Fremsat den 26. februar 2025 af minister for digitalisering (Caroline Stage Olsen)

Fremsat den 26. februar 2025 af minister for digitalisering (Caroline Stage Olsen)
Forslag
til
Lov om supplerende bestemmelser til forordningen om kunstig intelligens1)
Kapitel 1
Anvendelsesområde
§ 1. Loven supplerer Europa-Parlamentets og Rådets for-
ordning (EU) 2024/1689 af 13. juni 2024 om harmoniserede
regler for kunstig intelligens og om ændring af forordning
(EF) nr. 300/2008, (EU) nr. 167/2013, (EU) nr. 168/2013,
(EU) 2018/858, (EU) 2018/1139 og (EU) 2019/2144 samt
direktiv 2014/90/EU, (EU) 2016/797 og (EU) 2020/1828
(forordningen om kunstig intelligens), jf. bilag 1.
Kapitel 2
Nationale kompetente myndigheder
§ 2. Digitaliseringsstyrelsen, Datatilsynet og Domsstols-
styrelsen udpeges som nationale kompetente myndigheder,
jf. artikel 70, stk. 1, i forordningen om kunstig intelligens.
Stk. 2. Digitaliseringsstyrelsen udpeges som bemyndigen-
de myndighed, jf. artikel 28, stk. 1, og artikel 70, stk. 1, i
forordningen om kunstig intelligens, centralt kontaktpunkt,
jf. artikel 70, stk. 2, 3. pkt., i forordningen om kunstig intel-
ligens, og markedsovervågningsmyndighed for de dele af
tilsynet med forbudte former for AI-praksis, som er omfattet
af artikel 5, stk. 1, litra a-c, og artikel 5, stk. 1, litra e-f, i
forordningen om kunstig intelligens.
Stk. 3. Datatilsynet udpeges som markedsovervågnings-
myndighed for de dele af tilsynet med forbudte former for
AI-praksis, der er omfattet af artikel 5, stk. 1, litra d, og arti-
kel 5, stk. 1, litra g, i forordningen om kunstig intelligens.
Stk. 4. Domstolsstyrelsen udpeges som markedsovervåg-
ningsmyndighed for de dele af tilsynet med forbudte former
for AI-praksis, som vedrører domstolenes anvendelse af AI-
systemer, når domstolene ikke handler i deres egenskab af
domstol.
Stk. 5. For tilsynet med domstolenes anvendelse af AI-sy-
stemer, som ikke omfattes af stk. 4, træffes afgørelser af
vedkommende ret. Afgørelsen kan kæres til højere ret. For
særlige domstole, hvis afgørelser ikke kan indbringes for
højere ret, kan den afgørelse, der er nævnt i 1. pkt., kæres til
den landsret, i hvis kreds retten er beliggende. Kærefristen
er 4 uger fra den dag, afgørelsen er meddelt den pågælden-
de.
§ 3. De nationale kompetente myndigheders afgørelser
efter forordningen om kunstig intelligens, denne lov eller
regler udstedt i medfør heraf kan ikke indbringes for anden
administrativ myndighed.
§ 4. De nationale kompetente myndigheder påser overhol-
delsen af forordningen om kunstig intelligens, denne lov og
regler udstedt i medfør heraf.
§ 5. Markedsovervågningsmyndighederne kan fra fysiske
og juridiske personer omfattet af artikel 2, stk. 1, litra a-f,
i forordningen om kunstig intelligens, afkræve alle oplysnin-
ger, som er nødvendige for myndighedernes tilsynsvirksom-
hed, herunder til fastlæggelse af, om et forhold hører under
myndighedernes kompetence.
§ 6. Markedsovervågningsmyndighederne har til enhver
tid mod behørig legitimation og uden retskendelse adgang
til alle erhvervsmæssige lokaliteter hos fysiske og juridiske
personer omfattet af artikel 2, stk. 1, litra a-f, i forordningen
om kunstig intelligens, når det er nødvendigt for at påse
overholdelse af forordningen om kunstig intelligens, denne
lov eller regler udstedt i medfør heraf.
1) Som bilag til loven er medtaget Europa-Parlamentets og Rådets forordning (EU) 2024/1689 af 13. juni 2024 om harmoniserede regler for kunstig
intelligens og om ændring af forordning (EF) nr. 300/2008, (EU) nr. 167/2013, (EU) nr. 168/2013, (EU) 2018/858, (EU) 2018/1139 og (EU) 2019/2144
samt direktiv 2014/90/EU, (EU) 2016/797 og (EU) 2020/1828 (forordningen om kunstig intelligens), EU-Tidende 2024, L af 13. juni 2024. Ifølge artikel
288 i EUF-Traktaten gælder en forordning umiddelbart i hver medlemsstat. Gengivelsen af forordningen i loven og lovens bilag er således udelukkende
begrundet i praktiske hensyn og berører ikke forordningens umiddelbare gyldighed i Danmark.
Lovforslag nr. L 154 Folketinget 2024-25
Digitaliseringsministeriet
Digitaliseringsstyrelsen, j.nr. 2024-6806
DK000096
Stk. 2. Markedsovervågningsmyndighederne kan som led
i kontrolbesøget foretage tekniske undersøgelser af et AI-sy-
stem på stedet.
Stk. 3. Markedsovervågningsmyndighederne kan være bi-
stået af en eller flere uafhængige sagkyndige i forbindelse
med adgangen efter stk. 1 og tekniske undersøgelser efter
stk. 2.
Stk. 4. Politiet yder om nødvendigt bistand til kontrollens
gennemførelse.
§ 7. Markedsovervågningsmyndighederne kan offentlig-
gøre sine afgørelser i sager om forbudte former for AI-prak-
sis i henhold til artikel 5, stk. 1, litra a-g, i forordningen om
kunstig intelligens.
§ 8. Markedsovervågningsmyndighederne kan udstede
påbud om overholdelse af artikel 5, stk. 1, litra a-g, i forord-
ningen om kunstig intelligens, denne lov og regler fastsat i
medfør af denne lov.
Stk. 2. Markedsovervågningsmyndighederne kan udstede
et midlertidigt forbud mod levering, markedsføring, udstil-
ling eller anden tilgængeliggørelse af et AI-system, hvis AI-
systemet vurderes at kunne udgøre en risiko. Forbuddet kan
rettes mod fysiske og juridiske personer omfattet af artikel
2, stk. 1, litra a-f, i forordningen om kunstig intelligens. For-
buddets varighed kan ikke strække sig ud over, hvad der er
nødvendigt for at træffe kontrolforanstaltninger til brug for
undersøgelser eller vurderinger af AI-systemets sikkerhed.
§ 9. Den bemyndigende myndighed kan efter forhandling
med ministeren for digitalisering fastsætte nærmere regler
om indførelse og gennemførelse af nødvendige procedurer
for vurdering, udpegelse og notifikation af overensstemmel-
sesvurderingsorganer og for tilsyn hermed i henhold til arti-
kel 28, stk. 1, i forordningen om kunstig intelligens samt
suspension eller tilbagetrækning af udpegning i henhold til
artikel 36, stk. 4, i forordningen om kunstig intelligens.
Stk. 2. Den bemyndigende myndighed kan delegere vur-
deringen af overensstemmelsesvurderingsorganer i et nær-
mere angivet omfang til andre offentlige myndigheder eller
private institutioner i henhold til artikel 28, stk. 2, i forord-
ningen om kunstig intelligens.
Kapitel 3
Straffebestemmelser
§ 10. Medmindre højere straf er forskyldt efter anden
lovgivning, straffes med bøde den, der:
1) overtræder artikel 5, stk. 1, litra a-g, i forordningen om
kunstig intelligens,
2) afgiver ukorrekte, ufuldstændige eller vildledende op-
lysninger til bemyndigede organer eller nationale kom-
petente myndigheder som svar på en anmodning, jf.
artikel 99, stk. 5, i forordningen om kunstig intelligens,
3) undlader at efterkomme markedsovervågningsmyndig-
hedernes krav efter § 5 eller hindrer markedsovervåg-
ningsmyndighederne i at få adgang til lokaliteter efter §
6, stk. 1,
4) hindrer markedsovervågningsmyndighederne i at fore-
tage tekniske undersøgelser af et AI-system efter § 6,
stk. 2, eller
5) undlader at efterkomme påbud eller midlertidige forbud
udstedt efter § 8.
Stk. 2. I forskrifter, der udstedes i medfør af loven, kan
der fastsættes straf af bøde for overtrædelse af bestemmelser
i forskrifterne.
Stk. 3. Der kan pålægges selskaber m.v. (juridiske person-
er) strafansvar efter reglerne i straffelovens 5. kapitel.
Stk. 4. Forældelsesfristen for overtrædelse af forordningen
om kunstig intelligens, denne lov eller regler udstedt i med-
før heraf er 5 år.
§ 11. Ministeren for digitalisering kan efter forhandling
med justitsministeren fastsætte regler om, at markedsover-
vågningsmyndighederne i nærmere angivne sager om over-
trædelse af forordningen om kunstig intelligens, loven eller
regler udstedt i medfør heraf i et bødeforelæg kan tilkende-
give, at sagen kan afgøres uden retssag. Det er en betingelse,
at den, der har begået overtrædelsen, erklærer sig skyldig i
overtrædelsen og erklærer sig rede til inden en nærmere an-
givet frist at betale den bøde, der er fastsat i bødeforelægget.
Stk. 2. Retsplejelovens regler om krav til indholdet af
et anklageskrift og om, at en sigtet ikke er forpligtet til at
udtale sig, finder tilsvarende anvendelse på bødeforelæg.
Stk. 3. Betales bøden i rette tid, eller bliver den efter ved-
tagelsen inddrevet eller afsonet, bortfalder videre forfølg-
ning. Vedtagelsen har samme gentagelsesvirkning som en
dom.
Kapitel 4
Ikrafttræden
§ 12. Loven træder i kraft den 2. august 2025.
Kapitel 5
Territorialbestemmelse
§ 13. Loven gælder ikke for Færøerne og Grønland.
2
Bilag 1
Forordning (EU) 2024/1689
EUROPA-PARLAMENTETS OG RÅDETS FORORDNING (EU) 2024/1689
af 13. juni 2024
om harmoniserede regler for kunstig intelligens og om ændring af forordning (EF) nr. 300/2008,
(EU) nr. 167/2013, (EU) nr. 168/2013, (EU) 2018/858, (EU) 2018/1139 og (EU) 2019/2144 samt
direktiv 2014/90/EU, (EU) 2016/797 og (EU) 2020/1828 (forordningen om kunstig intelligens)
(EØS-relevant tekst)
EUROPA-PARLAMENTET OG RÅDET FOR DEN EUROPÆISKE UNION HAR —
under henvisning til traktaten om Den Europæiske Unions funktionsmåde, særlig artikel 16 og 114,
under henvisning til forslag fra Europa-Kommissionen,
efter fremsendelse af udkast til lovgivningsmæssig retsakt til de nationale parlamenter,
under henvisning til udtalelse fra Det Europæiske Økonomiske og Sociale Udvalg (1),
under henvisning til udtalelse fra Den Europæiske Centralbank (2),
under henvisning til udtalelse fra Regionsudvalget (3),
efter den almindelige lovgivningsprocedure (4), og
ud fra følgende betragtninger:
(1) Formålet med denne forordning er at forbedre det indre markeds funktion ved at fastlægge ensartede
retlige rammer, navnlig for udvikling, omsætning, ibrugtagning og anvendelse af kunstig intelligens-sy-
stemer (»AI-systemer«) i Unionen i overensstemmelse med Unionens værdier, at fremme udbredelsen
af menneskecentreret og troværdig kunstig intelligens (»AI«), samtidig med at der sikres et højt beskyttel-
sesniveau for sundhed, sikkerhed og grundlæggende rettigheder som nedfældet i Den Europæiske Unions
charter om grundlæggende rettigheder (»chartret«), herunder demokrati, retsstatsprincippet og miljøbe-
skyttelse, at beskytte mod skadelige virkninger af AI-systemer i Unionen og at støtte innovation. Den-
ne forordning sikrer fri bevægelighed for AI-baserede varer og tjenesteydelser og forhindrer således
medlemsstaterne i at indføre restriktioner for udvikling, markedsføring og anvendelse af AI-systemer,
medmindre det udtrykkeligt er tilladt i henhold til denne forordning.
(2) Denne forordning bør anvendes i overensstemmelse med Unionens værdier som nedfældet i chartret,
der letter beskyttelsen af fysiske personer, virksomheder, demokrati, retsstatsprincippet og miljøbeskyttel-
se, samtidig med at innovation og beskæftigelse fremmes, og Unionen gøres førende inden for udbredel-
sen af troværdig AI.
(3) AI-systemer kan nemt idriftsættes i en lang række sektorer af økonomien og i mange dele af samfun-
det, herunder på tværs af grænserne, og kan nemt udspredes i hele Unionen. Visse medlemsstater har
allerede undersøgt, om det er muligt at vedtage nationale regler til sikring af, at AI er troværdig og sikker,
og at den udvikles og anvendes i overensstemmelse med forpligtelserne vedrørende grundlæggende
3
rettigheder. Forskellige nationale regler kan føre til fragmenteringen af det indre marked og kan mindske
retssikkerheden for operatører, der udvikler, importerer eller anvender AI-systemer. Der bør derfor sikres
et ensartet og højt beskyttelsesniveau i hele Unionen med henblik på at opnå troværdig AI, samtidig
med at forskelle, der hæmmer den frie bevægelighed for samt innovation, idriftsættelse og udbredelse af
AI-systemer og relaterede produkter og tjenesteydelser på det indre marked, bør forhindres ved at
fastsætte ensartede forpligtelser for operatører og sikre en ensartet beskyttelse af tvingende hensyn til
samfundsinteresser og personers rettigheder i hele det indre marked på grundlag af artikel 114 i traktaten
om Den Europæiske Unions funktionsmåde (TEUF). For så vidt som denne forordning indeholder
specifikke regler om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger
vedrørende begrænsninger i anvendelsen af AI-systemer til biometrisk fjernidentifikation med henblik på
retshåndhævelse, i anvendelsen af AI-systemer til risikovurderinger af fysiske personer med henblik på
retshåndhævelse og i anvendelsen af AI-systemer til biometrisk kategorisering med henblik på retshånd-
hævelse, er det desuden hensigtsmæssigt at basere denne forordning på artikel 16 i TEUF for så vidt
angår disse specifikke regler. I lyset af disse specifikke regler og anvendelsen af artikel 16 i TEUF bør
Det Europæiske Databeskyttelsesråd høres.
(4) AI er en vifte af teknologier i hurtig udvikling, som bidrager til brede økonomiske, miljømæssige og
samfundsmæssige fordele på tværs af hele spektret af industrier og sociale aktiviteter. Ved at forbedre
forudsigelser, optimere operationer og ressourceallokering og skræddersy de digitale løsninger, der er
tilgængelige for enkeltpersoner og organisationer, kan anvendelsen af AI give virksomheder vigtige
konkurrencemæssige fordele og fremme socialt og miljømæssigt gavnlige resultater, f.eks. inden for
sundhedspleje, landbrug, fødevaresikkerhed, uddannelse, medier, sport, kultur, infrastrukturforvaltning,
energi, transport og logistik, offentlige tjenester, sikkerhed, retsvæsen, ressource- og energieffektivitet,
miljøovervågning, bevarelse og genopretning af biodiversitet og økosystemer samt modvirkning af og
tilpasning til klimaændringer.
(5) Samtidig kan AI, afhængigt af omstændighederne med hensyn til dens specifikke anvendelse, brug og
teknologiske udviklingsniveau, skabe risici og skade samfundsinteresser og grundlæggende rettigheder,
der er beskyttet af EU-retten. En sådan skade kan være af materiel eller immateriel karakter, herunder
fysisk, psykisk, samfundsmæssig eller økonomisk.
(6) I betragtning af den store indvirkning, som AI kan have på samfundet, og behovet for at opbygge
tillid er det afgørende, at AI og de lovgivningsmæssige rammer herfor udvikles i overensstemmelse
med Unionens værdier, der er nedfældet i artikel 2 i traktaten om Den Europæiske Union (TEU), og de
grundlæggende rettigheder og friheder, der er nedfældet i traktaterne og, i henhold til artikel 6 i TEU,
chartret. Det bør være en forudsætning, at AI er en menneskecentreret teknologi. Det bør tjene som et
redskab for mennesker med det endelige mål at øge menneskers trivsel.
(7) For at sikre et ensartet højt beskyttelsesniveau for samfundsinteresser med hensyn til sundhed,
sikkerhed og grundlæggende rettigheder bør der fastsættes fælles regler for højrisiko-AI-systemer. Disse
regler bør være i overensstemmelse med chartret, være ikkeforskelsbehandlende og i overensstemmelse
med Unionens internationale handelsforpligtelser. De bør også tage hensyn til den europæiske erklæring
om digitale rettigheder og principper for det digitale årti og de etiske retningslinjer for troværdig AI fra
Ekspertgruppen på Højt Niveau vedrørende Kunstig Intelligens (AI-ekspertgruppen).
4
(8) Der er derfor behov for en EU-retlig ramme, der fastsætter harmoniserede regler for AI, for at
fremme udviklingen, brugen og udbredelsen af AI på det indre marked, som samtidig opfylder et højt
beskyttelsesniveau for samfundsinteresser såsom sundhed og sikkerhed og beskyttelse af grundlæggende
rettigheder, herunder demokrati, retsstatsprincippet og miljøbeskyttelse, som anerkendt og beskyttet i
EU-retten. For at nå dette mål bør der fastsættes regler for omsætning, ibrugtagning og anvendelse af
visse AI-systemer for at sikre et velfungerende indre marked og lade disse systemer drage fordel af
princippet om fri bevægelighed for varer og tjenesteydelser. Disse regler bør være klare og robuste
med hensyn til at beskytte de grundlæggende rettigheder, støtte nye innovative løsninger og muliggøre
et europæisk økosystem af offentlige og private aktører, der skaber AI-systemer i overensstemmelse
med Unionens værdier og frigør potentialet ved den digitale omstilling i alle regioner i Unionen. Med
fastsættelsen af disse regler samt foranstaltninger til støtte for innovation med et særligt fokus på små og
mellemstore virksomheder (SMV᾽er), herunder iværksættervirksomheder, støtter denne forordning målet
om at fremme en europæisk menneskecentreret tilgang til AI og om at være førende på verdensplan
inden for udvikling af sikker, troværdig og etisk AI som anført af Det Europæiske Råd (5), og den sikrer
beskyttelse af etiske principper, således som Europa-Parlamentet specifikt har anmodet om (6).
(9) Der bør fastsættes harmoniserede regler for omsætning, ibrugtagning og anvendelse af højrisiko-AI-
systemer i overensstemmelse med Europa-Parlamentets og Rådets forordning (EF) nr. 765/2008 (7),
Europa-Parlamentets og Rådets afgørelse nr. 768/2008/EF (8) og Europa-Parlamentets og Rådets forord-
ning (EU) 2019/1020 (9) (den nye lovgivningsmæssige ramme for markedsføring af produkter). De
harmoniserede regler, der er fastsat i nærværende forordning, bør finde anvendelse på tværs af sektorer og
bør i overensstemmelse med den nye lovgivningsmæssige ramme ikke berøre gældende EU-ret, navnlig
om databeskyttelse, forbrugerbeskyttelse, grundlæggende rettigheder, beskæftigelse og beskyttelse af
arbejdstagere og produktsikkerhed, som nærværende forordning supplerer. Som følge heraf forbliver
alle rettigheder og retsmidler, som er fastsat i en sådan EU-ret for forbrugere og andre personer, som
AI-systemer kan have en negativ indvirkning på, herunder for så vidt angår erstatning for eventuelle
skader i henhold til Rådets direktiv 85/374/EØF (10), uberørte og finder fuldt ud anvendelse. Endvidere
bør denne forordning i forbindelse med beskæftigelse og beskyttelse af arbejdstagere derfor ikke berøre
EU-retten om socialpolitik og national arbejdsret, der overholder EU-retten, vedrørende ansættelsesvilkår
og arbejdsforhold, herunder sundhed og sikkerhed på arbejdspladsen, og forholdet mellem arbejdsgivere
og arbejdstagere. Denne forordning bør heller ikke påvirke udøvelsen af de grundlæggende rettigheder,
der anerkendes i medlemsstaterne og på EU-plan, herunder retten eller friheden til at strejke eller til at
foretage andre tiltag, der er omfattet af specifikke ordninger for arbejdsmarkedsrelationer i medlemssta-
terne, samt retten til at forhandle, indgå og håndhæve kollektive overenskomster eller retten til at foretage
kollektive tiltag i overensstemmelse med national ret. Denne forordning bør ikke berøre de bestemmelser,
der tilstræber at forbedre arbejdsvilkårene for platformsarbejde, der er fastsat i et direktiv vedtaget af Eu-
ropa-Parlamentets og Rådets direktiv om forbedring af arbejdsvilkårene for platformsarbejde. Derudover
har denne forordning til formål at styrke effektiviteten af sådanne eksisterende rettigheder og retsmidler
ved at fastsætte specifikke krav og forpligtelser, herunder med hensyn til AI-systemers gennemsigtighed,
tekniske dokumentation og registrering. Desuden bør de forpligtelser, der pålægges forskellige operatører,
der er involveret i AI-værdikæden i henhold til denne forordning, finde anvendelse, uden at det berører
national ret, der overholder EU-retten, hvorved anvendelsen af visse AI-systemer begrænses, hvis sådan
national ret falder uden for denne forordnings anvendelsesområde eller forfølger andre legitime mål af
samfundsmæssig interesse end dem, der forfølges med denne forordning. For eksempel bør national
arbejdsret og national ret om beskyttelse af mindreårige, dvs. personer under 18 år, under hensyntagen til
generel bemærkning nr. 25 (2021) om børns rettigheder vedrørende det digitale miljø fra FN᾽s Komité for
5
Barnets Rettigheder, for så vidt de ikke er specifikke for AI-systemer og forfølger andre legitime mål af
samfundsmæssig interesse, ikke berøres af denne forordning.
(10) Den grundlæggende ret til beskyttelse af personoplysninger er navnlig sikret ved Europa-Parlamen-
tets og Rådets forordning (EU) 2016/679 (11) og (EU) 2018/1725 (12) samt Europa-Parlamentets og
Rådets direktiv (EU) 2016/680 (13). Europa-Parlamentets og Rådets direktiv 2002/58/EF (14) beskytter
desuden privatlivets fred og kommunikationshemmeligheden, herunder med fastsættelse af betingelser for
lagring af personoplysninger og andre oplysninger end personoplysninger i terminaludstyr og for adgang
til terminaludstyr. Disse EU-retsakter danner grundlaget for bæredygtig og ansvarlig databehandling, her-
under når datasæt omfatter en blanding af personoplysninger og andre data end personoplysninger. Nær-
værende forordning har ikke til formål at påvirke anvendelsen af gældende EU-ret om behandling af
personoplysninger, herunder de opgaver og beføjelser, der påhviler de uafhængige tilsynsmyndigheder
med kompetence til at overvåge, at disse instrumenter overholdes. Den berører heller ikke de forpligtelser
for udbydere og idriftsættere af AI-systemer i deres rolle som dataansvarlige eller databehandlere, der
følger af EU-retten eller national ret om beskyttelse af personoplysninger, for så vidt udformningen,
udviklingen eller anvendelsen af AI-systemer omfatter behandling af personoplysninger. Det er også
hensigtsmæssigt at præcisere, at registrerede bevarer alle de rettigheder og garantier, som de har i henhold
til EU-retten, herunder rettigheder i forbindelse med helt automatiseret individuel beslutningstagning,
herunder profilering. Harmoniserede regler for omsætning, ibrugtagning og anvendelse af AI-systemer,
der er fastsat i henhold til nærværende forordning, bør lette en effektiv gennemførelse og muliggøre
udøvelsen af de registreredes rettigheder og andre retsmidler, der er sikret i medfør af EU-retten om
beskyttelse af personoplysninger og andre grundlæggende rettigheder.
(11) Denne forordning berører ikke bestemmelserne om ansvar for udbydere af formidlingstjenester som
fastsat i Europa-Parlamentets og Rådets forordning (EU) 2022/2065 (15).
(12) Begrebet »AI-system« i denne forordning bør defineres klart og bør nøje afstemmes med det
arbejde, der udføres af internationale organisationer, som arbejder med AI, for at sikre retssikkerhed, lette
international konvergens og bred accept, og samtidig være fleksibelt nok til at tage højde for den hurtige
teknologiske udvikling på dette område. Desuden bør definitionen baseres på centrale egenskaber ved
AI-systemer, der adskiller det fra enklere traditionelle softwaresystemer eller programmeringstilgange,
og bør ikke omfatte systemer, der er baseret på de regler, der udelukkende er defineret af fysiske
personer til automatisk at udføre operationer. En central egenskab ved AI-systemer er deres evne til at
udlede. Denne evne til at udlede henviser til processen med at opnå output såsom forudsigelser, indhold,
anbefalinger eller beslutninger, der kan påvirke fysiske og virtuelle miljøer, og til AI-systemernes evne
til at udlede modeller eller algoritmer, eller begge dele, fra input eller data. De teknikker, der muliggør
udledning ved opbygningen af et AI-system, omfatter maskinlæringstilgange, der af data lærer, hvordan
bestemte mål kan nås, og logik- og videnbaserede tilgange, der udleder indhold fra indkodet viden eller
symbolsk repræsentation af den opgave, der skal løses. Et AI-systems evne til at udlede går videre
end grundlæggende databehandling ved at muliggøre læring, ræsonnement eller modellering. Udtrykket
»maskinbaseret« henviser til det forhold, at AI-systemer kører på maskiner. Henvisningen til eksplicitte
eller implicitte mål understreger, at AI-systemer kan fungere i overensstemmelse med eksplicit definerede
mål eller implicitte mål. AI-systemets mål kan adskille sig fra det tilsigtede formål med AI-systemet i
en specifik sammenhæng. Med henblik på denne forordning bør miljøer forstås som de sammenhænge,
hvori AI-systemerne fungerer, mens output genereret af AI-systemet afspejler forskellige funktioner, der
udføres af AI-systemer og omfatter forudsigelser, indhold, anbefalinger eller beslutninger. AI-systemer
er udformet til at fungere med varierende grader af autonomi, hvilket betyder, at de har en vis grad af
6
uafhængighed fra menneskelig medvirken og har evnen til at fungere uden menneskelig indgriben. Den
tilpasningsevne, som et AI-system kan udvise efter idriftsættelsen, henviser til selvlæringskapacitet, der
gør det muligt for systemet at ændre sig, mens det er i brug. AI-systemer kan anvendes selvstændigt
eller som en del af et produkt, uanset om systemet er fysisk integreret i produktet (indlejret), eller tjene
produktets funktionalitet uden at være integreret deri (ikke indlejret).
(13) Begrebet »idriftsætter«, der er omhandlet i denne forordning, bør fortolkes som enhver fysisk eller
juridisk person, herunder en offentlig myndighed, et agentur eller et andet organ, der anvender et AI-sy-
stem under sin myndighed, medmindre AI-systemet anvendes som led i en personlig ikkeerhvervsmæssig
aktivitet. Afhængigt af typen af AI-system kan anvendelsen af systemet påvirke andre personer end
idriftsætteren.
(14) Begrebet »biometriske data«, der anvendes i denne forordning, bør fortolkes i lyset af begrebet
biometriske data som defineret i artikel 4, nr. 14), i forordning (EU) 2016/679, artikel 3, nr. 18), i forord-
ning (EU) 2018/1725 og artikel 3, nr. 13), i direktiv (EU) 2016/680. Biometriske data kan muliggøre
autentifikation, identifikation eller kategorisering af fysiske personer og genkendelse af fysiske personers
følelser.
(15) Begrebet »biometrisk identifikation«, der er omhandlet i denne forordning, bør defineres som auto-
matiseret genkendelse af fysiske, fysiologiske og adfærdsmæssige menneskelige egenskaber som f.eks.
ansigt, øjenbevægelser, kropsform, stemme, prosodi, gangart, kropsholdning, hjerterytme, blodtryk, lugt
og tasteanslagskarakteristika med det formål at fastslå en persons identitet ved at sammenligne personens
biometriske data med de biometriske data om personer, der er lagret i en referencedatabase, uanset om
denne person har givet sit samtykke hertil eller ej. Dette udelukker AI-systemer, der tilsigtes anvendt
til biometrisk verifikation, som omfatter autentifikation, hvis eneste formål er at bekræfte, at en bestemt
fysisk person er den person, vedkommende hævder at være, og bekræfte en fysisk persons identitet
udelukkende med det formål at få adgang til en tjeneste, låse udstyr op eller have sikker adgang til
lokaler.
(16) Begrebet »biometrisk kategorisering«, der er omhandlet i denne forordning, bør defineres som place-
ring af fysiske personer i bestemte kategorier på grundlag af deres biometriske data. Sådanne specifikke
kategorier kan vedrøre aspekter som køn, alder, hårfarve, øjenfarve, tatoveringer, adfærdsmønstre eller
personlighedstræk, sprog, religion, tilhørsforhold til et nationalt mindretal samt seksuel eller politisk ori-
entering. Dette omfatter ikke systemer til biometrisk kategorisering, som er en rent accessorisk funktion,
der er uløseligt forbundet med en anden kommerciel tjeneste, og som indebærer, at funktionen af objekti-
ve tekniske grunde ikke kan anvendes uden den primære tjeneste, og at integrationen af denne funktion
eller funktionalitet ikke er et middel til at omgå anvendelsen af reglerne i denne forordning. Eksempelvis
kan filtre, der kategoriserer ansigts- eller kropstræk, som anvendes på onlinemarkedspladser, udgøre en
sådan accessorisk funktion, da de kun kan anvendes i forbindelse med den primære tjeneste, der består i
at sælge et produkt ved at give forbrugeren mulighed for se visningen af produktet på sig selv og hjælpe
forbrugeren med at træffe en købsbeslutning. Filtre, der anvendes på sociale onlinenetværkstjenester, og
som kategoriserer ansigts- eller kropstræk for at give brugerne mulighed for at tilføje eller ændre billeder
eller videoer, kan også betragtes som en accessorisk funktion, da et sådant filter ikke kan anvendes uden
den primære tjeneste i de sociale netværkstjenester, der består i deling af indhold online.
(17) Begrebet »system til biometrisk fjernidentifikation«, der er omhandlet i denne forordning, bør
defineres funktionelt som et AI-system, der er tilsigtet identifikation af fysiske personer uden deres aktive
7
medvirken, typisk på afstand, ved at sammenligne en persons biometriske data med de biometriske data
i en referencedatabase, uanset hvilken specifik teknologi, hvilke specifikke processer eller hvilke speci-
fikke typer biometriske data der anvendes. Sådanne systemer til biometrisk fjernidentifikation anvendes
typisk til at opfatte flere personer eller deres adfærd samtidigt for i væsentlig grad at lette identifikationen
af fysiske personer uden deres aktive medvirken. Dette udelukker AI-systemer, der tilsigtes anvendt til
biometrisk verifikation, som omfatter autentifikation, hvis eneste formål er at bekræfte, at en bestemt
fysisk person er den person, vedkommende hævder at være, og bekræfte en fysisk persons identitet
udelukkende med det formål at få adgang til en tjeneste, låse udstyr op eller have sikkerhedsadgang
til lokaler. Denne udelukkelse begrundes med, at sådanne systemer sandsynligvis vil have en mindre
indvirkning på fysiske personers grundlæggende rettigheder sammenlignet med systemerne til biometrisk
fjernidentifikation, der kan anvendes til behandling af et stort antal personers biometriske data uden
deres aktive medvirken. Hvis der er tale om realtidssystemer, sker optagelsen af de biometriske data,
sammenligningen og identifikationen øjeblikkeligt, næsten øjeblikkeligt eller under alle omstændigheder
uden væsentlig forsinkelse. I denne forbindelse bør der ikke være mulighed for at omgå denne forord-
nings bestemmelser om realtidsanvendelse af de pågældende AI-systemer ved at foranledige mindre
forsinkelser. Realtidssystemer omfatter anvendelse af direkte eller lettere forskudt materiale såsom video-
optagelser, der genereres af et kamera eller andet udstyr med tilsvarende funktioner. Er der derimod tale
om systemer til efterfølgende biometrisk identifikation, er de biometriske data allerede blevet optaget,
og sammenligningen og identifikationen finder først sted efter en væsentlig forsinkelse. Der er tale om
materiale såsom billeder eller videooptagelser, der genereres af TV-overvågningskameraer eller privat
udstyr, og som er genereret inden systemets anvendelse for så vidt angår de pågældende fysiske personer.
(18) Begrebet »system til følelsesgenkendelse«, der er omhandlet i denne forordning, bør defineres som
et AI-system, der har til formål at identificere eller udlede fysiske personers følelser eller hensigter
på grundlag af deres biometriske data. Begrebet henviser til følelser eller hensigter såsom lykke, sorg-
fuldhed, vrede, forbavselse, afsky, forlegenhed, begejstring, skam, foragt, tilfredshed og morskab. Det
omfatter ikke fysiske tilstande såsom smerte eller træthed, herunder f.eks. systemer, der anvendes til at
påvise træthedstilstanden hos professionelle piloter eller førere med henblik på at forebygge ulykker. Det
omfatter heller ikke den blotte påvisning af umiddelbart synlige udtryk, fagter eller bevægelser, medmin-
dre de anvendes til at identificere eller udlede følelser. Disse udtryk kan være simple ansigtsudtryk såsom
en panderynken eller et smil eller fagter såsom bevægelse af hænder, arme eller hoved eller karakteristika
ved en persons stemme såsom en hævet stemme eller hvisken.
(19) I denne forordning bør begrebet offentligt sted forstås som ethvert fysisk sted, der er tilgængeligt
for et ubestemt antal fysiske personer, og uanset om det pågældende sted er privatejet eller offentligt ejet,
og uanset den aktivitet, som stedet kan anvendes til, såsom til handel, f.eks. butikker, restauranter og
caféer, til tjenesteydelser, f.eks. banker, erhvervsmæssige aktiviteter og hotel-, restaurations- og oplevel-
sesbranchen, til sport, f.eks. svømmebassiner, fitnesscentre og stadioner, til transport, f.eks. bus-, metro-
og jernbanestationer, lufthavne og transportmidler, til underholdning, f.eks. biografer, teatre, museer og
koncert- og konferencesale, eller til fritid eller andet, f.eks. offentlige veje og pladser, parker, skove og
legepladser. Et sted bør også klassificeres som værende offentligt tilgængeligt, hvis adgangen, uanset
eventuelle kapacitets- eller sikkerhedsrestriktioner, er underlagt visse forud fastsatte betingelser, som kan
opfyldes af et ubestemt antal personer, såsom køb af en billet eller et rejsebevis, forudgående registrering
eller det at have en bestemt alder. Derimod bør et sted ikke anses for at være offentligt tilgængeligt, hvis
adgangen er begrænset til specifikke og definerede fysiske personer i henhold til enten EU-retten eller
national ret, der er direkte knyttet til den offentlige sikkerhed, eller gennem en klar viljestilkendegivelse
fra den person, der har den relevante myndighed over stedet. Den faktiske mulighed for adgang alene
såsom en ulåst dør eller en åben låge i et hegn indebærer ikke, at stedet er et offentligt sted, hvis
8
der er indikationer eller omstændigheder, der tyder på det modsatte, såsom skilte, der forbyder eller
begrænser adgangen. Virksomheds- og fabrikslokaler samt kontorer og arbejdspladser, der kun tilsigtes at
være tilgængelige for relevante medarbejdere og tjenesteydere, er ikke offentlige steder. Offentlige steder
bør ikke omfatte fængsler eller grænsekontrol. Visse andre områder kan bestå af både offentlige steder
og ikkeoffentlige steder såsom forhallen til en privat beboelsesejendom, som det er nødvendigt at gå
igennem for at få adgang til en læges kontor, eller en lufthavn. Online steder er ikke omfattet, da der ikke
er tale om fysiske steder. Om et givet sted betragtes som offentligt, bør imidlertid afgøres fra sag til sag
under hensyntagen til de særlige forhold i den enkelte situation.
(20) For at opnå de største fordele ved AI-systemer, samtidig med at de grundlæggende rettigheder,
sundheden og sikkerheden beskyttes, og for at muliggøre demokratisk kontrol bør AI-færdigheder udstyre
udbydere, idriftsættere og berørte personer med de nødvendige begreber til at træffe informerede beslut-
ninger vedrørende AI-systemer. Disse begreber kan variere med hensyn til den relevante kontekst og
kan omfatte forståelse af den korrekte anvendelse af tekniske elementer i AI-systemets udviklingsfase,
de foranstaltninger, der skal anvendes under dets anvendelse, passende måder at fortolke AI-systemets
output på, og i tilfælde af berørte personer den viden, der er nødvendig for at forstå, hvordan beslutninger
truffet med hjælp fra AI vil have indvirkning på dem. I forbindelse med anvendelsen af denne forordning
bør AI-færdigheder give alle relevante aktører i AI-værdikæden den indsigt, der er nødvendig for at
sikre passende overholdelse og korrekt håndhævelse heraf. Desuden kan den brede gennemførelse af
foranstaltninger vedrørende AI-færdigheder og indførelsen af passende opfølgende tiltag bidrage til at
forbedre arbejdsvilkårene og i sidste ende understøtte konsoliderings- og innovationsstien for troværdig
AI i Unionen. Det Europæiske Udvalg for Kunstig Intelligens (»AI-udvalget«) bør støtte Kommissionen
med henblik på at fremme AI-færdighedsværktøjer samt offentlighedens kendskab til og forståelse af
fordele, risici, sikkerhedsforanstaltninger, rettigheder og forpligtelser i forbindelse med anvendelsen af
AI-systemer. I samarbejde med de relevante interessenter bør Kommissionen og medlemsstaterne lette
udarbejdelsen af frivillige adfærdskodekser for at fremme AI-færdigheder blandt personer, der beskæfti-
ger sig med udvikling, drift og anvendelse af AI.
(21) For at sikre lige vilkår og en effektiv beskyttelse af fysiske personers rettigheder og friheder i hele
Unionen bør de regler, der fastsættes ved denne forordning, finde anvendelse på udbydere af AI-systemer
på en ikkeforskelsbehandlende måde, uanset om de er etableret i Unionen eller i et tredjeland, og på
idriftsættere af AI-systemer, der er etableret i Unionen.
(22) I betragtning af deres digitale karakter bør visse AI-systemer være omfattet af denne forordnings
anvendelsesområde, selv når de ikke bringes i omsætning, ibrugtages eller anvendes i Unionen. Dette
er f.eks. tilfældet, når en operatør, der er etableret i Unionen, indgår kontrakter om visse tjenesteydelser
med en operatør, der er etableret i et tredjeland, i forbindelse med en aktivitet, der skal udføres af et
AI-system, der kan betegnes som højrisiko. Under disse omstændigheder ville det AI-system, der anven-
des i tredjelandet af operatøren, kunne behandle data, der lovligt er indsamlet i og overført fra Unionen,
og levere outputtet fra dette AI-systems behandling til den kontraherende operatør i Unionen, uden at
dette AI-system bringes i omsætning, ibrugtages eller anvendes i Unionen. For at forhindre omgåelse af
denne forordning og sikre en effektiv beskyttelse af fysiske personer i Unionen, bør denne forordning
også finde anvendelse på udbydere og idriftsættere af AI-systemer, der er etableret i et tredjeland, i det
omfang det output, der produceres af disse systemer, tilsigtes anvendt i Unionen. For at tage hensyn til
eksisterende ordninger og særlige behov for fremtidigt samarbejde med udenlandske partnere, med hvem
der udveksles oplysninger og bevismateriale, bør denne forordning ikke finde anvendelse på offentlige
myndigheder i et tredjeland og internationale organisationer, når disse handler inden for rammerne af
9
samarbejdsaftaler eller internationale aftaler indgået på EU-plan eller nationalt plan om retshåndhævelse
og retligt samarbejde med Unionen eller medlemsstaterne, forudsat at det relevante tredjeland eller
den relevante internationale organisation giver tilstrækkelige sikkerhedsforanstaltninger med hensyn til
beskyttelsen af fysiske personers grundlæggende rettigheder og friheder. Dette kan, hvor relevant, omfatte
aktiviteter udført af enheder, som af tredjelande har fået overdraget ansvaret for at udføre specifikke op-
gaver til støtte for en sådan retshåndhævelse og et sådant retligt samarbejde. Sådanne samarbejdsrammer
eller aftaler er oprettet bilateralt mellem medlemsstaterne og tredjelande eller mellem Den Europæiske
Union, Europol og andre EU-agenturer og tredjelande og internationale organisationer. De myndigheder,
der har kompetence til at føre tilsyn med de retshåndhævende og retslige myndigheder i henhold til denne
forordning, bør vurdere, om disse samarbejdsrammer eller internationale aftaler indeholder tilstrækkelige
sikkerhedsforanstaltninger med hensyn til beskyttelse af fysiske personers grundlæggende rettigheder og
friheder. De modtagende nationale myndigheder og EU-institutioner, -organer, -kontorer og -agenturer,
der anvender sådanne output i Unionen, forbliver ansvarlige for at sikre, at deres anvendelse overholder
EU-retten. Når disse internationale aftaler revideres, eller der indgås nye i fremtiden, bør de kontraheren-
de parter gøre deres yderste for at tilpasse disse aftaler til kravene i denne forordning.
(23) Denne forordning bør også finde anvendelse på EU-institutioner, -organer, -kontorer og -agenturer,
når de fungerer som udbyder eller idriftsætter af et AI-system.
(24) Hvis og i det omfang AI-systemer bringes i omsætning, ibrugtages eller anvendes med eller uden
ændringer af sådanne systemer til militære formål, forsvarsformål eller formål vedrørende national sik-
kerhed, bør disse udelukkes fra denne forordnings anvendelsesområde, uanset hvilken type enhed der
udfører disse aktiviteter, f.eks. om det er en offentlig eller privat enhed. For så vidt angår militære og
forsvarsmæssige formål begrundes en sådan udelukkelse både i medfør af artikel 4, stk. 2, i TEU, og i
de særlige forhold, der gør sig gældende for medlemsstaternes forsvarspolitik og den fælles EU-forsvars-
politik, der er omfattet af afsnit V, kapitel 2, i TEU, og som er underlagt folkeretten, og som derfor er
den mest hensigtsmæssige retlige ramme for regulering af AI-systemer i forbindelse med anvendelsen af
dødbringende magtanvendelse og andre AI-systemer i forbindelse med militære og forsvarsmæssige akti-
viteter. For så vidt angår formål vedrørende den nationale sikkerhed begrundes udelukkelsen både i den
omstændighed, at den nationale sikkerhed forbliver medlemsstaternes eneansvar i overensstemmelse med
artikel 4, stk. 2, i TEU, og i den særlige karakter af og de operationelle behov i forbindelse med aktiviteter
vedrørende den nationale sikkerhed og specifikke nationale regler, der finder anvendelse på disse aktivite-
ter. Hvis et AI-system, der er udviklet, bragt i omsætning, ibrugtaget eller anvendt til militære formål,
forsvarsformål eller formål vedrørende den nationale sikkerhed, anvendes uden for disse midlertidigt eller
permanent til andre formål, f.eks. civile eller humanitære formål, retshåndhævelsesformål eller hensynet
til den offentlige sikkerhed, vil et sådant system ikke desto mindre være omfattet af denne forordnings
anvendelsesområde. I så fald bør den enhed, der anvender AI-systemet til andre formål end militære
formål, forsvarsformål eller formål vedrørende den nationale sikkerhed, sikre, at AI-systemet overholder
denne forordning, medmindre systemet allerede overholder denne forordning. AI-systemer, der bringes
i omsætning eller ibrugtages til et udelukket formål, dvs. militært formål, forsvarsformål eller formål
vedrørende den nationale sikkerhed, og et eller flere ikkeudelukkede formål, f.eks. civile formål eller
retshåndhævelse, falder ind under denne forordnings anvendelsesområde, og udbydere af disse systemer
bør sikre overholdelse af denne forordning. I disse tilfælde bør det forhold, at et AI-system kan være
omfattet af denne forordnings anvendelsesområde, ikke berøre muligheden for, at enheder, der udfører
aktiviteter vedrørende den nationale sikkerhed, forsvarsaktiviteter og militæraktiviteter, uanset hvilken
type enhed der udfører disse aktiviteter, anvender AI-systemer til formål vedrørende den nationale sikker-
hed, militære formål og forsvarsformål, idet en sådan anvendelse er udelukket fra denne forordnings
anvendelsesområde. Et AI-system, der bringes i omsætning til civile formål eller retshåndhævelsesformål,
10
og som anvendes med eller uden ændringer til militære formål, forsvarsformål eller formål vedrørende
den nationale sikkerhed, bør ikke være omfattet af denne forordnings anvendelsesområde, uanset hvilken
type enhed der udfører disse aktiviteter.
(25) Denne forordning bør støtte innovation, bør respektere forskningsfriheden og bør ikke undergrave
forsknings- og udviklingsaktivitet. Det er derfor nødvendigt at udelukke AI-systemer og -modeller,
der specifikt er udviklet og ibrugtaget udelukkende med henblik på videnskabelig forskning og udvik-
ling. Det er desuden nødvendigt at sikre, at denne forordning ikke på anden måde påvirker videnskabelig
forsknings- og udviklingsaktivitet med AI-systemer eller -modeller, inden de bringes i omsætning eller
ibrugtages. Med hensyn til produktorienteret forsknings-, afprøvnings- og udviklingsaktivitet vedrørende
AI-systemer eller -modeller bør bestemmelserne i denne forordning heller ikke finde anvendelse, inden
disse systemer og modeller ibrugtages eller bringes i omsætning. Denne udelukkelse berører ikke for-
pligtelsen til at overholde denne forordning, når et AI-system, der falder ind under denne forordnings
anvendelsesområde, bringes i omsætning eller ibrugtages som følge af en sådan forsknings- og udvik-
lingsaktivitet, eller anvendelsen af bestemmelser om reguleringsmæssige AI-sandkasser og afprøvning
under faktiske forhold. Uden at det berører udelukkelsen af AI-systemer, der specifikt er udviklet og
ibrugtaget udelukkende med henblik på videnskabelig forskning og udvikling, bør ethvert andet AI-sy-
stem, der kan anvendes til udførelse af enhver forsknings- og udviklingsaktivitet, desuden fortsat være
omfattet af bestemmelserne i denne forordning. Under alle omstændigheder bør enhver forsknings- og
udviklingsaktivitet udføres i overensstemmelse med anerkendte etiske og professionelle standarder for
videnskabelig forskning og bør gennemføres i overensstemmelse med gældende EU-ret.
(26) For at indføre et forholdsmæssigt og effektivt sæt bindende regler for AI-systemer bør der anvendes
en klart defineret risikobaseret tilgang. Denne tilgang bør tilpasse typen og indholdet af sådanne regler
til graden og omfanget af de risici, som AI-systemer kan generere. Det er derfor nødvendigt at forbyde
visse former for uacceptabel AI-praksis, at fastsætte krav til højrisiko-AI-systemer og forpligtelser for de
relevante operatører og at fastsætte gennemsigtighedsforpligtelser for visse AI-systemer.
(27) Selv om den risikobaserede tilgang danner grundlag for et forholdsmæssigt og effektivt sæt bindende
regler, er det vigtigt at minde om de etiske retningslinjer for troværdig kunstig intelligens fra 2019, der
er udarbejdet af den uafhængige AI-ekspertgruppe, som Kommissionen har udpeget. I disse retningslinjer
udviklede AI-ekspertgruppen syv ikkebindende etiske principper for AI, som tilsigter at bidrage til at
sikre, at AI er troværdig og etisk forsvarlig. De syv principper omfatter: menneskelig handlemulighed
og menneskeligt tilsyn, teknologisk robusthed og sikkerhed, privatlivets fred og datastyring, gennemsig-
tighed, mangfoldighed, ikkeforskelsbehandling og retfærdighed, social og miljømæssig velfærd samt
ansvarlighed. Uden at det berører de retligt bindende krav i denne forordning og anden gældende EU-ret,
bidrager disse retningslinjer til udformningen af sammenhængende, troværdig og menneskecentreret AI i
overensstemmelse med chartret og med de værdier, som Unionen bygger på. Ifølge AI-ekspertgruppens
retningslinjer forstås der ved menneskelig handlemulighed og menneskeligt tilsyn, at AI-systemer udvik-
les og anvendes som et redskab, der betjener mennesker, respekterer menneskers værdighed og personlige
uafhængighed, og som fungerer på en måde, der kan styres og tilses af mennesker på passende vis. Ved
teknisk robusthed og sikkerhed forstås, at AI-systemer udvikles og anvendes på en måde, der giver
mulighed for robusthed i tilfælde af problemer og modstandsdygtighed over for forsøg på at ændre
AI-systemets anvendelse eller ydeevne, således at tredjeparters ulovlige anvendelse tillades, og minimerer
utilsigtet skade. Ved privatlivets fred og datastyring forstås, at AI-systemer udvikles og anvendes i
overensstemmelse med reglerne for beskyttelse af privatlivets fred og databeskyttelse, samtidig med
at behandlingen af data lever op til høje standarder for kvalitet og integritet. Ved gennemsigtighed
11
forstås, at AI-systemer udvikles og anvendes på en måde, der giver mulighed for passende sporbarhed
og forklarlighed, samtidig med at personer gøres opmærksom på, at de kommunikerer eller interagerer
med et AI-system, og at idriftsætterne informeres behørigt om det pågældende AI-systems kapacitet
og begrænsninger og berørte personer om deres rettigheder. Ved mangfoldighed, ikkeforskelsbehandling
og retfærdighed forstås, at AI-systemer udvikles og anvendes på en måde, der inkluderer forskellige
aktører og fremmer lige adgang, ligestilling mellem kønnene og kulturel mangfoldighed, samtidig med
at forskelsbehandlende virkninger og urimelige bias, der er forbudt i henhold til EU-retten eller natio-
nal ret, undgås. Ved social og miljømæssig velfærd forstås, at AI-systemer udvikles og anvendes på
en bæredygtig og miljøvenlig måde og på en måde, der gavner alle mennesker, samtidig med at de
langsigtede virkninger for den enkelte, samfundet og demokratiet overvåges og vurderes. Anvendelsen
af disse principper bør så vidt muligt omsættes i udformningen og anvendelsen af AI-modeller. De
bør under alle omstændigheder tjene som grundlag for udarbejdelsen af adfærdskodekser i henhold til
denne forordning. Alle interessenter, herunder industrien, den akademiske verden, civilsamfundet og
standardiseringsorganisationer, opfordres til i relevant omfang at tage hensyn til de etiske principper ved
udviklingen af frivillig bedste praksis og standarder.
(28) Ud over de mange nyttige anvendelser af AI kan den også misbruges og resultere i nye og effektive
værktøjer til manipulerende, udnyttende og socialt kontrollerende former for praksis. Sådanne former for
praksis er særlig skadelige og krænkende og bør forbydes, fordi de er i modstrid med Unionens værdier
om respekt for menneskelig værdighed, frihed, ligestilling, demokrati og retsstatsprincippet og de grund-
læggende rettigheder, der er nedfældet i chartret, herunder retten til beskyttelse mod forskelsbehandling,
retten til databeskyttelse og retten til privatlivets fred og børns rettigheder.
(29) AI-baserede manipulerende teknikker kan anvendes til at overtale personer til at udvise uønsket
adfærd eller til at vildlede dem ved at nudge dem til at træffe beslutninger på en måde, der undergraver
og hæmmer deres autonomi, beslutningstagning og frie valg. Omsætning, ibrugtagning eller anvendel-
se af visse AI-systemer med det formål eller den virkning i væsentlig grad at fordreje menneskers
adfærd, hvorved der sandsynligvis vil opstå betydelige skader, der navnlig kan have tilstrækkeligt vigtige
negative indvirkninger på fysisk eller psykisk sundhed eller finansielle interesser, er særligt farlige og
bør derfor forbydes. Sådanne AI-systemer anvender subliminale komponenter såsom lyd-, billed- eller
videostimuli, som mennesker ikke kan opfatte, eftersom disse stimuli ligger uden for den menneskelige
opfattelsesevne, eller andre manipulerende eller vildledende teknikker, der undergraver eller svækker
menneskers autonomi, beslutningstagning eller frie valg på måder, hvor mennesker ikke er bevidste
om disse teknikker, eller, hvis de er bevidste om dem, stadig kan blive vildledt eller ikke er i stand
til at kontrollere eller modstå dem. Dette kan lettes f.eks. ved hjælp af maskine-hjerne-grænseflader
eller virtuel virkelighed, da de giver mulighed for en højere grad af kontrol over, hvilke stimuli der
præsenteres for personer, for så vidt som de i væsentlig grad kan fordreje deres adfærd på betydelig
skadelig vis. Desuden kan AI-systemer også på anden måde udnytte sårbarheder hos en person eller en
specifik gruppe af mennesker på grund af deres alder, handicap som omhandlet i Europa-Parlamentets og
Rådets direktiv (EU) 2019/882 (16) eller en specifik social eller økonomisk situation, der sandsynligvis vil
gøre disse personer mere sårbare over for udnyttelse, såsom personer, der lever i ekstrem fattigdom, og
etniske eller religiøse mindretal. Sådanne AI-systemer kan bringes i omsætning, ibrugtages eller anvendes
med den hensigt eller det resultat i væsentlig grad at fordreje en persons adfærd og på en måde, der
forvolder eller med rimelig sandsynlighed kan forventes at ville forvolde den pågældende eller en anden
person eller persongrupper betydelig skade, herunder skade, der kan akkumuleres over tid, og bør derfor
forbydes. Det er ikke nødvendigvis muligt at antage, at der er en hensigt om at fordreje adfærd, hvis
fordrejningen skyldes faktorer uden for AI-systemet, som er uden for udbyderens eller idriftsætterens
kontrol, dvs. faktorer, der ikke med rimelighed kan forudses, og som udbyderen eller idriftsætteren af
12
AI-systemet derfor ikke kan afbøde. Under alle omstændigheder er det ikke nødvendigt, at udbyderen
eller idriftsætteren har til hensigt at forvolde betydelig skade, forudsat at en sådan skade er resultatet af
AI-baserede manipulerende eller udnyttende former for praksis. Forbuddene mod sådanne former for AI-
praksis supplerer bestemmelserne i Europa-Parlamentets og Rådets direktiv 2005/29/EF (17), navnlig at
urimelig handelspraksis, der forårsager økonomisk eller finansiel skade for forbrugerne, er forbudt under
alle omstændigheder, uanset om den indføres ved hjælp af AI-systemer eller på anden måde. Forbuddene
mod manipulerende og udnyttende former for praksis i denne forordning bør ikke berøre lovlig praksis i
forbindelse med lægebehandling såsom psykologbehandling af psykisk sygdom eller fysisk rehabilitering,
når disse former for praksis udføres i overensstemmelse med gældende ret og medicinske standarder,
for eksempel enkeltpersoners eller deres retlige repræsentanters udtrykkelige samtykke. Desuden bør
almindelig og legitim handelspraksis, for eksempel på reklameområdet, der overholder gældende ret, ikke
i sig selv anses for at udgøre skadelige AI-baserede manipulerende former for praksis.
(30) Systemer til biometrisk kategorisering, der er baseret på fysiske personers biometriske data, sås-
om en persons ansigt eller fingeraftryk, med henblik på at udlede en persons politiske anskuelser,
fagforeningsmedlemskab, religiøse eller filosofiske overbevisning, race, seksuelle forhold eller seksuelle
orientering, bør forbydes. Dette forbud bør ikke omfatte lovlig mærkning, filtrering eller kategorisering
af biometriske datasæt, der er indhentet i overensstemmelse med EU-retten eller national ret i henhold til
biometriske data, såsom sortering af billeder efter hårfarve eller øjenfarve, som f.eks. kan anvendes inden
for retshåndhævelse.
(31)AI-systemer, hvor offentlige eller private aktører gør brug af social bedømmelse af fysiske personer,
kan føre til forskelsbehandlende resultater og udelukkelse af visse grupper. De kan dermed krænke retten
til værdighed og ikkeforskelsbehandling og værdierne lighed og retfærdighed. Sådanne AI-systemer
evaluerer eller klassificerer fysiske personer eller grupper heraf på grundlag af en lang række datapunkter
i tilknytning til deres sociale adfærd i flere sammenhænge eller kendte, udledte eller forudsagte personlige
egenskaber eller personlighedstræk over en vis periode. Den sociale bedømmelse, der leveres af sådanne
AI-systemer, kan føre til skadelig eller ugunstig behandling af fysiske personer eller hele grupper heraf i
sociale sammenhænge, som ikke har noget at gøre med den sammenhæng, i hvilken dataene oprindeligt
blev genereret eller indsamlet, eller til skadelig behandling, der er uforholdsmæssig eller uberettiget i for-
hold til betydningen af deres sociale adfærd. AI-systemer, der indebærer sådanne uacceptable former for
bedømmelsespraksis, og som fører til et sådant skadeligt eller ugunstigt udfald, bør derfor forbydes. Dette
forbud bør ikke berøre lovlige former for praksis med evaluering af fysiske personer, der udføres med et
specifikt formål i overensstemmelse med EU-retten og national ret.
(32) Anvendelsen af AI-systemer til biometrisk fjernidentifikation i realtid af fysiske personer på offentli-
ge steder med henblik på retshåndhævelse er særligt indgribende i de berørte personers rettigheder og
friheder, for så vidt som det kan påvirke privatlivets fred for en stor del af befolkningen, skabe en følelse
af konstant overvågning og indirekte afskrække fra udøvelsen af forsamlingsfriheden og andre grundlæg-
gende rettigheder. Tekniske unøjagtigheder i AI-systemer, der er tilsigtet biometrisk fjernidentifikation af
fysiske personer, kan føre til resultater behæftet med bias og have forskelsbehandlende virkning. Sådanne
mulige resultater behæftet med bias og forskelsbehandlende virkninger er særligt relevante med hensyn til
alder, etnicitet, race, køn og handicap. Desuden indebærer den øjeblikkelige virkning og de begrænsede
muligheder for yderligere kontrol eller justeringer i forbindelse med anvendelsen af sådanne systemer, der
fungerer i realtid, øgede risici for rettigheder og friheder for de berørte personer i forbindelse med eller
påvirket af retshåndhævelsesaktiviteter.
13
(33) Anvendelsen af disse systemer med henblik på retshåndhævelse bør derfor forbydes, undtagen i
udtømmende opregnede og snævert definerede situationer, hvor anvendelsen er strengt nødvendig for
at opfylde en væsentlig samfundsinteresse, hvis betydning vejer tungere end risiciene. Disse situationer
omfatter eftersøgning af visse ofre for kriminalitet, herunder forsvundne personer, visse trusler mod
fysiske personers liv eller fysiske sikkerhed eller om et terrorangreb, samt lokalisering eller identifikation
af gerningsmænd, der har begået, eller af personer, der mistænkes for at have begået, de strafbare
handlinger, der er opført i et bilag til denne forordning, hvis disse strafbare handlinger i den berørte
medlemsstat kan straffes med frihedsstraf eller en anden frihedsberøvende foranstaltning af en maksimal
varighed på mindst fire år, og som de er defineret i denne medlemsstats ret. En sådan tærskel for
frihedsstraf eller anden frihedsberøvende foranstaltning i overensstemmelse med national ret bidrager til
at sikre, at lovovertrædelsen er af tilstrækkelig alvorlig karakter til potentielt at berettige anvendelsen af
systemer til biometrisk fjernidentifikation i realtid. Desuden er listen over strafbare handlinger fastlagt i et
bilag til denne forordning baseret på de 32 strafbare handlinger, der er opregnet i Rådets rammeafgørelse
2002/584/RIA (18), og tager hensyn til, at nogle af disse strafbare handlinger i praksis er mere relevante
end andre, idet anvendelsen af biometrisk fjernidentifikation i realtid sandsynligvis i meget varierende
grad kan være nødvendig og forholdsmæssig med henblik på lokalisering eller identifikation af en
gerningsmand, der har begået, eller af en person, der mistænkes for at have begået, strafbare handlinger,
der er opført på listen, og under hensyntagen til de sandsynlige forskelle i alvorligheden, sandsynligheden
og omfanget af skaden eller mulige negative konsekvenser. En overhængende fare for fysiske personers
liv eller fysiske sikkerhed kan også hidrøre fra en alvorlig afbrydelse af kritisk infrastruktur som defineret
i artikel 2, nr. 4), i Europa-Parlamentets og Rådets direktiv (EU) 2022/2557 (19), hvor afbrydelse eller
ødelæggelse af en sådan kritisk infrastruktur ville medføre overhængende fare for en persons liv eller
fysiske sikkerhed, herunder gennem alvorlig skade på forsyningen af befolkningen med grundlæggende
fornødenheder eller på udøvelsen af statens centrale funktion. Desuden bør denne forordning bevare
de retshåndhævende myndigheders, grænsekontrolmyndighedernes, indvandringsmyndighedernes eller
asylmyndighedernes mulighed for at foretage identitetskontrol under tilstedeværelse af den pågældende
person i overensstemmelse med de betingelser, der er fastsat i EU-retten og national ret for en sådan
kontrol. Navnlig bør retshåndhævende myndigheder, grænsekontrolmyndigheder, indvandringsmyndighe-
der eller asylmyndigheder kunne anvende informationssystemer i overensstemmelse med EU-retten eller
national ret til at identificere personer, der under en identitetskontrol enten nægter at blive identificeret
eller ikke er i stand til at oplyse eller bevise deres identitet, uden at det i henhold til denne forordning
kræves, at der indhentes forhåndstilladelse. Dette kan f.eks. være en person, der er involveret i en
forbrydelse, og som er uvillig eller ude af stand til på grund af en ulykke eller en helbredstilstand at
afsløre sin identitet over for de retshåndhævende myndigheder.
(34) For at sikre at disse systemer anvendes på en ansvarlig og forholdsmæssig måde, er det også
vigtigt at fastslå, at der i hver af disse udtømmende opregnede og snævert definerede situationer bør
tages hensyn til visse elementer, navnlig med hensyn til situationens karakter, som ligger til grund
for anmodningen, og konsekvenserne af anvendelsen for alle berørte personers rettigheder og friheder
samt de sikkerhedsforanstaltninger og betingelser, der er fastsat for brugen. Anvendelsen af systemer
til biometrisk fjernidentifikation i realtid på offentlige steder med henblik på retshåndhævelse bør kun
idriftsættes til at bekræfte den specifikt målrettede persons identitet og bør begrænses til, hvad der
er strengt nødvendigt for så vidt angår tidsperioden samt det geografiske og personmæssige anvendel-
sesområde, navnlig med hensyn til beviserne eller indikationerne vedrørende truslerne, ofrene eller
gerningsmanden. Anvendelsen af systemet til biometrisk fjernidentifikation i realtid på offentlige steder
bør kun tillades, hvis den relevante retshåndhævende myndighed har gennemført en konsekvensanalyse
vedrørende grundlæggende rettigheder og, medmindre andet er fastsat i denne forordning, har registreret
14
systemet i databasen som fastsat i denne forordning. Referencedatabasen over personer bør være passende
for hvert enkelt anvendelsestilfælde i hver af de ovennævnte situationer.
(35) Enhver anvendelse af et system til biometrisk fjernidentifikation i realtid på offentlige steder med
henblik på retshåndhævelse bør være betinget af en udtrykkelig og specifik tilladelse fra en medlemsstats
judicielle myndighed eller uafhængige administrative myndighed, hvis afgørelse er bindende. En sådan
tilladelse bør i princippet indhentes forud for anvendelsen af AI- systemet med henblik på at identificere
en eller flere personer. Undtagelser fra denne regel bør tillades i behørigt begrundede hastende tilfælde,
dvs. i situationer, hvor behovet for at anvende de pågældende systemer er af en sådan art, at det er
praktisk og objektivt umuligt at indhente en tilladelse, inden anvendelsen af AI-systemet påbegyndes. I
sådanne hastende situationer bør anvendelsen af AI-systemet begrænses til det absolut nødvendige mini-
mum og bør være underlagt passende sikkerhedsforanstaltninger og betingelser som fastsat i national ret
og præciseret i forbindelse med hver enkelt hastesag af den retshåndhævende myndighed selv. Desuden
bør den retshåndhævende myndighed i sådanne situationer anmode om en sådan tilladelse og samtidig
begrunde, hvorfor den ikke har været i stand til at anmode om den tidligere, uden unødigt ophold og
senest inden for 24 timer. Hvis en sådan tilladelse afvises, bør anvendelsen af systemer til biometrisk
identifikation i realtid, der er knyttet til den pågældende tilladelse, indstilles med øjeblikkelig virkning,
og alle data vedrørende en sådan anvendelse bør kasseres og slettes. Sådanne data omfatter inputdata, der
er erhvervet direkte af et AI-system ved anvendelsen af et sådant system, samt resultater og output af
den anvendelse, der er knyttet til den pågældende tilladelse. Det bør ikke omfatte input, der er erhvervet
lovligt i overensstemmelse med anden EU-ret eller national ret. Under alle omstændigheder bør der ikke
træffes nogen afgørelse, der har negative retsvirkninger for en person, udelukkende baseret på outputtet af
systemet til biometrisk fjernidentifikation.
(36) Den relevante markedsovervågningsmyndighed og den nationale databeskyttelsesmyndighed bør
for at kunne udføre deres opgaver i overensstemmelse med kravene fastsat i denne forordning og i de
nationale regler underrettes om hver anvendelse af »systemet til biometrisk identifikation i realtid«. Mar-
kedsovervågningsmyndighederne og de nationale databeskyttelsesmyndigheder, der er blevet underrettet,
bør forelægge Kommissionen en årlig rapport om anvendelsen af systemer til biometrisk identifikation i
realtid.
(37) Endvidere bør det inden for denne forordnings udtømmende rammer fastsættes, at en sådan anven-
delse på en medlemsstats område i overensstemmelse med denne forordning kun bør være mulig, hvis
og i det omfang den pågældende medlemsstat har besluttet udtrykkeligt at give mulighed for at tillade
en sådan anvendelse i sine detaljerede bestemmelser i national ret. Det står derfor medlemsstaterne frit
for i henhold til denne forordning slet ikke at fastsætte en sådan mulighed eller kun at fastsætte en
sådan mulighed med hensyn til nogle af de mål, der i henhold til denne forordning kan begrunde en
godkendt anvendelse. Sådanne nationale regler bør meddeles Kommissionen inden for 30 dage efter deres
vedtagelse.
(38) Anvendelsen af AI-systemer til biometrisk fjernidentifikation i realtid af fysiske personer på offentli-
ge steder med henblik på retshåndhævelse indebærer nødvendigvis behandling af biometriske data. De
bestemmelser i denne forordning, der med forbehold af visse undtagelser forbyder en sådan anvendelse,
og som har grundlag i artikel 16 i TEUF, bør finde anvendelse som lex specialis, for så vidt angår reglerne
om behandling af biometriske data i artikel 10 i direktiv (EU) 2016/680 og således regulere anvendelsen
og behandlingen af biometriske data på en udtømmende måde. En sådan anvendelse og behandling bør
derfor kun være mulig, i det omfang det er foreneligt med den ramme, der er fastsat i denne forordning,
15
uden at der uden for denne ramme er mulighed for, at de kompetente myndigheder, når de handler med
henblik på retshåndhævelse, kan anvende sådanne systemer og i forbindelse hermed behandle sådanne
data af de grunde, der er anført i artikel 10 i direktiv (EU) 2016/680. I denne sammenhæng har denne
forordning ikke til formål at tilvejebringe retsgrundlaget for behandling af personoplysninger i henhold til
artikel 8 i direktiv (EU) 2016/680. Anvendelsen af systemer til biometrisk fjernidentifikation i realtid på
offentlige steder til andre formål end retshåndhævelse, herunder af kompetente myndigheder, bør imidler-
tid ikke være omfattet af den specifikke ramme for en sådan anvendelse med henblik på retshåndhævelse
som fastsat i denne forordning. En sådan anvendelse til andre formål end retshåndhævelse bør derfor
ikke være underlagt kravet om en tilladelse i henhold til denne forordning og de gældende detaljerede
bestemmelser i national ret, der kan give denne tilladelse virkning.
(39) Enhver behandling af biometriske data og andre personoplysninger i forbindelse med anvendelsen
af AI-systemer til biometrisk identifikation, undtagen i forbindelse med anvendelsen af systemer til
biometrisk fjernidentifikation i realtid på offentlige steder med henblik på retshåndhævelse som regule-
ret ved denne forordning, bør fortsat overholde alle de krav, der følger af artikel 10 i direktiv (EU)
2016/680. Med henblik på andre formål end retshåndhævelse forbyder artikel 9, stk. 1, i forordning
(EU) 2016/679 og artikel 10, stk. 1, i forordning (EU) 2018/1725 behandling af biometriske data med
begrænsede undtagelser som fastsat i disse artikler. I henhold til artikel 9, stk. 1, i forordning (EU)
2016/679 har anvendelsen af biometrisk fjernidentifikation til andre formål end retshåndhævelse allerede
været genstand for forbudsafgørelser fra nationale databeskyttelsesmyndigheder.
(40) I medfør af artikel 6a i protokol nr. 21 om Det Forenede Kongeriges og Irlands stilling, for så
vidt angår området med frihed, sikkerhed og retfærdighed, der er knyttet som bilag til TEU og TEUF,
er Irland ikke bundet af regler fastsat i denne forordnings artikel 5, stk. 1, første afsnit, litra g), i det
omfang den finder anvendelse på brugen af systemer til biometrisk kategorisering til aktiviteter inden for
politisamarbejde og retligt samarbejde i straffesager, artikel 5, stk. 1, første afsnit, litra d), i det omfang
den finder anvendelse på brugen af AI-systemer, der er omfattet af nævnte bestemmelse, artikel 5, stk.
1, første afsnit, litra h), og stk. 2-6, og artikel 26, stk. 10, der er vedtaget på grundlag af artikel 16 i
TEUF vedrørende medlemsstaternes behandling af personoplysninger under udøvelsen af aktiviteter, der
er omfattet af tredje del, afsnit V, kapitel 4 eller 5, i TEUF, når Irland ikke er bundet af regler vedrørende
former for strafferetligt samarbejde eller politisamarbejde, der kræver overholdelse af de bestemmelser,
der er fastsat på grundlag af artikel 16 i TEUF.
(41) I medfør af artikel 2 og 2a i protokol nr. 22 om Danmarks stilling, der er knyttet som bilag til TEU
og TEUF, er de regler, der er fastsat i denne forordnings artikel 5, stk. 1, første afsnit, litra g), i det
omfang den finder anvendelse på brugen af systemer til biometrisk kategorisering til aktiviteter inden for
politisamarbejde og retligt samarbejde i straffesager, artikel5, stk. 1, første afsnit, litra d), i det omfang
den finder anvendelse på brugen af AI-systemer, der er omfattet af nævnte bestemmelse, artikel 5, stk.
1, første afsnit, litra h), og stk. 2-6, og artikel 26, stk. 10, der er vedtaget på grundlag af artikel 16 i
TEUF vedrørende medlemsstaternes behandling af personoplysninger under udøvelsen af aktiviteter, der
er omfattet af tredje del, afsnit V, kapitel 4 eller 5, i TEUF, ikke bindende for og finder ikke anvendelse i
Danmark.
(42) I overensstemmelse med uskyldsformodningen bør fysiske personer i Unionen altid dømmes på
grundlag af deres faktiske adfærd. Fysiske personer bør aldrig dømmes på grundlag af AI-forudsagt
adfærd, der alene er baseret på deres profilering, personlighedstræk eller personlige egenskaber såsom
nationalitet, fødested, bopæl, antal børn, gældsbyrde eller biltype, uden at der er begrundet mistanke
16
om, at den pågældende person er involveret i kriminel aktivitet baseret på objektive verificerbare kends-
gerninger, og uden menneskelig vurdering heraf. Risikovurderinger, der udføres med hensyn til fysiske
personer med det formål at vurdere risikoen for, at de begår lovovertrædelser, eller forudsige forekomsten
af en faktisk eller potentiel strafbar handling alene baseret på profilering af dem eller vurdering af deres
personlighedstræk og personlige egenskaber, bør derfor forbydes. Under alle omstændigheder henviser
dette forbud ikke til eller berører ikke risikoanalyser, der ikke er baseret på profilering af enkeltpersoner
eller på enkeltpersoners personlighedstræk og personlige egenskaber, såsom AI-systemer, der anvender
risikoanalyser til at vurdere sandsynligheden for virksomheders økonomiske svig på grundlag af mistæn-
kelige transaktioner eller risikoanalyseværktøjer til at forudsige sandsynligheden for toldmyndighedernes
lokalisering af narkotika eller ulovlige varer, f.eks. på grundlag af kendte narkotikaruter.
(43) Omsætning, ibrugtagning til dette specifikke formål eller anvendelse af AI-systemer, der opretter
eller udvider ansigtsgenkendelsesdatabaser gennem ikkemålrettet indsamling af ansigtsbilleder fra inter-
nettet eller kameraovervågning, bør forbydes, da denne praksis øger følelsen af masseovervågning og kan
føre til grove krænkelser af de grundlæggende rettigheder, herunder retten til privatlivets fred.
(44) Der er alvorlig bekymring over det videnskabelige grundlag for AI-systemer, der har til formål at
identificere eller udlede følelser, navnlig da følelser varierer betydeligt på tværs af kulturer og situationer
og endda hos en enkelt person. Blandt de vigtigste mangler ved sådanne systemer er den begrænsede
pålidelighed, manglen på specificitet og den begrænsede generaliserbarhed. AI-systemer, der identificerer
eller udleder fysiske personers følelser eller hensigter på grundlag af deres biometriske data, kan derfor
føre til forskelsbehandlende resultater og kan være indgribende i de berørte personers rettigheder og frihe-
der. Sådanne systemer kan i betragtning af den ulige magtfordeling på arbejdspladsen eller uddannelses-
stedet, kombineret med disse systemers indgribende karakter, føre til skadelig eller ugunstig behandling
af visse fysiske personer eller hele grupper heraf. Omsætningen, ibrugtagningen eller anvendelsen af
AI-systemer, der er tilsigtet at påvise enkeltpersoners følelsesmæssige tilstand i situationer, der vedrører
arbejdspladsen og uddannelsesstedet, bør derfor forbydes. Dette forbud bør ikke omfatte AI-systemer, der
bringes i omsætning udelukkende af medicinske eller sikkerhedsmæssige årsager, såsom systemer tilsigtet
terapeutisk brug.
(45) Former for praksis, der er forbudt i henhold til EU-retten, herunder databeskyttelsesretten, retten
om ikkeforskelsbehandling, forbrugerbeskyttelsesretten og konkurrenceretten, bør ikke berøres af denne
forordning.
(46) Højrisiko-AI-systemer bør kun bringes i omsætning på EU-markedet, ibrugtages eller anvendes, hvis
de overholder visse obligatoriske krav. Disse krav bør sikre, at højrisiko-AI-systemer, der er tilgængelige
i Unionen, eller hvis output på anden måde anvendes i Unionen, ikke udgør uacceptable risici for
vigtige samfundsinteresser i Unionen som anerkendt og beskyttet i EU-retten. På grundlag af den nye
lovgivningsmæssige ramme, som præciseret i Kommissionens meddelelse om den blå vejledning om
gennemførelsen af EU᾽s produktregler 2022 (20), er den generelle regel, at mere end én EU-harmonise-
ringslovgivningsretsakt såsom Europa-Parlamentets og Rådets forordning (EU) 2017/745 (21) og (EU)
2017/746 (22) eller Europa-Parlamentets og Rådets direktiv 2006/42/EF (23) kan finde anvendelse på
ét produkt, da tilgængeliggørelsen eller ibrugtagningen kun kan finde sted, når produktet overholder al
gældende EU-harmoniseringslovgivning. For at sikre konsekvens og undgå unødvendige administrative
byrder eller omkostninger bør udbydere af et produkt, der indeholder et eller flere højrisiko-AI-systemer,
som kravene i nærværende forordning og kravene i EU-harmoniseringslovgivningen opført i et bilag til
nærværende forordning, finder anvendelse på, have fleksibilitet med hensyn til at træffe operationelle
17
beslutninger om, hvordan det sikres, at et produkt, der indeholder et eller flere AI-systemer, overholder
alle gældende krav i EU-harmoniseringslovgivningen på en optimal måde. AI-systemer, der identificeres
som højrisiko, bør begrænses til systemer, der har en betydelig skadelig indvirkning på personers sund-
hed, sikkerhed og grundlæggende rettigheder i Unionen, og en sådan begrænsning bør minimere enhver
potentiel restriktion for international handel.
(47) AI-systemer kan have negative virkninger for personers sundhed og sikkerhed, navnlig når sådanne
systemer anvendes som produkters sikkerhedskomponenter. I overensstemmelse med målene for EU-har-
moniseringslovgivningen om at lette den frie bevægelighed for produkter i det indre marked og sørge
for, at kun sikre produkter, der desuden overholder alle de stillede krav, kommer ind på markedet, er
det vigtigt, at de sikkerhedsrisici, som et produkt som helhed kan udgøre på grund af dets digitale
komponenter, herunder AI-systemer, behørigt forebygges og afbødes. F.eks. bør stadig mere autonome
robotter, hvad enten det er i forbindelse med fremstilling eller personlig bistand og pleje, være i stand
til at fungere sikkert og udføre deres funktioner i komplekse miljøer. Også i sundhedssektoren, hvor det
drejer sig direkte om liv og sundhed, bør stadig mere avancerede diagnosesystemer og systemer, der
understøtter menneskers beslutninger, være pålidelige og nøjagtige.
(48) Omfanget af et AI-systems negative indvirkning på de grundlæggende rettigheder, der er beskyttet
af chartret, er særlig relevant, når et AI-system klassificeres som højrisiko. Disse rettigheder omfatter
retten til menneskelig værdighed, respekt for privatliv og familieliv, beskyttelse af personoplysninger,
ytrings- og informationsfrihed, forsamlings- og foreningsfrihed, retten til ikkeforskelsbehandling, retten
til uddannelse, forbrugerbeskyttelse, arbejdstagerrettigheder, rettigheder for personer med handicap, li-
gestilling mellem kønnene, intellektuelle ejendomsrettigheder, retten til effektive retsmidler og til en
retfærdig rettergang, retten til et forsvar og uskyldsformodningen samt retten til god forvaltning. Ud over
disse rettigheder er det vigtigt at fremhæve det forhold, at børn har specifikke rettigheder som fastsat i
artikel 24 i chartret og i De Forenede Nationers konvention om barnets rettigheder, yderligere udviklet
i generel bemærkning nr. 25 vedrørende det digitale miljø fra FN᾽s Komité for Barnets Rettigheder,
som begge kræver, at der tages hensyn til børns sårbarhed, og at der ydes den beskyttelse og omsorg,
der er nødvendig for deres trivsel. Den grundlæggende ret til et højt miljøbeskyttelsesniveau, der er
nedfældet i chartret og gennemført i Unionens politikker, bør også tages i betragtning ved vurderingen
af alvorligheden af den skade, som et AI-system kan forvolde, herunder i forbindelse med personers
sundhed og sikkerhed.
(49) For så vidt angår højrisiko-AI-systemer, der er sikkerhedskomponenter i produkter eller systemer,
eller som selv er produkter eller systemer, der er omfattet af anvendelsesområdet for Europa-Parlamen-
tets og Rådets forordning (EF) nr. 300/2008 (24), Europa-Parlamentets og Rådets forordning (EU) nr.
167/2013 (25), Europa-Parlamentets og Rådets forordning (EU) nr. 168/2013 (26), Europa-Parlamentets
og Rådets direktiv 2014/90/EU (27), Europa- Parlamentets og Rådets direktiv (EU) 2016/797 (28), Europa-
Parlamentets og Rådets forordning (EU) 2018/858 (29), Europa-Parlamentets og Rådets forordning (EU)
2018/1139 (30) og Europa-Parlamentets og Rådets forordning (EU) 2019/2144 (31), bør disse retsakter
ændres for at sikre, at Kommissionen, på grundlag af de særlige tekniske og reguleringsmæssige forhold
i hver enkelt sektor og uden at gribe ind i de eksisterende forvaltnings-, overensstemmelsesvurderings-
og håndhævelsesmekanismer og myndigheder, der er fastsat heri, tager hensyn til de obligatoriske krav
til højrisiko-AI-systemer, der er fastsat i nærværende forordning, når den vedtager relevante delegerede
retsakter eller gennemførelsesretsakter på grundlag af disse retsakter.
18
(50) For så vidt angår AI-systemer, der er sikkerhedskomponenter i produkter, eller som selv er pro-
dukter, der er omfattet af anvendelsesområdet for en vis EU-harmoniseringslovgivning, der er opført
i et bilag til denne forordning, er det hensigtsmæssigt at klassificere dem som højrisiko i henhold
til denne forordning, hvis det pågældende produkt overensstemmelsesvurderes af en tredjeparts overens-
stemmelsesvurderingsorgan i henhold til den relevante EU-harmoniseringslovgivning. Sådanne produkter
er navnlig maskiner, legetøj, elevatorer, udstyr og sikringssystemer tilsigtet anvendelse i eksplosionsfarlig
atmosfære, radioudstyr, trykudstyr, udstyr til fritidsfartøjer, tovbaneanlæg, gasapparater, medicinsk udstyr,
in vitro-diagnostisk medicinsk udstyr, bilindustrien og luftfart.
(51) Klassificeringen af et AI-system som højrisiko i henhold til denne forordning bør ikke nødvendigvis
betyde, at det produkt, hvori AI-systemet indgår som sikkerhedskomponent, eller selve AI-systemet
som produkt betragtes som højrisiko i henhold til de kriterier, der er fastsat i den relevante EU-harmoni-
seringslovgivning, der finder anvendelse på produktet. Dette er navnlig tilfældet med forordning (EU)
2017/745 og (EU) 2017/746, hvor en tredjepart foretager overensstemmelsesvurderinger af mellemrisiko-
og højrisikoprodukter.
(52) For så vidt angår selvstændige AI-systemer, dvs. andre højrisiko-AI-systemer end dem, der er
produkters sikkerhedskomponenter, eller selv er produkter, bør de klassificeres som højrisiko, hvis de set
i lyset af deres tilsigtede formål udgør en høj risiko for skade på sundhed og sikkerhed eller personers
grundlæggende rettigheder, idet der tages hensyn til både sandsynligheden for den mulige skade og
dens alvorlighed, og hvis de anvendes på en række specifikt foruddefinerede områder, der er angivet
i denne forordning. Disse systemer udpeges ved hjælp af den samme metode og ud fra de samme
kriterier som i forbindelse med eventuelle fremtidige ændringer af listen over højrisiko-AI-systemer, som
Kommissionen bør tillægges beføjelser til at vedtage ved hjælp af delegerede retsakter for at tage hensyn
til den hurtige teknologiske udvikling samt de potentielle ændringer i anvendelsen af AI-systemer.
(53) Det er også vigtigt at præcisere, at der kan være særlige tilfælde, hvor AI-systemer, der henvises
til i foruddefinerede områder som angivet i denne forordning, ikke medfører en væsentlig risiko for
at skade de retlige interesser, der beskyttes på disse områder, fordi de ikke i væsentlig grad påvirker
beslutningstagningen eller ikke skader disse interesser væsentligt. Med henblik på denne forordning
bør et AI-system, der ikke i væsentlig grad påvirker resultatet af beslutningstagning, forstås som et
AI-system, der ikke har indvirkning på substansen og dermed resultatet af beslutningstagning, uanset
om den er menneskelig eller automatiseret. Et AI-system, der ikke i væsentlig grad påvirker resultatet
af beslutningstagning, kan omfatte situationer, hvor en eller flere af følgende betingelser er opfyldt. Den
første sådanne betingelse bør være, at AI-systemet er tilsigtet at udføre en snæver proceduremæssig
opgave, f.eks. et AI-system, der omdanner ustrukturerede data til strukturerede data, et AI-system, der
klassificerer indgående dokumenter i kategorier, eller et AI-system, der anvendes til at påvise duplikater
blandt et stort antal ansøgninger. Disse opgaver er så snævre og begrænsede, at de kun udgør begrænse-
de risici, som ikke øges som følge af anvendelsen af et AI-system i en af de sammenhænge, der er
opført som en højrisikoanvendelse i et bilag til denne forordning. Den anden betingelse bør være, at
den opgave, AI-systemet udfører, er tilsigtet at forbedre resultatet af en tidligere afsluttet menneskelig
aktivitet, der kan være relevant med henblik på de højrisikoanvendelser, der er opført i et bilag til denne
forordning. I betragtning af disse karakteristika tilføjer AI-systemet kun et ekstra lag til en menneskelig
aktivitet og udgør dermed en lavere risiko. Denne betingelse ville f.eks. gælde AI-systemer, der er
tilsigtet at forbedre det sprog, der er anvendt i tidligere udarbejdede dokumenter, f.eks. hvad angår
professionel tone og akademisk sprogbrug eller ved at tilpasse teksten til et bestemt produktbudskab. Den
tredje betingelse bør være, at AI-systemet er tilsigtet at påvise beslutningsmønstre eller afvigelser fra
19
tidligere beslutningsmønstre. Risikoen vil være lavere, fordi anvendelsen af AI-systemet følger efter en
tidligere afsluttet menneskelig vurdering, som det ikke er tiltænkt at skulle erstatte eller påvirke uden
en ordentlig menneskelig gennemgang. Sådanne AI-systemer omfatter f. eks. systemer, der ud fra en
lærers bestemte bedømmelsesmønster kan anvendes til efterfølgende at kontrollere, om læreren kan have
afveget fra bedømmelsesmønstret, således at potentielle uoverensstemmelser eller uregelmæssigheder
identificeres. Den fjerde betingelse bør være, at AI-systemet er tilsigtet kun at udføre en forberedende
opgave inden en vurdering, der er relevant med henblik på de AI-systemer, der er opført i et bilag
til denne forordning, hvilket gør den mulige virkning af systemets output meget lav med hensyn til at
udgøre en risiko for den efterfølgende vurdering. Denne betingelse omfatter bl.a. intelligente løsninger til
filhåndtering, som indeholder forskellige funktioner såsom indeksering, søgning, tekst- og talebehandling
eller sammenkobling af data til andre datakilder, eller AI-systemer, der anvendes til oversættelse af
oprindelige dokumenter. Under alle omstændigheder bør AI-systemer, som anvendes i tilfælde af højrisi-
koanvendelser, der er opført i et bilag til denne forordning, betragtes som at udgøre en betydelig risiko
for skade på fysiske personers sundhed, sikkerhed eller grundlæggende rettigheder, hvis AI-systemet
indebærer profilering som omhandlet i artikel 4, nr. 4), i forordning (EU) 2016/679, eller artikel 3, nr.
4), i direktiv (EU) 2016/680 eller artikel 3, nr. 5), i forordning (EU) 2018/1725. For at sikre sporbarhed
og gennemsigtighed bør en udbyder, der skønner, at et AI-system ikke udgør en høj risiko på grundlag
af de ovenfor omhandlede betingelser, udarbejde dokumentation for vurderingen, inden systemet bringes
i omsætning eller ibrugtages, og bør efter anmodning forelægge denne dokumentation for de nationale
kompetente myndigheder. En sådan udbyder bør være forpligtet til at registrere AI-systemet i den EU-da-
tabase, der oprettes i henhold til nærværende forordning. Med henblik på at give yderligere vejledning
om den praktiske gennemførelse af de betingelser, i henhold til hvilke de AI-systemer, der er opført i
et bilag til nærværende forordning, undtagelsesvis er ikkehøjrisiko, bør Kommissionen efter høring af
AI-udvalget udarbejde retningslinjer, der præciserer denne praktiske gennemførelse, suppleret med en
omfattende liste over praktiske eksempler på anvendelsestilfælde af AI-systemer, der er højrisiko, og
anvendelsestilfælde, der ikke er.
(54) Da biometriske data udgør en særlig kategori af personoplysninger, er det hensigtsmæssigt at
klassificere flere kritiske anvendelsestilfælde af biometriske systemer som højrisiko, for så vidt som deres
anvendelse er tilladt i henhold til relevant EU-ret og national ret. Tekniske unøjagtigheder i AI-systemer,
der er tilsigtet biometrisk fjernidentifikation af fysiske personer, kan føre til resultater behæftet med
bias og have forskelsbehandlende virkning. Risikoen for sådanne mulige resultater behæftet med bias
og forskelsbehandlende virkninger er særligt relevante med hensyn til alder, etnicitet, race, køn og
handicap. Systemer til biometrisk fjernidentifikation bør derfor klassificeres som højrisiko i betragtning
af de risici, systemerne udgør. En sådan klassificering udelukker AI-systemer, der tilsigtes anvendt til
biometrisk verifikation, herunder autentifikation, hvis eneste formål er at bekræfte, at en bestemt fysisk
person er den person, vedkommende hævder at være, og bekræfte en fysisk persons identitet udelukkende
med det formål at få adgang til en tjeneste, låse udstyr op eller have sikker adgang til lokaler. Desuden
bør AI-systemer, der tilsigtes anvendt til biometrisk kategorisering ifølge følsomme egenskaber eller
karakteristika, som er beskyttet i henhold til artikel 9, stk. 1, i forordning (EU) 2016/679, på grundlag
af biometriske data, for så vidt som disse ikke er forbudt i henhold til nærværende forordning, og
systemer til følelsesgenkendelse, der ikke er forbudt i henhold til nærværende forordning, klassificeres
som højrisiko. Biometriske systemer, der udelukkende er tilsigtet anvendt til at muliggøre cybersikker-
hedsforanstaltninger og foranstaltninger til beskyttelse af personoplysninger, bør ikke betragtes som
højrisiko-AI-systemer.
(55) For så vidt angår forvaltning og drift af kritisk infrastruktur bør AI-systemer, der tilsigtes anvendt
som sikkerhedskomponenter i forvaltningen og driften af kritisk digital infrastruktur som opført i bilaget,
20
punkt 8, til direktiv (EU) 2022/2557, vejtrafik og forsyning af vand, gas, varme og elektricitet, klassifice-
res som højrisiko, da svigt eller funktionsfejl i disse systemer kan bringe menneskers liv og sundhed i fare
i stor målestok og føre til betydelige forstyrrelser i de sociale og økonomiske aktiviteter. Sikkerhedskom-
ponenter i kritisk infrastruktur, herunder kritisk digital infrastruktur, er systemer, der anvendes til direkte
at beskytte den kritiske infrastrukturs fysiske integritet eller personers sundhed og sikkerhed og ejendom,
men som ikke er nødvendige for, at systemet kan fungere. Svigt eller funktionsfejl i sådanne komponenter
kan direkte medføre risici for den kritiske infrastrukturs fysiske integritet og dermed risici for personers
sundhed og sikkerhed og ejendom. Komponenter, der udelukkende tilsigtes anvendt til cybersikkerheds-
formål, bør ikke betragtes som sikkerhedskomponenter. Eksempler på sikkerhedskomponenter i en sådan
kritisk infrastruktur kan omfatte systemer til overvågning af vandtryk eller brandalarmkontrolsystemer i
cloudcomputingcentre.
(56) Det er vigtigt at idriftsætte AI-systemer inden for uddannelse for at fremme digital uddannelse og
træning af høj kvalitet og for at give alle lærende og lærere mulighed for at tilegne sig og dele de
nødvendige digitale færdigheder og kompetencer, herunder mediekendskab, og kritisk tænkning, til at
deltage aktivt i økonomien, samfundet og de demokratiske processer. AI-systemer, der anvendes inden for
uddannelse eller erhvervsuddannelse, navnlig til at bestemme adgang eller optagelse, til at fordele person-
er på uddannelsesinstitutioner eller uddannelser på alle niveauer, til at evaluere personers læringsudbytte,
til at bedømme en persons nødvendige uddannelsesniveau og væsentligt påvirke den uddannelse, som
den pågældende person vil modtage eller vil kunne få adgang til, eller til at overvåge og opdage forbudt
adfærd blandt studerende under prøver, bør dog klassificeres som højrisiko-AI-systemer, da de kan afgøre
en persons uddannelsesmæssige og arbejdsmæssige livsforløb og dermed kan påvirke denne persons
mulighed for at sikre sig et livsgrundlag. Hvis sådanne systemer udformes og anvendes forkert, kan de
være særligt indgribende og krænke retten til uddannelse samt retten til ikke at blive forskelsbehandlet
og gøre historiske forskelsbehandlingsmønstre permanente, f.eks. mod kvinder, bestemte aldersgrupper,
personer med handicap eller personer af bestemt racemæssig eller etnisk oprindelse eller med en bestemt
seksuel orientering.
(57) AI-systemer, der anvendes inden for beskæftigelse, forvaltning af arbejdskraft og adgang til selv-
stændig erhvervsvirksomhed, navnlig til rekruttering og udvælgelse af personer, til at træffe beslutninger,
der påvirker vilkårene for det arbejdsrelaterede forhold, forfremmelse og ophør af arbejdsmæssige kon-
traktforhold, til fordeling af opgaver på grundlag af individuel adfærd, personlighedstræk eller personlige
egenskaber og til overvågning og evaluering af personer i arbejdsmæssige kontraktforhold, bør også
klassificeres som højrisiko, da de kan have en betydelig indvirkning på disse personers fremtidige
karrieremuligheder, livsgrundlag og arbejdstagerrettigheder. De relevante arbejdsmæssige kontraktforhold
bør på en meningsfuld måde omfatte ansatte og personer, der leverer tjenesteydelser via platforme som
omhandlet i Kommissionens arbejdsprogram for 2021. Gennem hele rekrutteringsprocessen og i forbin-
delse med evaluering, forfremmelse eller fastholdelse af personer i arbejdsrelaterede kontraktforhold kan
sådanne systemer gøre historiske forskelsbehandlingsmønstre permanente, f.eks. mod kvinder, bestemte
aldersgrupper, personer med handicap eller personer af bestemt racemæssig eller etnisk oprindelse eller
med en bestemt seksuel orientering. AI-systemer, der anvendes til at overvåge disse personers præstatio-
ner og adfærd, kan også underminere deres grundlæggende ret til databeskyttelse og ret til privatlivets
fred.
(58) Et andet område, hvor anvendelsen af AI-systemer kræver særlig opmærksomhed, er adgangen til
og benyttelsen af visse væsentlige private og offentlige tjenester og de ydelser, der er nødvendige for,
at mennesker kan deltage fuldt ud i samfundet eller forbedre deres levestandard. Navnlig er fysiske
21
personer, der ansøger om eller modtager væsentlige offentlige bistandsydelser og -tjenester fra offentlige
myndigheder, dvs. sundhedstjenester, socialsikringsydelser, sociale tjenester, der yder beskyttelse i tilfæl-
de af barsel, sygdom, arbejdsulykker, afhængighed eller alderdom og tab af beskæftigelse samt social
bistand og boligstøtte, typisk afhængige af sådanne ydelser og tjenester og befinder sig i en sårbar
situation i forhold til de ansvarlige myndigheder. Hvis der anvendes AI-systemer til at afgøre, om der
skal gives afslag på sådanne ydelser og tjenester, eller om de skal tildeles, nedsættes, tilbagekaldes eller
kræves tilbagebetalt af myndighederne, herunder om modtagerne reelt er berettigede til disse ydelser eller
tjenester, kan disse systemer have en betydelig indvirkning på menneskers livsgrundlag og kan krænke
deres grundlæggende rettigheder såsom retten til social beskyttelse, ikkeforskelsbehandling, menneskelig
værdighed eller adgang til effektive retsmidler, og de bør derfor klassificeres som højrisiko. Ikke desto
mindre bør denne forordning ikke hindre udviklingen eller anvendelsen af innovative tilgange i den
offentlige forvaltning, som står til at kunne drage fordel af en bredere anvendelse af AI-systemer, der er
i overensstemmelse med reglerne og er sikre, forudsat at de ikke indebærer en høj risiko for juridiske
og fysiske personer. Desuden bør AI-systemer, der anvendes til at evaluere fysiske personers kreditvur-
dering eller kreditværdighed, klassificeres som højrisiko-AI-systemer, da de afgør menneskers adgang
til finansielle ressourcer eller væsentlige tjenester såsom bolig, elektricitet og telekommunikationstjene-
ster. AI-systemer, der anvendes til disse formål, kan føre til forskelsbehandling mellem personer eller
grupper og kan gøre historiske forskelsbehandlingsmønstre permanente, f.eks. på grundlag af racemæssig
eller etnisk oprindelse, køn, handicap, alder eller seksuel orientering, eller være med til at skabe nye
former for forskelsbehandlende virkning. AI-systemer, der er fastsat i EU-retten med henblik på at
afsløre svig i forbindelse med tilbud af finansielle tjenesteydelser og for i tilsynsøjemed at beregne
kreditinstitutters og forsikringsselskabers kapitalkrav, bør dog ikke betragtes som højrisiko i henhold til
denne forordning. Desuden kan AI-systemer, der tilsigtes anvendt til risikovurdering og prisfastsættelse
i forbindelse med fysiske personer for så vidt angår syge- og livsforsikring, også have en betydelig
indvirkning på menneskers livsgrundlag og kan, hvis de ikke udformes, udvikles og anvendes behørigt,
krænke deres grundlæggende rettigheder og have alvorlige konsekvenser for menneskers liv og sundhed,
herunder økonomisk udstødelse og forskelsbehandling. Endelig bør AI-systemer, der anvendes til at vur-
dere og klassificere fysiske personers nødopkald eller til at udsende beredskabstjenester i nødsituationer
eller til at tildele prioriteter i forbindelse hermed, herunder fra politi, brandmænd og lægehjælp, samt
patientsorteringssystemer for førstehjælp, også klassificeres som højrisiko, da de træffer beslutninger i
situationer, der er meget kritiske for menneskers liv og sundhed og for deres ejendom.
(59) I betragtning af deres rolle og ansvar, er retshåndhævende myndigheders tiltag, der omfatter visse
anvendelser af AI-systemer, kendetegnet ved en betydelig magtubalance og kan føre til overvågning,
anholdelse eller frihedsberøvelse af fysiske personer samt have andre negative indvirkninger på de grund-
læggende rettigheder, der er sikret i chartret. Navnlig kan AI-systemer udvælge personer på forskelsbe-
handlende eller anden ukorrekt eller uretfærdig måde, hvis de ikke er trænet med data af høj kvalitet,
ikke opfylder passende krav med hensyn til deres ydeevne, nøjagtighed og robusthed eller ikke er korrekt
udformet og afprøvet, før de bringes i omsætning eller på anden måde ibrugtages. Desuden kan udøvelsen
af vigtige processuelle grundlæggende rettigheder såsom retten til adgang til effektive retsmidler, retten
til en retfærdig rettergang og retten til et forsvar samt uskyldsformodningen hindres, navnlig hvis sådanne
AI-systemer ikke er tilstrækkeligt gennemsigtige, forklarlige og dokumenterede. Derfor bør en række
AI-systemer, der tilsigtes anvendt i retshåndhævelsesmæssig sammenhæng, hvor det er særlig vigtigt med
nøjagtighed, pålidelighed og gennemsigtighed for at undgå negative virkninger, bevare offentlighedens
tillid og sikre ansvarlighed og effektive retsmidler, klassificeres som højrisiko, for så vidt som deres
anvendelse er tilladt i henhold til relevant EU-ret og national ret. I betragtning af aktiviteternes karakter
og de risici, der er forbundet hermed, bør disse højrisiko-AI-systemer navnlig omfatte AI-systemer, der
er tilsigtet anvendt af eller på vegne af retshåndhævende myndigheder eller af EU-institutioner, -organer,
22
-kontorer eller -agenturer til støtte for retshåndhævende myndigheder til vurdering af risikoen for, at en
fysisk person bliver offer for strafbare handlinger, som polygrafer og lignende værktøjer, til vurdering
af pålideligheden af bevismateriale i forbindelse med efterforskning eller retsforfølgning af strafbare
handlinger og, for så vidt som det ikke er forbudt i henhold til denne forordning, til vurdering af risikoen
for, at en fysisk person begår eller på ny begår lovovertrædelser, der ikke udelukkende er baseret på
profilering af fysiske personer eller vurdering af fysiske personers eller gruppers personlighedstræk og
personlige egenskaber eller tidligere kriminelle adfærd, samt til profilering i forbindelse med afsløring,
efterforskning eller retsforfølgelse af strafbare handlinger. AI-systemer, der specifikt er tilsigtet anvendt
til skatte- og toldmyndigheders administrative procedurer og til finansielle efterretningstjenesters udførel-
se af administrative opgaver, der omfatter analyse af oplysninger i henhold til EU-retten om bekæmpelse
af hvidvask af penge, bør ikke klassificeres som højrisiko-AI-systemer, der anvendes af retshåndhævende
myndigheder med henblik på forebyggelse, afsløring, efterforskning og retsforfølgning af strafbare hand-
linger. Retshåndhævende og andre relevante myndigheders anvendelse af AI-værktøjer bør ikke blive en
faktor, der bidrager til ulighed eller eksklusion. Den indvirkning, som anvendelsen af AI-værktøjer har
på mistænktes ret til forsvar, bør ikke ignoreres, navnlig vanskelighederne ved at skaffe meningsfulde
oplysninger om, hvordan disse systemer fungerer, og de deraf følgende vanskeligheder ved at anfægte
resultaterne heraf i retten, navnlig for fysiske personer, der efterforskes.
(60) AI-systemer, der anvendes inden for migrationsstyring, asylforvaltning og grænsekontrol, berører
personer, der ofte befinder sig i en særlig sårbar situation, og som er afhængige af resultatet af de
kompetente offentlige myndigheders tiltag. Nøjagtigheden, den ikkeforskelsbehandlende karakter og
gennemsigtigheden af de AI-systemer, der anvendes i disse sammenhænge, har derfor særlig betydning
med hensyn til at sikre, at de berørte personers grundlæggende rettigheder respekteres, navnlig deres
ret til fri bevægelighed, ikkeforskelsbehandling, beskyttelse af privatlivets fred og personoplysninger,
international beskyttelse og god forvaltning. Derfor bør der, for så vidt som deres anvendelse er tilladt
i henhold til relevant EU-ret og national ret, foretages en højrisikoklassificering af AI-systemer, der er
tilsigtet anvendt af eller på vegne af de kompetente offentlige myndigheder eller af EU-institutioner,
-organer, -kontorer eller -agenturer, der er ansvarlige for opgaver inden for migrationsstyring, asylforvalt-
ning og grænsekontrol, som polygrafer og lignende værktøjer, til at vurdere visse risici, som fysiske
personer, der indrejser til en medlemsstats område eller ansøger om visum eller asyl, udgør, til at bistå
de kompetente offentlige myndigheder i behandlingen, herunder tilhørende vurdering af pålideligheden
af bevismateriale, af ansøgninger om asyl, visum og opholdstilladelse og hertil relaterede klager med
henblik på at fastslå, om de fysiske personer, der ansøger, er berettigede, med henblik på at opdage,
genkende eller identificere fysiske personer i forbindelse med migrationsstyring, asylforvaltning og
grænsekontrolforvaltning, bortset fra verificering af rejselegitimation. AI-systemer, der anvendes inden
for migrationsstyring, asylforvaltning og grænsekontrol, og som er omfattet af denne forordning, bør
overholde de relevante proceduremæssige krav i Europa-Parlamentets og Rådets forordning (EF) nr.
810/2009 (32), Europa-Parlamentets og Rådets direktiv 2013/32/EU (33) og anden relevant EU-ret. Anven-
delsen af AI-systemer inden for migrationsstyring, asylforvaltning og grænsekontrol bør under ingen
omstændigheder benyttes af medlemsstater eller EU-institutioner, -organer, -kontorer eller -agenturer
som en måde at omgå deres internationale forpligtelser i henhold til FN᾽s konvention om flygtninges
retsstilling indgået i Genève den 28. juli 1951, som ændret ved protokollen af 31. januar 1967, og de
bør heller ikke anvendes på en måde, der krænker princippet om non-refoulement eller nægter sikre og
effektive lovlige adgangsveje til Unionens område, herunder retten til international beskyttelse.
(61) Visse AI-systemer, der er tilsigtet anvendelse inden for retspleje og i demokratiske processer,
bør klassificeres som højrisiko i betragtning af deres potentielt betydelige indvirkning på demokratiet,
retsstatsprincippet, individets frihedsrettigheder samt retten til adgang til effektive retsmidler og retten
23
til en retfærdig rettergang. Navnlig for at imødegå risikoen for bias, fejl og uigennemsigtighed bør de
AI-systemer, der tilsigtes anvendt af judicielle myndigheder eller på deres vegne for at bistå judicielle
myndigheder med at fortolke fakta og lovgivningen og anvende lovgivningen på konkrete sagsforhold,
klassificeres som højrisiko. AI-systemer, der tilsigtes anvendt af alternative tvistbilæggelsesorganer til
disse formål, bør også betragtes som højrisiko, når resultaterne af den alternative tvistbilæggelsesproced-
ure har retsvirkninger for parterne. Anvendelsen af AI-værktøjer kan understøtte, men bør ikke erstatte
dommernes beslutningskompetence eller retsvæsenets uafhængighed, da den endelige beslutningstagning
fortsat skal være en menneskedrevet aktivitet. Klassificeringen af AI-systemer som højrisiko bør dog ikke
omfatte AI-systemer, der kun tilsigtes supplerende administrative aktiviteter, som ikke har indflydelse på
den egentlige retspleje i de enkelte sager, som f.eks. anonymisering eller pseudonymisering af retsafgørel-
ser, dokumenter eller data, kommunikation mellem personale eller administrative opgaver.
(62) Uden at det berører de regler, der er fastsat i Europa-Parlamentets og Rådets forordning (EU)
2024/900 (34), og for at imødegå risikoen for unødig ekstern indblanding i retten til at stemme, der er
nedfældet i chartrets artikel 39, og for negative indvirkninger på demokratiet og retsstatsprincippet bør
AI-systemer, der tilsigtes anvendt til at påvirke resultatet af et valg eller en folkeafstemning eller fysiske
personers stemmeadfærd i forbindelse med udøvelsen af deres stemme ved valg eller folkeafstemninger,
klassificeres som højrisiko-AI-systemer med undtagelse af AI-systemer, hvis output fysiske personer
ikke er direkte eksponeret for, såsom værktøjer, der anvendes til at organisere, optimere og strukturere
politiske kampagner ud fra et administrativt og logistisk synspunkt.
(63) Klassificeringen af et AI-system som et højrisiko-AI-system i henhold til denne forordning bør ikke
fortolkes således, at anvendelsen af systemet er lovlig i medfør af andre EU-retsakter eller i medfør af
national ret, der er forenelig med EU-retten, som f.eks. om beskyttelsen af personoplysninger, brug af
polygrafer og lignende værktøjer eller andre systemer til at påvise fysiske personers følelsesmæssige
tilstand. Enhver sådan anvendelse bør fortsat udelukkende ske i overensstemmelse med de gældende krav,
der følger af chartret og gældende afledt EU-ret og national ret. Denne forordning bør ikke forstås som et
retsgrundlag for behandling af personoplysninger, herunder særlige kategorier af personoplysninger, hvis
det er relevant, medmindre andet specifikt er fastsat i denne forordning.
(64) For at begrænse risiciene fra højrisiko-AI-systemer, der bringes i omsætning eller ibrugtages og
for at sikre en høj grad af troværdighed, bør der gælde visse obligatoriske krav for højrisiko-AI-syste-
mer, under hensyntagen til det tilsigtede formål og i forbindelse med anvendelsen af AI-systemet og i
overensstemmelse med det risikostyringssystem, som udbyderen skal indføre. De foranstaltninger, som
udbyderne vedtager for at overholde de obligatoriske krav i denne forordning, bør tage højde for det
generelt anerkendte aktuelle teknologiske niveau inden for AI og være forholdsmæssige og effektive
med hensyn til at nå denne forordnings mål. På grundlag af den nye lovgivningsmæssige ramme, som
præciseret i Kommissionens meddelelse om den blå vejledning om gennemførelsen af EU᾽s produktregler
2022, er den generelle regel, at mere end én EU-harmoniseringslovgivningsretsakt kan finde anvendelse
på ét produkt, da tilgængeliggørelsen eller ibrugtagningen kun kan finde sted, når produktet overholder al
gældende EU-harmoniseringslovgivning. Farerne ved de AI-systemer, der er omfattet af kravene i denne
forordning, vedrører andre aspekter end den gældende EU-harmoniseringslovgivning, og kravene i denne
forordning vil derfor supplere den gældende EU-harmoniseringslovgivning. Maskiner eller medicinsk
udstyr, der indeholder et AI-system, kan f.eks. udgøre risici, der ikke er omfattet af de væsentlige
sikkerheds- og sundhedskrav i den relevante EU-harmoniseringslovgivning, da denne sektorspecifikke ret
ikke omhandler risici, der er specifikke for AI-systemer. Dette kræver, at de forskellige retsakter anvendes
samtidigt og på supplerende vis. For at sikre konsekvens og undgå en unødvendig administrativ byrde
24
eller unødvendige omkostninger bør udbydere af et produkt, der indeholder et eller flere højrisiko-AI-sy-
stemer, som kravene i denne forordning samt kravene i EU-harmoniseringslovgivningen baseret på den
nye lovgivningsmæssige ramme og opført i et bilag til denne forordning finder anvendelse på, have
fleksibilitet med hensyn til at træffe operationelle beslutninger om, hvordan det sikres, at et produkt,
der indeholder et eller flere AI-systemer, overholder alle gældende krav i denne EU-harmoniseringslov-
givning på en optimal måde. Denne fleksibilitet kan f.eks. betyde, at udbyderen beslutter at integrere en
del af de nødvendige afprøvnings- og rapporteringsprocesser, oplysninger og dokumentation, der kræves i
henhold til denne forordning, i allerede eksisterende dokumentation og procedurer, som kræves i henhold
til den gældende EU-harmoniseringslovgivning, der er baseret på den nye lovgivningsmæssige ramme,
og som er opført i et bilag til denne forordning. Dette bør på ingen måde underminere udbyderens
forpligtelse til at overholde alle gældende krav.
(65) Risikostyringssystemet bør bestå af en kontinuerlig iterativ proces, der er planlagt og løber i hele
højrisiko-AI-systemets livscyklus. Denne proces bør sigte mod at identificere og afbøde de relevante
risici ved AI-systemer for sundheden, sikkerheden og de grundlæggende rettigheder. Risikostyringssyste-
met bør regelmæssigt revideres og ajourføres for at sikre dets fortsatte effektivitet samt begrundelse og
dokumentation for eventuelle væsentlige beslutninger og tiltag, der træffes eller foretages i henhold til
denne forordning. Denne proces bør sikre, at udbyderen identificerer risici eller negative indvirkninger
og gennemfører afbødende foranstaltninger for kendte og rimeligt forudsigelige risici ved AI-systemer
for sundheden, sikkerheden og de grundlæggende rettigheder i lyset af deres tilsigtede formål og fejlan-
vendelse, der med rimelighed kan forudses, herunder de mulige risici som følge af interaktionen mellem
AI-systemet og det miljø, som systemet fungerer i. Risikostyringssystemet bør indføre de mest hensigts-
mæssige risikostyringsforanstaltninger i lyset af det aktuelle teknologiske niveau inden for AI. Udbyderen
bør ved identifikation af de mest hensigtsmæssige risikostyringsforanstaltninger dokumentere og forklare
de valg, der er truffet, og, hvis det er relevant, inddrage eksperter og eksterne interessenter. I forbindelse
med identifikation af fejlanvendelse, der med rimelighed kan forudses, af højrisiko-AI-systemer bør
udbyderen medtage anvendelser af AI-systemer, som, selv om de ikke er direkte omfattet af det tilsigtede
formål og fastsat i brugsanvisningen, ikke desto mindre med rimelighed kan forventes at skyldes let
forudsigelig menneskelig adfærd i forbindelse med et bestemt AI-systems specifikke karakteristika og an-
vendelse. Alle kendte eller forudsigelige omstændigheder, som i forbindelse med anvendelse af højrisiko-
AI-systemet i overensstemmelse med dets tilsigtede formål eller ved fejlanvendelse, der med rimelighed
kan forudses, kan medføre risici for menneskers sundhed og sikkerhed eller grundlæggende rettigheder,
bør medtages i den brugsanvisning, som leveres af udbyderen. Dette skal sikre, at idriftsætteren er
bekendt med og tager hensyn hertil, når vedkommende anvender højrisiko-AI-systemet. Identifikation
og gennemførelse af risikobegrænsende foranstaltninger for forudsigelig fejlanvendelse i henhold til
denne forordning bør ikke kræve specifikke yderligere træning for højrisiko-AI-systemet fra udbyderens
side for at afhjælpe forudsigelig fejlanvendelse. Udbyderne opfordres imidlertid til at overveje sådanne
yderligere træningsforanstaltninger for at afbøde fejlanvendelser, der med rimelighed kan forudses, når
det er nødvendigt og hensigtsmæssigt.
(66) Der bør gælde krav for højrisiko-AI-systemer med hensyn til risikostyring, kvaliteten og relevansen
af anvendte datasæt, teknisk dokumentation og registrering, gennemsigtighed og formidling af oplysnin-
ger til idriftsætterne, menneskeligt tilsyn og robusthed, nøjagtighed og cybersikkerhed. Disse krav er
nødvendige for effektivt at mindske risiciene for sundhed, sikkerhed og grundlæggende rettigheder. Da
ingen foranstaltninger, der er mindre begrænsende for handelen, er tilgængelige på rimelig vis, er disse
krav ikke uberettigede handelsrestriktioner.
25
(67) Data af høj kvalitet og adgang til data af høj kvalitet spiller en afgørende rolle med hensyn
til at skabe struktur og sikre mange AI-systemers ydeevne, navnlig når der anvendes teknikker, der
omfatter træning af modeller, så det sikres, at højrisiko-AI-systemet yder som tilsigtet og på sikker vis
og ikke bliver en kilde til forskelsbehandling, som er forbudt i henhold til EU-retten. Datasæt af høj
kvalitet til træning, validering og afprøvning kræver, at der indføres passende former for datastyrings-
og dataforvaltningspraksis. Datasæt til træning, validering og afprøvning, herunder mærkninger, bør være
relevante, tilstrækkeligt repræsentative og i videst muligt omfang fejlfrie og fuldstændige i lyset af
AI-systemets tilsigtede formål. For at lette overholdelsen af EU-databeskyttelsesretten såsom forordning
(EU) 2016/679 bør datastyrings- og -forvaltningspraksis i tilfælde af personoplysninger omfatte gennem-
sigtighed med hensyn til det oprindelige formål med dataindsamlingen. Datasættene bør også have de
tilstrækkelige statistiske egenskaber, herunder med hensyn til de personer eller grupper af personer, som
højrisiko-AI-systemet er tilsigtet at blive anvendt på, med særlig vægt på afbødning af mulige bias i data-
sættene, som sandsynligvis vil påvirke menneskers sundhed og sikkerhed, have en negativ indvirkning
på grundlæggende rettigheder eller føre til forskelsbehandling, der er forbudt i henhold til EU-retten,
navnlig hvis dataoutput påvirker input til fremtidige operationer (»feedbacksløjfer«). Bias kan f.eks. være
en iboende del af de underliggende datasæt, navnlig når der anvendes historiske data, eller kan genereres,
når systemerne implementeres under virkelige forhold. De resultater, der leveres af AI-systemer, kan
påvirkes af sådanne iboende bias, som er tilbøjelige til gradvist at øges og derved videreføre og forstærke
eksisterende forskelsbehandling, navnlig for personer, der tilhører bestemte sårbare grupper, herunder
racemæssige eller etniske grupper. Kravet om, at datasættene så vidt muligt skal være fuldstændige og
fejlfrie, bør ikke påvirke anvendelsen af teknikker til beskyttelse af privatlivets fred i forbindelse med
udvikling og afprøvning af AI-systemer. Navnlig bør datasæt, i det omfang det er nødvendigt af hensyn
til deres tilsigtede formål, tage hensyn til de karakteristiske træk, egenskaber eller elementer, der er
særlige for den specifikke geografiske, kontekstuelle, adfærdsmæssige eller funktionelle ramme, inden
for hvilken AI-systemet tiltænkes anvendt. Kravene vedrørende datastyring kan overholdes ved at gøre
brug af tredjeparter, der tilbyder certificerede overholdelsestjenester, herunder verifikation af datastyring
og datasætintegritet samt datatrænings-, validerings- og afprøvningspraksis, for så vidt som det sikres, at
datakravene i denne forordning overholdes.
(68) Med henblik på udvikling og vurdering af højrisiko-AI-systemer bør visse aktører, som for eksempel
udbydere, bemyndigede organer og andre relevante enheder såsom europæiske digitale innovationsknude-
punkter, afprøvnings- og forsøgsfaciliteter og forskere, have adgang til og kunne anvende datasæt af høj
kvalitet inden for aktivitetsområderne for de aktører, som er relateret til denne forordning. Fælles europæ-
iske dataområder, som Kommissionen har oprettet, og lette af datadeling mellem virksomheder og med
myndigheder i samfundets interesse vil være afgørende for at sikre pålidelig, ansvarlig og ikkeforskels-
behandlende adgang til data af høj kvalitet til træning, validering og afprøvning af AI-systemer. På sund-
hedsområdet vil det europæiske sundhedsdataområde for eksempel lette ikkeforskelsbehandlende adgang
til sundhedsdata og træning af AI-algoritmer på disse datasæt på en måde, der beskytter privatlivets fred,
er sikker, rettidig, gennemsigtig og troværdig og underlagt en passende institutionel styring. Relevante
kompetente myndigheder, herunder sektorspecifikke myndigheder, der giver eller understøtter adgang til
data, kan også understøtte tilvejebringelsen af data af høj kvalitet til træning, validering og afprøvning af
AI-systemer.
(69) Retten til privatlivets fred og til beskyttelse af personoplysninger skal sikres i hele AI-systemets
livscyklus. I den forbindelse finder principperne om dataminimering og databeskyttelse gennem design
og databeskyttelse gennem standardindstillinger som fastsat i EU-databeskyttelsesretten anvendelse, når
personoplysninger behandles. Foranstaltninger, der træffes af udbydere for at sikre overholdelse af disse
principper, kan ikke blot omfatte anonymisering og kryptering, men også anvendelse af teknologi, der
26
gør det muligt at overføre algoritmer til data og opnå oplæring af AI-systemer uden overførsel mellem
parterne eller kopiering af de rå eller strukturerede data, uden at dette berører kravene til datastyring i
denne forordning.
(70) For at beskytte andres ret mod den forskelsbehandling, der kan opstå som følge af bias i AI-systemer,
bør udbyderne undtagelsesvis, i det omfang det er strengt nødvendigt for at sikre påvisning og korrektion
af bias i forbindelse med højrisiko-AI-systemer, med forbehold af passende sikkerhedsforanstaltninger for
fysiske personers grundlæggende rettigheder og friheder og efter anvendelse af alle gældende betingelser,
der er fastsat i denne forordning, ud over betingelserne i forordning (EU) 2016/679 og (EU) 2018/1725
samt direktiv (EU) 2016/680, også kunne behandle særlige kategorier af personoplysninger som et
spørgsmål af væsentlig samfundsinteresse som omhandlet i artikel 9, stk. 2, litra g), i forordning (EU)
2016/679 og artikel 10, stk. 2, litra g), i forordning (EU) 2018/1725.
(71) Det er afgørende, at der foreligger forståelige oplysninger om, hvordan højrisiko-AI-systemer er
blevet udviklet, og hvordan de yder i hele deres levetid for at gøre det muligt at spore disse systemer,
kontrollere overholdelsen af kravene i denne forordning samt sikre overvågning af deres operationer og
overvågning efter omsætningen. Det kræver, at der føres fortegnelser og stilles en teknisk dokumentation
til rådighed, som indeholder de oplysninger, der er nødvendige for at vurdere AI-systemets overholdel-
se af de relevante krav og letter overvågning efter omsætningen. Sådanne oplysninger bør omfatte
systemets generelle egenskaber, kapacitet og begrænsninger, algoritmer, data, trænings-, afprøvnings- og
valideringsprocesser samt dokumentation for det relevante risikostyringssystem og være udarbejdet på en
klar og forståelig måde. Den tekniske dokumentation skal holdes tilstrækkeligt ajour i hele AI-systemets
levetid. Højrisiko-AI-systemer bør teknisk muliggøre automatisk registrering af hændelser ved hjælp af
logfiler under systemets levetid.
(72) For at imødegå bekymringer vedrørende visse AI-systemers uigennemsigtighed og kompleksitet og
hjælpe idriftsættere med at opfylde deres forpligtelser i henhold til denne forordning bør der kræves
gennemsigtighed for højrisiko-AI-systemer, inden de bringes i omsætning eller ibrugtages. Højrisiko-AI-
systemer bør udformes på en måde, der gør det muligt for idriftsættere at forstå, hvordan AI-systemet
fungerer, evaluere dets funktionalitet og forstå dets styrker og begrænsninger. Højrisiko-AI-systemer
bør ledsages af passende oplysninger i form af brugsanvisninger. Sådanne oplysninger bør omfatte AI-sy-
stemets egenskaber, kapacitet og begrænsninger for dets ydeevne. Disse kan omfatte oplysninger om
mulige kendte og forudsigelige omstændigheder i forbindelse med anvendelse af højrisiko-AI-systemet,
herunder udbredelsestiltag, der kan påvirke systemets adfærd og ydeevne, under hvilke AI-systemet kan
medføre risici for sundhed, sikkerhed og grundlæggende rettigheder, om de ændringer, som udbyderen på
forhånd har fastlagt og vurderet med henblik på overensstemmelse, og om de relevante foranstaltninger
til menneskeligt tilsyn, herunder foranstaltninger til at lette idriftsætteres fortolkning af AI-systemets out-
put. Gennemsigtighed, herunder den ledsagende brugsanvisning, bør hjælpe idriftsættere med at anvende
systemet og støtte deres informerede beslutningstagning. Idriftsættere bør bl.a. være bedre i stand til
at træffe det korrekte valg af det system, de har til hensigt at anvende, i lyset af de forpligtelser, der
gælder for dem, være informeret om de tilsigtede og udelukkede anvendelser og anvende AI-systemet
korrekt og som det er hensigtsmæssigt. For at gøre oplysningerne i brugsanvisningen mere læsbare og
tilgængelige, bør der, hvis det er relevant, medtages illustrative eksempler, f.eks. om begrænsninger og
om AI-systemets tilsigtede og udelukkede anvendelser. Udbyderne bør sikre, at al dokumentation, herun-
der brugsanvisningen, indeholder meningsfulde, omfattende, tilgængelige og forståelige oplysninger, der
tager hensyn til behov for målgruppen af idriftsættere og deres forventede viden. Brugsanvisningen bør
27
stilles til rådighed på et for målgruppen af idriftsættere letforståeligt sprog, som fastsat af den pågældende
medlemsstat.
(73) Højrisiko-AI-systemer bør udformes og udvikles på en sådan måde, at fysiske personer kan overvåge
deres funktion og sikre, at de anvendes som tilsigtet, og at deres virkninger håndteres i hele systemets
livscyklus. Med henblik herpå bør udbyderen af systemet fastlægge passende foranstaltninger til menne-
skeligt tilsyn, inden systemet bringes i omsætning eller ibrugtages. Hvis det er relevant, bør sådanne
foranstaltninger navnlig sikre, at systemet er underlagt indbyggede driftsmæssige begrænsninger, som
ikke kan tilsidesættes af systemet selv, og reagerer på den menneskelige operatør, og at de fysiske
personer, som har fået til opgave at varetage det menneskelige tilsyn, har den nødvendige kompetence,
uddannelse og myndighed til at varetage rollen. Det er også afgørende i relevant omfang at sikre, at højri-
siko-AI-systemer indeholder mekanismer, der kan vejlede og informere en fysisk person, som har fået til
opgave at varetage det menneskelige tilsyn, til at træffe informerede beslutninger om, hvorvidt, hvornår
og hvordan der skal gribes ind for at undgå negative konsekvenser eller risici, eller standse systemet,
hvis det ikke fungerer som tilsigtet. I betragtning af de betydelige konsekvenser for personer i tilfælde
af et ukorrekt match fra visse systemer til biometrisk identifikation er det hensigtsmæssigt at fastsætte
et skærpet krav om menneskeligt tilsyn for disse systemer, således at idriftsætteren ikke foretager tiltag
eller træffer beslutninger på grundlag af den identifikation, der er frembragt af systemet, medmindre den
er blevet verificeret og bekræftet separat af mindst to fysiske personer. Disse personer kan være fra en
eller flere enheder og omfatte den person, der driver eller anvender systemet. Dette krav bør ikke medføre
unødvendige byrder eller forsinkelser, og det kan være tilstrækkeligt, at de forskellige personers særskilte
verifikationer automatisk registreres i de logfiler, der genereres af systemet. I betragtning af de særlige
forhold, der gør sig gældende inden for retshåndhævelse, migration, grænsekontrol og asyl, bør dette
krav ikke finde anvendelse, når EU-retten eller national ret anser anvendelsen af dette krav for at være
uforholdsmæssig.
(74) Højrisiko-AI-systemer bør yde konsistent i hele deres livscyklus og have et passende niveau af
nøjagtighed, robusthed og cybersikkerhed i lyset af deres tilsigtede formål og i overensstemmelse med
det generelt anerkendte aktuelle teknologiske niveau. Kommissionen og relevante organisationer og
interessenter opfordres til at tage behørigt hensyn til afbødningen af risici og de negative indvirkninger
ved AI-systemet. Det forventede niveau for ydeevneparametre bør angives i den ledsagende brugsanvis-
ning. Udbyderne opfordres indtrængende til at videregive disse oplysninger til idriftsætterne på en klar
og letforståelig måde uden misforståelser eller vildledende udsagn. EU-ret om retslig metrologi, herunder
Europa-Parlamentets og Rådets direktiv 2014/31/EU (35) og 2014/32/EU (36), har til formål at sikre
målingernes nøjagtighed og bidrage til gennemsigtighed og retfærdighed i handelstransaktioner. I denne
forbindelse bør Kommissionen, alt efter hvad der er relevant og i samarbejde med relevante interessenter
og organisationer såsom metrologi- og benchmarkingmyndigheder, tilskynde til udvikling af benchmarks
og målemetoder for AI-systemer. Kommissionen bør herved notere sig og samarbejde med internationale
partnere, der arbejder med metrologi og relevante måleindikatorer vedrørende AI.
(75) Teknisk robusthed er et centralt krav for højrisiko-AI-systemer. De bør være modstandsdygtige
i forbindelse med skadelig eller på anden vis uønsket adfærd, der kan skyldes begrænsninger i syste-
merne eller det miljø, som systemerne fungerer i (f.eks. fejl, svigt, uoverensstemmelser og uventede
situationer). Der bør derfor træffes tekniske og organisatoriske foranstaltninger for at sikre højrisiko-AI-
systemers robusthed, f.eks. ved at udforme og udvikle passende tekniske løsninger for at forebygge
eller minimere denne skadelige eller på anden måde uønskede adfærd. Disse tekniske løsninger kan
f.eks. omfatte mekanismer, der gør det muligt for systemet på sikker vis at afbryde dets drift (»fail-safe
28
plans«), hvis der opstår visse uregelmæssigheder, eller hvis driften ligger uden for visse forudbestemte
grænser. Manglende beskyttelse mod disse risici kan have sikkerhedsmæssige konsekvenser eller en
negativ indvirkning på de grundlæggende rettigheder, f.eks. som følge af fejlagtige beslutninger eller
forkerte output eller output behæftet med bias genereret af AI-systemet.
(76) Cybersikkerhed spiller en afgørende rolle med hensyn til at sikre, at AI-systemer er modstandsdygti-
ge over for ondsindede tredjeparters forsøg på at ændre deres anvendelse, adfærd eller ydeevne eller brin-
ge deres sikkerhedsegenskaber i fare ved at udnytte systemets sårbarheder. Cyberangreb mod AI-systemer
kan udnytte AI-specifikke aktiver såsom træningsdatasæt (f.eks. dataforgiftning) eller trænede modeller
(f.eks. ondsindede angreb eller »membership inference«) eller udnytte sårbarheder i AI-systemets digitale
aktiver eller den underliggende IKT-infrastruktur. For at sikre et cybersikkerhedsniveau, der er passende i
forhold til risiciene, bør udbydere af højrisiko-AI-systemer træffe passende foranstaltninger såsom sikker-
hedskontroller, idet der også i relevant omfang tages hensyn til den underliggende IKT-infrastruktur.
(77) Uden at det berører de krav til robusthed og nøjagtighed, der er fastsat i denne forordning,
kan højrisiko-AI-systemer, der er omfattet af anvendelsesområdet for en forordning vedtaget af Euro-
pa-Parlamentet og Rådet om horisontale cybersikkerhedskrav til produkter med digitale elementer, i
overensstemmelse med nævnte forordning påvise overholdelse af cybersikkerhedskravene i nærværende
forordning ved at opfylde de væsentlige cybersikkerhedskrav, der er fastsat i nævnte forordning. Når
højrisiko-AI-systemer opfylder de væsentlige krav i en forordning vedtaget af Europa-Parlamentet og
Rådet om horisontale cybersikkerhedskrav til produkter med digitale elementer, bør de anses for at
overholde cybersikkerhedskravene i nærværende forordning, for så vidt opfyldelsen af disse krav påvises
ved EU-overensstemmelseserklæringen eller dele heraf udstedt i henhold til nævnte forordning. Med
henblik herpå bør vurderingen af de cybersikkerhedsrisici, der er forbundet med et produkt med digitale
elementer klassificeret som et højrisiko-AI-system i henhold til nærværende forordning, og som foretages
i henhold til en forordning vedtaget af Europa-Parlamentet og Rådet om horisontale cybersikkerhedskrav
til produkter med digitale elementer tage hensyn til risici for et AI-systems cyberrobusthed for så vidt
angår uautoriserede tredjeparters forsøg på at ændre dets anvendelse, adfærd eller ydeevne, herunder
AI-specifikke sårbarheder såsom dataforgiftning eller ondsindede angreb, samt, hvis det er relevant, risici
for grundlæggende rettigheder som krævet i nærværende forordning.
(78) Overensstemmelsesvurderingsproceduren i denne forordning bør finde anvendelse i forbindelse med
de væsentlige cybersikkerhedskrav til et produkt med digitale elementer, der er omfattet af en forordning
vedtaget af Europa-Parlamentet og Rådet om horisontale cybersikkerhedskrav til produkter med digitale
elementer og klassificeret som et højrisiko-AI-system i henhold til nærværende forordning. Denne regel
bør dog ikke resultere i en reduktion af det nødvendige sikkerhedsniveau for kritiske produkter med digi-
tale elementer, der er omfattet af en forordning vedtaget af Europa-Parlamentet og Rådet om horisontale
cybersikkerhedskrav til produkter med digitale elementer. Uanset denne regel bør højrisiko-AI-systemer,
der er omfattet af anvendelsesområdet for nærværende forordning og også betragtes som vigtige og
kritiske produkter med digitale elementer i henhold til en forordning vedtaget af Europa-Parlamentet
og Rådet om horisontale cybersikkerhedskrav til produkter med digitale elementer, og som proceduren
for overensstemmelsesvurdering baseret på intern kontrol fastsat i et bilag til nærværende forordning
finder anvendelse på, derfor være omfattet af bestemmelserne om overensstemmelsesvurdering i en
forordning vedtaget af Europa-Parlamentet og Rådet om horisontale cybersikkerhedskrav til produkter
med digitale elementer for så vidt angår de væsentlige cybersikkerhedskrav i nævnte forordning. I så
fald bør de respektive bestemmelser om overensstemmelsesvurdering baseret på intern kontrol, der er
fastsat i et bilag til nærværende forordning, finde anvendelse på alle de øvrige aspekter, der er omfattet
29
af nærværende forordning. På grundlag af ENISA᾽s viden og ekspertise om cybersikkerhedspolitik og
de opgaver, som ENISA har fået tildelt i henhold til Europa-Parlamentets og Rådets forordning (EU)
2019/881 (37), bør Kommissionen samarbejde med ENISA om spørgsmål vedrørende cybersikkerhed i
forbindelse med AI-systemer.
(79) Det er passende, at en bestemt fysisk eller juridisk person, defineret som udbyderen, påtager sig
ansvar for omsætningen eller ibrugtagningen af et højrisiko-AI-system, uanset om denne fysiske eller
juridiske person er den person, der har udformet eller udviklet systemet.
(80) Unionen og alle medlemsstaterne er som underskrivere af De Forenede Nationers konvention om
rettigheder for personer med handicap juridisk forpligtede til at beskytte personer med handicap mod
forskelsbehandling og fremme deres ligestilling med henblik på at sikre, at personer med handicap har
adgang på lige fod med andre til informations- og kommunikationsteknologier og -systemer, og med
henblik på at sikre respekten for personer med handicaps privatliv. På grund af den voksende betydning
og brug af AI-systemer bør anvendelsen af universelle designprincipper på alle nye teknologier og
tjenesteydelser sikre en fuldstændig og ligelig adgang for alle, der potentielt berøres af eller benytter
AI-teknologier, herunder personer med handicap, på en måde, der fuldt ud tager hensyn til deres iboende
værdighed og mangfoldighed. Det er derfor afgørende, at udbyderne sikrer fuld overholdelse af tilgænge-
lighedskravene, herunder Europa-Parlamentets og Rådets direktiv (EU) 2016/2102 (38) og direktiv (EU)
2019/882. Udbyderne bør sikre overholdelsen af disse krav gennem design. Derfor bør de nødvendige
foranstaltninger så vidt muligt integreres i udformningen af højrisiko-AI-systemet.
(81) Udbyderen bør etablere et solidt kvalitetsstyringssystem, sikre gennemførelsen af den påkrævede
overensstemmelsesvurderingsprocedure, udarbejde den relevante dokumentation og etablere et robust
system til overvågning efter omsætningen. Udbydere af højrisiko-AI-systemer, der er underlagt forpligtel-
ser vedrørende kvalitetsstyringssystemer i henhold til relevant sektorspecifik EU-ret, bør have mulighed
for at medtage elementerne i det kvalitetsstyringssystem, der er fastsat i denne forordning, som en del
af det eksisterende kvalitetsstyringssystem, der er fastsat i denne anden sektorspecifikke EU-ret. Kom-
plementariteten mellem denne forordning og eksisterende sektorspecifik EU-ret bør også tages i betragt-
ning i fremtidige standardiseringsaktiviteter eller retningslinjer vedtaget af Kommissionen. Offentlige
myndigheder, der ibrugtager højrisiko-AI-systemer til egen brug, kan vedtage og gennemføre reglerne
for kvalitetsstyringssystemet som en del af det kvalitetsstyringssystem, der er vedtaget på nationalt eller
regionalt plan, alt efter hvad der er relevant, under hensyntagen til de særlige forhold i sektoren og den
pågældende offentlige myndigheds kompetencer og organisation.
(82) For at muliggøre håndhævelsen af denne forordning og skabe lige vilkår for operatørerne og under
hensyntagen til de forskellige former for tilgængeliggørelse af digitale produkter er det vigtigt at sikre,
at en person, der er etableret i Unionen, under alle omstændigheder kan give myndighederne alle de
nødvendige oplysninger om et AI-systems overensstemmelse med reglerne. Udbydere, der er etableret
i tredjelande, bør, inden deres AI-systemer gøres tilgængelige i Unionen, derfor ved skriftligt mandat
udpege en bemyndiget repræsentant, der er etableret i Unionen. Denne bemyndigede repræsentant spiller
en central rolle med hensyn til at sikre, at højrisiko-AI-systemer, der bringes i omsætning eller ibrugtages
i Unionen af disse udbydere, der ikke er etableret i Unionen, overholder kravene, og som deres kontakt-
person i Unionen.
(83) I lyset af arten og kompleksiteten af værdikæden for AI-systemer og i overensstemmelse med den
nye lovgivningsmæssige ramme er det vigtigt at sikre retssikkerheden og lette overholdelsen af denne
30
forordning. Det er derfor nødvendigt at præcisere den rolle og de specifikke forpligtelser, der påhviler
relevante operatører i denne værdikæde såsom importører og distributører, der kan bidrage til udviklingen
af AI-systemer. I visse situationer kan disse operatører optræde i mere end én rolle på samme tid og
bør derfor kumulativt opfylde alle relevante forpligtelser, der er forbundet med disse roller. F.eks. kan en
operatør fungere som distributør og importør på samme tid.
(84) For at sikre retssikkerheden er det nødvendigt at præcisere, at enhver distributør, importør, idrift-
sætter eller anden tredjepart under visse særlige omstændigheder bør betragtes som udbyder af et
højrisiko-AI-system og derfor påtage sig alle de relevante forpligtelser. Dette vil være tilfældet, hvis
den pågældende part anbringer sit navn eller varemærke på et højrisiko-AI-system, der allerede er bragt
i omsætning eller ibrugtaget, uden at det berører kontraktlige ordninger om, at forpligtelserne er fordelt
anderledes. Dette vil også være tilfældet, hvis den pågældende part foretager en væsentlig ændring
af et højrisiko-AI-system, der allerede er bragt i omsætning eller allerede er ibrugtaget på en sådan
måde, at det forbliver et højrisiko-AI-system i overensstemmelse med denne forordning, eller hvis denne
ændrer det tilsigtede formål med et AI-system, herunder et AI-system til almen brug, der ikke er blevet
klassificeret som højrisiko, og som allerede er bragt i omsætning eller ibrugtaget, på en sådan måde, at
AI-systemet bliver et højrisiko-AI-system i overensstemmelse med denne forordning. Disse bestemmelser
bør finde anvendelse, uden at det berører mere specifikke bestemmelser, der er fastsat i særlig EU-har-
moniseringslovgivning baseret på den nye lovgivningsmæssige ramme, som denne forordning bør finde
anvendelse sammen med. F.eks. bør artikel 16, stk. 2, i forordning (EU) 2017/745, der fastsætter, at visse
ændringer ikke bør betragtes som ændringer af udstyr, der kan påvirke dets overholdelse af gældende
krav, fortsat finde anvendelse på højrisiko-AI-systemer, der er medicinsk udstyr som omhandlet i nævnte
forordning.
(85) AI-systemer til almen brug kan anvendes som højrisiko-AI-systemer i sig selv eller som komponen-
ter i andre højrisiko-AI-systemer. Derfor bør udbydere af sådanne systemer på grund af deres særlige
karakter og for at sikre en rimelig ansvarsfordeling i hele AI-værdikæden, uanset om de kan anvendes
som højrisiko-AI-systemer som sådan af andre udbydere eller som komponenter i højrisiko-AI-systemer,
og medmindre andet er fastsat i denne forordning, arbejde tæt sammen med udbyderne af de relevante
højrisiko-AI-systemer, så de kan overholde de relevante forpligtelser i henhold til denne forordning og
med de kompetente myndigheder, der er fastsat i henhold til denne forordning.
(86) Hvis den udbyder, der oprindeligt bragte AI-systemet i omsætning eller ibrugtog det, på de betingel-
ser, der er fastsat i denne forordning, ikke længere bør anses for at være udbyder i denne forordnings
forstand, og når denne udbyder ikke udtrykkeligt har udelukket ændringen af AI-systemet til et højrisiko-
AI-system, bør den tidligere udbyder ikke desto mindre arbejde tæt sammen og stille de nødvendige
oplysninger til rådighed og give den tekniske adgang og anden bistand, som med rimelighed kan forven-
tes, og som kræves for at opfylde forpligtelserne i denne forordning, navnlig hvad angår overholdelse af
overensstemmelsesvurderingen af højrisiko-AI-systemer.
(87) Hvis et højrisiko-AI-system, som er en sikkerhedskomponent i et produkt, der er omfattet af anven-
delsesområdet for EU-harmoniseringslovgivning baseret på den nye lovgivningsmæssige ramme, desuden
ikke bringes i omsætning eller ibrugtages uafhængigt af produktet, bør producenten af produktet defineret
i den pågældende lovgivning overholde de forpligtelser, der påhviler udbyderen i henhold til denne
forordning, og bør navnlig sikre, at det AI-system, der er indlejret i slutproduktet, overholder kravene i
denne forordning.
31
(88) I AI-værdikæden leverer flere parter ofte AI-systemer, værktøjer og tjenester, men også komponenter
eller processer, som udbyderen indarbejder i AI-systemet til forskellige formål, herunder modeltræning,
fornyet modeltræning, modelafprøvning og -evaluering, integration i software eller andre aspekter af
modeludvikling. Disse parter spiller en vigtig rolle i værdikæden over for udbyderen af det højrisiko-AI-
system, som deres AI-systemer, værktøjer, tjenester, komponenter eller processer er integreret i, og bør
ved skriftlig aftale give denne udbyder den nødvendige information, kapacitet, tekniske adgang og anden
bistand på grundlag af det generelt anerkendte aktuelle teknologiske niveau, således at udbyderen er i
stand til fuldt ud at overholde forpligtelserne i denne forordning uden at bringe deres egne intellektuelle
ejendomsrettigheder eller forretningshemmeligheder i fare.
(89) Tredjeparter, der gør andre værktøjer, tjenester, processer eller AI-komponenter tilgængelige for
offentligheden end AI-modeller til almen brug, bør ikke være forpligtet til at overholde krav rettet
mod ansvar i hele AI-værdikæden, navnlig mod den udbyder, der har anvendt eller integreret dem,
når disse værktøjer, tjenester, processer eller AI-komponenter gøres tilgængelige i henhold til en gratis
open source-licens. Udviklere af andre gratis open source-værktøjer, -tjenester, -processer eller -AI-kom-
ponenter end AI-modeller til almen brug bør dog tilskyndes til at gennemføre bredt indførte former for
dokumentationspraksis såsom modelkort og datablade som en måde at fremskynde informationsdeling i
hele AI-værdikæden på og derved fremme troværdige AI-systemer i Unionen.
(90) Kommissionen kan udvikle og anbefale frivillige standardaftalevilkår mellem udbydere af højrisiko-
AI-systemer og tredjeparter, der leverer værktøjer, tjenester, komponenter eller processer, som anvendes
eller integreres i højrisiko-AI-systemer, for at lette samarbejdet i hele værdikæden. Når Kommissionen
udarbejder frivillige standardaftalevilkår, tager den også hensyn til eventuelle kontraktlige krav, der
gælder i specifikke sektorer eller forretningsscenarier.
(91) I betragtning af AI-systemers karakter og de risici for sikkerheden og de grundlæggende rettigheder,
der kan være forbundet med deres anvendelse, herunder behovet for at sikre korrekt overvågning af
et AI-systems ydeevne i virkelige rammer, bør der fastsættes specifikke ansvarsområder for idriftsætte-
re. Idriftsættere bør navnlig træffe passende tekniske og organisatoriske foranstaltninger for at sikre, at
de anvender højrisiko-AI-systemer i overensstemmelse med brugsanvisningen, og der bør fastsættes visse
andre forpligtelser med hensyn til overvågning af AI-systemernes funktion og med hensyn til registrering,
alt efter hvad der er relevant. Idriftsættere bør desuden sikre, at de personer, som har fået til opgave
at gennemføre brugsanvisningen og det menneskelige tilsyn som fastsat i denne forordning, har den
nødvendige kompetence, navnlig et passende niveau af AI-færdigheder, -træning og -myndighed til at
udføre disse opgaver korrekt. Disse forpligtelser bør ikke berøre andre af idriftsætterens forpligtelser i
forbindelse med højrisiko-AI-systemer i henhold til EU-retten eller national ret.
(92) Denne forordning berører ikke arbejdsgivernes forpligtelser til at informere eller høre arbejdstagerne
eller deres repræsentanter i henhold til EU-retten og EU-praksis eller national ret og praksis, herunder
Europa-Parlamentets og Rådets direktiv 2002/14/EF (39), om beslutninger om at ibrugtage eller anvende
AI-systemer. Det er fortsat nødvendigt at sikre, at arbejdstagerne og deres repræsentanter informeres
om den planlagte idriftsættelse af højrisiko-AI-systemer på arbejdspladsen, hvis betingelserne for disse
informations- eller informations- og høringsforpligtelser i andre retlige instrumenter ikke er opfyldt. En
sådan ret til information er desuden accessorisk og nødvendig i forhold til målet om at beskytte de
grundlæggende rettigheder, der ligger til grund for denne forordning. Der bør derfor fastsættes et infor-
mationskrav med henblik herpå i denne forordning, uden at det berører arbejdstagernes eksisterende
rettigheder.
32
(93) Risici i forbindelse med AI-systemer kan være resultatet af den måde, sådanne systemer er udformet
på, men risici kan også stamme fra måden, hvorpå sådanne AI-systemer anvendes. Idriftsættere af højri-
siko-AI-systemer spiller derfor en afgørende rolle i at sikre, at de grundlæggende rettigheder beskyttes
og i at supplere udbyderens forpligtelser i forbindelse med udviklingen af AI-systemet. Idriftsætterne
er bedst i stand til at forstå, hvordan højrisiko-AI-systemet vil blive anvendt konkret, og kan derfor
afdække potentielle risici, der ikke var forudset i udviklingsfasen, takket være et mere præcist kendskab
til anvendelseskonteksten, de personer eller grupper af personer, der kan blive berørt, herunder sårbare
grupper. Idriftsættere af de højrisiko-AI-systemer, der er opført i et bilag til denne forordning, spiller
også en afgørende rolle med hensyn til at informere fysiske personer og bør, når de træffer beslutninger
eller bistår med at træffe beslutninger vedrørende fysiske personer, om nødvendigt underrette de fysiske
personer om, at de er omfattet af anvendelsen af højrisiko-AI-systemet. Disse oplysninger bør omfatte
det tilsigtede formål og typen af beslutninger, det træffer. Idriftsætteren bør ligeledes oplyse de fysiske
personer om deres ret til en forklaring som fastsat i denne forordning. For så vidt angår højrisiko-AI-sy-
stemer, der anvendes til retshåndhævelsesformål, bør denne forpligtelse gennemføres i overensstemmelse
med artikel 13 i direktiv (EU) 2016/680.
(94) Enhver behandling af biometriske data, der indgår i anvendelsen af AI-systemer til biometrisk
identifikation med henblik på retshåndhævelse, skal overholde artikel 10 i direktiv (EU) 2016/680, som
kun tillader en sådan behandling, når det er strengt nødvendigt, forudsat at behandlingen er omfattet af
de fornødne sikkerhedsforanstaltninger for den registreredes rettigheder og frihedsrettigheder, og hvis
hjemlet i EU-retten eller medlemsstaternes nationale ret. En sådan anvendelse skal, når den er tilladt, også
overholde principperne i artikel 4, stk. 1, i direktiv (EU) 2016/680, herunder lovlighed, rimelighed og
gennemsigtighed, formålsbegrænsning, rigtighed og begrænsning af opbevaring.
(95) Uden at det berører gældende EU-ret, navnlig forordning (EU) 2016/679 og direktiv (EU) 2016/680,
bør brugen af systemer til efterfølgende biometrisk fjernidentifikation, i betragtning af den indgribende
karakter af systemer til efterfølgende biometrisk fjernidentifikation, være underlagt sikkerhedsforanstalt-
ninger. Systemer til efterfølgende biometrisk fjernidentifikation bør altid anvendes på en måde, der
er forholdsmæssig, legitim og strengt nødvendig, og dermed, for så vidt angår de personer, der skal
identificeres, være målrettet stedet og den tidsmæssige rækkevidde og være baseret på et lukket datasæt af
lovligt erhvervede videooptagelser. Under alle omstændigheder bør systemer til efterfølgende biometrisk
fjernidentifikation ikke anvendes inden for retshåndhævelse til at føre vilkårlig overvågning. Betingelser-
ne for efterfølgende biometrisk fjernidentifikation bør under alle omstændigheder ikke danne grundlag
for at omgå betingelserne for forbuddet mod og de strenge undtagelser for biometrisk fjernidentifikation i
realtid.
(96) For effektivt at sikre, at de grundlæggende rettigheder beskyttes, bør idriftsættere af højrisiko-
AI-systemer, der er offentligretlige organer, eller private enheder, der leverer offentlige tjenester, og
idriftsættere af visse højrisiko-AI-systemer, der er opført i et bilag til denne forordning, såsom banker
eller forsikringsselskaber, foretage en konsekvensanalyse vedrørende grundlæggende rettigheder inden
ibrugtagning. Tjenester, der er vigtige for enkeltpersoner, og som er af offentlig karakter, kan også leveres
af private enheder. Private enheder, der leverer sådanne offentlige tjenester, er knyttet til samfundsnyttige
opgaver såsom. inden for uddannelse, sundhedspleje, sociale tjenester, boliger og retspleje. Formålet med
konsekvensanalysen vedrørende grundlæggende rettigheder er, at idriftsætteren skal identificere de speci-
fikke risici for rettighederne for enkeltpersoner eller grupper af enkeltpersoner, der sandsynligvis vil blive
berørt, og identificere de foranstaltninger, der skal træffes, hvis disse risici skulle opstå. Konsekvensana-
lysen bør udføres før idriftsættelse af højrisiko-AI-systemet og bør ajourføres, når idriftsætteren vurderer,
33
at de relevante faktorer har ændret sig. Konsekvensanalysen bør identificere idriftsætterens relevante
processer, i hvilke højrisiko-AI-systemet vil blive anvendt i overensstemmelse med dets tilsigtede formål,
og bør indeholde en beskrivelse af den periode og hyppighed, hvori systemet tilsigtes anvendt, samt af
specifikke kategorier af fysiske personer og grupper, der sandsynligvis vil blive berørt i den specifikke
anvendelsessammenhæng. Analysen bør også omfatte kortlægning af specifikke risici for skade, der sand-
synligvis vil påvirke disse personers eller gruppers grundlæggende rettigheder. I forbindelse med denne
analyse bør idriftsætteren tage hensyn til oplysninger, der er relevante for en korrekt analyse af konse-
kvenser, herunder, men ikke begrænset til, de oplysninger, som udbyderen af højrisiko-AI-systemet giver
i brugsanvisningen. I lyset af de kortlagte risici bør idriftsætteren afgøre, hvilke foranstaltninger der skal
træffes, hvis disse risici skulle opstå, herunder f.eks. ledelsesordninger i den specifikke anvendelsessam-
menhæng, såsom ordninger for menneskeligt tilsyn i henhold til brugsanvisningen eller klagebehandlings-
og erstatningsprocedurer, da de kan bidrage til at afbøde risici for grundlæggende rettigheder i konkrete
anvendelsestilfælde. Efter at have foretaget denne konsekvensanalyse bør idriftsætteren underrette den
relevante markedsovervågningsmyndighed. For at indsamle de relevante oplysninger, der er nødvendige
for at foretage konsekvensanalysen, kan idriftsættere af højrisiko-AI-systemer, navnlig når AI-systemer
anvendes i den offentlige sektor, inddrage relevante interessenter, herunder repræsentanter for grupper
af personer, der sandsynligvis vil blive berørt af AI-systemet, uafhængige eksperter og civilsamfundsor-
ganisationer i gennemførelsen af sådanne konsekvensanalyser og udformningen af foranstaltninger, der
skal træffes, hvis risiciene opstår. Det Europæiske Kontor for Kunstig Intelligens (»AI-kontoret«) bør
udvikle en skabelon til et spørgeskema for at lette overholdelsen og mindske den administrative byrde for
idriftsættere.
(97) Begrebet AI-modeller til almen brug bør af hensyn til retssikkerheden defineres klart og adskilles
fra begrebet AI-systemer. Definitionen bør baseres på de vigtigste funktionelle karakteristika ved en
AI-model til almen brug, navnlig generaliteten og kapaciteten til med kompetence at udføre en lang
række forskellige opgaver. Disse modeller trænes typisk med store mængder data ved hjælp af forskellige
metoder såsom ved selvovervåget, ikkeovervåget eller forstærket læring. AI-modeller til almen brug kan
bringes i omsætning på forskellige måder, herunder via biblioteker eller programmeringsgrænseflader for
applikationer (API᾽er), som direkte download eller som fysisk kopi. Disse modeller kan ændres yderligere
eller finjusteres til nye modeller. Selv om AI-modeller er væsentlige komponenter i AI-systemer, udgør
de ikke i sig selv AI-systemer. AI-modeller kræver, at der tilføjes yderligere komponenter, f.eks. en
brugergrænseflade, for at blive til AI-systemer. AI-modeller er typisk integreret i og udgør en del af
AI-systemer. Denne forordning fastsætter specifikke regler for AI-modeller til almen brug og for AI-mo-
deller til almen brug, der udgør systemiske risici, som også bør finde anvendelse, når disse modeller
integreres eller indgår i et AI-system. Det forudsættes, at forpligtelserne for udbydere af AI-modeller til
almen brug bør finde anvendelse, når AI-modellerne til almen brug er bragt i omsætning. Når udbyderen
af en AI-model til almen brug integrerer en egen model i sit eget AI-system, der gøres tilgængeligt
på markedet eller ibrugtages, bør den pågældende model betragtes som at være bragt i omsætning, og
derfor bør forpligtelserne i denne forordning for modeller fortsat finde anvendelse foruden forpligtelserne
for AI-systemer. De forpligtelser, der er fastsat for modeller, bør under alle omstændigheder ikke finde
anvendelse, når en egen model anvendes til rent interne processer, som ikke er væsentlige for leveringen
af et produkt eller en tjeneste til tredjeparter, og fysiske personers rettigheder ikke berøres. I betragtning
af deres potentielt væsentlige negative virkninger bør AI-modeller til almen brug med systemisk risiko
altid være underlagt de relevante forpligtelser i henhold til denne forordning. Definitionen bør ikke omfat-
te AI-modeller, der anvendes, inden de bringes i omsætning, udelukkende med henblik på forsknings-,
udviklings- og prototypeaktiviteter. Dette berører ikke forpligtelsen til at overholde denne forordning, når
en model bringes i omsætning efter sådanne aktiviteter.
34
(98) Mens en models generalitet blandt andet også kan bestemmes af en række parametre, bør modeller
med mindst en milliard parametre, og som er trænet med en stor mængde data ved hjælp af selvovervåg-
ning, i stor skala betragtes som at udvise betydelig generalitet og kompetence til at udføre en lang række
forskellige opgaver.
(99) Store generative AI-modeller er et typisk eksempel på en AI-model til almen brug, da de giver
mulighed for fleksibel generering af indhold, f.eks. i form af tekst, lyd, billeder eller video, der let kan
tilpasses en lang række forskellige opgaver.
(100) Hvis en AI-model til almen brug integreres i eller udgør en del af et AI-system, bør dette system
betragtes som at være et AI-system til almen brug, når dette system som følge af denne integration har
kapacitet til at tjene en række forskellige formål. Et AI-system til almen brug kan anvendes direkte, eller
det kan integreres i andre AI-systemer.
(101) Udbydere af AI-modeller til almen brug har en særlig rolle og et særligt ansvar i AI-værdikæden,
da de modeller, de leverer, kan danne grundlag for en række downstreamsystemer, der ofte leveres af
downstreamudbydere, og som kræver en god forståelse af modellerne og deres kapacitet, både for at
gøre det muligt at integrere sådanne modeller i deres produkter og for at opfylde deres forpligtelser i
henhold til denne eller andre forordninger. Der bør derfor fastsættes forholdsmæssige gennemsigtigheds-
foranstaltninger, herunder udarbejdelse og ajourføring af dokumentation og formidling af oplysninger
om AI-modellen til almen brug med henblik på downstreamudbydernes anvendelse heraf. Den tekniske
dokumentation bør udarbejdes og ajourføres af udbyderen af AI-modellen til almen brug med henblik på
efter anmodning at stille den til rådighed for AI-kontoret og de nationale kompetente myndigheder. Mi-
nimumssættet af elementer, der skal medtages i sådan dokumentation, bør fastsættes i særlige bilag til
denne forordning. Kommissionen bør have beføjelse til at ændre disse bilag ved hjælp af delegerede
retsakter i lyset af den teknologiske udvikling.
(102) Software og data, herunder modeller frigivet i henhold til en gratis open source-licens, der gør det
muligt at dele dem åbent, og hvor brugerne frit kan få adgang til, anvende, ændre og videregive dem
eller ændrede versioner heraf, kan bidrage til forskning og innovation på markedet og skabe betydelige
vækstmuligheder for Unionens økonomi. AI-modeller til almen brug, som er frigivet i henhold til gratis
open source-licenser, bør betragtes som at sikre en høj grad af gennemsigtighed og åbenhed, hvis deres
parametre, herunder vægtene, oplysningerne om modelarkitekturen og oplysningerne om modelanvendel-
sen, gøres offentligt tilgængelige. Licensen bør også betragtes som gratis og open source, når den giver
brugerne mulighed for at køre, kopiere, distribuere, undersøge, ændre og forbedre software og data,
herunder modeller, forudsat at den oprindelige udbyder af modellen krediteres, og at de identiske eller
sammenlignelige distributionsvilkår overholdes.
(103) Gratis open source-AI-komponenter omfatter software og data, herunder modeller og AI-modeller
til almen brug, værktøjer, tjenester eller processer i et AI-system. Gratis open source-AI-komponenter
kan leveres gennem forskellige kanaler, herunder deres udvikling i åbne databaser. Med henblik på denne
forordning bør AI-komponenter, der leveres mod en pris, eller som der på anden vis tjenes penge på,
herunder gennem levering af teknisk støtte eller andre tjenester, bl.a. gennem en softwareplatform, i for-
bindelse med AI-komponenten, eller anvendelse af personoplysninger af andre årsager end udelukkende
for at forbedre softwarens sikkerhed, kompatibilitet eller interoperabilitet, med undtagelse af transaktioner
mellem mikrovirksomheder, ikke være omfattet af undtagelserne for gratis open source-AI-komponen-
35
ter. Det forhold, at AI-komponenter stilles til rådighed gennem åbne databaser, bør ikke i sig selv udgøre
en monetarisering.
(104) Udbydere af AI-modeller til almen brug, der frigives i henhold til en gratis open source-licens,
og hvis parametre, herunder vægtene, oplysningerne om modelarkitekturen og oplysningerne om model-
anvendelsen, gøres offentligt tilgængelige, bør være omfattet af undtagelser for så vidt angår de krav
om gennemsigtighed, der stilles til AI-modeller til almen brug, medmindre de kan anses for at udgøre
en systemisk risiko, i hvilket tilfælde det forhold, at modellen er gennemsigtig og ledsaget af en open
source-licens, ikke bør betragtes som tilstrækkelig grund til at udelukke, at forpligtelserne i henhold til
denne forordning overholdes. I betragtning af at frigivelsen af AI-modeller til almen brug i henhold
til en gratis open source-licens ikke nødvendigvis afslører væsentlige oplysninger om det datasæt, der
anvendes til træning eller finjustering af modellen, og om hvordan overholdelsen af ophavsretten derved
blev sikret, bør undtagelsen for AI-modeller til almen brug fra overholdelse af krav om gennemsigtighed
under alle omstændigheder ikke vedrøre forpligtelsen til at udarbejde en sammenfatning af det indhold,
der anvendes til modeltræning, og forpligtelsen til at indføre en politik, der overholder EU-retten om
ophavsret, navnlig med hensyn til at identificere og overholde forbeholdet af rettigheder i henhold til
artikel 4, stk. 3, i Europa-Parlamentets og Rådets direktiv (EU) 2019/790 (40).
(105) AI-modeller til almen brug, navnlig store generative AI-modeller, der kan generere tekst, billeder
og andet indhold, giver unikke innovationsmuligheder, men også udfordringer for kunstnere, forfattere
og andre skabere og den måde, hvorpå deres kreative indhold skabes, distribueres, anvendes og forbru-
ges. Udviklingen og træningen af sådanne modeller kræver adgang til store mængder tekst, billeder,
videoer og andre data. Tekst- og dataminingteknikker kan anvendes i vid udstrækning i denne forbindelse
til søgning og analyse af sådant indhold, som kan være beskyttet af ophavsret og beslægtede rettighe-
der. Enhver anvendelse af ophavsretligt beskyttet indhold kræver tilladelse fra den pågældende rettigheds-
haver, medmindre der gælder relevante undtagelser og indskrænkninger i ophavsretten. Direktiv (EU)
2019/790 indførte undtagelser og indskrænkninger, der tillader reproduktion og udtræk af værker eller
andre frembringelser med henblik på tekst- og datamining på visse betingelser. I henhold til disse regler
kan rettighedshavere vælge at forbeholde deres rettigheder til deres værker eller andre frembringelser for
at forhindre tekst- og datamining, medmindre dette sker med henblik på videnskabelig forskning. Hvis
retten til fravalg udtrykkeligt er blevet forbeholdt på passende vis, skal udbydere af AI-modeller til
almen brug indhente en tilladelse fra rettighedshaverne, hvis de ønsker at udføre tekst- og datamining i
forbindelse med sådanne værker.
(106) Udbydere, der bringer AI-modeller til almen brug i omsætning på EU-markedet, bør sikre overhol-
delse af de relevante forpligtelser i denne forordning. Med henblik herpå bør udbydere af AI-modeller
til almen brug indføre en politik, der overholder EU-retten om ophavsret og beslægtede rettigheder,
navnlig med hensyn til at identificere og overholde det forbehold af rettigheder, som rettighedshaverne
har givet udtryk for i henhold til artikel 4, stk. 3, i direktiv (EU) 2019/790. Enhver udbyder, der bringer en
AI-model til almen brug i omsætning på EU-markedet, bør overholde denne forpligtelse, uanset i hvilken
jurisdiktion de ophavsretligt relevante handlinger, der ligger til grund for træningen af disse AI-modeller
til almen brug, finder sted. Dette er nødvendigt for at sikre lige vilkår for udbydere af AI-modeller til
almen brug, da ingen udbyder bør kunne opnå en konkurrencemæssig fordel på EU-markedet ved at
anvende lavere ophavsretlige standarder end dem, der er fastsat i Unionen.
(107) For at øge gennemsigtigheden af de data, der anvendes i forbindelse med forhåndstræning og
træning af AI-modeller til almen brug, herunder tekst og data, der er beskyttet af ophavsret, er det
36
tilstrækkeligt, at udbydere af sådanne modeller udarbejder og offentliggør en tilstrækkeligt detaljeret
sammenfatning af det indhold, der anvendes til træning af AI-modellen til almen brug. Under behørig
hensyntagen til behovet for at beskytte forretningshemmeligheder og fortrolige forretningsoplysninger
bør denne sammenfatning generelt have et bredt anvendelsesområde i stedet for at være teknisk detaljeret,
så det bliver lettere for parter med legitime interesser, herunder indehavere af ophavsret, at udøve og
håndhæve deres rettigheder i henhold til EU-retten, f.eks. ved at opregne de vigtigste datasamlinger eller
datasæt, der er gået til at træne modellen, såsom store private eller offentlige databaser eller dataarkiver,
og ved at give en beskrivende redegørelse for andre anvendte datakilder. Det er hensigtsmæssigt, at
AI-kontoret tilvejebringer en skabelon for sammenfatningen, som bør være enkel og effektiv, og giver
udbyderen mulighed for at fremsende den krævede sammenfatning i beskrivende tekst.
(108) Hvad angår de forpligtelser, der pålægges udbydere af AI-modeller til almen brug, til at indføre en
politik med henblik på at overholde EU-retten om ophavsret og offentliggøre en sammenfatning af det
indhold, der anvendes til træningen, bør AI-kontoret overvåge, om udbyderen har opfyldt disse forpligtel-
ser uden at verificere eller vurdere træningsdataene for hvert enkelt værk med hensyn til overholdelse af
ophavsretten. Denne forordning berører ikke håndhævelsen af ophavsretsreglerne som fastsat i EU-retten.
(109) Overholdelsen af de forpligtelser, der gælder for udbydere af AI-modeller til almen brug, bør
stå i et rimeligt forhold til og være proportionalt med typen af modeludbyder, bortset fra behovet for
overholdelse for personer, der udvikler eller anvender modeller til ikkeprofessionelle eller videnskabelige
forskningsformål, og som ikke desto mindre bør tilskyndes til frivilligt at overholde disse krav. Uden
at det berører EU-retten om ophavsret, bør der ved overholdelsen af disse forpligtelser tages behørigt
hensyn til udbyderens størrelse, og SMV᾽er, herunder iværksættervirksomheder, bør have mulighed for
forenklede måder at overholde reglerne på, som ikke bør indebære uforholdsmæssigt store omkostninger
og ikke modvirke anvendelsen af sådanne modeller. I tilfælde af en ændring eller finjustering af en
model bør forpligtelserne for udbydere af AI-modeller til almen brug begrænses til denne ændring eller
finjustering, f.eks. ved at supplere den allerede eksisterende tekniske dokumentation med oplysninger om
ændringerne, herunder nye træningsdatakilder, som et middel til at overholde værdikædeforpligtelserne i
denne forordning.
(110) AI-modeller til almen brug kan udgøre systemiske risici, som omfatter, men ikke er begrænset til,
faktiske negative virkninger, der med rimelighed kan forudses, i forbindelse med større ulykker, forstyr-
relser i kritiske sektorer og alvorlige konsekvenser for folkesundheden og sikkerheden, enhver faktisk
negativ virkning, der med rimelighed kan forudses, for demokratiske processer, offentlig og økonomisk
sikkerhed samt formidling af ulovligt, falsk eller forskelsbehandlende indhold. Det skal forstås sådan, at
systemiske risici øges med modelkapaciteter og modelrækkevidde, kan opstå i hele modellens livscyklus
og påvirkes af betingelser for misbrug, modelpålidelighed, modelrimelighed og modelsikkerhed, graden
af modellens autonomi, dens adgang til værktøjer, nye eller
kombinerede metoder, frigivelses- og distributionsstrategier, potentialet til at fjerne beskyttelsesforanstalt-
ninger og andre faktorer. Navnlig har internationale tilgange hidtil vist, at det er nødvendigt at være
opmærksom på risici fra potentielt bevidst misbrug eller utilsigtede problemer med kontrol i forbindel-
se med tilpasning til menneskelig hensigt, kemiske, biologiske, radiologiske og nukleare risici, f.eks.
hvordan adgangsbarrierer kan sænkes, herunder for udvikling, erhvervelse eller anvendelse af våben,
offensive cyberkapaciteter, f.eks. hvordan metoder til opdagelse, udnyttelse eller operationel brug af
sårbarheder kan muliggøres, virkningerne af interaktion og brug af værktøjer, herunder f.eks. kapaciteten
til at kontrollere fysiske systemer og gribe ind i kritisk infrastruktur, risici fra modeller, der fremstiller
kopier af sig selv eller bliver »selvkopierende« eller træner andre modeller, hvordan modeller kan
37
medføre skadelig bias og forskelsbehandling med risici for enkeltpersoner, lokalsamfund eller samfund,
lettelse af desinformation eller krænkelse af privatlivets fred med trusler mod demokratiske værdier og
menneskerettighederne samt risiko for, at en bestemt hændelse kan skabe en kædereaktion med betydelige
negative virkninger, der kan påvirke en hel by, en hel domæneaktivitet eller et helt fællesskab.
(111) Der bør fastlægges en metode til klassificering af AI-modeller til almen brug som AI-modeller til
almen brug med systemiske risici. Da systemiske risici skyldes særlig høj kapacitet, bør en AI-model
til almen brug betragtes som at udgøre systemiske risici, hvis de har kapaciteter med stor virkning,
vurderet på grundlag af passende tekniske værktøjer og metoder, eller en betydelig indvirkning på det
indre marked på grund af dens omfang. Ved kapaciteter med stor virkning i AI-modeller til almen
brug forstås kapaciteter, som svarer til eller overstiger de kapaciteter, der er registreret i de mest avan-
cerede AI-modeller til almen brug. Hele spektret af kapaciteter i en model kan bedre forstås, efter at
den er blevet bragt i omsætning på markedet, eller når idriftsætterne interagerer med modellen. Ifølge
det aktuelle teknologiske niveau på tidspunktet for denne forordnings ikrafttræden er den kumulerede
mængde beregningskraft, der anvendes til træning af AI-modellen til almen brug, målt i flydende
kommatalsberegninger, en af de relevante tilnærmelser for modelkapaciteter. Den kumulerede mængde
beregningskraft, der anvendes til træning, omfatter den beregningskraft, der anvendes på tværs af de
aktiviteter og metoder, der er tilsigtet at forbedre modellens kapaciteter forud for idriftsættelsen, såsom
forhåndstræning, generering af syntetiske data og finjustering. Der bør derfor fastsættes en foreløbig
tærskel for flydende kommatalsberegninger, som, hvis den opnås af en AI-model til almen brug, fører til
en formodning om, at modellen er en AI-model til almen brug med systemiske risici. Denne tærskel bør
justeres over tid for at afspejle teknologiske og industrielle ændringer såsom algoritmiske forbedringer
eller øget hardwareeffektivitet og bør suppleres med benchmarks og indikatorer for modelkapacitet. For
at kvalificere dette bør AI-kontoret samarbejde med det videnskabelige samfund, industrien, civilsamfun-
det og andre eksperter. Tærskler samt værktøjer og benchmarks til vurdering af kapaciteter med stor
virkning bør være stærke forudsigelsesfaktorer for generaliteten, kapaciteterne og den dermed forbundne
systemiske risiko ved AI-modeller til almen brug og kan tage hensyn til måden, hvorpå modellen vil
blive bragt i omsætning, eller antallet af brugere, den kan påvirke. For at supplere dette system bør
Kommissionen have mulighed for at træffe individuelle beslutninger om, at en AI-model til almen brug
udpeges som en AI-model til almen brug med systemisk risiko, hvis det konstateres, at en sådan model
har samme kapaciteter eller en virkning som dem, der fremgår af den fastsatte tærskel. Denne beslutning
bør træffes på grundlag af en samlet vurdering af kriterierne for udpegelse af en AI-model til almen
brug med systemisk risiko, der er fastsat i et bilag til denne forordning, såsom kvaliteten eller størrelsen
af træningsdatasættet, antallet af virksomheds- og slutbrugere, dens input- og outputmetoder, dens grad
af autonomi og skalerbarhed eller de værktøjer, den har adgang til. Efter en begrundet anmodning fra
en udbyder, hvis model er blevet udpeget som en AI-model til almen brug med systemisk risiko, bør
Kommissionen tage hensyn til anmodningen og kan beslutte på ny at vurdere, om AI-modellen til almen
brug stadig kan anses for at frembyde systemiske risici.
(112) Det er også nødvendigt at klargøre en procedure til klassificering af en AI-model til almen brug
med systemiske risici. En AI-model til almen brug, som opfylder den gældende tærskel for kapaciteter
med stor virkning, må formodes at være en AI-model til almen brug med systemisk risiko. Udbyderen bør
underrette AI-kontoret senest to uger efter, at kravene er opfyldt, eller det bliver kendt, at en AI-model
til almen brug vil opfylde de krav, der fører til formodningen. Dette er navnlig relevant i forbindelse
med tærsklen for flydende kommatalsberegninger, eftersom træning af AI-modeller til almen brug kræver
betydelig planlægning, som omfatter forhåndsallokering af beregningskraftsressourcer, og udbydere af
AI-modeller til almen brug kan derfor have kendskab til, om deres model opfylder tærsklen, inden
træningen afsluttes. I forbindelse med denne notifikation bør udbyderen kunne påvise, at en AI-model til
38
almen brug som følge af dens specifikke karakteristika undtagelsesvis ikke udgør systemiske risici, og at
den derfor ikke bør klassificeres som en AI-model til almen brug med systemiske risici. Denne oplysning
er nyttig for AI-kontoret med henblik på at foregribe omsætningen af AI-modeller til almen brug med
systemiske risici, så udbyderne tidligt kan begynde at samarbejde med AI-kontoret. Denne oplysning er
navnlig vigtig for så vidt angår AI-modeller til almen brug, som efter planen skal frigives som open
source, eftersom de nødvendige foranstaltninger til at sikre overholdelse af forpligtelserne i medfør af
denne forordning kan være vanskeligere at gennemføre efter frigivelsen af modellen som open source.
(113) Hvis Kommissionen får kendskab til, at en AI-model til almen brug opfylder kravene til klassifice-
ring som en AI-model til almen brug med systemisk risiko, som tidligere enten ikke var kendt, eller som
den relevante udbyder har undladt at underrette Kommissionen om, bør Kommissionen have beføjelse til
at udpege den som sådan. I tillæg til AI-kontorets overvågningsaktiviteter bør et system med kvalificerede
varslinger sikre, at AI-kontoret af det videnskabelige panel får kendskab til AI-modeller til almen brug,
som eventuelt bør klassificeres som AI-modeller til almen brug med systemisk risiko.
(114) Udbydere af AI-modeller til almen brug, som udgør systemiske risici, bør foruden de forpligtelser,
der er fastsat for udbydere af AI-modeller til almen brug, være underlagt forpligtelser med det formål
at identificere og afbøde disse risici og sikre et tilstrækkeligt cybersikkerhedsbeskyttelsesniveau, uanset
om de leveres som en selvstændig model eller er indlejret i et AI-system eller et produkt. For at nå
disse mål bør denne forordning kræve, at udbydere foretager de nødvendige modelevalueringer, navnlig
inden de første gang bringes i omsætning, herunder gennemførelse og dokumentation af afprøvning af
modeller mod ondsindet brug, herunder også i relevant omfang, gennem intern eller uafhængig ekstern
afprøvning. Udbydere af AI-modeller til almen brug med systemiske risici bør desuden løbende vurdere
og afbøde systemiske risici, herunder f.eks. ved at indføre risikostyringspolitikker såsom ansvarligheds-
og forvaltningsprocesser, gennemføre overvågning efter omsætningen, træffe passende foranstaltninger i
hele modellens livscyklus og samarbejde med relevante aktører i AI-værdikæden.
(115) Udbydere af AI-modeller til almen brug med systemiske risici bør vurdere og afbøde eventuelle
systemiske risici. Hvis udviklingen eller anvendelsen af modellen trods bestræbelser på at identificere
og forebygge risici forbundet med en AI-model til almen brug, som kan udgøre systemiske risici,
forårsager en alvorlig hændelse, bør udbyderen af AI-modellen til almen brug uden unødigt ophold
spore hændelsen og indberette alle relevante oplysninger og eventuelle korrigerende foranstaltninger til
Kommissionen og de nationale kompetente myndigheder. Udbydere bør desuden sikre et tilstrækkeligt
cybersikkerhedsbeskyttelsesniveau for modellen og dens fysiske infrastruktur, hvis det er relevant, i
hele modellens livscyklus. Cybersikkerhedsbeskyttelse i forbindelse med systemiske risici, der er knyttet
til ondsindet brug af eller angreb, bør tage behørigt hensyn til utilsigtet modellækage, uautoriserede
frigivelser, omgåelse af sikkerhedsforanstaltninger og forsvar mod cyberangreb, uautoriseret adgang
eller modeltyveri. Denne beskyttelse kan lettes ved at sikre modelvægte, algoritmer, servere og datasæt
såsom gennem operationelle sikkerhedsforanstaltninger med henblik på informationssikkerhed, specifikke
cybersikkerhedspolitikker, passende tekniske og etablerede løsninger samt cyberadgangskontroller og
fysiske adgangskontroller, der er tilpasset de relevante forhold og de involverede risici.
(116) AI-kontoret bør tilskynde til og lette udarbejdelsen, gennemgangen og tilpasningen af praksisko-
dekser under hensyntagen til internationale tilgange. Alle udbydere af AI-modeller til almen brug kan
indbydes til at deltage. For at sikre at praksiskodekser afspejler det aktuelle teknologiske niveau og
tager behørigt hensyn til en række forskellige perspektiver, bør AI-kontoret samarbejde med relevante
nationale kompetente myndigheder og kan, hvis det er relevant, høre civilsamfundsorganisationer og
39
andre relevante interessenter og eksperter, herunder det videnskabelige panel, om udarbejdelsen af sådan-
ne kodekser. Praksiskodekser bør omfatte forpligtelser for udbydere af AI-modeller til almen brug og
af modeller til almen brug, der udgør systemiske risici. Hvad angår systemiske risici, bør praksiskodek-
ser derudover bidrage til at opstille en risikotaksonomi for typen og arten af de systemiske risici på
EU-plan, herunder deres kilder. Praksiskodekser bør også fokusere på specifikke risikovurderinger og
risikobegrænsende foranstaltninger.
(117) Praksiskodekser bør udgøre et centralt redskab med henblik på korrekt overholdelse af de forplig-
telser, der er fastsat i medfør af denne forordning, og som gælder for udbydere af AI-modeller til
almen brug. Udbydere bør kunne forlade sig på praksiskodekser for at påvise overholdelse af forpligtel-
serne. Kommissionen kan ved hjælp af gennemførelsesretsakter beslutte at godkende en praksiskodeks
og tillægge den almen gyldighed i Unionen eller alternativt fastsætte fælles regler for gennemførelsen af
de relevante forpligtelser, hvis en praksiskodeks på tidspunktet for denne forordnings ikrafttræden ikke
kan færdiggøres eller af AI-kontoret anses for at være utilstrækkelig. Når en harmoniseret standard er
offentliggjort, og AI-kontoret har vurderet den som egnet til at dække de relevante forpligtelser, bør over-
holdelse af en europæisk harmoniseret standard medføre en formodning om overensstemmelse hermed fra
udbydernes side. Udbydere af AI-modeller til almen brug bør desuden kunne påvise overensstemmelse
ved hjælp af alternative passende metoder, hvis der ikke findes praksiskodekser eller harmoniserede
standarder, eller de vælger ikke at anvende sådanne.
(118) Denne forordning regulerer AI-systemer og AI-modeller, idet den indfører visse krav og forpligtel-
ser for relevante markedsaktører, som bringer dem i omsætning, ibrugtager dem eller anvender dem i
Unionen, og derved supplerer forpligtelserne for udbydere af formidlingstjenester, som indlejrer sådanne
systemer eller modeller i deres tjenester, som er reguleret ved forordning (EU) 2022/2065. I det omfang
sådanne systemer eller modeller er indlejret i udpegede meget store onlineplatforme eller meget store
onlinesøgemaskiner, er de underlagt den ramme for risikostyring, som er fastsat i forordning (EU)
2022/2065. De tilsvarende forpligtelser i nærværende forordning må derfor formodes at være opfyldt,
medmindre betydelige systemiske risici, der ikke er omfattet af forordning (EU) 2022/2065, forekommer
og identificeres i sådanne modeller. Inden for disse rammer er udbydere af meget store onlineplatforme
forpligtet til at vurdere potentielle systemiske risici, der hidrører fra udformningen, funktionen og an-
vendelsen af deres tjenester, herunder hvordan udformningen af algoritmiske systemer, der anvendes i
tjenesten, kan bidrage til sådanne risici, samt systemiske risici, der hidrører fra potentielt misbrug. Disse
udbydere er også forpligtet til at træffe afbødende foranstaltninger for at overholde de grundlæggende
rettigheder.
(119) I betragtning af innovationshastigheden og den teknologiske udvikling inden for digitale tjenester,
som er omfattet af forskellige EU-retlige instrumenters anvendelsesområde, navnlig under hensyntagen til
anvendelsen og opfattelsen af modtagerne heraf, kan de AI-systemer, der er omfattet af denne forordning,
leveres som formidlingstjenester eller dele heraf som omhandlet i forordning (EU) 2022/2065, som bør
fortolkes på en teknologineutral måde. AI-systemer kan f.eks. anvendes til at levere onlinesøgemaskiner,
navnlig i det omfang et AI-system såsom en onlinechatbot i princippet foretager søgninger på alle
websteder, dernæst indarbejder resultaterne i sin eksisterende viden og anvender den ajourførte viden til
at generere et enkelt output, der kombinerer forskellige informationskilder.
(120) De forpligtelser, der pålægges udbydere og idriftsættere af visse AI-systemer i denne forordning,
for at give mulighed for at påvise og oplyse, at outputtet af disse systemer er blevet genereret kunstigt
eller manipuleret, er desuden særlig relevante for at lette en effektiv gennemførelse af forordning (EU)
40
2022/2065. Dette gælder navnlig for forpligtelserne for udbydere af meget store onlineplatforme eller
meget store onlinesøgemaskiner til at identificere og afbøde systemiske risici, der kan opstå som følge
af formidlingen af indhold, der er blevet kunstigt genereret eller manipuleret, navnlig risikoen for de fak-
tiske eller forventede negative virkninger for demokratiske processer, samfundsdebatten og valgprocesser,
herunder gennem desinformation.
(121) Standardisering bør spille en central rolle med hensyn til at levere tekniske løsninger til udbyderne
for at sikre overholdelse af denne forordning i overensstemmelse med det aktuelle teknologiske niveau
og fremme innovation samt konkurrenceevnen og væksten på det indre marked. Overholdelse af harmoni-
serede standarder som defineret i artikel 2, nr. 1), litra c), i Europa-Parlamentets og Rådets forordning
(EU) nr. 1025/2012 (41), der sædvanligvis forventes at afspejle det aktuelle teknologiske niveau, bør være
et middel for udbydere til at påvise overensstemmelse med kravene i nærværende forordning. Der bør
derfor tilskyndes til en afbalanceret repræsentation af interesser, der inddrager alle relevante interessenter
i udviklingen af standarder, navnlig SMV᾽er, forbrugerorganisationer og miljøorganisationer og sociale
interessenter i overensstemmelse med artikel 5 og 6 i forordning (EU) nr. 1025/2012. For at lette
overholdelsen bør standardiseringsanmodningerne fremsættes af Kommissionen uden unødigt ophold. I
forbindelse med udarbejdelsen af standardiseringsanmodninger bør Kommissionen høre det rådgivende
forum og AI-udvalget med henblik på at indsamle relevant ekspertise. I mangel af relevante referencer
til harmoniserede standarder bør Kommissionen dog ved hjælp af gennemførelsesretsakter og efter høring
af det rådgivende forum kunne fastsætte fælles specifikationer for visse krav i henhold til nærværende
forordning. Den fælles specifikation bør være en ekstraordinær nødløsning for at lette udbyderens for-
pligtelse til at overholde kravene i nærværende forordning, når standardiseringsanmodningen ikke er
blevet accepteret af de europæiske standardiseringsorganisationer, eller når de relevante harmoniserede
standarder i utilstrækkelig grad tager hensyn til betænkeligheder vedrørende grundlæggende rettigheder,
eller når de harmoniserede standarder ikke er i overensstemmelse med anmodningen, eller når der er
forsinkelser i vedtagelsen af en passende harmoniseret standard. Hvis en sådan forsinkelse i vedtagelsen
af en harmoniseret standard skyldes den pågældende standards tekniske kompleksitet, bør Kommissionen
tage dette i betragtning, inden det overvejes at udarbejde fælles specifikationer. Ved udarbejdelsen af
fælles specifikationer tilskyndes Kommissionen til at samarbejde med internationale partnere og internati-
onale standardiseringsorganer.
(122) Uden at det berører anvendelsen af harmoniserede standarder og fælles specifikationer, bør udby-
dere af et højrisiko-AI-system, som er blevet trænet og afprøvet på data, der afspejler de specifikke
geografiske, adfærdsmæssige, kontekstuelle eller funktionelle rammer, som AI-systemet tilsigtes anvendt
inden for, formodes at være i overensstemmelse med den relevante foranstaltning, der er fastsat i
kravet til datastyring i denne forordning. Uden at det berører kravene til robusthed og nøjagtighed i
denne forordning og i overensstemmelse med artikel 54, stk. 3, i forordning (EU) 2019/881 formodes
højrisiko-AI-systemer, der er certificeret, eller for hvilke der er udstedt en overensstemmelseserklæring
inden for rammerne af en cybersikkerhedsordning i henhold til nævnte forordning, og hvis referencer
er offentliggjort i Den Europæiske Unions Tidende, at overholde cybersikkerhedskravene i nærværende
forordning, såfremt cybersikkerhedsattesten eller overensstemmelseserklæringen eller dele heraf dækker
cybersikkerhedskravet i nærværende forordning. Dette berører ikke den pågældende cybersikkerhedsord-
nings frivillige karakter.
(123) For at sikre en høj grad af troværdighed i højrisiko-AI-systemer bør disse systemer underkastes en
overensstemmelsesvurdering, inden de bringes i omsætning eller ibrugtages.
41
(124) For så vidt angår højrisiko-AI-systemer, der vedrører produkter, der er omfattet af gældende
EU-harmoniseringslovgivning baseret på den nye lovgivningsmæssige ramme, bør disse AI-systemers
overholdelse af kravene i denne forordning vurderes som led i den overensstemmelsesvurdering, der
allerede er fastsat i nævnte ret, for at minimere byrden for operatørerne og undgå ethvert muligt over-
lap. Anvendeligheden af kravene i denne forordning bør derfor ikke påvirke den specifikke logik, metode
eller generelle struktur i overensstemmelsesvurderingen i henhold til den relevante EU-harmoniserings-
lovgivning.
(125) I betragtning af højrisiko-AI-systemers kompleksitet og de med disse forbundne risici er det
vigtigt at udvikle en passende overensstemmelsesvurderingsprocedure for højrisiko-AI-systemer, der in-
volverer bemyndigede organer, en såkaldt overensstemmelsesvurdering udført af tredjepart. I betragtning
af den aktuelle erfaring, som professionelle, der udfører certificering forud for omsætning, har inden for
produktsikkerhed og de relevante risicis forskellige karakter, bør anvendelsesområdet for tredjeparters
overensstemmelsesvurderinger af andre højrisiko-AI-systemer end dem, der vedrører produkter, dog
begrænses, i det mindste i den indledende fase af anvendelsen af denne forordning. Overensstemmelses-
vurderinger af sådanne systemer bør derfor som hovedregel foretages af udbyderen på dennes eget ansvar,
med undtagelse af AI-systemer, der tilsigtes anvendt til biometri.
(126) Med henblik på tredjeparters overensstemmelsesvurderinger, når der er behov for sådanne, bør
bemyndigede organer notificeres i henhold til denne forordning af de nationale kompetente myndighe-
der, forudsat at de overholder en række krav, navnlig med hensyn til uafhængighed, kompetencer,
interessekonflikter og passende cybersikkerhedskrav. De nationale kompetente myndigheder bør sende
notifikationen af disse organer til Kommissionen og de andre medlemsstater ved hjælp af det elektroniske
notifikationsværktøj, der er udviklet og forvaltes af Kommissionen i henhold til artikel R23 i bilag I til
afgørelse nr. 768/2008/EF.
(127) I overensstemmelse med Unionens forpligtelser i henhold til Verdenshandelsorganisationens aftale
om tekniske handelshindringer er det hensigtsmæssigt at lette den gensidige anerkendelse af resultater
af overensstemmelsesvurderinger udarbejdet af de kompetente overensstemmelsesvurderingsorganer, uaf-
hængigt af hvor de er etableret, forudsat at disse overensstemmelsesvurderingsorganer, der er oprettet i
henhold til retten i et tredjeland, opfylder de gældende krav i denne forordning, og Unionen har indgået
aftale herom. I denne forbindelse bør Kommissionen aktivt undersøge mulige internationale instrumenter
til dette formål og navnlig søge at indgå aftaler om gensidig anerkendelse med tredjelande.
(128) I overensstemmelse med det almindeligt anerkendte begreb væsentlig ændring for produkter, der
er reguleret af EU-harmoniseringslovgivningen, bør AI-systemet, når der sker en ændring, som kan
have indflydelse på højrisiko-AI-systemets overensstemmelse med denne forordning (f.eks. ændring af
styresystem eller softwarearkitektur), eller hvis systemets tilsigtede formål ændrer sig, betragtes som
et nyt AI-system, der bør underkastes en ny overensstemmelsesvurdering. Ændringer i algoritmen og
ydeevnen af AI-systemer, der fortsætter med at »lære« efter, at de er bragt i omsætning eller ibrugtaget,
dvs. at de automatisk tilpasser, hvordan funktionerne udføres, bør ikke udgøre en væsentlig ændring,
forudsat at disse ændringer er fastlagt på forhånd af udbyderen og vurderet på tidspunktet for overens-
stemmelsesvurderingen.
(129) Højrisiko-AI-systemer bør være forsynet med CE-mærkning for at vise, at de er i overensstemmelse
med denne forordning, således at de sikres fri bevægelighed på det indre marked. For højrisiko-AI-sy-
stemer, der er indlejret i et produkt, bør der anbringes en fysisk CE-mærkning, som kan suppleres
42
med en digital CE-mærkning. For højrisiko-AI-systemer, der kun leveres digitalt, bør der anvendes en
digital CE-mærkning. Medlemsstaterne bør ikke skabe uberettigede hindringer for omsætningen eller
ibrugtagningen af højrisiko-AI-systemer, der overholder kravene i denne forordning, og som er forsynet
med CE-mærkning.
(130) Under visse omstændigheder kan hurtig adgang til innovative teknologier være afgørende for
personers sundhed og sikkerhed, miljøbeskyttelse og klimaændringer og for samfundet som helhed. Mar-
kedsovervågningsmyndighederne kan derfor af ekstraordinære hensyn til den offentlige sikkerhed eller
beskyttelsen af fysiske personers liv og sundhed, miljøbeskyttelse og beskyttelse af centrale industrielle
og infrastrukturmæssige aktiver tillade omsætning eller ibrugtagning af AI-systemer, der ikke har været
genstand for en overensstemmelsesvurdering. I behørigt begrundede situationer som fastsat i denne
forordning kan de retshåndhævende myndigheder eller civilbeskyttelsesmyndighederne tage et specifikt
højrisiko-AI-system i brug uden tilladelse fra markedsovervågningsmyndigheden, forudsat at der under
eller efter anvendelsen anmodes om en sådan tilladelse uden unødigt ophold.
(131) For at lette Kommissionens og medlemsstaternes arbejde inden for AI og øge gennemsigtigheden
for offentligheden bør udbydere af andre højrisiko-AI-systemer end dem, der vedrører produkter, der er
omfattet af relevant gældende EU-harmoniseringslovgivning, og udbydere, der finder, at et AI-system,
der er opført som tilfælde af højrisikoanvendelser i et bilag til denne forordning, ikke er højrisiko
på grundlag af en undtagelse, pålægges at registrere sig selv og oplysninger om deres AI-system i
en EU-database, der skal oprettes og forvaltes af Kommissionen. Inden anvendelse af et AI-system,
der er opført som tilfælde af højrisikoanvendelser i et bilag til denne forordning, bør idriftsættere af
højrisiko-AI-systemer, der er offentlige myndigheder, agenturer eller organer, registrere sig selv i en
sådan database og udvælge det system, de påtænker at anvende. Andre idriftsættere bør have ret til at gøre
dette frivilligt. Denne del af EU-databasen bør være offentligt tilgængelig og gratis, og oplysningerne
bør være lettilgængelige, forståelige og maskinlæsbare. EU-databasen bør også være brugervenlig, f.eks.
ved at råde over søgefunktioner, herunder gennem nøgleord, der gør det muligt for offentligheden at
finde relevante oplysninger, der skal indsendes ved registrering af højrisiko-AI-systemer, og om højrisi-
ko-AI-systemers anvendelsestilfælde fastsat i et bilag til denne forordning, som højrisiko-AI-systemerne
svarer til. Enhver væsentlig ændring af højrisiko-AI-systemer bør også registreres i EU-databasen. For
højrisiko-AI-systemer inden for retshåndhævelse og migrationsstyring, asylforvaltning og grænsekontrol
bør registreringsforpligtelserne opfyldes i en sikker ikkeoffentlig del af EU-databasen. Adgang til den
sikre ikkeoffentlige del bør være strengt begrænset til Kommissionen og til markedsovervågningsmyndig-
hederne for så vidt angår deres nationale del af den pågældende database. Højrisiko-AI-systemer inden
for kritisk infrastruktur bør kun registreres på nationalt plan. Kommissionen bør være dataansvarlig
for EU-databasen i overensstemmelse med forordning (EU) 2018/1725. For at sikre at EU-databasen
fungerer efter hensigten, når den tages i idriftsættes, bør proceduren for oprettelse af databasen omfatte, at
Kommissionen udarbejder funktionsspecifikationer, samt en uafhængig revisionsrapport. Kommissionen
bør tage hensyn til cybersikkerhedsrisici, når den udfører sine opgaver som dataansvarlig for EU-databa-
sen. For at maksimere offentlighedens tilgængelighed og anvendelse af EU-databasen bør EU-databasen,
herunder oplysninger, der stilles til rådighed igennem den, overholde kravene i medfør af direktiv (EU)
2019/882.
(132) Visse AI-systemer, der er tilsigtet at interagere med fysiske personer eller generere indhold, kan
indebære særlige risici for imitation eller vildledning, uanset om de er klassificeret som højrisiko eller
ej. Under visse omstændigheder bør anvendelsen af disse systemer derfor være underlagt særlige gennem-
sigtighedsforpligtelser, uden at dette berører kravene og forpligtelserne for højrisiko-AI-systemer, og
43
målrettede undtagelser for at tage hensyn til særlige behov inden for retshåndhævelse. Fysiske personer
bør navnlig underrettes om, at de interagerer med et AI-system, medmindre dette er indlysende ud
fra en rimelig oplyst, opmærksom og velunderrettet fysisk persons synspunkt under hensyntagen til
omstændighederne og anvendelsessammenhængen. Ved gennemførelsen af denne forpligtelse bør der
tages hensyn til egenskaber hos fysiske personer, der tilhører sårbare grupper på grund af deres alder eller
handicap, i det omfang AI-systemet er tilsigtet også at interagere med disse grupper. Fysiske personer bør
desuden underrettes, når de udsættes for AI-systemer, der ved at behandle personernes biometriske data
kan genkende eller udlede følelserne eller hensigterne hos disse personer eller placere dem i specifikke
kategorier. Sådanne specifikke kategorier kan vedrøre aspekter såsom køn, alder, hårfarve, øjenfarve,
tatoveringer, personlighedstræk, etnisk oprindelse, personlige præferencer og interesser. Sådanne oplys-
ninger og underretninger bør gives i formater, der er tilgængelige for personer med handicap.
(133) En række AI-systemer kan generere store mængder syntetisk indhold, som bliver stadig vanske-
ligere for mennesker at adskille fra menneskegenereret og autentisk indhold. Disse systemers brede
tilgængelighed og øgede kapaciteter har en betydelig indvirkning på integriteten af og tilliden til informa-
tionsøkosystemet, hvilket skaber nye risici for misinformation og manipulation i stor målestok, svig,
imitation eller vildledning af forbrugerne. I lyset af disse virkninger, det hurtige teknologiske tempo
og behovet for nye metoder og teknikker til sporing af oplysningernes oprindelse bør udbydere af
disse systemer pålægges at indlejre tekniske løsninger, som muliggør markering i et maskinlæsbart
format og påvisning af, at outputtet er blevet genereret eller manipuleret af et AI-system og ikke af
et menneske. Sådanne teknikker og metoder bør være tilstrækkeligt pålidelige, interoperable, effektive
og robuste, i det omfang dette er teknisk muligt, under hensyntagen til tilgængelige teknikker eller en
kombination af sådanne teknikker såsom vandmærker, metadataidentifikationer, kryptografiske metoder
til påvisning af indholdets oprindelse og ægthed, registreringsmetoder, fingeraftryk eller andre teknikker,
alt efter hvad der kan være relevant. Udbydere bør ved gennemførelsen af denne forpligtelse tage hensyn
til de forskellige typer indholds særlige forhold og begrænsninger og markedsudviklinger på området,
som er afspejlet i det generelt anerkendte aktuelle teknologiske niveau. Sådanne teknikker og metoder kan
gennemføres på AI-systemniveau eller AI-modelniveau, som omfatter AI-modeller til almen brug, der
genererer indhold, og derved gøre det nemmere for AI-systemets downstreamudbyder at opfylde denne
forpligtelse. Det bør fastsættes, at hvis denne mærkningsforpligtelse skal forblive forholdsmæssig, bør
den ikke omfatte AI-systemer, der primært udfører en hjælpefunktion med henblik på standardredigering,
eller AI-systemer, der ikke i væsentlig grad ændrer de inputdata, der leveres af idriftsætteren, eller
semantikken heraf.
(134) I forlængelse af de tekniske løsninger, som udbydere af AI-systemet anvender, bør de idriftsættere,
der anvender et AI-system til at generere eller manipulere billed-, lyd- eller videoindhold, der i væsentlig
grad ligner faktiske personer, genstande, steder, enheder eller begivenheder, og som fejlagtigt vil fremstå
ægte eller sandfærdigt for en person (»deepfakes«), også klart og synligt oplyse, at indholdet er kunstigt
skabt eller manipuleret, ved at mærke AI-outputtet i overensstemmelse hermed og oplyse om dets
kunstige oprindelse. Overholdelse af denne gennemsigtighedsforpligtelse bør ikke fortolkes således, at
anvendelse af AI-systemet eller dets output hindrer ytringsfriheden eller retten til frihed for kunst og
videnskab, der er sikret ved chartret, navnlig når indholdet er en del af et åbenlyst kreativt, satirisk,
kunstnerisk, fiktivt eller tilsvarende arbejde eller program, med forbehold af passende sikkerhedsforan-
staltninger for tredjemands rettigheder og friheder. I disse tilfælde er gennemsigtighedsforpligtelsen for
deepfakes fastsat i denne forordning begrænset til oplysning om eksistensen af sådant genereret eller
manipuleret indhold på en passende måde, der ikke er til gene for visningen eller nydelsen af værket,
herunder den normale udnyttelse og anvendelse heraf, samtidig med at værkets nytteværdi og kvalitet
bevares. En lignende oplysningspligt bør desuden tilstræbes for AI-genereret eller manipuleret tekst, for
44
så vidt den offentliggøres med det formål at informere offentligheden om spørgsmål af offentlig interesse,
medmindre det AI-genererede indhold har gennemgået en proces med menneskelig gennemgang eller
redaktionel kontrol, og en fysisk eller juridisk person har det redaktionelle ansvar for offentliggørelsen af
indholdet.
(135) Uden at det berører disse gennemsigtighedsforpligtelsers obligatoriske karakter og fulde anvende-
lighed, kan Kommissionen også tilskynde til og lette udarbejdelsen af praksiskodekser på EU-plan for
at lette en effektiv gennemførelse af forpligtelserne til påvisning og mærkning af kunstigt genereret eller
manipuleret indhold, herunder til støtte for praktiske ordninger for i relevant omfang at gøre sporingsme-
kanismerne tilgængelige og lette samarbejdet med andre aktører i værdikæden, formidle indhold eller
kontrollere dets ægthed og oprindelse, så offentligheden effektivt kan adskille AI-genereret indhold.
(136) De forpligtelser, der pålægges udbydere og idriftsættere af visse AI-systemer i denne forordning,
for at gøre det muligt at påvise og oplyse, at outputtet af disse systemer er blevet genereret kunstigt eller
manipuleret, er særlig relevante for at lette en effektiv gennemførelse af forordning (EU) 2022/2065. Det-
te gælder navnlig for forpligtelserne for udbydere af meget store onlineplatforme eller meget store online-
søgemaskiner til at identificere og afbøde systemiske risici, der kan opstå som følge af formidlingen af
indhold, der er blevet kunstigt genereret eller manipuleret, navnlig risikoen for de faktiske eller forvente-
de negative virkninger for demokratiske processer, samfundsdebatten og valgprocesser, herunder gennem
desinformation. Kravet om mærkning af indhold genereret af AI-systemer i henhold til nærværende
forordning berører ikke forpligtelsen i artikel 16, stk. 6, i forordning (EU) 2022/2065 for udbydere af
oplagringstjenester til at behandle anmeldelser om ulovligt indhold, som er modtaget i henhold til nævnte
forordnings artikel 16, stk. 1, og bør ikke påvirke vurderingen af og afgørelsen om det specifikke indholds
lovlighed. Denne vurdering bør udelukkende foretages under henvisning til reglerne om lovligheden af
indholdet.
(137) Overholdelse af de gennemsigtighedsforpligtelser for AI-systemer, som er omfattet af denne forord-
ning, bør ikke fortolkes således, at anvendelsen af systemet eller dets output er lovlig i henhold til denne
forordning eller anden EU-ret eller ret i medlemsstaterne, og bør ikke berøre andre gennemsigtighedsfor-
pligtelser for idriftsættere af AI-systemer i EU-retten eller national ret.
(138) AI er en hurtigt voksende familie af teknologier, der kræver myndighedstilsyn og et sikkert og
kontrolleret miljø til forsøg, samtidig med at der sikres ansvarlig innovation og integration af passende
sikkerhedsforanstaltninger og risikobegrænsende foranstaltninger. For at sikre en lovgivningsmæssig
ramme, der fremmer innovation og er fremtidssikret og modstandsdygtig over for forstyrrelser, bør
medlemsstaterne sikre, at deres nationale kompetente myndigheder opretter mindst én reguleringsmæssig
AI-sandkasse på nationalt plan for at lette udviklingen og afprøvningen af innovative AI-systemer under
strengt myndighedstilsyn, før disse systemer bringes i omsætning eller på anden måde ibrugtages. Med-
lemsstaterne kan også opfylde denne forpligtelse ved at deltage i allerede eksisterende reguleringsmæs-
sige sandkasser eller oprette en sandkasse sammen med én eller flere medlemsstaters kompetente myn-
digheder, for så vidt som denne deltagelse giver de deltagende medlemsstater et tilsvarende nationalt
dækningsniveau. Reguleringsmæssige AI-sandkasser kan oprettes i fysisk, digital eller hybrid form og
kan tilpasses fysiske såvel som digitale produkter. De oprettende myndigheder bør også sikre de regule-
ringsmæssige AI-sandkasser tilstrækkelige ressourcer, herunder finansielle og menneskelige ressourcer,
til at fungere.
45
(139) Formålet med de reguleringsmæssige AI-sandkasser bør være at fremme innovation inden for
kunstig intelligens ved at skabe et kontrolleret forsøgs- og afprøvningsmiljø i udviklingsfasen forud
for omsætning med henblik på at sikre, at de innovative AI-systemer er i overensstemmelse med
denne forordning og anden relevant EU-ret og national ret. De reguleringsmæssige AI-sandkasser bør
endvidere øge retssikkerheden for innovatorer og de kompetente myndigheders tilsyn og forståelse af de
muligheder, nye risici og virkninger, der er forbundet med anvendelsen af AI, lette lovgivningsmæssig
læring for myndigheder og virksomheder, herunder med henblik på fremtidige tilpasninger af den retlige
ramme, støtte samarbejdet og udvekslingen af bedste praksis med de myndigheder, der er involveret i
den reguleringsmæssige AI-sandkasse, samt fremskynde adgangen til markeder, herunder ved at fjerne
hindringer for SMV᾽er, herunder iværksættervirksomheder. Reguleringsmæssige AI-sandkasser bør være
bredt tilgængelige i hele Unionen, og der bør lægges særlig vægt på deres tilgængelighed for SMV᾽er,
herunder iværksættervirksomheder. Deltagelsen i den reguleringsmæssige AI-sandkasse bør fokusere
på spørgsmål, der skaber retsusikkerhed for udbydere og potentielle udbydere med hensyn til at innove-
re, eksperimentere med kunstig intelligens i Unionen og bidrage til evidensbaseret lovgivningsmæssig
læring. Tilsynet med AI-systemerne i den reguleringsmæssige AI-sandkasse bør derfor omfatte deres
udvikling, træning, afprøvning og validering, inden systemerne bringes i omsætning eller ibrugtages
samt begrebet og forekomsten af væsentlige ændringer, der kan kræve en ny overensstemmelsesvurde-
ringsprocedure. Enhver væsentlig risiko, der konstateres under udviklingen og afprøvningen af sådanne
AI-systemer, bør afbødes i tilstrækkelig grad, og hvis dette ikke er muligt, bør udviklings- og afprøv-
ningsprocessen suspenderes. Hvis det er relevant, bør de nationale kompetente myndigheder, der opretter
reguleringsmæssige AI-sandkasser, samarbejde med andre relevante myndigheder, herunder dem, der
fører tilsyn med beskyttelsen af grundlæggende rettigheder, og de kan muliggøre inddragelse af andre
aktører i AI-økosystemet såsom nationale eller europæiske standardiseringsorganisationer, bemyndigede
organer, afprøvnings- og forsøgsfaciliteter, forsknings- og forsøgslaboratorier, europæiske digitale inno-
vationsknudepunkter og relevante interessenter og civilsamfundsorganisationer. For at sikre en ensartet
gennemførelse i hele Unionen samt stordriftsfordele bør der fastsættes fælles regler for gennemførelsen
af de reguleringsmæssige AI-sandkasser og en ramme for samarbejde mellem de relevante myndigheder,
der er involveret i tilsynet med sandkasserne. Reguleringsmæssige AI-sandkasser, der oprettes i henhold
til denne forordning, bør ikke berøre anden ret, der giver mulighed for at oprette andre sandkasser,
der har til formål at sikre overholdelse af anden ret end denne forordning. Hvis det er relevant, bør
de relevante kompetente myndigheder med ansvar for disse andre reguleringsmæssige sandkasser også
overveje fordelene ved at anvende disse sandkasser med henblik på at sikre AI-systemers overensstem-
melse med denne forordning. Efter aftale mellem de nationale kompetente myndigheder og deltagerne i
den reguleringsmæssige AI-sandkasse kan der også gennemføres og føres tilsyn med afprøvning under
faktiske forhold inden for rammerne af den reguleringsmæssige AI-sandkasse.
(140) Denne forordning bør udgøre retsgrundlaget for udbyderne og de potentielle udbydere i den
reguleringsmæssige AI-sandkasse til kun på bestemte betingelser at anvende personoplysninger, der er
indsamlet til andre formål med henblik på udvikling af visse samfundsnyttige AI-systemer inden for
rammerne af den reguleringsmæssige AI-sandkasse, jf. artikel 6, stk. 4, og artikel 9, stk. 2, litra g), i
forordning (EU) 2016/679 og artikel 5, 6 og 10 i forordning (EU) 2018/1725, og uden at det berører
artikel 4, stk. 2, og artikel 10 i direktiv (EU) 2016/680. Alle andre forpligtelser for databehandlere og
rettigheder for registrerede i henhold til forordning (EU) 2016/679 og (EU) 2018/1725 samt direktiv
(EU) 2016/680 finder fortsat anvendelse. Især bør nærværende forordning ikke udgøre et retsgrundlag
som omhandlet i artikel 22, stk. 2, litra b), i forordning (EU) 2016/679 og artikel 24, stk. 2, litra b), i for-
ordning (EU) 2018/1725. Udbydere og potentielle udbydere i den reguleringsmæssige AI-sandkasse bør
sørge for passende sikkerhedsforanstaltninger og samarbejde med de kompetente myndigheder, herunder
ved at følge deres vejledning og handle hurtigt og i god tro for i tilstrækkelig grad at afbøde eventuelle
46
konstaterede betydelige risici med hensyn til sikkerhed, sundhed og de grundlæggende rettigheder, som
måtte opstå under udviklingen, afprøvningen og forsøgene i denne sandkasse.
(141) For at fremskynde udviklingen og omsætningen af de højrisiko-AI-systemer, der er opført i et bilag
til denne forordning, er det vigtigt, at udbydere eller potentielle udbydere af sådanne systemer også kan
drage fordel af en særlig ordning for afprøvning af disse systemer under faktiske forhold uden at deltage i
en reguleringsmæssig AI-sandkasse. I sådanne tilfælde og under hensyntagen til de mulige konsekvenser
af en sådan afprøvning for enkeltpersoner bør det imidlertid sikres, at denne forordning indfører passende
og fornødne sikkerhedsforanstaltninger og betingelser for udbydere eller potentielle udbydere. Sådanne
garantier bør bl.a. omfatte anmodning om fysiske personers informerede samtykke til at deltage i af-
prøvninger under faktiske forhold med undtagelse af retshåndhævelse, hvis indhentning af informeret
samtykke ville forhindre AI-systemet i at blive afprøvet. Registreredes samtykke til at deltage i sådanne
afprøvninger i henhold til denne forordning adskiller sig fra og berører ikke de registreredes samtykke
til behandling af deres personoplysninger i henhold til den relevante databeskyttelsesret. Det er også
vigtigt at minimere risiciene og give de kompetente myndigheder mulighed for at føre tilsyn og dermed
kræve, at potentielle udbydere har en plan for afprøvning under faktiske forhold, som forelægges for den
kompetente markedsovervågningsmyndighed, registrerer afprøvningen i særlige dele i EU-databasen med
forbehold af visse begrænsede undtagelser, fastsætter begrænsninger for den periode, inden for hvilken
afprøvningen kan finde sted, og stiller krav om yderligere sikkerhedsforanstaltninger for personer, der
tilhører visse sårbare grupper, samt om en skriftlig aftale, der definerer potentielle udbyderes og idriftsæt-
teres rolle og ansvarsområder og et effektivt tilsyn fra det kompetente personales side, som er involveret i
afprøvningen under faktiske forhold. Der bør desuden tilstræbes yderligere sikkerhedsforanstaltninger for
at sikre, at AI-systemets forudsigelser, anbefalinger eller beslutninger reelt kan omgøres og ses bort fra,
og at personoplysninger beskyttes og slettes, når de registrerede har trukket deres samtykke til at deltage
i afprøvningen tilbage, uden at det berører deres rettigheder som registrerede i henhold til EU-databeskyt-
telsesretten. For så vidt angår overførsel af data bør det tilstræbes, at data, der indsamles og behandles
med henblik på afprøvning under faktiske forhold, kun bør overføres til tredjelande, hvis der gennemføres
passende og gældende sikkerhedsforanstaltninger i henhold til EU-retten, navnlig i overensstemmelse
med grundlag for overførsel af personoplysninger i henhold til EU-databeskyttelsesretten, mens der for
andre data end personoplysninger indføres passende sikkerhedsforanstaltninger i overensstemmelse med
EU-retten såsom Europa-Parlamentets og Rådets forordning (EU) 2022/868 (42) og (EU) 2023/2854 (43).
(142) For at sikre at AI fører til socialt og miljømæssigt gavnlige resultater, tilskyndes medlemsstaterne til
at støtte og fremme forskning i og udvikling af AI-løsninger til støtte for socialt og miljømæssigt gavnlige
resultater såsom AI-baserede løsninger for at øge tilgængeligheden for personer med handicap, bekæmpe
socioøkonomiske uligheder eller opfylde miljømål ved at afsætte tilstrækkelige ressourcer, herunder
offentlig finansiering og EU-finansiering, og, hvis det er relevant, og forudsat at støtteberettigelses- og
udvælgelseskriterierne er opfyldt, ved navnlig at tage højde for projekter, der forfølger sådanne mål. Så-
danne projekter bør baseres på princippet om tværfagligt samarbejde mellem AI-udviklere, eksperter
i ulighed og ikkeforskelsbehandling, tilgængelighed, forbrugerrettigheder, miljørettigheder og digitale
rettigheder samt akademikere.
(143) For at fremme og beskytte innovation er det vigtigt at tage særligt hensyn til interesserne hos
SMV᾽er, herunder iværksættervirksomheder, som er udbydere eller idriftsættere af AI-systemer. Med
henblik herpå bør medlemsstaterne udarbejde initiativer, der er rettet mod disse operatører, herunder ved-
rørende oplysning og informationsformidling. Medlemsstaterne bør give SMV᾽er, herunder iværksætter-
virksomheder, der har vedtægtsmæssigt hjemsted eller en filial i Unionen, prioriteret adgang til de regule-
47
ringsmæssige AI-sandkasser, forudsat at de opfylder støtteberettigelsesbetingelserne og udvælgelseskrite-
rierne, og uden at andre udbydere og potentielle udbydere udelukkes fra at få adgang til sandkasserne,
såfremt de samme betingelser og kriterier er opfyldt. Medlemsstaterne bør udnytte eksisterende kanaler
og, hvis det er relevant, etablere nye særlige kanaler for kommunikation med SMV᾽er, herunder iværk-
sættervirksomheder, idriftsættere, andre innovatorer og, alt efter hvad der er relevant, lokale offentlige
myndigheder, med henblik på at støtte SMV᾽er gennem hele deres udviklingsforløb ved at yde vejledning
og besvare spørgsmål om gennemførelsen af denne forordning. Hvis det er relevant, bør disse kanaler
arbejde sammen om at skabe synergier og sikre ensartethed i deres vejledning til SMV᾽er, herunder
iværksættervirksomheder, og idriftsættere. Medlemsstaterne bør desuden lette deltagelse af SMV᾽er og
andre relevante interessenter i standardiseringsudviklingsprocessen. Desuden bør der tages hensyn til de
særlige interesser og behov hos udbydere, der er SMV᾽er, herunder iværksættervirksomheder, når bemyn-
digede organer fastsætter gebyrer for overensstemmelsesvurderinger. Kommissionen bør regelmæssigt
vurdere certificerings- og efterlevelsesomkostningerne for SMV᾽er, herunder iværksættervirksomheder,
gennem gennemsigtige høringer og arbejde sammen med medlemsstaterne om at nedbringe disse om-
kostninger. Omkostninger forbundet med oversættelse af obligatorisk dokumentation og kommunikation
med myndigheder kan f.eks. udgøre en betydelig omkostning for udbydere og andre operatører, navnlig
mindre udbydere og operatører. Medlemsstaterne bør eventuelt sørge for, at et af de sprog, som de
bestemmer sig for og accepterer til de relevante udbyderes dokumentation og til kommunikation med
operatørerne, er et sprog, der forstås bredt af flest mulige idriftsættere på tværs af grænserne. For at
imødekomme SMV᾽ers, herunder iværksættervirksomheder, specifikke behov bør Kommissionen efter
anmodning fra AI-udvalget tilvejebringe standardiserede skabeloner for de områder, der er omfattet af
denne forordning. Desuden bør Kommissionen supplere medlemsstaternes indsats ved at stille en central
informationsplatform med brugervenlige oplysninger om denne forordning til rådighed for alle udbydere
og idriftsættere, idet den tilrettelægger passende kommunikationskampagner for at øge bevidstheden om
de forpligtelser, der følger af denne forordning, og evaluerer og fremmer konvergensen af bedste praksis
i offentlige udbudsprocedurer i forbindelse med AI-systemer. Mellemstore virksomheder, der indtil for
nylig var små virksomheder som omhandlet i bilaget til Kommissionens henstilling 2003/361/EF (44), bør
have adgang til disse støtteforanstaltninger, eftersom disse nye mellemstore virksomheder undertiden kan
mangle de juridiske ressourcer og den uddannelse, der er nødvendig for at sikre en korrekt forståelse og
overholdelse af denne forordning.
(144) For at fremme og beskytte innovation bør AI-on-demand-platformen og alle relevante EU-finan-
sieringsprogrammer og -projekter såsom programmet for et digitalt Europa og Horisont Europa, der
gennemføres af Kommissionen og medlemsstaterne på EU-plan eller nationalt plan, i relevant omfang
bidrage til at nå denne forordnings mål.
(145) For at minimere risiciene i gennemførelsen som følge af manglende viden og ekspertise på marke-
det samt for at gøre det lettere for udbydere, navnlig SMV᾽er, herunder iværksættervirksomheder, og
bemyndigede organer at overholde deres forpligtelser i medfør af denne forordning bør navnlig AI-on-
demand-platformen, de europæiske digitale innovationsknudepunkter og de afprøvnings- og forsøgsfacili-
teter, som Kommissionen og medlemsstaterne har oprettet på EU-plan eller nationalt plan, bidrage til
gennemførelsen af denne forordning. Inden for rammerne af deres respektive opgave- og kompetenceom-
råde kan AI-on-demand-platformen, de europæiske digitale innovationsknudepunkter og afprøvnings- og
forsøgsfaciliteterne navnlig yde teknisk og videnskabelig støtte til udbydere og bemyndigede organer.
(146) I lyset af nogle operatørers meget beskedne størrelse og for at sikre proportionalitet med hensyn
til innovationsomkostninger er det desuden hensigtsmæssigt at give mikrovirksomheder mulighed for at
48
opfylde en af de dyreste forpligtelser, nemlig etablering af et kvalitetsstyringssystem, der på en forenklet
måde vil mindske den administrative byrde og omkostningerne for disse virksomheder uden at påvirke
beskyttelsesniveauet og behovet for overholdelse af kravene til højrisiko-AI-systemer. Kommissionen
bør udarbejde retningslinjer med henblik på at præcisere, hvilke elementer i kvalitetsstyringssystemet
mikrovirksomheder skal opfylde på denne forenklede måde.
(147) Kommissionen bør så vidt muligt lette adgangen til afprøvnings- og forsøgsfaciliteter for organer,
grupper eller laboratorier, der er oprettet eller akkrediteret i henhold til relevant EU-harmoniseringslov-
givning, og som udfører opgaver i forbindelse med overensstemmelsesvurderinger af produkter eller
udstyr, der er omfattet af EU-harmoniseringslovgivningen. Dette er navnlig tilfældet for ekspertpane-
ler, ekspertlaboratorier og referencelaboratorier på området for medicinsk udstyr, jf. forordning (EU)
2017/745 og (EU) 2017/746.
(148) Denne forordning bør fastsætte en forvaltningsramme, som gør det muligt både at koordinere og
støtte anvendelsen af denne forordning på nationalt plan samt opbygge kapaciteter på EU-plan og inddra-
ge interessenter inden for AI. En effektiv gennemførelse og håndhævelse af denne forordning kræver en
forvaltningsramme, som gør det muligt at koordinere og opbygge central ekspertise på EU-plan. AI-kon-
toret blev oprettet ved Kommissionens afgørelse (45) og har som mission at udvikle Unionens ekspertise
og kapaciteter inden for AI og bidrage til gennemførelsen af EU-ret om AI. Medlemsstaterne bør lette
AI-kontorets opgaver med henblik på at støtte udviklingen af Unionens ekspertise og kapaciteter på
EU-plan og styrke det digitale indre markeds funktion. Der bør endvidere oprettes et AI-udvalg bestående
af repræsentanter for medlemsstaterne, et videnskabeligt panel til at integrere det videnskabelige samfund
og et rådgivende forum, der skal bidrage med input fra interessenter til gennemførelsen af denne forord-
ning, både på EU-plan og nationalt plan. Udviklingen af Unionens ekspertise og kapaciteter bør også
indebære, at eksisterende ressourcer og ekspertise udnyttes, navnlig gennem synergier med strukturer,
der er opbygget i forbindelse med håndhævelse på EU-plan af anden ret, og synergier med tilhørende
initiativer på EU-plan såsom fællesforetagendet EuroHPC og AI-afprøvnings- og -forsøgsfaciliteter under
programmet for et digitalt Europa.
(149) For at lette en gnidningsløs, effektiv og harmoniseret gennemførelse af denne forordning bør
der nedsættes et AI-udvalg. AI-udvalget bør afspejle AI-økosystemets forskellige interesser og bestå af
repræsentanter for medlemsstaterne. AI-udvalget bør være ansvarligt for en række rådgivningsopgaver
såsom udtalelser, henstillinger, rådgivning eller bidrag til vejledning om spørgsmål vedrørende gennem-
førelsen af denne forordning, herunder med hensyn til håndhævelsesspørgsmål, tekniske specifikationer
eller eksisterende standarder i forbindelse med de krav, der er fastsat i denne forordning, samt rådgive
og bistå Kommissionen og medlemsstaterne og deres nationale kompetente myndigheder i forbindelse
med specifikke spørgsmål vedrørende AI. For at give medlemsstaterne en vis fleksibilitet med hensyn
til udpegelsen af deres repræsentanter i AI-udvalget kan sådanne repræsentanter være alle personer
tilhørende offentlige enheder, som bør have de relevante kompetencer og beføjelser til at lette koordine-
ring på nationalt plan og bidrage til udførelsen af AI-udvalgets opgaver. AI-udvalget bør nedsætte to
stående undergrupper for at tilvejebringe en platform for samarbejde og udveksling mellem markedsover-
vågningsmyndigheder og bemyndigende myndigheder om spørgsmål vedrørende henholdsvis markeds-
overvågning og bemyndigede organer. Den stående undergruppe for markedsovervågning bør fungere
som den administrative samarbejdsgruppe (ADCO) i forbindelse med denne forordning som omhandlet
i artikel 30 i forordning (EU) 2019/1020. I overensstemmelse med artikel 33 i nævnte forordning bør
Kommissionen støtte aktiviteterne i den stående undergruppe for markedsovervågning ved at foretage
markedsevalueringer eller -undersøgelser, navnlig med henblik på at identificere aspekter af nærværende
49
forordning, der kræver specifik og hurtig koordinering mellem markedsovervågningsmyndighederne. AI-
udvalget kan nedsætte andre stående eller midlertidige undergrupper, alt efter hvad der er relevant, med
henblik på at behandle specifikke spørgsmål. AI-udvalget bør også i relevant omfang samarbejde med
relevante EU-organer, -ekspertgrupper og -netværk, der er aktive inden for rammerne af relevant EU-ret,
herunder navnlig dem, der er aktive i henhold til den relevante EU-ret om data, digitale produkter og
tjenester.
(150) Med henblik på at sikre inddragelse af interessenter i gennemførelsen og anvendelsen af denne
forordning bør der oprettes et rådgivende forum, som skal rådgive og yde teknisk ekspertise til AI-ud-
valget og Kommissionen. For at sikre en varieret og afbalanceret repræsentation af interessenter med
kommercielle og ikkekommercielle interesser og inden for kategorien af kommercielle interesser for så
vidt angår SMV᾽er og andre virksomheder bør det rådgivende forum bl.a. bestå af industrien, iværksætter-
virksomheder, SMV᾽er, den akademiske verden, civilsamfundet, herunder arbejdsmarkedets parter, samt
Agenturet for Grundlæggende Rettigheder, ENISA, Den Europæiske Standardiseringsorganisation (CEN),
Den Europæiske Komité for Elektroteknisk Standardisering (Cenelec) og Det Europæiske Standardise-
ringsinstitut for Telekommunikation (ETSI).
(151) For at støtte gennemførelsen og håndhævelsen af denne forordning, navnlig AI-kontorets overvåg-
ningsaktiviteter med hensyn til AI-modeller til almen brug, bør der oprettes et videnskabeligt panel
af uafhængige eksperter. De uafhængige eksperter, der udgør det videnskabelige panel, bør udvælges
på grundlag af ajourført videnskabelig eller teknisk ekspertise inden for AI og varetage deres opgaver
upartisk og objektivt og sikre fortroligheden af oplysninger og data, der indhentes under udførelsen af
deres opgaver og aktiviteter. For at gøre det muligt at styrke de nationale kapaciteter, der er nødvendige
for en effektiv håndhævelse af denne forordning, bør medlemsstaterne kunne anmode om støtte til deres
håndhævelsesaktiviteter fra den pulje af eksperter, der udgør det videnskabelige panel.
(152) For at støtte passende håndhævelse af AI-systemer og styrke medlemsstaternes kapaciteter bør der
oprettes EU-støttestrukturer for afprøvning af AI, som stilles til rådighed for medlemsstaterne.
(153) Medlemsstaterne spiller en central rolle i anvendelsen og håndhævelsen af denne forordning. I
den forbindelse bør hver medlemsstat udpege mindst én bemyndigende myndighed og mindst én mar-
kedsovervågningsmyndighed som nationale kompetente myndigheder til at føre tilsyn med anvendelsen
og gennemførelsen af denne forordning. Medlemsstaterne kan beslutte at udpege enhver type offentlig
enhed til at udføre de nationale kompetente myndigheders opgaver som omhandlet i denne forordning
i overensstemmelse med deres specifikke nationale organisatoriske karakteristika og behov. For at øge
organisationseffektiviteten for medlemsstaternes vedkommende og oprette et centralt kontaktpunkt for
offentligheden og andre modparter på nationalt plan og EU-plan bør hver medlemsstat udpege en mar-
kedsovervågningsmyndighed, der skal fungere som centralt kontaktpunkt.
(154) De nationale kompetente myndigheder bør udøve deres beføjelser uafhængigt, upartisk og uden
bias for derved at beskytte principperne om objektivitet i deres aktiviteter og opgaver og for at sikre
anvendelsen og gennemførelsen af denne forordning. Medlemmerne af disse myndigheder bør afholde sig
fra ethvert tiltag, der er uforenelig med deres beføjelser, og være underlagt fortrolighedsreglerne i denne
forordning.
(155) For at sikre at udbydere af højrisiko-AI-systemer tager erfaringerne med anvendelse af højrisiko-
AI-systemer i betragtning, når de vil forbedre deres systemer og udformnings- og udviklingsprocessen,
50
eller kan foretage eventuelle korrigerende tiltag rettidigt, bør alle udbydere have indført et system til
overvågning efter omsætningen. Hvis det er relevant, bør overvågning efter omsætningen omfatte en
analyse af interaktionen med andre AI-systemer, herunder andet udstyr og software. Overvågning efter
omsætningen bør ikke omfatte følsomme operationelle data fra idriftsættere, som er retshåndhævende
myndigheder. Dette system er også afgørende for at sikre, at eventuelle risici som følge af AI-systemer,
der fortsætter med at »lære« efter at være bragt i omsætning eller ibrugtaget, kan imødegås mere effektivt
og rettidigt. I den forbindelse bør udbyderne også forpligtes til at have indført et system til at indberette
alvorlige hændelser til de relevante myndigheder, som skyldes anvendelsen af deres AI-systemer, dvs. en
hændelse eller funktionsfejl, der fører til dødsfald eller alvorlig sundhedsskade, alvorlig og uoprettelig
forstyrrelse i forvaltningen og driften af kritisk infrastruktur, overtrædelser af forpligtelser i henhold til
den del af EU-retten, der har til formål at beskytte de grundlæggende rettigheder, eller alvorlig skade på
ejendom eller miljøet.
(156) For at sikre en hensigtsmæssig og effektiv håndhævelse af de krav og forpligtelser, der er
fastsat i denne forordning, som repræsenterer Unionens harmoniseringslovgivning, bør det system til
markedsovervågning og produktoverensstemmelse, der er indført ved forordning (EU) 2019/1020, finde
anvendelse i sin helhed. Markedsovervågningsmyndigheder, der er udpeget i henhold til nærværende
forordning, bør alle have håndhævelsesbeføjelser som fastsat i nærværende forordning og i forordning
(EU) 2019/1020 og bør udøve deres beføjelser og udføre deres opgaver uafhængigt, upartisk og uden
bias. Selv om de fleste AI-systemer ikke er underlagt specifikke krav og forpligtelser i henhold til
nærværende forordning, kan markedsovervågningsmyndighederne træffe foranstaltninger vedrørende alle
AI-systemer, når de udgør en risiko i overensstemmelse med nærværende forordning. På grund af den
særlige karakter af EU-institutioner, -agenturer og -organer, der er omfattet af nærværende forordnings
anvendelsesområde, er det hensigtsmæssigt at udpege Den Europæiske Tilsynsførende for Databeskyttel-
se som kompetent markedsovervågningsmyndighed for dem. Dette bør ikke berøre medlemsstaternes
udpegelse af nationale kompetente myndigheder. Markedsovervågningsaktiviteter bør ikke påvirke de
tilsynsbelagte enheders evne til at udføre deres opgaver uafhængigt, når en sådan uafhængighed er påbudt
i henhold til EU-retten.
(157) Denne forordning berører ikke kompetencerne, opgaverne, beføjelserne og uafhængigheden hos
relevante nationale offentlige myndigheder eller organer, der fører tilsyn med anvendelsen af EU-retten
om beskyttelse af grundlæggende rettigheder, herunder ligestillingsorganer og databeskyttelsesmyndighe-
der. Hvis det er nødvendigt for deres mandat, bør disse nationale offentlige myndigheder eller organer
også have adgang til al den dokumentation, der er udarbejdet i henhold til denne forordning. Der
bør fastsættes en særlig beskyttelsesprocedure for at sikre passende og rettidig håndhævelse over for
AI-systemer, som udgør en risiko for sundhed, sikkerhed og grundlæggende rettigheder. Proceduren for
sådanne AI-systemer, som udgør en risiko, bør anvendes på højrisiko-AI-systemer, der udgør en risiko,
forbudte systemer, der er bragt i omsætning, ibrugtaget eller anvendt i strid med de forbudte former
for praksis, der er fastsat i denne forordning, og AI-systemer, der er gjort tilgængelige i strid med de
gennemsigtighedskrav, der er fastsat i denne forordning, og som udgør en risiko.
(158) EU-retten om finansielle tjenesteydelser omfatter regler og krav vedrørende intern ledelse og
risikostyring, som finder anvendelse på regulerede finansielle institutioner i forbindelse med leveringen af
sådanne tjenester, også når de gør brug af AI-systemer. For at sikre en sammenhængende anvendelse og
håndhævelse af forpligtelserne i henhold til denne forordning og de relevante regler og krav i EU-retsak-
ter om finansielle tjenesteydelser bør de kompetente myndigheder for tilsyn med og håndhævelse af disse
retsakter, navnlig kompetente myndigheder som defineret i Europa-Parlamentets og Rådets forordning
51
(EU) nr. 575/2013 (46) og Europa-Parlamentets og Rådets direktiv 2008/48/EF (47), 2009/138/EF (48),
2013/36/EU (49), 2014/17/EU (50) og (EU) 2016/97 (51), udpeges som kompetente myndigheder inden for
deres respektive kompetenceområder med henblik på at føre tilsyn med gennemførelsen af nærværende
forordning, herunder også markedsovervågningsaktiviteter, for så vidt angår AI-systemer, der leveres
eller anvendes af finansielle institutioner, som er regulerede, og som der føres tilsyn med, medmindre
medlemsstaterne beslutter at udpege en anden myndighed til at udføre disse markedsovervågningsopga-
ver. Disse kompetente myndigheder bør have alle beføjelser i henhold til denne forordning og forordning
(EU) 2019/1020 til at håndhæve nærværende forordnings krav og forpligtelser, herunder beføjelser til
at udføre ex post-markedsovervågningsaktiviteter, der, alt efter hvad der er relevant, kan integreres i
deres eksisterende tilsynsmekanismer og -procedurer i henhold til den relevante EU-ret om finansielle
tjenesteydelser. Det bør fastsættes, at de nationale myndigheder, der er ansvarlige for tilsynet med kredit-
institutter, som er reguleret ved direktiv 2013/36/EU, og som deltager i den fælles tilsynsmekanisme,
der er oprettet ved Rådets forordning (EU) nr. 1024/2013 (52), når de fungerer som markedsovervågnings-
myndigheder i henhold til nærværende forordning, straks bør indberette alle oplysninger, som identifi-
ceres i forbindelse med deres markedsovervågningsaktiviteter, og som kan være af potentiel interesse
for Den Europæiske Centralbanks tilsynsopgaver som fastsat i nævnte forordning, til Den Europæiske
Centralbank. For yderligere at styrke sammenhængen mellem nærværende forordning og de regler, der
gælder for kreditinstitutter, der er reguleret ved direktiv 2013/36/EU, bør nogle af udbydernes procedure-
mæssige forpligtelser i forbindelse med risikostyring, overvågning efter omsætningen og dokumentation
indarbejdes i de eksisterende forpligtelser og procedurer i henhold i direktiv 2013/36/EU. For at undgå
overlapninger bør der også overvejes begrænsede undtagelser for så vidt angår udbydernes kvalitetssty-
ringssystem og den overvågningsforpligtelse, der pålægges idriftsættere af højrisiko-AI-systemer, i det
omfang disse gælder for kreditinstitutter, der er reguleret ved direktiv 2013/36/EU. Den samme ordning
bør gælde for forsikrings- og genforsikringsselskaber og forsikringsholdingselskaber i henhold til direktiv
2009/138/EF og forsikringsformidlere i henhold til direktiv (EU) 2016/97 og andre typer finansielle
institutioner, der er underlagt krav vedrørende intern ledelse, ordninger eller processer, der er fastsat i
henhold til den relevante EU-ret om finansielle tjenesteydelser, for at sikre konsekvens og ligebehandling
i den finansielle sektor.
(159) Hver markedsovervågningsmyndighed for højrisiko-AI-systemer inden for biometri som opført i
et bilag til denne forordning, for så vidt disse systemer anvendes med henblik på retshåndhævelse og
migrationsstyring, asylforvaltning og grænsekontrol eller retspleje og demokratiske processer, bør have
undersøgelsesbeføjelser og korrigerende beføjelser, herunder som minimum beføjelse til at få adgang
til alle personoplysninger, der behandles, og til alle de oplysninger, der er nødvendige for at varetage
sine opgaver. Markedsovervågningsmyndighederne bør kunne udøve deres beføjelser i fuld uafhængig-
hed. Enhver begrænsning i deres adgang til følsomme operationelle data i henhold til denne forordning
bør ikke berøre de beføjelser, som de har fået tillagt ved direktiv (EU) 2016/680. Ingen undtagelse om
videregivelse af data til de nationale databeskyttelsesmyndigheder i henhold til denne forordning bør
påvirke disse myndigheders nuværende eller fremtidige beføjelser uden for denne forordnings anvendel-
sesområde.
(160) Markedsovervågningsmyndighederne og Kommissionen bør kunne foreslå fælles aktiviteter, herun-
der fælles undersøgelser, som skal gennemføres af markedsovervågningsmyndigheder eller af markeds-
overvågningsmyndigheder sammen med Kommissionen, og som har til formål at fremme overholdelse,
identificere manglende overholdelse, øge bevidstheden og yde vejledning for så vidt angår denne forord-
ning med hensyn til specifikke kategorier af højrisiko-AI-systemer, der anses for at udgøre en alvorlig
risiko i to eller flere medlemsstater. Der bør gennemføres fælles aktiviteter til fremme af overholdelse i
52
overensstemmelse med artikel 9 i forordning (EU) 2019/1020. AI-kontoret bør sørge for koordinerende
støtte til de fælles undersøgelser.
(161) Det er nødvendigt at præcisere ansvarsområder og kompetenceområder på EU-plan og nationalt
plan for så vidt angår AI-systemer, der bygger på AI-modeller til almen brug. For at undgå, at
kompetenceområderne overlapper med hinanden, hvis et AI-system bygger på en AI-model til almen
brug, og modellen og systemet leveres af den samme udbyder, bør tilsynet finde sted på EU-plan
gennem AI-kontoret, som i den forbindelse bør have markedsovervågningsmyndighedens beføjelser
som omhandlet i forordning (EU) 2019/1020. I alle andre tilfælde er de nationale markedsovervågnings-
myndigheder fortsat ansvarlige for tilsynet med AI-systemer. Hvad angår AI-systemer til almen brug,
som kan anvendes direkte af idriftsættere til mindst ét formål, der er klassificeret som højrisiko, bør
markedsovervågningsmyndighederne dog samarbejde med AI-Kontoret om at foretage evalueringer af
overholdelsen og underrette AI-udvalget og andre markedsovervågningsmyndigheder i overensstemmelse
hermed. Markedsovervågningsmyndighederne bør desuden kunne anmode AI-kontoret om bistand, hvis
markedsovervågningsmyndigheden ikke er i stand til at afslutte en undersøgelse af et højrisiko-AI-system
som følge af manglende adgang til visse oplysninger vedrørende AI-modeller til almen brug, som
højrisiko-AI-systemet er bygget på. I sådanne tilfælde bør proceduren for gensidig bistand i grænseover-
skridende sager i kapitel VI i forordning (EU) 2019/1020 finde tilsvarende anvendelse.
(162) For at udnytte den centraliserede EU-ekspertise og synergier bedst muligt på EU-plan bør Kommis-
sionen tillægges beføjelser til at føre tilsyn med og håndhæve forpligtelserne for udbydere af AI-modeller
til almen brug. AI-kontoret bør kunne foretage alle nødvendige tiltag for at overvåge, om denne forord-
ning gennemføres effektivt for så vidt angår AI-modeller til almen brug. Det bør både på eget initiativ
på baggrund af resultaterne af sine overvågningsaktiviteter eller efter anmodning fra markedsovervåg-
ningsmyndigheder i overensstemmelse med de betingelser, der er fastsat i denne forordning, kunne
undersøge mulige overtrædelser af reglerne for udbydere af AI-modeller til almen brug. For at understøtte
AI-kontoret med at foretage en effektiv overvågning bør det give downstreamudbydere mulighed for at
indgive klager over mulige overtrædelser af reglerne om udbydere af AI-modeller og -systemer til almen
brug.
(163) Med henblik på at supplere forvaltningssystemerne for AI-modeller til almen brug bør det viden-
skabelige panel støtte AI-kontorets overvågningsaktiviteter og kan i visse tilfælde sende kvalificerede
varslinger til AI-kontoret, hvilket udløser opfølgende foranstaltninger såsom undersøgelser. Dette bør
være tilfældet, hvis det videnskabelige panel har begrundet mistanke om, at en AI-model til almen
brug udgør en konkret og identificerbar risiko på EU-plan. Dette bør desuden være tilfældet, hvis det
videnskabelige panel har begrundet mistanke om, at en AI-model til almen brug opfylder de kriterier,
der medfører en klassificering som en AI-model til almen brug med systemisk risiko. For at give det
videnskabelige panel de oplysninger, der er nødvendige for at varetage disse opgaver, bør der findes en
mekanisme, hvorved det videnskabelige panel kan anmode Kommissionen om at kræve dokumentation
eller oplysninger fra en udbyder.
(164) AI-kontoret bør kunne foretage de nødvendige tiltag til at overvåge, at de forpligtelser for udbydere
af AI-modeller til almen brug, der er fastsat i denne forordning, gennemføres og overholdes effektivt. AI-
kontoret bør kunne undersøge mulige overtrædelser i overensstemmelse med de beføjelser, der er fastsat i
denne forordning, herunder ved at anmode om dokumentation og oplysninger, foretage evalueringer samt
ved at anmode udbydere af AI-modeller til almen brug om at træffe foranstaltninger. For at gøre brug
af uafhængig ekspertise bør AI-kontoret ved gennemførelse af evalueringer kunne inddrage uafhængige
53
eksperter, som foretager evalueringer på dets vegne. Overholdelse af forpligtelserne bør bl.a. kunne
håndhæves gennem anmodninger om at træffe passende foranstaltninger, herunder risikobegrænsende for-
anstaltninger i tilfælde af konstaterede systemiske risici samt tilgængeliggørelse på markedet, tilbagetræk-
ning eller tilbagekaldelse af modellen. Såfremt der skulle opstå behov ud over de procedurerettigheder,
der er fastsat i denne forordning, bør udbydere af AI-modeller til almen brug som en sikkerhedsforanstalt-
ning råde over de procedurerettigheder, der er fastsat i artikel 18 i forordning (EU) 2019/1020, som
bør finde tilsvarende anvendelse, uden at dette berører de mere specifikke procedurerettigheder fastsat i
nærværende forordning.
(165) Udviklingen af andre AI-systemer end højrisiko-AI-systemer i overensstemmelse med kravene i
denne forordning kan føre til en større udbredelse af etisk og troværdig AI i Unionen. Udbydere af
AI-systemer, der ikke er højrisiko, bør tilskyndes til at udarbejde adfærdskodekser, herunder tilhørende
forvaltningsmekanismer, med det formål at fremme frivillig anvendelse af visse af eller alle de obligatori-
ske krav, der gælder for højrisiko-AI-systemer, og som er tilpasset i lyset af det tilsigtede formål med
systemerne og den lavere risiko, og under hensyntagen til de tilgængelige tekniske løsninger og industri-
ens bedste praksis såsom model og datakort. Udbydere og, alt efter hvad der er relevant, idriftsættere af
alle AI-systemer, højrisiko eller ej, og AI-modeller bør også tilskyndes til på frivillig basis at anvende
yderligere krav vedrørende f.eks. elementerne i Unionens etiske retningslinjer for troværdig AI, miljø-
mæssig bæredygtighed, foranstaltninger vedrørende AI-færdigheder, inklusiv og mangfoldig udformning
og udvikling af AI-systemer, herunder med fokus på sårbare personer og tilgængelighed for personer
med handicap, deltagelse af interessenter med inddragelse i relevant omfang af relevante interessenter
såsom erhvervslivet og civilsamfundsorganisationer, den akademiske verden, forskningsorganisationer,
fagforeninger og forbrugerbeskyttelsesorganisationer i udformning og udvikling af AI-systemer og mang-
foldighed i udviklingsteamene, herunder kønsbalance. For at sikre at de frivillige adfærdskodekser er
effektive, bør de baseres på klare mål og centrale resultatindikatorer til måling af realiseringen af disse
mål. De bør også udvikles på en inklusiv måde og i relevant omfang med inddragelse af relevante
interessenter såsom erhvervslivet og civilsamfundsorganisationer, den akademiske verden, forskningsor-
ganisationer, fagforeninger og forbrugerbeskyttelsesorganisationer. Kommissionen kan udvikle initiativer,
bl.a. på sektorniveau, for at lette mindskelsen af tekniske hindringer for grænseoverskridende udveksling
af data til AI-udvikling, herunder med hensyn til dataadgangsinfrastruktur og semantisk og teknisk
interoperabilitet af forskellige typer data.
(166) Det er vigtigt, at AI-systemer vedrørende produkter, der ikke er højrisikoprodukter i overensstem-
melse med denne forordning og derfor ikke skal overholde kravene for højrisiko-AI-systemer, ikke desto
mindre er sikre, når de bringes i omsætning eller ibrugtages. Med henblik på at bidrage til dette mål vil
Europa-Parlamentets og Rådets forordning (EU) 2023/988 (53) finde anvendelse som sikkerhedsnet.
(167) For at sikre et tillidsfuldt og konstruktivt samarbejde mellem de kompetente myndigheder på
EU-plan og nationalt plan bør alle de parter, der er involveret i anvendelsen af denne forordning,
respektere fortroligheden af oplysninger og data, der er indhentet under udførelsen af deres opgaver i
overensstemmelse med EU-retten eller national ret. De bør udføre deres opgaver og aktiviteter på en
sådan måde, at de navnlig beskytter intellektuelle ejendomsrettigheder, fortrolige forretningsoplysninger
og forretningshemmeligheder, en effektiv gennemførelse af denne forordning, offentlige og nationale sik-
kerhedsinteresser, strafferetlige og administrative procedurers integritet og klassificerede informationers
integritet.
54
(168) Overholdelsen af denne forordning bør kunne håndhæves ved pålæg af sanktioner og andre
håndhævelsesforanstaltninger. Medlemsstaterne bør træffe alle nødvendige foranstaltninger til at sikre,
at bestemmelserne i denne forordning gennemføres, herunder ved at fastsætte sanktioner for overtrædelse
heraf, som er effektive, står i et rimeligt forhold til overtrædelsen og har afskrækkende virkning, og at
princippet om ne bis in idem respekteres. For at styrke og harmonisere de administrative sanktioner for
overtrædelse af denne forordning bør der fastsættes øvre grænser for fastsættelse af administrative bøder
for visse specifikke overtrædelser. Ved vurdering af bødernes størrelse bør medlemsstaterne i hvert enkelt
tilfælde tage hensyn til alle relevante omstændigheder i den specifikke situation, navnlig under behørig
hensyntagen til overtrædelsens art, grovhed og varighed og dens konsekvenser samt til udbyderens
størrelse, navnlig hvis udbyderen er en SMV, herunder en iværksættervirksomhed. Den Europæiske
Tilsynsførende for Databeskyttelse bør have beføjelse til at pålægge de EU-institutioner, -agenturer og
-organer, der er omfattet af denne forordnings anvendelsesområde, bøder.
(169) Overholdelse af de forpligtelser for udbydere af AI-modeller til almen brug, der pålægges i henhold
til denne forordning, bør bl.a. kunne håndhæves ved hjælp af bøder. Med henblik herpå bør der også fast-
sættes passende bødeniveauer for overtrædelse af disse forpligtelser, herunder manglende overholdelse
af de foranstaltninger, som Kommissionen har anmodet om i overensstemmelse med denne forordning,
som er genstand for passende forældelsesfrister i overensstemmelse med proportionalitetsprincippet. Alle
afgørelser, der træffes af Kommissionen i medfør af denne forordning, underkastes fornyet prøvelse ved
EU-Domstolen i overensstemmelse med TEUF, herunder EU-Domstolens fulde prøvelsesret vedrørende
sanktioner i henhold til artikel 261 i TEUF.
(170) EU-retten og national ret indeholder allerede bestemmelser om effektive retsmidler for fysiske
og juridiske personer, hvis rettigheder og frihedsrettigheder påvirkes negativt af anvendelsen af AI-syste-
mer. Uden at det berører disse retsmidler, bør enhver fysisk eller juridisk person, der har grund til at
mene, at der er sket en overtrædelse af denne forordning, have ret til at indgive en klage til den relevante
markedsovervågningsmyndighed.
(171) De berørte personer bør have ret til at få en forklaring, hvis en idriftsætters afgørelse hovedsagelig
er baseret på output fra visse højrisiko-AI-systemer, der er omfattet af anvendelsesområdet for denne
forordning, og hvis afgørelsen har retsvirkninger eller på tilsvarende måde i væsentlig grad påvirker disse
personer på en måde, som de anser for at have negativ indvirkning på deres sundhed, sikkerhed eller
grundlæggende rettigheder. Denne forklaring bør være klar og meningsfuld og danne et grundlag, ud fra
hvilket de berørte personer kan udøve deres rettigheder. Retten til at få en forklaring bør ikke gælde for
anvendelsen af AI-systemer, for hvilke undtagelser eller begrænsninger følger af EU-retten eller national
ret, og bør kun gælde, for så vidt denne rettighed ikke allerede er fastsat i EU-retten.
(172) Personer, der fungerer som »whistleblowere« i forbindelse med overtrædelser af denne forordning,
bør beskyttes i henhold til EU-retten. Europa-Parlamentets og Rådets direktiv (EU) 2019/1937 (54) bør
derfor finde anvendelse på indberetning af overtrædelser af denne forordning og på beskyttelsen af
personer, der indberetter sådanne overtrædelser.
(173) For at den lovgivningsmæssige ramme om nødvendigt kan tilpasses, bør beføjelsen til at vedtage
retsakter delegeres til Kommissionen i overensstemmelse med artikel 290 i TEUF for at ændre betingel-
serne for, at et AI-system ikke skal betragtes som værende højrisiko, listen over højrisiko-AI-systemer,
bestemmelserne vedrørende teknisk dokumentation, indholdet af EU-overensstemmelseserklæringen, be-
stemmelserne vedrørende overensstemmelsesvurderingsprocedurer, bestemmelserne om fastsættelse af de
55
højrisiko-AI-systemer, på hvilke overensstemmelsesvurderingsproceduren på grundlag af en vurdering af
kvalitetsstyringssystemet og en vurdering af den tekniske dokumentation bør finde anvendelse, tærsklen,
benchmarks og indikatorer, herunder ved at supplere disse benchmarks og indikatorer, i reglerne om klas-
sificering af AI-modeller til almen brug med systemisk risiko, kriterierne for udpegelse af AI-modeller
til almen brug med systemisk risiko, den tekniske dokumentation for udbydere af AI-modeller til almen
brug og gennemsigtighedsoplysningerne for udbydere af AI-modeller til almen brug. Det er navnlig
vigtigt, at Kommissionen gennemfører relevante høringer under sit forberedende arbejde, herunder på
ekspertniveau, og at disse høringer gennemføres i overensstemmelse med principperne i den interinstitu-
tionelle aftale af 13. april 2016 om bedre lovgivning (55). For at sikre lige deltagelse i forberedelsen
af delegerede retsakter modtager Europa-Parlamentet og Rådet navnlig alle dokumenter på samme tid
som medlemsstaternes eksperter, og deres eksperter har systematisk adgang til møder i Kommissionens
ekspertgrupper, der beskæftiger sig med forberedelse af delegerede retsakter.
(174) I betragtning af den hastige teknologiske udvikling og den tekniske ekspertise, der er nødvendig for
effektivt at anvende denne forordning, bør Kommissionen evaluere og revidere denne forordning senest
den 2. august 2029 og derefter hvert fjerde år og aflægge rapport til Europa-Parlamentet og Rådet. Under
hensyntagen til konsekvenserne for denne forordnings anvendelsesområde bør Kommissionen desuden
foretage en vurdering af behovet for at ændre listen over højrisiko-AI-systemer og listen over forbudte
praksisser én gang om året. Senest den 2. august 2028 og derefter hvert fjerde år bør Kommissionen yder-
mere evaluere og aflægge rapport til Europa-Parlamentet og Rådet om behovet for at ændre listen over
højrisikoområdeoverskrifter i bilaget til denne forordning, de AI-systemer, der er omfattet af gennemsig-
tighedsforpligtelserne, effektiviteten af tilsyns- og forvaltningssystemet og fremskridt med udviklingen af
standardiseringsdokumentation om en energieffektiv udvikling af AI-modeller til almen brug, herunder
behovet for yderligere foranstaltninger eller tiltag. Endelig bør Kommissionen senest den 2. august 2028
og derefter hvert tredje år evaluere virkningen og effektiviteten af frivillige adfærdskodekser med henblik
på at fremme anvendelsen af de fastsatte krav til højrisiko-AI-systemer i tilfælde af andre AI-systemer
end højrisiko-AI-systemer og eventuelt andre yderligere krav til sådanne AI-systemer.
(175) For at sikre ensartede betingelser for gennemførelsen af denne forordning bør Kommissionen
tillægges gennemførelsesbeføjelser. Disse beføjelser bør udøves i overensstemmelse med Europa-Parla-
mentets og Rådets forordning (EU) nr. 182/2011 (56).
(176) Målet for denne forordning, nemlig at forbedre det indre markeds funktion og fremme udbredel-
sen af menneskecentreret og troværdig AI og samtidig sikre et højt niveau af beskyttelse af sundhed,
sikkerhed og de grundlæggende rettigheder, der er nedfældet i chartret, herunder demokratiet, retsstats-
princippet og miljøbeskyttelse, mod skadelige virkninger af AI-systemer i Unionen og støtte innovation,
kan ikke i tilstrækkelig grad opfyldes af medlemsstaterne, men kan på grund af handlingens omfang eller
virkninger bedre nås på EU-plan; Unionen kan derfor vedtage foranstaltninger i overensstemmelse med
nærhedsprincippet, jf. artikel 5 i TEU. I overensstemmelse med proportionalitetsprincippet, jf. nævnte
artikel, går denne forordning ikke videre, end hvad der er nødvendigt for at nå dette mål.
(177) Med henblik på at sikre retssikkerheden, sikre en passende tilpasningsperiode for operatører og
undgå markedsforstyrrelser, herunder ved at sikre kontinuitet i anvendelsen af AI-systemer, bør denne
forordning kun finde anvendelse på højrisiko-AI-systemer, der er bragt i omsætning eller ibrugtaget inden
den generelle anvendelsesdato, hvis disse systemer fra denne dato er genstand for betydelige ændringer
af deres udformning eller tilsigtede formål. Det er hensigtsmæssigt at præcisere, at begrebet betydelig
ændring i denne henseende bør forstås som indholdsmæssigt ækvivalent med begrebet væsentlig ændring,
56
som kun anvendes i forbindelse med højrisiko-AI-systemer i medfør af denne forordning. Undtagelsesvist
og i lyset af offentlig ansvarlighed bør operatører af AI-systemer, som er komponenter i de store IT-sy-
stemer, der er oprettet ved de retsakter, der er opført i et bilag til denne forordning, og operatører af
højrisiko-AI-systemer, der er tilsigtet anvendt af offentlige myndigheder, henholdsvis tage de nødvendige
skridt til at overholde kravene i denne forordning inden udgangen af 2030 og senest den 2. august 2030.
(178) Udbydere af højrisiko-AI-systemer tilskyndes til frivilligt at begynde at overholde de relevante
forpligtelser i denne forordning allerede i overgangsperioden.
(179) Denne forordning bør finde anvendelse fra den 2. august 2026. Under hensyntagen til den uaccepta-
ble risiko, der på visse måder er forbundet med anvendelsen af AI, bør forbuddene og de almindelige
bestemmelser i denne forordning dog finde anvendelse allerede fra den 2. februar 2025. Selv om den
fulde virkning af disse forbud følger med indførelsen af forvaltningen og håndhævelsen af denne forord-
ning, er det vigtigt at foregribe anvendelsen af forbuddene for at tage hensyn til uacceptable risici, som
har indvirkning på andre procedurer såsom i civilretten. Infrastrukturen i forbindelse med forvaltnings-
og overensstemmelsesvurderingssystemet bør desuden være operationel inden den 2. august 2026, og
bestemmelserne om bemyndigede organer og forvaltningsstruktur bør derfor finde anvendelse fra den
2. august 2025. I betragtning af de hastige teknologiske fremskridt og udbredelsen af AI-modeller til
almen brug bør forpligtelserne for udbydere af AI-modeller til almen brug finde anvendelse fra den
2. august 2025. Praksiskodekser skal være klar senest den 2. maj 2025 med henblik på at gøre det
muligt for udbyderne rettidigt at påvise overholdelse. AI-kontoret bør sikre, at klassificeringsregler og
-procedurer er ajourførte i lyset af den teknologiske udvikling. Desuden bør medlemsstaterne fastsætte
og meddele Kommissionen bestemmelserne om sanktioner, herunder administrative bøder, og sikre, at
de er gennemført korrekt og effektivt på datoen for denne forordnings anvendelse. Bestemmelserne om
sanktioner bør derfor finde anvendelse fra den 2. august 2025.
(180) Den Europæiske Tilsynsførende for Databeskyttelse og Det Europæiske Databeskyttelsesråd er
blevet hørt i overensstemmelse med artikel 42, stk. 1 og 2, i forordning (EU) 2018/1725 og afgav deres
fælles udtalelse den 18. juni 2021 —
VEDTAGET DENNE FORORDNING:
KAPITEL I
ALMINDELIGE BESTEMMELSER
Artikel 1
Genstand
1. Formålet med denne forordning er at forbedre det indre markeds funktion og fremme udbredelsen af
menneskecentreret og troværdig kunstig intelligens (AI) og samtidig sikre et højt niveau af beskyttelse af
sundhed, sikkerhed og de grundlæggende rettigheder, der er nedfældet i chartret, herunder demokratiet,
retsstatsprincippet og miljøbeskyttelse, mod de skadelige virkninger af AI-systemer i Unionen og støtte
innovation.
2. Ved denne forordning fastsættes:
57
a) harmoniserede regler for omsætning, ibrugtagning og anvendelse af AI-systemer i Unionen
b) forbud mod visse former for AI-praksis
c) specifikke krav til højrisiko-AI-systemer og forpligtelser for operatører af sådanne systemer
d) harmoniserede gennemsigtighedsregler for bestemte AI-systemer
e) harmoniserede regler for omsætning af AI-modeller til almen brug
f) regler om overvågning efter omsætningen, markedsovervågning, forvaltning og håndhævelse
g) foranstaltninger til støtte for innovation med særligt fokus på SMV᾽er, herunder iværksættervirksomhe-
der.
Artikel 2
Anvendelsesområde
1. Denne forordning finder anvendelse på:
a) udbydere, der bringer AI-systemer i omsætning eller ibrugtager sådanne eller bringer AI-modeller til
almen brug i omsætning i Unionen, uanset om disse udbydere er etableret eller befinder sig i Unionen
eller i et tredjeland
b) idriftsættere af AI-systemer, der er etableret eller befinder sig i Unionen
c) udbydere og idriftsættere af AI-systemer, der er etableret eller befinder sig i et tredjeland, hvis det
output, der produceres af systemet, anvendes i Unionen
d) importører og distributører af AI-systemer
e) producenter af et produkt, der sammen med deres produkt og under eget navn eller varemærke bringer
et AI-system i omsætning eller ibrugtager det
f) bemyndigede repræsentanter for udbydere, der ikke er etableret i Unionen
g) berørte personer, der befinder sig i Unionen.
2. For så vidt angår AI-systemer, der er klassificeret som højrisiko-AI-systemer i overensstemmelse med
artikel 6, stk. 1, i forbindelse med produkter, der er omfattet af EU-harmoniseringslovgivningen opført
i bilag I, afsnit B, finder kun artikel 6, stk. 1, og artikel 102-109 og 112 anvendelse. Artikel 57 finder
kun anvendelse, for så vidt kravene til højrisiko-AI-systemer i henhold til denne forordning er blevet
integreret i den pågældende EU-harmoniseringslovgivning.
3. Denne forordning finder ikke anvendelse på områder, der falder uden for EU-rettens anvendelsesom-
råde, og berører under alle omstændigheder ikke medlemsstaternes kompetencer vedrørende national
sikkerhed, uanset hvilken type enhed medlemsstaterne har bemyndiget til at udføre opgaver i forbindelse
med disse kompetencer.
Denne forordning finder ikke anvendelse på AI-systemer, hvis og i det omfang de bringes i omsætning,
ibrugtages eller anvendes med eller uden ændring til formål, der udelukkende vedrører militær, forsvar
eller national sikkerhed, uanset hvilken type enhed der udfører disse aktiviteter.
58
Denne forordning finder ikke anvendelse på AI-systemer, der ikke bringes i omsætning eller ibrugtages
i Unionen, hvis outputtet anvendes i Unionen til formål, der udelukkende vedrører militær, forsvar eller
national sikkerhed, uanset hvilken type enhed der udfører disse aktiviteter.
4. Denne forordning finder hverken anvendelse på offentlige myndigheder i tredjelande eller internati-
onale organisationer, der er omfattet af denne forordnings anvendelsesområde, jf. stk. 1, hvis disse
myndigheder eller organisationer anvender AI-systemer inden for rammerne af internationalt samarbejde
eller internationale aftaler om retshåndhævelse og retligt samarbejde med Unionen eller med en eller
flere medlemsstater, forudsat at et sådant tredjeland eller en sådan international organisation træffer
tilstrækkelige sikkerhedsforanstaltninger med hensyn til beskyttelsen af fysiske personers grundlæggende
rettigheder og friheder.
5. Denne forordning berører ikke anvendelsen af bestemmelserne om udbydere af formidlingstjenesters
ansvar som fastsat i kapitel II i forordning (EU) 2022/2065.
6. Denne forordning finder ikke anvendelse på AI-systemer eller AI-modeller, herunder deres output, som
specifikt er udviklet og ibrugtaget udelukkende med henblik på videnskabelig forskning og udvikling.
7. EU-retten om beskyttelse af personoplysninger, privatlivets fred og kommunikationshemmeligheden
finder anvendelse på personoplysninger, som behandles i forbindelse med de rettigheder og forpligtelser,
der er fastsat i denne forordning. Denne forordning berører ikke forordning (EU) 2016/679 eller (EU)
2018/1725 eller direktiv 2002/58/EF eller (EU) 2016/680, uden at det berører nærværende forordnings
artikel 10, stk. 5, og artikel 59.
8. Denne forordning finder ikke anvendelse på forsknings-, afprøvnings- eller udviklingsaktiviteter vedrø-
rende AI-systemer eller AI-modeller, inden de bringes i omsætning eller ibrugtages. Sådanne aktiviteter
gennemføres i overensstemmelse med gældende EU-ret. Afprøvning under faktiske forhold er ikke
omfattet af denne undtagelse.
9. Denne forordning berører ikke de regler, der er fastsat i andre EU-retsakter vedrørende forbrugerbe-
skyttelse og produktsikkerhed.
10. Denne forordning finder ikke anvendelse på forpligtelser for idriftsættere, som er fysiske personer, der
anvender AI-systemer som led i rent personlige ikkeerhvervsmæssige aktiviteter.
11. Denne forordning er ikke til hinder for, at Unionen eller medlemsstaterne opretholder eller indfører
love, forskrifter eller administrative bestemmelser, der er gunstigere for arbejdstagerne med hensyn
til beskyttelse af deres rettigheder i forbindelse med arbejdsgivernes anvendelse af AI-systemer, eller
tilskynder til eller tillader anvendelse af kollektive overenskomster, der er gunstigere for arbejdstagerne.
12. Denne forordning finder ikke anvendelse på AI-systemer, der frigives i henhold til gratis open
source-licenser, medmindre de bringes i omsætning eller ibrugtages som højrisiko-AI-systemer eller et
AI-system, der er omfattet af artikel 5 eller 50.
Artikel 3
Definitioner
I denne forordning forstås ved:
1) »AI-system«: et maskinbaseret system, som er udformet med henblik på at fungere med en varierende
grad af autonomi, og som efter idriftsættelsen kan udvise en tilpasningsevne, og som til eksplicitte eller
59
implicitte mål af det input, det modtager, udleder, hvordan det kan generere output såsom forudsigelser,
indhold, anbefalinger eller beslutninger, som kan påvirke fysiske eller virtuelle miljøer
2) »risiko«: kombinationen af sandsynligheden for, at der opstår en skade, og den pågældende skades
alvor
3) »udbyder«: en fysisk eller juridisk person, en offentlig myndighed, et agentur eller et andet organ, der
udvikler eller får udviklet et AI-system eller en AI-model til almen brug og bringer dem i omsætning eller
ibrugtager AI-systemet under eget navn eller varemærke, enten mod betaling eller gratis
4) »idriftsætter«: en fysisk eller juridisk person, en offentlig myndighed, et agentur eller et andet organ,
der anvender et AI-system under sin myndighed, medmindre AI-systemet anvendes som led i en personlig
ikkeerhvervsmæssig aktivitet
5) »bemyndiget repræsentant«: en fysisk eller juridisk person, der befinder sig eller er etableret i Unionen,
og som har modtaget og accepteret et skriftligt mandat fra en udbyder af et AI-system eller en AI-model
til almen brug til på dennes vegne at opfylde og udføre de forpligtelser og procedurer, der er fastsat i
denne forordning
6) »importør«: en fysisk eller juridisk person, som befinder sig eller er etableret i Unionen, og som
bringer et AI-system i omsætning, der bærer en i et tredjeland etableret fysisk eller juridisk persons navn
eller varemærke
7) »distributør«: en fysisk eller juridisk person i forsyningskæden, bortset fra udbyderen eller importøren,
som gør et AI-system tilgængeligt på EU-markedet
8) »operatør«: en udbyder, producent af et produkt, idriftsætter, bemyndiget repræsentant, importør eller
distributør
9) »omsætning«: den første tilgængeliggørelse af et AI-system eller en AI-model til almen brug på
EU-markedet
10) »tilgængeliggørelse på markedet«: levering af et AI-system eller en AI-model til almen brug med
henblik på distribution eller anvendelse på EU-markedet som led i erhvervsvirksomhed mod eller uden
vederlag
11) »ibrugtagning«: levering af et AI-system til anvendelse for første gang enten direkte til idriftsætteren
eller til egen brug i Unionen i overensstemmelse med dets tilsigtede formål
12) »tilsigtet formål«: den anvendelse, som et AI-system af udbyderen er tilsigtet, herunder den specifik-
ke sammenhæng og de specifikke betingelser for anvendelse som angivet i de oplysninger, udbyderen
giver i brugsanvisningen, reklame- eller salgsmaterialet og reklame- og salgserklæringerne samt i den
tekniske dokumentation
13) »fejlanvendelse, der med rimelighed kan forudses«: anvendelse af et AI-system på en måde, der ikke
er i overensstemmelse med systemets tilsigtede formål, men som kan skyldes menneskelig adfærd eller
interaktion med andre systemer, herunder andre AI-systemer, der med rimelighed kan forudses
14) »sikkerhedskomponent«: en komponent i et produkt eller et AI-system, som har en sikkerhedsfunkti-
on for det pågældende produkt eller AI-system eller i tilfælde af svigt eller funktionsfejl, som bringer
personers sundhed og sikkerhed eller ejendom i fare, i produktet eller systemet
60
15) »brugsanvisning«: oplysninger fra udbyderen med henblik på at informere idriftsætteren om navnlig
et AI-systems tilsigtede formål og korrekte anvendelse
16) »tilbagekaldelse af et AI-system«: enhver foranstaltning, der har til formål at opnå, at et AI-system,
der allerede er gjort tilgængeligt for idriftsætterne, returneres til udbyderen eller tages ud af drift eller
deaktiveres
17) »tilbagetrækning af et AI-system«: enhver foranstaltning, der har til formål at forhindre, at et AI-sy-
stem i forsyningskæden gøres tilgængeligt på markedet
18) »et AI-systems ydeevne«: et AI-systems evne til at opfylde det tilsigtede formål
19) »bemyndigende myndighed«: den nationale myndighed, der er ansvarlig for at indføre og gennemføre
de nødvendige procedurer for vurdering, udpegelse og notifikation af overensstemmelsesvurderingsorga-
ner og for overvågning heraf
20) »overensstemmelsesvurdering«: processen til påvisning af, om de i kapitel III, afdeling 2, fastsatte
krav vedrørende et højrisiko-AI-system er opfyldt
21) »overensstemmelsesvurderingsorgan«: et organ, der som tredjepart udfører overensstemmelsesvurde-
ringsaktiviteter, herunder afprøvning, certificering og inspektion
22) »bemyndiget organ«: et overensstemmelsesvurderingsorgan, der er notificeret i overensstemmelse
med denne forordning og anden relevant EU-harmoniseringslovgivning
23) »væsentlig ændring«: en ændring af et AI-system efter dets omsætning eller ibrugtagning, som ikke
er forudset eller planlagt i udbyderens indledende overensstemmelsesvurdering, og som følge af hvilken
AI-systemets overholdelse af de i kapitel III, afdeling 2, fastsatte krav påvirkes eller medfører en ændring
af det tilsigtede formål, med henblik på hvilket AI-systemet er vurderet
24) »CE-mærkning«: en mærkning, hvormed en udbyder angiver, at et AI-system er i overensstemmelse
med de krav, der er fastsat i kapitel III, afdeling 2, og anden gældende EU-harmoniseringslovgivning, og
om anbringelse af denne mærkning
25) »system til overvågning efter omsætningen«: alle aktiviteter, som udbydere af AI-systemer udfører
for at samle og gennemgå erfaringer med anvendelse af de AI-systemer, de bringer i omsætning eller
ibrugtager, med henblik på at afdække eventuelle behov for omgående at foretage nødvendige, korrige-
rende eller forebyggende tiltag
26) »markedsovervågningsmyndighed«: den nationale myndighed, der udfører aktiviteterne og træffer
foranstaltningerne i henhold til forordning (EU) 2019/1020
27) »harmoniseret standard«: en harmoniseret standard som defineret i artikel 2, nr. 1), litra c), i forord-
ning (EU) nr. 1025/2012
28) »fælles specifikation«: et sæt af tekniske specifikationer som defineret i artikel 2, nr. 4), i forordning
(EU) nr. 1025/2012, der giver mulighed for at overholde visse krav, der er fastsat i nærværende forord-
ning
29) »træningsdata«: data, der anvendes til træning af et AI-system ved hjælp af tilpasning af dets lærbare
parametre
61
30) »valideringsdata«: data, der anvendes til at foretage en evaluering af det trænede AI-system og
til at justere systemets ikkelærbare parametre og dets læringsproces med henblik på bl.a. at forhindre
undertilpasning eller overtilpasning
31) »valideringsdatasæt«: et separat datasæt eller en del af træningsdatasættet, enten som et fast eller
variabelt split
32) »afprøvningsdata«: data, der anvendes til en uafhængig evaluering af AI-systemet for at bekræfte
systemets forventede ydeevne, inden det bringes i omsætning eller ibrugtages
33) »inputdata«: data, der leveres til eller hentes direkte af et AI-system, og på grundlag af hvilke
systemet leverer et output
34) »biometriske data«: personoplysninger som følge af specifik teknisk behandling vedrørende en
fysisk persons fysiske, fysiologiske eller adfærdsmæssige karakteristika som f.eks. ansigtsbilleder eller
fingeraftryksoplysninger
35) »biometrisk identifikation«: automatiseret genkendelse af fysiske, fysiologiske, adfærdsmæssige eller
psykologiske menneskelige træk med henblik på at fastslå en fysisk persons identitet ved at sammenligne
den pågældende persons biometriske data med biometriske data om enkeltpersoner lagret i en database
36) »biometrisk verifikation«: automatiseret, en-til-en-verifikation, herunder autentificering, af fysiske
personers identitet ved at sammenligne deres biometriske data med tidligere afgivne biometriske data
37) »særlige kategorier af personoplysninger«: de kategorier af personoplysninger, der er omhandlet i
artikel 9, stk. 1, i forordning (EU) 2016/679, artikel 10 i direktiv (EU) 2016/680 og artikel 10, stk. 1, i
forordning (EU) 2018/1725
38) »følsomme operationelle data«: operationelle data vedrørende aktiviteter med henblik på forebyggel-
se, afsløring, efterforskning eller retsforfølgning af strafbare handlinger, hvis videregivelse kan bringe
straffesagens integritet i fare
39) »system til følelsesgenkendelse«: et AI-system, der har til formål at genkende eller udlede fysiske
personers følelser eller hensigter på grundlag af deres biometriske data
40) »system til biometrisk kategorisering«: et AI-system, der har til formål at placere fysiske personer i
bestemte kategorier på grundlag af deres biometriske data, medmindre de understøtter en anden kommer-
ciel tjeneste og er strengt nødvendige af objektive tekniske årsager
41) »system til biometrisk fjernidentifikation«: et AI-system, der har til formål at identificere fysiske
personer uden deres aktive deltagelse, typisk på afstand, ved at sammenligne en persons biometriske data
med de biometriske data i en referencedatabase
42) »system til biometrisk fjernidentifikation i realtid«: et system til biometrisk fjernidentifikation, hvor
optagelse af biometriske data, sammenligning og identifikation alle finder sted uden væsentlig forsinkel-
se, omfattende ikke blot øjeblikkelig identifikation, men også begrænsede, korte forsinkelser for at undgå
omgåelse
43) »system til efterfølgende biometrisk fjernidentifikation«: et system til biometrisk fjernidentifikation,
som ikke er et system til biometrisk fjernidentifikation i realtid
62
44) »offentligt sted«: ethvert offentligt eller privatejet fysisk sted, der er tilgængeligt for et ubestemt
antal fysiske personer, uanset om der kan gælde visse adgangsbetingelser, og uanset de potentielle
kapacitetsbegrænsninger
45) »retshåndhævende myndigheder«:
a) enhver offentlig myndighed, der er kompetent med hensyn til at forebygge, efterforske, afsløre eller
retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og fore-
bygge trusler mod den offentlige sikkerhed, eller
b) ethvert andet organ eller enhver anden enhed, som i henhold til medlemsstaternes nationale ret
udøver offentlig myndighed og offentlige beføjelser med henblik på at forebygge, efterforske, afsløre
eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og
forebygge trusler mod den offentlige sikkerhed
46) »retshåndhævelse«: aktiviteter, som udføres af retshåndhævende myndigheder eller på deres vegne,
med hensyn til at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde
strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed
47) »AI-kontoret«: Kommissionens funktion med at bidrage til gennemførelsen og overvågningen af og
tilsynet med AI-systemer og AI-modeller til almen brug og AI-forvaltning, der er fastsat i Kommission-
ens afgørelse af 24. januar 2024; henvisninger i denne forordning til AI-kontoret forstås som henvisninger
til Kommissionen
48) »national kompetent myndighed«: en bemyndigende myndighed eller en markedsovervågningsmyn-
dighed; for så vidt angår AI-systemer, der tages i brug eller anvendes af EU-institutioner, -agenturer,
-kontorer og -organer, forstås henvisninger til nationale kompetente myndigheder eller markedsovervåg-
ningsmyndigheder i denne forordning som henvisninger til Den Europæiske Tilsynsførende for Databe-
skyttelse
49) »alvorlig hændelse«: en hændelse eller funktionsfejl i et AI-system, som direkte eller indirekte fører
til et af følgende udfald:
a) et menneskes død eller alvorlig skade på et menneskes helbred
b) en alvorlig og uoprettelig forstyrrelse i forvaltningen eller driften af kritisk infrastruktur
c) overtrædelse af forpligtelser i henhold til den del af EU-retten, der har til formål at beskytte de
grundlæggende rettigheder
d) alvorlig skade på ejendom eller miljøet
50) »personoplysninger«: personoplysninger som defineret i artikel 4, nr. 1), i forordning (EU) 2016/679
51) »andre data end personoplysninger«: andre data end personoplysninger som defineret i artikel 4, nr.
1), i forordning (EU) 2016/679
52) »profilering«: profilering som defineret artikel 4, nr. 4), i forordning (EU) 2016/679
53) »plan for afprøvning under faktiske forhold«: et dokument, der beskriver mål, metode, geografisk,
befolkningsmæssig og tidsmæssig rækkevidde, overvågning, tilrettelæggelse og gennemførelse af afprøv-
ning under faktiske forhold
63
54) »sandkasseplan«: et dokument, der er opnået enighed om mellem den deltagende udbyder og den
kompetente myndighed, og som beskriver mål, betingelser, tidsramme, metode og kravene for de aktivite-
ter, der udføres inden for sandkassen
55) »reguleringsmæssig AI-sandkasse«: en kontrolleret ramme, som er oprettet af en kompetent myndig-
hed, og som giver udbydere eller potentielle udbydere af AI-systemer mulighed for, hvis det er relevant,
under faktiske forhold at udvikle, træne, validere og afprøve et innovativt AI-system i henhold til en
sandkasseplan i en begrænset periode under reguleringsmæssigt tilsyn
56) »AI-færdigheder«: færdigheder, viden og forståelse, der giver udbydere, idriftsættere og berørte
personer mulighed for under hensyntagen til deres respektive rettigheder og forpligtelser i forbindelse
med denne forordning at idriftsætte AI-systemer på et informeret grundlag samt at øge bevidstheden om
muligheder og risici ved AI og den mulige skade, som den kan forvolde
57) »afprøvning under faktiske forhold«: midlertidig afprøvning af et AI-system med henblik på dets
tilsigtede formål under faktiske forhold uden for et laboratorium eller på anden måde simuleret miljø med
henblik på at indsamle pålidelige og solide data og vurdere og verificere AI-systemets overensstemmelse
med kravene i denne forordning, og det er ikke ensbetydende med at bringe AI-systemet i omsætning
eller ibrugtage det som omhandlet i denne forordning, forudsat at alle betingelserne i henhold til artikel 57
eller 60 er opfyldt
58) »forsøgsperson« med henblik på afprøvning under faktiske forhold: en fysisk person, der deltager i
afprøvning under faktiske forhold
59) »informeret samtykke«: en forsøgspersons frie, specifikke, utvetydige og frivillige tilkendegivelse af
sin vilje til at deltage i en bestemt afprøvning under faktiske forhold efter at være blevet informeret om
alle aspekter af afprøvningen, der er relevante for forsøgspersonens beslutning om at deltage
60) »deepfake«: et ved hjælp af AI genereret eller manipuleret billed-, lyd- eller videoindhold, der i
væsentlig grad ligner faktiske personer, genstande, steder, enheder eller begivenheder, og som fejlagtigt
vil fremstå ægte eller sandfærdigt
61) »udbredt overtrædelse«: enhver handling eller undladelse, der er i strid med EU-retten, som beskytter
enkeltpersoners interesser, og som:
a) har skadet eller må antages at kunne skade de kollektive interesser for enkeltpersoner med bopæl i
mindst to medlemsstater ud over den medlemsstat, hvor:
i) handlingen eller undladelsen har sin oprindelse eller har fundet sted
ii) den pågældende udbyder eller, hvis det er relevant, dennes bemyndigede repræsentant befinder sig
eller er etableret, eller
iii) idriftsætteren er etableret, når overtrædelsen bliver begået af idriftsætteren
b) har skadet, skader eller må antages at kunne skade enkeltpersoners kollektive interesser og har fælles
træk, herunder samme ulovlige praksis og tilsidesættelse af den samme interesse, og begås samtidigt af
den samme operatør i mindst tre medlemsstater
62) »kritisk infrastruktur«: kritisk infrastruktur som defineret i artikel 2, nr. 4), i direktiv (EU) 2022/2557
63) »AI-model til almen brug«: en AI-model, herunder når en sådan AI-model er trænet med en stor
mængde data ved hjælp af selvovervågning i stor skala, som udviser betydelig generalitet og har kompe-
64
tence til at udføre en lang række forskellige opgaver, uanset hvordan modellen bringes i omsætning,
og som kan integreres i en række downstreamsystemer eller -applikationer, bortset fra AI-modeller, der
anvendes til forsknings-, udviklings- og prototypeaktiviteter, inden de bringes i omsætning
64) »kapaciteter med stor virkning«: kapaciteter, som svarer til eller overstiger de kapaciteter, der er
registreret i de mest avancerede AI-modeller til almen brug
65) »systemisk risiko«: en risiko, der er specifik for kapaciteter med stor virkning i AI-modeller til
almen brug, og som har betydelig indvirkning på EU-markedet på grund af deres omfang eller på grund
af faktiske negative virkninger, der med rimelighed kan forudses, for folkesundheden, sikkerheden, den
offentlige sikkerhed, de grundlæggende rettigheder eller samfundet som helhed, som kan opformeres i
stor skala i hele værdikæden
66) »AI-system til almen brug«: et AI-system, som er baseret på en AI-model til almen brug, og som har
kapacitet til at opfylde en række forskellige formål, både til direkte anvendelse og til integration i andre
AI-systemer
67) »flydende kommatalsberegning«: enhver matematisk beregning eller ligning, der omfatter flydende
kommatal, som er en delmængde af de reelle tal, der typisk vises på computere i form af et heltal med fast
præcision, som justeres med en heltalseksponent med fastlagt basis
68) »downstreamudbyder«: en udbyder af et AI-system, herunder et AI-system til almen brug, som
integrerer en AI-model, uanset om AI-modellen leveres af udbyderen selv og integreres vertikalt eller
leveres af en anden enhed på grundlag af kontraktforhold.
Artikel 4
AI-færdigheder
Udbydere og idriftsættere af AI-systemer træffer foranstaltninger til i videst muligt omfang at sikre et
tilstrækkeligt niveau af AI-færdigheder hos deres personale og andre personer, der er involveret i drift
og anvendelse af AI-systemer på deres vegne, og tager herved hensyn til disse personers tekniske viden,
erfaring og uddannelse og den kontekst, hvori AI-systemerne skal anvendes, og de personer eller grupper
af personer, som AI-systemerne skal anvendes på.
KAPITEL II
FORBUDTE FORMER FOR AI-PRAKSIS
Artikel 5
Forbudte former for AI-praksis
1. Følgende former for AI-praksis er forbudt:
a) omsætning, ibrugtagning eller anvendelse af et AI-system, der anvender subliminale teknikker, der
rækker ud over den menneskelige bevidsthed, eller bevidst manipulerende eller vildledende teknikker
med henblik på eller med det resultat i væsentlig grad at fordreje en persons eller en gruppe af personers
adfærd ved betydeligt at hæmme dennes evne til at træffe informerede beslutninger, hvilket får dem til
at træffe en beslutning, som de ellers ikke ville have truffet, på en måde, der forvolder eller med rimelig
65
sandsynlighed vil forvolde den pågældende person, en anden person eller en gruppe af personer betydelig
skade
b) omsætning, ibrugtagning eller anvendelse af et AI-system, der hos en fysisk person eller en specifik
gruppe af personer udnytter sårbarheder på grundlag af alder, handicap eller en særlig social eller økono-
misk situation med henblik på eller med det resultat i væsentlig grad at fordreje den pågældende persons
eller en til gruppen hørende persons adfærd på en måde, der forvolder eller med rimelig sandsynlighed vil
forvolde den pågældende person eller en anden person betydelig skade
c) omsætning, ibrugtagning eller anvendelse af AI-systemer til evaluering eller klassificering af fysiske
personer eller grupper af personer over en given periode på grundlag af deres sociale adfærd eller
kendte, udledte eller forudsagte personlige egenskaber eller personlighedstræk, således at den sociale
bedømmelse fører til et af eller begge følgende udfald:
i) skadelig eller ugunstig behandling af visse fysiske personer eller grupper af personer i sociale sammen-
hænge, som ikke har noget at gøre med de sammenhænge, i hvilke dataene oprindeligt blev genereret
eller indsamlet
ii) skadelig eller ugunstig behandling af visse fysiske personer eller grupper af personer, som er uberetti-
get eller uforholdsmæssig i forhold til deres sociale adfærd eller betydningen heraf
d) omsætning, ibrugtagning til dette specifikke formål eller anvendelse af et AI-system til at foretage
risikovurderinger af fysiske personer for at vurdere eller forudsige risikoen for, at en fysisk person begår
en strafbar handling, hvilket alene er baseret på profilering af en fysisk person eller en vurdering af deres
personlighedstræk og personlige egenskaber; dette forbud finder ikke anvendelse på AI-systemer, der
anvendes til at understøtte den menneskelige vurdering af en persons involvering i en kriminel aktivitet,
som allerede er baseret på objektive og verificerbare kendsgerninger, der er direkte knyttet til en kriminel
aktivitet
e) omsætning, ibrugtagning til dette specifikke formål eller anvendelse af AI-systemer, der opretter eller
udvider ansigtsgenkendelsesdatabaser gennem ikkemålrettet indsamling af ansigtsbilleder fra internettet
eller kameraovervågning
f) omsætning, ibrugtagning til dette specifikke formål eller anvendelse af AI-systemer til at udlede
følelser hos en fysisk person på arbejdspladser og uddannelsesinstitutioner, undtagen hvis anvendelsen af
AI-systemet er tilsigtet at blive bragt i omsætning af medicinske eller sikkerhedsmæssige årsager
g) omsætning, ibrugtagning til dette specifikke formål eller anvendelse af systemer til biometrisk kate-
gorisering, som kategoriserer fysiske personer individuelt på grundlag af deres biometriske data med
henblik på at udlede deres race, politiske anskuelser, fagforeningsmedlemskab, religiøse eller filosofiske
overbevisning, seksuelle forhold eller seksuelle orientering; dette forbud omfatter ikke mærkning eller
filtrering af lovligt indhentede biometriske datasæt såsom billeder på grundlag af biometriske data eller
kategorisering af biometriske data på retshåndhævelsesområdet
h) anvendelse af systemer til biometrisk fjernidentifikation i realtid på offentlige steder med henblik på
retshåndhævelse, medmindre og i det omfang en sådan anvendelse er strengt nødvendig til et af følgende
formål:
i) målrettet eftersøgning af specifikke ofre for bortførelse, menneskehandel eller seksuel udnyttelse af
mennesker samt eftersøgning af forsvundne personer
66
ii) forebyggelse af en specifik, væsentlig og overhængende trussel mod fysiske personers liv eller fysiske
sikkerhed eller en reel og aktuel eller reel og forudsigelig trussel om et terrorangreb
iii) lokalisering eller identifikation af en person, der mistænkes for at have begået en strafbar handling,
med henblik på en strafferetlig efterforskning af eller retsforfølgning eller fuldbyrdelse af en strafferetlig
sanktion for overtrædelser, der er omhandlet i bilag II, og som i den pågældende medlemsstat kan straffes
med frihedsstraf eller en anden frihedsberøvende foranstaltning af en maksimal varighed på mindst fire år.
Første afsnit, litra h), berører ikke artikel 9 i forordning (EU) 2016/679 med hensyn til behandling af
biometriske data til andre formål end retshåndhævelse.
2. Anvendelsen af systemer til biometrisk fjernidentifikation i realtid på offentlige steder med henblik på
retshåndhævelse til et af de i stk. 1, første afsnit, litra h), omhandlede formål må kun idriftsættes til de
formål, der er fastsat i nævnte litra, for at bekræfte den specifikt målrettede persons identitet og skal tage
hensyn til følgende elementer:
a) karakteren af den situation, der giver anledning til den mulige anvendelse, navnlig alvorligheden,
sandsynligheden og omfanget af den skade, der ville blive forvoldt, hvis systemet ikke blev anvendt
b) konsekvenserne for alle de berørte personers rettigheder og friheder, navnlig alvorligheden, sandsynlig-
heden og omfanget af disse konsekvenser, hvis systemet anvendes.
Ved anvendelse af systemer til biometrisk fjernidentifikation i realtid på offentlige steder med henblik
på retshåndhævelse til et af de i denne artikels stk. 1, første afsnit, litra h), omhandlede formål over-
holdes desuden nødvendige og forholdsmæssige sikkerhedsforanstaltninger og betingelser vedrørende
anvendelsen i overensstemmelse med den nationale ret, der tillader anvendelse heraf, navnlig for så vidt
angår tidsmæssige, geografiske og personmæssige begrænsninger. Anvendelsen af systemet til biometrisk
fjernidentifikation i realtid på offentlige steder tillades kun, hvis den retshåndhævende myndighed har
gennemført en konsekvensanalyse vedrørende grundlæggende rettigheder som fastsat i artikel 27 og har
registreret systemet i EU-databasen i overensstemmelse med artikel 49. I behørigt begrundede hastende
tilfælde kan anvendelsen af sådanne systemer dog påbegyndes uden registrering i EU-databasen, forudsat
at registreringen afsluttes uden unødigt ophold.
3. Med henblik på stk. 1, første afsnit, litra h), og stk. 2, er hver anvendelse af et system til biometrisk
fjernidentifikation i realtid på offentlige steder med henblik på retshåndhævelse betinget af en forudgåen-
de tilladelse, der er udstedt af en judiciel myndighed eller en uafhængig administrativ myndighed, hvis
afgørelse er bindende i den medlemsstat, hvor anvendelsen skal finde sted, på grundlag af en begrundet
anmodning og i overensstemmelse med de nærmere regler i national ret, jf. stk. 5. I behørigt begrundede
hastende tilfælde kan anvendelsen af et sådant system dog påbegyndes uden tilladelse, på betingelse af
at der anmodes om en sådan tilladelse uden unødigt ophold og senest inden for 24 timer. Hvis en sådan
tilladelse afvises, bringes anvendelsen straks til ophør, og alle data såvel som resultater og output af denne
anvendelse kasseres og slettes omgående.
Den kompetente judicielle myndighed eller en uafhængig administrativ myndighed, hvis afgørelse er bin-
dende, udsteder kun tilladelsen, hvis den på grundlag af objektive beviser eller klare indikationer, den får
forelagt, finder det godtgjort, at anvendelsen af det pågældende system til biometrisk fjernidentifikation i
realtid er nødvendig og forholdsmæssig for at opfylde et af de i stk. 1, første afsnit, litra h), anførte formål
som anført i anmodningen og navnlig fortsat begrænses til,
hvad der er strengt nødvendigt for så vidt angår tidsperioden samt det geografiske og personmæssige an-
vendelsesområde. Når den pågældende myndighed træffer afgørelse om anmodningen, tager den hensyn
67
til de i stk. 2 omhandlede elementer. Der må ikke træffes nogen afgørelse, der har negative retsvirkninger
for en person, udelukkende baseret på outputtet af systemet til efterfølgende biometrisk fjernidentifikation
i realtid.
4. Uden at det berører stk. 3, skal hver anvendelse af et system til biometrisk fjernidentifikation i realtid
på offentlige steder med henblik på retshåndhævelse meddeles den relevante markedsovervågningsmyn-
dighed og den nationale databeskyttelsesmyndighed i overensstemmelse med de nationale regler, jf. stk.
5. Meddelelsen skal som minimum indeholde de oplysninger, der er anført i stk. 6, og må ikke indeholde
følsomme operationelle data.
5. En medlemsstat kan beslutte at give mulighed for helt eller delvist at tillade anvendelse af systemer
til biometrisk fjernidentifikation i realtid på offentlige steder med henblik på retshåndhævelse inden for
de begrænsninger og på de betingelser, der er nævnt i stk. 1, første afsnit, litra h), og stk. 2 og 3. De
pågældende medlemsstater fastsætter i deres nationale ret de nødvendige nærmere regler for anmodning
om, udstedelse af og benyttelse af samt tilsyn og indberetning i forbindelse med de i stk. 3 omhandlede
tilladelser. Disse regler præciserer også, til hvilke af de i stk. 1, første afsnit, litra h), anførte formål,
herunder for hvilke af de i litra h), nr. iii), nævnte strafbare handlinger, de kompetente myndigheder kan
få tilladelse til at anvende disse systemer med henblik på retshåndhævelse. Medlemsstaterne meddeler
Kommissionen disse regler senest 30 dage efter vedtagelsen heraf. Medlemsstaterne kan i overensstem-
melse med EU-retten indføre mere restriktiv lovgivning om anvendelsen af systemer til biometrisk
fjernidentifikation.
6. De nationale markedsovervågningsmyndigheder og de nationale databeskyttelsesmyndigheder i de
medlemsstater, der er blevet underrettet om anvendelsen af systemer til biometrisk fjernidentifikation i
realtid på offentlige steder med henblik på retshåndhævelse i henhold til stk. 4, forelægger Kommissionen
årlige rapporter om en sådan anvendelse. Med henblik herpå stiller Kommissionen efter anmodning om
tilladelser i overensstemmelse med stk. 3 og resultatet heraf en skabelon til rådighed for medlemsstaterne
og de nationale markedsovervågnings- og databeskyttelsesmyndigheder, herunder oplysninger om antallet
af afgørelser, der er truffet af de kompetente judicielle myndigheder eller en uafhængig administrativ
myndighed, hvis afgørelse er bindende.
7. Kommissionen offentliggør årlige rapporter om anvendelsen af systemer til biometrisk fjernidentifi-
kation i realtid på offentlige steder med henblik på retshåndhævelse på grundlag af aggregerede data
i medlemsstaterne, der bygger på de i stk. 6 omhandlede årlige rapporter. Disse rapporter må ikke
indeholde følsomme operationelle data om de tilknyttede retshåndhævelsesaktiviteter.
8. Denne artikel berører ikke de forbud, der gælder, hvis en form for AI-praksis overtræder anden EU-ret.
KAPITEL III
HØJRISIKO-AI-SYSTEMER
AFDELING 1
Klassificering af AI-systemer som højrisiko
Artikel 6
Klassificeringsregler for højrisiko-AI-systemer
68
1. Uanset om et AI-system bringes i omsætning eller ibrugtages uafhængigt af de i litra a) og b)
omhandlede produkter, betragtes AI-systemet som højrisiko, hvis begge følgende betingelser er opfyldt:
a) AI-systemet tilsigtes anvendt som en sikkerhedskomponent i et produkt, eller AI-systemet er i sig selv
et produkt, der er omfattet af den EU-harmoniseringslovgivning, der er anført i bilag I.
b) Det produkt, hvis sikkerhedskomponent i henhold til litra a) er AI-systemet, eller AI-systemet selv
som et produkt skal underkastes en overensstemmelsesvurdering foretaget af en tredjepart med henblik på
omsætning eller ibrugtagning af produktet i henhold til den EU-harmoniseringslovgivning, der er anført i
bilag I.
2. Ud over de højrisiko-AI-systemer, der er omhandlet i stk. 1, betragtes de AI-systemer, der er omhandlet
i bilag III, også som højrisiko.
3. Uanset stk. 2 betragtes et AI-system, der er omhandlet i bilag III, ikke som højrisiko, hvis det ikke
udgør en væsentlig risiko for skade på sundheden, sikkerheden eller fysiske personers grundlæggende
rettigheder, herunder ved ikke i væsentlig grad at påvirke resultatet af beslutningstagning.
Første afsnit finder anvendelse, hvis enhver af følgende betingelser er opfyldt:
a) AI-systemet tilsigtes at udføre en snæver proceduremæssig opgave
b) AI-systemet tilsigtes at forbedre resultatet af en tidligere afsluttet menneskelig aktivitet
c) AI-systemet tilsigtes at påvise beslutningsmønstre eller afvigelser fra tidligere beslutningsmønstre
og er ikke tiltænkt at skulle erstatte eller påvirke en tidligere afsluttet menneskelig vurdering uden en
ordentlig menneskelig gennemgang, eller
d) AI-systemet tilsigtes at udføre en forberedende opgave inden en vurdering, der er relevant for de
anvendelsestilfælde, der er anført i bilag III.
Uanset første afsnit betragtes et AI-system, der er omhandlet i bilag III, altid som højrisiko, hvis AI-syste-
met udfører profilering af fysiske personer.
4. En udbyder, som finder, at et AI-system, der er omhandlet i bilag III, ikke er højrisiko, skal dokumente-
re sin vurdering, inden det pågældende system bringes i omsætning eller ibrugtages. En sådan udbyder
er underlagt registreringsforpligtelsen i artikel 49, stk. 2. Efter anmodning fra de nationale kompetente
myndigheder fremlægger udbyderen dokumentation for vurderingen.
5. Kommissionen udarbejder efter høring af Det Europæiske Udvalg for Kunstig Intelligens (»AI-udval-
get«) og senest den 2. februar 2026 retningslinjer, der præciserer den praktiske gennemførelse af denne
artikel i overensstemmelse med artikel 96, sammen med en omfattende liste over praktiske eksempler på
anvendelsestilfælde af AI-systemer, der er højrisiko og ikke højrisiko.
6. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel
97 for at ændre nærværende artikels stk. 3, andet afsnit, ved at tilføje nye betingelser til dem, der er fastsat
i nævnte stykke, eller ved at ændre dem, hvis der foreligger konkret og pålidelig dokumentation for, at der
findes AI-systemer, som hører under anvendelsesområdet i bilag III, men som ikke udgør en væsentlig
risiko for skade på fysiske personers sundhed, sikkerhed eller grundlæggende rettigheder.
7. Kommissionen vedtager delegerede retsakter i overensstemmelse med artikel 97 for at ændre nærvæ-
rende artikels stk. 3, andet afsnit, ved at lade enhver af de i nævnte stykke fastsatte betingelser udgå,
hvis der foreligger konkret og pålidelig dokumentation for, at dette er nødvendigt for at opretholde det
69
beskyttelsesniveauet for sundheden, sikkerheden og de grundlæggende rettigheder, der er fastsat ved
denne forordning.
8. Enhver ændring af betingelserne i stk. 3, andet afsnit, vedtaget i overensstemmelse med denne artikels
stk. 6 og 7, må ikke reducere det overordnede beskyttelsesniveau for sundheden, sikkerheden og de
grundlæggende rettigheder, der er fastsat ved denne forordning, og sikrer overensstemmelse med de
delegerede retsakter, der er vedtaget i henhold til artikel 7, stk. 1, og tager hensyn til den markedsmæssige
og teknologiske udvikling.
Artikel 7
Ændring af bilag III
1. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel
97 for at ændre bilag III ved at tilføje eller ændre anvendelsestilfælde af højrisiko-AI-systemer, hvis
begge følgende betingelser er opfyldt:
a) AI-systemerne tilsigtes anvendt på et af de områder, der er anført i bilag III
b) AI-systemerne udgør en risiko for skade på sundheden og sikkerheden eller for negativ indvirkning på
de grundlæggende rettigheder, og denne risiko svarer til eller er større end risikoen for skade eller negativ
indvirkning ved de højrisiko-AI-systemer, der allerede er omhandlet i bilag III.
2. Ved vurderingen af betingelsen i henhold til stk. 1, litra b), tager Kommissionen hensyn til følgende
kriterier:
a) det tilsigtede formål med AI-systemet
b) i hvilket omfang et AI-system er blevet anvendt eller sandsynligvis vil blive anvendt
c) arten og omfanget af de data, der behandles og anvendes af AI-systemet, navnlig om der behandles
særlige kategorier af personoplysninger
d) i hvilket omfang AI-systemet handler autonomt, og muligheden for at et menneske kan underkende en
afgørelse eller anbefalinger, som kan føre til potentiel skade
e) i hvilket omfang anvendelsen af et AI-system allerede har forvoldt skade på sundheden og sikkerheden,
har haft negativ indvirkning på de grundlæggende rettigheder eller har skabt betydelig bekymring med
hensyn til sandsynligheden for en sådan skade eller negativ indvirkning som påvist i f.eks. rapporter eller
dokumenterede påstande, der er forelagt for de nationale kompetente myndigheder, eller i andre rapporter,
alt efter hvad der er relevant
f) det potentielle omfang af en sådan skade eller negativ indvirkning, navnlig med hensyn til dens
størrelse og dens mulighed for påvirkning af flere personer eller for uforholdsmæssig påvirkning af en
særlig gruppe af personer
g) i hvilket omfang personer, der er potentielt skadede eller er ofre for en negativ indvirkning, er
afhængige af det resultat, et AI-system giver, navnlig hvis det af praktiske eller juridiske grunde ikke med
rimelighed er muligt at fravælge resultatet
h) i hvilket omfang der er magtmæssig ubalance, eller de personer, der er potentielt skadede eller er ofre
for en negativ indvirkning, befinder sig i en sårbar situation i forhold til idriftsætteren af et AI-system,
navnlig som følge af status, autoritet, viden, økonomiske eller sociale omstændigheder eller alder
70
i) i hvilket omfang det resultat, der fremkommer ved inddragelse af et AI-system, let kan korrigeres
eller ændres under hensyntagen til de tilgængelige tekniske løsninger til at korrigere eller ændre det, idet
resultater, der har en negativ indvirkning på sundheden, sikkerheden eller de grundlæggende rettigheder,
ikke anses for let at kunne korrigeres eller ændres
j) omfanget af og sandsynligheden for fordele ved idriftsættelsen af AI-systemet for enkeltpersoner,
grupper eller samfundet som helhed, herunder mulige forbedringer af produktsikkerheden
k) i hvilket omfang gældende EU-ret indeholder bestemmelser om:
i) effektive retsmidler med hensyn til de risici, der er forbundet med et AI-system, med undtagelse af
erstatningskrav
ii) effektive foranstaltninger til at forebygge eller i væsentlig grad minimere disse risici.
3. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel
97 for at ændre listen i bilag III ved at fjerne højrisiko-AI-systemer, hvis begge følgende betingelser er
opfyldt:
a) det pågældende højrisiko-AI-system udgør ikke længere nogen væsentlig risiko for de grundlæggende
rettigheder, sundheden eller sikkerheden under hensyntagen til kriterierne i stk. 2
b) fjernelsen reducerer ikke det generelle beskyttelsesniveau for sundhed, sikkerhed og grundlæggende
rettigheder i henhold til EU-retten.
AFDELING 2
Krav til højrisiko-AI-systemer
Artikel 8
Overholdelse af krav
1. Højrisiko-AI-systemer skal overholde de krav, der er fastsat i denne afdeling, under hensyntagen til
deres tilsigtede formål og det generelt anerkendte aktuelle teknologiske niveau for AI og AI-relaterede
teknologier. Ved sikringen af, at disse krav overholdes, tages det risikostyringssystem, der er omhandlet i
artikel 9, i betragtning.
2. Hvis et produkt indeholder et AI-system, som kravene i denne forordning samt kravene i den EU-har-
moniseringslovgivning, der er anført i bilag I, afsnit A, finder anvendelse på, er producenterne ansvarlige
for at sikre, at deres produkt fuldt ud overholder alle gældende krav i den gældende EU-harmoniserings-
lovgivning. For at sikre at de højrisiko-AI-systemer, der er omhandlet i stk. 1, overholder kravene i denne
afdeling, og for at sikre sammenhæng, undgå overlap og minimere yderligere byrder skal udbyderne
have mulighed for i relevant omfang at integrere de nødvendige afprøvnings- og rapporteringsprocesser,
oplysninger og den nødvendige dokumentation, som de stiller til rådighed vedrørende deres produkt, i
dokumentation og procedurer, der allerede eksisterer og kræves i henhold til den EU-harmoniseringslov-
givning, der er anført i bilag I, afsnit A.
Artikel 9
Risikostyringssystem
71
1. Hvad angår højrisiko-AI-systemer oprettes og gennemføres der et risikostyringssystem, som dokumen-
teres og vedligeholdes.
2. Risikostyringssystemet skal forstås som en kontinuerlig iterativ proces, der er planlagt og løber i
hele højrisiko-AI-systemets livscyklus, og som kræver regelmæssig systematisk gennemgang og opdate-
ring. Det omfatter følgende trin:
a) kortlægning og analyse af kendte og med rimelighed forudsigelige risici, som højrisiko-AI-systemet
kan udgøre for sundheden, sikkerheden eller de grundlæggende rettigheder, når højrisiko-AI-systemet
anvendes i overensstemmelse med dets tilsigtede formål
b) vurdering og evaluering af de risici, der kan opstå, når højrisiko-AI-systemet anvendes i overensstem-
melse med dets tilsigtede formål og ved fejlanvendelse, der med rimelighed kan forudses
c) evaluering af andre risici, der kan opstå, på grundlag af analyse af data indsamlet fra systemet til
overvågning efter omsætningen, jf. artikel 72
d) vedtagelse af passende og målrettede risikostyringsforanstaltninger, der har til formål at imødegå de
risici, der er identificeret i henhold til litra a).
3. De i denne artikel omhandlede risici vedrører kun dem, der med rimelighed kan afbødes eller fjernes
gennem udviklingen eller udformningen af højrisiko-AI-systemet eller tilvejebringelsen af tilstrækkelige
tekniske oplysninger.
4. De i stk. 2, litra d), omhandlede risikostyringsforanstaltninger tager behørigt hensyn til virkningerne
og eventuelle interaktioner som følge af den kombinerede anvendelse af kravene i denne afdeling med
henblik på at minimere risiciene mere effektivt og samtidig opnå en passende balance i gennemførelsen af
foranstaltningerne til opfyldelse af disse krav.
5. De i stk. 2, litra d), omhandlede risikostyringsforanstaltninger er af en sådan art, at de relevante
resterende risici, der er forbundet med hver fare, samt den samlede resterende risiko ved højrisiko-AI-sy-
stemerne vurderes at være acceptabel.
I fastlæggelsen af de mest hensigtsmæssige risikostyringsforanstaltninger sikres følgende:
a) fjernelse eller begrænsning af de risici, der er identificeret og evalueret i henhold til stk. 2, i det omfang
det er teknisk muligt, gennem passende udformning og udvikling af højrisiko-AI-systemet
b) om nødvendigt gennemførelse af passende foranstaltninger til afbødning og kontrol, som imødegår
risici, der ikke kan fjernes
c) tilvejebringelse af de oplysninger, der kræves i henhold til artikel 13, og, hvis det er relevant, træning
af idriftsætterne.
Med henblik på fjernelse eller begrænsning af risici i forbindelse med anvendelsen af et højrisiko-AI-sy-
stem tages der behørigt hensyn til den tekniske viden, erfaring, uddannelse og træning, som kan forventes
af idriftsætteren, og den formodentlige kontekst, i hvilken systemet tilsigtes anvendt.
6. Højrisiko-AI-systemer afprøves med henblik på at identificere de mest hensigtsmæssige og målrettede
risikostyringsforanstaltninger. Afprøvning sikrer, at højrisiko-AI-systemer yder konsistent i overensstem-
melse med deres tilsigtede formål og overholder de krav, der er fastsat i denne afdeling.
7. Afprøvningsprocedurerne kan omfatte afprøvning under faktiske forhold i overensstemmelse med
artikel 60.
72
8. Afprøvning af højrisiko-AI-systemer foretages på et hvilket som helst tidspunkt under hele udviklings-
processen, alt efter hvad der er relevant, og under alle omstændigheder inden de bringes i omsætning eller
ibrugtages. Afprøvningen foretages på grundlag af på forhånd definerede parametre og probabilistiske
tærskler, der er passende i forhold til det tilsigtede formål med højrisiko-AI-systemet.
9. Ved gennemførelsen af det risikostyringssystem, der er fastsat i stk. 1-7, tager udbyderne hensyn til,
om der i betragtning af det tilsigtede formål med højrisiko-AI-systemet er sandsynlighed for, at det har en
negativ indvirkning på personer under 18 år og i relevant omfang på andre sårbare grupper.
10. For udbydere af højrisiko-AI-systemer, der er underlagt krav vedrørende interne risikostyringsproces-
ser i henhold til andre relevante bestemmelser i EU-retten, kan de aspekter, der er fastsat i stk. 1-9, være
en del af eller kombineres med de risikostyringsprocedurer, der er fastlagt i henhold til den pågældende
ret.
Artikel 10
Data og datastyring
1. De højrisiko-AI-systemer, der gør brug af teknikker, som omfatter træning af AI-modeller med data,
udvikles på grundlag af trænings-, validerings- og afprøvningsdatasæt, der opfylder de kvalitetskriterier,
der er omhandlet i stk. 2-5, når sådanne datasæt anvendes.
2. Trænings-, validerings- og afprøvningsdatasæt skal være underlagt former for datastyrings- og data-
forvaltningspraksis, som er tilpasset højrisiko-AI-systemets tilsigtede formål. Disse former for praksis
vedrører navnlig:
a) de relevante valg med hensyn til udformning
b) dataindsamlingsprocesser og dataenes oprindelse og, hvis der er tale om personoplysninger, det oprin-
delige formål med dataindsamlingen
c) relevant dataforberedelsesbehandling såsom annotation, mærkning, rensning, opdatering, berigelse og
aggregering
d) formuleringen af antagelser, navnlig med hensyn til de oplysninger, som dataene skal måle og repræ-
sentere
e) en vurdering af tilgængeligheden, mængden og egnetheden af de datasæt, der er nødvendige
f) undersøgelse med hensyn til mulige bias, der sandsynligvis vil påvirke personers sundhed og sikkerhed,
have negativ indvirkning på de grundlæggende rettigheder eller føre til forskelsbehandling, som er
forbudt i henhold til EU-retten, navnlig hvis dataoutput påvirker input til fremtidige operationer
g) passende foranstaltninger til at påvise, forebygge og afbøde de mulige bias, der er identificeret i
henhold til litra f)
h) kortlægning af relevante datamangler eller datautilstrækkeligheder, som forhindrer overholdelse af
denne forordning, og hvordan de kan afhjælpes.
3. Trænings-, validerings- og afprøvningsdatasæt skal i betragtning af det tilsigtede formål være relevante,
tilstrækkeligt repræsentative og i videst muligt omfang fejlfrie og fuldstændige. De skal have de tilstræk-
kelige statistiske egenskaber, herunder, hvis det er relevant, med hensyn til de personer eller grupper af
73
personer, på hvilke højrisiko-AI-systemet tilsigtes anvendt. Disse egenskaber kan opfyldes for de enkelte
datasæt eller for en kombination heraf.
4. I datasæt tages der, i det omfang det er nødvendigt i lyset af deres tilsigtede formål, hensyn til de
egenskaber eller elementer, der er særlige for den specifikke geografiske, kontekstuelle, adfærdsmæssige
eller funktionelle ramme, inden for hvilken højrisiko-AI-systemet tilsigtes anvendt.
5. I det omfang det er strengt nødvendigt for at sikre, at bias i forbindelse med højrisiko-AI-systemer
påvises og korrigeres i overensstemmelse med denne artikels stk. 2, litra f) og g), kan udbydere af sådan-
ne systemer undtagelsesvis behandle særlige kategorier af personoplysninger, med forbehold af passende
sikkerhedsforanstaltninger med hensyn til fysiske personers grundlæggende rettigheder og friheder. Ud
over bestemmelserne i forordning (EU) 2016/679 og (EU) 2018/1725 samt direktiv (EU) 2016/680 skal
følgende betingelser overholdes for at udføre en sådan behandling:
a) påvisning og korrektion af bias kan ikke opnås effektivt ved behandling af andre data, herunder
syntetiske eller anonymiserede data
b) de særlige kategorier af personoplysninger er underlagt tekniske begrænsninger for videreanvendelse
af personoplysninger og de mest avancerede sikkerhedsforanstaltninger og foranstaltninger til beskyttelse
af privatlivet fred, herunder pseudonymisering
c) de særlige kategorier af personoplysninger er underlagt foranstaltninger, der skal sikre, at de behandle-
de personoplysninger er sikrede, beskyttede og omfattet af passende sikkerhedsforanstaltninger, herunder
streng kontrol og dokumentation af adgangen, for at undgå misbrug og sikre, at kun autoriserede personer
har adgang til disse personoplysninger med passende fortrolighedsforpligtelser
d) de særlige kategorier af personoplysninger må ikke transmitteres til, overføres til eller på anden måde
tilgås af andre parter
e) de særlige kategorier af personoplysninger slettes, når bias er blevet korrigeret, eller når opbevarings-
perioden for personoplysningerne udløber, alt efter hvad der indtræffer først
f) fortegnelserne over behandlingsaktiviteter i henhold til forordning (EU) 2016/679 og (EU) 2018/1725
samt direktiv (EU) 2016/680 indeholder en begrundelse for, hvorfor behandlingen af særlige kategorier af
personoplysninger var strengt nødvendig for at opdage og korrigere bias, og hvorfor dette mål ikke kunne
nås ved behandling af andre data.
6. Ved udvikling af højrisiko-AI-systemer, der ikke gør brug af teknikker, der omfatter træning af
AI-modeller, finder stk. 2-5 kun anvendelse på afprøvningsdatasættene.
Artikel 11
Teknisk dokumentation
1. Den tekniske dokumentation for et højrisiko-AI-system udarbejdes, inden systemet bringes i omsæt-
ning eller ibrugtages, og holdes ajour.
Den tekniske dokumentation udarbejdes således, at den påviser, at højrisiko-AI-systemet overholder de
krav, der er fastsat i denne afdeling, og at de oplysninger, der er nødvendige for at vurdere AI-systemets
overholdelse af disse krav, gives på en klar og forståelig måde til de nationale kompetente myndigheder
og bemyndigede organer. Den skal som minimum indeholde de i bilag IV fastsatte elementer. SMV᾽er,
herunder iværksættervirksomheder, kan fremlægge de elementer i den tekniske dokumentation, der er an-
74
ført i bilag IV, på en forenklet måde. Med henblik herpå udarbejder Kommissionen en forenklet formular
for teknisk dokumentation, der er målrettet små virksomheders og mikrovirksomheders behov. Hvis en
SMV, herunder en iværksættervirksomhed, vælger at fremlægge de oplysninger, der kræves i bilag IV, på
en forenklet måde, anvender den formularen, der er omhandlet i dette stykke. Bemyndigede organer skal
acceptere formularen med henblik på overensstemmelsesvurderingen.
2. Hvis et højrisiko-AI-system tilknyttet et produkt, der er omfattet af den i bilag I, afsnit A, anførte
EU-harmoniseringslovgivning, bringes i omsætning eller ibrugtages, udarbejdes der et enkelt sæt teknisk
dokumentation, der indeholder alle de oplysninger, der er fastsat i stk. 1, samt de oplysninger, der kræves
i henhold til disse retsakter.
3. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel
97 for at ændre bilag IV, hvis det i lyset af den tekniske udvikling er nødvendigt for, at den tekniske
dokumentation giver alle de oplysninger, der er nødvendige for at vurdere, om systemet overholder de
krav, der er fastsat i denne afdeling.
Artikel 12
Registrering
1. Højrisiko-AI-systemer skal teknisk muliggøre automatisk registrering af hændelser (»logfiler«) under
systemets levetid.
2. For at sikre en passende grad af sporbarhed i højrisiko-AI-systemets funktion i forhold til systemets
tilsigtede formål skal logningskapaciteten muliggøre registrering af hændelser, der er relevante for:
a) identifikation af situationer, der kan medføre, at højrisiko-AI-systemet udgør en risiko som omhandlet i
artikel 79, stk. 1, eller en væsentlig ændring
b) lettelse af overvågningen efter omsætningen, jf. artikel 72, og
c) overvågning af driften af højrisiko-AI-systemer, jf. artikel 26, stk. 5.
3. For så vidt angår de højrisiko-AI-systemer, der er omhandlet i bilag III, punkt 1, litra a), omfatter
logningskapaciteten som minimum:
a) registrering af tidsperioden for hver anvendelse af systemet (startdato og -klokkeslæt samt slutdato og
-klokkeslæt for hver anvendelse)
b) den referencedatabase, med hvilken systemet har sammenholdt inputdata
c) de inputdata, som i søgningen har givet et match
d) identifikation af de fysiske personer, der er involveret i verifikationen af resultaterne, jf. artikel 14, stk.
5.
Artikel 13
Gennemsigtighed og formidling af oplysninger til idriftsætterne
1. Højrisiko-AI-systemer udformes og udvikles på en sådan måde, at deres drift er tilstrækkelig gennem-
sigtig til, at idriftsætterne kan fortolke et systems output og anvende det korrekt. Der sikres en passende
75
type og grad af gennemsigtighed med henblik på at opnå overholdelse af de relevante udbyder- og
idriftsætterforpligtelser, der er fastsat i afdeling 3.
2. Højrisiko-AI-systemer ledsages af en brugsanvisning i et passende digitalt format eller på anden vis,
som indeholder kortfattede, fuldstændige, korrekte og klare oplysninger, som er relevante, tilgængelige og
forståelige for idriftsætterne.
3. Brugsanvisningen skal som minimum indeholde følgende oplysninger:
a) identitet på og kontaktoplysninger for udbyderen og dennes eventuelle bemyndigede repræsentant
b) højrisiko-AI-systemets egenskaber, kapacitet og begrænsninger for dets ydeevne, herunder:
i) det tilsigtede formål
ii) det niveau af nøjagtighed, herunder systemets parametre, robusthed og cybersikkerhed, jf. artikel 15, i
forhold til hvilket højrisiko-AI-systemet er afprøvet og valideret, og som kan forventes, samt alle kendte
og forudsigelige omstændigheder, der kan have indvirkning på det forventede niveau af nøjagtighed,
robusthed og cybersikkerhed
iii) alle kendte eller forudsigelige omstændigheder i forbindelse med anvendelse af højrisiko-AI-systemet
i overensstemmelse med dets tilsigtede formål eller ved fejlanvendelse, der med rimelighed kan forudses,
der kan medføre risici for sundhed og sikkerhed eller grundlæggende rettigheder, jf. artikel 9, stk. 2
iv) hvis det er relevant, højrisiko-AI-systemets tekniske kapacitet og egenskaber til at give oplysninger,
som er relevante for at forklare dets output
v) hvis det er relevant, dets ydeevne for så vidt angår de specifikke personer eller grupper af personer, på
hvilke systemet tilsigtes anvendt
vi) hvis det er relevant, specifikationer for inputdataene eller andre relevante oplysninger med hensyn til
de anvendte trænings-, validerings- og afprøvningsdatasæt under hensyntagen til højrisiko-AI-systemets
tilsigtede formål
vii) hvis det er relevant, oplysninger, der sætter idriftsætterne i stand til at fortolke højrisiko-AI-systemets
output og anvende det korrekt
c) eventuelle ændringer af højrisiko-AI-systemet og dets ydeevne, som udbyderen på forhånd har fastsat
på tidspunktet for den indledende overensstemmelsesvurdering
d) foranstaltninger til menneskeligt tilsyn, jf. artikel 14, herunder de tekniske foranstaltninger, der er
indført for at lette idriftsætternes fortolkning af højrisiko-AI-systemers output
e) de nødvendige beregningskrafts- og hardwareressourcer, højrisiko-AI-systemets forventede levetid og
eventuelle nødvendige vedligeholdelses- og plejeforanstaltninger, herunder deres hyppighed, for at sikre,
at AI-systemet fungerer korrekt, herunder med hensyn til softwareopdateringer
f) hvis det er relevant, en beskrivelse af de mekanismer, der er medtaget i højrisiko-AI-systemet, og som
giver idriftsætterne mulighed for på korrekt vis at indsamle, lagre og fortolke logfilerne i overensstem-
melse med artikel 12.
Artikel 14
Menneskeligt tilsyn
76
1. Højrisiko-AI-systemer udformes og udvikles på en sådan måde, herunder med passende menneske-ma-
skine-grænsefladeværktøjer, at fysiske personer effektivt kan overvåge dem i den periode, hvor de er i
brug.
2. Menneskeligt tilsyn har til formål at forebygge eller minimere de risici for sundhed, sikkerhed eller
grundlæggende rettigheder, der kan opstå, når et højrisiko-AI-system anvendes i overensstemmelse med
dets tilsigtede formål eller under forhold med fejlanvendelse, der med rimelighed kan forudses, navnlig
hvis sådanne risici fortsat består trods anvendelsen af andre krav, der er fastsat i denne afdeling.
3. Tilsynsforanstaltningerne skal stå i et rimeligt forhold til risiciene, graden af autonomi og den kontekst,
som højrisiko-AI-systemet anvendes i, og sikres ved hjælp af en af eller samtlige følgende typer foran-
staltninger:
a) foranstaltninger, der er fastlagt og, hvis det er teknisk muligt, indbygget i højrisiko-AI-systemet fra
udbyderens side, inden systemet bringes i omsætning eller ibrugtages
b) foranstaltninger, der er fastlagt af udbyderen, inden højrisiko-AI-systemet bringes i omsætning eller
ibrugtages, og som er egnede til at blive gennemført af idriftsætteren.
4. Med henblik på gennemførelsen af stk. 1, 2 og 3 leveres højrisiko-AI-systemet til idriftsætteren på en
sådan måde, at det er muligt for fysiske personer, der har fået til opgave at varetage menneskeligt tilsyn,
alt efter hvad der er relevant og forholdsmæssigt, at:
a) forstå højrisiko-AI-systemets relevante kapacitet og begrænsninger korrekt og være i stand til at
overvåge dets drift på behørig vis, herunder med henblik på at opdage og håndtere uregelmæssigheder,
funktionsforstyrrelser og uventet ydeevne
b) være opmærksomme på den mulige tendens til automatisk eller i overdreven grad af forlade sig på
output frembragt af et højrisiko-AI-system (automatiseringsbias), navnlig for så vidt angår højrisiko-AI-
systemer, der anvendes til at give oplysninger eller anbefalinger til afgørelser, der skal træffes af fysiske
personer
c) fortolke højrisiko-AI-systemets output korrekt under hensyntagen til f.eks. de tilgængelige fortolk-
ningsværktøjer og -metoder
d) beslutte i en særlig situation ikke at anvende højrisiko-AI-systemet eller på anden måde se bort fra,
tilsidesætte eller omgøre outputtet fra højrisiko-AI-systemet
e) gribe ind i højrisiko-AI-systemets drift eller afbryde systemet ved hjælp af en »stopknap« eller en
lignende procedure, som gør det muligt at afbryde systemet i en sikker tilstand.
5. For så vidt angår de højrisiko-AI-systemer, der er omhandlet i bilag III, punkt 1, litra a), sikrer de
foranstaltninger, der er omhandlet i denne artikels stk. 3, desuden, at idriftsætteren ikke foretager noget
tiltag eller træffer nogen beslutninger på grundlag af en identifikation, der følger af systemet, medmindre
denne identifikation er blevet verificeret og bekræftet særskilt af mindst to fysiske personer med den
nødvendige kompetence, uddannelse og myndighed.
Kravet om særskilt verifikation foretaget af mindst to fysiske personer finder ikke anvendelse på højri-
siko-AI-systemer, der anvendes med henblik på retshåndhævelse, migrationsstyring, grænsekontrol og
asylforvaltning, hvis anvendelsen af dette krav efter EU-retten eller national ret skønnes uforholdsmæs-
sig.
77
Artikel 15
Nøjagtighed, robusthed og cybersikkerhed
1. Højrisiko-AI-systemer udformes og udvikles på en sådan måde, at de opnår et passende niveau af
nøjagtighed, robusthed og cybersikkerhed, og at de i disse henseender yder konsistent i hele deres
livscyklus.
2. For at håndtere de tekniske aspekter af, hvordan de passende niveauer af nøjagtighed og robusthed,
der er fastsat i stk. 1, og andre relevante ydeevneparametre måles, tilskynder Kommissionen, alt efter
hvad der er relevant, i samarbejde med relevante interessenter og organisationer såsom metrologi- og
benchmarkingmyndigheder til udvikling af benchmarks og målemetoder.
3. Højrisiko-AI-systemers niveau og relevante parametre med hensyn til nøjagtighed angives i den
ledsagende brugsanvisning.
4. Højrisiko-AI-systemer skal være så modstandsdygtige som muligt over for fejl, svigt og uoverensstem-
melser, der kan forekomme i systemet eller i det miljø, som systemet fungerer i, navnlig på grund af
systemets interaktion med fysiske personer eller andre systemer. I denne henseende træffes der tekniske
og organisatoriske foranstaltninger.
Højrisiko-AI-systemers robusthed kan opnås ved hjælp af tekniske redundansløsninger, som kan omfatte
backupplaner eller »fail-safe plans«.
De højrisiko-AI-systemer, der fortsætter med at lære efter at være bragt i omsætning eller ibrugtaget,
udvikles på en sådan måde med henblik på i videst muligt omfang at fjerne eller reducere risikoen for, at
eventuelt output behæftet med bias påvirker input i fremtidige operationer (feedbacksløjfer), og sikre, at
sådanne feedbacksløjfer behørigt imødegås ved hjælp af passende afbødende foranstaltninger.
5. Højrisiko-AI-systemer skal være modstandsdygtige over for uautoriserede tredjeparters forsøg på at
ændre deres anvendelse, output eller ydeevne ved at udnytte systemsårbarheder.
De tekniske løsninger, der har til formål at sikre cybersikkerhed i forbindelse med højrisiko-AI-systemer,
skal stå i et passende forhold til de relevante omstændigheder og risiciene.
De tekniske løsninger til afhjælpning af AI-specifikke sårbarheder omfatter, alt efter hvad der er relevant,
foranstaltninger til at forebygge, opdage, reagere på, afværge og kontrollere angreb, der søger at mani-
pulere træningsdatasættet (dataforgiftning), eller forhåndstrænede komponenter, der anvendes i træning
(modelforgiftning), input, der er udformet til at få AI-modellen til at begå fejl (ondsindede eksempler eller
modelunddragelse), fortrolighedsangreb eller modelfejl.
AFDELING 3
Forpligtelser for udbydere og idriftsættere af højrisiko-AI-systemer og andre parter
Artikel 16
Forpligtelser for udbydere af højrisiko-AI-systemer
Udbydere af højrisiko-AI-systemer skal:
a) sørge for, at deres højrisiko-AI-systemer overholder de krav, der er fastsat i afdeling 2
78
b) angive deres navn, registrerede firmanavn eller registrerede varemærke og kontaktadresse på højrisiko-
AI-systemet, eller, hvis dette ikke er muligt, på dets emballage eller i den medfølgende dokumentation, alt
efter hvad der er relevant
c) have indført et kvalitetsstyringssystem, der er i overensstemmelse med artikel 17
d) opbevare den dokumentation, der er omhandlet i artikel 18
e) opbevare de logfiler, der automatisk genereres af deres højrisiko-AI-systemer, når logfilerne er under
deres kontrol, som omhandlet i artikel 19
f) sørge for, at højrisiko-AI-systemet underkastes den relevante overensstemmelsesvurderingsprocedure
som omhandlet i artikel 43, inden systemet bringes i omsætning eller ibrugtages
g) udarbejde en EU-overensstemmelseserklæring i overensstemmelse med artikel 47
h) anbringe CE-mærkningen på højrisiko-AI-systemet eller, hvis dette ikke er muligt, på dets emballage
eller i den medfølgende dokumentation, for at angive overensstemmelse med denne forordning i overens-
stemmelse med artikel 48
i) overholde de registreringsforpligtelser, der er omhandlet i artikel 49, stk. 1
j) foretage de nødvendige korrigerende tiltag og fremlægge oplysningerne som krævet i henhold til artikel
20
k) efter begrundet anmodning fra en national kompetent myndighed påvise, at højrisiko-AI-systemet er i
overensstemmelse med de krav, der er fastsat i afdeling 2
l) sikre, at højrisiko-AI-systemet overholder tilgængelighedskravene i overensstemmelse med direktiv
(EU) 2016/2102 og (EU) 2019/882.
Artikel 17
Kvalitetsstyringssystem
1. Udbydere af højrisiko-AI-systemer indfører et kvalitetsstyringssystem, der sikrer overensstemmelse
med denne forordning. Systemet dokumenteres på en systematisk og velordnet måde i form af skriftlige
politikker, procedurer og anvisninger og skal som minimum omfatte følgende aspekter:
a) en strategi for overholdelse af lovgivningen, herunder overholdelse af overensstemmelsesvurderings-
procedurer og procedurer for forvaltning af ændringer af højrisiko-AI-systemet
b) teknikker, procedurer og systematiske tiltag, der skal anvendes til udformningen, kontrollen af udform-
ningen og verifikationen af udformningen af højrisiko-AI-systemet
c) teknikker, procedurer og systematiske tiltag, der skal anvendes til udvikling, kvalitetskontrol og
kvalitetssikring af højrisiko-AI-systemet
d) undersøgelses-, afprøvnings- og valideringsprocedurer, der gennemføres før, under og efter udviklin-
gen af højrisiko-AI-systemet, samt den hyppighed, hvormed de gennemføres
e) tekniske specifikationer, herunder standarder, der anvendes, og, hvis de relevante harmoniserede
standarder ikke anvendes fuldt ud eller ikke omfatter alle de relevante krav, der er fastsat i afdeling 2, de
midler, der skal anvendes for at sikre, at højrisiko-AI-systemet overholder disse krav
79
f) systemer til og procedurer for dataforvaltning, herunder dataopsamling, dataindsamling, dataanalyse,
datamærkning, datalagring, datafiltrering, datamining, dataaggregering, dataopbevaring og enhver anden
handling vedrørende data, som udføres forud for og med henblik på omsætning eller ibrugtagning af
højrisiko-AI-systemer
g) det risikoforvaltningssystem, der er omhandlet i artikel 9
h) oprettelse, implementering og vedligeholdelse af et system til overvågning efter omsætningen i over-
ensstemmelse med artikel 72
i) procedurer for indberetning af en alvorlig hændelse i overensstemmelse med artikel 73
j) håndtering af kommunikation med nationale kompetente myndigheder, andre relevante myndigheder,
herunder dem, der giver eller understøtter adgang til data, bemyndigede organer, andre operatører, kunder
eller andre interesserede parter
k) systemer til og procedurer for registrering af al relevant dokumentation og alle relevante oplysninger
l) ressourceforvaltning, herunder foranstaltninger vedrørende forsyningssikkerhed
m) en ansvarlighedsramme, der fastlægger ledelsens og det øvrige personales ansvar med hensyn til alle
de aspekter, der er anført i dette stykke.
2. Gennemførelsen af de aspekter, der er omhandlet i stk. 1, skal stå i et rimeligt forhold til størrelsen af
udbyderens organisation. Udbyderne skal under alle omstændigheder respektere den grad af strenghed og
det beskyttelsesniveau, der kræves for at sikre, at deres højrisiko-AI-systemer er i overensstemmelse med
denne forordning.
3. Udbydere af højrisiko-AI-systemer, der er underlagt forpligtelser vedrørende kvalitetssikringssystemer
eller en tilsvarende funktion i henhold til relevant sektorspecifik EU-ret, kan medtage de aspekter, der er
anført i stk. 1, som en del af kvalitetsstyringssystemerne i henhold til denne ret.
4. For de udbydere, der er finansielle institutioner, som er underlagt krav vedrørende deres interne ledelse,
ordninger eller processer i henhold til EU-retten om finansielle tjenesteydelser, anses forpligtelsen til
at indføre et kvalitetsstyringssystem med undtagelse af denne artikels stk. 1, litra g), h) og i), for at
være opfyldt ved overholdelse af reglerne om ordninger eller processer for intern ledelse i henhold
til den relevante EU-ret om finansielle tjenesteydelser. Med henblik herpå tages der hensyn til alle de
harmoniserede standarder, der er omhandlet i artikel 40.
Artikel 18
Opbevaring af dokumentation
1. Udbyderen skal i ti år, efter at højrisiko-AI-systemet er blevet bragt i omsætning eller ibrugtaget, kunne
forelægge de nationale kompetente myndigheder:
a) den i artikel 11 omhandlede tekniske dokumentation
b) dokumentationen vedrørende det i artikel 17 omhandlede kvalitetsstyringssystem
c) dokumentationen vedrørende ændringer, der er godkendt af bemyndigede organer, hvis det er relevant
d) de afgørelser og andre dokumenter, der er udstedt af de bemyndigede organer, hvis det er relevant
80
e) den i artikel 47 omhandlede EU-overensstemmelseserklæring.
2. Hver medlemsstat fastsætter, på hvilke betingelser den i stk. 1 omhandlede dokumentation fortsat er
til rådighed for de nationale kompetente myndigheder i den periode, der er anført i nævnte stykke, i de
tilfælde, hvor en udbyder eller dennes bemyndigede repræsentant, der er etableret på dens område, går
konkurs eller indstiller sine aktiviteter inden udløbet af denne periode.
3. De udbydere, der er finansielle institutioner, som er underlagt krav vedrørende deres interne ledelse,
ordninger eller processer i henhold til EU-retten om finansielle tjenesteydelser, beholder den tekniske
dokumentation som en del af den dokumentation, der opbevares i henhold til den relevante EU-ret om
finansielle tjenesteydelser.
Artikel 19
Automatisk genererede logfiler
1. Udbydere af højrisiko-AI-systemer opbevarer de i artikel 12, stk. 1, omhandlede logfiler, der genereres
automatisk af deres højrisiko-AI-systemer, i det omfang sådanne logfiler er under deres kontrol. Uden at
det berører gældende EU-ret eller national ret, opbevares logfilerne i en periode, der er passende i forhold
til det tilsigtede formål med højrisiko-AI-systemet, på mindst seks måneder, medmindre andet er fastsat i
gældende EU-ret eller national ret, navnlig EU-retten om beskyttelse af personoplysninger.
2. De udbydere, der er finansielle institutioner, som er underlagt krav vedrørende deres interne ledelse,
ordninger eller processer i henhold til EU-retten om finansielle tjenesteydelser, beholder de logfiler, der
automatisk genereres af deres højrisiko-AI-systemer som en del af den dokumentation, der opbevares i
henhold til den relevante ret om finansielle tjenesteydelser.
Artikel 20
Korrigerende tiltag og oplysningspligt
1. De udbydere af højrisiko-AI-systemer, der mener eller har grund til at mene, at et højrisiko-AI-system,
som de har bragt i omsætning eller ibrugtaget, ikke er i overensstemmelse med denne forordning, foreta-
ger omgående de nødvendige korrigerende tiltag til at bringe det pågældende system i overensstemmelse
hermed, tilbagetrække det, tage det ud af drift eller tilbagekalde det, alt efter hvad der er relevant. De
underretter distributørerne af det pågældende højrisiko-AI-system og om nødvendigt idriftsætterne, den
bemyndigede repræsentant samt importører herom.
2. Hvis et højrisiko-AI-system udgør en risiko som omhandlet i artikel 79, stk. 1, og udbyderen får
kendskab til denne risiko, undersøger denne omgående årsagerne i samarbejde med den indberettende
idriftsætter, hvis det er relevant, og underretter de markedsovervågningsmyndigheder, der er kompetente
for det pågældende højrisiko-AI-system, og, hvis det er relevant, det bemyndigede organ, der har udstedt
en attest for det pågældende højrisiko-AI-system i overensstemmelse med artikel 44, navnlig om arten af
den manglende overholdelse og om eventuelle relevante korrigerende tiltag, der er foretaget.
Artikel 21
Samarbejde med kompetente myndigheder
1. Udbydere af højrisiko-AI-systemer giver efter begrundet anmodning fra en kompetent myndighed
denne myndighed alle de fornødne oplysninger og al den fornødne dokumentation for at påvise, at
81
højrisiko-AI-systemet er i overensstemmelse med de krav, der er fastsat i afdeling 2, på et sprog, som den
pågældende myndighed let kan forstå, og på et af EU-institutionernes officielle sprog som angivet af den
pågældende medlemsstat.
2. Efter begrundet anmodning fra en kompetent myndighed giver udbydere, alt efter hvad der er relevant,
også den anmodende kompetente myndighed adgang til de automatisk genererede logfiler af højrisiko-AI-
systemet, der er omhandlet i artikel 12, stk. 1, i det omfang sådanne logfiler er under deres kontrol.
3. Alle de oplysninger, som en kompetent myndighed kommer i besiddelse af i henhold til denne artikel,
behandles i overensstemmelse med fortrolighedsforpligtelserne fastsat i artikel 78.
Artikel 22
Bemyndigede repræsentanter for udbydere af højrisiko-AI-systemer
1. Udbydere, der er etableret i tredjelande, udpeger, inden deres højrisiko-AI-systemer gøres tilgængelige
på EU-markedet, ved skriftligt mandat en bemyndiget repræsentant, der er etableret i Unionen.
2. Udbyderen skal gøre det muligt for sin bemyndigede repræsentant at udføre de opgaver, der er fastsat i
det mandat, vedkommende har modtaget fra udbyderen.
3. Den bemyndigede repræsentant udfører de opgaver, der er fastsat i det mandat, vedkommende har
modtaget fra udbyderen. Vedkommende skal på anmodning give markedsovervågningsmyndighederne
en kopi af mandatet på et af EU-institutionernes officielle sprog som angivet af den kompetente myndig-
hed. Med henblik på denne forordning sætter mandatet den bemyndigede repræsentant i stand til at udføre
følgende opgaver:
a) at kontrollere, at den EU-overensstemmelseserklæring, der er omhandlet i artikel 47, og den tekniske
dokumentation, der er omhandlet i artikel 11, er blevet udarbejdet, og at en passende overensstemmelses-
vurderingsprocedure er blevet gennemført af udbyderen
b) i en periode på ti år efter, at højrisiko-AI-systemet er blevet bragt i omsætning eller ibrugtaget, at
kunne forelægge de kompetente myndigheder og nationale myndigheder eller organer, der er omhandlet
i artikel 74, stk. 10, kontaktoplysningerne for den udbyder, der udpegede den bemyndigede repræsentant,
en kopi af den i artikel 47 omhandlede EU-overensstemmelseserklæringen, den tekniske dokumentation
og, hvis det er relevant, den attest, der er udstedt af det bemyndigede organ
c) efter begrundet anmodning at give de kompetente myndigheder alle de fornødne oplysninger og al
den fornødne dokumentation, herunder den, der er omhandlet i dette afsnits litra b), for at påvise, at
et højrisiko-AI-system er i overensstemmelse med kravene fastsat i afdeling 2, herunder adgang til
logfilerne som omhandlet i artikel 12, stk. 1, der genereres automatisk af højrisiko-AI-systemet, i det
omfang sådanne logfiler er under udbyderens kontrol
d) efter begrundet anmodning at samarbejde med de kompetente myndigheder om ethvert tiltag, som
sidstnævnte foretager i forbindelse med højrisiko-AI-systemet, navnlig med henblik på at reducere og
afhjælpe de risici, som højrisiko-AI-systemet udgør
e) hvis det er relevant, at overholde registreringsforpligtelserne, jf. artikel 49, stk. 1, eller, hvis registrerin-
gen foretages af udbyderen selv, sikre, at de oplysninger, der er omhandlet i bilag VIII, afsnit A, punkt 3,
er korrekte.
82
Mandatet giver beføjelse til, at den bemyndigede repræsentant, ud over eller i stedet for udbyderen, kan
modtage henvendelser fra de kompetente myndigheder om alle spørgsmål relateret til at sikre overholdel-
se af denne forordning.
4. Den bemyndigede repræsentant bringer mandatet til ophør, hvis vedkommende mener eller har grund
til at mene, at udbyderen handler i strid med sine forpligtelser i henhold til denne forordning. I så fald
underretter den omgående den relevante markedsovervågningsmyndighed samt, hvis det er relevant, det
relevante bemyndigede organ om mandatets ophør og begrundelsen herfor.
Artikel 23
Forpligtelser for importører
1. Importører sikrer, før de bringer et højrisiko-AI-system i omsætning, at systemet er i overensstemmelse
med denne forordning, ved at kontrollere, at:
a) udbyderen af dette højrisiko-AI-system har gennemført den relevante overensstemmelsesvurderings-
procedure, jf. artikel 43
b) udbyderen har udarbejdet den tekniske dokumentation i overensstemmelse med artikel 11 og bilag IV
c) systemet er forsynet med den krævede CE-mærkning og ledsages af den i artikel 47 omhandlede
EU-overensstemmelseserklæring og brugsanvisning
d) udbyderen har udpeget en bemyndiget repræsentant i overensstemmelse med artikel 22, stk. 1.
2. Hvis en importør har tilstrækkelig grund til at mene, at et højrisiko-AI-system ikke er i overens-
stemmelse med denne forordning eller er forfalsket eller ledsaget af forfalsket dokumentation, må
vedkommende ikke bringe systemet i omsætning, før det er blevet bragt i overensstemmelse hermed. Hvis
højrisiko-AI-systemet udgør en risiko som omhandlet i artikel 79, stk. 1, underretter importøren udbyde-
ren af systemet, den bemyndigede repræsentant og markedsovervågningsmyndighederne herom.
3. Importører angiver deres navn, registrerede firmanavn eller registrerede varemærke og kontaktadresse
på højrisiko-AI-systemet og på dets emballage eller i den medfølgende dokumentation, hvis det er
relevant.
4. Importører sikrer, at opbevarings- og transportbetingelserne, hvis det er relevant, for højrisiko-AI-sy-
stemer, som de har ansvaret for, ikke bringer dets overholdelse af kravene fastsat i afdeling 2 i fare.
5. Importører opbevarer i ti år efter, at højrisiko-AI-systemet er blevet bragt i omsætning eller ibrugtaget,
en kopi af den attest, der er udstedt af det bemyndigede organ, hvis det er relevant, af brugsanvisningen
og af den i artikel 47 omhandlede EU-overensstemmelseserklæring.
6. Importører giver efter begrundet anmodning og på et sprog, som de relevante myndigheder let kan
forstå, disse myndigheder alle de fornødne oplysninger og al den fornødne dokumentation, herunder den,
der er omhandlet i stk. 5, for at påvise, at et højrisiko-AI-system er i overensstemmelse med kravene i
afdeling 2. Med henblik herpå skal de også sikre, at den tekniske dokumentation kan stilles til rådighed
for disse myndigheder.
7. Importører samarbejder med de relevante kompetente myndigheder om ethvert tiltag, som disse myn-
digheder foretager vedrørende et højrisiko-AI-system, som importørerne har bragt i omsætning, navnlig
med henblik på at reducere eller afbøde de risici, som det udgør.
83
Artikel 24
Forpligtelser for distributører
1. Distributører kontrollerer, før de gør et højrisiko-AI-system tilgængeligt på markedet, at det er forsynet
med den krævede CE-mærkning, at det ledsages af en kopi af den i artikel 47 omhandlede EU-overens-
stemmelseserklæring og brugsanvisning, og at udbyderen og importøren af dette system, alt efter hvad der
er relevant, har opfyldt deres respektive forpligtelser som fastsat i artikel 16, litra b) og c), og artikel 23,
stk. 3.
2. Hvis en distributør på grundlag af oplysningerne i dennes besiddelse mener eller har grund til at mene,
at et højrisiko-AI-system ikke er i overensstemmelse med kravene i afdeling 2, må vedkommende ikke
gøre højrisiko-AI-systemet tilgængeligt på markedet, før systemet er blevet bragt i overensstemmelse med
de nævnte krav. Hvis højrisiko-AI-systemet ydermere udgør en risiko som omhandlet i artikel 79, stk. 1,
underretter distributøren udbyderen eller importøren af systemet, alt efter hvad der er relevant, herom.
3. Distributører sikrer, hvis det er relevant, at opbevarings- og transportbetingelserne for højrisiko-AI-sy-
stemer, som de har ansvaret for, ikke bringer systemets overholdelse af kravene i afdeling 2 i fare.
4. Hvis en distributør på grundlag af oplysningerne i dennes besiddelse mener eller har grund til at
mene, at et højrisiko-AI-system, som vedkommende har gjort tilgængeligt på markedet, ikke er i over-
ensstemmelse med kravene i afdeling 2, foretager vedkommende de nødvendige korrigerende tiltag for
at bringe systemet i overensstemmelse med disse krav, tilbagetrække det eller tilbagekalde det eller
sikrer, at udbyderen, importøren eller enhver relevant operatør, alt efter hvad der er relevant, foretager
disse korrigerende tiltag. Hvis højrisiko-AI-systemet udgør en risiko som omhandlet i artikel 79, stk.
1, orienterer distributøren omgående udbyderen eller importøren af systemet og de myndigheder, der er
kompetente for det pågældende højrisiko-AI-system, herom og giver navnlig nærmere oplysninger om
den manglende overholdelse og de foretagne korrigerende tiltag.
5. Efter begrundet anmodning fra en relevant kompetent myndighed giver distributører af et højrisiko-AI-
system denne myndighed alle fornødne oplysninger og al fornøden dokumentation vedrørende deres
handlinger i henhold til stk. 1-4 for at påvise, at dette højrisiko-AI-system er i overensstemmelse med
kravene i afdeling 2.
6. Distributører samarbejder med de relevante kompetente myndigheder om ethvert tiltag, som disse
myndigheder foretager vedrørende et højrisiko-AI-system, som distributørerne har bragt i omsætning,
navnlig med henblik på at reducere eller afbøde de risici, som det udgør.
Artikel 25
Ansvar i hele AI-værdikæden
1. Enhver distributør, importør, idriftsætter eller anden tredjepart anses for at være udbyder af et højrisiko-
AI-system med henblik på denne forordning og er underlagt forpligtelserne for udbydere, jf. artikel 16, i
følgende tilfælde:
a) de anbringer deres navn eller varemærke på et højrisiko-AI-system, der allerede er bragt i omsætning
eller ibrugtaget, uden at det berører kontraktlige ordninger om, at forpligtelserne er fordelt anderledes
b) de foretager en væsentlig ændring af et højrisiko-AI-system, der allerede er bragt i omsætning eller
allerede er ibrugtaget, på en sådan måde, at det forbliver et højrisiko-AI-system i henhold til artikel 6
84
c) de ændrer det tilsigtede formål med et AI-system, herunder et AI-system til almen brug, der ikke er
klassificeret som højrisiko og allerede er bragt i omsætning eller ibrugtaget, på en sådan måde, at det
pågældende AI-system bliver et højrisiko-AI-system i overensstemmelse med artikel 6.
2. Hvis de omstændigheder, der er omhandlet i stk. 1, indtræffer, anses den udbyder, der oprindeligt
bragte AI-systemet i omsætning eller ibrugtog det, ikke længere for at være udbyder af dette specifikke
AI-system i denne forordnings forstand. Denne oprindelige udbyder skal arbejde tæt sammen med nye
udbydere og stille de nødvendige oplysninger til rådighed og give den teknisk adgang og anden bistand,
som med rimelighed kan forventes, og som kræves for at opfylde forpligtelserne i denne forordning,
navnlig hvad angår overholdelse af overensstemmelsesvurderingen af højrisiko-AI-systemer. Dette stykke
finder ikke anvendelse i de tilfælde, hvor den oprindelige udbyder klart har præciseret, at dennes AI-sy-
stem ikke skal ændres til et højrisiko-AI-system og dermed ikke er omfattet af forpligtelsen til at udlevere
dokumentationen.
3. Hvad angår højrisiko-AI-systemer, der er sikkerhedskomponenter i produkter, der er omfattet af
EU-harmoniseringslovgivningen opført i bilag I, afsnit A, anses producenten for at være udbyderen af
højrisiko-AI-systemet og underlægges forpligtelserne i henhold til artikel 16 i følgende tilfælde:
a) Højrisiko-AI-systemet bringes i omsætning sammen med produktet under producentens navn eller
varemærke.
b) Højrisiko-AI-systemet ibrugtages under producentens navn eller varemærke, efter at produktet er bragt
i omsætning.
4. Udbyderen af et højrisiko-AI-system og den tredjepart, der leverer et AI-system, værktøjer, tjenester,
komponenter eller processer, der anvendes eller integreres i et højrisiko-AI-system, skal ved skriftlig
aftale præcisere de nødvendige oplysninger, kapacitet, teknisk adgang og anden bistand på grundlag af det
generelt anerkendte aktuelle teknologiske niveau, så udbydere af højrisiko-AI-systemet er i stand til fuldt
ud at overholde forpligtelserne i denne forordning. Dette stykke finder ikke anvendelse på tredjeparter,
der gør andre værktøjer, tjenester, processer eller komponenter, der ikke er AI-modeller til almen brug,
tilgængelige for offentligheden i henhold til en gratis open source-licens.
AI-kontoret kan udvikle og anbefale frivillige standardaftalevilkår mellem udbydere af højrisiko-AI-sy-
stemer og tredjeparter, der leverer værktøjer, tjenester, komponenter eller processer, som anvendes til
eller integreres i højrisiko-AI-systemer. Når AI-kontoret udarbejder disse frivillige standardaftalevilkår,
tager det også hensyn til eventuelle kontraktlige krav, der gælder i specifikke sektorer eller forretnings-
scenarier. De frivillige standardaftalevilkår offentliggøres og stilles gratis til rådighed i et letanvendeligt
elektronisk format.
5. Stk. 2 og 3 berører ikke behovet for at overholde og beskytte intellektuelle ejendomsrettigheder,
fortrolige forretningsoplysninger og forretningshemmeligheder i overensstemmelse med EU-retten og
national ret.
Artikel 26
Forpligtelser for idriftsættere af højrisiko-AI-systemer
1. Idriftsættere af højrisiko-AI-systemer træffer passende tekniske og organisatoriske foranstaltninger
for at sikre, at de anvender disse systemer i overensstemmelse med den brugsanvisning, der ledsager
systemerne, jf. stk. 3 og 6.
85
2. Idriftsættere overdrager varetagelsen af det menneskelige tilsyn til fysiske personer, der har den
nødvendige kompetence, uddannelse og myndighed samt den nødvendige støtte.
3. Forpligtelserne i stk. 1 og 2 berører ikke andre idriftsætterforpligtelser i henhold til EU-retten eller
national ret eller idriftsætterens frihed til at tilrettelægge sine egne ressourcer og aktiviteter med henblik
på at gennemføre de af udbyderen angivne foranstaltninger til menneskeligt tilsyn.
4. Uden at dette berører stk. 1 og 2, og i det omfang idriftsætteren udøver kontrol over inputdataene,
sikrer denne idriftsætter, at inputdataene er relevante og tilstrækkeligt repræsentative med henblik på
højrisiko-AI-systemets tilsigtede formål.
5. Idriftsættere overvåger driften af højrisiko-AI-systemet på grundlag af brugsanvisningen og underret-
ter, hvis det er relevant, udbyderne i overensstemmelse med artikel 72. Hvis idriftsættere har grund til at
mene, at anvendelsen af højrisiko-AI-systemet i overensstemmelse med anvisningerne kan resultere i, at
AI-systemet udgør en risiko som omhandlet i artikel 79, stk. 1, underretter de uden unødigt ophold udby-
deren eller distributøren og den relevante markedsovervågningsmyndighed og stiller anvendelsen af dette
system i bero. Hvis idriftsættere har konstateret en alvorlig hændelse, underretter de også omgående først
udbyderen og dernæst importøren eller distributøren og de relevante markedsovervågningsmyndigheder
om den pågældende hændelse. Hvis idriftsætteren ikke er i stand til at kontakte udbyderen, finder artikel
73 tilsvarende anvendelse. Denne forpligtelse omfatter ikke følsomme operationelle data fra idriftsættere
af AI-systemer, som er retshåndhævende myndigheder.
For idriftsættere, der er finansielle institutioner, som er underlagt krav vedrørende deres interne ledelse,
ordninger eller processer i henhold til EU-retten om finansielle tjenesteydelser, anses overvågningsfor-
pligtelsen i første afsnit for at være opfyldt ved overholdelse af reglerne om ordninger, processer og
mekanismer for intern ledelse i henhold til den relevante ret om finansielle tjenesteydelser.
6. Idriftsættere af højrisiko-AI-systemer opbevarer de logfiler, der genereres automatisk af det pågælden-
de højrisiko-AI-system, i det omfang sådanne logfiler er under deres kontrol, i en periode, der er passende
i forhold til det tilsigtede formål med højrisiko-AI-systemet, på mindst seks måneder, medmindre andet er
fastsat i gældende EU-ret eller national ret, navnlig EU-retten om beskyttelse af personoplysninger.
Idriftsættere, der er finansielle institutioner, som er underlagt krav vedrørende deres interne ledelse, ord-
ninger eller processer i henhold til EU-retten om finansielle tjenesteydelser, beholder logfilerne som en
del af den dokumentation, der opbevares i henhold til den relevante EU-ret om finansielle tjenesteydelser.
7. Inden ibrugtagning eller anvendelse af et højrisiko-AI-system på arbejdspladsen informerer idriftsæt-
tere, som er arbejdsgivere, arbejdstagerrepræsentanter og de berørte arbejdstagere om, at de vil være
omfattet af anvendelsen af højrisiko-AI-systemet. Denne information forelægges, hvis det er relevant, i
overensstemmelse med de regler og procedurer, der er fastsat i EU-retten og EU-praksis og national ret og
praksis om informering af arbejdstagere og deres repræsentanter.
8. Idriftsættere af højrisiko-AI-systemer, der er offentlige myndigheder eller EU-institutioner, -organer,
-kontorer eller -agenturer, overholder de registreringsforpligtelser, der er omhandlet i artikel 49. Når
sådanne idriftsættere konstaterer, at det højrisiko-AI-system, de påtænker at anvende, ikke er registreret
i den EU-database, der er omhandlet i artikel 71, anvender de ikke dette system og underretter leverandø-
ren eller distributøren.
9. Hvis det er relevant, anvender idriftsættere af højrisiko-AI-systemer de oplysninger, der er fastsat i
henhold til denne forordnings artikel 13, til at overholde deres forpligtelse til at foretage en konsekvens-
86
analyse vedrørende databeskyttelse i henhold til artikel 35 i forordning (EU) 2016/679 eller artikel 27 i
direktiv (EU) 2016/680.
10. Uden at det berører direktiv (EU) 2016/680, anmoder idriftsætteren af et højrisiko-AI-system til
efterfølgende biometrisk fjernidentifikation inden for rammerne af en efterforskning med henblik på en
målrettet eftersøgning af en person, der er mistænkt eller tiltalt for at have begået en strafbar handling,
om tilladelse fra en judiciel myndighed eller en administrativ myndighed, hvis afgørelse er bindende og
underlagt domstolskontrol, til på forhånd eller uden unødigt ophold og senest inden for 48 timer at anven-
de det pågældende system, medmindre det anvendes til indledende identifikation af en potentiel mistænkt
på grundlag af objektive og verificerbare kendsgerninger, der er direkte knyttet til overtrædelsen. Hver
anvendelse begrænses til, hvad der er strengt nødvendigt for efterforskningen af en specifik strafbar
handling.
Hvis den tilladelse, der er anmodet om i henhold til første afsnit, afvises, bringes anvendelsen af systemet
til efterfølgende biometrisk fjernidentifikation, der er knyttet til denne tilladelse, der anmodes om, straks
til ophør, og de personoplysninger, der er knyttet til anvendelsen af det højrisiko-AI-system, som der blev
anmodet om tilladelse til, slettes. Et sådant højrisiko-AI-system til efterfølgende biometrisk fjernidentifi-
kation må under ingen omstændigheder anvendes til retshåndhævelsesformål på en ikkemålrettet måde
uden nogen forbindelse til en strafbar handling, en straffesag, en reel og aktuel eller reel og forudsigelig
trussel om en strafbar handling eller eftersøgning af en specifik forsvundet person. Det sikres, at der ikke
træffes nogen afgørelse, der har negative retsvirkninger for en person, af de retshåndhævende myndighe-
der, udelukkende baseret på outputtet af sådanne systemer til efterfølgende biometrisk fjernidentifikation.
Dette stykke berører ikke artikel 9 i forordning (EU) 2016/679 og artikel 10 i direktiv (EU) 2016/680 med
hensyn til behandling af biometriske data.
Uanset formålet eller idriftsætteren skal hver anvendelse af sådanne højrisiko-AI-systemer dokumenteres
i det relevante politiregister og efter anmodning stilles til rådighed for den relevante markedsovervåg-
ningsmyndighed og den nationale databeskyttelsesmyndighed, undtagen hvis det drejer sig om videregi-
velse af følsomme operationelle data vedrørende retshåndhævelse. Dette afsnit berører ikke de beføjelser,
der tillægges tilsynsmyndighederne ved direktiv (EU) 2016/680.
Idriftsættere forelægger årlige rapporter for de relevante markedsovervågningsmyndigheder og de rele-
vante nationale databeskyttelsesmyndigheder om deres anvendelse af systemer til efterfølgende biome-
trisk fjernidentifikation, undtagen hvis det drejer sig om videregivelse af følsomme operationelle data
vedrørende retshåndhævelse. Rapporterne kan samles for at dække mere end én idriftsættelse.
Medlemsstaterne kan i overensstemmelse med EU-retten indføre mere restriktiv lovgivning om anvendel-
sen af systemer til efterfølgende biometrisk fjernidentifikation.
11. Uden at det berører denne forordnings artikel 50, underretter idriftsættere af de i bilag III omhandlede
højrisiko-AI-systemer, der træffer beslutninger eller bistår med at træffe beslutninger vedrørende fysiske
personer, de fysiske personer om, at de er genstand for anvendelsen af et højrisiko-AI-system. For højri-
siko-AI-systemer, der anvendes til retshåndhævelsesformål, finder artikel 13 i direktiv (EU) 2016/680
anvendelse.
12. Idriftsættere samarbejder med de relevante kompetente myndigheder om ethvert tiltag, som disse
myndigheder foretager vedrørende højrisiko-AI-systemet, med henblik på gennemførelse af denne forord-
ning.
Artikel 27
87
Konsekvensanalyse vedrørende grundlæggende rettigheder for højrisiko-AI-systemer
1. Inden idriftsættelse af et højrisiko-AI-system omhandlet i artikel 6, stk. 2, undtagen højrisiko-AI-syste-
mer, der tilsigtes anvendt på det område, der er anført i bilag III, punkt 2, foretager idriftsættere, der
er offentligretlige organer eller private enheder, der leverer offentlige tjenester, og idriftsættere af de
højrisiko-AI-systemer, der er omhandlet i bilag III, punkt 5, litra b) og c), en analyse af konsekvensen
for grundlæggende rettigheder, som anvendelsen af et sådant system kan medføre. Med henblik herpå
foretager idriftsætterne en konsekvensanalyse bestående af:
a) en beskrivelse af idriftsætterens processer, i hvilke højrisiko-AI-systemet vil blive anvendt i overens-
stemmelse med dets tilsigtede formål
b) en beskrivelse af den periode og hyppighed, inden for hvilken hvert højrisiko-AI-system tilsigtes
anvendt
c) de kategorier af fysiske personer og grupper, som forventes at blive påvirket af dets anvendelse i den
specifikke kontekst
d) de specifikke risici for skade, der sandsynligvis vil påvirke de kategorier af fysiske personer eller
grupper af personer, som er identificeret i henhold til dette stykkes litra c), under hensyntagen til
oplysningerne fra udbyderen, jf. artikel 13
e) en beskrivelse af gennemførelsen af foranstaltninger til menneskeligt tilsyn i overensstemmelse med
brugsanvisningen
f) de foranstaltninger, der skal træffes, hvis disse risici opstår, herunder ordningerne for intern ledelse og
klagemekanismer.
2. Den i stk. 1 fastsatte forpligtelse gælder for den første anvendelse af højrisiko-AI-systemet. Idriftsætte-
ren kan i lignende tilfælde anvende tidligere gennemførte konsekvensanalyser vedrørende grundlæggende
rettigheder eller eksisterende konsekvensanalyser, som udbyderen har foretaget. Hvis idriftsætteren under
anvendelsen af højrisiko-AI-systemet finder, at nogle af de elementer, der er anført i stk. 1, har ændret sig
eller ikke længere er ajourførte, tager idriftsætteren de nødvendige skridt til at ajourføre oplysningerne.
3. Når den i stk. 1 omhandlede konsekvensanalyse er foretaget, meddeler idriftsætteren markedsovervåg-
ningsmyndigheden resultaterne heraf og forelægger den i denne artikels stk. 5 omhandlede udfyldte
skabelon som en del af meddelelsen. I det tilfælde, som er omhandlet i artikel 46, stk. 1, kan idriftsættere
undtages fra denne meddelelsespligt.
4. Hvis nogle af de forpligtelser, der er fastsat i denne artikel, allerede er opfyldt ved den konsekvens-
analyse vedrørende databeskyttelse, der foretages i henhold til artikel 35 i forordning (EU) 2016/679
eller artikel 27 i direktiv (EU) 2016/680, supplerer den i nærværende artikels stk. 1 omhandlede kon-
sekvensanalyse vedrørende grundlæggende rettigheder den pågældende konsekvensanalyse vedrørende
databeskyttelse.
5. AI-kontoret udarbejder en skabelon til et spørgeskema, herunder gennem et automatiseret værktøj, der
skal gøre det lettere for idriftsættere at overholde deres forpligtelser i henhold til denne artikel på en
forenklet måde.
AFDELING 4
Bemyndigende myndigheder og bemyndigede organer
88
Artikel 28
Bemyndigende myndigheder
1. Hver medlemsstat udpeger eller opretter mindst én bemyndigende myndighed med ansvar for at
indføre og gennemføre de nødvendige procedurer for vurdering, udpegelse og notifikation af overens-
stemmelsesvurderingsorganer og for overvågning heraf. Disse procedurer udvikles i samarbejde mellem
de bemyndigende myndigheder i alle medlemsstater.
2. Medlemsstaterne kan beslutte, at den i stk. 1 omhandlede vurdering og overvågning skal foretages af et
nationalt akkrediteringsorgan som omhandlet i og i overensstemmelse med forordning (EF) nr. 765/2008.
3. Bemyndigende myndigheder oprettes, organiseres og drives på en sådan måde, at der ikke opstår inte-
ressekonflikter med overensstemmelsesvurderingsorganerne, og at der sikres objektivitet og uvildighed i
deres aktiviteter.
4. Bemyndigende myndigheder er organiseret på en sådan måde, at afgørelser om notifikation af overens-
stemmelsesvurderingsorganer træffes af kompetente personer, der ikke er identiske med dem, der har
foretaget vurderingen af disse organer.
5. Bemyndigende myndigheder hverken tilbyder eller leverer aktiviteter, som udføres af overensstemmel-
sesvurderingsorganer, eller nogen form for rådgivningstjeneste på kommercielt eller konkurrencemæssigt
grundlag.
6. Bemyndigende myndigheder sikrer, at de oplysninger, de kommer i besiddelse af, behandles fortroligt i
overensstemmelse med artikel 78.
7. Bemyndigende myndigheder skal have et tilstrækkelig stort kompetent personale til, at de kan udføre
deres opgaver behørigt. Det kompetente personale skal have den ekspertise, der er nødvendig for deres
funktion, hvis det er relevant, på områder såsom informationsteknologier, AI og jura, herunder tilsyn med
grundlæggende rettigheder.
Artikel 29
Ansøgning om notifikation af et overensstemmelsesvurderingsorgan
1. Overensstemmelsesvurderingsorganer indgiver en ansøgning om notifikation til den bemyndigende
myndighed i den medlemsstat, hvor de er etableret.
2. Ansøgningen om notifikation ledsages af en beskrivelse af de overensstemmelsesvurderingsaktiviteter,
det eller de overensstemmelsesvurderingsmoduler og de typer AI-systemer, som overensstemmelsesvur-
deringsorganet hævder at være kompetent til, samt af en eventuel akkrediteringsattest udstedt af et natio-
nalt akkrediteringsorgan, hvori det bekræftes, at overensstemmelsesvurderingsorganet opfylder kravene i
artikel 31.
Alle gyldige dokumenter vedrørende eksisterende udpegelser af det ansøgende bemyndigede organ i
henhold til enhver anden EU-harmoniseringslovgivning tilføjes.
3. Hvis det pågældende overensstemmelsesvurderingsorgan ikke kan forelægge en akkrediteringsattest,
forelægger det den bemyndigende myndighed al den dokumentation, der er nødvendig for verifikationen,
anerkendelsen og den regelmæssige overvågning af, at det overholder kravene i artikel 31.
89
4. For bemyndigede organer, der er udpeget i henhold til enhver anden EU-harmoniseringslovgivning,
kan alle dokumenter og attester, der er knyttet til disse udpegelser, alt efter hvad der er relevant, anvendes
til at understøtte deres udpegelsesprocedure i henhold til denne forordning. Det bemyndigede organ
ajourfører den i denne artikels stk. 2 og 3 omhandlede dokumentation, når der sker relevante ændringer,
for at give myndigheden med ansvar for bemyndigede organer mulighed for at overvåge og verificere, at
alle krav i artikel 31 løbende er opfyldt.
Artikel 30
Notifikationsprocedure
1. De bemyndigende myndigheder må kun bemyndige overensstemmelsesvurderingsorganer, som opfyl-
der kravene i artikel 31.
2. De bemyndigende myndigheder underretter Kommissionen og de øvrige medlemsstater om hvert
overensstemmelsesvurderingsorgan, der er omhandlet i stk. 1, ved hjælp af det elektroniske notifikations-
værktøj, der er udviklet og forvaltes af Kommissionen.
3. Den notifikationen, der er omhandlet i denne artikels stk. 2, skal indeholde fyldestgørende oplysninger
om overensstemmelsesvurderingsaktiviteterne, overensstemmelsesvurderingsmodulet eller -modulerne,
de pågældende typer AI-systemer og den relevante dokumentation for kompetencen. Hvis en bemyndigel-
se ikke er baseret på en akkrediteringsattest som omhandlet i artikel 29, stk. 2, skal den bemyndigende
myndighed forelægge Kommissionen og de øvrige medlemsstater dokumentation, der bekræfter overens-
stemmelsesvurderingsorganets kompetence og de ordninger, der er indført for at sikre, at der regelmæssigt
føres tilsyn med organet, og at organet også fremover vil opfylde de i artikel 31 fastsatte krav.
4. Det pågældende overensstemmelsesvurderingsorgan må kun udføre aktiviteter som bemyndiget organ,
hvis Kommissionen og de øvrige medlemsstater ikke har gjort indsigelse inden for to uger efter en
bemyndigende myndigheds notifikation, hvis den indeholder en akkrediteringsattest, jf. artikel 29, stk.
2, eller senest to måneder efter den bemyndigende myndigheds notifikation, hvis den indeholder den
dokumentation, der er omhandlet i artikel 29, stk. 3.
5. Hvis der gøres indsigelse, hører Kommissionen straks de relevante medlemsstater og overensstemmel-
sesvurderingsorganet. Med henblik herpå træffer Kommissionen afgørelse om, hvorvidt tilladelsen er
berettiget. Kommissionen retter sin afgørelse til den pågældende medlemsstat og det relevante overens-
stemmelsesvurderingsorgan.
Artikel 31
Krav vedrørende bemyndigede organer
1. Et bemyndiget organ skal oprettes i henhold til national ret i en medlemsstat og være en juridisk
person.
2. Bemyndigede organer skal opfylde de organisatoriske krav samt de kvalitetsstyrings-, ressource- og
procedurekrav, der er nødvendige for at kunne udføre deres opgaver, samt passende cybersikkerhedskrav.
3. Bemyndigede organers organisationsstruktur, ansvarsfordeling, rapporteringsveje og drift skal sikre, at
der er tillid til deres arbejde og til resultaterne af de bemyndigede organers overensstemmelsesvurderings-
aktiviteter.
90
4. Bemyndigede organer skal være uafhængige af udbyderen af højrisiko-AI-systemet, i forbindelse
med hvilket de udfører overensstemmelsesvurderingsaktiviteter. Bemyndigede organer skal også være
uafhængige af alle andre operatører, der har en økonomisk interesse i højrisiko-AI-systemer, der vurderes,
og af enhver konkurrent til udbyderen. Dette er ikke til hinder for at anvende vurderede højrisiko-AI-sy-
stemer, som er nødvendige for overensstemmelsesvurderingsorganets drift, eller for at anvende sådanne
højrisiko-AI-systemer til personlige formål.
5. Hverken overensstemmelsesvurderingsorganet, dets øverste ledelse eller det personale, der er ansvarligt
for at udføre dets overensstemmelsesvurderingsopgaver, må være direkte involveret i udformningen,
udviklingen, markedsføringen eller anvendelsen af højrisiko-AI-systemer eller repræsentere parter, der
deltager i disse aktiviteter. De må ikke deltage i aktiviteter, som kan være i strid med deres objektivitet
eller integritet, når de udfører de aktiviteter i forbindelse med overensstemmelsesvurdering, som de er
bemyndiget til at udføre. Dette gælder navnlig rådgivningstjenester.
6. Bemyndigede organer skal være organiseret og arbejde på en sådan måde, at der i deres aktiviteter
sikres uafhængighed, objektivitet og uvildighed. Bemyndigede organer skal dokumentere og gennemføre
en struktur og procedurer til sikring af uvildighed og til fremme og anvendelse af principperne om
uvildighed i hele deres organisation, hos alt deres personale og i alle deres vurderingsaktiviteter.
7. Bemyndigede organer skal have indført dokumenterede procedurer, der sikrer, at deres personale, ud-
valg, dattervirksomheder, underentreprenører og eventuelle tilknyttede organer eller personale i eksterne
organer i overensstemmelse med artikel 78 opretholder fortroligheden af de oplysninger, som de kommer
i besiddelse af under udførelsen af overensstemmelsesvurderingsaktiviteterne, undtagen når videregivelse
heraf er påbudt ved lov. Bemyndigede organers personale har tavshedspligt med hensyn til alle oplysnin-
ger, det kommer i besiddelse af under udførelsen af sine opgaver i henhold til denne forordning, undtagen
over for de bemyndigende myndigheder i den medlemsstat, hvor aktiviteterne udføres.
8. Bemyndigede organer skal have procedurer for udførelsen af aktiviteterne, der tager behørigt hensyn til
en udbyders størrelse, til den sektor, som den opererer inden for, til dens struktur og til, hvor kompleks det
pågældende AI-system er.
9. Bemyndigede organer skal tegne en passende ansvarsforsikring for deres overensstemmelsesvurde-
ringsaktiviteter, medmindre ansvaret i overensstemmelse med national ret ligger hos den medlemsstat, i
hvilken de er etableret, eller medlemsstaten selv er direkte ansvarlig for overensstemmelsesvurderingen.
10. Bemyndigede organer skal være i stand til at udføre alle deres opgaver i henhold til denne forordning
med den størst mulige faglige integritet og den nødvendige kompetence på det specifikke område, uanset
om disse opgaver udføres af bemyndigede organer selv eller på deres vegne og på deres ansvar.
11. Bemyndigede organer skal have tilstrækkelige interne kompetencer til at kunne evaluere de opgaver,
der udføres af eksterne parter på deres vegne, effektivt. Det bemyndigede organ skal have permanent
adgang til tilstrækkeligt administrativt, teknisk, juridisk og videnskabeligt personale med erfaring og
viden vedrørende de relevante typer af AI-systemer, de relevante data og den relevante databehandling og
vedrørende kravene i afdeling 2.
12. Bemyndigede organer skal deltage i det koordinerende arbejde, jf. artikel 38. De skal også deltage
direkte eller være repræsenteret i de europæiske standardiseringsorganisationer eller sikre, at de har et
ajourført kendskab til relevante standarder.
Artikel 32
91
Formodning om overensstemmelse med krav vedrørende bemyndigede organer
Hvis et overensstemmelsesvurderingsorgan påviser, at det er i overensstemmelse med kriterierne i de rele-
vante harmoniserede standarder eller dele heraf, hvortil der er offentliggjort referencer i Den Europæiske
Unions Tidende, formodes det at overholde kravene i artikel 31, for så vidt de gældende harmoniserede
standarder dækker disse krav.
Artikel 33
Dattervirksomheder i tilknytning til bemyndigede organer og underentreprise
1. Hvis et bemyndiget organ giver bestemte opgaver i forbindelse med overensstemmelsesvurderingen i
underentreprise eller anvender en dattervirksomhed, skal det sikre, at underentreprenøren eller dattervirk-
somheden opfylder kravene i artikel 31, og underrette den bemyndigende myndighed herom.
2. Bemyndigede organer har det fulde ansvar for de opgaver, som udføres af en underentreprenør eller
dattervirksomhed.
3. Aktiviteter kan kun gives i underentreprise eller udføres af en dattervirksomhed, hvis udbyderen har
givet sit samtykke hertil. Bemyndigede organer skal gøre en liste over deres dattervirksomheder offentligt
tilgængelig.
4. De relevante dokumenter vedrørende vurderingen af underentreprenørens eller dattervirksomhedens
kvalifikationer og det arbejde, som de har udført i henhold til denne forordning, stilles til rådighed for den
bemyndigende myndighed i en periode på fem år fra datoen for afslutningen af underentreprisen.
Artikel 34
Bemyndigede organers operationelle forpligtelser
1. Bemyndigede organer skal verificere, at højrisiko-AI-systemer er i overensstemmelse med overens-
stemmelsesvurderingsprocedurerne i artikel 43.
2. Bemyndigede organer skal under udførelsen af deres aktiviteter undgå unødvendige byrder for udby-
derne og tage behørigt hensyn til udbyderens størrelse, den sektor, som den opererer inden for, dens
struktur og til, hvor kompleks det pågældende højrisiko-AI-system er, navnlig med henblik på at mini-
mere administrative byrder og overholdelsesomkostninger for mikrovirksomheder og små virksomheder
som omhandlet i henstilling 2003/361/EF. Det bemyndigede organ skal dog respektere den grad af
strenghed og det beskyttelsesniveau, der kræves for, at højrisiko-AI-systemet overholder kravene i denne
forordning.
3. Bemyndigede organer skal stille al relevant dokumentation til rådighed og efter anmodning forelægge
denne, herunder udbyderens dokumentation, for den bemyndigende myndighed, der er omhandlet i artikel
28, så denne myndighed kan udføre sine vurderings-, udpegelses-, notifikations- og overvågningsaktivite-
ter og lette vurderingen anført i denne afdeling.
Artikel 35
Identifikationsnumre for og lister over bemyndigede organer
1. Kommissionen tildeler hvert bemyndiget organ ét identifikationsnummer, også selv om organet er
notificeret i henhold til mere end én EU-retsakt.
92
2. Kommissionen offentliggør listen over organer, der er notificeret i henhold til denne forordning, herun-
der deres identifikationsnumre og de aktiviteter, med henblik på hvilke de er notificeret. Kommissionen
sikrer, at listen ajourføres.
Artikel 36
Ændringer af notifikationer
1. Den bemyndigende myndighed meddeler Kommissionen og de øvrige medlemsstater alle relevante æn-
dringer i notifikationen af et bemyndiget organ via det elektroniske notifikationsværktøj, der er omhandlet
i artikel 30, stk. 2.
2. Procedurerne i artikel 29 og 30 finder anvendelse på udvidelser af rammerne for notifikationen.
Med hensyn til andre ændringer af notifikationen end udvidelser af rammerne for den, finder procedurer-
ne i stk. 3-9 anvendelse.
3. Hvis et bemyndiget organ beslutter at indstille sine overensstemmelsesvurderingsaktiviteter, underretter
det den bemyndigende myndighed og udbyderne hurtigst muligt og i tilfælde af planlagt indstilling
mindst ét år, inden dets aktiviteter indstilles. Det bemyndigede organs attester kan forblive gyldige i
en periode på ni måneder, efter at det bemyndigede organs aktiviteter er indstillet, forudsat at et andet
bemyndiget organ skriftligt har bekræftet, at det vil påtage sig ansvaret for de højrisiko-AI-systemer, der
er omfattet af disse attester. Sidstnævnte bemyndigede organ foretager en fuld vurdering af de berørte
højrisiko-AI-systemer inden udgangen af denne periode på ni måneder, før det udsteder nye attester for
disse systemer. Hvis det bemyndigede organ har indstillet sine aktiviteter, trækker den bemyndigende
myndighed udpegelsen tilbage.
4. Hvis en bemyndigende myndighed har tilstrækkelig grund til at mene, at et bemyndiget organ ikke
længere opfylder kravene i artikel 31, eller at det ikke opfylder sine forpligtelser, skal den bemyndigende
myndighed hurtigst muligt undersøge sagen med den størst mulige omhu. I den forbindelse skal den
underrette det berørte bemyndigede organ om sine indvendinger og giver det mulighed for at tilkendegive
sine synspunkter. Hvis en bemyndigende myndighed konkluderer, at det bemyndigede organ ikke længere
opfylder kravene i artikel 31, eller at det ikke opfylder sine forpligtelser, skal den begrænse, suspendere
eller tilbagetrække udpegelsen, alt efter hvad der er relevant, afhængigt af hvor alvorlig den manglende
opfyldelse af kravene eller forpligtelserne er. Den underretter omgående Kommissionen og de øvrige
medlemsstater herom.
5. Hvis et bemyndiget organs udpegelse er blevet suspenderet, begrænset eller helt eller delvist tilbage-
trukket, underretter dette organ de pågældende udbydere inden for ti dage.
6. Hvis en udpegelse begrænses, suspenderes eller tilbagetrækkes, træffer den bemyndigende myndighed
de nødvendige foranstaltninger for at sikre, at det pågældende bemyndigede organs sager opbevares, og
for at stille dem til rådighed for bemyndigende myndigheder i andre medlemsstater og for markedsover-
vågningsmyndighederne efter disses anmodning.
7. Hvis en udpegelse begrænses, suspenderes eller tilbagetrækkes, skal den bemyndigende myndighed:
a) vurdere indvirkningen på attester, der er udstedt af det bemyndigede organ
b) forelægge en rapport om sine resultater til Kommissionen og de øvrige medlemsstater senest tre
måneder efter, at den har givet meddelelse om ændringerne af udpegelsen
93
c) pålægge det bemyndigede organ at suspendere eller tilbagetrække alle de attester, der uretmæssigt er
blevet udstedt, inden for en rimelig tidsfrist, der fastsættes af myndigheden, for at sikre, at højrisiko-AI-
systemer fortsat er i overensstemmelse hermed på markedet
d) underrette Kommissionen og medlemsstaterne om attester, som den har kræves suspenderet eller
tilbagetrukket
e) give de nationale kompetente myndigheder i den medlemsstat, hvor udbyderen har sit registrerede
forretningssted, alle relevante oplysninger om de attester, for hvilke den har krævet suspension eller
tilbagetrækning. Den pågældende myndighed træffer de fornødne foranstaltninger, hvis det er nødvendigt,
for at undgå en potentiel risiko for sundhed, sikkerhed eller grundlæggende rettigheder.
8. Med undtagelse af uretmæssigt udstedte attester og i tilfælde, hvor en udpegelse er blevet inddraget
eller begrænset, vedbliver attesterne med at være gyldige i et af følgende tilfælde:
a) den bemyndigende myndighed har senest én måned efter suspensionen eller begrænsningen bekræftet,
at der ikke er nogen risiko for sundhed, sikkerhed eller grundlæggende rettigheder vedrørende attester, der
er berørt af suspensionen eller begrænsningen, og den bemyndigende myndighed har anført en frist for
tiltag til at afhjælpe suspensionen eller begrænsningen, eller
b) den bemyndigende myndighed har bekræftet, at ingen attester af relevans for suspensionen vil blive
udstedt, ændret eller genudstedt under suspensionen eller begrænsningen, og anfører, hvorvidt det bemyn-
digede organ har kapacitet til at fortsætte overvågningen og fortsat være ansvarligt for eksisterende
udstedte attester i suspensions- eller begrænsningsperioden; hvis den bemyndigende myndighed fastslår,
at det bemyndigede organ ikke er i stand til at støtte eksisterende udstedte attester, bekræfter udbyderen
af det system, der er omfattet af attesten, senest tre måneder efter suspensionen eller begrænsningen
skriftligt over for de nationale kompetente myndigheder i den medlemsstat, hvor vedkommende har sit
registrerede forretningssted, at et andet kvalificeret bemyndiget organ midlertidigt varetager det bemyndi-
gede organs funktioner med hensyn til at overvåge og forblive ansvarligt for attesterne i suspensions- eller
begrænsningsperioden.
9. Med undtagelse af uretmæssigt udstedte attester og i tilfælde, hvor en udpegelse er blevet tilbagetruk-
ket, vedbliver attesterne med at være gyldige i en periode på ni måneder i følgende tilfælde:
a) den nationale kompetente myndighed i den medlemsstat, hvor udbyderen af det højrisiko-AI-system,
der er omfattet af attesten, har sit registrerede forretningssted, har bekræftet, at der ikke er nogen risiko
for sundhed, sikkerhed eller grundlæggende rettigheder i forbindelse med de pågældende højrisiko-AI-sy-
stemer, og
b) et andet bemyndiget organ har skriftligt bekræftet, at det straks varetager ansvaret for disse AI-syste-
mer, og færdiggør sin vurdering inden 12 måneder efter tilbagetrækning af udpegelsen.
Under de omstændigheder, der er omhandlet i første afsnit, kan den kompetente nationale myndighed
i den medlemsstat, hvor udbyderen af det system, der er omfattet af attesten, har sit forretningssted,
forlænge attesternes foreløbige gyldighed i yderligere perioder på tre måneder, dog i alt højst 12 måneder.
Den kompetente nationale myndighed eller det bemyndigede organ, der varetager funktionerne for det
bemyndigede organ, der er berørt af ændringen af udpegelsen, underretter omgående Kommissionen, de
øvrige medlemsstater og de øvrige bemyndigede organer herom.
Artikel 37
94
Anfægtelse af bemyndigede organers kompetence
1. Kommissionen undersøger om nødvendigt alle tilfælde, hvor der er grund til at betvivle et bemyndiget
organs kompetence eller et bemyndiget organs fortsatte opfyldelse af kravene i artikel 31 og dets gælden-
de ansvarsområder.
2. Den bemyndigende myndighed forelægger efter anmodning Kommissionen alle relevante oplysninger
vedrørende notifikationen af det pågældende bemyndigede organ eller opretholdelsen af dets kompetence.
3. Kommissionen sikrer, at alle de følsomme oplysninger, som den kommer i besiddelse af som led i sine
undersøgelser i henhold til denne artikel, behandles fortroligt i overensstemmelse med artikel 78.
4. Hvis Kommissionen konstaterer, at et bemyndiget organ ikke eller ikke længere opfylder kravene
i forbindelse med sin notifikation, underretter den den bemyndigende medlemsstat herom og anmoder
den om at træffe de nødvendige korrigerende foranstaltninger, herunder om nødvendigt suspension
eller tilbagetrækning af notifikationen. Hvis den bemyndigende myndighed ikke træffer de nødvendige
foranstaltninger, kan Kommissionen ved hjælp af en gennemførelsesretsakt suspendere, begrænse eller
tilbagetrække udpegelsen. Denne gennemførelsesretsakt vedtages efter undersøgelsesproceduren, jf. arti-
kel 98, stk. 2.
Artikel 38
Koordinering af bemyndigede organer
1. Kommissionen sikrer, at der med hensyn til højrisiko-AI-systemer etableres passende koordinering og
samarbejde mellem de bemyndigede organer, der er aktive inden for overensstemmelsesvurderingsproce-
durer i henhold til denne forordning, i form af en sektorspecifik gruppe af bemyndigede organer, og at det
styres på forsvarlig måde.
2. Hver bemyndigende myndighed sørger for, at de organer, den har bemyndiget, deltager i arbejdet i en
gruppe, jf. stk. 1, enten direkte eller gennem udpegede repræsentanter.
3. Kommissionen sørger for udveksling af viden og bedste praksis mellem de bemyndigede myndigheder.
Artikel 39
Tredjelandes overensstemmelsesvurderingsorganer
Overensstemmelsesvurderingsorganer, der er oprettet i henhold til retten i et tredjeland, med hvilket
Unionen har indgået en aftale, kan godkendes til at udføre bemyndigede organers aktiviteter i henhold
til denne forordning, forudsat at de opfylder kravene i artikel 31, eller at de sikrer et tilsvarende overens-
stemmelsesniveau.
AFDELING 5
Standarder, overensstemmelsesvurdering, attester, registrering
Artikel 40
Harmoniserede standarder og standardiseringsdokumentation
95
1. Højrisiko-AI-systemer eller AI-modeller til almen brug, som er i overensstemmelse med harmonisere-
de standarder eller dele heraf, hvis referencer er offentliggjort i Den Europæiske Unions Tidende i over-
ensstemmelse med forordning (EU) nr. 1025/2012, formodes at være i overensstemmelse med kravene i
dette kapitels afdeling 2 eller, alt efter hvad der er relevant, med forpligtelserne i nærværende forordnings
kapitel V, afdeling 2 og 3, for så vidt de nævnte standarder omfatter disse krav eller forpligtelser.
2. I overensstemmelse med artikel 10 i forordning (EU) nr. 1025/2012 fremsætter Kommissionen uden
unødigt ophold standardiseringsanmodninger, der dækker alle kravene i dette kapitels afdeling 2, og,
alt efter hvad der er relevant, standardiseringsanmodninger, der dækker forpligtelserne i nærværende
forordnings kapitel V, afdeling 2 og 3. I standardiseringsanmodningen anmodes der også om dokumenta-
tion vedrørende rapporterings- og dokumentationsprocesser med henblik på at forbedre AI-systemernes
ressourceydeevne såsom reduktion af højrisiko-AI-systemets forbrug af energi og af andre ressourcer i
løbet af dets livscyklus og vedrørende energieffektiv udvikling af AI-modeller til almen brug. I forbindel-
se med udarbejdelsen af en standardiseringsanmodning hører Kommissionen AI-udvalget og relevante
interessenter, herunder det rådgivende forum.
Når Kommissionen fremsætter en standardiseringsanmodning til de europæiske standardiseringsorganisa-
tioner, præciserer den, at standarderne skal være klare, overensstemmende, herunder med de standarder,
der er udviklet i de forskellige sektorer for produkter, der er omfattet af den gældende EU-harmonise-
ringslovgivning, som er opført i bilag I, og søge at sikre, at højrisiko-AI-systemer eller AI-modeller
til almen brug, som bringes i omsætning eller tages i brug i Unionen, opfylder de relevante krav eller
forpligtelser i nærværende forordning.
Kommissionen anmoder de europæiske standardiseringsorganisationer om at dokumentere deres bedste
indsats for at nå de mål, der er omhandlet i dette stykkes første og andet afsnit, i overensstemmelse med
artikel 24 i forordning (EU) nr. 1025/2012.
3. Deltagerne i standardiseringsprocessen skal søge at fremme investering og innovation inden for AI,
herunder gennem øget retssikkerhed, samt EU-markedets konkurrenceevne og vækst, at bidrage til at
styrke globalt samarbejde om standardisering og tage højde for eksisterende internationale standarder
inden for kunstig intelligens, som stemmer overens med Unionens værdier, grundlæggende rettigheder og
interesser, og at styrke multiinteressentforvaltning, der sikrer en afbalanceret repræsentation af interesser
og effektiv deltagelse af alle relevante interessenter i overensstemmelse med artikel 5, 6 og 7 i forordning
(EU) nr. 1025/2012.
Artikel 41
Fælles specifikationer
1. Kommissionen kan vedtage gennemførelsesretsakter om fastlæggelse af fælles specifikationer for
kravene i dette kapitels afdeling 2 eller, alt efter hvad der er relevant, for forpligtelserne i kapitel V,
afdeling 2 og 3, hvis følgende betingelser er opfyldt:
a) Kommissionen har i henhold til artikel 10, stk. 1, i forordning (EU) nr. 1025/2012 anmodet en eller
flere europæiske standardiseringsorganisationer om at udarbejde en harmoniseret standard for kravene i
dette kapitels afdeling 2 eller, hvis det er relevant, for forpligtelserne i kapitel V, afdeling 2 og 3, og:
i) anmodningen er ikke blevet imødekommet af nogen af de europæiske standardiseringsorganisationer,
eller
96
ii) de harmoniserede standarder, der behandler den pågældende anmodning, er ikke blevet leveret inden
for den frist, der er fastsat i overensstemmelse med artikel 10, stk. 1, i forordning (EU) nr. 1025/2012,
eller
iii) de relevante harmoniserede standarder tager ikke i tilstrækkelig grad hensyn til de grundlæggende
rettigheder, eller
iv) de harmoniserede standarder er ikke i overensstemmelse med anmodningen, og
b) ingen reference til harmoniserede standarder, der dækker de krav, der er omhandlet i dette kapitels
afdeling 2, eller, hvis det er relevant, forpligtelserne i kapitel V, afdeling 2 og 3, er offentliggjort i Den
Europæiske Unions Tidende i overensstemmelse med forordning (EU) nr. 1025/2012, og ingen reference
af denne art forventes at blive offentliggjort inden for et rimeligt tidsrum.
Når Kommissionen udarbejder de fælles specifikationer, skal den høre det rådgivende forum, der er
omhandlet i artikel 67.
De gennemførelsesretsakter, der er omhandlet i dette stykkes første afsnit, vedtages efter undersøgelses-
proceduren, jf. artikel 98, stk. 2.
2. Inden Kommissionen udarbejder et udkast til gennemførelsesretsakt, underretter den det udvalg, der
er omhandlet i artikel 22 i forordning (EU) nr. 1025/2012, om, at den anser betingelserne i nærværende
artikels stk. 1 for opfyldt.
3. Højrisiko-AI-systemer eller AI-modeller til almen brug, som er i overensstemmelse med de fælles
specifikationer, der er omhandlet i stk. 1, eller dele af disse specifikationer, formodes at være i overens-
stemmelse med kravene fastsat i dette kapitels afdeling 2 eller, alt efter hvad der er relevant, at overholde
forpligtelserne omhandlet i kapital V, afdeling 2 og 3, for så vidt de nævnte fælles specifikationer
omfatter disse forpligtelser.
4. Hvis en europæisk standardiseringsorganisation vedtager en harmoniseret standard og fremlægger
denne for Kommissionen med henblik på offentliggørelse af referencen hertil i Den Europæiske Unions
Tidende, skal Kommissionen foretage en vurdering af den harmoniserede standard i overensstemmelse
med forordning (EU) nr. 1025/2012. Når referencen til en harmoniseret standard offentliggøres i Den
Europæiske Unions Tidende, ophæver Kommissionen de gennemførelsesretsakter, der er omhandlet i stk.
1, eller dele deraf, der omfatter de samme krav, der er fastsat i dette kapitels afdeling 2 eller, hvis det er
relevant, at de samme forpligtelser, der er fastsat i kapital V, afdeling 2 og 3.
5. Hvis udbydere af højrisiko-AI-systemer eller AI-modeller til almen brug ikke overholder de fælles
specifikationer, der er omhandlet i stk. 1, skal de behørigt begrunde, at de har indført tekniske løsninger,
der opfylder de krav, der er omhandlet i dette kapitels afdeling 2 eller, alt efter hvad der er relevant,
overholder de forpligtelser, der er fastsat i kapital V, afdeling 2 og 3, i et omfang, som mindst svarer
hertil.
6. Hvis en medlemsstat finder, at en fælles specifikation ikke fuldt ud opfylder kravene fastsat i afdeling
2 eller, alt efter hvad der er relevant, overholder forpligtelserne fastsat i kapital V, afdeling 2 og 3,
underretter den Kommissionen herom med en detaljeret redegørelse. Kommissionen vurderer disse oplys-
ninger og ændrer, hvis det er relevant, gennemførelsesretsakten om fastlæggelse af den pågældende fælles
specifikation.
Artikel 42
97
Formodning om overensstemmelse med visse krav
1. Højrisiko-AI-systemer, der er blevet trænet og afprøvet på data, som afspejler de specifikke geogra-
fiske, adfærdsmæssige, kontekstuelle eller funktionelle rammer, som de tilsigtes anvendt inden for,
formodes at overholde de relevante krav i artikel 10, stk. 4.
2. Højrisiko-AI-systemer, der er certificeret, eller for hvilke der er udstedt en overensstemmelseserklæring
i henhold til en cybersikkerhedsordning i henhold til forordning (EU) 2019/881, og hvis referencer
er offentliggjort i Den Europæiske Unions Tidende, formodes at overholde cybersikkerhedskravene i
nærværende forordnings artikel 15, såfremt cybersikkerhedsattesten eller overensstemmelseserklæringen
eller dele heraf dækker disse krav.
Artikel 43
Overensstemmelsesvurdering
1. Hvad angår højrisiko-AI-systemer, der er opført i bilag III, punkt 1, skal udbyderen, såfremt denne
ved påvisningen af, at et højrisiko-AI-system overholder kravene i afdeling 2, har anvendt harmoniserede
standarder omhandlet i artikel 40 eller, hvis det er relevant, fælles specifikationer omhandlet i artikel 41,
vælge en af følgende overensstemmelsesvurderingsprocedurer på grundlag af:
a) intern kontrol omhandlet i bilag VI, eller
b) vurdering af kvalitetsstyringssystemet og vurdering af den tekniske dokumentation med inddragelse af
et bemyndiget organ omhandlet i bilag VII.
Ved påvisning af et højrisiko-AI-systems overensstemmelse med kravene i afdeling 2 følger udbyderen
overensstemmelsesvurderingsproceduren i bilag VII, hvis:
a) der ikke findes harmoniserede standarder omhandlet i artikel 40, og der ikke findes fælles specifikatio-
ner omhandlet i artikel 41
b) udbyderen ikke har anvendt eller kun har anvendt en del af den harmoniserede standard
c) de i litra a) omhandlede fælles specifikationer findes, men udbyderen ikke har anvendt dem
d) én eller flere af de i litra a) omhandlede harmoniserede standarder er blevet offentliggjort med en
begrænsning og kun med hensyn til den del af standarden, som er genstand for begrænsning.
Med henblik på den overensstemmelsesvurderingsprocedure, der er omhandlet i bilag VII, kan udbyderen
vælge hvilket som helst af de bemyndigede organer. Hvis højrisiko-AI-systemet tilsigtes ibrugtaget af
retshåndhævende myndigheder, indvandringsmyndigheder, asylmyndigheder eller EU-institutioner, -orga-
ner, -kontorer eller -agenturer, fungerer den markedsovervågningsmyndighed, der er omhandlet i artikel
74, stk. 8 eller 9, alt efter hvad der er relevant, imidlertid som bemyndiget organ.
2. Hvad angår de højrisiko-AI-systemer, der er omhandlet i bilag III, punkt 2-8, skal udbyderne følge
overensstemmelsesvurderingsproceduren på grundlag af intern kontrol som omhandlet i bilag VI, som
ikke foreskriver inddragelse af et bemyndiget organ.
3. For højrisiko-AI-systemer, som er omfattet af EU-harmoniseringslovgivningen, der er opført i bilag
I, afsnit A, skal udbyderen følge den relevante overensstemmelsesvurderingsprocedure som krævet i
henhold til disse retsakter. Kravene i dette kapitels afdeling 2 finder anvendelse på disse højrisiko-AI-sy-
98
stemer og skal indgå i den nævnte vurdering. Punkt 4.3, 4.4 og 4.5 samt bilag VII, punkt 4.6, femte afsnit,
finder også anvendelse.
Med henblik på denne vurdering har bemyndigede organer, der er blevet notificeret i henhold til disse
retsakter, ret til at kontrollere højrisiko-AI-systemernes overensstemmelse med kravene i afdeling 2,
forudsat at disse bemyndigede organers overholdelse af kravene i artikel 31, stk. 4, 5, 10 og 11, er blevet
vurderet i forbindelse med notifikationsproceduren i henhold til disse retsakter.
Hvis en retsakt, der er opført i bilag I, afsnit A, giver producenten mulighed for at fravælge en af
tredjepart udført overensstemmelsesvurdering, forudsat at producenten har anvendt alle de harmoniserede
standarder, der omfatter alle de relevante krav, kan producenten kun anvende denne mulighed, hvis
vedkommende også har anvendt harmoniserede standarder eller, hvis det er relevant, fælles specifikatio-
ner omhandlet i artikel 41, der omfatter alle kravene i dette kapitels afdeling 2.
4. Højrisiko-AI-systemer, der allerede har været genstand for en overensstemmelsesvurderingsprocedure,
skal underkastes en ny overensstemmelsesvurderingsprocedure i tilfælde af væsentlige ændringer, uanset
om det ændrede system tilsigtes videredistribueret eller fortsat anvendes af den nuværende idriftsætter.
For højrisiko-AI-systemer, der bliver ved med at lære efter at være bragt i omsætning eller ibrugtaget,
udgør ændringer af højrisiko-AI-systemet og dets ydeevne, som udbyderen har fastlagt på forhånd på
tidspunktet for den indledende overensstemmelsesvurdering, og som er en del af oplysningerne i den
tekniske dokumentation, der er omhandlet i bilag IV, punkt 2, litra f), ikke en væsentlig ændring.
5. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel
97 for at ændre bilag VI og VII ved at ajourføre dem i lyset af den tekniske udvikling.
6. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel
97 for at ændre nærværende artikels stk. 1 og 2 for at underkaste de i bilag III, punkt 2-8, omhandlede
højrisiko-AI-systemer overensstemmelsesvurderingsproceduren i bilag VII eller dele heraf. Kommissio-
nen vedtager sådanne delegerede retsakter under hensyntagen til effektiviteten af overensstemmelsesvur-
deringsproceduren på grundlag af intern kontrol omhandlet i bilag VI med hensyn til at forebygge eller
minimere de risici for sundhed, sikkerhed og beskyttelsen af de grundlæggende rettigheder, som sådanne
systemer medfører, samt hvorvidt der er tilstrækkelig kapacitet og ressourcer i de bemyndigede organer.
Artikel 44
Attester
1. Attester, der udstedes af bemyndigede organer i overensstemmelse med bilag VII, udfærdiges på et
sprog, som er letforståeligt for de relevante myndigheder i den medlemsstat, hvor det bemyndigede organ
er etableret.
2. Attester er gyldige i den periode, de angiver, og som ikke må overstige fem år for AI-systemer, der er
omfattet af bilag I, og fire år for AI-systemer, der er omfattet af bilag III. På udbyderens anmodning kan
en attests gyldighedsperiode forlænges med yderligere perioder på hver højst fem år for AI-systemer, der
er omfattet af bilag I, og fire år for AI-systemer, der er omfattet af bilag III, på grundlag af en fornyet
vurdering i overensstemmelse med gældende overensstemmelsesvurderingsprocedurer. Et eventuelt tillæg
til en attest forbliver gyldigt, forudsat at den attest, det supplerer, er gyldig.
3. Hvis et bemyndiget organ fastslår, at et AI-system ikke længere opfylder kravene i afdeling 2, skal
det under iagttagelse af proportionalitetsprincippet suspendere eller tilbagetrække den udstedte attest
99
eller begrænse den, medmindre udbyderen af systemet gennem passende korrigerende tiltag og inden
for en passende frist fastsat af det bemyndigede organ sikrer overholdelse af de pågældende krav. Det
bemyndigede organ skal begrunde sin afgørelse.
De bemyndigede organers afgørelser, herunder om udstedte overensstemmelsesattester, skal kunne appel-
leres.
Artikel 45
Oplysningsforpligtelser for bemyndigede organer
1. Bemyndigede organer skal oplyse den bemyndigende myndighed om følgende:
a) alle EU-vurderingsattester for teknisk dokumentation, eventuelle tillæg til disse attester og eventuelle
godkendelser af kvalitetsstyringssystemer, der er udstedt i overensstemmelse med kravene i bilag VII
b) alle afslag på, begrænsninger af, suspensioner af eller tilbagetrækninger af EU-vurderingsattester for
teknisk dokumentation eller godkendelser af kvalitetsstyringssystemer udstedt i overensstemmelse med
kravene i bilag VII
c) alle forhold, der har indflydelse på omfanget af eller betingelserne for notifikationen
d) alle anmodninger om oplysninger om overensstemmelsesvurderingsaktiviteter, som de har modtaget
fra markedsovervågningsmyndighederne
e) efter anmodning, overensstemmelsesvurderingsaktiviteter, der er udført inden anvendelsesområdet for
deres notifikation, og enhver anden aktivitet, der er udført, herunder grænseoverskridende aktiviteter og
underentreprise.
2. Hvert bemyndiget organ skal underrette de øvrige bemyndigede organer om:
a) afviste, suspenderede eller tilbagetrukne godkendelser af kvalitetsstyringssystemer samt, efter anmod-
ning, udstedte godkendelser af kvalitetsstyringssystemer
b) EU-vurderingsattester for teknisk dokumentation eller tillæg hertil, som det har afvist, tilbagetrukket,
suspenderet eller på anden måde begrænset, og, efter anmodning, de attester og/eller tillæg hertil, som det
har udstedt.
3. Hvert bemyndiget organ skal give de øvrige bemyndigede organer, som udfører lignende overensstem-
melsesvurderingsaktiviteter vedrørende de samme typer AI-systemer, relevante oplysninger om spørgs-
mål vedrørende negative og, efter anmodning, positive overensstemmelsesvurderingsresultater.
4. Bemyndigende myndigheder sikrer, at de oplysninger, de kommer i besiddelse af, behandles fortroligt i
overensstemmelse med artikel 78.
Artikel 46
Undtagelse fra overensstemmelsesvurderingsprocedure
1. Uanset artikel 43 og efter behørigt begrundet anmodning kan enhver markedsovervågningsmyndighed
tillade, at specifikke højrisiko-AI-systemer bringes i omsætning eller ibrugtages på den pågældende
medlemsstats område af ekstraordinære hensyn til den offentlige sikkerhed eller beskyttelse af menne-
skers liv og sundhed, miljøbeskyttelse eller beskyttelse af centrale industrielle og infrastrukturmæssige
aktiver. Tilladelsen gælder kun for en begrænset periode, mens de nødvendige overensstemmelsesvurde-
100
ringsprocedurer gennemføres, under hensyntagen til de ekstraordinære hensyn, der begrunder undtagel-
sen. Gennemførelsen af disse procedurer skal ske uden unødigt ophold.
2. I behørigt begrundede hastende tilfælde af ekstraordinære hensyn til den offentlige sikkerhed eller i
tilfælde af en specifik, væsentlig og overhængende fare for fysiske personers liv eller fysiske sikkerhed
kan de retshåndhævende myndigheder eller civilbeskyttelsesmyndighederne ibrugtage et specifikt højri-
siko-AI-system uden den tilladelse, der er omhandlet i stk. 1, forudsat at der anmodes om en sådan
tilladelse under eller efter anvendelsen uden unødigt ophold. Hvis den i stk. 1 omhandlede tilladelse
afvises, skal anvendelsen af højrisiko-AI-systemet indstilles med øjeblikkelig virkning, og alle resultater
og output af en sådan anvendelse skal omgående kasseres.
3. Den i stk. 1 omhandlede tilladelse udstedes kun, hvis markedsovervågningsmyndigheden konkluderer,
at højrisiko-AI-systemet overholder kravene i afdeling 2. Markedsovervågningsmyndigheden underretter
Kommissionen og de øvrige medlemsstater om enhver tilladelse, der udstedes i henhold til stk. 1 og
2. Denne forpligtelse omfatter ikke følsomme operationelle oplysninger i forbindelse med de retshåndhæ-
vende myndigheders aktiviteter.
4. Hvis der ikke inden for 15 kalenderdage efter modtagelsen af de i stk. 3 omhandlede oplysninger
er blevet gjort indsigelse af en medlemsstat eller Kommissionen mod en tilladelse udstedt af en markeds-
overvågningsmyndighed i en medlemsstat i overensstemmelse med stk. 1, anses denne tilladelse for at
være berettiget.
5. Hvis en medlemsstat inden for 15 kalenderdage efter modtagelsen af den i stk. 3 omhandlede
underretning gør indsigelse mod en tilladelse, der er udstedt af en markedsovervågningsmyndighed i
en anden medlemsstat, eller hvis Kommissionen finder, at tilladelsen er i strid med EU-retten, eller at
medlemsstaternes konklusion vedrørende systemets overholdelse af kravene som omhandlet i stk. 3 er
ubegrundet, hører Kommissionen straks den relevante medlemsstat. Operatørerne skal høres og have
mulighed for at fremsætte deres synspunkter. På denne baggrund træffer Kommissionen afgørelse om,
hvorvidt tilladelsen er berettiget. Kommissionen retter sin afgørelse til den pågældende medlemsstat og til
de relevante operatører.
6. Hvis Kommissionen finder, at tilladelsen er uberettiget, tilbagetrækkes den af markedsovervågnings-
myndigheden i den pågældende medlemsstat.
7. For højrisiko-AI-systemer vedrørende produkter, der er omfattet af EU-harmoniseringslovgivningen,
som er opført i bilag I, afsnit A, finder kun undtagelserne fra overensstemmelsesvurderingen, der er
fastsat i den pågældende EU-harmoniseringslovgivning, anvendelse.
Artikel 47
EU-overensstemmelseserklæring
1. Udbyderen udarbejder en skriftlig, maskinlæsbar, fysisk eller elektronisk undertegnet EU-overensstem-
melseserklæring for hvert højrisiko-AI-system og opbevarer den, så den i ti år efter, at højrisiko-AI-
systemet er blevet bragt i omsætning eller ibrugtaget, står til rådighed for de nationale kompetente
myndigheder. Det skal af EU-overensstemmelseserklæringen fremgå, hvilket højrisiko-AI-system den ve-
drører. Et eksemplar af EU-overensstemmelseserklæringen indgives til de relevante nationale kompetente
myndigheder.
2. Det skal af EU-overensstemmelseserklæringen fremgå, at det pågældende højrisiko-AI-system opfylder
kravene i afdeling 2. EU-overensstemmelseserklæringen skal indeholde de oplysninger, der er fastsat i
101
bilag V, og skal oversættes til et sprog, der let kan forstås af de nationale kompetente myndigheder i de
medlemsstater, hvor højrisiko-AI-systemet bringes i omsætning eller gøres tilgængeligt.
3. For højrisiko-AI-systemer, der er omfattet af anden EU-harmoniseringslovgivning, i henhold til hvilken
der også kræves en EU-overensstemmelseserklæring, udarbejdes der en enkelt EU-overensstemmelseser-
klæring for al EU-ret, der finder anvendelse på højrisiko-AI-systemet. Erklæringen skal indeholde alle
de oplysninger, der er påkrævet for at identificere, hvilken EU-harmoniseringslovgivning erklæringen
vedrører.
4. Ved at udarbejde EU-overensstemmelseserklæringen står udbyderen inde for, at kravene i afdeling 2
overholdes. Udbyderen skal sørge for at holde EU-overensstemmelseserklæringen ajour, alt efter hvad der
er relevant.
5. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel
97 for at ændre bilag V ved at ajourføre indholdet af EU-overensstemmelseserklæringen, der er fastsat i
nævnte bilag, for at indføre elementer, der bliver nødvendige i lyset af den tekniske udvikling.
Artikel 48
CE-mærkning
1. CE-mærkningen er underlagt de generelle principper fastsat i artikel 30 i forordning (EF) nr. 765/2008.
2. For højrisiko-AI-systemer, som leveres digitalt, anvendes der kun en digital CE-mærkning, hvis den
er let at tilgå via den grænseflade, hvorfra det pågældende system tilgås, eller via en lettilgængelig
maskinlæsbar kode eller andre elektroniske midler.
3. CE-mærkningen skal i tilknytning til højrisiko-AI-systemer anbringes synligt, letlæseligt og således, at
den ikke kan slettes. Hvis højrisiko-AI-systemet er af en sådan art, at dette ikke er muligt eller berettiget,
anbringes mærkningen på emballagen eller i den medfølgende dokumentation, alt efter hvad der relevant.
4. Hvis det er relevant, skal CE-mærkningen følges af identifikationsnummeret for det bemyndigede
organ, der er ansvarligt for overensstemmelsesvurderingsprocedurerne i artikel 43. Det bemyndigede
organs identifikationsnummer anbringes af organet selv eller efter dettes anvisninger af udbyderen eller
af udbyderens bemyndigede repræsentant. Identifikationsnummeret skal også fremgå af salgsfremmende
materiale, som nævner, at højrisiko-AI-systemet opfylder kravene til CE-mærkning.
5. Hvis højrisiko-AI-systemet er omfattet af anden EU-ret, som også indeholder bestemmelser om anbrin-
gelsen af CE-mærkning, skal CE-mærkningen angive, at højrisiko-AI-systemet ligeledes opfylder kravene
i denne anden ret.
Artikel 49
Registrering
1. Inden et højrisiko-AI-system, der er opført i bilag III, med undtagelse af de højrisiko-AI-systemer, der
er omhandlet i bilag III, punkt 2, bringes i omsætning eller ibrugtages, skal udbyderen eller, hvis det er
relevant, den bemyndigede repræsentant registrere sig selv og deres system i den EU-database, der er
omhandlet i artikel 71.
2. Inden et AI-system, for hvilket udbyderen har konkluderet, at det ikke udgør en høj risiko i overens-
stemmelse med artikel 6, stk. 3, bringes i omsætning eller tages i brug, registrerer den pågældende
102
udbyder eller, hvis det er relevant, den bemyndigede repræsentant sig selv og dette system i den EU-data-
base, der er omhandlet i artikel 71.
3. Inden et højrisiko-AI-system, der er opført i bilag III, med undtagelse af de højrisiko-AI-systemer,
der er omhandlet i bilag III, punkt 2, ibrugtages eller anvendes, skal idriftsættere, som er offentlige myn-
digheder, EU-institutioner, -organer, -kontorer eller -agenturer eller personer, der handler på deres vegne,
lade sig registrere, vælge systemet og registrere dets anvendelse i den EU-database, der er omhandlet i
artikel 71.
4. For de højrisiko-AI-systemer, der er omhandlet i bilag III, punkt 1, 6 og 7, inden for retshåndhævelse
og migrationsstyring, asylforvaltning og grænsekontrol, foretages den registrering, der er omhandlet i
denne artikels stk. 1, 2 og 3, i en sikker ikkeoffentlig del af den EU-database, der er omhandlet i artikel
71, og omfatter kun følgende oplysninger, alt efter hvad der er relevant, der er omhandlet i:
a) bilag VIII, afsnit A, punkt 1-10, med undtagelse af punkt 6, 8 og 9
b) bilag VIII, afsnit B, punkt 1-5 og 8 og 9
c) bilag VIII, afsnit C, punkt 1-3
d) bilag IX, punkt 1, 2, 3 og 5.
Kun Kommissionen og de nationale myndigheder, der er omhandlet i artikel 74, stk. 8, har adgang til de
respektive begrænsede afsnit i den EU-database, der er opført i nærværende stykkes første afsnit.
5. Højrisiko-AI-systemer, der er omhandlet i bilag III, punkt 2, registreres på nationalt plan.
KAPITEL IV
GENNEMSIGTIGHEDSFORPLIGTELSER FOR UDBYDERE OG IDRIFTSÆTTERE AF VIS-
SE AI-SYSTEMER
Artikel 50
Gennemsigtighedsforpligtelser for udbydere og idriftsættere af visse AI-systemer
1. Udbydere skal sikre, at AI-systemer, der er tilsigtet at interagere direkte med fysiske personer, udfor-
mes og udvikles på en sådan måde, at de pågældende fysiske personer oplyses om, at de interagerer med
et AI-system, medmindre dette er indlysende ud fra en rimeligt velinformeret, opmærksom og forsigtig
fysisk persons synspunkt ud fra omstændighederne og anvendelsessammenhængen. Denne forpligtelse
finder ikke anvendelse på AI-systemer, der ved lov er godkendt til at afsløre, forebygge, efterforske eller
retsforfølge strafbare handlinger, med forbehold af passende sikkerhedsforanstaltninger for tredjemands
rettigheder og friheder, medmindre disse systemer er tilgængelige for offentligheden med henblik på at
anmelde en strafbar handling.
2. Udbydere af AI-systemer, herunder AI-systemer til almen brug, der genererer syntetisk lyd-, billed-,
video- eller tekstindhold, sikrer, at AI-systemets output er mærket i et maskinlæsbart format og kan spo-
res som kunstigt genereret eller manipuleret. Udbyderne sikrer, at deres tekniske løsninger er effektive,
interoperable, robuste og pålidelige, i det omfang dette er teknisk muligt, under hensyntagen til de særlige
forhold og begrænsninger for forskellige typer indhold, gennemførelsesomkostningerne og det generelt
anerkendte aktuelle tekniske niveau, som kan være afspejlet i relevante tekniske standarder. Denne
forpligtelse finder ikke anvendelse, i det omfang AI-systemerne udfører en hjælpefunktion med henblik
103
på standardredigering eller ikke i væsentlig grad ændrer de inputdata, der leveres af idriftsætteren eller
semantikken heraf, eller, hvis det ved lov er tilladt for at afsløre, forebygge, efterforske eller retsforfølge
strafbare handlinger.
3. Idriftsættere af et system til følelsesgenkendelse eller et system til biometrisk kategorisering underretter
de fysiske personer, der udsættes herfor, om driften af systemet og behandler personoplysningerne i
overensstemmelse med forordning (EU) 2016/679 og (EU) 2018/1725 og direktiv (EU) 2016/680, alt
efter hvad der er relevant. Denne forpligtelse finder ikke anvendelse på AI-systemer, der anvendes til bio-
metrisk kategorisering og følelsesgenkendelse, og som i ved lov er godkendt til at afsløre, forebygge eller
efterforske strafbare handlinger, med forbehold af passende sikkerhedsforanstaltninger for tredjemands
rettigheder og frihedsrettigheder og i overensstemmelse med EU-retten.
4. Idriftsættere af et AI-system, der genererer eller manipulerer billed-, lyd- eller videoindhold, der udgør
en deepfake, skal oplyse, at indholdet er blevet genereret kunstigt eller manipuleret. Denne forpligtelse
gælder ikke, hvis anvendelsen ved lov er tilladt for at afsløre, forebygge, efterforske eller retsforfølge
strafbare handlinger. Hvis indholdet er en del af et oplagt kunstnerisk, kreativt, satirisk, fiktivt eller tilsva-
rende arbejde eller program, er gennemsigtighedsforpligtelserne i dette stykke begrænset til oplysning om
eksistensen af sådant genereret eller manipuleret indhold på en passende måde, der ikke er til gene for
visningen eller nydelsen af værket.
Idriftsættere af et AI-system, der genererer eller manipulerer tekst, der offentliggøres med det formål at
informere offentligheden om spørgsmål af offentlig interesse, skal oplyse, at teksten er blevet kunstigt
genereret eller manipuleret. Denne forpligtelse finder ikke anvendelse, hvis anvendelsen ved lov er tilladt
for at afsløre, forebygge, efterforske eller retsforfølge strafbare handlinger, eller hvis det AI-genererede
indhold har gennemgået en proces med menneskelig gennemgang eller redaktionel kontrol, og hvis en
fysisk eller juridisk person har det redaktionelle ansvar for offentliggørelsen af indholdet.
5. De oplysninger, der er omhandlet i stk. 1-4, gives til de pågældende fysiske personer på en klar og
synlig måde senest på tidspunktet for den første interaktion eller eksponering. Oplysningerne skal være i
overensstemmelse med gældende tilgængelighedskrav.
6. Stk. 1-4 berører ikke kravene og forpligtelserne i kapitel III og berører ikke andre gennemsigtigheds-
forpligtelser, der er fastsat i EU-retten eller national ret, for idriftsættere af AI-systemer.
7. AI-kontoret tilskynder til og letter udarbejdelsen af praksiskodekser på EU-plan for at lette en effektiv
gennemførelse af forpligtelserne vedrørende påvisning og mærkning af kunstigt genereret eller manipule-
ret indhold. Kommissionen kan vedtage gennemførelsesretsakter for at godkende disse praksiskodekser
efter proceduren i artikel 56, stk. 6. Hvis Kommissionen finder, at kodeksen ikke er tilstrækkelig,
kan den vedtage en gennemførelsesretsakt, der præciserer de fælles regler for gennemførelsen af disse
forpligtelser efter undersøgelsesproceduren, jf. artikel 98, stk. 2.
KAPITEL V
AI-MODELLER TIL ALMEN BRUG
AFDELING 1
Klassificeringsregler
Artikel 51
104
Klassificering af AI-modeller til almen brug som AI-modeller til almen brug med systemisk risiko
1. En AI-model til almen brug klassificeres som en AI-model til almen brug med systemisk risiko, hvis
den opfylder et eller flere af følgende betingelser:
a) den har kapaciteter med stor virkning evalueret på grundlag af passende tekniske værktøjer og metoder,
herunder indikatorer og benchmarks
b) på grundlag af en afgørelse truffet af Kommissionen på eget initiativ eller efter en kvalificeret varsling
fra det videnskabelige panel har den kapaciteter eller virkning, der svarer til dem, der er fastsat i litra a),
under hensyntagen til kriterierne i bilag XIII.
2. En AI-model til almen brug antages at have kapaciteter med stor virkning i henhold til stk. 1,
litra a), når den kumulerede mængde beregningskraft, der anvendes til dens træning, målt i flydende
kommatalsberegninger, er større end 1025.
3. Kommissionen vedtager delegerede retsakter i overensstemmelse med artikel 97 for at ændre de
tærskler, der er anført i nærværende artikels stk. 1 og 2, samt for at supplere benchmarks og indikatorer
i lyset af den teknologiske udvikling såsom algoritmiske forbedringer eller øget hardwareeffektivitet, når
det er nødvendigt, således at disse tærskler afspejler det aktuelle tekniske niveau.
Artikel 52
Fremgangsmåde
1. Hvis en AI-model til almen brug opfylder betingelsen i artikel 51, stk. 1, litra a), giver den relevante
udbyder Kommissionen meddelelse så hurtigt som muligt og under alle omstændigheder senest to uger
efter, at dette krav er opfyldt, eller det bliver kendt, at det vil blive opfyldt. Meddelelsen skal indeholde
de oplysninger, der er nødvendige for at påvise, at det relevante krav er opfyldt. Hvis Kommissionen
får kendskab til en AI-model til almen brug, der frembyder systemiske risici, som den ikke har fået
meddelelse om, kan den beslutte at udpege den som en model med systemisk risiko.
2. Udbyderen af en AI-model til almen brug, der opfylder betingelsen omhandlet i artikel 51, stk. 1, litra
a), kan sammen med dens meddelelse fremlægge tilstrækkeligt underbyggede argumenter til at påvise, at
AI-modellen til almen brug, selv om den opfylder det pågældende krav, undtagelsesvis ikke frembyder
systemiske risici på grund af dens specifikke karakteristika og derfor ikke bør klassificeres som en
AI-model til almen brug med systemisk risiko.
3. Hvis Kommissionen konkluderer, at de argumenter, der er fremsat i henhold til stk. 2, ikke er tilstræk-
keligt underbyggede, og den relevante udbyder ikke har været i stand til at påvise, at AI-modellen til
almen brug på grund af sine specifikke karakteristika ikke frembyder systemiske risici, afviser den disse
argumenter, og AI-modellen til almen brug betragtes som en AI-model til almen brug med systemisk
risiko.
4. Kommissionen kan udpege en AI-model til almen brug som frembydende systemiske risici på eget
initiativ eller efter en kvalificeret varsling fra det videnskabelige panel i henhold til artikel 90, stk. 1, litra
a) på grundlag af kriterierne i bilag XIII.
Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 97
for at ændre bilag XIII ved at præcisere og ajourføre kriterierne i nævnte bilag.
105
5. Efter en begrundet anmodning fra en udbyder, hvis model er blevet udpeget som en AI-model til
almen brug med systemisk risiko i henhold til stk. 4, tager Kommissionen hensyn til anmodningen og kan
beslutte på ny at vurdere, om AI-modellen til almen brug stadig kan anses for at frembyde systemiske
risici på grundlag af kriterierne i bilag XIII. En sådan anmodning skal indeholde objektive, detaljerede
og nye grunde, der er kommet frem siden udpegelsesafgørelsen. Udbydere kan tidligst seks måneder efter
udpegelsesafgørelsen anmode om en fornyet vurdering. Hvis Kommissionen efter sin fornyede vurdering
beslutter at opretholde udpegelsen som en AI-model til almen brug med systemisk risiko, kan udbyderne
tidligst seks måneder efter denne afgørelse anmode om en fornyet vurdering.
6. Kommissionen sikrer, at der offentliggøres en liste over AI-modeller til almen brug med systemisk
risiko, og ajourfører løbende denne liste, uden at det berører behovet for at overholde og beskytte
intellektuelle ejendomsrettigheder og fortrolige forretningsoplysninger eller forretningshemmeligheder i
overensstemmelse med EU-retten og national ret.
AFDELING 2
Forpligtelser for udbydere af AI-modeller til almen brug
Artikel 53
Forpligtelser for udbydere af AI-modeller til almen brug
1. Udbydere af AI-modeller til almen brug skal:
a) udarbejde og løbende ajourføre den tekniske dokumentation til modellen, herunder dens trænings- og
afprøvningsproces og resultaterne af evalueringen af den, som mindst skal indeholde de oplysninger, der
er fastsat i bilag XI, med henblik på efter anmodning at forelægge den for AI-kontoret og de nationale
kompetente myndigheder
b) udarbejde og løbende ajourføre oplysninger og dokumentation og stille disse til rådighed for udbydere
af AI-systemer, som har til hensigt at integrere AI-modellen til almen brug i deres AI-systemer. Uden
at det berører behovet for at respektere og beskytte intellektuelle ejendomsrettigheder og fortrolige
forretningsoplysninger eller forretningshemmeligheder i overensstemmelse med EU-retten og national
ret, skal oplysningerne og dokumentationen:
i) give udbydere af AI-systemer mulighed for at få en god forståelse af kapaciteterne og begrænsningerne
i AI-modellen til almen brug og overholde deres forpligtelser i henhold til denne forordning, og
ii) som minimum indeholde de i bilag XII fastsatte elementer
c) indføre en politik, der overholder EU-retten om ophavsret og beslægtede rettigheder, navnlig med hen-
blik på at identificere og overholde, herunder ved hjælp af de nyeste teknologier, et forbehold vedrørende
rettigheder, der udtrykkes i henhold til artikel 4, stk. 3, i direktiv (EU) 2019/790
d) udarbejde og offentliggøre en tilstrækkeligt detaljeret sammenfatning om det indhold, der anvendes til
træning af AI-modellen til almen brug, i overensstemmelse med en skabelon, der leveres af AI-kontoret.
2. Forpligtelserne i stk. 1, litra a) og b), finder ikke anvendelse på udbydere af AI-modeller, der frigives
i henhold til en gratis open source-licens, der giver mulighed for adgang til, anvendelse, ændring og
distribution af modellen, og hvis parametre, herunder vægtene, oplysningerne om modelarkitekturen
og oplysningerne om modelanvendelsen, gøres offentligt tilgængelige. Denne undtagelse finder ikke
anvendelse på AI-modeller til almen brug med systemiske risici.
106
3. Udbydere af AI-modeller til almen brug samarbejder om nødvendigt med Kommissionen og de
nationale kompetente myndigheder i forbindelse med udøvelsen af deres kompetencer og beføjelser i
henhold til denne forordning.
4. Udbydere af AI-modeller til almen brug kan basere sig på praksiskodekser som omhandlet i artikel 56
for at påvise overholdelse af forpligtelserne i nærværende artikels stk. 1, indtil der er offentliggjort en
harmoniseret standard. Overholdelse af europæiske harmoniserede standarder giver udbydere formodning
om overensstemmelse, i det omfang disse standarder dækker disse forpligtelser. Udbydere af AI-modeller
til almen brug, som ikke overholder en godkendt praksiskodeks, eller som ikke overholder en europæisk
harmoniseret standard, skal påvise alternative passende måder for overensstemmelse med henblik på
Kommissionens vurdering.
5. For at lette overholdelsen af bilag XI, navnlig punkt 2, litra d) og e), i nævnte bilag, tillægges
Kommissionen beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 97 for at
præcisere måle- og beregningsmetoder med henblik på at muliggøre sammenlignelig og verificerbar
dokumentation.
6. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel
97, stk. 2, for at ændre bilag XI og XII i lyset af den teknologiske udvikling.
7. Alle de oplysninger eller al den dokumentation, der indhentes i henhold til denne artikel, herunder for-
retningshemmeligheder, behandles i overensstemmelse med fortrolighedsforpligtelserne fastsat i artikel
78.
Artikel 54
Bemyndigede repræsentanter for udbydere af AI-modeller til almen brug
1. Før en AI-model til almen brug bringes i omsætning på EU-markedet, udnævner udbydere, der er
etableret i tredjelande, ved skriftligt mandat en bemyndiget repræsentant, der er etableret i Unionen.
2. Udbyderen skal gøre det muligt for sin bemyndigede repræsentant at udføre de opgaver, der er fastsat i
det mandat, vedkommende har modtaget fra udbyderen.
3. Den bemyndigede repræsentant udfører de opgaver, der er fastsat i det mandat, vedkommende har
modtaget fra udbyderen. Vedkommende skal på anmodning give AI-kontoret en kopi af mandatet på et af
EU-institutionernes officielle sprog. Med henblik på denne forordning sætter mandatet den bemyndigede
repræsentant i stand til at udføre følgende opgaver:
a) kontrollere, at den tekniske dokumentation, der er omhandlet i bilag XI, er udarbejdet, og at alle
de forpligtelser, der er omhandlet i artikel 53 og, hvis det er relevant, artikel 55, er blevet opfyldt af
udbyderen
b) opbevare en kopi af den tekniske dokumentation, der er omhandlet i bilag XI, så den står til rådighed
for AI-kontoret og de nationale kompetente myndigheder, i en periode på ti år, efter at AI-modellen
til almen brug er bragt i omsætning, og kontaktoplysningerne på den udbyder, der har udnævnt den
bemyndigede repræsentant
c) efter en begrundet anmodning give AI-kontoret alle de oplysninger og al den dokumentation, herunder
den, der er omhandlet i litra b), som kræves for at påvise overholdelse af forpligtelserne i dette kapitel
107
d) efter en begrundet anmodning samarbejde med AI-kontoret og de kompetente myndigheder om ethvert
tiltag, som de foretager i forbindelse med AI-modellen til almen brug, herunder når modellen er integreret
i AI-systemer, der bringes i omsætning eller ibrugtages i Unionen.
4. Mandatet giver den bemyndigede repræsentant, ud over eller i stedet for udbyderen, beføjelse til at
modtage henvendelser fra AI-kontoret eller de kompetente myndigheder om alle spørgsmål relateret til at
sikre overholdelse af denne forordning.
5. Den bemyndigede repræsentant bringer mandatet til ophør, hvis vedkommende mener eller har grund
til at mene, at udbyderen handler i strid med sine forpligtelser i henhold til denne forordning. I så fald
underretter vedkommende også omgående AI-kontoret om ophøret af mandatet og årsagerne hertil.
6. Forpligtelsen i denne artikel finder ikke anvendelse på udbydere af AI-modeller til almen brug, der
frigives i henhold til en gratis open source-licens, der giver mulighed for adgang til, anvendelse, ændring
og distribution af modellen, og hvis parametre, herunder vægtene, oplysningerne om modelarkitekturen
og oplysningerne om modelanvendelsen, gøres offentligt tilgængelige, medmindre AI-modellen til almen
brug frembyder systemiske risici.
AFDELING 3
Forpligtelser for udbydere af AI-modeller til almen brug med systemisk risiko
Artikel 55
Forpligtelser for udbydere af AI-modeller til almen brug med systemisk risiko
1. Ud over de forpligtelser, der er opført i artikel 53 og 54, skal udbydere af AI-modeller til almen brug
med systemisk risiko:
a) foretage modelevaluering i overensstemmelse med standardiserede protokoller og værktøjer, der
afspejler det aktuelle tekniske niveau, herunder gennemførelse og dokumentation af kontradiktorisk
afprøvning af modellen med henblik på at identificere og afbøde systemiske risici
b) vurdere og afbøde mulige systemiske risici på EU-plan, herunder deres kilder, der kan skyldes
udvikling, omsætning eller anvendelse af AI-modeller til almen brug med systemisk risiko
c) uden unødigt ophold følge, dokumentere og indberette relevante oplysninger om alvorlige hændelser
og mulige korrigerende foranstaltninger til håndtering heraf til AI-kontoret og, alt efter hvad der er
relevant, til de nationale kompetente myndigheder
d) sikre et tilstrækkeligt niveau af cybersikkerhedsbeskyttelse for AI-modellen til almen brug med syste-
misk risiko og modellens fysiske infrastruktur.
2. Udbydere af AI-modeller til almen brug med systemisk risiko kan basere sig på praksiskodekser som
omhandlet i artikel 56 for at påvise overholdelse af forpligtelserne i nærværende artikels stk. 1, indtil
der er offentliggjort en harmoniseret standard. Overholdelse af europæiske harmoniserede standarder
giver udbydere formodning om overensstemmelse, i det omfang disse standarder dækker disse forpligtel-
ser. Udbydere af AI-modeller til almen brug med systemiske risici, som ikke overholder en godkendt
praksiskodeks, eller som ikke overholder en europæisk harmoniseret standard, skal påvise alternative
passende måder for overensstemmelse med henblik på Kommissionens vurdering.
108
3. Alle de oplysninger eller al den dokumentation, der indhentes i henhold til denne artikel, herunder for-
retningshemmeligheder, behandles i overensstemmelse med fortrolighedsforpligtelserne fastsat i artikel
78.
AFDELING 4
Praksiskodekser
Artikel 56
Praksiskodekser
1. AI-kontoret tilskynder til og letter udarbejdelsen af praksiskodekser på EU-plan for at bidrage til en
korrekt anvendelse af denne forordning under hensyntagen til internationale tilgange.
2. AI-kontoret og AI-udvalget tilstræber at sikre, at praksiskodekserne som minimum omfatter de forplig-
telser, der er fastsat i artikel 53 og 55, herunder følgende spørgsmål:
a) midlerne til at sikre, at de oplysninger, der er omhandlet i artikel 53, stk. 1, litra a) og b), holdes ajour i
lyset af den markedsmæssige og teknologiske udvikling
b) resuméet af det indhold, der anvendes til uddannelse, er tilstrækkeligt detaljeret
c) identifikationen af typen og arten af de systemiske risici på EU-plan, herunder deres kilder, hvis det er
relevant
d) foranstaltningerne, procedurerne og de nærmere bestemmelser for vurdering og styring af de systemi-
ske risici på EU-plan, herunder dokumentation herfor, som skal stå i et rimeligt forhold til risiciene, tage
hensyn til, hvor alvorlige og sandsynlige de er, og tage hensyn til de specifikke udfordringer i forbindelse
med styringen af disse risici i lyset af de mulige måder, hvorpå sådanne risici kan opstå og vise sig i
AI-værdikæden.
3. AI-kontoret kan opfordre alle udbydere af AI-modeller til almen brug samt relevante nationale
kompetente myndigheder til at deltage i udarbejdelsen af praksiskodekser. Civilsamfundsorganisationer,
industrien, den akademiske verden og andre relevante interessenter såsom downstreamudbydere og uaf-
hængige eksperter kan støtte processen.
4. AI-kontoret og AI-udvalget tilstræber at sikre, at praksiskodekserne klart fastsætter deres specifikke
mål og indeholder forpligtelser eller foranstaltninger, herunder i relevant omfang centrale resultatindika-
torer, for at sikre realiseringen af disse mål, og at de tager behørigt hensyn til alle interesserede parters,
herunder berørte personers, behov og interesser på EU-plan.
5. AI-kontoret tilstræber at sikre, at deltagerne i praksiskodekserne regelmæssigt aflægger rapport til
AI-kontoret om gennemførelsen af forpligtelserne og de trufne foranstaltninger og deres resultater, herun-
der i relevant omfang målt i forhold til de centrale resultatindikatorer. De centrale resultatindikatorer
og rapporteringsforpligtelserne skal afspejle forskelle i størrelse og kapacitet mellem de forskellige
deltagere.
6. AI-kontoret og AI-udvalget overvåger og evaluerer regelmæssigt deltagernes realisering af praksisko-
deksernes mål og deres bidrag til en korrekt anvendelse af denne forordning. AI-kontoret og AI-udvalget
vurderer, om praksiskodekserne dækker de forpligtelser, der er fastsat i artikel 53 og 55, og overvåger og
109
evaluerer regelmæssigt realiseringen af deres mål. De offentliggør deres vurdering af, om praksiskodek-
serne er fyldestgørende.
Kommissionen kan ved en gennemførelsesretsakt godkende en praksiskodeks og give den generel gyldig-
hed i Unionen. Denne gennemførelsesretsakt vedtages efter undersøgelsesproceduren, jf. artikel 98, stk. 2.
7. AI-kontoret kan opfordre samtlige udbydere af AI-modeller til almen brug til at overholde praksisko-
dekser. For udbydere af AI-modeller til almen brug, der ikke frembyder systemiske risici, kan denne
overholdelse begrænses til de forpligtelser, der er fastsat i artikel 53, medmindre de udtrykkeligt tilkende-
giver deres interesse i at tilslutte sig den fulde kodeks.
8. AI-kontoret skal, alt efter hvad der er relevant, også tilskynde til og lette gennemgangen og tilpas-
ningen af praksiskodekserne, navnlig i lyset af nye standarder. AI-kontoret bistår ved vurderingen af
tilgængelige standarder.
9. Praksiskodekser skal være klar senest den 2. maj 2025. AI-kontoret tager de nødvendige skridt,
herunder indbyder udbydere i henhold til stk. 7.
Hvis en praksiskodeks ikke kan færdiggøres senest den 2. august 2025, eller hvis AI-kontoret efter sin
vurdering i henhold til denne artikels stk. 6 finder, at den ikke er fyldestgørende, kan Kommissionen ved
hjælp af gennemførelsesretsakter fastsætte fælles regler for gennemførelsen af de forpligtelser, der er fast-
sat i artikel 53 og 55, herunder spørgsmålene i nærværende artikels stk. 2. Disse gennemførelsesretsakter
vedtages efter undersøgelsesproceduren, jf. artikel 98, stk. 2.
KAPITEL VI
FORANSTALTNINGER TIL STØTTE FOR INNOVATION
Artikel 57
Reguleringsmæssige AI-sandkasser
1. Medlemsstaterne sikrer, at deres kompetente myndigheder opretter mindst én reguleringsmæssig AI-
sandkasse på nationalt plan, som skal være operationel senest den 2. august 2026. Denne sandkasse kan
også oprettes i fællesskab med andre medlemsstaters kompetente myndigheder. Kommissionen kan yde
teknisk støtte, rådgivning og værktøjer til oprettelse og drift af reguleringsmæssige AI-sandkasser.
Forpligtelsen i henhold til første afsnit kan også opfyldes ved deltagelse i en eksisterende sandkasse, for
så vidt som denne deltagelse giver de deltagende medlemsstater et tilsvarende nationalt dækningsniveau.
2. Der kan også oprettes yderligere reguleringsmæssige AI-sandkasser på regionalt eller lokalt plan eller i
fællesskab med andre medlemsstaters kompetente myndigheder.
3. Den Europæiske Tilsynsførende for Databeskyttelse kan også oprette en reguleringsmæssig AI-sand-
kasse for EU-institutioner, -organer, -kontorer og -agenturer og varetage de nationale kompetente myndig-
heders roller og opgaver i overensstemmelse med dette kapitel.
4. Medlemsstaterne sikrer, at de kompetente myndigheder, der er omhandlet i stk. 1 og 2, tildeler tilstræk-
kelige ressourcer til, at denne artikel overholdes effektivt og rettidigt. Hvis det er relevant, samarbejder de
nationale kompetente myndigheder med andre relevante myndigheder og kan gøre det muligt at inddrage
andre aktører i AI-økosystemet. Denne artikel berører ikke andre reguleringsmæssige sandkasser, der er
110
oprettet i henhold til EU-retten eller national ret. Medlemsstaterne sikrer et passende samarbejde mellem
de myndigheder, der fører tilsyn med disse andre sandkasser, og de nationale kompetente myndigheder.
5. Reguleringsmæssig AI-sandkasser, der oprettes i henhold til stk. 1, skal tilvejebringe et kontrolleret
miljø, der fremmer innovation og letter udvikling, træning, afprøvning og validering af innovative AI-sy-
stemer i et begrænset tidsrum, inden de bringes i omsætning eller tages i brug i henhold til en specifik
sandkasseplan, som aftales mellem udbyderne eller de potentielle udbydere og den kompetente myndig-
hed. Sådanne sandkasser kan omfatte afprøvning under faktiske forhold under tilsyn i sandkasserne.
6. De kompetente myndigheder yder, alt efter hvad der er relevant, vejledning, tilsyn og støtte inden for
den reguleringsmæssige AI-sandkasse med henblik på at identificere risici, navnlig for grundlæggende
rettigheder, sundhed og sikkerhed, afprøvning, afbødende foranstaltninger og deres effektivitet i forbin-
delse med forpligtelserne og kravene i denne forordning og, hvis det er relevant, anden EU-ret og national
ret, der føres tilsyn med inden for sandkassen.
7. De kompetente myndigheder giver udbydere og potentielle udbydere, der deltager i den regulerings-
mæssige AI-sandkasse, vejledning om reguleringsmæssige forventninger og om, hvordan de opfylder de
krav og forpligtelser, der er fastsat i denne forordning.
Efter anmodning fra udbyderen eller den potentielle udbyder af AI-systemet forelægger den kompetente
myndighed en skriftlig dokumentation for de aktiviteter, der er udført med succes i sandkassen. Den
kompetente myndighed forelægger også en slutrapport med en detaljeret beskrivelse af de aktiviteter,
der er gennemført i sandkassen, og de dermed forbundne resultater og læringsresultater. Udbydere
kan anvende sådan dokumentation til at påvise, at de overholder denne forordning gennem overens-
stemmelsesvurderingsprocessen eller relevante markedsovervågningsaktiviteter. I denne forbindelse tager
markedsovervågningsmyndighederne og de bemyndigede organer positivt hensyn til slutrapporterne og
den skriftlige dokumentation fra den nationale kompetente myndighed med henblik på at fremskynde
overensstemmelsesvurderingsprocedurerne i rimeligt omfang.
8. Med forbehold af fortrolighedsbestemmelserne i artikel 78 og med samtykke fra udbyderen eller den
potentielle udbyder har Kommissionen og AI-udvalget tilladelse til at få adgang til slutrapporterne og
tager, alt efter hvad der er relevant, hensyn til disse, når de udfører deres opgaver i henhold til denne
forordning. Hvis både udbyderen eller den potentielle udbyder og den nationale kompetente myndighed
når til udtrykkelig enighed, kan slutrapporten gøres offentligt tilgængelig via den centrale informations-
platform, der er omhandlet i nærværende artikel.
9. Oprettelsen af reguleringsmæssige AI-sandkasser har til formål at bidrage til følgende mål:
a) at forbedre retssikkerheden med henblik på at opnå overholdelse af bestemmelserne i denne forordning
eller, hvis det er relevant, anden gældende EU-ret og national ret
b) at støtte udvekslingen af bedste praksis gennem samarbejde med de myndigheder, der er involveret i
den reguleringsmæssige AI-sandkasse
c) at fremme innovation og konkurrenceevne og lette udviklingen af et AI-økosystem
d) at bidrage til evidensbaseret lovgivningsmæssig læring
e) at lette og fremskynde adgangen til EU-markedet for AI-systemer, navnlig når de leveres af SMV᾽er,
herunder iværksættervirksomheder.
10. I det omfang de innovative AI-systemer omfatter behandling af personoplysninger eller på anden
måde henhører under tilsynsområdet for andre nationale myndigheder eller kompetente myndigheder,
111
der giver eller understøtter adgang til data, sikrer de nationale kompetente myndigheder, at de nationale
databeskyttelsesmyndigheder og disse andre nationale eller kompetente myndigheder er tilknyttet driften
af den reguleringsmæssige AI-sandkasse og involveret i tilsynet med disse aspekter i henhold til deres
respektive opgaver og beføjelser.
11. De reguleringsmæssige AI-sandkasser berører ikke de tilsynsbeføjelser eller korrigerende beføjelser,
som de kompetente myndigheder, der fører tilsyn med sandkasserne, har, herunder på regionalt eller
lokalt plan. Enhver væsentlig risiko for sundhed og sikkerhed og grundlæggende rettigheder, der konsta-
teres under udviklingen og afprøvningen af sådanne AI-systemer, fører til passende afbødning. De nati-
onale kompetente myndigheder har beføjelse til midlertidigt eller permanent at suspendere afprøvnings-
processen eller deltagelse i sandkassen, hvis der ikke er mulighed for effektiv afbødning, og meddeler
AI-kontoret denne afgørelse. De nationale kompetente myndigheder udøver deres tilsynsbeføjelser inden
for rammerne af den relevante ret, idet de anvender deres skønsbeføjelser, når de gennemfører retlige
bestemmelser for et specifikt projekt vedrørende reguleringsmæssige AI-sandkasser, med det formål at
støtte innovation inden for AI i Unionen.
12. Udbydere og potentielle udbydere, der deltager i den reguleringsmæssige AI-sandkasse, forbliver
ansvarlige i henhold til gældende EU-ansvarsret og gældende national ansvarsret for enhver skade, der
påføres tredjeparter som følge af de forsøg, der finder sted i sandkassen. Såfremt de potentielle udbydere
overholder den specifikke plan og vilkårene og betingelserne for deres deltagelse og i god tro følger den
nationale kompetente myndigheds vejledning, pålægger myndighederne dog ingen administrative bøder
for overtrædelse af denne forordning. I tilfælde af at andre kompetente myndigheder med ansvar for
anden EU-ret og national ret har været aktivt involveret i tilsynet med AI-systemet i sandkassen og givet
vejledning om overholdelse, pålægges der ingen administrative bøder i forbindelse med den pågældende
ret.
13. De reguleringsmæssige AI-sandkasser udformes og gennemføres på en sådan måde, at de letter det
grænseoverskridende samarbejde mellem de nationale kompetente myndigheder, hvis det er relevant.
14. De nationale kompetente myndigheder koordinerer deres aktiviteter og samarbejder inden for AI-ud-
valgets rammer.
15. De nationale kompetente myndigheder underretter AI-kontoret og AI-udvalget om oprettelsen af en
sandkasse og kan anmode dem om støtte og vejledning. AI-kontoret offentliggør en liste over planlagte
og eksisterende sandkasser og ajourfører den for at tilskynde til større interaktion i de reguleringsmæssige
AI-sandkasser og tværnationalt samarbejde.
16. De nationale kompetente myndigheder forelægger AI-kontoret og AI-udvalget årlige rapporter, fra
og med ét år efter oprettelsen af den reguleringsmæssige AI-sandkasse og derefter hvert år indtil dens
ophør, og en slutrapport. Disse rapporter skal indeholde oplysninger om fremskridt med og resultater af
gennemførelsen af de pågældende sandkasser, herunder bedste praksis, hændelser, indhøstede erfaringer
og anbefalinger vedrørende deres udformning og, hvis det er relevant, anvendelsen og den eventuelle
revision af denne forordning, herunder tilhørende delegerede retsakter og gennemførelsesretsakter, og
anvendelsen af anden EU-ret, som de kompetente myndigheder fører tilsyn med inden for sandkassen. De
nationale kompetente myndigheder gør disse årlige rapporter eller sammendrag heraf offentligt tilgænge-
lige online. Kommissionen tager, hvis det er relevant, hensyn til de årlige rapporter, når den udfører sine
opgaver i henhold til denne forordning.
17. Kommissionen udvikler en fælles og særlig grænseflade, der indeholder alle relevante oplysninger
vedrørende reguleringsmæssige AI-sandkasser, for at give interessenter mulighed for at interagere med
reguleringsmæssige AI-sandkasser og rette forespørgsler til de kompetente myndigheder og søge ikkebin-
112
dende vejledning om overensstemmelsen af innovative produkter, tjenester og forretningsmodeller, der
integrerer AI-teknologier, i overensstemmelse med artikel 62, stk. 1, litra c). Kommissionen koordinerer
proaktivt med nationale kompetente myndigheder, hvis det er relevant.
Artikel 58
Nærmere ordninger for og funktionsmåden af reguleringsmæssige AI-sandkasser
1. For at undgå fragmentering i Unionen vedtager Kommissionen gennemførelsesretsakter, der fastsætter
de nærmere ordninger for oprettelse, udvikling, gennemførelse, drift af og tilsyn med de regulerings-
mæssige AI-sandkasser. Gennemførelsesretsakterne skal omfatte fælles principper vedrørende følgende
punkter:
a) støtteberettigelse og udvælgelseskriterier med henblik på deltagelse i den reguleringsmæssige AI-sand-
kasse
b) procedurer for anvendelse, deltagelse, overvågning, udtræden fra og afslutning af den reguleringsmæs-
sige AI-sandkasse, herunder sandkasseplanen og slutrapporten
c) hvilke vilkår og betingelser der gælder for deltagerne.
Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 98, stk. 2.
2. De i stk. 1 omhandlede gennemførelsesretsakter skal sikre:
a) at reguleringsmæssige AI-sandkasser er åbne for enhver ansøgende udbyder eller potentiel udbyder af
et AI-system, som opfylder støtteberettigelses- og udvælgelseskriterierne, som skal være gennemsigtige
og fair, og at de nationale kompetente myndigheder underretter ansøgerne om deres afgørelse senest tre
måneder efter ansøgningen
b) at reguleringsmæssige AI-sandkasser giver bred og lige adgang og holder trit med efterspørgslen
efter deltagelse; udbydere og potentielle udbydere kan også indgive ansøgninger i partnerskab med
idriftsættere eller andre relevante tredjeparter
c) at de nærmere ordninger for og betingelser vedrørende reguleringsmæssige AI-sandkasser i videst
mulig udstrækning støtter fleksibilitet for nationale kompetente myndigheder til at oprette og drive deres
reguleringsmæssige AI-sandkasser
d) at adgang til de reguleringsmæssige AI-sandkasser er gratis for SMV᾽er, herunder iværksættervirksom-
heder, uden at det berører ekstraordinære omkostninger, som de nationale kompetente myndigheder kan
få dækket på fair og forholdsmæssig vis
e) at de ved hjælp af læringsresultaterne fra de reguleringsmæssige AI-sandkasser gør det lettere for
udbydere og potentielle udbydere at overholde overensstemmelsesvurderingsforpligtelserne i henhold til
denne forordning og frivilligt at anvende adfærdskodekserne, som er omhandlet i artikel 95
f) at de reguleringsmæssige AI-sandkasser letter inddragelsen af andre relevante aktører inden for AI-
økosystemet såsom bemyndigede organer og standardiseringsorganisationer, SMV᾽er, herunder iværksæt-
tervirksomheder, virksomheder, innovatorer, afprøvnings- og forsøgsfaciliteter, forsknings- og forsøgsla-
boratorier og europæiske digitale innovationsknudepunkter, ekspertisecentre, individuelle forskere, med
henblik på at muliggøre og lette samarbejdet med den offentlige og private sektor
113
g) at procedurer, processer og administrative krav vedrørende ansøgning om, udvælgelse af, deltagelse i
og udtræden af den reguleringsmæssige AI-sandkasse er enkle, letforståelige og klart kommunikeret, så
det bliver lettere for SMV᾽er, herunder iværksættervirksomheder, med begrænset juridisk og administrativ
kapacitet at deltage, og strømlines i hele Unionen for at undgå fragmentering, samt at deltagelse i en
reguleringsmæssig AI-sandkasse oprettet af en medlemsstat eller af Den Europæiske Tilsynsførende for
Databeskyttelse anerkendes gensidigt og ensartet og har samme retsvirkning i hele Unionen
h) at deltagelse i den reguleringsmæssige AI-sandkasse begrænses til en periode, der er passende til
projektets kompleksitet og omfang, og som kan forlænges af den nationale kompetente myndighed
i) at reguleringsmæssige AI-sandkasser letter udviklingen af værktøjer og infrastruktur til afprøvning,
benchmarking, vurdering og forklaring af dimensioner af AI-systemer, der er relevante for regulerings-
mæssig læring såsom nøjagtighed, robusthed og cybersikkerhed, samt foranstaltninger til at mindske risici
for de grundlæggende rettigheder og samfundet som helhed.
3. Potentielle udbydere i de reguleringsmæssige AI-sandkasser, navnlig SMV᾽er og iværksættervirksom-
heder, henvises, hvis det er relevant, til føridriftsættelsestjenester såsom vejledning om gennemførelsen
af denne forordning, til andre værdiforøgende tjenester såsom hjælp med standardiseringsdokumenter og
certificering, afprøvnings- og forsøgsfaciliteter, europæiske digitale innovationsknudepunkter og eksperti-
secentre.
4. Hvis de nationale kompetente myndigheder overvejer at tillade afprøvning under faktiske forhold under
tilsyn inden for rammerne af en reguleringsmæssig AI-sandkasse, der skal oprettes i henhold til denne
artikel, aftaler de specifikt vilkårene og betingelserne for en sådan afprøvning og navnlig de fornødne
sikkerhedsforanstaltninger med deltagerne med henblik på at beskytte de grundlæggende rettigheder,
sundheden og sikkerheden. Hvis det er relevant, samarbejder de med andre nationale kompetente myndig-
heder med henblik på at sikre en ensartet praksis i hele Unionen.
Artikel 59
Viderebehandling af personoplysninger med henblik på udvikling af visse samfundsnyttige AI-sy-
stemer i den reguleringsmæssige AI-sandkasse
1. I den reguleringsmæssige AI-sandkasse må personoplysninger, der er lovligt indsamlet til andre formål,
kun behandles med henblik på udvikling, træning og afprøvning af visse AI-systemer i sandkassen, når
alle følgende betingelser er opfyldt:
a) AI-systemer skal udvikles med henblik på beskyttelse af væsentlige samfundsinteresser, der varetages
af en offentlig myndighed eller anden fysisk eller juridisk person, og på et eller flere af følgende områder:
i) den offentlige sikkerhed og folkesundheden, herunder opsporing af sygdomme, diagnoser, forebyggel-
se, overvågning og behandling samt forbedring af sundhedssystemerne
ii) et højt beskyttelsesniveau og forbedring af miljøkvaliteten, beskyttelse af biodiversiteten, beskyttelse
mod forurening, foranstaltninger vedrørende den grønne omstilling, foranstaltninger vedrørende modvirk-
ning af og tilpasning til klimaændringer
iii) energibæredygtighed
iv) sikkerhed og modstandsdygtighed i transportsystemerne og mobilitet, kritisk infrastruktur og netværk
v) effektivitet og kvalitet i den offentlige forvaltning og offentlige tjenester
114
b) de behandlede oplysninger skal være nødvendige for at overholde et eller flere af de krav, der er
omhandlet i kapitel III, afdeling 2, såfremt disse krav ikke praktisk kan opfyldes ved behandling af
anonymiserede eller syntetiske oplysninger eller andre oplysninger end personoplysninger
c) der skal foreligge effektive overvågningsmekanismer til at konstatere, om der kan opstå høje risici
for de registreredes rettigheder og frihedsrettigheder, som omhandlet i artikel 35 i forordning (EU)
2016/679 og artikel 39 i forordning (EU) 2018/1725, i forbindelse med forsøgene i sandkassen, samt
beredskabsmekanismer til straks at afbøde disse risici og om nødvendigt standse behandlingen
d) alle personoplysninger, der skal behandles i forbindelse med sandkassen, skal befinde sig i et funktio-
nelt adskilt, isoleret og beskyttet databehandlingsmiljø under den potentielle udbyders kontrol, og kun
autoriserede personer har adgang til disse data
e) udbyderne kan kun dele de oprindeligt indsamlede data yderligere i overensstemmelse med EU-databe-
skyttelsesretten; personoplysninger, der er skabt i sandkassen, kan ikke deles uden for sandkassen
f) enhver behandling af personoplysninger i forbindelse med sandkassen fører hverken til foranstaltninger
eller afgørelser, der berører de registrerede, eller påvirker anvendelsen af deres rettigheder fastsat i
EU-retten om beskyttelse af personoplysninger
g) alle personoplysninger, der skal behandles i forbindelse med sandkassen, skal beskyttes gennem
passende tekniske og organisatoriske foranstaltninger og slettes, når deltagelsen i sandkassen afsluttes,
eller når opbevaringsperioden for personoplysningerne udløber
h) logfilerne over behandlingen af personoplysninger i forbindelse med sandkassen opbevares, så længe
de deltager i sandkassen, medmindre andet er fastsat i EU-retten eller national ret
i) en fuldstændig og detaljeret beskrivelse af processen og begrundelsen for træningen, afprøvningen og
valideringen af AI-systemet opbevares sammen med afprøvningsresultaterne som en del af den tekniske
dokumentation omhandlet i bilag IV
j) der offentliggøres på de kompetente myndigheders websted et kort resumé af det AI-projekt, der er
udviklet i sandkassen, dets mål og dets forventede resultater; denne forpligtelse omfatter ikke følsomme
operationelle oplysninger i forbindelse med aktiviteter, der udføres af retshåndhævende myndigheder,
grænsekontrolmyndigheder, indvandringsmyndigheder eller asylmyndigheder.
2. Med henblik på at forebygge, efterforske, opdage eller retsforfølge strafbare handlinger eller fuldbyrde
strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed, under
de retshåndhævende myndigheders kontrol og ansvar baseres behandlingen af personoplysninger i regule-
ringsmæssige AI-sandkasser på særlig EU-ret eller national ret og på de samme kumulative betingelser
som omhandlet i stk. 1.
3. Stk. 1 berører ikke EU-ret eller national ret, der udelukker behandling til andre formål end dem,
der udtrykkeligt er nævnt i den pågældende ret, og heller ikke EU-ret eller national ret, der fastsætter
grundlaget for behandling af personoplysninger, som er nødvendig med henblik på udvikling, afprøvning
eller træning af innovative AI-systemer, eller noget andet retsgrundlag, der overholder EU-retten om
beskyttelse af personoplysninger.
Artikel 60
Afprøvning af højrisiko-AI-systemer under faktiske forhold uden for reguleringsmæssige AI-sand-
kasser
115
1. Afprøvning af højrisiko-AI-systemer under faktiske forhold uden for reguleringsmæssige AI-sandkas-
ser kan udføres af udbydere eller potentielle udbydere af højrisiko-AI-systemer, der er opført i bilag III, i
overensstemmelse med denne artikel og den plan for afprøvning under faktiske forhold, der er omhandlet
i denne artikel, uden at det berører forbuddene i henhold til artikel 5.
Kommissionen præciserer ved hjælp af gennemførelsesretsakter de nærmere elementer i planen for af-
prøvning under faktiske forhold. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren,
jf. artikel 98, stk. 2.
Nærværende stykke berører ikke EU-ret eller national ret om afprøvning under faktiske forhold af
højrisiko-AI-systemer i forbindelse med produkter, der er omfattet af EU-harmoniseringslovgivningen,
der er opført i bilag I.
2. Udbydere eller potentielle udbydere kan selv eller i partnerskab med en eller flere idriftsættere eller
potentielle idriftsættere gennemføre afprøvning af de højrisiko-AI-systemer, der er omhandlet i bilag III,
under faktiske forhold på et hvilket som helst tidspunkt, inden AI-systemet bringes i omsætning eller
ibrugtages.
3. Afprøvning af højrisiko-AI-systemer under faktiske forhold i henhold til denne artikel berører ikke
enhver anden etisk gennemgang, der er påkrævet i henhold til EU-retten eller national ret.
4. Udbydere eller potentielle udbydere må kun udføre afprøvningen under faktiske forhold, hvis alle
følgende betingelser er opfyldt:
a) udbyderen eller den potentielle udbyder har udarbejdet en plan for afprøvning under faktiske forhold
og forelagt den for markedsovervågningsmyndigheden i den medlemsstat, hvor afprøvningen skal udføres
under faktiske forhold
b) markedsovervågningsmyndigheden i den medlemsstat, hvor afprøvningen under faktiske forhold skal
udføres, har godkendt afprøvningen under faktiske forhold og planen for afprøvning under faktiske
forhold; hvis markedsovervågningsmyndigheden ikke har givet et svar inden for 30 dage, betragtes
afprøvningen under faktiske forhold og planen for afprøvning under faktiske forhold som godkendt; hvis
national ret ikke indeholder bestemmelser om stiltiende godkendelse, skal der fortsat foreligge en tilladel-
se til afprøvning under faktiske forhold
c) udbyderen eller den potentielle udbyder med undtagelse af udbydere eller potentielle udbydere af
højrisiko-AI-systemer, der er omhandlet i bilag III, punkt 1, 6 og 7, inden for retshåndhævelse, migrati-
onsstyring, asylforvaltning og grænsekontrol, og af højrisiko-AI-systemer, der er omhandlet i bilag III,
punkt 2, har registreret afprøvningen under faktiske forhold i overensstemmelse med artikel 71, stk. 4,
med et EU-dækkende unikt individuelt identifikationsnummer og de oplysninger, der er angivet i bilag
IX; udbyderen eller den potentielle udbyder af højrisiko-AI-systemer, der er omhandlet i bilag III, punkt
1, 6 og 7, inden for retshåndhævelse, migrationsstyring, asylforvaltning og grænsekontrol, har registreret
afprøvningen under faktiske forhold i den sikre ikkeoffentlige del af EU-databasen, jf. artikel 49, stk. 4,
litra d), med et EU-dækkende unikt individuelt identifikationsnummer og de oplysninger, der er angivet
i nævnte litra; udbyderen eller den potentielle udbyder af højrisiko-AI-systemer, der er omhandlet i bilag
III, punkt 2, har registreret afprøvningen under faktiske forhold i overensstemmelse med artikel 49, stk. 5
d) den udbyder eller potentielle udbyder, der udfører afprøvningen under faktiske forhold, er etableret i
Unionen eller har udpeget en retlig repræsentant, der er etableret i Unionen
116
e) data, der indsamles og behandles med henblik på afprøvning under faktiske forhold, må kun overføres
til tredjelande, forudsat at der er gennemført passende og gældende sikkerhedsforanstaltninger i henhold
til EU-retten
f) afprøvningen under faktiske forhold varer ikke længere end nødvendigt for at nå målene herfor og
under ingen omstændigheder længere end seks måneder, som kan forlænges i en yderligere periode på
seks måneder, forudsat at udbyderen eller den potentielle udbyder på forhånd har underrettet markeds-
overvågningsmyndigheden ledsaget af en redegørelse for behovet for en sådan forlængelse
g) de personer, der er genstand for afprøvningen under faktiske forhold, og som er personer, der tilhører
sårbare grupper på grund af deres alder eller handicap, beskyttes på passende vis
h) hvis en udbyder eller potentiel udbyder organiserer afprøvningen under faktiske forhold i samarbejde
med en eller flere idriftsættere eller potentielle idriftsættere, er sidstnævnte blevet informeret om alle
de aspekter af afprøvningen, der er relevante for deres beslutning om at deltage, og har modtaget
den relevante brugsanvisning til AI-systemet, jf. artikel 13; udbyderen eller den potentielle udbyder og
idriftsætteren eller den potentielle idriftsætter skal indgå en aftale, der præciserer deres roller og ansvar
med henblik på at sikre overholdelse af bestemmelserne om afprøvning under faktiske forhold i henhold
til denne forordning og i henhold til anden gældende EU-ret og national ret
i) de personer, der er genstand for afprøvningen under faktiske forhold, har givet informeret samtykke
i overensstemmelse med artikel 61 eller i tilfælde af retshåndhævelse, hvis indhentning af informeret
samtykke ville forhindre, at AI-systemet afprøves, og selve afprøvningen og resultatet af afprøvningen
under faktiske forhold må ikke have nogen negativ indvirkning på forsøgspersonerne, og deres personop-
lysninger slettes, efter at afprøvningen er udført
j) afprøvningen under faktiske forhold overvåges effektivt af udbyderen eller den potentielle udbyder
samt af idriftsættere eller potentielle idriftsættere gennem personer, der er tilstrækkeligt kvalificerede
på det relevante område og har den nødvendige kapacitet, uddannelse og myndighed til at udføre deres
opgaver
k) AI-systemets forudsigelser, anbefalinger eller beslutninger kan effektivt omgøres og tilsidesættes.
5. Enhver forsøgsperson, der medvirker i afprøvningen under faktiske forhold, eller vedkommendes
retligt udpegede repræsentant, alt efter hvad der er relevant, kan, uden at det medfører ulemper og uden
at skulle give nogen begrundelse, når som helst trække sig tilbage fra afprøvningen ved at trække sit
informerede samtykke tilbage og anmode om øjeblikkeligt og permanent at få sine personoplysninger
slettet. Tilbagetrækningen af det informerede samtykke berører ikke de allerede udførte aktiviteter.
6. I overensstemmelse med artikel 75 tillægger medlemsstaterne deres markedsovervågningsmyndigheder
beføjelser til at kræve oplysninger, som udbydere og potentielle udbydere skal indgive, til at foretage uan-
meldte fjerninspektioner eller inspektioner på stedet og til at foretage kontrol af, hvordan afprøvningen
udføres under faktiske forhold, og de relaterede højrisiko-AI-systemer. Markedsovervågningsmyndighe-
derne anvender disse beføjelser til at sørge for, at afprøvningen under faktiske forhold forløber sikkert.
7. Enhver alvorlig hændelse, der konstateres under afprøvningen under faktiske forhold, indberettes til
den nationale markedsovervågningsmyndighed i overensstemmelse med artikel 73. Udbyderen eller den
potentielle udbyder træffer straks afbødende foranstaltninger eller, hvis dette ikke er muligt, suspenderer
afprøvningen under faktiske forhold, indtil en sådan afhjælpning finder sted, eller, hvis dette ikke sker,
bringer den til ophør. Udbyderen eller den potentielle udbyder indfører en procedure for øjeblikkelig
tilbagekaldelse af AI-systemet efter en sådan afslutning af afprøvningen under faktiske forhold.
117
8. Udbydere eller potentielle udbydere giver den nationale markedsovervågningsmyndighed i den med-
lemsstat, hvor afprøvningen under faktiske forhold udføres, meddelelse om suspensionen eller afslutnin-
gen af afprøvningen under faktiske forhold og om de endelige resultater.
9. Udbyderen eller den potentielle udbyder er ansvarlige i henhold til gældende EU-ansvarsret og gælden-
de national ansvarsret for enhver skade, der forvoldes i forbindelse med deres afprøvning under faktiske
forhold.
Artikel 61
Informeret samtykke til at deltage i afprøvning under faktiske forhold uden for reguleringsmæssige
AI-sandkasser
1. Med henblik på afprøvning under faktiske forhold i henhold til artikel 60 indhentes der frit informeret
samtykke fra forsøgspersoner, inden de deltager i sådanne forsøg, og efter at de er blevet behørigt
informeret med præcise, klare, relevante og forståelige oplysninger om:
a) afprøvningens art og formål under faktiske forhold, og hvilke mulige ulemper der kan være forbundet
med deres deltagelse
b) de betingelser, hvorunder afprøvningen under faktiske forhold skal udføres, herunder den forventede
varighed af forsøgspersonens eller forsøgspersonernes deltagelse
c) deres rettigheder og garantier for så vidt angår deres deltagelse, navnlig deres ret til at nægte at deltage
i og retten til når som helst at trække sig tilbage fra afprøvningen under faktiske forhold, uden at det
medfører ulemper, og uden at der skal gives nogen begrundelse herfor
d) ordninger for anmodning om omgørelse eller tilsidesættelse af AI-systemets forudsigelser, anbefalinger
eller beslutninger
e) det EU-dækkende unikke individuelle identifikationsnummer for afprøvningen under faktiske forhold
i overensstemmelse med artikel 60, stk. 4, litra c), og kontaktoplysninger på den udbyder eller dennes
retlige repræsentant, hos hvem der kan indhentes yderligere oplysninger.
2. Det informerede samtykke dateres og dokumenteres, og der gives en kopi til forsøgspersonerne eller
deres retlige repræsentant.
Artikel 62
Foranstaltninger for udbydere og idriftsættere, navnlig SMV᾽er, herunder iværksættervirksomhe-
der
1. Medlemsstaterne skal foretage følgende tiltag:
a) give SMV᾽er, herunder iværksættervirksomheder, der har vedtægtsmæssigt hjemsted eller en filial
i Unionen, prioriteret adgang til de reguleringsmæssige AI-sandkasser, i det omfang de opfylder delta-
gelsesbetingelserne og udvælgelseskriterierne; den prioriterede adgang afskærer ikke andre SMV᾽er,
herunder iværksættervirksomheder, end dem, der er omhandlet i dette stykke, fra at få adgang til den
reguleringsmæssige AI-sandkasse, forudsat at de også opfylder deltagelsesbetingelserne og udvælgelses-
kriterierne
118
b) organisere specifikke oplysnings- og uddannelsesaktiviteter om anvendelsen af denne forordning, der
er skræddersyet til behovene hos SMV᾽er, herunder iværksættervirksomheder, idriftsættere og, alt efter
hvad der er relevant, lokale offentlige myndigheder
c) benytte eksisterende særlige kanaler og, hvis det er relevant, etablere nye kanaler til kommunikation
med SMV᾽er, herunder iværksættervirksomheder, idriftsættere, andre innovatorer og, alt efter hvad der er
relevant, lokale offentlige myndigheder for at yde rådgivning og besvare forespørgsler om gennemførel-
sen af denne forordning, herunder for så vidt angår deltagelse i reguleringsmæssige AI-sandkasser
d) lette SMV᾽ers og andre relevante interessenters deltagelse i standardiseringsudviklingsprocessen.
2. Der tages hensyn til SMV-udbyderes, herunder iværksættervirksomheder, særlige interesser og behov
ved fastsættelsen af gebyrerne for overensstemmelsesvurdering i henhold til artikel 43, idet gebyrerne
nedsættes i forhold til deres størrelse, markedsstørrelse og andre relevante indikatorer.
3. AI-kontoret skal foretage følgende tiltag:
a) tilvejebringe standardiserede skabeloner for de områder, der er omfattet af denne forordning, som
angivet af AI-udvalget i dets anmodning
b) udvikle og vedligeholde en fælles informationsplatform, der giver alle operatører i hele Unionen
letanvendelige oplysninger i forbindelse med denne forordning
c) tilrettelægge passende kommunikationskampagner for at øge bevidstheden om de forpligtelser, der
følger af denne forordning
d) evaluere og fremme konvergensen af bedste praksis i offentlige udbudsprocedurer i forbindelse med
AI-systemer.
Artikel 63
Undtagelser for særlige operatører
1. Mikrovirksomheder som omhandlet i henstilling 2003/361/EF kan overholde visse elementer i det
kvalitetsstyringssystem, der kræves i henhold til denne forordnings artikel 17, på en forenklet måde,
forudsat at de ikke har partnervirksomheder eller tilknyttede virksomheder som omhandlet i nævnte
henstilling. Med henblik herpå udvikler Kommissionen retningslinjer for de elementer i kvalitetsstyrings-
systemet, der kan overholdes på en forenklet måde under hensyntagen til mikrovirksomhedernes behov
uden at påvirke beskyttelsesniveauet eller behovet for overholdelse af kravene til højrisiko-AI-systemer.
2. Denne artikels stk. 1 skal ikke fortolkes således, at det fritager disse operatører for at opfylde andre
krav eller forpligtelser, der er fastsat i denne forordning, herunder dem, der er fastsat i artikel 9, 10, 11,
12, 13, 14, 15, 72 og 73.
KAPITEL VII
FORVALTNING
AFDELING 1
Forvaltning på EU-plan
119
Artikel 64
AI-kontoret
1. Kommissionen udvikler EU-ekspertise og -kapacitet inden for AI gennem AI-kontoret.
2. Medlemsstaterne letter de opgaver, der overdrages til AI-kontoret, som afspejlet i denne forordning.
Artikel 65
Oprettelse af Det Europæiske Udvalg for Kunstig Intelligens og dets struktur
1. Der oprettes herved et Europæisk Udvalg for Kunstig Intelligens (»AI-udvalget«).
2. AI-udvalget består af én repræsentant pr. medlemsstat. Den Europæiske Tilsynsførende for Databe-
skyttelse deltager som observatør. AI-kontoret deltager også i AI-udvalgets møder uden at deltage i
afstemningerne. AI-udvalget kan indbyde andre nationale myndigheder, organer eller eksperter og EU-
myndigheder, -organer eller -eksperter til møderne fra sag til sag, hvis de spørgsmål, der drøftes, er
relevante for dem.
3. Hver repræsentant udpeges af deres medlemsstat for en periode på tre år, der kan forlænges én gang.
4. Medlemsstaterne sikrer, at deres repræsentanter i AI-udvalget:
a) har de relevante kompetencer og beføjelser i deres medlemsstat til at kunne bidrage aktivt til udførelsen
af AI-udvalgets opgaver, der er omhandlet i artikel 66
b) udpeges som eneste kontaktpunkt for AI-udvalget og, hvis det er relevant, idet der tages hensyn til
medlemsstaternes behov, som eneste kontaktpunkt for interessenter
c) har beføjelse til at lette sammenhæng og koordinering mellem de nationale kompetente myndigheder i
deres medlemsstat for så vidt angår gennemførelsen af denne forordning, herunder gennem indsamling af
relevante data og oplysninger med henblik på udførelse af deres opgaver i AI-udvalget.
5. De udpegede repræsentanter for medlemsstaterne vedtager AI-udvalgets forretningsorden med to tred-
jedeles flertal. Forretningsordenen fastlægger navnlig procedurer for udvælgelsesprocessen, varigheden
af mandatet for og en beskrivelse af formandskabets opgaver, de nærmere afstemningsordninger og
tilrettelæggelsen af AI-udvalgets og dets undergruppers aktiviteter.
6. AI-udvalget opretter to stående undergrupper for at tilvejebringe en platform for samarbejde og
udveksling mellem markedsovervågningsmyndighederne og underretning af myndigheder om spørgsmål
vedrørende henholdsvis markedsovervågning og bemyndigede organer.
Den stående undergruppe for markedsovervågning bør fungere som den administrative samarbejdsgruppe
(ADCO) i forbindelse med denne forordning som omhandlet i artikel 30 i forordning (EU) 2019/1020.
AI-udvalget kan i relevant omfang nedsætte andre stående eller midlertidige undergrupper med henblik
på at behandle specifikke spørgsmål. Hvis det er relevant, kan repræsentanter for det rådgivende forum
omhandlet i artikel 67 indbydes til sådanne undergrupper eller til specifikke møder i disse undergrupper
som observatører.
7. AI-udvalget skal være organiseret og arbejde på en sådan måde, at der i dets arbejde sikres objektivitet
og uvildighed.
120
8. AI-udvalgets formandskab varetages af en af repræsentanterne for medlemsstaterne. AI-kontoret vare-
tager sekretariatsfunktionen for AI-udvalget, indkalder til møderne efter anmodning fra formanden og
udarbejder dagsordenen i overensstemmelse med AI-udvalgets opgaver i henhold til denne forordning og
dens forretningsorden.
Artikel 66
AI-udvalgets opgaver
AI-udvalget rådgiver og bistår Kommissionen og medlemsstaterne med henblik på at lette en ensartet og
effektiv anvendelse af denne forordning. Med henblik herpå kan AI-udvalget navnlig:
a) bidrage til koordineringen mellem de nationale kompetente myndigheder, der er ansvarlige for anven-
delsen af denne forordning, og i samarbejde og efter aftale med de pågældende markedsovervågnings-
myndigheder støtte markedsovervågningsmyndigheders fælles aktiviteter, der er omhandlet i artikel 74,
stk. 11
b) indsamle og udveksle teknisk og reguleringsmæssig ekspertise og bedste praksis blandt medlemsstater-
ne
c) yde rådgivning om gennemførelsen af denne forordning, navnlig med hensyn til håndhævelsen af
reglerne om AI-modeller til almen brug
d) bidrage til harmonisering af administrative former for praksis i medlemsstaterne, herunder i forbindelse
med undtagelsen fra de overensstemmelsesvurderingsprocedurer, der er omhandlet i artikel 46, regule-
ringsmæssige AI-sandkassers funktion og afprøvning under faktiske forhold, der er omhandlet i artikel
57, 59 og 60
e) på anmodning af Kommissionen eller på eget initiativ fremsætte henstillinger og afgive skriftlige
udtalelser om alle relevante spørgsmål vedrørende gennemførelsen af denne forordning og dens ensartede
og effektive anvendelse, herunder:
i) om udarbejdelse og anvendelse af adfærdskodekser og praksiskodekser i henhold til denne forordning
samt af Kommissionens retningslinjer
ii) evalueringen og revisionen af denne forordning i medfør af artikel 112, herunder for så vidt angår de
indberetninger af alvorlige hændelser, der er omhandlet i artikel 73, og funktionen af den EU-database,
der er omhandlet i artikel 71, udarbejdelsen af delegerede retsakter eller gennemførelsesretsakter og for så
vidt angår eventuelle tilpasninger af denne forordning til den EU-harmoniseringslovgivning, der er opført
i bilag I
iii) om tekniske specifikationer eller eksisterende standarder vedrørende de i kapitel III, afdeling 2,
fastsatte krav
iv) om anvendelsen af harmoniserede standarder eller fælles specifikationer, der er omhandlet i artikel 40
og 41
v) tendenser såsom europæisk global konkurrenceevne inden for AI, udbredelsen af AI i Unionen og
udviklingen af digitale færdigheder
vi) tendenser vedrørende udviklingen i typologien af AI-værdikæder, navnlig vedrørende de deraf følgen-
de konsekvenser med hensyn til ansvarlighed
121
vii) om det potentielle behov for ændring af bilag III i overensstemmelse med artikel 7 og om det
potentielle behov for en eventuel revision af artikel 5 i medfør af artikel 112 under hensyntagen til
relevant tilgængelig dokumentation og den seneste teknologiske udvikling
f) støtte Kommissionen i at fremme AI-færdigheder, offentlighedens kendskab til og forståelse af fordele,
risici, sikkerhedsforanstaltninger og rettigheder og forpligtelser i forbindelse med anvendelsen af AI-sy-
stemer
g) lette udarbejdelsen af fælles kriterier og en fælles forståelse blandt markedsoperatører og kompetente
myndigheder af de relevante begreber i denne forordning, herunder ved at bidrage til udarbejdelse af
benchmarks
h) samarbejde, alt efter hvad der er relevant, med andre EU-institutioner, -organer, -kontorer og -agenturer
samt relevante EU-ekspertgrupper og -netværk, navnlig inden for produktsikkerhed, cybersikkerhed,
konkurrence, digitale tjenester og medietjenester, finansielle tjenesteydelser, forbrugerbeskyttelse, databe-
skyttelse og beskyttelse af grundlæggende rettigheder
i) bidrage til et effektivt samarbejde med de kompetente myndigheder i tredjelande og med internationale
organisationer
j) bistå de nationale kompetente myndigheder og Kommissionen med udviklingen af den organisatoriske
og tekniske ekspertise, der er nødvendig for gennemførelsen af denne forordning, herunder ved at bidrage
til vurderingen af uddannelsesbehovene for personale i de medlemsstater, der er involveret i gennemførel-
sen af denne forordning
k) bistå AI-kontoret med at støtte de nationale kompetente myndigheder i etableringen og udviklingen af
reguleringsmæssige AI-sandkasser og lette samarbejdet og informationsudvekslingen mellem regulerings-
mæssige AI-sandkasser
l) bidrage til og yde relevant rådgivning om udarbejdelsen af vejledningsdokumenter
m) rådgive Kommissionen i forbindelse med internationale spørgsmål om AI
n) afgive udtalelser til Kommissionen om de kvalificerede varslinger vedrørende AI-modeller til almen
brug
o) modtage udtalelser fra medlemsstaterne om kvalificerede varslinger vedrørende AI-modeller til almen
brug og om nationale erfaringer og praksis vedrørende overvågning og håndhævelse af AI-systemer,
navnlig de systemer, der integrerer AI-modeller til almen brug.
Artikel 67
Det rådgivende forum
1. Der oprettes et rådgivende forum til at yde teknisk ekspertise til og rådgive AI-udvalget og Kommissio-
nen og bidrage til deres opgaver i henhold til denne forordning.
2. Det rådgivende forums medlemmer skal repræsentere et afbalanceret udvalg af interessenter, herunder
industrien, iværksættervirksomheder, SMV᾽er, civilsamfundet og den akademiske verden. Der skal være
balance mellem det rådgivende forums medlemmer med hensyn til kommercielle og ikkekommercielle
interesser og inden for kategorien af kommercielle interesser med hensyn til SMV᾽er og andre virksomhe-
der.
122
3. Kommissionen udpeger medlemmerne af det rådgivende forum i overensstemmelse med kriterierne i
stk. 2 blandt interessenter med anerkendt ekspertise inden for AI.
4. Mandatperioden for medlemmerne af det rådgivende forum er to år, som kan forlænges med højst fire
år.
5. Agenturet for Grundlæggende Rettigheder, ENISA, Den Europæiske Standardiseringsorganisation
(CEN), Den Europæiske Komité for Elektroteknisk Standardisering (Cenelec) og Det Europæiske Stan-
dardiseringsinstitut for Telekommunikation (ETSI) er permanente medlemmer af det rådgivende forum.
6. Det rådgivende forum fastsætter selv sin forretningsorden. Det vælger to medformænd blandt sine
medlemmer i overensstemmelse med kriterierne i stk. 2. Medformændenes mandatperiode er på to år og
kan forlænges én gang.
7. Det rådgivende forum afholder møder mindst to gange om året. Det rådgivende forum kan indbyde
eksperter og andre interessenter til sine møder.
8. Det rådgivende forum kan udarbejde udtalelser, anbefalinger og skriftlige bidrag på anmodning af
AI-udvalget eller Kommissionen.
9. Det rådgivende forum kan oprette stående eller midlertidige underudvalg, alt efter hvad der er relevant
med henblik på undersøgelse af specifikke spørgsmål vedrørende denne forordnings formål.
10. Det rådgivende forum udarbejder en årlig rapport om sine aktiviteter. Denne rapport offentliggøres.
Artikel 68
Videnskabeligt panel af uafhængige eksperter
1. Kommissionen fastsætter ved hjælp af en gennemførelsesretsakt bestemmelser om oprettelse af et
videnskabeligt panel af uafhængige eksperter (»det videnskabelige panel«), der skal støtte håndhævelses-
aktiviteterne i henhold til denne forordning. Denne gennemførelsesretsakt vedtages efter undersøgelses-
proceduren, jf. artikel 98, stk. 2.
2. Det videnskabelige panel skal bestå af eksperter, der udvælges af Kommissionen på grundlag af den
ajourførte videnskabelige eller tekniske ekspertise inden for AI, der er nødvendig med henblik på de
opgaver, der er fastsat i stk. 3, og skal kunne påvise, at alle følgende betingelser er opfyldt:
a) særlig ekspertise og kompetence og videnskabelig eller teknisk ekspertise inden for AI
b) uafhængighed af udbydere af AI-systemer eller AI-modeller til almen brug
c) evne til at udføre aktiviteter omhyggeligt, nøjagtigt og objektivt.
Kommissionen fastsætter i samråd med AI-udvalget antallet af eksperter i panelet i overensstemmelse
med de nødvendige behov og sikrer en fair kønsmæssig og geografisk repræsentation.
3. Det videnskabelige panel rådgiver og støtter AI-kontoret, navnlig med hensyn til følgende opgaver:
a) støtte gennemførelsen og håndhævelsen af denne forordning for så vidt angår AI-modeller og -syste-
mer til almen brug, navnlig ved at:
i) varsle AI-kontoret om mulige systemiske risici på EU-plan ved AI-modeller til almen brug i overens-
stemmelse med artikel 90
123
ii) bidrage til udvikling af værktøjer og metoder til at evaluere kapaciteterne i AI-modeller og -systemer
til almen brug, herunder gennem benchmarks
iii) yde rådgivning om klassificering af AI-modeller til almen brug med systemisk risiko
iv) yde rådgivning om klassificering af forskellige AI-modeller og -systemer til almen brug
v) bidrage til udviklingen af værktøjer og skabeloner
b) støtte markedsovervågningsmyndighederne arbejde efter disses anmodning
c) støtte grænseoverskridende markedsovervågningsaktiviteter som omhandlet i artikel 74, stk. 11, uden
at dette berører markedsovervågningsmyndighedernes beføjelser
d) støtte AI-kontoret i udførelsen af dets opgaver inden for rammerne af EU-beskyttelsesproceduren i
henhold til artikel 81.
4. Eksperterne i det videnskabelige panel udfører deres opgaver uvildigt og objektivt og sikrer fortrolighe-
den af de oplysninger og data, der er indhentet under udførelsen af deres opgaver og aktiviteter. De må
hverken søge eller modtage instrukser fra nogen, når de udfører deres opgaver i henhold til stk. 3. Hver
ekspert udfærdiger en interesseerklæring, der gøres offentligt tilgængelig. AI-kontoret etablerer systemer
og procedurer til aktivt at håndtere og forebygge potentielle interessekonflikter.
5. Den gennemførelsesretsakt, der er omhandlet i stk. 1, skal indeholde bestemmelser om betingelserne,
procedurerne og de nærmere ordninger for, hvordan det videnskabelige panel og dets medlemmer kan
sende varslinger og anmode AI-kontoret om bistand til udførelsen af det videnskabelige panels opgaver.
Artikel 69
Medlemsstaternes adgang til puljen af eksperter
1. Medlemsstaterne kan anmode eksperter i det videnskabelige panel om at støtte deres håndhævelsesakti-
viteter i henhold til denne forordning.
2. Medlemsstaterne kan pålægges at betale gebyrer for den rådgivning og støtte, som eksperterne
yder. Gebyrernes struktur og størrelse samt størrelsen og strukturen af de omkostninger, der kan kræves
erstattet, fastsættes i den gennemførelsesretsakt, der er omhandlet i artikel 68, stk. 1, under hensyntagen
til målene om en passende gennemførelse af denne forordning, omkostningseffektivitet og nødvendighe-
den af at sikre, at alle medlemsstater har effektiv adgang til eksperter.
3. Kommissionen letter medlemsstaternes rettidige adgang til eksperterne efter behov og sikrer, at kombi-
nationen af støtteaktiviteter, som udføres af EU-AI-afprøvningsstøtte i henhold til artikel 84, og eksperter
i henhold til nærværende artikel tilrettelægges effektivt og giver den bedst mulige merværdi.
AFDELING 2
Nationale kompetente myndigheder
Artikel 70
Udpegelse af nationale kompetente myndigheder og centrale kontaktpunkter
124
1. Hver medlemsstat opretter eller udpeger som nationale kompetente myndigheder mindst én bemyndi-
gende myndighed og mindst én markedsovervågningsmyndighed med henblik på denne forordning. Disse
nationale kompetente myndigheder udøver deres beføjelser uafhængigt, upartisk og uden bias for derved
at beskytte objektiviteten i deres aktiviteter og opgaver og for at sikre anvendelsen og gennemførelsen af
denne forordning. Medlemmerne af disse myndigheder afholder sig fra ethvert tiltag, som er uforenelig
med deres hverv. Forudsat at disse principper overholdes, kan sådanne aktiviteter og opgaver udføres af
en eller flere udpegede myndigheder i overensstemmelse med medlemsstatens organisatoriske behov.
2. Medlemsstaterne meddeler Kommissionen identiteten af de bemyndigende myndigheder og markeds-
overvågningsmyndighederne og disse myndigheders opgaver samt eventuelle efterfølgende ændringer
heraf. Medlemsstaterne offentliggør senest den 2. august 2025 oplysninger om, hvordan de kompeten-
te myndigheder og de centrale kontaktpunkter kan kontaktes ved hjælp af elektroniske kommunika-
tionsmidler. Medlemsstaterne udpeger en markedsovervågningsmyndighed til at fungere som centralt
kontaktpunkt for denne forordning og underretter Kommissionen om identiteten af det centrale kontakt-
punkt. Kommissionen offentliggør en liste over de centrale kontaktpunkter.
3. Medlemsstaterne sikrer, at deres nationale kompetente myndigheder tilføres tilstrækkelige tekniske,
finansielle og menneskelige ressourcer og infrastruktur, til at de kan udføre deres opgaver effektivt i
henhold til denne forordning. De nationale kompetente myndigheder skal navnlig råde over et tilstræk-
keligt antal medarbejdere på fast basis, hvis kompetencer og ekspertise spænder over en indgående
forståelse af AI-teknologier, data og databehandling, beskyttelse af personoplysninger, cybersikkerhed,
grundlæggende rettigheder, sundheds- og sikkerhedsrisici og viden om gældende standarder og retlige
krav. Medlemsstaterne skal årligt vurdere og om nødvendigt ajourføre de kompetence- og ressourcebehov,
der er omhandlet i dette stykke.
4. De nationale kompetente myndigheder skal træffe passende foranstaltninger for at sikre et tilstrækkeligt
niveau af cybersikkerhed.
5. De nationale kompetente myndigheder handler i forbindelse med udførelsen af deres opgaver i over-
ensstemmelse med fortrolighedsforpligtelserne fastsat i artikel 78.
6. Senest den 2. august 2025 og én gang hvert andet år derefter aflægger medlemsstaterne rapport
til Kommissionen om status for de nationale kompetente myndigheders finansielle og menneskelige
ressourcer med en vurdering af deres tilstrækkelighed. Kommissionen videresender disse oplysninger til
AI-udvalget med henblik på drøftelse og eventuelle henstillinger.
7. Kommissionen letter udvekslingen af erfaringer mellem de nationale kompetente myndigheder.
8. De nationale kompetente myndigheder kan yde vejledning og rådgivning om gennemførelsen af denne
forordning, navnlig til SMV᾽er, herunder iværksættervirksomheder, under hensyntagen til AI-udvalgets
og Kommissionens vejledning og rådgivning, alt efter hvad der er relevant. Når de nationale kompetente
myndigheder agter at yde vejledning og rådgivning i forbindelse med et AI-system på områder, der er
omfattet af anden EU-ret, skal de nationale kompetente myndigheder i henhold til denne EU-ret høres, alt
efter hvad der er relevant.
9. Hvis EU-institutioner, -organer, -kontorer eller -agenturer er omfattet af denne forordnings anvendel-
sesområde, fungerer Den Europæiske Tilsynsførende for Databeskyttelse som den kompetente myndighed
for tilsynet med dem.
KAPITEL VIII
125
EU-DATABASE FOR HØJRISIKO-AI-SYSTEMER
Artikel 71
EU-database for højrisiko-AI-systemer opført i bilag III
1. Kommissionen opretter og vedligeholder i samarbejde med medlemsstaterne en EU-database med
de i denne artikels stk. 2 og 3 omhandlede oplysninger vedrørende højrisiko-AI-systemer, jf. artikel
6, stk. 2, som er registreret i overensstemmelse med artikel 49 og 60, og AI-systemer, der ikke anses
som højrisiko-AI-systemer i henhold til artikel 6, stk. 3, og som er registeret i overensstemmelse med
artikel 6, stk. 4, og artikel 49. Ved fastsættelsen af funktionsspecifikationerne for en sådan database
hører Kommissionen de relevante eksperter og, når den ajourfører funktionsspecifikationerne for en sådan
database, hører Kommissionen AI-udvalget.
2. De data, der er anført i bilag VIII, afsnit A og B, indlæses i EU-databasen af udbyderen eller, hvis det
er relevant, af den bemyndigede repræsentant.
3. De data, der er anført i bilag VIII, afsnit C, indlæses i EU-databasen af den idriftsætter, som er eller
handler på vegne af en offentlig myndighed eller et offentligt agentur eller organ i overensstemmelse med
artikel 49, stk. 3 og 4.
4. Med undtagelse af det afsnit, der er omhandlet i artikel 49, stk. 4, og artikel 60, stk. 4, litra c), skal
oplysningerne i EU-databasen, der er registreret i overensstemmelse med artikel 49, kunne tilgås og
være offentligt tilgængelige på en brugervenlig måde. Oplysningerne bør være lette at finde rundt i og
maskinlæsbare. De oplysninger, der registreres i overensstemmelse med artikel 60, må kun være tilgæn-
gelige for markedsovervågningsmyndighederne og Kommissionen, medmindre den potentielle udbyder
eller udbyderen har givet sit samtykke til, at oplysningerne også gøres tilgængelige for offentligheden.
5. EU-databasen må kun indeholde personoplysninger, i det omfang det er nødvendigt for at indsamle
og behandle oplysninger i overensstemmelse med denne forordning. Disse oplysninger omfatter navne
og kontaktoplysninger på de fysiske personer, der er ansvarlige for registrering af systemet og har retlig
beføjelse til at repræsentere udbyderen eller idriftsætteren, alt efter hvad der er relevant.
6. Kommissionen er dataansvarlig for EU-databasen. Den stiller tilstrækkelig teknisk og administrativ
støtte til rådighed for udbydere, potentielle udbydere og idriftsættere. EU-databasen skal overholde
gældende tilgængelighedskrav.
KAPITEL IX
OVERVÅGNING EFTER OMSÆTNINGEN, UDVEKSLING AF OPLYSNINGER OG MAR-
KEDSOVERVÅGNING
AFDELING 1
Overvågning efter omsætningen
Artikel 72
Udbydernes overvågning efter omsætningen og plan for overvågning efter omsætningen for højrisi-
ko-AI-systemer
126
1. Udbyderne skal oprette og dokumentere et system til overvågning efter omsætningen på en måde, der
står i et rimeligt forhold til arten af AI-teknologierne og risiciene ved højrisiko-AI-systemet.
2. Systemet til overvågning efter omsætningen indsamler, dokumenterer og analyserer relevante data, som
idriftsætterne kan afgive, eller som kan indsamles via andre kilder, om højrisiko-AI-systemers ydeevne
i hele deres levetid, og som giver udbyderen mulighed for at evaluere, at AI-systemerne løbende overhol-
der de i kapitel III, afdeling 2, fastsatte krav. Hvis det er relevant, skal overvågning efter omsætningen
omfatte en analyse af interaktionen med andre AI-systemer. Denne forpligtelse omfatter ikke følsomme
operationelle data om idriftsættere, som er retshåndhævende myndigheder.
3. Systemet til overvågning efter omsætningen skal baseres på en plan for overvågning efter omsætnin-
gen. Planen for overvågning efter omsætningen skal være en del af den tekniske dokumentation, der
er omhandlet i bilag IV. Kommissionen vedtager senest den 2. februar 2026 en gennemførelsesretsakt
om detaljerede bestemmelser om en model for planen for overvågning efter omsætningen og listen over
elementer, der skal indgå i planen. Denne gennemførelsesretsakt vedtages efter undersøgelsesproceduren,
jf. artikel 98, stk. 2.
4. For højrisiko-AI-systemer, der er omfattet af EU-harmoniseringslovgivningen, som er opført i bilag
I, afsnit A, hvor der allerede er etableret et system til og en plan for overvågning efter omsætningen i
henhold til nævnte lovgivning, skal udbyderne med henblik på at sikre sammenhæng, undgå overlap og
minimere yderligere byrder have mulighed for, alt efter hvad der er relevant, at integrere de nødvendige
elementer, der er beskrevet i stk. 1, 2 og 3, ved hjælp af den model, der er omhandlet i stk. 3, i allerede
eksisterende systemer og planer i henhold til nævnte lovgivning, forudsat at dette opnår et tilsvarende
beskyttelsesniveau.
Dette stykkes første afsnit finder også anvendelse på de i bilag III, punkt 5, omhandlede højrisiko-AI-
systemer, der bringes i omsætning eller ibrugtages af finansielle institutioner, som er underlagt krav i
henhold til EU-retten om finansielle tjenesteydelser for så vidt angår deres interne ledelse, ordninger eller
processer.
AFDELING 2
Udveksling af oplysninger om alvorlige hændelser
Artikel 73
Indberetning af alvorlige hændelser
1. Udbydere af højrisiko-AI-systemer, der bringes i omsætning på EU-markedet, indberetter enhver
alvorlig hændelse til markedsovervågningsmyndighederne i de medlemsstater, hvor denne hændelse fandt
sted.
2. Den i stk. 1 omhandlede indberetning foretages umiddelbart efter, at udbyderen har fastslået en
årsagssammenhæng mellem AI-systemet og den alvorlige hændelse eller en rimelig sandsynlighed for en
sådan sammenhæng, og under alle omstændigheder senest 15 dage efter, at udbyderen eller, hvor det er
relevant, idriftsætteren har fået kendskab til den alvorlige hændelse.
I den i først afsnit omhandlede frist for indberetning tages der hensyn til den alvorlige hændelses alvor.
3. Uanset denne artikels stk. 2 forelægges den i denne artikels stk. 1 omhandlede rapport i tilfælde af
en udbredt overtrædelse eller en alvorlig hændelse som defineret i artikel 3, nr. 49), litra b), omgående
127
og senest to dage efter, at udbyderen eller, hvis det er relevant, idriftsætteren har fået kendskab til den
pågældende hændelse.
4. Uanset stk. 2 forelægges rapporten i tilfælde af en persons dødsfald umiddelbart efter, at udbyderen
eller idriftsætteren har fastslået, eller så snart vedkommende har mistanke om en årsagssammenhæng
mellem højrisiko-AI-systemet og den alvorlige hændelse, og senest ti dage efter den dato, hvor udbyderen
eller, hvis det er relevant, idriftsætteren har fået kendskab til den alvorlige hændelse.
5. Udbyderen eller, hvis det er relevant, idriftsætteren kan om nødvendigt for at sikre rettidig indberetning
forelægge en indledende rapport, som ikke er fyldestgørende, efterfulgt af en fyldestgørende rapport.
6. Efter indberetning af en alvorlig hændelse i henhold til stk. 1 skal udbyderen straks foretage de nødven-
dige undersøgelser vedrørende den alvorlige hændelse og det pågældende AI-system. Dette omfatter en
risikovurdering af hændelsen og korrigerende tiltag.
Udbyderen samarbejder med de kompetente myndigheder og, hvis det er relevant, med det berørte
bemyndigede organ under de undersøgelser, der er omhandlet i første afsnit, og må ikke foretage nogen
undersøgelse, der medfører ændringer af det pågældende AI-system på en sådan måde, at det kan
påvirke en efterfølgende evaluering af årsagerne til hændelsen, uden først at orientere de kompetente
myndigheder om et sådant tiltag.
7. Når den relevante markedsovervågningsmyndighed modtager en indberetning vedrørende en alvorlig
hændelse omhandlet i artikel 3, nr. 49), litra c), underretter den de nationale offentlige myndigheder eller
organer, der er omhandlet i artikel 77, stk. 1. Kommissionen udarbejder særlig vejledning for at lette
overholdelsen af forpligtelserne i nærværende artikels stk. 1. Denne vejledning udstedes senest den 2.
august 2025 og vurderes regelmæssigt.
8. Markedsovervågningsmyndigheden træffer passende foranstaltninger, jf. artikel 19 i forordning (EU)
2019/1020, senest syv dage fra den dato, hvor den modtog den i nærværende artikels stk. 1 omhandlede
indberetning, og følger indberetningsprocedurerne som fastsat i nævnte forordning.
9. I forbindelse med de i bilag III omhandlede højrisiko-AI-systemer, der bringes i omsætning eller
ibrugtages af udbydere, som er underlagt Unionens lovgivningsmæssige instrumenter om indberetnings-
forpligtelser svarende til dem, der er fastsat i denne forordning, begrænses indberetningen af alvorlige
hændelser til dem, der er omhandlet i artikel 3, nr. 49), litra c).
10. For højrisiko-AI-systemer, som er sikkerhedskomponenter i udstyr, eller som selv er udstyr, der
er omfattet af forordning (EU) 2017/745 og (EU) 2017/746, begrænses indberetningen af alvorlige
hændelser til dem, der er omhandlet i nærværende forordnings artikel 3, nr. 49), litra c), og foretages til
den nationale kompetente myndighed, som er valgt til dette formål af den medlemsstat, hvor hændelsen
fandt sted.
11. De nationale kompetente myndigheder underretter omgående Kommissionen om enhver alvorlig
hændelse, uanset om de har foretaget tiltag desangående, i overensstemmelse med artikel 20 i forordning
(EU) 2019/1020.
AFDELING 3
Håndhævelse
Artikel 74
128
Markedsovervågning og kontrol af AI-systemer på EU-markedet
1. Forordning (EU) 2019/1020 finder anvendelse på AI-systemer, der er omfattet af nærværende forord-
ning. Med henblik på effektiv håndhævelse af nærværende forordning gælder følgende:
a) enhver henvisning til en erhvervsdrivende i henhold til forordning (EU) 2019/1020 skal forstås således,
at den omfatter alle operatører, der er omfattet af nærværende forordnings artikel 2, stk. 1
b) enhver henvisning til et produkt i henhold til forordning (EU) 2019/1020 skal forstås således, at den
omfatter alle AI-systemer, der henhører under nærværende forordnings anvendelsesområde.
2. Som led i deres rapporteringsforpligtelser i henhold til artikel 34, stk. 4, i forordning (EU) 2019/1020
aflægger markedsovervågningsmyndighederne årligt rapport til Kommissionen og de relevante nationale
konkurrencemyndigheder i forbindelse med markedsovervågningsaktiviteter, som kan være af potentiel
interesse for anvendelsen af EU-retten om konkurrenceregler. De aflægger også årligt rapport til Kommis-
sionen om anvendelsen af forbudt praksis, der har fundet sted i løbet af det pågældende år, og om de
foranstaltninger, der er truffet.
3. For så vidt angår højrisiko-AI-systemer, som er knyttet til produkter, der er omfattet af EU-harmonise-
ringslovgivningen, som er opført i bilag I, afsnit A, er markedsovervågningsmyndigheden med henblik på
denne forordning den myndighed, der i henhold til disse retsakter er ansvarlig for markedsovervågnings-
aktiviteter.
Uanset første afsnit og under behørige omstændigheder kan medlemsstaterne udpege en anden relevant
myndighed til at fungere som markedsovervågningsmyndighed, forudsat at de sikrer koordinering med de
relevante sektorspecifikke markedsovervågningsmyndigheder, der er ansvarlige for håndhævelsen af den
EU-harmoniseringslovgivning, der er opført i bilag I.
4. De procedurer, der er omhandlet i denne forordnings artikel 79-83, finder ikke anvendelse på AI-syste-
mer, som er knyttet til produkter, der er omfattet af EU-harmoniseringslovgivningen, som er opført i bilag
I, afsnit A, hvis sådanne retsakter allerede indeholder bestemmelser om procedurer, der sikrer et tilsvaren-
de beskyttelsesniveau og har det samme formål. I sådanne tilfælde finder de relevante sektorprocedurer
anvendelse i stedet.
5. Uden at det berører markedsovervågningsmyndighedernes beføjelser i henhold til artikel 14 i forord-
ning (EU) 2019/1020, kan markedsovervågningsmyndighederne med henblik på at sikre en effektiv
håndhævelse af nærværende forordning udøve de beføjelser, der er omhandlet i nævnte forordnings
artikel 14, stk. 4, litra d) og j), på afstand, alt efter hvad der er relevant.
6. For så vidt angår højrisiko-AI-systemer, der bringes i omsætning, ibrugtages eller anvendes af finan-
sielle institutioner, der er omfattet af EU-retten om finansielle tjenesteydelser, er markedsovervågnings-
myndigheden med henblik på denne forordning den relevante nationale myndighed, der i henhold til
nævnte lovgivning er ansvarlig for det finansielle tilsyn med disse institutioner, såfremt omsætningen,
ibrugtagningen eller anvendelsen af AI-systemet er i direkte forbindelse med leveringen af disse finansiel-
le tjenesteydelser.
7. Uanset stk. 6 kan medlemsstaten under behørige omstændigheder, og forudsat at der sikres koordine-
ring, udpege en anden relevant myndighed som markedsovervågningsmyndighed med henblik på denne
forordning.
Nationale markedsovervågningsmyndigheder, som fører tilsyn med kreditinstitutter, der er reguleret i
henhold til direktiv 2013/36/EU, og som deltager i den fælles tilsynsmekanisme, der er oprettet ved for-
129
ordning (EU) nr. 1024/2013, bør straks indberette alle de oplysninger identificeret i forbindelse med deres
markedsovervågningsaktiviteter, som kan være af potentiel interesse for Den Europæiske Centralbanks
tilsynsopgaver som fastsat i nævnte forordning, til Den Europæiske Centralbank.
8. For så vidt angår de højrisiko-AI-systemer, der er anført i bilag III, punkt 1, til denne forordning for
så vidt systemerne anvendes til retshåndhævelsesformål, grænseforvaltning og retsvæsen og demokrati,
og de højrisiko-AI-systemer, der er anført i bilag III, punkt 6, 7 og 8, til denne forordning, udpeger
medlemsstaterne med henblik på denne forordning som markedsovervågningsmyndigheder enten de kom-
petente datatilsynsmyndigheder i henhold til forordning (EU) 2016/679 eller direktiv (EU) 2016/680 eller
enhver anden myndighed, der er udpeget på de samme betingelser, der er fastsat i artikel 41-44 i direktiv
(EU) 2016/680. Markedsovervågningsaktiviteter må på ingen måde påvirke de judicielle myndigheders
uafhængighed eller på anden måde gribe ind i deres aktiviteter, når de handler i deres egenskab af
domstol.
9. I tilfælde, hvor EU-institutioner, -organer, -kontorer eller -agenturer er omfattet af denne forordning,
fungerer Den Europæiske Tilsynsførende for Databeskyttelse som deres markedsovervågningsmyndig-
hed, undtagen i forbindelse med EU-Domstolen, som handler i sin egenskab af domstol.
10. Medlemsstaterne skal lette koordinering mellem markedsovervågningsmyndigheder, der er udpeget i
henhold til denne forordning, og andre relevante nationale myndigheder eller organer, der fører tilsyn med
anvendelsen af den EU-harmoniseringslovgivning, der er opført i bilag I, eller anden EU-ret, der kan være
relevant for de i bilag III omhandlede højrisiko-AI-systemer.
11. Markedsovervågningsmyndighederne og Kommissionen kan foreslå fælles aktiviteter, herunder fælles
undersøgelser, som skal gennemføres af enten markedsovervågningsmyndigheder eller af markedsover-
vågningsmyndigheder sammen med Kommissionen, og som har til formål at fremme overholdelse, identi-
ficere manglende overholdelse, øge bevidstheden eller yde vejledning for så vidt angår denne forordning
med hensyn til specifikke kategorier af højrisiko-AI-systemer, der anses for at udgøre en alvorlig risiko i
to eller flere medlemsstater i overensstemmelse med artikel 9 i forordning (EU) 2019/1020. AI-kontoret
sørger for koordinerende støtte til de fælles undersøgelser.
12. Uden at det berører de beføjelser, der er fastsat i forordning (EU) 2019/1020, og hvis det er relevant
og begrænset til, hvad der er nødvendigt for, at markedsovervågningsmyndighederne kan udføre deres
opgaver, gives de af udbydere fuld adgang til den dokumentation samt til de trænings-, validerings- og
afprøvningsdatasæt, der anvendes til udvikling af højrisiko-AI-systemer, herunder, hvis det er relevant og
med forbehold af sikkerhedsforanstaltninger, via programmeringsgrænseflader for applikationer (API᾽er)
eller andre relevante tekniske midler og værktøjer, der muliggør fjernadgang.
13. Markedsovervågningsmyndighederne gives efter begrundet anmodning adgang til kildekoden for
højrisiko-AI-systemet, og kun når begge følgende betingelser er opfyldt:
a) adgang til kildekode er nødvendig for at vurdere, om et højrisiko-AI-system er i overensstemmelse
med kravene i kapitel III, afdeling 2, og
b) afprøvnings- eller revisionsprocedurer og -verifikationer på grundlag af data og dokumentation fra
udbyderen er udtømt eller har vist sig at være utilstrækkelige.
14. Alle de oplysninger eller al den dokumentation, som markedsovervågningsmyndighederne kommer i
besiddelse af, behandles i overensstemmelse med fortrolighedsforpligtelserne fastsat i artikel 78.
Artikel 75
130
Gensidig bistand, markedsovervågning og kontrol med AI-systemer til almen brug
1. Hvis et AI-system er baseret på en AI-model til almen brug, og modellen og systemet er udviklet af
den samme udbyder, har AI-kontoret beføjelser til at overvåge og føre tilsyn med, om det pågældende
AI-system overholder kravene i denne forordning. For at varetage sine overvågnings- og tilsynsopgaver
skal AI-kontoret have alle beføjelser som markedsovervågningsmyndighed, der er fastsat i denne afdeling
og forordning (EU) 2019/1020.
2. Hvis de relevante markedsovervågningsmyndigheder har tilstrækkelig grund til at mene, at AI-syste-
mer til almen brug, som kan anvendes direkte af idriftsættere til mindst ét formål, der er klassificeret
som højrisiko i henhold til denne forordning, ikke overholder kravene i denne forordning, samarbejder
de med AI-kontoret om at foretage evalueringer af overholdelsen og underretter AI-udvalget og andre
markedsovervågningsmyndigheder i overensstemmelse hermed.
3. Hvis en markedsovervågningsmyndighed ikke er i stand til at afslutte sin undersøgelse af højrisiko-
AI-systemet som følge af manglende adgang til visse oplysninger vedrørende AI-modellen til almen
brug, selv om den har udfoldet alle de nødvendige bestræbelser på at indhente disse oplysninger, kan
den fremsætte en begrundet anmodning til AI-kontoret, hvorved adgangen til disse oplysninger skal
håndhæves. I dette tilfælde skal AI-kontoret straks og under alle omstændigheder inden for 30 dage give
den anmodende myndighed alle oplysninger, som AI-kontoret anser for at være relevante for at fastslå,
om et højrisiko-AI-system overholder gældende regler eller ej. Markedsovervågningsmyndighederne
sikrer, at de oplysninger, som de kommer i besiddelse af, behandles fortroligt i overensstemmelse med
denne forordnings artikel 78. Proceduren i kapitel VI i forordning (EU) 2019/1020 finder tilsvarende
anvendelse.
Artikel 76
Markedsovervågningsmyndighedernes tilsyn med afprøvning under faktiske forhold
1. Markedsovervågningsmyndighederne har kompetencer og beføjelser til at sikre, at afprøvning under
faktiske forhold er i overensstemmelse med denne forordning.
2. Hvis der udføres afprøvning under faktiske forhold for AI-systemer, som der føres tilsyn med i den re-
guleringsmæssige AI-sandkasse i henhold til artikel 58, kontrollerer markedsovervågningsmyndighederne
overholdelsen af artikel 60 som led i deres tilsynsrolle for den reguleringsmæssige AI-sandkasse. Disse
myndigheder kan, alt efter hvad der er relevant, tillade, at afprøvningen under faktiske forhold udføres af
udbyderen eller den potentielle udbyder som en undtagelse fra betingelserne i artikel 60, stk. 4, litra f) og
g).
3. Hvis en markedsovervågningsmyndighed er blevet underrettet af den potentielle udbyder, udbyderen
eller enhver tredjepart om en alvorlig hændelse eller har andre grunde til at mene, at betingelserne i
artikel 60 og 61 ikke er opfyldt, kan den træffe en af følgende afgørelser på sit område, alt efter hvad der
er relevant:
a) suspendere eller afslutte afprøvningen under faktiske forhold
b) kræve, at udbyderen eller den potentielle udbyder og idriftsætteren eller den potentielle idriftsætter
ændrer et hvilket som helst aspekt af afprøvningen under faktiske forhold.
131
4. Hvis en markedsovervågningsmyndighed har truffet en afgørelse omhandlet i denne artikels stk. 3 eller
har gjort indsigelse som omhandlet i artikel 60, stk. 4, litra b), skal afgørelsen eller indsigelsen indeholde
en begrundelse herfor og angive, hvordan udbyderen eller den potentielle udbyder kan anfægte afgørelsen
eller indsigelsen.
5. Hvis en markedsovervågningsmyndighed har truffet en afgørelse omhandlet i stk. 3, meddeler den, hvis
det er relevant, begrundelsen herfor til markedsovervågningsmyndighederne i de andre medlemsstater,
hvor AI-systemet er blevet afprøvet i overensstemmelse med planen for afprøvning.
Artikel 77
Beføjelser tillagt myndigheder, der beskytter de grundlæggende rettigheder
1. Nationale offentlige myndigheder eller organer, der fører tilsyn med eller håndhæver overholdelsen af
forpligtelser i henhold til EU-retten om beskyttelse af de grundlæggende rettigheder, herunder retten til
beskyttelse mod forskelsbehandling, i forbindelse med anvendelsen af højrisiko-AI-systemer omhandlet
i. bilag III har beføjelse til at anmode om og få adgang til al dokumentation, der er udarbejdet eller
opretholdt i henhold til denne forordning, på et tilgængeligt sprog og i et tilgængeligt format, hvis adgang
til denne dokumentation er nødvendig for effektivt at kunne udøve deres mandater inden for rammerne
af deres jurisdiktion. Den relevante offentlige myndighed eller det relevante offentlige organ underretter
markedsovervågningsmyndigheden i den pågældende medlemsstat om enhver sådan anmodning.
2. Senest den 2. november 2024 identificerer hver medlemsstat de offentlige myndigheder eller organer,
der er omhandlet i stk. 1, og offentliggør en liste. Medlemsstaterne meddeler listen til Kommissionen og
de øvrige medlemsstater og holder listen ajour.
3. Hvis den i stk. 1 omhandlede dokumentation er utilstrækkelig til at fastslå, om der er sket en tilsidesæt-
telse af forpligtelser i henhold til den del af EU-retten, der beskytter de grundlæggende rettigheder, kan
den offentlige myndighed eller det offentlige organ, der er omhandlet i stk. 1, fremsætte en begrundet
anmodning til markedsovervågningsmyndigheden om at tilrettelægge afprøvning af højrisiko-AI-systemet
ved hjælp af tekniske midler. Markedsovervågningsmyndigheden tilrettelægger afprøvningen med tæt
inddragelse af den anmodende offentlige myndighed eller det anmodende offentlige organ inden for
rimelig tid efter anmodningen.
4. Alle de oplysninger eller al den dokumentation, som de i denne artikels stk. 1 omhandlede nationale
offentlige myndigheder eller organer kommer i besiddelse af i henhold til denne artikel, behandles i
overensstemmelse med fortrolighedsforpligtelserne fastsat i artikel 78.
Artikel 78
Fortrolighed
1. Kommissionen, markedsovervågningsmyndighederne og bemyndigede organer og enhver anden fysisk
eller juridisk person, der er involveret i anvendelsen af denne forordning, respekterer i overensstemmelse
med EU-retten eller national ret fortroligheden af oplysninger og data, som de kommer i besiddelse af
under udførelsen af deres opgaver og aktiviteter, på en sådan måde, at de navnlig beskytter:
a) intellektuelle ejendomsrettigheder og fysiske eller juridiske personers fortrolige forretningsoplysninger
eller forretningshemmeligheder, herunder kildekode, med undtagelse af de tilfælde, der er omhandlet i
artikel 5 i Europa- Parlamentets og Rådets direktiv (EU) 2016/943 (57)
132
b) den effektive gennemførelse af denne forordning, navnlig for så vidt angår inspektioner, undersøgelser
eller revisioner
c) offentlige og nationale sikkerhedsinteresser
d) strafferetlige eller administrative procedurers gennemførelse
e) informationer, der er klassificeret i henhold til EU-retten eller national ret.
2. De myndigheder, der er involveret i anvendelsen af denne forordning i henhold til stk. 1, må kun
anmode om data, der er strengt nødvendige for at vurdere den risiko, som AI-systemer udgør, og for at
udøve deres beføjelser i overensstemmelse med denne forordning og med forordning (EU) 2019/1020. De
skal indføre passende og effektive cybersikkerhedsforanstaltninger for at beskytte sikkerheden og fortro-
ligheden af de indsamlede oplysninger og data og slette de indsamlede data, så snart de ikke længere
er nødvendige til det formål, som de blev indsamlet til, i overensstemmelse med gældende EU-ret eller
national ret.
3. Uden at det berører stk. 1 og 2 må oplysninger, der udveksles fortroligt mellem de nationale kompeten-
te myndigheder eller mellem de nationale kompetente myndigheder og Kommissionen, ikke videregives
uden forudgående høring af den oprindelige nationale kompetente myndighed og idriftsætteren i tilfælde,
hvor højrisiko-AI-systemer omhandlet i bilag III, punkt 1, 6 eller 7, anvendes af retshåndhævende
myndigheder, grænsekontrolmyndigheder, indvandringsmyndigheder eller asylmyndigheder, og hvis en
sådan videregivelse ville bringe offentlige og nationale sikkerhedsinteresser i fare. Denne udveksling af
oplysninger omfatter ikke følsomme operationelle oplysninger i forbindelse med aktiviteter, der udføres
af retshåndhævende myndigheder, grænsekontrolmyndigheder, indvandringsmyndigheder eller asylmyn-
digheder.
I tilfælde, hvor de retshåndhævende myndigheder, indvandringsmyndighederne eller asylmyndighederne
er udbydere af højrisiko-AI-systemer, der er omhandlet i bilag III, punkt 1, 6 eller 7, skal den tekniske
dokumentation, der er omhandlet i bilag IV, forblive hos disse myndigheder. Disse myndigheder sikrer,
at de markedsovervågningsmyndigheder, der er omhandlet i artikel 74, stk. 8 og 9, alt efter hvad der er
relevant, efter anmodning omgående kan få adgang til dokumentationen eller få en kopi heraf. Kun det af
markedsovervågningsmyndighedens personale, der har et passende sikkerhedsgodkendelsesniveau, må få
adgang til dokumentationen eller en kopi heraf.
4. Stk. 1, 2 og 3 berører ikke Kommissionens, medlemsstaternes og deres relevante myndigheders samt
de bemyndigede organers rettigheder eller forpligtelser med hensyn til udveksling af oplysninger og
udsendelse af advarsler, herunder i forbindelse med grænseoverskridende samarbejde, eller de berørte
parters forpligtelse til at afgive oplysninger inden for rammerne af medlemsstaternes strafferet.
5. Kommissionen og medlemsstaterne kan om nødvendigt og i overensstemmelse med relevante bestem-
melser i internationale aftaler og handelsaftaler udveksle fortrolige oplysninger med reguleringsmyndig-
heder i tredjelande, med hvilke de har indgået bilaterale eller multilaterale fortrolighedsordninger, der
sikrer en tilstrækkelig grad af fortrolighed.
Artikel 79
Procedure på nationalt plan i tilfælde af AI-systemer, der udgør en risiko
1. AI-systemer, der udgør en risiko, skal forstås som et »produkt, der udgør en risiko« som defineret i
artikel 3, nr. 19), i forordning (EU) 2019/1020, for så vidt de udgør risici for sundhed eller sikkerhed eller
for personers grundlæggende rettigheder.
133
2. Hvis en medlemsstats markedsovervågningsmyndighed har tilstrækkelig grund til at mene, at et AI-sy-
stem udgør en risiko som omhandlet i denne artikels stk. 1, foretager den en evaluering af det pågældende
AI-system for så vidt angår dets overholdelse af alle de krav og forpligtelser, der er fastsat i denne
forordning. Der lægges særlig vægt på AI-systemer, der udgør en risiko for sårbare grupper. Hvis der
identificeres risici for grundlæggende rettigheder, underretter markedsovervågningsmyndigheden også
de relevante nationale offentlige myndigheder eller organer, der er omhandlet i artikel 77, stk. 1, og
samarbejder fuldt ud med dem. De relevante operatører samarbejder om nødvendigt med markedsover-
vågningsmyndigheden og med de andre nationale offentlige myndigheder eller organer, der er omhandlet
i artikel 77, stk. 1. Hvis markedsovervågningsmyndigheden i forbindelse med evalueringen eller i givet
fald i samarbejde med den nationale offentlige myndighed, der er omhandlet i artikel 77, stk. 1, konsta-
terer, at AI-systemet ikke overholder kravene og forpligtelserne i denne forordning, anmoder den uden
unødigt ophold den pågældende operatør om at foretage alle fornødne korrigerende tiltag til at sørge for,
at AI-systemet overholder kravene og forpligtelserne, tilbagetrække AI-systemet fra markedet eller tilba-
gekalde det inden for en tidsfrist, som markedsovervågningsmyndigheden kan fastsætte, og under alle
omstændigheder inden for 15 arbejdsdage eller som fastsat i den relevante EU-harmoniseringslovgivning.
Markedsovervågningsmyndigheden skal underrette det relevante bemyndigede organ herom. Artikel 18 i
forordning (EU) 2019/1020 finder anvendelse på de i dette stykkes andet afsnit omhandlede foranstaltnin-
ger.
3. Hvis markedsovervågningsmyndigheden konstaterer, at den manglende overholdelse ikke er begrænset
til medlemsstatens område, underretter den uden unødigt ophold Kommissionen og de øvrige medlems-
stater om resultaterne af evalueringen og om de tiltag, den har pålagt operatøren at foretage.
4. Operatøren sikrer, at der foretages alle fornødne korrigerende tiltag over for alle de pågældende
AI-systemer, som denne har gjort tilgængelige EU-markedet.
5. Hvis AI-systemets operatør ikke foretager tilstrækkelige korrigerende tiltag inden for den frist, der er
omhandlet i stk. 2, træffer markedsovervågningsmyndigheden de nødvendige foreløbige foranstaltninger
til at forbyde eller begrænse, at AI-systemet gøres tilgængeligt på dens nationale marked eller ibrugtages,
tilbagetrække produktet eller det selvstændige AI-system fra dette marked eller tilbagekalde det. Den på-
gældende myndighed giver uden unødigt ophold Kommissionen og de øvrige medlemsstater meddelelse
om disse foranstaltninger.
6. Den i stk. 5 omhandlede underretning skal indeholde alle tilgængelige oplysninger, navnlig de nødven-
dige oplysninger til identifikation af det AI-system, der ikke overholder kravene, AI-systemets og forsy-
ningskædens oprindelse, arten af den påståede manglende overholdelse og af den pågældende risiko, arten
og varigheden af de trufne nationale foranstaltninger samt de synspunkter, som den pågældende operatør
har fremsat. Markedsovervågningsmyndighederne oplyser navnlig, om den manglende overholdelse af
kravene skyldes et eller flere af følgende:
a) manglende overholdelse af forbuddet mod de i artikel 5 omhandlede former for AI-praksis
b) et højrisiko-AI-systems manglende opfyldelse af kravene i kapitel III, afdeling 2
c) mangler i de harmoniserede standarder eller fælles specifikationer, der er omhandlet i artikel 40 og 41,
og som danner grundlag for overensstemmelsesformodningen
d) manglende overholdelse af artikel 50.
7. Andre markedsovervågningsmyndigheder end markedsovervågningsmyndigheden i den medlemsstat,
der har indledt proceduren, underretter uden unødigt ophold Kommissionen og de øvrige medlemsstater
134
om de trufne foranstaltninger og om yderligere oplysninger, som de måtte råde over, om det pågældende
AI-systems manglende overholdelse og om deres indsigelser, hvis de ikke er indforstået med den meddel-
te nationale foranstaltning.
8. Hvis der ikke inden for tre måneder efter modtagelsen af den i denne artikels stk. 5 omhandlede
underretning er blevet gjort indsigelse af enten en markedsovervågningsmyndighed i en medlemsstat
eller af Kommissionen mod en foreløbig foranstaltning truffet af en markedsovervågningsmyndighed i en
anden medlemsstat, anses denne foranstaltning for at være berettiget. Dette berører ikke den pågældende
operatørs procedurerettigheder i overensstemmelse med artikel 18 i forordning (EU) 2019/1020. Den
periode på tre måneder, der er omhandlet i nærværende stykke, nedsættes til 30 dage i tilfælde af
manglende overholdelse af forbuddet mod de i nærværende forordnings artikel 5 anførte former for
AI-praksis.
9. Markedsovervågningsmyndighederne sikrer, at der uden unødigt ophold træffes de fornødne restriktive
foranstaltninger med hensyn til det pågældende produkt eller AI-system såsom tilbagetrækning af produk-
tet eller AI-systemet fra deres marked.
Artikel 80
Procedure i tilfælde af AI-systemer, der af udbyderen er klassificeret som ikkehøjrisiko, i forbindel-
se med anvendelsen af bilag III
1. Hvis en markedsovervågningsmyndighed har tilstrækkelig grund til at mene, at et AI-system, der af
udbyderen er klassificeret som ikkehøjrisiko i henhold til artikel 6, stk. 3, faktisk er højrisiko, foretager
markedsovervågningsmyndigheden en evaluering af det pågældende AI-system med hensyn til dets
klassificering som et højrisiko-AI-system på grundlag af de betingelser, der er fastsat i artikel 6, stk. 3, og
Kommissionens retningslinjer.
2. Hvis markedsovervågningsmyndigheden som led i denne evaluering konstaterer, at det pågældende AI-
system er højrisiko, pålægger den uden unødigt ophold den relevante udbyder at foretage alle fornødne
tiltag til at bringe AI-systemet i overensstemmelse med de krav og forpligtelser, der er fastsat i denne
forordning, samt foretage fornødne korrigerende tiltag inden for en tidsfrist, som markedsovervågnings-
myndigheden kan fastsætte.
3. Hvis markedsovervågningsmyndigheden konstaterer, at anvendelsen af det pågældende AI-system
ikke er begrænset til medlemsstatens område, underretter den uden unødigt ophold Kommissionen og
de øvrige medlemsstater om resultaterne af evalueringen og om de tiltag, den har pålagt udbyderen at
foretage.
4. Udbyderen sikrer, at der foretages alle de nødvendige tiltag til at bringe AI-systemet i overensstemmel-
se med kravene og forpligtelserne i denne forordning. Hvis den pågældende udbyder af et AI-system ikke
bringer AI-systemet i overensstemmelse med disse krav og forpligtelser inden for den tidsfrist, der er
omhandlet i denne artikels stk. 2, straffes udbyderen med bøder i overensstemmelse med artikel 99.
5. Udbyderen sikrer, at der foretages alle fornødne korrigerende tiltag over for alle de pågældende
AI-systemer, som denne har gjort tilgængelige EU-markedet.
6. Hvis udbyderen af det pågældende AI-system ikke foretager tilstrækkelige korrigerende tiltag inden for
den tidsfrist, der er omhandlet i denne artikels stk. 2, finder artikel 79, stk. 5-9, anvendelse.
135
7. Hvis markedsovervågningsmyndigheden som led i evalueringen i henhold til denne artikels stk. 1 kon-
staterer, at AI-systemet er blevet fejlklassificeret af udbyderen som ikkehøjrisiko for at omgå anvendelsen
af kravene i kapitel III, afdeling 2, straffes udbyderen med bøder i overensstemmelse med artikel 99.
8. Ved udøvelsen af deres beføjelse til at overvåge anvendelsen af denne artikel og i overensstemmelse
med artikel 11 i forordning (EU) 2019/1020 kan markedsovervågningsmyndighederne foretage passende
kontroller under særlig hensyntagen til oplysninger, der er lagret i den EU-database, der er omhandlet i
nærværende forordnings artikel 71.
Artikel 81
Beskyttelsesprocedure på EU-plan
1. Hvis markedsovervågningsmyndigheden i en medlemsstat inden for tre måneder efter modtagelsen
af den i artikel 79, stk. 5, omhandlede underretning eller inden for 30 dage i tilfælde af manglende
overholdelse af forbuddet mod de i artikel 5 anførte former for AI-praksis har gjort indsigelse mod
en foranstaltning truffet af en anden markedsovervågningsmyndighed, eller hvis Kommissionen finder,
at foranstaltningen er i strid med EU-retten, hører Kommissionen uden unødigt ophold den relevante
medlemsstats markedsovervågningsmyndighed og den eller de relevante operatører og evaluerer den
nationale foranstaltning. På grundlag af resultaterne af denne evaluering træffer Kommissionen senest
seks måneder efter den i artikel 79, stk. 5, omhandlede underretning afgørelse om, hvorvidt den nationale
foranstaltning er berettiget, eller inden for 60 dage i tilfælde af manglende overholdelse af forbuddet mod
de i artikel 5 anførte former for AI-praksis og meddeler sin afgørelse til markedsovervågningsmyndighe-
den i den pågældende medlemsstat. Kommissionen underretter også alle andre markedsovervågningsmyn-
digheder om sin afgørelse.
2. Hvis Kommissionen anser den foranstaltning, der er truffet af den relevante medlemsstat, for at være
berettiget, sikrer alle medlemsstater, at de træffer de fornødne restriktive foranstaltninger med hensyn til
det pågældende AI-system, f.eks. krav om tilbagetrækning af AI-systemet fra deres marked uden unødigt
ophold, og underretter Kommissionen herom. Hvis Kommissionen anser den nationale foranstaltning
for ikke at være berettiget, trækker den pågældende medlemsstat foranstaltningen tilbage og underretter
Kommissionen herom.
3. Hvis den nationale foranstaltning anses for at være berettiget, og hvis AI-systemets manglende over-
holdelse tilskrives mangler ved de harmoniserede standarder eller fælles specifikationer, der er omhandlet
i denne forordnings artikel 40 og 41, anvender Kommissionen proceduren i artikel 11 i forordning (EU)
nr. 1025/2012.
Artikel 82
AI-systemer, som overholder kravene, men som udgør en risiko
1. Hvis en medlemsstats markedsovervågningsmyndighed efter at have foretaget en vurdering i henhold
til artikel 79 og efter høring af den relevante nationale offentlige myndighed, der er omhandlet i artikel
77, stk. 1, finder, at et højrisiko-AI-system, selv om det overholder kravene i denne forordning, alligevel
udgør en risiko for personers sundhed eller sikkerhed, for grundlæggende rettigheder eller for andre
aspekter vedrørende beskyttelse af samfundsinteresser, skal den pålægge den relevante operatør uden
unødigt ophold at træffe alle nødvendige foranstaltninger for at sikre, at det pågældende AI-system, når
det bringes i omsætning eller ibrugtages, ikke længere udgør en sådan risiko, inden for en tidsfrist, som
den kan fastsætte.
136
2. Udbyderen eller en anden relevant operatør sikrer, at der foretages korrigerende tiltag med hensyn til
alle de pågældende AI-systemer, som vedkommende har gjort tilgængelige på EU-markedet, inden for
den tidsfrist, der er fastsat af medlemsstatens markedsovervågningsmyndighed, der er omhandlet stk. 1.
3. Medlemsstaterne underretter omgående Kommissionen og de øvrige medlemsstater om resultaterne i
henhold til stk. 1. Denne underretning skal indeholde alle tilgængelige oplysninger, især de nødvendige
data til identifikation af de pågældende AI-systemer, AI-systemets oprindelse og forsyningskæde, arten af
den pågældende risiko og arten og varigheden af de trufne nationale foranstaltninger.
4. Kommissionen hører uden unødigt ophold de berørte medlemsstater og de relevante operatører og
vurderer de trufne nationale foranstaltninger. På grundlag af resultaterne af denne vurdering træffer
Kommissionen afgørelse om, hvorvidt foranstaltningen er berettiget, og foreslår om nødvendigt andre
passende foranstaltninger.
5. Kommissionen meddeler omgående sin afgørelse til de pågældende medlemsstater og til de relevante
operatører. Den underretter også de øvrige medlemsstater.
Artikel 83
Formel manglende overholdelse
1. Hvis en medlemsstats markedsovervågningsmyndighed konstaterer et af følgende forhold, pålægger
den den pågældende udbyder at bringe den manglende overholdelse til ophør inden for en tidsfrist, som
den kan fastsætte:
a) CE-mærkningen er anbragt i modstrid med artikel 48
b) CE-mærkningen er ikke anbragt
c) den i artikel 47 omhandlede EU-overensstemmelseserklæring er ikke udarbejdet
d) den i artikel 47 omhandlede EU-overensstemmelseserklæring er ikke udarbejdet korrekt
e) den i artikel 71 omhandlede registrering i EU-databasen er ikke foretaget
f) der er, hvor det er relevant, ikke udpeget nogen bemyndiget repræsentant
g) den tekniske dokumentation er ikke tilgængelig.
2. Hvis der fortsat er tale om manglende overholdelse omhandlet i stk. 1, skal markedsovervågningsmyn-
digheden i den pågældende medlemsstat træffe nødvendige og forholdsmæssige foranstaltninger for at
begrænse eller forbyde, at højrisiko-AI-systemet gøres tilgængeligt på markedet, eller for at sikre, at det
straks tilbagekaldes eller tilbagetrækkes fra markedet.
Artikel 84
EU-støttestrukturer for afprøvning af AI
1. Kommissionen udpeger en eller flere EU-støttestrukturer for afprøvning af AI til at udføre de opgaver,
der er anført i artikel 21, stk. 6, i forordning (EU) 2019/1020 inden for AI.
2. Uden at det berører de opgaver, der er omhandlet i stk. 1, skal EU-støttestrukturer for afprøvning af AI
også yde uafhængig teknisk eller videnskabelig rådgivning på anmodning af AI-udvalget, Kommissionen
eller markedsovervågningsmyndighederne.
137
AFDELING 4
Retsmidler
Artikel 85
Ret til at indgive klage til en markedsovervågningsmyndighed
Uden at det berører andre administrative klageadgange eller adgang til retsmidler, kan enhver fysisk eller
juridisk person, der har grund til at mene, at der er sket en overtrædelse af bestemmelserne i denne
forordning, indgive klager til den relevante markedsovervågningsmyndighed.
I overensstemmelse med forordning (EU) 2019/1020 tages sådanne klager i betragtning med henblik på
at udføre markedsovervågningsaktiviteterne og behandles i overensstemmelse med de særlige procedurer,
som markedsovervågningsmyndighederne har fastlagt dertil.
Artikel 86
Ret til at få en forklaring om individuel beslutningstagning
1. Enhver berørt person, der er omfattet af en afgørelse truffet af idriftsætteren på grundlag af output
fra et højrisiko-AI-system opført i bilag III, med undtagelse af systemerne opført i nævnte bilags punkt
2, og som har retsvirkninger eller på tilsvarende måde i væsentlig grad påvirker den pågældende person
på en måde, som de anser for at have negativ indvirkning på vedkommendes sundhed, sikkerhed eller
grundlæggende rettigheder, har ret til at få en klar og meningsfuld forklaring fra idriftsætteren om
AI-systemets rolle i beslutningsprocessen og hovedelementerne i den trufne afgørelse.
2. Stk. 1 finder ikke anvendelse på anvendelsen af AI-systemer, for hvilke undtagelser fra eller begræns-
ninger af forpligtelsen i henhold til nævnte stykke følger af EU-retten eller national ret, der overholder
EU-retten.
3. Denne artikel finder kun anvendelse, for så vidt den i stk. 1 omhandlede ret ikke på anden vis er fastsat
i EU-retten.
Artikel 87
Indberetning af overtrædelser og beskyttelse af indberettende personer
Direktiv (EU) 2019/1937 finder anvendelse på indberetning af overtrædelser af denne forordning og på
beskyttelsen af personer, der indberetter sådanne overtrædelser.
AFDELING 5
Tilsyn, undersøgelser, håndhævelse og overvågning i forbindelse med udbydere af AI-modeller til
almen brug
Artikel 88
Håndhævelse af forpligtelser for udbydere af AI-modeller til almen brug
138
1. Kommissionen har enekompetence til at føre tilsyn med og håndhæve kapitel V under hensyntagen
til de proceduremæssige garantier i henhold til artikel 94. Kommissionen overdrager gennemførelsen af
disse opgaver til AI-kontoret, uden at dette berører Kommissionens organisationsbeføjelser og kompeten-
cefordelingen mellem medlemsstaterne og Unionen på grundlag af traktaterne.
2. Uden at det berører artikel 75, stk. 3, kan markedsovervågningsmyndighederne anmode Kommissionen
om at udøve de beføjelser, der er fastsat i denne afdeling, hvis dette er nødvendigt og forholdsmæssigt for
at bistå med udførelsen af deres opgaver i henhold til denne forordning.
Artikel 89
Overvågningstiltag
1. AI-kontoret kan for at kunne udføre de opgaver, der tildeles det i henhold til denne afdeling, foretage
de nødvendige tiltag for at overvåge, at udbydere af AI-modeller til almen brug gennemfører og overhol-
der denne forordning effektivt, herunder overholder godkendte praksiskodekser.
2. Downstreamudbydere har ret til at indgive en klage over en overtrædelse af denne forordning. En klage
skal være behørigt begrundet og som minimum indeholde:
a) kontaktpunktet for udbyderen af den pågældende AI-model til almen brug
b) en beskrivelse af de relevante kendsgerninger, de pågældende bestemmelser i denne forordning og
årsagen til, at downstreamudbyderen mener, at udbyderen af den pågældende AI-model til almen brug har
overtrådt denne forordning
c) alle andre oplysninger, som downstreamudbyderen, som sendte anmodningen, anser for relevante,
herunder i givet fald oplysninger indsamlet på eget initiativ.
Artikel 90
Varslinger om systemiske risici fra det videnskabelige panel
1. Det videnskabelige panel kan sende en kvalificeret varsling til AI-kontoret, hvis det har begrundet
mistanke om, at:
a) en AI-model til almen brug udgør en konkret identificerbar risiko på EU-plan, eller
b) en AI-model til almen brug opfylder betingelserne omhandlet i artikel 51.
2. Efter en sådan kvalificeret varsling kan Kommissionen gennem AI-kontoret og efter at have underrettet
AI-udvalget udøve de beføjelser, der er fastsat i denne afdeling, med henblik på at vurdere sagen. AI-kon-
toret underretter AI-udvalget om enhver foranstaltning i henhold til artikel 91-94.
3. En kvalificeret varsling skal være behørigt begrundet og som minimum indeholde:
a) kontaktpunktet for udbyderen af den pågældende AI-model til almen brug med systemisk risiko
b) en beskrivelse af de relevante kendsgerninger og årsager til varslingen fra det videnskabelige panel
c) alle andre oplysninger, som det videnskabelige panel anser for relevante, herunder i givet fald oplys-
ninger indsamlet på eget initiativ.
139
Artikel 91
Beføjelse til at anmode om dokumentation og oplysninger
1. Kommissionen kan anmode udbyderen af den pågældende AI-model til almen brug om at stille den
dokumentation til rådighed, som udbyderen har udarbejdet i overensstemmelse med artikel 53 og 55, eller
eventuelle yderligere oplysninger, som er nødvendige for at vurdere, om udbyderen overholder denne
forordning.
2. Inden anmodningen om oplysninger sendes, kan AI-kontoret indlede en struktureret dialog med udby-
deren af AI-modellen til almen brug.
3. Efter en behørigt begrundet anmodning fra det videnskabelige panel kan Kommissionen fremsætte en
anmodning om oplysninger til en udbyder af en AI-model til almen brug, hvis adgangen til oplysninger er
nødvendig og forholdsmæssig for udførelsen af det videnskabelige panels opgaver i henhold til artikel 68,
stk. 2.
4. Anmodningen om oplysninger skal angive retsgrundlaget og formålet med anmodningen, præcisere,
hvilke oplysninger der anmodes om, fastsætte tidsfristen, inden for hvilken oplysningerne skal frem-
lægges, og angive de bøder, der er fastsat i artikel 101, for at afgive ukorrekte, ufuldstændige eller
vildledende oplysninger.
5. Udbyderen af den pågældende AI-model til almen brug eller dennes repræsentant skal afgive de
oplysninger, der anmodes om. Såfremt det drejer sig om juridiske personer, selskaber eller firmaer,
eller hvis udbyderen ikke har status som juridisk person, skal de personer, som ved lov eller ifølge
deres vedtægter har beføjelse til at repræsentere dem, afgive de oplysninger, der anmodes om på vegne
af udbyderen af den pågældende AI-model til almen brug. Behørigt befuldmægtigede advokater kan
afgive oplysninger på deres klienters vegne. Klienterne bærer dog det fulde ansvar, såfremt de afgivne
oplysninger er ufuldstændige, ukorrekte eller vildledende.
Artikel 92
Beføjelse til at foretage evalueringer
1. AI-kontoret kan efter høring af AI-udvalget foretage evalueringer af den pågældende AI-model til
almen brug:
a) med henblik på at vurdere, om udbyderen overholder forpligtelserne i henhold til denne forordning,
hvis de indsamlede oplysninger i henhold til artikel 91 er utilstrækkelige, eller
b) med henblik på at undersøge systemiske risici på EU-plan for AI-modeller til almen brug med
systemisk risiko, navnlig efter en kvalificeret varsling fra det videnskabelige panel i overensstemmelse
med artikel 90, stk. 1, litra a).
2. Kommissionen kan beslutte at udpege uafhængige eksperter til at foretage evalueringer på dens vegne,
herunder fra det videnskabelige panel, der er oprettet i henhold til artikel 68. Uafhængige eksperter, der
udpeges til denne opgave, skal opfylde kriterierne anført i artikel 68, stk. 2.
3. Med henblik på stk. 1 kan Kommissionen anmode om adgang til den pågældende AI-model til almen
brug via API᾽er eller andre hensigtsmæssige tekniske midler og værktøjer, herunder kildekode.
140
4. Anmodningen om adgang skal angive retsgrundlaget, formålet med og begrundelsen for anmodningen
og fastsætte tidsfristen, inden for hvilken der skal gives adgang, samt bøder, der er fastsat i artikel 101,
ved manglende adgang.
5. Udbydere af den pågældende AI-model til almen brug eller dennes repræsentant skal afgive de
oplysninger, der anmodes om. Såfremt det drejer sig om juridiske personer, selskaber eller firmaer, eller
hvis udbyderen ikke har status som juridisk person, skal de personer, som ved lov eller ifølge deres
vedtægter har beføjelse til at repræsentere dem, give den adgang, der anmodes om på vegne af udbyderen
af den pågældende AI-model til almen brug.
6. Kommissionen vedtager gennemførelsesretsakter, der fastsætter de nærmere ordninger og bestemmel-
ser og betingelser for evalueringerne, herunder de nærmere ordninger for inddragelse af uafhængige
eksperter, og proceduren for udvælgelse heraf. Disse gennemførelsesretsakter vedtages efter undersøgel-
sesproceduren, jf. artikel 98, stk. 2.
7. Inden der anmodes om adgang til den pågældende AI-model til almen brug, kan AI-kontoret indlede
en struktureret dialog med udbyderen af AI-modellen til almen brug for at indsamle flere oplysninger
om den interne afprøvning af modellen, interne sikkerhedsforanstaltninger til forebyggelse af systemiske
risici og andre interne procedurer og foranstaltninger, som udbyderen har truffet for at afbøde sådanne
risici.
Artikel 93
Beføjelse til at anmode om foranstaltninger
1. Hvis det er nødvendigt og hensigtsmæssigt, kan Kommissionen anmode udbyderne om at:
a) træffe passende foranstaltninger til at overholde forpligtelserne i artikel 53 og 54
b) gennemføre afbødende foranstaltninger, hvis den evaluering, der foretages i overensstemmelse med
artikel 92, har givet anledning til alvorlig og begrundet mistanke om en systemisk risiko på EU-plan
c) begrænse tilgængeliggørelsen på markedet, tilbagetrække eller tilbagekalde modellen.
2. Inden der anmodes om foranstaltninger, kan AI-kontoret indlede en struktureret dialog med udbyderen
af AI-modellen til almen brug.
3. Hvis udbyderen af AI-modellen til almen brug med systemisk risiko under den strukturerede dialog,
der er omhandlet i stk. 2, afgiver tilsagn om at gennemføre afbødende foranstaltninger for at afhjælpe en
systemisk risiko på EU-plan, kan Kommissionen ved en afgørelse gøre disse tilsagn bindende og erklære,
at der ikke er yderligere grundlag for handling.
Artikel 94
Erhvervsdrivendes procedurerettigheder i forbindelse med AI-modellen til almen brug
Artikel 18 i forordning (EU) 2019/1020 finder tilsvarende anvendelse på udbydere af AI-modellen til
almen brug, uden at dette berører de mere specifikke procedurerettigheder, som er fastsat i nærværende
forordning.
KAPITEL X
141
ADFÆRDSKODEKSER OG RETNINGSLINJER
Artikel 95
Adfærdskodekser for frivillig anvendelse af specifikke krav
1. AI-kontoret og medlemsstaterne tilskynder til og letter udarbejdelsen af adfærdskodekser, herunder
tilhørende forvaltningsmekanismer, der har til formål at fremme frivillig anvendelse af visse af eller
alle de i kapitel III, afdeling 2, fastsatte krav på AI-systemer, der ikke er højrisiko-AI-systemer, under
hensyntagen til de tilgængelige tekniske løsninger og industriens bedste praksis, der gør det muligt at
anvende sådanne krav.
2. AI-kontoret og medlemsstaterne letter udarbejdelsen af adfærdskodekser vedrørende frivillig anvendel-
se, herunder fra idriftsætternes side, af specifikke krav til alle AI-systemer på grundlag af klare mål og
centrale resultatindikatorer til måling af realiseringen af disse mål, herunder elementer såsom, men ikke
begrænset til:
a) relevante elementer fastsat i Unionens etiske retningslinjer for troværdig AI
b) vurdering og minimering af AI-systemers indvirkning på miljømæssig bæredygtighed, herunder med
hensyn til energieffektiv programmering og teknikker til effektiv udformning, træning og anvendelse af
AI
c) fremme af AI-færdigheder, navnlig hos personer, der beskæftiger sig med udvikling, drift og anvendel-
se af AI
d) fremme af en inklusiv og mangfoldig udformning af AI-systemer, herunder gennem oprettelse af
inklusive og mangfoldige udviklingsteams og fremme af interessenters inddragelse i denne proces
e) vurdering og forebyggelse af, at AI-systemer har negativ indvirkning på sårbare personer eller grupper
af sårbare personer, herunder for så vidt angår tilgængelighed for personer med handicap, samt på
ligestilling mellem kønnene.
3. Adfærdskodekser kan udarbejdes af individuelle udbydere eller idriftsættere af AI-systemer, af organi-
sationer, der repræsenterer dem, eller af begge, herunder med inddragelse af eventuelle interesserede
parter og deres repræsentative organisationer, herunder civilsamfundsorganisationer og den akademiske
verden. Adfærdskodekser kan omfatte et eller flere AI-systemer under hensyntagen til ligheden mellem
de relevante systemers tilsigtede formål.
4. Når AI-kontoret og medlemsstaterne tilskynder til og letter udarbejdelsen af adfærdskodekser, tager de
hensyn til SMV᾽ers, herunder iværksættervirksomheders, særlige interesser og behov.
Artikel 96
Retningslinjer fra Kommissionen om gennemførelsen af denne forordning
1. Kommissionen udarbejder retningslinjer for den praktiske gennemførelse af denne forordning, navnlig
for:
a) anvendelsen af de krav og forpligtelser, der er omhandlet i artikel 8-15 og artikel 25
b) de forbudte former for praksis, der er omhandlet i artikel 5
142
c) den praktiske gennemførelse af bestemmelserne om væsentlig ændring
d) den praktiske gennemførelse af gennemsigtighedsforpligtelserne i artikel 50
e) detaljerede oplysninger om forholdet mellem denne forordning og EU-harmoniseringslovgivningen,
der er opført i bilag I, samt anden relevant EU-ret, herunder for så vidt angår konsekvens i håndhævelsen
deraf
f) anvendelsen af definitionen af et AI-system som fastsat i artikel 3, nr. 1).
Når Kommissionen udsteder sådanne retningslinjer, skal den være særlig opmærksom på behovene hos
SMV᾽er, herunder iværksættervirksomheder, hos lokale offentlige myndigheder og i sektorer, der med
størst sandsynlighed vil blive berørt af denne forordning.
Der skal med de retningslinjer, der er omhandlet i dette stykkes første afsnit, tages behørigt hensyn til det
generelt anerkendte aktuelle teknologiske niveau inden for AI samt til relevante harmoniserede standarder
og fælles specifikationer, der er omhandlet i artikel 40 og 41, eller til de harmoniserede standarder eller
tekniske specifikationer, der er fastsat i henhold til EU-harmoniseringsretten.
2. På anmodning af medlemsstaterne eller AI-kontoret eller på eget initiativ ajourfører Kommissionen
tidligere vedtagne retningslinjer, når det skønnes nødvendigt.
KAPITEL XI
DELEGATION AF BEFØJELSER OG UDVALGSPROCEDURE
Artikel 97
Udøvelse af de delegerede beføjelser
1. Beføjelsen til at vedtage delegerede retsakter tillægges Kommissionen på de i denne artikel fastlagte
betingelser.
2. Beføjelsen til at vedtage delegerede retsakter, jf. artikel 6, stk. 6 og 7, artikel 7, stk. 1 og 3, artikel 11,
stk. 3, artikel 43, stk. 5 og 6, artikel 47, stk. 5, artikel 51, stk. 3, artikel 52, stk. 4, og artikel 53, stk. 5 og
6, tillægges Kommissionen for en periode på fem år fra den 1. august 2024. Kommissionen udarbejder en
rapport vedrørende delegationen af beføjelser senest ni måneder inden udløbet af femårsperioden. Delega-
tionen af beføjelser forlænges stiltiende for perioder af samme varighed, medmindre Europa-Parlamentet
eller Rådet modsætter sig en sådan forlængelse senest tre måneder inden udløbet af hver periode.
3. Den i artikel 6, stk. 6 og 7, artikel 7, stk. 1 og 3, artikel 11, stk. 3, artikel 43, stk. 5 og 6, artikel 47, stk.
5, artikel 51, stk. 3, artikel 52, stk. 4, og artikel 53, stk. 5 og 6, omhandlede delegation af beføjelser kan
til enhver tid tilbagekaldes af Europa-Parlamentet eller Rådet. En afgørelse om tilbagekaldelse bringer
delegationen af de beføjelser, der er angivet i den pågældende afgørelse, til ophør. Den får virkning dagen
efter offentliggørelsen af afgørelsen i Den Europæiske Unions Tidende eller på et senere tidspunkt, der
angives i afgørelsen. Den berører ikke gyldigheden af delegerede retsakter, der allerede er i kraft.
4. Inden vedtagelsen af en delegeret retsakt hører Kommissionen eksperter, som er udpeget af hver enkelt
medlemsstat, i overensstemmelse med principperne i den interinstitutionelle aftale af 13. april 2016 om
bedre lovgivning.
143
5. Så snart Kommissionen vedtager en delegeret retsakt, giver den samtidigt Europa-Parlamentet og Rådet
meddelelse herom.
6. Enhver delegeret retsakt vedtaget i henhold til artikel 6, stk. 6 eller 7, artikel 7, stk. 1 eller 3, artikel
11, stk. 3, artikel 43, stk. 5 eller 6, artikel 47, stk. 5, artikel 51, stk. 3, artikel 52, stk. 4, eller artikel 53,
stk. 5 eller 6, træder kun i kraft, hvis hverken Europa-Parlamentet eller Rådet har gjort indsigelse inden
for en frist på tre måneder fra meddelelsen af den pågældende retsakt til Europa-Parlamentet og Rådet,
eller hvis Europa-Parlamentet og Rådet inden udløbet af denne frist begge har underrettet Kommissionen
om, at de ikke agter at gøre indsigelse. Fristen forlænges med tre måneder på Europa-Parlamentets eller
Rådets initiativ.
Artikel 98
Udvalgsprocedure
1. Kommissionen bistås af et udvalg. Dette udvalg er et udvalg som omhandlet i forordning (EU) nr.
182/2011.
2. Når der henvises til dette stykke, finder artikel 5 i forordning (EU) nr. 182/2011 anvendelse.
KAPITEL XII
SANKTIONER
Artikel 99
Sanktioner
1. I overensstemmelse med de vilkår og betingelser, der er fastsat i denne forordning, fastsætter medlems-
staterne regler om sanktioner og andre håndhævelsesforanstaltninger, som også kan omfatte advarsler
og ikkeøkonomiske foranstaltninger, for operatørers overtrædelse af denne forordning og træffer alle
nødvendige foranstaltninger for at sikre, at de gennemføres korrekt og effektivt, og dermed tage hensyn
til de retningslinjer, som Kommissionen har udstedt i henhold til artikel 96. Sanktionerne skal være
effektive, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning. Der tages hensyn til
SMV᾽ers, herunder iværksættervirksomheders, interesser og deres økonomiske levedygtighed.
2. Medlemsstaterne giver straks og senest på anvendelsesdatoen Kommissionen meddelelse om reglerne
om sanktioner og andre håndhævelsesforanstaltninger, der er omhandlet i stk. 1, og meddeler den straks
enhver efterfølgende ændring heraf.
3. Manglende overholdelse af forbud mod de i artikel 5 anførte former for AI-praksis straffes med
administrative bøder på op til 35 000 000 EUR eller, hvis lovovertræderen er en virksomhed, op til 7 % af
dens samlede globale årlige omsætning i det foregående regnskabsår, alt efter hvilket beløb der er størst.
4. Manglende overholdelse af en af følgende bestemmelser vedrørende operatører eller bemyndigede
organer, bortset fra de bestemmelser, der er fastsat i artikel 5, straffes med administrative bøder på op til
15 000 000 EUR eller, hvis lovovertræderen er en virksomhed, op til 3 % af dens samlede globale årlige
omsætning i det foregående regnskabsår, alt efter hvilket beløb der er størst:
a) forpligtelser for udbydere i henhold til artikel 16
b) forpligtelser for bemyndigede repræsentanter i henhold til artikel 22
144
c) forpligtelser for importører i henhold til artikel 23
d) forpligtelser for distributører i henhold til artikel 24
e) forpligtelser for idriftsættere i henhold til artikel 26
f) krav til og forpligtelser for bemyndigede organer i henhold til artikel 31, artikel 33, stk. 1, 3 og 4, eller
artikel 34
g) gennemsigtighedsforpligtelser for udbydere og idriftsættere i henhold til artikel 50.
5. Afgivelse af ukorrekte, ufuldstændige eller vildledende oplysninger til bemyndigede organer eller
nationale kompetente myndigheder som svar på en anmodning straffes med administrative bøder på op til
7 500 000 EUR eller, hvis lovovertræderen er en virksomhed, op til 1 % af dens samlede globale årlige
omsætning i det foregående regnskabsår, alt efter hvilket beløb der er størst.
6. For SMV᾽er, herunder iværksættervirksomheder, skal hver bøde, der er omhandlet i denne artikel, være
op til den procentsats eller det beløb, der er omhandlet i stk. 3, 4 og 5, alt efter hvilken af dem der er
lavest.
7. Når der træffes afgørelse om, hvorvidt der skal pålægges en administrativ bøde, og ved fastsættelsen
af den administrative bødes størrelse tages der i hvert enkelt tilfælde hensyn til alle relevante omstændig-
heder i den specifikke situation, og der tages i relevant omfang hensyn til følgende:
a) overtrædelsens art, grovhed og varighed samt dens konsekvenser under hensyntagen til formålet med
AI-systemet samt, hvis det er relevant, antallet af berørte personer og omfanget af den skade, de har lidt
b) hvorvidt andre markedsovervågningsmyndigheder allerede har pålagt den samme operatør administra-
tive bøder for samme overtrædelse
c) hvorvidt andre myndigheder allerede har pålagt den samme operatør administrative bøder for overtræ-
delser af anden EU-ret eller national ret, når sådanne overtrædelser skyldes den samme aktivitet eller
undladelse, der udgør en relevant overtrædelse af denne forordning
d) størrelsen på den operatør, der har begået overtrædelsen, og dennes årlige omsætning og markedsandel
e) om der er andre skærpende eller formildende faktorer ved sagens omstændigheder såsom opnåede
økonomiske fordele eller undgåede tab som direkte eller indirekte følge af overtrædelsen
f) graden af samarbejde med de nationale kompetente myndigheder for at afhjælpe overtrædelsen og
begrænse de negative konsekvenser, som overtrædelsen måtte have givet anledning til
g) graden af ansvar hos operatøren under hensyntagen til de tekniske og organisatoriske foranstaltninger,
som vedkommende har gennemført
h) den måde, hvorpå de nationale kompetente myndigheder fik kendskab til overtrædelsen, navnlig om
operatøren har underrettet om overtrædelsen, og i givet fald i hvilket omfang
i) hvorvidt overtrædelsen blev begået forsætligt eller uagtsomt
j) ethvert tiltag fra operatørens side for at afbøde skaden på de pågældende personer.
8. Hver medlemsstat fastsætter regler om, i hvilket omfang administrative bøder kan pålægges offentlige
myndigheder og organer, der er etableret i den pågældende medlemsstat.
145
9. Afhængigt af medlemsstaternes retssystem kan reglerne om administrative bøder anvendes på en sådan
måde, at bøderne pålægges af kompetente nationale domstole eller af andre organer, alt efter hvad der er
relevant i disse medlemsstater. Anvendelsen af disse regler i disse medlemsstater har tilsvarende virkning.
10. Udøvelse af beføjelser i henhold til denne artikel skal være underlagt fornødne proceduremæssige sik-
kerhedsforanstaltninger i overensstemmelse med EU-retten og national ret, herunder effektive retsmidler
og retfærdig procedure.
11. Medlemsstaterne aflægger årligt rapport til Kommissionen om de administrative bøder, de har udstedt
i løbet af det pågældende år, i overensstemmelse med denne artikel, og om eventuelle dermed forbundne
tvister eller retssager.
Artikel 100
Administrative bøder til EU-institutioner, -organer, -kontorer og -agenturer
1. Den Europæiske Tilsynsførende for Databeskyttelse kan pålægge de EU-institutioner, -organer, -konto-
rer og -agenturer, der er omfattet af denne forordnings anvendelsesområde, administrative bøder. Når
der træffes afgørelse om, hvorvidt der skal pålægges en administrativ bøde, og ved fastsættelsen af den
administrative bødes størrelse tages der i hvert enkelt tilfælde hensyn til alle relevante omstændigheder i
den specifikke situation, og der tages behørigt hensyn til følgende:
a) overtrædelsens art, grovhed og varighed samt dens konsekvenser, under hensyntagen til formålet med
det pågældende AI-system, samt, hvis det er relevant, antallet af berørte personer og omfanget af den
skade, de har lidt
b) graden af ansvar hos EU-institutionen, -organet, -kontoret eller -agenturet under hensyntagen til de
tekniske og organisatoriske foranstaltninger, som de har gennemført
c) ethvert tiltag, der foretages af EU-institutionen, -organet, -kontoret eller -agenturet for at afhjælpe den
skade, som de berørte personer har lidt
d) graden af samarbejde med Den Europæiske Tilsynsførende for Databeskyttelse med henblik på at
afhjælpe overtrædelsen og afbøde de mulige negative virkninger af overtrædelsen, herunder overholdelse
af enhver af de foranstaltninger, som Den Europæiske Tilsynsførende for Databeskyttelse tidligere har
pålagt den pågældende EU-institution eller det pågældende EU-organ, -kontor eller -agentur med hensyn
til samme genstand
e) eventuelle lignende overtrædelser, som den pågældende EU-institution eller det pågældende EU-organ,
EU-kontor eller EU-agentur tidligere har begået
f) den måde, hvorpå Den Europæiske Tilsynsførende for Databeskyttelse fik kendskab til overtrædelsen,
navnlig om den pågældende EU-institution eller det pågældende EU-organ, -kontor eller -agentur gav
underretning om overtrædelsen, og i givet fald i hvilket omfang
g) EU-institutionens, -organets, -kontorets eller -agenturets årlige budget.
2. Manglende overholdelse af forbuddet mod de i artikel 5 anførte former for AI-praksis straffes med
administrative bøder på op til 1 500 000 EUR.
3. AI-systemets manglende overholdelse af ethvert krav eller enhver forpligtelse i henhold til denne
forordning, bortset fra kravene i artikel 5, straffes med administrative bøder på op til 750 000 EUR.
146
4. Inden der træffes afgørelse i henhold til denne artikel, giver Den Europæiske Tilsynsførende for
Databeskyttelse den pågældende EU-institution eller det pågældende EU-organ, -kontor eller -agentur, der
er genstand for de procedurer, som gennemføres af Den Europæiske Tilsynsførende for Databeskyttelse,
mulighed for at blive hørt om genstanden for den mulige overtrædelse. Den Europæiske Tilsynsførende
for Databeskyttelse baserer udelukkende sine afgørelser på elementer og forhold, som de berørte parter
har haft mulighed for at fremsætte bemærkninger til. Eventuelle klagere inddrages i vid udstrækning i
proceduren.
5. De deltagende parters ret til forsvar skal sikres fuldt ud i procedureforløbet. De har ret til aktindsigt i
Den Europæiske Tilsynsførende for Databeskyttelses sagsakter med forbehold af fysiske personers eller
virksomheders berettigede interesse i at beskytte deres personoplysninger eller forretningshemmeligheder.
6. Midler, der er indsamlet ved pålæg af bøder i henhold til denne artikel, bidrager til Unionens almindeli-
ge budget. Bøderne berører ikke den effektive funktion af den EU-institution eller det EU-organ, -kontor
eller -agentur, der er blevet pålagt bøden.
7. Den Europæiske Tilsynsførende for Databeskyttelse underretter hvert år Kommissionen om de admini-
strative bøder, den har pålagt i henhold til denne artikel, og om eventuelle tvister eller retssager, den har
indledt.
Artikel 101
Bøder til udbydere af AI-modeller til almen brug
1. Kommissionen kan pålægge udbydere af AI-modeller til almen brug bøder på op til 3 % af deres årlige
samlede globale omsætning i det foregående regnskabsår eller 15 000 000 EUR, alt efter hvilket beløb der
er størst, når Kommissionen finder, at udbyderen forsætligt eller uagtsomt:
a) har overtrådt de relevante bestemmelser i denne forordning
b) har undladt at efterkomme en anmodning om et dokument eller om oplysninger i henhold til artikel 91
eller har afgivet ukorrekte, ufuldstændige eller vildledende oplysninger
c) har undladt at efterkomme en foranstaltning, der er anmodet om i henhold til artikel 93
d) har undladt at give Kommissionen adgang til AI-modellen til almen brug eller AI-modellen til almen
brug med systemisk risiko med henblik på at foretage en evaluering i henhold til artikel 92.
Ved fastsættelse af bødens eller tvangsbødens størrelse tages overtrædelsens karakter, alvor og varighed
i betragtning under behørig hensyntagen til proportionalitets- og rimelighedsprincippet. Kommissionen
tager også hensyn til forpligtelser, der er indgået i overensstemmelse med artikel 93, stk. 3, eller i de
relevante praksiskodekser i overensstemmelse med artikel 56.
2. Inden Kommissionen vedtager afgørelsen i henhold til stk. 1, meddeler den sine foreløbige resultater til
udbyderen af AI-modellen til almen brug og giver vedkommende mulighed for at blive hørt.
3. Bøder, der pålægges i overensstemmelse med denne artikel, skal være effektive, stå i et rimeligt forhold
til overtrædelsen og have afskrækkende virkning.
4. Information om de bøder, der pålægges i henhold til denne artikel, meddeles også AI-udvalget, alt efter
hvad der er relevant.
147
5. EU-Domstolen har fuld prøvelsesret med hensyn til Kommissionens afgørelser om fastsættelse af
bøder i henhold til denne artikel. Den kan annullere, nedsætte eller forhøje den pålagte bøde.
6. Kommissionen vedtager gennemførelsesretsakter med de nærmere ordninger og proceduremæssige
sikkerhedsforanstaltninger for procedurerne med henblik på eventuel vedtagelse af afgørelser i henhold
til denne artikels stk. 1. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel
98, stk. 2.
KAPITEL XIII
AFSLUTTENDE BESTEMMELSER
Artikel 102
Ændring af forordning (EF) nr. 300/2008
I artikel 4, stk. 3, i forordning (EF) nr. 300/2008, tilføjes følgende afsnit:
»Når der vedtages detaljerede foranstaltninger vedrørende tekniske specifikationer og procedurer for
godkendelse og brug af sikkerhedsudstyr vedrørende kunstig intelligens-systemer som omhandlet i Euro-
pa-Parlamentets og Rådets forordning (EU) 2024/1689 (*), skal der tages hensyn til kravene i nævnte
forordnings kapital III, afdeling 2.
------------------------
(*) Europa-Parlamentets og Rådets forordning (EU) 2024/1689 af 13. juni 2024 om harmoniserede regler
for kunstig intelligens og om ændring af forordning (EF) nr. 300/2008, (EU) nr. 167/2013, (EU) nr.
168/2013, (EU) 2018/858, (EU) 2018/1139 og (EU) 2019/2144 samt direktiv 2014/90/EU, (EU) 2016/797
og (EU) 2020/1828 (forordningen om kunstig intelligens) (EUT L, 2024/1689, 12.7.2024, ELI: http://
data.europa.eu/eli/reg/2024/1689/oj).«
Artikel 103
Ændring af forordning (EU) nr. 167/2013
I artikel 17, stk. 5, i forordning (EU) nr. 167/2013 tilføjes følgende afsnit:
»Når der i henhold til første afsnit vedtages delegerede retsakter vedrørende kunstig intelligens-syste-
mer, som er sikkerhedskomponenter som omhandlet i Europa-Parlamentets og Rådets forordning (EU)
2024/1689 (*), skal der tages hensyn til kravene i nævnte forordnings kapitel III, afdeling 2.
------------------------
(*)
Europa-Parlamentets og Rådets forordning (EU) 2024/1689 af 13. juni 2024 om harmoniserede regler
for kunstig intelligens og om ændring af forordning (EF) nr. 300/2008, (EU) nr. 167/2013, (EU) nr.
168/2013, (EU) 2018/858, (EU) 2018/1139 og (EU) 2019/2144 samt direktiv 2014/90/EU, (EU) 2016/797
og (EU) 2020/1828 (forordningen om kunstig intelligens) (EUT L, 2024/1689, 12.7.2024, ELI: http://
data.europa.eu/eli/reg/2024/1689/oj).«
148
Artikel 104
Ændring af forordning (EU) nr. 168/2013
I artikel 22, stk. 5, i forordning (EU) nr. 168/2013 tilføjes følgende afsnit:
»Når der i henhold til første afsnit vedtages delegerede retsakter vedrørende kunstig intelligens-syste-
mer, som er sikkerhedskomponenter som omhandlet i Europa-Parlamentets og Rådets forordning (EU)
2024/1689 (*), skal der tages hensyn til kravene i nævnte forordnings kapitel III, afdeling 2.
------------------------
(*)
Europa-Parlamentets og Rådets forordning (EU) 2024/1689 af 13. juni 2024 om harmoniserede regler
for kunstig intelligens og om ændring af forordning (EF) nr. 300/2008, (EU) nr. 167/2013, (EU) nr.
168/2013, (EU) 2018/858, (EU) 2018/1139 og (EU) 2019/2144 samt direktiv 2014/90/EU, (EU) 2016/797
og (EU) 2020/1828 (forordningen om kunstig intelligens) (EUT L, 2024/1689, 12.7.2024, ELI: http://
data.europa.eu/eli/reg/2024/1689/oj).«
Artikel 105
Ændring af direktiv 2014/90/EU
I artikel 8 i direktiv 2014/90/EU tilføjes følgende stykke:
»5. For så vidt angår kunstig intelligens-systemer, som er sikkerhedskomponenter som omhandlet i
Europa-Parlamentets og Rådets forordning (EU) 2024/1689 (*), tager Kommissionen, når den udfører
sine aktiviteter i henhold til stk. 1, og når den vedtager tekniske specifikationer og afprøvningsstandarder
i overensstemmelse med stk. 2 og 3, hensyn til kravene i nævnte forordnings kapitel III, afdeling 2.
------------------------
(*)
Europa-Parlamentets og Rådets forordning (EU) 2024/1689 af 13. juni 2024 om harmoniserede regler
for kunstig intelligens og om ændring af forordning (EF) nr. 300/2008, (EU) nr. 167/2013, (EU) nr.
168/2013, (EU) 2018/858, (EU) 2018/1139 og (EU) 2019/2144 samt direktiv 2014/90/EU, (EU) 2016/797
og (EU) 2020/1828 (forordningen om kunstig intelligens) (EUT L, 2024/1689, 12.7.2024, ELI: http://
data.europa.eu/eli/reg/2024/1689/oj).«
Artikel 106
Ændring af direktiv (EU) 2016/797
I artikel 5 i direktiv (EU) 2016/797 tilføjes følgende stykke:
»12. Når der i henhold til stk. 1 vedtages delegerede retsakter eller i henhold til stk. 11 vedtages
gennemførelsesretsakter vedrørende kunstig intelligens-systemer, som er sikkerhedskomponenter som
omhandlet i Europa-Parlamentets og Rådets forordning (EU) 2024/1689 (*), skal der tages hensyn til
kravene i nævnte forordnings kapitel III, afdeling 2.
------------------------
149
(*)
Europa-Parlamentets og Rådets forordning (EU) 2024/1689 af 13. juni 2024 om harmoniserede regler
for kunstig intelligens og om ændring af forordning (EF) nr. 300/2008, (EU) nr. 167/2013, (EU) nr.
168/2013, (EU) 2018/858, (EU) 2018/1139 og (EU) 2019/2144 samt direktiv 2014/90/EU, (EU) 2016/797
og (EU) 2020/1828 (forordningen om kunstig intelligens) (EUT L, 2024/1689, 12.7.2024, ELI: http://
data.europa.eu/eli/reg/2024/1689/oj).«
Artikel 107
Ændring af forordning (EU) 2018/858
I artikel 5 i forordning (EU) 2018/858 tilføjes følgende stykke:
»4. Når der i henhold til stk. 3 vedtages delegerede retsakter vedrørende kunstig intelligens-systemer, som
er sikkerhedskomponenter som omhandlet i Europa-Parlamentets og Rådets forordning (EU) 2024/1689
(*), skal der tages hensyn til kravene i nævnte forordnings kapitel III, afdeling 2.
------------------------
(*)
Europa-Parlamentets og Rådets forordning (EU) 2024/1689 af 13. juni 2024 om harmoniserede regler
for kunstig intelligens og om ændring af forordning (EF) nr. 300/2008, (EU) nr. 167/2013, (EU) nr.
168/2013, (EU) 2018/858, (EU) 2018/1139 og (EU) 2019/2144 samt direktiv 2014/90/EU, (EU) 2016/797
og (EU) 2020/1828 (forordningen om kunstig intelligens) (EUT L, 2024/1689, 12.7.2024, ELI: http://
data.europa.eu/eli/reg/2024/1689/oj).«
Artikel 108
Ændring af forordning (EU) 2018/1139
I forordning (EU) 2018/1139 foretages følgende ændringer:
1) I artikel 17 tilføjes følgende stykke:
»3. Uden at det berører stk. 2, når der i henhold til stk. 1 vedtages gennemførelsesretsakter vedrørende
kunstig intelligens-systemer, som er sikkerhedskomponenter som omhandlet i Europa-Parlamentets og
Rådets forordning (EU) 2024/1689 (*), skal der tages hensyn til kravene i nævnte forordnings kapitel III,
afdeling 2.
------------------------
(*)
Europa-Parlamentets og Rådets forordning (EU) 2024/1689 af 13. juni 2024 om harmoniserede regler
for kunstig intelligens og om ændring af forordning (EF) nr. 300/2008, (EU) nr. 167/2013, (EU) nr.
168/2013, (EU) 2018/858, (EU) 2018/1139 og (EU) 2019/2144 samt direktiv 2014/90/EU, (EU) 2016/797
og (EU) 2020/1828 (forordningen om kunstig intelligens) (EUT L, 2024/1689, 12.7.2024, ELI: http://
data.europa. eu/eli/reg/2024/1689/oj).«
2) I artikel 19 tilføjes følgende stykke:
150
»4. Når der i henhold til stk. 1 og 2 vedtages delegerede retsakter vedrørende kunstig intelligens-systemer,
som er sikkerhedskomponenter som omhandlet i forordning (EU) 2024/1689, skal der tages hensyn til
kravene i nævnte forordnings kapitel III, afdeling 2.«
3) I artikel 43 tilføjes følgende stykke:
»4. Når der i henhold til stk. 1 vedtages gennemførelsesretsakter vedrørende kunstig intelligens-systemer,
som er sikkerhedskomponenter som omhandlet i forordning (EU) 2024/1689, skal der tages hensyn til
kravene i nævnte forordnings kapitel III, afdeling 2.«
4) I artikel 47 tilføjes følgende stykke:
»3. Når der i henhold til stk. 1 og 2 vedtages delegerede retsakter vedrørende kunstig intelligens-systemer,
som er sikkerhedskomponenter som omhandlet i forordning (EU) 2024/1689, skal der tages hensyn til
kravene i nævnte forordnings kapitel III, afdeling 2.«
5) I artikel 57 tilføjes følgende afsnit:
»Når der vedtages sådanne gennemførelsesretsakter vedrørende kunstig intelligens-systemer, som er
sikkerhedskomponenter som omhandlet i forordning (EU) 2024/1689, skal der tages hensyn til kravene i
nævnte forordnings kapitel III, afdeling 2.«
6) I artikel 58 tilføjes følgende stykke:
»3. Når der i henhold til stk. 1 og 2 vedtages delegerede retsakter vedrørende kunstig intelligens-systemer,
som er sikkerhedskomponenter som omhandlet i forordning (EU) 2024/1689, skal der tages hensyn til
kravene i nævnte forordnings kapitel III, afdeling 2.«
Artikel 109
Ændring af forordning (EU) 2019/2144
I artikel 11 i forordning (EU) 2019/2144 tilføjes følgende stykke:
»3. Når der i henhold til stk. 2 vedtages gennemførelsesretsakter vedrørende kunstig intelligens-syste-
mer, som er sikkerhedskomponenter som omhandlet i Europa-Parlamentets og Rådets forordning (EU)
2024/1689 (*), skal der tages hensyn til kravene i nævnte forordning kapitel III, afdeling 2.
------------------------
(*)
Europa-Parlamentets og Rådets forordning (EU) 2024/1689 af 13. juni 2024 om harmoniserede regler
for kunstig intelligens og om ændring af forordning (EF) nr. 300/2008, (EU) nr. 167/2013, (EU) nr.
168/2013, (EU) 2018/858, (EU) 2018/1139 og (EU) 2019/2144 samt direktiv 2014/90/EU, (EU) 2016/797
og (EU) 2020/1828 (forordningen om kunstig intelligens) (EUT L, 2024/1689, 12.7.2024, ELI: http://
data.europa.eu/eli/reg/2024/1689/oj).«
Artikel 110
Ændring af direktiv (EU) 2020/1828
I bilag I til Europa-Parlamentets og Rådets direktiv (EU) 2020/1828 (58) tilføjes følgende punkt:
151
»68) Europa-Parlamentets og Rådets forordning (EU) 2024/1689 af 13. juni 2024 om harmoniserede
regler for kunstig intelligens og om ændring af forordning (EF) nr. 300/2008, (EU) nr. 167/2013, (EU)
nr. 168/2013, (EU) 2018/858, (EU) 2018/1139 og (EU) 2019/2144 samt direktiv 2014/90/EU, (EU)
2016/797 og (EU) 2020/1828 (forordningen om kunstig intelligens) (EUT L, 2024/1689, 12.7.2024, ELI:
http://data.europa.eu/eli/reg/2024/1689/oj).«
Artikel 111
AI-systemer, der allerede er bragt i omsætning eller ibrugtaget, og AI-modeller til almen brug, der
allerede er bragt i omsætning
1. Uden at det berører anvendelsen af artikel 5 som omhandlet i artikel 113, stk. 3, litra a), skal AI-syste-
mer, som er komponenter i de store IT-systemer, der er oprettet ved de retsakter, der er opført i bilag X,
og som er blevet bragt i omsætning eller ibrugtaget inden den 2. august 2027, bringes i overensstemmelse
med denne forordning senest den 31. december 2030.
De krav, der er fastsat i denne forordning, skal tages i betragtning ved den evaluering, som skal foretages
i henhold til de retsakter, der er opført i bilag X, af hvert af de store IT-systemer, der er oprettet ved disse
retsakter, og hvis disse retsakter erstattes eller ændres.
2. Uden at det berører anvendelsen af artikel 5 som omhandlet i artikel 113, stk. 3, litra a), finder
denne forordning kun anvendelse på operatører af andre højrisiko-AI-systemer end de systemer, der er
omhandlet i nærværende artikels stk. 1, og som er bragt i omsætning eller ibrugtaget inden den 2. august
2026, hvis disse systemer fra denne dato er genstand for betydelige ændringer af deres udformning. I
alle tilfælde skal udbydere og idriftsættere af højrisiko-AI-systemer, der tilsigtes anvendt af offentlige
myndigheder, tage de nødvendige skridt til at overholde kravene og forpligtelserne i denne forordning
senest den 2. august 2030.
3. Udbydere af AI-modeller til almen brug, der er bragt i omsætning før den 2. august 2025, tager de
nødvendige skridt til at overholde de forpligtelser, der er fastsat i denne forordning, senest den 2. august
2027.
Artikel 112
Evaluering og revision
1. Kommissionen vurderer behovet for at ændre listen i bilag III og listen over forbudte former for
AI-praksis i artikel 5 én gang om året efter denne forordnings ikrafttræden og indtil slutningen af
perioden med delegation af beføjelser, der er fastsat i artikel 97. Kommissionen forelægger resultaterne af
denne vurdering for Europa-Parlamentet og Rådet.
2. Senest den 2. august 2028 og hvert fjerde år derefter evaluerer Kommissionen og aflægger rapport til
Europa-Parlamentet og Rådet om følgende:
a) behovet for ændringer om udvidelse af eksisterende områdeoverskrifter eller tilføjelse af nye områdeo-
verskrifter i bilag III
b) ændringer af listen over de AI-systemer, der kræver yderligere gennemsigtighedsforanstaltninger i
henhold til artikel 50
c) ændringer om styrkelse af effektiviteten af tilsyns- og forvaltningssystemet.
152
3. Senest den 2. august 2029 og hvert fjerde år derefter forelægger Kommissionen Europa-Parlamentet og
Rådet en rapport om evaluering og revision af denne forordning. Rapporten skal indeholde en vurdering
af håndhævelsesstrukturen og det eventuelle behov for, at et EU-agentur løser eventuelle konstaterede
mangler. På grundlag af resultaterne ledsages rapporten i givet fald af et forslag til ændring af denne
forordning. Rapporterne offentliggøres.
4. I de i stk. 2 omhandlede rapporter lægges der særlig vægt på følgende:
a) status over de nationale kompetente myndigheders finansielle, tekniske og menneskelige ressourcer
med henblik på effektivt at udføre de opgaver, de pålægges i henhold til denne forordning
b) status over de sanktioner, navnlig de administrative bøder, der er omhandlet i artikel 99, stk. 1, som
medlemsstaterne har pålagt som følge af overtrædelser af denne forordning
c) vedtagne harmoniserede standarder og fælles specifikationer, der er udarbejdet til støtte for denne
forordning
d) antallet af virksomheder, der kommer ind på markedet efter anvendelsen af denne forordning, og hvor
mange af dem der er SMV᾽er.
5. Senest den 2. august 2028 evaluerer Kommissionen AI-kontorets funktion, og om det har fået tilstræk-
kelige beføjelser og kompetencer til at udføre sine opgaver, samt om det vil være relevant og nødvendigt
for en korrekt gennemførelse og håndhævelse af denne forordning at opgradere AI-Kontoret og dets
håndhævelsesbeføjelser og øge dets ressourcer. Kommissionen forelægger en rapport om sin evaluering
for Europa-Parlamentet og Rådet.
6. Senest den 2. august 2028 og hvert fjerde år derefter forelægger Kommissionen en rapport om revisio-
nen af fremskridt med udviklingen af standardiseringsdokumentation om en energieffektiv udvikling af
AI-modeller til almen brug og vurderer behovet for yderligere foranstaltninger eller tiltag, herunder bin-
dende foranstaltninger eller tiltag. Rapporten forelægges Europa-Parlamentet og Rådet og offentliggøres.
7. Senest den 2. august 2028 og hvert tredje år derefter evaluerer Kommissionen virkningen og effekti-
viteten af frivillige adfærdskodekser med henblik på at fremme anvendelsen af kravene i kapitel III,
afdeling 2, på andre AI-systemer end højrisiko-AI-systemer og eventuelt andre yderligere krav til andre
AI-systemer end højrisiko-AI-systemer, herunder vedrørende miljømæssig bæredygtighed.
8. Med henblik på stk. 1-7 indgiver AI-udvalget, medlemsstaterne og de nationale kompetente myndighe-
der oplysninger til Kommissionen på dennes anmodning og uden unødigt ophold.
9. Når Kommissionen foretager de evalueringer og revisioner, der er omhandlet i stk. 1-7, tager den
hensyn til holdninger og resultater fra AI-udvalget, fra Europa-Parlamentet, fra Rådet og fra andre
relevante organer eller kilder.
10. Kommissionen forelægger om nødvendigt relevante forslag til ændring af denne forordning, navnlig
under hensyntagen til den teknologiske udvikling, AI-systemernes indvirkning på sundhed og sikkerhed
og de grundlæggende rettigheder og i lyset af fremskridtene i informationssamfundet.
11. Som grundlag for de evalueringer og revisioner, der er omhandlet i denne artikels stk. 1-7, påtager
AI-kontoret sig at udvikle en objektiv og inddragende metode til evaluering af risikoniveauerne baseret på
de kriterier, der er anført i de relevante artikler, og medtagelse af nye systemer i:
(a) listen i bilag III, herunder udvidelse af eksisterende områdeoverskrifter eller tilføjelse af nye områdeo-
verskrifter i nævnte bilag
153
(b) listen over de forbudte former for praksis, der er omhandlet i artikel 5, og
(c) listen over de AI-systemer, der kræver yderligere gennemsigtighedsforanstaltninger i henhold til
artikel 50.
12. Alle ændringer til denne forordning i medfør af stk. 10 eller relevante delegerede retsakter eller
gennemførelsesretsakter, som vedrører den sektorspecifikke EU-harmoniseringslovgivning, der er opført
i bilag 1, afsnit B, skal tage hensyn til de enkelte sektorers reguleringsmæssige forhold og eksisterende
forvaltning, overensstemmelsesvurdering og håndhævelsesmekanismer og de deri fastsatte myndigheder.
13. Senest den 2. august 2031 foretager Kommissionen en evaluering af håndhævelsen af denne for-
ordning og aflægger rapport herom til Europa-Parlamentet, Rådet og Det Europæiske Økonomiske og
Sociale Udvalg under hensyntagen til denne forordnings første anvendelsesår. På grundlag af resultaterne
ledsages rapporten, hvor det er relevant, af et forslag om ændring af denne forordning med hensyn til
håndhævelsesstrukturen og behovet for, at et EU-agentur løser eventuelle konstaterede mangler.
Artikel 113
Ikrafttræden og anvendelse
Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions
Tidende.
Den finder anvendelse fra den 2. august 2026.
Dog finder:
a) kapitel I og II anvendelse fra den 2. februar 2025
b) kapitel III, afdeling 4, kapitel V, VII og XII og artikel 78 anvendelse fra den 2. august 2025, med
undtagelse af artikel 101
c) artikel 6, stk. 1, og de tilsvarende forpligtelser i denne forordning anvendelse fra den 2. august 2027.
Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat.
Udfærdiget i Bruxelles, den 13. juni 2024.
På Europa-Parlamentets vegne
Formand
R. METSOLA
På Rådets vegne
Formand
M. MICHEL
(1) EUT C 517 af 22.12.2021, s. 56.
(2) EUT C 115 af 11.3.2022, s. 5.
154
(3) EUT C 97 af 28.2.2022, s. 60.
(4) Europa-Parlamentets holdning af 13. marts 2024 (endnu ikke offentliggjort i EUT) og Rådets afgørelse
af 21. maj 2024.
(5) Det Europæiske Råd, Ekstraordinært møde i Det Europæiske Råd (1. og 2. oktober 2020) – Konklusio-
ner, EUCO 13/20, 2020, s. 6.
(6) Europa-Parlamentets beslutning af 20. oktober 2020 med henstillinger til Kommissionen om en ramme
for etiske aspekter af kunstig intelligens, robotteknologi og relaterede teknologier, 2020/2012(INL).
(7) Europa-Parlamentets og Rådets forordning (EF) nr. 765/2008 af 9. juli 2008 om kravene til akkredite-
ring og om ophævelse af forordning (EØF) nr. 339/93 (EUT L 218 af 13.8.2008, s. 30).
(8) Europa-Parlamentets og Rådets afgørelse nr. 768/2008/EF af 9. juli 2008 om fælles rammer for
markedsføring af produkter og om ophævelse af Rådets afgørelse 93/465/EØF (EUT L 218 af 13.8.2008,
s. 82).
(9) Europa-Parlamentets og Rådets forordning (EU) 2019/1020 af 20. juni 2019 om markedsovervågning
og produktoverensstemmelse og om ændring af direktiv 2004/42/EF og forordning (EF) nr. 765/2008 og
(EU) nr. 305/2011 (EUT L 169 af 25.6.2019, s. 1).
(10) Rådets direktiv 85/374/EØF af 25. juli 1985 om tilnærmelse af medlemsstaternes administrativt eller
ved lov fastsatte bestemmelser om produktansvar (EFT L 210 af 7.8.1985, s. 29).
(11) Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske
personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger
og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT L 119 af 4.5.2016,
s. 1).
(12) Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af
fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer,
kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF)
nr. 45/2001 og afgørelse nr. 1247/2002/EF (EUT L 295 af 21.11.2018, s. 39).
(13) Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske
personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik
på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige
sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse
2008/977/RIA (EUT L 119 af 4.5.2016, s. 89).
(14) Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplys-
ninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv om databe-
skyttelse inden for elektronisk kommunikation) (EFT L 201 af 31.7.2002, s. 37).
(15) Europa-Parlamentets og Rådets forordning (EU) 2022/2065 af 19. oktober 2022 om et indre marked
for digitale tjenester og om ændring af direktiv 2000/31/EF (forordning om digitale tjenester) (EUT L 277
af 27.10.2022, s. 1).
(16) Europa-Parlamentets og Rådets direktiv (EU) 2019/882 af 17. april 2019 om tilgængelighedskrav for
produkter og tjenester (EUT L 151 af 7.6.2019, s. 70).
155
(17) Europa-Parlamentets og Rådets direktiv 2005/29/EF af 11. maj 2005 om virksomheders urimelige
handelspraksis over for forbrugerne på det indre marked og om ændring af Rådets direktiv 84/450/EØF
og Europa-Parlamentets og Rådets direktiv 97/7/EF, 98/27/EF og 2002/65/EF og Europa-Parlamentets og
Rådets forordning (EF) nr. 2006/2004 (direktivet om urimelig handelspraksis) (EUT L 149 af 11.6.2005,
s. 22).
(18) Rådets rammeafgørelse 2002/584/RIA af 13. juni 2002 om den europæiske arrestordre og om proce-
durerne for overgivelse mellem medlemsstaterne (EFT L 190 af 18.7.2002, s. 1).
(19) Europa-Parlamentets og Rådets direktiv (EU) 2022/2557 af 14. december 2022 om kritiske enheders
modstandsdygtighed og om ophævelse af Rådets direktiv 2008/114/EF (EUT L 333 af 27.12.2022,
s. 164).
(20) EUT C 247 af 29.6.2022, s. 1.
(21) Europa-Parlamentets og Rådets forordning (EU) 2017/745 af 5. april 2017 om medicinsk udstyr, om
ændring af direktiv 2001/83/EF, forordning (EF) nr. 178/2002 og forordning (EF) nr. 1223/2009 og om
ophævelse af Rådets direktiv 90/385/EØF og 93/42/EØF (EUT L 117 af 5.5.2017, s. 1).
(22) Europa-Parlamentets og Rådets forordning (EU) 2017/746 af 5. april 2017 om medicinsk udstyr til in
vitro-diagnostik og om ophævelse af direktiv 98/79/EF og Kommissionens afgørelse 2010/227/EU (EUT
L 117 af 5.5.2017, s. 176).
(23) Europa-Parlamentets og Rådets direktiv 2006/42/EF af 17. maj 2006 om maskiner og om ændring af
direktiv 95/16/EF (EUT L 157 af 9.6.2006, s. 24).
(24) Europa-Parlamentets og Rådets forordning (EF) nr. 300/2008 af 11. marts 2008 om fælles bestemmel-
ser om sikkerhed (security) inden for civil luftfart og om ophævelse af forordning (EF) nr. 2320/2002
(EUT L 97 af 9.4.2008, s. 72).
(25) Europa-Parlamentets og Rådets forordning (EU) nr. 167/2013 af 5. februar 2013 om godkendelse og
markedsovervågning af landbrugs- og skovbrugstraktorer (EUT L 60 af 2.3.2013, s. 1).
(26) Europa-Parlamentets og Rådets forordning (EU) nr. 168/2013 af 15. januar 2013 om godkendelse og
markedsovervågning af to- og trehjulede køretøjer samt quadricykler (EUT L 60 af 2.3.2013, s. 52).
(27) Europa-Parlamentets og Rådets direktiv 2014/90/EU af 23. juli 2014 om skibsudstyr og om ophævel-
se af Rådets direktiv 96/98/EF (EUT L 257 af 28.8.2014, s. 146).
(28) Europa-Parlamentets og Rådets direktiv (EU) 2016/797 af 11. maj 2016 om interoperabilitet i
jernbanesystemet i Den Europæiske Union (EUT L 138 af 26.5.2016, s. 44).
(29) Europa-Parlamentets og Rådets forordning (EU) 2018/858 af 30. maj 2018 om godkendelse og
markedsovervågning af motorkøretøjer og påhængskøretøjer dertil samt af systemer, komponenter og
separate tekniske enheder til sådanne køretøjer, om ændring af forordning (EF) nr. 715/2007 og (EF) nr.
595/2009 og om ophævelse af direktiv 2007/46/EF (EUT L 151 af 14.6.2018, s. 1).
(30) Europa-Parlamentets og Rådets forordning (EU) 2018/1139 af 4. juli 2018 om fælles regler for
civil luftfart og oprettelse af Den Europæiske Unions Luftfartssikkerhedsagentur og om ændring af
Europa-Parlamentets og Rådets forordning (EF) nr. 2111/2005, (EF) nr. 1008/2008, (EU) nr. 996/2010,
(EU) nr. 376/2014 og direktiv 2014/30/EU og 2014/53/EU og om ophævelse af Europa-Parlamentets og
156
Rådets forordning (EF) nr. 552/2004 og (EF) nr. 216/2008 og Rådets forordning (EØF) nr. 3922/91 (EUT
L 212 af 22.8.2018, s. 1).
(31) Europa-Parlamentets og Rådets forordning (EU) 2019/2144 af 27. november 2019 om krav til
typegodkendelse af motorkøretøjer og påhængskøretøjer dertil samt systemer, komponenter og separate
tekniske enheder til sådanne køretøjer for så vidt angår deres generelle sikkerhed og beskyttelsen af
køretøjspassagerer og bløde trafikanter og om ændring af Europa-Parlamentets og Rådets forordning
(EU) 2018/858 og ophævelse af Europa-Parlamentets og Rådets forordning (EF) nr. 78/2009, forordning
(EF) nr. 79/2009 og forordning (EF) nr. 661/2009 og Kommissionens forordning (EF) nr. 631/2009, (EU)
nr. 406/2010, (EU) nr. 672/2010, (EU) nr. 1003/2010, (EU) nr. 1005/2010, (EU) nr. 1008/2010, (EU) nr.
1009/2010, (EU) nr. 19/2011, (EU) nr. 109/2011, (EU) nr. 458/2011, (EU) nr. 65/2012, (EU) nr. 130/2012,
(EU) nr. 347/2012, (EU) nr. 351/2012, (EU) nr. 1230/2012 og (EU) 2015/166 (EUT L 325 af 16.12.2019,
s. 1).
(32) Europa-Parlamentets og Rådets forordning (EF) nr. 810/2009 af 13. juli 2009 om en fællesskabsko-
deks for visa (visumkodeks) (EUT L 243 af 15.9.2009, s. 1).
(33) Europa-Parlamentets og Rådets direktiv 2013/32/EU af 26. juni 2013 om fælles procedurer for
tildeling og fratagelse af international beskyttelse (EUT L 180 af 29.6.2013, s. 60).
(34) Europa-Parlamentets og Rådets forordning (EU) 2024/900 af 13. marts 2024 om gennemsigtighed
og målretning i forbindelse med politisk reklame (EUT L, 2024/900, 20.3.2024, ELI: http://data.euro-
pa.eu/eli/reg/2024/900/oj).
(35) Europa-Parlamentets og Rådets direktiv 2014/31/EU af 26. februar 2014 om harmonisering af med-
lemsstaternes lovgivning vedrørende tilgængeliggørelse på markedet af ikke-automatiske vægte (EUT L
96 af 29.3.2014, s. 107).
(36) Europa-Parlamentets og Rådets direktiv 2014/32/EU af 26. februar 2014 om harmonisering af med-
lemsstaternes love om tilgængeliggørelse på markedet af måleinstrumenter (EUT L 96 af 29.3.2014,
s. 149).
(37) Europa-Parlamentets og Rådets forordning (EU) 2019/881 af 17. april 2019 om ENISA (Den
Europæiske Unions Agentur for Cybersikkerhed), om cybersikkerhedscertificering af informations- og
kommunikationsteknologi og om ophævelse af forordning (EU) nr. 526/2013 (forordningen om cybersik-
kerhed) (EUT L 151 af 7.6.2019, s. 15).
(38) Europa-Parlamentets og Rådets direktiv (EU) 2016/2102 af 26. oktober 2016 om tilgængeligheden af
offentlige organers websteder og mobilapplikationer (EUT L 327 af 2.12.2016, s. 1).
(39) Europa-Parlamentets og Rådets direktiv2002/14/EF af 11. marts 2002 om indførelse af en generel
ramme for information og høring af arbejdstagerne i Det Europæiske Fællesskab (EFT L 80 af 23.3.2002,
s. 29).
(40) Europa-Parlamentets og Rådets direktiv (EU) 2019/790 af 17. april 2019 om ophavsret og beslægtede
rettigheder på det digitale indre marked og om ændring af direktiv 96/9/EF og 2001/29/EF (EUT L 130 af
17.5.2019, s. 92).
(41) Europa-Parlamentets og Rådets forordning (EU) nr. 1025/2012 af 25. oktober 2012 om europæisk
standardisering, om ændring af Rådets direktiv 89/686/EØF og 93/15/EØF og Europa-Parlamentets og
Rådets direktiv 94/9/EF, 94/25/EF, 95/16/EF, 97/23/EF, 98/34/EF, 2004/22/EF, 2007/23/EF, 2009/23/EF
157
og 2009/105/EF og om ophævelse af Rådets beslutning 87/95/EØF og Europa-Parlamentets og Rådets
afgørelse nr. 1673/2006/EF (EUT L 316 af 14.11.2012, s. 12).
(42) Europa-Parlamentets og Rådets forordning (EU) 2022/868 af 30. maj 2022 om europæisk datastyring
og om ændring af forordning (EU) 2018/1724 (forordning om datastyring) (EUT L 152 af 3.6.2022, s. 1).
(43) Europa-Parlamentets og Rådets forordning (EU) 2023/2854 af 13. december 2023 om harmoniserede
regler om fair adgang til og anvendelse af data og om ændring af forordning (EU) 2017/2394 og direktiv
(EU) 2020/1828 (dataforordningen) (EUT L, 2023/2854, 22.12.2023, ELI: http://data.europa.eu/eli/reg/
2023/2854/oj).
(44) Kommissionens henstilling 2003/361/EF af 6. maj 2003 om definitionen af mikrovirksomheder, små
og mellemstore virksomheder (EUT L 124 af 20.5.2003, s. 36).
(45) Kommissionens afgørelse af 24. januar 2024 om oprettelse af Det Europæiske Kontor for Kunstig
Intelligens (C/2024/390).
(46) Europa-Parlamentets og Radets forordning (EU) nr. 575/2013 af 26. juni 2013 om tilsynsmassige krav
til kreditinstitutter og investeringsselskaber og om andring af forordning (EU) nr. 648/2012 (EUT L 176
af 27.6.2013, s. 1).
(47) Europa-Parlamentets og Radets direktiv 2008/48/EF af 23. april 2008 om forbrugerkreditaftaler og
om ophavelse af Radets direktiv 87/102/EOF (EUT L 133 af 22.5.2008, s. 66).
(48) Europa-Parlamentets og Radets direktiv 2009/138/EF af 25. november 2009 om adgang til og
udovelse af forsikrings- og genforsikringsvirksomhed (Solvens II) (EUT L 335 af 17.12.2009, s. 1).
(49) Europa-Parlamentets og Radets direktiv 2013/36/EU af 26. juni 2013 om adgang til at udove virk-
somhed som kreditinstitut og om tilsyn med kreditinstitutter, om andring af direktiv 2002/87/EF og om
ophavelse af direktiv 2006/48/EF og 2006/49/EF (EUT L 176 af 27.6.2013, s. 338).
(50) Europa-Parlamentets og Radets direktiv 2014/17/„EU af 4. februar 2014 om forbrugerkreditaftaler
i forbindelse med fast ejendom til beboelse og om andring af direktiv 2008/48/EF og 2013/36/EU og
forordning (EU) nr. 1093/2010 (EUT L 60 af 28.2.2014, s. 34).
(51) Europa-Parlamentets og Radets direktiv (EU) 2016/97 af 20. januar 2016 om forsikringsdistribution
(EUT L 26 af 2.2.2016, s. 19).
(52) Rådets forordning (EU) nr. 1024/2013 af 15. oktober 2013 om overdragelse af specifikke opgaver til
Den Europæiske Centralbank i forbindelse med politikker vedrørende tilsyn med kreditinstitutter (EUT L
287 af 29.10.2013, s. 63).
(53) Europa-Parlamentets og Rådets forordning (EU) 2023/988 af 10. maj 2023 om produktsikkerhed i
almindelighed, om ændring af Europa-Parlamentets og Rådets forordning (EU) nr. 1025/2012 og Europa-
Parlamentets og Rådets direktiv (EU) 2020/1828 og om ophævelse af Europa-Parlamentets og Rådets
direktiv 2001/95/EF og Rådets direktiv 87/357/EØF (EUT L 135 af 23.5.2023, s. 1).
(54) Europa-Parlamentets og Rådets direktiv (EU) 2019/1937 af 23. oktober 2019 om beskyttelse af
personer, der indberetter overtrædelser af EU-retten (EUT L 305 af 26.11.2019, s. 17).
(55) EUT L 123 af 12.5.2016, s. 1.
158
(56) Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 af 16. februar 2011 om de generelle
regler og principper for, hvordan medlemsstaterne skal kontrollere Kommissionens udøvelse af gennem-
førelsesbeføjelser (EUT L 55 af 28.2.2011, s. 13).
(57) Europa-Parlamentets og Rådets direktiv (EU) 2016/943 af 8. juni 2016 om beskyttelse af fortrolig
knowhow og fortrolige forretningsoplysninger (forretningshemmeligheder) mod ulovlig erhvervelse, brug
og videregivelse (EUT L 157 af 15.6.2016, s. 1).
(58) Europa-Parlamentets og Rådets direktiv (EU) 2020/1828 af 25. november 2020 om adgang til
anlæggelse af gruppesøgsmål til beskyttelse af forbrugernes kollektive interesser og om ophævelse af
direktiv 2009/22/EF (EUT L 409 af 4.12.2020, s. 1).
BILAG I
Liste over EU-harmoniseringslovgivning
Afsnit A. Liste over EU-harmoniseringslovgivning baseret på den nye lovgivningsmæssige ramme
1. Europa-Parlamentets og Rådets direktiv 2006/42/EF af 17. maj 2006 om maskiner og om ændring af
direktiv 95/16/EF (EUT L 157 af 9.6.2006, s. 24)
2. Europa-Parlamentets og Rådets direktiv 2009/48/EF af 18. juni 2009 om sikkerhedskrav til legetøj
(EUT L 170 af 30.6.2009, s. 1)
3. Europa-Parlamentets og Rådets direktiv 2013/53/EU af 20. november 2013 om fritidsfartøjer og
personlige fartøjer og om ophævelse af direktiv 94/25/EF (EUT L 354 af 28.12.2013, s. 90)
4. Europa-Parlamentets og Rådets direktiv 2014/33/EU af. 26. februar 2014 om harmonisering af med-
lemsstaternes love om elevatorer og sikkerhedskomponenter til elevatorer (EUT L 96 af 29.3.2014,
s. 251)
5. Europa-Parlamentets og Rådets direktiv 2014/34/EU af 26. februar 2014 om harmonisering af med-
lemsstaternes love om materiel og sikringssystemer til anvendelse i en potentielt eksplosiv atmosfære
(EUT L 96 af 29.3.2014, s. 309)
6. Europa-Parlamentets og Rådets direktiv 2014/53/EU af 16. april 2014 om harmonisering af medlems-
staternes love om tilgængeliggørelse af radioudstyr på markedet og om ophævelse af direktiv 1999/5/EF
(EUT L 153 af 22.5.2014, s. 62)
7. Europa-Parlamentets og Rådets direktiv 2014/68/EU af 15. maj 2014 om harmonisering af medlemssta-
ternes lovgivning om tilgængeliggørelse på markedet af trykbærende udstyr (EUT L 189 af 27.6.2014,
s. 164)
8. Europa-Parlamentets og Rådets forordning (EU) 2016/424 af 9. marts 2016 om tovbaneanlæg og om
ophævelse af direktiv 2000/9/EF (EUT L 81 af 31.3.2016, s. 1)
9. Europa-Parlamentets og Rådets forordning (EU) 2016/425 af 9. marts 2016 om personlige værnemidler
og om ophævelse af Rådets direktiv 89/686/EØF (EUT L 81 af 31.3.2016, s. 51)
10. Europa-Parlamentets og Rådets forordning (EU) 2016/426 af 9. marts 2016 om apparater, der for-
brænder gasformigt brændstof, og om ophævelse af direktiv 2009/142/EF (EUT L 81 af 31.3.2016, s. 99)
159
11. Europa-Parlamentets og Rådets forordning (EU) 2017/745 af 5. april 2017 om medicinsk udstyr, om
ændring af direktiv 2001/83/EF, forordning (EF) nr. 178/2002 og forordning (EF) nr. 1223/2009 og om
ophævelse af Rådets direktiv 90/385/EØF og 93/42/EØF (EUT L 117 af 5.5.2017, s. 1)
12. Europa-Parlamentets og Rådets forordning (EU) 2017/746 af 5. april 2017 om medicinsk udstyr til in
vitro-diagnostik og om ophævelse af direktiv 98/79/EF og Kommissionens afgørelse 2010/227/EU (EUT
L 117 af 5.5.2017, s. 176).
Afsnit B. Liste over anden EU-harmoniseringslovgivning
13. Europa-Parlamentets og Rådets forordning (EF) nr. 300/2008 af 11. marts 2008 om fælles bestemmel-
ser om sikkerhed inden for civil luftfart og om ophævelse af forordning (EF) nr. 2320/2002 (EUT L 97 af
9.4.2008, s. 72)
14. Europa-Parlamentets og Rådets forordning (EU) nr. 168/2013 af 15. januar 2013 om godkendelse og
markedsovervågning af to- og trehjulede køretøjer samt quadricykler (EUT L 60 af 2.3.2013, s. 52)
15. Europa-Parlamentets og Rådets forordning (EU) nr. 167/2013 af 5. februar 2013 om godkendelse og
markedsovervågning af landbrugs- og skovbrugstraktorer (EUT L 60 af 2.3.2013, s. 1)
16. Europa-Parlamentets og Rådets direktiv 2014/90/EU af 23. juli 2014 om skibsudstyr og om ophævel-
se af Rådets direktiv 96/98/EF (EUT L 257 af 28.8.2014, s. 146)
17. Europa-Parlamentets og Rådets direktiv (EU) 2016/797 af 11. maj 2016 om interoperabilitet i jernba-
nesystemet i Den Europæiske Union (EUT L 138 af 26.5.2016, s. 44)
18. Europa-Parlamentets og Rådets forordning (EU) 2018/858 af 30. maj 2018 om godkendelse og
markedsovervågning af motorkøretøjer og påhængskøretøjer dertil samt af systemer, komponenter og
separate tekniske enheder til sådanne køretøjer, om ændring af forordning (EF) nr. 715/2007 og (EF) nr.
595/2009 og om ophævelse af direktiv 2007/46/EF (EUT L 151 af 14.6.2018, s. 1)
19. Europa-Parlamentets og Rådets forordning (EU) 2019/2144 af 27. november 2019 om krav til
typegodkendelse af motorkøretøjer og påhængskøretøjer dertil samt systemer, komponenter og separate
tekniske enheder til sådanne køretøjer for så vidt angår deres generelle sikkerhed og beskyttelsen af
køretøjspassagerer og bløde trafikanter og om ændring af Europa-Parlamentets og Rådets forordning
(EU) 2018/858 og ophævelse af Europa-Parlamentets og Rådets forordning (EF) nr. 78/2009, forordning
(EF) nr. 79/2009 og forordning (EF) nr. 661/2009 og Kommissionens forordning (EF) nr. 631/2009, (EU)
nr. 406/2010, (EU) nr. 672/2010, (EU) nr. 1003/2010, (EU) nr. 1005/2010, (EU) nr. 1008/2010, (EU) nr.
1009/2010, (EU) nr. 19/2011, (EU) nr. 109/2011, (EU) nr. 458/2011, (EU) nr. 65/2012, (EU) nr. 130/2012,
(EU) nr. 347/2012, (EU) nr. 351/2012, (EU) nr. 1230/2012 og (EU) 2015/166 (EUT L 325 af 16.12.2019,
s. 1)
20. Europa-Parlamentets og Rådets forordning (EU) 2018/1139 af 4. juli 2018 om fælles regler for
civil luftfart og oprettelse af Den Europæiske Unions Luftfartssikkerhedsagentur og om ændring af
Europa-Parlamentets og Rådets forordning (EF) nr. 2111/2005, (EF) nr. 1008/2008, (EU) nr. 996/2010,
(EU) nr. 376/2014 og direktiv 2014/30/EU og 2014/53/EU og om ophævelse af Europa-Parlamentets og
Rådets forordning (EF) nr. 552/2004 og (EF) nr. 216/2008 og Rådets forordning (EØF) nr. 3922/91 (EUT
L 212 af 22.8.2018, s. 1) for så vidt angår konstruktion, fremstilling og omsætning af luftfartøjer, som
er omhandlet i nævnte forordnings artikel 2, stk. 1, litra a) og b), hvis det drejer sig om ubemandede
luftfartøjer og tilhørende motorer, propeller, dele og udstyr til fjernkontrol af disse luftfartøjer.
BILAG II
160
Liste over strafbare handlinger omhandlet i artikel 5, stk. 1, første afsnit, litra h), nr. iii)
Strafbare handlinger omhandlet i artikel 5, stk. 1, første afsnit, litra h), nr. iii):
— terrorisme
— menneskehandel
— seksuel udnyttelse af børn og børnepornografi
— ulovlig handel med narkotika eller psykotrope stoffer
— ulovlig handel med våben, ammunition eller sprængstoffer
— forsætligt manddrab og grov legemsbeskadigelse
— ulovlig handel med menneskeorganer eller -væv
— ulovlig handel med nukleare eller radioaktive materialer
— bortførelse, frihedsberøvelse eller gidseltagning
— forbrydelser, der er omfattet af Den Internationale Straffedomstols kompetence
— skibs- eller flykapring
— voldtægt
— miljøkriminalitet
— organiseret eller væbnet røveri
— sabotage
— deltagelse i en kriminel organisation, der er involveret i en eller flere af ovennævnte strafbare
handlinger.
BILAG III
Højrisiko-AI-systemer omhandlet i artikel 6, stk. 2
Højrisiko-AI-systemer i henhold til artikel 6, stk. 2, er de AI-systemer, der er opført under et af følgende
områder:
1. Biometri, for så vidt som dets anvendelse er tilladt i henhold til relevant EU-ret eller national ret:
a) systemer til biometrisk fjernidentifikation.
Dette omfatter ikke AI-systemer, der er tilsigtet biometrisk verifikation, og hvis eneste formål er at
bekræfte, at en bestemt fysisk person er den person, vedkommende hævder at være
b) AI-systemer, der er tilsigtet biometrisk kategorisering i henhold til følsomme eller beskyttede egenska-
ber eller karakteristika på grundlag af udledning af disse egenskaber eller karakteristika
c) AI-systemer, der er tilsigtet følelsesgenkendelse.
161
2. Kritisk infrastruktur: AI-systemer, der tilsigtes anvendt som sikkerhedskomponenter i forvaltningen og
driften af kritisk digital infrastruktur, vejtrafik eller forsyning af vand, gas, varme og elektricitet.
3. Uddannelse og erhvervsuddannelse:
a) AI-systemer, der tilsigtes anvendt til at bestemme fysiske personers adgang til eller optagelse eller
deres fordeling på uddannelsesinstitutioner på alle niveauer
b) AI-systemer, der tilsigtes anvendt til at evaluere læringsresultater, herunder når disse resultater anven-
des til at styre fysiske personers læringsproces på uddannelsesinstitutioner på alle niveauer
c) AI-systemer, der tilsigtes anvendt til at bedømme det nødvendige uddannelsesniveau, som den enkelte
vil få eller vil kunne få adgang til, i forbindelse med eller inden for uddannelsesinstitutioner på alle
niveauer
d) AI-systemer, der tilsigtes anvendt til at overvåge og opdage forbudt adfærd blandt studerende under
prøver i forbindelse med eller inden for uddannelsesinstitutioner på alle niveauer.
4. Beskæftigelse, forvaltning af arbejdstagere og adgang til selvstændig virksomhed:
a) AI-systemer, der tilsigtes anvendt til rekruttering eller udvælgelse af fysiske personer, navnlig til at
indrykke målrettede jobannoncer, analysere og filtrere jobansøgninger og evaluere kandidater
b) AI-systemer, der tilsigtes anvendt til at træffe beslutninger, der påvirker vilkårene for arbejdsrelaterede
forhold, forfremmelse eller afskedigelse i arbejdsrelaterede kontraktforhold, til at fordele opgaver på
grundlag af individuel adfærd eller personlighedstræk eller personlige egenskaber eller til at overvåge og
evaluere personers præstationer og adfærd i sådanne forhold.
5. Adgang til og benyttelse af væsentlige private tjenester og væsentlige offentlige tjenester og ydelser:
a) AI-systemer, der tilsigtes anvendt af offentlige myndigheder eller på vegne af offentlige myndigheder
til at vurdere fysiske personers berettigelse til væsentlige offentlige bistandsydelser og -tjenester, herunder
sundhedstjenester, samt til at tildele, nedsætte, tilbagekalde eller kræve tilbagebetaling af sådanne ydelser
og tjenester
b) AI-systemer, der tilsigtes anvendt til at evaluere fysiske personers kreditværdighed eller fastslå deres
kreditvurdering, med undtagelse af AI-systemer, der anvendes til at afsløre økonomisk svig
c) AI-systemer, der tilsigtes anvendt til at foretage risikovurdering og prisfastsættelse for så vidt angår
fysiske personer i forbindelse med livs- og sygeforsikring
d) AI-systemer, der er tilsigtet at evaluere og klassificere nødopkald fra fysiske personer eller til at blive
anvendt til at sende beredskabstjenester i nødsituationer eller til at tildele prioriteter i forbindelse hermed,
herunder udrykning af politi, brandslukning og lægehjælp samt patientsorteringssystemer for førstehjælp
6. Retshåndhævelse, for så vidt som deres anvendelse er tilladt i henhold til relevant EU-ret eller national
ret:
a)AI-systemer, der tilsigtes anvendt af eller på vegne af retshåndhævende myndigheder eller af EU-insti-
tutioner, -organer, -kontorer eller -agenturer til støtte for retshåndhævende myndigheder eller på deres
vegne til at vurdere risikoen for, at en fysisk person bliver offer for strafbare handlinger
162
b)AI-systemer, der tilsigtes anvendt af eller på vegne af retshåndhævende myndigheder eller af EU-insti-
tutioner, -organer, -kontorer eller -agenturer til støtte for retshåndhævende myndigheder som polygrafer
eller lignende værktøjer
c)AI-systemer, der tilsigtes anvendt af eller på vegne af retshåndhævende myndigheder eller af EU-insti-
tutioner, -organer, -kontorer eller -agenturer til støtte for retshåndhævende myndigheder til at vurdere
pålideligheden af bevismateriale i forbindelse med efterforskning eller retsforfølgning af strafbare hand-
linger
d)AI-systemer, der tilsigtes anvendt af retshåndhævende myndigheder eller på deres vegne eller af
EU-institutioner, -organer, -kontorer eller -agenturer til støtte for retshåndhævende myndigheder til at
vurdere risikoen for, at en fysisk person begår eller på ny begår lovovertrædelser, der ikke udelukkende er
baseret på profilering af fysiske personer som omhandlet i artikel 3, stk. 4, i direktiv (EU) 2016/680, eller
til at vurdere fysiske personers eller gruppers personlighedstræk og personlige egenskaber eller tidligere
kriminelle adfærd
e) AI-systemer, der tilsigtes anvendt af eller på vegne af retshåndhævende myndigheder eller af EU-insti-
tutioner, -organer, -kontorer eller -agenturer til støtte for retshåndhævende myndigheder til profilering af
fysiske personer som omhandlet i artikel 3, stk. 4, i direktiv (EU) 2016/680 i forbindelse med afsløring,
efterforskning eller retsforfølgning af strafbare handlinger.
7. Migrationsstyring, asylforvaltning og grænsekontrol, for så vidt som deres anvendelse er tilladt i
henhold til relevant EU-ret eller national ret:
a) AI-systemer, der tilsigtes anvendt af eller på vegne af kompetente offentlige myndigheder eller af
EU-institutioner, -organer, -kontorer eller -agenturer som polygrafer eller lignende værktøjer
b) AI-systemer, der tilsigtes anvendt af eller på vegne af kompetente offentlige myndigheder eller af
EU-institutioner, -organer, -kontorer eller -agenturer til at vurdere en risiko, herunder en sikkerhedsrisiko,
en risiko for irregulær migration eller en sundhedsrisiko, som udgøres af en fysisk person, der har til
hensigt at rejse ind i eller er indrejst i en medlemsstat
c) AI-systemer, der tilsigtes anvendt af eller på vegne af kompetente offentlige myndigheder eller af
EU-institutioner, -organer, -kontorer eller -agenturer til at bistå kompetente offentlige myndigheder i
behandlingen af ansøgninger om asyl, visum eller opholdstilladelser og hertil relaterede klager med
henblik på at fastslå, om de fysiske personer, der ansøger, er berettigede, herunder tilhørende vurdering af
pålideligheden af bevismateriale
d) AI-systemer, der tilsigtes anvendt af eller på vegne af kompetente offentlige myndigheder eller af
EU-institutioner, -organer, -kontorer eller -agenturer i forbindelse med migrationsstyring, asylforvaltning
eller grænsekontrol med henblik på at opdage, genkende eller identificere fysiske personer, bortset fra
kontrol af rejselegitimation.
8. Retspleje og demokratiske processer:
a) AI-systemer, der tilsigtes anvendt af judicielle myndigheder eller på deres vegne til at bistå en judiciel
myndighed med at undersøge og fortolke fakta og retten og anvende retten på konkrete sagsforhold eller
til at blive anvendt på en lignende måde i forbindelse med alternativ tvistbilæggelse
b) AI-systemer, der tilsigtes anvendt til at påvirke resultatet af et valg eller en folkeafstemning eller
fysiske personers stemmeadfærd i forbindelse med udøvelsen af deres stemme ved valg eller folkeafstem-
ninger. Dette omfatter ikke AI-systemer, hvis output fysiske personer ikke er direkte eksponeret for,
163
såsom værktøjer, der anvendes til at organisere, optimere eller strukturere politiske kampagner ud fra et
administrativt eller logistisk synspunkt.
BILAG IV
Teknisk dokumentation omhandlet i artikel 11, stk. 1
Den tekniske dokumentation, der er omhandlet i artikel 11, stk. 1, skal som minimum indeholde følgende
oplysninger, alt efter hvad der er relevant for det pågældende AI-system:
1. En generel beskrivelse af AI-systemet, herunder:
a) det tilsigtede formål, udbyderens navn samt systemets dato og version, der afspejler sammenhængen
med tidligere versioner
b) hvis det er relevant, hvordan AI-systemet interagerer med eller kan bruges til at interagere med
hardware eller software, herunder med andre AI-systemer, der ikke er en del af selve AI-systemet
c) versionerne af relevant software eller firmware og eventuelle krav vedrørende opdateringer
d) en beskrivelse af alle de former, hvori AI-systemet bringes i omsætning eller ibrugtages, såsom
softwarepakke indlejret i hardware, downloads eller API᾽er
e) en beskrivelse af den hardware, som AI-systemet tilsigtes at køre på
f) hvis AI-systemet er komponent i produkter, fotografier eller illustrationer, der viser disse produkters
eksterne karakteristika, mærkning og interne layout
g) en grundlæggende beskrivelse af den brugergrænseflade, der stilles til rådighed for idriftsætteren
h) brugsanvisning til idriftsætteren og en grundlæggende beskrivelse af den brugergrænseflade, der stilles
til rådighed for idriftsætteren, hvis det er relevant.
2. En detaljeret beskrivelse af elementerne i AI-systemet og af processen for dets udvikling, herunder:
a) de metoder og trin, der er brugt i udviklingen af AI-systemet, herunder, hvis det er relevant, anvendelse
af forhåndstrænede systemer eller værktøjer leveret af tredjeparter, og hvordan disse er blevet anvendt,
integreret eller ændret af udbyderen
b) systemets konstruktionsspecifikationer, dvs. AI-systemets og algoritmernes generelle logik, navnlig de
vigtigste valg med hensyn til udformning, herunder begrundelser og antagelser, herunder med hensyn til
personer eller grupper af personer, som systemet tilsigtes anvendt på, de overordnede klassificeringsvalg,
hvad systemet er udformet til at optimere for og relevansen af de forskellige parametre, en beskrivelse
af systemets forventede output og outputkvalitet samt beslutninger om eventuelle trade-offs i de tekniske
løsninger, der er valgt for at overholde kravene i kapitel III, afdeling 2
c) en beskrivelse af systemarkitekturen, der forklarer, hvordan softwarekomponenterne bygger på eller
føder ind i hinanden og integreres i den samlede anvendelse; de beregningskraftsressourcer, der anvendes
til at udvikle, træne, afprøve og validere AI-systemet
d) hvis det er relevant, datakravene i form af datablade, der beskriver de anvendte træningsmetoder og
-teknikker og de anvendte træningsdatasæt, herunder en generel beskrivelse af disse datasæt, oplysninger
om deres oprindelse, omfang og vigtigste karakteristika, hvordan dataene er indhentet og udvalgt, mærk-
ningsprocedurer (f.eks. for læring med tilsyn) og datarensningsmetoder (f.eks. påvisning af outliere)
164
e) vurdering af de foranstaltninger til menneskeligt tilsyn, der er nødvendige i overensstemmelse med
artikel 14, herunder en vurdering af de tekniske foranstaltninger, der er nødvendige for at lette idriftsæt-
ternes fortolkning af AI-systemets output, i overensstemmelse med artikel 13, stk. 3, litra d)
f) hvis det er relevant, en detaljeret beskrivelse af på forhånd fastlagte ændringer af AI-systemet og dets
ydeevne sammen med alle relevante oplysninger vedrørende de tekniske løsninger, der er valgt for at
sikre, at AI-systemet til stadighed overholder de relevante krav i kapitel III, afdeling 2
g) de anvendte validerings- og afprøvningsprocedurer, herunder oplysninger om de anvendte validerings-
og afprøvningsdata og deres vigtigste karakteristika, parametre til måling af nøjagtighed, robusthed
og overholdelse af andre relevante krav i kapitel III, afdeling 2, samt potentielt forskelsbehandlende
virkninger samt afprøvningslogfiler og alle afprøvningsrapporter, der er dateret og underskrevet af de
ansvarlige personer, herunder med hensyn til forudbestemte ændringer som omhandlet i litra f)
h) indførte cybersikkerhedsforanstaltninger.
3. Detaljerede oplysninger om overvågningen af AI-systemet, dets funktion og kontrollen hermed, navn-
lig med hensyn til dets kapacitet og begrænsninger i ydeevne, herunder nøjagtighedsgraden for specifik-
ke personer eller grupper af personer, som systemet tilsigtes anvendt på, og det samlede forventede
nøjagtighedsniveau i forhold til det tilsigtede formål, de forventede utilsigtede resultater og kilder til
risici for sundhed og sikkerhed, grundlæggende rettigheder og forskelsbehandling i lyset af AI-systemets
tilsigtede formål, foranstaltningerne til menneskeligt tilsyn i overensstemmelse med artikel 14, herunder
de tekniske foranstaltninger, der er indført for at lette idriftsætternes fortolkning af AI-systemets output,
samt specifikationer for inputdata, alt efter hvad der er relevant.
4. En beskrivelse af ydeevneparametrenes egnethed til det specifikke AI-system.
5. En detaljeret beskrivelse af risikostyringssystemet i overensstemmelse med artikel 9.
6. En beskrivelse af relevante ændringer, som udbyderen foretager af systemet i løbet af dets livscyklus.
7. En liste over de helt eller delvis anvendte harmoniserede standarder, hvis referencer er offentliggjort
i Den Europæiske Unions Tidende, samt, hvis disse harmoniserede standarder ikke er blevet anvendt,
en detaljeret beskrivelse af de løsninger, der er anvendt for at opfylde kravene i kapitel III, afdeling 2,
herunder en liste over andre relevante tekniske specifikationer, som er anvendt.
8. En kopi af den i artikel 47 omhandlede EU-overensstemmelseserklæring.
9. En detaljeret beskrivelse af det system, der er indført til evaluering af AI-systemets ydeevne, efter at
systemet er bragt i omsætning, i overensstemmelse med artikel 72, herunder planen for overvågning efter
omsætningen, der er omhandlet i artikel 72, stk. 3.
BILAG V
EU-overensstemmelseserklæring
EU-overensstemmelseserklæringen, der er omhandlet i artikel 47, skal indeholde følgende oplysninger:
1. AI-systemets navn, type og enhver yderligere entydig reference, der gør det muligt at identificere og
spore AI-systemet
2.udbyderens navn og adresse eller, hvis det er relevant, den bemyndigede repræsentants navn og adresse
165
3.en erklæring om, at den i artikel 47 omhandlede EU-overensstemmelseserklæring udstedes på udbyde-
rens ansvar
4.en erklæring om, at AI-systemet er i overensstemmelse med denne forordning og eventuelt med
al anden relevant EU-ret, der fastsætter bestemmelser om udstedelse af den i artikel 47 omhandlede
EU-overensstemmelseserklæring
5.hvis et AI-system indbefatter behandling af personoplysninger, en erklæring om, at AI-systemet over-
holder forordning (EU) 2016/679 og (EU) 2018/1725 samt direktiv (EU) 2016/680
6.referencer til de relevante anvendte harmoniserede standarder eller referencer til anden fælles specifika-
tion, som der erklæres overensstemmelse med
7.hvis det er relevant, navnet og identifikationsnummeret på det bemyndigede organ, en beskrivelse af
den gennemførte overensstemmelsesvurderingsprocedure og identifikation af den udstedte attest
8.udstedelsessted og -dato for erklæringen, navn og stilling på den person, der har underskrevet den, samt
en angivelse af, for hvem eller på hvis vegne vedkommende har underskrevet, og underskrift.
BILAG VI
Procedurer for overensstemmelsesvurdering baseret på intern kontrol
1. Proceduren for overensstemmelsesvurdering baseret på intern kontrol er overensstemmelsesvurderings-
proceduren baseret på punkt 2, 3 og 4.
2. Udbyderen verificerer, at det etablerede kvalitetsstyringssystem overholder kravene i artikel 17.
3. Udbyderen undersøger oplysningerne i den tekniske dokumentation med henblik på at vurdere, hvor-
vidt AI-systemet overholder de relevante væsentlige krav i kapitel III, afdeling 2.
4. Udbyderen verificerer også, at udformnings- og udviklingsprocessen for AI-systemet og dets overvåg-
ning efter omsætningen som omhandlet i artikel 72 er i overensstemmelse med den tekniske dokumenta-
tion.
BILAG VII
Overensstemmelse baseret på en vurdering af kvalitetsstyringssystemet og en vurdering af den
tekniske dokumentation
1. Indledning
Overensstemmelse baseret på en vurdering af kvalitetsstyringssystemet og en vurdering af den tekniske
dokumentation er overensstemmelsesvurderingsproceduren baseret på punkt 2-5.
2. Oversigt
Det godkendte kvalitetsstyringssystem for udformning, udvikling og afprøvning af AI-systemer i henhold
til artikel 17 undersøges i overensstemmelse med punkt 3 og er underlagt den i punkt 5 omhandlede
overvågning. AI-systemets tekniske dokumentation undersøges i overensstemmelse med punkt 4.
3. Kvalitetsstyringssystem
3.1. Udbyderens ansøgning skal omfatte:
166
a) udbyderens navn og adresse samt navn og adresse på udbyderens bemyndigede repræsentant, hvis
ansøgningen indgives af denne
b) listen over AI-systemer, der er omfattet af det samme kvalitetsstyringssystem
c) den tekniske dokumentation for hvert AI-system, der er omfattet af det samme kvalitetsstyringssystem
d) dokumentationen vedrørende kvalitetsstyringssystemet, som skal omfatte alle de aspekter, der er anført
i artikel 17
e) en beskrivelse af de procedurer, der er indført for at sikre, at kvalitetsstyringssystemet fortsat er
fyldestgørende og effektivt
f) en skriftlig erklæring om, at samme ansøgning ikke er blevet indgivet til et andet bemyndiget organ.
3.2. Det bemyndigede organ vurderer kvalitetsstyringssystemet for at afgøre, om det opfylder kravene
omhandlet i artikel 17.
Afgørelsen meddeles udbyderen eller dennes bemyndigede repræsentant.
Meddelelsen skal indeholde konklusionerne af vurderingen af kvalitetsstyringssystemet og en begrundel-
se for afgørelsen.
3.3. Det godkendte kvalitetsstyringssystem skal fortsat gennemføres og vedligeholdes af udbyderen,
således at det forbliver hensigtsmæssigt og effektivt.
3.4. Enhver tilsigtet ændring af det godkendte kvalitetsstyringssystem eller listen over AI-systemer, der er
omfattet af dette, skal af udbyderen meddeles det bemyndigede organ.
Det bemyndigede organ vurderer de foreslåede ændringer og afgør, om det ændrede kvalitetsstyringssy-
stem stadig opfylder de i punkt 3.2 omhandlede krav, eller om en fornyet vurdering er nødvendig.
Det bemyndigede organ meddeler udbyderen sin afgørelse. Meddelelsen skal indeholde konklusionerne af
undersøgelsen af de foreslåede ændringer og en begrundelse for afgørelsen.
4. Kontrol af den tekniske dokumentation
4.1. Ud over den i punkt 3 omhandlede ansøgning, skal udbyderen til det bemyndigede organ indsende
en ansøgning om vurdering af den tekniske dokumentation vedrørende det AI-system, som denne agter at
bringe i omsætning eller ibrugtage, og som er omfattet af det kvalitetsstyringssystem, der er omhandlet i
punkt 3.
4.2. Ansøgningen skal indeholde:
a) udbyderens navn og adresse
b) en skriftlig erklæring om, at samme ansøgning ikke er blevet indgivet til et andet bemyndiget organ
c) den i bilag IV omhandlede tekniske dokumentation.
4.3. Den tekniske dokumentation vurderes af det bemyndigede organ. Hvis det er relevant og begrænset
til, hvad der er nødvendigt for, at det bemyndigede organ kan udføre sine opgaver, gives det fuld adgang
til de anvendte trænings-, validerings- og afprøvningsdatasæt, herunder, hvis det er relevant, og med
forbehold af sikkerhedsforanstaltninger, via API᾽er eller andre relevante tekniske midler og værktøjer, der
muliggør fjernadgang.
167
4.4. I forbindelse med vurderingen af den tekniske dokumentation kan det bemyndigede organ kræve, at
udbyderen fremlægger yderligere dokumentation eller udfører yderligere afprøvninger for at muliggøre
en korrekt vurdering af AI-systemets overensstemmelse med kravene i kapitel III, afdeling 2. Hvis
det bemyndigede organ ikke er tilfreds med de afprøvninger, som udbyderen har foretaget, skal det
bemyndigede organ selv foretage de nødvendige afprøvninger direkte, alt efter hvad der er relevant.
4.5. Hvis det er nødvendigt for at vurdere, om højrisiko-AI-systemet er i overensstemmelse med kravene
i kapitel III, afdeling 2, skal det bemyndigede organ, efter at alle andre rimelige metoder til at verificere
overensstemmelsen er udtømt eller har vist sig utilstrækkelige, og efter begrundet anmodning gives
adgang til AI-systemets træningsmodeller og trænede modeller, herunder dets relevante parametre. En
sådan adgang er omfattet af gældende EU-ret om beskyttelse af intellektuel ejendom og forretningshem-
meligheder.
4.6. Det bemyndigede organs afgørelse meddeles udbyderen eller dennes bemyndigede repræsen-
tant. Meddelelsen skal indeholde konklusionerne af vurderingen af den tekniske dokumentation og en
begrundelse for afgørelsen.
Hvis AI-systemet er i overensstemmelse med kravene i kapitel III, afdeling 2, udsteder det bemyndigede
organ en EU-vurderingsattest for teknisk dokumentation. Attesten skal indeholde udbyderens navn og
adresse, undersøgelseskonklusionerne, eventuelle betingelser for dets gyldighed og de nødvendige data til
identifikation af AI-systemet.
Attesten og bilagene hertil skal indeholde alle relevante oplysninger, der gør det muligt at vurdere
AI-systemets overensstemmelse med kravene, herunder, hvis det er relevant, kontrol under brug.
Hvis AI-systemet ikke er i overensstemmelse med kravene i kapitel III, afdeling 2, afviser det bemyndige-
de organ at udstede en EU-vurderingsattest for teknisk dokumentation og oplyser ansøgeren herom og
giver en detaljeret begrundelse for afslaget.
Hvis AI-systemet ikke opfylder kravet vedrørende de data, der anvendes til at træne det, skal AI-sy-
stemet gentrænes, inden der ansøges om en ny overensstemmelsesvurdering. I dette tilfælde skal det
bemyndigede organs begrundede afgørelse om afslag på udstedelse af en EU-vurderingsattest for teknisk
dokumentation indeholde specifikke betragtninger om kvaliteten af de data, der er anvendt til at træne
AI-systemet, navnlig om årsagerne til manglende overholdelse.
4.7. Enhver ændring af AI-systemet, der kan påvirke AI-systemets overholdelse af kravene eller syste-
mets tilsigtede formål, skal vurderes af det bemyndigede organ, der har udstedt EU-vurderingsattesten for
teknisk dokumentation. Udbyderen skal underrette det bemyndigede organ om sin hensigt om at indføre
nogen af ovennævnte ændringer, eller hvis denne på anden måde bliver opmærksom på forekomsten af
sådanne ændringer. Det bemyndigede organ vurderer de tilsigtede ændringer og afgør, om disse ændringer
kræver en ny overensstemmelsesvurdering i overensstemmelse med artikel 43, stk. 4, eller om de kan
behandles ved hjælp af et tillæg til EU-vurderingsattesten for teknisk dokumentation. I sidstnævnte tilfæl-
de vurderer det bemyndigede organ ændringerne, meddeler udbyderen sin afgørelse og udsteder, såfremt
ændringerne godkendes, et tillæg til EU-vurderingsattesten for teknisk dokumentation til udbyderen.
5. Overvågning af det godkendte kvalitetsstyringssystem
5.1. Formålet med den overvågning, der udføres af det bemyndigede organ, der er omhandlet i punkt 3,
er at sikre, at udbyderen behørigt overholder vilkårene og betingelserne i det godkendte kvalitetsstyrings-
system.
168
5.2. Med henblik på vurdering skal udbyderen give det bemyndigede organ adgang til de lokaler, hvor
udformningen, udviklingen eller afprøvningen af AI-systemerne finder sted. Udbyderen skal yderligere
give det bemyndigede organ alle nødvendige oplysninger.
5.3. Det bemyndigede organ aflægger jævnligt kontrolbesøg for at sikre, at udbyderen vedligeholder og
anvender kvalitetsstyringssystemet, og det udsteder en revisionsrapport til udbyderen. I forbindelse med
disse kontrolbesøg kan det bemyndigede organ foretage yderligere afprøvninger af de AI-systemer, for
hvilke der er udstedt en EU-vurderingsattest for teknisk dokumentation.
BILAG VIII
Oplysninger, der skal indsendes ved registrering af højrisiko-AI-systemer i overensstemmelse med
artikel 49
Afsnit A — Oplysninger, der skal indsendes af udbydere af højrisiko-AI-systemer i overensstemmelse
med artikel 49, stk. 1
Følgende oplysninger skal forelægges og derefter holdes ajourført med hensyn til højrisiko-AI-systemer,
der skal registreres i overensstemmelse med artikel 49, stk. 1:
1. udbyderens navn, adresse og kontaktoplysninger
2. hvis oplysninger forelægges af en anden person på vegne af udbyderen, denne persons navn, adresse og
kontaktoplysninger
3. den bemyndigede repræsentants navn, adresse og kontaktoplysninger, hvis det er relevant
4. AI-systemets handelsnavn og enhver yderligere entydig reference, der gør det muligt at identificere og
spore AI-systemet
5. en beskrivelse af det tilsigtede formål med AI-systemet og af de komponenter og funktioner, der
understøttes af dette AI-system
6. en grundlæggende og kortfattet beskrivelse af de oplysninger, der anvendes af systemet (data, input),
og dets driftslogik
7. AI-systemets status (i omsætning eller i drift, ikke længere i omsætning/i drift, tilbagekaldt)
8. type, nummer og udløbsdato for den attest, der er udstedt af det bemyndigede organ, samt navn eller
identifikationsnummer på det pågældende bemyndigede organ, hvis det er relevant
9. en scannet kopi af den i punkt 8 omhandlede attest, hvis det er relevant
10. enhver medlemsstat, hvor AI-systemet har været bragt i omsætning, ibrugtaget eller gjort tilgængeligt
i Unionen
11. en kopi af den i artikel 47 omhandlede EU-overensstemmelseserklæring
12. brugsanvisning i elektronisk form, dog gives disse oplysninger ikke for højrisiko-AI-systemer inden
for retshåndhævelse og migrationsstyring, asylforvaltning og grænsekontrol, der er omhandlet i bilag III,
punkt 1, 6 og 7
13. en URL for yderligere oplysninger (valgfrit).
169
Afsnit B — Oplysninger, der skal indsendes af udbydere af højrisiko-AI-systemer i overensstemmelse
med artikel 49, stk. 2
Følgende oplysninger skal forelægges og derefter holdes ajourført med hensyn til højrisiko-AI-systemer,
der registreres i overensstemmelse med artikel 49, stk. 2:
1. udbyderens navn, adresse og kontaktoplysninger
2. hvis oplysninger forelægges af en anden person på vegne af udbyderen, denne persons navn, adresse og
kontaktoplysninger
3. den bemyndigede repræsentants navn, adresse og kontaktoplysninger, hvis det er relevant
4. AI-systemets handelsnavn og enhver yderligere entydig reference, der gør det muligt at identificere og
spore AI-systemet
5. en beskrivelse af det tilsigtede formål med AI-systemet
6. den eller de betingelser i medfør af artikel 6, stk. 3, på grundlag af hvilke(n) AI-systemet ikke betragtes
som højrisiko
7. en kort sammenfatning af grundene at, AI-systemet ikke betragtes som højrisiko i forbindelse med
anvendelse af proceduren i artikel 6, stk. 3
8. AI-systemets status (i omsætning eller i drift, ikke længere i omsætning/i drift, tilbagekaldt)
9. enhver medlemsstat, hvor AI-systemet har været bragt i omsætning, ibrugtaget eller gjort tilgængeligt i
Unionen.
Afsnit C — Oplysninger, der skal indsendes af idriftsættere af højrisiko-AI-systemer i overensstemmelse
med artikel 49, stk. 3
Følgende oplysninger skal forelægges og derefter holdes ajourført med hensyn til højrisiko-AI-systemer,
der registreres i overensstemmelse med artikel 49, stk. 3:
1. idriftsætterens navn, adresse og kontaktoplysninger
2. navn, adresse og kontaktoplysninger på enhver person, der indsender oplysninger på vegne af idriftsæt-
teren
3. URL᾽en for indlæsningen af AI-systemet i EU-databasen for udbyderen af AI-systemet
4. et sammendrag af resultaterne af den konsekvensanalyse vedrørende grundlæggende rettigheder, der er
foretaget i overensstemmelse med artikel 27
5. et sammendrag af konsekvensanalysen vedrørende databeskyttelse foretaget i overensstemmelse med
artikel 35 i forordning (EU) 2016/679 eller artikel 27 i direktiv (EU) 2016/680 som specificeret i
nærværende forordnings artikel 26, stk. 8, hvis det er relevant.
BILAG IX
Oplysninger, der skal indsendes ved registrering af højrisiko-AI-systemer anført i bilag III i forbin-
delse med afprøvning under faktiske forhold i overensstemmelse med artikel 60
170
Følgende oplysninger skal forelægges og derefter holdes ajourført med hensyn til afprøvning under
faktiske forhold, der registreres i overensstemmelse med artikel 60:
1. et EU-dækkende unikt individuelt identifikationsnummer for afprøvningen under faktiske forhold
2. navn og kontaktoplysninger på udbyderen eller den potentielle udbyder og på de idriftsættere, der er
involveret i afprøvningen under faktiske forhold
3. en kort beskrivelse af AI-systemet, dets tilsigtede formål og andre oplysninger, der er nødvendige for at
identificere systemet
4. et sammendrag af de vigtigste karakteristika ved planen for afprøvning under faktiske forhold
5. oplysninger om suspendering eller afslutning af afprøvningen under faktiske forhold.
BILAG X
Lovgivningsmæssige EU-retsakter om store IT-systemer inden for området med frihed, sikkerhed
og retfærdighed
1. Schengeninformationssystemet
a) Europa-Parlamentets og Rådets forordning (EU) 2018/1860 af 28. november 2018 om brug af Schen-
geninformationssystemet i forbindelse med tilbagesendelse af tredjelandsstatsborgere med ulovligt ophold
(EUT L 312 af 7.12.2018, s. 1)
b) Europa-Parlamentets og Rådets forordning (EU) 2018/1861 af 28. november 2018 om oprettelse,
drift og brug af Schengeninformationssystemet (SIS) på området ind- og udrejsekontrol, om ændring af
konventionen om gennemførelse af Schengenaftalen og om ændring og ophævelse af forordning (EF) nr.
1987/2006 (EUT L 312 af 7.12.2018, s. 14)
c) Europa-Parlamentets og Rådets forordning (EU) 2018/1862 af 28. november 2018 om oprettelse, drift
og brug af Schengeninformationssystemet (SIS) på området politisamarbejde og strafferetligt samarbejde,
om ændring og ophævelse af Rådets afgørelse 2007/533/RIA og om ophævelse af Europa-Parlamentets
og Rådets forordning (EF) nr. 1986/2006 og Kommissionens afgørelse 2010/261/EU (EUT L 312 af
7.12.2018, s. 56).
2. Visuminformationssystemet
a) Europa-Parlamentets og Rådets forordning (EU) 2021/1133 af 7. juli 2021 om ændring af forordning
(EU) nr. 603/2013, (EU) 2016/794, (EU) 2018/1862, (EU) 2019/816 og (EU) 2019/818 for så vidt angår
fastsættelse af betingelserne for adgang til andre EU-informationssystemer med henblik på visuminforma-
tionssystemet (EUT L 248 af 13.7.2021, s. 1)
b) Europa-Parlamentets og Rådets forordning (EU) 2021/1134 af 7. juli 2021 om ændring af Europa-Par-
lamentets og Rådets forordning (EF) nr. 767/2008, (EF) nr. 810/2009, (EU) 2016/399, (EU) 2017/2226,
(EU) 2018/1240, (EU) 2018/1860, (EU) 2018/1861, (EU) 2019/817 og (EU) 2019/1896 og om ophævelse
af Rådets beslutning 2004/512/EF og Rådets afgørelse 2008/633/RIA, med henblik på reform af visumin-
formationssystemet (EUT L 248 af 13.7.2021, s. 11).
3. Eurodac
171
Europa-Parlamentets og Rådets forordning (EU) 2024/1358 af 14. maj 2024 om oprettelse af »Eurodac«
til sammenligning af biometriske oplysninger med henblik på effektiv anvendelse af Europa-Parlamentets
og Rådets forordning (EU) 2024/1315 og (EU) 2024/1350 og Rådets direktiv 2001/55/EF og på identifi-
cering af tredjelandsstatsborgere og statsløse med ulovligt ophold og om medlemsstaternes retshåndhæ-
vende myndigheders og Europols adgang til at indgive anmodning om sammenligning med Eurodaco-
plysninger med henblik på retshåndhævelse, om ændring af Europa-Parlamentets og Rådets forordning
(EU) 2018/1240 og (EU) 2019/818 og om ophævelse af Europa-Parlamentets og Rådets forordning (EU)
nr. 603/2013 (EUT L, 2024/1358, 22.5.2024, ELI: http://data.europa.eu/eli/reg/2024/1358/oj).
4. Ind- og udrejsesystemet
Europa-Parlamentets og Rådets forordning (EU) 2017/2226 af 30. november 2017 om oprettelse af
et ind- og udrejsesystem til registrering af ind- og udrejseoplysninger og oplysninger om nægtelse af
indrejse vedrørende tredjelandsstatsborgere, der passerer medlemsstaternes ydre grænser, om fastlæggelse
af betingelserne for adgang til ind- og udrejsesystemet til retshåndhævelsesformål og om ændring af kon-
ventionen om gennemførelse af Schengenaftalen og forordning (EF) nr. 767/2008 og (EU) nr. 1077/2011
(EUT L 327 af 9.12.2017, s. 20).
5. Det europæiske system vedrørende rejseinformation og rejsetilladelse
a) Europa-Parlamentets og Rådets forordning (EU) 2018/1240 af 12. september 2018 om oprettelse af et
europæisk system vedrørende rejseinformation og rejsetilladelse (ETIAS) og om ændring af forordning
(EU) nr. 1077/2011, (EU) nr. 515/2014, (EU) 2016/399, (EU) 2016/1624 og (EU) 2017/2226 (EUT L 236
af 19.9.2018, s. 1)
b) Europa-Parlamentets og Rådets forordning (EU) 2018/1241 af 12. september 2018 om ændring af
forordning (EU) 2016/794 med henblik på oprettelse af et europæisk system vedrørende rejseinformation
og rejsetilladelse (ETIAS) (EUT L 236 af 19.9.2018, s. 72).
6. Det europæiske informationssystem vedrørende strafferegistre for statsborgere i tredjelande og statsløse
Europa-Parlamentets og Rådets forordning (EU) 2019/816 af 17. april 2019 om oprettelse af et centralt
system til bestemmelse af, hvilke medlemsstater der ligger inde med oplysninger om straffedomme
afsagt over tredjelandsstatsborgere og statsløse personer (ECRIS-TCN) for at supplere det europæiske
informationssystem vedrørende strafferegistre, og om ændring af forordning (EU) 2018/1726 (EUT L 135
af 22.5.2019, s. 1).
7. Interoperabilitet
a) Europa-Parlamentets og Rådets forordning (EU) 2019/817 af 20. maj 2019 om fastsættelse af en ram-
me for interoperabilitet mellem EU-informationssystemer vedrørende grænser og visum og om ændring
af Europa- Parlamentets og Rådets forordning (EF) nr. 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU)
2018/1240, (EU) 2018/1726 og (EU) 2018/1861, Rådets beslutning 2004/512/EF og Rådets afgørelse
2008/633/RIA (EUT L 135 af 22.5.2019, s. 27)
b) Europa-Parlamentets og Rådets forordning (EU) 2019/818 af 20. maj 2019 om fastsættelse af en
ramme for interoperabilitet mellem EU-informationssystemer vedrørende politisamarbejde og retligt sam-
arbejde, asyl og migration og om ændring af forordning (EU) 2018/1726, (EU) 2018/1862 og (EU)
2019/816 (EUT L 135 af 22.5.2019, s. 85).
BILAG XI
172
Teknisk dokumentation omhandlet i artikel 53, stk. 1, litra a) — teknisk dokumentation for udby-
dere af AI-modeller til almen brug
Afsnit 1
Oplysninger, der skal forelægges af alle udbydere af AI-modeller til almen brug
Den tekniske dokumentation omhandlet i artikel 53, stk. 1, litra a), skal som minimum indeholde følgende
oplysninger, alt efter hvad der er relevant for modellens størrelse og risikoprofil:
1. En generel beskrivelse af AI-modellen til almen brug, herunder:
a) de opgaver, som modellen tilsigtes at udføre, og typen og arten af AI-systemer, som den kan integreres
i
b) gældende acceptable anvendelsespolitikker
c) frigivelsesdato og distributionsmetoder
d) parametrenes arkitektur og antal
e) modalitet (f.eks. tekst, billede) og format af input og output
f) licensen.
2. En detaljeret beskrivelse af elementerne i den model, der er omhandlet i punkt 1, og relevante
oplysninger om udviklingsprocessen, herunder følgende elementer:
a) de tekniske midler (f.eks. brugsanvisning, infrastruktur, værktøjer), der er nødvendige for, at AI-model-
len til almen brug kan integreres i AI-systemer
b) modellens konstruktionsspecifikationer og træningsprocessen, herunder træningsmetoder og -teknik-
ker, de vigtigste valg med hensyn til udformning, herunder begrundelser og antagelser, hvad modellen er
udformet til at optimere for og relevansen af de forskellige parametre, alt efter hvad der er relevant
c) oplysninger om de data, der anvendes til træning, afprøvning og validering, hvis det er relevant,
herunder dataenes type og oprindelse og kurateringsmetoder (f.eks. rensning, filtrering osv.), antallet af
datapunkter, deres omfang og vigtigste karakteristika, hvordan dataene er indhentet og udvalgt, samt alle
andre foranstaltninger til at opdage uegnede datakilder og metoder til at opdage identificerbare bias, hvor
det er relevant
d) de beregningskraftsressourcer, der anvendes til at træne modellen (f.eks. antal flydende kommatalsbe-
regninger), træningstid og andre relevante detaljer vedrørende træningen
e) modellens kendte eller anslåede energiforbrug.
For så vidt angår litra e) kan energiforbruget, hvis modellens energiforbrug er ukendt, baseres på oplys-
ninger om anvendte beregningskraftsressourcer.
Afsnit 2
Yderligere oplysninger, der skal forelægges af udbydere af AI-modeller til almen brug med systemisk
risiko
173
1. En detaljeret beskrivelse af evalueringsstrategierne, herunder evalueringsresultater, på grundlag af
tilgængelige offentlige evalueringsprotokoller og -værktøjer eller på anden måde af andre evalueringsme-
toder. Evalueringsstrategierne skal omfatte evalueringskriterier, parametre og metoder til identifikation af
begrænsninger.
2. Hvis det er relevant, en detaljeret beskrivelse af de foranstaltninger, der er truffet med henblik på
at gennemføre intern og/eller ekstern kontradiktorisk afprøvning (f.eks. red teaming), modeltilpasninger,
herunder tilpasning og finjustering.
3. Hvis det er relevant, en detaljeret beskrivelse af systemarkitekturen, der forklarer, hvordan software-
komponenterne bygger på eller føder ind i hinanden og integreres i den samlede anvendelse.
BILAG XII
Gennemsigtighedsoplysninger omhandlet i artikel 53, stk. 1, litra b) — teknisk dokumentation for
udbydere af AI-modeller til almen brug til downstreamudbydere, der integrerer modellen i deres
AI-system
Oplysningerne omhandlet i artikel 53, stk. 1, litra b), skal som minimum omfatte følgende:
1. En generel beskrivelse af AI-modellen til almen brug, herunder:
a) de opgaver, som modellen tilsigtes at udføre, og typen og arten af AI-systemer, som den kan integreres
i
b) gældende acceptable anvendelsespolitikker
c) frigivelsesdato og distributionsmetoder
d) hvis det er relevant, hvordan modellen interagerer eller kan bruges til at interagere med hardware eller
software, der ikke er en del af selve modellen
e) versioner af relevant software vedrørende anvendelsen af AI-modellen til almen brug, hvis det er
relevant
f) parametrenes arkitektur og antal
g) modalitet (f.eks. tekst, billede) og format af input og output
h) licensen til modellen.
2. En beskrivelse af elementerne i modellen og af processen for dens udvikling, herunder:
a) de tekniske midler (f.eks. brugsanvisning, infrastruktur, værktøjer), der er nødvendige for, at AI-model-
len til almen brug kan integreres i AI-systemer
b) modalitet (f.eks. tekst, billede osv.) og format af input og output og deres maksimale størrelse (f.eks.
kontekstvinduesstørrelse osv.)
c) oplysninger om de data, der anvendes til træning, afprøvning og validering, hvis det er relevant,
herunder dataenes type og oprindelse og kurateringsmetoder.
BILAG XIII
174
Kriterier for udpegelse af AI-modeller til almen brug med systemisk risiko, jf. artikel 51
Med henblik på at fastslå, at en AI-model til almen brug har kapaciteter eller virkninger, der svarer til
dem, der er fastsat i artikel 51, stk. 1, litra a), tager Kommissionen hensyn til følgende kriterier:
a) antal parametre i modellen
b) datasættets kvalitet eller størrelse, f.eks. målt ved hjælp af tokens
c) den mængde beregningskraft, der anvendes til træning af modellen, målt i flydende kommatalsbereg-
ninger eller angivet ved en kombination af andre variabler såsom anslåede træningsomkostninger, anslået
tid til træningen eller anslået energiforbrug til træningen
d) modellens input- og outputmetoder, f.eks. tekst til tekst (store sprogmodeller), tekst til billede, multi-
modalitet og de nyeste tærskler til bestemmelse af kapaciteter med stor virkning for hver modalitet, samt
den specifikke type input og output (f.eks. biologiske sekvenser)
e) benchmarks og evalueringer af modellens kapaciteter, herunder hensyntagen til antal opgaver uden
yderligere træning, tilpasningsevne til at lære nye, særskilte opgaver, dens grad af autonomi og skalerbar-
hed og de værktøjer, den har adgang til
f) om den har stor indvirkning på det indre marked på grund af dens omfang, hvilket formodes at være
tilfældet, når den er blevet gjort tilgængelig for mindst 10 000 registrerede erhvervsbrugere etableret i
Unionen
g) antal registrerede slutbrugere.
175
Bemærkninger til lovforslaget
Almindelige bemærkninger
Indholdsfortegnelse
1. Indledning
2. Lovforslagets hovedpunkter
2.1. Afgrænsning af reglerne om kunstig intelligens
2.1.1. Gældende ret
2.1.2. Digitaliseringsministeriets overvejelser og den foreslåede ordning
2.2. Udpegning af uafhængige nationale kompetente myndigheder
2.2.1. Gældende ret
2.2.2. Digitaliseringsministeriets overvejelser og den foreslåede ordning
2.3. De nationale kompetente myndigheders opgaver mv.
2.3.1. Gældende ret
2.3.2. Digitaliseringsministeriets overvejelser og den foreslåede ordning
2.4. Sanktioner
2.4.1. Gældende ret
2.4.2. Digitaliseringsministeriets overvejelser og den foreslåede ordning
3. Forholdet til databeskyttelsesforordningen og databeskyttelsesretten
4. Økonomiske konsekvenser og implementeringskonsekvenser for det offentlige
5. Økonomiske og administrative konsekvenser for erhvervslivet m.v.
6. Administrative konsekvenser for borgerne
7. Klimamæssige konsekvenser
8. Miljø- og naturmæssige konsekvenser
9. Forholdet til EU-retten
10. Hørte myndigheder og organisationer m.v.
11. Sammenfattende skema
1. Indledning
Formålet med dette lovforslag er at supplere reglerne i for-
ordningen om kunstig intelligens. Forslaget fastsætter såle-
des supplerende nationale bestemmelser om kompetence- og
straffebestemmelser inden for det nationale råderum, som
forordningen om kunstig intelligens giver mulighed for.
Lovforslaget supplerer forordningen om kunstig intelligens,
som har til formål at forbedre det indre markeds funktion
og fremme udbredelsen af menneskecentreret og troværdig
176
kunstig intelligens (AI) og samtidig sikre et højt niveau af
beskyttelse af sundhed, sikkerhed og grundlæggende rettig-
heder.
Forordningen om kunstig intelligens trådte i kraft den 2.
august 2024. Forordningen finder anvendelse fra den 2. au-
gust 2026. Dog finder forordningens kapitel I (almindelige
bestemmelser) og II (forbudte former for AI-praksis) anven-
delse fra den 2. februar 2025. Kapitel III, afdeling 4 (be-
myndigende myndigheder og bemyndigede organer), kapitel
V (AI-modeller til almen brug), VII (forvaltning) og XII
(sanktioner) og artikel 78 (fortrolighed) finder anvendelse
fra den 2. august 2025, med undtagelse af artikel 101 (bøder
til udbydere af AI-modeller til almen brug). Forordningens
artikel 6, stk. 1 (højrisiko kunstig intelligens-systemer, der
omhandler produkter), og de tilsvarende forpligtelser i for-
ordningen finder hertil anvendelse fra den 2. august 2027.
Forordningen om kunstig intelligens har direkte virkning i
Danmark, hvilket betyder, at der som udgangspunkt ikke må
være anden dansk lovgivning, der regulerer forhold, som
er reguleret i forordningen. Danmark er således forpligtet
til at supplere dansk lovgivning i overensstemmelse med
forordningens bestemmelser med virkning fra den 2. august
2025.
Flere bestemmelser i forordningen kræver, at der vedtages
supplerende bestemmelser i Danmark af hensyn til anven-
delsen af forordningen, herunder kompetence- og straffebe-
stemmelser.
Forordningen om kunstig intelligens har trinvis anvendel-
se. Med dette lovforslag foreslås supplerende bestemmelser,
som skal indrette dansk lovgivning med hensyn til de dele af
forordningen, som finder anvendelse fra den 2. februar 2025
samt den 2. august 2025. Der foreslås endvidere enkelte be-
stemmelser af materiel karakter, som har til hensigt at give
udpegede kompetente myndigheder kompetence til blandt
andet at afkræve alle oplysninger, som er nødvendige for
myndighedernes tilsynsvirksomhed, herunder til fastlæggel-
se af, om et forhold hører under myndighedernes kompeten-
ce.
Digitaliseringsministeriet bemærker, at de enkelte bestem-
melser i forordningen om kunstig intelligens har forskellige
anvendelsestidspunkter. Som eksempel kan nævnes, at det
blandt andet følger af præambelbetragtning 179, at forord-
ningen bør finde anvendelse fra den 2. august 2026, men
under hensyntagen til den uacceptable risiko, der på visse
områder er forbundet med anvendelsen af AI, finder forbud-
dene og de almindelige bestemmelser i forordningen dog
anvendelse allerede fra den 2. februar 2025. Kapitel XII
om sanktioner finder imidlertid først anvendelse fra den 2.
august 2025. Forbudte former for AI-praksis kan derfor først
medføre sanktioner fra den 2. august 2025. Ikrafttrædelses-
datoen i lovforslaget er således i overensstemmelse med
anvendelsestidspunkterne i forordningen om kunstig intelli-
gens.
Digitaliseringsministeriet vil hertil fremsætte forslag til
yderligere supplerende lovgivning til de øvrige kapitler i
forordningen om kunstig intelligens forud for, at disse dele
af forordningen om kunstig intelligens skal finde anvendel-
se.
2. Lovforslagets hovedpunkter
2.1. Afgrænsning af reglerne om kunstig intelligens
2.1.1. Gældende ret
Der er på nuværende tidspunkt ikke fastsat regler i dansk
ret, som supplerer og gennemfører forordningen om kuns-
tig intelligens og dermed regler om udpegning af nationale
kompetente myndigheder i overensstemmelse med forord-
ningen. Der er endvidere ikke i dansk ret fastsat generelle
regler om kunstig intelligens.
Det følger af artikel 1, stk. 1, at forordningen om kunstig
intelligens har til formål at forbedre det indre markeds
funktion og fremme udbredelsen af menneskecentreret og
troværdig kunstig intelligens (AI) og samtidig sikre et højt
niveau af beskyttelse af sundhed, sikkerhed og de grund-
læggende rettigheder, der er nedfældet i chartret, herunder
demokratiet, retsstatsprincippet og miljøbeskyttelse, mod de
skadelige virkninger af AI-systemer i Unionen og støtte in-
novation.
Det følger af artikel 2, stk. 1, at forordningen finder anven-
delse på:
a) udbydere, der bringer AI-systemer i omsætning eller
ibrugtager sådanne eller bringer AI-modeller til almen
brug i omsætning i Unionen, uanset om disse udbydere
er etableret eller befinder sig i Unionen eller i et tredje-
land
b) idriftsættere af AI-systemer, der er etableret eller befin-
der sig i Unionen
c) udbydere og idriftsættere af AI-systemer, der er etable-
ret eller befinder sig i et tredjeland, hvis det output, der
produceres af systemet, anvendes i Unionen
d) importører og distributører af AI-systemer
e) producenter af et produkt, der sammen med deres pro-
dukt og under eget navn eller varemærke bringer et
AI-system i omsætning eller ibrugtager det
f) bemyndigede repræsentanter for udbydere, der ikke er
etableret i Unionen
g) berørte personer, der befinder sig i Unionen.
Forordningen om kunstig intelligens omfatter eksempelvis
udbydere, såsom udviklere af AI-systemer, der screener
CV’er, samt idriftsættere, som eksempelvis de virksomhe-
der, der køber det pågældende system og anvender det i
rekrutteringsøjemed.
I forordningens artikel 2, stk. 2-12, er der fastsat regler
om, hvornår en række konkrete bestemmelser ikke finder
anvendelse.
177
2.1.2. Digitaliseringsministeriets overvejelser og den fore-
slåede ordning
Forordningen om kunstig intelligens kræver national lovgiv-
ning, hvorfor lovforslaget har til formål at indføre supple-
rende regler i forbindelse med tilsynet med forordningen om
kunstig intelligens kapitel II, navnlig med forbudte former
for AI-praksis. Med dette lovforslag foreslås det kun at ind-
føre supplerende lovgivning til de dele af forordningen, der
træder i kraft den 2. februar 2025 og den 2. august 2025.
Det er Digitaliseringsministeriets vurdering, at den foreslå-
ede lov vil have samme anvendelsesområde som forordnin-
gen om kunstig intelligens.
Der henvises i øvrigt til lovforslagets § 1 og de specielle
bemærkninger hertil.
2.2. Udpegning af nationale kompetente myndigheder
2.2.1. Gældende ret
Der er på nuværende tidspunkt ikke fastsat regler i dansk
ret, som supplerer og gennemfører forordningen om kuns-
tig intelligens og dermed regler om udpegning af nationale
kompetente myndigheder i overensstemmelse med forord-
ningen.
Det følger af artikel 70, stk. 1, i forordningen om kunstig
intelligens, at hver medlemsstat opretter eller udpeger som
nationale kompetente myndigheder mindst én bemyndigen-
de myndighed og mindst én markedsovervågningsmyndig-
hed. Disse nationale kompetente myndigheder udøver deres
beføjelser uafhængigt, upartisk og uden bias for derved at
beskytte objektiviteten i deres aktiviteter og opgaver og for
at sikre anvendelsen og gennemførelsen af forordningen.
Det følger endvidere af artikel 28, stk. 1, i forordningen
om kunstig intelligens, at hver medlemsstat udpeger eller
opretter mindst én bemyndigende myndighed med ansvar
for at indføre og gennemføre de nødvendige procedurer for
vurdering, udpegelse og notifikation af overensstemmelses-
vurderingsorganer og for overvågning heraf. Disse procedu-
rer udvikles i samarbejde mellem de bemyndigende myndig-
heder i alle medlemsstater.
Det følger af artikel 70, stk. 2, 3. pkt., at medlemsstaterne
udpeger en markedsovervågningsmyndighed til at fungere
som centralt kontaktpunkt for forordningen.
Det følger herudover af præambelbetragtning nr. 153 i for-
ordningen om kunstig intelligens, at der i hver medlems-
stat bør udpeges mindst én bemyndigende myndighed og
mindst én markedsovervågningsmyndighed som nationale
kompetente myndigheder til at føre tilsyn med anvendel-
sen og gennemførelsen af forordningen om kunstig intelli-
gens. For at øge organisationseffektiviteten for medlemssta-
ternes vedkommende og oprette et centralt kontaktpunkt for
offentligheden og andre modparter på nationalt plan og EU-
plan bør hver medlemsstat udpege en markedsovervågnings-
myndighed, der skal fungere som centralt kontaktpunkt.
2.2.2. Digitaliseringsministeriets overvejelser og den fore-
slåede ordning
Det er Digitaliseringsministeriets vurdering, at det er hen-
sigtsmæssigt, at Digitaliseringsstyrelsen, Datatilsynet og
Domsstolsstyrelsen i henhold til artikel 70, stk. 1, i forord-
ningen om kunstig intelligens udpeges som markedsover-
vågningsmyndigheder for tilsynet med forbudte former for
AI praksis i henhold til artikel 5 i forordningen om kunstig
intelligens.
Det er Digitaliseringsministeriets vurdering, at Digitalise-
ringsstyrelsen, Datatilsynet og Domstolsstyrelsen har de
nødvendige erfaringer med og indsigt i området til at blive
udpeget som markedsovervågningsmyndigheder for tilsynet
med forbudte former for AI-praksis i henhold til artikel 5 i
forordningen om kunstig intelligens.
Det foreslås, at Digitaliseringsstyrelsen udpeges som mar-
kedsovervågningsmyndighed for de forbudte former for AI-
praksis, som er omfattet af artikel 5, stk. 1, litra a-c, og arti-
kel 5, stk. 1, litra e-f, i forordningen om kunstig intelligens,
mens Datatilsynet udpeges som markedsovervågningsmyn-
dighed for de forbudte former for AI-praksis, der er omfattet
af artikel 5, stk. 1, litra d, og artikel 5, stk. 1, litra g. Det
foreslås dog, at Datatilsynet kun udpeges som markedsover-
vågningsmyndighed for de dele af artikel 5, stk. 1, litra d og
g, som ikke er omfattet af det danske retsforbehold.
Hertil vurderes det hensigtsmæssigt, at Digitaliseringsstyrel-
sen udpeges som bemyndigende myndighed, i henhold til
artikel 28, stk. 1, samt artikel 70, stk. 1.
Derudover foreslås det, at Digitaliseringsstyrelsen udpeges
som centralt kontaktpunkt i henhold til artikel 70, stk. 2, 3.
pkt., i forordningen om kunstig intelligens.
Dette afspejler beslutningen om at udpege Digitaliserings-
styrelsen som centralt kontaktpunkt for forordningen om
kunstig intelligens.
Det er endvidere Digitaliseringsministeriets vurdering, at
Domstolsstyrelsen bør udpeges som markedsovervågnings-
myndighed for de dele af tilsynet med forbudte former
for AI-systemer, som vedrører domstolenes administrative
anvendelse af AI-systemer. Afgørelser om domstolenes an-
vendelse af AI-systemer, når disse anvendes som led i dom-
stolenes judicielle funktioner, træffes dog af vedkommende
ret.
Forordningen om kunstig intelligens fastsætter, at de natio-
nale kompetente myndigheder skal udøve deres beføjelser
uafhængigt, upartisk og uden bias for derved at beskytte
objektiviteten i deres aktiviteter og opgaver og for at sikre
anvendelsen og gennemførelsen af forordningen.
Der er efter forordningen om kunstig intelligens tale om
178
et krav til funktionel uafhængighed, hvor de kompetente
myndigheder er uafhængige ved varetagelsen af deres op-
gaver. Dette vil indebære, at regeringen ikke har instrukti-
onsbeføjelse over for kompetente myndigheder vedrørende
konkrete sager, der afgøres efter forordningen om kunstig
intelligens, dette lovforslag, eller regler udstedt i medfør
heraf, herunder i forhold til prioritering og udarbejdelse af
vejledning i medfør at dette lovforslag eller regler udstedt i
medfør heraf.
Forordningen om kunstig intelligens sikrer, at de udpegede
nationale kompetente myndigheder vil blive uafhængige af
eventuelle overordnede myndigheder.
Det skal bemærkes, at for så vidt angår Digitaliseringsstyrel-
sens tilsyn med forbudte AI-systemer, placeres tilsynet i et
kontor i Digitaliseringsstyrelsen, der allerede har erfaring
med at føre uafhængige tilsyn i henhold til EU-lovgivning,
hvor blandt andet instruksadgangen er afskåret.
Da forordningen om kunstig intelligens ikke stiller skærpede
krav til, hvordan kompetente myndigheder organisatorisk
skal indrettes – i modsætning til databeskyttelsesforordnin-
gen – vurderes det som unødigt indgribende at pålægge
de øvrige kompetente myndigheder specifikke rammer for,
hvordan forpligtelsen om uafhængighed skal løftes internt.
Det foreslås i lovforslaget, at afgørelser truffet af de nationa-
le kompetente myndigheder efter forordningen om kunstig
intelligens, den foreslåede lov og regler udstedt i medfør
heraf ikke skal kunne indbringes for anden administrativ
myndighed.
Det er formålet med den foreslåede bestemmelse at sikre
overensstemmelse med kravene i artikel 70, stk. 1, 2. pkt., i
forordningen om kunstig intelligens om de nationale kompe-
tente myndigheders uafhængighed.
Der henvises i øvrigt til lovforslagets §§ 2 og 3 og de speci-
elle bemærkninger hertil.
2.3. De nationale kompetente myndigheders opgaver mv.
2.3.1. Gældende ret
Som anført under pkt. 2.1. findes der ikke regler, som sup-
plerer og gennemfører forordningen om kunstig intelligens
og dermed regler om de nationale kompetente myndigheders
opgaver og beføjelser, når disse er udpeget i henhold til
forordningen om kunstig intelligens.
Det fremgår af artikel 74, stk. 1, i forordningen om kunstig
intelligens, at forordning (EU) 2019/1020 (forordningen om
markedsovervågning og produktoverensstemmelse) finder
anvendelse på AI-systemer, der er omfattet af forordningen
om kunstig intelligens. Med henblik på effektiv håndhæ-
velse af forordningen om kunstig intelligens skal enhver
henvisning til en erhvervsdrivende i henhold til forordning
(EU) 2019/1020 forstås således, at den omfatter alle opera-
tører, der er omfattet af forordningen om kunstig intelligens
artikel 2, stk. 1, i forordningen om kunstig intelligens, og
enhver henvisning til et produkt i henhold til forordning
(EU) 2019/1020 skal forstås således, at den omfatter alle
AI-systemer, der henhører under anvendelsesområdet for
forordningen om kunstig intelligens.
Af præambelbetragtning nr. 156 i forordningen om kuns-
tig intelligens fremgår det blandt andet, at markedsover-
vågningsmyndigheder, der er udpeget i henhold til for-
ordningen, alle bør have håndhævelsesbeføjelser som fast-
sat i forordningen om kunstig intelligens og forordning
(EU) 2019/1020 om markedsovervågning og produktover-
ensstemmelse (markedsovervågningsforordningen).
Markedsovervågningsforordningen er suppleret i dansk ret
ved lov nr. 799 af 9. juni 2020, med senere ændringer, om
produkter og markedsovervågning. I medfør af § 9, stk.
1, i den nævnte lov varetager Sikkerhedsstyrelsen opgaven
som kontrolmyndighed, medmindre andet følger af § 9, stk.
2. Den pågældende lov finder imidlertid ikke anvendelse på
produkter omfattet af forordningen om kunstig intelligens
efter lovens § 2.
Det følger af artikel 99, stk. 1, i forordningen om kunstig
intelligens, blandt andet, at medlemsstaterne i overensstem-
melse med de vilkår og betingelser, der er fastsat i forord-
ningen om kunstig intelligens, fastsætter regler om sanktio-
ner og andre håndhævelsesforanstaltninger, som også kan
omfatte advarsler og ikkeøkonomiske foranstaltninger, for
operatørers overtrædelse af forordningen om kunstig intelli-
gens og træffer alle nødvendige foranstaltninger for at sikre,
at de gennemføres korrekt og effektivt, og dermed tager
hensyn til de retningslinjer, som Europa-Kommissionen har
udstedt i henhold til artikel 96 i forordningen om kunstig
intelligens. Artikel 99, stk. 1, finder anvendelse allerede fra
den 2. august 2025.
Det følger videre af artikel 28, stk. 1, i forordningen om
kunstig intelligens, at hver medlemsstat udpeger eller opret-
ter mindst én bemyndigende myndighed med ansvar for at
indføre og gennemføre de nødvendige procedurer for vurde-
ring, udpegelse og notifikation af overensstemmelsesvurde-
ringsorganer og for overvågning heraf. Disse procedurer ud-
vikles i samarbejde mellem de bemyndigende myndigheder
i alle medlemsstater.
2.3.2. Digitaliseringsministeriets overvejelser og den fore-
slåede ordning
Markedsovervågningsmyndighederne skal i medfør af for-
ordningen om kunstig intelligens føre tilsyn med forbudte
former for AI-praksis fra den 2. august 2025. Det foreslås,
at der fra denne dato i medfør af artikel 99, stk. 1, fastsæt-
tes nationale regler om blandt andet sanktioner og andre
håndhævelsesforanstaltninger, for operatørers overtrædelse
af artikel 5, stk. 1, litra a-g, i forordningen om kunstig
intelligens.
Digitaliseringsministeriet finder det mest hensigtsmæssigt,
at markedsovervågningsmyndighedernes kompetence svarer
179
til de relevante kompetencer, som myndighederne i medfør
af henvisningen i artikel 74, stk. 1, i forordningen om kuns-
tig intelligens, til markedsovervågningsforordningen som
minimum vil skulle besidde fra den 2. august 2026.
Markedsovervågningsmyndighederne er ansvarlige for at
gennemføre aktiviteter og foranstaltninger, der skal sikre, at
AI-systemer opfylder de krav, som er fastsat i forordningen
om kunstig intelligens.
Digitaliseringsministeriet foreslår på den baggrund, at der
blandt andet fastsættes regler om, at markedsovervågnings-
myndighederne, fra fysiske og juridiske personer omfattet
af artikel 2, stk. 1, litra a-f, i forordningen om kunstig intel-
ligens, kan afkræve alle oplysninger, som er nødvendige for
myndighedernes tilsynsvirksomhed, herunder til fastlæggel-
se af, om forhold hører under myndighedernes kompetence.
Hensigten med den foreslåede bestemmelse er at sikre, at
markedsovervågningsmyndighederne har tilstrækkelig mu-
lighed for at søge en sag oplyst. Det er essentielt for både
erhvervsdrivende og brugere, at markedsovervågningsmyn-
dighedernes afgørelser træffes på så oplyst et grundlag som
muligt. Dette har blandt andet afgørende betydning for vur-
deringen af, hvor indgribende en foranstaltning der skal
træffes samt for at sikre proportionalitet.
Der foreslås hertil, at markedsovervågningsmyndighederne
til enhver tid mod behørig legitimation og uden retskendelse
skal have adgang til alle erhvervsmæssige lokaliteter hos de
fysiske og juridiske personer, som er omfattet af artikel 2,
stk. 1, litra a-f, i forordningen om kunstig intelligens, når det
er nødvendigt for at påse overholdelse af forordningen om
kunstig intelligens, denne lov eller regler udstedt i medfør af
loven.
Hensigten med bestemmelsen er at sikre, at markedsover-
vågningsmyndighederne kan udføre en effektiv kontrol med
overholdelsen af forordningen om kunstig intelligens. Digi-
taliseringsministeriet vurderer desuden, at muligheden for
kontrolbesøg uden retskendelse vil have en afskrækkende
effekt i forhold til udbredelsen af forbudte AI-systemer.
Digitaliseringsministeriet foreslår herudover, at markeds-
overvågningsmyndighederne skal kunne være bistået af en
eller flere uafhængige sagkyndige i forbindelse med kontrol-
besøg og tekniske undersøgelser.
Det foreslås desuden, at markedsovervågningsmyndigheder-
ne skal kunne udstede påbud om overholdelse af artikel 5,
stk. 1, litra a-g, i forordningen om kunstig intelligens, denne
lov og regler fastsat i medfør af denne lov. Hertil foreslås
det, at markedsovervågningsmyndighederne skal kunne ud-
stede midlertidige forbud mod levering, markedsføring, ud-
stilling eller anden tilgængeliggørelse af et AI-system, hvis
AI-systemet vurderes at kunne udgøre en risiko.
Den foreslåede bestemmelse vil give markedsovervågnings-
myndighederne mulighed for midlertidigt at forbyde leve-
ring, markedsføring eller tilgængeliggørelse af AI-systemer,
hvis de vurderes at være forbudte i henhold til artikel 5,
stk. 1, litra a-g. Bestemmelsen vil alene kunne anvendes i
de tilfælde, hvor der er en formodning for, at et AI-system
udgør en fare, og hvor det vurderes uforsvarligt ud fra et
forsigtighedsprincip, at AI-systemet fortsat er i anvendelse,
imens markedsovervågningsmyndigheden foretager de nød-
vendige undersøgelser af systemet med henblik på at træffe
afgørelse.
Det foreslås herudover, at markedsovervågningsmyndighe-
derne skal kunne offentliggøre sine afgørelser i sager om
forbudte former for AI-praksis. Offentliggørelse vil kunne
ske med henblik på at oplyse offentligheden om, at AI-sy-
stemet udgør en forbudt form for AI-praksis i henhold til
artikel 5, stk. 1, litra a-g.
I den forbindelse bemærkes det, at visse fortrolige oplysnin-
ger ikke vil kunne offentliggøres som led i offentliggørelse
af myndighedens afgørelser. Dette gælder blandt andet op-
lysninger om tekniske indretninger eller fremgangsmåder
eller om drifts- eller forretningsforhold el.lign., for så vidt
det er af væsentlig økonomisk betydning for den person el-
ler virksomhed, oplysningerne angår, at oplysningerne ikke
videregives. Offentliggørelse af afgørelser vil desuden være
underlagt fortrolighedsreglerne fastlagt i forordningen om
kunstig intelligens artikel 78.
Det bemærkes, at enkelte bestemmelser i forordningen om
kunstig intelligens træder i kraft på forskellige tidspunkter
efter artikel 113 i forordningen om kunstig intelligens. Ka-
pitel I og II finder anvendelse fra den 2. februar 2025, og
kapitel III, afdeling 4, kapitel V, VII og XII og artikel 78
finder anvendelse fra den 2. august 2025, med undtagelse af
artikel 101.
Med nærværende lovforslag foreslås regler om de nationa-
le kompetente myndigheders opgaver, tilsyn og kontrol i
forhold til tilsynet med forbudte former for AI-praksis i
henhold til kapitel II i forordningen om kunstig intelligens.
Det foreslås herudover, at den bemyndigende myndighed ef-
ter forhandling med ministeren for digitalisering skal kunne
fastsætte nærmere regler om indførelse og gennemførelse
af nødvendige procedurer for vurdering, udpegelse og notifi-
kation af overensstemmelsesvurderingsorganer og for tilsyn
hermed i henhold til artikel 28, stk. 1, i forordningen om
kunstig intelligens samt suspension eller tilbagetrækning af
udpegning i henhold til artikel 36, stk. 4, i forordningen om
kunstig intelligens.
Eksempelvis kan disse regler omfatte krav om, at en jurid-
isk person, der ønsker at blive notificeret som overensstem-
melsesvurderingsorgan, skal være akkrediteret af DANAK
for de AI-systemer, som organet ønsker at foretage overens-
stemmelsesvurdering af.
Det foreslås i forbindelse hermed, at den bemyndigende
myndighed skal kunne delegere udpegningen af overens-
stemmelsesvurderingsorganer i et nærmere angivet omfang
til andre offentlige myndigheder eller private institutioner,
180
i henhold til artikel 28, stk. 2, i forordningen om kunstig
intelligens.
Med den foreslåede bestemmelse vil den bemyndigende
myndighed blandt andet få mulighed for at fastsætte regler
til implementering af nødvendige bestemmelser i kapitel
3, afdeling 4 (om bemyndigende myndigheder og bemyndi-
gede organer), i forordningen om kunstig intelligens, der
finder anvendelse fra den 2. august 2025.
Med den foreslåede bestemmelse vil der blandt andet kun-
ne fastsættes regler om indførelse og gennemførelse af nød-
vendige procedurer for vurdering, udpegelse og notifikation
af overensstemmelsesvurderingsorganer. Der vil endvidere
kunne blive fastsat regler om akkreditering, og om hvilke
opgaver disse udpegede organer skal udføre.
Der henvises i øvrigt til lovforslagets §§ 4-9 og de specielle
bemærkninger hertil.
2.4. Sanktioner
2.4.1. Gældende ret
Som anført under pkt. 2.1 findes der ikke regler, som sup-
plerer forordningen om kunstig intelligens og dermed heller
ikke regler om sanktionering af overtrædelser af bestemmel-
ser i forordningen om kunstig intelligens.
Det følger af artikel 99, stk. 1, i forordningen om kunstig
intelligens, at medlemsstaterne – i overensstemmelse med
de vilkår og betingelser, der er fastsat i forordningen om
kunstig intelligens – fastsætter regler om sanktioner og an-
dre håndhævelsesforanstaltninger, som også kan omfatte ad-
varsler og ikkeøkonomiske foranstaltninger, for operatørers
overtrædelse af forordningen om kunstig intelligens, og at
medlemsstaterne træffer alle nødvendige foranstaltninger for
at sikre, at de gennemføres korrekt og effektivt, og dermed
tager hensyn til de retningslinjer, som Kommissionen har
udstedt i henhold til artikel 96. Det følger endvidere, at
sanktionerne skal være effektive, stå i et rimeligt forhold
til overtrædelsen og have afskrækkende virkning. Der tages
hensyn til SMV’ers, herunder iværksættervirksomheders, in-
teresser og deres økonomiske levedygtighed.
Det følger videre af artikel 99, stk. 3, at manglende over-
holdelse af forbud mod de i artikel 5 anførte former
for AI-praksis straffes med administrative bøder på op til
35.000.000 EUR eller, hvis lovovertræderen er en virksom-
hed, op til 7 pct. af dens samlede globale årlige omsætning
i det foregående regnskabsår, alt efter hvilket beløb der er
størst.
Det følger herudover af artikel 99, stk. 5, at afgivelse af
ukorrekte, ufuldstændige eller vildledende oplysninger til
bemyndigede organer eller nationale kompetente myndighe-
der som svar på en anmodning straffes med administrative
bøder på op til 7.500.000 EUR eller, hvis lovovertræderen er
en virksomhed, op til 1 pct. af dens samlede globale årlige
omsætning i det foregående regnskabsår, alt efter hvilket
beløb der er størst.
Ved ”bemyndiget organ” forstås et overensstemmelses-
vurderingsorgan, der er notificeret i overensstemmelse
med denne forordning og anden relevant EU-harmonise-
ringslovgivning. Et overensstemmelsesvurderingsorgan ud-
fører overensstemmelsesvurderingsaktiviteter, herunder af-
prøvning, certificering og inspektion af AI-systemer.
Slutteligt bemærkes det, at det følger af artikel 99, stk.
9, i forordningen om kunstig intelligens, at afhængigt af
medlemsstaternes retssystem kan reglerne om administrative
bøder anvendes på en sådan måde, at bøderne pålægges af
kompetente nationale domstole eller af andre organer, alt
efter hvad der er relevant i disse medlemsstater.
2.4.2. Digitaliseringsministeriets overvejelser og den fore-
slåede ordning
2.4.2.1. Bødestraf
Det er Digitaliseringsministeriets vurdering, at sanktioner
for overtrædelser af forordningens bestemmelser efter dansk
ret fastsættes som en strafferetlig sanktion i henhold til arti-
kel 99, stk. 9, 1. pkt., jf. artikel 99, stk. 3 og 5.
Digitaliseringsministeriet finder, at det i lovforslaget bør
fastsættes, hvilke bestemmelser i forordningen der er straf-
belagt ved overtrædelser. På den måde kan der skabes klar-
hed over hvilke bestemmelser, der er strafferetligt sanktione-
ret.
På den baggrund foreslås det, at overtrædelser af følgende
bestemmelser i forordningen skal kunne sanktioneres straf-
feretligt med bøde:
– Overtrædelser af bestemmelserne om forbudte former
for AI-praksis i henhold til artikel 5, stk. 1, litra a-g, i
forordningen om kunstig intelligens.
– Afgivelse af ukorrekte, ufuldstændige eller vildleden-
de oplysninger til bemyndigede organer eller nationale
kompetente myndigheder som svar på en anmodning, jf.
artikel 99, stk. 5, i forordningen om kunstig intelligens.
Det foreslås herudover, at overtrædelse af følgende bestem-
melser i nærværende lovforslag skal kunne sanktioneres
strafferetligt med bøde:
– Undladelse af at efterkomme markedsovervågningsmyn-
dighedens krav efter § 5.
– Hindring i at markedsovervågningsmyndigheden får ad-
gang til lokaliteter efter § 6, stk. 1, eller hindring af
markedsovervågningsmyndigheden i at foretage tekniske
undersøgelser af et AI-system efter § 6, stk. 2.
– Undladelse af et efterkomme et påbud eller et midlerti-
digt forbud udstedt efter § 8.
Der henvises i den forbindelse også til pkt. 2.4.2.2. nedenfor
og lovforslagets § 11 om muligheden for at fastsætte regler
om anvendelse af administrative bødeforelæg.
181
Det er endvidere Digitaliseringsministeriets vurdering, at det
er mest hensigtsmæssigt, hvis forældelsesfristen for overtræ-
delse af den foreslåede lov, regler udstedt i medfør af loven
eller forordningen om kunstig intelligens fastsættes til fem
år, under hensyntagen til, at de omfattede straffesager kan
antage en vis størrelse og kompleksitet.
Der henvises til lovforslagets § 10 og de specielle bemærk-
ninger hertil.
2.4.2.2. Administrative bødeforelæg
Med lovforslagets § 11 foreslås det, at de kompetente nati-
onale myndigheder efter forhandling med justitsministeren
skal kunne fastsætte regler om, at markedsovervågnings-
myndighederne i nærmere angivne sager om overtrædelse
af forordningen om kunstig intelligens, loven eller regler ud-
stedt i medfør heraf kan udstede administrative bødeforelæg.
Forslaget udgør en hjemmel til fastsættelse af regler, der
muliggør hurtig og effektiv behandling af ukomplicerede
overtrædelser. Kompetencen i stk. 1 vil alene gælde ved
åbenbare og objektivt konstaterbare overtrædelser, hvor
overtrædelserne generelt er ensartede og ukomplicerede og
uden bevismæssige tvivlsspørgsmål, og hvor bødeudmålin-
gen ligger fast.
Bemyndigelsesbestemmelsen vil kun kunne anvendes efter
forhandling med justitsministeren. Det vil hertil være en
betingelse, at der skal være tale om sager, der er enkle og
ukomplicerede uden bevistvivl og uden tvivl om sanktions-
niveau for normalbøder i førstegangstilfælde.
Forslaget retter sig kun mod sager, hvor den, der har begået
det strafbare forhold, tilstår det strafbare forhold og er rede
til at betale. I tilfælde, hvor den, der har begået overtræ-
delsen, ikke erklærer sig rede til at betale bøden inden en
nærmere angivet frist, vil domstolene afgøre bødespørgsmå-
let. I sådanne tilfælde vil den relevante kompetente nationa-
le myndighed skulle indgive politianmeldelse sammen med
en redegørelse for den kompetente myndigheds vurdering,
herunder en vurdering af niveauet for bøden.
Der henvises i øvrigt til lovforslagets §§ 10 og 11 og de
specielle bemærkninger hertil.
3. Forholdet til databeskyttelsesforordningen og databe-
skyttelsesretten
Behandling af personoplysninger i relation til forordningen
om kunstig intelligens er reguleret af Europa-Parlamentets
og Rådets forordning nr. 2016/679 af 27. april 2016 (databe-
skyttelsesforordningen) samt lov nr. 502 af 23. maj 2018 om
supplerende bestemmelser til forordningen om beskyttelse
af fysiske personer i forbindelse med behandling af person-
oplysninger og om fri udveksling af sådanne oplysninger
(databeskyttelsesloven).
Det forudsættes med den foreslåede ordning, at en række
myndigheder, herunder Digitaliseringsstyrelsen, Datatilsynet
og Domstolsstyrelsen, som led i sagsbehandlingen vil skulle
behandle personoplysninger. Markedsovervågningsmyndig-
hederne er dataansvarlige for den del af behandlingen af
personoplysninger, der foregår i myndigheden.
Det forslås i lovforslaget, at markedsovervågningsmyndig-
hederne kan afkræve alle oplysninger, som er nødvendige
for myndighedernes tilsynsvirksomhed, herunder til fastlæg-
gelse af, om et forhold hører under myndighedernes kompe-
tence fra de fysiske og juridiske personer, som er omfattet
af artikel 2, stk. 1, litra a-f, i forordningen om kunstig intel-
ligens.
Ifølge databeskyttelsesforordningens artikel 6, stk. 2 og 3, er
det muligt at implementere mere specifikke bestemmelser,
der tilpasser anvendelsen af artikel 6, stk. 1, litra c, og
artikel 6, stk. 1, litra e. Den foreslåede bestemmelse i § 5
udgør således supplerende retsgrundlag til databeskyttelses-
forordningens artikel 6, stk. 1 litra e.
I det omfang myndighederne som led i sagsbehandlingen
undtagelsesvist vil komme til at behandle følsomme oplys-
ninger omfattet af databeskyttelsesforordningens art. 9, vil
behandlingen i sådanne tilfælde være nødvendig af hensyn
til væsentlige samfundsinteresser, som angivet i databeskyt-
telsesforordningens artikel 9, stk. 2, litra g. Behandlingen
vurderes hertil nødvendig for, at markedsovervågningsmyn-
digheden kan løfte tilsynsforpligtelsen i henhold til artikel 5,
stk. 1, litra a-g, i forordningen om kunstig intelligens.
Det vurderes, at den foreslåede bestemmelse er proportional
i forhold til de legitime mål og respekterer det væsentlig-
ste indhold af retten til databeskyttelse, da behandlingen
er betinget af nødvendighed. Det foreslås endvidere i lov-
forslagets § 7, at markedsovervågningsmyndighederne kan
offentliggøre deres afgørelser i sager om forbudte former for
AI-praksis i henhold til artikel 5. stk. 1, litra a-g, i forordnin-
gen om kunstig intelligens.
Offentliggørelsesordningen kan i nogle tilfælde medføre, at
oplysninger, som omfattes af databeskyttelsesforordningens
artikel 10, offentliggøres. Den foreslåede bestemmelse ud-
gør således supplerende retsgrundlag til databeskyttelsesfor-
ordningens artikel 10.
Digitaliseringsministeriet vurderer, at de samfundsmæssige
hensyn bag offentliggørelse er tilstrækkeligt tungtvejende
til at etablere en offentliggørelsesordning. Offentliggørelse i
henhold til den foreslåede § 7 vil dog kun være nødvendig,
når offentliggørelsen sker af hensyn til varetagelsen af pri-
vate eller offentlige interesser, der klart overstiger hensynet
til de interesser, der begrunder hemmeligholdelse af oplys-
ningerne. Det bemærkes, at der ikke vil være tale om syste-
matisk offentliggørelse, men alene offentliggørelse baseret
på en konkret vurdering af sagens omstændigheder.
Markedsovervågningsmyndighederne er endvidere beretti-
gede – og efter omstændighederne også forpligtede – til at
undlade at offentliggøre oplysninger fra sager, som tilsynet
har behandlet, hvis offentlighedens interesse i at få kendskab
182
til oplysningerne findes at burde vige for afgørende hensyn
til private og offentlige interesser. I tvivlstilfælde vil det
være naturligt at indhente en udtalelse herom fra den data-
ansvarlige, som er part i sagen, og eventuelt tillige fra den
registrerede.
Digitaliseringsministeriet skal afslutningsvist bemærke, at
det forudsættes, at de øvrige bestemmelser i databeskyt-
telsesforordningen og databeskyttelsesloven, herunder de
grundlæggende principper i databeskyttelsesforordningens
artikel 5 også iagttages, når der behandles personoplysnin-
ger i medfør af de forslåede bestemmelser.
Der henvises i øvrigt til lovforslagets § 7 og de specielle
bemærkninger hertil.
4. Økonomiske konsekvenser og implementeringskonse-
kvenser for det offentlige
Det bemærkes overordnet, at lovforslaget supplerer forord-
ningen om kunstig intelligens, som har økonomiske konse-
kvenser og implementeringskonsekvenser for det offentlige.
Lovforslaget forventes på den baggrund ikke i sig selv at
have økonomiske konsekvenser eller implementeringskon-
sekvenser for det offentlige af betydning. Lovforslaget har
ikke i sig selv i øvrigt økonomiske konsekvenser eller im-
plementeringskonsekvenser af betydning for kommunerne
eller regionerne.
Forordningen om kunstig intelligens medfører økonomiske
konsekvenser for de kompetente myndigheder, som skal føre
tilsyn på baggrund heraf, som dog ikke kan henføres til lov-
forslaget. De forøgede udgifter vedrører løn til medarbejde-
re, der varetager tilsyns- og håndhævelsesopgaver i relation
til forordningen om kunstig intelligens, samt til almindeligt
kontorhold, herunder it-understøttelse, efteruddannelse, rej-
seudgifter ved deltagelse i internationalt arbejde m.v. Dette
omfatter navnlig udgifter, som Datatilsynet, Digitaliserings-
styrelsen og Domstolsstyrelsen skal afholde i forbindelse
med tilsynet med forbudte former for AI-systemer.
For så vidt angår lovforslagets bemyndigelsesbestemmelser
vil der i forbindelse med udstedelsen af eventuelle bekendt-
gørelser blive foretaget en vurdering af eventuelle økonomi-
ske konsekvenser og implementeringskonsekvenser for det
offentlige.
Digitaliseringsministeriet har herudover overvejet, hvorvidt
lovforslaget følger de syv principper for digitaliseringsklar
lovgivning. Da lovforslaget fungerer som et forordningsbe-
stemt supplement til forordningen om kunstig intelligens,
har det ikke selvstændig relevans i forbindelse med de syv
principper. Der er heller ikke foreslået yderligere suppleren-
de bestemmelser, som kunne være relevante i denne sam-
menhæng. Det bemærkes dog, at det supplerende lovforslag
er udformet således, at de syv principper for digitaliserings-
klar lovgivning iagttages i videst muligt omfang.
5. Økonomiske og administrative konsekvenser for er-
hvervslivet m.v.
Det bemærkes overordnet, at lovforslaget supplerer forord-
ningen om kunstig intelligens, som har økonomiske og ad-
ministrative konsekvenser for erhvervslivet mv.
For så vidt angår lovforslagets bemyndigelsesbestemmelser
vil der i forbindelse med udstedelsen af eventuelle bekendt-
gørelser blive foretaget en vurdering af eventuelle økonomi-
ske og administrative konsekvenser for erhvervslivet mv.
Lovforslaget har været sendt til Erhvervsstyrelsens Områ-
de for Bedre Regulering (OBR), der på det foreliggende
grundlag har vurderet, at lovforslaget medfører administra-
tive konsekvenser i form af omkostninger for erhvervsli-
vet. De administrative konsekvenser følger af fremskaffel-
sen af oplysninger til markedsovervågningsmyndigheden for
virksomheder, hvor der ligeledes kan være tale om ikke-for-
budte AI-systemer, jf. § 5.
På baggrund af ovenstående vurderes det, at de samlede ad-
ministrative konsekvenserne ikke overstiger bagatelgrænsen
for forelæggelsen for Regeringens økonomiudvalg på 4 mio.
kr., hvorfor de ikke kvantificeres nærmere.
6. Administrative konsekvenser for borgerne
Lovforslaget supplerer forordningen om kunstig intelligens,
som har administrative konsekvenser for borgerne.
Lovforslaget forventes på den baggrund ikke i sig selv at
have administrative konsekvenser for borgerne af betydning.
7. Klimamæssige konsekvenser
Lovforslaget medfører ikke klimamæssige konsekvenser.
8. Miljø- og naturmæssige konsekvenser
Lovforslaget medfører ikke miljø- og naturmæssige konse-
kvenser.
9. Forholdet til EU-retten
Lovforslaget fastsætter supplerende bestemmelser til Euro-
pa-Parlamentets og Rådets forordning (EU) 2024/1689 af
13. juni 2024 om harmoniserede regler for kunstig intel-
ligens og om ændring af forordning (EF) nr. 300/2008,
(EU) nr. 167/2013, (EU) nr. 168/2013, (EU) 2018/858, (EU)
2018/1139 og (EU) 2019/2144 samt direktiv 2014/90/EU,
(EU) 2016/797 og (EU) 2020/1828 (forordningen om kuns-
tig intelligens), EU-Tidende 2024, nr. L af 12. juli 2024.
Forordningen om kunstig intelligens finder ikke i sin helhed
anvendelse i Danmark. Enkelte af forordningens bestemmel-
ser omfattes af det danske retsforbehold i henhold til proto-
kol nr. 22 om Danmarks stilling. I medfør af retsforbeholdet
deltager Danmark ikke i EU’s samarbejde på visse områder,
herunder områder relateret til politiarbejde, og EU-retlige
183
regler, der vedrører disse områder, er derfor ikke gældende i
Danmark.
Forordningen om kunstig intelligens er vedtaget under hen-
visning til artikel 114 og 16 i TEUF. I henhold til artikel
2a i protokol nr. 22 om Danmarks stilling er regler, der er
fastsat på grundlag af artikel 16 i TEUF og som vedrører
medlemsstaternes behandling af personoplysninger under
udøvelsen af aktiviteter, der er omfattet af TEUF tredje del,
afsnit V, kapitel 4 eller 5, ikke bindende for og finder ikke
anvendelse i Danmark. Det følger af præambelbetragtning
nr. 41 i forordningen om kunstig intelligens, at i medfør af
artikel 2 og 2a i protokol nr. 22 om Danmarks stilling, er de
regler, der er fastsat i artikel 5, stk. 1, litra g, i forordningen
om kunstig intelligens, i det omfang den finder anvendel-
se på brugen af systemer til biometrisk kategorisering til
aktiviteter inden for politisamarbejde og retligt samarbejde
i straffesager, artikel 5, stk. 1, litra d, i det omfang den
finder anvendelse på brugen af AI-systemer, der er omfattet
af nævnte bestemmelse, artikel 5, stk. 1, litra h, og stk.
2-6, og artikel 26, stk. 10, ikke bindende for og finder ikke
anvendelse i Danmark.
Forordningen om kunstig intelligens har trinvis anvendel-
se. Kapitel II om forbudte former for AI-praksis finder
anvendelse fra den 2. februar 2025. Kapitel XII om sank-
tioner finder imidlertid først anvendelse fra den 2. august
2025. Forbudte former for AI-praksis kan derfor først med-
føre sanktioner fra den 2. august 2025. Ikrafttrædelsesdatoen
i lovforslaget er således i overensstemmelse med anvendel-
sestidspunkterne i forordningen om kunstig intelligens. I den
mellemliggende periode vil civilretlige anliggender kunne
håndhæves ved domstolene.
10. Hørte myndigheder og organisationer m.v.
Et udkast til lovforslag har i perioden fra den 1. november
2024 til den 29. november 2024 (28 dage) været sendt i
høring hos følgende myndigheder og organisationer m.v.:
Advokatsamfundet, AE – Arbejderbevægelsens Erhvervs-
råd, Akademikerne, ATP, Datatilsynet, Danske Advokater,
Danske Iværksættere, Dansk Industri, Den Danske Dom-
merforening, Domstolsstyrelsen, Erhvervshus Midtjylland,
Erhvervshus Nordjylland, Erhvervshus Sjælland, Erhvervs-
hus Sydjylland, Erhvervshus Fyn, Erhvervshus Hovedsta-
den, Fagbevægelsens Hovedorganisation (FH), FDIH, In-
stitut for Menneskerettigheder, Ingeniørforeningen IDA,
IT-Politisk Forening, KMD, KL – Kommunernes Lands-
forening, Prosa, KOMBIT, Landbrug & Fødevarer, Rådet
for Socialt Udsatte, SMV Danmark, Teleindustrien, Dansk
IT, Digital Lead, Dataetisk Råd, DIGST/ERST Sekretari-
at, Dansk Arbejdsgiverforening, Dansk Erhverv, Danske
Universiteter, Danske Regioner, DIRA (Dansk Robot Net-
værk), Finans Danmark, Forbrugerrådet Tænk, F & P, Fon-
den Dansk Standard, FSR, GTS-foreningen, HK Danmark,
IBIZ-center, IT-Branchen, MADE, Nets DanID, NNIT,
Odense Robotics, Psykiatrifonden, Rigsrevisionen, Rigsom-
budsmanden i Grønland, Rigsombudsmanden på Færøerne
og Rådet for Digital Sikkerhed.
11. Sammenfattende skema
Positive konsekvenser/mindreudgifter
(hvis ja, angiv omfang/hvis nej, anfør »In-
gen«)
Negative konsekvenser/merudgifter (hvis
ja, angiv omfang/hvis nej, anfør »Ingen«)
Økonomiske konsekvenser for stat, kom-
muner og regioner
Ingen Ingen
Implementeringskonsekvenser for stat,
kommuner og regioner
Ingen Ingen
Økonomiske konsekvenser for erhvervsli-
vet m.v.
Ingen Ingen
Administrative konsekvenser for er-
hvervslivet m.v.
Ingen Erhvervsstyrelsens Område for Bedre Re-
gulering (OBR) har på det foreliggende
grundlag vurderet, at lovforslaget medfø-
rer administrative konsekvenser i form
af omkostninger for erhvervslivet. De ad-
ministrative konsekvenser følger af frem-
skaffelsen af oplysninger til markedsover-
vågningsmyndigheden for virksomheder,
hvor der ligeledes kan være tale om ikke-
forbudte AI-systemer, jf. § 5.
De samlede administrative konsekvenser-
ne overstiger ikke bagatelgrænsen for
forelæggelsen for Regeringens økonomi-
udvalg på 4 mio. kr., hvorfor de ikke
kvantificeres nærmere.
Administrative konsekvenser for borgerneIngen Ingen
184
Klimamæssige konsekvenser Ingen Ingen
Miljø- og naturmæssige konsekvenser Ingen Ingen
Forholdet til EU-retten Lovforslaget fastlægger supplerende bestemmelser til forordningen om kunstig in-
telligens. Grundet Danmarks retsforbehold er visse dele af forordningen, især de
relateret til politisamarbejde og retligt samarbejde i straffesager, ikke gældende.
Det følger af præambelbetragtning nr. 41 i forordningen om kunstig intelligens, at
i medfør af artikel 2 og 2a i protokol nr. 22 om Danmarks stilling, er de regler,
der er fastsat i artikel 5, stk. 1, litra g, i forordningen om kunstig intelligens, i det
omfang den finder anvendelse på brugen af systemer til biometrisk kategorisering til
aktiviteter inden for politisamarbejde og retligt samarbejde i straffesager, artikel 5,
stk. 1, litra d, i det omfang den finder anvendelse på brugen af AI-systemer, der er
omfattet af nævnte bestemmelse, artikel 5, stk. 1, litra h, og stk. 2-6, og artikel 26,
stk. 10, ikke bindende for og finder ikke anvendelse i Danmark.
Er i strid med de fem principper for im-
plementering af erhvervsrettet EU-regule-
ring (der i relevant omfang også gælder
ved implementering af ikke-erhvervsrettet
EU-regulering) (sæt X)
Ja Nej
X
Bemærkninger til lovforslagets enkelte bestemmelser
Til § 1
Der er på nuværende tidspunkt ikke fastsat regler i dansk
ret, som supplerer forordningen om kunstig intelligens.
Det foreslås i § 1, at loven supplerer Europa-Parlamentets
og Rådets forordning (EU) 2024/1689 af 13. juni 2024 om
harmoniserede regler for kunstig intelligens og om ændring
af forordning (EF) nr. 300/2008, (EU) nr. 167/2013, (EU)
nr. 168/2013, (EU) 2018/858, (EU) 2018/1139 og (EU)
2019/2144 samt direktiv 2014/90/EU, (EU) 2016/797 og
(EU) 2020/1828 (forordningen om kunstig intelligens) jf.
bilag 1.
Til § 2
Der er på nuværende tidspunkt ikke fastsat regler i dansk
ret om udpegning af nationale kompetente myndigheder
i form af bemyndigende myndigheder og markedsovervåg-
ningsmyndigheder i henhold til artikel 70, stk. 1, i forord-
ningen om kunstig intelligens.
Det følger af artikel 70, stk. 1, i forordningen om kunstig
intelligens, at hver medlemsstat opretter eller udpeger som
nationale kompetente myndigheder mindst én bemyndigen-
de myndighed og mindst én markedsovervågningsmyndig-
hed med henblik på overholdelse af forordningen. Disse
nationale kompetente myndigheder udøver deres beføjelser
uafhængigt, upartisk og uden bias for derved at beskytte
objektiviteten i deres aktiviteter og opgaver og for at sikre
gennemførelsen af forordningen.
Af forordningens artikel 70, stk. 2, 3. pkt., følger det, at
medlemsstaterne udpeger en markedsovervågningsmyndig-
hed til at fungere som centralt kontaktpunkt for forordnin-
gen om kunstig intelligens og underretter Kommissionen om
identiteten af det centrale kontaktpunkt.
Det følger endvidere af artikel 28, stk. 1, i forordningen
om kunstig intelligens, at hver medlemsstat udpeger eller
opretter mindst én bemyndigende myndighed med ansvar
for at indføre og gennemføre de nødvendige procedurer for
vurdering, udpegelse og notifikation af overensstemmelses-
vurderingsorganer og for overvågning heraf. Disse procedu-
rer udvikles i samarbejde mellem de bemyndigende myndig-
heder i alle medlemsstater.
Det foreslås i stk. 1, at Digitaliseringsstyrelsen, Datatilsynet
og Domsstolsstyrelsen udpeges som nationale kompetente
myndigheder, jf. artikel 70, stk. 1, i forordningen om kunstig
intelligens.
Med den foreslåede bestemmelse udpeges Digitaliserings-
styrelsen, Datatilsynet og Domsstolsstyrelsen som nationale
kompetente myndigheder.
Med bestemmelsen sikres det, at kravet i forordningen om
kunstig intelligens artikel 70, stk. 1, om udpegning af kom-
petente myndigheder er iagttaget.
Ved ”nationale kompetente myndigheder” forstås en bemyn-
digende myndighed eller en markedsovervågningsmyndig-
hed i henhold til artikel 3, nr. 48, i forordningen om kunstig
intelligens.
De bemyndigende myndigheder og markedsovervågnings-
myndigheder skal varetage deres opgaver og beføjelser uaf-
hængigt af den pågældende ressortminister og skal være
uafhængige af udefrakommende indblanding fra offentlige
og private enheder. Dette indebærer også, at de bemyndigen-
de myndigheder og markedsovervågningsmyndigheder ikke
185
vil kunne modtage eller søge instrukser fra andre, herunder
vedkommende ressortminister, uanset at de i øvrigt er orga-
nisatorisk underlagt det pågældende ressortministerium.
De nationale kompetente myndigheders eventuelle overord-
nede myndigheder har således ikke instruktionsbeføjelse i
de opgaver og sager, som behandles i medfør af den foreslå-
ede lov, herunder i forbindelse med de nationale kompetente
myndigheders udførelse af tilsyn og kontrol. De nationale
kompetente myndigheder er dermed funktionelt uafhængige
af overordnede myndigheder.
De nationale kompetente myndigheder kan i forbindelse
med myndighedernes øvrige arbejde være underlagt instruk-
tioner fra overordnede myndigheder, uden at det påvirker
den funktionelle uafhængighed på området omfattet af for-
ordningen om kunstig intelligens.
For enkelte sager eller på enkelte områder kan der være
behov for særegen fagspecifik ekspertise med henblik på
at sikre, at sagerne afgøres på en måde, der stemmer over-
ens med praksis på tilgrænsende fagområder, som henhører
under andre myndigheders ressort end den eller de udpegede
kompetente myndigheder. I disse tilfælde bør kravet om
uafhængighed ikke forhindre muligheden for, at en kompe-
tent myndighed kan rådføre sig eller regelmæssigt udveks-
le synspunkter med andre myndigheder, herunder retshånd-
hævende myndigheder, krisestyringsmyndigheder eller øvri-
ge markedsovervågnings- eller datatilsynsmyndigheder samt
indhente teknisk bistand m.v.
Det foreslås i stk. 2, at Digitaliseringsstyrelsen udpeges som
bemyndigende myndighed, jf. artikel 28, stk. 1, og artikel
70, stk. 1, i forordningen om kunstig intelligens, centralt
kontaktpunkt, jf. artikel 70, stk. 2, 3. pkt., i forordningen om
kunstig intelligens, og markedsovervågningsmyndighed for
de dele af tilsynet med forbudte former for AI-praksis, som
er omfattet af artikel 5, stk. 1, litra a-c, og artikel 5, stk. 1,
litra e-f, i forordningen om kunstig intelligens.
Ved ”bemyndigende myndighed” forstås den nationale myn-
dighed, der er ansvarlig for at indføre og gennemføre de
nødvendige procedurer for vurdering, udpegning og notifi-
kation af overensstemmelsesvurderingsorganer og for over-
vågning heraf i henhold til artikel 3, stk. 19, i forordningen
om kunstig intelligens.
Ved ”overensstemmelsesvurderingsorgan” forstås et organ,
der som tredjepart udfører overensstemmelsesvurderings-
aktiviteter, herunder afprøvning, certificering og inspek-
tion. ”Overensstemmelsesvurdering” vedrører processen til
påvisning af, om de krav til højrisiko-AI-systemer, som er
fastsat i kapitel III, afdeling 2, i forordningen om kunstig
intelligens, er opfyldt.
Ved ”markedsovervågningsmyndighed” forstås den nationa-
le myndighed, der udfører aktiviteterne og træffer foranstalt-
ningerne i henhold til forordning (EU) 2019/1020 i henhold
til artikel 3, stk. 26, i forordningen om kunstig intelligens.
Med den foreslåede bestemmelse vil Digitaliseringsstyrelsen
blive udpeget som både bemyndigende myndighed og som
centralt kontaktpunkt. Det foreslås dermed, at Digitalise-
ringsstyrelsen tillægges de beføjelser mv., som følger af det-
te lovforslag og forordningen om kunstig intelligens. Derud-
over sikres det, at kravet i forordningen om kunstig intelli-
gens artikel 70, stk. 1, om udpegning af kompetente myn-
digheder samt kravet i forordningens artikel 70, stk. 2, 3.
pkt., om udpegning af et centralt kontaktpunkt er iagttaget.
Med den foreslåede bestemmelse vil Digitaliseringsstyrelsen
endvidere blive udpeget som markedsovervågningsmyndig-
hed for de dele af tilsynet med forbudte former for AI-prak-
sis, som er omfattet af artikel 5, stk. 1, litra a-c, og artikel
5, stk. 1, litra e-f, i forordningen om kunstig intelligens. Ar-
tikel 5, stk. 1, litra a-c, og artikel 5, stk. 1, litra e-f, i
forordningen om kunstig intelligens, vedrører blandt andet
visse AI-systemer, der anvender subliminale, bevidst mani-
pulerende eller vildledende teknikker, visse AI-systemer, der
udnytter sårbarheder på grundlag af alder, handicap eller en
særlig social eller økonomisk situation, og visse AI-syste-
mer, som bruges til evaluering eller klassificering af fysiske
personer, hvis sociale bedømmelse fører til visse former for
skadelig eller ugunstig behandling af fysiske personer eller
grupper af personer. Artikel 5, stk. 1, litra e-f, vedrører
blandt andet AI-systemer, der opretter eller udvider ansigts-
genkendelsesdatabaser gennem ikkemålrettet indsamling af
ansigtsbilleder fra internettet eller kameraovervågning og
visse AI-systemer, der bruges til at udlede følelser hos en
fysisk person på arbejdspladser og uddannelsesinstitutioner.
Det foreslås i stk. 3, at Datatilsynet udpeges som markeds-
overvågningsmyndighed for de dele af tilsynet med forbudte
former for AI-praksis, der er omfattet af artikel 5, stk. 1,
litra d, og artikel 5, stk. 1, litra g, i forordningen om kunstig
intelligens.
Med den foreslåede bestemmelse vil Datatilsynet blive ud-
peget som markedsovervågningsmyndighed for de dele af
tilsynet med forbudte former for AI-praksis, der er omfattet
af artikel 5, stk. 1, litra d, og artikel 5, stk. 1, litra g. Artikel
5, stk. 1, litra d, vedrører visse AI-systemer, som bruges til
at foretage risikovurderinger baseret på profilering af en fy-
sisk person eller en vurdering af deres personlighedstræk og
personlige egenskaber for at vurdere eller forudsige risikoen
for, at en fysisk person begår en strafbar handling. Artikel 5,
stk. 1, litra g, vedrører blandt andet AI-systemer, der bruges
til biometrisk kategorisering, som kategoriserer fysiske per-
soner individuelt på grundlag af deres biometriske data med
henblik på at udlede deres race, politiske anskuelser, fagfor-
eningsmedlemskab, religiøse eller filosofiske overbevisning,
seksuelle forhold eller seksuelle orientering. Datatilsynet er
dog kun markedsovervågningsmyndighed for de dele af arti-
kel 5, stk. 1, litra d og g, som ikke er omfattet af det danske
retsforbehold.
Det foreslås i stk. 4, at Domstolsstyrelsen udpeges som
markedsovervågningsmyndighed for de dele af tilsynet med
forbudte former for AI-systemer, som vedrører domstolenes
186
anvendelse af AI-systemer, når domstolene ikke handler i
deres egenskab af domstol. Dette vil indebære, at Domstols-
styrelsens tilsyn alene omfatter domstolenes administrative
forhold og ikke deres judicielle funktioner.
Det foreslås i stk. 5, at for tilsynet med domstolenes anven-
delse af AI-systemer, som ikke omfattes af stk. 4, træffes
afgørelser af vedkommende ret. Afgørelsen kan kæres til
højere ret. For særlige domstole, hvis afgørelser ikke kan
indbringes for højere ret, kan den afgørelse, der er nævnt i
1. pkt., kæres til den landsret, i hvis kreds retten er beliggen-
de. Kærefristen er 4 uger fra den dag, afgørelsen er meddelt
den pågældende.
Bestemmelsen vil indebære, at afgørelser om domstolenes
anvendelse af AI-systemer, når disse anvendes som led
i domstolenes judicielle funktioner, vil blive truffet af
vedkommende ret.
Endvidere foreslås det, at afgørelser truffet efter stk. 5,
vil kunne kæres til højere ret inden for en kærefrist på 4
uger. For særlige domstole, hvis afgørelser ikke kan indbrin-
ges for højere ret, vil afgørelsen kunne kæres til den lands-
ret, i hvis kreds retten er beliggende.
Til § 3
Der er på nuværende tidspunkt ikke fastsat regler i dansk ret
om klageadgang i forbindelse med de nationale kompetente
myndigheders afgørelser.
Det foreslås i § 3, at de nationale kompetente myndigheders
afgørelser efter denne lov, regler udstedt i medfør heraf samt
forordningen om kunstig intelligens ikke kan indbringes for
anden administrativ myndighed.
Bestemmelsen udelukker, at de nationale kompetente myn-
digheders afgørelser er undergivet administrativ rekurs. Så-
danne afgørelser kan indbringes direkte for domstolene efter
grundlovens § 63.
Med bestemmelsen sikres der overensstemmelse med kra-
vene i artikel 70, stk. 1, 2. pkt., i forordningen om kuns-
tig intelligens om de nationale kompetente myndigheders
uafhængighed. Digitaliseringsministeriet vurderer, at det er
nødvendigt for at sikre markedsovervågningsmyndigheder-
nes uafhængighed, at en afgørelse truffet af markedsover-
vågningsmyndigheden ikke kan omgøres eller ændres af
myndighedens sædvanlige overordnede.
Til § 4
Der er på nuværende tidspunkt ikke fastsat regler i dansk
ret om de nationale kompetente myndigheders opgaver i
henhold til forordningen om kunstig intelligens.
Det foreslås i § 4, at de nationale kompetente myndigheder
påser overholdelsen af forordningen om kunstig intelligens,
denne lov og regler udstedt i medfør heraf.
Bestemmelsen skal sammen med de foreslåede §§ 5-9 sikre,
at de nationale kompetente myndigheder kan udføre deres
opgaver i henhold til forordningen, herunder foretage kon-
trol og tilsyn.
De nationale kompetente myndigheder omfatter henholdsvis
bemyndigende myndigheder og markedsovervågningsmyn-
digheder.
Til § 5
Der er på nuværende tidspunkt ikke fastsat regler i dansk
ret om markedsovervågningsmyndighedernes mulighed for
at afkræve oplysninger fra fysiske og juridiske personer som
led i et tilsyn i henhold til forordningen om kunstig intelli-
gens.
Det fremgår af præambelbetragtning nr. 156 i forordnin-
gen om kunstig intelligens, at markedsovervågningsmyn-
digheder, der er udpeget i henhold til forordningen, alle
bør have håndhævelsesbeføjelser som fastsat i forordnin-
gen om kunstig intelligens og forordning (EU) 2019/1020
om markedsovervågning og produktoverensstemmelse (mar-
kedsovervågningsforordningen).
Det følger af markedsovervågningsforordningens artikel 14,
stk. 4, litra a-c, at markedsovervågningsmyndigheden som
minimum skal tillægges beføjelsen til at pålægge erhvervs-
drivende at forelægge relevante dokumenter, tekniske speci-
fikationer, data eller oplysninger om overensstemmelse og
tekniske aspekter af produktet, herunder adgang til oplysnin-
ger om eller fra software, i det omfang en sådan adgang er
nødvendig for at vurdere produktets overensstemmelse med
lovgivningen. Samtidig skal markedsovervågningsmyndig-
heden have beføjelser til at pålægge erhvervsdrivende at
levere oplysninger om forsyningskæden og distributionsnet-
tet, om produkters tilstedeværelse på markedet og om andre
modeller, der har de samme tekniske egenskaber som det
pågældende produkt, og oplysninger om ejerskabet til et
websted, når de pågældende oplysninger er nødvendige for
sagen.
Det foreslås i § 5, at markedsovervågningsmyndighederne
fra fysiske og juridiske personer omfattet af artikel 2, stk. 1,
litra a-f, i forordningen om kunstig intelligens, kan afkræve
alle oplysninger, som er nødvendige for myndighedernes til-
synsvirksomhed, herunder til fastlæggelse af, om et forhold
hører under myndighedernes kompetence.
Det er hensigten med den foreslåede bestemmelse, at der
kan indhentes oplysninger fra fysiske og juridiske personer
omfattet af artikel 2, stk. 1, litra a-f, i forordningen om
kunstig intelligens, hvis det findes nødvendigt.
Oplysningspligten er af væsentlig betydning for, at markeds-
overvågningsmyndighederne kan udføre en effektiv kon-
trol. Vurderingen af, hvilke oplysninger, der vil blive ind-
hentet, vil altid bero på en proportionalitetsvurdering og
karakteren af den dokumentation, der kan kræves, vil variere
fra sag til sag. Oplysningspligten vil blandt andet kunne
anvendes til, at markedsovervågningsmyndighederne kan
187
pålægge fysiske og juridiske personer omfattet af artikel
2, stk. 1, litra a-f, i forordningen om kunstig intelligens,
at forelægge relevante dokumenter, tekniske specifikationer,
data eller oplysninger om overensstemmelse og tekniske
aspekter af AI-systemet, herunder adgang til software, i det
omfang en sådan adgang er nødvendig for at vurdere AI-sy-
stemets overensstemmelse med lovgivningen. Markedsover-
vågningsmyndighederne vil også kunne pålægge fysiske og
juridiske personer omfattet af artikel 2, stk. 1, litra a-f, i for-
ordningen om kunstig intelligens, at levere oplysninger om
forsyningskæden og distributionsnettet, om AI-systemets til-
stedeværelse på markedet og om andre modeller, der har de
samme tekniske egenskaber som det pågældende AI-system,
og oplysninger om ejerskabet til et websted, når de pågæl-
dende oplysninger er nødvendige for sagen.
De oplysninger, markedsovervågningsmyndighederne vil
kunne kræve, skal være relevante for det, kontrollen skal
belyse, og være tilgængelige for virksomheden. Dette skal
ses i sammenhæng med, at markedsovervågningsmyndighe-
derne kun må anmode om data, der er strengt nødvendige
for at vurdere den risiko, som AI-systemer udgør, i overens-
stemmelse med artikel 78, stk. 2, i forordningen om kunstig
intelligens.
Markedsovervågningsmyndighederne vil i deres anvendelse
af den foreslåede § 5 skulle respektere fortroligheden af
oplysninger og data, som myndigheden kommer i besiddel-
se af under udførelsen af dennes opgaver og aktiviteter i
overensstemmelse med artikel 78, stk. 1, i forordningen om
kunstig intelligens. Det indebærer eksempelvis, at markeds-
overvågningsmyndighederne skal håndtere oplysningerne på
en sådan måde, at den beskytter intellektuelle ejendomsret-
tigheder og fysiske eller juridiske personers fortrolige forret-
ningsoplysninger eller forretningshemmeligheder, herunder
kildekoder, offentlige og nationale sikkerhedsinteresser og
strafferetlige eller administrative procedurers gennemførelse
mv.
Den foreslåede bestemmelse afgrænses af det almindelige
forbud mod at udsætte andre for selvinkriminering, som
det blandt andet kan udledes af Den Europæiske Menneske-
rettighedskonventions artikel 6 og § 10 i retssikkerhedslo-
ven. Er der konkret mistanke om, at det af oplysningerne
vil fremgå, at den pågældende har begået noget strafbart, vil
det således ikke kunne kræves, at oplysningerne udleveres. I
et sådant tilfælde må sagen overlades til politiets efterforsk-
ning.
Til § 6
Der er på nuværende tidspunkt ikke fastsat regler i dansk
ret om markedsovervågningsmyndighedernes mulighed for
at foretage kontrolbesøg som led i et tilsyn i henhold til
forordningen om kunstig intelligens.
Det fremgår af præambelbetragtning nr. 156 i forordnin-
gen om kunstig intelligens, at markedsovervågningsmyn-
digheder, der er udpeget i henhold til forordningen, alle
bør have håndhævelsesbeføjelser som fastsat i forordnin-
gen om kunstig intelligens og forordning (EU) 2019/1020
om markedsovervågning og produktoverensstemmelse (mar-
kedsovervågningsforordningen).
Det følger af markedsovervågningsforordningens artikel 14,
stk. 4, litra d og e, at markedsovervågningsmyndigheden
som minimum skal tillægges beføjelsen til uden forudgåen-
de varsel at foretage inspektion på stedet og fysisk kontrol
af produkter, samt beføjelsen til at få adgang til alle lokaler,
arealer eller transportmidler, som den pågældende erhvervs-
drivende anvender som led i sit erhverv, sin forretning, sit
livsværk eller sit fag, for at identificere manglende overens-
stemmelse og indhente dokumentation.
Det foreslås i stk. 1, at markedsovervågningsmyndighederne
til enhver tid mod behørig legitimation og uden retskendelse
har adgang til alle erhvervsmæssige lokaliteter hos fysiske
og juridiske personer omfattet af artikel 2, stk. 1, litra a-f, i
forordningen om kunstig intelligens, når det er nødvendigt
for at påse overholdelse af forordningen om kunstig intelli-
gens, denne lov eller regler udstedt i medfør af loven.
Den foreslåede bestemmelse har til formål at sikre, at
markedsovervågningsmyndighederne kan udføre en effektiv
kontrol med overholdelse af forordningen om kunstig intel-
ligens. Bestemmelsen sikrer, at markedsovervågningsmyn-
dighederne har adgang til alle erhvervsmæssige lokaliteter
hos fysiske og juridiske personer omfattet af artikel 2, stk.
1, litra a-f, i forordningen om kunstig intelligens, når det
er nødvendigt for at påse overholdelse af forordningen om
kunstig intelligens, denne lov eller regler udstedt i medfør
heraf.
Den foreslåede ordning vurderes at være proportional, da
markedsovervågningsmyndighederne alene vil kunne anven-
de kontroladgangen i sager, hvor det er afgørende for kon-
trollens effektivitet. Ligeledes vurderes ordningen at være
nødvendig af hensyn til formålet med forordningen om
kunstig intelligens, da adgangen til kontrolbesøg skal sikre
beskyttelse af borgere mod farerne ved forbudte AI-syste-
mer. Det bemærkes, at krav om forudgående retskendelse
er ressourcekrævende, og en fastholdelse af et krav om
retskendelse kan derfor medføre en unødig forsinkelse af
myndighedens kontrolindsats. Herudover vil et krav om
forudgående retskendelse blot være af formel karakter, da
kontroladgangen netop er nødvendig af hensyn til effektiv
kontrol med overholdelse af forordningen om kunstig intel-
ligens.
På ovenstående baggrund vurderes det, at den foreslåede
ordning med kontrolbesøg uden retskendelse fremmer en ef-
fektiv håndhævelse af forordningen om kunstig intelligens,
beskytter samfundets og borgernes interesser, forebygger
misbrug og skaber en afskrækkende effekt mod overtrædel-
ser af forordningen om kunstig intelligens. Det er dog afgø-
rende, at disse besøg sker under betryggende retssikkerheds-
garantier.
188
Adgangen til kontrolbesøg uden retskendelse vil således ske
under strenge retningslinjer og kun efter en konkret vurde-
ring. Kontrolbesøg skal altid dokumenteres, og virksomhe-
der har mulighed for at klage over kontrolbesøg. Kontrol-
besøg i henhold til § 6, stk. 1, vil således forudsætte, at
markedsovervågningsmyndighederne i det konkrete tilfælde
vurderer, at det ikke er muligt at udøve effektiv kontrol
med mindre indgribende midler. Markedsovervågningsmyn-
dighederne skal derfor i det konkrete tilfælde vurdere, at
kontrolbesøget er nødvendigt af hensyn til formålet med
kontrolbesøget samt proportionalt. Dette vil indebære, at
markedsovervågningsmyndighederne forinden skal forsøge
at indhente oplysninger efter lovforslagets § 5, medmindre
formålet med kontrollen ikke kan opnås herved i det konkre-
te tilfælde.
Den foreslåede bestemmelse giver markedsovervågnings-
myndighederne adgang til alle lokaler eller arealer, som den
erhvervsdrivende anvender som led i sit erhverv, sin forret-
ning, sit håndværk eller sit fag. Det vil blandt andet omfatte
fabrikations-, salgs- og lagerlokaliteter og kan eksempelvis
også være kontorlokaler, baglokaler eller udendørs områder
tilhørende den erhvervsdrivende. Bestemmelsen giver dog
ikke en udvidet adgang til lokaler hos private.
Anvendelsen af den foreslåede bestemmelse vil skulle ske
under hensyntagen til bestemmelserne i retssikkerhedsloven,
herunder de almindelige regler om fravigelse af varsling af
tilsyn. Herudover skal særligt retssikkerhedslovens § 10, om
retten til ikke at inkriminere sig selv, iagttages ved anven-
delsen af bestemmelsen.
Det vil kun være muligt for markedsovervågningsmyndighe-
derne at anvende den foreslåede bestemmelse til at tilveje-
bringe oplysninger til brug for kontrollen. Det betyder, at
bestemmelsen kan anvendes med henblik på at konstatere,
om AI-systemer, der henhører under anvendelsesområdet i
forordningen om kunstig intelligens, er i overensstemmelse
med reglerne, eller om en erhvervsdrivende lever op til sine
forpligtelser. Det kan f.eks. være en kontrol, hvor der er be-
hov for at føre tilsyn med AI-systemer fra en lokalitet uden
offentlig adgang. Det skal således være formålet med adgan-
gen, at der skal indhentes oplysninger, der er nødvendige
for selve kontrollen. Adgangshjemlen gælder både i relation
til proaktive kontroller, hvor markedsovervågningsmyndig-
hederne har planlagt kontrolopgaven på forhånd, og reaktive
kontrolopgaver, som oftest sker efter en udefrakommende
begivenhed, som f.eks. en anmeldelse eller ulykke.
Hvis det ud fra en samlet betragtning af blandt andet oven-
stående elementer vurderes, at det vil være nødvendigt
at kontrollere AI-systemer fra ikke-offentligt tilgængelige
lokaliteter, vil markedsovervågningsmyndighederne således
kunne anvende bestemmelsen.
Konkret vil det f.eks. være nødvendigt, hvis markedsover-
vågningsmyndighederne ikke kan foretage en effektiv kon-
trol, fordi der kræves en teknisk vurdering af AI-systemet
med assistance fra en teknisk ekspert.
Den foreslåede bestemmelse giver desuden mulighed for, at
kontrollen kan finde sted uanmeldt, såfremt myndigheden
konkret vurderer, at formålet med kontrollen forspildes ved
en forudgående anmeldelse over for den kontrolunderlag-
te. Det er afgørende for kontrollens effektivitet, at kontrollen
kan ske uanmeldt, da varsling kan give virksomheder mulig-
hed for at fjerne dokumentationen for overtrædelserne.
Markedsovervågningsmyndighederne vil kunne foretage
uanmeldt kontrol, hvor der vurderes at foreligge dokumenta-
tion for en overtrædelse hos den kontrolunderlagte. Konkre-
te eksempler kan være, hvis en udbyder forsætligt tilgænge-
liggør et forbudt AI-system, og markedsovervågningsmyn-
digheden har en formodning om, at dette foreligger doku-
menteret hos udbyderen. Myndighedens formodning kan
eksempelvis være baseret på oplysninger modtaget fra pres-
seomtale.
Uanmeldte kontrolbesøg tænkes alene anvendt, når der er
risiko for, at dokumentationen for den formodede overtræ-
delse vil kunne bortskaffes eller gå tabt ved en anmeldt
kontrolundersøgelse. Hvis dette ikke er tilfældet, skal myn-
digheden anmelde kontrolbesøget.
Hvis det derimod ikke vil være nødvendigt, herunder pro-
portionalt med det markedsovervågningsmyndigheden vil
opnå ved at få adgang til de pågældende lokaler, vil bestem-
melsen ikke kunne anvendes. Markedsovervågningsmyndig-
hederne er så henvist til at føre tilsyn fra lokaler, der er
offentligt tilgængelige, eller til at afkræve oplysninger i
medfør af den foreslåede § 5.
Det foreslås i stk. 2, at markedsovervågningsmyndighederne
som led i kontrolbesøget kan foretage tekniske undersøgel-
ser af et AI-system på stedet.
Den foreslåede bestemmelse har til formål at sikre, at mar-
kedsovervågningsmyndighederne kan udføre effektiv kon-
trol ved at sikre, at markedsovervågningsmyndighederne
kan foretage tekniske undersøgelser under kontrolbesøg, jf.
stk. 1, med henblik på at påse overholdelse af forordningen
om kunstig intelligens, denne lov eller regler udstedt i med-
før af loven.
Den foreslåede bestemmelse vil kunne anvendes, når mar-
kedsovervågningsmyndighederne vurderer, at det er nødven-
digt at foretage en teknisk undersøgelse som led i et kontrol-
besøg, jf. stk. 1, for at sikre en korrekt sagsoplysning med
henblik på at kunne vurdere, om der foreligger en overtræ-
delse af forordningen om kunstig intelligens, denne lov eller
regler udstedt i medfør af loven. Det vil blandt andet kunne
omfatte undersøgelser af datasæt og algoritmer til brug for
vurdering af, hvorvidt et AI-system anvendes til brug for
følelsesgenkendelse.
Bestemmelsen vil eksempelvis være anvendelig i tilfælde
af, at omstændigheder under kontrolbesøget nødvendiggør,
at undersøgelser eller tests udføres på stedet, mens kontrol-
besøget pågår. Det kan eksempelvis være, hvis udbyderens
datasæt er af en sådan størrelse, at markedsovermyndighe-
189
den ikke har den tekniske kapacitet eller IT-faciliteter til
at modtage datasættet og udføre tests heraf internt hos mar-
kedsovervågningsmyndigheden selv.
Det foreslås i stk. 3, at markedsovervågningsmyndighederne
kan være bistået af en eller flere uafhængige sagkyndige i
forbindelse med adgangen efter stk. 1 og tekniske undersø-
gelser efter stk. 2.
I forbindelse med kontrol, der kræver særligt udstyr el-
ler specialistviden, kan markedsovervågningsmyndigheder-
ne have behov for bistand fra en eller flere sagkyndige med
henblik på at oplyse sagen i tilstrækkeligt omfang. Den eller
de sagkyndige har med den foreslåede bestemmelse adgang
til samme sted som markedsovervågningsmyndigheden, så
længe den eller de sagkyndige ledsages af mindst en medar-
bejder fra markedsovervågningsmyndigheden.
Det beror på en konkret og individuel vurdering, om en
sagkyndig er uafhængig. Eksempelvis kan markedsovervåg-
ningsmyndigheden ikke medbringe en sagkyndig til et kon-
trolbesøg hos en erhvervsdrivende, hvis den pågældende
sagkyndige samtidig er konkurrent til den erhvervsdriven-
de. Er der tale om et område, hvor der er meget få sagkyndi-
ge, vil der således skulle foretages en afvejning af, hvor stort
behovet er for at medbringe en sagkyndig over for beskyttel-
sen af den erhvervsdrivendes forretningshemmeligheder, der
må anses som tungtvejende.
Det foreslås i stk. 4, at politiet om nødvendigt yder bistand
til kontrollens gennemførelse.
Politiets bistand kan være aktuel i en situation, hvor mar-
kedsovervågningsmyndighederne nægtes adgang til en loka-
litet ad frivillighedens vej. Der kan i sådanne særlige tilfæl-
de være behov for, at politiet anvender magt for at få adgang
til lokaliteten.
Til § 7
Der er på nuværende tidspunkt ikke fastsat regler i dansk ret
om de nationale kompetente myndigheders offentliggørelse
af afgørelser i henhold til forordningen om kunstig intelli-
gens.
Det følger af artikel 99, stk. 1, i forordningen om kunstig
intelligens, at i overensstemmelse med de vilkår og betingel-
ser, der er fastsat i denne forordning, fastsætter medlemssta-
terne regler om sanktioner og andre håndhævelsesforanstalt-
ninger, som også kan omfatte advarsler og ikkeøkonomiske
foranstaltninger, for operatørers overtrædelse af denne for-
ordning og træffer alle nødvendige foranstaltninger for at
sikre, at de gennemføres korrekt og effektivt, og dermed
tager hensyn til de retningslinjer, som Kommissionen har
udstedt i henhold til artikel 96.
Det følger af artikel 78, stk. 1, i forordningen om kunstig in-
telligens, at Kommissionen, markedsovervågningsmyndig-
hederne og bemyndigede organer og enhver anden fysisk el-
ler juridisk person, der er involveret i anvendelsen af denne
forordning, respekterer i overensstemmelse med EU-retten
eller national ret fortroligheden af oplysninger og data, som
de kommer i besiddelse af under udførelsen af deres opgaver
og aktiviteter, på en sådan måde, at de navnlig beskytter: a)
intellektuelle ejendomsrettigheder og fysiske eller juridiske
personers fortrolige forretningsoplysninger eller forretnings-
hemmeligheder, herunder kildekode, med undtagelse af de
tilfælde, der er omhandlet i artikel 5 i Europa- Parlamentets
og Rådets direktiv (EU) 2016/943 (57), b) den effektive
gennemførelse af denne forordning, navnlig for så vidt an-
går inspektioner, undersøgelser eller revisioner, c) offentlige
og nationale sikkerhedsinteresser, d) strafferetlige eller ad-
ministrative procedurers gennemførelse og e) informationer,
der er klassificeret i henhold til EU-retten eller national ret.
Det foreslås i § 7, at markedsovervågningsmyndighederne
kan offentliggøre sine afgørelser i sager om forbudte former
for AI-praksis i henhold til artikel 5, stk. 1, litra a-g, i
forordningen om kunstig intelligens.
Bestemmelsen skal sikre, at de udpegede markedsovervåg-
ningsmyndigheder, som en nødvendig håndhævelsesforan-
staltning, kan offentliggøre afgørelser i sager om forbudte
former for AI-praksis i henhold til artikel 5, stk. 1, litra
a-g, i forordningen om kunstig intelligens, når tungtvejende
samfundsmæssige hensyn taler for offentliggørelse.
Offentliggørelse i henhold til den foreslåede § 7 kan omfatte
navnet på den juridiske eller fysiske person, som er adres-
sat for afgørelsen samt oplysninger om strafbare forhold el-
ler mulige strafbare forhold. Markedsovervågningsmyndig-
hederne kan blandt andet vælge at offentliggøre afgørelser i
henhold til den foreslåede § 7 for at afværge konkret eller
overhængende fare for skade på personer eller for betydelige
formuetab. Offentliggørelse kan endvidere ske, hvis offent-
liggørelsen er nødvendig for, at forbrugere kan varetage
deres interesser i forhold til de fysiske eller juridiske per-
soner, som der offentliggøres oplysninger om. Offentliggø-
relse kan dog aldrig ske, hvis offentliggørelsen vil medføre
uforholdsmæssig stor skade for den juridiske eller fysiske
person i forhold til de samfundsmæssige hensyn, som taler
for offentliggørelse. Det afgørende er, om offentlighedens
interesse i at få kendskab til oplysningerne findes at burde
vige for afgørende hensyn til private og offentlige interesser.
Det bemærkes, at der ikke er tale om en generel hjemmel til
systematisk offentliggørelse, men udelukkende om en mu-
lighed for offentliggørelse baseret på en konkret vurdering,
hvor de relevante hensyn i den enkelte sag nøje afvejes.
Der henvises i øvrigt til pkt. 3 i lovforslagets almindelige
bemærkninger.
Til § 8
Der er på nuværende tidspunkt ikke fastsat regler i dansk
ret om markedsovervågningsmyndighedernes opgaver i for-
bindelse med tilsynet i henhold til forordningen om kunstig
intelligens.
190
Det foreslås i stk. 1, at markedsovervågningsmyndighederne
kan udstede påbud om overholdelse af artikel 5, stk. 1, litra
a-g, i forordningen om kunstig intelligens, denne lov og
regler fastsat i medfør af denne lov.
Den foreslåede ordning i § 8 medfører, at markedsovervåg-
ningsmyndighederne vil kunne påbyde fysiske og juridiske
personer omfattet af artikel 2, stk. 1, litra a-f, i forordningen
om kunstig intelligens, at overholde artikel 5, stk. 1, litra
a-g, i forordningen om kunstig intelligens, denne lov og
regler fastsat i medfør af denne lov.
Det foreslås i stk. 2, at markedsovervågningsmyndigheder-
ne kan udstede et midlertidigt forbud mod levering, mar-
kedsføring, udstilling eller anden tilgængeliggørelse af et
AI-system, hvis AI-systemet vurderes at kunne udgøre en
risiko. Forbuddet kan rettes mod de fysiske og juridiske
personer, som er omfattet af artikel 2, stk. 1, litra a-f, i
forordningen om kunstig intelligens. Forbuddets varighed
kan ikke strække sig ud over, hvad der er nødvendigt for at
træffe kontrolforanstaltninger til brug for undersøgelser eller
vurderinger af AI-systemets sikkerhed.
Med den foreslåede bestemmelse kan markedsovervåg-
ningsmyndighederne udstede midlertidige forbud mod leve-
ring, markedsføring, udstilling eller anden tilgængeliggørel-
se af etAI-system, hvis AI-systemet vurderes at kunne udgø-
re et forbudt AI-system i henhold til artikel 5, stk. 1, litra
a-g. Et forbud efter den foreslåede bestemmelse vil kunne
rettes mod fysiske og juridiske personer i henhold til artikel
2, stk. 1, litra a-f.
Bestemmelsen giver mulighed for at træffe en midlertidig
afgørelse om forbud mod et AI-system, mens markedsover-
vågningsmyndighedernes sagsbehandling og oplysning af
sagen pågår. Markedsovervågningsmyndighederne foretager
i den forbindelse en proportionalitetsafvejning, så de midler,
der anvendes, ikke er mere indgribende end nødvendigt i
forhold til det formål, markedsovervågningsmyndighederne
ønsker at opnå.
Den foreslåede bestemmelse finder anvendelse i sager, hvor
der er en formodning om, at et AI-system udgør en fare,
og hvor hensynet til brugeren gør, at det ud fra et forsig-
tighedsprincip vurderes uforsvarligt, at AI-systemet fortsat
er i omsætning, imens markedsovervågningsmyndigheden
foretager de nødvendige undersøgelser systemet for derved
endeligt at afklare risikoen og træffe endelig afgørelse.
Det er en forudsætning for anvendelsen af bestemmelsen, at
der ikke blot er tale om mindre eller formelle mangler, som
ikke medfører en reel fare. En bagatelagtig mangel kunne
eksempelvis være mindre administrative fejl uden betydning
for systemets sikkerhed. Forbuddets varighed må ikke over-
stige, hvad der er nødvendigt for at gennemføre de relevan-
te undersøgelser og vurderinger. Proportionalitetsprincippet
sikrer, at markedsovervågningsmyndighederne handler hur-
tigt og effektivt for at minimere unødige gener for de invol-
verede parter.
Det foreslås i 2. pkt., at forbuddet kan rettes mod fysiske
og juridiske personer omfattet af artikel 2, stk. 1, litra a-f, i
forordningen om kunstig intelligens. Den foreslåede bestem-
melse finder derfor anvendelse på udbydere, der bringer AI-
systemer i omsætning eller ibrugtager sådanne eller bringer
AI-modeller til almen brug i omsætning i Unionen, uanset
om udbyderne er etableret i eller uden for Unionen; idrift-
sættere af AI- systemer, der er etableret eller befinder sig
i et tredjeland, hvis det output, der produceres af systemet,
anvendes i Unionen; importører og distributører af AI-sy-
stemer; producenter af et produkt, der sammen med deres
produkt og under eget navn eller varemærke bringer et AI-
system i omsætning eller ibrugtager det samt bemyndigede
repræsentanter for udbydere, der ikke er etableret i Unionen.
Det foreslås i 3. pkt., at forbuddets varighed ikke kan stræk-
ke sig ud over, hvad der er nødvendigt for at træffe kontrol-
foranstaltninger til brug for undersøgelser eller vurderinger
af AI-systemets sikkerhed.
Angivelsen af, at forbuddets varighed ikke kan strække sig
ud over, hvad der er nødvendigt for at foretage de nævnte
undersøgelser, er ligeledes udtryk for det almindelige pro-
portionalitetsprincip. Markedsovervågningsmyndighederne
sikrer i den forbindelse, at de nødvendige undersøgelser
foretages uden unødigt ophold for derved at mindske even-
tuelle gener for den erhvervsdrivende.
Til § 9
Der er på nuværende tidspunkt ikke fastsat regler i dansk
ret om de bemyndigende myndigheders opgaver, tilsyn og
kontrol.
Det følger af artikel 28, stk. 1, i forordningen om kunstig in-
telligens, at hver medlemsstat udpeger eller opretter mindst
én bemyndigende myndighed med ansvar for at indføre og
gennemføre de nødvendige procedurer for vurdering, udpeg-
ning og notifikation af overensstemmelsesvurderingsorganer
og for overvågning heraf. Disse procedurer udvikles i sam-
arbejde mellem de bemyndigende myndigheder i alle med-
lemsstater.
Det foreslås i stk. 1, at den bemyndigende myndighed kan
efter forhandling med ministeren for digitalisering fastsætte
nærmere regler om indførelse og gennemførelse af nødven-
dige procedurer for vurdering, udpegelse og notifikation af
overensstemmelsesvurderingsorganer og for tilsyn hermed i
henhold til artikel 28, stk. 1, i forordningen om kunstig in-
telligens samt suspension eller tilbagetrækning af udpegning
i henhold til artikel 36, stk. 4, i forordningen om kunstig
intelligens.
Med den foreslåede bestemmelse får den bemyndigende
myndighed mulighed for at fastsætte regler om, at bemyndi-
gende myndigheder efter ansøgning kan udpege bemyndige-
de organer til at foretage overensstemmelsesvurderingspro-
cedurer. Overensstemmelsesvurdering vedrører processen til
påvisning af, om de krav til højrisiko-AI-systemer, som er
191
fastsat i kapitel III, afdeling 2, i forordningen om kunstig
intelligens, er opfyldt.
Det foreslås i stk. 2, at den bemyndigende myndighed kan
delegere udpegningen af overensstemmelsesvurderingsorga-
ner i et nærmere angivet omfang til andre offentlige myndig-
heder eller private institutioner, i henhold til artikel 28, stk.
2, i forordningen om kunstig intelligens.
Bestemmelsen skal give mulighed for, at private og offent-
lige myndigheder efter delegation kan udføre akkrediterin-
gsfunktioner i henhold til artikel 28, stk. 2, i forordningen
om kunstig intelligens. Akkreditering omhandler attestering
– foretaget af et nationalt akkrediteringsorgan – af, at et
overensstemmelsesvurderingsorgan opfylder de krav, der
gælder for overensstemmelsesvurderingsorganer i henhold
til kapitel III, afdeling 4, i forordningen om kunstig intelli-
gens.
Til § 10
Der er på nuværende tidspunkt ikke fastsat regler i dansk
ret om straf for overtrædelse af regler i forordningen om
kunstig intelligens.
Det følger af artikel 99, stk. 1, i forordningen om kunstig
intelligens, at i overensstemmelse med de vilkår og betingel-
ser, der er fastsat i denne forordning, fastsætter medlemssta-
terne regler om sanktioner og andre håndhævelsesforanstalt-
ninger, som også kan omfatte advarsler og ikkeøkonomiske
foranstaltninger, for operatørers overtrædelse af denne for-
ordning og træffer alle nødvendige foranstaltninger for at
sikre, at de gennemføres korrekt og effektivt, og dermed
tager hensyn til de retningslinjer, som Kommissionen har
udstedt i henhold til artikel 96.
Af præambelbetragtning nr. 41 i forordningen om kunstig
intelligens følger det, at i medfør af artikel 2 og 2a i proto-
kol nr. 22 om Danmarks stilling, der er knyttet som bilag
til TEU og TEUF, er de regler, der er fastsat i forordningen
om kunstig intelligens artikel 5, stk. 1, første afsnit, litra g),
i det omfang den finder anvendelse på brugen af systemer
til biometrisk kategorisering til aktiviteter inden for politi-
samarbejde og retligt samarbejde i straffesager, artikel 5,
stk. 1, første afsnit, litra d), i det omfang den finder anven-
delse på brugen af AI-systemer, der er omfattet af nævnte
bestemmelse, artikel 5, stk. 1, første afsnit, litra h), og stk.
2-6, og artikel 26, stk. 10, der er vedtaget på grundlag af
artikel 16 i TEUF vedrørende medlemsstaternes behandling
af personoplysninger under udøvelsen af aktiviteter, der er
omfattet af tredje del, afsnit V, kapitel 4 eller 5, i TEUF, ikke
bindende for og finder ikke anvendelse i Danmark.
Det foreslås i lovforslagets stk. 1, at det fastsættes, hvilke
bestemmelser i forordningen og loven, der er strafbelagt ved
overtrædelser.
Det foreslås i stk. 1, nr. 1, at den, der overtræder bestemmel-
serne om forbudte former for AI-praksis i henhold til artikel
5, stk. 1, litra a-g i forordningen om kunstig intelligens
straffes med bøde, medmindre højere straf er forskyldt efter
anden lovgivning.
Med den foreslåede bestemmelse straffes overtrædelse af
artikel 5, stk. 1, litra a-g, i forordningen om kunstig intelli-
gens.
Digitaliseringsstyrelsen er markedsovervågningsmyndighed
for de forbudte former for AI-praksis, som er omfattet af
artikel 5, stk. 1, litra a-c, og artikel 5, stk. 1, litra e-f, i
forordningen om kunstig intelligens. Artikel 5, stk. 1, litra a-
c, vedrører forbudte former for AI-praksis, herunder blandt
andet visse AI-systemer, der anvender subliminale, bevidst
manipulerende eller vildledende teknikker, visse AI-syste-
mer, der udnytter sårbarheder på grundlag af alder, handicap
eller en særlig social eller økonomisk situation, og visse
AI-systemer, som bruges til evaluering eller klassificering
af fysiske personer, hvis sociale bedømmelse fører til vis-
se former for skadelig eller ugunstig behandling af fysiske
personer eller grupper af personer. Artikel 5, stk. 1, litra
e-f, vedrører blandt andet AI-systemer, der opretter eller
udvider ansigtsgenkendelsesdatabaser gennem ikkemålrettet
indsamling af ansigtsbilleder fra internettet eller kamerao-
vervågning og visse AI-systemer, der bruges til at udlede
følelser hos en fysisk person på arbejdspladser og uddannel-
sesinstitutioner. Disse forbudte former for AI-praksis kan
med den foreslåede bestemmelse straffes med bøde.
Datatilsynet er markedsovervågningsmyndighed for de for-
budte former for AI-praksis, der er omfattet af artikel 5, stk.
1, litra d og artikel 5, stk. 1, litra g, i det omfang disse ikke
er omfattet af det danske retsforbehold. Artikel 5, stk. 1,
litra d, vedrører visse AI-systemer, som bruges til at foretage
risikovurderinger baseret på profilering af en fysisk person
eller en vurdering af deres personlighedstræk og personlige
egenskaber for at vurdere eller forudsige risikoen for, at en
fysisk person begår en strafbar handling. Artikel 5, stk. 1,
litra g, vedrører blandt andet AI-systemer, der bruges til
biometrisk kategorisering, som kategoriserer fysiske person-
er individuelt på grundlag af deres biometriske data med
henblik på at udlede deres race, politiske anskuelser, fagfor-
eningsmedlemskab, religiøse eller filosofiske overbevisning,
seksuelle forhold eller seksuelle orientering. Disse forbudte
former for AI-praksis kan med den foreslåede bestemmelse
også straffes med bøde, i det omfang disse ikke er omfattet
af det danske retsforbehold. Danmark er som følge af rets-
forbeholdet ikke bundet af forordningens artikel 5, stk. 1,
litra g, i det omfang den finder anvendelse på brugen af
systemer til biometrisk kategorisering til aktiviteter inden
for politisamarbejde og retligt samarbejde i straffesager, og
artikel 5, stk. 1, litra d, i det omfang den finder anvendelse
på brugen af AI-systemer, der er omfattet af nævnte bestem-
melse.
Domstolsstyrelsen er markedsovervågningsmyndighed for
de dele af tilsynet med forbudte former for AI-systemer,
som vedrører domstolenes administrative anvendelse af AI-
systemer. Afgørelser om domstolenes anvendelse af AI-sy-
192
stemer, når disse anvendes som led i domstolenes judicielle
funktioner, træffes dog af vedkommende ret.
Det foreslås i stk. 1, nr. 2, at den, der afgiver ukorrekte,
ufuldstændige eller vildledende oplysninger til bemyndigede
organer eller nationale kompetente myndigheder som svar
på en anmodning i henhold til artikel 99, stk. 5, kan straffes
med bøde.
De foreslåede bestemmelser tjener to formål:
– At opfylde forordningens krav om sanktionering efter
artikel 99, stk. 3, jf. stk. 9, hvor forordningen har et loft
for bøder på 35.000.000 euro eller, hvis lovovertræderen
er en virksomhed, op til 7 pct. af dens samlede globale
årlige omsætning i det foregående regnskabsår, alt efter
hvilket beløb der er størst.
– At opfylde forordningens krav om sanktionering efter
artikel 99, stk. 5, jf. stk. 9, hvor forordningen har et loft
for bøder på 7.500.000 euro eller, hvis lovovertræderen
er en virksomhed, op til 1 pct. af dens samlede globale
omsætning i det foregående regnskabsår, alt efter hvilket
beløb der er størst.
Forbeholdet om, at højere straf kan være forskyldt efter den
øvrige lovgivning, har til formål at sikre, at handlinger, der
tillige indebærer en overtrædelse af bestemmelser, der kan
medføre højere straf, kan henføres under sådanne bestem-
melser. Hvis det strafbare forhold omfattes af § 10, stk. 1, nr.
2, samt straffelovens §§ 162 og 163 om afgivelse af urigtige
oplysninger til offentlige myndigheder, henhører forholdet
således under den bestemmelse, hvorefter den højeste straf
er forskyldt.
Formålet med den foreslåede bestemmelse er at supplere
artikel 99, stk. 1, i forordningen om kunstig intelligens,
hvorefter medlemsstaterne – i overensstemmelse med de vil-
kår og betingelser, der er fastsat i forordningen – fastsætter
regler om blandt andet sanktioner.
Det bemærkes, at det følger af forordningens artikel 99, stk.
6, at for SMV’er, herunder iværksættervirksomheder, skal
hver bøde, der er omhandlet i artikel 99 være op til den
procentsats eller det beløb, der er omhandlet i blandt andet
stk. 3 og 5, alt efter hvilken af dem der er lavest.
Det bemærkes hertil, at ved udmåling af bødestraf skal de
fastsatte beløbsgrænser i henhold til artikel 99, stk. 3 og 5, i
forordningen om kunstig intelligens overholdes.
Det foreslås i stk. 1, nr. 3, at den, der undlader at give
markedsovervågningsmyndighederne oplysninger efter § 5
straffes med bøde, medmindre højere straf er forskyldt efter
anden lovgivning.
Med den foreslåede bestemmelse sikres det, at det kan sank-
tioneres, hvis fysiske og juridiske personer undlader at imø-
dekomme krav fra markedsovervågningsmyndighederne om
at afgive oplysninger, som er nødvendige for myndigheder-
nes tilsynsvirksomhed, herunder til fastlæggelse af, om et
forhold hører under myndighedernes kompetence.
Den foreslåede bestemmelse afgrænses af det almindelige
forbud mod at udsætte andre for selvinkriminering, som det
blandt andet kan udledes af Den Europæiske Menneskeret-
tighedskonventions artikel 6 og § 10 i retssikkerhedsloven.
Det foreslås i stk. 1, nr. 4, at den, der undlader at give
markedsovervågningsmyndighederne adgang eller hindrer
markedsovervågningsmyndighederne i at foretage tekniske
undersøgelser af et AI-system efter § 6, stk. 1 og 2, straffes
med bøde, medmindre højere straf er forskyldt efter anden
lovgivning.
Med den foreslåede bestemmelse sikres det, at det kan
sanktioneres, hvis de fysiske og juridiske personer, som er
omfattet af artikel 2, stk. 1, litra a-f, i forordningen om
kunstig intelligens, ikke giver markedsovervågningsmyndig-
heden adgang til lokaliteter omfattet af den foreslåede § 6,
stk. 1. Tilsvarende sikres det, at det kan sanktioneres, hvis
de fysiske og juridiske personer, som er omfattet af artikel
2, stk. 1, litra a-f, i forordningen om kunstig intelligens,
hindrer markedsovervågningsmyndigheden i at foretage tek-
niske undersøgelser af et AI-system på stedet.
Eksempelvis kan der sanktioneres, hvis en kontrolunder-
lagt nægter at udlevere adgangskoder, som markedsovervåg-
ningsmyndigheden skal bruge for at få adgang til nødven-
dige oplysninger på en computerterminal eller server. Til-
svarende kan det sanktioneres, hvis den kontrolunderlagte
krypterer alle oplysninger, så myndighederne skal omgå
krypteringen for at få adgang. Endvidere kan der sanktione-
res ved fysisk hindring, f.eks. hvis den kontrolunderlagte
blokerer adgangen til lokaliteter, som markedsovervågnings-
myndigheden har behov for at tilgå i forbindelse med deres
undersøgelser.
Det foreslås endeligt i stk. 1, nr. 5, at den, der undlader at
efterkomme påbud eller forbud efter § 8, kan straffes med
bøde.
Med den foreslåede bestemmelse vil eksempelvis et midler-
tidigt forbud om at tilgængeliggøre et AI-system, der er
udstedt af markedsovervågningsmyndighederne efter § 8,
stk. 2, således kunne medføre bødestraf, medmindre højere
straf er forskyldt efter anden lovgivning.
Det bemærkes, at strafudmålingen for overtrædelser omfat-
tet af § 10, stk. 1, skal følge artikel 99, stk. 7, i forordningen
om kunstig intelligens. Det indebærer, at der i hver enkelt
sag skal tages behørigt hensyn til de oplistede hensyn i
artikel 99, stk. 7, i forordningen om kunstig intelligens. Der
skal eksempelvis tages hensyn til overtrædelsens art, grov-
hed og varighed, om der er andre skærpende eller formil-
dende faktorer ved sagens omstændigheder såsom opnåede
økonomiske fordele eller undgåede tab som direkte eller in-
direkte følge af overtrædelsen, den måde, hvorpå de nationa-
le kompetente myndigheder fik kendskab til overtrædelsen,
navnlig om operatøren har underrettet om overtrædelsen og i
givet fald i hvilket omfang. Straffelovens § 51, stk. 3 og 10.
kapitel om straffens fastsættelse finder i øvrigt anvendelse.
193
Der henvises i øvrigt til pkt. 2.4.2.2 i lovforslagets almin-
delige bemærkninger om udmøntningen af forordningens
bestemmelser om administrative bøder i dansk ret.
Det foreslås i stk. 2, at i forskrifter, der udstedes i medfør
af loven, kan der fastsættes straf af bøde for overtrædelse af
bestemmelser i forskrifterne.
Forslaget indebærer således, at der er adgang til at fastsætte
straffebestemmelser i forskrifter, der udstedes i medfør af
loven, herunder ved manglende overholdelse af udstedte for-
bud.
Det foreslås i stk. 3, at der kan pålægges selskaber m.v.
(juridiske personer) strafansvar efter reglerne i straffelovens
5. kapitel.
Det bemærkes, at det fremgår af artikel 99, stk. 8, i forord-
ningen om kunstig intelligens, at hver medlemsstat fastsæt-
ter regler om, i hvilket omfang administrative bøder kan
pålægges offentlige myndigheder og organer, der er etable-
ret i den pågældende medlemsstat.
Statslige myndigheder og kommuner kan ifølge straffelo-
vens § 27, stk. 2, alene straffes i anledning af overtrædelser,
der begås ved udøvelse af virksomhed, der svarer til eller
kan sidestilles med virksomhed udøvet af private. Offentlige
myndigheder kan således alene ifalde strafansvar efter reg-
lerne i straffelovens kapitel 5, i det omfang myndigheden
optræder på en måde, der kan sammenlignes med virksom-
hed, der udøves af en privatperson eller af et selskab, det vil
sige i egenskab af driftsherre.
Reglerne i straffelovens kapitel 5 omfatter derimod ikke lov-
overtrædelser, der begås som led i myndighedsudøvelse. I
sådanne tilfælde kan der alene blive tale om personligt straf-
ansvar for de ansvarlige enkeltpersoner.
Det foreslås i stk. 4, at forældelsesfristen for overtrædelse af
forordningen om kunstig intelligens, denne lov, eller regler
udstedt i medfør heraf er 5 år.
Af straffelovens § 93, stk. 1, følger de almindelige forældel-
sesfrister for strafbare lovovertrædelser, der skal beregnes
efter det strafmaksimum, der er foreskrevet for lovovertræ-
delsen. Det er således strafferammen for den pågældende
lovovertrædelse og ikke den konkrete forskyldte straf, som
er afgørende for beregningen af forældelsesfristen. Foræl-
delsesfristen er efter straffelovens § 93, stk. 11, 2 år, når der
ikke er hjemlet højere straf end fængsel i 1 år for overtræ-
delsen.
Den foreslåede bestemmelse vil indebære, at forældelsesfri-
sten for overtrædelse af den foreslåede lov, regler udstedt
i medfør af loven eller forordningen om kunstig intelligens
fastsættes til 5 år, under hensyntagen til, at de omfattede
straffesager kan antage en vis størrelse og kompleksitet.
Der henvises i øvrigt til pkt. 2.4.2 i lovforslagets almindeli-
ge bemærkninger.
Til § 11
Der er på nuværende tidspunkt ikke fastsat regler i dansk ret
om udstedelse af administrative bødeforelæg for overtrædel-
se af regler i forordningen om kunstig intelligens.
Det følger af artikel 99, stk. 3, i forordningen om kunstig
intelligens, at ved manglende overholdelse af forbud mod
de i artikel 5 anførte former for AI-praksis straffes overtræ-
delsen med administrative bøder på op til 35.000.000 EUR
eller, hvis lovovertræderen er en virksomhed, op til 7 %
af dens samlede globale årlige omsætning i det foregående
regnskabsår, alt efter hvilket beløb der er størst.
Det foreslås i stk. 1, at ministeren for digitalisering efter
forhandling med justitsministeren kan fastsætte regler om, at
markedsovervågningsmyndigheder i nærmere angivne sager
om overtrædelse af forordningen om kunstig intelligens, lo-
ven eller regler udstedt i medfør heraf i et bødeforelæg kan
tilkendegive, at sagen kan afgøres uden retssag. Det er en
betingelse, at den, der har begået overtrædelsen, erklærer
sig skyldig i overtrædelsen og erklærer sig rede til inden
en nærmere angivet frist at betale bøden, som er angivet i
bødeforelægget.
Kompetencen i stk. 1 gælder alene ved åbenbare og objek-
tivt konstaterbare overtrædelser, hvor overtrædelserne gene-
relt er ensartede og ukomplicerede og uden bevismæssige
tvivlsspørgsmål, og hvor bødeudmålingen ligger fast.
Bemyndigelsesbestemmelsen vil kun kunne anvendes efter
forhandling med justitsministeren. Hertil er det en betingel-
se, at der skal være tale om sager, der er enkle og ukompli-
cerede uden bevistvivl eller tvivl om sanktionsniveau for
normalbøder i førstegangstilfælde i forskellige situationer, er
opfyldt. Bestemmelsen forventes først at kunne anvendes,
når der er etableret en omfattende tilsynspraksis, som gør
det muligt at afgøre, hvilke sager der kan leve op til disse
betingelser.
Der vil kunne udstedes administrative bødeforelæg til såvel
fysiske som juridiske personer. Bestemmelsen retter sig kun
mod sager, hvor den, der har begået det strafbare forhold,
tilstår det strafbare forhold. I tilfælde, hvor den, der har
begået overtrædelsen, ikke erklærer sig rede til at betale
bøden inden en nærmere angivet frist, vil domstolene afgøre
bødespørgsmålet. I sådanne tilfælde vil den relevante natio-
nale kompetente myndighed skulle indgive politianmeldelse
sammen med en redegørelse for den nationale kompetente
myndigheds vurdering, herunder en vurdering af niveauet
for bøden.
Det foreslås i stk. 2, at retsplejelovens regler om krav til
indholdet af et anklageskrift og om, at en sigtet ikke er
forpligtet til at udtale sig, tilsvarende finder anvendelse på
bødeforelæg.
Henvisningen til retsplejelovens regler indebærer for det
første, at bødeforelægget skal opfylde de krav, der fremgår
af retsplejelovens § 834, stk. 1, nr. 2 og 3, og stk. 2. Bøde-
194
forelægget skal således blandt andet angive den regel, der
påstås overtrådt, og lovovertrædelsens kendetegn, som de
fremgår af reglen, lovovertrædelsens navn, hvis loven inde-
holder angivelse heraf, straffehjemlen og en kort beskrivelse
af det forhold, der påstås begået, med sådan angivelse af
tid, sted, genstand, udførelsesmåde og andre nærmere om-
stændigheder, som er nødvendige for en tilstrækkelig tydelig
beskrivelse.
Henvisningen til retsplejelovens regler indebærer for det
andet, at den, der påstås at have begået overtrædelsen, ikke
har pligt til at udtale sig, og at den pågældende skal vejledes
herom.
Det foreslås i stk. 3, at hvis bøden betales i rette tid, eller
bliver inddrevet efter vedtagelsen eller afsonet, bortfalder
videre forfølgning. Vedtagelsen har samme gentagelsesvirk-
ning som en dom.
Der henvises i øvrigt til pkt. 2.4.2 i lovforslagets almindeli-
ge bemærkninger.
Til § 12
Det foreslås i lovforslagets § 12, at loven træder i kraft
den 2. august 2025. Med den foreslåede ikrafttrædelsesdato
fraviges udgangspunktet om to årlige ikrafttrædelsesdatoer
for erhvervsrettet lovgivning. Udgangspunktet fraviges, for-
di det følger af Danmarks EU-retlige forpligtelser, at de
nationale regler skal træde i kraft på et bestemt tidspunkt.
Det følger af artikel 113, litra b, i forordningen om kunstig
intelligens, at en række regler finder anvendelse fra den 2.
august 2025.
Kapitel II om forbudte former for AI-praksis finder imidler-
tid allerede anvendelse fra den 2. februar 2025 i henhold til
artikel 113, litra a. Reglerne i denne lov foreslås at træde i
kraft på det tidspunkt, hvor forbudte former for AI-praksis
kan medføre sanktioner i henhold til kapitel III om sanktio-
ner, der finder anvendelse fra den 2. august 2025.
På den baggrund foreslås den 2. august 2025 som ikrafttræ-
delsesdato.
Til § 13
Det foreslås i § 13, at loven ikke skal gælde for Færøerne og
Grønland.
195