Art. 26. - Art. 26: Obligaţiile implementatorilor de sisteme de IA cu grad ridicat de risc - Regulamentul 1689/13-iun-2024 de stabilire a unor norme armonizate privind inteligenţa artificială şi de modificare a Regulamentelor (CE) nr. 300/2008, (UE) nr. 167/2013, (UE) nr. 168/2013, (UE) 2018/858, (UE) 2018/1139 şi (UE) 2019/2144 şi a Directivelor 2014/90/UE, (UE) 2016/797 şi (UE) 2020/1828 (Regulamentul privind inteligenţa artificială)
Acte UE
Jurnalul Oficial seria L
Neintrat în vigoare Versiune de la: 12 Iulie 2024
Art. 26: Obligaţiile implementatorilor de sisteme de IA cu grad ridicat de risc
(1)Implementatorii sistemelor de IA cu grad ridicat de risc iau măsuri tehnice şi organizatorice corespunzătoare pentru a oferi siguranţa că utilizează astfel de sisteme în conformitate cu instrucţiunile de utilizare care însoţesc sistemele, în temeiul alineatelor (3) şi (6).
(2)Implementatorii încredinţează supravegherea umană unor persoane fizice care au competenţa, formarea şi autoritatea necesare, precum şi sprijinul necesar.
(3)Obligaţiile de la alineatele (1) şi (2) nu aduc atingere altor obligaţii ale implementatorilor în temeiul dreptului Uniunii sau al dreptului intern şi nici libertăţii implementatorilor de a-şi organiza propriile resurse şi activităţi în scopul punerii în aplicare a măsurilor de supraveghere umană indicate de furnizor.
(4)Fără a aduce atingere alineatelor (1) şi (2), în măsura în care exercită controlul asupra datelor de intrare, implementatorul se asigură că datele de intrare sunt relevante şi suficient de reprezentative în raport cu scopul preconizat al sistemului de IA cu grad ridicat de risc.
(5)Implementatorii monitorizează funcţionarea sistemului de IA cu grad ridicat de risc pe baza instrucţiunilor de utilizare şi, atunci când este cazul, informează furnizorii în conformitate cu articolul 72. În cazul în care au motive să considere că utilizarea sistemului de IA cu grad ridicat de risc în conformitate cu instrucţiunile poate conduce la situaţia în care sistemul de IA respectiv prezintă un risc în sensul articolului 79 alineatul (1), implementatorii informează fără întârzieri nejustificate furnizorul sau distribuitorul şi autoritatea relevantă de supraveghere a pieţei şi suspendă utilizarea sistemului respectiv. De asemenea, în cazul în care au identificat un incident grav, implementatorii informează imediat mai întâi furnizorul, şi apoi importatorul sau distribuitorul şi autorităţile relevante de supraveghere a pieţei cu privire la incidentul respectiv. În cazul în care implementatorul nu poate comunica cu furnizorul, articolul 73 se aplică mutatis mutandis. Această obligaţie nu vizează datele operaţionale sensibile ale implementatorilor sistemelor de IA care sunt autorităţi de aplicare a legii.
În cazul implementatorilor care sunt instituţii financiare supuse unor cerinţe privind guvernanţa internă, măsurile sau procesele interne în temeiul dreptului Uniunii din domeniul serviciilor financiare, se consideră că obligaţia de monitorizare prevăzută la primul paragraf este îndeplinită prin respectarea normelor privind mecanismele, procesele şi măsurile de guvernanţă internă în temeiul dreptului relevant din domeniul serviciilor financiare.
(6)Implementatorii sistemelor de IA cu grad ridicat de risc păstrează fişierele de jurnalizare generate automat de respectivele sisteme de IA cu grad ridicat de risc, în măsura în care aceste fişiere de jurnalizare se află sub controlul lor pentru o perioadă adecvată scopului preconizat al sistemului de IA cu grad ridicat de risc, de cel puţin şase luni, cu excepţia cazului în care se prevede altfel în dreptul Uniunii sau în dreptul intern aplicabil, în special în dreptul Uniunii privind protecţia datelor cu caracter personal.
Implementatorii care sunt instituţii financiare supuse unor cerinţe privind guvernanţa internă, măsurile sau procesele interne în temeiul dreptului Uniunii din domeniul serviciilor financiare păstrează fişierele de jurnalizare ca parte a documentaţiei păstrate în temeiul dreptului relevant al Uniunii din domeniul serviciilor financiare.
(7)Înainte de a pune în funcţiune sau de a utiliza un sistem de IA cu grad ridicat de risc la locul de muncă, implementatorii care sunt angajatori informează reprezentanţii lucrătorilor şi lucrătorii afectaţi că vor fi implicaţi în utilizarea sistemului de IA cu grad ridicat de risc. Informaţiile respective sunt furnizate, după caz, în conformitate cu normele şi procedurile prevăzute în dreptul şi practicile de la nivelul Uniunii şi de la nivel naţional privind informarea lucrătorilor şi a reprezentanţilor acestora.
(8)Implementatorii sistemelor de IA cu grad ridicat de risc care sunt autorităţi publice sau instituţii, organe, oficii sau agenţii ale Uniunii respectă obligaţiile de înregistrare menţionate la articolul 49. În cazul în care constată că sistemul de IA cu grad ridicat de risc pe care intenţionează să îl utilizeze nu a fost înregistrat în baza de date a UE menţionată la articolul 71, implementatorii respectivi nu utilizează sistemul respectiv şi informează furnizorul sau distribuitorul.
(9)După caz, implementatorii de sisteme de IA cu grad ridicat de risc utilizează informaţiile furnizate în temeiul articolului 13 din prezentul regulament pentru a-şi respecta obligaţia de a efectua o evaluare a impactului asupra protecţiei datelor în temeiul articolului 35 din Regulamentul (UE) 2016/679 sau al articolului 27 din Directiva (UE) 2016/680.
(10)Fără a aduce atingere Directivei (UE) 2016/680, în cadrul unei investigaţii pentru căutarea în mod specific a unei persoane suspectate sau condamnate de a fi comis o infracţiune, implementatorul unui sistem de IA cu grad ridicat de risc pentru identificarea biometrică la distanţă ulterioară solicită o autorizaţie, ex ante sau fără întârzieri nejustificate şi în termen de cel mult 48 de ore, din partea unei autorităţi judiciare sau a unei autorităţi administrative a cărei decizie are efect obligatoriu şi face obiectul controlului jurisdicţional, pentru utilizarea sistemului respectiv, cu excepţia cazului în care este utilizat pentru identificarea iniţială a unui potenţial suspect pe baza unor fapte obiective şi verificabile legate direct de infracţiune. Fiecare utilizare se limitează la ceea ce este strict necesar pentru investigarea unei anumite infracţiuni.
În cazul în care autorizaţia solicitată în temeiul primului paragraf este respinsă, utilizarea sistemului de identificare biometrică la distanţă ulterioară legat de autorizaţia solicitată respectivă se opreşte cu efect imediat, iar datele cu caracter personal legate de utilizarea sistemului de IA cu grad ridicat de risc pentru care a fost solicitată autorizaţia se şterg.
În niciun caz, un astfel de sistem de IA cu grad ridicat de risc pentru identificarea biometrică la distanţă ulterioară nu se utilizează într-un mod nedirecţionat în scopul aplicării legii, dacă nu implică nicio legătură cu o infracţiune, cu o procedură penală, cu o ameninţare reală şi prezentă sau reală şi previzibilă vizând o infracţiune sau căutarea unei anumite persoane dispărute. Se asigură faptul că autorităţile de aplicare a legii nu pot lua nicio decizie care produce un efect juridic negativ asupra unei persoane exclusiv pe baza rezultatelor unor astfel de sisteme de identificare biometrică la distanţă ulterioară.
Prezentul alineat nu aduce atingere dispoziţiilor de la articolul 9 din Regulamentul (UE) 2016/679 şi de la articolul 10 din Directiva (UE) 2016/680 privind prelucrarea datelor biometrice.
Indiferent de scop sau de implementator, fiecare utilizare a acestor sisteme de IA cu grad ridicat de risc este documentată în dosarul relevant al poliţiei şi este pusă la dispoziţia autorităţii relevante de supraveghere a pieţei şi a autorităţii naţionale pentru protecţia datelor, la cerere, exceptând divulgarea datelor operaţionale sensibile legate de aplicarea legii. Prezentul paragraf nu aduce atingere competenţelor conferite autorităţilor de supraveghere de Directiva (UE) 2016/680.
Implementatorii prezintă autorităţilor relevante de supraveghere a pieţei şi autorităţilor naţionale pentru protecţia datelor rapoarte anuale cu privire la utilizarea sistemelor de identificare biometrică la distanţă ulterioară, exceptând divulgarea datelor operaţionale sensibile legate de aplicarea legii. Rapoartele pot fi agregate pentru a cuprinde mai multe implementări.
Statele membre pot introduce, în conformitate cu dreptul Uniunii, legi mai restrictive privind utilizarea sistemelor de identificare biometrică la distanţă ulterioară.
(11)Fără a afecta dispoziţiile de la articolul 50 din prezentul regulament, implementatorii de sisteme de IA cu grad ridicat de risc menţionate în anexa III, care iau decizii sau contribuie la luarea deciziilor referitoare la persoane fizice, informează persoanele fizice că fac obiectul utilizării sistemului de IA cu grad ridicat de risc. În cazul sistemelor de IA cu grad ridicat de risc utilizate în scopul aplicării legii, se aplică articolul 13 din Directiva (UE) 2016/680.
(12)Implementatorii cooperează cu autorităţile competente relevante pentru orice acţiune întreprinsă de respectivele autorităţi în legătură cu sistemul de IA cu grad ridicat de risc pentru a pune în aplicare prezentul regulament.