1. Denna förordning är tillämplig på
1. This Regulation applies to:
a)
leverantörer som släpper ut AI-system på marknaden eller tar sådana i bruk eller släpper ut AI-modeller för allmänna ändamål på marknaden i unionen, oavsett om dessa leverantörer är etablerade eller befinner sig i unionen eller i ett tredjeland,
(a)
providers placing on the market or putting into service AI systems or placing on the market general-purpose AI models in the Union, irrespective of whether those providers are established or located within the Union or in a third country;
b)
tillhandahållare av AI-system som har sin etableringsort eller befinner sig i unionen,
(b)
deployers of AI systems that have their place of establishment or are located within the Union;
c)
leverantörer och tillhandahållare av AI-system som har sin etableringsort eller befinner sig i ett tredjeland, om de utdata som produceras av AI-systemet används i unionen,
(c)
providers and deployers of AI systems that have their place of establishment or are located in a third country, where the output produced by the AI system is used in the Union;
d)
importörer och distributörer av AI-system,
(d)
importers and distributors of AI systems;
e)
produkttillverkare som på marknaden släpper ut eller som tar i bruk ett AI-system tillsammans med sin produkt och i eget namn eller under eget varumärke,
(e)
product manufacturers placing on the market or putting into service an AI system together with their product and under their own name or trademark;
f)
ombud för leverantörer som inte är etablerade i unionen,
(f)
authorised representatives of providers, which are not established in the Union;
g)
berörda personer som befinner sig i unionen.
(g)
affected persons that are located in the Union.
2. För AI-system som klassificeras som AI-system med hög risk enligt artikel 6.1 och som är relaterade till produkter som omfattas av unionens harmoniseringslagstiftning som förtecknas i avsnitt B i bilaga I är endast artiklarna 6.1, 102-109 och 112 tillämpliga. Artikel 57 är endast tillämplig i den mån som kraven för AI-system med hög risk enligt denna förordning har integrerats i den unionsharmoniseringslagstiftningen.
2. For AI systems classified as high-risk AI systems in accordance with Article 6(1) related to products covered by the Union harmonisation legislation listed in Section B of Annex I, only Article 6(1), Articles 102 to 109 and Article 112 apply. Article 57 applies only in so far as the requirements for high-risk AI systems under this Regulation have been integrated in that Union harmonisation legislation.
3. Denna förordning är inte tillämplig på områden som inte omfattas av unionsrättens tillämpningsområde och ska under alla omständigheter inte påverka medlemsstaternas befogenheter när det gäller nationell säkerhet, oavsett vilken typ av enhet som av medlemsstaterna har anförtrotts uppgiften i fråga om dessa befogenheter.
3. This Regulation does not apply to areas outside the scope of Union law, and shall not, in any event, affect the competences of the Member States concerning national security, regardless of the type of entity entrusted by the Member States with carrying out tasks in relation to those competences.
Denna förordning är inte tillämplig på AI-system om och i den mån de släpps ut på marknaden, tas i bruk eller används med eller utan ändring uteslutande för militära ändamål, försvarsändamål eller ändamål som rör nationell säkerhet, oavsett vilken typ av enhet som bedriver denna verksamhet.
This Regulation does not apply to AI systems where and in so far they are placed on the market, put into service, or used with or without modification exclusively for military, defence or national security purposes, regardless of the type of entity carrying out those activities.
Denna förordning är inte tillämplig på AI-system som inte släpps ut på marknaden eller tas i bruk i unionen, om utdata används i unionen uteslutande för militära ändamål, försvarsändamål eller ändamål som rör nationell säkerhet, oavsett vilken typ av enhet som bedriver denna verksamhet.
This Regulation does not apply to AI systems which are not placed on the market or put into service in the Union, where the output is used in the Union exclusively for military, defence or national security purposes, regardless of the type of entity carrying out those activities.
4. Denna förordning är inte tillämplig på offentliga myndigheter i ett tredjeland, eller på internationella organisationer som omfattas av denna förordnings tillämpningsområde enligt punkt 1, om dessa myndigheter eller organisationer använder AI-system inom ramen för internationellt samarbete eller internationella avtal om brottsbekämpande och rättsligt samarbete med unionen eller med en eller flera medlemsstater, förutsatt att ett sådant tredjeland eller en sådan internationell organisation erbjuder lämpliga skyddsåtgärder med avseende på skyddet av enskildas grundläggande rättigheter och friheter.
4. This Regulation applies neither to public authorities in a third country nor to international organisations falling within the scope of this Regulation pursuant to paragraph 1, where those authorities or organisations use AI systems in the framework of international cooperation or agreements for law enforcement and judicial cooperation with the Union or with one or more Member States, provided that such a third country or international organisation provides adequate safeguards with respect to the protection of fundamental rights and freedoms of individuals.
5. Denna förordning påverkar inte tillämpningen av bestämmelserna om ansvar för leverantörer av förmedlingstjänster i kapitel II i förordning (EU) 2022/2065.
5. This Regulation shall not affect the application of the provisions on the liability of providers of intermediary services as set out in Chapter II of Regulation (EU) 2022/2065.
6. Denna förordning är inte tillämplig på AI-system eller AI-modeller, inbegripet deras utdata, som specifikt utvecklas och tas i bruk enbart i vetenskapligt forsknings- och utvecklingssyfte.
6. This Regulation does not apply to AI systems or AI models, including their output, specifically developed and put into service for the sole purpose of scientific research and development.
7. Unionsrätt om skydd av personuppgifter, integritet och konfidentialitet vid kommunikation är tillämplig på personuppgifter som behandlas i samband med de rättigheter och skyldigheter som fastställs i denna förordning. Denna förordning påverkar inte förordning (EU) 2016/679 eller (EU) 2018/1725 eller direktiv 2002/58/EG eller (EU) 2016/680, utan att det påverkar tillämpningen av artiklarna 10.5 och 59 i den här förordningen.
7. Union law on the protection of personal data, privacy and the confidentiality of communications applies to personal data processed in connection with the rights and obligations laid down in this Regulation. This Regulation shall not affect Regulation (EU) 2016/679 or (EU) 2018/1725, or Directive 2002/58/EC or (EU) 2016/680, without prejudice to Article 10(5) and Article 59 of this Regulation.
8. Denna förordning är inte tillämplig på forsknings-, testnings- eller utvecklingsverksamhet för AI-system eller AI-modeller innan de släpps ut på marknaden eller tas i bruk. Sådan verksamhet ska bedrivas i enlighet med tillämplig unionsrätt. Testning under verkliga förhållanden omfattas inte av detta undantag.
8. This Regulation does not apply to any research, testing or development activity regarding AI systems or AI models prior to their being placed on the market or put into service. Such activities shall be conducted in accordance with applicable Union law. Testing in real world conditions shall not be covered by that exclusion.
9. Denna förordning påverkar inte tillämpningen av de regler som fastställs genom andra unionsrättsakter om konsumentskydd och produktsäkerhet.
9. This Regulation is without prejudice to the rules laid down by other Union legal acts related to consumer protection and product safety.
10. Denna förordning är inte tillämplig på skyldigheter för tillhandahållare som är fysiska personer och som använder AI-system inom ramen för en rent personlig icke-yrkesmässig verksamhet.
10. This Regulation does not apply to obligations of deployers who are natural persons using AI systems in the course of a purely personal non-professional activity.
11. Denna förordning hindrar inte unionen eller medlemsstaterna från att behålla eller införa lagar och andra författningar som är förmånligare för arbetstagare när det gäller att skydda deras rättigheter i fråga om arbetsgivares användning av AI-system, eller att uppmuntra eller tillåta tillämpning av kollektivavtal som är förmånligare för arbetstagare.
11. This Regulation does not preclude the Union or Member States from maintaining or introducing laws, regulations or administrative provisions which are more favourable to workers in terms of protecting their rights in respect of the use of AI systems by employers, or from encouraging or allowing the application of collective agreements which are more favourable to workers.
12. Denna förordning är inte tillämplig på AI-system som släpps ut med kostnadsfria licenser med öppen källkod, såvida de inte släpps ut på marknaden eller tas i bruk som ett AI-system med hög risk eller som ett AI-system som omfattas av artikel 5 eller 50.
12. This Regulation does not apply to AI systems released under free and open-source licences, unless they are placed on the market or put into service as high-risk AI systems or as an AI system that falls under Article 5 or 50.
Förbjudna AI-användningsområden
1. Följande AI-användningsområden ska vara förbjudna:
1. The following AI practices shall be prohibited:
a)
Utsläppande på marknaden, ibruktagande eller användning av ett AI-system som utnyttjar subliminala tekniker som människor inte är medvetna om eller avsiktligt manipulerande eller vilseledande tekniker som syftar eller leder till en väsentlig påverkan på en persons eller en grupp av personers beteende genom att avsevärt försämra deras förmåga att fatta ett välgrundat beslut, vilket får dem att fatta ett beslut som de annars inte skulle ha fattat, på ett sätt som orsakar eller med rimlig sannolikhet kommer att orsaka betydande skada för den personen, en annan person eller en grupp av personer.
(a)
the placing on the market, the putting into service or the use of an AI system that deploys subliminal techniques beyond a person’s consciousness or purposefully manipulative or deceptive techniques, with the objective, or the effect of materially distorting the behaviour of a person or a group of persons by appreciably impairing their ability to make an informed decision, thereby causing them to take a decision that they would not have otherwise taken in a manner that causes or is reasonably likely to cause that person, another person or group of persons significant harm;
b)
Utsläppande på marknaden, ibruktagande eller användning av ett AI-system som utnyttjar en sårbarhet hos en fysisk person eller en specifik grupp av personer som härrör från ålder, funktionsnedsättning eller en specifik social eller ekonomisk situation, med målet eller verkan att väsentligt påverka beteendet hos den personen eller en person som tillhör den gruppen på ett sätt som orsakar eller med rimlig sannolikhet kommer att orsaka betydande skada för den personen eller en annan person.
(b)
the placing on the market, the putting into service or the use of an AI system that exploits any of the vulnerabilities of a natural person or a specific group of persons due to their age, disability or a specific social or economic situation, with the objective, or the effect, of materially distorting the behaviour of that person or a person belonging to that group in a manner that causes or is reasonably likely to cause that person or another person significant harm;
c)
Utsläppande på marknaden, ibruktagande eller användning av AI-system för utvärdering eller klassificering av fysiska personer eller grupper av personer under en viss tidsperiod på grundval av deras sociala beteende eller kända, uttydda eller förutsedda personliga eller personlighetsrelaterade egenskaper, med en social poängsättning som leder till det ena eller båda av följande:
(c)
the placing on the market, the putting into service or the use of AI systems for the evaluation or classification of natural persons or groups of persons over a certain period of time based on their social behaviour or known, inferred or predicted personal or personality characteristics, with the social score leading to either or both of the following:
i)
Skadlig eller ogynnsam behandling av vissa fysiska personer eller grupper av personer i sociala sammanhang som saknar koppling till de sammanhang i vilka berörda data ursprungligen genererades eller samlades in.
(i)
detrimental or unfavourable treatment of certain natural persons or groups of persons in social contexts that are unrelated to the contexts in which the data was originally generated or collected;
ii)
Skadlig eller ogynnsam behandling av vissa fysiska personer eller grupper av personer som är omotiverad eller oproportionerlig i förhållande till personernas sociala beteende eller till hur allvarligt beteendet är.
(ii)
detrimental or unfavourable treatment of certain natural persons or groups of persons that is unjustified or disproportionate to their social behaviour or its gravity;
d)
Utsläppande på marknaden, ibruktagande för detta specifika ändamål eller användning av ett AI-system för riskbedömningar av fysiska personer i syfte att bedöma eller förutse risken för att en fysisk person begår ett brott, uteslutande grundat på profileringen av en fysisk person eller på en bedömning av deras personlighetsdrag och egenskaper. Detta förbud är inte tillämpligt på AI-system som används för att stödja mänsklig bedömning av en persons inblandning i brottslig verksamhet, som redan grundas på objektiva och verifierbara fakta med direkt anknytning till brottslig verksamhet.
(d)
the placing on the market, the putting into service for this specific purpose, or the use of an AI system for making risk assessments of natural persons in order to assess or predict the risk of a natural person committing a criminal offence, based solely on the profiling of a natural person or on assessing their personality traits and characteristics; this prohibition shall not apply to AI systems used to support the human assessment of the involvement of a person in a criminal activity, which is already based on objective and verifiable facts directly linked to a criminal activity;
e)
Utsläppande på marknaden, ibruktagande för detta specifika ändamål eller användning av AI-system som skapar eller utvidgar databaser för ansiktsigenkänning genom oriktad skrapning av ansiktsbilder från internet eller övervakningskameror.
(e)
the placing on the market, the putting into service for this specific purpose, or the use of AI systems that create or expand facial recognition databases through the untargeted scraping of facial images from the internet or CCTV footage;
f)
Utsläppande på marknaden, ibruktagande för detta specifika ändamål eller användning av AI-system för att uttyda en fysisk persons känslor på arbetsplatsen eller vid utbildningsinstitutioner, såvida inte AI-systemets användning är avsett att införas eller släppas ut på marknaden av medicinska skäl eller säkerhetsskäl.
(f)
the placing on the market, the putting into service for this specific purpose, or the use of AI systems to infer emotions of a natural person in the areas of workplace and education institutions, except where the use of the AI system is intended to be put in place or into the market for medical or safety reasons;
g)
Utsläppande på marknaden, ibruktagande för detta specifika ändamål eller användning av system för biometrisk kategorisering som kategoriserar fysiska personer individuellt på grundval av deras biometriska uppgifter för att härleda eller dra slutsatser om en persons ras, politiska åsikter, medlemskap i fackförening, religiösa eller filosofiska övertygelse, sexualliv eller sexuella läggning. Detta förbud omfattar inte märkning eller filtrering av lagligen förvärvade biometriska dataset, såsom bilder, grundat på biometriska uppgifter eller kategorisering av biometriska uppgifter på området för brottsbekämpning.
(g)
the placing on the market, the putting into service for this specific purpose, or the use of biometric categorisation systems that categorise individually natural persons based on their biometric data to deduce or infer their race, political opinions, trade union membership, religious or philosophical beliefs, sex life or sexual orientation; this prohibition does not cover any labelling or filtering of lawfully acquired biometric datasets, such as images, based on biometric data or categorizing of biometric data in the area of law enforcement;
h)
Användning av system för biometrisk fjärridentifiering i realtid på allmänt tillgängliga platser för brottsbekämpande ändamål, om inte och endast i den mån sådan användning är absolut nödvändig för något av följande syften:
(h)
the use of ‘real-time’ remote biometric identification systems in publicly accessible spaces for the purposes of law enforcement, unless and in so far as such use is strictly necessary for one of the following objectives:
i)
Målinriktad sökning efter specifika offer för människorov, människohandel eller sexuellt utnyttjande av människor, samt sökning efter försvunna personer.
(i)
the targeted search for specific victims of abduction, trafficking in human beings or sexual exploitation of human beings, as well as the search for missing persons;
ii)
Förhindrande av ett specifikt, betydande och överhängande hot mot fysiska personers liv eller fysiska säkerhet eller ett verkligt och aktuellt eller verkligt och förutsebart hot om en terroristattack.
(ii)
the prevention of a specific, substantial and imminent threat to the life or physical safety of natural persons or a genuine and present or genuine and foreseeable threat of a terrorist attack;
iii)
Lokalisering eller identifiering av en person som misstänks ha begått ett brott, i syfte att genomföra en brottsutredning eller lagföring för brott eller verkställande av en straffrättslig påföljd för brott som avses i bilaga II och som i den berörda medlemsstaten kan leda till fängelse eller annan frihetsberövande åtgärd under en längsta tidsperiod på minst fyra år.
(iii)
the localisation or identification of a person suspected of having committed a criminal offence, for the purpose of conducting a criminal investigation or prosecution or executing a criminal penalty for offences referred to in Annex II and punishable in the Member State concerned by a custodial sentence or a detention order for a maximum period of at least four years.
Första stycket h påverkar inte artikel 9 i förordning (EU) 2016/679 vad gäller behandling av biometriska uppgifter för andra ändamål än brottsbekämpning.
Point (h) of the first subparagraph is without prejudice to Article 9 of Regulation (EU) 2016/679 for the processing of biometric data for purposes other than law enforcement.
2. Användningen av system för biometrisk fjärridentifiering i realtid på allmänt tillgängliga platser för brottsbekämpande ändamål för något av de syften som avses i punkt 1 första stycket h ska införas för de ändamål som anges i det ledet endast för att bekräfta identiteten på den individ som särskilt avses och ska ta hänsyn till följande faktorer:
2. The use of ‘real-time’ remote biometric identification systems in publicly accessible spaces for the purposes of law enforcement for any of the objectives referred to in paragraph 1, first subparagraph, point (h), shall be deployed for the purposes set out in that point only to confirm the identity of the specifically targeted individual, and it shall take into account the following elements:
a)
Arten av den situation som ger upphov till den eventuella användningen, särskilt hur allvarlig, sannolik och omfattande skadan skulle bli om systemet inte användes.
(a)
the nature of the situation giving rise to the possible use, in particular the seriousness, probability and scale of the harm that would be caused if the system were not used;
b)
Konsekvenserna av användningen av systemet för alla berörda personers rättigheter och friheter, särskilt vad gäller hur allvarliga, sannolika och omfattande dessa konsekvenser är.
(b)
the consequences of the use of the system for the rights and freedoms of all persons concerned, in particular the seriousness, probability and scale of those consequences.
Dessutom ska användningen av system för biometrisk fjärridentifiering i realtid på allmänt tillgängliga platser för brottsbekämpande ändamål för något av de syften som avses i punkt 1 första stycket h i denna artikel vara förenlig med nödvändiga och proportionella skyddsåtgärder och villkor avseende användningen i enlighet med nationell rätt som tillåter användning av dessa, särskilt vad gäller tidsmässiga och geografiska begränsningar samt personbegränsningar. Användningen av systemet för biometrisk fjärridentifiering i realtid på allmänt tillgängliga platser ska tillåtas endast om den brottsbekämpande myndigheten har slutfört en konsekvensbedömning avseende grundläggande rättigheter såsom föreskrivs i artikel 27 och har registrerat systemet i EU-databasen enligt artikel 49. I vederbörligen motiverade brådskande fall får dock användningen av sådana system påbörjas utan registrering i EU-databasen, förutsatt att denna registrering slutförs utan oskäligt dröjsmål.
In addition, the use of ‘real-time’ remote biometric identification systems in publicly accessible spaces for the purposes of law enforcement for any of the objectives referred to in paragraph 1, first subparagraph, point (h), of this Article shall comply with necessary and proportionate safeguards and conditions in relation to the use in accordance with the national law authorising the use thereof, in particular as regards the temporal, geographic and personal limitations. The use of the ‘real-time’ remote biometric identification system in publicly accessible spaces shall be authorised only if the law enforcement authority has completed a fundamental rights impact assessment as provided for in Article 27 and has registered the system in the EU database according to Article 49. However, in duly justified cases of urgency, the use of such systems may be commenced without the registration in the EU database, provided that such registration is completed without undue delay.
3. Vid tillämpning av punkt 1 första stycket h och punkt 2 ska det för varje användning för brottsbekämpande ändamål av ett system för biometrisk fjärridentifiering i realtid på allmänt tillgängliga platser krävas ett förhandstillstånd från en rättslig myndighet eller en oberoende administrativ myndighet vars beslut är bindande i den medlemsstat där användningen ska äga rum, utfärdat på motiverad begäran och i enlighet med de närmare bestämmelser i nationell rätt som avses i punkt 5. I vederbörligen motiverade brådskande situationer får dock användningen av ett sådant system påbörjas utan tillstånd, förutsatt att ett sådant tillstånd begärs utan oskäligt dröjsmål och senast inom 24 timmar. Om ett sådant tillstånd nekas ska användningen stoppas med omedelbar verkan och alla uppgifter samt resultat och utdata som rör denna användning förstöras och raderas.
3. For the purposes of paragraph 1, first subparagraph, point (h) and paragraph 2, each use for the purposes of law enforcement of a ‘real-time’ remote biometric identification system in publicly accessible spaces shall be subject to a prior authorisation granted by a judicial authority or an independent administrative authority whose decision is binding of the Member State in which the use is to take place, issued upon a reasoned request and in accordance with the detailed rules of national law referred to in paragraph 5. However, in a duly justified situation of urgency, the use of such system may be commenced without an authorisation provided that such authorisation is requested without undue delay, at the latest within 24 hours. If such authorisation is rejected, the use shall be stopped with immediate effect and all the data, as well as the results and outputs of that use shall be immediately discarded and deleted.
Den behöriga rättsliga myndigheten eller en oberoende administrativ myndighet vars beslut är bindande ska bevilja tillståndet endast om den, på grundval av objektiva bevis eller tydliga indikationer som lagts fram för den, har förvissat sig om att användningen av det berörda systemet för biometrisk fjärridentifiering i realtid är nödvändig och proportionell för att uppnå ett av de syften som anges i punkt 1 första stycket h, i enlighet med vad som anges i begäran och, i synnerhet, förblir begränsad till vad som är strikt nödvändigt när det gäller tidsperioden samt det geografiska tillämpningsområdet och de personer som omfattas. Vid beslut om begäran ska den myndigheten beakta de faktorer som avses i punkt 2. Inget beslut som har negativa rättsliga följder för en person får fattas enbart på grundval av utdata från systemet för biometrisk fjärridentifiering i realtid.
The competent judicial authority or an independent administrative authority whose decision is binding shall grant the authorisation only where it is satisfied, on the basis of objective evidence or clear indications presented to it, that the use of the ‘real-time’ remote biometric identification system concerned is necessary for, and proportionate to, achieving one of the objectives specified in paragraph 1, first subparagraph, point (h), as identified in the request and, in particular, remains limited to what is strictly necessary concerning the period of time as well as the geographic and personal scope. In deciding on the request, that authority shall take into account the elements referred to in paragraph 2. No decision that produces an adverse legal effect on a person may be taken based solely on the output of the ‘real-time’ remote biometric identification system.
4. Utan att det påverkar punkt 3 ska varje användning av ett system för biometrisk fjärridentifiering i realtid på allmänt tillgängliga platser för brottsbekämpande ändamål anmälas till den berörda marknadskontrollmyndigheten och den nationella dataskyddsmyndigheten i enlighet med de nationella regler som avses i punkt 5. Anmälan ska åtminstone innehålla den information som specificeras enligt punkt 6 och får inte inbegripa känsliga operativa uppgifter.
4. Without prejudice to paragraph 3, each use of a ‘real-time’ remote biometric identification system in publicly accessible spaces for law enforcement purposes shall be notified to the relevant market surveillance authority and the national data protection authority in accordance with the national rules referred to in paragraph 5. The notification shall, as a minimum, contain the information specified under paragraph 6 and shall not include sensitive operational data.
5. En medlemsstat får besluta att föreskriva en möjlighet att helt eller delvis tillåta användning av system för biometrisk fjärridentifiering i realtid på allmänt tillgängliga platser för brottsbekämpande ändamål inom de gränser och på de villkor som anges i punkt 1 första stycket h samt punkterna 2 och 3. De berörda medlemsstaterna ska i sin nationella rätt fastställa de nödvändiga närmare reglerna för begäran om, utfärdande av och utövande av samt tillsyn över och rapportering om de tillstånd som avses i punkt 3. I dessa regler ska det också anges för vilka av de syften som förtecknas i punkt 1 första stycket h, inbegripet för vilka av de brott som avses i led h iii i den punkten, de behöriga myndigheterna kan få tillstånd att använda dessa system för brottsbekämpande ändamål. Medlemsstaterna ska till kommissionen anmäla dessa regler senast 30 dagar efter deras antagande. Medlemsstaterna får införa mer restriktiva lagar om användningen av system för biometrisk fjärridentifiering i enlighet med unionsrätten.
5. A Member State may decide to provide for the possibility to fully or partially authorise the use of ‘real-time’ remote biometric identification systems in publicly accessible spaces for the purposes of law enforcement within the limits and under the conditions listed in paragraph 1, first subparagraph, point (h), and paragraphs 2 and 3. Member States concerned shall lay down in their national law the necessary detailed rules for the request, issuance and exercise of, as well as supervision and reporting relating to, the authorisations referred to in paragraph 3. Those rules shall also specify in respect of which of the objectives listed in paragraph 1, first subparagraph, point (h), including which of the criminal offences referred to in point (h)(iii) thereof, the competent authorities may be authorised to use those systems for the purposes of law enforcement. Member States shall notify those rules to the Commission at the latest 30 days following the adoption thereof. Member States may introduce, in accordance with Union law, more restrictive laws on the use of remote biometric identification systems.
6. Medlemsstaternas nationella marknadskontrollmyndigheter och nationella dataskyddsmyndigheter som har underrättats om användningen av system för biometrisk fjärridentifiering i realtid på allmänt tillgänglig plats för brottsbekämpande ändamål enligt punkt 4 ska lämna in årliga rapporter till kommissionen om sådan användning. För detta ändamål ska kommissionen förse medlemsstaterna och de nationella marknadskontrollmyndigheterna och dataskyddsmyndigheterna med en mall som inkluderar information om antalet beslut som fattats av behöriga rättsliga myndigheter eller en oberoende administrativ myndighet vars beslut är bindande gällande ansökningar om tillstånd i enlighet med punkt 3 och resultatet av dessa.
6. National market surveillance authorities and the national data protection authorities of Member States that have been notified of the use of ‘real-time’ remote biometric identification systems in publicly accessible spaces for law enforcement purposes pursuant to paragraph 4 shall submit to the Commission annual reports on such use. For that purpose, the Commission shall provide Member States and national market surveillance and data protection authorities with a template, including information on the number of the decisions taken by competent judicial authorities or an independent administrative authority whose decision is binding upon requests for authorisations in accordance with paragraph 3 and their result.
7. Kommissionen ska offentliggöra årliga rapporter om användningen av system för biometrisk fjärridentifiering i realtid på allmänt tillgänglig plats för brottsbekämpande ändamål på grundval av aggregerade data från medlemsstaterna baserat på de årliga rapporter som avses i punkt 6. Dessa årliga rapporter får inte omfatta känsliga operativa uppgifter som rör relaterad brottsbekämpande verksamhet.
7. The Commission shall publish annual reports on the use of real-time remote biometric identification systems in publicly accessible spaces for law enforcement purposes, based on aggregated data in Member States on the basis of the annual reports referred to in paragraph 6. Those annual reports shall not include sensitive operational data of the related law enforcement activities.
8. Denna artikel påverkar inte de förbud som är tillämpliga när ett AI-användningsområde strider mot annan unionsrätt.
8. This Article shall not affect the prohibitions that apply where an AI practice infringes other Union law.
Skyldigheter för tillhandahållare av AI-system med hög risk
Obligations of deployers of high-risk AI systems
1. Tillhandahållare av AI-system med hög risk ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att de använder sådana system i enlighet med de bruksanvisningar som åtföljer systemen, enligt punkterna 3 och 6.
1. Deployers of high-risk AI systems shall take appropriate technical and organisational measures to ensure they use such systems in accordance with the instructions for use accompanying the systems, pursuant to paragraphs 3 and 6.
2. Tillhandahållare ska tilldela fysiska personer som har nödvändig kompetens, utbildning och auktoritet samt nödvändigt stöd uppgiften att utöva mänsklig kontroll.
2. Deployers shall assign human oversight to natural persons who have the necessary competence, training and authority, as well as the necessary support.
3. De skyldigheter som fastställs i punkterna 1 och 2 påverkar inte andra skyldigheter för tillhandahållare enligt unionsrätten eller nationell rätt eller tillhandahållarens frihet att organisera sina egna resurser och sin egen verksamhet i syfte att genomföra de åtgärder för mänsklig kontroll som leverantören anger.
3. The obligations set out in paragraphs 1 and 2, are without prejudice to other deployer obligations under Union or national law and to the deployer’s freedom to organise its own resources and activities for the purpose of implementing the human oversight measures indicated by the provider.
4. Utan att det påverkar tillämpningen av punkterna 1 och 2 ska tillhandahållaren, i den mån tillhandahållaren utövar kontroll över indata, säkerställa att indata är relevanta och tillräckligt representativa med tanke på det avsedda ändamålet med AI-systemet med hög risk.
4. Without prejudice to paragraphs 1 and 2, to the extent the deployer exercises control over the input data, that deployer shall ensure that input data is relevant and sufficiently representative in view of the intended purpose of the high-risk AI system.
5. Tillhandahållare ska övervaka driften av AI-systemet med hög risk på grundval av bruksanvisningen och, i förekommande fall, informera leverantörerna i enlighet med artikel 72. Om tillhandahållare har skäl att tro att användningen av AI-systemet med hög risk i enlighet med instruktionerna kan leda till att AI-systemet utgöra en risk i den mening som avses i artikel 79.1 ska de, utan oskäligt dröjsmål, informera leverantören eller distributören och den berörda marknadskontrollmyndigheten och tillfälligt avbryta användningen av det systemet. Om tillhandahållare har fastställt en allvarlig incident ska de också omedelbart informera först leverantören och sedan importören eller distributören och de berörda marknadskontrollsmyndigheterna om den incidenten. Om tillhandahållaren inte kan nå leverantören ska artikel 73 gälla i tillämpliga delar. Denna skyldighet omfattar inte känsliga operativa uppgifter om tillhandahållare av AI-system som är brottsbekämpande myndigheter.
5. Deployers shall monitor the operation of the high-risk AI system on the basis of the instructions for use and, where relevant, inform providers in accordance with Article 72. Where deployers have reason to consider that the use of the high-risk AI system in accordance with the instructions may result in that AI system presenting a risk within the meaning of Article 79(1), they shall, without undue delay, inform the provider or distributor and the relevant market surveillance authority, and shall suspend the use of that system. Where deployers have identified a serious incident, they shall also immediately inform first the provider, and then the importer or distributor and the relevant market surveillance authorities of that incident. If the deployer is not able to reach the provider, Article 73 shall apply mutatis mutandis. This obligation shall not cover sensitive operational data of deployers of AI systems which are law enforcement authorities.
För tillhandahållare som är finansinstitut som omfattas av krav avseende sina interna styrelseformer, arrangemang eller processer enligt unionsrätten om finansiella tjänster ska övervakningsskyldigheten i första stycket anses vara uppfylld genom att reglerna om interna styrelseformer, arrangemang, processer och mekanismer enligt relevant unionsrätt om finansiella tjänster följs.
For deployers that are financial institutions subject to requirements regarding their internal governance, arrangements or processes under Union financial services law, the monitoring obligation set out in the first subparagraph shall be deemed to be fulfilled by complying with the rules on internal governance arrangements, processes and mechanisms pursuant to the relevant financial service law.
6. Tillhandahållare av AI-system med hög risk ska spara de loggar som genereras automatiskt av det AI-systemet med hög risk, i den mån sådana loggar står under deras kontroll, under en period som är lämplig för det avsedda ändamålet med AI-systemet med hög risk, dock i minst sex månader, om inte annat föreskrivs i tillämplig unionsrätt eller nationell rätt, i synnerhet unionsrätten om skydd av personuppgifter.
6. Deployers of high-risk AI systems shall keep the logs automatically generated by that high-risk AI system to the extent such logs are under their control, for a period appropriate to the intended purpose of the high-risk AI system, of at least six months, unless provided otherwise in applicable Union or national law, in particular in Union law on the protection of personal data.
Tillhandahållare som är finansinstitut som omfattas av krav avseende sina interna styrelseformer, arrangemang eller processer enligt unionsrätten om finansiella tjänster ska bevara loggar som en del av den dokumentation som ska bevaras enligt relevant unionsrätt om finansiella tjänster.
Deployers that are financial institutions subject to requirements regarding their internal governance, arrangements or processes under Union financial services law shall maintain the logs as part of the documentation kept pursuant to the relevant Union financial service law.
7. Innan ett AI-system med hög risk tas i bruk eller används på en arbetsplats ska tillhandahållare som är arbetsgivare informera arbetstagarrepresentanterna och de berörda arbetstagarna om att de kommer att vara föremål för användning av AI-systemet med hög risk. Denna information ska, i tillämpliga fall, tillhandahållas i enlighet med de regler och förfaranden som fastställs i unionsrätten och nationell rätt samt praxis i fråga om information till arbetstagare och deras representanter.
7. Before putting into service or using a high-risk AI system at the workplace, deployers who are employers shall inform workers’ representatives and the affected workers that they will be subject to the use of the high-risk AI system. This information shall be provided, where applicable, in accordance with the rules and procedures laid down in Union and national law and practice on information of workers and their representatives.
8. Tillhandahållare av AI-system med hög risk som är offentliga myndigheter eller unionens institutioner, organ eller byråer ska fullgöra de registreringsskyldigheter som avses i artikel 49. Om dessa tillhandahållare finner att det AI-system med hög risk som de avser att använda inte har registrerats i den EU-databas som avses i artikel 71 får de inte använda det systemet och ska informera leverantören eller distributören.
8. Deployers of high-risk AI systems that are public authorities, or Union institutions, bodies, offices or agencies shall comply with the registration obligations referred to in Article 49. When such deployers find that the high-risk AI system that they envisage using has not been registered in the EU database referred to in Article 71, they shall not use that system and shall inform the provider or the distributor.
9. I tillämpliga fall ska tillhandahållare av AI-system med hög risk använda den information som tillhandahålls enligt artikel 13 i denna förordning för att fullgöra sin skyldighet att genomföra en konsekvensbedömning avseende dataskydd enligt artikel 35 i förordning (EU) 2016/679 eller artikel 27 i direktiv (EU) 2016/680.
9. Where applicable, deployers of high-risk AI systems shall use the information provided under Article 13 of this Regulation to comply with their obligation to carry out a data protection impact assessment under Article 35 of Regulation (EU) 2016/679 or Article 27 of Directive (EU) 2016/680.
10. Inom ramen för en utredning för målinriktad sökning av en person som misstänks ha begått ett brott eller som har dömts för att ha begått ett brott ska tillhandahållaren av ett AI-system med hög risk för biometrisk fjärridentifiering i efterhand, utan att det påverkar tillämpningen av direktiv (EU) 2016/680, på förhand eller utan oskäligt dröjsmål och senast inom 48 timmar, av en rättslig myndighet eller en administrativ myndighet vars beslut är bindande och föremål för rättslig prövning begära tillstånd för användning av det systemet, utom när det används för den inledande identifieringen av en potentiell misstänkt på grundval av objektiva och verifierbara fakta med direkt anknytning till brottet. Varje användning ska begränsas till vad som är absolut nödvändigt för att utreda ett specifikt brott.
10. Without prejudice to Directive (EU) 2016/680, in the framework of an investigation for the targeted search of a person suspected or convicted of having committed a criminal offence, the deployer of a high-risk AI system for post-remote biometric identification shall request an authorisation, ex ante, or without undue delay and no later than 48 hours, by a judicial authority or an administrative authority whose decision is binding and subject to judicial review, for the use of that system, except when it is used for the initial identification of a potential suspect based on objective and verifiable facts directly linked to the offence. Each use shall be limited to what is strictly necessary for the investigation of a specific criminal offence.
Om det tillstånd som begärts enligt första stycket nekas ska användningen av det system för biometrisk fjärridentifiering i efterhand som är kopplat till det begärda tillståndet upphöra med omedelbar verkan, och de personuppgifter som är kopplade till användningen av det AI-system med hög risk för vilket tillståndet begärdes ska raderas.
If the authorisation requested pursuant to the first subparagraph is rejected, the use of the post-remote biometric identification system linked to that requested authorisation shall be stopped with immediate effect and the personal data linked to the use of the high-risk AI system for which the authorisation was requested shall be deleted.
Under inga omständigheter får ett sådant AI-system med hög risk för biometrisk fjärridentifiering i efterhand användas för brottsbekämpande ändamål på ett icke målinriktat sätt, utan koppling till ett brott, ett straffrättsligt förfarande, ett verkligt och aktuellt eller verkligt och förutsebart hot om ett brott eller sökning efter en specifik försvunnen person. Det ska säkerställas att inget beslut som har negativa rättsliga följder för en person får fattas av de brottsbekämpande myndigheterna enbart på grundval av utdata från sådana system för biometrisk fjärridentifiering i efterhand.
In no case shall such high-risk AI system for post-remote biometric identification be used for law enforcement purposes in an untargeted way, without any link to a criminal offence, a criminal proceeding, a genuine and present or genuine and foreseeable threat of a criminal offence, or the search for a specific missing person. It shall be ensured that no decision that produces an adverse legal effect on a person may be taken by the law enforcement authorities based solely on the output of such post-remote biometric identification systems.
Denna punkt påverkar inte tillämpningen av artikel 9 i förordning (EU) 2016/679 och artikel 10 i direktiv (EU) 2016/680 avseende behandling av biometriska uppgifter.
This paragraph is without prejudice to Article 9 of Regulation (EU) 2016/679 and Article 10 of Directive (EU) 2016/680 for the processing of biometric data.
Oavsett ändamål eller tillhandahållare ska varje användning av sådana AI-system med hög risk dokumenteras i den relevanta polisakten och på begäran göras tillgänglig för den berörda marknadskontrollmyndigheten och den nationella dataskyddsmyndigheten, med undantag för utlämnande av känsliga operativa uppgifter som rör brottsbekämpning. Detta stycke påverkar inte de befogenheter som tilldelas tillsynsmyndigheterna genom direktiv (EU) 2016/680.
Regardless of the purpose or deployer, each use of such high-risk AI systems shall be documented in the relevant police file and shall be made available to the relevant market surveillance authority and the national data protection authority upon request, excluding the disclosure of sensitive operational data related to law enforcement. This subparagraph shall be without prejudice to the powers conferred by Directive (EU) 2016/680 on supervisory authorities.
Tillhandahållare ska lämna in årliga rapporter till de berörda marknadskontrollmyndigheterna och nationella dataskyddsmyndigheterna om sin användning av system för biometrisk fjärridentifiering i efterhand, med undantag för utlämnande av känsliga operativa uppgifter som rör brottsbekämpning. Rapporterna får aggregeras för att täcka mer än en användning.
Deployers shall submit annual reports to the relevant market surveillance and national data protection authorities on their use of post-remote biometric identification systems, excluding the disclosure of sensitive operational data related to law enforcement. The reports may be aggregated to cover more than one deployment.
Medlemsstaterna får införa mer restriktiva lagar om användningen av system för biometrisk fjärridentifiering i efterhand i enlighet med unionsrätten.
Member States may introduce, in accordance with Union law, more restrictive laws on the use of post-remote biometric identification systems.
11. Utan att det påverkar tillämpningen av artikel 50 i denna förordning ska tillhandahållare av AI-system med hög risk som avses i bilaga III och som fattar beslut eller hjälper till att fatta beslut som rör fysiska personer informera de fysiska personerna om att de är föremål för användning av AI-systemet med hög risk. När det gäller AI-system med hög risk som används för brottsbekämpande ändamål ska artikel 13 i direktiv (EU) 2016/680 tillämpas.
11. Without prejudice to Article 50 of this Regulation, deployers of high-risk AI systems referred to in Annex III that make decisions or assist in making decisions related to natural persons shall inform the natural persons that they are subject to the use of the high-risk AI system. For high-risk AI systems used for law enforcement purposes Article 13 of Directive (EU) 2016/680 shall apply.
12. Tillhandahållare ska samarbeta med de berörda behöriga myndigheterna i alla åtgärder som dessa myndigheter vidtar med avseende på AI-systemet med hög risk i syfte att genomföra denna förordning.
12. Deployers shall cooperate with the relevant competent authorities in any action those authorities take in relation to the high-risk AI system in order to implement this Regulation.
Krav avseende anmälda organ
Requirements relating to notified bodies
1. Ett anmält organ ska inrättas enligt en medlemsstats nationella rätt och ska vara en juridisk person.
1. A notified body shall be established under the national law of a Member State and shall have legal personality.
2. Anmälda organ ska uppfylla de organisatoriska krav och krav på kvalitetsstyrning, resurser och processer som är nödvändiga för att de ska kunna fullgöra sina uppgifter, samt lämpliga cybersäkerhetskrav.
2. Notified bodies shall satisfy the organisational, quality management, resources and process requirements that are necessary to fulfil their tasks, as well as suitable cybersecurity requirements.
3. Det anmälda organets organisationsstruktur, ansvarsfördelning, rapporteringsvägar och driftsätt ska säkerställa förtroende för dess prestationer och för resultaten av de aktiviteter avseende bedömning av överensstämmelse som det anmälda organet bedriver.
3. The organisational structure, allocation of responsibilities, reporting lines and operation of notified bodies shall ensure confidence in their performance, and in the results of the conformity assessment activities that the notified bodies conduct.
4. Anmälda organ ska vara oberoende av den leverantör av AI-system med hög risk som är föremål för dess bedömning av överensstämmelse. Anmälda organ ska också vara oberoende av varje annan operatör som har ett ekonomiskt intresse i AI-system med hög risk som bedöms samt av eventuella konkurrenter till leverantören. Detta hindrar inte att bedömda AI-system med hög risk som är nödvändiga för verksamheten inom organet för bedömning av överensstämmelse används, eller att sådana AI-system med hög risk används för personligt bruk.
4. Notified bodies shall be independent of the provider of a high-risk AI system in relation to which they perform conformity assessment activities. Notified bodies shall also be independent of any other operator having an economic interest in high-risk AI systems assessed, as well as of any competitors of the provider. This shall not preclude the use of assessed high-risk AI systems that are necessary for the operations of the conformity assessment body, or the use of such high-risk AI systems for personal purposes.
5. Varken ett organ för bedömning av överensstämmelse, dess högsta ledning eller den personal som ansvarar för att utföra bedömningen av överensstämmelse får vara direkt delaktig i konstruktionen, utvecklingen, saluföringen eller användningen av AI-system med hög risk, och de får inte heller företräda de parter som bedriver sådan verksamhet. De får inte delta i någon verksamhet som kan påverka deras objektivitet eller integritet i samband med den bedömning av överensstämmelse för vilken de har anmälts. Detta ska särskilt gälla konsulttjänster.
5. Neither a conformity assessment body, its top-level management nor the personnel responsible for carrying out its conformity assessment tasks shall be directly involved in the design, development, marketing or use of high-risk AI systems, nor shall they represent the parties engaged in those activities. They shall not engage in any activity that might conflict with their independence of judgement or integrity in relation to conformity assessment activities for which they are notified. This shall, in particular, apply to consultancy services.
6. Anmälda organ ska vara organiserade och drivas på ett sådant sätt att deras verksamhet är oberoende, objektiv och opartisk. Anmälda organ ska dokumentera och genomföra en struktur och förfaranden som garanterar opartiskheten och främjar och tillämpar principerna om opartiskhet i hela organisationen, hos alla anställda och i all bedömningsverksamhet.
6. Notified bodies shall be organised and operated so as to safeguard the independence, objectivity and impartiality of their activities. Notified bodies shall document and implement a structure and procedures to safeguard impartiality and to promote and apply the principles of impartiality throughout their organisation, personnel and assessment activities.
7. Anmälda organ ska ha infört dokumenterade förfaranden som ska säkerställa att deras personal, kommittéer, dotterbolag, underentreprenörer och andra associerade organ eller personal vid externa organ i enlighet med artikel 78 upprätthåller konfidentialiteten för den information som organen får kännedom om i samband med bedömning av överensstämmelse, utom när informationen måste lämnas ut enligt lag. De anmälda organens personal ska omfattas av tystnadsplikt i fråga om all information som de erhåller under utförandet av sina uppgifter enligt denna förordning, utom gentemot de anmälande myndigheterna i den medlemsstat där deras verksamhet utförs.
7. Notified bodies shall have documented procedures in place ensuring that their personnel, committees, subsidiaries, subcontractors and any associated body or personnel of external bodies maintain, in accordance with Article 78, the confidentiality of the information which comes into their possession during the performance of conformity assessment activities, except when its disclosure is required by law. The staff of notified bodies shall be bound to observe professional secrecy with regard to all information obtained in carrying out their tasks under this Regulation, except in relation to the notifying authorities of the Member State in which their activities are carried out.
8. Anmälda organ ska ha förfaranden som gör det möjligt för organet att utöva sin verksamhet med vederbörlig hänsyn tagen till en leverantörs storlek, sektor och struktur samt det berörda AI-systemets komplexitet.
8. Notified bodies shall have procedures for the performance of activities which take due account of the size of a provider, the sector in which it operates, its structure, and the degree of complexity of the AI system concerned.
9. Anmälda organ ska teckna en lämplig ansvarsförsäkring för sin verksamhet avseende bedömningar av överensstämmelse, såvida inte den medlemsstat i vilken de är etablerade tar på sig ansvaret i överensstämmelse med nationell rätt eller den medlemsstaten är direkt ansvarig för bedömningen av överensstämmelse.
9. Notified bodies shall take out appropriate liability insurance for their conformity assessment activities, unless liability is assumed by the Member State in which they are established in accordance with national law or that Member State is itself directly responsible for the conformity assessment.
10. Anmälda organ ska kunna utföra alla sina uppgifter enligt denna förordning med största möjliga yrkesmässiga integritet och nödvändig kompetens på det specifika området, oavsett om dessa uppgifter utförs av de anmälda organen själva eller av annan part för deras räkning och under deras ansvar.
10. Notified bodies shall be capable of carrying out all their tasks under this Regulation with the highest degree of professional integrity and the requisite competence in the specific field, whether those tasks are carried out by notified bodies themselves or on their behalf and under their responsibility.
11. Anmälda organ ska ha tillräcklig intern kompetens för att effektivt kunna utvärdera de uppgifter som utförs av externa parter å organens vägnar. Det anmälda organet ska ha permanent tillgång till tillräcklig administrativ, teknisk, juridisk och vetenskaplig personal med erfarenhet av och kunskaper om de relevanta typerna av AI-system, relevanta data och relevant databehandling och om de krav som fastställs i avsnitt 2.
11. Notified bodies shall have sufficient internal competences to be able effectively to evaluate the tasks conducted by external parties on their behalf. The notified body shall have permanent availability of sufficient administrative, technical, legal and scientific personnel who possess experience and knowledge relating to the relevant types of AI systems, data and data computing, and relating to the requirements set out in Section 2.
12. Anmälda organ ska delta i den samordningsverksamhet som avses i artikel 38. De ska också delta direkt, eller vara företrädda i, europeiska standardiseringsorganisationer, eller säkerställa att de är medvetna om och har aktuella kunskaper om relevanta standarder.
12. Notified bodies shall participate in coordination activities as referred to in Article 38. They shall also take part directly, or be represented in, European standardisation organisations, or ensure that they are aware and up to date in respect of relevant standards.
Bedömning av överensstämmelse
1. För AI-system med hög risk som förtecknas i punkt 1 i bilaga III ska leverantören, när den vill visa att ett AI-system med hög risk uppfyller kraven i avsnitt 2 och den har tillämpat de harmoniserade standarder som avses i artikel 40 eller, i tillämpliga fall, de gemensamma specifikationer som avses i artikel 41, välja ett av följande förfaranden för bedömning av överensstämmelse grundat på
1. For high-risk AI systems listed in point 1 of Annex III, where, in demonstrating the compliance of a high-risk AI system with the requirements set out in Section 2, the provider has applied harmonised standards referred to in Article 40, or, where applicable, common specifications referred to in Article 41, the provider shall opt for one of the following conformity assessment procedures based on:
a)
intern kontroll som avses i bilaga VI, eller
(a)
the internal control referred to in Annex VI; or
b)
en bedömning av kvalitetsstyrningssystemet och en bedömning av den tekniska dokumentationen, med deltagande av ett anmält organ, som avses i bilaga VII.
(b)
the assessment of the quality management system and the assessment of the technical documentation, with the involvement of a notified body, referred to in Annex VII.
När leverantören vill visa att ett AI-system med hög risk uppfyller de krav som fastställs i avsnitt 2 ska leverantören följa det förfarande för bedömning av överensstämmelse som fastställs i bilaga VII i följande fall:
In demonstrating the compliance of a high-risk AI system with the requirements set out in Section 2, the provider shall follow the conformity assessment procedure set out in Annex VII where:
a)
De harmoniserade standarder som avses i artikel 40 saknas, och de gemensamma specifikationer som avses i artikel 41 är inte tillgängliga.
(a)
harmonised standards referred to in Article 40 do not exist, and common specifications referred to in Article 41 are not available;
b)
Leverantören har inte tillämpat eller har endast tillämpat en del av den harmoniserade standarden.
(b)
the provider has not applied, or has applied only part of, the harmonised standard;
c)
De gemensamma specifikationer som avses i led a finns men leverantören har inte tillämpat dem.
(c)
the common specifications referred to in point (a) exist, but the provider has not applied them;
d)
En eller flera av de harmoniserade standarder som avses i led a har offentliggjorts med en begränsning och endast för den del av standarden som begränsades.
(d)
one or more of the harmonised standards referred to in point (a) has been published with a restriction, and only on the part of the standard that was restricted.
För det förfarande för bedömning av överensstämmelse som avses i bilaga VII får leverantören välja vilket av de anmälda organen som helst. Om AI-systemet med hög risk är avsett att tas i bruk av brottsbekämpande myndigheter, migrationsmyndigheter eller asylmyndigheter eller av unionens institutioner, organ eller byråer ska dock den marknadskontrollmyndighet som avses i artikel 74.8 eller 74.9, beroende på vad som är tillämpligt, fungera som anmält organ.
For the purposes of the conformity assessment procedure referred to in Annex VII, the provider may choose any of the notified bodies. However, where the high-risk AI system is intended to be put into service by law enforcement, immigration or asylum authorities or by Union institutions, bodies, offices or agencies, the market surveillance authority referred to in Article 74(8) or (9), as applicable, shall act as a notified body.
2. För de AI-system med hög risk som avses i punkterna 2–8 i bilaga III ska leverantörer följa det förfarande för bedömning av överensstämmelse grundat på intern kontroll som avses i bilaga VI, vilket inte föreskriver att ett anmält organ ska delta.
2. For high-risk AI systems referred to in points 2 to 8 of Annex III, providers shall follow the conformity assessment procedure based on internal control as referred to in Annex VI, which does not provide for the involvement of a notified body.
3. För AI-system med hög risk som omfattas av unionens harmoniseringslagstiftning som förtecknas i avsnitt A i bilaga I ska leverantören följa det relevanta förfarande för bedömning av överensstämmelse som krävs enligt dessa rättsakter. Kraven i avsnitt 2 i detta kapitel ska tillämpas på de AI-systemen med hög risk och ska ingå i den bedömningen. Punkterna 4.3, 4.4 och 4.5 och punkt 4.6 femte stycket i bilaga VII ska också tillämpas.
3. For high-risk AI systems covered by the Union harmonisation legislation listed in Section A of Annex I, the provider shall follow the relevant conformity assessment procedure as required under those legal acts. The requirements set out in Section 2 of this Chapter shall apply to those high-risk AI systems and shall be part of that assessment. Points 4.3., 4.4., 4.5. and the fifth paragraph of point 4.6 of Annex VII shall also apply.
Vid denna bedömning ska anmälda organ som har anmälts enligt de rättsakterna ha rätt att kontrollera att AI-systemen med hög risk överensstämmer med kraven i avsnitt 2, förutsatt att dessa anmälda organs överensstämmelse med kraven i artikel 31.4, 31.5, 31.10 och 31.11 har bedömts i samband med anmälningsförfarandet inom ramen för dessa rättsakter.
For the purposes of that assessment, notified bodies which have been notified under those legal acts shall be entitled to control the conformity of the high-risk AI systems with the requirements set out in Section 2, provided that the compliance of those notified bodies with requirements laid down in Article 31(4), (5), (10) and (11) has been assessed in the context of the notification procedure under those legal acts.
Om en rättsakt som förtecknas i avsnitt A i bilaga I gör det möjligt för produkttillverkaren att välja att inte delta i en tredjepartsbedömning av överensstämmelse får tillverkaren, om den har tillämpat alla harmoniserade standarder som omfattar alla relevanta krav, använda detta alternativ endast om den också har tillämpat harmoniserade standarder eller, i tillämpliga fall, de gemensamma specifikationer som avses i artikel 41, som omfattar samtliga krav som anges i avsnitt 2 i detta kapitel.
Where a legal act listed in Section A of Annex I enables the product manufacturer to opt out from a third-party conformity assessment, provided that that manufacturer has applied all harmonised standards covering all the relevant requirements, that manufacturer may use that option only if it has also applied harmonised standards or, where applicable, common specifications referred to in Article 41, covering all requirements set out in Section 2 of this Chapter.
4. AI-system med hög risk som redan har varit föremål för ett förfarande för bedömning av överensstämmelse ska genomgå ett nytt förfarande för bedömning av överensstämmelse i fall av en väsentlig ändring, oavsett om det ändrade systemet är avsett att distribueras vidare eller fortsätter att användas av den nuvarande tillhandahållaren.
4. High-risk AI systems that have already been subject to a conformity assessment procedure shall undergo a new conformity assessment procedure in the event of a substantial modification, regardless of whether the modified system is intended to be further distributed or continues to be used by the current deployer.
När det gäller AI-system med hög risk som fortsätter att lära sig efter att det har släppts ut på marknaden eller tagits i bruk, ska sådana ändringar av AI-systemet med hög risk och dess prestanda som leverantören på förhand har fastställt vid tidpunkten för den inledande bedömningen av överensstämmelse och som är en del av den information som ingår i den tekniska dokumentation som avses i punkt 2 f i bilaga IV inte utgöra en väsentlig ändring.
For high-risk AI systems that continue to learn after being placed on the market or put into service, changes to the high-risk AI system and its performance that have been pre-determined by the provider at the moment of the initial conformity assessment and are part of the information contained in the technical documentation referred to in point 2(f) of Annex IV, shall not constitute a substantial modification.
5. Kommissionen ges befogenhet att anta delegerade akter i enlighet med artikel 97 för att ändra bilagorna VI och VII genom att uppdatera dem mot bakgrund av teknisk utveckling.
5. The Commission is empowered to adopt delegated acts in accordance with Article 97 in order to amend Annexes VI and VII by updating them in light of technical progress.
6. Kommissionen ges befogenhet att anta delegerade akter i enlighet med artikel 97 för att ändra punkterna 1 och 2 i den här artikeln i syfte att låta de AI-system med hög risk som avses i punkterna 2–8 i bilaga III omfattas av det förfarande för bedömning av överensstämmelse som avses i bilaga VII eller delar därav. Kommissionen ska anta sådana delegerade akter med beaktande av hur ändamålsenligt förfarandet för bedömning av överensstämmelse grundat på intern kontroll enligt bilaga VI är när det gäller att förebygga eller minimera de risker för hälsa, säkerhet och skyddet av grundläggande rättigheter som sådana system medför samt vilken tillgång det finns till tillräcklig kapacitet och tillräckliga resurser bland anmälda organ.
6. The Commission is empowered to adopt delegated acts in accordance with Article 97 in order to amend paragraphs 1 and 2 of this Article in order to subject high-risk AI systems referred to in points 2 to 8 of Annex III to the conformity assessment procedure referred to in Annex VII or parts thereof. The Commission shall adopt such delegated acts taking into account the effectiveness of the conformity assessment procedure based on internal control referred to in Annex VI in preventing or minimising the risks to health and safety and protection of fundamental rights posed by such systems, as well as the availability of adequate capacities and resources among notified bodies.
Regulatoriska sandlådor för AI
1. Medlemsstaterna ska säkerställa att deras behöriga myndigheter inrättar minst en regulatorisk sandlåda för AI på nationell nivå, som ska vara i drift senast den 2 augusti 2026. Denna sandlåda får också inrättas tillsammans med de behöriga myndigheterna i andra medlemsstater. Kommissionen får tillhandahålla tekniskt stöd, rådgivning och verktyg för inrättande och drift av regulatoriska sandlådor för AI.
1. Member States shall ensure that their competent authorities establish at least one AI regulatory sandbox at national level, which shall be operational by 2 August 2026. That sandbox may also be established jointly with the competent authorities of other Member States. The Commission may provide technical support, advice and tools for the establishment and operation of AI regulatory sandboxes.
Skyldigheten enligt första stycket får också fullgöras genom deltagande i en befintlig sandlåda i den mån deltagandet ger en likvärdig nivå av nationell täckning för de deltagande medlemsstaterna.
The obligation under the first subparagraph may also be fulfilled by participating in an existing sandbox in so far as that participation provides an equivalent level of national coverage for the participating Member States.
2. Ytterligare regulatoriska sandlådor för AI får också inrättas på regional eller lokal nivå eller tillsammans med andra medlemsstaters behöriga myndigheter.
2. Additional AI regulatory sandboxes at regional or local level, or established jointly with the competent authorities of other Member States may also be established.
3. Europeiska datatillsynsmannen får också inrätta en regulatorisk sandlåda för AI för unionens institutioner, organ och byråer och får utöva de nationella behöriga myndigheternas roller och uppgifter i enlighet med detta kapitel.
3. The European Data Protection Supervisor may also establish an AI regulatory sandbox for Union institutions, bodies, offices and agencies, and may exercise the roles and the tasks of national competent authorities in accordance with this Chapter.
4. Medlemsstaterna ska säkerställa att de behöriga myndigheter som avses i punkterna 1 och 2 anslår tillräckliga resurser för att uppfylla kraven i denna artikel, på ett ändamålsenligt sätt och i god tid. När så är lämpligt ska de nationella behöriga myndigheterna samarbeta med andra relevanta myndigheter, och de får tillåta deltagande av andra aktörer inom AI-ekosystemet. Denna artikel påverkar inte andra regulatoriska sandlådor som inrättats enligt unionsrätten eller nationell rätt. Medlemsstaterna ska säkerställa lämpligt samarbete mellan de myndigheter som utövar tillsyn över dessa andra sandlådor och de nationella behöriga myndigheterna.
4. Member States shall ensure that the competent authorities referred to in paragraphs 1 and 2 allocate sufficient resources to comply with this Article effectively and in a timely manner. Where appropriate, national competent authorities shall cooperate with other relevant authorities, and may allow for the involvement of other actors within the AI ecosystem. This Article shall not affect other regulatory sandboxes established under Union or national law. Member States shall ensure an appropriate level of cooperation between the authorities supervising those other sandboxes and the national competent authorities.
5. Regulatoriska sandlådor för AI som inrättats enligt punkt 1 ska tillhandahålla en kontrollerad miljö som främjar innovation och underlättar utveckling, träning, testning och validering av innovativa AI-system under en begränsad tid innan de släpps ut på marknaden eller tas i bruk i enlighet med en särskild sandlådeplan som leverantörerna eller de potentiella leverantörerna och den behöriga myndigheten kommer överens om. Sådana sandlådor får omfatta testning under verkliga förhållanden under tillsyn i sandlådorna.
5. AI regulatory sandboxes established under paragraph 1 shall provide for a controlled environment that fosters innovation and facilitates the development, training, testing and validation of innovative AI systems for a limited time before their being placed on the market or put into service pursuant to a specific sandbox plan agreed between the providers or prospective providers and the competent authority. Such sandboxes may include testing in real world conditions supervised therein.
6. De behöriga myndigheterna ska, beroende på vad som är lämpligt, tillhandahålla vägledning, tillsyn och stöd inom den regulatoriska sandlådan för AI i syfte att identifiera risker, särskilt när det gäller grundläggande rättigheter, hälsa och säkerhet, testning, riskreducerande åtgärder och deras effektivitet i förhållande till skyldigheterna och kraven i denna förordning samt, i förekommande fall, annan unionsrätt och nationell rätt som är föremål för tillsyn inom sandlådan.
6. Competent authorities shall provide, as appropriate, guidance, supervision and support within the AI regulatory sandbox with a view to identifying risks, in particular to fundamental rights, health and safety, testing, mitigation measures, and their effectiveness in relation to the obligations and requirements of this Regulation and, where relevant, other Union and national law supervised within the sandbox.
7. De behöriga myndigheterna ska ge leverantörer och potentiella leverantörer som deltar i den regulatoriska sandlådan för AI vägledning om rättsliga förväntningar och hur de krav och skyldigheter som fastställs i denna förordning ska uppfyllas.
7. Competent authorities shall provide providers and prospective providers participating in the AI regulatory sandbox with guidance on regulatory expectations and how to fulfil the requirements and obligations set out in this Regulation.
På begäran av leverantören eller den potentiella leverantören av AI-systemet ska den behöriga myndigheten tillhandahålla ett skriftligt bevis på den verksamhet som framgångsrikt utförts i sandlådan. Den behöriga myndigheten ska också tillhandahålla en slutrapport med uppgifter om den verksamhet som bedrivs i sandlådan och tillhörande resultat och lärdomar. Leverantörer får använda sådan dokumentation för att visa att de uppfyller kraven i denna förordning genom förfarandet för bedömning av överensstämmelse eller relevant marknadskontroll. I detta avseende ska marknadskontrollmyndigheter och anmälda organ beakta slutrapporterna och de skriftliga bevis som tillhandahålls av den nationella behöriga myndigheten på ett positivt sätt, i syfte att påskynda förfaranden för bedömning av överensstämmelse i rimlig utsträckning.
Upon request of the provider or prospective provider of the AI system, the competent authority shall provide a written proof of the activities successfully carried out in the sandbox. The competent authority shall also provide an exit report detailing the activities carried out in the sandbox and the related results and learning outcomes. Providers may use such documentation to demonstrate their compliance with this Regulation through the conformity assessment process or relevant market surveillance activities. In this regard, the exit reports and the written proof provided by the national competent authority shall be taken positively into account by market surveillance authorities and notified bodies, with a view to accelerating conformity assessment procedures to a reasonable extent.
8. Om inte annat följer av konfidentialitetsbestämmelserna i artikel 78 och med godkännande från leverantören eller den potentiella leverantören ska kommissionen och styrelsen ha rätt att få tillgång till slutrapporterna och ska beakta dem, på lämpligt sätt, när de utför sina uppgifter enligt denna förordning. Om både leverantören eller den potentiella leverantören och den nationella behöriga myndigheten uttryckligen samtycker får slutrapporten göras allmänt tillgänglig via den enda informationsplattform som avses i den här artikeln.
8. Subject to the confidentiality provisions in Article 78, and with the agreement of the provider or prospective provider, the Commission and the Board shall be authorised to access the exit reports and shall take them into account, as appropriate, when exercising their tasks under this Regulation. If both the provider or prospective provider and the national competent authority explicitly agree, the exit report may be made publicly available through the single information platform referred to in this Article.
9. Inrättandet av regulatoriska sandlådor för AI ska syfta till att bidra till följande mål:
9. The establishment of AI regulatory sandboxes shall aim to contribute to the following objectives:
a)
Förbättra rättssäkerheten för att uppnå efterlevnad av denna förordning eller, i förekommande fall, annan tillämplig unionsrätt och nationell rätt.
(a)
improving legal certainty to achieve regulatory compliance with this Regulation or, where relevant, other applicable Union and national law;
b)
Stödja utbyte av bästa praxis genom samarbete med de myndigheter som deltar i den regulatoriska sandlådan för AI.
(b)
supporting the sharing of best practices through cooperation with the authorities involved in the AI regulatory sandbox;
c)
Främja innovation och konkurrenskraft och underlätta utvecklingen av ett AI-ekosystem.
(c)
fostering innovation and competitiveness and facilitating the development of an AI ecosystem;
d)
Bidra till evidensbaserat regulatoriskt lärande.
(d)
contributing to evidence-based regulatory learning;
e)
Underlätta och påskynda tillträdet till unionsmarknaden för AI-system, särskilt när de tillhandahålls av små och medelstora företag, inbegripet uppstartsföretag.
(e)
facilitating and accelerating access to the Union market for AI systems, in particular when provided by SMEs, including start-ups.
10. I den mån de innovativa AI-systemen inbegriper behandling av personuppgifter eller på annat sätt faller inom tillsynsområdet för andra nationella myndigheter eller behöriga myndigheter som tillhandahåller eller stöder åtkomst till data ska de nationella behöriga myndigheterna säkerställa att de nationella dataskyddsmyndigheterna och dessa andra nationella eller behöriga myndigheter är involverade i driften av den regulatoriska sandlådan för AI och i tillsynen över dessa aspekter så långt deras respektive uppgifter och befogenheter sträcker sig.
10. National competent authorities shall ensure that, to the extent the innovative AI systems involve the processing of personal data or otherwise fall under the supervisory remit of other national authorities or competent authorities providing or supporting access to data, the national data protection authorities and those other national or competent authorities are associated with the operation of the AI regulatory sandbox and involved in the supervision of those aspects to the extent of their respective tasks and powers.
11. De regulatoriska sandlådorna för AI påverkar inte tillsynsbefogenheterna eller de korrigerande befogenheterna för de behöriga myndigheter som utövar tillsyn över sandlådorna, inbegripet på regional eller lokal nivå. Alla betydande risker för hälsa och säkerhet och grundläggande rättigheter som upptäcks under utvecklingen och testningen av sådana AI-system ska leda till adekvata begränsningsåtgärder. De nationella behöriga myndigheterna ska ha befogenhet att tillfälligt eller permanent avbryta testprocessen eller deltagandet i sandlådan om inga verkningsfulla begränsningsåtgärder är möjliga och ska informera AI-byrån om ett sådant beslut. De nationella behöriga myndigheterna ska utöva sina tillsynsbefogenheter inom ramen för relevant rätt, med användning av sitt utrymme för skönsmässig bedömning när de genomför rättsliga bestämmelser för ett specifikt regulatoriskt sandlådeprojekt för AI, i syfte att stödja innovation inom AI i unionen.
11. The AI regulatory sandboxes shall not affect the supervisory or corrective powers of the competent authorities supervising the sandboxes, including at regional or local level. Any significant risks to health and safety and fundamental rights identified during the development and testing of such AI systems shall result in an adequate mitigation. National competent authorities shall have the power to temporarily or permanently suspend the testing process, or the participation in the sandbox if no effective mitigation is possible, and shall inform the AI Office of such decision. National competent authorities shall exercise their supervisory powers within the limits of the relevant law, using their discretionary powers when implementing legal provisions in respect of a specific AI regulatory sandbox project, with the objective of supporting innovation in AI in the Union.
12. Leverantörer och potentiella leverantörer som deltar i den regulatoriska sandlådan för AI ska förbli ansvariga, enligt tillämplig unionsrätt och nationell rätt om ansvar för skada som åsamkas tredje part till följd av de experiment som äger rum i sandlådan. Under förutsättning att de potentiella leverantörerna följer den särskilda planen och villkoren för deras deltagande samt i god tro följer de riktlinjer som den nationella behöriga myndigheten ger, ska myndigheterna dock inte ålägga några administrativa sanktionsavgifter för överträdelser av denna förordning. Om andra behöriga myndigheter med ansvar för annan unionsrätt och nationell rätt aktivt deltog i tillsynen av AI-systemet i sandlådan och tillhandahöll vägledning för efterlevnad ska inga administrativa sanktionsavgifter åläggas avseende den rätten.
12. Providers and prospective providers participating in the AI regulatory sandbox shall remain liable under applicable Union and national liability law for any damage inflicted on third parties as a result of the experimentation taking place in the sandbox. However, provided that the prospective providers observe the specific plan and the terms and conditions for their participation and follow in good faith the guidance given by the national competent authority, no administrative fines shall be imposed by the authorities for infringements of this Regulation. Where other competent authorities responsible for other Union and national law were actively involved in the supervision of the AI system in the sandbox and provided guidance for compliance, no administrative fines shall be imposed regarding that law.
13. De regulatoriska sandlådorna för AI ska utformas och genomföras på ett sådant sätt att de i relevanta fall underlättar gränsöverskridande samarbete mellan de nationella behöriga myndigheterna.
13. The AI regulatory sandboxes shall be designed and implemented in such a way that, where relevant, they facilitate cross-border cooperation between national competent authorities.
14. De nationella behöriga myndigheterna ska samordna sin verksamhet och samarbeta inom ramen för styrelsen.
14. National competent authorities shall coordinate their activities and cooperate within the framework of the Board.
15. De nationella behöriga myndigheterna ska informera AI-byrån och styrelsen om inrättandet av en sandlåda och får begära stöd och vägledning av dem. AI-byrån ska göra en förteckning över planerade och befintliga sandlådor allmänt tillgänglig och hålla den uppdaterad för att uppmuntra till mer interaktion i regulatoriska sandlådor för AI och gränsöverskridande samarbete.
15. National competent authorities shall inform the AI Office and the Board of the establishment of a sandbox, and may ask them for support and guidance. The AI Office shall make publicly available a list of planned and existing sandboxes and keep it up to date in order to encourage more interaction in the AI regulatory sandboxes and cross-border cooperation.
16. De nationella behöriga myndigheterna ska lämna årliga rapporter till AI-byrån och styrelsen, från och med ett år efter att den regulatoriska sandlådan för AI har inrättats och därefter varje år fram till dess att den avslutas samt en slutrapport. Dessa rapporter ska innehålla information om framstegen och resultaten av genomförandet av dessa sandlådor, inbegripet bästa praxis, incidenter, tillvaratagna erfarenheter och rekommendationer om deras etablering och, i relevanta fall, om tillämpningen och en eventuell översyn av denna förordning, inbegripet dess delegerade akter och genomförandeakter, och om tillämpningen av annan unionsrätt som står under tillsyn av de berörda myndigheterna inom sandlådan. De nationella behöriga myndigheterna ska göra dessa årliga rapporter eller sammanfattningar av dessa tillgängliga för allmänheten online. Kommissionen ska, när så är lämpligt, beakta årsrapporterna när den utför sina uppgifter enligt denna förordning.
16. National competent authorities shall submit annual reports to the AI Office and to the Board, from one year after the establishment of the AI regulatory sandbox and every year thereafter until its termination, and a final report. Those reports shall provide information on the progress and results of the implementation of those sandboxes, including best practices, incidents, lessons learnt and recommendations on their setup and, where relevant, on the application and possible revision of this Regulation, including its delegated and implementing acts, and on the application of other Union law supervised by the competent authorities within the sandbox. The national competent authorities shall make those annual reports or abstracts thereof available to the public, online. The Commission shall, where appropriate, take the annual reports into account when exercising its tasks under this Regulation.
17. Kommissionen ska utveckla ett gemensamt och särskilt gränssnitt som innehåller all relevant information om regulatoriska sandlådor för AI för att göra det möjligt för berörda parter att interagera med regulatoriska sandlådor för AI och ta upp frågor med behöriga myndigheter samt söka icke-bindande vägledning om överensstämmelse för innovativa produkter, tjänster och affärsmodeller med inbäddad AI-teknik, i enlighet med artikel 62.1 c. Kommissionen ska proaktivt säkerställa samordning med nationella behöriga myndigheter, där så är relevant.
17. The Commission shall develop a single and dedicated interface containing all relevant information related to AI regulatory sandboxes to allow stakeholders to interact with AI regulatory sandboxes and to raise enquiries with competent authorities, and to seek non-binding guidance on the conformity of innovative products, services, business models embedding AI technologies, in accordance with Article 62(1), point (c). The Commission shall proactively coordinate with national competent authorities, where relevant.
Rapportering av allvarliga incidenter
Reporting of serious incidents
1. Leverantörer av AI-system med hög risk som släpps ut på unionsmarknaden ska rapportera alla allvarliga incidenter till marknadskontrollmyndigheterna i de medlemsstater där incidenten inträffade.
1. Providers of high-risk AI systems placed on the Union market shall report any serious incident to the market surveillance authorities of the Member States where that incident occurred.
2. Den rapport som avses i punkt 1 ska göras omedelbart efter det att leverantören har fastställt ett orsakssamband mellan AI-systemet och den allvarliga incidenten eller den rimliga sannolikheten för att det finns ett sådant samband och, under alla omständigheter, senast 15 dagar efter det att leverantören eller, i tillämpliga fall, tillhandahållaren fått kännedom om den allvarliga incidenten.
2. The report referred to in paragraph 1 shall be made immediately after the provider has established a causal link between the AI system and the serious incident or the reasonable likelihood of such a link, and, in any event, not later than 15 days after the provider or, where applicable, the deployer, becomes aware of the serious incident.
Den rapporteringsperiod som avses i första stycket ska ta hänsyn till hur allvarligt den allvarliga incidenten är.
The period for the reporting referred to in the first subparagraph shall take account of the severity of the serious incident.
3. Trots vad som sägs i punkt 2 i denna artikel ska, i händelse av en utbredd överträdelse eller en allvarlig incident enligt definitionen i artikel 3.49 b, den rapport som avses i punkt 1 i den här artikeln tillhandahållas omedelbart och senast två dagar efter det att leverantören eller, i tillämpliga fall, tillhandahållaren fått kännedom om incidenten.
3. Notwithstanding paragraph 2 of this Article, in the event of a widespread infringement or a serious incident as defined in Article 3, point (49)(b), the report referred to in paragraph 1 of this Article shall be provided immediately, and not later than two days after the provider or, where applicable, the deployer becomes aware of that incident.
4. Trots vad som sägs i punkt 2 ska rapporten, om en person avlider, tillhandahållas omedelbart efter det att leverantören eller tillhandahållaren har fastställt, eller så snart den misstänker, ett orsakssamband mellan AI-systemet med hög risk och den allvarliga incidenten, dock senast tio dagar efter den dag då leverantören eller, i tillämpliga fall, tillhandahållaren fått kännedom om den allvarliga incidenten.
4. Notwithstanding paragraph 2, in the event of the death of a person, the report shall be provided immediately after the provider or the deployer has established, or as soon as it suspects, a causal relationship between the high-risk AI system and the serious incident, but not later than 10 days after the date on which the provider or, where applicable, the deployer becomes aware of the serious incident.
5. Om det är nödvändigt för att säkerställa snabb rapportering får leverantören eller, i tillämpliga fall, tillhandahållaren, lämna in en inledande rapport som är ofullständig, följd av en fullständig rapport.
5. Where necessary to ensure timely reporting, the provider or, where applicable, the deployer, may submit an initial report that is incomplete, followed by a complete report.
6. Efter rapporteringen av en allvarlig incident enligt punkt 1 ska leverantören utan dröjsmål utföra de nödvändiga utredningarna med avseende på den allvarliga incidenten och det berörda AI-systemet. Detta ska inbegripa en riskbedömning av incidenten och korrigerande åtgärder.
6. Following the reporting of a serious incident pursuant to paragraph 1, the provider shall, without delay, perform the necessary investigations in relation to the serious incident and the AI system concerned. This shall include a risk assessment of the incident, and corrective action.
Leverantören ska samarbeta med de behöriga myndigheterna, och i förekommande fall med det berörda anmälda organet, under de utredningar som avses i första stycket, och får inte utföra någon utredning som inbegriper att ändra det berörda AI-systemet på ett sätt som kan påverka eventuella efterföljande utvärderingar av orsakerna till incidenten, innan den underrättar de behöriga myndigheterna om en sådan åtgärd.
The provider shall cooperate with the competent authorities, and where relevant with the notified body concerned, during the investigations referred to in the first subparagraph, and shall not perform any investigation which involves altering the AI system concerned in a way which may affect any subsequent evaluation of the causes of the incident, prior to informing the competent authorities of such action.
7. Efter att ha mottagit en underrättelse om en allvarlig incident enligt artikel 3.49 c ska den berörda marknadskontrollmyndigheten informera de nationella offentliga myndigheter eller organ som avses i artikel 77.1. Kommissionen ska utarbeta särskilda vägledning för att underlätta fullgörandet av de skyldigheter som anges i punkt 1 i den här artikeln. Dessa riktlinjer ska utfärdas senast den 2 augusti 2025 och ska bedömas regelbundet.
7. Upon receiving a notification related to a serious incident referred to in Article 3, point (49)(c), the relevant market surveillance authority shall inform the national public authorities or bodies referred to in Article 77(1). The Commission shall develop dedicated guidance to facilitate compliance with the obligations set out in paragraph 1 of this Article. That guidance shall be issued by 2 August 2025, and shall be assessed regularly.
8. Marknadskontrollmyndigheten ska vidta lämpliga åtgärder i enlighet med vad som föreskrivs i artikel 19 i förordning (EU) 2019/1020 inom sju dagar från den dag som den mottog den underrättelse som avses i punkt 1 i den här artikeln och ska följa de underrättelseförfaranden som föreskrivs i den förordningen.
8. The market surveillance authority shall take appropriate measures, as provided for in Article 19 of Regulation (EU) 2019/1020, within seven days from the date it received the notification referred to in paragraph 1 of this Article, and shall follow the notification procedures as provided in that Regulation.
9. För AI-system med hög risk som avses i bilaga III och som släpps ut på marknaden eller tas i bruk av leverantörer som omfattas av unionslagstiftningsinstrument som föreskriver rapporteringsskyldigheter som är likvärdiga med dem som anges i denna förordning ska anmälan av allvarliga incidenter vara begränsade till dem som avses i artikel 3.49 c.
9. For high-risk AI systems referred to in Annex III that are placed on the market or put into service by providers that are subject to Union legislative instruments laying down reporting obligations equivalent to those set out in this Regulation, the notification of serious incidents shall be limited to those referred to in Article 3, point (49)(c).
10. För AI-system med hög risk som utgör säkerhetskomponenter i enheter, eller som själva är enheter, vilka omfattas av förordningarna (EU) 2017/745 och (EU) 2017/746, ska anmälan av allvarliga incidenter begränsas till sådana som avses i artikel 3.49 c i den här förordningen och göras till den nationella behöriga myndighet som utsetts för detta ändamål av de medlemsstater där incidenten inträffade.
10. For high-risk AI systems which are safety components of devices, or are themselves devices, covered by Regulations (EU) 2017/745 and (EU) 2017/746, the notification of serious incidents shall be limited to those referred to in Article 3, point (49)(c) of this Regulation, and shall be made to the national competent authority chosen for that purpose by the Member States where the incident occurred.
11. Nationella behöriga myndigheter ska omedelbart underrätta kommissionen om alla allvarliga incidenter, oavsett om de har vidtagit åtgärder med anledning av dessa, i enlighet med artikel 20 i förordning (EU) 2019/1020.
11. National competent authorities shall immediately notify the Commission of any serious incident, whether or not they have taken action on it, in accordance with Article 20 of Regulation (EU) 2019/1020.
Marknadskontroll och kontroll av AI-system på unionsmarkanden
Market surveillance and control of AI systems in the Union market
1. Förordning (EU) 2019/1020 ska tillämpas på AI-system som omfattas av den här förordningen. För att effektivt kunna kontrollera efterlevnaden av den här förordningen gäller följande:
1. Regulation (EU) 2019/1020 shall apply to AI systems covered by this Regulation. For the purposes of the effective enforcement of this Regulation:
a)
Alla hänvisningar till en ekonomisk aktör enligt förordning (EU) 2019/1020 ska förstås som hänvisningar som omfattar alla operatörer som identifieras artikel 2.1 i den här förordningen.
(a)
any reference to an economic operator under Regulation (EU) 2019/1020 shall be understood as including all operators identified in Article 2(1) of this Regulation;
b)
Alla hänvisningar till en produkt enligt förordning (EU) 2019/1020 ska förstås som hänvisningar som omfattar alla AI-system som omfattas av den här förordningen.
(b)
any reference to a product under Regulation (EU) 2019/1020 shall be understood as including all AI systems falling within the scope of this Regulation.
2. Som en del av sina rapporteringsskyldigheter enligt artikel 34.4 i förordning (EU) 2019/1020 ska marknadskontrollmyndigheterna årligen rapportera till kommissionen och berörda nationella konkurrensmyndigheter all information som framkommit i samband med marknadskontrollen och som kan vara av potentiellt intresse för tillämpningen av unionens konkurrenslagstiftning. De ska också årligen rapportera till kommissionen om användning inom förbjudna användningsområden som ägt rum det året och om de åtgärder som vidtagits.
2. As part of their reporting obligations under Article 34(4) of Regulation (EU) 2019/1020, the market surveillance authorities shall report annually to the Commission and relevant national competition authorities any information identified in the course of market surveillance activities that may be of potential interest for the application of Union law on competition rules. They shall also annually report to the Commission about the use of prohibited practices that occurred during that year and about the measures taken.
3. För AI-system med hög risk som är relaterade till produkter som omfattas av unionens harmoniseringslagstiftning som förtecknas i avsnitt A i bilaga I ska marknadskontrollmyndigheten vid tillämpning av denna förordning vara den myndighet ansvarig för marknadskontroll som utsetts enligt de rättsakterna.
3. For high-risk AI systems related to products covered by the Union harmonisation legislation listed in Section A of Annex I, the market surveillance authority for the purposes of this Regulation shall be the authority responsible for market surveillance activities designated under those legal acts.
Genom undantag från första stycket och under lämpliga omständigheter får medlemsstaterna utse en annan berörd myndighet att fungera som marknadskontrollmyndighet under förutsättning att de säkerställer samordning med de berörda sektorsspecifika marknadskontrollmyndigheter som är ansvariga för kontroll av efterlevnaden av unionens harmoniseringslagstiftning som förtecknas i bilaga I.
By derogation from the first subparagraph, and in appropriate circumstances, Member States may designate another relevant authority to act as a market surveillance authority, provided they ensure coordination with the relevant sectoral market surveillance authorities responsible for the enforcement of the Union harmonisation legislation listed in Annex I.
4. De förfaranden som avses i artiklarna 79–83 i denna förordning är inte tillämplig på AI-system som är relaterade till produkter som omfattas av unionens harmoniseringslagstiftning som förtecknas i avsnitt A i bilaga I om sådana rättsakter redan föreskriver förfaranden som säkerställer en likvärdig skyddsnivå och har samma syfte. I sådana fall ska dessa relevanta sektorsspecifika förfaranden tillämpas i stället.
4. The procedures referred to in Articles 79 to 83 of this Regulation shall not apply to AI systems related to products covered by the Union harmonisation legislation listed in section A of Annex I, where such legal acts already provide for procedures ensuring an equivalent level of protection and having the same objective. In such cases, the relevant sectoral procedures shall apply instead.
5. Utan att det påverkar marknadskontrollmyndigheternas befogenheter enligt artikel 14 i förordning (EU) 2019/1020 får marknadskontrollmyndigheterna i syfte att säkerställa en effektiv kontroll av efterlevnaden av den här förordningen på distans och när så är lämpligt utöva de befogenheter som avses i artikel 14.4 d och j i den förordningen.
5. Without prejudice to the powers of market surveillance authorities under Article 14 of Regulation (EU) 2019/1020, for the purpose of ensuring the effective enforcement of this Regulation, market surveillance authorities may exercise the powers referred to in Article 14(4), points (d) and (j), of that Regulation remotely, as appropriate.
6. För AI-system med hög risk som släpps ut på marknaden, tas i bruk eller används av finansinstitut som regleras av unionsrätten om finansiella tjänster ska marknadskontrollmyndigheten vid tillämpning av denna förordning vara den berörda nationella myndighet som enligt den lagstiftningen ansvarar för den finansiella tillsynen över dessa institut, i den mån utsläppandet på marknaden, ibruktagandet eller användningen av AI-systemet står i direkt samband med tillhandahållandet av dessa finansiella tjänster.
6. For high-risk AI systems placed on the market, put into service, or used by financial institutions regulated by Union financial services law, the market surveillance authority for the purposes of this Regulation shall be the relevant national authority responsible for the financial supervision of those institutions under that legislation in so far as the placing on the market, putting into service, or the use of the AI system is in direct connection with the provision of those financial services.
7. Genom undantag från punkt 6 får en annan berörd myndighet, under lämpliga omständigheter och under förutsättning att samordning säkerställs, av medlemsstaten identifieras som marknadskontrollmyndighet vid tillämpning av denna förordning.
7. By way of derogation from paragraph 6, in appropriate circumstances, and provided that coordination is ensured, another relevant authority may be identified by the Member State as market surveillance authority for the purposes of this Regulation.
Nationella marknadskontrollmyndigheter som utövar tillsyn över reglerade kreditinstitut reglerade enligt direktiv 2013/36/EU och som deltar i den gemensamma tillsynsmekanism som inrättats genom förordning (EU) nr 1024/2013, ska utan dröjsmål till Europeiska centralbanken rapportera all information som identifierats i samband med deras marknadskontroll och som kan vara av potentiellt intresse för Europeiska centralbankens tillsynsuppgifter enligt den förordningen.
National market surveillance authorities supervising regulated credit institutions regulated under Directive 2013/36/EU, which are participating in the Single Supervisory Mechanism established by Regulation (EU) No 1024/2013, should report, without delay, to the European Central Bank any information identified in the course of their market surveillance activities that may be of potential interest for the prudential supervisory tasks of the European Central Bank specified in that Regulation.
8. För AI-system med hög risk som förtecknas i punkt 1 i bilaga III till denna förordning ska medlemsstaterna, i den mån systemen används för brottsbekämpande ändamål, gränsförvaltning och rättvisa och demokrati, och för AI-system med hög risk som förtecknas i punkterna 6, 7 och 8 i bilaga III till denna förordning, till marknadskontrollmyndigheter för tillämpning av denna förordning utse antingen de behöriga tillsynsmyndigheterna för dataskydd enligt förordning (EU) 2016/679 eller direktiv (EU) 2016/680, eller någon annan myndighet som utsetts enligt de villkor som fastställs i artiklarna 41–44 i direktiv (EU) 2016/680. Marknadskontrollen påverkar inte på något sätt rättsliga myndigheters oberoende eller på annat sätt inkräkta på deras verksamhet när de agerar inom ramen för sin dömande verksamhet.
8. For high-risk AI systems listed in point 1 of Annex III to this Regulation, in so far as the systems are used for law enforcement purposes, border management and justice and democracy, and for high-risk AI systems listed in points 6, 7 and 8 of Annex III to this Regulation, Member States shall designate as market surveillance authorities for the purposes of this Regulation either the competent data protection supervisory authorities under Regulation (EU) 2016/679 or Directive (EU) 2016/680, or any other authority designated pursuant to the same conditions laid down in Articles 41 to 44 of Directive (EU) 2016/680. Market surveillance activities shall in no way affect the independence of judicial authorities, or otherwise interfere with their activities when acting in their judicial capacity.
9. När unionens institutioner, byråer eller organ omfattas av denna förordning ska Europeiska datatillsynsmannen fungera som marknadskontrollmyndighet för dessa, med undantag av när Europeiska unionens domstol agerar i dess rättskipande funktion.
9. Where Union institutions, bodies, offices or agencies fall within the scope of this Regulation, the European Data Protection Supervisor shall act as their market surveillance authority, except in relation to the Court of Justice of the European Union acting in its judicial capacity.
10. Medlemsstaterna ska underlätta samordningen mellan marknadskontrollmyndigheter som utses enligt denna förordning och andra relevanta nationella myndigheter eller organ som utövar tillsyn över tillämpningen av unionens harmoniseringslagstiftning som förtecknas i bilaga I eller annan unionsrätt som kan vara relevant för de AI-system med hög risk som avses i bilaga III.
10. Member States shall facilitate coordination between market surveillance authorities designated under this Regulation and other relevant national authorities or bodies which supervise the application of Union harmonisation legislation listed in Annex I, or in other Union law, that might be relevant for the high-risk AI systems referred to in Annex III.
11. Marknadskontrollmyndigheter och kommissionen ska kunna föreslå gemensamma aktiviteter, inbegripet gemensamma undersökningar, som ska genomföras antingen av marknadskontrollmyndigheterna själva eller av marknadskontrollmyndigheter tillsammans med kommissionen, och som syftar till att främja överensstämmelse, identifiera bristande överensstämmelse, öka medvetenheten och ge vägledning om denna förordning med avseende på specifika kategorier av AI-system med hög risk som befinns utgöra en allvarlig risk i två eller flera medlemsstater i enlighet med artikel 9 i förordning (EU) 2019/1020. AI-byrån ska tillhandahålla samordningsstöd för gemensamma utredningar.
11. Market surveillance authorities and the Commission shall be able to propose joint activities, including joint investigations, to be conducted by either market surveillance authorities or market surveillance authorities jointly with the Commission, that have the aim of promoting compliance, identifying non-compliance, raising awareness or providing guidance in relation to this Regulation with respect to specific categories of high-risk AI systems that are found to present a serious risk across two or more Member States in accordance with Article 9 of Regulation (EU) 2019/1020. The AI Office shall provide coordination support for joint investigations.
12. Utan att det påverkar de befogenheter som föreskrivs enligt förordning (EU) 2019/1020, och när så är relevant och begränsat till vad som är nödvändigt för att marknadskontrollmyndigheterna ska kunna fullgöra sina uppgifter, ska leverantörer bevilja dessa fullständig åtkomst till den dokumentation och de tränings-, validerings- och testdataset som används för utvecklingen av AI-system med hög risk, inbegripet, när så är lämpligt och med förbehåll för säkerhetsgarantier, genom applikationsprogrammeringsgränssnitt (API) eller andra relevanta tekniska medel och verktyg som möjliggör fjärråtkomst.
12. Without prejudice to the powers provided for under Regulation (EU) 2019/1020, and where relevant and limited to what is necessary to fulfil their tasks, the market surveillance authorities shall be granted full access by providers to the documentation as well as the training, validation and testing data sets used for the development of high-risk AI systems, including, where appropriate and subject to security safeguards, through application programming interfaces (API) or other relevant technical means and tools enabling remote access.
13. Marknadskontrollmyndigheterna ska beviljas tillgång till källkoden för AI-systemet med hög risk på motiverad begäran och endast om båda följande villkor är uppfyllda:
13. Market surveillance authorities shall be granted access to the source code of the high-risk AI system upon a reasoned request and only when both of the following conditions are fulfilled:
a)
Tillgång till källkod är nödvändig för att bedöma om ett AI-system med hög risk uppfyller kraven i kapitel III avsnitt 2.
(a)
access to source code is necessary to assess the conformity of a high-risk AI system with the requirements set out in Chapter III, Section 2; and
b)
Testnings- eller revisionsförfaranden och kontroller som grundas på uppgifter och dokumentation från leverantören har uttömts eller visat sig vara otillräckliga.
(b)
testing or auditing procedures and verifications based on the data and documentation provided by the provider have been exhausted or proved insufficient.
14. All information eller dokumentation som har erhållits av marknadskontrollmyndigheter ska behandlas i enlighet med de konfidentialitetskrav som anges i artikel 78.
14. Any information or documentation obtained by market surveillance authorities shall be treated in accordance with the confidentiality obligations set out in Article 78.
1. Medlemsstaterna ska i enlighet med de villkor som fastställs i denna förordning fastställa bestämmelser om sanktioner och andra efterlevnadsåtgärder som också kan innefatta varningar och icke-monetära åtgärder som ska tillämpas vid operatörers överträdelser av bestämmelserna i denna förordning och vidta alla nödvändiga åtgärder för att se till att de tillämpas korrekt och effektivt, varvid hänsyn ska tas till de riktlinjer som kommissionen utfärdat enligt artikel 96. Sanktionerna ska vara effektiva, proportionella och avskräckande. De ska ta hänsyn till små och medelstora företags, inbegripet uppstartsföretags, intressen och deras ekonomiska bärkraft.
1. In accordance with the terms and conditions laid down in this Regulation, Member States shall lay down the rules on penalties and other enforcement measures, which may also include warnings and non-monetary measures, applicable to infringements of this Regulation by operators, and shall take all measures necessary to ensure that they are properly and effectively implemented, thereby taking into account the guidelines issued by the Commission pursuant to Article 96. The penalties provided for shall be effective, proportionate and dissuasive. They shall take into account the interests of SMEs, including start-ups, and their economic viability.
2. Medlemsstaterna ska utan dröjsmål och senast den dag då denna förordning börjar tillämpas underrätta kommissionen om de regler om sanktioner och andra efterlevnadsåtgärder som avses i punkt 1 och utan dröjsmål underrätta den om eventuella senare ändringar av dem.
2. The Member States shall, without delay and at the latest by the date of entry into application, notify the Commission of the rules on penalties and of other enforcement measures referred to in paragraph 1, and shall notify it, without delay, of any subsequent amendment to them.
3. Bristande efterlevnad av förbudet mot de AI-användningsområden som avses i artikel 5 ska vara föremål för administrativa sanktionsavgifter på upp till 35 000 000 EUR eller, om överträdelsen begås av ett företag, upp till 7 % av dess totala globala årsomsättning för det föregående räkenskapsåret, beroende på vilket som är högst.
3. Non-compliance with the prohibition of the AI practices referred to in Article 5 shall be subject to administrative fines of up to EUR 35 000 000 or, if the offender is an undertaking, up to 7 % of its total worldwide annual turnover for the preceding financial year, whichever is higher.
4. Bristande efterlevnad av någon av följande bestämmelser som hör samman med operatörer eller anmälda organ utöver de bestämmelser som fastställs i artikel 5 ska medföra administrativa sanktionsavgifter på upp till 15 000 000 EUR eller, om överträdelsen begås av ett företag, upp till 3 % av dess totala globala årsomsättning under det föregående räkenskapsåret, beroende på vilket som är högst:
4. Non-compliance with any of the following provisions related to operators or notified bodies, other than those laid down in Articles 5, shall be subject to administrative fines of up to EUR 15 000 000 or, if the offender is an undertaking, up to 3 % of its total worldwide annual turnover for the preceding financial year, whichever is higher:
a)
Leverantörers skyldigheter enligt artikel 16.
(a)
obligations of providers pursuant to Article 16;
b)
Ombuds skyldigheter enligt artikel 22.
(b)
obligations of authorised representatives pursuant to Article 22;
c)
Importörers skyldigheter enligt artikel 23.
(c)
obligations of importers pursuant to Article 23;
d)
Distributörers skyldigheter enligt artikel 24.
(d)
obligations of distributors pursuant to Article 24;
e)
Tillhandahållares skyldigheter enligt artikel 26.
(e)
obligations of deployers pursuant to Article 26;
f)
Kraven och skyldigheterna för anmälda organ enligt artikel 31, 33.1, 33.3, 33.4 eller 34.
(f)
requirements and obligations of notified bodies pursuant to Article 31, Article 33(1), (3) and (4) or Article 34;
g)
Transparensskyldigheterna för leverantörer och tillhandahållare enligt artikel 50.
(g)
transparency obligations for providers and deployers pursuant to Article 50.
5. Tillhandahållande av oriktig, ofullständig eller vilseledande information till anmälda organ eller nationella behöriga myndigheter som svar på en begäran ska medföra administrativa sanktionsavgifter på upp till 7 500 000 EUR eller, om överträdelsen begås av ett företag, upp till 1 % av dess totala globala årsomsättning för det föregående räkenskapsåret, beroende på vilket som är högst.
5. The supply of incorrect, incomplete or misleading information to notified bodies or national competent authorities in reply to a request shall be subject to administrative fines of up to EUR 7 500 000 or, if the offender is an undertaking, up to 1 % of its total worldwide annual turnover for the preceding financial year, whichever is higher.
6. När det gäller små och medelstora företag, inbegripet uppstartsföretag, ska varje sanktionsavgift som avses i denna artikel uppgå till högst de procentsatser eller belopp som avses i punkterna 3, 4 och 5, beroende på vilket belopp som är lägre.
6. In the case of SMEs, including start-ups, each fine referred to in this Article shall be up to the percentages or amount referred to in paragraphs 3, 4 and 5, whichever thereof is lower.
7. Vid beslut om huruvida administrativa sanktionsavgifter ska åläggas och beslut om storleken på den administrativa sanktionsavgiften i varje enskilt fall ska alla relevanta omständigheter i den specifika situationen beaktas och vederbörlig hänsyn, i förekommande fall, tas till
7. When deciding whether to impose an administrative fine and when deciding on the amount of the administrative fine in each individual case, all relevant circumstances of the specific situation shall be taken into account and, as appropriate, regard shall be given to the following:
a)
överträdelsens art, svårighetsgrad och varaktighet samt dess konsekvenser med beaktande av det berörda AI-systemets syfte samt, när så är lämpligt, antalet berörda personer och omfattningen av den skada som de har lidit,
(a)
the nature, gravity and duration of the infringement and of its consequences, taking into account the purpose of the AI system, as well as, where appropriate, the number of affected persons and the level of damage suffered by them;
b)
huruvida administrativa sanktionsavgifter redan har tillämpats av andra marknadskontrollmyndigheter på samma operatör för samma överträdelse,
(b)
whether administrative fines have already been applied by other market surveillance authorities to the same operator for the same infringement;
c)
huruvida administrativa sanktionsavgifter redan har tillämpats av andra myndigheter på samma operatör för överträdelser av annan unionsrätt eller nationell rätt, när sådana överträdelser beror på samma verksamhet eller underlåtenhet som utgör en relevant överträdelse av denna förordning,
(c)
whether administrative fines have already been applied by other authorities to the same operator for infringements of other Union or national law, when such infringements result from the same activity or omission constituting a relevant infringement of this Regulation;
d)
storleken på, årsomsättningen och marknadsandelen för den operatör som begått överträdelsen,
(d)
the size, the annual turnover and market share of the operator committing the infringement;
e)
eventuell annan försvårande eller förmildrande faktor som är tillämplig på omständigheterna i fallet, såsom ekonomisk vinst som görs eller förlust som undviks, direkt eller indirekt, genom överträdelsen,
(e)
any other aggravating or mitigating factor applicable to the circumstances of the case, such as financial benefits gained, or losses avoided, directly or indirectly, from the infringement;
f)
graden av samarbete med nationella behöriga myndigheter för att komma till rätta med överträdelsen och minska dess potentiella negativa effekter,
(f)
the degree of cooperation with the national competent authorities, in order to remedy the infringement and mitigate the possible adverse effects of the infringement;
g)
operatörens grad av ansvar med beaktande av de tekniska och organisatoriska åtgärder som genomförts av denne,
(g)
the degree of responsibility of the operator taking into account the technical and organisational measures implemented by it;
h)
det sätt på vilket överträdelsen kom till den nationella behöriga myndighetens kännedom, särskilt huruvida, och i sådana fall i vilken mån, operatören anmälde överträdelsen,
(h)
the manner in which the infringement became known to the national competent authorities, in particular whether, and if so to what extent, the operator notified the infringement;
i)
om överträdelsen skett med uppsåt eller genom oaktsamhet,
(i)
the intentional or negligent character of the infringement;
j)
alla åtgärder som vidtagits av operatören för att minska den skada som de berörda personerna lidit.
(j)
any action taken by the operator to mitigate the harm suffered by the affected persons.
8. Varje medlemsstat ska fastställa regler om i vilken utsträckning administrativa sanktionsavgifter får påföras offentliga myndigheter och organ som är inrättade i medlemsstaten.
8. Each Member State shall lay down rules on to what extent administrative fines may be imposed on public authorities and bodies established in that Member State.
9. Beroende på medlemsstatens rättssystem får reglerna om administrativa sanktionsavgifter tillämpas på ett sådant sätt att sanktionsavgifterna utdöms av behöriga nationella domstolar eller andra organ, beroende på vad som är tillämpligt i dessa medlemsstater. Tillämpningen av sådana regler i dessa medlemsstater ska ha motsvarande verkan.
9. Depending on the legal system of the Member States, the rules on administrative fines may be applied in such a manner that the fines are imposed by competent national courts or by other bodies, as applicable in those Member States. The application of such rules in those Member States shall have an equivalent effect.
10. Utövandet av befogenheter enligt denna artikel ska omfattas av lämpliga rättssäkerhetsgarantier i enlighet med unionsrätten och nationell rätt, inbegripet effektiva rättsmedel och rättssäkerhet.
10. The exercise of powers under this Article shall be subject to appropriate procedural safeguards in accordance with Union and national law, including effective judicial remedies and due process.
11. Medlemsstaterna ska årligen underrätta kommissionen om de administrativa sanktionsavgifter som de har utfärdat under det året, i enlighet med denna artikel, och om eventuella relaterade rättstvister eller rättsliga förfaranden.
11. Member States shall, on an annual basis, report to the Commission about the administrative fines they have issued during that year, in accordance with this Article, and about any related litigation or judicial proceedings.
1. Kommissionen ska bedöma behovet av att ändra förteckningen i bilaga III och av förteckningen i artikel 5 över förbjudna AI-användningsområden en gång om året efter det att denna förordning har trätt i kraft och fram till utgången av perioden för delegering av befogenhet i artikel 97. Kommissionen ska lägga fram resultaten av denna bedömning för Europaparlamentet och rådet.
1. The Commission shall assess the need for amendment of the list set out in Annex III and of the list of prohibited AI practices laid down in Article 5, once a year following the entry into force of this Regulation, and until the end of the period of the delegation of power laid down in Article 97. The Commission shall submit the findings of that assessment to the European Parliament and the Council.
2. Senast den 2 augusti 2028 och därefter vart fjärde år ska kommissionen utvärdera och rapportera till Europaparlamentet och rådet om följande:
2. By 2 August 2028 and every four years thereafter, the Commission shall evaluate and report to the European Parliament and to the Council on the following:
a)
Behovet av ändringar som utvidgar befintliga områdesrubriker eller lägger till nya områdesrubriker i bilaga III.
(a)
the need for amendments extending existing area headings or adding new area headings in Annex III;
b)
Ändringar av förteckningen över AI-system som kräver ytterligare transparensåtgärder i enlighet med artikel 50.
(b)
amendments to the list of AI systems requiring additional transparency measures in Article 50;
c)
Ändringar som ökar tillsyns- och styrningssystemets effektivitet.
(c)
amendments enhancing the effectiveness of the supervision and governance system.
3. Kommissionen ska senast den 2 augusti 2029 och därefter vart fjärde år överlämna en rapport om utvärderingen och översynen av denna förordning till Europaparlamentet och rådet. Rapporten ska innehålla en bedömning av efterlevnadskontrollens struktur och det eventuella behovet av att en unionsbyrå kommer till rätta med eventuella konstaterade brister. På grundval av resultaten ska denna rapport vid behov åtföljas av ett förslag till ändring av denna förordning. Rapporten ska offentliggöras.
3. By 2 August 2029 and every four years thereafter, the Commission shall submit a report on the evaluation and review of this Regulation to the European Parliament and to the Council. The report shall include an assessment with regard to the structure of enforcement and the possible need for a Union agency to resolve any identified shortcomings. On the basis of the findings, that report shall, where appropriate, be accompanied by a proposal for amendment of this Regulation. The reports shall be made public.
4. I de rapporter som avses i punkt 2 ska särskild uppmärksamhet ägnas åt
4. The reports referred to in paragraph 2 shall pay specific attention to the following:
a)
statusen för de nationella behöriga myndigheternas ekonomiska resurser, tekniska utrustning och personal för att effektivt kunna utföra de uppgifter som de tilldelas enligt denna förordning,
(a)
the status of the financial, technical and human resources of the national competent authorities in order to effectively perform the tasks assigned to them under this Regulation;
b)
tillståndet för sanktionerna, särskilt de administrativa sanktionsavgifter som avses i artikel 99.1 och som tillämpas av medlemsstaterna på överträdelser av bestämmelserna i denna förordning,
(b)
the state of penalties, in particular administrative fines as referred to in Article 99(1), applied by Member States for infringements of this Regulation;
c)
antagna harmoniserade standarder och gemensamma specifikationer som utarbetats till stöd för denna förordning,
(c)
adopted harmonised standards and common specifications developed to support this Regulation;
d)
antalet företag som kommer in på marknaden efter det att denna förordning har börjat tillämpas och hur många av dem som är små och medelstora företag.
(d)
the number of undertakings that enter the market after the entry into application of this Regulation, and how many of them are SMEs.
5. Senast den 2 augusti 2028 ska kommissionen utvärdera AI-byråns funktion, huruvida AI-byrån har fått tillräckliga befogenheter och tillräcklig behörighet för att fullgöra sina uppgifter och huruvida det skulle vara relevant och nödvändigt för ett korrekt genomförande och en korrekt kontroll av efterlevnaden av denna förordning att uppgradera byrån och dess befogenheter när det gäller efterlevnadskontroll och öka dess resurser. Kommissionen ska överlämna en rapport om sin utvärdering till Europaparlamentet och rådet.
5. By 2 August 2028, the Commission shall evaluate the functioning of the AI Office, whether the AI Office has been given sufficient powers and competences to fulfil its tasks, and whether it would be relevant and needed for the proper implementation and enforcement of this Regulation to upgrade the AI Office and its enforcement competences and to increase its resources. The Commission shall submit a report on its evaluation to the European Parliament and to the Council.
6. Senast den 2 augusti 2028 och därefter vart fjärde år ska kommissionen lägga fram en rapport om översynen av framstegen med utvecklingen av standardiseringsprodukter för energieffektiv utveckling av AI-modeller för allmänna ändamål, och utvärdera behovet av ytterligare åtgärder eller insatser, inbegripet bindande åtgärder eller insatser. Rapporten ska överlämnas till Europaparlamentet och rådet, och den ska offentliggöras.
6. By 2 August 2028 and every four years thereafter, the Commission shall submit a report on the review of the progress on the development of standardisation deliverables on the energy-efficient development of general-purpose AI models, and asses the need for further measures or actions, including binding measures or actions. The report shall be submitted to the European Parliament and to the Council, and it shall be made public.
7. Senast den 2 augusti 2028 och därefter vart tredje år ska kommissionen utvärdera de frivilliga uppförandekodernas inverkan och effektivitet för att främja tillämpningen av kraven i kapitel III avsnitt 2 för andra AI-system än AI-system med hög risk och eventuellt andra ytterligare krav för AI-system andra än AI-system med hög risk, inbegripet vad gäller miljömässig hållbarhet.
7. By 2 August 2028 and every three years thereafter, the Commission shall evaluate the impact and effectiveness of voluntary codes of conduct to foster the application of the requirements set out in Chapter III, Section 2 for AI systems other than high-risk AI systems and possibly other additional requirements for AI systems other than high-risk AI systems, including as regards environmental sustainability.
8. Vid tillämpning av punkterna 1–7 ska styrelsen, medlemsstaterna och de nationella behöriga myndigheterna vid begäran tillhandahålla information till kommissionen utan oskäligt dröjsmål.
8. For the purposes of paragraphs 1 to 7, the Board, the Member States and national competent authorities shall provide the Commission with information upon its request and without undue delay.
9. Kommissionen ska när den utför de utvärderingar och översyner som avses i punkterna 1 till 7 ta hänsyn till ståndpunkter och slutsatser från styrelsen, Europaparlamentet, rådet och andra relevanta organ eller källor.
9. In carrying out the evaluations and reviews referred to in paragraphs 1 to 7, the Commission shall take into account the positions and findings of the Board, of the European Parliament, of the Council, and of other relevant bodies or sources.
10. Kommissionen ska om nödvändigt överlämna lämpliga förslag om ändring av denna förordning, med särskild hänsyn till teknikens utveckling och AI-systems inverkan på hälsa och säkerhet och grundläggande rättigheter och mot bakgrund av tendenserna inom informationssamhället.
10. The Commission shall, if necessary, submit appropriate proposals to amend this Regulation, in particular taking into account developments in technology, the effect of AI systems on health and safety, and on fundamental rights, and in light of the state of progress in the information society.
11. För att vägleda de utvärderingar och översyner som avses i punkterna 1–7 ska AI-byrån åta sig att ta fram en objektiv och deltagandebaserad metod för utvärdering av risknivåerna på grundval av de kriterier som anges i de relevanta artiklarna och införandet av nya system i
11. To guide the evaluations and reviews referred to in paragraphs 1 to 7 of this Article, the AI Office shall undertake to develop an objective and participative methodology for the evaluation of risk levels based on the criteria outlined in the relevant Articles and the inclusion of new systems in:
a)
förteckningen i bilaga III, inbegripet utvidgning av befintliga områdesrubriker eller tillägg av nya områdesrubriker i denna bilaga,
(a)
the list set out in Annex III, including the extension of existing area headings or the addition of new area headings in that Annex;
b)
förteckningen över de förbjudna användningsområden som fastställs i artikel 5, och
(b)
the list of prohibited practices set out in Article 5; and
c)
förteckningen över AI-system som kräver ytterligare transparensåtgärder enligt artikel 50.
(c)
the list of AI systems requiring additional transparency measures pursuant to Article 50.
12. Varje ändring av denna förordning enligt punkt 10, eller relevanta delegerade akter eller genomförandeakter, som rör unionens sektorsspecifika harmoniseringslagstiftning som förtecknas i bilaga I avsnitt B, ska ta hänsyn till särdragen i lagstiftningen inom varje sektor och befintliga mekanismer för styrning, bedömning av överensstämmelse och efterlevnadskontroll samt myndigheter som inrättats inom denna.
12. Any amendment to this Regulation pursuant to paragraph 10, or relevant delegated or implementing acts, which concerns sectoral Union harmonisation legislation listed in Section B of Annex I shall take into account the regulatory specificities of each sector, and the existing governance, conformity assessment and enforcement mechanisms and authorities established therein.
13. Senast den 2 augusti 2031 ska kommissionen göra en bedömning av efterlevnadskontrollen av denna förordning och lämna en rapport om detta till Europaparlamentet, rådet samt Europeiska ekonomiska och sociala kommittén med beaktande av de första åren av tillämpningen av denna förordning. På grundval av resultaten ska denna rapport vid behov åtföljas av ett förslag till ändring av denna förordning med avseende på efterlevnadskontrollens struktur och behovet av att en EU-byrå kommer till rätta med eventuella konstaterade brister.
13. By 2 August 2031, the Commission shall carry out an assessment of the enforcement of this Regulation and shall report on it to the European Parliament, the Council and the European Economic and Social Committee, taking into account the first years of application of this Regulation. On the basis of the findings, that report shall, where appropriate, be accompanied by a proposal for amendment of this Regulation with regard to the structure of enforcement and the need for a Union agency to resolve any identified shortcomings.
Ikraftträdande och tillämpning
Entry into force and application
Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.
This Regulation shall enter into force on the twentieth day following that of its publication in the Official Journal of the European Union.
Den ska tillämpas från och med den 2 augusti 2026.
It shall apply from 2 August 2026.
a)
kapitlen I och II ska tillämpas från och med den 2 februari 2025, att
(a)
Chapters I and II shall apply from 2 February 2025;
b)
kapitel III avsnitt 4, kapitlen V, VII och XII samt artikel 78 ska tillämpas från och med den 2 augusti 2025, med undantag för artikel 101, och att
(b)
Chapter III Section 4, Chapter V, Chapter VII and Chapter XII and Article 78 shall apply from 2 August 2025, with the exception of Article 101;
c)
artikel 6.1 och motsvarande skyldigheter i denna förordning ska tillämpas från och med den 2 augusti 2027.
(c)
Article 6(1) and the corresponding obligations in this Regulation shall apply from 2 August 2027.
Denna förordning är till alla delar bindande och direkt tillämplig i alla medlemsstater.
This Regulation shall be binding in its entirety and directly applicable in all Member States.
Utfärdad i Bryssel den 13 juni 2024.
Done at Brussels, 13 June 2024.
På Europaparlamentets vägnar
For the European Parliament
(1) EUT C 517, 22.12.2021, s. 56.
(1) OJ C 517, 22.12.2021, p. 56.
(2) EUT C 115, 11.3.2022, s. 5.
(2) OJ C 115, 11.3.2022, p. 5.
(3) EUT C 97, 28.2.2022, s. 60.
(3) OJ C 97, 28.2.2022, p. 60.
(4) Europaparlamentets ståndpunkt av den 13 mars 2024 (ännu inte offentliggjord i EUT) och rådets beslut av den 21 maj 2024.
(4) Position of the European Parliament of 13 March 2024 (not yet published in the Official Journal) and decision of the Council of 21 May 2024.
(5) Europeiska rådet, extra möte i Europeiska rådet (den 1 och 2 oktober 2020) – Slutsatser, EUCO 13/20, 2020, s. 6.
(5) European Council, Special meeting of the European Council (1 and 2 October 2020) — Conclusions, EUCO 13/20, 2020, p. 6.
(6) Europaparlamentets resolution av den 20 oktober 2020 med rekommendationer till kommissionen om en ram för etiska aspekter av artificiell intelligens, robotteknik och tillhörande teknik (2020/2012(INL)).
(6) European Parliament resolution of 20 October 2020 with recommendations to the Commission on a framework of ethical aspects of artificial intelligence, robotics and related technologies, 2020/2012(INL).
(7) Europaparlamentets och rådets förordning (EG) nr 765/2008 av den 9 juli 2008 om krav för ackreditering och upphävande av förordning (EEG) nr 339/93 (EUT L 218, 13.8.2008, s. 30).
(7) Regulation (EC) No 765/2008 of the European Parliament and of the Council of 9 July 2008 setting out the requirements for accreditation and repealing Regulation (EEC) No 339/93 (OJ L 218, 13.8.2008, p. 30).
(8) Europaparlamentets och rådets beslut nr 768/2008/EG av den 9 juli 2008 om en gemensam ram för saluföring av produkter och upphävande av rådets beslut 93/465/EEG (EUT L 218, 13.8.2008, s. 82).
(8) Decision No 768/2008/EC of the European Parliament and of the Council of 9 July 2008 on a common framework for the marketing of products, and repealing Council Decision 93/465/EEC (OJ L 218, 13.8.2008, p. 82).
(9) Europaparlamentets och rådets förordning (EU) 2019/1020 av den 20 juni 2019 om marknadskontroll och överensstämmelse för produkter och om ändring av direktiv 2004/42/EG och förordningarna (EG) nr 765/2008 och (EU) nr 305/2011 (EUT L 169, 25.6.2019, s. 1).
(9) Regulation (EU) 2019/1020 of the European Parliament and of the Council of 20 June 2019 on market surveillance and compliance of products and amending Directive 2004/42/EC and Regulations (EC) No 765/2008 and (EU) No 305/2011 (OJ L 169, 25.6.2019, p. 1).
(10) Rådets direktiv 85/374/EEG av den 25 juli 1985 om tillnärmning av medlemsstaternas lagar och andra författningar om skadeståndsansvar för produkter med säkerhetsbrister (EGT L 210, 7.8.1985, s. 29).
(10) Council Directive 85/374/EEC of 25 July 1985 on the approximation of the laws, regulations and administrative provisions of the Member States concerning liability for defective products (OJ L 210, 7.8.1985, p. 29).
(11) Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 4.5.2016, s. 1).
(11) Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) (OJ L 119, 4.5.2016, p. 1).
(12) Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39).
(12) Regulation (EU) 2018/1725 of the European Parliament and of the Council of 23 October 2018 on the protection of natural persons with regard to the processing of personal data by the Union institutions, bodies, offices and agencies and on the free movement of such data, and repealing Regulation (EC) No 45/2001 and Decision No 1247/2002/EC (OJ L 295, 21.11.2018, p. 39).
(13) Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (EUT L 119, 4.5.2016, s. 89).
(13) Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA (OJ L 119, 4.5.2016, p. 89).
(14) Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (Direktiv om integritet och elektronisk kommunikation) (EGT L 201, 31.7.2002, s. 37).
(14) Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications) (OJ L 201, 31.7.2002, p. 37).
(15) Europaparlamentets och rådets förordning (EU) 2022/2065 av den 19 oktober 2022 om en inre marknad för digitala tjänster och om ändring av direktiv 2000/31/EG (förordningen om digitala tjänster) (EUT L 277, 27.10.2022, s. 1).
(15) Regulation (EU) 2022/2065 of the European Parliament and of the Council of 19 October 2022 on a Single Market For Digital Services and amending Directive 2000/31/EC (Digital Services Act) (OJ L 277, 27.10.2022, p. 1).
(16) Europaparlamentets och rådets direktiv (EU) 2019/882 av den 17 april 2019 om tillgänglighetskrav för produkter och tjänster (EUT L 151, 7.6.2019, s. 70).
(16) Directive (EU) 2019/882 of the European Parliament and of the Council of 17 April 2019 on the accessibility requirements for products and services (OJ L 151, 7.6.2019, p. 70).
(17) Europaparlamentets och rådets direktiv 2005/29/EG av den 11 maj 2005 om otillbörliga affärsmetoder som tillämpas av näringsidkare gentemot konsumenter på den inre marknaden och om ändring av rådets direktiv 84/450/EEG och Europaparlamentets och rådets direktiv 97/7/EG, 98/27/EG och 2002/65/EG samt Europaparlamentets och rådets förordning (EG) nr 2006/2004 (direktiv om otillbörliga affärsmetoder) (EUT L 149, 11.6.2005, s. 22).
(17) Directive 2005/29/EC of the European Parliament and of the Council of 11 May 2005 concerning unfair business-to-consumer commercial practices in the internal market and amending Council Directive 84/450/EEC, Directives 97/7/EC, 98/27/EC and 2002/65/EC of the European Parliament and of the Council and Regulation (EC) No 2006/2004 of the European Parliament and of the Council (‘Unfair Commercial Practices Directive’) (OJ L 149, 11.6.2005, p. 22).
(18) Rådets rambeslut 2002/584/RIF av den 13 juni 2002 om en europeisk arresteringsorder och överlämnande mellan medlemsstaterna (EGT L 190, 18.7.2002, s. 1).
(18) Council Framework Decision 2002/584/JHA of 13 June 2002 on the European arrest warrant and the surrender procedures between Member States (OJ L 190, 18.7.2002, p. 1).
(19) Europaparlamentets och rådets direktiv (EU) 2022/2557 av den 14 december 2022 om kritiska entiteters motståndskraft och om upphävande av rådets direktiv 2008/114/EG (EUT L 333, 27.12.2022, s. 164).
(19) Directive (EU) 2022/2557 of the European Parliament and of the Council of 14 December 2022 on the resilience of critical entities and repealing Council Directive 2008/114/EC (OJ L 333, 27.12.2022, p. 164).
(20) EUT C 247, 29.6.2022, s. 1.
(20) OJ C 247, 29.6.2022, p. 1.
(21) Europaparlamentets och rådets förordning (EU) 2017/745 av den 5 april 2017 om medicintekniska produkter, om ändring av direktiv 2001/83/EG, förordning (EG) nr 178/2002 och förordning (EG) nr 1223/2009 och om upphävande av rådets direktiv 90/385/EEG och 93/42/EEG (EUT L 117, 5.5.2017, s. 1).
(21) Regulation (EU) 2017/745 of the European Parliament and of the Council of 5 April 2017 on medical devices, amending Directive 2001/83/EC, Regulation (EC) No 178/2002 and Regulation (EC) No 1223/2009 and repealing Council Directives 90/385/EEC and 93/42/EEC (OJ L 117, 5.5.2017, p. 1).
(22) Europaparlamentets och rådets förordning (EU) 2017/746 av den 5 april 2017 om medicintekniska produkter för in vitro-diagnostik och om upphävande av direktiv 98/79/EG och kommissionens beslut 2010/227/EU (EUT L 117, 5.5.2017, s. 176).
(22) Regulation (EU) 2017/746 of the European Parliament and of the Council of 5 April 2017 on in vitro diagnostic medical devices and repealing Directive 98/79/EC and Commission Decision 2010/227/EU (OJ L 117, 5.5.2017, p. 176).
(23) Europaparlamentets och rådets direktiv 2006/42/EG av den 17 maj 2006 om maskiner och om ändring av direktiv 95/16/EG (EUT L 157, 9.6.2006, s. 24).
(23) Directive 2006/42/EC of the European Parliament and of the Council of 17 May 2006 on machinery, and amending Directive 95/16/EC (OJ L 157, 9.6.2006, p. 24).
(24) Europaparlamentets och rådets förordning (EG) nr 300/2008 av den 11 mars 2008 om gemensamma skyddsregler för den civila luftfarten och om upphävande av förordning (EG) nr 2320/2002 (EUT L 97, 9.4.2008, s. 72).
(24) Regulation (EC) No 300/2008 of the European Parliament and of the Council of 11 March 2008 on common rules in the field of civil aviation security and repealing Regulation (EC) No 2320/2002 (OJ L 97, 9.4.2008, p. 72).
(25) Europaparlamentets och rådets förordning (EU) nr 167/2013 av den 5 februari 2013 om godkännande och marknadstillsyn av jordbruks- och skogsbruksfordon (EUT L 60, 2.3.2013, s. 1).
(25) Regulation (EU) No 167/2013 of the European Parliament and of the Council of 5 February 2013 on the approval and market surveillance of agricultural and forestry vehicles (OJ L 60, 2.3.2013, p. 1).
(26) Europaparlamentets och rådets förordning (EU) nr 168/2013 av den 15 januari 2013 om godkännande av och marknadstillsyn för två- och trehjuliga fordon och fyrhjulingar (EUT L 60, 2.3.2013, s. 52).
(26) Regulation (EU) No 168/2013 of the European Parliament and of the Council of 15 January 2013 on the approval and market surveillance of two- or three-wheel vehicles and quadricycles (OJ L 60, 2.3.2013, p. 52).
(27) Europaparlamentets och rådets direktiv 2014/90/EU av den 23 juli 2014 om marin utrustning och om upphävande av rådets direktiv 96/98/EG (EUT L 257, 28.8.2014, s. 146).
(27) Directive 2014/90/EU of the European Parliament and of the Council of 23 July 2014 on marine equipment and repealing Council Directive 96/98/EC (OJ L 257, 28.8.2014, p. 146).
(28) Europaparlamentets och rådets direktiv (EU) 2016/797 av den 11 maj 2016 om driftskompatibiliteten hos järnvägssystemet inom Europeiska unionen (EUT L 138, 26.5.2016, s. 44).
(28) Directive (EU) 2016/797 of the European Parliament and of the Council of 11 May 2016 on the interoperability of the rail system within the European Union (OJ L 138, 26.5.2016, p. 44).
(29) Europaparlamentets och rådets förordning (EU) 2018/858 av den 30 maj 2018 om godkännande av och marknadskontroll över motorfordon och släpfordon till dessa fordon samt av system, komponenter och separata tekniska enheter som är avsedda för sådana fordon, om ändring av förordningarna (EG) nr 715/2007 och (EG) nr 595/2009 samt om upphävande av direktiv 2007/46/EG (EUT L 151, 14.6.2018, s. 1).
(29) Regulation (EU) 2018/858 of the European Parliament and of the Council of 30 May 2018 on the approval and market surveillance of motor vehicles and their trailers, and of systems, components and separate technical units intended for such vehicles, amending Regulations (EC) No 715/2007 and (EC) No 595/2009 and repealing Directive 2007/46/EC (OJ L 151, 14.6.2018, p. 1).
(30) Europaparlamentets och rådets förordning (EU) 2018/1139 av den 4 juli 2018 om fastställande av gemensamma bestämmelser på det civila luftfartsområdet och inrättande av Europeiska unionens byrå för luftfartssäkerhet, och om ändring av Europaparlamentets och rådets förordningar (EG) nr 2111/2005, (EG) nr 1008/2008, (EU) nr 996/2010, (EU) nr 376/2014 och direktiv 2014/30/EU och 2014/53/EU, samt om upphävande av Europaparlamentets och rådets förordningar (EG) nr 552/2004 och (EG) nr 216/2008 och rådets förordning (EEG) nr 3922/91, (EUT L 212, 22.8.2018, s. 1).
(30) Regulation (EU) 2018/1139 of the European Parliament and of the Council of 4 July 2018 on common rules in the field of civil aviation and establishing a European Union Aviation Safety Agency, and amending Regulations (EC) No 2111/2005, (EC) No 1008/2008, (EU) No 996/2010, (EU) No 376/2014 and Directives 2014/30/EU and 2014/53/EU of the European Parliament and of the Council, and repealing Regulations (EC) No 552/2004 and (EC) No 216/2008 of the European Parliament and of the Council and Council Regulation (EEC) No 3922/91 (OJ L 212, 22.8.2018, p. 1).
(31) Europaparlamentets och rådets förordning (EU) 2019/2144 av den 27 november 2019 om krav för typgodkännande av motorfordon och deras släpvagnar samt de system, komponenter och separata tekniska enheter som är avsedda för sådana fordon, med avseende på deras allmänna säkerhet och skydd för personer i fordonet och oskyddade trafikanter, om ändring av Europaparlamentets och rådets förordning (EU) 2018/858 och om upphävande av Europaparlamentets och rådets förordningar (EG) nr 78/2009, (EG) nr 79/2009 och (EG) nr 661/2009 samt kommissionens förordningar (EG) nr 631/2009, (EU) nr 406/2010, (EU) nr 672/2010, (EU) nr 1003/2010, (EU) nr 1005/2010, (EU) nr 1008/2010, (EU) nr 1009/2010, (EU) nr 19/2011, (EU) nr 109/2011, (EU) nr 458/2011, (EU) nr 65/2012, (EU) nr 130/2012, (EU) nr 347/2012, (EU) nr 351/2012, (EU) nr 1230/2012 och (EU) 2015/166 (EUT L 325, 16.12.2019, s. 1).
(31) Regulation (EU) 2019/2144 of the European Parliament and of the Council of 27 November 2019 on type-approval requirements for motor vehicles and their trailers, and systems, components and separate technical units intended for such vehicles, as regards their general safety and the protection of vehicle occupants and vulnerable road users, amending Regulation (EU) 2018/858 of the European Parliament and of the Council and repealing Regulations (EC) No 78/2009, (EC) No 79/2009 and (EC) No 661/2009 of the European Parliament and of the Council and Commission Regulations (EC) No 631/2009, (EU) No 406/2010, (EU) No 672/2010, (EU) No 1003/2010, (EU) No 1005/2010, (EU) No 1008/2010, (EU) No 1009/2010, (EU) No 19/2011, (EU) No 109/2011, (EU) No 458/2011, (EU) No 65/2012, (EU) No 130/2012, (EU) No 347/2012, (EU) No 351/2012, (EU) No 1230/2012 and (EU) 2015/166 (OJ L 325, 16.12.2019, p. 1).
(32) Europaparlamentets och rådets förordning (EG) nr 810/2009 av den 13 juli 2009 om införande av en gemenskapskodex om viseringar (viseringskodex) (EUT L 243, 15.9.2009, s. 1).
(32) Regulation (EC) No 810/2009 of the European Parliament and of the Council of 13 July 2009 establishing a Community Code on Visas (Visa Code) (OJ L 243, 15.9.2009, p. 1).
(33) Europaparlamentets och rådets direktiv 2013/32/EU av den 26 juni 2013 om gemensamma förfaranden för att bevilja och återkalla internationellt skydd (EUT L 180, 29.6.2013, s. 60).
(33) Directive 2013/32/EU of the European Parliament and of the Council of 26 June 2013 on common procedures for granting and withdrawing international protection (OJ L 180, 29.6.2013, p. 60).
(34) Europaparlamentets och rådets direktiv (EU) 2024/900 av den 13 mars 2024 om transparens och inriktning när det gäller politisk reklam (EUT L, 2024/900, 20.3.2024, ELI: http://data.europa.eu/eli/reg/2024/900/oj).
(34) Regulation (EU) 2024/900 of the European parliament and of the Council of 13 March 2024 on the transparency and targeting of political advertising (OJ L, 2024/900, 20.3.2024, ELI: http://data.europa.eu/eli/reg/2024/900/oj).
(35) Europaparlamentets och rådets direktiv 2014/31/EU av den 26 februari 2014 om harmonisering av medlemsstaternas lagstiftning om tillhandahållande på marknaden av icke-automatiska vågar (EUT L 96, 29.3.2014, s. 107).
(35) Directive 2014/31/EU of the European Parliament and of the Council of 26 February 2014 on the harmonisation of the laws of the Member States relating to the making available on the market of non-automatic weighing instruments (OJ L 96, 29.3.2014, p. 107).
(36) Europaparlamentets och rådets direktiv 2014/32/EU av den 26 februari 2014 om harmonisering av medlemsstaternas lagstiftning om tillhandahållande på marknaden av mätinstrument (EUT L 96, 29.3.2014, s. 149).
(36) Directive 2014/32/EU of the European Parliament and of the Council of 26 February 2014 on the harmonisation of the laws of the Member States relating to the making available on the market of measuring instruments (OJ L 96, 29.3.2014, p. 149).
(37) Europaparlamentets och rådets förordning (EU) 2019/881 av den 17 april 2019 om Enisa (Europeiska unionens cybersäkerhetsbyrå) och om cybersäkerhetscertifiering av informations- och kommunikationsteknik och om upphävande av förordning (EU) nr 526/2013 (cybersäkerhetsakten) (EUT L 151, 7.6.2019, s. 15).
(37) Regulation (EU) 2019/881 of the European Parliament and of the Council of 17 April 2019 on ENISA (the European Union Agency for Cybersecurity) and on information and communications technology cybersecurity certification and repealing Regulation (EU) No 526/2013 (Cybersecurity Act) (OJ L 151, 7.6.2019, p. 15).
(38) Europaparlamentets och rådets direktiv (EU) 2016/2102 av den 26 oktober 2016 om tillgänglighet avseende offentliga myndigheters webbplatser och mobila applikationer (EUT L 327, 2.12.2016, s. 1).
(38) Directive (EU) 2016/2102 of the European Parliament and of the Council of 26 October 2016 on the accessibility of the websites and mobile applications of public sector bodies (OJ L 327, 2.12.2016, p. 1).
(39) Europaparlamentets och rådets direktiv 2002/14/EG av den 11 mars 2002 om inrättande av en allmän ram för information till och samråd med arbetstagare i Europeiska gemenskapen (EGT L 80, 23.3.2002, s. 29).
(39) Directive 2002/14/EC of the European Parliament and of the Council of 11 March 2002 establishing a general framework for informing and consulting employees in the European Community (OJ L 80, 23.3.2002, p. 29).
(40) Europaparlamentets och rådets direktiv (EU) 2019/790 av den 17 april 2019 om upphovsrätt och närstående rättigheter på den digitala inre marknaden och om ändring av direktiven 96/9/EG och 2001/29/EG (EUT L 130, 17.5.2019, s. 92).
(40) Directive (EU) 2019/790 of the European Parliament and of the Council of 17 April 2019 on copyright and related rights in the Digital Single Market and amending Directives 96/9/EC and 2001/29/EC (OJ L 130, 17.5.2019, p. 92).
(41) Europaparlamentets och rådets förordning (EU) nr 1025/2012 av den 25 oktober 2012 om europeisk standardisering och om ändring av rådets direktiv 89/686/EEG och 93/15/EEG samt av Europaparlamentets och rådets direktiv 94/9/EG, 94/25/EG, 95/16/EG, 97/23/EG, 98/34/EG, 2004/22/EG, 2007/23/EG, 2009/23/EG och 2009/105/EG samt om upphävande av rådets beslut 87/95/EEG och Europaparlamentets och rådets beslut 1673/2006/EG (EUT L 316, 14.11.2012, s. 12).
(41) Regulation (EU) No 1025/2012 of the European Parliament and of the Council of 25 October 2012 on European standardisation, amending Council Directives 89/686/EEC and 93/15/EEC and Directives 94/9/EC, 94/25/EC, 95/16/EC, 97/23/EC, 98/34/EC, 2004/22/EC, 2007/23/EC, 2009/23/EC and 2009/105/EC of the European Parliament and of the Council and repealing Council Decision 87/95/EEC and Decision No 1673/2006/EC of the European Parliament and of the Council (OJ L 316, 14.11.2012, p. 12).
(42) Europaparlamentets och rådets förordning (EU) 2022/868 av den 30 maj 2022 om europeisk dataförvaltning och om ändring av förordning (EU) 2018/1724 (dataförvaltningsakten) (EUT L 152, 3.6.2022, s. 1).
(42) Regulation (EU) 2022/868 of the European Parliament and of the Council of 30 May 2022 on European data governance and amending Regulation (EU) 2018/1724 (Data Governance Act) (OJ L 152, 3.6.2022, p. 1).
(43) Europaparlamentets och rådets förordning (EU) 2023/2854 av den 13 december 2023 om harmoniserade regler för skälig åtkomst till och användning av data och om ändring av förordning (EU) 2017/2394 och direktiv (EU) 2020/1828 (dataförordningen) (EUT L, 2023/2854, 22.12.2023, ELI: http://data.europa.eu/eli/reg/2023/2854/oj).
(43) Regulation (EU) 2023/2854 of the European Parliament and of the Council of 13 December 2023 on harmonised rules on fair access to and use of data and amending Regulation (EU) 2017/2394 and Directive (EU) 2020/1828 (Data Act) (OJ L, 2023/2854, 22.12.2023, ELI: http://data.europa.eu/eli/reg/2023/2854/oj).
(44) Kommissionens rekommendation av den 6 maj 2003 om definitionen av mikroföretag samt små och medelstora företag (EUT L 124, 20.5.2003, s. 36).
(44) Commission Recommendation of 6 May 2003 concerning the definition of micro, small and medium-sized enterprises (OJ L 124, 20.5.2003, p. 36).
(45) Kommissionens beslut av den 24 januari 2024 om inrättande av Europeiska byrån för artificiell intelligens C(2024) 390.
(45) Commission Decision of 24.1.2024 establishing the European Artificial Intelligence Office C(2024) 390.
(46) Europaparlamentets och rådets förordning (EU) nr 575/2013 av den 26 juni 2013 om tillsynskrav för kreditinstitut och om ändring av förordning (EU) nr 648/2012 (EUT L 176, 27.6.2013, s. 1).
(46) Regulation (EU) No 575/2013 of the European Parliament and of the Council of 26 June 2013 on prudential requirements for credit institutions and investment firms and amending Regulation (EU) No 648/2012 (OJ L 176, 27.6.2013, p. 1).
(47) Europaparlamentets och rådets direktiv 2008/48/EG av den 23 april 2008 om konsumentkreditavtal och om upphävande av rådets direktiv 87/102/EEG (EUT L 133, 22.5.2008, s. 66).
(47) Directive 2008/48/EC of the European Parliament and of the Council of 23 April 2008 on credit agreements for consumers and repealing Council Directive 87/102/EEC (OJ L 133, 22.5.2008, p. 66).
(48) Europaparlamentets och rådets direktiv 2009/138/EG av den 25 november 2009 om upptagande och utövande av försäkrings- och återförsäkringsverksamhet (Solvens II) (EUT L 335, 17.12.2009, s. 1).
(48) Directive 2009/138/EC of the European Parliament and of the Council of 25 November 2009 on the taking-up and pursuit of the business of Insurance and Reinsurance (Solvency II) (OJ L 335, 17.12.2009, p. 1).
(49) Europaparlamentets och rådets direktiv 2013/36/EU av den 26 juni 2013 om behörighet att utöva verksamhet i kreditinstitut och om tillsyn av kreditinstitut och värdepappersföretag, om ändring av direktiv 2002/87/EG och om upphävande av direktiv 2006/48/EG och 2006/49/EG (EUT L 176, 27.6.2013, s. 338).
(49) Directive 2013/36/EU of the European Parliament and of the Council of 26 June 2013 on access to the activity of credit institutions and the prudential supervision of credit institutions and investment firms, amending Directive 2002/87/EC and repealing Directives 2006/48/EC and 2006/49/EC (OJ L 176, 27.6.2013, p. 338).
(50) Europaparlamentets och rådets direktiv 2014/17/EU av den 4 februari 2014 om konsumentkreditavtal som avser bostadsfastighet och om ändring av direktiven 2008/48/EG och 2013/36/EU och förordning (EU) nr 1093/2010 (EUT L 60, 28.2.2014, s. 34).
(50) Directive 2014/17/EU of the European Parliament and of the Council of 4 February 2014 on credit agreements for consumers relating to residential immovable property and amending Directives 2008/48/EC and 2013/36/EU and Regulation (EU) No 1093/2010 (OJ L 60, 28.2.2014, p. 34).
(51) Europaparlamentets och rådets direktiv (EU) 2016/97 av den 20 januari 2016 om försäkringsdistribution (EUT L 26, 2.2.2016, s. 19).
(51) Directive (EU) 2016/97 of the European Parliament and of the Council of 20 January 2016 on insurance distribution (OJ L 26, 2.2.2016, p. 19).
(52) Rådets förordning (EU) nr 1024/2013 av den 15 oktober 2013 om tilldelning av särskilda uppgifter till Europeiska centralbanken i fråga om politiken för tillsyn över kreditinstitut (EUT L 287, 29.10.2013, s. 63).
(52) Council Regulation (EU) No 1024/2013 of 15 October 2013 conferring specific tasks on the European Central Bank concerning policies relating to the prudential supervision of credit institutions (OJ L 287, 29.10.2013, p. 63).
(53) Europaparlamentets och rådets förordning (EU) 2023/988 av den 10 maj 2023 om allmän produktsäkerhet, ändring av Europaparlamentets och rådets förordning (EU) nr 1025/2012 och Europaparlamentets och rådets direktiv (EU) 2020/1828 och om upphävande av Europaparlamentets och rådets direktiv 2001/95/EG och rådets direktiv 87/357/EEG (EUT L 135, 23.5.2023, s. 1).
(53) Regulation (EU) 2023/988 of the European Parliament and of the Council of 10 May 2023 on general product safety, amending Regulation (EU) No 1025/2012 of the European Parliament and of the Council and Directive (EU) 2020/1828 of the European Parliament and the Council, and repealing Directive 2001/95/EC of the European Parliament and of the Council and Council Directive 87/357/EEC (OJ L 135, 23.5.2023, p. 1).
(54) Europaparlamentets och rådets direktiv (EU) 2019/1937 av den 23 oktober 2019 om skydd för personer som rapporterar om överträdelser av unionsrätten (EUT L 305, 26.11.2019, s. 17).
(54) Directive (EU) 2019/1937 of the European Parliament and of the Council of 23 October 2019 on the protection of persons who report breaches of Union law (OJ L 305, 26.11.2019, p. 17).
(55) EUT L 123, 12.5.2016, s. 1.
(55) OJ L 123, 12.5.2016, p. 1.
(56) Europaparlamentets och rådets förordning (EU) nr 182/2011 av den 16 februari 2011 om fastställande av allmänna regler och principer för medlemsstaternas kontroll av kommissionens utövande av sina genomförandebefogenheter (EUT L 55, 28.2.2011, s. 13).
(56) Regulation (EU) No 182/2011 of the European Parliament and of the Council of 16 February 2011 laying down the rules and general principles concerning mechanisms for control by Member States of the Commission’s exercise of implementing powers (OJ L 55, 28.2.2011, p. 13).
(57) Europaparlamentets och rådets direktiv (EU) 2016/943 av den 8 juni 2016 om skydd mot att icke röjd know-how och företagsinformation (företagshemligheter) olagligen anskaffas, utnyttjas och röjs (EUT L 157, 15.6.2016, s. 1).
(57) Directive (EU) 2016/943 of the European Parliament and of the Council of 8 June 2016 on the protection of undisclosed know-how and business information (trade secrets) against their unlawful acquisition, use and disclosure (OJ L 157, 15.6.2016, p. 1).
(58) Europaparlamentets och rådets direktiv (EU) 2020/1828 av den 25 november 2020 om grupptalan för att skydda konsumenters kollektiva intressen och om upphävande av direktiv 2009/22/EG (EUT L 409, 4.12.2020, s. 1).
(58) Directive (EU) 2020/1828 of the European Parliament and of the Council of 25 November 2020 on representative actions for the protection of the collective interests of consumers and repealing Directive 2009/22/EC (OJ L 409, 4.12.2020, p. 1).