high-risk AI systems in real world conditions outside AI regulatory sandboxes

Suuririskisten tekoälyjärjestelmien testaus todellisissa olosuhteissa tekoälyn sääntelyn testiympäristöjen ulkopuolella

1. Testing of high-risk AI systems in real world conditions outside AI regulatory sandboxes may be conducted by providers or prospective providers of high-risk AI systems listed in Annex III, in accordance with this Article and the real-world testing plan referred to in this Article, without prejudice to the prohibitions under Article 5.

1. Liitteessä III lueteltujen suuririskisten tekoälyjärjestelmien tarjoajat tai mahdolliset tarjoajat voivat toteuttaa suuririskisten tekoälyjärjestelmien todellisissa olosuhteissa tapahtuvaa testausta tekoälyn sääntelyn testiympäristöjen ulkopuolella tämän artiklan ja tässä artiklassa tarkoitetun todellisissa olosuhteissa tapahtuvaa testausta koskevan suunnitelman mukaisesti sanotun kuitenkaan rajoittamatta 5 artiklassa säädettyjen kieltojen soveltamista.

The Commission shall, by means of implementing acts, specify the detailed elements of the real-world testing plan. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 98(2).

Komissio määrittää täytäntöönpanosäädöksillä todellisissa olosuhteissa tapahtuvaa testausta koskevan suunnitelman yksityiskohdat. Nämä täytäntöönpanosäädökset hyväksytään 98 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

This paragraph shall be without prejudice to Union or national law on the testing in real world conditions of high-risk AI systems related to products covered by Union harmonisation legislation listed in Annex I.

Tällä kohdalla ei rajoiteta unionin tai kansallista lainsäädäntöä, joka koskee liitteessä I luetellun unionin yhdenmukaistamislainsäädännön soveltamisalaan kuuluviin tuotteisiin liittyvien suuririskisten tekoälyjärjestelmien testausta tosielämän olosuhteissa.

2. Providers or prospective providers may conduct testing of high-risk AI systems referred to in Annex III in real world conditions at any time before the placing on the market or the putting into service of the AI system on their own or in partnership with one or more deployers or prospective deployers.

2. Tarjoajat tai mahdolliset tarjoajat voivat toteuttaa liitteessä III tarkoitettujen suuririskisten tekoälyjärjestelmien todellisissa olosuhteissa tapahtuvaa testausta milloin tahansa ennen kyseisen tekoälyjärjestelmän markkinoille saattamista tai käyttöönottoa yksinään tai yhteistyössä yhden tai useamman käyttöönottajan tai mahdollisen käyttöönottajan kanssa.

3. The testing of high-risk AI systems in real world conditions under this Article shall be without prejudice to any ethical review that is required by Union or national law.

3. Tämän artiklan mukainen suuririskisten tekoälyjärjestelmien todellisissa olosuhteissa tapahtuva testaus ei rajoita eettistä arviointia, jota edellytetään unionin tai kansallisessa lainsäädännössä.

4. Providers or prospective providers may conduct the testing in real world conditions only where all of the following conditions are met:

4. Tarjoajat tai mahdolliset tarjoajat voivat toteuttaa tosielämän olosuhteissa tapahtuvaa testausta ainoastaan, kun kaikki seuraavista edellytyksistä täyttyvät:

(a)

the provider or prospective provider has drawn up a real-world testing plan and submitted it to the market surveillance authority in the Member State where the testing in real world conditions is to be conducted;

tarjoaja tai mahdollinen tarjoaja on laatinut todellisissa olosuhteissa tapahtuvaa testausta koskevan suunnitelman ja toimittanut sen sellaisen jäsenvaltion markkinavalvontaviranomaiselle, jossa tosielämän olosuhteissa tapahtuvaa testausta on määrä toteuttaa;

(b)

the market surveillance authority in the Member State where the testing in real world conditions is to be conducted has approved the testing in real world conditions and the real-world testing plan; where the market surveillance authority has not provided an answer within 30 days, the testing in real world conditions and the real-world testing plan shall be understood to have been approved; where national law does not provide for a tacit approval, the testing in real world conditions shall remain subject to an authorisation;

sen jäsenvaltion markkinavalvontaviranomainen, jossa tosielämän olosuhteissa tapahtuvaa testausta on määrä toteuttaa, on hyväksynyt tosielämän olosuhteissa tapahtuvan testauksen ja tosielämän olosuhteissa tapahtuvaa testausta koskevan suunnitelman; jos markkinavalvontaviranomainen ei ole antanut vastausta 30 päivän kuluessa, tosielämän olosuhteissa suoritettava testaus ja todellisissa olosuhteissa toteutettava testaussuunnitelma on katsottava hyväksytyiksi; jos kansallisessa lainsäädännössä ei säädetä hiljaisesta hyväksymisestä, testaukseen tosielämän olosuhteissa tarvitaan edelleen lupa;

(c)

the provider or prospective provider, with the exception of providers or prospective providers of high-risk AI systems referred to in points 1, 6 and 7 of Annex III in the areas of law enforcement, migration, asylum and border control management, and high-risk AI systems referred to in point 2 of Annex III has registered the testing in real world conditions in accordance with Article 71(4) with a Union-wide unique single identification number and with the information specified in Annex IX; the provider or prospective provider of high-risk AI systems referred to in points 1, 6 and 7 of Annex III in the areas of law enforcement, migration, asylum and border control management, has registered the testing in real-world conditions in the secure non-public section of the EU database according to Article 49(4), point (d), with a Union-wide unique single identification number and with the information specified therein; the provider or prospective provider of high-risk AI systems referred to in point 2 of Annex III has registered the testing in real-world conditions in accordance with Article 49(5);

tarjoaja tai mahdollinen tarjoaja, lukuun ottamatta liitteessä III olevissa 1, 6 ja 7 kohdassa tarkoitettuja suuririskisten tekoälyjärjestelmien tarjoajia tai mahdollisia tarjoajia lainvalvonnan, muuttoliikkeen hallinnan, turvapaikka-asioiden ja rajavalvonnan aloilla sekä liitteessä III olevassa 2 kohdassa tarkoitettujen suuririskisten tekoälyjärjestelmien tarjoajia tai mahdollisia tarjoajia, on rekisteröinyt tosielämän olosuhteissa tapahtuvan testauksen 71 artiklan 4 kohdan mukaisesti unionin laajuisella yksilöllisellä tunnistenumerolla ja liitteessä IX määritetyillä tiedoilla; liitteessä III olevissa 1, 6 ja 7 kohdassa tarkoitettu suuririskisten tekoälyjärjestelmien tarjoaja tai mahdollinen tarjoaja lainvalvonnan, muuttoliikkeen hallinnan, turvapaikka-asioiden ja rajavalvonnan aloilla on rekisteröinyt todellisissa olosuhteissa tapahtuvan testauksen EU:n tietokannan suojattuun ei-julkiseen osaan 49 artiklan 4 kohdan d alakohdan mukaisesti unionin laajuisella yksilöllisellä tunnistenumerolla ja kyseisessä alakohdassa määritetyillä tiedoilla; liitteessä III olevassa 2 kohdassa tarkoitettujen suuririskisten tekoälyjärjestelmien tarjoaja tai mahdollinen tarjoaja on rekisteröinyt todellisissa olosuhteissa tapahtuvan testauksen 49 artiklan 5 kohdan mukaisesti,

(d)

the provider or prospective provider conducting the testing in real world conditions is established in the Union or has appointed a legal representative who is established in the Union;

tosielämän olosuhteissa tapahtuvan testauksen toteuttava tarjoaja tai mahdollinen tarjoaja on sijoittautunut unioniin tai nimittänyt unioniin sijoittautuneen laillisen edustajan;

(e)

data collected and processed for the purpose of the testing in real world conditions shall be transferred to third countries only provided that appropriate and applicable safeguards under Union law are implemented;

tosielämän olosuhteissa tapahtuvaa testausta varten kerättyjä ja käsiteltyjä tietoja siirretään kolmansiin maihin vain, jos siirrossa käytetään asianmukaisia ja soveltuvia suojatoimia unionin oikeuden mukaisesti;

(f)

the testing in real world conditions does not last longer than necessary to achieve its objectives and in any case not longer than six months, which may be extended for an additional period of six months, subject to prior notification by the provider or prospective provider to the market surveillance authority, accompanied by an explanation of the need for such an extension;

testaus tosielämän olosuhteissa ei kestä kauempaa kuin on tarpeen sen tavoitteiden saavuttamiseksi ja joka tapauksessa enintään kuusi kuukautta, ja tätä ajanjaksoa voidaan jatkaa kuudella kuukaudella edellyttäen, että tarjoaja tai mahdollinen tarjoaja ilmoittaa asiasta etukäteen markkinavalvontaviranomaiselle ja liittää ilmoitukseen selvityksen tällaisen pidennyksen tarpeellisuudesta;

(g)

the subjects of the testing in real world conditions who are persons belonging to vulnerable groups due to their age or disability, are appropriately protected;

tosielämän olosuhteissa tapahtuvaan testauksen osallistujia, jotka ovat haavoittuvassa asemassa oleviin ryhmiin kuuluvia henkilöitä heidän ikänsä tai vammansa vuoksi, suojellaan asianmukaisesti;

(h)

where a provider or prospective provider organises the testing in real world conditions in cooperation with one or more deployers or prospective deployers, the latter have been informed of all aspects of the testing that are relevant to their decision to participate, and given the relevant instructions for use of the AI system referred to in Article 13; the provider or prospective provider and the deployer or prospective deployer shall conclude an agreement specifying their roles and responsibilities with a view to ensuring compliance with the provisions for testing in real world conditions under this Regulation and under other applicable Union and national law;

jos tarjoaja tai mahdollinen tarjoaja järjestää tosielämän olosuhteissa tapahtuvan testauksen yhteistyössä yhden tai useamman käyttöönottajan tai mahdollisen käyttöönottajan kanssa, näille on ilmoitettu testauksen kaikista näkökohdista, jotka ovat merkityksellisiä niiden osallistumista koskevan päätöksen kannalta, ja niille on annettu 13 artiklassa tarkoitetut asiankuuluvat ohjeet tekoälyjärjestelmää käytöstä; tarjoaja tai mahdollinen tarjoaja ja käyttöönottaja tai mahdollinen käyttöönottaja tekevät sopimuksen, jossa määritetään niiden roolit ja vastuut, jotta varmistetaan tämän asetuksen ja muun sovellettavan unionin ja kansallisen lainsäädännön mukaisten tosielämän olosuhteissa tapahtuvaa testausta koskevien säännösten noudattaminen;

(i)

the subjects of the testing in real world conditions have given informed consent in accordance with Article 61, or in the case of law enforcement, where the seeking of informed consent would prevent the AI system from being tested, the testing itself and the outcome of the testing in the real world conditions shall not have any negative effect on the subjects, and their personal data shall be deleted after the test is performed;

tosielämän olosuhteissa tapahtuvan testauksen osallistujat ovat antaneet tietoon perustuvan suostumuksen 61 artiklan mukaisesti, tai jos kyseessä on lainvalvonta, jossa tietoon perustuvan suostumuksen pyytäminen estäisi tekoälyjärjestelmän testauksen, todellisissa olosuhteissa tapahtuvalla testauksella ja sen tuloksilla ei saa olla minkäänlaisia kielteistä vaikutusta osallistujiin ja heidän henkilötietonsa on poistettava testauksen suorittamisen jälkeen;

(j)

the testing in real world conditions is effectively overseen by the provider or prospective provider, as well as by deployers or prospective deployers through persons who are suitably qualified in the relevant field and have the necessary capacity, training and authority to perform their tasks;

tarjoaja tai mahdollinen tarjoaja sekä käyttöönottajat ja mahdolliset käyttöönottajat valvovat tosielämän olosuhteissa tapahtuvaa testausta tehokkaasti sellaisten henkilöiden avulla, joilla on asianmukainen pätevyys asiaankuuluvalla alalla ja tarvittavat valmiudet, koulutus ja valtuudet tehtäviensä hoitamiseksi;

(k)

the predictions, recommendations or decisions of the AI system can be effectively reversed and disregarded.

tekoälyjärjestelmän ennusteet, suositukset tai päätökset voidaan tosiasiallisesti peruuttaa ja jättää huomiotta.

5. Any subjects of the testing in real world conditions, or their legally designated representative, as appropriate, may, without any resulting detriment and without having to provide any justification, withdraw from the testing at any time by revoking their informed consent and may request the immediate and permanent deletion of their personal data. The withdrawal of the informed consent shall not affect the activities already carried out.

5. Tosielämän olosuhteissa tapahtuvaan testaukseen osallistujat tai heidän laillisesti nimetyt edustajansa voivat tarvittaessa vetäytyä testauksesta milloin tahansa ilman kielteisiä seurauksia ja perusteluja antamatta peruuttamalla tietoon perustuvan suostumuksensa ja he voivat pyytää, että heidän henkilötietonsa poistetaan välittömästi ja pysyvästi. Tietoon perustuvan suostumuksen peruuttaminen ei vaikuta jo toteutettuihin toimiin.

6. In accordance with Article 75, Member States shall confer on their market surveillance authorities the powers of requiring providers and prospective providers to provide information, of carrying out unannounced remote or on-site inspections, and of performing checks on the conduct of the testing in real world conditions and the related high-risk AI systems. Market surveillance authorities shall use those powers to ensure the safe development of testing in real world conditions.

6. Jäsenvaltioiden on 75 artiklan mukaisesti annettava markkinavalvontaviranomaisilleen valtuudet vaatia toimittajia ja mahdollisia toimittajia antamaan tietoja, tehdä ennalta ilmoittamattomia etätarkastuksia tai paikalla tehtäviä tarkastuksia sekä tehdä tarkastuksia tosielämän olosuhteissa tehtävien testien ja niihin liittyvien suuririskisten tekoälyjärjestelmien toteuttamiseen. Markkinavalvontaviranomaisten on käytettävä näitä valtuuksia varmistaakseen tosielämän olosuhteissa tapahtuvan testauksen turvallisen kehittämisen.

7. Any serious incident identified in the course of the testing in real world conditions shall be reported to the national market surveillance authority in accordance with Article 73. The provider or prospective provider shall adopt immediate mitigation measures or, failing that, shall suspend the testing in real world conditions until such mitigation takes place, or otherwise terminate it. The provider or prospective provider shall establish a procedure for the prompt recall of the AI system upon such termination of the testing in real world conditions.

7. Tosielämän olosuhteissa tapahtuvan testauksen kuluessa todetusta vakavasta vaaratilanteesta on ilmoitettava kansalliselle markkinavalvontaviranomaiselle 73 artiklan mukaisesti. Tarjoajan tai mahdollisen tarjoajan on toteutettava välittömiä lieventäviä toimenpiteitä tai, jos tämä ei ole mahdollista, keskeytettävä tosielämän olosuhteissa tapahtuva testaus kunnes tällainen korjaaminen tapahtuu tai muutoin päätettävä se. Tarjoajan tai mahdollisen tarjoajan on otettava käyttöön nopea tekoälyjärjestelmän palautusmenettely tällaisen tosielämän olosuhteissa tapahtuvan testauksen päättymisen yhteydessä.

8. Providers or prospective providers shall notify the national market surveillance authority in the Member State where the testing in real world conditions is to be conducted of the suspension or termination of the testing in real world conditions and of the final outcomes.

8. Tarjoajien tai mahdollisten tarjoajien on ilmoitettava sen jäsenvaltion kansallisille markkinavalvontaviranomaisille, jossa tosielämän olosuhteissa tapahtuva testaus on määrä toteuttaa, tosielämän olosuhteissa tapahtuvan testauksen keskeyttämisestä tai päättämisestä ja sen lopullisista tuloksista.

9. The provider or prospective provider shall be liable under applicable Union and national liability law for any damage caused in the course of their testing in real world conditions.

9. Tarjoaja tai mahdollinen tarjoaja ovat vastuuvelvollisia unionin ja kansallisen sovellettavan vastuulainsäädännön nojalla vahingoista, joita aiheutuu niiden tosielämän olosuhteissa tapahtuvan testauksen aikana.

Article 61

61 artikla

Informed consent to participate in testing in real world conditions outside AI regulatory sandboxes

Tietoon perustuva suostumus osallistua tosielämän olosuhteissa tapahtuvaan testaukseen tekoälyn sääntelyn testiympäristöjen ulkopuolella

1. For the purpose of testing in real world conditions under Article 60, freely-given informed consent shall be obtained from the subjects of testing prior to their participation in such testing and after their having been duly informed with concise, clear, relevant, and understandable information regarding:

1. Jotta osallistujat voivat osallistua 60 artiklan mukaiseen tosielämän olosuhteissa tapahtuvaan testaukseen, heidän on annettava vapaaehtoisesti tietoon perustuva suostumus ennen heidän osallistumistaan tällaiseen testaukseen ja sen jälkeen, kun heille on annettu asianmukaisesti ytimekkäät, selkeät, asiaankuuluvat ja ymmärrettävät tiedot seuraavista:

(a)

the nature and objectives of the testing in real world conditions and the possible inconvenience that may be linked to their participation;

tosielämän olosuhteissa tapahtuvan testauksen luonne ja tavoitteet ja mahdolliset haitat, joita heidän osallistumiseensa saattaa liittyä;

(b)

the conditions under which the testing in real world conditions is to be conducted, including the expected duration of the subject or subjects’ participation;

olosuhteet, joissa tosielämän olosuhteissa tapahtuva testaus on määrä toteuttaa, mukaan lukien osallistujan tai osallistujien osallistumisen odotettu kesto;

(c)

their rights, and the guarantees regarding their participation, in particular their right to refuse to participate in, and the right to withdraw from, testing in real world conditions at any time without any resulting detriment and without having to provide any justification;

osallistumista koskevat osallistujien oikeudet ja takeet, erityisesti heidän oikeutensa kieltäytyä osallistumasta tosielämän olosuhteissa tapahtuvaan testaukseen ja oikeus vetäytyä siitä milloin tahansa ilman kielteisiä seurauksia ja perusteluja antamatta;

(d)

the arrangements for requesting the reversal or the disregarding of the predictions, recommendations or decisions of the AI system;

yksityiskohtaiset järjestelyt, jotka koskevat tekoälyjärjestelmän ennusteiden, suositusten tai päätösten peruuttamisen tai huomiotta jättämisen pyytämistä;

(e)

the Union-wide unique single identification number of the testing in real world conditions in accordance with Article 60(4) point (c), and the contact details of the provider or its legal representative from whom further information can be obtained.

60 artiklan 4 kohdan c alakohdan mukainen tosielämän olosuhteissa tapahtuvan testauksen unionin laajuinen yksilöllinen tunnistenumero ja tarjoajan tai sen laillisen edustajan yhteystiedot, joilta voidaan saada lisätietoja.

2. The informed consent shall be dated and documented and a copy shall be given to the subjects of testing or their legal representative.

2. Tietoon perustuva suostumus on päivättävä ja dokumentoitava, ja siitä on annettava jäljennös osallistujille tai heidän laillisille edustajilleen.

Article 62

62 artikla

Measures for providers and deployers, in particular SMEs, including start-ups

Tarjoajia ja käyttöönottajia, erityisesti pk-yrityksiä, mukaan lukien startup-yritykset, koskevat toimenpiteet

1. Member States shall undertake the following actions:

1. Jäsenvaltioiden on

(a)

provide SMEs, including start-ups, having a registered office or a branch in the Union, with priority access to the AI regulatory sandboxes, to the extent that they fulfil the eligibility conditions and selection criteria; the priority access shall not preclude other SMEs, including start-ups, other than those referred to in this paragraph from access to the AI regulatory sandbox, provided that they also fulfil the eligibility conditions and selection criteria;

annettava pk-yrityksille, myös startup-yrityksille, joilla on sääntömääräinen kotipaikka tai sivutoimipiste unionissa, ensisijainen pääsy tekoälyn sääntelyn testiympäristöihin, jos ne täyttävät kelpoisuusvaatimukset ja valintaperusteet; ensisijainen pääsy ei sulje pois muiden kuin tässä kohdassa tarkoitettujen pk-yritysten, mukaan lukien startup-yritykset, pääsyä tekoälyn sääntelyn testiympäristöön edellyttäen, että myös ne täyttävät tukikelpoisuus- ja valintaperusteet;

(b)

organise specific awareness raising and training activities on the application of this Regulation tailored to the needs of SMEs including start-ups, deployers and, as appropriate, local public authorities;

järjestettävä tämän asetuksen soveltamista koskevia erityisiä tiedotus- ja koulutustoimia, jotka on räätälöity pk-yritysten, myös startup-yritysten, käyttöönottajien ja tarvittaessa paikallisten viranomaisten tarpeisiin;

(c)

utilise existing dedicated channels and where appropriate, establish new ones for communication with SMEs including start-ups, deployers, other innovators and, as appropriate, local public authorities to provide advice and respond to queries about the implementation of this Regulation, including as regards participation in AI regulatory sandboxes;

käytettävä olemassa olevia erityiskanavia ja perustettava tarvittaessa uusia pk-yritysten, myös startup-yritysten, käyttöönottajien, muiden innovoijien ja tarvittaessa paikallisten viranomaisten kanssa käytävää viestintää varten tämän asetuksen täytäntöönpanoa koskevan ohjeistuksen antamiseksi ja sitä koskeviin kysymyksiin vastaamiseksi, mukaan lukien osallistuminen tekoälyn sääntelyn testiympäristöihin;

(d)

facilitate the participation of SMEs and other relevant stakeholders in the standardisation development process.

helpotettava pk-yritysten ja muiden asiaankuuluvien sidosryhmien osallistumista standardien kehittämisprosessiin.

2. The specific interests and needs of the SME providers, including start-ups, shall be taken into account when setting the fees for conformity assessment under Article 43, reducing those fees proportionately to their size, market size and other relevant indicators.

2. Tarjoajina toimivien pk-yritysten, myös startup-yritysten, erityisedut ja -tarpeet on otettava huomioon 43 artiklan mukaisesta vaatimustenmukaisuuden arvioinnista perittäviä maksuja vahvistettaessa alentamalla näitä maksuja suhteessa niiden kokoon, markkinoiden kokoon ja muihin asiaankuuluviin indikaattoreihin.

3. The AI Office shall undertake the following actions:

3. Tekoälytoimisto toteuttaa seuraavat toimet:

(a)

provide standardised templates for areas covered by this Regulation, as specified by the Board in its request;

se kehittää standardoituja malleja tämän asetuksen soveltamisalaan kuuluvia aloja varten, kuten tekoälyneuvosto on täsmentänyt pyynnössään;

(b)

develop and maintain a single information platform providing easy to use information in relation to this Regulation for all operators across the Union;

se kehittää yhtenäisen tietoalustan, jossa esitetään tätä asetusta koskevia helppokäyttöisiä tietoja kaikille unionin toimijoille, ja pitää sitä yllä;

(c)

organise appropriate communication campaigns to raise awareness about the obligations arising from this Regulation;

se järjestää asianmukaisia tiedotuskampanjoita tietoisuuden lisäämiseksi tästä asetuksesta johtuvista velvoitteista;

(d)

evaluate and promote the convergence of best practices in public procurement procedures in relation to AI systems.

se arvioi ja edistää tekoälyjärjestelmiä koskevien hankintamenettelyjen parhaiden käytäntöjen lähentämistä.

Article 63

63 artikla

Derogations for specific operators

Tiettyjä toimijoita koskevat poikkeukset

1. Microenterprises within the meaning of Recommendation 2003/361/EC may comply with certain elements of the quality management system required by Article 17 of this Regulation in a simplified manner, provided that they do not have partner enterprises or linked enterprises within the meaning of that Recommendation. For that purpose, the Commission shall develop guidelines on the elements of the quality management system which may be complied with in a simplified manner considering the needs of microenterprises, without affecting the level of protection or the need for compliance with the requirements in respect of high-risk AI systems.

1. Suosituksessa 2003/361/EY tarkoitetut mikroyritykset voivat noudattaa yksinkertaistetulla tavalla tiettyjä tämän asetuksen 17 artiklassa edellytettyjä laadunhallintajärjestelmän tekijöitä edellyttäen, että kyseisillä yrityksillä ei ole kyseisessä suosituksessa tarkoitettuja omistusyhteysyrityksiä tai sidosyrityksiä. Tätä varten komissio laatii ohjeet laadunhallintajärjestelmän tekijöistä, jotka voidaan täyttää yksinkertaistetusti ottaen huomioon mikroyritysten tarpeet vaikuttamatta suojelun tasoon tai tarpeeseen noudattaa suuririskisiä tekoälyjärjestelmiä koskevia vaatimuksia.

2. Paragraph 1 of this Article shall not be interpreted as exempting those operators from fulfilling any other requirements or obligations laid down in this Regulation, including those established in Articles 9, 10, 11, 12, 13, 14, 15, 72 and 73.

2. Tämän artiklan 1 kohtaa ei saa tulkita siten, että siinä myönnetään kyseisille toimijoille vapautus muiden tässä asetuksessa säädettyjen vaatimusten tai velvoitteiden täyttämisestä, mukaan lukien 9, 10, 11, 12, 13, 14, 15, 72 ja 73 artiklassa säädetyt vaatimukset ja velvoitteet.

CHAPTER VII

VII LUKU

GOVERNANCE

HALLINNOINTI

SECTION 1

1 JAKSO

Governance at Union level

Hallinnointi unionin tasolla

Article 64

64 artikla

AI Office

Tekoälytoimisto

1. The Commission shall develop Union expertise and capabilities in the field of AI through the AI Office.

1. Komissio kehittää unionin asiantuntemusta ja valmiuksia tekoälyn alalla tekoälytoimiston avulla.

2. Member States shall facilitate the tasks entrusted to the AI Office, as reflected in this Regulation.

2. Jäsenvaltioiden on helpotettava tekoälytoimistolle annettujen tehtävien hoitamista tämän asetuksen mukaisesti.

Article 65

65 artikla

Establishment and structure of the European Artificial Intelligence Board

Euroopan tekoälyneuvoston perustaminen ja rakenne

1. A European Artificial Intelligence Board (the ‘Board’) is hereby established.

1. Perustetaan Euroopan tekoälyneuvosto, jäljempänä ”tekoälyneuvosto”.

2. The Board shall be composed of one representative per Member State. The European Data Protection Supervisor shall participate as observer. The AI Office shall also attend the Board’s meetings, without taking part in the votes. Other national and Union authorities, bodies or experts may be invited to the meetings by the Board on a case by case basis, where the issues discussed are of relevance for them.

2. Tekoälyneuvostoon kuuluu yksi edustaja kutakin jäsenvaltiota kohden. Euroopan tietosuojavaltuutettu osallistuu tarkkailijana. Myös tekoälytoimisto osallistuu tekoälyneuvoston kokouksiin osallistumatta äänestyksiin. Tekoälyneuvoston kokouksiin voidaan kutsua myös muita kansallisia ja unionin viranomaisia, elimiä tai asiantuntijoita, jos käsitellyt asiat ovat niiden kannalta merkityksellisiä.

3. Each representative shall be designated by their Member State for a period of three years, renewable once.

3. Jäsenvaltio nimeää edustajansa kolmen vuoden kaudeksi, joka voidaan uusia kerran.

4. Member States shall ensure that their representatives on the Board:

4. Jäsenvaltioiden on varmistettava, että niiden tekoälyneuvostossa olevat edustajat täyttävät seuraavat edellytykset:

(a)

have the relevant competences and powers in their Member State so as to contribute actively to the achievement of the Board’s tasks referred to in Article 66;

niillä on jäsenvaltiossaan asiaankuuluva pätevyys ja toimivalta, jotta ne voivat edistää aktiivisesti 66 artiklassa tarkoitettujen tekoälyneuvoston tehtävien toteuttamista;

(b)

are designated as a single contact point vis-à-vis the Board and, where appropriate, taking into account Member States’ needs, as a single contact point for stakeholders;

ne on nimetty keskitetyksi yhteyspisteeksi tekoälyneuvostoon nähden ja tapauksen mukaan ottaen huomioon jäsenvaltioiden tarpeet sidosryhmien keskitetyksi yhteyspisteeksi;

(c)

are empowered to facilitate consistency and coordination between national competent authorities in their Member State as regards the implementation of this Regulation, including through the collection of relevant data and information for the purpose of fulfilling their tasks on the Board.

niillä on valtuudet edistää kansallisten toimivaltaisten viranomaisten välistä johdonmukaisuutta ja koordinointia jäsenvaltiossaan tämän asetuksen täytäntöönpanossa, mukaan lukien keräämällä asiaankuuluvaa dataa ja tietoa niiden tehtävien täyttämiseksi tekoälyneuvostossa.

5. The designated representatives of the Member States shall adopt the Board’s rules of procedure by a two-thirds majority. The rules of procedure shall, in particular, lay down procedures for the selection process, the duration of the mandate of, and specifications of the tasks of, the Chair, detailed arrangements for voting, and the organisation of the Board’s activities and those of its sub-groups.

5. Jäsenvaltioiden nimetyt edustajat hyväksyvät tekoälyneuvoston työjärjestyksen kahden kolmasosan enemmistöllä. Työjärjestyksessä vahvistetaan erityisesti puheenjohtajan valintamenettelyt sekä tämän toimikauden kesto ja tehtävien yksityiskohdat, yksityiskohtaiset äänestysjärjestelyt ja tekoälyneuvoston toimien ja sen alaryhmien organisointi.

6. The Board shall establish two standing sub-groups to provide a platform for cooperation and exchange among market surveillance authorities and notifying authorities about issues related to market surveillance and notified bodies respectively.

6. Tekoälyneuvoston on perustettava kaksi pysyvää alaryhmää, jotka tarjoavat alustan yhteistyölle ja viestinnälle markkinavalvontaviranomaisten kesken ja joiden kautta viranomaisille tiedotetaan markkinavalvontaan ja ilmoitettuihin laitoksiin liittyvistä kysymyksistä.

The standing sub-group for market surveillance should act as the administrative cooperation group (ADCO) for this Regulation within the meaning of Article 30 of Regulation (EU) 2019/1020.

Markkinavalvonnan pysyvän alaryhmän olisi toimittava hallinnollisen yhteistyön ryhmänä (ADCO) tämän asetuksen osalta asetuksen (EU) 2019/1020 30 artiklassa tarkoitetulla tavalla.

The Board may establish other standing or temporary sub-groups as appropriate for the purpose of examining specific issues. Where appropriate, representatives of the advisory forum referred to in Article 67 may be invited to such sub-groups or to specific meetings of those subgroups as observers.

Tekoälyneuvosto voi tarvittaessa perustaa muita pysyviä tai väliaikaisia alaryhmiä tiettyjen kysymysten tarkastelua varten. Tämän asetuksen 67 artiklassa tarkoitetun neuvoa-antava foorumin edustajia voidaan tarvittaessa pyytää osallistumaan tällaisiin alaryhmiin tai näiden alaryhmien tiettyihin kokouksiin tarkkailijoina.

7. The Board shall be organised and operated so as to safeguard the objectivity and impartiality of its activities.

7. Tekoälyneuvoston on oltava organisaatioltaan ja toiminnaltaan sellainen, että sen toimien objektiivisuus ja puolueettomuus on turvattu.

8. The Board shall be chaired by one of the representatives of the Member States. The AI Office shall provide the secretariat for the Board, convene the meetings upon request of the Chair, and prepare the agenda in accordance with the tasks of the Board pursuant to this Regulation and its rules of procedure.

8. Tekoälyneuvoston puheenjohtajana toimii yksi jäsenvaltioiden edustajista. Tekoälytoimisto huolehtii tekoälyneuvoston sihteeristön tehtävistä, kutsuu sen kokoukset koolle puheenjohtajan pyynnöstä ja laatii esityslistan tämän asetuksen mukaisten tekoälyneuvoston tehtävien ja sen työjärjestyksen mukaisesti.

Article 66

66 artikla

Tasks of the Board

Tekoälyneuvoston tehtävät

The Board shall advise and assist the Commission and the Member States in order to facilitate the consistent and effective application of this Regulation. To that end, the Board may in particular:

Tekoälyneuvosto neuvoo ja avustaa komissiota ja jäsenvaltioita tämän asetuksen johdonmukaisen ja vaikuttavan soveltamisen edistämiseksi. Tätä varten tekoälyneuvosto voi erityisesti:

(a)

contribute to the coordination among national competent authorities responsible for the application of this Regulation and, in cooperation with and subject to the agreement of the market surveillance authorities concerned, support joint activities of market surveillance authorities referred to in Article 74(11);

osallistua tämän asetuksen soveltamisesta vastaavien kansallisten toimivaltaisten viranomaisten väliseen koordinointiin ja tukea yhteistyössä asianomaisten markkinavalvontaviranomaisten kanssa ja näiden suostumuksella 74 artiklan 11 kohdassa tarkoitettuja markkinavalvontaviranomaisten yhteisiä toimia;

(b)

collect and share technical and regulatory expertise and best practices among Member States;

kerätä ja jakaa teknistä ja sääntelyyn liittyvää asiantuntemusta ja parhaita käytäntöjä jäsenvaltioiden kesken;

(c)

provide advice on the implementation of this Regulation, in particular as regards the enforcement of rules on general-purpose AI models;

antaa neuvoja tämän asetuksen täytäntöönpanosta, erityisesti yleiskäyttöisiä tekoälymalleja koskevien sääntöjen täytäntöönpanon valvonnasta;

(d)

contribute to the harmonisation of administrative practices in the Member States, including in relation to the derogation from the conformity assessment procedures referred to in Article 46, the functioning of AI regulatory sandboxes, and testing in real world conditions referred to in Articles 57, 59 and 60;

edistää hallinnollisten käytäntöjen yhdenmukaistamista jäsenvaltioissa, myös 46 artiklassa tarkoitetun vaatimustenmukaisuuden arviointimenettelyjä koskevan poikkeuksen ja 57, 59 ja 60 artiklassa tarkoitetun tekoälyn sääntelyn testiympäristöjen toiminnan ja tosielämän olosuhteissa tapahtuvan testauksen osalta;

(e)

at the request of the Commission or on its own initiative, issue recommendations and written opinions on any relevant matters related to the implementation of this Regulation and to its consistent and effective application, including:

antaa komission pyynnöstä tai omasta aloitteestaan suosituksia ja kirjallisia lausuntoja asiaankuuluvista kysymyksistä, jotka koskevat tämän asetuksen täytäntöönpanoa ja sen johdonmukaista ja vaikuttavaa soveltamista, mukaan lukien seuraavista:

(i)

on the development and application of codes of conduct and codes of practice pursuant to this Regulation, as well as of the Commission’s guidelines;

tämän asetuksen mukaisten käytännesääntöjen sekä komission suuntaviivojen laatiminen ja soveltaminen;

(ii)

the evaluation and review of this Regulation pursuant to Article 112, including as regards the serious incident reports referred to in Article 73, and the functioning of the EU database referred to in Article 71, the preparation of the delegated or implementing acts, and as regards possible alignments of this Regulation with the Union harmonisation legislation listed in Annex I;

ii)

tämän asetuksen 112 artiklan mukainen arviointi ja uudelleentarkastelu, mukaan lukien 73 artiklassa tarkoitetut vakavia vaaratilanteita koskevat ilmoitukset, ja 71 artiklassa tarkoitetun EU:n tietokannan toiminta, delegoitujen säädösten tai täytäntöönpanosäädösten valmistelu sekä tämän asetuksen mahdollinen mukauttaminen liitteessä I lueteltuun unionin yhdenmukaistamislainsäädäntöön;

(iii)

on technical specifications or existing standards regarding the requirements set out in Chapter III, Section 2;

iii)

III luvun 2 jaksossa vahvistettuja vaatimuksia koskevat tekniset eritelmät tai olemassa olevat standardit;

(iv)

on the use of harmonised standards or common specifications referred to in Articles 40 and 41;

iv)

40 ja 41 artiklassa tarkoitettujen yhdenmukaistettujen standardien tai yhteisten eritelmien käyttö;

(v)

trends, such as European global competitiveness in AI, the uptake of AI in the Union, and the development of digital skills;

suuntaukset, kuten Euroopan maailmanlaajuinen kilpailukyky tekoälyalalla, tekoälyn käyttöönottoaste unionissa ja digitaalisten taitojen kehittäminen;

(vi)

trends on the evolving typology of AI value chains, in particular on the resulting implications in terms of accountability;

vi)

tekoälyn arvoketjujen kehittyvän typologian suuntaukset, erityisesti vaikutuksista, joita sillä on vastuuvelvollisuuteen;

(vii)

on the potential need for amendment to Annex III in accordance with Article 7, and on the potential need for possible revision of Article 5 pursuant to Article 112, taking into account relevant available evidence and the latest developments in technology;

vii)

mahdollinen tarve muuttaa liitettä III 7 artiklan mukaisesti ja mahdollinen tarve tarkistaa 5 artiklaa 112 artiklan mukaisesti ottaen huomioon asiaankuuluva saatavilla oleva näyttö ja teknologian viimeisin kehitys;

(f)

support the Commission in promoting AI literacy, public awareness and understanding of the benefits, risks, safeguards and rights and obligations in relation to the use of AI systems;

tukea komissiota pyrkimyksissä lisätä yleistä tietoisuutta ja ymmärrystä tekoälyjärjestelmien käyttöön liittyvistä hyödyistä, riskeistä, suojatoimista sekä oikeuksista ja velvollisuuksista;

(g)

facilitate the development of common criteria and a shared understanding among market operators and competent authorities of the relevant concepts provided for in this Regulation, including by contributing to the development of benchmarks;

auttaa kehittämään yhteisiä kriteereitä sekä markkinatoimijoiden ja toimivaltaisten viranomaisten yhteisymmärrystä tässä asetuksessa säädetyistä asiaankuuluvista käsitteistä, myös osallistumalla vertailuarvojen kehittämiseen;

(h)

cooperate, as appropriate, with other Union institutions, bodies, offices and agencies, as well as relevant Union expert groups and networks, in particular in the fields of product safety, cybersecurity, competition, digital and media services, financial services, consumer protection, data and fundamental rights protection;

tehdä tarvittaessa yhteistyötä asiaankuuluvien unionin toimielinten, elinten, laitosten ja virastojen sekä asiaankuuluvien asiantuntijaryhmien ja verkostojen kanssa erityisesti tuoteturvallisuuden, kyberturvallisuuden, kilpailun, digitaalisten ja mediapalvelujen, rahoituspalvelujen, kuluttajansuojan sekä tietosuojan ja perusoikeuksien suojaamisen alalla;

(i)

contribute to effective cooperation with the competent authorities of third countries and with international organisations;

edistää tehokasta yhteistyötä kolmansien maiden toimivaltaisten viranomaisten ja kansainvälisten järjestöjen kanssa;

(j)

assist national competent authorities and the Commission in developing the organisational and technical expertise required for the implementation of this Regulation, including by contributing to the assessment of training needs for staff of Member States involved in implementing this Regulation;

avustaa kansallisia toimivaltaisia viranomaisia ja komissiota tämän asetuksen täytäntöönpanossa tarvittavan organisatorisen ja teknisen asiantuntemuksen kehittämisessä, myös osallistumalla tämän asetuksen täytäntöönpanoon osallistuvien jäsenvaltioiden henkilöstön koulutustarpeiden arviointiin;

(k)

assist the AI Office in supporting national competent authorities in the establishment and development of AI regulatory sandboxes, and facilitate cooperation and information-sharing among AI regulatory sandboxes;

avustaa tekoälytoimistoa sen tukiessa kansallisia toimivaltaisia viranomaisia tekoälyn sääntelyn testiympäristöjen perustamisessa ja kehittämisessä ja helpottaa yhteistyötä ja tiedonvaihtoa tekoälyn sääntelyn testiympäristöjen välillä;

(l)

contribute to, and provide relevant advice on, the development of guidance documents;

osallistua ohjeasiakirjojen laatimiseen ja antaa siihen liittyviä neuvoja;

(m)

advise the Commission in relation to international matters on AI;

neuvoa komissiota tekoälyyn liittyvissä kansainvälisissä kysymyksissä;

(n)

provide opinions to the Commission on the qualified alerts regarding general-purpose AI models;

antaa komissiolle lausuntoja yleiskäyttöisiä tekoälymalleja koskevista perustelluista varoituksista;

(o)

receive opinions by the Member States on qualified alerts regarding general-purpose AI models, and on national experiences and practices on the monitoring and enforcement of AI systems, in particular systems integrating the general-purpose AI models.

saada jäsenvaltioilta lausuntoja yleiskäyttöisiä tekoälymalleja koskevista perustelluista varoituksista sekä kansallisista kokemuksista ja käytännöistä tekoälyjärjestelmien, erityisesti yleiskäyttöisiä tekoälymalleja sisältävien järjestelmien, seurannasta ja täytäntöönpanosta.

Article 67

67 artikla

Advisory forum

Neuvoa-antava foorumi

1. An advisory forum shall be established to provide technical expertise and advise the Board and the Commission, and to contribute to their tasks under this Regulation.

1. Perustetaan neuvoa-antava foorumi, joka tarjoaa teknistä asiantuntemusta ja neuvoja tekoälyneuvostolle ja komissiolle sekä tukee niitä niiden tämän asetuksen mukaisissa tehtävissä.

2. The membership of the advisory forum shall represent a balanced selection of stakeholders, including industry, start-ups, SMEs, civil society and academia. The membership of the advisory forum shall be balanced with regard to commercial and non-commercial interests and, within the category of commercial interests, with regard to SMEs and other undertakings.

2. Neuvoa-antavan foorumin jäsenistössä on oltava tasapainoinen edustus eri sidosryhmistä, joita ovat muun muassa toimiala, startup-yritykset, pk-yritykset, kansalaisyhteiskunta ja tiedeyhteisö. Kaupallisten ja ei-kaupallisten etujen, sekä kaupallisten etujen osalta pk-yritysten ja muiden yritysten, on oltava tasapainoisesti edustettuina neuvoa-antavan foorumin jäsenistössä.

3. The Commission shall appoint the members of the advisory forum, in accordance with the criteria set out in paragraph 2, from amongst stakeholders with recognised expertise in the field of AI.

3. Komissio nimittää neuvoa-antavan foorumin jäsenet 2 kohdassa vahvistettujen kriteerien mukaisesti sellaisten sidosryhmien joukosta, joilla on tunnustettua asiantuntemusta tekoälyn alalla.

4. The term of office of the members of the advisory forum shall be two years, which may be extended by up to no more than four years.

4. Neuvoa-antavan foorumin jäsenten toimikausi on kaksi vuotta, ja sitä voidaan jatkaa enintään neljällä vuodella.

5. The Fundamental Rights Agency, ENISA, the European Committee for Standardization (CEN), the European Committee for Electrotechnical Standardization (CENELEC), and the European Telecommunications Standards Institute (ETSI) shall be permanent members of the advisory forum.

5. Euroopan unionin perusoikeusvirasto, ENISA, Euroopan standardointikomitea (CEN), Euroopan sähkötekniikan standardointikomitea (Cenelec) ja Euroopan telealan standardointilaitos (ETSI) ovat neuvoa-antavan foorumin pysyviä jäseniä.

6. The advisory forum shall draw up its rules of procedure. It shall elect two co-chairs from among its members, in accordance with criteria set out in paragraph 2. The term of office of the co-chairs shall be two years, renewable once.

6. Neuvoa-antava foorumi laatii työjärjestyksensä. Se valitsee jäsentensä keskuudesta kaksi puheenjohtajaa noudattaen 2 kohdassa säädettyjä kriteereitä. Puheenjohtajien toimikausi on kaksi vuotta, ja se voidaan uusia kerran.

7. The advisory forum shall hold meetings at least twice a year. The advisory forum may invite experts and other stakeholders to its meetings.

7. Neuvoa-antava foorumi kokoontuu vähintään kaksi kertaa vuodessa. Neuvoa-antava foorumi voi kutsua kokouksiinsa asiantuntijoita ja muita sidosryhmiä.

8. The advisory forum may prepare opinions, recommendations and written contributions at the request of the Board or the Commission.

8. Neuvoa-antava foorumi voi laatia lausuntoja, suosituksia ja kirjallisia kannanottoja tekoälyneuvoston tai komission pyynnöstä.

9. The advisory forum may establish standing or temporary sub-groups as appropriate for the purpose of examining specific questions related to the objectives of this Regulation.

9. Neuvoa-antava foorumi voi perustaa pysyviä tai tilapäisiä alaryhmiä tarpeen mukaan tarkastelemaan tämän asetuksen tavoitteisiin liittyviä erityiskysymyksiä.

10. The advisory forum shall prepare an annual report on its activities. That report shall be made publicly available.

10. Neuvoa-antava foorumi laatii toiminnastaan vuosikertomuksen. Kertomus on julkistettava.

Article 68

68 artikla

Scientific panel of independent experts

Riippumattomista asiantuntijoista koostuva tiedelautakunta

1. The Commission shall, by means of an implementing act, make provisions on the establishment of a scientific panel of independent experts (the ‘scientific panel’) intended to support the enforcement activities under this Regulation. That implementing act shall be adopted in accordance with the examination procedure referred to in Article 98(2).

1. Komissio antaa täytäntöönpanosäädöksellä säännöksiä sellaisen riippumattomista asiantuntijoista koostuvan tiedelautakunnan, jäljempänä ”tiedelautakunta”, perustamisesta, joka tukee tämän asetuksen mukaisia täytäntöönpanotoimia. Tämä täytäntöönpanosäädös hyväksytään 98 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

2. The scientific panel shall consist of experts selected by the Commission on the basis of up-to-date scientific or technical expertise in the field of AI necessary for the tasks set out in paragraph 3, and shall be able to demonstrate meeting all of the following conditions:

2. Tiedelautakunta koostuu asiantuntijoista, jotka komissio valitsee 3 kohdassa säädettyjen tehtävien edellyttämän tekoälyn alan viimeisimmän tieteellisen tai teknisen asiantuntemuksen perusteella ja joiden on kyettävä osoittamaan täyttävänsä kaikki seuraavat edellytykset:

(a)

having particular expertise and competence and scientific or technical expertise in the field of AI;

heillä on erityisasiantuntemusta ja -osaamista sekä tieteellistä tai teknistä asiantuntemusta tekoälyn alalla;

(b)

independence from any provider of AI systems or general-purpose AI models;

he ovat riippumattomia tekoälyjärjestelmien tai yleiskäyttöisten tekoälymallien tarjoajista;

(c)

an ability to carry out activities diligently, accurately and objectively.

he kykenevät suorittamaan toimia huolellisesti, täsmällisesti ja objektiivisesti.

The Commission, in consultation with the Board, shall determine the number of experts on the panel in accordance with the required needs and shall ensure fair gender and geographical representation.

Komissio määrittää tekoälylautakuntaa kuullen tiedelautakunnan asiantuntijoiden määrän tarpeiden mukaisesti ja varmistaa sukupuolten ja maantieteellisen edustuksen tasapuolisuuden.

3. The scientific panel shall advise and support the AI Office, in particular with regard to the following tasks:

3. Tiedelautakunta neuvoo ja tukee tekoälytoimistoa erityisesti seuraavissa tehtävissä:

(a)

supporting the implementation and enforcement of this Regulation as regards general-purpose AI models and systems, in particular by:

tuki tämän asetuksen täytäntöönpanolle ja noudattamisen valvonnalle yleiskäyttöisten tekoälymallien ja -järjestelmien osalta erityisesti

(i)

alerting the AI Office of possible systemic risks at Union level of general-purpose AI models, in accordance with Article 90;

varoittamalla tekoälytoimistoa yleiskäyttöisten tekoälymallien mahdollisista systeemisistä riskeistä unionin tasolla 90 artiklan mukaisesti;

(ii)

contributing to the development of tools and methodologies for evaluating capabilities of general-purpose AI models and systems, including through benchmarks;

ii)

osallistumalla sellaisten välineiden ja menetelmien kehittämiseen, joilla arvioidaan yleiskäyttöisten tekoälymallien ja -järjestelmien valmiuksia, myös vertailuarvojen avulla;

(iii)

providing advice on the classification of general-purpose AI models with systemic risk;

iii)

antamalla neuvoja sellaisten yleiskäyttöisten tekoälymallien luokittelusta, joihin liittyy systeeminen riski;

(iv)

providing advice on the classification of various general-purpose AI models and systems;

iv)

antamalla neuvoja erilaisten yleiskäyttöisten tekoälymallien ja -järjestelmien luokittelusta;

(v)

contributing to the development of tools and templates;

osallistumalla välineiden ja mallien kehittämiseen;

(b)

supporting the work of market surveillance authorities, at their request;

tuki markkinavalvontaviranomaisten työlle niiden pyynnöstä;

(c)

supporting cross-border market surveillance activities as referred to in Article 74(11), without prejudice to the powers of market surveillance authorities;

tuki 74 artiklan 11 kohdassa tarkoitetuille rajatylittäville markkinavalvontatoimille, rajoittamatta markkinavalvontaviranomaisten valtuuksia;

(d)

supporting the AI Office in carrying out its duties in the context of the Union safeguard procedure pursuant to Article 81.

tuki tekoälytoimistolle sen suorittaessa unionin suojamenettelyn mukaisia tehtäviään 81 artiklan nojalla.

4. The experts on the scientific panel shall perform their tasks with impartiality and objectivity, and shall ensure the confidentiality of information and data obtained in carrying out their tasks and activities. They shall neither seek nor take instructions from anyone when exercising their tasks under paragraph 3. Each expert shall draw up a declaration of interests, which shall be made publicly available. The AI Office shall establish systems and procedures to actively manage and prevent potential conflicts of interest.

4. Tiedelautakunnan asiantuntijoiden on suoritettava tehtävänsä puolueettomasti ja objektiivisesti sekä varmistettava tehtäviään ja toimiaan suorittaessaan saamiensa tietojen ja datan luottamuksellisuus. He eivät saa pyytää eivätkä ottaa vastaan ohjeita keneltäkään suorittaessaan 3 kohdan mukaisia tehtäviään. Kunkin asiantuntijan on laadittava selvitys sidonnaisuuksista, joka on asetettava julkisesti saataville. Tekoälytoimisto voi perustaa järjestelmiä tai menettelyjä mahdollisten eturistiriitojen hallinnointia ja ehkäisyä varten.

5. The implementing act referred to in paragraph 1 shall include provisions on the conditions, procedures and detailed arrangements for the scientific panel and its members to issue alerts, and to request the assistance of the AI Office for the performance of the tasks of the scientific panel.

5. Edellä 1 kohdassa tarkoitettuun täytäntöönpanosäädökseen on sisällyttävä säännöksiä edellytyksistä, menettelyistä ja yksityiskohtaisista järjestelyistä, joiden mukaisesti tiedelautakunta ja sen jäsenet voivat antaa hälytyksiä ja pyytää tekoälytoimistolta apua tiedelautakunnan tehtävien suorittamisessa.

Article 69

69 artikla

Access to the pool of experts by the Member States

Asiantuntijaryhmän käyttö jäsenvaltioissa

1. Member States may call upon experts of the scientific panel to support their enforcement activities under this Regulation.

1. Jäsenvaltiot voivat pyytää tiedelautakunnan asiantuntijoita tukemaan tämän asetuksen mukaisia täytäntöönpanotoimiaan.

2. The Member States may be required to pay fees for the advice and support provided by the experts. The structure and the level of fees as well as the scale and structure of recoverable costs shall be set out in the implementing act referred to in Article 68(1), taking into account the objectives of the adequate implementation of this Regulation, cost-effectiveness and the necessity of ensuring effective access to experts for all Member States.

2. Jäsenvaltioilta voidaan edellyttää, että ne maksavat palkkioita asiantuntijoiden antamasta neuvonnasta ja tuesta. Palkkioiden rakenteet ja taso sekä korvattavien kustannusten laajuus ja rakenne vahvistetaan 68 artiklan 1 kohdassa tarkoitetulla täytäntöönpanosäädöksellä ottaen huomioon tämän asetuksen asianmukaisen täytäntöönpanon tavoitteet, kustannustehokkuuden ja tarpeen varmistaa kaikkien jäsenvaltioiden tosiasiallinen mahdollisuus käyttää asiantuntijoita.

3. The Commission shall facilitate timely access to the experts by the Member States, as needed, and ensure that the combination of support activities carried out by Union AI testing support pursuant to Article 84 and experts pursuant to this Article is efficiently organised and provides the best possible added value.

3. Komissio edistää sitä, että jäsenvaltiot voivat käyttää asiantuntijoita oikea-aikaisesti tarpeen mukaan, ja varmistaa, että unionin 84 artiklan mukainen tekoälyn testien tuen ja asiantuntijoiden tämän artiklan nojalla toteuttamien tukitoimien yhdistelmä organisoidaan tehokkaasti ja että se antaa parhaan mahdollisen lisäarvon.

SECTION 2

2 JAKSO

National competent authorities

Kansalliset toimivaltaiset viranomaiset

Article 70

70 artikla

Designation of national competent authorities and single points of contact

Kansallisten toimivaltaisten viranomaisten ja keskitettyjen yhteyspisteiden nimeäminen

1. Each Member State shall establish or designate as national competent authorities at least one notifying authority and at least one market surveillance authority for the purposes of this Regulation. Those national competent authorities shall exercise their powers independently, impartially and without bias so as to safeguard the objectivity of their activities and tasks, and to ensure the application and implementation of this Regulation. The members of those authorities shall refrain from any action incompatible with their duties. Provided that those principles are observed, such activities and tasks may be performed by one or more designated authorities, in accordance with the organisational needs of the Member State.

1. Kukin jäsenvaltio perustaa tai nimeää toimivaltaiseksi kansalliseksi viranomaiseksi vähintään yhden ilmoittamisesta vastaavan viranomaisen ja vähintään yhden markkinavalvontaviranomaisen tämän asetuksen soveltamista varten. Kyseisten kansallisten toimivaltaisten viranomaisten on käytettävä valtuuksiaan riippumattomasti, puolueettomasti ja ilman ennakkokäsityksiä heidän toimintansa ja tehtäviensä objektiivisuuden turvaamiseksi ja tämän asetuksen soveltamisen ja täytäntöönpanon varmistamiseksi. Viranomaisten henkilöstö pidättäytyy kaikesta, mikä on ristiriidassa sen tehtävien kanssa. Edellyttäen, että kyseisiä periaatteita noudatetaan, yksi tai useampi nimetty viranomainen voi hoitaa tällaisia toimia ja tehtäviä jäsenvaltion organisatoristen tarpeiden mukaisesti.

2. Member States shall communicate to the Commission the identity of the notifying authorities and the market surveillance authorities and the tasks of those authorities, as well as any subsequent changes thereto. Member States shall make publicly available information on how competent authorities and single points of contact can be contacted, through electronic communication means by 2 August 2025. Member States shall designate a market surveillance authority to act as the single point of contact for this Regulation, and shall notify the Commission of the identity of the single point of contact. The Commission shall make a list of the single points of contact publicly available.

2. Jäsenvaltioiden on ilmoitettava komissiolle ilmoittamisesta vastaavien viranomaisten ja markkinavalvontaviranomaisten nimet ja näiden tehtävät sekä niihin myöhemmin mahdollisesti tehtävät muutokset. Jäsenvaltioiden on viimeistään 2 päivänä elokuuta 2025 asetettava julkisesti saataville tiedot siitä, miten toimivaltaisiin viranomaisiin ja keskitettyihin yhteyspisteisiin voidaan ottaa yhteys sähköisesti. Jäsenvaltioiden on nimettävä markkinavalvontaviranomainen, joka toimii keskitettynä yhteyspisteenä tätä asetusta varten, ja ilmoitettava komissiolle keskitetyn yhteyspisteen nimi. Komissio asettaa keskitettyjen yhteyspisteiden luettelon julkisesti saataville.

3. Member States shall ensure that their national competent authorities are provided with adequate technical, financial and human resources, and with infrastructure to fulfil their tasks effectively under this Regulation. In particular, the national competent authorities shall have a sufficient number of personnel permanently available whose competences and expertise shall include an in-depth understanding of AI technologies, data and data computing, personal data protection, cybersecurity, fundamental rights, health and safety risks and knowledge of existing standards and legal requirements. Member States shall assess and, if necessary, update competence and resource requirements referred to in this paragraph on an annual basis.

3. Jäsenvaltioiden on varmistettava, että niiden kansallisille toimivaltaisille viranomaisille annetaan riittävät tekniset, taloudelliset ja henkilöstöresurssit ja infrastruktuuri, jotta ne voivat hoitaa tämän asetuksen mukaiset tehtävänsä tehokkaasti. Kansallisilla toimivaltaisilla viranomaisilla on erityisesti oltava pysyvästi käytettävissään riittävä määrä henkilöstöä, jonka pätevyyteen ja asiantuntemukseen sisältyy tekoälyteknologioiden, datan ja datalaskennan, henkilötietojen suojan, kyberturvallisuuden, perusoikeuksien ja terveys- ja turvallisuusriskien syvällinen ymmärtäminen sekä voimassa olevien standardien ja oikeudellisten vaatimusten tuntemus. Jäsenvaltioiden on arvioitava ja tarvittaessa päivitettävä tässä kohdassa tarkoitettuja pätevyys- ja resurssivaatimuksia vuosittain.

4. National competent authorities shall take appropriate measures to ensure an adequate level of cybersecurity.

4. Kansallisten toimivaltaisten viranomaisten on toteutettava asiaankuuluvat toimenpiteet riittävän kyberturvallisuustason varmistamiseksi.

5. When performing their tasks, the national competent authorities shall act in accordance with the confidentiality obligations set out in Article 78.

5. Kansallisten toimivaltaisten viranomaisten on tehtäviään suorittaessaan noudatettava 78 artiklassa säädettyjen salassapitovelvollisuuksien mukaisesti.

6. By 2 August 2025, and once every two years thereafter, Member States shall report to the Commission on the status of the financial and human resources of the national competent authorities, with an assessment of their adequacy. The Commission shall transmit that information to the Board for discussion and possible recommendations.

6. Jäsenvaltioiden on viimeistään 2 päivänä elokuuta 2025 ja sen jälkeen kahden vuoden välein raportoitava komissiolle kansallisten toimivaltaisten viranomaisten taloudellisten ja henkilöresurssien tilasta ja arvioitava niiden riittävyyttä. Komissio toimittaa nämä tiedot tekoälyneuvostolle keskustelua ja mahdollisia suosituksia varten.

7. The Commission shall facilitate the exchange of experience between national competent authorities.

7. Komissio helpottaa kokemusten vaihtoa kansallisten toimivaltaisten viranomaisten välillä.

8. National competent authorities may provide guidance and advice on the implementation of this Regulation, in particular to SMEs including start-ups, taking into account the guidance and advice of the Board and the Commission, as appropriate. Whenever national competent authorities intend to provide guidance and advice with regard to an AI system in areas covered by other Union law, the national competent authorities under that Union law shall be consulted, as appropriate.

8. Kansalliset toimivaltaiset viranomaiset voivat antaa ohjeita ja neuvoja tämän asetuksen täytäntöönpanosta, erityisesti pk-yrityksille, myös startup-yrityksille, ottaen huomioon tarvittaessa tekoälyneuvoston ja komission ohjeet ja neuvot. Kun kansalliset toimivaltaiset viranomaiset aikovat antaa tekoälyjärjestelmää koskevia ohjeita ja neuvoja muun unionin oikeuden kattamilla aloilla, kyseisen unionin oikeuden nojalla kansallisia toimivaltaisia viranomaisia on tarvittaessa kuultava.

9. Where Union institutions, bodies, offices or agencies fall within the scope of this Regulation, the European Data Protection Supervisor shall act as the competent authority for their supervision.

CHAPTER VIII

VIII LUKU

EU DATABASE FOR HIGH-RISK AI SYSTEMS

SUURIRISKISIÄ TEKOÄLYJÄRJESTELMIÄ KOSKEVA EU:N TIETOKANTA

Article 71

71 artikla

EU database for high-risk AI systems listed in Annex III

Liitteessä III lueteltuja suuririskisiä tekoälyjärjestelmiä koskeva EU:n tietokanta

1. The Commission shall, in collaboration with the Member States, set up and maintain an EU database containing information referred to in paragraphs 2 and 3 of this Article concerning high-risk AI systems referred to in Article 6(2) which are registered in accordance with Articles 49 and 60 and AI systems that are not considered as high-risk pursuant to Article 6(3) and which are registered in accordance with Article 6(4) and Article 49. When setting the functional specifications of such database, the Commission shall consult the relevant experts, and when updating the functional specifications of such database, the Commission shall consult the Board.

1. Komissio perustaa yhteistyössä jäsenvaltioiden kanssa EU:n tietokannan, joka sisältää tämän artiklan 2 ja 3 kohdassa tarkoitetut tiedot 6 artiklan 2 kohdassa tarkoitetuista suuririskisistä tekoälyjärjestelmistä, jotka on rekisteröity 49 ja 60 artiklan mukaisesti, ja tekoälyjärjestelmistä, joita ei pidetä suuririskisinä 6 artiklan 3 kohdan nojalla ja jotka on rekisteröity 6 artiklan 4 kohdan ja 49 artiklan mukaisesti, ja pitää sitä yllä. Komissio kuulee asianomaisia asiantuntijoita vahvistaessaan tällaisen tietokannan toiminnalliset eritelmät ja tekoälyneuvostoa päivittäessään tällaisen tietokannan toiminnallisia eritelmiä.

2. The data listed in Sections A and B of Annex VIII shall be entered into the EU database by the provider or, where applicable, by the authorised representative.

2. Tarjoajan tai tapauksen mukaan valtuutetun edustajan on tallennettava EU:n tietokantaan liitteessä VIII olevassa A ja B osassa luetellut tiedot.

3. The data listed in Section C of Annex VIII shall be entered into the EU database by the deployer who is, or who acts on behalf of, a public authority, agency or body, in accordance with Article 49(3) and (4).

3. Käyttöönottajan, joka on viranomainen, virasto tai elin tai toimii niiden puolesta, on tallennettava EU:n tietokantaan liitteessä VIII olevassa C jaksossa luetellut tiedot 49 artiklan 3 ja 4 kohdan mukaisesti.

4. With the exception of the section referred to in Article 49(4) and Article 60(4), point (c), the information contained in the EU database registered in accordance with Article 49 shall be accessible and publicly available in a user-friendly manner. The information should be easily navigable and machine-readable. The information registered in accordance with Article 60 shall be accessible only to market surveillance authorities and the Commission, unless the prospective provider or provider has given consent for also making the information accessible the public.

4. Edellä 49 artiklan 4 kohdassa ja 60 artiklan 4 kohdan c alakohdassa tarkoitettua osiota lukuun ottamatta EU:n tietokannan sisältämien, 49 artiklan mukaisesti rekisteröityjen tietojen on oltava julkisesti saatavilla käyttäjäystävällisellä tavalla. Tietojen olisi oltava helposti selattavia ja koneluettavia. Edellä olevan 60 artiklan mukaisesti rekisteröityjen tietojen on oltava ainoastaan markkinavalvontaviranomaisten ja komission saatavilla, paitsi jos mahdollinen tarjoaja tai tarjoaja on antanut suostumuksensa näiden tietojen asettamiseen myös yleisön saataville.

5. The EU database shall contain personal data only in so far as necessary for collecting and processing information in accordance with this Regulation. That information shall include the names and contact details of natural persons who are responsible for registering the system and have the legal authority to represent the provider or the deployer, as applicable.

5. EU:n tietokannassa saa olla henkilötietoja vain siinä määrin kuin se on tarpeen tämän asetuksen mukaista tietojen keräämistä ja käsittelyä varten. Näihin tietoihin on sisällyttävä niiden luonnollisten henkilöiden nimet ja yhteystiedot, jotka ovat vastuussa järjestelmän rekisteröinnistä ja joilla on laillinen oikeus edustaa tarjoajaa tai käyttöönottajaa tapauksen mukaan.

6. The Commission shall be the controller of the EU database. It shall make available to providers, prospective providers and deployers adequate technical and administrative support. The EU database shall comply with the applicable accessibility requirements.

6. Komissio on EU:n tietokannan rekisterinpitäjä. Se asettaa tarjoajien, mahdollisten tarjoajien ja käyttöönottajien saataville riittävän teknisen ja hallinnollisen tuen. EU:n tietokannan on noudatettava sovellettavia esteettömyysvaatimuksia.

CHAPTER IX

IX LUKU

POST-MARKET MONITORING, INFORMATION SHARING AND MARKET SURVEILLANCE

MARKKINOILLE SAATTAMISEN JÄLKEINEN SEURANTA, TIETOJEN JAKAMINEN JA MARKKINAVALVONTA

SECTION 1

1 JAKSO

Post-market monitoring

Markkinoille saattamisen jälkeinen seuranta

Article 72

72 artikla

Post-market monitoring by providers and post-market monitoring plan for high-risk AI systems

Tarjoajien toteuttama markkinoille saattamisen jälkeinen seuranta ja suuririskisten tekoälyjärjestelmien markkinoille saattamisen jälkeinen seurantasuunnitelma

1. Providers shall establish and document a post-market monitoring system in a manner that is proportionate to the nature of the AI technologies and the risks of the high-risk AI system.

1. Tarjoajien on perustettava ja dokumentoitava markkinoille saattamisen jälkeinen seurantajärjestelmä tavalla, joka on oikeassa suhteessa tekoälyteknologioiden luonteeseen ja suuririskisen tekoälyjärjestelmän aiheuttamiin riskeihin nähden.

2. The post-market monitoring system shall actively and systematically collect, document and analyse relevant data which may be provided by deployers or which may be collected through other sources on the performance of high-risk AI systems throughout their lifetime, and which allow the provider to evaluate the continuous compliance of AI systems with the requirements set out in Chapter III, Section 2. Where relevant, post-market monitoring shall include an analysis of the interaction with other AI systems. This obligation shall not cover sensitive operational data of deployers which are law-enforcement authorities.

2. Markkinoille saattamisen jälkeisessä seurantajärjestelmässä on aktiivisesti ja järjestelmällisesti kerättävä, dokumentoitava ja analysoitava asiaankuuluvia tietoja, jotka koskevat suuririskisten tekoälyjärjestelmien suorituskykyä niiden koko elinkaaren ajan ja jotka voivat olla käyttöönottajien toimittamia tai jotka on voitu kerätä muista lähteistä, ja sen on annettava tarjoajalle mahdollisuus arvioida, täyttävätkö tekoälyjärjestelmät jatkuvasti III luvun 2 jaksossa vahvistetut vaatimukset. Markkinoille saattamisen jälkeiseen seurantaan on tarvittaessa sisällyttävä analyysi vuorovaikutuksesta muiden tekoälyjärjestelmien kanssa. Tätä velvoitetta ei sovelleta niiden käyttöönottajien arkaluonteiseen operatiiviseen tietoon, jotka ovat lainvalvontaviranomaisia.

3. The post-market monitoring system shall be based on a post-market monitoring plan. The post-market monitoring plan shall be part of the technical documentation referred to in Annex IV. The Commission shall adopt an implementing act laying down detailed provisions establishing a template for the post-market monitoring plan and the list of elements to be included in the plan by 2 February 2026. That implementing act shall be adopted in accordance with the examination procedure referred to in Article 98(2).

3. Markkinoille saattamisen jälkeisen seurantajärjestelmän on perustuttava markkinoille saattamisen jälkeistä seurantaa koskevaan suunnitelmaan. Markkinoille saattamisen jälkeistä seurantaa koskevan suunnitelman on oltava osa liitteessä IV tarkoitettua teknistä dokumentaatiota. Komissio hyväksyy täytäntöönpanosäädöksen, jossa vahvistetaan yksityiskohtaiset säännökset markkinoille saattamisen jälkeistä seurantaa koskevan suunnitelman mallista ja suunnitelmaan sisällytettävistä tiedoista viimeistään 2 päivänä helmikuuta 2026. Tämä täytäntöönpanosäädös hyväksytään 98 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

4. For high-risk AI systems covered by the Union harmonisation legislation listed in Section A of Annex I, where a post-market monitoring system and plan are already established under that legislation, in order to ensure consistency, avoid duplications and minimise additional burdens, providers shall have a choice of integrating, as appropriate, the necessary elements described in paragraphs 1, 2 and 3 using the template referred in paragraph 3 into systems and plans already existing under that legislation, provided that it achieves an equivalent level of protection.

4. Jos liitteessä I olevassa A jaksossa tarkoitetun unionin yhdenmukaistamislainsäädännön soveltamisalaan kuuluvien suuririskisten tekoälyjärjestelmien osalta on jo otettu käyttöön markkinoille saattamisen jälkeinen seurantajärjestelmä ja -suunnitelma kyseisen lainsäädännön nojalla, tarjoajien on johdonmukaisuuden varmistamiseksi, päällekkäisyyksien välttämiseksi ja lisärasitteiden minimoimiseksi voitava tarvittaessa sisällyttää 3 kohdassa tarkoitettua mallia käyttäen 1, 2 ja 3 kohdassa kuvatut tarvittavat osatekijät kyseisen lainsäädännön nojalla jo olemassa oleviin järjestelmiin ja suunnitelmiin edellyttäen, että tällä saavutetaan vastaava suojelun taso.

The first subparagraph of this paragraph shall also apply to high-risk AI systems referred to in point 5 of Annex III placed on the market or put into service by financial institutions that are subject to requirements under Union financial services law regarding their internal governance, arrangements or processes.

Tämän kohdan ensimmäistä alakohtaa sovelletaan myös sellaisiin liitteessä III olevassa 5 kohdassa tarkoitettuihin suuririskisiin tekoälyjärjestelmiin, joita ovat saattaneet markkinoille tai ottaneet käyttöön rahoituslaitokset, joihin sovelletaan niiden sisäisiä hallintojärjestelyjä tai -prosesseja koskevia vaatimuksia unionin rahoituspalvelulainsäädännön nojalla.

SECTION 2

2 JAKSO

Sharing of information on serious incidents

Vakavia vaaratilanteita koskevien tietojen jakaminen

Article 73

73 artikla

Reporting of serious incidents

Vakavista vaaratilanteista ilmoittaminen

1. Providers of high-risk AI systems placed on the Union market shall report any serious incident to the market surveillance authorities of the Member States where that incident occurred.

1. Unionin markkinoille saatettujen suuririskisten tekoälyjärjestelmien tarjoajien on ilmoitettava kaikista vakavista vaaratilanteista niiden jäsenvaltioiden markkinavalvontaviranomaisille, joissa kyseinen vaaratilanne tapahtui.

2. The report referred to in paragraph 1 shall be made immediately after the provider has established a causal link between the AI system and the serious incident or the reasonable likelihood of such a link, and, in any event, not later than 15 days after the provider or, where applicable, the deployer, becomes aware of the serious incident.

2. Edellä olevassa 1 kohdassa tarkoitettu ilmoitus on tehtävä välittömästi sen jälkeen, kun tarjoaja on todennut syy-yhteyden tekoälyjärjestelmän ja vakavan vaaratilanteen välillä tai tällaisen yhteyden kohtuullisen todennäköisyyden, ja joka tapauksessa viimeistään 15 päivän kuluttua siitä, kun vakava vaaratilanne on tullut tarjoajan tai tapauksen mukaan käyttöönottajan tietoon.

The period for the reporting referred to in the first subparagraph shall take account of the severity of the serious incident.

Ensimmäisessä alakohdassa tarkoitetun ilmoittamisen määräajassa on otettava huomioon vakavan vaaratilanteen vakavuus.

3. Notwithstanding paragraph 2 of this Article, in the event of a widespread infringement or a serious incident as defined in Article 3, point (49)(b), the report referred to in paragraph 1 of this Article shall be provided immediately, and not later than two days after the provider or, where applicable, the deployer becomes aware of that incident.

3. Sen estämättä, mitä tämän artiklan 2 kohdassa säädetään, jos kyseessä on laajalle levinnyt rikkomus tai 3 artiklan 49 kohdan b alakohdassa määritelty vakava vaaratilanne, tämän artiklan 1 kohdassa tarkoitettu ilmoitus on toimitettava välittömästi ja viimeistään kahden päivän kuluttua siitä, kun tarjoaja tai tapauksen mukaan käyttöönottaja on saanut tiedon kyseisestä vaaratilanteesta.

4. Notwithstanding paragraph 2, in the event of the death of a person, the report shall be provided immediately after the provider or the deployer has established, or as soon as it suspects, a causal relationship between the high-risk AI system and the serious incident, but not later than 10 days after the date on which the provider or, where applicable, the deployer becomes aware of the serious incident.

4. Sen estämättä, mitä 2 kohdassa säädetään, kuolemantapauksessa ilmoitus on annettava välittömästi sen jälkeen, kun tarjoaja tai käyttöönottaja on todennut suuririskisen tekoälyjärjestelmän ja vakavan vaaratilanteen välisen syyseuraussuhteen tai heti kun ne epäilevät suuririskisen tekoälyjärjestelmän ja vakavan vaaratilanteen välistä syyseuraussuhdetta, mutta viimeistään 10 päivän kuluttua päivästä, jona vakava vaaratilanne on tullut tarjoajan tai tapauksen mukaan käyttöönottajan tietoon.

5. Where necessary to ensure timely reporting, the provider or, where applicable, the deployer, may submit an initial report that is incomplete, followed by a complete report.

5. Jos se on tarpeen oikea-aikaisen ilmoittamisen varmistamiseksi, tarjoaja tai tapauksen mukaan käyttöönottaja voi toimittaa alustavan epätäydellisen ilmoituksen, jota seuraa täydellinen ilmoitus.

6. Following the reporting of a serious incident pursuant to paragraph 1, the provider shall, without delay, perform the necessary investigations in relation to the serious incident and the AI system concerned. This shall include a risk assessment of the incident, and corrective action.

6. Ilmoitettuaan 1 kohdan mukaisesti vakavasta vaaratilanteesta tarjoajan on viipymättä suoritettava tarvittavat vakavaan vaaratilanteeseen ja kyseiseen tekoälyjärjestelmään liittyvät tutkimukset. Tähän on sisällyttävä vaaratilanteen riskinarviointi ja korjaavat toimenpiteet.

The provider shall cooperate with the competent authorities, and where relevant with the notified body concerned, during the investigations referred to in the first subparagraph, and shall not perform any investigation which involves altering the AI system concerned in a way which may affect any subsequent evaluation of the causes of the incident, prior to informing the competent authorities of such action.

Tarjoajan on ensimmäisessä alakohdassa tarkoitetun tutkinnan aikana toimittava yhteistyössä toimivaltaisten viranomaisten ja tarvittaessa asianomaisen ilmoitetun laitoksen kanssa, eikä se saa toteuttaa tutkimusta, johon sisältyy tekoälyjärjestelmän muuttaminen niin, että se voi vaikuttaa vaaratilanteen syiden myöhempään arviointiin, ennen kuin toimivaltaisille viranomaisille on ilmoitettu tällaisesta toimenpiteestä.

7. Upon receiving a notification related to a serious incident referred to in Article 3, point (49)(c), the relevant market surveillance authority shall inform the national public authorities or bodies referred to in Article 77(1). The Commission shall develop dedicated guidance to facilitate compliance with the obligations set out in paragraph 1 of this Article. That guidance shall be issued by 2 August 2025, and shall be assessed regularly.

7. Saatuaan ilmoituksen 3 artiklan 49 kohdan c alakohdassa tarkoitetusta vakavasta vaaratilanteesta asiaankuuluvan markkinavalvontaviranomaisen on ilmoitettava asiasta 77 artiklan 1 kohdassa tarkoitetuille kansallisille viranomaisille tai elimille. Komissio laatii erityiset ohjeet, joilla helpotetaan tämän artiklan 1 kohdassa säädettyjen velvoitteiden noudattamista. Ohjeet on annettava viimeistään 2 päivänä elokuuta 2025, ja niitä on arvioitava säännöllisesti.

8. The market surveillance authority shall take appropriate measures, as provided for in Article 19 of Regulation (EU) 2019/1020, within seven days from the date it received the notification referred to in paragraph 1 of this Article, and shall follow the notification procedures as provided in that Regulation.

8. Markkinavalvontaviranomaisen on toteutettava asetuksen (EU) 2019/1020 19 artiklassa säädetyt asianmukaiset toimenpiteet seitsemän päivän kuluessa tämän artiklan 1 kohdassa tarkoitetun ilmoituksen vastaanottamisesta ja noudatettava kyseisessä asetuksessa säädettyjä ilmoitusmenettelyjä.

9. For high-risk AI systems referred to in Annex III that are placed on the market or put into service by providers that are subject to Union legislative instruments laying down reporting obligations equivalent to those set out in this Regulation, the notification of serious incidents shall be limited to those referred to in Article 3, point (49)(c).

9. Sellaisten liitteessä III tarkoitettujen suuririskisten tekoälyjärjestelmien osalta, joita saattavat markkinoille tai ottavat käyttöön tarjoajat, joihin sovelletaan unionin säädöksiä, joissa säädetään tässä asetuksessa säädettyjä velvoitteita vastaavista raportointivelvoitteista, vakavista vaaratilanteista ilmoittaminen on rajattava koskemaan 3 artiklan 49 kohdan c alakohdassa tarkoitettuja vakavia vaaratilanteita.

10. For high-risk AI systems which are safety components of devices, or are themselves devices, covered by Regulations (EU) 2017/745 and (EU) 2017/746, the notification of serious incidents shall be limited to those referred to in Article 3, point (49)(c) of this Regulation, and shall be made to the national competent authority chosen for that purpose by the Member States where the incident occurred.

10. Sellaisten suuririskisten tekoälyjärjestelmien osalta, jotka ovat asetusten (EU) 2017/745 ja (EU) 2017/746 soveltamisalaan kuuluvien laitteiden turvakomponentteja tai jotka itse ovat laitteita, vakavista vaaratilanteista ilmoittaminen on rajattava koskemaan tämän asetuksen 3 artiklan 49 kohdan c alakohdassa tarkoitettuja vakavia vaaratilanteita, ja se tehdään kansalliselle toimivaltaiselle viranomaiselle, jonka jäsenvaltiot, joissa vaaratilanne tapahtui, valitsevat tätä tarkoitusta varten.

11. National competent authorities shall immediately notify the Commission of any serious incident, whether or not they have taken action on it, in accordance with Article 20 of Regulation (EU) 2019/1020.

11. Kansallisten toimivaltaisten viranomaisten on ilmoitettava komissiolle välittömästi kaikista vakavista vaaratilanteista, riippumatta siitä, ovatko ne ryhtyneet niiden johdosta toimiin, asetuksen (EU) 2019/1020 20 artiklan mukaisesti.

SECTION 3

3 JAKSO

Enforcement

Täytäntöönpanon valvonta

Article 74

74 artikla

Market surveillance and control of AI systems in the Union market

Markkinavalvonta ja tekoälyjärjestelmille unionin markkinoilla tehtävät tarkastukset

1. Regulation (EU) 2019/1020 shall apply to AI systems covered by this Regulation. For the purposes of the effective enforcement of this Regulation:

1. Tämän asetuksen soveltamisalaan kuuluviin tekoälyjärjestelmiin sovelletaan asetusta (EU) 2019/1020. Tämän asetuksen tehokkaan täytäntöönpanon varmistamiseksi

(a)

any reference to an economic operator under Regulation (EU) 2019/1020 shall be understood as including all operators identified in Article 2(1) of this Regulation;

asetuksessa (EU) 2019/1020 olevien viittausten talouden toimijaan on katsottava koskevan myös kaikkia tämän asetuksen 2 artiklan 1 kohdassa yksilöityjä toimijoita;

(b)

any reference to a product under Regulation (EU) 2019/1020 shall be understood as including all AI systems falling within the scope of this Regulation.

asetuksessa (EU) 2019/1020 olevien viittausten tuotteeseen on katsottava koskevan myös kaikkia tämän asetuksen soveltamisalaan kuuluvia tekoälyjärjestelmiä.

2. As part of their reporting obligations under Article 34(4) of Regulation (EU) 2019/1020, the market surveillance authorities shall report annually to the Commission and relevant national competition authorities any information identified in the course of market surveillance activities that may be of potential interest for the application of Union law on competition rules. They shall also annually report to the Commission about the use of prohibited practices that occurred during that year and about the measures taken.

2. Markkinavalvontaviranomaisten on osana asetuksen (EU) 2019/1020 34 artiklan 4 kohdan mukaisia raportointivelvoitteitaan ilmoitettava vuosittain komissiolle ja asianomaisille kansallisille kilpailuviranomaisille kaikki markkinavalvontatoimien yhteydessä esiin tulleet tiedot, joilla voi olla merkitystä unionin kilpailulainsäädännön soveltamisen kannalta. Niiden on myös raportoitava vuosittain tekoälytoimistolle kiellettyjen käytäntöjen käytöstä kyseisen vuoden aikana ja toteutetuista toimenpiteistä.

3. For high-risk AI systems related to products covered by the Union harmonisation legislation listed in Section A of Annex I, the market surveillance authority for the purposes of this Regulation shall be the authority responsible for market surveillance activities designated under those legal acts.

3. Sellaisten suuririskisten tekoälyjärjestelmien osalta, jotka liittyvät tuotteisiin, joihin sovelletaan liitteessä I olevassa A jaksossa lueteltua unionin yhdenmukaistamislainsäädäntöä, markkinavalvontaviranomainen on tätä asetusta sovellettaessa kyseisten säädösten nojalla nimetty markkinavalvontatoimista vastaava viranomainen.

By derogation from the first subparagraph, and in appropriate circumstances, Member States may designate another relevant authority to act as a market surveillance authority, provided they ensure coordination with the relevant sectoral market surveillance authorities responsible for the enforcement of the Union harmonisation legislation listed in Annex I.

Poiketen siitä, mitä ensimmäisessä alakohdassa säädetään, jäsenvaltiot voivat asianmukaisissa olosuhteissa nimetä toisen asiaankuuluvan viranomaisen toimimaan markkinavalvontaviranomaisena edellyttäen, että ne varmistavat koordinoinnin liitteessä I luetellun unionin yhdenmukaistamislainsäädännön täytäntöönpanosta vastaavien alakohtaisten markkinavalvontaviranomaisten kanssa.

4. The procedures referred to in Articles 79 to 83 of this Regulation shall not apply to AI systems related to products covered by the Union harmonisation legislation listed in section A of Annex I, where such legal acts already provide for procedures ensuring an equivalent level of protection and having the same objective. In such cases, the relevant sectoral procedures shall apply instead.

4. Tämän asetuksen 79–83 artiklassa tarkoitettuja menettelyjä ei sovelleta tekoälyjärjestelmiin, jotka liittyvät tuotteisiin, joihin sovelletaan liitteessä I olevassa A jaksossa lueteltua unionin yhdenmukaistamislainsäädäntöä, kun tällaisissa säädöksissä säädetään jo menettelyistä, joilla saavutetaan vastaava suojelun taso ja joilla on sama tavoite. Tällaisissa tapauksissa on sen sijaan sovellettava asiaankuuluvia alakohtaisia menettelyjä.

5. Without prejudice to the powers of market surveillance authorities under Article 14 of Regulation (EU) 2019/1020, for the purpose of ensuring the effective enforcement of this Regulation, market surveillance authorities may exercise the powers referred to in Article 14(4), points (d) and (j), of that Regulation remotely, as appropriate.

5. Tämän asetuksen tehokkaan täytäntöönpanon varmistamiseksi markkinavalvontaviranomaiset voivat tarvittaessa käyttää kyseisen asetuksen 14 artiklan 4 kohdan d ja j alakohdassa tarkoitettuja valtuuksia etäyhteyden välityksellä, sanotun kuitenkaan rajoittamatta asetuksen (EU) 2019/1020 14 artiklan mukaisia markkinavalvontaviranomaisten valtuuksia.

6. For high-risk AI systems placed on the market, put into service, or used by financial institutions regulated by Union financial services law, the market surveillance authority for the purposes of this Regulation shall be the relevant national authority responsible for the financial supervision of those institutions under that legislation in so far as the placing on the market, putting into service, or the use of the AI system is in direct connection with the provision of those financial services.

6. Sellaisten suuririskisten tekoälyjärjestelmien osalta, joita saattavat markkinoille, ottavat käyttöön tai käyttävät unionin rahoituspalvelulainsäädännöllä säännellyt rahoituslaitokset, markkinavalvontaviranomainen on tätä asetusta sovellettaessa asiaankuuluva kansallinen viranomainen, joka vastaa näiden laitosten rahoitusvalvonnasta kyseisen lainsäädännön nojalla, siltä osin kuin tekoälyjärjestelmän markkinoille saattaminen, käyttöönotto tai käyttö on suorassa yhteydessä kyseisten rahoituspalvelujen tarjoamiseen.

7. By way of derogation from paragraph 6, in appropriate circumstances, and provided that coordination is ensured, another relevant authority may be identified by the Member State as market surveillance authority for the purposes of this Regulation.

7. Poiketen siitä, mitä 6 kohdassa säädetään, perustelluissa olosuhteissa ja edellyttäen, että varmistetaan koordinointi, jäsenvaltio voi määrittää muun asiaankuuluvan viranomaisen markkinavalvontaviranomaiseksi tätä asetusta sovellettaessa.

National market surveillance authorities supervising regulated credit institutions regulated under Directive 2013/36/EU, which are participating in the Single Supervisory Mechanism established by Regulation (EU) No 1024/2013, should report, without delay, to the European Central Bank any information identified in the course of their market surveillance activities that may be of potential interest for the prudential supervisory tasks of the European Central Bank specified in that Regulation.

Kansallisten markkinavalvontaviranomaisten, jotka valvovat direktiivin 2013/36/EU nojalla säänneltyjä luottolaitoksia, jotka osallistuvat asetuksella (EU) N:o 1024/2013 perustettuun yhteiseen valvontamekanismiin, olisi ilmoitettava viipymättä Euroopan keskuspankille kaikki markkinavalvontatoimiensa yhteydessä määrittämät tiedot, joilla voi olla mahdollisesti merkitystä Euroopan keskuspankin vakavaraisuuden valvontatehtäville sellaisina kuin ne määritetään kyseisessä asetuksessa.

8. For high-risk AI systems listed in point 1 of Annex III to this Regulation, in so far as the systems are used for law enforcement purposes, border management and justice and democracy, and for high-risk AI systems listed in points 6, 7 and 8 of Annex III to this Regulation, Member States shall designate as market surveillance authorities for the purposes of this Regulation either the competent data protection supervisory authorities under Regulation (EU) 2016/679 or Directive (EU) 2016/680, or any other authority designated pursuant to the same conditions laid down in Articles 41 to 44 of Directive (EU) 2016/680. Market surveillance activities shall in no way affect the independence of judicial authorities, or otherwise interfere with their activities when acting in their judicial capacity.

8. Sellaisten suuririskisten tekoälyjärjestelmien osalta, jotka on lueteltu tämän asetuksen liitteessä III olevassa 1 kohdassa, siltä osin kuin näitä järjestelmiä käytetään lainvalvontatarkoituksessa, rajaturvallisuudessa sekä oikeuden ja demokratian turvaamisessa, sekä 6, 7 ja 8 kohdassa lueteltujen suuririskisten tekoälyjärjestelmien osalta jäsenvaltioiden on nimettävä tätä asetusta sovellettaessa markkinavalvontaviranomaisiksi asetuksen (EU) 2016/679 tai direktiivin (EU) 2016/680 mukaiset tietosuojavalvontaviranomaiset tai mikä tahansa muu viranomainen, joka on nimetty samoin edellytyksin, jotka on määritelty direktiivin (EU) 2016/680 41–44 artiklassa. Markkinavalvontatoimet eivät saa millään tavoin vaikuttaa oikeusviranomaisten riippumattomuuteen tai muutoin vaikuttaa niiden toimiin niiden toimiessa oikeudellisessa ominaisuudessaan.

9. Where Union institutions, bodies, offices or agencies fall within the scope of this Regulation, the European Data Protection Supervisor shall act as their market surveillance authority, except in relation to the Court of Justice of the European Union acting in its judicial capacity.

9. Kun unionin toimielimet, elimet, toimistot ja virastot kuuluvat tämän asetuksen soveltamisalaan, Euroopan tietosuojavaltuutettu toimii niiden valvonnasta vastaavana toimivaltaisena viranomaisena, lukuun ottamatta Euroopan unionin tuomioistuinta, joka toimii oikeudellisessa ominaisuudessaan.

10. Member States shall facilitate coordination between market surveillance authorities designated under this Regulation and other relevant national authorities or bodies which supervise the application of Union harmonisation legislation listed in Annex I, or in other Union law, that might be relevant for the high-risk AI systems referred to in Annex III.

10. Jäsenvaltioiden on helpotettava koordinointia tämän asetuksen nojalla nimettyjen markkinavalvontaviranomaisten ja muiden sellaisten asiaankuuluvien kansallisten viranomaisten tai elinten välillä, jotka valvovat liitteessä I luetellun unionin yhdenmukaistamislainsäädännön tai muun sellaisen unionin oikeuden soveltamista, jolla saattaa olla merkitystä liitteessä III tarkoitettujen suuririskisten tekoälyjärjestelmien kannalta.

11. Market surveillance authorities and the Commission shall be able to propose joint activities, including joint investigations, to be conducted by either market surveillance authorities or market surveillance authorities jointly with the Commission, that have the aim of promoting compliance, identifying non-compliance, raising awareness or providing guidance in relation to this Regulation with respect to specific categories of high-risk AI systems that are found to present a serious risk across two or more Member States in accordance with Article 9 of Regulation (EU) 2019/1020. The AI Office shall provide coordination support for joint investigations.

11. Markkinavalvontaviranomaisten ja komission olisi voitava ehdottaa yhteisiä toimia, myös yhteisiä tutkimuksia, jotka markkinavalvontaviranomaiset toteuttavat joko itse tai yhdessä komission kanssa ja joiden tavoitteena on edistää vaatimusten noudattamista, havaita vaatimusten noudattamatta jättäminen, lisätä tietämystä tai antaa neuvoja tähän asetukseen liittyvistä asioista ja niistä suuririskisten tekoälyjärjestelmien luokista, joiden on todettu aiheuttavan vakavan riskin kahdessa tai useammassa jäsenvaltiossa asetuksen (EU) 2019/1020 9 artiklan mukaisesti. Tekoälytoimiston on annettava koordinointitukea yhteisiä tutkimuksia varten.

12. Without prejudice to the powers provided for under Regulation (EU) 2019/1020, and where relevant and limited to what is necessary to fulfil their tasks, the market surveillance authorities shall be granted full access by providers to the documentation as well as the training, validation and testing data sets used for the development of high-risk AI systems, including, where appropriate and subject to security safeguards, through application programming interfaces (API) or other relevant technical means and tools enabling remote access.

12. Tarjoajien on annettava markkinavalvontaviranomaisille täysi pääsy dokumentaatioon sekä suuririskisen tekoälyjärjestelmien kehittämisessä käytettyihin koulutus-, validointi- ja testausdatajoukkoihin, mukaan lukien, kun se on aiheellista ja turvatoimenpiteitä soveltaen, sovellusrajapintojen (API) tai muiden etäkäytön mahdollistavien asianmukaisten teknisten välineiden ja työkalujen kautta, sanotun kuitenkaan rajoittamatta asetuksessa säädettyä (EU) 2019/1020 toimivaltaa ja kun se on asiaankuuluvaa ja rajoitettu siihen mikä on tarpeen markkinavalvontaviranomaisten tehtävien suorittamiseksi.

13. Market surveillance authorities shall be granted access to the source code of the high-risk AI system upon a reasoned request and only when both of the following conditions are fulfilled:

13. Markkinavalvontaviranomaisille on annettava pääsy suuririskisen tekoälyjärjestelmän lähdekoodiin perustellusta pyynnöstä ja ainoastaan, kun molemmat seuraavista kumulatiivisista edellytyksistä täyttyvät:

(a)

access to source code is necessary to assess the conformity of a high-risk AI system with the requirements set out in Chapter III, Section 2; and

pääsy lähdekoodiin on tarpeellista, jotta voidaan arvioida, onko suuririskinen tekoälyjärjestelmä III luvun 2 jaksossa esitettyjen vaatimusten mukainen; ja

(b)

testing or auditing procedures and verifications based on the data and documentation provided by the provider have been exhausted or proved insufficient.

tarjoajan esittämiin tietoihin ja dokumentaatioon perustuvat testaus- tai tarkastusmenettelyt ja tarkastukset on jo suoritettu tai ne ovat osoittautuneet riittämättömiksi.

14. Any information or documentation obtained by market surveillance authorities shall be treated in accordance with the confidentiality obligations set out in Article 78.

14. Kaikkea tietoa tai dokumentaatiota, jonka markkinavalvontaviranomaiset saavat, on käsiteltävä 78 artiklassa säädettyjen salassapitovelvollisuuksien mukaisesti.

Article 75

75 artikla

Mutual assistance, market surveillance and control of general-purpose AI systems

Keskinäinen avunanto, markkinavalvonta ja yleiskäyttöisten tekoälyjärjestelmien valvonta

1. Where an AI system is based on a general-purpose AI model, and the model and the system are developed by the same provider, the AI Office shall have powers to monitor and supervise compliance of that AI system with obligations under this Regulation. To carry out its monitoring and supervision tasks, the AI Office shall have all the powers of a market surveillance authority provided for in this Section and Regulation (EU) 2019/1020.

1. Jos tekoälyjärjestelmä perustuu yleiskäyttöiseen tekoälymalliin ja sama tarjoaja kehittää mallin ja järjestelmän, tekoälytoimistolla on oltava valtuudet seurata ja valvoa, että kyseinen tekoälyjärjestelmä on tämän asetuksen mukaisten velvoitteiden mukainen. Tekoälytoimistolla on seuranta- ja valvontatehtäviensä hoitamiseksi kaikki tässä jaksossa ja asetuksessa (EU) 2019/1020 säädetyn markkinavalvontaviranomaisen valtuudet.

2. Where the relevant market surveillance authorities have sufficient reason to consider general-purpose AI systems that can be used directly by deployers for at least one purpose that is classified as high-risk pursuant to this Regulation to be non-compliant with the requirements laid down in this Regulation, they shall cooperate with the AI Office to carry out compliance evaluations, and shall inform the Board and other market surveillance authorities accordingly.

2. Jos asiaankuuluvilla markkinavalvontaviranomaisilla on riittävä syy katsoa, että yleiskäyttöiset tekoälyjärjestelmät, joita käyttöönottajat voivat käyttää suoraan vähintään yhteen tämän asetuksen nojalla suuririskiseksi luokiteltuun tarkoitukseen, eivät ole tässä asetuksessa säädettyjen vaatimusten mukaisia, niiden on tehtävä yhteistyötä tekoälytoimiston kanssa vaatimustenmukaisuuden arviointien tekemiseksi ja ilmoitettava asiasta tekoälyneuvostolle ja muille markkinavalvontaviranomaisille.

3. Where a market surveillance authority is unable to conclude its investigation of the high-risk AI system because of its inability to access certain information related to the general-purpose AI model despite having made all appropriate efforts to obtain that information, it may submit a reasoned request to the AI Office, by which access to that information shall be enforced. In that case, the AI Office shall supply to the applicant authority without delay, and in any event within 30 days, any information that the AI Office considers to be relevant in order to establish whether a high-risk AI system is non-compliant. Market surveillance authorities shall safeguard the confidentiality of the information that they obtain in accordance with Article 78 of this Regulation. The procedure provided for in Chapter VI of Regulation (EU) 2019/1020 shall apply mutatis mutandis.

3. Jos markkinavalvontaviranomainen ei pysty saattamaan suuririskistä tekoälyjärjestelmää koskevaa tutkimustaan päätökseen, koska se ei voi saada tiettyjä yleiskäyttöiseen tekoälymalliin liittyviä tietoja, vaikka se on toteuttanut kaikki asianmukaiset toimet kyseisten tietojen saamiseksi, se voi esittää tekoälytoimistolle perustellun pyynnön, jonka mukaisesti pääsy kyseisiin tietoihin on pantava täytäntöön. Tässä tapauksessa tekoälytoimiston on toimitettava viipymättä ja joka tapauksessa 30 päivän kuluessa pyynnön esittävälle viranomaiselle kaikki tiedot, jotka tekoälytoimisto katsoo merkityksellisiksi määritettäessä sitä, onko jokin suuririskinen tekoälyjärjestelmä vaatimusten vastainen. Markkinavalvontaviranomaisten on turvattava saamiensa tietojen luottamuksellisuus tämän asetuksen 78 artiklan mukaisesti. Asetuksen (EU) 2019/1020 VI luvussa säädettyä menettelyä sovelletaan soveltuvin osin.

Article 76

76 artikla

Supervision of testing in real world conditions by market surveillance authorities

Markkinavalvontaviranomaisten suorittama tosielämän olosuhteissa tapahtuvan testauksen valvonta

1. Market surveillance authorities shall have competences and powers to ensure that testing in real world conditions is in accordance with this Regulation.

1. Markkinavalvontaviranomaisilla on oltava pätevyys ja valtuudet varmistaa, että tosielämän olosuhteissa tapahtuva testaus on tämän asetuksen mukaista.

2. Where testing in real world conditions is conducted for AI systems that are supervised within an AI regulatory sandbox under Article 58, the market surveillance authorities shall verify the compliance with Article 60 as part of their supervisory role for the AI regulatory sandbox. Those authorities may, as appropriate, allow the testing in real world conditions to be conducted by the provider or prospective provider, in derogation from the conditions set out in Article 60(4), points (f) and (g).

2. Kun tosielämän olosuhteissa tapahtuvaa testausta tehdään tekoälyjärjestelmille, joita valvotaan 58 artiklan mukaisessa tekoälyn sääntelyn testiympäristössä, markkinavalvontaviranomaisten on varmistettava 60 artiklan noudattaminen osana tekoälyn sääntelyn testiympäristöä koskevaa valvontatehtäväänsä. Kyseiset viranomaiset voivat tarvittaessa sallia, että tarjoaja tai mahdollinen tarjoaja toteuttaa tosielämän olosuhteissa tapahtuvan testauksen 60 artiklan 4 kohdan f ja g alakohdassa esitetyistä edellytyksistä poiketen.

3. Where a market surveillance authority has been informed by the prospective provider, the provider or any third party of a serious incident or has other grounds for considering that the conditions set out in Articles 60 and 61 are not met, it may take either of the following decisions on its territory, as appropriate:

3. Jos mahdollinen tarjoaja, tarjoaja tai kolmas osapuoli on ilmoittanut markkinavalvontaviranomaiselle vakavasta vaaratilanteesta tai jos markkinavalvontaviranomaisella on muut perusteet katsoa, että 60 ja 61 artiklassa esitettyjä edellytyksiä ei noudateta, se voi tehdä jommankumman seuraavista päätöksistä alueellaan tapauksen mukaan:

(a)

to suspend or terminate the testing in real world conditions;

tosielämän olosuhteissa tapahtuva testaus keskeytetään tai päätetään;

(b)

to require the provider or prospective provider and the deployer or prospective deployer to modify any aspect of the testing in real world conditions.

tarjoajaa tai mahdollista tarjoajaa ja käyttöönottajaa tai mahdollista käyttöönottajaa vaaditaan muuttamaan tosielämän olosuhteissa tapahtuvan testauksen näkökohtia.

4. Where a market surveillance authority has taken a decision referred to in paragraph 3 of this Article, or has issued an objection within the meaning of Article 60(4), point (b), the decision or the objection shall indicate the grounds therefor and how the provider or prospective provider can challenge the decision or objection.

4. Jos markkinavalvontaviranomainen on tehnyt tämän artiklan 3 kohdassa tarkoitetun päätöksen tai on esittänyt 60 artiklan 4 kohdan b alakohdassa tarkoitetun vastalauseen, päätöksessä tai vastalauseessa on esitettävä sen perusteet sekä yksityiskohtaiset säännöt, joiden mukaisesti tarjoaja tai mahdollinen tarjoaja voi hakea päätökseen tai vastalauseeseen muutosta.

5. Where applicable, where a market surveillance authority has taken a decision referred to in paragraph 3, it shall communicate the grounds therefor to the market surveillance authorities of other Member States in which the AI system has been tested in accordance with the testing plan.

5. Jos markkinavalvontaviranomainen on tehnyt 3 kohdassa tarkoitetun päätöksen, sen on tarvittaessa ilmoitettava sen perusteet niiden muiden jäsenvaltioiden markkinavalvontaviranomaisille, joissa tekoälyjärjestelmää on testattu testaussuunnitelman mukaisesti.

Article 77

77 artikla

Powers of authorities protecting fundamental rights

Perusoikeuksia suojelevien viranomaisten valtuudet

1. National public authorities or bodies which supervise or enforce the respect of obligations under Union law protecting fundamental rights, including the right to non-discrimination, in relation to the use of high-risk AI systems referred to in Annex III shall have the power to request and access any documentation created or maintained under this Regulation in accessible language and format when access to that documentation is necessary for effectively fulfilling their mandates within the limits of their jurisdiction. The relevant public authority or body shall inform the market surveillance authority of the Member State concerned of any such request.

1. Kansallisilla viranomaisilla tai elimillä, jotka valvovat tai panevat täytäntöön perusoikeuksien, mukaan lukien oikeus syrjimättömyyteen, suojelua koskevan unionin oikeuden mukaisia velvoitteita liitteessä III tarkoitettujen suuririskisten tekoälyjärjestelmien käytön yhteydessä, on oltava valtuudet pyytää ja saada käyttöönsä tämän asetuksen nojalla luotu tai ylläpidetty dokumentaatio ymmärrettävällä kielellä ja saavutettavassa muodossa, kun dokumentaation käyttö on tarpeen, jotta ne voisivat suorittaa tehokkaasti tehtävänsä omalla lainkäyttöalueellaan. Asianomaisen viranomaisen tai elimen on ilmoitettava tällaisesta pyynnöstä asianomaisen jäsenvaltion markkinavalvontaviranomaiselle.

2. By 2 November 2024, each Member State shall identify the public authorities or bodies referred to in paragraph 1 and make a list of them publicly available. Member States shall notify the list to the Commission and to the other Member States, and shall keep the list up to date.

2. Kunkin jäsenvaltion on viimeistään 2 päivänä marraskuuta 2024 nimettävä 1 kohdassa tarkoitetut viranomaiset tai elimet ja asetettava niiden luettelo julkisesti saataville. Jäsenvaltioiden on ilmoitettava luettelo komissiolle ja muille jäsenvaltioille ja pidettävä se ajan tasalla.

3. Where the documentation referred to in paragraph 1 is insufficient to ascertain whether an infringement of obligations under Union law protecting fundamental rights has occurred, the public authority or body referred to in paragraph 1 may make a reasoned request to the market surveillance authority, to organise testing of the high-risk AI system through technical means. The market surveillance authority shall organise the testing with the close involvement of the requesting public authority or body within a reasonable time following the request.

3. Jos 1 kohdassa tarkoitettu dokumentaatio ei riitä sen selvittämiseen, onko perusoikeuksia suojaavan unionin oikeuden mukaisia velvoitteita rikottu, 1 kohdassa tarkoitettu viranomainen tai elin voi esittää markkinavalvontaviranomaiselle perustellun pyynnön järjestää suuririskisen tekoälyjärjestelmän testaus teknisin keinoin. Markkinavalvontaviranomaisen on järjestettävä testaus pyynnön esittävän viranomaisen tai elimen tiiviillä myötävaikutuksella kohtuullisen ajan kuluessa pyynnön esittämisestä.

4. Any information or documentation obtained by the national public authorities or bodies referred to in paragraph 1 of this Article pursuant to this Article shall be treated in accordance with the confidentiality obligations set out in Article 78.

4. Kaikkea tietoa tai dokumentaatiota, jonka 1 kohdassa tarkoitetut kansalliset viranomaiset tai elimet saavat tämän artiklan mukaisesti, on käsiteltävä 78 artiklassa säädettyjen salassapitovelvollisuuksien mukaisesti.

Article 78

78 artikla

Confidentiality

Luottamuksellisuus

1. The Commission, market surveillance authorities and notified bodies and any other natural or legal person involved in the application of this Regulation shall, in accordance with Union or national law, respect the confidentiality of information and data obtained in carrying out their tasks and activities in such a manner as to protect, in particular:

1. Komission, markkinavalvontaviranomaisten ja ilmoitettujen laitosten sekä muiden tämän asetuksen soveltamiseen osallistuvien luonnollisten ja oikeushenkilöiden on unionin tai kansallisen lainsäädännön mukaisesti tehtäviään ja toimiaan suorittaessaan varmistettava saamiensa tietojen ja datan luottamuksellisuus siten, että suojellaan erityisesti

(a)

the intellectual property rights and confidential business information or trade secrets of a natural or legal person, including source code, except in the cases referred to in Article 5 of Directive (EU) 2016/943 of the European Parliament and of the Council (57);

teollis- ja tekijänoikeuksia ja luonnollisen henkilön tai oikeushenkilön luottamuksellisia liiketoimintatietoja tai liikesalaisuuksia, lähdekoodi mukaan lukien, lukuun ottamatta Euroopan parlamentin ja neuvoston direktiivin (EU) 2016/943 (57) 5 artiklassa tarkoitettuja tapauksia;

(b)

the effective implementation of this Regulation, in particular for the purposes of inspections, investigations or audits;

tämän asetuksen tehokasta täytäntöönpanoa, etenkin tarkastuksia, tutkimuksia ja auditointeja varten.

(c)

public and national security interests;

yleisiä ja kansallisia turvallisuusetuja;

(d)

the conduct of criminal or administrative proceedings;

rikosoikeudellisten tai hallinnollisten menettelyjen toteuttamista;

(e)

information classified pursuant to Union or national law.

unionin tai kansallisen lainsäädännön nojalla turvallisuusluokiteltuja tietoja.

2. The authorities involved in the application of this Regulation pursuant to paragraph 1 shall request only data that is strictly necessary for the assessment of the risk posed by AI systems and for the exercise of their powers in accordance with this Regulation and with Regulation (EU) 2019/1020. They shall put in place adequate and effective cybersecurity measures to protect the security and confidentiality of the information and data obtained, and shall delete the data collected as soon as it is no longer needed for the purpose for which it was obtained, in accordance with applicable Union or national law.

2. Viranomaiset, jotka osallistuvat tämän asetuksen soveltamiseen 1 kohdan nojalla, saavat pyytää ainoastaan dataa, joka on ehdottoman välttämätöntä tekoälyjärjestelmien aiheuttaman riskin arvioimiseksi ja valtuuksien käyttämiseksi tämän asetuksen ja asetuksen (EU) 2019/1020 mukaisesti. Niiden on otettava käyttöön riittävät ja tehokkaat kyberturvallisuustoimenpiteet saatujen tietojen ja datan turvallisuuden ja luottamuksellisuuden suojaamiseksi ja poistettava kerätyt tiedot heti, kun niitä ei enää tarvita siihen tarkoitukseen, jota varten ne on saatu sovellettavan unionin tai kansallisen lainsäädännön mukaisesti.

3. Without prejudice to paragraphs 1 and 2, information exchanged on a confidential basis between the national competent authorities or between national competent authorities and the Commission shall not be disclosed without prior consultation of the originating national competent authority and the deployer when high-risk AI systems referred to in point 1, 6 or 7 of Annex III are used by law enforcement, border control, immigration or asylum authorities and when such disclosure would jeopardise public and national security interests. This exchange of information shall not cover sensitive operational data in relation to the activities of law enforcement, border control, immigration or asylum authorities.

3. Sanotun rajoittamatta 1 ja 2 kohdan soveltamista, kansallisten toimivaltaisten viranomaisten välillä tai kansallisten toimivaltaisten viranomaisten ja komission välillä luottamuksellisesti vaihdettuja tietoja ei saa paljastaa kuulematta etukäteen sitä kansallista toimivaltaista viranomaista, jolta tiedot ovat peräisin, sekä käyttöönottajaa, kun lainvalvonta-, rajavalvonta-, maahanmuutto- tai turvapaikkaviranomaiset käyttävät liitteessä III olevassa 1, 6 tai 7 kohdassa tarkoitettuja suuririskisiä tekoälyjärjestelmiä ja kun tietojen paljastaminen vaarantaisi yleiset ja kansalliset turvallisuusedut. Tämä tietojenvaihto ei koske arkaluonteista operatiivista tietoa, joka liittyy lainvalvonta-, rajavalvonta-, maahanmuutto- ja turvapaikkaviranomaisten toimiin.

When the law enforcement, immigration or asylum authorities are providers of high-risk AI systems referred to in point 1, 6 or 7 of Annex III, the technical documentation referred to in Annex IV shall remain within the premises of those authorities. Those authorities shall ensure that the market surveillance authorities referred to in Article 74(8) and (9), as applicable, can, upon request, immediately access the documentation or obtain a copy thereof. Only staff of the market surveillance authority holding the appropriate level of security clearance shall be allowed to access that documentation or any copy thereof.

Kun lainvalvonta-, maahanmuutto- tai turvapaikkaviranomaiset ovat liitteessä III olevassa 1, 6 tai 7 kohdassa tarkoitettujen suuririskisten tekoälyjärjestelmien tarjoajia, liitteessä IV tarkoitetun teknisen dokumentaation on pysyttävä kyseisten viranomaisten tiloissa. Kyseisten viranomaisten on varmistettava, että tapauksen mukaan 74 artiklan 8 ja 9 kohdassa tarkoitetut markkinavalvontaviranomaiset voivat pyynnöstä välittömästi tutustua dokumentaatioon tai saada siitä jäljennöksen. Ainoastaan markkinavalvontaviranomaisen henkilöstöllä, jolla on tarvittavan tasoinen turvallisuusselvitys, on oltava pääsy kyseiseen dokumentaatioon tai sen jäljennöksiin.

4. Paragraphs 1, 2 and 3 shall not affect the rights or obligations of the Commission, Member States and their relevant authorities, as well as those of notified bodies, with regard to the exchange of information and the dissemination of warnings, including in the context of cross-border cooperation, nor shall they affect the obligations of the parties concerned to provide information under criminal law of the Member States.

4. Edellä oleva 1, 2 ja 3 kohta eivät vaikuta komission, jäsenvaltioiden ja niiden asiaankuuluvien viranomaisten eivätkä ilmoitettujen laitosten tiedonvaihtoa ja varoitusten antamista koskeviin oikeuksiin tai velvollisuuksiin, mukaan lukien rajatylittävän yhteistyön yhteydessä, eivätkä ne vaikuta asianomaisten osapuolten velvollisuuteen antaa tietoja jäsenvaltioiden rikosoikeuden mukaisesti.

5. The Commission and Member States may exchange, where necessary and in accordance with relevant provisions of international and trade agreements, confidential information with regulatory authorities of third countries with which they have concluded bilateral or multilateral confidentiality arrangements guaranteeing an adequate level of confidentiality.

5. Komissio ja jäsenvaltiot voivat, jos se on tarpeen, vaihtaa kansainvälisten sopimusten ja kauppasopimusten asiaa koskevia määräyksiä noudattaen luottamuksellisia tietoja sellaisten kolmansien maiden sääntelyviranomaisten kanssa, joiden kanssa ne ovat tehneet kahdenvälisiä tai monenvälisiä luottamuksellisuutta suojaavia järjestelyjä, joilla taataan riittävä luottamuksellisuuden taso.

Article 79

79 artikla

Procedure at national level for dealing with AI systems presenting a risk

Menettely sellaisten tekoälyjärjestelmien käsittelemiseksi, jotka aiheuttavat riskin kansallisella tasolla

1. AI systems presenting a risk shall be understood as a ‘product presenting a risk’ as defined in Article 3, point 19 of Regulation (EU) 2019/1020, in so far as they present risks to the health or safety, or to fundamental rights, of persons.

1. Riskin aiheuttavalla tekoälyjärjestelmällä tarkoitetaan tuotetta, joka aiheuttaa asetuksen (EU) 2019/1020 3 artiklan 19 alakohdassa määritellyn riskin, kun riski kohdistuu ihmisten terveyteen tai turvallisuuteen tai perusoikeuksiin.

2. Where the market surveillance authority of a Member State has sufficient reason to consider an AI system to present a risk as referred to in paragraph 1 of this Article, it shall carry out an evaluation of the AI system concerned in respect of its compliance with all the requirements and obligations laid down in this Regulation. Particular attention shall be given to AI systems presenting a risk to vulnerable groups. Where risks to fundamental rights are identified, the market surveillance authority shall also inform and fully cooperate with the relevant national public authorities or bodies referred to in Article 77(1). The relevant operators shall cooperate as necessary with the market surveillance authority and with the other national public authorities or bodies referred to in Article 77(1).

2. Jos jäsenvaltion markkinavalvontaviranomaisella on riittävä peruste katsoa, että tekoälyjärjestelmä aiheuttaa tämän artiklan 1 kohdassa tarkoitetun riskin, sen on suoritettava arviointi siitä, täyttääkö kyseinen tekoälyjärjestelmä kaikki tässä asetuksessa säädetyt vaatimukset ja velvoitteet. Erityistä huomiota on kiinnitettävä tekoälyjärjestelmiin, jotka aiheuttavat riskin haavoittuvassa asemassa oleville ryhmille. Jos perusoikeuksiin liittyviä riskejä todetaan, markkinavalvontaviranomaisen on ilmoitettava asiasta myös 77 artiklan 1 kohdassa tarkoitetuille asiaankuuluville kansallisille viranomaisille tai elimille ja tehtävä tiivistä yhteistyötä niiden kanssa. Asianomaisten toimijoiden on tehtävä tarvittaessa yhteistyötä markkinavalvontaviranomaisen ja muiden 77 artiklan 1 kohdassa tarkoitettujen kansallisten viranomaisten tai elinten kanssa.

Where, in the course of that evaluation, the market surveillance authority or, where applicable the market surveillance authority in cooperation with the national public authority referred to in Article 77(1), finds that the AI system does not comply with the requirements and obligations laid down in this Regulation, it shall without undue delay require the relevant operator to take all appropriate corrective actions to bring the AI system into compliance, to withdraw the AI system from the market, or to recall it within a period the market surveillance authority may prescribe, and in any event within the shorter of 15 working days, or as provided for in the relevant Union harmonisation legislation.

Jos markkinavalvontaviranomainen tai tapauksen mukaan markkinavalvontaviranomainen yhteistyössä 77 artiklan 1 kohdassa tarkoitettu kansallisen viranomaisen kanssa toteaa arvioinnin yhteydessä, että tekoälyjärjestelmä ei täytä tässä asetuksessa säädettyjä vaatimuksia ja velvoitteita, sen on vaadittava ilman tarpeetonta viivytystä asianomaista toimijaa toteuttamaan kaikki asianmukaiset korjaavat toimenpiteet tekoälyjärjestelmän saattamiseksi vaatimusten mukaiseksi tai tekoälyjärjestelmän poistamiseksi markkinoilta tai sitä koskevan palautusmenettelyn järjestämiseksi sellaisen ajanjakson kuluessa, jonka markkinavalvontaviranomainen voi määrätä, ja joka tapauksessa viimeistään 15 työpäivän kuluessa tai siten kuin asiaankuuluvassa unionin yhdenmukaistamislainsäädännössä säädetään.

The market surveillance authority shall inform the relevant notified body accordingly. Article 18 of Regulation (EU) 2019/1020 shall apply to the measures referred to in the second subparagraph of this paragraph.

Markkinavalvontaviranomaisten on ilmoitettava tästä asianomaiselle ilmoitetulle laitokselle. Toisessa alakohdassa tarkoitettuihin toimenpiteisiin sovelletaan asetuksen (EU) 2019/1020 18 artiklaa.

3. Where the market surveillance authority considers that the non-compliance is not restricted to its national territory, it shall inform the Commission and the other Member States without undue delay of the results of the evaluation and of the actions which it has required the operator to take.

3. Kun markkinavalvontaviranomainen katsoo, että vaatimustenvastaisuus ei rajoitu sen kansalliselle alueelle, sen on ilman aiheetonta viivytystä ilmoitettava komissiolle ja muille jäsenvaltioille arvioinnin tuloksista ja toimenpiteistä, jotka se ovat vaatinut toimijaa toteuttamaan.

4. The operator shall ensure that all appropriate corrective action is taken in respect of all the AI systems concerned that it has made available on the Union market.

4. Toimijan on varmistettava, että kaikki asianmukaiset korjaavat toimenpiteet toteutetaan kaikkien asianomaisten tekoälyjärjestelmien osalta, jotka se on asettanut saataville unionin markkinoille.

5. Where the operator of an AI system does not take adequate corrective action within the period referred to in paragraph 2, the market surveillance authority shall take all appropriate provisional measures to prohibit or restrict the AI system’s being made available on its national market or put into service, to withdraw the product or the standalone AI system from that market or to recall it. That authority shall without undue delay notify the Commission and the other Member States of those measures.

5. Mikäli tekoälyjärjestelmään liittyvä toimija ei suorita riittäviä korjaavia toimenpiteitä 2 kohdassa tarkoitetun ajanjakson aikana, markkinavalvontaviranomaisen on toteutettava kaikki asianmukaiset väliaikaiset toimenpiteet, joilla kielletään tekoälyjärjestelmän asettaminen saataville kansallisilla markkinoilla tai käyttöönotto tai rajoitetaan sitä, poistetaan erillinen tekoälyjärjestelmä markkinoilta tai järjestetään sitä koskeva palautusmenettely. Viranomaisen on ilman aiheetonta viivytystä ilmoitettava komissiolle ja muille jäsenvaltioille näistä toimenpiteistä.

6. The notification referred to in paragraph 5 shall include all available details, in particular the information necessary for the identification of the non-compliant AI system, the origin of the AI system and the supply chain, the nature of the non-compliance alleged and the risk involved, the nature and duration of the national measures taken and the arguments put forward by the relevant operator. In particular, the market surveillance authorities shall indicate whether the non-compliance is due to one or more of the following:

6. Edellä 5 kohdassa tarkoitettuun ilmoitukseen on sisällyttävä kaikki saatavilla olevat yksityiskohtaiset tiedot, erityisesti ne tiedot, jotka ovat tarpeen vaatimustenvastaisen tekoälyjärjestelmän tunnistamista ja tekoälyjärjestelmän alkuperän ja toimitusketjun, niihin liittyvän väitetyn vaatimustenvastaisuuden ja riskin luonteen ja toteutettujen kansallisten toimenpiteiden luonteen ja keston määrittämistä varten, sekä asianomaisen toimijan esittämät perustelut. Markkinavalvontaviranomaisten on erityisesti ilmoitettava, johtuuko vaatimustenvastaisuus yhdestä tai useammasta seuraavista:

(a)

non-compliance with the prohibition of the AI practices referred to in Article 5;

5 artiklassa tarkoitettua tekoälyyn liittyviä käytäntöjä koskevaa kieltoa ei ole noudatettu;

(b)

a failure of a high-risk AI system to meet requirements set out in Chapter III, Section 2;

suuririskinen tekoälyjärjestelmä ei täytä III luvun 2 jaksossa vahvistettuja vaatimuksia;

(c)

shortcomings in the harmonised standards or common specifications referred to in Articles 40 and 41 conferring a presumption of conformity;

40 ja 41 artiklassa tarkoitetuissa vaatimustenmukaisuusolettaman luovissa yhdenmukaistetuissa standardeissa tai teknisissä eritelmissä on puutteita;

(d)

non-compliance with Article 50.

50 artiklaa ei ole noudatettu.

7. The market surveillance authorities other than the market surveillance authority of the Member State initiating the procedure shall, without undue delay, inform the Commission and the other Member States of any measures adopted and of any additional information at their disposal relating to the non-compliance of the AI system concerned, and, in the event of disagreement with the notified national measure, of their objections.

7. Muiden markkinavalvontaviranomaisten kuin menettelyn aloittaneen jäsenvaltion markkinavalvontaviranomaisen on ilman aiheetonta viivytystä ilmoitettava komissiolle ja muille jäsenvaltioille kaikki toteutetut toimenpiteet ja kaikki niiden hallussa olevat lisätiedot, jotka liittyvät asianomaisen tekoälyjärjestelmän vaatimustenvastaisuuteen, sekä vastalauseensa siinä tapauksessa, että ilmoitetusta kansallisesta toimenpiteestä on erimielisyyttä.

8. Where, within three months of receipt of the notification referred to in paragraph 5 of this Article, no objection has been raised by either a market surveillance authority of a Member State or by the Commission in respect of a provisional measure taken by a market surveillance authority of another Member State, that measure shall be deemed justified. This shall be without prejudice to the procedural rights of the concerned operator in accordance with Article 18 of Regulation (EU) 2019/1020. The three-month period referred to in this paragraph shall be reduced to 30 days in the event of non-compliance with the prohibition of the AI practices referred to in Article 5 of this Regulation.

8. Jos minkään jäsenvaltion markkinavalvontaviranomainen tai komissio ei ole kolmen kuukauden kuluessa tämän artiklan 5 kohdassa tarkoitetun ilmoituksen vastaanottamisesta esittänyt vastalausetta toisen jäsenvaltion markkinavalvontaviranomaisen toteuttamasta väliaikaisesta toimenpiteestä, toimenpiteen katsotaan olevan perusteltu. Tämä ei rajoita asianomaisen toimijan asetuksen (EU) 2019/1020 18 artiklan mukaisia menettelyllisiä oikeuksia. Tässä kohdassa tarkoitettu kolmen kuukauden ajanjakso lyhennetään 30 päivään, kun kyseessä on tämän asetuksen 5 artiklassa tarkoitettuja tekoälyyn liittyviä käytäntöjä koskevan kiellon noudattamatta jättäminen.

9. The market surveillance authorities shall ensure that appropriate restrictive measures are taken in respect of the product or the AI system concerned, such as withdrawal of the product or the AI system from their market, without undue delay.

9. Markkinavalvontaviranomaisten on varmistettava, että kyseistä tuotetta tai tekoälyjärjestelmää koskevat asianmukaiset rajoittavat toimenpiteet, kuten tuotteen tai tekoälyjärjestelmän vetäminen pois markkinoilta, toteutetaan ilman aiheetonta viivytystä.

Article 80

80 artikla

Procedure for dealing with AI systems classified by the provider as non-high-risk in application of Annex III

Tarjoajan liitteen III mukaisesti ei-suuririskisiksi luokittelemia tekoälyjärjestelmiä koskeva menettely

1. Where a market surveillance authority has sufficient reason to consider that an AI system classified by the provider as non-high-risk pursuant to Article 6(3) is indeed high-risk, the market surveillance authority shall carry out an evaluation of the AI system concerned in respect of its classification as a high-risk AI system based on the conditions set out in Article 6(3) and the Commission guidelines.

1. Jos markkinavalvontaviranomaisella on riittävä syy katsoa, että tekoälyjärjestelmä, jonka tarjoaja on luokitellut 6 artiklan 3 kohdan mukaisesti ei-suuririskiseksi, on tosiasiassa suuririskinen, markkinavalvontaviranomaisen on arvioitava kyseinen tekoälyjärjestelmä siten, kuin se olisi luokiteltu suuririskiseksi tekoälyjärjestelmäksi 6 artiklan 3 kohdassa ja komission suuntaviivoissa vahvistettujen edellytysten mukaisesti.

2. Where, in the course of that evaluation, the market surveillance authority finds that the AI system concerned is high-risk, it shall without undue delay require the relevant provider to take all necessary actions to bring the AI system into compliance with the requirements and obligations laid down in this Regulation, as well as take appropriate corrective action within a period the market surveillance authority may prescribe.

2. Jos markkinavalvontaviranomainen havaitsee arvioinnin aikana, että kyseinen tekoälyjärjestelmä on suuririskinen, sen on ilman aiheetonta viivytystä vaadittava asianomaista tarjoajaa toteuttamaan kaikki tarvittavat toimet tekoälyjärjestelmän saattamiseksi tässä asetuksessa säädettyjen vaatimusten ja velvoitteiden mukaiseksi sekä toteuttamaan asianmukaiset korjaavat toimet markkinavalvontaviranomaisen mahdollisesti asettaman määräajan kuluessa.

3. Where the market surveillance authority considers that the use of the AI system concerned is not restricted to its national territory, it shall inform the Commission and the other Member States without undue delay of the results of the evaluation and of the actions which it has required the provider to take.

4. The provider shall ensure that all necessary action is taken to bring the AI system into compliance with the requirements and obligations laid down in this Regulation. Where the provider of an AI system concerned does not bring the AI system into compliance with those requirements and obligations within the period referred to in paragraph 2 of this Article, the provider shall be subject to fines in accordance with Article 99.

4. Tarjoajan on varmistettava kaikkien tarvittavien toimien toteuttaminen tekoälyjärjestelmän saattamiseksi tässä asetuksessa säädettyjen vaatimusten ja velvoitteiden mukaiseksi. Jos asianomainen tekoälyjärjestelmän tarjoaja ei saata tekoälyjärjestelmää kyseisten vaatimusten ja velvoitteiden mukaiseksi tämän artiklan 2 kohdassa tarkoitetussa määräajassa, tarjoajalle on määrättävä sakkoja 99 artiklan mukaisesti.

5. The provider shall ensure that all appropriate corrective action is taken in respect of all the AI systems concerned that it has made available on the Union market.

5. Tarjoajan on varmistettava, että kaikki asianmukaiset korjaavat toimenpiteet toteutetaan kaikkien asianomaisten tekoälyjärjestelmien osalta, jotka se on asettanut saataville markkinoilla unionin alueella.

6. Where the provider of the AI system concerned does not take adequate corrective action within the period referred to in paragraph 2 of this Article, Article 79(5) to (9) shall apply.

6. Jos asianomainen tekoälyjärjestelmän tarjoaja ei toteuta riittäviä korjaavia toimia tämän artiklan 2 kohdassa tarkoitetun ajan kuluessa, sovelletaan 79 artiklan 5–9 kohtaa.

7. Where, in the course of the evaluation pursuant to paragraph 1 of this Article, the market surveillance authority establishes that the AI system was misclassified by the provider as non-high-risk in order to circumvent the application of requirements in Chapter III, Section 2, the provider shall be subject to fines in accordance with Article 99.

7. Jos markkinavalvontaviranomainen toteaa tämän artiklan 1 kohdan mukaisen arvioinnin aikana, että tarjoaja on luokitellut tekoälyjärjestelmän virheellisesti ei-suurriskiseksi III luvun 2 jakson vaatimusten soveltamisen kiertämiseksi, tarjoajalle on määrättävä sakkoja 99 artiklan mukaisesti.

8. In exercising their power to monitor the application of this Article, and in accordance with Article 11 of Regulation (EU) 2019/1020, market surveillance authorities may perform appropriate checks, taking into account in particular information stored in the EU database referred to in Article 71 of this Regulation.

8. Käyttäessään valtuuksiaan valvoa tämän artiklan soveltamista markkinavalvontaviranomaiset voivat asetuksen (EU) 2019/1020 11 artiklan mukaisesti tehdä asianmukaisia tarkastuksia ottaen erityisesti huomioon tämän asetuksen 71 artiklassa tarkoitettuun EU:n tietokantaan tallennetut tiedot.

Article 81

81 artikla

Union safeguard procedure

Unionin suojamenettely

1. Where, within three months of receipt of the notification referred to in Article 79(5), or within 30 days in the case of non-compliance with the prohibition of the AI practices referred to in Article 5, objections are raised by the market surveillance authority of a Member State to a measure taken by another market surveillance authority, or where the Commission considers the measure to be contrary to Union law, the Commission shall without undue delay enter into consultation with the market surveillance authority of the relevant Member State and the operator or operators, and shall evaluate the national measure. On the basis of the results of that evaluation, the Commission shall, within six months, or within 60 days in the case of non-compliance with the prohibition of the AI practices referred to in Article 5, starting from the notification referred to in Article 79(5), decide whether the national measure is justified and shall notify its decision to the market surveillance authority of the Member State concerned. The Commission shall also inform all other market surveillance authorities of its decision.

1. Mikäli jonkin jäsenvaltion markkinavalvontaviranomainen esittää kolmen kuukauden kuluessa tai, kun kyseessä on 5 artiklassa tarkoitettuja tekoälyyn liittyviä käytäntöjä koskevan kiellon noudattamatta jättäminen, 30 päivän kuluessa 79 artiklan 5 kohdassa tarkoitetun ilmoituksen vastaanottamisesta vastalauseen toisen markkinavalvontaviranomaisen toteuttamasta toimenpiteestä tai mikäli komissio pitää toimenpidettä unionin oikeuden vastaisena, komissio kuulee ilman aiheetonta viivytystä asianomaisen jäsenvaltion markkinavalvontaviranomaista ja toimijaa tai toimijoita ja arvioi kansallisen toimenpiteen. Arvioinnin tulosten perusteella komissio päättää kuuden kuukauden kuluessa tai, kun kyseessä on 5 artiklassa tarkoitettuja tekoälyyn liittyviä käytäntöjä koskevan kiellon noudattamatta jättäminen, 60 päivän kuluessa 79 artiklan 5 kohdassa tarkoitetusta ilmoituksesta, onko kansallinen toimenpide perusteltu, ja ilmoittaa päätöksestään asianomaisen jäsenvaltion markkinavalvontaviranomaiselle. Komissio ilmoittaa päätöksestään myös kaikille muille markkinavalvontaviranomaisille.

2. Where the Commission considers the measure taken by the relevant Member State to be justified, all Member States shall ensure that they take appropriate restrictive measures in respect of the AI system concerned, such as requiring the withdrawal of the AI system from their market without undue delay, and shall inform the Commission accordingly. Where the Commission considers the national measure to be unjustified, the Member State concerned shall withdraw the measure and shall inform the Commission accordingly.

2. Jos komissio katsoo, että asianomaisen jäsenvaltion toteuttama toimenpide on perusteltu, kaikkien jäsenvaltioiden on varmistettava, että ne toteuttavat asianmukaiset rajoittavat toimenpiteet kyseisen tekoälyjärjestelmän osalta, muun muassa vaativat tekoälyjärjestelmän poistamista markkinoiltaan ilman aiheetonta viivytystä, ja ilmoitettava asiasta komissiolle. Jos komissio katsoo kansallisen toimenpiteen olevan perusteeton, asianomaisen jäsenvaltion on peruutettava toimenpide ja ilmoitettava siitä komissiolle.

3. Where the national measure is considered justified and the non-compliance of the AI system is attributed to shortcomings in the harmonised standards or common specifications referred to in Articles 40 and 41 of this Regulation, the Commission shall apply the procedure provided for in Article 11 of Regulation (EU) No 1025/2012.

3. Jos kansallisen toimenpiteen katsotaan olevan perusteltu ja tekoälyjärjestelmän vaatimustenvastaisuuden katsotaan johtuvan tämän asetuksen 40 ja 41 artiklassa tarkoitetuissa yhdenmukaistetuissa standardeissa tai yhteisissä eritelmissä olevista puutteista, komissio soveltaa asetuksen (EU) N:o 1025/2012 11 artiklassa säädettyä menettelyä.

Article 82

82 artikla

Compliant AI systems which present a risk

Vaatimustenmukaiset tekoälyjärjestelmät, jotka aiheuttavat riskin

1. Where, having performed an evaluation under Article 79, after consulting the relevant national public authority referred to in Article 77(1), the market surveillance authority of a Member State finds that although a high-risk AI system complies with this Regulation, it nevertheless presents a risk to the health or safety of persons, to fundamental rights, or to other aspects of public interest protection, it shall require the relevant operator to take all appropriate measures to ensure that the AI system concerned, when placed on the market or put into service, no longer presents that risk without undue delay, within a period it may prescribe.

1. Jos jäsenvaltion markkinavalvontaviranomainen toteaa 77 artiklan 1 kohdassa tarkoitettua asiaankuuluvaa kansallista julkista viranomaista kuultuaan ja suoritettuaan 79 artiklan mukaisen arvioinnin, että vaikka suuririskinen tekoälyjärjestelmä on tämän asetuksen mukainen, se kuitenkin aiheuttaa riskin ihmisten terveydelle tai turvallisuudelle, perusoikeuksille tai muille yleisen edun suojaan liittyville näkökohdille, sen on vaadittava asianomaista toimijaa toteuttamaan kaikki asianmukaiset toimenpiteet sen varmistamiseksi, että kyseinen tekoälyjärjestelmä ei markkinoille saatettaessa tai käyttöönotettaessa enää aiheuta kyseistä riskiä ilman aiheetonta viivytystä sellaisen ajanjakson kuluessa, jonka se asettaa.

2. The provider or other relevant operator shall ensure that corrective action is taken in respect of all the AI systems concerned that it has made available on the Union market within the timeline prescribed by the market surveillance authority of the Member State referred to in paragraph 1.

2. Tarjoajan tai muun asiaankuuluvan toimijan on varmistettava, että korjaavat toimenpiteet toteutetaan kaikkien asianomaisten tekoälyjärjestelmien osalta, jotka se on asettanut saataville unionin markkinoilla, edellä 1 kohdassa tarkoitetussa jäsenvaltion markkinavalvontaviranomaisen asettamassa määräajassa.

3. The Member States shall immediately inform the Commission and the other Member States of a finding under paragraph 1. That information shall include all available details, in particular the data necessary for the identification of the AI system concerned, the origin and the supply chain of the AI system, the nature of the risk involved and the nature and duration of the national measures taken.

3. Jäsenvaltioiden on välittömästi ilmoitettava komissiolle ja muille jäsenvaltioille 1 kohdassa tarkoitetusta havainnosta. Ilmoitukseen on sisällyttävä kaikki saatavilla olevat tiedot, erityisesti tiedot, jotka ovat tarpeen kyseisen tekoälyjärjestelmän tunnistamista sekä sen alkuperän ja toimitusketjun, siihen liittyvän riskin luonteen ja toteutettujen kansallisten toimenpiteiden luonteen ja keston määrittämistä varten.

4. The Commission shall without undue delay enter into consultation with the Member States concerned and the relevant operators, and shall evaluate the national measures taken. On the basis of the results of that evaluation, the Commission shall decide whether the measure is justified and, where necessary, propose other appropriate measures.

4. Komissio kuulee ilman aiheetonta viivytystä asianomaisia jäsenvaltioita ja asiaankuuluvia toimijoita ja arvioi kansalliset toimenpiteet. Komissio tekee tämän arvioinnin tulosten perusteella päätöksen siitä, onko toimenpide perusteltu, ja ehdottaa tarvittaessa muita soveltuvia toimenpiteitä.

5. The Commission shall immediately communicate its decision to the Member States concerned and to the relevant operators. It shall also inform the other Member States.

5. Komissio ilmoittaa välittömästi päätöksestään asianomaisille jäsenvaltioille sekä asianomaiselle toimijalle tai asianomaisille toimijoille. Jäsenvaltion on ilmoitettava myös muille jäsenvaltioille.

Article 83

83 artikla

Formal non-compliance

Muodollinen vaatimustenvastaisuus

1. Where the market surveillance authority of a Member State makes one of the following findings, it shall require the relevant provider to put an end to the non-compliance concerned, within a period it may prescribe:

1. Jos jäsenvaltion markkinavalvontaviranomainen tekee jonkin seuraavista havainnoista, sen on vaadittava asianomaista tarjoajaa korjaamaan kyseinen vaatimustenvastaisuus sellaisen ajanjakson kuluessa, jonka se voi asettaa:

(a)

the CE marking has been affixed in violation of Article 48;

CE-merkintä on kiinnitetty 48 artiklan vastaisesti;

(b)

the CE marking has not been affixed;

CE-merkintää ei ole kiinnitetty;

(c)

the EU declaration of conformity referred to in Article 47 has not been drawn up;

47 artiklassa tarkoitettua EU-vaatimustenmukaisuusvakuutusta ei ole laadittu;

(d)

the EU declaration of conformity referred to in Article 47 has not been drawn up correctly;

47 artiklassa tarkoitettua EU-vaatimustenmukaisuusvakuutusta ei ole laadittu oikein;

(e)

the registration in the EU database referred to in Article 71 has not been carried out;

71 artiklassa tarkoitettua rekisteröintiä EU:n tietokantaan ei ole tehty;

(f)

where applicable, no authorised representative has been appointed;

tapauksen mukaan, valtuutettua edustajaa ei ole nimetty;

(g)

technical documentation is not available.

tekninen dokumentaatio ei ole saatavilla.

2. Where the non-compliance referred to in paragraph 1 persists, the market surveillance authority of the Member State concerned shall take appropriate and proportionate measures to restrict or prohibit the high-risk AI system being made available on the market or to ensure that it is recalled or withdrawn from the market without delay.

2. Jos 1 kohdassa tarkoitettu vaatimustenvastaisuus jatkuu, asianomaisen jäsenvaltion markkinavalvontaviranomaisen on ryhdyttävä asianmukaisiin ja oikeasuhteisiin toimenpiteisiin suuririskisen tekoälyjärjestelmän markkinoilla saataville asettamisen rajoittamiseksi tai kieltämiseksi tai sen varmistamiseksi, että sitä koskeva palautusmenettely järjestetään tai se poistetaan markkinoilta viipymättä.

Article 84

84 artikla

Union AI testing support structures

Unionin tekoälyn testauksen tukirakenteet

1. The Commission shall designate one or more Union AI testing support structures to perform the tasks listed under Article 21(6) of Regulation (EU) 2019/1020 in the area of AI.

1. Komissio nimeää yhden tai useamman unionin tekoälyn testauksen tukirakenteen asetuksen (EU) 2019/1020 21 artiklan 6 kohdassa lueteltujen tekoälyä koskevien tehtävien suorittamista varten.

2. Without prejudice to the tasks referred to in paragraph 1, Union AI testing support structures shall also provide independent technical or scientific advice at the request of the Board, the Commission, or of market surveillance authorities.

2. Unionin tekoälyn testauksen tukirakenteiden on myös annettava riippumatonta teknistä tai tieteellistä neuvontaa tekoälyneuvoston, komission tai markkinavalvontaviranomaisten pyynnöstä, sanotun kuitenkaan rajoittamatta 1 kohdassa tarkoitettuja tehtäviä.

SECTION 4

4 JAKSO

Remedies

Oikeussuojakeinot

Article 85

85 artikla

Right to lodge a complaint with a market surveillance authority

Oikeus tehdä valitus markkinavalvontaviranomaiselle

Without prejudice to other administrative or judicial remedies, any natural or legal person having grounds to consider that there has been an infringement of the provisions of this Regulation may submit complaints to the relevant market surveillance authority.

Kaikki luonnolliset henkilöt tai oikeushenkilöt, joilla on perusteita katsoa, että tämän asetuksen säännöksiä on rikottu, voivat tehdä valituksia asiaankuuluvalle markkinavalvontaviranomaiselle, sanotun kuitenkaan rajoittamatta muita hallinnollisia muutoksenhakukeinoja tai oikeussuojakeinoja.

In accordance with Regulation (EU) 2019/1020, such complaints shall be taken into account for the purpose of conducting market surveillance activities, and shall be handled in line with the dedicated procedures established therefor by the market surveillance authorities.

Asetuksen (EU) 2019/1020 mukaisesti tällaiset valitukset on otettava huomioon markkinavalvontatoimien toteuttamisessa ja ne on käsiteltävä markkinavalvontaviranomaisten sitä varten käyttöön ottamien menettelyjen mukaisesti.

Article 86

86 artikla

Right to explanation of individual decision-making

Oikeus yksittäistä päätöstä koskevaan selitykseen

1. Any affected person subject to a decision which is taken by the deployer on the basis of the output from a high-risk AI system listed in Annex III, with the exception of systems listed under point 2 thereof, and which produces legal effects or similarly significantly affects that person in a way that they consider to have an adverse impact on their health, safety or fundamental rights shall have the right to obtain from the deployer clear and meaningful explanations of the role of the AI system in the decision-making procedure and the main elements of the decision taken.

1. Jokaisella henkilöllä, johon vaikutukset kohdistuvat ja johon sovelletaan päätöstä, jonka käyttöönottaja on tehnyt liitteessä III luetellun suuririskisen tekoälyjärjestelmän tuotoksen perusteella, kyseisen liitteen 2 kohdassa lueteltuja järjestelmiä lukuun ottamatta, ja jolla on oikeusvaikutuksia tai jolla on kyseiseen henkilöön vastaavanlainen merkittävä vaikutus, jonka kyseinen henkilö katsoo vaikuttavan haitallisesti hänen terveyteensä, turvallisuuteensa tai perusoikeuksiinsa, on oltava oikeus saada käyttöönottajalta selkeät ja merkitykselliset selitykset tekoälyjärjestelmän roolista päätöksentekomenettelyssä ja tehdyn päätöksen pääkohdista.

2. Paragraph 1 shall not apply to the use of AI systems for which exceptions from, or restrictions to, the obligation under that paragraph follow from Union or national law in compliance with Union law.

2. Edellä olevaa 1 kohtaa ei sovelleta sellaisten tekoälyjärjestelmien käyttöön, joiden osalta kyseisen kohdan mukaista velvoitetta koskevat poikkeukset tai rajoitukset johtuvat unionin oikeudesta tai unionin oikeuden mukaisesta kansallisesta lainsäädännöstä.

3. This Article shall apply only to the extent that the right referred to in paragraph 1 is not otherwise provided for under Union law.

3. Tätä artiklaa sovelletaan ainoastaan siltä osin kuin 1 kohdassa tarkoitetusta oikeudesta ei ole muuta säädetty unionin oikeudessa.

Article 87

87 artikla

Reporting of infringements and protection of reporting persons

Rikkomisista ilmoittaminen ja niistä ilmoittavien henkilöiden suojelu

Directive (EU) 2019/1937 shall apply to the reporting of infringements of this Regulation and the protection of persons reporting such infringements.

Tämän asetuksen rikkomisesta ilmoittamiseen ja rikkomisesta ilmoittavien henkilöiden suojelemiseen olisi sovellettava direktiiviä (EU) 2019/1937.

SECTION 5

5 JAKSO

Supervision, investigation, enforcement and monitoring in respect of providers of general-purpose AI models

Valvonta, tutkinta, täytäntöönpano ja seuranta yleiskäyttöisten tekoälymallien tarjoajien osalta

Article 88

88 artikla

Enforcement of the obligations of providers of general-purpose AI models

Yleiskäyttöisten tekoälymallien tarjoajille määrättävät sakot

1. The Commission shall have exclusive powers to supervise and enforce Chapter V, taking into account the procedural guarantees under Article 94. The Commission shall entrust the implementation of these tasks to the AI Office, without prejudice to the powers of organisation of the Commission and the division of competences between Member States and the Union based on the Treaties.

1. Komissiolla on yksinomainen toimivalta valvoa ja panna täytäntöön V luvun säännöksiä ottaen huomioon 94 artiklan mukaiset menettelylliset takeet. Komissio antaa nämä tehtävät tekoälytoimiston vastuulle, sanotun kuitenkaan vaikuttamatta komission organisointivaltuuksiin ja perussopimuksiin perustuvaan jäsenvaltioiden ja unionin väliseen toimivallan jakoon.

2. Without prejudice to Article 75(3), market surveillance authorities may request the Commission to exercise the powers laid down in this Section, where that is necessary and proportionate to assist with the fulfilment of their tasks under this Regulation.

2. Markkinavalvontaviranomaiset voivat pyytää komissiota käyttämään tässä jaksossa säädettyjä valtuuksia, jos se on tarpeen ja oikeasuhteista niiden avustamiseksi tämän asetuksen mukaisten tehtävien suorittamisessa, sanotun kuitenkaan rajoittamatta 75 artiklan 3 kohdan soveltamista.

Article 89

89 artikla

Monitoring actions

Seurantatoimet

1. For the purpose of carrying out the tasks assigned to it under this Section, the AI Office may take the necessary actions to monitor the effective implementation and compliance with this Regulation by providers of general-purpose AI models, including their adherence to approved codes of practice.

1. Voidakseen suorittaa sille tämän jakson nojalla annetut tehtävät tekoälytoimisto voi toteuttaa tarvittavat toimet sen seuraamiseksi, miten kyseinen yleiskäyttöisten tekoälymallien tarjoajat panevat tämän asetuksen tosiasiallisesti täytäntöön ja noudattavat sitä sekä sitoutuvat hyväksyttyihin käytännesääntöihin.

2. Downstream providers shall have the right to lodge a complaint alleging an infringement of this Regulation. A complaint shall be duly reasoned and indicate at least:

2. Ketjun loppupään tarjoajilla on oikeus tehdä valitus tämän asetuksen rikkomisesta. Valitus on perusteltava asianmukaisesti, ja siinä on ilmoitettava vähintään seuraavat tiedot:

(a)

the point of contact of the provider of the general-purpose AI model concerned;

kyseisen yleiskäyttöisen tekoälymallin tarjoajan yhteyspiste;

(b)

a description of the relevant facts, the provisions of this Regulation concerned, and the reason why the downstream provider considers that the provider of the general-purpose AI model concerned infringed this Regulation;

kuvaus asiaan liittyvistä tosiseikoista, tämän asetuksen asiaa koskevista säännöksistä ja syystä, joiden vuoksi pyynnön lähettänyt ketjun loppupään tarjoaja katsoo, että kyseinen yleiskäyttöisen tekoälymallin tarjoaja on rikkonut tätä asetusta;

(c)

any other information that the downstream provider that sent the request considers relevant, including, where appropriate, information gathered on its own initiative.

muut mahdolliset tiedot, joita pyynnön lähettänyt ketjun loppupään tarjoaja pitää merkityksellisinä, tarvittaessa myös tämän omasta aloitteesta kerätyt tiedot.

Article 90

90 artikla

Alerts of systemic risks by the scientific panel

Tiedelautakunnan antamat varoitukset systeemisistä riskeistä

1. The scientific panel may provide a qualified alert to the AI Office where it has reason to suspect that:

1. Tiedelautakunta voi antaa tekoälytoimistolle perustellun varoituksen, jos sillä on syytä epäillä, että

(a)

a general-purpose AI model poses concrete identifiable risk at Union level; or

yleiskäyttöinen tekoälymalli aiheuttaa konkreettisen yksilöitävissä olevan riskin unionin tasolla; tai

(b)

a general-purpose AI model meets the conditions referred to in Article 51.

yleiskäyttöinen tekoälymalli täyttää 51 artiklassa tarkoitetut edellytykset.

2. Upon such qualified alert, the Commission, through the AI Office and after having informed the Board, may exercise the powers laid down in this Section for the purpose of assessing the matter. The AI Office shall inform the Board of any measure according to Articles 91 to 94.

2. Tällaisen perustellun varoituksen saatuaan komissio voi tekoälytoimiston välityksellä ja ilmoitettuaan asiasta tekoälyneuvostolle käyttää tässä jaksossa säädettyjä valtuuksia asian arvioimiseksi. Tekoälytoimiston on ilmoitettava tekoälyneuvostolle kaikista 91–94 artiklan mukaisista toimenpiteistä.

3. A qualified alert shall be duly reasoned and indicate at least:

3. Perusteltu varoitus on perusteltava asianmukaisesti, ja siinä on ilmoitettava vähintään seuraavat tiedot:

(a)

the point of contact of the provider of the general-purpose AI model with systemic risk concerned;

kyseisen yleiskäyttöisen tekoälymallin, johon liittyy systeeminen riski, tarjoajan yhteyspiste;

(b)

a description of the relevant facts and the reasons for the alert by the scientific panel;

kuvaus asiaan liittyvistä tosiseikoista ja syyt, joiden vuoksi tieteellinen paneeli on antanut varoituksen;

(c)

any other information that the scientific panel considers to be relevant, including, where appropriate, information gathered on its own initiative.

muut mahdolliset tiedot, joita tiedelautakunta pitää merkityksellisinä, tarvittaessa myös tämän omasta aloitteesta kerätyt tiedot.

Article 91

91 artikla

Power to request documentation and information

Valtuudet pyytää asiakirjoja ja tietoja

1. The Commission may request the provider of the general-purpose AI model concerned to provide the documentation drawn up by the provider in accordance with Articles 53 and 55, or any additional information that is necessary for the purpose of assessing compliance of the provider with this Regulation.

1. Komissio voi pyytää asianomaisen yleiskäyttöisen tekoälymallin tarjoajaa toimittamaan tarjoajan 53 ja 55 artiklan mukaisesti laatimat asiakirjat tai muut lisätiedot, jotka ovat tarpeen sen arvioimiseksi, noudattaako tarjoaja tätä asetusta.

2. Before sending the request for information, the AI Office may initiate a structured dialogue with the provider of the general-purpose AI model.

2. Ennen tietopyynnön lähettämistä tekoälytoimisto voi käynnistää jäsennellyn vuoropuhelun yleiskäyttöisen tekoälymallin tarjoajan kanssa.

3. Upon a duly substantiated request from the scientific panel, the Commission may issue a request for information to a provider of a general-purpose AI model, where the access to information is necessary and proportionate for the fulfilment of the tasks of the scientific panel under Article 68(2).

3. Komissio voi tieteellisen paneelin asianmukaisesti perustellusta pyynnöstä esittää tietopyynnön yleiskäyttöisen tekoälymallin tarjoajalle, jos tiedonsaanti on tarpeen ja oikeasuhteista tieteellisen paneelin 68 artiklan 2 kohdan mukaisten tehtävien suorittamiseksi.

4. The request for information shall state the legal basis and the purpose of the request, specify what information is required, set a period within which the information is to be provided, and indicate the fines provided for in Article 101 for supplying incorrect, incomplete or misleading information.

4. Tietopyynnössä on mainittava pyynnön oikeusperusta ja tarkoitus, täsmennettävä, mitä tietoja pyyntö koskee, asetettava määräaika, jonka kuluessa tiedot on annettava, sekä ilmoitettava 101 artiklassa säädetyt sakot, jos toimitetut tiedot ovat virheelliset, epätäydelliset tai harhaanjohtavat.

5. The provider of the general-purpose AI model concerned, or its representative shall supply the information requested. In the case of legal persons, companies or firms, or where the provider has no legal personality, the persons authorised to represent them by law or by their statutes, shall supply the information requested on behalf of the provider of the general-purpose AI model concerned. Lawyers duly authorised to act may supply information on behalf of their clients. The clients shall nevertheless remain fully responsible if the information supplied is incomplete, incorrect or misleading.

5. Asianomaisen yleiskäyttöisen tekoälymallin tarjoajan tai sen edustajan on toimitettava pyydetyt tiedot. Jos kyse on oikeushenkilöistä, yhtiöistä tai yrityksistä tai jos tarjoaja ei ole oikeushenkilö, henkilöiden, joilla on lain tai yhtiöjärjestyksen mukaan kelpoisuus edustaa niitä, on toimitettava pyydetyt tiedot asianomaisen yleiskäyttöisen tekoälymallin tarjoajan puolesta. Asianmukaisesti valtuutetut juristit voivat antaa tiedot päämiestensä puolesta. Päämiehet kantavat kuitenkin täyden vastuun, jos annetut tiedot ovat epätäydellisiä, virheellisiä tai harhaanjohtavia.

Article 92

92 artikla

Power to conduct evaluations

Valtuudet suorittaa arviointeja

1. The AI Office, after consulting the Board, may conduct evaluations of the general-purpose AI model concerned:

1. Tekoälytoimisto voi tekoälyneuvostoa kuultuaan tehdä arviointeja kyseisestä yleiskäyttöisestä tekoälymallista:

(a)

to assess compliance of the provider with obligations under this Regulation, where the information gathered pursuant to Article 91 is insufficient; or

arvioidakseen, noudattaako tarjoaja tämän asetuksen mukaisia velvoitteita, jos 91 artiklan nojalla kerätyt tiedot ovat riittämättömiä; tai

(b)

to investigate systemic risks at Union level of general-purpose AI models with systemic risk, in particular following a qualified alert from the scientific panel in accordance with Article 90(1), point (a).

tutkiakseen unionin tasolla sellaisten yleiskäyttöisten tekoälymallien systeemisiä riskejä, joihin liittyy systeeminen riski, erityisesti tiedelautakunnan 90 artiklan 1 kohdan a alakohdan mukaisesti antaman pätevän varoituksen perusteella.

2. The Commission may decide to appoint independent experts to carry out evaluations on its behalf, including from the scientific panel established pursuant to Article 68. Independent experts appointed for this task shall meet the criteria outlined in Article 68(2).

2. Komissio voi päättää, että se nimittää riippumattomia asiantuntijoita suorittamaan arviointeja sen puolesta, myös 68 artiklan nojalla perustetusta tieteellisestä paneelista. Tehtävään nimitettyjen riippumattomien asiantuntijoiden on täytettävä 68 artiklan 2 kohdassa esitetyt vaatimukset.

3. For the purposes of paragraph 1, the Commission may request access to the general-purpose AI model concerned through APIs or further appropriate technical means and tools, including source code.

3. Edellä olevan 1 kohdan soveltamiseksi komissio voi pyytää pääsyä kyseiseen yleiskäyttöiseen tekoälymalliin ohjelmointirajapintojen tai muiden asianmukaisten teknisten keinojen ja välineiden, myös lähdekoodin, kautta.

4. The request for access shall state the legal basis, the purpose and reasons of the request and set the period within which the access is to be provided, and the fines provided for in Article 101 for failure to provide access.

4. Pääsyä koskevassa pyynnössä on mainittava pyynnön oikeusperusta, tarkoitus ja syyt sekä asetettava määräaika, jonka kuluessa pääsy on annettava, sekä 101 artiklassa säädetyt sakot, jos pääsyä ei ole annettu.

5. The providers of the general-purpose AI model concerned or its representative shall supply the information requested. In the case of legal persons, companies or firms, or where the provider has no legal personality, the persons authorised to represent them by law or by their statutes, shall provide the access requested on behalf of the provider of the general-purpose AI model concerned.

5. Asianomaisen yleiskäyttöisen tekoälymallin tarjoajien tai sen edustajan on annettava pyydetyt tiedot. Jos kyse on oikeushenkilöistä, yhtiöistä tai yrityksistä tai jos tarjoajalla ei ole oikeushenkilön asemaa, henkilöiden, joilla on lain tai yhtiöjärjestystensä mukaan kelpoisuus edustaa niitä, on annettava pyydetty pääsy asianomaisen yleiskäyttöisen tekoälymallin tarjoajan puolesta.

6. The Commission shall adopt implementing acts setting out the detailed arrangements and the conditions for the evaluations, including the detailed arrangements for involving independent experts, and the procedure for the selection thereof. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 98(2).

6. Komissio hyväksyy täytäntöönpanosäädöksiä, joissa vahvistetaan arviointien yksityiskohtaiset järjestelyt ja edellytykset, mukaan lukien riippumattomien asiantuntijoiden osallistumista koskevat yksityiskohtaiset järjestelyt valintamenettely. Nämä täytäntöönpanosäädökset hyväksytään 98 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

7. Prior to requesting access to the general-purpose AI model concerned, the AI Office may initiate a structured dialogue with the provider of the general-purpose AI model to gather more information on the internal testing of the model, internal safeguards for preventing systemic risks, and other internal procedures and measures the provider has taken to mitigate such risks.

7. Ennen kuin tekoälytoimisto pyytää pääsyä kyseiseen yleiskäyttöiseen tekoälymalliin, se voi käynnistää jäsennellyn vuoropuhelun yleiskäyttöisen tekoälymallin tarjoajan kanssa kerätäkseen lisätietoja mallin sisäisestä testauksesta, sisäisistä suojatoimista systeemisten riskien ehkäisemiseksi sekä muista sisäisistä menettelyistä ja toimenpiteistä, joita tarjoaja on toteuttanut tällaisten riskien lieventämiseksi.

Article 93

93 artikla

Power to request measures

Valtuudet pyytää toimenpiteitä

1. Where necessary and appropriate, the Commission may request providers to:

1. Jos se on tarpeen ja asianmukaista, komissio voi pyytää tarjoajia

(a)

take appropriate measures to comply with the obligations set out in Articles 53 and 54;

toteuttamaan asianmukaiset toimenpiteet 53 ja 54 artiklassa säädettyjen velvoitteiden noudattamiseksi;

(b)

implement mitigation measures, where the evaluation carried out in accordance with Article 92 has given rise to serious and substantiated concern of a systemic risk at Union level;

toteuttamaan lieventäviä toimenpiteitä, jos 92 artiklan mukaisesti tehty arviointi on antanut aihetta vakavaan ja perusteltuun huoleen systeemisestä riskistä unionin tasolla;

(c)

restrict the making available on the market, withdraw or recall the model.

rajoitettava mallin asettamista saataville markkinoilla, poistettava malli markkinoilta tai järjestettävä sen palautusmenettely.

2. Before a measure is requested, the AI Office may initiate a structured dialogue with the provider of the general-purpose AI model.

2. Ennen toimenpiteen pyytämistä tekoälytoimisto voi käynnistää jäsennellyn vuoropuhelun yleiskäyttöisen tekoälymallin tarjoajan kanssa.

3. If, during the structured dialogue referred to in paragraph 2, the provider of the general-purpose AI model with systemic risk offers commitments to implement mitigation measures to address a systemic risk at Union level, the Commission may, by decision, make those commitments binding and declare that there are no further grounds for action.

3. Jos systeemisen riskin sisältävän yleiskäyttöisen tekoälymallin tarjoaja antaa 2 kohdassa tarkoitetun jäsennellyn vuoropuhelun aikana sitoumuksia toteuttaa lieventäviä toimenpiteitä systeemisen riskin torjumiseksi unionin tasolla, komissio voi päätöksellään tehdä kyseisistä sitoumuksista velvoittavia ja ilmoittaa, että lisätoimille ei ole perusteita.

Article 94

94 artikla

Procedural rights of economic operators of the general-purpose AI model

Talouden toimijoiden menettelylliset oikeudet yleiskäyttöisten tekoälymallin suhteen

Article 18 of Regulation (EU) 2019/1020 shall apply mutatis mutandis to the providers of the general-purpose AI model, without prejudice to more specific procedural rights provided for in this Regulation.

Asetuksen (EU) 2019/1020 18 artiklaa sovelletaan soveltuvin osin yleiskäyttöisen tekoälymallin tarjoajiin, sanotun kuitenkaan rajoittamatta tässä asetuksessa säädettyjen yksityiskohtaisempien menettelyllisten oikeuksien soveltamista.

CHAPTER X

X LUKU

CODES OF CONDUCT AND GUIDELINES

KÄYTÄNNESÄÄNNÖT JA SUUNTAVIIVAT

Article 95

95 artikla

Codes of conduct for voluntary application of specific requirements

Tiettyjen vaatimusten vapaaehtoista soveltamista koskevat käytännesäännöt

1. The AI Office and the Member States shall encourage and facilitate the drawing up of codes of conduct, including related governance mechanisms, intended to foster the voluntary application to AI systems, other than high-risk AI systems, of some or all of the requirements set out in Chapter III, Section 2 taking into account the available technical solutions and industry best practices allowing for the application of such requirements.

1. Tekoälytoimiston ja jäsenvaltioiden on kannustettava ja helpotettava sellaisten käytännesääntöjen laatimista, mukaan lukien asiaankuuluvat hallintomekanismit, joiden tarkoituksena on edistää joidenkin III luvun 2 osastossa vahvistettujen vaatimusten vapaaehtoista soveltamista ei-suuririskisiin tekoälyjärjestelmiin, ottaen huomioon parhaat saatavilla olevat tekniset ratkaisut ja alan parhaat käytännöt, jotka mahdollistavat tällaisten vaatimusten noudattamisen.

2. The AI Office and the Member States shall facilitate the drawing up of codes of conduct concerning the voluntary application, including by deployers, of specific requirements to all AI systems, on the basis of clear objectives and key performance indicators to measure the achievement of those objectives, including elements such as, but not limited to:

2. Tekoälytoimiston ja jäsenvaltioiden on helpotettava käytännesääntöjen laatimista, jotka koskevat erityisvaatimusten vapaaehtoista soveltamista – myös käyttöönottajien osalta – kaikkiin tekoälyjärjestelmiin, käyttäen perustana selkeitä tavoitteita ja keskeisiä suorituskykyindikaattoreita, joilla mitataan näiden tavoitteiden saavuttamista, mukaan lukien muun muassa seuraavat:

(a)

applicable elements provided for in Union ethical guidelines for trustworthy AI;

luotettavaa tekoälyä koskevissa unionin eettisissä ohjeissa vahvistetut sovellettavat osat;

(b)

assessing and minimising the impact of AI systems on environmental sustainability, including as regards energy-efficient programming and techniques for the efficient design, training and use of AI;

tekoälyjärjestelmien ympäristökestävyyteen kohdistuvien vaikutusten arviointi ja minimointi, myös energiatehokkaiden ohjelmointien ja tekoälyn tehokkaan suunnittelun, koulutuksen ja käytön tekniikoiden osalta.

(c)

promoting AI literacy, in particular that of persons dealing with the development, operation and use of AI;

tekoälylukutaidon edistäminen, erityisesti tekoälyn kehittämisestä, toiminnasta ja käytöstä vastaavien henkilöiden osalta;

(d)

facilitating an inclusive and diverse design of AI systems, including through the establishment of inclusive and diverse development teams and the promotion of stakeholders’ participation in that process;

tekoälyjärjestelmien osallistavan ja monipuolisen suunnittelun helpottaminen muun muassa perustamalla osallistavia ja monimuotoisia kehitysryhmiä ja edistämällä sidosryhmien osallistumista kyseiseen prosessiin;

(e)

assessing and preventing the negative impact of AI systems on vulnerable persons or groups of vulnerable persons, including as regards accessibility for persons with a disability, as well as on gender equality.

haavoittuvassa asemassa oleviin henkilöihin tai henkilöryhmiin kohdistuvien tekoälyjärjestelmien kielteisten vaikutusten arviointi ja ehkäisy, myös vammaisten henkilöiden esteettömyyden sekä sukupuolten tasa-arvon osalta.

3. Codes of conduct may be drawn up by individual providers or deployers of AI systems or by organisations representing them or by both, including with the involvement of any interested stakeholders and their representative organisations, including civil society organisations and academia. Codes of conduct may cover one or more AI systems taking into account the similarity of the intended purpose of the relevant systems.

3. Käytännesääntöjä voivat laatia yksittäiset tekoälyjärjestelmien tarjoajat tai käyttöönottajat tai niitä edustavat järjestöt tai molemmat, ja niiden laatimiseen voivat osallistua myös mahdolliset sidosryhmät ja niitä edustavat järjestöt, mukaan lukien kansalaisyhteiskunnan järjestöt ja tiedeyhteisö. Käytännesäännöt voivat kattaa yhden tai useamman tekoälyjärjestelmän ottaen huomioon asianomaisten järjestelmien käyttötarkoituksen samankaltaisuuden.

4. The AI Office and the Member States shall take into account the specific interests and needs of SMEs, including start-ups, when encouraging and facilitating the drawing up of codes of conduct.

4. Tekoälytoimisto ja jäsenvaltiot ottavat huomioon pk-yritysten sekä startup-yritysten erityisedut ja -tarpeet edistäessään ja helpottaessaan käytännesääntöjen laatimista.

Article 96

96 artikla

Guidelines from the Commission on the implementation of this Regulation

Tämän asetuksen täytäntöönpanoa koskevat komission suuntaviivat

1. The Commission shall develop guidelines on the practical implementation of this Regulation, and in particular on:

1. Komissio laatii suuntaviivat tämän asetuksen käytännön täytäntöönpanosta ja erityisesti seuraavista:

(a)

the application of the requirements and obligations referred to in Articles 8 to 15 and in Article 25;

8–15 kohdassa ja 25 artiklassa tarkoitettujen vaatimusten ja velvoitteiden soveltaminen.

(b)

the prohibited practices referred to in Article 5;

5 artiklassa tarkoitetut kielletyt käytännöt;

(c)

the practical implementation of the provisions related to substantial modification;

merkittävää muutosta koskevien säännösten täytäntöönpano käytännössä;

(d)

the practical implementation of transparency obligations laid down in Article 50;

50 artiklassa säädettyjen avoimuusvaatimusten täytäntöönpano käytännössä;

(e)

detailed information on the relationship of this Regulation with the Union harmonisation legislation listed in Annex I, as well as with other relevant Union law, including as regards consistency in their enforcement;

yksityiskohtaiset tiedot tämän asetuksen suhteesta liitteessä I lueteltuun unionin yhdenmukaistamislainsäädäntöön sekä muuhun asiaa koskevaan unionin oikeuteen, myös niiden täytäntöönpanon johdonmukaisuuden osalta;

(f)

the application of the definition of an AI system as set out in Article 3, point (1).

edellä 3 artiklan 1 alakohdassa vahvistetun tekoälyjärjestelmän määritelmän soveltaminen.

When issuing such guidelines, the Commission shall pay particular attention to the needs of SMEs including start-ups, of local public authorities and of the sectors most likely to be affected by this Regulation.

Tällaisia suuntaviivoja antaessaan komissio kiinnittää erityistä huomiota pk-yritysten ja startup-yritysten, paikallisten viranomaisten ja niiden alojen, joihin tämä asetus todennäköisimmin vaikuttaa, tarpeisiin.

The guidelines referred to in the first subparagraph of this paragraph shall take due account of the generally acknowledged state of the art on AI, as well as of relevant harmonised standards and common specifications that are referred to in Articles 40 and 41, or of those harmonised standards or technical specifications that are set out pursuant to Union harmonisation law.

Tämän kohdan ensimmäisessä alakohdassa tarkoitetuissa suuntaviivoissa on otettava asianmukaisesti huomioon tekoälyä koskeva yleisesti tunnustettu viimeisin kehitys sekä 40 ja 41 artiklassa tarkoitetut asiaankuuluvat yhdenmukaistetut standardit ja yhteiset eritelmät tai unionin yhdenmukaistamislainsäädännön nojalla vahvistetut yhdenmukaistetut standardit tai tekniset eritelmät.

2. At the request of the Member States or the AI Office, or on its own initiative, the Commission shall update guidelines previously adopted when deemed necessary.

2. Komissio päivittää jo hyväksyttyjä suuntaviivoja jäsenvaltioiden tai tekoälytoimiston pyynnöstä tai omasta aloitteestaan, kun sitä pidetään tarpeellisena.

CHAPTER XI

XI LUKU

DELEGATION OF POWER AND COMMITTEE PROCEDURE

SÄÄDÖSVALLAN SIIRTO JA KOMITEAMENETTELY

Article 97

97 artikla

Exercise of the delegation

Siirretyn säädösvallan käyttäminen

1. The power to adopt delegated acts is conferred on the Commission subject to the conditions laid down in this Article.

1. Siirretään komissiolle valta antaa delegoituja säädöksiä tässä artiklassa säädetyin edellytyksin.

2. The power to adopt delegated acts referred to in Article 6(6) and (7), Article 7(1) and (3), Article 11(3), Article 43(5) and (6), Article 47(5), Article 51(3), Article 52(4) and Article 53(5) and (6) shall be conferred on the Commission for a period of five years from 1 August 2024. The Commission shall draw up a report in respect of the delegation of power not later than nine months before the end of the five-year period. The delegation of power shall be tacitly extended for periods of an identical duration, unless the European Parliament or the Council opposes such extension not later than three months before the end of each period.

2. Siirretään komissiolle 1 päivästä elokuuta 2024 viiden vuoden ajaksi 6 artiklan 6 ja 7 kohdassa, 7 artiklan 1 ja 3 kohdassa, 11 artiklan 3 kohdassa, 43 artiklan 5 kohdassa, 47 artiklan 5 kohdassa, 51 artiklan 3 kohdassa, 52 artiklan 4 kohdassa ja 53 artiklan 5 ja 6 kohdassa tarkoitettu valta antaa delegoituja säädöksiä. Komissio laatii siirrettyä säädösvaltaa koskevan kertomuksen viimeistään yhdeksän kuukautta ennen tämän viiden vuoden kauden päättymistä. Säädösvallan siirtoa jatketaan ilman eri toimenpiteitä samanpituisiksi kausiksi, jollei Euroopan parlamentti tai neuvosto vastusta tällaista jatkamista viimeistään kolme kuukautta ennen kunkin kauden päättymistä.

3. The delegation of power referred to in Article 6(6) and (7), Article 7(1) and (3), Article 11(3), Article 43(5) and (6), Article 47(5), Article 51(3), Article 52(4) and Article 53(5) and (6) may be revoked at any time by the European Parliament or by the Council. A decision of revocation shall put an end to the delegation of power specified in that decision. It shall take effect the day following that of its publication in the Official Journal of the European Union or at a later date specified therein. It shall not affect the validity of any delegated acts already in force.

3. Euroopan parlamentti tai neuvosto voi milloin tahansa peruuttaa 6 artiklan 6 ja 7 kohdassa, 7 artiklan 1 ja 3 kohdassa, 11 artiklan 3 kohdassa, 43 artiklan 5 ja 6 kohdassa, 47 artiklan 5 kohdassa, 51 artiklan 3 kohdassa, 52 artiklan 4 kohdassa ja 53 artiklan 5 ja 6 kohdassa tarkoitetun säädösvallan siirron. Peruuttamispäätöksellä lopetetaan tuossa päätöksessä mainittu säädösvallan siirto. Peruuttaminen tulee voimaan sitä päivää seuraavana päivänä, jona se julkaistaan Euroopan unionin virallisessa lehdessä, tai jonakin myöhempänä, kyseisessä päätöksessä mainittuna päivänä. Peruuttamispäätös ei vaikuta jo voimassa olevien delegoitujen säädösten pätevyyteen.

4. Before adopting a delegated act, the Commission shall consult experts designated by each Member State in accordance with the principles laid down in the Interinstitutional Agreement of 13 April 2016 on Better Law-Making.

4. Ennen kuin komissio hyväksyy delegoidun säädöksen, se kuulee kunkin jäsenvaltion nimeämiä asiantuntijoita paremmasta lainsäädännöstä 13 päivänä huhtikuuta 2016 tehdyssä toimielinten välisessä sopimuksessa vahvistettujen periaatteiden mukaisesti.

5. As soon as it adopts a delegated act, the Commission shall notify it simultaneously to the European Parliament and to the Council.

5. Heti kun komissio on antanut delegoidun säädöksen, komissio antaa sen tiedoksi yhtäaikaisesti Euroopan parlamentille ja neuvostolle.

6. Any delegated act adopted pursuant to Article 6(6) or (7), Article 7(1) or (3), Article 11(3), Article 43(5) or (6), Article 47(5), Article 51(3), Article 52(4) or Article 53(5) or (6) shall enter into force only if no objection has been expressed by either the European Parliament or the Council within a period of three months of notification of that act to the European Parliament and the Council or if, before the expiry of that period, the European Parliament and the Council have both informed the Commission that they will not object. That period shall be extended by three months at the initiative of the European Parliament or of the Council.

6. Edellä olevan 6 artiklan 6 tai 7 kohdan, 7 artiklan 1 tai 3 kohdan, 11 artiklan 3 kohdan, 43 artiklan 5 tai 6 kohdan, 47 artiklan 5 kohdan, 51 artiklan 3 kohdan, 52 artiklan 4 kohdan tai 53 artiklan 5 tai 6 kohdan nojalla annettu delegoitu säädös tulee voimaan ainoastaan, jos Euroopan parlamentti tai neuvosto ei ole kolmen kuukauden kuluessa siitä, kun asianomainen säädös on annettu tiedoksi Euroopan parlamentille ja neuvostolle, ilmaissut vastustavansa sitä tai jos sekä Euroopan parlamentti että neuvosto ovat ennen mainitun määräajan päättymistä ilmoittaneet komissiolle, että ne eivät vastusta säädöstä. Euroopan parlamentin tai neuvoston aloitteesta tätä määräaikaa jatketaan kolmella kuukaudella.

Article 98

98 artikla

Committee procedure

Komiteamenettely

1. The Commission shall be assisted by a committee. That committee shall be a committee within the meaning of Regulation (EU) No 182/2011.

1. Komissiota avustaa komitea. Tämä komitea on asetuksessa (EU) N:o 182/2011 tarkoitettu komitea.

2. Where reference is made to this paragraph, Article 5 of Regulation (EU) No 182/2011 shall apply.

2. Kun viitataan tähän kohtaan, sovelletaan asetuksen (EU) N:o 182/2011 5 artiklaa.

CHAPTER XII

XII LUKU

PENALTIES

SEURAAMUKSET

Article 99

99 artikla

Penalties

Seuraamukset

1. In accordance with the terms and conditions laid down in this Regulation, Member States shall lay down the rules on penalties and other enforcement measures, which may also include warnings and non-monetary measures, applicable to infringements of this Regulation by operators, and shall take all measures necessary to ensure that they are properly and effectively implemented, thereby taking into account the guidelines issued by the Commission pursuant to Article 96. The penalties provided for shall be effective, proportionate and dissuasive. They shall take into account the interests of SMEs, including start-ups, and their economic viability.

1. Jäsenvaltioiden on tässä asetuksessa säädettyjä ehtoja noudattaen säädettävä seuraamuksista ja muista täytäntöönpanotoimista, joita voivat olla myös varoitukset ja muut kuin rahalliset toimenpiteet, joita sovelletaan toimijoiden rikkoessa tätä asetusta, ja toteutettava kaikki tarvittavat toimenpiteet niiden asianmukaisen ja tehokkaan täytäntöönpanon varmistamiseksi, ottaen siten huomioon komission 96 artiklan mukaisesti antamat suuntaviivat. Seuraamusten on oltava tehokkaita, oikeasuhteisia ja varoittavia. Niissä on otettava huomioon pk-yritysten sekä startup-yritysten edut ja niiden taloudellinen elinkelpoisuus.

2. The Member States shall, without delay and at the latest by the date of entry into application, notify the Commission of the rules on penalties and of other enforcement measures referred to in paragraph 1, and shall notify it, without delay, of any subsequent amendment to them.

2. Jäsenvaltioiden on viipymättä ja viimeistään soveltamisen alkamispäivänä ilmoitettava 1 kohdassa tarkoitetut seuraamuksia ja muita täytäntöönpanotoimenpiteitä koskevat säännökset komissiolle, ja jäsenvaltioiden on ilmoitettava komissiolle viipymättä kaikki niitä koskevat myöhemmät muutokset.

3. Non-compliance with the prohibition of the AI practices referred to in Article 5 shall be subject to administrative fines of up to EUR 35 000 000 or, if the offender is an undertaking, up to 7 % of its total worldwide annual turnover for the preceding financial year, whichever is higher.

3. Edellä 5 artiklassa tarkoitettuja tekoälyyn liittyviä käytäntöjä koskevien kieltojen noudattamatta jättämisestä voidaan määrätä hallinnollinen sakko, joka on enintään 35 000 000 euroa tai, jos rikkomiseen syyllistynyt on yritys, enintään 7 prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi.

4. Non-compliance with any of the following provisions related to operators or notified bodies, other than those laid down in Articles 5, shall be subject to administrative fines of up to EUR 15 000 000 or, if the offender is an undertaking, up to 3 % of its total worldwide annual turnover for the preceding financial year, whichever is higher:

4. Seuraavien toimijoita tai ilmoitettuja laitoksia koskevien säädösten, lukuun ottamatta 5 artiklassa vahvistettuja säädöksiä, noudattamatta jättämisestä voidaan määrätä hallinnollinen sakko, joka on enintään 15 000 000 euroa tai, jos rikkomiseen syyllistynyt on yritys, enintään 3 prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi:

(a)

obligations of providers pursuant to Article 16;

16 artiklan mukaiset tarjoajien velvoitteet;

(b)

obligations of authorised representatives pursuant to Article 22;

22 artiklan mukaiset valtuutettujen edustajien velvoitteet;

(c)

obligations of importers pursuant to Article 23;

23 artiklan mukaiset maahantuojien velvoitteet;

(d)

obligations of distributors pursuant to Article 24;

24 artiklan mukaiset jakelijoiden velvoitteet;

(e)

obligations of deployers pursuant to Article 26;

26 artiklan mukaiset käyttöönottajien velvoitteet;

(f)

requirements and obligations of notified bodies pursuant to Article 31, Article 33(1), (3) and (4) or Article 34;

31 artiklan, 33 artiklan 1, 3 ja 4 kohdan ja 34 artiklan mukaiset ilmoitettujen laitosten vaatimukset ja velvoitteet;

(g)

transparency obligations for providers and deployers pursuant to Article 50.

50 artiklan mukaiset tarjoajien ja käyttöönottajien läpinäkyvyysvelvoitteet.

5. The supply of incorrect, incomplete or misleading information to notified bodies or national competent authorities in reply to a request shall be subject to administrative fines of up to EUR 7 500 000 or, if the offender is an undertaking, up to 1 % of its total worldwide annual turnover for the preceding financial year, whichever is higher.

5. Virheellisten, puutteellisten tai harhaanjohtavien tietojen toimittamisesta vastauksena ilmoitettujen laitosten tai kansallisten toimivaltaisten viranomaisten pyyntöön voidaan määrätä hallinnollinen sakko, joka on enintään 7 500 000 euroa tai, jos rikkomiseen syyllistynyt on yritys, enintään 1 prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi.

6. In the case of SMEs, including start-ups, each fine referred to in this Article shall be up to the percentages or amount referred to in paragraphs 3, 4 and 5, whichever thereof is lower.

6. Pk-yritysten, myös startup-yritysten, osalta kukin tässä artiklassa tarkoitettu sakko on enintään 3, 4 ja 5 kohdassa tarkoitettu prosenttiosuus tai määrä sen mukaan, kumpi niistä on alhaisempi.

7. When deciding whether to impose an administrative fine and when deciding on the amount of the administrative fine in each individual case, all relevant circumstances of the specific situation shall be taken into account and, as appropriate, regard shall be given to the following:

7. Kun päätetään hallinnollisen sakon määräämisestä ja hallinnollisen sakon määrästä, kussakin yksittäisessä tapauksessa on otettava huomioon kaikki kyseisen tilanteen kannalta merkittävät olosuhteet sekä tapauksen mukaan seuraavat seikat:

(a)

the nature, gravity and duration of the infringement and of its consequences, taking into account the purpose of the AI system, as well as, where appropriate, the number of affected persons and the level of damage suffered by them;

rikkomisen ja sen seurausten luonne, vakavuus ja kesto ottaen huomioon kyseisen tekoälyjärjestelmän tarkoitus sekä tapauksen mukaan niiden henkilöiden lukumäärä, joihin on kohdistunut vaikutuksia, ja heille aiheutuneen vahingon suuruus;

(b)

whether administrative fines have already been applied by other market surveillance authorities to the same operator for the same infringement;

ovatko muut markkinavalvontaviranomaiset jo määränneet hallinnollisia sakkoja samalle toimijalle samasta rikkomisesta;

(c)

whether administrative fines have already been applied by other authorities to the same operator for infringements of other Union or national law, when such infringements result from the same activity or omission constituting a relevant infringement of this Regulation;

ovatko muut viranomaiset jo määränneet hallinnollisia sakkoja samalle toimijalle muun unionin tai jäsenvaltioiden lainsäädännön rikkomisesta, kun tällainen rikkominen on seurausta samasta toiminnasta tai laiminlyönnistä, joka muodostaa tämän asetuksen asiaankuuluvan rikkomisen;

(d)

the size, the annual turnover and market share of the operator committing the infringement;

rikkomiseen syyllistyneen toimijan koko, vuotuinen liikevaihto ja markkinaosuus;

(e)

any other aggravating or mitigating factor applicable to the circumstances of the case, such as financial benefits gained, or losses avoided, directly or indirectly, from the infringement;

mahdolliset muut tapaukseen sovellettavat raskauttavat tai lieventävät tekijät, kuten rikkomisesta suoraan tai välillisesti saadut mahdolliset taloudelliset edut tai rikkomisella vältetyt tappiot;

(f)

the degree of cooperation with the national competent authorities, in order to remedy the infringement and mitigate the possible adverse effects of the infringement;

kansallisten toimivaltaisten viranomaisten kanssa rikkomisen korjaamiseksi ja sen mahdollisten haittavaikutusten lieventämiseksi tehdyn yhteistyön aste;

(g)

the degree of responsibility of the operator taking into account the technical and organisational measures implemented by it;

toimijan vastuun aste ottaen huomioon sen toteuttamat tekniset ja organisatoriset toimenpiteet;

(h)

the manner in which the infringement became known to the national competent authorities, in particular whether, and if so to what extent, the operator notified the infringement;

tapa, jolla rikkominen tuli kansallisten toimivaltaisten viranomaisten tietoon, ja erityisesti se, ilmoittiko toimija rikkomisesta ja missä laajuudessa;

(i)

the intentional or negligent character of the infringement;

rikkomisen tahallisuus tai tuottamuksellisuus;

(j)

any action taken by the operator to mitigate the harm suffered by the affected persons.

toimijan toteuttamat toimet niille henkilöille, joihin on kohdistunut vaikutuksia, aiheutuneen haitan lieventämiseksi.

8. Each Member State shall lay down rules on to what extent administrative fines may be imposed on public authorities and bodies established in that Member State.

8. Kunkin jäsenvaltion on asetettava sääntöjä siitä, missä määrin viranomaisille tai julkishallinnon elimille voidaan määrätä kyseisessä jäsenvaltiossa hallinnollisia sakkoja.

9. Depending on the legal system of the Member States, the rules on administrative fines may be applied in such a manner that the fines are imposed by competent national courts or by other bodies, as applicable in those Member States. The application of such rules in those Member States shall have an equivalent effect.

9. Jäsenvaltion oikeusjärjestelmästä riippuen hallinnollisia sakkoja koskevia sääntöjä voidaan soveltaa siten, että sakkojen määräämisestä vastaavat toimivaltaiset kansalliset tuomioistuimet tai muut elimet, siten kuin kyseisissä jäsenvaltioissa on säädetty. Tällaisten sääntöjen soveltamisella näissä jäsenvaltioissa on oltava vastaava vaikutus.

10. The exercise of powers under this Article shall be subject to appropriate procedural safeguards in accordance with Union and national law, including effective judicial remedies and due process.

10. Tämän artiklan mukaisten valtuuksien käyttöön sovelletaan unionin oikeuden ja kansallisen lainsäädännön mukaisesti asianmukaisia menettelyllisiä takeita, muun muassa tehokkaita oikeussuojakeinoja ja oikeudenmukaista menettelyä.

11. Member States shall, on an annual basis, report to the Commission about the administrative fines they have issued during that year, in accordance with this Article, and about any related litigation or judicial proceedings.

11. Jäsenvaltioiden on raportoitava komissiolle vuosittain hallinnollisista sakoista, jotka ne ovat määränneet kyseisen vuoden aikana tämän artiklan mukaisesti, sekä mahdollisista asiaan liittyvistä oikeudenkäynti- tai oikeudellisista menettelyistä.

Article 100

100 artikla

Administrative fines on Union institutions, bodies, offices and agencies

Unionin toimielimille, elimille, laitoksille ja virastoille määrättävät hallinnolliset sakot

1. The European Data Protection Supervisor may impose administrative fines on Union institutions, bodies, offices and agencies falling within the scope of this Regulation. When deciding whether to impose an administrative fine and when deciding on the amount of the administrative fine in each individual case, all relevant circumstances of the specific situation shall be taken into account and due regard shall be given to the following:

1. Euroopan tietosuojavaltuutettu voi määrätä hallinnollisia sakkoja tämän asetuksen soveltamisalaan kuuluville unionin toimielimille, elimille, laitoksille ja virastoille. Kun päätetään hallinnollisen sakon määräämisestä ja hallinnollisen sakon määrästä, kussakin yksittäisessä tapauksessa on otettava asianmukaisesti huomioon kaikki kyseisen tilanteen kannalta merkittävät olosuhteet sekä seuraavat seikat:

(a)

the nature, gravity and duration of the infringement and of its consequences, taking into account the purpose of the AI system concerned, as well as, where appropriate, the number of affected persons and the level of damage suffered by them;

rikkomisen ja sen seurausten luonne, vakavuus ja kesto, ottaen huomioon kyseisen tekoälyjärjestelmän tarkoitus sekä tapauksen mukaan niiden henkilöiden lukumäärä, joihin on kohdistunut vaikutuksia, ja heille aiheutuneen vahingon suuruus;

(b)

the degree of responsibility of the Union institution, body, office or agency, taking into account technical and organisational measures implemented by them;

unionin toimielimen, elimen, laitoksen tai viraston vastuun aste ottaen huomioon sen toteuttamat tekniset ja organisatoriset toimenpiteet;

(c)

any action taken by the Union institution, body, office or agency to mitigate the damage suffered by affected persons;

kaikki unionin toimielimen, elimen, laitoksen tai viraston toteuttamat toimet niille henkilöille, joihin on kohdistunut vaikutuksia, aiheutuneen vahingon lieventämiseksi;

(d)

the degree of cooperation with the European Data Protection Supervisor in order to remedy the infringement and mitigate the possible adverse effects of the infringement, including compliance with any of the measures previously ordered by the European Data Protection Supervisor against the Union institution, body, office or agency concerned with regard to the same subject matter;

sen yhteistyön aste, jota Euroopan tietosuojavaltuutetun kanssa tehdään rikkomisen korjaamiseksi ja sen mahdollisten haittavaikutusten lieventämiseksi, mukaan lukien niiden toimenpiteiden noudattaminen, jotka Euroopan tietosuojavaltuutettu on aiemmin määrännyt asianomaiselle unionin toimielimelle, elimelle, laitokselle tai virastolle samasta aiheesta;

(e)

any similar previous infringements by the Union institution, body, office or agency;

unionin toimielimen, elimen, laitoksen tai viraston mahdolliset aiemmat samankaltaiset rikkomiset;

(f)

the manner in which the infringement became known to the European Data Protection Supervisor, in particular whether, and if so to what extent, the Union institution, body, office or agency notified the infringement;

tapa, jolla rikkominen tuli Euroopan tietosuojavaltuutetun tietoon, ja erityisesti se, ilmoittiko unionin toimielin, elin, laitos tai virasto rikkomisesta ja missä laajuudessa;

(g)

the annual budget of the Union institution, body, office or agency.

unionin toimielimen, elimen, laitoksen tai viraston vuotuinen talousarvio.

2. Non-compliance with the prohibition of the AI practices referred to in Article 5 shall be subject to administrative fines of up to EUR 1 500 000.

2. Jos 5 artiklassa tarkoitettujen tekoälyyn liittyvien käytäntöjen kieltoa ei noudateta, määrätään hallinnollinen sakko, joka on enintään 1 500 000 euroa.

3. The non-compliance of the AI system with any requirements or obligations under this Regulation, other than those laid down in Article 5, shall be subject to administrative fines of up to EUR 750 000.

3. Jos tekoälyjärjestelmä ei täytä muita tämän asetuksen mukaisia vaatimuksia ja velvoitteita kuin sen 5 artiklassa säädetyt vaatimukset tai velvoitteet, tästä voidaan määrätä hallinnollinen sakko, joka on enintään 750 000 euroa.

4. Before taking decisions pursuant to this Article, the European Data Protection Supervisor shall give the Union institution, body, office or agency which is the subject of the proceedings conducted by the European Data Protection Supervisor the opportunity of being heard on the matter regarding the possible infringement. The European Data Protection Supervisor shall base his or her decisions only on elements and circumstances on which the parties concerned have been able to comment. Complainants, if any, shall be associated closely with the proceedings.

4. Euroopan tietosuojavaltuutettu antaa ennen tämän artiklan mukaisen päätöksen tekemistä unionin toimielimelle, elimelle, laitokselle tai virastolle, joka on Euroopan tietosuojavaltuutetun toteuttaman menettelyn kohteena, tilaisuuden tulla kuulluksi mahdollisesta rikkomisesta. Euroopan tietosuojavaltuutettu perustaa päätöksensä ainoastaan niille tekijöille ja olosuhteille, joista asianomaiset osapuolet ovat voineet esittää huomautuksensa. Mahdolliset kantelijat osallistuvat tiiviisti menettelyyn.

5. The rights of defence of the parties concerned shall be fully respected in the proceedings. They shall be entitled to have access to the European Data Protection Supervisor’s file, subject to the legitimate interest of individuals or undertakings in the protection of their personal data or business secrets.

5. Menettelyissä on kunnioitettava täysin asianomaisten osapuolten puolustautumisoikeuksia. Niillä on oikeus tutustua Euroopan tietosuojavaltuutetun asiakirja-aineistoon edellyttäen, että otetaan huomioon yksityishenkilöiden tai yritysten oikeutetut edut, jotka liittyvät henkilötietojen tai liikesalaisuuksien suojaan.

6. Funds collected by imposition of fines in this Article shall contribute to the general budget of the Union. The fines shall not affect the effective operation of the Union institution, body, office or agency fined.

6. Tämän artiklan mukaisesti määrätyillä sakoilla kerätyt varat sisällytetään unionin yleiseen talousarvioon. Sakko ei saa vaikuttaa sen unionin toimielimen, elimen, laitoksen tai viraston tehokkaaseen toimintaan, jolle se on määrätty.

7. The European Data Protection Supervisor shall, on an annual basis, notify the Commission of the administrative fines it has imposed pursuant to this Article and of any litigation or judicial proceedings it has initiated.

7. Euroopan tietosuojavaltuutettu ilmoittaa vuosittain komissiolle hallinnollisista sakoista, jotka se on määrännyt tämän artiklan nojalla, sekä mahdollisesti käynnistämistään oikeudenkäynti- tai oikeudellisista menettelyistä.

Article 101

101 artikla

Fines for providers of general-purpose AI models

Yleiskäyttöisten tekoälymallien tarjoajille määrättävät sakot

1. The Commission may impose on providers of general-purpose AI models fines not exceeding 3 % of their annual total worldwide turnover in the preceding financial year or EUR 15 000 000, whichever is higher., when the Commission finds that the provider intentionally or negligently:

1. Komissio voi määrätä yleiskäyttöisten tekoälymallien tarjoajille sakon, joka on enintään 3 prosenttia niiden edeltävän tilikauden maailmanlaajuisesta vuotuisesta kokonaisliikevaihdosta tai 15 000 000 euroa sen mukaan, kumpi näistä määristä on suurempi, jos komissio toteaa, että tarjoaja tahallisesti tai tuottamuksellisesti

(a)

infringed the relevant provisions of this Regulation;

on rikkonut tämän asetuksen asiaa koskevia säännöksiä;

(b)

failed to comply with a request for a document or for information pursuant to Article 91, or supplied incorrect, incomplete or misleading information;

ei ole noudattanut 91 artiklan mukaista asiakirjaa tai tietoja koskevaa pyyntöä tai on toimittanut virheellisiä, puutteellisia tai harhaanjohtavia tietoja;

(c)

failed to comply with a measure requested under Article 93;

ei ole noudattanut 93 artiklan nojalla pyydettyä toimenpidettä;

(d)

failed to make available to the Commission access to the general-purpose AI model or general-purpose AI model with systemic risk with a view to conducting an evaluation pursuant to Article 92.

ei ole asettanut komission saataville yleiskäyttöistä tekoälymallia tai yleiskäyttöistä tekoälymallia, johon liittyy systeeminen riski, jotta voitaisiin suorittaa 92 artiklan mukainen arviointi.

In fixing the amount of the fine or periodic penalty payment, regard shall be had to the nature, gravity and duration of the infringement, taking due account of the principles of proportionality and appropriateness. The Commission shall also into account commitments made in accordance with Article 93(3) or made in relevant codes of practice in accordance with Article 56.

Sakon tai uhkasakon suuruutta vahvistettaessa on otettava huomioon rikkomisen luonne, vakavuus ja kesto sekä otettava asianmukaisesti huomioon suhteellisuusperiaate ja tarkoituksenmukaisuusperiaate. Komissio ottaa huomioon myös sitoumukset, jotka on tehty 93 artiklan 3 kohdan mukaisesti tai käytännesäännöissä 56 artiklan mukaisesti.

2. Before adopting the decision pursuant to paragraph 1, the Commission shall communicate its preliminary findings to the provider of the general-purpose AI model and give it an opportunity to be heard.

2. Ennen 1 kohdan mukaisen päätöksen tekemistä komissio ilmoittaa alustavat havaintonsa yleiskäyttöisen tekoälymallin tarjoajalle ja antaa tälle tilaisuuden tulla kuulluksi.

3. Fines imposed in accordance with this Article shall be effective, proportionate and dissuasive.

3. Tämän artiklan mukaisesti määrättävien sakkojen on oltava tehokkaita, oikeasuhteisia ja varoittavia.

4. Information on fines imposed under this Article shall also be communicated to the Board as appropriate.

4. Tiedot tämän artiklan nojalla määrätyistä sakoista on myös tarvittaessa toimitettava tekoälyneuvostolle.

5. The Court of Justice of the European Union shall have unlimited jurisdiction to review decisions of the Commission fixing a fine under this Article. It may cancel, reduce or increase the fine imposed.

5. Euroopan unionin tuomioistuimella on täysi toimivalta tarkastella uudelleen komission tämän artiklan nojalla määräämiä sakkoja. Se voi kumota määrätyn sakon taikka alentaa tai korottaa sitä.

6. The Commission shall adopt implementing acts containing detailed arrangements and procedural safeguards for proceedings in view of the possible adoption of decisions pursuant to paragraph 1 of this Article. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 98(2).

6. Komissio hyväksyy täytäntöönpanosäädöksiä, jotka sisältävät yksityiskohtaiset järjestelyt ja menettelylliset takeet tämän artiklan 1 kohdan mukaisten päätösten mahdollista hyväksymistä varten. Nämä täytäntöönpanosäädökset hyväksytään 98 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

CHAPTER XIII

XIII LUKU

FINAL PROVISIONS

LOPPUSÄÄNNÖKSET

Article 102

102 artikla

Amendment to Regulation (EC) No 300/2008

Asetuksen (EY) N:o 300/2008 muuttaminen

In Article 4(3) of Regulation (EC) No 300/2008, the following subparagraph is added:

Lisätään asetuksen (EY) N:o 300/2008 4 artiklan 3 kohtaan alakohta seuraavasti:

‘When adopting detailed measures related to technical specifications and procedures for approval and use of security equipment concerning Artificial Intelligence systems within the meaning of Regulation (EU) 2024/1689 of the European Parliament and of the Council (*1), the requirements set out in Chapter III, Section 2, of that Regulation shall be taken into account.

”Hyväksyttäessä yksityiskohtaisia toimenpiteitä, jotka liittyvät sellaisten turvalaitteiden käyttöä koskeviin teknisiin erittelyihin ja hyväksyntämenettelyihin, joihin sisältyy Euroopan parlamentin ja neuvoston asetuksessa (EU) 2024/1689 (*1) tarkoitettuja tekoälyjärjestelmiä, huomioon on otettava mainitun asetuksen III luvun 2 jaksossa säädetyt vaatimukset.

Article 103

103 artikla

Amendment to Regulation (EU) No 167/2013

Asetuksen (EU) N:o 167/2013 muuttaminen

In Article 17(5) of Regulation (EU) No 167/2013, the following subparagraph is added:

Lisätään asetuksen (EU) N:o 167/2013 17 artiklan 5 kohtaan alakohta seuraavasti:

‘When adopting delegated acts pursuant to the first subparagraph concerning artificial intelligence systems which are safety components within the meaning of Regulation (EU) 2024/1689 of the European Parliament and of the Council (*2), the requirements set out in Chapter III, Section 2, of that Regulation shall be taken into account.

”Hyväksyttäessä ensimmäisen alakohdan mukaisia delegoituja säädöksiä, jotka koskevat Euroopan parlamentin ja neuvoston asetuksessa (EU) 2024/1689 (*2) tarkoitettuja tekoälyjärjestelmiä, jotka ovat turvakomponentteja, huomioon on otettava mainitun asetuksen III luvun 2 jaksossa säädetyt vaatimukset.

Article 104

104 artikla

Amendment to Regulation (EU) No 168/2013

Asetuksen (EU) N:o 168/2013 muuttaminen

In Article 22(5) of Regulation (EU) No 168/2013, the following subparagraph is added:

Lisätään asetuksen (EU) N:o 168/2013 22 artiklan 5 kohtaan alakohta seuraavasti:

‘When adopting delegated acts pursuant to the first subparagraph concerning Artificial Intelligence systems which are safety components within the meaning of Regulation (EU) 2024/1689 of the European Parliament and of the Council (*3), the requirements set out in Chapter III, Section 2, of that Regulation shall be taken into account.

”Hyväksyttäessä ensimmäisen alakohdan mukaisia delegoituja säädöksiä, jotka koskevat Euroopan parlamentin ja neuvoston asetuksessa (EU) 2024/1689 (*3) tarkoitettuja tekoälyjärjestelmiä, jotka ovat turvakomponentteja, huomioon on otettava mainitun asetuksen III luvun 2 jaksossa säädetyt vaatimukset.

Article 105

105 artikla

Amendment to Directive 2014/90/EU

Direktiivin 2014/90/EU muuttaminen

In Article 8 of Directive 2014/90/EU, the following paragraph is added:

Lisätään direktiivin 2014/90/EU 8 artiklaan kohta seuraavasti:

‘5. For Artificial Intelligence systems which are safety components within the meaning of Regulation (EU) 2024/1689 of the European Parliament and of the Council (*4), when carrying out its activities pursuant to paragraph 1 and when adopting technical specifications and testing standards in accordance with paragraphs 2 and 3, the Commission shall take into account the requirements set out in Chapter III, Section 2, of that Regulation.

”5. Toteuttaessaan 1 kohdan mukaisia tehtäviään ja hyväksyessään teknisiä eritelmiä ja testausnormeja 2 ja 3 kohdan mukaisesti sellaisten Euroopan parlamentin ja neuvoston asetuksessa (EU) 2024/1689 (*4) tarkoitettujen tekoälyjärjestelmien osalta, jotka ovat turvakomponentteja, komissio ottaa huomioon mainitun asetuksen III luvun 2 jaksossa säädetyt vaatimukset.

Article 106

106 artikla

Amendment to Directive (EU) 2016/797

Direktiivin (EU) 2016/797 muuttaminen

In Article 5 of Directive (EU) 2016/797, the following paragraph is added:

Lisätään direktiivin (EU) 2016/797 5 artiklaan kohta seuraavasti:

‘12. When adopting delegated acts pursuant to paragraph 1 and implementing acts pursuant to paragraph 11 concerning Artificial Intelligence systems which are safety components within the meaning of Regulation (EU) 2024/1689 of the European Parliament and of the Council (*5), the requirements set out in Chapter III, Section 2, of that Regulation shall be taken into account.

”12. Hyväksyttäessä 1 kohdan mukaisia delegoituja säädöksiä ja 11 kohdan mukaisia täytäntöönpanosäädöksiä, jotka koskevat Euroopan parlamentin ja neuvoston asetuksessa (EU) 2024/1689 (*5) tarkoitettuja tekoälyjärjestelmiä, jotka ovat turvakomponentteja, huomioon on otettava mainitun asetuksen III luvun 2 jaksossa säädetyt vaatimukset.

Article 107

107 artikla

Amendment to Regulation (EU) 2018/858

Asetuksen (EU) 2018/858 muuttaminen

In Article 5 of Regulation (EU) 2018/858 the following paragraph is added:

Lisätään asetuksen (EU) 2018/858 5 artiklaan kohta seuraavasti:

‘4. When adopting delegated acts pursuant to paragraph 3 concerning Artificial Intelligence systems which are safety components within the meaning of Regulation (EU) 2024/1689 of the European Parliament and of the Council (*6), the requirements set out in Chapter III, Section 2, of that Regulation shall be taken into account.

”4. Hyväksyttäessä 3 kohdan mukaisia delegoituja säädöksiä, jotka koskevat Euroopan parlamentin ja neuvoston asetuksessa (EU) 2024/1689 (*6) tarkoitettuja tekoälyjärjestelmiä, jotka ovat turvakomponentteja, huomioon on otettava mainitun asetuksen III luvun 2 jaksossa säädetyt vaatimukset.

Article 108

108 artikla

Amendments to Regulation (EU) 2018/1139

Asetuksen (EU) 2018/1139 muuttaminen

Regulation (EU) 2018/1139 is amended as follows:

Muutetaan asetus (EU) 2018/1139 seuraavasti:

(1)

in Article 17, the following paragraph is added:

lisätään 17 artiklaan kohta seuraavasti:

‘3. Without prejudice to paragraph 2, when adopting implementing acts pursuant to paragraph 1 concerning Artificial Intelligence systems which are safety components within the meaning of Regulation (EU) 2024/1689 of the European Parliament and of the Council (*7), the requirements set out in Chapter III, Section 2, of that Regulation shall be taken into account.

”3. Hyväksyttäessä 1 kohdan mukaisia täytäntöönpanosäädöksiä, jotka koskevat Euroopan parlamentin ja neuvoston asetuksessa (EU) 2024/1689 (*7) tarkoitettuja tekoälyjärjestelmiä, jotka ovat turvakomponentteja, huomioon on otettava mainitun asetuksen III luvun 2 jaksossa säädetyt vaatimukset, sanotun kuitenkaan rajoittamatta 2 kohdan soveltamista.

(*7) Regulation (EU) 2024/1689 of the European Parliament and of the Council of 13 June 2024 laying down harmonised rules on artificial intelligence and amending Regulations (EC) No 300/2008, (EU) No 167/2013, (EU) No 168/2013, (EU) 2018/858, (EU) 2018/1139 and (EU) 2019/2144 and Directives 2014/90/EU, (EU) 2016/797 and (EU) 2020/1828 (Artificial Intelligence Act) (OJ L, 2024/1689, 12.7.2024, ELI: http://data.europa.eu/eli/reg/2024/1689/oj).’;"

(*7) Euroopan parlamentin ja neuvoston asetus (EU) 2024/1689, annettu 13 päivänä kesäkuuta 2024, tekoälyä koskevista yhdenmukaistetuista säännöistä ja asetusten (EY) N:o 300/2008, (EU) N:o 167/2013, (EU) N:o 168/2013, (EU) 2018/858, (EU) 2018/1139 ja (EU) 2019/2144 sekä direktiivien 2014/90/EU, (EU) 2016/797 ja (EU) 2020/1828 muuttamisesta (tekoälysäädös) (EUVL L, 2024/1689, 12.7.2024, ELI: http://data.europa.eu/eli/reg/2024/1689/oj).”;"

(2)

in Article 19, the following paragraph is added:

lisätään 19 artiklaan kohta seuraavasti:

‘4. When adopting delegated acts pursuant to paragraphs 1 and 2 concerning Artificial Intelligence systems which are safety components within the meaning of Regulation (EU) 2024/1689, the requirements set out in Chapter III, Section 2, of that Regulation shall be taken into account.’

”4. Hyväksyttäessä 1 ja 2 kohdan mukaisia delegoituja säädöksiä, jotka koskevat asetuksessa (EU) 2024/1689 tarkoitettuja tekoälyjärjestelmiä, jotka ovat turvakomponentteja, huomioon on otettava mainitun asetuksen III luvun 2 jaksossa säädetyt vaatimukset.”

;

(3)

in Article 43, the following paragraph is added:

lisätään 43 artiklaan kohta seuraavasti:

‘4. When adopting implementing acts pursuant to paragraph 1 concerning Artificial Intelligence systems which are safety components within the meaning of Regulation (EU) 2024/1689, the requirements set out in Chapter III, Section 2, of that Regulation shall be taken into account.’

”4. Hyväksyttäessä 1 kohdan mukaisia täytäntöönpanosäädöksiä, jotka koskevat asetuksessa (EU) 2024/1689 tarkoitettuja tekoälyjärjestelmiä, jotka ovat turvakomponentteja, huomioon on otettava mainitun asetuksen III luvun 2 jaksossa säädetyt vaatimukset.”

;

(4)

in Article 47, the following paragraph is added:

lisätään 47 artiklaan kohta seuraavasti:

‘3. When adopting delegated acts pursuant to paragraphs 1 and 2 concerning Artificial Intelligence systems which are safety components within the meaning of Regulation (EU) 2024/1689, the requirements set out in Chapter III, Section 2, of that Regulation shall be taken into account.’

”3. Hyväksyttäessä 1 ja 2 kohdan mukaisia delegoituja säädöksiä, jotka koskevat asetuksessa (EU) 2024/1689 tarkoitettuja tekoälyjärjestelmiä, jotka ovat turvakomponentteja, huomioon on otettava mainitun asetuksen III luvun 2 jaksossa säädetyt vaatimukset.”

;

(5)

in Article 57, the following subparagraph is added:

lisätään 57 artiklaan alakohta seuraavasti:

‘When adopting those implementing acts concerning Artificial Intelligence systems which are safety components within the meaning of Regulation (EU) 2024/1689, the requirements set out in Chapter III, Section 2, of that Regulation shall be taken into account.’

”Hyväksyttäessä tällaisia täytäntöönpanosäädöksiä, jotka koskevat asetuksessa (EU) 2024/1689 tarkoitettuja tekoälyjärjestelmiä, jotka ovat turvakomponentteja, huomioon on otettava mainitun asetuksen III luvun 2 jaksossa säädetyt vaatimukset.”

;

(6)

in Article 58, the following paragraph is added:

lisätään 58 artiklaan kohta seuraavasti:

Article 109

109 artikla

Amendment to Regulation (EU) 2019/2144

Asetuksen (EU) 2019/2144 muuttaminen

In Article 11 of Regulation (EU) 2019/2144, the following paragraph is added:

Lisätään asetuksen (EU) 2019/2144 11 artiklaan kohta seuraavasti:

‘3. When adopting the implementing acts pursuant to paragraph 2, concerning artificial intelligence systems which are safety components within the meaning of Regulation (EU) 2024/1689 of the European Parliament and of the Council (*8), the requirements set out in Chapter III, Section 2, of that Regulation shall be taken into account.

”3. Hyväksyttäessä 2 kohdan mukaisia täytäntöönpanosäädöksiä, jotka koskevat Euroopan parlamentin ja neuvoston asetuksessa (EU) 2024/1689 (*8) tarkoitettuja tekoälyjärjestelmiä, jotka ovat turvakomponentteja, huomioon on otettava mainitun asetuksen III luvun 2 jaksossa säädetyt vaatimukset.

Article 110

110 artikla

Amendment to Directive (EU) 2020/1828

Direktiivin (EU) 2020/1828 muuttaminen

In Annex I to Directive (EU) 2020/1828 of the European Parliament and of the Council (58), the following point is added:

Lisätään Euroopan parlamentin ja neuvoston direktiivin (EU) 2020/1828 (58) liitteeseen I kohta seuraavasti:

‘(68)

Regulation (EU) 2024/1689 of the European Parliament and of the Council of 13 June 2024 laying down harmonised rules on artificial intelligence and amending Regulations (EC) No 300/2008, (EU) No 167/2013, (EU) No 168/2013, (EU) 2018/858, (EU) 2018/1139 and (EU) 2019/2144 and Directives 2014/90/EU, (EU) 2016/797 and (EU) 2020/1828 (Artificial Intelligence Act) (OJ L, 2024/1689, 12.7.2024, ELI: http://data.europa.eu/eli/reg/2024/1689/oj).’.

”68)

Euroopan parlamentin ja neuvoston asetus (EU) 2024/1689, annettu 13 päivänä kesäkuuta 2024, tekoälyä koskevista yhdenmukaistetuista säännöistä ja asetusten (EY) N:o 300/2008, (EU) N:o 167/2013, (EU) N:o 168/2013, (EU) 2018/858, (EU) 2018/1139 ja (EU) 2019/2144 sekä direktiivien 2014/90/EU, (EU) 2016/797 ja (EU) 2020/1828 muuttamisesta (tekoälysäädös) (EUVL L, 2024/1689, 12.7.2024, ELI: http://data.europa.eu/eli/reg/2024/1689/oj)”.

Article 111

111 artikla

AI systems already placed on the market or put into service and general-purpose AI models already placed on the marked

Jo markkinoille saatetut tai käyttöön otetut tekoälyjärjestelmät sekä jo markkinoille saatetut yleiskäyttöiset tekoälymallit

1. Without prejudice to the application of Article 5 as referred to in Article 113(3), point (a), AI systems which are components of the large-scale IT systems established by the legal acts listed in Annex X that have been placed on the market or put into service before 2 August 2027 shall be brought into compliance with this Regulation by 31 December 2030.

1. Tekoälyjärjestelmät, jotka ovat liitteessä X luetelluilla säädöksillä perustettujen laaja-alaisten tietojärjestelmien osia ja jotka on saatettu markkinoille tai otettu käyttöön ennen 2 päivää elokuuta 2027, on saatettava tämän asetuksen mukaisiksi 31 päivään joulukuuta 2030 mennessä, sanotun kuitenkaan rajoittamatta 113 artiklan kolmannen kohdan a alakohdassa tarkoitettua 5 artiklan soveltamista.

The requirements laid down in this Regulation shall be taken into account in the evaluation of each large-scale IT system established by the legal acts listed in Annex X to be undertaken as provided for in those legal acts and where those legal acts are replaced or amended.

Tässä asetuksessa säädetyt vaatimukset on otettava huomioon arvioitaessa kutakin liitteessä X luetelluilla säädöksillä perustettua laaja-alaista tietojärjestelmää kyseisissä säädöksissä säädetyllä tavalla ja aina kun nämä säädökset korvataan tai niitä muutetaan.

2. Without prejudice to the application of Article 5 as referred to in Article 113(3), point (a), this Regulation shall apply to operators of high-risk AI systems, other than the systems referred to in paragraph 1 of this Article, that have been placed on the market or put into service before 2 August 2026, only if, as from that date, those systems are subject to significant changes in their designs. In any case, the providers and deployers of high-risk AI systems intended to be used by public authorities shall take the necessary steps to comply with the requirements and obligations of this Regulation by 2 August 2030.

2. Tätä asetusta sovelletaan muiden kuin 1 kohdassa tarkoitettujen, suuririskisten tekoälyjärjestelmien, jotka on saatettu markkinoille tai otettu käyttöön ennen 2 päivää elokuuta 2026, ylläpitäjiin ainoastaan, jos kyseisten järjestelmien rakenteessa tapahtuu merkittäviä muutoksia kyseisen päivän jälkeen, sanotun kuitenkaan rajoittamatta 113 artiklan kolmannen kohdan a alakohdassa tarkoitettua 5 artiklan soveltamista. Joka tapauksessa viranomaisten käytettäviksi tarkoitettujen suuririskisten tekoälyjärjestelmien tarjoajien ja käyttöönottajien on toteutettava tarvittavat toimenpiteet tämän asetuksen vaatimusten ja velvoitteiden noudattamiseksi viimeistään 2 päivänä elokuuta 2030.

3. Providers of general-purpose AI models that have been placed on the market before 2 August 2025 shall take the necessary steps in order to comply with the obligations laid down in this Regulation by 2 August 2027.

3. Yleiskäyttöisten tekoälymallien, jotka on saatettu markkinoille ennen 2 päivää elokuuta 2025, tarjoajien on toteutettava tarvittavat toimenpiteet tämän asetuksen velvollisuuksien noudattamiseksi viimeistään 2 päivänä elokuuta 2027.

Article 112

112 artikla

Evaluation and review

Arviointi ja uudelleentarkastelu

1. The Commission shall assess the need for amendment of the list set out in Annex III and of the list of prohibited AI practices laid down in Article 5, once a year following the entry into force of this Regulation, and until the end of the period of the delegation of power laid down in Article 97. The Commission shall submit the findings of that assessment to the European Parliament and the Council.

1. Komissio arvioi vuosittain tämän asetuksen voimaantulon jälkeen ja 97 artiklassa säädetyn säädösvallan siirron keston päättymiseen saakka, onko liitteessä III olevaa luetteloa tai 5 artiklassa säädettyä luetteloa kielletyistä tekoälyyn liittyvistä käytännöistä tarpeen muuttaa. Komissio toimittaa kyseisen arvioinnin tulokset Euroopan parlamentille ja neuvostolle.

2. By 2 August 2028 and every four years thereafter, the Commission shall evaluate and report to the European Parliament and to the Council on the following:

2. Komissio arvioi viimeistään 2 päivänä elokuuta 2028 ja sen jälkeen joka neljäs vuosi seuraavia ja antaa niistä Euroopan parlamentille ja neuvostolle kertomuksen:

(a)

the need for amendments extending existing area headings or adding new area headings in Annex III;

tarve tehdä muutoksia, joilla laajennetaan liitteessä III olevia nykyisiä alojen otsikoita tai lisätään siihen uusia alojen otsikoita;

(b)

amendments to the list of AI systems requiring additional transparency measures in Article 50;

muutokset luetteloon tekoälyjärjestelmistä, jotka edellyttävät 50 artiklassa tarkoitettuja läpinäkyvyyttä koskevia lisätoimenpiteitä;

(c)

amendments enhancing the effectiveness of the supervision and governance system.

muutokset, joilla parannetaan valvonta- ja hallintojärjestelmän tehokkuutta.

3. By 2 August 2029 and every four years thereafter, the Commission shall submit a report on the evaluation and review of this Regulation to the European Parliament and to the Council. The report shall include an assessment with regard to the structure of enforcement and the possible need for a Union agency to resolve any identified shortcomings. On the basis of the findings, that report shall, where appropriate, be accompanied by a proposal for amendment of this Regulation. The reports shall be made public.

3. Viimeistään 2 päivänä elokuuta 2029 ja sen jälkeen neljän vuoden välein komissio toimittaa Euroopan parlamentille ja neuvostolle säännöllisesti kertomuksen tämän asetuksen arvioinnista ja uudelleentarkastelusta. Kertomuksessa on arvioitava täytäntöönpanon valvonnan rakennetta ja unionin viraston mahdollista tarvetta havaittujen puutteiden korjaamiseksi. Kertomukseen liitetään tarvittaessa havaintojen perusteella ehdotus tämän asetuksen muuttamiseksi. Raportit julkaistaan.

4. The reports referred to in paragraph 2 shall pay specific attention to the following:

4. Edellä 2 kohdassa tarkoitetuissa raporteissa on kiinnitettävä erityistä huomiota seuraaviin seikkoihin:

(a)

the status of the financial, technical and human resources of the national competent authorities in order to effectively perform the tasks assigned to them under this Regulation;

kansallisten toimivaltaisten viranomaisten taloudellisten, teknisten ja henkilöresurssien tila, jotta ne voivat suorittaa tehokkaasti niille tässä asetuksessa osoitetut tehtävät;

(b)

the state of penalties, in particular administrative fines as referred to in Article 99(1), applied by Member States for infringements of this Regulation;

jäsenvaltioiden tämän asetuksen rikkomisista määräämien seuraamusten ja erityisesti 99 artiklan 1 kohdassa tarkoitettujen hallinnollisten sakkojen tila;

(c)

adopted harmonised standards and common specifications developed to support this Regulation;

hyväksytyt yhdenmukaistetut standardit ja yhteiset eritelmät, jotka on laadittu tämän asetuksen tueksi;

(d)

the number of undertakings that enter the market after the entry into application of this Regulation, and how many of them are SMEs.

niiden yritysten lukumäärä, jotka tulevat markkinoille tämän asetuksen soveltamisen alkamisen jälkeen, ja moniko niistä on pk-yrityksiä.

5. By 2 August 2028, the Commission shall evaluate the functioning of the AI Office, whether the AI Office has been given sufficient powers and competences to fulfil its tasks, and whether it would be relevant and needed for the proper implementation and enforcement of this Regulation to upgrade the AI Office and its enforcement competences and to increase its resources. The Commission shall submit a report on its evaluation to the European Parliament and to the Council.

5. Komissio arvioi viimeistään 2 päivänä elokuuta 2028 tekoälytoimiston toimintaa sekä sitä, onko tekoälytoimistolle annettu riittävät valtuudet ja toimivalta, jotta se voi täyttää tehtävänsä, ja olisiko tämän asetuksen asianmukaisen täytäntöönpanon ja täytäntöönpanon valvonnan kannalta merkityksellistä ja tarpeellista vahvistaa tekoälytoimiston asemaa ja lisätä sen täytäntöönpanovaltuuksia ja sen resursseja. Komissio toimittaa kyseisen arviointiaan koskevan kertomuksen Euroopan parlamentille ja neuvostolle.

6. By 2 August 2028 and every four years thereafter, the Commission shall submit a report on the review of the progress on the development of standardisation deliverables on the energy-efficient development of general-purpose AI models, and asses the need for further measures or actions, including binding measures or actions. The report shall be submitted to the European Parliament and to the Council, and it shall be made public.

6. Komissio antaa viimeistään 2 päivänä elokuuta 2028 ja sen jälkeen joka neljäs vuosi kertomuksen yleiskäyttöisten tekoälymallien energiatehokasta kehittämistä koskevien standardointituotteiden kehittämisen edistymisestä ja arvioi tarvetta lisätoimenpiteille tai -toimille, kuten sitoville toimenpiteille tai toimille. Kertomus toimitetaan Euroopan parlamentille ja neuvostolle ja julkaistaan.

7. By 2 August 2028 and every three years thereafter, the Commission shall evaluate the impact and effectiveness of voluntary codes of conduct to foster the application of the requirements set out in Chapter III, Section 2 for AI systems other than high-risk AI systems and possibly other additional requirements for AI systems other than high-risk AI systems, including as regards environmental sustainability.

7. Komissio arvioi viimeistään 2 päivänä elokuuta 2028 ja sen jälkeen kolmen vuoden välein vapaaehtoisten käytännesääntöjen vaikutusta ja sitä, kuinka tehokkaasti ne edistävät III luvun 2 jaksossa vahvistettujen muita tekoälyjärjestelmiä kuin suuririskisiä tekoälyjärjestelmiä koskevien vaatimusten ja mahdollisesti muiden tekoälyjärjestelmiä koskevien lisävaatimusten soveltamista muun muassa ympäristökestävyyden kannalta.

8. For the purposes of paragraphs 1 to 7, the Board, the Member States and national competent authorities shall provide the Commission with information upon its request and without undue delay.

8. Edellä olevan 1–7 kohdan soveltamiseksi tekoälyneuvoston, jäsenvaltioiden ja kansallisten toimivaltaisten viranomaisten on toimitettava komissiolle sen pyytämät tiedot ilman aiheetonta viivytystä.

9. In carrying out the evaluations and reviews referred to in paragraphs 1 to 7, the Commission shall take into account the positions and findings of the Board, of the European Parliament, of the Council, and of other relevant bodies or sources.

9. Kun komissio tekee 1–7 kohdassa tarkoitettuja arviointeja ja uudelleentarkasteluja, se ottaa huomioon tekoälyneuvostolta, Euroopan parlamentilta ja neuvostolta sekä muilta asiaankuuluvilta elimiltä ja muista lähteistä saadut näkemykset ja havainnot.

10. The Commission shall, if necessary, submit appropriate proposals to amend this Regulation, in particular taking into account developments in technology, the effect of AI systems on health and safety, and on fundamental rights, and in light of the state of progress in the information society.

10. Komissio esittää tarvittaessa ehdotuksia tämän asetuksen muuttamiseksi ottaen erityisesti huomioon teknologiassa ja tietoyhteiskunnassa tapahtuvan kehityksen sekä tekoälyjärjestelmien vaikutukset terveyteen, turvallisuuteen ja perusoikeuksiin.

11. To guide the evaluations and reviews referred to in paragraphs 1 to 7 of this Article, the AI Office shall undertake to develop an objective and participative methodology for the evaluation of risk levels based on the criteria outlined in the relevant Articles and the inclusion of new systems in:

11. Ohjatakseen artiklan 1–7 kohdassa tarkoitettuja arviointeja ja uudelleentarkasteluja tekoälytoimisto sitoutuu kehittämään puolueettoman ja osallistavan menetelmän riskitason arvioimiseksi asiaankuuluvissa artikloissa esitettyjen perusteiden pohjalta ja uusien järjestelmien sisällyttämiseksi

(a)

the list set out in Annex III, including the extension of existing area headings or the addition of new area headings in that Annex;

liitteessä III esitettyyn luetteloon, mukaan lukien nykyisten alojen otsikoiden laajentaminen tai uusien alojen otsikoiden lisääminen kyseiseen liitteeseen;

(b)

the list of prohibited practices set out in Article 5; and

5 artiklassa esitettyyn luetteloon kielletyistä käytännöistä; sekä

(c)

the list of AI systems requiring additional transparency measures pursuant to Article 50.

luetteloon tekoälyjärjestelmistä, jotka edellyttävät läpinäkyvyyttä koskevia lisätoimenpiteitä 50 artiklan mukaisesti.

12. Any amendment to this Regulation pursuant to paragraph 10, or relevant delegated or implementing acts, which concerns sectoral Union harmonisation legislation listed in Section B of Annex I shall take into account the regulatory specificities of each sector, and the existing governance, conformity assessment and enforcement mechanisms and authorities established therein.

12. Kaikissa 10 kohdan nojalla tehtävissä tämän asetuksen muutoksissa tai asiaankuuluvissa delegoiduissa säädöksissä tai täytäntöönpanosäädöksissä, jotka koskevat liitteessä I olevassa B osassa lueteltua alakohtaista unionin yhdenmukaistamislainsäädäntöä, on otettava huomioon kunkin alan sääntelyn erityispiirteet sekä olemassa olevat hallinto-, vaatimustenmukaisuudenarviointi- ja täytäntöönpanomekanismit ja asianomaisissa säädöksissä perustetut viranomaiset.

13. By 2 August 2031, the Commission shall carry out an assessment of the enforcement of this Regulation and shall report on it to the European Parliament, the Council and the European Economic and Social Committee, taking into account the first years of application of this Regulation. On the basis of the findings, that report shall, where appropriate, be accompanied by a proposal for amendment of this Regulation with regard to the structure of enforcement and the need for a Union agency to resolve any identified shortcomings.

13. Komissio tekee viimeistään 2 päivänä elokuuta 2031 arvioinnin tämän asetuksen täytäntöönpanosta ja antaa siitä kertomuksen Euroopan parlamentille, neuvostolle ja Euroopan talous- ja sosiaalikomitealle ottaen huomioon tämän asetuksen ensimmäiset soveltamisvuodet. Kertomuksen tulosten perusteella siihen liitetään tarvittaessa ehdotus tämän asetuksen muuttamisesta täytäntöönpanon valvonnan rakenteen ja unionin viraston tarpeellisuuden osalta havaittujen puutteiden korjaamiseksi.

Article 113

113 artikla

Entry into force and application

Voimaantulo ja soveltaminen

This Regulation shall enter into force on the twentieth day following that of its publication in the Official Journal of the European Union.

Tämä asetus tulee voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.

It shall apply from 2 August 2026.

Sitä sovelletaan 2 päivästä elokuuta 2026.

However:

Edellisestä huolimatta

(a)

Chapters I and II shall apply from 2 February 2025;

I ja II lukuja sovelletaan 2 päivästä helmikuuta 2025;

(b)

Chapter III Section 4, Chapter V, Chapter VII and Chapter XII and Article 78 shall apply from 2 August 2025, with the exception of Article 101;

III luvun 4 jaksoa, V lukua, VII lukua, XII lukua ja 78 artiklaa sovelletaan 2 päivästä elokuuta 2025, lukuun ottamatta 101 artiklaa;

(c)

Article 6(1) and the corresponding obligations in this Regulation shall apply from 2 August 2027.

6 artiklan 1 kohtaa ja tämän asetuksen vastaavia velvoitteita sovelletaan 2 päivästä elokuuta 2027.

This Regulation shall be binding in its entirety and directly applicable in all Member States.

Tämä asetus on kaikilta osiltaan velvoittava, ja sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa.

Done at Brussels, 13 June 2024.

Tehty Brysselissä 13 päivänä kesäkuuta 2024.

For the European Parliament

Euroopan parlamentin puolesta

The President

Puheenjohtaja

R. METSOLA

For the Council

Neuvoston puolesta

The President

Puheenjohtaja

M. MICHEL

(1) OJ C 517, 22.12.2021, p. 56.

(1) EUVL C 517, 22.12.2021, s. 56.

(2) OJ C 115, 11.3.2022, p. 5.

(2) EUVL C 115, 11.3.2022, s. 5.

(3) OJ C 97, 28.2.2022, p. 60.

(3) EUVL C 97, 28.2.2022, s. 60.

(4) Position of the European Parliament of 13 March 2024 (not yet published in the Official Journal) and decision of the Council of 21 May 2024.

(4) Euroopan parlamentin kanta, vahvistettu 13. maaliskuuta 2024 (ei vielä julkaistu virallisessa lehdessä), ja neuvoston päätös, tehty 21. toukokuuta 2024.

(5) European Council, Special meeting of the European Council (1 and 2 October 2020) — Conclusions, EUCO 13/20, 2020, p. 6.

(5) Eurooppa-neuvosto, Eurooppa-neuvoston ylimääräinen kokous (1.–2.10.2020) – Päätelmät, EUCO 13/20, 2020, s. 6.

(6) European Parliament resolution of 20 October 2020 with recommendations to the Commission on a framework of ethical aspects of artificial intelligence, robotics and related technologies, 2020/2012(INL).

(6) Euroopan parlamentin päätöslauselma, annettu 20 päivänä lokakuuta 2020, suosituksista komissiolle tekoälyä, robotiikkaa ja niihin liittyvää teknologiaa koskevien eettisten näkökohtien kehyksestä, 2020/2012(INL).

(7) Regulation (EC) No 765/2008 of the European Parliament and of the Council of 9 July 2008 setting out the requirements for accreditation and repealing Regulation (EEC) No 339/93 (OJ L 218, 13.8.2008, p. 30).

(7) Euroopan parlamentin ja neuvoston asetus (EY) N:o 765/2008, annettu 9 päivänä heinäkuuta 2008, akkreditoinnin vaatimusten vahvistamisesta ja asetuksen (ETY) N:o 339/93 kumoamisesta (EUVL L 218, 13.8.2008, s. 30).

(8) Decision No 768/2008/EC of the European Parliament and of the Council of 9 July 2008 on a common framework for the marketing of products, and repealing Council Decision 93/465/EEC (OJ L 218, 13.8.2008, p. 82).

(8) Euroopan parlamentin ja neuvoston päätös N:o 768/2008/EY, tehty 9 päivänä heinäkuuta 2008, tuotteiden kaupan pitämiseen liittyvistä yhteisistä puitteista ja neuvoston päätöksen 93/465/ETY kumoamisesta (EUVL L 218, 13.8.2008, s. 82).

(9) Regulation (EU) 2019/1020 of the European Parliament and of the Council of 20 June 2019 on market surveillance and compliance of products and amending Directive 2004/42/EC and Regulations (EC) No 765/2008 and (EU) No 305/2011 (OJ L 169, 25.6.2019, p. 1).

(9) Euroopan parlamentin ja neuvoston asetus (EU) 2019/1020, annettu 20 päivänä kesäkuuta 2019, markkinavalvonnasta ja tuotteiden vaatimustenmukaisuudesta sekä direktiivin 2004/42/EY ja asetusten (EY) N:o 765/2008 ja (EU) N:o 305/2011 muuttamisesta (EUVL L 169, 25.6.2019, s. 1).

(10) Council Directive 85/374/EEC of 25 July 1985 on the approximation of the laws, regulations and administrative provisions of the Member States concerning liability for defective products (OJ L 210, 7.8.1985, p. 29).

(10) Neuvoston direktiivi 85/374/ETY, annettu 25 päivänä heinäkuuta 1985, tuotevastuuta koskevien jäsenvaltioiden lakien, asetusten ja hallinnollisten määräysten lähentämisestä (EYVL L 210, 7.8.1985, s. 29).

(11) Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) (OJ L 119, 4.5.2016, p. 1).

(11) Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) (EUVL L 119, 4.5.2016, s. 1).

(12) Regulation (EU) 2018/1725 of the European Parliament and of the Council of 23 October 2018 on the protection of natural persons with regard to the processing of personal data by the Union institutions, bodies, offices and agencies and on the free movement of such data, and repealing Regulation (EC) No 45/2001 and Decision No 1247/2002/EC (OJ L 295, 21.11.2018, p. 39).

(12) Euroopan parlamentin ja neuvoston asetus (EU) 2018/1725, annettu 23 päivänä lokakuuta 2018, luonnollisten henkilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä asetuksen (EY) N:o 45/2001 ja päätöksen N:o 1247/2002/EY kumoamisesta (EUVL L 295, 21.11.2018, s. 39).

(13) Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA (OJ L 119, 4.5.2016, p. 89).

(13) Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/680, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta (EUVL L 119, 4.5.2016, s. 89).

(14) Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications) (OJ L 201, 31.7.2002, p. 37).

(14) Euroopan parlamentin ja neuvoston direktiivi 2002/58/EY, annettu 12 päivänä heinäkuuta 2002, henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla (sähköisen viestinnän tietosuojadirektiivi) (EYVL L 201, 31.7.2002, s. 37).

(15) Regulation (EU) 2022/2065 of the European Parliament and of the Council of 19 October 2022 on a Single Market For Digital Services and amending Directive 2000/31/EC (Digital Services Act) (OJ L 277, 27.10.2022, p. 1).

(15) Euroopan parlamentin ja neuvoston asetus (EU) 2022/2065, annettu 19 päivänä lokakuuta 2022, digitaalisten palvelujen sisämarkkinoista ja direktiivin 2000/31/EY muuttamisesta (digipalvelusäädös) (EUVL L 277, 27.10.2022, s. 1).

(16) Directive (EU) 2019/882 of the European Parliament and of the Council of 17 April 2019 on the accessibility requirements for products and services (OJ L 151, 7.6.2019, p. 70).

(16) Euroopan parlamentin ja neuvoston direktiivi (EU) 2019/882, annettu 17 päivänä huhtikuuta 2019, tuotteiden ja palvelujen esteettömyysvaatimuksista (EUVL L 151, 7.6.2019, s. 70).

(17) Directive 2005/29/EC of the European Parliament and of the Council of 11 May 2005 concerning unfair business-to-consumer commercial practices in the internal market and amending Council Directive 84/450/EEC, Directives 97/7/EC, 98/27/EC and 2002/65/EC of the European Parliament and of the Council and Regulation (EC) No 2006/2004 of the European Parliament and of the Council (‘Unfair Commercial Practices Directive’) (OJ L 149, 11.6.2005, p. 22).

(17) Euroopan parlamentin ja neuvoston direktiivi 2005/29/EY, annettu 11 päivänä toukokuuta 2005, sopimattomista elinkeinonharjoittajien ja kuluttajien välisistä kaupallisista menettelyistä sisämarkkinoilla ja neuvoston direktiivin 84/450/ETY, Euroopan parlamentin ja neuvoston direktiivien 97/7/EY, 98/27/EY ja 2002/65/EY sekä Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 2006/2004 muuttamisesta (sopimattomia kaupallisia menettelyjä koskeva direktiivi) (EUVL L 149, 11.6.2005, s. 22).

(18) Council Framework Decision 2002/584/JHA of 13 June 2002 on the European arrest warrant and the surrender procedures between Member States (OJ L 190, 18.7.2002, p. 1).

(18) Neuvoston puitepäätös 2002/584/YOS, tehty 13 päivänä kesäkuuta 2002, eurooppalaisesta pidätysmääräyksestä ja jäsenvaltioiden välisistä luovuttamismenettelyistä (EYVL L 190, 18.7.2002, s. 1).

(19) Directive (EU) 2022/2557 of the European Parliament and of the Council of 14 December 2022 on the resilience of critical entities and repealing Council Directive 2008/114/EC (OJ L 333, 27.12.2022, p. 164).

(19) Euroopan parlamentin ja neuvoston direktiivi (EU) 2022/2557, annettu 14 päivänä joulukuuta 2022, kriittisten toimijoiden häiriönsietokyvystä ja direktiivin 2008/114/EY kumoamisesta (EUVL L 333, 27.12.2022, s. 164).

(20) OJ C 247, 29.6.2022, p. 1.

(20) EUVL C 247, 29.6.2022, s. 1.

(21) Regulation (EU) 2017/745 of the European Parliament and of the Council of 5 April 2017 on medical devices, amending Directive 2001/83/EC, Regulation (EC) No 178/2002 and Regulation (EC) No 1223/2009 and repealing Council Directives 90/385/EEC and 93/42/EEC (OJ L 117, 5.5.2017, p. 1).

(21) Euroopan parlamentin ja neuvoston asetus (EU) 2017/745, annettu 5 päivänä huhtikuuta 2017, lääkinnällisistä laitteista, direktiivin 2001/83/EY, asetuksen (EY) N:o 178/2002 ja asetuksen (EY) N:o 1223/2009 muuttamisesta sekä neuvoston direktiivien 90/385/ETY ja 93/42/ETY kumoamisesta (EUVL L 117, 5.5.2017, s. 1).

(22) Regulation (EU) 2017/746 of the European Parliament and of the Council of 5 April 2017 on in vitro diagnostic medical devices and repealing Directive 98/79/EC and Commission Decision 2010/227/EU (OJ L 117, 5.5.2017, p. 176).

(22) Euroopan parlamentin ja neuvoston asetus (EU) 2017/746, annettu 5 päivänä huhtikuuta 2017, in vitro -diagnostiikkaan tarkoitetuista lääkinnällisistä laitteista sekä direktiivin 98/79/EY ja komission päätöksen 2010/227/EU kumoamisesta (EUVL L 117, 5.5.2017, s. 176).

(23) Directive 2006/42/EC of the European Parliament and of the Council of 17 May 2006 on machinery, and amending Directive 95/16/EC (OJ L 157, 9.6.2006, p. 24).

(23) Euroopan parlamentin ja neuvoston direktiivi 2006/42/EY, annettu 17 päivänä toukokuuta 2006, koneista ja direktiivin 95/16/EY muuttamisesta (EUVL L 157, 9.6.2006, s. 24).

(24) Regulation (EC) No 300/2008 of the European Parliament and of the Council of 11 March 2008 on common rules in the field of civil aviation security and repealing Regulation (EC) No 2320/2002 (OJ L 97, 9.4.2008, p. 72).

(24) Euroopan parlamentin ja neuvoston asetus (EY) N:o 300/2008, annettu 11 päivänä maaliskuuta 2008, yhteisistä siviili-ilmailun turvaamista koskevista säännöistä ja asetuksen (EY) N:o 2320/2002 kumoamisesta (EUVL L 97, 9.4.2008, s. 72).

(25) Regulation (EU) No 167/2013 of the European Parliament and of the Council of 5 February 2013 on the approval and market surveillance of agricultural and forestry vehicles (OJ L 60, 2.3.2013, p. 1).

(25) Euroopan parlamentin ja neuvoston asetus (EU) N:o 167/2013, annettu 5 päivänä helmikuuta 2013, maa- ja metsätaloudessa käytettävien ajoneuvojen hyväksynnästä ja markkinavalvonnasta (EUVL L 60, 2.3.2013, s. 1).

(26) Regulation (EU) No 168/2013 of the European Parliament and of the Council of 15 January 2013 on the approval and market surveillance of two- or three-wheel vehicles and quadricycles (OJ L 60, 2.3.2013, p. 52).

(26) Euroopan parlamentin ja neuvoston asetus (EU) N:o 168/2013, annettu 15 päivänä tammikuuta 2013, kaksi- ja kolmipyöräisten ajoneuvojen ja nelipyörien hyväksynnästä ja markkinavalvonnasta (EUVL L 60, 2.3.2013, s. 52).

(27) Directive 2014/90/EU of the European Parliament and of the Council of 23 July 2014 on marine equipment and repealing Council Directive 96/98/EC (OJ L 257, 28.8.2014, p. 146).

(27) Euroopan parlamentin ja neuvoston direktiivi 2014/90/EU, annettu 23 päivänä heinäkuuta 2014, laivavarusteista ja neuvoston direktiivin 96/98/EY kumoamisesta (EUVL L 257, 28.8.2014, s. 146).

(28) Directive (EU) 2016/797 of the European Parliament and of the Council of 11 May 2016 on the interoperability of the rail system within the European Union (OJ L 138, 26.5.2016, p. 44).

(28) Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/797, annettu 11 päivänä toukokuuta 2016, rautatiejärjestelmän yhteentoimivuudesta Euroopan unionissa (EUVL L 138, 26.5.2016, s. 44).

(29) Regulation (EU) 2018/858 of the European Parliament and of the Council of 30 May 2018 on the approval and market surveillance of motor vehicles and their trailers, and of systems, components and separate technical units intended for such vehicles, amending Regulations (EC) No 715/2007 and (EC) No 595/2009 and repealing Directive 2007/46/EC (OJ L 151, 14.6.2018, p. 1).

(29) Euroopan parlamentin ja neuvoston asetus (EU) 2018/858, annettu 30 päivänä toukokuuta 2018, moottoriajoneuvojen ja niiden perävaunujen sekä tällaisiin ajoneuvoihin tarkoitettujen järjestelmien, komponenttien ja erillisten teknisten yksiköiden hyväksynnästä ja markkinavalvonnasta, asetusten (EY) N:o 715/2007 ja (EY) N:o 595/2009 muuttamisesta sekä direktiivin 2007/46/EY kumoamisesta (EUVL L 151, 14.6.2018, s. 1).

(30) Regulation (EU) 2018/1139 of the European Parliament and of the Council of 4 July 2018 on common rules in the field of civil aviation and establishing a European Union Aviation Safety Agency, and amending Regulations (EC) No 2111/2005, (EC) No 1008/2008, (EU) No 996/2010, (EU) No 376/2014 and Directives 2014/30/EU and 2014/53/EU of the European Parliament and of the Council, and repealing Regulations (EC) No 552/2004 and (EC) No 216/2008 of the European Parliament and of the Council and Council Regulation (EEC) No 3922/91 (OJ L 212, 22.8.2018, p. 1).

(30) Euroopan parlamentin ja neuvoston asetus (EU) 2018/1139, annettu 4 päivänä heinäkuuta 2018, yhteisistä siviili-ilmailua koskevista säännöistä ja Euroopan unionin lentoturvallisuusviraston perustamisesta, Euroopan parlamentin ja neuvoston asetusten (EY) N:o 2111/2005, (EY) N:o 1008/2008, (EU) N:o 996/2010, (EU) N:o 376/2014 ja direktiivien 2014/30/EU ja 2014/53/EU muuttamisesta sekä Euroopan parlamentin ja neuvoston asetusten (EY) N:o 552/2004, (EY) N:o 216/2008 ja neuvoston asetuksen (ETY) N:o 3922/91 kumoamisesta (EUVL L 212, 22.8.2018, s. 1).

(31) Regulation (EU) 2019/2144 of the European Parliament and of the Council of 27 November 2019 on type-approval requirements for motor vehicles and their trailers, and systems, components and separate technical units intended for such vehicles, as regards their general safety and the protection of vehicle occupants and vulnerable road users, amending Regulation (EU) 2018/858 of the European Parliament and of the Council and repealing Regulations (EC) No 78/2009, (EC) No 79/2009 and (EC) No 661/2009 of the European Parliament and of the Council and Commission Regulations (EC) No 631/2009, (EU) No 406/2010, (EU) No 672/2010, (EU) No 1003/2010, (EU) No 1005/2010, (EU) No 1008/2010, (EU) No 1009/2010, (EU) No 19/2011, (EU) No 109/2011, (EU) No 458/2011, (EU) No 65/2012, (EU) No 130/2012, (EU) No 347/2012, (EU) No 351/2012, (EU) No 1230/2012 and (EU) 2015/166 (OJ L 325, 16.12.2019, p. 1).

(31) Euroopan parlamentin ja neuvoston asetus (EU) 2019/2144, annettu 27 päivänä marraskuuta 2019, moottoriajoneuvojen ja niiden perävaunujen sekä näihin ajoneuvoihin tarkoitettujen järjestelmien, komponenttien ja erillisten teknisten yksiköiden tyyppihyväksyntävaatimuksista niiden yleisen turvallisuuden ja ajoneuvon matkustajien ja loukkaantumiselle alttiiden tienkäyttäjien suojelun osalta, Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/858 muuttamisesta ja asetusten (EY) N:o 78/2009, (EY) N:o 79/2009 ja (EY) N:o 661/2009 sekä komission asetusten (EY) N:o 631/2009, (EU) N:o 406/2010, (EU) N:o 672/2010, (EU) N:o 1003/2010, (EU) N:o 1005/2010, (EU) N:o 1008/2010, (EU) N:o 1009/2010, (EU) N:o 19/2011, (EU) N:o 109/2011, (EU) N:o 458/2011, (EU) N:o 65/2012, (EU) N:o 130/2012, (EU) N:o 347/2012, (EU) N:o 351/2012, (EU) N:o 1230/2012 ja (EU) 2015/166 kumoamisesta (EUVL L 325, 16.12.2019, s. 1).

(32) Regulation (EC) No 810/2009 of the European Parliament and of the Council of 13 July 2009 establishing a Community Code on Visas (Visa Code) (OJ L 243, 15.9.2009, p. 1).

(32) Euroopan parlamentin ja neuvoston asetus (EY) N:o 810/2009, annettu 13 päivänä heinäkuuta 2009, yhteisön viisumisäännöstön laatimisesta (viisumisäännöstö) (EUVL L 243, 15.9.2009, s. 1).

(33) Directive 2013/32/EU of the European Parliament and of the Council of 26 June 2013 on common procedures for granting and withdrawing international protection (OJ L 180, 29.6.2013, p. 60).

(33) Euroopan parlamentin ja neuvoston direktiivi 2013/32/EU, annettu 26 päivänä kesäkuuta 2013, kansainvälisen suojelun myöntämistä tai poistamista koskevista yhteisistä menettelyistä (EUVL L 180, 29.6.2013, s. 60).

(34) Regulation (EU) 2024/900 of the European parliament and of the Council of 13 March 2024 on the transparency and targeting of political advertising (OJ L, 2024/900, 20.3.2024, ELI: http://data.europa.eu/eli/reg/2024/900/oj).

(34) Euroopan parlamentin ja neuvoston asetus (EU) 2024/900, annettu 13 päivänä maaliskuuta 2024, poliittisen mainonnan avoimuudesta ja kohdentamisesta (EUVL L, 2024/900, 20.3.2024, ELI: http://data.europa.eu/eli/reg/2024/900/oj).

(35) Directive 2014/31/EU of the European Parliament and of the Council of 26 February 2014 on the harmonisation of the laws of the Member States relating to the making available on the market of non-automatic weighing instruments (OJ L 96, 29.3.2014, p. 107).

(35) Euroopan parlamentin ja neuvoston direktiivi 2014/31/EU, annettu 26 päivänä helmikuuta 2014, muiden kuin automaattisten vaakojen asettamista saataville markkinoilla koskevan jäsenvaltioiden lainsäädännön yhdenmukaistamisesta (EUVL L 96, 29.3.2014, s. 107).

(36) Directive 2014/32/EU of the European Parliament and of the Council of 26 February 2014 on the harmonisation of the laws of the Member States relating to the making available on the market of measuring instruments (OJ L 96, 29.3.2014, p. 149).

(36) Euroopan parlamentin ja neuvoston direktiivi 2014/32/EU, annettu 26 päivänä helmikuuta 2014, mittauslaitteiden asettamista saataville markkinoilla koskevan jäsenvaltioiden lainsäädännön yhdenmukaistamisesta (EUVL L 96, 29.3.2014, s. 149).

(37) Regulation (EU) 2019/881 of the European Parliament and of the Council of 17 April 2019 on ENISA (the European Union Agency for Cybersecurity) and on information and communications technology cybersecurity certification and repealing Regulation (EU) No 526/2013 (Cybersecurity Act) (OJ L 151, 7.6.2019, p. 15).

(37) Euroopan parlamentin ja neuvoston asetus (EU) 2019/881, annettu 17 päivänä huhtikuuta 2019, Euroopan unionin kyberturvallisuusvirasto ENISAsta ja tieto- ja viestintätekniikan kyberturvallisuussertifioinnista sekä asetuksen (EU) N:o 526/2013 kumoamisesta (kyberturvallisuusasetus) (EUVL L 151, 7.6.2019, s. 15).

(38) Directive (EU) 2016/2102 of the European Parliament and of the Council of 26 October 2016 on the accessibility of the websites and mobile applications of public sector bodies (OJ L 327, 2.12.2016, p. 1).

(38) Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/2102, annettu 26 päivänä lokakuuta 2016, julkisen sektorin elinten verkkosivustojen ja mobiilisovellusten saavutettavuudesta (EUVL L 327, 2.12.2016, s. 1).

(39) Directive 2002/14/EC of the European Parliament and of the Council of 11 March 2002 establishing a general framework for informing and consulting employees in the European Community (OJ L 80, 23.3.2002, p. 29).

(39) Euroopan parlamentin ja neuvoston direktiivi 2002/14/EY, annettu 11. päivänä maaliskuuta 2002, työntekijöille tiedottamista ja heidän kuulemistaan koskevista yleisistä puitteista Euroopan yhteisössä (EYVL L 80, 23.3.2002, s. 29).

(40) Directive (EU) 2019/790 of the European Parliament and of the Council of 17 April 2019 on copyright and related rights in the Digital Single Market and amending Directives 96/9/EC and 2001/29/EC (OJ L 130, 17.5.2019, p. 92).

(40) Euroopan parlamentin ja neuvoston direktiivi (EU) 2019/790, annettu 17 päivänä huhtikuuta 2019, tekijänoikeudesta ja lähioikeuksista digitaalisilla sisämarkkinoilla ja direktiivien 96/9/EY ja 2001/29/EY muuttamisesta (EUVL L 130, 17.5.2019, s. 92).

(41) Regulation (EU) No 1025/2012 of the European Parliament and of the Council of 25 October 2012 on European standardisation, amending Council Directives 89/686/EEC and 93/15/EEC and Directives 94/9/EC, 94/25/EC, 95/16/EC, 97/23/EC, 98/34/EC, 2004/22/EC, 2007/23/EC, 2009/23/EC and 2009/105/EC of the European Parliament and of the Council and repealing Council Decision 87/95/EEC and Decision No 1673/2006/EC of the European Parliament and of the Council (OJ L 316, 14.11.2012, p. 12).

(41) Euroopan parlamentin ja neuvoston asetus (EU) N:o 1025/2012, annettu 25 päivänä lokakuuta 2012, eurooppalaisesta standardoinnista, neuvoston direktiivien 89/686/ETY ja 93/15/ETY sekä Euroopan parlamentin ja neuvoston direktiivien 94/9/EY, 94/25/EY, 95/16/EY, 97/23/EY, 98/34/EY, 2004/22/EY, 2007/23/EY, 2009/23/EY ja 2009/105/EY muuttamisesta ja neuvoston päätöksen 87/95/ETY ja Euroopan parlamentin ja neuvoston päätöksen N:o 1673/2006/EY kumoamisesta (EUVL L 316, 14.11.2012, s. 12).

(42) Regulation (EU) 2022/868 of the European Parliament and of the Council of 30 May 2022 on European data governance and amending Regulation (EU) 2018/1724 (Data Governance Act) (OJ L 152, 3.6.2022, p. 1).

(42) Euroopan parlamentin ja neuvoston asetus (EU) 2022/868, annettu 30 päivänä toukokuuta 2022, eurooppalaisen datan hallinnoinnista ja asetuksen (EU) 2018/1724 muuttamisesta (datanhallinta-asetus) (EUVL L 152, 3.6.2022, s. 1).

(43) Regulation (EU) 2023/2854 of the European Parliament and of the Council of 13 December 2023 on harmonised rules on fair access to and use of data and amending Regulation (EU) 2017/2394 and Directive (EU) 2020/1828 (Data Act) (OJ L, 2023/2854, 22.12.2023, ELI: http://data.europa.eu/eli/reg/2023/2854/oj).

(43) Euroopan parlamentin ja neuvoston asetus (EU) 2023/2854, annettu 13 päivänä joulukuuta 2023, datan oikeudenmukaista saatavuutta ja käyttöä koskevista yhdenmukaisista säännöistä sekä asetuksen (EU) 2017/2394 ja direktiivin (EU) 2020/1828 muuttamisesta (datasäädös) (EUVL L, 2023/2854, 22.12.2023, ELI: http://data.europa.eu/eli/reg/2023/2854/oj.

(44) Commission Recommendation of 6 May 2003 concerning the definition of micro, small and medium-sized enterprises (OJ L 124, 20.5.2003, p. 36).

(44) Komission suositus, annettu 6 päivänä toukokuuta 2003, mikroyritysten sekä pienten ja keskisuurten yritysten määritelmästä (EUVL L 124, 20.5.2003, s. 36).

(45) Commission Decision of 24.1.2024 establishing the European Artificial Intelligence Office C(2024) 390.

(45) Komission päätös, annettu 24 päivänä tammikuuta 2024, Euroopan tekoälytoimiston perustamisesta (C(2024) 390).

(46) Regulation (EU) No 575/2013 of the European Parliament and of the Council of 26 June 2013 on prudential requirements for credit institutions and investment firms and amending Regulation (EU) No 648/2012 (OJ L 176, 27.6.2013, p. 1).

(46) Euroopan parlamentin ja neuvoston asetus (EU) N:o 575/2013, annettu 26 päivänä kesäkuuta 2013, luottolaitosten ja sijoituspalveluyritysten vakavaraisuusvaatimuksista ja asetuksen (EU) N:o 648/2012 muuttamisesta (EUVL L 176, 27.6.2013, s. 1).

(47) Directive 2008/48/EC of the European Parliament and of the Council of 23 April 2008 on credit agreements for consumers and repealing Council Directive 87/102/EEC (OJ L 133, 22.5.2008, p. 66).

(47) Euroopan parlamentin ja neuvoston direktiivi 2008/48/EY, annettu 23 päivänä huhtikuuta 2008, kulutusluottosopimuksista ja neuvoston direktiivin 87/102/ETY kumoamisesta (EUVL L 133, 22.5.2008, s. 66).

(48) Directive 2009/138/EC of the European Parliament and of the Council of 25 November 2009 on the taking-up and pursuit of the business of Insurance and Reinsurance (Solvency II) (OJ L 335, 17.12.2009, p. 1).

(48) Euroopan parlamentin ja neuvoston direktiivi 2009/138/EY, annettu 25 päivänä marraskuuta 2009, vakuutus- ja jälleenvakuutustoiminnan aloittamisesta ja harjoittamisesta (Solvenssi II) (EUVL L 335, 17.12.2009, s. 1).

(49) Directive 2013/36/EU of the European Parliament and of the Council of 26 June 2013 on access to the activity of credit institutions and the prudential supervision of credit institutions and investment firms, amending Directive 2002/87/EC and repealing Directives 2006/48/EC and 2006/49/EC (OJ L 176, 27.6.2013, p. 338).

(49) Euroopan parlamentin ja neuvoston direktiivi 2013/36/EU, annettu 26 päivänä kesäkuuta 2013, oikeudesta harjoittaa luottolaitostoimintaa ja luottolaitosten ja sijoituspalveluyritysten vakavaraisuusvalvonnasta, direktiivin 2002/87/EY muuttamisesta sekä direktiivien 2006/48/EY ja 2006/49/EY kumoamisesta (EUVL L 176, 27.6.2013, s. 338).

(50) Directive 2014/17/EU of the European Parliament and of the Council of 4 February 2014 on credit agreements for consumers relating to residential immovable property and amending Directives 2008/48/EC and 2013/36/EU and Regulation (EU) No 1093/2010 (OJ L 60, 28.2.2014, p. 34).

(50) Euroopan parlamentin ja neuvoston direktiivi 2014/17/EU, annettu 4 päivänä helmikuuta 2014, kuluttajille tarkoitetuista kiinteää asunto-omaisuutta koskevista luottosopimuksista ja direktiivien 2008/48/EY ja 2013/36/EU sekä asetuksen (EU) N:o 1093/2010 muuttamisesta (EUVL L 60, 28.2.2014, s. 34).

(51) Directive (EU) 2016/97 of the European Parliament and of the Council of 20 January 2016 on insurance distribution (OJ L 26, 2.2.2016, p. 19).

(51) Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/97, annettu 20 päivänä tammikuuta 2016, vakuutusten tarjoamisesta (EUVL L 26, 2.2.2016, s. 19).

(52) Council Regulation (EU) No 1024/2013 of 15 October 2013 conferring specific tasks on the European Central Bank concerning policies relating to the prudential supervision of credit institutions (OJ L 287, 29.10.2013, p. 63).

(52) Neuvoston asetus (EU) N:o 1024/2013, annettu 15 päivänä lokakuuta 2013, luottolaitosten vakavaraisuusvalvontaan liittyvää politiikkaa koskevien erityistehtävien antamisesta Euroopan keskuspankille (EUVL L 287, 29.10.2013, s. 63).

(53) Regulation (EU) 2023/988 of the European Parliament and of the Council of 10 May 2023 on general product safety, amending Regulation (EU) No 1025/2012 of the European Parliament and of the Council and Directive (EU) 2020/1828 of the European Parliament and the Council, and repealing Directive 2001/95/EC of the European Parliament and of the Council and Council Directive 87/357/EEC (OJ L 135, 23.5.2023, p. 1).

(53) Euroopan parlamentin ja neuvoston asetus (EU) 2023/988, annettu 10 päivänä toukokuuta 2023, yleisestä tuoteturvallisuudesta, Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 1025/2012 ja Euroopan parlamentin ja neuvoston direktiivin (EU) 2020/1828 muuttamisesta sekä Euroopan parlamentin ja neuvoston direktiivin 2001/95/EY ja neuvoston direktiivin 87/357/ETY kumoamisesta (EUVL L 135, 23.5.2023, s. 1).

(54) Directive (EU) 2019/1937 of the European Parliament and of the Council of 23 October 2019 on the protection of persons who report breaches of Union law (OJ L 305, 26.11.2019, p. 17).

(54) Euroopan parlamentin ja neuvoston direktiivi (EU) 2019/1937, annettu 23 päivänä lokakuuta 2019, unionin oikeuden rikkomisesta ilmoittavien henkilöiden suojelusta (EUVL L 305, 26.11.2019, s. 17).

(55) OJ L 123, 12.5.2016, p. 1.

(55) EUVL L 123, 12.5.2016, s. 1.

(56) Regulation (EU) No 182/2011 of the European Parliament and of the Council of 16 February 2011 laying down the rules and general principles concerning mechanisms for control by Member States of the Commission’s exercise of implementing powers (OJ L 55, 28.2.2011, p. 13).

(56) Yleisistä säännöistä ja periaatteista, joiden mukaisesti jäsenvaltiot valvovat komission täytäntöönpanovallan käyttöä, 16 päivänä helmikuuta 2011 annettu Euroopan parlamentin ja neuvoston asetus (EU) N:o 182/2011 (EUVL L 55, 28.2.2011, s. 13).

(57) Directive (EU) 2016/943 of the European Parliament and of the Council of 8 June 2016 on the protection of undisclosed know-how and business information (trade secrets) against their unlawful acquisition, use and disclosure (OJ L 157, 15.6.2016, p. 1).

(57) Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/943, annettu 8 päivänä kesäkuuta 2016, julkistamattoman taitotiedon ja liiketoimintatiedon (liikesalaisuuksien) suojaamisesta laittomalta hankinnalta, käytöltä ja ilmaisemiselta (EUVL L 157, 15.6.2016, s. 1).

(58) Directive (EU) 2020/1828 of the European Parliament and of the Council of 25 November 2020 on representative actions for the protection of the collective interests of consumers and repealing Directive 2009/22/EC (OJ L 409, 4.12.2020, p. 1).

(58) Euroopan parlamentin ja neuvoston direktiivi (EU) 2020/1828, annettu 25 päivänä marraskuuta 2020, kuluttajien yhteisten etujen suojaamiseksi nostettavista edustajakanteista ja direktiivin 2009/22/EY kumoamisesta (EUVL L 409, 4.12.2020, s. 1).

ANNEX I

LIITE I

List of Union harmonisation legislation

Luettelo unionin yhdenmukaistamislainsäädännöstä

Section A. List of Union harmonisation legislation based on the New Legislative Framework

A jakso – Luettelo uuteen lainsäädäntökehykseen perustuvasta unionin yhdenmukaistamislainsäädännöstä

Directive 2006/42/EC of the European Parliament and of the Council of 17 May 2006 on machinery, and amending Directive 95/16/EC (OJ L 157, 9.6.2006, p. 24);

Euroopan parlamentin ja neuvoston direktiivi 2006/42/EY, annettu 17 päivänä toukokuuta 2006, koneista ja direktiivin 95/16/EY muuttamisesta (EUVL L 157, 9.6.2006, s. 24);

Directive 2009/48/EC of the European Parliament and of the Council of 18 June 2009 on the safety of toys (OJ L 170, 30.6.2009, p. 1);

Euroopan parlamentin ja neuvoston direktiivi 2009/48/EY, annettu 18 päivänä kesäkuuta 2009, lelujen turvallisuudesta (EUVL L 170, 30.6.2009, s. 1);

Directive 2013/53/EU of the European Parliament and of the Council of 20 November 2013 on recreational craft and personal watercraft and repealing Directive 94/25/EC (OJ L 354, 28.12.2013, p. 90);

Euroopan parlamentin ja neuvoston direktiivi 2013/53/EU, annettu 20 päivänä marraskuuta 2013, huviveneistä ja vesiskoottereista sekä direktiivin 94/25/EY kumoamisesta (EUVL L 354, 28.12.2013, s. 90);

Directive 2014/33/EU of the European Parliament and of the Council of 26 February 2014 on the harmonisation of the laws of the Member States relating to lifts and safety components for lifts (OJ L 96, 29.3.2014, p. 251);

Euroopan parlamentin ja neuvoston direktiivi 2014/33/EU, annettu 26 päivänä helmikuuta 2014, hissejä ja hissien turvakomponentteja koskevan jäsenvaltioiden lainsäädännön yhdenmukaistamisesta (EUVL L 96, 29.3.2014, s. 251);

Directive 2014/34/EU of the European Parliament and of the Council of 26 February 2014 on the harmonisation of the laws of the Member States relating to equipment and protective systems intended for use in potentially explosive atmospheres (OJ L 96, 29.3.2014, p. 309);

Euroopan parlamentin ja neuvoston direktiivi 2014/34/EU, annettu 26 päivänä helmikuuta 2014, räjähdysvaarallisissa tiloissa käytettäviksi tarkoitettuja laitteita ja suojajärjestelmiä koskevan jäsenvaltioiden lainsäädännön yhdenmukaistamisesta (EUVL L 96, 29.3.2014, s. 309);

Directive 2014/53/EU of the European Parliament and of the Council of 16 April 2014 on the harmonisation of the laws of the Member States relating to the making available on the market of radio equipment and repealing Directive 1999/5/EC (OJ L 153, 22.5.2014, p. 62);

Euroopan parlamentin ja neuvoston direktiivi 2014/53/EU, annettu 16 päivänä huhtikuuta 2014, radiolaitteiden asettamista saataville markkinoilla koskevan jäsenvaltioiden lainsäädännön yhdenmukaistamisesta ja direktiivin 1999/5/EY kumoamisesta (EUVL L 153, 22.5.2014, s. 62);

Directive 2014/68/EU of the European Parliament and of the Council of 15 May 2014 on the harmonisation of the laws of the Member States relating to the making available on the market of pressure equipment (OJ L 189, 27.6.2014, p. 164);

Euroopan parlamentin ja neuvoston direktiivi 2014/68/EU, annettu 15 päivänä toukokuuta 2014, painelaitteiden asettamista saataville markkinoilla koskevan jäsenvaltioiden lainsäädännön yhdenmukaistamisesta (EUVL L 189, 27.6.2014, s. 164);

Regulation (EU) 2016/424 of the European Parliament and of the Council of 9 March 2016 on cableway installations and repealing Directive 2000/9/EC (OJ L 81, 31.3.2016, p. 1);

Euroopan parlamentin ja neuvoston asetus (EU) 2016/424, annettu 9 päivänä maaliskuuta 2016, köysiratalaitteistoista ja direktiivin 2000/9/EY kumoamisesta (EUVL L 81, 31.3.2016, s. 1);

Regulation (EU) 2016/425 of the European Parliament and of the Council of 9 March 2016 on personal protective equipment and repealing Council Directive 89/686/EEC (OJ L 81, 31.3.2016, p. 51);

Euroopan parlamentin ja neuvoston asetus (EU) 2016/425, annettu 9 päivänä maaliskuuta 2016, henkilönsuojaimista ja neuvoston direktiivin 89/686/ETY kumoamisesta (EUVL L 81, 31.3.2016, s. 51);

10.

Regulation (EU) 2016/426 of the European Parliament and of the Council of 9 March 2016 on appliances burning gaseous fuels and repealing Directive 2009/142/EC (OJ L 81, 31.3.2016, p. 99);

10.

Euroopan parlamentin ja neuvoston asetus (EU) 2016/426, annettu 9 päivänä maaliskuuta 2016, kaasumaisia polttoaineita polttavista laitteista ja direktiivin 2009/142/EY kumoamisesta (EUVL L 81, 31.3.2016, s. 99);

11.

Regulation (EU) 2017/745 of the European Parliament and of the Council of 5 April 2017 on medical devices, amending Directive 2001/83/EC, Regulation (EC) No 178/2002 and Regulation (EC) No 1223/2009 and repealing Council Directives 90/385/EEC and 93/42/EEC (OJ L 117, 5.5.2017, p. 1);

11.

Euroopan parlamentin ja neuvoston asetus (EU) 2017/745, annettu 5 päivänä huhtikuuta 2017, lääkinnällisistä laitteista, direktiivin 2001/83/EY, asetuksen (EY) N:o 178/2002 ja asetuksen (EY) N:o 1223/2009 muuttamisesta sekä neuvoston direktiivien 90/385/ETY ja 93/42/ETY kumoamisesta (EUVL L 117, 5.5.2017, s. 1);

12.

Regulation (EU) 2017/746 of the European Parliament and of the Council of 5 April 2017 on in vitro diagnostic medical devices and repealing Directive 98/79/EC and Commission Decision 2010/227/EU (OJ L 117, 5.5.2017, p. 176).

12.

Euroopan parlamentin ja neuvoston asetus (EU) 2017/746, annettu 5 päivänä huhtikuuta 2017, in vitro -diagnostiikkaan tarkoitetuista lääkinnällisistä laitteista sekä direktiivin 98/79/EY ja komission päätöksen 2010/227/EU kumoamisesta (EUVL L 117, 5.5.2017, s. 176).

Section B. List of other Union harmonisation legislation

B jakso – Luettelo muusta unionin yhdenmukaistamislainsäädännöstä

13.

Regulation (EC) No 300/2008 of the European Parliament and of the Council of 11 March 2008 on common rules in the field of civil aviation security and repealing Regulation (EC) No 2320/2002 (OJ L 97, 9.4.2008, p. 72);

13.

Euroopan parlamentin ja neuvoston asetus (EY) N:o 300/2008, annettu 11 päivänä maaliskuuta 2008, yhteisistä siviili-ilmailun turvaamista koskevista säännöistä ja asetuksen (EY) N:o 2320/2002 kumoamisesta (EUVL L 97, 9.4.2008, s. 72);

14.

Regulation (EU) No 168/2013 of the European Parliament and of the Council of 15 January 2013 on the approval and market surveillance of two- or three-wheel vehicles and quadricycles (OJ L 60, 2.3.2013, p. 52);

14.

Euroopan parlamentin ja neuvoston asetus (EU) N:o 168/2013, annettu 15 päivänä tammikuuta 2013, kaksi- ja kolmipyöräisten ajoneuvojen ja nelipyörien hyväksynnästä ja markkinavalvonnasta (EUVL L 60, 2.3.2013, s. 52);

15.

Regulation (EU) No 167/2013 of the European Parliament and of the Council of 5 February 2013 on the approval and market surveillance of agricultural and forestry vehicles (OJ L 60, 2.3.2013, p. 1);

15.

Euroopan parlamentin ja neuvoston asetus (EU) N:o 167/2013, annettu 5 päivänä helmikuuta 2013, maa- ja metsätaloudessa käytettävien ajoneuvojen hyväksynnästä ja markkinavalvonnasta (EUVL L 60, 2.3.2013, s. 1);

16.

Directive 2014/90/EU of the European Parliament and of the Council of 23 July 2014 on marine equipment and repealing Council Directive 96/98/EC (OJ L 257, 28.8.2014, p. 146);

16.

Euroopan parlamentin ja neuvoston direktiivi 2014/90/EU, annettu 23 päivänä heinäkuuta 2014, laivavarusteista ja neuvoston direktiivin 96/98/EY kumoamisesta (EUVL L 257, 28.8.2014, s. 146);

17.

Directive (EU) 2016/797 of the European Parliament and of the Council of 11 May 2016 on the interoperability of the rail system within the European Union (OJ L 138, 26.5.2016, p. 44);

17.

Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/797, annettu 11 päivänä toukokuuta 2016, rautatiejärjestelmän yhteentoimivuudesta Euroopan unionissa (EUVL L 138, 26.5.2016, s. 44);

18.

Regulation (EU) 2018/858 of the European Parliament and of the Council of 30 May 2018 on the approval and market surveillance of motor vehicles and their trailers, and of systems, components and separate technical units intended for such vehicles, amending Regulations (EC) No 715/2007 and (EC) No 595/2009 and repealing Directive 2007/46/EC (OJ L 151, 14.6.2018, p. 1);

18.

Euroopan parlamentin ja neuvoston asetus (EU) 2018/858, annettu 30 päivänä toukokuuta 2018, moottoriajoneuvojen ja niiden perävaunujen sekä tällaisiin ajoneuvoihin tarkoitettujen järjestelmien, komponenttien ja erillisten teknisten yksiköiden hyväksynnästä ja markkinavalvonnasta, asetusten (EY) N:o 715/2007 ja (EY) N:o 595/2009 muuttamisesta sekä direktiivin 2007/46/EY kumoamisesta (EUVL L 151, 14.6.2018, s. 1);

19.

Regulation (EU) 2019/2144 of the European Parliament and of the Council of 27 November 2019 on type-approval requirements for motor vehicles and their trailers, and systems, components and separate technical units intended for such vehicles, as regards their general safety and the protection of vehicle occupants and vulnerable road users, amending Regulation (EU) 2018/858 of the European Parliament and of the Council and repealing Regulations (EC) No 78/2009, (EC) No 79/2009 and (EC) No 661/2009 of the European Parliament and of the Council and Commission Regulations (EC) No 631/2009, (EU) No 406/2010, (EU) No 672/2010, (EU) No 1003/2010, (EU) No 1005/2010, (EU) No 1008/2010, (EU) No 1009/2010, (EU) No 19/2011, (EU) No 109/2011, (EU) No 458/2011, (EU) No 65/2012, (EU) No 130/2012, (EU) No 347/2012, (EU) No 351/2012, (EU) No 1230/2012 and (EU) 2015/166 (OJ L 325, 16.12.2019, p. 1);

19.

Euroopan parlamentin ja neuvoston asetus (EU) 2019/2144, annettu 27 päivänä marraskuuta 2019, moottoriajoneuvojen ja niiden perävaunujen sekä näihin ajoneuvoihin tarkoitettujen järjestelmien, komponenttien ja erillisten teknisten yksiköiden tyyppihyväksyntävaatimuksista niiden yleisen turvallisuuden ja ajoneuvon matkustajien ja loukkaantumiselle alttiiden tienkäyttäjien suojelun osalta, Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/858 muuttamisesta ja Euroopan parlamentin ja neuvoston asetusten (EY) N:o 78/2009, (EY) N:o 79/2009 ja (EY) N:o 661/2009 sekä komission asetusten (EY) N:o 631/2009, (EU) N:o 406/2010, (EU) N:o 672/2010, (EU) N:o 1003/2010, (EU) N:o 1005/2010, (EU) N:o 1008/2010, (EU) N:o 1009/2010, (EU) N:o 19/2011, (EU) N:o 109/2011, (EU) N:o 458/2011, (EU) N:o 65/2012, (EU) N:o 130/2012, (EU) N:o 347/2012, (EU) N:o 351/2012, (EU) N:o 1230/2012 ja (EU) 2015/166 kumoamisesta (EUVL L 325, 16.12.2019, s. 1);

20.

Regulation (EU) 2018/1139 of the European Parliament and of the Council of 4 July 2018 on common rules in the field of civil aviation and establishing a European Union Aviation Safety Agency, and amending Regulations (EC) No 2111/2005, (EC) No 1008/2008, (EU) No 996/2010, (EU) No 376/2014 and Directives 2014/30/EU and 2014/53/EU of the European Parliament and of the Council, and repealing Regulations (EC) No 552/2004 and (EC) No 216/2008 of the European Parliament and of the Council and Council Regulation (EEC) No 3922/91 (OJ L 212, 22.8.2018, p. 1), in so far as the design, production and placing on the market of aircrafts referred to in Article 2(1), points (a) and (b) thereof, where it concerns unmanned aircraft and their engines, propellers, parts and equipment to control them remotely, are concerned.

20.

Euroopan parlamentin ja neuvoston asetus (EU) 2018/1139, annettu 4 päivänä heinäkuuta 2018, yhteisistä siviili-ilmailua koskevista säännöistä ja Euroopan unionin lentoturvallisuusviraston perustamisesta, Euroopan parlamentin ja neuvoston asetusten (EY) N:o 2111/2005, (EY) N:o 1008/2008, (EU) N:o 996/2010, (EU) N:o 376/2014 ja direktiivien 2014/30/EU ja 2014/53/EU muuttamisesta sekä Euroopan parlamentin ja neuvoston asetusten (EY) N:o 552/2004, (EY) N:o 216/2008 ja neuvoston asetuksen (ETY) N:o 3922/91 kumoamisesta (EUVL L 212, 22.8.2018, s. 1), siltä osin kuin on kyse sen 2 artiklan 1 kohdan a ja b alakohdassa tarkoitettujen ilma-alusten, kun kyse on miehittämättömistä ilma-aluksista, ja niiden moottoreiden, potkureiden, osien ja etäohjauslaitteiden suunnittelusta, valmistuksesta ja huollosta.

ANNEX II

LIITE II

List of criminal offences referred to in Article 5(1), first subparagraph, point (h)(iii)

Luettelo 5 artiklan 1 kohdan ensimmäisen alakohdan h alakohdan iii alakohdassa tarkoitetuista rikoksista

Criminal offences referred to in Article 5(1), first subparagraph, point (h)(iii):

5 artiklan 1 kohdan ensimmäisen alakohdan h alakohdan iii alakohdassa tarkoitetut rikokset:

—

terrorism,

—

terrorismi,

—

trafficking in human beings,

—

ihmiskauppa,

—

sexual exploitation of children, and child pornography,

—

lasten seksuaalinen riisto ja lapsipornografia,

—

illicit trafficking in narcotic drugs or psychotropic substances,

—

huumausaineiden tai psykotrooppisten aineiden laiton kauppa,

—

illicit trafficking in weapons, munitions or explosives,

—

aseiden, ampumatarvikkeiden tai räjähteiden laiton kauppa,

—

murder, grievous bodily injury,

—

tahallinen henkirikos, vakava pahoinpitely ja vakavan ruumiinvamman aiheuttaminen,

—

illicit trade in human organs or tissue,

—

ihmisen elinten tai kudosten laiton kauppa,

—

illicit trafficking in nuclear or radioactive materials,

—

ydin- ja radioaktiivisten aineiden laiton kauppa,

—

kidnapping, illegal restraint or hostage-taking,

—

ihmisryöstö, vapaudenriisto tai panttivangiksi ottaminen,

—

crimes within the jurisdiction of the International Criminal Court,

—

kansainvälisen rikostuomioistuimen tuomiovaltaan kuuluvat rikokset,

—

unlawful seizure of aircraft or ships,

—

ilma-aluksen tai aluksen kaappaus,

—

rape,

—

raiskaus,

—

environmental crime,

—

ympäristörikollisuus,

—

organised or armed robbery,

—

järjestäytynyt varkausrikollisuus tai aseellinen ryöstö,

—

sabotage,

—

tuhotyö,

—

participation in a criminal organisation involved in one or more of the offences listed above.

—

osallistuminen rikollisjärjestöön, joka on osallistunut yhteen tai useampaan edellä lueteltuun rikokseen.

ANNEX III

LIITE III

High-risk AI systems referred to in Article 6(2)

6 artiklan 2 kohdassa tarkoitetut suuririskiset tekoälyjärjestelmät

High-risk AI systems pursuant to Article 6(2) are the AI systems listed in any of the following areas:

Tämän asetuksen 6 artiklan 2 kohdan mukaisia suuririskisiä tekoälyjärjestelmiä ovat seuraavilla aloilla luetellut tekoälyjärjestelmät:

Biometrics, in so far as their use is permitted under relevant Union or national law:

Biometriset tunnisteet, jos niiden käyttö on sallittua asiaa koskevan unionin tai kansallisen lainsäädännön nojalla:

(a)

remote biometric identification systems.

Biometriset etätunnistusjärjestelmät.

This shall not include AI systems intended to be used for biometric verification the sole purpose of which is to confirm that a specific natural person is the person he or she claims to be;

Tähän ei lueta tekoälyjärjestelmiä, jotka on tarkoitettu käytettäviksi biometriseen todennukseen ja joiden ainoana tarkoituksena on vahvistaa, että tietty luonnollinen henkilö on se henkilö, joka hän väittää olevansa;

(b)

AI systems intended to be used for biometric categorisation, according to sensitive or protected attributes or characteristics based on the inference of those attributes or characteristics;

Tekoälyjärjestelmät, jotka on tarkoitettu käytettäviksi biometriseen luokitteluun arkaluonteisten tai suojattujen ominaisuuksien tai ominaispiirteiden mukaisesti kyseisten ominaisuuksien tai ominaispiirteiden päättelyn perusteella;

(c)

AI systems intended to be used for emotion recognition.

Tekoälyjärjestelmät, jotka on tarkoitettu tunteiden tunnistamiseen.

Critical infrastructure: AI systems intended to be used as safety components in the management and operation of critical digital infrastructure, road traffic, or in the supply of water, gas, heating or electricity.

Kriittinen infrastruktuuri: Tekoälyjärjestelmät, jotka on tarkoitettu käytettäviksi turvakomponentteina kriittisen digitaalisen infrastruktuurin, tieliikenteen tai vesi-, kaasu-, lämmitys- tai sähköhuollon hallinnassa ja toiminnassa.

Education and vocational training:

Yleissivistävä ja ammatillinen koulutus:

(a)

AI systems intended to be used to determine access or admission or to assign natural persons to educational and vocational training institutions at all levels;

Tekoälyjärjestelmät, jotka on tarkoitettu käytettäviksi määritettäessä luonnollisten henkilöiden pääsyä tai hyväksymistä yleissivistäviin ja ammatillisiin oppilaitoksiin kaikilla tasoilla tai osoitettaessa luonnollisia henkilöitä niihin;

(b)

AI systems intended to be used to evaluate learning outcomes, including when those outcomes are used to steer the learning process of natural persons in educational and vocational training institutions at all levels;

Tekoälyjärjestelmät, jotka on tarkoitettu käytettäviksi arvioitaessa oppimistuloksia, myös silloin kun kyseisiä tuloksia käytetään luonnollisten henkilöiden oppimisprosessin ohjaamiseksi yleissivistävissä ja ammatillisissa oppilaitoksissa kaikilla tasoilla;

(c)

AI systems intended to be used for the purpose of assessing the appropriate level of education that an individual will receive or will be able to access, in the context of or within educational and vocational training institutions at all levels;

Tekoälyjärjestelmät, jotka on tarkoitettu käytettäviksi sen asianmukaisen koulutustason arviointiin, jonka henkilö saa tai johon hän voi päästä yleissivistävissä ja ammatillisissa oppilaitoksissa tai niiden yhteydessä kaikilla tasoilla;

(d)

AI systems intended to be used for monitoring and detecting prohibited behaviour of students during tests in the context of or within educational and vocational training institutions at all levels.

Tekoälyjärjestelmät, jotka on tarkoitettu käytettäviksi opiskelijoiden tarkkailuun ja kielletyn käyttäytymisen havaitsemiseen kokeiden aikana yleissivistävissä ja ammatillisissa oppilaitoksissa tai niiden yhteydessä kaikilla tasoilla.

Employment, workers’ management and access to self-employment:

Työllistäminen, henkilöstöhallinto ja itsenäisen ammatinharjoittamisen mahdollistaminen:

(a)

AI systems intended to be used for the recruitment or selection of natural persons, in particular to place targeted job advertisements, to analyse and filter job applications, and to evaluate candidates;

Tekoälyjärjestelmät, jotka on tarkoitettu käytettäviksi luonnollisten henkilöiden rekrytoinnissa tai valinnassa, erityisesti kohdennettujen työpaikkailmoitusten esittämiseen, työhakemusten analysointiin ja suodattamiseen sekä hakijoiden arviointiin;

(b)

AI systems intended to be used to make decisions affecting terms of work-related relationships, the promotion or termination of work-related contractual relationships, to allocate tasks based on individual behaviour or personal traits or characteristics or to monitor and evaluate the performance and behaviour of persons in such relationships.

Tekoälyjärjestelmät, jotka on tarkoitettu käytettäviksi työsuhteen ehtoja, uralla etenemistä ja työhön liittyvien sopimussuhteiden päättämistä koskevien päätösten tekemiseen, tehtävien jakamiseen yksilöllisen käytöksen tai personallisuuspiirteiden tai henkilön ominaisuuksien perusteella tai tällaisissa suhteissa olevien henkilöiden suorituksen ja käyttäytymisen seurantaan ja arviointiin.

Access to and enjoyment of essential private services and essential public services and benefits:

Välttämättömien yksityisten palvelujen ja välttämättömien julkisten palvelujen ja etuuksien saatavuus ja käyttö:

(a)

AI systems intended to be used by public authorities or on behalf of public authorities to evaluate the eligibility of natural persons for essential public assistance benefits and services, including healthcare services, as well as to grant, reduce, revoke, or reclaim such benefits and services;

Tekoälyjärjestelmät, jotka on tarkoitettu käytettäviksi viranomaisten toimesta tai viranomaisten puolesta sen arviointiin, ovatko luonnolliset henkilöt oikeutettuja välttämättömiin julkisen avun etuuksiin ja palveluihin, kuten terveydenhuollon palveluihin, sekä tällaisten etuuksien ja palvelujen myöntämiseen, vähentämiseen, peruuttamiseen tai takaisin perimiseen;

(b)

AI systems intended to be used to evaluate the creditworthiness of natural persons or establish their credit score, with the exception of AI systems used for the purpose of detecting financial fraud;

Tekoälyjärjestelmät, jotka on tarkoitettu käytettäviksi luonnollisten henkilöiden luottokelpoisuuden arviointiin tai heidän luottopisteytyksensä määrittämiseen, lukuun ottamatta tekoälyjärjestelmiä, jotka on tarkoitettu käytettäviksi talouspetosten havaitsemiseen;

(c)

AI systems intended to be used for risk assessment and pricing in relation to natural persons in the case of life and health insurance;

Tekoälyjärjestelmät, jotka on tarkoitettu käytettäviksi luonnollisia henkilöitä koskevaan riskinarviointiin ja hinnoitteluun sairaus- ja henkivakuutusten tapauksessa;

(d)

AI systems intended to evaluate and classify emergency calls by natural persons or to be used to dispatch, or to establish priority in the dispatching of, emergency first response services, including by police, firefighters and medical aid, as well as of emergency healthcare patient triage systems.

Tekoälyjärjestelmät, joilla on tarkoitus arvioida ja luokitella luonnollisten henkilöiden soittamia hätäpuheluja tai jotka on tarkoitettu käytettäviksi pelastus- ja ensihoitopalvelujen lähettämisessä tai tärkeysjärjestyksen määrittämisessä, mukaan lukien poliisi, palokunta ja lääkintäapu, sekä kiireellistä sairaanhoitoa tarvitsevien potilaiden luokittelussa.

Law enforcement, in so far as their use is permitted under relevant Union or national law:

Lainvalvonta, jos niiden käyttö on sallittua asiaa koskevan unionin tai kansallisen lainsäädännön nojalla:

(a)

AI systems intended to be used by or on behalf of law enforcement authorities, or by Union institutions, bodies, offices or agencies in support of law enforcement authorities or on their behalf to assess the risk of a natural person becoming the victim of criminal offences;

(b)

AI systems intended to be used by or on behalf of law enforcement authorities or by Union institutions, bodies, offices or agencies in support of law enforcement authorities as polygraphs or similar tools;

Tekoälyjärjestelmät, joita on tarkoitus käyttää valheenpaljastimina ja vastaavina välineinä lainvalvontaviranomaisten toimesta tai niiden puolesta tai unionin toimielinten, elinten, toimistojen tai virastojen toimesta lainvalvontaviranomaisten tueksi;

(c)

AI systems intended to be used by or on behalf of law enforcement authorities, or by Union institutions, bodies, offices or agencies, in support of law enforcement authorities to evaluate the reliability of evidence in the course of the investigation or prosecution of criminal offences;

Tekoälyjärjestelmät, joita on tarkoitus käyttää lainvalvontaviranomaisten toimesta tai niiden puolesta tai unionin toimielinten, elinten, toimistojen tai virastojen toimesta lainvalvontaviranomaisten tueksi todistusaineiston luotettavuuden arvioinnissa rikostutkinnassa tai rikosoikeudellisissa menettelyissä;

(d)

AI systems intended to be used by law enforcement authorities or on their behalf or by Union institutions, bodies, offices or agencies in support of law enforcement authorities for assessing the risk of a natural person offending or re-offending not solely on the basis of the profiling of natural persons as referred to in Article 3(4) of Directive (EU) 2016/680, or to assess personality traits and characteristics or past criminal behaviour of natural persons or groups;

Tekoälyjärjestelmät, joita on tarkoitus käyttää lainvalvontaviranomaisten toimesta tai niiden puolesta tai unionin toimielinten, elinten, toimistojen tai virastojen toimesta lainvalvontaviranomaisten tueksi luonnollisen henkilön rikokseen tai rikoksen uusimiseen syyllistymisen riskin arvioinnissa muutenkin kuin direktiivin (EU) 2016/680 3 artiklan 4 kohdassa tarkoitetun luonnollisten henkilöiden profiloinnin perusteella, tai luonnollisten henkilöiden tai ryhmien persoonallisuuspiirteiden ja persoonallisuusominaisuuksien tai aiemman rikollisen käyttäytymisen arvioinnissa;

(e)

AI systems intended to be used by or on behalf of law enforcement authorities or by Union institutions, bodies, offices or agencies in support of law enforcement authorities for the profiling of natural persons as referred to in Article 3(4) of Directive (EU) 2016/680 in the course of the detection, investigation or prosecution of criminal offences.

Tekoälyjärjestelmät, joita on tarkoitus käyttää lainvalvontaviranomaisten toimesta tai niiden puolesta tai unionin toimielinten, elinten, toimistojen tai virastojen toimesta lainvalvontaviranomaisten tueksi direktiivin (EU) 2016/680 3 artiklan 4 kohdassa tarkoitetussa luonnollisten henkilöiden profiloinnissa rikosten paljastamisen, tutkimisen tai rikoksiin liittyvien syytetoimien yhteydessä.

Migration, asylum and border control management, in so far as their use is permitted under relevant Union or national law:

Muuttoliikkeen hallinta, turvapaikka-asiat ja rajavalvonta, jos niiden käyttö on sallittua asiaa koskevan unionin tai kansallisen lainsäädännön nojalla:

(a)

AI systems intended to be used by or on behalf of competent public authorities or by Union institutions, bodies, offices or agencies as polygraphs or similar tools;

Tekoälyjärjestelmät, joita on tarkoitus käyttää toimivaltaisten viranomaisten tai unionin toimielinten, elinten, toimistojen ja virastojen toimesta tai niiden puolesta valheenpaljastimina ja vastaavina välineinä;

(b)

AI systems intended to be used by or on behalf of competent public authorities or by Union institutions, bodies, offices or agencies to assess a risk, including a security risk, a risk of irregular migration, or a health risk, posed by a natural person who intends to enter or who has entered into the territory of a Member State;

Tekoälyjärjestelmät, joita on tarkoitus käyttää toimivaltaisten viranomaisten toimesta tai niiden puolesta tai unionin toimielinten, elinten, toimistojen tai virastojen toimesta arvioitaessa luonnollisen henkilön, joka aikoo tulla tai on tullut jäsenvaltion alueelle, aiheuttamaa riskiä, mukaan lukien turvallisuusriski, sääntöjenvastaisen maahanmuuton riski ja terveysriski;

(c)

AI systems intended to be used by or on behalf of competent public authorities or by Union institutions, bodies, offices or agencies to assist competent public authorities for the examination of applications for asylum, visa or residence permits and for associated complaints with regard to the eligibility of the natural persons applying for a status, including related assessments of the reliability of evidence;

Tekoälyjärjestelmät, joita on tarkoitus käyttää toimivaltaisten viranomaisten toimesta tai niiden puolesta tai unionin toimielinten, elinten, toimistojen tai virastojen toimesta toimivaltaisten viranomaisten avustamiseen turvapaikka-, viisumi- ja oleskelulupahakemusten ja niihin liittyvien valitusten käsittelyssä asemaa hakevien luonnollisten henkilöiden kelpoisuuden tarkastamiseksi, mukaan lukien todistusaineiston luotettavuuden arviointi;

(d)

AI systems intended to be used by or on behalf of competent public authorities, or by Union institutions, bodies, offices or agencies, in the context of migration, asylum or border control management, for the purpose of detecting, recognising or identifying natural persons, with the exception of the verification of travel documents.

Tekoälyjärjestelmät, joita on tarkoitus käyttää toimivaltaisten viranomaisten tai unionin toimielinten, elinten, toimistojen tai virastojen, toimesta tai niiden puolesta luonnollisten henkilöiden havaitsemiseen, tunnistamiseen tai henkilöllisyyden määrittämiseen muuttoliikkeen hallinnan, turvapaikka-asioiden tai rajavalvonnan yhteydessä, pois lukien matkustusasiakirjojen tarkastaminen.

Administration of justice and democratic processes:

Oikeudenhoito ja demokraattiset prosessit:

(a)

AI systems intended to be used by a judicial authority or on their behalf to assist a judicial authority in researching and interpreting facts and the law and in applying the law to a concrete set of facts, or to be used in a similar way in alternative dispute resolution;

Tekoälyjärjestelmät, joita on tarkoitus käyttää oikeusviranomaisen toimesta tai oikeusviranomaisen puolesta sen avustamiseksi tosiseikkojen tai lainsäädännön tutkimisessa ja tulkinnassa sekä lainsäädännön soveltamisessa konkreettisiin tosiseikkoihin tai joita on tarkoitus käyttää vastaavalla tavalla vaihtoehtoisessa riidanratkaisussa;

(b)

AI systems intended to be used for influencing the outcome of an election or referendum or the voting behaviour of natural persons in the exercise of their vote in elections or referenda. This does not include AI systems to the output of which natural persons are not directly exposed, such as tools used to organise, optimise or structure political campaigns from an administrative or logistical point of view.

Tekoälyjärjestelmät, joita on tarkoitus käyttää vaikuttamaan vaalin tai kansanäänestyksen tulokseen tai luonnollisten henkilöiden äänestyskäyttäytymiseen heidän äänestäessään vaaleissa tai kansanäänestyksissä. Tähän ei lueta tekoälyjärjestelmiä, joiden tuotokselle luonnolliset henkilöt eivät suoraan altistu, kuten välineet, joita käytetään poliittisten kampanjoiden järjestämiseen, optimointiin tai jäsentämiseen hallinnollisesti ja logistiselta kannalta.

ANNEX IV

LIITE IV

Technical documentation referred to in Article 11(1)

11 artiklan 1 kohdassa tarkoitettu tekninen dokumentaatio

The technical documentation referred to in Article 11(1) shall contain at least the following information, as applicable to the relevant AI system:

Tämän asetuksen 11 artiklan 1 kohdassa tarkoitettuun tekniseen dokumentaatioon on sisällyttävä vähintään seuraavat tiedot, siltä osin kuin ne koskevat kyseistä tekoälyjärjestelmää:

A general description of the AI system including:

Tekoälyjärjestelmän yleinen kuvaus, mukaan lukien seuraavat tiedot:

(a)

its intended purpose, the name of the provider and the version of the system reflecting its relation to previous versions;

järjestelmän käyttötarkoitus, sen tarjoajan nimi ja järjestelmän versio, joka kuvastaa sen suhdetta aiempiin versioihin;

(b)

how the AI system interacts with, or can be used to interact with, hardware or software, including with other AI systems, that are not part of the AI system itself, where applicable;

tarvittaessa se, miten tekoälyjärjestelmä on vuorovaikutuksessa tai miten sitä voidaan käyttää vuorovaikutukseen sellaisten laitteiden tai ohjelmistojen, mukaan lukien muiden tekoälyjärjestelmien, kanssa, jotka eivät ole osa itse tekoälyjärjestelmää;

(c)

the versions of relevant software or firmware, and any requirements related to version updates;

asianomaisten laiteohjelmistojen tai muiden ohjelmistojen versiot ja versiopäivityksiin liittyvät vaatimukset;

(d)

the description of all the forms in which the AI system is placed on the market or put into service, such as software packages embedded into hardware, downloads, or APIs;

kuvaus kaikista muodoista, joissa tekoälyjärjestelmä saatetaan markkinoille tai otetaan käyttöön, kuten laitteistoon sisällytetyt ohjelmistopaketit, ladattavat versiot tai sovellusrajapinnat (API);

(e)

the description of the hardware on which the AI system is intended to run;

kuvaus laitteistosta, jossa tekoälyjärjestelmää on tarkoitus käyttää;

(f)

where the AI system is a component of products, photographs or illustrations showing external features, the marking and internal layout of those products;

jos tekoälyjärjestelmä on tuotteiden osa, valokuvat tai piirrokset, joista ilmenevät näiden tuotteiden ulkoiset ominaisuudet, merkinnät ja sisäinen kokoonpano;

(g)

a basic description of the user-interface provided to the deployer;

käyttöönottajalle tarjotun käyttöliittymän peruskuvaus;

(h)

instructions for use for the deployer, and a basic description of the user-interface provided to the deployer, where applicable;

käyttöohjeet käyttöönottajalle ja tarvittaessa käyttöönottajalle tarjotun käyttöliittymän peruskuvaus.

A detailed description of the elements of the AI system and of the process for its development, including:

Yksityiskohtainen kuvaus tekoälyjärjestelmän osista ja sen kehittämisprosessista, mukaan lukien seuraavat tiedot:

(a)

the methods and steps performed for the development of the AI system, including, where relevant, recourse to pre-trained systems or tools provided by third parties and how those were used, integrated or modified by the provider;

tekoälyjärjestelmän kehittämisessä käytetyt menetelmät ja vaiheet, tarvittaessa myös turvautuminen kolmansien osapuolten tarjoamiin ennalta koulutettuihin järjestelmiin tai välineisiin ja se, miten tarjoaja on käyttänyt, integroinut tai muuttanut niitä;

(b)

the design specifications of the system, namely the general logic of the AI system and of the algorithms; the key design choices including the rationale and assumptions made, including with regard to persons or groups of persons in respect of who, the system is intended to be used; the main classification choices; what the system is designed to optimise for, and the relevance of the different parameters; the description of the expected output and output quality of the system; the decisions about any possible trade-off made regarding the technical solutions adopted to comply with the requirements set out in Chapter III, Section 2;

järjestelmän rakennespesifikaatiot, erityisesti tekoälyjärjestelmän ja algoritmien yleinen logiikka; keskeiset rakenteelliset valinnat, mukaan lukien periaatteet ja tehdyt oletukset, myös niiden henkilöiden tai henkilöryhmien osalta, joihin järjestelmää on tarkoitus käyttää; tärkeimmät luokitusvalinnat; se, mihin nähden järjestelmä on suunniteltu optimoitumaan, ja eri parametrien merkitys; kuvaus järjestelmän odotetusta tuotoksesta ja tuotoksen laadusta; päätökset mahdollisista teknisiä ratkaisuja koskevista kompromisseista, joita on tehty III luvun 2 jaksossa vahvistettujen vaatimusten noudattamiseksi;

(c)

the description of the system architecture explaining how software components build on or feed into each other and integrate into the overall processing; the computational resources used to develop, train, test and validate the AI system;

järjestelmäarkkitehtuurin kuvaus, jossa selitetään, miten ohjelmistokomponentit rakentuvat suhteessa toisiinsa tai ovat vuorovaikutuksessa ja miten ne osallistuvat järjestelmän toimintaan; tekoälyjärjestelmän kehittämiseen, kouluttamiseen, testaamiseen ja validointiin käytetyt laskentaresurssit;

(d)

where relevant, the data requirements in terms of datasheets describing the training methodologies and techniques and the training data sets used, including a general description of these data sets, information about their provenance, scope and main characteristics; how the data was obtained and selected; labelling procedures (e.g. for supervised learning), data cleaning methodologies (e.g. outliers detection);

tarvittaessa dataa koskevat vaatimukset sellaisten datalomakkeiden muodossa, joissa kuvataan koulutusmenetelmät ja -tekniikat sekä käytetyt koulutusdatajoukot, mukaan lukien yleinen kuvaus näistä datajoukoista, tiedot niiden alkuperästä, laajuudesta ja pääpiirteistä; se, kuinka data on hankittu ja valittu; merkintämenettelyt (esim. ohjattua oppimista varten), datan puhdistusmenetelmät (esim. poikkeamien havaitseminen);

(e)

assessment of the human oversight measures needed in accordance with Article 14, including an assessment of the technical measures needed to facilitate the interpretation of the outputs of AI systems by the deployers, in accordance with Article 13(3), point (d);

tämän asetuksen 14 artiklan mukaisesti tarvittavien ihmisen suorittamien valvontatoimenpiteiden arviointi, mukaan lukien niiden teknisten toimenpiteiden arviointi, jotka ovat tarpeen, jotta käyttöönottajien on helpompi tulkita tekoälyjärjestelmien tuloksia 13 artiklan 3 kohdan d alakohdan mukaisesti;

(f)

where applicable, a detailed description of pre-determined changes to the AI system and its performance, together with all the relevant information related to the technical solutions adopted to ensure continuous compliance of the AI system with the relevant requirements set out in Chapter III, Section 2;

tarvittaessa yksityiskohtainen kuvaus tekoälyjärjestelmän ja sen suorituskyvyn ennalta määritellyistä muutoksista sekä kaikki asiaankuuluvat tiedot teknisistä ratkaisuista, joilla varmistetaan, että tekoälyjärjestelmä on jatkuvasti III luvun 2 jaksossa vahvistettujen asiaankuuluvien vaatimusten mukainen;

(g)

the validation and testing procedures used, including information about the validation and testing data used and their main characteristics; metrics used to measure accuracy, robustness and compliance with other relevant requirements set out in Chapter III, Section 2, as well as potentially discriminatory impacts; test logs and all test reports dated and signed by the responsible persons, including with regard to pre-determined changes as referred to under point (f);

käytetyt validointi- ja testausmenettelyt, mukaan lukien tiedot käytetystä validointi- ja testausdatasta ja sen tärkeimmistä ominaisuuksista; mittarit, joita käytetään mittaamaan tarkkuutta, vakautta ja muiden III luvun 2 jaksossa vahvistettujen asiaankuuluvien vaatimusten noudattamista sekä mahdollisia syrjiviä vaikutuksia; testilokit ja kaikki vastuuhenkilöiden päiväämät ja allekirjoittamat testiraportit, myös f alakohdassa tarkoitettujen ennalta määriteltyjen muutosten osalta;

(h)

cybersecurity measures put in place;

käyttöön otetut kyberturvallisuustoimenpiteet.

Detailed information about the monitoring, functioning and control of the AI system, in particular with regard to: its capabilities and limitations in performance, including the degrees of accuracy for specific persons or groups of persons on which the system is intended to be used and the overall expected level of accuracy in relation to its intended purpose; the foreseeable unintended outcomes and sources of risks to health and safety, fundamental rights and discrimination in view of the intended purpose of the AI system; the human oversight measures needed in accordance with Article 14, including the technical measures put in place to facilitate the interpretation of the outputs of AI systems by the deployers; specifications on input data, as appropriate;

Yksityiskohtaiset tiedot tekoälyjärjestelmän seurannasta, toiminnasta ja valvonnasta, erityisesti seuraavien seikkojen osalta: sen suorituskykyyn liittyvät valmiudet ja rajoitukset, mukaan lukien tarkkuusaste niiden henkilöiden tai henkilöryhmien osalta, joihin järjestelmää on tarkoitus käyttää, sekä odotettu yleinen tarkkuus suhteessa käyttötarkoitukseen; ennakoitavissa olevat tahattomat seuraukset ja riskin lähteet terveyden ja turvallisuuden, perusoikeuksien sekä syrjinnän suhteen ottaen huomioon tekoälyjärjestelmän käyttötarkoitus; tämän asetuksen 14 artiklan mukaisesti tarvittavat ihmisen suorittamat valvontatoimenpiteet, mukaan lukien tekniset toimenpiteet, jotka on otettu käyttöön, jotta käyttöönottajien olisi helpompi tulkita tekoälyjärjestelmien tuloksia; tarvittaessa syöttödataa koskevat spesifikaatiot;

A description of the appropriateness of the performance metrics for the specific AI system;

Kuvaus kyseessä olevan tekoälyjärjestelmän suorituskykymittareiden asianmukaisuudesta;

A detailed description of the risk management system in accordance with Article 9;

Yksityiskohtainen kuvaus 9 artiklan mukaisesta riskinhallintajärjestelmästä;

A description of relevant changes made by the provider to the system through its lifecycle;

Kuvaus tarjoajan järjestelmään sen elinkaaren aikana tekemistä merkityksellisistä muutoksista;

A list of the harmonised standards applied in full or in part the references of which have been published in the Official Journal of the European Union; where no such harmonised standards have been applied, a detailed description of the solutions adopted to meet the requirements set out in Chapter III, Section 2, including a list of other relevant standards and technical specifications applied;

Luettelo kokonaan tai osittain sovelletuista yhdenmukaistetuista standardeista, joiden viitetiedot on julkaistu Euroopan unionin virallisessa lehdessä; jos tällaisia yhdenmukaistettuja standardeja ei ole sovellettu, yksityiskohtainen kuvaus ratkaisuista, jotka on valittu III luvun 2 jaksossa vahvistettujen vaatimusten täyttämiseksi, mukaan lukien luettelo sovelletuista muista asiaankuuluvista standardeista ja teknisistä eritelmistä;

A copy of the EU declaration of conformity referred to in Article 47;

Jäljennös 47 artiklassa tarkoitetusta EU-vaatimustenmukaisuusvakuutuksesta;

A detailed description of the system in place to evaluate the AI system performance in the post-market phase in accordance with Article 72, including the post-market monitoring plan referred to in Article 72(3).

Yksityiskohtainen kuvaus käytössä olevasta järjestelmästä, jolla arvioidaan tekoälyjärjestelmän suorituskykyä markkinoille saattamisen jälkeisessä vaiheessa 72 artiklan mukaisesti, mukaan lukien 72 artiklan 3 kohdassa tarkoitettu markkinoille saattamisen jälkeinen seurantasuunnitelma.

ANNEX V

LIITE V

EU declaration of conformity

EU-vaatimustenmukaisuusvakuutus

The EU declaration of conformity referred to in Article 47, shall contain all of the following information:

Tämän asetuksen 47 artiklassa tarkoitetun EU-vaatimustenmukaisuusvakuutuksen on sisällettävä seuraavat tiedot:

AI system name and type and any additional unambiguous reference allowing the identification and traceability of the AI system;

Tekoälyjärjestelmän nimi ja tyyppi sekä muut yksiselitteiset viitetiedot, joiden avulla tekoälyjärjestelmä voidaan tunnistaa ja jäljittää;

The name and address of the provider or, where applicable, of their authorised representative;

Tarjoajan tai tarvittaessa sen valtuutetun edustajan nimi ja osoite;

A statement that the EU declaration of conformity referred to in Article 47 is issued under the sole responsibility of the provider;

Ilmoitus siitä, että 47 artiklassa tarkoitettu EU-vaatimustenmukaisuusvakuutus on annettu tarjoajan yksinomaisella vastuulla;

A statement that the AI system is in conformity with this Regulation and, if applicable, with any other relevant Union law that provides for the issuing of the EU declaration of conformity referred to in Article 47;

Ilmoitus siitä, että tekoälyjärjestelmä on tämän asetuksen ja tarvittaessa muun sellaisen asiaa koskevan unionin oikeuden mukainen, jossa säädetään 47 artiklassa tarkoitetun EU-vaatimustenmukaisuusvakuutuksen antamisesta;

Where an AI system involves the processing of personal data, a statement that that AI system complies with Regulations (EU) 2016/679 and (EU) 2018/1725 and Directive (EU) 2016/680;

Jos tekoälyjärjestelmään liittyy henkilötietojen käsittelyä, ilmoitus siitä, että tekoälyjärjestelmä täyttää asetusten (EU) 2016/679 ja (EU) 2018/1725 sekä direktiivin (EU) 2016/680 vaatimukset;

References to any relevant harmonised standards used or any other common specification in relation to which conformity is declared;

Viittaus käytettyihin asiaankuuluviin yhdenmukaistettuihin standardeihin tai muihin yhteisiin eritelmiin, joiden perusteella vaatimustenmukaisuusvakuutus on annettu;

Where applicable, the name and identification number of the notified body, a description of the conformity assessment procedure performed, and identification of the certificate issued;

Tarvittaessa ilmoitetun laitoksen nimi ja tunnusnumero, kuvaus suoritetusta vaatimustenmukaisuuden arviointimenettelystä sekä annetun todistuksen tunniste;

The place and date of issue of the declaration, the name and function of the person who signed it, as well as an indication for, or on behalf of whom, that person signed, a signature.

Vaatimustenmukaisuusvakuutuksen antamispaikka ja päivämäärä, allekirjoittajan nimi ja tehtävä, tieto siitä, kenen puolesta tai nimissä kyseinen henkilö allekirjoittaa vaatimuksenmukaisuusvakuutuksen, sekä allekirjoitus.

ANNEX VI

LIITE VI

Conformity assessment procedure based on internal control

Sisäiseen valvontaan perustuva vaatimustenmukaisuuden arviointimenettely

The conformity assessment procedure based on internal control is the conformity assessment procedure based on points 2, 3 and 4.

Sisäiseen valvontaan perustuva vaatimustenmukaisuuden arviointimenettely tarkoittaa 2, 3 ja 4 kohtaan perustuvaa vaatimustenmukaisuuden arviointimenettelyä.

The provider verifies that the established quality management system is in compliance with the requirements of Article 17.

Tarjoaja varmistaa, että perustettu laadunhallintajärjestelmä on 17 artiklan vaatimusten mukainen.

The provider examines the information contained in the technical documentation in order to assess the compliance of the AI system with the relevant essential requirements set out in Chapter III, Section 2.

Tarjoaja tutkii tekniseen dokumentaatioon sisältyvät tiedot arvioidakseen, onko tekoälyjärjestelmä III luvun 2 jaksossa vahvistettujen asiaankuuluvien olennaisten vaatimusten mukainen.

The provider also verifies that the design and development process of the AI system and its post-market monitoring as referred to in Article 72 is consistent with the technical documentation.

Tarjoaja tarkastaa myös, että 72 artiklassa tarkoitettu tekoälyjärjestelmän suunnittelu- ja kehittämisprosessi ja sen markkinoille saattamisen jälkeinen seuranta ovat yhdenmukaisia teknisen dokumentaation kanssa.

ANNEX VII

LIITE VII

Conformity based on an assessment of the quality management system and an assessment of the technical documentation

Laadunhallintajärjestelmän ja teknisen dokumentaation arviointiin perustuva vaatimustenmukaisuus

1. Introduction

1. Johdanto

Conformity based on an assessment of the quality management system and an assessment of the technical documentation is the conformity assessment procedure based on points 2 to 5.

Laadunhallintajärjestelmän ja teknisen dokumentaation arviointiin perustuva vaatimustenmukaisuus tarkoittaa 2–5 kohtaan perustuvaa vaatimustenmukaisuuden arviointimenettelyä.

2. Overview

2. Yleiskuvaus

The approved quality management system for the design, development and testing of AI systems pursuant to Article 17 shall be examined in accordance with point 3 and shall be subject to surveillance as specified in point 5. The technical documentation of the AI system shall be examined in accordance with point 4.

Tämän asetuksen 17 artiklan mukainen tekoälyjärjestelmien suunnittelua, kehittämistä ja testausta koskeva hyväksytty laadunhallintajärjestelmä on tutkittava 3 kohdan mukaisesti ja sitä on valvottava 5 kohdan mukaisesti. Tekoälyjärjestelmän tekninen dokumentaatio on tutkittava 4 kohdan mukaisesti.

3. Quality management system

3. Laadunhallintajärjestelmä

3.1.

The application of the provider shall include:

3.1

Tarjoajan hakemuksessa on oltava seuraavat tiedot:

(a)

the name and address of the provider and, if the application is lodged by an authorised representative, also their name and address;

tarjoajan nimi ja osoite sekä valtuutetun edustajan nimi ja osoite, jos tämä tekee hakemuksen;

(b)

the list of AI systems covered under the same quality management system;

luettelo saman laadunhallintajärjestelmän piiriin kuluvista tekoälyjärjestelmistä;

(c)

the technical documentation for each AI system covered under the same quality management system;

kunkin saman laadunhallintajärjestelmän piiriin kuuluvan tekoälyjärjestelmän tekninen dokumentaatio;

(d)

the documentation concerning the quality management system which shall cover all the aspects listed under Article 17;

laadunhallintajärjestelmää koskeva dokumentaatio, jonka on katettava kaikki 17 artiklassa luetellut näkökohdat;

(e)

a description of the procedures in place to ensure that the quality management system remains adequate and effective;

kuvaus käytössä olevista menettelyistä, joilla varmistetaan, että laadunhallintajärjestelmä pysyy riittävänä ja tehokkaana;

(f)

a written declaration that the same application has not been lodged with any other notified body.

kirjallinen vakuutus siitä, että samaa hakemusta ei ole tehty toiselle ilmoitetulle laitokselle.

3.2.

The quality management system shall be assessed by the notified body, which shall determine whether it satisfies the requirements referred to in Article 17.

3.2

Ilmoitetun laitoksen on arvioitava laadunhallintajärjestelmä määrittääkseen, täyttääkö se 17 artiklassa tarkoitetut vaatimukset.

The decision shall be notified to the provider or its authorised representative.

Päätöksestä on ilmoitettava tarjoajalle tai sen valtuutetulle edustajalle.

The notification shall contain the conclusions of the assessment of the quality management system and the reasoned assessment decision.

Ilmoitukseen on sisällyttävä laadunhallintajärjestelmän arvioinnin päätelmät ja arviointipäätös perusteluineen.

3.3.

The quality management system as approved shall continue to be implemented and maintained by the provider so that it remains adequate and efficient.

3.3

Tarjoajan on jatkettava hyväksytyn laadunhallintajärjestelmän täytäntöönpanoa ja ylläpitoa niin, että se pysyy riittävänä ja tehokkaana.

3.4.

Any intended change to the approved quality management system or the list of AI systems covered by the latter shall be brought to the attention of the notified body by the provider.

3.4

Tarjoajan on ilmoitettava ilmoitetulle laitokselle kaikista hyväksyttyyn laadunhallintajärjestelmään tai sen kattamien tekoälyjärjestelmien luetteloon suunnitelluista muutoksista.

The proposed changes shall be examined by the notified body, which shall decide whether the modified quality management system continues to satisfy the requirements referred to in point 3.2 or whether a reassessment is necessary.

Ilmoitetun laitoksen on tutkittava ehdotetut muutokset ja päätettävä, täyttääkö muutettu laadunhallintajärjestelmä edelleen 3.2 kohdassa tarkoitetut vaatimukset vai onko tarpeen suorittaa uusi arviointi.

The notified body shall notify the provider of its decision. The notification shall contain the conclusions of the examination of the changes and the reasoned assessment decision.

Ilmoitetun laitoksen on ilmoitettava päätöksensä tarjoajalle. Ilmoitukseen on sisällyttävä muutosten tutkinnan päätelmät ja arviointipäätös perusteluineen.

4. Control of the technical documentation.

4. Teknisen dokumentaation valvonta

4.1.

In addition to the application referred to in point 3, an application with a notified body of their choice shall be lodged by the provider for the assessment of the technical documentation relating to the AI system which the provider intends to place on the market or put into service and which is covered by the quality management system referred to under point 3.

4.1

Edellä 3 kohdassa tarkoitetun hakemuksen lisäksi tarjoajan on jätettävä valitsemalleen ilmoitetulle laitokselle hakemus sellaista tekoälyjärjestelmää koskevan teknisen dokumentaation arvioimiseksi, jonka tarjoaja aikoo saattaa markkinoille tai ottaa käyttöön ja joka kuuluu 3 kohdassa tarkoitetun laadunhallintajärjestelmän piiriin.

4.2.

The application shall include:

4.2

Hakemuksen on sisällettävä seuraavat tiedot:

(a)

the name and address of the provider;

tarjoajan nimi ja osoite;

(b)

a written declaration that the same application has not been lodged with any other notified body;

kirjallinen vakuutus siitä, että samaa hakemusta ei ole tehty toiselle ilmoitetulle laitokselle;

(c)

the technical documentation referred to in Annex IV.

liitteessä IV tarkoitettu tekninen dokumentaatio.

4.3.

The technical documentation shall be examined by the notified body. Where relevant, and limited to what is necessary to fulfil its tasks, the notified body shall be granted full access to the training, validation, and testing data sets used, including, where appropriate and subject to security safeguards, through API or other relevant technical means and tools enabling remote access.

4.3

Ilmoitetun laitoksen on tutkittava tekninen dokumentaatio. Ilmoitetulle laitokselle on annettava täysi pääsy käytettyihin koulutus-, validointi- ja testausdatajoukkoihin, mukaan lukien, kun se on aiheellista ja turvatoimenpiteitä soveltaen, sovellusrajapintojen (API) tai muiden etäkäytön mahdollistavien asianmukaisten teknisten välineiden ja työkalujen kautta, kun se on asiaankuuluvaa ja rajoitettu siihen, mikä on tarpeen sen tehtävien suorittamiseksi.

4.4.

In examining the technical documentation, the notified body may require that the provider supply further evidence or carry out further tests so as to enable a proper assessment of the conformity of the AI system with the requirements set out in Chapter III, Section 2. Where the notified body is not satisfied with the tests carried out by the provider, the notified body shall itself directly carry out adequate tests, as appropriate.

4.4

Ilmoitettu laitos voi teknistä dokumentaatiota tutkiessaan pyytää tarjoajaa toimittamaan lisänäyttöä tai tekemään lisätestejä, jotta voidaan asianmukaisesti arvioida, onko tekoälyjärjestelmä III luvun 2 jaksossa vahvistettujen vaatimusten mukainen. Jos ilmoitettu laitos ei ole tyytyväinen tarjoajan tekemiin testeihin, ilmoitetun laitoksen on tarvittaessa suoritettava itse suoraan riittävät testit.

4.5.

Where necessary to assess the conformity of the high-risk AI system with the requirements set out in Chapter III, Section 2, after all other reasonable means to verify conformity have been exhausted and have proven to be insufficient, and upon a reasoned request, the notified body shall also be granted access to the training and trained models of the AI system, including its relevant parameters. Such access shall be subject to existing Union law on the protection of intellectual property and trade secrets.

4.5

Jos se on tarpeen sen arvioimiseksi, onko suuririskinen tekoälyjärjestelmä III luvun 2 jaksossa vahvistettujen vaatimusten mukainen, ilmoitetulle laitokselle on perustellusta pyynnöstä ja sen jälkeen, kun kaikki muut kohtuulliset keinot vaatimustenmukaisuuden todentamiseksi on käytetty ja ne ovat osoittautuneet riittämättömiksi, annettava pääsy myös tekoälyjärjestelmän koulutusmalleihin ja koulutettuihin malleihin, niiden asiaan liittyvät parametrit mukaan lukien. Tällaiseen pääsyyn sovelletaan teollis- ja tekijänoikeuksia ja liikesalaisuuksia koskevaa voimassa olevaa unionin oikeutta.

4.6.

The decision of the notified body shall be notified to the provider or its authorised representative. The notification shall contain the conclusions of the assessment of the technical documentation and the reasoned assessment decision.

4.6

Ilmoitetun laitoksen päätöksestä on ilmoitettava tarjoajalle tai sen valtuutetulle edustajalle. Ilmoitukseen on sisällyttävä teknisen dokumentaation arvioinnin päätelmät ja arviointipäätös perusteluineen.

Where the AI system is in conformity with the requirements set out in Chapter III, Section 2, the notified body shall issue a Union technical documentation assessment certificate. The certificate shall indicate the name and address of the provider, the conclusions of the examination, the conditions (if any) for its validity and the data necessary for the identification of the AI system.

Jos tekoälyjärjestelmä on III luvun 2 jaksossa vahvistettujen vaatimusten mukainen, ilmoitetun laitoksen on annettava unionin teknisen dokumentaation arviointitodistus. Todistuksessa on oltava tarjoajan nimi ja osoite, tutkimuksen päätelmät, (mahdolliset) todistuksen voimassaoloa koskevat edellytykset ja tekoälyjärjestelmän tunnistamiseen tarvittavat tiedot.

The certificate and its annexes shall contain all relevant information to allow the conformity of the AI system to be evaluated, and to allow for control of the AI system while in use, where applicable.

Todistuksessa ja sen liitteissä on oltava kaikki asiaankuuluvat tiedot, jotta voidaan arvioida tekoälyjärjestelmän vaatimustenmukaisuus ja tarvittaessa valvoa tekoälyjärjestelmää sen ollessa käytössä.

Where the AI system is not in conformity with the requirements set out in Chapter III, Section 2, the notified body shall refuse to issue a Union technical documentation assessment certificate and shall inform the applicant accordingly, giving detailed reasons for its refusal.

Jos tekoälyjärjestelmä ei ole III luvun 2 jaksossa vahvistettujen vaatimusten mukainen, ilmoitetun laitoksen on kieltäydyttävä antamasta unionin teknisen dokumentaation arviointitodistusta ja ilmoitettava asiasta hakijalle ja esitettävä yksityiskohtaiset perustelut todistuksen epäämiselle.

Where the AI system does not meet the requirement relating to the data used to train it, re-training of the AI system will be needed prior to the application for a new conformity assessment. In this case, the reasoned assessment decision of the notified body refusing to issue the Union technical documentation assessment certificate shall contain specific considerations on the quality data used to train the AI system, in particular on the reasons for non-compliance.

Jos tekoälyjärjestelmä ei täytä sen kouluttamiseen käytettyä dataa koskevaa vaatimusta, tekoälyjärjestelmä on koulutettava uudelleen ennen uuden vaatimustenmukaisuuden arvioinnin hakemista. Tässä tapauksessa ilmoitetun laitoksen perustellussa arviointipäätöksessä, jossa kieltäydytään antamasta unionin teknisen dokumentaation arviointitodistusta, on esitettävä erityisiä näkökohtia tekoälyjärjestelmän kouluttamiseen käytetyn datan laadusta, erityisesti vaatimustenvastaisuuden syistä.

4.7.

Any change to the AI system that could affect the compliance of the AI system with the requirements or its intended purpose shall be assessed by the notified body which issued the Union technical documentation assessment certificate. The provider shall inform such notified body of its intention to introduce any of the abovementioned changes, or if it otherwise becomes aware of the occurrence of such changes. The intended changes shall be assessed by the notified body, which shall decide whether those changes require a new conformity assessment in accordance with Article 43(4) or whether they could be addressed by means of a supplement to the Union technical documentation assessment certificate. In the latter case, the notified body shall assess the changes, notify the provider of its decision and, where the changes are approved, issue to the provider a supplement to the Union technical documentation assessment certificate.

4.7

Unionin teknisen dokumentaation arviointitodistuksen antaneen ilmoitetun laitoksen on arvioitava kaikki tekoälyjärjestelmään tehtävät muutokset, jotka voivat vaikuttaa siihen, täyttääkö tekoälyjärjestelmä vaatimukset tai sen käyttötarkoituksen. Tarjoajan on ilmoitettava tällaiselle ilmoitetulle laitokselle aikomuksestaan tehdä edellä mainittuja muutoksia tai jos se muutoin saa tiedon tällaisista muutoksista. Ilmoitetun laitoksen on arvioitava suunnitellut muutokset ja päätettävä, edellyttävätkö kyseiset muutokset uutta vaatimustenmukaisuuden arviointia 43 artiklan 4 kohdan mukaisesti vai voidaanko ne ottaa huomioon unionin teknisen dokumentaation arviointitodistuksen lisäyksellä. Viimeksi mainitussa tapauksessa ilmoitetun laitoksen on arvioitava muutokset, ilmoitettava tarjoajalle päätöksestään ja, jos muutokset hyväksytään, annettava tarjoajalle lisäys unionin teknisen dokumentaation arviointitodistukseen.

5. Surveillance of the approved quality management system.

5. Hyväksytyn laadunhallintajärjestelmän valvonta

5.1.

The purpose of the surveillance carried out by the notified body referred to in Point 3 is to make sure that the provider duly complies with the terms and conditions of the approved quality management system.

5.1

Edellä 3 kohdassa tarkoitetun ilmoitetun laitoksen suorittaman valvonnan tarkoituksena on varmistaa, että tarjoaja noudattaa hyväksytyn laadunhallintajärjestelmän ehtoja ja edellytyksiä.

5.2.

For assessment purposes, the provider shall allow the notified body to access the premises where the design, development, testing of the AI systems is taking place. The provider shall further share with the notified body all necessary information.

5.2

Arviointia varten tarjoajan on annettava ilmoitetulle laitokselle pääsy tiloihin, joissa tekoälyjärjestelmien suunnittelu, kehittäminen ja testaus tapahtuu. Tarjoajan on lisäksi annettava ilmoitetulle laitokselle kaikki tarvittavat tiedot.

5.3.

The notified body shall carry out periodic audits to make sure that the provider maintains and applies the quality management system and shall provide the provider with an audit report. In the context of those audits, the notified body may carry out additional tests of the AI systems for which a Union technical documentation assessment certificate was issued.

5.3

Ilmoitetun laitoksen on tehtävä määräajoin auditointeja varmistaakseen, että tarjoaja ylläpitää ja noudattaa laadunhallintajärjestelmää, ja toimitettava auditointikertomus tarjoajalle. Näiden auditointien yhteydessä ilmoitettu laitos voi tehdä lisätestejä niille tekoälyjärjestelmille, joille on annettu unionin teknisen dokumentaation arviointitodistus.

ANNEX VIII

LIITE VIII

Information to be submitted upon the registration of high-risk AI systems in accordance with Article 49

Tämän asetuksen 49 artiklan mukaisen suuririskisten tekoälyjärjestelmien rekisteröinnin yhteydessä annettavat tiedot

Section A — Information to be submitted by providers of high-risk AI systems in accordance with Article 49(1)

A jakso – Tiedot, jotka tarjoajien on 49 artiklan 1 kohdan mukaisesti annettava suuririskisistä tekoälyjärjestelmistä

The following information shall be provided and thereafter kept up to date with regard to high-risk AI systems to be registered in accordance with Article 49(1):

Tämän asetuksen 49 artiklan 1 kohdan mukaisesti rekisteröitävistä suuririskisistä tekoälyjärjestelmistä on annettava ja pidettävä sen jälkeen ajan tasalla seuraavat tiedot:

The name, address and contact details of the provider;

Tarjoajan nimi, osoite ja yhteystiedot;

Where submission of information is carried out by another person on behalf of the provider, the name, address and contact details of that person;

Jos tiedot antaa toinen henkilö tarjoajan puolesta, kyseisen henkilön nimi, osoite ja yhteystiedot;

The name, address and contact details of the authorised representative, where applicable;

Tarvittaessa valtuutetun edustajan nimi, osoite ja yhteystiedot;

The AI system trade name and any additional unambiguous reference allowing the identification and traceability of the AI system;

Tekoälyjärjestelmän tuotenimi ja muut yksiselitteiset viitetiedot, joiden avulla tekoälyjärjestelmä voidaan tunnistaa ja jäljittää;

A description of the intended purpose of the AI system and of the components and functions supported through this AI system;

Kuvaus tekoälyjärjestelmän käyttötarkoituksesta ja tällä tekoälyjärjestelmällä tuetuista komponenteista ja toiminnoista;

A basic and concise description of the information used by the system (data, inputs) and its operating logic;

Yleisluontoinen ja lyhyt kuvaus järjestelmän käyttämistä tiedoista (data ja syöttötiedot) ja sen toimintalogiikasta;

The status of the AI system (on the market, or in service; no longer placed on the market/in service, recalled);

Tekoälyjärjestelmän tila (markkinoilla tai käytössä; ei enää saateta markkinoille/käytössä, vedetty pois markkinoilta);

The type, number and expiry date of the certificate issued by the notified body and the name or identification number of that notified body, where applicable;

Ilmoitetun laitoksen antaman todistuksen tyyppi, numero ja viimeinen voimassaolopäivä sekä tarvittaessa kyseisen ilmoitetun laitoksen nimi tai tunnusnumero;

A scanned copy of the certificate referred to in point 8, where applicable;

Tarvittaessa skannattu jäljennös 8 kohdassa tarkoitetusta todistuksesta;

10.

Any Member States in which the AI system has been placed on the market, put into service or made available in the Union;

10.

Kaikki jäsenvaltiot, joissa tekoälyjärjestelmä on saatettu markkinoille, otettu käyttöön tai asetettu saataville unionissa;

11.

A copy of the EU declaration of conformity referred to in Article 47;

11.

Jäljennös 47 artiklassa tarkoitetusta EU-vaatimustenmukaisuusvakuutuksesta;

12.

Electronic instructions for use; this information shall not be provided for high-risk AI systems in the areas of law enforcement or migration, asylum and border control management referred to in Annex III, points 1, 6 and 7;

12.

Sähköiset käyttöohjeet; näitä tietoja ei anneta liitteessä III olevassa 1, 6 ja 7 kohdassa tarkoitetuista suuririskisistä tekoälyjärjestelmistä, joita käytetään lainvalvonnan, muuttoliikkeen hallinnan, turvapaikka-asioiden ja rajavalvonnan aloilla;

13.

A URL for additional information (optional).

13.

URL-osoite, josta saa lisätietoja (valinnainen).

Section B — Information to be submitted by providers of high-risk AI systems in accordance with Article 49(2)

B jakso – Tiedot, jotka tarjoajien on 49 artiklan 2 kohdan mukaisesti annettava suuririskisistä tekoälyjärjestelmistä

The following information shall be provided and thereafter kept up to date with regard to AI systems to be registered in accordance with Article 49(2):

Tämän asetuksen 49 artiklan 2 kohdan mukaisesti rekisteröitävistä tekoälyjärjestelmistä on annettava ja pidettävä sen jälkeen ajan tasalla seuraavat tiedot:

The name, address and contact details of the provider;

Tarjoajan nimi, osoite ja yhteystiedot;

Where submission of information is carried out by another person on behalf of the provider, the name, address and contact details of that person;

Jos tiedot antaa toinen henkilö tarjoajan puolesta, kyseisen henkilön nimi, osoite ja yhteystiedot;

The name, address and contact details of the authorised representative, where applicable;

Tarvittaessa valtuutetun edustajan nimi, osoite ja yhteystiedot;

The AI system trade name and any additional unambiguous reference allowing the identification and traceability of the AI system;

Tekoälyjärjestelmän tuotenimi ja muut yksiselitteiset viitetiedot, joiden avulla tekoälyjärjestelmä voidaan tunnistaa ja jäljittää;

A description of the intended purpose of the AI system;

Kuvaus tekoälyjärjestelmän käyttötarkoituksesta;

The condition or conditions under Article 6(3)based on which the AI system is considered to be not-high-risk;

Tämän asetuksen 6 artiklan 3 kohdan mukainen edellytys tai sen mukaiset edellytykset, joiden perusteella tekoälyjärjestelmän ei katsota olevan suuririskinen;

A short summary of the grounds on which the AI system is considered to be not-high-risk in application of the procedure under Article 6(3);

Lyhyt tiivistelmä syistä, joiden perusteella tekoälyjärjestelmän ei katsota olevan 6 artiklan 3 kohdan mukaista menettelyä sovellettaessa suuririskinen;

The status of the AI system (on the market, or in service; no longer placed on the market/in service, recalled);

Tekoälyjärjestelmän tila (markkinoilla tai käytössä; ei enää saateta markkinoille/käytössä, vedetty pois markkinoilta);

Any Member States in which the AI system has been placed on the market, put into service or made available in the Union.

Kaikki jäsenvaltiot, joissa tekoälyjärjestelmä on saatettu markkinoille, otettu käyttöön tai asetettu saataville unionissa.

Section C — Information to be submitted by deployers of high-risk AI systems in accordance with Article 49(3)

C jakso – Tiedot, jotka käyttöönottajien on 49 artiklan 3 kohdan mukaisesti annettava suuririskisistä tekoälyjärjestelmistä

The following information shall be provided and thereafter kept up to date with regard to high-risk AI systems to be registered in accordance with Article 49(3):

Tämän asetuksen 49 artiklan 3 kohdan mukaisesti rekisteröitävistä suuririskisistä tekoälyjärjestelmistä on annettava ja pidettävä sen jälkeen ajan tasalla seuraavat tiedot:

The name, address and contact details of the deployer;

Käyttöönottajan nimi, osoite ja yhteystiedot;

The name, address and contact details of the person submitting information on behalf of the deployer;

Käyttöönottajan puolesta tiedot antavan henkilön nimi, osoite ja yhteystiedot;

The URL of the entry of the AI system in the EU database by its provider;

Tekoälyjärjestelmän tarjoajan järjestelmästä EU:n tietokantaan kirjaamien tietojen URL-osoite;

A summary of the findings of the fundamental rights impact assessment conducted in accordance with Article 27;

Yhteenveto 27 artiklan mukaisesti suoritetun perusoikeusvaikutusten arvioinnin tuloksista;

A summary of the data protection impact assessment carried out in accordance with Article 35 of Regulation (EU) 2016/679 or Article 27 of Directive (EU) 2016/680 as specified in Article 26(8) of this Regulation, where applicable.

Tarvittaessa yhteenveto asetuksen (EU) 2016/679 35 artiklan tai direktiivin (EU) 2016/680 27 artiklan mukaisesti tehdystä tietosuojaa koskevasta vaikutustenarvioinnista tämän asetuksen 26 artiklan 8 kohdan mukaisesti.

ANNEX IX

LIITE IX

Information to be submitted upon the registration of high-risk AI systems listed in Annex III in relation to testing in real world conditions in accordance with Article 60

Liitteessä III lueteltujen suuririskisten tekoälyjärjestelmien 60 artiklan mukaisen tosielämän olosuhteissa tapahtuvan testauksen rekisteröinnin yhteydessä annettavat tiedot

The following information shall be provided and thereafter kept up to date with regard to testing in real world conditions to be registered in accordance with Article 60:

Tämän asetuksen 60 artiklan mukaisesti rekisteröitävästä tosielämän olosuhteissa tapahtuvasta testauksesta on annettava ja pidettävä sen jälkeen ajan tasalla seuraavat tiedot:

A Union-wide unique single identification number of the testing in real world conditions;

Tosielämän olosuhteissa tapahtuvan testauksen unionin laajuinen yksilöllinen tunnistenumero;

The name and contact details of the provider or prospective provider and of the deployers involved in the testing in real world conditions;

Tosielämän olosuhteissa tapahtuvaan testaukseen osallistuvien tarjoajan tai mahdollisen tarjoajan ja käyttöönottajien nimi ja yhteystiedot;

A brief description of the AI system, its intended purpose, and other information necessary for the identification of the system;

Lyhyt kuvaus tekoälyjärjestelmästä, sen käyttötarkoituksesta ja muista tiedoista, jotka ovat tarpeen järjestelmän tunnistamiseksi;

A summary of the main characteristics of the plan for testing in real world conditions;

Yhteenveto tosielämän olosuhteissa tapahtuvaa testausta koskevan suunnitelman keskeisistä ominaisuuksista;

Information on the suspension or termination of the testing in real world conditions.

Tiedot tosielämän olosuhteissa tapahtuvan testauksen keskeyttämisestä tai päättämisestä.

ANNEX X

LIITE X

Union legislative acts on large-scale IT systems in the area of Freedom, Security and Justice

Vapauden turvallisuuden ja oikeuden alueen laaja-alaisia tietojärjestelmiä koskevat unionin säädökset

1. Schengen Information System

1. Schengenin tietojärjestelmä

(a)

Regulation (EU) 2018/1860 of the European Parliament and of the Council of 28 November 2018 on the use of the Schengen Information System for the return of illegally staying third-country nationals (OJ L 312, 7.12.2018, p. 1).

Euroopan parlamentin ja neuvoston asetus (EU) 2018/1860, annettu 28 päivänä marraskuuta 2018, Schengenin tietojärjestelmän käytöstä laittomasti oleskelevien kolmansien maiden kansalaisten palauttamiseksi (EUVL L 312, 7.12.2018, s. 1).

(b)

Regulation (EU) 2018/1861 of the European Parliament and of the Council of 28 November 2018 on the establishment, operation and use of the Schengen Information System (SIS) in the field of border checks, and amending the Convention implementing the Schengen Agreement, and amending and repealing Regulation (EC) No 1987/2006 (OJ L 312, 7.12.2018, p. 14).

Euroopan parlamentin ja neuvoston asetus (EU) 2018/1861, annettu 28 päivänä marraskuuta 2018, Schengenin tietojärjestelmän (SIS) perustamisesta, toiminnasta ja käytöstä rajatarkastuksissa, Schengenin sopimuksen soveltamisesta tehdyn yleissopimuksen muuttamisesta ja asetuksen (EY) N:o 1987/2006 muuttamisesta ja kumoamisesta (EUVL L 312, 7.12.2018, s. 14).

(c)

Regulation (EU) 2018/1862 of the European Parliament and of the Council of 28 November 2018 on the establishment, operation and use of the Schengen Information System (SIS) in the field of police cooperation and judicial cooperation in criminal matters, amending and repealing Council Decision 2007/533/JHA, and repealing Regulation (EC) No 1986/2006 of the European Parliament and of the Council and Commission Decision 2010/261/EU (OJ L 312, 7.12.2018, p. 56).

Euroopan parlamentin ja neuvoston asetus (EU) 2018/1862, annettu 28 päivänä marraskuuta 2018, Schengenin tietojärjestelmän (SIS) perustamisesta, toiminnasta ja käytöstä poliisiyhteistyössä ja rikosasioissa tehtävässä oikeudellisessa yhteistyössä, neuvoston päätöksen 2007/533/YOS muuttamisesta ja kumoamisesta sekä Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 1986/2006 ja komission päätöksen 2010/261/EU kumoamisesta (EUVL L 312, 7.12.2018, s. 56).

2. Visa Information System

2. Viisumitietojärjestelmä

(a)

Regulation (EU) 2021/1133 of the European Parliament and of the Council of 7 July 2021 amending Regulations (EU) No 603/2013, (EU) 2016/794, (EU) 2018/1862, (EU) 2019/816 and (EU) 2019/818 as regards the establishment of the conditions for accessing other EU information systems for the purposes of the Visa Information System (OJ L 248, 13.7.2021, p. 1).

Euroopan parlamentin ja neuvoston asetus (EU) 2021/1133, annettu 7 päivänä heinäkuuta 2021, asetusten (EU) N:o 603/2013, (EU) 2016/794, (EU) 2018/1862, (EU) 2019/816 ja (EU) 2019/818 muuttamisesta viisumitietojärjestelmän tarkoituksia varten tapahtuvan muihin EU:n tietojärjestelmiin pääsyn edellytysten vahvistamisen osalta (EUVL L 248, 13.7.2021, s. 1).

(b)

Regulation (EU) 2021/1134 of the European Parliament and of the Council of 7 July 2021 amending Regulations (EC) No 767/2008, (EC) No 810/2009, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1860, (EU) 2018/1861, (EU) 2019/817 and (EU) 2019/1896 of the European Parliament and of the Council and repealing Council Decisions 2004/512/EC and 2008/633/JHA, for the purpose of reforming the Visa Information System (OJ L 248, 13.7.2021, p. 11).

Euroopan parlamentin ja neuvoston asetus (EU) 2021/1134, annettu 7 päivänä heinäkuuta 2021, Euroopan parlamentin ja neuvoston asetusten (EY) N:o 767/2008, (EY) N:o 810/2009, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1860, (EU) 2018/1861, (EU) 2019/817 ja (EU) 2019/1896 muuttamisesta ja neuvoston päätösten 2004/512/EY ja 2008/633/YOS kumoamisesta viisumitietojärjestelmän uudistamiseksi (EUVL L 248, 13.7.2021, s. 11).

3. Eurodac

3. Eurodac-järjestelmä

Regulation (EU) 2024/1358 of the European Parliament and of the Council of 14 May 2024 on the establishment of ‘Eurodac’ for the comparison of biometric data in order to effectively apply Regulations (EU) 2024/1315 and (EU) 2024/1350 of the European Parliament and of the Council and Council Directive 2001/55/EC and to identify illegally staying third-country nationals and stateless persons and on requests for the comparison with Eurodac data by Member States’ law enforcement authorities and Europol for law enforcement purposes, amending Regulations (EU) 2018/1240 and (EU) 2019/818 of the European Parliament and of the Council and repealing Regulation (EU) No 603/2013 of the European Parliament and of the Council (OJ L, 2024/1358, 22.5.2024, ELI: http://data.europa.eu/eli/reg/2024/1358/oj).

Euroopan parlamentin ja neuvoston asetus (EU) 2024/1358, annettu 14 päivänä toukokuuta 2024, Eurodac-järjestelmän perustamisesta biometristen tietojen vertailua varten Euroopan parlamentin ja neuvoston asetusten (EU) 2024/1351 ja (EU) 2024/1350 ja neuvoston direktiivin 2001/55/EY tehokkaaksi soveltamiseksi ja laittomasti oleskelevien kolmansien maiden kansalaisten ja kansalaisuudettomien henkilöiden tunnistamiseksi sekä jäsenvaltioiden lainvalvontaviranomaisten ja Europolin esittämistä, Eurodac-tietoihin lainvalvontatarkoituksia varten tehtäviä vertailuja koskevista pyynnöistä ja Euroopan parlamentin ja neuvoston asetusten (EU) 2018/1240 ja (EU) 2019/818 muuttamisesta ja Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 603/2013 kumoamisesta (EUVL L, 2024/1358, 22.5.2024, ELI: http://data.europa.eu/eli/reg/2024/1358/oj).

4. Entry/Exit System

4. Rajanylitystietojärjestelmä

Regulation (EU) 2017/2226 of the European Parliament and of the Council of 30 November 2017 establishing an Entry/Exit System (EES) to register entry and exit data and refusal of entry data of third-country nationals crossing the external borders of the Member States and determining the conditions for access to the EES for law enforcement purposes, and amending the Convention implementing the Schengen Agreement and Regulations (EC) No 767/2008 and (EU) No 1077/2011 (OJ L 327, 9.12.2017, p. 20).

Euroopan parlamentin ja neuvoston asetus (EU) 2017/2226, annettu 30 päivänä marraskuuta 2017, rajanylitystietojärjestelmän (EES) perustamisesta jäsenvaltioiden ulkorajat ylittävien kolmansien maiden kansalaisten maahantuloa, maastalähtöä ja pääsyn epäämistä koskevien tietojen rekisteröimiseksi ja edellytysten määrittämisestä pääsylle EES:n tietoihin lainvalvontatarkoituksissa sekä Schengenin sopimuksen soveltamisesta tehdyn yleissopimuksen ja asetusten (EY) N:o 767/2008 ja (EU) N:o 1077/2011 muuttamisesta (EUVL L 327, 9.12.2017, s. 20).

5. European Travel Information and Authorisation System

5. EU:n matkustustieto- ja -lupajärjestelmä

(a)

Regulation (EU) 2018/1240 of the European Parliament and of the Council of 12 September 2018 establishing a European Travel Information and Authorisation System (ETIAS) and amending Regulations (EU) No 1077/2011, (EU) No 515/2014, (EU) 2016/399, (EU) 2016/1624 and (EU) 2017/2226 (OJ L 236, 19.9.2018, p. 1).

Euroopan parlamentin ja neuvoston asetus (EU) 2018/1240, annettu 12 päivänä syyskuuta 2018, Euroopan matkustustieto- ja -lupajärjestelmän (ETIAS) perustamisesta ja asetusten (EU) N:o 1077/2011, (EU) N:o 515/2014, (EU) 2016/399, (EU) 2016/1624 ja (EU) 2017/2226 muuttamisesta (EUVL L 236, 19.9.2018, s. 1).

(b)

Regulation (EU) 2018/1241 of the European Parliament and of the Council of 12 September 2018 amending Regulation (EU) 2016/794 for the purpose of establishing a European Travel Information and Authorisation System (ETIAS) (OJ L 236, 19.9.2018, p. 72).

Euroopan parlamentin ja neuvoston asetus (EU) 2018/1241, annettu 12 päivänä syyskuuta 2018, asetuksen (EU) 2016/794 muuttamisesta Euroopan matkustustieto- ja -lupajärjestelmän (ETIAS) perustamiseksi (EUVL L 236, 19.9.2018, s. 72).

6. European Criminal Records Information System on third-country nationals and stateless persons

6. Kolmansien maiden kansalaisia ja kansalaisuudettomia koskeva eurooppalainen rikosrekisteritietojärjestelmä

Regulation (EU) 2019/816 of the European Parliament and of the Council of 17 April 2019 establishing a centralised system for the identification of Member States holding conviction information on third-country nationals and stateless persons (ECRIS-TCN) to supplement the European Criminal Records Information System and amending Regulation (EU) 2018/1726 (OJ L 135, 22.5.2019, p. 1).

Euroopan parlamentin ja neuvoston asetus (EU) 2019/816, annettu 17 päivänä huhtikuuta 2019, niiden jäsenvaltioiden tunnistamista koskevan keskitetyn järjestelmän perustamisesta, joilla on kolmansien maiden kansalaisten ja kansalaisuudettomien henkilöiden tuomioita koskevia tietoja (ECRIS-TCN), eurooppalaisen rikosrekisteritietojärjestelmän täydentämiseksi ja asetuksen (EU) 2018/1726 muuttamisesta (EUVL L 135, 22.5.2019, s. 1).

7. Interoperability

7. Yhteentoimivuus

(a)

Regulation (EU) 2019/817 of the European Parliament and of the Council of 20 May 2019 on establishing a framework for interoperability between EU information systems in the field of borders and visa and amending Regulations (EC) No 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1726 and (EU) 2018/1861 of the European Parliament and of the Council and Council Decisions 2004/512/EC and 2008/633/JHA (OJ L 135, 22.5.2019, p. 27).

Euroopan parlamentin ja neuvoston asetus (EU) 2019/817, annettu 20 päivänä toukokuuta 2019, kehyksen vahvistamisesta rajoja ja viisumipolitiikkaa koskevien EU:n tietojärjestelmien yhteentoimivuudelle ja Euroopan parlamentin ja neuvoston asetusten (EY) N:o 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1726 ja (EU) 2018/1861 sekä neuvoston päätösten 2004/512/EY ja 2008/633/YOS muuttamisesta (EUVL L 135, 22.5.2019, s. 27).

(b)

Regulation (EU) 2019/818 of the European Parliament and of the Council of 20 May 2019 on establishing a framework for interoperability between EU information systems in the field of police and judicial cooperation, asylum and migration and amending Regulations (EU) 2018/1726, (EU) 2018/1862 and (EU) 2019/816 (OJ L 135, 22.5.2019, p. 85).

Euroopan parlamentin ja neuvoston asetus (EU) 2019/818, annettu 20 päivänä toukokuuta 2019, kehyksen vahvistamisesta poliisiyhteistyötä ja oikeudellista yhteistyötä sekä turvapaikka- ja muuttoliikeasioita koskevien EU:n tietojärjestelmien yhteentoimivuudelle ja asetusten (EU) 2018/1726, (EU) 2018/1862 ja (EU) 2019/816 muuttamisesta (EUVL L 135, 22.5.2019, s. 85).

ANNEX XI

LIITE XI

Technical documentation referred to in Article 53(1), point (a) — technical documentation for providers of general-purpose AI models

Tämän asetuksen 53 artiklan 1 kohdan a alakohdassa tarkoitettu tekninen dokumentaatio – yleiskäyttöisten tekoälymallien tarjoajia koskeva tekninen dokumentaatio

Section 1

1 jakso

Information to be provided by all providers of general-purpose AI models

Tiedot, jotka kaikkien yleiskäyttöisten tekoälymallien tarjoajien on toimitettava

The technical documentation referred to in Article 53(1), point (a) shall contain at least the following information as appropriate to the size and risk profile of the model:

Tämän asetuksen 53 artiklan 1 kohdan a alakohdassa tarkoitettuun tekniseen dokumentaation on sisällyttävä vähintään seuraavat tiedot mallin koon ja riskiprofiilin mukaan:

A general description of the general-purpose AI model including:

Yleiskäyttöisen tekoälymallin yleinen kuvaus, mukaan lukien seuraavat tiedot:

(a)

the tasks that the model is intended to perform and the type and nature of AI systems in which it can be integrated;

tehtävät, jotka mallin on tarkoitus suorittaa, sekä niiden tekoälyjärjestelmien tyyppi ja luonne, joihin se voidaan integroida;

(b)

the acceptable use policies applicable;

sovellettavat hyväksyttävän käytön periaatteet;

(c)

the date of release and methods of distribution;

julkaisupäivä ja jakelumenetelmät;

(d)

the architecture and number of parameters;

parametrien arkkitehtuuri ja lukumäärä;

(e)

the modality (e.g. text, image) and format of inputs and outputs;

syöttötietojen ja tuotosten modaalisuus (esim. teksti ja kuva) ja muoto;

(f)

the licence.

lisenssi.

A detailed description of the elements of the model referred to in point 1, and relevant information of the process for the development, including the following elements:

Yksityiskohtainen kuvaus 1 kohdassa tarkoitetuista mallin osista ja olennaiset tiedot kehittämisprosessista, mukaan lukien seuraavat seikat:

(a)

the technical means (e.g. instructions of use, infrastructure, tools) required for the general-purpose AI model to be integrated in AI systems;

tekniset välineet (esim. käyttöohjeet, infrastruktuuri ja työkalut), jotka vaaditaan yleiskäyttöisen tekoälymallin integroimiseksi tekoälyjärjestelmiin;

(b)

the design specifications of the model and training process, including training methodologies and techniques, the key design choices including the rationale and assumptions made; what the model is designed to optimise for and the relevance of the different parameters, as applicable;

mallin ja koulutusprosessin rakennespesifikaatiot, myös koulutusmenetelmät ja -tekniikat, keskeiset rakenteelliset valinnat, mukaan lukien periaatteet ja tehdyt oletukset; se, mihin nähden malli on suunniteltu optimoitumaan ja tapauksen mukaan eri parametrien merkitys;

(c)

information on the data used for training, testing and validation, where applicable, including the type and provenance of data and curation methodologies (e.g. cleaning, filtering, etc.), the number of data points, their scope and main characteristics; how the data was obtained and selected as well as all other measures to detect the unsuitability of data sources and methods to detect identifiable biases, where applicable;

tiedot koulutuksessa, testauksessa ja validoinnissa käytetystä datasta, tarvittaessa myös datan tyypistä ja alkuperästä sekä kuratointimenetelmistä (esim. puhdistus, suodatus jne.), tietopisteiden lukumäärästä, laajuudesta ja pääpiirteistä; se, miten data on saatu ja valittu, sekä tarvittaessa kaikki muut toimenpiteet, joilla havaitaan datalähteiden sopimattomuus, ja menetelmät vinoutumien havaitsemiseksi;

(d)

the computational resources used to train the model (e.g. number of floating point operations), training time, and other relevant details related to the training;

mallin kouluttamiseen käytetyt laskentaresurssit (esim. liukulukulaskutoimitusten lukumäärä), koulutusaika ja muut koulutukseen liittyvät olennaiset tiedot;

(e)

known or estimated energy consumption of the model.

mallin tunnettu tai arvioitu energiankulutus.

With regard to point (e), where the energy consumption of the model is unknown, the energy consumption may be based on information about computational resources used.

Edellä olevan e alakohdan osalta, jos mallin energiankulutus ei ole tiedossa, energiakulutuksen perustana voidaan hyödyntää käytettyjä laskentaresursseja koskevia tietoja.

Section 2

2 jakso

Additional information to be provided by providers of general-purpose AI models with systemic risk

Sellaisten yleiskäyttöisten tekoälymallien tarjoajien, joihin liittyy systeeminen riski, toimitettavat lisätiedot

A detailed description of the evaluation strategies, including evaluation results, on the basis of available public evaluation protocols and tools or otherwise of other evaluation methodologies. Evaluation strategies shall include evaluation criteria, metrics and the methodology on the identification of limitations.

Yksityiskohtainen kuvaus arviointistrategioista, mukaan lukien arvioinnin tulokset, käytettävissä olevien julkisten arviointiprotokollien ja -välineiden tai muiden arviointimenetelmien perusteella. Arviointistrategioihin on sisällyttävä arviointiperusteet, mittarit ja menetelmät rajoitusten tunnistamiseksi.

Where applicable, a detailed description of the measures put in place for the purpose of conducting internal and/or external adversarial testing (e.g. red teaming), model adaptations, including alignment and fine-tuning.

Tarvittaessa yksityiskohtainen kuvaus toimenpiteistä, jotka on otettu käyttöön sisäisen ja/tai ulkoisen adversariaalisen testauksen suorittamiseksi (esim. red teaming -testaus) ja mallien mukauttamiseksi, mukaan lukien yhdenmukaistaminen ja hienosäätö.

Where applicable, a detailed description of the system architecture explaining how software components build or feed into each other and integrate into the overall processing.

Tarvittaessa järjestelmäarkkitehtuurin yksityiskohtainen kuvaus, jossa selitetään, miten ohjelmistokomponentit rakentuvat suhteessa toisiinsa tai ovat vuorovaikutuksessa ja miten ne osallistuvat järjestelmän toimintaan.

ANNEX XII

LIITE XII

Transparency information referred to in Article 53(1), point (b) — technical documentation for providers of general-purpose AI models to downstream providers that integrate the model into their AI system

53 artiklan 1 kohdan b alakohdassa tarkoitetut avoimuustiedot – tekninen dokumentaatio yleiskäyttöisten tekoälymallien tarjoajille, jotka tarjoavat malleja loppupään tarjoajille, jotka integroivat ne tekoälyjärjestelmäänsä

The information referred to in Article 53(1), point (b) shall contain at least the following:

Tämän asetuksen 53 artiklan 1 kohdan b alakohdassa tarkoitettuihin tietoihin on sisällyttävä vähintään seuraavat tiedot:

A general description of the general-purpose AI model including:

Yleiskäyttöisen tekoälymallin yleinen kuvaus, mukaan lukien seuraavat tiedot:

(a)

the tasks that the model is intended to perform and the type and nature of AI systems into which it can be integrated;

tehtävät, jotka mallin on tarkoitus suorittaa, sekä niiden tekoälyjärjestelmien tyyppi ja luonne, joihin se voidaan integroida;

(b)

the acceptable use policies applicable;

sovellettavat hyväksyttävän käytön periaatteet;

(c)

the date of release and methods of distribution;

julkaisupäivä ja jakelumenetelmät;

(d)

how the model interacts, or can be used to interact, with hardware or software that is not part of the model itself, where applicable;

tarvittaessa se, miten malli on vuorovaikutuksessa tai miten sitä voidaan käyttää vuorovaikutukseen sellaisten laitteiden tai ohjelmistojen kanssa, jotka eivät ole osa itse mallia;

(e)

the versions of relevant software related to the use of the general-purpose AI model, where applicable;

tarvittaessa yleiskäyttöisen tekoälymallin käyttöön liittyvien asianomaisten laiteohjelmistojen versiot;

(f)

the architecture and number of parameters;

parametrien arkkitehtuuri ja lukumäärä;

(g)

the modality (e.g. text, image) and format of inputs and outputs;

syöttötietojen ja tuotosten modaalisuus (esim. teksti ja kuva) ja muoto;

(h)

the licence for the model.

mallin lisenssi.

A description of the elements of the model and of the process for its development, including:

Kuvaus mallin osista ja sen kehittämisprosessista, mukaan lukien seuraavat tiedot:

(a)

the technical means (e.g. instructions for use, infrastructure, tools) required for the general-purpose AI model to be integrated into AI systems;

tekniset välineet (esim. käyttöohjeet, infrastruktuuri ja työkalut), jotka vaaditaan yleiskäyttöisen tekoälymallin integroimiseksi tekoälyjärjestelmiin;

(b)

the modality (e.g. text, image, etc.) and format of the inputs and outputs and their maximum size (e.g. context window length, etc.);

syöttötietojen ja tuotosten modaalisuus (esim. teksti ja kuva) ja muoto sekä niiden enimmäiskoko (esim. konteksti-ikkunan koko);

(c)

information on the data used for training, testing and validation, where applicable, including the type and provenance of data and curation methodologies.

tiedot koulutuksessa, testauksessa ja validoinnissa käytetystä datasta, mukaan lukien datan tyyppi ja alkuperä sekä kuratointimenetelmät.

ANNEX XIII

LIITE XIII

Criteria for the designation of general-purpose AI models with systemic risk referred to in Article 51

Perusteet 51 artiklassa tarkoitettujen yleiskäyttöisten tekoälymallien, joihin liittyy systeeminen riski, nimeämiselle

For the purpose of determining that a general-purpose AI model has capabilities or an impact equivalent to those set out in Article 51(1), point (a), the Commission shall take into account the following criteria:

Sen määrittämiseksi, että yleiskäyttöisen tekoälymallin suorituskyky tai vaikutus vastaa 51 artiklan 1 kohdan a alakohdassa säädettyä suorituskykyä tai vaikutusta, komissio ottaa huomioon seuraavat kriteerit:

(a)

the number of parameters of the model;

mallin parametrien lukumäärä;

(b)

the quality or size of the data set, for example measured through tokens;

datajoukon laatu tai koko, esimerkiksi tokeneilla mitattuna;

(c)

the amount of computation used for training the model, measured in floating point operations or indicated by a combination of other variables such as estimated cost of training, estimated time required for the training, or estimated energy consumption for the training;

mallin koulutuksessa käytetyn laskennan määrä mitattuna liukulaskutoimituksilla tai ilmaistuna muiden muuttujien, kuten arvioitujen koulutuskustannusten, arvioidun koulutukseen tarvittavan ajan tai arvioidun koulutuksen energiankulutuksen, yhdistelmänä;

(d)

the input and output modalities of the model, such as text to text (large language models), text to image, multi-modality, and the state of the art thresholds for determining high-impact capabilities for each modality, and the specific type of inputs and outputs (e.g. biological sequences);

mallin syöttötietojen ja tuotosten modaalisuus, kuten tekstistä tekstiksi (laaja kielimalli), tekstistä kuvaksi tai multimodaalisuus, ja uusimmat kynnysarvot laajavaikutteisten valmiuksien määrittelemiseksi kullekin modaalisuudelle sekä syöttötietojen ja tuotosten erityinen tyyppi (esim. biologinen sekvenssi);

(e)

the benchmarks and evaluations of capabilities of the model, including considering the number of tasks without additional training, adaptability to learn new, distinct tasks, its level of autonomy and scalability, the tools it has access to;

mallin valmiuksien vertailuarvot ja arvioinnit, mukaan lukien sellaisten tehtävien määrä, joihin ei liity lisäkoulutusta, mukautumiskyky uusien, erillisten tehtävien oppimiseen, sen itsenäisyyden ja skaalattavuuden aste sekä sen käytettävissä olevat välineet;

(f)

whether it has a high impact on the internal market due to its reach, which shall be presumed when it has been made available to at least 10 000 registered business users established in the Union;

se, onko mallilla kattavuutensa vuoksi suuri vaikutus sisämarkkinoihin, mikä on oletuksena, kun se on asetettu vähintään 10 000:n unioniin sijoittautuneen rekisteröidyn yrityskäyttäjän saataville;

(g)

the number of registered end-users.

rekisteröityjen loppukäyttäjien lukumäärä.

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

ISSN 1977-0677 (electronic edition)

ISSN 1977-0812 (electronic edition)