Secţiunea 3 - Obligaţiile furnizorilor şi implementatorilor de sisteme de IA cu grad ridicat de risc şi ale altor părţi - Regulamentul 1689/13-iun-2024 de stabilire a unor norme armonizate privind inteligenţa artificială şi de modificare a Regulamentelor (CE) nr. 300/2008, (UE) nr. 167/2013, (UE) nr. 168/2013, (UE) 2018/858, (UE) 2018/1139 şi (UE) 2019/2144 şi a Directivelor 2014/90/UE, (UE) 2016/797 şi (UE) 2020/1828 (Regulamentul privind inteligenţa artificială)
Acte UE
Jurnalul Oficial seria L
Neintrat în vigoare Versiune de la: 12 Iulie 2024
SECŢIUNEA 3:Obligaţiile furnizorilor şi implementatorilor de sisteme de IA cu grad ridicat de risc şi ale altor părţi
Art. 16: Obligaţiile furnizorilor de sisteme de IA cu grad ridicat de risc
Furnizorii de sisteme de IA cu grad ridicat de risc:
(a)se asigură că sistemele lor de IA cu grad ridicat de risc respectă cerinţele prevăzute în secţiunea 2;
(b)indică pe sistemul de IA cu grad ridicat de risc sau, în cazul în care acest lucru nu este posibil, pe ambalaj sau în documentele care îl însoţesc, după caz, numele lor, denumirea lor comercială înregistrată sau marca lor înregistrată, adresa la care pot fi contactaţi;
(c)dispun de un sistem de management al calităţii în conformitate cu articolul 17;
(d)păstrează documentaţia menţionată la articolul 18;
(e)atunci când acestea se află sub controlul lor, păstrează fişierele de jurnalizare generate automat de sistemele lor de IA cu grad ridicat de risc menţionate la articolul 19;
(f)se asigură că sistemul de IA cu grad ridicat de risc este supus procedurii relevante de evaluare a conformităţii menţionată la articolul 43, înainte de introducerea sa pe piaţă sau de punerea sa în funcţiune;
(g)elaborează o declaraţie de conformitate UE în conformitate cu articolul 47;
(h)aplică marcajul CE pe sistemul de IA cu grad ridicat de risc sau, în cazul în care acest lucru nu este posibil, pe ambalajul sau în documentaţia sa însoţitoare, pentru a indica conformitatea cu prezentul regulament, în conformitate cu articolul 48;
(i)respectă obligaţiile de înregistrare menţionate la articolul 49 alineatul (1);
(j)iau măsurile corective necesare şi furnizează informaţiile prevăzute la articolul 20;
(k)la cererea motivată a unei autorităţi naţionale competente, demonstrează conformitatea sistemului de IA cu grad ridicat de risc cu cerinţele prevăzute în secţiunea 2;
(l)se asigură că sistemul de IA cu grad ridicat de risc respectă cerinţele de accesibilitate, în conformitate cu Directivele (UE) 2016/2102 şi (UE) 2019/882.
Art. 17: Sistemul de management al calităţii
(1)Furnizorii de sisteme de IA cu grad ridicat de risc instituie un sistem de management al calităţii care asigură conformitatea cu prezentul regulament. Acest sistem este documentat în mod sistematic şi ordonat sub formă de politici, proceduri şi instrucţiuni scrise şi include cel puţin următoarele aspecte:
a)o strategie pentru conformitatea cu reglementările, inclusiv conformitatea cu procedurile de evaluare a conformităţii şi cu procedurile de gestionare a modificărilor aduse sistemului de IA cu grad ridicat de risc;
b)tehnicile, procedurile şi acţiunile sistematice care trebuie utilizate pentru proiectarea, controlul proiectării şi verificarea proiectării sistemului de IA cu grad ridicat de risc;
c)tehnicile, procedurile şi acţiunile sistematice care trebuie utilizate pentru dezvoltarea, controlul calităţii şi asigurarea calităţii sistemului de IA cu grad ridicat de risc;
d)procedurile de examinare, testare şi validare care trebuie efectuate înainte, în timpul şi după dezvoltarea sistemului de IA cu grad ridicat de risc, precum şi frecvenţa cu care acestea trebuie efectuate;
e)specificaţiile tehnice, inclusiv standardele, care trebuie aplicate şi, în cazul în care standardele armonizate relevante nu sunt aplicate integral sau nu vizează toate cerinţele relevante prevăzute în secţiunea 2, mijloacele care trebuie utilizate pentru a se asigura că sistemul de IA cu grad ridicat de risc respectă cerinţele respective;
f)sisteme şi proceduri pentru gestionarea datelor, inclusiv obţinerea datelor, colectarea datelor, analiza datelor, etichetarea datelor, stocarea datelor, filtrarea datelor, extragerea datelor, agregarea datelor, păstrarea datelor şi orice altă operaţiune privind datele care este efectuată înainte şi în scopul introducerii pe piaţă sau al punerii în funcţiune a sistemelor de IA cu grad ridicat de risc;
g)sistemul de gestionare a riscurilor menţionat la articolul 9;
h)instituirea, implementarea şi întreţinerea unui sistem de monitorizare ulterioară introducerii pe piaţă, în conformitate cu articolul 72;
i)procedurile legate de raportarea unui incident grav în conformitate cu articolul 73;
j)gestionarea comunicării cu autorităţile naţionale competente, cu alte autorităţi relevante, inclusiv cu cele care furnizează sau sprijină accesul la date, cu organismele notificate, cu alţi operatori, cu clienţi sau cu alte părţi interesate;
k)sisteme şi proceduri pentru păstrarea evidenţelor tuturor documentelor şi informaţiilor relevante;
l)gestionarea resurselor, inclusiv măsurile legate de securitatea aprovizionării;
m)un cadru de asigurare a răspunderii care stabileşte responsabilităţile cadrelor de conducere şi ale altor categorii de personal în ceea ce priveşte toate aspectele enumerate la prezentul alineat.
(2)Punerea în aplicare a aspectelor menţionate la alineatul (1) este proporţională cu dimensiunea organizaţiei furnizorului. Furnizorii respectă, indiferent de situaţie, gradul de precizie şi nivelul de protecţie necesare pentru a asigura conformitatea cu prezentul regulament a sistemelor lor de IA cu grad ridicat de risc.
(3)Furnizorii de sisteme de IA cu grad ridicat de risc care fac obiectul unor obligaţii în ceea ce priveşte sistemele de management al calităţii sau o funcţie echivalentă a acestora în temeiul dreptului sectorial relevant al Uniunii pot include aspectele descrise la alineatul (1) ca parte din sistemele de management al calităţii stabilite în temeiul dreptului respectiv.
(4)În cazul furnizorilor care sunt instituţii financiare supuse unor cerinţe privind guvernanţa internă, măsurile sau procesele interne în temeiul dreptului Uniunii din domeniul serviciilor financiare, se consideră că obligaţia de instituire a unui sistem de management al calităţii, cu excepţia alineatului (1) literele (g), (h) şi (i) de la prezentul articol, este îndeplinită prin respectarea normelor privind măsurile sau procesele de guvernanţă internă în temeiul dreptului relevant al Uniunii din domeniul serviciilor financiare. În acest scop, se ţine seama de toate standardele armonizate menţionate la articolul 40.
Art. 18: Păstrarea evidenţelor
(1)Pentru o perioadă de 10 ani după introducerea pe piaţă sau punerea în funcţiune a sistemului de IA cu grad ridicat de risc, furnizorul păstrează la dispoziţia autorităţilor naţionale competente:
a)documentaţia tehnică menţionată la articolul 11;
b)documentaţia privind sistemul de management al calităţii menţionată la articolul 17;
c)documentaţia privind modificările aprobate de organismele notificate, după caz;
d)deciziile şi alte documente emise de organismele notificate, după caz;
e)declaraţia de conformitate UE prevăzută la articolul 47.
(2)Fiecare stat membru stabileşte condiţiile în care documentaţia menţionată la alineatul (1) rămâne la dispoziţia autorităţilor naţionale competente pentru perioada indicată la alineatul respectiv pentru cazurile în care un furnizor sau reprezentantul autorizat al acestuia stabilit pe teritoriul său intră în faliment sau îşi încetează activitatea înainte de sfârşitul perioadei respective.
(3)Furnizorii care sunt instituţii financiare supuse unor cerinţe privind guvernanţa internă, măsurile sau procesele lor interne în temeiul dreptului Uniunii din domeniul serviciilor financiare păstrează documentaţia tehnică ca parte a documentaţiei păstrate în temeiul dreptului relevant al Uniunii din domeniul serviciilor financiare.
Art. 19: Fişiere de jurnalizare generate automat
(1)Furnizorii de sisteme de IA cu grad ridicat de risc păstrează fişierele de jurnalizare menţionate la articolul 12 alineatul (1), generate automat de sistemele de IA cu grad ridicat de risc ale acestora, în măsura în care astfel de fişiere de jurnalizare se află sub controlul lor. Fără a aduce atingere dreptului Uniunii sau dreptului intern aplicabil, fişiere de jurnalizare se păstrează pentru o perioadă adecvată scopului preconizat al sistemului de IA cu grad ridicat de risc, de cel puţin şase luni, cu excepţia cazului în care se prevede altfel în dreptul Uniunii sau în dreptul intern aplicabil, în special în dreptul Uniunii privind protecţia datelor cu caracter personal.
(2)Furnizorii care sunt instituţii financiare supuse unor cerinţe privind guvernanţa lor internă, măsurile sau procesele lor interne în temeiul dreptului Uniunii din domeniul serviciilor financiare păstrează fişierele de jurnalizare generate automat de sistemele lor de IA cu grad ridicat de risc ca parte a documentaţiei păstrate în temeiul dreptului relevant din domeniul serviciilor financiare.
Art. 20: Măsuri corective şi obligaţia de informare
(1)Furnizorii de sisteme de IA cu grad ridicat de risc care consideră sau au motive să considere că un sistem de IA cu grad ridicat de risc pe care l-au introdus pe piaţă ori pe care l-au pus în funcţiune nu este în conformitate cu prezentul regulament întreprind imediat măsurile corective necesare pentru ca sistemul să fie adus în conformitate sau să fie retras, dezactivat sau rechemat, după caz. Aceştia informează în acest sens distribuitorii sistemului de IA cu grad ridicat de risc în cauză şi, dacă este cazul, implementatorii, reprezentantul autorizat şi importatorii.
(2)În cazul în care sistemul de IA cu grad ridicat de risc prezintă un risc în sensul articolului 79 alineatul (1), iar furnizorul ia cunoştinţă de riscul respectiv, acesta investighează imediat cauzele, în colaborare cu implementatorul care efectuează raportarea, după caz, şi informează autorităţile de supraveghere a pieţei competente pentru sistemul de IA cu grad ridicat de risc în cauză şi, după caz, organismul notificat care a eliberat un certificat pentru sistemul de IA cu grad ridicat de risc respectiv în conformitate cu articolul 44, în special cu privire la natura neconformităţii şi la orice măsură corectivă relevantă întreprinsă.
Art. 21: Cooperarea cu autorităţile competente
(1)La cererea motivată a unei autorităţi competente, furnizorii de sisteme de IA cu grad ridicat de risc furnizează autorităţii respective toate informaţiile şi documentaţia necesare pentru a demonstra conformitatea sistemului de IA cu grad ridicat de risc cu cerinţele prevăzute în secţiunea 2, într-o limbă care poate fi uşor înţeleasă de către autoritatea respectivă şi care este una dintre limbile oficiale ale instituţiilor Uniunii, astfel cum sunt indicate de statul membru în cauză.
(2)La cererea motivată a unei autorităţi competente, furnizorii acordă, de asemenea, autorităţii competente solicitante, după caz, acces la fişierele de jurnalizare generate automat ale sistemului de IA cu grad ridicat de risc menţionate la articolul 12 alineatul (1), în măsura în care respectivele fişiere de jurnalizare se află sub controlul lor.
(3)Toate informaţiile obţinute de autorităţile competente în temeiul prezentului articol sunt tratate în conformitate cu obligaţiile de confidenţialitate prevăzute la articolul 78.
Art. 22: Reprezentanţii autorizaţi ai furnizorilor de sisteme de IA cu grad ridicat de risc
(1)Înainte de a-şi pune la dispoziţie sistemele de IA cu grad ridicat de risc pe piaţa Uniunii, furnizorii stabiliţi în ţări terţe desemnează, prin mandat scris, un reprezentant autorizat care este stabilit în Uniune.
(2)Furnizorul permite reprezentantului său autorizat să îndeplinească sarcinile prevăzute în mandatul primit de la furnizor.
(3)Reprezentantul autorizat îndeplineşte sarcinile prevăzute în mandatul primit de la furnizor. Acesta furnizează autorităţilor de supraveghere a pieţei, la cerere, o copie a mandatului, într-una din limbile oficiale ale instituţiilor Uniunii, astfel cum este indicată de autoritatea competentă. În sensul prezentului regulament, mandatul îl autorizează pe reprezentantul autorizat să îndeplinească următoarele sarcini:
a)să verifice dacă au fost întocmite declaraţia de conformitate UE menţionată la articolul 47 şi documentaţia tehnică menţionată la articolul 11 şi dacă furnizorul a desfăşurat o procedură corespunzătoare de evaluare a conformităţii;
b)să păstreze la dispoziţia autorităţilor competente şi a autorităţilor sau organismelor naţionale menţionate la articolul 74 alineatul (10), pentru o perioadă de 10 ani de la introducerea pe piaţă sau punerea în funcţiune a sistemului de IA cu grad ridicat de risc, datele de contact ale furnizorului care a desemnat reprezentantul autorizat, o copie a declaraţiei de conformitate UE menţionată la articolul 47, documentaţia tehnică şi, dacă este cazul, certificatul eliberat de organismul notificat;
c)să furnizeze unei autorităţi competente, pe baza unei cereri motivate, toate informaţiile şi documentaţia, inclusiv cele menţionate la litera (b) de la prezentul paragraf, necesare pentru a demonstra conformitatea unui sistem de IA cu grad ridicat de risc cu cerinţele prevăzute în secţiunea 2, inclusiv accesul la fişierele de jurnalizare, astfel cum sunt menţionate la articolul 12 alineatul (1), generate automat de sistemul de IA cu grad ridicat de risc, în măsura în care aceste fişiere de jurnalizare se află sub controlul furnizorului;
d)să coopereze cu autorităţile competente, în urma unei cereri motivate, cu privire la orice acţiune întreprinsă de acestea din urmă în legătură cu sistemul de IA cu grad ridicat de risc, în special pentru a reduce şi a atenua riscurile prezentate de sistemul de IA cu grad ridicat de risc;
e)după caz, să respecte obligaţiile de înregistrare menţionate la articolul 49 alineatul (1) sau, dacă înregistrarea este efectuată chiar de furnizor, să se asigure că informaţiile menţionate la secţiunea A punctul 3 din anexa VIII sunt corecte.
Mandatul împuterniceşte reprezentantul autorizat să fie contactat, în afara sau în locul furnizorului, de către autorităţile competente, cu referire la toate aspectele legate de asigurarea conformităţii cu prezentul regulament.
(4)Reprezentantul autorizat îşi reziliază mandatul dacă consideră sau are motive să considere că furnizorul acţionează contrar obligaţiilor care îi revin în temeiul prezentului regulament. Într-un astfel de caz, el informează imediat autoritatea relevantă de supraveghere a pieţei, precum şi, după caz, organismul notificat relevant, cu privire la rezilierea mandatului şi la motivele acesteia.
Art. 23: Obligaţiile importatorilor
(1)Înainte de introducerea pe piaţă a unui sistem de IA cu grad ridicat de risc, importatorii unui astfel de sistem se asigură că sistemul este în conformitate cu prezentul regulament, verificând dacă:
a)procedura relevantă de evaluare a conformităţii menţionată la articolul 43 a fost efectuată de furnizorul sistemului de IA cu grad ridicat de risc;
b)furnizorul a întocmit documentaţia tehnică în conformitate cu articolul 11 şi cu anexa IV;
c)sistemul poartă marcajul CE necesar şi este însoţit de declaraţia de conformitate UE menţionată la articolul 47 şi de instrucţiunile de utilizare;
d)furnizorul a desemnat un reprezentant autorizat în conformitate cu articolul 22 alineatul (1).
(2)În cazul în care un importator are suficiente motive să considere că un sistem de IA cu grad ridicat de risc nu este în conformitate cu prezentul regulament, sau este falsificat ori însoţit de o documentaţie falsificată, acesta nu introduce sistemul respectiv pe piaţă înainte de a fi adus în conformitate. În cazul în care sistemul de IA cu grad ridicat de risc prezintă un risc în sensul articolului 79 alineatul (1), importatorul informează în acest sens furnizorul sistemului, reprezentanţii autorizaţi şi autorităţile de supraveghere a pieţei.
(3)Importatorii indică numele lor, denumirea lor comercială înregistrată sau marca lor înregistrată şi adresa la care pot fi contactaţi în privinţa sistemului de IA cu grad ridicat de risc şi pe ambalajul acestuia sau în documentele care îl însoţesc, dacă este cazul.
(4)Importatorii se asigură că, pe întreaga perioadă în care un sistem de IA cu grad ridicat de risc se află în responsabilitatea lor, condiţiile de depozitare sau de transport, după caz, nu periclitează conformitatea sa cu cerinţele prevăzute în secţiunea 2.
(5)Importatorii păstrează, timp de 10 ani de la introducerea pe piaţă sau punerea în funcţiune a sistemului de IA cu grad ridicat de risc, o copie a certificatului eliberat de organismul notificat, după caz, a instrucţiunilor de utilizare şi a declaraţiei de conformitate UE menţionată la articolul 47.
(6)Importatorii furnizează autorităţilor competente relevante, pe baza unei cereri motivate, toate informaţiile şi documentaţia necesare, inclusiv cele menţionate la alineatul (5), pentru a demonstra conformitatea unui sistem de IA cu grad ridicat de risc cu cerinţele prevăzute în secţiunea 2, într-o limbă care poate fi uşor înţeleasă de acestea. În acest scop, aceştia se asigură, de asemenea, că documentaţia tehnică poate fi pusă la dispoziţia autorităţilor respective.
(7)Importatorii cooperează cu autorităţile competente relevante cu privire la orice acţiune întreprinsă de autorităţile respective în legătură cu un sistem de IA cu grad ridicat de risc introdus pe piaţă de importatori, în special pentru a reduce sau a atenua riscurile prezentate de acesta.
Art. 24: Obligaţiile distribuitorilor
(1)Înainte de a pune la dispoziţie pe piaţă un sistem de IA cu grad ridicat de risc, distribuitorii verifică dacă acesta poartă marcajul CE necesar, dacă este însoţit de o copie a declaraţiei de conformitate UE menţionată la articolul 47 şi de instrucţiunile de utilizare şi dacă furnizorul şi importatorul sistemului respectiv, după caz, au respectat obligaţiile lor respective prevăzute la articolul 16 literele (b) şi (c) şi la articolul 23 alineatul (3).
(2)În cazul în care un distribuitor consideră sau are motive să considere, pe baza informaţiilor pe care le deţine, că un sistem de IA cu grad ridicat de risc nu este în conformitate cu cerinţele prevăzute în secţiunea 2, acesta nu pune la dispoziţie pe piaţă sistemul de IA cu grad ridicat de risc înainte ca sistemul să fie adus în conformitate cu cerinţele respective. În plus, în cazul în care sistemul de IA cu grad ridicat de risc prezintă un risc în sensul articolului 79 alineatul (1), distribuitorul informează furnizorul sau importatorul sistemului, după caz, în acest sens.
(3)Distribuitorii se asigură că, atât timp cât un sistem de IA cu grad ridicat de risc se află în responsabilitatea lor, condiţiile de depozitare sau de transport, după caz, nu periclitează conformitatea sistemului cu cerinţele prevăzute în secţiunea 2.
(4)Un distribuitor care consideră sau are motive să considere, pe baza informaţiilor pe care le deţine, că un sistem de IA cu grad ridicat de risc pe care l-a pus la dispoziţie pe piaţă nu este în conformitate cu cerinţele prevăzute în secţiunea 2 ia măsurile corective necesare pentru a aduce sistemul în conformitate cu cerinţele respective, pentru a-l retrage sau pentru a-l rechema sau se asigură că furnizorul, importatorul sau orice operator relevant, după caz, ia măsurile corective respective. În cazul în care sistemul de IA cu grad ridicat de risc prezintă un risc în sensul articolului 79 alineatul (1), distribuitorul informează imediat în acest sens furnizorul sau importatorul sistemului şi autorităţile competente pentru sistemul de IA cu grad ridicat de risc în cauză, oferind informaţii detaliate, în special despre neconformitate şi orice măsură corectivă întreprinsă.
(5)Pe baza unei cereri motivate a unei autorităţi competente relevante, distribuitorii unor sisteme de IA cu grad ridicat de risc furnizează autorităţii respective toate informaţiile şi documentaţia referitoare la acţiunile lor în temeiul alineatelor (1)-(4), necesare pentru a demonstra conformitatea respectivelor sisteme cu grad ridicat de risc cu cerinţele prevăzute în secţiunea 2.
(6)Distribuitorii cooperează cu autorităţile competente relevante cu privire la orice acţiune întreprinsă de autorităţile respective în legătură cu un sistem de IA cu grad ridicat de risc pus la dispoziţie pe piaţă de distribuitori, în special pentru a reduce sau a atenua riscul prezentat de acesta.
Art. 25: Responsabilităţile de-a lungul lanţului valoric al IA
(1)Se consideră că orice distribuitor, importator, implementator sau altă parte terţă este furnizor al unui sistem de IA cu grad ridicat de risc în sensul prezentului regulament şi este supus obligaţiilor care îi revin furnizorului în temeiul articolului 16, în oricare dintre următoarele situaţii:
a)îşi aplică numele sau marca comercială pe un sistem de IA cu grad ridicat de risc deja introdus pe piaţă sau pus în funcţiune, fără a aduce atingere dispoziţiilor contractuale care prevăd o repartizare diferită a obligaţiilor;
b)modifică substanţial un sistem de IA cu grad ridicat de risc care a fost deja introdus pe piaţă sau a fost deja pus în funcţiune, astfel încât acesta rămâne un sistem de IA cu grad ridicat de risc în temeiul articolului 6;
c)modifică scopul preconizat al un sistem de IA, inclusiv al unui sistem IA de uz general, care nu a fost clasificat ca prezentând un grad ridicat de risc şi a fost deja introdus pe piaţă sau pus în funcţiune, astfel încât sistemul de IA în cauză devine un sistem IA cu grad ridicat de risc în conformitate cu articolul 6.
(2)În cazul în care se produc circumstanţele menţionate la alineatul (1), furnizorul care a introdus iniţial pe piaţă sau a pus în funcţiune sistemul de IA nu mai este considerat furnizorul respectivului sistem de IA în sensul prezentului regulament. Acest furnizor iniţial cooperează îndeaproape cu noii furnizori şi pune la dispoziţie informaţiile necesare şi oferă accesul tehnic şi alte tipuri de asistenţă preconizate în mod rezonabil care sunt necesare pentru îndeplinirea obligaţiilor prevăzute în prezentul regulament, în special în ceea ce priveşte respectarea cerinţelor privind evaluarea conformităţii sistemelor de IA cu grad ridicat de risc. Prezentul alineat nu se aplică în cazurile în care furnizorul iniţial a specificat în mod clar că sistemul său de IA nu trebuie transformat într-un sistem de IA cu grad ridicat de risc şi, prin urmare, nu intră sub incidenţa obligaţiei de a preda documentaţia.
(3)În cazul sistemelor de IA cu grad ridicat de risc care sunt componente de siguranţă ale unor produse cărora li se aplică actele legislative de armonizare ale Uniunii care figurează în anexa I secţiunea A, fabricantul produselor respective este considerat furnizorul sistemului de IA cu grad ridicat de risc şi este supus obligaţiilor menţionate la articolul 16 în oricare dintre următoarele situaţii:
a)sistemul de IA cu grad ridicat de risc este introdus pe piaţă împreună cu produsul sub numele sau marca comercială a fabricantului produsului;
b)sistemul de IA cu grad ridicat de risc este pus în funcţiune sub numele sau marca comercială a fabricantului produsului după ce produsul a fost introdus pe piaţă.
(4)Furnizorul unui sistem de IA cu grad ridicat de risc şi partea terţă care furnizează un sistem de IA, instrumente, servicii, componente sau procese care sunt utilizate sau integrate într-un sistem de IA cu grad ridicat de risc specifică, printr-un acord scris, pe baza stadiului de avansare general recunoscut al tehnologiei, informaţiile, capabilităţile, accesul tehnic şi alte tipuri de asistenţă necesare pentru a permite furnizorului sistemului de IA cu grad ridicat de risc să respecte întru totul obligaţiile prevăzute în prezentul regulament. Prezentul alineat nu se aplică terţilor care pun la dispoziţia publicului instrumente, servicii, procese sau componente, în afara modelelor de IA de uz general, sub licenţă liberă şi deschisă.
Oficiul pentru IA poate elabora şi recomanda un model voluntar de clauze pentru contractele dintre furnizorii de sisteme de IA cu grad ridicat de risc şi părţile terţe care furnizează instrumente, servicii, componente sau procese care sunt utilizate sau integrate în sistemele de IA cu grad ridicat de risc. Atunci când elaborează modelul voluntar de clauze, Oficiul pentru IA ia în considerare eventualele cerinţe contractuale aplicabile în anumite sectoare sau situaţii economice. Modelul voluntar de clauze se publică şi este disponibil gratuit într-un format electronic uşor de utilizat.
(5)Alineatele (2) şi (3) nu aduc atingere necesităţii de a respecta şi de a proteja drepturile de proprietate intelectuală şi informaţiile comerciale confidenţiale sau secretele comerciale în conformitate cu dreptul Uniunii şi cu dreptul intern.
Art. 26: Obligaţiile implementatorilor de sisteme de IA cu grad ridicat de risc
(1)Implementatorii sistemelor de IA cu grad ridicat de risc iau măsuri tehnice şi organizatorice corespunzătoare pentru a oferi siguranţa că utilizează astfel de sisteme în conformitate cu instrucţiunile de utilizare care însoţesc sistemele, în temeiul alineatelor (3) şi (6).
(2)Implementatorii încredinţează supravegherea umană unor persoane fizice care au competenţa, formarea şi autoritatea necesare, precum şi sprijinul necesar.
(3)Obligaţiile de la alineatele (1) şi (2) nu aduc atingere altor obligaţii ale implementatorilor în temeiul dreptului Uniunii sau al dreptului intern şi nici libertăţii implementatorilor de a-şi organiza propriile resurse şi activităţi în scopul punerii în aplicare a măsurilor de supraveghere umană indicate de furnizor.
(4)Fără a aduce atingere alineatelor (1) şi (2), în măsura în care exercită controlul asupra datelor de intrare, implementatorul se asigură că datele de intrare sunt relevante şi suficient de reprezentative în raport cu scopul preconizat al sistemului de IA cu grad ridicat de risc.
(5)Implementatorii monitorizează funcţionarea sistemului de IA cu grad ridicat de risc pe baza instrucţiunilor de utilizare şi, atunci când este cazul, informează furnizorii în conformitate cu articolul 72. În cazul în care au motive să considere că utilizarea sistemului de IA cu grad ridicat de risc în conformitate cu instrucţiunile poate conduce la situaţia în care sistemul de IA respectiv prezintă un risc în sensul articolului 79 alineatul (1), implementatorii informează fără întârzieri nejustificate furnizorul sau distribuitorul şi autoritatea relevantă de supraveghere a pieţei şi suspendă utilizarea sistemului respectiv. De asemenea, în cazul în care au identificat un incident grav, implementatorii informează imediat mai întâi furnizorul, şi apoi importatorul sau distribuitorul şi autorităţile relevante de supraveghere a pieţei cu privire la incidentul respectiv. În cazul în care implementatorul nu poate comunica cu furnizorul, articolul 73 se aplică mutatis mutandis. Această obligaţie nu vizează datele operaţionale sensibile ale implementatorilor sistemelor de IA care sunt autorităţi de aplicare a legii.
În cazul implementatorilor care sunt instituţii financiare supuse unor cerinţe privind guvernanţa internă, măsurile sau procesele interne în temeiul dreptului Uniunii din domeniul serviciilor financiare, se consideră că obligaţia de monitorizare prevăzută la primul paragraf este îndeplinită prin respectarea normelor privind mecanismele, procesele şi măsurile de guvernanţă internă în temeiul dreptului relevant din domeniul serviciilor financiare.
(6)Implementatorii sistemelor de IA cu grad ridicat de risc păstrează fişierele de jurnalizare generate automat de respectivele sisteme de IA cu grad ridicat de risc, în măsura în care aceste fişiere de jurnalizare se află sub controlul lor pentru o perioadă adecvată scopului preconizat al sistemului de IA cu grad ridicat de risc, de cel puţin şase luni, cu excepţia cazului în care se prevede altfel în dreptul Uniunii sau în dreptul intern aplicabil, în special în dreptul Uniunii privind protecţia datelor cu caracter personal.
Implementatorii care sunt instituţii financiare supuse unor cerinţe privind guvernanţa internă, măsurile sau procesele interne în temeiul dreptului Uniunii din domeniul serviciilor financiare păstrează fişierele de jurnalizare ca parte a documentaţiei păstrate în temeiul dreptului relevant al Uniunii din domeniul serviciilor financiare.
(7)Înainte de a pune în funcţiune sau de a utiliza un sistem de IA cu grad ridicat de risc la locul de muncă, implementatorii care sunt angajatori informează reprezentanţii lucrătorilor şi lucrătorii afectaţi că vor fi implicaţi în utilizarea sistemului de IA cu grad ridicat de risc. Informaţiile respective sunt furnizate, după caz, în conformitate cu normele şi procedurile prevăzute în dreptul şi practicile de la nivelul Uniunii şi de la nivel naţional privind informarea lucrătorilor şi a reprezentanţilor acestora.
(8)Implementatorii sistemelor de IA cu grad ridicat de risc care sunt autorităţi publice sau instituţii, organe, oficii sau agenţii ale Uniunii respectă obligaţiile de înregistrare menţionate la articolul 49. În cazul în care constată că sistemul de IA cu grad ridicat de risc pe care intenţionează să îl utilizeze nu a fost înregistrat în baza de date a UE menţionată la articolul 71, implementatorii respectivi nu utilizează sistemul respectiv şi informează furnizorul sau distribuitorul.
(9)După caz, implementatorii de sisteme de IA cu grad ridicat de risc utilizează informaţiile furnizate în temeiul articolului 13 din prezentul regulament pentru a-şi respecta obligaţia de a efectua o evaluare a impactului asupra protecţiei datelor în temeiul articolului 35 din Regulamentul (UE) 2016/679 sau al articolului 27 din Directiva (UE) 2016/680.
(10)Fără a aduce atingere Directivei (UE) 2016/680, în cadrul unei investigaţii pentru căutarea în mod specific a unei persoane suspectate sau condamnate de a fi comis o infracţiune, implementatorul unui sistem de IA cu grad ridicat de risc pentru identificarea biometrică la distanţă ulterioară solicită o autorizaţie, ex ante sau fără întârzieri nejustificate şi în termen de cel mult 48 de ore, din partea unei autorităţi judiciare sau a unei autorităţi administrative a cărei decizie are efect obligatoriu şi face obiectul controlului jurisdicţional, pentru utilizarea sistemului respectiv, cu excepţia cazului în care este utilizat pentru identificarea iniţială a unui potenţial suspect pe baza unor fapte obiective şi verificabile legate direct de infracţiune. Fiecare utilizare se limitează la ceea ce este strict necesar pentru investigarea unei anumite infracţiuni.
În cazul în care autorizaţia solicitată în temeiul primului paragraf este respinsă, utilizarea sistemului de identificare biometrică la distanţă ulterioară legat de autorizaţia solicitată respectivă se opreşte cu efect imediat, iar datele cu caracter personal legate de utilizarea sistemului de IA cu grad ridicat de risc pentru care a fost solicitată autorizaţia se şterg.
În niciun caz, un astfel de sistem de IA cu grad ridicat de risc pentru identificarea biometrică la distanţă ulterioară nu se utilizează într-un mod nedirecţionat în scopul aplicării legii, dacă nu implică nicio legătură cu o infracţiune, cu o procedură penală, cu o ameninţare reală şi prezentă sau reală şi previzibilă vizând o infracţiune sau căutarea unei anumite persoane dispărute. Se asigură faptul că autorităţile de aplicare a legii nu pot lua nicio decizie care produce un efect juridic negativ asupra unei persoane exclusiv pe baza rezultatelor unor astfel de sisteme de identificare biometrică la distanţă ulterioară.
Prezentul alineat nu aduce atingere dispoziţiilor de la articolul 9 din Regulamentul (UE) 2016/679 şi de la articolul 10 din Directiva (UE) 2016/680 privind prelucrarea datelor biometrice.
Indiferent de scop sau de implementator, fiecare utilizare a acestor sisteme de IA cu grad ridicat de risc este documentată în dosarul relevant al poliţiei şi este pusă la dispoziţia autorităţii relevante de supraveghere a pieţei şi a autorităţii naţionale pentru protecţia datelor, la cerere, exceptând divulgarea datelor operaţionale sensibile legate de aplicarea legii. Prezentul paragraf nu aduce atingere competenţelor conferite autorităţilor de supraveghere de Directiva (UE) 2016/680.
Implementatorii prezintă autorităţilor relevante de supraveghere a pieţei şi autorităţilor naţionale pentru protecţia datelor rapoarte anuale cu privire la utilizarea sistemelor de identificare biometrică la distanţă ulterioară, exceptând divulgarea datelor operaţionale sensibile legate de aplicarea legii. Rapoartele pot fi agregate pentru a cuprinde mai multe implementări.
Statele membre pot introduce, în conformitate cu dreptul Uniunii, legi mai restrictive privind utilizarea sistemelor de identificare biometrică la distanţă ulterioară.
(11)Fără a afecta dispoziţiile de la articolul 50 din prezentul regulament, implementatorii de sisteme de IA cu grad ridicat de risc menţionate în anexa III, care iau decizii sau contribuie la luarea deciziilor referitoare la persoane fizice, informează persoanele fizice că fac obiectul utilizării sistemului de IA cu grad ridicat de risc. În cazul sistemelor de IA cu grad ridicat de risc utilizate în scopul aplicării legii, se aplică articolul 13 din Directiva (UE) 2016/680.
(12)Implementatorii cooperează cu autorităţile competente relevante pentru orice acţiune întreprinsă de respectivele autorităţi în legătură cu sistemul de IA cu grad ridicat de risc pentru a pune în aplicare prezentul regulament.
Art. 27: Evaluarea impactului sistemelor de IA cu grad ridicat de risc asupra drepturilor fundamentale
(1)Înainte de a implementa un sistem de IA cu grad ridicat de risc, astfel cum este menţionat la articolul 6 alineatul (2), cu excepţia sistemelor de IA cu grad ridicat de risc destinate a fi utilizate în domeniul menţionat la punctul 2 din anexa III, implementatorii care sunt organisme de drept public sau entităţi private care furnizează servicii publice şi implementatorii de sisteme de IA cu grad ridicat de risc menţionate la punctul 5 literele (b) şi (c) din anexa III efectuează o evaluare a impactului asupra drepturilor fundamentale pe care îl poate produce utilizarea unor astfel de sisteme. În acest scop, implementatorii efectuează o evaluare care constă în:
a)o descriere a proceselor implementatorului în care sistemele de IA cu grad ridicat de risc urmează a fi utilizate în conformitate cu scopul lor preconizat;
b)o descriere a perioadei de timp pentru care se intenţionează utilizarea fiecărui sistem de IA cu grad ridicat de risc, precum şi a frecvenţei utilizării respective;
c)categoriile de persoane fizice şi grupurile susceptibile a fi afectate de utilizarea sa în contextul specific;
d)riscurile specifice de prejudicii susceptibile a avea un impact asupra categoriilor de persoane fizice sau a grupurilor de persoane identificate în temeiul literei (c) de la prezentul alineat, ţinând seama de informaţiile comunicate de furnizor în temeiul articolului 13;
e)o descriere a punerii în aplicare a măsurilor de supraveghere umană, în conformitate cu instrucţiunile de utilizare;
f)măsurile care trebuie să fie luate în cazul în care riscurile respective se materializează, inclusiv mecanismele de guvernanţă internă şi mecanismele de tratare a plângerilor.
(2)Obligaţia prevăzută la alineatul (1) se aplică primei utilizări a sistemului de IA cu grad ridicat de risc. În cazuri similare, implementatorul poate să se bazeze pe evaluări ale impactului asupra drepturilor fundamentale efectuate anterior sau pe evaluări existente efectuate de furnizor. În cazul în care consideră că, în timpul utilizării sistemului de IA cu grad ridicat de risc, oricare dintre elementele enumerate la alineatul (1) s-a schimbat sau nu mai este actualizat, implementatorul ia măsurile necesare pentru a actualiza informaţiile.
(3)După efectuarea evaluării menţionate la alineatul (1) de la prezentul articol, implementatorul notifică autorităţii de supraveghere a pieţei rezultatele sale, transmiţând modelul completat menţionat la alineatul (5) de la prezentul articol ca parte a notificării. În cazul menţionat la articolul 46 alineatul (1), implementatorii pot fi scutiţi de această obligaţie de notificare.
(4)În cazul în care oricare dintre obligaţiile prevăzute la prezentul articol este deja respectată ca urmare a evaluării impactului asupra protecţiei datelor efectuate în temeiul articolului 35 din Regulamentul (UE) 2016/679 sau al articolului 27 din Directiva (UE) 2016/680, evaluarea impactului asupra drepturilor fundamentale menţionată la alineatul (1) de la prezentul articol completează respectiva evaluare a impactului asupra protecţiei datelor.
(5)Oficiul pentru IA elaborează un model de chestionar, inclusiv prin intermediul unui instrument automatizat, pentru a-i ajuta pe implementatori să îşi respecte obligaţiile care le revin în temeiul prezentului articol într-un mod simplificat.